JP3750634B2 - User authentication QoS policy management system, method and LAN switch - Google Patents
User authentication QoS policy management system, method and LAN switch Download PDFInfo
- Publication number
- JP3750634B2 JP3750634B2 JP2002188158A JP2002188158A JP3750634B2 JP 3750634 B2 JP3750634 B2 JP 3750634B2 JP 2002188158 A JP2002188158 A JP 2002188158A JP 2002188158 A JP2002188158 A JP 2002188158A JP 3750634 B2 JP3750634 B2 JP 3750634B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- information
- client terminal
- lan switch
- qos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、PCクライアントが、LANスイッチを介して、認証サーバによる認証を受けるとともに、業務用サーバへのユーザごとのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システム、方法及びLANスイッチに関する。
【0002】
【従来の技術】
従来のユーザ認証システムは、認証によって、ユーザごとにアクセス制御を行うものであったが、QoS(Quality of Service)と連動するものではなかった。
すなわち、ユーザ認証システムにおいて、QoSを使用する場合、QoSポリシーは別管理され、ユーザごとではなく、ネットワーク全体に適用されていた。
【0003】
【発明が解決しようとする課題】
しかしながら、このような従来のユーザ認証システムには、ユーザごとに重要度が異なる通信の品質を保証できないという問題があった。
その理由は、QoSポリシーが、ネットワーク全体に適用されていることにより、あるユーザにとっては重要な通信と、それを重要としない他のユーザの通信が、同じ優先度で扱われてしまい、その結果として、あるユーザにとって重要な通信が影響を受けてしまうためである。
また、アクセス制御ポリシーとQoSポリシーが一元管理できないという問題もあった。
【0004】
本発明は、上記の事情にかんがみなされたものであり、PCクライアントが、LANスイッチを介して、認証サーバによる認証を受けるとともに、業務用サーバへのユーザごとのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システム、方法及びLANスイッチの提供を目的とする。
【0005】
【課題を解決するための手段】
上記目的を達成するため、本発明の請求項1記載のユーザ認証QoSポリシー管理システムは、クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受けるとともに、第二のサーバへのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システムであって、ログオン情報をLANスイッチに送信するクライアント端末と、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のアドレス情報を記憶し、かつ、第一のサーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御するLANスイッチと、LANスイッチから送信されてきたログオン情報にもとづき認証を行い、認証結果が正である場合に、ログオン情報に対応するアクセス制御情報及びQoS情報をLANスイッチに送信する第一のサーバと、LANスイッチによって、アクセス制御情報及びQoS情報にしたがい制御を受けたクライアント端末からのアクセスを受ける第二のサーバとを有し、LANスイッチが複数ある場合に、一のLANスイッチが、ログオン情報及びクライアント端末のアドレス情報を他のLANスイッチに送信し、第一のサーバから受信したアクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、他のLANスイッチが、一のLANスイッチから送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからQoS情報を受信し、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する構成としてある。
【0006】
ユーザ認証QoSポリシー管理システムをこのような構成にすれば、ユーザごとにアクセス制御ポリシー及びQoSポリシーを適用することができるため、セキュリティーを高めることができるとともに、ユーザにとってそれぞれ異なる重要な通信の品質を高めることが可能となる。
また、認証サーバによって、アクセス制御ポリシーとQoSポリシーを一元管理することができるため、アクセス制御ポリシーとQoSポリシーの管理を容易に行うことが可能となる。
【0008】
さらに、複数のLANスイッチが、それぞれ複数の業務用サーバを接続している場合には、PCクライアントが接続されたLANスイッチによって、そのPCクライアントに対するアクセス制御ポリシーを適用することが可能となる。
また、各LANスイッチが、認証サーバにアクセスして、QoS情報を受信することによって、ユーザごとのQoSポリシーを、PCクライアントに適用することが可能となる。
【0009】
本発明の請求項2記載のユーザ認証QoSポリシー管理システムは、クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受けるとともに、第二のサーバへのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システムであって、ログオン情報をLANスイッチに送信するクライアント端末と、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のアドレス情報を記憶し、かつ、第一のサーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御するLANスイッチと、LANスイッチから送信されてきたログオン情報にもとづき認証を行い、認証結果が正である場合に、ログオン情報に対応するアクセス制御情報及びQoS情報をLANスイッチに送信する第一のサーバと、LANスイッチによって、アクセス制御情報及びQoS情報にしたがい制御を受けたクライアント端末からのアクセスを受ける第二のサーバとを有し、LANスイッチが複数ある場合に、一のLANスイッチが、クライアント端末のアドレス情報及び第一のサーバから受信したQoS情報を他のLANスイッチに送信し、第一のサーバから受信したアクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、他のLANスイッチが、一のLANスイッチから送信されてきたQoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する構成としてある。
【0010】
ユーザ認証QoSポリシー管理システムをこのような構成にすれば、請求項2におけるものと同様に、複数のLANスイッチが、それぞれ複数の業務用サーバを接続している場合には、PCクライアントが接続されたLANスイッチにより、アクセス制御ポリシーを適用することが可能となる。
また、そのLANスイッチが、その他のLANスイッチに、認証サーバから受信したQoS情報を送信することによって、ユーザごとのQoSポリシーを、各LANスイッチによってPCクライアントに適用することが可能となる。
【0011】
本発明の請求項3記載のユーザ認証QoSポリシー管理システムは、アクセス制御情報が、VLAN情報である場合に、LANスイッチ又は一のLANスイッチが、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のMACアドレスを記憶し、かつ、第一のサーバからVLAN情報を受信して、クライアント端末のMACアドレスをVLANに含め、このVLANによって第二のサーバに対するクライアント端末のアクセス制御を行う構成としてある。
【0012】
ユーザ認証QoSポリシー管理システムをこのような構成にすれば、LANスイッチに、VLAN(Virtual LAN)を設定することによって、PCクライアントのユーザに対するアクセス制御ポリシー及びQoSポリシーの適用を行うことが可能となる。
【0013】
本発明の請求項4記載のユーザ認証QoSポリシー管理システムは、アクセス制御情報が、フィルタ情報である場合に、LANスイッチ又は一のLANスイッチが、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のIPアドレスを記憶し、かつ、第一のサーバからフィルタ情報を受信して、このフィルタ情報にもとづきアクセスリストを作成し、初期状態のアクセスリストを更新するとともに、アクセスリストにしたがって、第二のサーバに対するクライアント端末のアクセス制御を行う構成としてある。
【0014】
ユーザ認証QoSポリシー管理システムをこのような構成にすれば、LANスイッチに、アクセスリストを保有させ、これにもとづきアクセス制御を行うことによって、PCクライアントのユーザにアクセス制御ポリシーを適用し、これに併せてQoSポリシーの適用も行うことが可能となる。
【0015】
本発明の請求項5記載のユーザ認証QoSポリシー管理方法は、クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受け、第二のサーバにアクセスするユーザ認証QoSポリシー管理方法であって、クライアント端末が、一のLANスイッチにログオン情報を送信し、一のLANスイッチが、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のアドレス情報を記憶し、かつ、第一のサーバからアクセス制御情報及びQoS情報を受信して、ログオン情報及びアドレス情報を他のLANスイッチに送信し、アクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、他のLANスイッチが、一のLANスイッチから送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからQoS情報を受信し、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する方法としてある。
また、本発明の請求項6記載のユーザ認証QoSポリシー管理方法は、クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受け、第二のサーバにアクセスするユーザ認証QoSポリシー管理方法であって、クライアント端末が、一のLANスイッチにログオン情報を送信し、一のLANスイッチが、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のアドレス情報を記憶し、かつ、第一のサーバからアクセス制御情報及びQoS情報を受信して、アドレス情報及びQoS情報を他のLANスイッチに送信し、アクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、他のLANスイッチが、一のLANスイッチから送信されてきたQoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する方法としてある。
【0016】
ユーザ認証QoSポリシー管理方法をこのような方法にすれば、ユーザごとにアクセス制御ポリシー及びQoSポリシーを適用することができ、セキュリティーと、ユーザにとってそれぞれ異なる重要な通信の品質を高めることができるとともに、アクセス制御ポリシーとQoSポリシーの管理を容易に行うことが可能となる。
【0017】
本発明の請求項7記載のLANスイッチは、クライアント端末が第二のサーバにアクセスするにあたり、第一のサーバによる認証を仲介するとともに、アクセス制御及びアクセス優先順位の制御を行うLANスイッチであって、クライアント端末から送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからアクセス制御情報及びQoS情報を受信し、かつ、ログオン情報及びクライアント端末のアドレス情報を他のLANスイッチに送信して、アクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、かつ、他のLANスイッチから送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからQoS情報を受信し、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する構成としてある。
また、本発明の請求項8記載のLANスイッチは、クライアント端末が第二のサーバにアクセスするにあたり、第一のサーバによる認証を仲介するとともに、アクセス制御及びアクセス優先順位の制御を行うLANスイッチであって、クライアント端末から送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからアクセス制御情報及びQoS情報を受信し、かつ、クライアント端末のアドレス情報及びQoS情報を他のLANスイッチに送信して、アクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、かつ、他のLANスイッチから送信されてきたQoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する構成としてある。
【0018】
LANスイッチをこのような構成にすれば、PCクライアントからのアクセスに対して、アクセス制限を加えると同時に、QoSポリシーの適用もでき、セキュリティーの確保とともに、ユーザごとにサーバに対する処理の優先順位を設定することが可能となる。
また、LANスイッチをこのような構成にすれば、それぞれ業務用サーバを接続した複数のLANスイッチを接続して使用する場合であっても、これらに接続されたPCクライアントに対して、アクセス制御ポリシーとともにQoSポリシーを適用することが可能となる。
【0021】
【発明の実施の形態】
以下、本発明の実施形態につき、図面を参照して説明する。
[第一実施形態]
まず、本発明の第一実施形態について、図1及び図2を参照して説明する。図1は、本発明の第一実施形態のユーザ認証QoSポリシー管理システムの構成を示すブロック図である。
【0022】
図1に示すように、本実施形態のユーザ認証QoSポリシー管理システムは、LANスイッチ10、認証サーバ20、PCクライアント30(30−1,30−2〜30−n)及び業務用サーバ40(40−1,40−2,40−3〜40−m)を有しており、これらが社内LANなどによって接続されている。
【0023】
LANスイッチ10は、ネットワークの中継機であり、レイヤ2スイッチなどを用いることができる。
このLANスイッチ10は、PCクライアント30からログオン情報(ユーザ名及びパスワード等)を受信すると、認証を行うために、そのログオン情報を認証サーバ20に送信する。このとき、LANスイッチ10は、ユーザ名とMACアドレス(Media Access Control Address)の対応を記憶しておく。
また、LANスイッチ10は、認証結果を認証サーバ20から受信する。そして、この認証結果が正である場合には、あわせてユーザ情報を受信する。
【0024】
このユーザ情報には、VLAN情報及びQoS情報が含まれる。VLAN情報とは、LANスイッチ10にユーザごとのアクセス制御ポリシーを設定するための情報であり、アクセスを許可するポートの範囲を示す。このVLAN情報は、ユーザ名、VLAN名、ポート番号等により構成することができる。
QoS情報とは、LANスイッチ10にユーザごとのQoSポリシーを設定するための情報である。
また、このQoS情報は、ユーザ名、優先する宛先IPアドレス、優先内容等により構成することができる。
この優先内容としては、キューに対する優先度などを設定することができ、例えば、優先度「1」や「2」などを設定することができる。
【0025】
また、LANスイッチ10は、認証サーバ20から返信されたVLAN情報にもとづいて、そのVLANをMAC address based VLANとして自分自身に設定する。
そして、記憶しておいたPCクライアント30のMACアドレスを上記VLANに登録して、ユーザをMAC address based VLANに属させることによって、このユーザにアクセス制御ポリシーを適用する。また、各ユーザごとに、対応するQoSポリシーを適用する。
PCクライアント30のアドレス情報として、悪意の第三者による書き換えが、比較的容易であるIPアドレスではなく、MACアドレスを用いることによって、VLANのセキュリティーを高めることが可能となる。
【0026】
認証サーバ20は、Radius(登録商標)やLDAP等を利用したユーザ認証のためのサーバである。
この認証サーバ20は、LANスイッチ10からログオン情報を受信して、ユーザ認証を実行する。このユーザ認証方法としては、既存の方法を用いることができる。
【0027】
そして、認証結果が正である場合には、このユーザに対応するユーザ情報(VLAN情報及びQoS情報)をLANスイッチ10に返却する。
このため、認証サーバ20には、ユーザごとのユーザ情報をあらかじめ設定して、記憶させておく。
【0028】
PCクライアント30は、ユーザの使用する端末であり、業務用サーバ40に接続するにあたり、まず、LANスイッチ10に対してログオン情報を送信する。そして、このLANスイッチ10によって、業務用サーバ40に対するアクセス制御ポリシー及びQoSポリシーの適用を受ける。
【0029】
このように、初期状態においては、PCクライアント30は、LANスイッチ10としか接続できず、どのVLANにも属していない状態となっており、ユーザ認証の後に、LANスイッチ10の設定によって、対応するVLANに属することとなる。
業務用サーバ40は、各種業務処理を担当するサーバであり、LANスイッチ10を介してPCクライアント30からのアクセスを受ける。
【0030】
次に、第一実施形態のユーザ認証QoSポリシー管理システムにおける処理手順について、図2を参照して説明する。
図2は、本実施形態のユーザ認証QoSポリシー管理システムにおける処理手順を示す流れ図である。
【0031】
まず、PCクライアント30が、LANスイッチ10にアクセスして、ログオン情報(ユーザ名及びパスワード等)を送信する。この場合、PCクライアント30のユーザ(以下、単にユーザと称する場合がある。)は、LANスイッチ10にログオンするように見える(ステップ10)。
【0032】
次に、LANスイッチ10は、ログオン情報を認証サーバ20に送信して照会する(ステップ11)。このとき、LANスイッチ10は、ユーザ名とMACアドレスの対応を記憶しておく。
認証サーバ20は、認証結果とユーザ情報(ユーザに対するVLAN情報及びQoS情報)をLANスイッチ10に返信する(ステップ12)。
【0033】
ここで、ユーザ情報については、認証サーバ20による認証結果が正の場合にのみ、LANスイッチ10に送信され、認証結果が否の場合には、この認証結果のみが、LANスイッチ10に送信される。
そして、認証結果が否の場合は、PCクライアント30のアクセスは拒否され、LANスイッチ10は初期状態にもどる。認証結果が正の場合には、次の処理に進む。
【0034】
LANスイッチ10は、返信されてきたVLAN情報を、MAC address based VLANとして自分自身に設定する。
そして、このMAC address based VLANに、PCクライアント30のMACアドレスを登録することによって、ユーザをこのVLANに属させ、ユーザに対するアクセス制御ポリシーを適用する(ステップ13)。
これによって、例えば、ユーザAは、図1に示す業務用サーバ40−1と業務用サーバ40−2には、アクセス可能であるが、業務用サーバ40−3にはアクセスが不可能となる。
【0035】
さらに、LANスイッチ10は、返信されたQoS情報にもとづいて、ユーザに対するQoSポリシーをそのユーザのVLANに対して適用する(ステップ14)。
これによって、例えば、ユーザAは、業務用サーバ40−1との通信は優先して処理されるが、業務用サーバ40−2との通信は低優先となる。
【0036】
ここで、VLANは、ユーザ単位で形成されるため、このVLANにQoSポリシーを適用するということは、ユーザ単位でQoSポリシーを設定することとなる。
したがって、従来は、QoSポリシーはネットワーク全体に対してしか適用することができないものであったが、これによって、ユーザごとにQoSポリシーを適用することができ、ユーザ単位のきめ細かい業務処理優先順位を設定することができる。
【0037】
このため、ユーザに対する業務用サーバ40の資源の最適分配を図ることができ、業務を効率化することが可能となる。
最後に、ユーザによって、PCクライアント30からログオフ要求がLANスイッチ10に送信されると、LANスイッチ10は、登録したMACアドレスを削除し、ユーザをVLANからはずして初期状態にもどる(ステップ15)。
【0038】
ユーザ認証QoSポリシー管理システムにおける処理手順をこのような手順とすると、PCクライアント30からの業務用サーバ40へのアクセスに対して、LANスイッチ10が、ユーザごとにVLANを形成することによって、アクセス制御ポリシーを適用することができる。
また、LANスイッチ10が、このVLANにQoSポリシーを設定することによって、ユーザごとにQoSポリシーを適用することが可能となる。
【0039】
[第二実施形態]
次に、本発明の第二実施形態につき、図3を参照して説明する。同図は、本発明の第二実施形態のユーザ認証QoSポリシー管理システムの構成を示すブロック図である。
【0040】
本実施形態のユーザ認証QoSポリシー管理システムは、複数のLANスイッチ10(10−1,10−2〜10−p)を有しており、ユーザによる業務用サーバ40へのアクセスを、アクセスリスト(access−list)を用いて制御する点で、第一実施形態と異なる。
【0041】
図3に示すように、本実施形態のユーザ認証QoSポリシー管理システムは、LANスイッチ10、認証サーバ20、PCクライアント30(30−1,30−2〜30−n)及び業務用サーバ40(40−1,40−2,40−3,40−4,40−5,40−6〜40−m)を有しており、これらが社内LANなどによって接続されている。
【0042】
LANスイッチ10は、接続されているPCクライアント30のユーザに対するアクセスリストを保有する。
このアクセスリストは、PCクライアント30のIPアドレス、ユーザ名、アクセスを許可するポート番号等の情報を有している。また、このアクセスリストは、初期状態では、PCクライアント30が、直接接続されたLANスイッチ10としか通信できないように設定されている。
【0043】
LANスイッチ10は、PCクライアント30からログオン情報を受信すると、これを認証サーバ20に送信し、ユーザ認証を行う。
そして、その認証結果が正である場合には、認証サーバ20から認証結果に加え、ユーザ情報として、フィルタ情報及びQoS情報を受信する。
【0044】
このとき、各LANスイッチ10において、ユーザ名とPCクライアント30のIPアドレスとの対応付けを記憶しない場合には、LANスイッチ10は、認証サーバ20へのログオン情報の送信に際し、併せてPCクライアント30のIPアドレスを送信するようにすることができる。
そして、認証サーバ20は、LANスイッチ10に対して、このPCクライアント30のIPアドレスも併せて返却する。
【0045】
ここで、フィルタ情報とは、ユーザによる業務用サーバ40へのアクセスを個別に制限するための情報であり、ユーザ名と、アクセスを許可する宛先IPアドレス等により構成される。
LANスイッチ10は、PCクライアント30のIPアドレスと、フィルタ情報にもとづいて、アクセスリストを作成し、初期状態のアクセスリストと置き換える。
【0046】
なお、アクセスリストの作成においては、フィルタ情報にもとづき作成するとともに、PCクライアント30の特定については、PCクライアント30のIPアドレスとユーザ名を対応付けたテーブルなどをLANスイッチ10に記憶させることによって、これにもとづき行うこともできる。
また、LANスイッチ10は、認証結果が正である場合に、そのユーザのログオン情報とそのユーザが使用しているPCクライアント30のIPアドレスを、ブロードキャストなどの方法によって、他のLANスイッチ10に通知する。
【0047】
さらに、LANスイッチ10に接続されたPCクライアント30のユーザのログオン情報等を受信した他のLANスイッチ10は、認証サーバ20に対して、そのユーザについてのQoS情報を問い合わせて受信する。
このように、ユーザに対するアクセス制御は、そのユーザが使用しているPCクライアント30が接続されたLANスイッチ10によって行われ、QoSポリシーの適用は、業務用サーバ40が接続された各LANスイッチ10のそれぞれによって行われる。
【0048】
認証サーバ20は、LANスイッチ10からログオン情報を受信すると、認証を実行し、認証結果が正である場合には、LANスイッチ10にその認証結果に加えて、ユーザ情報(フィルタ情報及びQoS情報)を返却する。
また、他のLANスイッチ10からの問い合わせに対して、QoS情報を返却する。
なお、これらの返却情報には、必要に応じて、例えばPCクライアント30のIPアドレスなどの情報を加えるようにしてもよい。
【0049】
PCクライアント30は、LANスイッチ10のいずれかと接続されており、同図において、PCクライアント30−1と30−2は、LANスイッチ10−1に接続されている。
業務用サーバ40についても、LANスイッチ10のいずれかと接続されており、同図においては、業務用サーバ40−1〜40−3は、LANスイッチ10−1に、業務用サーバ40−4〜40−6は、LANスイッチ10−2に接続されている。
【0050】
次に、第二実施形態のユーザ認証QoSポリシー管理システムにおける処理手順について、図4を参照して説明する。
図4は、本実施形態のユーザ認証QoSポリシー管理システムにおける処理手順を示す流れ図である。
【0051】
まず、PCクライアント30−1が、LANスイッチ10−1にアクセスして、ログオン情報(ユーザ名及びパスワード等)を送信し、ログオンを行う(ステップ30)。
【0052】
次に、LANスイッチ10−1は、ログオン情報を認証サーバ20に送信して照会する(ステップ31)。このとき、LANスイッチ10に、ユーザ名とIPアドレスの対応を記憶させておいてもよい。
認証サーバ20は、認証結果とユーザ情報(ユーザに対するフィルタ情報及びQoS情報)をLANスイッチ10−1に返信する(ステップ32)。
【0053】
ここで、ユーザ情報については、認証サーバ20による認証結果が正の場合にのみ、LANスイッチ10−1に送信され、認証結果が否の場合には、この認証結果のみが、LANスイッチ10−1に送信される。
そして、認証結果が否の場合は、PCクライアント30−1のアクセスは拒否され、LANスイッチ10−1は初期状態にもどる。認証結果が正の場合には、次の処理に進む。
【0054】
次に、LANスイッチ10−1は、そのユーザのログオン情報とそのユーザが使用しているPCクライアント30−1のIPアドレスを、ブロードキャストなどの方法によって、他のLANスイッチ10(10−2〜10−p)に通知する。
このログオン情報等を受信した他のLANスイッチ10は、認証サーバ20に対して、そのユーザについてのQoS情報を問い合わせて受信する(ステップ33)。
【0055】
そして、LANスイッチ10−1は、PCクライアント30−1のIPアドレスとフィルタ情報等にもとづいてアクセスリストを作成して、初期状態のアクセスリストを更新することによって、ユーザに対してアクセス制御ポリシーを適用する(ステップ34)。
これによって、例えば、ユーザAは、図3に示す業務用サーバ40−3と40−4にはアクセス可能であるが、業務用サーバ40−5にはアクセス不可能となるように制御することが可能となる。
【0056】
また、LANスイッチ10−1及び他のLANスイッチ10は、認証サーバ20から受信したQoS情報を記憶するとともに、このQoS情報とPCクライアント30のIPアドレスにもとづいて、ユーザに対するQoSポリシーを適用する(ステップ35)。
【0057】
これによって、例えば、ユーザAは、業務用サーバ40−3との通信は優先して処理されるが、業務用サーバ40−4との通信を低優先に制御することが可能となる。
最後に、ユーザがログオフすると、LANスイッチ10−1は、登録したアクセスリストを初期状態のアクセスリストに置き換え、初期状態に戻る(ステップ36)。
【0058】
なお、本実施形態においては、他のLANスイッチ10が、それぞれ認証サーバ20にアクセスして、ユーザに対するQoS情報を取得する構成としているが、LANスイッチ10−1が、他のLANスイッチ10へログオン情報等を通知するにあたり、QoS情報も併せて送信するようにしてもよい。
このようにすれば、他のLANスイッチ10による認証サーバ20への問い合わせを省略することが可能となる。
【0059】
ユーザ認証QoSポリシー管理システムにおける処理手順をこのような手順とすれば、複数のLANスイッチ10により構成される場合にも、ユーザごとにアクセス制御ポリシーを適用することができることに加え、ユーザごとにQoSポリシーも適用することが可能となる。
【0060】
なお、上記各実施形態を組合せて、ユーザ認証QoSポリシー管理システムを構成することもできる。
すなわち、一のLANスイッチ10を用いる場合に、第二実施形態におけるようなアクセスリストを用いる構成とするができる。また、複数のLANスイッチ10を用いる場合に、第一実施形態におけるようなVLANを設定して、ユーザごとのQoSポリシーの適用を実現することも可能である。
【0061】
【発明の効果】
以上のように、本発明によれば、ユーザごとにアクセス制御ポリシー及びQoSポリシーを適用することができるため、セキュリティーを高めることができるとともに、ユーザにとってそれぞれ異なる重要な通信の品質を高めることが可能となる。
また、認証サーバによって、アクセス制御ポリシーとQoSポリシーを一元管理することができるため、アクセス制御ポリシーとQoSポリシーの管理を容易に行うことが可能となる。
【図面の簡単な説明】
【図1】本発明の第一実施形態のユーザ認証QoSポリシー管理システムの構成を示すブロック図である。
【図2】本発明の第一実施形態のユーザ認証QoSポリシー管理システムにおける動作手順を示す流れ図である。
【図3】本発明の第二実施形態のユーザ認証QoSポリシー管理システムの構成を示すブロック図である。
【図4】本発明の第二実施形態のユーザ認証QoSポリシー管理システムにおける動作手順を示す流れ図である。
【符号の説明】
10(10−1,10−2〜10−p) LANスイッチ
20 認証サーバ
30(30−1,30−2〜30−n) PCクライアント
40(40−1,40−2,40−3,40−4,40−5,40−6〜40−m) 業務用サーバ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a user authentication QoS policy management system, method, and LAN in which a PC client is authenticated by an authentication server via a LAN switch, and is also subjected to access control and access priority control for each user to a business server. Regarding switches.
[0002]
[Prior art]
The conventional user authentication system performs access control for each user by authentication, but is not linked to QoS (Quality of Service).
That is, when QoS is used in the user authentication system, the QoS policy is separately managed and applied to the entire network, not for each user.
[0003]
[Problems to be solved by the invention]
However, such a conventional user authentication system has a problem that it is not possible to guarantee the quality of communication having different importance for each user.
The reason is that the QoS policy is applied to the entire network, so that communications important to one user and communications of other users who do not make it important are treated with the same priority. This is because communication important to a user is affected.
There is also a problem that the access control policy and the QoS policy cannot be centrally managed.
[0004]
The present invention is considered in view of the above circumstances, and the PC client is authenticated by the authentication server via the LAN switch, and controls access to the business server and control of the access priority for each user. An object of the present invention is to provide a user authentication QoS policy management system, a method, and a LAN switch.
[0005]
[Means for Solving the Problems]
In order to achieve the above object, a user authentication QoS policy management system according to claim 1 of the present invention provides:Client terminalThrough the LAN switch,First serverAs well as being certified bySecond serverIs a user authentication QoS policy management system that receives access control and access priority control, and transmits logon information to a LAN switch.Client terminalWhen,Client terminalLogon information sent fromFirst serverAnd send toClient terminalAddress information, andFirst serverReceiving access control information and QoS information from theSecond serverAgainstClient terminalAccess control and based on QoS informationSecond serverAgainstClient terminalAuthentication based on the logon information transmitted from the LAN switch and the LAN switch for controlling the access priority of the access, and when the authentication result is positive, the access control information and QoS information corresponding to the logon information are sent to the LAN switch. SendFirst serverAnd received control according to the access control information and QoS information by the LAN switch.Client terminalReceive access fromSecond serverAnd haveWhen there are a plurality of LAN switches, one LAN switch sends logon information and client terminal address information to the other LAN switch, and the second server based on the access control information received from the first server. The access control of the client terminal is performed, the access priority of the client terminal to the second server is controlled based on the QoS information, and the other LAN switch sends the logon information transmitted from the one LAN switch to the first server. , Receive QoS information from the first server, and control the access priority of the client terminal to the second server based on the QoS informationAs a configuration.
[0006]
If the user authentication QoS policy management system has such a configuration, an access control policy and a QoS policy can be applied for each user, so that security can be enhanced and important communication quality different for each user can be obtained. It becomes possible to raise.
Further, since the access control policy and the QoS policy can be centrally managed by the authentication server, the access control policy and the QoS policy can be easily managed.
[0008]
furtherWhen a plurality of business servers are connected to a plurality of LAN switches, an access control policy for the PC client can be applied by the LAN switch to which the PC client is connected.
In addition, each LAN switch accesses the authentication server and receives the QoS information, so that the QoS policy for each user can be applied to the PC client.
[0009]
Claims of the invention2The user authentication QoS policy management system described isA user authentication QoS policy management system in which a client terminal is authenticated by a first server via a LAN switch and is also controlled to access a second server and control access priority. The client terminal that transmits to the switch and the logon information transmitted from the client terminal are transmitted to the first server, the address information of the client terminal is stored, and the access control information and the QoS information are received from the first server. This is received from the LAN switch that controls access of the client terminal to the second server based on the access control information, and controls the access priority of the client terminal to the second server based on the QoS information. Log If the authentication result is positive and the authentication result is positive, the access control information and QoS information are sent by the first server that sends the access control information and QoS information corresponding to the logon information to the LAN switch, and the LAN switch. And a second server that receives access from a client terminal that is controlled, and when there are a plurality of LAN switches, one LAN switch receives the address information of the client terminal and the QoS received from the first server. Information is transmitted to another LAN switch, and the client terminal access control to the second server is performed based on the access control information received from the first server, and the client terminal access priority to the second server is based on the QoS information. The order is controlled, and other LAN switches are Controlling the access priority of the client terminal to the second server based on the QoS information transmitted from the N switchAs a configuration.
[0010]
If the user authentication QoS policy management system has such a configuration, as in the case of claim 2, when a plurality of LAN switches are connected to a plurality of business servers, a PC client is connected. An access control policy can be applied by the LAN switch.
In addition, when the LAN switch transmits the QoS information received from the authentication server to other LAN switches, the QoS policy for each user can be applied to the PC client by each LAN switch.
[0011]
Claims of the invention3In the user authentication QoS policy management system described above, when the access control information is VLAN information, the LAN switch or one LAN switchClient terminalLogon information sent fromFirst serverAnd send toClient terminalThe MAC address ofFirst serverReceive VLAN information fromClient terminalInclude the MAC address of theSecond serverAgainstClient terminalThe access control is performed.
[0012]
If the user authentication QoS policy management system has such a configuration, it is possible to apply an access control policy and a QoS policy to a PC client user by setting a VLAN (Virtual LAN) in the LAN switch. .
[0013]
Claims of the invention4In the user authentication QoS policy management system described above, when the access control information is filter information, the LAN switch or one LAN switchClient terminalLogon information sent fromFirst serverAnd send toClient terminalRemember the IP address ofFirst serverReceive the filter information from, create an access list based on this filter information, update the initial access list, and according to the access list,Second serverAgainstClient terminalThe access control is performed.
[0014]
If the user authentication QoS policy management system has such a configuration, the access control policy is applied to the user of the PC client by allowing the LAN switch to have an access list and performing access control based on the access list. Thus, the QoS policy can be applied.
[0015]
Claims of the invention5The user authentication QoS policy management method described isA user authentication QoS policy management method in which a client terminal receives authentication by a first server via a LAN switch and accesses the second server, and the client terminal transmits logon information to one LAN switch. One LAN switch transmits logon information transmitted from the client terminal to the first server, stores address information of the client terminal, and receives access control information and QoS information from the first server. Then, log-on information and address information are transmitted to other LAN switches, and the client terminal access control to the second server is performed based on the access control information, and the client terminal access priority to the second server is based on the QoS information. The order is controlled, and other LAN switches The logon information transmitted from the LAN switch to send to the first server, the first server receives the QoS information, and controls the access priority of the client terminal to the second server based on the QoS informationThere is as a method.
The user authentication QoS policy management method according to claim 6 of the present invention is a user authentication QoS policy management method in which a client terminal is authenticated by a first server via a LAN switch and accesses a second server. The client terminal transmits logon information to one LAN switch, and the one LAN switch transmits the logon information transmitted from the client terminal to the first server, and the address information of the client terminal is also transmitted. Stores and receives access control information and QoS information from the first server, transmits address information and QoS information to other LAN switches, and controls access of the client terminal to the second server based on the access control information As well as the class for the second server based on the QoS information. Controls access priority Ant terminal and the other LAN switches, is a method of controlling the access priority of the client terminal to the second server based on the QoS information transmitted from one LAN switch.
[0016]
If the user authentication QoS policy management method is such a method, the access control policy and the QoS policy can be applied for each user, the security and the quality of important communication different for each user can be improved, It becomes possible to easily manage the access control policy and the QoS policy.
[0017]
The LAN switch according to claim 7 of the present invention is:When the client terminal accesses the second server, it is a LAN switch that mediates authentication by the first server and controls access and access priority, and logs on the logon information transmitted from the client terminal. The access control information and the QoS information are received from the first server, the logon information and the address information of the client terminal are transmitted to the other LAN switch, and the second based on the access control information. Access control of the client terminal to the other server, control access priority of the client terminal to the second server based on the QoS information, and log-on information transmitted from another LAN switch to the first server Send and receive QoS information from the first server Controlling the access priority of the client terminal to the second server based on the QoS informationAs a configuration.
The LAN switch according to claim 8 of the present invention is a LAN switch that mediates authentication by the first server and controls access and priority of access when the client terminal accesses the second server. The logon information transmitted from the client terminal is transmitted to the first server, the access control information and the QoS information are received from the first server, and the address information and the QoS information of the client terminal are transmitted to the other server. Sending to LAN switch to control access of client terminal to second server based on access control information, controlling access priority of client terminal to second server based on QoS information, and other LAN The second support is based on the QoS information sent from the switch. It is constituted to control the access priority of the client terminal for bus.
[0018]
If the LAN switch is configured in this way, it can restrict access to access from PC clients and at the same time apply QoS policies, ensuring security and setting processing priority for servers for each user. It becomes possible to do.
Further, if the LAN switch is configured as described above, even when a plurality of LAN switches connected to business servers are connected and used, the access control policy is applied to the PC clients connected to these switches. At the same time, the QoS policy can be applied.
[0021]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[First embodiment]
First, a first embodiment of the present invention will be described with reference to FIGS. 1 and 2. FIG. 1 is a block diagram showing a configuration of a user authentication QoS policy management system according to the first embodiment of this invention.
[0022]
As shown in FIG. 1, the user authentication QoS policy management system of this embodiment includes a
[0023]
The LAN switch 10 is a network relay, and a layer 2 switch or the like can be used.
When the
Further, the
[0024]
This user information includes VLAN information and QoS information. The VLAN information is information for setting an access control policy for each user in the
The QoS information is information for setting a QoS policy for each user in the
Further, this QoS information can be composed of a user name, a preferential destination IP address, priority contents, and the like.
As this priority content, a priority for a queue can be set, and for example, a priority “1” or “2” can be set.
[0025]
Further, the LAN switch 10 sets the VLAN as the MAC address based VLAN based on the VLAN information returned from the
Then, the stored MAC address of the
As the address information of the
[0026]
The
The
[0027]
If the authentication result is positive, user information (VLAN information and QoS information) corresponding to this user is returned to the
For this reason, user information for each user is set and stored in the
[0028]
The
[0029]
As described above, in the initial state, the
The
[0030]
Next, a processing procedure in the user authentication QoS policy management system of the first embodiment will be described with reference to FIG.
FIG. 2 is a flowchart showing a processing procedure in the user authentication QoS policy management system of this embodiment.
[0031]
First, the
[0032]
Next, the
The
[0033]
Here, the user information is transmitted to the LAN switch 10 only when the authentication result by the
If the authentication result is negative, the access of the
[0034]
The LAN switch 10 sets the returned VLAN information to itself as a MAC address based VLAN.
Then, by registering the MAC address of the
Thereby, for example, the user A can access the business server 40-1 and the business server 40-2 shown in FIG. 1, but cannot access the business server 40-3.
[0035]
Further, the
Thereby, for example, the user A is preferentially processed for communication with the business server 40-1, but the communication with the business server 40-2 has low priority.
[0036]
Here, since a VLAN is formed in units of users, applying a QoS policy to this VLAN means setting a QoS policy in units of users.
Therefore, in the past, QoS policies could only be applied to the entire network, but this allows QoS policies to be applied on a per-user basis and fine-grained business processing priorities set for each user. can do.
[0037]
For this reason, it is possible to optimally distribute the resources of the
Finally, when a logoff request is transmitted from the
[0038]
When the processing procedure in the user authentication QoS policy management system is such a procedure, the access control is performed by forming a VLAN for each user by the LAN switch 10 for the access to the
In addition, the LAN switch 10 can set the QoS policy for this VLAN, so that the QoS policy can be applied for each user.
[0039]
[Second Embodiment]
Next, a second embodiment of the present invention will be described with reference to FIG. This figure is a block diagram showing the configuration of the user authentication QoS policy management system of the second embodiment of the present invention.
[0040]
The user authentication QoS policy management system of this embodiment has a plurality of LAN switches 10 (10-1, 10-2 to 10-p), and an access list ( It is different from the first embodiment in that it is controlled using (access-list).
[0041]
As shown in FIG. 3, the user authentication QoS policy management system of this embodiment includes a
[0042]
The LAN switch 10 holds an access list for the user of the
This access list includes information such as the IP address of the
[0043]
When receiving the logon information from the
If the authentication result is positive, filter information and QoS information are received as user information from the
[0044]
At this time, if each LAN switch 10 does not store the association between the user name and the IP address of the
Then, the
[0045]
Here, the filter information is information for individually restricting access to the
The LAN switch 10 creates an access list based on the IP address of the
[0046]
The access list is created based on the filter information, and for specifying the
When the authentication result is positive, the
[0047]
Further, the other LAN switch 10 that has received the logon information of the user of the
In this way, access control for a user is performed by the LAN switch 10 to which the
[0048]
When the
Also, QoS information is returned in response to an inquiry from another
For example, information such as the IP address of the
[0049]
The
The
[0050]
Next, a processing procedure in the user authentication QoS policy management system of the second embodiment will be described with reference to FIG.
FIG. 4 is a flowchart showing a processing procedure in the user authentication QoS policy management system of this embodiment.
[0051]
First, the PC client 30-1 accesses the LAN switch 10-1, transmits logon information (user name, password, etc.), and logs on (step 30).
[0052]
Next, the LAN switch 10-1 transmits the logon information to the
The
[0053]
Here, the user information is transmitted to the LAN switch 10-1 only when the authentication result by the
If the authentication result is negative, the access of the PC client 30-1 is denied and the LAN switch 10-1 returns to the initial state. If the authentication result is positive, the process proceeds to the next process.
[0054]
Next, the LAN switch 10-1 transmits the other user's logon information and the IP address of the PC client 30-1 used by the user to another LAN switch 10 (10-2 to 10-10) by a method such as broadcasting. −p).
The other LAN switch 10 that received this logon information inquires and receives QoS information about the user from the authentication server 20 (step 33).
[0055]
Then, the LAN switch 10-1 creates an access list based on the IP address of the PC client 30-1, filter information, and the like, and updates the access list in the initial state, so that the access control policy is set for the user. Apply (step 34).
Thereby, for example, the user A can control to access the business servers 40-3 and 40-4 shown in FIG. 3 but not to the business server 40-5. It becomes possible.
[0056]
The LAN switch 10-1 and the other LAN switches 10 store the QoS information received from the
[0057]
Accordingly, for example, the user A can preferentially process the communication with the business server 40-3, but can control the communication with the business server 40-4 with a low priority.
Finally, when the user logs off, the LAN switch 10-1 replaces the registered access list with the initial access list and returns to the initial state (step 36).
[0058]
In the present embodiment, the other LAN switch 10 accesses the
In this way, inquiries to the
[0059]
If the processing procedure in the user authentication QoS policy management system is such a procedure, an access control policy can be applied for each user even when the user authentication QoS policy management system is configured by a plurality of LAN switches 10, and QoS for each user. Policies can also be applied.
[0060]
The user authentication QoS policy management system can be configured by combining the above embodiments.
That is, when one
[0061]
【The invention's effect】
As described above, according to the present invention, an access control policy and a QoS policy can be applied for each user, so that security can be improved and quality of communication important for each user can be improved. It becomes.
Further, since the access control policy and the QoS policy can be centrally managed by the authentication server, the access control policy and the QoS policy can be easily managed.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a user authentication QoS policy management system according to a first embodiment of this invention.
FIG. 2 is a flowchart showing an operation procedure in the user authentication QoS policy management system according to the first embodiment of this invention.
FIG. 3 is a block diagram illustrating a configuration of a user authentication QoS policy management system according to a second embodiment of this invention.
FIG. 4 is a flowchart showing an operation procedure in the user authentication QoS policy management system of the second embodiment of the present invention.
[Explanation of symbols]
10 (10-1, 10-2 to 10-p) LAN switch
20 Authentication server
30 (30-1, 30-2 to 30-n) PC client
40 (40-1, 40-2, 40-3, 40-4, 40-5, 40-6 to 40-m) Business server
Claims (8)
ログオン情報を前記LANスイッチに送信する前記クライアント端末と、
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のアドレス情報を記憶し、かつ、前記第一のサーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御する前記LANスイッチと、
前記LANスイッチから送信されてきた前記ログオン情報にもとづき認証を行い、認証結果が正である場合に、前記ログオン情報に対応する前記アクセス制御情報及び前記QoS情報を前記LANスイッチに送信する前記第一のサーバと、
前記LANスイッチによって、前記アクセス制御情報及び前記QoS情報にしたがい制御を受けたクライアント端末からのアクセスを受ける前記第二のサーバとを有し、
前記LANスイッチが複数ある場合に、
一のLANスイッチが、前記ログオン情報及び前記クライアント端末のアドレス情報を他のLANスイッチに送信し、前記第一のサーバから受信した前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、
前記他のLANスイッチが、前記一のLANスイッチから送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバから前記QoS情報を受信し、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御する
ことを特徴とするユーザ認証QoSポリシー管理システム。 A user authentication QoS policy management system in which a client terminal is authenticated by a first server via a LAN switch, and is controlled to access a second server and control access priority.
The client terminal transmitting logon information to the LAN switch;
The logon information transmitted from the client terminal is transmitted to the first server , the address information of the client terminal is stored, and access control information and QoS information are received from the first server. , performs access control of the client terminal to said second server by the access control information, and the LAN switch for controlling the access priority of the client terminal to said second server based on the QoS information,
The first authentication is performed based on the logon information transmitted from the LAN switch, and when the authentication result is positive, the access control information and the QoS information corresponding to the logon information are transmitted to the LAN switch . Server
By the LAN switch, it has a said second server receiving the access from the client terminal which has received the control in accordance with the access control information and the QoS information,
When there are a plurality of the LAN switches,
One LAN switch transmits the logon information and the address information of the client terminal to another LAN switch, and the access of the client terminal to the second server based on the access control information received from the first server And controlling the access priority of the client terminal to the second server based on the QoS information,
The other LAN switch transmits the log-on information transmitted from the one LAN switch to the first server, receives the QoS information from the first server, and based on the QoS information, A user authentication QoS policy management system for controlling an access priority of the client terminal to a second server .
ログオン情報を前記LANスイッチに送信する前記クライアント端末と、The client terminal for sending logon information to the LAN switch;
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のアドレス情報を記憶し、かつ、前記第一のサーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御する前記LANスイッチと、The logon information transmitted from the client terminal is transmitted to the first server, the address information of the client terminal is stored, and access control information and QoS information are received from the first server. The LAN switch for controlling access of the client terminal to the second server based on the access control information, and controlling the access priority of the client terminal to the second server based on the QoS information;
前記LANスイッチから送信されてきた前記ログオン情報にもとづき認証を行い、認証結果が正である場合に、前記ログオン情報に対応する前記アクセス制御情報及び前記QoS情報を前記LANスイッチに送信する前記第一のサーバと、Authentication is performed based on the logon information transmitted from the LAN switch, and when the authentication result is positive, the access control information and the QoS information corresponding to the logon information are transmitted to the LAN switch. Server
前記LANスイッチによって、前記アクセス制御情報及び前記QoS情報にしたがい制御を受けたクライアント端末からのアクセスを受ける前記第二のサーバとを有し、The second switch receiving access from a client terminal that has been controlled by the LAN switch according to the access control information and the QoS information;
前記LANスイッチが複数ある場合に、When there are a plurality of the LAN switches,
一のLANスイッチが、前記クライアント端末のアドレス情報及び前記第一のサーバから受信した前記QoS情報を他のLANスイッチに送信し、前記第一のサーバから受信した前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、One LAN switch transmits the address information of the client terminal and the QoS information received from the first server to another LAN switch, and the second LAN switch based on the access control information received from the first server. Controlling access of the client terminal to the server of the client, and controlling the access priority of the client terminal to the second server based on the QoS information,
前記他のLANスイッチが、前記一のLANスイッチから送信されてきた前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御The other LAN switch controls the access priority of the client terminal to the second server based on the QoS information transmitted from the one LAN switch. するDo
ことを特徴とするユーザ認証QoSポリシー管理システム。A user authentication QoS policy management system.
前記LANスイッチ又は前記一のLANスイッチが、
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のMACアドレスを記憶し、かつ、前記第一のサーバからVLAN情報を受信して、前記クライアント端末のMACアドレスを前記VLANに含め、このVLANによって前記第二のサーバに対する前記クライアント端末のアクセス制御を行う
ことを特徴とする請求項1又は2記載のユーザ認証QoSポリシー管理システム。When the access control information is VLAN information,
The LAN switch or the one LAN switch is
Wherein the logon information transmitted from the client terminal transmits to the first server stores the MAC address of the client terminal, and receives the VLAN information from the first server, said client terminal user authentication QoS policy management system according to claim 1 or 2, wherein the performing access control of the client terminal to said second server by the MAC address included in the VLAN, the failed VLAN of.
前記LANスイッチ又は前記一のLANスイッチが、
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のIPアドレスを記憶し、かつ、前記第一のサーバからフィルタ情報を受信して、このフィルタ情報にもとづきアクセスリストを作成し、初期状態のアクセスリストを更新するとともに、前記アクセスリストにしたがって、前記第二のサーバに対する前記クライアント端末のアクセス制御を行う
ことを特徴とする請求項1又は2記載のユーザ認証QoSポリシー管理システム。When the access control information is filter information,
The LAN switch or the one LAN switch is
The log-on information transmitted from the client terminal is transmitted to the first server , the IP address of the client terminal is stored, and the filter information is received from the first server. create an access list based on updates the access list in an initial state, in accordance with the access list, according to claim 1, wherein: performing the client terminal access control to the second server User authentication QoS policy management system.
前記クライアント端末が、一のLANスイッチにログオン情報を送信し、The client terminal sends logon information to one LAN switch,
一のLANスイッチが、前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のアドレス情報を記憶し、かつ、前記第一のサーバからアクセス制御情報及びQoS情報を受信して、前記ログオン情報及び前記アドレス情報を他のLANスイッチに送信し、前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、One LAN switch transmits the logon information transmitted from the client terminal to the first server, stores address information of the client terminal, and receives access control information from the first server and Receive QoS information, send the logon information and the address information to another LAN switch, perform access control of the client terminal to the second server based on the access control information, and based on the QoS information Controlling the access priority of the client terminal to the second server;
前記他のLANスイッチが、前記一のLANスイッチから送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバから前記QoS情報を受信し、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御するThe other LAN switch transmits the log-on information transmitted from the one LAN switch to the first server, receives the QoS information from the first server, and based on the QoS information, Control the access priority of the client terminal to the second server
ことを特徴とするユーザ認証QoSポリシー管理方法User authentication QoS policy management method
前記クライアント端末が、一のLANスイッチにログオン情報を送信し、The client terminal sends logon information to one LAN switch,
一のLANスイッチが、前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のアドレス情報を記憶し、かつ、前記第一のサーバからアクセス制御情報及びQoS情報を受信して、前記アドレス情報及び前記QoS情報を他のLANスイッチに送信し、前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、One LAN switch transmits the logon information transmitted from the client terminal to the first server, stores address information of the client terminal, and receives access control information from the first server and Receive QoS information, send the address information and the QoS information to other LAN switches, perform access control of the client terminal to the second server based on the access control information, and based on the QoS information Controlling the access priority of the client terminal to the second server;
前記他のLANスイッチが、前記一のLANスイッチから送信されてきた前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御するThe other LAN switch controls the access priority of the client terminal to the second server based on the QoS information transmitted from the one LAN switch.
ことを特徴とするユーザ認証QoSポリシー管理方法User authentication QoS policy management method
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバからアクセス制御情報及びQoS情報を受信し、かつ、前記ログオン情報及び前記クライアント端末のアドレス情報を他のLANスイッチに送信して、前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、かつ、
他のLANスイッチから送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバから前記QoS情報を受信し、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御する
ことを特徴とするLANスイッチ。 When the client terminal accesses the second server, it is a LAN switch that mediates authentication by the first server and controls access control and access priority.
Send the logon information transmitted from the client terminal to the first server receives the access control information and the QoS information from the first server, and the log information and the address information of the client terminal the send to other LAN switches, performs access control of the client terminal to said second server based on the access control information, access priority of the client terminal to said second server based on the QoS information Control and
The log-in information transmitted from another LAN switch is transmitted to the first server , the QoS information is received from the first server, and the client terminal for the second server based on the QoS information A LAN switch characterized by controlling access priority of
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバからアクセス制御情報及びQoS情報を受信し、かつ、前記クライアント端末のアドレス情報及び前記QoS情報を他のLANスイッチに送信して、前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、かつ、The logon information transmitted from the client terminal is transmitted to the first server, the access control information and the QoS information are received from the first server, and the address information and the QoS information of the client terminal are received. To the other LAN switch to control the access of the client terminal to the second server based on the access control information, and the access priority of the client terminal to the second server based on the QoS information Control and
他のLANスイッチから送信されてきた前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御するThe access priority of the client terminal to the second server is controlled based on the QoS information transmitted from another LAN switch.
ことを特徴とするLANスイッチ。A LAN switch characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002188158A JP3750634B2 (en) | 2002-06-27 | 2002-06-27 | User authentication QoS policy management system, method and LAN switch |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002188158A JP3750634B2 (en) | 2002-06-27 | 2002-06-27 | User authentication QoS policy management system, method and LAN switch |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004032525A JP2004032525A (en) | 2004-01-29 |
JP3750634B2 true JP3750634B2 (en) | 2006-03-01 |
Family
ID=31182990
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002188158A Expired - Fee Related JP3750634B2 (en) | 2002-06-27 | 2002-06-27 | User authentication QoS policy management system, method and LAN switch |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3750634B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012098774A1 (en) | 2011-01-20 | 2012-07-26 | 日本電気株式会社 | NETWORK SYSTEM, CONTROLLER, AND QoS CONTROL METHOD |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE112006000618T5 (en) | 2005-03-15 | 2008-02-07 | Trapeze Networks, Inc., Pleasanton | System and method for distributing keys in a wireless network |
US7551574B1 (en) * | 2005-03-31 | 2009-06-23 | Trapeze Networks, Inc. | Method and apparatus for controlling wireless network access privileges based on wireless client location |
US8638762B2 (en) | 2005-10-13 | 2014-01-28 | Trapeze Networks, Inc. | System and method for network integrity |
US7573859B2 (en) | 2005-10-13 | 2009-08-11 | Trapeze Networks, Inc. | System and method for remote monitoring in a wireless network |
US7724703B2 (en) | 2005-10-13 | 2010-05-25 | Belden, Inc. | System and method for wireless network monitoring |
WO2007044986A2 (en) | 2005-10-13 | 2007-04-19 | Trapeze Networks, Inc. | System and method for remote monitoring in a wireless network |
JP4811577B2 (en) * | 2006-03-09 | 2011-11-09 | 日本電気株式会社 | Wireless LAN system, control method according to service level, and wireless LAN access point |
JP2007267139A (en) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | Authenticated vlan management device |
US7558266B2 (en) | 2006-05-03 | 2009-07-07 | Trapeze Networks, Inc. | System and method for restricting network access using forwarding databases |
US8966018B2 (en) | 2006-05-19 | 2015-02-24 | Trapeze Networks, Inc. | Automated network device configuration and network deployment |
US9258702B2 (en) | 2006-06-09 | 2016-02-09 | Trapeze Networks, Inc. | AP-local dynamic switching |
US8818322B2 (en) | 2006-06-09 | 2014-08-26 | Trapeze Networks, Inc. | Untethered access point mesh system and method |
US9191799B2 (en) | 2006-06-09 | 2015-11-17 | Juniper Networks, Inc. | Sharing data between wireless switches system and method |
US8340110B2 (en) | 2006-09-15 | 2012-12-25 | Trapeze Networks, Inc. | Quality of service provisioning for wireless networks |
US7873061B2 (en) | 2006-12-28 | 2011-01-18 | Trapeze Networks, Inc. | System and method for aggregation and queuing in a wireless network |
US8902904B2 (en) | 2007-09-07 | 2014-12-02 | Trapeze Networks, Inc. | Network assignment based on priority |
US8238942B2 (en) | 2007-11-21 | 2012-08-07 | Trapeze Networks, Inc. | Wireless station location detection |
US8150357B2 (en) | 2008-03-28 | 2012-04-03 | Trapeze Networks, Inc. | Smoothing filter for irregular update intervals |
US8978105B2 (en) | 2008-07-25 | 2015-03-10 | Trapeze Networks, Inc. | Affirming network relationships and resource access via related networks |
US8238298B2 (en) | 2008-08-29 | 2012-08-07 | Trapeze Networks, Inc. | Picking an optimal channel for an access point in a wireless network |
JP2010136014A (en) * | 2008-12-03 | 2010-06-17 | Hitachi Information & Communication Engineering Ltd | Mac address automatic authentication system |
JP5491060B2 (en) * | 2009-04-20 | 2014-05-14 | シャープ株式会社 | Communication speed setting apparatus, communication speed setting apparatus control method, content filtering system, communication speed setting apparatus control program, and computer-readable recording medium |
JP2012070225A (en) * | 2010-09-24 | 2012-04-05 | Hitachi Cable Ltd | Network relay device and transfer control system |
WO2012098779A1 (en) * | 2011-01-20 | 2012-07-26 | 日本電気株式会社 | Network system, controller, and qos control method |
CN112134866B (en) * | 2020-09-15 | 2024-06-14 | 腾讯云计算(北京)有限责任公司 | Service access control method, device and system and computer readable storage medium |
-
2002
- 2002-06-27 JP JP2002188158A patent/JP3750634B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012098774A1 (en) | 2011-01-20 | 2012-07-26 | 日本電気株式会社 | NETWORK SYSTEM, CONTROLLER, AND QoS CONTROL METHOD |
US9203776B2 (en) | 2011-01-20 | 2015-12-01 | Nec Corporation | Network system, controller and QOS control method |
Also Published As
Publication number | Publication date |
---|---|
JP2004032525A (en) | 2004-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3750634B2 (en) | User authentication QoS policy management system, method and LAN switch | |
US7249374B1 (en) | Method and apparatus for selectively enforcing network security policies using group identifiers | |
US7590733B2 (en) | Dynamic address assignment for access control on DHCP networks | |
US8108909B2 (en) | Systems and methods of controlling network access | |
US7657011B1 (en) | Lawful intercept trigger support within service provider networks | |
US6154839A (en) | Translating packet addresses based upon a user identifier | |
US8831011B1 (en) | Point to multi-point connections | |
US9231911B2 (en) | Per-user firewall | |
EP1134955A1 (en) | Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers | |
US20020110123A1 (en) | Network connection control apparatus and method | |
JP2007180998A (en) | Wireless network controller, and wireless network control system | |
US20130283050A1 (en) | Wireless client authentication and assignment | |
US8595482B2 (en) | Packet filtering method for securing security in communications and packet communications system | |
WO2010003322A1 (en) | Method, system and apparatus for controlling terminal access | |
Poger et al. | Secure Public Internet Access Handler ({{{{{SPINACH}}}}}) | |
JP2012070225A (en) | Network relay device and transfer control system | |
WO2020029793A1 (en) | Internet access behavior management system, device and method | |
JP2004048340A (en) | System for controlling access / connection quality to wide area computer communication network | |
CN114640512B (en) | Security service system, access control method, and computer-readable storage medium | |
CN114640514B (en) | Security service system, access control method, and computer-readable storage medium | |
US20220255905A1 (en) | Centralized management control lists for private networks | |
CN118200029A (en) | Zero-trust-based multi-stage gateway application authority management and control method and system | |
JP2003258848A (en) | Method and program for processing packet, recording medium, packet exchanger and information processor | |
AU2237000A (en) | Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050627 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050705 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050831 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051115 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051128 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091216 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091216 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101216 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101216 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111216 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |