專利名稱:控制網(wǎng)絡(luò)中設(shè)備之間通信的方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于控制網(wǎng)絡(luò)的內(nèi)部設(shè)備之間通信的技術(shù),更具體地講,本發(fā)明涉及這樣一種技術(shù)根據(jù)這一技術(shù),把關(guān)于通信許可或控制的規(guī)則強(qiáng)加于網(wǎng)絡(luò)內(nèi)部設(shè)備,以致可以建立網(wǎng)絡(luò)內(nèi)部設(shè)備之間如同存在虛擬防火墻的環(huán)境。
背景技術(shù):
在日趨復(fù)雜和更為多樣化的網(wǎng)絡(luò)環(huán)境中,需要利用有限數(shù)目的人力資源,以更為有效和集成化的方式來管理與控制巨大的網(wǎng)絡(luò)資源。如果人工地管理諸如因特網(wǎng)協(xié)議(IP)地址、媒體訪問控制(MAC)地址以及主機(jī)ID之類的網(wǎng)絡(luò)資源,將會浪費人力資源及降低操作效率。另外,第三方對網(wǎng)絡(luò)用戶的IP的非法使用,可能會導(dǎo)致IP與現(xiàn)存網(wǎng)絡(luò)設(shè)備的IP沖突的故障。
總體上,為了有效地操作或提高生產(chǎn)效率,企業(yè)或工廠會使用局域網(wǎng)(LAN)。在LAN中,鏈接了數(shù)十至數(shù)千的設(shè)備,諸如個人計算機(jī)(PC)、工作站、機(jī)器人、打印機(jī)、以及服務(wù)器等(以下,將它們稱為“網(wǎng)絡(luò)內(nèi)部設(shè)備”)。盡管就操作效率和便捷性而言,在無任何限制的情況下許可這些網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信是有益的,但也可能引發(fā)某些問題。即,如果不對網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信適當(dāng)?shù)丶右韵拗?,則許多不必要的數(shù)據(jù)包將會在LAN上傳遞,這導(dǎo)致將使用的網(wǎng)絡(luò)資源超出要求,導(dǎo)致資源的浪費。另外,如果對網(wǎng)絡(luò)資源的使用和通信的自由度不進(jìn)行控制,則諸如以非法目的泄漏網(wǎng)絡(luò)內(nèi)部用戶之間的信息、黑客和破解的行為能夠在無任何限制的情況下進(jìn)行。因此,在基于LAN環(huán)境操作的企業(yè)或工廠中,需要適當(dāng)?shù)乜刂泼恳绘溄佑贚AN的設(shè)備與其它設(shè)備的通信。為此,需要一種能夠控制網(wǎng)絡(luò)內(nèi)部資源之間的通信權(quán)的機(jī)制。
一種最廣泛使用的用于控制通信的機(jī)制是防火墻服務(wù)器。在傳統(tǒng)的防火墻服務(wù)器系統(tǒng)中,把防火墻服務(wù)器放置在網(wǎng)絡(luò)(以下將其稱為“內(nèi)部網(wǎng)絡(luò)”)連接于外部網(wǎng)絡(luò)(以下將其稱為“外部網(wǎng)絡(luò)”)的網(wǎng)關(guān)位置,防火墻服務(wù)器發(fā)揮著控制在連接于外部網(wǎng)絡(luò)的設(shè)備與內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)內(nèi)部設(shè)備之間進(jìn)行的通信的作用。
然而,由于傳統(tǒng)的防火墻服務(wù)器放置在通過其可以訪問內(nèi)部網(wǎng)絡(luò)的入口,即網(wǎng)關(guān),以控制通信,所以可以控制與外部網(wǎng)絡(luò)的通信,例如,切斷通信,但不能控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信。另外,傳統(tǒng)的防火墻服務(wù)器缺乏對控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信的必要性的認(rèn)識。而且,在把控制點放置在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)關(guān)處的通信控制方法中,還應(yīng)把通信控制規(guī)則一致地施加至鏈接于內(nèi)部網(wǎng)絡(luò)的全體設(shè)備。因此,即使不需要針對通信加以控制或限制的設(shè)備,也要執(zhí)行總是穿越防火墻服務(wù)器的通信。所以,防火墻服務(wù)器必須處理不必要的負(fù)載,以致內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信速度減慢。
鑒于這些問題,迫切需要一種傳統(tǒng)的防火墻服務(wù)器中無法執(zhí)行的、能夠有效限制設(shè)置在網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信的機(jī)制。
發(fā)明內(nèi)容
為了解決上述問題,本發(fā)明的一個目的是,提供一種裝置,所述裝置連接于網(wǎng)絡(luò)中的網(wǎng)絡(luò)內(nèi)部設(shè)備,并與所述網(wǎng)絡(luò)內(nèi)部設(shè)備處于同一級上,而且能夠控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信;以及一種當(dāng)需要時網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員可使用所述裝置來控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信的方法。
本發(fā)明基本概念在于,預(yù)先確定的網(wǎng)絡(luò)的管理員,通過使用鏈接于網(wǎng)絡(luò)并與所述網(wǎng)絡(luò)的其它設(shè)備處于同級的本發(fā)明的通信控制裝置,來設(shè)置通信控制規(guī)則,并且所設(shè)置的通信控制規(guī)則強(qiáng)行施加至網(wǎng)絡(luò)的設(shè)備,即網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信,以致可以根據(jù)所設(shè)置的通信控制規(guī)則來控制作為控制對象的設(shè)備之間的網(wǎng)絡(luò)內(nèi)部通信。
根據(jù)實現(xiàn)以上所提到的目的的本發(fā)明的一個方面,提供了一種通信控制方法,通過使用與預(yù)先確定的網(wǎng)絡(luò)的其它設(shè)備處于同一級的通信控制裝置,來控制所述網(wǎng)絡(luò)上的設(shè)備之間的通信。所述方法包括下列步驟根據(jù)所設(shè)置的通信控制規(guī)則,至少確定需要切斷其通信的切斷對象設(shè)備;并且把對數(shù)據(jù)鏈路層地址進(jìn)行操縱的地址解算協(xié)議(ARP)包提供至切斷對象設(shè)備,其中,對切斷對象設(shè)備進(jìn)行控制,以將其數(shù)據(jù)包傳輸至所操縱的異常地址,并且通過這樣的操作,切斷由切斷對象設(shè)備進(jìn)行的通信。
優(yōu)選的是,所述通信控制方法還包括步驟盡管處于通信切斷狀態(tài)的設(shè)備不再是通信切斷的對象,但仍把包括正常地址信息的ARP包傳輸至所述設(shè)備,以致取消通信切斷狀態(tài)。
另外,優(yōu)選的是,所述通信控制方法還包括步驟把切斷對象設(shè)備的部分或全部數(shù)據(jù)鏈路層地址設(shè)置為通信控制裝置的數(shù)據(jù)鏈路層地址或者非切斷對象設(shè)備的第三數(shù)據(jù)鏈路層地址,以致切斷在切斷對象設(shè)備之間的通信。
而且,優(yōu)選的是,所述通信控制方法還包括步驟如果新連接于預(yù)先確定的網(wǎng)絡(luò)的設(shè)備的因特網(wǎng)協(xié)議(IP)地址與現(xiàn)存設(shè)備的IP地址之間存在沖突,則按單播的方法把正確的IP地址傳輸至現(xiàn)存設(shè)備,從而防止IP地址的沖突。
另外,優(yōu)選的是,所述通信控制方法還包括步驟收集針對其設(shè)置通信控制規(guī)則的網(wǎng)絡(luò)內(nèi)部設(shè)備的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。通過第一方法和/或通過第二方法執(zhí)行收集地址的步驟,在所述第一方法中,通信控制裝置接收網(wǎng)絡(luò)中設(shè)備所廣播的ARP包,以與網(wǎng)絡(luò)中的任何其它設(shè)備進(jìn)行通信,并檢測包括在包中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址;在所述第二方法中,根據(jù)由網(wǎng)絡(luò)管理員人工輸入的管理對象設(shè)備的地址,通信控制裝置傳輸ARP請求包,并且從由管理對象設(shè)備響應(yīng)于所述ARP請求包所傳輸?shù)腁RP應(yīng)答包檢測網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。
根據(jù)實現(xiàn)以上所提到的目的的本發(fā)明的第二方面,提供了一種通信控制方法,控制預(yù)先確定的網(wǎng)絡(luò)上的設(shè)備之間的通信。所述方法包括步驟通過通信控制裝置,收集存在于網(wǎng)絡(luò)中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址;把通信控制規(guī)則存儲在通信控制規(guī)則數(shù)據(jù)庫(DB)中,其中,設(shè)置所述通信控制規(guī)則以針對由網(wǎng)絡(luò)管理員所收集的地址來執(zhí)行所希望的通信控制;檢測網(wǎng)絡(luò)中設(shè)備所傳輸?shù)牡刂方馑銋f(xié)議(ARP)包,以與網(wǎng)絡(luò)中的另一設(shè)備進(jìn)行通信;通過參照通信控制規(guī)則DB,判斷所檢測的ARP包是否相應(yīng)于通信切斷對象;以及如果所述包相應(yīng)于通信切斷對象,則傳輸針對通信切斷的ARP,其中,當(dāng)需要時,可以有選擇地控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信。
在所述方法中,優(yōu)選的是,通過第一方法和/或通過第二方法執(zhí)行對地址的收集,在所述第一方法中,通信控制裝置接收網(wǎng)絡(luò)中設(shè)備所廣播的ARP包,以與網(wǎng)絡(luò)中的任何其它設(shè)備進(jìn)行通信,并且檢測包含在包中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址;在所述第二方法中,根據(jù)由網(wǎng)絡(luò)管理員人工輸入的管理對象設(shè)備的地址,通信控制裝置傳輸ARP請求包,并且從管理對象設(shè)備響應(yīng)于所述ARP請求包所傳輸?shù)腁RP應(yīng)答包檢測網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。
在所述方法中,優(yōu)選的是,設(shè)置通信控制規(guī)則的對象包括網(wǎng)絡(luò)層地址之間的通信、數(shù)據(jù)鏈路層地址之間的通信、以及網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址之間的通信。另外,優(yōu)選的是,設(shè)置通信控制規(guī)則的對象還包括網(wǎng)絡(luò)層地址和網(wǎng)絡(luò)層地址組之間的通信、數(shù)據(jù)鏈路層地址和數(shù)據(jù)鏈路層地址組之間的通信、網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址組之間的通信、數(shù)據(jù)鏈路層地址和網(wǎng)絡(luò)層地址組之間的通信、以及網(wǎng)絡(luò)層地址組和數(shù)據(jù)鏈路層地址組之間的通信。
而且,當(dāng)接收方地址為切斷的對象時,把切斷包傳輸至與接收協(xié)議地址“相同的地址”。另外,當(dāng)發(fā)送方地址為切斷的對象時,把切斷包傳輸至屬于與發(fā)送方協(xié)議的網(wǎng)絡(luò)相同的網(wǎng)絡(luò)的“所有”協(xié)議-數(shù)據(jù)鏈路層地址。
優(yōu)選的是,所述方法還包括步驟如果網(wǎng)絡(luò)內(nèi)部設(shè)備響應(yīng)于通信控制裝置所傳輸?shù)腁RP請求包而傳輸ARP應(yīng)答包時,則通過使用包含在所檢測的應(yīng)答包中的發(fā)送方地址,來提取關(guān)系規(guī)則,而且如果提取結(jié)果表明存在針對發(fā)送方地址的切斷規(guī)則,則把切斷包傳輸至屬于與發(fā)送方協(xié)議的網(wǎng)絡(luò)相同的網(wǎng)絡(luò)的所有協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3)。
另外,優(yōu)選的是,所述方法還包括步驟對于處于通信切斷狀態(tài)的設(shè)備,盡管所述設(shè)備不再是對網(wǎng)絡(luò)層包進(jìn)行檢測的通信切斷的對象,則傳輸用于取消通信切斷狀態(tài)的ARP包。
有利的是,所述通信控制方法還可以包括下列一或多個步驟通過按規(guī)律的時間間隔來參照通信控制規(guī)則DB,來根據(jù)該DB中所登記的通信控制規(guī)則,而傳輸通信切斷/取消通信切斷的ARP請求包;如果接收方數(shù)據(jù)鏈路層地址為切斷地址,而且存在針對該地址的包轉(zhuǎn)發(fā)規(guī)則,則把所接收的具有所接收的協(xié)議層包的目的地地址的協(xié)議層包作為正常數(shù)據(jù)鏈路層地址加以轉(zhuǎn)發(fā);而且,如果新連接于預(yù)先確定的網(wǎng)絡(luò)的設(shè)備的因特網(wǎng)協(xié)議(IP)地址與現(xiàn)存設(shè)備的IP地址之間存在沖突,則以單播的方法把正確的IP地址傳送至現(xiàn)存設(shè)備,從而防止IP地址的沖突。
另一方面,為了實現(xiàn)本發(fā)明的以上所提到的目的,提供了一種通信控制裝置,與預(yù)先確定的網(wǎng)絡(luò)上的設(shè)備處于同一級上;提供了一種當(dāng)需要時網(wǎng)絡(luò)管理員可以設(shè)置能夠切斷設(shè)備之間的通信的通信控制規(guī)則的環(huán)境;當(dāng)管理在數(shù)據(jù)庫中所設(shè)置的通信控制規(guī)則時,把其中對數(shù)據(jù)鏈路層地址進(jìn)行操縱的ARP包提供至被設(shè)置為通信切斷的對象的設(shè)備,以致可以使由通信切斷對象設(shè)備所傳輸?shù)臄?shù)據(jù)包傳輸至所操縱的異常地址;并且通過進(jìn)行這樣的操作,切斷通信切斷對象設(shè)備之間的通信。
根據(jù)本發(fā)明的這樣的特性,與傳統(tǒng)的防火墻服務(wù)器不同,當(dāng)外部設(shè)備希望與預(yù)先確定的網(wǎng)絡(luò)進(jìn)行通信時,傳統(tǒng)的防火墻服務(wù)器被配置在作為預(yù)先確定的網(wǎng)絡(luò)的連接網(wǎng)關(guān)的位置并控制通信,通信控制裝置不配置在網(wǎng)絡(luò)的通信路徑的網(wǎng)關(guān)處,而是在網(wǎng)絡(luò)內(nèi)的任意位置,例如,在與網(wǎng)絡(luò)內(nèi)的另一內(nèi)部設(shè)備相同的級上配置該通信控制裝置,并且把基于對地址解算協(xié)議(ARP)表的地址信息的操縱的通信控制規(guī)則強(qiáng)行施加至要求通信控制的設(shè)備,以致可以有選擇地控制僅這些設(shè)備的通信。這樣操作,可執(zhí)行傳統(tǒng)防火墻服務(wù)器的功能,即在預(yù)先確定的網(wǎng)絡(luò)中,切斷網(wǎng)絡(luò)內(nèi)部資源和外部網(wǎng)絡(luò)資源之間不必要的通信,與此同時,當(dāng)希望的時候,也使得能夠有選擇地控制網(wǎng)絡(luò)內(nèi)部資源之間的通信。因此,可以減少對網(wǎng)絡(luò)資源的使用,另外,也能夠防止內(nèi)部設(shè)備之間信息的未認(rèn)證的泄漏。
圖1為實施根據(jù)本發(fā)明的通信控制方法的系統(tǒng)結(jié)構(gòu)的例子的圖;圖2為用于控制連接于局域網(wǎng)(LAN)的網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信的、按照本發(fā)明的方法所執(zhí)行的步驟的示意性流程圖;圖3描述了一種通信控制設(shè)備EQ-X設(shè)置用于控制兩個網(wǎng)絡(luò)內(nèi)部設(shè)備EQ-1和EQ-2之間的通信的規(guī)則的方法;圖4為形成代理程序的程序模塊;圖5是流程圖,描述了地址收集步驟S10的詳細(xì)的執(zhí)行過程;圖6是流程圖,描述了設(shè)置用于切斷通信的規(guī)則的過程和按照該規(guī)則的切斷過程;圖7是流程圖,描述了取消已經(jīng)設(shè)置的通信切斷規(guī)則的過程;圖8是流程圖,描述了根據(jù)通信控制規(guī)則DB中所設(shè)置的規(guī)則來處理網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信控制的過程;圖9是流程圖,描述了檢測包以及根據(jù)檢測收集地址的過程的細(xì)節(jié);圖10是流程圖,描述了根據(jù)所檢測的包來處理通信控制的過程;圖11是圖10的步驟S184中地址解算協(xié)議(ARP)請求包的檢測之后的處理規(guī)程的詳細(xì)流程圖;
圖12是圖10的步驟S184中ARP應(yīng)答包的檢測之后的處理規(guī)程的詳細(xì)流程圖;圖13是協(xié)議層包的檢測之后的過程的流程圖;圖14是詳細(xì)的流程圖,描述了圖13的包轉(zhuǎn)發(fā)步驟S250;圖15是ARP應(yīng)答包和ARP請求包的檢測之后的地址DB管理步驟(例如,圖11的步驟S192和圖12的步驟S212)的流程圖;圖16是提取和處理針對協(xié)議地址和數(shù)據(jù)鏈路層地址的組合所設(shè)置的通信控制規(guī)則的過程的流程圖;圖17和18是按照協(xié)議地址和數(shù)據(jù)鏈路層地址來提取和處理通信控制規(guī)則的過程的流程圖;以及圖19是網(wǎng)絡(luò)內(nèi)部設(shè)備的地址通過其而被檢測、并在數(shù)據(jù)庫中存儲以及管理的路由的流程圖。
具體實施例方式
例如,通過使用地址解算協(xié)議(ARP),來執(zhí)行鏈接于諸如LAN的預(yù)先確定的網(wǎng)絡(luò)的資源之間的通信。ARP是用于把網(wǎng)絡(luò)層地址(例如,諸如IP地址的協(xié)議層(L3)地址)匹配于物理地址(例如,諸如MAC地址的數(shù)據(jù)鏈路層(L2)地址)的協(xié)議。此處,物理地址指例如以太網(wǎng)(Ethernet)或令牌環(huán)網(wǎng)的48比特的網(wǎng)卡地址。把ARP包作為以太網(wǎng)包數(shù)據(jù)中的一部分加以包括。以太網(wǎng)包的頭標(biāo)包括目的地以太網(wǎng)地址(48比特)、源以太網(wǎng)地址(48比特)、以及以太網(wǎng)協(xié)議類型(16比特)。在這一以太網(wǎng)包頭標(biāo)之后,附接ARP包。當(dāng)在LAN上移動時,把包傳輸至目的地以太網(wǎng)地址(例如,MAC地址)。為了便于參照,把ARP包形成為以下的表1表1ARP包的結(jié)構(gòu)
例如,當(dāng)IP主機(jī)A希望把IP包傳輸至IP主機(jī)B,而且不知道IP主機(jī)B的物理地址時,IP主機(jī)A使用ARP協(xié)議,在網(wǎng)絡(luò)上傳輸具有作為目的地的IP主機(jī)B的IP地址、以及廣播物理地址(FF:FF:FF:FF:FF:FF)的ARP包。如果IP主機(jī)B接收其IP地址作為目的地加以記錄的ARP包,則IP主機(jī)B通過傳輸IP主機(jī)B的物理網(wǎng)絡(luò)層地址來響應(yīng)IP主機(jī)A。于是,所收集的IP地址和相應(yīng)的物理網(wǎng)絡(luò)層地址信息以表(ARP表)的形式存儲在每個IP主機(jī)的被稱為ARP高速緩沖存儲器的存儲器中,而且當(dāng)傳輸下一包時再次加以使用。連接于諸如LAN的網(wǎng)絡(luò)的資源,按這一方式在它們之間進(jìn)行內(nèi)部通信。
圖1為實施根據(jù)本發(fā)明的通信控制方法的系統(tǒng)結(jié)構(gòu)的例子的圖。在其中通過層2切換器50來鏈接多個設(shè)備(EQ-1,EQ-2,...,EQ-10)的LAN環(huán)境中,也在與其它設(shè)備(EQ-1,EQ-2,...,EQ-10)相同的級上把根據(jù)本發(fā)明的通信控制裝置(EQ-X)作為鏈接于LAN40的節(jié)點加以鏈接。然而,在這一環(huán)境中,當(dāng)希望時,通過使用控制所希望設(shè)備的通信的方法來操縱ARP表,可以控制LAN的內(nèi)部設(shè)備之間的通信。可以通過路由器30,把LAN40鏈接于因特網(wǎng)20或另外的網(wǎng)絡(luò)(例如,另外的家庭虛擬LAN(VLAN))。
為了相同的網(wǎng)絡(luò)層設(shè)備互相通信,通過使用ARP協(xié)議來獲得數(shù)據(jù)鏈路層地址,并且通過使用該數(shù)據(jù)鏈路層地址來在它們之間進(jìn)行通信。通過ARP表(網(wǎng)絡(luò)層地址-數(shù)據(jù)鏈路層地址)來管理網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路地址,當(dāng)以后需要進(jìn)行通信時,將使用該地址。
為了在網(wǎng)絡(luò)中進(jìn)行通信控制,諸如鏈接于網(wǎng)絡(luò)的內(nèi)部設(shè)備之間的通信的‘許可’/‘切斷’/‘包轉(zhuǎn)發(fā)’,ARP表應(yīng)當(dāng)被生成為可以操縱每一設(shè)備的ARP表,諸如生成或修改外部所希望的ARP表的內(nèi)容,當(dāng)要求與預(yù)先確定的網(wǎng)絡(luò)層地址進(jìn)行通信時,可以使用從外部如此操縱的ARP表。另外,由于每個設(shè)備都希望能夠隨時刪除ARP表或者生成新的ARP請求包,以獲得數(shù)據(jù)鏈路層地址,所以這也要進(jìn)行適當(dāng)?shù)奶幚?。此時,最重要的是,當(dāng)生成ARP包,以致能夠生成或修改ARP表時,不應(yīng)影響其它設(shè)備,并且應(yīng)僅施加至所希望的設(shè)備。其原因在于,應(yīng)當(dāng)在不影響不需要控制的其它設(shè)備的情況下進(jìn)行通信控制。為此,當(dāng)向通信控制對象節(jié)點提供所操縱的ARP地址時,使用單播傳輸方法。另外,如果通過使用數(shù)據(jù)鏈路層地址來切斷通信,則切斷了網(wǎng)絡(luò)層上的所有通信。因此,當(dāng)需要時,應(yīng)當(dāng)能夠轉(zhuǎn)發(fā)網(wǎng)絡(luò)層包。即,對于要求通信的網(wǎng)絡(luò)層包,本發(fā)明的通信控制裝置應(yīng)能夠應(yīng)答該包,使得轉(zhuǎn)發(fā)包以能夠進(jìn)行通信。
為了理解這一通信控制方法,應(yīng)當(dāng)首先理解如何在LAN上的網(wǎng)絡(luò)內(nèi)部設(shè)備之間進(jìn)行通信。為此,現(xiàn)在,將作為例子解釋網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信機(jī)制。這樣操作,可以理解通信控制裝置EQ-X能夠根據(jù)何原則如何控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信。
例如,假設(shè)存在著這樣的環(huán)境其中,當(dāng)前連接于LAN 40的網(wǎng)絡(luò)內(nèi)部設(shè)備為EQ-1,EQ-2以及EQ-3,并且在與這些設(shè)備相同的級上連接通信控制裝置EQ-X,最初所有設(shè)備中的ARP表均為空。還假設(shè)這些設(shè)備EQ-1,EQ-2,EQ-3以及EQ-X的IP地址和MAC地址分別為NET-1(MAC-1)、NET-2(MAC-2)、NET-3(MAC-3)以及NET-X(BLOCK)。此處,以“IP地址(MAC地址)”的形式表示接收方地址和發(fā)送方地址。然后,假設(shè)針對網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信,傳輸接下來的ARP請求包。然而,假設(shè)不通過廣播方法(FF:FF:FF:FF:FF:FF),而是通過單播方法,來傳輸ARP包。
(1)過程1傳輸其中目的地MAC為MAC-1以及接收方地址和發(fā)送方地址分別為NET-1(Null(空))和NET-2(BLOCK)的請求包(請求包-1)。作為參照,可以把請求包-1視為用于設(shè)備EQ-2與設(shè)備EQ-1的通信的ARP請求包。相應(yīng)于這一請求包-1的目的地MAC地址(即,MAC-1)的設(shè)備EQ-1接收該包。另外,設(shè)備EQ-1還識別出設(shè)備EQ-2的MAC地址為BLOCK。根據(jù)這一識別,由其MAC地址為BLOCK的通信控制裝置EQ-X實際接收設(shè)備EQ-1傳輸至設(shè)備EQ-2的包。
(2)過程2傳輸其中目的地MAC為MAC-2以及接收方地址和發(fā)送方地址分別為NET-2(MAC-2)和NET-1(BLOCK)的請求包(請求包-2)。作為參照,由其MAC地址為MAC-2的設(shè)備EQ-2接收這一請求包-1。設(shè)備EQ-2識別出設(shè)備EQ-1的MAC地址為BLOCK。根據(jù)這一識別,由其MAC地址為BLOCK的通信控制裝置EQ-X實際接收設(shè)備EQ-2傳輸至設(shè)備EQ-1的包。
(3)過程3傳輸其中目的地MAC為MAC-3以及接收方地址和發(fā)送方地址分別為NET-3(Null)和NET-1(MAC-1)的請求包(請求包-3)??梢园汛艘暈橛糜谠O(shè)備EQ-1與設(shè)備EQ-3的通信的ARP請求包。
(4)過程4傳輸其中目的地MAC為MAC-3以及接收方地址和發(fā)送方地址分別為NET-3(Null)和NET-2(MAC-2)的請求包(請求包-4)。可以把此傳輸過程設(shè)置為以下的表2表2
接收通過這些傳輸過程所傳輸?shù)?請求包的設(shè)備,通過按如下過程傳輸應(yīng)答包,來進(jìn)行響應(yīng)(5)過程5接收‘請求包-1’的設(shè)備EQ-1(NET-1,MAC-1)傳輸其中發(fā)送方為NET-1(MAC-1)、接收方為NET-2(BLOCK)以及目的地MAC為BLOCK的ARP應(yīng)答包(應(yīng)答包-1),并且通過把NET-2的MAC地址記錄為BLOCK,來在由其自身管理的ARP表中新生成針對NET-2的MAC地址。
(6)過程6接收‘請求包-2’的設(shè)備EQ-2(NET-2,MAC-2)傳輸其中發(fā)送方為NET-2(MAC-2)、接收方為NET-1(BLOCK)以及目的地MAC為BLOCK的ARP應(yīng)答包(應(yīng)答包-2),并且在其ARP表中新生成針對NET-1的MAC地址,即BLOCK。
(7)過程7接收‘請求包-3’的設(shè)備EQ-3(NET-3,MAC-3)傳輸其中發(fā)送方為NET-3(MAC-3)、接收方為NET-1(MAC-1)以及目的地MAC為NET-1的ARP應(yīng)答包(應(yīng)答包-3),并且在其ARP表中新生成針對NET-1的MAC地址,即MAC-1。
(8)過程8接收‘請求包-4’的設(shè)備EQ-3(NET-3,MAC-3)傳輸其中發(fā)送方為NET-3(MAC-3)、接收方為NET-2(MAC-2)以及目的地MAC為NET-2的ARP應(yīng)答包(應(yīng)答包-4),并且在其ARP表中新生成針對NET-2的MAC地址,即MAC-2。
可以把這些響應(yīng)過程排列為以下的表3表3
接下來,在接收上述4應(yīng)答包的每一設(shè)備中,執(zhí)行下列過程(9)過程9接收‘應(yīng)答包-1’的通信控制裝置EQ-X在ARP表中把MAC-1新生成為針對IP地址NET-1的MAC地址。針對應(yīng)答包-1,以接收方為MAC-1而傳輸。
(10)過程10接收‘應(yīng)答包-2’的通信控制裝置EQ-X在ARP表中把MAC-2新生成為NET-2的MAC地址。
(11)過程11接收‘應(yīng)答包-3’的通信控制裝置EQ-1在ARP表中把MAC-3新生成為針對NET-3的MAC地址。
(12)過程12接收‘應(yīng)答包-4’的通信控制裝置EQ-2在ARP表中把MAC-3新生成為針對IP地址NET-3的MAC地址。
可以把這些過程排列為以下的表4表4
就其內(nèi)容而言,在以上的過程之后每一設(shè)備中維護(hù)的ARP表具有下列變化。
(1)設(shè)備EQ-1所維護(hù)的表項為NET-2(BLOCK)和NET-3(MAC-3)(表1)(過程5和11)。
(2)設(shè)備EQ-2所維護(hù)的表項為NET-1(BLOCK)和NET-3(MAC-3)(表2)(過程6和12)。
(3)設(shè)備EQ-3所維護(hù)的表項為NET-1(MAC-1)和NET-2(MAC-2)(表3)(過程7和8)。
(4)設(shè)備EQ-X所維護(hù)的表項為NET-1(MAC-1)和NET-2(MAC-2)(表4)(過程9和10)。
可以把這些排列為以下的表5表5
在分別為設(shè)備EQ-1和EQ-3的ARP表的表1和表3的情況下,表1和表3分別具有作為NET-2的MAC地址的BLOCK和MAC-2,其中,所述NET-2的MAC地址為相同設(shè)備,即設(shè)備EQ-2的地址。因此,當(dāng)設(shè)備EQ-1和設(shè)備EQ-3希望向設(shè)備EQ-2傳輸包時,傳輸包的目的地變得互不相同。另外,在分別作為設(shè)備EQ-2和EQ-3的ARP表的表2和表3的情況下,表1和表3分別具有作為相同設(shè)備,即設(shè)備EQ-1的MAC地址的BLOCK和MAC-1。因此,當(dāng)設(shè)備EQ-2和設(shè)備EQ-3希望向設(shè)備EQ-1傳輸包時,傳輸包的目的地變得互不相同。所以,盡管可以正常地執(zhí)行設(shè)備EQ-1和EQ-3之間的通信以及設(shè)備EQ-2和EQ-3之間的通信,但設(shè)備EQ-1和EQ-2之間的通信是否可以,由設(shè)置在通信控制裝置EQ-X中的通信控制規(guī)則加以確定。
可以看出,基于以上所描述的網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信機(jī)制,當(dāng)希望時,可以通過適當(dāng)?shù)夭倏vARP表的地址,來控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信?;谶@一概念,在本發(fā)明所提出的通信控制方法中,通信控制裝置EQ-X生成和傳輸ARP包,該ARP包包含用于通信控制而有意地加以操縱的地址信息,諸如網(wǎng)絡(luò)內(nèi)部設(shè)備(EQ-1、EQ-2、EQ-3、...)中的控制對象設(shè)備的通信切斷或包轉(zhuǎn)發(fā)。讓我們假設(shè)把通信規(guī)則設(shè)置為切斷設(shè)備EQ-1和設(shè)備EQ-2之間的通信。為了根據(jù)通信規(guī)則切斷設(shè)備EQ-1和設(shè)備EQ-2之間的通信,通信控制裝置EQ-X操縱這兩個設(shè)備的ARP地址。即,通信控制裝置EQ-X把設(shè)備EQ-2的ARP地址操縱為N2-MX,并且將其提供至設(shè)備EQ-1,與此同時,把設(shè)備EQ-1的ARP地址操縱為N1-MX,并且將其提供至設(shè)備EQ-2。以單播方法接收如此操縱的ARP地址的兩個設(shè)備EQ-1和EQ-2把所操縱的地址反射到它們的ARP表中,而且此后的通信基于這些所更新的ARP表表項。可以將此排列為以下的表6表6
據(jù)此,第一設(shè)備EQ-1和第二設(shè)備EQ-2均變?yōu)榘淹ㄐ趴刂圃O(shè)備EQ-X識別為如同它是通信的對方,即分別為第二設(shè)備EQ-2和第一設(shè)備EQ-1。因此,把兩個設(shè)備EQ-1和EQ-2所傳輸?shù)陌鼈鬏斨疗銶AC地址為MX的通信控制裝置EQ-X。即,通過操縱相關(guān)設(shè)備的ARP表,可以總是把由預(yù)先確定的希望與網(wǎng)絡(luò)中另一設(shè)備進(jìn)行通信的設(shè)備所傳輸?shù)陌鼈鬏斨镣ㄐ趴刂蒲b置EQ-X(或第三地址)??梢钥闯觯绻ㄐ趴刂蒲b置EQ-X忽視從該兩個設(shè)備所接收的包,則切斷該兩個設(shè)備之間的通信,通過這樣操作,通信控制裝置可以控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信,而不管這些設(shè)備的意圖如何。
另外,在新連接于網(wǎng)絡(luò)的設(shè)備的IP地址與現(xiàn)存網(wǎng)絡(luò)內(nèi)部設(shè)備的IP地址發(fā)生沖突的情況下,通信控制裝置可以自動地解決這一IP地址沖突。即,其MAC地址為MAC-9的新設(shè)備EQ-9為與設(shè)置為NET-1的IP地址進(jìn)行通信而進(jìn)行廣播,由通信控制裝置EQ-X對此加以檢測。然后,通過在包含正確‘IP地址-MAC地址’信息的通信控制規(guī)則DB中參照新設(shè)備EQ-9的地址,來判斷新設(shè)備的IP地址是否正確。如果判斷結(jié)果表明新設(shè)備的IP地址與現(xiàn)存設(shè)備的IP地址沖突,則以單播方法把正確的IP地址傳送至現(xiàn)存設(shè)備,從而解決IP地址的沖突。
另外,如果設(shè)備不再是通信控制的對象,但仍維持該設(shè)備的通信控制狀態(tài),則通信控制裝置EQ-X應(yīng)通過取消通信控制狀態(tài),來允許該設(shè)備執(zhí)行正常通信。為了此取消,通信控制裝置EQ-X生成包含正常地址信息的ARP包,并且將該包傳輸至該設(shè)備。具體地,在這一用于傳輸ARP請求包的方法中,非常重要的是,不把該包廣播至,而是把該包單播至要求該包的特定設(shè)備,以致可以在接收該單播包的設(shè)備的ARP表中維護(hù)所希望的表項(網(wǎng)絡(luò)層地址、數(shù)據(jù)鏈路層地址)。
可以按多種方式執(zhí)行設(shè)置通信控制規(guī)則的方法?,F(xiàn)在,將作為例子解釋通信控制裝置EQ-X設(shè)置控制兩個網(wǎng)絡(luò)內(nèi)部設(shè)備EQ-1和EQ-2之間的通信的規(guī)則的情況。
在第一方法中,如圖3A中所示,這樣地設(shè)置通信規(guī)則,使得旨在由設(shè)備EQ-1和設(shè)備EQ-2傳輸至另一方的所有包總是由通信控制裝置EQ-X加以接收,并且通過參照這兩個設(shè)備之間的通信權(quán),通信控制裝置EQ-X許可或切斷通信。
在第二方法中,如圖3B所示,這樣地設(shè)置通信規(guī)則,使得當(dāng)設(shè)備EQ-1向設(shè)備EQ-2傳輸包時,把該包直接傳輸至設(shè)備EQ-2,而不經(jīng)過通信控制裝置EQ-X,但總是首先把旨在由設(shè)備EQ-2傳輸至設(shè)備EQ-1的包傳輸至通信控制裝置EQ-X。
在第三方法中,如圖3C中所示,與第二方法相反,這樣地設(shè)置通信規(guī)則,使得總是首先把旨在由設(shè)備EQ-1傳輸至設(shè)備EQ-2的包傳輸至通信控制裝置EQ-X,并且把旨在由設(shè)備EQ-2傳輸至設(shè)備EQ-1的包直接傳輸至設(shè)備EQ-1。
基于這一概念的網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信控制,可以由軟件加以實施,意味著這將包括軟件和其中可以安裝與執(zhí)行該軟件的計算機(jī)(即通信控制裝置EQ-X)等。用于實施本發(fā)明的程序可以寬泛地劃分為三個部分,即,服務(wù)器程序、代理程序以及客戶機(jī)程序??梢园堰@三個程序全部定位于同一裝置即通信控制裝置EQ-X中,或者在不同的裝置中。代理程序使用通過服務(wù)器程序所設(shè)置的通信控制規(guī)則和所收集的地址數(shù)據(jù),來實際負(fù)責(zé)控制預(yù)先確定的設(shè)備之間的通信,并可以由多個單元來形成。服務(wù)器程序負(fù)責(zé)對多個代理程序的集成化管理、來自用戶的針對代理程序的命令的傳送、以及對從代理程序所收集的數(shù)據(jù)的集成化管理。客戶機(jī)程序發(fā)揮著用戶接口的作用,并且可以是安裝在管理員計算機(jī)中的專用客戶機(jī)程序,或者可用于萬維網(wǎng)(Web)瀏覽器中的萬維網(wǎng)程序。
具體地,為了實施根據(jù)本發(fā)明的通信控制,代理程序具有發(fā)揮核心作用的功能。此程序可以通過維護(hù)多個以太網(wǎng)接口、使用采用802.1Q VLAN的方法,來管理多個網(wǎng)絡(luò),并且具有能夠通過使用一個以太網(wǎng)接口,來管理和控制多個網(wǎng)絡(luò)的功能。所述代理程序由具有圖4中所示結(jié)構(gòu)的多個模塊形成。形成該代理程序的模塊的類型和主要功能如以下的表7中所示表7
為了更快地進(jìn)行處理,代理程序通過使用散列(hash)和數(shù)據(jù)鏈路列表來管理存儲器中的所有DB。以下的表8中描述了所管理的DB的類型。地址和切斷規(guī)則DB管理模塊管理這些DB。
表8
接下來,圖2是用于控制連接于LAN的網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信的、根據(jù)本發(fā)明的方法所執(zhí)行的步驟的示意性流程圖。
為了控制連接于LAN40的網(wǎng)絡(luò)內(nèi)部設(shè)備(EQ-1,EQ-2,...,EQ-10)之間的通信,首先應(yīng)當(dāng)執(zhí)行的過程是,在步驟S10中收集存在于LAN40中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。網(wǎng)絡(luò)層地址的主要例子是IP地址,數(shù)據(jù)鏈路層地址的主要例子是MAC地址。圖5描述了地址收集步驟S10的詳細(xì)的執(zhí)行過程。按下述兩種示例性方法執(zhí)行對地址的收集。
一種方法是,當(dāng)把新的設(shè)備添加于LAN40,并且希望與網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行通信時,該設(shè)備廣播ARP包,以請求從其它設(shè)備的響應(yīng),而且,通信控制裝置接收在該過程中所生成的ARP包,并收集新設(shè)備的地址。更具體地,當(dāng)在步驟S100中LAN40中的預(yù)先確定的設(shè)備廣播ARP包以與任何其它網(wǎng)絡(luò)內(nèi)部設(shè)備進(jìn)行通信時,在步驟S102中,通信控制裝置EQ-X接收該ARP包,并且檢測包括在ARP包中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。
另一種方法是,其中,如果網(wǎng)絡(luò)管理員直接輸入管理對象設(shè)備的地址,則從該輸入中收集該地址。即,在步驟S106中,如果網(wǎng)絡(luò)管理員設(shè)置用于在管理對象DB中進(jìn)行通信控制的管理對象,則在步驟S108中,把所設(shè)置的內(nèi)容存儲在管理對象DB中。然后,在步驟S110中,通信控制裝置以單播方法把ARP包傳輸至管理對象DB中所設(shè)置的管理對象設(shè)備,而且如果在步驟S112中管理對象設(shè)備響應(yīng)于其而傳輸了ARP包,則在步驟S102中通信控制裝置接收該ARP包,并且檢測包括在ARP包中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。在這兩種方法中,均把所收集的地址存儲在地址DB中,并且加以管理。
接下來,在步驟S20中,根據(jù)所收集的地址,網(wǎng)絡(luò)管理員設(shè)置針對網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的通信控制規(guī)則。如果設(shè)置了通信控制規(guī)則,則在步驟S30中通信控制裝置EQ-X根據(jù)所設(shè)置的通信控制規(guī)則而切斷網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信、取消切斷、或包轉(zhuǎn)發(fā)?,F(xiàn)在,將參照圖6更詳細(xì)地解釋這一過程,圖6描述了設(shè)置切斷通信的規(guī)則的過程和根據(jù)該規(guī)則的切斷過程。
參照圖6,網(wǎng)絡(luò)管理員可以針對其通信應(yīng)加以控制的網(wǎng)絡(luò)內(nèi)部設(shè)備而設(shè)置通信控制規(guī)則。根據(jù)下列步驟而設(shè)置通信控制規(guī)則。
(1)在第一步驟中,根據(jù)針對存在于網(wǎng)絡(luò)中的網(wǎng)絡(luò)層地址(以太網(wǎng)IP地址)和數(shù)據(jù)鏈路層地址(MAC地址)所收集的數(shù)據(jù)、以及人工輸入的數(shù)據(jù),而生成網(wǎng)絡(luò)層地址組和數(shù)據(jù)鏈路層地址組。然而,由于僅當(dāng)具有共同屬性的地址資源的組管理地址資源方便時,才需要使用網(wǎng)絡(luò)層地址組和數(shù)據(jù)鏈路層地址組,因此這一步驟不是應(yīng)使用的實質(zhì)步驟。
(2)在第二步驟中,設(shè)置是否每一網(wǎng)絡(luò)層地址、數(shù)據(jù)鏈路層地址、網(wǎng)絡(luò)層地址組以及數(shù)據(jù)鏈路層地址組的通信從源完全切斷。即,設(shè)置許可還是切斷從源的通信。
(3)在第三步驟中,設(shè)置許可還是切斷全體網(wǎng)絡(luò)層地址的每個與其它網(wǎng)絡(luò)層地址、數(shù)據(jù)鏈路層地址、網(wǎng)絡(luò)層地址組以及數(shù)據(jù)鏈路層地址組的通信。
(4)在第四步驟中,設(shè)置許可還是切斷所有數(shù)據(jù)鏈路層地址的每個與網(wǎng)絡(luò)層地址、其它數(shù)據(jù)鏈路層地址、網(wǎng)絡(luò)層地址組以及數(shù)據(jù)鏈路層地址組的通信。
(5)在第五步驟中,設(shè)置是否切斷所有網(wǎng)絡(luò)層地址組的每一組與其它網(wǎng)絡(luò)層地址組以及數(shù)據(jù)鏈路層地址組的通信。
(6)在第六步驟中,設(shè)置是否執(zhí)行所有數(shù)據(jù)鏈路層地址組的每一組與網(wǎng)絡(luò)層地址組以及其它數(shù)據(jù)鏈路層地址組的通信。如圖3中所示,當(dāng)設(shè)置了通信控制規(guī)則時,還可以設(shè)置包路由中的方向。
在網(wǎng)絡(luò)管理員人工輸入規(guī)則的方法中,通過使用通信控制裝置EQ-X,來執(zhí)行對通信控制規(guī)則的設(shè)置。把所輸入的通信控制規(guī)則存儲在通信控制規(guī)則DB中,并且加以管理,另外,還把設(shè)置通信控制規(guī)則的時間及其它信息記錄在地址DB中,以在步驟S123~S125中進(jìn)行管理。設(shè)置通信控制規(guī)則的對象包括網(wǎng)絡(luò)層地址之間的通信、數(shù)據(jù)鏈路層地址之間的通信、網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址之間的通信。另外,當(dāng)針對網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址引入了組概念時,設(shè)置通信控制規(guī)則的對象還包括網(wǎng)絡(luò)層地址和網(wǎng)絡(luò)層地址組之間的通信、數(shù)據(jù)鏈路層地址和數(shù)據(jù)鏈路層地址組之間的通信、網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址組之間的通信、數(shù)據(jù)鏈路層地址和網(wǎng)絡(luò)層地址組之間的通信、以及網(wǎng)絡(luò)層地址組和數(shù)據(jù)鏈路層地址組之間的通信。通信控制的內(nèi)容可以包括通信的切斷、包轉(zhuǎn)發(fā)、取消切斷、許可等。例如,假設(shè)網(wǎng)絡(luò)內(nèi)部設(shè)備的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址分別為NET-i(此處i=0,1,2,...)以及MAC-j(此處j=0,1,2,...)。存在著這樣一種情況其中,根據(jù)例如網(wǎng)絡(luò)內(nèi)部設(shè)備的管理的需要,把多個網(wǎng)絡(luò)層地址或多個數(shù)據(jù)鏈路層地址形成組,并且按組加以管理。
于是,當(dāng)引入了組概念,以組為單位對地址進(jìn)行管理時,假設(shè)把網(wǎng)絡(luò)層地址組和數(shù)據(jù)鏈路層地址組分別稱為NETG-m(此處m=0,1,2,...)以及MACG-n(此處n=0,1,2,...)。由于在考慮到管理的必要性或方便性的情況下生成了地址組,所以可以把預(yù)先確定的設(shè)備的地址包括在多個組中,或者可以不包括在任何組中。例如,可以按以下的表9設(shè)置針對其網(wǎng)絡(luò)層地址為NET-1的設(shè)備的通信控制規(guī)則。也可以按同樣的方式設(shè)置針對其它網(wǎng)絡(luò)層地址、數(shù)據(jù)鏈路層地址以及這些地址的每個組的通信控制規(guī)則。
表9
通過以上所描述的過程,如果收集到網(wǎng)絡(luò)內(nèi)部地址的地址,并且設(shè)置了針對所收集的地址的通信控制規(guī)則,則意味著已準(zhǔn)備好了根據(jù)所設(shè)置的通信規(guī)則來控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信的條件。在這一條件下,如果在步驟S120中網(wǎng)絡(luò)中的預(yù)先確定的設(shè)備EQ-i廣播ARP包以與任何其它網(wǎng)絡(luò)內(nèi)部設(shè)備EQ-j進(jìn)行通信,則通信控制裝置EQ-X也接收該ARP包,并且檢測包括在該ARP包中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。通信控制裝置EQ-X把所檢測的地址與通信控制規(guī)則DB中預(yù)先登記的信息進(jìn)行比較,并判斷所檢測的地址是否為通信切斷的對象。如果所檢測的地址被確定為通信切斷的對象,則通信控制裝置以單播方法向所有網(wǎng)絡(luò)內(nèi)部設(shè)備傳輸通信切斷所要操縱的ARP包。在所操縱的ARP包中,不是作為通信主體的EQ-i和EQ-j的MAC地址,而是通信控制裝置EQ-X或第三設(shè)備的MAC地址被設(shè)置。因此,首先把希望在設(shè)備EQ-i和設(shè)備EQ-j之間傳輸?shù)陌鼈魉椭镣ㄐ趴刂蒲b置EQ-X(或者第三設(shè)備),并對其進(jìn)行忽略處理,而不將其傳送至通信的其它方,這樣操作,可以切斷該兩個設(shè)備之間的通信。
出于預(yù)先確定的原因,在預(yù)先確定的時間之后,可能需要保證已經(jīng)被作為通信切斷的對象的預(yù)先確定的地址的自由通信。在這一情況下,網(wǎng)絡(luò)管理員可以重新設(shè)置針對通信切斷所設(shè)置的規(guī)則,并響應(yīng)于此,需要取消針對該對象的通信切斷的狀態(tài)。圖7中描述了這一過程。管理員通過使用通信控制裝置(EQ-X),來設(shè)置取消通信切斷的規(guī)則。在步驟S144、S142以及S146中,也把所設(shè)置的取消規(guī)則記錄在通信控制規(guī)則DB中,并且還把設(shè)置取消規(guī)則的時間和其它信息記錄在地址DB中,以進(jìn)行管理。
同時,如果在步驟S130中,網(wǎng)絡(luò)中的預(yù)先確定的設(shè)備EQ-i廣播了網(wǎng)絡(luò)層包(例如,IP包),以與另一設(shè)備EQ-j進(jìn)行通信,則在步驟S132中,通信控制裝置EQ-X接收該包,并且檢測所包括的網(wǎng)絡(luò)層包。作為參照,總是通過使用層-3(L3)包來執(zhí)行對通信切斷的取消。接下來,由于僅當(dāng)?shù)刂窞橥ㄐ徘袛嗟膶ο髸r,才需要取消通信切斷,所以在步驟S134中要判斷包括在所檢測的包中的數(shù)據(jù)鏈路層地址是否為切斷MAC。此處,切斷MAC指的是由通信控制裝置EQ-X針對通信切斷有意操縱的MAC地址。如果不是切斷MAC,則該地址不處于通信切斷的狀態(tài),因此,不需要取消,而且在步驟S136中只是忽略該地址。然而,如果其是切斷MAC,則該地址當(dāng)前處于通信切斷的狀態(tài),在步驟S138中,通信控制裝置EQ-X把該數(shù)據(jù)鏈路層地址參照于通信控制規(guī)則DB,并且將其與所登記的通信控制規(guī)則進(jìn)行比較。如果比較結(jié)果認(rèn)定該地址仍為通信切斷的對象,則需要維持該狀態(tài)不變,并且在步驟S142中,在地址DB中,更新檢測時間,以對網(wǎng)絡(luò)進(jìn)行管理。然而,如果比較結(jié)果表明,所設(shè)置的通信控制規(guī)則為取消通信切斷的對象,則在步驟S140中通信控制裝置以單播方法向網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)內(nèi)部設(shè)備傳輸用于取消的ARP包,以致能夠取消該通信切斷狀態(tài)。在所傳輸?shù)挠糜谌∠ㄐ徘袛嗟腁RP包中,包括正常的MAC地址,自該時刻起,已經(jīng)接收了該ARP的網(wǎng)絡(luò)內(nèi)部設(shè)備變得能夠正常地與具有該MAC地址的設(shè)備進(jìn)行通信。這樣操作,取消了通信切斷狀態(tài)。
圖8描述了根據(jù)通信控制規(guī)則DB中所設(shè)置的規(guī)則來處理網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信控制的過程。如果在步驟S150中網(wǎng)絡(luò)中預(yù)先確定的設(shè)備EQ-i廣播了網(wǎng)絡(luò)層包,以與網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行通信,則在步驟S152中,通信控制裝置檢測該網(wǎng)絡(luò)層包,并且在步驟S154中判斷包括在該包中的數(shù)據(jù)鏈路層地址是否為切斷MAC。如果其不是切斷MAC,則該地址不是通信切斷的對象,因此在步驟S156中只是被忽略。然后,將執(zhí)行具有數(shù)據(jù)鏈路層地址的設(shè)備和請求通信的設(shè)備EQ-i之間的正常通信。然而,如果數(shù)據(jù)鏈路層地址為切斷MAC,則意味著該地址為通信切斷的對象,從而在步驟S158和S160中,通信控制裝置把該地址與登記在數(shù)據(jù)鏈路通信控制規(guī)則DB中的通信控制規(guī)則進(jìn)行比較,并且確定執(zhí)行哪個控制。如果把該地址設(shè)置為通信切斷的對象,則如以上所描述的,執(zhí)行所操縱ARP包的傳輸,從而可以切斷通信。如果把該地址設(shè)置為通信許可的對象,則在步驟S164中把網(wǎng)絡(luò)層包轉(zhuǎn)發(fā)至原始目的地。
圖9是流程圖,描述了檢測包以及根據(jù)檢測來收集地址的過程的細(xì)節(jié)??梢詫挿旱匕延糜谑占W(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的路由劃分為兩種類型。在圖19中所示的一種類型中,在步驟S170和S172中,通信控制裝置EQ-X通過參照管理對象DB中的地址,來廣播ARP請求包,如果具有包括在所傳輸?shù)腁RP請求包中的協(xié)議地址的網(wǎng)絡(luò)內(nèi)部設(shè)備使用ARP應(yīng)答包進(jìn)行響應(yīng),則在步驟S174和S178中從該應(yīng)答包收集地址。在另一種方法中,不具有這一請求過程,而是在網(wǎng)絡(luò)上廣播ARP包,以使網(wǎng)絡(luò)內(nèi)部設(shè)備互相通信,在步驟S176和S178中,通信控制裝置接收如此生成的ARP包,并且檢測來自所接收的ARP包的地址。不改變地把所檢測的地址存儲在與地址相關(guān)的DB中,并且對其進(jìn)行管理,此時,也把檢測時間一起加以存儲,以進(jìn)行管理。
接下來,針對代理程序的切斷/取消管理模塊的處理包括在檢測了包之后的通信控制處理;在檢測了ARP請求包之后的處理;在檢測了ARP應(yīng)答包之后的處理;在檢測了協(xié)議層之后的處理;根據(jù)協(xié)議地址和數(shù)據(jù)鏈路層地址對管理規(guī)則的提?。灰约案鶕?jù)協(xié)議地址對管理規(guī)則的提取?,F(xiàn)在,將更詳細(xì)地解釋這些處理。
圖10中描述了根據(jù)所檢測的包來處理通信控制的過程。取決于所檢測的包是IP包還是ARP包,不同地確定隨后的過程。如果通信控制裝置EQ-X在步驟S180中在任何路由中檢測到網(wǎng)絡(luò)中的包,則在步驟S182中檢查所檢測的包是IP包還是ARP包。如果其為ARP包,則在步驟S184中執(zhí)行在檢測了ARP請求包之后的規(guī)程以及在檢測了ARP應(yīng)答包之后的規(guī)程。如果是IP包,則在步驟S186中,還檢查該包的以太網(wǎng)目的地是否為切斷地址。切斷地址是由通信控制裝置加以操縱的地址。因此,如果該地址不是切斷地址,則需要保證正常的通信,因而在步驟S188中通信控制裝置不執(zhí)行任何動作,而只是忽略之。如果該地址是切斷地址,則通信控制裝置應(yīng)當(dāng)執(zhí)行針對通信切斷的處理。為此,在步驟S189中執(zhí)行處理協(xié)議層包的規(guī)程,以致可以執(zhí)行取消模塊和包轉(zhuǎn)發(fā)模塊的任意一個。
圖11是圖10的步驟S184中‘ARP請求包的檢測之后的處理規(guī)程’的詳細(xì)流程圖。通常,以廣播的方法傳輸ARP請求包。如果預(yù)先確定的網(wǎng)絡(luò)內(nèi)部設(shè)備廣播了ARP請求包,以與任何其它設(shè)備進(jìn)行通信,則通信控制裝置EQ-X在步驟S190檢測ARP請求包。包括在所檢測的ARP請求包中的地址被抽取,并且通過在步驟S192中新生成或修改地址而被反映在地址DB中,諸如協(xié)議地址DB(DB-1)、數(shù)據(jù)鏈路-MAC地址DB(DB-2)、以及協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3)中。然后,在步驟S194、S196、S198中,以最初所檢測的地址中的接收方地址,來執(zhí)行針對通信切斷的處理。為此,首先,在步驟S194中,通信控制裝置使用接收方地址來檢查是否存在針對該地址的管理規(guī)則。如果接收方地址為通信切斷的對象,即,如果存在針對該地址的切斷,則在步驟S198中通信控制裝置使用協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3)來執(zhí)行切斷包向與接收方協(xié)議地址‘相同的地址’的傳輸。例如,如果接收方協(xié)議地址為NET-1和NET-3,則通信控制裝置把切斷包傳輸至具有相同協(xié)議地址的設(shè)備EQ-1和EQ-3。例如,假設(shè)NET-3為切斷的對象,則當(dāng)設(shè)備EQ-1希望與設(shè)備EQ-3通信時,通信控制裝置接收由設(shè)備EQ-1所廣播的ARP請求包,在這一情況下,通信控制裝置把ARP包傳輸至EQ-1和EQ-3。根據(jù)所傳輸?shù)腁RP包,把假(false)的地址信息提供至EQ-1,以致EQ-3被識別為如同EQ-3就是通信控制裝置,把另一假的地址信息提供至EQ-3,以致EQ-1被識別為如同EQ-1就是通信控制裝置。據(jù)此,把設(shè)備EQ-1和EQ-3所傳輸?shù)陌鼈魉椭镣ㄐ趴刂蒲b置EQ-X,并且被忽略,然后切斷兩個設(shè)備之間的通信。在結(jié)束了使用接收方地址所進(jìn)行的處理之后,在步驟S200、S202以及S204中還執(zhí)行針對發(fā)送方地址的通信切斷。這一處理十分類似于針對接收方地址的處理,而唯一的差別是,切斷包的受體為屬于與發(fā)送方協(xié)議相同的網(wǎng)絡(luò)的‘全部’協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3),因為發(fā)送方所廣播的ARP請求包影響了所有網(wǎng)絡(luò)內(nèi)部設(shè)備。
圖12示出圖10的步驟S184中‘ARP應(yīng)答包的檢測之后的處理規(guī)程’。如果網(wǎng)絡(luò)內(nèi)部設(shè)備響應(yīng)于由通信控制裝置所傳輸?shù)腁RP請求包,而傳輸了ARP應(yīng)答包,則在步驟S210中通信控制裝置檢測該包,抽取包括在該包中的地址,并且把其反映在地址DB中,諸如反映在協(xié)議地址DB(DB-1)、數(shù)據(jù)鏈路-MAC地址DB(DB-2)以及協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3)中。通常以單播的方法傳輸ARP應(yīng)答包。因此,如果所檢測的應(yīng)答包是以單播的方法傳輸?shù)陌瑒t該包是正常的包,而且在步驟S214和S216中,由通信控制裝置執(zhí)行為該包所準(zhǔn)備的唯一的接下來的處理。然而,如果該應(yīng)答包是以廣播的方法傳輸?shù)陌瑒t意味著不正常地傳送了不應(yīng)傳送至其它網(wǎng)絡(luò)內(nèi)部設(shè)備的包,因此需要適當(dāng)?shù)慕酉聛淼倪^程。即,在步驟S218中,通過使用包括在所檢測的應(yīng)答包中的發(fā)送方地址,來提取管理規(guī)則,如果提取結(jié)果表明存在針對發(fā)送方地址的切斷規(guī)則,則在步驟S220和S222中,執(zhí)行切斷包向?qū)儆谂c發(fā)送方協(xié)議相同的網(wǎng)絡(luò)的所有協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3)的傳輸。其原因在于廣播了應(yīng)答包,該包影響了所有網(wǎng)絡(luò)內(nèi)部設(shè)備,并且可能發(fā)生基于該包的通信。因此,在這種情況下,應(yīng)當(dāng)切斷通信切斷的對象之間的通信。
圖13是協(xié)議層包的檢測之后的過程的流程圖。這相應(yīng)于圖10的步驟S189。如果在步驟S230中通信控制裝置檢測到協(xié)議層包,則在步驟S232中檢查包括在該包中的以太網(wǎng)目的地地址是否為切斷地址。接下來,由通信控制裝置根據(jù)檢查的結(jié)果所執(zhí)行的過程包括取消通信切斷、轉(zhuǎn)發(fā)包以及忽略包。如果以太網(wǎng)目的地地址不是切斷地址,則應(yīng)保證正常的通信,因此在步驟S234中只是忽略該包。如果以太網(wǎng)目的地地址是切斷地址,則這相應(yīng)于如下情況通信控制裝置向相應(yīng)設(shè)備預(yù)先提供所操縱的MAC地址,即,其MAC地址被設(shè)置為通信控制裝置的地址的包,使得可以切斷與該設(shè)備的通信。在這一情況下,在步驟S236中,檢測發(fā)送方地址(協(xié)議和數(shù)據(jù)鏈路層地址)以及接收方地址(協(xié)議和數(shù)據(jù)鏈路層地址),然后,根據(jù)發(fā)送方地址和接收方地址,執(zhí)行諸如許可通信、切斷通信或轉(zhuǎn)發(fā)包的處理。首先,通信控制裝置在步驟S238中根據(jù)發(fā)送方地址提取管理規(guī)則,如果其被設(shè)置為全部切斷,則在步驟S240中通信控制裝置只是忽略該包。因此,該包不能移動到超出通信控制裝置,從而可以從源處切斷通信。如果根據(jù)發(fā)送方地址的管理規(guī)則為部分切斷,則在步驟S242中檢查與接收方地址進(jìn)行通信是否可能。如果其被設(shè)置為切斷,則在步驟S240中忽略該包,而如果許可通信,則在步驟S244中根據(jù)接收方地址來提取管理規(guī)則。按同樣的方式,如果提取結(jié)果表示全部切斷,則在步驟S246中只是忽略該包,而如果提取結(jié)果表示部分切斷,則在步驟S248中檢查是否許可與發(fā)送方地址進(jìn)行通信。如果切斷通信,則只是忽略該包。如果許可通信,則在步驟S250執(zhí)行針對協(xié)議層包的轉(zhuǎn)發(fā)規(guī)程。接下來,如果通信切斷不正確,則傳輸取消通信切斷狀態(tài)的包,通過這樣操作,在步驟S253中執(zhí)行用于糾正不正確狀態(tài)的過程。通過這一取消過程,協(xié)議層包不再傳輸至通信控制裝置,而傳輸至正常目的地。
圖14描述了圖13的包轉(zhuǎn)發(fā)步驟S250。在包轉(zhuǎn)發(fā)過程中,如果通信控制裝置在步驟S254中檢測到其中接收方數(shù)據(jù)鏈路層地址為切斷地址的協(xié)議層包,則其提取根據(jù)發(fā)送方地址還是根據(jù)接收方地址來切斷通信。如果提取結(jié)果表明未把地址設(shè)置為通信切斷地址,則其中切斷通信的當(dāng)前狀態(tài)是不正確的,因此,在步驟S256中執(zhí)行取消通信切斷的過程。如果提取結(jié)果表明設(shè)置了通信切斷,則在步驟S257中還檢查切斷還是轉(zhuǎn)發(fā)該包。如果存在針對所檢測的地址的包轉(zhuǎn)發(fā)規(guī)則,則在步驟S259中以包的目的地地址作為正常數(shù)據(jù)鏈路層地址來轉(zhuǎn)發(fā)該包。如果不存在轉(zhuǎn)發(fā)規(guī)則,則該包應(yīng)正常切斷,從而在步驟S258中不傳送至任何其它設(shè)備,只是加以忽略。
以下,將參照圖15解釋檢測到ARP應(yīng)答包和ARP請求包之后的地址DB管理步驟(例如,圖11的步驟S192和圖12的步驟S212)。管理地址DB的原因是為了管理網(wǎng)絡(luò)內(nèi)部設(shè)備,具體地是為了控制通信,應(yīng)當(dāng)確保作為管理和控制對象的網(wǎng)絡(luò)內(nèi)部設(shè)備的列表,具體地是,應(yīng)當(dāng)識別當(dāng)前接通和正常運行的設(shè)備的列表。如果在步驟S260中,通信控制裝置檢測到由任何網(wǎng)絡(luò)內(nèi)部設(shè)備所傳輸?shù)腁RP請求包或ARP應(yīng)答包,則在步驟S262中,檢查包括在所檢測的包中的數(shù)據(jù)中的發(fā)送方協(xié)議地址是否處于協(xié)議地址DB(DB-1)中。如果該地址不處于DB-1中,則意味著該地址是新的地址,從而在步驟S264中生成發(fā)送方協(xié)議地址。如果地址處于DB-1中,則在作為下一步的下一步驟S266中,檢查包的數(shù)據(jù)中的發(fā)送方數(shù)據(jù)鏈路層地址是否處于數(shù)據(jù)鏈路層地址DB(DB-2)中。如果該地址未處于DB-2中,則以與步驟S268中相同的方式生成發(fā)送方數(shù)據(jù)鏈路層地址,如果該地址處于DB-2中,則檢查發(fā)送方協(xié)議地址-發(fā)送方數(shù)據(jù)鏈路層地址對的組合是否處于協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3)中。如果該組合未處于DB-3中,則在步驟S272中生成協(xié)議-數(shù)據(jù)鏈路層地址組合,而如果其處于DB-3中,則不需要新生成地址。然而,為了對網(wǎng)絡(luò)上的設(shè)備平穩(wěn)地加以管理,通信控制裝置把從設(shè)備接收包的時間記錄在地址管理DB中,從而可以顯示設(shè)備的最近活動時間。
接下來,網(wǎng)絡(luò)管理員可以單獨地設(shè)置針對協(xié)議地址或數(shù)據(jù)鏈路層地址的通信控制規(guī)則,而且還可以設(shè)置針對該兩地址的組合的通信控制規(guī)則。圖16描述了提取和處理針對協(xié)議地址和數(shù)據(jù)鏈路層地址的組合所設(shè)置的通信控制規(guī)則的過程,圖17和18描述了根據(jù)協(xié)議地址和數(shù)據(jù)鏈路層地址來提取和處理通信控制規(guī)則的過程。
在圖16的流程圖中,首先,在步驟S280中,通信控制裝置從包中的發(fā)送方數(shù)據(jù)和由管理員人工輸入的數(shù)據(jù)中檢測協(xié)議地址和數(shù)據(jù)鏈路層地址。在如此執(zhí)行了地址檢測之后,執(zhí)行下列過程。
(1)在步驟S282中,通過參照協(xié)議地址DB(DB-1)和數(shù)據(jù)鏈路-MAC地址DB(DB-2),詢問所檢測的協(xié)議地址和數(shù)據(jù)鏈路層地址本身是否為切斷的對象。
(2)在步驟S286中,通過參照數(shù)據(jù)鏈路-MAC地址DB(DB-2)和協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3),詢問所檢測的協(xié)議地址與一組其它地址的通信、以及所檢測的數(shù)據(jù)鏈路層地址與一組其它地址的通信是否為通信切斷的對象。
(3)在步驟S290中,通過參照協(xié)議地址組DB(DB-4)、數(shù)據(jù)鏈路層地址組DB(DB-5)以及分項規(guī)則DB(DB-6),來詢問所檢測的協(xié)議地址和數(shù)據(jù)鏈路層地址的每個是否為根據(jù)關(guān)系規(guī)則的通信切斷的對象。
(4)在步驟S294中,通過參照協(xié)議地址組DB(DB-4)、數(shù)據(jù)鏈路層地址組DB(DB-5)以及組間規(guī)則DB(DB-7),來詢問包括所檢測的協(xié)議地址的組和包括所檢測的數(shù)據(jù)鏈路層地址的組是否為根據(jù)組規(guī)則的通信切斷的對象。
(5)在步驟S298中,詢問是否存在針對所檢測的包的包轉(zhuǎn)發(fā)規(guī)則。
如果詢問結(jié)果認(rèn)定地址被確認(rèn)為切斷的對象,則執(zhí)行針對通信切斷的處理。此時,在步驟S282和S286的情況下,在步驟S284和S288中,應(yīng)執(zhí)行針對該地址的全范圍的通信切斷。然而,在步驟S290和S294的情況下,在步驟S292和S296中,不針對所有關(guān)系或整個組,而是針對所有關(guān)系或整個組的地址中的相應(yīng)地址,來執(zhí)行通信切斷。如果存在針對所檢測包的轉(zhuǎn)發(fā)規(guī)則,則在步驟S300中轉(zhuǎn)發(fā)該包,否則,在步驟S302中只是忽略該包。
現(xiàn)在,將解釋圖17中所示的根據(jù)協(xié)議地址的對通信控制規(guī)則的處理。在步驟S310中,通信控制裝置檢測所接收的包中的接收方協(xié)議地址、或由管理員人工輸入的數(shù)據(jù)中的協(xié)議地址,并且在步驟S312中,通過參照協(xié)議地址DB(DB-1),詢問所檢測的協(xié)議地址是否為切斷的對象。如果地址為切斷的對象,則在步驟S314中完全切斷與該協(xié)議地址的通信,否則,在步驟S316中,通過參照協(xié)議地址組DB(DB-4)、數(shù)據(jù)鏈路層地址組DB(DB-5)以及分項規(guī)則DB(DB-6),來詢問是否根據(jù)與所檢測的地址相關(guān)的關(guān)系規(guī)則來切斷所檢測的協(xié)議地址。如果詢問結(jié)果表明,該關(guān)系規(guī)則為切斷的對象,則在步驟S318中有限地切斷與所檢測的協(xié)議地址相關(guān)的協(xié)議地址的通信。另外,在步驟S320中,通過參照協(xié)議地址組DB(DB-4)、數(shù)據(jù)鏈路層地址組DB(DB-5)以及組間規(guī)則DB(DB-7),來詢問是否根據(jù)該組來切斷包括所檢測的協(xié)議地址的組。如果詢問結(jié)果表明,該組規(guī)則為切斷的對象,則在步驟S322中有限地切斷與所檢測的協(xié)議地址相關(guān)的協(xié)議地址的通信。另外,如果存在針對所檢測的包的轉(zhuǎn)發(fā)規(guī)則,則在步驟S326中轉(zhuǎn)發(fā)該包,否則在步驟S328中只是忽略該包。
以類似的方式,對通信控制規(guī)則的處理通過數(shù)據(jù)鏈路層地址而執(zhí)行,參照圖18的流程圖,可以很容易地理解。因此,將省略對這一處理過程的解釋。
工業(yè)實用性如以上所描述的,本發(fā)明可以作為網(wǎng)絡(luò)的資源管理軟件加以實施。而且,也可以把該軟件安裝在通用計算機(jī)系統(tǒng)或為專門用途而制造的通信控制設(shè)備中,并可用作以上所描述的通信控制裝置。
同時,盡管以上解釋了LAN的例子,但顯然本發(fā)明也可應(yīng)用于任何其它類型的網(wǎng)絡(luò)。
在日趨復(fù)雜和多樣化的網(wǎng)絡(luò)環(huán)境中,本發(fā)明使得能夠利用有限的人力資源有效和一致地管理巨大的網(wǎng)絡(luò)資源。而且,可以針對預(yù)先確定的網(wǎng)絡(luò)中的設(shè)備的每一用戶,預(yù)先設(shè)置對該網(wǎng)絡(luò)中其它設(shè)備的訪問的許可范圍,從而可將通信控制為僅在所許可的訪問范圍內(nèi)可用。
更具體地講,本發(fā)明的效果包括下列優(yōu)點首先,使得能夠進(jìn)行更有效的網(wǎng)絡(luò)操作。即,可以自動地收集網(wǎng)絡(luò)資源上的信息,并且可以實時地監(jiān)視與故障的發(fā)生相關(guān)的信息,從而能夠提供針對故障的迅速措施。而且,通過有選擇地控制網(wǎng)絡(luò)上的內(nèi)部/外部通信數(shù)據(jù)包,可以節(jié)省負(fù)責(zé)外部網(wǎng)絡(luò)的網(wǎng)絡(luò)資源,防火墻服務(wù)器的減少可提高與任何外部網(wǎng)絡(luò)進(jìn)行通信的速度。另外,還可以確保一種能夠有效操作網(wǎng)絡(luò)的手段,例如,把所希望的使用許可有選擇地施加至個別網(wǎng)絡(luò)。
第二,可以加強(qiáng)網(wǎng)絡(luò)的內(nèi)部安全。即,除了限制從外部網(wǎng)絡(luò)對網(wǎng)絡(luò)的訪問外,還可以限制內(nèi)部網(wǎng)絡(luò)之間的訪問,并且還可以限制對預(yù)先確定的服務(wù)器的訪問。因此,除了在通用防火墻服務(wù)器中不能夠處理的網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信控制的能力之外,還可以保護(hù)預(yù)先確定的服務(wù)器的IP地址,并可防止可能導(dǎo)致數(shù)據(jù)包減少的非法內(nèi)部用戶之間的信息泄漏、黑客以及破解。
第三,可以實現(xiàn)網(wǎng)絡(luò)的穩(wěn)定操作。通過收集關(guān)于網(wǎng)絡(luò)中設(shè)備或資源的信息,以及監(jiān)視、收集和分析關(guān)于網(wǎng)絡(luò)狀態(tài)的信息,可以在故障發(fā)生前發(fā)出對故障的警告,或者預(yù)先去除故障因素,而且,當(dāng)故障出現(xiàn)時,可以迅速識別原因并提供修復(fù)的措施。
第四,可以有效地解決IP沖突。由于除MAC地址之外,也可以操縱IP地址,所以當(dāng)網(wǎng)絡(luò)內(nèi)部設(shè)備之間的IP地址發(fā)生沖突時,可以向相應(yīng)設(shè)備提供正確的IP地址,從而能夠自動地解決IP地址的沖突。
以上解釋了一些優(yōu)選的實施例。然而,顯然,在所附權(quán)利要求的精神與范圍內(nèi),本技術(shù)領(lǐng)域中的技術(shù)人員可以對這些實施例進(jìn)行改變與修改。因此,所有等同于所附權(quán)利要求的改變與修改均屬于本發(fā)明的范圍。
權(quán)利要求
1.一種通信控制方法,通過使用與預(yù)先確定的網(wǎng)絡(luò)的其它設(shè)備處于同一級的通信控制裝置,來控制所述網(wǎng)絡(luò)上的設(shè)備之間的通信,所述方法包括根據(jù)所設(shè)置的通信控制規(guī)則,至少確定需要切斷通信的切斷對象設(shè)備;以及把地址解算協(xié)議(ARP)包提供至切斷對象設(shè)備,在所述地址解算協(xié)議(ARP)包中對數(shù)據(jù)鏈路層地址進(jìn)行操縱,其中,對所述切斷對象設(shè)備進(jìn)行控制,以將其數(shù)據(jù)包傳輸至所操縱的異常地址,并且通過這樣的操作,切斷由切斷對象設(shè)備進(jìn)行的通信。
2.根據(jù)權(quán)利要求1所述的通信控制方法,還包括把包括正常地址信息的ARP包傳輸至處于通信切斷狀態(tài)的設(shè)備,即使所述設(shè)備不再是通信切斷的對象,使得可以取消通信切斷狀態(tài)。
3.根據(jù)權(quán)利要求1所述的通信控制方法,還包括把切斷對象設(shè)備的部分或全部數(shù)據(jù)鏈路層地址設(shè)置到通信控制裝置的數(shù)據(jù)鏈路層地址或者非切斷對象設(shè)備的第三數(shù)據(jù)鏈路層地址,使得可以切斷在切斷對象設(shè)備之間的通信。
4.根據(jù)權(quán)利要求1所述的通信控制方法,還包括如果在新連接于預(yù)先確定的網(wǎng)絡(luò)的設(shè)備的因特網(wǎng)協(xié)議(IP)地址與現(xiàn)存設(shè)備的IP地址之間存在沖突,則按單播的方法把正確的IP地址傳輸至現(xiàn)存設(shè)備,從而防止IP地址的沖突。
5.根據(jù)權(quán)利要求1所述的通信控制方法,還包括收集針對其設(shè)置通信控制規(guī)則的網(wǎng)絡(luò)內(nèi)部設(shè)備的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。
6.根據(jù)權(quán)利要求5所述的通信控制方法,其中,通過第一方法和/或通過第二方法來執(zhí)行收集地址的步驟,在所述第一方法中,通信控制裝置接收由網(wǎng)絡(luò)中設(shè)備所廣播的ARP包,以與網(wǎng)絡(luò)中的任何其它設(shè)備進(jìn)行通信,并檢測包括在包中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址;在所述第二方法中,根據(jù)由網(wǎng)絡(luò)管理員人工輸入的管理對象設(shè)備的地址,通信控制裝置傳輸ARP請求包,并且從管理對象設(shè)備響應(yīng)于該ARP請求包所傳輸?shù)腁RP應(yīng)答包中檢測網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。
7.一種通信控制方法,控制預(yù)先確定的網(wǎng)絡(luò)上的設(shè)備之間的通信,所述方法包括通過通信控制裝置,收集存在于網(wǎng)絡(luò)中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址;把通信控制規(guī)則存儲在通信控制規(guī)則數(shù)據(jù)庫(DB)中,設(shè)置所述通信控制規(guī)則以針對由網(wǎng)絡(luò)管理員所收集的地址來執(zhí)行所希望的通信控制;檢測網(wǎng)絡(luò)中設(shè)備所傳輸?shù)牡刂方馑銋f(xié)議(ARP)包,以與網(wǎng)絡(luò)中的另一設(shè)備進(jìn)行通信;通過參照通信控制規(guī)則DB,來判斷所檢測的ARP包是否相應(yīng)于通信切斷對象;以及如果所述包相應(yīng)于通信切斷對象,則傳輸針對通信切斷的ARP,其中,當(dāng)需要時,可以有選擇地控制網(wǎng)絡(luò)內(nèi)部設(shè)備之間的通信。
8.根據(jù)權(quán)利要求7所述的通信控制方法,其中,通過第一方法和/或通過第二方法來執(zhí)行對地址的收集,在所述第一方法中,通信控制裝置接收網(wǎng)絡(luò)中設(shè)備所廣播的ARP包,以與網(wǎng)絡(luò)中的任何其它設(shè)備進(jìn)行通信,并且檢測包含在包中的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址;在所述第二方法中,根據(jù)由網(wǎng)絡(luò)管理員人工輸入的管理對象設(shè)備的地址,通信控制裝置傳輸ARP請求包,并且從管理對象設(shè)備響應(yīng)于該ARP請求包所傳輸?shù)腁RP應(yīng)答包中檢測網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。
9.根據(jù)權(quán)利要求7所述的通信控制方法,其中,設(shè)置通信控制規(guī)則的對象包括網(wǎng)絡(luò)層地址之間的通信、數(shù)據(jù)鏈路層地址之間的通信、以及網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址之間的通信。
10.根據(jù)權(quán)利要求7所述的通信控制方法,其中,設(shè)置通信控制規(guī)則的對象還包括網(wǎng)絡(luò)層地址和網(wǎng)絡(luò)層地址組之間的通信、數(shù)據(jù)鏈路層地址和數(shù)據(jù)鏈路層地址組之間的通信、網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址組之間的通信、數(shù)據(jù)鏈路層地址和網(wǎng)絡(luò)層地址組之間的通信、以及網(wǎng)絡(luò)層地址組和數(shù)據(jù)鏈路層地址組之間的通信。
11.根據(jù)權(quán)利要求7所述的通信控制方法,其中,當(dāng)接收方地址為切斷的對象時,把切斷包傳輸至與接收協(xié)議地址‘相同的地址’。
12.根據(jù)權(quán)利要求7所述的通信控制方法,其中,當(dāng)發(fā)送方地址為切斷的對象時,把切斷包傳輸至屬于與發(fā)送方協(xié)議的網(wǎng)絡(luò)相同的網(wǎng)絡(luò)的‘所有’協(xié)議-數(shù)據(jù)鏈路層地址。
13.根據(jù)權(quán)利要求7所述的通信控制方法,還包括如果網(wǎng)絡(luò)內(nèi)部設(shè)備響應(yīng)于由通信控制裝置所傳輸?shù)腁RP請求包而傳輸ARP應(yīng)答包,則通過使用包含在所檢測的應(yīng)答包中的發(fā)送方地址來提取關(guān)系規(guī)則,如果提取結(jié)果表明存在針對發(fā)送方地址的切斷規(guī)則,則把切斷包傳輸至屬于與發(fā)送方協(xié)議的網(wǎng)絡(luò)相同的網(wǎng)絡(luò)的所有協(xié)議-數(shù)據(jù)鏈路層地址DB(DB-3)。
14.根據(jù)權(quán)利要求7所述的通信控制方法,還包括對于處于通信切斷狀態(tài)的設(shè)備,盡管通過對網(wǎng)絡(luò)層包進(jìn)行的檢測,所述設(shè)備不再是通信切斷的對象,傳輸用于取消通信切斷狀態(tài)的ARP包。
15.根據(jù)權(quán)利要求7和14中任何一個權(quán)利要求所述的通信控制方法,還包括通過按規(guī)律的時間間隔來參照通信控制規(guī)則DB,來根據(jù)所述DB中所登記的通信控制規(guī)則,而傳輸針對通信切斷/取消通信切斷的ARP請求包。
16.根據(jù)權(quán)利要求7所述的通信控制方法,還包括如果接收方數(shù)據(jù)鏈路層地址為切斷地址,而且存在針對所述地址的包轉(zhuǎn)發(fā)規(guī)則,則把所接收的具有作為正常數(shù)據(jù)鏈路層地址的所接收的協(xié)議層包的目的地地址的協(xié)議層包加以轉(zhuǎn)發(fā)。
17.根據(jù)權(quán)利要求7所述的通信控制方法,還包括如果在新連接于預(yù)先確定的網(wǎng)絡(luò)的設(shè)備的因特網(wǎng)協(xié)議(IP)地址與現(xiàn)存設(shè)備的IP地址之間存在沖突,則以單播的方法把正確的IP地址傳送至現(xiàn)存設(shè)備,從而防止IP地址的沖突。
18.一種通信控制裝置,與預(yù)先確定的網(wǎng)絡(luò)上的設(shè)備處于同一級上;提供了當(dāng)需要時網(wǎng)絡(luò)管理員可以設(shè)置能夠切斷設(shè)備之間的通信的通信控制規(guī)則的環(huán)境;當(dāng)管理在數(shù)據(jù)庫中所設(shè)置的通信控制規(guī)則時,把其中對數(shù)據(jù)鏈路層地址進(jìn)行操縱的ARP包提供至被設(shè)置為通信切斷的對象的設(shè)備,使得可以把由通信切斷對象設(shè)備所傳輸?shù)臄?shù)據(jù)包傳輸至被操縱的異常地址;并且通過進(jìn)行這樣的操作,來切斷通信切斷對象設(shè)備之間的通信。
全文摘要
公開了一種技術(shù),根據(jù)該技術(shù),可以把關(guān)于通信許可或控制的規(guī)則強(qiáng)加于網(wǎng)絡(luò)內(nèi)部設(shè)備,以致可以建立網(wǎng)絡(luò)內(nèi)部設(shè)備之間如同存在虛擬防火墻的環(huán)境。為此,把通信控制裝置放置在網(wǎng)絡(luò)中與其它設(shè)備相同的級上。通過使用這一通信控制裝置,把其中對數(shù)據(jù)鏈路層地址進(jìn)行操縱的地址解算協(xié)議(ARP)包提供至作為通信切斷對象的設(shè)備,以致能夠把通信切斷對象設(shè)備所傳輸?shù)臄?shù)據(jù)包傳輸至所操縱的異常地址。通過這樣的操作,切斷與通信切斷對象設(shè)備的通信。對于處于通信切斷狀態(tài)的設(shè)備,盡管該設(shè)備不再是通信切斷的對象,但通信控制裝置也把包括正常地址信息的ARP包傳輸至該設(shè)備,從而能夠取消通信切斷狀態(tài)。
文檔編號H04L12/24GK1879348SQ200480033210
公開日2006年12月13日 申請日期2004年9月16日 優(yōu)先權(quán)日2003年9月19日
發(fā)明者辛容萬, 宋錫哲, 辛容泰, 朱勇俊 申請人:Inimax株式會社