JP4714111B2 - 管理計算機、計算機システム及びスイッチ - Google Patents

管理計算機、計算機システム及びスイッチ Download PDF

Info

Publication number
JP4714111B2
JP4714111B2 JP2006232304A JP2006232304A JP4714111B2 JP 4714111 B2 JP4714111 B2 JP 4714111B2 JP 2006232304 A JP2006232304 A JP 2006232304A JP 2006232304 A JP2006232304 A JP 2006232304A JP 4714111 B2 JP4714111 B2 JP 4714111B2
Authority
JP
Japan
Prior art keywords
switch
port
existing
network
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006232304A
Other languages
English (en)
Other versions
JP2008060692A (ja
JP2008060692A5 (ja
Inventor
英樹 沖田
洋司 小澤
貴志 住吉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006232304A priority Critical patent/JP4714111B2/ja
Priority to US11/819,308 priority patent/US7826393B2/en
Publication of JP2008060692A publication Critical patent/JP2008060692A/ja
Publication of JP2008060692A5 publication Critical patent/JP2008060692A5/ja
Application granted granted Critical
Publication of JP4714111B2 publication Critical patent/JP4714111B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークを管理する管理計算機に関し、特にネットワークを構築するスイッチにクライアント認証技術を設定する管理計算機に関する。
今日、ネットワークのセキュリティを確保することが、特に企業のネットワークを構築する場合に重要である。従って、多くの企業では、利用者端末がネットワークに接続する権限があるか否かを認証するクライアント認証機能を備えるルータ又はスイッチ(以下、ルータ又はスイッチを総称して、スイッチという)が導入されている。クライアント認証機能を備えるスイッチは、ネットワークへのアクセスが許可されない利用者端末をネットワークに接続させず、当該利用者端末を個別のネットワークに隔離できる。
クライアント認証機能を備えるスイッチは、そのスイッチに予め登録された利用者端末の識別子を用いて、スイッチに接続された利用者端末がネットワークに接続する権限を有するか否かを認証する。なお、クライアント認証を備えるスイッチは、利用者端末から送信される電子証明書の一部が、スイッチに予め記憶される電子辞書の一部と該当するか否かを判定する。これによって、クライアント認証機能を備えるスイッチが、利用者端末がネットワークに接続する権限を有するか否かを認証するようにしてもよい。
クライアント認証は、認証プロセス及び認可プロセスから構成される。認証プロセスは、スイッチに接続された利用者端末を特定し、特定された利用者端末がネットワークに接続する権限を有するか否かを認証するプロセスである。認可プロセスは、認証された利用者端末をネットワーク内の他の端末と通信可能にするプロセスである。
クライアント認証システムの代表的な例として、IEEE802.1Xで定められたシステムが知られている。このクライアント認証システムは、利用者端末がネットワークに接続する接続点となるスイッチ及びその利用者端末を認証する認証サーバを備える。
IEEE802.1Xのクライアント認証では、スイッチは、利用者端末からの接続要求を受信すると、その接続要求を認証サーバであるRADIUS(Remote Authentical Dial−In User Service)サーバに転送する。RADIUSサーバは、接続要求を受信すると、その利用者端末がネットワークに接続する権限を有するか否かを認証し、認証結果をスイッチに送信する。そして、スイッチは、認証結果を受信すると、受信した認証結果に基づいて、利用者端末から送信されたフレームを中継するか否かを決定する。
また、IEEE802.1Xのクライアント認証を用いて、利用者端末を認証する処理と、利用者端末を該当するVLAN(Virtual Local Area Network)に収容する処理を同時に実行する技術(例えば、ダイナミックVLAN)が知られている。
具体的には、スイッチは、利用者端末からの接続要求を認証サーバであるRADIUSサーバに転送する。RADIUSサーバは、接続要求を受信すると、利用者端末がネットワークに接続する権限を有するか否かを認証するとともに、利用者端末が属するVLANを決定する。そして、RADIUSサーバは、利用者端末が属するVLANの識別子を認証結果に含めて、認証結果をスイッチに送信する。スイッチは、認証結果を受信すると、認証結果に含まれるVLAN識別子に基づいて、利用者端末が接続されたポートに、利用者端末が属するVLANを割り当てる。
また、スイッチに備わる同一のポートに接続された複数の利用者端末のMACアドレスに基づいて、予め指定されたVLANに利用者端末を収容するMAC‐VLAN機能とIEEE802.1Xによるクライアント認証機能を組み合わせた技術も知られている。
従来のクライアント認証技術では、ネットワーク運用管理担当者が、スイッチごとにクライアント認証をするか否かを設定する必要があるので、二つの課題がある。
第一の課題は、ネットワーク運用管理担当者の作業負荷が増大することである。第二の課題は、ネットワーク運用管理担当者が誤って設定すると、ネットワークのセキュリティが低下することである。
まず、第一の課題について説明する。
運用中のネットワークに新たにクライアント認証機能が導入される場合、又は新たに構築されたネットワークにクライアント認証機能が導入される場合、ネットワーク運用管理担当者は、ネットワークを構築するスイッチごとにそのスイッチの動作を制御する構成定義を更新又は生成しなければならない。
なお、ネットワーク運用管理担当者は、更新又は生成された構成定義と更新又は生成される前の構成定義とが矛盾しないか、及び複数のスイッチ間の構成定義が矛盾しないかを確認しなければならない。
また、ネットワークを介した業務が拡大するにつれて、ネットワークは、大規模化及び複雑化している。ネットワークの大規模化及び複雑化に伴って、ネットワーク内のスイッチの数も増加している。
このため、ネットワーク運用管理担当者が複数のスイッチ間の構成定義が矛盾しないかを確認する作業が増え、ネットワーク運用管理担当者の作業負荷が増大している。
次に、第二の課題について説明する。
クライアント認証技術は、ネットワークに接続する権限のある利用者端末のみをネットワークにアクセスさせる技術である。これによって、ネットワークのセキュリティが確保される。従って、ネットワーク運用管理担当者がスイッチの構成定義を誤って設定すると、ネットワークのセキュリティが低下する場合がある。
例えば、ネットワーク運用管理担当者が、クライアント認証を実行するように設定すべきポートでクライアント認証が実行されないように構成定義を誤って設定した場合、ネットワークのセキュリティが低下する。
また、ネットワーク運用管理担当者が、いずれかのスイッチ又はいずれかのポートのクライアント認証を実行することを構成定義に設定し忘れた場合、ネットワークのセキュリティが低下する場合がある。具体的には、ネットワーク運用管理担当者が、スイッチの構成定義をそのスイッチに反映することを忘れた場合等がある。
従来のクライアント認証技術では、人間が、スイッチに備わるポートでクライアント認証が実行されるか否かを設定するので、人的要因による設定の誤り及び設定の漏れを避けることはできない。よって、従来のクライアント認証技術では、ネットワークのセキュリティが低下する可能性がある。また、そのネットワークのセキュリティが低下する可能性を低減させるためには、ネットワーク運用管理担当者のチェック作業が増加せざるを得ない。
本発明は、上記二つの課題を解決し、企業のネットワークを運用管理するためのコストを削減するとともに、人的要因によって設定の誤り及び設定の漏れを低減し、ネットワークのセキュリティを向上させることを目的とする。
本発明の代表的な一形態によると、演算処理をするプロセッサと、前記プロセッサに接続される記憶部と、前記プロセッサに接続され、ネットワークに接続されるインタフェースと、を備え、前記ネットワークを構築するスイッチを管理する管理計算機であって、前記記憶部は、前記スイッチの動作を制御する構成定義情報、前記スイッチ間の接続関係を示すネットワーク構成情報及び前記スイッチに備わるポートに接続される利用者端末が前記ネットワークに接続する権限があるか否かを認証するクライアント認証を前記各ポートで実行するか否かを示すポート設定情報を格納し、前記プロセッサは、前記ネットワーク構成情報に基づいて、前記スイッチに備わる各ポートで前記クライアント認証が実行されるか否かを判定し、前記判定結果に基づいて、前記各ポートで前記クライアント認証が実行されるか否かを前記ポート設定情報に設定することを特徴とする。
本発明の一形態によると、ネットワーク運用管理担当者の作業負荷を低減することによって、ネットワークの運用管理コストを削減する。そして、人的要因による設定の誤り及び設定漏れによって、ネットワークのセキュリティが低下することを抑制する。
(第一実施形態)
本発明の第一実施形態のネットワーク運用管理システムについて図1〜図9を用いて説明する。
図1は、本発明の第一実施形態のネットワーク運用管理システムの構成を示す図である。
本発明の第一実施形態のネットワーク運用管理システムは、管理サーバ100、認証サーバ200、複数のスイッチ300A〜300Z及び利用者端末400を備える。なお、スイッチ300A〜300Zを総称してスイッチ300という。また、本実施の形態では、スイッチとしたが、ルータであってもよい。
管理サーバ100、認証サーバ200及び利用者端末400は、スイッチ300によって構築されるネットワークに接続される。
管理サーバ100は、ネットワークを管理する計算機である。具体的には、管理サーバ100は、ネットワークの構成情報を収集する。そして、管理サーバ100は、管理者からの指示及び収集されたネットワークの構成情報の少なくとも一方に基づいて、ネットワーク内の各スイッチ300の設定情報である構成定義1150を生成する。そして、管理サーバ100は、生成された構成定義1150を対応する各スイッチ300に送信し、各スイッチ300に記憶される構成定義3110に反映する。なお、管理サーバ100については、図2で詳細を説明する。
認証サーバ200は、利用者端末400がネットワークに接続する権限を有するか否かを認証する計算機であって、図示しないCPU、記憶部及びネットワークインタフェースを備える。
スイッチ300は、ネットワーク内で通信される情報をその情報の宛先に転送する装置である。スイッチ300は、複数のポートを備える。例えば、スイッチ300Bは、ポート1〜4を備える。スイッチ300Bに備わるポート1には、スイッチ300Zが接続され、スイッチ300Bに備わるポート4には、スイッチ300Aが接続される。スイッチ300Bに備わるポート2及びポート3は、利用者端末400を接続可能なポートである。
また、スイッチ300は、管理サーバ100によって反映された構成定義3110において指定されたポートでクライアント認証機能を有効化する。スイッチ300に備わるポートでクライアント認証機能が有効化された場合、スイッチ300は、そのポートに接続された利用者端末400がネットワークに接続することを制御する。
具体的には、クライアント認証機能が有効化されたポートに接続された利用者端末400は、スイッチ300を介して認証サーバ200に接続要求を送信する。そして、認証サーバ200は、接続要求を受信すると、利用者端末400がネットワークに接続する権限を有するか否かを認証する。そして、認証サーバ200は、ネットワークに接続する権限を有する利用者端末400であると認証すると、その利用者端末400に接続されたスイッチ400に接続を許可する認証結果を送信する。一方、認証サーバ200は、ネットワークに接続する権限を有さない利用者端末400であると認証すると、その利用者端末400に接続された利用者端末400に接続を許可できない認証結果を送信する。
そして、スイッチ300は、接続を許可する認証結果を受信すると、利用者端末400のネットワークへの接続を許可し、一方、スイッチ300は、接続を許可できない認証結果を受信すると、利用者端末400のネットワークへの接続を許可しない。
利用者端末400は、図示しないCPU、記憶部及びネットワークインタフェースを備える計算機であって、例えば、パーソナルコンピュータ及び携帯電話機である。
図2は、本発明の第一実施形態の管理サーバ100のブロック図である。
管理サーバ100は、CPU1010、メモリ1020、外部記憶装置1030、I/O(Input/Output)インタフェース1040、及びネットワークインタフェース(NWI/F)1070を備える。なお、CPU1010、メモリ1020、外部記憶装置1030、I/Oインタフェース1040及びネットワークインタフェース1070は、各々内部バスによって接続される。
また、外部記憶装置1030は、例えばHDD(Hard Disk Drive)等である。I/Oインタフェースには、入出力装置が接続可能である。I/Oインタフェース1040には、キーボード1050及びマウス1060等が接続される。管理計算機100は、ネットワーク内のスイッチ300とパケットをNWI/F1070を介して送受信する。
メモリ1020には、ネットワーク構成情報収集・管理プログラム1080、ポート設定情報生成プログラム1090、構成定義生成・反映プログラム1100、ネットワーク構成情報1110、スイッチ情報1120、設定ポリシー1130、ポート設定情報1140及び構成定義1150が格納される。
なお、CPU1010は、メモリ1020に格納されたネットワーク構成情報収集・管理プログラム1080、ポート設定情報生成プログラム1090及び構成定義生成・反映プログラム1100を読み出し、実行する。
ネットワーク構成情報収集・管理プログラム1080は、ネットワーク構成情報1110を収集し、収集したネットワーク構成情報1110を管理する。ポート設定情報生成プログラム1090は、ポート設定情報1140を編集する。構成定義生成・反映プログラム1100は、構成定義1150をスイッチ300ごとに生成し、生成された構成定義1150を各スイッチ300に送信し、各スイッチ300に記憶される構成定義3110に反映する。
ネットワーク構成情報1110は、ネットワーク内の各スイッチ300の接続関係を示す。なお、ネットワーク構成情報1110については、図7で詳細を説明する。スイッチ情報1120は、各スイッチ300がクライアント認証機能を有するか否かを示す。なお、スイッチ情報1120については、図6で詳細を説明する。
設定ポリシー1130は、管理者によって設定される。設定ポリシーには、例えば、例外となる条件が設定される。具体的には、設定ポリシー1130には、クライアント認証実行をするか否かを自動で設定しないスイッチ及びポート等が設定される。
ポート設定情報1140には、スイッチ300に備わる各ポートがクライアント認証機能を実行するか否かの情報がスイッチ300ごとに登録される。なお、ポート設定情報1140については、図8で詳細を説明する。構成定義1150は、各スイッチ300の設定を示す。
図3は、本発明の第一実施形態のスイッチ300のブロック図である。
スイッチ300は、CPU3010、メモリ3020、外部記憶装置3030、I/Oインタフェース3040及びパケット・フレーム転送機能部3050を備える、なお、CPU3010、メモリ3020、外部記憶装置3030、I/Oインタフェース3040及びパケット・フレーム転送機能部3050は、各々内部バスによって接続される。また、外部記憶装置3030は、例えばフラッシュメモリ等である。
パケット・フレーム転送機能部3050は、クライアント認証を実行するよう指定されたポートでパケット又はフレーム(以下、総称してフレームという)を受信した場合、受信したフレームが認証された利用者端末400から送信されたフレームかを判定する。
そして、パケット・フレーム転送機能部3050は、認証された利用者端末400から送信されたフレームであると判定すると、その利用者端末400から送信されたフレームを中継する。
一方、パケット・フレーム転送機能部3050は、認証が許可されない利用者端末400から送信されたフレームであると判定すると、その利用者端末400から送信されたフレームを中継しない。
メモリ3020には、隣接機器情報処理プログラム3060、クライアント認証処理プログラム3070、構成定義処理プログラム3080、隣接機器情報3090、認証機能設定情報3100及び構成定義3110が格納される。
隣接機器情報処理プログラム3060は、隣接機器情報3090を生成する。また、隣接機器情報処理プログラム3060は、隣接機器情報3090を周期的に管理サーバ100に送信する。なお、隣接機器情報処理プログラム3060は、周期的に管理サーバ100に送信するのではなく、隣接機器情報3090が変更された場合に、管理サーバ100に送信するようにしてもよい。
クライアント認証処理プログラム3070は、利用者端末400から受信した接続要求を認証サーバ200とスイッチ300との間のプロトコルのメッセージに変換し、変換した接続要求を認証サーバ200に送信する。そして、クライアント認証処理プログラム3070は、認証サーバ200から受信した認証結果に基づいて、認証機能設定情報3100を生成又は更新する。
構成定義処理プログラム3080は、管理サーバ100から受信した構成定義1150を構成定義3110としてメモリ3020に格納する。そして、構成定義処理プログラム3080は、構成定義3110の設定情報をパケット・フレーム転送機能部3050に設定する。
隣接機器情報3090は、スイッチ300に備わるポートに直接接続された対向スイッチに対してクライアント認証を実行するか否かを示す。具体的には、隣接機器情報3090には、対向スイッチの一意な識別子、対向スイッチを接続するポート番号及びその対向スイッチがクライアント認証機能を有するか否かの情報が登録される。
認証機能設定情報3100は、スイッチ300に備わるどのポートでクライアント認証が実行されるか否かが登録される。具体的には、スイッチ300に備わるポートの識別子であるポート番号及び各ポートでクライアント認証が実行されるか否かの情報が登録される。構成定義3110は、スイッチ300の設定情報である。
図4は、本発明の第一実施形態の管理サーバ100及びスイッチ300のシーケンス図である。
クライアント認証機能を備えるネットワークを新たに構築する場合又は既存のネットワークにクライアント認証を新たに導入する場合について説明する。
スイッチ300は起動されると、スイッチ情報及びリンク状態情報500を管理サーバ100に送信する(4001及び4002)。スイッチ情報は、スイッチ300がクライアント認証を実行できるか否かを示す。具体的には、スイッチ情報には、スイッチ300の一意な識別子及びクライアント認証を実行できるか否かの情報が含まれる。リンク状態情報500は、スイッチ300間の接続関係を示す。リンク状態情報500については、図5で詳細を説明する。
管理サーバ100は、スイッチ情報及びリンク状態情報500を受信すると、リンク状態情報500に基づいて、ネットワーク構成情報1110を生成する(4003)。
具体的には、リンク状態情報500に含まれるスイッチ300の一意な識別子は、ネットワーク構成情報1110に含まれるスイッチ11101に登録され、リンク状態情報500に含まれるポートの識別子は、ネットワーク構成情報1110に含まれるポート11102に登録され、リンク状態情報500に含まれる対向スイッチの一意な識別子は、ネットワーク構成情報1110に含まれる対向スイッチ11103に登録される。
なお、管理サーバ100は、受信したスイッチ情報をスイッチ情報1120としてメモリ1020に格納する。
ネットワーク構成情報1110が生成された後、管理者は、設定ポリシー1130を管理サーバ100に入力し(4004)、管理サーバ100にポート設定情報1140の設定を開始するよう指示する(4005)。管理サーバ100は、ネットワーク構成情報1110及び設定ポリシー1130に基づいて、ポート設定情報1140を生成する(4006)。
そして、管理サーバ100は、ポート設定情報1140に基づいて、管理サーバ100に記憶される構成定義1150を生成する(4007)。そして、管理サーバ100は、生成された構成定義1150を構成定義3110を変更する必要があるスイッチ300に送信し、生成された構成定義1150をスイッチ300に記憶される構成定義3110に反映する(4008)。
図5は、本発明の第一実施形態のリンク状態情報500を示す図である。
リンク状態情報500は、送信元スイッチ5001、対象ポート5002、接続先スイッチ5003及び接続先ポート5004を含む。
送信元スイッチ5001には、リンク状態情報500を管理サーバ100に送信するスイッチ300の識別子が登録される。対象ポート5002には、リンク状態情報500を管理サーバ100に送信するスイッチ300に備わるポートの識別子が登録される。接続先スイッチ5003には、リンク状態情報500を管理サーバ100に送信するスイッチ300に備わるポートのうち、対象ポート5002に登録されるポートに直接接続される対向スイッチの識別子が登録される。
接続先スイッチ5003には、対象ポート5002に登録されるポートに直接接続される対向スイッチの識別子が登録される。接続先ポート5004には、接続先スイッチ5003に登録されるスイッチ300に備わるポートのうち、対象ポート5002に登録されるポートに直接接続されるポートの識別子が登録される。
図6は、本発明の第一実施形態のスイッチ情報1120を示す図である。
スイッチ情報1120は、スイッチ11201及び認証機能11202を含む。スイッチ11201には、ネットワーク内のスイッチ300の一意な識別子が登録される。
認証機能11202には、各スイッチ300がクライアント認証を実行できるか否かが登録される。具体的には、認証機能11202に「可」が登録されているスイッチ300は、クライアント認証を実行できる。一方、認証機能11202に「否」が登録されているスイッチ300は、クライアント認証を実行できない。
図7は、本発明の第一実施形態のネットワーク構成情報1110を示す図である。
ネットワーク構成情報1110は、リンク状態情報500に基づいて生成される。ネットワーク構成情報1110は、スイッチ11101、ポート11102及び対向スイッチ11103を含む。
スイッチ11101には、ネットワーク内のスイッチ300の一意な識別子が登録される。ポート11102には、対向スイッチに直接接続されるポートの識別子が登録される。対向スイッチ11103には、ポートに直接接続される対向スイッチの一意な識別子が登録される。
なお、図7に示すネットワーク構成情報1110は、対向スイッチに直接接続されるポートの識別子のみが、ポート11102に登録されるが、各スイッチ300に備わる全てのポートの識別子がポート11102に登録されてもよい。この場合、対向スイッチに直接接続されないポートの対向スイッチ11103には、対向スイッチが存在しないことを示す識別子が登録される。
具体的には、対向スイッチに直接接続されないポートを備えるスイッチ300は、対向スイッチが存在しないことを示すリンク状態情報500を管理サーバ100に送信する。例えば、対向スイッチが存在しないことを示すリンク状態情報500は、そのリンク状態情報500に含まれる接続先スイッチ5003及び接続先ポート5004に、NULLが登録されている。
そして、管理サーバ100は、リンク状態情報500を受信すると、ネットワーク構成情報1110の該当するエントリの対向スイッチ11103に対向スイッチが存在しないことを示す識別子(例えば、NULL)を登録する。
なお、対向スイッチに直接接続されないポートとは、例えば、無効化されているポート及び利用者端末400に接続されているポートである。
図8は、本発明の第一実施形態のスイッチ300Dに対応するポート設定情報1140を示す図である。
ポート設定情報1140は、各スイッチ300に備わるポートにおいて、クライアント認証を実行するか否かを示す。ポート設定情報1140は、ポート番号11401及び認証有無11402を含む。ポート番号11401には、スイッチ300に備わるポートの識別子である。認証有無11402には、ポートでクライアント認証を実行するか否かが登録される。
図1及び図7を参照すると、スイッチ300Dに備わるポート1及びポート2には利用者端末400が接続され、スイッチ300Dに備わるポート3には何も接続されない。そして、スイッチ300Dに備わるポート4にポート300Cが直接接続される。
従って、スイッチ300Dに備わるポート1〜4のうち、対向スイッチが直接接続されず、利用者端末400が接続可能なポート1、ポート2及びポート3でクライアント認証が実行されるようにポート設定情報1140が設定される。
なお、スイッチ300ごとにポート設定情報1140が登録されている場合について説明したが、スイッチごとのポート設定情報1140を単一のポート設定情報1140にしてもよい。また、単一のポート設定情報1140の場合、ポート設定情報1140は、ネットワーク内のスイッチ300の一意な識別子を含む。
図9は、本発明の第一実施形態のポート設定情報生成処理のフローチャートである。
まず、管理サーバ100は、ネットワーク構成情報1110を参照し、ネットワーク構成情報1110に含まれるスイッチ11101に登録されるスイッチ識別子Sを一つ選択する(801)。そして、管理サーバ100は、ネットワーク構成情報1110に含まれるポート11102に含まれるポート11002に登録されるポート識別子から、ステップ801の処理で選択されたスイッチ識別子Sのスイッチ300に備わるポートのポート識別子Pを一つ選択する(802)。
管理サーバ100は、ステップ801及びステップ802の処理で選択されたスイッチ識別子S及びポート識別子Pに基づいて、ネットワーク構成情報1110を検索し、選択されたポート識別子Pのポートに対向スイッチが接続されているか否かを判定する(803)。
ステップ803の処理で、選択されたポート識別子Pのポートに対向スイッチが接続されていると判定された場合、管理サーバ100は、ステップ805の処理に進む。
一方、ステップ803の処理で、選択されたポート識別子Pのポートに対向スイッチが接続されていないと判定された場合、管理サーバ100は、ステップ801の処理で選択されたスイッチ識別子Sのスイッチ300に対応するポート設定情報1140に含まれるポート番号11401のうち、ステップ802の処理で選択されたポート識別子Pに該当するエントリの認証有無11402に「有り」を登録し(804)、ステップ808の処理に進む。
ステップ803の処理で、選択されたポート識別子Pのポートに対向スイッチが接続されていると判定された場合、管理サーバ100は、ネットワーク構成情報1110に含まれるスイッチ11101及びポート11102のうち、選択されたスイッチ識別子S及び選択されたポート識別子Pに該当するエントリの対向スイッチ11103に登録される対向スイッチの識別子を取得する。そして管理サーバ100は、取得した対向スイッチの識別子の対向スイッチがクライアント認証機能を実行できるか否かを判定する(805)。
具体的には、管理サーバ100は、スイッチ情報1120に含まれるスイッチ11201のうち、取得した対向スイッチの識別子に該当するエントリの認証機能11202に「可」が登録されているか否かを判定する。
ステップ805の処理で、対向スイッチがクライアント認証機能を実行できないと判定された場合、管理サーバ100は、選択されたスイッチ識別子Pのスイッチ300に対応するポート設定情報1140に含まれるポート番号11401のうち、ポート識別子Pに一意するエントリの認証有無11402に「有り」を登録し(806)、ステップ808の処理に進む。
一方、ステップ805の処理で、対向スイッチがクライアント認証機能を実行できると判定された場合、管理サーバ100は、選択されたスイッチ識別子Sのスイッチ300に対応するポート設定情報1140に含まれるポート番号11401のうち、選択されたポート識別子Pに該当するエントリの認証有無11402に「無し」を登録し(807)、ステップ808の処理に進む。
そして、管理サーバ100は、選択されたスイッチ300に備わるポートのうち、ステップ803〜ステップ807の処理が実行されてないポートがあるか否かを判定する(808)。
選択されたスイッチ識別子Sのスイッチ300に備わる全てのポートにステップ803〜ステップ807の処理が実行されたと判定された場合、管理サーバ100は、ステップ809の処理に進む。
一方、選択されたスイッチ識別子Sのスイッチ300に備わるポートのうち、ステップ803〜ステップ807の処理が実行されていないポートがあると判定された場合、管理サーバ100は、ステップ802の処理に戻る。
管理サーバ100は、ステップ802〜ステップ808の処理が実行されてないスイッチ300があるか否かを判定する(809)。
全てのスイッチ300にステップ802〜ステップ808の処理が実行されたと判定された場合、管理サーバ100は、ポート設定情報1140を生成する処理を終了する。
一方、ステップ802〜ステップ808の処理が実行されていないスイッチ300があると判定された場合、管理サーバ100は、ステップ801の処理に戻る。
これによって、管理サーバ100は、クライアント認証を実行できる複数のスイッチ300によって構築されるネットワークで、ネットワークの末端のスイッチのポートでクライアント認証を実行するようにポート設定情報1140を自動的に設定できる。
従って、ネットワークを運用する管理者は、クライアント認証を有効化するために必要な作業量を削減でき、また人的要因による設定の誤り及び漏れを防ぐことできる。
(第二実施形態)
次に、ネットワーク内のスイッチに新たにスイッチが追加された場合に、管理サーバ100がポート設定情報1140を自動的に設定する処理について、図10〜図17を用いて説明する。
図10は、本発明の第二実施形態のネットワーク運用管理システムの構成を示す図である。なお、第一実施形態と同じ構成は、同じ符号を付し、説明を省略する。
図10に示すネットワーク運用管理システムは、図1のネットワーク運用管理システムに備わるスイッチに新たにスイッチ300Eを追加したものである。具体的には、スイッチ300Cのポート3にスイッチ300Eのポート4が新たに接続される。なお、スイッチ300Cを既設スイッチ300Cといい、スイッチ300Eを新規スイッチ300Eという。
管理サーバ100は、新規スイッチ300Eがネットワークに追加されたことを検出すると、新規スイッチ300Eに対応するポート設定情報1140を新たに編集する。また、管理サーバ100は、新規スイッチ300Eが接続された既設スイッチ300Cに対応するポート設定情報1140の設定を編集する。
なお、新規スイッチ300Eは、管理サーバ100によって設定されたポート設定情報1140に基づいて、新規スイッチ300Eに備わるポートのうち、既設スイッチ300Cに接続されるポート4を除く利用者端末400が接続可能なポート1〜3において、クライアント認証を実行する。なお、利用者端末400が接続可能なポートとは、対向スイッチが接続されていないポートである。
図11は、本発明の第二実施形態の管理サーバ100、既設スイッチ300C及び新規スイッチ300Eのシーケンス図である。
新規スイッチ300Eが起動されると、新規スイッチ300Eに備わるポートのうち既設スイッチ300Cに接続されたポートと、既設スイッチ300Cに備わるポートのうち新規スイッチ300Eに接続されたポートとの間で、データリンクを確立する(10001)。例えば、新規スイッチ300Eは、IEEE802.3で規定される各種データリンクを確立する手段を用いて、データリンクを確立する。
新規スイッチ300Eは、既設スイッチ300Cとデータリンクを確立すると、スイッチ情報を管理サーバ100に送信する(10002)。スイッチ情報には、新規スイッチ300Eの一意な識別子及び新規スイッチ300Eがクライアント認証を実行できるか否かを示す識別子が含まれる。また、この場合のスイッチ情報には、新規スイッチ300Eに備わる全てのポートの識別子が含まれる。
既設スイッチ300Cは、新規スイッチ300Eとデータリンクを確立すると、リンク状態情報500を管理サーバ100に送信する(10003)。
リンク状態情報500に含まれる送信元スイッチ5001には、既設スイッチ300Cの一意な識別子が登録される。リンク状態情報500に含まれる対象ポート5002には、既設スイッチ300Cに備わるポートのうち、新規スイッチ300Eに直接接続されるポートの識別子が登録される。
接続先スイッチ5003には、対象ポート5002に登録されるポートに新たに直接接続される新規スイッチ300Eの一意な識別子が登録される。接続先ポート5004には、接続先スイッチ5004に登録される新規スイッチ300Eに備わるポートのうち、対象ポート5002に登録されるポートに直接接続されるポートの識別子が登録される。
管理サーバ100は、既設スイッチ300Cから送信されたリンク状態情報500及び新規スイッチ300Eから送信されたスイッチ情報を受信し、受信したリンク状態情報500に基づいて、ネットワーク構成情報1110を更新する(10004)。
管理サーバ100は、既設スイッチ300Cから送信されたリンク状態情報500に基づいて、既設スイッチ300Cに対応するポート設定情報1140及び新規スイッチ300Eに対応するポート設定情報1140を更新する(10005)。
管理サーバ100は、更新されたポート設定情報1140に基づいて、既設スイッチ300C及び新規スイッチ300Eの構成定義1150を生成する(10006)。管理サーバ100は、生成された構成定義1150を既設スイッチ300C及び新規スイッチ300Eに記憶される構成定義3110に反映する(10007)。
管理サーバ100によって生成された構成定義1150に基づいて、既設スイッチ300Cは、新規スイッチ300Eに接続されたポートでクライアント認証を実行しないように設定する。新規スイッチ300Eは、管理サーバ100によって生成された構成定義1150に基づいて、既設スイッチ300Cに接続されたポート以外の利用者端末400を接続可能なポートでクライアント認証を実行するように設定する。
管理サーバ100は、既設スイッチ300C及び新規スイッチ300Eに対応するポート設定情報1140等の設定を変更したことを管理者に通知できる(10008)。
具体的には、管理サーバ100は、GUI(Graphical User Interface)で、新規ウィンドウを生成し、管理者にポート設定情報1140等の設定の変更を通知する。また、管理サーバ100は、ログファイルにポート設定情報1140等の設定の変更を書き込むことによって、管理者に通知するようにしてもよい。
なお、管理サーバ100は、ネットワーク内に配備されたSNMP(Simple Network Management Protocol)マネージャにSNMPトラップを送信することによっても、ポート設定情報1140等の設定の変更を管理者に通知できる。また、管理サーバ100は、Syslogサーバにメッセージを送信し、ポート設定情報1140等の設定の変更を管理者に通知できる。
図12は、本発明の第二実施形態の新規スイッチ300Eが追加された場合のスイッチ300Cに対応するポート設定情報1140の変化を示す図である。
既設スイッチ300Cに新規スイッチ300Eが接続される前、既設スイッチ300Cに対応するポート設定情報1140に含まれるポート番号11401のうち、対向スイッチが接続されないポート2及びポート3の識別子に該当するエントリの認証有無11402に「有り」が登録される。
すなわち、既設スイッチ300Cに新規スイッチ300Eが接続される前、既設スイッチ300Cに備わるポート2及びポート3では、クライアント認証が実行される。また、既設スイッチ300Cに新規スイッチ300Eが接続される前、既設スイッチ300Cに対応するポート設定情報1140に含まれるポート番号11401のうち、利用者端末400に接続可能なポートであるポート1及びポート4の識別子に該当するエントリの認証有無11402に「無し」が登録される。
すなわち、既設スイッチ300Cに新規スイッチ300Eが接続される前、既設スイッチ300Cに備わるポート2及びポート3では、クライアント認証が実行されない。
新規スイッチ300Eは、既設スイッチ300Cに備わるポート3に接続される。よって、既設スイッチ300Cに新規スイッチ300Eが接続された後、既設スイッチ300Cに対応するポート設定情報1140に含まれるポート番号11401のうち、ポート3の識別子に該当するエントリの認証有無11402は、「有り」から「無し」に変更される。
図13は、本発明の第二実施形態の新規スイッチ300Eに対応するポート設定情報1140を示す図である。
管理サーバ100は、新規スイッチ300Eから送信されたスイッチ情報を受信すると、新規スイッチ300Eに対応するポート設定情報1140を生成する。なお、この場合、新規スイッチ300Eに対応するポート設定情報1140の各エントリには、何も登録されない。
管理サーバ100は、既設スイッチ300Cからリンク状態情報500を受信すると、管理サーバ100は、既設スイッチ300Cに接続されたポート4の認証有無11402を「無し」を登録し、利用者端末400に接続可能なポートであるポート1、ポート2及びポート3の認証有無11402に「有り」を登録する。すなわち、新規スイッチ300Eに備わるポート1、ポート2及びポート3では、クライアント認証が実行され、一方、新規スイッチ300Eに備わるポート4では、クライアント認証が実行されない。
これによって、管理サーバ100は、既設スイッチ300Cに新規スイッチ300Eが接続されることによって新たに構成されたネットワークにおいて、利用者端末400に接続可能なポートでクライアント認証が実行できるよう、既設スイッチ300C及び新規スイッチ300Eに対応するポート設定情報1140を更新する。
図14は、本発明の第二実施形態のポート設定情報生成処理のフローチャートである。
管理サーバ100は、新規スイッチ300Eに接続されたことを示すリンク状態情報500を既設スイッチ300Cから受信すると、ポート設定情報生成プログラム1090を実行し、ポート設定情報1140を生成する処理を開始する(1300)。
ポート設定情報生成プログラム1090は、受信したリンク状態情報500に含まれる送信元スイッチ5001に登録されたスイッチ識別子s及び受信したリンク状態情報500に含まれる対象ポート5002に登録されたポート識別子pを抽出する(1301)。
ポート設定情報生成プログラム1090は、ステップ1301の処理で抽出されたスイッチの識別子s及びポートの識別子pの組み合わせ(s、p)に基づいて、スイッチ識別子sに対応するポート設定情報1140を検索する(1302)。
そして、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子sに対応するポート設定情報1140に抽出されたポート識別子pに該当するエントリが存在するか否かを判定する(1303)。
ステップ1303の処理で、抽出されたポート識別子pに該当するエントリが、抽出されたスイッチ識別子sの既設スイッチ300Cに対応するポート設定情報1140に存在しないと判定された場合、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子sの既設スイッチ300Cに対応するポート設定情報1140のポート番号11402に、ポート識別子pを新規エントリとして登録する。
そして、ポート設定情報生成プログラム1090は、登録した新規エントリのポインタeを抽出する(1304)。次に、ポート設定情報生成プログラム1090は、ステップ1306の処理に進む。
一方、ステップ1303の処理で、抽出されたポート識別子pに該当するエントリが、既設スイッチ300Cに対応するポート設定情報1140に存在すると判定された場合、ポート設定情報生成プログラム1090は、該当するエントリのポインタeを抽出する(1305)。そして、ポート設定情報生成プログラム1090は、ステップ1306の処理に進む。
次に、ポート設定情報生成プログラム1090は、既設スイッチ300Cから受信したリンク状態情報500に含まれる接続先スイッチ5003に登録されるスイッチ識別子s'を抽出する(1306)。
ポート設定情報生成プログラム1100は、ステップ1306の処理で抽出されたスイッチ識別子s'の値がNULLか否かを判定する(1307)。つまり、ステップ1307の処理では、ポート設定情報生成プログラム1090は、リンク状態情報500を送信したスイッチ300に備わるポートからスイッチ300が取り外されたか否かを判定する。
なお、既設スイッチ300Cに新規スイッチ300Eが新たに接続された場合、接続先スイッチ5003には、新規スイッチ300Eの一意な識別子が登録される。よって、ステップ1306の処理では、接続先スイッチ5003から新規スイッチ300Eの一意な識別子が抽出されるので、抽出されたスイッチ識別子s’の値がNULLでないと判定される。
一方、既設スイッチ300Cからスイッチ300が取り外された場合、図16に示すように、接続先スイッチ5003には、NULLが登録される。よって、ステップ1306の処理では、接続先スイッチ5003からNULLが抽出されるので、抽出されたスイッチ識別子s’の値がNULLであると判定される。
ステップ1307の処理で、抽出されたスイッチ識別子s'の値がNULLと判定された場合、ポート設定情報生成プログラム1090は、ステップ1304の処理又はステップ1305の処理で抽出されたポインタeで示されるポート設定情報1140のエントリの認証有無11402に「有り」を登録し(1308)、ポート設定情報生成処理を終了する。
すなわち、ポート設定情報生成プログラム1090は、あるスイッチ300に備わるポートからスイッチ300が取り外されたと判定すると、スイッチ300が取り外されたポートでクライアント認証が実行されるように、ポート設定情報1140を設定する。なお、ステップ1308の処理については、図15で詳細を説明する。
一方、ステップ1307の処理で、抽出されたスイッチ識別子s'の値がNULLでないと判定された場合、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子s'に基づいて、スイッチ情報1120を検索する(1309)。
そして、ポート設定情報生成プログラム1090は、スイッチ情報1120を参照し、識別子s'である新規スイッチ300がクライアント認証を実行できるスイッチか否かを判定する(1310)。
具体的には、ポート設定情報生成プログラム1090は、スイッチ情報1120に含まれるスイッチ11201に登録されたスイッチ識別子のうち、スイッチ識別子s'に該当するエントリの認証機能11202が「可」であるか否かを判定する。
ステップ1307の処理で、新規スイッチ300がクライアント認証を実行できないと判定された場合、ポート設定情報生成プログラム1090は、ステップ1304の処理又はステップ1305の処理で抽出されたポート設定情報1140のポインタeに対応する認証有無11402に「有り」を登録する(1311)。
これによって、既設スイッチ300Cのポートのうち、新規スイッチ300Eに接続されるポートでクライアント認証で実行されるようにポート設定情報1140が設定される。
一方、ステップ1307の処理で、新規スイッチ300がクライアント認証を実行できると判定された場合、ステップ1304の処理又はステップ1305の処理で抽出されたポート設定情報1140のポインタに対応する認証有無11402に「無し」を登録する(1312)。
これによって、ポート設定情報生成プログラム1090は、既設スイッチ300に備わるポートのうち、新規スイッチ300Eに接続されるポートでクライアント認証が実行されないようにポート設定情報1140が設定される。
そして、ポート設定情報生成プログラム1090は、既設スイッチ300から受信したリンク状態情報500に含まれる接続先ポート5004に登録されるポート識別子p'を抽出する(1313)。
次に、ポート設定情報生成プログラム1090は、抽出された識別子p'のポートでクライアント認証が実行されないようにポート設定情報1140を設定する(1314)。
具体的には、ポート設定情報生成プログラム1090は、スイッチ識別子s'に対応するポート設定情報1140に含まれるポート番号11401に登録されたポート識別子のうち、ポート識別子p'に該当するエントリの認証有無11402に「無し」を登録する。
これによって、新規スイッチ300Eに備わるポートのうち、既設スイッチ300Cに接続されるポートでクライアント認証が実行されないようにポート設定情報1140が設定される。
また、ポート設定情報生成プログラム1090は、識別子s'のスイッチ300に備わるポートのうち、ポート識別子p'以外のポートでクライアント認証が実行されるようにポート設定情報を設定し(1315)、ポート設定情報生成処理を終了する。
具体的には、ポート設定情報生成プログラム1090は、スイッチ識別子s'に対応するポート設定情報1140に含まれるポート番号11401に登録されたポート識別子のうち、ポート識別子p'以外のポート識別子のエントリの認証有無11402に「有り」を登録する。
これによって、新規スイッチ300Eに備わるポートのうち、利用者端末400に接続可能なポートでクライアント認証を実行するようにポート設定情報1140が設定される。
ポート設定情報生成処理が終了すると、管理サーバ100は、設定されたポート設定情報1140に基づいて、構成定義1150を生成する。
管理サーバ100に記憶される構成定義生成・反映プログラム1100は、既設スイッチ300C及び新規スイッチ300Eに対応するポート設定情報1140に含まれる認証有無11402に登録された値に従って、既設スイッチ300C及び新規スイッチ300Eに備わる各ポートのクライアント認証の実行有無を既設スイッチ300C及び新規スイッチ300Eに対応する構成定義1150に書き込む。
また、構成定義生成・反映プログラム1100は、認証サーバ200の一意な識別子を既設スイッチ300C及び新規スイッチ300Eの構成定義1150に書き込む。そして、構成定義生成・反映プログラム1100は、既設スイッチ300C及び新規スイッチ300Eに対応する構成定義1150をそれぞれ既設スイッチ300C及び新規スイッチ300Eに送信し、既設スイッチ300C及び新規スイッチ300Eの構成定義3110に反映する。
なお、管理サーバ100は、構成定義1150を、TELNETプロトコルによって、スイッチ300に備わるコマンドラインインタフェースを用いて、各スイッチ300に記憶される構成定義3110に反映する。
また、管理サーバ100は、構成定義1150を、TELNETプロトコルによって、スイッチ300に備わるコマンドラインインタフェースを用いる方法、構成定義SNMPによって、MIB(Management Information Base)の設定を操作する方法、及びNETCONFプロトコルによって、構成定義1150のデータモデルを各スイッチ300に送信する方法によって、管理サーバ100が構成定義1150を各スイッチ300に記憶される構成定義3110に反映してもよい。
次に、ネットワーク運用管理システムのネットワークからスイッチ300が取り外される場合について説明する。なお、以下の説明では、取り外されるスイッチ300を削除スイッチ300Dであり、削除スイッチ300Dと接続していたスイッチ300を既設スイッチ300Cであるとする。
削除スイッチ300Dが既設スイッチ300Cから取り外される前に、削除スイッチ300Dに備わるポートのうち既設スイッチ300Cに接続されているポート1〜3で、クライアント認証が実行されていたとする。この場合、削除スイッチ300Dが既設スイッチ300Cから取り外されると、既設スイッチ300Cに備わるポートのうち削除スイッチ300Dに接続されていたポート1で、クライアント認証が実行されなければ、ネットワークのセキュリティが低下する、よって、既設スイッチ300Cに備わるポートのうち削除スイッチ300Dに接続されていたポート1でクライアント認証が実行されるように、ポート設定情報1140が変更されなければならない。
図15は、本発明の第二の実施の形態のスイッチを取り外した場合の管理サーバ100及びスイッチ300のシーケンス図である。
削除スイッチ300Dが既設スイッチ300Cから取り外されると、削除スイッチ300Dに接続されていた既設スイッチ300Cは、削除スイッチ300Dと既設スイッチ300Cとの間のリンクが切断されたことを検出する(14001)。
そして、既設スイッチ300Cは、削除スイッチ300Dが取り外されたことを示すリンク状態情報500を管理サーバ100に送信する(14002)。このリンク状態情報500は、図16に示すように、送信元スイッチ5001、対象ポート5002、接続先スイッチ5003及び接続先ポート5004を含む。
なお、接続先スイッチ5003には、既設スイッチ300Cに備わるポート1に接続されるスイッチ300は存在しないので、NULLが登録される。接続先ポート5004には、削除スイッチ300Dに備わるポートうち、既設スイッチ300Cに接続されるポートは存在しないので、NULLが登録される。
管理サーバ100は、既設スイッチ300Cから送信されたリンク状態情報500を受信すると、受信したリンク状態情報500に基づいて、ネットワーク構成情報1110を更新する(14003)。
また、管理サーバ100は、図14に示すポート設定情報生成処理を実行することによって、ポート設定情報1140を更新する(14004)。次に、管理サーバ100は、更新されたポート設定情報1140に基づいて、既設スイッチ300Cに対応する構成定義1150を生成する(14005)。
そして、管理サーバ100は、生成された構成定義1150を既設スイッチ300Cに送信し、既設スイッチ300Cに記憶される構成定義3110に反映する(14006)。なお、管理サーバ100は、生成された構成定義1150に変更がある場合、構成定義1150が変更されたことを管理者に通知してもよい(14007)。
次に、スイッチが取り外された場合のポート設定情報生成処理について、図14を用いて説明する。
ステップ1307の処理で、管理サーバ100が既設スイッチ300Cから受信したリンク状態情報500に含まれる接続先スイッチ15003にはNULLが登録されているので、ポート設定情報生成プログラム1090は、ステップ1306の処理で抽出されたスイッチ識別子s’の値はNULLであると判定し、ステップ1308の処理に進む。
そして、ステップ1308の処理で、ポート設定情報生成プログラム1090は、ステップ1304又はステップ1305の処理で抽出されたポインタeで示されるポート設定情報のエントリの認証有無11402に「有り」を登録する。
これによって、リンク状態情報500を送信した既設スイッチ300Cに備わるポートうち、削除スイッチが接続されていたポート1でクライアント認証が実行されるように、ポート設定情報1140が設定される。
管理サーバ100は、設定されたポート設定情報1140に基づいて既設スイッチ300Cに対応する構成定義1150を更新する。そして、管理サーバ100は、更新された構成定義1150を既設スイッチ300Cに送信し、既設スイッチ300Cに記憶される構成定義3110に反映する。
既設スイッチ300Cは、管理サーバ100から送信された構成定義1150が反映された構成定義3110に基づいて、既設スイッチ300Cに備わるポート1でクライアント認証を実行する。
以上より、稼動中のネットワークからスイッチが取り外された後も、利用者端末400を接続できる全てのポートでクライアント認証が実行されるように設定できる。これによって、ネットワークに接続する権限を有さない利用者端末400がネットワークに接続することを防止でき、ネットワークのセキュリティを確保できる。
なお、新たにスイッチ300が追加される場合及びスイッチ300が削除される場合等、ネットワークにイベントが発生した場合に、既設スイッチ300は、図17A及び図17Bに示すように、ネットワークに発生したイベントを示すイベント種別を含むリンク状態情報1700A又は1700Bを管理サーバ100に送信するようにしてもよい。
図17Aは、本発明の第二実施形態のリンク状態情報1700Aを示す図である。
既設スイッチ300Cに新規スイッチ300Eが接続された場合、リンク状態情報1700Aは、既設スイッチ300Cによって管理サーバ100に送信される。
リンク状態情報1700Aは、イベント種別1701、発行元スイッチ1702、対象ポート1703、接続先スイッチ1704及び接続先ポート1705を含む。なお、発行元スイッチ1702、対象ポート1703、接続先スイッチ1704及び接続先ポート1705は、それぞれ発行元スイッチ501、対象ポート502、接続先スイッチ503及び接続先ポート504に対応する。
イベント種別1701は、既設スイッチ300Cの対象ポート1702に登録されたポートに発生したイベントが登録される。具体的には、イベント種別1701には、「追加」又は「削除」が登録される。新たにスイッチが追加された場合、イベント種別1701には、「追加」が登録され、スイッチが取り外された場合、イベント種別1701には、「削除」が登録される。なお、リンク状態情報1700Aに含まれるイベント種別1701には、「追加」が登録される。
図17Bは、本発明の第二実施形態のリンク状態情報1700Bを示す図である。
既設スイッチ300Cから新規スイッチ300Eが取り外された場合、リンク状態情報1700Bは、既設スイッチ300Cによって管理サーバ100に送信される。
リンク状態情報1700Bは、イベント種別1701、送信元スイッチ1702及び対象ポート1703を含む。なお、既設スイッチ300Cから新規スイッチ300Eが取り外されるので、イベント種別1701には、「削除」が登録される。
なお、リンク状態情報1700A又は1700Bが既設スイッチ300Cによって送信された場合のポート設定情報生成処理について、図14に示すポート設定情報生成処理と異なるステップのみ説明する。
ステップ1306の処理で、ポート設定情報生成プログラム1090は、リンク状態情報1700A又は1700Bに含まれるイベント種別1701に登録された値を抽出する。
そして、ステップ1307の処理で、ポート設定情報生成プログラム1090は、ステップ1306の処理で抽出された値が「追加」であるか「削除」であるかを判定する。
ステップ1307の処理で、ポート設定情報生成プログラム1090は、イベント種別1701に「追加」が登録されていると判定された場合、ステップ1309の処理に進み、イベント種別1701に「削除」が登録されていると判定された場合、ステップ1308の処理に進む。
(第三実施形態)
企業内のネットワークを構築する各スイッチ300にVLAN(Virtual LAN)が複数定義される。これによって、企業内のネットワークに、複数の仮想的なネットワークが構築される。
一般に、定義された複数のVLANが同一であるスイッチ300同士が接続される場合、各スイッチ300に備わるポートのうち、各スイッチ300を相互に接続するポートでは、TAG VLAN機能が有効化される。
なお、TAG VLAN機能が有効化されたポートでは、そのポートに割り当てられるVLANの識別子がフレームに付与される。また、TAG VLAN機能が有効化されたポートでは、VLANの識別子が付与されたフレームのみが送受信される。これによって、スイッチ300間の単一な接続において、仮想的な複数のデータリンクが構成される。
図18は、本発明の第三実施形態のネットワーク運用管理システムの構成を示す図である。
スイッチ300A及びスイッチ300Cには、VLAN10、VLAN20及びVLAN99が定義される。スイッチ300B及びスイッチ300Dには、VLAN10及びVLAN99が定義される。なお、VLAN99は、管理サーバ100及び認証サーバ200が利用者端末400及びスイッチ300と通信するためのVLANである。
そして、各スイッチ300A〜300Dに備わるポートのうち、各スイッチ300A〜300Dが接続されるポートにおいて、TAG VLAN機能が有効化されている。
なお、スイッチ300Zは、TAG VLAN機能を備えないスイッチである。従って、スイッチ300Bとスイッチ300Zとの間において、TAG VLAN機能は利用されない。
また、スイッチ300Z及びスイッチ300Dに備わるポート1〜3には、VLAN10に属する利用者端末400が接続される。スイッチ300Cは、ポート3には、VLAN20に属する利用者端末400が接続される。
なお、本実施形態の管理サーバ100に備わるメモリ1020には、全VLAN定義引継フラグ及びVLAN定義情報が格納される。
管理サーバ100に記憶されるVLAN定義情報には、各スイッチ300に定義されているVLAN識別子が登録される。
また、全VLAN定義フラグには、既設スイッチ300に新たに接続されたスイッチ300が既設スイッチ300に定義されている全てのVLANの識別子を引き継ぐか否かの情報が登録される。なお、全VLAN定義フラグを有効にするか否かは、管理者によって設定されてもよい。
また、スイッチ300に備わるメモリ3020には、VLAN定義情報が格納される。スイッチ300に記憶されるVLAN定義情報には、当該スイッチ300に定義されるVLAN識別子が登録される。
図19は、本発明の第三実施形態の図18に示すネットワーク運用管理システムに、新規スイッチ300Eが追加された場合のネットワーク運用管理システムの構成を示す図である。
新規スイッチ300Eには、予めVLAN20及びVLAN99が定義される。具体的には、新規スイッチ300Eに記憶されるVLAN定義情報にVLAN20の識別子及びVLAN99の識別子が登録される。
新規スイッチ300Eには、VLAN20に属する利用者端末が接続可能であるので、新規スイッチ300Eが追加される前のVLAN20に属する利用者端末400の数よりも、新規スイッチ300Eが追加された後のVLAN20に属する利用者端末400の数が増加する。
図19に示すように、新規スイッチ300Eに備わるポート4は、スイッチ300Cに備わるポート3に接続される。そして、新規スイッチ300Eに備わるポート1〜ポート3には、VLAN20に属する利用者端末400が接続される。
スイッチ300Cと新規スイッチ300Eとの間は、TAG VLAN機能によって接続される。スイッチ300Cに備わるポート3及び新規スイッチ300Eに備わるポート4では、VLAN20又はVLAN99が付与されたフレームが送受信される。
なお、本実施形態のクライアント認証機能を実行するポートを選択する処理は、第二実施形態の管理サーバ100が実行するポート設定情報生成処理と同一の構成であるので省略する。従って、本実施形態では、第一実施形態及び第二実施形態と相違する箇所について説明する。
本実施形態では、新規スイッチ300Eがネットワークに追加されると、管理サーバ100が既設スイッチ300C及び新規スイッチ300Eに対応するポート設定情報1140を設定する。管理サーバ100は、既設スイッチ300Cに備わるポート3でTAG VLAN機能を有効化し、VLAN20又はVLAN99が付与されたフレームを送受信できるように、ポート設定情報1140を設定する。
また、管理サーバ100は、新規スイッチ300Eに対応するVLAN定義情報3120にVLAN20及びVLAN99の識別子を登録する。
そして、管理サーバ100は、新規スイッチ300Eに備わるポート4でTAG VLAN機能を有効化し、VLAN20又はVLAN99が付与されたフレームを送受信するように、ポート設定情報1140を設定する。
図20は、本発明の第三実施形態の新規スイッチ300Eが追加された場合のスイッチ300Cに対応するポート設定情報1140の変化を示す図である。
TAG VLAN機能を備えるスイッチ300に対応するポート設定情報1140は、ポート番号11401、認証有無11402、ポート種別11403及び収容VLAN11404を含む。ポート番号11401及び認証有無11402は、図8及び図12に示す設定情報1140に含まれるポート番号11401及び認証有無11402と同じであるので、説明を省略する。
ポート種別11403は、スイッチ300に備わるポートの動作状態を示す。具体的には、ポート種別11403には、「アクセス」又は「トランク」が登録される。「アクセス」は、該当するポートにおいてTAG VLAN機能が無効化されていることを示す。すなわち、該当するポートが単一のVLANに収容されることを示す。また、「トランク」は、該当するポートでTAG VLAN機能が有効化されていることを示す。すなわち、該当するポートで送受信されるフレームは、VLAN識別子が付与される。そして、該当するポートで送受信されるフレームは、付与されたVLAN識別子に該当するVLANに収容される。
新規スイッチ300Eが追加された後の既設スイッチ300Cに備わるポートのうち、新規スイッチ300Eが直接接続されるポート3でクライアント認証が実行されないように、既設スイッチ300Cに対応するポート設定情報1140の認証有無11402が設定される。また、既設スイッチ300Cに備わるポートのうち、新規スイッチ300Eが直接接続されるポート3でTAG VLAN機能が有効化されるように既設スイッチ300Cに対応するポート設定情報1140のポート種別11403が設定される。
具体的には、既設スイッチ300Cに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート3の識別子に該当するエントリの認証有無11402が「有り」から「無し」に変更される。また、既設スイッチ300Cに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート3の識別子に該当するエントリのポート種別11403が「アクセス」から「トランス」に変更される。
なお、既設スイッチ300Cに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート1及びポート4の識別子に該当するエントリの認証有無11402には「無し」が登録され、ポート種別11403には「トランク」が登録される。ポート2の認証有無1402には「有り」が登録され、ポート種11403には「アクセス」が登録される。
図21は、本発明の第三実施形態の新規スイッチ300Eに対応するポート設定情報1140を示す図である。
新規スイッチ300Eがスイッチ300Cに接続されると、新規スイッチ300Eに備わるポートのうち、スイッチ300Cに直接接続されるポート4でクライアント認証が実行されないように新規スイッチ300Eに対応するポート設定情報114が設定される。
また、新規スイッチ300Eに備わるポートのうち、スイッチ300Cに直接接続されるポート4でTAG VLAN機能が有効化されるように新規スイッチ300Eに対応するポート設定情報114が設定される。
また、新規スイッチ300Eに備わるポートのうち、利用者端末400に接続可能なポート1〜3でクライアント認証が実行されるように新規スイッチ300Eに対応するポート設定情報114が設定される。新規スイッチ300Eに備わるポートのうち、利用者端末400に接続可能なポート1〜3でTAG VLAN機能が無効化されるように新規スイッチ300Eに対応するポート設定情報114が設定される。
具体的には、新規スイッチ300Eに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート4の識別子に該当するエントリの認証有無11402に「無し」が登録され、ポート種別11403に「トランク」が登録される。
また、新規スイッチ300Eに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート1〜3の識別子に該当するエントリの認証有無11402に「有り」が登録され、ポート種別11403に「アクセス」が登録される。
図22は、本発明の第三実施形態のポート設定情報生成処理のフローチャートである。
管理サーバ100は、既設スイッチ300Cが新規スイッチ300Eに接続されたことを示すリンク状態情報500を既設スイッチ300Cから受信すると、ポート設定情報生成プログラム1090を実行し、図14に示すポート設定情報生成処理のステップ1301からステップ1307の処理を実行する(1901)。
ポート設定情報生成プログラム1090は、既設スイッチ300Cに対応するポート設定情報1140の新規スイッチ300Eに直接接続されたポート識別子pに該当するポインタeを抽出する。
また、ポート設定情報生成プログラム1090は、受信したリンク状態情報500に含まれる接続先スイッチ5003に登録されるスイッチ識別子s’を抽出する。また、ポート設定情報生成プログラム1090は、受信したリンク状態情報500に含まれる接続先ポート5004に登録されるポート識別子p’を抽出する。
そして、ポート設定情報生成プログラム1090は、ステップ1307の処理と同じく、ステップ1901の処理で抽出されたスイッチ識別子s’の値がNULLか否かを判定する(1902)。
ステップ1902の処理で、抽出されたスイッチ識別子s’の値がNULLでないと判定された場合、ポート設定情報生成プログラム1090は、スイッチ情報1120を参照し、抽出されたスイッチ識別子s’のスイッチ300がクライアント認証機能を実行できるか否かを判定する(1903)。図19に示すネットワーク運用管理システムでは、管理サーバ100は、新規スイッチ300Eがクライアント認証を実行できるか否かを判定する。
ステップ1903の処理で、抽出されたスイッチ識別子s’のスイッチ300がクライアント認証機能を実行できないと判定された場合、抽出されたポートp’でTAG VLAN機能を無効化するようにポート設定情報1140を設定し(1916)、ポート設定情報生成処理を終了する。
具体的には、抽出されたスイッチ識別子s’のスイッチ300に対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子p’に該当するエントリのポート種別1403に「アクセス」を登録する。
一方、ステップ1903の処理で、抽出されたスイッチ識別子s’のスイッチ300がクライアント認証機能を実行できると判定された場合、ポート設定情報生成プログラム1090は、抽出されたポート識別子p’のポートでクライアント認証が実行されないように、ポート設定情報1140を設定する(1904)。
具体的には、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子s’のスイッチ300に対応するポート設定情報1140において、抽出されたポート識別子p’に該当するエントリの認証有無1142に「無し」を登録する。
なお、ステップ1904の処理で、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子s’のスイッチ300に対応するポート設定情報1140において、抽出されたポート識別子p’以外に該当するエントリの認証有無1142に「無し」を登録する。
そして、ポート設定情報生成プログラム1090は、抽出されたポート識別子p’のポート及び抽出されたポート識別子pのポートでTAG VLAN機能を有効化するようにポート設定情報1140を設定する(1905)。
抽出されたスイッチ識別子s’のスイッチ300に対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子p’に該当するエントリのポート種別1403に「トランク」を登録する。同じように、抽出されたスイッチ識別子sのスイッチ300に対応するポート設定情報1140のポート識別子pのエントリのポート種別1403に「トランク」を登録する。
なお、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子s’のスイッチ300に対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子p’以外のポート識別子に該当するエントリのポート種別1403に「アクセス」を登録する。
図19に示すネットワーク運用管理システムでは、新規スイッチ300Eに備わるポートのうち、既設スイッチ300Cに接続されるポート4がトランクポートに設定される。また、既設スイッチ300Cに備わるポートのうち、新規スイッチ300Eに接続されるポート1がトランクポートに設定される。
次に、ポート設定情報生成プログラム1090は、管理サーバ100に記憶される全VLAN定義フラグが有効か否かを判定する(1906)。
ステップ1906の処理で、全VLAN定義フラグが有効であると判定された場合、ポート設定情報生成プログラム1090は、既設スイッチ300Cに定義されるVLANを新規スイッチ300Eに定義し(1907)、ステップ1911の処理に進む。
具体的には、ポート設定情報生成プログラム1090は、管理サーバ100に記憶されるVLAN定義情報のうち、既設スイッチ300Cに対応するVLAN定義情報に登録された全てのVLAN識別子を新規スイッチ300Eに対応するVLAN定義情報に登録する。
ステップ1906の処理で、全VLAN定義フラグが有効でないと判定された場合、ポート設定情報生成プログラム1090は、既設スイッチ300Cに備わるポートのうち、新規スイッチ300Eに接続されるポートに割り当てられているVLANを新規スイッチ300Eに定義する(1908)。
具体的には、ポート設定情報生成プログラム1090は、既設スイッチ300Cに対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子pに該当するエントリの収容VLAN11404に登録される全てのVLAN識別子を取得する。そして、ポート設定情報生成プログラム1090は、新規スイッチ300Eに対応するVLAN定義情報1160に、取得したVLAN識別子を登録する。
そして、ポート設定情報生成プログラム1090は、管理サーバ100に記憶されるVLAN定義情報のうち、既設スイッチ300Cに対応するVLAN定義情報に管理用VLAN(VLAN99)識別子が登録されているか否かを判定する(1909)。
ステップ1909の処理で、管理サーバ100に記憶されるVLAN定義情報のうち、既設スイッチ300Cに対応するVLAN定義情報に管理用VLAN(VLAN99)識別子が登録されていないと判定された場合、ポート設定情報生成プログラム1090は、ステップ1911の処理に進む。
一方、管理サーバ100に記憶されるVLAN定義情報のうち、既設スイッチ300Cに対応するVLAN定義情報に管理用VLAN(VLAN99)識別子が登録されていると判定された場合、ポート設定情報生成プログラム1090は、新規スイッチ300Eに管理用VLAN(VLAN99)を定義し(1910)、ステップ1911の処理に進む。
具体的には、ポート設定情報生成プログラム1090は、管理サーバ100に記憶されるVLAN定義情報のうち、新規スイッチ300Eに対応するVLAN定義情報に管理用VLAN(VLAN99)識別子を登録する。
ポート設定情報生成プログラム1090は、新規スイッチ300Eに新たに定義されたVLANを、抽出されたポートp’及び抽出されたポートpに割り当て(1911)、ポート設定情報生成処理を終了する。
具体的には、ポート設定情報生成プログラム1090は、管理サーバ100に記憶されるVLAN定義情報のうち抽出されたスイッチ識別子s’のスイッチ300に対応するVLAN定義情報に登録されたVLAN識別子を取得する。そして、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子s’のスイッチ300に対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子p’に該当するエントリの収容VLAN11404に取得したVLAN識別子を登録する。
また、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子sのスイッチ300に対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子pに該当するエントリの収容VLAN11404に、取得したVLAN識別子を登録する。
次に、ネットワークからスイッチが削除された場合のポート設定情報生成処理について説明する。なお、図19に示すネットワーク運用管理システムで、スイッチ300Cからスイッチ300Dが取り外された場合について説明する。スイッチ300Cを既設スイッチ300Cといい、スイッチ300Dを削除スイッチ300Dという。
ステップ1902の処理で、抽出されたスイッチ識別子s’の値がNULLと判定された場合、つまり、削除スイッチ300Dが削除されたと判定された場合、ポート設定情報生成プログラム1090は、抽出されたポート識別子pのポートでクライアント認証機能が無効化されているか否かを判定する(1912)。この場合、ポート識別子pのポートは、既設スイッチ300Cに備わるポートのうち、取り外されたスイッチが接続されていたポートである。
具体的には、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子sのスイッチ300に対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子pに該当するエントリの認証有無11402に「無し」が登録されているか否かを判定する。
ステップ1904の処理で、抽出されたポート識別子pのポートでクライアント認証機能が有効化されていると判定された場合、ポート設定情報生成プログラム1090は、ポート情報生成処理を終了する。
ステップ1904の処理で、抽出されたポート識別子pのポートでクライアント認証機能が無効化されていると判定された場合、ポート設定情報生成プログラム1090は、抽出されたポート識別子pのポートでクライアント認証が実行されるように、ポート設定情報1140を設定する(1913)。
具体的には、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子pのスイッチ300に対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子pに該当するエントリの認証有無11402を「無し」から「有り」に変更する。
これによって、既設スイッチ300Cに備わるポートのうち、削除スイッチ300Dに接続されていたポートで、クライアント認証が実行される。
そして、ポート設定情報生成プログラム1090は、抽出されたポート識別子pのポートに割り当てられていたVLANから管理用VLAN(VLAN99)を削除する(1914)。
具体的には、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子sのスイッチ300に対応するポート設定情報1140のポート番号11401のうち、抽出されたポート識別子pに該当するエントリの収容VLAN11404に管理用VLAN(VLAN99)識別子を当該エントリの収容VLAN11404から削除する。
既設スイッチ300Cに備わるポートのうち取り外された削除スイッチ300Dが接続されていたポートは、利用者端末400が接続可能なポートである。従って、ステップ1914の処理によって、利用者端末400に接続され得るポートに管理用VLANが割り当てられないので、当該ポートに利用者端末400が接続されても、接続された利用者端末400は、管理用VLANにアクセスできない。従って、ネットワークのセキュリティを向上できる。
次に、ポート設定情報生成プログラム1090は、抽出されたポート識別子pのポートをアクセスポートに変更し(1915)、ポート設定情報生成処理を終了する。
具体的には、ポート設定情報生成プログラム1090は、抽出されたスイッチ識別子sのスイッチ300のポート設定情報1140のポート番号11401のうち、抽出されたポート識別子pに該当するエントリのポート種別11403をアクセスからトランクに変更する。
(第四実施形態)
第四実施形態では、MAC VLAN方式を利用したネットワーク運用管理システムに本発明を適用する。
以下にMAC VLAN方式を利用したネットワーク運用管理システムについて説明する。
MAC VLAN機能を備えるスイッチ300は、スイッチ300に備わる各ポートで受信したフレームを、フレームに含まれる送信元のMACアドレスに基づいて、受信したフレームを収容するVLANを決定する。
なお、MAC VLAN機能を備えるスイッチ300は、ポート毎にMAC VLAN機能を有効化又は無効化できる。
MAC VLAN機能が有効化されたポートにTAG VLAN機能を備えないスイッチ300が接続される。そして、TAG VLAN機能を備えないスイッチ300に備わる複数のポートに複数の利用者端末400が接続される。これによって、MAC VLAN機能が有効化された一つのポートに、TAG VLAN機能を備えないスイッチ300を介して、複数の利用者端末400が接続される。
MAC VLAN機能を備えるスイッチ300に備わるメモリ3020には、MAC VLAN振分情報2300が格納される。
図23は、本発明の第四実施形態のMAC VLAN振分情報2300の構成を示す図である。
MAC VLAN振分情報2300は、送信元MACアドレス2301及びVLAN識別子2302を含む。送信元MACアドレス2301には、フレームを送信する利用者端末400のMACアドレスが登録される。VLAN識別子2302には、送信元MACアドレス2401に登録されたMACアドレスの利用者端末400が収容されるVLANの識別子が登録される。
次に、MAC VLAN機能を備えるスイッチ300が受信したフレームを収容するVLANを決定する処理について説明する。
MAV VLAN機能を備えるスイッチ300は、フレームを受信すると、フレームを受信したポートで、MAC VLANが有効化されているか否かを判定する。
フレームを受信したポートで、MAC VLAN機能が有効化されていると判定された場合、スイッチ300は、受信したフレームに含まれる送信元のMACアドレスを取得する。
そして、スイッチ300は、取得した送信元のMACアドレスに基づいて、MAC VLAN振分情報2300を検索し、送信元のMACアドレスに対応するVLAN識別子を取得する。スイッチ300は、取得したVLAN識別子を受信したフレームに付与し、VLAN識別子が付与されたフレームを送信元MACアドレスに対応するVLANに転送する。
なお、管理者は、各スイッチ300に備わる設定インタフェースを介して、各スイッチ300に記憶されるMAC VLAN振分情報2300を、個別に設定できる。
また、ネットワークを構築する各スイッチ300に記憶されるMAC VLAN振分情報2300が、認証サーバ200に記憶されてもよい。この場合、認証サーバ200に記憶されるMAC VLAN振分情報2300に設定された内容が各スイッチ300に記憶されるMAC VLAN振分情報2300に反映される。これによって、管理者は、各スイッチ300に記憶されるMAC VLAN振分情報2300を認証サーバ200を介して、一元的に管理できる。
認証サーバ200にMAC VLAN振分情報2300が記憶される場合のスイッチ300が受信したフレームを収容するVLANを決定する処理について説明する。
なお、利用者端末400と、MAC VLAN機能を備えるスイッチ300と、認証サーバ200との間のEAP(Extensive Authentication Protocol)を介した通信によって、認証サーバ200に記憶されるMAC VLAN振分情報2300は生成される。また、EAPについては、IETF RFC2284で定義されている。
利用者端末400がスイッチ300に接続されると、認証サーバ200は、利用者端末400をクライアント認証する。この場合、認証サーバ200は、認証サーバ200に記憶されるMAV VLAN振分情報2300を参照し、利用者端末400のMACアドレスに基づいて、その利用者端末400を収容するVLAN識別子を検索する。そして、認証サーバ200は、利用者端末400のMACアドレス及び利用者端末400を収容するVLAN識別子を含む検索結果をスイッチ300に送信する。
スイッチ300は、検索結果を受信すると、検索結果に含まれる利用者端末400のMACアドレス及び利用者端末400を収容するVLAN識別子をスイッチ300に記憶されるMAC VLAN振分情報2300に登録する。
図24は、本発明の第四実施形態のMAC VLANを利用したネットワーク運用管理システムの構成を示す図である。
図24に示すネットワーク運用管理システムでは、スイッチ300Cに備わるポート3に新規スイッチ300Eが新たに接続される。そして、スイッチ300Cに備わるポート2及びポート3でMAC VLAN機能が有効化されている。
図25は、本発明の第四実施形態のスイッチ300Eが追加された場合のスイッチ300Cに対応するポート設定情報1140の変化を示す図である。なお、スイッチ300Cを既設スイッチ300Cといい、スイッチ300Eを新規スイッチ300Eという。
第四実施形態のMAC VLAN機能を備えるスイッチ300に対応するポート設定情報1140は、ポート番号11401、認証有無11402、ポート種別11403及び収容VLAN11404を含む。ポート番号11401、認証有無11402及び収容VLAN11404は、図20に示すポート設定情報1140と同じであるので、説明を省略する。
ポート種別11403には、「アクセス」、「トランク」、又は「MAC」が登録される。「MAC」は、該当するポートにおいてMAC VLAN機能が有効化されていることを示す。
既設スイッチ300Cに備わるポート3に新規スイッチ300Eが接続されると、既設スイッチ300Cに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート3の識別子に該当するエントリの認証有無11402が「有り」から「無し」に変更され、ポート種別11403が「MAC」から「トランス」に変更される。
また、既設スイッチ300Cに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート3の識別子に該当するエントリの収容VLAN11404に登録されるVLAN識別子は、VLAN10及びVLAN20からVLAN10、VLAN20及びVLAN99に変更される。
なお、既設スイッチ300Cに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート1及びポート4の識別子に該当するエントリの認証有無11402には「無し」が登録され、ポート種別11403には「トランク」が登録される。
また、既設スイッチ300Cに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート2の識別子に該当するエントリのポート番号2に該当するエントリの認証有無1402には「有り」が登録され、ポート種別11403には「MAC」が登録される。
図26は、本発明の第四実施形態の新規スイッチ300Eに対応するポート設定情報1140を示す図である。
新規スイッチ300Eに備わるポート4に既設スイッチ300Cが接続されると、新規スイッチ300Eに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート4の識別子に該当するエントリの認証有無11402に「無し」が登録され、ポート種別11403に「トランク」が登録される。
また、新規スイッチ300Eに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート4の識別子に該当するエントリの収容VLAN11404にVLAN10、VLAN20及びVLAN99の識別子が登録される。
新規スイッチ300Eに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート1〜3の識別子に該当するエントリの認証有無11402に「有り」が登録され、ポート種別11403に「MAC」が登録される。
また、新規スイッチ300Eに対応するポート設定情報1140のポート番号11401に登録されたポート識別子のうち、ポート1〜3の識別子に該当するエントリの収容VLAN11404にVLAN10及びVLAN20の識別子が登録される。なお、新規スイッチ300Eに備わるポート1〜3は、利用者端末400が接続可能なポートである。
また、管理サーバ100は、図22のステップ1908の処理と同じように、スイッチ300Cに備わるポートのうち新規スイッチ300Eに接続されるポート3に割り当てられたVLANを新規スイッチ300Eに定義する。
ステップ1909の処理で、管理サーバ100は、新規スイッチ300Eに定義されたVLANの識別子を新規スイッチ300Eに備わるポート4及び既設スイッチ300Cに備わるポート3に割り当てる。
次に、管理サーバ100が備えるネットワーク事前設計機能について説明する。なお、ネットワーク事前設計機能とは、管理者がネットワークを実際に構築する前に、管理サーバ100を介して、ネットワークを設計できる機能である。なお、ネットワーク事前設計機能は、第一実施形態から第四実施形態の管理サーバ100に実装できる。
管理サーバ100は、仮想的なネットワークをメモリ1020に格納する。管理サーバ100は、仮想的なネットワーク上で、新たにネットワークが構築された場合及びネットワークが更新された場合に、スイッチ300毎に構成定義3110を生成する。そして、管理サーバ100は、生成された構成定義3110の内容を管理者に通知する。
図27は、本発明のネットワークが事前に設計される場合の管理サーバ100のシーケンス図である。
管理者は、ネットワークの設計情報を管理サーバ100に入力する(2701)。なお、ネットワークの設計情報には、リンク状態情報500及びスイッチ情報を含む。すなわち、ネットワークの設計情報には、送信元スイッチ5001、対象ポート5002、接続先スイッチ5003、接続先ポート5004及び追加されたスイッチ300がクライアント認証を実行できるか否かの情報が含まれる。
管理サーバ100は、ネットワークの設計情報が入力されると、入力されたネットワークの設計情報を解析する。そして、管理サーバ100は、ネットワークの設計情報が解析された結果に基づいて、ネットワーク構成情報1110及びポート設定情報1140を更新する(2702)。
そして、管理サーバ100は、更新されたポート設定情報1140に基づいて、スイッチ300毎の構成定義1150を生成する(2703)。
管理サーバ100は、構成定義1150を生成すると、ネットワークの構成を表示する内容を更新し(2704)、管理者にネットワークの構成が変更された結果を通知する(2705)。管理者にネットワークの構成が変更された結果を通知する方法としては、例えば、表示装置の画面上に通知ウィンドウを表示する方法及びログファイルにメッセージを追記する方法等がある。
これによって、管理サーバ100が管理者から入力されたネットワークの設計情報に基づいて、ネットワーク構成情報1110、ポート設定除法1140及びスイッチ300毎の構成定義1150を更新するので、管理者は、スイッチ300をネットワークに追加する前、又はスイッチ300をネットワークから取り外す前に、予め管理サーバ100がスイッチ300の構成を変更する作業の内容を確認できる。
本発明の第一実施形態のネットワーク運用管理システムの構成を示す図である。 本発明の第一実施形態の管理サーバのブロック図である。 本発明の第一実施形態のスイッチのブロック図である。 本発明の第一実施形態の管理サーバ及びスイッチのシーケンス図である。 本発明の第一実施形態のリンク状態情報を示す図である。 本発明の第一実施形態のスイッチ情報を示す図である。 本発明の第一実施形態のネットワーク構成情報を示す図である。 本発明の第一実施形態のスイッチに対応するポート設定情報を示す図である。 本発明の第一実施形態のポート設定情報生成処理のフローチャートである。 本発明の第二実施形態のネットワーク運用管理システムの構成を示す図である。 本発明の第二実施形態の管理サーバ、既設スイッチ及び新規スイッチのシーケンス図である。 本発明の第二実施形態の規スイッチが追加された場合のスイッチに対応するポート設定情報の変化を示す図である。 本発明の第二実施形態の新規スイッチに対応するポート設定情報を示す図である。 本発明の第二実施形態のポート設定情報生成処理のフローチャートである。 本発明の第二の実施の形態のスイッチを取り外した場合の管理サーバ及びスイッチのシーケンス図である。 本発明の第二実施形態のリンク状態情報の構成を示す図である。 本発明の第二実施形態のリンク状態情報の変形例の構成を示す図である。 本発明の第二実施形態のリンク状態情報の変形例の構成を示す図である。 本発明の第三実施形態のネットワーク運用管理システムの構成を示す図である。 本発明の第三実施形態のネットワーク運用管理システムに、新規スイッチが追加された場合のネットワーク運用管理システムの構成を示す図である。 本発明の第三実施形態の新規スイッチが追加された場合のスイッチに対応するポート設定情報の変化を示す図である。 本発明の第三実施形態の新規スイッチに対応するポート設定情報を示す図である。 本発明の第三実施形態のポート設定情報生成処理のフローチャートである。 本発明の第四実施形態のMAC VLAN振分情報の構成を示す図である。 本発明の第四実施形態のMAC VLANを利用したネットワーク運用管理システムの構成を示す図である。 本発明の第四実施形態の新規スイッチが追加された場合のスイッチに対応するポート設定情報の変化を示す図である。 本発明の第四実施形態の新規スイッチに対応するポート設定情報を示す図である。 本発明のネットワークが事前に設計される場合の管理サーバのシーケンス図である。

Claims (18)

  1. 演算処理をするプロセッサと、前記プロセッサに接続される記憶部と、前記プロセッサに接続され、ネットワークに接続されるインタフェースと、を備え、前記ネットワークを構築するスイッチを管理する管理計算機であって、
    前記記憶部は、前記スイッチの動作を制御する構成定義情報、前記スイッチ間の接続関係を示すネットワーク構成情報及び前記スイッチに備わるポートに接続される利用者端末が前記ネットワークに接続する権限があるか否かを認証するクライアント認証を前記各ポートで実行するか否かを示すポート設定情報を格納し、
    前記プロセッサは、
    前記ネットワーク構成情報に基づいて、前記スイッチに備わる各ポートで前記クライアント認証が実行されるか否かを判定し、
    前記判定結果に基づいて、前記各ポートで前記クライアント認証が実行されるか否かを前記ポート設定情報に設定することを特徴とする管理計算機。
  2. 前記記憶部は、前記スイッチが前記クライアント認証を実行できるか否かを示すスイッチ情報が格納し、
    前記プロセッサは、
    前記スイッチ情報に基づいて、前記クライアント認証を実行できるスイッチか否かを判定し、
    前記クライアント認証を実行できるスイッチであると判定された場合に、前記ネットワーク構成情報に基づいて、前記クライアント認証を実行できるスイッチに備わる各ポートで前記クライアント認証が実行されるか否かを判定し、
    前記判定結果に基づいて、前記各ポートで前記クライアント認証が実行されるか否かを前記ポート設定情報に設定することを特徴とする請求項1に記載の管理計算機。
  3. 前記プロセッサは、
    前記ネットワーク内に備わるスイッチから、リンク状態情報を送信する送信元スイッチの識別子、前記送信元スイッチに接続される対向スイッチの識別子、前記スイッチに備わるポートのうち前記対向スイッチに接続されるポートの識別子及び前記対向スイッチに備わるポートのうち前記送信元スイッチに接続される対向ポートの識別子を含むリンク状態情報を受信し、
    前記受信したリンク状態情報に基づいて、前記ネットワーク構成情報を設定し、
    前記設定されたネットワーク構成情報に基づいて、前記スイッチに備わる各ポートで前記クライアント認証が実行されるか否かを判定し、
    前記判定結果に基づいて、前記各ポートで前記クライアント認証が実行されるか否かを前記ポート設定情報に設定することを特徴とする請求項1に記載の管理計算機。
  4. 前記管理計算機は、
    前記スイッチ情報及び前記リンク状態情報を受け付ける入力部を備えることを特徴とする請求項3に記載の管理計算機。
  5. 新規スイッチが前記ネットワークに追加されると、
    前記プロセッサは、
    前記新規スイッチが接続された既設スイッチから、前記既設スイッチの識別子、前記既設スイッチに備わるポートのうち前記新規スイッチに接続される既設ポートの識別子、前記新規スイッチの識別子及び前記新規スイッチに備わるポートのうち前記既設スイッチに接続される新規ポートの識別子を含むリンク状態情報を受信し、
    前記受信したリンク状態情報に基づいて、前記新規スイッチ及び前記既設スイッチに備わる各ポートで前記クライアント認証が実行されるか否かを判定し、
    前記判定結果に基づいて、前記各ポートで前記クライアント認証が実行されるか否かを前記新規スイッチ及び前記既設スイッチに対応する前記ポート設定情報に設定することを特徴とする請求項1に記載の管理計算機。
  6. 新規スイッチがネットワークに追加されると、
    前記プロセッサは、
    前記新規スイッチが接続された既設スイッチの接続関係を示すリンク状態情報を、前記既設スイッチから受信すると、
    前記受信したリンク状態情報に基づいて、前記新規スイッチに備わるポートのうち、前記利用者端末に接続可能なポートで前記クライアント認証が実行されるように、前記新規スイッチ及び前記既設スイッチに対応する前記ポート設定情報を設定することを特徴とする請求項1に記載の管理計算機。
  7. 削除スイッチがネットワークから取り外されると、
    前記プロセッサは、
    前記削除スイッチが取り外された既設スイッチから、前記削除スイッチが前記既設スイッチから取り外されたことを示し、前記既設スイッチの識別子及び前記既設スイッチに備わるポートのうち前記削除スイッチが取り外されたポートの識別子を含むリンク状態情報を受信し、
    前記受信したリンク状態情報に基づいて、前記既設スイッチに備わる各ポートで前記クライアント認証が実行されるか否かを判定し、
    前記判定結果に基づいて、前記各ポートで前記クライアント認証が実行されるか否かを前記既設スイッチに対応する前記ポート設定情報に設定することを特徴とする請求項1に記載の管理計算機。
  8. 削除スイッチがネットワークから取り外されると、
    前記プロセッサは、
    前記削除スイッチが取り外された既設スイッチの接続関係を示すリンク状態情報を、前記既設スイッチから受信すると、
    前記受信したリンク状態情報に基づいて、前記既設スイッチに備わるポートのうち、前記削除スイッチが取り外されたポートで前記クライアント認証が実行されるように、前記既設スイッチに対応する前記ポート設定情報を設定することを特徴とする請求項1に記載の管理計算機。
  9. 前記ネットワークは、前記ネットワークを構成する各スイッチがVLAN識別子によって一意に識別される一つ又は複数のVLANを収容するネットワークであり、
    前記ポート設定情報は、前記ポートに割り当てられたVLAN識別子を含み、
    新規スイッチが前記ネットワークに追加されると、
    前記プロセッサは、
    前記新規スイッチが接続された既設スイッチから、前記既設スイッチの識別子、前記既設スイッチに備わるポートのうち新規スイッチに接続される既設ポートの識別子、前記新規スイッチの識別子及び前記新規スイッチに備わるポートのうち前記既設スイッチに接続される新規ポートの識別子を含むリンク状態情報を受信し、
    前記既設スイッチに対応する前記ポート設定情報を参照し、前記既設ポートに割り当てられたVLAN識別子を取得し、
    前記取得されたVLAN識別子を前記新規ポートに割り当てるように、前記新規スイッチに対応する前記ポート設定情報を設定することを特徴とする請求項1に記載の管理計算機。
  10. 前記VLAN識別子は、前記管理計算機が前記スイッチにアクセスするための管理用VLAN識別子を含み、
    前記プロセッサは、
    前記既設スイッチに対応するポート設定情報を参照し、
    前記既設スイッチのいずれかのポートに前記管理VLAN識別子が割り当てられていた場合、
    前記管理VLAN識別子及び前記取得された前記既設ポートに割り当てられたVLAN識別子が前記新規ポートに割り当てられるように、前記新規スイッチに対応するポート設定情報を設定し、
    前記既設ポートに前記管理VLAN識別子が割り当てられるように、前記既設スイッチに対応するポート設定情報を設定することを特徴とする請求項9に記載の管理計算機。
  11. 前記ネットワークは、前記ネットワークを構成する各スイッチがVLAN識別子によって一意に識別される一つ又は複数のVLANを収容するネットワークであり、
    前記ポート設定情報は、前記ポートに割り当てられたVLAN識別子を含み、
    新規スイッチが前記ネットワークに追加されると、
    前記プロセッサは、
    前記新規スイッチに接続された既設スイッチから、前記既設スイッチの識別子、前記既設スイッチに備わるポートのうち新規スイッチに接続される既設ポートの識別子、前記新規スイッチの識別子及び前記新規スイッチに備わるポートのうち前記既設スイッチに接続される新規ポートの識別子を含むリンク状態情報を受信し、
    前記既設スイッチに対応する前記ポート設定情報を参照し、
    前記既設スイッチに備わる全てのポートに割り当てられた全てのVLAN識別子を取得し、
    前記取得されたVLAN識別子を前記新規ポートに割り当てるように、前記新規スイッチに対応する前記ポート設定情報を設定することを特徴とする請求項1に記載の管理計算機。
  12. 前記ネットワークは、前記ネットワークを構成する各スイッチがVLAN識別子によって一意に識別される一つ又は複数のVLANを収容するネットワークであり、
    前記ポート設定情報は、前記ポートに割り当てられたVLAN識別子及び前記ポートでVLAN機能が有効化されているか否かを示すポート種別を含み、
    新規スイッチが前記ネットワークに追加されると、
    前記プロセッサは、
    前記新規スイッチが接続された既設スイッチから、前記既設スイッチの識別子、前記既設スイッチに備わるポートのうち新規スイッチに接続される既設ポートの識別子、前記新規スイッチの識別子及び前記新規スイッチに備わるポートのうち前記既設スイッチに接続される新規ポートの識別子を含むリンク状態情報を受信し、
    前記既設ポートのポート種別をVLAN機能が無効化されるアクセスに設定されるように、前記既設スイッチに対応する前記ポート設定情報を設定し、
    前記新規ポートのポート種別をVLAN機能が有効化されるトランクに設定され、かつ前記新規スイッチに備わるポートのうち前記新規スイッチ以外のポートのポート種別を前記アクセスに設定されるように、前記新規スイッチに対応する前記ポート設定情報を設定することを特徴とする請求項1に記載の管理計算機。
  13. 前記ネットワークは、前記ネットワークを構成する各スイッチがVLAN識別子によって一意に識別される一つ又は複数のVLANを収容するネットワークであり、
    前記ポート設定情報は、前記ポートに割り当てられたVLAN識別子及び前記ポートでVLAN機能が有効化されているか否かを示すポート種別を含み、
    前記ネットワークから削除スイッチが削除されると、
    前記プロセッサは、
    前記削除スイッチが取り外された既設スイッチから、前記削除スイッチが前記既設スイッチから取り外されたことを示し、前記既設スイッチの識別子及び前記既設スイッチに備わるポートのうち前記削除スイッチが取り外された既設ポートの識別子を含むリンク状態情報を受信し、
    前記既設ポートのポート種別をVLAN機能が有効化されるトランクに設定されるように、前記既設スイッチに対応するポート設定情報を設定することを特徴とする請求項1に記載の管理計算機。
  14. 前記ポート設定情報は、前記ポートに割り当てられているVLAN識別子を示す情報を含み、
    前記ネットワークから削除スイッチが削除されると、
    前記プロセッサは、
    前記削除スイッチが取り外された既設スイッチから、前記削除スイッチが前記既設スイッチから取り外されたことを示し、前記既設スイッチの一意な識別子及び前記既設スイッチに備わるポートのうち前記削除スイッチが取り外された既設ポートの識別子を含むリンク状態情報を受信し、
    前記既設スイッチに対応するポート設定情報を参照し、
    前記既設ポートに前記管理計算機が前記スイッチにアクセスするための管理VLAN識別子が割り当てられていた場合、
    前記既設ポートに割り当てられた前記管理VLAN識別子を、前記既設スイッチに対応するポート設定情報から削除するように、前記既設スイッチに対応する前記ポート設定情報を設定することを特徴とする請求項13に記載の管理計算機。
  15. 前記管理計算機は、前記ネットワークを介して認証サーバに接続され、
    前記認証サーバは、前記スイッチによって送信される認証要求メッセージに基づいて、前記利用者端末が前記ネットワークに接続する権限があるか否かを認証し、
    新規スイッチが前記ネットワークに追加されると、
    前記プロセッサは、前記新規スイッチによって送信される認証要求メッセージの送信先に前記認証サーバの識別子が含まれるように、前記新規スイッチに対応する構成定義情報を設定することを特徴とする請求項1に記載の管理計算機。
  16. ネットワークを構築するスイッチと、前記ネットワークに接続され、前記ネットワークを管理する管理計算機と、前記スイッチに接続される利用者端末と、を備える計算機システムであって、
    前記スイッチは、演算処理をする第一プロセッサと、前記第一プロセッサに接続される第一記憶部と、前記ネットワークに接続される機器を接続するポートと、を備え、
    前記管理計算機は、演算処理をする第二プロセッサと、前記第二プロセッサに接続される第二記憶部と、前記ネットワークに接続される第二インタフェースと、を備え、
    前記第二記憶部は、前記スイッチ間の接続関係を示すネットワーク構成情報を格納し、
    前記第二プロセッサは、
    前記ネットワーク構成情報に基づいて、前記スイッチに備わるポートで、前記ネットワークに接続する権限があるか否かを認証するクライアント認証が実行されるか否かを判定し、
    前記判定結果に基づいて、前記各ポートで前記クライアント認証が実行されるか否かを前記スイッチに設定することを特徴とする計算機システム。
  17. 新規スイッチが前記ネットワークに追加されると、
    前記新規スイッチが接続された既設スイッチに備わる前記第一プロセッサは、前記既設スイッチの接続関係を示すリンク状態を送信し、
    前記第二プロセッサは、
    前記リンク状態情報を受信すると、
    前記受信したリンク状態情報に基づいて、前記新規スイッチに備わるポートのうち、前記利用者端末に接続可能なポートで前記クライアント認証が実行されるように、前記スイッチを設定することを特徴とする請求項16に記載の計算機システム。
  18. 削除スイッチが前記ネットワークから取り外されると、
    前記削除スイッチが取り外された既設スイッチに備わる前記第一プロセッサは、前記既設スイッチの接続関係を示すリンク状態を送信し、
    前記第二プロセッサは、
    前記リンク状態情報を受信すると、
    前記受信したリンク状態情報に基づいて、前記既設スイッチに備わるポートのうち、前記削除スイッチが取り外されたポートで前記クライアント認証が実行されるように前記スイッチを設定することを特徴とする請求項16に記載の計算機システム。
JP2006232304A 2006-08-29 2006-08-29 管理計算機、計算機システム及びスイッチ Expired - Fee Related JP4714111B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006232304A JP4714111B2 (ja) 2006-08-29 2006-08-29 管理計算機、計算機システム及びスイッチ
US11/819,308 US7826393B2 (en) 2006-08-29 2007-06-26 Management computer and computer system for setting port configuration information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006232304A JP4714111B2 (ja) 2006-08-29 2006-08-29 管理計算機、計算機システム及びスイッチ

Publications (3)

Publication Number Publication Date
JP2008060692A JP2008060692A (ja) 2008-03-13
JP2008060692A5 JP2008060692A5 (ja) 2008-12-25
JP4714111B2 true JP4714111B2 (ja) 2011-06-29

Family

ID=39151368

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006232304A Expired - Fee Related JP4714111B2 (ja) 2006-08-29 2006-08-29 管理計算機、計算機システム及びスイッチ

Country Status (2)

Country Link
US (1) US7826393B2 (ja)
JP (1) JP4714111B2 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8418241B2 (en) 2006-11-14 2013-04-09 Broadcom Corporation Method and system for traffic engineering in secured networks
JP2009217893A (ja) 2008-03-11 2009-09-24 Funai Electric Co Ltd ディスク装置のトレー
JP4892745B2 (ja) * 2008-03-26 2012-03-07 Necフィールディング株式会社 認証スイッチの接続を認証する装置及びその方法
JP2010136014A (ja) * 2008-12-03 2010-06-17 Hitachi Information & Communication Engineering Ltd Macアドレス自動認証システム
US8918631B1 (en) * 2009-03-31 2014-12-23 Juniper Networks, Inc. Methods and apparatus for dynamic automated configuration within a control plane of a switch fabric
US9425976B2 (en) * 2009-08-19 2016-08-23 Hewlett Packard Enterprise Development Lp Reporting operational information of a network device
JP5372711B2 (ja) * 2009-11-13 2013-12-18 アラクサラネットワークス株式会社 複数認証サーバを有効利用する装置、システム
US9130835B1 (en) 2010-12-01 2015-09-08 Juniper Networks, Inc. Methods and apparatus for configuration binding in a distributed switch
WO2012106883A1 (zh) * 2011-07-12 2012-08-16 华为技术有限公司 二层网络设备的开局部署方法、装置与***
US8892696B1 (en) * 2012-03-08 2014-11-18 Juniper Networks, Inc. Methods and apparatus for automatic configuration of virtual local area network on a switch device
EP2833587A4 (en) 2012-03-30 2015-12-30 Nec Corp CONTROL DEVICE, COMMUNICATION DEVICE, COMMUNICATION PROCESS AND PROGRAM
JP6070280B2 (ja) * 2013-03-04 2017-02-01 日本電気株式会社 ネットワーク認証システム、ネットワーク認証装置、ネットワーク認証方法、及びネットワーク認証プログラムネットワーク認証装置の負荷分散方法
CN104283858B (zh) * 2013-07-09 2018-02-13 华为技术有限公司 控制用户终端接入的方法、装置及***
US8949949B1 (en) * 2014-02-11 2015-02-03 Level 3 Communications, Llc Network element authentication in communication networks
US9647882B1 (en) * 2014-05-29 2017-05-09 Amazon Technologies, Inc. Network topology assisted device provisioning
US9712489B2 (en) * 2014-07-29 2017-07-18 Aruba Networks, Inc. Client device address assignment following authentication
CN105791257A (zh) * 2014-12-26 2016-07-20 上海斐讯数据通信技术有限公司 端口获得聚合口认证配置的方法
JP6281516B2 (ja) * 2015-03-27 2018-02-21 日本電気株式会社 ネットワーク認証システム、ネットワーク認証方法および認証サーバ
US9961076B2 (en) 2015-05-11 2018-05-01 Genesys Telecommunications Laboratoreis, Inc. System and method for identity authentication
JP2017168915A (ja) * 2016-03-14 2017-09-21 Necプラットフォームズ株式会社 スイッチ装置、制御方法およびプログラム
CN107241412B (zh) * 2017-06-09 2020-11-27 台州市吉吉知识产权运营有限公司 一种无线接入设备mac地址保存方法及***
US10996936B2 (en) * 2017-06-27 2021-05-04 Intel Corporation Techniques for distributing code to components of a computing system
EP3721596B1 (en) * 2017-12-04 2022-11-02 Telefonaktiebolaget LM Ericsson (publ) Network management device and centralized authorization server for netconf
US11023402B2 (en) 2019-07-02 2021-06-01 National Instruments Corporation Switch pruning in a switch fabric bus chassis

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10294731A (ja) * 1997-04-21 1998-11-04 Hitachi Ltd ネットワーク運用管理システム、管理マネージャ、管理コンソール、記憶媒体およびネットワーク運用管理方法
JP2002135282A (ja) * 2000-10-23 2002-05-10 Hitachi Cable Ltd 仮想lan設定方法、その方法を用いたネットワーク管理システム、スイッチングハブ及びネットワーク管理装置
JP2002314573A (ja) * 2001-04-10 2002-10-25 Allied Tereshisu Kk ネットワーク管理装置、ネットワーク管理プログラム、ネットワーク管理方法、及びコンピュータネットワークシステム
JP2006013732A (ja) * 2004-06-24 2006-01-12 Hitachi Ltd ルーティング装置および情報処理装置の認証方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7035858B2 (en) * 2002-04-29 2006-04-25 Sun Microsystems, Inc. System and method dynamic cluster membership in a distributed data system
US8463879B2 (en) * 2004-04-19 2013-06-11 Hewlett-Packard Development Company, L.P. Method and apparatus for automatic verification of a machine-readable map of networked devices
US20060164199A1 (en) * 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
JP4620527B2 (ja) 2005-06-03 2011-01-26 株式会社日立製作所 パケット通信装置
US8775571B2 (en) * 2005-06-07 2014-07-08 Extreme Networks, Inc. Methods, systems, and computer program products for dynamic network access device port and user device configuration for implementing device-based and user-based policies
JP4517997B2 (ja) 2005-10-05 2010-08-04 株式会社日立製作所 ネットワーク管理装置およびネットワークシステム
US7623533B2 (en) * 2005-10-14 2009-11-24 Hewlett-Packard Development Company, L.P. Switch meshing using multiple directional spanning trees

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10294731A (ja) * 1997-04-21 1998-11-04 Hitachi Ltd ネットワーク運用管理システム、管理マネージャ、管理コンソール、記憶媒体およびネットワーク運用管理方法
JP2002135282A (ja) * 2000-10-23 2002-05-10 Hitachi Cable Ltd 仮想lan設定方法、その方法を用いたネットワーク管理システム、スイッチングハブ及びネットワーク管理装置
JP2002314573A (ja) * 2001-04-10 2002-10-25 Allied Tereshisu Kk ネットワーク管理装置、ネットワーク管理プログラム、ネットワーク管理方法、及びコンピュータネットワークシステム
JP2006013732A (ja) * 2004-06-24 2006-01-12 Hitachi Ltd ルーティング装置および情報処理装置の認証方法

Also Published As

Publication number Publication date
JP2008060692A (ja) 2008-03-13
US20080056161A1 (en) 2008-03-06
US7826393B2 (en) 2010-11-02

Similar Documents

Publication Publication Date Title
JP4714111B2 (ja) 管理計算機、計算機システム及びスイッチ
US8910248B2 (en) Terminal connection status management with network authentication
US8380819B2 (en) Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network
EP3461072B1 (en) Access control in a vxlan
US8024789B2 (en) Communication apparatus, program and method
US20120294192A1 (en) Method and apparatus of connectivity discovery between network switch and server based on vlan identifiers
US11153346B2 (en) Secure network device management in a telecommunications network
US20070064624A1 (en) System and method for floating port configuration
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
JP2003131923A (ja) 仮想プライベートボリューム方式及びシステム
JP5143199B2 (ja) ネットワーク中継装置
US20120054359A1 (en) Network Relay Device and Frame Relaying Control Method
US20090049161A1 (en) Server management program in network system
US20120060209A1 (en) Network devices and authentication methods thereof
CN104221331A (zh) 用于以太网交换机的没有查找表的第2层分组交换
US20140195681A1 (en) Managing actions of a network device
US20090207756A1 (en) Network configuration management method
RU2602333C2 (ru) Сетевая система, способ обработки пакетов и носитель записи
US20210250235A1 (en) Diagram generation method and storage medium
US20190171610A1 (en) Managing actions of a network device based on policy settings corresponding to a removable wireless communication device
US9678772B2 (en) System, method, and computer-readable medium
US20210264051A1 (en) Blockchain system, blockchain management apparatus, network control apparatus, method and program
JP2013034096A (ja) アクセス制御システム、端末装置、中継装置及びアクセス制御方法
US9147172B2 (en) Source configuration based on connection profile
CN113472625B (zh) 基于移动互联网的透明桥接方法、***、设备及存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081106

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110325

R150 Certificate of patent or registration of utility model

Ref document number: 4714111

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees