JP5012338B2 - ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法 - Google Patents
ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法 Download PDFInfo
- Publication number
- JP5012338B2 JP5012338B2 JP2007229630A JP2007229630A JP5012338B2 JP 5012338 B2 JP5012338 B2 JP 5012338B2 JP 2007229630 A JP2007229630 A JP 2007229630A JP 2007229630 A JP2007229630 A JP 2007229630A JP 5012338 B2 JP5012338 B2 JP 5012338B2
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- terminal information
- mac address
- network device
- information table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明はネットワーク装置、ネットワーク管理システム及びそれらに用いるMACアドレス重複検出方法並びにそのプログラムに関し、特にネットワークにおけるMAC(Media Access Control)アドレスの重複の検出方法に関する。
ネットワーク管理等において、不正接続を防止するためには、管理サーバを立て、IP(Internet Protocol)アドレスやMACアドレス等をチェックする必要がある(例えば、特許文献1参照)。
しかしながら、近年、MACアドレスの複製自体は容易になっており、既に登録されているMACアドレスを複製された上に、その不正ユーザ端末が正当なユーザ端末より先に接続すると、ネットワークから正当なユーザ端末が締め出されてしまうケースがある。この時の不正ユーザ端末の接続箇所を特定する作業工数は多大となる。
また、システム試験時等において、測定器の設定を誤る等によって、別ポートから同一MACアドレスでフレームが流れた場合、転送動作が正常に行えず、構成規模によっては原因特定が困難となるケースが多い。
本発明に関連するネットワーク管理では、端末のMACアドレスの重複を確認する場合、IPアドレスとの組み合わせやARP(Address Resolution Protocol)等のレイヤ3以上の機能を利用し、管理サーバによる承認をもって接続許諾管理を行うもの、またはレイヤ2機能内にチェックコマンド、シーケンス判定処理を追加して確認を行うもの等、承認管理作業や確認用のフレームが必要である。
また、レイヤ2機能では、検出範囲がレイヤ2スイッチ単体で閉じた重複検出に留まり、複数のレイヤ2スイッチ間で重複が発生した場合に発生箇所を特定するためには、通信状況をキャプチャして確認する等の作業効率の低い手段をとるケースが多い。
そこで、本発明の目的は上記の問題点を解消し、管理・認証用サーバの必要なしに、不正なユーザ端末を検出することができるネットワーク装置、ネットワーク管理システム及びそれらに用いるMACアドレス重複検出方法並びにそのプログラムを提供することにある。
本発明によるネットワーク装置は、各々ユーザ端末が接続される複数のポートを含むネットワーク装置であって、
前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルと、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する手段とを備え、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する手段は、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断している。
前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルと、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する手段とを備え、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する手段は、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断している。
本発明によるネットワーク管理システムは、各々ユーザ端末が接続される複数のポートを含むネットワーク装置からなるネットワーク監視システムであって、
前記ネットワーク装置は、前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルと、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する手段とを備え、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する手段は、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断している。
前記ネットワーク装置は、前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルと、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する手段とを備え、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する手段は、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断している。
本発明によるMACアドレス重複検出方法は、各々ユーザ端末が接続される複数のポートを含むネットワーク装置からなるネットワーク監視システムに用いるMACアドレス重複検出方法であって、
前記ネットワーク装置に、前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルを設け、
前記ネットワーク装置が、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する処理を実行し、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する処理において、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断している。
前記ネットワーク装置に、前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルを設け、
前記ネットワーク装置が、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する処理を実行し、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する処理において、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断している。
本発明によるプログラムは、各々ユーザ端末が接続される複数のポートを含むネットワーク装置内のコンピュータに実行させるプログラムであって、
前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルにおける一定の時間内の保持内容の差分から前記MACアドレスの重複を検出する処理を含み、
前記ネットワーク装置に、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を前記ユーザ端末情報テーブルに記録させ、
前記ネットワーク装置に、前記MACアドレスの重複を検出する処理において、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視させ、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断させることを特徴とする。
前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルにおける一定の時間内の保持内容の差分から前記MACアドレスの重複を検出する処理を含み、
前記ネットワーク装置に、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を前記ユーザ端末情報テーブルに記録させ、
前記ネットワーク装置に、前記MACアドレスの重複を検出する処理において、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視させ、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断させることを特徴とする。
本発明は、上記のような構成及び動作とすることで、管理・認証用サーバの必要なしに不正なユーザ端末を検出することができるという効果が得られる。
次に、本発明の実施の形態について図面を参照して説明する。図1は本発明の第1の実施の形態によるネットワーク管理システムの構成例を示すブロック図である。図1において、本発明の第1の実施の形態によるネットワーク管理システムは、上位システム1と、レイヤ2スイッチ2と、ユーザ端末31〜33とから構成されている。
上位システム1はレイヤ2スイッチ2から得られるユーザ端末情報の重複検出内容を収集することのできる機能を有している。レイヤ2スイッチ2は、スイッチング機能、及びスイッチが物理構成としてループの形をとっていても論理的にツリー構造をトポロジーとして持つことのできるネットワーク装置であり、ユーザ端末情報チェック部21と、ユーザ端末情報テーブル22と、物理ポートP101〜P103とを備えている。
ユーザ端末情報チェック部21は、本発明の内容であるユーザ端末情報の重複を検出し、検出結果を必要に応じて上位システム1またはユーザ端末(正規端末31,32または不正端末33)へ通知、もしくはユーザ端末の通信遮断を行うことのできる機能を有する。
ユーザ端末情報テーブル22は、ユーザ端末31〜33からのフレームによって得られるユーザ端末情報の学習結果を記録し、フレームの転送を行う際に参照するデータベースである。また、ユーザ端末情報チェック部21において、ユーザ端末情報の重複検出はこのユーザ端末情報テーブル22に記録されている情報を基に判定を行う。
物理ポートP101〜P103はレイヤ2スイッチ2がユーザ端末31〜33、あるいはその他のレイヤ2スイッチと通信を行うために備えるポートである。
正規端末31,32はネットワーク管理者またはシステム管理者によってレイヤ2スイッチ2に接続が想定されているユーザ端末であり、それぞれユニークなMAC(Media Access Control)アドレスA,Bが割り振られている。
不正端末33はネットワーク管理者またはシステム管理者によってレイヤ2スイッチ2に接続が想定されていないユーザ端末であるが、正規端末31が有する本来ユニークであるはずのMACアドレスAを用いて通信を行おうとしているユーザ端末である。尚、ここではユーザ端末における物理ポートは冗長のため表現されていない。
レイヤ2スイッチ2が他のネットワーク装置との接続をツリー構成に確立した後、ユーザ端末(正規端末31,32または不正端末33)は、レイヤ2スイッチ2を通じて他のネットワークとの通信が実施される。
以上の構成によって、本実施の形態では、ユーザ端末情報学習によるユーザ端末情報重複の検出に必要な情報を収集することができる。
図2は図1のユーザ端末情報テーブルの状態表を示す図であり、図3は図1のレイヤ2スイッチ2におけるユーザ端末情報の重複検出動作を示すフローチャートである。これら図1〜図3を参照して本発明の第1の実施の形態によるネットワーク管理システムにおけるユーザ端末情報の重複検出動作について説明する。尚、図3に示す処理動作は、レイヤ2スイッチ2内に設けられるコンピュータ[CPU(中央処理装置)](図示せず)がプログラムを実行することで実現される。
レイヤ2スイッチ2に対して、図1に示すように、ユーザ端末(正規端末31,32または不正端末33)を接続し、正規端末31から正規端末32へ向けてフレームを発出すると、レイヤ2スイッチ2はフレームをユーザ端末(正規端末32及び不正端末33)に対して転送する。また、レイヤ2スイッチ2はMACアドレスAを持つ端末が物理ポートP101に接続されていることを認識して、ユーザ端末情報テーブル22に対して対応表を更新する。
同様に、正規端末32から正規端末31へ向けてフレームを発出するとレイヤ2スイッチ2はフレームをユーザ端末(正規端末31及び不正端末33)に対して転送する。また、レイヤ2スイッチ2はMACアドレスBを持つ端末が物理ポートP102に接続されていることを認識して、ユーザ端末情報テーブル22に対して対応表を更新する。
相互のユーザ端末情報の学習が完了すると、レイヤ2スイッチ2は以降のユーザ端末(正規端末31,32)間における通信を無関係のユーザ端末[この場合、ユーザ端末(不正端末33)]にはフレームを転送せず、必要な端末間であるユーザ端末(正規端末31,32)で完結した通信を行うようになる。この時、ユーザ端末情報テーブル22は、図2に示すユーザ端末情報テーブル状態(D1)となる。
次に、ユーザ端末(不正端末33)からユーザ端末(正規端末32)に対してフレームが発出されると、レイヤ2スイッチ2はフレームをユーザ端末(正規端末32)に対して転送する。また、レイヤ2スイッチ2はMACアドレスAを持つ端末が物理ポートP103に接続されていると認識して、宛先がMACアドレスAとなっているフレームを物理ポートP103へ転送するように、ユーザ端末情報テーブル22をユーザ端末情報テーブル状態(D2)へと更新する。
この時、ユーザ端末(正規端末32)がユーザ端末(正規端末31)へのフレームを発出した場合、レイヤ2スイッチ2はユーザ端末情報テーブル22にしたがってユーザ端末(正規端末31)ではなく、ユーザ端末(不正端末33)に対してフレームを転送することになる。
さらに、ユーザ端末(正規端末31)からユーザ端末(正規端末32)に対してフレームが送出されると、上記と同様の手順で、ユーザ端末情報テーブル22はユーザ端末情報テーブル状態(D1)へと更新される。
MACアドレスが重複している場合には、ユーザ端末(正規端末31、不正端末33)からフレームが発出される度に、ユーザ端末情報テーブル22がユーザ端末情報テーブル状態(D1)とユーザ端末情報テーブル状態(D2)との間で頻繁に切替わることになる。
本実施の形態において、レイヤ2スイッチ2は、フレーム受信の際に(図3ステップS1)、上記のユーザ端末情報テーブル22の状態変化をユーザ端末情報チェック部21にて監視し(図3ステップS2)、変化が発生したユーザ端末情報については被疑ユーザ端末として記録を行う(図3ステップS3)。
次に、レイヤ2スイッチ2は、ユーザ端末情報テーブル22上の特定のユーザ端末情報がn秒間にm回以上更新されること(ユーザ端末情報変化の発生頻度が高いこと)を検出しなければ(図3ステップS4)、ユーザ端末情報テーブル22を更新する(図3ステップS7)。
また、レイヤ2スイッチ2は、ユーザ端末情報テーブル22上の特定のユーザ端末情報がn秒間にm回以上更新されること(ユーザ端末情報変化の発生頻度が高いこと)が検出されれば(図3ステップS4)、MACアドレスが重複していると判定し、検出結果に該当するユーザ端末に対して通信を遮断や重複の通知、またはデフォルトVLAN(Virtual Local Area Network)へ隔離等を実施する(図3ステップS5)。
さらに、レイヤ2スイッチ2は、各レイヤ2スイッチから重複検出結果を収集する上位システム1に対して検出結果を通知し(図3ステップS6)、試験者もしくは保守者へ重複検出結果を報告している。尚、上記のn,mの値は試験者もしくは保守者がシステムに応じてチューニング可能なものとする。
このように、本実施の形態では、
(1)、事前に登録したMACアドレスを検出用情報として利用しないため、管理・認証用サーバの必要なしに、不正なユーザ端末を検出することができる
(2)、複数のレイヤ2スイッチで構成されたループのないトポロジーのネットワークにおいて、レイヤ2スイッチをまたいだMACアドレス重複を検出することができる
(3)、フレーム転送時に参照されるユーザ端末情報を検出情報として利用するため、異なるVLAN間でMACアドレスが重複している場合についても検出することが可能である
(4)、レイヤ2機能においてMACアドレスの重複検出が可能になるため、上位のプロトコルに依らないMACアドレス重複が検出することができる。この検出結果を収集することにより原因箇所特定にかかる負荷が軽減される
(5)、運用上、任意にMACアドレスを変更することができる装置において、変更ポリシ等の設定ミスが発生した場合、設定ミスによるMACアドレス重複についても検出することができる
という効果を発揮することができる。
(1)、事前に登録したMACアドレスを検出用情報として利用しないため、管理・認証用サーバの必要なしに、不正なユーザ端末を検出することができる
(2)、複数のレイヤ2スイッチで構成されたループのないトポロジーのネットワークにおいて、レイヤ2スイッチをまたいだMACアドレス重複を検出することができる
(3)、フレーム転送時に参照されるユーザ端末情報を検出情報として利用するため、異なるVLAN間でMACアドレスが重複している場合についても検出することが可能である
(4)、レイヤ2機能においてMACアドレスの重複検出が可能になるため、上位のプロトコルに依らないMACアドレス重複が検出することができる。この検出結果を収集することにより原因箇所特定にかかる負荷が軽減される
(5)、運用上、任意にMACアドレスを変更することができる装置において、変更ポリシ等の設定ミスが発生した場合、設定ミスによるMACアドレス重複についても検出することができる
という効果を発揮することができる。
図4は本発明の第2の実施の形態によるネットワーク監視システムの構成例を示すブロック図である。図4において、本発明の第2の実施の形態によるネットワーク監視システムでは、複数のレイヤ2スイッチ2−1〜2−3が存在するスイッチネットワーク内に、MACアドレスが重複しているユーザ端末(正規端末35、不正端末38)がそれぞれ異なるレイヤ2スイッチ2−2,2−3へ接続されていた場合についても適用可能である。
ここで、複数のレイヤ2スイッチ2−1〜2−3はそれぞれ、ユーザ端末情報チェック部21−1〜21−3と、ユーザ端末情報テーブル22−1〜22−3と、物理ポートとを備えているが、各々の物理ポートの図示は省略している。
図4のレイヤ2スイッチ2−1〜2−3がユーザによるループのない物理的にループ構造のないトポロジーをとる、または別途ループ回避プロトコル等の利用した場合、上記の図3に示すような検出を行うと、レイヤ2スイッチ2−2では、レイヤ2スイッチ2−1とユーザ端末(正規端末35)との間のユーザ端末情報テーブル22−2についてユーザ端末情報の更新が頻繁に発生し、レイヤ2スイッチ2−1では、レイヤ2スイッチ2−2,2−3間のユーザ端末情報テーブル22−1についてユーザ端末情報の更新が頻繁に発生する。
また、レイヤ2スイッチ2−3も、上記のレイヤ2スイッチ2−2と同様に、レイヤ2スイッチ2−1とユーザ端末(不正端末38)との間のユーザ端末情報テーブル22−3についてユーザ端末情報の更新が頻繁に発生することになる。つまり、特定のユーザ端末情報について各レイヤ2スイッチ2−1〜2−3でMACアドレス重複が発生しているように見えることになる。
この時、レイヤ2スイッチ2−1〜2−3がそれぞれの持つユーザ端末情報チェック部21−1〜21−3によって上位システム1に対してMACアドレス重複検出結果を通知することによって、重複が発生している方向性、つまり重複被疑異箇所のパスを特定することが可能となる。
また、本実施の形態では、各レイヤ2スイッチ2−1〜2−3にVLANが用いられていたとしても、ドメイン構成に対して独立に適用可能であるため、異なるVLANネットワークをまたいだMACアドレス重複検出が可能である。
上述したように、本発明は、スイッチング機能を有するネットワーク装置(レイヤ2スイッチ2,2−1〜2−3)に接続された端末のMACアドレス重複をレイヤ2機能によって検出し、原因となる端末を特定することによって、試験者または保守者の作業負担を軽減することができ、MACアドレス複製による不正接続を防止または抑制することができる。
本発明では、レイヤ2スイッチ2,2−1〜2−3にて学習されるユーザ端末情報(MACアドレス、ポート番号)テーブル22,22−1〜22−3を監視し、一定の時間内に複数回以上ユーザ端末情報テーブル22,22−1〜22−3上の特定ユーザ端末情報が更新されたことを検出すると、その更新された特定ユーザ端末情報を持つユーザ端末情報でMACアドレスが重複していると判断し、原因箇所を上位システム1やユーザ端末等の任意の装置へ通知を行う。
また、本発明では、複数のレイヤ2スイッチ2−1〜2−3で構成されたネットワークにおいて、ツリー構造確立後、代表となるレイヤ2スイッチ2−1で学習されるユーザ端末情報及び配下のレイヤ2スイッチ2−2,2−3からもたらされるユーザ端末情報によって、複数のレイヤ2スイッチ2−1〜2−3で構成されたネットワーク内のMACアドレス重複を検出する。
これによって、本発明では、上位システム1からはどのレイヤ2スイッチ通信によって、どのMACアドレスに重複があるのかを判定し、またはユーザ端末が重複を認識すること等ができるため、試験者または保守者の原因箇所特定を行う負担を軽減することができ、検出状況に応じて端末の隔離やトラフィック遮断等の処置を講ずることが可能となる。
1 上位システム
2,2−1〜2−3 レイヤ2スイッチ
21,21−1〜21−3 ユーザ端末情報チェック部
22,22−1〜22−3 ユーザ端末情報テーブル
31,32,35〜37 正規端末
33,38 不正端末
P101〜P103 物理ポート
2,2−1〜2−3 レイヤ2スイッチ
21,21−1〜21−3 ユーザ端末情報チェック部
22,22−1〜22−3 ユーザ端末情報テーブル
31,32,35〜37 正規端末
33,38 不正端末
P101〜P103 物理ポート
Claims (11)
- 各々ユーザ端末が接続される複数のポートを含むネットワーク装置であって、
前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルと、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する手段とを有し、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する手段は、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断することを特徴とするネットワーク装置。 - 前記MACアドレスが重複していると判断した時に原因箇所を上位システム及びユーザ端末を含む任意の装置への通知を行うことを特徴とする請求項1記載のネットワーク装置。
- 前記MACアドレスの重複を検出する手段は、前記ユーザ端末情報テーブルの監視結果と、配下のネットワーク装置からのユーザ端末情報とによって前記MACアドレスの重複を判断することを特徴とする請求項1または請求項2記載のネットワーク装置。
- スイッチング機能、及びスイッチが物理構成としてループの形をとっていても論理的にツリー構造をトポロジーとして持つレイヤ2スイッチであることを特徴とする請求項1から請求項3のいずれか記載のネットワーク装置。
- 各々ユーザ端末が接続される複数のポートを含むネットワーク装置からなるネットワーク監視システムであって、
前記ネットワーク装置は、前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルと、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する手段とを有し、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する手段は、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断することを特徴とするネットワーク監視システム。 - 前記ネットワーク装置は、前記MACアドレスが重複していると判断した時に原因箇所を上位システム及びユーザ端末を含む任意の装置への通知を行うことを特徴とする請求項5記載のネットワーク監視システム。
- 前記ネットワーク装置は、スイッチング機能、及びスイッチが物理構成としてループの形をとっていても論理的にツリー構造をトポロジーとして持つレイヤ2スイッチであることを特徴とする請求項5または請求項6記載のネットワーク監視システム。
- 各々ユーザ端末が接続される複数のポートを含むネットワーク装置からなるネットワーク監視システムに用いるMACアドレス重複検出方法であって、
前記ネットワーク装置に、前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルを設け、
前記ネットワーク装置が、一定の時間内における前記ユーザ端末情報テーブルの保持内容の差分から前記MACアドレスの重複を検出する処理を実行し、
前記ユーザ端末情報テーブルは、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を記録し、
前記MACアドレスの重複を検出する処理において、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視し、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断することを特徴とするMACアドレス重複検出方法。 - 前記ネットワーク装置が、前記MACアドレスが重複していると判断した時に原因箇所を上位システム及びユーザ端末を含む任意の装置への通知を行う処理を実行することを特徴とする請求項8記載のMACアドレス重複検出方法。
- 前記ネットワーク装置が、スイッチング機能、及びスイッチが物理構成としてループの形をとっていても論理的にツリー構造をトポロジーとして持つレイヤ2スイッチであることを特徴とする請求項8または請求項9記載のMACアドレス重複検出方法。
- 各々ユーザ端末が接続される複数のポートを含むネットワーク装置内のコンピュータに実行させるプログラムであって、
前記ユーザ端末のMAC(Media Access Control)アドレスと当該ユーザ端末が接続されるポートの情報とを対応付けたユーザ端末情報を保持するユーザ端末情報テーブルにおける一定の時間内の保持内容の差分から前記MACアドレスの重複を検出する処理を含み、
前記ネットワーク装置に、前記ユーザ端末間でやり取りされるフレームによって得られるユーザ端末情報の学習結果を前記ユーザ端末情報テーブルに記録させ、
前記ネットワーク装置に、前記MACアドレスの重複を検出する処理において、前記フレームを受信する際の前記ユーザ端末情報テーブルの状態変化を監視させ、前記一定の時間内に複数回以上前記ユーザ端末情報テーブル上の特定ユーザ端末情報が更新されたことを検出した場合にその更新された特定ユーザ端末情報を持つユーザ端末で前記MACアドレスが重複していると判断させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007229630A JP5012338B2 (ja) | 2007-09-05 | 2007-09-05 | ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007229630A JP5012338B2 (ja) | 2007-09-05 | 2007-09-05 | ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009065303A JP2009065303A (ja) | 2009-03-26 |
| JP5012338B2 true JP5012338B2 (ja) | 2012-08-29 |
Family
ID=40559511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007229630A Expired - Fee Related JP5012338B2 (ja) | 2007-09-05 | 2007-09-05 | ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5012338B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9864777B2 (en) | 2008-05-28 | 2018-01-09 | International Business Machines Corporation | Table partitioning and storage in a database |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5470145B2 (ja) * | 2009-04-22 | 2014-04-16 | アラクサラネットワークス株式会社 | 認証スイッチおよび端末認証方法 |
| KR101969576B1 (ko) * | 2017-06-29 | 2019-04-17 | 주식회사 케이티 | Sdn 환경에서 mac 주소 제어 및 관리 시스템 및 방법 |
| JP7042069B2 (ja) * | 2017-12-08 | 2022-03-25 | アラクサラネットワークス株式会社 | ネットワーク装置およびネットワークシステム |
| JP7251872B2 (ja) * | 2020-12-24 | 2023-04-04 | Necプラットフォームズ株式会社 | 通信制御装置、システム、方法、及びプログラム |
| CN113014491B (zh) * | 2021-02-26 | 2022-07-08 | 山东英信计算机技术有限公司 | 一种检查服务器mac地址重复的方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05175965A (ja) * | 1991-12-19 | 1993-07-13 | Hitachi Cable Ltd | マルチポート中継装置及びネットワーク管理ステーション |
| JP2004320248A (ja) * | 2003-04-14 | 2004-11-11 | Fujitsu Ltd | 通信装置,輻輳回避方法および伝送システム |
| JP4429185B2 (ja) * | 2005-02-07 | 2010-03-10 | 日本電信電話株式会社 | 優先度に基づくループ制御ブリッジ装置を含むシステム |
| KR100719557B1 (ko) * | 2005-08-13 | 2007-05-17 | 삼성에스디아이 주식회사 | 전극 단자부 구조 및 이를 구비한 플라즈마 디스플레이패널 |
| JP4720363B2 (ja) * | 2005-08-19 | 2011-07-13 | パナソニック電工株式会社 | フィルタリング装置 |
-
2007
- 2007-09-05 JP JP2007229630A patent/JP5012338B2/ja not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9864777B2 (en) | 2008-05-28 | 2018-01-09 | International Business Machines Corporation | Table partitioning and storage in a database |
| US10169420B2 (en) | 2008-05-28 | 2019-01-01 | International Business Machines Corporation | Table partitioning and storage in a database |
| US11093502B2 (en) | 2008-05-28 | 2021-08-17 | International Business Machines Corporation | Table partitioning and storage in a database |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009065303A (ja) | 2009-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111092869B (zh) | 终端接入办公网络安全管控方法及认证服务器 | |
| US11075819B2 (en) | Identifying unauthorized changes to network elements and determining the impact of unauthorized changes to network elements on network services | |
| JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
| Scott-Hayward | Design and deployment of secure, robust, and resilient SDN controllers | |
| KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
| JP5012338B2 (ja) | ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法 | |
| US10764119B2 (en) | Link handover method for service in storage system, and storage device | |
| JP5033856B2 (ja) | ネットワーク構成の想定のための装置、システム | |
| CN107077472A (zh) | 分布式处理系统 | |
| US7940645B2 (en) | Protection switching method based on change in link status in ethernet link aggregation sublayer | |
| US9813448B2 (en) | Secured network arrangement and methods thereof | |
| US20060174342A1 (en) | Network intrusion mitigation | |
| US20110270957A1 (en) | Method and system for logging trace events of a network device | |
| US20070101422A1 (en) | Automated network blocking method and system | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| US8131871B2 (en) | Method and system for the automatic reroute of data over a local area network | |
| CN112929200B (zh) | 一种面向sdn多控制器的异常检测方法 | |
| US20170026341A1 (en) | Automation network and method for monitoring the security of the transfer of data packets | |
| CN113328973B (zh) | 一种检测访问控制列表acl规则无效的方法和装置 | |
| Kirrmann et al. | Selecting a standard redundancy method for highly available industrial networks | |
| CN111935085A (zh) | 工业控制网络异常网络行为的检测防护方法和系统 | |
| US10574659B2 (en) | Network security management system | |
| JP2006332997A (ja) | 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム | |
| Siqueira et al. | A fault tolerance mechanism for network intrusion detection system based on intelligent agents (NIDIA) | |
| JP2017228887A (ja) | 制御システム、ネットワーク装置、及び制御装置の制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100806 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111129 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120228 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120416 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120508 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120521 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150615 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |