JP2006332910A - ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラム - Google Patents
ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラム Download PDFInfo
- Publication number
- JP2006332910A JP2006332910A JP2005151560A JP2005151560A JP2006332910A JP 2006332910 A JP2006332910 A JP 2006332910A JP 2005151560 A JP2005151560 A JP 2005151560A JP 2005151560 A JP2005151560 A JP 2005151560A JP 2006332910 A JP2006332910 A JP 2006332910A
- Authority
- JP
- Japan
- Prior art keywords
- information
- terminal
- network
- permission
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】
通信を許可しない端末に不要なIPアドレスの割り当てを行わず、通信を許可する端末がネットワーク機器間又はネットワーク機器内のポート間を移動しても再度、通信許可の判定の必要なく通信が行えるようにする。
【解決手段】
DHCPサーバ11と許可部12が連携し、IPアドレスを割り当てる前に許可情報データベース13と照合を行い、許可されていればIPアドレスを割り当てる処理を行う。ネットワーク機器20は、VLAN部22にIPアドレスが設定された時にIPサブネットを設定部14に通知する。設定部14は、許可部12から通知されるIPサブネット情報と一致するIPサブネットを通知してきた全てのネットワーク機器20に対して、通信を許可された端末のMACアドレスとIPサブネット情報を通知する。通知を受けたネットワーク機器20は、そのIPサブネットに対応するVLAN部22に対して、通知されたMACアドレスを登録し、保持する。
【選択図】 図1
通信を許可しない端末に不要なIPアドレスの割り当てを行わず、通信を許可する端末がネットワーク機器間又はネットワーク機器内のポート間を移動しても再度、通信許可の判定の必要なく通信が行えるようにする。
【解決手段】
DHCPサーバ11と許可部12が連携し、IPアドレスを割り当てる前に許可情報データベース13と照合を行い、許可されていればIPアドレスを割り当てる処理を行う。ネットワーク機器20は、VLAN部22にIPアドレスが設定された時にIPサブネットを設定部14に通知する。設定部14は、許可部12から通知されるIPサブネット情報と一致するIPサブネットを通知してきた全てのネットワーク機器20に対して、通信を許可された端末のMACアドレスとIPサブネット情報を通知する。通知を受けたネットワーク機器20は、そのIPサブネットに対応するVLAN部22に対して、通知されたMACアドレスを登録し、保持する。
【選択図】 図1
Description
本発明は、ネットワークセキュリティにおけるネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラムに関する。
ネットワークにおいては、IPアドレスの割り当てにDHCP(Dynamic Host Configuration Protocol)サーバが用いられることがある。DHCPサーバには、ゲートウェイサーバやDNSサーバのIPアドレスや、サブネットマスク、クライアントに割り当てても良いIPアドレスの範囲が設定されており、自動的にIPアドレスを割り振ることができる。そのため、DHCPを使うとネットワークの設定に詳しくないユーザでも簡単にインターネットに接続することができ、且つ、ネットワーク管理者は多くのクライアントを容易に一元管理することができる。
また、企業内ネットワーク(LAN)においては、物理的な接続形態とは独立に、端末の仮想的なグループを設定するために、仮想LAN、すなわちVLAN(Virtual LAN)が用いられる場合がある。VLANでは、1つのスイッチング・ハブの各ポートをグループ分けし、それぞれのグループを独立したLAN(ブロードキャスト・ドメイン)として機能させる。
特開2004−64204号公報にネットワーク機器アクセス制御方法、ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラムが開示されている。このネットワーク機器アクセス制御方法では、ネットワークを利用して、ネットワーク機器のポートに接続された1又は2以上の端末とアクセス制御装置との間で通信を実行する。このネットワーク機器アクセス制御方法は、認証用通信送信段階と、通信許可判断段階と、通知・設定段階とを有している。認証用通信送信段階は、前記端末が、前記ネットワーク機器を介して前記アクセス制御装置へ、認証用通信を送信する。通信許可判断段階は、前記アクセス制御装置が、前記端末との間の前記通信を許可するか否かを判断する。通知・設定段階は、この通信許可判断段階で通信許可と判断されると、前記アクセス制御装置が、前記ネットワーク機器に対して、ポート使用許可の設定を行う。
上記の従来技術では、端末からのIPアドレス割り当て要求に対し、DHCPサーバからIPアドレスが割り当てられたことを契機として、許可情報データベースと照合するため、通信の許可を与えられていない端末に対して不要なIPアドレスの割り当てが行われる。
また、アクセス制御装置が通信許可端末をネットワーク機器のどのポートに登録するかを決定するため、端末の認証用通信がネットワーク機器を通過するたびに、ネットワーク機器からアクセス制御装置に情報を通知する必要がある。そのため、ネットワーク機器の負荷を高めてしまい、他の通信に障害を及ぼす可能性がある。
また、通信が許可された端末の情報は、その端末が接続されたネットワーク機器のポートに設定が行われる。そのため、端末が同ネットワーク機器内で同じIPサブネット内の他のポートに移動した場合や、他のネットワーク機器に接続先を移動した場合に、その移動先のポートでは端末の通信が許可されていないので、再度DHCPサーバに対して、手動でIPアドレスの取得を要求しなければならない。理由は、IPアドレスのリース期間内である場合は、端末から自動的にDHCPサーバへのアクセスは行わないためである。なお、サブネットとは、大きなネットワークを複数の小さなネットワークに分割して管理する際の管理単位となる小さなネットワークのことである。また、IPアドレスからサブネットを導出する時に使うマスクをサブネットマスクという。ここでは、IPアドレスから導出されたサブネットをIPサブネットと呼ぶ。
更に、DHCPサーバでIPアドレスが割り当てられたことを契機に認証を行うため、固定のIPアドレスを設定している端末(例えばプリンタ)を使うことができない。
関連する技術として特開2001−103086号公報にIPアドレス監視システムとIPアドレス監視方法及び記録媒体が記載されている。このIPアドレス監視システムは、第1のホスト装置と複数の端末装置とが接続されるネットワークのIPアドレスの使用状況を監視する。前記第1のホスト装置は、第1のファイルと、第2のファイルと、MACアドレス収集手段と、IPアドレス監視手段とを備えたことを特徴とする。前記第1のファイルは、前記端末装置のネットワークに接続する部分のネットワークインターフェース部毎に設定したMACアドレスとIPアドレスとの対応情報等のネットワークに関する情報を登録して記憶する。前記第2のファイルは、前記ネットワークインターフェース部毎に運用中のIPアドレスとMACアドレスとの対応情報を記憶する。前記MACアドレス収集手段は、前記ネットワークを運用中に探索して前記各ネットワークインターフェース部のネットワークに関する情報を収集し、IPアドレスとMACアドレスの対応情報を第2のファイルに登録するとともに、前記収集した情報の中から未登録の情報を前記第1のファイルに登録する。前記IPアドレス監視手段は、前記第1のファイルの情報を管理者が操作する手段は、前記第1のファイルに登録されたIPアドレスとMACアドレスの対応通りにIPアドレスが運用されているかを監視する。
特開2002−141916号公報にネットワーク管理システム並びにそれに用いるネットワーク中継機器及びネットワーク管理装置が開示されている。このネットワーク管理システムは、ネットワーク中継機器より接続されている端末の情報をネットワーク管理装置に送信する。また、そのネットワーク管理装置が前記端末情報に応じてアクセス許可/禁止を示す情報を前記ネットワーク中継機器に返信する。更に、前記ネットワーク中継機器が前記アクセス許可/禁止情報に基づいて端末を接続しているポートを使用可能/使用不可に設定する。
特開2004−23366号公報に仮想LAN対応の無線LANシステムが開示されている。この仮想LAN対応の無線LANシステムでは、物理的に単一のLANに収容された無線端末を仮想的に複数のグループに分類する。なお、この仮想LAN対応の無線LANシステムは、無線端末との間に無線リンクを確立する複数のアクセスポイントと、前記各アクセスポイントと各仮想LANとの間でフレームを交換するスイッチング手段とを含む。前記各アクセスポイントは、各無線端末に固有の端末IDと当該無線端末が所属する仮想LANグループに固有の仮想IDとの対応関係を記憶するデータテーブルと、各無線端末から受信したフレームに登録されている端末IDを認識する手段と、前記受信フレームに仮想LANタグを挿入する手段と、前記認識した端末IDに基づいて前記データテーブルを参照し、当該端末IDに対応した仮想IDを抽出する手段と、前記抽出した仮想IDを前記仮想LANタグに登録して前記スイッチング手段へ転送する手段とを含む。前記スイッチング手段は、前記アクセスポイントから受信したフレームの仮想LANタグに登録されている仮想IDを識別する手段と、前記識別結果に基づいて、当該受信フレームの転送先を選択する手段と、前記受信フレームから仮想LANタグを削除する手段と、前記仮想LANタグの削除されたフレームを前記選択された転送先へ出力する手段とを含む。
特開2004−32525号公報にユーザ認証QoSポリシー管理システム、方法及びLANスイッチが開示されている。このユーザ認証QoSポリシー管理システムでは、PCクライアントが、LANスイッチを介して、認証サーバによる認証を受けるとともに、業務用サーバへのアクセス制御及びアクセス優先順位の制御を受ける。このユーザ認証QoSポリシー管理システムは、前記PCクライアントと、前記LANスイッチと、前記認証サーバと、前記業務用サーバとを有する。前記PCクライアントは、ログオン情報を前記LANスイッチに送信する。前記LANスイッチは、前記PCクライアントから送信されてきた前記ログオン情報を前記認証サーバに送信するとともに、前記PCクライアントのアドレス情報を記憶する。かつ、前記認証サーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって前記業務用サーバに対する前記PCクライアントのアクセス制御を行う。同時に、前記QoS情報に基づき前記業務用サーバに対する前記PCクライアントのアクセス優先順位を制御する。前記認証サーバは、前記LANスイッチから送信されてきた前記ログオン情報に基づき認証を行い、認証結果が正である場合に、前記ログオン情報に対応する前記アクセス制御情報及び前記QoS情報を前記LANスイッチに送信する。前記業務用サーバは、前記LANスイッチによって、前記アクセス制御情報及び前記QoS情報にしたがい制御を受けたPCクライアントからのアクセスを受ける。
従来技術では、通信が許可された端末の情報を、その端末が接続されているネットワーク機器のポートまで限定して登録している。そのため、そのポートでしか通信が行えず、同じIPサブネット内のポートやネットワーク機器間で端末が他のポートに移動した場合に、再度DHCPサーバにアクセスしてネットワーク機器へ端末情報を設定し直す必要がある。
しかし、DHCPサーバへのアクセスは、IPアドレスのリース期間内では自動的にアクセスすることがないため、端末を移動した場合には、IPアドレスの解放と再取得を手動で行う必要があり、運用での利便性に欠ける。
また、DHCPクライアント端末しかアクセス制御装置からネットワーク機器に対して設定することができず、プリンタなどの固定IPアドレス端末は、各ネットワーク機器に個別に設定する必要があり、DHCPクライアント端末と固定IPアドレス端末で運用のポリシーが異なる問題がある。
しかし、DHCPサーバへのアクセスは、IPアドレスのリース期間内では自動的にアクセスすることがないため、端末を移動した場合には、IPアドレスの解放と再取得を手動で行う必要があり、運用での利便性に欠ける。
また、DHCPクライアント端末しかアクセス制御装置からネットワーク機器に対して設定することができず、プリンタなどの固定IPアドレス端末は、各ネットワーク機器に個別に設定する必要があり、DHCPクライアント端末と固定IPアドレス端末で運用のポリシーが異なる問題がある。
従来技術の問題を解決するために、本発明は以下のような特徴を有するものである。
(1)DHCPサーバとアクセス制御装置の許可手段が連携し、IPアドレスを割り当てる前に許可情報データベースと照合を行い、許可されていればIPアドレスを割り当てる処理を行う。
(2)ネットワーク機器は、VLAN(Virtual LAN)にIPアドレスが設定された時にIPサブネットをアクセス制御装置の設定手段に通知する。
(3)アクセス制御装置の設定手段は、同じIPサブネットを通知してくる複数のネットワーク機器を管理する。
(4)アクセス制御装置の設定手段は、アクセス制御装置の許可手段から通信を許可した端末のネットワーク機器への登録要求があった場合、アクセス制御装置の許可手段から通知されるIPサブネット情報と一致するIPサブネットを通知してきた全てのネットワーク機器に対して、通信を許可された端末のMACアドレスとIPサブネット情報を通知する。
(5)通知を受けたネットワーク機器は、そのIPサブネットに対応するVLANに対して、通知されたMACアドレスを登録し、保持する。
(6)アクセス制御装置の許可手段は、コマンド設定に基づいて、固定IPアドレスを使用する端末のMACアドレスとIPサブネットを許可情報データベースに登録することができ、アクセス制御装置からネットワーク機器に通信許可端末の設定をDHCPクライアント端末と同じように行うことができる。
(1)DHCPサーバとアクセス制御装置の許可手段が連携し、IPアドレスを割り当てる前に許可情報データベースと照合を行い、許可されていればIPアドレスを割り当てる処理を行う。
(2)ネットワーク機器は、VLAN(Virtual LAN)にIPアドレスが設定された時にIPサブネットをアクセス制御装置の設定手段に通知する。
(3)アクセス制御装置の設定手段は、同じIPサブネットを通知してくる複数のネットワーク機器を管理する。
(4)アクセス制御装置の設定手段は、アクセス制御装置の許可手段から通信を許可した端末のネットワーク機器への登録要求があった場合、アクセス制御装置の許可手段から通知されるIPサブネット情報と一致するIPサブネットを通知してきた全てのネットワーク機器に対して、通信を許可された端末のMACアドレスとIPサブネット情報を通知する。
(5)通知を受けたネットワーク機器は、そのIPサブネットに対応するVLANに対して、通知されたMACアドレスを登録し、保持する。
(6)アクセス制御装置の許可手段は、コマンド設定に基づいて、固定IPアドレスを使用する端末のMACアドレスとIPサブネットを許可情報データベースに登録することができ、アクセス制御装置からネットワーク機器に通信許可端末の設定をDHCPクライアント端末と同じように行うことができる。
(1)により通信が許可されていない端末へ不要なIPアドレスを割り当てることを防ぐことができる。
(2)により、VLANのIPサブネットが設定・変更された時にネットワーク機器からアクセス制御装置の設定手段へ通知を行えば良いため、端末の認証用通信がネットワーク機器を通過するたびにアクセス制御装置の設定手段へ通知する必要がなくなり、ネットワーク機器の負荷を軽減することができる。
(3)〜(5)により、同じIPサブネットが設定されたネットワーク機器に対して、通信が許可された端末の情報が設定されるため、通信許可後の端末移動でも、再度、通信許可の判定を行う必要がなく通信が継続できる。
(6)により、DHCPが利用できない端末も同じポリシーで運用することができ、ネットワーク内の端末全てをサーバで管理することができる。
(2)により、VLANのIPサブネットが設定・変更された時にネットワーク機器からアクセス制御装置の設定手段へ通知を行えば良いため、端末の認証用通信がネットワーク機器を通過するたびにアクセス制御装置の設定手段へ通知する必要がなくなり、ネットワーク機器の負荷を軽減することができる。
(3)〜(5)により、同じIPサブネットが設定されたネットワーク機器に対して、通信が許可された端末の情報が設定されるため、通信許可後の端末移動でも、再度、通信許可の判定を行う必要がなく通信が継続できる。
(6)により、DHCPが利用できない端末も同じポリシーで運用することができ、ネットワーク内の端末全てをサーバで管理することができる。
本発明の目的は、上記のいずれかの特徴を有するネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラムを提供することである。
以下に、[発明を実施するための最良の形態]で使用される番号を括弧付きで用いて、課題を解決するための手段を説明する。これらの番号は、[特許請求の範囲]の記載と[発明を実施するための最良の形態]との対応関係を明らかにするために付加されたものである。但し、それらの番号を、[特許請求の範囲]に記載されている発明の技術的範囲の解釈に用いてはならない。
本発明のネットワーク機器(20)制御システム(1)は、通信を許可する端末(30)の情報(MACアドレス)を保持する許可情報データベース(13)を有するアクセス制御装置(10)と、前記端末(30)から前記アクセス制御装置(10)への通信を転送するネットワーク機器(20)とを含む。
前記アクセス制御装置(10)は、前記ネットワーク機器(20)に接続された前記端末(30)に対して動的に識別情報(IPアドレス)を割り当てることが可能な識別情報割当サーバ(11)と、前記識別情報割当サーバ(11)と連携し、前記識別情報割当サーバ(11)が前記端末(30)に識別情報(IPアドレス)を割り当てる前に、前記端末(30)の情報(MACアドレス)について前記許可情報データベース(13)の照合を行い、前記端末(30)の情報(MACアドレス)が登録されていれば、前記識別情報割当サーバ(11)が前記端末(30)に前記識別情報(IPアドレス)を割り当てる処理を許可する許可部(12)と、前記許可部(12)から前記端末(30)の情報(MACアドレス)の前記ネットワーク機器(20)への登録の要求の通知を受け、且つ、前記ネットワーク機器(20)から通知されるネットワーク情報(IPサブネット)を受け取り保持する設定部(14)とを具備する。
前記アクセス制御装置(10)は、前記ネットワーク機器(20)に接続された前記端末(30)に対して動的に識別情報(IPアドレス)を割り当てることが可能な識別情報割当サーバ(11)と、前記識別情報割当サーバ(11)と連携し、前記識別情報割当サーバ(11)が前記端末(30)に識別情報(IPアドレス)を割り当てる前に、前記端末(30)の情報(MACアドレス)について前記許可情報データベース(13)の照合を行い、前記端末(30)の情報(MACアドレス)が登録されていれば、前記識別情報割当サーバ(11)が前記端末(30)に前記識別情報(IPアドレス)を割り当てる処理を許可する許可部(12)と、前記許可部(12)から前記端末(30)の情報(MACアドレス)の前記ネットワーク機器(20)への登録の要求の通知を受け、且つ、前記ネットワーク機器(20)から通知されるネットワーク情報(IPサブネット)を受け取り保持する設定部(14)とを具備する。
前記設定部(14)は、同じネットワーク情報(IPサブネット)を通知してくる複数のネットワーク機器(20)を管理する。
前記設定部(14)は、前記許可部(12)から通知されるネットワーク情報(IPサブネット)と一致するネットワーク情報(IPサブネット)を通知してきた全てのネットワーク機器(20)に対して、通信を許可された端末(30)の情報(MACアドレス)とネットワーク情報(IPサブネット)を通知する。
前記通知を受けたネットワーク機器(20)は、前記ネットワーク情報(IPサブネット)に対応する仮想LAN部(22)に対して、前記端末(30)の情報(MACアドレス)を登録する。
前記許可部(12)は、コマンド設定に基づいて、固定識別情報(IPアドレス)を使用する端末(30)の情報(MACアドレス)と仮想LAN部(22)を許可情報データベース(13)に登録する。
本発明のアクセス制御装置(10)は、端末(30)からの識別情報(IPアドレス)割り当て要求を受け取り、識別情報(IPアドレス)の割り当てを行う識別情報割当サーバ(11)と、前記識別情報(IPアドレス)の割り当てを行う前に、前記識別情報割当サーバ(11)から前記端末(30)の情報(MACアドレス)が許可情報データベース(13)にあるかどうかの問い合わせ要求を受け取り、前記端末(30)の情報(MACアドレス)を前記許可情報データベース(13)に照合した結果を応答する許可部(12)と、端末(30)との通信を中継するネットワーク機器(20)から通知されるネットワーク情報(IPサブネット)を受け取り保持する設定部(14)とを具備する。
前記許可部(12)は、コマンド設定により、前記許可情報データベース(13)に前記端末(30)の情報(MACアドレス)を設定し、前記設定部(14)に対して前記ネットワーク機器(20)への前記端末(30)の情報(MACアドレス)の登録及び削除要求の通知を行う。
前記設定部(14)は、ネットワーク情報(IPサブネット)に基づいて、ネットワーク毎に複数のネットワーク機器(20)の情報を保持し、前記許可部(12)から通知される前記端末(30)の情報(MACアドレス)を該当するネットワーク機器(20)に登録要求を行う。
本発明のアクセス制御方法は、(a)識別情報割当サーバ(11)が、ネットワーク機器(20)に接続された端末(30)からパケットを受信すると、前記パケットに含まれる前記端末(30)の情報(MACアドレス)、及び割り当てを行う予定の識別情報(IPアドレス)をアクセス制御装置(10)の許可部(12)へ通知するステップと、(b)前記許可部(12)が、ネットワーク接続を許可する端末(30)の情報(MACアドレス)を登録している許可情報データベース(13)に、通知された前記端末(30)の情報(MACアドレス)が登録されているか検索を行うステップと、(c)前記端末(30)の情報(MACアドレス)が許可情報データベース(13)に登録されている場合、前記許可部(12)が、識別情報割当サーバ(11)から通知を受けた前記端末(30)の情報(MACアドレス)及びネットワーク情報(IPサブネット)を、前記アクセス制御装置(10)の設定部(14)に通知するステップと、(d)前記設定部(14)が、前記ネットワーク情報(IPサブネット)が設定されている前記ネットワーク機器(20)に対して、前記端末(30)の情報(MACアドレス)及びネットワーク情報(IPサブネット)を通知するステップとを具備する。
本発明のアクセス制御方法は、(e)ネットワーク機器(20)が、前記設定部(14)から通知された前記ネットワーク情報(IPサブネット)が設定されている仮想LAN部(22)に対し、前記端末(30)の情報(MACアドレス)の登録を行うステップと、(f)前記ネットワーク機器(20)が、前記端末(30)からパケットを受信した場合、前記端末(30)の情報(MACアドレス)が前記仮想LAN部(22)に設定されていれば、受信ポート(23)にパケット通過の許可と転送可能な仮想LAN部(22)を設定するステップとを更に具備する。
本発明のアクセス制御方法は、(g)前記(f)ステップ以降、前記端末(30)からのパケットを前記受信ポート(23)で受信した場合、前記設定により前記仮想LAN部(22)にパケットを転送するステップを更に具備する。
本発明のアクセス制御方法は、(h)前記端末(30)が移動した場合、前記端末(30)から新たにパケットを受信する受信ポート(23)にパケット通過の許可設定がなければ、前記(f)ステップ及び前記(g)ステップを行うステップを更に具備する。
本発明のアクセス制御方法は、(i)前記許可情報データベース(13)に、固定の識別情報(IPアドレス)を有する端末(30)の情報(MACアドレス)を登録するステップを具備する。
本発明のプログラムは、上記のいずれかのアクセス制御方法を、コンピュータに実行させる。
通信を許可しない端末に不要なIPアドレスの割り当てを行わない。
また、通信を許可する端末を、その端末のIPサブネットが設定された全てのネットワーク機器に設定するため、端末がネットワーク機器間又はネットワーク機器内のポート間を移動しても再度、通信許可の判定の必要がなく、通信が行える。
更に、DHCPクライアント端末だけでなく、プリンタといった固定IPアドレス端末もデータベースに登録して運用することができる。
また、通信を許可する端末を、その端末のIPサブネットが設定された全てのネットワーク機器に設定するため、端末がネットワーク機器間又はネットワーク機器内のポート間を移動しても再度、通信許可の判定の必要がなく、通信が行える。
更に、DHCPクライアント端末だけでなく、プリンタといった固定IPアドレス端末もデータベースに登録して運用することができる。
以下に本発明の第1実施形態について添付図面を参照して説明する。
実施例の構成を図1に示す。
本発明のネットワーク機器制御システム1は、アクセス制御装置10、ネットワーク機器20(20−i、i=1〜n)を備える。
実施例の構成を図1に示す。
本発明のネットワーク機器制御システム1は、アクセス制御装置10、ネットワーク機器20(20−i、i=1〜n)を備える。
アクセス制御装置10は、通信許可端末のデータベースを保持する。また、IPアドレスの割り当てを行い、ネットワーク機器20に通信許可端末の設定を行う。
ネットワーク機器20は、端末30(30−i、i=1〜n)からDHCPサーバ11への通信を転送する。また、アクセス制御装置10からの通信許可端末の設定を受け取り、通信可否の制御を行う。ネットワーク機器20に接続する端末30の例としては、DHCPクライアント端末や固定IPアドレス端末(例えばプリンタ)がある。但し、実際には、これらの例に限定されない。この時、ネットワーク機器20と端末30とは、中継装置40を介して接続される場合もある。
また、アクセス制御装置10とネットワーク機器20とは、ネットワーク50を介して接続される。
ネットワーク機器20は、端末30(30−i、i=1〜n)からDHCPサーバ11への通信を転送する。また、アクセス制御装置10からの通信許可端末の設定を受け取り、通信可否の制御を行う。ネットワーク機器20に接続する端末30の例としては、DHCPクライアント端末や固定IPアドレス端末(例えばプリンタ)がある。但し、実際には、これらの例に限定されない。この時、ネットワーク機器20と端末30とは、中継装置40を介して接続される場合もある。
また、アクセス制御装置10とネットワーク機器20とは、ネットワーク50を介して接続される。
以下に、それぞれの要素についての詳細な内容を示す。
アクセス制御装置10は、主にDHCPクライアント端末からのIPアドレス割り当て要求を受け、その端末のネットワーク接続に関して通信許可の判定を行う。以下にアクセス制御装置10を構成する要素について記述する。
アクセス制御装置10は、主にDHCPクライアント端末からのIPアドレス割り当て要求を受け、その端末のネットワーク接続に関して通信許可の判定を行う。以下にアクセス制御装置10を構成する要素について記述する。
アクセス制御装置10は、DHCPサーバ11、許可部12、許可情報データベース13、設定部14を備える。
DHCPサーバ11は、端末からのIPアドレス割り当て要求を受け取り、IPアドレスの割り当てを行う。その際、アクセス制御装置10の許可部12に対し、通信許可端末かどうかの問い合わせを行う。通信許可端末である場合、IPアドレスの割り当てを行う。通信許可端末でない場合、IPアドレスの割り当ては行わない。
許可部12は、DHCPサーバ11からIPアドレスを割り当てる端末が許可情報データベース13にあるかどうかの問い合わせ要求を受け取り、その結果を応答する。また、アクセス制御装置10の設定部14に対して、ネットワーク機器20への情報登録及び削除要求の通知を行う。コマンド設定などにより、許可情報データベース13に静的に端末の情報を設定することができ、その情報をアクセス制御装置10の設定部14に対して、ネットワーク機器20への登録及び削除要求の通知を行う。
許可情報データベース13は、通信を許可する端末の情報を保持する。
設定部14は、ネットワーク機器20から通知されるIPサブネット情報を受け取り保持する。また、IPサブネット毎に複数のネットワーク機器20の情報を保持し、アクセス制御装置10の許可部12から通知される通信許可端末情報を該当する複数のネットワーク機器20に登録要求を行う。
ネットワーク機器20は、アクセス制御装置10の設定部14からの通信許可設定の要求を受け取り、端末からの通信の制御を行う。以下にネットワーク機器20を構成する要素について記述する。
ネットワーク機器20は、制御部21(21−i、i=1〜n)、VLAN部22(22−i、i=1〜n)を備える。
制御部21は、VLAN(Virtual LAN)に設定されたIPサブネット情報をアクセス制御装置10の許可部12に通知する。また、アクセス制御装置10の設定部14から通知される通信許可端末情報を受け取り、その情報からVLANを決定してVLAN部22に対して端末情報を設定する。
VLAN部22は、VLANに設定されているポート23から受信したフレームの送信元MACアドレスが制御部21から設定されているか検索を行う。また、検索した結果を受信ポートに登録する。
ネットワーク機器20に接続する端末30は、DHCPクライアント端末と固定IPアドレス端末である。
図2に、DHCPクライアント端末の起動後からネットワーク機器20で通信許可されるまでのシーケンスを示す。以下にその処理について記述する。
まず、ネットワーク機器20とアクセス制御装置10との間で、以下のような処理が行われる。
(1)ステップS101
端末30に対するDHCP設定として、予めネットワーク接続を許可する端末30のMACアドレスを、許可情報データベース13に登録しておく。
(2)ステップS102
ネットワーク機器20には、DHCPサーバ14をDHCPサーバとして設定し、DHCPパケットだけを転送する設定を行っておく。
(3)ステップS103
ネットワーク機器20の制御部21は、VLANに設定されたIPサブネットをアクセス制御装置10の設定部14に通知する。
(4)ステップS104
アクセス制御装置10の設定部14は、ネットワーク機器20をIPサブネット毎に管理する。
まず、ネットワーク機器20とアクセス制御装置10との間で、以下のような処理が行われる。
(1)ステップS101
端末30に対するDHCP設定として、予めネットワーク接続を許可する端末30のMACアドレスを、許可情報データベース13に登録しておく。
(2)ステップS102
ネットワーク機器20には、DHCPサーバ14をDHCPサーバとして設定し、DHCPパケットだけを転送する設定を行っておく。
(3)ステップS103
ネットワーク機器20の制御部21は、VLANに設定されたIPサブネットをアクセス制御装置10の設定部14に通知する。
(4)ステップS104
アクセス制御装置10の設定部14は、ネットワーク機器20をIPサブネット毎に管理する。
ここまでの処理により、アクセス制御装置10の設定部14がどのネットワーク機器20に同じIPサブネットが設定されているかを管理することができ、端末30にIPアドレスが割り当てられる時に、そのIPサブネットからどのネットワーク機器20に設定を行えば良いか判断することが可能となる。
(5)ステップS105
端末30は、起動後、DHCP−DISCOVERパケットを送信する。
(6)ステップS106
ネットワーク機器20には、予め、DHCPパケットだけを通過させるような設定を行っておき、処理(5)のパケットを通過させる。
(7)ステップS107
DHCPサーバ11は、処理(5)で送られたパケットを受信すると、送信元の端末30がネットワーク接続を許可されているかどうかを、アクセス制御装置10の許可部12へ問い合わせを行う。この時、送信元の端末30のMACアドレスと割り当てを行う予定のIPサブネットをアクセス制御装置10の許可部12へ通知する。
(8)ステップS108
アクセス制御装置10の許可部12は、受け取ったMACアドレスが通信許可情報データベース13に登録されているか検索を行う。
(9)ステップS109
アクセス制御装置10の許可部12は、通信許可情報データベース13に登録されていない場合、DHCPサーバ11へIPアドレスの割り当てを行わないよう応答を返し、DHCPサーバ11はIPアドレスの割り当てを行わない。
(10)ステップS110
アクセス制御装置10の許可部12は、受け取ったMACアドレスが通信許可情報データベース13に登録されている場合、アクセス制御装置10の設定部14に対し、ネットワーク機器20への通信許可設定を行うよう要求する。この時、アクセス制御装置10の設定部14へはDHCPサーバ11から通知を受けたMACアドレスとIPサブネットを通知する。
(11)ステップS111
更に、アクセス制御装置10の許可部12は、DHCPサーバ11へIPアドレスの割り当てを許可する応答を返す。
(12)ステップS112
DHCPサーバ11は、端末30に対してIPアドレスの割り当てを行う。
(13)ステップS113
アクセス制御装置10の設定部14は、受け取ったIPサブネットが設定されているネットワーク機器20を検索し、同じIPサブネットが設定されているネットワーク機器20の制御部21に対して、通信が許可された端末30のMACアドレスを通知する。この時、端末30の情報としてMACアドレスとIPサブネットが制御部21へ通知される。
(14)ステップS114
制御部21は、受け取ったIPサブネットが設定されているVLAN部22があるか検索し、検索の結果、発見されたVLAN部22に対し、MACアドレスの登録を行う。ここでは、端末30がどのポートに接続されているかを意識することはなく、ネットワーク機器20は、どのVLANで通信を許可されたかということに関して制御を行う。
(15)ステップS115
DHCPサーバ11からIPアドレスが割り当てられた端末30は、通信を開始し、データを送信する。
(16)ステップS116
端末30からのデータを受信したネットワーク機器20は、端末30のMACアドレスがVLAN部22に登録されているかを検索し、登録されていれば受信ポートにパケット通過の許可と転送可能なVLANを設定する。以後、端末30からのデータを同じポートで受信した場合は、この許可設定により特定のVLANにデータは転送され、VLAN部22での登録検索を行うことはない。
端末30が移動した場合、データを受信するポートではパケット通過の許可設定がないため、上段の処理が行われる。
端末30は、起動後、DHCP−DISCOVERパケットを送信する。
(6)ステップS106
ネットワーク機器20には、予め、DHCPパケットだけを通過させるような設定を行っておき、処理(5)のパケットを通過させる。
(7)ステップS107
DHCPサーバ11は、処理(5)で送られたパケットを受信すると、送信元の端末30がネットワーク接続を許可されているかどうかを、アクセス制御装置10の許可部12へ問い合わせを行う。この時、送信元の端末30のMACアドレスと割り当てを行う予定のIPサブネットをアクセス制御装置10の許可部12へ通知する。
(8)ステップS108
アクセス制御装置10の許可部12は、受け取ったMACアドレスが通信許可情報データベース13に登録されているか検索を行う。
(9)ステップS109
アクセス制御装置10の許可部12は、通信許可情報データベース13に登録されていない場合、DHCPサーバ11へIPアドレスの割り当てを行わないよう応答を返し、DHCPサーバ11はIPアドレスの割り当てを行わない。
(10)ステップS110
アクセス制御装置10の許可部12は、受け取ったMACアドレスが通信許可情報データベース13に登録されている場合、アクセス制御装置10の設定部14に対し、ネットワーク機器20への通信許可設定を行うよう要求する。この時、アクセス制御装置10の設定部14へはDHCPサーバ11から通知を受けたMACアドレスとIPサブネットを通知する。
(11)ステップS111
更に、アクセス制御装置10の許可部12は、DHCPサーバ11へIPアドレスの割り当てを許可する応答を返す。
(12)ステップS112
DHCPサーバ11は、端末30に対してIPアドレスの割り当てを行う。
(13)ステップS113
アクセス制御装置10の設定部14は、受け取ったIPサブネットが設定されているネットワーク機器20を検索し、同じIPサブネットが設定されているネットワーク機器20の制御部21に対して、通信が許可された端末30のMACアドレスを通知する。この時、端末30の情報としてMACアドレスとIPサブネットが制御部21へ通知される。
(14)ステップS114
制御部21は、受け取ったIPサブネットが設定されているVLAN部22があるか検索し、検索の結果、発見されたVLAN部22に対し、MACアドレスの登録を行う。ここでは、端末30がどのポートに接続されているかを意識することはなく、ネットワーク機器20は、どのVLANで通信を許可されたかということに関して制御を行う。
(15)ステップS115
DHCPサーバ11からIPアドレスが割り当てられた端末30は、通信を開始し、データを送信する。
(16)ステップS116
端末30からのデータを受信したネットワーク機器20は、端末30のMACアドレスがVLAN部22に登録されているかを検索し、登録されていれば受信ポートにパケット通過の許可と転送可能なVLANを設定する。以後、端末30からのデータを同じポートで受信した場合は、この許可設定により特定のVLANにデータは転送され、VLAN部22での登録検索を行うことはない。
端末30が移動した場合、データを受信するポートではパケット通過の許可設定がないため、上段の処理が行われる。
VLANはIPサブネットと1:1に対応付けられているため、処理(16)で転送可能なVLANを設定することは、転送可能なIPサブネットを設定することと等しくなり、端末は特定のIPサブネット内の装置とのみ通信可能となる。
図3に、固定IPアドレス端末がネットワーク機器20で通信許可されるまでのシーケンスを示す。以下にその処理について記述する。
(1)ステップS201
許可情報データベース13に、固定IPアドレス端末として端末のMACアドレスを登録する。
(2)ステップS202
アクセス制御装置10の許可部12は、すぐさまアクセス制御装置10の設定部14に対してIPサブネットとMACアドレスをアクセス制御装置10の設定部14に通知し、ネットワーク機器20への登録を要求する。
(1)ステップS201
許可情報データベース13に、固定IPアドレス端末として端末のMACアドレスを登録する。
(2)ステップS202
アクセス制御装置10の許可部12は、すぐさまアクセス制御装置10の設定部14に対してIPサブネットとMACアドレスをアクセス制御装置10の設定部14に通知し、ネットワーク機器20への登録を要求する。
以降、処理(13)〜(16)(図2に示すステップS113〜ステップS116)が同じように行われる。
(3)ステップS203
アクセス制御装置10の設定部14は、受け取ったIPサブネットが設定されているネットワーク機器20を検索し、同じIPサブネットが設定されているネットワーク機器20の制御部21に対して、通信が許可された端末30のMACアドレスを通知する。この時、端末30の情報としてMACアドレスとIPサブネットが制御部21へ通知される。
(4)ステップS204
制御部21は、受け取ったIPサブネットが設定されているVLAN部22があるか検索し、検索の結果、発見されたVLAN部22に対し、MACアドレスの登録を行う。ここでは、端末30がどのポートに接続されているかを意識することはなく、ネットワーク機器20は、どのVLANで通信を許可されたかということに関して制御を行う。
(5)ステップS205
DHCPサーバ11からIPアドレスが割り当てられた端末30は、通信を開始し、データを送信する。
(6)ステップS206
端末30からのデータを受信したネットワーク機器20は、端末30のMACアドレスがVLAN部22に登録されているかを検索し、登録されていれば受信ポートにパケット通過の許可と転送可能なVLANを設定する。以後、端末30からのデータを同じポートで受信した場合は、この許可設定により特定のVLANにデータは転送され、VLAN部22での登録検索を行うことはない。
端末30が移動した場合、データを受信するポートではパケット通過の許可設定がないため、上段の処理が行われる。
アクセス制御装置10の設定部14は、受け取ったIPサブネットが設定されているネットワーク機器20を検索し、同じIPサブネットが設定されているネットワーク機器20の制御部21に対して、通信が許可された端末30のMACアドレスを通知する。この時、端末30の情報としてMACアドレスとIPサブネットが制御部21へ通知される。
(4)ステップS204
制御部21は、受け取ったIPサブネットが設定されているVLAN部22があるか検索し、検索の結果、発見されたVLAN部22に対し、MACアドレスの登録を行う。ここでは、端末30がどのポートに接続されているかを意識することはなく、ネットワーク機器20は、どのVLANで通信を許可されたかということに関して制御を行う。
(5)ステップS205
DHCPサーバ11からIPアドレスが割り当てられた端末30は、通信を開始し、データを送信する。
(6)ステップS206
端末30からのデータを受信したネットワーク機器20は、端末30のMACアドレスがVLAN部22に登録されているかを検索し、登録されていれば受信ポートにパケット通過の許可と転送可能なVLANを設定する。以後、端末30からのデータを同じポートで受信した場合は、この許可設定により特定のVLANにデータは転送され、VLAN部22での登録検索を行うことはない。
端末30が移動した場合、データを受信するポートではパケット通過の許可設定がないため、上段の処理が行われる。
なお、上記の動作をコンピュータに実行させるためのプログラムを用いて本発明を実施しても良い。
本発明のネットワーク機器制御システムの特徴について以下に詳述する。
(a)本発明のネットワーク機器制御システムでは、アクセス制御装置10の許可情報データベース13に登録する情報は、MACアドレスとその端末に設定されるサブネットアドレスであり、固定IPアドレス端末とDHCPアドレス端末において区別する必要がない。
(b)本発明のネットワーク機器制御システムでは、アクセス制御装置10の設定部14から、端末が所属するVLANが設定された全ネットワーク機器20に通知が行われるため、端末が装置間を移動しても、再認証の必要がなく、通信を継続することができる効果がある。
(c)本発明のネットワーク機器制御システムでは、アクセス制御装置10の設定部14から、端末が所属するサブネット(VLAN)が設定されているネットワーク機器20全てに個別に通知するものである。また、ネットワーク機器20は、その通知を受けた場合、各ネットワーク機器20内において、MACアドレスとVLANの対応を設定するだけで、サーバからクライアントの情報を取り出すなどの行為は行わない。更に、ネットワーク機器20のVLANにIPアドレスが設定されると、ネットワーク機器20からアクセス制御装置10の設定部14に対して通知が行われる。このタイミングでアクセス制御装置10の設定部14から他の装置に通知された情報が、この新規に通知してきたネットワーク機器20に通知され、VLAN内の全ネットワーク機器20は常に同じ情報を保持する。
(d)本発明のネットワーク機器制御システムでは、DHCPサーバがIPアドレスを割り当てる前に、許可部にデータサーバでの検索を要求し、登録されていれば、IPアドレスの割り当てを行うため、未登録端末に対して、IPアドレスが割り当てられない効果がある。
(a)本発明のネットワーク機器制御システムでは、アクセス制御装置10の許可情報データベース13に登録する情報は、MACアドレスとその端末に設定されるサブネットアドレスであり、固定IPアドレス端末とDHCPアドレス端末において区別する必要がない。
(b)本発明のネットワーク機器制御システムでは、アクセス制御装置10の設定部14から、端末が所属するVLANが設定された全ネットワーク機器20に通知が行われるため、端末が装置間を移動しても、再認証の必要がなく、通信を継続することができる効果がある。
(c)本発明のネットワーク機器制御システムでは、アクセス制御装置10の設定部14から、端末が所属するサブネット(VLAN)が設定されているネットワーク機器20全てに個別に通知するものである。また、ネットワーク機器20は、その通知を受けた場合、各ネットワーク機器20内において、MACアドレスとVLANの対応を設定するだけで、サーバからクライアントの情報を取り出すなどの行為は行わない。更に、ネットワーク機器20のVLANにIPアドレスが設定されると、ネットワーク機器20からアクセス制御装置10の設定部14に対して通知が行われる。このタイミングでアクセス制御装置10の設定部14から他の装置に通知された情報が、この新規に通知してきたネットワーク機器20に通知され、VLAN内の全ネットワーク機器20は常に同じ情報を保持する。
(d)本発明のネットワーク機器制御システムでは、DHCPサーバがIPアドレスを割り当てる前に、許可部にデータサーバでの検索を要求し、登録されていれば、IPアドレスの割り当てを行うため、未登録端末に対して、IPアドレスが割り当てられない効果がある。
すなわち、本発明のネットワーク機器制御システムでは、サーバにて固定IPアドレス、DHCPアドレス端末の区別なく、同じ情報を管理する。サーバからネットワーク装置へはVLAN番号ではなく、ネットワークのサブネットアドレスを通知する。また、通知を受けたネットワーク装置が、サブネットアドレスからVLAN番号に変換するため、ネットワーク内で全ネットワーク装置がVLAN番号を統一する必要がない。サーバからの情報通知は、各ネットワーク装置とサーバ間で行われる。そのため、新規にネットワーク装置を追加した場合でも、他のネットワーク装置と同じ情報をサーバから受け取り動作することができる。更に、全ネットワーク機器20が同じ情報を常に保持しているため、端末の移動に対しても、再認証の必要がなく利便性が高い。
以上のように、本発明のネットワーク機器制御システムは、ネットワークで通信を許可する端末がDHCPだけでなく固定IPアドレス端末についてもサーバで管理が行える。また、サーバから全ネットワーク機器20に、通信許可端末の設定が行えるため、通信許可端末がどのネットワーク機器20に移動しても再認証を必要としない。また、ネットワーク機器20において任意のポートから受信したデータの送信元MACアドレスから通信許可を与えられたかどうかを決定できる。更に、ネットワーク機器20において、受信ポートに送信元MACアドレスと通信を許可するIPサブネットを登録することができる。
1 ネットワーク機器制御システム
10 アクセス制御装置
11 DHCPサーバ
12 許可部
13 許可情報データベース
14 設定部
20(−i、i=1〜n) ネットワーク機器
21(−i、i=1〜n) 制御部
22(−i、i=1〜n) VLAN部
23(−i、i=1〜n) ポート
30(−i、i=1〜n) 端末
40 中継装置
50 ネットワーク
10 アクセス制御装置
11 DHCPサーバ
12 許可部
13 許可情報データベース
14 設定部
20(−i、i=1〜n) ネットワーク機器
21(−i、i=1〜n) 制御部
22(−i、i=1〜n) VLAN部
23(−i、i=1〜n) ポート
30(−i、i=1〜n) 端末
40 中継装置
50 ネットワーク
Claims (14)
- 通信を許可する端末の情報を保持する許可情報データベースを有するアクセス制御装置と、
前記端末から前記アクセス制御装置への通信を転送するネットワーク機器と
を含み、
前記アクセス制御装置は、
前記ネットワーク機器に接続された前記端末に対して動的に識別情報を割り当てることが可能な識別情報割当サーバと、
前記識別情報割当サーバと連携し、前記識別情報割当サーバが前記端末に識別情報を割り当てる前に、前記端末の情報について前記許可情報データベースの照合を行い、前記端末の情報が登録されていれば、前記識別情報割当サーバが前記端末に前記識別情報を割り当てる処理を許可する許可部と、
前記許可部から前記端末の情報の前記ネットワーク機器への登録の要求の通知を受け、且つ、前記ネットワーク機器から通知されるネットワーク情報を受け取り保持する設定部と
を具備する
ネットワーク機器制御システム。 - 請求項1に記載のネットワーク機器制御システムにおいて、
前記設定部は、同じネットワーク情報を通知してくる複数のネットワーク機器を管理する
ネットワーク機器制御システム。 - 請求項1又は2に記載のネットワーク機器制御システムにおいて、
前記設定部は、前記許可部から通知されるネットワーク情報と一致するネットワーク情報を通知してきた全てのネットワーク機器に対して、通信を許可された端末の情報とネットワーク情報を通知する
ネットワーク機器制御システム。 - 請求項3に記載のネットワーク機器制御システムにおいて、
前記通知を受けたネットワーク機器は、前記ネットワーク情報に対応する仮想LAN部に対して、前記端末の情報を登録する
ネットワーク機器制御システム。 - 請求項1乃至4のいずれか一項に記載のネットワーク機器制御システムにおいて、
前記許可部は、コマンド設定に基づいて、固定識別情報を使用する端末の情報と仮想LAN部を許可情報データベースに登録する
ネットワーク機器制御システム。 - 端末からの識別情報割り当て要求を受け取り、識別情報の割り当てを行う識別情報割当サーバと、
前記識別情報の割り当てを行う前に、前記識別情報割当サーバから前記端末の情報が許可情報データベースにあるかどうかの問い合わせ要求を受け取り、前記端末の情報を前記許可情報データベースに照合した結果を応答する許可部と、
端末との通信を中継するネットワーク機器から通知されるネットワーク情報を受け取り保持する設定部と
を具備する
アクセス制御装置。 - 請求項6に記載のアクセス制御装置において、
前記許可部は、コマンド設定により、前記許可情報データベースに前記端末の情報を設定し、前記設定部に対して前記ネットワーク機器への前記端末の情報の登録及び削除要求の通知を行う
アクセス制御装置。 - 請求項6又は7に記載のアクセス制御装置において、
前記設定部は、ネットワーク情報に基づいて、ネットワーク毎に複数のネットワーク機器の情報を保持し、前記許可部から通知される前記端末の情報を該当するネットワーク機器に登録要求を行う
アクセス制御装置。 - (a)識別情報割当サーバが、ネットワーク機器に接続された端末からパケットを受信すると、前記パケットに含まれる前記端末の情報、及び割り当てを行う予定の識別情報をアクセス制御装置の許可部へ通知するステップと、
(b)前記許可部が、ネットワーク接続を許可する端末の情報を登録している許可情報データベースに、通知された前記端末の情報が登録されているか検索を行うステップと、
(c)前記端末の情報が許可情報データベースに登録されている場合、前記許可部が、識別情報割当サーバから通知を受けた前記端末の情報及びネットワーク情報を、前記アクセス制御装置の設定部に通知するステップと、
(d)前記設定部が、前記ネットワーク情報が設定されている前記ネットワーク機器に対して、前記端末の情報及びネットワーク情報を通知するステップと
を具備する
アクセス制御方法。 - 請求項9に記載のアクセス制御方法において、
(e)ネットワーク機器が、前記設定部から通知された前記ネットワーク情報が設定されている仮想LAN部に対し、前記端末の情報の登録を行うステップと、
(f)前記ネットワーク機器が、前記端末からパケットを受信した場合、前記端末の情報が前記仮想LAN部に設定されていれば、受信ポートにパケット通過の許可と転送可能な仮想LAN部を設定するステップと
を更に具備する
アクセス制御方法。 - 請求項10に記載のアクセス制御方法において、
(g)前記(f)ステップ以降、前記端末からのパケットを前記受信ポートで受信した場合、前記設定により前記仮想LAN部にパケットを転送するステップを更に具備する
アクセス制御方法。 - 請求項11に記載のアクセス制御方法において、
(h)前記端末が移動した場合、前記端末から新たにパケットを受信する受信ポートにパケット通過の許可設定がなければ、前記(f)ステップ及び前記(g)ステップを行うステップを更に具備する
アクセス制御方法。 - 請求項9乃至12のいずれか一項に記載のアクセス制御方法において、
(i)前記許可情報データベースに、固定の識別情報を有する端末の情報を登録するステップを具備する
アクセス制御方法。 - 請求項9乃至13のいずれか一項に記載のアクセス制御方法を、コンピュータに実行させるためのプログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005151560A JP2006332910A (ja) | 2005-05-24 | 2005-05-24 | ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラム |
| CNA200610084868XA CN1870597A (zh) | 2005-05-24 | 2006-05-23 | 网络设备控制系统及访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005151560A JP2006332910A (ja) | 2005-05-24 | 2005-05-24 | ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006332910A true JP2006332910A (ja) | 2006-12-07 |
Family
ID=37444147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005151560A Pending JP2006332910A (ja) | 2005-05-24 | 2005-05-24 | ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP2006332910A (ja) |
| CN (1) | CN1870597A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014230046A (ja) * | 2013-05-22 | 2014-12-08 | 株式会社ナカヨ | ハブ別制御機能を有するipアドレス割当サーバ |
| JP2015531965A (ja) * | 2012-08-06 | 2015-11-05 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 照明制御システムの即用的試運転 |
| WO2018105270A1 (ja) * | 2016-12-06 | 2018-06-14 | 富士通株式会社 | 情報処理装置、及びプログラム |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103517375B (zh) * | 2012-06-27 | 2016-06-29 | 中兴通讯股份有限公司 | 一种对多种移动设备识别、通信的方法及装置 |
| CN106471848B (zh) * | 2014-07-09 | 2019-07-23 | Lg电子株式会社 | 在无线通信系统中执行特定于应用的接入控制的方法和装置 |
| JP6691085B2 (ja) * | 2017-09-20 | 2020-04-28 | ファナック株式会社 | アプリケーションセキュリティ管理システム及びエッジサーバ |
-
2005
- 2005-05-24 JP JP2005151560A patent/JP2006332910A/ja active Pending
-
2006
- 2006-05-23 CN CNA200610084868XA patent/CN1870597A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015531965A (ja) * | 2012-08-06 | 2015-11-05 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 照明制御システムの即用的試運転 |
| JP2014230046A (ja) * | 2013-05-22 | 2014-12-08 | 株式会社ナカヨ | ハブ別制御機能を有するipアドレス割当サーバ |
| WO2018105270A1 (ja) * | 2016-12-06 | 2018-06-14 | 富士通株式会社 | 情報処理装置、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1870597A (zh) | 2006-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7590733B2 (en) | Dynamic address assignment for access control on DHCP networks | |
| US7159016B2 (en) | Method and apparatus for configuring an endpoint device to a computer network | |
| CA2619092C (en) | Method of and system for support of user devices roaming between routing realms by a single network server | |
| JP4664143B2 (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| JP4081472B2 (ja) | ネットワーク装置のクラスタ管理方法及びその装置 | |
| JP4587446B2 (ja) | ネットワークシステム、並びにスイッチ装置及び経路管理サーバ及びそれらの制御方法、及び、コンピュータプログラム及びコンピュータ可読記憶媒体 | |
| JP5088100B2 (ja) | Ipネットワークシステム、そのアクセス制御方法、ipアドレス配布装置、及びipアドレス配布方法 | |
| JP4832816B2 (ja) | 無線式パケット・ベースのネットワークの電力節減 | |
| US20050198224A1 (en) | Storage network system and control method thereof | |
| JP2006332910A (ja) | ネットワーク機器制御システム、アクセス制御装置、アクセス制御方法、及びプログラム | |
| JP2004304235A (ja) | 名前/アドレス変換装置 | |
| WO2017000443A1 (zh) | 管理专线用户的方法、宽带接入服务器及管理服务器 | |
| US20060193330A1 (en) | Communication apparatus, router apparatus, communication method and computer program product | |
| EP1881639B1 (en) | A method and system for cpecf (customer premises equipment configuration function) obtaining the terminal equipment information and configuring the terminal equipment | |
| JP6134954B1 (ja) | ネットワークセキュリティ装置、ネットワーク管理方法、及びプログラム | |
| JP2010239591A (ja) | ネットワークシステム、中継装置、およびネットワーク制御方法 | |
| WO2007072245A2 (en) | Dynamic firewall rule definition | |
| JP2002084306A (ja) | パケット通信装置及びネットワークシステム | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| JP5937563B2 (ja) | 通信基地局およびその制御方法 | |
| JP2008010934A (ja) | ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体 | |
| JP3892235B2 (ja) | アドレス自動割り当て方法 | |
| JP6417799B2 (ja) | ネットワークコントローラ、ネットワーク制御方法、およびプログラム | |
| CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 | |
| JP3947141B2 (ja) | ネットワーク間通信方法及び管理サーバ並びにユーザ網管理サーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070803 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070813 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071009 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080410 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080520 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081126 |