JP2008060631A - Communication equipment and multicast user authentication method - Google Patents

Communication equipment and multicast user authentication method Download PDF

Info

Publication number
JP2008060631A
JP2008060631A JP2006231588A JP2006231588A JP2008060631A JP 2008060631 A JP2008060631 A JP 2008060631A JP 2006231588 A JP2006231588 A JP 2006231588A JP 2006231588 A JP2006231588 A JP 2006231588A JP 2008060631 A JP2008060631 A JP 2008060631A
Authority
JP
Japan
Prior art keywords
terminal
multicast data
port
received
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006231588A
Other languages
Japanese (ja)
Inventor
Masaru Kobayashi
大 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2006231588A priority Critical patent/JP2008060631A/en
Publication of JP2008060631A publication Critical patent/JP2008060631A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To perform the authentication of multicast communication by a switch. <P>SOLUTION: A switch 30 receives a distribution request including a group address and a terminal address from terminals 41 to 43 via a port. The switch 30 specifies a VLAN ID of a VLAN to which the port belongs. The switch 30 snoops the distribution request and refers to an authentication table to determine whether a pair of the terminal address and the VLAN ID are stored with respect to the group address included in the distribution request or not. In the case that the pair are stored, the switch 30 stores the group address and the port identifier of the port in a forwarding table. When receiving multicast data including the group address from a router 20, the switch 30 refers to the forwarding table to specify the port identifier corresponding to the group address and transmits the multicast data to the terminals. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、通信装置及びマルチキャストユーザ認証方法に係り、特に、IPネットワークシステムにおけるマルチキャストデータを、受信許可された特定の端末にのみ配信する通信装置及びマルチキャストユーザ認証方法に関する。   The present invention relates to a communication apparatus and a multicast user authentication method, and more particularly, to a communication apparatus and a multicast user authentication method for distributing multicast data in an IP network system only to specific terminals permitted to receive the data.

現在、IPネットワークシステムにおいてマルチキャスト中継機能を利用したデータ配信技術が利用されつつある。このマルチキャストデータを制御する技術として、例えば、IGMP/MLD(Internet Group Management Protocol/Multicast Listener Discovery)及びIGMP/MLD snooping技術がある(例えば、非特許文献1、2、3参照)。   Currently, a data distribution technique using a multicast relay function is being used in an IP network system. As techniques for controlling this multicast data, there are, for example, IGMP / MLD (Internet Group Management Protocol / Multicast Listener Discovery) and IGMP / MLD snooping techniques (see, for example, Non-Patent Documents 1, 2, and 3).

図1に示すように端末1(141)、端末2(142)がグループ1(G1)宛IGMP/MLDによる受信要求をルーター120に対して送信することで、マルチキャスト送信者110が送信しているマルチキャストデータ(D110)を、端末1(141)、端末2(142)で受信することが可能となる。   As shown in FIG. 1, the terminal 1 (141) and the terminal 2 (142) transmit the reception request by the IGMP / MLD addressed to the group 1 (G1) to the router 120, so that the multicast sender 110 transmits. The multicast data (D110) can be received by the terminal 1 (141) and the terminal 2 (142).

また、スイッチにてIGMP/MLD snoopingを動作させることによってIGMP/MLDによる受信要求をしていない端末3(143)に対しては,マルチキャストデータ(D110)を送信しない。これにより、例えばマルチキャストデータの発散を防ぐことを可能としている。もしも、端末3(143)がIGMP/MLDによりマルチキャストデータ(D110)を受信するために受信要求をスイッチ130等に送信したときは、端末3(143)はマルチキャストデータを受信することが可能となる。   Also, multicast data (D110) is not transmitted to the terminal 3 (143) that has not made a reception request by IGMP / MLD by operating IGMP / MLD snooping with the switch. Thereby, for example, it is possible to prevent divergence of multicast data. If the terminal 3 (143) transmits a reception request to the switch 130 or the like in order to receive multicast data (D110) by IGMP / MLD, the terminal 3 (143) can receive the multicast data. .

また、クライアント装置とルーティング装置との間にスヌーピング装置を設置した通信システムが開示されている(例えば、特許文献1参照)。このシステムでは、スヌーピング装置は、認証を伴うIGMP受信要求を、ルーティング装置にそのまま送信し、認証サーバ装置で、例えば、ユーザID、パスワード、マルチキャストアドレス等が登録してあるデータベースと合致するか判断している。   Further, a communication system in which a snooping device is installed between a client device and a routing device is disclosed (for example, see Patent Document 1). In this system, the snooping device transmits an IGMP reception request with authentication to the routing device as it is, and determines whether the authentication server device matches a database in which, for example, a user ID, password, multicast address, etc. are registered. ing.

特開2004−357200号公報JP 2004-357200 A RFC2236 Internet Group Management Protocol Version 2RFC2236 Internet Group Management Protocol Version 2 RFC2710 Multicast Listener Discovery (MLD) for IPv6RFC2710 Multilist Listener Discovery (MLD) for IPv6 Internet−Draft IGMP and MLD snooping switches draft−ietf−magma−snoop−10.txtInternet-Draft IGMP and MLD snooping switches draft-ietf-magma-snoop-10. txt IGAP(IGMP for Authentication Protocol) draft−andou−igmp−auth−01.txtIGAP (IGMP for Authentication Protocol) draft-andou-igmp-auth-01. txt MLDA(Multicast Listener Discovery Authentication Protocol) draft−hayashi−mlda−01.txtMLDA (Multicast Listener Discovery Authentication Protocol) draft-hayashi-mlda-01. txt

マルチキャスト中継は、特定多数のユーザにデータの配信を容易に行うことができる反面、特定データ配信に対する参加要求を端末が実施することによって、善意・悪意に関わらず受信可能となる。例えば、上述の各システムでは、システムに接続が可能であればどの端末でも、上記のようにマルチキャストデータ(D110)を受信できる。しかしながら、例えば、あるマルチキャストグループのマルチキャストデータは、特定の端末のみに配信を許可し、それ以外の端末には配信したくない場合もある。   While multicast relay can easily distribute data to a large number of specific users, it can be received regardless of good intentions or bad intentions when a terminal makes a participation request for specific data distribution. For example, in each of the above systems, any terminal that can connect to the system can receive the multicast data (D110) as described above. However, for example, there is a case where multicast data of a certain multicast group is permitted to be distributed only to a specific terminal and not distributed to other terminals.

このような特定の端末にのみマルチキャストを配信するシステムを実現するものとしては、例えば、以下のものが考えられる。
(1)システムへのアクセス自体を認証
ユニキャストやマルチキャストのようなデータ種別に関係なく、システムへのアクセス自体に認証を設けることで、システム全体のセキュリティーを保つ。
(2)IGAP/MLDAによるプロトコルによる認証
マルチキャストを使用するシステムにおいて、ルーターと端末がプロトコルを用いて認証を行い、許可された端末のみ受信可能とする(例えば、非特許文献4、5参照)。
(3)ネットワーク機器でのアクセスフィルター
ルーターやスイッチにおいて、物理ポートに対して宛先IPアドレスやMACアドレスによるアクセスフィルターを設定することにより、許可された端末のみ受信可能とする。 As what implement | achieves the system which delivers a multicast only to such a specific terminal, the following can be considered, for example.
(1) Authentication of access to the system itself Regardless of data types such as unicast and multicast, security is provided for the entire system by providing authentication for access to the system itself.
(2) Authentication by protocol by IGAP / MLDA In a system using multicast, the router and the terminal authenticate using the protocol, and only the authorized terminal can receive (for example, refer to Non-Patent Documents 4 and 5).
(3) Access filter in network device By setting an access filter based on a destination IP address or MAC address for a physical port in a router or switch, only authorized terminals can receive.

マルチキャストデータ通信は、上記手段のいずれかを用いてセキュリティーを保つことが考えられるが、それぞれ以下の課題がある。
上述(1)のシステムでは、システムへのアクセスが認められていれば、どのマルチキャストデータについても、誰でもIGMPやMLDで受信要求をするだけで受信可能となる。また、上述(2)のようにプロトコルによる認証に関しては、ルーター、端末がそれぞれ、プロトコルに対応している必要がある。すなわち、例えば、企業内ネットワークに適用する場合には、企業内の全てのルーター及び端末のハードウェアやソフトウェアの入れ替えをすることになり、コストがかかり過ぎてしまう。さらに、上述(3)のアクセスフィルターでは、マルチキャストデータが増えた際に、フィルタリングエントリー数が増え、ルーターやスイッチのリソースを多く消費してしまう。また、端末が同じルーターやスイッチ内での移設でも設定変更が必要で、管理者の工数も増加してしまう。 In multicast data communication, it is conceivable to maintain security by using any of the above-mentioned means, but each has the following problems.
In the system (1) described above, any multicast data can be received by simply making a reception request using IGMP or MLD as long as access to the system is permitted. Further, as described in (2) above, for authentication by protocol, the router and the terminal need to support the protocol. That is, for example, when applied to an in-company network, hardware and software of all routers and terminals in the company are replaced, which is too expensive. Furthermore, in the access filter described in (3) above, when the multicast data increases, the number of filtering entries increases and consumes a lot of router and switch resources. In addition, even if the terminal is moved within the same router or switch, it is necessary to change the setting, which increases the man-hours for the administrator.

また、マルチキャストグループ毎に配信する端末を制限する以外に、さらに、端末がマルチキャストデータを受信するエリア、ポート、VLAN(Virtual LAN、仮想ネットワーク)を制限したい場合もある。   In addition to limiting the terminals that are distributed for each multicast group, there are cases where it is desired to further limit the area, port, and VLAN (Virtual LAN, virtual network) from which the terminal receives multicast data.

例えば、企業内のネットワークにおいては、全員が見られる(端末に配信可能な)情報のほか、正社員が見られる情報、派遣社員が見られる情報、他社からの出向者が見られる情報等を分けたい場合がある。また、正社員と派遣社員が見られる情報など対象が適宜組み合わされていることもある。さらに、正社員の中でも、ある役職以上の者にのみ見せる情報もある。また、企業の合併、事業部の再編等の際には、例えば合併前の一方の社員にのみ配信したい場合もある。
さらに、同じマルチキャストグループ、同じ端末であっても、例えばホールなどの公共性のある場所では配信を制限し、会議室等では配信を許可するなどのニーズもある。 For example, in a corporate network, in addition to information that can be seen by everyone (distributable to the terminal), information that can be seen by regular employees, information that can be seen by temporary employees, information that can be seen by employees from other companies, etc. There is a case. In addition, information such as information on regular employees and temporary employees can be appropriately combined. In addition, there is information that can be seen only by regular employees who are above a certain position. In the case of a merger of companies, a reorganization of business units, etc., for example, there are cases where it is desired to distribute only to one employee before the merger.
Furthermore, even for the same multicast group and the same terminal, there is a need to restrict distribution in a public place such as a hall and permit distribution in a conference room.

本発明は、以上の点に鑑み、マルチキャスト通信に対する認証をスイッチ(通信装置)で行う当該通信装置及びマルチキャストユーザ認証方法を提供することを目的とする。また、本発明は、システム内の変更を最小限に抑え、且つ、導入コストを低く抑えることを目的のひとつとする。例えば、本発明は、既存のシステムからの変更をスイッチのみとすることを目的のひとつとする。本発明は、マルチキャストデータ通信を行う上でのセキュリティーを向上し、重要なデータをマルチキャスト配信することが可能となるスイッチを提供することを目的のひとつとする。   In view of the above, an object of the present invention is to provide a communication device and a multicast user authentication method in which authentication for multicast communication is performed by a switch (communication device). Another object of the present invention is to minimize changes in the system and to reduce the introduction cost. For example, an object of the present invention is to change only a switch from an existing system. An object of the present invention is to provide a switch capable of improving security in performing multicast data communication and capable of multicast distribution of important data.

本発明は、マルチキャストグループ毎に、配信する端末、VLANを制限することを目的とする。さらに、本発明は、同じマルチキャストグループ、同じ端末であっても、端末がある場所にいる又はあるVLANに属する場合には配信を制限し、他の場所にいる又は他のVLANに属する場合には配信を許可することができるスイッチ及び認証方法を提供することを目的のひとつとする。   An object of the present invention is to limit terminals and VLANs to be distributed for each multicast group. Further, the present invention restricts distribution when a terminal is in a certain place or belongs to a certain VLAN even if it is the same multicast group or the same terminal, and in the case of being in another place or belonging to another VLAN. An object is to provide a switch and an authentication method that can permit distribution.

図2において、スイッチ30で端末1(41)からのIGMP/MLDによるmembership report(マルチキャストデータの受信要求又は配信要求)(D20)をsnooping(スヌーピング、監視、覗き見)し、そのsource MACアドレス(送信元MACアドレス)で認証を行う。スイッチ30では、予め設定によって許可された端末1(41)のsource MACアドレスであることを確認後、membership report(D20)をルーター20に中継する。membership report(D20)を受信したルーター20は、マルチキャスト送信者10から送信されているマルチキャストデータ受信要求とみなし,マルチキャストデータ(D10)をスイッチ30に対して送信する。マルチキャストデータ(D10)を受信したスイッチ30はMACアドレスフォワーディングテーブルを参照し、ポート1に接続する受信者の端末41に対して、マルチキャストデータ(D10)を送信する。   In FIG. 2, the switch 30 performs a member report (multicast data reception request or distribution request) (D20) from the terminal 1 (41) by IGMP / MLD (D20), and the source MAC address (snooping, monitoring, peeping) Authentication is performed using (source MAC address). The switch 30 relays the membership report (D20) to the router 20 after confirming that it is the source MAC address of the terminal 1 (41) permitted by the setting in advance. The router 20 that has received the membership report (D20) regards it as a multicast data reception request transmitted from the multicast sender 10, and transmits the multicast data (D10) to the switch 30. The switch 30 that has received the multicast data (D10) refers to the MAC address forwarding table and transmits the multicast data (D10) to the receiver terminal 41 connected to the port 1.

本発明では、例えば、IGMP/MLD snooping機能と認証機能を連動して、マルチキャスト認証機能を実現する。
本発明の第1の解決手段によると、
マルチキャストデータを受信するための第1のポートと、該マルチキャストデータを端末に送信するための複数の第2のポートとを有し、前記第2のポートのひとつ又は複数を含む仮想ネットワークが複数構成されるための複数のポートと、
マルチキャストデータのグループを識別するグループ識別子に対応して、該グループのマルチキャストデータを特定の仮想ネットワークにおいて受信することが予め許可された前記端末のアドレスと、該仮想ネットワークの識別子との組が記憶された認証テーブルと、
マルチキャストデータのグループ識別子に対応して、受信された該グループのマルチキャストデータを送信するための前記第2のポートのポート識別子が記憶されるフォワーディングテーブルと、
前記端末からのマルチキャストデータの配信要求に対して、受信が許可されているか否かを判断するための認証処理、及び、受信されたマルチキャストデータを前記フォワーディングテーブルに従い前記端末へ送信する転送処理を行う処理部と
を備え
前記認証処理は、前記処理部が、
前記端末から、グループ識別子と前記端末のアドレスとを含む配信要求を、前記第2のポートのひとつを介して受信することと、
該配信要求を受信した前記第2のポートに基づき、該第2のポートが属する仮想ネットワークの識別子を特定することと、
前記認証テーブルを参照し、受信された配信要求に含まれるグループ識別子に対応して、配信要求に含まれる前記端末のアドレスと特定された仮想ネットワークの識別子との組が記憶されているか判断することと、
前記認証テーブルに記憶されていると判断されると、受信された配信要求に含まれるグループ識別子と、配信要求を受信した前記第2のポートのポート識別子とを、前記フォワーディングテーブルに記憶し、及び、前記認証テーブルに記憶されていないと判断されると、受信された配信要求を廃棄すること
を含む通信装置が提供される。 In the present invention, for example, the multicast authentication function is realized by linking the IGMP / MLD snooping function and the authentication function.
According to the first solution of the present invention,
A plurality of virtual networks having a first port for receiving multicast data and a plurality of second ports for transmitting the multicast data to the terminal, and including one or more of the second ports Multiple ports to be
Corresponding to a group identifier for identifying a group of multicast data, a set of the address of the terminal that is permitted in advance to receive the multicast data of the group in a specific virtual network and the identifier of the virtual network is stored. Authentication table,
A forwarding table in which a port identifier of the second port for transmitting the received multicast data of the group is stored corresponding to the group identifier of the multicast data;
In response to a multicast data distribution request from the terminal, an authentication process for determining whether or not reception is permitted, and a transfer process for transmitting the received multicast data to the terminal according to the forwarding table A processing unit, wherein the authentication process is performed by the processing unit,
Receiving from the terminal a distribution request including a group identifier and the address of the terminal via one of the second ports;
Identifying an identifier of a virtual network to which the second port belongs based on the second port that has received the distribution request;
Referencing the authentication table and determining whether a set of the address of the terminal and the identified virtual network identifier included in the distribution request is stored corresponding to the group identifier included in the received distribution request When,
If determined to be stored in the authentication table, the group identifier included in the received distribution request and the port identifier of the second port that has received the distribution request are stored in the forwarding table; and If it is determined that it is not stored in the authentication table, a communication device including discarding the received distribution request is provided.

本発明の第2の解決手段によると、
マルチキャストデータを受信するための第1のポートと、該マルチキャストデータを端末に送信するための複数の第2のポートとを有する通信装置を備え、前記第2のポートのひとつ又は複数を含む仮想ネットワークが複数構成されたネットワークにおいて、
端末から、グループ識別子と端末のアドレスとを含む配信要求を受信するステップと、
該配信要求を受信したポートが属する仮想ネットワークの識別子を特定するステップと、
マルチキャストデータのグループを識別するグループ識別子に対応して、該グループのマルチキャストデータを特定の仮想ネットワークにおいて受信することが予め許可された端末のアドレスと、該仮想ネットワークの識別子との組が記憶された認証テーブルを参照し、受信された配信要求に含まれるグループ識別子に対応して、配信要求に含まれる端末のアドレスと特定された仮想ネットワークの識別子との組が記憶されているか判断するステップと、
認証テーブルに記憶されていると判断されると、受信された配信要求に含まれるグループ識別子と、配信要求を受信したポートのポート識別子とを、フォワーディングテーブルに記憶し、及び、認証テーブルに記憶されていないと判断されると、受信された配信要求を廃棄するステップと、
受信されたマルチキャストデータを、フォワーディングテーブルに従いポートに接続された端末へ送信するステップと
を含むマルチキャストユーザ認証方法が提供される。 According to the second solution of the present invention,
A virtual network comprising a communication device having a first port for receiving multicast data and a plurality of second ports for transmitting the multicast data to a terminal, and including one or more of the second ports In a network with multiple
Receiving a delivery request including a group identifier and a terminal address from a terminal;
Identifying the identifier of the virtual network to which the port that received the distribution request belongs;
Corresponding to a group identifier for identifying a group of multicast data, a set of an address of a terminal that is permitted in advance to receive the multicast data of the group in a specific virtual network and the identifier of the virtual network is stored Referring to the authentication table and determining whether a set of the address of the terminal included in the distribution request and the identifier of the identified virtual network is stored corresponding to the group identifier included in the received distribution request;
If it is determined that it is stored in the authentication table, the group identifier included in the received distribution request and the port identifier of the port that received the distribution request are stored in the forwarding table and stored in the authentication table. If not, discarding the received delivery request;
Transmitting the received multicast data to a terminal connected to the port according to a forwarding table.

本発明によると、マルチキャスト通信に対する認証をスイッチ(通信装置)だけで行う当該通信装置及びマルチキャストユーザ認証方法を提供することができる。また、本発明によると、システム内の変更を最小限に抑え、且つ、導入コストを低く抑えることができる。例えば、本発明によると、既存のシステムからの変更をスイッチのみとすることができる。本発明によると、マルチキャストデータ通信を行う上でのセキュリティーを向上し、重要なデータをマルチキャスト配信することが可能となるスイッチを提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, the said communication apparatus and multicast user authentication method which perform the authentication with respect to multicast communication only by a switch (communication apparatus) can be provided. Further, according to the present invention, changes in the system can be minimized and the introduction cost can be kept low. For example, according to the present invention, a change from an existing system can be only a switch. According to the present invention, it is possible to provide a switch capable of improving security in performing multicast data communication and enabling multicast distribution of important data.

本発明によると、マルチキャストグループ毎に、配信する端末、VLANを制限することができる。さらに、本発明によると、同じマルチキャストグループ、同じ端末であっても、端末がある場所にいる又はあるVLANに属する場合には配信を制限し、他の場所にいる又は他のVLANに属する場合には配信を許可することができるスイッチ及び認証方法を提供することができる。   According to the present invention, it is possible to restrict terminals and VLANs to be distributed for each multicast group. Further, according to the present invention, even if the same multicast group and the same terminal are used, the distribution is restricted when the terminal is in a certain place or belongs to a certain VLAN, and when the terminal is in another place or belongs to another VLAN. Can provide a switch and an authentication method that can permit distribution.

図2は、本実施の形態のシステム構成図を示す。
本システムは、例えば、マルチキャストデータを配信する装置(以下、マルチキャスト送信者と記す)10と、マルチキャストデータ等のデータを転送するルーター20と、スイッチ(通信装置)30とを備える。
本システムは、ネットワーク(IP10)に対して、マルチキャスト送信者10とIPパケット(ユニキャスト、マルチキャスト)を中継するルーター20とが接続されている。また、ネットワーク(IP10)など適宜の場所にDHCPサーバ1を備えてもよい。 FIG. 2 shows a system configuration diagram of the present embodiment.
The system includes, for example, an apparatus (hereinafter referred to as a multicast sender) 10 that distributes multicast data, a router 20 that transfers data such as multicast data, and a switch (communication apparatus) 30.
In this system, a multicast sender 10 and a router 20 that relays IP packets (unicast, multicast) are connected to a network (IP10). Further, the DHCP server 1 may be provided in an appropriate place such as a network (IP10).

また、ルーター20には、例えば、IGMP/MLD snooping機能とMACアドレス認証機能を有したスイッチ30が接続されている。図2の例では、スイッチ30には、マルチキャスト送信者10から送信されるマルチキャストデータ(D10)の受信が予め許可されている端末1(41)と、受信が許可されていない端末2(42)と、受信許可はされているが、受信する意思がない端末3(43)とが接続されている。   Further, for example, a switch 30 having an IGMP / MLD snooping function and a MAC address authentication function is connected to the router 20. In the example of FIG. 2, the switch 30 includes a terminal 1 (41) in which reception of multicast data (D10) transmitted from the multicast sender 10 is permitted in advance and a terminal 2 (42) in which reception is not permitted. The terminal 3 (43) that is permitted to receive but does not intend to receive is connected.

図2の端末1(41)は、IGMP/MLD membership reportを送信し、MACアドレス及びVLAN IDがスイッチに予め登録されているため、マルチキャストデータを受信できる。端末2(42)は、IGMP/MLD membership reportを送信するが、MACアドレス等がスイッチ30に登録されていないためマルチキャストデータを受信できない。端末3(43)は、IGMP/MLD membership reportを送信していないためマルチキャストデータを受信しない。   The terminal 1 (41) in FIG. 2 transmits IGMP / MLD member report and can receive multicast data since the MAC address and VLAN ID are registered in advance in the switch. The terminal 2 (42) transmits IGMP / MLD membership report, but cannot receive multicast data because the MAC address or the like is not registered in the switch 30. The terminal 3 (43) does not receive the multicast data because it does not transmit the IGMP / MLD membership report.

スイッチ30は、例えば、複数のポートと、認証テーブル31と、フォワーディングテーブル32と、処理部とを有する。認証テーブル31と、フォワーディングテーブル32については後述する。   The switch 30 includes, for example, a plurality of ports, an authentication table 31, a forwarding table 32, and a processing unit. The authentication table 31 and the forwarding table 32 will be described later.

上述の複数のポートは、例えば、ルーター20に接続され、マルチキャストデータを受信するための第1のポートと、端末に接続されマルチキャストデータを端末に送信するための第2のポート(P1〜Pn)とを含む。図2の例では、例えば、ポート1、2、3がVLAN100に属している。また、ポートnがVLAN200に属している。これらのVLANは、予め適宜設定し、スイッチ30にて管理されることができる。例えば、ポートとVLANを対応付けたVLAN管理部をさらに有してもよい。   The plurality of ports are, for example, a first port that is connected to the router 20 and receives multicast data, and a second port (P1 to Pn) that is connected to the terminal and transmits multicast data to the terminal. Including. In the example of FIG. 2, for example, ports 1, 2, and 3 belong to the VLAN 100. Port n belongs to VLAN 200. These VLANs can be appropriately set in advance and managed by the switch 30. For example, you may further have a VLAN management part which matched the port and VLAN.

処理部は、あるVLANに属する端末からの、所望のグループアドレス(グループ識別子)宛のマルチキャストデータの配信要求に対して、該グループアドレス宛のマルチキャストデータの配信を許可又は拒否するための認証処理を行う。また、処理部は、受信されたマルチキャストデータを端末に転送する転送処理を行う。   In response to a multicast data distribution request addressed to a desired group address (group identifier) from a terminal belonging to a certain VLAN, the processing unit performs an authentication process for permitting or rejecting distribution of the multicast data addressed to the group address. Do. The processing unit performs a transfer process of transferring the received multicast data to the terminal.

例えば、ルーター20とスイッチ30に、VLAN100(V100)とVLAN200(V200)があり、VLAN100(V100)にいた端末1(41)がVLAN200(V200)に移動した場合を考える。従来のスイッチであれば、端末1(41)がVLAN100からVLAN200に移動し、VLAN200からmembership report D20をスイッチ30に送信することで、端末1−2(41−2)はVLAN200でもマルチキャストデータD10を受信可能となる。   For example, consider a case in which the router 20 and the switch 30 have VLAN 100 (V100) and VLAN 200 (V200), and the terminal 1 (41) in the VLAN 100 (V100) moves to the VLAN 200 (V200). In the case of a conventional switch, the terminal 1 (41) moves from the VLAN 100 to the VLAN 200, and sends a membership report D20 from the VLAN 200 to the switch 30, so that the terminal 1-2 (41-2) receives the multicast data D10 in the VLAN 200. It becomes possible to receive.

しかし、本実施の形態におけるスイッチ30の認証機能の設定では、どのVLANに属するMACアドレス(端末)が、どのマルチキャストデータを受信可能かが設定できる。後述する図3のスイッチの認証設定にあるようにVLAN100(V100)でのみ当該MACアドレス(MAC1)は受信可能とし、VLAN200は設定しなければ、端末1−2(44)はグループ1宛であるマルチキャストデータ(D10)をVLAN200では受信することができない。このように、同じスイッチ内でもマルチキャストデータを受信できるVLANが指定できる。例えば、同じフロアでも特定の場所(その場所に対応するポート)では受信させないということが可能となる。例えば、VLAN100のポート1〜3は会議室のポートであり、VLAN200のポートnはホールのポートなどに対応付けることができる。   However, in the setting of the authentication function of the switch 30 in the present embodiment, it is possible to set which multicast data can be received by the MAC address (terminal) belonging to which VLAN. As described in the switch authentication setting of FIG. 3 described later, the MAC address (MAC1) can be received only by the VLAN 100 (V100), and if the VLAN 200 is not set, the terminal 1-2 (44) is addressed to the group 1. The multicast data (D10) cannot be received by the VLAN 200. In this way, a VLAN that can receive multicast data can be specified within the same switch. For example, it is possible not to receive at a specific place (port corresponding to the place) even on the same floor. For example, the ports 1 to 3 of the VLAN 100 are conference room ports, and the port n of the VLAN 200 can be associated with a hall port.

ここで、本実施の形態のスイッチ30は、MACアドレスを用いたアクセスフィルターにより同様のセキュリティーを施す場合と比べて、例えば、テーブルの設定が容易であるというメリットがある。   Here, the switch 30 of the present embodiment has an advantage that, for example, setting of a table is easy as compared with the case where the same security is applied by an access filter using a MAC address.

通常、企業内のネットワークは、例えば、各フロアに最低1台のスイッチを配置することで各端末を収容する。もし、各フロアにスイッチが1台ずつあった場合、10階建てのビルであれば、スイッチが10台配置されることになる。   Usually, a corporate network accommodates each terminal by arranging at least one switch on each floor, for example. If there is one switch on each floor, 10 switches are arranged in a 10-story building.

この条件でアクセスフィルターにてマルチキャストデータへのセキュリティーを設定する場合、そのスイッチが備えるすべての物理ポートに対して、特定の端末が特定のマルチキャストデータを受信できないように設定するか、各VLANに対して同様に設定することが必要となる。これを全フロア分設定すると、全エントリ数は、フィルタリングするMACアドレス数×マルチキャストデータ数×各スイッチの物理ポート数(またはVLAN数)×スイッチの台数(例えば10台)となり、設定が煩雑となる。また、設定のための時間、人員、メモリの容量が必要となり、認証処理の際にはメモリ検索のための時間がかかる。また、マルチキャストデータの受信許可された端末数以上の設定をすることになる場合もある。また、各端末は、どのスイッチのどのポートに所属するかを明確にしなければならず、管理者の作業工数以外に端末使用者にも負担がかかることになる。   When setting security for multicast data with an access filter under these conditions, either set a specific terminal so that it cannot receive specific multicast data for all physical ports provided in the switch, or set it for each VLAN. Need to be set in the same way. If this is set for all floors, the total number of entries is the number of MAC addresses to be filtered x the number of multicast data x the number of physical ports (or the number of VLANs) x the number of switches (for example, 10), making the setting complicated. . Further, setting time, personnel, and memory capacity are required, and it takes time for memory search in the authentication process. In some cases, the number of terminals permitted to receive multicast data is set to be greater than the number of terminals. In addition, it is necessary to clarify to which port of which switch each terminal belongs, which places a burden on the terminal user in addition to the work man-hours of the administrator.

これに対して本実施の形態の場合は、各スイッチに対して図3にあるように宛先グループアドレス、MACアドレス、VLAN IDを設定するだけでよい。マルチキャストデータの受信許可された端末数分だけ設定すればよく、すべてのVLANや物理ポートに設定する必要がない。   On the other hand, in the case of the present embodiment, it is only necessary to set the destination group address, the MAC address, and the VLAN ID as shown in FIG. It is only necessary to set the number of terminals that are permitted to receive multicast data, and it is not necessary to set all VLANs and physical ports.

図3は、スイッチの認証テーブルの説明図である。
認証テーブル31は、例えば、マルチキャストデータのグループを識別するグループ識別子に対応して、該グループのマルチキャストデータを特定の仮想ネットワークにおいて受信することが予め許可された端末のアドレスと、該仮想ネットワークの識別子(VLAN ID)との組が予め記憶される。なお、端末のアドレスは、例えば、MACアドレスを用いることができる。MACアドレス以外にも端末を識別するための適宜の識別子を用いても良い。また、VLAN IDに限らず、適宜のネットワーク、グループのIDであってもよい。 FIG. 3 is an explanatory diagram of a switch authentication table.
The authentication table 31 corresponds to, for example, a group identifier for identifying a group of multicast data, an address of a terminal permitted to receive the multicast data of the group in a specific virtual network, and an identifier of the virtual network A set with (VLAN ID) is stored in advance. For example, a MAC address can be used as the terminal address. In addition to the MAC address, an appropriate identifier for identifying the terminal may be used. Further, the ID is not limited to the VLAN ID but may be an appropriate network or group ID.

端末1(41)のMACアドレス(MAC1)は、マルチキャストデータの宛先グループアドレスであるグループ1(G1)を、所属するVLANである図2のVLAN100(V100)で受信許可という設定になっている(テーブルの第1行)。端末2(42)に関しては、どのグループ宛のマルチキャストデータも受信許可はされていないため、認証テーブル31に登録されていない。端末3(43)に関しては、端末1(41)同様、MACアドレス(MAC3)の登録がマルチキャストデータの宛先グループアドレスと所属するVLANである図2のVLAN100(V100)で受信許可となっている(テーブルの第2行)。   The MAC address (MAC1) of terminal 1 (41) is set to allow reception of group 1 (G1), which is the destination group address of multicast data, in VLAN 100 (V100) in FIG. The first row of the table). Regarding the terminal 2 (42), since reception of multicast data addressed to any group is not permitted, it is not registered in the authentication table 31. Regarding the terminal 3 (43), as with the terminal 1 (41), the MAC address (MAC3) registration is permitted to be received in the VLAN 100 (V100) of FIG. 2 which is the VLAN to which the destination group address of the multicast data belongs ( The second row of the table).

図3の例では、端末1(41)は、VLAN100ではグループ1宛てのマルチキャストデータを受信可能であるが、VLAN200については、認証テーブル31に登録されていないためグループ1のマルチキャストデータをVLAN200で受信することはできない。   In the example of FIG. 3, the terminal 1 (41) can receive multicast data addressed to the group 1 in the VLAN 100, but the VLAN 200 is not registered in the authentication table 31, so the multicast data of the group 1 is received by the VLAN 200. I can't do it.

また、グループ2(G2)のマルチキャストデータについては、例えば、端末3(MAC3)がVLAN100で受信可能となっている(テーブルの第4行)。例えば、グループ2のマルチキャストデータについては、端末1(41)は受信許可されていないため認証テーブル31に登録されていない。このようにマルチキャストグループ毎に受信可能な端末を設定することができる。   In addition, for the multicast data of group 2 (G2), for example, the terminal 3 (MAC3) can be received by the VLAN 100 (the fourth row of the table). For example, the multicast data of group 2 is not registered in the authentication table 31 because the terminal 1 (41) is not permitted to receive. In this way, it is possible to set a terminal capable of receiving for each multicast group.

さらに、マルチキャストデータ受信が許可された端末のMACアドレスに対して宛先グループアドレスとVLANが設定される以外にも、全てのグループアドレス宛のマルチキャストデータをどのVLANでも受信可能とするMACアドレスの登録も可能である。また、特定のグループアドレス宛のマルチキャストデータをどのVLANでも受信可能とする登録や、全てのグループアドレス宛のマルチキャストデータを特定のVLANでも受信可能とするなどの登録も可能である。図3の例では、端末3のMACアドレス(MAC3)は、グループ3(G3)の宛先グループアドレスについては、どのVLANでも受信許可という設定になっている(テーブルの第5行)。要するに端末に対するMACアドレスの設定が宛先グループアドレスとVLANを自由に選択することが可能である。なお、上述のテーブル構成の例は一例であり、上述のエントリが全て記憶されていなくても良い。   Furthermore, in addition to setting the destination group address and VLAN for the MAC address of the terminal that is permitted to receive multicast data, MAC address registration that allows multicast data addressed to all group addresses to be received by any VLAN is also possible. Is possible. Further, it is possible to perform registration such that multicast data addressed to a specific group address can be received by any VLAN, or multicast data addressed to all group addresses can be received by a specific VLAN. In the example of FIG. 3, the MAC address (MAC3) of the terminal 3 is set to allow reception in any VLAN for the destination group address of the group 3 (G3) (the fifth row of the table). In short, it is possible to freely select the destination group address and the VLAN for the setting of the MAC address for the terminal. Note that the above-described example of the table configuration is an example, and not all of the above-described entries may be stored.

図4は、スイッチ(30)のMACアドレスフォワーディングテーブルの説明図である。
フォワーディングテーブル32は、例えば、マルチキャストデータのグループアドレスに対応して、マルチキャストデータを送信するポートのポート識別子が記憶される。さらに、ポート識別子に対応したVLANのVLAN IDが記憶されてもよい。ここでは、グループアドレスとして、図3の宛先グループアドレス(例えば、IPアドレス)から生成したMACアドレスを用いている。マルチキャストIPアドレスをMACアドレスに変換する方法については、適宜の手法を用いることができる。なお、IPアドレスを用いるようにしてもよい。 FIG. 4 is an explanatory diagram of the MAC address forwarding table of the switch (30).
The forwarding table 32 stores, for example, a port identifier of a port that transmits multicast data corresponding to the group address of the multicast data. Further, the VLAN ID of the VLAN corresponding to the port identifier may be stored. Here, the MAC address generated from the destination group address (for example, IP address) in FIG. 3 is used as the group address. As a method for converting a multicast IP address into a MAC address, an appropriate method can be used. An IP address may be used.

通常、IGMP/MLD snoopingが動作していないスイッチでは、マルチキャストデータに対するMACアドレスフォワーディングテーブル32のエントリは作成されない。これは、スイッチの特性で、VLANに所属する物理ポートからマルチキャストデータを受信した際、同VLANに所属するすべての物理ポートに対して当該マルチキャストデータを中継する(これをフラッディングという)。この特性を抑止するためにIGMP/MLD snooping機能では、membership reportを受信したポートに対してのみマルチキャストMACアドレスをMACアドレスフォワーディングテーブルに登録する。これによりmembership reportによってマルチキャストデータを要求していないポートへのフラッディングを抑止する。   Normally, an entry of the MAC address forwarding table 32 for multicast data is not created in a switch in which IGMP / MLD snooping is not operating. This is a switch characteristic, and when multicast data is received from a physical port belonging to the VLAN, the multicast data is relayed to all physical ports belonging to the VLAN (this is called flooding). In order to suppress this characteristic, in the IGMP / MLD snooping function, a multicast MAC address is registered in the MAC address forwarding table only for a port that has received a membership report. As a result, flooding to a port that has not requested multicast data is suppressed by membership report.

本実施の形態においては、membership report(D20)を送信してくる端末に対し、上述の認証テーブル31を参照して、受信許可された端末及びVLANであるか判断し、許可された端末であればフォワーディングテーブル32に宛先MACアドレス、送信ポート、VLAN ID等を記憶する。これにより、マルチキャストデータを受信した際に、スイッチ30は、フォワーディングテーブル32を参照して、受信許可された端末に対応するポートにのみデータを出力できる。   In the present embodiment, a terminal that transmits a membership report (D20) is referred to the above-described authentication table 31 to determine whether the terminal is a reception-permitted terminal or a VLAN. For example, the destination MAC address, transmission port, VLAN ID, etc. are stored in the forwarding table 32. Thereby, when receiving multicast data, the switch 30 refers to the forwarding table 32 and can output data only to the port corresponding to the terminal permitted to receive.

本例においては、図2に示すVLAN100では、membership report(D20)を送信してくる端末1(41)と端末2(42)がいるが、図3の認証テーブル31において端末1(41)のMACアドレスのみ認証設定で許可されているため、図4のMACアドレスフォワーディングテーブル32には、端末1(41)が所属するVLAN100、且つポート1(P1)向けにMACアドレスM100が登録される。これにより、ルーター20から宛先MACアドレスM100宛てのマルチキャストデータ(D10)を受信したスイッチ30は、MACアドレスフォワーディングテーブル32を参照し、端末1(41)を収容するポート1(P1)に対してのみマルチキャストデータ(D10)を送信する。なお、MACアドレスフォワーディングテーブル32に、同一の宛先MACアドレスに対して複数の送信ポートが記憶されている場合には、スイッチ30は、受信されたマルチキャストデータを適宜コピーして送信できる。   In this example, in the VLAN 100 shown in FIG. 2, there are a terminal 1 (41) and a terminal 2 (42) that transmit a membership report (D20). In the authentication table 31 of FIG. Since only the MAC address is permitted by the authentication setting, the MAC address M100 is registered in the MAC address forwarding table 32 of FIG. 4 for the VLAN 100 to which the terminal 1 (41) belongs and for the port 1 (P1). Thus, the switch 30 that has received the multicast data (D10) addressed to the destination MAC address M100 from the router 20 refers to the MAC address forwarding table 32 and only to the port 1 (P1) that accommodates the terminal 1 (41). Multicast data (D10) is transmitted. When a plurality of transmission ports are stored for the same destination MAC address in the MAC address forwarding table 32, the switch 30 can appropriately copy and transmit the received multicast data.

(認証・登録処理)
次に、本実施の形態において、スイッチ30が端末のMACアドレス認証をする際のフローについて説明する。
図5は、MACアドレス認証時のスイッチ30の動作フローチャートである。
まず、スイッチ30は、端末から送信されたIGMP/MLD membership reportを受信する(F10)。例えば、複数のポートのうちのひとつ(ここでは例えばポートxとする)を介して受信する。IGMP/MLD membership reportは、例えば、送信元MACアドレスと、端末が配信を要求するマルチキャストデータの宛先グループアドレスを含む。また、VLANに関するデータが含まれていても良い。ここで、送信元MACアドレスは、端末のMACアドレスである。 (Authentication / registration process)
Next, a flow when the switch 30 performs terminal MAC address authentication in the present embodiment will be described.
FIG. 5 is an operation flowchart of the switch 30 at the time of MAC address authentication.
First, the switch 30 receives the IGMP / MLD membership report transmitted from the terminal (F10). For example, reception is performed via one of a plurality of ports (here, for example, port x). The IGMP / MLD membership report includes, for example, a transmission source MAC address and a destination group address of multicast data that the terminal requests for distribution. Further, data related to the VLAN may be included. Here, the source MAC address is the MAC address of the terminal.

スイッチ30は、受信したIGMP/MLD membership reportに含まれる宛先グループアドレスが認証対象か判断する(F20)。例えば、認証対象の宛先グループアドレスを予め記憶しておき、これと比較することができる。   The switch 30 determines whether the destination group address included in the received IGMP / MLD membership report is an authentication target (F20). For example, a destination group address to be authenticated can be stored in advance and compared with this.

スイッチ30は、ステップF20においてNOである場合は、認証対象ではない宛先グループアドレス宛のIGMP/MLD membership reportであるため、未認証で通信の許可をするか判定を行う(F30)。未認証の通信を許可するか否かは、予め設定されることができる。スイッチ30は、ステップF30の判定がYESである場合は、ルーター20に対して、受信されたIGMP/MLD membership reportを送信する(F40)。この場合、ルーター20から受信したデータについて、受信要求を送信した端末に対して当該データの中継を行う。   If NO in step F20, the switch 30 determines whether to permit communication without authentication because it is an IGMP / MLD membership report addressed to a destination group address that is not an authentication target (F30). Whether to allow unauthenticated communication can be set in advance. If the determination in step F30 is YES, the switch 30 transmits the received IGMP / MLD membership report to the router 20 (F40). In this case, the data received from the router 20 is relayed to the terminal that transmitted the reception request.

一方、認証対象ではない宛先グループアドレス宛の通信を、未認証では通信させないという設定も可能である。その場合は、スイッチ30では、ステップF30の判定がNOとなり、IGMP/MLD membership reportをルーターに対して送信せず、スイッチ30で破棄する(F60)。また、スイッチ30は、IGMP/MLD membership reportを受信したポートに対しても、MACアドレスフォワーディングテーブル32に当該マルチキャストMACアドレスを登録しない。このためスイッチ30は、受信要求を出した端末に対してデータを中継しない。   On the other hand, it is also possible to set so that communication addressed to a destination group address that is not subject to authentication is not allowed to communicate without authentication. In this case, the switch 30 determines NO in step F30 and does not transmit the IGMP / MLD membership report to the router, but discards it in the switch 30 (F60). Also, the switch 30 does not register the multicast MAC address in the MAC address forwarding table 32 even for the port that has received the IGMP / MLD membership report. For this reason, the switch 30 does not relay data to the terminal that has issued the reception request.

ステップF20において、スイッチ30がIGMP/MLD membership reportの宛先グループアドレスが認証対象であると判断した場合(F20、YES)、ステップF80に移る。ステップF80では、スイッチ30は、端末から受信したIGMP/MLD membership reportパケットのEthernet(登録商標)ヘッダから、送信元MACアドレスを取得する(F80)。また、スイッチ30は、例えば、IGMP/MLD membership reportパケットを受信したポートxから、そのポートxが属するVLANのVLAN IDを特定する。例えば、ポートと、そのポートが属するVLANのVLAN IDが対応して管理されており、これを参照することによりVLAN IDを特定できる。   When the switch 30 determines in step F20 that the destination group address of the IGMP / MLD member report is the authentication target (F20, YES), the process proceeds to step F80. In Step F80, the switch 30 acquires the source MAC address from the Ethernet (registered trademark) header of the IGMP / MLD membership report packet received from the terminal (F80). For example, the switch 30 identifies the VLAN ID of the VLAN to which the port x belongs from the port x that has received the IGMP / MLD member report report packet. For example, the port and the VLAN ID of the VLAN to which the port belongs are managed correspondingly, and the VLAN ID can be specified by referring to this.

スイッチ30は、取得された送信元MAC addressを認証におけるキーとし、端末の認証判定を行う(F90)。例えば、スイッチ30は、認証テーブル31を参照し、受信されたIGMP/MLD membership reportパケットに含まれる宛先グループアドレスについて、取得された端末のMACアドレスと、特定されたVLAN IDとの組が、認証テーブル31に記憶されているか判断する。スイッチ30は、MACアドレスとVLAN IDの組が記憶されていれば(F90、YES)、例えば、受信許可されたMACアドレス又は端末と判断し、一方、記憶されていなければ(F90、NO)、受信許可されていないMACアドレス又は端末と判断する。   The switch 30 uses the acquired transmission source MAC address as a key for authentication, and performs terminal authentication determination (F90). For example, the switch 30 refers to the authentication table 31 and, for the destination group address included in the received IGMP / MLD member report report packet, the combination of the acquired terminal MAC address and the specified VLAN ID is authenticated. Whether it is stored in the table 31 is determined. If the combination of the MAC address and the VLAN ID is stored (F90, YES), for example, the switch 30 determines that the MAC address or the terminal is permitted to receive, and if not stored (F90, NO), It is determined that the MAC address or terminal is not permitted to receive.

スイッチ30は、本判定において、許可されないMACアドレスであった場合は(F90、NO)、端末からのIGMP/MLD membership reportを破棄し、MACアドレステーブルに当該ポート宛の宛先MACアドレスを登録しない(F100)。これにより、未許可端末への当該データの配信をしない。   If the MAC address is not permitted in this determination (F90, NO), the switch 30 discards the IGMP / MLD membership report from the terminal and does not register the destination MAC address addressed to the port in the MAC address table ( F100). Thereby, the data is not distributed to the unauthorized terminal.

一方、スイッチ30は、ステップF90の認証にて、許可されたMACアドレス又は端末と判断された場合は(F90、YES)、既に当該宛先グループアドレス宛のデータを受信している端末がいるかどうかの判定を行う(F120)。例えば、データの受信履歴を記憶してこれを参照してもよいし、マルチキャストグループ毎にデータを受信していることを示すフラグを設けてもよい。既に当該宛先グループアドレス宛のデータを受信している端末がいる場合は(F120、YES)、スイッチ30が当該データをルーター20から受信しているため、ルーター20に対してIGMP/MLD membership reportを送信する必要がない。スイッチ30は、フォワーディングテーブル32の登録処理を開始する(F130)。具体的には、スイッチ30は、MACアドレスフォワーディングテーブル32に、受信許可されたマルチキャストMACアドレス、IGMP/MLD membership reportを受信した物理ポート番号、適用するVLANを登録する(F140)。ここで、マルチキャストMACアドレスは、受信されたIGMP/MLD membership reportに含まれる宛先グループアドレスを、例えば、IPアドレスからMACアドレスに変換して記憶できる。なお、変換処理については、従来と同様の手法を用いることができる。MACアドレスフォワーディングテーブル32に上記情報が登録されたことで、認証・登録処理を完了する(F150)。なお、本実施の形態において、認証と登録をあわせて認証処理と称することもある。   On the other hand, if the switch 30 determines in the authentication in step F90 that the MAC address or the terminal is permitted (F90, YES), whether or not there is a terminal that has already received data addressed to the destination group address. A determination is made (F120). For example, data reception history may be stored and referred to, or a flag indicating that data is received for each multicast group may be provided. If there is a terminal that has already received the data addressed to the destination group address (F120, YES), since the switch 30 has received the data from the router 20, an IGMP / MLD member report is sent to the router 20. There is no need to send. The switch 30 starts registration processing of the forwarding table 32 (F130). Specifically, the switch 30 registers in the MAC address forwarding table 32 the multicast MAC address permitted to be received, the physical port number that received the IGMP / MLD membership report, and the VLAN to be applied (F140). Here, the multicast MAC address can be stored by converting the destination group address included in the received IGMP / MLD membership report from an IP address to a MAC address, for example. For the conversion process, a method similar to the conventional method can be used. When the information is registered in the MAC address forwarding table 32, the authentication / registration process is completed (F150). In the present embodiment, authentication and registration may be collectively referred to as authentication processing.

一方、スイッチ30は、ステップF120において当該グループに参加している端末が他にいないと判断した場合(F120、NO)、端末からのIGMP/MLD membership reportをルーター20へ中継する(F190)。これにより、スイッチ30は、ルーター20から当該グループアドレス宛のマルチキャストデータを受信することが可能となる。なお、ステップF200からF220の動作に関しては、上述のステップF130からF180までの動作と同様である。   On the other hand, when the switch 30 determines in step F120 that there are no other terminals participating in the group (F120, NO), the switch 30 relays the IGMP / MLD membership report from the terminal to the router 20 (F190). As a result, the switch 30 can receive the multicast data addressed to the group address from the router 20. The operations from Step F200 to F220 are the same as the operations from Step F130 to F180 described above.

(転送処理)
図6は、マルチキャストデータの転送処理のフローチャートである。ここでは、上述の認証・登録処理により、すでにMACアドレスフォワーディングテーブル32にデータが登録されているものとして説明する。 (Transfer process)
FIG. 6 is a flowchart of multicast data transfer processing. Here, it is assumed that data has already been registered in the MAC address forwarding table 32 by the above-described authentication / registration process.

まず、スイッチ30は、宛先グループアドレスを含むマルチキャストデータをルーター20から受信する(F160)。次に、スイッチ30は、MACアドレスフォワーディングテーブル32に従い、宛先グループアドレスに対応する物理ポートxを特定し、その物理ポートxを介して端末にマルチキャストデータを送信する(F170)。なお、宛先グループアドレスに対応する物理ポートが複数ある場合には、スイッチは、マルチキャストデータを適宜コピーして送信する。これにより、受信許可された端末が、所定のVLANでマルチキャストデータを受信可能となる。   First, the switch 30 receives multicast data including the destination group address from the router 20 (F160). Next, the switch 30 specifies the physical port x corresponding to the destination group address in accordance with the MAC address forwarding table 32, and transmits multicast data to the terminal via the physical port x (F170). If there are a plurality of physical ports corresponding to the destination group address, the switch appropriately copies and transmits the multicast data. As a result, a terminal that is permitted to receive can receive multicast data in a predetermined VLAN.

図7は、グループメンバー登録許可時のシーケンス図である。
例えば、端末1(41)を例に説明する。まず、端末1(41)は、システムへのログイン認証(F1)を行う。その際、一例としてDHCPにおいて登録されたMACアドレスのみにIPアドレス配布可能なシステム認証とすることができる。このシステムへのログイン認証は,データ種別に関係ないものである。その後、通信が許可された端末1(41)は、システム内への通信はすべて認められる。 FIG. 7 is a sequence diagram when permitting group member registration.
For example, the terminal 1 (41) will be described as an example. First, the terminal 1 (41) performs login authentication (F1) to the system. At that time, as an example, system authentication can be made such that an IP address can be distributed only to a MAC address registered in DHCP. This system login authentication is not related to the data type. Thereafter, the terminal 1 (41) permitted to communicate is allowed to communicate with the system.

この状態で、規定の時間からマルチキャストデータ配信(マルチキャスト)が開始されると、ルーター20はマルチキャストデータの受信に従い、スイッチ30に向けてGeneral Queryを、例えば定期送信する。これをスイッチ30は、各ポートに接続された端末1(41)等に送信し、グループへ参加するか問い合わせる。   In this state, when multicast data distribution (multicast) is started from a specified time, the router 20 transmits a general query to the switch 30 according to reception of the multicast data, for example, periodically. The switch 30 transmits this to the terminal 1 (41) connected to each port and inquires whether to join the group.

その後、例えば、端末1(41)は、グループへの参加を希望する場合、例えば、ユーザからの入力に従いIGMP/MLD membership reportを送信することで、現在配信中のマルチキャストデータに対してグループ参加要求(マルチキャストデータの受信要求)を行う。そのパケットをポート1を介してスイッチ30が受け取る。スイッチ30は、IGMP/MLD membership reportパケットをsnoopingし、そのsource MACアドレスがマルチキャストデータ配信許可の対象となっているかを、自らが管理する認証設定に一致するかを確認する。この処理は、図5に示す処理に対応する。   Thereafter, for example, when the terminal 1 (41) desires to participate in the group, for example, by transmitting an IGMP / MLD membership report in accordance with an input from the user, a group participation request is made for the multicast data currently being distributed. (Receiving request for multicast data). The switch 30 receives the packet via port 1. The switch 30 snoops the IGMP / MLD membership report packet, and confirms whether the source MAC address matches the authentication setting managed by the switch 30 itself. This process corresponds to the process shown in FIG.

この例では、端末1(41)のsource MACアドレスは、予め設定にて許可されているため、そのIGMP/MLD membership reportをスイッチ30は、ルーター20に中継する。ルーター20は、IGMP/MLD membership reportを受信し、グループメンバー登録することで、マルチキャスト送信者10からのマルチキャストデータをスイッチ30に対して中継する。なお、ここで、ルーター20は、マルチキャストデータの宛先アドレスをIPのグループアドレスからMACアドレスを生成する。   In this example, since the source MAC address of the terminal 1 (41) is permitted by setting in advance, the switch 30 relays the IGMP / MLD membership report to the router 20. The router 20 receives the IGMP / MLD member report and relays multicast data from the multicast sender 10 to the switch 30 by registering as a group member. Here, the router 20 generates a MAC address from the IP group address as the destination address of the multicast data.

スイッチ30は、MACアドレスフォワーディングテーブル32に従い、受信要求のあった端末1(41)が接続されているポート1に対してマルチキャストデータの中継を行い、ここでは他のポートには中継はしない。
これにより、スイッチ30におけるマルチキャストデータ認証を動作可能とする。 In accordance with the MAC address forwarding table 32, the switch 30 relays multicast data to the port 1 to which the terminal 1 (41) that requested reception is connected, and does not relay to other ports here.
This enables multicast data authentication in the switch 30 to operate.

図8は、グループメンバー登録未許可時のシーケンスである。
例えば、端末2(42)を例に説明する。まず、端末2(42)は、システムへのログイン認証(F1)を行う。その際、一例としてDHCPにおいて登録されたMACアドレスのみにIPアドレス配布可能なシステム認証とすることができる。このシステムへのログイン認証は,データ種別に関係ないものである。その後、通信が許可された端末2(42)は、システム内への通信が認められる。 FIG. 8 is a sequence when group member registration is not permitted.
For example, the terminal 2 (42) will be described as an example. First, the terminal 2 (42) performs login authentication (F1) to the system. At that time, as an example, system authentication can be made such that an IP address can be distributed only to a MAC address registered in DHCP. This system login authentication is not related to the data type. Thereafter, the terminal 2 (42) permitted to communicate is allowed to communicate into the system.

この状態で、規定の時間からマルチキャストデータ配信(マルチキャスト)が開始されると、ルーター20はマルチキャストデータの受信に従い、スイッチ30に向けてGeneral Queryを、例えば定期送信する。これをスイッチ30は、各ポートに接続された端末2(42)等に送信し、グループへ参加するか問い合わせる。   In this state, when multicast data distribution (multicast) is started from a specified time, the router 20 transmits a general query to the switch 30 according to reception of the multicast data, for example, periodically. The switch 30 transmits this to the terminal 2 (42) connected to each port and inquires whether to join the group.

その後、例えば、端末2(42)は、グループへの参加を希望する場合、例えば、ユーザからの入力に従いIGMP/MLD membership reportを送信することで、現在配信中のマルチキャストデータに対してグループ参加要求(マルチキャストデータの受信要求)を行う。そのパケットをポート1を介してスイッチ30が受け取る。スイッチ30は、IGMP/MLD membership reportパケットをsnoopingし、そのsource MACアドレスがマルチキャストデータ配信許可の対象となっているかを、自らが管理する認証設定に一致するかを確認する。この処理は、図5に示す処理に対応する。   Thereafter, for example, when the terminal 2 (42) desires to participate in the group, for example, by transmitting IGMP / MLD membership report according to the input from the user, the group participation request for the currently distributed multicast data is performed. (Receiving request for multicast data). The switch 30 receives the packet via port 1. The switch 30 snoops the IGMP / MLD membership report packet, and confirms whether the source MAC address matches the authentication setting managed by the switch 30 itself. This process corresponds to the process shown in FIG.

端末2(42)のsource MACアドレスは、スイッチ30の設定で許可されていないためそのIGMP/MLD membership reportをスイッチ30は、ルーター20に中継せず、廃棄する。   Since the source MAC address of the terminal 2 (42) is not permitted by the setting of the switch 30, the switch 30 does not relay the IGMP / MLD membership report to the router 20, but discards it.

これによりルーター20では、端末からのグループ参加要求が受信されてないため、マルチキャストデータをスイッチ30に対して配信しない。また、すでに同一のグループに対して参加している他の端末がいる場合、スイッチ30には、マルチキャストデータが届いているが、端末2(42)が接続されているポート2に対して当該データのマルチキャストMACアドレスをフォワーディングテーブル32に設定しないため、端末2(42)へはマルチキャストデータを中継しない。
これにより、スイッチ30におけるマルチキャストデータ認証を動作可能とする。 As a result, the router 20 does not receive the group participation request from the terminal, and therefore does not distribute multicast data to the switch 30. If there is another terminal already participating in the same group, the multicast data has arrived at the switch 30, but the data is transmitted to the port 2 to which the terminal 2 (42) is connected. Is not set in the forwarding table 32, multicast data is not relayed to the terminal 2 (42).
This enables multicast data authentication in the switch 30 to operate.

本発明は、例えば、IPネットワークシステムにおいて、マルチキャスト配信を行う際に利用可能である。   The present invention can be used, for example, when performing multicast distribution in an IP network system.

従来のマルチキャスト動作概要図。The conventional multicast operation | movement schematic diagram. マルチキャストユーザ認証のシステム構成及び動作概要図。The system configuration | structure and operation | movement outline | summary figure of multicast user authentication. スイッチの認証テーブルの説明図。Explanatory drawing of the authentication table of a switch. MACアドレスフォワーディングテーブルの説明図。Explanatory drawing of a MAC address forwarding table. MACアドレス認証時の動作フローチャート。The operation | movement flowchart at the time of MAC address authentication. マルチキャストデータの転送フローチャート。7 is a multicast data transfer flowchart. グループメンバー登録許可時の認証シーケンス図。The authentication sequence figure at the time of group member registration permission. グループメンバー登録未許可時の認証シーケンス図。The authentication sequence figure at the time of group member registration non-permission.

符号の説明Explanation of symbols

10:マルチキャストを配信する装置(マルチキャスト送信者)
20:ルーター
30:スイッチ
31:認証テーブル
32:MACアドレスフォワーディングテーブル
41〜43:端末
10: Multicast distribution device (multicast sender)
20: Router 30: Switch 31: Authentication table 32: MAC address forwarding table 41-43: Terminal

Claims (7)

マルチキャストデータを受信するための第1のポートと、該マルチキャストデータを端末に送信するための複数の第2のポートとを有し、前記第2のポートのひとつ又は複数を含む仮想ネットワークが複数構成されるための複数のポートと、
マルチキャストデータのグループを識別するグループ識別子に対応して、該グループのマルチキャストデータを特定の仮想ネットワークにおいて受信することが予め許可された前記端末のアドレスと、該仮想ネットワークの識別子との組が記憶された認証テーブルと、
マルチキャストデータのグループ識別子に対応して、受信された該グループのマルチキャストデータを送信するための前記第2のポートのポート識別子が記憶されるフォワーディングテーブルと、
前記端末からのマルチキャストデータの配信要求に対して、受信が許可されているか否かを判断するための認証処理、及び、受信されたマルチキャストデータを前記フォワーディングテーブルに従い前記端末へ送信する転送処理を行う処理部と
を備え
前記認証処理は、前記処理部が、
前記端末から、グループ識別子と前記端末のアドレスとを含む配信要求を、前記第2のポートのひとつを介して受信することと、
該配信要求を受信した前記第2のポートに基づき、該第2のポートが属する仮想ネットワークの識別子を特定することと、
前記認証テーブルを参照し、受信された配信要求に含まれるグループ識別子に対応して、配信要求に含まれる前記端末のアドレスと特定された仮想ネットワークの識別子との組が記憶されているか判断することと、
前記認証テーブルに記憶されていると判断されると、受信された配信要求に含まれるグループ識別子と、配信要求を受信した前記第2のポートのポート識別子とを、前記フォワーディングテーブルに記憶し、及び、前記認証テーブルに記憶されていないと判断されると、受信された配信要求を廃棄すること
を含む通信装置。 A plurality of virtual networks having a first port for receiving multicast data and a plurality of second ports for transmitting the multicast data to the terminal, and including one or more of the second ports Multiple ports to be
Corresponding to a group identifier for identifying a group of multicast data, a set of the address of the terminal that is permitted in advance to receive the multicast data of the group in a specific virtual network and the identifier of the virtual network is stored. Authentication table,
A forwarding table in which a port identifier of the second port for transmitting the received multicast data of the group is stored corresponding to the group identifier of the multicast data;
In response to a multicast data distribution request from the terminal, an authentication process for determining whether or not reception is permitted, and a transfer process for transmitting the received multicast data to the terminal according to the forwarding table A processing unit, wherein the authentication process is performed by the processing unit,
Receiving from the terminal a distribution request including a group identifier and the address of the terminal via one of the second ports;
Identifying an identifier of a virtual network to which the second port belongs based on the second port that has received the distribution request;
Referencing the authentication table and determining whether a set of the address of the terminal and the identified virtual network identifier included in the distribution request is stored corresponding to the group identifier included in the received distribution request When,
If determined to be stored in the authentication table, the group identifier included in the received distribution request and the port identifier of the second port that has received the distribution request are stored in the forwarding table; and And a communication device including discarding the received distribution request when it is determined that it is not stored in the authentication table. 前記転送処理は、前記処理部が、
マルチキャストデータを配信又は転送する装置から、グループ識別子を含むマルチキャストデータを前記第1のポートを介して受信することと、
該グループ識別子に基づき前記フォワーディングテーブルを参照して、対応するひとつ又は複数のポート識別子を特定することと
特定されたポート識別子が示す前記第2のポートを介して、受信されたマルチキャストデータ又は該マルチキャストデータを複製したデータを前記端末に送信すること
を含む請求項1に記載の通信装置。 The transfer process is performed by the processing unit.
Receiving multicast data including a group identifier from the device that distributes or forwards multicast data via the first port;
By referring to the forwarding table based on the group identifier, specifying one or a plurality of corresponding port identifiers and the multicast data received via the second port indicated by the identified port identifier or the multicast The communication apparatus according to claim 1, further comprising transmitting data obtained by copying data to the terminal. 前記処理部は、
前記端末のアドレスと仮想ネットワークの識別子との組が前記認証テーブルに記憶されていると判断されると、さらに、受信された配信要求を、マルチキャストデータを配信又は転送する装置に送信し、
該配信要求を受信した該装置から、マルチキャストデータを受信する請求項2に記載の通信装置。 The processor is
When it is determined that a set of the address of the terminal and the identifier of the virtual network is stored in the authentication table, the received distribution request is further transmitted to an apparatus for distributing or transferring multicast data,
The communication apparatus according to claim 2, wherein multicast data is received from the apparatus that has received the distribution request. 前記仮想ネットワークは、予め定められたエリアにある前記端末と接続されるひとつ又は複数のポートをまとめて仮想ネットワークが構成されたものであり、
エリアに応じてマルチキャストデータの受信を許可又は拒否することを特徴とする請求項1乃至3のいずれかに記載の通信装置。 The virtual network is one in which one or a plurality of ports connected to the terminal in a predetermined area are combined to constitute a virtual network,
4. The communication apparatus according to claim 1, wherein reception of multicast data is permitted or rejected according to an area. 前記認証テーブルは、グループ識別子に対応して、第1の端末のアドレスと、仮想ネットワーク識別子とが記憶され、
前記処理部は、第2の端末から配信要求を受信すると、前記認証テーブルに従い、受信された配信要求を廃棄することを特徴とする請求項1乃至4のいずれかに記載の通信装置。 The authentication table stores an address of the first terminal and a virtual network identifier corresponding to the group identifier,
5. The communication apparatus according to claim 1, wherein when the distribution unit receives a distribution request from the second terminal, the processing unit discards the received distribution request according to the authentication table. 前記認証テーブルは、グループ識別子に対応して、第1の端末のアドレスと、第1の仮想ネットワーク識別子とが記憶され、
前記処理部は、第2の仮想ネットワークに対応する前記第2のポートを介して第1の端末から配信要求を受信すると、前記認証テーブルに従い、受信された配信要求を廃棄することを特徴とする請求項1乃至4のいずれかに記載の通信装置。 The authentication table stores an address of the first terminal and a first virtual network identifier corresponding to the group identifier,
When the processing unit receives a distribution request from the first terminal via the second port corresponding to the second virtual network, the processing unit discards the received distribution request according to the authentication table. The communication apparatus according to claim 1. マルチキャストデータを受信するための第1のポートと、該マルチキャストデータを端末に送信するための複数の第2のポートとを有する通信装置を備え、前記第2のポートのひとつ又は複数を含む仮想ネットワークが複数構成されたネットワークにおいて、
端末から、グループ識別子と端末のアドレスとを含む配信要求を受信するステップと、
該配信要求を受信したポートが属する仮想ネットワークの識別子を特定するステップと、
マルチキャストデータのグループを識別するグループ識別子に対応して、該グループのマルチキャストデータを特定の仮想ネットワークにおいて受信することが予め許可された端末のアドレスと、該仮想ネットワークの識別子との組が記憶された認証テーブルを参照し、受信された配信要求に含まれるグループ識別子に対応して、配信要求に含まれる端末のアドレスと特定された仮想ネットワークの識別子との組が記憶されているか判断するステップと、
認証テーブルに記憶されていると判断されると、受信された配信要求に含まれるグループ識別子と、配信要求を受信したポートのポート識別子とを、フォワーディングテーブルに記憶し、及び、認証テーブルに記憶されていないと判断されると、受信された配信要求を廃棄するステップと、
受信されたマルチキャストデータを、フォワーディングテーブルに従いポートに接続された端末へ送信するステップと
を含むマルチキャストユーザ認証方法。
A virtual network including a communication device having a first port for receiving multicast data and a plurality of second ports for transmitting the multicast data to a terminal, the virtual network including one or more of the second ports In a network with multiple
Receiving a delivery request including a group identifier and a terminal address from a terminal;
Identifying the identifier of the virtual network to which the port that received the distribution request belongs;
Corresponding to a group identifier for identifying a group of multicast data, a set of an address of a terminal that is permitted in advance to receive the multicast data of the group in a specific virtual network and the identifier of the virtual network is stored Referring to the authentication table and determining whether a set of the address of the terminal included in the distribution request and the identifier of the identified virtual network is stored corresponding to the group identifier included in the received distribution request;
If it is determined that it is stored in the authentication table, the group identifier included in the received distribution request and the port identifier of the port that received the distribution request are stored in the forwarding table and stored in the authentication table. If not, discarding the received delivery request;
Transmitting multicast data received to a terminal connected to the port according to a forwarding table.
JP2006231588A 2006-08-29 2006-08-29 Communication equipment and multicast user authentication method Pending JP2008060631A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006231588A JP2008060631A (en) 2006-08-29 2006-08-29 Communication equipment and multicast user authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006231588A JP2008060631A (en) 2006-08-29 2006-08-29 Communication equipment and multicast user authentication method

Publications (1)

Publication Number Publication Date
JP2008060631A true JP2008060631A (en) 2008-03-13

Family

ID=39242927

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006231588A Pending JP2008060631A (en) 2006-08-29 2006-08-29 Communication equipment and multicast user authentication method

Country Status (1)

Country Link
JP (1) JP2008060631A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008177761A (en) * 2007-01-17 2008-07-31 Fujitsu Access Ltd Ip-address delivery control system and ip-address delivery control method
WO2011114951A1 (en) * 2010-03-15 2011-09-22 ヤマハ株式会社 Communication system, switching hub, and router
JP2011217335A (en) * 2010-03-31 2011-10-27 Nextech:Kk Information processing apparatus, program, information processing method, and information processing system
US8873552B2 (en) 2012-03-19 2014-10-28 International Business Machines Corporation Unregistered multicast (MC) packet forwarding to multicast router ports
CN105516029A (en) * 2014-09-23 2016-04-20 财团法人资讯工业策进会 Network grouping system and network grouping method thereof
US9461830B2 (en) 2012-03-15 2016-10-04 Fujitsu Limited Multicast technique managing multicast address
CN109561022A (en) * 2017-09-27 2019-04-02 华为技术有限公司 A kind of multicast forward method and multicast router
CN113170005A (en) * 2018-09-13 2021-07-23 瑞典爱立信有限公司 Method and apparatus for supporting selective forwarding of messages in a network of communicatively coupled communication devices

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008177761A (en) * 2007-01-17 2008-07-31 Fujitsu Access Ltd Ip-address delivery control system and ip-address delivery control method
WO2011114951A1 (en) * 2010-03-15 2011-09-22 ヤマハ株式会社 Communication system, switching hub, and router
JP2011193261A (en) * 2010-03-15 2011-09-29 Yamaha Corp Communication system, switching hub, and router
CN102804716A (en) * 2010-03-15 2012-11-28 雅马哈株式会社 Communication system, switching hub, and router
CN102804716B (en) * 2010-03-15 2015-05-27 雅马哈株式会社 Communication system, switching hub, and router
JP2011217335A (en) * 2010-03-31 2011-10-27 Nextech:Kk Information processing apparatus, program, information processing method, and information processing system
US9461830B2 (en) 2012-03-15 2016-10-04 Fujitsu Limited Multicast technique managing multicast address
US8873552B2 (en) 2012-03-19 2014-10-28 International Business Machines Corporation Unregistered multicast (MC) packet forwarding to multicast router ports
US9197540B2 (en) 2012-03-19 2015-11-24 International Business Machines Corporation Unregistered multicast packet forwarding to multicast router ports
US9602393B2 (en) 2012-03-19 2017-03-21 International Business Machines Corporation Unregistered multicast packet forwarding to multicast router ports
CN105516029A (en) * 2014-09-23 2016-04-20 财团法人资讯工业策进会 Network grouping system and network grouping method thereof
JP2016072947A (en) * 2014-09-23 2016-05-09 財團法人資訊工業策進會 Network grouping system and network grouping method thereof
US9590921B2 (en) 2014-09-23 2017-03-07 Institute For Information Industry Network grouping system and the network grouping method thereof
CN109561022B (en) * 2017-09-27 2020-09-08 华为技术有限公司 Multicast forwarding method and multicast router
CN109561022A (en) * 2017-09-27 2019-04-02 华为技术有限公司 A kind of multicast forward method and multicast router
US11190367B2 (en) 2017-09-27 2021-11-30 Huawei Technologies Co., Ltd. Multicast forwarding method and multicast router
CN113170005A (en) * 2018-09-13 2021-07-23 瑞典爱立信有限公司 Method and apparatus for supporting selective forwarding of messages in a network of communicatively coupled communication devices
JP2021536711A (en) * 2018-09-13 2021-12-27 テレフオンアクチーボラゲット エルエム エリクソン(パブル) Methods and devices that support selective forwarding of messages over the network of communicablely coupled communication devices
JP7157242B2 (en) 2018-09-13 2022-10-19 テレフオンアクチーボラゲット エルエム エリクソン(パブル) Method and device for supporting selective forwarding of messages over a network of communicatively coupled communication devices
US11552815B2 (en) 2018-09-13 2023-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Method of and devices for supporting selective forwarding of messages in a network of communicatively coupled communication devices
CN113170005B (en) * 2018-09-13 2023-08-08 瑞典爱立信有限公司 Method and device for supporting selective forwarding of messages in a network of communicatively coupled communication devices
US11750411B2 (en) 2018-09-13 2023-09-05 Telefonaktiebolaget Lm Ericsson (Publ) Method of and devices for supporting selective forwarding of messages in a network of communicatively coupled communication devices

Similar Documents

Publication Publication Date Title
EP1715628B1 (en) A method for realizing the multicast service
US20050111474A1 (en) IP multicast communication system
Holbrook et al. Source-specific multicast for IP
JP3845086B2 (en) Controlled multicast system and method of execution
US7814311B2 (en) Role aware network security enforcement
EP2241091B1 (en) Combining locally addressed devices and wide area network (wan) addressed devices on a single network
JP2008060631A (en) Communication equipment and multicast user authentication method
US7725707B2 (en) Server, VPN client, VPN system, and software
US20080232368A1 (en) Network system
US20050080901A1 (en) Method and apparatus for controlling access to multicast data streams
CN105897444B (en) Multicast group management method and device
WO2004114619A1 (en) A method and system for controlling the multicast source
US7443851B2 (en) Device and system for multicast communication
CN102546666B (en) The method preventing IGMP from cheating and to attack and device
EP1393522A2 (en) Security in area networks
US7454518B1 (en) System, device, and method for receiver access control in a multicast communication network
JP3526027B2 (en) IP multicast route control method and router
GB2423435A (en) Access control for mobile multicast
WO2004040860A1 (en) Ip multi-cast communication system
EP2164203A1 (en) Message transmission method, device and system for implementing multicast services
JP2017121026A (en) Multicast communication device and multicast communication method
JP5553425B2 (en) Multicast distribution system, distribution router, and multicast distribution method
KR100764063B1 (en) Method for udp multicast tunneling in multicast-based multi-party collaboration environment, and system therefor
JP3500087B2 (en) Packet communication method
Holbrook et al. RFC 4607: Source-Specific Multicast for IP