JP2009033577A - Method of security and relay device for tag-base vlan(virtual lan) - Google Patents

Method of security and relay device for tag-base vlan(virtual lan) Download PDF

Info

Publication number
JP2009033577A
JP2009033577A JP2007196832A JP2007196832A JP2009033577A JP 2009033577 A JP2009033577 A JP 2009033577A JP 2007196832 A JP2007196832 A JP 2007196832A JP 2007196832 A JP2007196832 A JP 2007196832A JP 2009033577 A JP2009033577 A JP 2009033577A
Authority
JP
Japan
Prior art keywords
vlan
switch
frame
port
tag information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007196832A
Other languages
Japanese (ja)
Inventor
Yukiaki Abe
幸哲 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Semiconductor Ltd
Original Assignee
Fujitsu Semiconductor Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Semiconductor Ltd filed Critical Fujitsu Semiconductor Ltd
Priority to JP2007196832A priority Critical patent/JP2009033577A/en
Publication of JP2009033577A publication Critical patent/JP2009033577A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a method of security of tag-base VLAN which prevents communication through illegal terminal and which improves the security of the tag-base VLAN. <P>SOLUTION: A switch 34a generates a transmission frame again corresponding to the frame received from PC31a-33a only when VLAN tag information in a frame which have received from the PC31a-33a coincides with VLAN information of a port connected to the PC31a-33a. A switch 34b generates a transmission frame again corresponding to a frame received from PC31b-33b only when VLAN tag information in a frame received from the PC31b-33b coincides with VLAN information of a port connected to the PC31b-33b. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、中継装置間の転送フレームにVLAN(Virtual Local Area Network)タグ情報を含めるタグベースVLANのセキュリティ方法、および、このタグベースVLANのセキュリティ方法の実施に使用する中継装置に関する。   The present invention relates to a tag-based VLAN security method in which VLAN (Virtual Local Area Network) tag information is included in a transfer frame between relay devices, and a relay device used to implement the tag-based VLAN security method.

ネットワークグループを論理的に分割する方法として、VLAN技術が知られている。VLANは、例えば、ポートベースVLANと、MAC(Media Access Control)ベースVLANと、タグベースVLANとに分類することができる。   VLAN technology is known as a method of logically dividing a network group. VLANs can be classified into, for example, port-based VLANs, MAC (Media Access Control) -based VLANs, and tag-based VLANs.

ポートベースVLANは、中継装置のポート毎にVLAN番号を割り当ててVLANを構築する技術である。MACベースVLANは、端末のMACアドレス毎にVLAN番号を割り当ててVLANを構築する技術である。   The port-based VLAN is a technology for constructing a VLAN by assigning a VLAN number to each port of the relay device. The MAC-based VLAN is a technology for constructing a VLAN by assigning a VLAN number to each MAC address of a terminal.

タグベースVLANは、ポートベースVLANやMACベースVLANの欠点である中継装置間の回線増大化を防ぐために工夫された技術であり、中継装置間のデータ転送に、IEEE802.1Qに従ったフレームを使用するものである。   Tag-based VLAN is a technology devised to prevent an increase in the line between relay devices, which is a disadvantage of port-based VLAN and MAC-based VLAN, and uses frames conforming to IEEE802.1Q for data transfer between relay devices. To do.

IEEE802.1Qに従ったフレームは、ネットワークの基本であるIEEE802.3に従ったフレームにVLAN番号を記述したVLANタグ情報を付加したフレームである。   The frame according to IEEE802.1Q is a frame in which VLAN tag information describing a VLAN number is added to a frame according to IEEE802.3, which is the basic of the network.

図7はIEEE802.3に従ったフレームの構成図である。即ち、IEEE802.3に従ったフレームは、「プリアンブル→ 送信先MACアドレス→送信元MACアドレス→長さ→IP(Internet Protocol)パケット→FCS(Frame Check Sequence)」という構成を持つ。   FIG. 7 is a configuration diagram of a frame according to IEEE 802.3. That is, a frame according to IEEE 802.3 has a configuration of “preamble → destination MAC address → source MAC address → length → IP (Internet Protocol) packet → FCS (Frame Check Sequence)”.

「プリアンブル」部は、フレームの先頭を示す値が入る部分である。「送信先MACアドレス」部は、フレームを送信する相手側の機器のMACアドレス値が入る部分である。「送信元MACアドレス」部は、フレームを送信した側の機器のMACアドレス値が入る部分である。   The “preamble” portion is a portion in which a value indicating the head of the frame is entered. The “destination MAC address” portion is a portion in which the MAC address value of the counterpart device that transmits the frame is entered. The “transmission source MAC address” portion is a portion in which the MAC address value of the device that has transmitted the frame is entered.

「長さ」部は、フレームの長さを示す値が入る部分である。「IPパケット」部は、送信元/送信先IPアドレス、パケット長などのIPヘッダおよびデータが入る部分である。「FCS」部は、フレームのヘッダ部とデータ部に誤りがないかどうかを検出するためのCRC(Cyclic Redundancy Check:巡回冗長検査)符号が入る部分である。   The “length” portion is a portion where a value indicating the length of the frame is entered. The “IP packet” portion is a portion in which an IP header and data such as a source / destination IP address and a packet length are entered. The “FCS” part is a part where a CRC (Cyclic Redundancy Check) code for detecting whether or not there is an error in the header part and the data part of the frame.

図8はIEEE802.1Qに従ったフレームの構成図である。即ち、IEEE802.1Qに従ったフレームは、「プリアンブル→ 送信先MACアドレス→送信元MACアドレス→VLANタグ情報→長さ→IPパケット→FCS」という構成を持つ。   FIG. 8 is a configuration diagram of a frame according to IEEE802.1Q. That is, the frame according to IEEE802.1Q has a configuration of “preamble → destination MAC address → source MAC address → VLAN tag information → length → IP packet → FCS”.

「VLANタグ情報」部は、VLAN番号を記述したVLANタグ情報が入る部分である。VLANタグ情報は4バイトとされているが、12ビットがVLAN番号として使用される。したがって、最大で4096個のVLANを識別することができることになる。なお、「VLANタグ情報」部が挿入されるので、「FCS」部には再計算された値が入ることになる。   The “VLAN tag information” portion is a portion in which VLAN tag information describing a VLAN number is entered. The VLAN tag information is 4 bytes, but 12 bits are used as the VLAN number. Therefore, a maximum of 4096 VLANs can be identified. Since the “VLAN tag information” part is inserted, a recalculated value is entered in the “FCS” part.

図9はポートベースVLANの構成例を示す図である。図9中、1a〜3a、1b〜3bは端末であるパーソナルコンピュータ(以下、PCという)、4a、4bは中継装置であるスイッチ、5a〜10aはスイッチ4aのポート、5b〜10bはスイッチ4bのポート、11a〜13a、11b〜13b、14〜16はLANケーブルである。   FIG. 9 is a diagram illustrating a configuration example of a port-based VLAN. In FIG. 9, 1a to 3a, 1b to 3b are personal computers (hereinafter referred to as PCs) which are terminals, 4a and 4b are switches which are relay devices, 5a to 10a are ports of the switch 4a, and 5b to 10b are switches of the switch 4b. Ports 11a to 13a, 11b to 13b, and 14 to 16 are LAN cables.

この構成例では、PC1aは、LANケーブル11aでスイッチ4aのポート5aに接続されている。PC2aは、LANケーブル12aでスイッチ4aのポート6aに接続されている。PC3aは、LANケーブル13aでスイッチ4aのポート7aに接続されている。   In this configuration example, the PC 1a is connected to the port 5a of the switch 4a by a LAN cable 11a. The PC 2a is connected to the port 6a of the switch 4a with a LAN cable 12a. The PC 3a is connected to the port 7a of the switch 4a by a LAN cable 13a.

また、PC1bは、LANケーブル11bでスイッチ4bのポート5bに接続されている。PC2bは、LANケーブル12bでスイッチ4bのポート6bに接続されている。PC3bは、LANケーブル13bでスイッチ4bのポート7bに接続されている。   The PC 1b is connected to the port 5b of the switch 4b with a LAN cable 11b. The PC 2b is connected to the port 6b of the switch 4b with a LAN cable 12b. The PC 3b is connected to the port 7b of the switch 4b with a LAN cable 13b.

また、スイッチ4aのポート8aとスイッチ4bのポート8bはLANケーブル14で接続されている。スイッチ4aのポート9aとスイッチ4bのポート9bはLANケーブル15で接続されている。スイッチ4aのポート10aとスイッチ4bのポート10bはLANケーブル16で接続されている。   The port 8a of the switch 4a and the port 8b of the switch 4b are connected by a LAN cable 14. The port 9a of the switch 4a and the port 9b of the switch 4b are connected by a LAN cable 15. The port 10a of the switch 4a and the port 10b of the switch 4b are connected by a LAN cable 16.

ここで、たとえば、スイッチ4aのポート5a、8aおよびスイッチ4bのポート5b、8bにVLAN1を指定するVLAN番号を割り当て、スイッチ4aのポート6a、9aおよびスイッチ4bのポート6b、9bにVLAN2を指定するVLAN番号を割り当て、スイッチ4aのポート7a、10aおよびスイッチ4bのポート7b、10bにVLAN3を指定するVLAN番号を割り当てるとする。   Here, for example, a VLAN number designating VLAN1 is assigned to ports 5a and 8a of switch 4a and ports 5b and 8b of switch 4b, and VLAN2 is designated to ports 6a and 9a of switch 4a and ports 6b and 9b of switch 4b. Assume that a VLAN number is assigned and a VLAN number designating VLAN 3 is assigned to the ports 7a and 10a of the switch 4a and the ports 7b and 10b of the switch 4b.

このようにすると、PC1a、1bは、VLAN1に属し、PC1a、1b間でのみ通信が可能となる。また、PC2a、2bは、VLAN2に属し、PC2a、2b間でのみ通信が可能となる。また、PC3a、3bは、VLAN3に属し、PC3a、3b間でのみ通信が可能となる。   In this way, the PCs 1a and 1b belong to the VLAN 1 and can communicate only between the PCs 1a and 1b. The PCs 2a and 2b belong to the VLAN 2 and can communicate only between the PCs 2a and 2b. Further, the PCs 3a and 3b belong to the VLAN 3 and can communicate only between the PCs 3a and 3b.

この場合、PC1a〜3aとスイッチ4aとの間、PC1b〜3bとスイッチ4bとの間およびスイッチ4aとスイッチ4bとの間の転送フレームの構成は、図7に示す構成に従うことになる。このように、ポートベースVLANにおいては、PCとスイッチとの間およびスイッチとスイッチとの間の転送フレームの構成は、図7に示す構成に従うことになる。   In this case, the configuration of the transfer frame between the PCs 1a to 3a and the switch 4a, between the PCs 1b to 3b and the switch 4b, and between the switch 4a and the switch 4b follows the configuration shown in FIG. Thus, in the port-based VLAN, the configuration of the transfer frame between the PC and the switch and between the switch and the switch follows the configuration shown in FIG.

また、図9に示すポートベースVLANの構成例では、スイッチ4aとスイッチ4bとの間には、3本のLANケーブル14〜16が必要となる。このように、ポートベースVLANにおいては、スイッチ間には、VLAN数と同数の回線が必要になる。   Further, in the configuration example of the port-based VLAN shown in FIG. 9, three LAN cables 14 to 16 are required between the switch 4a and the switch 4b. Thus, in the port-based VLAN, as many lines as the number of VLANs are required between the switches.

図10はタグベースVLANの構成例を示す図である。この構成例では、PC1a〜3aとスイッチ4aとの間およびPC1b〜3bとスイッチ4bとの間の転送フレームは、図7に示す構成に従い、スイッチ4aとスイッチ4bとの間の転送フレームは、図8に示す構成に従うことになる。また、この構成例では、スイッチ4aとスイッチ4bとの間は、1本のLANケーブル14で足りる。   FIG. 10 is a diagram illustrating a configuration example of a tag-based VLAN. In this configuration example, transfer frames between the PCs 1a to 3a and the switch 4a and between the PCs 1b to 3b and the switch 4b follow the configuration shown in FIG. 7, and the transfer frames between the switch 4a and the switch 4b are illustrated in FIG. The configuration shown in FIG. Further, in this configuration example, a single LAN cable 14 is sufficient between the switch 4a and the switch 4b.

このように、タグベースVLANにおいては、PCとスイッチとの間の転送フレームは、図7に示す構成に従い、スイッチとスイッチとの間の転送フレームは、図8に示す構成に従うことになる。また、スイッチ間は、1本の回線で足りる。   Thus, in the tag-based VLAN, the transfer frame between the PC and the switch follows the configuration shown in FIG. 7, and the transfer frame between the switch and the switch follows the configuration shown in FIG. A single line is sufficient between the switches.

図11はスイッチ4aの概略的構成図であり、スイッチ4bも同様に構成される。図11中、18はフレームの送受信および信号処理を行うネットワークLSI、19はメモリ、20a〜23aはPHY(物理層)デバイスである。   FIG. 11 is a schematic configuration diagram of the switch 4a, and the switch 4b is configured similarly. In FIG. 11, 18 is a network LSI that performs frame transmission / reception and signal processing, 19 is a memory, and 20a to 23a are PHY (physical layer) devices.

図12はスイッチ4aが実行するフレーム処理を説明するための図である。図12中、24はスイッチ4aがPC1a〜PC3aのいずれかのPCから受信した受信フレームであり、スイッチ4aでは、PC1a〜PC3aのいずれかのPCからフレーム24を受信すると、受信フレーム24からIPパケットのみを抽出し、再度、送信フレーム25を組み立てる。   FIG. 12 is a diagram for explaining frame processing executed by the switch 4a. In FIG. 12, reference numeral 24 denotes a reception frame received by the switch 4a from any one of the PCs 1a to 3a. When the switch 4a receives the frame 24 from any one of the PCs 1a to 3a, an IP packet is received from the reception frame 24. Only, and the transmission frame 25 is assembled again.

この場合、スイッチ4aは、ポートが持っている情報(送信先MACアドレス、送信元MACアドレスおよびVLANタグ情報)26を使用し、更に、プリアンブルの追加および長さとFCSの計算を行い、送信フレーム25を組み立てることになる。
特開平11−127167号公報 特開平11−74923号公報 特開2000−196647号公報 In this case, the switch 4a uses the information (transmission destination MAC address, transmission source MAC address, and VLAN tag information) 26 that the port has, further adds a preamble and calculates the length and FCS, and transmits the transmission frame 25. Will be assembled.
JP 11-127167 A JP 11-74923 A JP 2000-196647 A

図13および図14は図10に示すタグベースVLANが有する問題点を説明するための図であり、図13は図10に示すタグベースVLANの構成例にVLAN1メンバであるPC1a、PC1bだけアクセスすることができるVLAN1共有サーバ28を接続した場合を示している。   FIGS. 13 and 14 are diagrams for explaining the problems of the tag-based VLAN shown in FIG. 10. FIG. 13 accesses the configuration example of the tag-based VLAN shown in FIG. 10 only to PC1a and PC1b which are VLAN1 members. This shows a case where a VLAN1 shared server 28 capable of being connected is connected.

図14は図13に示すPC1aを不正なPC29に差し替えた場合を示している。この場合、不正なPC29は、VLAN1に属することになり、PC1bとの通信および VLAN1共有サーバ28への侵入が可能になる。   FIG. 14 shows a case where the PC 1a shown in FIG. In this case, the unauthorized PC 29 belongs to the VLAN 1 and can communicate with the PC 1 b and enter the VLAN 1 shared server 28.

ここで、VLAN1共有サーバ28へのアクセスに対して、パスワードなどのアクセス制限を施していても、パスワードなどが見破られない限り、アクセスは拒否されず、誰でも簡単にVLAN1共有サーバ28に侵入することができる。このため、この環境では十分なセキュリティがあるとは言えない。   Here, even if the access to the VLAN 1 shared server 28 is restricted such as a password, the access is not denied unless the password or the like is seen, and anyone can easily enter the VLAN 1 shared server 28. be able to. For this reason, it cannot be said that there is sufficient security in this environment.

たとえば、メンバの再編成などで、VLAN1メンバがVLAN2に異動した場合に、VLAN1共有サーバ28のパスワードを変えない限り、元のVLAN1メンバは、VLAN1のポートにPCを接続するだけで、容易にVLAN1メンバとなることができ、VLAN1共有サーバ28に侵入することが可能となる。そのため、入り口であるVLANのポートに他のVLANメンバが接続した場合、通信ができないようにする工夫が必要である。   For example, when the VLAN1 member is moved to VLAN2 due to reorganization of the member or the like, the original VLAN1 member can easily connect the VLAN1 port to the VLAN1 port by simply connecting a PC to the VLAN1 unless the password of the VLAN1 shared server 28 is changed. It becomes possible to become a member and intrude into the VLAN 1 shared server 28. Therefore, when another VLAN member is connected to the VLAN port which is the entrance, it is necessary to devise so that communication is not possible.

本発明は、かかる点に鑑み、不正な端末による通信を防ぐことができ、タグベースVLANのセキュリティを高めることができるようにしたタグベースVLANのセキュリティ方法、および、このタグベースVLANのセキュリティ方法の実施に使用することができる中継装置を提供することを目的とする。   In view of the above, the present invention provides a tag-based VLAN security method and a tag-based VLAN security method capable of preventing communication by an unauthorized terminal and enhancing tag-based VLAN security. It is an object to provide a relay device that can be used for implementation.

本発明のタグベースVLANのセキュリティ方法は、中継装置に接続された端末の送信フレームにネットワーク管理者が前記端末に設定したVLANタグ情報を含め、前記中継装置は、前記端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致する場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成するというものである。   The tag-based VLAN security method of the present invention includes VLAN tag information set in the terminal by a network administrator in a transmission frame of a terminal connected to the relay apparatus, and the relay apparatus includes a frame in a frame received from the terminal. Only when the VLAN tag information matches the VLAN tag information of the port to which the terminal is connected, a transmission frame corresponding to the frame received from the terminal is recreated.

本発明の中継装置は、端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とを比較する比較手段と、前記端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致したことを前記比較手段が検出した場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成する送信フレーム作成手段とを有するものである。   The relay apparatus according to the present invention includes a comparison unit that compares VLAN tag information in a frame received from a terminal with VLAN tag information held by a port to which the terminal is connected, and VLAN tag information in a frame received from the terminal. A transmission frame creation means for recreating a transmission frame corresponding to a frame received from the terminal only when the comparison means detects that the VLAN tag information of the port to which the terminal is connected matches. Is.

本発明のタグベースVLANのセキュリティ方法によれば、中継装置は、端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致する場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成する。換言すれば、中継装置は、端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致しない場合には、前記端末から受信したフレームに対応する送信フレームを再作成しない。   According to the tag-based VLAN security method of the present invention, the relaying apparatus can be used only when the VLAN tag information in the frame received from the terminal matches the VLAN tag information of the port to which the terminal is connected. The transmission frame corresponding to the frame received from is recreated. In other words, if the VLAN tag information in the frame received from the terminal does not match the VLAN tag information held by the port to which the terminal is connected, the relay device transmits a transmission frame corresponding to the frame received from the terminal. Do not recreate.

即ち、接続先ポートが持つVLANタグ情報の設定がネットワーク管理者により行われていない端末を中継装置に接続しても通信を行うことができない。したがって、不正な端末による通信を防ぐことができ、タグベースVLANのセキュリティを高めることができる。なお、中継装置として、本発明の中継装置を使用することができる。   In other words, communication cannot be performed even if a terminal whose VLAN tag information of the connection destination port is not set by the network administrator is connected to the relay device. Therefore, communication by an unauthorized terminal can be prevented and the security of the tag-based VLAN can be improved. In addition, the relay apparatus of this invention can be used as a relay apparatus.

図1は本発明のタグベースVLANのセキュリティ方法の一実施形態が実施されるタグベースVLANの構成例を示す図である。図1中、31a〜33a、31b〜33bはPC、34a、34bは本発明の中継装置の一実施形態であるスイッチ、35a〜38aはスイッチ34aのポート、35b〜38bはスイッチ34bのポート、41a〜43a、41b〜43b、44はLANケーブルである。   FIG. 1 is a diagram showing a configuration example of a tag-based VLAN in which an embodiment of the tag-based VLAN security method of the present invention is implemented. In FIG. 1, 31a to 33a and 31b to 33b are PCs, 34a and 34b are switches according to an embodiment of the relay apparatus of the present invention, 35a to 38a are ports of the switch 34a, 35b to 38b are ports of the switch 34b, 41a ˜43a, 41b˜43b, 44 are LAN cables.

この構成例では、PC31aは、LANケーブル41aでスイッチ34aのポート35aに接続されている。PC32aは、LANケーブル42aでスイッチ34aのポート36aに接続されている。PC33aは、LANケーブル43aでスイッチ34aのポート37aに接続されている。   In this configuration example, the PC 31a is connected to the port 35a of the switch 34a by a LAN cable 41a. The PC 32a is connected to the port 36a of the switch 34a by a LAN cable 42a. The PC 33a is connected to the port 37a of the switch 34a by a LAN cable 43a.

また、PC31bは、LANケーブル41bでスイッチ34bのポート35bに接続されている。PC32bは、LANケーブル42bでスイッチ34bのポート36bに接続されている。PC33bは、LANケーブル43bでスイッチ34bのポート37bに接続されている。スイッチ34aのポート38aとスイッチ34bのポート38bとはLANケーブル44で接続されている。   The PC 31b is connected to the port 35b of the switch 34b by a LAN cable 41b. The PC 32b is connected to the port 36b of the switch 34b by a LAN cable 42b. The PC 33b is connected to the port 37b of the switch 34b by a LAN cable 43b. The port 38a of the switch 34a and the port 38b of the switch 34b are connected by a LAN cable 44.

本発明のタグベースVLANのセキュリティ方法の一実施形態においては、スイッチ34aとスイッチ34bとの間のみならず、PC31a〜33aとスイッチ34aとの間およびPC31b〜33bとスイッチ34bとの間の転送フレームは、IEEE802.1Qに従った構成とされる。   In one embodiment of the tag-based VLAN security method of the present invention, transfer frames not only between the switch 34a and the switch 34b but also between the PCs 31a to 33a and the switch 34a and between the PCs 31b to 33b and the switch 34b. Is configured in accordance with IEEE802.1Q.

そこで、PC31a〜33a、31b〜33b内のLANカードにはVLANタグ情報がネットワーク管理者により設定される。このネットワーク管理者によるPC31a〜33a、31b〜33b内のLANカードへのVLANタグ情報の設定は、LANカード内の書き換え可能な不揮発性メモリ、たとえば、フラッシュメモリにVLANタグ情報を書き込むことにより行われる。   Therefore, VLAN tag information is set by the network administrator in the LAN cards in the PCs 31a to 33a and 31b to 33b. Setting of the VLAN tag information on the LAN cards in the PCs 31a to 33a and 31b to 33b by the network administrator is performed by writing the VLAN tag information in a rewritable nonvolatile memory such as a flash memory in the LAN card. .

図2はPC31a〜33a、31b〜33b内のLANカードを示す図である。図2中、51aはPC31a内のLANカードであり、61aはCPU(central processing unit)、71aはCPU61aによりアクセスされるフラッシュメモリである。52aはPC32a内のLANカードであり、62aはCPU、72aはCPU62aによりアクセスされるフラッシュメモリである。53aはPC33a内のLANカードであり、63aはCPU、73aはCPU63aによりアクセスされるフラッシュメモリである。   FIG. 2 is a diagram showing LAN cards in the PCs 31a to 33a and 31b to 33b. In FIG. 2, 51a is a LAN card in the PC 31a, 61a is a CPU (central processing unit), and 71a is a flash memory accessed by the CPU 61a. 52a is a LAN card in the PC 32a, 62a is a CPU, and 72a is a flash memory accessed by the CPU 62a. 53a is a LAN card in the PC 33a, 63a is a CPU, and 73a is a flash memory accessed by the CPU 63a.

また、51bはPC31b内のLANカードであり、61bはCPU、71bはCPU61bによりアクセスされるフラッシュメモリである。52bはPC32b内のLANカードであり、62bはCPU、72bはCPU62bによりアクセスされるフラッシュメモリである。53bはPC33b内のLANカードであり、63bはCPU、73bはCPU63bによりアクセスされるフラッシュメモリである。   Reference numeral 51b denotes a LAN card in the PC 31b, 61b denotes a CPU, and 71b denotes a flash memory accessed by the CPU 61b. 52b is a LAN card in the PC 32b, 62b is a CPU, and 72b is a flash memory accessed by the CPU 62b. 53b is a LAN card in the PC 33b, 63b is a CPU, and 73b is a flash memory accessed by the CPU 63b.

本例では、PC31a、31bはVLAN1に属させ、PC32a、32bはVLAN2に属させ、PC33a、33bはVLAN3に属させるものとする。このようにさせる場合には、LANカード51a内のフラッシュメモリ71aおよびLANカード51b内のフラッシュメモリ71bには、ネットワーク管理者により、ネットワーク管理者のコンピュータとPC31a、31bとの間の通信回線を介してVLAN1を指定するVLAN番号が記述されたVLANタグ情報が書き込まれる。   In this example, the PCs 31a and 31b belong to the VLAN 1, the PCs 32a and 32b belong to the VLAN 2, and the PCs 33a and 33b belong to the VLAN 3. In this case, the flash memory 71a in the LAN card 51a and the flash memory 71b in the LAN card 51b are connected to the flash memory 71b in the LAN card 51b via a communication line between the network administrator's computer and the PCs 31a and 31b. VLAN tag information describing the VLAN number designating VLAN1 is written.

また、LANカード52a内のフラッシュメモリ72aおよびLANカード52b内のフラッシュメモリ72bには、ネットワーク管理者により、ネットワーク管理者のコンピュータとPC32a、32bとの間の通信回線を介してVLAN2を指定するVLAN番号が記述されたVLANタグ情報が書き込まれる。   The flash memory 72a in the LAN card 52a and the flash memory 72b in the LAN card 52b are VLANs in which the network administrator designates VLAN 2 via a communication line between the network administrator's computer and the PCs 32a and 32b. VLAN tag information in which a number is described is written.

また、LANカード53a内のフラッシュメモリ73aおよびLANカード53b内のフラッシュメモリ73bには、ネットワーク管理者により、ネットワーク管理者のコンピュータとPC33a、33bとの間の通信回線を介してVLAN3を指定するVLAN番号が記述されたVLANタグ情報が書き込まれる。   Further, the flash memory 73a in the LAN card 53a and the flash memory 73b in the LAN card 53b are VLANs in which the network administrator designates VLAN 3 via a communication line between the network administrator's computer and the PCs 33a and 33b. VLAN tag information in which a number is described is written.

このように、本実施形態では、LANカード51a〜53a、51b〜53bへのVLANタグ情報の設定は、ネットワーク管理者により、ネットワーク管理者のコンピュータとPC31a〜33a、31b〜33bとの間の通信回線を介して行われるので、ユーザがLANカード51a〜53a、51b〜53b内のフラッシュメモリ71a〜73a、71b〜73bにVLANタグ情報を書き込むことはできない。   Thus, in this embodiment, the setting of VLAN tag information on the LAN cards 51a to 53a and 51b to 53b is performed by the network administrator between the network administrator's computer and the PCs 31a to 33a and 31b to 33b. Since it is performed via a line, the user cannot write VLAN tag information in the flash memories 71a to 73a and 71b to 73b in the LAN cards 51a to 53a and 51b to 53b.

図3はPC31a〜33a、31b〜33bの送信フレーム例を示す図であり(A)はPC31a、31bの送信フレーム例、(B)はPC32a、32bの送信フレーム例、(C)はPC33a、33bの送信フレーム例を示している。   3A and 3B are diagrams showing transmission frame examples of the PCs 31a to 33a and 31b to 33b. FIG. 3A is a transmission frame example of the PCs 31a and 31b, FIG. 3B is a transmission frame example of the PCs 32a and 32b, and FIG. An example of a transmission frame is shown.

本例では、PC31a、31bは、VLAN1に属しているので、図3(A)に示すように、VLAN1を指定するVLAN番号が記述されたVLANタグ情報を挿入してなるIEEE802.1Qに従ったフレームを送信する。PC31aの送信フレームへのVLANタグ情報の挿入は、LANカード51a内のCPU61aにより行われ、PC31bの送信フレームへのVLANタグ情報の挿入は、LANカード51b内のCPU51bにより行われる。   In this example, since the PCs 31a and 31b belong to the VLAN 1, as shown in FIG. 3A, conforming to IEEE802.1Q in which the VLAN tag information in which the VLAN number designating the VLAN 1 is described is inserted. Send a frame. The insertion of the VLAN tag information into the transmission frame of the PC 31a is performed by the CPU 61a in the LAN card 51a, and the insertion of the VLAN tag information into the transmission frame of the PC 31b is performed by the CPU 51b in the LAN card 51b.

また、PC32a、32bは、VLAN2に属しているので、図3(B)に示すように、VLAN2を指定するVLAN番号が記述されたVLANタグ情報を挿入してなるIEEE802.1Qに従ったフレームを送信する。PC32aの送信フレームへのVLANタグ情報の挿入は、LANカード52a内のCPU62aにより行われ、PC32bの送信フレームへのVLANタグ情報の挿入は、LANカード52b内のCPU62bにより行われる。   Since the PCs 32a and 32b belong to the VLAN 2, as shown in FIG. 3B, a frame conforming to IEEE802.1Q in which the VLAN tag information in which the VLAN number designating the VLAN 2 is described is inserted. Send. The insertion of the VLAN tag information into the transmission frame of the PC 32a is performed by the CPU 62a in the LAN card 52a, and the insertion of the VLAN tag information into the transmission frame of the PC 32b is performed by the CPU 62b in the LAN card 52b.

また、PC33a、33bは、VLAN3に属しているので、図3(C)に示すように、VLAN3を指定するVLAN番号が記述されたVLANタグ情報を挿入してなるIEEE802.1Qに従ったフレームを送信する。PC33aの送信フレームへのVLANタグ情報の挿入は、LANカード53a内のCPU63aにより行われ、PC33bの送信フレームへのVLANタグ情報の挿入は、LANカード53b内のCPU63bにより行われる。   Further, since the PCs 33a and 33b belong to the VLAN 3, as shown in FIG. 3C, a frame conforming to IEEE802.1Q formed by inserting VLAN tag information in which the VLAN number designating the VLAN 3 is described. Send. The insertion of the VLAN tag information into the transmission frame of the PC 33a is performed by the CPU 63a in the LAN card 53a, and the insertion of the VLAN tag information into the transmission frame of the PC 33b is performed by the CPU 63b in the LAN card 53b.

図4はスイッチ34aの概略的構成図であり、スイッチ34bも同様に構成される。図4中、80はフレームの送受信および信号処理を行うネットワークLSI、81はネットワークLSI80内のCPU、82はSDRAM(synchronous dynamic random access memory)、83はフラッシュメモリ、84は比較器、85a〜88aはPHY(物理層)デバイスである。   FIG. 4 is a schematic configuration diagram of the switch 34a, and the switch 34b is configured similarly. In FIG. 4, reference numeral 80 denotes a network LSI that performs frame transmission / reception and signal processing, 81 denotes a CPU in the network LSI 80, 82 denotes an SDRAM (synchronous dynamic random access memory), 83 denotes a flash memory, 84 denotes a comparator, and 85a to 88a denote It is a PHY (physical layer) device.

本例では、PC31aはVLAN1に属し、PC32aはVLAN2に属し、PC33aはVLAN3に属するとされているので、ネットワーク管理者により、フラッシュメモリ83には、ポート35aが持つVLAN番号としてVLAN1を指定するVLAN番号が書き込まれ、ポート36aが持つVLAN番号としてVLAN2を指定するVLAN番号が書き込まれ、ポート37aが持つVLAN番号としてVLAN3を指定するVLAN番号が書き込まれる。   In this example, the PC 31a belongs to VLAN 1, the PC 32a belongs to VLAN 2, and the PC 33a belongs to VLAN 3. Therefore, the network administrator designates VLAN 1 as the VLAN number of the port 35a in the flash memory 83 by the network administrator. The number is written, the VLAN number specifying VLAN2 is written as the VLAN number of the port 36a, and the VLAN number specifying VLAN3 is written as the VLAN number of the port 37a.

また、スイッチ34aと同様に構成されるスイッチ34b内のフラッシュメモリには、ネットワーク管理者により、ポート35bが持つVLAN番号としてVLAN1を指定するVLAN番号が書き込まれ、ポート36bが持つVLAN番号としてVLAN2を指定するVLAN番号が書き込まれ、ポート37bが持つVLAN番号としてVLAN3を指定するVLAN番号が書き込まれる。   In the flash memory in the switch 34b configured similarly to the switch 34a, a VLAN number designating VLAN1 is written as the VLAN number of the port 35b by the network administrator, and VLAN2 is set as the VLAN number of the port 36b. The designated VLAN number is written, and the VLAN number that designates VLAN 3 is written as the VLAN number of the port 37b.

ここで、スイッチ34aは、ポート35aに接続されたPCから受信したフレーム内のVLANタグ情報とポート35aが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート35aに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34bに送信する。なお、スイッチ34aは、ポート35aに接続されたPCから受信したフレーム内のVLANタグ情報とポート35aが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。   Here, the switch 34a compares the VLAN tag information in the frame received from the PC connected to the port 35a with the VLAN tag information held by the port 35a, and connects to the port 35a only when they match. A transmission frame corresponding to the frame received from the received PC is recreated and transmitted to the switch 34b. The switch 34a discards the received frame when the VLAN tag information in the frame received from the PC connected to the port 35a does not match the VLAN tag information held by the port 35a.

また、スイッチ34aは、ポート36aに接続されたPCから受信したフレーム内のVLANタグ情報とポート36aが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート36aに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34bに送信する。なお、スイッチ34aは、ポート36aに接続されたPCから受信したフレーム内のVLANタグ情報とポート36aが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。   The switch 34a compares the VLAN tag information in the frame received from the PC connected to the port 36a with the VLAN tag information held by the port 36a, and is connected to the port 36a only when they match. The transmission frame corresponding to the frame received from the PC is recreated and transmitted to the switch 34b. The switch 34a discards the received frame when the VLAN tag information in the frame received from the PC connected to the port 36a does not match the VLAN tag information held by the port 36a.

また、スイッチ34aは、ポート37aに接続されたPCから受信したフレーム内のVLANタグ情報とポート37aが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート37aに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34bに送信する。なお、スイッチ34aは、ポート35aに接続されたPCから受信したフレーム内のVLANタグ情報とポート37aが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。   The switch 34a compares the VLAN tag information in the frame received from the PC connected to the port 37a with the VLAN tag information held by the port 37a, and is connected to the port 37a only when they match. The transmission frame corresponding to the frame received from the PC is recreated and transmitted to the switch 34b. Note that the switch 34a discards the received frame when the VLAN tag information in the frame received from the PC connected to the port 35a does not match the VLAN tag information held by the port 37a.

また、スイッチ34bは、ポート35bに接続されたPCから受信したフレーム内のVLANタグ情報とポート35bが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート35bに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34aに送信する。なお、スイッチ34bは、ポート35bに接続されたPCから受信したフレーム内のVLANタグ情報とポート35bが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。   The switch 34b compares the VLAN tag information in the frame received from the PC connected to the port 35b with the VLAN tag information held by the port 35b, and is connected to the port 35b only when they match. The transmission frame corresponding to the frame received from the PC is recreated and transmitted to the switch 34a. The switch 34b discards the received frame when the VLAN tag information in the frame received from the PC connected to the port 35b does not match the VLAN tag information held by the port 35b.

また、スイッチ34bは、ポート36bに接続されたPCから受信したフレーム内のVLANタグ情報とポート36bが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート36bに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34aに送信する。なお、スイッチ34bは、ポート36bに接続されたPCから受信したフレーム内のVLANタグ情報とポート36bが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。   The switch 34b compares the VLAN tag information in the frame received from the PC connected to the port 36b with the VLAN tag information held by the port 36b, and is connected to the port 36b only when they match. The transmission frame corresponding to the frame received from the PC is recreated and transmitted to the switch 34a. Note that the switch 34b discards the received frame when the VLAN tag information in the frame received from the PC connected to the port 36b does not match the VLAN tag information held by the port 36b.

また、スイッチ34bは、ポート37bに接続されたPCから受信したフレーム内のVLANタグ情報とポート37bが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート37bに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34aに送信する。なお、スイッチ34bは、ポート37bに接続されたPCから受信したフレーム内のVLANタグ情報とポート37bが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。   The switch 34b compares the VLAN tag information in the frame received from the PC connected to the port 37b with the VLAN tag information held by the port 37b, and is connected to the port 37b only when they match. The transmission frame corresponding to the frame received from the PC is recreated and transmitted to the switch 34a. Note that the switch 34b discards the received frame when the VLAN tag information in the frame received from the PC connected to the port 37b does not match the VLAN tag information held by the port 37b.

図5はスイッチ34aが実行するフレーム処理例を説明するための図であり、スイッチ34aのポート35aにVLAN1に属するPC31aが接続されている場合である。図5中、90はスイッチ34aがPC31aから受信したフレームであり、スイッチ34aは、PC31aからフレーム90を受信すると、この受信したフレーム90からVLANタグ情報とIPパケットのみを抽出し、比較器74において、受信フレーム90から抽出したVLANタグ情報91とポート35aが持っているVLANタグ情報92とを比較する。   FIG. 5 is a diagram for explaining an example of frame processing executed by the switch 34a, in which the PC 31a belonging to the VLAN 1 is connected to the port 35a of the switch 34a. In FIG. 5, reference numeral 90 denotes a frame received by the switch 34a from the PC 31a. When the switch 34a receives the frame 90 from the PC 31a, the switch 34a extracts only the VLAN tag information and the IP packet from the received frame 90. The VLAN tag information 91 extracted from the received frame 90 is compared with the VLAN tag information 92 possessed by the port 35a.

本例の場合には、受信フレーム90から抽出したVLANタグ情報91内のVLAN番号と、ポート35aが持っているVLANタグ情報92内のVLAN番号とは、共にVLAN1を指定するVLAN番号であるから、受信フレーム90から抽出したVLANタグ情報91とポート35aが持っているVLANタグ情報92は一致する。   In the case of this example, the VLAN number in the VLAN tag information 91 extracted from the received frame 90 and the VLAN number in the VLAN tag information 92 possessed by the port 35a are both VLAN numbers that specify VLAN1. The VLAN tag information 91 extracted from the received frame 90 matches the VLAN tag information 92 held by the port 35a.

したがって、この場合には、再度、ネットワークLSI80において送信フレーム93が組み立てられる。具体的には、スイッチ34aは、従来の場合と同様に、ポート35aが持っている情報(送信先MACアドレス、送信元MACアドレスおよびVLANタグ情報)を使用し、更に、プリアンブルの追加と、長さとFCSの計算を行い、送信フレーム93を組み立てることになる。   Therefore, in this case, the transmission frame 93 is assembled again in the network LSI 80. Specifically, the switch 34a uses the information (transmission destination MAC address, transmission source MAC address, and VLAN tag information) held by the port 35a as in the conventional case, and further adds a preamble, FCS is calculated and the transmission frame 93 is assembled.

図6はスイッチ34aが実行するフレーム処理例を説明するための図であり、スイッチ34aのポート35aにVLAN2に属するPC32aが接続された場合である。図6中、94はポート35aに接続されたPC32aから受信したフレームであり、スイッチ34aは、PC32aからフレーム94を受信すると、この受信フレーム94からVLANタグ情報とIPパケットのみを抽出し、比較器74において、受信フレーム94から抽出したVLANタグ情報95とポート35aが持っているVLANタグ情報92とを比較する。   FIG. 6 is a diagram for explaining an example of frame processing executed by the switch 34a, in which the PC 32a belonging to the VLAN 2 is connected to the port 35a of the switch 34a. In FIG. 6, reference numeral 94 denotes a frame received from the PC 32a connected to the port 35a. When the switch 34a receives the frame 94 from the PC 32a, it extracts only the VLAN tag information and the IP packet from the received frame 94, and a comparator. At 74, the VLAN tag information 95 extracted from the received frame 94 is compared with the VLAN tag information 92 possessed by the port 35a.

本例の場合、受信フレーム94から抽出したVLANタグ情報95内のVLAN番号はVLAN2を指定するVLAN番号であり、ポート35aが持っているVLANタグ情報92はVLAN1を指定するVLAN番号であるから、受信フレーム94から抽出したVLANタグ情報95とポート35aが持っているVLANタグ情報92は一致しない。この場合には、受信フレーム94に対応する送信フレームが再作成されることはなく、受信フレーム94は破棄される。   In the case of this example, the VLAN number in the VLAN tag information 95 extracted from the received frame 94 is a VLAN number that specifies VLAN2, and the VLAN tag information 92 that the port 35a has is a VLAN number that specifies VLAN1. The VLAN tag information 95 extracted from the received frame 94 and the VLAN tag information 92 held by the port 35a do not match. In this case, the transmission frame corresponding to the reception frame 94 is not recreated, and the reception frame 94 is discarded.

以上のように、本発明のタグベースVLANのセキュリティ方法の一実施形態においては、スイッチ34aは、PC31a〜33aから受信したフレーム内のVLANタグ情報とPC31a〜33aが接続されたポートが持つVLANタグ情報とが一致する場合にのみ、PC31a〜33aから受信したフレームに対応する送信フレームを再作成し、これをスイッチ34bに送信する。   As described above, in one embodiment of the tag-based VLAN security method of the present invention, the switch 34a includes the VLAN tag information in the frame received from the PCs 31a to 33a and the VLAN tag possessed by the port to which the PCs 31a to 33a are connected. Only when the information matches, the transmission frame corresponding to the frame received from the PCs 31a to 33a is recreated and transmitted to the switch 34b.

換言すれば、スイッチ34aは、PC31a〜33aから受信したフレーム内のVLANタグ情報とPC31a〜33aが接続されたポートが持つVLANタグ情報とが一致しない場合には、PC31a〜33aから受信したフレームに対応する送信フレームを再作成しない。   In other words, when the VLAN tag information in the frames received from the PCs 31a to 33a does not match the VLAN tag information held by the port to which the PCs 31a to 33a are connected, the switch 34a changes the frame received from the PCs 31a to 33a. Do not recreate the corresponding transmission frame.

即ち、スイッチ34aのポート35a〜37aのいずれかに接続したPCは、その接続先のポートが持つVLANタグ情報の設定をネットワーク管理者により行われていない場合には、他のPCと通信を行うことができない。   That is, the PC connected to any of the ports 35a to 37a of the switch 34a communicates with other PCs if the VLAN tag information of the connection destination port is not set by the network administrator. I can't.

また、スイッチ34bは、PC31b〜33bから受信したフレーム内のVLANタグ情報とPC31b〜33bが接続されたポートが持つVLANタグ情報とが一致する場合にのみ、PC31b〜33bから受信したフレームに対応する送信フレームを再作成し、これをスイッチ34aに送信する。   The switch 34b corresponds to the frame received from the PCs 31b to 33b only when the VLAN tag information in the frame received from the PCs 31b to 33b matches the VLAN tag information of the port to which the PCs 31b to 33b are connected. The transmission frame is recreated and transmitted to the switch 34a.

換言すれば、スイッチ34bは、PC31b〜33bから受信したフレーム内のVLANタグ情報とPC31b〜33bが接続されたポートが持つVLANタグ情報とが一致しない場合には、PC31b〜33bから受信したフレームに対応する送信フレームを再作成しない。   In other words, if the VLAN tag information in the frames received from the PCs 31b to 33b does not match the VLAN tag information held by the port to which the PCs 31b to 33b are connected, the switch 34b updates the frames received from the PCs 31b to 33b. Do not recreate the corresponding transmission frame.

即ち、スイッチ34bのポート35b〜37bのいずれかに接続したPCは、その接続先のポートが持つVLANタグ情報の設定をネットワーク管理者により行われていない場合には、他のPCと通信を行うことができない。   That is, the PC connected to any of the ports 35b to 37b of the switch 34b communicates with other PCs if the VLAN tag information of the connection destination port is not set by the network administrator. I can't.

したがって、本発明のタグベースVLANのセキュリティ方法の一実施形態によれば、不正なPCによる通信を防ぐことができ、タグベースVLANのセキュリティを高めることができる。   Therefore, according to an embodiment of the tag-based VLAN security method of the present invention, it is possible to prevent communication by an unauthorized PC and to enhance the security of the tag-based VLAN.

本発明のタグベースVLANのセキュリティ方法の一実施形態が実施されるタグベースVLANの構成例を示す図である。It is a figure which shows the structural example of the tag base VLAN by which one Embodiment of the security method of the tag base VLAN of this invention is implemented. 図1に示すタグベースVLANが備えるパーソナルコンピュータ内のLANカードを示す図である。It is a figure which shows the LAN card in the personal computer with which the tag base VLAN shown in FIG. 1 is provided. 図1に示すタグベースVLANが備えるパーソナルコンピュータの送信フレーム例を示す図である。It is a figure which shows the example of a transmission frame of the personal computer with which the tag base VLAN shown in FIG. 1 is provided. 本発明の中継装置の一実施形態であるスイッチの概略的構成図である。It is a schematic block diagram of the switch which is one Embodiment of the relay apparatus of this invention. 本発明の中継装置の一実施形態であるスイッチが実行するフレーム処理例を説明するための図である。It is a figure for demonstrating the example of a frame process which the switch which is one Embodiment of the relay apparatus of this invention performs. 本発明の中継装置の一実施形態であるスイッチが実行するフレーム処理例を説明するための図である。It is a figure for demonstrating the example of a frame process which the switch which is one Embodiment of the relay apparatus of this invention performs. IEEE802.3に従ったフレームの構成図である。It is a block diagram of the frame according to IEEE802.3. IEEE802.1Qに従ったフレームの構成図である。It is a block diagram of a frame according to IEEE802.1Q. ポートベースVLANの構成例を示す図である。It is a figure which shows the structural example of a port base VLAN. タグベースVLANの構成例を示す図である。It is a figure which shows the structural example of a tag base VLAN. 図10に示すタグベースVLANが備えるスイッチの概略的構成図である。It is a schematic block diagram of the switch with which the tag base VLAN shown in FIG. 10 is provided. 図10に示すタグベースVLANが備えるスイッチが実行するフレーム処理を説明するための図である。It is a figure for demonstrating the frame process which the switch with which the tag base VLAN shown in FIG. 10 is provided. 図10に示すタグベースVLANが有する問題点を説明するための図である。It is a figure for demonstrating the problem which the tag base VLAN shown in FIG. 10 has. 図10に示すタグベースVLANが有する問題点を説明するための図である。It is a figure for demonstrating the problem which the tag base VLAN shown in FIG. 10 has.

符号の説明Explanation of symbols

1a〜3a、1b〜3b…パーソナルコンピュータ(PC)
4a、4b…スイッチ
5a〜10a、5b〜10b…ポート
11a〜13a、11b〜13b、14〜16…LANケーブル
18…ネットワークLSI
19…メモリ
20a〜23a…PHY(物理層)デバイス
24…受信フレーム
25…送信フレーム
26…スイッチのポートが持っている情報
28…VLAN1共有サーバ
29…不正なパーソナルコンピュータ(不正なPC)
31a〜33a、31b〜33b…パーソナルコンピュータ(PC)
34a、34b…スイッチ(本発明の中継装置の一実施形態)
35a〜38a、35b〜38b…ポート
41a〜43a、41b〜43b、44…LANケーブル
51a〜53a、51b〜53b…LANカード
61a〜63a、61b〜63b…CPU
71a〜73a、71b〜73b…フラッシュメモリ
80…ネットワークLSI
81…CPU
82…SDRAM
83…フラッシュメモリ
84…比較器
85a〜88a…PHY(物理層)デバイス
90…受信フレーム
91、92…VLANタグ情報
93…送信フレーム
94…受信フレーム
95…VLANタグ情報 1a-3a, 1b-3b ... Personal computer (PC)
4a, 4b ... switches 5a-10a, 5b-10b ... ports 11a-13a, 11b-13b, 14-16 ... LAN cables 18 ... network LSI
DESCRIPTION OF SYMBOLS 19 ... Memory 20a-23a ... PHY (physical layer) device 24 ... Reception frame 25 ... Transmission frame 26 ... Information which the port of a switch has 28 ... VLAN1 shared server 29 ... Unauthorized personal computer (illegal PC)
31a-33a, 31b-33b ... Personal computer (PC)
34a, 34b ... switches (one embodiment of the relay device of the present invention)
35a-38a, 35b-38b ... Ports 41a-43a, 41b-43b, 44 ... LAN cables 51a-53a, 51b-53b ... LAN cards 61a-63a, 61b-63b ... CPU
71a to 73a, 71b to 73b ... flash memory 80 ... network LSI
81 ... CPU
82 ... SDRAM
83 ... Flash memory 84 ... Comparator 85a to 88a ... PHY (physical layer) device 90 ... Reception frame 91, 92 ... VLAN tag information 93 ... Transmission frame 94 ... Reception frame 95 ... VLAN tag information

Claims (2)

中継装置に接続された端末の送信フレームにネットワーク管理者が前記端末に設定したVLANタグ情報を含め、
前記中継装置は、前記端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致する場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成すること
を特徴とするタグベースVLANのセキュリティ方法。 Including the VLAN tag information set in the terminal by the network administrator in the transmission frame of the terminal connected to the relay device,
The relay apparatus retransmits a transmission frame corresponding to the frame received from the terminal only when the VLAN tag information in the frame received from the terminal matches the VLAN tag information held by the port to which the terminal is connected. A tag-based VLAN security method comprising: creating a tag-based VLAN. 端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とを比較する比較手段と、
前記端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致したことを前記比較手段が検出した場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成する送信フレーム作成手段と、
を有することを特徴とする中継装置。 Comparison means for comparing the VLAN tag information in the frame received from the terminal with the VLAN tag information of the port to which the terminal is connected;
A transmission corresponding to the frame received from the terminal only when the comparison means detects that the VLAN tag information in the frame received from the terminal matches the VLAN tag information of the port to which the terminal is connected. A transmission frame creation means for re-creating a frame;
A relay apparatus comprising:
JP2007196832A 2007-07-30 2007-07-30 Method of security and relay device for tag-base vlan(virtual lan) Pending JP2009033577A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007196832A JP2009033577A (en) 2007-07-30 2007-07-30 Method of security and relay device for tag-base vlan(virtual lan)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007196832A JP2009033577A (en) 2007-07-30 2007-07-30 Method of security and relay device for tag-base vlan(virtual lan)

Publications (1)

Publication Number Publication Date
JP2009033577A true JP2009033577A (en) 2009-02-12

Family

ID=40403564

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007196832A Pending JP2009033577A (en) 2007-07-30 2007-07-30 Method of security and relay device for tag-base vlan(virtual lan)

Country Status (1)

Country Link
JP (1) JP2009033577A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102333099A (en) * 2011-10-27 2012-01-25 杭州华三通信技术有限公司 Security control method and equipment
JP2013207784A (en) * 2012-03-29 2013-10-07 Fujitsu Ltd Communication interface device, program thereof, and virtual network construction method
US11962433B2 (en) 2020-03-16 2024-04-16 Sumitomo Electric Industries, Ltd. Switch device, in-vehicle communication system, and communication method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102333099A (en) * 2011-10-27 2012-01-25 杭州华三通信技术有限公司 Security control method and equipment
JP2013207784A (en) * 2012-03-29 2013-10-07 Fujitsu Ltd Communication interface device, program thereof, and virtual network construction method
US11962433B2 (en) 2020-03-16 2024-04-16 Sumitomo Electric Industries, Ltd. Switch device, in-vehicle communication system, and communication method

Similar Documents

Publication Publication Date Title
US10708245B2 (en) MACsec for encrypting tunnel data packets
US8189600B2 (en) Method for IP routing when using dynamic VLANs with web based authentication
US10333897B2 (en) Distributed firewalls and virtual network services using network packets with security tags
US9609021B2 (en) System and method for securing virtualized networks
CN107104872B (en) Access control method, device and system
JP6032278B2 (en) LAN multiplexer
US9237098B2 (en) Media access control (MAC) address summation in Datacenter Ethernet networking
US8335918B2 (en) MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network
US8320374B2 (en) Method and apparatus for improved multicast routing
US20030185220A1 (en) Dynamically loading parsing capabilities
US8699492B2 (en) Method and apparatus for simulating IP multinetting
US20140211808A1 (en) Switch with dual-function management port
US20060235995A1 (en) Method and system for implementing a high availability VLAN
CN109150673B (en) Message encapsulation method, device and system based on BRAS (broadband remote Access Server) system
TW201208302A (en) An IP-closed circuit system and method
JP2019515608A (en) Access control
CN110768884B (en) VXLAN message encapsulation and policy execution method, equipment and system
JP4920878B2 (en) Authentication system, network line concentrator, authentication method used therefor, and program thereof
US7248582B2 (en) Method and system for labeling data in a communications system
JP2009033577A (en) Method of security and relay device for tag-base vlan(virtual lan)
JP7322088B2 (en) Packet detection method and first network device
EP4117242A1 (en) Message detection method, device and system
US10574596B2 (en) Software defined networking FCoE initialization protocol snooping bridge system
US11962433B2 (en) Switch device, in-vehicle communication system, and communication method
JP2006279801A (en) Packet processing apparatus