JP3594391B2 - Lan集線装置 - Google Patents

Lan集線装置 Download PDF

Info

Publication number
JP3594391B2
JP3594391B2 JP34350395A JP34350395A JP3594391B2 JP 3594391 B2 JP3594391 B2 JP 3594391B2 JP 34350395 A JP34350395 A JP 34350395A JP 34350395 A JP34350395 A JP 34350395A JP 3594391 B2 JP3594391 B2 JP 3594391B2
Authority
JP
Japan
Prior art keywords
port
security
media address
group
slot
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP34350395A
Other languages
English (en)
Other versions
JPH09186713A (ja
Inventor
典弘 米田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP34350395A priority Critical patent/JP3594391B2/ja
Publication of JPH09186713A publication Critical patent/JPH09186713A/ja
Application granted granted Critical
Publication of JP3594391B2 publication Critical patent/JP3594391B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、構内交換網(LAN)に利用される集線装置のセキュリティ自動設定システムに関する。
【0002】
【従来の技術】
構内交換網(LAN)では、基幹LANにHUBと呼ばれる集線装置を接続し、この集線装置に複数の端末を接続している。
【0003】
この集線装置は、網内の他の端末、あるいは網外からの信号を受信すると、この信号を、接続されている全ての端末へ分配したり、特定の端末のみへ送信したりする装置である。
【0004】
HUBと呼ばれる集線装置には、スイッチングHUB、マルチモジュールHUB等のように、様々の種類のものがある。
また、最近では、ネットワークが拡張され、多数のユーザが参加するようになってきているため、不正なユーザが参加してきても簡単に発見することが困難になってきている。そこで、ネットワークの入り口であるHUBにセキュリティ機能をもたせ、不正アクセスを事前に防止することが重要になってきている。
【0005】
セキュリティ機能を実現させる方法としては、HUBの各ポートに接続される端末毎にメディアアドレスを登録し、信号の送受信を行う場合には、送信元の端末のアドレスと宛先の端末のアドレスとを信号に付加することを前提とし、登録されていないアドレスが付加されている信号を受信すると、その信号のデータ部分にスクランブルをかける方法や、HUBの複数のポートを一つのグループとして、複数のグループに分割し、各グループ毎にメディアアドレスを設定し、信号の送受信を行う場合には、送信元の端末のグループのメディアアドレスと宛先の端末のグループのメディアアドレスとを信号に付加することを前提とし、登録されていないアドレスが付加されている信号を受信すると、そのグループへ送受信される信号のデータ部分にスクランブルをかける方法等がある。
【0006】
【発明が解決しようとする課題】
ところで、各ポートやポートのグループ毎にメディアアドレスを設定する場合には、予めネットワーク管理者がメディアアドレスの設定及び入力を行わなければならず、作業が煩雑である上に、入力ミスの虞がある。
【0007】
そこで、本発明は、前記問題点に鑑みてなされたものであり、セキュリティ用のメディアアドレスの設定を自動的に行える技術を提供し、ネットワーク管理者にかかる負担を軽減すると共に、メディアアドレスの入力ミスを防止することを課題とする。
【0008】
【課題を解決するための手段】
本発明は、前記課題を解決するために以下のような手段を採用した。
すなわち、本発明のLAN集線装置は、端末を接続するポートを複数有する装置であり、管理テーブル、セキュリティ情報読出手段、セキュリティテーブル、及びセキュリティ実行手段を備えている。
【0009】
管理テーブルは、各ポートを特定するポート識別情報毎に、各ポートに接続されている端末のメディアアドレスを登録している。
セキュリティ情報読出手段は、管理テーブルからポート識別情報と、各ポートに接続されている端末のメディアアドレスとを読み出す。
【0010】
セキュリティテーブルは、セキュリティ情報読出手段が読み出したポート識別情報と、メディアアドレスとを登録するセキュリティテーブルと、
セキュリティ実行手段は、或るポートに、送信元の端末のメディアアドレス及び宛先の端末のメディアアドレスを付加された信号が送信されてきたときに、セキュリティテーブルを参照して、前記ポートのメディアアドレスと前記送信元の端末のメディアアドレスとが不一致ならば、前記ポートを切断する。
【0011】
また、セキュリティ情報読出手段は、一定周期毎に、管理テーブルからポート識別情報及びメディアアドレスを読み出して、セキュリティテーブルの登録内容を更新させるようにしてもよい。
【0012】
尚、セキュリティ情報読出手段は、セキュリティ実行手段が動作していない間に、セキュリティテーブルの内容を更新させることが好ましい。
さらに、セキュリティテーブルには、ポート識別情報とメディアアドレスとに加えて、登録内容の更新回数を登録するようにしてもよい。
【0013】
次に、端末を接続するポートを複数有するスロットを複数装填することができるマルチメディア型LAN集線装置の場合には、スロット管理テーブル、セキュリティ情報読出手段、グループ化手段、セキュリティテーブル、及びセキュリティ実行手段を備えるようにする。
【0014】
スロット管理テーブルは、各スロット毎に、各ポートを特定するポート識別情報と各ポートに接続されている端末のメディアアドレスとを登録するテーブルである。
【0015】
セキュリティ情報読出手段は、スロット管理テーブルからスロット識別情報と各スロットのポートに接続されている端末のメディアアドレスとを読み出す。
グループ化手段は、各スロットの属性情報に基づいて、前記端末のメディアアドレスをグループ分けして、各グループにグループ識別情報を付加する。
【0016】
セキュリティテーブルは、グループ化手段によりグループ分けされたグループのグループ識別情報毎に、各グループのメディアアドレス群を登録する。
セキュリティ実行手段は、あるグループのポートに、送信元の端末のメディアアドレス及び宛先の端末のメディアアドレスを付加された信号が送信されてきたときに、前記セキュリティテーブルを参照して、前記グループのメディアアドレス群に、前記送信元の端末のメディアアドレスと同一のメディアアドレスが登録されていなければ、前記ポートを切断する。
【0017】
【発明の実施の形態】
以下、本発明の実施形態について図面に沿って説明する。
《実施形態1》
本実施形態では、本発明のLAN集線装置として、スイッチングHUB装置を例に挙げて説明する。
【0018】
図1は、スイッチングHUB装置1を、Ethernet通信に適用した場合の概略構成を示す図である。
同図に示すように、スイッチングHUB装置1は、基幹LANを接続するためのバックボーン用ポート2と、端末を接続するための5個のポート3とを有している。
【0019】
バックボーン用ポート2には、基幹LANが接続されている。
5個の各ポート3には、本発明の端末として、パーソナルコンピュータ(PC)4が接続されている。
【0020】
ここで、各パーソナルコンピュータ(PC)4には、本発明のメディアアドレスとして、MAC(Media Access Control;媒体アクセス制御)アドレスが割り当てられている。そして、各パーソナルコンピュータ(PC)4は、データを送信する際にパケットを作成することになるが、このとき、パケットには、図2に示すように、送信元アドレス(SA)と宛先アドレス(DA)とが挿入される。
【0021】
スイッチングHUB装置1は、あるパーソナルコンピュータ(PC)4からパケットを受信すると、このパケットから宛先アドレス(DA)を抽出し、この宛先アドレスが示すパーソナルコンピュータ(PC)4のポート3を判別する。そして、スイッチングHUB装置1は、宛先アドレス(DA)が示すポート3と、前記パケットを受信したポート3とを接続(スイッチング)し、受信したパケットを宛先のパーソナルコンピュータ(PC)4へ送信することができるようになっている。
【0022】
図3は、本実施形態におけるスイッチングHUB装置の概略構成を示す図である。
スイッチングHUB装置1は、基幹LANとのインタフェース処理を行うLANインタフェース部5と、LANインタフェース部5とポート3との接続/切断あるいはポート3間の接続/切断を切り換えるスイッチング回路6と、スイッチング回路6の動作を制御するコントロール回路7とを備えている。
【0023】
コントロール回路7は、図4に示すように、CPU7a、RAM7b、及びROM7cをバスで接続して構成されている。
RAM7bには、図5に示すように、管理テーブル70とセキュリティテーブル71とが格納されている。
【0024】
管理テーブル70は、各ポート3を特定するポート番号毎に、各ポート3に接続されているパーソナルコンピュータ(PC)4のMACアドレスを含む情報を登録している。
【0025】
セキュリティテーブル71は、各ポート3を特定するポート番号毎に、各ポート3に接続されているパーソナルコンピュータ(PC)4のMACアドレスのみを登録している。
【0026】
図4に戻ってROM7cは、CPU7aが実行すべきアプリケーションプログラムを格納している。
ここで、CPU7aがROM7cのアプリケーションプログラムを実行することにより、実現される機能について図6に沿って説明する。
【0027】
即ち、CPU7aがROM7cのアプリケーションプログラムを実行することにより、本発明のセキュリティ情報読出手段としてのセキュリティ情報読出部と、本発明のセキュリティ実行手段としてのセキュリティ実行部と、スイッチング処理部とが実現される。
【0028】
セキュリティ情報読出部は、スイッチングHUB1のセキュリティ機能がオンになると(図示しない入力装置からセキュリティ機能の起動命令が入力されると)、RAM7bの管理テーブル70から各ポートのポート番号と各ポートに接続されているパーソナルコンピュータ(PC)4のMACアドレスとを読み出し、セキュリティテーブル71上に登録する。
【0029】
セキュリティ実行部は、あるポート3にパケットが入力されると、このポートのポート番号を判別すると共に、入力されたパケットから送信元アドレス(SA)を読み出す。そして、セキュリティ実行部は、判別されたポート番号をキーワードにしてセキュリティテーブル71へアクセスし、前記ポート番号に対応するMACアドレスを読み出す。そして、パケットから読み出された送信元アドレス(SA)とセキュリティテーブル71から読み出されたMACアドレスとが一致するか否かを判別する。そして、セキュリティ実行部は、双方のアドレスが一致すれば、スイッチング処理部に対して、前記ポートと、宛先のパーソナルコンピュータ(PC)が接続されているポートとの接続を依頼する。一方、双方のアドレスが不一致ならば、スイッチング処理部に対して、前記ポートの切断を依頼する。
【0030】
スイッチング処理部は、セキュリティ実行部からポートの接続を依頼されると、入力したパケットから宛先アドレス(DA)を読み出し、この宛先アドレス(DA)をキーワードにして管理テーブル70へアクセスする。そして、スイッチング処理部は、前記宛先アドレス(DA)に対応するポート番号を判別する。そして、スイッチング処理部は、スイッチング回路6を動作させて、前記パケットを入力したポートと前記宛先アドレス(DA)に対応するポートとを接続させる。
【0031】
一方、スイッチング処理部は、セキュリティ実行部からポートの切断を依頼されると、前記ポートの接続処理は行わない。
以下、本実施形態におけるセキュリティ情報の自動設定処理について図7のフローチャートに沿って説明する。
【0032】
図示しない入力装置からセキュリティ機能の起動命令が入力されると、CPU7aは、ROM7cのアプリケーションプログラムを実行して、以下の処理を実現する。
【0033】
すなわち、CPU7aは、RAM7bの管理テーブル70へアクセスして、各ポート3のポート番号と各ポート3に接続されているパーソナルコンピュータ(PC)4のMACアドレスとを読み出す(ステップ701)。
【0034】
管理テーブル70から読み出されたポート番号とMACアドレスとは、RAM7bのセキュリティテーブル71へ書き込まれる(ステップ702)。
このとき、セキュリティテーブル71に書き込まれたポート番号とMACアドレスとは、固定値になり(ステップ703)、これ以降、スイッチングHUB装置1のセキュリティ機能が起動される(ステップ704)。ここでいう、セキュリティ機能とは、前述のセキュリティ実行部により実現される機能をいう。
【0035】
また、管理テーブル70の内容が更新・変更された場合などには、セキュリティ機能を一旦停止して、再度セキュリティ機能の起動命令を入力すれば、前述のステップ701〜ステップ703の処理が繰り返し実行されるので、更新・変更された管理テーブル70の内容が、自動的にセキュリティテーブル71に反映される。
【0036】
以上、本実施態様によれば、従来、手作業により作成していたセキュリティテーブルを自動的に作成することができる。
《実施形態2》
本実施態様におけるスイッチングHUB装置は、前述の実施態様1の構成に対して、コントロール回路7の構成が異なっており、その他の構成は同一である。
【0037】
ここで、本実施態様におけるコントロール回路7の構成を図8に示す。
同図に示すように、コントロール回路7は、前述の実施態様1の構成に加えて、タイマ7dを備えている。このタイマ7dは、一定時間を計時するものであり、セキュリティ機能がオフ状態の時に、起動される。そして、タイマ7dが一定時間を計時すると、CPU7aは、セキュリティテーブル71の内容を更新するようになっている。即ち、セキュリティテーブル71に、ポート番号とMACアドレスとが一旦登録された後に、セキュリティ機能がオフ状態になっていると、CPU7aは、タイマ7dを起動する。そして、CPU7aは、タイマ7dが一定時間を計時し終わると、再度RAM7bの管理テーブル70からポート番号とMACアドレスとを読み出し、セキュリティテーブル71に上書きする。
【0038】
以下、本実施形態におけるセキュリティ情報の自動設定処理について図9に沿って説明する。
CPU7aは、図示しない入力装置からセキュリティ機能の起動命令が入力させると、ROM7cのアプリケーションプログラムを実行することにより、以下の処理を実現する。
【0039】
すなわち、CPU7aは、RAM7bの管理テーブル70へアクセスし、各ポートのポート番号と、各ポートに接続されているパーソナルコンピュータ(PC)4のMACアドレスを読み出す(ステップ901)。
【0040】
管理テーブル70から読み出されたポート番号とMACアドレスとは、RAM7bのセキュリティテーブル71に書き込まれる(ステップ902)。
ここで、CPU7aは、再度、セキュリティ機能が引き続き起動状態にあるか、あるいは停止命令が入力されたかを判別する(ステップ903)。
【0041】
ここで、セキュリティ機能が引き続き起動状態にあれば、CPU7aは、セキュリティテーブル71の内容を固定値として(ステップ904)、セキュリティ機能を開始する(ステップ905)。
【0042】
一方、前述のステップ904において、セキュリティ機能の停止命令が入力されていれば、タイマ7dを起動する(ステップ906)。そして、タイマ7dが一定時間の計時を終了すると、CPU7aは、前述のステップ901以降の処理を繰り返し実行する。
【0043】
以上、本実施形態によれば、セキュリティテーブル71の登録内容を、自動的に更新・変更することができ、オペレータにかかる負担をより軽減することができる。
【0044】
《実施形態3》
本実施態様におけるスイッチングHUB装置は、前述の実施態様2の構成と同様であるが、コントロール回路7のタイマ7dは、セキュリティ機能がオン状態のときに起動される。そして、タイマ7dが一定時間を計時すると、CPU7aは、セキュリティテーブル71の内容を更新するようになっている。即ち、CPU7aは、セキュリティテーブル71に、ポート番号とMACアドレスとを登録したときに、タイマ7dを起動する。そして、CPU7aは、タイマ7dが一定時間を計時し終わると、再度RAM7bの管理テーブル70からポート番号とMACアドレスとを読み出し、各ポート毎に、管理テーブル70から読み出されたMACアドレスと、セキュリティテーブル71に登録されているMACアドレスとを比較する。ここで、両者のMACアドレスが不一致ならば、セキュリティテーブル71に登録されていたMACアドレスを、管理テーブル70から読み出されたMACアドレスへ書き換える。
【0045】
管理テーブル70の情報とセキュリティテーブル71の情報とが不一致になる場合としては、例えば、以下の3つの場合が考えられる。
(1)一定時間の間に、空き状態にあったポートにパーソナルコンピュータ(PC)4が接続されると、管理テーブル70の前記ポートのエントリは、前記パーソナルコンピュータ(PC)4が接続された時点で、空き状態を示す情報から前記パーソナルコンピュータ(PC)4のMACアドレスへ書き換えられることになる。このため、一定時間後に管理テーブル70から読み出された情報と、セキュリティテーブル71に登録されている情報とは不一致になる。
【0046】
(2)一定時間の間に、あるポートに接続されていたパーソナルコンピュータ(PC)4が他のパーソナルコンピュータ(PC)4へ変更されると、管理テーブル70の前記ポートのエントリは、前記ポートに前記他のパーソナルコンピュータ(PC)4が接続された時点で、前記パーソナルコンピュータ(PC)4のMACアドレスから前記他のパーソナルコンピュータ(PC)4のMACアドレスへ書き換えられることになる。このため、一定時間後に管理テーブル70から読み出された情報と、セキュリティテーブル71に登録されている情報とは不一致になる。
【0047】
(3)一定時間の間に、あるポートに接続されていたパーソナルコンピュータ(PC)4が切り離されると、管理テーブル70の前記ポートのエントリは、前記パーソナルコンピュータ(PC)4が切り離された時点で、前記パーソナルコンピュータ(PC)4のMACアドレスから空き状態を示す情報へ書き換えられることになる。このため、一定時間後に管理テーブル70から読み出された情報と、セキュリティテーブル71に登録されている情報とは不一致になる。
【0048】
上記の(1)〜(3)のような場合には、一定時間経過後に、セキュリティテーブル71の情報は、管理テーブル70から読み出された情報によって更新されることになる。
【0049】
以下、本実施形態におけるセキュリティ情報の自動設定処理について図10に沿って説明する。
CPU7aは、図示しない入力装置からセキュリティ機能の起動命令が入力させると、ROM7cのアプリケーションプログラムを実行することにより、以下の処理を実現する。
【0050】
すなわち、CPU7aは、RAM7bの管理テーブル70へアクセスし、各ポートのポート番号と、各ポートに接続されているパーソナルコンピュータ(PC)4のMACアドレスを読み出す(ステップ1001)。
【0051】
そして、各ポート番号毎に、管理テーブル70から読み出された情報と、セキュリティテーブル71に登録されている情報とが比較される。そして、セキュリティテーブル71のエントリのうち、管理テーブル70から読み出された情報と異なる情報が登録されているエントリが存在する場合には、そのエントリの情報を、管理テーブル70から読み出された情報によって更新することになるが、セキュリティ機能の起動直後では、セキュリティテーブル71のエントリには何も登録されていないので、管理テーブル70から読み出された全ての情報が、セキュリティテーブル71に登録される(ステップ1002、1003)。
【0052】
セキュリティテーブル71に情報が登録し終わると、CPU7aは、セキュリティテーブル71の情報に従ってセキュリティ機能の実行を開始する(ステップ1004)とともに、タイマ7dを起動する。
【0053】
そして、タイマ7dが一定時間を計時すると、CPU7aは、再度RAM7bの管理テーブル70へアクセスし、ポート番頭とMACアドレスとを読み出す(ステップ1001)。
【0054】
CPU7aは、各ポート番号毎に、管理テーブル70から読み出された情報と、セキュリティテーブル71に登録されている情報とを比較し(ステップ1002)、セキュリティテーブル71のエントリのうち、管理テーブル70から読み出された情報と不一致の情報が登録されているエントリが存在する場合には、そのエントリの情報を、管理テーブル70から読み出された情報で更新する(ステップ1003)。そして、CPU7aは、更新後のセキュリティテーブル71に従ってセキュリティ機能を実行する。
【0055】
以上、本実施形態によれば、セキュリティテーブル71の登録内容を、自動的に更新・変更することができる。さらに、セキュリティ機能の実行中に、空き状態のポートにパーソナルコンピュータ(PC)4が接続された場合や、あるポートに接続されているパーソナルコンピュータ(PC)4が変更された場合でも、一定時間経過後には、新たに接続されたパーソナルコンピュータ(PC)4に対するセキュリティ機能を実行することができる。
【0056】
また、セキュリティ機能の実行中に、あるポートのパーソナルコンピュータ(PC)4が切り離された場合には、一定時間経過後からは、そのポートに対するセキュリティ機能を実行しないようにすることもできる。
【0057】
《実施形態4》
本実施態様におけるスイッチングHUB装置は、前述の実施態様1の構成に対して、コントロール回路7の構成が異なっている。すなわち、本実施形態では、コントロール回路7のRAM7bに設定されている管理テーブル70の構成が異なっている。
【0058】
図11は、本実施形態におけるRAM7bの内部構成を示している。
同図に示すように、管理テーブル70は、ポート番号毎に、各ポートに接続されているパーソナルコンピュータ(PC)4のMACアドレスを登録するエントリに加え、各ポートのMACアドレスが変更された回数、すなわち、あるポートに接続されているパーソナルコンピュータ(PC)4が他のパーソナルコンピュータ(PC)4に変更された回数(以下、変更回数と記す)を登録するエントリが設定されている。これに対応して、コントロール回路7のCPU7aは、セキュリティ機能がオフ状態にあるときに、各ポートのMACアドレスが変更されると、そのポートの変更回数をインクリメントする。そして、CPU7aは、セキュリティ機能がオンになったときに、管理テーブル70の変更回数を参照し、変更回数が特定値以下のポートのMACアドレスだけを読み出し、セキュリティテーブル71へ登録する。一方、MACアドレスの変更回数が特定値を超えているポートについては、そのポートのMACアドレスがセキュリティテーブル71へ登録されず、セキュリティ機能が実行されないようになっている。
【0059】
例えば、図10において、前記特定値を“1”に設定すると、管理テーブル70に登録されている3つのポート(ポート1〜ポート3)のうち、変更回数が“1”以下のポートは、「ポート1」と「ポート2」であるから、CPU7aは、セキュリティ機能がオンになったときに、「ポート1」のMACアドレス「00000e123456」と「ポート3」のMACアドレス「00000e345678」とだけを、セキュリティテーブル71に登録する。そして、CPU7aは、「ポート1」と「ポート3」についてのみ、セキュリティ機能を実行する。
【0060】
尚、コントロール回路7に、一定時間を計時するタイマを設け、このタイマが一定時間を計時している間、MACアドレスが変更されなかったポートについては、その変更回数を特定値以下にリセットするようにしてもよい。
【0061】
《実施形態5》
本実施形態では、本発明のLAN集線装置として、マルチモジュールHUB装置を例に挙げて説明する。
【0062】
図12は、マルチモジュールHUB装置8の概略構成を示す図である。
同図に示すように、マルチモジュールHUB装置8は、モジュールを装填するための6つのスロット9a〜9f(以下、総称してスロット9と記す)を備えている。
【0063】
スロット1(9a)には、同軸ケーブルを利用する10BASE5用のインタフェースモジュール13が装填されている。
スロット2(9b)には、同軸ケーブルを利用する10BASE5用のインタフェースモジュール12が装填されている。
【0064】
スロット3(9c)には、ツィストペア・ケーブルを使用する10BASE−T用のインタフェースモジュール11が装填されている。
スロット4(9d)には、ツィストペア・ケーブルを使用する10BASE−T用のインタフェースモジュール10が装填されている。
【0065】
スロット5(9e)には、異なるセグメント間の接続/切断を切り換えるブリッジモジュール15が装填されている。
スロット6(9f)には、各スロット1(9a)〜スロット5(9e)に装填されているモジュールを制御する管理モジュール14が装填されている。
【0066】
ここで、スロット1(9a)〜スロット4(9d)に装填されている、10BASE−Tインタフェースモジュール(10)、10BASE−Tインタフェースモジュール(11)、10BASE5インタフェースモジュール(12)、及び10BASE5インタフェースモジュール(13)は、各々4つのポートを有しており、各ポートには、各通信ケーブルの形態に対応した端末が接続されている。
【0067】
ここで、10BASE−Tインタフェースモジュール(10)のポートに接続されている端末と、10BASE−Tインタフェースモジュール(11)のポートに接続されている端末との計8個の端末は、一つのセグメントを形成している。
【0068】
また、10BASE5インタフェースモジュール(12)のポートに接続されている端末と、10BASE5インタフェースモジュール(13)のポートに接続されている端末との計8個の端末も、一つのセグメントを形成しているものとする。
【0069】
また、各端末には、本発明のメディアアドレスとしてのMACアドレスが割り当てられているものとする。
ここで、図13に管理モジュール14の概略構成を示す。
【0070】
同図に示すように、管理モジュール14は、CPU14a、RAM14b、及びROM14cをバスで接続して構成されている。
RAM14bには、図14に示すように、管理テーブル140と、セグメントテーブル141と、セキュリティテーブル142とが格納されている。
【0071】
管理テーブル140は、各インタフェースモジュール10・11・12・13が装填されているスロット9a・9b・9c・9dの各スロット番号毎に、各インタフェースモジュール10・11・12・13の各ポートを特定するポート番号と、各ポートに接続されている端末のMACアドレスとを格納している。
【0072】
セグメントテーブル141は、各インタフェースモジュール10・11・12・13が装填されているスロットのスロット番号毎に、各インタフェースモジュール10・11・12・13に接続されている端末群のセグメントを特定するセグメントIDが格納されている。本実施形態では、スロット1(9a)の10BASE5インタフェースモジュール13に接続されている4つの端末と、スロット2(9b)の10BASE5インタフェースモジュール12に接続されている4つの端末との計8個の端末は、セグメント1に属するものとする。また、スロット3(9c)の10BASE−Tインタフェースモジュール11に接続されている4つの端末と、スロット4(9d)の10BASE−Tインタフェースモジュール10に接続されている4つの端末との計8個の端末は、セグメント2に属するものとする。
【0073】
従って、セグメントテーブル141には、スロット1とスロット2のエントリにセグメントID「1」が登録され、スロット3とスロット4のエントリにセグメントID「2」が登録される。
【0074】
セキュリティテーブル142は、マルチモジュールHUB装置8に接続されている16つの端末をグループに分割し、各グループを特定するグループ番号毎に、各グループに属する端末のMACアドレスを登録するテーブルである。本実施形態では、セグメントテーブル141のセグメントに従って端末をグループ分けするものとする。従って、セグメント1に属する端末をグループ1とし、セグメント2に属するグループ2とする。
【0075】
図13に戻ってROM14cには、CPU14aが実行すべきアプリケーションプログラムが格納されている。
ここで、CPU14aがROM14cのアプリケーションプログラムを実行することにより、実現される機能について述べる。
【0076】
即ち、CPU14aがROM14cのアプリケーションプログラムを実行することにより、本発明のセキュリティ情報読出手段としてのセキュリティ情報読出部と、本発明のグループ化手段としてのグループ化部と、本発明のセキュリティ実行手段としてのセキュリティ実行部と、スイッチング処理部とが実現される。
【0077】
セキュリティ情報読出部は、マルチモジュールHUB装置8のセキュリティ機能がオンになると(図示しない入力装置からセキュリティ機能の起動命令が入力されると)、RAM14bの管理テーブル140から各スロット9a・9b・9c・9dのスロット番号と、各スロット9a・9b・9c・9dのポートのポート番号と、各ポートに接続されている端末のMACアドレスとを読み出す。
【0078】
グループ化部は、セキュリティ情報読出部が読み出したスロット番号をキーワードにしてセグメントテーブル141を参照し、16つの端末をグループ分けする。そして、グループ化部は、各グループにグループ番号を付加し、各グループのグループ番号と、各グループに属する端末のMACアドレスとをセキュリティテーブル142に登録する。
【0079】
セキュリティ実行部は、あるポートにパケットが入力されると、このポートを有するインタフェースモジュール10・11・12・13のスロット番号を判別し、さらにスロット番号に基づいて送信元の端末が属するセグメント(グループ)番号を判別する。また、セキュリティ実行部は、入力されたパケットから送信元アドレス(SA)を読み出す。そして、セキュリティ実行部は、判別されたグループ番号をキーワードにしてセキュリティテーブル141へアクセスし、前記グループ番号に対応するMACアドレス群の中に、パケットから読み出された送信元アドレス(SA)と一致するMACアドレスが存在するか否かを判別する。そして、セキュリティ実行部は、前記グループの中に、パケットから読み出された送信元アドレス(SA)と一致するMACアドレスが存在すれば、スイッチング処理部に対して、前記ポートと、宛先の端末が接続されているポートとの接続を依頼する。一方、双方のアドレスが不一致ならば、スイッチング処理部に対して、前記ポートの切断を依頼する。
【0080】
スイッチング処理部は、セキュリティ実行部からポートの接続を依頼されると、入力したパケットから宛先アドレス(DA)を読み出し、この宛先アドレス(DA)をキーワードにして管理テーブル140へアクセスする。そして、スイッチング処理部は、前記宛先アドレス(DA)に対応するポート番号を判別する。そして、スイッチング処理部は、双方のポートを収容するインタフェースモジュール10・11・12・13に対して、前記パケットを入力したポートと前記宛先アドレス(DA)に対応するポートとを接続させる。
【0081】
一方、スイッチング処理部は、セキュリティ実行部からポートの切断を依頼されると、前記ポートの接続処理は行わない。
以上、本実施形態によれば、マルチモジュールHUB装置8でも、セキュリティテーブルを自動的に作成することができ、オペレータにかかる負担を軽減することができるとともに、手入力による入力ミスを防止することができる。
【0082】
また、本実施形態では、端末をグループ化する際に、セグメントテーブルを利用しているが、ブリッジモジュールに設定されているフォワーディングテーブルを利用して端末群のグループ化を行うようにしてもよい。
【0083】
《実施形態6》
本実施形態では、前述の実施形態5と同様に、マルチモジュールHUB装置を例に挙げて説明する。
【0084】
図15は、マルチモジュールHUB装置8の概略構成を示す図である。
このマルチモジュールHUB装置8は、前述の実施形態5では6つのスロットを備えていたのに対して、5つのスロット9a・9b・9c・9d・9e(以下、総称してスロット9と記す)を備えている。
【0085】
そして、スロット1(9a)には、同軸ケーブルを利用する10BASE5用のインタフェースモジュール13が装填されている。
スロット2(9b)には、同軸ケーブルを利用する10BASE5用のインタフェースモジュール12が装填されている。
【0086】
スロット3(9c)には、同軸ケーブルを利用する10BASE5用のインタフェースモジュール16が装填されている。
スロット4(9d)には、異なるセグメント間の接続/切断を切り換えるブリッジモジュール15が装填されている。
【0087】
スロット5(9e)には、各スロット1(9a)〜スロット4(9d)に装填されているモジュールを制御する管理モジュール14が装填されている。
ここで、スロット1(9a)〜スロット3(9c)に装填されている、10BASE5インタフェースモジュール16、10BASE5インタフェースモジュール12、及び10BASE5インタフェースモジュール13には、各々4つのポートが設けられており、各ポートには、各通信ケーブルの形態に対応した端末が接続されている。
【0088】
ここで、10BASE5インタフェースモジュール16と、10BASE5インタフェースモジュール12と、10BASE5インタフェースモジュール13とは、一つのセグメントを形成しているものとする。
【0089】
ここで、図16に、RAM14bの内部構成を示す。
RAM14bには、前述の実施形態5と同様に、管理テーブル140と、セグメントテーブル141と、セキュリティテーブル142とが設定されている。
【0090】
管理テーブル140は、各インタフェースモジュール12・13・16が装填されているスロット9a・9b・9cのスロット番号毎に、各インタフェースモジュール12・13・16の各ポートを特定するポート番号と、各ポートに接続されている端末のMACアドレスとを格納している。
【0091】
セグメントテーブル141は、各インタフェースモジュール12・13・16が装填されているスロット9a・9b・9cのスロット番号毎に、各インタフェースモジュール12・13・16に接続されている端末群のセグメントを特定するセグメントIDが格納されている。本実施形態では、スロット1(9a)〜スロット3(9c)のインタフェースモジュール12・13・16に接続されている計12個の端末は、同一のセグメント「1」に属しているため、スロット1〜スロット3のエントリには、セグメントIDとして「1」が登録されている。
【0092】
ところで、本実施形態では、同一のセグメントに3つのスロットが属しているが、グループ化を行う場合に、2つのスロットを一つのグループにすることはできるが、残りの一つのスロットは同一のグループにすることができないため、残りの1つのスロットについては、グループセキュリティを適用することができない。従って、本実施形態では、グループ化されたスロットについては、グループセキュリティを適用し、残りのスロットについてはポートセキュリティを適用するようにした。具体的には、スロット1(9a)のインタフェースモジュール13の4つのポートと、スロット2(9b)のインタフェースモジュール12の4つのポートとの計8つのポートを一つのグループとし、グループセキュリティの対象としている。そして、スロット3(9c)のインタフェースモジュール16の4つのポートは、ポートセキュリティの対象としている。これにより、本実施形態のセキュリティテーブル142は、グループに属するポートについては、前述の実施形態5と同様に、グループ番号毎に、グループに属するポートに割り当てられているMACアドレスを登録する。一方、グループに属していないポートについては、前述の実施形態1〜実施形態4に示したように、各ポートのポート番号毎に、各ポートに割り当てられているMACアドレスを登録するようにしている。
【0093】
以上のような構成を採用することにより、グループセキュリティとポートセキュリティとを同時に実現することができる。
【0094】
【発明の効果】
本発明によれば、従来、人手に頼っていたセキュリティテーブルの設定作業を、自動的に行うことができ、ネットワーク管理者にかかる負担を軽減することができると共に、入力ミスを防止することができる。
【図面の簡単な説明】
【図1】スイッチングHUB装置を適用した通信網の概略構成図
【図2】パケットのデータ構造を示す図
【図3】スイッチングHUB装置の内部構成を示す図
【図4】コントロール回路7の構成図
【図5】実施形態1におけるRAMの内部構成図
【図6】実施形態1におけるスイッチングHUB装置の機能別構成ブロック図
【図7】実施形態1におけるセキュリティ情報の自動設定処理を示すフローチャート図
【図8】実施形態2におけるコントロール回路7の構成図
【図9】実施形態2におけるセキュリティ情報の自動設定処理を示すフローチャート図
【図10】実施形態3におけるセキュリティ情報の自動設定処理を示すフローチャート図
【図11】実施形態4におけるRAMの内部構成図
【図12】実施形態5におけるマルチモジュールHUB装置の概略構成図
【図13】管理モジュールの内部構成図
【図14】実施形態5におけるRAMの内部構成図
【図15】実施形態6におけるマルチモジュールHUB装置の概略構成図
【図16】実施形態6におけるRAMの内部構成図
【符号の説明】
1・・スイッチングHUB装置
2・・バックボーン用ポート
3・・ポート
4・・パーソナルコンピュータ(PC)
5・・LANインタフェース部
6・・スイッチング回路
7・・コントロール回路
7a・・CPU
7b・・RAM
7c・・ROM
70・・管理テーブル
71・・セキュリティテーブル
7d・・タイマ
8・・マルチモジュールHUB装置
9・・スロット
9a・・スロット1
9b・・スロット2
9c・・スロット3
9d・・スロット4
9e・・スロット5
9f・・スロット6
10・・10BASE−Tインタフェースモジュール
11・・10BASE−Tインタフェースモジュール
12・・10BASE5インタフェースモジュール
13・・10BASE5インタフェースモジュール
14・・管理モジュール
14a・・CPU
14b・・RAM
14c・・ROM
141・・管理テーブル
142・・セグメントテーブル
143・・セキュリティテーブル
15・・ブリッジモジュール
16・・10BASE5インタフェースモジュール

Claims (5)

  1. 端末を接続するポートを複数有するLAN集線装置であり、各ポートを特定するポート識別情報毎に、少なくとも、各ポートに接続されている端末のメディアアドレスを登録する管理テーブルと、前記管理テーブルからポート識別情報と、各ポートに接続されている端末のメディアアドレスとを読み出すセキュリティ情報読出手段と、前記セキュリティ情報読出手段が読み出したポート識別情報及びメディアアドレスを登録するセキュリティテーブルと、前記ポートに、送信元の端末のメディアアドレス及び宛先の端末のメディアアドレスを付加された信号が送信されてきたときに、前記セキュリティテーブルを参照して、前記ポートのメディアアドレスと前記送信元の端末のメディアアドレスとが不一致ならば、前記ポートを切断するセキュリティ実行手段と、を備えるLAN集線装置。
  2. 前記セキュリティ情報読出手段は、一定周期毎に、前記管理テーブルからポート識別情報及びメディアアドレスを読み出し、前記セキュリティテーブルは、前記セキュリティ情報読出手段がポート識別情報及びメディアアドレスを読み出すと、これらの情報により登録内容を更新する請求項1記載のLAN集線装置。
  3. 前記セキュリティ情報読出手段及びセキュリティテーブルは、前記セキュリティ実行手段が動作していない間に、セキュリティテーブルの内容を更新させる請求項2記載のLAN集線装置。
  4. 前記セキュリティテーブルには、前記ポート識別情報とメディアアドレスとに加えて、登録内容の更新回数を登録する請求項2記載のLAN集線装置。
  5. 端末を接続するポートを複数有するスロットを複数有するマルチメディア型LAN集線装置であり、各スロット毎に、各ポートを特定するポート識別情報、及び各ポートに接続されている端末のメディアアドレスを登録するスロット管理テーブルと、前記スロット管理テーブルからスロット識別情報と各スロットのポートに接続されている端末のメディアアドレスとを読み出すセキュリティ情報読出手段と、各スロットの属性情報に基づいて、前記端末のメディアアドレスをグループ分けして、各グループにグループ識別情報を付加するグループ化手段と、前記グループ化手段によりグループ分けされたグループのグループ識別情報毎に、各グループのメディアアドレス群を登録するセキュリティテーブルと、前記グループのポートに、送信元の端末のメディアアドレス及び宛先の端末のメディアアドレスを付加された信号が送信されてきたときに、前記セキュリティテーブルを参照して、前記グループのメディアアドレス群に、前記送信元の端末のメディアアドレスと同一のメディアアドレスが未登録ならば、前記ポートを切断するセキュリティ実行手段と、を備えるマルチメディア型LAN集線装置。
JP34350395A 1995-12-28 1995-12-28 Lan集線装置 Expired - Fee Related JP3594391B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP34350395A JP3594391B2 (ja) 1995-12-28 1995-12-28 Lan集線装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP34350395A JP3594391B2 (ja) 1995-12-28 1995-12-28 Lan集線装置

Publications (2)

Publication Number Publication Date
JPH09186713A JPH09186713A (ja) 1997-07-15
JP3594391B2 true JP3594391B2 (ja) 2004-11-24

Family

ID=18362021

Family Applications (1)

Application Number Title Priority Date Filing Date
JP34350395A Expired - Fee Related JP3594391B2 (ja) 1995-12-28 1995-12-28 Lan集線装置

Country Status (1)

Country Link
JP (1) JP3594391B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI110975B (fi) 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
JP2007183837A (ja) * 2006-01-06 2007-07-19 Fujitsu Ltd 環境設定プログラム、環境設定システムおよび環境設定方法
JP4923628B2 (ja) * 2006-03-02 2012-04-25 日本電気株式会社 ネットワークカードセレクタ

Also Published As

Publication number Publication date
JPH09186713A (ja) 1997-07-15

Similar Documents

Publication Publication Date Title
US5764895A (en) Method and apparatus for directing data packets in a local area network device having a plurality of ports interconnected by a high-speed communication bus
US6775830B1 (en) Computer system and a program install method thereof
US5678060A (en) System for executing high speed communication protocol processing by predicting protocol header of next frame utilizing successive analysis of protocol header until successful header retrieval
US6253334B1 (en) Three bus server architecture with a legacy PCI bus and mirrored I/O PCI buses
EP0621713B1 (en) Communication of local area network based applications on a switched network
CA1263759A (en) Arrangement for on-line diagnostic testing of an off- line standby processor in a duplicated processor configuration
CN102263774B (zh) 一种处理源角色信息的方法和装置
KR100280642B1 (ko) 이더넷 컨트롤러의 메모리 관리 장치 및 그 제어방법
US6148004A (en) Method and apparatus for establishment of dynamic ESCON connections from fibre channel frames
US20020198967A1 (en) Configuration parameter sequencing and sequencer
US20090172151A1 (en) Dynamic network configuration
US20040153849A1 (en) Data-packet error monitoring in an infiniband-architecture switch
US5392399A (en) Bridge system for selectively routing frame with ordering parameter identifying ordering of identifiers only based upon its source identifier
JP3594391B2 (ja) Lan集線装置
US6578080B1 (en) Mechanism for run time programming of hardware resources with least interference with continued operation
CN102263679B (zh) 一种处理源角色信息的方法和转发芯片
Cisco Configuring the 12E/2FE Interfaces
Cisco i Commands
Cisco I1
Cisco Message and Recovery Procedures
Cisco Message and Recovery Procedures
Cisco i1
Cisco Message and Recovery Procedures
Cisco Configuring LAN Interfaces
JPH07111507A (ja) データ受信方式及び通信制御装置

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20030408

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040831

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090910

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees