(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023091300
(43)【公開日】2023-06-30
(54)【発明の名称】計算機システム、ネットワーク解析方法、及びプログラム
(51)【国際特許分類】
H04L 67/14 20220101AFI20230623BHJP
【FI】
H04L67/14
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2021205973
(22)【出願日】2021-12-20
(71)【出願人】
【識別番号】504411166
【氏名又は名称】アラクサラネットワークス株式会社
(74)【代理人】
【識別番号】110001678
【氏名又は名称】藤央弁理士法人
(72)【発明者】
【氏名】鈴木 知見
(72)【発明者】
【氏名】鈴木 伸介
(57)【要約】
【課題】利用が許可されていない端末の利用者の特定に有用な情報を提示する。
【解決手段】計算機システムは、端末を収容する複数のネットワーク機器を含むネットワークと接続し、複数のネットワーク機器から、接続している端末に関する情報を取得し、ネットワークにおける端末の接続状態を把握するための接続履歴情報を生成し、接続履歴情報に基づいて、ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定し、接続履歴情報を参照して、管理用識別情報が付与されており、かつ、ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定し、ターゲット端末及び参照端末の接続履歴を含む解析情報を提示する。
【選択図】図2
【解決手段】計算機システムは、端末を収容する複数のネットワーク機器を含むネットワークと接続し、複数のネットワーク機器から、接続している端末に関する情報を取得し、ネットワークにおける端末の接続状態を把握するための接続履歴情報を生成し、接続履歴情報に基づいて、ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定し、接続履歴情報を参照して、管理用識別情報が付与されており、かつ、ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定し、ターゲット端末及び参照端末の接続履歴を含む解析情報を提示する。
【選択図】図2
【特許請求の範囲】
【請求項1】
端末を収容する複数のネットワーク機器を含むネットワークと接続する計算機システムであって、
CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有する、少なくとも一つの計算機を含み、
前記少なくとも一つの計算機は、
前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成し、
前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定し、
前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定し、
前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示することを特徴とする計算機システム。
CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有する、少なくとも一つの計算機を含み、
前記少なくとも一つの計算機は、
前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成し、
前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定し、
前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定し、
前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示することを特徴とする計算機システム。
【請求項2】
請求項1に記載の計算機システムであって、
前記複数のネットワーク機器の位置を管理するための位置情報を保持し、
前記接続履歴は、接続する前記ネットワーク機器の識別情報を含み、
前記少なくとも一つの計算機は、
前記ターゲット端末の接続履歴、前記参照端末の接続履歴、及び前記位置情報に基づいて、前記ターゲット端末が接続する前記ネットワークが存在する位置と同一又は近隣の位置に存在する前記ネットワーク機器と接続する前記参照端末を特定し、
特定された前記参照端末の接続履歴を含む、前記解析情報を提示することを特徴とする計算機システム。
前記複数のネットワーク機器の位置を管理するための位置情報を保持し、
前記接続履歴は、接続する前記ネットワーク機器の識別情報を含み、
前記少なくとも一つの計算機は、
前記ターゲット端末の接続履歴、前記参照端末の接続履歴、及び前記位置情報に基づいて、前記ターゲット端末が接続する前記ネットワークが存在する位置と同一又は近隣の位置に存在する前記ネットワーク機器と接続する前記参照端末を特定し、
特定された前記参照端末の接続履歴を含む、前記解析情報を提示することを特徴とする計算機システム。
【請求項3】
請求項1に記載の計算機システムであって、
前記複数のネットワーク機器は、無線通信のアクセスポイントとして機能するネットワーク機器を少なくとも一つ含み、
前記少なくとも一つの計算機は、
前記複数のネットワーク機器から、パケットの転送を制御するためのフォワーディングデータベースを取得し、
前記無線通信のアクセスポイントとして機能する前記ネットワーク機器から、接続している前記端末に関する無線通信端末情報を取得することを特徴とする計算機システム。
前記複数のネットワーク機器は、無線通信のアクセスポイントとして機能するネットワーク機器を少なくとも一つ含み、
前記少なくとも一つの計算機は、
前記複数のネットワーク機器から、パケットの転送を制御するためのフォワーディングデータベースを取得し、
前記無線通信のアクセスポイントとして機能する前記ネットワーク機器から、接続している前記端末に関する無線通信端末情報を取得することを特徴とする計算機システム。
【請求項4】
端末を収容する複数のネットワーク機器を含むネットワークと接続する計算機システムが実行するネットワーク解析方法であって、
前記計算機システムは、CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有する、少なくとも一つの計算機を含み、
前記ネットワーク解析方法は、
前記少なくとも一つの計算機が、前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成する第1のステップと、
前記少なくとも一つの計算機が、前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定する第2のステップと、
前記少なくとも一つの計算機が、前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定する第3のステップと、
前記少なくとも一つの計算機が、前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示する第4のステップと、
を含むことを特徴とするネットワーク解析方法。
前記計算機システムは、CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有する、少なくとも一つの計算機を含み、
前記ネットワーク解析方法は、
前記少なくとも一つの計算機が、前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成する第1のステップと、
前記少なくとも一つの計算機が、前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定する第2のステップと、
前記少なくとも一つの計算機が、前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定する第3のステップと、
前記少なくとも一つの計算機が、前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示する第4のステップと、
を含むことを特徴とするネットワーク解析方法。
【請求項5】
請求項4に記載のネットワーク解析方法であって、
前記計算機システムは、前記複数のネットワーク機器の位置を管理するための位置情報を保持し、
前記接続履歴は、接続する前記ネットワーク機器の識別情報を含み、
前記第3のステップは、前記少なくとも一つの計算機が、前記ターゲット端末の接続履歴、前記参照端末の接続履歴、及び前記位置情報に基づいて、前記ターゲット端末が接続する前記ネットワークが存在する位置と同一又は近隣の位置に存在する前記ネットワーク機器と接続する前記参照端末を特定するステップを含み、
前記第4のステップは、前記少なくとも一つの計算機が、特定された前記参照端末の接続履歴を含む、前記解析情報を提示するステップを含むことを特徴とするネットワーク解析方法。
前記計算機システムは、前記複数のネットワーク機器の位置を管理するための位置情報を保持し、
前記接続履歴は、接続する前記ネットワーク機器の識別情報を含み、
前記第3のステップは、前記少なくとも一つの計算機が、前記ターゲット端末の接続履歴、前記参照端末の接続履歴、及び前記位置情報に基づいて、前記ターゲット端末が接続する前記ネットワークが存在する位置と同一又は近隣の位置に存在する前記ネットワーク機器と接続する前記参照端末を特定するステップを含み、
前記第4のステップは、前記少なくとも一つの計算機が、特定された前記参照端末の接続履歴を含む、前記解析情報を提示するステップを含むことを特徴とするネットワーク解析方法。
【請求項6】
請求項4に記載のネットワーク解析方法であって、
前記複数のネットワーク機器は、無線通信のアクセスポイントとして機能するネットワーク機器を少なくとも一つ含み、
前記第1のステップは、
前記少なくとも一つの計算機が、前記複数のネットワーク機器から、パケットの転送を制御するためのフォワーディングデータベースを取得するステップと、
前記少なくとも一つの計算機が、前記無線通信のアクセスポイントとして機能する前記ネットワーク機器から、接続している前記端末に関する無線通信端末情報を取得するステップと、を含むことを特徴とするネットワーク解析方法。
前記複数のネットワーク機器は、無線通信のアクセスポイントとして機能するネットワーク機器を少なくとも一つ含み、
前記第1のステップは、
前記少なくとも一つの計算機が、前記複数のネットワーク機器から、パケットの転送を制御するためのフォワーディングデータベースを取得するステップと、
前記少なくとも一つの計算機が、前記無線通信のアクセスポイントとして機能する前記ネットワーク機器から、接続している前記端末に関する無線通信端末情報を取得するステップと、を含むことを特徴とするネットワーク解析方法。
【請求項7】
端末を収容する複数のネットワーク機器を含むネットワークと接続する計算機が実行するプログラムであって、
前記計算機は、CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有し、
前記プログラムは、
前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成する第1の手順と、
前記少なくとも一つの計算機が、前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定する第2の手順と、
前記少なくとも一つの計算機が、前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定する第3の手順と、
前記少なくとも一つの計算機が、前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示する第4の手順と、
を前記計算機に実行させることを特徴とするプログラム。
前記計算機は、CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有し、
前記プログラムは、
前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成する第1の手順と、
前記少なくとも一つの計算機が、前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定する第2の手順と、
前記少なくとも一つの計算機が、前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定する第3の手順と、
前記少なくとも一つの計算機が、前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示する第4の手順と、
を前記計算機に実行させることを特徴とするプログラム。
【請求項8】
請求項7に記載のプログラムであって、
前記計算機は、前記複数のネットワーク機器の位置を管理するための位置情報を保持し、
前記接続履歴は、接続する前記ネットワーク機器の識別情報を含み、
前記第3の手順は、前記ターゲット端末の接続履歴、前記参照端末の接続履歴、及び前記位置情報に基づいて、前記ターゲット端末が接続する前記ネットワークが存在する位置と同一又は近隣の位置に存在する前記ネットワーク機器と接続する前記参照端末を特定させる手順を含み、
前記第4の手順は、特定された前記参照端末の接続履歴を含む、前記解析情報を提示させる手順を含むことを特徴とするプログラム。
前記計算機は、前記複数のネットワーク機器の位置を管理するための位置情報を保持し、
前記接続履歴は、接続する前記ネットワーク機器の識別情報を含み、
前記第3の手順は、前記ターゲット端末の接続履歴、前記参照端末の接続履歴、及び前記位置情報に基づいて、前記ターゲット端末が接続する前記ネットワークが存在する位置と同一又は近隣の位置に存在する前記ネットワーク機器と接続する前記参照端末を特定させる手順を含み、
前記第4の手順は、特定された前記参照端末の接続履歴を含む、前記解析情報を提示させる手順を含むことを特徴とするプログラム。
【請求項9】
請求項7に記載のプログラムであって、
前記複数のネットワーク機器は、無線通信のアクセスポイントとして機能するネットワーク機器を少なくとも一つ含み、
前記第1の手順は、
前記複数のネットワーク機器から、パケットの転送を制御するためのフォワーディングデータベースを取得させる手順と、
前記無線通信のアクセスポイントとして機能する前記ネットワーク機器から、接続している前記端末に関する無線通信端末情報を取得させる手順と、を含むことを特徴とするプログラム。
前記複数のネットワーク機器は、無線通信のアクセスポイントとして機能するネットワーク機器を少なくとも一つ含み、
前記第1の手順は、
前記複数のネットワーク機器から、パケットの転送を制御するためのフォワーディングデータベースを取得させる手順と、
前記無線通信のアクセスポイントとして機能する前記ネットワーク機器から、接続している前記端末に関する無線通信端末情報を取得させる手順と、を含むことを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステムの監視技術に関する。
【背景技術】
【0002】
多くの企業では、セキュリティの観点で、事前登録されたMAC(Media Access Control)アドレスを持つ端末だけが企業内のネットワークを利用できるような運用がなされる。前述のようなネットワーク運用を実現するネットワークシステムの一例としては、例えば、特許文献1に開示されている。
【0003】
特許文献1に開示されたネットワークシステムでは、認証スイッチに接続して利用することを許可するユーザ端末のMACアドレスを認証サーバの認証DBに登録しておき、ユーザ端末が認証スイッチに接続されたときに認証スイッチからユーザ端末のMACアドレスとともに認証サーバに認証処理を要求し、認証サーバからの認証結果に基づいて認証スイッチがユーザ端末の通信可否を決定する。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2016-143396号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
企業は、ユーザが私的に利用するパーソナルコンピュータ及びスマートフォン等の端末が企業内のネットワークのレイヤ2スイッチ(以下、L2スイッチと記載する。)及び無線LANアクセスポイント等のネットワーク機器に許可なく接続してしまう可能性を考慮してネットワークを運用する必要がある。特許文献1等の公知の認証技術を用いれば、未登録端末がネットワーク機器に接続しても、通信を行うことを防ぐことができる。
【0006】
しかし、未登録端末がネットワーク機器に接続した状態が継続した場合、未登録端末からの接続要求に対する認証処理も継続して発生してしまい、認証サーバ及びネットワーク機器等に認証処理のための不要な負荷が掛かり続けてしまう。したがって、認証に失敗し続ける端末が存在する場合、その端末の使用者を早期に特定し、L2スイッチから当該端末を切り離す、又は、無線LANアクセスポイントへの接続設定を削除させる等の是正措置を施したいというニーズがある。
【0007】
本発明の目的は、未登録端末の使用者の特定に有用な情報を提示する技術を提供することである。
【課題を解決するための手段】
【0008】
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、端末を収容する複数のネットワーク機器を含むネットワークと接続する計算機システムであって、CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有する、少なくとも一つの計算機を含み、前記少なくとも一つの計算機は、前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成し、前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定し、前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定し、前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示する。
【発明の効果】
【0009】
本発明によれば、管理用識別情報が不明な端末(未登録端末)の使用者の特定に有用な情報を提示できる。ネットワークシステムの管理者は、当該情報に基づいて未登録端末の使用者を迅速かつ容易に推定することができる。
【図面の簡単な説明】
【0010】
【図1】実施例1のネットワークシステムの構成例を示す図である。
【図2】実施例1のネットワーク管理サーバの構成例を示す図である。
【図3】実施例1のL2スイッチの構成例を示す図である。
【図4】実施例1の無線LANアクセスポイントの構成例を示す図である。
【図5】実施例1の接続監視情報のデータ構造の一例を示す図である。
【図6】実施例1の無線接続監視情報のデータ構造の一例を示す図である。
【図7】実施例1の登録端末情報のデータ構造の一例を示す図である。
【図8A】実施例1の接続履歴情報のデータ構造の一例を示す図である。
【図8B】実施例1の接続履歴情報のデータ構造の一例を示す図である。
【図9】実施例1の移動端末解析情報のデータ構造の一例を示す図である。
【図10】実施例1のFDB情報のデータ構造の一例を示す図である。
【図11】実施例1のFDB情報のデータ構造の一例を示す図である。
【図12】実施例1の無線接続端末情報のデータ構造の一例を示す図である。
【図13】実施例1の認証情報のデータ構造の一例を示す図である。
【図14】実施例1のネットワーク管理サーバが実行する監視情報生成処理の一例を説明するフローチャートである。
【図15】実施例1のネットワーク管理サーバが実行する履歴情報生成処理の一例を説明するフローチャートである。
【図16】実施例1のネットワーク管理サーバが実行する情報生成処理の一例を説明するフローチャートである。
【図17】実施例1のネットワーク管理サーバが実行する情報更新処理の一例を説明するフローチャートである。
【図18】実施例1のネットワーク管理サーバが提示する検索画面の一例を示す図である。
【図19】実施例1のネットワーク管理サーバが実行する移動端末解析情報生成処理の一例を説明するフローチャートである。
【図20】実施例1のネットワーク管理サーバが提示する処理結果画面の一例を示す図である。
【図21】実施例2のネットワークシステムの構成例によるネットワークの構成例を示す図である。
【図22】実施例2の無線LANコントローラの構成例を示す図である。
【図23】実施例2のFDB情報のデータ構造の一例を示す図である。
【図24】実施例2の無線接続端末情報のデータ構造の一例を示す図である。
【図25】実施例2の無線LANアクセスポイント情報のデータ構造の一例を示す図である。
【発明を実施するための形態】
【0011】
以下、本発明の実施例について図面を用いて説明する。ただし、本実施例は本発明を実現するための一例にすぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。以下に説明する発明の構成において、同一又は類似する構成又は機能には同一の符号を付し、重複する説明は省略する。図面等において示す各構成の位置、大きさ、形状、及び範囲等は、発明の理解を容易にするため、実際の位置、大きさ、形状、及び範囲等を表していない場合がある。したがって、本発明では、図面等に開示された位置、大きさ、形状、及び範囲等に限定されない。
【0012】
本明細書では、ネットワークを構成するスイッチ及びアクセスポイント等を「ネットワーク機器」と記載する。また、ネットワーク機器及びネットワーク内で通信を行う端末を区別しない場合、「機器」と記載する。
【実施例0013】
従来技術では、無線LANアクセスポイントに接続される未登録端末の使用者を特定することが難しいという課題がある。これは、有線接続のように物理的な接続ケーブルがなく、端末も簡単に移動できてしまうことが要因である。また、未登録端末の使用者等の情報を事前に登録する方法も考えられるが、現実的ではない。
【0014】
実施例1のネットワークシステムでは、企業内のネットワークを監視するネットワーク管理サーバが、登録端末の接続履歴に基づいて、未登録端末の使用者を特定するために役立つ情報を提示する。
【0015】
図1は、実施例1のネットワークシステムの構成例を示す図である。
【0016】
ネットワークシステムは、ネットワーク管理サーバ100及び社内ネットワーク101から構成される。ネットワーク管理サーバ100及び社内ネットワーク101は、LAN及びWAN等のネットワーク102を介して接続される。社内ネットワーク101は、一つのL2スイッチ110及び二つの無線LANアクセスポイント120-1、120-2から構成される。社内ネットワーク101には、四つの端末130-1、130-2、130-3、130-4が存在する。
【0017】
以下の説明では、L2スイッチ110のMACアドレス等の識別情報をS10とし、無線LANアクセスポイント120-1の識別情報をS20とし、無線LANアクセスポイント120-2の識別情報をS21とする。また、端末130-1の識別情報をU10とし、端末130-2の識別情報をU20とし、端末130-3の識別情報をU30とし、端末130-4の識別情報をU40とする。
【0018】
以下の説明では、無線LANアクセスポイント120-1、120-2を区別しない場合、無線LANアクセスポイント120と記載する。また、端末130-1、130-2、130-3、130-4を区別しない場合、端末130と記載する。
【0019】
なお、社内ネットワーク101を構成するネットワーク機器の構成は一例であってこれに限定されない。L2スイッチ110、無線LANアクセスポイント120、端末130の数は任意である。なお、ネットワーク管理サーバ100は、社内ネットワーク101に含まれてもよい。
【0020】
L2スイッチ110は四つのポート111-1、111-2、111-3、111-4を有する。以下の説明では、ポート111-1、111-2、111-3、111-4を区別しない場合、ポート111と記載する。ポート111は、銅線及び光ファイバ等のケーブルを介して機器と接続する。具体的には、ポート111-1は無線LANアクセスポイント120-1と接続し、ポート111-2は無線LANアクセスポイント120-2と接続し、ポート111-3は端末130-4と接続する。ポート111-4には機器は接続されていない。
【0021】
無線LANアクセスポイント120は、有線で機器と接続するポート121と、無線で機器と接続するポート121とを有する。無線LANアクセスポイント120-1のポート121-1はL2スイッチ110と接続し、また、無線LANアクセスポイント120-1の図示しないポート121は、端末130-1、130-2、130-3と接続する。無線LANアクセスポイント120-2のポート121-2はL2スイッチ110と接続する。無線LANアクセスポイント120-2には端末130は接続されていない。
【0022】
【0023】
図2は、実施例1のネットワーク管理サーバ100の構成例を示す図である。
【0024】
ネットワーク管理サーバ100は、CPU201、ネットワークI/F202、及びメモリ203を有する。
【0025】
CPU201は、メモリ203に格納されるプログラムを実行する演算装置である。CPU201がプログラムにしたがって処理を実行することによって、特定の機能を実現する機能部(モジュール)として動作する。以下の説明では、機能部を主語に処理を説明する場合、CPU201が当該機能部を実現するプログラムを実行していることを示す。ネットワークI/F202は、ネットワークを介して外部装置と接続するためのインタフェースである。メモリ203は、CPU201が実行するプログラム及びプログラムが使用する情報を格納する記憶装置である。メモリ203はワークエリアとしても用いられる。
【0026】
メモリ203は、履歴検証部210及びユーザI/F部211を実現するプログラムを格納する。また、メモリ203は、接続監視情報220、無線接続監視情報221、登録端末情報222、接続履歴情報223、及び移動端末解析情報224を格納する。
【0027】
接続監視情報220は、現在の社内ネットワーク101における機器の接続状態を管理するための情報である。接続監視情報220のデータ構造の詳細は図5を用いて説明する。無線接続監視情報221は無線LANアクセスポイント120の接続状態を管理するための情報である。無線接続監視情報221のデータ構造の詳細は図6を用いて説明する。登録端末情報222は、社内ネットワーク101において登録されている端末130を管理するための情報である。登録端末情報222のデータ構造の詳細は図7を用いて説明する。接続履歴情報223は、社内ネットワーク101における機器の接続状態の履歴を管理するための情報である。接続履歴情報223のデータ構造の詳細は図8A及び図8Bを用いて説明する。移動端末解析情報224は、社内ネットワーク101における移動端末(端末130)の接続状態の解析結果を管理するための情報である。移動端末解析情報224のデータ構造の詳細は図9を用いて説明する。
【0028】
履歴検証部210は、社内ネットワーク101の機器の接続状態を監視し、また、社内ネットワーク101の未登録端末130の使用者を特定するために役立つ情報を提示する。履歴検証部210は、収集部230、履歴生成部231、及び解析部232を含む。ユーザI/F部211は、各種設定及び操作を行うためのインタフェースを提供する。
【0029】
図3は、実施例1のL2スイッチ110の構成例を示す図である。
【0030】
L2スイッチ110は、CPU301、ネットワークI/F302、メモリ303、及びパケット中継器304を有する。CPU301及びメモリ303は、CPU201及びメモリ203と同様のハードウェアである。
【0031】
ネットワークI/F302は、複数のポート111を有する。パケット中継器304は、パケットを転送するポート111の振り分けを行う。具体的には、ネットワークI/F302の一つのポート111を介してパケットを受信した場合、パケット中継器304は、FDB(Forwarding Data Base)情報320及びパケットに含まれる宛先MACアドレスに基づいて、転送先のポート111を決定し、当該ポート111にパケットを転送する。宛先MACアドレスがL2スイッチ110のMACアドレスである場合、パケット中継器304は、L2スイッチ110宛てのパケットと解釈し、CPU301にパケットを転送する。パケット中継器304は、必要に応じてMACアドレス学習を行う。すなわち、パケット中継器304は、パケットに含まれる送信元MACアドレスと、当該パケットを受信したポート111の識別情報とを含むエントリをFDB情報320に登録する。
【0032】
メモリ303は、制御部310及びユーザI/F部311を実現するプログラムを格納する。また、メモリ303はFDB情報320を格納する。
【0033】
FDB情報320は、パケットの転送を制御するための情報である。FDB情報320のデータ構造の詳細は図10を用いて説明する。
【0034】
制御部310はL2スイッチ110全体を制御する。ユーザI/F部311は、各種設定及び操作を行うためのインタフェースを提供する。
【0035】
図4は、実施例1の無線LANアクセスポイント120の構成例を示す図である。
【0036】
無線LANアクセスポイント120は、CPU401、ネットワークI/F402、メモリ403、及びパケット中継器404を有する。CPU401及びメモリ403は、CPU201及びメモリ203と同様のハードウェアである。パケット中継器404は、パケット中継器304と同様のハードウェアである。
【0037】
ネットワークI/F402は、有線接続用のポート121と無線接続用のポート121(アンテナ)を有する。
【0038】
メモリ403は、制御部410及びユーザI/F部411を実現するプログラムを格納する。また、メモリ403は、FDB情報420、無線接続端末情報421、及び認証情報422を格納する。
【0039】
FDB情報420は、パケットの転送を制御するための情報である。FDB情報420のデータ構造の詳細は図11を用いて説明する。無線接続端末情報421は、無線通信を行う端末130を管理するための情報である。無線接続端末情報421のデータ構造の詳細は図12を用いて説明する。認証情報422は、認証を行うための情報であり、MAC ACL(Access Control List)と呼ばれることもある。認証情報422のデータ構造の詳細は図13を用いて説明する。
【0040】
制御部410は無線LANアクセスポイント120全体を制御する。ユーザI/F部411は、各種設定及び操作を行うためのインタフェースを提供する。
【0041】
制御部410は、無線通信用のポート121を介してパケットを受信した場合、認証情報422及びパケットに含まれる送信元MACアドレスに基づいて認証処理を実行する。送信元MACアドレスが認証情報422に含まれている場合、制御部410は、パケット中継器404に転送を指示する。パケット中継器404は、FDB情報420及びパケットに含まれる宛先MACアドレスに基づいて、転送先のポート121を決定し、当該ポート121にパケットを転送する。送信元MACアドレスが認証情報422に含まれていない場合、制御部410はパケットを廃棄する。
【0042】
なお、無線LANアクセスポイント120は、認証情報422を用いた認証とは別に、ユーザID及びパスワード等を用いた無線LAN特有の認証プロトコルを利用することが一般的である。前述の認証プロトコルは、認証情報422を用いた認証が成功した後に実行されるものとする。無線LAN特有の認証プロトコルは公知技術であり、本実施例ではその認証プロトコルに関連する処理の記述は省略している。
【0043】
制御部410は、有線通信用のポート121を介してパケットを受信した場合、パケット中継器404に転送を指示する。パケット中継器404は、FDB情報420及びパケットに含まれる宛先MACアドレスに基づいて、転送先のポート121を決定し、当該ポート121にパケットを転送する。宛先MACアドレスが無線LANアクセスポイント120である場合、パケット中継器404は、無線LANアクセスポイント120宛てのパケットと解釈し、CPU401にパケットを転送する。
【0044】
また、パケット中継器404は、必要に応じてMACアドレス学習を行う。すなわち、パケット中継器404は、パケットに含まれる送信元MACアドレスと、当該パケットを受信したポート121の識別情報とを組み合わせたエントリをFDB情報420に登録する。
【0045】
【0046】
図5は、実施例1の接続監視情報220のデータ構造の一例を示す図である。
【0047】
接続監視情報220は、ネットワーク機器C501、ポートC502、及び接続機器C503を含むエントリを格納する。
【0048】
ネットワーク機器C501は、端末130等の機器と接続するネットワーク機器の識別情報(MACアドレス)を格納するカラムである。本実施例のネットワーク機器C501には、L2スイッチ110及び無線LANアクセスポイント120のいずれかの識別情報が格納される。ポートC502は、機器と接続するポートの識別情報を格納するカラムである。接続機器C503は、接続する機器の識別情報(MACアドレス)を格納するカラムである。
【0049】
図6は、実施例1の無線接続監視情報221のデータ構造の一例を示す図である。
【0050】
無線接続監視情報221は、無線LANアクセスポイントC601及び接続端末C602を含むエントリを格納する。
【0051】
無線LANアクセスポイントC601は、無線LANアクセスポイント120の識別情報(MACアドレス)を格納するカラムである。接続端末C602は、無線LANアクセスポイント120と接続する端末130の識別情報(MACアドレス)を格納するカラムである。
【0052】
図7は、実施例1の登録端末情報222のデータ構造の一例を示す図である。
【0053】
登録端末情報222は、端末C701及びユーザC702を含むエントリを格納する。
【0054】
端末C701は、端末130の識別情報(MACアドレス)を格納するカラムである。ユーザC702は、端末130を使用するユーザの識別情報を格納するカラムである。
【0055】
管理者が、ユーザI/F部211が提供するインタフェースを用いて登録端末情報222を設定してもよいし、ネットワーク管理サーバ100が、図示しない管理サーバ等から情報を取得し、登録端末情報222を設定してもよい。
【0056】
【0057】
接続履歴情報223は、開始日時C801、終了日時C802、ネットワーク機器C803、ポートC804、無線LANアクセスポイントC805、接続端末C806、及びユーザC807を含むエントリを格納する。
【0058】
開始日時C801は、端末130が接続を開始した時刻を格納するカラムである。終了日時C802は、端末130が接続を終了した時刻を格納するカラムである。ネットワーク機器C803は、端末130と直接又は間接的に接続するL2スイッチ110の識別情報(MACアドレス)を格納するカラムである。ポートC804は、端末130と直接又は間接的に接続するL2スイッチ110のポート111の識別情報を格納するカラムである。無線LANアクセスポイントC805は、端末130と接続する無線LANアクセスポイント120の識別情報(MACアドレス)を格納するカラムである。接続端末C806は、端末130の識別情報(MACアドレス)を格納するカラムである。ユーザC807は、接続端末C806に対応する端末130を使用するユーザの識別情報を格納するカラムである。使用するユーザが不明である場合、すなわち、未登録端末130である場合、ユーザC807は空欄となる。
【0059】
図9は、実施例1の移動端末解析情報224のデータ構造の一例を示す図である。
【0060】
移動端末解析情報224は、開始日時C901、終了日時C902、ネットワーク機器C903、ポートC904、無線LANアクセスポイントC905、接続端末C906、及びユーザC907を含むエントリを格納する。移動端末解析情報224の各カラムは、接続履歴情報223の各カラムと同一のものである。
【0061】
後述するように、移動端末解析情報224は、接続履歴情報223から生成される。移動端末解析情報224は、未登録端末130の使用者を特定するために役立つ情報として用いられる。
【0062】
次に、図10を用いてL2スイッチ110が保持するFDB情報320のデータ構造について説明する。
【0063】
図10は、実施例1のFDB情報320のデータ構造の一例を示す図である。
【0064】
FDB情報320は、ポートC1001及び接続機器C1002を含むエントリを格納する。
【0065】
ポートC1001は、機器と接続するポート111の識別情報を格納するカラムである。接続機器C1002は、接続される機器の識別情報(MACアドレス)を格納するカラムである。
【0066】
【0067】
図11は、実施例1のFDB情報420のデータ構造の一例を示す図である。
【0068】
FDB情報420は、ポートC1101及び接続機器C1102を含むエントリを格納する。
【0069】
ポートC1101は、機器と接続するポート121の識別情報を格納するカラムである。接続機器C1102は、接続される機器の識別情報(MACアドレス)を格納するカラムである。
【0070】
図12は、実施例1の無線接続端末情報421のデータ構造の一例を示す図である。
【0071】
無線接続端末情報421は、接続端末C1201を含むエントリを格納する。接続端末C1201は、無線LANアクセスポイント120と接続する端末130の識別情報(MACアドレス)を格納するカラムである。
【0072】
なお、本実施例では、認証に失敗した端末130であっても、無線接続端末情報421には当該端末130のエントリが登録されるものとする。なお、制御部410は、一定期間、端末130からパケットを受信していない場合、無線接続端末情報421から当該端末130に対応するエントリを削除するものとする。期間は予め設定されている。
【0073】
図13は、実施例1の認証情報422のデータ構造の一例を示す図である。
【0074】
認証情報422は、端末C1301を含むエントリを格納する。端末C1301は、社内ネットワーク101の使用が許可されている端末130の識別情報を格納するカラムである。識別情報は例えばMACアドレスである。
【0075】
管理者が、ユーザI/F部411が提供するインタフェースを用いて認証情報422を設定してもよいし、無線LANアクセスポイント120が、図示しない管理サーバ等から情報を取得し、認証情報422を設定してもよい。
【0076】
【0077】
図14は、実施例1のネットワーク管理サーバ100が実行する監視情報生成処理の一例を説明するフローチャートである。
【0078】
履歴検証部210は、開始イベントを検知したか否かを判定する(ステップF101)。例えば、履歴検証部210は、実行周期の経過、又は、ユーザI/F部211を介した開始コマンドの受信を、開始イベントとして検知する。
【0079】
開始イベントを検知していない場合、履歴検証部210は監視情報生成処理を終了する。
【0080】
開始イベントを検知した場合、履歴検証部210の収集部230は、SNMP等のプロトコルを用いて、ネットワーク機器からFDB情報を取得し、接続監視情報220を生成する(ステップF102)。
【0081】
具体的には、収集部230は、L2スイッチ110からFDB情報320を取得し、無線LANアクセスポイント120からFDB情報420を取得する。収集部230は、取得したFDB情報320及びFDB情報420に基づいて、接続監視情報220を生成する。ネットワーク機器C501には、FDB情報を取得したネットワーク機器の識別情報が設定され、ポートC502には、ポートC1001又はポートC1101の値が設定され、接続機器C503には接続機器C1002又は接続機器C1102の値が設定される。図1に示すようなネットワーク接続の場合、図5に示すような接続監視情報220が生成される。
【0082】
なお、FDB情報を取得するネットワーク機器は、図示しないテーブルを用いて、予め指定してもよい。
【0083】
次に、履歴検証部210の収集部230は、SNMP等のプロトコルを用いて、無線LANアクセスポイント120から無線接続端末情報421を取得し、無線接続監視情報221を生成する(ステップF103)。その後、履歴検証部210は監視情報生成処理を終了する。
【0084】
無線LANアクセスポイントC601には無線接続端末情報421を取得した無線LANアクセスポイント120の識別情報が設定され、接続端末C602には接続端末C1201の値が設定される。図1に示すようなネットワーク接続の場合、図6に示すような無線接続監視情報221が生成される。
【0085】
なお、無線接続端末情報421を取得する無線LANアクセスポイント120は、図示しないテーブルを用いて、予め指定してもよい。
【0086】
図15は、実施例1のネットワーク管理サーバ100が実行する履歴情報生成処理の一例を説明するフローチャートである。
【0087】
履歴検証部210は、開始イベントを検知したか否かを判定する(ステップF201)。例えば、履歴検証部210は、実行周期の経過、又は、ユーザI/F部211を介した開始コマンドの受信を、開始イベントとして検知する。
【0088】
開始イベントを検知していない場合、履歴検証部210は履歴情報生成処理を終了する。
【0089】
開始イベントを検知した場合、履歴検証部210の履歴生成部231は、情報生成処理を実行し(ステップF202)、また、情報更新処理を実行する(ステップF203)。その後、履歴検証部210は履歴情報生成処理を終了する。
【0090】
情報生成処理では、接続監視情報220に基づいて、L2スイッチ110及び無線LANアクセスポイント120に接続されている端末130の情報が抽出され、接続履歴情報223に当該情報が追加される。情報更新処理では、接続が検知された端末の接続状態が確認され、接続状態に応じて接続履歴情報223が更新される。
【0091】
図16は、実施例1のネットワーク管理サーバ100が実行する情報生成処理の一例を説明するフローチャートである。
【0092】
履歴生成部231は、接続監視情報220のループ処理を開始する(ステップF301)。
【0093】
具体的には、履歴生成部231は、接続監視情報220のエントリを一つ選択する。以下の説明では、選択されたエントリを「処理対象エントリ」と記載し、処理対象エントリに対応する端末130を「処理対象端末130」と記載する。
【0094】
履歴生成部231は、接続履歴情報223に処理対象端末130に対応するエントリが登録済みであるか否かを判定する(ステップF302)。
【0095】
具体的には、履歴生成部231は、接続端末C806に処理対象端末130の識別情報が格納され、かつ、終了日時C802が空欄であるエントリを検索する。当該端末が存在する場合、接続履歴情報223にエントリが登録済みであると判定される。
【0096】
接続履歴情報223に処理対象端末130に対応するエントリが登録済みである場合、履歴生成部231はステップF308に進む。
【0097】
接続履歴情報223に処理対象端末130に対応するエントリが登録されていない場合、履歴生成部231は、接続履歴情報223に処理対象端末130のエントリを登録する(ステップF303)。当該端末は新たに接続が確認された端末であることを意味する。
【0098】
具体的には、履歴生成部231は、接続履歴情報223にエントリを追加し、追加されたエントリの開始日時C801に現在の日時を設定する。履歴生成部231は、追加されたエントリのネットワーク機器C803、ポートC804、及び接続端末C806に、処理対象エントリのネットワーク機器C501、ポートC502、及び接続機器C503の値を設定する。この時点では、追加されたエントリの終了日時C802、無線LANアクセスポイントC805、及びユーザC807は空欄である。
【0099】
次に、履歴生成部231は、処理対象端末130が無線通信を行っているか否かを判定する(ステップF304)。
【0100】
具体的には、履歴生成部231は、無線接続監視情報221を参照し、接続端末C602に処理対象端末130の識別情報が設定されたエントリを検索する。当該エントリが存在する場合、処理対象端末130は無線通信を行っていると判定される。
【0101】
処理対象端末130が無線通信を行っていない場合、履歴生成部231はステップF306に進む。
【0102】
処理対象端末130が無線通信を行っている場合、履歴生成部231は、追加されたエントリに無線LANアクセスポイント120の情報を設定する(ステップF305)。
【0103】
具体的には、履歴生成部231は、追加されたエントリの無線LANアクセスポイントC805に、ステップF304において検索されたエントリの無線LANアクセスポイントC601の値を設定する。
【0104】
ステップF306では、履歴生成部231は、処理対象端末130が登録端末であるか否かを判定する(ステップF306)。
【0105】
具体的には、履歴生成部231は、登録端末情報222を参照し、端末C701に処理対象端末130の識別情報が設定されたエントリを検索する。当該エントリが存在する場合、処理対象端末130は登録端末であると判定される。
【0106】
処理対象端末130が登録端末でない場合、履歴生成部231はステップF308に進む。
【0107】
処理対象端末130が登録端末である場合、履歴生成部231は、追加されたエントリに登録端末の識別情報を設定する(ステップF307)。その後、履歴生成部231はステップF308に進む。
【0108】
具体的には、履歴生成部231は、追加されたエントリのユーザC807に、ステップF306において検索されたエントリのユーザC702の値を設定する。
【0109】
ステップF308では、履歴生成部231は、接続監視情報220の全てのエントリについて処理が完了したか否かを判定する(ステップF308)。
【0110】
接続監視情報220の全てのエントリについて処理が完了していない場合、履歴生成部231はステップF301に戻り、同様の処理を実行する。
【0111】
接続監視情報220の全てのエントリについて処理が完了した場合、履歴生成部231は情報生成処理を終了する。
【0112】
図17は、実施例1のネットワーク管理サーバ100が実行する情報更新処理の一例を説明するフローチャートである。
【0113】
履歴生成部231は、接続履歴情報223を参照して、更新対象のエントリのリストを生成する(ステップF401)。
【0114】
具体的には、履歴生成部231は、終了日時C802が空欄であるエントリを検索し、当該エントリのリストを生成する。
【0115】
履歴生成部231は、リストのループ処理を開始する(ステップF402)。
【0116】
具体的には、履歴生成部231は、リストからエントリを一つ選択する。以下の説明では選択されたエントリを処理対象エントリと記載する。
【0117】
履歴生成部231は、接続監視情報220に基づいて、処理対象エントリに対応する端末130の接続が終了しているか否かを判定する(ステップF403)。
【0118】
具体的には、履歴生成部231は、接続監視情報220を参照し、ネットワーク機器C501、ポートC502、及び接続機器C503の値の組合せが、処理対象エントリのネットワーク機器C803、ポートC804、及び接続端末C806の値の組合せと一致するエントリを検索する。前述のエントリが存在しない場合、履歴生成部231は、処理対象エントリに対応する端末130の接続が終了していると判定する。接続監視情報220にエントリが存在しない端末130は、社内ネットワーク101から切断したことを意味する。
【0119】
処理対象エントリに対応する端末130の接続が終了していない場合、履歴生成部231はステップF405に進む。
【0120】
処理対象エントリに対応する端末130の接続が終了している場合、履歴生成部231は、接続履歴情報223の処理対象エントリに対応するエントリの終了日時C902に現在の日時を設定する(ステップF404)。その後、履歴生成部231はステップF405に進む。
【0121】
ステップF405では、履歴生成部231は、リストに登録されている全てのエントリについて処理が完了したか否かを判定する(ステップF405)。
【0122】
リストに登録されている全てのエントリについて処理が完了していない場合、履歴生成部231は、ステップF402に戻り、同様の処理を実行する。
【0123】
リストに登録されている全てのエントリについて処理が完了した場合、履歴生成部231は情報更新処理を終了する。
【0124】
図8Aに示す接続履歴情報223は、端末130-1(U10)及び端末130-2(U20)が時刻1に無線LANアクセスポイント120-1(S20)に接続し、端末130-3(U30)が時刻3に無線LANアクセスポイント120-1(S20)に接続し、端末130-4(U40)が時刻5にL2スイッチ110(S10)に接続していることを示す。
【0125】
図8Bに示す接続履歴情報223は、図8Aに示す接続履歴情報223が生成された後に生成された情報である。端末130-1(U10)及び端末130-2(U20)は時刻2に無線LANアクセスポイント120-1(S20)と切断し、端末130-3(U30)は時刻4に無線LANアクセスポイント120-1(S20)と切断している。また、端末130-1(U10)及び端末130-2(U20)は時刻6に無線LANアクセスポイント120-2(U21)と接続していることを示す。
【0126】
このように、履歴生成部231によって社内ネットワーク101における端末130の接続状態に関する情報が接続履歴情報223に蓄積される。
【0127】
次に、接続履歴情報223を用いて移動端末解析情報224を提示する処理について説明する。
【0128】
図18は、実施例1のネットワーク管理サーバ100が提示する検索画面の一例を示す図である。図19は、実施例1のネットワーク管理サーバ100が実行する移動端末解析情報生成処理の一例を説明するフローチャートである。図20は、実施例1のネットワーク管理サーバ100が提示する処理結果画面の一例を示す図である。
【0129】
ネットワーク管理サーバ100は、ユーザの要求に応じて図18に示すような入力画面1800を表示する。例えば、ユーザI/F部211が、ネットワーク管理サーバ100又はユーザが操作する端末のディスプレイ等の出力装置に入力画面1800を表示する。
【0130】
入力画面1800は、端末情報入力フィールド1801、検索期間入力フィールド1802、及び実行ボタン1803を含む。端末情報入力フィールド1801は、未登録端末130の識別情報(MACアドレス)を入力するためのフィールドである。検索期間入力フィールド1802は、検索期間を入力するフィールドである。検索期間入力フィールド1802には、検索開始日時及び検索終了日時が入力される。なお、検索期間入力フィールド1802は空欄でもよい。実行ボタン1803は、移動端末解析情報生成処理の実行を指示するための操作ボタンである。
【0131】
なお、入力画面1800は、一例であって図18に示すものに限定されない。例えば、ネットワーク機器及びポート等を指定するフィールドを設けることもできる。
【0132】
実行ボタン1803が操作された場合、以下で説明する移動端末解析情報生成処理が実行される。
【0133】
解析部232は、移動端末解析情報224を初期化する(ステップF501)。ここで、初期化とは、移動端末解析情報224にエントリが存在しない状態にすることを表す。
【0134】
解析部232は、接続履歴情報223のループ処理を開始する(ステップF502)。
【0135】
具体的には、解析部232は、接続履歴情報223のエントリを一つ選択する。以下の説明では、選択されたエントリを処理対象エントリと記載する。なお、解析部232は、接続履歴情報223から開始日時C801が検索期間内であるエントリのみを取り出し、ループ処理を実行してもよい。
【0136】
解析部232は、処理対象エントリに対応する端末130が検索対象端末であるか否かを判定する(ステップF503)。
【0137】
具体的には、解析部232は、処理対象エントリの接続端末C806の値が、端末情報入力フィールド1801の値と一致し、かつ、処理対象エントリの開始日時C801の値が検索期間入力フィールド1802で指定された検索範囲に含まれるか否かを判定する。前述の条件を満たす場合、処理対象エントリに対応する端末130が検索対象端末であると判定される。
【0138】
処理対象エントリに対応する端末130が検索対象端末でない場合、解析部232はステップF506に進む。
【0139】
処理対象エントリに対応する端末130が検索対象端末である場合、解析部232は、接続履歴情報223を参照し、当該端末130と接続状態が同一である端末130を検索する(ステップF504)。
【0140】
具体的には、解析部232は、開始日時C801及び終了日時C802の値の組合せが、処理対象エントリの開始日時C801及び終了日時C802の値の組合せと一致するエントリを検索する。なお、日時は完全に一致していなくてもよい。例えば、誤差が一定の時間以内(例えば3分以内)の場合、同じ日時として扱ってもよい。
【0141】
解析部232は、処理対象エントリ及び検索されたエントリに基づいて、移動端末解析情報224を更新する(ステップF505)。その後、解析部232はステップF506に進む。
【0142】
具体的には、解析部232は、移動端末解析情報224に、処理対象エントリに対応するエントリを追加し、また、検索されたエントリに対応するエントリを追加する。ステップF504において、複数のエントリが検索された場合、移動端末解析情報224には複数のエントリが追加される。
【0143】
ステップF506では、解析部232は、接続履歴情報223の全てのエントリについて処理が完了したか否かを判定する(ステップF506)。
【0144】
接続履歴情報223の全てのエントリについて処理が完了していない場合、解析部232はステップF502に戻り、同様の処理を実行する。
【0145】
接続履歴情報223の全てのエントリについて処理が完了した場合、解析部232は、移動端末解析情報224を提示し(ステップF507)、その後、移動端末解析情報生成処理を終了する。
【0146】
解析部232は、例えば、図20に示すような処理結果画面2000を提示する。処理結果画面2000には、図9と同じ内容の移動端末解析情報224が表示されている。端末130-2(U20)が未登録端末、かつ、図8Bに示す接続履歴情報223である場合、図9に示す移動端末解析情報224が生成される。
【0147】
管理者は、処理結果画面2000を参照することによって、未登録端末130-2(U20)が、登録端末130-1(U10)とともに移動していることを把握できる。したがって、管理者は、登録端末130-1(U10)を利用するユーザ又は当該ユーザとともに行動する他のユーザが未登録端末130-2(U20)を利用していると推測できる。これによって、管理者は必要な対処を行うことができる。
【0148】
なお、ネットワーク管理サーバ100が、L2スイッチ110及び無線LANアクセスポイント120等のネットワーク機器の物理的な位置を管理するための位置情報を保持している場合、当該情報を用いてさらに詳細な絞り込みを行うこともできる。例えば、解析部232は、ステップF504の処理の後、処理対象エントリ及び検索されたエントリのネットワーク機器C803の値に基づいて位置情報を参照し、物理的な配置が同じ又は近いか否かを判定する。解析部232は、物理的な配置が同じ又は近いエントリのみを移動端末解析情報224に登録する。
【0149】
なお、無線通信を行う端末130だけではなく、持ち運びが可能で、かつ、有線通信を行うノートパソコン等の端末についても同様の情報を生成することができる。
【0150】
以上、実施例1によれば、ネットワーク管理サーバ100は、社内ネットワークの利用が許可されていない未登録端末が接続された場合に、未登録端末と同じ接続状態の登録端末の情報を提示できる。これによって、管理者は未登録端末の使用者を推定することができる。
【実施例0151】
実施例2では、無線LANの通信プロトコルが実施例1と異なる。以下、実施例1との差異を中心に実施例について説明する。
【0152】
図21は、実施例2のネットワークシステムの構成例によるネットワークの構成例を示す図である。
【0153】
実施例2のネットワークシステムは、L2スイッチ110のポート111-4に無線LANコントローラ140が接続されている点が実施例1のネットワークシステムと異なる。その他の構成は実施例1と同一である。以下の説明では、無線LANコントローラ140のMACアドレス等の識別情報をS50とする。
【0154】
無線LANコントローラ140は、社内ネットワーク101に存在する無線LANアクセスポイント120の設定及び無線通信を行う端末130のトラフィックを一元的に管理することを目的としたネットワーク機器であり、多数の無線LANアクセスポイント120を有する大規模なネットワークで利用される。
【0155】
無線LANコントローラ140は、社内ネットワーク101に存在する無線LANアクセスポイント120に対し、無線LANコントローラ140の管理下で動作させるために必要な設定を行う。無線LANアクセスポイント120に接続される端末130のパケットは、無線LANコントローラ140を経由して送受信される。これは、無線LANコントローラ140が各端末130の通信データ量の監視及びトラフィック制御等の管理を一元的に行えるようにするためのものである。
【0156】
無線LANアクセスポイント120は、端末130からパケットを受信した場合、例えば、UDP(User Datagram Protocol)パケットのペイロード部分に端末130のパケットを格納するカプセル化を行い、カプセル化パケットを無線LANコントローラ140に送信する。無線LANコントローラ140は、カプセル化パケットを受信した場合、当該カプセル化パケットから端末130のパケットを取り出し(デカプセル化)、端末130のパケットを最終的な宛先に転送する。L2スイッチ110からは、無線通信を行う端末130のパケットは、すべて無線LANコントローラ140宛てに送信されているように認識される。
【0157】
前述した無線LANコントローラ140と無線LANアクセスポイント120との間の通信プロトコルには、例えば、CAPWAP(Control And Provisioning of Wireless Access Points)と呼ばれる公知の技術がある。
【0158】
実施例2のネットワーク管理サーバ100、L2スイッチ110、及び無線LANアクセスポイント120の構成は、実施例1と同一であるため説明を省略する。
【0159】
図22は、実施例2の無線LANコントローラ140の構成例を示す図である。
【0160】
無線LANコントローラ140は、CPU2201、ネットワークI/F2202、及びメモリ2203を有する。CPU2201、ネットワークI/F2202、及びメモリ2203は、CPU201、ネットワークI/F202、及びメモリ203と同様のハードウェアである。
【0161】
メモリ2203は、制御部2210及びユーザI/F部2211を実現するプログラムを格納する。また、メモリ2203は、FDB情報2220、無線接続端末情報2221、無線LANアクセスポイント情報2222、及び認証情報2223を格納する。
【0162】
無線LANコントローラ140は、無線LANアクセスポイント120に接続される端末130のパケットを集約して送受信するため、各端末130のパケットに対してはL2スイッチ110のように動作する。そのため、無線LANコントローラ140は、端末130の接続先を管理するためのFDB情報2220を保持する。FDB情報2220のデータ構造の詳細は図23を用いて説明する。無線接続端末情報2221は、無線接続端末情報421と同様の情報であるが、データ構造が一部異なる。無線接続端末情報2221のデータ構造の詳細は図24を用いて説明する。無線LANアクセスポイント情報2222は、監視対象の無線LANアクセスポイント120を管理するための情報である。無線LANアクセスポイント情報2222のデータ構造の詳細は図25を用いて説明する。認証情報2223は認証情報422と同一の情報である。
【0163】
制御部2210は、管理対象の無線LANアクセスポイント120に対する各種設定、端末130のパケットのカプセル化及びデカプセル化、並びに、無線LANコントローラ140全体の制御等を行う。また、制御部2210は、無線LANアクセスポイント120の代わりに、認証情報2223を用いて認証処理を実行する。
【0164】
ユーザI/F部2211は、無線LANコントローラ140の動作設定及び動作状態の確認を行うためのユーザインタフェースを提供する。
【0165】
図23は、実施例2のFDB情報2220のデータ構造の一例を示す図である。
【0166】
FDB情報2220は、ポートC2301及び接続機器C2302を含むエントリを格納する。ポートC2301及び接続機器C2302は、ポートC1101及び接続機器C1102と同一のカラムである。ただし、ポートC2301には、無線LANアクセスポイント120-1(S20)宛てのトンネルの情報が格納される。これは、端末130-1(U10)、端末130-2(U20)、及び端末130-3(U30)が当該トンネルの先に接続されていることを意味する。端末130-1、130-2、130-3は、無線LANコントローラ140の物理ポートに直接接続されておらず、トンネルという論理的なネットワークインタフェースを介して接続されていることを表している。
【0167】
図24は、実施例2の無線接続端末情報2221のデータ構造の一例を示す図である。
【0168】
無線接続端末情報2221は、無線LANアクセスポイントC2401及び接続端末C2402を含むエントリを格納する。接続端末C2402は接続端末C1201と同一のカラムである。無線LANアクセスポイントC2401は、端末130が接続している無線LANアクセスポイント120の識別情報を格納するカラムである。
【0169】
無線LANコントローラ140は、無線通信を行う端末130を一元管理しているため、無線LANアクセスポイント120及び端末130を紐付けて管理する。図24に示す無線接続端末情報2221は、端末130-1(U10)、端末130-2(U20)、及び端末130-3(U30)が無線LANアクセスポイント120-1(S20)に接続していることを表す。
【0170】
図25は、実施例2の無線LANアクセスポイント情報2222のデータ構造の一例を示す図である。
【0171】
無線LANアクセスポイント情報2222は、無線LANアクセスポイントC2501を含むエントリを格納する。無線LANアクセスポイントC2501は、管理対象の無線LANアクセスポイント120の識別情報(MACアドレス)を格納するカラムである。
【0172】
管理者が、手動で無線LANアクセスポイント情報2222を設定してもよい。また、無線LANコントローラ140が、CAPWAP等の公知技術で規定されている方法を用いて無線LANアクセスポイント120を探索し、探索結果に基づいて無線LANアクセスポイント情報2222を生成してもよい。
【0173】
次に、実施例2の処理について説明する。
【0174】
実施例2では、無線LANコントローラ140が認証処理を実行する。したがって、監視情報生成処理では情報の取得先が実施例1と異なる。
【0175】
ステップF102において、収集部230は、L2スイッチ110からFDB情報320を取得し、無線LANコントローラ140からFDB情報2220を取得する。FDB情報2220のデータ構造はFDB情報420と同一であり、取得方法も同一である。
【0176】
なお、無線LANコントローラ140も、無線LANアクセスポイント120と同様に、SNMP等のプロトコルを用いて内部の情報を外部の装置から読み出すことができるものとする。なお、情報収集の対象となる無線LANコントローラ140は、ネットワーク管理サーバ100に予め設定されているものとする。
【0177】
ステップF103において、収集部230は、無線LANコントローラ140から無線接続端末情報2221を取得する。無線接続端末情報2221では、端末130及び無線LANアクセスポイント120のペアとして管理されているため、収集部230は、SNMP等のプロトコルを用いて、無線接続端末情報2221の内容を読み出し、無線接続監視情報221に格納する。
【0178】
以上のような処理によって、無線LANコントローラ140を含む社内ネットワーク101において、未登録端末130に関する解析情報を生成するために必要な各種情報を取得することができる。
【0179】
監視情報生成処理以外の処理は実施例1と同一である。
【0180】
実施例2によれば、ネットワーク管理サーバ100は、社内ネットワークの利用が許可されていない未登録端末が接続された場合に、未登録端末と同じ接続状態の登録端末の情報を提示できる。これによって、管理者は、未登録端末の使用者を推定することができる。
【0181】
特許請求の範囲に記載した以外の発明の観点の代表的なものとして、次のものがあげられる。
(1)端末を収容する複数のネットワーク機器を含むネットワークと接続する計算機であって、
CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有し、
前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成し、
前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定し、
前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定し、
前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示することを特徴とする計算機。
(2)(1)に記載の計算機であって、
前記複数のネットワーク機器の位置を管理するための位置情報を保持し、
前記接続履歴は、接続する前記ネットワーク機器の識別情報を含み、
前記計算機は、
前記ターゲット端末の接続履歴、前記参照端末の接続履歴、及び前記位置情報に基づいて、前記ターゲット端末が接続する前記ネットワークが存在する位置と同一又は近隣の位置に存在する前記ネットワーク機器と接続する前記参照端末を特定し、
特定された前記参照端末の接続履歴を含む、前記解析情報を提示することを特徴とする計算機。
(3)(1)に記載の計算機であって、
前記複数のネットワーク機器は、無線通信のアクセスポイントとして機能するネットワーク機器を少なくとも一つ含み、
前記計算機は、
前記複数のネットワーク機器から、パケットの転送を制御するためのフォワーディングデータベースを取得し、
前記無線通信のアクセスポイントとして機能する前記ネットワーク機器から、接続している前記端末に関する無線通信端末情報を取得することを特徴とする計算機。
(1)端末を収容する複数のネットワーク機器を含むネットワークと接続する計算機であって、
CPU、前記CPUに接続される記憶装置、及び前記CPUに接続されるネットワークインタフェースを有し、
前記複数のネットワーク機器から、接続している前記端末に関する情報を取得し、前記ネットワークにおける前記端末の接続状態を把握するための接続履歴情報を生成し、
前記接続履歴情報に基づいて、前記ネットワークの管理用識別情報が不明なターゲット端末の接続履歴を特定し、
前記接続履歴情報を参照して、前記管理用識別情報が付与されており、かつ、前記ターゲット端末と同じ時刻に接続及び切断を行っている参照端末の接続履歴を特定し、
前記ターゲット端末及び前記参照端末の接続履歴を含む解析情報を提示することを特徴とする計算機。
(2)(1)に記載の計算機であって、
前記複数のネットワーク機器の位置を管理するための位置情報を保持し、
前記接続履歴は、接続する前記ネットワーク機器の識別情報を含み、
前記計算機は、
前記ターゲット端末の接続履歴、前記参照端末の接続履歴、及び前記位置情報に基づいて、前記ターゲット端末が接続する前記ネットワークが存在する位置と同一又は近隣の位置に存在する前記ネットワーク機器と接続する前記参照端末を特定し、
特定された前記参照端末の接続履歴を含む、前記解析情報を提示することを特徴とする計算機。
(3)(1)に記載の計算機であって、
前記複数のネットワーク機器は、無線通信のアクセスポイントとして機能するネットワーク機器を少なくとも一つ含み、
前記計算機は、
前記複数のネットワーク機器から、パケットの転送を制御するためのフォワーディングデータベースを取得し、
前記無線通信のアクセスポイントとして機能する前記ネットワーク機器から、接続している前記端末に関する無線通信端末情報を取得することを特徴とする計算機。
【0182】
以上、本発明を添付の図面を参照して詳細に説明したが、本発明はこのような具体的構成に限定されるものではなく、添付した請求の範囲の趣旨内における様々な変更及び同等の構成を含むものである。
【0183】
例えば、実施例の機能を実現するソフトウェアのプログラムを記録した非一時的な記憶媒体をコンピュータに提供する形態でもよい。コンピュータが備えるCPUが非一時的な記憶媒体に格納されたプログラムを読み出し、実行する。この場合、プログラム自体、及びそれを記憶した非一時的な記憶媒体は本発明を構成することになる。プログラムを記録する記憶媒体としては、ハードディスク、SSD(Solid State Drive)、光ディスク、磁気テープ、不揮発性のメモリカード等がある。
【符号の説明】
【0184】
100 ネットワーク管理サーバ
101 社内ネットワーク
102 ネットワーク
110 L2スイッチ
111 ポート
120 無線LANアクセスポイント
121 ポート
130 端末
140 無線LANコントローラ
201、301、401、2201 CPU
202、302、402、2202 ネットワークI/F
203、303、403、2203 メモリ
210 履歴検証部
211、311、411、2211 ユーザI/F部
220 接続監視情報
221 無線接続監視情報
222 登録端末情報
223 接続履歴情報
224 移動端末解析情報
230 収集部
231 履歴生成部
232 解析部
304、404 パケット中継器
310、410、2210 制御部
320、420、2220 FDB情報
421、2221 無線接続端末情報
422、2223 認証情報
1800 入力画面
1801 端末情報入力フィールド
1802 検索期間入力フィールド
1803 実行ボタン
2000 処理結果画面
2222 無線LANアクセスポイント情報
101 社内ネットワーク
102 ネットワーク
110 L2スイッチ
111 ポート
120 無線LANアクセスポイント
121 ポート
130 端末
140 無線LANコントローラ
201、301、401、2201 CPU
202、302、402、2202 ネットワークI/F
203、303、403、2203 メモリ
210 履歴検証部
211、311、411、2211 ユーザI/F部
220 接続監視情報
221 無線接続監視情報
222 登録端末情報
223 接続履歴情報
224 移動端末解析情報
230 収集部
231 履歴生成部
232 解析部
304、404 パケット中継器
310、410、2210 制御部
320、420、2220 FDB情報
421、2221 無線接続端末情報
422、2223 認証情報
1800 入力画面
1801 端末情報入力フィールド
1802 検索期間入力フィールド
1803 実行ボタン
2000 処理結果画面
2222 無線LANアクセスポイント情報
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】