CN1777118A - 非法机器的连接位置确定装置以及连接位置确定方法 - Google Patents
非法机器的连接位置确定装置以及连接位置确定方法 Download PDFInfo
- Publication number
- CN1777118A CN1777118A CN 200510120271 CN200510120271A CN1777118A CN 1777118 A CN1777118 A CN 1777118A CN 200510120271 CN200510120271 CN 200510120271 CN 200510120271 A CN200510120271 A CN 200510120271A CN 1777118 A CN1777118 A CN 1777118A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- machine
- port
- remote management
- management capability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
一种连接位置确定装置(10),在检测出连接在中继集线器(42)中的机器(31)的非法连接的情况下,收集回发对网络管理请求的应答的交换集线器(21~26)以及中继集线器(41、42)所保持的MAC地址与端口之间的对应关系,根据所收集的MAC地址与端口之间的对应关系,确定连接有机器(31)的中继集线器(42)的端口(P2),将所确定的中继集线器(42)的端口(P2)输出向外部。从而能够确定出连接有非法机器的网络机器以及其连接端口。
Description
技术领域
本发明涉及一种确定与网络上的网络机器相连接的非法机器的位置的非法机器连接位置确定装置。
背景技术
以前,公开有使用与多级连接的交换集线器的各个端口相连接的终端与各个端口的对应关系,生成表示终端与交换集线器怎样连接在一起的形态的拓扑图生成方法(例如专利文献1)。
但是,专利文献1中所公布的方法中,由于无法检测出位于下位的多个交换集线器之间互相连接的端口,因此存在无法确定非法与位于下位的交换集线器等网络机器相连接的机器的连接端口这一缺点。
专利文献1:特开2002-190819号公报(第000023段,图2)。
发明内容
本发明为了解决上述以前的问题,目的在于提供一种能够确定非法与网络上的网络机器相连接的机器的连接端口的非法机器连接位置确定装置,以及连接位置确定方法。
为了解决上述问题,本发明是一种在将带有远程管理功能的网络机器连接起来多级构成的网络中,确定与上述带有远程管理功能的网络机器非法连接的机器的位置的非法机器的连接位置确定装置,具有存储部以及对其进行控制的处理部。上述处理部,在检测到与上述带有远程管理功能的网络机器相连接的上述机器的非法连接的的情况下,至少,与保持上述所检测到的机器的物理地址与其端口之间的对应关系的上述带有远程管理功能的网络机器,进行双向通信,将与上述各个带有远程管理功能的网络机器的端口的前端相连接的上述带远程管理功能的网络机器以及上述连接位置确定装置的相关物理地址和与其相对应的端口,保持在相应的各个带远程管理功能的网络机器中之后,将上述各个带远程管理功能的网络机器所保持的上述物理地址与上述端口之间的对应关系,收集在上述存储部中。
或者,是一种在具有多个端口的交换集线器多级连接而构成的网络中,确定出非法连接的机器的位置的非法机器的连接位置确定方法,将对上述各个交换集线器,确定到与上述交换集线器的各个端口相连接的终端的交换集线器的信息保存起来;根据上述所存储的确定交换集线器的信息,将连接有上述非法机器的端口与连接自己的端口不同的交换集线器,以连接自己的交换集线器为基准,顺次选择,通过这样来确定非法连接的机器的位置。
在收集在上述存储部中的上述带远程管理功能的网络机器的相关上述物理地址与上述端口之间的对应关系中,保持上述非法连接的机器与上述连接位置确定装置的物理地址,并且选定与该各个物理地址相对应的上述端口不一致的上述带远程管理功能的网络机器以及该上述端口,确定连接有上述非法连接的机器的终端的上述带远程管理功能的网络机器,以及该上述端口,将上述所确定的终端的上述带远程管理功能的网络机器以及该上述端口向外输出。
根据本发明,能够在网络中确定连接有非法机器的带远程管理功能的网络机器以及其端口。
附图说明
图1为说明包括本发明的实施方式1的相关非法机器的连接位置确定装置的全体系统的方框图。
图2为说明包括图1的交换集线器的机器的IP地址以及MAC地址的图。
图3为说明图1的连接位置确定装置的构成的方框图。
图4为说明图1的交换集线器构成的方框图。
图5为说明图1的中继集线器的构成的方框图。
图6为说明图1的连接位置确定装置的全部处理顺序的图。
图7为说明图3的交换地址表之一例的图。
图8为说明图3的中继集线器地址表之一例的图。
图9为说明图1的3个交换集线器的FDB保持状态的图。
图10为说明图9的交换集线器以外的3个交换集线器的FDB保持状态的图。
图11为说明图1的中继集线器的地址道的保持状态的图。
图12为详细说明图6的S500中的处理顺序的图。
图13为说明通过图12的S501所保持的3个交换集线器的FDB保持状态的图。
图14为说明图13的交换集线器以外的3个交换集线器的FDB保持状态的图。
图15为说明包括通过图13的S506所设定的优先标志的交换地址表的图。
图16为说明包括通过图13的S506所设定的优先标志的另一个交换地址表的图。
图17为说明包括本发明的实施方式2的相关非法机器的连接位置确定装置的全体系统的方框图。
图18为说明图17的3个交换集线器的FDB保持状态的图。
图19为说明图18的交换集线器以外的3个交换集线器的FDB保持状态的图。
图20为说明图17的中继集线器的地址道的保持状态的图。
图21为说明包括本发明的实施方式3的相关非法机器的连接位置确定装置的全体系统的方框图。
图22为说明图21的连接位置确定装置中的交换地址表的数据结构的图。
图23为说明图21的交换集线器中的FDB保持状态的图。
图24为说明设定了图22的交换地址表中的优先标志的状态的图。
图25为说明设定了图24的交换地址表中的优先标志的状态的图。
图中:10...连接位置确定装置,21~26...交换集线器,41、42...中继集线器
具体实施方式
[实施方式1]
图1为说明包括本发明的实施方式1的相关非法机器的连接位置确定装置的全体系统的方框图。
图1中,非法机器的连接位置确定装置(以下简称作“连接位置确定装置”)10,与交换集线器21的端口P1相连接,交换集线器21与位于下层的多个交换集线器22、23相连接。另外,交换集线器21~23具有远程管理功能(后述的交换集线器24~26也一样)。这里所说的远程管理功能是指,对应于来自连接位置确定装置10的要求,返回FDB或地址道中所保持的信息的功能。
交换集线器23经位于下层的交换集线器24,与中继集线器41相连接,该中继集线器41的端口P1中,连接有计算机等机器5。中继集线器41具有上述的远程管理功能(后述的中继集线器42也一样)。上述机器5是允许进行连接的合法机器。
另外,交换集线器23经位于下层的多个交换集线器25、26,与中继集线器42相连接,该中继集线器42的端口P1以及P2中,分别连接有计算机等机器7。接下来连接有机器31。机器7与上述机器5一样,是合法机器,机器31是不允许连接网络的非法个人计算机等机器。另外,图1中,符号P1、P2、P4、P6~P8表示端口的编号。另外,机器1~8表示合法机器。像这样,多个交换集线器(交换集线器)21~26等具有远程管理功能的网络机构多级连接,构成网络。
这里,图1中所示的网络上的所有机器,也即连接位置确定装置10、交换集线器21~26、中继集线器41、42、机器1~8、31等,如图2所示,分别被分配了IP地址(逻辑地址)以及MAC地址(物理地址)。
接下来,对上述连接位置确定装置10的构成进行说明。
图3为说明连接位置确定装置的构成的方框图。图3中,连接位置确定装置10例如是个人计算机等计算机,具有连接在总线160上的处理部110、用来经网络进行与其他机器之间的通信的通信接口(通信I/F)120、存储部130、显示部140以及输入部150。下面对其进行详细说明。
输入部150是键盘或鼠标等输入设备,显示部140是计算机显示器等显示设备。
存储部130是存储器等存储装置,保存有机器地址表131、交换地址表132、中继集线器地址表133以及限制区域信息134。机器地址表131中存储有连接在网络上的机器(例如机器1~8)的IP地址以及MAC地址。
交换地址表132中,存储有关于图1中所示的交换集线器21~26的IP地址以及MAC地址的对应关系等。另外,中继集线器地址表133中,存储有关于图1中所示的中继集线器41、42的IP地址以及MAC地址的对应关系等。另外,关于交换地址表132以及中继集线器地址表133的构成将在后面详细说明。
限制区域信息134,是关于(1)允许联网的IP地址或MAC地址,或(2)不允许联网的IP地址或MAC地址的信息,这里,将不允许联网的IP地址设为“192.162.1.31”~“196.168.1.39”。将使用包括在该限制区域信息134中的IP地址的机器,判断为非法机器。
处理部110是CPU等处理装置,具有远程收集部111、机器地址检测部112、连接监视部113、通信部114以及非法机器连接位置确定部(以下称作“确定部”)115。这些各个部111~115,按照连接位置确定装置10中所安装的连接位置确定程序进行动作,详细情况将在后面说明。上述连接位置确定程序,既可以事先存储在存储部130的给定区域中,又可以从CD-ROM等计算机可读存储媒体中读取。
接下来,对交换集线器21~26的构成进行说明。
图4为说明交换集线器的构成的方框图。这里只对交换集线器21进行说明,但气体交换集线器22~26的构成均与交换集线器21一样。
图4中,交换集线器21具有处理部(处理器)200、存储部(存储器)210以及多个端口P1~P8。存储部210中,存储有保存端口编号与MAC地址之间的对应关系的转发数据库(以下简称作“FDB”)211。通过该FDB211,保存从每一个端口所获得的接收帧的发送源MAC地址。
接下来,对中继集线器41、42的构成进行说明。
图5为说明中继集线器的构成的方框图。这里,只对中继集线器41进行说明,但另一个中继集线器42的构成与中继集线器41一样。
图5中,中继集线器41具有处理部(处理器400、存储部(存储器)410以及多个端口P1~P4。存储部410中,存储有地址道411。通过该地址道411,保存从每一个端口最后所获得的接收帧的发送源MAC地址。
接下来,对上述连接位置确定装置10的全体处理顺序进行说明。
图6为说明连接位置确定装置的全体处理顺序的图。这里,以在某个时刻图1中所示的机器31与中继集线器42的端口P2相连接的情况为例,来进行说明。
首先,图3中所示的连接位置确定装置10的处理部110,向自己所属的网络(这里,是在“192.168.1.0/24”中去除自己的逻辑地址(去除逻辑地址“192.168.1.1”~“192.168.1.254”中的“192.168.1.10”))发送地址解决请求,检测出回发其应答的连接机器的IP地址以及MAC地址(以下称作“地址检测”)(S100:此时的处理部110称作图3中所示的“机器地址检测部112”)。通过这样,连接位置确定装置10,检测出包括机器1~8、交换集线器21~26以及中继集线器41、42的所有节点的连接机器的IP地址以及MAC地址。之后,连接位置确定装置10,将这些连接机器的IP地址以及MAC地址之间的对应关系,登录在图3的机器地址表131中。
接下来,处理部110,向图3的机器地址表131上的地址,通过SNMP Get请求保存在FDB中的信息,判断回发了应答的地址是带有远程管理功能的交换集线器。另外,处理部110,向图3的机器地址表131上的地址,通过SNMP Get请求保存在地址道中的信息,判断回发了应答的地址是带有远程管理功能的中继集线器。像这样,判断带有远程管理功能的交换集线器以及带有远程管理功能的中继集线器的地址,处理部110生成图3中所示的交换地址表131以及图3中所示的中继集线器地址表133(S200:此时的处理部110也称作图3中所示的“机器地址检测部112”)。
另外,上述SNMP是Simple Network Management Protocol的简称,是网络环境下的管理协议。
图7中显示了此时的交换地址表132之一例,图8中显示了中继集线器地址表133之一例。
首先,对交换地址表132进行说明。根据图7,交换地址表132中,相关联存储有IP地址、MAC地址、优先标志以及参照完成标志。这里,存储有图1中所示的交换集线器21~26的IP地址(“192.168.1.21”~“192.168.1.26”),以及MAC地址(“00:22:33:00:00:21”~“00:22:33:00:00:26”)。另外,优先标志是在确定非法机器的连接位置时,表示优先参照该记录上的交换集线器的标志,参照完成是表示是否已经参照了该记录的标志,详细内容将在后面说明。
接下来,对中继集线器地址表133进行说明。根据图8,中继集线器地址表133中,存储有图1中所示的中继集线器41、42的IP地址(“192.168.1.41”~“192.168.1.42”),以及MAC地址(“00:33:44:00:00:41”~“00:33:44:00:00:42”)。
回到图6,S300中,处理部110监控地址解决请求协议,并对网络的连接状况进行监视(S300:此时的处理部110称作图3中所示的“连接监视部113”)。这种情况下,例如为机器31与中继集线器42相连接,在连接时机器31广播发送地址解决请求。于是,处理部110将从该地址解决请求所得到的机器31的IP地址,以及与其相对应的MAC地址保存起来。之后,处理部110判断这些地址是图3中所示的机器地址表131中未登录的地址,从而判断机器31是新连接的机器。
另外,通过上述的广播发送,从该地址解决请求所得到的机器31的地址也被发送给交换集线器21~26。此时的交换集线器21~26的FDB211的保持状态如图9以及图10所示。另外,此时的中继集线器41、42的地址道411的保持状态如图11所示。
首先,对交换集线器21~26的FDB211的保持状态进行说明。交换集线器21的FDB211中,如图9(a)所示,将通过来自上述机器31的地址解决请求所保持的机器31的MAC地址“00:11:22:00:00:31”,与接收到该请求的端口编号“8”之间的对应关系保持起来(参照该图(a)的粗框)。另外,如图9(b)所示,交换集线器22的FDB211中,也将通过来自上述机器31的地址解决请求所保持的机器31的MAC地址“00:11:22:00:00:31”,与接收到该请求的端口编号“8”之间的对应关系保持起来(参照该图(b)的粗框)。另外,如图9(c)所示,交换集线器23的FDB211中,也将通过来自上述机器31的地址解决请求所保持的机器31的MAC地址“00:11:22:00:00:31”,与接收到该请求的端口编号“7”之间的对应关系保持起来(参照该图(c)的粗框)。这样,其他所有的开关24~26的FDB211,也如图10(a)、(b)、(c)所示,将通过来自上述机器31的地址解决请求所保持的机器31的MAC地址“00:11:22:00:00:31”,与接收到该请求的端口编号之间的对应关系保持起来(参照该图(a)~(c)的粗框)。
接下来,对中继集线器41、42的地址道411的保持状态进行说明。中继集线器41的地址道411,如图11(a)所示,将图1中所示的机器5的MAC地址“00:11:22:00:00:05”,与接收到该地址的端口编号“1”之间的对应关系保持起来。与此相对,如图11(b)所示,中继集线器42的地址道411,将通过来自上述机器31的地址解决请求所保持的机器31的MAC地址“00:11:22:00:00:31”,与接收到该请求的端口编号“2”之间的对应关系保持起来(参照该图(b)的粗框)。
另外,图11(b)中,保持有与两个端口编号“1”、“2”相对应的MAC地址,但在端口“1”经中继集线器等与其他带有远程管理功能的网络机器相连接的情况下,将端口“1”中所接收到的MAC地址,重写为与同一个端口相连接的其他带有远程管理功能的网络机器的MAC地址。这是由于,地址道411中总是保存最后接收到的帧的发送源MAC地址。
回到图6继续进行说明。S400中,处理部110,例如在S300中进行连接监视时,由于根据来自所连接的机器31的地址解决请求所取得的机器31的IP地址“192.168.1.31”,包括在图3中所示的限制区域信息134中,因此检测出是非法机器(S400的“是”的情况),进入S500。
S500中,处理部110使用在S400中检测为非法机器的机器31的IP地址“192.168.1.31”与MAC地址“00:11:22:00:00:31”,确定机器31的连接位置(S500:此时的处理部110称作图3中所示的“确定部115”)。关于该确定处理将在接下来的图12中进行详细说明。
图12为详细说明图6的S500中的处理顺序的图。
首先,图3中所示的处理部110,向所有的交换集线器21~26与中继集线器41、42,进行例如SNMP Get请求(S500:此时的处理部110称作图3中所示的“通信部114”)。根据该SMNP Get请求,图1中所示的交换集线器21~26与中继集线器41、42,将对上述请求的应答回发给连接位置确定装置10,位于途中的交换集线器21~26的FDB211中,保持有每一个端口所能够接收到的上述应答帧的发送源MAC地址。此时的交换集线器21~26的FDB211的保持状态如图13以及图14所示。
如图13(a)所示,交换集线器21的FDB211中,例如对每一个端口保持有图1中所示的交换集线器23等的MAC地址(“00:22:33:00:00:23”等)。同样,交换集线器22、23的FDB211中,也如图13(b)、(c)所示,对每一个端口保持有MAC地址。
同样,其他交换集线器24~26的FDB211中,也如图14(a)~(c)所示,对每一个端口保持有MAC地址。
另外,S501中使用的是SNMP Get请求,但如果进行与交换集线器21~26或中继集线器41、42之间的双向通信,也可以进行ARP请求·应答、ICMP(Internet Control Message Protocol)Echo等通信。
另外,上述双向通信,在交换集线器21~26的FDB211中所保持的MAC地址与端口的保持期限为到期的间隔(这里表示时效计时器到期之前的意思)中进行。
回到图12,S502中,处理部110参照图7中所示的交换地址表131,例如使用图1中所示的交换集线器21的IP地址以及MAC地址(参照图7的最上部),收集交换集线器21的FDB211的存储数据。该收集例如通过SNMP请求(网络管理请求)进行(此时的处理部110称作图3中所示的“远程收集部111”)。通过这样,处理部110收集图13(a)中所示的交换集线器21的存储数据,保存到图3的存储部130的给定区域中。
接下来,处理部110中,根据由在S502中所进行的SNMP请求所收集的图13(a)的交换集线器21的FDB211,判断与S300中所检测并存储的机器31的MAC地址相对应的端口的有无(S503)。图13(a)中,由于存在与机器31的MAC地址“00:11:22:00:00:31”相对应的端口“8”,因此,S503中,处理部110判断有对应的端口(S503的“是”的情况),进入下面的S504,判断是否有与在S503中判断为有的端口“8”相同的端口中的连接位置确定装置10的MAC地址“00:11:22:00:00:10”。
图13(a)中,由于在与端口“8”不同的端口“1”中,存在连接位置确定装置10的MAC地址“00:11:22:00:00:10”,因此在S504中,判断没有与在S503中判断为有的端口“8”相同的端口中的连接位置确定装置10的MAC地址(S504的“否”的情况),进入S505。
S505中,由于从图13(a)中所示的交换集线器21的FDB211,向端口“8”登录有交换集线器23~26的MAC地址(“00:22:33:00:00:23”~“00:22:33:00:00:26”),因此,处理部110,判断有与在S503中判断为有的端口“8”相同的端口中的交换集线器的MAC地址(S505的“是”的情况),进入S506。S506中,处理部110在图7中所示的交换地址表132中,如图15所示,设定在S505中判断为有MAC地址的交换集线器23~26的优先标志(参照图15中的“优先”)。另外,设定交换集线器21的参照完成标志(参照图15中的“完成”)。这样,选定成为图1中所示机器31的通信经路的交换集线器23~26。
之后,处理部110进入S507,判断在图15中所示的交换地址表132中,有参照完成标志未设定,也即未参照的交换集线器22~26(S507的“是”的情况),回到S502。
S502中,处理部110参照图15中所示的交换地址表132,使用例如设定了优先标志,且未参照的交换集线器24的IP地址“192.168.1.24”以及MAC地址“00:22:33:00:00:24”,收集图14(a)中所示的交换集线器24的FDB211的存储数据。图14(a)中所示的交换集线器24的FDB211中,由于存在与非法连接的机器31的MAC地址相对应的端口“8”,且该端口“8”中存在连接位置确定装置10的MAC地址,因此,处理部110进入到S503的“是”之后,在接下来的S504中进入“是”从而进入S507。之后,处理部110,判断在图15中所示的交换地址表132中,有未处理的交换集线器22、23、25、26(S507的“是”的情况),回到S502。
在接下来的S502中,处理部110参照图15中所示的交换地址表132,使用例如设定了优先标志,且未参照的交换集线器25的IP地址“192.168.1.25”以及MAC地址“00:22:33:00:00:25”,收集图14(b)中所示的交换集线器25的FDB211的存储数据。图14(b)中所示的交换集线器25的FDB211中,由于存在与非法连接的机器31的MAC地址相对应的端口“7”,但该端口“7”中不存在连接位置确定装置10的MAC地址,因此,处理部110进入到S503的“是”之后,在接下来的S504中进入“否”从而进入S505。
S505中,处理部110,判断在图14(b)中所示的交换集线器25的FDB211中,在S503中判断为有的端口“7”中存在交换集线器26的MAC地址“00:22:33:00:00:26”(S505的“是”的情况),按顺序进入下面的S506、S507的“是”、S502。
S506中,如图16所示,将S504中判断为有的MAC地址的交换集线器26的优先标志更新设定为有效。
在接下来的S502中,处理部110参照图16中所示的交换地址表132,使用例如设定了优先标志,且未参照的交换集线器26的IP地址“192.168.1.26”以及MAC地址“00:22:33:00:00:26”,收集图14(c)中所示的交换集线器26的FDB211的存储数据。图14(c)中所示的交换集线器26的FDB211中,由于存在与连接在限制区域内的机器31的MAC地址相对应的端口“7”,但该端口“7”中不存在连接位置确定装置10的MAC地址,因此,处理部110进入到S503的“是”之后,在接下来的S504中进入“否”从而进入S505。
S505中,处理部110,判断在图14(c)中所示的交换集线器26的FDB211中,在S503中判断为有的端口“7”中不存在交换集线器的MAC地址(S505的“否”的情况),进入接下来的S508。
S508中,由于在图14(c)中所示的交换集线器26的FDB221中,在S503中判断为有的端口“7”中存在中继集线器42的MAC地址“00:22:33:00:00:42”,因此进入S508的“是”,从而进入S509。
另外,在S508中为“否”的情况下,处理部110进入接下来的S508A,确定交换集线器与端口,进入后述的S511。
S509中,首先,处理部110参照图8中所示的中继集线器地址表133,使用在S508中所检测出的中继集线器42的IP地址“192.168.1.42”以及MAC地址“00:33:44:00:00:42”,通过SNMP请求,收集图11(b)中所示的中继集线器42的地址道411的存储数据。由于图11(b)中所示的中继集线器42的地址道411中,存在与非法连接的机器31的MAC地址“00:11:22:00:00:31”相对应的端口“2”,因此,处理部110进入S509的“是”,从而进入S510。
S510中,处理部110确定中继集线器42与端口“2”,在接下来的S511中,将表示这一内容的信息,也即中继集线器42的端口“2”,外部输出并显示在显示部140中。该显示中,也可以显示出中继集线器42的IP地址或MAC地址。
另外,在S509中为“否”的情况下,处理部110只确定中继集线器(S509A),在S511中将表示该消息的信息显示在显示部140中。
这样,用户能够确认与机器31相连接的中继集线器42及其端口“2”。例如不被连接在交换集线器的上层或下层的哪一个位置中等拓扑所左右,另外,不一定要对全部网络机器收集MAC地址与端口的对应关系,就能够通过连接端口来确定非法机器31的位置。因此,能够迅速确定机器31的连接位置,谋求用来避免非法联网的对策。
[实施方式2]
图17为说明包括本发明的实施方式2的相关非法机器的连接位置确定装置的全体系统的方框图。另外,给与上述实施方式1相同的部分,标注相同的符号,省略重复说明。
图17中,在图1中所示带有远程管理功能的中继集线器42的下层,连接有不具有远程管理功能的非对应中继集线器51,该非对应中继集线器51的端口P2中,连接有上述非法机器31。其他构成与实施方式1几乎相同,因此省略说明。
这种情况下,在图17中所示的连接位置确定装置10中,通过上述的图12所示的S501,图17中所示的交换集线器21~23的FDB211,变为图18(a)~(c)中所示的保持状态。另外,图17中所示的交换集线器24~26的FDB211,变为图19(a)~(c)中所示的保持状态。另外,图17中所示的带有远程管理功能的中继集线器41、42的地址道411,变为图20(a)、(b)中所示的保持状态。之后,连接位置确定装置10的处理部110,通过执行从图12中所示的S502到S510之间的处理,将图17中所示的中继集线器42的端口“2”,显示在显示部140中。
也即,处理部110保持非法连接的机器31与连接位置确定装置10的物理地址,且将与该各个物理地址相对应的端口不一致的交换集线器21、23、25、26以及中继集线器42,选定为与非法机器31的MAC地址相对应的端口方向,通过这样,确定与机器31所连接的非对应中继集线器51相连接的、具有远程管理功能的上层中继集线器42的端口“2”,并向外部输出。通过这样,用户能够确认非法机器31所连接的终端的中继集线器42及其端口“2”,是非常有利的。
另外,即使在具有远程管理功能的上层中继集线器42的端口“2”中所保持的MAC地址,被从非法机器31重写为机器7的信息的情况下,虽然端口不明,但也能够确定到非法机器31所连接的中继集线器42,是很有利的。
[实施方式3]
图21为说明包括本发明的实施方式3的相关非法机器的连接位置确定装置的全体系统的方框图。另外,给与上述实施方式1、2相同的部分,标注相同的符号,省略重复说明。
图21中,在图1中所示的交换集线器23与交换集线器26之间,连接有非对应中继集线器52,交换集线器26的端口“2”中,连接有上述非法机器31。另外,非对应中继集线器52不具有远程管理功能。其他构成与实施方式1几乎相同,因此省略说明。
这种情况下,在图21中所示的连接位置确定装置10中,通过上述的图6所示的S200,生成图22中所示的交换地址表132,之后,通过图12中所示的S501,图21中所示的交换集线器21~24、26的FDB211,变为图23(a)~(e)中所示的保持状态。之后,连接位置确定装置10的处理部110,通过执行从图12中所示的S502到S510之间的处理,将图22中所示的交换地址表132按照图24、25的顺进行更新。
之后,最终处理部110,将图21中所示的交换集线器26的端口“2”,显示在显示部140中。
也即,处理部110,保持非法连接的机器31与连接位置确定装置10的物理地址,并且将与该各个物理地址相对应的端口不一致的交换集线器21、23、26,选定为与非法机器31的MAC地址相对应的端口方向,通过这样,确定与机器31相连接的交换集线器26的“2”,并向外部输出。通过这样,用户能够确认非法机器31所连接的终端的交换集线器26及其端口“2”。
另外,本发明并不仅限于上述实施方式。交换集线器的台数还能够通过现有的技术进行变更。另外,交换集线器在不脱离本发明的要点的范围内,可以进行各种组合,构建成网络。
另外,连接位置确定装置10的构成(包括数据结构)以及程序处理的顺序,可以通过现有的技术进行各种变更。例如,图12的S502~S507中,对顺次收集登录在交换地址表132中的交换集线器的FDB211,并参照其内容的情况进行了说明,但也可以在一并收集了所有的交换集线器的FDB211之后,再参照其内容。
Claims (14)
1.一种非法机器的连接位置确定装置,其特征在于:
是一种用来在将带有远程管理功能的网络机器多级连接起来所构成的网络中,确定与上述带有远程管理功能的网络机器非法连接的机器的位置的非法机器的连接位置确定装置,该带有远程管理功能的网络机器设有多个与网络相连接的端口,具有学习从每一个端口所接收到的帧的发送源物理地址并保持多个的转发数据库(以下称作“FDB”),且具有根据来自远程机器的请求将FDB的内容应答给请求源的远程管理功能,
具有存储部以及对其进行控制的处理部;
上述处理部,
在检测到与上述带有远程管理功能的网络机器相连接的上述机器的非法连接的的情况下,至少,与保持上述所检测到的机器的物理地址与其端口之间的对应关系的上述带有远程管理功能的网络机器,进行双向通信,将与上述各个带有远程管理功能的网络机器的端口的前端相连接的上述带远程管理功能的网络机器以及上述连接位置确定装置的相关物理地址和与其相对应的端口,保持在相应的各个带远程管理功能的网络机器中之后,
将上述各个带远程管理功能的网络机器所保持的上述物理地址与上述端口之间的对应关系,收集在上述存储部中,
在收集在上述存储部中的上述带远程管理功能的网络机器的相关上述物理地址与上述端口之间的对应关系中,保持上述非法连接的机器与上述连接位置确定装置的物理地址,并且选定与该各个物理地址相对应的上述端口不一致的上述带远程管理功能的网络机器以及该上述端口,确定连接有上述非法连接的机器的终端的上述带远程管理功能的网络机器以及该上述端口,
将上述所确定的终端的上述带远程管理功能的网络机器以及该上述端口向外输出。
2.如权利要求1所述的连接位置确定装置,其特征在于:
上述处理部,
在某个物理地址与端口的对应关系中,存在保持有非法连接机器的物理地址的端口,该端口中没有保持有上述连接位置确定装置的物理地址,且该端口中也没有保持有其他网络机器的物理地址的情况下,判断具有该物理地址与端口的对应关系的网络机器是连接有非法连接机器的网络机器,且保持该非法连接机器的物理地址的端口,是非法连接机器所连接的端口。
3.如权利要求1所述的连接位置确定装置,其特征在于:
上述处理部,
在某个网络机器的物理地址与端口的对应关系中,存在保持有非法连接机器的物理地址的端口,该端口中没有保持有连接位置确定装置的物理地址,且该端口中保持有其他网络机器的物理地址的情况下,
接下来所选定的是,让该非法连接机器的物理地址所保持的端口中保持的网络机器优先。
4.如权利要求1所述的非法机器的连接位置确定装置,其特征在于:
上述处理部,
在上述各个带远程管理功能的网络机器中所保持的上述物理地址与上述端口之间的对应关系的保持期限未到期的间隔内,进行上述连接位置确定装置与上述带远程管理功能的网络机器之间的双向通信。
5.如权利要求1所述的非法机器的连接位置确定装置,其特征在于:
上述处理部,
根据地址解决请求,检测出与自己相连接的之外的上述带远程管理功能的网络机器的物理地址以及逻辑地址,使用所检测出的物理地址以及逻辑地址,在上述带远程管理功能的网络机器中进行上述网络管理请求。
6.如权利要求1所述的非法机器的连接位置确定装置,其特征在于:
上述存储部中,预先具有允许联网的逻辑地址或物理地址,或不允许联网的逻辑地址或物理地址的表格,
上述处理部,
在通过地址解决请求所检测出的该机器的物理地址或逻辑地址不是允许地址的情况下,或是不允许地址的情况下,判断为非法连接。
7.如权利要求1~6中任一个所述的非法机器的连接位置确定装置,其特征在于:
在上述带远程管理功能的网络机器的下层,连接不具有远程管理功能的非对应网络机器,构成网络,在该非对应网络机器中非法连接有机器的情况下,
上述处理部,
至少,与保持上述所检测到的机器的物理地址与其端口之间的对应关系的上述带有远程管理功能的网络机器,进行双向通信,将与上述各个带有远程管理功能的网络机器的端口的前端相连接的上述带远程管理功能的网络机器以及上述连接位置确定装置的相关物理地址和与其相对应的端口,保持在相应的各个带远程管理功能的网络机器中之后,
将上述各个带远程管理功能的网络机器所保持的上述物理地址与上述端口之间的对应关系,收集在上述存储部中,
在上述各个带远程管理功能的网络机器的相关上述物理地址与上述端口之间的对应关系中,保持上述非法连接的机器与上述连接位置确定装置的物理地址,并且选定与该各个物理地址相对应的上述端口不一致的上述带远程管理功能的网络机器,
确定连接在非对应网络机器的上层的带远程管理功能的网络机器的端口并向外输出。
8.如权利要求1~6中任一个所述的非法机器的连接位置确定装置,其特征在于:
上述网络机器中,进一步在上层的带远程管理功能的网络机器与下层的带远程管理功能的网络机器之间,连接不具有远程管理功能的非对应网络机器,构成网络,在下层的带远程管理功能的网络机器中非法连接有机器的情况下,
上述处理部,
至少,与保持上述所检测到的机器的物理地址与其端口之间的对应关系的上述带有远程管理功能的网络机器,进行双向通信,将与上述各个带有远程管理功能的网络机器的端口的前端相连接的上述带远程管理功能的网络机器以及上述连接位置确定装置的相关物理地址和与其相对应的端口,保持在相应的各个带远程管理功能的网络机器中之后,
将上述各个带远程管理功能的网络机器所保持的上述物理地址与上述端口之间的对应关系,收集在上述存储部中,
在上述各个带远程管理功能的网络机器的相关上述物理地址与上述端口之间的对应关系中,保持上述非法连接的机器与上述连接位置确定装置的物理地址,并且选定与该各个物理地址相对应的上述端口不一致的上述带远程管理功能的网络机器,
确定下层中连接有非法机器的带远程管理功能的网络机器的端口并向外输出。
9.如权利要求1~6中任一个所述的非法机器的连接位置确定装置,其特征在于:
上述网络机器的下层中,连接有具有多个连接网络的端口,具备只将每一个端口中所接收到的帧中最后接收到的帧的发送源物理地址只1个保持起来的地址道的中继集线器,且具有根据来自远程机器的要求将地址道的内容应答给请求源的远程管理功能的带远程管理功能的中继集线器,构成网络,该带远程管理功能的中继集线器中非法连接有机器的情况下,
上述处理部,
至少,与保持上述所检测到的机器的物理地址与其端口之间的对应关系的上述带有远程管理功能的网络机器,进行双向通信,将与上述各个带有远程管理功能的网络机器的端口的前端相连接的上述带远程管理功能的网络机器以及上述连接位置确定装置的相关物理地址和与其相对应的端口,保持在相应的该各个带远程管理功能的网络机器中之后,
将上述各个带远程管理功能的网络机器所保持的上述物理地址与上述端口之间的对应关系,收集在上述存储部中,
在上述各个带远程管理功能的网络机器的相关上述物理地址与上述端口之间的对应关系中,保持上述非法连接的机器与上述连接位置确定装置的物理地址,并且选定与该各个物理地址相对应的上述端口不一致的上述带远程管理功能的网络机器,确定连接有非法机器的带远程管理功能的中继集线器,或连接有非法机器的带远程管理功能的中继集线器及其端口,并向外输出。
10.一种非法机器的连接位置确定装置,在具有多个端口的交换集线器多级连接而构成的网络中,确定出非法连接的机器的位置的非法机器的连接位置确定装置,其特征在于,具有:
存储机构,其存储有对上述各个交换集线器,确定到与上述交换集线器的各个端口相连接的终端的交换集线器的信息;以及
处理部,其根据上述所存储的确定交换集线器的信息,将连接有上述非法机器的端口与连接自己的端口不同的交换集线器,以连接自己的交换集线器为基准,顺次选择,通过这样来确定非法连接的机器的位置。
11.一种连接位置确定方法,其特征在于:
是一种用来在将带有远程管理功能的网络机器多级连接起来所构成的网络中,确定与上述带有远程管理功能的网络机器非法连接的机器的位置的非法机器的连接位置确定装置中的连接位置确定非法,该带有远程管理功能的网络机器设有多个与网络相连接的端口,具有学习从每一个端口所接收到的帧的发送源物理地址并保持多个的转发数据库(以下称作“FDB”),且具有根据来自远程机器的请求将FDB的内容应答给请求源的远程管理功能,
具有存储部以及对其进行控制的处理部;
上述处理部执行:
在检测到与上述带有远程管理功能的网络机器相连接的上述机器的非法连接的的情况下,至少,与保持上述所检测到的机器的物理地址与其端口之间的对应关系的上述带有远程管理功能的网络机器,进行双向通信,将与上述各个带有远程管理功能的网络机器的端口的前端相连接的上述带远程管理功能的网络机器以及上述连接位置确定装置的相关物理地址和与其相对应的端口,保持在相应的各个带远程管理功能的网络机器中的步骤;
将上述各个带远程管理功能的网络机器所保持的上述物理地址与上述端口之间的对应关系,收集在上述存储部中的步骤;
在收集在上述存储部中的上述带远程管理功能的网络机器的相关上述物理地址与上述端口之间的对应关系中,保持上述非法连接的机器与上述连接位置确定装置的物理地址,并且选定与该各个物理地址相对应的上述端口不一致的上述带远程管理功能的网络机器以及该上述端口,确定连接有上述非法连接的机器的终端的上述带远程管理功能的网络机器,以及该上述端口的步骤;以及
将上述所确定的终端的上述带远程管理功能的网络机器以及该上述端口向外输出的步骤。
12.如权利要求11所述的连接位置确定方法,其特征在于:
上述处理部,
在某个物理地址与端口的对应关系中,存在保持有非法连接机器的物理地址的端口,该端口中没有保持有上述连接位置确定装置的物理地址,且该端口中也没有保持有其他网络机器的物理地址的情况下,
判断具有该物理地址与端口的对应关系的网络机器是连接有非法连接机器的网络机器,且保持该非法连接机器的物理地址的端口,是非法连接机器所连接的端口。
13.如权利要求11所述的连接位置确定方法,其特征在于:
上述处理部,
在某个网络机器的物理地址与端口的对应关系中,存在保持有非法连接机器的物理地址的端口,该端口中没有保持有连接位置确定装置的物理地址,且该端口中保持有其他网络机器的物理地址的情况下,
接下来所选定的是,让该非法连接机器的物理地址所保持的端口中保持的网络机器优先。
14.一种非法机器的连接位置确定方法,在具有多个端口的交换集线器多级连接而构成的网络中,确定出非法连接的机器的位置的非法机器的连接位置确定方法,其特征在于:
将对上述各个交换集线器,确定到与上述交换集线器的各个端口相连接的终端的交换集线器的信息保存起来;以及
根据上述所存储的确定交换集线器的信息,将连接有上述非法机器的端口与连接自己的端口不同的交换集线器,以连接自己的交换集线器为基准,顺次选择,通过这样来确定非法连接的机器的位置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004332321 | 2004-11-16 | ||
| JP2004-332321 | 2004-11-16 | ||
| JP2004332321A JP4256834B2 (ja) | 2004-11-16 | 2004-11-16 | 不正機器の接続位置特定装置および接続位置特定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1777118A true CN1777118A (zh) | 2006-05-24 |
| CN1777118B CN1777118B (zh) | 2013-07-03 |
Family
ID=36627468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510120271 Expired - Fee Related CN1777118B (zh) | 2004-11-16 | 2005-11-09 | 用于非法机器的连接位置确定装置的方法及设备 |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP4256834B2 (zh) |
| CN (1) | CN1777118B (zh) |
| SG (1) | SG122898A1 (zh) |
| TW (1) | TW200629795A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102821037A (zh) * | 2011-06-07 | 2012-12-12 | 现代摩比斯株式会社 | 相机位置判别装置及方法 |
| CN103503383A (zh) * | 2011-02-18 | 2014-01-08 | 雅马哈株式会社 | 通信系统、路由器、交换式集线器及通信方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4973866B2 (ja) * | 2007-09-25 | 2012-07-11 | サクサ株式会社 | Ip通信端末の在所判定方法、ipネットワーク管理装置およびハブ |
| EP2600566B1 (en) * | 2010-07-30 | 2017-08-02 | Cyber Solutions Inc. | Unauthorized access blocking control method |
| JP5664862B2 (ja) * | 2011-02-17 | 2015-02-04 | 日本電気株式会社 | ポート検出方法、ポート検出プログラム、調査用端末、及び、ネットワークシステム |
| US9276953B2 (en) | 2011-05-13 | 2016-03-01 | International Business Machines Corporation | Method and apparatus to detect and block unauthorized MAC address by virtual machine aware network switches |
| WO2014069029A1 (ja) * | 2012-11-02 | 2014-05-08 | 村田機械株式会社 | 通信デバイスと通信機器及び通信システム |
| US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
| CN110365635B (zh) * | 2019-05-23 | 2022-04-26 | 新华三技术有限公司 | 一种非法端点的接入控制方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4558139B2 (ja) * | 2000-05-02 | 2010-10-06 | 株式会社バッファロー | ネットワーク管理装置 |
| JP4221919B2 (ja) * | 2001-07-18 | 2009-02-12 | 富士通株式会社 | Lan構成装置の設置場所の特定方法および検索装置 |
-
2004
- 2004-11-16 JP JP2004332321A patent/JP4256834B2/ja not_active Expired - Fee Related
-
2005
- 2005-10-20 TW TW094136693A patent/TW200629795A/zh not_active IP Right Cessation
- 2005-11-09 CN CN 200510120271 patent/CN1777118B/zh not_active Expired - Fee Related
- 2005-11-16 SG SG200507058A patent/SG122898A1/en unknown
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103503383A (zh) * | 2011-02-18 | 2014-01-08 | 雅马哈株式会社 | 通信系统、路由器、交换式集线器及通信方法 |
| CN103503383B (zh) * | 2011-02-18 | 2016-08-10 | 雅马哈株式会社 | 通信系统、路由器、交换式集线器及通信方法 |
| CN102821037A (zh) * | 2011-06-07 | 2012-12-12 | 现代摩比斯株式会社 | 相机位置判别装置及方法 |
| CN102821037B (zh) * | 2011-06-07 | 2016-01-06 | 现代摩比斯株式会社 | 相机位置判别装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI297985B (zh) | 2008-06-11 |
| TW200629795A (en) | 2006-08-16 |
| JP4256834B2 (ja) | 2009-04-22 |
| SG122898A1 (en) | 2006-06-29 |
| JP2006148255A (ja) | 2006-06-08 |
| CN1777118B (zh) | 2013-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1777118A (zh) | 非法机器的连接位置确定装置以及连接位置确定方法 | |
| CN1838636A (zh) | 用于使数据包穿越网络地址转换装置的方法和装置 | |
| CN1922823A (zh) | 无线网络的监视装置及监视系统 | |
| CN1771709A (zh) | 网络攻击特征标记的产生 | |
| CN1160899C (zh) | 分布式网络动态安全保护系统 | |
| CN1716915A (zh) | 模块型分组通信节点设备 | |
| CN1620010A (zh) | Vlan服务器 | |
| CN1929472A (zh) | 数据网络中管理数据传输的方法、系统、信号及介质 | |
| JP2005503070A5 (zh) | ||
| CN102859952A (zh) | 交换机和流表控制方法 | |
| CN1558615A (zh) | 一种物理网络拓扑发现系统及其方法 | |
| CN1708962A (zh) | 用于移动路由器之间拓扑更新的部署 | |
| CN1604568A (zh) | 数据包传送装置 | |
| CN1306432C (zh) | 自动配置覆盖网的方法和系统 | |
| CN1574790A (zh) | 用于控制数据包传输并产生记账数据的方法和装置 | |
| CN1305281C (zh) | 互联网协议分组错误处理设备及其方法 | |
| CN1592260A (zh) | 路由器设备、路由信息发布方法、和通信系统 | |
| CN105530138A (zh) | 一种数据监控方法及装置 | |
| CN1501659A (zh) | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 | |
| CN101043462A (zh) | 一种链路状态通告处理方法及路由器 | |
| CN1874282A (zh) | 通信系统以及在这种系统中使用的计算机和设备 | |
| JP2008532102A5 (zh) | ||
| CN1731743A (zh) | 管理网络设备的方法 | |
| CN1906905A (zh) | 拒绝服务攻击防御系统、拒绝服务攻击防御方法以及拒绝服务攻击防御程序 | |
| JP2009194675A (ja) | ネットワーク構成管理プログラム、ネットワーク構成管理装置、ネットワーク構成管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130703 Termination date: 20211109 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |