| 【発明の名称】 |
ネットワーク機器 |
| 【発明者】 |
【氏名】大平 浩貴
|
| 【要約】 |
【課題】IPアドレスブロック等により外部機器からのアクセスコントロールを行うに際し、最小限の項目により設定が行えるとともに、マルチプレフィクス環境の人為的な認識に依存することなく適切な設定が行えるネットワーク機器を提供する。
【構成】所定のアドレスに対する通信の許可もしくは拒否の設定により外部機器からのアクセスコントロールを行うネットワーク機器であって、アドレスもしくはアドレス範囲を入力させるアドレス入力欄と、当該アドレス入力欄に入力されたアドレスもしくはアドレス範囲に該当する外部機器にアクセスを許可するか拒否するかを選択させる許可/拒否選択欄と、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視するか否かを選択させる選択欄とを含むユーザインタフェースを提供するユーザインタフェース手段と、上記ユーザインタフェース手段を介して設定された内容に従い、到来するパケットの許可もしくは拒否を行うパケットフィルタリング手段とを備える。 |
【特許請求の範囲】
【請求項1】
所定のアドレスに対する通信の許可もしくは拒否の設定により外部機器からのアクセスコントロールを行うネットワーク機器であって、
アドレスもしくはアドレス範囲を入力させるアドレス入力欄と、当該アドレス入力欄に入力されたアドレスもしくはアドレス範囲に該当する外部機器にアクセスを許可するか拒否するかを選択させる許可/拒否選択欄と、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視するか否かを選択させる選択欄とを含むユーザインタフェースを提供するユーザインタフェース手段と、
上記ユーザインタフェース手段を介して設定された内容に従い、到来するパケットの許可もしくは拒否を行うパケットフィルタリング手段とを備えたことを特徴とするネットワーク機器。
【請求項2】
所定のアドレスに対する通信の許可もしくは拒否の設定により外部機器からのアクセスコントロールを行うネットワーク機器であって、
ネットワークを流れるプレフィクスにより影響されないアドレス部分を入力させるアドレス入力欄と、当該アドレス入力欄に入力されたアドレス部分に該当する外部機器にアクセスを許可するか拒否するかを選択させる許可/拒否選択欄とを含むユーザインタフェースを提供するユーザインタフェース手段と、
上記ユーザインタフェース手段を介して設定された内容に従い、到来するパケットの許可もしくは拒否を行うパケットフィルタリング手段とを備えたことを特徴とするネットワーク機器。
【請求項3】
請求項1に記載のネットワーク機器において、
当該ネットワーク機器が接続されるネットワークがマルチプレフィクス環境であるか否かを認識するマルチプレフィクス環境認識手段を備え、
上記ユーザインタフェース手段は、上記マルチプレフィクス環境認識手段の認識結果に基づき、上記選択欄の有効・無効を制御することを特徴とするネットワーク機器。
【請求項4】
請求項3に記載のネットワーク機器において、
上記マルチプレフィクス環境認識手段は、ネットワーク内を流れるルータ広告を監視し、その中に含まれるプレフィックスが複数種類ある場合にマルチプレフィクス環境であると認識することを特徴とするネットワーク機器。
【請求項5】
請求項4に記載のネットワーク機器において、
上記マルチプレフィクス環境認識手段は、上記ルータ広告により到着したプレフィクスと到着時刻とを対にして管理し、一定時間以上古いプレフィクスにつき破棄することを特徴とするネットワーク機器。
【請求項6】
請求項4または5のいずれか一項に記載のネットワーク機器において、
上記マルチプレフィクス環境認識手段は、上記ユーザインタフェース手段からの確認要求に対し、保持しているプレフィクスのエントリ数を返答することを特徴とするネットワーク機器。
【請求項7】
請求項3乃至6のいずれか一項に記載のネットワーク機器において、
上記ユーザインタフェース手段は、現状がマルチプレフィクス環境にあり、かつユーザが入力したアドレスがグローバルユニキャストアドレスである場合に、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視するか否かの選択肢を有効化することを特徴とするネットワーク機器。
【請求項8】
請求項3乃至6のいずれか一項に記載のネットワーク機器において、
上記ユーザインタフェース手段は、ユーザが入力したアドレスがグローバルユニキャストアドレスではないにもかかわらず、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視することを選択した場合に、不適切な設定であることをユーザに警告することを特徴とするネットワーク機器。
【請求項9】
請求項7または8のいずれか一項に記載のネットワーク機器において、
上記ユーザインタフェース手段は、グローバルユニキャストアドレスであるか否かを、アドレス先頭の所定ビットの値により判断することを特徴とするネットワーク機器。
【請求項10】
請求項7または8のいずれか一項に記載のネットワーク機器において、
上記ユーザインタフェース手段は、グローバルユニキャストアドレスであるか否かを、予め設定されたアドレスブロックの範囲内であるか否かにより判断することを特徴とするネットワーク機器。
【請求項11】
所定のアドレスに対する通信の許可もしくは拒否の設定により外部機器からネットワーク機器へのアクセスコントロールを行う方法であって、
アドレスもしくはアドレス範囲を入力させるアドレス入力欄と、当該アドレス入力欄に入力されたアドレスもしくはアドレス範囲に該当する外部機器にアクセスを許可するか拒否するかを選択させる許可/拒否選択欄と、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視するか否かを選択させる選択欄とを含むユーザインタフェースを提供するユーザインタフェース提供工程と、
上記ユーザインタフェース提供工程を介して設定された内容に従い、到来するパケットの許可もしくは拒否を行うパケットフィルタリング工程とを備えたことを特徴とするアクセスコントロール方法。
【請求項12】
所定のアドレスに対する通信の許可もしくは拒否の設定により外部機器からネットワーク機器へのアクセスコントロールを行う方法であって、
ネットワークを流れるプレフィクスにより影響されないアドレス部分を入力させるアドレス入力欄と、当該アドレス入力欄に入力されたアドレス部分に該当する外部機器にアクセスを許可するか拒否するかを選択させる許可/拒否選択欄とを含むユーザインタフェースを提供するユーザインタフェース提供工程と、
上記ユーザインタフェース手段を介して設定された内容に従い、到来するパケットの許可もしくは拒否を行うパケットフィルタリング工程とを備えたことを特徴とするアクセスコントロール方法。
【請求項13】
請求項11に記載のアクセスコントロール方法において、
ネットワーク機器が接続されるネットワークがマルチプレフィクス環境であるか否かを認識するマルチプレフィクス環境認識工程を備え、
上記ユーザインタフェース提供工程は、上記マルチプレフィクス環境認識工程の認識結果に基づき、上記選択欄の有効・無効を制御することを特徴とするアクセスコントロール方法。
【請求項14】
請求項13に記載のアクセスコントロール方法において、
上記マルチプレフィクス環境認識工程は、ネットワーク内を流れるルータ広告を監視し、その中に含まれるプレフィックスが複数種類ある場合にマルチプレフィクス環境であると認識することを特徴とするアクセスコントロール方法。
【請求項15】
請求項14に記載のアクセスコントロール方法において、
上記マルチプレフィクス環境認識工程は、上記ルータ広告により到着したプレフィクスと到着時刻とを対にして管理し、一定時間以上古いプレフィクスにつき破棄することを特徴とするアクセスコントロール方法。
【請求項16】
請求項14または15のいずれか一項に記載のアクセスコントロール方法において、
上記マルチプレフィクス環境認識工程は、上記ユーザインタフェース提供工程からの確認要求に対し、保持しているプレフィクスのエントリ数を返答することを特徴とするアクセスコントロール方法。
【請求項17】
請求項13乃至16のいずれか一項に記載のアクセスコントロール方法において、
上記ユーザインタフェース提供工程は、現状がマルチプレフィクス環境にあり、かつユーザが入力したアドレスがグローバルユニキャストアドレスである場合に、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視するか否かの選択肢を有効化することを特徴とするアクセスコントロール方法。
【請求項18】
請求項13乃至16のいずれか一項に記載のアクセスコントロール方法において、
上記ユーザインタフェース提供工程は、ユーザが入力したアドレスがグローバルユニキャストアドレスではないにもかかわらず、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視することを選択した場合に、不適切な設定であることをユーザに警告することを特徴とするアクセスコントロール方法。
【請求項19】
請求項17または18のいずれか一項に記載のアクセスコントロール方法において、
上記ユーザインタフェース提供工程は、グローバルユニキャストアドレスであるか否かを、アドレス先頭の所定ビットの値により判断することを特徴とするアクセスコントロール方法。
【請求項20】
請求項17または18のいずれか一項に記載のアクセスコントロール方法において、
上記ユーザインタフェース提供工程は、グローバルユニキャストアドレスであるか否かを、予め設定されたアドレスブロックの範囲内であるか否かにより判断することを特徴とするアクセスコントロール方法。
|
【発明の詳細な説明】【技術分野】
【0001】
本発明は、IP(Internet Protocol)アドレスブロック等により外部機器からのアクセスコントロールを行うネットワーク機器に関する。
【背景技術】
【0002】
ネットワークを介して複数の外部機器と接続されたネットワーク機器においては、組織の運用ルールやネットワーク機器の性質に応じ、所定の機器からのアクセスを許可あるいは拒否したいというニーズがある。例えば、企業向けのネットワークプリンタ(ネットワーク機器)では、プリンタの設置された部署内の機器からの印刷のみを許可(他部署からの印刷を拒否)したいというニーズがある。
【0003】
このようなアクセスコントロールの方式としては種々のものがあるが、その中でも原始的ではあるが非常に簡易に設定できる方式として、相手のIPアドレスを指定し、そのIPアドレスとの通信を許可したり拒否したりする方式がある。
【0004】
この手法で、アクセスコントロールする場合、IPアドレス単体では基本的に1台の機器との通信しかコントロールできない。そのため、一定の範囲のIPアドレス(アドレスブロック)を定義し、それらとの通信をコントロールすることが一般的である。アドレスブロックの表記法としては、「/」(スラッシュ)による表記法が利用されてきた。例えば、IPv4(Internet Protocol version 4)において「123.134.145.0/24」と表記した場合、表記されたIPアドレスの上位24ビットである「123.134.145」という部分までが一致するIPアドレスを示すことになる。そして、それらの機器群に対して、通信許可ないしは通信拒否を設定する。なお、「/」の後にIPアドレスの全ビット数を指定することにより、範囲ではなくIPアドレスそのものを指定することもできる。
【0005】
図1はIPアドレスブロックでアクセスコントロールする場合の従来のネットワーク機器が有するユーザインタフェースの例を示す図であり、機器管理者(ユーザ)に対して、IPアドレスブロックの入力を促す機能と、そのアドレスブロックとの通信を許可するか拒否するかを選択させる機能とが提供されている。すなわち、「IP address block」の欄にIPアドレスブロックを入力し、そのIPアドレスブロックに対して通信拒否する場合は「deny to access」のラジオボタンを選択し、通信許可する場合は「allow to access」のラジオボタンを選択する。なお、図示の例では3つのIPアドレスブロックを指定できるようになっている。
【0006】
このように、機器管理者はコントロールしたいIPアドレスブロックを入力し、それらとの通信の許可/拒否を設定するだけで、当該ネットワーク機器へのアクセスコントロールを行うことができる。
【0007】
このような、原始的ではあるが便利なIPアドレスブロックによるアクセスコントロールは、IPv4だけでなくIPv6(Internet Protocol version 6)においても利用可能である。
【0008】
なお、出願人は出願時点までに本発明に関連する公開された先行技術文献を発見することができなかった。よって、先行技術文献情報を開示していない。
【発明の開示】
【発明が解決しようとする課題】
【0009】
ところで、IPv6環境においてマルチホーミング(multi-homing)を行った場合、上述したようなIPアドレスブロックの指定によるアクセスコントロールには問題がある。マルチホーミングとは一つのネットワークが複数のISP(Internet Service Provider)と接続性を持った状態である。あるネットワークがインターネットに接続するためにはISPへの接続性を持たなければならないが、ISPの障害発生等に備えて複数のISPとの接続性を持つことが多く、このような場合にマルチホーミングとなる。
【0010】
ホーミング数がnのマルチホーミング環境である場合、そのネットワーク内にはISP毎に異なったプレフィクスが同時に流れ、n個のプレフィクスが配布されることになる。この場合、ネットワーク内の機器それぞれにn個のグローバルユニキャストアドレスが設定されることになる。従って、あるネットワーク機器ないしは機器群からのアクセスを許可ないしは拒否したい場合、このn個のプレフィクスによるn種類のアドレス全てからのアクセスを許可/拒否しなければならない。
【0011】
図2はマルチホーミング環境においてIPアドレスブロックでアクセスコントロールする場合の機器管理者の操作例を示すシーケンス図であるが、マルチホーミング環境であることを把握しているネットワーク管理者M1から機器管理者M2にマルチホーミング環境であることが通知された後、機器管理者M2はネットワーク機器10に対して、同じ対象につきホーミング数n(ここでは3)だけIPアドレスブロックの設定を行わなければならない。
【0012】
このように、指定したいアドレスブロック数×ホーミング数の設定を行わなければならないため、操作が煩雑であるとともに設定ミスを誘発しやすい。設定ミスは、本来制限されるべき機器からアクセスできてしまったり、許可されるべき機器がアクセスできなかったりといったことにつながり、セキュリティおよびサービス性の低下につながる。
【0013】
また、ネットワークプリンタ等のネットワーク機器10におけるアクセスコントロールのための設定情報を記憶する領域はサイズが限られていることから、実質的に設定できる対象数はホーミング数n分の1となってしまい、必要とされる設定が行えなくなる事態も考えられる。
【0014】
また、ISPにおいてプレフィクスのリナンバリングが発生した場合、組織内の全機器のアクセスコントロール設定を変更しなければならないため、例えば数千台の機器を持つ組織では従来に比してn倍の大きな作業量が発生してしまう。
【0015】
更に、マルチホーミング環境であるかどうかはネットワーク管理者M1が把握しており、そのネットワーク管理者M1から機器管理者M2に対しての明示的な指示があって初めて、このような「マルチホーミング環境への対応」が行われるものであるため、ネットワーク管理者M1がそのような通知を忘れた場合、アクセスコントロールはほとんど意味のないものとなる。
【0016】
一方、上述したホーミング数だけIPアドレスブロックを設定する方法に代え、ビットマスクの指定により変動分を無視するようにした方法がある。
【0017】
図3はIPv6アドレスのプレフィックスの構成を示す図であり、プレフィクスは全体で64bitであるが、それらのうち、上位48bitのFP(Format Prefix)、TLA ID(Top Level Aggregation Identifiers)、sTLA ID(sub Top Level Aggregation Identifiers)、NLA ID(Next Level Aggregation Identifiers)は全てISP側で決められ、SLA ID(Site Level Aggregation Identifiers)はIPアドレスの割り当てを受けた組織内で自由に設定(一般的に、SLA IDは組織内の部署を単位に設定)できる。従って、ISPの違いによる変動分はTLA、sTLA、NLAの部分だけであるため、この部分をマスクすることにより変動分を無視することができる。
【0018】
図4はビットマスクによりアクセスコントロールする場合の機器管理者の操作例を示すシーケンス図であり、マルチホーミング環境であることを把握しているネットワーク管理者M1から機器管理者M2にマルチホーミング環境であることが通知された後、機器管理者M2はネットワーク機器10に対してIPアドレスブロックおよびビットマスクの設定を行う。すなわち、ビットマスクを「0:0:0:ffff::」とすることで、128bit中、48bit目から63bit目を比較対象から外し、マルチホーミング時の変動部分であるTLA、sTLA、NLAを無視してSLAのみを比較対象とすることができ、複数種類のプレフィクスを持つIPアドレスブロックを一括して許可/拒否することができる。
【0019】
しかしながら、このようなマスク設定では、どのアドレス部分を対象とするのか一目では判りづらいとともに、設定にはビット演算するという手間がかかり、ミスを誘発しやすいという問題がある。
【0020】
また、前述した方法と同様に、マルチホーミング環境であるかどうかを把握しているネットワーク管理者M1から機器管理者M2に対しての明示的な指示があって初めて、このような「マルチホーミング環境への対応」が行われるものであるため、ネットワーク管理者M1がそのような通知を忘れた場合、アクセスコントロールはほとんど意味のないものとなる。
【0021】
一方、上述したマルチホーミング環境に限らず、組織のネットワーク内を複数のプレフィクスが流れる場合(マルチプレフィクス環境)があり、上述したのと同様の問題がある。
【0022】
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、IPアドレスブロック等により外部機器からのアクセスコントロールを行うに際し、最小限の項目により設定が行えるとともに、マルチプレフィクス環境の人為的な認識に依存することなく適切な設定が行えるネットワーク機器を提供することにある。
【課題を解決するための手段】
【0023】
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、所定のアドレスに対する通信の許可もしくは拒否の設定により外部機器からのアクセスコントロールを行うネットワーク機器であって、アドレスもしくはアドレス範囲を入力させるアドレス入力欄と、当該アドレス入力欄に入力されたアドレスもしくはアドレス範囲に該当する外部機器にアクセスを許可するか拒否するかを選択させる許可/拒否選択欄と、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視するか否かを選択させる選択欄とを含むユーザインタフェースを提供するユーザインタフェース手段と、上記ユーザインタフェース手段を介して設定された内容に従い、到来するパケットの許可もしくは拒否を行うパケットフィルタリング手段とを備えるネットワーク機器を要旨としている。
【0024】
また、請求項2に記載されるように、所定のアドレスに対する通信の許可もしくは拒否の設定により外部機器からのアクセスコントロールを行うネットワーク機器であって、ネットワークを流れるプレフィクスにより影響されないアドレス部分を入力させるアドレス入力欄と、当該アドレス入力欄に入力されたアドレス部分に該当する外部機器にアクセスを許可するか拒否するかを選択させる許可/拒否選択欄とを含むユーザインタフェースを提供するユーザインタフェース手段と、上記ユーザインタフェース手段を介して設定された内容に従い、到来するパケットの許可もしくは拒否を行うパケットフィルタリング手段とを備えるネットワーク機器として構成することができる。
【0025】
また、請求項3に記載されるように、請求項1に記載のネットワーク機器において、当該ネットワーク機器が接続されるネットワークがマルチプレフィクス環境であるか否かを認識するマルチプレフィクス環境認識手段を備え、上記ユーザインタフェース手段は、上記マルチプレフィクス環境認識手段の認識結果に基づき、上記選択欄の有効・無効を制御するようにすることができる。
【0026】
また、請求項4に記載されるように、請求項3に記載のネットワーク機器において、上記マルチプレフィクス環境認識手段は、ネットワーク内を流れるルータ広告を監視し、その中に含まれるプレフィックスが複数種類ある場合にマルチプレフィクス環境であると認識するようにすることができる。
【0027】
また、請求項5に記載されるように、請求項4に記載のネットワーク機器において、上記マルチプレフィクス環境認識手段は、上記ルータ広告により到着したプレフィクスと到着時刻とを対にして管理し、一定時間以上古いプレフィクスにつき破棄するようにすることができる。
【0028】
また、請求項6に記載されるように、請求項4または5のいずれか一項に記載のネットワーク機器において、上記マルチプレフィクス環境認識手段は、上記ユーザインタフェース手段からの確認要求に対し、保持しているプレフィクスのエントリ数を返答するようにすることができる。
【0029】
また、請求項7に記載されるように、請求項3乃至6のいずれか一項に記載のネットワーク機器において、上記ユーザインタフェース手段は、現状がマルチプレフィクス環境にあり、かつユーザが入力したアドレスがグローバルユニキャストアドレスである場合に、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視するか否かの選択肢を有効化するようにすることができる。
【0030】
また、請求項8に記載されるように、請求項3乃至6のいずれか一項に記載のネットワーク機器において、上記ユーザインタフェース手段は、ユーザが入力したアドレスがグローバルユニキャストアドレスではないにもかかわらず、ネットワークを流れるプレフィクスにより影響されるアドレス部分を無視することを選択した場合に、不適切な設定であることをユーザに警告するようにすることができる。
【0031】
また、請求項9に記載されるように、請求項7または8のいずれか一項に記載のネットワーク機器において、上記ユーザインタフェース手段は、グローバルユニキャストアドレスであるか否かを、アドレス先頭の所定ビットの値により判断するようにすることができる。
【0032】
また、請求項10に記載されるように、請求項7または8のいずれか一項に記載のネットワーク機器において、上記ユーザインタフェース手段は、グローバルユニキャストアドレスであるか否かを、予め設定されたアドレスブロックの範囲内であるか否かにより判断するようにすることができる。
【0033】
また、請求項11〜20に記載されるように、アクセスコントロール方法として構成することができる。
【発明の効果】
【0034】
本発明のネットワーク機器にあっては、マルチホーミング環境であるか否かを自動的に認識し、マルチホーミング環境に影響されるアドレス部分を無視するか否かの選択肢を含むユーザインタフェースを提供するようにしているため、IPアドレスブロック等により外部機器からのアクセスコントロールを行うに際し、最小限の項目により設定が行えるとともに、マルチプレフィクス環境の人為的な認識に依存することなく適切な設定を行うことができる。
【発明を実施するための最良の形態】
【0035】
以下、本発明の好適な実施形態につき説明する。
【0036】
図5は本発明の一実施形態にかかるネットワーク機器の構成例を示す図である。
【0037】
図5において、ネットワーク機器1は、現状のネットワークがマルチホーミング環境であるか否かの指示を手動により受け付けるマルチホーミング環境指示ユーザインタフェース部2と、現状のネットワークがマルチホーミング環境であるか否かを自動に認識するマルチホーミング環境自動認識部3と、マルチホーミング環境指示ユーザインタフェース部2もしくはマルチホーミング環境自動認識部3により認識された環境(マルチホーミング環境/非マルチホーミング環境)に応じてアクセスコントロールのためのユーザインタフェースを提供するアクセスコントロールユーザインタフェース部4とを備えている。
【0038】
また、ネットワーク機器1のOS(Operating System)5内には、アクセスコントロールユーザインタフェース部4を介して設定された情報に従って外部の機器から到来するIPパケットのフィルタリングを行うパケットフィルタリング部6が設けられ、また、ハードウェア7内にはパケットフィルタリング部6の制御に基づいてIPパケットの受信を行うネットワークインタフェース部8が設けられている。なお、ネットワークインタフェース部8の受信パケットは、マルチホーミング環境を認識するためにマルチホーミング環境自動認識部3に供給される。
【0039】
図6は機器管理者によるアクセスコントロール設定の処理例を示すシーケンス図である。
【0040】
図6において、ネットワーク機器1はマルチホーミング環境指示ユーザインタフェース部2もしくはマルチホーミング環境自動認識部3によりマルチホーミング環境であるか否かを認識する(ステップS1)。
【0041】
図7はマルチホーミング環境自動認識部3の処理例を示すフローチャートである。
【0042】
図7において、ネットワーク機器1のマルチホーミング環境自動認識部3はネットワークインタフェース部8を介してルータ広告(RA(Router Advertisement))受信して処理を開始すると(ステップS11)、RAに含まれるプレフィックスが既に記憶されている受信済のものであるか否か判断する(ステップS12)。既に記憶されているものである場合(ステップS12のYes)は処理を終了する(ステップS16)。
【0043】
既に記憶されているものでない場合(ステップS12のNo)は、そのプレフィックスを記憶し(ステップS13)、記憶する最初のプレフィックスであるか否か判断する(ステップS14)。最初のプレフィックスである場合(ステップS14のYes)は処理を終了する(ステップS16)。
【0044】
また、最初のプレフィックスでない場合(ステップS14のNo)は、複数のプレフィックスがネットワークに流れていることから、マルチホーミング環境であると認識し(ステップS15)、処理を終了する(ステップS16)。
【0045】
図6に戻り、機器管理者M2がネットワーク機器1に対してアクセスコントロールのためのユーザインタフェースを要求すると(ステップS2)、ネットワーク機器1のアクセスコントロールユーザインタフェース部4はユーザインタフェースを生成する(ステップS3)。
【0046】
次いで、機器管理者M2は生成されたユーザインタフェースによりIPアドレスブロックの設定を行うが(ステップS4)、この際、ネットワーク機器1のアクセスコントロールユーザインタフェース部4は入力されたアドレス形式に応じ、TLA、sTLA、NLAを無視するか否かのスイッチの制御を行う(ステップS5)。
【0047】
図8はアクセスコントロールユーザインタフェース部4におけるスイッチ制御の処理例を示すフローチャートである。
【0048】
図8において、アクセスコントロールユーザインタフェース部4はユーザインタフェースに対して操作(文字入力、ボタン選択等)が行われ、あるいは更にフォーカス(選択部分)の移動が行われることをトリガとして処理を開始すると(ステップS51)、現状がマルチホーミング環境であるか否か判断する(ステップS52)。
【0049】
マルチホーミング環境であると判断された場合(ステップS52のYes)は、ユーザが入力中のアドレス(「/」を伴うアドレスブロックを含む)がグローバルユニキャストアドレスであるか否か判断する(ステップS53)。アドレスがグローバルユニキャストアドレスであるか否かは、アドレス先頭のFPの値により判断する。
【0050】
そして、ユーザが入力中のアドレスがグローバルユニキャストアドレスであると判断された場合(ステップS53のYes)はTLA、sTLA、NLAを無視するか否かのスイッチを有効化し(ステップS54)、処理を終了する(ステップS56)。
【0051】
また、現状がマルチホーミング環境でないと判断された場合(ステップS52のNo)、もしくは、ユーザが入力中のアドレスがグローバルユニキャストアドレスでないと判断された場合(ステップS53のNo)は、TLA、sTLA、NLAを無視するか否かのスイッチを無効化し(ステップS55)、処理を終了する(ステップS56)。
【0052】
図6に戻り、機器管理者M2はユーザインタフェースによりアクセスの許可/拒否を設定するとともに、TLA、sTLA、NLAを無視するか否かのスイッチを設定する(ステップS6)。
【0053】
図9はユーザインタフェースの例を示す図であり、三つのIPアドレスブロックを設定できるようにしたものである。1段目および3段目のエントリは入力されたIPアドレスブロックがグローバルユニキャストアドレスであるため、許可/拒否の欄(deny to access/allow to access)の他にTLA、sTLA、NLAを無視するか否かのスイッチ(Ignore TLA,sTLA,NLA matching)が表示されているが、2段目のエントリは入力されたIPアドレスブロックがグローバルユニキャストアドレスでないため、TLA、sTLA、NLAを無視するか否かのスイッチが表示されていない。これにより、グローバルユニキャストアドレスでないにもかかわらず、TLA、sTLA、NLAを無視するか否かのスイッチが選択されることはなく、ユーザの設定誤りによるセキュリティ低下を防止することができる。なお、TLA、sTLA、NLAを無視するか否かのスイッチを表示しないようにすることに代えて、表示していてもディム表示(薄い色で表示)とすることで選択できないようにすることもできる。
【0054】
図6に戻り、ユーザインタフェースによる設定が完了すると、ネットワーク機器1のアクセスコントロールユーザインタフェース部4は設定情報を記憶し、パケットフィルタリング部6に設定を行う(ステップS7)。図10は記憶される設定情報の例を示す図であり、IPアドレスブロックと、許可/拒否に対応するスイッチ(1bit)と、TLA、sTLA、NLAを無視するか否かのスイッチ(1bit)とが含まれている。
【0055】
図11は上述したようにしてアクセスコントロールのための情報が設定された後のパケットフィルタリング部6の処理例を示すフローチャートである。
【0056】
図11において、IPパケットが到着すると(ステップS101)、設定されている全てのIPアドレスブロックとの比較が完了したか否か判断する(ステップS102)。
【0057】
全てのIPアドレスブロックとの比較が完了していないと判断された場合(ステップS102のNo)、ユーザの設定したIPアドレスブロックのうちの一つを比較対象とし(ステップS103)、そのIPアドレスブロックはTLA、sTLA、NLAを無視するように設定されているか否か判断する(ステップS104)。
【0058】
TLA、sTLA、NLAを無視するように設定されていないと判断された場合(ステップS104のNo)は、従来通りの手法でユーザが指定したIPアドレスブロックと到来したIPパケットのソースアドレスとの比較を行う(ステップS105)。
【0059】
また、TLA、sTLA、NLAを無視するように設定されていると判断された場合(ステップS104のYes)は、TLA、sTLA、NLAの値を無視して、ユーザが指定したIPアドレスブロックと到来したIPパケットのソースアドレスとの比較を行う(ステップS106)。
【0060】
次いで、ユーザが指定したIPアドレスブロックと到来したIPパケットのソースアドレスが一致したか否か判断し(ステップS107)、一致しないと判断された場合(ステップS107のNo)は、設定されている全てのIPアドレスブロックとの比較が完了したか否かの判断(ステップS102)に戻る。
【0061】
また、ユーザが指定したIPアドレスブロックと到来したIPパケットのソースアドレスが一致したと判断された場合(ステップS107のYes)は、そのIPアドレスブロックが通信許可に設定されているか否か判断し(ステップS108)、通信許可に設定されていないと判断された場合(ステップS108のNo)はそのIPパケットをドロップし(ステップS109)、通信許可に設定されていると判断された場合(ステップS108のYes)はそのIPパケットを透過させ(ステップS110)、処理を終了する(ステップS112)。
【0062】
一方、設定されている全てのIPアドレスブロックとの比較が完了したと判断された場合(ステップS102のYes)は、デフォルト処理(許可/拒否が設定されていないIPアドレスにつき全てを許可もしくは拒否等)を行い(ステップS111)、処理を終了する(ステップS112)。
【0063】
このように、マルチホーミング環境において複数のプレフィックスが配布され、一つの機器に複数のIPアドレスが割り振られた時でも、変動部分であるTLA、sTLA、NLAの違いを考慮することなく、一つの対象については一つのIPアドレスブロックを設定すればよいため、最小限の設定とすることができる。
【0064】
図12は図8に示したスイッチ制御を行わない場合のユーザインタフェースの例を示す図であり、入力されたIPアドレスブロックがグローバルユニキャストアドレスであるか否かにかかわらず、TLA、sTLA、NLAを無視するか否かのスイッチを常に選択可能に表示したものである。ただし、この場合はグローバルユニキャストアドレスでないにもかかわらずTLA、sTLA、NLAを無視するか否かのスイッチが選択される可能性があるため、そのような不適切な設定を防止する必要がある。
【0065】
図13は不適切な設定に対して警告を発するための処理例を示すフローチャートであり、ユーザが入力を開始すると(ステップS201)、ユーザが入力したIPアドレスブロックがグローバルユニキャストアドレスであるか否か判断し(ステップS202)、グローバルユニキャストアドレスであると判断された場合(ステップS202のYes)はそのまま処理を終了する(ステップS205)。
【0066】
また、ユーザが入力したIPアドレスブロックがグローバルユニキャストアドレスでないと判断された場合(ステップS202のNo)は、ユーザがTLA、sTLA、NLAを無視するか否かのスイッチを選択したか否か判断する(ステップS203)。
【0067】
ユーザがTLA、sTLA、NLAを無視するか否かのスイッチを選択していないと判断された場合(ステップS203のNo)はそのまま処理を終了し(ステップS205)、選択している場合(ステップS203のYes)は、指定されたIPアドレスブロックにはTLA、sTLA、NLAがないことをユーザに警告し(ステップS204)、処理を終了する(ステップS205)。
【0068】
図14は警告表示の例を示す図であり、「警告:グローバルユニキャストアドレスではないのに、TLA、sTLA、NLAを無視すると設定されています。」というメッセージをユーザに伝えるものである。これにより、ユーザの設定誤りによるセキュリティ低下を防止することができる。
【0069】
図15はSLA IDを直接に設定する場合のユーザインタフェースの例を示す図であり、SLA IDの入力欄と許可/拒否の選択欄とを備え、機器管理者がマルチホーミング環境であることを認識している場合において簡略にアクセスコントロールを行えるようにしたものである。すなわち、マルチホーミング環境において複数のプレフィックスが配布され、一つの機器に複数のIPアドレスが割り振られた時でも、同一のSLA IDを持つIPアドレスを同一視することができ、アクセスコントロールの設定を省略することができる。
【0070】
図16は記憶される設定情報の例を示す図であり、SLA IDと、許可/拒否に対応するスイッチ(1bit)とが含まれている。
【0071】
図17はSLA IDを直接に設定する場合のパケットフィルタリング部6の処理例を示すフローチャートである。
【0072】
図17において、IPパケットが到着すると(ステップS301)、そのIPパケットのソースアドレスのFPがグローバルユニキャストアドレスであることを示す所定値(0)であることと、そのソースアドレスのSLA IDがユーザの指定と一致するかを比較する(ステップS302)。
【0073】
次いで、両者が一致するか否か判断し(ステップS303)、一致する場合(ステップS303のYes)は、通信許可に設定されているか否か判断し(ステップS304)、通信許可に設定されていないと判断された場合(ステップ304のNo)はそのIPパケットをドロップし(ステップS305)、通信許可に設定されていると判断された場合(ステップS304のYes)はそのIPパケットを透過させ(ステップS306)、処理を終了する(ステップS310)。
【0074】
一方、ソースアドレスとSLA IDが一致しないと判断された場合(ステップS303のNo)は、全てのSLA IDを比較し終えたか否か判断し(ステップS307)、まだであると判断された場合(ステップS307のNo)は次のSLA IDとの比較を行い(ステップS308)、一致の判断(ステップS303)に戻る。
【0075】
全てのSLA IDを比較し終えたと判断された場合(ステップS303のYes)はデフォルト処理を行い(ステップS309)、処理を終了する(ステップS310)。
【0076】
図18は本発明の他の実施形態にかかるネットワーク機器1の構成例を示す図であり、マルチホーミング環境を含む、より一般的なマルチプレフィクス環境に適用したものである。
【0077】
図18において、ネットワーク機器1は、現状のネットワークがマルチプレフィクス環境であるか否かの指示を手動により受け付けるマルチプレフィクス環境指示ユーザインタフェース部2+と、現状のネットワークがマルチプレフィクス環境であるか否かを自動に認識するマルチプレフィクス環境自動認識部3+と、マルチプレフィクス環境指示ユーザインタフェース部2+もしくはマルチプレフィクス環境自動認識部3+により認識された環境(マルチプレフィクス環境/非マルチプレフィクス環境)に応じてアクセスコントロールのためのユーザインタフェースを提供するアクセスコントロールユーザインタフェース部4とを備えている。
【0078】
マルチプレフィクス環境自動認識部3+には、ネットワークを介して到着したRA情報(到着時刻と到着プレフィクス値の対)を保持する到着済RA情報リストL1が設けられている。また、アクセスコントロールユーザインタフェース部4の処理にあっては、入力されたアドレスがグローバルユニキャストアドレスであるか否かを判断してTLA、sTLA、NLAを無視するか否かのスイッチを制御するためのスイッチ制御判断用アドレスブロックリストL2が参照される。なお、スイッチ制御判断用アドレスブロックリストL2はネットワーク機器1の製造時もしくはメンテナンス時に設定され、IPv6の規格(グローバルユニキャストアドレスを識別するビット等)の変更等に柔軟に対応できるようになっている。
【0079】
また、ネットワーク機器1のOS5内には、アクセスコントロールユーザインタフェース部4を介して設定された情報に従って外部の機器から到来するIPパケットのフィルタリングを行うパケットフィルタリング部6と、マルチプレフィクス環境自動認識部3+に現在時刻を供給する時刻管理部9が設けられ、また、ハードウェア7内にはパケットフィルタリング部6の制御に基づいてIPパケットの受信を行うネットワークインタフェース部8が設けられている。なお、ネットワークインタフェース部8の受信パケットは、マルチプレフィクス環境を認識するためにマルチプレフィクス環境自動認識部3+に供給される。
【0080】
機器管理者によるアクセスコントロール設定の処理としては、図6に示したものと同様の手順で行われる(「マルチホーミング環境」を「マルチプレフィクス環境」と読み替え)。すなわち、ネットワーク機器1におけるマルチプレフィクス環境の認識(ステップS1)、機器管理者M2からネットワーク機器1へのアクセスコントロールユーザインタフェース要求(ステップS2)、ネットワーク機器1におけるアクセスコントロールユーザインタフェース生成(ステップS3)、機器管理者M2からネットワーク機器1へのアドレス設定(ステップS4)、ネットワーク機器1におけるスイッチ制御(ステップS5)、機器管理者M2からネットワーク機器1への許可/拒否設定およびスイッチ設定(ステップS6)、ネットワーク機器1におけるパケットフィルタリング部設定(ステップS7)の順に処理が行われる。
【0081】
図19はマルチプレフィクス環境自動認識部3+の処理例を示すフローチャートであり、(a)は定常的な監視処理、(b)は外部(主にアクセスコントロールユーザインタフェース部4)からの確認要求時の返答処理である。
【0082】
図19(a)において、マルチプレフィクス環境自動認識部3+は、ネットワークインタフェース部8を介して受信されるRAを監視し(ステップS401)、RAが到着したか否か判断する(ステップS402)。RAが到着しなかった場合(ステップS402のNo)はRAの監視(ステップS401)に戻る。
【0083】
RAが到着した場合(ステップS402のYes)、マルチプレフィクス環境自動認識部3+は時刻管理部9から現在時刻を取得する(ステップS403)。
【0084】
次いで、マルチプレフィクス環境自動認識部3+は、到着したRAに含まれるプレフィクス(到着プレフィクス)が到着済RA情報リストL1に存在するか否か判断し(ステップS404)、存在する場合(ステップS404のYes)は到着済RA情報リストL1内の該当するプレフィクス情報の到着時刻を現在時刻に置き換える(ステップS405)。到着プレフィクスが到着済RA情報リストL1に存在しない場合(ステップS404のNo)は、到着プレフィクスと現在時刻を到着済RA情報リストL1に追加する(ステップS406)。
【0085】
次いで、マルチプレフィクス環境自動認識部3+は、到着済RA情報リストL1内のプレフィクス情報の到着時刻に着目し、一定時間以上古いプレフィクス情報が存在するか否か判断し(ステップS407)、存在する場合(ステップS407のYes)は該当するプレフィクス情報を破棄し(ステップS408)、RAの監視(ステップS401)に戻る。一定時間以上古いプレフィクス情報が存在しない場合(ステップS407のNo)はそのままRAの監視(ステップS401)に戻る。
【0086】
なお、プレフィクス情報に到着時刻を含めて管理し、一定時間以上古いプレフィクス情報を破棄するのは、古いプレフィクス情報により現在はマルチプレフィクス環境でないにもかかわらずマルチプレフィクス環境であると誤認識しないためである。この機構は前述した図5および図7にも適用することができる。
【0087】
図19(b)において、マルチプレフィクス環境自動認識部3+は、外部から確認要求が到着すると(ステップS411)、到着済RA情報リストL1内のプレフィクス情報の到着時刻に着目し、一定時間以上古いプレフィクス情報が存在するか否か判断する(ステップS412)。そして、一定時間以上古いプレフィクス情報が存在する場合(ステップS412のYes)、該当するプレフィクス情報を破棄する(ステップS413)。なお、確認要求到着時に一定時間以上古いプレフィクス情報の存在の確認および破棄を行うのは、図19(a)においてはプレフィクスの到着時にのみ一定時間以上古いプレフィクス情報の存在の確認および破棄を行っており、RAの到着がない場合は古いプレフィクス情報が残ってしまうからである。
