JP2006067057A - ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント - Google Patents
ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント Download PDFInfo
- Publication number
- JP2006067057A JP2006067057A JP2004244869A JP2004244869A JP2006067057A JP 2006067057 A JP2006067057 A JP 2006067057A JP 2004244869 A JP2004244869 A JP 2004244869A JP 2004244869 A JP2004244869 A JP 2004244869A JP 2006067057 A JP2006067057 A JP 2006067057A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- radius client
- supplicant
- mac address
- radius
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】IEEE802.1x認証において、サプリカントから送信される認証パケットの転送処理を行うネットワーク機器、1つの物理インタフェース当たり複数のIEEE802.1x認証を可能にするRadiusクライアント、それらを備えた有線LAN認証システムを提供する。
【解決手段】サプリカントが接続される物理インタフェースと、Radiusクライアントから送信される認証パケットのヘッダ情報を解析する解析部と、解析した結果に基づき所定の動作を行う制御部とをネットワーク機器に備える。また、物理インタフェースと、物理インタフェース毎に複数の認証インタフェースをRadiusクライアントに備える。
【選択図】図8
【解決手段】サプリカントが接続される物理インタフェースと、Radiusクライアントから送信される認証パケットのヘッダ情報を解析する解析部と、解析した結果に基づき所定の動作を行う制御部とをネットワーク機器に備える。また、物理インタフェースと、物理インタフェース毎に複数の認証インタフェースをRadiusクライアントに備える。
【選択図】図8
Description
本発明は、IEEE802.1x認証パケットを透過するネットワーク機器、物理インターフェース当たり複数のサプリカントのIEEE802.1x認証を可能にするRadiusクライアント、及びそれらを備えた有線LAN認証システム、IEEE802.1x認証パケット透過方法、制御プログラム、記録媒体、サプリカントに関するものである。
IEEE(Institute of Electrical and Electronic Engineers:米国電気電子学会)が規格したIEEE802.1x認証技術は、ユーザ認証の規格である。IEEE802.1x認証技術はMicrosoft社がWindows(登録商標)プラットフォームで採用したこともあり、無線通信認証・暗号化手段のデファクトスタンダードとなりつつある。例えば、特許文献1のようにIEEE802.1xに基づいて認証を行うインターネット中継装置がある。
IEEE802.1x認証技術はPPP(Point to Point Protocol)等のプロトコルを拡張したEAP(Extensible Authentication Protocol:拡張可能認証プロトコル)とユーザ名、パスワード、デジタル証明書などと組み合わせて行う。認証サーバであるRadiusサーバ(Remote Authentication Dial−In User Service)を併用することで、クライアントとサーバとの認証を行う。
Radiusは、米国Livingston Enterprises社が開発した認証システムであり、データベースに収容されたユーザ情報を元に認証やユーザのアクセス制御等を行うためのプロトコルである。認証する側がRadiusサーバと呼ばれ、認証要求を出す側がRadiusクライアントと呼ばれる。
RadiusサーバはAAA(Authentication、Authorization、Accounting:認証、承認、使用状況管理)サーバの一種であり、AAAサーバは、その他の種類に、TACACS(Terminal Access Controller Access Control System:アクセス管理プロトコル)サーバ等がある。
上述のEAPは、デジタル証明書によって身元を証明するEAP−TLS(EAP−Transport Layer Security)やサーバ側でデジタル証明書、クライアント側でユーザ名とパスワードを使うEAP−TTLS(EAP−Tunneled TLS)等がある。
さらに、EAPは、サプリカントの認証時にRadiusクライアントとの間で、宛先のMAC(Media Access Control:媒体アクセス制御)アドレス(01:80:c2:00:00:03)のマルチキャストアドレスを使用して、認証を行う。EAPを使用することで、既存のセキュリティ性より高い無線LANシステムが確保できる。例えば、特許文献2のようにIEEE802.11に準拠して無線LANシステムの認証を行うものがある。
近年では、無線LANで普及したIEEE802.1x認証技術が有線LANに応用されている。これは、無線LANがネットワークケーブルを使用した有線LANと比較して、誰がどこでネットワークを利用しているのかが視覚的につかみにくいためである。即ち、どこにでもすぐにつながる無線LANの利便性は、そのまま新たなセキュリティ性の懸念を意味している。
図8は、IEEE802.1x認証技術を利用した有線LAN認証システムの構成を示す概念図である。
IEEE802.1x認証技術を利用した有線LAN認証システムは、Radiusサーバ、Radiusサーバとケーブル等で接続されたスイッチ等のRadiusクライアント、Radiusクライアントとケーブル等で接続されたサプリカントで構成される。なお、サプリカントはIEEE802.1x認証を行う際に必要なクライアント用のソフトウェア及びPC等の加入者端末を指す。また、Radiusクライアントはネットワーク機器の一部であるが、本明細書中では、ネットワーク機器と記載しているものは、Radiusクライアントとサプリカントとの間に設置されるRadiusクライアント以外の機器であるものとする。
ネットワーク機器にはスイッチやルータ、B−PON(Broadband Passive Optical Network:ブロードバンドパッシブ光ネットワーク)、やE−PON(Ethernet(登録商標) PON:イーサネット(登録商標)パッシブ光ネットワーク)等のデータ通信を司る光伝送装置、メディアコンバータ、モデム等がある。また、上述のRadiusクライアントにはスイッチ、RAS(Remoto Access System:遠隔接続システム)やBRAS(Broadband RAS:広帯域遠隔接続システム)等がある。
特開2003−224577号公報
特開2001−111544号公報
上述したように有線LAN認証システムを構築する際、サプリカントとRadiusクライアントの間にスイッチ、ルータ、B−PONやE−PON等の光伝送装置、メディアコンバータ、モデム等のネットワーク機器が配置される場合がある。しかしながら、それらのネットワーク機器がレイヤ2以上の制御を行うネットワーク機器である場合、そのネットワーク機器上で認証パケットは廃棄されてしまうというネットワーク機器の問題点がある。
また、有線LAN認証システムに使用するスイッチやRAS等のRadiusクライアントにもIEEE802.1x認証技術が実装されつつある。しかし、スイッチやRAS等のRadiusクライアントは、1つの物理インタフェース当たり1台のサプリカントしか収容することができないという問題点がある。
さらに、上述したように、Radiusクライアントの物理インタフェース当たり1台のサプリカントの認証を可能にするインタフェース認証の技術が普及しているが、有線LANネットワークに応用する場合、サプリカント数と同数以上の物理インタフェース数をRadiusクライアントに実装する必要がある。例えば、サプリカント数が4つであれば、少なくとも4つ以上の物理インタフェースをRadiusクライアントに実装しなければならず、さらには、サプリカントとRadiusクライアントの物理インタフェースとが1対1で接続されなければならない。
そして、仮にサプリカント数と同数以上の物理インタフェース数を満たすRadiusクライアントであっても、加入者が複数のサプリカントを有する場合、2台目以降のサプリカントの認証が許可されないという問題点もある。
本発明のネットワーク機器の第1の態様は、サプリカントとRadiusクライアントとの間に備えられたネットワーク機器であって、Radiusクライアントが接続される物理インタフェースと、Radiusクライアントから送信される認証パケットのEthernet(登録商標)ヘッダ情報を解析する解析部と、解析した結果に基づいて、所定の動作を行う制御部とを備えたことを特徴とするネットワーク機器である。
本発明のネットワーク機器の第2の態様は、解析部が、802.1x認証パケットを透過または破棄のいずれか1つの動作を行う手段を備えたことを特徴とするネットワーク機器である。
本発明のネットワーク機器の第3の態様は、制御部が、予め設定されたフォワーディングポートに応じて、認証パケットの宛先MACアドレスをマルチキャストアドレス、サプリカント又はRadiusクライアントのMACアドレス、ブロードキャストアドレスに書き換える手段を備えたことを特徴とするネットワーク機器である。
本発明のネットワーク機器の第4の態様は、制御部が、認証パケットのEthernet(登録商標)ヘッダ情報に含まれるサプリカントまたはRadiusクライアントのMACアドレスを記憶し、各々のMACアドレス宛にユニキャストで送信する手段を備えたことを特徴とするネットワーク機器である。
本発明のRadiusクライアントの第1の態様は、有線LAN認証システム用のRadiusクライアントであって、物理インタフェースと、前記物理インタフェース毎に複数の認証インタフェースとが備えられたRadiusクライアントである。
本発明のRadiusクライアントの第2の態様は、認証インタフェースが論理インタフェースであるRadiusクライアントである。
本発明のRadiusクライアントの第3の態様は、認証インタフェースがVLANであるRadiusクライアントである。
本発明のRadiusクライアントの第4の態様は、認証インタフェースがサブインタフェースであるRadiusクライアントである。
本発明のRadiusクライアントの第5の態様は、有線LAN認証システム用のRadiusクライアントであって、物理インタフェースと、前記物理インタフェース毎に認証用アドレスを記憶する認証用アドレス記憶手段とを備えられたRadiusクライアントである。
本発明の有線LAN認証システムの第1の態様は、複数のサプリカントに接続される上述のネットワーク機器と、ネットワーク機器に接続される上述のRadiusクライアントと、Radiusクライアントに接続されるRadiusサーバ及びDHCPサーバとが有線で接続され、さらに、インターネットに接続される有線LAN認証システムである。
本発明の認証パケット透過方法の第1の態様は、サプリカントとRadiusクライアントとの間に備えられたネットワーク機器を認証パケットが透過する認証パケット透過方法であって、Radiusクライアントが物理インタフェースに接続される接続ステップと、Radiusクライアントから送信される認証パケットのEthernet(登録商標)ヘッダ情報を解析する解析ステップと、解析した結果に基づいて、所定の動作を行う制御ステップとを備えたことを特徴とする認証パケット透過方法である。
本発明の認証パケット透過方法の第2の態様は、解析ステップが、認証パケットのEthernet(登録商標)ヘッダ情報を解析し、透過または破棄のいずれか1つの動作を行うステップを備えたことを特徴とする認証パケット透過方法である。
本発明の認証パケット透過方法の第3の態様は、制御ステップが、予め設定されたフォワーディングポートに応じて、認証パケットの宛先MACアドレスをマルチキャストアドレス、サプリカント又はRadiusクライアントのMACアドレス、ブロードキャストアドレスに書き換える手段を備えたことを特徴とする認証パケット透過方法である。
本発明の認証パケット透過方法の第4の態様は、制御ステップが、認証パケットのEthernet(登録商標)ヘッダ情報に含まれるサプリカントまたはRadiusクライアントのMACアドレスを記憶し、各々のMACアドレス宛にユニキャストで送信するステップを備えたことを特徴とする認証パケット透過方法である。
本発明の制御プログラムの第1の態様は、サプリカントとRadiusクライアントとの間に備えられたネットワーク機器に対し、ソフトウェア処理により認証パケットの透過を制御する制御プログラムであって、Radiusクライアントを物理インタフェースに接続させ、Radiusクライアントから送信される認証パケットのEthernet(登録商標)ヘッダ情報を解析させ、解析した結果に基づいて、所定の動作を行わせることを特徴とする制御プログラムである。
本発明の制御プログラムの第2の態様は、解析が、透過または破棄のいずれか1つの動作を行わせることを特徴とする制御プログラムである。
本発明の制御プログラムの第3の態様は、制御が、予め設定されたフォワーディングポートに応じて、認証パケットの宛先MACアドレスをマルチキャストアドレス、サプリカント又はRadiusクライアントのMACアドレス、ブロードキャストアドレスに書き換えさせることを特徴とする制御プログラムである。
本発明の制御プログラムの第4の態様は、制御が、認証パケットのEthernet(登録商標)ヘッダ情報に含まれるサプリカントまたはRadiusクライアントのMACアドレスを記憶し、各々のMACアドレス宛にユニキャストで送信させることを特徴とする制御プログラムである。
本発明の記録媒体の第1の態様は、上述の制御プログラムを記録したコンピュータ読取可能な記録媒体である。
本発明のサプリカントの第1の態様は、認証パケット(EAP Request)に含まれるRadiusクライアントのMACアドレスを記憶し、Radiusクライアント宛にユニキャストで認証パケット(EAP Response)を送信するサプリカントである。
本発明のネットワーク機器により、従来は破棄されていたサプリカントまたはRadiusクライアントからのIEEE802.1x認証パケットが、ネットワーク機器上で透過、廃棄の設定が可能となり、IEEE802.1x認証技術の有線LAN認証システムの汎用性が広がることを期待できる。
また、本発明のRadiusクライアントにより従来は1物理インタフェース当たり1サプリカントの認証しか行えなかったIEEE802.1x認証技術が、1物理インタフェース当たり複数のサプリカントの認証が可能となり、有線LAN認証システムの汎用性が広がることを期待できる。
以下に、本発明の実施形態を図面を参照しながら詳細に説明する。
図1は、本発明のネットワーク機器を表したブロック図である。
図1に示すように、本発明のネットワーク機器1は、物理インタフェース2及び7、Ethernet(登録商標)ヘッダ解析部3、インタフェース制御部4、MACアドレスデータベース5、ヘッダ情報変換部6を備えている。
図1に示すように、本発明のネットワーク機器1は、物理インタフェース2及び7、Ethernet(登録商標)ヘッダ解析部3、インタフェース制御部4、MACアドレスデータベース5、ヘッダ情報変換部6を備えている。
物理インタフェース2より入力された認証パケットはEthernet(登録商標)ヘッダ解析部3に到達する。Ethernet(登録商標)ヘッダ解析部3に到達した認証パケットは、Ethernet(登録商標)ヘッダが解析される。具体的には、認証パケットの宛先MACアドレスを抽出し、その宛先MACアドレスが01:80:c2:00:00:03のマルチキャストアドレス、または、プロトコルがEAPであるか否かを判定する。判定した結果、認証パケットの宛先MACアドレスが01:80:c2:00:00:03のマルチキャストアドレス、または、プロトコルがEAPである場合、認証パケットはインタフェース制御部4に渡される。
インタフェース制御部4は、予め設定されたフォワーディングポートに応じて、マルチキャストアドレスによる透過(経路1)、サプリカント又はRadiusクライアントのMACアドレス、ブロードキャストアドレス(経路2)に書き換え、物理インタフェース7から再送信する。
一方で、Ethernet(登録商標)ヘッダ解析部3がEAP以外のパケットを受信すると、ネットワーク機器の保有するMACアドレステーブルに基づいて、当該パケットは転送(フォワーディング)される。
Ethernet(登録商標)ヘッダ解析部3は、認証パケットのEthernet(登録商標)ヘッダを解析した結果に基づいて、認証パケットの透過または破棄の設定が可能である。認証パケットの透過または破棄の設定は、ネットワーク管理者やユーザによって変更可能である。
図2は、本発明のネットワーク機器の実施形態を説明するために使用する認証パケットのフォーマットを示す図である。
図2に示すように、認証パケットは、Ethernet(登録商標)ヘッダと認証データから構成される。Ethernet(登録商標)ヘッダは、宛先MACアドレス、送信元MACアドレス、フレーム長で構成される。フレーム長には、このEthernet(登録商標)パケットが認証パケットであることを示す値がセットされる。例えば、1がセットされていれば、認証パケットは、EAP Requestであり、2がセットされていれば、EAP Responseである。
図2に示すように、認証パケットは、Ethernet(登録商標)ヘッダと認証データから構成される。Ethernet(登録商標)ヘッダは、宛先MACアドレス、送信元MACアドレス、フレーム長で構成される。フレーム長には、このEthernet(登録商標)パケットが認証パケットであることを示す値がセットされる。例えば、1がセットされていれば、認証パケットは、EAP Requestであり、2がセットされていれば、EAP Responseである。
認証パケットが透過されるか破棄されるかの設定は、ネットワーク管理者やユーザにより設定変更が可能である。仮に、認証パケットがネットワーク機器に到達した場合、ネットワーク管理者またはユーザが認証パケットを透過させる設定をしているのであれば、認証パケットはネットワーク機器内で破棄されることはなく、透過することになる。
一方で、認証パケットがネットワーク機器に到達した場合、ネットワーク管理者またはユーザが認証パケットを破棄させる設定をしているのであれば、認証パケットはネットワーク機器内で透過されることはなく、破棄することになる。
具体的な動作を図3を用いて詳細に説明する。
図3はEthernet(登録商標)ヘッダ解析部の動作を説明するフローチャートである。
図3に示すように、認証パケットはネットワーク機器のEthernet(登録商標)ヘッダ解析部に到着する(S101)。Ethernet(登録商標)ヘッダ解析部は解析設定とされているか否かを判定する(S102)。Ethernet(登録商標)ヘッダ解析部が解析設定とされている場合(S102:YES)、認証パケットから宛先MACアドレス、上位プロトコルを抽出する(S103)。
図3に示すように、認証パケットはネットワーク機器のEthernet(登録商標)ヘッダ解析部に到着する(S101)。Ethernet(登録商標)ヘッダ解析部は解析設定とされているか否かを判定する(S102)。Ethernet(登録商標)ヘッダ解析部が解析設定とされている場合(S102:YES)、認証パケットから宛先MACアドレス、上位プロトコルを抽出する(S103)。
続いて、Ethernet(登録商標)ヘッダ解析部は抽出した宛先MACアドレスが01:80:c2:00:00:03のEAPパケットであるか否かを判定する(S104)。抽出した宛先MACアドレスが01:80:c2:00:00:03である場合(S104:YES)、Ethernet(登録商標)ヘッダ解析部は、予め管理者によって設定された処理、即ち、透過処理(S1061)、または宛先MACアドレス書換再送信(S1062)を行い、転送(フォワーディング)処理を行う(S107)。また、抽出した宛先MACアドレスが01:80:c2:00:00:03でない場合(S104:NO)、Ethernet(登録商標)ヘッダ解析部は、転送(フォワーディング)処理を行う(S107)。
一方、Ethernet(登録商標)ヘッダ解析部が解析設定とされていない場合(S101:NO)、Ethernet(登録商標)ヘッダ解析部は、宛先MACアドレスが特定マルチキャストアドレスであるか否かを判定する(S108)。宛先MACアドレスが特定マルチキャストアドレスである場合(S108:YES)、認証パケットは破棄される(S109)。宛先MACアドレスが特定マルチキャストアドレスでない場合(S108:NO)、EAP以外のパケットはネットワーク機器の保有するMACアドレステーブルに基づいて、当該パケットは転送(フォワーディング)される(S107)。
これらの機能は、セキュリティ性確保の観点から、デフォルト(初期設定)では破棄の設定とし、ネットワーク管理者やユーザにより設定変更が可能なことが望ましい。
続いて、本発明のRadiusクライアントについて以下に詳細に説明する。
図4は、本発明のRadiusクライアントを表したブロック図である。
図4に示すように、Radiusクライアント8は、複数個の物理インタフェース10−1から10−nとネットワークプロセッサ9−1から9−nを備えている。それぞれのネットワークプロセッサ内には複数の認証インタフェース11−1から11−nが備えられている。Radiusクライアント8は、物理インタフェース10−1から10−n毎に複数の認証インタフェース11−1から11−nを実装する。認証インタフェース11−1から11−nは論理インタフェースで構成されている。なお、Radiusクライアント8の認証インタフェース11−1から11−nは、VLAN(Virtual LAN:仮想LAN)やサブインタフェース等であってもよい。
図4に示すように、Radiusクライアント8は、複数個の物理インタフェース10−1から10−nとネットワークプロセッサ9−1から9−nを備えている。それぞれのネットワークプロセッサ内には複数の認証インタフェース11−1から11−nが備えられている。Radiusクライアント8は、物理インタフェース10−1から10−n毎に複数の認証インタフェース11−1から11−nを実装する。認証インタフェース11−1から11−nは論理インタフェースで構成されている。なお、Radiusクライアント8の認証インタフェース11−1から11−nは、VLAN(Virtual LAN:仮想LAN)やサブインタフェース等であってもよい。
また、認証インタフェース11−1から11−nには、サプリカントのMACアドレスが登録されている。Radiusクライアント8は、サプリカントからの認証応答パケットである“EAP Response”のEthernet(登録商標)ヘッダ情報に含まれるサプリカントのMACアドレスを識別し、認証インタフェース11−1から11−nにバインド(連結)する。
その後、Radiusクライアント8は、バインド(連結)された認証インタフェース11−1から11−n上で、サプリカントの認証を行う。Radiusクライアント8は、予め登録されているサプリカントのMACアドレスを使用し、認証要求パケットである“EAP Request”パケットをユニキャストで送信することが可能である。物理インタフェース10−1から10−n毎の認証インタフェース11−1から11−nの数は、予め決められたサプリカントの数から、ネットワーク管理者によって設定可能とする。
図5は、本発明のRadiusクライアントを表した他のブロック図である。
図5に示すように、Radiusクライアント8は、複数個の物理インタフェース10−1から10−nとネットワークプロセッサ9−1から9−nを備えている。それぞれのネットワークプロセッサ内には認証アドレステーブル12−1から12−nが備えられている。Radiusクライアント8は、物理インタフェース10−1から10−n毎に認証アドレステーブル12−1から12−nを実装する。
図5に示すように、Radiusクライアント8は、複数個の物理インタフェース10−1から10−nとネットワークプロセッサ9−1から9−nを備えている。それぞれのネットワークプロセッサ内には認証アドレステーブル12−1から12−nが備えられている。Radiusクライアント8は、物理インタフェース10−1から10−n毎に認証アドレステーブル12−1から12−nを実装する。
図6は、図5に示す認証アドレステーブルを示す図である。
図6に示すように、認証アドレステーブルはMACアドレス、Type、Authentication Stateを備えたテーブルとなっている。TypeはStaticとDynamicとからなる。Staticは管理者によって予め登録されたサプリカントのMACアドレスであり、DyanamicはサプリカントからのEAP、ARP等のパケットから送信元MACアドレスを登録する。この認証アドレステーブルに登録されたMACアドレスを使用し、Radiusクライアントはサプリカントへユニキャストで認証パケットを送信する事が可能である。
図6に示すように、認証アドレステーブルはMACアドレス、Type、Authentication Stateを備えたテーブルとなっている。TypeはStaticとDynamicとからなる。Staticは管理者によって予め登録されたサプリカントのMACアドレスであり、DyanamicはサプリカントからのEAP、ARP等のパケットから送信元MACアドレスを登録する。この認証アドレステーブルに登録されたMACアドレスを使用し、Radiusクライアントはサプリカントへユニキャストで認証パケットを送信する事が可能である。
また、Authentication Stateは認証状態を表している。Acceptは認証許可を表しており、Rejectは認証不許可を表している。即ち、認証が成功した場合は、認証アドレステーブルのAuthentication StateにはAcceptが登録され、認証が失敗した場合、登録されたMACアドレスのサプリカントの認証が切れた場合、認証自体を行っていない場合は、認証アドレステーブルのAuthentication StateにはRejectが登録される。
図6に示す認証アドレステーブルは、サプリカントのMACアドレスをStaticに登録できる。その他、サプリカントから送信される認証応答パケットである“EAP Response”、やARP(Address Resolution Protocol:アドレス解決プロトコル)パケット等に含まれるサプリカントのMACアドレスをDynamicに認証アドレステーブル12−1から12−nに登録が可能である。
ただし、このDynamicにサプリカントMACアドレスの登録を可能とする指定プロトコルパケットの透過/破棄の設定は、ネットワーク管理者によって設定可能とする。
Radiusクライアント8は、この認証アドレステーブル12−1から12−nを利用し、上位ネットワークへのアクセスを制御する。また、Radiusクライアント8は、認証アドレステーブル12−1から12−nを利用し、サプリカントに対しユニキャストで、即ち単一の指定で、認証要求パケットである“EAP Request”を送信することが可能である。
物理インタフェース10−1から10−n毎の認証アドレステーブル12−1から12−nの数は、予め決められたサプリカントの数から、ネットワーク管理者によって設定が可能である。
次に本発明のネットワーク機器及びRadiusクライアントを備えた有線LAN認証システムについて図7及び図8を参照して、認証フローの一例を詳細に説明する。
図7は、本発明の有線LAN認証システムの概念図である。
図8は、本発明の実施の形態のEthernet(登録商標)技術による有線LAN認証システムの接続手順を示す図である。
図8は、本発明の実施の形態のEthernet(登録商標)技術による有線LAN認証システムの接続手順を示す図である。
図7及び図8に示すように、サプリカント16−1が、ネットワーク機器1−2に接続すると、まず、IEEE802.1xの認証手順に基づき、Radiusクライアント8は、宛先MACアドレスが01:80:c2:00:00:03のEAP Requestをネットワーク機器1−1宛に送信する(図8のL1)。宛先MACアドレスが01:80:c2:00:00:03のEAP Requestを受信したネットワーク機器1−1は、Ethernet(登録商標)ヘッダ情報を解析し、ネットワーク管理者の設定に応じてEthernet(登録商標)ヘッダ情報の書き換えを行い、ネットワーク機器1−2宛に再送信する(図8のL2)。同時に、EAP RequestパケットのEthernet(登録商標)ヘッダ情報に含まれるRadiusクライアントのMACアドレス(送信元アドレス)を記憶する。
ネットワーク機器1−2は、図8のL2と同様の動作を行い、サプリカント16−1宛に再送信する(図8のL3)。ネットワーク機器1−1において、Ethernet(登録商標)ヘッダ情報が既にマルチキャスト以外のアドレスに書き換えられた場合には、EAP Requestはそのまま転送(フォワーディング)される。
サプリカント16−1は、EAP Requestを受信すると、宛先MACアドレスが01:80:c2:00:00:03のEAP Responseをネットワーク機器1−2宛に送信する(図8のL4)。ネットワーク機器1−2は、Ethernet(登録商標)ヘッダ情報を解析し、ネットワーク管理者の設定に応じて、前記で記憶したRadiusクライアントのMACアドレスにEthernet(登録商標)ヘッダ情報を書き換え、ネットワーク機器1−1宛に再送信する(図8のL5)。
ネットワーク機器1−1は、Ethernet(登録商標)ヘッダ情報を解析し、ネットワーク管理者の設定に応じて、Ethernet(登録商標)ヘッダ情報を書き換え、Radiusクライアント8宛に再送信する(図8のL6)。ネットワーク機器1−2において、Ethernet(登録商標)ヘッダ情報が既にマルチキャスト以外のアドレスに書き換えられた場合には、EAP Responseはそのまま転送(フォワーディング)される。
Radiusクライアント8は、IEEE802.1xの認証手順に基づき、サプリカント16−1からのEAPパケットをRadiusパケットにカプセル化し、Radiusサーバ14に送信する(図8のL7)。Radiusサーバ14は、認証のサプリカント16−1に対し、認証に必要な情報(ユーザID、パスワード等)を要求する(図8のL8、L9)。
サプリカント16−1は、宛先MACアドレスが01:80:c2:00:00:03のEAP Responseに認証情報(ユーザID、パスワード等)をセットし、ネットワーク機器1−2宛に送信する(図8のL10)。ネットワーク機器1−2は、Ethernet(登録商標)ヘッダ情報を解析し、ネットワーク管理者の設定に応じて、Ethernet(登録商標)ヘッダ情報を書き換え、ネットワーク機器1−1宛に再送信する(図8のL11)。
ネットワーク機器1−1は、Ethernet(登録商標)ヘッダ情報を解析し、ネットワーク管理者の設定に応じて、Ethernet(登録商標)ヘッダ情報を書き換え、Radiusクライアント48宛に再送信する(図8のL12)。ネットワーク機器1−2において、Ethernet(登録商標)ヘッダ情報が既にマルチキャスト以外のアドレスに書き換えられた場合には、EAP Responseはそのまま転送(フォワーディング)される。
Radiusクライアント8は、IEEE802.1xの認証手順に基づき、サプリカント−1からのEAPパケットをRadiusパケットにカプセル化し、Radiusサーバ14に送信する(図8のL13)。Radiusサーバ14は、Radiusパケットにセットされた認証情報(ユーザID、パスワード等)に基づき、認証の可否を行う。
Radiusサーバ14は、Radiusサーバ14自身に登録されている認証情報(ユーザID、パスワード等)と、Radiusパケットにセットされた認証情報(ユーザID、パスワード等)を比較する。比較した結果、一致した場合、Radiusサーバ14は、Radiusクライアント8宛に認証許可を示すRadius Acceptを送信する(図8のL14)。一方で、一致しなかった場合、Radiusサーバ14は、Radiusクライアント8宛に認証不許可を示すRadius Rejectを送信する(図8のL14)。
Radiusクライアント8は、Radiusサーバ4から送信されるRadius AcceptまたはRadius Rejectのパケットを監視し、その中に含まれるサプリカントの情報(MACアドレス、認証状況、サプリカントに許可された情報)等を認証テーブルに登録する。さらに、Radiusクライアント8は、サプリカント16−1に対して、認証の許可の場合、EAP Successを、認証不許可の場合、EAP Rejectを送信する(図8のL15)。
なお、サプリカント16−1からEAP以外の通信トラフィックをRadiusクライアント8で受信した場合(図8のL16、L18)、サプリカント16−1の認証状況によって、Radiusクライアント8は所定の動作を行う。即ち、サプリカント16−1の認証状況が不許可の場合、Radiusクライアント8はサプリカント16−1のトラフィックを破棄し、サプリカント16−1に対してRejectメッセージを送信する(図8のL17)。
一方で、サプリカント16−1の認証状況が許可の場合、Radiusクライアント8はサプリカント16−1のパケットにRadiusクライアント8内部で、ID処理し、宛先に該当するインタフェースに転送(フォワーディング)する(図8のL19)。
以上の説明においては、ネットワーク機器を制御するための制御プログラムが予めROMに記憶されている場合について説明したが、各種磁気ディスク、光ディスク、メモリカード等の記録媒体に制御用のプログラムをあらかじめ記録し、これらの記録媒体から読み込み、インストールするように構成することも可能である。
また、通信インタフェースを設け、インターネット、LANなどのネットワークを介して制御用プログラムをダウンロードし、インストールして実行するように構成することも可能である。このように構成することにより、ソフトウェア的により高機能としたり、より信頼性の高いネットワーク機器を構成することが可能となる。
なお、本発明は、上述した実施形態に限定されるものではなく、その要旨を逸脱しない範囲内で種々変形して実施することが可能である。
本発明のネットワーク機器により、従来は廃棄されていたサプリカントからの認証パケットが、ネットワーク機器上で透過、廃棄の設定が可能となり、IEEE802.1x認証技術の有線LANネットワークの汎用性が広がるため、産業上の利用可能性が高い。
1、1−1、1−2 ネットワーク機器
2、7、10−1〜10−n 物理インタフェース
3 Ethernet(登録商標)ヘッダ解析部
4 インタフェース制御部
5 MACアドレスデータベース
6 ヘッダ情報変換部
8 Radiusクライアント
9−1〜9−n ネットワークプロセッサ
11−1〜11−n 認証インタフェース
12−1〜12−n 認証アドレステーブル
13 インターネット
14 Radiusサーバ
15 有線LAN認証システム
16−1、16−2 サプリカント
2、7、10−1〜10−n 物理インタフェース
3 Ethernet(登録商標)ヘッダ解析部
4 インタフェース制御部
5 MACアドレスデータベース
6 ヘッダ情報変換部
8 Radiusクライアント
9−1〜9−n ネットワークプロセッサ
11−1〜11−n 認証インタフェース
12−1〜12−n 認証アドレステーブル
13 インターネット
14 Radiusサーバ
15 有線LAN認証システム
16−1、16−2 サプリカント
Claims (20)
- サプリカントとRadiusクライアントとの間に備えられたネットワーク機器であって、前記Radiusクライアントが接続される物理インタフェースと、前記Radiusクライアントから送信される認証パケットのEthernet(登録商標)ヘッダ情報を解析する解析部と、解析した結果に基づいて、所定の動作を行う制御部とを備えたことを特徴とするネットワーク機器。
- 前記解析部は、透過または破棄のいずれか1つの動作を行う手段を備えたことを特徴とする、請求項1に記載のネットワーク機器。
- 前記制御部は、予め設定されたフォワーディングポートに応じて、前記認証パケットの宛先MACアドレスをマルチキャストアドレス、サプリカント又はRadiusクライアントのMACアドレス、ブロードキャストアドレスに書き換える手段を備えたことを特徴とする、請求項1または2のいずれか1項に記載のネットワーク機器。
- 前記制御部は、前記認証パケットのEthernet(登録商標)ヘッダ情報に含まれるサプリカントまたはRadiusクライアントのMACアドレスを記憶し、各々のMACアドレス宛にユニキャストで送信する手段を備えたことを特徴とする、請求項1または2のいずれか1項に記載のネットワーク機器。
- 有線LAN認証システム用のRadiusクライアントであって、物理インタフェースと、前記物理インタフェース毎に複数の認証インタフェースとが備えられたことを特徴とするRadiusクライアント。
- 前記認証インタフェースは論理インタフェースであることを特徴とする、請求項5に記載のRadiusクライアント。
- 前記認証インタフェースはVLANであることを特徴とする、請求項5に記載のRadiusクライアント。
- 前記認証インタフェースはサブインタフェースであることを特徴とする、請求項5に記載のRadiusクライアント。
- 有線LAN認証システム用のRadiusクライアントであって、物理インタフェースと、前記物理インタフェース毎に認証アドレスを記憶する認証アドレス記憶手段とを備えたことを特徴とするRadiusクライアント。
- 複数のサプリカントに接続される請求項1に記載のネットワーク機器と、
前記ネットワーク機器に接続される請求項5または9のいずれか1項に記載のRadiusクライアントと、
前記Radiusクライアントに接続されるRadiusサーバとが有線で接続され、さらにインターネットに接続される有線LAN認証システム。 - サプリカントとRadiusクライアントとの間に備えられたネットワーク機器を認証パケットが透過する認証パケット透過方法であって、前記Radiusクライアントが物理インタフェースに接続される接続ステップと、前記Radiusクライアントから送信される認証パケットのEthernet(登録商標)ヘッダ情報を解析する解析ステップと、解析した結果に基づいて、所定の動作を行う制御ステップとを備えたことを特徴とする認証パケット透過方法。
- 前記解析ステップは、前記認証パケットのEthernet(登録商標)ヘッダ情報を解析し、透過または破棄のいずれか1つの動作を行うステップを備えたことを特徴とする、請求項11に記載の認証パケット透過方法。
- 前記制御ステップは、予め設定されたフォワーディングポートに応じて、前記認証パケットの宛先MACアドレスをマルチキャストアドレス、サプリカント又はRadiusクライアントのMACアドレス、ブロードキャストアドレスに書き換える手段を備えたことを特徴とする、請求項11または12のいずれか1項に記載の認証パケット透過方法。
- 前記制御ステップは、前記認証パケットのEthernet(登録商標)ヘッダ情報に含まれるサプリカントまたはRadiusクライアントのMACアドレスを記憶し、各々のMACアドレス宛にユニキャストで送信するステップを備えたことを特徴とする、請求項11または12のいずれか1項に記載の認証パケット透過方法。
- サプリカントとRadiusクライアントとの間に備えられたネットワーク機器に対し、ソフトウェア処理により認証パケットの透過を制御する制御プログラムであって、前記Radiusクライアントを物理インタフェースに接続させ、前記Radiusクライアントから送信される認証パケットのEthernet(登録商標)ヘッダ情報を解析させ、前記解析した結果に基づいて、所定の動作を行わせることを特徴とする制御プログラム。
- 前記解析は、透過または破棄のいずれか1つの動作を行わせることを特徴とする、請求項15に記載の制御プログラム。
- 前記制御は、予め設定されたフォワーディングポートに応じて、前記認証パケットの宛先MACアドレスをマルチキャストアドレス、サプリカント又はRadiusクライアントのMACアドレス、ブロードキャストアドレスに書き換えさせることを特徴とする、請求項15または16のいずれか1項に記載の制御プログラム。
- 前記制御は、前記認証パケットのEthernet(登録商標)ヘッダ情報に含まれるサプリカントまたはRadiusクライアントのMACアドレスを記憶し、各々のMACアドレス宛にユニキャストで送信させることを特徴とする、請求項15または16のいずれか1項に記載の制御プログラム。
- 請求項15から請求項18のいずれか1項に記載の制御プログラムを記録したことを特徴とするコンピュータ読取可能な記録媒体。
- 認証パケット(EAP Request)に含まれるRadiusクライアントのMACアドレスを記憶し、Radiusクライアント宛にユニキャストで認証パケット(EAP Response)を送信するサプリカント。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004244869A JP2006067057A (ja) | 2004-08-25 | 2004-08-25 | ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004244869A JP2006067057A (ja) | 2004-08-25 | 2004-08-25 | ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006067057A true JP2006067057A (ja) | 2006-03-09 |
Family
ID=36113169
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004244869A Pending JP2006067057A (ja) | 2004-08-25 | 2004-08-25 | ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006067057A (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007258816A (ja) * | 2006-03-20 | 2007-10-04 | Ricoh Co Ltd | 通信装置 |
US8583794B2 (en) | 2007-10-31 | 2013-11-12 | Kabushiki Kaisha Toshiba | Apparatus, method, and computer program product for registering user address information |
US8601568B2 (en) | 2007-05-31 | 2013-12-03 | Kabushiki Kaisha Toshiba | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method |
US8861380B2 (en) | 2007-11-01 | 2014-10-14 | Kabushiki Kaisha Toshiba | Terminal, method, and computer program product for registering user address information |
US8959581B2 (en) | 2008-11-17 | 2015-02-17 | Kabushiki Kaisha Toshiba | Switching apparatus, authentication server, authentication system, authentication method, and computer program product |
US9065684B2 (en) | 2008-03-21 | 2015-06-23 | Kabushiki Kaisha Toshiba | IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium |
JP2016082499A (ja) * | 2014-10-21 | 2016-05-16 | Necプラットフォームズ株式会社 | ネットワーク装置及びネットワーク装置のmacアドレス認証方法 |
JP2016525748A (ja) * | 2013-07-09 | 2016-08-25 | 華為技術有限公司Huawei Technologies Co.,Ltd. | ユーザ端末のアクセスを制御するための方法、装置、およびシステム |
-
2004
- 2004-08-25 JP JP2004244869A patent/JP2006067057A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007258816A (ja) * | 2006-03-20 | 2007-10-04 | Ricoh Co Ltd | 通信装置 |
US8601568B2 (en) | 2007-05-31 | 2013-12-03 | Kabushiki Kaisha Toshiba | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method |
US8583794B2 (en) | 2007-10-31 | 2013-11-12 | Kabushiki Kaisha Toshiba | Apparatus, method, and computer program product for registering user address information |
US8861380B2 (en) | 2007-11-01 | 2014-10-14 | Kabushiki Kaisha Toshiba | Terminal, method, and computer program product for registering user address information |
US9065684B2 (en) | 2008-03-21 | 2015-06-23 | Kabushiki Kaisha Toshiba | IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium |
US8959581B2 (en) | 2008-11-17 | 2015-02-17 | Kabushiki Kaisha Toshiba | Switching apparatus, authentication server, authentication system, authentication method, and computer program product |
JP2016525748A (ja) * | 2013-07-09 | 2016-08-25 | 華為技術有限公司Huawei Technologies Co.,Ltd. | ユーザ端末のアクセスを制御するための方法、装置、およびシステム |
US9825950B2 (en) | 2013-07-09 | 2017-11-21 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for controlling access of user terminal |
JP2016082499A (ja) * | 2014-10-21 | 2016-05-16 | Necプラットフォームズ株式会社 | ネットワーク装置及びネットワーク装置のmacアドレス認証方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8189600B2 (en) | Method for IP routing when using dynamic VLANs with web based authentication | |
KR101063080B1 (ko) | 이더넷 dsl 액세스 멀티플렉서 및 동적 서비스 선택과최종-사용자 구성을 제공하는 방법 | |
US7624181B2 (en) | Techniques for authenticating a subscriber for an access network using DHCP | |
EP3410648B1 (en) | Method, device and system for access control | |
CN107786613B (zh) | 宽带远程接入服务器bras转发实现方法和装置 | |
CN110650076B (zh) | Vxlan的实现方法,网络设备和通信系统 | |
EP1878169B1 (en) | Operator shop selection in broadband access related application | |
US8484695B2 (en) | System and method for providing access control | |
US10212160B2 (en) | Preserving an authentication state by maintaining a virtual local area network (VLAN) association | |
JP3844762B2 (ja) | Eponにおける認証方法及び認証装置 | |
JP4909875B2 (ja) | パケット中継装置 | |
WO2011081104A1 (ja) | 通信システム、認証装置、制御サーバ、通信方法およびプログラム | |
US20070195804A1 (en) | Ppp gateway apparatus for connecting ppp clients to l2sw | |
JP4920878B2 (ja) | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム | |
JP3563714B2 (ja) | ネットワーク間接続装置 | |
JP2006067057A (ja) | ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント | |
JP2010062667A (ja) | ネットワーク機器及びネットワークシステム | |
CN113923076A (zh) | 一种基于sd-wan的以太网二层数据交换方法 | |
JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
US7978602B2 (en) | Dynamic construction of label switching protocol interfaces | |
JP2010187314A (ja) | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 | |
JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
WO2013067911A1 (zh) | 一种接入认证方法、系统及设备 | |
JP4776582B2 (ja) | ネットワークシステム及び集約装置 | |
JP4451362B2 (ja) | ネットワーク認証システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20061215 |