JP5307264B2 - Communications system - Google Patents
Communications system Download PDFInfo
- Publication number
- JP5307264B2 JP5307264B2 JP2012064805A JP2012064805A JP5307264B2 JP 5307264 B2 JP5307264 B2 JP 5307264B2 JP 2012064805 A JP2012064805 A JP 2012064805A JP 2012064805 A JP2012064805 A JP 2012064805A JP 5307264 B2 JP5307264 B2 JP 5307264B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- rule
- data
- communication device
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 544
- 230000005540 biological transmission Effects 0.000 claims description 119
- 238000000034 method Methods 0.000 description 36
- 238000012545 processing Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 16
- 238000012546 transfer Methods 0.000 description 7
- 238000010276 construction Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 2
- 210000004899 c-terminal region Anatomy 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
この発明は、通信データの制御技術に関する。 The present invention relates to a communication data control technique.
通信データを制御するためにファイアウォール(以下FW)やL3スイッチ等の通信装置が導入される。特に、複数のテナント(会社等)が接続される通信システムを構築する場合、多数の端末から送信される通信データを制御するために、接続口数が多く処理能力が高い大型の通信装置が導入される。通信システムに接続される端末数に応じて、接続されるサーバ数や必要な処理能力が異なるため、必要な通信装置の規模は異なる。
通信システムの構築当初は少ないテナント数であるが、徐々にテナント数が増えていく場合がある。この場合、通信システムの構築当初は大型の通信装置は不要であるが、テナントが増えた場合には大型の通信装置が必要となる。しかし、一旦設置した通信装置を他の通信装置に置き換えるには手間がかかり、また初めに設置した通信装置が無駄になる恐れがあるため、初めから大型の通信装置を導入してしまうのが一般的である。
In order to control communication data, a communication device such as a firewall (hereinafter referred to as FW) or an L3 switch is introduced. In particular, when constructing a communication system in which a plurality of tenants (such as companies) are connected, a large communication device having a large number of connection ports and high processing capacity has been introduced to control communication data transmitted from a large number of terminals. The Depending on the number of terminals connected to the communication system, the number of servers to be connected and the required processing capacity are different, so that the scale of necessary communication devices is different.
Although the number of tenants is small at the beginning of the construction of the communication system, the number of tenants may gradually increase. In this case, a large communication device is unnecessary at the beginning of the construction of the communication system, but a large communication device is necessary when the number of tenants increases. However, it takes time to replace a communication device once installed with another communication device, and the communication device installed at first may be wasted, so it is common to introduce a large communication device from the beginning. Is.
接続されるテナント数が少ないにも関わらず、大型の通信装置を導入するのは、コスト負荷が大きい。また、通信装置に新たなテナントが接続された場合、通信装置の設定を変更する必要があるが、通信装置に接続されているテナント数が多くなるほど、設定の変更作業が多くなり、作業負荷が大きい。
この発明は、接続されるテナント数等に柔軟に対応可能とすることを目的とする。
Despite the small number of connected tenants, introducing a large communication device is costly. In addition, when a new tenant is connected to the communication device, it is necessary to change the setting of the communication device. However, as the number of tenants connected to the communication device increases, the setting change operation increases and the workload is reduced. large.
An object of the present invention is to flexibly support the number of connected tenants and the like.
この発明に係る通信システムは、
通過させるデータを制限する複数の通信装置がメッシュ接続された通信システムであり、
各通信装置は、
自通信装置が通過させる通信データの規則を自通過規則として記憶するとともに、自通信装置が通過させる通信データを通過させる他通信装置の前記規則を他通過規則として記憶する通過規則記憶部と、
新たに接続された新通信装置の前記規則を新通過規則として受信する規則受信部と、
前記規則受信部が新通過規則を受信した場合、前記新通過規則で通過させる通信データを前記通過規則記憶部が記憶した自通過規則が通過させるか否かを判定する規則判定部と、
自通過規則が通過させると前記規則判定部が判定した場合、接続された他通信装置へ前記新通過規則を送信する規則送信部と、
を備え、
前記通過規則記憶部は、通過させると前記規則判定部が判定した場合、前記新通過規則を他通過規則として記憶する
ことを特徴とする。
A communication system according to the present invention includes:
A communication system in which a plurality of communication devices that limit data to be passed are mesh-connected,
Each communication device
Storing a rule of communication data passed by the own communication device as a self-passing rule, and a passing rule storage unit for storing the rule of another communication device that passes the communication data passed by the own communication device as another passing rule;
A rule receiving unit for receiving the rule of a newly connected new communication device as a new passing rule;
When the rule receiving unit receives a new passing rule, a rule determining unit that determines whether or not the self-passing rule stored in the passing rule storage unit passes communication data that passes through the new passing rule;
When the rule determining unit determines that the self-passing rule passes, a rule transmitting unit that transmits the new passing rule to another connected communication device;
With
The said passage rule memory | storage part memorize | stores the said new passage rule as another passage rule, when the said rule determination part determines with making it pass.
前記規則送信部は、自通信装置が前記新通信装置に直接接続された通信装置であり、かつ、自通過規則が通過させると前記規則判定部が判定した場合、前記通過規則記憶部が記憶した前記自通過規則と前記他通過規則とを前記新通信装置へ送信する
ことを特徴とする。
The rule transmission unit is a communication device in which the own communication device is directly connected to the new communication device, and when the rule determination unit determines that the own passage rule passes, the passage rule storage unit stores The self-passing rule and the other passing rule are transmitted to the new communication device.
前記規則判定部は、前記新通過規則で通過させる通信データを、接続された各他通信装置の他通過規則が通過させるか否かを判定し、
前記規則送信部は、接続された他通信装置のうち、前記規則判定部が通過させると判定した他通信装置へのみ前記新通過規則を送信する
ことを特徴とする。
The rule determination unit determines whether or not the other passing rule of each connected other communication device passes the communication data to be passed by the new passing rule,
The rule transmission unit transmits the new passage rule only to other communication devices determined to be passed by the rule determination unit among other connected communication devices.
前記規則は、前記通信データを通過させるグループを定めており、
前記通信システムは、さらに、
接続された機器から通信データを受信するデータ受信部と、
前記データ受信部が受信した通信データの送信元の機器が属するグループが、自通過規則が通信データを通過させると定めたグループである否かを判定するデータ判定部と、
通過させると定めたグループであると前記データ判定部が判定した場合、前記通信データを送信先へ宛てて、接続された他通信装置へ送信するデータ送信部と
を備えることを特徴とする。
The rule defines a group that allows the communication data to pass through;
The communication system further includes:
A data receiver for receiving communication data from the connected device;
A data determination unit that determines whether or not a group to which a transmission source device of communication data received by the data reception unit belongs is a group that the self-passing rule determines to pass communication data;
When the data determination unit determines that the group is determined to pass, the data determination unit includes a data transmission unit that transmits the communication data to a transmission destination and transmits the communication data to another connected communication device.
前記データ送信部は、前記送信元の機器が属するグループの識別情報を前記通信データに付与した上で、前記通信データを他通信装置へ送信する
ことを特徴とする。
The data transmission unit transmits identification data of a group to which the transmission source device belongs to the communication data, and then transmits the communication data to another communication device.
接続された機器から通信データを受信した通信装置の前記データ送信部は、送信元の機器が属する第1グループと、送信先の機器が属する第2グループとが異なる通信データを前記データ受信部が受信した場合、前記第1グループと前記第2グループとの両方のグループを通過させると定めた規則を持つ他通信装置へ宛てて、前記通信データを送信し、
前記両方のグループを通過させると定めた規則を持つ通信装置の前記データ送信部は、送信元の機器が属する第1グループと、送信先の機器が属する第2グループとが異なる通信データを他通信装置から受信した場合、前記通信データを送信先へ宛てて、接続された他通信装置へ送信する
ことを特徴とする。
The data transmission unit of the communication device that has received communication data from a connected device has communication data in which the first group to which the transmission source device belongs and the second group to which the transmission destination device belongs are different from each other. When received, the communication data is transmitted to another communication device having a rule determined to pass both the first group and the second group,
The data transmission unit of the communication device having a rule that determines that both groups are allowed to pass the communication data in which the first group to which the transmission source device belongs and the second group to which the transmission destination device belongs are differently communicated. When the communication data is received from the device, the communication data is transmitted to the other communication device connected to the transmission destination.
前記データ送信部は、接続された他通信装置が複数ある場合には、前記通信データを分割して複数の子通信データとし、各子通信データをそれぞれ別の他通信装置へ送信する
ことを特徴とする。
When there are a plurality of other communication devices connected, the data transmission unit divides the communication data into a plurality of child communication data, and transmits each child communication data to a different other communication device. And
この発明に係る通信システムは、複数の通信装置がメッシュ接続され構成されている。そのため、テナント数が増えた場合には、新たな通信装置を接続することにより、規模の拡大が可能である。したがって、接続されるテナント数が少ない場合に大型の通信装置を導入する必要がなく、コスト負担が小さい。また、新たな通信装置が接続された場合、その通信装置の通過規則が他の通信装置へ順次コピーされていく。したがって、その通信装置に関する設定だけを行えばよく、作業負荷が小さい。 The communication system according to the present invention is configured by mesh-connecting a plurality of communication devices. Therefore, when the number of tenants increases, the scale can be increased by connecting a new communication device. Therefore, it is not necessary to introduce a large communication device when the number of connected tenants is small, and the cost burden is small. Further, when a new communication device is connected, the passing rules of the communication device are sequentially copied to other communication devices. Therefore, only the setting relating to the communication device needs to be performed, and the workload is small.
実施の形態1.
図1は、実施の形態1に係る通信システム100の構成図である。
通信システム100は、複数の通信装置10がメッシュ接続(多点接続の網形接続)されている。ここでは、ID011からID055までの25台の通信装置10がメッシュ接続されている。また、ここでは、上下左右に配置された通信装置10同士が接続されている。例えば、ID022の通信装置10であれば、上側のID021、下側のID023、左側のID012、右側のID032と接続されている。なお、簡単のため、上下左右に配置された通信装置10同士が接続されているとするが、斜めに配置された通信装置10同士が接続されていても、離れた位置の通信装置10同士が接続されていてもよい。
一部の通信装置10には、サーバ20−25や、端末30−32が接続されている。サーバ20は、A社用のメールサーバであり、サーバ21は、A社用のウェブサーバであり、サーバ22は、B社用のメールサーバであり、サーバ23は、B社用のウェブサーバであり、サーバ24は、C社用のメールサーバであり、サーバ25は、C社用のウェブサーバである。また、端末30は、A社の端末であり、端末31は、B社の端末であり、端末32は、C社の端末である。
各通信装置10は、いずれかの会社(グループの一例)に割り当てられている。一部の通信装置10は、複数の会社に割り当てられている。具体的には、部分システム40に含まれる通信装置10は、A社に割り当てられており、部分システム41に含まれる通信装置10は、B社に割り当てられており、部分システム42に含まれる通信装置10は、C社に割り当てられている。複数の部分システムに含まれる通信装置10は、複数の会社に割り当てられている。
FIG. 1 is a configuration diagram of a
In the
Some of the
Each
図2は、実施の形態1に係る通信システム100が構成するネットワークシステムの概念図である。
通信システム100は、部分システム40,41,42の3つのネットワークシステムを構成する。そして、これら3つのネットワークシステムは、図1の例では、一部は物理的に共有されているが、全体として仮想的に分離されており、それぞれ異なるセキュリティの層を形成する。
つまり、部分システム40を流れる通信データは、部分システム41,42を流れることはなく、部分システム41を流れる通信データは、部分システム40,42を流れることはなく、部分システム42を流れる通信データは、部分システム40,41を流れることはない。
FIG. 2 is a conceptual diagram of a network system configured by the
The
That is, the communication data flowing through the
図3は、実施の形態1に係る通信装置10の構成図である。
通信装置10は、通過規則記憶部11、規則受信部12、規則判定部13、規則送信部14、データ受信部15、データ判定部16、データ送信部17を備える。
FIG. 3 is a configuration diagram of the
The
通過規則記憶部11は、通信装置10が通過させる通信データの通過規則を記憶する記憶装置である。通過規則記憶部11は、自身(自通信装置10)の通過規則を自通過規則として記憶するとともに、他の通信装置10(他通信装置10)の通過規則を他通過規則として記憶する。
ここでは、通過規則は、通信データの送信元及び送信先として同一の会社が指定されており、かつ、送信元及び送信先が自身が割り当てられた会社の端末及びサーバである場合には、通信データを通過させるものとする。
The passage rule storage unit 11 is a storage device that stores passage rules of communication data that the
Here, if the same company is specified as the transmission source and destination of communication data, and the transmission rule is the terminal and server of the company to which the transmission source and destination are assigned, communication Data shall be passed.
図4は、通過規則記憶部11が他通過規則を記憶する範囲を示す図である。なお、図4では、ID0053の通信装置10が備える通過規則記憶部11が記憶する範囲を例として示す。
他通過規則が記憶される範囲は、自通過規則で通過させる通信データが通過できる範囲である。つまり、自身が割り当てられた会社が割り当てられている通信装置10の規則が、他通過規則として記憶される。図4の例では、ID0053の通信装置10は、会社Aに割り当てられているため、会社Aに割り当てられた他の通信装置10の規則を、他通過規則として記憶する。
FIG. 4 is a diagram illustrating a range in which the passage rule storage unit 11 stores other passage rules. In FIG. 4, the range stored in the passage rule storage unit 11 included in the
The range in which the other pass rule is stored is a range through which communication data that passes through the own pass rule can pass. That is, the rule of the
図5は、実施の形態1に係る通信システム100に新たに通信装置10(新通信装置10)が接続された場合の通信システム100の動作を示すフローチャートである。
なお、新通信装置10が通信システム100に接続される前に、新通信装置10は管理者等によって、IDが割り当てられるとともに、いずれかの会社に割り当てられる。そして、新通信装置10が備える通過規則記憶部11は、通信データの送信元及び送信先として同一の会社が指定されており、かつ、送信元及び送信先が、割り当てられた会社の端末及びサーバである場合には、通信データを通過させるという規則(新通過規則)を記憶する。
新通信装置10は、新端末の設置タイミングに合わせて、新端末と一緒に設置され、新端末と接続される。
FIG. 5 is a flowchart showing the operation of the
Before the
The
(S11:認証処理)
新通信装置10が接続された通信装置10の規則受信部12は、新通信装置10から新通過規則を受信する。すると、その通信装置10の規則判定部13は、新通過規則で通過させる通信データを、自通過規則が通過させるか否かを判定する。
自通過規則が通過させると判定した場合、新通信装置10の認証がとれたとして(S11でYES)、処理をS12へ進める。一方、自通過規則が通過させないと判定した場合、新通信装置10の認証はとれないとして(S11でNO)、処理を終了させる。
(S11: Authentication process)
The
If it is determined that the self-passing rule passes, the
(S12:規則交換処理)
新通過規則を受信した通信装置10の通過規則記憶部11は、受信した新通過規則を、他通過規則として記憶する。
また、新通信装置10が接続された通信装置10の規則送信部14は、通過規則記憶部11が記憶した規則(自通過規則及び他通過規則)を新通信装置10へ送信する。すると、新通信装置10の通過規則記憶部11は、受信した規則を他通過規則として記憶する。
(S12: Rule exchange process)
The passage rule storage unit 11 of the
Further, the
(S13:接続装置判定処理)
新通過規則を受信した通信装置10の規則判定部13は、新通過規則の送信元以外に、直接接続された他通信装置10があるか否かを判定する。
他通信装置10があると判定した場合(S13でYES)、処理をS14へ進める。一方、他通信装置10がないと判定した場合(S13でNO)、処理を終了する。
(S13: Connection device determination process)
The
If it is determined that there is another communication device 10 (YES in S13), the process proceeds to S14. On the other hand, if it is determined that there is no other communication device 10 (NO in S13), the process is terminated.
(S14:規則送信処理)
新通過規則を受信した規則送信部14は、直接接続された他通信装置10へ新通過規則を送信する。
(S14: Rule transmission process)
The
(S15:規則判定処理)
新通過規則を受信した他通信装置10は、新通過規則で通過させる通信データを、自通過規則が通過させるか否かを判定する。
自通過規則が通過させると判定した場合(S15でYES)、処理をS16へ進める。一方、自通過規則が通過させないと判定した場合(S15でNO)、処理を終了させる。
(S15: Rule determination process)
The
If it is determined that the self-passing rule passes (YES in S15), the process proceeds to S16. On the other hand, if it is determined that the self-passing rule does not pass (NO in S15), the process is terminated.
(S16:規則記憶処理)
新通過規則を受信した他通信装置10の通過規則記憶部11は、新通過規則を他通過規則として記憶する。
そして、処理をS13へ戻し、新通過規則を受信した他通信装置10の規則判定部13は、直接接続された他通信装置10があるか否かを判定する。
(S16: Rule storage process)
The passage rule storage unit 11 of the
Then, the process returns to S13, and the
例えば、図1に示すID051の通信装置10に、ID061の通信装置10が新通信装置10として、新端末と合わせて接続された場合の動作は以下のようになる。
なお、ID061の通信装置10は、会社Aに割り当てられているとする。また、ID061の通信装置10の通過規則記憶部11は、通信データの送信元及び送信先として会社Aが指定されており、かつ、送信元及び送信先が会社Aの端末及びサーバである場合には、通信データを通過させるという通過規則(新通過規則)を記憶しているとする。
For example, the operation when the
It is assumed that the
まず、ID051の通信装置10は、ID061の通信装置10から新通過規則を受信し、新通過規則で通過させる通信データを、自通過規則が通過させるか否かを判定する(S11)。ここでは、ID051の通信装置10は会社Aに属しており、自通過規則が通過させるため(S11でYES)、受信した新通過規則を、他通過規則として記憶し、ID061の通信装置10は、ID051の通信装置10が記憶していた通過規則を他通過規則として記憶する(S12)。
次に、ID051の通信装置10は、ID061の通信装置10以外に、直接接続された通信装置10があるか否かを判定する(S13)。ここでは、ID041,ID052の通信装置10が接続されているため(S13でYES)、ID051の通信装置10は、ID041,ID052の通信装置10へ新通過規則を送信する(S14)。すると、ID041,ID052の通信装置10は、新通過規則で通過させる通信データを、自通過規則が通過させるか否かを判定する(S15)。ここでは、ID041,ID052の通信装置10はいずれも会社Aに属しており、自通過規則が通過させるため(S15でYES)、受信した新通過規則を、他通過規則として記憶する(S16)。
First, the
Next, the
次に、ID041,ID052の通信装置10はそれぞれ、ID051の通信装置10以外に、直接接続された通信装置10があるか否かを判定する(S13)。
ここでは、ID041の通信装置10には、ID031,ID042の通信装置10が接続されており、ID052の通信装置10には、ID042,ID053の通信装置10が接続されている(S13でYES)。そのため、ID041の通信装置10は、ID031,ID042の通信装置10へ新通過規則を送信し、ID052の通信装置10は、ID042,ID053の通信装置10へ新通過規則を送信する(S14)。
すると、ID031,ID042,ID053の通信装置10は、新通過規則で通過させる通信データを、自通過規則が通過させるか否かを判定する(S15)。なお、ID042の通信装置10には、ID041とID052との2つの通信装置10から新通過規則を受信するので、いずれか一方については破棄してよい。ここでは、ID031,ID042,ID053の通信装置10はいずれも、自通過規則が通過させるため(S15でYES)、受信した新通過規則を、他通過規則として記憶する(S16)。
Next, each of the
Here, the
Then, the
次に、ID031,ID042,ID053の通信装置10はそれぞれ、新通過規則の送信元の通信装置10以外に、直接接続された通信装置10があるか否かを判定する(S13)。なお、新通過規則の送信元の通信装置10とは、ID031の通信装置10であれば、ID041の通信装置10であり、ID042の通信装置10であれば、ID041,ID052の通信装置10であり、ID053の通信装置10であれば、ID052の通信装置10である。
ここでは、ID031の通信装置10には、ID021,ID032の通信装置10が接続されており、ID042の通信装置10には、ID032,ID043の通信装置10が接続されており、ID053の通信装置10には、ID043,ID054の通信装置10が接続されている。そのため、ID031の通信装置10は、ID021,ID032の通信装置10へ新通過規則を送信し、ID042の通信装置10は、ID032,ID043の通信装置10へ新通過規則を送信し、ID053の通信装置10は、ID043,ID054の通信装置10へ新通過規則を送信する(S14)。
すると、ID021,ID032,ID043,ID054の通信装置10は、新通過規則で通過させる通信データを、自通過規則が通過させるか否かを判定する(S15)。なお、ID032,ID043の通信装置10には、複数の通信装置10から新通過規則を受信するので、1つだけ残し他は破棄してよい。ここでは、ID021,ID032,ID043の通信装置10は、自通過規則が通過させるため(S15でYES)、受信した新通過規則を、他通過規則として記憶する(S16)。一方、ID054の通信装置10は、自通過規則が通過させないため(S15でNO)、受信した新通過規則を記憶せず、ID054の通信装置10についての処理は終了する。
Next, each of the
Here, the
Then, the
以上の処理を全ての通信装置10についての処理が終了するまで繰り返すことにより、新通過規則は、部分システム40に属する全ての通信装置10に記憶される。
つまり、図5に示す処理を行うことにより、新通過規則で通過させる通信データを、同様に通過させる通信装置10に新通過規則が記憶されるとともに、新通過規則で通過させる通信データを、同様に通過させる通信装置10の通過規則が新通信装置10に記憶される。
The new passage rule is stored in all the
In other words, by performing the processing shown in FIG. 5, the communication data that is passed by the new passage rule is stored in the
図6は、実施の形態1に係る通信システム100における通信データの送信時の処理を示すフローチャートである。
(S21:データ受信処理)
端末が直接接続された通信装置10のデータ受信部15は、端末から通信データを受信する。
FIG. 6 is a flowchart showing processing at the time of transmission of communication data in the
(S21: Data reception processing)
The
(S22:データ判定処理)
端末が直接接続された通信装置10(入口の通信装置10)のデータ判定部16は、自通過規則が通信データを通過させるか否かを判定する。つまり、データ判定部16は、通信データの送信元及び送信先として同一の会社が指定されており、かつ、送信元及び送信先が、自通信装置10に割り当てられた会社の端末及びサーバであるか否かを判定する。
通過させると判定した場合(S22でYES)、処理をS23へ進める。一方、通過させないと判定した場合(S22でNO)、通信データを破棄して、処理を終了する。
(S22: Data determination process)
The
If it is determined to pass (YES in S22), the process proceeds to S23. On the other hand, if it is determined not to pass (NO in S22), the communication data is discarded and the process is terminated.
(S23:再構成処理)
入口の通信装置10のデータ送信部17は、送信先のサーバが割り当てられた会社IDと、送信元の端末が割り当てられた会社IDとを通信データに追加して、通信データを再構成する。
(S23: Reconfiguration process)
The
(S24:データ送信処理)
入口の通信装置10のデータ送信部17は、送信先のサーバへのルーティングを行い、ルーティングに従い、次の通信装置10へ再構成した通信データを送信する。この際、データ送信部17は、通信データとともに、ルーティングにより得られたルート情報も送信する。
なお、ルーティングでは、他通過規則に基づき、S21で受信した通信データを通過させる通信装置10のみを通るルートを特定する。
(S24: Data transmission processing)
The
In the routing, a route that passes only the
(S25:データ転送処理)
通信データを受信した通信装置10は、ルート情報に従い、通信データを次の通信装置10へ送信する。
S25を繰り返すことにより、最終的に、送信先のサーバに通信データが辿り着く。
(S25: Data transfer process)
The
By repeating S25, the communication data finally reaches the destination server.
例えば、図1に示すID053の通信装置10に接続された端末30が、サーバ21へ通信データを送信する場合の動作は以下のようになる。
まず、ID053の通信装置10は、送信元が端末30であり、送信先がサーバ21である通信データを端末30から受信する(S21)。すると、ID053の通信装置10は、自通過規則が通信データを通過させるか否かを判定する(S22)。ここでは、送信元及び送信先は同一の会社Aであり、ID053の通信装置10の自通過規則は送信元及び送信先が会社Aの通信データを通過させるため(S22でYES)、通信データの再構成を行う(S23)。
For example, the operation when the terminal 30 connected to the
First, the
そして、ID053の通信装置10は、ルーティングを行い(ここでは、ルーティングの結果、ID053,ID052,ID042,ID032,ID022,ID012,サーバ21のルートが得られたとする)、次のID052の通信装置10へ通信データを送信する(S24)。
すると、ルーティングの結果に従い、ID052,ID042,ID032,ID022,ID012の順に通信データが送信され、最終的にサーバ21に通信データが送信される(S25)。
Then, the
Then, according to the routing result, the communication data is transmitted in the order of ID052, ID042, ID032, ID022, and ID012, and finally the communication data is transmitted to the server 21 (S25).
図6に示す処理を行うことにより、入口の通信装置10が通過させると判定した通信データは、送信先のサーバまで送られ、入口の通信装置10が通過させないと判定した通信データは、通信システム100内を流れることなく、破棄される。
図6に示したフローチャートのS23で入口の通信装置10のデータ送信部17は、送信先のサーバが割り当てられた会社IDと、送信元の端末が割り当てられた会社IDとを通信データに追加して、通信データを再構成している。しかし、S23の処理は全ての通信装置10で実施するように構成してもよい。そのときは、各通信装置10で会社IDが都度上書きされることになる。また端末にて、通信データに送信先のサーバが割り当てられた会社IDと、送信元の端末が割り当てられた会社IDとを通信データに追加して通信データを構成するようにしてもよい。
By performing the processing shown in FIG. 6, the communication data determined to be passed by the
In S23 of the flowchart shown in FIG. 6, the
以上のように、実施の形態1に係る通信システム100は、複数の通信装置10をメッシュ接続して構成され、通信データを通過させるか否かを入口の通信装置10が判断する。そのため、接続される端末数が増え、処理負荷が増えた場合には、通信装置10を増設することにより、対応可能である。
したがって、システム構築時には、少ない通信装置10で通信システム100を構成しておき、テナント数(端末数)の増加に応じて通信装置10を追加することが可能である。これにより、システムの初期コストを抑えつつ、テナント数(端末数)の増加にも対応可能となる。
As described above, the
Therefore, at the time of system construction, it is possible to configure the
また、通信システム100では、通信装置10を追加する場合、追加する通信装置10に新通過規則を設定すれば、必要な他の通信装置10へも自動的にコピーされる。そのため、大型のFW等にありがちな複雑な設定作業は必要なく、必要最低限の設定作業のみ行えばよいので、設定に係る作業負荷を減らすことが可能である。
なお、各通信装置10が自通過規則で通過させる通信データを、同様に通過させる他通信装置10の他通過規則を記憶している。そのため、通信データを受信した場合に、送信先へのルーティングが可能となる。
In addition, in the
In addition, the other passing rule of the
各通信装置10が割り当てられた会社の通信データのみ通過させるため、会社毎のネットワークを物理的に分離することもでき、逆に会社間でネットワークを物理的に共有しつつ、仮想的に分離することもできる。
これにより、セキュリティを高めることにも、コストを抑えることにも柔軟に対応可能である。
Since only the communication data of the company to which each
As a result, it is possible to flexibly cope with increasing security and reducing costs.
また、通信システム100では、通過規則が必要な他の通信装置10へも自動的にコピーされている。そのため、仮に1台の通信装置10が故障した場合、他の通信装置10で故障した通信装置10の代替が可能である。そのため、単純にケーブルの接続を直すだけで、一時的な障害復旧が可能である。
仮に入口の通信装置10が故障した場合、S23に記した、送信先のサーバが割り当てられた会社IDと、送信元の端末が割り当てられた会社IDとを通信データに追加して、通信データを再構成する処理は、端末に接続される新たな入り口の通信装置10が実施することになる。通信装置10は、ケーブルを接続するポートにより接続されている機器が端末であるか、または他の通信装置10であるかを判別できる。そのためポート位置を確認することにより、S23の処理を実施するかしないかを判定することで、いずれの通信装置10でも入口の通信装置10に代替可能となる。
また、一部の通信装置10を冗長構成とすることも可能であり、故障した通信装置10によっては、通信システム100全体には影響がでない場合もある。
一般に、大型のFW等に比べ、小型のFW等は汎用品であり、障害が発生する可能性も低い安定した製品である。したがって、障害発生頻度を少なくできる。
Moreover, in the
If the
Also, some
In general, compared to a large FW, etc., a small FW is a general-purpose product, and is a stable product that is less likely to cause a failure. Therefore, the frequency of failure occurrence can be reduced.
また、通信システム100には、複数の会社の端末が接続されている。一般に、各会社では、IPアドレスとしてグローバルアドレスではなくプライベートアドレスを端末に割り当てており、会社間でIPアドレスが重複している場合がある。しかし、通信システム100では、S23で入口の通信装置10が通信データの再構成を行い、通信データに会社IDを付与している。そのため、会社間でIPアドレスが重複していたとしても、端末を一意に特定することが可能である。
例えば、図1において、ID021,ID022,ID031,ID032の通信装置10は、会社A,Bの両方の通信データを通過させる。ここで、ID052に接続された端末30と、ID021に接続された端末31とに同じIPアドレスが割り当てられていたとする。この場合、ID021,ID022,ID031,ID032の通信装置10では、IPアドレスだけでは、ID052に接続された端末30と、ID021に接続された端末31とのどちらから送信された通信データであるか特定できない。しかし、入口の通信装置10が通信データの再構成を行い、通信データに会社IDを付与することで、どちらから送信された通信データであるか特定可能となる。
In addition, a plurality of company terminals are connected to the
For example, in FIG. 1, the
なお、図5に示すS11では、新通信装置10から新通過規則を受信し、受信した新通過規則に基づき、新通信装置10の認証を行った。しかし、この場合、不正な通信装置10が接続される恐れがある。
そこで、新通過規則等を新通信装置10に設定する際、合わせて公開鍵暗号方式における秘密鍵を設定おき、新通信装置10が、認証時に秘密鍵に基づき署名を作成して、接続された通信装置10へ送信する。そして、署名を受信した通信装置10は、秘密鍵に対応する公開鍵で署名を検証し、署名の確認ができた場合に、新通過規則に基づく認証を行うようにしてもよい。
In S11 shown in FIG. 5, a new passage rule is received from the
Therefore, when setting a new passing rule or the like in the
また、図6に示す処理では、入口の通信装置10でのみ、通信データを通過させるか否かの判定を行った。しかし、通信データが通過する各通信装置10で通信データを通過させるか否かを判定してもよい。
In the process shown in FIG. 6, it is determined whether or not communication data is allowed to pass only by the
また、上記説明では、通信データの送信元及び送信先の会社により、通信データを通過させるか否かを決定した。しかし、通信データのサービスの種類と、通信データの送信元及び送信先の会社との組合せにより、通信データを通過させるか否かを決定してもよい。 In the above description, whether or not to allow communication data to pass is determined by the communication data transmission source and transmission destination companies. However, whether or not the communication data is allowed to pass may be determined based on the combination of the communication data service type and the communication data transmission source and transmission destination companies.
図7は、サービスの種類と会社との組合せにより通信データを通過させるか否かを決定する場合の通過規則を示す図である。図7では、ID021,ID022,ID031,ID032の通信装置10の通過規則を一例として示す。
ID021,ID022,ID031,ID032の通信装置10は、会社A,Bに属するとした。そのため、通過規則には、通過させる会社として会社A,Bが含まれている。ここで、通過規則では、会社Aについては、サービスとしてメール及びウェブについては通過させるとし、会社Bについては、サービスとしてウェブのみ通過させるとしている。
つまり、通信データの送信元及び送信先が会社Aであり、サービスがメール又はウェブである場合と、通信データの送信元及び送信先が会社Bであり、サービスがウェブである場合とは、通信データを通過させることが規定されている。
このように、サービスの種類と会社との組合せにより通信データを通過させるか否かを決定することで、より細かな通信データの制御が可能である。
FIG. 7 is a diagram illustrating a passing rule when determining whether or not to allow communication data to pass according to a combination of a service type and a company. In FIG. 7, the passing rules of the
It is assumed that the
That is, the communication data transmission source and transmission destination are company A and the service is mail or web, and the communication data transmission source and transmission destination are company B and the service is web. It is stipulated that data be passed.
As described above, it is possible to control communication data more finely by determining whether or not to allow communication data to pass through depending on the combination of service type and company.
図8は、図7に示すように通過規則を規定した場合に通信システム100が構成するネットワークシステムの概念図である。
通信システム100は、部分システム40,41,42の3つのネットワークシステムを構成する。そして、各部分システム40,41,42が、さらにサービス毎に仮想的に分離されたネットワークシステムに分かれている。
FIG. 8 is a conceptual diagram of a network system configured by the
The
また、図5で説明した通過規則の送信処理と、図6で説明した通信データの送信処理は、非同期に実施される。また通過規則と通信データとは1つのケーブル内で通信されるが、データは識別情報を有し、通過規則の方が通信データより優先されて通信されるように構成してもよい。そのように構成することにより、通信装置10間の制御が優先される。
In addition, the passing rule transmission process described in FIG. 5 and the communication data transmission process described in FIG. 6 are performed asynchronously. Further, although the passage rule and the communication data are communicated within one cable, the data may include identification information, and the passage rule may be communicated with priority over the communication data. With such a configuration, priority is given to the control between the
実施の形態2.
実施の形態1では、通信データの送信元及び送信先に同じ会社が指定されていることを、通信データを通過させる条件とした。しかし、会社を跨いで通信データを送信する場合も考えられる。実施の形態2では、会社を跨いで通信データを送信する場合の処理について説明する。
実施の形態2に係る通信システム100について、実施の形態1に係る通信システム100と異なる部分を中心に説明する。
Embodiment 2. FIG.
In the first embodiment, the condition that the communication data is allowed to pass is that the same company is specified as the transmission source and the transmission destination of the communication data. However, there may be a case where communication data is transmitted across companies. In the second embodiment, a process for transmitting communication data across companies will be described.
The
図9は、実施の形態2に係る通過規則を示す図である。図9では、ID043の通信装置10の通過規則を一例として示す。
ID043の通信装置10は、会社A,Cに属するとした。そのため、通過規則には、通過させる会社として会社A,Cが含まれている。ここで、通過規則では、会社A,Cのどちらについても、サービスとしてメール及びウェブについては通過させるとしている。つまり、通信データの送信元が会社A又は会社Cであり、サービスがメール又はウェブである場合、通信データを通過させるとしている。
また、A社の規則におけるウェブについては、トンネル先としてC社が規定されている。トンネル先は、通信データを転送する先の会社を示す。つまり、通信データの送信元が会社Aであり、サービスがウェブである場合、通信データを会社Cのサーバへ転送可能であるとしている。
FIG. 9 is a diagram illustrating a passing rule according to the second embodiment. In FIG. 9, the passing rule of the
The
Further, regarding the web in the rules of Company A, Company C is defined as a tunnel destination. The tunnel destination indicates a company to which communication data is transferred. That is, when the transmission source of the communication data is the company A and the service is the web, the communication data can be transferred to the server of the company C.
図10は、図9に示すように通過規則を規定した場合に通信システム100が構成するネットワークシステムの概念図である。
通信システム100は、部分システム40,41,42の3つのネットワークシステムを構成する。そして、各部分システム40,41,42が、さらにサービス毎に仮想的に分離されたネットワークシステムに分かれている。
そして、ID043の通信装置10により、部分システム40(会社A)のウェブサービスの層から、部分システム42(会社C)のウェブサービスの層へのパスが形成されている。このパスを用いて通信データを部分システム40のウェブサービスの層から部分システム42のウェブサービスの層へ流すことが可能である。
FIG. 10 is a conceptual diagram of a network system that the
The
The
図11は、実施の形態2に係る通信システム100における通信データの送信時の処理を示すフローチャートである。
(S31:データ受信処理)
端末が直接接続された通信装置10のデータ受信部15は、端末から通信データを受信する。ここでは、通信データの送信元の端末が属する会社(以下、第1グループ)と、通信データの送信先のサーバが属する会社(以下、第2グループ)とが異なる会社であるとする。
FIG. 11 is a flowchart showing processing at the time of transmission of communication data in the
(S31: Data reception processing)
The
(S32:データ判定処理)
入口の通信装置10のデータ判定部16は、自通過規則が通信データを通過させるか否かを判定する。つまり、データ判定部16は、送信元が自通信装置10に割り当てられた会社の端末であるか否かを判定する。
通過させると判定した場合(S32でYES)、処理をS33へ進める。一方、通過させないと判定した場合(S32でNO)、通信データを破棄して、処理を終了する。
(S32: Data determination process)
The
If it is determined to pass (YES in S32), the process proceeds to S33. On the other hand, if it is determined not to pass (NO in S32), the communication data is discarded and the process is terminated.
(S33:再構成処理)
入口の通信装置10のデータ送信部17は、送信先のサーバが割り当てられた会社IDと、送信元の端末が割り当てられた会社IDとを通信データに追加して、通信データを再構成する。
(S33: Reconfiguration process)
The
(S34:データ送信処理)
入口の通信装置10のデータ送信部17は、通信データで指定したサービスについて、第1グループから第2グループへの転送を行う中継通信装置10へのルーティングを行い、ルーティングに従い、次の通信装置10へ再構成した通信データを送信する。この際、データ送信部17は、通信データとともに、ルーティングにより得られたルート情報も送信する。
なお、ルーティングでは、他通過規則に基づき、第1グループを送信元とした通信データを通過させる通信装置10のみを通るルートを特定する。
(S34: Data transmission processing)
The
In the routing, a route that passes only the
(S35:データ転送処理)
通信データを受信した通信装置10は、ルート情報に従い、通信データを次の通信装置10へ送信する。
S35を繰り返すことにより、最終的に、中継通信装置10に通信データが辿り着く。
(S35: Data transfer process)
The
By repeating S35, the communication data finally arrives at the
(S36:データ中継処理)
中継通信装置10のデータ送信部17は、送信先のサーバへのルーティングを行い、次の通信装置10へ通信データを送信する。なお、データ送信部17は、通信データとともに、ルーティングにより得られたルート情報も送信する。
なお、ルーティングでは、他通過規則に基づき、第2グループを送信元とした通信データを通過させる通信装置10のみを通るルートを特定する。
(S36: Data relay processing)
The
In the routing, a route that passes only the
(S37:データ転送処理)
通信データを受信した通信装置10は、ルート情報に従い、通信データを次の通信装置10へ送信する。
S37を繰り返すことにより、最終的に、送信先のサーバに通信データが辿り着く。
(S37: Data transfer process)
The
By repeating S37, the communication data finally reaches the destination server.
例えば、図1に示すID052の通信装置10に接続された端末30が、会社Cのサーバ25(ウェブサーバ)へ通信データを送信する場合の動作は以下のようになる。
まず、ID052の通信装置10は、送信元が端末30であり、送信先がサーバ25である通信データを端末30から受信する(S31)。すると、ID052の通信装置10は、自通過規則が通信データを通過させるか否かを判定する(S32)。ここでは、ID052の通信装置10の自通過規則は送信元が会社Aの通信データを通過させるため(S32でYES)、通信データの再構成を行う(S33)。
For example, the operation when the terminal 30 connected to the
First, the
そして、ID053の通信装置10は、ウェブサービスについて会社Aから会社Cへの転送を行うID043の通信装置10へのルーティングを行い(ここでは、ルーティングの結果、ID053,ID043のルートが得られたとする)、次のID053の通信装置10へ通信データを送信する(S34)。
すると、ルーティングの結果に従い、ID053,ID043の順に通信データが送信される(S35)。
Then, the
Then, communication data is transmitted in the order of ID053 and ID043 according to the result of routing (S35).
ID043の通信装置10は、サーバ25へのルーティングを行い(ここでは、ルーティングの結果、ID044,ID045,ID035,サーバ25のルートが得られたとする)、次のID044の通信装置10へ通信データを送信する(S36)。
すると、ルーティングの結果に従い、ID044,ID045,ID035の順に通信データが送信され、最終的にサーバ25に通信データが送信される(S37)。
The
Then, according to the routing result, the communication data is transmitted in the order of ID044, ID045, and ID035, and finally the communication data is transmitted to the server 25 (S37).
以上のように、通信システム100では、会社を跨いで通信データを送信する場合、2つの会社のどちらを送信元とした通信データも通過させる中継通信装置10を経由させて、送信先へ通信データを送信する。
そのため、通信データを送信する端末は、特に会社を跨ぐことを意識する必要はなく、単に送信先を指定すればよい。
As described above, in the
Therefore, the terminal that transmits the communication data does not need to be particularly conscious of straddling the company, and simply specifies the transmission destination.
なお、図11に示すS32では、自通過規則が通信データを通過させるか否かのみ判定した。しかし、通信データで指定されたサービスについて、第1グループから第2グループへの転送を行う中継通信装置10が存在するか否かも、併せて判定してもよい。そして、中継通信装置10が存在しない場合にも、通信データを破棄して、処理を終了してもよい。
In S32 shown in FIG. 11, it is determined only whether or not the self-passing rule allows communication data to pass. However, it may also be determined whether or not there is a
また、図11に示す処理では、入口の通信装置10でのみ、通信データを通過させるか否かの判定を行った。しかし、通信データが通過する各通信装置10で通信データを通過させるか否かを判定してもよい。
この場合、S36で、中継通信装置10のデータ送信部17は、通信データの送信元を送信先の会社に一時的に置き換える。これにより、中継通信装置10から送信先のサーバまでに経由する通信装置10を通信データが通過できる。なお、通信データの送信元を置き換える場合、本来の送信元を通信データに残しておく。これにより、例えば、サーバからの返信データの送信先を本来の送信元にすることができる。
Further, in the process shown in FIG. 11, it is determined whether or not communication data is allowed to pass only in the
In this case, in S36, the
また、上記説明では、例えば、会社Aの端末30が会社Aのサーバ21へ通信データを送信する場合、会社Aの部分システム40の通信装置10のみを通信データが通るようにした。しかし、上述した会社を跨ぐという考え方を応用して、会社Aの部分システム40の2つの通信装置10間を、他の会社の通信装置10を介して仮想的に接続することも可能である。
In the above description, for example, when the terminal 30 of the company A transmits communication data to the
実施の形態3.
実施の形態3では、実施の形態1,2で説明した通信システム100において、通信データを効率的に送信先へ送信する方法について説明する。
Embodiment 3 FIG.
In the third embodiment, a method for efficiently transmitting communication data to a transmission destination in the
実施の形態1では、図6のS24で送信先のサーバへのルーティングを行い、ルーティングに従い、次の通信装置10へ再構成した通信データを送信するとした。そして、実施の形態1では、ルーティングにより、1つのルートが特定されるものとして説明した。
しかし、入口の通信装置10から送信先のサーバへのルートは、複数存在する場合がある。そこで、データを分割して各ルートへ流すことにより、各ルートのトラフィックを分散させる。
In the first embodiment, routing to the transmission destination server is performed in S24 of FIG. 6, and the reconfigured communication data is transmitted to the
However, there may be a plurality of routes from the
図12は、実施の形態3に係る通信データの転送ルートを示す図である。図12では、ID053の通信装置10に接続された端末30から、サーバ21へ通信データを送信する場合を一例として示す。
図6のS21からS23まで実行され、S24でID053の通信装置10からサーバ21へのルーティングがされる。ここでは、ID053,ID052,ID042,ID032,ID022,ID021,サーバ21のルートR1と、ID053,ID052,ID051,ID041,ID031,ID021,ID011,ID012,サーバ21のルートR2とが特定されたとする。つまり、ID052で分岐する2つのルートR1,R2が特定されたとする。
この場合、ID053の通信装置10からID052の通信装置10へは、通信データ全体を送信する。そして、ID052の通信装置10で、通信データを2つに分け、一方をID042(ルートR1)へ送信し、他方をID051(ルートR2)へ送信する。そして、ID042へ送信された通信データは、ルートR1を通ってサーバ21へ到達し、ID051へ送信された通信データは、ルートR2を通ってサーバ21へ到達する。
FIG. 12 is a diagram showing a transfer route of communication data according to the third embodiment. In FIG. 12, a case where communication data is transmitted from the terminal 30 connected to the
6 are executed from S21 to S23, and the routing from the
In this case, the entire communication data is transmitted from the
以上のように、実施の形態3に係る通信システム100では、送信先へのルートが複数存在する場合に、通信データを分割して各ルートへ流す。これにより、各通信装置10に係る負荷を分散させることが可能である。
As described above, in the
なお、通信装置10は、送信先までの複数のルートのうち、トラフィックが所定値以下の空いているルートを特定するとしてもよい。そして、特定されたルートが複数ある場合には、通信データを分割して各ルートへ流し、1つだけしか特定されない場合には、そのルートへ全ての通信データを流す。トラフィックが所定値以下のルートがない場合には、最もトラフィックの少ないルートを1つ特定するとしてもよい。
Note that the
また、通信データの分割の仕方は、データ量が均等になるように分割してもよいし、各ルートのトラフィックに応じてデータ量を調整してもよい。 Further, the communication data may be divided so that the data amount becomes equal, or the data amount may be adjusted according to the traffic of each route.
次に、実施の形態における通信装置10、通信サーバ20のハードウェア構成について説明する。
図13は、通信装置10のハードウェア構成の一例を示す図である。
図13に示すように、通信装置10は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
Next, the hardware configuration of the
FIG. 13 is a diagram illustrating an example of a hardware configuration of the
As illustrated in FIG. 13, the
ROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
In the
プログラム群923には、上記の説明において「規則受信部12」、「規則判定部13」、「規則送信部14」、「データ受信部15」、「データ判定部16」、「データ送信部17」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、上記の説明において「通過規則」、「通信データ」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
The
In the
また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
また、上記の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜装置」として説明するものは、「〜回路」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。さらに、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「〜部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「〜部」の手順や方法をコンピュータ等に実行させるものである。
In the above description, the arrows in the flowchart mainly indicate input / output of data and signals, and the data and signal values are recorded in a memory of the
In addition, what is described as “to part” in the above description may be “to circuit”, “to device”, “to device”, “to means”, and “to function”. It may be “step”, “˜procedure”, “˜processing”. In addition, what is described as “˜device” may be “˜circuit”, “˜device”, “˜means”, “˜function”, and “˜step”, “˜procedure”, “ ~ Process ". Furthermore, what is described as “to process” may be “to step”. That is, what is described as “˜unit” may be realized by firmware stored in the
10 通信装置、11 通過規則記憶部、12 規則受信部、13 規則判定部、14 規則送信部、15 データ受信部、16 データ判定部、17 データ送信部、20−25 サーバ、30−32 端末、100 通信システム。
DESCRIPTION OF
Claims (7)
各通信装置は、
自通信装置が通過させる通信データの規則を自通過規則として記憶するとともに、自通信装置が通過させる通信データを通過させる他通信装置の前記規則を他通過規則として記憶する通過規則記憶部と、
新たに接続された新通信装置の前記規則を新通過規則として受信する規則受信部と、
前記規則受信部が新通過規則を受信した場合、前記新通過規則で通過させる通信データを前記通過規則記憶部が記憶した自通過規則が通過させるか否かを判定する規則判定部と、
自通過規則が通過させると前記規則判定部が判定した場合、接続された他通信装置へ前記新通過規則を送信する規則送信部と、
を備え、
前記通過規則記憶部は、通過させると前記規則判定部が判定した場合、前記新通過規則を他通過規則として記憶する
ことを特徴とする通信システム。 A communication system in which a plurality of communication devices that limit data to be passed are mesh-connected,
Each communication device
Storing a rule of communication data passed by the own communication device as a self-passing rule, and a passing rule storage unit for storing the rule of another communication device that passes the communication data passed by the own communication device as another passing rule;
A rule receiving unit for receiving the rule of a newly connected new communication device as a new passing rule;
When the rule receiving unit receives a new passing rule, a rule determining unit that determines whether or not the self-passing rule stored in the passing rule storage unit passes communication data that passes through the new passing rule;
When the rule determining unit determines that the self-passing rule passes, a rule transmitting unit that transmits the new passing rule to another connected communication device;
With
The communication system according to claim 1, wherein the passage rule storage unit stores the new passage rule as another passage rule when the rule determination unit determines that the passage is allowed to pass.
ことを特徴とする請求項1に記載の通信システム。 The rule transmission unit is a communication device in which the own communication device is directly connected to the new communication device, and when the rule determination unit determines that the own passage rule passes, the passage rule storage unit stores The communication system according to claim 1, wherein the self-passing rule and the other passing rule are transmitted to the new communication device.
前記規則送信部は、接続された他通信装置のうち、前記規則判定部が通過させると判定した他通信装置へのみ前記新通過規則を送信する
ことを特徴とする請求項1又は2に記載の通信システム。 The rule determination unit determines whether or not the other passing rule of each connected other communication device passes the communication data to be passed by the new passing rule,
The said rule transmission part transmits the said new passage rule only to the other communication apparatus which the said rule determination part determined to pass among the other communication apparatuses connected, The Claim 1 or 2 characterized by the above-mentioned. Communications system.
前記通信システムは、さらに、
接続された機器から通信データを受信するデータ受信部と、
前記データ受信部が受信した通信データの送信元の機器が属するグループが、自通過規則が通信データを通過させると定めたグループである否かを判定するデータ判定部と、
通過させると定めたグループであると前記データ判定部が判定した場合、前記通信データを送信先へ宛てて、接続された他通信装置へ送信するデータ送信部と
を備えることを特徴とする請求項1から3までのいずれかに記載の通信システム。 The rule defines a group that allows the communication data to pass through;
The communication system further includes:
A data receiver for receiving communication data from the connected device;
A data determination unit that determines whether or not a group to which a transmission source device of communication data received by the data reception unit belongs is a group that the self-passing rule determines to pass communication data;
And a data transmission unit configured to transmit the communication data to a transmission destination to another connected communication device when the data determination unit determines that the group is determined to pass. The communication system according to any one of 1 to 3.
ことを特徴とする請求項4に記載の通信システム。 The communication system according to claim 4, wherein the data transmission unit transmits the communication data to another communication device after adding identification information of a group to which the transmission source device belongs to the communication data. .
前記両方のグループを通過させると定めた規則を持つ通信装置の前記データ送信部は、送信元の機器が属する第1グループと、送信先の機器が属する第2グループとが異なる通信データを他通信装置から受信した場合、前記通信データを送信先へ宛てて、接続された他通信装置へ送信する
ことを特徴とする請求項4又は5に記載の通信システム。 The data transmission unit of the communication device that has received communication data from a connected device has communication data in which the first group to which the transmission source device belongs and the second group to which the transmission destination device belongs are different from each other. When received, the communication data is transmitted to another communication device having a rule determined to pass both the first group and the second group,
The data transmission unit of the communication device having a rule that determines that both groups are allowed to pass the communication data in which the first group to which the transmission source device belongs and the second group to which the transmission destination device belongs are differently communicated. 6. The communication system according to claim 4, wherein, when received from an apparatus, the communication data is transmitted to a destination other than the communication data.
ことを特徴とする請求項4から6までのいずれかに記載の通信システム。 When there are a plurality of other communication devices connected, the data transmission unit divides the communication data into a plurality of child communication data, and transmits each child communication data to a different other communication device. A communication system according to any one of claims 4 to 6.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012064805A JP5307264B2 (en) | 2012-03-22 | 2012-03-22 | Communications system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012064805A JP5307264B2 (en) | 2012-03-22 | 2012-03-22 | Communications system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013198027A JP2013198027A (en) | 2013-09-30 |
| JP5307264B2 true JP5307264B2 (en) | 2013-10-02 |
Family
ID=49396411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012064805A Expired - Fee Related JP5307264B2 (en) | 2012-03-22 | 2012-03-22 | Communications system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5307264B2 (en) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06132959A (en) * | 1992-10-20 | 1994-05-13 | Oki Electric Ind Co Ltd | Routing control system |
| KR100846530B1 (en) * | 2000-07-05 | 2008-07-15 | 언스트 앤 영 엘엘피 | Method and apparatus for providing computer services |
| CN101529398B (en) * | 2006-06-14 | 2011-05-11 | 松下电工株式会社 | Network system |
| JP5258676B2 (en) * | 2009-06-12 | 2013-08-07 | Kddi株式会社 | Rule information changing method, management apparatus and program in firewall |
| JP5372057B2 (en) * | 2011-03-31 | 2013-12-18 | 三菱電機株式会社 | Communication system and communication method |
-
2012
- 2012-03-22 JP JP2012064805A patent/JP5307264B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013198027A (en) | 2013-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117716675A (en) | Selecting end-to-end paths with dynamic Software Defined Cloud Interconnect (SDCI) tunnels | |
| CN106059946B (en) | Message forwarding method and device | |
| EP3609128A1 (en) | Communication system, provider node, communication node and method for providing a virtual network function to a customer node | |
| Dobaj et al. | Dependable mesh networking patterns | |
| US10999188B1 (en) | Tool port aliasing in a network visibility fabric | |
| CN109120386A (en) | Wireless communication device, system and method | |
| CN111884837A (en) | Migration method and device of virtual encryption machine and computer storage medium | |
| JP6634718B2 (en) | Virtual network setting method, virtual network setting program, and relay device | |
| US9426122B2 (en) | Architecture for network management in a multi-service network | |
| JP5307264B2 (en) | Communications system | |
| CN109981437B (en) | Multi-data center intercommunication method based on VPC and related equipment | |
| CN105471746A (en) | Relay system and switching device | |
| Cheng et al. | Reaching Consensus with Byzantine Faulty Controllers in Software‐Defined Networks | |
| US10574481B2 (en) | Heterogeneous capabilities in an overlay fabric | |
| US7738401B2 (en) | System and method for overlaying a hierarchical network design on a full mesh network | |
| JP7537137B2 (en) | Relay device, information processing program, information processing method, and storage system | |
| US12001856B2 (en) | Configuration validation in a disaggregated network OS environment | |
| De Vaere et al. | Tableau: Future-proof zoning for ot networks | |
| JP6601198B2 (en) | Relay device, setting method, setting program, and information processing system | |
| US20160365987A1 (en) | Personal computer network | |
| JP6586374B2 (en) | COMMUNICATION DEVICE, ROUTE MANAGEMENT SERVER, COMMUNICATION METHOD, AND VIRTUAL PORT ALLOCATION METHOD | |
| CN108390780B (en) | Method and apparatus for processing information | |
| CN118764448B (en) | Data transmission method, device, electronic device, storage medium and program product | |
| US20180077009A1 (en) | Management apparatus and shared network system | |
| JP7625702B2 (en) | Distributed routing controller for multi-region SDWAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130626 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |