[go: up one dir, main page]

JP6372611B2 - 情報処理装置及び保守システム - Google Patents

情報処理装置及び保守システム Download PDF

Info

Publication number
JP6372611B2
JP6372611B2 JP2017504328A JP2017504328A JP6372611B2 JP 6372611 B2 JP6372611 B2 JP 6372611B2 JP 2017504328 A JP2017504328 A JP 2017504328A JP 2017504328 A JP2017504328 A JP 2017504328A JP 6372611 B2 JP6372611 B2 JP 6372611B2
Authority
JP
Japan
Prior art keywords
maintenance
network
controller
unit
identification data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017504328A
Other languages
English (en)
Other versions
JPWO2016143003A1 (ja
Inventor
淳一 ▲高▼宮
淳一 ▲高▼宮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2016143003A1 publication Critical patent/JPWO2016143003A1/ja
Application granted granted Critical
Publication of JP6372611B2 publication Critical patent/JP6372611B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • G06F15/1735Network adapters, e.g. SCI, Myrinet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/20Arrangements affording multiple use of the transmission path using different combinations of lines, e.g. phantom working
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

情報処理装置の保守技術に関する。
サーバは、サーバ上で動作するユーザ用OS(Operating System)が使用するネットワーク(以下、業務ネットワークと呼ぶ)とは別に、管理用のネットワーク(以下、管理ネットワークと呼ぶ)に接続されることがある。管理ネットワークは、サーバ内の管理コントローラにアクセスするための専用のネットワークである。業務ネットワークと管理ネットワークとは物理的に分けられているため、OS上にあるユーザデータに管理ネットワークからアクセスすることはできない。
このようなサーバに対して保守員がメンテナンス作業を行う際、保守員は、サーバの動作をチェックするため、サーバに保存されたログの閲覧等を行う。但し、セキュリティの問題によりサーバを直接操作できない場合には、保守用の端末を管理ネットワークを介してサーバに接続することで、サーバに保存されているログにアクセスする。
TCP/IPv4(Transmission Control Protocol/Internet Protocol version 4)によれば、保守用の端末を管理ネットワーク経由でサーバに接続する場合、サーバと端末が同じネットワークに属していなければならない。両者を同じネットワークに属させるためには、例えば図1に示すように、端末のネットワーク設定をサーバのネットワーク設定に合わせて変更すればよい。図1の例においては、端末のIPアドレスが「128.10.20.30」から「192.168.1.11」に変更され、端末のサブネットマスクが「255.255.0.0」から「255.255.255.0」に変更されている。また、例えば図2に示すように、サーバのネットワーク設定を端末のネットワーク設定に合わせて変更してもよい。図2の例においては、サーバのIPアドレスが「192.168.1.10」から「128.10.20.31」に変更され、サーバのサブネットマスクが「255.255.255.0」から「255.255.0.0」に変更されている。
但し、保守員がサーバのネットワーク設定を取得できない(例えば、ユーザがネットワーク設定の公開を望まない)場合がある。この場合、保守員はネットワーク設定を合致させることができないので、端末をサーバ内のログにアクセスさせることができず、メンテナンス作業を行うことができない。サーバと端末との接続に関する従来技術においては、このような問題には着目されていない。
特開平08−110879号公報
従って、1つの側面では、本発明の目的は、サーバに端末を接続した場合に、サーバのネットワーク設定を接続した端末用のネットワーク設定に変更するための技術を提供することである。
本発明に係る情報処理装置は、第1のネットワークポートに第1の装置が接続されたことを検出する検出部と、第1のネットワークポートに第1の装置が接続されたことが検出部により検出された場合、情報処理装置のネットワーク設定を、第1のネットワークポート用のネットワーク設定に変更する制御部と、第1のネットワークポートに第1の装置が接続されたことが検出部により検出された場合、第1の装置が第1のネットワークポートを介した通信を行えるように情報処理装置内の伝送路の切替を行う切替部とを有する。
1つの側面では、サーバに端末を接続した場合に、サーバのネットワーク設定を接続した端末用のネットワーク設定に変更できるようになる。
図1は、ネットワーク設定の変更について説明するための図である。 図2は、ネットワーク設定の変更について説明するための図である。 図3は、第1の実施の形態のシステム概要を示す図である。 図4は、データ格納部に格納されるデータの一例を示す図である。 図5は、保守端末の機能ブロック図である。 図6は、第1の実施の形態の概要を説明するための図である。 図7は、第1の実施の形態のサーバが実行する処理の処理フローを示す図である。 図8は、退避処理の処理フローを示す図である。 図9は、第1の実施の形態における設定切替処理の処理フローを示す図である。 図10は、第1の実施の形態のサーバが実行する処理の処理フローを示す図である。 図11は、第1の実施の形態のサーバが実行する処理の処理フローを示す図である。 図12は、第2の実施の形態のシステム概要を示す図である。 図13は、第2の実施の形態のサーバが実行する処理の処理フローを示す図である。 図14は、第2の実施の形態のサーバが実行する処理の処理フローを示す図である。 図15は、第2の実施の形態のサーバが実行する処理の処理フローを示す図である。 図16は、第3の実施の形態のサーバが実行する処理の処理フローを示す図である。 図17は、第3の実施の形態の保守端末が実行する処理の処理フローを示す図である。 図18は、第4の実施の形態のシステム概要を示す図である。 図19は、第4の実施の形態のサーバが実行する処理の処理フローを示す図である。 図20は、第4の実施の形態のサーバが実行する処理の処理フローを示す図である。 図21は、第5の実施の形態の概要を説明するための図である。 図22は、第5の実施の形態のサーバが実行する処理の処理フローを示す図である。 図23は、第5の実施の形態における設定切替処理の処理フローを示す図である。 図24は、第5の実施の形態のサーバが実行する処理の処理フローを示す図である。 図25は、コンピュータの機能ブロック図である。
[実施の形態1]
図3に、本実施の形態におけるシステム概要を示す。サーバ1は、業務ネットワークに接続されるネットワークポートである業務ネットワークポート151と、管理LAN(Local Area Network)に接続されるネットワークポートである管理LANポート152と、保守端末3をサーバ1に接続させるためのネットワークポートである保守用ネットワークポート153とを有する。保守用ネットワークポート153には、LANケーブル等を介して保守端末3が接続される。
サーバ1は、例えばNIC(Network Interface Card)である切替コントローラ10と、管理コントローラ11と、サーバ1のユーザ用のリソースであるユーザ用リソース12とを有する。
切替コントローラ10は、制御コントローラ101と、検出部102と、第1切替部103と、第2切替部104と、I/F(InterFace)部105と、データ格納部106とを有する。
制御コントローラ101は、第1切替部103及び第2切替部104を制御する処理等を実行する。検出部102は、保守用ネットワークポート153に保守端末3が接続されたことを検出する処理等を実行する。
第1切替部103は、伝送路の切替を行うスイッチである。具体的には、第1切替部103は、管理LANポート152と管理コントローラ11とをつなぐ伝送路(以下、第1の伝送路と呼ぶ)と、保守用ネットワークポート153と管理コントローラ11とをつなぐ伝送路(以下、第2の伝送路と呼ぶ)と、いずれの伝送路も切断された状態とを切り替える。第1の伝送路を生成する場合、第1切替部103は、接点103aと接点103bとを接続する。第2の伝送路を生成する場合、第1切替部103は、接点103aと接点103cとを接続する。両方の伝送路を切断する場合、第1切替部103は、接点103aを接点103b及び103cのいずれにも接続しない。
第2切替部104は、制御コントローラ101とI/F部105との間の伝送路を生成及び切断するスイッチである。具体的には、第2切替部104は、制御コントローラ101とI/F部105とを伝送路でつなぐ場合、接点104aと接点104cとを接続する。制御コントローラ101とI/F部105とを伝送路でつながない場合、第2切替部104は、接点104aと接点104bとを接続する。I/F部105は、管理コントローラ11と接続するためのインタフェースである。
図4に、データ格納部106に格納されるデータの一例を示す。データ格納部106は、識別データ格納領域と、管理LAN設定格納領域と、保守用設定格納領域とを含む。識別データ格納領域には、識別データが予め格納される。管理LAN設定格納領域は、管理LAN設定を退避するための領域である。保守用設定格納領域には、保守用設定が予め格納される。識別データとは、保守端末3がサーバ1にアクセスする際に使用されるデータである。管理LAN設定とはサーバ1の元々のネットワーク設定であり、本実施の形態においては、ネットワーク設定はIPアドレス及びサブネットマスクを含む。保守用設定とはサーバ1に保守端末3が接続された際に使用されるネットワーク設定であり、管理LAN設定と同様、保守用設定はIPアドレス及びサブネットマスクを含む。このように、保守用設定を予め用意しておくことで、サーバ1の元々のネットワーク設定の取得に制限がある場合であっても、保守端末3がサーバ1内のデータにアクセスすることができるようになる。
図3の説明に戻り、管理コントローラ11は、ログ管理部1110を有する管理LANコントローラ111と、ログ格納部112と、I/F部113と、ネットワーク設定格納部114とを有する。
ログ管理部1110は、ログ格納部112に格納されたログを管理する処理等を実行する。ログ格納部112には、サーバ1に関するログ(例えば、動作ログ)が格納される。I/F部113は、切替コントローラ10と接続するためのインタフェースである。ネットワーク設定格納部114には、サーバ1のネットワーク設定が格納される。
ユーザ用リソース12は、CPU121と、メモリ122と、バスコントローラ123と、LANコントローラ124と、I/O(Input/Output)コントローラ125と、ストレージデバイス126とを有する。サーバ1のOSのプログラム及びアプリケーションプログラムはストレージデバイス126に格納されており、メモリ122にロードされCPU121により実行される。なお、ユーザ用リソース12は通常のコンピュータに用いられるリソースと同じであるので、ここでは詳細な説明を省略する。
図5に、保守端末3の機能ブロック図を示す。保守端末3は、通信部301と、ネットワーク設定格納部302と、識別データ格納部303と、ポート31とを有する。通信部301は、サーバ1にデータを送信する処理及びサーバ1からデータを受信する処理を実行する。ネットワーク設定格納部302には、保守用設定(本実施の形態においては、IPアドレス及びサブネットマスク)が予め格納される。保守端末3のネットワーク設定格納部302に格納されるネットワーク設定が表すネットワークは、保守用設定格納領域に格納されるネットワーク設定が表すネットワークと同じである。識別データ格納部303には、保守端末3がサーバ1にアクセスする際に使用される識別データが予め格納される。
次に、図6を用いて、本実施の形態の概要について説明する。
まず、サーバ1の保守用ネットワークポート153に接続された保守端末3が、ネットワーク識別データ(00−00−5E−00−01−01)とネットワーク設定(192.168.1.10/255.255.255.0)とを含むパケットをサーバ1に送信する。サーバ1における切替コントローラ10は、パケットに含まれるネットワーク識別データと、切替コントローラ10に予め登録されたネットワーク識別データ(00−00−5E−00−01−01)とが一致する場合、保守用ネットワークポート153と管理コントローラ11とを伝送路でつなげる。
但し、切替コントローラ10は、保守端末3のアクセスが開始される前に、管理コントローラ11のネットワーク設定格納部114に格納されたネットワーク設定(192.168.2.10/255.255.255.0)を、保守端末3がアクセスできない領域に退避しておく。また、切替コントローラ10は、管理コントローラ11のネットワーク設定格納部114に格納されているネットワーク設定を、管理LAN設定(192.168.2.10/255.255.255.0)から保守用設定(192.168.1.10/255.255.255.0)に変更しておく。
すると、管理コントローラ11のネットワーク設定格納部114に格納されたネットワーク設定(192.168.1.10/255.255.255.0)と、保守端末3が送信したパケットに含まれるネットワーク設定(192.168.1.10/255.255.255.0)とが一致するようになる。これにより、保守端末3は、ログ格納部112に格納されたログを管理コントローラ11から取得できるようになる。また、保守端末3の接続が終了した場合には、退避されたネットワーク設定を、管理コントローラ11のネットワーク設定格納部114に再び格納することで、通常の運用を再開できるようになる。
次に、図7乃至図11を用いて、本実施の形態についてより詳細に説明する。はじめに、保守端末3がサーバ1に接続される際の処理について説明する。
まず、検出部102は、保守用ネットワークポート153の状態を確認し(図7:ステップS1)、保守用ネットワークポート153にLANケーブルが接続された(すなわち、リンクアップした)か判断する(ステップS3)。
保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS3:Noルート)、検出部102は所定時間待機し、ステップS1の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続された場合(ステップS3:Yesルート)、検出部102は、LANケーブルを介して受信したパケットから、ネットワーク識別データを取り出す(ステップS5)。本実施の形態においては、ネットワーク識別データは仮想MAC(Media Access Control)アドレスであり、パケットにおける送信元MACアドレスのフィールドに格納される。
検出部102は、ネットワーク識別データを取得することを要求する第1取得要求を制御コントローラ101に出力する。これに応じ、制御コントローラ101は、ネットワーク識別データをデータ格納部106における識別データ格納領域から読み出し(ステップS7)、検出部102に通知する。
検出部102は、ステップS5においてパケットから取り出したネットワーク識別データと、ステップS7において識別データ格納領域から読み出したネットワーク識別データとが一致するか判断する(ステップS9)。
ステップS5においてパケットから取り出したネットワーク識別データと、ステップS7において識別データ格納領域から読み出したネットワーク識別データとが一致しない場合(ステップS9:Noルート)、受信したパケットを廃棄し、ステップS1の処理に戻る。
一方、ステップS5においてパケットから取り出したネットワーク識別データと、ステップS7において識別データ格納領域から読み出したネットワーク識別データとが一致する場合(ステップS9:Yesルート)、検出部102は、ネットワーク識別データが一致したことを制御コントローラ101に通知する。
制御コントローラ101は、第1の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第1切替部103は、管理LANコントローラ111と管理LANポート152とをつなぐ伝送路を切断し、いずれの伝送路も切断された状態に切り替える。また、第2切替部104は、接点104aと接点104cとを接続することで、管理LANコントローラ111と制御コントローラ101とを伝送路でつなぐ(ステップS11)。
制御コントローラ101は、退避処理を実行する(ステップS13)。退避処理については、図8を用いて説明する。
まず、切替コントローラ10における制御コントローラ101は、管理LAN設定の取得を要求する第2取得要求を管理コントローラ11における管理LANコントローラ111に送信する(図8:ステップS31)。ここでは、制御コントローラ101と管理LANコントローラ111とをつなぐ伝送路を介して第2取得要求が送信される。
管理コントローラ11における管理LANコントローラ111は、制御コントローラ101から第2取得要求を受信する(ステップS33)。そして、管理LANコントローラ111は、管理LAN設定をネットワーク設定格納部114から読み出し(ステップS35)、読み出した管理LAN設定を含む応答を、制御コントローラ101に送信する(ステップS37)。ここでは、制御コントローラ101と管理LANコントローラ111とをつなぐ伝送路を介して応答が送信される。
制御コントローラ101は、管理LANコントローラ111から応答を受信し(ステップS39)、データ格納部106における管理LAN設定格納領域に、応答に含まれる管理LAN設定を格納する(ステップS41)。そして呼び出し元の処理に戻る。
以上のような処理を実行すれば、ネットワーク設定の変更によって管理LAN設定が失われることを防げるようになる。また、データ格納部106は保守端末3がアクセスできない場所にあるので、管理コントローラ11へのアクセスを許可したとしても管理LAN設定が漏洩してしまうことは無い。
図7の説明に戻り、制御コントローラ101は、第1の実施の形態における設定切替処理を実行する(ステップS15)。設定切替処理については、図9を用いて説明する。
まず、切替コントローラ10における制御コントローラ101は、データ格納部106における保守用設定格納領域に格納された保守用設定を読み出す(図9:ステップS51)。そして、制御コントローラ101は、ステップS51において読み出した保守用設定を、管理LANコントローラ111に送信する(ステップS53)。ここでは、制御コントローラ101と管理LANコントローラ111とをつなぐ伝送路を介して保守用設定が送信される。
管理コントローラ11における管理LANコントローラ111は、制御コントローラ101から保守用設定を受信する(ステップS55)。そして、管理LANコントローラ111は、ネットワーク設定格納部114に格納されているネットワーク設定(ここでは、管理LAN設定)を、ステップS55において受信した保守用設定に変更する(ステップS57)。そして呼び出し元の処理に戻り、処理は端子Aを介して図10のステップS17の処理に移行する。
以上のような処理を実行すれば、保守端末3が管理コントローラ11にアクセスすることが許可されるようになる。
図10の説明に移行し、制御コントローラ101は、第2の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第2切替部104は、接点104aと接点104bとを接続することで、管理LANコントローラ111と制御コントローラ101とをつなぐ伝送路を切断する。また、第1切替部103は、接点103aと接点103cとを接続することで、管理LANコントローラ111と保守用ネットワークポート153とを伝送路でつなぐ(ステップS17)。
ここで、保守端末3は管理コントローラ11にアクセスし、ログ管理部1110を介してログ格納部112からログを取得する。ここでの処理については、後で説明する。
検出部102は、保守用ネットワークポート153の状態を確認し(ステップS19)、保守用ネットワークポート153にLANケーブルが接続されているか判断する(ステップS21)。
保守用ネットワークポート153にLANケーブルが接続されている場合(ステップS21:Yesルート)、ステップS19の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS21:Noルート)、検出部102は、保守用ネットワークポート153にLANケーブルが接続されていないことを制御コントローラ101に通知する。
制御コントローラ101は、第3の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第1切替部103は、管理LANコントローラ111と保守用ネットワークポート153とをつなぐ伝送路を切断し、いずれの伝送路も切断された状態に切り替える。また、第2切替部104は、接点104aと接点104cとを接続することで、管理LANコントローラ111と制御コントローラ101とを伝送路でつなぐ(ステップS23)。
制御コントローラ101は、ネットワーク設定格納部114に格納されたネットワーク設定(ここでは、保守用設定)を、データ格納部106における管理LAN設定格納領域に退避した管理LAN設定に変更する(ステップS25)。具体的には、制御コントローラ101は、データ格納部106における管理LAN設定格納領域に退避した管理LAN設定を管理コントローラ11に送信する。管理コントローラ11における管理LANコントローラ111は、ネットワーク設定格納部114に格納されているネットワーク設定を、受信した管理LAN設定に変更する。なお、ステップS25においては、制御コントローラ101と管理LANコントローラ111とをつなぐ伝送路を介して管理LAN設定が送信される。
制御コントローラ101は、第4の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第2切替部104は、接点104aと接点104bとを接続することで、管理LANコントローラ111と制御コントローラ101とをつなぐ伝送路を切断する。また、第1切替部103は、接点103aと接点103bとを接続することで、管理LANコントローラ111と管理LANポート152とを伝送路でつなぐ(ステップS27)。そして処理を終了する。
以上のような処理を実行すれば、元々のネットワーク設定(ここでは、管理LAN設定)を保守員が事前に取得することができなくても、サーバ1のログを閲覧してメンテナンス作業を行えるようになる。また、ネットワーク設定の変更は自動で行われるので、保守員は特に意識することなくメンテナンス作業を開始できるようになる。また、メンテナンス作業の終了後は自動的にネットワーク設定が元に戻るので、保守員が誤ったネットワーク設定に戻してしまうことを防止できる。
次に、図11を用いて、保守端末3からのパケットを受信した管理コントローラ11が実行する処理について説明する。
まず、切替コントローラ10における検出部102は、パケットを受信する(図11:ステップS61)。検出部102は、ステップS17において生成された伝送路を介して、受信したパケットを管理コントローラ11に出力する。
管理コントローラ11は、受信したパケットに含まれるネットワーク設定と、ネットワーク設定格納部114に格納されているネットワーク設定とが一致するか判断する(ステップS63)。
受信したパケットに含まれるネットワーク設定と、ネットワーク設定格納部114に格納されているネットワーク設定とが一致する場合(ステップS63:Yesルート)、管理LANコントローラ111は、受信したパケットに含まれるデータに応じた処理を実行する(ステップS65)。そして処理を終了する。例えば、パケットがログの取得を要求するログ要求パケットである場合、ログ管理部1110は、ログ格納部112から該当するログを読み出し、応答として保守端末3に送信する。
一方、受信したパケットに含まれるネットワーク設定と、ネットワーク設定格納部114に格納されているネットワーク設定とが一致しない場合(ステップS63:Noルート)、管理LANコントローラ111は、受信したパケットを廃棄する(ステップS67)。そして処理を終了する。
以上のような処理を実行すれば、管理コントローラ11にアクセスする資格が無い保守端末3からのアクセスを排除できるようになる。
[実施の形態2]
第2の実施の形態においては、ハードウエアキーに基づく認証を利用することでセキュリティを高める方法について説明する。
図12に、第2の実施の形態のシステム概要を示す。サーバ1は、ハードウエアキー読み取り装置13を有する。なお、サーバ1におけるハードウエアキー読み取り装置13以外の部分は第1の実施の形態と同じであるので、説明に使用する部分以外を省略する。
ハードウエアキー読み取り装置13は、ハードウエアキー読み取り装置13に近付いたハードウエアキー5(例えば、IC(Integrated Circuit)チップを搭載したカード)から情報を取得し、ハードウエアキー読み取り装置13に予め登録された情報と比較することで認証を行う。認証が成功した場合、ハードウエアキー読み取り装置13は、認証が成功したことを切替コントローラ10における制御コントローラ101に通知する。
次に、図13乃至図15を用いて、第2の実施の形態におけるサーバ1が実行する処理について説明する。はじめに、ハードウエアキー5による認証が成功し且つネットワーク識別データが一致した場合に端子B以降の処理を実行する例について説明する。
まず、検出部102は、ハードウエアキー5による認証が成功したか判断する(図13:ステップS71)。ハードウエアキー5による認証が成功したか否かは、ハードウエアキー読み取り装置13から認証が成功したことを通知された制御コントローラ101から、認証が成功したことを通知されたか否かによって判断される。
ハードウエアキー5による認証が成功していない場合(ステップS71:Noルート)検出部102は所定時間待機し、ステップS71の処理に戻る。一方、ハードウエアキー5による認証が成功した場合(ステップS71:Yesルート)、検出部102は、保守用ネットワークポート153の状態を確認し(ステップS73)、保守用ネットワークポート153にLANケーブルが接続された(すなわち、リンクアップした)か判断する(ステップS75)。
保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS75:Noルート)、ステップS71の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続された場合(ステップS75:Yesルート)、検出部102は、LANケーブルを介して受信したパケットから、ネットワーク識別データを取り出す(ステップS77)。本実施の形態においては、ネットワーク識別データは仮想MACアドレスであり、パケットにおける送信元MACアドレスのフィールドに格納される。
検出部102は、ネットワーク識別データを取得することを要求する第1取得要求を制御コントローラ101に出力する。これに応じ、制御コントローラ101は、ネットワーク識別データをデータ格納部106における識別データ格納領域から読み出し(ステップS79)、検出部102に通知する。
検出部102は、ステップS77においてパケットから取り出したネットワーク識別データと、ステップS79において識別データ格納領域から読み出したネットワーク識別データとが一致するか判断する(ステップS81)。
ステップS77においてパケットから取り出したネットワーク識別データと、ステップS79において識別データ格納領域から読み出したネットワーク識別データとが一致しない場合(ステップS81:Noルート)、受信したパケットを廃棄し、ステップS71の処理に戻る。
一方、ステップS77においてパケットから取り出したネットワーク識別データと、ステップS79において識別データ格納領域から読み出したネットワーク識別データとが一致する場合(ステップS81:Yesルート)、処理は端子Bを介して図7のステップS11に移行する。
以上のような処理を実行すれば、二重保護方式を実現できるので、セキュリティを高めることができるようになる。
次に、図14を用いて、ハードウエアキー5による認証が成功するか又はネットワーク識別データが一致した場合に端子B以降の処理を実行する例について説明する。
まず、検出部102は、ハードウエアキー5による認証が成功したか判断する(図14:ステップS91)。ハードウエアキー5による認証が成功したか否かは、ハードウエアキー読み取り装置13から認証が成功したことを通知された制御コントローラ101から、認証が成功したことを通知されたか否かによって判断される。
ハードウエアキー5による認証が成功した場合(ステップS91:Yesルート)、処理は端子Bを介して図7のステップS11に移行する。一方、ハードウエアキー5による認証が成功していない場合(ステップS91:Noルート)、検出部102は、保守用ネットワークポート153の状態を確認し(ステップS93)、保守用ネットワークポート153にLANケーブルが接続された(すなわち、リンクアップした)か判断する(ステップS95)。
保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS95:Noルート)、ステップS91の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続された場合(ステップS95:Yesルート)、検出部102は、LANケーブルを介して受信したパケットから、ネットワーク識別データを取り出す(ステップS97)。
検出部102は、ネットワーク識別データを取得することを要求する第1取得要求を制御コントローラ101に出力する。これに応じ、制御コントローラ101は、ネットワーク識別データをデータ格納部106における識別データ格納領域から読み出し(ステップS99)、検出部102に通知する。
検出部102は、ステップS97においてパケットから取り出したネットワーク識別データと、ステップS99において識別データ格納領域から読み出したネットワーク識別データとが一致するか判断する(ステップS101)。
ステップS97においてパケットから取り出したネットワーク識別データと、ステップS99において識別データ格納領域から読み出したネットワーク識別データとが一致しない場合(ステップS101:Noルート)、受信したパケットを廃棄し、ステップS91の処理に戻る。
一方、ステップS97においてパケットから取り出したネットワーク識別データと、ステップS99において識別データ格納領域から読み出したネットワーク識別データとが一致する場合(ステップS101:Yesルート)、処理は端子Bを介して図7のステップS11に移行する。
以上のような処理を実行すれば、ハードウエアキー5による認証が成功するか又はネットワーク識別データが一致すればよいので、保守員の利便性を高めることができるようになる。
次に、図15を用いて、ハードウエアキー5による認証が一旦成功した場合には以降ネットワーク識別データが一致さえすれば端子B以降の処理を実行する例について説明する。
まず、検出部102は、ハードウエアキー5による認証を既に行い成功したか判断する(図15:ステップS111)。
ハードウエアキー5による認証が未だ成功していない場合(ステップS111:Noルート)、検出部102は、以下の処理を実行する。具体的には、検出部102は、ハードウエアキー5による認証が成功するまで待機する。そして、ハードウエアキー5による認証が成功した場合、検出部102は、受信したパケットの送信元MACアドレスを取り出し、ネットワーク識別データとしてデータ格納部106における識別データ格納領域に保存する(ステップS113)。処理は端子Bを介して図7のステップS11に移行する。
一方、ハードウエアキー5による認証を既に行い成功した場合(ステップS111:Yesルート)、検出部102は、保守用ネットワークポート153の状態を確認し(ステップS115)、保守用ネットワークポート153にLANケーブルが接続された(すなわち、リンクアップした)か判断する(ステップS117)。
保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS117:Noルート)、ステップS111の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続された場合(ステップS117:Yesルート)、検出部102は、LANケーブルを介して受信したパケットから、ネットワーク識別データを取り出す(ステップS119)。本実施の形態においては、ネットワーク識別データは仮想MACアドレスであり、パケットにおける送信元MACアドレスのフィールドに格納される。
検出部102は、ネットワーク識別データを取得することを要求する第1取得要求を制御コントローラ101に出力する。これに応じ、制御コントローラ101は、ネットワーク識別データをデータ格納部106における識別データ格納領域から読み出し(ステップS121)、検出部102に通知する。
検出部102は、ステップS119においてパケットから取り出したネットワーク識別データと、ステップS121において識別データ格納領域から読み出したネットワーク識別データとが一致するか判断する(ステップS123)。
ステップS119においてパケットから取り出したネットワーク識別データと、ステップS121において識別データ格納領域から読み出したネットワーク識別データとが一致しない場合(ステップS123:Noルート)、受信したパケットを廃棄し、ステップS111の処理に戻る。
一方、ステップS119においてパケットから取り出したネットワーク識別データと、ステップS121において識別データ格納領域から読み出したネットワーク識別データとが一致する場合(ステップS123:Yesルート)、処理は端子Bを介して図7のステップS11に移行する。
以上のような処理を実行すれば、セキュリティを高めつつ、保守員の利便性を向上させることができるようになる。
[実施の形態3]
第3の実施の形態においては、同じネットワーク識別データを使い続けないようにすることでセキュリティを高める方法について説明する。
図16を用いて、第3の実施の形態におけるサーバ1が実行する処理について説明する。まず、検出部102は、保守用ネットワークポート153の状態を確認し(図16:ステップS131)、保守用ネットワークポート153にLANケーブルが接続された(すなわち、リンクアップした)か判断する(ステップS133)。
保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS133:Noルート)、ステップS131の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続された場合(ステップS133:Yesルート)、検出部102は、LANケーブルを介して受信したパケットから、ネットワーク識別データを取り出す(ステップS135)。本実施の形態においては、ネットワーク識別データは仮想MACアドレスであり、パケットにおける送信元MACアドレスのフィールドに格納される。
検出部102は、ネットワーク識別データを取得することを要求する第1取得要求を制御コントローラ101に出力する。これに応じ、制御コントローラ101は、ネットワーク識別データをデータ格納部106における識別データ格納領域から読み出し(ステップS137)、検出部102に通知する。
検出部102は、ステップS135においてパケットから取り出したネットワーク識別データと、ステップS137において識別データ格納領域から読み出したネットワーク識別データとが一致するか判断する(ステップS139)。
ステップS135においてパケットから取り出したネットワーク識別データと、ステップS137において識別データ格納領域から読み出したネットワーク識別データとが一致しない場合(ステップS139:Noルート)、受信したパケットを廃棄し、ステップS131の処理に戻る。
一方、ステップS135においてパケットから取り出したネットワーク識別データと、ステップS137において識別データ格納領域から読み出したネットワーク識別データとが一致する場合(ステップS139:Yesルート)、検出部102は、以下の処理を実行する。具体的には、検出部102は、ステップS135において取り出されたネットワーク識別データとは異なる新たなネットワーク識別データを含むパケットを、保守端末3から受信したか判断する(ステップS141)。
新たなネットワーク識別データを含むパケットを保守端末3から受信していない場合(ステップS141:Noルート)、検出部102は所定時間待機し、ステップS141の処理に戻る。一方、新たなネットワーク識別データを含むパケットを保守端末3から受信した場合(ステップS141:Yesルート)、検出部102は、新たなネットワーク識別データを制御コントローラ101に出力する。これに応じ、制御コントローラ101は、データ格納部106における識別データ格納領域に格納されているネットワーク識別データを、新たなネットワーク識別データに変更する(ステップS143)。制御コントローラ101は、ネットワーク識別データの変更が完了したことを検出部102に通知する。
検出部102は、ネットワーク識別データを変更したことを示す完了通知を、保守端末3に送信する(ステップS145)。そして処理は端子Bを介して図7のステップS11に移行する。
以上のような処理を実行すれば、LANケーブルが接続される度にネットワーク識別データを変更できるので、同じネットワーク識別データを使い続けることを防止し、セキュリティを高めることができるようになる。
図17を用いて、第3の実施の形態における保守端末3が実行する処理について説明する。本処理は、ネットワーク識別データを含むパケットの初回の送信が行われた後に実行される。まず、保守端末3の通信部301は、ネットワーク識別データを含むパケットの初回の送信によってサーバ1との接続が確立されたか判断する(図17:ステップS151)。
サーバ1との接続が確立されていない場合(ステップS151:Noルート)、通信部301は所定時間待機し、ステップS151の処理に戻る。一方、サーバ1との接続が確立された場合(ステップS151:Yesルート)、通信部301は、ネットワーク識別データをランダムに生成する(ステップS153)。
通信部301は、識別データ格納部303に格納されているネットワーク識別データを、ステップS153において生成したネットワーク識別データに変更する(ステップS155)。そして、通信部301は、ステップS153において生成したネットワーク識別データとネットワーク設定格納部302に格納されたネットワーク設定とを含むパケットを、サーバ1に送信する(ステップS157)。
通信部301は、サーバ1から完了通知を受信したか判断する(ステップS159)。完了通知を受信していない場合(ステップS159:Noルート)、通信部301は所定時間待機し、ステップS159の処理に戻る。一方、完了通知を受信した場合(ステップS159:Yesルート)、処理は終了する。
以上のようにすれば、特定困難な新たなネットワーク識別データをLANケーブルを介した接続の度に生成できるので、セキュリティを高めることができるようになる。なお、何らかの理由で保守端末3を変更する場合には、新しい保守端末3ネットワーク識別データを引き継ぐか、又は、サーバ1に登録されたネットワーク識別データを初回のネットワーク識別データに戻すことで、保守作業を継続できるようになる。
[実施の形態4]
第4の実施の形態においては、切替コントローラ10と管理コントローラ11とを別々の装置に設ける例について説明する。
図18を用いて、本実施の形態のシステム概要について説明する。第4の実施の形態におけるサーバ1は、第1の実施の形態と同様に管理コントローラ11を有するが、切替コントローラ10を有しない。切替コントローラ10は、切替装置7に設けられる。切替装置7は、切替コントローラ10と、保守用ネットワークポート153と、管理LANポート155及び157とを有する。
切替コントローラ10は、第1の実施の形態と同様、伝送路の切替を行うことができる。具体的には、接点103aと接点103cとを接続することで、保守用ネットワークポート153と管理LANコントローラ111とを伝送路でつなぐ。また、接点103aと接点103bとを接続することで、管理LANポート155と管理LANコントローラ111とを伝送路でつなぐ。なお、第1の実施の形態と同様、切替コントローラ10における制御コントローラ101と管理LANコントローラ111との間には第2切替部104が設けられ、第2切替部104が制御コントローラ101と管理LANコントローラ111との間の伝送路の生成及び切断を行う。但し、図を見やすくするため、図18においては省略されている。
なお、サーバ1、保守端末3、及び切替コントローラ10について上で述べた点以外の点については第1の実施の形態と同じであるので、ここでは説明を省略する。
次に、図19及び図20を用いて、第4の実施の形態における切替装置7が実行する処理について説明する。
まず、検出部102は、保守用ネットワークポート153の状態を確認し(図19:ステップS161)、保守用ネットワークポート153にLANケーブルが接続された(すなわち、リンクアップした)か判断する(ステップS163)。
保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS163:Noルート)、検出部102は所定時間待機し、ステップS161の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続された場合(ステップS163:Yesルート)、検出部102は、LANケーブルを介して受信したパケットから、ネットワーク識別データを取り出す(ステップS165)。本実施の形態においては、ネットワーク識別データは仮想MACアドレスであり、パケットにおける送信元MACアドレスのフィールドに格納される。
検出部102は、ネットワーク識別データを取得することを要求する第1取得要求を制御コントローラ101に出力する。これに応じ、制御コントローラ101は、ネットワーク識別データをデータ格納部106における識別データ格納領域から読み出し(ステップS167)、検出部102に通知する。
検出部102は、ステップS165においてパケットから取り出したネットワーク識別データと、ステップS167において識別データ格納領域から読み出したネットワーク識別データとが一致するか判断する(ステップS169)。
ステップS165においてパケットから取り出したネットワーク識別データと、ステップS167において識別データ格納領域から読み出したネットワーク識別データとが一致しない場合(ステップS169:Noルート)、受信したパケットを廃棄し、ステップS161の処理に戻る。
一方、ステップS165においてパケットから取り出したネットワーク識別データと、ステップS167において識別データ格納領域から読み出したネットワーク識別データとが一致する場合(ステップS169:Yesルート)、検出部102は、ネットワーク識別データが一致したことを制御コントローラ101に通知する。
制御コントローラ101は、第1の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第1切替部103は、管理LANコントローラ111と管理LANポート155とをつなぐ伝送路を切断し、いずれの伝送路も切断された状態に切り替える。また、第2切替部104は、接点104aと接点104cとを接続することで、管理LANコントローラ111と制御コントローラ101とを伝送路でつなぐ(ステップS171)。
制御コントローラ101は、データ格納部106における管理LAN設定格納領域に格納された管理LAN設定に基づき、サーバ1の管理LANコントローラ111との接続を確立する(ステップS173)。なお、管理LAN設定は予めサーバ1から取得されているものとする。
制御コントローラ101は、データ格納部106における保守用設定格納領域に格納された保守用設定をサーバ1に送信する(ステップS175)。処理は端子Cを介して図20のステップS177の処理に移行する。なお、ステップS175の処理に応じ、サーバ1における管理LANコントローラ111は、ネットワーク設定格納部114に格納されているネットワーク設定(ここでは、管理LAN設定)を保守用設定に変更する。
図20の説明に移行し、制御コントローラ101は、第2の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第2切替部104は、接点104aと接点104bとを接続することで、管理LANコントローラ111と制御コントローラ101とをつなぐ伝送路を切断する。また、第1切替部103は、接点103aと接点103cとを接続することで、管理LANコントローラ111と保守用ネットワークポート153とを伝送路でつなぐ(ステップS177)。
ここで、保守端末3は管理コントローラ11にアクセスし、ログ管理部1110を介してログ格納部112からログを取得する。
検出部102は、保守用ネットワークポート153の状態を確認し(ステップS179)、保守用ネットワークポート153にLANケーブルが接続されているか判断する(ステップS181)。
保守用ネットワークポート153にLANケーブルが接続されている場合(ステップS181:Yesルート)、ステップS179の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS181:Noルート)、検出部102は、保守用ネットワークポート153にLANケーブルが接続されていないことを制御コントローラ101に通知する。
制御コントローラ101は、第3の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第1切替部103は、管理LANコントローラ111と保守用ネットワークポート153とをつなぐ伝送路を切断し、いずれの伝送路も切断された状態に切り替える。また、第2切替部104は、接点104aと接点104cとを接続することで、管理LANコントローラ111と制御コントローラ101とを伝送路でつなぐ(ステップS183)。
制御コントローラ101は、データ格納部106における保守用設定格納領域に格納された保守用設定に基づき、サーバ1の管理LANコントローラ111との接続を確立する(ステップS185)。
制御コントローラ101は、データ格納部106における管理LAN設定格納領域に格納された管理LAN設定をサーバ1に送信する(ステップS187)。なお、ステップS187の処理に応じ、サーバ1における管理LANコントローラ111は、ネットワーク設定格納部114に格納されているネットワーク設定(ここでは、保守用設定)を管理LAN設定に変更する。
制御コントローラ101は、第4の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第2切替部104は、接点104aと接点104bとを接続することで、管理LANコントローラ111と制御コントローラ101とをつなぐ伝送路を切断する。また、第1切替部103は、接点103aと接点103bとを接続することで、管理LANコントローラ111と管理LANポート155とを伝送路でつなぐ(ステップS189)。そして処理を終了する。
以上のように、切替コントローラ10と管理コントローラ11とを別々の装置に設けるようなシステム構成を実現可能にすることで、サーバの配置状況や処理性能などの実情に合ったシステムを柔軟に構築することができるようになる。
[実施の形態5]
第5の実施の形態においては、退避させるネットワーク設定に、IPアドレス及びサブネットマスクだけでなくMACアドレスを含ませる例について説明する。
図21を用いて、第5の実施の形態の概要について説明する。
まず、サーバ1の保守用ネットワークポート153に接続された保守端末3が、ネットワーク識別データ(00−00−5E−00−01−01)とネットワーク設定(192.168.1.10/255.255.255.0)とを含むパケットをサーバ1に送信する。本実施の形態においては、初回にはARP(Address Resolution Protocol)パケットを送信(ここではブロードキャスト)するものとし、ARPパケットにネットワーク識別データとネットワーク設定とを含ませる。
サーバ1における切替コントローラ10は、ARPパケットに含まれるネットワーク識別データと、切替コントローラ10に予め登録されたネットワーク識別データ(00−00−5E−00−01−01)とが一致する場合、保守用ネットワークポート153と管理コントローラ11とを伝送路でつなげる。
但し、切替コントローラ10は、保守端末3のアクセスが開始される前に、管理コントローラ11のネットワーク設定格納部114に格納されたネットワーク設定(192.168.2.10/255.255.255.0/00−00−5E−00−01−02)を、保守端末3がアクセスできない領域に退避しておく。また、切替コントローラ10は、管理コントローラ11のネットワーク設定格納部114に格納されているネットワーク設定を、管理LAN設定(192.168.2.10/255.255.255.0/00−00−5E−00−01−02)から保守用設定(192.168.1.10/255.255.255.0/11−22−33−44−55−66)に変更しておく。保守用設定は、IPアドレス及びサブネットマスクと、切替コントローラ10がランダムに生成したMACアドレスとを含む。
そして、サーバ1は、ARP要求を生成したMACアドレスを含むARP応答を保守端末3に送信する。これに応じ、保守端末3は、ARP応答に含まれるMACアドレスを宛先MACアドレスに設定してパケットを送信するようにする。すると、管理コントローラ11のネットワーク設定格納部114に格納されたネットワーク設定(192.168.1.10/255.255.255.0/11−22−33−44−55−66)と、保守端末3が送信したパケットに含まれるネットワーク設定(192.168.1.10/255.255.255.0/11−22−33−44−55−66)とが一致するようになる。これにより、保守端末3は、ログ格納部112に格納されたログを管理コントローラ11から取得できるようになる。また、保守端末3の接続が終了した場合には、退避されたネットワーク設定を、管理コントローラ11のネットワーク設定格納部114に再び格納することで、通常の運用を再開できるようになる。
次に、図22乃至図24を用いて、第5の実施の形態におけるサーバ1が実行する処理について説明する。
まず、検出部102は、保守用ネットワークポート153の状態を確認し(図22:ステップS191)、保守用ネットワークポート153にLANケーブルが接続された(すなわち、リンクアップした)か判断する(ステップS193)。
保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS193:Noルート)、検出部102は所定時間待機し、ステップS191の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続された場合(ステップS193:Yesルート)、検出部102は、LANケーブルを介して受信したARPパケットから、ネットワーク識別データを取り出す(ステップS195)。本実施の形態においては、ネットワーク識別データは仮想MACアドレスであり、ARPパケットにおける送信元MACアドレスのフィールドに格納される。
検出部102は、ネットワーク識別データを取得することを要求する第1取得要求を制御コントローラ101に出力する。これに応じ、制御コントローラ101は、ネットワーク識別データをデータ格納部106における識別データ格納領域から読み出し(ステップS197)、検出部102に通知する。
検出部102は、ステップS195においてARPパケットから取り出したネットワーク識別データと、ステップS197において識別データ格納領域から読み出したネットワーク識別データとが一致するか判断する(ステップS199)。
ステップS195においてARPパケットから取り出したネットワーク識別データと、ステップS197において識別データ格納領域から読み出したネットワーク識別データとが一致しない場合(ステップS199:Noルート)、受信したARPパケットを廃棄し、ステップS191の処理に戻る。
一方、ステップS195においてARPパケットから取り出したネットワーク識別データと、ステップS197において識別データ格納領域から読み出したネットワーク識別データとが一致する場合(ステップS199:Yesルート)、検出部102は、ネットワーク識別データが一致したことを制御コントローラ101に通知する。
制御コントローラ101は、第1の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第1切替部103は、管理LANコントローラ111と管理LANポート152とをつなぐ伝送路を切断し、いずれの伝送路も切断された状態に切り替える。また、第2切替部104は、接点104aと接点104cとを接続することで、管理LANコントローラ111と制御コントローラ101とを伝送路でつなぐ(ステップS201)。
制御コントローラ101は、退避処理を実行する(ステップS203)。退避処理については図8を用いて説明したとおりであるので、ここでは説明を省略する。但し、第5の実施の形態においては、ステップS35において読み出される管理LAN設定にMACアドレスが含まれる。従って、ステップS41において格納される管理LAN設定にもMACアドレスが含まれる。
制御コントローラ101は、第5の実施の形態における設定切替処理を実行する(ステップS205)。設定切替処理については、図23を用いて説明する。
まず、切替コントローラ10における制御コントローラ101は、MACアドレスをランダムに生成し、データ格納部106における保守用設定格納領域に格納する(図23:ステップS231)。なお、既に保守用設定格納領域にMACアドレスが格納されている場合には、既に格納されているMACアドレスを上書きする。
制御コントローラ101は、データ格納部106における保守用設定格納領域に格納された保守用設定を読み出す(ステップS233)。読み出される保守用設定は、IPアドレス、サブネットマスク、及びステップS231において生成したMACアドレスを含む。
そして、制御コントローラ101は、ステップS233において読み出した保守用設定を、管理LANコントローラ111に送信する(ステップS235)。ここでは、制御コントローラ101と管理LANコントローラ111とをつなぐ伝送路を介して保守用設定が送信される。
管理コントローラ11における管理LANコントローラ111は、制御コントローラ101から保守用設定を受信する(ステップS237)。そして、管理LANコントローラ111は、ネットワーク設定格納部114に格納されているネットワーク設定(ここでは、管理LAN設定)を、ステップS237において受信した保守用設定に変更する(ステップS239)。そして呼び出し元の処理に戻り、処理は端子Dを介して図24のステップS207の処理に移行する。
以上のような処理を実行すれば、保守端末3が管理コントローラ11にアクセスすることが許可されるようになる。
図24の説明に移行し、制御コントローラ101は、第2の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第2切替部104は、接点104aと接点104bとを接続することで、管理LANコントローラ111と制御コントローラ101とをつなぐ伝送路を切断する。また、第1切替部103は、接点103aと接点103cとを接続することで、管理LANコントローラ111と保守用ネットワークポート153とを伝送路でつなぐ(ステップS207)。
制御コントローラ101は、ARP要求を管理LANコントローラ111に送信する(ステップS209)。これに応じ、管理LANコントローラ111は、ネットワーク設定格納部114に格納されているMACアドレスを含むARP応答を、制御コントローラ101に送信する。そして、制御コントローラ101は、管理LANコントローラ111から受信したARP応答を、保守端末3に送信する(ステップS211)。
これに応じ、保守端末3は、サーバ1に送信するパケットの宛先アドレスとして、ARP応答に含まれるMACアドレスを使用するようにする。
そして、保守端末3は管理コントローラ11にアクセスし、ログ管理部1110を介してログ格納部112からログを取得する。
検出部102は、保守用ネットワークポート153の状態を確認し(ステップS213)、保守用ネットワークポート153にLANケーブルが接続されているか判断する(ステップS215)。
保守用ネットワークポート153にLANケーブルが接続されている場合(ステップS215:Yesルート)、ステップS213の処理に戻る。一方、保守用ネットワークポート153にLANケーブルが接続されていない場合(ステップS215:Noルート)、検出部102は、保守用ネットワークポート153にLANケーブルが接続されていないことを制御コントローラ101に通知する。
制御コントローラ101は、第3の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第1切替部103は、管理LANコントローラ111と保守用ネットワークポート153とをつなぐ伝送路を切断し、いずれの伝送路も切断された状態に切り替える。また、第2切替部104は、接点104aと接点104cとを接続することで、管理LANコントローラ111と制御コントローラ101とを伝送路でつなぐ(ステップS217)。
制御コントローラ101は、ネットワーク設定格納部114に格納されたネットワーク設定(ここでは、保守用設定)を、データ格納部106における管理LAN設定格納領域に退避した管理LAN設定に変更する(ステップS219)。具体的には、制御コントローラ101は、データ格納部106における管理LAN設定格納領域に退避した管理LAN設定を管理コントローラ11に送信する。管理コントローラ11における管理LANコントローラ111は、ネットワーク設定格納部114に格納されているネットワーク設定を、受信した管理LAN設定に変更する。なお、ステップS219においては、制御コントローラ101と管理LANコントローラ111とをつなぐ伝送路を介して管理LAN設定が送信される。
制御コントローラ101は、第4の切替指示を第1切替部103及び第2切替部104に出力する。これに応じ、第2切替部104は、接点104aと接点104bとを接続することで、管理LANコントローラ111と制御コントローラ101とをつなぐ伝送路を切断する。また、第1切替部103は、接点103aと接点103bとを接続することで、管理LANコントローラ111と管理LANポート152とを伝送路でつなぐ(ステップS221)。そして処理を終了する。
以上のような処理を実行すれば、IPアドレス及びサブネットマスクだけでなくMACアドレスをも退避の対象となるので、秘匿性をより高めることができるようになる。
[実施の形態6]
第1乃至第5の実施の形態においてはTCP/IPプロトコルを利用しているが、ファイバーチャネル或いはインフィニバンドを利用してもよい。この場合、IPアドレス、サブネットマスク、及びMACアドレスの代わりに、動的ポートのアドレス、GUID(Globally Unique IDentifier)、及びWWN(World Wide Name)を使用すればよい。
以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上で説明したサーバ1及び保守端末3の機能ブロック構成は実際のプログラムモジュール構成に一致しない場合もある。
また、上で説明したデータ保持構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ処理の順番を入れ替えることも可能である。さらに、並列に実行させるようにしても良い。
なお、上で述べた保守端末3は、コンピュータ装置であって、図25に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本発明の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
以上述べた本発明の実施の形態をまとめると、以下のようになる。
本実施の形態の第1の態様に係る情報処理装置は、(A)第1のネットワークポートに第1の装置が接続されたことを検出する検出部と、(B)第1のネットワークポートに第1の装置が接続されたことが検出部により検出された場合、情報処理装置のネットワーク設定を、第1のネットワークポート用のネットワーク設定に変更する制御部と、(C)第1のネットワークポートに第1の装置が接続されたことが検出部により検出された場合、第1の装置が第1のネットワークポートを介した通信を行えるように情報処理装置内の伝送路の切替を行う切替部とを有する。
このようにすれば、第1のネットワークポート用のネットワーク設定を使用して第1の装置との通信を行えるので、元のネットワーク設定の取得に制限がある場合であっても作業者が保守作業を行えるようになる。
また、上で述べた制御部は、(b1)変更前のネットワーク設定を、第1の装置がアクセスできない記憶領域に移動してもよい。このようにすれば、変更前のネットワーク設定の秘匿性を高めることができるようになる。
また、上で述べた検出部は、(a1)第1のネットワークポートに第1の装置が接続されていないことを検出し、上で述べた制御部は、(b2)第1のネットワークポートに第1の装置が接続されていないことが検出部により検出された場合、情報処理装置のネットワーク設定を、第1のネットワークポート用のネットワーク設定から、元のネットワーク設定である第2のネットワーク設定に変更し、(c1)上で述べた切替部は、第1のネットワークポートに第1の装置が接続されていないことが検出部により検出された場合、元のネットワークポートである第2のネットワークポートを介した通信を行えるように情報処理装置内の伝送路の切替を行ってもよい。このようにすれば、保守作業が終了した場合には元の状態に戻すことができるようになる。
また、本情報処理装置は、(D)上で述べた第1の識別データを格納するデータ格納部をさらに有してもよい。そして、上で述べた検出部は、(a2)第1の装置から受信した第2の識別データと、データ格納部に格納された第1の識別データとが一致する場合、第1の装置が第1のネットワークポートに接続されたと判定してもよい。このようにすれば、情報処理装置に接続する資格が無い装置が情報処理装置に接続することを防止できるようになる。
また、上で述べた検出部は、(a3)第1の装置が第1のネットワークポートに接続された後、第2の識別データとは異なる第3の識別データを第1の装置から受信した場合、データ格納部に格納された第1の識別データを第3の識別データで更新してもよい。このようにすれば、同じ識別データを使い続けなくてよいので、セキュリティを向上させることができるようになる。
また、本情報処理装置は、(E)外部のハードウエアから取得した情報に基づき認証を行う認証部をさらに有してもよい。そして、上で述べた制御部は、(b3)第1のネットワークポートに第1の装置が接続されたことが検出部により検出され且つ認証部による認証の結果が所定の条件を満たす場合、情報処理装置のネットワーク設定を、第1のネットワークポート用のネットワーク設定に変更し、上で述べた切替部は、(c2)第1のネットワークポートに第1の装置が接続されたことが検出部により検出され且つ認証部による認証の結果が所定の条件を満たす場合、第1の装置が第1のネットワークポートを介した通信を行えるように情報処理装置内の伝送路の切替を行ってもよい。このようにすれば、セキュリティを向上させることができるようになる。
また、上で述べたネットワーク設定は、IP(Internet Protocol)アドレス、サブネットマスク、及びMAC(Media Access Control)アドレスの少なくともいずれかを含んでもよい。
また、上で述べたネットワーク設定は、WWN(World Wide Name)、動的ポートのアドレス、及びGUID(Globally Unique Identifier)の少なくともいずれかを含んでもよい。
本実施の形態の第2の態様に係る保守システムは、(F)情報処理装置と、(G)第1の装置とを有してもよい。そして、上で述べた情報処理装置は、(f1)情報処理装置の第1のネットワークポートに第1の装置が接続されたことを検出する検出部と、(f2)第1のネットワークポートに第1の装置が接続されたことが検出部により検出された場合、情報処理装置のネットワーク設定を、第1のネットワークポート用のネットワーク設定に変更する制御部と、(f3)第1のネットワークポートに第1の装置が接続されたことが検出部により検出された場合、第1の装置が第1のネットワークポートを介した通信を行えるように前記情報処理装置内の伝送路の切替を行う切替部とを有する。そして、上で述べた第1の装置は、(g1)第1のネットワークポート用のネットワーク設定に基づき情報処理装置との通信を行う通信部を有する。

Claims (8)

  1. 情報処理装置であって、
    保守用のネットワークポートに保守用の装置が接続されたことを検出する検出部と、
    前記保守用のネットワークポートに前記保守用の装置が接続されたことが前記検出部により検出された場合、前記情報処理装置のネットワーク設定を、前記保守用のネットワークポート用のネットワーク設定に変更する制御部と、
    前記保守用のネットワークポートに前記保守用の装置が接続されたことが前記検出部により検出された場合、前記保守用のネットワークポートと前記情報処理装置のログを管理するコントローラとをつなぐ伝送路へ切り替える切替部と、
    を有する情報処理装置。
  2. 前記制御部は、
    変更前の前記ネットワーク設定を、前記保守用の装置がアクセスできない記憶領域に移動する、
    請求項1記載の情報処理装置。
  3. 前記検出部は、
    前記保守用のネットワークポートに前記保守用の装置が接続されていないことを検出し、
    前記制御部は、
    前記保守用のネットワークポートに前記保守用の装置が接続されていないことが前記検出部により検出された場合、前記情報処理装置のネットワーク設定を、前記保守用のネットワークポート用のネットワーク設定から、元のネットワーク設定である第2のネットワーク設定に変更し、
    前記切替部は、
    前記保守用のネットワークポートに前記保守用の装置が接続されていないことが前記検出部により検出された場合、元のネットワークポートである第2のネットワークポートと前記コントローラとをつなぐ伝送路へ切り替える
    請求項1又は2記載の情報処理装置。
  4. 第1の識別データを格納するデータ格納部
    をさらに有し、
    前記検出部は、
    前記保守用の装置から受信した第2の識別データと、前記データ格納部に格納された第1の識別データとが一致する場合、前記保守用の装置が前記保守用のネットワークポートに接続されたと判定する、
    請求項1乃至3のいずれか1つ記載の情報処理装置。
  5. 前記検出部は、
    前記保守用の装置が前記保守用のネットワークポートに接続された後、前記第2の識別データとは異なる第3の識別データを前記保守用の装置から受信した場合、前記データ格納部に格納された前記第1の識別データを前記第3の識別データで更新する、
    請求項4記載の情報処理装置。
  6. 外部のハードウエアから取得した情報に基づき認証を行う認証部
    をさらに有し、
    前記制御部は、
    前記保守用のネットワークポートに前記保守用の装置が接続されたことが前記検出部により検出され且つ前記認証部による認証の結果が所定の条件を満たす場合、前記情報処理装置のネットワーク設定を、前記保守用のネットワークポート用のネットワーク設定に変更し、
    前記切替部は、
    前記保守用のネットワークポートに前記保守用の装置が接続されたことが前記検出部により検出され且つ前記認証部による認証の結果が前記所定の条件を満たす場合、前記保守用のネットワークポートと前記コントローラとをつなぐ伝送路へ切り替える
    請求項1乃至5のいずれか1つ記載の情報処理装置。
  7. 保守用のネットワークポートに保守用の装置が接続されたことを検出する検出部と、
    前記保守用のネットワークポートに前記保守用の装置が接続されたことが前記検出部により検出された場合、情報処理装置のネットワーク設定を、前記保守用のネットワークポート用のネットワーク設定に変更する制御部と、
    前記保守用のネットワークポートに前記保守用の装置が接続されたことが前記検出部により検出された場合、前記保守用のネットワークポートと前記情報処理装置のログを管理するコントローラとをつなぐ伝送路へ切り替える切替部と、
    を有するネットワークインタフェースカード。
  8. 情報処理装置と、
    保守用の装置と、
    を有し、
    前記情報処理装置は、
    前記情報処理装置の保守用のネットワークポートに前記保守用の装置が接続されたことを検出する検出部と、
    前記保守用のネットワークポートに前記保守用の装置が接続されたことが前記検出部により検出された場合、前記情報処理装置のネットワーク設定を、前記保守用のネットワークポート用のネットワーク設定に変更する制御部と、
    前記保守用のネットワークポートに前記保守用の装置が接続されたことが前記検出部により検出された場合、前記保守用のネットワークポートと前記情報処理装置のログを管理するコントローラとをつなぐ伝送路へ切り替える切替部と、
    を有し、
    前記保守用の装置は、
    前記保守用のネットワークポート用のネットワーク設定に基づき前記情報処理装置との通信を行う通信部
    を有する、保守システム。
JP2017504328A 2015-03-06 2015-03-06 情報処理装置及び保守システム Active JP6372611B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2015/056686 WO2016143003A1 (ja) 2015-03-06 2015-03-06 情報処理装置及び保守システム

Publications (2)

Publication Number Publication Date
JPWO2016143003A1 JPWO2016143003A1 (ja) 2017-12-14
JP6372611B2 true JP6372611B2 (ja) 2018-08-15

Family

ID=56878812

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017504328A Active JP6372611B2 (ja) 2015-03-06 2015-03-06 情報処理装置及び保守システム

Country Status (3)

Country Link
US (1) US20170357612A1 (ja)
JP (1) JP6372611B2 (ja)
WO (1) WO2016143003A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019220248A1 (de) * 2019-12-19 2021-06-24 Siemens Mobility GmbH Übertragungsvorrichtung zum Übertragen von Daten

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3859490B2 (ja) * 2001-11-13 2006-12-20 株式会社 イオノス 通信路のスイッチ接続制御システム
JP2011010080A (ja) * 2009-06-26 2011-01-13 Ricoh Co Ltd 画像処理装置及びコンピュータプログラム
JP5608692B2 (ja) * 2011-02-17 2014-10-15 パナソニック株式会社 ネットワーク接続装置および方法

Also Published As

Publication number Publication date
WO2016143003A1 (ja) 2016-09-15
US20170357612A1 (en) 2017-12-14
JPWO2016143003A1 (ja) 2017-12-14

Similar Documents

Publication Publication Date Title
US11528252B2 (en) Network device identification with randomized media access control identifiers
JP6982006B2 (ja) ハードウェア・ベースの仮想化セキュリティ分離
US20090178110A1 (en) Communication Control Device, Communication Control System, Communication Control Method, and Communication Control Program
KR101098737B1 (ko) 동적 wan 포트 검출
JP4935899B2 (ja) アクセス権限設定プログラム、方法及び装置
ES2870926T3 (es) Dispositivo de generación de información de anotaciones y medio de registro, y dispositivo de extracción de información de anotaciones y medio de registro
CN100466527C (zh) 通信设备
JP5477047B2 (ja) 情報処理装置、仮想計算機接続方法、プログラム及び記録媒体
US11373014B2 (en) Controlling access to peripheral ports of a host computing system
CN114265760B (zh) 基于eBPF的微服务请求故障注入方法和装置
CN103518205B (zh) 限制操作权限的方法及自动化设备
JP2020017809A (ja) 通信装置及び通信システム
CN112769837A (zh) 基于WebSocket的通信传输方法、装置、设备、系统及存储介质
JP2018133692A (ja) 通信装置及びシステム及び方法
EP2680141A1 (en) Security for TCP/IP-based access from a virtual machine to network attached storage by creating dedicated networks, MAC address authentification and data direction control
WO2023085791A1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
CN117640765A (zh) 云环境服务访问方法及系统
JP6372611B2 (ja) 情報処理装置及び保守システム
KR101040543B1 (ko) 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법
JP6922643B2 (ja) 情報処理システム及びプログラム
CN103023704A (zh) 虚拟网络服务设备接入方法及系统
CN113596197A (zh) 一种地址切换方法、装置、电子设备及存储介质
CN107592302A (zh) 一种移动端的端口扫描器及方法
WO2013111532A1 (ja) 管理システム、管理方法およびプログラム
JP2006261827A (ja) ネットワーク機器、その管理装置、そのネットワーク接続方法およびそのネットワーク接続管理方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170830

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180501

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180619

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180702

R150 Certificate of patent or registration of utility model

Ref document number: 6372611

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250