JP3996288B2 - 通信ネットワークシステムの管理方法および情報中継装置 - Google Patents
通信ネットワークシステムの管理方法および情報中継装置 Download PDFInfo
- Publication number
- JP3996288B2 JP3996288B2 JP34723598A JP34723598A JP3996288B2 JP 3996288 B2 JP3996288 B2 JP 3996288B2 JP 34723598 A JP34723598 A JP 34723598A JP 34723598 A JP34723598 A JP 34723598A JP 3996288 B2 JP3996288 B2 JP 3996288B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- address
- user
- input
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/44—Star or tree networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
【発明の属する技術分野】
本発明は、通信ネットワークシステムの管理技術および情報中継技術に関し、特に、LAN(LAN: Local Area Network)スイッチ(Layer2 スイッチ、Layer3スイッチ等)と呼ばれるインタネットワーク装置、およびLANスイッチで構成する通信ネットワークシステム(LANスイッチネットワークシステム)の管理方法等に適用して有効な技術に関する。
【0002】
【従来の技術】
LANスイッチが有する特徴技術にVLAN(VLAN: Virtual LAN)がある。VLANはインタネットワーク装置の物理的なポートに依存せずにLANの構築を可能にする技術であり、その形式の違いによってポートベースVLAN、MAC(MAC: Media Access Control)アドレスベースVLAN、Layer3プロトコルベースVLAN、IP(IP: Internet Protocol)サブネットベースVLAN等の名称で知られている。
【0003】
本発明の参考技術では、例えば図7に示すIPサブネットベースVLANの通信ネットワークシステムにおいて複数のポート221〜225を備えたLANスイッチ210はPC(PC: Personal Computer)231からPC233へのパケットを受信すると、パケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブル220を作成する。次に終点IPアドレスをキーにホストテーブル220を参照し、該当エントリが有る場合は、該当ポートにパケットを出力する。該当エントリが無い場合は、ルーティングテーブル(図示無し)およびARP(ARP: Address Resolution Protocol)テーブル(図示無し)を参照してネクストホップを決め、該当するホストテーブル220のエントリを新規に作成して、該当ポートにパケットを出力する。LANスイッチ210はこのようにしてPC231からPC233へのパケットを中継する。
【0004】
さらにLANスイッチ210では、定期的にホストテーブル220のエントリを廃棄し、新たにパケットから学習することによって常にホストテーブル220のエントリを更新しているため、PCが移動した場合でも移動先のポートにパケットを正しく中継することができる。すなわちPCは移動した場合でも移動前と同様の通信を自動的に再開することができる。
【0005】
【発明が解決しようとする課題】
しかしながら、上記参考技術には、次の技術的課題がある。
【0006】
第1の技術的課題は、IPアドレス等の設定ミスに対して無防備なことである。例えばPC232がPC231のIPアドレスを誤って設定、ポート222に接続してしまったとする。この場合、LANスイッチ210ではPC231がポート221からポート222に移動したと判断し、そのようにホストテーブル220を書き換えてしまう。この結果、IPアドレスを正しく使用しているPC231が通信出来なくなる等の通信不良が発生する。また、ネットワークに接続されるPCの数が多い場合には、この通信不良の解析や回復には、多大の労力を要する。
【0007】
第2の技術的課題は、悪意のユーザによる盗聴やなりすましを許してしまうことである。例えばPC235がPC231のIPアドレスを設定、ポート225に接続したとする。この場合、LANスイッチ210ではPC231がポート221からポート225に移動したと判断し、そのようにホストテーブル220を書き換えてしまう。この結果、PC235がPC231宛の通信データを受け取って盗聴したり、またPC231になりすまして通信できてしまう。
【0008】
本発明の目的は、論理的あるいは物理的なネットワークアドレス等の設定ミスによる通信不良の防止や通信不良の原因解析および回復操作の迅速化が可能な通信ネットワークシステムの管理技術および情報中継技術を提供することにある。
【0009】
本発明の他の目的は、悪意のユーザによる盗聴やなりすましを防ぐことで通信ネットワークシステムのセキュリティを向上させることが可能な通信ネットワークシステムの管理技術および情報中継技術を提供することにある。
【0010】
【課題を解決するための手段】
本発明は、LANスイッチ等の情報中継装置に備えられた複数の入出力ポートにユーザ端末や他の中継装置を接続して構築され、入出力ポートに対するユーザ端末等の接続状態の変化を学習して、入出力ポートとネットワークアドレスとの対応関係を管理する制御テーブルを更新することで、個々のユーザ端末の入出力ポートに対する接続状態を動的に変更することが可能な通信ネットワークの管理方法において、各ユーザ端末間、すなわち複数の入出力ポート間で通信情報の授受を契機とする制御テーブルの更新要求が発生した時、当該通信情報の送信元のユーザ端末に対してユーザ認証を実行し、真正のユーザであることが確認された場合にのみ、制御テーブルの更新およびそれに基づく通信情報の授受を行わせるものである。
【0011】
また、各ユーザ端末およびシステム管理者の連絡先メールアドレスを、ユーザ認証に用いられるネットワークアドレスやユーザ名、パスワード等が格納された認証テーブルの一部に登録しておき、制御テーブルの更新要求の発生時に、当該更新要求が発生したことを記したメッセージを通信情報の送信元のユーザ端末やシステム管理者等にメールで送るものである。この際、ユーザ認証の成功の有無に関係なく、当該ユーザ認証にて得られたユーザ名を当該メッセージ内に格納する。
【0012】
より具体的には、本発明は、以下の特徴を有する。
【0013】
第1の観点では、本発明は、LANスイッチで構成する通信ネットワークシステムにおいて、IPアドレス等の設定ミスによる通信不良、悪意のユーザによる盗聴やなりすましを防ぐことができるLANスイッチネットワークシステムの管理方法であって、例えば図1に示すIPサブネットベースVLANの通信ネットワークシステムにおいて、(a)PC31〜34はLANスイッチ11に予めIPアドレスとそのユーザ名、パスワード、連絡先メールアドレスを登録し、(b)LANスイッチ11の管理者も同様にLANスイッチ11に予め連絡先メールアドレスを登録し、(c)LANスイッチは前記PC31〜34および前記LANスイッチ11の管理者の情報を登録する認証テーブル16を作成し、(d)さらにLANスイッチ11はPC31からPC33へのパケットを受信すると、パケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブル14(図2)を作成し、このとき前記ホストテーブル14の中に前記始点IPアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、該パケットの受信ポートで且つ該パケットの始点IPアドレスのPCにユーザ名とパスワードを要求するとともに、ユーザ名とパスワードが返されるのを待って、前記認証テーブル16の中の前記始点IPアドレスに該当する連絡先メールアドレスにホストテーブル14の書き換え要求が発生した旨を伝えるメッセージ(本メッセージの中にPCから返されたユーザ名を情報として入れる。)を送り、さらに予め認証テーブル16に登録されているユーザ名とパスワードが得られなかった場合(一定時間内に応答が返されなかった場合も含む)は、ホストテーブル14のエントリ書き換えを中止するとともに該パケットを廃棄し、予め認証テーブル16に登録されているユーザ名とパスワードが得られた場合は、終点IPアドレスをキーにホストテーブル14を参照し、該当エントリが有る場合は、該当ポートにパケットを出力し、該当エントリが無い場合は、ルーティングテーブル(図示無し)およびARPテーブル(図示無し)を参照してネクストホップを決め、該当するホストテーブル14のエントリを新規に作成して、該当ポートにパケットを出力することを特徴とするLANスイッチネットワークシステムの管理方法を提供する。
【0014】
上記第1の観点によるLANスイッチネットワークシステムの管理方法では、PC31はポート21から他のポートに移動した場合でも移動前と同様の通信を自動的に再開することができるが、その際、LANスイッチ11から予め登録したユーザ名とパスワードの入力を求められるため、そのパスワードを知っているPC31以外がPC31を装って盗聴したり、なりすましたりすることが出来なくなる。またPC32がPC31のIPアドレスを誤って設定、ポート22に接続してしまった場合でも、PC31およびLANスイッチ11の管理者にその旨を伝えるメッセージ(本メッセージの中にPC32のユーザ名が入れられている)が送られるので、PC31のユーザやLANスイッチ11の管理者は容易に障害原因の切り分け(解析)を行うことができ、迅速な回復処理が可能になる。
【0015】
第2の観点では、本発明は、(a)各ポート21〜25との間でパケットの送受信を行う通信処理手段12と、(b)前記通信処理手段12から渡されたパケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブル14(図2)を作成し、このとき前記ホストテーブル14の中に前記始点IPアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、書き換えて(新規作成も含む)良いか認証処理手段15に問い合わせ、その結果、書き換え禁止の通知を受けた場合は、前記ホストテーブル14のエントリ書き換えを中止するとともに該パケットを廃棄し、書き換え許可の通知を受けた場合は、終点IPアドレスをキーに前記ホストテーブル14を参照し、該当エントリが有る場合は、該当ポートへのパケット出力を前記通信処理手段12に指示し、該当エントリが無い場合は、ルーティングテーブル(図示無し)およびARPテーブル(図示無し)を参照してネクストホップを決め、前記ホストテーブル14に該当するエントリを新規に作成して、該当ポートへのパケット出力を前記通信処理手段12に指示する中継処理手段13と、(c)予め管理端末(図示無し)等を介して入力された各PC31〜34のIPアドレス、ユーザ名、パスワード、連絡先メールアドレス等を登録して認証テーブル16を作成し、前記中継処理手段13から指示されると、指示されたIPアドレスのPCにユーザ名とパスワードの入力を要求するメッセージを作成して、該パケットの受信ポートへの送出を前記通信処理手段12に指示するとともに、ユーザ名とパスワードが返されるのを待って、前記認証テーブル16の中の前記IPアドレスに該当する連絡先メールアドレスにホストテーブル14のエントリ書き換え要求が発生した旨を伝えるメッセージ(本メッセージの中にPCから返されたユーザ名を情報として入れる)を作成して前記通信処理手段12に送出を指示し、さらに予め認証テーブル16に登録されているユーザ名とパスワードが得られなかった場合(一定時間内に応答が返されなかった場合も含む)は、前記ホストテーブル14のエントリの書き換え禁止を前記中継処理手段13に通知し、予め認証テーブル16に登録されているユーザ名とパスワードが得られた場合は、前記ホストテーブル14のエントリの書き換え許可を前記中継処理手段13に通知する認証処理手段15とを具備したことを特徴とするLANスイッチ11を提供する。
【0016】
上記第2の観点によるLANスイッチ11によれば、上記第1の観点のLANスイッチネットワークシステムの管理方法を好適に実施できるようになる。
【0017】
第3の観点では、本発明は、上記構成のLANスイッチ11において、前記認証処理手段15は、前記中継処理手段13から指示されたホストテーブル14のエントリのIPアドレスのPCにユーザ名とパスワードの入力を要求するメッセージを作成して、該パケットの受信ポートへの送出を前記通信処理手段12に指示し、予め認証テーブル16に登録されているユーザ名とパスワードが得られなかった場合(一定時間内に応答が返されなかった場合も含む)は、前記ホストテーブル14のエントリの書き換え禁止を前記中継処理手段13に通知するだけでなく、該パケットを受信したポートの切り離しや該ポートから受信する全てのパケットの廃棄を前記中継処理手段13に指示することを特徴とするLANスイッチ11を提供する。
【0018】
上記第3の観点によるLANスイッチ11によれば、IPアドレス等の設定ミスや悪意のユーザが他のPCのアドレスを使って盗聴やなりすまして通信を行おうとすることによるユーザ名とパスワードの入力要求の繰り返しのトラヒック負荷を減らすことができる。
【0019】
第4の観点では、本発明は、上記構成のLANスイッチ11において、前記認証処理手段15は、前記中継処理手段13から指示されたホストテーブル14のエントリのIPアドレスのPCにユーザ名とパスワードの入力を要求するメッセージを作成して、該パケットの受信ポートへの送出を前記通信処理手段12に指示し、予め認証テーブル16に登録されているユーザ名とパスワードが得られなかった場合(一定時間内に応答が返されなかった場合も含む)は、前記ホストテーブル14のエントリの書き換え禁止を前記中継処理手段13に通知するだけでなく、該パケットの始点IPアドレスと同一VLANに属す全てのPCのユーザに、IPアドレス等の設定ミスや悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行おうとしている可能性があることを警告するメッセージを作成して、前記通信処理手段12に指示して送出させることを特徴とするLANスイッチ11を提供する。
【0020】
また、第4の観点の別の側面として、本発明は、上記構成のLANスイッチ11において、前記認証処理手段15は、前記中継処理手段13から指示されたホストテーブル14のエントリのIPアドレスのPCにユーザ名とパスワードの入力を要求するメッセージを作成して、該パケットの受信ポートへの出力を前記通信処理手段12に指示し、予め認証テーブル16に登録されているユーザ名とパスワードが得られなかった場合(一定時間内に応答が返されなかった場合も含む)のみ、前記認証テーブル16の中の前記始点IPアドレスに該当する連絡先メールアドレスにホストテーブル14の書き換え失敗が発生した旨を伝えるメッセージを作成して、前記通信処理手段12に指示して送出させることを特徴とするLANスイッチ11を提供する。
【0021】
上記第4の観点による前者のLANスイッチ11によれば、IPアドレス等の設定ミスや悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行おうとしていることを、当事者だけでなく、その後同じ事が起きる可能性があるユーザにも事前に警告を発することができる。
【0022】
また上記第4の観点による後者のLANスイッチ11によれば、書き換え成功時(真正なユーザが正常な使用範囲で通信している場合)に真正なユーザに送られてくるメールを無くしてトラヒック量を減らすとともに、書き換えに失敗する場合のみ、その旨を伝えることによって、より迅速な障害原因の切り分け(解析)および回復処理が可能となる。
【0023】
第5の観点では、本発明は、上記構成のLANスイッチ11において、前記認証処理手段15は、ホストテーブル14のエントリの新規作成時や書き換え時ではなく、各エントリについて定期的にユーザ名とパスワードの問い合わせを行うことを特徴とするLANスイッチ11を提供する。
【0024】
上記第5の観点によるLANスイッチ11によれば、パケットを受信するのみで自ら発信を行わないPCについても、IPアドレス等の設定ミスをしていないか、悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行っていないかチェックすることができる。
【0025】
また上記第5の観点によるLANスイッチによれば、ポート接続ミス・IPアドレス設定ミス等や、悪意のユーザが、それまで真正なユーザのPCが接続していたポートに、その真正なユーザのIPアドレスを設定してPCを接続し、盗聴やなりすましの通信を行っていないかチェックすることができる。
【0026】
第6の観点では、本発明は、上記構成のLANスイッチ11において、前記中継処理手段13は、受信パケットの始点IPアドレスに該当するホストテーブル14のエントリの新規作成時や書き換えが発生した場合に、それを書き換えて良いか前記認証処理手段15に問い合わせるだけでなく、受信パケットの終点IPアドレスについても同様に、該当するホストテーブル14のエントリの新規作成時や書き換えが発生した場合に、それを書き換えて良いか前記認証処理手段15に問い合わせることを特徴とするLANスイッチ11を提供する。
【0027】
上記第6の観点によるLANスイッチ11によれば、パケットを受信するのみで自ら発信を行わないPCについても、IPアドレス等の設定ミスをしていないか、悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行っていないかチェックすることができる。
【0028】
また上記第6の観点によるLANスイッチによれば、ポート接続ミス・IPアドレス設定ミス等や、悪意のユーザが、それまで真正なユーザのPCが接続していたポートに、その真正なユーザのIPアドレスを設定してPCを接続し、盗聴やなりすましの通信を行っていないかチェックすることができる。
【0029】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照しながら詳細に説明する。なお、これにより本発明が限定されるものではない。
【0030】
図1は、本発明の第1の実施形態である通信ネットワークシステムの管理方法を実施するLANスイッチの構成、および当該LANスイッチが適用されるIPサブネットベースVLANの一例を示す概念図である。また、図2および図3は、本実施の形態のLANスイッチにて用いられる各種制御情報の一例を示す概念図、図4、図5および図6は、本実施の形態の通信ネットワークシステムの管理方法およびLANスイッチの作用の一例を示すフローチャートである。
【0031】
本実施の形態のLANスイッチ11は、受信したパケット(通信情報)から学習して作成した図2のようなホストテーブル14に基づき各ポート21〜25間のパケットの中継を行うことにより、PC31〜34の間の通信を実現するものであり、通信処理手段12と、中継処理手段13と、認証処理手段15とから構成される。
【0032】
前記通信処理手段12は、各ポート21〜25との間でパケットの送受信を行う手段であり、例えばCPU、ASIC、RAM、ROM等の電子デバイスで構成される。
【0033】
前記中継処理手段13は、ホストテーブル14に基づき各ポート21〜25間のパケットの中継を行う手段であり、例えばCPU、ASIC、RAM、ROM等の電子デバイスで構成される。
【0034】
図2に例示されるように、ホストテーブル14は、始点IPアドレス14a、始点MACアドレス14b、終点MACアドレス14c、ポート番号14d、当該ポートが帰属するVLAN等のネットワークを示す帰属ネットワーク14e、等の情報が対応付けられて格納されている。
【0035】
前記認証処理手段15は、ホストテーブル14の書き換え可不可の判定を行う手段であり、例えばCPU、ASIC、RAM、ROM等の電子デバイスで構成される。書き換え可不可の判定の基となる情報は認証テーブル16(後述)に予め登録、保持している。
【0036】
図3は、本実施の形態のLANスイッチ11にて用いられる認証テーブル16の構成図である。認証テーブル16には、PC31〜34のIPアドレス16aと、そのPCを使用しているユーザ名16b、パスワード16c、連絡先メールアドレス16dが予めコンソール端末(図示無し)等を介して登録されている。
【0037】
先ず、PC31からPC33に通信する場合の動作について説明する。
【0038】
図4は、PC31からPC33に通信する場合の本実施の形態のLANスイッチ11および通信ネットワークシステムの管理方法の動作の一例を示すフローチャートである。
【0039】
なお各PC31〜34はLANスイッチ11に予めIPアドレスとそのユーザ名、パスワード、連絡先メールアドレスを登録し、LANスイッチ11の管理者も同様にLANスイッチ11に予め連絡先メールアドレスを登録し、LANスイッチ11は前記PC31〜34および前記LANスイッチ11の管理者の情報を登録する認証テーブル16を作成してあるものとする。
【0040】
PC31は、PC33宛のパケットを作成してポート21に送出する(ステップ101)。
【0041】
LANスイッチ11の通信処理手段12は、前記パケットをポート21から受信処理して中継処理手段13に渡す(ステップ102)。
【0042】
中継処理手段13は、受信パケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブル14を作成する。このときホストテーブル14の中に前記始点IPアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、該エントリを書き換えて(新規作成も含む)良いか認証処理手段15に問い合わせる(ステップ103)。書き換える必要(新規作成も含む)が無い場合はステップ110に進む。本ケースは通信開始の1パケット目のケースであり、新規作成するため次ステップに進むものとする。2パケット目以降のケースではステップ110に進む。
【0043】
認証処理手段15は、ユーザ名とパスワードの入力要求メッセージ(メッセージAと呼ぶ。)を作成して通信処理手段12に送出を指示した後、一定時間待つ(ステップ104)。
【0044】
通信処理手段12は、メッセージAを該パケットの受信ポート(この場合、ポート21)の該IPアドレス宛に送出する(ステップ105)。
【0045】
通信処理手段12は、メッセージAの応答メッセージ、すなわちユーザ名とパスワードの入力メッセージ(メッセージBと呼ぶ。)をPC31から受信すると、受信処理して認証処理手段15に渡す(ステップ106)。
【0046】
認証処理手段15は、メッセージBに格納されているIPアドレス、ユーザ名、パスワードと、認証テーブル16に書かれているIPアドレス16a、ユーザ名16b、パスワード16cを比較して一致することを確認した後、認証テーブル16の該当エントリに登録されている連絡先メールアドレス16dにホストテーブル14の書き換え要求が発生した旨を伝えるメッセージ(メッセージCと呼ぶ。メッセージCの中にはメッセージBに格納されているユーザ名を情報として入れる。)を作成して通信処理手段12に送出を指示する(ステップ107)とともに、書き換え許可の旨を中継処理手段13に通知する(ステップ109)。
【0047】
通信処理手段12は、メッセージCを該メールアドレス宛に送出する(ステップ108)。
【0048】
一方、中継処理手段13は、認証処理手段15から書き換え許可の旨の通知を受けると、ホストテーブル14の該当エントリの書き換えを行い、次に終点IPアドレスをキーにホストテーブル14を参照し、該当エントリが有る場合は、該当ポートへのパケット出力を通信処理手段12に指示し、該当エントリが無い場合は、ルーティングテーブル(図示無し)およびARPテーブル(図示無し)を参照してネクストホップを決め、該当するホストテーブル14のエントリを新規に作成して、該当ポートへのパケット出力を通信処理手段12に指示する(ステップ110)。
【0049】
通信処理手段12は、該パケットを該当ポートに送出する(ステップ111)。
【0050】
以上により、PC31からPC33への通信を開始することが出来る。
【0051】
次にPC31がポート21からポート25に移動した後、PC33に通信する場合の動作について説明する。
【0052】
PC31のIPアドレスに該当するエントリが既にホストテーブル14にできている点が前述のケースと異なるが、動作は図4に示すフローチャートと同じ動きをする。
【0053】
PC31は、PC33宛のパケットを作成してポート21に送出する(ステップ101)。
【0054】
LANスイッチ11の通信処理手段12は、前記パケットを受信処理して中継処理手段13に渡す(ステップ102)。
【0055】
中継処理手段13は、受信パケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブル14を作成する。このときホストテーブル14の中に前記始点IPアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、該エントリを書き換えて(新規作成も含む)良いか認証処理手段15に問い合わせる(ステップ103)。書き換える必要(新規作成も含む)が無い場合はステップ110に進む。本ケースは移動後の通信再開の1パケット目のケースであり、エントリの情報を書き換えるため次ステップに進むものとする。2パケット目以降のケースではステップ110に進む。
【0056】
認証処理手段15は、ユーザ名とパスワードの入力要求メッセージ(メッセージAと呼ぶ。)を作成して通信処理手段12に送出を指示した後、一定時間待つ(ステップ104)。
【0057】
通信処理手段12は、メッセージAを該パケットの受信ポートの該IPアドレス宛に送出する(ステップ105)。
【0058】
通信処理手段12は、メッセージAの応答メッセージ、すなわちユーザ名とパスワードの入力メッセージ(メッセージBと呼ぶ。)を受信すると、受信処理して認証処理手段15に渡す(ステップ106)。
【0059】
認証処理手段15は、メッセージBに格納されているIPアドレス、ユーザ名、パスワードと、認証テーブル16に書かれているIPアドレス16a、ユーザ名16b、パスワード16cを比較して一致することを確認した後、認証テーブル16の該当エントリに登録されている連絡先メールアドレス16dにホストテーブル14の書き換え要求が発生した旨を伝えるメッセージ(メッセージCと呼ぶ。メッセージCの中にはメッセージBに格納されているユーザ名を情報として入れる。)を作成して通信処理手段12に送出を指示する(ステップ107)とともに、書き換え許可の旨を中継処理手段13に通知する(ステップ109)。
【0060】
通信処理手段12は、メッセージCを該メールアドレス宛に送出する(ステップ108)。
【0061】
一方、中継処理手段13は、認証処理手段15から書き換え許可の旨の通知を受けると、ホストテーブル14の該当エントリの書き換えを行い、次に終点IPアドレスをキーにホストテーブル14を参照し、該当エントリが有る場合は、該当ポートへのパケット出力を通信処理手段12に指示し、該当エントリが無い場合は、ルーティングテーブル(図示無し)およびARPテーブル(図示無し)を参照してネクストホップを決め、該当するホストテーブル14のエントリを新規に作成して、該当ポートへのパケット出力を通信処理手段12に指示する(ステップ110)。
【0062】
通信処理手段12は、該パケットを該当ポート(この場合、ポート25)に送出する(ステップ111)。
【0063】
以上により、PC31はポート21からポート25へ移動後も、PC33との通信を自動的に再開することが出来る。
【0064】
次にPC32がPC31のIPアドレスを誤って設定、ポート22に接続してしまい、PC33との通信を開始した場合の動作について説明する。
【0065】
図5は、PC32がPC31のIPアドレスを誤って設定、ポート22に接続してしまい、PC33との通信を開始した場合における、本実施の形態のLANスイッチ11および通信ネットワークシステムの管理方法の動作の一例を示すフローチャートである。
【0066】
PC32は、PC33宛のパケットを作成してポート21に送出する(ステップ121)。
【0067】
LANスイッチ11の通信処理手段12は、前記パケットを受信処理して中継処理手段13に渡す(ステップ102)。
【0068】
中継処理手段13は、受信パケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブル14を作成する。このときホストテーブル14の中に前記始点IPアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、該エントリを書き換えて(新規作成も含む)良いか認証処理手段15に問い合わせる(ステップ103)。書き換える必要(新規作成も含む)が無い場合はステップ110に進む。本ケースはPC32がPC31のIPアドレスを誤って設定、ポート22に接続してしまい、PC33との通信を開始した1パケット目のケースであり、エントリの情報を書き換えるため次ステップに進むものとする。なお本ケースでは結果としてエントリの情報の書き換えに失敗するため、2パケット目以降のケースも次ステップに進むことになる。
【0069】
認証処理手段15は、ユーザ名とパスワードの入力要求メッセージ(メッセージAと呼ぶ。)を作成して通信処理手段12に送出を指示した後、一定時間待つ(ステップ104)。
【0070】
通信処理手段12は、メッセージAを該パケットの受信ポート(この場合、ポート22)の該IPアドレス宛に送出する(ステップ105)。
【0071】
通信処理手段12は、メッセージAの応答メッセージ、すなわちユーザ名とパスワードの入力メッセージ(メッセージBと呼ぶ。)を受信すると、受信処理して認証処理手段15に渡す(ステップ106)。
【0072】
認証処理手段15は、メッセージBに格納されているIPアドレス、ユーザ名、パスワードと、認証テーブル16に書かれているIPアドレス16a、ユーザ名16b、パスワード16cを比較して一致していないことを確認した後、認証テーブル16の該当エントリに登録されている連絡先メールアドレス16dにホストテーブル14の書き換え要求が発生した旨を伝えるメッセージ(メッセージCと呼ぶ。メッセージCの中にはメッセージBに格納されているユーザ名を情報として入れる。)を作成して通信処理手段12に送出を指示する(ステップ108)とともに、書き換え禁止の旨を中継処理手段13に通知する(ステップ122)。
【0073】
通信処理手段12は、メッセージCを該メールアドレス宛に送出する(この場合、メッセージCは、PC32において謝って設定されたIPアドレスの真正の所有者であるPC31宛にメッセージCが送られる。)(ステップ108)。
【0074】
一方、中継処理手段13は、認証処理手段15から書き換え禁止の旨の通知を受けると、ホストテーブル14の該当エントリの書き換えを中止し、該パケットを廃棄する(ステップ123)。
【0075】
以上により、PC32がPC31のIPアドレスを誤って設定、ポート22に接続してしまった場合でも、真正のPC31およびLANスイッチ11の管理者にその旨を伝えるメッセージ(本メッセージの中に誤設定操作を行ったPC32のユーザ名が入れられている)が送られるので、PC31のユーザやLANスイッチ11の管理者は容易に障害原因の切り分けを行うことができ、迅速な回復処理が可能となる。
【0076】
次に悪意のユーザのPC35がPC31のIPアドレスを設定、ポート25に接続し、PC33との通信を開始した場合の動作について説明する。
【0077】
図6は、悪意のユーザのPC35がPC31のIPアドレスを設定、ポート25に接続し、PC33との通信を開始した場合における、本実施の形態のLANスイッチ11および通信ネットワークシステムの管理方法の動作の一例を示すフローチャートである。
【0078】
PC35は、PC33宛のパケットを作成してポート25に送出する(ステップ131)。
【0079】
LANスイッチ11の通信処理手段12は、前記パケットを受信処理して中継処理手段13に渡す(ステップ102)。
【0080】
中継処理手段13は、受信パケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブル14を作成する。このときホストテーブル14の中に前記始点IPアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、該エントリを書き換えて(新規作成も含む)良いか認証処理手段15に問い合わせる(ステップ103)。書き換える必要(新規作成も含む)が無い場合はステップ110に進む。本ケースは悪意のユーザのPC35がPC31のIPアドレスを設定、ポート25に接続し、PC33との通信を開始した1パケット目のケースであり、エントリの情報を書き換えるため次ステップに進むものとする。なお本ケースでは結果としてエントリの情報の書き換えに失敗するため、2パケット目以降のケースも次ステップに進むことになる。
【0081】
認証処理手段15は、ユーザ名とパスワードの入力要求メッセージ(メッセージAと呼ぶ。)を作成して通信処理手段12に送出を指示した後、一定時間待つ(ステップ104)。
【0082】
通信処理手段12は、メッセージAを該パケットの受信ポート(この場合、ポート25)の該IPアドレス宛に送出する(ステップ105)。
【0083】
通信処理手段12は、メッセージAの応答メッセージ、すなわちユーザ名とパスワードの入力メッセージ(メッセージBと呼ぶ。)を受信すると、受信処理して認証処理手段15に渡す(ステップ106)。
【0084】
認証処理手段15は、メッセージBに格納されているIPアドレス、ユーザ名、パスワードと、認証テーブル16に書かれているIPアドレス16a、ユーザ名16b、パスワード16cを比較して一致していないことを確認した後、認証テーブル16の該当エントリに登録されている連絡先メールアドレス16dにホストテーブル14の書き換え要求が発生した旨を伝えるメッセージ(メッセージCと呼ぶ。メッセージCの中にはメッセージBに格納されているユーザ名を情報として入れる。メッセージBにユーザ名が入れられてない場合や一定時間内にメッセージBが送られてこなかった場合はその旨を伝える情報を入れる。)を作成して通信処理手段12に送出を指示する(ステップ122)とともに、書き換え禁止の旨を中継処理手段13に通知する(ステップ109)。
【0085】
通信処理手段12は、メッセージCを該メールアドレス宛に送出する(この場合、メッセージCは、パケットの送信元のPC35ではなく、真正のユーザであるPC31に届く)(ステップ108)。
【0086】
一方、中継処理手段13は、認証処理手段15から書き換え禁止の旨の通知を受けると、ホストテーブル14の該当エントリの書き換えを中止し、該パケットを廃棄する(ステップ123)。
【0087】
また、メッセージCを受け取ったシステムの管理者は、メッセージCに格納されている情報に基づいて事態を把握し、対策をとることができる。
【0088】
以上により、悪意のユーザのPC35がPC31のIPアドレスを設定し、ポート25に接続しても、PC35は予めPC31がLANスイッチ11に登録したユーザ名とパスワードの入力を求められ、それに正しく応えられないため、ホストテーブル14の書き換えは行われず、したがってPC35がPC31を装って盗聴したり、なりすましたりすることを防ぐことができる。
【0089】
次に、第1の実施例とは別の実施例について説明する。
【0090】
第1の実施例ではLANスイッチ11において、認証処理手段15は、中継処理手段13から指示されたホストテーブル14のエントリのIPアドレスのPCにユーザ名とパスワードの入力を要求するメッセージAを作成して、該パケットの受信ポートへの送出を通信処理手段12に指示し、予め認証テーブル16に登録されているユーザ名とパスワードが得られなかった場合(一定時間内に応答が返されなかった場合も含む)は、前記ホストテーブル14のエントリの書き換え禁止を前記中継処理手段13に通知しているが、さらにそれに加えて該パケットを受信したポートの切り離し(閉塞)や該ポートから受信する全てのパケットの廃棄を前記中継処理手段13に指示するようにしても良い。以上により、IPアドレス等の設定ミスや悪意のユーザが他のPCのアドレスを使って盗聴やなりすまして通信を行おうとすることによるユーザ名とパスワードの入力要求の繰り返しのトラヒック負荷を減らすことができる。
【0091】
また、第1の実施例ではLANスイッチ11において、認証処理手段15は、中継処理手段13から指示されたホストテーブル14のエントリのIPアドレスのPCにユーザ名とパスワードの入力を要求するメッセージAを作成して、該パケットの受信ポートへの送出を通信処理手段12に指示し、予め認証テーブル16に登録されているユーザ名とパスワードが得られなかった場合(一定時間内に応答が返されなかった場合も含む)は、前記ホストテーブル14のエントリの書き換え禁止を前記中継処理手段13に通知しているが、さらにそれに加えて該パケットの始点IPアドレスと同一VLANに属す全てのPCのユーザに、IPアドレス等の設定ミスや悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行おうとしている可能性があることを警告するメッセージを作成して、前記通信処理手段12に指示して送出させても良い。以上により、IPアドレス等の設定ミスや悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行おうとしていることを、当事者だけでなく、その後同じ事が起きる可能性があるユーザにも事前に警告を発することができる。
【0092】
また、第1の実施例ではLANスイッチ11において、認証処理手段15は、ホストテーブル14のエントリの新規作成や書き換えが発生し、中継処理手段13から書き換え(新規作成を含む)て良いか問い合わせを受けた時に該エントリのIPアドレスのPCにユーザ名とパスワードの入力を要求しているが、定期的に各エントリのIPアドレスのPCにユーザ名とパスワードの入力を要求して真正のユーザか否かを確認するユーザ認証を行っても良い。以上により、パケットを受信するのみで自ら発信を行わないPCについても、IPアドレス等の設定ミスをしていないか、悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行っていないかチェックすることができる。
【0093】
また、第1の実施例ではLANスイッチ11において、中継処理手段13は、受信パケットの始点IPアドレスに該当するホストテーブル14のエントリの新規作成時や書き換えが発生した場合に、それを書き換えて良いか認証処理手段15に問い合わせるだけでなく、受信パケットの終点IPアドレスについても同様に、該当するホストテーブル14のエントリの新規作成時や書き換えが発生した場合に、それを書き換えて良いか前記認証処理手段15に問い合わせ、書き換え許可がおりた場合のみ該エントリの書き換えを行うようにしても良い。以上により、パケットを受信するのみで自ら発信を行わないPCについても、IPアドレス等の設定ミスをしていないか、悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行っていないかチェックすることができる。
【0094】
また、第1の実施例ではIPサブネットベースVLANの例を用いて説明しているが、ポートベースVLAN、MACアドレスベースVLAN、Layer3プロトコルベースVLAN等の他の形式のVLANでも同様である。
【0095】
以上のように、本発明の各実施の形態の通信ネットワークの管理方法およびLANスイッチによれば、悪意のユーザによる盗聴やなりすましを防ぐことができ、通信ネットワークシステムのセキュリティが向上する。
【0096】
また、ユーザ認証にて得られたユーザ名等の情報を真正のユーザやシステムの管理者にメールで通知することにより、IPアドレス等の設定ミスによる障害原因を容易に切り分けられるようになり、迅速な回復処理が可能になる。
【0097】
上記した特許請求の範囲に記載された以外の本発明の特徴を列挙すれば以下の通りである。
【0098】
すなわち、
<1> LANスイッチで構成する通信ネットワークシステムの管理方法であって、(a)各PCはLANスイッチに予めIPアドレスとそのユーザ名、パスワード、連絡先メールアドレスを登録し、(b)LANスイッチの管理者も同様にLANスイッチに予め連絡先メールアドレスを登録し、(c)LANスイッチは前記PCおよび前記LANスイッチの管理者の情報を登録する認証テーブルを作成し、(d)さらにLANスイッチは各PC間の通信のパケットを受信すると、該パケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブルを作成し、このとき前記ホストテーブルの中に前記始点IPアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、該パケットの受信ポートで且つ該パケットの始点IPアドレスのPCにユーザ名とパスワードを要求するとともに、ユーザ名とパスワードが返されるのを待って、前記ホストテーブルの書き換え要求が発生した旨を伝えるメッセージを作成し、該メッセージの中にPCから返されたユーザ名を情報として入れ、前記認証テーブルの中の前記始点IPアドレスに該当する連絡先メールアドレスに送り、さらに予め前記認証テーブルに登録されているユーザ名とパスワードが得られなかった場合や一定時間内に応答が返されなかった場合は、前記ホストテーブルのエントリ書き換えを中止するとともに該パケットを廃棄し、予め前記認証テーブルに登録されているユーザ名とパスワードが得られた場合は、終点IPアドレスをキーに前記ホストテーブルを参照し、該当エントリが有る場合は、該当ポートにパケットを出力し、該当エントリが無い場合は、該当するホストテーブルのエントリを新規に作成して、該当ポートにパケットを出力することを特徴とする通信ネットワークシステムの管理方法。
【0099】
<2> 前記<1>記載の通信ネットワークシステムの管理方法において、LANスイッチは、予め前記認証テーブルに登録されているユーザ名とパスワードが得られなかった場合や一定時間内に応答が返されなかった場合に、前記ホストテーブルのエントリ書き換えを中止し、該パケットを廃棄することに加えて、さらに該パケットを受信したポートの切り離しや該ポートから受信する全てのパケット廃棄を行うことを特徴とする通信ネットワークシステムの管理方法。
【0100】
<3> 前記<1>記載の通信ネットワークシステムの管理方法において、LANスイッチは、予め前記認証テーブルに登録されているユーザ名とパスワードが得られなかった場合や一定時間内に応答が返されなかった場合に、前記ホストテーブルのエントリ書き換えを中止し、該パケットを廃棄することに加えて、さらに該パケットの始点IPアドレスと同一VLANに属す全てのPCのユーザに、IPアドレス等の設定ミスや悪意のユーザが他のPCのアドレスを使って盗聴やなりすましの通信を行おうとしている可能性があることを警告するメッセージを作成して送ることを特徴とする通信ネットワークシステムの管理方法。
【0101】
<4> 前記<1>記載の通信ネットワークシステムの管理方法において、LANスイッチは、ホストテーブルのエントリ新規作成時や書き換えが発生した場合に該エントリのIPアドレスのPCにユーザ名とパスワードの入力を要求することに加えて、さらに定期的に各エントリのIPアドレスのPCにユーザ名とパスワードの入力を要求することを特徴とする通信ネットワークシステムの管理方法。
【0102】
<5> 前記<1>記載の通信ネットワークシステムの管理方法において、LANスイッチは、受信パケットの始点IPアドレスに該当するホストテーブルのエントリの新規作成時や書き換えが発生した場合に該エントリのIPアドレスのPCにユーザ名とパスワードの入力を要求することに加えて、さらに該パケットの終点IPアドレスに該当するホストテーブルのエントリの新規作成時や書き換えが発生した場合に該エントリのIPアドレスのPCにユーザ名とパスワードの入力を要求し、始点IPアドレスと同様に終点IPアドレスについても、予め認証テーブルに登録されているユーザ名とパスワードが得られた場合のみ該エントリの書き換えを行うことを特徴とする通信ネットワークシステムの管理方法。
【0103】
<6> (a)各ポートとの間でパケットの送受信を行う通信処理手段と、(b)前記通信処理手段から渡されたパケットの始点MACアドレス、終点MACアドレス、始点IPアドレスを学習してホストテーブルを作成し、このとき前記ホストテーブルの中に前記始点IPアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、新規作成または書き換えて良いか認証処理手段に問い合わせ、その結果、書き換え禁止の通知を受けた場合は、前記ホストテーブルのエントリ書き換えを中止するとともに該パケットを廃棄し、書き換え許可の通知を受けた場合は、終点IPアドレスをキーに前記ホストテーブルを参照し、該当エントリが有る場合は、該当ポートへのパケット出力を前記通信処理手段に指示し、該当エントリが無い場合は、前記ホストテーブルに該当するエントリを新規に作成して、該当ポートへのパケット出力を前記通信処理手段に指示する中継処理手段と、(c)予め管理端末等を介して入力された各PCのIPアドレス、ユーザ名、パスワード、連絡先メールアドレス等を登録して認証テーブルを作成し、前記中継処理手段から指示されると、指示されたIPアドレスのPCにユーザ名とパスワードの入力を要求するメッセージを作成して、前記パケットの受信ポートへの送出を前記通信処理手段に指示するとともに、ユーザ名とパスワードが返されるのを待って、前記認証テーブルの中の前記IPアドレスに該当する連絡先メールアドレスに前記ホストテーブルのエントリ書き換え要求が発生した旨を伝えるメッセージを作成し、該メッセージの中にPCから返されたユーザ名を情報として入れ、前記通信処理手段に送出を指示し、さらに予め前記認証テーブルに登録されているユーザ名とパスワードが得られなかった場合や一定時間内に応答が返されなかった場合は、前記ホストテーブルのエントリの書き換え禁止を前記中継処理手段に通知し、予め認証テーブルに登録されているユーザ名とパスワードが得られた場合は、前記ホストテーブルのエントリの書き換え許可を前記中継処理手段に通知する認証処理手段とを具備したことを特徴とするLANスイッチ。
【0104】
<7> LANスイッチで構成する通信ネットワークシステムの管理方法であって、(a)各PCはLANスイッチに予めMACアドレスとそのユーザ名、パスワード、連絡先メールアドレスを登録し、(b)LANスイッチの管理者も同様にLANスイッチに予め連絡先メールアドレスを登録し、(c)LANスイッチは前記PCおよび前記LANスイッチの管理者の情報を登録する認証テーブルを作成し、(d)さらにLANスイッチは各PC間の通信のパケットを受信すると、該パケットの始点MACアドレスを学習してホストテーブルを作成し、このとき前記ホストテーブルの中に前記始点MACアドレスに該当するエントリが無く新規に作成する場合や該当エントリと異なる情報に書き換える場合は、該パケットの受信ポートで且つ該パケットの始点MACアドレスのPCにユーザ名とパスワードを要求するとともに、ユーザ名とパスワードが返されるのを待って、前記ホストテーブルの書き換え要求が発生した旨を伝えるメッセージを作成し、該メッセージの中にPCから返されたユーザ名を情報として入れ、前記認証テーブルの中の前記始点MACアドレスに該当する連絡先メールアドレスに送り、さらに予め前記認証テーブルに登録されているユーザ名とパスワードが得られなかった場合や一定時間内に応答が返されなかった場合は、前記ホストテーブルのエントリ書き換えを中止するとともに該パケットを廃棄し、予め前記認証テーブルに登録されているユーザ名とパスワードが得られた場合は、終点MACアドレスをキーに前記ホストテーブルを参照し、該当エントリが有る場合は、該当ポートにパケットを出力し、該当エントリが無い場合は、該当するホストテーブルのエントリを新規に作成して、該当ポートにパケットを出力することを特徴とする通信ネットワークシステムの管理方法。
【0105】
以上本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【0106】
【発明の効果】
本発明の通信ネットワークシステムの管理方法によれば、論理的あるいは物理的なネットワークアドレス等の設定ミスによる通信不良の防止や通信不良の原因解析および回復操作の迅速化が可能になる、という効果が得られる。
【0107】
また、本発明の通信ネットワークシステムの管理方法によれば、悪意のユーザによる盗聴やなりすましを防ぐことで通信ネットワークのセキュリティを向上させることができる、という効果が得られる。
【0108】
本発明の情報中継装置によれば、論理的あるいは物理的なネットワークアドレス等の設定ミスによる通信不良の防止や通信不良の解析および回復操作の迅速化が可能になる、という効果が得られる。
【0109】
また、本発明の情報中継装置によれば、悪意のユーザによる盗聴やなりすましを防ぐことで通信ネットワークシステムのセキュリティを向上させることができる、という効果が得られる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態である通信ネットワークシステムの管理方法を実施するLANスイッチの構成の一例を示す概念図である。
【図2】本発明の第1の実施形態である通信ネットワークシステムの管理方法を実施するLANスイッチにて用いられるホストテーブルの一例を示す概念図である。
【図3】本発明の第1の実施形態である通信ネットワークシステムの管理方法を実施するLANスイッチにて用いられる認証テーブルの一例を示す概念図である。
【図4】本発明の第1の実施形態である通信ネットワークシステムの管理方法を実施するLANスイッチの作用の一例を示すフローチャートである。
【図5】本発明の第1の実施形態である通信ネットワークシステムの管理方法を実施するLANスイッチの作用の一例を示すフローチャートである。
【図6】本発明の第1の実施形態である通信ネットワークシステムの管理方法を実施するLANスイッチの作用の一例を示すフローチャートである。
【図7】本発明の参考技術であるIPサブネットベースVLANの一例を示す概念図である。
【符号の説明】
11…LANスイッチ(情報中継装置)、12…通信処理手段(制御論理)、13…中継処理手段(制御論理)、14…ホストテーブル(制御テーブル)、14a…始点IPアドレス、14b…始点MACアドレス、14c…終点MACアドレス、14d…ポート番号、14e…帰属ネットワーク、15…認証処理手段(制御論理)、16…認証テーブル、16a…IPアドレス、16b…ユーザ名、16c…パスワード、16d…連絡先メールアドレス、21〜25…ポート(入出力ポート)、31〜34,35…PC、A,B,C…メッセージ。
Claims (3)
- ネットワーク端末またはネットワーク中継装置が接続される複数の入出力ポートと、個々の前記入出力ポートと前記ネットワーク端末またはネットワーク中継装置に付与されたネットワーク論理アドレスおよびネットワーク物理アドレスの少なくとも一方を対応付けて格納する制御テーブルと、前記制御テーブルに基づいて複数の前記入出力ポートの各々に接続された前記ネットワーク端末またはネットワーク中継装置の相互間での通信情報の授受を行うとともに、前記通信情報に含まれる前記ネットワーク論理アドレスおよびネットワーク物理アドレスの少なくとも一方と前記入出力ポートとの対応関係の変化を学習して前記制御テーブルを更新することで、前記入出力ポートに対する前記ネットワーク端末またはネットワーク中継装置の接続状態の動的な変更を可能にする中継処理手段とを含む情報中継装置を用いた通信ネットワークシステムの管理方法であって、
個々のネットワーク端末に対応した前記ネットワーク論理アドレスおよびネットワーク物理アドレスの少なくとも一方と、当該ネットワーク端末のユーザ名およびパスワードとが対応付けて格納された認証テーブルを設定する第1のステップと、
前記制御テーブルの更新を伴う前記通信情報の授受が発生した時、前記通信情報の授受および前記制御テーブルの更新に先立って、前記通信情報の送信元および送信先の少なくとも一方のユーザに対して、前記ユーザ名およびパスワードの入力を要求し、入力されたユーザ名およびパスワードと前記認証テーブル内の前記ユーザ名およびパスワードと照合するユーザ認証を実行し、前記ユーザ認証に成功したときのみ前記制御テーブルの更新および前記通信情報の授受を実行し、前記ユーザ認証に失敗したときは前記制御テーブルの更新を抑止するとともに前記通信情報を廃棄する第2のステップと、
を実行することを特徴とする通信ネットワークシステムの管理方法。 - 請求項1記載の通信ネットワークシステムの管理方法において、
前記第1のステップでは、前記ネットワーク論理アドレスおよびネットワーク物理アドレスの少なくとも一方に対して、前記ユーザおよび通信ネットワークシステムの管理者の少なくとも一方の連絡先メールアドレスも対応付けて設定し、前記第2のステップでは、前記ユーザ認証にて前記通信情報の送信元または送信先の前記ユーザから入力された前記ユーザ名を含むとともに前記制御テーブルの更新要求が発生したことを通知するメッセージを作成して該当する前記ネットワーク論理アドレスまたはネットワーク物理アドレスの前記ユーザおよび管理者の少なくとも一方の連絡先メールアドレスに対して送出する処理、
前記第2のステップでの前記ユーザ認証に失敗したとき、前記制御テーブルの更新を抑止するとともに前記通信情報を廃棄し、さらに当該通信情報を受信した前記入出力ポートの切り離し、および当該入出力ポートから受信した全ての通信情報を廃棄する処理、
前記第2のステップでの前記ユーザ認証に失敗したとき、前記制御テーブルの更新を抑止するとともに前記通信情報を廃棄し、さらに該通信情報の送信元の前記ネットワーク論理アドレスまたはネットワーク物理アドレスと同一の仮想LAN(ローカル・エリア・ネットワーク)に属す全ての前記ネットワーク端末のユーザに、前記ネットワーク論理アドレスまたはネットワーク物理アドレス等の設定ミスや、悪意のユーザが他のネットワーク端末のアドレスを使って盗聴やなりすましの通信を行おうとしている可能性があることを警告するメッセージを作成して送る処理、
前記制御テーブルの更新要求発生の有無に関係なく、定期的または不定期に前記制御テーブル内に登録された前記ネットワーク論理アドレスまたはネットワーク物理アドレスのユーザに対して前記ユーザ認証を実行する処理、
の少なくとも一つの処理を実行することを特徴とする通信ネットワークシステムの管理方法。 - ネットワーク端末またはネットワーク中継装置が接続される複数の入出力ポートと、個々の前記入出力ポートと前記ネットワーク端末またはネットワーク中継装置に付与されたネットワーク論理アドレスおよびネットワーク物理アドレスの少なくとも一方を対応付けて格納する制御テーブルと、前記制御テーブルに基づいて複数の前記入出力ポートの各々に接続された前記ネットワーク端末またはネットワーク中継装置の相互間での通信情報の授受を行うとともに、前記通信情報に含まれる前記ネットワーク論理アドレスおよびネットワーク物理アドレスの少なくとも一方と前記入出力ポートとの対応関係の変化を学習して前記制御テーブルを更新することで、前記入出力ポートに対する前記ネットワーク端末またはネットワーク中継装置の接続状態の動的な変更を可能にする中継処理手段とを含む情報中継装置であって、
個々のネットワーク端末に対応した前記ネットワーク論理アドレスおよびネットワーク物理アドレスの少なくとも一方と、当該ネットワーク端末のユーザ名およびパスワードと、前記ユーザおよび通信ネットワークシステムの管理者の少なくとも一方の連絡先メールアドレスが対応付けて格納された認証テーブルと、
前記制御テーブルの更新を伴う前記通信情報の授受が発生した時、前記通信情報の授受および前記制御テーブルの更新に先立って、前記通信情報の送信元および送信先の少なくとも一方の前記ユーザに対して、ユーザ名およびパスワードの入力を要求し、入力されたユーザ名およびパスワードと前記認証テーブル内の前記ユーザ名およびパスワードと照合するユーザ認証を実行するとともに、前記通信情報の送信元および前記管理者の少なくとも一方の前記連絡先メールアドレスに対して前記ユーザ認証で得られた前記ユーザ名と前記制御テーブルの更新要求が発生したことを通知するメッセージを送信するとともに、前記ユーザ認証に成功したときのみ前記制御テーブルの更新および前記通信情報の授受を実行し、前記ユーザ認証に失敗したときは前記制御テーブルの更新を抑止するとともに前記通信情報を廃棄する動作を行う制御論理と、
を備えたことを特徴とする情報中継装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP34723598A JP3996288B2 (ja) | 1998-12-07 | 1998-12-07 | 通信ネットワークシステムの管理方法および情報中継装置 |
US09/455,363 US7360086B1 (en) | 1998-12-07 | 1999-12-06 | Communications control method and information relaying device for communications network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP34723598A JP3996288B2 (ja) | 1998-12-07 | 1998-12-07 | 通信ネットワークシステムの管理方法および情報中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2000174796A JP2000174796A (ja) | 2000-06-23 |
JP3996288B2 true JP3996288B2 (ja) | 2007-10-24 |
Family
ID=18388839
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP34723598A Expired - Fee Related JP3996288B2 (ja) | 1998-12-07 | 1998-12-07 | 通信ネットワークシステムの管理方法および情報中継装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7360086B1 (ja) |
JP (1) | JP3996288B2 (ja) |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002247029A (ja) * | 2000-02-02 | 2002-08-30 | Sony Corp | 認証装置、認証システムおよびその方法、処理装置、通信装置、通信制御装置、通信システムおよびその方法、情報記録方法およびその装置、情報復元方法およびその装置、その記録媒体 |
US6907470B2 (en) | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
US7370364B2 (en) * | 2000-07-31 | 2008-05-06 | Ellacoya Networks, Inc. | Managing content resources |
DE60238266D1 (de) * | 2001-09-24 | 2010-12-23 | Rumi Sheryar Gonda | Verfahren zur unterstützung von ethernet-mac-schaltungen |
US7986937B2 (en) | 2001-12-20 | 2011-07-26 | Microsoft Corporation | Public access point |
JP3564117B2 (ja) * | 2002-07-01 | 2004-09-08 | 株式会社バッファロー | 無線lan装置 |
JP2004048334A (ja) | 2002-07-11 | 2004-02-12 | Sony Corp | データ転送制御装置、通信端末装置、データ通信システム、および方法、並びにコンピュータ・プログラム |
US7523485B1 (en) * | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
JP3886484B2 (ja) | 2003-10-27 | 2007-02-28 | Necビューテクノロジー株式会社 | 端末装置、ネットワーク設定方法、ネットワークシステム及びプログラム |
US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
US8146160B2 (en) | 2004-03-24 | 2012-03-27 | Arbor Networks, Inc. | Method and system for authentication event security policy generation |
JP2005286883A (ja) * | 2004-03-30 | 2005-10-13 | Canon Inc | パケット中継装置及びそのアドレス割り当て方法 |
JP4030979B2 (ja) * | 2004-03-31 | 2008-01-09 | Necパーソナルプロダクツ株式会社 | ネットワーク機器の相互接続装置 |
US8068414B2 (en) * | 2004-08-09 | 2011-11-29 | Cisco Technology, Inc. | Arrangement for tracking IP address usage based on authenticated link identifier |
US7930741B2 (en) * | 2004-09-16 | 2011-04-19 | Alcatel Lucent | System and method for securing an ethernet connectivity fault management (CFM) domain defined on a VLAN |
US9398037B1 (en) * | 2004-09-27 | 2016-07-19 | Radix Holdings, Llc | Detecting and processing suspicious network communications |
CN100373881C (zh) * | 2004-10-29 | 2008-03-05 | 英业达股份有限公司 | 计算机平台内接式网络连接切换装置 |
JP4855034B2 (ja) * | 2005-09-29 | 2012-01-18 | 京セラ株式会社 | 情報通信装置とそのプログラム |
JP5060081B2 (ja) * | 2006-08-09 | 2012-10-31 | 富士通株式会社 | フレームを暗号化して中継する中継装置 |
US7970938B1 (en) * | 2006-08-16 | 2011-06-28 | Vmware, Inc. | IP subnet discovery with ranked results |
US7792124B2 (en) * | 2007-04-01 | 2010-09-07 | Cisco Technology, Inc. | Data forwarding in a layer three satellite network |
WO2009008052A1 (ja) * | 2007-07-09 | 2009-01-15 | Fujitsu Limited | 中継装置および中継方法 |
US20090154363A1 (en) * | 2007-12-18 | 2009-06-18 | Josh Stephens | Method of resolving network address to host names in network flows for network device |
JP4892745B2 (ja) * | 2008-03-26 | 2012-03-07 | Necフィールディング株式会社 | 認証スイッチの接続を認証する装置及びその方法 |
JP4734374B2 (ja) | 2008-06-04 | 2011-07-27 | アラクサラネットワークス株式会社 | ネットワーク中継装置、および、ネットワーク中継装置方法 |
NO329859B1 (no) | 2008-09-12 | 2011-01-17 | Autronica Fire And Security As | Anordning og system for tilveiebringelse av okt operasjonssikkerhet for instrumenteringssloyfesystem |
JP5334693B2 (ja) * | 2009-06-04 | 2013-11-06 | アライドテレシスホールディングス株式会社 | ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器 |
JP5517892B2 (ja) * | 2010-11-17 | 2014-06-11 | アラクサラネットワークス株式会社 | パケット中継装置、省電力制御装置、およびネットワークシステム |
US8681740B2 (en) * | 2010-12-21 | 2014-03-25 | Tektronix, Inc. | LTE network call correlation during User Equipment mobility |
JP5466723B2 (ja) * | 2012-03-07 | 2014-04-09 | 株式会社Nttドコモ | ホスト提供システム及び通信制御方法 |
CN102932792B (zh) * | 2012-11-14 | 2016-06-15 | 邦讯技术股份有限公司 | 一种实现无线网络云的方法及控制器 |
KR102426417B1 (ko) * | 2015-02-17 | 2022-08-01 | 삼성전자주식회사 | 인증 처리 방법 및 이를 지원하는 전자 장치 |
US10547587B2 (en) | 2018-03-19 | 2020-01-28 | Didi Research America, Llc | Method and system for near real-time IP user mapping |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5485455A (en) * | 1994-01-28 | 1996-01-16 | Cabletron Systems, Inc. | Network having secure fast packet switching and guaranteed quality of service |
US5752003A (en) * | 1995-07-14 | 1998-05-12 | 3 Com Corporation | Architecture for managing traffic in a virtual LAN environment |
US5661719A (en) * | 1995-10-19 | 1997-08-26 | Ncr Corporation | Method for activating a backup network management station in a network management system |
US5898780A (en) * | 1996-05-21 | 1999-04-27 | Gric Communications, Inc. | Method and apparatus for authorizing remote internet access |
DE69738095T2 (de) * | 1996-06-07 | 2008-05-29 | Nippon Telegraph And Telephone Corp. | Verfahren und System zur Steuerung eines VLANs |
US6311218B1 (en) * | 1996-10-17 | 2001-10-30 | 3Com Corporation | Method and apparatus for providing security in a star network connection using public key cryptography |
US6891819B1 (en) * | 1997-09-05 | 2005-05-10 | Kabushiki Kaisha Toshiba | Mobile IP communications scheme incorporating individual user authentication |
JP3272283B2 (ja) * | 1997-11-14 | 2002-04-08 | 富士通株式会社 | 電子データ保管装置 |
US6161185A (en) * | 1998-03-06 | 2000-12-12 | Mci Communications Corporation | Personal authentication system and method for multiple computer platform |
US6049834A (en) * | 1998-05-08 | 2000-04-11 | Cisco Technology, Inc. | Layer 3 switch unicast protocol |
US6640301B1 (en) * | 1999-07-08 | 2003-10-28 | David Way Ng | Third-party e-mail authentication service provider using checksum and unknown pad characters with removal of quotation indents |
-
1998
- 1998-12-07 JP JP34723598A patent/JP3996288B2/ja not_active Expired - Fee Related
-
1999
- 1999-12-06 US US09/455,363 patent/US7360086B1/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US7360086B1 (en) | 2008-04-15 |
JP2000174796A (ja) | 2000-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3996288B2 (ja) | 通信ネットワークシステムの管理方法および情報中継装置 | |
JP5790827B2 (ja) | 制御装置、制御方法、及び通信システム | |
CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
US7814311B2 (en) | Role aware network security enforcement | |
JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
JP5398410B2 (ja) | ネットワークシステム,パケット転送装置,パケット転送方法及びコンピュータプログラム | |
US6907470B2 (en) | Communication apparatus for routing or discarding a packet sent from a user terminal | |
US6931016B1 (en) | Virtual private network management system | |
WO2005036831A1 (ja) | フレーム中継装置 | |
JP3813571B2 (ja) | 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム | |
US11196702B2 (en) | In-vehicle communication device, and communication control method | |
US20070091902A1 (en) | Securely managing network element state information in transport-layer associations | |
JP4852379B2 (ja) | パケット通信装置 | |
EP1571806A2 (en) | Network management method and network managing server | |
WO2012075850A1 (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
US20080281966A1 (en) | Method and system of network communication privacy between network devices | |
KR20070081116A (ko) | 에이알피 스푸핑 자동 차단 장치 및 방법 | |
TWI315139B (ja) | ||
JP3563714B2 (ja) | ネットワーク間接続装置 | |
CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
Bi et al. | Source address validation improvement (SAVI) solution for DHCP | |
JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
JP2002084306A (ja) | パケット通信装置及びネットワークシステム | |
KR20110036913A (ko) | 라우터, 보안 장치 및 안전한 실행을 위한 방법 | |
Cisco | DECnet Commands |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050801 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070702 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070710 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070802 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100810 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100810 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100810 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110810 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120810 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130810 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees | ||
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |