JP2004064204A - Network apparatus access control method, network apparatus control system, access control apparatus, and its program - Google Patents

Network apparatus access control method, network apparatus control system, access control apparatus, and its program Download PDF

Info

Publication number
JP2004064204A
JP2004064204A JP2002216535A JP2002216535A JP2004064204A JP 2004064204 A JP2004064204 A JP 2004064204A JP 2002216535 A JP2002216535 A JP 2002216535A JP 2002216535 A JP2002216535 A JP 2002216535A JP 2004064204 A JP2004064204 A JP 2004064204A
Authority
JP
Japan
Prior art keywords
information
network device
access control
terminal
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002216535A
Other languages
Japanese (ja)
Inventor
Yoshinaga Seki
関 義長
Yoshiaki Hoshino
干野 義明
Tomohiko Tanigawa
谷川 智彦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
NEC Solution Innovators Ltd
Original Assignee
NEC Corp
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, NEC Solution Innovators Ltd filed Critical NEC Corp
Priority to JP2002216535A priority Critical patent/JP2004064204A/en
Publication of JP2004064204A publication Critical patent/JP2004064204A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To prevent a deterioration in various performances by reducing a load of a network apparatus, to improve the fault tolerance of the network apparatus control system, and to enable communication only between the access control apparatus and a particular terminal. <P>SOLUTION: Authentication communication transmitted from terminals 30a to 30n reach a DHCP server 11 of the address control apparatus 10 through a network apparatus 20. When an approval means 12 confirms delivery of an IP address in the DHCP server 11, the approval means 12 extracts terminal information from the DHCP server 11 and executes comparison and discrimination between the terminal information and approval information stored in an approval information database 13. When the result of discrimination indicates that the approval information includes the terminal information, the approval means 12 gives the terminal information to a setting means 14. Then the setting means 14 sets propriety of use of a port to a control means 21 of the network apparatus 20. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク機器アクセス制御方法、ネットワーク機器制御システム、アクセス制御装置及びそのプログラムに関し、特に、ネットワーク機器のポートに接続された一又は二以上の端末のうち特定の端末に対してのみ、アクセス制御装置が通信を実行するネットワーク機器アクセス制御方法、ネットワーク機器制御システム、アクセス制御装置及びそのプログラムに関する。
【0002】
【従来の技術】
従来、ネットワーク機器においては、通信可能な端末を制御する仕組みとして、端末のMACアドレスを利用したMAC−Based−VLAN方式が知られている。
このMAC−Based−VLAN方式は、スイッチングハブなどのネットワーク中継機器において、ポートごとに端末のMACアドレスを登録し、非登録端末の通信を拒否するようなアクセス制御を実現している。
【0003】
このMAC−Based−VLAN方式を用いて、ネットワーク中継機器の各ポートごとに使用可能/使用不可を設定する従来技術の一例が、特開2002−141916号公報に、ネットワーク管理システム並びにそれに用いるネットワーク中継機器及びネットワーク管理装置として開示されている。
【0004】
この公報に開示のネットワーク管理システム並びにそれに用いるネットワーク中継機器及びネットワーク管理装置によれば、ホスト名(識別キー),ユーザID,IPアドレス,MACアドレス等の端末情報によって認証されている端末のみが、ネットワークにアクセスできるようになり、ネットワークのセキュリティを確保できる。
【0005】
【発明が解決しようとする課題】
しかしながら、従来のネットワーク管理システム並びにそれに用いるネットワーク中継機器及びネットワーク管理装置においては、ネットワーク中継機器がすべての端末情報を収集管理していたため、このネットワーク機器に負荷がかかりすぎて、パケット転送処理などの性能が落ちるという問題があった。
【0006】
さらに、ネットワーク機器は、ポート使用可否の設定を行うために端末情報を管理することになるが、このネットワーク機器がダウンした場合には、その端末情報が失われてしまい修復が困難になるという耐障害性の問題があった。
【0007】
本発明は、上記の問題を解決すべくなされたものであり、アクセス制御装置と特定の端末との間でのみ通信を可能とするとともに、ネットワーク機器の負荷を軽減して各種性能の低下を防止でき、かつ、ネットワーク機器制御システム全体の耐障害性の向上を可能とするネットワーク機器アクセス制御方法、ネットワーク機器制御システム、アクセス制御装置及びそのプログラムの提供を目的とする。
【0008】
【課題を解決するための手段】
この目的を達成するため、本発明の請求項1記載のネットワーク機器アクセス制御方法は、ネットワークを利用して、ネットワーク機器のポートに接続された一又は二以上の端末とアクセス制御装置との間で通信を実行するネットワーク機器アクセス制御方法であって、端末が、ネットワーク機器を介してアクセス制御装置へ、認証用通信を送信する認証用通信送信段階と、アクセス制御装置が、端末との間の通信を許可するか否かを判断する通信許可判断段階と、この通信許可判断段階で通信許可と判断されると、アクセス制御装置が、ネットワーク機器に対して、ポート使用許可の設定を行う通知・設定段階とを有した方法としてある。
【0009】
ネットワーク機器アクセス制御方法をこのような方法とすると、アクセス制御装置がネットワーク機器に対してポート使用可否の設定を行うため、アクセス制御装置は、特定の端末との間でのみ通信を行うことができる。
そして、そのポート使用可否の設定が、アクセス制御装置からネットワーク機器に対して行われるものであって、ネットワーク機器自身が行うものではないため、ネットワーク機器の負荷が軽減される。
したがって、このネットワーク機器においては、パケット転送処理などに代表される各種性能の低下を防止できる。
【0010】
加えて、ポート使用可否の設定がアクセス制御装置で行われることから、端末情報がそのアクセス制御装置においても管理される。このため、バックアップなどを含め情報の管理が効率的に行えるとともに、ネットワーク機器がダウンした場合であっても、アクセス制御装置から情報を再設定するだけで対応できる。
したがって、ネットワーク機器制御システムにおける耐障害性の向上を図ることができる。
【0011】
また、請求項2記載のネットワーク機器アクセス制御方法は、アクセス制御装置の有する識別情報割当サーバを対象識別情報割当サーバとして予め設定しておく処理と、認証用通信を通過させる処理とをネットワーク機器が行う識別情報割当サーバ設定段階を有した方法としてある。
【0012】
ネットワーク機器アクセス制御方法をこのような方法とすれば、ネットワーク機器は、アクセス制御装置の識別情報割当サーバ(たとえば、DHCPサーバ等)を対象識別情報割当サーバとして設定することで、端末からの認証用通信(たとえば、DHCP−DISCOVERパケット送信)を通過させることができる。
このため、ネットワーク機器は、自らがアクセス制御装置へ認証用通信を送信するといった処理の負担を軽減できる。したがって、このネットワーク機器における各種性能の低下を防止できる。
【0013】
また、請求項3記載のネットワーク機器アクセス制御方法は、ネットワーク機器が、認証用通信を通過させる際に、端末識別情報及び/又はネットワーク識別情報などの識別情報を付加する方法としてある。
ネットワーク機器アクセス制御方法をこのような方法とすると、アクセス制御装置における端末情報と許可情報との比較判断の対象として、端末識別情報やネットワーク識別情報(たとえば、IPアドレス,MACアドレス、IPサブネット等)を用いることができる。
【0014】
また、請求項4記載のネットワーク機器アクセス制御方法は、通信許可判断段階が、通信を許可する端末の情報を、許可情報として、アクセス制御装置が予め記憶する処理と、認証用通信を送信してきた端末に関する端末情報の一部又は全部と一致する情報を、許可情報の中から検索し、この検索の結果にもとづいて、端末との間の通信を許可するか否かを判断する処理とを有した方法としてある。
【0015】
ネットワーク機器アクセス制御方法をこのような方法とすれば、アクセス制御装置は、認証用通信を送信してきた端末との通信を行うか否かを、その検索の結果にもとづいて判断できる。
そして、その判断がネットワーク機器ではなく、アクセス制御装置で実行可能なことから、ネットワーク機器においては、その判断処理の負担を軽減できる。従って、そのネットワーク機器における各種性能の低下を防止できる。
【0016】
また、請求項5記載のネットワーク機器アクセス制御方法は、通知・設定段階が、アクセス制御装置において、ネットワーク機器から設定情報を収集する処理と、識別情報とポートとの対応情報を生成する処理と、設定情報、対応情報及び/又は端末情報にもとづいてポート登録情報を生成し、この生成したポート登録情報をネットワーク機器へ送出することによりポート使用可否の設定を行う処理とを含む方法としてある。
【0017】
ネットワーク機器アクセス制御方法をこのような方法とすると、アクセス制御装置は、ネットワーク機器に対して、ポート使用可否の設定を行うができる。このため、ネットワーク機器は、従来、自身でポート使用可否を設定していたことに比べて、その処理負担を軽減できる。
したがって、ネットワーク機器は、パケット転送処理などの性能の低下を防止できる。
【0018】
また、請求項6記載のネットワーク機器制御システムは、ネットワークに接続されるとともに、複数のポートを有したネットワーク機器と、このネットワーク機器のポートに接続された一又は二以上の端末と、ネットワークを利用して、特定の端末との間でのみ通信を実行するアクセス制御装置とを備えたネットワーク機器制御システムであって、端末は、ネットワーク機器を介してアクセス制御装置へ、認証用通信を送信し、アクセス制御装置は、認証用通信を送信してきた端末との間の通信を許可するか否かを判断するとともに、この判断の結果にもとづいて、ネットワーク機器に対し、ポート使用許可の設定を行う構成としてある。
【0019】
ネットワーク機器制御システムをこのような構成とすれば、アクセス制御装置が、端末との間の通信を許可する場合に、ネットワーク機器に対してポート使用許可の設定を行うため、ネットワーク機器は、その設定処理を行う必要がなくなる。
したがって、ネットワーク機器の負担が軽減されることから、このネットワーク機器における各種性能の低下を防ぐことができる。
【0020】
また、請求項7記載のネットワーク機器制御システムは、ネットワーク機器が、端末からの認証用通信を通過させる制御手段を有し、アクセス制御装置が、認証用通信を送信してきた端末へ、端末識別情報及び/又はネットワーク識別情報を払い出す識別情報割当サーバと、通信を許可する端末の情報を、許可情報として、予め記憶する許可情報データベースと、認証用通信を送信してきた端末に関する端末情報を識別情報割当サーバから取り出し、この取り出した端末情報の一部又は全部と一致する情報を許可情報データベースに記憶されている許可情報の中から検索する許可手段と、この許可手段での検索結果にもとづいて、ネットワーク機器の制御手段に対し、ポート使用可否の設定を行う設定手段とを有した構成としてある。
【0021】
ネットワーク機器制御システムをこのような構成とすると、ネットワーク機器は、制御手段において、端末からの認証用通信を通過させることができる。このため、ネットワーク機器は、その認証用通信をアクセス制御装置へ送信する処理の負担を軽減できる。
さらに、ネットワーク機器は、自身がポート使用可否を設定するのではなく、アクセス制御装置からその設定を受けるため、そのポート使用可否の設定処理の負荷を軽減できる。
このため、ネットワーク機器は、これら処理の負荷を軽減できることから、パケット転送処理などの性能の低下を防止できる。
【0022】
そして、アクセス制御装置においては、ネットワーク機器に対して、ポート使用可否の設定が行われることから、端末情報や許可情報が記憶管理されている。
このため、アクセス制御装置において、バックアップなどを含め情報の管理を効率的に行うことができ、かつ、ネットワーク機器がダウンした場合においても、アクセス制御装置から情報を再設定するだけで対応できる。したがって、ネットワーク機器制御システムにおける耐障害性を向上できる。
【0023】
また、請求項8記載のネットワーク機器制御システムは、ネットワーク機器の制御手段が、アクセス制御装置の識別情報割当サーバを対象識別情報割当サーバとして設定する構成としてある。
ネットワーク機器制御システムをこのような構成とすれば、ネットワーク機器は、端末からの認証用通信(たとえば、DHCP−DISCOVERパケット送信等)を通過させることができる。このため、ネットワーク機器は、認証用通信の送信負荷を軽減できる。
したがって、ネットワーク機器における各種性能の低下を防止できる。
【0024】
また、請求項9記載のアクセス制御装置は、ネットワークを利用して、ネットワーク機器のポートに接続された一又は二以上の端末との間で通信を実行するアクセス制御装置であって、認証用通信を送信してきた端末へ、端末識別情報及び/又はネットワーク識別情報などの識別情報を払い出す識別情報割当サーバと、通信を許可する端末の情報を、許可情報として、予め記憶する許可情報データベースと、認証用通信を送信してきた端末に関する端末情報を識別情報割当サーバから取り出すとともに、この取り出した端末情報の一部又は全部と一致する情報を許可情報データベースに記憶された許可情報の中から検索する許可手段と、この許可手段での検索の結果にもとづいて、ネットワーク機器に対し、ポート使用可否の設定を行う設定手段とを有した構成としてある。
【0025】
アクセス制御装置をこのような構成とすると、ネットワーク機器に対して、ポート使用可否の設定を行うことができる。
このため、ネットワーク機器は、自らポート使用可否を設定する必要がなくなることから、この設定負荷を軽減できる。したがって、ネットワーク機器における各種性能の低下を防止できる。
【0026】
また、請求項10記載のアクセス制御装置は、設定手段が、ネットワーク機器から設定情報を収集するとともに、識別情報とポートとの対応情報を生成し、かつ、設定情報、対応情報及び/又は
端末情報にもとづきポート登録情報を生成して、ネットワーク機器へ送出する構成としてある。
【0027】
アクセス制御装置をこのような構成とすれば、設定手段は、ネットワーク機器に対して、ポート使用可否の設定を行うことができる。
このため、ネットワーク機器は、自らポート使用可否を設定する必要がなくなることから、この設定負荷を軽減できる。したがって、ネットワーク機器における各種性能の低下を防ぐことができる。
【0028】
また、請求項11記載のネットワーク機器アクセス制御プログラムは、ネットワークを利用して、ネットワーク機器のポートに接続された一又は二以上の端末との間で通信を行う処理をアクセス制御装置に実行させるネットワーク機器アクセス制御プログラムであって、端末との間の通信を許可するか否かを判断する処理と、この処理で通信許可と判断されると、ネットワーク機器に対して、ポート使用許可の設定を行う処理とをアクセス制御装置に実行させる構成としてある。
【0029】
このようなプログラムをアクセス制御装置に読み込ませて実行させることにより、アクセス制御装置は、ネットワーク機器に対して、ポート使用可否を設定しにいくことができる。
このため、ネットワーク機器においては、ポート使用可否の設定を処理する必要がなくなることから、それら処理の軽減により、パケット転送処理などの性能の低下を防止できる。
【0030】
さらに、本請求項のネットワーク機器アクセス制御プログラムを記録媒体に記録させることにより、プログラムの保存管理,バックアップ保存,プログラムメンテナンス,バージョンアップ時の再インストールなどが容易となる。
【0031】
また、請求項12記載のネットワーク機器アクセス制御プログラムは、通信を許可する端末の情報を許可情報として予め記憶しておく処理と、認証用通信を送信してきた端末に関する端末情報の一部又は全部と一致する情報を、許可情報の中から検索する処理と、この処理における検索の結果にもとづいて、端末との間の通信を許可するか否かを判断する処理と、この処理における判断の結果にもとづいて、ネットワーク機器に対し、ポート使用可否の設定を行う処理とをアクセス制御装置に実行させる構成としてある。
【0032】
このようなネットワーク機器アクセス制御プログラムをアクセス制御装置に読み込ませて実行させることにより、アクセス制御装置は、ネットワーク機器に対して、ポート使用可否を設定しにいくことができる。
これにより、ネットワーク機器は、自らポート使用可否の設定処理を実行しなくてもよいことから、この処理負担を軽減でき、各種性能の低下を防止できる。
【0033】
また、請求項13記載のネットワーク機器アクセス制御プログラムは、アクセス制御装置の有する識別情報割当サーバを対象識別情報割当サーバとして設定する処理と、認証用通信を通過させる処理とをネットワーク機器に実行させる構成としてある。
【0034】
このようなネットワーク機器アクセス制御プログラムをネットワーク機器に読み込ませて実行させることにより、ネットワーク機器は、端末からの認証用通信を通過させることができる。
このため、ネットワーク機器は、認証用通信をアクセス制御装置へ送信する処理を実行しなくてもよいことから、この処理負担を軽減できる。したがって、この処理の軽減により、パケット転送処理などの性能の低下を防止できる。
【0035】
また、請求項14記載のネットワーク機器アクセス制御プログラムは、ネットワーク機器から設定情報を収集する処理と、端末識別情報及び/又はネットワーク識別情報などの識別情報とポートとの対応情報を生成する処理と、設定情報、対応情報及び/又は端末情報にもとづいてポート登録情報を生成し、この生成したポート登録情報をネットワーク機器へ送出する処理とをアクセス制御装置に実行させる構成としてある。
【0036】
このようなネットワーク機器アクセス制御プログラムをアクセス制御装置に読み込ませて実行させることにより、アクセス制御装置は、ネットワーク機器に対して、ポート使用可否を設定しにいくことができる。
このため、ネットワーク機器は、自らがポート使用可否の設定処理を実行しなくてもよくなることから、この処理負担を軽減でき、各種性能の低下を防止できる。
【0037】
【発明の実施の形態】
以下、本発明の実施の形態について、図面を参照して説明する。
まず、本発明のネットワーク機器制御システム及びアクセス制御装置の実施形態について、図1を参照して説明する。
同図は、本実施形態のネットワーク機器制御システム(ネットワーク機器アクセス制御システム)の構成を示すブロック図である。
【0038】
同図に示すように、ネットワーク機器アクセス制御システム1は、クライアント/サーバ方式を採用しており、アクセス制御装置10と、ネットワーク機器20と、端末30(30a〜30n)と、中継装置40と、ネットワーク50とを有している。
ここで、アクセス制御装置10は、プログラム制御により動作するコンピュータであって、DHCPサーバ11と、許可手段12と、許可情報データベース13と、設定手段14とを有している。
【0039】
DHCPサーバ11は、DHCP(Dynamic Host Configuration Protocol)により、ネットワーク機器アクセス制御システム1におけるIPアドレスを一元管理する。
通常、DHCPサーバ11は、同一サブネットごとに設置され、クライアント(端末30a〜30n)の要求に応じてIPアドレスの動的割り当てを行う。これにより、クライアント(端末30a〜30n)は、個別にIPアドレスの設定を行うことなく、TCP/IP通信を行うことができる。
【0040】
なお、DHCPサーバ11は、端末30a〜30nやネットワーク50等を識別するための情報(端末識別情報やネットワーク識別情報などの識別情報)を端末30a〜30n等に割り当てるためのサーバ(識別情報割当サーバ)の代表例として設けられている。
このため、DHCPサーバ11は、ネットワーク機器アクセス制御システム1で用いられている通信プロトコルに対応した識別情報割当サーバに代えることができる。
【0041】
端末識別情報の具体例としては、IPアドレス,MACアドレスなどがあり、またネットワーク識別情報の具体例としては、IPサブネットなどがある。
ただし、端末識別情報やネットワーク識別情報は、それら具体例に限るものではなく、ネットワーク機器アクセス制御システム1で用いられている通信プロトコルに対応するアドレス等を含む。
【0042】
許可手段12は、DHCPサーバ11におけるIPアドレス払い出しを監視する。そして、DHCPサーバ11が端末30に対してIPアドレスの払い出しを行うと、許可手段12は、DHCPサーバ11のログファイル(図示せず)等から、その端末30に関する情報(端末情報、たとえば、その端末30のMACアドレス,IPアドレス,IPサブネットなど)を取り出す。
【0043】
さらに、許可手段12は、DHCPサーバ11から取り出した端末情報と、許可情報データベース13に登録されている許可情報とを比較判断する。
この比較判断の具体例としては、たとえば、DHCPサーバ11から取り出された端末情報に含まれているMACアドレスが、許可情報データベース13に記憶されているMACアドレスのリストの中にあるか否かを検索するものがある。
【0044】
そして、この検索の結果、許可情報データベース13にその端末情報のMACアドレスが含まれているときは、許可手段12は、その端末情報を設定手段14へ送る。このとき、許可手段12は、そのMACアドレスの含まれている許可情報を、許可情報データベース13から取り出して設定手段14へ送ることもできる。
一方、含まれていないときは、その端末情報は、設定手段14へは送られない。
【0045】
許可情報データベース13には、通信を許可する端末30に関する情報(たとえば、MACアドレスのリストなど)が、許可情報として設定・登録されている。
設定手段14は、ネットワーク機器20の制御手段21(後述)から、ネットワーク設定情報を収集し、IPサブネットとネットワーク機器20のポート22a〜22nとの対応情報を生成する。
【0046】
さらに、設定手段14は、許可手段12から端末情報を受け取り、この端末情報にもとづいて、端末30のMACアドレスをネットワーク機器20におけるいずれのポート22a〜22nに登録するかを示す情報(ポート登録情報)を生成する。
そして、この生成したポート登録情報を、ネットワーク機器20の制御手段21へ送る。これにより、その端末30の通信がネットワーク機器20を通過できるように、ネットワーク機器20の制御手段21(後述)に対して、その端末情報を設定する(ポート使用可否の設定)。
【0047】
なお、図1においては、DHCPサーバ11,許可手段12,許可情報データベース13及び設定手段14が、一つのアクセス制御装置10内に設けられているが、一つのアクセス制御装置10内に限るものではなく、それらのうち一又は二以上を他の装置に設けることもできる。
また、ポート使用可否の設定には、ポート使用可能の設定と、ポート使用不可の設定とを含む。
【0048】
ネットワーク機器20は、プログラム制御により動作するコンピュータであって、制御手段21と、複数のポート22(ポート22a〜22n)とを有している。
制御手段21は、アクセス制御装置10の設定手段14からポート登録情報と対応する端末情報を受け取り、各ポート22a〜22nに設定する。
【0049】
さらに、制御手段21は、端末情報やポート登録情報等を記憶する記憶部(図示せず)を有している。これにより、制御手段21は、端末30からのその後の通信について、記憶部から取り出したポート登録情報等にもとづいて、通信を実行するか否かを判断する。
【0050】
端末30は、プログラム制御により動作するコンピュータであって、DHCPの設定がなされており、起動時にはアクセス制御装置10へ認証用通信(DHCP−DISCOVERパケット)を送信する。
この端末30は、同図に示すように、ネットワーク機器20との間で、直接接続することも、また、中継装置40を介して接続することもできる。
【0051】
中継装置40は、複数の端末30とネットワーク機器20とを接続する集線機器であって、たとえば、HUBなどを用いることができる。
ネットワーク50は、従来公知の任意好適な公衆回線、商業回線又は専用回線等を用いることができる。
【0052】
次に、本実施形態のネットワーク機器アクセス制御システムの動作(ネットワーク機器アクセス制御方法)について、図2を参照して説明する。
同図は、本実施形態のネットワーク機器アクセス制御方法の処理手順を示す動作手順図である。
なお、本実施形態においては、認証用通信を送信する端末を端末30xとする。
また、図1に示す端末30a〜30nには、それぞれDHCPの設定がなされているものとする。
【0053】
図2に示すように、端末30xにおいてもDHCPの設定がなされており(ステップ10)、その起動時に、DHCP−DISCOVERパケットが、端末30xからネットワーク機器20を介してネットワーク機器20へ送信される(ステップ11、認証用通信送信段階)。
このDHCP−DISCOVERパケットは、ブロードキャストとして送信され、ネットワーク機器20に到達する。
【0054】
そのDHCP−DISCOVERパケットの通過点となるネットワーク機器20においては、予め、DHCPリレーエージェントが動作されていて、アクセス制御装置10のDHCPサーバ11が対象DHCPサーバとして設定されている(ステップ12、識別情報割当サーバ設定段階)。
このため、端末30xから送られてきたDHCP−DISCOVERパケットは、ネットワーク機器20を通過してアクセス制御装置10に到達できる(ステップ13)。
【0055】
ただし、ネットワーク機器20を通過する際、DHCP−DISCOVERパケットは、ネットワーク機器20により端末30xのIPサブネット情報が付加されてから、アクセス制御装置10のDHCPサーバ11へ転送される。
そして、DHCP−DISCOVERパケットの到達したDHCPサーバ11において、端末30xへIPアドレスが払い出される(ステップ14)。
【0056】
アクセス制御装置10の許可手段12において、DHCPサーバ11におけるIPアドレスの払い出しが、常時あるいは逐次監視されている。
そして、DHCPサーバ11から端末30xへIPアドレスが払い出されると、許可手段12において、その端末30xのMACアドレス,IPアドレス,IPサブネットなど端末30xに関する情報(端末情報)が、DHCPサーバ11のログファイル(図示せず)等から取り出される(ステップ15)。
【0057】
さらに、許可手段12において、DHCPサーバ11から取得された端末30xに関する端末情報が、許可情報データベース13に記憶されている許可情報と比較判断される(ステップ16、通信許可判断段階)。
この比較判断の具体例として、たとえば、MACアドレスを用いることができる。この場合、許可手段12は、DHCPサーバ11から取得した端末30xのMACアドレスが、許可情報データベース13で記憶されている端末30xのMACアドレスのリストの中に含まれているか否かを検索する。
【0058】
この検索の結果、許可情報データベース13に端末30xのMACアドレスが含まれていれば、その端末30xの端末情報が、許可手段12から設定手段14へ送出される(ステップ17)。
一方、MACアドレスが含まれていなければ、端末30xの端末情報は送出されない。
【0059】
設定手段14において、ネットワーク機器20の設定情報が、制御手段21から収集される(ステップ18)。そして、IPサブネットとネットワーク機器20のポート22a〜22nとの対応情報が生成される(ステップ19)。
さらに、許可手段12で許可された端末30xの端末情報(たとえば、MACアドレス,IPアドレス,IPサブネットなどの情報)が、設定手段14において受け取られる。
【0060】
その後、設定手段14において、それら設定情報、対応情報、端末情報にもとづき、端末30xのMACアドレスをネットワーク機器20のどのポート22a〜22nに登録するかの情報(ポート登録情報)が生成され、制御手段21へ送出される(ステップ20、通知・設定段階)。
設定手段14から制御手段21へポート登録情報が送られることにより、ポート使用可否の設定が行われることになる。
【0061】
ネットワーク機器20の制御手段21において、設定手段14から渡されたポート22a〜22nとMACアドレスの情報が、ネットワーク機器20に適用される(ステップ21)。
これにより、ネットワーク機器20においては、実際に、特定のポート22a〜22nで特定のMACアドレスの通信が行えるようになる。
【0062】
なお、許可手段12で通信が許可されなかった端末30については、ネットワーク機器20の制御手段21でMACアドレスの設定が行われていないため、その通信がネットワーク機器20を通過することができない。
また、識別情報割当サーバ設定段階には、ステップ12とステップ13とが含まれ、通信許可判断段階には、ステップ15からステップ17までが含まれ、通知・設定段階には、ステップ18からステップ20までが含まれるものとする。
【0063】
次に、ネットワーク機器アクセス制御プログラムについて説明する。
上記の実施形態における各コンピュータ(ネットワーク機器,アクセス制御装置,端末)の認証用通信通過機能,ポート使用可否設定機能,認証用通信送信機能等は、各コンピュータの記憶部に記憶されたネットワーク機器アクセス制御プログラムにより実現される。
【0064】
ネットワーク機器アクセス制御プログラムは、各コンピュータに読み込まれることにより、コンピュータの各構成要素に指令を送り、所定の処理、たとえば、ネットワーク機器における認証用通信通過処理、アクセス制御装置におけるポート使用可否設定処理、端末における認証用通信送信処理などを行わせる。
これによって、認証用通信通過機能、ポート使用可否設定機能、認証用通信送信機能等は、ネットワーク機器アクセス制御プログラムとコンピュータとが協働したネットワーク機器,アクセス制御装置,端末により実現される。
【0065】
なお、認証用通信通過機能、ポート使用可否設定機能、認証用通信送信機能等を実現するためのネットワーク機器アクセス制御プログラムは、各コンピュータのROM等に記憶される他、コンピュータ読み取り可能な記録媒体、たとえば、外部記憶装置及び可搬記録媒体等に格納することができる。
外部記憶装置とは、CD−ROM等の記憶媒体を内蔵し、ネットワーク機器,アクセス制御装置あるいは端末に外部接続されるメモリ増設装置をいう。一方、可搬記録媒体とは、記録媒体駆動装置(ドライブ装置)に装着でき、かつ、持ち運び可能な記録媒体であって、たとえば、フレキシブルディスク、メモリカード、光磁気ディスク等をいう。
【0066】
そして、記録媒体に記録されたプログラムは、コンピュータのRAMにロードされて、CPUにより実行される。この実行により、上述した本実施形態のネットワーク機器,アクセス制御装置,端末の機能が実現される。
さらに、コンピュータでネットワーク機器アクセス制御プログラムをロードする場合、他のコンピュータで保有されたネットワーク機器アクセス制御プログラムを、通信回線を利用して自己の有するRAMや外部記憶装置にダウンロードすることもできる。このダウンロードされたネットワーク機器アクセス制御プログラムも、CPUにより実行され、本実施形態のネットワーク機器,アクセス制御装置,端末の認証用通信通過機能やポート使用可否設定機能等を実現する。
【0067】
【発明の効果】
以上のように、本発明によれば、端末から送信された認証用通信が、ネットワーク機器を通過してアクセス制御装置へ送られ、さらに、アクセス制御装置がネットワーク機器に対してポート使用可否を設定しにいくことから、ネットワーク機器の負荷を軽減して各種性能の低下を防止するとともに、ネットワーク機器制御システム全体の耐障害性を向上でき、かつ、アクセス制御装置と特定の端末との間でのみ通信を可能とする。
【0068】
また、ネットワーク機器アクセス制御プログラムは、コンピュータ(アクセス制御装置やネットワーク機器)の各構成要素へ所定の指令を送ることにより、このコンピュータに認証用通信通過機能やポート使用可否設定機能等を実現させることができる。
これによって、認証用通信通過機能やポート使用可否設定機能等は、ネットワーク機器アクセス制御プログラムとコンピュータとが協働したアクセス制御装置やネットワーク機器により実現される。
【図面の簡単な説明】
【図1】本発明のネットワーク機器アクセス制御システムの構成を示すブロック図である。
【図2】本発明のネットワーク機器アクセス制御システムにおける動作を示す動作手順図である。
【符号の説明】
1 ネットワーク機器アクセス制御システム
10 アクセス制御装置
11 DHCPサーバ
12 許可手段
13 許可情報データベース
14 設定手段
20 ネットワーク機器
21 制御手段
22(22a〜22n) ポート
30(30a〜30n) 端末
40 中継装置(HUB)
50 ネットワーク[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a network device access control method, a network device control system, an access control device, and a program therefor. In particular, only one or more terminals connected to a port of a network device can be accessed. The present invention relates to a network device access control method in which a control device executes communication, a network device control system, an access control device, and a program therefor.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, in a network device, as a mechanism for controlling a communicable terminal, a MAC-Based-VLAN method using a MAC address of the terminal is known.
In the MAC-Based-VLAN system, in a network relay device such as a switching hub, access control is performed such that a MAC address of a terminal is registered for each port and communication of an unregistered terminal is rejected.
[0003]
Japanese Patent Application Laid-Open No. 2002-141916 discloses an example of a prior art in which use of the MAC-Based-VLAN method is set to enable / disable for each port of a network relay device. It is disclosed as a device and a network management device.
[0004]
According to the network management system disclosed in this publication and the network relay device and network management device used therein, only terminals that are authenticated by terminal information such as a host name (identification key), a user ID, an IP address, and a MAC address, You can access the network and secure the network.
[0005]
[Problems to be solved by the invention]
However, in the conventional network management system and the network relay device and the network management device used for the network management device, the network relay device collects and manages all terminal information. There was a problem that performance deteriorated.
[0006]
Further, the network device manages the terminal information in order to set the port availability, but if the network device goes down, the terminal information is lost, making it difficult to recover. There was a disability problem.
[0007]
The present invention has been made in order to solve the above-described problems, and enables communication between an access control device and a specific terminal only, and reduces a load on network devices to prevent various performance degradation. It is an object of the present invention to provide a network device access control method, a network device control system, an access control device, and a program thereof, which are capable of improving the fault tolerance of the entire network device control system.
[0008]
[Means for Solving the Problems]
To achieve this object, a network device access control method according to claim 1 of the present invention uses a network to connect one or more terminals connected to a port of a network device to an access control device. A network device access control method for executing communication, wherein a terminal transmits an authentication communication to the access control device via the network device, and the access control device performs communication between the terminal and the terminal. A communication permission determining step of determining whether or not to permit the communication, and, when it is determined that the communication is permitted in the communication permission determining step, the access control device notifies the network device of setting the port use permission. There is a method having steps.
[0009]
When the network device access control method is such a method, the access control device sets port availability for the network device, so that the access control device can perform communication only with a specific terminal. .
Then, the setting of port availability is performed from the access control device to the network device, not the network device itself, so that the load on the network device is reduced.
Therefore, in this network device, it is possible to prevent various performance degradations represented by packet transfer processing and the like.
[0010]
In addition, since the setting of port availability is performed by the access control device, the terminal information is also managed by the access control device. For this reason, information management including backup and the like can be efficiently performed, and even when a network device goes down, it can be dealt with only by resetting information from the access control device.
Therefore, the fault tolerance in the network device control system can be improved.
[0011]
In the network device access control method according to the second aspect, a process in which an identification information allocating server included in the access control device is set in advance as a target identification information allocating server and a process in which authentication communication is passed are performed by the network device. The method includes a step of setting an identification information allocation server to be performed.
[0012]
If the network device access control method is such a method, the network device sets an identification information allocation server (for example, a DHCP server or the like) of the access control device as a target identification information allocation server, thereby enabling authentication from a terminal. Communication (for example, DHCP-DISCOVER packet transmission) can be passed.
For this reason, the network device can reduce the burden of the process of transmitting the authentication communication to the access control device by itself. Therefore, it is possible to prevent various performances of the network device from deteriorating.
[0013]
The network device access control method according to claim 3 is a method in which the network device adds identification information such as terminal identification information and / or network identification information when passing the authentication communication.
When the network device access control method is such a method, terminal identification information and network identification information (for example, IP address, MAC address, IP subnet, etc.) are to be compared and determined by the access control device with the terminal information and the permission information. Can be used.
[0014]
Further, in the network device access control method according to the fourth aspect, the communication permission determining step has transmitted a process in which the access control device stores in advance information of a terminal to which communication is permitted as permission information and authentication communication. A process of searching the permission information for information that matches part or all of the terminal information on the terminal, and determining whether to permit communication with the terminal based on a result of the search. There is as a method.
[0015]
If the network device access control method is such a method, the access control device can determine whether or not to perform communication with the terminal that has transmitted the authentication communication based on the search result.
Since the determination can be performed by the access control device instead of the network device, the load of the determination process can be reduced in the network device. Therefore, it is possible to prevent the performance of the network device from deteriorating.
[0016]
In the method for controlling access to a network device according to claim 5, the notifying / setting step includes a step of collecting setting information from the network device in the access control device, a process of generating correspondence information between identification information and a port, Generating port registration information based on the setting information, correspondence information, and / or terminal information, and transmitting the generated port registration information to a network device to set port availability.
[0017]
If the network device access control method is such a method, the access control device can set the port availability for the network device. For this reason, the processing load of the network device can be reduced as compared with the case where the port use is conventionally set by itself.
Therefore, the network device can prevent the performance such as the packet transfer process from deteriorating.
[0018]
A network device control system according to claim 6 uses a network device connected to a network and having a plurality of ports, one or more terminals connected to the ports of the network device, and a network. A network device control system including an access control device that executes communication only with a specific terminal, wherein the terminal transmits an authentication communication to the access control device via the network device, The access control device determines whether or not to permit communication with the terminal that has transmitted the authentication communication, and, based on the result of the determination, sets port use permission for the network device. There is.
[0019]
With this configuration of the network device control system, when the access control device permits communication with the terminal, the network device sets port use permission for the network device. There is no need to perform any processing.
Therefore, since the load on the network device is reduced, it is possible to prevent the performance of the network device from deteriorating.
[0020]
The network device control system according to claim 7, wherein the network device has control means for passing the authentication communication from the terminal, and the access control device sends the terminal identification information to the terminal that transmitted the authentication communication. And / or an identification information allocating server for paying out network identification information, an authorization information database storing in advance information on terminals permitted to communicate as authorization information, and terminal information relating to terminals that have transmitted authentication communication as identification information. A permission means for retrieving information corresponding to a part or all of the retrieved terminal information from the permission information stored in the permission information database, based on a search result obtained by the permission means, The configuration is such that the control unit of the network device includes setting means for setting whether or not to use a port.
[0021]
With such a configuration of the network device control system, the network device can pass the authentication communication from the terminal in the control unit. For this reason, the network device can reduce the burden of processing for transmitting the authentication communication to the access control device.
Further, the network device does not set the port availability, but receives the setting from the access control device. Therefore, the load of the port availability setting process can be reduced.
For this reason, the network device can reduce the load of these processes, and thus can prevent the performance such as the packet transfer process from deteriorating.
[0022]
Then, in the access control device, since the setting of port availability is performed for the network device, terminal information and permission information are stored and managed.
Therefore, the access control device can efficiently manage information including backup and the like, and can cope with a case where a network device goes down only by resetting information from the access control device. Therefore, fault tolerance in the network device control system can be improved.
[0023]
The network device control system according to claim 8 is configured such that the control unit of the network device sets the identification information allocation server of the access control device as the target identification information allocation server.
If the network device control system has such a configuration, the network device can pass authentication communication (for example, transmission of a DHCP-DISCOVER packet) from the terminal. For this reason, the network device can reduce the transmission load of the authentication communication.
Therefore, it is possible to prevent various performance degradations in the network device.
[0024]
An access control device according to a ninth aspect is an access control device that executes communication with one or two or more terminals connected to a port of a network device using a network, wherein the authentication communication device includes: An identification information allocation server that pays out identification information such as terminal identification information and / or network identification information to the terminal that has transmitted the information, a permission information database that stores in advance information of the terminal to which communication is permitted as permission information, The permission to retrieve the terminal information relating to the terminal that transmitted the authentication communication from the identification information allocation server, and to search the permission information stored in the permission information database for information that matches part or all of the retrieved terminal information. Means for setting port availability for network devices based on the result of the search by this means. It is constituted having a stage.
[0025]
With this configuration of the access control device, it is possible to set whether or not ports can be used for network devices.
For this reason, since the network device does not need to set the port availability by itself, the setting load can be reduced. Therefore, it is possible to prevent various performance degradations in the network device.
[0026]
Further, in the access control device according to claim 10, the setting means collects setting information from the network device, generates correspondence information between the identification information and the port, and sets the setting information, the correspondence information and / or
The configuration is such that port registration information is generated based on terminal information and transmitted to a network device.
[0027]
If the access control device has such a configuration, the setting unit can set whether or not to use the port for the network device.
For this reason, since the network device does not need to set the port availability by itself, the setting load can be reduced. Therefore, it is possible to prevent various performance degradations in the network device.
[0028]
A network device access control program according to claim 11, which causes the access control device to execute a process of performing communication with one or more terminals connected to a port of the network device using the network. A device access control program for determining whether or not to permit communication with a terminal, and when the process determines that communication is permitted, sets port use permission for the network device. And the processing is executed by the access control device.
[0029]
By causing the access control device to read and execute such a program, the access control device can set the port availability of the network device.
For this reason, it is not necessary for the network device to process the setting of the port availability, and thus, by reducing these processes, it is possible to prevent a decrease in performance such as a packet transfer process.
[0030]
Further, by recording the network device access control program of the present invention on a recording medium, storage management of the program, backup storage, program maintenance, reinstallation at the time of version upgrade, and the like are facilitated.
[0031]
Further, the network device access control program according to the twelfth aspect includes a process of storing information of a terminal to which communication is permitted as permission information in advance, and a part or all of terminal information regarding a terminal that has transmitted authentication communication. A process of searching for matching information from the permission information, a process of determining whether or not to permit communication with the terminal based on a result of the search in this process; Based on this configuration, the access control device is configured to execute a process of setting port availability for network devices.
[0032]
By causing such an access control device to read and execute such a network device access control program, the access control device can set the port availability of the network device.
As a result, the network device does not need to execute the port availability setting process by itself, so that the processing load can be reduced and the various performances can be prevented from deteriorating.
[0033]
According to a thirteenth aspect of the present invention, a network device access control program causes a network device to execute a process of setting an identification information allocating server of an access control device as a target identification information allocating server and a process of passing authentication communication. There is.
[0034]
By reading and executing such a network device access control program in the network device, the network device can pass the authentication communication from the terminal.
For this reason, the network device does not need to execute the process of transmitting the authentication communication to the access control device, so that the processing load can be reduced. Therefore, by reducing this processing, it is possible to prevent a decrease in performance such as a packet transfer processing.
[0035]
In addition, the network device access control program according to claim 14 collects setting information from the network device, and generates correspondence information between identification information such as terminal identification information and / or network identification information and a port; The configuration is such that the port control information is generated based on the setting information, the correspondence information, and / or the terminal information, and the process of transmitting the generated port registration information to the network device is executed by the access control device.
[0036]
By causing such an access control device to read and execute such a network device access control program, the access control device can set the port availability of the network device.
For this reason, the network device does not need to execute the port availability setting process by itself, so that the processing load can be reduced and various performances can be prevented from deteriorating.
[0037]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
First, an embodiment of a network device control system and an access control device according to the present invention will be described with reference to FIG.
FIG. 1 is a block diagram showing a configuration of a network device control system (network device access control system) of the present embodiment.
[0038]
As shown in FIG. 1, the network device access control system 1 employs a client / server system, and includes an access control device 10, a network device 20, terminals 30 (30a to 30n), a relay device 40, And a network 50.
Here, the access control apparatus 10 is a computer that operates under program control, and includes a DHCP server 11, a permission unit 12, a permission information database 13, and a setting unit 14.
[0039]
The DHCP server 11 centrally manages IP addresses in the network device access control system 1 by using a DHCP (Dynamic Host Configuration Protocol).
Normally, the DHCP server 11 is installed for each same subnet, and dynamically allocates an IP address in response to a request from a client (terminals 30a to 30n). Thus, the clients (terminals 30a to 30n) can perform TCP / IP communication without individually setting an IP address.
[0040]
The DHCP server 11 is a server (identification information assignment server) for assigning information (identification information such as terminal identification information and network identification information) for identifying the terminals 30a to 30n and the network 50 to the terminals 30a to 30n and the like. ) Is provided as a representative example.
For this reason, the DHCP server 11 can be replaced with an identification information allocation server corresponding to the communication protocol used in the network device access control system 1.
[0041]
Specific examples of the terminal identification information include an IP address and a MAC address, and specific examples of the network identification information include an IP subnet.
However, the terminal identification information and the network identification information are not limited to these specific examples, and include an address corresponding to a communication protocol used in the network device access control system 1 and the like.
[0042]
The permission unit 12 monitors the IP address distribution in the DHCP server 11. When the DHCP server 11 issues the IP address to the terminal 30, the permitting unit 12 reads information (terminal information, for example, the terminal information) about the terminal 30 from a log file (not shown) of the DHCP server 11 or the like. The MAC address, IP address, IP subnet, etc. of the terminal 30 are extracted.
[0043]
Further, the permission unit 12 compares and judges the terminal information extracted from the DHCP server 11 with the permission information registered in the permission information database 13.
As a specific example of the comparison determination, for example, it is determined whether or not the MAC address included in the terminal information extracted from the DHCP server 11 is included in the MAC address list stored in the permission information database 13. There is something to search.
[0044]
As a result of the search, when the MAC address of the terminal information is included in the permission information database 13, the permission unit 12 sends the terminal information to the setting unit 14. At this time, the permission unit 12 can also take out the permission information including the MAC address from the permission information database 13 and send it to the setting unit 14.
On the other hand, when the terminal information is not included, the terminal information is not sent to the setting unit 14.
[0045]
In the permission information database 13, information (for example, a list of MAC addresses) on the terminals 30 to which communication is permitted is set and registered as permission information.
The setting unit 14 collects network setting information from a control unit 21 (described later) of the network device 20, and generates correspondence information between the IP subnet and the ports 22a to 22n of the network device 20.
[0046]
Further, the setting unit 14 receives the terminal information from the permission unit 12 and, based on the terminal information, information indicating which of the ports 22a to 22n in the network device 20 the MAC address of the terminal 30 is to be registered (port registration information ).
Then, the generated port registration information is sent to the control unit 21 of the network device 20. As a result, the terminal information is set to the control means 21 (described later) of the network device 20 so that the communication of the terminal 30 can pass through the network device 20 (port availability setting).
[0047]
In FIG. 1, the DHCP server 11, the permission unit 12, the permission information database 13, and the setting unit 14 are provided in one access control device 10, but are not limited to one access control device 10. Alternatively, one or more of them may be provided in another device.
Further, the setting of port availability includes a setting of port availability and a setting of port unusability.
[0048]
The network device 20 is a computer that operates under program control, and has a control unit 21 and a plurality of ports 22 (ports 22a to 22n).
The control unit 21 receives the port registration information and the corresponding terminal information from the setting unit 14 of the access control device 10, and sets the terminal information to each of the ports 22a to 22n.
[0049]
Further, the control unit 21 has a storage unit (not shown) for storing terminal information, port registration information, and the like. Thereby, the control unit 21 determines whether or not to execute communication based on the port registration information and the like extracted from the storage unit for the subsequent communication from the terminal 30.
[0050]
The terminal 30 is a computer that operates under program control, has DHCP settings, and transmits an authentication communication (DHCP-DISCOVER packet) to the access control device 10 at startup.
The terminal 30 can be directly connected to the network device 20 or can be connected via the relay device 40 as shown in FIG.
[0051]
The relay device 40 is a line concentrator that connects the plurality of terminals 30 and the network device 20, and may use, for example, a hub.
As the network 50, a conventionally known arbitrary suitable public line, commercial line, dedicated line, or the like can be used.
[0052]
Next, an operation (a network device access control method) of the network device access control system of the present embodiment will be described with reference to FIG.
FIG. 5 is an operation procedure diagram showing a processing procedure of the network device access control method of the present embodiment.
In the present embodiment, the terminal that transmits the authentication communication is the terminal 30x.
In addition, it is assumed that the terminals 30a to 30n illustrated in FIG.
[0053]
As shown in FIG. 2, the DHCP setting is also made in the terminal 30 x (step 10), and at the time of startup, a DHCP-DISCOVER packet is transmitted from the terminal 30 x to the network device 20 via the network device 20 ( Step 11, authentication communication transmission step).
The DHCP-DISCOVER packet is transmitted as a broadcast and reaches the network device 20.
[0054]
In the network device 20 that is a passing point of the DHCP-DISCOVER packet, a DHCP relay agent is operated in advance, and the DHCP server 11 of the access control apparatus 10 is set as a target DHCP server (step 12, identification information). Assignment server setting stage).
For this reason, the DHCP-DISCOVER packet transmitted from the terminal 30x can reach the access control device 10 through the network device 20 (step 13).
[0055]
However, when passing through the network device 20, the DHCP-DISCOVER packet is transferred to the DHCP server 11 of the access control device 10 after the IP subnet information of the terminal 30x is added by the network device 20.
Then, in the DHCP server 11 to which the DHCP-DISCOVER packet has arrived, an IP address is issued to the terminal 30x (step 14).
[0056]
In the permission unit 12 of the access control device 10, the delivery of the IP address in the DHCP server 11 is constantly or sequentially monitored.
When the IP address is issued from the DHCP server 11 to the terminal 30x, the permission unit 12 stores information (terminal information) about the terminal 30x such as the MAC address, IP address, and IP subnet of the terminal 30x in the log file of the DHCP server 11. (Not shown) or the like (step 15).
[0057]
Further, the permission unit 12 compares the terminal information about the terminal 30x acquired from the DHCP server 11 with the permission information stored in the permission information database 13 (step 16, communication permission determination step).
As a specific example of the comparison judgment, for example, a MAC address can be used. In this case, the permission unit 12 searches whether or not the MAC address of the terminal 30x obtained from the DHCP server 11 is included in the MAC address list of the terminal 30x stored in the permission information database 13.
[0058]
As a result of the search, if the MAC address of the terminal 30x is included in the permission information database 13, the terminal information of the terminal 30x is sent from the permission unit 12 to the setting unit 14 (step 17).
On the other hand, if the MAC address is not included, the terminal information of the terminal 30x is not transmitted.
[0059]
In the setting unit 14, the setting information of the network device 20 is collected from the control unit 21 (Step 18). Then, correspondence information between the IP subnet and the ports 22a to 22n of the network device 20 is generated (Step 19).
Further, terminal information (for example, information such as a MAC address, an IP address, and an IP subnet) of the terminal 30x permitted by the permission unit 12 is received by the setting unit 14.
[0060]
After that, the setting unit 14 generates information (port registration information) on which port 22a to 22n of the network device 20 to register the MAC address of the terminal 30x based on the setting information, the correspondence information, and the terminal information. It is sent to the means 21 (step 20, notification / setting stage).
By transmitting the port registration information from the setting unit 14 to the control unit 21, the setting of port availability is performed.
[0061]
In the control unit 21 of the network device 20, the information of the ports 22a to 22n and the MAC address passed from the setting unit 14 is applied to the network device 20 (Step 21).
As a result, the network device 20 can actually communicate with a specific MAC address on the specific ports 22a to 22n.
[0062]
Note that, for the terminal 30 to which the communication is not permitted by the permission unit 12, the communication cannot pass through the network device 20 because the MAC address is not set by the control unit 21 of the network device 20.
Also, the identification information allocation server setting step includes steps 12 and 13, the communication permission determining step includes steps 15 to 17, and the notification / setting step includes steps 18 to 20. Shall be included.
[0063]
Next, the network device access control program will be described.
In the above embodiment, the authentication communication passing function, the port availability setting function, the authentication communication transmission function, and the like of each computer (network device, access control device, terminal), etc., correspond to the network device access stored in the storage unit of each computer. This is realized by a control program.
[0064]
The network device access control program is read by each computer, sends a command to each component of the computer, and performs a predetermined process, for example, a communication passage process for authentication in a network device, a port availability setting process in an access control device, The terminal performs an authentication communication transmission process or the like.
As a result, the authentication communication passage function, the port availability setting function, the authentication communication transmission function, and the like are realized by the network device, the access control device, and the terminal in which the network device access control program and the computer cooperate.
[0065]
The network device access control program for realizing the authentication communication passage function, the port availability setting function, the authentication communication transmission function, and the like is stored in a ROM or the like of each computer, a computer-readable recording medium, For example, it can be stored in an external storage device and a portable recording medium.
The external storage device refers to a memory expansion device having a built-in storage medium such as a CD-ROM and externally connected to a network device, an access control device, or a terminal. On the other hand, a portable recording medium is a recording medium that can be mounted on a recording medium drive (drive device) and is portable, such as a flexible disk, a memory card, and a magneto-optical disk.
[0066]
Then, the program recorded on the recording medium is loaded into the RAM of the computer and executed by the CPU. By this execution, the functions of the network device, the access control device, and the terminal of the present embodiment described above are realized.
Further, when the network device access control program is loaded by a computer, the network device access control program held by another computer can be downloaded to its own RAM or external storage device using a communication line. The downloaded network device access control program is also executed by the CPU to realize the network device, the access control device, the communication passage function for authentication of the terminal, the port availability setting function, and the like.
[0067]
【The invention's effect】
As described above, according to the present invention, the authentication communication transmitted from the terminal is sent to the access control device through the network device, and further, the access control device sets port availability for the network device. In addition to reducing the load on the network equipment, preventing performance degradation, improving the fault tolerance of the entire network equipment control system, and only between the access control device and specific terminals Enable communication.
[0068]
In addition, the network device access control program sends a predetermined command to each component of the computer (access control device or network device), thereby causing the computer to realize an authentication communication passage function, a port availability setting function, and the like. Can be.
As a result, the authentication communication passage function and the port availability setting function are realized by the access control device or the network device in which the network device access control program and the computer cooperate.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a network device access control system of the present invention.
FIG. 2 is an operation procedure diagram showing an operation in the network device access control system of the present invention.
[Explanation of symbols]
1 Network device access control system
10 Access control device
11 DHCP server
12 Permission means
13 Permission information database
14 Setting means
20 Network equipment
21 Control means
22 (22a-22n) port
30 (30a-30n) terminal
40 Relay device (HUB)
50 Network

Claims (14)

ネットワークを利用して、ネットワーク機器のポートに接続された一又は二以上の端末とアクセス制御装置との間で通信を実行するネットワーク機器アクセス制御方法であって、
前記端末が、前記ネットワーク機器を介して前記アクセス制御装置へ、認証用通信を送信する認証用通信送信段階と、
前記アクセス制御装置が、前記端末との間の前記通信を許可するか否かを判断する通信許可判断段階と、
この通信許可判断段階で通信許可と判断されると、前記アクセス制御装置が、前記ネットワーク機器に対して、ポート使用許可の設定を行う通知・設定段階とを有した
ことを特徴とするネットワーク機器アクセス制御方法。A network device access control method for performing communication between one or more terminals connected to a port of the network device and the access control device using a network,
The terminal, the communication control step for transmitting an authentication communication to the access control device via the network device,
The access control device, a communication permission determining step of determining whether to permit the communication with the terminal,
When the communication permission is determined in the communication permission determination step, the access control device has a notification / setting step of setting port use permission to the network device. Control method. 前記アクセス制御装置の有する識別情報割当サーバを対象識別情報割当サーバとして予め設定しておく処理と、前記認証用通信を通過させる処理とを前記ネットワーク機器が行う識別情報割当サーバ設定段階を有した
ことを特徴とする請求項1記載のネットワーク機器アクセス制御方法。An identification information allocation server setting step in which the network device performs a process of setting an identification information allocation server of the access control device as a target identification information allocation server in advance and a process of passing the authentication communication. The network device access control method according to claim 1, wherein: 前記ネットワーク機器が、前記認証用通信を通過させる際に、端末識別情報及び/又はネットワーク識別情報などの識別情報を付加する
ことを特徴とする請求項1又は2記載のネットワーク機器アクセス制御方法。The network device access control method according to claim 1, wherein the network device adds identification information such as terminal identification information and / or network identification information when passing the authentication communication. 前記通信許可判断段階が、
前記通信を許可する前記端末の情報を、許可情報として、前記アクセス制御装置が予め記憶する処理と、
前記認証用通信を送信してきた前記端末に関する端末情報の一部又は全部と一致する情報を、前記許可情報の中から検索し、この検索の結果にもとづいて、前記端末との間の前記通信を許可するか否かを判断する処理とを有した
ことを特徴とする請求項1,2又は3記載のネットワーク機器アクセス制御方法。The communication permission determining step includes:
A process in which the information of the terminal that permits the communication is stored in advance by the access control device as permission information;
Information that matches part or all of the terminal information regarding the terminal that has transmitted the authentication communication is searched from the permission information, and based on the search result, the communication with the terminal is performed. 4. The network device access control method according to claim 1, further comprising a process of determining whether to permit. 前記通知・設定段階が、
前記アクセス制御装置において、前記ネットワーク機器から設定情報を収集する処理と、
前記識別情報と前記ポートとの対応情報を生成する処理と、
前記設定情報、前記対応情報及び/又は前記端末情報にもとづいてポート登録情報を生成し、この生成したポート登録情報を前記ネットワーク機器へ送出することにより前記ポート使用可否の設定を行う処理とを含む
ことを特徴とする請求項1,2,3又は4記載のネットワーク機器アクセス制御方法。The notification / setting step includes:
A process of collecting setting information from the network device in the access control device;
Processing for generating correspondence information between the identification information and the port;
Generating port registration information based on the setting information, the correspondence information, and / or the terminal information, and transmitting the generated port registration information to the network device to set the port availability. 5. The network device access control method according to claim 1, wherein: ネットワークに接続されるとともに、複数のポートを有したネットワーク機器と、
このネットワーク機器の前記ポートに接続された一又は二以上の端末と、
前記ネットワークを利用して、特定の前記端末との間でのみ通信を実行するアクセス制御装置とを備えたネットワーク機器制御システムであって、
前記端末は、前記ネットワーク機器を介して前記アクセス制御装置へ、認証用通信を送信し、
前記アクセス制御装置は、前記認証用通信を送信してきた前記端末との間の前記通信を許可するか否かを判断するとともに、この判断の結果にもとづいて、前記ネットワーク機器に対し、ポート使用許可の設定を行う
ことを特徴とするネットワーク機器制御システム。A network device connected to the network and having a plurality of ports,
One or more terminals connected to the port of the network device,
A network device control system including an access control device that executes communication only with the specific terminal using the network,
The terminal transmits an authentication communication to the access control device via the network device,
The access control device determines whether or not to permit the communication with the terminal that has transmitted the authentication communication, and, based on the result of the determination, determines whether to permit the network device to use a port. A network device control system characterized by performing the following settings: 前記ネットワーク機器が、
前記端末からの認証用通信を通過させる制御手段を有し、
前記アクセス制御装置が、
前記認証用通信を送信してきた前記端末へ、端末識別情報及び/又はネットワーク識別情報を払い出す識別情報割当サーバと、
前記通信を許可する前記端末の情報を、許可情報として、予め記憶する許可情報データベースと、
前記認証用通信を送信してきた前記端末に関する端末情報を前記識別情報割当サーバから取り出し、この取り出した端末情報の一部又は全部と一致する情報を前記許可情報データベースに記憶されている前記許可情報の中から検索する許可手段と、
この許可手段での検索結果にもとづいて、前記ネットワーク機器の前記制御手段に対し、ポート使用可否の設定を行う設定手段とを有した
ことを特徴とする請求項6記載のネットワーク機器制御システム。The network device,
Having control means for passing communication for authentication from the terminal,
The access control device,
An identification information allocation server that pays out terminal identification information and / or network identification information to the terminal that has transmitted the authentication communication,
Information of the terminal that permits the communication, as a permission information, a permission information database stored in advance,
The terminal information about the terminal that has transmitted the authentication communication is extracted from the identification information allocation server, and information matching part or all of the extracted terminal information is stored in the authorization information database. Permission means to search from inside,
7. The network device control system according to claim 6, further comprising a setting unit configured to set port availability for the control unit of the network device based on a search result of the permission unit. 前記ネットワーク機器の前記制御手段が、
前記アクセス制御装置の前記識別情報割当サーバを対象識別情報割当サーバとして設定する
ことを特徴とする請求項6又は7記載のネットワーク機器制御システム。The control means of the network device,
8. The network device control system according to claim 6, wherein the identification information allocation server of the access control device is set as a target identification information allocation server. ネットワークを利用して、ネットワーク機器のポートに接続された一又は二以上の端末との間で通信を実行するアクセス制御装置であって、
認証用通信を送信してきた前記端末へ、端末識別情報及び/又はネットワーク識別情報などの識別情報を払い出す識別情報割当サーバと、
前記通信を許可する前記端末の情報を、許可情報として、予め記憶する許可情報データベースと、
前記認証用通信を送信してきた前記端末に関する端末情報を前記識別情報割当サーバから取り出すとともに、この取り出した端末情報の一部又は全部と一致する情報を前記許可情報データベースに記憶された前記許可情報の中から検索する許可手段と、
この許可手段での前記検索の結果にもとづいて、前記ネットワーク機器に対し、ポート使用可否の設定を行う設定手段とを有した
ことを特徴とするアクセス制御装置。An access control device that executes communication between one or more terminals connected to a port of a network device using a network,
An identification information allocation server that pays out identification information such as terminal identification information and / or network identification information to the terminal that has transmitted the authentication communication,
Information of the terminal that permits the communication, as a permission information, a permission information database stored in advance,
The terminal information relating to the terminal that has transmitted the authentication communication is extracted from the identification information allocation server, and information matching part or all of the extracted terminal information is obtained from the permission information stored in the permission information database. Permission means to search from inside,
An access control apparatus, comprising: setting means for setting port availability for the network device based on a result of the search by the permission means. 前記設定手段が、
前記ネットワーク機器から設定情報を収集するとともに、前記識別情報と前記ポートとの対応情報を生成し、かつ、前記設定情報、前記対応情報及び/又は前記端末情報にもとづきポート登録情報を生成して、前記ネットワーク機器へ送出する
ことを特徴とする請求項9記載のアクセス制御装置。The setting means,
Collecting setting information from the network device, generating correspondence information between the identification information and the port, and generating port registration information based on the setting information, the correspondence information and / or the terminal information, 10. The access control device according to claim 9, wherein the access control device sends the request to the network device. ネットワークを利用して、ネットワーク機器のポートに接続された一又は二以上の端末との間で通信を行う処理をアクセス制御装置に実行させるネットワーク機器アクセス制御プログラムであって、
前記端末との間の前記通信を許可するか否かを判断する処理と、
この処理で通信許可と判断されると、前記ネットワーク機器に対して、ポート使用許可の設定を行う処理とを前記アクセス制御装置に実行させる
ことを特徴とするネットワーク機器アクセス制御プログラム。A network device access control program that causes an access control device to execute a process of communicating with one or more terminals connected to a port of the network device using a network,
A process of determining whether to permit the communication with the terminal;
A network device access control program for causing the access control device to execute a process of setting port use permission for the network device when it is determined that communication is permitted in the process. 前記通信を許可する前記端末の情報を許可情報として予め記憶しておく処理と、
認証用通信を送信してきた前記端末に関する端末情報の一部又は全部と一致する情報を、前記許可情報の中から検索する処理と、
この処理における前記検索の結果にもとづいて、前記端末との間の前記通信を許可するか否かを判断する処理と、
この処理における前記判断の結果にもとづいて、前記ネットワーク機器に対し、ポート使用可否の設定を行う処理とを前記アクセス制御装置に実行させる
ことを特徴とする請求項11記載のネットワーク機器アクセス制御プログラム。A process of storing information of the terminal that permits the communication as permission information in advance;
A process of searching the permission information for information that matches part or all of the terminal information regarding the terminal that has transmitted the authentication communication,
A process of determining whether to permit the communication with the terminal based on a result of the search in the process;
12. The network device access control program according to claim 11, wherein said access control device causes said access control device to execute a process of setting port availability for said network device based on a result of said determination in said process. 前記アクセス制御装置の有する識別情報割当サーバを対象識別情報割当サーバとして設定する処理と、前記認証用通信を通過させる処理とを前記ネットワーク機器に実行させる
ことを特徴とする請求項11又は12記載のネットワーク機器アクセス制御プログラム。13. The network device according to claim 11, wherein the network device executes a process of setting an identification information allocation server included in the access control device as a target identification information allocation server and a process of passing the authentication communication. Network device access control program. 前記ネットワーク機器から設定情報を収集する処理と、
端末識別情報及び/又はネットワーク識別情報などの識別情報と前記ポートとの対応情報を生成する処理と、
前記設定情報、前記対応情報及び/又は前記端末情報にもとづいてポート登録情報を生成し、この生成したポート登録情報を前記ネットワーク機器へ送出する処理とを前記アクセス制御装置に実行させる
ことを特徴とする請求項11,12又は13記載のネットワーク機器アクセス制御プログラム。A process of collecting setting information from the network device;
Processing for generating correspondence information between identification information such as terminal identification information and / or network identification information and the port;
Generating port registration information based on the setting information, the correspondence information, and / or the terminal information, and transmitting the generated port registration information to the network device. 14. The network device access control program according to claim 11, 12 or 13.
JP2002216535A 2002-07-25 2002-07-25 Network apparatus access control method, network apparatus control system, access control apparatus, and its program Pending JP2004064204A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002216535A JP2004064204A (en) 2002-07-25 2002-07-25 Network apparatus access control method, network apparatus control system, access control apparatus, and its program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002216535A JP2004064204A (en) 2002-07-25 2002-07-25 Network apparatus access control method, network apparatus control system, access control apparatus, and its program

Publications (1)

Publication Number Publication Date
JP2004064204A true JP2004064204A (en) 2004-02-26

Family

ID=31938271

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002216535A Pending JP2004064204A (en) 2002-07-25 2002-07-25 Network apparatus access control method, network apparatus control system, access control apparatus, and its program

Country Status (1)

Country Link
JP (1) JP2004064204A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006033206A (en) * 2004-07-14 2006-02-02 Nec Corp Authentication system, hub, authentication method used for them and program thereof
US7953830B2 (en) * 2006-11-07 2011-05-31 International Business Machines Corporation Automatic network reconfiguration upon changes in DHCP IP addresses
JP2019017123A (en) * 2018-11-06 2019-01-31 ヤマハ株式会社 Repeating installation and program
US10985991B2 (en) 2014-06-02 2021-04-20 Yamaha Corporation Relay device, program, and display control method

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006033206A (en) * 2004-07-14 2006-02-02 Nec Corp Authentication system, hub, authentication method used for them and program thereof
US8209529B2 (en) 2004-07-14 2012-06-26 Nec Corporation Authentication system, network line concentrator, authentication method and authentication program
US7953830B2 (en) * 2006-11-07 2011-05-31 International Business Machines Corporation Automatic network reconfiguration upon changes in DHCP IP addresses
US10985991B2 (en) 2014-06-02 2021-04-20 Yamaha Corporation Relay device, program, and display control method
JP2019017123A (en) * 2018-11-06 2019-01-31 ヤマハ株式会社 Repeating installation and program

Similar Documents

Publication Publication Date Title
JP4200061B2 (en) Identifier assigning apparatus, method, and program
US7406524B2 (en) Secret session supporting load balancer
CN107547565B (en) Network access authentication method and device
US7467405B2 (en) Method and apparatus for detecting an unauthorized client in a network of computer systems
US20050190909A1 (en) Communications apparatus, communications controller, and communications system
US7099904B2 (en) Computer system for allocating storage area to computer based on security level
JP2008160803A (en) Access control system
JP2007156587A (en) Method of controlling power supply, and system realizing the same
WO2004032421A1 (en) A method for adding devices to management system
JP2000132473A (en) Network system using fire wall dynamic control system
JP2010283553A (en) Network management method based on kind of equipment, network management device, program
US20080177560A1 (en) ID Lending system, computer-readable recording medium storing ID lending program, and ID lending method
KR100591554B1 (en) Method for controlling communication with network resources mamagement policy
US20180234828A1 (en) Management apparatus, mobile terminal, and methods thereof
JP2004064204A (en) Network apparatus access control method, network apparatus control system, access control apparatus, and its program
JP6134954B1 (en) Network security device, network management method, and program
JP2005236394A (en) Network system and network control method
JP2003163681A (en) Device and method for transferring packet and program
CN113014565B (en) Zero trust architecture for realizing port scanning prevention and service port access method and equipment
CN105991466B (en) Information backup method and device
JP4290526B2 (en) Network system
KR100942719B1 (en) Apparatus having Dynamic Host Configuration Protocol - Snooping function
JP2006303808A (en) Radio network device
JP6575240B2 (en) Karaoke system, address lease server
JP2005203984A (en) System, method, and program for network management, and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040427

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060501

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070402

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070508