JP2016134733A - Network system and server device - Google Patents
Network system and server device Download PDFInfo
- Publication number
- JP2016134733A JP2016134733A JP2015007910A JP2015007910A JP2016134733A JP 2016134733 A JP2016134733 A JP 2016134733A JP 2015007910 A JP2015007910 A JP 2015007910A JP 2015007910 A JP2015007910 A JP 2015007910A JP 2016134733 A JP2016134733 A JP 2016134733A
- Authority
- JP
- Japan
- Prior art keywords
- information
- server device
- authentication
- layer
- network system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークシステムおよびサーバ装置に関し、例えば、クライアント装置からの要求に応じてサービスを提供するサーバ装置および当該サーバ装置を備えたネットワークシステムに関する。 The present invention relates to a network system and a server device, for example, a server device that provides a service in response to a request from a client device and a network system including the server device.
例えば、特許文献1には、ルータが接続されるネットワークに端末監視装置およびネットワーク管理装置を設置し、ルータに接続される端末に不具合が発生した際に、当該端末をネットワークから切り離すシステムが示されている。具体的には、端末監視装置は、端末からの通信を監視し、不具合が発生した端末のIPアドレスをネットワーク管理装置へ通知する。ネットワーク管理装置は、ルータのARPテーブルの情報を収集および保存し、当該保存された情報に基づき、端末監視装置から通知されたIPアドレスに対応するポート(ルータのポートのMACアドレス)を取得し、当該ポートをネットワークから切り離す指令をルータに送信する。
For example,
例えば、ネットワークシステムでは、クライアント装置からの要求に応じてサーバ装置がクライアント装置に所定のサービスを提供するような方式が広く用いられている。ここで、例えば、クライアント装置とサーバ装置とが異なるネットワークドメインに属する場合、サーバ装置は、クライアント装置からの要求フレームをルータ等を介して受信する。 For example, in a network system, a method in which a server device provides a predetermined service to a client device in response to a request from the client device is widely used. Here, for example, when the client device and the server device belong to different network domains, the server device receives a request frame from the client device via a router or the like.
この場合、サーバ装置は、受信した要求フレームのヘッダ部の情報を参照することで、クライアント装置のレイヤ3(L3)の情報(代表的にはIP(Internet Protocol)アドレス)を用いたサービスを、クライアント装置に提供することができる。しかしながら、サーバ装置は、クライアント装置のレイヤ2(L2)の情報(代表的にはMAC(Media Access Control)アドレス)を取得することができないため、クライアント装置のレイヤ2(L2)の情報を用いたサービスを、クライアント装置に提供することは困難である。 In this case, the server device refers to the information in the header part of the received request frame, and the service using the layer 3 (L3) information (typically IP (Internet Protocol) address) of the client device is It can be provided to the client device. However, since the server device cannot acquire the layer 2 (L2) information (typically MAC (Media Access Control) address) of the client device, it uses the layer 2 (L2) information of the client device. It is difficult to provide services to client devices.
本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、ネットワークシステムおよびサーバ装置において、サーバ装置が、レイヤ2(L2)の情報を取得して、レイヤ2(L2)の情報に基づくサービスをクライアント装置に提供可能にすることにある。 The present invention has been made in view of the above, and one of its purposes is that in a network system and a server device, the server device acquires layer 2 (L2) information, and the layer 2 ( A service based on the information of L2) can be provided to the client device.
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。 The above and other objects and novel features of the present invention will be apparent from the description of this specification and the accompanying drawings.
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。 Of the inventions disclosed in the present application, the outline of a typical embodiment will be briefly described as follows.
本実施の形態によるネットワークシステムは、中継装置と、サービス提供部と、管理テーブルと、を備える。中継装置は、第1ネットワークドメインと第2ネットワークドメインの境界に設置され、第1ネットワークドメインと第2ネットワークドメインとの間でフレームを中継する。サービス提供部は、第2ネットワークドメインに設置され、第1ネットワークドメインに設置されるクライアント装置からの要求フレームを受信し、当該要求フレームに応じたサービスをクライアント装置に提供する。管理テーブルは、クライアント装置のレイヤ2情報およびレイヤ3情報を保持する。ここで、クライアント装置からの要求フレームは、レイヤ2情報が必要とされるサービスを要求するフレームである。サービス提供部は、当該要求フレームを受信した場合に、当該要求フレームに含まれる送信元のレイヤ3情報を検索キーとして管理テーブルを検索し、当該検索によって取得したレイヤ2情報を用いてサービスを提供する。
The network system according to the present embodiment includes a relay device, a service providing unit, and a management table. The relay device is installed at the boundary between the first network domain and the second network domain, and relays a frame between the first network domain and the second network domain. The service providing unit is installed in the second network domain, receives a request frame from a client device installed in the first network domain, and provides a service corresponding to the request frame to the client device. The management table holds
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、ネットワークシステムおよびサーバ装置において、サーバ装置が、レイヤ2(L2)の情報を取得して、レイヤ2(L2)の情報に基づくサービスをクライアント装置に提供可能になる。 The effects obtained by the representative embodiments of the invention disclosed in the present application will be briefly described. In the network system and the server device, the server device acquires layer 2 (L2) information, and the layer 2 A service based on the information of (L2) can be provided to the client device.
以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらは互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明等の関係にある。また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合および原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良い。 In the following embodiment, when it is necessary for the sake of convenience, the description will be divided into a plurality of sections or embodiments. However, unless otherwise specified, they are not irrelevant, and one is the other. Some or all of the modifications, details, supplementary explanations, and the like are related. Further, in the following embodiments, when referring to the number of elements (including the number, numerical value, quantity, range, etc.), especially when clearly indicated and when clearly limited to a specific number in principle, etc. Except, it is not limited to the specific number, and may be more or less than the specific number.
さらに、以下の実施の形態において、その構成要素(要素ステップ等も含む)は、特に明示した場合および原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではないことは言うまでもない。同様に、以下の実施の形態において、構成要素等の形状、位置関係等に言及するときは、特に明示した場合および原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等に近似または類似するもの等を含むものとする。このことは、上記数値および範囲についても同様である。 Further, in the following embodiments, the constituent elements (including element steps and the like) are not necessarily indispensable unless otherwise specified and apparently essential in principle. Needless to say. Similarly, in the following embodiments, when referring to the shapes, positional relationships, etc. of the components, etc., the shapes are substantially the same unless otherwise specified, or otherwise apparent in principle. And the like are included. The same applies to the above numerical values and ranges.
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that components having the same function are denoted by the same reference symbols throughout the drawings for describing the embodiment, and the repetitive description thereof will be omitted.
(実施の形態1)
《ネットワークシステムの構成》
図1は、本発明の実施の形態1によるネットワークシステムにおいて、その主要部の構成例を示す概略図である。図1に示すネットワークシステムは、OSI参照モデルに基づくレイヤ2(L2)の中継処理を行うL2スイッチ10と、レイヤ3(L3)の中継処理を行う中継装置11と、Webサーバ装置12と、DHCP(Dynamic Host Configuration Protocol)サーバ装置(DHCP処理部)15と、を備える。
(Embodiment 1)
<Network system configuration>
FIG. 1 is a schematic diagram showing a configuration example of main parts of a network system according to
中継装置11は、例えば、L3スイッチやルータ等であり、複数(ここでは3個)のポートP1〜P3を有する。中継装置11は、ネットワークドメイン(第1ネットワークドメイン)DM1と、ネットワークドメイン(第2ネットワークドメイン)DM2の境界に設置され、ネットワークドメインDM1とネットワークドメインDM2との間でフレーム(およびパケット)を中継する。なお、レイヤ3(L3)で中継されるパケットは、実際には、フレームに含まれる形式で中継されるため、本明細書では、フレームとパケットを特に区別せず、フレームに統一して説明を行う。 The relay device 11 is, for example, an L3 switch, a router, or the like, and has a plurality (three in this case) of ports P1 to P3. The relay device 11 is installed at the boundary between the network domain (first network domain) DM1 and the network domain (second network domain) DM2, and relays frames (and packets) between the network domain DM1 and the network domain DM2. . In addition, since the packet relayed in layer 3 (L3) is actually relayed in the format included in the frame, in this specification, the frame and the packet are not particularly distinguished, and are described in a unified frame. Do.
L2スイッチ10は、複数のポートPd[1]〜Pd[n],Puを有する。ポートPd[1]には、クライアント装置TM1が接続され、ポートPuは、中継装置11のポートP1に接続される。図1の例では、中継装置11のポートP1は、ネットワークドメインDM1に属し、L2スイッチ10およびクライアント装置TM1は、当該ネットワークドメインDM1に設置される。また、クライアント装置TM1は、MACアドレスMA1およびIPアドレスIP1を有するものとし、クライアント17によって使用されるものとする。
The L2 switch 10 has a plurality of ports Pd [1] to Pd [n], Pu. The client device TM1 is connected to the port Pd [1], and the port Pu is connected to the port P1 of the relay device 11. In the example of FIG. 1, the port P1 of the relay device 11 belongs to the network domain DM1, and the L2 switch 10 and the client device TM1 are installed in the network domain DM1. The client device TM1 has a MAC address MA1 and an IP address IP1, and is used by the
Webサーバ装置12は、中継装置11のポートP2に接続される。図1の例では、中継装置11のポートP2は、ネットワークドメインDM2に属し、Webサーバ装置12は、当該ネットワークドメインDM2に設置される。Webサーバ装置12は、サービス提供部13を備える。サービス提供部13は、例えば、プロセッサ(CPU)にプログラム処理を行わせること等で構成される。
The
サービス提供部13は、ネットワークドメインDM1に設置されるクライアント装置TM1からの要求フレームを受信し、当該要求フレームに応じたサービスをクライアント装置TM1に提供する。ここで、サービス提供部13は、管理テーブル参照部14を備える。管理テーブル参照部14は、詳細は後述するが、クライアント装置TM1に、レイヤ2(L2)情報が必要とされるサービスを提供するために設けられる。
The
DHCPサーバ装置(DHCP処理部)15は、中継装置11のポートP3に接続される。DHCPサーバ装置15は、ネットワークドメインDM1,DM2のいずれに設置されてもよく、場合によっては、ネットワークドメインDM1,DM2とは異なるネットワークドメインに設置されてもよい。DHCPサーバ装置15は、クライアント装置TM1のレイヤ2(L2)情報(ここではMACアドレスMA1)およびレイヤ3(L3)情報(ここではIPアドレスIP1)を保持する管理テーブル16を備える。
The DHCP server device (DHCP processing unit) 15 is connected to the port P3 of the relay device 11. The
DHCPサーバ装置15は、広く知られているように、クライアント装置TM1に対して動的にIPアドレス(ここではIP1)を割り当てる。例えば、DHCPサーバ装置15は、ネットワークドメインDM1に設置される場合、まず、クライアント装置TM1からの要求フレームを受信する。当該要求フレームは、具体的には、宛先MACアドレスをブロードキャストアドレスとするDHCPディスカバリである。次いで、DHCPサーバ装置15は、未使用のIPアドレスの中からいずれかのIPアドレスを選択し、クライアント装置TM1との間で所定のやり取りを経たのち、当該IPアドレス(ここではIP1)をクライアント装置TM1に割り当てる。そして、DHCPサーバ装置15は、当該IPアドレスIP1とクライアント装置TM1のMACアドレスMA1との対応関係を管理テーブル16に登録する。
As is widely known, the
一方、DHCPサーバ装置15がネットワークドメインDM1とは異なるネットワークドメイン(例えばDM2)に設置される場合、中継装置11が、クライアント装置TM1からの要求フレーム(DHCPディスカバリ)を受信する。中継装置11は、異なるネットワークドメイン間でDHCP用の各フレームを中継するためのDHCPリレーエージェント機能を用いて、クライアント装置TM1とDHCPサーバ装置15との間の通信を仲介する。その結果、前述した処理と同様にして、クライアント装置TM1にIPアドレスIP1が割り当てられ、当該IPアドレスIP1とクライアント装置TM1のMACアドレスMA1との対応関係が管理テーブル16に登録される。なお、MACアドレスMA1は、DHCP用のフレームのメッセージ領域内に格納されている。
On the other hand, when the
《ネットワークシステム(比較例)の動作》
図10は、図1の比較例となるネットワークシステムにおいて、その動作例を示す説明図である。図10に示すネットワークシステムは、図1のネットワークシステムと比較して、Webサーバ装置12’が図1とは異なるサービス提供部13’を備える点が異なっている。当該サービス提供部13’は、図1の場合と異なり、管理テーブル参照部14を備えない。また、図10では、便宜上、DHCPサーバ装置15の記載は省略されている。
<Operation of network system (comparative example)>
FIG. 10 is an explanatory diagram showing an operation example in the network system as a comparative example of FIG. The network system shown in FIG. 10 differs from the network system shown in FIG. 1 in that the
このような構成において、クライアント17が、クライアント装置TM1を介してWebサーバ装置12’にサービスの要求を行った場合を想定する。まず、クライアント装置TM1は、サービスの要求フレームFL1を送信する(ステップS101)。当該要求フレームFL1において、送信元MACアドレスSA(MAC)はMACアドレスMA1であり、送信元IPアドレスSA(IP)はIPアドレスIP1である。また、宛先MACアドレスは中継装置11のMACアドレス(MA2とする)であり、宛先IPアドレスはWebサーバ装置12’のIPアドレスである。
In such a configuration, it is assumed that the
L2スイッチ10は、自装置のFDB(Forwarding DataBase)に基づいて、ポートPd[1]で受信した要求フレームFL1をポートPuに中継し、中継装置11は、当該要求フレームFL1をポートP1で受信する。中継装置11は、自装置のルーティングテーブル等に基づいて、ポートP1で受信した要求フレームFL1をポートP2に中継する。この際に、中継装置11は、要求フレームFL1の送信元MACアドレスSA(MAC)を自装置のMACアドレスMA2に変更し、当該変更後の要求フレームFL2をポートP2から送信する(ステップS102)。なお、中継装置11は、NAT(Network Address Translation)を実行しないことを前提とする。 The L2 switch 10 relays the request frame FL1 received at the port Pd [1] to the port Pu based on its own FDB (Forwarding DataBase), and the relay device 11 receives the request frame FL1 at the port P1. . The relay device 11 relays the request frame FL1 received at the port P1 to the port P2 based on its own routing table and the like. At this time, the relay device 11 changes the transmission source MAC address SA (MAC) of the request frame FL1 to the MAC address MA2 of the own device, and transmits the changed request frame FL2 from the port P2 (step S102). It is assumed that the relay device 11 does not execute NAT (Network Address Translation).
Webサーバ装置12’(サービス提供部13’)は、当該要求フレームFL2を受信する。当該要求フレームFL2は、そのヘッダ部にクライアント装置TM1のレイヤ3(L3)情報(代表的にはIPアドレスIP1)を含んでいる。このため、サービス提供部13’は、クライアント装置TM1に、当該レイヤ3(L3)情報が必要されるサービスを提供することができる。 The Web server device 12 '(service providing unit 13') receives the request frame FL2. The request frame FL2 includes the layer 3 (L3) information (typically IP address IP1) of the client device TM1 in the header portion. Therefore, the service providing unit 13 'can provide the client device TM1 with a service that requires the layer 3 (L3) information.
ただし、当該要求フレームFL2は、そのヘッダ部にクライアント装置TM1のレイヤ2(L2)情報(代表的にはMACアドレスMA1)を含んでいない。このため、サービス提供部13’は、クライアント装置TM1に、当該レイヤ2(L2)情報が必要されるサービスを提供することが困難となる。 However, the request frame FL2 does not include the layer 2 (L2) information (typically the MAC address MA1) of the client device TM1 in the header portion. For this reason, it becomes difficult for the service providing unit 13 'to provide the client device TM1 with a service that requires the layer 2 (L2) information.
《ネットワークシステム(本実施の形態1)の動作》
図2は、図1のネットワークシステムにおいて、その動作例を示す説明図である。図2において、Webサーバ装置12(サービス提供部13)が要求フレームFL2を受信するまでの処理(ステップS101,S102)は図10の場合と同様である。サービス提供部13(管理テーブル参照部14)は、要求フレームFL2を受信した場合に、当該要求フレームFL2に含まれる送信元のレイヤ3(L3)情報(ここでは送信元IPアドレスSA(IP)「IP1」)を検索キーとしてDHCPサーバ装置15の管理テーブル16を検索する。その結果、サービス提供部13(管理テーブル参照部14)は、レイヤ2(L2)情報(ここではMACアドレスMA1)を取得する(ステップS103)。
<< Operation of Network System (Embodiment 1) >>
FIG. 2 is an explanatory diagram showing an operation example of the network system of FIG. In FIG. 2, the processing (steps S101 and S102) until the Web server device 12 (service providing unit 13) receives the request frame FL2 is the same as in FIG. When the service providing unit 13 (management table reference unit 14) receives the request frame FL2, the source layer 3 (L3) information (here, the source IP address SA (IP) “) included in the request frame FL2 is received. The management table 16 of the
《本実施の形態1の主要な効果》
以上、本実施の形態1のネットワークシステムおよびサーバ装置(Webサーバ装置12)を用いることで、図2に示すように、サービス提供部13は、図10の場合と異なり、クライアント装置TM1に、そのレイヤ2(L2)情報(例えば、MACアドレスMA1)が必要されるサービスを提供することが可能になる。
<< Main effects of the first embodiment >>
As described above, by using the network system and the server device (Web server device 12) of the first embodiment, as shown in FIG. 2, the
なお、図2のステップS103において、DHCPサーバ装置15の管理テーブル16を検索する際の具体的な方法は、様々な方法を用いることが可能である。例えば、管理テーブル参照部14は、DHCPサーバ装置15に管理テーブル16の検索を行わせ、その検索結果を取得してもよく、あるいは、管理テーブル16の全ての情報を適宜収集および保持し、自装置でこの保持情報を検索してもよい。
Note that various methods can be used as a specific method for searching the management table 16 of the
また、ここでは、レイヤ2(L2)情報およびレイヤ3(L3)情報は、それぞれMACアドレスおよびIPアドレスであり、そのIPアドレスに対応するMACアドレスをDHCPサーバ装置15の管理テーブル16から取得する場合を例とした。ただし、レイヤ2(L2)情報およびレイヤ3(L3)情報は、必ずしも、MACアドレスおよびIPアドレスに限定されず、管理テーブルも、DHCPサーバ装置15の管理テーブル16に限定されない。
Here, the layer 2 (L2) information and the layer 3 (L3) information are a MAC address and an IP address, respectively, and the MAC address corresponding to the IP address is acquired from the management table 16 of the
(実施の形態2)
《ネットワークシステム(応用例)の構成》
図3は、本発明の実施の形態2によるネットワークシステムにおいて、その主要部の構成例を示す概略図である。図3に示すネットワークシステムは、図1に示したネットワークシステムと比較して、Webサーバ装置12がRADIUSサーバ等の認証サーバ装置である点が異なっている。当該Webサーバ装置12は、図1に示したサービス提供部13に加えて、認証実行部20および認証テーブル21を備える。認証実行部20は、例えば、プロセッサ(CPU)にプログラム処理を行わせること等で構成され、認証テーブル21は、ハードディスクやRAM(Random Access Memory)等の記憶部によって構成される。
(Embodiment 2)
<< Configuration of network system (application example) >>
FIG. 3 is a schematic diagram showing a configuration example of the main part of the network system according to the second embodiment of the present invention. The network system shown in FIG. 3 is different from the network system shown in FIG. 1 in that the
認証実行部20は、装置外部からの認証要求に対し、当該認証要求に伴う情報と、認証用テーブル21に保持される情報とを比較することで、当該認証要求の許可または不許可を定める。サービス提供部13は、ここでは、クライアント17がクライアント装置TM1にMACアドレス認証を適用したい場合に、その旨を申請するためのサービスをクライアント17に提供する。
In response to an authentication request from the outside of the apparatus, the
《ネットワークシステム(応用例)の動作》
図4は、図3のネットワークシステムにおいて、その動作例を示す説明図であり、図5は、図4に続く動作例を示す説明図である。図4では、前提として、クライアント17(クライアント装置TM1)のユーザ認証が既に完了しているものとする。すなわち、クライアント17は、クライアント装置TM1を用いてユーザIDやパスワード等のアカウント情報を入力し、当該アカウント情報の認証要求がWebサーバ装置(認証サーバ装置)12で既に許可されているものとする。
<< Operation of network system (application example) >>
FIG. 4 is an explanatory diagram showing an operation example in the network system of FIG. 3, and FIG. 5 is an explanatory diagram showing an operation example following FIG. In FIG. 4, it is assumed that user authentication of the client 17 (client apparatus TM1) has already been completed. That is, it is assumed that the
このような状態で、まず、クライアント17は、クライアント装置TM1を介して、Webサーバ装置12へ要求フレームFL1を送信する(ステップS101)。当該要求フレームFL1は、ここでは、MACアドレス認証の適用を申請するフレームとなる。具体的には、クライアント17は、例えば、Webサーバ装置12が提供するWeb画面にアクセスし、当該Web画面に表示されるMACアドレス認証の申請項目等をクリックする。これに伴って、当該要求フレームFL1は送信される。
In such a state, first, the
次いで、図2の場合と同様に、中継装置11は、当該要求フレームFL1を受信し、送信元MACアドレスSA(MAC)をMACアドレスMA2に変更した要求フレームFL2をWebサーバ装置12へ送信する(ステップS102)。当該要求フレームFL2を受信したWebサーバ装置12(サービス提供部13)は、図2の場合と同様にして管理テーブル16を検索し、クライアント装置TM1のMACアドレスMA1を取得する(ステップS103)。ここで、サービス提供部13は、当該管理テーブル16から取得したMACアドレスMA1を認証用テーブル21に登録する(ステップS104)。なお、この登録は、例えば、ネットワーク管理者等の承認を経由して行われてもよい。
Next, as in the case of FIG. 2, the relay device 11 receives the request frame FL1, and transmits the request frame FL2 in which the transmission source MAC address SA (MAC) is changed to the MAC address MA2 to the Web server device 12 ( Step S102). The Web server device 12 (service providing unit 13) that has received the request frame FL2 searches the management table 16 in the same manner as in FIG. 2, and acquires the MAC address MA1 of the client device TM1 (step S103). Here, the
図4のステップS104の処理によって、図5に示すように、クライアント装置TM1にMACアドレス認証を適用することが可能になる。図5では、前提として、クライアント装置TM1の再起動等が行われることによって、L2スイッチ10にクライアント装置TM1が新たに接続される状態になったものとする(ステップS201)。L2スイッチ10は、例えば、RADIUSクライアントの機能を備えた認証スイッチである。L2スイッチ10は、クライアント装置TM1の新規接続を検出し、そのMACアドレスMA1をアカウント情報として、Webサーバ装置12へMACアドレス認証の認証要求を送信する(ステップS202)。
The processing in step S104 in FIG. 4 makes it possible to apply MAC address authentication to the client device TM1, as shown in FIG. In FIG. 5, it is assumed that the client device TM1 is newly connected to the L2 switch 10 by restarting the client device TM1 or the like (step S201). For example, the L2 switch 10 is an authentication switch having a RADIUS client function. The L2 switch 10 detects a new connection of the client device TM1, and transmits a MAC address authentication authentication request to the
Webサーバ装置12の認証実行部20は、当該認証要求を受信し、当該認証要求に伴うアカウント情報(ここではMACアドレスMA1)と、認証用テーブル21に登録されているアカウント情報とを比較する(ステップS203)。ここでは、認証用テーブル21にMACアドレスMA1が登録されているため、認証実行部20は、当該認証要求を許可する。そして、認証実行部20は、L2スイッチ10へ認証要求の許可通知を返信する(ステップS204)。
The
L2スイッチ10は、Webサーバ装置12からの許可通知を受信し、所定の接続制限を行う(ステップS205)。接続制限には、様々な方式を用いることができる。一例として、L2スイッチ10は、ポートPd[1]とクライアント装置TM1のMACアドレスMA1との対応関係を接続許可リストに登録し、以降、この接続許可リストに基づいて、ポートPd[1]で受信したクライアント装置TM1からのフレームの中継を許可する。または、L2スイッチ10は、当該許可通知と共に受信した所定のVLAN(Virtual LAN)をポートPd[1]に割り当て、同一VLAN内に接続される各種装置へのアクセスを許可する。
The L2 switch 10 receives the permission notification from the
《本実施の形態2の主要な効果》
以上、本実施の形態2のネットワークシステムおよびサーバ装置(Webサーバ装置12)を用いることで、クライアント17(クライアント装置TM1)がMACアドレス認証の適用を申請する際に、質が高いサービスをクライアント17に提供することが可能になる。具体的には、まず、この申請の際には、Webサーバ装置12は、クライアント装置TM1のMACアドレス(申請の対象となるMACアドレス)MA1を自動的に取得することが望まれる。
<< Main effects of the second embodiment >>
As described above, by using the network system and the server device (Web server device 12) of the second embodiment, when the client 17 (client device TM1) applies for the application of MAC address authentication, a high-quality service is provided to the
ここで、比較例として、Webサーバ装置12は、例えば、図4のステップS101でのWeb画面を用いて、クライアント17にMACアドレスを手動で入力させることも可能である。ただし、この場合、クライアント17の負担や入力ミス等が生じ得るため、サービスの質が低下する恐れがある。また、場合によっては、悪意をもって不正なMACアドレスが入力され、セキュリティが低下する恐れもある。本実施の形態2の方式を用いると、クライアント装置TM1の正しいMACアドレスMA1を自動的に取得することが可能になるため、このような問題を解決できる。
Here, as a comparative example, the
(実施の形態3)
《ネットワークシステム(変形例[1])の構成》
図6は、本発明の実施の形態3によるネットワークシステムにおいて、その主要部の構成例を示す概略図である。図6に示すネットワークシステムは、図1のネットワークシステムと比較して、図1におけるサービス提供部13およびDHCP処理部15が1台のサーバ装置25に設けられる点が異なっている。すなわち、図6のサーバ装置25は、管理テーブル16を含むDHCP処理部26と、管理テーブル参照部14を含むサービス提供部13と、を有する。
(Embodiment 3)
<< Configuration of Network System (Modification [1]) >>
FIG. 6 is a schematic diagram showing a configuration example of the main part of the network system according to the third embodiment of the present invention. The network system shown in FIG. 6 is different from the network system shown in FIG. 1 in that the
図7は、本発明の実施の形態3によるネットワークシステムにおいて、その主要部の図6とは異なる構成例を示す概略図である。図7に示すネットワークシステムは、図6の構成例と比較して、サーバ装置30が、さらに、認証実行部20および認証用テーブル21を備える点が異なっている。認証実行部20および認証用テーブル21は、サービス提供部13と共に認証部31を構成する。すなわち、図7に示すサーバ装置30は、図3に示したWebサーバ装置(認証サーバ装置)12に、さらに、図3のDHCP処理部15を設けたような構成となっている。
FIG. 7 is a schematic diagram showing a configuration example different from FIG. 6 of the main part in the network system according to the third embodiment of the present invention. The network system shown in FIG. 7 differs from the configuration example of FIG. 6 in that the
《本実施の形態3の主要な効果》
以上、本実施の形態3のネットワークシステムおよびサーバ装置25,30を用いることで、まず、管理テーブル16とサービス提供部13が同一のサーバ装置内に搭載されるため、図2のステップS103等に示したような中継装置11を介する通信が不要となる。これにより、ネットワークの通信負荷等を低減できる。
<< Main effects of the third embodiment >>
As described above, by using the network system and the
さらに、セキュリティの向上も図り易くなる。すなわち、例えば、図2等に示したDHCPサーバ装置15は、通常、セキュリティの観点で、装置外部からの管理テーブル16へのアクセスを許可しないように構成することが望ましい。ただし、DHCPサーバ装置15とWebサーバ装置12を別の装置で構成する場合、例外的に、このようなアクセスを許可するような設定をDHCPサーバ装置15で行う必要があり、これに伴うセキュリティの低下が懸念される。
Furthermore, it is easy to improve security. That is, for example, the
そこで、本実施の形態3のように、DHCPサーバ装置15とWebサーバ装置12を1台のサーバ装置で構成することで、このような問題を解決できる。特に、図7に示した認証部31とDHCP処理部26は、例えば、認証部31によって認証されたクライアント装置に対してDHCP処理部26がIPアドレスを割り当てるといったように、ネットワーク管理の観点で一連の機能を担っている。したがって、これらを1台のサーバ装置で構成することで、ネットワーク管理の効率化や装置コストの低減等が図れる場合がある。
Therefore, as in the third embodiment, such a problem can be solved by configuring the
(実施の形態4)
《ネットワークシステム(変形例[2])の構成》
図8は、本発明の実施の形態4によるネットワークシステムにおいて、その主要部の構成例を示す概略図である。図9は、本発明の実施の形態4によるネットワークシステムにおいて、その主要部の図8とは異なる構成例を示す概略図である。例えば、実施の形態1等では、サービス提供部13がDHCPサーバ装置(DHCP処理部)15の管理テーブル16を参照する構成例を示したが、管理テーブルは、必ずしもこれに限定されない。
(Embodiment 4)
<< Configuration of Network System (Modification [2]) >>
FIG. 8 is a schematic diagram showing a configuration example of main parts of a network system according to Embodiment 4 of the present invention. FIG. 9 is a schematic diagram showing a configuration example different from FIG. 8 of the main part in the network system according to the fourth embodiment of the present invention. For example, in the first embodiment and the like, a configuration example in which the
図8の例では、管理テーブルは、中継装置11のARP(Address Resolution Protocol)テーブル35となっている。ARPテーブル35は、広く知られているように、ARPリクエストの発行によって得られた、IPアドレスとMACアドレスとポート識別子との対応関係を保持する。図8の例では、ARPテーブル35は、クライアント端末TM1のIPアドレスIP1およびMACアドレスMA1と、クライアント端末TM1からのARPリプライを受信したポートP1(そのポート識別子{P1})と、の対応関係を保持している。 In the example of FIG. 8, the management table is an ARP (Address Resolution Protocol) table 35 of the relay apparatus 11. As is widely known, the ARP table 35 holds a correspondence relationship between an IP address, a MAC address, and a port identifier obtained by issuing an ARP request. In the example of FIG. 8, the ARP table 35 shows the correspondence between the IP address IP1 and MAC address MA1 of the client terminal TM1 and the port P1 (its port identifier {P1}) that has received the ARP reply from the client terminal TM1. keeping.
また、図8のサービス提供部13は、図1等の管理テーブル参照部14と同様の機能を持つARPテーブル参照部36を備える。ARPテーブル参照部36は、IPアドレス(例えばIP1)を検索キーとして中継装置11のARPテーブル35を検索することでMACアドレス(MA1)を取得する。
Further, the
一方、図9の例では、管理テーブルは、RARPサーバ装置40の管理テーブル41となっている。RARPサーバ装置40は、ネットワークドメインDM1に設置され、ここでは、L2スイッチ10のポートPd[n]に接続されている。管理テーブル41は、図1等の場合と同様に、クライアント端末TM1のIPアドレスIP1およびMACアドレスMA1を保持する。
On the other hand, in the example of FIG. 9, the management table is the management table 41 of the
RARPサーバ装置40は、例えば、クライアント端末TM1からのRARP(Reverse Address Resolution Protocol)リクエストを受信した際に、管理テーブル41に基づいて、IPアドレスIP1を返信する。また、図9のサービス提供部13(管理テーブル参照部14)は、IPアドレス(例えばIP1)を検索キーとしてRARPサーバ装置40の管理テーブル41を検索することでMACアドレス(MA1)を取得する。
For example, when receiving a RARP (Reverse Address Resolution Protocol) request from the client terminal TM1, the
以上、本実施の形態4のネットワークシステムおよびサーバ装置を用いることでも、実施の形態1の場合と同様の効果が得られる。 As described above, using the network system and the server device of the fourth embodiment also provides the same effects as those of the first embodiment.
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 As mentioned above, the invention made by the present inventor has been specifically described based on the embodiments. However, the present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the scope of the invention. For example, the above-described embodiment has been described in detail for easy understanding of the present invention, and is not necessarily limited to one having all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. . Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment.
10 L2スイッチ
11 中継装置
12,12’ Webサーバ装置
13,13’ サービス提供部
14 管理テーブル参照部
15 DHCPサーバ装置(DHCP処理部)
16 管理テーブル
17 クライアント
20 認証実行部
21 認証用テーブル
25,30 サーバ装置
26 DHCP処理部
31 認証部
35 ARPテーブル
36 ARPテーブル参照部
40 RARPサーバ装置
DM1,DM2 ネットワークドメイン
FL1,FL2 要求フレーム
P1〜P3,Pd[1]〜Pd[n],Pu ポート
SA(IP) 送信元IPアドレス
SA(MAC) 送信元MACアドレス
TM1 クライアント装置
10 L2 switch 11
DESCRIPTION OF
Claims (12)
前記第2ネットワークドメインに設置され、前記第1ネットワークドメインに設置されるクライアント装置からの要求フレームを受信し、当該要求フレームに応じたサービスを前記クライアント装置に提供するサービス提供部と、
前記クライアント装置のレイヤ2情報およびレイヤ3情報を保持する管理テーブルと、
を備え、
前記要求フレームは、レイヤ2情報が必要とされるサービスを要求するフレームであり、
前記サービス提供部は、前記要求フレームを受信した場合に、当該要求フレームに含まれる送信元のレイヤ3情報を検索キーとして前記管理テーブルを検索し、当該検索によって取得したレイヤ2情報を用いてサービスを提供する、
ネットワークシステム。 A relay device installed at a boundary between the first network domain and the second network domain and relaying a frame between the first network domain and the second network domain;
A service providing unit installed in the second network domain, receiving a request frame from a client device installed in the first network domain, and providing a service corresponding to the request frame to the client device;
A management table holding layer 2 information and layer 3 information of the client device;
With
The request frame is a frame for requesting a service for which layer 2 information is required,
When the service providing unit receives the request frame, the service providing unit searches the management table using the source layer 3 information included in the request frame as a search key, and uses the layer 2 information acquired by the search to perform a service. I will provide a,
Network system.
前記レイヤ2情報は、MACアドレスであり、
前記レイヤ3情報は、IPアドレスである、
ネットワークシステム。 The network system according to claim 1,
The layer 2 information is a MAC address,
The layer 3 information is an IP address.
Network system.
前記管理テーブルは、前記クライアント装置に対して動的にIPアドレスを割り当てるDHCP処理部に設けられる、
ネットワークシステム。 The network system according to claim 2, wherein
The management table is provided in a DHCP processing unit that dynamically assigns an IP address to the client device.
Network system.
前記サービス提供部と前記DHCP処理部は、1台のサーバ装置に設けられる、
ネットワークシステム。 The network system according to claim 3, wherein
The service providing unit and the DHCP processing unit are provided in one server device.
Network system.
さらに、外部からの認証要求に対し、当該認証要求に伴う情報と、認証用テーブルに保持される情報とを比較することで、当該認証要求の許可または不許可を定める認証実行部を備え、
前記要求フレームは、MACアドレス認証の適用を申請するフレームであり、
前記サービス提供部は、前記管理テーブルから取得したMACアドレスを前記認証用テーブルに登録することで、前記クライアント装置にMACアドレス認証を適用する、
ネットワークシステム。 The network system according to claim 3, wherein
Furthermore, an authentication execution unit that determines permission or non-permission of the authentication request by comparing information accompanying the authentication request with information held in the authentication table in response to an authentication request from the outside,
The request frame is a frame for applying for application of MAC address authentication,
The service providing unit applies MAC address authentication to the client device by registering the MAC address acquired from the management table in the authentication table.
Network system.
前記サービス提供部、前記DHCP処理部および前記認証実行部は、1台のサーバ装置に設けられる、
ネットワークシステム。 The network system according to claim 5, wherein
The service providing unit, the DHCP processing unit, and the authentication execution unit are provided in one server device.
Network system.
前記管理テーブルは、前記中継装置のARPテーブルである、
ネットワークシステム。 The network system according to claim 2, wherein
The management table is an ARP table of the relay device.
Network system.
前記サーバ装置の内部または外部には、前記クライアント装置のレイヤ2情報およびレイヤ3情報を保持する管理テーブルが設けられ、
前記要求フレームは、レイヤ2情報が必要とされるサービスを要求するフレームであり、
前記サービス提供部は、前記要求フレームを受信した場合に、当該要求フレームに含まれる送信元のレイヤ3情報を検索キーとして前記管理テーブルを検索し、当該検索によって取得したレイヤ2情報を用いてサービスを提供する、
サーバ装置。 A server device provided in a second network domain, including a service providing unit that receives a request frame from a client device installed in the first network domain and provides a service corresponding to the request frame to the client device. ,
A management table for holding layer 2 information and layer 3 information of the client device is provided inside or outside the server device,
The request frame is a frame for requesting a service for which layer 2 information is required,
When the service providing unit receives the request frame, the service providing unit searches the management table using the source layer 3 information included in the request frame as a search key, and uses the layer 2 information acquired by the search to perform a service. I will provide a,
Server device.
前記レイヤ2情報は、MACアドレスであり、
前記レイヤ3情報は、IPアドレスである、
サーバ装置。 The server device according to claim 8, wherein
The layer 2 information is a MAC address,
The layer 3 information is an IP address.
Server device.
前記管理テーブルは、前記クライアント装置に対して動的にIPアドレスを割り当てるDHCP処理部に設けられる、
サーバ装置。 The server device according to claim 9, wherein
The management table is provided in a DHCP processing unit that dynamically assigns an IP address to the client device.
Server device.
さらに、外部からの認証要求に対し、当該認証要求に伴う情報と、認証用テーブルに保持される情報とを比較することで、当該認証要求の許可または不許可を定める認証実行部を備え、
前記要求フレームは、MACアドレス認証の適用を申請するフレームであり、
前記サービス提供部は、前記管理テーブルから取得したMACアドレスを前記認証用テーブルに登録することで、前記クライアント装置にMACアドレス認証を適用する、
サーバ装置。 The server device according to claim 10, wherein
Furthermore, an authentication execution unit that determines permission or non-permission of the authentication request by comparing information accompanying the authentication request with information held in the authentication table in response to an authentication request from the outside,
The request frame is a frame for applying for application of MAC address authentication,
The service providing unit applies MAC address authentication to the client device by registering the MAC address acquired from the management table in the authentication table.
Server device.
前記サーバ装置は、前記DHCP処理部を備える、
サーバ装置。 The server device according to claim 10 or 11,
The server device includes the DHCP processing unit,
Server device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015007910A JP2016134733A (en) | 2015-01-19 | 2015-01-19 | Network system and server device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015007910A JP2016134733A (en) | 2015-01-19 | 2015-01-19 | Network system and server device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016134733A true JP2016134733A (en) | 2016-07-25 |
Family
ID=56434680
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015007910A Pending JP2016134733A (en) | 2015-01-19 | 2015-01-19 | Network system and server device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016134733A (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348114A (en) * | 2002-05-22 | 2003-12-05 | Nec Corp | Layer 2 authentication system and method |
US20100122320A1 (en) * | 2008-11-07 | 2010-05-13 | Next Gaming, Llc | Secure and Self Monitoring Slot Gaming Network |
JP2010171505A (en) * | 2009-01-20 | 2010-08-05 | Alaxala Networks Corp | Authentication system |
-
2015
- 2015-01-19 JP JP2015007910A patent/JP2016134733A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348114A (en) * | 2002-05-22 | 2003-12-05 | Nec Corp | Layer 2 authentication system and method |
US20100122320A1 (en) * | 2008-11-07 | 2010-05-13 | Next Gaming, Llc | Secure and Self Monitoring Slot Gaming Network |
JP2010171505A (en) * | 2009-01-20 | 2010-08-05 | Alaxala Networks Corp | Authentication system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8767737B2 (en) | Data center network system and packet forwarding method thereof | |
US9825822B1 (en) | Group networking in an overlay network | |
US8086713B2 (en) | Determining a subscriber device has failed gracelessly without issuing a DHCP release message and automatically releasing resources reserved for the subscriber device within a broadband network upon determining that another subscriber device requesting the reservation of a network address has the same context information as the failed subscriber device | |
US8285875B2 (en) | Synchronizing resource bindings within computer network | |
JP4664143B2 (en) | Packet transfer apparatus, communication network, and packet transfer method | |
JP2019041395A (en) | Virtual network interface objects | |
US9515988B2 (en) | Device and method for split DNS communications | |
US9025533B1 (en) | System and method for dynamic VLAN assignment | |
US20140286348A1 (en) | Architecture for virtualized home ip service delivery | |
US8458303B2 (en) | Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset | |
JP2011530867A (en) | Secure resource name resolution using cache | |
JP2011530868A (en) | Secure resource name resolution | |
JP2006033206A (en) | Authentication system, hub, authentication method used for them and program thereof | |
JP2002141953A (en) | Communication relay device, communication relay method, and communication terminal, and program storage medium | |
JP3858884B2 (en) | Network access gateway, network access gateway control method and program | |
CN100365591C (en) | Network address distributing method based on customer terminal | |
US20130254425A1 (en) | Dns forwarder for multi-core platforms | |
WO2012171427A1 (en) | Processing method and centralized processing system for client/server application | |
JP2002217941A (en) | Network address reallocating method and router | |
US10924397B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
JP2005217757A (en) | Firewall management system, firewall management method, and firewall management program | |
JP2016134733A (en) | Network system and server device | |
US10931565B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
US11552928B2 (en) | Remote controller source address verification and retention for access devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170925 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180821 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180828 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190305 |