【0088】
次いで、マルチプレフィクス環境自動認識部3+は到着済RA情報リストL1のエントリ数を要求元に返答し(ステップS414)、処理を終了する(ステップS415)。
【0089】
図20はアクセスコントロールユーザインタフェース部4におけるスイッチ制御の処理例を示すフローチャートである。なお、ユーザインタフェースは図9に示したものと同様のものを想定している。
【0090】
図20において、アクセスコントロールユーザインタフェース部4は、ユーザインタフェースに対して操作(文字入力、ボタン選択等)が行われ、あるいは更にフォーカス(選択部分)の移動が行われることをトリガとして処理を開始すると(ステップS421)、マルチプレフィクス環境自動認識部3+に確認要求を行うことで現状がマルチプレフィクス環境であるか否か判断する(ステップS422)。
【0091】
マルチプレフィクス環境であると判断された場合(ステップS422のYes)、ユーザによりアドレス(「/」を伴うアドレスブロックを含む)が入力済であるか判断し(ステップS423)、入力済である場合(ステップS423のYes)、入力されたアドレスがスイッチ制御判断用アドレスブロックリストL2に設定されたアドレスブロックの範囲内であるか否か判断する(ステップS424)。
【0092】
そして、入力されたアドレスがスイッチ制御判断用アドレスブロックリストL2に設定されたアドレスブロックの範囲内である場合(ステップS424のYes)、有効なグローバルユニキャストアドレスであるものとし、TLA、sTLA、NLAを無視するか否かのスイッチを有効化し(ステップS425)、処理を終了する(ステップS427)。
【0093】
また、現状がマルチプレフィクス環境でないと判断された場合(ステップS422のNo)、アドレスが入力済でない場合(ステップS423のNo)、もしくは、入力されたアドレスがスイッチ制御判断用アドレスブロックリストL2に設定されたアドレスブロックの範囲内でないと判断された場合(ステップS424のNo)は、TLA、sTLA、NLAを無視するか否かのスイッチを無効化し(ステップS426)、処理を終了する(ステップS427)。
【0094】
なお、図20において、マルチプレフィクス環境であるか否かの判断(ステップS422)および入力されたアドレスがスイッチ制御判断用アドレスブロックリストL2に設定されたアドレスブロックの範囲内であるか否かの判断(ステップS424)を省略することで、アドレスが入力された場合にはTLA、sTLA、NLAを無視するか否かのスイッチを有効化することができる。これにより、マルチプレフィクス環境であるか否かにかかわらず、部署毎に割り当てられたSLA IDにのみ依存したアクセス制御を指定することができる。
【0095】
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
【図面の簡単な説明】
【0096】
【図1】IPアドレスブロックでアクセスコントロールする場合の従来のネットワーク機器が有するユーザインタフェースの例を示す図である。
【図2】マルチホーミング環境においてIPアドレスブロックでアクセスコントロールする場合の機器管理者の操作例を示すシーケンス図である。
【図3】IPv6アドレスのプレフィックスの構成を示す図である。
【図4】ビットマスクによりアクセスコントロールする場合の機器管理者の操作例を示すシーケンス図である。
【図5】本発明の一実施形態にかかるネットワーク機器の構成例を示す図である。
【図6】機器管理者によるアクセスコントロール設定の処理例を示すシーケンス図である。
【図7】マルチホーミング環境自動認識部の処理例を示すフローチャートである。
【図8】アクセスコントロールユーザインタフェース部におけるスイッチ制御の処理例を示すフローチャートである。
【図9】ユーザインタフェースの例を示す図である。
【図10】記憶される設定情報の例を示す図である。
【図11】パケットフィルタリング部の処理例を示すフローチャートである。
【図12】スイッチ制御を行わない場合のユーザインタフェースの例を示す図である。
【図13】不適切な設定に対して警告を発するための処理例を示すフローチャートである。
【図14】警告表示の例を示す図である。
【図15】SLA IDを直接に設定する場合のユーザインタフェースの例を示す図である。
【図16】記憶される設定情報の例を示す図である。
【図17】パケットフィルタリング部の処理例を示すフローチャートである。
【図18】本発明の他の実施形態にかかるネットワーク機器の構成例を示す図である。
【図19】マルチプレフィクス環境自動認識部の処理例を示すフローチャートである。
【図20】アクセスコントロールユーザインタフェース部におけるスイッチ制御の処理例を示すフローチャートである。
【符号の説明】
【0097】
1 ネットワーク機器
2 マルチホーミング環境指示ユーザインタフェース部
2+ マルチプレフィクス環境指示ユーザインタフェース部
3 マルチホーミング環境自動認識部
3+ マルチプレフィクス環境自動認識部
4 アクセスコントロールユーザインタフェース部
5 OS
6 パケットフィルタリング部
7 ハードウェア
8 ネットワークインタフェース部
9 時刻管理部
L1 到着済RA情報リスト
L2 スイッチ制御判断用アドレスブロックリスト
10 ネットワーク機器
M1 ネットワーク管理者
M2 機器管理者
|
| 【出願人】 |
【識別番号】000006747
【氏名又は名称】株式会社リコー
|
| 【出願日】 |
平成19年5月16日(2007.5.16) |
| 【代理人】 |
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
|
| 【公開番号】 |
特開2008−17451(P2008−17451A) |
| 【公開日】 |
平成20年1月24日(2008.1.24) |
| 【出願番号】 |
特願2007−130538(P2007−130538) |
|