JP2006148255A - Apparatus and method for specifying connected position of illegitimate apparatus - Google Patents
Apparatus and method for specifying connected position of illegitimate apparatus Download PDFInfo
- Publication number
- JP2006148255A JP2006148255A JP2004332321A JP2004332321A JP2006148255A JP 2006148255 A JP2006148255 A JP 2006148255A JP 2004332321 A JP2004332321 A JP 2004332321A JP 2004332321 A JP2004332321 A JP 2004332321A JP 2006148255 A JP2006148255 A JP 2006148255A
- Authority
- JP
- Japan
- Prior art keywords
- port
- management function
- remote management
- physical address
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、ネットワーク上のネットワーク機器に接続された不正機器の位置を特定する不正機器の接続位置特定装置に関するものである。 The present invention relates to an unauthorized device connection position specifying device for specifying the position of an unauthorized device connected to a network device on a network.
従来、多段接続されたスイッチングハブの各ポートに接続された端末とその各ポートとの対応関係を用いて、端末やスイッチングハブがどのように接続されているかをあらわす形態を作成するネットワークトポロジ作成方法が開示されている(例えば、特許文献1)。
しかしながら、特許文献1に開示された方法では、下位に位置する複数のスイッチングハブの間で互いに接続されているポートを検出することができないため、下位に位置するスイッチングハブなどのネットワーク機器に不正に接続された機器の接続ポートを特定することができないという不都合があった。
However, the method disclosed in
そこで、本発明は、前記の課題を解決するためになされたものであり、その目的は、ネットワークにおけるネットワーク機器に不正に接続された機器の接続ポートを特定することが可能な不正機器の接続位置特定装置および接続位置特定方法を提供することである。 Therefore, the present invention has been made to solve the above-described problems, and the object of the present invention is to connect unauthorized devices that can identify connection ports of devices that are illegally connected to network devices in the network. It is to provide a specifying device and a connection position specifying method.
前記課題を解決するために本発明は、遠隔管理機能付のネットワーク機器を接続して多段に構成されたネットワークの前記遠隔管理機能付ネットワーク機器に不正に接続された機器の位置を特定する不正機器の接続位置特定装置であって、記憶部とこれを制御する処理部とを備えるものである。そして、前記処理部は、前記遠隔管理機能付ネットワーク機器に接続された前記機器の不正接続を検知した場合、少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、前記各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集する。
前記記憶部に収集した前記遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器と前記接続位置特定装置の物理アドレスを保持し、かつそのそれぞれの物理アドレスに対応する前記ポートが不一致である前記遠隔管理機能付ネットワーク機器を不正機器の物理アドレスに対応するポートの方向に選定していき、前記不正接続の機器が接続されている終端の前記遠隔管理機能付ネットワーク機器およびその前記ポートを特定し、前記特定した終端の前記遠隔管理機能付ネットワーク機器およびその前記ポートを外部に出力する。
In order to solve the above problems, the present invention relates to an unauthorized device that identifies a position of a device that is illegally connected to the network device with a remote management function in a multi-stage network by connecting network devices with a remote management function. The connection position specifying device includes a storage unit and a processing unit that controls the storage unit. When the processing unit detects an unauthorized connection of the device connected to the network device with a remote management function, the processing unit retains at least a correspondence relationship between the physical address of the detected device and its port. Two-way communication with a network device with a function, and physical addresses of the network device with a remote management function connected to the end of the port of each network device with a remote management function and the connection position specifying device and the correspondence After the port is held in each network device with remote management function, the correspondence between the physical address held by each network device with remote management function and the port is collected in the storage unit.
In the correspondence between the physical address and the port of the network device with remote management function collected in the storage unit, the physical address of the unauthorized connection device and the connection position specifying device is held, and each physical The remote management function network device with the mismatched port corresponding to the address is selected in the direction of the port corresponding to the physical address of the unauthorized device, and the remote management of the end to which the unauthorized device is connected The function-equipped network device and the port thereof are specified, and the specified terminal device of the remote management function and the port are output to the outside.
本発明によると、ネットワークにおいて不正機器が接続した遠隔管理機能付ネットワーク機器、およびそのポートを特定することができる。 According to the present invention, it is possible to identify a network device with a remote management function to which an unauthorized device is connected in a network, and its port.
[実施の形態1]
図1は、本発明の実施の形態1に係る不正機器の接続位置特定装置を含む全体のシステムを示すブロック図である。
図1において、不正機器の接続位置特定装置(以下単に「接続位置特定装置」という)10は、スイッチ21のポートP1に接続され、スイッチ21は、下位に位置する複数のスイッチ22,23に接続されている。なお、スイッチ21〜23は、遠隔管理機能を持っている(後記のスイッチ24〜26も同じ)。ここにいう遠隔管理機能とは、接続位置特定装置10からの要求に応じてFDBやアドレストラックに保持する情報を返す機能をいう。
[Embodiment 1]
FIG. 1 is a block diagram showing an entire system including an unauthorized device connection position specifying device according to
In FIG. 1, an unauthorized device connection position specifying device (hereinafter simply referred to as a “connection position specifying device”) 10 is connected to a port P1 of a
スイッチ23は、下位に位置するスイッチ24を介して、リピータハブ41に接続され、このリピータハブ41のポートP1には、コンピュータなどの機器5が接続されている。リピータハブ41は、前記した遠隔管理機能を持っている(後記のリピータハブ42も同じ)。前記した機器5は、接続が許可されている正当な機器である。
また、スイッチ23は、下位に位置する複数のスイッチ25,26を介して、リピータハブ42に接続され、このリピータハブ42のポートP1およびポートP2には、それぞれコンピュータなどの機器7が接続されている。後で、機器31が接続される。機器7は、前記した機器5と同様、正当な機器であり、機器31は、ネットワークへの接続が許可されていない不正なパーソナルコンピュータなどの機器である。なお、図1において、符号P1,P2,P4,P6〜P8は、ポート番号を示している。また、機器1〜8は、正当な機器を示している。このように、複数のスイッチ(スイッチハブ)21〜26などの遠隔管理機能付ネットワーク機器が多段接続してネットワークが構成されている。
The
Further, the
ここで、図1に示したネットワーク上のすべての機器、すなわち接続位置特定装置10、スイッチ21〜26、リピータハブ41,42、機器1〜8,31は、図2に示すように、それぞれ、IPアドレス(論理アドレス)およびMACアドレス(物理アドレス)が割り当てられていることとする。
Here, all the devices on the network shown in FIG. 1, that is, the connection
次に、前記した接続位置特定装置10の構成を説明する。
図3は、接続位置特定装置の構成を示すブロック図である。図3において、接続位置特定装置10は、例えばパーソナルコンピュータなどのコンピュータであり、バス160上に接続された処理部110、ネットワークを介して他の機器との通信を行うための通信インターフェース(通信I/F)120、記憶部130、表示部140および入力部150を備えている。以下にこれらを詳述する。
入力部150は、キーボードやマウスなどの入力デバイスであり、表示部140は、コンピュータディスプレイなどの表示デバイスである。
Next, the configuration of the connection
FIG. 3 is a block diagram illustrating a configuration of the connection position specifying device. In FIG. 3, the connection
The
記憶部130は、メモリなどの記憶装置であり、機器アドレステーブル131、スイッチアドレステーブル132、リピータハブアドレステーブル133および制限エリア情報134が格納されている。機器アドレステーブル131には、ネットワークに接続される機器(例えば、機器1〜8など)のIPアドレスおよびMACアドレスが格納されるようになっている。
スイッチアドレステーブル132には、図1に示したスイッチ21〜26についてのIPアドレスおよびMACアドレスの対応関係などが格納される。また、リピータハブアドレステーブル133には、図1に示したリピータハブ41,42についてのIPアドレスおよびMACアドレスの対応関係などが格納される。なお、スイッチアドレステーブル132およびリピータハブアドレステーブル133の構成については、後記で詳述する。
制限エリア情報134は、ネットワークへの接続を、(1)許可するIPアドレスあるいはMACアドレス、または(2)許可しないIPアドレスあるいはMACアドレスに関するものであり、ここでは、ネットワークへの接続を許可しないIPアドレス「192.162.1.31」〜「192.168.1.39」が設定されていることとする。この制限エリア情報134に含まれているIPアドレスを用いた機器は、不正な機器と判断されることとなる。
The
The switch address table 132 stores the correspondence between IP addresses and MAC addresses for the
The
処理部110は、CPUなどの処理装置であり、遠隔収集部111、機器アドレス検出部112、接続監視部113、通信部114および不正機器接続位置特定部(以下単に「特定部」という)115を有している。これら各部111〜115は、接続位置特定装置10に組み込まれている接続位置特定プログラムにしたがって動作するようになっているが、詳細は後記する。前記した接続位置特定プログラムは、記憶部130の所定領域にあらかじめ格納されていてもよいし、CD−ROMなどのコンピュータ読み取り可能な記録媒体から読み込まれてもよい。
The
次に、スイッチ21〜26の構成を説明する。
図4は、スイッチの構成を示すブロックである。ここでは、スイッチ21について説明するが、他のスイッチ22〜26の構成もスイッチ21と同様である。
図4において、スイッチ21は、処理部(プロセッサ)200、記憶部(メモリ)210および複数のポートP1〜P8を備えている。記憶部210には、ポート番号とMACアドレスとの対応関係を保持するフォワーディングデータベース(以下「FDB」と略す)211が格納されている。このFDB211により、ポートごとに学習した受信フレームの送信元MACアドレスが保持される。
Next, the configuration of the
FIG. 4 is a block diagram showing the configuration of the switch. Here, the
4, the
次に、リピータハブ41,42の構成を説明する。
図5は、リピータハブの構成を示すブロックである。ここでは、リピータハブ41について説明するが、他のリピータハブ42の構成もリピータハブ41と同様である。
図5において、リピータハブ41は、処理部(プロセッサ)400、記憶部(メモリ)410および複数のポートP1〜P4を備えている。記憶部410には、アドレストラック411が格納されている。このアドレストラック411により、ポートごとに最後に学習した受信フレームの送信元MACアドレスが保持される。
Next, the configuration of the
FIG. 5 is a block diagram showing the configuration of the repeater hub. Here, the
In FIG. 5, the
次に、前記した接続位置特定装置10の全体的な処理手順について説明する。
図6は、接続位置特定装置の全体的な処理手順を示す図である。ここでは、あるタイミングで図1に示した機器31がリピータハブ42のポートP2に接続された場合を例にして説明する。
まず、図3に示した接続位置特定装置10の処理部110は、自己の所属するネットワーク(ここでは「192.168.1.0/24」で自己の論理アドレスを除く論理アドレス(「192.168.1.1」〜「192.168.1.254」のうちの「192.168.1.10」を除くもの))宛にアドレス解決要求を送信して、その応答を返した接続機器のIPアドレスおよびMACアドレスを検出(以下「アドレス検出」という)する(S100:このときの処理部110を図3に示した「機器アドレス検出部112」という)。これにより、接続位置特定装置10は、機器1〜8、スイッチ21〜26およびリピータハブ41,42を含むすべてのノードについての接続機器のIPアドレスおよびMACアドレスを検出する。そして、接続位置特定装置10は、これら接続機器のIPアドレスおよびMACアドレスの対応関係を図3の機器アドレステーブル131に登録する。
Next, an overall processing procedure of the connection
FIG. 6 is a diagram showing an overall processing procedure of the connection position specifying device. Here, a case where the
First, the
続いて、処理部110は、図3の機器アドレステーブル131上のアドレスに対し、SNMP GetでFDBに保持されている情報を要求し、この応答が返ったアドレスが遠隔管理機能付スイッチのものであると判断する。また、処理部110は、図3の機器アドレステーブル131上のアドレスに対し、SNMP Getでアドレストラックに保持されている情報を要求し、この応答が返ったアドレスが遠隔管理機能付リピータハブのものであると判断する。このようにして、遠隔管理機能付スイッチおよび遠隔管理機能付リピータハブのアドレスが判断され、処理部110が、図3に示したスイッチアドレステーブル131および図3に示したリピータハブアドレステーブル133を作成する(S200:このときの処理部110も図3に示した「機器アドレス検出部112」という)。
なお、前記したSNMPは、Simple Network Management Protocolの略であり、ネットワーク環境での管理プロトコルである。
Subsequently, the
The aforementioned SNMP is an abbreviation for Simple Network Management Protocol, and is a management protocol in a network environment.
このときのスイッチアドレステーブル132の一例を図7に、リピータハブアドレステーブル133の一例を図8にそれぞれ示す。 An example of the switch address table 132 at this time is shown in FIG. 7, and an example of the repeater hub address table 133 is shown in FIG.
まず、スイッチアドレステーブル132について説明する。図7によると、スイッチアドレステーブル132には、IPアドレス、MACアドレス、優先フラグおよび参照済フラグが相互に関連付けられて格納されている。ここでは、図1に示したスイッチ21〜26のIPアドレス(「192.168.1.21」〜「192.168.1.26」と、MACアドレス(「00:22:33:00:00:21」〜「00:22:33:00:00:26」)とが格納されている。なお、優先フラグというのは、不正な機器の接続位置を特定する際に、そのレコード上のスイッチを優先的に参照することを示すフラグであり、参照済フラグというのは、既にレコードを参照したかを示すフラグであるが、詳細は後記する。
First, the switch address table 132 will be described. According to FIG. 7, the switch address table 132 stores an IP address, a MAC address, a priority flag, and a referenced flag that are associated with each other. Here, the IP addresses (“192.168.1.21” to “192.168.1.26”) and the MAC address (“00: 22: 33: 00: 00: 00” of the
続いて、リピータハブアドレステーブル133について説明する。図8によると、リピータハブアドレステーブル133には、図1に示したリピータハブ41,42のIPアドレス(「192.168.1.41」〜「192.168.1.42」と、MACアドレス(「00:33:44:00:00:41」〜「00:33:44:00:00:42」)とが格納されている。
Next, the repeater hub address table 133 will be described. Referring to FIG. 8, the repeater hub address table 133 includes the IP addresses (“192.168.1.41” to “192.168.1.42”, MAC addresses) of the
図6に戻り、S300では、処理部110は、アドレス解決要求プロトコルをモニタし、ネットワークの接続状況についての接続監視を行う(S300:このときの処理部110を図3に示した「接続監視部113」という)。この場合において、例えば、機器31がリピータハブ42に接続され、接続時に機器31がアドレス解決要求をブロードキャスト送信したものとする。すると、処理部110は、そのアドレス解決要求から取得した機器31のIPアドレスと、それに対応するMACアドレスとを記憶する。そして、処理部110は、それらのアドレスが図3に示した機器アドレステーブル131に未登録のアドレスと判断し、機器31が新規に接続されたと判断することとなる。
Returning to FIG. 6, in S300, the
また、前記したブロードキャスト送信により、スイッチ21〜26にも、アドレス解決要求から取得した機器31のアドレスが届くこととなる。このときのスイッチ21〜26のFDB211の保持状態を図9および図10に示す。また、このときのリピータハブ41,42のアドレストラック411の保持状態を図11に示す。
Moreover, the address of the
まず、スイッチ21〜26のFDB211の保持状態について説明する。スイッチ21のFDB211には、図9(a)に示すように、前記した機器31からのアドレス解決要求により保持された機器31のMACアドレス「00:11:22:00:00:31」とそれを受信したポート番号「8」との対応関係が保持されている(同図(a)の太枠参照)。また、図9(b)に示すように、スイッチ22のFDB211にも、機器31からのアドレス解決要求により保持された機器31のMACアドレス「00:11:22:00:00:31」とそれを受信したポート番号「8」との対応関係が保持されている(同図(b)の太枠参照)。さらに、図9(c)に示すように、スイッチ23のFDB211にも、機器31からのアドレス解決要求により保持された機器31のMACアドレス「00:11:22:00:00:31」とそれを受信したポート番号「7」との対応関係が保持されている(同図(c)の太枠参照)。このように、他のすべてのスイッチ24〜26のFDB211にも、図10(a)、(b)、(c)に示すように、機器31からのアドレス解決要求により保持された機器31のMACアドレス「00:11:22:00:00:31」とそれを受信したポート番号との対応関係が保持されている(同図(a)〜(c)の太枠参照)。
First, the holding state of the
続いて、リピータハブ41,42のアドレストラック411の保持状態について説明する。リピータハブ41のアドレストラック411には、図11(a)に示すように、図1に示した機器5のMACアドレス「00:11:22:00:00:05」とそれを受信したポート番号「1」との対応関係が保持されている。これに対して、図11(b)に示すように、リピータハブ41のアドレストラック411には、前記した機器31からのアドレス解決要求により保持された機器31のMACアドレス「00:11:22:00:00:31」とそれを受信したポート番号「2」との対応関係が保持されている(同図(b)の太枠参照)。
なお、図11(b)では、2つのポート番号「1」,「2」に対応するMACアドレスが保持されているが、ポート「1」にリピータハブなどを介して他の遠隔管理機能付ネットワーク機器も接続されている場合、ポート「1」で受信したMACアドレスは同じポートに接続されている別の遠隔管理機能付ネットワーク機器のMACアドレスに書き換えられる。アドレストラック411には、最後に受信したフレームの送信元MACアドレスを保持するものであるからである。
Next, the holding state of the address track 411 of the
In FIG. 11B, the MAC addresses corresponding to the two port numbers “1” and “2” are held, but another network with a remote management function is connected to the port “1” via a repeater hub or the like. When the device is also connected, the MAC address received at port “1” is rewritten to the MAC address of another network device with a remote management function connected to the same port. This is because the address track 411 holds the source MAC address of the frame received last.
図6に戻って説明を続ける。S400では、処理部110は、例えば、S300で接続監視を行っていたときに接続された機器31からのアドレス解決要求に基づいて取得した機器31のIPアドレス「192.168.1.31」が図3に示した制限エリア情報134に含まれているので、不正機器と検知し(S400の「YES」の場合)、S500に移行する。
S500では、処理部110は、S400で不正機器と検知した機器31のIPアドレス「192.168.1.31」とMACアドレス「00:11:22:00:00:31」とを用いて機器31の接続位置を特定する(S500:このときの処理部110を図3に示した「特定部」115という)。この特定処理については次の図12で詳述する。
Returning to FIG. 6, the description will be continued. In S400, for example, the
In S500, the
図12は、図6のS500における処理手順の詳細を示す図である。
まず、図3に示した処理部110は、すべてのスイッチ21〜26とリピータハブ41,42に対して、例えばSNMP Get要求を行う(S501:このときの処理部110を図3に示した「通信部114」という)。このSMNP Get要求により、図1に示したスイッチ21〜26およびリピータハブ41,42は、前記した要求に対する応答を接続位置特定装置10に返すこととなり、途中にあるスイッチ21〜26のFDB211には、ポート毎に受信できた前記応答フレームの送信元MACアドレスが保持されることとなる。このときのスイッチ21〜26のFDB211の保持状態を図13および図14に示す。
FIG. 12 is a diagram showing details of the processing procedure in S500 of FIG.
First, the
図13(a)に示すように、スイッチ21のFDB211には、例えば、図1に示したスイッチ23などのMACアドレス(「00:22:33:00:00:23」など)がポートごとに保持されている。同様に、スイッチ22,23のFDB211にも、図13(b)、(c)に示すように、MACアドレスがポートごとに保持されている。
さらに、他のスイッチ24〜26のFDB211にも、図14(a)〜(c)に示すように、MACアドレスがポートごとに保持されている。
As shown in FIG. 13A, the
Furthermore, as shown in FIGS. 14A to 14C, the
なお、S501では、SNMP Get要求を用いることとしたが、スイッチ21〜26やリピータハブ41,42との双方向の通信を行うのであれば、ARP要求・応答、ICMP(Internet Control Message Protocol) Echoなどの通信を行ってもよい。
また、前記した双方向通信は、スイッチ21〜26のFDB211に保持されているMACアドレスとポートとの保持期限が切れない間隔(ここではエージングタイマがタイムアップする前にという意味)で行うこととする。
In S501, an SNMP Get request is used. However, if bidirectional communication with the
In addition, the above-described two-way communication is performed at an interval at which the retention period between the MAC address and the port held in the
図12に戻り、S502において、処理部110は、図7に示したスイッチアドレステーブル131を参照し、例えば、図1に示したスイッチ21のIPアドレスおよびMACアドレスを用いて(図7の最上段参照)、スイッチ21のFDB21の記憶データを収集する。この収集は、例えば、SNMP要求(ネットワーク管理要求)で行う(このときの処理部110を図3に示した「遠隔収集部111」という)。これにより、処理部110は、図13(a)に示したスイッチ21のFDB211の記憶データを収集して図3の記憶部130の所定領域に格納することとなる。
Returning to FIG. 12, in S502, the
次に、処理部110では、S502で行ったSNMP要求により収集した図13(a)のスイッチ21のFDB211から、S300で検出され記憶された機器31のMACアドレスに対応するポートの有無を判断する(S503)。図13(a)には、機器31のMACアドレス「00:11:22:00:00:31」に対応するポート「8」が存在するので、S503において、処理部110は、対応するポートが有ると判断し(S503の「YES」の場合)、次のS504に進み、S503で有ると判断したポート「8」と同じポートに接続位置特定装置10のMACアドレス「00:11:22:00:00:10」が有るかどうかを判断する。
図13(a)には、ポート「8」とは異なるポート「1」に、接続位置特定装置10のMACアドレス「00:11:22:00:00:10」が存在するので、S504において、S503で有ると判断したポート「8」と同じポートに接続位置特定装置10のMACアドレスが無いと判断され(S504の「NO」の場合)、S505に進む。
Next, the
In FIG. 13A, since the MAC address “00: 11: 22: 00: 00: 00” of the connection
S505において、図13(a)に示したスイッチ21のFDB211から、ポート「8」にスイッチ23〜26のMACアドレス(「00:22:33:00:00:23」〜「00:22:33:00:00:26」)が登録されているので、処理部110は、S503で有ると判断したポート「8」と同じポートにスイッチのMACアドレスが有ると判断し(S505の「YES」の場合)、次のS506に進む。S506において、処理部110は、図7に示したスイッチアドレステーブル132中、図15に示すように、S505でMACアドレスが有ると判断したスイッチ23〜26の優先フラグを設定する(図15中「優先」参照)。また、スイッチ21の参照済フラグを設定する(図15中「済」参照)。このようにして、図1に示した機器31の通信経路となるスイッチ23〜26を選定する。
In S505, the MAC address (“00: 22: 33: 00: 00: 00” to “00:22:33” of the
そして、処理部110は、S507に進み、図15に示したスイッチアドレステーブル132中、参照済フラグが未設定、すなわち未参照のスイッチ22〜26が有ると判断し(S507の「YES」の場合)、S502に戻る。
Then, the
S502において、処理部110は、図15に示したスイッチアドレステーブル132を参照し、例えば、優先フラグが設定され、かつ未参照のスイッチ24のIPアドレス「192.162.1.24」およびMACアドレス「00:22:33:00:00:24」を用いて、図14(a)に示したスイッチ24のFDB221の記憶データを収集する。図14(a)に示したスイッチ24のFDB221には、不正に接続された機器31のMACアドレスに対応するポート「8」が存在し、かつ、そのポート「8」には、接続位置特定装置10のMACアドレスが存在するので、処理部110は、S503の「YES」に進んだ後、次のS504で「YES」に進んでS507に移行する。そして、処理部110は、図15に示したスイッチアドレステーブル132中、未処理のスイッチ22,23,25,26が有ると判断し(S507の「YES」の場合)、S502に戻る。
In S502, the
次のS502において、処理部110は、図15に示したスイッチアドレステーブル132を参照し、例えば、優先フラグが設定され、かつ未参照のスイッチ25のIPアドレス「192.162.1.25」およびMACアドレス「00:22:33:00:00:25」を用いて、図14(b)に示したスイッチ25のFDB221の記憶データを収集する。図14(b)に示したスイッチ25のFDB221には、不正に接続された機器31のMACアドレスに対応するポート「7」が存在するが、そのポート「7」には、接続位置特定装置10のMACアドレスが存在しないので、処理部110は、S503の「YES」に進んだ後、次のS504で「NO」に進んでS505に移行する。
S505では、処理部110は、図14(b)に示したスイッチ25のFDB221に、S503で有ると判断したポート「7」にスイッチ26のMACアドレス「00:22:33:00:00:26」が有ると判断し(S505の「YES」の場合)、次のS506、S507の「YES」、S502の順に進む。
S506では、図16に示すように、S504で有ると判断されたMACアドレスのスイッチ26の優先フラグが有効になるように更新設定される。
In next step S502, the
In S505, the
In S506, as shown in FIG. 16, the update flag is set so that the priority flag of the
次のS502において、処理部110は、図16に示したスイッチアドレステーブル132を参照し、優先フラグが設定され、かつ未参照のスイッチ26のIPアドレス「192.162.1.26」およびMACアドレス「00:22:33:00:00:26」を用いて、図14(c)に示したスイッチ26のFDB221の記憶データを収集する。図14(c)に示したスイッチ26のFDB221には、制限エリア内に接続された機器31のMACアドレスに対応するポート「7」が存在するが、そのポート「7」には、接続位置特定装置10のMACアドレスが存在しないので、処理部110は、S503の「YES」に進んだ後、次のS504で「NO」に進んでS505に移行する。
S505では、処理部110は、図14(c)に示したスイッチ26のFDB221に、S503で有ると判断したポート「7」にスイッチのMACアドレスがないと判断し(S505の「NO」の場合)、次のS508に進む。
S508では、図14(c)に示したスイッチ26のFDB221に、S503で有ると判断したポート「7」にリピータハブ42のMACアドレス「00:22:33:00:00:42」が存在するので、S508の「YES」に進み、S509に移行する。
なお、S508において「NO」の場合、処理部110は、次のS508Aに進み、スイッチとポートを特定し、後記するS511に移行する。
In next step S502, the
In S505, the
In S508, the MAC address “00: 22: 33: 00: 00: 00” of the
If “NO” in S508, the
S509では、まず、処理部110は、図8に示したリピータハブアドレステーブル133を参照して、S508で検出したリピータハブ42のIPアドレス「192.162.1.42」およびMACアドレス「00:33:44:00:00:42」を用い、SNMP要求により、図11(b)に示したリピータハブ42のアドレストラック411の記憶データを収集する。図11(b)に示したリピータハブ42のアドレストラック411には、不正に接続された機器31のMACアドレス「00:11:22:00:00:31」に対応するポート「2」が存在するので、処理部110は、S509の「YES」に進み、S510に移行する。
In step S509, the
S510では、処理部110は、リピータハブ42とポート「2」を特定し、次のS511で、その旨の情報、すなわちリピータハブ42のポート「2」を表示部140に外部出力して表示させる。この表示では、リピータハブ42のIPアドレスやMACアドレスを表示するようにしてもよい。
なお、S509において「NO」の場合、処理部110は、リピータハブのみ特定し(S509A)、S511で、その旨の情報を表示部140に表示する。
このようにして、利用者は、機器31が接続されたリピータハブ42、およびそのポート「2」を確認することが可能となる。例えば、スイッチの上位や下位のどの位置に接続されているかなどのトポロジに左右されず、また、MACアドレスとポートの対応関係の収集を必ずしも全てのネットワーク機器に対してしなくても不正な機器31の位置を接続ポートにより特定することが可能である。したがって、機器31の接続位置を迅速に特定し、ネットワークへの不正な接続を回避するよう対策を講じることが可能となる。
In S510, the
If “NO” in S509, the
In this way, the user can confirm the
[実施の形態2]
図17は、本発明の実施の形態2に係る不正機器の接続位置特定装置を含む全体のシステムを示すブロック図である。なお、前記した実施の形態1と同じ部分は、同一の符号を付し重複説明を省略する。
図17において、図1に示した遠隔管理機能付リピータハブ42の下位に、遠隔管理機能を持たない非対応リピータハブ51を接続し、この非対応リピータハブ51のポートP2に、前記した不正機器31を接続する。その他の構成は、実施の形態1の場合とほぼ同様であるので、説明を省略する。
[Embodiment 2]
FIG. 17 is a block diagram showing the entire system including the unauthorized device connection position specifying device according to
In FIG. 17, a non-compliant repeater hub 51 that does not have a remote management function is connected to the lower level of the repeater hub with remote management function shown in FIG. 1, and the unauthorized device described above is connected to the port P2 of this non-compliant repeater hub 51. 31 is connected. Other configurations are substantially the same as those in the first embodiment, and thus description thereof is omitted.
この場合、図17に示した接続位置特定装置10では、前記した図12に示したS501により、図17に示したスイッチ21〜23のFDB211は、図18(a)〜(c)に示すような保持状態となる。また、図17に示したスイッチ24〜26のFDB211は、図19(a)〜(c)に示すような保持状態となる。さらに、図17に示した遠隔管理機能付リピータハブ41,42のアドレストラック411は、図20(a)、(b)に示すような保持状態となる。そして、接続位置特定装置10の処理部110が、図12に示したS502からS510までの処理を実行することにより、図17に示したリピータハブ42のポート「2」を表示部140に表示することとなる。
すなわち、処理部110は、不正接続の機器31と接続位置特定装置10の物理アドレスを保持し、かつ、そのそれぞれの物理アドレスに対応するポートが不一致のスイッチ21,23,25,26およびリピータハブ42を不正機器31のMACアドレスに対応するポートの方向に選定していくことにより、機器31が接続されている非対応リピータハブ51がつながれている遠隔管理機能を有する上位のリピータハブ42のポート「2」を特定して外部に出力することとなる。これにより、利用者は、不正機器31が接続された終端のリピータハブ42、およびそのポート「2」を確認することが可能となり、有益である。
また、遠隔管理機能を有する上位のリピータハブ42のポート「2」に保持されているMACアドレスが不正機器31から機器7のものに書き換わった場合でも、ポートは不明だが不正機器31が接続するリピータハブ42までは特定可能であり、有益である。
In this case, in the connection
That is, the
Even when the MAC address held in the port “2” of the
[実施の形態3]
図21は、本発明の実施の形態3に係る不正機器の接続位置特定装置を含む全体のシステムを示すブロック図である。なお、前記した実施の形態1,2と同じ部分は、同一の符号を付し重複説明を省略する。
図21において、図1に示したスイッチ23とスイッチ26との間に非対応リピータハブ52を接続し、スイッチ26のポート「2」に、前記した機器31を接続している。なお、非対応リピータハブ52は、遠隔管理機能を持たないものである。その他の構成は、実施の形態1の場合とほぼ同様であるので、説明を省略する。
[Embodiment 3]
FIG. 21 is a block diagram showing the entire system including the unauthorized device connection position specifying device according to
In FIG. 21, a
この場合、図21に示した接続位置特定装置10では、前記した図6に示したS200により、図22に示すスイッチアドレステーブル132を作成し、その後、図12に示したS501により、図21に示したスイッチ21〜24,26のFDB211は、図23(a)〜(e)に示すような保持状態となる。そして、接続位置特定装置10の処理部110が、図12に示したS502からS510までの処理を実行することにより、図22に示したスイッチアドレステーブル132が図24、図25の順に更新される。
そして最終的に、処理部110は、図21に示したスイッチ26のポート「2」を表示部140に表示することとなる。
すなわち、処理部110は、不正接続の機器31と接続位置特定装置10の物理アドレスを保持し、かつそのそれぞれの物理アドレスに対応するポートが不一致のスイッチ21,23,26を不正機器31のMACアドレスに対応するポートの方向に選定していくことにより、機器31が接続されているスイッチ26の「2」を特定して外部に出力することとなる。これにより、利用者は、機器31が接続された終端のスイッチ26、およびそのポート「2」を確認することが可能となる。
In this case, in the connection
Finally, the
In other words, the
なお、本発明は、前記した実施の形態に限定されない。スイッチの台数は既知の技術により変更が可能である。また、スイッチは、本発明の趣旨を逸脱しない限りにおいて、種々に組み合わせてネットワークを構築してもよい。
また、接続位置特定装置10の構成(データ構造を含む)およびプログラム処理の手順は、既知の技術により種々の変更が可能である。例えば、図12のS502〜S507では、スイッチアドレステーブル132に登録されているスイッチのFDB211を順次収集してその内容を参照する場合について説明したが、すべてのスイッチのFDB211を一括で収集した後、それらの内容を参照するようにしてもよい。
The present invention is not limited to the embodiment described above. The number of switches can be changed by known techniques. Further, the switches may be variously combined to construct a network without departing from the spirit of the present invention.
Further, the configuration (including the data structure) of the connection
10 接続位置特定装置
21〜26 スイッチ
41,42 リピータハブ
10 Connection Position Identification Device 21-26
Claims (12)
記憶部とこれを制御する処理部とを備え、
前記処理部は、
前記遠隔管理機能付ネットワーク機器に接続された前記機器の不正接続を検知した場合、少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、
前記各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集し、
前記記憶部に収集した前記遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器と前記接続位置特定装置の物理アドレスを保持し、かつそのそれぞれの物理アドレスに対応する前記ポートが不一致である前記遠隔管理機能付ネットワーク機器を選定していき、前記不正接続の機器が接続されている終端の前記遠隔管理機能付ネットワーク機器およびその前記ポートを特定し、
前記特定した終端の前記遠隔管理機能付ネットワーク機器およびその前記ポートを外部に出力する
ことを特徴とする不正機器の接続位置特定装置。 It has a forwarding database (hereinafter referred to as “FDB”) that has a plurality of ports connected to the network, learns the source physical addresses of the frames received for each port, and holds a plurality, and requests FDB by a request from a remote device. An unauthorized device that identifies the position of a device that is illegally connected to the network device with a remote management function in a network configured by connecting multiple network devices with a remote management function having a remote management function that responds to the request source. The connection position identification device of
A storage unit and a processing unit for controlling the storage unit,
The processor is
When an unauthorized connection of the device connected to the network device with a remote management function is detected, at least for the network device with a remote management function that holds a correspondence relationship between a physical address of the detected device and its port Bidirectional communication is performed, and the remote management function network device with the remote management function connected to the end of the port and the physical address and the corresponding port of the connection position specifying device are connected to the remote management function. After holding the network device with functions,
Collecting the correspondence between the physical address and the port held by each network device with remote management function in the storage unit,
In the correspondence between the physical address and the port of the network device with remote management function collected in the storage unit, the physical address of the unauthorized connection device and the connection position specifying device is held, and each physical Select the network device with remote management function that does not match the port corresponding to the address, identify the terminal device with remote management function to which the unauthorized connection device is connected and the port,
The network device with remote management function at the specified terminal and the port are output to the outside.
ある物理アドレスとポートの対応関係において、不正接続機器の物理アドレスが保持されているポートがあり、そのポートに前記接続位置特定装置の物理アドレスが保持されておらず、かつそのポートに他のネットワーク機器の物理アドレスが保持されていない場合、
この物理アドレスとポートの対応関係を有するネットワーク機器が不正接続機器に接続されるネットワーク機器で、当該不正接続機器の物理アドレスが保持されているポートが、不正接続機器が接続するポートであると判断する
ことを特徴とする請求項1に記載の接続位置特定装置。 The processor is
In a correspondence relationship between a physical address and a port, there is a port that holds the physical address of the unauthorized connection device, the physical address of the connection position specifying device is not held in that port, and the port has another network If the physical address of the device is not retained,
It is determined that the network device having the correspondence between the physical address and the port is a network device connected to the unauthorized connection device, and the port holding the physical address of the unauthorized connection device is a port to which the unauthorized connection device is connected. The connection position specifying device according to claim 1.
あるネットワーク機器の物理アドレスとポートの対応関係において、不正接続機器の物理アドレスが保持されているポートがあり、そのポートに接続位置特定装置の物理アドレスが保持されておらず、かつそのポートに他のネットワーク機器の物理アドレスが保持されていた場合、
次に選定するのは、当該不正接続機器の物理アドレスに保持されているポートに保持されていたネットワーク機器を優先する
ことを特徴とする請求項1に記載の接続位置特定装置。 The processor is
In the correspondence between the physical address and port of a network device, there is a port that holds the physical address of the unauthorized connection device, the physical address of the connection location identification device is not held at that port, and there is another If the physical address of the network device is retained,
2. The connection position specifying device according to claim 1, wherein the network device held in the port held in the physical address of the unauthorized connection device is given priority next.
前記各遠隔管理機能付ネットワーク機器に保持されている前記物理アドレスと前記ポートとの対応関係の保持期限が切れない間隔で、前記接続位置特定装置と前記遠隔管理機能付ネットワーク機器との双方向の通信を行うことを特徴とする請求項1に記載の不正機器の接続位置特定装置。 The processor is
Bidirectional communication between the connection location specifying device and the network device with remote management function is performed at an interval at which the retention period of the correspondence relationship between the physical address and the port held in each network device with remote management function does not expire. 2. The unauthorized device connection position specifying device according to claim 1, wherein communication is performed.
アドレス解決要求により、自己が接続するのとは別の前記遠隔管理機能付ネットワーク機器の物理アドレスおよび論理アドレスを検出し、検出した物理アドレスおよび論理アドレスを用いて、前記ネットワーク管理要求を前記遠隔管理機能付ネットワーク機器に行うことを特徴とする請求項1に記載の不正機器の接続位置特定装置。 The processor is
In response to an address resolution request, a physical address and a logical address of the network device with a remote management function that is different from the one to which it is connected are detected, and the remote management of the network management request is performed using the detected physical address and logical address. The apparatus for identifying a connection position of an unauthorized device according to claim 1, wherein the device is a network device with a function.
前記処理部は、
アドレス解決要求で検出された当該機器の物理アドレスあるいは論理アドレスが許すアドレスでない場合、あるいは許さないアドレスである場合、不正接続と判断する
ことを特徴とする請求項1に記載の不正機器の接続位置特定装置。 The storage unit has in advance a logical address or physical address that allows connection to the network, or a table of logical address or physical address that does not allow connection,
The processor is
2. The illegal device connection position according to claim 1, wherein if the physical address or logical address of the device detected by the address resolution request is not an allowable address or an unpermitted address, it is determined that the connection is illegal. Specific device.
前記遠隔管理機能付ネットワーク機器の下位に、遠隔管理機能を持たない非対応ネットワーク機器を接続してネットワークを構成し、その非対応ネットワーク機器に機器が不正に接続された場合、
前記処理部は、
少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、
前記各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集し、
前記各遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器と前記接続位置特定装置の物理アドレスを保持し、かつそのそれぞれの物理アドレスに対応する前記ポートが不一致である前記遠隔管理機能付ネットワーク機器を選定していき、
非対応ネットワーク機器の上位に接続されている遠隔管理機能付ネットワーク機器のポートを特定して外部に出力する
ことを特徴とする不正機器の接続位置特定装置。 In the unauthorized device connection position specifying device according to any one of claims 1 to 6,
When a network is configured by connecting an incompatible network device that does not have a remote management function to the lower level of the network device with the remote management function, and the device is illegally connected to the incompatible network device,
The processor is
At least two-way communication is performed with respect to the network device with a remote management function that holds a correspondence relationship between the physical address of the detected device and its port, and is connected to the end of the port of each network device with a remote management function. The network device with remote management function and the physical address and the corresponding port for the connection position specifying device are held in each network device with remote management function,
Collecting the correspondence between the physical address and the port held by each network device with remote management function in the storage unit,
In the correspondence relationship between the physical address and the port for each network device with a remote management function, the physical address of the unauthorized connection device and the connection location specifying device is held, and the physical address corresponding to each physical address Select the network device with remote management function that does not match the port,
An apparatus for identifying a connection position of an unauthorized device, characterized by identifying a port of a network device with a remote management function connected to a higher level of a non-compliant network device and outputting the port to the outside.
前記ネットワーク機器で、さらに、上位の遠隔管理機能付ネットワーク機器と下位の遠隔管理機能付ネットワーク機器との間に、遠隔管理機能を持たない非対応ネットワーク機器を接続してネットワークを構成し、下位の遠隔管理機能付ネットワーク機器に機器が不正に接続された場合、
前記処理部は、
少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、
前記各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集し、
前記各遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器と前記接続位置特定装置の物理アドレスを保持し、かつそのそれぞれの物理アドレスに対応する前記ポートが不一致である前記遠隔管理機能付ネットワーク機器を選定していき、
下位で不正機器が接続されている遠隔管理機能付ネットワーク機器のポートを特定して外部に出力する
ことを特徴とする不正機器の接続位置特定装置。 In the unauthorized device connection position specifying device according to any one of claims 1 to 6,
In the network device, a network is configured by connecting a non-supporting network device having no remote management function between a higher-level network device with a remote management function and a lower-level network device with a remote management function. If a device is illegally connected to a network device with a remote management function,
The processor is
At least two-way communication is performed with respect to the network device with a remote management function that holds a correspondence relationship between the physical address of the detected device and its port, and is connected to the end of the port of each network device with a remote management function. The network device with remote management function and the physical address and the corresponding port for the connection position specifying device are held in each network device with remote management function,
Collecting the correspondence between the physical address and the port held by each network device with remote management function in the storage unit,
In the correspondence relationship between the physical address and the port for each network device with a remote management function, the physical address of the unauthorized connection device and the connection location specifying device is held, and the physical address corresponding to each physical address Select the network device with remote management function that does not match the port,
A device for identifying a connection position of an unauthorized device, characterized by identifying a port of a network device with a remote management function connected to an unauthorized device at a lower level and outputting the port to the outside.
前記ネットワーク機器の下位に、ネットワークに接続するポートを複数有し、ポート毎に受信したフレームのうち最後に受信したフレームの送信元物理アドレス1つだけを保持するアドレストラックを備えるリピータハブで、かつ遠隔機器からの要求によりアドレストラックの内容を要求元に応答する遠隔管理機能を備える遠隔管理機能付リピータハブを接続してネットワークを構成し、その遠隔管理機能付リピータハブに機器が不正に接続された場合、
前記処理部は、
少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させた後に、
前記各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集し、
前記各遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器と前記接続位置特定装置の物理アドレスを保持し、かつそのそれぞれの物理アドレスに対応する前記ポートが不一致である前記遠隔管理機能付ネットワーク機器を選定していき、不正機器が接続されている遠隔管理機能付リピータハブ、あるいは不正機器が接続されている遠隔管理機能付リピータハブとそのポートを特定して外部に出力する
ことを特徴とする不正機器の接続位置特定装置。 In the unauthorized device connection position specifying device according to any one of claims 1 to 6,
A repeater hub having a plurality of ports connected to the network below the network device, and having an address track that holds only one source physical address of a frame received last among frames received for each port; and A repeater hub with a remote management function that has a remote management function that responds to the request source with the contents of the address track in response to a request from a remote device is connected to form a network, and the device is illegally connected to the repeater hub with the remote management function If
The processor is
At least two-way communication is performed with respect to the network device with a remote management function that holds a correspondence relationship between the physical address of the detected device and its port, and is connected to the end of the port of each network device with a remote management function. The network device with remote management function and the physical address and the corresponding port for the connection position specifying device are held in each network device with remote management function,
Collecting the correspondence between the physical address and the port held by each network device with remote management function in the storage unit,
In the correspondence relationship between the physical address and the port for each network device with a remote management function, the physical address of the unauthorized connection device and the connection location specifying device is held, and the physical address corresponding to each physical address Select the network device with remote management function that does not match the port, and select the repeater hub with remote management function to which the unauthorized device is connected, or the repeater hub with remote management function to which the unauthorized device is connected and its port. A device for identifying a connection position of an unauthorized device, characterized by being specified and output to the outside.
記憶部とこれを制御する処理部とを備え、
前記処理部は、
前記遠隔管理機能付ネットワーク機器に接続された前記機器の不正接続を検知した場合、少なくとも、前記検知した機器の物理アドレスとそのポートとの対応関係を保持する前記遠隔管理機能付ネットワーク機器に対して双方向通信を行い、前記各遠隔管理機能付ネットワーク機器のポートの先に接続されている前記遠隔管理機能付ネットワーク機器および前記接続位置特定装置についての物理アドレスとその対応ポートを、当該各遠隔管理機能付ネットワーク機器に保持させるステップと、
前記各遠隔管理機能付ネットワーク機器が保持している前記物理アドレスと前記ポートとの対応関係を前記記憶部に収集するステップと、
前記記憶部に収集した前記遠隔管理機能付ネットワーク機器についての前記物理アドレスと前記ポートとの対応関係において、前記不正接続の機器と前記接続位置特定装置の物理アドレスを保持し、かつそのそれぞれの物理アドレスに対応する前記ポートが不一致である前記遠隔管理機能付ネットワーク機器を選定していき、前記不正接続の機器が接続されている終端の前記遠隔管理機能付ネットワーク機器およびその前記ポートを特定するステップと、
前記特定した終端の前記遠隔管理機能付ネットワーク機器およびその前記ポートを外部に出力するステップと
を実行することを特徴とする接続位置特定方法。 It has a forwarding database (hereinafter referred to as “FDB”) that has a plurality of ports connected to the network, learns the source physical addresses of the frames received for each port, and holds a plurality, and requests FDB by a request from a remote device. An unauthorized device that identifies the position of a device that is illegally connected to the network device with a remote management function in a network configured by connecting multiple network devices with a remote management function having a remote management function that responds to the request source. A connection position specifying method in the connection position specifying device of
A storage unit and a processing unit for controlling the storage unit,
The processor is
When an unauthorized connection of the device connected to the network device with a remote management function is detected, at least for the network device with a remote management function that holds a correspondence relationship between a physical address of the detected device and its port Bidirectional communication is performed, and the remote management function network device with the remote management function connected to the end of the port and the physical address and the corresponding port of the connection position specifying device are connected to the remote management function. A step of holding the network device with a function;
Collecting the correspondence between the physical address and the port held by each network device with a remote management function in the storage unit;
In the correspondence between the physical address and the port of the network device with remote management function collected in the storage unit, the physical address of the unauthorized connection device and the connection position specifying device is held, and each physical A step of selecting the network device with remote management function in which the port corresponding to the address is inconsistent, and identifying the terminal device with remote management function to which the unauthorized connection device is connected and the port; When,
And a step of outputting the remote management function-equipped network device and the port of the specified terminal to the outside.
ある物理アドレスとポートの対応関係において、不正接続機器の物理アドレスが保持されているポートがあり、そのポートに前記接続位置特定装置の物理アドレスが保持されておらず、かつそのポートに他のネットワーク機器の物理アドレスが保持されていない場合、
この物理アドレスとポートの対応関係を有するネットワーク機器が不正接続機器に接続されるネットワーク機器で、当該不正接続機器の物理アドレスが保持されているポートが、不正接続機器が接続するポートであると判断する
ことを特徴とする請求項10に記載の接続位置特定方法。 The processor is
In a correspondence relationship between a physical address and a port, there is a port that holds the physical address of the unauthorized connection device, the physical address of the connection position specifying device is not held in that port, and the port has another network If the physical address of the device is not retained,
It is determined that the network device having the correspondence between the physical address and the port is a network device connected to the unauthorized connection device, and the port holding the physical address of the unauthorized connection device is a port to which the unauthorized connection device is connected. The connection position specifying method according to claim 10, wherein:
あるネットワーク機器の物理アドレスとポートの対応関係において、不正接続機器の物理アドレスが保持されているポートがあり、そのポートに接続位置特定装置の物理アドレスが保持されておらず、かつそのポートに他のネットワーク機器の物理アドレスが保持されていた場合、
次に選定するのは、当該不正接続機器の物理アドレスに保持されているポートに保持されていたネットワーク機器を優先する
ことを特徴とする請求項10に記載の接続位置特定方法。 The processor is
In the correspondence between the physical address and port of a network device, there is a port that holds the physical address of the unauthorized connection device, the physical address of the connection location identification device is not held at that port, and there is another If the physical address of the network device is retained,
The connection location specifying method according to claim 10, wherein the network device held in the port held in the physical address of the unauthorized connection device is given priority next.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004332321A JP4256834B2 (en) | 2004-11-16 | 2004-11-16 | Unauthorized device connection position identification device and connection position identification method |
TW094136693A TW200629795A (en) | 2004-11-16 | 2005-10-20 | Apparatus and method for specifying connected position of illegitimate apparatus |
CN 200510120271 CN1777118B (en) | 2004-11-16 | 2005-11-09 | Illegal machine connection position defining device and method thereof |
SG200507058A SG122898A1 (en) | 2004-11-16 | 2005-11-16 | Connection position specifying apparatus and connection position specifying method for unauthorized equipments |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004332321A JP4256834B2 (en) | 2004-11-16 | 2004-11-16 | Unauthorized device connection position identification device and connection position identification method |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2006148255A true JP2006148255A (en) | 2006-06-08 |
JP2006148255A5 JP2006148255A5 (en) | 2007-11-22 |
JP4256834B2 JP4256834B2 (en) | 2009-04-22 |
Family
ID=36627468
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004332321A Expired - Fee Related JP4256834B2 (en) | 2004-11-16 | 2004-11-16 | Unauthorized device connection position identification device and connection position identification method |
Country Status (4)
Country | Link |
---|---|
JP (1) | JP4256834B2 (en) |
CN (1) | CN1777118B (en) |
SG (1) | SG122898A1 (en) |
TW (1) | TW200629795A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009077338A (en) * | 2007-09-25 | 2009-04-09 | Saxa Inc | Method of determining location of ip communication terminal, ip network management apparatus and hub |
WO2012014509A1 (en) * | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | Unauthorized access blocking control method |
JP2012175139A (en) * | 2011-02-17 | 2012-09-10 | Nec Corp | Port detection method, port detection program, examination terminal and network system |
KR20150052204A (en) * | 2012-11-02 | 2015-05-13 | 무라다기카이가부시끼가이샤 | Communication device, communication equipment and communication system |
US9276953B2 (en) | 2011-05-13 | 2016-03-01 | International Business Machines Corporation | Method and apparatus to detect and block unauthorized MAC address by virtual machine aware network switches |
US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5691612B2 (en) * | 2011-02-18 | 2015-04-01 | ヤマハ株式会社 | Communication system, router, switching hub, and program |
KR101814487B1 (en) * | 2011-06-07 | 2018-01-04 | 현대모비스 주식회사 | Apparatus and Method for Camera Position Distinction |
CN110365635B (en) * | 2019-05-23 | 2022-04-26 | 新华三技术有限公司 | Access control method and device for illegal endpoint |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4558139B2 (en) * | 2000-05-02 | 2010-10-06 | 株式会社バッファロー | Network management device |
JP4221919B2 (en) * | 2001-07-18 | 2009-02-12 | 富士通株式会社 | Method for specifying location of LAN configuration device and search device |
-
2004
- 2004-11-16 JP JP2004332321A patent/JP4256834B2/en not_active Expired - Fee Related
-
2005
- 2005-10-20 TW TW094136693A patent/TW200629795A/en not_active IP Right Cessation
- 2005-11-09 CN CN 200510120271 patent/CN1777118B/en not_active Expired - Fee Related
- 2005-11-16 SG SG200507058A patent/SG122898A1/en unknown
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009077338A (en) * | 2007-09-25 | 2009-04-09 | Saxa Inc | Method of determining location of ip communication terminal, ip network management apparatus and hub |
WO2012014509A1 (en) * | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | Unauthorized access blocking control method |
JP5134141B2 (en) * | 2010-07-30 | 2013-01-30 | 株式会社サイバー・ソリューションズ | Unauthorized access blocking control method |
US20140165143A1 (en) * | 2010-07-30 | 2014-06-12 | Cyber Solutions Inc. | Method and a program for controlling communication of target apparatus |
US8955049B2 (en) | 2010-07-30 | 2015-02-10 | Cyber Solutions Inc. | Method and a program for controlling communication of target apparatus |
JP2012175139A (en) * | 2011-02-17 | 2012-09-10 | Nec Corp | Port detection method, port detection program, examination terminal and network system |
US9276953B2 (en) | 2011-05-13 | 2016-03-01 | International Business Machines Corporation | Method and apparatus to detect and block unauthorized MAC address by virtual machine aware network switches |
KR20150052204A (en) * | 2012-11-02 | 2015-05-13 | 무라다기카이가부시끼가이샤 | Communication device, communication equipment and communication system |
KR101642793B1 (en) | 2012-11-02 | 2016-08-10 | 무라다기카이가부시끼가이샤 | Communication device, communication equipment and communication system |
US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
Also Published As
Publication number | Publication date |
---|---|
CN1777118B (en) | 2013-07-03 |
CN1777118A (en) | 2006-05-24 |
TWI297985B (en) | 2008-06-11 |
JP4256834B2 (en) | 2009-04-22 |
TW200629795A (en) | 2006-08-16 |
SG122898A1 (en) | 2006-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5390798B2 (en) | Method and apparatus for early warning of network equipment | |
JP4065434B2 (en) | Router device and method for starting up router device | |
US10361992B2 (en) | Method for synchronizing virtual machine location information between data center gateways, gateway, and system | |
WO2010109673A1 (en) | Management system and information processing system | |
JP6888437B2 (en) | In-vehicle communication device, communication control method and communication control program | |
JP2008054096A (en) | Network repeater and method for controlling network repeater | |
US6810452B1 (en) | Method and system for quarantine during bus topology configuration | |
JP5826320B2 (en) | Network location service | |
EP3942784A1 (en) | Systems, methods, and media for controlling traffic to internet of things devices | |
US9270535B2 (en) | Inferred discovery of a data communications device | |
JP4256834B2 (en) | Unauthorized device connection position identification device and connection position identification method | |
CN110300057A (en) | Agent Advertisement in multi-host network | |
JP2002325077A (en) | Network managing method and equipment thereof | |
JP5157685B2 (en) | COMMUNICATION SYSTEM, NETWORK DEVICE, COMMUNICATION RECOVERY METHOD USED FOR THEM, AND PROGRAM THEREOF | |
JPH11122284A (en) | Network management system and recording medium recording management program | |
JP2006148255A5 (en) | ||
JP5299020B2 (en) | Data relay program, data relay method, and data relay device | |
JP4556887B2 (en) | VLAN automatic setting method | |
JP2005333546A (en) | Vlan configuration management method, system and program | |
JP6838444B2 (en) | Information processing device, information processing device control method and information processing device control program | |
JP5553036B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM | |
JP3080034B2 (en) | Network communication system and method, network terminal device, information storage medium | |
JP2007150617A (en) | Network apparatus | |
JP2008167382A (en) | Network device configuration management system and method | |
JP5370000B2 (en) | Information processing program, information processing method, and information processing apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071005 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071005 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20080930 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20081017 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081028 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090127 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090130 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120206 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4256834 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120206 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130206 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130206 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140206 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |