JP4852379B2 - パケット通信装置 - Google Patents

パケット通信装置 Download PDF

Info

Publication number
JP4852379B2
JP4852379B2 JP2006240938A JP2006240938A JP4852379B2 JP 4852379 B2 JP4852379 B2 JP 4852379B2 JP 2006240938 A JP2006240938 A JP 2006240938A JP 2006240938 A JP2006240938 A JP 2006240938A JP 4852379 B2 JP4852379 B2 JP 4852379B2
Authority
JP
Japan
Prior art keywords
authentication
information
packet
user terminal
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006240938A
Other languages
English (en)
Other versions
JP2008066907A (ja
Inventor
佑貴 犬島
義貴 才ノ元
謙 渡部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2006240938A priority Critical patent/JP4852379B2/ja
Priority to US11/675,184 priority patent/US7835341B2/en
Publication of JP2008066907A publication Critical patent/JP2008066907A/ja
Application granted granted Critical
Publication of JP4852379B2 publication Critical patent/JP4852379B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークにおいてユーザ認証を行い、ユーザ認証の結果により通信を制御するパケット通信装置に関する。
ネットワークにおいてユーザ認証を行なうパケット通信装置は、ユーザ端末から認証要求を受信し、ユーザの認証情報をユーザ認証サーバに問い合わせる必要がある。
このような認証処理の規格として、IEEE(Institute of Electrical and Electronic Engineers)で定められたIEEE802.1Xがある。この規格では、ユーザ端末がネットワークに接続した際に認証を行い、認証が失敗した端末からの通信を全て遮断し、認証が成功した端末にのみ通信を許可する。
具体的には、IEEE802.1Xでは、ユーザ端末をSupplicantと呼び、認証を行なうパケット通信装置をAuthenticatorと呼び、認証情報はSupplicantとAuthenticator間はEAPOL(Extensible Authentication Protocol over LAN)を用いる。Authenticatorと、一般的に用いられている認証サーバであるRADIUS(Remote Authentication Dial In User Service)サーバとの間はEAP over RADIUSプロトコルを用いて交換し、RADIUSサーバが処理した認証の結果がRejectの場合には、Authenticatorのユーザ端末が接続されているポートの通信を遮断し、RADIUSサーバが処理した認証の結果がAcceptの場合には、ユーザ端末が接続されているポートの通信を許可する。特許文献1には、ユーザ認証サーバからの認証結果に応じてユーザ端末の通信を制御する技術が記載されている。
特開2002−84306号公報
しかしながら、認証結果に応じてユーザ端末の接続されているポートの通信制御を行なうだけでは、例えばユーザ端末が移動し、パケット通信装置の移動前とは異なるネットワークに設定されているポートに接続して認証した場合、移動前と同じネットワーク環境を利用できない場合が想定される。
ネットワーク接続のアクセスポイントを変更しても同じネットワーク環境に接続するための技術として、ユーザ認証サーバからの認証結果にユーザの所属させるVLAN情報(ネットワーク情報)を付加してパケット通信装置へ送信し、パケット通信装置において、ユーザが使用しているユーザ端末のMAC(Media Access Control)アドレスをユーザ認証サーバから送られたVLANに所属させ、ユーザ端末を使用しているユーザがどこからネットワークにアクセスしても同じネットワーク環境を利用できるために認証と連動して動的にVLANを割り当てる技術がある。
しかしながら、前記認証と連動して動的にVLANを割り当てる技術において、ユーザ端末が認証され、ユーザの所属すべきVLANに接続しても、ユーザ端末がウィルスに感染しており、接続したVLAN内にウィルス感染させる場合が想定される。
そこで、近年、ウィルスに感染したユーザ端末、もしくは最新のウィルス定義に対応したパッチを当てていないユーザ端末に対して検疫を行なった後、通常のネットワークに接続を許可するウィルス検疫システムが考えられている。ここで、検疫を行なうサーバが接続されているネットワークを検疫ネットワークと呼ぶ。
具体的には、前記認証と連動して動的にVLANを割り当てる技術を用い、検疫が必要なユーザ端末の認証結果のVLAN情報として、ユーザ認証サーバから検疫ネットワーク用のVLAN情報をパケット通信装置へ送信し、ユーザ端末を、検疫を行なうサーバ(検疫サーバ)へ接続させる。ユーザ端末が検疫を行なった後、再び認証を行い、ユーザ認証サーバからパケット通信装置へ通常のネットワーク用のVLAN情報を送信することにより、通常のネットワークに接続できる。
しかし、ユーザ端末に設定されているネットワークアドレスが通常のネットワークもしくは検疫ネットワークと異なる場合、ユーザ端末と通常のネットワーク間、もしくはユーザ端末と検疫サーバ間の通信ができなくなるため、ユーザ端末に固定IPアドレスを設定できず、一般的にIETF(Internet Engineering Task Protocol)で標準化されたDHCP(Dynamic Host Configuration Protocol)を用いて、検疫ネットワーク用と通常のネットワーク用のネットワークアドレスを自動的に割り当てて通信を行なう必要がある。ユーザ端末の検疫後、検疫ネットワークから通常のネットワークへ接続するには、ユーザ端末がDHCPサーバから自動的に割り当てられた検疫ネットワーク用のネットワークアドレスをリリースするかユーザ端末を再起動し、DHCPサーバから再度通常のネットワーク用のネットワークアドレスを自動的に割り当てる必要がある。
本発明の目的は、ネットワークの変更に伴い、ユーザ端末のネットワークアドレスを変更せずに通信範囲の切り替えを可能とするパケット通信装置を提供することにある。
上記目的を達成するために本発明は、ユーザ端末から送信された認証要求パケットを認証サーバに送信し、前記認証サーバから受信したパケットが前記ユーザ端末に関する認証パケットである場合は、認証制御部が該認証パケットの認証処理を行ない、該認証制御部による認証の結果、前記認証パケットに、前記ユーザ端末に関する接続制限情報が含まれている場合は、接続制限制御部が、前記ユーザ端末に対して該接続制限情報を設定して転送制御情報記憶部に記憶し、前記設定された接続制限情報に従って、前記ユーザ端末を検疫する検疫サーバに対して、前記ユーザ端末から受信したパケットを送信する構成を採用した。
本発明によれば、認証を受けていない不正なユーザによるネットワークシステムへの接続を防止でき、認証を受けたユーザにおいても、認証結果に含まれる接続制限情報によって、端末のネットワークアドレスを変更せずに通信範囲の切り替えを行なうことができるという効果がある。
以下、図面を用いて本発明の一実施形態を説明する。本実施形態では、ネットワークシステムとして、ウィルス検疫システムを例にとり説明する。
図1は、ウィルス検疫システムの概略構成図の一例を示す。本システムは、パケット通信装置100(例えば、LANスイッチ)に、ユーザ認証サーバ101、ユーザ端末102及び105、検疫サーバ103、及び業務ネットワーク104が接続されて構成される。ユーザ認証サーバ101は、例えば管理者が入力した端末102、105のユーザ情報や、接続可能な業務ネットワーク104の通信範囲106や、検疫を行なっていないユーザ端末に対して検疫を行なわせるための検疫を行なうサーバ103の通信範囲107や、システムに接続された各ユーザ端末の検疫状態を、予め登録しておく。
まず、ユーザ端末105が、検疫を行なっており通常の認証のみで業務ネットワーク104へ接続できる端末である場合に、ユーザ端末105の認証処理について説明する。この場合、ユーザ端末105は通信範囲106への接続が許可されており、ユーザ認証サーバ101は、ユーザの認証情報を登録しておく。例えば、管理者が、ユーザ認証サーバ101に対してユーザの認証情報(ユーザID、パスワードなど)を登録する。
ユーザ端末105は、業務ネットワーク104へ接続するために、認証要求をパケット通信装置100に送信する。パケット通信装置100は、認証要求に含まれるユーザの認証情報を抽出して、認証要求メッセージを作成してユーザ認証サーバ101へ送信する。ユーザ認証サーバ101は、登録されているユーザ端末105に関する認証情報と検疫状態を検索する。認証情報が一致すれば認証がなされ、ユーザ端末102の検疫状態から検疫済みと判断すると、認証されたユーザが接続可能なVLAN情報(通信範囲)106のみをパケット通信装置100へ送信する。パケット通信装置100は、ユーザ端末105のMACアドレスを、ユーザ認証サーバ101から送られてきた通信範囲106に従い所属させることで、業務ネットワーク104へ接続可能になるように制御する。
しかし、全てのユーザ端末が検疫を行なっているとは限らず、実際には検疫を行なっていないユーザ端末も存在する。
次に、ユーザ端末102が、検疫を行なっていない端末である場合に、ユーザ端末102からの認証要求に対し、検疫を行なうサーバ103のみ接続を許可する接続制限情報を用いた認証について説明する。この場合、検疫を行なっていないユーザ端末102が認証要求を行なうと、ユーザ認証サーバ101は、パケット通信装置100を介して送られてくる認証要求のメッセージに含まれる認証情報から、予め登録されている認証情報を検索する。認証情報が一致すればそこで認証がなされ、さらにユーザ認証サーバ101は、パケット通信装置100を介して送られてくる認証要求のメッセージに含まれるユーザ端末102の検疫状態から、検疫が行なわれていないと判断し、ユーザの接続可能な通信範囲106と検疫を行なうサーバ103のみに接続させる接続制限情報を、パケット通信装置100へ送信する。パケット通信装置100は、ユーザ端末102のMACアドレスを、ユーザ認証サーバ101から送られてきた通信範囲106に従って所属させ、接続制限情報から検疫を行なうサーバ103のみ接続可能にすることで、ユーザ端末102を、検疫を行なうサーバ103にのみ接続可能とする制御を行なう。
図2は、接続制限情報を用いた認証処理のシーケンス図である。ユーザ端末102は、業務ネットワーク104へ接続するために、パケット通信装置100に認証要求を送信する(ステップ201)。パケット通信装置100は、この認証要求を受信すると、そのユーザ端末102の認証情報を抽出して(ステップ202)、抽出した認証情報をユーザ認証サーバ101に問い合わせる(ステップ203)。なお、この問い合わせは、例えば後述するRADIUSメッセージによってなされる。この問い合わせの際には、後述するRADIUSメッセージの種類を示すコード(code)が、「Access-Request」のメッセージを送信する。
次に、ユーザ認証サーバ101は、パケット通信装置100からの認証に関する問い合わせメッセージ(RADIUSメッセージ)を受信すると、登録内容からユーザIDとパスワードを確認し、そのユーザを認証するかどうか判断するとともに、ユーザ端末102の検疫情報から、ユーザ端末102を、検疫を行なうサーバ103に接続させる必要があるか判断する(ステップ204)。この判断の結果、ユーザは認証されたが、ユーザ端末102の検疫が必要である場合は、認証結果及び接続制限情報(ユーザ端末102を、検疫を行なうサーバ103にのみ接続させる接続制限情報)をパケット通信装置100に送信する(ステップ205)。ここで送信される情報も、上記のRADIUSメッセージによって構成されており、ユーザ認証サーバ101は、認証を許可する場合にはRADIUSメッセージの種類を示すコードが「Access-Accept」の情報をパケット通信装置100に送信し、また認証が不許可の場合にはRADIUSメッセージの種類を示すコードが「Access-Reject」のRADIUSメッセージをパケット通信装置100に送信する。
次に、パケット通信装置100は、ユーザ認証サーバ101から送信された情報(RADIUSメッセージ)に含まれる認証情報を抽出し(ステップ206)、認証結果が認証を許可することを示す「Access-Accept」のメッセージである場合には、ユーザ端末102(認証要求に対応するユーザ端末102)を、RADIUSメッセージで指定されたVLANに所属させ、ユーザ端末102に対して「Success」のメッセージを送信する(ステップ207)。また、ユーザ認証サーバ101から送信されたRADIUSメッセージに接続制限情報が含まれていた場合は、パケット通信装置100は、ユーザ端末102を指定された接続範囲にのみ接続するよう制御する。また、認証結果が不許可であることを示す「Access-Reject」のメッセージを受信した場合には、パケット通信装置100は、ユーザ端末102をネットワークに接続出来ないよう制御し、ユーザ端末102に対して「Failure」のメッセージを送信する(ステップ207)。
図3は、パケット通信装置100とユーザ認証サーバ101との間で交換されるRADIUSメッセージのパケットフォーマットを示す。RADIUSメッセージは、レイヤ2の送信元アドレスや宛先アドレスを格納するMACヘッダ301と、レイヤ3の送信元アドレスや宛先アドレスを格納するIPヘッダ302と、レイヤ4のUDP(User Datagram Protocol)ヘッダ303と、メッセージ本体であるRADIUS Message 304とから構成されている。
図4は、図3におけるRADIUS Message 304のフォーマットを示す。RADIUS Message 304は、メッセージの種別コードを指定するCode 401と、ユーザ端末102の要求を区別するためのID 402と、メッセージの長さを示すLength 403と、データ隠蔽および整合性保証のための認証符号であるAuthenticator 404と、属性値を示すAttribute 405とから構成されている。例えば、Code 401とRADIUSメッセージの種別との対応としては、図4に示すように「1:Access-Request」、「2:Access-Accept」、「3:Access-Reject」、…などが定義されている。
図5は、図4におけるRADIUS Message 304に含まれるAttribute 405のフォーマットを示す。Attribute 405は、属性の種別を示すType 501と、長さを示すLength 502と、属性の情報を示すString 503とから構成されている。
ここで、図5に示したAttribute 405のType 501に格納される値について説明する。Type 501に格納される値が1の場合はユーザネームを示し、その場合String 503には、例えばユーザ端末102を使用しているユーザのユーザネーム(ユーザID)が格納される。Type 501に格納される値が2の場合はユーザパスワードを示し、その場合String 503には、例えば、あるユーザIDに対応するパスワード「CLIENT-1」が格納される。また、Type 501に格納される値が5の場合は、パケット通信装置100のポートの番号であるNAS-Portを示し、その場合String 503には、例えばユーザ端末102が接続されているパケット通信装置100のポート番号が格納されている。
なお、上述した図2のステップ204(ユーザ認証及びユーザ端末検疫処理)において、ユーザ認証サーバ101がユーザの認証を許可する場合は、ステップ205(ユーザ認証サーバ101がパケット通信装置101にRADIUSメッセージを送信する処理)において送信されるRADIUSメッセージ(図3)のRADIUS Message 304に含まれるAttribute 405(図4)のType 501(図5)には、ユーザ端末のトンネル・タイプを示す「64」が格納され、その場合String 503には、例えばVLANであることを示す「13」の値が格納される。また、Attribute 405のType 501が81の場合は、トンネル・プライベート・グループID(ユーザ端末を所属させるVLAN情報)を示し、その場合String 503には、例えば、所属させるVLANのVLAN-IDを示す「20」の値が格納されている。
また、上述した図2のステップ204(ユーザ認証及びユーザ端末検疫処理)において、ユーザ認証サーバ101が、ユーザ端末102の検疫情報からユーザ端末102の検疫を行なうサーバ103に接続させる必要があると判断した場合は、Attribute 405のType 501に接続制限情報(例えば、図5に示す200:Connection-limit)を指定して、ユーザ端末102の接続範囲の値として格納する。この接続制限情報は、上記の各指定(VLAN情報など)と組み合わせて指定することができる。なお、接続制限を示すAttribute 405のType 501は、図5に示す番号以外の定義でも良い。
図6は、ユーザ端末102とユーザ認証サーバ101の認証を中継するパケット通信装置100の詳細な構成図を示す。
インタフェース制御ユニット612は、Ethernet(登録商標)やPOS(Packet over SONET)といった物理回線を収容し、ISO-OSI参照モデルの物理層の制御を行なうインタフェース制御部である。各インタフェース制御ユニット612には、それぞれを一意に識別する識別情報(図6では、P0〜P3)が割り当てられている。なお、図6においては、このインタフェース制御ユニット612の識別情報(P0〜P3)は、各インタフェース制御ユニット612が接続されている回線(ポート)の識別情報と共通である。これは、パケット通信装置100側からは、P0〜P3はインタフェース制御ユニット612の識別情報として認識され、パケット通信装置100に接続されている装置(ユーザ端末102など)側からは、P0〜P3は、それらの装置とパケット通信装置100(より具体的にはインタフェース制御ユニット612)とを接続するポートの識別情報として認識されるからである。もちろん、インタフェース制御ユニット612の識別情報と、各インタフェース制御ユニット612に接続されたポートの識別情報とを区別して管理しても良い。
また、VLAN制御部609は、VLAN情報記憶部608に格納されている情報の登録/削除/変更/検索を実行するとともに、他の制御部からの要求を受け付ける。VLAN情報記憶部608は、パケット通信装置100に設定されているVLAN情報、あるVLANに所属しているインタフェース制御ユニット612に関する情報、および認証制御部601によって決定された認証情報(通信可否情報)を格納する。
インタフェース管理部613は、インタフェース情報記憶部614に格納されている情報の登録/削除/変更/検索を実行するとともに、他の制御部からの要求を受け付ける。インタフェース情報記憶部614は、ユーザ端末102、およびサーバ(ユーザ認証サーバ101や検疫サーバ103)が接続されているインタフェース制御ユニット612に関する情報を格納する。
MACアドレス制御部611は、MACアドレス情報記憶部610に格納されている情報の登録/削除/変更/検索を実行するとともに、他の制御部からの要求を受け付ける。MACアドレス情報記憶部610は、インタフェース制御ユニット612が受信した中継パケットの送信元MACアドレスや、そのパケットを受信したインタフェース制御ユニット612に関する情報を格納する(図7)。
接続制限制御部604は、認証制御部601から受信した接続制限情報や接続指示に従い、転送制御情報記憶部603に格納されている情報の登録/削除/変更/検索を実行する。転送制御情報記憶部603は、接続制限制御部604が受信した接続制限情報などを格納する(図12)。
認証制御部601は、インタフェース制御ユニット612が受信した認証要求パケットから認証情報を抽出し、ユーザ端末102(とユーザ認証サーバ101)との認証処理を行い、認証中のユーザ端末102の状態を認証状態600に登録するとともに、認証に応じてVLAN制御部609、および接続制限制御部604に対して所定の指示する。認証状態記憶部600は、認証制御部601で行なわれる認証処理中のユーザ端末102の状態を記憶する。
ルーティング経路計算部602は、ルーティングプロトコルによってネットワーク間のルーティング経路を計算し、送信先インタフェース制御ユニット612を決定するルーティングテーブル605を作成する。ルーティングテーブル管理部607は、ルーティング経路計算部602の指示に従い、ルーティングテーブル605の登録/削除を行なう。ルーティングテーブル605は、ルーティングテーブル管理部607によって作成されたルーティングテーブルを格納する。
図7は、図6におけるMACアドレス情報記憶部610に記憶されるデータ(データテーブル)のフォーマットを示す。MACアドレス情報記憶部610に記憶されるデータテーブルの各エントリは、MACアドレスを示すアドレスフィールド700と、VLAN情報(VLAN識別情報)を示すVLANフィールド701と、インタフェース制御ユニット612の識別情報(識別情報)を示す送信ポートフィールド702を含む。ここで、図7に示すテーブルの各エントリは、インタフェース制御ユニット612から受信したパケットを中継する際、受信したパケットのVLAN情報とVLANフィールド701に登録されているVLAN情報が一致し、かつ受信したパケットの宛先アドレスとアドレスフィールド700に登録されているMACアドレスが一致した場合、同じエントリの送信ポートフィールド702に示されるインタフェース制御ユニット612から、その受信したパケットを送信することを表している。
図8は、ユーザ端末102から業務ネットワーク104宛のパケットを受信したパケット通信装置100が、パケットを中継または廃棄するまでの処理フローを示す。ユーザ端末102から業務ネットワーク104宛のパケットを受信(図6の太線(1))したインタフェース制御ユニット612は、受信したパケットの種類を判別する(ステップ800)。パケットの種類が中継パケットである場合は、インタフェース制御ユニット612は中継処理を行なう(ステップ801)。ステップ801の中継処理(パケット送信処理)の詳細は、後述する図9において詳細に説明する。
ステップ800の判別の結果、パケットの種類が、ユーザ認証サーバ101からのRADIUSメッセージの認証パケット(図2のステップ205で送信されるパケット)または、ユーザ端末102からの認証要求(図2のステップ201)である場合は、インタフェース制御ユニット612は、そのパケットを認証制御部601に送信し、認証制御部601は認証処理を行なう(ステップ802)。ステップ802の処理の詳細は、後述する図10において詳細に説明する。
ステップ802において認証処理を行った結果、認証制御部601が、受信した認証要求に対して接続制限の設定が必要であると判断した場合は、認証制御部601は、接続制限情報を接続制限制御部604へ送信して(図6の太線(3))、転送制御情報を設定する(処理804)。ステップ804の処理の詳細は、後述する図11において詳細に説明する。
また、認証制御部601は、ユーザ端末102のVLAN情報設定が必要であると判断した場合は、VLAN制御部609へそのVLAN情報を送信して(図6中の(4))、VLAN制御部609は、そのVLAN情報をVLAN情報記憶部608に登録する(処理803)。ステップ802において、認証制御部601が、受信した認証要求に対して接続制限情報設定もVLAN情報設定も必要ないと判断された場合は、認証制御部604は、指定されたインタフェース制御ユニット612へパケットを送信する(図6中の(2))。また、ステップ803でVLAN情報が登録された後及びステップ804で転送制御情報が設定された後も、パケット通信装置100は、指定されたインタフェース制御ユニット612へパケットを送信する(図6中の(2))。
なお、ステップ801(パケット中継処理)において、そのパケットは送信されるパケットであると判定された場合は、インタフェース制御ユニット612は、指定された(他の)インタフェース制御ユニット612へそのパケットを送信し、そのパケットは廃棄されるパケットであると判定された場合は、インタフェース制御ユニット612は、そのパケットを廃棄する。
図9は、パケット中継処理(図8のステップ801)における、レイヤ2中継およびレイヤ3中継の処理フローを示す。パケット通信装置100のインタフェース制御ユニット612は、その接続されているユーザ端末102から、業務ネットワーク104に接続されている他の端末(本実施形態では、例えば、MACアドレスが「00:00:44:44:44:44」、VLAN情報が「10」である端末)宛の中継パケットを受信すると、パケット通信装置100のVLAN制御部609は、そのパケットのVLAN情報(ユーザ端末102のVLAN情報10)の通信可否の状態を検索する(ステップ900)。通信可否の状態が「否」の場合には、インタフェース制御ユニット612は、そのパケットの廃棄要求を指示する(ステップ902)。ステップ900において、通信可否の状態が「可」の場合には、インタフェース制御ユニット612は、そのユーザ端末102が所属しているVLANが設定されている全インタフェース制御ユニット612の情報を、MACアドレス制御部611へ送信する。
MACアドレス制御部611は、インタフェース制御ユニット612から受信したユーザ端末102の中継パケットに含まれる送信元MACアドレス(例えば、図6では、ユーザ端末102のMACアドレス「00:00:11:11:11:11」)とVLAN情報(図6では、ユーザ端末102が所属するVLAN「10」)が、MACアドレス情報記憶部610のデータテーブルに登録されているか否かを判断し、登録されていない場合は、受信したパケットのMACアドレス「00:00:11:11:11:11」とVLAN情報「10」を、MACアドレス情報記憶部610のテーブルの新しいエントリとして、図7に示すテーブルのアドレスフィールド700とVLANフィールド701にそれぞれ登録する(ステップ901)。また、MACアドレス制御部611は、パケットを受信したインタフェース制御ユニット612の識別情報(図6では、ユーザ端末102が接続されているインタフェース制御ユニット612の識別情報である「P0」:なお、この識別情報は、ユーザ端末102が接続されているポートの識別情報でもある)を、MACアドレス情報記憶部610のテーブルの送信ポートフィールド702に登録する(ステップ901)。つまり、この例では、図7のテーブルのエントリ#1に示すエントリが登録される。
次に、MACアドレス制御部611は、インタフェース制御ユニット612が受信したパケットの宛先アドレスである端末のMACアドレス(例えば、そのパケットの宛先MACアドレスが「00:00:44:44:44:44」であるとする)が、MACアドレス情報記憶部610(図7)のアドレスフィールド700に登録済であるか否かを検索する(ステップ903)。検索の結果、登録されている場合は、さらに、MACアドレス制御部611は、その受信したパケットの宛先ネットワークが同一ネットワーク内の通信であるか否か(つまり、そのパケットの宛先端末のVLAN情報と、図7のテーブルに登録されているMACアドレス「00:00:44:44:44:44」に対応するVLAN情報「10」が一致するか否か)を判断する(ステップ909)。同一ネットワークである場合(つまり、VLAN情報が一致する場合)は、MACアドレス情報記憶部610に登録されているエントリのMACアドレス「00:00:44:44:44:44」に対応する送信ポートフィールド702の内容に従って、MACアドレス制御部611は、そのパケットを送信するインタフェース制御ユニットの送信ポート情報(図7の例では、P3)を取得する(処理905)。
一方、ステップ903の検索において、受信したパケットの宛先アドレスである端末のMACアドレスがMACアドレス情報記憶部610に登録済であるが、ステップ909の判断において、その受信したパケットの宛先ネットワークが異なる場合(つまり、受信したパケットの宛先端末のVLAN情報と、MACアドレス情報記憶部610において、その宛先端末のMACアドレスに対応するVLAN情報とが一致しない場合)は、レイヤ2以上で送信先インタフェース制御ユニット612を判定する必要があるので、パケット通信装置100は、ルーティングテーブル605から、そのパケットを送信するインタフェース制御ユニット612の情報(インタフェース制御ユニット612に割り当てられた送信ポート情報)を取得する(ステップ904)。
また、ステップ903の検索において、受信したパケットの宛先アドレスである端末のMACアドレスがMACアドレス情報記憶部610に登録されていない場合、または受信したパケットの宛先アドレスがブロードキャストである場合は、パケット通信装置100は、VLAN制御部609がVLAN情報記憶部608から取得したVLAN情報をもとに、送信元であるユーザ端末102が所属しているVLANが設定されている全インタフェース制御ユニット612を、そのパケットの送信先インタフェース制御ユニット612とする。
ステップ903、ステップ904、またはステップ905によって、パケットの送信先インタフェース制御ユニット612が決定されると、次に、接続制限制御部604は、転送制御情報記憶部603を検索して、ユーザ端末102に関してパケットの転送制御情報(転送制限情報)があるか否かを判断し(ステップ906)、転送制限情報がある場合は、接続制限制御部604は、その制限情報に従って、パケットの送信先インタフェース制御ユニット612を変更する(ステップ907)。ステップ907の処理の詳細も、後述する図11において説明する。一方、ステップ906において、転送制御情報記憶部603に、ユーザ端末102に対する転送制御情報が無い場合は、ステップ903、ステップ904、またはステップ905において決定された送信先インタフェース制御ユニット612(又はそのインタフェース制御ユニット612に接続される送信先ポート)に対してパケットを送信する(ステップ908)。
ここで、認証制御部601が認証制御を行なっている場合の、パケット中継処理801(図8)について説明する。図9において説明した通常のレイヤ2中継およびレイヤ3中継の中継処理フローの説明において、認証制御部601が認証制御を行っていた場合、認証結果に応じてVLAN情報の通信可否の状態の判断(ステップ900)の結果が変化する。認証結果が認証成功であった場合、通信可否の状態検索結果は可となり、認証失敗であった場合、通信可否の状態検索結果は否となる。通信可否の状態が可のときは、図9のステップ901、903〜909に示す通常のレイヤ2中継およびレイヤ3中継の中継処理フローと同様のフローとなり、通信可否の状態が否のときは、認証制御部601はパケットの廃棄要求を指示し(ステップ902)、認証失敗した端末からのパケットを廃棄して、処理を終了する。
図10は、パケットの認証処理(図8のステップ802)の詳細な処理フローを示す。図8において説明したように、図8のステップ800で、パケットの種類が認証パケットであると判断された場合に、ステップ802の認証処理が行われる。ここで、「認証パケットである」とは、ユーザ認証サーバ101から送信されてインタフェース制御ユニット612が受信したパケットが、認証要求を行ったユーザ端末102の認証結果(例えば「Access-Accept」)と、パケットに含まれるRADIUS MessageのAttributeとしてVLAN情報(例えば、ユーザ端末102のVLAN情報である「10」)と、ユーザ端末102に関する接続制限情報(例えば、「検疫サーバ103にのみ接続可能」という情報)とを含むRADIUSメッセージを持つパケットであることを意味する。インタフェース制御ユニット612は、その認証パケットを認証制御部601に送信する。
まず、認証制御部601は、受信した認証パケット(認証メッセージ)の種別判定を行なう(ステップ1000)。上述の通り、本実施形態に示す例の場合、認証メッセージの種別は、ユーザ認証サーバ101からの認証結果であるため、認証制御部601は、その認証結果を判断する(ステップ1003)。ここで、受信した認証メッセージが、ユーザ端末102からの認証要求、または認証過程で発生するRADIUSメッセージであった場合は、認証制御部601は、その認証メッセージに含まれる認証情報を抽出して、パケットの送信先として、ユーザ認証サーバ101が接続されている送信先インタフェース制御ユニット612を指定し、認証状態記憶部600に記憶される認証状態を、「ユーザ認証サーバ101への問い合わせ中」に設定して記憶し(処理1001)、処理を終了する。また、受信した認証メッセージが、認証結果ではなくユーザ認証サーバからの認証過程で発生するRADIUSメッセージであった場合は、認証制御部601は、その認証メッセージに含まれる認証情報を抽出して、パケットの送信先として、ユーザ端末102が接続されている送信先インタフェース制御ユニット612を指定し、認証状態記憶部600に記憶される認証状態600を、「ユーザ端末への問い合わせ中」に設定して記憶し(処理1002)、処理を終了する。
ステップ1000において、受信した認証メッセージの種別が「認証結果」であると判定された場合は、認証制御部601は、その認証結果を判断する(1003)。判断の結果、ユーザ端末102の認証結果がAccess-Acceptであった場合は、認証状態記憶部600に記憶された認証状態(ユーザ端末102に対応する認証状態)を「認証成功」として登録(または更新)する(ステップ1004)。また認証制御部601は、受信した認証メッセージにVLAN情報が含まれているか否かを判断する(ステップ1005)。上述のとおり、本実施形態に示す例の場合、認証メッセージにはVLAN情報が含まれているので、認証制御部601は、VLAN制御部609に対して、ユーザ端末102を所属させるVLAN情報「10」を送信するとともに(ステップ1008)、VLAN制御部609に対して、所属させたVLANの通信可否の状態を可にする指示を送信する(ステップ1009)。なお、ステップ1008において、受信した認証メッセージにVLAN情報が含まれていない場合にも、認証結果が「Access-Accept」であることには変わりないので、ステップ1009において、認証制御部601は、VLAN制御部609に対して、ユーザ端末102の通信可否の状態を可にする指示を送信する。VLAN制御部609は、上記指示を受けて、VLAN情報記憶部608の、ユーザ端末102の通信可否状態を「可」に設定(または変更)する。
次に、認証制御部601は、認証メッセージに、接続制限情報が含まれているか否かを判断する(ステップ1011)。上述の通り、本実施形態に示す例の場合、認証メッセージには、「検疫を行なうサーバ103のみ接続可能」とする接続制限情報が含まれているため、認証制御部601は、接続制限制御部604に対し、その接続制限情報を送信する(ステップ1012)。なお、接続制限情報が含まれていない場合は、認証制御部601は、接続制限制御部604に対し、接続制限情報を初期化する指示を送信し(ステップ1013)、接続制限制御部604は、接続制御情報記憶部603に、接続制限情報を初期化する情報を記憶する。
一方、ステップ1003における認証結果の判断の結果、ユーザ端末102の認証結果が「Access-Reject」であった場合は、認証制御部601は、認証状態記憶部600のユーザ端末102に対応する認証状態を「認証失敗」として登録(または更新)する(ステップ1005)。ここで、パケット通信装置100において、「認証失敗したユーザ端末に対して特定のVLANに所属させる設定」が予めなされているか否かを判断し(ステップ1007)、予め設定されている場合は(ステップ1007:Yes)、認証制御部601は、VLAN制御部609に対して、その予め設定されている特定のVLAN情報を送信し(ステップ1008)、以降の処理を行なう。また、パケット通信装置100において、「認証失敗したユーザ端末に対して特定のVLANに所属させる設定」が予めなされていない場合(つまり、認証失敗したユーザ端末の通信を不可とする設定がなされている場合)は(ステップ1007:No)、認証制御部601は、VLAN制御部609に対して、ユーザ端末102の所属するVLANの通信可否の状態を否にする指示を送信する(処理1010)。VLAN制御部609は、VLAN情報記憶部608における、ユーザ端末102の所属するVLANの通信可否の状態を「否」として記憶する。認証を失敗したユーザ端末の転送制御情報は不要なため、認証制御部601は、接続制限制御部604に対して、転送制御情報記憶部603に記憶された制御情報(接続制限情報)であって、認証を失敗したユーザ端末102の転送制御情報を初期化する指示を送信する(処理1013)。接続制限制御部604は、転送制御情報記憶部603に記憶された転送制御情報であって、認証を失敗したユーザ端末102に対応する転送制御情報を初期化する。
図11は、図8のステップ804における接続制限処理の詳細なフローを示す。図8において説明したように、図8のステップ802において、認証パケットの認証処理が行われる。そして、ユーザ認証サーバ101から、ウィルスに感染している(または検疫が完了していない)ユーザ端末102(例えば、図6に示す例では、MACアドレスが「00:00:11:11:11:11」)の認証結果(Access-Accept)と、パケットに含まれるRADIUS MessageのAttributeとしてVLAN情報(例えば、ユーザ端末102のVLAN情報「10」)と、ユーザ端末102に関する接続制限情報(例えば、ユーザ端末102を、その検疫を行なう検疫サーバ103(例えば、図6に示す例では、MACアドレスが「00:00:33:33:33:33」、VLAN情報が「10」)にのみ接続させるという制限情報)とを含むRADIUSメッセージを、インタフェース制御ユニット612が受信すると、認証制御部601は、接続制限制御部604へ接続制限情報を送信する。
接続制限制御部604は、受信した接続制限情報の要求内容を判定する(ステップ1100)。要求内容が「転送制御情報初期化」である場合(図10のステップ1013)、接続制限制御部604は、転送制御情報記憶部603にアクセスして、対象のユーザ端末102に関する転送制御情報を検索し(ステップ1102)、そのユーザ端末に関する転送制御情報がある場合は、その転送制御情報の初期化を行なう(ステップ1104)。ユーザ端末に関する転送制御情報が転送制御情報記憶部603にない場合は、接続制限処理を終了する。ステップ1100の判定の結果、受信した接続制限情報の要求内容が「接続制限情報の設定」であった場合(図10のステップ1012)、接続制限制御部604は、受信した接続制限情報に従い、ユーザ端末102が通信可能な範囲の情報を作成し(ステップ1101)、転送制御情報記憶部603に、対象のユーザ端末102の転送制御情報を設定する(ステップ1103)。
ここで、上述した「検疫サーバ103(MACアドレス「00:00:33:33:33:33」、VLAN情報「10」)にのみ接続させる接続制限情報」について説明する。接続制限情報は、VLAN「10」の通信可能な範囲の中に更に細かく通信範囲を規定した情報である。例えば、ユーザ端末102はVLAN-ID「10」のVLANに所属し、VLAN「10」内であれば通信可能な範囲であるが、この接続制限情報により、VLAN「10」内であっても、検疫サーバ103にのみ通信が可能(検疫サーバ103以外の装置との通信は制限される)となるため、パケット通信装置100は、受信したパケットを検疫サーバ103に送信する。
例えば、接続制限情報として、インタフェース制御ユニット612に割り当てられたポート情報を用いた場合について説明する。要求判定(ステップ1100)により、「接続制限情報の設定」であるため、接続制限制御部604は、該当するユーザ端末102の通信範囲情報を作成する(ステップ1101)。ここで、ポート情報を用いた場合のユーザ端末102の通信範囲情報は、ユーザ端末102が接続するポート情報をもとに作成された複数のポート情報であって、その複数のポート情報のなかで通信可能なポート情報の範囲を表す。
ここで、便宜上、ユーザ端末102が接続するポートP0をもとに作成された複数のポートをP0-0、P0-1、P0-2、…と表す。例えば、ユーザ端末102が接続するポートP0をもとに作成したポート情報をP0-0とし、検疫サーバ103が接続するポートP2をもとに作成したポート情報をP2-0とする。すると、P0-0の通信可能な範囲の情報は、「検疫サーバ103にのみ接続させる接続制限情報」に基づき、検疫サーバ103が接続されているポートP2-0のみとなる。なお、接続するポートをもとに作成するポート情報は、1つのポートに複数設定することができる。また、通信可能な範囲のポート情報の代わりに、通信不可能な範囲のポート情報としても良い。また、接続制限情報として複数の接続範囲を指定しても良い。
図12は、ポート情報を用いてステップ1103によって作成された接続制限情報(転送制御情報記憶部603に記憶される情報)の一例を示す。接続制限情報の各エントリは、VLAN情報(VLAN-ID)を格納するVLANフィールド1600と、インタフェース制御ユニット612が接続されている装置またはネットワークのMACアドレスを格納するアドレスフィールド1601と、パケット送信元の装置(端末)が接続しているインタフェース制御ユニット612の識別情報を格納する接続ポートフィールド1602と、接続ポートフィールド1602に格納された接続ポート情報をもとに作成されたポート情報を格納する接続ポート内ポート情報フィールド1603と、パケット送信元の装置(端末)が通信可能な接続ポート内ポート情報1603の情報を格納する接続可能接続ポート内ポート情報フィールド1604と、パケット送信先のインタフェース制御ユニット612の識別情報を格納する送信ポートフィールド1605を含む。
ここで、図12に示す転送制御情報(または接続制限情報)の各エントリは、インタフェース制御ユニット612から受信したパケットを中継する際、パケットのVLAN情報とVLANフィールド1600に登録されているVLAN情報が一致し、且つパケットの送信元アドレスとアドレスフィールド1601に登録されているアドレスが一致した場合、図9のステップ903、ステップ904、またはステップ905によって決定された送信先インタフェース制御ユニット612(またはインタフェース制御ユニット612に対応する送信ポート)と、図12の送信ポートフィールド1605を比較し、送信ポートフィールド1605に登録されている送信ポート以外の送信ポート(またはインタフェース制御ユニット612)を削除することで、パケット送信先である送信ポートを変更する(図9のステップ907)。
なお、ネットワーク接続要求を行なったユーザ端末に対して接続制限情報がない場合は、パケット通信装置100は、そのユーザ端末をネットワーク(業務ネットワーク104)に接続する制御を行なう。また、ネットワーク接続要求を行なったユーザ端末に対して接続制限情報がある場合であっても、上記の通り接続制限情報に従って検疫サーバに接続され、そのユーザ端末の検疫が正常に行なわれた場合は、同様にパケット通信装置100は、そのユーザ端末をネットワーク(業務ネットワーク104)に接続する制御を行なう。これにより、ユーザ端末はネットワークに接続することが可能となる。
また、ネットワーク接続要求を行なったユーザ端末に対して接続制限情報がある場合であっても、上記の通り接続制限情報に従って検疫サーバに接続され、そのユーザ端末の検疫が正常に行なわれた場合は、パケット通信装置100が有するそのユーザ端末に対応する接続制限情報(転送制御情報記憶部603に記憶されている)は、初期化される。これにより、以降同じユーザ端末からネットワーク接続要求が来た場合は、すでに検疫が完了しているので、接続制限を行なうことなく、パケット通信装置100は、そのユーザ端末からの要求に応じて、パケット中継を行なうことができる。
本実施例の他の構成例を以下に記載する。
パケットの送受信を行なう複数のインタフェース制御ユニットと、前記インタフェース制御ユニットで受信したパケットの送信元MACアドレスを登録し、送信すべきインタフェース制御ユニットを特定する情報を含むMACアドレス情報と、パケットの所属するVLANを特定するVLAN-Tag情報を含むVLAN情報と、パケットの転送に関する制御情報を含む転送制御情報と、前記アドレス情報で送信すべきインタフェース制御ユニットを特定できなかった場合に、ルーティング経路を定めるルーティングテーブルを計算するルーティング経路計算部と、計算されたルーティング情報を保持し、ネットワーク間の中継を行なうために送信すべきインタフェース制御ユニットを特定する情報を含むルーティングテーブルと前記転送制御情報から、前記複数のインタフェース制御ユニットの中から選択された一つのインタフェース制御ユニットへパケットを中継するパケット通信装置が提供される。
また、前記パケット通信装置は、ネットワークを介して配されたユーザ端末と検疫を行なうサーバ及び業務ネットワークに接続されたユーザ端末間でパケットを送受信するネットワークシステムにおけるパケット通信装置である。また、前記パケット通信装置は、インタフェース制御ユニットで受信したユーザ端末の認証要求からユーザの認証情報を抽出し、認証要求メッセージを作成してユーザ認証サーバに送ることで、ユーザ端末の認証処理を行い、ユーザ認証サーバから受信した認証結果にもとづいて、ユーザ端末の状態を接続状態、非接続状態のいずれかの状態に変更する指示を行なうパケット通信装置である。また、前記パケット通信装置は、ユーザ認証サーバから受信した認証結果にVLAN情報と接続制限情報とを含まれていると、VLAN情報に従ってユーザ端末をVLANに所属させ、接続制限情報に従ってユーザ端末の通信可能範囲を決定し、インタフェース制御ユニットで受信したユーザ端末からのパケットを受信すると通信可能範囲にのみ転送を行なうパケット通信装置である。
このようなパケット通信装置によれば、ユーザ端末のネットワークアドレスによらず、接続制限情報によってユーザ端末毎に通信可能範囲を設定できることから、同一ネットワークのユーザ端末間の通信であっても、通信を許す端末と許さない端末を設定することが可能となることから、ユーザ端末のネットワークアドレスを変更せずに通信範囲の切り替えをすることができる。
以下に、第2の実施例を説明する。第1の実施例におけるパケット通信装置100は、ユーザ端末102が所属する通信範囲内の接続制限情報として、ユーザ端末102が接続する装置のインタフェース制御ユニットの情報を用いたが、本実施例では、レイヤ2で通信範囲が決められているネットワーク間の通信を制御するために、レイヤ2で決められている通信範囲に関する情報を、接続制限情報として用いる。便宜上、レイヤ2で通信範囲を決められているネットワークをVLANとして説明する。
図13は、本実施例におけるネットワークシステムの接続例を示す。なお、パケット通信装置100の構成は、第1の実施例と同様とする。ユーザ認証サーバ101(VLAN情報100)とユーザ端末102(VLAN情報100)は同一ネットワークに接続しており、検疫サーバ103(VLAN情報200)と業務ネットワーク104(VLAN情報50)とは、いずれも、ユーザ認証サーバ101やユーザ端末102とは異なるネットワークに接続されている。
ここで、検疫の必要があるユーザ端末102の認証要求が送信され、パケット通信装置100を介してユーザ認証サーバ101との間で認証がなされ、ユーザ認証サーバ101から送信されてインタフェース制御ユニット612が受信したパケットが、ユーザ端末102の認証結果(例えば、「Access-Accept」)と、パケットに含まれるRADIUS MessageのAttributeとしてVLAN情報(例えば、ユーザ端末102のVLAN情報である「100」)と、ユーザ端末102に関する接続制限情報(例えば、「検疫サーバ103(MACアドレス「00:00:33:33:33:33」、VLAN情報「200」)にのみ接続させる」という接続制限情報。より具体的には、「接続可能であるレイヤ2の通信範囲はVLAN200、接続不可であるレイヤ2の通信範囲はVLAN50」という接続制限情報)とを含むRADIUSメッセージを受信すると、認証制御部601は、接続制限制御部604に対して、その接続制限情報を送信する。
接続制限制御部604は、受信した接続制限情報に基づいて、ユーザ端末102の接続可能であるレイヤ2の通信範囲がVLAN200で、接続不可であるレイヤ2の通信範囲がVLAN50とする転送制御情報605を作成する(図11のステップ1101)。ここで、接続制限情報として、接続可能なレイヤ2の通信範囲と接続不可なレイヤ2の通信範囲を使用しているが、どちらか一方でもよい。
図14は、レイヤ2の通信範囲情報を受信した接続制限制御部604が作成した接続制限情報(転送制御情報記憶部603に記憶される)の一例を示す。転送制御情報603の各エントリは、VLAN情報(VLAN-ID)を格納するVLANフィールド1800と、インタフェース制御ユニット612が接続されている装置またはネットワークのMACアドレスを格納するアドレスフィールド1801と、インタフェース制御ユニット612から送信された接続制限情報に含まれる接続可能なレイヤ2の通信範囲を格納する接続可能レイヤ2通信範囲フィールド1802と、インタフェース制御ユニット612から送信された接続制限情報に含まれる接続不可なレイヤ2の通信範囲を格納する接続不可レイヤ2通信範囲フィールド1803と、インタフェース制御ユニット612に対応する送信ポート情報を格納する送信ポートフィールド1804を含む。
ここで、図14に示す転送制御情報の各エントリは、インタフェース制御ユニット612から受信したパケットを中継する際、パケットのVLAN情報とVLANフィールド1800に登録されているVLAN情報が一致し、且つパケットの送信元アドレスとアドレスフィールド1801に登録されているアドレスが一致した場合、図9のステップ903、ステップ904、またはステップ905によって決定された送信先インタフェース制御ユニット612(またはインタフェース制御ユニット612に対応する送信ポート)と、図14の送信ポートフィールド1804を比較し、送信ポートフィールド1804に登録されている送信ポート以外の送信ポート(またはインタフェース制御ユニット612)の情報を削除することで、送信ポートを変更する(図9のステップ907)。
このようなパケット通信装置によれば、ユーザ端末のネットワークアドレスによらず、接続制限情報によってユーザ端末毎に通信可能範囲を設定できることから、異なるネットワーク間の通信では、ユーザ端末毎に接続を許すネットワークと許さないネットワークを設定することが可能となることから、ユーザ端末のネットワークアドレスを変更せずに通信範囲の切り替えをすることができる。
本発明の一実施形態であるネットワークシステムの概略構成を示す。 図1に示したシステムにおけるネットワーク接続要求に対する処理を示すシーケンス図である。 図2においてパケット通信装置101とユーザ認証サーバとの間で送受信されるRADIUSメッセージのパケットフォーマットの一例を示す。 図3のRADIUS Message 304のデータフォーマットの一例を示す。 図4のAttribute 405のデータフォーマットの一例を示す。 図1におけるパケット通信装置100の内部構成図を示す。 図6におけるMACアドレス情報記憶部610が記憶するデータの一例を示す。 パケット通信装置100のパケット中継処理の概略を示すフローチャートを示す。 図8のステップ801(パケット中継処理)の詳細なフローチャートを示す。 図8のステップ802(認証処理)の詳細なフローチャートを示す。 図8のステップ804(接続制限処理)の詳細なフローチャートを示す。 転送制御情報記憶部603に記憶される接続制限情報の一例を示す。 本発明の第2の実施例に係るネットワークシステムの構成図を示す。 転送制御情報記憶部603に記憶される接続制限情報の他の例を示す。
符号の説明
100:パケット通信装置、101:ユーザ認証サーバ、102:ユーザ端末、103:検疫サーバ、104:業務ネットワーク、601:認証制御部、604:接続制限制御部、612:インタフェース制御ユニット

Claims (4)

  1. ユーザ端末に接続され、該ユーザ端末から受信したパケットを中継するパケット通信装置において、
    前記ユーザ端末から送信された認証要求パケットを、前記パケット通信装置に接続された認証サーバに送信する第1のインタフェース制御部と、
    該前記第1のインタフェース制御部が前記認証サーバから受信したパケットが前記ユーザ端末に関する認証パケットである場合は、該認証パケットの認証処理を行なう認証制御部と、
    前記認証制御部による前記認証パケットの認証の結果、該認証パケットにVLAN情報が含まれている場合は、前記ユーザ端末を、前記VLAN情報が示すVLANに所属させるVLAN制御部と、
    該認証制部による認証の結果、前記認証パケットに、前記ユーザ端末に関する接続制限情報としてポート情報が含まれている場合は、前記接続制限情報に従って前記ユーザ端末の通信可能範囲を設定する接続制限制御部と、
    該接続制限制御部が設定した接続制限情報として前記ポート情報を記憶する転送制御情報記憶部と、
    前記設定された接続制限情報に従って、前記ポート情報に示されるポートに接続された検疫サーバであって前記ユーザ端末を検疫する検疫サーバに対して、前記ユーザ端末から受信したパケットを送信する第2のインタフェース制御部とを備えることを特徴とするパケット通信装置。
  2. 前記転送制御情報記憶部に記憶された接続制限情報は、前記パケットの送信元アドレスに対応して設定されていることを特徴とする請求項1記載のパケット通信装置。
  3. 前記認証パケットに、前記ユーザ端末に関する接続制限情報が含まれていない場合は、前記接続制限制御部は、前記転送制御情報記憶部に記憶されている前記ユーザ端末に関する転送制御情報を初期化することを特徴とする請求項1記載のパケット通信装置。
  4. 前記第1のインタフェース制御部が前記認証サーバから受信したパケットが、前記ユーザ端末が要求するネットワークへのアクセスを許可する情報を含んでいる場合、前記パケット通信装置は、アクセスを許可する旨を前記ユーザ端末へ送信することを特徴とする請求項1記載のパケット通信装置。
JP2006240938A 2006-09-06 2006-09-06 パケット通信装置 Expired - Fee Related JP4852379B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006240938A JP4852379B2 (ja) 2006-09-06 2006-09-06 パケット通信装置
US11/675,184 US7835341B2 (en) 2006-09-06 2007-02-15 Packet communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006240938A JP4852379B2 (ja) 2006-09-06 2006-09-06 パケット通信装置

Publications (2)

Publication Number Publication Date
JP2008066907A JP2008066907A (ja) 2008-03-21
JP4852379B2 true JP4852379B2 (ja) 2012-01-11

Family

ID=39151404

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006240938A Expired - Fee Related JP4852379B2 (ja) 2006-09-06 2006-09-06 パケット通信装置

Country Status (2)

Country Link
US (1) US7835341B2 (ja)
JP (1) JP4852379B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4546382B2 (ja) * 2005-10-26 2010-09-15 株式会社日立製作所 機器検疫方法、および、機器検疫システム
JP4960285B2 (ja) * 2008-03-21 2012-06-27 株式会社東芝 Ip電話端末、サーバ装置、認証装置、通信システム、通信方法、およびプログラム
US8483680B2 (en) * 2008-10-03 2013-07-09 Qualcomm Incorporated Handling failure scenarios for voice call continuity
JP5245837B2 (ja) * 2009-01-06 2013-07-24 富士ゼロックス株式会社 端末装置、中継装置及びプログラム
JP5263119B2 (ja) * 2009-10-19 2013-08-14 富士通株式会社 通信制御プログラム、通信制御装置、およびネットワークシステム
US8479290B2 (en) * 2010-06-16 2013-07-02 Alcatel Lucent Treatment of malicious devices in a mobile-communications network
JP5350333B2 (ja) * 2010-06-28 2013-11-27 アラクサラネットワークス株式会社 パケット中継装置及びネットワークシステム
JP5088517B2 (ja) * 2010-09-30 2012-12-05 日本電気株式会社 検疫装置、検疫システム、検疫方法、及びプログラム
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002084306A (ja) 2000-06-29 2002-03-22 Hitachi Ltd パケット通信装置及びネットワークシステム
JP3639200B2 (ja) * 2000-09-08 2005-04-20 株式会社東芝 通信システム、移動端末装置、ゲートウェイ装置、アドレス割り当て方法及び検索サービス方法
JP3776705B2 (ja) * 2000-09-28 2006-05-17 株式会社東芝 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法
US20020091926A1 (en) * 2001-01-10 2002-07-11 The Furukawa Electric Co., Ltd. Multicast authentication method, multicast authentication server, network interconnection apparatus and multicast authentication system
JP2005268936A (ja) * 2004-03-16 2005-09-29 Canon Inc アクセスポイント、ネットワークシステム及びネットワークサービス提供方法
US20050267954A1 (en) * 2004-04-27 2005-12-01 Microsoft Corporation System and methods for providing network quarantine

Also Published As

Publication number Publication date
US20080056238A1 (en) 2008-03-06
US7835341B2 (en) 2010-11-16
JP2008066907A (ja) 2008-03-21

Similar Documents

Publication Publication Date Title
JP4852379B2 (ja) パケット通信装置
JP5790827B2 (ja) 制御装置、制御方法、及び通信システム
JP5660202B2 (ja) コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法
US20110032939A1 (en) Network system, packet forwarding apparatus, and method of forwarding packets
CN110650076B (zh) Vxlan的实现方法,网络设备和通信系统
WO2011081104A1 (ja) 通信システム、認証装置、制御サーバ、通信方法およびプログラム
WO2018041152A1 (zh) 宽带远程接入服务器控制平面功能和转发平面功能的分离
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
WO2017114362A1 (zh) 一种报文转发方法、装置和系统
WO2016192608A2 (zh) 身份认证方法、身份认证系统和相关设备
JP2005167646A (ja) 接続制御システム、接続制御装置、及び接続管理装置
WO2016152416A1 (ja) 通信管理システム、アクセスポイント、通信管理装置、接続制御方法、通信管理方法、及びプログラム
JP2010062667A (ja) ネットワーク機器及びネットワークシステム
JP4495049B2 (ja) パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
JP5350333B2 (ja) パケット中継装置及びネットワークシステム
JP4615435B2 (ja) ネットワーク中継装置
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
JP5626900B2 (ja) 無線通信システムおよびアクセスポイント
JP2003324457A (ja) アクセス制御装置、方法、プログラムおよび記録媒体
US11233675B2 (en) System and method for enabling coexisting hotspot and DMZ
US20210051076A1 (en) A node, control system, communication control method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110520

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110531

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110927

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111024

R150 Certificate of patent or registration of utility model

Ref document number: 4852379

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141028

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees