JP2016054419A - Network controller, network control method and program - Google Patents
Network controller, network control method and program Download PDFInfo
- Publication number
- JP2016054419A JP2016054419A JP2014179642A JP2014179642A JP2016054419A JP 2016054419 A JP2016054419 A JP 2016054419A JP 2014179642 A JP2014179642 A JP 2014179642A JP 2014179642 A JP2014179642 A JP 2014179642A JP 2016054419 A JP2016054419 A JP 2016054419A
- Authority
- JP
- Japan
- Prior art keywords
- network
- terminal
- address
- setting
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
端末がネットワークに接続する際にアクセス制御を行うネットワークコントローラ、ネットワーク制御方法、およびプログラムに関する。 The present invention relates to a network controller that performs access control when a terminal is connected to a network, a network control method, and a program.
近年スマートフォンなどのモバイル端末の普及や、無線LAN(ローカルエリアネットワーク)やキャリアネットワークの普及、高速化にともない、場所を選ばず業務を遂行することが求められている。一方、セキュリティに対する意識も高まっており、安全性の高いネットワークの運用管理が求められている。 In recent years, with the spread of mobile terminals such as smartphones, the spread of wireless LANs (local area networks) and carrier networks, and speeding up, it has been required to perform business regardless of location. On the other hand, awareness of security is increasing, and operation management of a highly secure network is required.
かかるセキュリティを実現するためには、端末とその端末がアクセスすることのできるサーバ等のネットワークリソースに1まとまりのアクセス単位を形成する必要がある。かかるアクセス単位を形成するための技術として、VLAN(Virtual Local Area Network)と呼ばれる技術が知られている。VLANでは、スイッチの接続ポート、MAC(Media Access Control)アドレス、プロトコルなどがユーザのアクセスレベルに対応させられる。そして、スイッチなどのネットワーク機器により、物理的な接続形態とは別に、アクセスレベルに応じた仮想ネットワークが構成される。 In order to realize such security, it is necessary to form a single access unit for a network resource such as a terminal and a server that can be accessed by the terminal. As a technique for forming such an access unit, a technique called VLAN (Virtual Local Area Network) is known. In the VLAN, a switch connection port, a MAC (Media Access Control) address, a protocol, and the like are made to correspond to the access level of the user. In addition to a physical connection form, a virtual network corresponding to an access level is configured by a network device such as a switch.
VLANを利用した従来技術として、次のような技術が知られている(例えば特許文献1に記載の技術)。RASゲートウェイは、クライアント装置とクライアント装置が所属すべき内部ネットワークとの接続を可能とする仮想ネットワークインタフェースが、現に設定中であるVLANインタフェース内に存在しない場合には、VLANインタフェースを動的に設定する。さらに、RASゲートウェイは、設定されたVLANインタフェースの利用状況を監視して、利用しているクライアント端末のないインタフェースについては消去する。これにより、ネットワークの接続管理に関する管理者の負担を軽減するとともに、リソースの浪費および不正アクセスを防止するものである。 As a conventional technique using VLAN, the following technique is known (for example, the technique described in Patent Document 1). The RAS gateway dynamically sets the VLAN interface when the virtual network interface that enables connection between the client device and the internal network to which the client device belongs does not exist in the VLAN interface that is currently set. . Further, the RAS gateway monitors the usage status of the set VLAN interface and deletes the interface that does not have a client terminal being used. This reduces the burden on the administrator regarding network connection management, and prevents waste of resources and unauthorized access.
VLANを利用した他の従来技術として、次のような技術が知られている(例えば特許文献2に記載の技術)。(1)クライアントは、認証要求をパス制御サーバに送信する。(2)パス制御サーバでは、認証するとランチャーソフトをクライアントに送信する。(3)クライアントでは、利用可能なサービスを選択すると、対応するパス構築要求がパス制御サーバに送信される。(4)パス制御サーバでは、パス構築要求を受信すると、クライアントに対して拠点ルータとの連結指示を発行するとともに、(5)拠点ルータに対してクライアントとの連結指示を発行する。この構成により、クライアントと拠点ルータ間の拠点内VLANを動的に構築することができる。これにより、サービス毎のエンド・ツー・エンドのセキュリティ、クライアントでのサービス間のセキュリティ、大規模システムに対するスケーラビリティを実現するものである。 As another conventional technique using VLAN, the following technique is known (for example, the technique described in Patent Document 2). (1) The client transmits an authentication request to the path control server. (2) Upon authentication, the path control server transmits launcher software to the client. (3) When the client selects an available service, a corresponding path construction request is transmitted to the path control server. (4) Upon receiving the path construction request, the path control server issues a connection instruction with the base router to the client, and (5) issues a connection instruction with the client to the base router. With this configuration, the intra-base VLAN between the client and the base router can be dynamically constructed. As a result, end-to-end security for each service, security between services at the client, and scalability for a large-scale system are realized.
ここで、ネットワークにアクセスする端末を利用するユーザの状態は、利用状況に応じて動的に変化し得る。例えば学校において、先生、生徒、事務職員等のどのユーザが、先生端末、生徒端末、事務端末等のどれを利用し、その端末上で成績評価アプリ、自習アプリ等のどのユーザアプリケーションを使うか等の状態が変化し得る。そして、その状態に応じて、例えば教材サーバ、成績サーバ等のどのネットワークリソースにアクセスできるかというアクセス制限レベルも異なってくる。 Here, the state of the user who uses the terminal accessing the network can change dynamically according to the use situation. For example, in a school, which users such as teachers, students, and office staff use which of teacher terminals, student terminals, office terminals, etc., and which user applications such as grade evaluation application and self-study application on that terminal The state of can change. Depending on the state, the access restriction level indicating which network resources such as a learning material server and a grade server can be accessed also differs.
本発明の1つの側面では、ネットワークリソースに対するアクセス制御を規定する制御ポリシに基づいて、端末の状態変化に伴って仮想ネットワークを動的に設定することでアクセス制限の動的変更を可能とすることを目的とする。 In one aspect of the present invention, it is possible to dynamically change access restrictions by dynamically setting a virtual network according to a change in the state of a terminal based on a control policy that regulates access control to network resources. With the goal.
態様の一例では、1つ以上の仮想ネットワークにおけるネットワーク機器を設定制御するネットワークコントローラにおいて、端末からその端末の状態を受信する端末状態受信部と、端末の状態に対応するネットワークのアクセス制御を規定するアクセス制御ポリシに基づいて、ネットワーク機器のグルーピングを管理するグルーピング管理部と、グルーピングにより生成されるグループごとにアクセス制御を行うためのネットワーク設定値を管理するネットワーク設定管理部と、ネットワーク設定値をネットワーク機器に対して設定指示するネットワーク設定指示部と、を備える。 In one example, in a network controller for setting and controlling network devices in one or more virtual networks, a terminal state receiving unit that receives the state of the terminal from the terminal and a network access control corresponding to the state of the terminal are specified. Based on an access control policy, a grouping management unit that manages grouping of network devices, a network setting management unit that manages network setting values for performing access control for each group generated by the grouping, and network setting values A network setting instruction unit for instructing a device to perform setting.
ネットワークリソースに対するアクセス制御を規定する制御ポリシに基づいて、端末の状態変化に伴って仮想ネットワークを動的に設定することでアクセス制限の動的変更が可能となる。 Based on a control policy that regulates access control to network resources, the access restriction can be dynamically changed by dynamically setting a virtual network according to a change in the state of the terminal.
以下、本発明を実施するための形態について図面を参照しながら詳細に説明する。
まず、仮想ネットワークを用いたアクセスレベルの制御方法の一般的な考え方について説明する。
Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the drawings.
First, a general concept of an access level control method using a virtual network will be described.
図1は、アクセスレベルを制御しながらモバイル端末とサーバが通信を行うネットワークシステムの構成例を示す図である。ネットワークシステムは、コントローラ101、スイッチ102、ルータ103、WLAN−AP104、DHCP(Dynamic Host Configuration Protocol)サーバ105、DNSサーバ106、サーバ107(教材サーバ107a、成績サーバ107b等)を含む。また、WLAN−AP104には、端末108(先生端末108aや生徒端末108b等)が接続される。以下の説明では、「端末108」という記載を用いたときには、その記載による説明は、先生端末108aと生徒端末108bを特に区別しない共通の説明であるとする。「サーバ107」という記載を用いたときには、その記載による説明は、教材サーバ107aや成績サーバ107bを特に区別しない共通の説明であるとする。 FIG. 1 is a diagram illustrating a configuration example of a network system in which a mobile terminal and a server communicate with each other while controlling an access level. The network system includes a controller 101, a switch 102, a router 103, a WLAN-AP 104, a DHCP (Dynamic Host Configuration Protocol) server 105, a DNS server 106, and a server 107 (such as a learning material server 107a and a grade server 107b). Further, the terminal 108 (teacher terminal 108a, student terminal 108b, etc.) is connected to the WLAN-AP 104. In the following description, when the description “terminal 108” is used, the description based on the description is a common description that does not particularly distinguish between the teacher terminal 108a and the student terminal 108b. When the description “server 107” is used, it is assumed that the description according to the description is a common description that does not particularly distinguish the teaching material server 107a and the grade server 107b.
例えばモバイル端末である端末108(先生端末108aや生徒端末108b)は、無線LANアクセスポイント(Wireless Local Area Network Access Point:WLAN−AP)104に無線接続する。無線接続の方式としては例えば、Wi Fi(Wireless Fidelity)方式を採用できる。なお、「Wi Fi」は、ワイーファイ・アライアンスの登録商標である。WLAN−AP104は、スイッチ102のポートに接続される。なお、WLAN−AP104は1台である必要はなく、スイッチ102の複数のポートまたは異なるスイッチ102のポートに、複数台が接続されてもよい。WLAN−AP104は、端末108から無線LANのフレームを受信し、そのフレームに格納されて送られてきたIP(インターネットプロトコル)パケットをイーサネットフレーム(「イーサネット」は登録商標)に乗せ替えて、そのイーサネットフレームをスイッチ102に転送する。 For example, a terminal 108 (teacher terminal 108 a or student terminal 108 b) that is a mobile terminal wirelessly connects to a wireless local area network access point (WLAN-AP) 104. As a wireless connection method, for example, a WiFi (Wireless Fidelity) method can be adopted. “Wi Fi” is a registered trademark of the Wi-Fi Alliance. The WLAN-AP 104 is connected to a port of the switch 102. Note that the number of WLAN-APs 104 is not necessarily one, and a plurality of WLAN-APs 104 may be connected to a plurality of ports of the switch 102 or ports of different switches 102. The WLAN-AP 104 receives a wireless LAN frame from the terminal 108, changes an IP (Internet Protocol) packet stored and sent in the frame to an Ethernet frame (“Ethernet” is a registered trademark), and transmits the Ethernet frame. Transfer the frame to the switch 102.
スイッチ102は、ネットワークスイッチである例えばスイッチングハブ装置であり、複数の物理ポートを備える。教材サーバ107aや成績サーバ107bなどの、ユーザアプリケーション(以下「ユーザアプリ」と記載)のサービスを提供するサーバコンピュータは、それぞれスイッチ102の物理ポートに接続される。 The switch 102 is a network switch, for example, a switching hub device, and includes a plurality of physical ports. Server computers that provide services for user applications (hereinafter referred to as “user applications”), such as the learning material server 107 a and the grade server 107 b, are each connected to a physical port of the switch 102.
スイッチ102の各ポートに接続された各種ネットワーク機器(以下「NW機器」と記載)によって、1つの物理ネットワークが形成される。以下の説明において、特に言及しない限り、「NW機器」と記載した場合は、端末108、サーバ107、WLAN−AP104、ルータ103、DHCPサーバ105、DNSサーバ106等の、コントローラ101以外の全ての機器を含むものとする。また、端末108がユーザアプリケーションを実行することによりアクセスを認可されたサーバ107を、「ネットワークリソース(以下「NWリソース」と記載)」または「認可リソース」と呼ぶことがある。 One physical network is formed by various network devices (hereinafter referred to as “NW devices”) connected to each port of the switch 102. In the following description, unless otherwise specified, when “NW device” is described, all devices other than the controller 101, such as the terminal 108, the server 107, the WLAN-AP 104, the router 103, the DHCP server 105, and the DNS server 106. Shall be included. In addition, the server 107 that is authorized to access when the terminal 108 executes a user application may be referred to as a “network resource (hereinafter referred to as“ NW resource ”)” or an “authorized resource”.
なお、1つの物理ネットワーク上で、スイッチ102は1つである必要はなく、複数台含まれていてもよい。 Note that one switch 102 is not necessarily provided on one physical network, and a plurality of switches 102 may be included.
スイッチ102は、ポートごとにVLANを識別するための仮想ネットワーク識別子(以下「仮想NW−ID」と記載)を設定する。そして、スイッチ102は、同一のVLANポート間、すなわち同じ仮想NW−IDが設定されたポート間でのみ、IPパケットを中継する。 The switch 102 sets a virtual network identifier (hereinafter referred to as “virtual NW-ID”) for identifying a VLAN for each port. The switch 102 relays the IP packet only between the same VLAN ports, that is, between ports set with the same virtual NW-ID.
このようにして、スイッチ102の同じVLANの仮想NW−IDが設定された各ポートに接続された各NWリソースを、その仮想NW−IDを有する1つのVLANに所属させることができる。仮想NW−IDが異なればVLANも異なる。従って、このような構成のスイッチ102を用いることにより、1つの物理ネットワーク上に複数の仮想ネットワーク(VLAN)を構築することが可能となる。 In this way, each NW resource connected to each port for which the virtual NW-ID of the same VLAN of the switch 102 is set can belong to one VLAN having the virtual NW-ID. If the virtual NW-ID is different, the VLAN is also different. Therefore, by using the switch 102 having such a configuration, a plurality of virtual networks (VLANs) can be constructed on one physical network.
ここで、1つのWLAN−AP104に無線接続する複数の端末(図1では先生端末108aや生徒端末108b)は、それぞれ別々のVLANに所属してアクセスを行う可能性がある。そこで、WLAN−AP104が接続されるスイッチ102のポートとしては、VLANによる区別をしないトランクポートを用いる。また、WLAN−AP104には、複数のSSID(Service Set Identifire:サービスセット識別子)を設定することができ、さらに、各SSIDには、各VLANが割り当てられる。SSIDは、WLAN−AP104に無線接続するための識別情報である。各端末108は、自分が通信を行うVLANに対応するSSIDでWLAN−AP104に無線接続する。WLAN−AP104は、端末108からの無線接続時のSSIDと端末108から受信した無線LANフレームに付加されている仮想NW−IDの組によって、アクセスの認証を行う。スイッチ102は、端末108からのイーサネットフレームデータ(以下単に「フレーム」と記載)に付加されている仮想NW−IDのタグを認識し、同じ仮想NW−IDが割り当てられているポートに対してのみ、このフレームを中継する。 Here, a plurality of terminals (the teacher terminal 108a and the student terminal 108b in FIG. 1) that are wirelessly connected to one WLAN-AP 104 may belong to different VLANs and perform access. Therefore, a trunk port that is not distinguished by VLAN is used as the port of the switch 102 to which the WLAN-AP 104 is connected. A plurality of SSIDs (Service Set Identifiers) can be set in the WLAN-AP 104, and each VLAN is assigned to each SSID. The SSID is identification information for wireless connection to the WLAN-AP 104. Each terminal 108 wirelessly connects to the WLAN-AP 104 with an SSID corresponding to the VLAN with which it communicates. The WLAN-AP 104 authenticates access based on a set of the SSID at the time of wireless connection from the terminal 108 and the virtual NW-ID added to the wireless LAN frame received from the terminal 108. The switch 102 recognizes the tag of the virtual NW-ID added to the Ethernet frame data (hereinafter simply referred to as “frame”) from the terminal 108, and only for the port to which the same virtual NW-ID is assigned. , Relay this frame.
また、スイッチ102のポートには、ルータ103が接続される。ルータ103は、IPパケット等のネットワークデータを2つ以上の異なるネットワーク間で転送する通信装置である。 A router 103 is connected to the port of the switch 102. The router 103 is a communication device that transfers network data such as IP packets between two or more different networks.
ルータ103は、それが接続されるスイッチ102によって形成される物理ネットワーク上に生成されるそれぞれ異なるサブネットアドレスを有する異なる仮想ネットワークであるVLAN間でデータを転送する。 The router 103 transfers data between VLANs which are different virtual networks having different subnet addresses generated on a physical network formed by the switch 102 to which the router 103 is connected.
ルータ103が接続されるスイッチ102のポートとしては、VLANによる区別をしないトランクポートを用いる。また、ルータ103がスイッチ102のトランクポートに接続するときの物理インタフェースは1つでよく、その物理インタフェースには、論理的なインタフェースであるサブインタフェースを設定できる。そして、各サブインタフェースには、各VLANに対応するサブネットアドレスに属する各IPアドレスと、各VLANの仮想NW−IDを割り当てることができる。 As a port of the switch 102 to which the router 103 is connected, a trunk port that is not distinguished by VLAN is used. Further, the router 103 needs to have only one physical interface when connecting to the trunk port of the switch 102, and a sub-interface which is a logical interface can be set as the physical interface. Each sub-interface can be assigned each IP address belonging to a subnet address corresponding to each VLAN and a virtual NW-ID of each VLAN.
スイッチ102は、或るVLANに所属するフレームを受信すると、そのフレームにそのVLANの仮想NW−IDのタグを付加して、トランクポートからルータ103に転送する。ルータ103は、スイッチ102から転送されてきたフレームを、そのフレームに付加されている仮想NW−IDが割り当てられているサブインタフェースで受信する。ルータ103は、受信したフレームに格納されているIPパケットの送信元IPアドレスと宛先IPアドレスを取り出し、それらを内部のルーティングテーブルに設定されている経路情報と比較することにより、出力先のサブインタフェースを決定する。ルータ103は、受信したIPパケットを含み、出力先のサブインタフェースに設定されている仮想NW−IDをタグとして含むフレームを生成する。そして、ルータ103は、そのフレームを、出力先のサブインタフェースが設定されている物理イーサネットインタフェースから、スイッチ102のトランクポートに転送する。スイッチ102は、受信したフレームに付加されている仮想NW−IDのタグを認識し、同じ仮想NW−IDが割り当てられているポートにこのフレームを中継する。このようにして、スイッチ102とルータ103を用いることにより、異なるVLAN間でフレームを中継することができる。 When the switch 102 receives a frame belonging to a certain VLAN, the switch 102 adds a virtual NW-ID tag of the VLAN to the frame and transfers the frame to the router 103 from the trunk port. The router 103 receives the frame transferred from the switch 102 through the subinterface to which the virtual NW-ID added to the frame is assigned. The router 103 extracts the source IP address and the destination IP address of the IP packet stored in the received frame, and compares them with the route information set in the internal routing table, whereby the output destination sub-interface To decide. The router 103 generates a frame including the received IP packet and including the virtual NW-ID set in the output destination sub-interface as a tag. Then, the router 103 transfers the frame from the physical Ethernet interface in which the output destination sub-interface is set to the trunk port of the switch 102. The switch 102 recognizes the tag of the virtual NW-ID added to the received frame, and relays this frame to the port to which the same virtual NW-ID is assigned. In this manner, frames can be relayed between different VLANs by using the switch 102 and the router 103.
また、ルータ103は、それが接続されるスイッチ204を含む物理ネットワークと外部の物理ネットワーク(以下「外部NW」と記載)との間の中継してもよい。ルータ103は、1台である必要はなく、スイッチ102の2つ以上のポートまたは異なるスイッチ102のポートに、2台以上のルータ103が接続されて、2つ以上の外部NWと接続されてもよい。 Further, the router 103 may relay between a physical network including the switch 204 to which the router 103 is connected and an external physical network (hereinafter referred to as “external NW”). The router 103 does not have to be a single unit, and two or more routers 103 may be connected to two or more ports of the switch 102 or ports of different switches 102 to be connected to two or more external NWs. Good.
さらに、スイッチ102のトランクポートには、DHCPサーバ105が接続される。DHCPサーバ105は、スイッチ102に接続される各ネットワーク機器に、IPアドレスを自動的に割り当てる。 Further, a DHCP server 105 is connected to the trunk port of the switch 102. The DHCP server 105 automatically assigns an IP address to each network device connected to the switch 102.
加えて、スイッチ102のポートには、DNS(Domain Name System)サーバ106が接続される。DNSサーバ106は、端末やサーバのドメイン名からそのIPアドレスを解決する。例えば、先生端末108aや生徒端末108bが教材サーバ107aや成績サーバ107bにアクセスするときに、サーバ名をDNSサーバ106に問い合わせる。DNSサーバ106は、そのサーバ名に対応付けられているIPアドレスを検索し、そのIPアドレスを先生端末108aや生徒端末108bに返信する。先生端末108aや生徒端末108bは、返信されたIPアドレスを宛先アドレスに設定したIPパケットを生成し、そのIPパケットをフレームに格納して送信する。 In addition, a DNS (Domain Name System) server 106 is connected to the port of the switch 102. The DNS server 106 resolves the IP address from the domain name of the terminal or server. For example, when the teacher terminal 108a or the student terminal 108b accesses the teaching material server 107a or the grade server 107b, the DNS server 106 is inquired about the server name. The DNS server 106 searches for an IP address associated with the server name, and returns the IP address to the teacher terminal 108a and the student terminal 108b. The teacher terminal 108a and the student terminal 108b generate an IP packet in which the returned IP address is set as a destination address, store the IP packet in a frame, and transmit it.
コントローラ101は、スイッチ102、ルータ103、またはWLAN−AP104などに対して、VLANの設定を行うネットワークコントローラとして動作する。 The controller 101 operates as a network controller for setting a VLAN for the switch 102, the router 103, the WLAN-AP 104, or the like.
図2は、アクセスレベルを制御されながらモバイル端末とサーバが通信を行う図1に例示されるネットワークシステムの利用形態を説明する図である。 FIG. 2 is a diagram for explaining a usage form of the network system illustrated in FIG. 1 in which the mobile terminal and the server communicate with each other while the access level is controlled.
いま例えば、図2(a)に示されるように、図1のWLAN−AP104を介してアクセスする端末108の状態が、「先生が使用」する先生端末108aであって、「成績評価アプリを起動」している状態の場合を考える。この場合は、先生端末108aは、成績サーバ107bにはアクセスできるが(図2の201)、教材サーバ107aにはアクセスできないようにアクセス制御したい(図2の202)。 Now, for example, as shown in FIG. 2 (a), the state of the terminal 108 accessed via the WLAN-AP 104 in FIG. 1 is the teacher terminal 108a "used by the teacher" ”Is considered. In this case, the teacher terminal 108a can access the grade server 107b (201 in FIG. 2), but wants to control access so that the teaching material server 107a cannot be accessed (202 in FIG. 2).
一方、図2(b)に示されるように、「先生が使用」する先生端末108aが、「自習アプリを起動」して採点中は、成績サーバ107b、教材サーバともアクセス可能であるようにアクセス制御したい(図2の203、204)。 On the other hand, as shown in FIG. 2 (b), while the teacher terminal 108a “used by the teacher” is “running the self-study application” and scoring, the grade server 107b and the teaching material server are accessible. I want to control (203, 204 in FIG. 2).
さらに、図2(b)に示されるように、図1のWLAN−AP104を介してアクセスする端末108の状態が、「生徒が使用」する生徒端末108bであって、「自習アプリを起動」している状態を考える。この場合は、生徒端末108bは、成績サーバ107bにはアクセス不可だが(図2の206)、教材サーバにはアクセス可能であるようにアクセス制御したい(図2の205)。 Further, as shown in FIG. 2B, the state of the terminal 108 accessed via the WLAN-AP 104 in FIG. 1 is the student terminal 108 b “used by the student”, and “activates the self-study application”. Think of the state you are in. In this case, the student terminal 108b cannot access the grade server 107b (206 in FIG. 2), but wants to control access so that it can access the learning material server (205 in FIG. 2).
すなわち、状態の異なる端末108が、各々ネットワークに接続し、NWリソースを共有することになる。ここでいうNWリソースとは、例えばサーバ107(教材サーバ107aや成績サーバ107b等)をいう。また、端末108の「状態」とは、ユーザが使用する端末の種別(先生端末108a、生徒端末108b等の別)、ユーザが端末で利用するユーザアプリ(成績評価アプリ、自習アプリ等の別)等の組合せをいい、ユーザの利用状況により変化するものをいう。なお、「状態」は、ユーザが端末を利用する場所やユーザのアクセス権限(例えば肩書きや部署)等を含んでもよい。 That is, the terminals 108 in different states are connected to the network and share NW resources. The NW resource here refers to, for example, the server 107 (the teaching material server 107a, the grade server 107b, etc.). Further, the “state” of the terminal 108 is the type of terminal used by the user (separate from the teacher terminal 108a, student terminal 108b, etc.), and the user application used by the user on the terminal (separate grade evaluation application, self-study application, etc.) This means a combination that changes depending on the usage status of the user. The “state” may include a place where the user uses the terminal, a user access authority (for example, a title or a department), and the like.
以上のような利用形態を実現するために、認証VLANを拡張する構成が考えられる。図3および図4は、上述の利用形態におけるアクセス制御を認証VLANの拡張により実現する構成を説明する図である。 In order to realize the use form as described above, a configuration in which the authentication VLAN is extended is conceivable. FIG. 3 and FIG. 4 are diagrams illustrating a configuration for realizing access control in the above-described usage mode by extending the authentication VLAN.
認証VLANを使った制御では、教材サーバ107aや成績サーバ107bに対するアクセスレベルは、それらのNWリソースがどのVLANに所属し、先生端末108aや生徒端末108bがどのVLANにアクセスできるかによって定まる。 In the control using the authentication VLAN, the access level to the teaching material server 107a and the grade server 107b is determined by which VLAN the NW resource belongs to and which VLAN the teacher terminal 108a and student terminal 108b can access.
図3は、先生端末108aのみが成績評価アプリを起動した状態を示している。先生端末108aで成績評価アプリが起動され、その状態が、WLAN−AP104、スイッチ102、およびルータ103を経由して、コントローラ101に渡される。この結果、コントローラ101が、内部に保持する制御ポリシ(アクセス制御ポリシ)と先生端末108aの状態とに基づいて、先生端末108aにVLANを割り当てる。この時の制御ポリシと仮想ネットワーク(ここではVLAN)の設定は、図3の301および302に例示される如くとなる。すなわちまず、制御ポリシ301として予め、次のようなポリシが規定されている。まず、先生端末108aから成績評価アプリが起動された場合には、NWリソースとして成績サーバ107bへのアクセスを認可し、仮想NW−IDとしては、VLAN20を割り当てる。また、生徒端末108bから自習アプリが起動された場合には、NWリソースとして教材サーバ107aへのアクセスを認可し、仮想NW−IDとしてはVLAN10を割り当てる。 FIG. 3 shows a state where only the teacher terminal 108a has activated the grade evaluation application. The grade evaluation application is activated on the teacher terminal 108 a, and the state is passed to the controller 101 via the WLAN-AP 104, the switch 102, and the router 103. As a result, the controller 101 assigns a VLAN to the teacher terminal 108a based on the control policy (access control policy) held therein and the state of the teacher terminal 108a. The setting of the control policy and the virtual network (here, VLAN) at this time is as exemplified by 301 and 302 in FIG. That is, first, the following policy is defined in advance as the control policy 301. First, when the grade evaluation application is activated from the teacher terminal 108a, access to the grade server 107b is authorized as an NW resource, and VLAN 20 is assigned as a virtual NW-ID. When the self-study application is activated from the student terminal 108b, access to the learning material server 107a is authorized as an NW resource, and VLAN 10 is assigned as a virtual NW-ID.
ここで、「制御ポリシ」は、認証機能によって特定されたユーザが要求するリソースへのアクセスを制御する。具体的には「制御ポリシ」は、ユーザに対する異なるアクセス制限ごとに、「誰が」「何を」「どうする」を「許可」「禁止」で判定する仕組みとして定義される。より具体的には、「制御ポリシ」は、端末の種別(例えば先生端末108a、生徒端末108b等の別)、ユーザアプリ(例えば成績評価アプリ、自習アプリ等の別)などに応じて、どのサーバ107にアクセスさせるかというアクセス制限が規定される。 Here, the “control policy” controls access to the resource requested by the user specified by the authentication function. Specifically, the “control policy” is defined as a mechanism for determining “who”, “what”, and “what” to be “permitted” and “prohibited” for each different access restriction for the user. More specifically, the “control policy” indicates which server depending on the type of terminal (for example, teacher terminal 108a, student terminal 108b, etc.), user application (for example, grade evaluation application, self-study application, etc.), etc. An access restriction on whether or not to access 107 is defined.
この結果、先生端末108aで成績評価アプリが起動された場合には、コントローラ101は、VLANテーブル302を生成し保持する。このVLANテーブル302において例えば、成績サーバ107bには、仮想NW−ID=VLAN20が予め割り当てられている。また、教材サーバ107aには、仮想NW−ID=VLAN10が割り当てられている。なお、コントローラ101とスイッチ102等は例えば仮想NW−ID=VLAN100である専用のVLANによって通信できるように、コントローラ101には、仮想NW−ID=VLAN100が予め割り当てられている。また、成績サーバ107bには、仮想NW−ID=VLAN20に対応するサブネットアドレス「192.168.10.20/24」に属するようにIPアドレスが予め決定され設定されている。一方、教材サーバ107aには、仮想NW−ID=VLAN10に対応するサブネットアドレス「192.168.10.10/24」に属するようにIPアドレスが予め決定され設定されている。さらに、先生端末108aがアクセスした時点で、VLANテーブル302において、先生端末108aに仮想NW−ID=VLAN20が割り当てられる。また、先生端末108aには、仮想NW−ID=VLAN20に対応するサブネットアドレス「192.168.10.20/24」に属するように、IPアドレスが、例えばDHCPサーバ105から割り当てられる。なお、スイッチ102においては予め、コントローラ101が接続されるポートに仮想NW−ID=VLAN100を割り当て、教材サーバ107aと成績サーバ107bが接続される各ポートに仮想NW−ID=VLAN10とVLAN20を割り当てる設定が、固定的になされている。コントローラ101は、先生端末108aに、仮想NW−ID=VLAN20とVLAN20に対応したSSIDを通知する。これにより、先生端末108aは、通知されたSSIDでWLAN−AP104に無線接続し、仮想NW−ID=VLAN20をタグとして含むフレームを送信するようになる。 As a result, when the grade evaluation application is activated on the teacher terminal 108a, the controller 101 generates and holds the VLAN table 302. In this VLAN table 302, for example, a virtual NW-ID = VLAN 20 is assigned in advance to the grade server 107b. Further, virtual NW-ID = VLAN10 is assigned to the learning material server 107a. Note that the controller 101 and the switch 102 are assigned with a virtual NW-ID = VLAN 100 in advance so that the controller 101 and the like can communicate with each other through a dedicated VLAN such as the virtual NW-ID = VLAN 100. In the grade server 107b, an IP address is determined and set in advance so as to belong to the subnet address “192.168.10.20/24” corresponding to the virtual NW-ID = VLAN20. On the other hand, in the learning material server 107a, an IP address is determined and set in advance so as to belong to the subnet address “192.168.10.10/24” corresponding to the virtual NW-ID = VLAN10. Further, when the teacher terminal 108a accesses, the virtual NW-ID = VLAN20 is assigned to the teacher terminal 108a in the VLAN table 302. Further, an IP address is assigned to the teacher terminal 108 a from the DHCP server 105, for example, so as to belong to the subnet address “192.168.10.20/24” corresponding to the virtual NW-ID = VLAN 20. In the switch 102, the virtual NW-ID = VLAN 100 is assigned to the port to which the controller 101 is connected in advance, and the virtual NW-ID = VLAN 10 and VLAN 20 are assigned to each port to which the teaching material server 107a and the grade server 107b are connected. However, it is made fixed. The controller 101 notifies the teacher terminal 108 a of the virtual NW-ID = VLAN 20 and the SSID corresponding to the VLAN 20. As a result, the teacher terminal 108a wirelessly connects to the WLAN-AP 104 using the notified SSID, and transmits a frame including the virtual NW-ID = VLAN 20 as a tag.
スイッチ102は、WLAN−AP104を介してトランクポートでこのフレームを受信すると、そのフレームに付加されている仮想NW−ID=VLAN20を認識する。そして、スイッチ102は、受信したフレームを、仮想NW−ID=VLAN20が設定され成績サーバ107bが接続されているポートに中継する。このようにして、先生端末108aは、仮想NW−ID=VLAN20のVLANを使って、成績サーバ107bにアクセスすることができる。 When the switch 102 receives this frame at the trunk port via the WLAN-AP 104, the switch 102 recognizes the virtual NW-ID = VLAN 20 added to the frame. Then, the switch 102 relays the received frame to a port to which the virtual NW-ID = VLAN 20 is set and the results server 107b is connected. In this way, the teacher terminal 108a can access the grade server 107b using the VLAN of virtual NW-ID = VLAN20.
次に、図4は、図3の状態からさらに、生徒端末108bが自習アプリを起動した状態を示している。生徒端末108bで自習アプリが起動され、その状態が、WLAN−AP104およびスイッチ102を経由して、コントローラ101に渡される。この結果、コントローラ101が、内部に保持する制御ポリシと生徒端末108bの状態とに基づいて、生徒端末108bにVLANを割り当てる。この時の制御ポリシとVLANの設定は、図4の401および402に例示される如くとなる。すなわち、図3の制御ポリシ301と同様に、制御ポリシ401において、生徒端末108bから自習アプリが起動された場合には、NWリソースとして教材サーバ107aへのアクセスを認可し、仮想NW−IDとしては、VLAN10を割り当てる。この結果、先生端末108aで成績評価アプリが実行されている状態でさらに、生徒端末108bで自習アプリが起動された場合には、コントローラ101は、図4のVLANテーブル402を生成し保持する。このVLANテーブル402において例えば、図3のVLANテーブル302と同様に、成績サーバ107bには、仮想NW−ID=VLAN20が予め割り当てられている。一方、教材サーバ107aには、仮想NW−ID=VLAN10が予め割り当てられている。コントローラ101には、仮想NW−ID=VLAN100が予め割り当てられている。また、前述したように、教材サーバ107aには、仮想NW−ID=VLAN10に対応するサブネットアドレス「192.168.10.10/24」に属するようにIPアドレスが予め決定され設定されている。さらに、生徒端末108bがアクセスした時点で、VLANテーブル402において、生徒端末108bに仮想NW−ID=VLAN10が割り当てられる。また、生徒端末108bには、仮想NW−ID=VLAN10に対応するサブネットアドレス「192.168.10.10/24」に属するように、IPアドレスが、例えばDHCPサーバ105から割り当てられる。コントローラ101は、生徒端末108bに、仮想NW−ID=VLAN10とVLAN10に対応したSSIDを通知する。これにより、生徒端末108bは、通知されたSSIDでWLAN−AP104に無線接続し、仮想NW−ID=VLAN10をタグとして含むフレームを送信するようになる。スイッチ102は、WLAN−AP104を介してトランクポートでこのフレームを受信すると、そのフレームに付加されている仮想NW−ID=VLAN10を認識する。そして、スイッチ102は、受信したフレームを、仮想NW−ID=VLAN10が設定され教材サーバ107aが接続されているポートに中継する。このようにして、生徒端末108bは、仮想NW−ID=VLAN10のVLANを使って、教材サーバ107aにアクセスすることができる。 Next, FIG. 4 shows a state where the student terminal 108b has activated the self-study application from the state of FIG. The self-study application is activated on the student terminal 108 b, and the state is passed to the controller 101 via the WLAN-AP 104 and the switch 102. As a result, the controller 101 assigns a VLAN to the student terminal 108b based on the control policy held inside and the state of the student terminal 108b. The control policy and VLAN settings at this time are as exemplified in 401 and 402 in FIG. That is, as in the control policy 301 of FIG. 3, when the self-study application is activated from the student terminal 108b in the control policy 401, access to the learning material server 107a is authorized as an NW resource, and the virtual NW-ID is , VLAN10 is allocated. As a result, when the self-study application is started on the student terminal 108b while the grade evaluation application is being executed on the teacher terminal 108a, the controller 101 generates and holds the VLAN table 402 of FIG. In this VLAN table 402, for example, similarly to the VLAN table 302 of FIG. 3, the virtual server NW-ID = VLAN 20 is assigned in advance to the grade server 107b. On the other hand, virtual NW-ID = VLAN10 is assigned in advance to the learning material server 107a. A virtual NW-ID = VLAN 100 is assigned to the controller 101 in advance. Further, as described above, in the learning material server 107a, an IP address is determined and set in advance so as to belong to the subnet address “192.168.10.10/24” corresponding to the virtual NW-ID = VLAN10. Furthermore, when the student terminal 108b accesses, the virtual NW-ID = VLAN10 is assigned to the student terminal 108b in the VLAN table 402. In addition, an IP address is assigned to the student terminal 108b from the DHCP server 105, for example, so as to belong to the subnet address “192.168.10.10/24” corresponding to the virtual NW-ID = VLAN10. The controller 101 notifies the student terminal 108b of the virtual NW-ID = VLAN10 and the SSID corresponding to the VLAN10. As a result, the student terminal 108b wirelessly connects to the WLAN-AP 104 using the notified SSID, and transmits a frame including the virtual NW-ID = VLAN 10 as a tag. When the switch 102 receives this frame at the trunk port via the WLAN-AP 104, the switch 102 recognizes the virtual NW-ID = VLAN 10 added to the frame. Then, the switch 102 relays the received frame to a port where the virtual NW-ID = VLAN 10 is set and the learning material server 107a is connected. In this way, the student terminal 108b can access the learning material server 107a using the VLAN of virtual NW-ID = VLAN10.
ここで、図4に示されるように、生徒端末108bが自習アプリを実行している状態で、先生端末108aが成績評価アプリから例えば採点のために自習アプリにアプリを切り替えた場合を考える。この場合には、図2(b)で説明したように、先生端末108aが自習アプリを起動して採点中は、先生端末108aは成績サーバ107bと教材サーバの両方にアクセス可能であるようにアクセス制御したい(図2の203、204)。なおかつ、生徒端末108bが自習アプリを起動している間は、生徒端末108bは教材サーバ107aのみにアクセス可能であるようにアクセス制御したい(図2の205、206)。ここで、図4の402に示されるように、成績サーバ107bと先生端末108aは仮想NW−ID=VLAN20を使って通信しており、教材サーバ107aと生徒端末108bは仮想NW−ID=VLAN10を使って通信している。従って、このままでは、先生端末108aが自習アプリを起動しても、VLAN10に属する教材サーバ107aにアクセスすることができない。教材サーバ107aの仮想NW−IDをVLAN10からVLAN20に変更してしまうと、仮想NW−ID=VLAN10でアクセスしている生徒端末108bが教材サーバ107aにアクセスできなくなってしまう。 Here, as shown in FIG. 4, a case is considered where the teacher terminal 108a switches the app from the grade evaluation app to the self-study app for scoring, for example, while the student terminal 108b is executing the self-study app. In this case, as explained in FIG. 2B, while the teacher terminal 108a starts the self-study application and is scoring, the teacher terminal 108a is accessed so that both the grade server 107b and the learning material server can be accessed. I want to control (203, 204 in FIG. 2). In addition, while the student terminal 108b activates the self-study application, it is desired to control access so that the student terminal 108b can access only the learning material server 107a (205 and 206 in FIG. 2). Here, as indicated by 402 in FIG. 4, the grade server 107b and the teacher terminal 108a communicate with each other using the virtual NW-ID = VLAN 20, and the learning server 107a and the student terminal 108b use the virtual NW-ID = VLAN 10. We are using and communicating. Therefore, even if the teacher terminal 108a activates the self-study application, the teaching material server 107a belonging to the VLAN 10 cannot be accessed. If the virtual NW-ID of the learning material server 107a is changed from VLAN 10 to VLAN 20, the student terminal 108b accessing with the virtual NW-ID = VLAN 10 cannot access the learning material server 107a.
通常の認証VLANであれば、VLANを決定する「状態」は、ユーザの所属などに相当し、ユーザや端末ごとに固定的に決まっており、所属ごとにNWリソースが固定的に割り当てられている。また、スイッチ102における各NWリソースが接続される各ポートにも、予め設定されたVLANが固定的に割り当てられている。しかし、図2のような利用形態を想定すると、ユーザの状態がユーザ端末108の種別と実行されるユーザアプリに応じて変化するため、ユーザ端末に割り当てられるVLANもそれに応じて変わることになる。例えば、ユーザが使用する端末108の種別(ここでは先生端末108aや生徒端末108bの別)や、ユーザが端末を利用する場所や、ユーザが端末108で利用するユーザアプリなどによっても、状態が変化し得る。すなわち、同一のユーザであっても、使用する場所やユーザアプリが異なれば、共有できるNWリソースも異なることになり、異なるVLANにアクセスする必要が生じる。 In the case of a normal authentication VLAN, the “state” for determining the VLAN corresponds to the user's affiliation, etc., and is fixed for each user or terminal, and an NW resource is fixedly assigned for each affiliation. . A preset VLAN is also fixedly assigned to each port to which each NW resource in the switch 102 is connected. However, assuming the usage pattern as shown in FIG. 2, the user status changes according to the type of the user terminal 108 and the user application to be executed, and therefore the VLAN assigned to the user terminal also changes accordingly. For example, the state changes depending on the type of the terminal 108 used by the user (here, the teacher terminal 108a or the student terminal 108b), the location where the user uses the terminal, the user application used by the user on the terminal 108, and the like. Can do. That is, even if the user is the same, if the location or user application to be used is different, the shareable NW resources will be different, and it will be necessary to access different VLANs.
従って、図3、図4で説明したような、認証VLANの一般的な拡張構成では、図2の利用形態を実現することができない。 Therefore, with the general extended configuration of the authentication VLAN as described with reference to FIGS. 3 and 4, the usage mode of FIG. 2 cannot be realized.
図4において、教材サーバ107aが属するVLANとして、仮想NW−ID=VLAN10と仮想ネットワーク=LAN20の各VLANを重複して割り当てることができれば、この課題は解決できる。しかし、複数の制御ポリシから共有されるNWリソース(ここでは教材サーバ107a)にVLANを重複設定することは、一部の機器を除いて一般的でなく、既存の機器では改造が必要となってしまう。さらに、スイッチ102のポートには、仮想NW−IDは一般に1つしか設定できない。 In FIG. 4, if each VLAN of virtual NW-ID = VLAN 10 and virtual network = LAN 20 can be allocated as the VLAN to which the teaching material server 107a belongs, this problem can be solved. However, it is not common except for some devices to set a VLAN redundantly on NW resources (here, the teaching material server 107a) shared by a plurality of control policies, and existing devices require modification. End up. Furthermore, generally only one virtual NW-ID can be set for the port of the switch 102.
上述のような、共有するNWリソースが複数のVLANにまたがる場合に、そのNWリソースが所属するVLANとは異なるVLANに属する端末108からそのNWリソースにアクセスすることを可能にする構成として、次のようなものが考えられる。この構成では、VLANごとに異なるサブネットアドレスが割り当てられ、上記アクセスを可能にするための、OSI参照モデルのレイヤ3(L3)のネットワーク層の経路情報(転送設定)が、図1のルータ103のルーティングテーブルに適切に設定される。 As described above, when a shared NW resource spans a plurality of VLANs, the following configuration can be used to access the NW resource from a terminal 108 belonging to a VLAN different from the VLAN to which the NW resource belongs. Something like this is possible. In this configuration, a different subnet address is assigned to each VLAN, and the routing information (forwarding setting) of the network layer of the layer 3 (L3) of the OSI reference model for enabling the access is the router 103 in FIG. Set appropriately in the routing table.
図5は、NWリソースが所属するVLANとは異なるVLANに属する端末108からそのNWリソースにアクセスすることを可能にする構成の説明図である。図5で、成績サーバ107bと先生端末108aには仮想NW−ID=VLAN20が割り当てられ、成績サーバ107bと先生端末108aの各IPアドレスはそれぞれ192.168.10.10と192.168.10.20であるとする。これにより、先生端末108aは、VLAN20を使って、成績サーバ107bにアクセスできる。また、教材サーバ107aと生徒端末108bには仮想NW−ID=VLAN10が割り当てられ、教材サーバ107aと生徒端末108bの各IPアドレスはそれぞれ1923.168.20.10と192.168.20.20であるとする。生徒端末108bは、VLAN10を使って、教材サーバ107aにアクセスできる。ここで、先生端末108aが、自習アプリを起動した場合に、先生端末108aが所属する仮想NW−ID=VLAN20のVLANから仮想NW−ID=VLAN10のVLANに所属する教材サーバ107aにもアクセスしたいとする。 FIG. 5 is an explanatory diagram of a configuration that makes it possible to access the NW resource from a terminal 108 belonging to a VLAN different from the VLAN to which the NW resource belongs. In FIG. 5, a virtual NW-ID = VLAN 20 is assigned to the grade server 107b and the teacher terminal 108a, and the IP addresses of the grade server 107b and the teacher terminal 108a are 192.168.10.10 and 192.168.10. Suppose that it is 20. Thus, the teacher terminal 108a can access the grade server 107b using the VLAN 20. Further, a virtual NW-ID = VLAN10 is assigned to the learning material server 107a and the student terminal 108b, and the IP addresses of the learning material server 107a and the student terminal 108b are 192.1688.20.10 and 192.168.20.20, respectively. Suppose there is. The student terminal 108b can access the learning material server 107a using the VLAN 10. Here, when the teacher terminal 108a starts the self-study application, the teacher terminal 108a wants to access the teaching material server 107a belonging to the VLAN of the virtual NW-ID = VLAN 10 from the VLAN of the virtual NW-ID = VLAN 20 to which the teacher terminal 108a belongs. To do.
この場合、ルータ103のルーティングテーブルに、経路情報501が設定される。この経路情報501は、次のような意味を持つ。 In this case, route information 501 is set in the routing table of the router 103. This route information 501 has the following meaning.
まず、「宛先IPアドレス」=192.168.10.10、「ネットマスク」=255.255.255.255は、ルータ103で受信された経路制御されるべきIPパケットの宛先アドレスを示している。 First, “destination IP address” = 192.168.10.10 and “netmask” = 255.255.255.255 indicate the destination address of the IP packet received by the router 103 and to be routed. .
「ゲートウェイ」=192.168.10.1は、ルータ103で受信された上記宛先アドレスを有するIPパケットが次に転送されるべきルータのIPアドレスを示している。前述したように、ルータ103は、サブインタフェースごとにそれぞれIPアドレスが設定できる。この場合には、それぞれのサブインタフェースごとにルータが存在するという考え方になる。従って、ルータ103で受信された上記宛先アドレスを有するIPパケットが次に転送されるべきルータは、IPアドレス=192.168.10.1を有する同じルータ103であるということになる。 “Gateway” = 192.168.10.1 indicates the IP address of the router to which the IP packet having the destination address received by the router 103 is to be transferred next. As described above, the router 103 can set an IP address for each subinterface. In this case, the idea is that a router exists for each subinterface. Therefore, the router to which the IP packet having the destination address received by the router 103 is to be transferred next is the same router 103 having IP address = 192.168.10.1.
「インタフェース」=192.168.10.1は、受信された上記宛先アドレスを有するIPパケットが宛先ネットワークに出力されるべきルータ103のサブインタフェースのIPアドレスを示している。 “Interface” = 192.168.10.1 indicates the IP address of the subinterface of the router 103 to which the received IP packet having the destination address is to be output to the destination network.
「メトリック」は、ルータ103で受信された上記IPパケットが上記宛先アドレスに到達するまでに経由するルータの数を示している。「メトリック」に指定されている値が小さいほど、ルータ103から宛先アドレスまでの経路が近いことを示している。ルータ103のルーティングテーブルが、他のルータ103等から通知される経路情報によって自動的に更新される場合、ルータ103には、同じ宛先アドレスを有する複数の経路情報が登録される可能性がある。この場合、ルータ103は、受信したIPアドレスを、それに設定された宛先アドレスに対応する「宛先IPアドレス」項目および「ネットマスク」項目を有する経路情報のうち、「メトリック」項目に設定された値が最も小さい経路情報を選択する。これにより、ルータ103において、効率的な経路制御が実現される。 “Metric” indicates the number of routers through which the IP packet received by the router 103 reaches the destination address. The smaller the value specified in “metric”, the closer the route from the router 103 to the destination address is. When the routing table of the router 103 is automatically updated with route information notified from another router 103 or the like, a plurality of route information having the same destination address may be registered in the router 103. In this case, the router 103 sets the received IP address to the value set in the “metric” item among the route information having the “destination IP address” item and the “netmask” item corresponding to the destination address set in the received IP address. The route information with the smallest is selected. Thereby, efficient route control is realized in the router 103.
以上の内容を有する経路情報501によって、次のような経路制御が実現される。まず、先生端末108aから教材サーバ107aを宛先とするIPパケットを含み仮想NW−ID=VLAN20のタグが設定されたフレームは、前述したようにして、図1のWLAN−AP104からスイッチ102を経由してルータ103に転送される。ルータ103は、そのフレームを、IPアドレス=192.168.20.1が設定され仮想NW−ID=VLAN20が設定されたサブインタフェースで受信する。ルータ103は、そのフレームからIPパケットを取り出す。さらに、ルータ103は、そのIPパケットから、宛先IPアドレス=192.168.10.10と、送信元IPアドレス=192.168.20.20を取り出し、内部のルーティングテーブルの各経路情報と比較する。この結果、ルータ103は、経路情報501に従って、上記IPパケットを、IPアドレス=196.168.10.1が設定されたサブインタフェースに出力する。ルータ103は、このサブインタフェースに設定されている仮想NW−ID=VLAN10がタグとして付加されたフレームに上記IPパケットを格納する。そして、ルータ103は、そのフレームを、上記サブインタフェースが設定されている物理イーサネットインタフェースから、図1のスイッチ102のトランクポートに向けて送信する。スイッチ102は、受信したフレームに付加されている仮想NW−ID=VLAN10のタグを認識する。そして、スイッチ102は、受信したフレームを、仮想NW−ID=VLAN10が設定され教材サーバ107aが接続されているポートに中継する。このようにして、先生端末108aは、ルータ103によるルーティング機能を用いて、教材サーバ107aにアクセスすることが可能となる。 The following route control is realized by the route information 501 having the above contents. First, a frame including an IP packet destined for the teaching material server 107a from the teacher terminal 108a and set with a tag of virtual NW-ID = VLAN20 passes through the switch 102 from the WLAN-AP 104 of FIG. To the router 103. The router 103 receives the frame through the sub-interface in which the IP address = 192.168.20.1 is set and the virtual NW-ID = VLAN 20 is set. The router 103 extracts an IP packet from the frame. Further, the router 103 extracts the destination IP address = 192.168.10.10 and the source IP address = 192.168.20.20 from the IP packet, and compares them with each path information in the internal routing table. . As a result, the router 103 outputs the IP packet to the sub-interface in which IP address = 196.1688.10.1 is set according to the route information 501. The router 103 stores the IP packet in a frame to which the virtual NW-ID = VLAN 10 set in this subinterface is added as a tag. Then, the router 103 transmits the frame from the physical Ethernet interface in which the subinterface is set to the trunk port of the switch 102 in FIG. The switch 102 recognizes the tag of virtual NW-ID = VLAN 10 added to the received frame. Then, the switch 102 relays the received frame to a port where the virtual NW-ID = VLAN 10 is set and the learning material server 107a is connected. In this way, the teacher terminal 108a can access the learning material server 107a using the routing function of the router 103.
本実施形態は、予め決められた複数の制御ポリシから端末108の状態に対応する制御ポリシが特定される。そして、その特定された制御ポリシに基づいて決定される端末108からのアクセスを認可されえたNWリソース(例えばサーバ107)と端末108に対して、動的にVLAN(仮想ネットワーク)を設定するためのネットワーク設定値が管理される。ただし、VLANの設定の結果、共有するNWリソースが複数のVLANにまたがる場合には、端末108が所属するVLANから宛先のNWリソースが所属するVLANへのアクセスを可能にする経路情報が、ルータ103に可変的に割り当てられる。 In the present embodiment, a control policy corresponding to the state of the terminal 108 is specified from a plurality of predetermined control policies. Then, a VLAN (virtual network) is dynamically set for the NW resource (for example, the server 107) and the terminal 108 that are authorized to access from the terminal 108 determined based on the specified control policy. Network settings are managed. However, when the shared NW resource spans a plurality of VLANs as a result of the VLAN setting, the route information that enables access from the VLAN to which the terminal 108 belongs to the VLAN to which the destination NW resource belongs to the router 103. Is variably assigned to
図6は、本実施形態による図1のコントローラ101の構成例を示す図である。コントローラ101は、端末状態受信部601、ネットワークリソース管理部602(以下「NWリソース管理部602」と記載)、ネットワーク設定管理部603(以下「NW設定管理部603」と記載)、ネットワーク機器設定要求送信部604(以下、「NW機器設定要求送信部604」と記載)、および記憶部605を備える。記憶部605は、制御ポリシテーブル606、NWリソース管理テーブル607、NW設定管理テーブル608(NW設定管理テーブル(最新)608a、NW設定管理テーブル(前回)608b)、仮想NW−ID管理テーブル609、およびサブネット管理テーブル610を備える。 FIG. 6 is a diagram illustrating a configuration example of the controller 101 of FIG. 1 according to the present embodiment. The controller 101 includes a terminal state receiving unit 601, a network resource management unit 602 (hereinafter referred to as “NW resource management unit 602”), a network setting management unit 603 (hereinafter referred to as “NW setting management unit 603”), a network device setting request. A transmission unit 604 (hereinafter referred to as “NW device setting request transmission unit 604”) and a storage unit 605 are provided. The storage unit 605 includes a control policy table 606, an NW resource management table 607, an NW setting management table 608 (NW setting management table (latest) 608a, NW setting management table (previous) 608b), a virtual NW-ID management table 609, and A subnet management table 610 is provided.
端末状態受信部601は、特には図示しない物理イーサネットインタフェースを介して、図1の先生端末108aや生徒端末108b(以下両者を総称して「端末108」とも記載する)から、当該端末108の状態を受信する。ここで、端末108は、ユーザアプリ(成績評価アプリや自習アプリ等)にログオンした状態を暗号化したチケット情報として保持し、これ以後、端末108は、このチケット情報を付加してデータを送信する。この結果、端末108は、そのチケット情報により、アクセス先に端末108自身の状態を通知することができる。端末状態受信部601は、端末108から上記チケット情報を受信することにより、当該端末108の状態を把握する。 The terminal status receiving unit 601 receives the status of the terminal 108 from the teacher terminal 108a and the student terminal 108b (hereinafter collectively referred to as “terminal 108”) in FIG. Receive. Here, the terminal 108 holds the logged-on state of the user application (such as a grade evaluation application or a self-study application) as encrypted ticket information, and thereafter, the terminal 108 adds the ticket information and transmits data. . As a result, the terminal 108 can notify the access destination of the state of the terminal 108 by using the ticket information. The terminal state receiving unit 601 receives the ticket information from the terminal 108 to grasp the state of the terminal 108.
NWリソース管理部602は、端末状態受信部601が受信した端末108の状態に従って、NW機器、例えばNWリソースおよび端末108のグルーピングを管理するグルーピング管理部として動作する。このとき、NWリソース管理部602は、記憶部605に記憶された制御ポリシテーブル606に登録されている制御ポリシに基づいて、上記グループの管理を行う。このグループの管理の結果は、記憶部605内のネットワークリソース管理テーブル607(以下「NWリソース管理テーブル607」と記載)に記憶される。ここで、「グループ」とは、同じ制御ポリシに従う相互に通信可能なNW機器、例えば認可されたNWリソースと、端末108の集合をいう。グループの例については、図7(b)のNWリソース管理テーブル607の構成例の説明において後述する。 The NW resource management unit 602 operates as a grouping management unit that manages NW devices, for example, NW resources and grouping of the terminals 108, according to the status of the terminal 108 received by the terminal status receiving unit 601. At this time, the NW resource management unit 602 manages the group based on the control policy registered in the control policy table 606 stored in the storage unit 605. The management result of this group is stored in a network resource management table 607 (hereinafter referred to as “NW resource management table 607”) in the storage unit 605. Here, the “group” refers to a set of NW devices that can communicate with each other according to the same control policy, for example, authorized NW resources, and the terminal 108. An example of the group will be described later in the description of the configuration example of the NW resource management table 607 in FIG.
NW設定管理部603」と記載は、上記グループごとに、VLAN(仮想ネットワーク)を割り当て、アクセス制御を行うためのネットワーク設定値を決定する。決定されたネットワーク設定値は、記憶部605内のネットワーク設定管理テーブル608(以下「NW設定管理テーブル608」と記載)に記憶される。なお、NW設定管理テーブル608として、ネットワーク設定値の最新更新時の内容を記憶するNW設定管理テーブル(最新)608aと、ネットワーク設定値の前回更新時の内容を記憶するNW設定管理テーブル(前回)608bを備える。NW設定管理部603は、NW設定管理テーブル(最新)608aをNW設定管理テーブル(前回)608bにコピーした後に、新たに更新されたネットワーク設定値の内容をNW設定管理テーブル(最新)608aに上書きする。また、NW設定管理部603は、ネットワーク設定値の決定時に、記憶部605内の仮想NW−ID管理テーブル609とサブネット管理テーブル610を参照する。これらについては、後述する。 The description “NW setting management unit 603” assigns a VLAN (virtual network) to each group and determines a network setting value for performing access control. The determined network setting value is stored in a network setting management table 608 in the storage unit 605 (hereinafter referred to as “NW setting management table 608”). Note that, as the NW setting management table 608, an NW setting management table (latest) 608a that stores the contents at the time of the latest update of the network setting values, and an NW setting management table (previous) of the contents at the time of the last update of the network setting values. 608b. After copying the NW setting management table (latest) 608a to the NW setting management table (previous) 608b, the NW setting management unit 603 overwrites the contents of the newly updated network setting values on the NW setting management table (latest) 608a. To do. The NW setting management unit 603 refers to the virtual NW-ID management table 609 and the subnet management table 610 in the storage unit 605 when determining the network setting value. These will be described later.
NW機器設定要求送信部604は、NW設定管理テーブル(前回)608bとNW設定管理テーブル(最新)608aの間のネットワーク設定値の内容の差分を検出する。そして、NW機器設定要求送信部604は、その差分に基づくネットワーク設定値を、図1のスイッチ102、ルータ103、WLAN−AP104等のネットワーク機器(以下「NW機器」と記載)に対し、上記差分のネットワーク設定値の設定要求を送信する。このように、NW機器設定要求送信部604は、NW設定管理テーブル608に設定されたネットワーク設定値をNW機器に対して設定指示するネットワーク設定指示部として動作する。 The NW device setting request transmission unit 604 detects the difference in the contents of the network setting values between the NW setting management table (previous) 608b and the NW setting management table (latest) 608a. Then, the NW device setting request transmission unit 604 transmits the network setting value based on the difference to the network device (hereinafter referred to as “NW device”) such as the switch 102, the router 103, and the WLAN-AP 104 in FIG. Sends a request for setting the network setting value. In this way, the NW device setting request transmission unit 604 operates as a network setting instruction unit that instructs the NW device to set the network setting value set in the NW setting management table 608.
以上の構成により、コントローラ101において、まず、端末状態受信部601が、例えば端末108の種別とそこで実行されるユーザアプリとで決まる端末108の状態を受信する。次に、NWリソース管理部602が、端末108の上記状態の変化に対して、制御ポリシテーブル606から制御ポリシを特定する。さらに、NWリソース管理部602は、その制御ポリシに基づいて決定される端末108からのアクセスが認可されるネットワークリソース(認可リソース)を抽出し、その認可リソースと端末108のグループをNWリソース管理テーブル607に登録する。続いて、NW設定管理部603が、NWリソース管理テーブル607に登録されたグループに対して、その都度VLANを動的に生成し、その設定のためのネットワーク設定値を生成して、NW設定管理テーブル(最新)608aに登録する。このとき、NW設定管理部603は、仮想NW−ID管理テーブル609とサブネット管理テーブル610を参照して、新たなVLANのための仮想NW−IDとサブネットアドレスを決定する。そして、NW機器設定要求送信部604が、NW設定管理部603上で新たに登録または更新されたネットワーク設定値を、各NW機器に対して送信し、設定させる。 With the above configuration, in the controller 101, first, the terminal state receiving unit 601 receives the state of the terminal 108 determined by, for example, the type of the terminal 108 and the user application executed there. Next, the NW resource management unit 602 identifies a control policy from the control policy table 606 with respect to the change in the state of the terminal 108. Further, the NW resource management unit 602 extracts a network resource (authorization resource) that is authorized for access from the terminal 108 determined based on the control policy, and sets the group of the authorized resource and the terminal 108 in the NW resource management table. 607 is registered. Subsequently, the NW setting management unit 603 dynamically generates a VLAN for each group registered in the NW resource management table 607, generates a network setting value for the setting, and performs NW setting management. Register in the table (latest) 608a. At this time, the NW setting management unit 603 refers to the virtual NW-ID management table 609 and the subnet management table 610 to determine the virtual NW-ID and subnet address for the new VLAN. Then, the NW device setting request transmission unit 604 transmits and sets the network setting value newly registered or updated on the NW setting management unit 603 to each NW device.
このようにして、図6のコントローラ101の構成により、端末108の種別とそこで実行されるユーザアプリとで決まる端末108の状態変化に対して、制御ポリシに基づいて決定される認可リソースが抽出される。そして、その認可リソースと端末108のグループに対して、その都度VLAN(仮想ネットワーク)が動的に生成、設定される。これにより、端末108からサーバ107へのアクセス制限の動的で適切な変更が可能となって、セキュリティが確保される。 In this manner, the configuration of the controller 101 in FIG. 6 extracts the authorization resource determined based on the control policy with respect to the state change of the terminal 108 determined by the type of the terminal 108 and the user application executed there. The A VLAN (virtual network) is dynamically generated and set for each group of the authorized resource and the terminal 108 each time. As a result, the access restriction from the terminal 108 to the server 107 can be changed dynamically and appropriately, and security is ensured.
図7は、図6のコントローラ101内の記憶部605に記憶される制御ポリシテーブル606、NWリソース管理テーブル607、およびNW設定管理テーブル608の各データ構成例を示す図である。 FIG. 7 is a diagram showing a data configuration example of the control policy table 606, the NW resource management table 607, and the NW setting management table 608 stored in the storage unit 605 in the controller 101 of FIG.
まず、図7(a)は、制御ポリシテーブル606のデータ構成例を示す図である。制御ポリシテーブル606は、ネットワークを利用するクライアント(ユーザ)の「状態」とそれに対して認可するNWリソースとの組合せのエントリを登録したものである。 First, FIG. 7A is a diagram illustrating a data configuration example of the control policy table 606. The control policy table 606 is a table in which an entry of a combination of a “state” of a client (user) using a network and an NW resource authorized for the registered state is registered.
制御ポリシテーブル606において、「CID」項目には、コントローラ101により、そのエントリの制御ポリシを識別するための状態識別子(Condition Identifire)CIDが登録される。 In the control policy table 606, in the “CID” item, the controller 101 registers a state identifier (Condition Identifier) CID for identifying the control policy of the entry.
「状態」項目には、各端末108がどの種別のユーザ(例えば先生、生徒の別)がどのユーザアプリ(例えば成績評価アプリ、自習アプリの別)を利用するかが登録される。 In the “status” item, which type of user (for example, a teacher or a student) each terminal 108 uses which user application (for example, a grade evaluation application or a self-study application) is registered is registered.
「認可」項目には、そのエントリの制御ポリシによって認可されるNWリソース(サーバ)の名前(例えばホスト名)が登録される。「認可」項目には、1つ以上のNWリソースの名前を登録できる。 In the “authorization” item, the name (for example, host name) of the NW resource (server) authorized by the control policy of the entry is registered. In the “authorization” item, names of one or more NW resources can be registered.
図7(a)の例では、CID=1のエントリには、先生端末108aが成績評価アプリを起動したときに、成績サーバ107bへのアクセスが認可されることが規定される。また、CID=2のエントリには、先生端末108aが自習アプリを起動したときに、成績サーバ107bと教材サーバ107aへのアクセスが認可されることが規定される。さらに、CID=3のエントリには、生徒端末108bが自習アプリを起動したときに、教材サーバ107aへのアクセスが認可されることが規定される。 In the example of FIG. 7A, the entry with CID = 1 defines that access to the grade server 107b is authorized when the teacher terminal 108a activates the grade evaluation application. The entry with CID = 2 specifies that access to the grade server 107b and the learning material server 107a is authorized when the teacher terminal 108a activates the self-study application. Further, the entry with CID = 3 specifies that access to the learning material server 107a is authorized when the student terminal 108b activates the self-study application.
この制御ポリシテーブル606の内容は例えば、特には図示しない特定の管理者端末上で実行される制御ポリシ設定用のアプリケーションソフトウェアを介して、管理者によって設定される。 The contents of the control policy table 606 are set by the administrator via, for example, control policy setting application software executed on a specific administrator terminal (not shown).
図7(b)は、図6のコントローラ101内の記憶部605に記憶されるNWリソース管理テーブル607のデータ構成例を示す図である。いずれかの端末108から「状態」が通知されたときに、図6のNWリソース管理部602が、制御ポリシテーブル606に登録されている制御ポリシに基づいて、その「状態」を通知した端末を含むグループを新たに生成、更新、または削除する。NWリソース管理部602は、その管理結果に基づいて、新たに生成されたグループに対応するエントリをNWリソース管理テーブル607に生成する。または、NWリソース管理部602は、上記管理結果に基づいて、更新または削除されたグループに対応するNWリソース管理テーブル607上のエントリを更新または削除する。 FIG. 7B is a diagram showing a data configuration example of the NW resource management table 607 stored in the storage unit 605 in the controller 101 of FIG. When the “state” is notified from any of the terminals 108, the NW resource management unit 602 in FIG. 6 determines the terminal that has notified the “state” based on the control policy registered in the control policy table 606. Create, update, or delete a new group that contains it. The NW resource management unit 602 generates an entry corresponding to the newly generated group in the NW resource management table 607 based on the management result. Alternatively, the NW resource management unit 602 updates or deletes the entry on the NW resource management table 607 corresponding to the updated or deleted group based on the management result.
NWリソース管理テーブル607において、「GID」項目には、NWリソース管理部602が生成したグループを識別するための識別データであるグループ識別子GIDが登録される。グループ識別子GIDは、NWリソース管理部602によって生成され付与される。 In the NW resource management table 607, a group identifier GID, which is identification data for identifying the group generated by the NW resource management unit 602, is registered in the “GID” item. The group identifier GID is generated and assigned by the NW resource management unit 602.
「CID」項目には、このエントリに対応するグループを生成するために参照された制御ポリシテーブル606中の制御ポリシのエントリの「CID」項目に登録されている状態識別子CIDが登録される。この「CID」項目により、NWリソース管理テーブル607のエントリと制御ポリシテーブル606のエントリが紐付けられる。 In the “CID” item, the state identifier CID registered in the “CID” item of the control policy entry in the control policy table 606 referred to for generating a group corresponding to this entry is registered. By this “CID” item, the entry of the NW resource management table 607 and the entry of the control policy table 606 are linked.
「接続端末」項目には、このエントリに対応するグループにおいて接続可能な端末108の具体的な識別情報が登録される。識別情報としては例えば、「状態」を通知してきた端末108のMACアドレスを採用できる。 In the “connected terminal” item, specific identification information of the terminal 108 that can be connected in the group corresponding to this entry is registered. As the identification information, for example, the MAC address of the terminal 108 that has notified the “state” can be adopted.
「認可リソース」項目には、このエントリに対応するグループにおいて認可されるNW機器であるNWリソース、例えばサーバ107の名前が登録される。この項目には、このエントリに対応するグループを生成するために参照された制御ポリシテーブル606中の制御ポリシのエントリの「認可」項目に登録されているNWリソースの名前が登録される。「認可リソース」項目には、制御ポリシテーブル606のエントリの「認可」項目に登録されている1つ以上のNWリソースの名前を登録できる。 In the “authorization resource” item, an NW resource that is an NW device authorized in the group corresponding to this entry, for example, the name of the server 107 is registered. In this item, the name of the NW resource registered in the “authorization” item of the control policy entry in the control policy table 606 referred to for generating a group corresponding to this entry is registered. In the “authorization resource” item, the names of one or more NW resources registered in the “authorization” item of the entry of the control policy table 606 can be registered.
図7(b)のNWリソース管理テーブル607の例では、GID=1のエントリには、制御ポリシテーブル606のCID=3の制御ポリシに従ったグループが登録されている。すなわち、状態識別子CID=3で、そのグループで接続可能な端末108は生徒端末108bで、そのグループでアクセス可能なNWリソースは教材サーバ107aであることが登録されている。このように、同じ制御ポリシに従う相互に通信可能な教材サーバ107aというNWリソースと端末108の集合が、1つのグループを形成する。 In the example of the NW resource management table 607 in FIG. 7B, a group according to the control policy of CID = 3 in the control policy table 606 is registered in the entry of GID = 1. That is, it is registered that the terminal 108 that can be connected in the group with the state identifier CID = 3 is the student terminal 108b, and the NW resource that can be accessed in the group is the learning material server 107a. In this way, a set of the NW resource, that is, the teaching material server 107a that can communicate with each other according to the same control policy, and the terminal 108 forms one group.
図7(c)は、図6のコントローラ101内の記憶部に記憶されるNW設定管理テーブル608のデータ構成例を示す図である。NWリソース管理部602が、グループを新たに生成、更新、または削除すると、図6のNW設定管理部603が、NWリソース管理テーブル607に設定されたグループの具体的なVLAN(仮想ネットワーク)の情報とアクセス制御のためのネットワーク設定値を生成、更新、または削除する。NW設定管理部603は、その管理結果に基づいて、新たに生成されたVLANの情報とネットワーク設定値に対応するエントリをNW設定管理テーブル(最新)608aに生成する。または、NW設定管理部603は、上記管理結果に基づいて、更新または削除されたVLANの情報またはネットワーク設定値に対応するNW設定管理テーブル(最新)608a上のエントリを更新または削除する。 FIG. 7C is a diagram illustrating a data configuration example of the NW setting management table 608 stored in the storage unit in the controller 101 of FIG. When the NW resource management unit 602 newly creates, updates, or deletes a group, the NW setting management unit 603 in FIG. 6 performs information on specific VLAN (virtual network) of the group set in the NW resource management table 607. And create, update, or delete network settings for access control. Based on the management result, the NW setting management unit 603 generates an entry corresponding to the newly generated VLAN information and the network setting value in the NW setting management table (latest) 608a. Alternatively, the NW setting management unit 603 updates or deletes the entry on the NW setting management table (latest) 608a corresponding to the updated VLAN information or the network setting value based on the management result.
なお前述したように、NW設定管理部603は、上記管理動作の前に、NW設定管理テーブル(最新)608aをNW設定管理テーブル(前回)608bにコピーする。その後に、NW設定管理部603は、NW設定管理テーブル(最新)608aに対して、エントリの新規生成、更新、または削除を実行する。以下の説明では、「NW設定管理テーブル608」という記載を用いたときには、その記載による説明は、NW設定管理テーブル(最新)608aとNW設定管理テーブル(前回)608bを特に区別しない共通の説明であるとする。 As described above, the NW setting management unit 603 copies the NW setting management table (latest) 608a to the NW setting management table (previous) 608b before the management operation. After that, the NW setting management unit 603 executes a new entry creation, update, or deletion with respect to the NW setting management table (latest) 608a. In the following description, when the description “NW setting management table 608” is used, the description by the description is a common description that does not particularly distinguish the NW setting management table (latest) 608a and the NW setting management table (previous) 608b. Suppose there is.
NW設定管理テーブル608において、「GID」項目には、このエントリに対応するNWリソース管理テーブル607上のグループのエントリの「GID」項目に登録されているグループ識別子GIDが登録される。この「GID」項目により、NW設定管理テーブル608のエントリと、NWリソース管理テーブル607のエントリが紐付けられる。 In the NW setting management table 608, the group identifier GID registered in the “GID” item of the group entry on the NW resource management table 607 corresponding to this entry is registered in the “GID” item. With this “GID” item, an entry in the NW setting management table 608 and an entry in the NW resource management table 607 are linked.
「仮想NW−ID」項目には、NW設定管理部603が割り当てるVLANを識別するための識別データである仮想NW−ID(仮想ネットワーク識別子)が登録される。NW設定管理部603は、図6の記憶部605に記憶される後述する仮想NW−ID管理テーブル609から、未使用の仮想NW−IDを選択して、その仮想NW−IDを「仮想NW−ID」項目に登録する。 In the “virtual NW-ID” item, a virtual NW-ID (virtual network identifier) that is identification data for identifying a VLAN assigned by the NW setting management unit 603 is registered. The NW setting management unit 603 selects an unused virtual NW-ID from a later-described virtual NW-ID management table 609 stored in the storage unit 605 of FIG. Register in the “ID” item.
「接続端末」項目には、このエントリに対応するNWリソース管理テーブル607上のグループのエントリの「接続端末」項目に登録されている端末108の識別子、例えばMACアドレスがコピーされる。 In the “connected terminal” item, the identifier of the terminal 108 registered in the “connected terminal” item of the group entry on the NW resource management table 607 corresponding to this entry, for example, the MAC address is copied.
「サブネットアドレス」項目には、「仮想NW−ID」項目に登録されたVLANに対して、そのVLANで使用されるサブネットアドレスが登録される。NW設定管理部603は、図6の記憶部605に記憶される後述するサブネット管理テーブル610から、未使用のサブネットアドレスを選択して、そのサブネットアドレスを「サブネットアドレス」項目に登録する。 In the “subnet address” item, the subnet address used in the VLAN is registered for the VLAN registered in the “virtual NW-ID” item. The NW setting management unit 603 selects an unused subnet address from a later-described subnet management table 610 stored in the storage unit 605 of FIG. 6 and registers the subnet address in the “subnet address” item.
「認可リソース」項目には、このエントリに対応するNWリソース管理テーブル607上のグループのエントリの「認可リソース」項目に登録されているNWリソースの名前に対応するIPアドレスが登録される。NW設定管理部603は、「サブネットアドレス」項目に登録したサブネットアドレス中の所定のサーバ用のIPアドレスの範囲から未使用のIPアドレスを選択して、「認可リソース」項目に登録する。この範囲は、後述するDHCPサーバ105が管理する上記サブネットアドレス中のIPアドレスの範囲とは重複しないように選択される。 In the “authorization resource” item, an IP address corresponding to the name of the NW resource registered in the “authorization resource” item of the group entry on the NW resource management table 607 corresponding to this entry is registered. The NW setting management unit 603 selects an unused IP address from the range of IP addresses for a predetermined server in the subnet address registered in the “subnet address” item, and registers it in the “authorization resource” item. This range is selected so as not to overlap with the IP address range in the subnet address managed by the DHCP server 105 described later.
「SSID」項目には、NW設定管理テーブル608内の各エントリ間で一意なSSIDが決定されて登録される。このSSIDの値は、WLAN−AP104に転送されて設定されるとともに、通信時に状態を通知してきた端末108に対して、そのエントリの「仮想NW−ID」項目に設定された仮想NW−IDとともに通知される。これにより、通信を開始する端末108は、コントローラ101によって決定されたVLANの仮想NW−IDをSSIDを使って、WLAN−AP104にアクセスする。 In the “SSID” item, an SSID unique among the entries in the NW setting management table 608 is determined and registered. The value of this SSID is transferred to the WLAN-AP 104 and set, and with the virtual NW-ID set in the “virtual NW-ID” item of the entry for the terminal 108 that has notified the state at the time of communication. Be notified. Thereby, the terminal 108 that starts communication accesses the WLAN-AP 104 by using the virtual NW-ID of the VLAN determined by the controller 101 using the SSID.
図8は、コントローラ101の記憶部605に登録される仮想NW−ID管理テーブル609およびサブネット管理テーブル610のデータ構成例を示す図である。 FIG. 8 is a diagram illustrating a data configuration example of the virtual NW-ID management table 609 and the subnet management table 610 registered in the storage unit 605 of the controller 101.
まず、図8(a)は、仮想NW−ID管理テーブル609のデータ構成例を示す図である。仮想NW−ID管理テーブル609は、「仮想NW−ID」項目に登録された仮想NW−IDごとに、それが現在設定されているVLANで「使用中」か「未使用中」かを「割当」項目に登録して管理する。 First, FIG. 8A is a diagram illustrating a data configuration example of the virtual NW-ID management table 609. The virtual NW-ID management table 609 assigns, for each virtual NW-ID registered in the “virtual NW-ID” item, whether “in use” or “unused” in the currently set VLAN. "And register to the item.
コントローラ101の起動時は、仮想NW−ID管理テーブル609には、予め定められたVLAN数に対応するエントリが生成され、各エントリの「仮想NW−ID」項目には通し番号が登録される。また、全てのエントリの「割当」項目には「未使用中」を示す値が登録される。 When the controller 101 is activated, an entry corresponding to a predetermined number of VLANs is generated in the virtual NW-ID management table 609, and a serial number is registered in the “virtual NW-ID” item of each entry. In addition, a value indicating “not in use” is registered in the “allocation” item of all entries.
前述したように、NW設定管理部603は、仮想NW−ID管理テーブル609から、「割当」項目に「未使用中」を示す値が設定されているエントリを選択する。そして、NW設定管理部603は、その選択したエントリの「仮想NW−ID」項目から仮想NW−IDを取得し、その仮想NW−IDを図7(c)に例示されるNW設定管理テーブル608の「仮想NW−ID」項目に登録する。NW設定管理部603は、仮想NW−ID管理テーブル609において、上記選択した仮想NW−IDが「仮想NW−ID」項目に登録されているエントリの「割当」項目に、「使用中」を示す値を登録する。 As described above, the NW setting management unit 603 selects, from the virtual NW-ID management table 609, an entry in which a value indicating “unused” is set in the “allocation” item. Then, the NW setting management unit 603 obtains a virtual NW-ID from the “virtual NW-ID” item of the selected entry, and the NW setting management table 608 illustrated in FIG. In the “virtual NW-ID” item. In the virtual NW-ID management table 609, the NW setting management unit 603 indicates “in use” in the “allocation” item of the entry in which the selected virtual NW-ID is registered in the “virtual NW-ID” item. Register the value.
図8(b)は、コントローラ101のコントローラの記憶部に登録されるサブネット管理テーブル610のデータ構成例を示す図である。サブネット管理テーブル610は、「サブネットアドレス」項目に登録されたサブネットアドレスごとに、それが現在設定されているVLANで「使用中」か「未使用中」かを「割当」項目に登録して管理する。 FIG. 8B is a diagram illustrating a data configuration example of the subnet management table 610 registered in the controller storage unit of the controller 101. For each subnet address registered in the “subnet address” item, the subnet management table 610 registers and manages whether it is “in use” or “unused” in the currently set VLAN in the “assignment” item. To do.
コントローラ101の起動時は、サブネット管理テーブル610には、予め定められたサブネットアドレス数に対応するエントリが生成され、各エントリの「サブネットアドレス」項目には連続するサブネットアドレスが登録される。また、全てのエントリの「割当」項目には「未使用中」を示す値が登録される。 When the controller 101 is activated, entries corresponding to a predetermined number of subnet addresses are generated in the subnet management table 610, and successive subnet addresses are registered in the “subnet address” item of each entry. In addition, a value indicating “not in use” is registered in the “allocation” item of all entries.
前述したように、NW設定管理部603は、サブネット管理テーブル610から、「割当」項目に「未使用中」を示す値が登録されているエントリを選択する。そして、NW設定管理部603は、そのエントリの「サブネットアドレス」項目からサブネットアドレスを取得し、そのサブネットアドレスを図7(c)に例示されるNW設定管理テーブル608の「サブネットアドレス」項目に登録する。NW設定管理部603は、サブネット管理テーブル610において、上記選択したサブネットアドレスが「サブネットアドレス」項目に登録されているエントリの「割当」項目に、「使用中」を示す値を登録する。 As described above, the NW setting management unit 603 selects an entry in which a value indicating “unused” is registered in the “assignment” item from the subnet management table 610. Then, the NW setting management unit 603 acquires a subnet address from the “subnet address” item of the entry, and registers the subnet address in the “subnet address” item of the NW setting management table 608 illustrated in FIG. 7C. To do. In the subnet management table 610, the NW setting management unit 603 registers a value indicating “in use” in the “allocation” item of the entry in which the selected subnet address is registered in the “subnet address” item.
以上のコントローラ101の構成に基づいて、本実施形態の動作について、以下に詳細に説明する。 Based on the configuration of the controller 101 described above, the operation of the present embodiment will be described in detail below.
図9は、本実施形態の動作例(その1)を説明する図である。
生徒ユーザが生徒端末108bで自習アプリを起動すると、生徒端末108bはコントローラ101に仮接続する(図9の901)。
FIG. 9 is a diagram for explaining an operation example (part 1) of the present embodiment.
When the student user activates the self-study application on the student terminal 108b, the student terminal 108b is temporarily connected to the controller 101 (901 in FIG. 9).
仮接続では、生徒端末108bが、仮接続用に予め定められたSSIDを設定して、図1のWLAN−AP104に無線接続する。このとき、生徒端末108bは、DHCPプロトコルに従って、仮接続用に予め定められた仮想NW−ID=VLAN100を付加して、WLAN−AP104およびスイッチ102を介して、図1のDHCPサーバ105に問い合わせを行う。この結果、生徒端末108bは、仮接続用のIPアドレスを取得する。 In the temporary connection, the student terminal 108b sets a predetermined SSID for temporary connection and wirelessly connects to the WLAN-AP 104 of FIG. At this time, the student terminal 108b adds a virtual NW-ID = VLAN 100 predetermined for temporary connection according to the DHCP protocol, and sends an inquiry to the DHCP server 105 of FIG. 1 via the WLAN-AP 104 and the switch 102. Do. As a result, the student terminal 108b acquires a temporary connection IP address.
生徒端末108bは、図1のコントローラ101のIPアドレスが宛先IPアドレスとして設定され仮接続用の生徒端末108b自身のIPアドレスが送信元IPアドレスとして設定されたIPパケットを生成する。 The student terminal 108b generates an IP packet in which the IP address of the controller 101 in FIG. 1 is set as the destination IP address and the IP address of the temporary connection student terminal 108b itself is set as the source IP address.
このとき、生徒端末108bは、上記IPパケットに、端末の状態=「生徒端末」+「自習アプリ」に対応する状態情報を付加する。さらに、生徒端末108bは、上記IPパケットに、自身の生徒端末ID(例えば生徒端末108bのMACアドレスでよい。)を付加する。 At this time, the student terminal 108b adds status information corresponding to terminal status = “student terminal” + “self-study application” to the IP packet. Further, the student terminal 108b adds its own student terminal ID (for example, the MAC address of the student terminal 108b) to the IP packet.
そして、生徒端末108bは、このIPパケットが格納された上記無線LANフレームを生成する。このとき、生徒端末108bは、この無線LANフレームに、コントローラ101との仮接続用の仮想NW−ID=VLAN10をタグとして付加する。 The student terminal 108b generates the wireless LAN frame in which the IP packet is stored. At this time, the student terminal 108b adds a virtual NW-ID = VLAN 10 for temporary connection with the controller 101 as a tag to the wireless LAN frame.
その後、生徒端末108bは、この無線LANフレームを、コントローラ101宛てに送信する。 Thereafter, the student terminal 108 b transmits this wireless LAN frame to the controller 101.
WLAN−AP104は、その内部に、仮接続用のSSID=SSID100に対して仮接続用の仮想NW−ID=VLAN100が対応付けられて登録されたSSIDテーブル(後述する図33の3301参照)を保持している。WLAN−AP104は、このSSIDテーブルを山椒アスうることにより、生徒端末108bから受信したSSIDが上記SSID100に一致し、また、無線LANフレームにSSID100とペアの仮想NW−ID=VLAN100が付加されていることを確認する。この確認がOKならば、WLAN−AP104は、端末108から受信した無線LANのフレームに格納されて送られてきたIPパケットをイーサネットフレームに乗せ替えて、そのイーサネットフレームをスイッチ102に転送する。このイーサネットフレームには、無線LANフレームに付加されていた仮想NW−ID=VLAN100がタグとして付加される。 The WLAN-AP 104 stores therein an SSID table (see 3301 in FIG. 33 described later) in which the temporary connection SSID = SSID 100 and the temporary connection virtual NW-ID = VLAN 100 are associated and registered. doing. By allowing the WLAN-AP 104 to use this SSID table, the SSID received from the student terminal 108b matches the SSID 100, and a virtual NW-ID = VLAN 100 paired with the SSID 100 is added to the wireless LAN frame. Make sure. If this confirmation is OK, the WLAN-AP 104 transfers the IP packet stored in the wireless LAN frame received from the terminal 108 to the Ethernet frame and transfers the Ethernet frame to the switch 102. The virtual NW-ID = VLAN 100 added to the wireless LAN frame is added to the Ethernet frame as a tag.
スイッチ102は、WLAN−AP104が接続されるトランクポートから受信したイーサネットフレームに付加されている仮想NW−IDがVLAN100であることを確認する。この結果、スイッチ102は、そのイーサネットフレームを、コントローラ101が接続され仮想NW−ID=VLAN100が設定されているポートに中継する。このようにして、上記イーサネットフレームが、コントローラ101に着信する。 The switch 102 confirms that the virtual NW-ID added to the Ethernet frame received from the trunk port to which the WLAN-AP 104 is connected is the VLAN 100. As a result, the switch 102 relays the Ethernet frame to the port to which the controller 101 is connected and the virtual NW-ID = VLAN 100 is set. In this way, the Ethernet frame arrives at the controller 101.
コントローラ101では、端末状態受信部601(図6)が、端末108を送信元として送られてきたイーサネットフレームを受信すると、そのフレーム内のIPパケットから、端末の状態=「生徒端末」+「自習アプリ」と、生徒端末ID=「生徒端末108bのMACアドレス」を抽出し、NWリソース管理部602(図6)に引き渡す。 In the controller 101, when the terminal status receiving unit 601 (FIG. 6) receives an Ethernet frame sent from the terminal 108 as a transmission source, the terminal status = “student terminal” + “self-study” from the IP packet in the frame. “App” and student terminal ID = “MAC address of student terminal 108b” are extracted and delivered to the NW resource management unit 602 (FIG. 6).
NWリソース管理部602は、端末状態受信部601から引き渡された端末の状態および生徒端末IDと、制御ポリシテーブル606の内容とに基づいて、以下のようにしてNWリソース管理テーブル607に新規エントリを作成する(図9の902)。すなわち、NWリソース管理部602は、端末状態受信部601からの端末の状態=「生徒端末」+「自習アプリ」をキーとして、例えば図9に例示される制御ポリシテーブル606(図6参照)を検索することにより、CID=3の制御ポリシのエントリを検出する。NWリソース管理部602は、まず、GIDの値として未使用の値=1を決定する。その後、NWリソース管理部602は、上記制御ポリシのエントリ内容に基づき、「GID」項目の値=1、「CID」項目の値=3、「接続端末」項目の値=「生徒端末ID」、「認可リソース」項目の値=「教材サーバ」を決定する。そして、NWリソース管理部602は、これらの値がそれぞれ登録された新規エントリを生成し、NWリソース管理テーブル607に、図9に示されるように設定する。 The NW resource management unit 602 creates a new entry in the NW resource management table 607 as follows based on the terminal state and student terminal ID delivered from the terminal state reception unit 601 and the contents of the control policy table 606. It is created (902 in FIG. 9). That is, the NW resource management unit 602 uses, for example, the control policy table 606 (see FIG. 6) illustrated in FIG. 9 by using the terminal state = “student terminal” + “self-study application” from the terminal state reception unit 601 as a key. By searching, an entry of a control policy with CID = 3 is detected. The NW resource management unit 602 first determines an unused value = 1 as the value of the GID. After that, the NW resource management unit 602, based on the entry contents of the control policy, “GID” item value = 1, “CID” item value = 3, “connected terminal” item value = “student terminal ID”, The value of the “authorization resource” item = “learning material server” is determined. Then, the NW resource management unit 602 generates new entries in which these values are registered, and sets them in the NW resource management table 607 as shown in FIG.
続いて、コントローラ101内のNW設定管理部603(図6参照)は、図9に示されるNWリソース管理テーブル607のGID=1のエントリに基づいて、以下のようにして、NW設定管理テーブル608への新規エントリの登録を行う(図9の903)。まず、NW設定管理部603は、NW設定管理テーブル608に、図9に示されるように、「GID」項目=1のエントリを生成する。次に、NW設定管理部603は、仮想NW−ID管理テーブル609(図6、図8(a)参照)から未使用の仮想NW−IDを選択し、それを、上記NW設定管理テーブル608の新規エントリの「仮想NW−ID」項目に登録する。次に、NW設定管理部603は、上記エントリの「接続端末」項目に、図9のNWリソース管理テーブル607のGID=1のエントリの「接続端末」項目の値=「生徒端末ID」をコピーする。次に、NW設定管理部603は、サブネット管理テーブル610(図6、図8(b)参照)から未使用のサブネットアドレス=192.168.10.0/24を選択し、それを、上記NW設定管理テーブル608の新規エントリの「サブネットアドレス」項目に登録する。さらに、NW設定管理部603は、教材サーバ107aの本接続時のIPアドレスとして、「サブネットアドレス」項目に登録したサブネットアドレス中の所定のサーバ用のIPアドレスの範囲から未使用のIPアドレス=192.168.10.10を選択する。NW設定管理部603は、そのIPアドレスを、「認可リソース」項目に登録する。この「認可リソース」項目に登録されたIPアドレス=192.168.10.10は、NWリソース管理テーブル607上のGID=1のグループのエントリの「認可リソース」項目に登録されている教材サーバ107aに対応するIPアドレスとなる。加えて、NW設定管理部603は、新たなSSIDの値=SSID10を決定し、「SSID」項目に登録する。 Subsequently, the NW setting management unit 603 (see FIG. 6) in the controller 101 performs the NW setting management table 608 as follows based on the entry of GID = 1 in the NW resource management table 607 shown in FIG. The new entry is registered in (903 in FIG. 9). First, the NW setting management unit 603 generates an entry of “GID” item = 1 in the NW setting management table 608 as shown in FIG. Next, the NW setting management unit 603 selects an unused virtual NW-ID from the virtual NW-ID management table 609 (see FIG. 6 and FIG. 8A), and stores it in the NW setting management table 608. Register in the “virtual NW-ID” item of the new entry. Next, the NW setting management unit 603 copies the value “student terminal ID” of the “connected terminal” item of the entry of GID = 1 in the NW resource management table 607 of FIG. 9 to the “connected terminal” item of the above entry. To do. Next, the NW setting management unit 603 selects an unused subnet address = 192.168.10.0 / 24 from the subnet management table 610 (see FIGS. 6 and 8B), and uses it as the above NW. It is registered in the “subnet address” item of the new entry in the setting management table 608. Further, the NW setting management unit 603 uses an unused IP address = 192 from the range of IP addresses for a predetermined server in the subnet address registered in the “subnet address” item as the IP address at the time of the main connection of the learning material server 107a. Select 168.10.10. The NW setting management unit 603 registers the IP address in the “authorization resource” item. The IP address = 192.168.10.10 registered in this “authorized resource” item is the learning material server 107a registered in the “authorized resource” item of the GID = 1 group entry on the NW resource management table 607. IP address corresponding to. In addition, the NW setting management unit 603 determines a new SSID value = SSID10 and registers it in the “SSID” item.
ここまでの設定処理の後、コントローラ101内のNW機器設定要求送信部604(図6参照)は、スイッチ102に対して、ポート番号と仮想NW−IDの組からなる設定情報を送信する(図9の904)。設定情報のポート番号としては、図9のNWリソース管理テーブル607の「GID」項目=1のエントリの「認可リソース」項目=「教材サーバ」に対応する教材サーバ107aが接続されているポートのポート番号、例えば1が設定される。なお、コントローラ101は、教材サーバ107aや成績サーバ107bがスイッチ102に接続されている各ポートのポート番号は、予め認識しているものとする。設定情報の仮想NW−IDとしては、図9のNW設定管理テーブル608の「GID」項目=1のエントリの「仮想NW−ID」項目の値=VLAN10が設定される。この設定情報は、宛先IPアドレスとしてスイッチ102内の設定インタフェース(後述する図24の2403)のIPアドレスが指定されたIPパケットに格納される。そのIPパケットは、仮想NW−ID=VLAN100が付加されたイーサネットフレームに格納されて、送信される。スイッチ102は、受信したイーサネットフレームに仮想NW−ID=VLAN100が設定されていることを確認する。また、スイッチ102は、そのイーサネットフレームから取り出したIPパケットに付与されている宛先IPアドレスが、スイッチ102自身の設定インタフェースのIPアドレスと一致することを確認する。さらに、スイッチ102は、上記IPパケットに付与されている送信元IPアドレスが、コントローラ101に予め付与されているIPアドレスと一致することを確認する。これらの確認がOKならば、スイッチ102は、上記IPパケットから設定情報を取り出す。スイッチ102は、内部に保持するVLANテーブル(後述する図24、図25(b)の2407参照)に、上記設定情報に含まれるポート番号=1と仮想NW−ID=VLAN10の組のエントリを登録する。このようにして、教材サーバ107aが接続されるスイッチ102のポート番号1のポートに仮想NW−ID=VLAN10が設定され、教材サーバ107aが仮想NW−ID=VLAN10のVLANに所属することになる。 After the setting processing so far, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information including a set of a port number and a virtual NW-ID to the switch 102 (see FIG. 6). 9 of 904). As the port number of the setting information, the port of the port to which the learning material server 107a corresponding to the “authorization resource” item of the “GID” item = 1 entry of the NW resource management table 607 in FIG. A number, for example, 1 is set. It is assumed that the controller 101 recognizes in advance the port number of each port connected to the switch 102 by the teaching material server 107a and the grade server 107b. As the virtual NW-ID of the setting information, the value of the “virtual NW-ID” item of the entry “GID” = 1 of the NW setting management table 608 in FIG. This setting information is stored in an IP packet in which an IP address of a setting interface (2403 in FIG. 24 described later) in the switch 102 is designated as a destination IP address. The IP packet is stored in an Ethernet frame to which virtual NW-ID = VLAN 100 is added and transmitted. The switch 102 confirms that the virtual NW-ID = VLAN 100 is set in the received Ethernet frame. Further, the switch 102 confirms that the destination IP address given to the IP packet extracted from the Ethernet frame matches the IP address of the setting interface of the switch 102 itself. Further, the switch 102 confirms that the transmission source IP address assigned to the IP packet matches the IP address assigned in advance to the controller 101. If these confirmations are OK, the switch 102 extracts setting information from the IP packet. The switch 102 registers an entry of a set of port number = 1 and virtual NW-ID = VLAN 10 included in the setting information in a VLAN table (see 2407 in FIGS. 24 and 25B described later) held inside. To do. In this way, the virtual NW-ID = VLAN 10 is set to the port of port number 1 of the switch 102 to which the learning material server 107 a is connected, and the learning material server 107 a belongs to the VLAN of the virtual NW-ID = VLAN 10.
なお、教材サーバ107aや成績サーバ107bは、それらにまだVLANが割り当てられていない未使用状態のときには、それらが接続されるスイッチ102のポートには例えば、未使用を示す仮想NW−ID=VLAN1000が割り当てられているものとする(図9の911)。図9の例は、教材サーバ107aにVLAN10が割り当てられ、成績サーバ107bはVLAN1000の未使用状態であることを示している。 Note that when the teaching material server 107a and the grade server 107b are in an unused state in which no VLAN is assigned yet, for example, the virtual NW-ID = VLAN 1000 indicating that the port is not used is connected to the port of the switch 102 to which they are connected. It is assumed that it is assigned (911 in FIG. 9). The example of FIG. 9 shows that VLAN 10 is assigned to the teaching material server 107a, and the grade server 107b is not in use of the VLAN 1000.
次に、コントローラ101内のNW機器設定要求送信部604(図6参照)は、図1のWLAN−AP104に対して、SSIDと仮想NW−IDの組からなる設定情報を送信する(図9の905)。設定情報のSSIDとしては、図9のNWリソース管理テーブル607の「GID」項目=1のエントリの「SSID」項目の値=SSID10が設定される。設定情報の仮想NW−IDとしては、上記エントリの「仮想NW−ID」項目の値=VLAN10が設定される。この設定情報は、宛先IPアドレスとして、WLAN−AP104に予め割り当てられているIPアドレスが指定されたIPパケットに格納される。そのIPパケットは、仮想NW−ID=VLAN100が付加されたイーサネットフレームに格納されて、送信される。スイッチ102は、コントローラ101から受信した上記イーサネットフレームに付加されている仮想NW−ID=VLAN100が、スイッチ102内のどのポートにも割り当てられていないことを確認すると、そのイーサネットフレームをトランクポートに中継する。この結果、上記イーサネットフレームは、スイッチ102のトランクポートに接続されるWLAN−AP104に到達する。WLAN−AP104は、スイッチ102から受信したイーサネットフレームに仮想NW−ID=VLAN100が付加されていることを確認する。また、WLAN−AP104は、そのイーサネットフレームから取り出したIPパケットに付与されている宛先IPアドレスが、WLAN−AP104自身に予め付与されているIPアドレスと一致することを確認する。さらに、WLAN−AP104は、上記IPパケットに付与されている送信元IPアドレスが、コントローラ101に予め付与されているIPアドレスであることを確認する。これらの確認がOKならば、WLAN−AP104は、上記IPパケットから設定情報を取り出す。WLAN−AP104は、内部に保持するSSIDテーブル(後述する図33の3301参照)に、上記設定情報に含まれるSSID=SSID10と仮想NW−ID=VLAN10の組のエントリを登録する。このようにして、WLAN−AP104に、コントローラ101で新たに設定された仮想NW−ID=VLAN10のVLAN用に専用に使用されるSSID=SSID10を設定することができる。 Next, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information including a set of SSID and virtual NW-ID to the WLAN-AP 104 in FIG. 1 (FIG. 9). 905). As the SSID of the setting information, the value of the “SSID” item of the entry of “GID” item = 1 in the NW resource management table 607 of FIG. As the virtual NW-ID of the setting information, the value of the “virtual NW-ID” item of the above entry = VLAN 10 is set. This setting information is stored in an IP packet in which an IP address previously assigned to the WLAN-AP 104 is designated as a destination IP address. The IP packet is stored in an Ethernet frame to which virtual NW-ID = VLAN 100 is added and transmitted. When the switch 102 confirms that the virtual NW-ID = VLAN 100 added to the Ethernet frame received from the controller 101 is not assigned to any port in the switch 102, the switch 102 relays the Ethernet frame to the trunk port. To do. As a result, the Ethernet frame reaches the WLAN-AP 104 connected to the trunk port of the switch 102. The WLAN-AP 104 confirms that the virtual NW-ID = VLAN 100 is added to the Ethernet frame received from the switch 102. In addition, the WLAN-AP 104 confirms that the destination IP address assigned to the IP packet extracted from the Ethernet frame matches the IP address assigned to the WLAN-AP 104 itself. Further, the WLAN-AP 104 confirms that the transmission source IP address assigned to the IP packet is an IP address assigned to the controller 101 in advance. If these confirmations are OK, the WLAN-AP 104 extracts setting information from the IP packet. The WLAN-AP 104 registers an entry of a set of SSID = SSID 10 and virtual NW-ID = VLAN 10 included in the setting information in an SSID table (see 3301 in FIG. 33 described later) held inside. In this way, the SSID = SSID10 that is used exclusively for the VLAN of the virtual NW-ID = VLAN10 newly set by the controller 101 can be set in the WLAN-AP 104.
次に、コントローラ101内のNW機器設定要求送信部604(図6参照)は、端末の状態を通知してきた生徒端末108bに対して、SSIDと仮想NW−IDの組からなる設定情報を送信する(図9の906)。設定情報のSSIDとしては、図9のNWリソース管理テーブル607の「GID」項目=1のエントリの「SSID」項目の値=SSID10が設定される。設定情報の仮想NW−IDとしては、上記エントリの「仮想NW−ID」項目の値=VLAN10が設定される。この設定情報は、宛先IPアドレスとして、端末状態受信部601(図6)が生徒端末108bから受信した状態設定用のIPパケットに指定されていた送信元IPアドレスが指定されたIPパケットに格納される。そのIPパケットは、仮想NW−ID=VLAN100が付加されたイーサネットフレームに格納されて、送信される。スイッチ102は、コントローラ101から受信した上記イーサネットフレームに付加されている仮想NW−ID=VLAN100が、スイッチ102内のどのポートにも割り当てられていないことを確認すると、そのイーサネットフレームをトランクポートに中継する。この結果、上記イーサネットフレームは、スイッチ102のトランクポートに接続されるWLAN−AP104に到達する。WLAN−AP104は、スイッチ102から受信したイーサネットフレーム内のIPパケットを無線LANフレームに乗せ替えて無線送信する。この無線LANフレームには、イーサネットフレームに付加されていた仮想NW−ID=VLAN100が付加される。この無線LANフレームは、WLAN−AP104からの無線送信により、生徒端末108bに到達する。 Next, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information including a set of SSID and virtual NW-ID to the student terminal 108b that has notified the terminal state. (906 in FIG. 9). As the SSID of the setting information, the value of the “SSID” item of the entry of “GID” item = 1 in the NW resource management table 607 of FIG. As the virtual NW-ID of the setting information, the value of the “virtual NW-ID” item of the above entry = VLAN 10 is set. This setting information is stored as a destination IP address in an IP packet in which the source IP address specified in the state setting IP packet received from the student terminal 108b by the terminal state receiving unit 601 (FIG. 6) is specified. The The IP packet is stored in an Ethernet frame to which virtual NW-ID = VLAN 100 is added and transmitted. When the switch 102 confirms that the virtual NW-ID = VLAN 100 added to the Ethernet frame received from the controller 101 is not assigned to any port in the switch 102, the switch 102 relays the Ethernet frame to the trunk port. To do. As a result, the Ethernet frame reaches the WLAN-AP 104 connected to the trunk port of the switch 102. The WLAN-AP 104 changes the IP packet in the Ethernet frame received from the switch 102 to the wireless LAN frame and wirelessly transmits it. The virtual NW-ID = VLAN 100 added to the Ethernet frame is added to the wireless LAN frame. This wireless LAN frame reaches the student terminal 108b by wireless transmission from the WLAN-AP 104.
さらに、コントローラ101内のNW機器設定要求送信部604(図6参照)は、DHCPサーバ105に対して、仮想NW−IDとサブネットアドレスの組からなる設定情報を送信する(図9の907)。設定情報の仮想NW−IDとしては、図9のNW設定管理テーブル608の「GID」項目=1のエントリの「仮想NW−ID」項目の値=VLAN10が設定される。設定情報のサブネットアドレスとしては、上記エントリの「サブネットアドレス」項目の値=192.168.10.0/24が設定される。設定情報は、宛先IPアドレスとしてDHCPサーバ105の設定インタフェース(後述する図28の2804参照)のIPアドレスが指定されたIPパケットに格納される。そのIPパケットは、仮想NW−ID=VLAN100が付加されたイーサネットフレームに格納されて、送信される。スイッチ102は、コントローラ101から受信した上記イーサネットフレームに付加されている仮想NW−ID=VLAN100が、スイッチ102内のどのポートにも割り当てられていないことを確認すると、そのイーサネットフレームをトランクポートに中継する。この結果、上記イーサネットフレームは、スイッチ102のトランクポートに接続されるDHCPサーバ105に到達する。DHCPサーバ105は、スイッチ102から受信したイーサネットフレームに仮想NW−ID=VLAN100が付加されていることを確認する。また、DHCPサーバ105は、そのイーサネットフレームから取り出したIPパケットに付与されている宛先IPアドレスが、DHCPサーバ105自身に予め付与されているIPアドレスと一致することを確認する。さらに、DHCPサーバ105は、上記IPパケットに付与されている送信元IPアドレスが、コントローラ101に予め付与されているIPアドレスであることを確認する。これらの確認がOKならば、DHCPサーバ105は、上記IPパケットから設定情報を取り出す。DHCPサーバ105は、内部に保持する設定テーブル(後述する図28、図29の2807参照)に、上記設定情報に含まれる仮想NW−ID=VLAN10とサブネットアドレス=192.168.10.0/24の組のエントリを登録する。この結果、DHCPサーバ105は、コントローラ101にて新たに設定された仮想NW−ID=VLAN10のVLANについて、そのVLANに対応するサブネットアドレスに属するIPアドレスの払い出しを行うことができるようになる。なお、このIPアドレスの範囲は、コントローラ101の図6に示されるNW設定管理部603がNW設定管理テーブル608の「認可リソース」項目に設定するサーバ107のIPアドレスの範囲とは重複しないように設定される。 Further, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information including a virtual NW-ID and a subnet address to the DHCP server 105 (907 in FIG. 9). As the virtual NW-ID of the setting information, the value of the “virtual NW-ID” item of the entry “GID” = 1 of the NW setting management table 608 in FIG. As the subnet address of the setting information, the value of the “subnet address” item of the entry = 192.168.10.0 / 24 is set. The setting information is stored in an IP packet in which the IP address of the setting interface (see 2804 in FIG. 28 described later) of the DHCP server 105 is designated as the destination IP address. The IP packet is stored in an Ethernet frame to which virtual NW-ID = VLAN 100 is added and transmitted. When the switch 102 confirms that the virtual NW-ID = VLAN 100 added to the Ethernet frame received from the controller 101 is not assigned to any port in the switch 102, the switch 102 relays the Ethernet frame to the trunk port. To do. As a result, the Ethernet frame reaches the DHCP server 105 connected to the trunk port of the switch 102. The DHCP server 105 confirms that the virtual NW-ID = VLAN 100 is added to the Ethernet frame received from the switch 102. In addition, the DHCP server 105 confirms that the destination IP address assigned to the IP packet extracted from the Ethernet frame matches the IP address assigned in advance to the DHCP server 105 itself. Furthermore, the DHCP server 105 confirms that the transmission source IP address assigned to the IP packet is an IP address assigned to the controller 101 in advance. If these confirmations are OK, the DHCP server 105 extracts setting information from the IP packet. The DHCP server 105 includes a virtual NW-ID = VLAN 10 and a subnet address = 192.168.10.0 / 24 included in the setting information in a setting table (see 2807 in FIGS. 28 and 29 described later) held therein. Register a set of entries. As a result, the DHCP server 105 can issue an IP address belonging to the subnet address corresponding to the VLAN of the virtual NW-ID = VLAN 10 newly set by the controller 101. It should be noted that this IP address range does not overlap with the IP address range of the server 107 set in the “authorization resource” item of the NW setting management table 608 by the NW setting management unit 603 shown in FIG. Is set.
以上のようにして、コントローラ101は、生徒端末108bが通知してきた端末の状態=「生徒端末」+「自習アプリ」と、制御ポリシテーブル606上のCID=3の制御ポリシとに基づいて、仮想NW−ID=VLAN10のVLANを設定する。このVLANには、生徒端末108bから教材サーバ107aに対してのみアクセス可能というアクセス制限が設定されている。 As described above, the controller 101 determines the virtual status based on the status of the terminal notified by the student terminal 108b = “student terminal” + “self-study application” and the control policy of CID = 3 on the control policy table 606. The VLAN of NW-ID = VLAN10 is set. In this VLAN, an access restriction is set such that the student terminal 108b can only access the learning material server 107a.
コントローラ101による以上の制御動作の後、コントローラ101内のNW機器設定要求送信部604は、教材サーバ107aに対して、新たなIPアドレスを指定する設定情報を送信する(図9の908)。この設定情報には、NW設定管理テーブル608のGID=1の「認可リソース」項目に登録されたIPアドレス=192.168.10.10が格納される。この結果、教材サーバ107aのIPアドレスが、仮想NW−ID=VLAN10に対応するサブネットアドレス192.168.10.0/24に所属するIPアドレス=192.168.10.10に設定される。 After the above control operation by the controller 101, the NW device setting request transmission unit 604 in the controller 101 transmits setting information for designating a new IP address to the learning material server 107a (908 in FIG. 9). In this setting information, IP address = 192.168.10.10 registered in the “authorized resource” item of GID = 1 in the NW setting management table 608 is stored. As a result, the IP address of the learning material server 107a is set to IP address = 192.168.10.10 belonging to the subnet address 192.168.10.0/24 corresponding to the virtual NW-ID = VLAN10.
なお、教材サーバ107aへのIPアドレスの設定は、コントローラ101からではなく、教材サーバ107aがDHCPサーバ105に問い合わせて行うようにしてもよい。この場合、教材サーバ107aは、いままで設定されていたIPアドレスによる接続を切断した後、DHCPプロトコルに従って、図1のDHCPサーバ105に、IPアドレスの再取得を要求する。教材サーバ107aは、DHCPプロトコルに従って、DHCPサーバ105が払い出したIPアドレス=192.168.10.10を受信する。ここで、教材サーバ107aがDHCPサーバ105に問い合わせてIPアドレスを決定するまで、コントローラ101はNWリソース管理テーブル607内の「認可リソース」項目の値を決定することができない。この場合には、教材サーバ107aがIPアドレスを取得した後に、図1のDNSサーバ106に、教材サーバ107aの名前とIPアドレスの組を通知する。この結果、DNSサーバ106は、その組を受信し、内部の設定テーブル(後述する図30、図31の3007参照)に登録する。その後に、コントローラ101のNW設定管理部603(図6)がDNSサーバ106に、NWリソース管理テーブル607の「認可リソース」項目に登録されている教材サーバ107aのサーバ名で問合せを行う。この結果、NW設定管理部603は、DNSサーバ106から教材サーバ107aのIPアドレスを取得し、それをNW設定管理テーブル608の「認可リソース」項目に登録する。 Note that the IP address may be set to the learning material server 107 a not by the controller 101 but by the learning material server 107 a inquiring to the DHCP server 105. In this case, the learning material server 107a requests the DHCP server 105 of FIG. 1 to reacquire the IP address in accordance with the DHCP protocol after disconnecting the connection using the IP address set up to now. The learning material server 107a receives the IP address = 192.168.10.10 issued by the DHCP server 105 in accordance with the DHCP protocol. Here, the controller 101 cannot determine the value of the “authorized resource” item in the NW resource management table 607 until the learning material server 107a makes an inquiry to the DHCP server 105 to determine the IP address. In this case, after the learning material server 107a acquires the IP address, the DNS server 106 in FIG. 1 is notified of the combination of the name and IP address of the learning material server 107a. As a result, the DNS server 106 receives the set and registers it in an internal setting table (refer to 3007 in FIGS. 30 and 31 described later). Thereafter, the NW setting management unit 603 (FIG. 6) of the controller 101 makes an inquiry to the DNS server 106 with the server name of the learning material server 107 a registered in the “authorization resource” item of the NW resource management table 607. As a result, the NW setting management unit 603 acquires the IP address of the learning material server 107 a from the DNS server 106 and registers it in the “authorization resource” item of the NW setting management table 608.
次に、生徒端末108bは、コントローラ101からVLANの設定情報が格納された自分宛ての無線LANフレームを受信する(図9の906)。生徒端末108bは、その無線LANフレームに仮接続用の仮想NW−ID=VLAN100が付加されていることを確認する。また、生徒端末108bは、その無線LANフレームから取り出したIPパケットに付与されている宛先IPアドレスが、生徒端末108b自身の仮接続用のIPアドレスと一致することを確認する。さらに、生徒端末108bは、上記IPパケットに付与されている送信元IPアドレスが、コントローラ101に予め付与されているIPアドレスと一致することを確認する。これらの確認がOKならば、生徒端末108bは、上記IPパケットから設定情報を取り出し、その設定情報から本接続用のSSIDと本接続用の仮想NW−IDを取得する。その後、生徒端末108bは、コントローラ101との仮接続を切断する。なお、コントローラ101の側から仮接続を切断してもよい。 Next, the student terminal 108b receives the wireless LAN frame addressed to itself storing the VLAN setting information from the controller 101 (906 in FIG. 9). The student terminal 108b confirms that the virtual NW-ID = VLAN 100 for temporary connection is added to the wireless LAN frame. In addition, the student terminal 108b confirms that the destination IP address given to the IP packet extracted from the wireless LAN frame matches the IP address for temporary connection of the student terminal 108b itself. Furthermore, the student terminal 108b confirms that the transmission source IP address assigned to the IP packet matches the IP address assigned in advance to the controller 101. If these confirmations are OK, the student terminal 108b extracts the setting information from the IP packet, and acquires the SSID for main connection and the virtual NW-ID for main connection from the setting information. Thereafter, the student terminal 108b disconnects the temporary connection with the controller 101. The temporary connection may be disconnected from the controller 101 side.
これ以後、生徒端末108bは、本接続の状態に移行する。まず、生徒端末108bは、コントローラ101から受信した本接続用のSSID=SSID10を用いて、図1のWLAN−AP104に無線接続する。 Thereafter, the student terminal 108b shifts to the main connection state. First, the student terminal 108 b wirelessly connects to the WLAN-AP 104 of FIG. 1 using the SSID = SSID 10 for main connection received from the controller 101.
次に、生徒端末108bは、DHCPプロトコルに従って、コントローラ101から取得した本接続用の仮想NW−ID=VLAN10を付加して、図1のDHCPサーバ105に向けて、IPアドレスの再取得を要求する。前述した図9の905の制御により、WLAN−AP104には、本接続用の仮想NW−ID=VLAN10とSSID=SSID10の組が登録されている。WLAN−AP104は、生徒端末108bから受信したSSIDが上記SSID10に一致し、また、無線LANフレームに仮想NW−ID=VLAN10が付加されていることを確認する。この確認がOKならば、WLAN−AP104は、端末108から受信したDHCP用のブロードキャストの無線LANのフレームをブロードキャストのイーサネットフレームに変換し、そのイーサネットフレームをスイッチ102に転送する。このイーサネットフレームには、無線LANフレームに付加されていた仮想NW−ID=VLAN10がタグとして付加される。スイッチ102は、WLAN−AP104が接続されるトランクポートから受信したイーサネットフレームに付加されている仮想NW−IDがVLAN10であることを確認する。この結果、スイッチ102は、そのイーサネットフレームを、VLAN10が設定されているポートとVLANに依存しないトランクポートに中継する。この結果、そのイーサネットフレームが、トランクポートに接続されているDHCPサーバ105に到達する。DHCPサーバ105は、受信したイーサネットフレームから、仮想NW−ID=VLAN10と、要求メッセージを取り出す。ここで、前述したコントローラ101による図9の907の制御により、DHCPサーバ105は、内部の設定テーブルに、仮想NW−ID=VLAN10のVLANに対してIPアドレスの払出し範囲が設定されたエントリを記憶している。DHCPサーバ105は、受信した要求メッセージに付加されている仮想NW−ID=VLAN10に対応するエントリ中の払出し範囲から、未使用のIPアドレス=192.168.10.20を選択する。そして、DHCPサーバ105は、その選択したIPアドレスを、生徒端末108bに通知する。生徒端末108bは、DHCPプロトコルに従って、DHCPサーバ105が払い出したIPアドレスを受信する。以後、接続制御部3202は、このIPアドレス=192.168.10.20を、本接続用のIPアドレスとして使用する(図9の909)。 Next, the student terminal 108b adds the virtual NW-ID = VLAN 10 for main connection acquired from the controller 101 according to the DHCP protocol, and requests the DHCP server 105 of FIG. 1 to reacquire the IP address. . By the control of 905 in FIG. 9 described above, a set of virtual NW-ID = VLAN10 and SSID = SSID10 for main connection is registered in the WLAN-AP 104. The WLAN-AP 104 confirms that the SSID received from the student terminal 108b matches the SSID 10 and that the virtual NW-ID = VLAN 10 is added to the wireless LAN frame. If this confirmation is OK, the WLAN-AP 104 converts the DHCP broadcast wireless LAN frame received from the terminal 108 into a broadcast Ethernet frame, and transfers the Ethernet frame to the switch 102. The virtual NW-ID = VLAN 10 added to the wireless LAN frame is added to the Ethernet frame as a tag. The switch 102 confirms that the virtual NW-ID added to the Ethernet frame received from the trunk port to which the WLAN-AP 104 is connected is the VLAN 10. As a result, the switch 102 relays the Ethernet frame to the port where the VLAN 10 is set and the trunk port independent of the VLAN. As a result, the Ethernet frame reaches the DHCP server 105 connected to the trunk port. The DHCP server 105 extracts a virtual NW-ID = VLAN 10 and a request message from the received Ethernet frame. Here, under the control of 907 in FIG. 9 by the controller 101 described above, the DHCP server 105 stores an entry in which the IP address payout range is set for the VLAN of virtual NW-ID = VLAN 10 in the internal setting table. doing. The DHCP server 105 selects an unused IP address = 192.168.10.20 from the payout range in the entry corresponding to the virtual NW-ID = VLAN 10 added to the received request message. Then, the DHCP server 105 notifies the selected IP address to the student terminal 108b. The student terminal 108b receives the IP address issued by the DHCP server 105 in accordance with the DHCP protocol. Thereafter, the connection control unit 3202 uses this IP address = 192.168.10.20 as the IP address for the main connection (909 in FIG. 9).
その後、生徒端末108bは、自身で実行が開始されているユーザアプリ3205(図32参照)である自習アプリとの連携動作を開始する。 Thereafter, the student terminal 108b starts a cooperative operation with the self-study application that is the user application 3205 (see FIG. 32) that has been started.
自習アプリとの連携動作の中で、生徒端末108bは、教材サーバ107aへの送信用のデータを受け取ると、以下の接続制御動作を実行する。 When the student terminal 108b receives data for transmission to the learning material server 107a during the cooperation operation with the self-study application, the student terminal 108b executes the following connection control operation.
まず、生徒端末108bは、教材サーバ107aの名前として例えば「kyozai.server.com」をキーとして、図1のDNSサーバ106に教材サーバ107aのIPアドレスを問い合わせる。問合せメッセージが格納された無線LANフレームには本接続用の仮想NW−ID=VLAN10が付加される。この無線LANフレームは、生徒端末108bからWLAN−AP104で受信される。WLAN−AP104は、本接続のSSIDを確認後、上記無線LANのフレームをブロードキャストのイーサネットフレームに変換し、そのイーサネットフレームをスイッチ102に転送する。このイーサネットフレームには、無線LANフレームに付加されていた仮想NW−ID=VLAN10がタグとして付加される。スイッチ102は、WLAN−AP104から受信したイーサネットフレームに付加されている仮想NW−IDがVLAN10であることを確認すると、そのイーサネットフレームを、VLAN10が設定されているポートとVLANに依存しないトランクポートに中継する。この結果、そのイーサネットフレームが、トランクポートに接続されているDNSサーバ106に到達する。DNSサーバ106は、受信したイーサネットフレームから、仮想NW−ID=VLAN10と、問合せメッセージを取り出す。DNSサーバ106は、内部に保持している設定テーブル(後述する図30、図31の3007参照)から、受信した問合せメッセージに付加されている教材サーバ107aのサーバ名=「kyozai.server.com」が登録されているエントリを検索する。DNSサーバ106は、検索されたエントリから、IPアドレス=192.168.10.10を取得し、そのIPアドレスを生徒端末108bに通知する。生徒端末108bは、このIPアドレスをキャッシュし、次回以降自習アプリから送信用のデータを受け取ったときは、教材サーバ107aの名前の指定に対してこのIPアドレスを用いる。 First, the student terminal 108b inquires of the DNS server 106 of FIG. 1 about the IP address of the learning material server 107a using, for example, “kyosai.server.com” as the name of the learning material server 107a. A virtual NW-ID = VLAN 10 for main connection is added to the wireless LAN frame in which the inquiry message is stored. This wireless LAN frame is received by the WLAN-AP 104 from the student terminal 108b. After confirming the SSID of this connection, the WLAN-AP 104 converts the wireless LAN frame into a broadcast Ethernet frame, and transfers the Ethernet frame to the switch 102. The virtual NW-ID = VLAN 10 added to the wireless LAN frame is added to the Ethernet frame as a tag. When the switch 102 confirms that the virtual NW-ID added to the Ethernet frame received from the WLAN-AP 104 is the VLAN 10, the switch 102 converts the Ethernet frame into a port on which the VLAN 10 is set and a trunk port independent of the VLAN. Relay. As a result, the Ethernet frame reaches the DNS server 106 connected to the trunk port. The DNS server 106 extracts a virtual NW-ID = VLAN 10 and an inquiry message from the received Ethernet frame. The DNS server 106 stores the server name of the learning material server 107a added to the received inquiry message = “kyosai.server.com” from the setting table (see 3007 in FIGS. 30 and 31 described later) held in the DNS server 106. Search for entries where is registered. The DNS server 106 acquires IP address = 192.168.10.10 from the retrieved entry, and notifies the student terminal 108b of the IP address. The student terminal 108b caches this IP address, and when it receives data for transmission from the self-study application from the next time, it uses this IP address for specifying the name of the learning material server 107a.
次に、生徒端末108bは、DNSサーバ106から取得したIPアドレスが宛先IPアドレスとして設定され、DHCPサーバ105から取得した本接続用の自身のIPアドレスが送信元IPアドレスとして設定されたIPパケットを生成する。すなわち、宛先IPアドレスは、教材サーバ107aのIPアドレス=192.168.10.10である。また、送信元IPアドレスは、生徒端末108b自身のIPアドレス=192.168.10.20である。 Next, the student terminal 108b receives an IP packet in which the IP address acquired from the DNS server 106 is set as the destination IP address, and the IP address acquired from the DHCP server 105 is set as the transmission source IP address. Generate. That is, the destination IP address is the IP address of the learning material server 107a = 192.168.10.10. The source IP address is the IP address of the student terminal 108b itself = 192.168.10.20.
生徒端末108bは、このIPパケットのデータ部に、教材サーバ107aへの送信用のデータを格納する。 The student terminal 108b stores data for transmission to the learning material server 107a in the data portion of the IP packet.
生徒端末108bは、上記IPパケットが格納された無線LANフレームを生成する。
生徒端末108bは、この無線LANフレームに、コントローラ101から取得している本接続用の仮想NW−ID=VLAN10をタグとして付加し、教材サーバ107a宛てに送信する。
The student terminal 108b generates a wireless LAN frame in which the IP packet is stored.
The student terminal 108b adds the virtual NW-ID = VLAN10 for main connection acquired from the controller 101 to the wireless LAN frame as a tag, and transmits the tag to the learning material server 107a.
WLAN−AP104のSSIDテーブルには、前述した図9の905の制御動作により、本接続用のSSID=SSID10と仮想NW−ID=VLAN10の組のエントリが予め記憶されている。WLAN−AP104は、生徒端末108bから受信したSSIDが上記SSID10に一致し、また、無線LANフレームに仮想NW−ID=VLAN10が付加されていることを確認する。この確認がOKならば、WLAN−AP104は、生徒端末108bから受信した無線LANのフレームに格納されて送られてきたIPパケットをイーサネットフレームに乗せ替えて、そのイーサネットフレームをスイッチ102に転送する。このイーサネットフレームには、無線LANフレームに付加されていた仮想NW−ID=VLAN10がタグとして付加される。 In the SSID table of the WLAN-AP 104, entries of a set of SSID = SSID10 and virtual NW-ID = VLAN10 for main connection are stored in advance by the control operation of 905 in FIG. The WLAN-AP 104 confirms that the SSID received from the student terminal 108b matches the SSID 10 and that the virtual NW-ID = VLAN 10 is added to the wireless LAN frame. If this confirmation is OK, the WLAN-AP 104 transfers the IP packet stored in the wireless LAN frame received from the student terminal 108 b and transferred to the Ethernet frame, and transfers the Ethernet frame to the switch 102. The virtual NW-ID = VLAN 10 added to the wireless LAN frame is added to the Ethernet frame as a tag.
スイッチ102は、WLAN−AP104が接続されるトランクポートから受信したイーサネットフレームに付加されている仮想NW−IDがVLAN10であることを確認する。この結果、スイッチ102は、そのイーサネットフレームを、同じ仮想NW−ID=VLAN10が設定されているポートに中継する。前述した図9の904の制御動作により、スイッチ102のVLANテーブル(後述する図24、図25(b)の2407参照)には、ポート番号=1のポートに仮想NW−ID=VLAN10が設定されている。これにより、スイッチ102は、上記イーサネットフレームを、教材サーバ107aが接続されているポート番号=1のポートに中継する。この結果、上記イーサネットフレームが、教材サーバ107aに着信する。 The switch 102 confirms that the virtual NW-ID added to the Ethernet frame received from the trunk port to which the WLAN-AP 104 is connected is the VLAN 10. As a result, the switch 102 relays the Ethernet frame to a port in which the same virtual NW-ID = VLAN 10 is set. As a result of the above-described control operation 904 in FIG. 9, the virtual NW-ID = VLAN 10 is set to the port of port number = 1 in the VLAN table of the switch 102 (see 2407 in FIGS. 24 and 25B described later). ing. Thereby, the switch 102 relays the Ethernet frame to the port of port number = 1 to which the learning material server 107a is connected. As a result, the Ethernet frame arrives at the learning material server 107a.
教材サーバ107aは、このイーサネットフレームからIPパケットを取り出し、このIPパケットから宛先IPアドレス=192.168.10.10と送信元IPアドレス=192.168.10.20を取り出す。教材サーバ107aは、宛先IPアドレスが自身のIPアドレスに一致することを確認して、そのIPパケットからデータを取り出して処理する。 The learning material server 107a extracts an IP packet from the Ethernet frame, and extracts a destination IP address = 192.168.10.10 and a source IP address = 192.168.10.20 from the IP packet. The learning material server 107a confirms that the destination IP address matches its own IP address, extracts the data from the IP packet, and processes it.
その後、教材サーバ107aは、上記IPパケットから取り出したデータを処理した結果のデータをIPパケットに格納して、上記IPパケットから取り出した生徒端末108bの送信元IPアドレス=192.168.10.20に向けて返信する。すなわち、上記IPパケットの宛先IPアドレスには、上記IPパケットから取り出した生徒端末108bの送信元IPアドレス=192.168.10.20が格納される。また、上記IPパケットの送信元IPアドレスには、教材サーバ107a自身のIPアドレス=192.168.10.10が格納される。教材サーバ107aは、このIPパケットが格納されたイーサネットフレームを生成し、スイッチ102に向けて送信する。このスイッチ102は、ポート番号=1のポートでこのイーサネットフレームを受信すると、そのイーサネットフレームに、ポート番号1に割り付けられている仮想NW−ID=VLAN10を付加する。スイッチ102は、そのイーサネットフレームを、仮想NW−ID=VLAN10が設定されている他のポートとトランクポートに中継する。この結果、上記イーサネットフレームは、トランクポートに接続されているWLAN−AP104に転送される。WLAN−AP104は、受信したイーサネットフレームを無線LANフレームに変換して、無線送信する。生徒端末108bは、WLAN−AP104から無線LANフレームを受信すると、その無線LANフレームに仮想NW−ID=VLAN10が付加されていることを確認する。確認OKならば、生徒端末108bは、受信した無線LANフレームからIPパケットを取り出し、このIPパケットから、宛先IPアドレス=192.168.10.20と送信元IPアドレス=192.168.10.10を取り出す。生徒端末108bは、宛先IPアドレスが生徒端末108b自身のIPアドレスと一致することを確認後、受信したIPパケットから教材サーバ107aが返信したデータを取り出し、自習アプリに引き渡す。 Thereafter, the learning material server 107a stores the data obtained as a result of processing the data extracted from the IP packet in the IP packet, and the source IP address of the student terminal 108b extracted from the IP packet = 192.168.10.20. Reply to. That is, the transmission source IP address = 192.168.10.20 of the student terminal 108b extracted from the IP packet is stored in the destination IP address of the IP packet. Further, the IP address = 192.168.10.10 of the learning material server 107a itself is stored in the source IP address of the IP packet. The learning material server 107 a generates an Ethernet frame in which the IP packet is stored and transmits it to the switch 102. When the switch 102 receives this Ethernet frame at the port of port number = 1, the virtual NW-ID = VLAN 10 assigned to port number 1 is added to the Ethernet frame. The switch 102 relays the Ethernet frame to other ports and trunk ports in which the virtual NW-ID = VLAN 10 is set. As a result, the Ethernet frame is transferred to the WLAN-AP 104 connected to the trunk port. The WLAN-AP 104 converts the received Ethernet frame into a wireless LAN frame and wirelessly transmits it. When the student terminal 108b receives the wireless LAN frame from the WLAN-AP 104, the student terminal 108b confirms that the virtual NW-ID = VLAN10 is added to the wireless LAN frame. If the confirmation is OK, the student terminal 108b extracts the IP packet from the received wireless LAN frame, and from this IP packet, the destination IP address = 192.168.10.20 and the source IP address = 192.168.10.10. Take out. After confirming that the destination IP address matches the IP address of the student terminal 108b, the student terminal 108b takes out the data returned from the learning material server 107a from the received IP packet and delivers it to the self-study application.
以上の制御動作により、生徒端末108bと教材サーバ107aは、仮想NW−ID=VLAN10を使って通信ができるようになるが、VLAN10は、他の成績サーバ107b(VLAN1000)からは分離されているため、セキュリティが確保される。 With the above control operation, the student terminal 108b and the teaching material server 107a can communicate with each other using the virtual NW-ID = VLAN 10, but the VLAN 10 is separated from the other grade servers 107b (VLAN 1000). , Security is ensured.
以上のようにして、図9の動作例では、端末108の種別とそこで実行されるユーザアプリとで決まる端末の状態に対して、制御ポリシに基づいて決定される認可リソースが抽出される。そして、その認可リソースと端末108の組に対して、その都度VLAN(仮想ネットワーク)が動的に生成、設定される。これにより、、端末108からサーバ107へのアクセス制限の動的で適切な変更が可能となって、セキュリティが確保される。 As described above, in the operation example of FIG. 9, the authorization resource determined based on the control policy is extracted for the terminal state determined by the type of the terminal 108 and the user application executed there. A VLAN (virtual network) is dynamically generated and set for each set of the authorization resource and the terminal 108 each time. As a result, the access restriction from the terminal 108 to the server 107 can be changed dynamically and appropriately, and security is ensured.
図9の動作例(その1)を基本として、さらに動作例を挙げて、NWリソース管理テーブル607とNW設定管理テーブル608の作成動作について説明する。 The operation of creating the NW resource management table 607 and the NW setting management table 608 will be described based on the operation example (part 1) of FIG.
まず、動作例(その2)として、生徒端末108bの接続はなく、最初の状態は、「先生端末108a」が「成績評価アプリ」を起動した状態であるとする。このとき、図9の場合に準じた動作により、NWリソース管理テーブル607(図6参照)の内容は、図10(a)の例となり、NW設定管理テーブル608の内容は、図10(b)の例となる。すなわち、先生端末108aで成績評価アプリが起動した状態に応じて、図9の制御ポリシテーブル606内のCID=1のエントリが参照される。このエントリの内容より、先生端末108aは、成績サーバ107bにアクセス可能なことがわかる。この結果、図10(a)に示される、先生端末108aと成績サーバ107bとからなるGID=1のグループのエントリが、NWリソース管理テーブル607に生成される。さらに、NW設定管理テーブル608に、図10(b)に示されるGID=1のエントリが生成される。そして、上記グループに対応して、仮想NW−ID=VLAN10、サブネットアドレス=192.168.10.0/24、SSID10の各ネットワーク設定値を有するVLANが割り当てられる。また、認可リソースとして、IPアドレス=192.168.10.10を有する成績サーバ107bが登録される。なお、NW設定管理テーブル608の「転送設定」項目については、後述する。これとともに、図1のスイッチ102の成績サーバ107bが接続されるポートに仮想NW−ID=VLAN10が設定される。また、WLAN−AP104に、SSID10が登録される。さらに、先生端末108aに、仮想NW−ID=VLAN10とSSID10が通知される。この結果、先生端末108aと成績サーバ107bが、SSID10と仮想NW−ID=VLAN10を使って通信可能となり、教材サーバ107a等へのアクセスは制限されて、セキュリティが確保される。 First, as an operation example (part 2), it is assumed that there is no connection of the student terminal 108b, and the initial state is a state in which the “teacher terminal 108a” has activated the “score evaluation application”. At this time, by the operation according to the case of FIG. 9, the contents of the NW resource management table 607 (see FIG. 6) are the example of FIG. 10A, and the contents of the NW setting management table 608 are the same as those of FIG. An example. That is, the entry of CID = 1 in the control policy table 606 in FIG. 9 is referred to according to the state where the grade evaluation application is activated on the teacher terminal 108a. It can be seen from the contents of this entry that the teacher terminal 108a can access the grade server 107b. As a result, the GID = 1 group entry consisting of the teacher terminal 108 a and the grade server 107 b shown in FIG. 10A is generated in the NW resource management table 607. Further, an entry with GID = 1 shown in FIG. 10B is generated in the NW setting management table 608. Corresponding to the above group, a VLAN having the network setting values of virtual NW-ID = VLAN10, subnet address = 192.168.10.0 / 24, and SSID10 is allocated. In addition, a grade server 107b having an IP address = 192.168.10.10. Is registered as an authorization resource. The “transfer setting” item of the NW setting management table 608 will be described later. At the same time, the virtual NW-ID = VLAN 10 is set to the port to which the results server 107b of the switch 102 in FIG. 1 is connected. In addition, SSID 10 is registered in WLAN-AP 104. Furthermore, the virtual NW-ID = VLAN 10 and SSID 10 are notified to the teacher terminal 108a. As a result, the teacher terminal 108a and the grade server 107b can communicate with each other using the SSID 10 and the virtual NW-ID = VLAN 10, and access to the teaching material server 107a and the like is restricted to ensure security.
図10から理解されるように、図9の状態では、生徒端末108bが自習アプリを起動している状態に対して、生徒端末108bと教材サーバ107aのグループに対して仮想NW−ID=VLAN10のVLANが割り当てられていた。一方、図10で、先生端末108aが成績評価アプリを起動しており生徒端末108bは起動していない状態では、先生端末108aと成績サーバ107bのグループに対して仮想NW−ID=VLAN10のVLANが割り当てられる。このように、本実施形態では、端末108の状態に応じて、VLANが動的に変更されながら割り当てられる。 As can be understood from FIG. 10, in the state of FIG. 9, the virtual NW-ID = VLAN 10 for the group of the student terminal 108b and the teaching material server 107a is compared with the state where the student terminal 108b is starting the self-study application. A VLAN was assigned. On the other hand, in FIG. 10, when the teacher terminal 108a has activated the grade evaluation application and the student terminal 108b has not been activated, the VLAN of the virtual NW-ID = VLAN 10 is assigned to the group of the teacher terminal 108a and the grade server 107b. Assigned. As described above, in this embodiment, the VLAN is assigned while being dynamically changed according to the state of the terminal 108.
次に、動作例(その3)として、図10の状態から、先生端末108aが成績評価アプリを自習アプリに切り替えて採点を行う状態に変化した場合を想定する。このとき、図9の場合に準じた動作により、NWリソース管理テーブル607(図6参照)の内容は、図11(a)の例となり、NW設定管理テーブル608の内容は、図11(b)の例となる。この場合には、NWリソース管理テーブル607およびNW設定管理テーブル608において、いままでGID=1に唯一登録されていた先生端末108aの状態が変わったので、両テーブルの既存のGID=1のエントリはいったん削除される。そして、新たに該当する端末の状態のグループがGID=1として登録される。すなわち、先生端末108aで自習アプリが起動した状態に応じて、図9の制御ポリシテーブル606内のCID=2のエントリが参照される。このエントリの内容より、先生端末108aは、教材サーバ107aと成績サーバ107bの両方にアクセス可能なことがわかる。この結果、図11(a)に示される、先生端末108aと成績サーバ107bと教材サーバ107aとからなるGID=1のグループのエントリが、NWリソース管理テーブル607に生成される。さらに、NW設定管理テーブル608に、図11(b)に示されるGID=1のエントリが生成される。そして、上記グループに対応して、仮想NW−ID=VLAN10、サブネットアドレス=192.168.10.0/24、SSID10の各ネットワーク設定値を有するVLANが割り当てられる。また、認可リソースとして、IPアドレス=192.168.10.10を有する成績サーバ107bと、IPアドレス=192.168.10.11を有する教材サーバ107aが登録される。これとともに、図1のスイッチ102の成績サーバ107bと教材サーバ107aが接続される各ポートに仮想NW−ID=VLAN10が設定される。また、WLAN−AP104に、SSID10とVLAN10の組が登録される。さらに、先生端末108aに、仮想NW−ID=VLAN10とSSID10の組が通知される。この結果、先生端末108aと成績サーバ107bと教材サーバ107aが、SSID10と仮想NW−ID=VLAN10を使って通信可能となり、アクセスの範囲が図10の場合よりも拡大される。 Next, as an operation example (No. 3), it is assumed that the teacher terminal 108a changes from the state of FIG. 10 to a state in which the grade evaluation application is switched to the self-study application and the scoring is performed. At this time, by the operation according to the case of FIG. 9, the contents of the NW resource management table 607 (see FIG. 6) are the example of FIG. 11A, and the contents of the NW setting management table 608 are the contents of FIG. An example. In this case, in the NW resource management table 607 and the NW setting management table 608, the state of the teacher terminal 108a that has been registered only with GID = 1 so far has changed, so the existing GID = 1 entries in both tables are changed. Once deleted. And the group of the state of a newly applicable terminal is registered as GID = 1. That is, the entry of CID = 2 in the control policy table 606 in FIG. 9 is referred to according to the state where the self-study application is activated on the teacher terminal 108a. It can be seen from the contents of this entry that the teacher terminal 108a can access both the teaching material server 107a and the grade server 107b. As a result, an entry of a group with GID = 1, which is composed of the teacher terminal 108a, the grade server 107b, and the learning material server 107a, shown in FIG. 11A, is generated in the NW resource management table 607. Further, an entry with GID = 1 shown in FIG. 11B is generated in the NW setting management table 608. Corresponding to the above group, a VLAN having the network setting values of virtual NW-ID = VLAN10, subnet address = 192.168.10.0 / 24, and SSID10 is allocated. In addition, a grade server 107b having an IP address = 192.168.10.10. And a learning material server 107a having an IP address = 192.168.10.11. Are registered as authorization resources. At the same time, virtual NW-ID = VLAN 10 is set to each port to which the grade server 107b and the learning material server 107a of the switch 102 in FIG. 1 are connected. Also, a set of SSID 10 and VLAN 10 is registered in the WLAN-AP 104. Further, the teacher terminal 108a is notified of the set of virtual NW-ID = VLAN10 and SSID10. As a result, the teacher terminal 108a, the grade server 107b, and the teaching material server 107a can communicate with each other using the SSID 10 and the virtual NW-ID = VLAN 10, and the access range is expanded compared to the case of FIG.
図11から理解されるように、同じ仮想NW−ID=VLAN10のVLANについて、図10の状態からさらに図11の状態に、VLANの割当てが動的に変更されることがわかる。 As can be understood from FIG. 11, it can be seen that the VLAN assignment of the same virtual NW-ID = VLAN 10 is dynamically changed from the state of FIG. 10 to the state of FIG. 11.
次に、動作例(その4)として、生徒端末1が自習アプリを起動後、生徒端末2が自習アプリを起動し、その後、生徒端末1が自習アプリの使用を終了する場合を想定する。図12(a)および(b)は、この場合における、NWリソース管理テーブル607とNW設定管理テーブル608の登録内容の遷移例を示した図である。なお、生徒端末1と生徒端末2は、ともに図1の生徒端末108bに対応し、利用する生徒ユーザが異なる端末である。 Next, as an operation example (No. 4), it is assumed that the student terminal 1 activates the self-study application after the student terminal 1 activates the self-study application, and then the student terminal 1 ends use of the self-study application. FIGS. 12A and 12B are diagrams showing an example of transition of registration contents of the NW resource management table 607 and the NW setting management table 608 in this case. Note that the student terminal 1 and the student terminal 2 both correspond to the student terminal 108b in FIG.
まず、生徒端末1のみが自習アプリを起動した端末の状態でのNWリソース管理テーブル607とNW設定管理テーブル608の登録内容はそれぞれ、図12(a)の1201aおよび図12(b)の1202aとなる。すなわち、生徒端末1で自習アプリが起動した状態に応じて、図9の制御ポリシテーブル606内のCID=3のエントリが参照される。このエントリの内容より、生徒端末1は、教材サーバ107aにアクセス可能なことがわかる。この結果、図12(a)の1201aに示される、生徒端末1と教材サーバ107aとからなるGID=1のグループのエントリが、NWリソース管理テーブル607に生成される。さらに、NW設定管理テーブル608に、図12(b)の1202aに示されるGID=1のエントリが生成される。そして、上記グループに対応して、仮想NW−ID=VLAN10、サブネットアドレス=192.168.10.0/24、SSID10の各ネットワーク設定値を有するVLANが割り当てられる。また、認可リソースとして、IPアドレス=192.168.10.10を有する教材サーバ107aが登録される。これとともに、図1のスイッチ102の教材サーバ107aが接続されるポートに仮想NW−ID=VLAN10が設定される。また、WLAN−AP104に、SSID10とVLAN=10の組が登録される。さらに、生徒端末1(図1の生徒端末108bに対応)に、仮想NW−ID=VLAN10とSSID10が通知される。この結果、生徒端末1と教材サーバ107aが、SSID10と仮想NW−ID=VLAN10を使って通信可能となり、成績サーバ107b等へのアクセスは制限されて、セキュリティが確保される。 First, the registration contents of the NW resource management table 607 and the NW setting management table 608 in the state where only the student terminal 1 has started the self-study application are 1201a in FIG. 12A and 1202a in FIG. 12B, respectively. Become. That is, the entry of CID = 3 in the control policy table 606 in FIG. 9 is referred to according to the state where the self-study application is activated on the student terminal 1. From the contents of this entry, it can be seen that the student terminal 1 can access the learning material server 107a. As a result, a GID = 1 group entry consisting of the student terminal 1 and the learning material server 107a shown in 1201a of FIG. 12A is generated in the NW resource management table 607. Further, an entry with GID = 1 shown in 1202a of FIG. 12B is generated in the NW setting management table 608. Corresponding to the above group, a VLAN having the network setting values of virtual NW-ID = VLAN10, subnet address = 192.168.10.0 / 24, and SSID10 is allocated. In addition, the learning material server 107a having the IP address = 192.168.10.10. Is registered as an authorized resource. At the same time, the virtual NW-ID = VLAN 10 is set to the port to which the learning material server 107a of the switch 102 in FIG. 1 is connected. Further, a set of SSID 10 and VLAN = 10 is registered in the WLAN-AP 104. Further, the virtual NW-ID = VLAN 10 and SSID 10 are notified to the student terminal 1 (corresponding to the student terminal 108b in FIG. 1). As a result, the student terminal 1 and the learning material server 107a can communicate with each other using the SSID 10 and the virtual NW-ID = VLAN 10, and access to the grade server 107b and the like is restricted to ensure security.
1201aおよび1202aの状態で、生徒端末2がさらに自習アプリを起動した端末の状態を想定する。この端末の状態でのNWリソース管理テーブル607とNW設定管理テーブル608の登録内容はそれぞれ、図12(a)の1201bおよび図12(b)の1202bとなる。すなわち、生徒端末2で自習アプリが起動した状態に応じて、図9の制御ポリシテーブル606内のCID=3のエントリが参照される。このエントリの内容より、生徒端末2も、教材サーバ107aにアクセス可能なことがわかる。この結果、NWリソース管理テーブル607において、1201aに示されるGID=1のグループのエントリの「接続端末」項目に生徒端末2が追加され、図12(a)の1201bに示される内容になる。また、NW設定管理テーブル608において、図12(b)の1202aに示されるGID=1のエントリの「接続端末」項目に生徒端末2が追加され、図12(b)の1202bに示される内容になる。 In the state of 1201a and 1202a, the state of the terminal where the student terminal 2 further activates the self-study application is assumed. The registered contents of the NW resource management table 607 and the NW setting management table 608 in this terminal state are 1201b in FIG. 12A and 1202b in FIG. 12B, respectively. That is, the entry of CID = 3 in the control policy table 606 in FIG. 9 is referred to according to the state where the self-study application is activated on the student terminal 2. From the contents of this entry, it can be seen that the student terminal 2 can also access the learning material server 107a. As a result, in the NW resource management table 607, the student terminal 2 is added to the “connected terminal” item of the GID = 1 group entry shown in 1201a, and the contents shown in 1201b of FIG. Further, in the NW setting management table 608, the student terminal 2 is added to the “connected terminal” item of the entry of GID = 1 shown in 1202a of FIG. 12B, and the contents shown in 1202b of FIG. Become.
1201bおよび1202bの状態で、生徒端末1が自習アプリの使用を終了した端末の状態を想定する。この端末の状態でのNWリソース管理テーブル607とNW設定管理テーブル608の登録内容はそれぞれ、図12(a)の1201cおよび図12(b)の1202cとなる。すなわち、生徒端末1が自習アプリを終了した状態に応じて、NWリソース管理テーブル607において、1201bに示されるGID=1のグループのエントリの「接続端末」項目から生徒端末1が削除され、図12(a)の1201cに示される内容になる。また、NW設定管理テーブル608において、図12(b)の1202bに示されるGID=1のエントリの「接続端末」項目から生徒端末1が削除され、図12(b)の1202cに示される内容になる。 Assume the state of the terminal in which the student terminal 1 has finished using the self-study application in the state of 1201b and 1202b. The registered contents of the NW resource management table 607 and the NW setting management table 608 in this terminal state are 1201c in FIG. 12A and 1202c in FIG. 12B, respectively. That is, according to the state in which the student terminal 1 has finished the self-study application, the student terminal 1 is deleted from the “connected terminal” item of the GID = 1 group entry shown in 1201b in the NW resource management table 607. The content is shown in 1201c of (a). Also, in the NW setting management table 608, the student terminal 1 is deleted from the “connected terminal” item of the entry with GID = 1 shown in 1202b of FIG. 12B, and the content shown in 1202c of FIG. Become.
図12から理解されるように、端末108の種別が同じで(図12の場合は「生徒端末」)、ユーザアプリも同じ(図12の場合は「自習アプリ」)の場合は、端末108から教材サーバ107aにアクセスできるという、同じアクセス制限となる。この場合において、同じ種別の端末108が増減した場合には、そのアクセス制限を有するVLANに対して、端末108を所属させたり削除させたりすることを、適切に行うことが可能となる。 As understood from FIG. 12, when the type of the terminal 108 is the same (“student terminal” in the case of FIG. 12) and the user application is the same (“self-study application” in the case of FIG. 12), the terminal 108 It has the same access restriction that it can access the learning material server 107a. In this case, when the number of terminals 108 of the same type increases or decreases, it is possible to appropriately perform the terminal 108 belonging to or deleting from the VLAN having the access restriction.
図13は、本実施形態の動作例(その5)を説明する図である。図13は、図9で生徒ユーザが生徒端末108bで自習アプリを起動して教材サーバ107aと通信を行っている端末の状態で、先生ユーザが先生端末108aで自習アプリを起動した端末の状態の例である。 FIG. 13 is a diagram for explaining an operation example (No. 5) of this embodiment. FIG. 13 shows the state of the terminal in which the student user activates the self-study application on the student terminal 108b and communicates with the learning material server 107a in FIG. 9, and the state of the terminal where the teacher user activates the self-study application on the teacher terminal 108a. It is an example.
まず、仮想NW−ID=VLAN10に関するNWリソース管理テーブル607、NW設定管理テーブル608、スイッチ102、WLAN−AP104、生徒端末108b、DHCPサーバ105、および教材サーバ107aの各設定は、図9と同じである。 First, the settings of the NW resource management table 607, the NW setting management table 608, the switch 102, the WLAN-AP 104, the student terminal 108b, the DHCP server 105, and the teaching material server 107a regarding the virtual NW-ID = VLAN 10 are the same as those in FIG. is there.
続いて、先生端末108aで自習アプリが起動すると、その端末の状態=「先生端末108a」+「自習アプリ」が先生端末108aからコントローラ101に通知される(図13の1301)。これは、図9の901で説明した制御動作と同様で、生徒端末108bが先生端末108aに変わっただけである。 Subsequently, when the self-study application is activated on the teacher terminal 108a, the state of the terminal = “teacher terminal 108a” + “self-study application” is notified from the teacher terminal 108a to the controller 101 (1301 in FIG. 13). This is the same as the control operation described in 901 of FIG. 9, and the student terminal 108b is merely changed to the teacher terminal 108a.
この端末の状態の通知に応じて、図13の制御ポリシテーブル606内のCID=2のエントリが参照される。このエントリの内容より、先生端末108aは、教材サーバ107aと成績サーバ107bの両方にアクセス可能なことがわかる。この結果、図13に示される、先生端末108aと教材サーバ107aと成績サーバ107bとからなるGID=2のグループのエントリが、NWリソース管理テーブル607に生成される(図13の1302)。これは、図9の902で説明した制御動作と同様である。 In response to the notification of the state of the terminal, the entry of CID = 2 in the control policy table 606 in FIG. It can be seen from the contents of this entry that the teacher terminal 108a can access both the teaching material server 107a and the grade server 107b. As a result, the GID = 2 group entry consisting of the teacher terminal 108a, the teaching material server 107a, and the grade server 107b shown in FIG. 13 is generated in the NW resource management table 607 (1302 in FIG. 13). This is the same as the control operation described in 902 of FIG.
さらに、NW設定管理テーブル608に、図13に示されるGID=2のエントリが生成される。そして、上記グループに対応して、仮想NW−ID=VLAN20、サブネットアドレス=192.168.20.0/24、SSID20の各ネットワーク設定値を有するVLANが割り当てられる。また、認可リソースとして、IPアドレス=192.168.20.10を有する成績サーバ107bが登録される(図13の1303)。これは、図9の903で説明した制御動作と同様である。 Furthermore, an entry with GID = 2 shown in FIG. 13 is generated in the NW setting management table 608. Corresponding to the group, a VLAN having the network setting values of virtual NW-ID = VLAN 20, subnet address = 192.168.20.0 / 24, and SSID 20 is assigned. Also, the grade server 107b having IP address = 192.168.20.10 is registered as an authorized resource (1303 in FIG. 13). This is the same as the control operation described in step 903 of FIG.
次に、先生端末108aからは、成績サーバ107bだけではなく、教材サーバ107aへもアクセスできる必要がある。この教材サーバ107aは、仮想NW−ID=VLAN20のVLANと仮想NW−ID=VLAN10のVLANとで共有される共有リソースである。しかし、教材サーバ107aは既に仮想NW−ID=VLAN10に所属しており、これに重複して、教材サーバ107aを仮想NW−ID=VLAN20に所属させることはできない。 Next, it is necessary for the teacher terminal 108a to be able to access not only the grade server 107b but also the learning material server 107a. This teaching material server 107a is a shared resource shared by the VLAN of virtual NW-ID = VLAN 20 and the VLAN of virtual NW-ID = VLAN 10. However, the learning material server 107 a already belongs to the virtual NW-ID = VLAN 10, and the learning material server 107 a cannot belong to the virtual NW-ID = VLAN 20 redundantly.
そこで、本実施形態では、最初に教材サーバ107aが登録されたGID=1のグループの後から教材サーバ107aへのアクセスが認可されるGID=2のグループにおいては、NW設定管理テーブル608の「認可リソース」項目に教材サーバ107aは登録しない(図13の1303−1)。 Therefore, in this embodiment, in the GID = 2 group in which access to the learning material server 107a is authorized after the GID = 1 group in which the learning material server 107a is first registered, “authorization” of the NW setting management table 608 is used. The teaching material server 107a is not registered in the “resource” item (1303-1 in FIG. 13).
そして、図1のコントローラ101内のNW設定管理部603は、NW設定管理テーブル608のGID=2とGID=1の各エントリの「転送設定」項目を設定する(図13の1303−2)。これは、仮想NW−ID=VLAN20に所属する先生端末108aから仮想NW−ID=VLAN10に所属する教材サーバ107aにアクセスできるようにするためである。具体的には、NW設定管理部603は、NW設定管理テーブル608において、以下の設定を行う。まず、NW設定管理部603は、共有リソースの教材サーバ107aが所属しない方のGID=2のエントリの「転送設定」項目に、サブネットアドレス=192.168.20.0/24からIPアドレス=192.168.10.10への転送情報を設定する。ここで、サブネットアドレス=192.168.20.0/24は、転送情報の設定が行われるGID=2のエントリ自身の「サブネットアドレス」項目に登録されているサブネットアドレスである。また、IPアドレス=192.168.10.10は、共有リソースである教材サーバ107aが所属する方のGID=1のエントリの「認可リソース」項目に登録されている、共有リソースである教材サーバ107aのIPアドレスである。一方、NW設定管理部603は、共有リソースの教材サーバ107aが所属する方のGID=1のエントリの「転送設定」項目に、IPアドレス=192.168.10.10からサブネットアドレス=192.168.20.0/24への転送情報を設定する。ここで、IPアドレス=192.168.10.10は、転送情報の設定が行われるGID=1のエントリ自身の「認可リソース」項目に登録されている、共有リソースである教材サーバ107aのIPアドレスである。また、サブネットアドレス=192.168.20.0/24は、共有リソースである教材サーバ107aが所属しない方のGID=2のエントリの「サブネットアドレス」項目に登録されているサブネットアドレスである。 Then, the NW setting management unit 603 in the controller 101 in FIG. 1 sets the “transfer setting” item of each entry of GID = 2 and GID = 1 in the NW setting management table 608 (1303-2 in FIG. 13). This is because the teacher terminal 108 a belonging to the virtual NW-ID = VLAN 20 can access the learning material server 107 a belonging to the virtual NW-ID = VLAN 10. Specifically, the NW setting management unit 603 performs the following settings in the NW setting management table 608. First, the NW setting management unit 603 assigns the IP address = 192 from the subnet address = 192.168.20.0 / 24 to the “transfer setting” item of the GID = 2 entry to which the educational resource server 107a of the shared resource does not belong. Set the transfer information to 168.10.10. Here, subnet address = 192.168.20.0 / 24 is a subnet address registered in the “subnet address” item of the entry of GID = 2 for which transfer information is set. The IP address = 192.168.10.10 is a learning resource server 107a that is a shared resource and is registered in the “authorized resource” item of the GID = 1 entry of the person to which the learning material server 107a that is the shared resource belongs. IP address. On the other hand, the NW setting management unit 603 changes the IP address = 192.168.10.10 to the subnet address = 192.168 in the “transfer setting” item of the GID = 1 entry to which the shared resource teaching material server 107a belongs. Set the transfer information to 20.0 / 24. Here, IP address = 192.168.10.10. Is the IP address of the learning material server 107a, which is a shared resource, registered in the “authorized resource” item of the entry of GID = 1 for which transfer information is set. It is. Further, the subnet address = 192.168.20.0 / 24 is a subnet address registered in the “subnet address” item of the GID = 2 entry to which the teaching material server 107a that is a shared resource does not belong.
ここで、共有リソースである教材サーバ107aが所属しない方の仮想NW−ID=VLAN20のVLANの転送情報にそのVLANのサブネットアドレスが登録されるのは、VLAN20側には複数の先生端末108aが所属する可能性があるためである。すなわち、仮想NW−ID=VLAN20のVLANのサブネットアドレス内のIPアドレスを有するどの先生端末108aからも、仮想NW−ID=VLAN10のVLANに所属する教材サーバ107aにアクセスできることになる。 Here, the subnet address of the VLAN is registered in the VLAN transfer information of the virtual NW-ID = VLAN 20 to which the teaching material server 107a which is a shared resource does not belong. A plurality of teacher terminals 108a belong to the VLAN 20 side. This is because there is a possibility. That is, any teacher terminal 108 a having an IP address within the subnet address of the VLAN with the virtual NW-ID = VLAN 20 can access the teaching material server 107 a belonging to the VLAN with the virtual NW-ID = VLAN 10.
ここまでの設定処理の後、コントローラ101内のNW機器設定要求送信部604(図6参照)は、ルータ103に対して、VLANに関する設定情報と、VLANに関する転送情報を送信する(図13の1304)。 After the setting processing so far, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits the setting information about the VLAN and the transfer information about the VLAN to the router 103 (1304 in FIG. 13). ).
まず、VLANに関する設定情報には、図13の1303−2で「転送設定」項目への転送設定が行われたGID=2とGID=1の各エントリの「仮想NW−ID」項目に登録されている仮想NW−ID=VLAN20とVLAN10が含まれる。また、この設定情報には、各仮想NW−IDに対応して、GID=2とGID=1の各エントリの「サブネットアドレス」項目に登録されているサブネットアドレス=192.168.20.0/24と192.168.10.0/24が含まれる。この設定情報は、宛先IPアドレスとしてルータ103の設定インタフェース(後述する図26の2603参照)のIPアドレスが指定されたIPパケットに格納される。そのIPアドレスは、仮想NW−ID=VLAN100が付加されたイーサネットフレームに格納されて、送信される。スイッチ102は、コントローラ101から受信した上記イーサネットフレームに付加されている仮想NW−ID=VLAN100が、スイッチ102内のどのポートにも割り当てられていないことを確認すると、そのイーサネットフレームをトランクポートに中継する。この結果、上記イーサネットフレームは、スイッチ102のトランクポートに接続されるルータ103に到達する。ルータ103は、スイッチ102から受信したイーサネットフレームに仮想NW−ID=VLAN100が付加されていることを確認する。また、ルータ103は、そのイーサネットフレームから取り出したIPパケットに付与されている宛先IPアドレスが、ルータ103の設定インタフェース2603自身に予め付与されているIPアドレスと一致することを確認する。さらに、ルータ103は、上記IPパケットに付与されている送信元IPアドレスが、コントローラ101に予め付与されているIPアドレスであることを確認する。これらの確認がOKならば、ルータ103は、上記IPパケットから設定情報を取り出す。さらに、ルータ103は、その設定情報から2つの仮想NW−ID=VLAN20とVLAN10、およびそれらに対応するサブネットアドレス=192.168.20.0/24と192.168.10.0/24を取り出す。 First, the setting information related to the VLAN is registered in the “virtual NW-ID” item of each entry of GID = 2 and GID = 1 in which transfer setting to the “transfer setting” item is performed in 1303-2 of FIG. 13. Virtual NW-ID = VLAN 20 and VLAN 10 are included. Also, in this setting information, the subnet address registered in the “subnet address” item of each entry of GID = 2 and GID = 1 corresponding to each virtual NW-ID = 192.168.20.0 / 24 and 192.168.10.0/24 are included. This setting information is stored in an IP packet in which the IP address of the setting interface (see 2603 in FIG. 26 described later) of the router 103 is designated as the destination IP address. The IP address is stored in an Ethernet frame to which virtual NW-ID = VLAN 100 is added and transmitted. When the switch 102 confirms that the virtual NW-ID = VLAN 100 added to the Ethernet frame received from the controller 101 is not assigned to any port in the switch 102, the switch 102 relays the Ethernet frame to the trunk port. To do. As a result, the Ethernet frame reaches the router 103 connected to the trunk port of the switch 102. The router 103 confirms that the virtual NW-ID = VLAN 100 is added to the Ethernet frame received from the switch 102. Also, the router 103 confirms that the destination IP address assigned to the IP packet extracted from the Ethernet frame matches the IP address assigned in advance to the setting interface 2603 itself of the router 103. Further, the router 103 confirms that the source IP address assigned to the IP packet is an IP address assigned to the controller 101 in advance. If these confirmations are OK, the router 103 extracts setting information from the IP packet. Further, the router 103 extracts two virtual NW-IDs = VLAN 20 and VLAN 10 and their corresponding subnet addresses = 192.168.20.0 / 24 and 192.168.10.0/24 from the setting information. .
ここで、図26で後述するが、ルータ103は、サブインタフェース(後述する図26の2601参照)と呼ばれる論理的なインタフェースを持つことができる。ルータ103の特には図示しない物理インタフェース(イーサネットインタフェース)は、図1のスイッチ102の例えばトランクポートに接続されている。複数のサブインタフェースは、この物理インタフェース上に設定される。そして、各サブインタフェースは、ルータ103で転送制御されるVLANの数に応じて設定される。VLANが増えれば、このサブインタフェースの数は設定可能なVLANの数だけ増加させることが可能である。 Here, as will be described later with reference to FIG. 26, the router 103 can have a logical interface called a sub-interface (see 2601 in FIG. 26 described later). A physical interface (Ethernet interface) (not shown) of the router 103 is connected to, for example, a trunk port of the switch 102 in FIG. A plurality of subinterfaces are set on this physical interface. Each sub-interface is set according to the number of VLANs whose transfer is controlled by the router 103. If the number of VLANs increases, the number of subinterfaces can be increased by the number of VLANs that can be set.
そこで、ルータ103は、上記設定情報から取り出した各仮想NW−ID=VLAN10とVLAN20に対応する各サブインタフェースが、生成済みであるか否かを確認する。 Therefore, the router 103 confirms whether or not each sub-interface corresponding to each virtual NW-ID = VLAN 10 and VLAN 20 extracted from the setting information has been generated.
そして、これらのサブインタフェースが生成されていなければ、ルータ103は、上記設定情報から取得した仮想NW−ID=VLAN10とVLAN20がそれぞれ設定された各サブインタフェースを生成する。また、ルータ103は、上記設定情報から取得したサブネットアドレス=192.168.10.0/24に基づいて、第1のサブインタフェースのIPアドレスを、そのサブネットアドレス内の例えば先頭のIPアドレスである192.168.10.1に設定する。同様に、ルータ103は、上記設定情報から取得したサブネットアドレス=192.168.20.0/24に基づいて、第2のサブインタフェースのIPアドレスを、そのサブネットアドレス内の例えば先頭のIPアドレスである192.168.20.1に設定する。 If these subinterfaces are not generated, the router 103 generates subinterfaces in which the virtual NW-ID = VLAN 10 and VLAN 20 acquired from the setting information are respectively set. In addition, the router 103 sets the IP address of the first subinterface to, for example, the first IP address in the subnet address based on the subnet address = 192.168.10.0 / 24 acquired from the setting information. Set to 192.168.10.1. Similarly, based on the subnet address = 192.168.20.0 / 24 acquired from the setting information, the router 103 sets the IP address of the second subinterface to, for example, the first IP address in the subnet address. It is set to a certain 192.168.20.1.
一方、VLANに関する転送情報は、図13の1303−2で共有リソースである教材サーバ107aが所属しない方のGID=2のエントリで、「転送設定」項目に登録された転送情報と、「仮想NW−ID」項目に登録された仮想NW−ID=VLAN20を含む。また、転送情報は、図13の1303−2で共有リソースである教材サーバ107aが所属する方のGID=1のエントリで、「転送設定」項目に登録された転送情報と、「仮想NW−ID」項目に登録された仮想NW−ID=VLAN10を含む。この転送情報は、例えばRIP(Routing Information Protocol)などのダイナミックルーティングプロトコルを用いることにより、コントローラ101からルータ103に転送できる。このプロトコルは既存の技術であるため、その説明は省略する。ルータ103は、上記転送情報を受信した後、その転送情報に基づいて経路情報を生成し、内部に保持するルーティングテーブル(後述する図26、図27(a)の2606参照)に登録する。また、設定制御部2604は、上記転送情報に基づいてフィルタリング情報を生成し、内部に保持するフィルタリングテーブル(後述する図26、図27(b)の2607参照)に生成する。 On the other hand, the transfer information related to the VLAN is an entry of GID = 2 of the person 1303-2 of FIG. 13 to which the teaching material server 107a that is a shared resource does not belong, the transfer information registered in the “transfer setting” item, and the “virtual NW” The virtual NW-ID = VLAN 20 registered in the “-ID” item is included. Further, the transfer information is an entry of GID = 1 of the person to which the teaching material server 107a which is a shared resource belongs in 1303-2 of FIG. 13, and the transfer information registered in the “transfer setting” item, and “virtual NW-ID” ”Includes the virtual NW-ID = VLAN 10 registered in the item. This transfer information can be transferred from the controller 101 to the router 103 by using a dynamic routing protocol such as RIP (Routing Information Protocol). Since this protocol is an existing technology, its description is omitted. After receiving the transfer information, the router 103 generates route information based on the transfer information and registers it in a routing table held therein (see 2606 in FIGS. 26 and 27A described later). Also, the setting control unit 2604 generates filtering information based on the transfer information, and generates it in a filtering table held inside (see 2607 in FIGS. 26 and 27B described later).
前述したように、図13のNW設定管理テーブル608のGID=2のエントリの「転送設定」項目には、サブネットアドレス=192.168.20.0/24からIPアドレス=192.168.10.10への転送情報が設定されている。ルータ103は、この転送情報に基づいて、次のような第1の経路情報を生成する。この第1の経路情報は、宛先IPアドレスが192.168.10.0、ネットマスクが255.255.255.0のサブネットアドレスに属するIPパケットが、IPアドレスが192.168.10.1である第1のサブインタフェース(仮想NW−ID=VLAN10)に転送される旨を定義している。また、ルータ103は、上記転送情報に基づいて、次のような第1のフィルタリング情報を生成する。この第1のフィルタリング情報は、全てのプロトコル、全ての送信元ポート番号、および全ての宛先ポート番号が設定されたIPパケットを、第1のサブインタフェースに転送するフィルタリングを定義している。かつ、第1のフィルタリング情報は、サブネットアドレス=192.168.20.0内の任意の送信元IPアドレスのNW機器からのIPパケットを、第1のサブインタフェースに転送するフィルタリングを定義している。かつ、第1のフィルタリング情報は、宛先IPアドレスが教材サーバ107aのIPアドレス=192.168.10.10であるIPパケットのみを、第1のサブインタフェースに転送するフィルタリングを定義している。 As described above, the “transfer setting” item of the GID = 2 entry in the NW setting management table 608 in FIG. 13 includes the subnet address = 192.168.20.0 / 24 to the IP address = 192.168.10. Transfer information to 10 is set. The router 103 generates the following first route information based on this transfer information. In this first route information, an IP packet belonging to a subnet address having a destination IP address of 192.168.10.0 and a netmask of 255.255.255.0 has an IP address of 192.168.10.1. It defines that data is transferred to a certain first sub-interface (virtual NW-ID = VLAN 10). Further, the router 103 generates the following first filtering information based on the transfer information. The first filtering information defines filtering for transferring IP packets in which all protocols, all transmission source port numbers, and all destination port numbers are set to the first subinterface. The first filtering information defines filtering for forwarding an IP packet from an NW device having an arbitrary source IP address within the subnet address = 192.168.20.0 to the first subinterface. . In addition, the first filtering information defines filtering for transferring only an IP packet whose destination IP address is the IP address = 192.168.10.10 of the learning material server 107a to the first subinterface.
同様に前述したように、図13のNW設定管理テーブル608のGID=1のエントリの「転送設定」項目には、IPアドレス=192.168.10.10からサブネットアドレス=192.168.20.0/24への転送情報が設定されている。ルータ103は、この転送情報に基づいて、次のような第2の経路情報を生成する。この第2の経路情報は、宛先IPアドレスが192.168.20.0、ネットマスクが255.255.255.0のサブネットアドレスに属するIPパケットが、IPアドレスが192.168.20.1の第2のサブインタフェース(仮想NW−ID=VLAN20)に転送される旨を定義している。また、ルータ103は、上記転送情報に基づいて、次のような第2のフィルタリング情報を生成する。この第2のフィルタリング情報は、全てのプロトコル、全ての送信元ポート番号、および全ての宛先ポート番号が設定されたIPパケットを、第2のサブインタフェースに転送するフィルタリングを定義している。かつ、第2のフィルタリング情報は、送信元IPアドレスが教材サーバ107aのIPアドレス=192.168.10.10からのIPパケットのみを、第2のサブインタフェースに転送するフィルタリングを定義している。かつ、第2のフィルタリング情報は、、サブネットアドレス=192.168.20.0内の任意の宛先IPアドレスのNW機器宛てのIPパケットを、第2のサブインタフェースに転送するフィルタリングを定義している。 Similarly, as described above, the “transfer setting” item of the GID = 1 entry in the NW setting management table 608 in FIG. 13 includes IP address = 192.168.10.10 to subnet address = 192.168.20. Transfer information to 0/24 is set. The router 103 generates the following second route information based on this transfer information. In this second route information, an IP packet belonging to a subnet address having a destination IP address of 192.168.20.0 and a netmask of 255.255.255.0 has an IP address of 192.168.20.1. It defines that the data is transferred to the second subinterface (virtual NW-ID = VLAN20). Further, the router 103 generates the following second filtering information based on the transfer information. This second filtering information defines filtering for forwarding IP packets in which all protocols, all transmission source port numbers, and all destination port numbers are set to the second subinterface. In addition, the second filtering information defines filtering in which only the IP packet whose source IP address is from the IP address = 192.168.10.10 of the learning material server 107a is transferred to the second subinterface. The second filtering information defines filtering for forwarding an IP packet addressed to an NW device having an arbitrary destination IP address within the subnet address = 192.168.20.0 to the second subinterface. .
次に、コントローラ101内のNW機器設定要求送信部604(図6参照)は、スイッチ102に対して、ポート番号と仮想NW−IDの組からなる設定情報を送信する(図13の1305)。設定情報のポート番号としては、図13のNWリソース管理テーブル607の「GID」項目=2のエントリの「認可リソース」項目=「成績サーバ」に対応する成績サーバ107bが接続されているポートのポート番号、例えば2が設定される。なお、コントローラ101は、教材サーバ107aや成績サーバ107bがスイッチ102に接続されている各ポートのポート番号は、予め認識しているものとする。設定情報の仮想NW−IDとしては、図13のNW設定管理テーブル608の「GID」項目=2のエントリの「仮想NW−ID」項目の値=VLAN20が設定される。その後の制御動作は、前述した図9の904と同様である。この結果、スイッチ102は、内部に保持するVLANテーブル(後述する図24、図25(b)の2407参照)に、上記設定情報に含まれるポート番号=2と仮想NW−ID=VLAN20の組のエントリを登録する。このようにして、成績サーバ107bが接続されるスイッチ102のポート番号2のポートに仮想NW−ID=VLAN20が設定され、成績サーバ107bが仮想NW−ID=VLAN20のVLANに所属することになる。 Next, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information including a set of a port number and a virtual NW-ID to the switch 102 (1305 in FIG. 13). As the port number of the setting information, the port of the port to which the grade server 107b corresponding to the “authorization resource” item = “grade server” of the entry “GID” = 2 in the NW resource management table 607 in FIG. 13 is connected A number, for example, 2 is set. It is assumed that the controller 101 recognizes in advance the port number of each port connected to the switch 102 by the teaching material server 107a and the grade server 107b. As the virtual NW-ID of the setting information, the value of the “virtual NW-ID” item of the “GID” item = 2 entry of the NW setting management table 608 in FIG. The subsequent control operation is the same as 904 in FIG. As a result, the switch 102 stores the set of port number = 2 and virtual NW-ID = VLAN 20 included in the setting information in the VLAN table (see 2407 in FIGS. 24 and 25B described later). Create an entry. In this way, the virtual NW-ID = VLAN 20 is set to the port of port number 2 of the switch 102 to which the grade server 107b is connected, and the grade server 107b belongs to the VLAN of the virtual NW-ID = VLAN 20.
次に、コントローラ101内のNW機器設定要求送信部604(図6参照)は、図1のWLAN−AP104に対して、SSIDと仮想NW−IDの組からなる設定情報を送信する(図13の1306)。設定情報のSSIDとしては、図13のNWリソース管理テーブル607の「GID」項目=2のエントリの「SSID」項目の値=SSID20が設定される。設定情報の仮想NW−IDとしては、上記エントリの「仮想NW−ID」項目の値=VLAN20が設定される。その制御動作は、前述した図9の905と同様である。この結果、WLAN−AP104は、内部に保持するSSIDテーブル(後述する図33の3301参照)に、上記設定情報に含まれるSSID=SSID20と仮想NW−ID=VLAN20の組のエントリを登録する。このようにして、WLAN−AP104に、コントローラ101で新たに設定された仮想NW−ID=VLAN20のVLAN用に専用に使用されるSSID=SSID20を設定することができる。 Next, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information including a set of SSID and virtual NW-ID to the WLAN-AP 104 of FIG. 1 (FIG. 13). 1306). As the SSID of the setting information, the value of the “SSID” item of the entry “GID” = 2 in the NW resource management table 607 in FIG. As the virtual NW-ID of the setting information, the value of the “virtual NW-ID” item of the above entry = VLAN 20 is set. The control operation is the same as 905 in FIG. As a result, the WLAN-AP 104 registers an entry of a set of SSID = SSID 20 and virtual NW-ID = VLAN 20 included in the setting information in an SSID table (see 3301 in FIG. 33 described later) held therein. In this way, the SSID = SSID 20 that is used exclusively for the VLAN of the virtual NW-ID = VLAN 20 newly set by the controller 101 can be set in the WLAN-AP 104.
次に、コントローラ101内のNW機器設定要求送信部604(図6参照)は、状態を通知してきた先生端末108aに対して、SSIDと仮想NW−IDの組からなる設定情報を送信する(図13の1307)。設定情報のSSIDとしては、図13のNWリソース管理テーブル607の「GID」項目=2のエントリの「SSID」項目の値=SSID20が設定される。設定情報の仮想NW−IDとしては、上記エントリの「仮想NW−ID」項目の値=VLAN20が設定される。その後の制御動作は、前述した図9の906と同様である。この結果、上記設定情報が格納された無線LANフレームは、WLAN−AP104からの無線送信により、先生端末108aに到達する。 Next, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information including a set of SSID and virtual NW-ID to the teacher terminal 108a that has notified the state (FIG. 6). 13 of 1307). As the SSID of the setting information, the value of the “SSID” item of the entry “GID” = 2 in the NW resource management table 607 in FIG. As the virtual NW-ID of the setting information, the value of the “virtual NW-ID” item of the above entry = VLAN 20 is set. The subsequent control operation is the same as 906 in FIG. 9 described above. As a result, the wireless LAN frame in which the setting information is stored reaches the teacher terminal 108a by wireless transmission from the WLAN-AP 104.
さらに、コントローラ101内のNW機器設定要求送信部604(図6参照)は、DHCPサーバ105に対して、仮想NW−IDとサブネットアドレスの組からなる設定情報を送信する(図13の1308)。設定情報の仮想NW−IDとしては、図13のNW設定管理テーブル608の「GID」項目=2のエントリの「仮想NW−ID」項目の値=VLAN20が設定される。設定情報のサブネットアドレスとしては、上記エントリの「サブネットアドレス」項目の値=192.168.20.0/24が設定される。その後の制御動作は、前述した図9の907と同様である。この結果、DHCPサーバ105は、内部に保持する設定テーブル(後述する図28、図29の2807参照)に、上記設定情報に含まれる仮想NW−ID=VLAN20とサブネットアドレス=192.168.20.0/24の組のエントリを登録する。この結果、DHCPサーバ105は、コントローラ101にて新たに設定された仮想NW−ID=VLAN20のVLANについて、そのVLANに対応するサブネットアドレスに属するIPアドレスの払い出しを行うことができるようになる。なお、このIPアドレスの範囲は、コントローラ101の図6に示されるNW設定管理部603がNW設定管理テーブル608の「認可リソース」項目に設定するサーバ107のIPアドレスの範囲とは重複しないように設定される。 Further, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information including a set of the virtual NW-ID and the subnet address to the DHCP server 105 (1308 in FIG. 13). As the virtual NW-ID of the setting information, the value of the “virtual NW-ID” item of the “GID” item = 2 entry of the NW setting management table 608 in FIG. As the subnet address of the setting information, the value of the “subnet address” item of the entry = 192.168.20.0 / 24 is set. The subsequent control operation is the same as 907 in FIG. 9 described above. As a result, the DHCP server 105 includes a virtual NW-ID = VLAN 20 and a subnet address = 192.168.20.N included in the setting information in a setting table held therein (see 2807 in FIGS. 28 and 29 described later). Register 0/24 set of entries. As a result, the DHCP server 105 can issue an IP address belonging to the subnet address corresponding to the VLAN of the virtual NW-ID = VLAN 20 newly set by the controller 101. It should be noted that this IP address range does not overlap with the IP address range of the server 107 set in the “authorization resource” item of the NW setting management table 608 by the NW setting management unit 603 shown in FIG. Is set.
以上のようにして、コントローラ101は、先生端末108aが通知してきた端末の状態=「先生端末」+「自習アプリ」と、制御ポリシテーブル606上のCID=2の制御ポリシとに基づいて、仮想NW−ID=VLAN20のVLANを設定する。このVLANには、先生端末108aから教材サーバ107aおよび成績サーバ107bの両方にアクセス可能というアクセス制限が設定されている。 As described above, the controller 101 determines whether or not the terminal state = “teacher terminal” + “self-study application” notified by the teacher terminal 108 a and the control policy of CID = 2 on the control policy table 606. A VLAN with NW-ID = VLAN 20 is set. In this VLAN, an access restriction is set such that both the teaching material server 107a and the grade server 107b can be accessed from the teacher terminal 108a.
コントローラ101による以上の制御動作の後、コントローラ101内のNW機器設定要求送信部604は、成績サーバ107bに対して、新たなIPアドレスを指定する設定情報を送信する(図13の1309)。この設定情報には、NW設定管理テーブル608のGID=2のエントリの「認可リソース」項目に登録されたIPアドレス=192.168.20.10が格納される。この結果、成績サーバ107bのIPアドレスが、仮想NW−ID=VLAN20に対応するサブネットアドレス192.168.20.0/24に所属するIPアドレス=192.168.20.10に設定される。 After the above control operation by the controller 101, the NW device setting request transmission unit 604 in the controller 101 transmits setting information for designating a new IP address to the results server 107b (1309 in FIG. 13). In this setting information, the IP address = 192.168.20.10 registered in the “authorization resource” item of the GID = 2 entry in the NW setting management table 608 is stored. As a result, the IP address of the grade server 107b is set to IP address = 192.168.20.10 belonging to the subnet address 192.168.20.0/24 corresponding to the virtual NW-ID = VLAN20.
なお、図9の教材サーバ107aへのIPアドレスの設定の場合と同様に、成績サーバ107bへのIPアドレスの設定は、コントローラ101からではなく、成績サーバ107bがDHCPサーバ105に問い合わせて行うようにしてもよい。 As in the case of setting the IP address to the learning material server 107a in FIG. 9, the setting of the IP address to the grade server 107b is performed not by the controller 101 but by the grade server 107b inquiring to the DHCP server 105. May be.
次に、先生端末108aは、コントローラ101からVLANの設定情報が格納された自分宛ての無線LANフレームを受信する(図13の1307)。その後の制御動作は、前述した図9の906と同様である。先生端末108aは、上記設定情報から本接続用のSSID=SSID20と本接続用の仮想NW−ID=VLAN20を取得する。その後、先生端末108aは、コントローラ101との仮接続を切断する。なお、コントローラ101の側から仮接続を切断してもよい。 Next, the teacher terminal 108a receives a wireless LAN frame addressed to itself storing the VLAN setting information from the controller 101 (1307 in FIG. 13). The subsequent control operation is the same as 906 in FIG. 9 described above. The teacher terminal 108a acquires SSID = SSID20 for main connection and virtual NW-ID = VLAN20 for main connection from the setting information. Thereafter, the teacher terminal 108a disconnects the temporary connection with the controller 101. The temporary connection may be disconnected from the controller 101 side.
これ以後、先生端末108aは、本接続の状態に移行する。まず、先生端末108aは、コントローラ101から受信した本接続用のSSID=SSID20を用いて、図1のWLAN−AP104に無線接続する。 Thereafter, the teacher terminal 108a shifts to the main connection state. First, the teacher terminal 108 a wirelessly connects to the WLAN-AP 104 of FIG. 1 using the SSID = SSID 20 for main connection received from the controller 101.
次に、先生端末108aは、DHCPプロトコルに従って、コントローラ101から取得した本接続用の仮想NW−ID=VLAN20を付加して、図1のDHCPサーバ105に向けて、IPアドレスの再取得を要求する(図13の1310)。その後の制御動作は、前述した図9の909と同様である。すなわち、前述したコントローラ101による図13の1308の制御により、DHCPサーバ105は、内部の設定テーブルに、仮想NW−ID=VLAN20のVLANに対してIPアドレスの払出し範囲が設定されたエントリを記憶している。DHCPサーバ105は、先生端末108aからの要求メッセージに付加されている仮想NW−ID=VLAN20に対応するエントリ中の払出し範囲から未使用のIPアドレス=192.168.20.20を選択する。そして、DHCPサーバ105は、そのIPアドレスを先生端末108aに通知する。先生端末108aは、DHCPプロトコルに従って、DHCPサーバ105が払い出したIPアドレスを受信する。以後、先生端末108aは、このIPアドレス=192.168.20.20を、本接続用のIPアドレスとして使用する。 Next, the teacher terminal 108a adds the virtual NW-ID = VLAN 20 for main connection acquired from the controller 101 according to the DHCP protocol, and requests the DHCP server 105 of FIG. 1 to reacquire the IP address. (1310 in FIG. 13). The subsequent control operation is the same as 909 in FIG. 9 described above. That is, by the control of 1308 in FIG. 13 by the controller 101 described above, the DHCP server 105 stores an entry in which the IP address payout range is set for the VLAN of virtual NW-ID = VLAN 20 in the internal setting table. ing. The DHCP server 105 selects an unused IP address = 192.168.20.20 from the payout range in the entry corresponding to the virtual NW-ID = VLAN 20 added to the request message from the teacher terminal 108a. Then, the DHCP server 105 notifies the teacher terminal 108a of the IP address. The teacher terminal 108a receives the IP address issued by the DHCP server 105 in accordance with the DHCP protocol. Thereafter, the teacher terminal 108a uses this IP address = 192.168.20.20 as the IP address for this connection.
その後、先生端末108aの接続制御部3202は、先生端末108a自身で実行が開始されているユーザアプリ3205(図32参照)である自習アプリとの連携動作を開始する。 Thereafter, the connection control unit 3202 of the teacher terminal 108a starts a cooperative operation with the self-study application that is the user application 3205 (see FIG. 32) that has been started on the teacher terminal 108a itself.
自習アプリとの連携動作の中で、先生端末108aは、成績サーバ107bへの送信用のデータを受け取ると、図9の生徒端末108bの場合と同様にし、以下の接続制御動作を実行する。 In the cooperative operation with the self-study application, when the teacher terminal 108a receives data for transmission to the grade server 107b, the teacher terminal 108a executes the following connection control operation in the same manner as the student terminal 108b in FIG.
まず、先生端末108aは、成績サーバ107bの名前として例えば「seiseki.server.com」をキーとして、図1のDNSサーバ106に成績サーバ107bのIPアドレスを問い合わせる。問合せメッセージが格納された無線LANフレームには本接続用の仮想NW−ID=VLAN20が付加される。図9と同様に、DNSサーバ106が、内部に保持している設定テーブル(後述する図30、図31の3007参照)から、受信した問合せメッセージに付加されている成績サーバ107bのサーバ名=「seiseki.server.com」が登録されているエントリを検索する。DNSサーバ106は、検索されたエントリから、IPアドレス=192.168.20.10を取得し、そのIPアドレスを先生端末108aに通知する。先生端末108aは、このIPアドレスをキャッシュし、次回以降自習アプリから成績サーバ107bへの送信用のデータを受け取ったときは、成績サーバ107bの名前の指定に対してこのIPアドレスを用いる。 First, the teacher terminal 108a inquires of the DNS server 106 of FIG. 1 about the IP address of the grade server 107b using “seiseki.server.com” as a key as the name of the grade server 107b. A virtual NW-ID = VLAN 20 for main connection is added to the wireless LAN frame in which the inquiry message is stored. As in FIG. 9, the server name of the grade server 107 b added to the received inquiry message from the setting table (see 3007 in FIG. 30 and FIG. 31 described later) held internally by the DNS server 106 = “ Search for an entry in which “seiseki.server.com” is registered. The DNS server 106 acquires IP address = 192.168.20.10 from the retrieved entry and notifies the teacher terminal 108a of the IP address. The teacher terminal 108a caches this IP address, and when receiving data for transmission from the self-study application to the grade server 107b from the next time, the teacher terminal 108a uses this IP address for designation of the name of the grade server 107b.
次に、先生端末108aは、DNSサーバ106から取得したIPアドレスが宛先IPアドレスとして設定され、DHCPサーバ105から取得した本接続用の自身のIPアドレスが送信元IPアドレスとして設定されたIPパケットを生成する。すなわち、宛先IPアドレスは、成績サーバ107bのIPアドレス=192.168.20.10である。また、送信元IPアドレスは、先生端末108a自身のIPアドレス=192.168.20.20である。 Next, the teacher terminal 108a receives an IP packet in which the IP address acquired from the DNS server 106 is set as the destination IP address, and its own IP address acquired from the DHCP server 105 is set as the source IP address. Generate. That is, the destination IP address is the IP address of the grade server 107b = 192.168.20.10. The transmission source IP address is the IP address of the teacher terminal 108a itself = 192.168.20.20.
先生端末108aは、このIPパケットのデータ部に、成績サーバ107bへの送信用のデータを格納する。 The teacher terminal 108a stores data for transmission to the grade server 107b in the data portion of the IP packet.
先生端末108aは、上記IPパケットが格納された無線LANフレームを生成する。
先生端末108aは、この無線LANフレームに、コントローラ101から取得している本接続用の仮想NW−ID=VLAN20をタグとして付加し、成績サーバ107b宛てに送信する。
The teacher terminal 108a generates a wireless LAN frame in which the IP packet is stored.
The teacher terminal 108a adds the virtual NW-ID = VLAN20 for main connection acquired from the controller 101 as a tag to the wireless LAN frame, and transmits it to the grade server 107b.
WLAN−AP104のSSIDテーブルには、前述した図13の1306の制御動作により、本接続用のSSID=SSID20と仮想NW−ID=VLAN20の組のエントリが予め記憶されている。WLAN−AP104は、先生端末108aから受信したSSIDが上記SSID20に一致し、また、無線LANフレームに仮想NW−ID=VLAN20が付加されていることを確認する。この確認がOKならば、WLAN−AP104は、先生端末108aから受信した無線LANのフレームに格納されて送られてきたIPパケットをイーサネットフレームに乗せ替えて、そのイーサネットフレームをスイッチ102に転送する。このイーサネットフレームには、無線LANフレームに付加されていた仮想NW−ID=VLAN20がタグとして付加される。 In the SSID table of the WLAN-AP 104, entries of a set of SSID = SSID20 and virtual NW-ID = VLAN20 for main connection are stored in advance by the control operation of 1306 in FIG. The WLAN-AP 104 confirms that the SSID received from the teacher terminal 108a matches the SSID 20 and that the virtual NW-ID = VLAN 20 is added to the wireless LAN frame. If the confirmation is OK, the WLAN-AP 104 transfers the IP packet stored in the wireless LAN frame received from the teacher terminal 108 a to the Ethernet frame and transfers the Ethernet frame to the switch 102. In this Ethernet frame, the virtual NW-ID = VLAN 20 added to the wireless LAN frame is added as a tag.
スイッチ102は、WLAN−AP104が接続されるトランクポートから受信したイーサネットフレームに付加されている仮想NW−IDがVLAN20であることを確認する。この結果、スイッチ102は、そのイーサネットフレームを、同じ仮想NW−ID=VLAN20が設定されているポートに中継する。前述した図13の1305の制御動作により、スイッチ102のVLANテーブル(後述する図24、図25(b)の2407参照)には、ポート番号=2のポートに仮想NW−ID=VLAN20が設定されている。これにより、スイッチ102は、上記イーサネットフレームを、成績サーバ107bが接続されているポート番号=2のポートに中継する。この結果、上記イーサネットフレームが、成績サーバ107bに着信する。 The switch 102 confirms that the virtual NW-ID added to the Ethernet frame received from the trunk port to which the WLAN-AP 104 is connected is the VLAN 20. As a result, the switch 102 relays the Ethernet frame to a port in which the same virtual NW-ID = VLAN 20 is set. As a result of the control operation of 1305 in FIG. 13 described above, the virtual NW-ID = VLAN20 is set to the port of port number = 2 in the VLAN table of the switch 102 (see 2407 in FIGS. 24 and 25B described later). ing. Thereby, the switch 102 relays the Ethernet frame to the port of port number = 2 to which the grade server 107b is connected. As a result, the Ethernet frame arrives at the grade server 107b.
成績サーバ107bは、このイーサネットフレームからIPパケットを取り出し、このIPパケットから宛先IPアドレス=192.168.20.10と送信元IPアドレス=192.168.20.20を取り出す。成績サーバ107bは、宛先IPアドレスが自身のIPアドレスに一致することを確認して、そのIPパケットからデータを取り出して処理する。 The grade server 107b extracts the IP packet from the Ethernet frame, and extracts the destination IP address = 192.168.20.10 and the source IP address = 192.168.20.20 from the IP packet. The grade server 107b confirms that the destination IP address matches its own IP address, extracts the data from the IP packet, and processes it.
その後、成績サーバ107bは、上記IPパケットから取り出したデータを処理した結果のデータをIPパケットに格納して、上記IPパケットから取り出した先生端末108aの送信元IPアドレス=192.168.20.20に向けて返信する。すなわち、上記IPパケットの宛先IPアドレスには、上記IPパケットから取り出した先生端末108aの送信元IPアドレス=192.168.20.20が格納される。また、上記IPパケットの送信元IPアドレスには、成績サーバ107b自身のIPアドレス=192.168.20.10が格納される。成績サーバ107bは、このIPパケットが格納されたイーサネットフレームを生成し、スイッチ102に向けて送信する。スイッチ102は、ポート番号=2のポートでこのイーサネットフレームを受信すると、そのイーサネットフレームに、ポート番号2に割り付けられている仮想NW−ID=VLAN20を付加する。スイッチ102は、そのイーサネットフレームを、仮想NW−ID=VLAN20が設定されている他のポートとトランクポートに中継する。この結果、上記イーサネットフレームは、トランクポートに接続されているWLAN−AP104に転送される。WLAN−AP104は、受信したイーサネットフレームを無線LANフレームに変換して、無線送信する。先生端末108aは、WLAN−AP104から無線LANフレームを受信すると、その無線LANフレームに仮想NW−ID=VLAN20が付加されていることを確認する。確認OKならば、先生端末108aは、受信した無線LANフレームからIPパケットを取り出し、このIPパケットから、宛先IPアドレス=192.168.20.20と送信元IPアドレス=192.168.20.10を取り出す。先生端末108aは、宛先IPアドレスが先生端末108a自身のIPアドレスと一致することを確認後、受信したIPパケットから、成績サーバ107bが返信したデータを取り出し、自習アプリに引き渡す。 Thereafter, the grade server 107b stores the data obtained as a result of processing the data extracted from the IP packet in the IP packet, and the source IP address of the teacher terminal 108a extracted from the IP packet = 192.168.20.20. Reply to. That is, the source IP address = 192.168.20.20 of the teacher terminal 108a extracted from the IP packet is stored in the destination IP address of the IP packet. In addition, the IP address = 192.168.20.10 of the grade server 107b itself is stored in the source IP address of the IP packet. The grade server 107 b generates an Ethernet frame in which the IP packet is stored and transmits it to the switch 102. When the switch 102 receives this Ethernet frame at the port of port number = 2, the virtual NW-ID = VLAN 20 assigned to port number 2 is added to the Ethernet frame. The switch 102 relays the Ethernet frame to other ports and trunk ports in which the virtual NW-ID = VLAN 20 is set. As a result, the Ethernet frame is transferred to the WLAN-AP 104 connected to the trunk port. The WLAN-AP 104 converts the received Ethernet frame into a wireless LAN frame and wirelessly transmits it. When the teacher terminal 108a receives the wireless LAN frame from the WLAN-AP 104, the teacher terminal 108a confirms that the virtual NW-ID = VLAN 20 is added to the wireless LAN frame. If the confirmation is OK, the teacher terminal 108a takes out the IP packet from the received wireless LAN frame, and from this IP packet, the destination IP address = 192.168.20.20 and the source IP address = 192.168.20.10. Take out. After confirming that the destination IP address matches the IP address of the teacher terminal 108a itself, the teacher terminal 108a takes out the data returned from the grade server 107b from the received IP packet and delivers it to the self-study application.
次に、先生端末108aは、自習アプリとの連携動作の中で、教材サーバ107aへの送信用のデータを受け取ると、以下の接続制御動作を実行する。 Next, when the teacher terminal 108a receives data for transmission to the learning material server 107a during the cooperative operation with the self-study application, the teacher terminal 108a executes the following connection control operation.
まず、先生端末108aは、教材サーバ107aの名前として例えば「kyozai.server.com」をキーとして、図1のDNSサーバ106に教材サーバ107aのIPアドレスを問い合わせる。問合せメッセージが格納された無線LANフレームには本接続用の仮想NW−ID=VLAN20が付加される。図9と同様に、DNSサーバ106が、内部に保持している設定テーブル(後述する図30、図31の3007参照)から、受信した問合せメッセージに付加されている成績サーバ107bのサーバ名=「kyozai.server.com」が登録されているエントリを検索する。DNSサーバ106は、検索されたエントリから、IPアドレス=192.168.10.10を取得し、そのIPアドレスを先生端末108aに通知する。先生端末108aは、このIPアドレスをキャッシュし、次回以降自習アプリから教材サーバ107aへの送信用のデータを受け取ったときは、教材サーバ107aの名前の指定に対してこのIPアドレスを用いる。 First, the teacher terminal 108a inquires of the DNS server 106 of FIG. 1 about the IP address of the learning material server 107a by using, for example, “kyozai.server.com” as a key of the learning material server 107a. A virtual NW-ID = VLAN 20 for main connection is added to the wireless LAN frame in which the inquiry message is stored. As in FIG. 9, the server name of the grade server 107 b added to the received inquiry message from the setting table (see 3007 in FIG. 30 and FIG. 31 described later) held internally by the DNS server 106 = “ Search for an entry in which “kyozai.server.com” is registered. The DNS server 106 acquires IP address = 192.168.10.10 from the retrieved entry, and notifies the teacher terminal 108a of the IP address. The teacher terminal 108a caches this IP address, and when receiving data for transmission from the self-study application to the learning material server 107a next time, the teacher terminal 108a uses this IP address for designation of the name of the learning material server 107a.
次に、先生端末108aは、DNSサーバ106から取得したIPアドレスが宛先IPアドレスとして設定され、DHCPサーバ105から取得した本接続用の自身のIPアドレスが送信元IPアドレスとして設定されたIPパケットを生成する。すなわち、宛先IPアドレスは、教材サーバ107aのIPアドレス=192.168.10.10である。また、送信元IPアドレスは、先生端末108a自身のIPアドレス=192.168.20.20である。 Next, the teacher terminal 108a receives an IP packet in which the IP address acquired from the DNS server 106 is set as the destination IP address, and its own IP address acquired from the DHCP server 105 is set as the source IP address. Generate. That is, the destination IP address is the IP address of the learning material server 107a = 192.168.10.10. The transmission source IP address is the IP address of the teacher terminal 108a itself = 192.168.20.20.
先生端末108aは、このIPパケットのデータ部に、教材サーバ107aへの送信用のデータを格納する。 The teacher terminal 108a stores data for transmission to the learning material server 107a in the data portion of the IP packet.
先生端末108aは、上記IPパケットが格納された無線LANフレームを生成する。
先生端末108aは、この無線LANフレームに、コントローラ101から取得している本接続用の仮想NW−ID=VLAN20をタグとして付加し、教材サーバ107a宛てに送信する。
The teacher terminal 108a generates a wireless LAN frame in which the IP packet is stored.
The teacher terminal 108a adds the virtual NW-ID = VLAN20 for main connection acquired from the controller 101 to the wireless LAN frame as a tag, and transmits the tag to the learning material server 107a.
WLAN−AP104での制御動作は、成績サーバ107bへのアクセスの場合と同様である。WLAN−AP104は、先生端末108aから受信した無線LANのフレームに格納されて送られてきたIPパケットをイーサネットフレームに乗せ替えて、そのイーサネットフレームをスイッチ102に転送する。このイーサネットフレームには、無線LANフレームに付加されていた仮想NW−ID=VLAN20がタグとして付加される。 The control operation in the WLAN-AP 104 is the same as that in the case of accessing the grade server 107b. The WLAN-AP 104 transfers the IP packet stored in the wireless LAN frame received from the teacher terminal 108 a and transferred to the Ethernet frame to the switch 102. In this Ethernet frame, the virtual NW-ID = VLAN 20 added to the wireless LAN frame is added as a tag.
スイッチ102は、WLAN−AP104が接続されるトランクポートから受信したイーサネットフレームに付加されている仮想NW−IDがVLAN20であることを確認する。この結果、スイッチ102は、そのイーサネットフレームを、同じ仮想NW−ID=VLAN20が設定されているポートに中継する。しかしながら、教材サーバ107aは、仮想NW−ID=VLAN20が設定されているポートには接続されていないため、仮想NW−ID=VLAN20が設定されているポートから教材サーバ107aへは上記イーサネットフレームは着信できない。 The switch 102 confirms that the virtual NW-ID added to the Ethernet frame received from the trunk port to which the WLAN-AP 104 is connected is the VLAN 20. As a result, the switch 102 relays the Ethernet frame to a port in which the same virtual NW-ID = VLAN 20 is set. However, since the learning material server 107a is not connected to the port where the virtual NW-ID = VLAN 20 is set, the Ethernet frame is received from the port where the virtual NW-ID = VLAN 20 is set to the learning material server 107a. Can not.
ここで、スイッチ102は、上記イーサネットフレームを、同じ仮想NW−ID=VLAN20が設定されているポートだけでなく、トランクポートにも中継する。この結果、上記イーサネットフレームは、スイッチ102のトランクポートに接続されているルータ103に着信する。ルータ103では、第2のサブインタフェースが、上記イーサネットフレームに付加されている仮想NW−ID=VLAN20が、自身に設定されている仮想NW−IDと一致することを確認する。この結果、第2のサブインタフェースが、上記イーサネットフレームを受信する。 Here, the switch 102 relays the Ethernet frame not only to the port in which the same virtual NW-ID = VLAN 20 is set, but also to the trunk port. As a result, the Ethernet frame arrives at the router 103 connected to the trunk port of the switch 102. In the router 103, the second sub-interface confirms that the virtual NW-ID = VLAN 20 added to the Ethernet frame matches the virtual NW-ID set for itself. As a result, the second sub-interface receives the Ethernet frame.
第2のサブインタフェースは、受信したイーサネットフレームからIPパケットを取り出し、そのIPパケットを内部の転送制御部(後述する図26の2602参照)に引き渡す。 The second sub-interface extracts an IP packet from the received Ethernet frame and delivers the IP packet to an internal transfer control unit (see 2602 in FIG. 26 described later).
転送制御部は、このIPパケットから、宛先IPアドレス=192.168.10.10、送信元IPアドレス=192.168.20.20を取り出す。この結果、転送制御部は、内部に保持するルーティングテーブル(後述する図26、図27(a)の2606参照)の第1の経路情報を適用した経路制御を実施する。同時に、転送制御部は、内部に保持するフィルタリングテーブル(後述する図26、図27(b)の2607参照)の第1のフィルタリング情報を適用したフィルタリング制御を実施する。 The transfer control unit extracts the destination IP address = 192.168.10.10. And the source IP address = 192.168.20.20 from the IP packet. As a result, the transfer control unit performs the route control to which the first route information of the routing table held inside (see 2606 in FIG. 26 and FIG. 27A described later) is applied. At the same time, the transfer control unit performs the filtering control to which the first filtering information of the filtering table held inside (see 2607 in FIG. 26 and FIG. 27B described later) is applied.
この結果、転送制御部は、第2のサブインタフェースから受信した上記IPパケットを、第1のサブインタフェースに転送する。第1のサブインタフェースは、自身の仮想NW−ID=VLAN10を付加したイーサネットフレームを生成し、これに上記IPパケットを格納し、そのイーサネットフレームをスイッチ102に向けて送信する。 As a result, the transfer control unit transfers the IP packet received from the second subinterface to the first subinterface. The first subinterface generates an Ethernet frame to which its own virtual NW-ID = VLAN 10 is added, stores the IP packet in this, and transmits the Ethernet frame to the switch 102.
スイッチ102は、ルータ103から受信したイーサネットフレームに付加されている仮想NW−IDがVLAN10であることを確認すると、そのイーサネットフレームを、同じ仮想NW−ID=VLAN10が設定されているポートに中継する。前述した図9の904の制御動作により、スイッチ102のVLANテーブル(図24、図25(b)の2407参照)には、ポート番号=1のポートに仮想NW−ID=VLAN10が設定されている。これにより、スイッチ102は、上記イーサネットフレームを、教材サーバ107aが接続されているポート番号=1のポートに中継する。この結果、上記イーサネットフレームが、教材サーバ107aに着信する。 When the switch 102 confirms that the virtual NW-ID added to the Ethernet frame received from the router 103 is VLAN 10, the switch 102 relays the Ethernet frame to a port in which the same virtual NW-ID = VLAN 10 is set. . As a result of the control operation of 904 in FIG. 9 described above, the virtual NW-ID = VLAN 10 is set for the port of port number = 1 in the VLAN table of the switch 102 (see 2407 in FIGS. 24 and 25B). . Thereby, the switch 102 relays the Ethernet frame to the port of port number = 1 to which the learning material server 107a is connected. As a result, the Ethernet frame arrives at the learning material server 107a.
教材サーバ107aは、このイーサネットフレームからIPパケットを取り出し、このIPパケットから宛先IPアドレス=192.168.10.10と送信元IPアドレス=192.168.20.20を取り出す。教材サーバ107aは、宛先IPアドレスが自身のIPアドレスに一致することを確認して、そのIPパケットからデータを取り出して処理する。 The learning material server 107a extracts an IP packet from the Ethernet frame, and extracts a destination IP address = 192.168.10.10 and a source IP address = 192.168.20.20 from the IP packet. The learning material server 107a confirms that the destination IP address matches its own IP address, extracts the data from the IP packet, and processes it.
その後、教材サーバ107aは、上記IPパケットから取り出したデータを処理した結果のデータをIPパケットに格納して、上記IPパケットから取り出した先生端末108aの送信元IPアドレス=192.168.20.20に向けて返信する。すなわち、上記IPパケットの宛先IPアドレスには、上記IPパケットから取り出した先生端末108aの送信元IPアドレス=192.168.20.20が格納される。また、上記IPパケットの送信元IPアドレスには、教材サーバ107a自身のIPアドレス=192.168.10.10が格納される。教材サーバ107aは、このIPパケットが格納されたイーサネットフレームを生成し、スイッチ102に向けて送信する。スイッチ102は、ポート番号=1のポートでこのイーサネットフレームを受信すると、そのイーサネットフレームに、ポート番号1に割り付けられている仮想NW−ID=VLAN10を付加する。スイッチ102は、そのイーサネットフレームを、仮想NW−ID=VLAN10が設定されている他のポートとトランクポートに中継する。この結果、上記イーサネットフレームは、トランクポートに接続されているルータ103に着信する。ルータ103では、第1のサブインタフェースが、上記イーサネットフレームに付加されている仮想NW−ID=VLAN10が自身に設定されている仮想NW−IDと一致することを確認する。この結果、第1のサブインタフェースが、上記イーサネットフレームを受信する。 Thereafter, the teaching material server 107a stores the data obtained as a result of processing the data extracted from the IP packet in the IP packet, and the source IP address of the teacher terminal 108a extracted from the IP packet = 192.168.20.20. Reply to. That is, the source IP address = 192.168.20.20 of the teacher terminal 108a extracted from the IP packet is stored in the destination IP address of the IP packet. Further, the IP address = 192.168.10.10 of the learning material server 107a itself is stored in the source IP address of the IP packet. The learning material server 107 a generates an Ethernet frame in which the IP packet is stored and transmits it to the switch 102. When the switch 102 receives this Ethernet frame at the port of port number = 1, the virtual NW-ID = VLAN 10 assigned to port number 1 is added to the Ethernet frame. The switch 102 relays the Ethernet frame to other ports and trunk ports in which the virtual NW-ID = VLAN 10 is set. As a result, the Ethernet frame arrives at the router 103 connected to the trunk port. In the router 103, the first sub-interface confirms that the virtual NW-ID = VLAN 10 added to the Ethernet frame matches the virtual NW-ID set in itself. As a result, the first sub-interface receives the Ethernet frame.
第1のサブインタフェースは、受信したイーサネットフレームからIPパケットを取り出し、そのIPパケットを転送制御部に引き渡す。 The first sub-interface extracts an IP packet from the received Ethernet frame and delivers the IP packet to the transfer control unit.
転送制御部は、このIPパケットから、宛先IPアドレス=192.168.20.20、送信元IPアドレス=192.168.10.10を取り出す。この結果、転送制御部は、内部に保持するルーティングテーブル(図26、図27(a)の2606参照)の第2の経路情報を適用した経路制御を実施する。同時に、転送制御部は、内部に保持するフィルタリングテーブル(図26、図27(b)の2607参照)の第2のフィルタリング情報を適用したフィルタリング制御を実施する。 The transfer control unit extracts the destination IP address = 192.168.20.20 and the source IP address = 192.168.10.10 from the IP packet. As a result, the transfer control unit performs the route control using the second route information of the routing table (see 2606 in FIG. 26 and FIG. 27A) held inside. At the same time, the transfer control unit performs the filtering control to which the second filtering information of the filtering table (see 2607 in FIGS. 26 and 27B) held therein is applied.
この結果、転送制御部は、第1のサブインタフェースから受信した上記IPパケットを、第2のサブインタフェースに転送する。第2のサブインタフェースは、自身の仮想NW−ID=VLAN20を付加したイーサネットフレームを生成し、これに上記IPパケットを格納し、そのイーサネットフレームをスイッチ102に向けて送信する。 As a result, the transfer control unit transfers the IP packet received from the first subinterface to the second subinterface. The second subinterface generates an Ethernet frame to which its own virtual NW-ID = VLAN 20 is added, stores the IP packet in this, and transmits the Ethernet frame to the switch 102.
スイッチ102は、ルータ103から受信したイーサネットフレームに付加されている仮想NW−IDがVLAN20であることを確認すると、そのイーサネットフレームを、仮想NW−ID=VLAN20が設定されている他のポートとトランクポートに中継する。この結果、上記イーサネットフレームは、トランクポートに接続されているWLAN−AP104に転送される。WLAN−AP104は、受信したイーサネットフレームを無線LANフレームに変換して、無線送信する。先生端末108aは、WLAN−AP104から無線LANフレームを受信すると、その無線LANフレームに仮想NW−ID=VLAN20が付加されていることを確認する。確認OKならば、先生端末108aは、受信した無線LANフレームからIPパケットを取り出し、このIPパケットから、宛先IPアドレス=192.168.20.20と送信元IPアドレス=192.168.10.10を取り出す。先生端末108aは、宛先IPアドレスが先生端末108a自身のIPアドレスと一致することを確認後、受信したIPパケットから、教材サーバ107aが返信したデータを取り出し、自習アプリに引き渡す。 When the switch 102 confirms that the virtual NW-ID added to the Ethernet frame received from the router 103 is the VLAN 20, the switch 102 transmits the Ethernet frame to another port in which the virtual NW-ID = VLAN 20 is set. Relay to port. As a result, the Ethernet frame is transferred to the WLAN-AP 104 connected to the trunk port. The WLAN-AP 104 converts the received Ethernet frame into a wireless LAN frame and wirelessly transmits it. When the teacher terminal 108a receives the wireless LAN frame from the WLAN-AP 104, the teacher terminal 108a confirms that the virtual NW-ID = VLAN 20 is added to the wireless LAN frame. If the confirmation is OK, the teacher terminal 108a takes out the IP packet from the received wireless LAN frame, and from this IP packet, the destination IP address = 192.168.20.20 and the source IP address = 192.168.10.10. Take out. After confirming that the destination IP address matches the IP address of the teacher terminal 108a itself, the teacher terminal 108a takes out the data returned from the teaching material server 107a from the received IP packet and delivers it to the self-study application.
一般に、国際標準化機構が策定したOSI参照モデルにおいて、レイヤ2(L2)のデータリンク層すなわちフレームレベルでは、異なるVLANに属する端末108とNWリソース(サーバ107)の間は、スイッチ102による中継はできない。しかし、レイヤ3(L3)のネットワーク層すなわちIPパケットレベルでは、異なるVLANに属する端末108とNWリソース(サーバ107)間の転送を、ルータ103を用いて行うことができる。そこで、上述の実施形態では、コントローラ101内のNW設定管理部603が、NW設定管理テーブル608上の共有リソースが先に登録されたグループと後に登録されたグループに対して、L3レベルの転送設定を登録する。具体的には、後のグループのサブネットアドレスと、先のグループのサブネットアドレスに属する共有リソースのIPアドレスとの間で、相互に転送を行えるようにする転送設定が、NW設定管理テーブル608の各グループの「転送設定」項目に登録される。そして、この「転送設定」項目の内容が変更になるごとに、コントローラ101からルータ103に設定情報が送信され、ルータ103の転送設定が動的に更新される。 In general, in the OSI reference model established by the International Organization for Standardization, relaying by the switch 102 is not possible between the terminal 108 and the NW resource (server 107) belonging to different VLANs in the data link layer of Layer 2 (L2), that is, the frame level. . However, at the network layer of Layer 3 (L3), that is, at the IP packet level, transfer between the terminal 108 and the NW resource (server 107) belonging to different VLANs can be performed using the router 103. Therefore, in the above-described embodiment, the NW setting management unit 603 in the controller 101 performs the L3 level transfer setting for the group in which the shared resource on the NW setting management table 608 is registered first and the group registered later. Register. Specifically, a transfer setting that enables transfer between the subnet address of the later group and the IP address of the shared resource belonging to the subnet address of the previous group is set in each NW setting management table 608. Registered in the group's "Transfer Settings" item. Each time the content of the “transfer setting” item is changed, setting information is transmitted from the controller 101 to the router 103, and the transfer setting of the router 103 is dynamically updated.
この動作により、図13の動作例(その5)では、生徒端末108bが含まれるグループと先生端末108aが含まれるグループのそれぞれのセキュリティのアクセス制限を維持したまま、先生端末108aが異なるVLANに属する教材サーバ107aにアクセスできるようになる。つまり、先生端末108aと成績サーバ107bは、仮想NW−ID=VLAN10を使って通信できる。同時に、先生端末108aは、仮想NW−ID=VLAN10のVLANと仮想NW−ID=VLAN20のVLAN間のルータ103の転送機能により、先生端末108aが所属するVLANとは異なるVLANに所属する教材サーバ107aにアクセス可能となる。 By this operation, in the operation example (No. 5) in FIG. 13, the teacher terminal 108a belongs to a different VLAN while maintaining the security access restrictions of the group including the student terminal 108b and the group including the teacher terminal 108a. The learning material server 107a can be accessed. That is, the teacher terminal 108a and the grade server 107b can communicate using the virtual NW-ID = VLAN10. At the same time, the teacher terminal 108a uses the transfer function of the router 103 between the VLAN with the virtual NW-ID = VLAN 10 and the VLAN with the virtual NW-ID = VLAN 20, so that the teaching material server 107a belonging to a VLAN different from the VLAN to which the teacher terminal 108a belongs. Can be accessed.
このようなコントローラ101の動作により、スイッチ102やルータ103などの既存のNW機器を用いて各NWリソースにVLANを設定しながら、制御ポリシによって決定されるNW機器の集合ごとに、異なるセキュリティのアクセス制御を行うことが可能になる。かつ、異なる制御ポリシに基づくNW機器の異なる集合に、1つのNWリソース(図13の例では教材サーバ107a)を共有リソースとしてそれぞれ所属させて、その集合ごとに異なるセキュリティのアクセス制限を加えることが可能となる。従来は、1つの共有リソースに異なるVLANを重複して割り当てることができなかったため、1つの共有リソースに対して異なるセキュリティのアクセス制限を加えることができなかったが、本実施形態ではそれが可能となる。 Due to such an operation of the controller 101, while setting a VLAN for each NW resource using existing NW devices such as the switch 102 and the router 103, access with different security is performed for each set of NW devices determined by the control policy. Control can be performed. In addition, one NW resource (the teaching material server 107a in the example of FIG. 13) can belong to different sets of NW devices based on different control policies as shared resources, and different security access restrictions can be applied to each set. It becomes possible. Conventionally, since different VLANs could not be assigned to one shared resource redundantly, different security access restrictions could not be added to one shared resource, but this embodiment can do this. Become.
図13の動作例(その5)を基本として、さらに動作例を挙げて、NWリソース管理テーブル607とNW設定管理テーブル608の作成動作について説明する。 The creation operation of the NW resource management table 607 and the NW setting management table 608 will be described based on the operation example (No. 5) in FIG.
図14は、動作例(その6)におけるNWリソース管理テーブル607とNW設定管理テーブル608の状態変更前の例を示す図である。図14(a)は、図1の先生端末108aである先生端末Aと先生端末Bが共に成績評価アプリを起動している端末の状態で、成績サーバ107bにアクセスしている端末の状態での、NWリソース管理テーブル607(図6参照)におけるGID=1のグループの設定例を示している。このグループは、図13の制御ポリシテーブル606のCID=1の制御ポリシに基づいて生成されている。また、図14(b)は、上記端末の状態での、NW設定管理テーブル608(図6参照)におけるGID=1のグループに対応するネットワーク設定例を示している。この端末の状態においては、先生端末Aおよび先生端末Bともに、仮想NW−ID=VLAN10、サブネットアドレス192.168.10.0/24でグループ化されている。また、認可リソースとして、上記サブネットアドレスに属するIPアドレス=192.168.10.10の成績サーバ107bにアクセス可能な状態が示されている。さらに、先生端末Aおよび先生端末Bには、SSID=SSID10が割り当てられていることが示されている。 FIG. 14 is a diagram illustrating an example before the state change of the NW resource management table 607 and the NW setting management table 608 in the operation example (No. 6). FIG. 14 (a) is a state where both the teacher terminal A and the teacher terminal B, which are the teacher terminals 108a of FIG. 1, are running the grade evaluation application, and in the state of the terminal accessing the grade server 107b. , An example of setting a group with GID = 1 in the NW resource management table 607 (see FIG. 6) is shown. This group is generated based on the control policy of CID = 1 in the control policy table 606 of FIG. FIG. 14B shows a network setting example corresponding to a group with GID = 1 in the NW setting management table 608 (see FIG. 6) in the state of the terminal. In this terminal state, both teacher terminal A and teacher terminal B are grouped by virtual NW-ID = VLAN10 and subnet address 192.168.10.0/24. In addition, as an authorized resource, a state is shown in which the grade server 107b with an IP address = 192.168.10.10 belonging to the subnet address can be accessed. Further, it is shown that teacher terminal A and teacher terminal B are assigned SSID = SSID10.
この端末の状態から、先生端末Bのみが成績評価アプリを自習アプリに切り替えて採点を行う端末の状態に変化した場合を想定する。図15は、上記動作例(その6)におけるNWリソース管理テーブル607とNW設定管理テーブル608の状態変更後の例を示す図である。 It is assumed that only the teacher terminal B changes from the terminal state to the state of the terminal that performs scoring by switching the grade evaluation app to the self-study app. FIG. 15 is a diagram illustrating an example of the NW resource management table 607 and the NW setting management table 608 after the state is changed in the above operation example (No. 6).
先生端末Aは、いままで通り成績評価アプリを起動しているため、図13の制御ポリシテーブル606のCID=1の制御ポリシに従う。一方、先生端末Bは、自習アプリの起動に切り替わったため、図13の制御ポリシテーブル606のCID=2の制御ポリシに切り替わる。従って、図15(a)のNWリソース管理テーブル607において、まず、GID=1、CID=1のエントリの「接続端末」項目から、先生端末Bが削除される。そして、新たにGID=2、CID=2のエントリが生成され、先生端末Bと教材サーバ107aと成績サーバ107bとからなるグループが形成される。 Since teacher terminal A has started the grade evaluation app as before, it follows the control policy of CID = 1 in the control policy table 606 of FIG. On the other hand, since the teacher terminal B has switched to the activation of the self-study application, the teacher terminal B switches to the control policy of CID = 2 in the control policy table 606 of FIG. Therefore, in the NW resource management table 607 of FIG. 15A, first, the teacher terminal B is deleted from the “connected terminal” item of the entry with GID = 1 and CID = 1. Then, a new entry with GID = 2 and CID = 2 is generated, and a group including the teacher terminal B, the teaching material server 107a, and the grade server 107b is formed.
図15(b)のNW設定管理テーブル608では、GID=1のエントリの「接続端末」項目から先生端末Bが削除される。また、GID=2の新たなエントリが生成され、仮想NW−ID=VLAN20、サブネットアドレス=192.168.20.0/24、SSID20が新たに割り当てられ、「接続端末」項目に先生端末B(のMACアドレス)が登録される。ここで、先生端末Bが自習アプリを起動している端末の状態では、教材サーバ107aと成績サーバ107bの両方にアクセスする。しかし、図13の1303−1で説明したように、GID=2のエントリで「認可リソース」項目に登録されるのは、教材サーバ107aのIPアドレス=192.168.20.10のみとなる。最初に成績サーバ107bが登録されたGID=1のグループの後から成績サーバ107bへのアクセスが認可されるGID=2のグループには、「認可リソース」項目に成績サーバ107bは登録されない。 In the NW setting management table 608 in FIG. 15B, the teacher terminal B is deleted from the “connected terminal” item of the entry with GID = 1. Also, a new entry with GID = 2 is generated, virtual NW-ID = VLAN20, subnet address = 192.168.20.0 / 24, SSID20 are newly assigned, and teacher terminal B ( MAC address) is registered. Here, in the state where the teacher terminal B is running the self-study application, both the teaching material server 107a and the grade server 107b are accessed. However, as described with reference to 1303-1 in FIG. 13, only the IP address = 192.168.20.10 of the learning material server 107a is registered in the “authorized resource” item with the entry of GID = 2. The grade server 107b is not registered in the “authorized resource” item in the group of GID = 2 in which access to the grade server 107b is authorized after the group of GID = 1 in which the grade server 107b is registered first.
その代わり、図13の1303−2で説明したように、GID=2のエントリの「転送設定」項目には、サブネットアドレス=192.168.20.0/24から成績サーバ107bのIPアドレス=192.168.10.10への転送設定が登録される。また共有リソースの成績サーバ107bが登録されている方のGID=1のエントリの「転送設定」項目には、成績サーバ107bのIPアドレス=192.168.10.10からサブネットアドレス=192.168.20.0/24への転送設定が登録される。 Instead, as described with reference to 1303-2 in FIG. 13, the “transfer setting” item of the entry with GID = 2 includes the subnet address = 192.168.20.0 / 24 to the IP address = 192 of the grade server 107 b. Transfer settings to .168.10.10 are registered. Also, in the “transfer setting” item of the GID = 1 entry of the registered shared resource grade server 107b, the grade server 107b IP address = 192.168.10.10 to the subnet address = 192.168.168. Transfer settings to 20.0 / 24 are registered.
上記制御動作において、先生端末Bにおいて成績評価アプリが起動されている状態から自習アプリが起動されている状態に切り替わった場合には、先生端末Bから図1のWLAN−AP104への接続が、いったん強制的に切断される。そして、先生端末Bから再度、図13の1301で説明した端末の状態の通知が行われて、新しい仮想NW−ID=VLAN20とSSID20が取得され、WLAN−AP104への再接続が行われるものとする。 In the above control operation, when the teacher terminal B switches from the state in which the grade evaluation application is activated to the state in which the self-study application is activated, the connection from the teacher terminal B to the WLAN-AP 104 in FIG. Forced disconnection. Then, the teacher terminal B again notifies the terminal state described in 1301 of FIG. 13, acquires new virtual NW-ID = VLAN 20 and SSID 20, and reconnects to the WLAN-AP 104. To do.
このようにして、動作例(その6)では、先生端末Aは、仮想NW−ID=VLAN10を使って、成績サーバ107bと通信する。また、先生端末Bは、仮想NW−ID=VLAN20を使って、教材サーバ107aと通信する。これと共に、先生端末Bは、仮想NW−ID=VLAN20のVLANと仮想NW−ID=VLAN10のVLAN間の図1のルータ103の転送機能により、先生端末Bが所属するVLANとは異なるVLANに所属する成績サーバ107bにアクセス可能となる。 In this way, in the operation example (No. 6), the teacher terminal A communicates with the grade server 107b using the virtual NW-ID = VLAN10. In addition, the teacher terminal B communicates with the learning material server 107a using the virtual NW-ID = VLAN20. At the same time, the teacher terminal B belongs to a VLAN different from the VLAN to which the teacher terminal B belongs due to the transfer function of the router 103 in FIG. To the grade server 107b to be accessed.
図9から図15の動作例で、サーバ107(教材サーバ107a、成績サーバ107b等)の名前とそのIPアドレスの関連付け(名前解決)は、コントローラ101内のNW設定管理テーブル608の「認可リソース」項目の値が変更されるごとに変化する。上記関連付けが変化した場合、コントローラ101内のNW機器設定要求送信部604は、DNSサーバ106に対して、サーバ107の名前とIPアドレスの組を通知する。DNSサーバ106は、上記組を受信すると、以下の制御動作を実行する。DNSサーバ106は、内部に保持する設定テーブル(後述する図30、図31の3007参照)に記憶されている上記組に含まれるサーバ107の名前が含まれるエントリのIPアドレスの値を、上記組に含まれるIPアドレスの値に変更する。これにより、端末108は、そのサーバ107にアクセスするときに、そのサーバ名に対して、新たに割り当てられたIPアドレスを取得してアクセスすることができる。 9 to FIG. 15, the association (name resolution) of the name of the server 107 (the learning material server 107a, the grade server 107b, etc.) and its IP address is “authorization resource” in the NW setting management table 608 in the controller 101. It changes each time the value of the item is changed. When the association changes, the NW device setting request transmission unit 604 in the controller 101 notifies the DNS server 106 of the name / IP address pair of the server 107. When the DNS server 106 receives the above set, the DNS server 106 executes the following control operation. The DNS server 106 stores the IP address value of the entry including the name of the server 107 included in the set stored in a setting table (refer to 3007 in FIG. 30 and FIG. 31 described later) stored therein. Change to the value of the IP address included in. Thus, when the terminal 108 accesses the server 107, the terminal 108 can acquire and access a newly assigned IP address for the server name.
なお、上記関連付けが変化するサーバ107のサーバ名とIPアドレスの関連付けの管理のみ、コントローラ101で行ってもよい。 Note that only the management of the association between the server name and the IP address of the server 107 whose association is changed may be performed by the controller 101.
図16は、本実施形態の動作例(その7)におけるNWリソース管理テーブル607とNW設定管理テーブル608の登録内容の遷移例を示す図である。図16(a)の1601aと図16(b)の1602aは、動作例(その7)におけるNWリソース管理テーブル607とNW設定管理テーブル608の状態変更前の例を示す図である。この例は、図13で説明した例と同じである。すなわち、状態変更前は、生徒端末108bが自習アプリを起動して教材サーバ107aにアクセスし、先生端末108aが自習アプリを起動して教材サーバ107aと成績サーバ107bの両方にアクセスしている状態である。この場合、図13で説明したように、教材サーバ107aと生徒端末108bは、GID=1のグループが先に組まれており、ともに仮想NW−ID=VLAN10のサブネットアドレス=192.168.10.0/24に所属している。一方、成績サーバ107bと先生端末108aは、GID=1のグループの後からGID=2のグループが組まれており、ともに仮想NW−ID=VLAN20のサブネットアドレス=192.168.20.0/24に所属している。そして、仮想NW−ID=VLAN20のサブネットアドレス=192.168.20.0/24と仮想NW−ID=VLAN10に属する教材サーバ107aのIPアドレス=192.168.10.10との間で転送設定が登録されている。これにより、仮想NW−ID=VLAN20に所属する先生端末108aが、仮想NW−ID=VLAN10に所属する教材サーバ107aにアクセス可能となっている。 FIG. 16 is a diagram illustrating a transition example of registration contents of the NW resource management table 607 and the NW setting management table 608 in the operation example (No. 7) of the present embodiment. 1601a in FIG. 16A and 1602a in FIG. 16B are diagrams showing an example of the NW resource management table 607 and the NW setting management table 608 before the state change in the operation example (No. 7). This example is the same as the example described in FIG. That is, before the state change, the student terminal 108b activates the self-study application and accesses the learning material server 107a, and the teacher terminal 108a activates the self-study application and accesses both the learning material server 107a and the grade server 107b. is there. In this case, as described with reference to FIG. 13, the learning material server 107a and the student terminal 108b have the GID = 1 group first assembled, and both the virtual NW-ID = the subnet address of the VLAN 10 = 192.168.10. I belong to 0/24. On the other hand, in the grade server 107b and the teacher terminal 108a, a group of GID = 2 is assembled after a group of GID = 1, and the subnet address of the virtual NW-ID = VLAN 20 = 192.168.20.0 / 24. Belong to. Then, transfer setting is made between the virtual NW-ID = subnet address of the VLAN 20 = 192.168.20.0 / 24 and the IP address of the learning material server 107a belonging to the virtual NW-ID = VLAN 10 = 192.168.10.10. Is registered. Thereby, the teacher terminal 108a belonging to the virtual NW-ID = VLAN 20 can access the learning material server 107a belonging to the virtual NW-ID = VLAN 10.
図16(a)の1601bと図16(b)の1602bは、上記動作例(その7)におけるNWリソース管理テーブル607とNW設定管理テーブル608の状態変更後の例を示す図である。状態変更後は、生徒端末108bが自習アプリの使用を終了することにより、図16(a)の1601bおよび図16(b)の1602bに示されるように、まず、GID=1の仮想NW−ID=VLAN10に関するエントリが削除される。そして、いままでGID=2であったエントリが、GID=1になる。この場合、仮想NW−ID=VLAN10に所属していた教材サーバ107aは、仮想NW−ID=VLAN20から転送設定によりアクセスされる状態となっていた。このため、NW設定管理テーブル608上で単純にGID=1のエントリを削除してしまうと、先生端末108aは教材サーバ107aにアクセスできなくなってしまう。そこで、本実施形態では、仮想NW−ID=VLAN10に所属していた教材サーバ107aが、仮想NW−ID=VLAN20に所属するように、新GID=1のエントリの「認可リソース」項目に付け替えられる。これと共に、新GID=1のエントリの「転送設定」項目は削除される。 160Ab in FIG. 16A and 1602b in FIG. 16B are diagrams showing examples after the state change of the NW resource management table 607 and the NW setting management table 608 in the above operation example (part 7). After the status change, when the student terminal 108b ends the use of the self-study application, first, as shown in 1601b of FIG. 16A and 1602b of FIG. 16B, first, the virtual NW-ID with GID = 1 = Entry related to VLAN 10 is deleted. The entry that has been GID = 2 until now becomes GID = 1. In this case, the learning material server 107a belonging to the virtual NW-ID = VLAN 10 is in a state of being accessed from the virtual NW-ID = VLAN 20 by the transfer setting. For this reason, if the entry with GID = 1 is simply deleted on the NW setting management table 608, the teacher terminal 108a cannot access the learning material server 107a. Therefore, in the present embodiment, the learning material server 107a belonging to the virtual NW-ID = VLAN 10 is changed to the “authorized resource” item of the entry of the new GID = 1 so as to belong to the virtual NW-ID = VLAN 20. . At the same time, the “transfer setting” item of the entry with the new GID = 1 is deleted.
具体的には、次のような制御動作により、上記認可リソースの付替えが行われる。
まず、NW設定管理テーブル608で、削除が行われるエントリの「転送設定」項目に登録されている転送設定で、転送元がそのエントリの「認可リソース」項目のIPアドレスである場合には、以下の付替え処理が実行される。まず、上記転送設定中の転送先のサブネットアドレスから、自身のエントリの「認可リソース」項目のIPアドレスへの転送設定がされているエントリが検出される。図16の例では、図16(b)の1602b内の一行目のエントリが削除されるエントリで、その「転送設定」項目の転送設定では、転送元がそのエントリの「認可リソース」項目のIPアドレス=192.168.10.10(教材サーバ107a)となっている。また、転送先のサブネットアドレス=192.168.20.0/24である。このサブネットアドレス=192.168.20.0/24から「認可リソース」項目のIPアドレス=192.168.10.10への転送設定がされているエントリは、図16(b)の1602b内の二行目のエントリである。
Specifically, the authorization resource is replaced by the following control operation.
First, in the NW setting management table 608, when the transfer setting registered in the “transfer setting” item of the entry to be deleted is the IP address of the “authorized resource” item of the entry, The replacement process is executed. First, an entry that is set to be transferred to the IP address of the “authorized resource” item of its own entry is detected from the subnet address of the transfer destination in the transfer setting. In the example of FIG. 16, the entry on the first line in 1602b of FIG. 16B is an entry to be deleted. In the transfer setting of the “transfer setting” item, the transfer source is the IP of the “authorized resource” item of the entry. Address = 192.168.10.10 (teaching material server 107a). The subnet address of the transfer destination is 192.168.20.0/24. An entry in which transfer setting from the subnet address = 192.168.20.0 / 24 to the IP address = 192.168.10.10 of the “authorized resource” item is in 1602b of FIG. The entry on the second line.
次に、NWリソース管理テーブル607上の図16(a)の1601a内の1行目のエントリの「認可リソース」項目に登録されていて削除された認可リソースが特定される。その特定された認可リソースについて、上記検出されたエントリの「サブネットアドレス」項目に登録されているサブネットアドレスの範囲から、新たなIPアドレスが割り当てられる。そして、そのIPアドレスが、上記検出されたエントリの「認可リソース」項目に追加され、上記検出されたエントリの「転送設定」項目の上記転送設定が削除される。図16の例では、図16(a)のNWリソース管理テーブル607上で削除された1601bの一行目のエントリの「認可リソース」項目の教材サーバ107aが削除された認可リソースである。その教材サーバ107aに、検出された図16(b)の1602b内の二行目のエントリの「サブネットアドレス」項目のサブネットアドレス=192.168.20.0/24の範囲から、新たなIPアドレス=192.168.20.11が割り当てられる。そして、そのIPアドレス=192.168.20.11が、検出された図16(b)の1602b内の二行目のエントリの「認可リソース」項目に追加される。 Next, the deleted authorization resource registered in the “authorization resource” item of the first line entry in 1601a of FIG. 16A on the NW resource management table 607 is specified. For the identified authorized resource, a new IP address is assigned from the range of subnet addresses registered in the “subnet address” item of the detected entry. Then, the IP address is added to the “authorization resource” item of the detected entry, and the transfer setting of the “transfer setting” item of the detected entry is deleted. In the example of FIG. 16, the teaching material server 107a of the “authorization resource” item in the first line entry of 1601b deleted on the NW resource management table 607 of FIG. In the learning material server 107a, a new IP address is detected from the range of the subnet address = 192.168.20.0 / 24 in the “subnet address” item of the entry in the second row in 1602b of FIG. = 192.168.20.11 is assigned. Then, the IP address = 192.168.20.11 is added to the “authorized resource” item of the entry in the second row in the detected 1602b of FIG. 16B.
一方、NW設定管理テーブル608で、削除が行われる図16の1602b内の一行目のエントリの「転送設定」項目に登録されている転送設定で、転送元がそのエントリの「認可リソース」項目のIPアドレスでない場合には、以下の制御処理が実行される。すなわち、転送元がそのエントリの「サブネットアドレス」項目に登録されているサブネットアドレスである場合である。この場合には、削除されるエントリのサブネットアドレスに存在しない認可リソースが共有されていたので、認可リソースの付替え処理は不要である。この場合、まずエントリが削除され、転送先のエントリの該当する転送設定が削除される。 On the other hand, in the NW setting management table 608, the transfer source registered in the “transfer setting” item of the entry on the first line in 1602b of FIG. If it is not an IP address, the following control processing is executed. That is, the transfer source is a subnet address registered in the “subnet address” item of the entry. In this case, since the authorization resource that does not exist in the subnet address of the entry to be deleted is shared, the authorization resource replacement process is unnecessary. In this case, the entry is first deleted, and the corresponding transfer setting of the transfer destination entry is deleted.
図17は、本実施形態の動作例(その8)におけるNWリソース管理テーブル607とNW設定管理テーブル608の登録内容の遷移例を示す図である。まず、図17(a)の1701aおよび図17(b)の1702aは、それぞれ図16(a)の1601aおよび図16(b)の1602aと同じ状態である。 FIG. 17 is a diagram illustrating a transition example of registration contents of the NW resource management table 607 and the NW setting management table 608 in the operation example (No. 8) of the present embodiment. First, 1701a in FIG. 17A and 1702a in FIG. 17B are in the same state as 1601a in FIG. 16A and 1602a in FIG. 16B, respectively.
図16(a)の1601bと図16(b)の1602bは、先生端末108aより先に自習アプリを起動させていた生徒端末108bがその自習アプリの使用を終了し、共有リソースの教材サーバ107aが登録されている方のエントリが削除される場合であった。これに対して、図17(a)の1701bと図17(b)の1702bは、後から自習アプリを起動させた先生端末108aの方がその自習アプリの使用を終了し、共有リソースの教材サーバ107aが登録されていない方のエントリが削除される場合である。この場合には、上述のように、削除されるエントリのサブネットアドレス=192.168.20.0/24内に存在しないIPアドレス=192.168.10.10を有する教材サーバ107aが共有されていた。このため、認可リソースの付替え処理は不要で、単純にGID=2のエントリが削除されるだけでよい。 16A in FIG. 16A and 1602b in FIG. 16B, the student terminal 108b that has started the self-study application prior to the teacher terminal 108a terminates the use of the self-study application, and the teaching material server 107a of the shared resource The registered entry was deleted. On the other hand, in 1701b in FIG. 17A and 1702b in FIG. 17B, the teacher terminal 108a that started the self-study app later ends the use of the self-study app, and the shared resource learning material server This is a case where the entry for which 107a is not registered is deleted. In this case, as described above, the learning material server 107a having the IP address = 192.168.10.10 that does not exist in the subnet address = 192.168.20.0 / 24 of the entry to be deleted is shared. It was. For this reason, the authorization resource replacement process is unnecessary, and the entry with GID = 2 is simply deleted.
図18は、上述した本実施形態の動作例(その7)または動作例(その8)におけるコントローラ101の制御動作を説明する図である。 FIG. 18 is a diagram for explaining the control operation of the controller 101 in the operation example (No. 7) or the operation example (No. 8) of the above-described embodiment.
まず、端末108(図16の場合は生徒端末108b、図17の場合は先生端末108a)が自習アプリの使用を終了すると、端末108は、切断の状態をコントローラ101に通知した後に、WLAN−AP104への接続を切断する(図18の1801)。このときの切断状態の通知は、通知される状態が「切断」となっただけで、具体的な制御動作は、前述の図9の901で説明した端末の状態の通知と同様である。 First, when the terminal 108 (student terminal 108b in FIG. 16 and teacher terminal 108a in FIG. 17) finishes using the self-study application, the terminal 108 notifies the controller 101 of the disconnection state, and then the WLAN-AP 104. Is disconnected (1801 in FIG. 18). The notification of the disconnection state at this time is only the disconnection state “disconnected”, and the specific control operation is the same as the notification of the terminal state described in 901 of FIG.
なお、端末108が明示的に切断しなかった場合には、例えばWLAN−AP104やコントローラ101が端末108の接続のタイムアウトを検出することにより、切断状態を検出する。 If the terminal 108 has not been explicitly disconnected, for example, the WLAN-AP 104 or the controller 101 detects a connection timeout of the terminal 108 to detect the disconnected state.
次に、コントローラ101は、端末108が切断状態になると、図16または図17で説明したNWリソース管理テーブル607およびNW設定管理テーブル608の更新を行う。 Next, when the terminal 108 is disconnected, the controller 101 updates the NW resource management table 607 and the NW setting management table 608 described with reference to FIG.
次に、コントローラ101内のNW機器設定要求送信部604(図6参照)は、ルータ103に対して、VLANに関する設定情報と、VLANに関する転送情報が変更になったことを送信する(図18の1802)。この場合、NW機器設定要求送信部604は、図6で説明したNW設定管理テーブル(前回)608bとNW設定管理テーブル(最新)608aの登録内容の差分を検出し、その差分のネットワーク設定値を設定情報とする。図16の例では、仮想NW−ID=VLAN10が削除されたことが設定情報として通知される。コントローラ101からルータ103への通知時の制御動作は、前述の図13の1304と同様である。 Next, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits to the router 103 that the setting information regarding the VLAN and the transfer information regarding the VLAN have been changed (FIG. 18). 1802). In this case, the NW device setting request transmission unit 604 detects the difference between the registered contents of the NW setting management table (previous) 608b and the NW setting management table (latest) 608a described in FIG. It is set information. In the example of FIG. 16, it is notified as setting information that the virtual NW-ID = VLAN 10 has been deleted. The control operation at the time of notification from the controller 101 to the router 103 is the same as 1304 in FIG.
ルータ103は、仮想NW−IDの削除を指示する設定情報を受信すると、その仮想NW−IDが設定されているサブインタフェースを削除する。また、ルータ103は、削除したサブインタフェースに設定されていたIPアドレスがインタフェースまたはゲートウェイとして設定されているルーティングテーブル中の経路情報を削除する。さらに、ルータ103は、削除したサブインタフェースを含むフィルタリングテーブル中のフィルタリング情報を削除する。図16の場合は、仮想NW−ID=VLAN10が設定されている第1のサブインタフェースが削除される。図17の場合、仮想NW−ID=VLAN20が設定されている第2のサブインタフェースが削除される。また、図16、図17とも、第1または第2のサブインタフェースのIPアドレスがインタフェースまたはゲートウェイとして設定されているルーティングテーブル中の第1および第2の双方の経路情報が削除される。さらに、仮想NW−ID=VLAN10またはVLAN20を含むフィルタリングテーブル中の第1および第2の双方のフィルタリング情報が削除される。 When the router 103 receives the setting information for instructing deletion of the virtual NW-ID, the router 103 deletes the subinterface in which the virtual NW-ID is set. The router 103 deletes the route information in the routing table in which the IP address set for the deleted subinterface is set as an interface or gateway. Furthermore, the router 103 deletes the filtering information in the filtering table including the deleted subinterface. In the case of FIG. 16, the first subinterface in which the virtual NW-ID = VLAN 10 is set is deleted. In the case of FIG. 17, the second subinterface in which the virtual NW-ID = VLAN 20 is set is deleted. 16 and 17, both the first and second route information in the routing table in which the IP address of the first or second subinterface is set as an interface or gateway is deleted. Further, both the first and second filtering information in the filtering table including the virtual NW-ID = VLAN 10 or VLAN 20 is deleted.
次に、図16の例の場合には、コントローラ101内のNW機器設定要求送信部604(図6参照)は、スイッチ102に対して、教材サーバ107aが接続されているポート番号1について、仮想NW−ID=VLAN10を削除して、仮想NW−ID=VLAN20を新たに設定する設定情報を送信する(図18の1803)。このときの制御動作は、前述の図9の904と同様である。スイッチ102は、上記設定情報を受信すると、以下の制御動作を実行する。スイッチ102は、内部に保持するVLANテーブル(後述する図24、図25(b)の2407参照)内の上記設定情報に設定されたポート番号=1に関するエントリの仮想NW−IDの値を、設定情報に従ってVLAN10からVLAN20に変更する。なお、図17の例の場合は、教材サーバ107aの付替えは行われないため、この制御動作は不要である。 Next, in the case of the example of FIG. 16, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 performs virtual NW-ID = VLAN10 is deleted, and setting information for newly setting virtual NW-ID = VLAN20 is transmitted (1803 in FIG. 18). The control operation at this time is the same as 904 in FIG. When the switch 102 receives the setting information, the switch 102 executes the following control operation. The switch 102 sets the value of the virtual NW-ID of the entry related to the port number = 1 set in the setting information in the VLAN table (see 2407 in FIGS. 24 and 25B described later) held inside. Change from VLAN 10 to VLAN 20 according to the information. In the case of the example in FIG. 17, since the teaching material server 107 a is not replaced, this control operation is unnecessary.
次に、コントローラ101内のNW機器設定要求送信部604(図6参照)は、図1のWLAN−AP104に対して、SSIDと仮想NW−IDの組が削除されたことを通知する設定情報を送信する(図18の1801)。図16の場合は、SSID10と仮想NW−ID=VLAN10の組、図17の場合は、SSID20と仮想NW−ID=VLAN20の組である。このときの制御動作は、削除動作になるだけで、前述の図9の905と同様である。WLAN−AP104は、上記設定情報を受信すると、内部に保持するSSIDテーブル(後述する図33の3301参照)から、上記設定情報に含まれるSSIDと仮想NW−IDの組のエントリを削除する。これ以降、WLAN−AP104は、端末108からの削除されたSSIDによる無線通信を受け付けなくなる。図16の場合は生徒端末108bからのSSID10の無線通信が、図17の場合は先生端末108aからのSSID20の無線通信が、それぞれ受け付けられなくなる。 Next, the NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 sends setting information for notifying the WLAN-AP 104 of FIG. 1 that the set of the SSID and virtual NW-ID has been deleted. Transmit (1801 in FIG. 18). In the case of FIG. 16, a set of SSID10 and virtual NW-ID = VLAN10, and in the case of FIG. 17, a set of SSID20 and virtual NW-ID = VLAN20. The control operation at this time is only a deletion operation and is the same as 905 in FIG. When the WLAN-AP 104 receives the setting information, the WLAN-AP 104 deletes the SSID / virtual NW-ID pair entry included in the setting information from the SSID table (see 3301 in FIG. 33 described later) held therein. Thereafter, the WLAN-AP 104 does not accept wireless communication using the deleted SSID from the terminal 108. In the case of FIG. 16, the wireless communication of SSID 10 from the student terminal 108b is not accepted, and in the case of FIG. 17, the wireless communication of SSID 20 from the teacher terminal 108a is not accepted.
コントローラ101内のNW機器設定要求送信部604(図6参照)は、DHCPサーバ105に対して、仮想NW−IDが削除されたことを通知する設定情報を送信する(図18の1805)。図16の場合は、仮想NW−ID=VLAN10、図17の場合は、仮想NW−ID=VLAN20である。このときの制御動作は、削除動作になるだけで、前述の図9の907と同様である。DHCPサーバ105は、上記設定情報を受信すると、以下の制御動作を実行する。DHCPサーバ105は、内部に保持する設定テーブル(後述する図28、図29の2807参照)から、その設定情報に含まれる仮想NW−IDが設定されているエントリを削除する。図16の場合は仮想NW−ID=VLAN10のエントリが、図17の場合は仮想NW−ID=VLAN20のエントリが、それぞれ削除される。 The NW device setting request transmission unit 604 (see FIG. 6) in the controller 101 transmits setting information notifying that the virtual NW-ID has been deleted to the DHCP server 105 (1805 in FIG. 18). In the case of FIG. 16, virtual NW-ID = VLAN 10, and in the case of FIG. 17, virtual NW-ID = VLAN 20. The control operation at this time is only a deletion operation, and is the same as 907 in FIG. When receiving the setting information, the DHCP server 105 executes the following control operation. The DHCP server 105 deletes the entry in which the virtual NW-ID included in the setting information is set from the setting table (see 2807 in FIG. 28 and FIG. 29 described later) held therein. In the case of FIG. 16, the entry of virtual NW-ID = VLAN 10 is deleted, and in the case of FIG. 17, the entry of virtual NW-ID = VLAN 20 is deleted.
さらに、図16の例の場合には、コントローラ101内のNW機器設定要求送信部604は、教材サーバ107aに対して、新たなIPアドレス=192.168.20.11(図16(b)の1602b参照)を指定する設定情報を送信する(図18の1806)。このときの制御動作は、前述の図9の908と同様である。図17の例の場合には、教材サーバ107aの付け替えは行われないので、この制御動作は不要である。 Further, in the case of the example of FIG. 16, the NW device setting request transmission unit 604 in the controller 101 sends a new IP address = 192.168.20.11 (of FIG. 16B) to the learning material server 107a. The setting information for designating (see 1602b) is transmitted (1806 in FIG. 18). The control operation at this time is the same as 908 in FIG. In the case of the example in FIG. 17, the teaching material server 107 a is not replaced, so this control operation is not necessary.
最後に、図16の例の場合には、コントローラ101内のNW機器設定要求送信部604は、DNSサーバ106に対して、教材サーバ107aの名前とIPアドレス=192.168.20.11の組を通知する。DNSサーバ106は、上記組を受信すると、以下の制御動作を実行する。DNSサーバ106は、内部に保持する設定テーブル(後述する図30、図31の3007参照)に記憶されている上記組に含まれる教材サーバ107aの名前が含まれるエントリのIPアドレスの値を、上記組に含まれるIPアドレスに変更する。これにより、端末108は、教材サーバ107aにアクセスするときに、そのサーバ名=「kyozai.server.com」に対して、新たに割り当てられたIPアドレスを取得してアクセスすることができる。図17の例の場合には、教材サーバ107aの付け替えは行われないので、この制御動作は不要である。 Finally, in the case of the example of FIG. 16, the NW device setting request transmission unit 604 in the controller 101 sends a set of the name of the learning material server 107a and the IP address = 192.168.20.11 to the DNS server 106. To be notified. When the DNS server 106 receives the above set, the DNS server 106 executes the following control operation. The DNS server 106 stores the IP address value of the entry including the name of the teaching material server 107a included in the set stored in a setting table (refer to 3007 in FIG. 30 and FIG. 31 described later) stored in the DNS server 106. Change to an IP address included in the set. As a result, when the terminal 108 accesses the learning material server 107a, the terminal 108 can acquire and access the newly assigned IP address for the server name = “kyozai.server.com”. In the case of the example in FIG. 17, the teaching material server 107 a is not replaced, so this control operation is not necessary.
以上の制御動作により、端末108がVLANを跨いでサーバ107にアクセスしていた場合に、サーバ107が含まれるVLANまたは端末108が含まれるVLANのいずれかが通信の終了で削除されても、サーバ107へのアクセスを適切に維持できる。 With the above control operation, when the terminal 108 is accessing the server 107 across VLANs, even if either the VLAN including the server 107 or the VLAN including the terminal 108 is deleted at the end of communication, the server Access to 107 can be maintained appropriately.
図19および図20は、端末108の状態が変化したときに、上述した図9から図18の動作例を実現するために、図1のコントローラ101が実行する制御処理の例を示すフローチャートである。この処理は、コントローラ101を実現するコンピュータのCPU(中央演算処理装置)がメモリに記憶された制御処理プログラムを実行する動作である。 FIGS. 19 and 20 are flowcharts showing an example of control processing executed by the controller 101 of FIG. 1 in order to realize the above-described operation examples of FIGS. 9 to 18 when the state of the terminal 108 changes. . This process is an operation in which a CPU (central processing unit) of a computer that implements the controller 101 executes a control processing program stored in a memory.
まず、端末108(図1)から、端末状態が受信される(図19のステップS1901)。これは、前述の図9の901または図13の1301等で説明した、端末状態受信部601(図6)の制御動作に対応する。 First, the terminal status is received from the terminal 108 (FIG. 1) (step S1901 in FIG. 19). This corresponds to the control operation of the terminal state reception unit 601 (FIG. 6) described in 901 of FIG. 9 or 1301 of FIG.
次に、制御ポリシテーブル606(図6、図7(a)、図9、図13等参照)に対して、ステップS1901で新たに受信された端末状態に該当するCIDが照会される(ステップS1902)。 Next, the control policy table 606 (see FIG. 6, FIG. 7A, FIG. 9, FIG. 13, etc.) is queried for the CID corresponding to the terminal state newly received in step S1901 (step S1902). ).
次に、ステップS1902において、該当するCIDが見つかったか否かが判定される(図19のステップS1903)。 Next, in step S1902, it is determined whether or not the corresponding CID has been found (step S1903 in FIG. 19).
該当するCIDが見つからない場合(ステップS1903の判定がNOの場合)には、コントローラ101は制御処理を終了する。 If the corresponding CID is not found (if the determination in step S1903 is NO), the controller 101 ends the control process.
該当するCIDが見つかった場合(ステップS1903の判定がYESの場合)には、NWリソース管理テーブル607上に該当するCIDのエントリが登録されているか否かが判定される(図19のステップS1904)。 If the corresponding CID is found (if the determination in step S1903 is YES), it is determined whether an entry for the corresponding CID is registered on the NW resource management table 607 (step S1904 in FIG. 19). .
該当するCIDのエントリが登録されていないと判定された場合(ステップS1904の判定がNOの場合)には、次の制御動作が実行される。NWリソース管理テーブル607(図6、図7(b)、図9、図13、図14(a)、図15(a)等参照)上に新たなエントリが追加される(図19のステップS1905)。具体的には、新たなGIDの値が決定され、ステップS1902で検出された該当CIDの制御ポリシの内容に基づき、上記新エントリに、「GID」項目、「CID」項目、「接続端末」項目、および「認可リソース」項目の値が登録される。 When it is determined that the entry of the corresponding CID is not registered (when the determination in step S1904 is NO), the next control operation is executed. A new entry is added to the NW resource management table 607 (see FIG. 6, FIG. 7B, FIG. 9, FIG. 13, FIG. 14A, FIG. 15A, etc.) (step S1905 in FIG. 19). ). Specifically, a new GID value is determined, and based on the content of the control policy of the corresponding CID detected in step S1902, the new entry includes a “GID” item, a “CID” item, and a “connected terminal” item. , And the value of the “authorization resource” item are registered.
一方、該当するCIDのエントリが登録されていると判定された場合(ステップS1904の判定がYESの場合)には、次の制御動作が実行される。NWリソース管理テーブル607上で「CID」項目の値がステップS1902で検出された該当CIDに一致するエントリの「接続端末」項目に、ステップS1901の新たな端末状態を発生した端末108の端末IDが追加される(図19のステップS1906)。 On the other hand, when it is determined that the entry of the corresponding CID is registered (when the determination in step S1904 is YES), the next control operation is executed. On the NW resource management table 607, the terminal ID of the terminal 108 that has generated the new terminal state in step S1901 is included in the “connected terminal” item of the entry whose value of the “CID” item matches the corresponding CID detected in step S1902. It is added (step S1906 in FIG. 19).
以上のステップS1902からS1906の処理は、前述の図9の902または図13の1302等で説明した、NWリソース管理部602(図6)の制御動作に対応する。 The processes in steps S1902 to S1906 described above correspond to the control operation of the NW resource management unit 602 (FIG. 6) described in 902 of FIG. 9 or 1302 of FIG.
ステップS1905の後、NW設定管理テーブル608(図6、図7(c)、図9、図13、図14(b)、図15(b)等参照)に、ステップS1905で決定された新たなGIDが「GID」項目に設定された新たなエントリが生成される。また、このエントリの「CID」項目には、NWリソース管理テーブル607の「CID」項目の値がコピーして登録される(以上、図19のステップS1907)。 After step S1905, the NW setting management table 608 (see FIG. 6, FIG. 7C, FIG. 9, FIG. 13, FIG. 14B, FIG. 15B, etc.) adds the new determined in step S1905. A new entry with the GID set in the “GID” item is generated. Further, the value of the “CID” item of the NW resource management table 607 is copied and registered in the “CID” item of this entry (step S1907 in FIG. 19).
次に、上記新たなGIDのグループに対応する仮想NW−IDおよびサブネットアドレスが決定され、上記NW設定管理テーブル608の新たなエントリの「仮想NW−ID」項目および「サブネットアドレス」項目に登録される(図19のステップS1908)。 Next, the virtual NW-ID and subnet address corresponding to the new GID group are determined and registered in the “virtual NW-ID” item and “subnet address” item of the new entry of the NW setting management table 608. (Step S1908 in FIG. 19).
続いて、上記新たなGIDのグループに対応するSSIDが決定され、上記NW設定管理テーブル608の新たなエントリの「SSID」項目に登録される(図19のステップS1909)。 Subsequently, the SSID corresponding to the new GID group is determined and registered in the “SSID” item of the new entry in the NW setting management table 608 (step S1909 in FIG. 19).
一方、ステップS1904の判定がYESとなってステップS1906が実行された後には、次の制御動作が実行される。NW設定管理テーブル608上の「CID」項目の値がステップS1902で検出された該当CIDに一致するエントリの「接続端末」項目に、ステップS1901の新たな端末状態を発生させた端末108の端末IDが追加される(図19のステップS1913)。この端末IDは、例えば端末108のMACアドレスである。 On the other hand, after the determination in step S1904 is YES and step S1906 is executed, the next control operation is executed. The terminal ID of the terminal 108 that generated the new terminal state in step S1901 in the “connected terminal” item of the entry whose value in the “CID” item on the NW setting management table 608 matches the corresponding CID detected in step S1902. Is added (step S1913 in FIG. 19). This terminal ID is the MAC address of the terminal 108, for example.
次に、図20のフローチャートに移る。
図19のステップS1906およびS1908でNW設定管理テーブル608に新たなGIDに対応するエントリが作成された後、その新エントリと他の既存エントリとで共有されるべきNWリソース(共有リソース)があるか否かが判定される(図20のステップS1910)。
Next, the flowchart of FIG.
After the entry corresponding to the new GID is created in the NW setting management table 608 in steps S1906 and S1908 in FIG. 19, is there an NW resource (shared resource) that should be shared between the new entry and other existing entries? It is determined whether or not (step S1910 in FIG. 20).
共有リソースがある場合(ステップS1910の判定がYESの場合)には、次の制御動作が実行される。共有リソースに対する転送設定が生成され、その転送設定が図19のステップS1906で新たに生成されたエントリの「転送設定」項目に登録される(図3のステップS1911)。これは、前述の図13または図15(b)等で説明した状態である。共有リソースの転送設定追加の処理の詳細については、後述する。 When there is a shared resource (when the determination in step S1910 is YES), the next control operation is executed. A transfer setting for the shared resource is generated, and the transfer setting is registered in the “transfer setting” item of the entry newly generated in step S1906 in FIG. 19 (step S1911 in FIG. 3). This is the state described with reference to FIG. 13 or FIG. Details of the shared resource transfer setting addition processing will be described later.
共有リソースがない場合(ステップS1910の判定がNOの場合)には、ステップS1911の処理はスキップされ、転送設定は登録されない。これは、前述の図9、図10(b)、図11(b)、図12(b)等で説明した状態である。 If there is no shared resource (when the determination in step S1910 is NO), the process in step S1911 is skipped and the transfer setting is not registered. This is the state described in FIG. 9, FIG. 10 (b), FIG. 11 (b), FIG.
その後、図3のステップS1905でNWリソース管理テーブル607に追加されたエントリの「認可リソース」項目に登録されているNWリソースのうち、共有がされないNWリソース(認可リソース)の名前に対応するIPアドレスが決定される。そして、その決定されたIPアドレスが、図19のステップS1906で新たに生成された新GIDエントリの「認可リソース」項目に登録される。このとき、図19のステップS1908で決定されたサブネットアドレスに対応する所定のサーバ用のIPアドレスの範囲から未使用のIPアドレスが決定される(以上、図20のステップS1912)。前述した図13の例では、1303−1で説明したように、新たなに生成されたGID=2のエントリには、共有リソースである教材サーバ107aのIPアドレスは登録されず、共有なしの成績サーバ107bのIPアドレスのみが登録される。また、前述した図15(b)の例では、新たなに生成されたGID=2のエントリには、共有リソースである成績サーバ107bのIPアドレスは登録されず、共有なしの教材サーバ107aのIPアドレスのみが登録される。 Thereafter, among the NW resources registered in the “authorized resource” item of the entry added to the NW resource management table 607 in step S1905 in FIG. 3, the IP address corresponding to the name of the NW resource (authorized resource) that is not shared Is determined. Then, the determined IP address is registered in the “authorization resource” item of the new GID entry newly generated in step S1906 in FIG. At this time, an unused IP address is determined from a predetermined server IP address range corresponding to the subnet address determined in step S1908 in FIG. 19 (step S1912 in FIG. 20). In the example of FIG. 13 described above, as described in 1303-1, the IP address of the learning material server 107a which is a shared resource is not registered in the newly generated entry with GID = 2, and the result without sharing Only the IP address of the server 107b is registered. In the example of FIG. 15B described above, the IP address of the learning server 107a without sharing is not registered in the newly generated entry with GID = 2, and the IP address of the grade server 107b that is a shared resource is not registered. Only the address is registered.
図19において、ステップS1904の判定がYESとなってステップS1907およびステップS1913が実行された後には、図20のステップS1910からS1912の処理は実行されず、図20のステップS1914に移行する。すなわち、図19のステップS1906で新たに生成された新たなGIDのエントリにおいて、「認可リソース」項目および「転送設定」項目の内容は変更されない。 In FIG. 19, after the determination in step S1904 is YES and steps S1907 and S1913 are executed, the processing from steps S1910 to S1912 in FIG. 20 is not executed, and the process proceeds to step S1914 in FIG. That is, in the entry of the new GID newly generated in step S1906 in FIG. 19, the contents of the “authorization resource” item and the “transfer setting” item are not changed.
以上のステップS1907からS1913の処理は、前述の図9の903または図13の1303等で説明した、NW設定管理部603(図6)の制御動作に対応する。 The processes in steps S1907 to S1913 described above correspond to the control operation of the NW setting management unit 603 (FIG. 6) described in the above-described 903 in FIG. 9, 1303 in FIG.
図20のステップS1912または図19のステップS1913の処理の後、NW設定管理テーブル(前回)608bとNW設定管理テーブル(最新)608aとの差分が抽出される(図20のステップS1914)。 After step S1912 in FIG. 20 or step S1913 in FIG. 19, the difference between the NW setting management table (previous) 608b and the NW setting management table (latest) 608a is extracted (step S1914 in FIG. 20).
その後、ステップS1914で抽出されたネットワーク設定値の差分情報のみが、設定情報として各NW機器へ設定要求される(図20のステップS1915)。この処理は、前述の図9の904〜908、または前述の図13の1304〜1309で説明した制御動作である。 Thereafter, only the difference information of the network setting values extracted in step S1914 is requested to be set as setting information to each NW device (step S1915 in FIG. 20). This processing is the control operation described in 904 to 908 in FIG. 9 described above or 1304 to 1309 in FIG. 13 described above.
その後、コントローラ101は、端末状態変化時の図19および図20で示される制御処理を終了する。 Thereafter, the controller 101 ends the control processing shown in FIGS. 19 and 20 when the terminal state changes.
図21は、図19のステップS1908の、新GIDへの仮想NW−ID、サブネットアドレス追加の処理の詳細例を示すフローチャートである。 FIG. 21 is a flowchart showing a detailed example of the process of adding the virtual NW-ID and subnet address to the new GID in step S1908 of FIG.
まず、図6の記憶部605に記憶されている仮想NW−ID管理テーブル609(図8(a))から、「割当」項目=「未使用」のエントリの「仮想NW−ID」項目に登録されている仮想NW−IDが取得される。そして、そのエントリの「割当」項目の値が「使用中」に変更される(ステップS2101)。 First, from the virtual NW-ID management table 609 (FIG. 8A) stored in the storage unit 605 in FIG. 6, registration is made in the “virtual NW-ID” item of the entry “allocation” = “unused”. The virtual NW-ID that has been set is acquired. Then, the value of the “allocation” item of the entry is changed to “in use” (step S2101).
次に、図6の記憶部605に記憶されているサブネット管理テーブル610(図8(b))から、「割当」項目=「未使用」のエントリの「サブネットアドレス」項目に登録されているサブネットアドレスが取得される。そして、そのエントリの「割当」項目の値が「使用中」に変更される(ステップS2102)。 Next, from the subnet management table 610 (FIG. 8B) stored in the storage unit 605 of FIG. 6, the subnet registered in the “subnet address” item of the entry “allocation” = “unused”. An address is obtained. Then, the value of the “allocation” item of the entry is changed to “in use” (step S2102).
そして、ステップS2101で取得された仮想NW−IDが、図19のステップS1906で生成された新GIDのエントリの「仮想NW−ID」項目に登録される。また、ステップS2102で取得されたサブネットアドレスが、上記新GIDのエントリの「サブネットアドレス」項目に登録される(ステップS2103)。 Then, the virtual NW-ID acquired in step S2101 is registered in the “virtual NW-ID” item of the new GID entry generated in step S1906 in FIG. Also, the subnet address acquired in step S2102 is registered in the “subnet address” item of the new GID entry (step S2103).
その後、図21のフローチャートの処理が終了し、図19のステップS1908の新GIDへの仮想NW−ID、サブネットアドレス追加の処理が終了する。 Thereafter, the process of the flowchart of FIG. 21 ends, and the process of adding the virtual NW-ID and subnet address to the new GID in step S1908 of FIG. 19 ends.
図22は、図20の共有リソースの転送設定追加の処理の詳細例を示すフローチャートである。 FIG. 22 is a flowchart illustrating a detailed example of shared resource transfer setting addition processing in FIG. 20.
まず、共有リソースが所属するGIDのエントリの「転送設定」項目に、そのエントリの「認可リソース」項目の共有リソースのIPアドレスから図19のステップS1908で生成されたサブネットアドレスへの転送情報が設定される(ステップS2201)。前述の図13の1303−2の例では、共有リソースである教材サーバ107aが所属するGID=1のエントリの「転送設定」項目に、次の転送情報が設定される。この転送情報は、GID=1のエントリの「認可リソース」項目の教材サーバ107aのIPアドレス=192.168.10.1から、GID=2のエントリの「サブネットアドレス」項目のサブネットアドレス=192.168.20.0/24への転送を指示する。また、前述の図15の例では、共有リソースである成績サーバ107bが所属するGID=1のエントリの「転送設定」項目に、次の転送情報が設定される。この転送情報は、GID=1のエントリの「認可リソース」項目の成績サーバ107bのIPアドレス=192.168.10.10から、GID=2のエントリの「サブネットアドレス」項目のサブネットアドレス=192.168.20.0/24への転送を指示する。 First, transfer information from the IP address of the shared resource in the “authorized resource” item of the entry to the subnet address generated in step S1908 in FIG. 19 is set in the “transfer setting” item of the GID entry to which the shared resource belongs. (Step S2201). In the example of 1303-2 in FIG. 13 described above, the following transfer information is set in the “transfer setting” item of the GID = 1 entry to which the learning material server 107 a that is a shared resource belongs. The transfer information includes the IP address of the teaching material server 107a in the “authorized resource” item of the entry with GID = 1 = 192.168.10.1 to the subnet address of the “subnet address” item in the entry of GID = 2 = 192. Instruct transfer to 168.20.0 / 24. In the example of FIG. 15 described above, the next transfer information is set in the “transfer setting” item of the entry of GID = 1 to which the grade server 107b, which is a shared resource, belongs. This transfer information includes the IP address = 192.168.10.10 of the grade server 107b of the “authorized resource” item of the entry with GID = 1 to the subnet address = 192.10 of the “subnet address” item of the entry with GID = 2. Instruct transfer to 168.20.0 / 24.
そして、共有リソースの転送先のエントリ、すなわち図19のステップS1906およびS1907で新たに生成された新GIDのエントリの「転送設定」項目に、次の転送設定が登録される。図19のステップS1908で生成されたサブネットアドレスから共有リソースが所属するエントリの「認可リソース」項目に登録された共有リソースのIPアドレスへの転送情報が設定される(ステップS2202)。前述の図13の1303−2の例では、共有リソースの転送先のGID=2のエントリの「転送設定」項目に、次の転送情報が設定される。この転送情報は、GID=2のエントリの「サブネットアドレス」項目のサブネットアドレス=192.168.20.0/24から、GID=1のエントリの「認可リソース」項目の教材サーバ107aのIPアドレス=192.168.10.1への転送を指示する。また、前述の図15の例では、共有リソースの転送先のGID=2のエントリの「転送設定」項目に、次の転送情報が設定される。この転送情報は、GID=2のエントリの「サブネットアドレス」項目のサブネットアドレス=192.168.20.0/24から、GID=1のエントリの「認可リソース」項目の成績サーバ107bのIPアドレス=192.168.10.10への転送を指示する。 Then, the next transfer setting is registered in the “transfer setting” item of the entry of the transfer destination of the shared resource, that is, the entry of the new GID newly generated in steps S1906 and S1907 in FIG. Transfer information from the subnet address generated in step S1908 in FIG. 19 to the IP address of the shared resource registered in the “authorized resource” item of the entry to which the shared resource belongs is set (step S2202). In the example of 1303-2 in FIG. 13 described above, the next transfer information is set in the “transfer setting” item of the GID = 2 entry of the transfer destination of the shared resource. The transfer information includes the subnet address = 192.168.20.0 / 24 of the “subnet address” item of the entry with GID = 2 to the IP address of the learning material server 107a of the “authorized resource” item of the entry with GID = 1 = Directs transfer to 192.168.10.1. In the example of FIG. 15 described above, the next transfer information is set in the “transfer setting” item of the GID = 2 entry of the transfer destination of the shared resource. The transfer information includes the subnet address = 192.168.8.20.0 / 24 of the “subnet address” item of the entry with GID = 2, and the IP address of the grade server 107b of the “authorized resource” item of the entry with GID = 1 = Directs transfer to 192.168.10.10.
その後、図22のフローチャートの処理が終了し、図20のステップS1911の共有リソースの転送設定追加の処理が終了する。 Thereafter, the processing of the flowchart of FIG. 22 ends, and the shared resource transfer setting addition processing of step S1911 of FIG. 20 ends.
前述した図9から図18の動作例では、コントローラ101内のNWリソース管理テーブル607のエントリの「認可リソース」項目に登録されるサーバ107のIPアドレスは、次のように決定された。すなわち、コントローラ101内のNW設定管理部603(図6参照)が、NW設定管理テーブル608のエントリの「サブネットアドレス」項目に設定されたサブネットアドレスに属する未使用のIPアドレスを選択してそのエントリの「認可リソース」項目に登録した。これに対して、サーバ107群のみを別のGIDとみなし、それらのIPアドレスを固定的に特定のサブネットアドレスに帰属させることも可能である。図23は、そのような制御動作を実現する本実施形態の動作例(その9)を説明する図である。 9 to 18 described above, the IP address of the server 107 registered in the “authorized resource” item of the entry of the NW resource management table 607 in the controller 101 is determined as follows. That is, the NW setting management unit 603 (see FIG. 6) in the controller 101 selects an unused IP address belonging to the subnet address set in the “subnet address” item of the entry of the NW setting management table 608 and enters the entry. Registered in "Authorized Resource" item. On the other hand, it is also possible to regard only the server 107 group as another GID, and to assign the IP address to a specific subnet address fixedly. FIG. 23 is a diagram for explaining an operation example (No. 9) of the present embodiment for realizing such a control operation.
図23は、図13の場合と同様に、生徒端末108bが自習アプリを起動して教材サーバ107aにアクセスし、先生端末108aも自習アプリを起動して教材サーバ107aと成績サーバ107bの双方にアクセスするケースである。ただし、図13の場合と異なり、教材サーバ107aと成績サーバ107bは、予め仮想NW−ID=VLAN30のサブネットアドレス192.168.30.0/24に固定的に帰属させられる。そして、教材サーバ107aにはIPアドレス=192.168.30.10、成績サーバ107bにはIPアドレス192.168.30.11が、それぞれ固定的に割り当てられる。この場合、各サーバ名とIPアドレスの組が、DNSサーバ106の設定テーブル3007(図30、図31参照)に予め固定的に割り当てられている。 In FIG. 23, as in the case of FIG. 13, the student terminal 108b activates the self-study application and accesses the teaching material server 107a, and the teacher terminal 108a also activates the self-study application and accesses both the teaching material server 107a and the grade server 107b. This is the case. However, unlike the case of FIG. 13, the teaching material server 107a and the grade server 107b are fixedly assigned to the subnet address 192.168.30.0/24 of the virtual NW-ID = VLAN 30 in advance. An IP address = 192.168.30.10 is fixedly assigned to the teaching material server 107a, and an IP address 192.168.30.11 is fixedly assigned to the grade server 107b. In this case, a set of each server name and IP address is fixedly assigned in advance to the setting table 3007 (see FIGS. 30 and 31) of the DNS server 106.
この状態で、コントローラ101内のNW設定管理部603は、以下の制御動作を実行する。 In this state, the NW setting management unit 603 in the controller 101 executes the following control operation.
まず、NW設定管理部603は、NW設定管理テーブル608において、以下の登録動作を実行する。NW設定管理部603は、図13の場合と同様に、生徒端末108bを含むGID=1に、仮想NW−ID=VLAN10、サブネットアドレス=192.168.10.0/24、SSID=SSID10をそれぞれ割り当てる。また、NW設定管理部603は、図13の場合と同様に、先生端末108aを含むGID=2に、仮想NW−ID=VLAN20、サブネットアドレス=192.168.20.0/24、SSID=SSID20がそれぞれ割り当てられる。 First, the NW setting management unit 603 executes the following registration operation in the NW setting management table 608. As in the case of FIG. 13, the NW setting management unit 603 assigns virtual NW-ID = VLAN10, subnet address = 192.168.10.0 / 24, and SSID = SSID10 to GID = 1 including the student terminal 108b. assign. Similarly to the case of FIG. 13, the NW setting management unit 603 sets the virtual NW-ID = VLAN20, the subnet address = 192.168.20.0 / 24, and the SSID = SSID20 to GID = 2 including the teacher terminal 108a. Are assigned to each.
また、NW設定管理部603は、図23のNW設定管理テーブル608の「認可リソース」項目には、次のような割当てを行う。NW設定管理部603は、GID=1のエントリでは、教材サーバ107aに対応するIPアドレス=192.168.30.10を固定的に割り当てる。一方、NW設定管理部603は、GID=2のエントリでは、教材サーバ107aに対応するIPアドレス=192.168.30.10と成績サーバ107bに対応するIPアドレス=192.168.30.1を固定的に割り当てる。このとき、NW設定管理部603は、NWリソース管理テーブル607の「認可リソース」項目に登録されたサーバ名で、DNSサーバ106に問い合わせることにより、サーバ107のIPアドレスを取得することができる。 Further, the NW setting management unit 603 performs the following allocation to the “authorization resource” item of the NW setting management table 608 in FIG. The NW setting management unit 603 permanently assigns IP address = 192.168.30.10 corresponding to the learning material server 107a in the entry of GID = 1. On the other hand, in the entry of GID = 2, the NW setting management unit 603 sets an IP address = 192.168.30.10 corresponding to the teaching material server 107a and an IP address = 192.168.30.1 corresponding to the grade server 107b. Assign fixedly. At this time, the NW setting management unit 603 can acquire the IP address of the server 107 by making an inquiry to the DNS server 106 with the server name registered in the “authorized resource” item of the NW resource management table 607.
さらに、図23において、NW設定管理テーブル608の「転送設定」項目には、次のような割当てが行われる。GID=1のエントリでは、そのエントリの「サブネットアドレス」項目のサブネットアドレス=192.168.10.0/24から教材サーバ107aのIPアドレス=192.168.30.10への転送設定が登録される。また、GID=2のエントリでは、そのエントリの「サブネットアドレス」項目のサブネットアドレス=192.168.10.0/24から教材サーバ107aおよび成績サーバ107bの各IPアドレス=192.168.30.10および192.168.30.11への各転送設定が登録される。 Further, in FIG. 23, the following assignment is performed to the “transfer setting” item of the NW setting management table 608. In the entry of GID = 1, the transfer setting from the subnet address = 192.168.10.0 / 24 of the “subnet address” item of the entry to the IP address = 192.168.30.10.10 of the learning material server 107a is registered. The Also, in the entry with GID = 2, the subnet address = 192.168.10.0 / 24 of the “subnet address” item of the entry to each IP address of the teaching material server 107a and the grade server 107b = 192.168.30.10. And each transfer setting to 192.168.30.11 is registered.
図24は、本実施形態による図1のスイッチ102の構成例を示す図である。スイッチ102は、イーサネットインタフェース2401、転送制御部2402、設定インタフェース2403、設定制御部2404、および記憶部2405を備える。記憶部2405は、MACテーブル2406およびVLANテーブル2407を記憶する。 FIG. 24 is a diagram illustrating a configuration example of the switch 102 of FIG. 1 according to the present embodiment. The switch 102 includes an Ethernet interface 2401, a transfer control unit 2402, a setting interface 2403, a setting control unit 2404, and a storage unit 2405. The storage unit 2405 stores a MAC table 2406 and a VLAN table 2407.
イーサネットインタフェース2401は、LANであるイーサネットを収容するインタフェース回路である。このイーサネットインタフェース2401は、LANケーブル等を物理的に接続することのできるポートを複数備える。イーサネットインタフェース2401は、前述したように、仮想NW−IDを設定するポートのほかに、前述したトランクポートを備える。 The Ethernet interface 2401 is an interface circuit that accommodates Ethernet, which is a LAN. The Ethernet interface 2401 includes a plurality of ports to which a LAN cable or the like can be physically connected. As described above, the Ethernet interface 2401 includes the above-described trunk port in addition to the port for setting the virtual NW-ID.
転送制御部2402は、記憶部2405に記憶されているMACテーブル2406とVLANテーブル2407を用いて、イーサネットインタフェース2401の各ポートで受信されたフレームを他のポートに中継する制御を行う。転送制御部2402は、MACテーブル2406を自ら更新しながら、前述した基本的な中継動作を実行する。 The transfer control unit 2402 uses the MAC table 2406 and the VLAN table 2407 stored in the storage unit 2405 to perform control to relay frames received at each port of the Ethernet interface 2401 to other ports. The transfer control unit 2402 executes the basic relay operation described above while updating the MAC table 2406 itself.
設定インタフェース2403は、スイッチ102の1つのポートであり、図1のコントローラ101が接続される。この設定インタフェース2603には、図1のコントローラ101と通信可能な専用の仮想NW−IDが設定される。設定インタフェース2403は、この仮想NW−IDに対応する専用のVLANを用いて、コントローラ101からイーサネットインタフェース2401内の各ポートに割り当てられる各VLANに関する設定情報を受信する。 The setting interface 2403 is one port of the switch 102 and is connected to the controller 101 in FIG. In this setting interface 2603, a dedicated virtual NW-ID that can communicate with the controller 101 of FIG. The setting interface 2403 receives setting information regarding each VLAN assigned to each port in the Ethernet interface 2401 from the controller 101 using a dedicated VLAN corresponding to this virtual NW-ID.
設定制御部2404は、設定インタフェース2403が受信したVLANに関する設定情報を、記憶部2405内のVLANテーブル2407に設定する。 The setting control unit 2404 sets the setting information regarding the VLAN received by the setting interface 2403 in the VLAN table 2407 in the storage unit 2405.
図25は、記憶部2405に記憶されるMACテーブル2406およびVLANテーブル2407のデータ構成例を示す図である。 FIG. 25 is a diagram illustrating a data configuration example of the MAC table 2406 and the VLAN table 2407 stored in the storage unit 2405.
まず、図25(a)は、MACテーブル2406のデータ構成例を示す。MACテーブル2406において、「ポート」項目に登録されたイーサネットインタフェース2401の各ポートに対応するポート番号に対応して、「MACアドレス」項目にそのポートに接続されるNW機器のMACアドレスが記憶される。 First, FIG. 25A shows a data configuration example of the MAC table 2406. In the MAC table 2406, in correspondence with the port number corresponding to each port of the Ethernet interface 2401 registered in the “port” item, the MAC address of the NW device connected to the port is stored in the “MAC address” item. .
スイッチ102の起動時にはMACテーブル2406の各エントリの「ポート」項目(図25(a)の1〜n)に対応する「MACアドレス」項目の値は空である。 When the switch 102 is activated, the value of the “MAC address” item corresponding to the “port” item (1 to n in FIG. 25A) of each entry in the MAC table 2406 is empty.
この状態で、いずれかのポートにそのポートに接続されているNW機器からフレーム(イーサネットフレーム)が着信する。転送制御部2402は、フレームが着信すると、そのフレームのヘッダ中の送信元MACアドレスを取り出す。そして、転送制御部2402は、図25(a)に例示されるMACテーブル2406の着信が発生したポートに対応するポート番号を「ポート」項目に有するエントリの「MACアドレス」項目に、その取り出したMACアドレスを登録する。以上の動作が繰り返し実行されることにより、MACテーブル2406の各エントリの「MACアドレス」項目の内容が埋められてゆく。 In this state, a frame (Ethernet frame) arrives at any port from the NW device connected to that port. When a frame arrives, the transfer control unit 2402 extracts the source MAC address in the header of the frame. Then, the transfer control unit 2402 extracts the “MAC address” item of the entry having the port number corresponding to the port where the incoming call has occurred in the MAC table 2406 illustrated in FIG. Register the MAC address. By repeatedly executing the above operation, the contents of the “MAC address” item of each entry in the MAC table 2406 are filled.
その後、いずれかのポートにフレームが着信すると、転送制御部2402は、そのフレームのヘッダ中の宛先MACアドレスを取り出す。転送制御部2402は、その宛先MACアドレスでMACテーブル2406内の「MACアドレス」項目を検索する。この結果、その宛先MACアドレスがMACテーブル2406上で見つかると、見つかったエントリの「ポート」項目からポート番号を取り出す。転送制御部2402は、上記着信したフレームを、そのポート番号に対応するポートに中継する。一方、宛先MACアドレスがMACテーブル2406上で見つからなかったときには、転送制御部2402は、上記着信したフレームを、着信ポート以外の全てのポートに中継する。 Thereafter, when a frame arrives at any of the ports, the transfer control unit 2402 extracts the destination MAC address in the header of the frame. The transfer control unit 2402 searches the “MAC address” item in the MAC table 2406 with the destination MAC address. As a result, when the destination MAC address is found on the MAC table 2406, the port number is extracted from the “port” item of the found entry. The transfer control unit 2402 relays the received frame to the port corresponding to the port number. On the other hand, when the destination MAC address is not found on the MAC table 2406, the transfer control unit 2402 relays the received frame to all ports other than the incoming port.
このようにして、転送制御部2402は、着信したフレームが無駄なポートに中継されないように、効率的な転送制御を行う。 In this way, the transfer control unit 2402 performs efficient transfer control so that an incoming frame is not relayed to a useless port.
図25(b)は、記憶部2405に記憶されるVLANテーブル2407のデータ構成例を示す図である。前述したように、コントローラ101は、ポート番号と仮想NW−IDの組を、VLANに関する設定情報として通知する。この情報は、図24の設定インタフェース2403で受信され、設定制御部2404に引き渡される。設定制御部2404は、図25(b)に例示されるVLANテーブル2407上で、受信された設定情報中のポート番号が「ポート」項目に設定されているエントリの「仮想NW−ID」項目に、上記設定情報中の仮想NW−IDを登録する。 FIG. 25B is a diagram illustrating a data configuration example of the VLAN table 2407 stored in the storage unit 2405. As described above, the controller 101 notifies the set of port number and virtual NW-ID as setting information related to the VLAN. This information is received by the setting interface 2403 in FIG. 24 and delivered to the setting control unit 2404. The setting control unit 2404 sets the “virtual NW-ID” item of the entry in which the port number in the received setting information is set in the “port” item on the VLAN table 2407 illustrated in FIG. The virtual NW-ID in the setting information is registered.
このようにして、スイッチ102の各ポートに接続されたNW機器を、そのポートに対応してVLANテーブル2407上で設定された仮想NW−IDを有するVLANに所属させることが可能となる。 In this way, the NW device connected to each port of the switch 102 can belong to the VLAN having the virtual NW-ID set on the VLAN table 2407 corresponding to the port.
図26は、本実施形態による図1のルータ103の構成例を示す図である。ルータ103は、1つ以上のサブインタフェース2601(図26中では「IF#1」「IF#2」などと記載)、転送制御部2602、設定インタフェース2603、設定制御部2604、および記憶部2605を備える。記憶部2605は、ルーティングテーブル2606およびフィルタリングテーブル2607を記憶する。 FIG. 26 is a diagram illustrating a configuration example of the router 103 of FIG. 1 according to the present embodiment. The router 103 includes one or more sub-interfaces 2601 (described as “IF # 1” and “IF # 2” in FIG. 26), a transfer control unit 2602, a setting interface 2603, a setting control unit 2604, and a storage unit 2605. Prepare. The storage unit 2605 stores a routing table 2606 and a filtering table 2607.
サブインタフェース2601は、前述した論理的なインタフェースである。前述したように、ルータ103の特には図示しない物理インタフェース(イーサネットインタフェース)は、図1のスイッチ102の例えばトランクポートに接続されている。複数のサブインタフェース2601は、この物理インタフェース上に設定される。なお、図26では、図13の動作例などで前述した2つの仮想NW−IDであるVLAN10とVLAN20に対応させて、IF#1とIF#2の2つのみのサブインタフェース2601が表記されている。ここで、設定されるVLANの数が増えれば、このサブインタフェース2601の数は設定可能なVLANの数だけ増加させることが可能である。 The sub interface 2601 is the logical interface described above. As described above, the physical interface (Ethernet interface) (not shown) of the router 103 is connected to, for example, the trunk port of the switch 102 in FIG. A plurality of subinterfaces 2601 are set on this physical interface. In FIG. 26, only two sub-interfaces 2601 of IF # 1 and IF # 2 are shown in association with the two virtual NW-IDs VLAN10 and VLAN20 described in the operation example of FIG. Yes. If the number of VLANs to be set increases, the number of subinterfaces 2601 can be increased by the number of VLANs that can be set.
転送制御部2602は、図1のスイッチ102から転送されてきたフレームを、そのフレームに付加されている仮想NW−IDが割り当てられているサブインタフェース2601(図26ではIF#1またはIF#2のいずれか)で受信する。転送制御部2602は、受信したフレームに格納されているIPパケットの送信元IPアドレスと宛先IPアドレスを取り出す。転送制御部2602は、それらのアドレスを記憶部2605内のルーティングテーブル2606に設定されている経路情報と比較することにより、出力先のサブインタフェース2601(図26ではIF#2またはIF#1のいずれか)を決定する。転送制御部2602は、受信したIPパケットを含み、出力先のサブインタフェースに設定されている仮想NW−IDをタグとして含むイーサネットフレームを生成する。転送制御部2602は、そのイーサネットフレームを、出力先のサブインタフェース2601から特には図示しない物理インタフェースを介して、スイッチ102のトランクポートに転送する。なお、転送制御部2602は、記憶部2605内のフィルタリングテーブル2607を参照することにより、転送を禁止または許可するパケットフィルタリングを実施する。 The transfer control unit 2602 transfers the frame transferred from the switch 102 in FIG. 1 to the subinterface 2601 to which the virtual NW-ID added to the frame is assigned (in FIG. 26, IF # 1 or IF # 2). Any). The transfer control unit 2602 extracts the source IP address and the destination IP address of the IP packet stored in the received frame. The transfer control unit 2602 compares these addresses with the route information set in the routing table 2606 in the storage unit 2605, so that either the output destination sub-interface 2601 (IF # 2 or IF # 1 in FIG. Or). The transfer control unit 2602 generates an Ethernet frame that includes the received IP packet and includes the virtual NW-ID set in the output destination sub-interface as a tag. The transfer control unit 2602 transfers the Ethernet frame from the output destination sub-interface 2601 to the trunk port of the switch 102 via a physical interface (not shown). The transfer control unit 2602 refers to the filtering table 2607 in the storage unit 2605 to perform packet filtering for prohibiting or permitting transfer.
設定インタフェース2603は、サブインタフェース2601と同様に、図1のスイッチ102の例えばトランクポートに接続されている特には図示しない物理インタフェース上に設定される論理的なサブインタフェースの1つである。この設定インタフェース2603には、図1のコントローラ101と通信可能な仮想NW−IDが設定される。設定インタフェース2603は、この仮想NW−IDに対応する専用のVLANを用いて、コントローラ101から記憶部2605内のルーティングテーブル2606またはフィルタリングテーブル2607に設定されるべき転送設定(経路情報)を受信する。また、設定インタフェース2603は、上記専用のVLANを用いて、コントローラ101から各サブインタフェース2601に設定されるべきVLANに関する設定情報を受信する。経路情報2701やフィルタリング情報2702の設定情報は、前述したRIPなどのダイナミックルーティングプロトコルを用いることにより、コントローラ101からルータ103に転送できる。 The setting interface 2603 is one of logical subinterfaces set on a physical interface (not shown) connected to, for example, the trunk port of the switch 102 in FIG. In this setting interface 2603, a virtual NW-ID that can communicate with the controller 101 of FIG. The setting interface 2603 receives transfer settings (path information) to be set in the routing table 2606 or the filtering table 2607 in the storage unit 2605 from the controller 101 using a dedicated VLAN corresponding to the virtual NW-ID. The setting interface 2603 receives setting information related to the VLAN to be set in each sub-interface 2601 from the controller 101 using the dedicated VLAN. Setting information of the route information 2701 and the filtering information 2702 can be transferred from the controller 101 to the router 103 by using the dynamic routing protocol such as RIP described above.
設定制御部2604は、設定インタフェース2603が受信した転送設定を、記憶部2605内のルーティングテーブル2606およびフィルタリングテーブル2607に設定する。また、設定制御部2604は、設定インタフェース2603が受信したVLANに関する設定情報に基づいて、その設定情報に含まれる仮想NW−IDと、その設定情報に含まれるサブネットアドレスに属するIPアドレスとが設定されたサブインタフェース2601を生成する。 The setting control unit 2604 sets the transfer settings received by the setting interface 2603 in the routing table 2606 and the filtering table 2607 in the storage unit 2605. Also, the setting control unit 2604 is set based on the setting information regarding the VLAN received by the setting interface 2603 and the virtual NW-ID included in the setting information and the IP address belonging to the subnet address included in the setting information. A sub-interface 2601 is generated.
図27は、記憶部2605に記憶されるルーティングテーブル2606およびフィルタリングテーブル2607のデータ構成例を示す図である。 FIG. 27 is a diagram illustrating a data configuration example of the routing table 2606 and the filtering table 2607 stored in the storage unit 2605.
まず、図27(a)は、ルーティングテーブル2606のデータ構成例を示す。ルーティングテーブル2606に設定される経路情報2701のデータ構成は、図5で説明した経路情報501のデータ構成と同じである。図26(a)の経路情報2701が図5の経路情報501と異なる点は、経路情報2701は、設定インタフェース2603および設定制御部2604を介して、コントローラ101から設定されるという点である。 First, FIG. 27A shows a data configuration example of the routing table 2606. The data configuration of the route information 2701 set in the routing table 2606 is the same as the data configuration of the route information 501 described in FIG. The route information 2701 in FIG. 26A differs from the route information 501 in FIG. 5 in that the route information 2701 is set from the controller 101 via the setting interface 2603 and the setting control unit 2604.
図27(a)のルーティングテーブル2606の一行目および二行目の各エントリの経路情報2701はそれぞれ、図13の説明で前述した第1および第2の経路情報に対応する。 The route information 2701 of each entry in the first and second rows of the routing table 2606 in FIG. 27A corresponds to the first and second route information described above with reference to FIG.
次に、図27(b)は、フィルタリングテーブル2607のデータ構成例を示す。「通信方向」項目には、サブインタフェース2601間のどの方向、例えばIF#1からIF#2か、IF#2からIF#1のどちらの方向に流れるIPパケットに対してフィルタリングが実行されるかが設定される。「プロトコル」項目には、OSI階層のレイヤ3(L3)階層に設定されているどの通信プロトコルのデータが格納されたIPパケットに対してフィルタリングが実行されるかが設定される。「送信元IPアドレス」項目には、どの送信元IPアドレスが設定されたIPパケットに対してフィルタリングが実行されるかが設定される。「宛先IPアドレス」項目には、どの宛先IPアドレスが設定されたIPパケットに対してフィルタリングが実行されるかが設定される。「送信元ポート番号」項目には、OSI階層のレイヤ3(L3)階層に設定されているどの送信元ポート番号を有するデータが格納されたIPパケットに対してフィルタリングが実行されるかが設定される。「宛先ポート番号」項目には、OSI階層のレイヤ3(L3)階層に設定されているどの宛先ポート番号を有するデータが格納されたIPパケットに対してフィルタリングが実行されるかが設定される。「通過」項目には、IPパケットの通過を「許可」するか「禁止」するかが設定される。 Next, FIG. 27B shows a data configuration example of the filtering table 2607. In the “communication direction” item, in which direction between the sub-interfaces 2601, for example, in which direction IF # 1 to IF # 2 or IF # 2 to IF # 1, filtering is performed for IP packets. Is set. In the “protocol” item, which communication protocol data set in the layer 3 (L3) layer of the OSI layer is stored is filtered is set. In the “source IP address” item, which source IP address is set as to which filtering is executed is set. In the “destination IP address” item, which destination IP address is set as to which IP packet is set is set. In the “source port number” item, it is set which filtering is executed for an IP packet storing data having a source port number set in the layer 3 (L3) layer of the OSI layer. The In the “destination port number” item, it is set which filtering is executed on an IP packet storing data having which destination port number set in the layer 3 (L3) layer of the OSI layer. In the “pass” item, whether to permit or prohibit the passage of the IP packet is set.
図27(b)のフィルタリングテーブル2607の一行目および二行目の各エントリのフィルタリング情報2702はそれぞれ、図13の説明で前述した第2および第1の経路情報に対応する。 The filtering information 2702 of each entry in the first and second rows of the filtering table 2607 in FIG. 27B corresponds to the second and first route information described above with reference to FIG.
図27に例示される経路情報2701およびフィルタリング情報2702によって、例として、次のような経路制御が実現される。 As an example, the following route control is realized by the route information 2701 and the filtering information 2702 exemplified in FIG.
まず、図1のコントローラ101からの設定情報に基づいて、仮想NW−ID=VLAN10、IPアドレス=192.168.10.1が割り当てられたIF#1が、サブインタフェース2601として生成されている。また、仮想NW−ID=VLAN20、IPアドレス=192.168.10.2が割り当てられたIF#2が、サブインタフェース2601として生成されている。 First, IF # 1 to which virtual NW-ID = VLAN10 and IP address = 192.168.10.1 are assigned is generated as a sub-interface 2601 based on setting information from the controller 101 of FIG. Further, IF # 2 to which virtual NW-ID = VLAN20 and IP address = 192.168.10.2 are assigned is generated as a sub-interface 2601.
この状態で例えば、サブネットアドレス=192.168.10.0のVLAN10に属するNWリソースを宛先とするIPパケットを含み、仮想NW−ID=VLAN20のタグが設定されたフレームがルータ103に転送されてきたとする。ルータ103は、そのフレームを、IPアドレス=192.168.20.1が設定され仮想NW−ID=VLAN20が設定されたIF#2のサブインタフェース2601で受信する。図26の転送制御部2602は、IF#2で受信したフレームからIPパケットを取り出す。転送制御部2602は、そのIPパケットから、サブネットアドレス=192.168.10.0に属する宛先IPアドレスと、サブネットアドレス=192.168.20.0に属する送信元IPアドレスを取り出す。例えば、宛先IPアドレス=192.168.10.10だとする。転送制御部2602は、宛先IPアドレスおよび送信元IPアドレスを、図27に例示されるルーティングテーブル2606の経路情報2701およびフィルタリング情報2702と比較する。この結果、転送制御部2602は、宛先IPアドレス=192.168.10.10のIPパケットを、IPアドレス=196.168.10.1が設定されたサブインタフェースIF#1に出力する。転送制御部2602は、フィルタリング情報2702に基づいて、全てのプロトコル、全ての送信元ポート番号、および全ての宛先ポート番号が設定されたIPパケットを、サブインタフェース2601=IF#1に転送する。また、転送制御部2602は、仮想NW−ID=VLAN20(サブネットアドレス=192.168.20.0)内の任意のNW機器からのIPパケットを、サブインタフェース2601=IF#1に転送する。転送制御部2602は、上記IPパケットが格納され、サブインタフェース2601=IF#1に設定されている仮想NW−ID=VLAN10がタグとして付加されたフレームを生成する。そして、転送制御部2602は、その生成したフレームを、サブインタフェース2601=IF#1が設定される物理イーサネットインタフェースから、図1のスイッチ102のトランクポートに向けて送信する。 In this state, for example, a frame including an IP packet destined for the NW resource belonging to the VLAN 10 having the subnet address = 192.168.10.0 and having the tag of the virtual NW-ID = VLAN 20 is transferred to the router 103. Suppose. The router 103 receives the frame at the IF # 2 subinterface 2601 in which the IP address = 192.168.20.1 is set and the virtual NW-ID = VLAN 20 is set. The transfer control unit 2602 in FIG. 26 extracts an IP packet from the frame received at IF # 2. The transfer control unit 2602 extracts the destination IP address belonging to the subnet address = 192.168.10.0 and the source IP address belonging to the subnet address = 192.168.20.0 from the IP packet. For example, it is assumed that the destination IP address = 192.168.10.10. The transfer control unit 2602 compares the destination IP address and the source IP address with the route information 2701 and the filtering information 2702 of the routing table 2606 illustrated in FIG. As a result, the transfer control unit 2602 outputs the IP packet having the destination IP address = 192.168.10.10 to the subinterface IF # 1 in which the IP address = 196.168.10.1 is set. Based on the filtering information 2702, the transfer control unit 2602 transfers IP packets in which all protocols, all transmission source port numbers, and all destination port numbers are set to the subinterface 2601 = IF # 1. Also, the transfer control unit 2602 transfers an IP packet from an arbitrary NW device in the virtual NW-ID = VLAN20 (subnet address = 192.168.20.0) to the subinterface 2601 = IF # 1. The transfer control unit 2602 generates a frame in which the IP packet is stored and the virtual NW-ID = VLAN 10 set in the sub-interface 2601 = IF # 1 is added as a tag. Then, the transfer control unit 2602 transmits the generated frame from the physical Ethernet interface in which the sub-interface 2601 = IF # 1 is set to the trunk port of the switch 102 in FIG.
逆に例えば、サブネットアドレス=192.168.20.0のVLAN20に属するNWリソースを宛先とするIPパケットを含み、仮想NW−ID=VLAN10のタグが設定されたフレームがルータ103に転送されてきたとする。ルータ103は、そのフレームを、IPアドレス=192.168.10.1が設定され仮想NW−ID=VLAN10が設定されたIF#1のサブインタフェース2601で受信する。図26の転送制御部2602は、IF#1で受信したフレームからIPパケットを取り出す。転送制御部2602は、そのIPパケットから、サブネットアドレス=192.168.20.0に属する宛先IPアドレスと、サブネットアドレス=192.168.10.0に属する送信元IPアドレスを取り出す。例えば、送信元IPアドレス=192.168.10.10だとする。転送制御部2602は、宛先IPアドレスおよび送信元IPアドレスを、図27に例示されるルーティングテーブル2606の経路情報2701およびフィルタリング情報2702と比較する。この結果、転送制御部2602は、サブネットアドレス=192.168.20.0に属する宛先IPアドレスを有するIPパケットを、IPアドレス=196.168.20.1が設定されたサブインタフェースIF#2に出力する。転送制御部2602は、フィルタリング情報2702に基づいて、全てのプロトコル、全ての送信元ポート番号、および全ての宛先ポート番号が設定されたIPパケットを、サブインタフェース2601=IF#2に転送する。また、転送制御部2602は、仮想NW−ID=VLAN10内の送信元IPアドレス=192.168.10.10を有するNW機器のみからのIPパケットを、サブインタフェース2601=IF#2に転送する。転送制御部2602は、上記IPパケットが格納され、サブインタフェース2601=IF#2に設定されている仮想NW−ID=VLAN20がタグとして付加されたフレームを生成する。そして、転送制御部2602は、その生成したフレームを、サブインタフェース2601=IF#2が設定される物理イーサネットインタフェースから、図1のスイッチ102のトランクポートに向けて送信する。 Conversely, for example, a frame including an IP packet destined for the NW resource belonging to the VLAN 20 with the subnet address = 192.168.20.0 and set with the tag of the virtual NW-ID = VLAN 10 is transferred to the router 103. To do. The router 103 receives the frame at the IF # 1 subinterface 2601 in which the IP address = 192.168.10.1 is set and the virtual NW-ID = VLAN 10 is set. The transfer control unit 2602 in FIG. 26 extracts an IP packet from the frame received at IF # 1. The transfer control unit 2602 extracts a destination IP address belonging to the subnet address = 192.168.20.0 and a source IP address belonging to the subnet address = 192.168.10.0 from the IP packet. For example, it is assumed that the source IP address = 192.168.10.10. The transfer control unit 2602 compares the destination IP address and the source IP address with the route information 2701 and the filtering information 2702 of the routing table 2606 illustrated in FIG. As a result, the transfer control unit 2602 transfers the IP packet having the destination IP address belonging to the subnet address = 192.168.20.0 to the subinterface IF # 2 in which the IP address = 196.168.20.1 is set. Output. Based on the filtering information 2702, the transfer control unit 2602 transfers IP packets in which all protocols, all transmission source port numbers, and all destination port numbers are set to the subinterface 2601 = IF # 2. Further, the transfer control unit 2602 transfers an IP packet from only the NW device having the transmission source IP address = 192.168.10.10 in the virtual NW-ID = VLAN 10 to the sub-interface 2601 = IF # 2. The transfer control unit 2602 generates a frame in which the IP packet is stored and the virtual NW-ID = VLAN 20 set in the subinterface 2601 = IF # 2 is added as a tag. Then, the transfer control unit 2602 transmits the generated frame from the physical Ethernet interface in which the sub-interface 2601 = IF # 2 is set toward the trunk port of the switch 102 in FIG.
以上のようにして、本実施形態によれば、スイッチ102とルータ103によって、異なるVLAN間、例えば仮想NW−ID=VLAN10のVLANと仮想NW−ID=VLAN20のVLANとの間で、フレームを中継することが可能となる。 As described above, according to the present embodiment, the switch 102 and the router 103 relay frames between different VLANs, for example, between the VLAN with the virtual NW-ID = VLAN 10 and the VLAN with the virtual NW-ID = VLAN 20. It becomes possible to do.
このとき、本実施形態では、前述したように、図6のコントローラ101から、図24のスイッチ102内の各テーブル2406、2407と、図26のルータ103内の各テーブル2606、2607およびサブインタフェース2601を設定できる。 At this time, in this embodiment, as described above, from the controller 101 in FIG. 6, the tables 2406 and 2407 in the switch 102 in FIG. 24, the tables 2606 and 2607 in the router 103 in FIG. Can be set.
図28は、本実施形態による図1のDHCPサーバ105の構成例を示す図である。DHCPサーバ105は、受信部2801、DHCPプロトコル制御部2802、送信部2803、設定インタフェース2804、設定制御部2805、および記憶部2806を備える。記憶部2806には、設定テーブル2807が記憶される。 FIG. 28 is a diagram showing a configuration example of the DHCP server 105 of FIG. 1 according to the present embodiment. The DHCP server 105 includes a receiving unit 2801, a DHCP protocol control unit 2802, a transmission unit 2803, a setting interface 2804, a setting control unit 2805, and a storage unit 2806. The storage unit 2806 stores a setting table 2807.
受信部2801は、特には図示しない物理イーサネットインタフェースを介して、図1の端末108や教材サーバ107aまたは成績サーバ107bなどからのIPアドレスの払出し要求を受信する。 The receiving unit 2801 receives an IP address payout request from the terminal 108, the learning material server 107a, the grade server 107b, or the like of FIG. 1 through a physical Ethernet interface (not shown).
DHCPプロトコル制御部2802は、受信部2801が受信したIPアドレスの払出し要求に対して、DHCPプロトコルに従って、記憶部2806内の設定テーブル2807を参照する。この結果、DHCPプロトコル制御部2802は、IPアドレスの払出し要求に含まれる仮想NW−IDのVLANに対応するサブネットアドレスの払出し範囲から、未使用のIPアドレスを選択する。 The DHCP protocol control unit 2802 refers to the setting table 2807 in the storage unit 2806 according to the DHCP protocol in response to the IP address issue request received by the reception unit 2801. As a result, the DHCP protocol control unit 2802 selects an unused IP address from the payout range of the subnet address corresponding to the virtual NW-ID VLAN included in the IP address payout request.
送信部2803は、DHCPプロトコル制御部2802が選択した未使用のIPアドレスを、IPアドレスの払出し要求の送信元のNW機器に返信する。 The transmission unit 2803 returns the unused IP address selected by the DHCP protocol control unit 2802 to the NW device that is the transmission source of the IP address issue request.
設定インタフェース2804は、特には図示しない物理イーサネットインタフェースを介して、コントローラ101から仮想NW−IDとサブネットアドレスを含む設定情報を受信する。 The setting interface 2804 receives setting information including a virtual NW-ID and a subnet address from the controller 101 via a physical Ethernet interface (not shown).
設定制御部2805は、設定インタフェース2804が受信した設定情報に基づいて、記憶部2806内の設定テーブル2807に対して設定を行う。 The setting control unit 2805 sets the setting table 2807 in the storage unit 2806 based on the setting information received by the setting interface 2804.
図29は、図28の記憶部2806に記憶される設定テーブル2807のデータ構成例を示す図である。設定制御部2805は、コントローラ101から仮想NW−IDとサブネットアドレスを含む設定情報を受信すると、それらが「仮想NW−ID」項目および「サブネット」項目にそれぞれ登録されたエントリを生成する。 FIG. 29 is a diagram showing a data configuration example of the setting table 2807 stored in the storage unit 2806 of FIG. Upon receiving the setting information including the virtual NW-ID and the subnet address from the controller 101, the setting control unit 2805 generates entries registered in the “virtual NW-ID” item and the “subnet” item, respectively.
設定制御部2805は、そのエントリの「デフォルトルータ」項目に、上記サブネットアドレスに属するIPパケットがデフォルトで転送されるルータ103のサブインタフェースのIPアドレスを登録する。 The setting control unit 2805 registers the IP address of the subinterface of the router 103 to which the IP packet belonging to the subnet address is transferred by default in the “default router” item of the entry.
また、設定制御部2805は、「割当アドレス」項目に、上記サブネットアドレスの範囲内で割当てることのできるIPアドレスの範囲を登録する。 In addition, the setting control unit 2805 registers the range of IP addresses that can be allocated within the range of the subnet address in the “allocation address” item.
さらに、設定制御部2805は、「除外アドレス」項目に、「割当アドレス」項目に登録された範囲内で特別に除外すべきIPアドレスまたはその範囲を登録する。これらの除外アドレスは、例えば固定IPアドレスとして使用される。 Furthermore, the setting control unit 2805 registers, in the “exclusion address” item, an IP address to be specifically excluded within the range registered in the “assigned address” item or a range thereof. These excluded addresses are used as fixed IP addresses, for example.
図29の例では、仮想NW−ID=VLAN10、サブネットアドレス=192.168.10.0/24のエントリに、デフォルトルータのIPアドレス=192.168.10.1(例えば図26のサブインタフェース2601=IF#1)が設定される。また、このエントリにおいて、割当アドレスとして、192.168.10.2から192.168.10.50までの範囲のIPアドレスが割り当てられる。ただし、このエントリにおいて、IPアドレス=192.168.10.5は除外されることが設定される。また、仮想NW−ID=VLAN20、サブネットアドレス=192.168.20.0/24のエントリに、デフォルトルータのIPアドレス=192.168.20.1(例えば図26のサブインタフェース2601=IF#2)が設定される。また、このエントリにおいて、割当アドレスとして、192.168.20.2から192.168.20.60までの範囲のIPアドレスが割り当てられる。ただし、このエントリにおいて、IPアドレス=192.168.20.30〜192.168.20.35までは除外されることが設定される。 In the example of FIG. 29, the entry of the virtual NW-ID = VLAN 10 and the subnet address = 192.168.10.0 / 24 includes the default router IP address = 192.168.10.1 (for example, the sub-interface 2601 in FIG. 26). = IF # 1) is set. In this entry, an IP address in the range from 192.168.10.2 to 192.168.10.50 is assigned as the assigned address. However, this entry is set to exclude IP address = 192.168.10.5. In addition, the entry of the virtual NW-ID = VLAN 20 and the subnet address = 192.168.20.0 / 24, the IP address of the default router = 192.168.20.1 (for example, the subinterface 2601 = IF # 2 in FIG. 26) ) Is set. In this entry, an IP address in the range from 192.168.20.2 to 192.168.20.60 is assigned as the assigned address. However, this entry is set to exclude IP addresses = 192.168.20.30 to 192.168.20.35.
図30は、本実施形態による図1のDNSサーバ106の構成例を示す図である。DNSサーバ106は、受信部3001、DNSプロトコル制御部3002、送信部3003、設定インタフェース3004、設定制御部3005、および記憶部3006を備える。記憶部3006には、設定テーブル3007が記憶される。 30 is a diagram showing a configuration example of the DNS server 106 of FIG. 1 according to the present embodiment. The DNS server 106 includes a receiving unit 3001, a DNS protocol control unit 3002, a transmission unit 3003, a setting interface 3004, a setting control unit 3005, and a storage unit 3006. The storage unit 3006 stores a setting table 3007.
受信部3001は、特には図示しない物理イーサネットインタフェースを介して、図1の端末108や教材サーバ107aまたは成績サーバ107bなどからのサーバ名の解決要求を受信する。 The receiving unit 3001 receives a server name resolution request from the terminal 108, the teaching material server 107a, the grade server 107b, or the like of FIG. 1 through a physical Ethernet interface (not shown).
DNSプロトコル制御部3002は、受信部3001が受信したサーバ名の解決要求に対して、DNSプロトコルに従って、記憶部3006内の設定テーブル3007を参照する。この結果、DNSプロトコル制御部3002は、サーバ名の解決要求に含まれるサーバ名に対応するIPアドレスを取得する。 The DNS protocol control unit 3002 refers to the setting table 3007 in the storage unit 3006 according to the DNS protocol in response to the server name resolution request received by the reception unit 3001. As a result, the DNS protocol control unit 3002 acquires an IP address corresponding to the server name included in the server name resolution request.
送信部3003は、DNSプロトコル制御部3002が取得したIPアドレスを、サーバ名の解決要求の送信元のNW機器に返信する。 The transmission unit 3003 returns the IP address acquired by the DNS protocol control unit 3002 to the NW device that is the transmission source of the server name resolution request.
設定インタフェース3004は、特には図示しない物理イーサネットインタフェースを介して、コントローラ101からIPアドレスとサーバ名を含む設定情報を受信する。 The setting interface 3004 receives setting information including an IP address and a server name from the controller 101 through a physical Ethernet interface (not shown).
設定制御部3005は、設定インタフェース3004が受信した設定情報に基づいて、記憶部3006内の設定テーブル3007に対して設定を行う。 The setting control unit 3005 sets the setting table 3007 in the storage unit 3006 based on the setting information received by the setting interface 3004.
図31は、図30の記憶部3006に記憶される設定テーブル3007のデータ構成例を示す図である。設定制御部3005は、コントローラ101からIPアドレスとサーバ名を含む設定情報を受信すると、それらが「IPアドレス」項目および「サーバ名」項目にそれぞれ登録されたエントリを生成する。 FIG. 31 is a diagram showing a data configuration example of the setting table 3007 stored in the storage unit 3006 of FIG. When the setting control unit 3005 receives setting information including an IP address and a server name from the controller 101, the setting control unit 3005 generates entries respectively registered in the “IP address” item and the “server name” item.
図31の例では、IPアドレス=192.168.10.10に対して図1の教材サーバ107aのサーバ名=「kyozai.server.com」が対応付けられる。また、IPアドレス=192.168.20.10に対して図1の成績サーバ107bのサーバ名=「seiseki.server.com」が対応付けられる。図1の端末108(先生端末108aや生徒端末108b)は、ユーザアプリ(自習アプリや成績評価アプリ)から教材サーバ107aや成績サーバ107bにアクセスするときに、サーバ名を含むアドレスを指定する。このとき、端末108は、DNSサーバ106に対し、サーバ名の解決要求を送信し、アクセスするサーバ名に対応するIPアドレスを取得する。そして、端末108は、そのIPアドレスが宛先IPアドレスに設定され必要なユーザデータが格納されたIPパケットを生成し、そのIPパケットを無線LANのフレームに格納して送信する。 In the example of FIG. 31, the IP address = 192.168.10.10 is associated with the server name = “kyozai.server.com” of the learning material server 107a of FIG. Further, the server name = “seiseki.server.com” of the grade server 107 b in FIG. 1 is associated with the IP address = 192.168.20.10. The terminal 108 (teacher terminal 108a and student terminal 108b) in FIG. 1 specifies an address including the server name when accessing the learning material server 107a and the grade server 107b from the user application (self-study application or grade assessment application). At this time, the terminal 108 transmits a server name resolution request to the DNS server 106 and acquires an IP address corresponding to the server name to be accessed. The terminal 108 generates an IP packet in which the IP address is set as a destination IP address and necessary user data is stored, and the IP packet is stored in a wireless LAN frame and transmitted.
図32は、本実施形態による図1の端末108(先生端末108a、生徒端末108b等)の構成例を示す図である。 FIG. 32 is a diagram showing a configuration example of the terminal 108 (teacher terminal 108a, student terminal 108b, etc.) of FIG. 1 according to the present embodiment.
状態管理部3201は、端末108自身の状態を管理する。具体的には、状態管理部3201は例えば、端末108の種別(先生端末108aか生徒端末108bかの別)、起動しているユーザアプリの名前等を取得する。 The state management unit 3201 manages the state of the terminal 108 itself. Specifically, the state management unit 3201 acquires, for example, the type of the terminal 108 (whether it is the teacher terminal 108a or the student terminal 108b), the name of the activated user application, and the like.
接続制御部3202は、状態を図1のコントローラ101に送信するための接続制御を行う。 The connection control unit 3202 performs connection control for transmitting the state to the controller 101 in FIG.
具体的には、接続制御部3202は、状態をコントローラ101に送信する仮接続時には、次のような接続制御動作を実行する。ここで、「仮接続」とは、端末108がまだサーバ107にアクセスしていない状態で、コントローラ101に対して端末108自身の状態を通知するために確立する通信接続をいう。 Specifically, the connection control unit 3202 performs the following connection control operation at the time of temporary connection for transmitting the state to the controller 101. Here, “temporary connection” refers to a communication connection established to notify the controller 101 of the state of the terminal 108 itself in a state where the terminal 108 has not yet accessed the server 107.
まず、接続制御部3202は、状態を送信するための仮接続用のSSIDを設定する。
また、接続制御部3202は、図1のDHCPサーバ105に問い合わせて、仮接続用のIPアドレスを取得する。このとき、接続制御部3202は、コントローラ101との仮接続用の仮想NW−IDを指定して問い合わせる。これに対して、DHCPサーバ105は、仮接続用の仮想NW−IDの範囲に属する未使用のIPアドレスを端末108に返信する。
First, the connection control unit 3202 sets a temporary connection SSID for transmitting the status.
Further, the connection control unit 3202 inquires the DHCP server 105 in FIG. 1 and acquires an IP address for temporary connection. At this time, the connection control unit 3202 inquires by specifying a virtual NW-ID for temporary connection with the controller 101. In response to this, the DHCP server 105 returns an unused IP address belonging to the range of the virtual NW-ID for temporary connection to the terminal 108.
接続制御部3202は、図1のコントローラ101のIPアドレスが宛先IPアドレスとして設定され、DHCPサーバ105から仮接続用に取得した端末108自身のIPアドレスが送信元IPアドレスとして設定されたIPパケットを生成する。 The connection control unit 3202 receives an IP packet in which the IP address of the controller 101 in FIG. 1 is set as the destination IP address, and the IP address of the terminal 108 itself acquired for temporary connection from the DHCP server 105 is set as the source IP address. Generate.
このとき、接続制御部3202内の状態情報付加部3203が、上記IPパケットに、状態管理部3201が取得している端末の状態に対応する状態情報を付加する。 At this time, the state information addition unit 3203 in the connection control unit 3202 adds state information corresponding to the state of the terminal acquired by the state management unit 3201 to the IP packet.
また、接続制御部3202は、上記IPパケットに、端末108自身の端末IDを付加する。この端末IDは、端末108のMACアドレスでよい。あるいは、他の一意な識別番号であってもよい。 Also, the connection control unit 3202 adds the terminal ID of the terminal 108 itself to the IP packet. This terminal ID may be the MAC address of the terminal 108. Alternatively, another unique identification number may be used.
接続制御部3202は、上記IPパケットが格納された上記無線LANフレームを生成する。 The connection control unit 3202 generates the wireless LAN frame in which the IP packet is stored.
接続制御部3202は、この無線LANフレームに、コントローラ101との仮接続用の仮想NW−IDをタグとして付加する。 The connection control unit 3202 adds a virtual NW-ID for temporary connection with the controller 101 as a tag to the wireless LAN frame.
接続制御部3202は、この無線LANフレームを送受信部3204に引き渡し、コントローラ101宛てに送信させる。 The connection control unit 3202 passes this wireless LAN frame to the transmission / reception unit 3204 and transmits it to the controller 101.
その後、接続制御部3202は、コントローラ101から、送受信部3204を介して、無線LANフレームを受信する。 Thereafter, the connection control unit 3202 receives the wireless LAN frame from the controller 101 via the transmission / reception unit 3204.
接続制御部3202は、受信した無線LANフレームからIPパケットを取り出し、そのIPパケットから、本接続用のSSIDと、本接続よの仮想NW−IDを取得する。ここで、「本接続」とは、端末108(先生端末108a、生徒端末108b等)が、ユーザアプリ(成績評価アプリ、自習アプリ等)を実行してサーバ107(教材サーバ107a、成績サーバ107b等)にアクセスをして通信を行う状態の接続をいう。 The connection control unit 3202 extracts an IP packet from the received wireless LAN frame, and acquires the SSID for main connection and the virtual NW-ID for the main connection from the IP packet. Here, “main connection” means that the terminal 108 (the teacher terminal 108a, the student terminal 108b, etc.) executes the user application (the grade evaluation application, the self-study application, etc.) and the server 107 (the teaching material server 107a, the grade server 107b, etc.). ) To access and communicate.
接続制御部3202は、本接続時には、次のような接続制御動作を実行する。
まず、接続制御部3202は、コントローラ101との仮接続を切断した後(コントローラ101が切断してもよい)、コントローラ101から受信した本接続用のSSIDを用いて、図1のWLAN−AP104に無線接続する。
The connection control unit 3202 performs the following connection control operation during the main connection.
First, after disconnecting the temporary connection with the controller 101 (the controller 101 may be disconnected), the connection control unit 3202 uses the SSID for main connection received from the controller 101 to the WLAN-AP 104 in FIG. Connect wirelessly.
次に、接続制御部3202は、コントローラ101から取得した本接続用の仮想NW−IDを付加して、図1のDHCPサーバ105に本接続用のIPアドレスを要求し取得する。 Next, the connection control unit 3202 adds the virtual NW-ID for main connection acquired from the controller 101, and requests and acquires the IP address for main connection from the DHCP server 105 in FIG.
その後、接続制御部3202は、端末108自身で実行が開始されているユーザアプリ3205との連携動作を開始する。 Thereafter, the connection control unit 3202 starts a cooperative operation with the user application 3205 that has been executed on the terminal 108 itself.
ユーザアプリ3205との連携動作の中で、接続制御部3202は、サーバ107への送信用のデータを受け取ると、以下の接続制御動作を実行する。 When the connection control unit 3202 receives data for transmission to the server 107 during the cooperation with the user application 3205, the connection control unit 3202 executes the following connection control operation.
まず、接続制御部3202は、サーバ107(教材サーバ107a、成績サーバ107b等)の名前をキーとして、図1のDNSサーバ106にサーバ107のIPアドレスを問合せて取得する。接続制御部3202は、このIPアドレスをキャッシュし、次回以降ユーザアプリ3205からサーバ107への送信用のデータを受け取ったときは、サーバ107の名前の指定に対してこのIPアドレスを用いる。 First, the connection control unit 3202 inquires and acquires the IP address of the server 107 from the DNS server 106 in FIG. 1 using the name of the server 107 (the learning material server 107a, the grade server 107b, etc.) as a key. The connection control unit 3202 caches this IP address, and uses the IP address for designating the name of the server 107 when data for transmission from the user application 3205 to the server 107 is received next time.
次に、接続制御部3202は、DNSサーバ106から取得したIPアドレスが宛先IPアドレスとして設定され、DHCPサーバ105から取得した本接続用の端末108自身のIPアドレスが送信元IPアドレスとして設定されたIPパケットを生成する。 Next, the connection control unit 3202 sets the IP address acquired from the DNS server 106 as the destination IP address, and sets the IP address of the terminal 108 itself for main connection acquired from the DHCP server 105 as the source IP address. An IP packet is generated.
接続制御部3202は、このIPパケットのデータ部に、サーバ107への送信用のデータを格納する。 The connection control unit 3202 stores data for transmission to the server 107 in the data part of the IP packet.
接続制御部3202は、上記IPパケットが格納された無線LANフレームを生成する。 The connection control unit 3202 generates a wireless LAN frame in which the IP packet is stored.
接続制御部3202は、この無線LANフレームに、コントローラ101から取得している本接続用の仮想NW−IDをタグとして付加する。 The connection control unit 3202 adds the virtual NW-ID for main connection acquired from the controller 101 as a tag to the wireless LAN frame.
接続制御部3202は、この無線LANフレームを送受信部3204に引き渡し、サーバ107宛てに送信させる。 The connection control unit 3202 passes this wireless LAN frame to the transmission / reception unit 3204 and transmits it to the server 107.
その後、接続制御部3202は、サーバ107から送受信部3204を介して無線LANフレームを受信すると、以下の制御動作を実行する。 Thereafter, when the connection control unit 3202 receives the wireless LAN frame from the server 107 via the transmission / reception unit 3204, the connection control unit 3202 executes the following control operation.
接続制御部3202は、受信した無線LANフレームからIPパケットを取り出し、そのIPパケットから受信データを取得する。 The connection control unit 3202 extracts an IP packet from the received wireless LAN frame, and acquires received data from the IP packet.
接続制御部3202は、取得した受信データを、ユーザアプリ3205に引き渡す。
上述の接続制御部3202の動作と連携して、送受信部3204は、接続制御部3202が決定したSSIDを用いてWLAN−AP104に無線接続する。そして、送受信部3204は、接続制御部3202が生成した無線LANフレームをWLAN−AP104に向けて送信する。また、送受信部3204は、WLAN−AP104から、無線LANフレームを受信する。
The connection control unit 3202 passes the acquired reception data to the user application 3205.
In cooperation with the operation of the connection control unit 3202 described above, the transmission / reception unit 3204 wirelessly connects to the WLAN-AP 104 using the SSID determined by the connection control unit 3202. Then, the transmission / reception unit 3204 transmits the wireless LAN frame generated by the connection control unit 3202 to the WLAN-AP 104. The transmission / reception unit 3204 receives a wireless LAN frame from the WLAN-AP 104.
図33は、図1のWLAN−AP104に設定されるSSIDテーブル3301のデータ構成例を示す図である。図1のコントローラ101からWLAN−AP104には、各VLANごとに決定されたSSIDの設定情報が通知される。WLAN−AP104は、その設定情報を内部の特には図示しない記憶部に記憶されるSSIDテーブル3301に登録する。 FIG. 33 is a diagram showing a data configuration example of the SSID table 3301 set in the WLAN-AP 104 of FIG. The controller 101 in FIG. 1 notifies the WLAN-AP 104 of SSID setting information determined for each VLAN. The WLAN-AP 104 registers the setting information in an internal SSID table 3301 stored in a storage unit (not shown).
WLAN−AP104は、端末108からの無線接続時のSSIDと端末108から受信した無線LANフレームに付加されている仮想NW−IDの組が、SSIDテーブル3301に登録されているか否かを判定することによって、アクセスの認証を行う。 The WLAN-AP 104 determines whether a set of the SSID at the time of wireless connection from the terminal 108 and the virtual NW-ID added to the wireless LAN frame received from the terminal 108 is registered in the SSID table 3301. To authenticate access.
なお、「SSID100」と「VLAN100」の組は、端末108とコントローラ101が前述した仮接続時に使用するSSIDと仮想NW−IDの組である。 Note that the set of “SSID 100” and “VLAN 100” is a set of the SSID and virtual NW-ID used by the terminal 108 and the controller 101 during the temporary connection described above.
図34は、図6の構成を有する図1のコントローラ101を実現可能なコンピュータのハードウェア構成例を示す図である。 34 is a diagram illustrating a hardware configuration example of a computer capable of realizing the controller 101 of FIG. 1 having the configuration of FIG.
図34は、上記システムをソフトウェア処理として実現できるコンピュータのハードウェア構成の一例を示す図である。 FIG. 34 is a diagram illustrating an example of a hardware configuration of a computer that can realize the system as software processing.
図34に示されるコンピュータは、CPU3401、メモリ3402、入力装置3403、出力装置3404、外部記憶装置3405、可搬記録媒体3409が挿入される可搬記録媒体駆動装置3406、及び通信インタフェース3407を有し、これらがバス3408によって相互に接続された構成を有する。同図に示される構成は上記コントローラ101を実現できるコンピュータの一例であり、そのようなコンピュータはこの構成に限定されるものではない。 The computer shown in FIG. 34 includes a CPU 3401, a memory 3402, an input device 3403, an output device 3404, an external storage device 3405, a portable recording medium driving device 3406 into which a portable recording medium 3409 is inserted, and a communication interface 3407. These have a configuration in which they are connected to each other by a bus 3408. The configuration shown in the figure is an example of a computer that can realize the controller 101, and such a computer is not limited to this configuration.
CPU3401は、当該コンピュータ全体の制御を行う。メモリ3402は、プログラムの実行、データ更新等の際に、外部記憶装置3405(或いは可搬記録媒体3409)に記憶されているプログラム又はデータを一時的に格納するRAM等のメモリである。CUP3401は、プログラムをメモリ3402に読み出して実行することにより、全体の制御を行う。 The CPU 3401 controls the entire computer. The memory 3402 is a memory such as a RAM that temporarily stores a program or data stored in the external storage device 3405 (or the portable recording medium 3409) when executing a program, updating data, or the like. The CUP 3401 performs overall control by reading the program into the memory 3402 and executing it.
入力装置3403は、ユーザによるキーボードやマウス等による入力操作を検出し、その検出結果をCPU3401に通知する。 The input device 3403 detects an input operation by a user using a keyboard, a mouse, or the like, and notifies the CPU 3401 of the detection result.
出力装置3404は、CPU3401の制御によって送られてくるデータを表示装置や印刷装置に出力する。 The output device 3404 outputs data sent under the control of the CPU 3401 to a display device or a printing device.
外部記憶装置3405は、例えばハードディスク記憶装置である。主に各種データやプログラムの保存に用いられる。 The external storage device 3405 is, for example, a hard disk storage device. Mainly used for storing various data and programs.
可搬記録媒体駆動装置3406は、SDカード、コンパクトフラッシュ(登録商標)や、CD−ROM、DVD、光ディスク等の可搬記録媒体3409を収容するもので、外部記憶装置3405の補助の役割を有する。 The portable recording medium driving device 3406 accommodates a portable recording medium 3409 such as an SD card, a compact flash (registered trademark), a CD-ROM, a DVD, or an optical disk, and has an auxiliary role for the external storage device 3405. .
通信インタフェース3407は、例えばLAN(ローカルエリアネットワーク)又はWAN(ワイドエリアネットワーク)の通信回線を接続するための装置である。 The communication interface 3407 is a device for connecting, for example, a LAN (local area network) or WAN (wide area network) communication line.
本実施形態によるコントローラ101は、図6の端末状態受信部601、NWリソース管理部602、NW設定管理部603、およびNW機器設定要求送信部604の各動作を搭載したプログラムをCPU3401が実行することで実現される。このプログラムの処理は、図19から図22のフローチャート等で例示される。そのプログラムは、例えば外部記憶装置3405や可搬記録媒体3409に記録して配布してもよく、或いは通信インタフェース3407によりネットワークから取得できるようにしてもよい。 In the controller 101 according to the present embodiment, the CPU 3401 executes a program in which the operations of the terminal state reception unit 601, the NW resource management unit 602, the NW setting management unit 603, and the NW device setting request transmission unit 604 in FIG. It is realized with. The processing of this program is exemplified by the flowcharts of FIGS. The program may be recorded and distributed in, for example, the external storage device 3405 or the portable recording medium 3409, or may be acquired from the network by the communication interface 3407.
また、図6の記憶部605は、例えば図34のメモリ3402または外部記憶装置3405に対応し、図6の606から610で示される各テーブルのデータを記憶する。 6 corresponds to, for example, the memory 3402 or the external storage device 3405 in FIG. 34, and stores data of each table indicated by 606 to 610 in FIG.
図6の端末状態受信部601およびNW機器設定要求送信部604は、図34の通信インタフェース3407を介して、スイッチ102に接続されるLANケーブルに対してデータの送受信を行う。 The terminal state reception unit 601 and the NW device setting request transmission unit 604 in FIG. 6 transmit and receive data to and from the LAN cable connected to the switch 102 via the communication interface 3407 in FIG.
上述の実施形態では、図1の端末108がWLAN−AP104(ネットワーク)に接続されたときに、コントローラ101がVLAN設定の制御動作を実行する構成を有する。これに加えて、図6または図7(a)の制御ポリシテーブル606の内容が変更された場合に、コントローラ101がVLAN設定の制御動作を実行する構成を有してもよい。 In the above-described embodiment, when the terminal 108 in FIG. 1 is connected to the WLAN-AP 104 (network), the controller 101 executes a VLAN setting control operation. In addition to this, when the contents of the control policy table 606 in FIG. 6 or FIG. 7A are changed, the controller 101 may be configured to execute the control operation of the VLAN setting.
上述の実施形態では、学校に設置されるネットワークを例として、図1の先生端末108aや生徒端末108bが、教材サーバ107aや成績サーバ107bにアクセス場合を例として説明した。しかし、実施形態は、状態に紐付けて仮想ネットワークを作成できるネットワークであって、仮想ネットワーク同士で同じ認可リソースにアクセスしたいような様々なケースのネットワークに適用することができる。 In the above-described embodiment, the case where the teacher terminal 108a and the student terminal 108b in FIG. 1 access the teaching material server 107a and the grade server 107b has been described as an example of a network installed in a school. However, the embodiment can be applied to networks in various cases in which a virtual network can be created in association with a state, and the virtual network wants to access the same authorized resource.
上述の実施形態の構成では、成績サーバ107bや教材サーバ107a等の各物理サーバは、スイッチ102の1つのVLANの仮想NW−IDが設定されたポートに接続され、同時に1つのVLANの通信のみが可能なように設定された。これに対して、物理サーバ上で複数の仮想マシンが稼働し各仮想マシンごとに異なるVLANに所属させるような構成が採用される場合もある。この場合には、そのような物理サーバはスイッチ102のVLANで区別されないトランクポートに接続され、そのトランクポートを流れるイーサネットフレーム中に仮想NW−IDのタグが設定される、いわゆるタグVLANと呼ばれるVLAN方式を採用することができる。この結果、各仮想マシンは、自分が所属する仮想NW−IDが設定されたフレームのみを送受信することにより、1つの物理マシン上の各仮想マシンを任意のVLANに所属させることが可能となる。 In the configuration of the above-described embodiment, each physical server such as the grade server 107b and the teaching material server 107a is connected to a port in which the virtual NW-ID of one VLAN of the switch 102 is set, and only one VLAN can communicate at the same time. Set to be possible. On the other hand, a configuration in which a plurality of virtual machines run on a physical server and each virtual machine belongs to a different VLAN may be employed. In this case, such a physical server is connected to a trunk port that is not distinguished by the VLAN of the switch 102, and a virtual NW-ID tag is set in an Ethernet frame that flows through the trunk port. A scheme can be adopted. As a result, each virtual machine can associate each virtual machine on one physical machine to an arbitrary VLAN by transmitting and receiving only a frame in which the virtual NW-ID to which the virtual machine belongs is set.
上述の実施形態は、コントローラ101が、スイッチ102、ルータ103、WLAN−AP104、端末108、サーバ107、DHCPサーバ105、DNSサーバ106等のNW機器に対し、VLANを前提としたネットワーク設定値を設定するものである。しかしながら、実施形態は、必ずしもVLANを前提とするものではない。実施形態に共通するのは、受信した端末の状態を制御ポリシと照らし合わせることで、サーバ等のNWリソースと端末をグルーピングし、そのグループを単位としてアクセス制御を行うという考え方である。この考え方が実現できる実施形態であれば、VLAN以外の伝送制御方式を用いた実施形態が採用されてもよい。例えば、SDN(Software−Defined Network)の代表的な技術であるOpenFlowを用いた実施形態が採用されてもよい。この場合、OpenFlow方式に基づいて動作するコントローラが、上述した実施形態と同様の方式でNWリソースと端末をグルーピングする。その後、コントローラが、OpenFlow方式に従って、生成したグループに対応するネットワーク設定値をOpenFlow方式に基づくフローテーブルにマッピングし、各NW機器に配信する。各NW機器は、このフローテーブルに従って、動的に伝送経路を変更する。 In the above-described embodiment, the controller 101 sets network setting values on the premise of the VLAN for NW devices such as the switch 102, the router 103, the WLAN-AP 104, the terminal 108, the server 107, the DHCP server 105, and the DNS server 106. To do. However, the embodiment does not necessarily assume VLAN. Common to the embodiments is a concept of grouping NW resources such as servers and terminals by comparing the state of the received terminal with a control policy, and performing access control in units of the group. As long as this embodiment can realize this concept, an embodiment using a transmission control method other than VLAN may be adopted. For example, an embodiment using OpenFlow, which is a typical technique of SDN (Software-Defined Network), may be employed. In this case, a controller that operates based on the OpenFlow method groups NW resources and terminals in the same manner as in the above-described embodiment. Thereafter, the controller maps the network setting value corresponding to the generated group to a flow table based on the OpenFlow method according to the OpenFlow method, and distributes it to each NW device. Each NW device dynamically changes the transmission path according to this flow table.
以上の実施形態に関して、更に以下の付記を開示する。
(付記1)
1つ以上の仮想ネットワークにおけるネットワーク機器を設定制御するネットワークコントローラ)において、
端末から当該端末の状態を受信する端末状態受信部と、
前記端末の状態に対応するネットワークのアクセス制御を規定するアクセス制御ポリシに基づいて、前記ネットワーク機器のグルーピングを管理するグルーピング管理部と、
前記グルーピングにより生成されるグループごとにアクセス制御を行うためのネットワーク設定値を管理するネットワーク設定管理部と、
前記ネットワーク設定値を前記ネットワーク機器に対して設定指示するネットワーク設定指示部と、
を備えることを特徴とするネットワークコントローラ。
(付記2)
前記端末が前記ネットワークに接続されたとき、または前記アクセス制御ポリシが変更されたときに、前記ネットワーク設定値を前記ネットワーク機器に対して設定指示する、
ことを特徴とする付記1に記載のネットワークコントローラ。
(付記3)
前記仮想ネットワークは仮想ローカルエリアネットワークであり、
前記ネットワーク設定管理部は、前記グループごとに、前記仮想ローカルエリアネットワークの識別情報と、当該仮想ローカルエリアネットワークに対応するサブネットアドレスを決定して前記ネットワーク設定値として割り当てる、
ことを特徴とする付記1または2に記載のネットワークコントローラ。
(付記4)
前記ネットワーク設定管理部は、前記グループ間で共有するネットワーク機器がある場合に、当該共有するネットワーク機器を1つのグループの仮想ネットワークに所属させ、前記ネットワーク機器と前記1つのグループ以外のグループの仮想ネットワークとの間のネットワーク層での転送設定を前記ネットワーク設定値として決定する、
ことを特徴とする付記1ないし3のいずれかに記載のネットワークコントローラ。
(付記5)
前記ネットワーク設定管理部は、前記1つのグループ以外のグループの仮想ネットワークに割り当てられたサブネットアドレスから前記共有するネットワーク機器のインターネットプロトコルアドレスへの転送設定と、前記共有するネットワーク機器のインターネットプロトコルアドレスから前記1つのグループ以外のグループの仮想ネットワークに割り当てられたサブネットアドレスへの転送設定を、前記ネットワーク設定値として決定する、
ことを特徴とする付記4に記載のネットワークコントローラ。
(付記6)
前記ネットワーク設定管理部は、
前記1つのグループ以外のグループが削除される場合には、前記1つのグループに設定されている前記転送設定を削除する設定を、前記ネットワーク設定値として決定し、
前記1つのグループが削除される場合には、前記1つのグループ以外のグループの仮想ネットワークに前記共有するネットワーク機器を所属させた上で、前記転送設定を削除する設定を、前記ネットワーク設定値として決定し、
ことを特徴とする付記4または5に記載のネットワークコントローラ。
(付記7)
前記ネットワーク機器を所定の仮想ネットワークに固定的に所属させ、
前記ネットワーク設定管理部は、前記端末が所属するグループの仮想ネットワークと前記ネットワーク機器との間のネットワーク層での転送設定を前記ネットワーク設定値として決定する、
ことを特徴とする付記1ないし6のいずれかに記載のネットワークコントローラ。
(付記8)
前記グルーピング管理部は、前記グループを識別するためのグループ識別子と、当該グループに対応する前記端末の状態を識別するための状態識別子と、当該グループにおいて接続可能な端末を識別するための端末識別子と、当該グループにおいて認可されるネットワークリソースの識別名とを含むエントリを、当該グループごとに登録したネットワークリソース管理テーブルのデータに基づいて、前記グルーピングを管理する、
ことを特徴とする付記1ないし7のいずれかに記載のネットワークコントローラ。
(付記9)
前記ネットワーク設定管理部は、前記グループを識別するためのグループ識別子と、当該グループにおいて接続可能な端末を識別するための端末識別子と、当該グループの仮想ネットワークを識別するための仮想ネットワーク識別子と、当該仮想ネットワークに対応するネットワークアドレスと、当該ネットワークアドレスに所属し当該グループにおいて認可されるネットワークリソースのアドレスと、当該ネットワークアドレスと当該グループに属し他のネットワークアドレスに所属するネットワークリソースとの間の転送設定とを含むエントリを、当該グループごとに登録したネットワーク設定管理テーブルのデータに基づいて、前記ネットワーク設定値を管理する、
ことを特徴とする付記1ないし8のいずれかに記載のネットワークコントローラ。
(付記10)
前記ネットワーク設定管理部は、前記ネットワーク設定値を更新する前に前記ネットワーク設定管理テーブルを保存し、その後に前記ネットワーク設定管理テーブル上で前記ネットワーク設定値を更新し、
前記ネットワーク設定指示部は、前記更新後のネットワーク設定管理テーブルと前記保存された更新前のネットワーク設定管理テーブルとの間で前記ネットワーク設定値の差分を検出し、当該差分のネットワーク設定値を前記ネットワーク機器に対して設定指示する、
ことを特徴とする付記1ないし9のいずれかに記載のネットワークコントローラ。
(付記11)
前記端末の状態は、ユーザが使用する前記端末の種別、前記ユーザが前記端末で起動して使用するユーザアプリケーション、前記ユーザが前記端末を利用する場所、または前記ユーザが前記端末を利用するときのアクセス権限のいずれか1つ以上の組合せで決定される、
ことを特徴とする付記1ないし10のいずれかに記載のネットワークコントローラ。
(付記12)
前記ネットワーク機器は学校に設置され、
前記端末の種別は、前記学校の教員が使用する先生端末と、前記学校の生徒が使用する生徒端末の種別を含み、
前記ユーザアプリケーションは、前記教員が前記先生端末から成績サーバにアクセスして前記生徒の成績の評価を行う成績評価アプリケーションと、前記教員が前記先生端末から前記成績サーバおよび教材サーバにアクセスして前記生徒の採点を行う第1の自習アプリケーションと、前記生徒が前記生徒端末から前記教材サーバにアクセスして自習を行う第2の自習アプリケーションとを含む、
ことを特徴とする付記11に記載のネットワークコントローラ。
(付記13)
第1の端末の種別を有する第1の端末が第1のユーザアプリケーションを起動してアクセスを開始した端末の状態において、
前記グルーピング管理部は、前記第1の端末の種別のもとで前記第1のユーザアプリケーションからアクセスされる1つ以上のサーバと前記第1の端末とを含むグループを生成し、
前記ネットワーク設定管理部は、前記生成されたグループに含まれる前記1つ以上のサーバのうち他のグループに所属していないサーバについては、前記生成されたグループに対応する1つの仮想ネットワーク内で前記第1の端末から当該共有されないサーバへのアクセスを行わせるためのネットワーク設定値を設定し、
前記ネットワーク設定指示部は、前記設定されたネットワーク設定値を前記ネットワーク機器に対して設定指示する、
ことを特徴とする付記11または12に記載のネットワークコントローラ。
(付記14)
第1の端末の種別を有する第1の端末が第1のユーザアプリケーションを起動してアクセスを開始した端末の状態において、
前記グルーピング管理部は、前記第1の端末の種別のもとで前記第1のユーザアプリケーションからアクセスされる1つ以上のサーバと前記第1の端末とを含むグループを生成し、
前記ネットワーク設定管理部は、前記生成されたグループに含まれる前記1つ以上のサーバのうち他のグループに既に所属しているサーバについては、前記生成されたグループには所属させず、当該サーバと前記生成されたグループの仮想ネットワークとの間のネットワーク層での転送設定を前記ネットワーク設定値として決定し、
前記ネットワーク設定指示部は、前記設定されたネットワーク設定値を前記ネットワーク機器に対して設定指示する、
ことを特徴とする付記11ないし13のいずれかに記載のネットワークコントローラ。
(付記15)
第1の端末の種別を有する第1の端末が第1のユーザアプリケーションを起動してアクセスを行っている端末の状態において、前記第1の端末において前記第1のユーザアプリケーションの実行から第2のユーザアプリケーションの実行に切り替えられた場合、
前記グルーピング管理部は、前記第2のユーザアプリケーションを含む端末の状態に対応するグルーピングをやり直し、
前記ネットワーク設定管理部は、前記やり直したグルーピングに対応するネットワーク設定値の設定をやり直し、
前記ネットワーク設定指示部は、前記設定をやり直す前のネットワーク設定値と前記設定をやり直した後のネットワーク設定値とで変化があったネットワーク設定値を、前記ネットワーク機器に対して設定指示する、
ことを特徴とする付記11ないし14のいずれかに記載のネットワークコントローラ。
(付記16)
第1の端末の種別を有する第1の端末が第1のユーザアプリケーションを起動してアクセスを行っている端末の状態において、前記端末の種別および前記ユーザアプリケーションが同一である第2の端末がアクセスを開始した場合、
前記グルーピング管理部は、前記第1の端末が所属するグループに前記第2の端末を所属させ、
前記ネットワーク設定管理部は、前記第2の端末に対応するネットワーク設定値の設定を追加し、
前記ネットワーク設定指示部は、前記追加されたネットワーク設定値を、前記ネットワーク機器に対して追加設定指示する、
ことを特徴とする付記11ないし14のいずれかに記載のネットワークコントローラ。
(付記17)
第1の端末の種別を有する第1の端末および第2の端末が第1のユーザアプリケーションを起動してアクセスを行っている端末の状態において、いずれか一方の端末がアクセスを終了した場合、
前記グルーピング管理部は、前記第1の端末および前記第2の端末が所属するグループから前記アクセスを終了した端末を削除し、
前記ネットワーク設定管理部は、前記アクセスを終了した端末に対応するネットワーク設定値の設定を削除し、
前記ネットワーク設定指示部は、前記削除されたネットワーク設定値を、前記ネットワーク機器に対して削除設定指示する、
ことを特徴とする付記11または12に記載のネットワークコントローラ。
(付記18)
第1の端末の種別を有する第1の端末および第2の端末が第1のユーザアプリケーションを起動してアクセスを行っている端末の状態において、前記第2の端末において第1のユーザアプリケーションの実行から第2のユーザアプリケーションの実行に切り替えられた場合、
前記グルーピング管理部は、前記第1の端末および第2の端末が所属する第1のグループから前記第2の端末を削除するとともに、前記第1の端末の種別および前記第2のユーザアプリケーションに対応するグループが存在してなければ前記第2の端末が所属する新たな第2のグループを生成し、存在していれば前記第2の端末を当該存在しているグループに追加し、
前記ネットワーク設定管理部は、前記第1のグループに関する前記第2の端末に対応するネットワーク設定値の設定を削除するとともに、前記第2の端末に対応するグループに関するネットワーク設定値の設定を追加し、
前記ネットワーク設定指示部は、前記削除および追加されたネットワーク設定値を、前記ネットワーク機器に対して削除および追加設定指示する、
ことを特徴とする付記11ないし14のいずれかに記載のネットワークコントローラ。
(付記19)
第1の端末の種別を有する第1の端末が、第1のユーザアプリケーションを実行することにより第1のグループを形成して第1のサーバにアクセスし、第2の端末の種別を有する第2の端末が、第2のユーザアプリケーションを実行することにより第2のグループを形成して第2のサーバにアクセスするとともに、第1のサーバへのアクセスを前記第1の端末とで共有している端末の状態において、前記第1の端末がアクセスを終了した場合、
前記グルーピング管理部は、前記第1のグループを削除し、
前記ネットワーク設定管理部は、前記第1のグループを削除し、前記第2のグループの仮想ネットワークに前記第1のサーバを所属させた上で、前記第2のグループに対応して設定されている前記第1のサーバに関する転送設定を削除するように、前記ネットワーク設定値を更新し、
前記ネットワーク設定指示部は、前記更新されたネットワーク設定値を、前記ネットワーク機器に対して設定指示する、
ことを特徴とする付記11ないし14のいずれかに記載のネットワークコントローラ。
(付記20)
第1の端末の種別を有する第1の端末が、第1のユーザアプリケーションを実行することにより第1のグループを形成して第1のサーバにアクセスし、第2の端末の種別を有する第2の端末が、第2のユーザアプリケーションを実行することにより第2のグループを形成して第2のサーバにアクセスするとともに、第1のサーバへのアクセスを前記第1の端末とで共有している端末の状態において、前記第2の端末がアクセスを終了した場合、
前記グルーピング管理部は、前記第2のグループを削除し、
前記ネットワーク設定管理部は、前記第2のグループを削除し、前記第1のグループに対応して設定されている前記第1のサーバに関する転送設定を削除するように、前記ネットワーク設定値を更新し、
前記ネットワーク設定指示部は、前記更新されたネットワーク設定値を、前記ネットワーク機器に対して設定指示する、
ことを特徴とする付記11ないし14のいずれかに記載のネットワークコントローラ。
(付記21)
前記ネットワーク設定指示部は、前記端末に対応するフレームデータと前記ネットワーク機器に対応するフレームデータとの間のデータリンク層におけるスイッチングを行うスイッチ装置のポートに対して、前記仮想ネットワークを設定する、
ことを特徴とする付記1ないし20のいずれかに記載のネットワークコントローラ。
(付記22)
前記ネットワーク設定指示部は、前記フレームデータに含まれるインターネットプロトコルパケットデータについてネットワーク層における前記仮想ネットワーク間の転送を制御するルータ装置におけるサブインタフェースに対して前記仮想ネットワークを設定し、当該ルータ装置におけるルーティングテーブルまたはフィルタリングテーブルに対して転送設定に基づく経路情報またはフィルタリング情報を設定する、
ことを特徴とする付記1ないし21のいずれかに記載のネットワークコントローラ。
(付記23)
前記ネットワーク設定指示部は、前記端末が無線接続する無線ネットワークアクセスポイント装置に対して、前記仮想ネットワークおよびサービスセット識別子の組を設定する、
ことを特徴とする付記1ないし22のいずれかに記載のネットワークコントローラ。
(付記24)
前記ネットワーク設定指示部は、インターネットプロトコルアドレスの自動割当てを行うサーバ装置に対して、前記仮想ネットワークおよび当該仮想ネットワークに対応するネットワークアドレスの組を設定する、
ことを特徴とする付記1ないし23のいずれかに記載のネットワークコントローラ。
(付記25)
前記ネットワーク設定指示部は、名前解決を行うネームサーバ装置に対して、前記ネットワーク機器の名前と当該ネットワーク機器のインターネットプロトコルアドレスの対応関係を設定する、
ことを特徴とする付記1ないし24のいずれかに記載のネットワークコントローラ。
(付記26)
前記ネットワーク設定管理部は、前記ネットワーク機器が所属するグループの仮想ネットワークが割り当てられた場合または変更された場合に、前記ネットワーク機器に、自装置内で管理されている前記仮想ネットワーク上で未使用のアドレスを割り当てて管理する、
ことを特徴とする付記1ないし25のいずれかに記載のネットワークコントローラ。
(付記27)
前記ネットワーク設定管理部は、前記ネットワーク機器が所属するグループの仮想ネットワークが割り当てられた場合または変更された場合に、アドレスの自動割当てを行うサーバに前記ネットワーク機器への前記仮想ネットワーク上で未使用のアドレスの割当てを依頼し、当該依頼の結果割り当てられたアドレスを管理する、
ことを特徴とする付記1ないし25のいずれかに記載のネットワークコントローラ。
(付記28)
前記ネットワーク機器間で前記仮想ネットワーク内を中継されるデータは、レイヤ2のデータリンク層のフレームデータであり、
前記仮想ネットワーク間を転送されるデータは、前記フレームデータに格納されるデータであって、レイヤ3のネットワークのパケットデータである、
ことを特徴とする付記1ないし21のいずれかに記載のネットワークコントローラ。
(付記29)
前記ネットワークコントローラは、オープンフロー方式に基づいて動作し、前記ネットワーク設定指示部は、前記ネットワーク設定値を前記オープンフロー方式に基づくフローテーブルにマッピングし、当該フローテーブルを前記各ネットワーク機器に配信する、
ことを特徴とする付記1、2、または4ないし28のいずれかに記載のネットワークコントローラ。
(付記30)
端末から当該端末の状態を受信し、
前記端末の状態に対応するネットワークのアクセス制御を規定するアクセス制御ポリシに基づいて、1つ以上の仮想ネットワークにおけるネットワーク機器のグルーピングを管理し、
前記グルーピングにより生成されるグループごとにアクセス制御を行うためのネットワーク設定値を管理し、
前記ネットワーク設定値を前記ネットワーク機器に対して設定指示する、
ことを特徴とするネットワーク制御方法。
(付記31)
1つ以上の仮想ネットワークにおけるネットワーク機器を設定制御するコンピュータにおいて、
端末から当該端末の状態を受信する処理と、
前記端末の状態に対応するネットワークのアクセス制御を規定するアクセス制御ポリシに基づいて、前記ネットワーク機器のグルーピングを管理する処理と、
前記グルーピングにより生成されるグループごとにアクセス制御を行うためのネットワーク設定値を管理する処理と、
前記ネットワーク設定値を前記ネットワーク機器に対して設定指示する処理と、
を実行させるためのプログラム。
Regarding the above embodiment, the following additional notes are disclosed.
(Appendix 1)
In a network controller for setting and controlling network devices in one or more virtual networks)
A terminal state receiving unit for receiving the state of the terminal from the terminal;
A grouping management unit that manages grouping of the network devices based on an access control policy that regulates network access control corresponding to the state of the terminal;
A network setting management unit for managing network setting values for performing access control for each group generated by the grouping;
A network setting instruction unit for instructing the network device to set the network setting value;
A network controller comprising:
(Appendix 2)
When the terminal is connected to the network or when the access control policy is changed, the network device is instructed to set the network setting value.
The network controller as set forth in appendix 1, wherein:
(Appendix 3)
The virtual network is a virtual local area network;
The network setting management unit determines, for each group, identification information of the virtual local area network and a subnet address corresponding to the virtual local area network, and assigns them as the network setting value.
3. The network controller according to appendix 1 or 2, characterized by the above.
(Appendix 4)
When there is a network device shared between the groups, the network setting management unit causes the shared network device to belong to a virtual network of one group, and the network device and a virtual network of a group other than the one group Determining the transfer setting at the network layer between and as the network setting value,
The network controller according to any one of appendices 1 to 3, characterized in that:
(Appendix 5)
The network setting management unit is configured to transfer settings from a subnet address assigned to a virtual network of a group other than the one group to an Internet protocol address of the shared network device, and from an Internet protocol address of the shared network device. A transfer setting to a subnet address assigned to a virtual network of a group other than one group is determined as the network setting value;
The network controller according to appendix 4, characterized by:
(Appendix 6)
The network setting management unit
When a group other than the one group is deleted, a setting for deleting the transfer setting set in the one group is determined as the network setting value,
When the one group is deleted, a setting for deleting the transfer setting is determined as the network setting value after the shared network device belongs to a virtual network of a group other than the one group. And
The network controller according to appendix 4 or 5, characterized in that:
(Appendix 7)
The network device is permanently assigned to a predetermined virtual network,
The network setting management unit determines a transfer setting at a network layer between a virtual network of the group to which the terminal belongs and the network device as the network setting value;
The network controller according to any one of appendices 1 to 6, characterized in that:
(Appendix 8)
The grouping management unit includes a group identifier for identifying the group, a state identifier for identifying the state of the terminal corresponding to the group, and a terminal identifier for identifying terminals connectable in the group. Managing the grouping based on the data of the network resource management table in which entries including the identification names of the network resources authorized in the group are registered for each group;
The network controller according to any one of appendices 1 to 7, characterized in that:
(Appendix 9)
The network setting management unit includes a group identifier for identifying the group, a terminal identifier for identifying a terminal connectable in the group, a virtual network identifier for identifying a virtual network of the group, Transfer settings between the network address corresponding to the virtual network, the address of the network resource that belongs to the network address and is authorized in the group, and the network resource and the network resource that belongs to the group and belongs to another network address Managing the network setting value based on the data of the network setting management table registered for each group.
9. The network controller according to any one of appendices 1 to 8, wherein
(Appendix 10)
The network setting management unit stores the network setting management table before updating the network setting value, and then updates the network setting value on the network setting management table,
The network setting instruction unit detects a difference in the network setting value between the updated network setting management table and the stored network setting management table before the update, and the network setting value of the difference is determined as the network setting value. Instruct the device to set
10. The network controller according to any one of appendices 1 to 9, wherein
(Appendix 11)
The state of the terminal is the type of the terminal used by the user, the user application that the user starts and uses on the terminal, the place where the user uses the terminal, or when the user uses the terminal Determined by any one or more combinations of access rights,
The network controller according to any one of appendices 1 to 10, characterized in that:
(Appendix 12)
The network device is installed in a school,
The terminal type includes a teacher terminal used by the school teacher and a student terminal type used by the school student,
The user application includes a grade evaluation application in which the teacher accesses the grade server from the teacher terminal and evaluates the grade of the student, and the teacher accesses the grade server and teaching material server from the teacher terminal to the student. A first self-study application for scoring and a second self-study application for the student to access the teaching material server from the student terminal and perform self-study,
The network controller according to appendix 11, wherein:
(Appendix 13)
In the state of the terminal where the first terminal having the type of the first terminal activates the first user application and starts access,
The grouping management unit generates a group including one or more servers accessed from the first user application under the type of the first terminal and the first terminal;
The network setting management unit, for a server that does not belong to another group among the one or more servers included in the generated group, in the one virtual network corresponding to the generated group Set a network setting value to allow the first terminal to access the unshared server,
The network setting instruction unit instructs the network device to set the set network setting value;
The network controller according to appendix 11 or 12, characterized in that:
(Appendix 14)
In the state of the terminal where the first terminal having the type of the first terminal activates the first user application and starts access,
The grouping management unit generates a group including one or more servers accessed from the first user application under the type of the first terminal and the first terminal;
The network setting management unit does not belong to the generated group for servers that already belong to another group among the one or more servers included in the generated group. A transfer setting at a network layer between the generated virtual network of the group is determined as the network setting value;
The network setting instruction unit instructs the network device to set the set network setting value;
14. The network controller according to any one of appendices 11 to 13, characterized in that:
(Appendix 15)
In the state of the terminal in which the first terminal having the type of the first terminal starts and accesses the first user application, the second terminal executes the second user application from the execution of the first user application. When switching to user application execution,
The grouping management unit redoes the grouping corresponding to the state of the terminal including the second user application,
The network setting management unit redoes the setting of the network setting value corresponding to the redoed grouping,
The network setting instruction unit instructs the network device to set a network setting value that has changed between the network setting value before redoing the setting and the network setting value after redoing the setting;
15. The network controller according to any one of appendices 11 to 14, characterized in that:
(Appendix 16)
In a state where the first terminal having the type of the first terminal is accessing by starting the first user application, the second terminal having the same type of the terminal and the user application is accessing If you start
The grouping management unit causes the second terminal to belong to a group to which the first terminal belongs,
The network setting management unit adds a network setting value setting corresponding to the second terminal,
The network setting instruction unit instructs the network device to additionally set the added network setting value;
15. The network controller according to any one of appendices 11 to 14, characterized in that:
(Appendix 17)
In the state of the terminal in which the first terminal and the second terminal having the type of the first terminal start the first user application and perform access, when one of the terminals terminates the access,
The grouping management unit deletes the terminal that has terminated the access from the group to which the first terminal and the second terminal belong,
The network setting management unit deletes the setting of the network setting value corresponding to the terminal that has finished the access,
The network setting instruction unit instructs the network device to delete the deleted network setting value;
The network controller according to appendix 11 or 12, characterized in that:
(Appendix 18)
Execution of the first user application in the second terminal in a state where the first terminal having the type of the first terminal and the second terminal are accessing the terminal by starting the first user application Is switched to execution of the second user application from
The grouping management unit deletes the second terminal from the first group to which the first terminal and the second terminal belong, and corresponds to the type of the first terminal and the second user application. If there is no group to create a new second group to which the second terminal belongs, if there is, add the second terminal to the existing group,
The network setting management unit deletes the setting of the network setting value corresponding to the second terminal related to the first group, and adds the setting of the network setting value related to the group corresponding to the second terminal,
The network setting instruction unit instructs the network device to delete and add the network setting value that has been deleted and added;
15. The network controller according to any one of appendices 11 to 14, characterized in that:
(Appendix 19)
A first terminal having the type of the first terminal forms a first group by executing the first user application, accesses the first server, and has a type of the second terminal. The second terminal forms a second group by executing the second user application and accesses the second server, and also shares access to the first server with the first terminal. In the state of the terminal, when the first terminal ends access,
The grouping management unit deletes the first group,
The network setting management unit is set corresponding to the second group after deleting the first group and causing the first server to belong to the virtual network of the second group. Updating the network settings so as to delete the forwarding settings for the first server;
The network setting instruction unit instructs the network device to set the updated network setting value;
15. The network controller according to any one of appendices 11 to 14, characterized in that:
(Appendix 20)
A first terminal having the type of the first terminal forms a first group by executing the first user application, accesses the first server, and has a type of the second terminal. The second terminal forms a second group by executing the second user application and accesses the second server, and also shares access to the first server with the first terminal. In the terminal state, when the second terminal terminates access,
The grouping management unit deletes the second group,
The network setting management unit updates the network setting value so as to delete the second group and delete the transfer setting related to the first server set corresponding to the first group. ,
The network setting instruction unit instructs the network device to set the updated network setting value;
15. The network controller according to any one of appendices 11 to 14, characterized in that:
(Appendix 21)
The network setting instruction unit sets the virtual network for a port of a switch device that performs switching in a data link layer between frame data corresponding to the terminal and frame data corresponding to the network device;
21. The network controller according to any one of appendices 1 to 20, wherein
(Appendix 22)
The network setting instruction unit sets the virtual network for a sub-interface in a router device that controls transfer between the virtual networks in the network layer for Internet protocol packet data included in the frame data, and performs routing in the router device Set routing information or filtering information based on forwarding settings for the table or filtering table,
The network controller according to any one of appendices 1 to 21, characterized in that:
(Appendix 23)
The network setting instruction unit sets a set of the virtual network and a service set identifier for a wireless network access point device to which the terminal wirelessly connects.
23. The network controller according to any one of appendices 1 to 22, characterized in that:
(Appendix 24)
The network setting instruction unit sets a set of the virtual network and a network address corresponding to the virtual network for a server device that automatically assigns an Internet protocol address;
24. The network controller according to any one of appendices 1 to 23, wherein:
(Appendix 25)
The network setting instruction unit sets a correspondence relationship between the name of the network device and the Internet protocol address of the network device for a name server device that performs name resolution.
25. The network controller according to any one of appendices 1 to 24, wherein:
(Appendix 26)
The network setting management unit, when a virtual network of a group to which the network device belongs is assigned or changed, the network device is not used on the virtual network managed in its own device. Assign and manage addresses,
26. The network controller according to any one of appendices 1 to 25, wherein:
(Appendix 27)
When the virtual network of the group to which the network device belongs is allocated or changed, the network setting management unit is not used on the virtual network to the network device to a server that automatically assigns an address. Request address assignment and manage the addresses assigned as a result of the request,
26. The network controller according to any one of appendices 1 to 25, wherein:
(Appendix 28)
The data relayed in the virtual network between the network devices is frame data of the data link layer of layer 2,
The data transferred between the virtual networks is data stored in the frame data, and is packet data of a layer 3 network.
The network controller according to any one of appendices 1 to 21, characterized in that:
(Appendix 29)
The network controller operates based on an open flow method, the network setting instruction unit maps the network setting value to a flow table based on the open flow method, and distributes the flow table to each network device.
29. The network controller according to any one of supplementary notes 1, 2, and 4 to 28.
(Appendix 30)
Receive the status of the terminal from the terminal,
Managing the grouping of network devices in one or more virtual networks based on an access control policy defining network access control corresponding to the state of the terminal;
Manage network setting values for performing access control for each group generated by the grouping,
Instructing the network device to set the network setting value,
A network control method.
(Appendix 31)
In a computer for setting and controlling network devices in one or more virtual networks,
A process of receiving the status of the terminal from the terminal;
A process for managing grouping of the network devices based on an access control policy that defines network access control corresponding to the state of the terminal;
A process for managing network setting values for performing access control for each group generated by the grouping;
Processing for instructing the network device to set the network setting value;
A program for running
101 コントローラ
102 スイッチ
103 ルータ
104 WLAN−AP
105 DHCPサーバ
106 DNSサーバ
107 サーバ
107a 教材サーバ
107b 成績サーバ
108 端末
108a 先生端末
108b 生徒端末
301、401 制御ポリシ
302、402 VLANテーブル
501、1201 経路情報
601 端末状態受信部
602 NWリソース管理部
603 NW設定管理部
604 NW機器設定要求送信部
605、2405、2605、2806、3006 記憶部
606 制御ポリシテーブル
607 NWリソース管理テーブル
608 NW設定管理テーブル
608a NW設定管理テーブル(最新)
608b NW設定管理テーブル(前回)
609 仮想NW−ID管理テーブル
610 サブネット管理テーブル
2401 イーサネットインタフェース
2402、2602 転送制御部
2403、2603、2804、3004 設定インタフェース
2404、2604、2805、3005 設定制御部
2406 MACテーブル
2407 VLANテーブル
2601、IF#1、IF#2 インタフェース
2606 ルーティングテーブル
2607 フィルタリングテーブル
2801、3001 受信部
2802 DHCPプロトコル制御部
2803、3003 送信部
2807、3007 設定テーブル
3002 DNSプロトコル制御部
3201 状態管理部
3202 接続制御部
3203 状態情報付加部
3204 送受信部
3401 CPU
3402 メモリ
3403 入力装置
3404 出力装置
3405 外部記憶装置
3406 可搬記録媒体駆動装置
3407 通信インタフェース
3408 バス
3409 可搬記録媒体
101 Controller 102 Switch 103 Router 104 WLAN-AP
105 DHCP server 106 DNS server 107 server 107a teaching material server 107b grade server 108 terminal 108a teacher terminal 108b student terminal 301, 401 control policy 302, 402 VLAN table 501, 1201 route information 601 terminal status receiving unit 602 NW resource management unit 603 NW setting Management unit 604 NW device setting request transmission unit 605, 2405, 2605, 2806, 3006 Storage unit 606 Control policy table 607 NW resource management table 608 NW setting management table 608a NW setting management table (latest)
608b NW setting management table (previous)
609 Virtual NW-ID management table 610 Subnet management table 2401 Ethernet interface 2402, 2602 Transfer control unit 2403, 2603, 2804, 3004 Setting interface 2404, 2604, 2805, 3005 Setting control unit 2406 MAC table 2407 VLAN table 2601, IF # 1 , IF # 2 interface 2606 Routing table 2607 Filtering table 2801, 3001 Reception unit 2802 DHCP protocol control unit 2803, 3003 Transmission unit 2807, 3007 Setting table 3002 DNS protocol control unit 3201 Status management unit 3202 Connection control unit 3203 Status information addition unit 3204 Transmission / reception unit 3401 CPU
3402 Memory 3403 Input device 3404 Output device 3405 External storage device 3406 Portable recording medium driving device 3407 Communication interface 3408 Bus 3409 Portable recording medium
Claims (10)
端末から当該端末の状態を受信する端末状態受信部と、
前記端末の状態に対応するネットワークのアクセス制御を規定するアクセス制御ポリシに基づいて、前記ネットワーク機器のグルーピングを管理するグルーピング管理部と、
前記グルーピングにより生成されるグループごとにアクセス制御を行うためのネットワーク設定値を管理するネットワーク設定管理部と、
前記ネットワーク設定値を前記ネットワーク機器に対して設定指示するネットワーク設定指示部と、
を備えることを特徴とするネットワークコントローラ。 In a network controller for setting and controlling network devices in one or more virtual networks,
A terminal state receiving unit for receiving the state of the terminal from the terminal;
A grouping management unit that manages grouping of the network devices based on an access control policy that regulates network access control corresponding to the state of the terminal;
A network setting management unit for managing network setting values for performing access control for each group generated by the grouping;
A network setting instruction unit for instructing the network device to set the network setting value;
A network controller comprising:
ことを特徴とする請求項1に記載のネットワークコントローラ。 When the terminal is connected to the network or when the access control policy is changed, the network device is instructed to set the network setting value.
The network controller according to claim 1.
ことを特徴とする請求項1または2に記載のネットワークコントローラ。 When there is a network device shared between the groups, the network setting management unit causes the shared network device to belong to a virtual network of one group, and the network device and a virtual network of a group other than the one group Determining the transfer setting at the network layer between and as the network setting value,
The network controller according to claim 1, wherein the network controller is a network controller.
前記1つのグループ以外のグループが削除される場合には、前記1つのグループに設定されている前記転送設定を削除する設定を、前記ネットワーク設定値として決定し、
前記1つのグループが削除される場合には、前記1つのグループ以外のグループの仮想ネットワークに前記共有するネットワーク機器を所属させた上で、前記転送設定を削除する設定を、前記ネットワーク設定値として決定し、
ことを特徴とする請求項3に記載のネットワークコントローラ。 The network setting management unit
When a group other than the one group is deleted, a setting for deleting the transfer setting set in the one group is determined as the network setting value,
When the one group is deleted, a setting for deleting the transfer setting is determined as the network setting value after the shared network device belongs to a virtual network of a group other than the one group. And
The network controller according to claim 3.
前記ネットワーク設定管理部は、前記端末が所属するグループの仮想ネットワークと前記ネットワーク機器との間のネットワーク層での転送設定を前記ネットワーク設定値として決定する、
ことを特徴とする請求項1ないし4のいずれかに記載のネットワークコントローラ。 The network device is permanently assigned to a predetermined virtual network,
The network setting management unit determines a transfer setting at a network layer between a virtual network of the group to which the terminal belongs and the network device as the network setting value;
The network controller according to any one of claims 1 to 4, wherein:
ことを特徴とする請求項1ないし5のいずれかに記載のネットワークコントローラ。 The grouping management unit includes a group identifier for identifying the group, a state identifier for identifying the state of the terminal corresponding to the group, and a terminal identifier for identifying terminals connectable in the group. Managing the grouping based on the data of the network resource management table in which entries including the identification names of the network resources authorized in the group are registered for each group;
The network controller according to any one of claims 1 to 5, wherein
ことを特徴とする請求項1ないし6のいずれかに記載のネットワークコントローラ。 The network setting management unit includes a group identifier for identifying the group, a terminal identifier for identifying a terminal connectable in the group, a virtual network identifier for identifying a virtual network of the group, Transfer settings between the network address corresponding to the virtual network, the address of the network resource that belongs to the network address and is authorized in the group, and the network resource and the network resource that belongs to the group and belongs to another network address Managing the network setting value based on the data of the network setting management table registered for each group.
The network controller according to claim 1, wherein the network controller is a network controller.
ことを特徴とする請求項1ないし7のいずれかに記載のネットワークコントローラ。 The state of the terminal is the type of the terminal used by the user, the user application that the user starts and uses on the terminal, the place where the user uses the terminal, or when the user uses the terminal Determined by any one or more combinations of access rights,
The network controller according to claim 1, wherein
前記端末の状態に対応するネットワークのアクセス制御を規定するアクセス制御ポリシに基づいて、1つ以上の仮想ネットワークにおけるネットワーク機器のグルーピングを管理し、
前記グルーピングにより生成されるグループごとにアクセス制御を行うためのネットワーク設定値を管理し、
前記ネットワーク設定値を前記ネットワーク機器に対して設定指示する、
ことを特徴とするネットワーク制御方法。 Receive the status of the terminal from the terminal,
Managing the grouping of network devices in one or more virtual networks based on an access control policy defining network access control corresponding to the state of the terminal;
Manage network setting values for performing access control for each group generated by the grouping,
Instructing the network device to set the network setting value,
A network control method.
端末から当該端末の状態を受信する処理と、
前記端末の状態に対応するネットワークのアクセス制御を規定するアクセス制御ポリシに基づいて、前記ネットワーク機器のグルーピングを管理する処理と、
前記グルーピングにより生成されるグループごとにアクセス制御を行うためのネットワーク設定値を管理する処理と、
前記ネットワーク設定値を前記ネットワーク機器に対して設定指示する処理と、
を実行させるためのプログラム。 In a computer for setting and controlling network devices in one or more virtual networks,
A process of receiving the status of the terminal from the terminal;
A process for managing grouping of the network devices based on an access control policy that defines network access control corresponding to the state of the terminal;
A process for managing network setting values for performing access control for each group generated by the grouping;
Processing for instructing the network device to set the network setting value;
A program for running
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014179642A JP6417799B2 (en) | 2014-09-03 | 2014-09-03 | Network controller, network control method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014179642A JP6417799B2 (en) | 2014-09-03 | 2014-09-03 | Network controller, network control method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016054419A true JP2016054419A (en) | 2016-04-14 |
| JP6417799B2 JP6417799B2 (en) | 2018-11-07 |
Family
ID=55744384
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014179642A Active JP6417799B2 (en) | 2014-09-03 | 2014-09-03 | Network controller, network control method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6417799B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019220862A (en) * | 2018-06-20 | 2019-12-26 | エヌ・ティ・ティ・アドバンステクノロジ株式会社 | Virtual network monitoring system, virtual network monitoring device, virtual network monitoring method and computer program |
| US11588713B2 (en) | 2019-12-10 | 2023-02-21 | Ntt Advanced Technology Corporation | Virtual network monitoring system, virtual network monitoring apparatus, virtual network monitoring method, and non-transitory computer-readable recording medium |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012065015A (en) * | 2010-09-14 | 2012-03-29 | Hitachi Ltd | Multi-tenant information processing system, management server and configuration management method |
| WO2014046875A1 (en) * | 2012-09-20 | 2014-03-27 | Ntt Docomo, Inc. | A method and apparatus for topology and path verification in networks |
-
2014
- 2014-09-03 JP JP2014179642A patent/JP6417799B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012065015A (en) * | 2010-09-14 | 2012-03-29 | Hitachi Ltd | Multi-tenant information processing system, management server and configuration management method |
| WO2014046875A1 (en) * | 2012-09-20 | 2014-03-27 | Ntt Docomo, Inc. | A method and apparatus for topology and path verification in networks |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019220862A (en) * | 2018-06-20 | 2019-12-26 | エヌ・ティ・ティ・アドバンステクノロジ株式会社 | Virtual network monitoring system, virtual network monitoring device, virtual network monitoring method and computer program |
| JP7005436B2 (en) | 2018-06-20 | 2022-02-10 | エヌ・ティ・ティ・アドバンステクノロジ株式会社 | Virtual network monitoring system, virtual network monitoring device, virtual network monitoring method and computer program |
| US11588713B2 (en) | 2019-12-10 | 2023-02-21 | Ntt Advanced Technology Corporation | Virtual network monitoring system, virtual network monitoring apparatus, virtual network monitoring method, and non-transitory computer-readable recording medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6417799B2 (en) | 2018-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10581863B2 (en) | Access enforcement at a wireless access point | |
| JP5398410B2 (en) | Network system, packet transfer apparatus, packet transfer method, and computer program | |
| US10659430B2 (en) | Systems and methods for dynamic network address modification related applications | |
| JP5088100B2 (en) | IP network system, access control method thereof, IP address distribution apparatus, and IP address distribution method | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| CN106487556B (en) | Service function SF deployment method and device | |
| CN107666419B (en) | Virtual broadband access method, controller and system | |
| CN105245629B (en) | Host communication method based on DHCP and device | |
| US20130111040A1 (en) | Auto-Split DNS | |
| EP3598705B1 (en) | Routing control | |
| JP2011139299A (en) | Dns (domain name system) registration device, connection management system between vpns (virtual private networks), wide area dns device, dns registration program, wide area dns program, dns registration method, and connection management method between vpns | |
| JP2019519146A (en) | Routing establishment, packet transmission | |
| EP2890052A1 (en) | Method and system for dynamic network configuration and access to services of devices | |
| CN102571811A (en) | User access authority control system and method thereof | |
| JP6417799B2 (en) | Network controller, network control method, and program | |
| JP5937563B2 (en) | Communication base station and control method thereof | |
| US11477079B2 (en) | Globally-distributed secure end-to-end identity-based overlay network | |
| JP6360012B2 (en) | Network integration system and network integration method | |
| CN108259292B (en) | Method and device for establishing tunnel | |
| JP2015531173A (en) | Network system, authentication device, subnet determination method and program | |
| CN112887968B (en) | Network equipment management method, device, network management equipment and medium | |
| WO2022049768A1 (en) | Packet communication device, method for setting packet processing rules, and program | |
| US20210051076A1 (en) | A node, control system, communication control method and program | |
| JP2020145568A (en) | Relay device and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170605 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180420 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180501 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180605 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180911 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180924 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6417799 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |