JP5143198B2 - ネットワーク中継装置 - Google Patents

ネットワーク中継装置 Download PDF

Info

Publication number
JP5143198B2
JP5143198B2 JP2010186826A JP2010186826A JP5143198B2 JP 5143198 B2 JP5143198 B2 JP 5143198B2 JP 2010186826 A JP2010186826 A JP 2010186826A JP 2010186826 A JP2010186826 A JP 2010186826A JP 5143198 B2 JP5143198 B2 JP 5143198B2
Authority
JP
Japan
Prior art keywords
authentication
relay device
network relay
switch
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010186826A
Other languages
English (en)
Other versions
JP2012049588A (ja
Inventor
大輔 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Buffalo Inc
Original Assignee
Buffalo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Buffalo Inc filed Critical Buffalo Inc
Priority to JP2010186826A priority Critical patent/JP5143198B2/ja
Priority to CN2011102435428A priority patent/CN102377773A/zh
Priority to US13/215,240 priority patent/US20120054830A1/en
Publication of JP2012049588A publication Critical patent/JP2012049588A/ja
Application granted granted Critical
Publication of JP5143198B2 publication Critical patent/JP5143198B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Description

本発明は、ネットワーク中継装置に関する。
ICT(Information and Communication Technology)技術の進展に伴い、インテリジェントスイッチと呼ばれるスイッチ製品が登場している。このようなインテリジェントスイッチは、一般的なスイッチと比較して高機能なスイッチのことを意味する。インテリジェントスイッチは様々な機能、例えば、VLAN(Virtual Local Area Network)機能や、セキュリティ機能や、QoSサービス品質機能等を備えている(例えば、特許文献1)。このような機能の中でも、近年では、ネットワーク内部における脅威を重要視したセキュリティ機能の強化が求められている。
しかし、従来の技術では、インテリジェントスイッチにおいて、一般に広く用いられているポートベースのセキュリティ(インテリジェントスイッチのポートに接続する外部装置のMACアドレスに基づいてトラフィックの入力を制限する)を採用した場合であっても、インテリジェントスイッチ同士をカスケード接続するためのカスケード接続用ポートはオープン状態、すなわち、セキュリティ面におけるトラフィックの入力制限なしの状態に設定されていた。このため、カスケード接続用ポートがセキュリティホールになるという問題があった。
また、このような問題は、インテリジェントスイッチに限らず、セキュリティ機能を備えるネットワーク中継装置全般に共通する問題であった。
特開2008−48252号公報 特開2006−128985号公報 特開2009−239427号公報 特開2006−50372号公報 特開2002−204247号公報
本発明は、ネットワーク中継装置において、セキュリティを向上させることを目的とする。
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、例えば、以下の形態として実現可能である。ネットワーク中継装置であって、前記ネットワーク中継装置に他のネットワーク中継装置が接続された際に、予め定められた認証方式に従って、他のネットワーク中継装置との間で認証を行う認証処理部と、前記ネットワーク中継装置が受信したフレームである受信フレームの中継可否を決定し、中継可である前記受信フレームを中継するとともに、前記認証が成功した場合に、前記他のネットワーク中継装置で中継が許可されているフレームを前記ネットワーク中継装置においても中継する中継処理部と、を備え、前記認証処理部は、前記認証をされる側として動作する認証クライアントと、前記認証をする側として動作する認証サーバとの両方の機能を有し、前記他のネットワーク中継装置の接続検出後、一定時間内に前記認証の開始を要求するための開始フレームを受信しない場合は、前記他のネットワーク中継装置に対して前記開始フレームを送信する。本発明は、そのほか、以下の形態又は適用例として実現することが可能である。
[適用例1]
ネットワーク中継装置であって、
前記ネットワーク中継装置に他のネットワーク中継装置が接続された際に、予め定められた認証方式に従って、他のネットワーク中継装置との間で認証を行う認証処理部と、
前記ネットワーク中継装置が受信したフレームである受信フレームの中継可否を決定し、中継可である前記受信フレームを中継するとともに、前記認証が成功した場合に、前記他のネットワーク中継装置で中継が許可されているフレームを前記ネットワーク中継装置においても中継する中継処理部と、
を備える、ネットワーク中継装置。
このような構成にすれば、認証処理部は、ネットワーク中継装置に他のネットワーク中継装置が接続された際に、予め定められた認証方式に従って、他のネットワーク中継装置との間で認証を行い、中継処理部は、認証が成功した場合に、他のネットワーク中継装置で中継が許可されているフレームをネットワーク中継装置においても中継するため、ネットワーク中継装置において、セキュリティを向上させることができる。
[適用例2]
適用例1記載のネットワーク中継装置であって、
前記中継処理部は、
前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストに従って、前記受信フレームの中継可否を決定し、
前記中継処理部は、さらに、
前記認証が成功した場合に、前記第1の許可リストの内容を前記他のネットワーク中継装置へ送信すると共に、前記他のネットワーク中継装置から、前記他のネットワーク中継装置において中継可能なフレームを特定するための第2の許可リストの内容を受信し、受信した前記第2の許可リストの内容を、前記第1の許可リストに反映する認証情報管理部を備える、ネットワーク中継装置。
このような構成にすれば、中継処理部は、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストに基づいて、受信フレームの中継可否を決定し、認証情報管理部は、他のネットワーク中継装置との間の認証が成功した場合に、第1の許可リストの内容を他のネットワーク中継装置へ送信すると共に、他のネットワーク中継装置から、他のネットワーク中継装置において中継可能なフレームを特定するための第2の許可リストの内容を受信し、受信した第2の許可リストに規定された内容を、第1の許可リストに反映するため、ネットワーク中継装置において、セキュリティを向上させることができる。
[適用例3]
適用例1または2記載のネットワーク中継装置であって、さらに、
前記ネットワーク中継装置が有するそれぞれのポートに対する仮想ネットワークの識別子を格納する第1の仮想ネットワーク定義情報を備え、
前記中継処理部は、さらに、
前記第1の仮想ネットワーク定義情報に基づいて、前記ネットワーク中継装置に直接的に、または、他のネットワーク中継装置を介して間接的に接続される端末における仮想的なサブネットワークを構築することが可能であり、
前記認証情報管理部は、さらに、
前記認証が成功した場合、前記第1の仮想ネットワーク定義情報の内容を前記他のネットワーク中継装置へ送信すると共に、前記他のネットワーク中継装置から、前記他のネットワーク中継装置が有するそれぞれのポートに対する仮想ネットワークの識別子を格納する第2の仮想ネットワーク定義情報の内容を受信し、受信した前記第2の仮想ネットワーク定義情報の内容を、前記第1の仮想ネットワーク定義情報に反映する、ネットワーク中継装置。
このような構成にすれば、中継処理部は、さらに、第1の仮想ネットワーク定義情報に基づいて仮想的なサブネットワークを構築することが可能であり、認証情報管理部は、さらに、他のネットワーク中継装置との間の認証が成功した場合に、第1の仮想ネットワーク定義情報の内容を他のネットワーク中継装置へ送信すると共に、他のネットワーク中継装置から第2の仮想ネットワーク定義情報の内容を受信し、受信した第2の仮想ネットワーク定義情報の内容を、第1の仮想ネットワーク定義情報に反映するため、ネットワーク中継装置において、セキュリティを向上しつつ、仮想的なサブネットワークに関する設定を簡便に行うことができる。
[適用例4]
適用例2または3記載のネットワーク中継装置であって、
前記認証処理部は、さらに、
前記ネットワーク中継装置に端末が直接的に接続された際に、予め定められた認証方式に従って前記端末を認証し、
前記認証情報管理部は、さらに、
前記端末の認証が成功した場合、前記端末からの受信フレームの中継を許可するように前記第1の許可リストに規定された内容を変更するとともに、変更された前記第1の許可リストの内容を前記他のネットワーク中継装置へ送信する、ネットワーク中継装置。
このような構成にすれば、認証処理部は、さらに、ネットワーク中継装置に端末が直接的に接続された際に、予め定められた認証方式に従って端末を認証し、認証情報管理部は、さらに、端末の認証が成功した場合、端末からの受信フレームの中継を許可するように第1の許可リストに規定された内容を変更するとともに、変更された第1の許可リストの内容を他のネットワーク中継装置へ送信するため、ネットワーク中継装置において、セキュリティを向上させることができる。
[適用例5]
適用例3に従属する適用例4記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記端末の認証が成功した場合、前記第1の仮想ネットワーク定義情報の内容を前記他のネットワーク中継装置へ送信する、ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、さらに、端末の認証が成功した場合、第1の仮想ネットワーク定義情報の内容を他のネットワーク中継装置へ送信するため、ネットワーク中継装置において、セキュリティを向上しつつ、仮想的なサブネットワークに関する設定の更新を簡便に行うことができる。
[適用例6]
適用例1ないし5のいずれか一項記載のネットワーク中継装置であって、
前記認証処理部は、IEEE 802.1Xに基づく認証クライアントと、IEEE 802.1Xに基づく認証サーバとの両方の機能を有する、ネットワーク中継装置。
このような構成にすれば、認証処理部は、IEEE 802.1Xに基づく認証クライアントと、IEEE 802.1Xに基づく認証サーバとの両方の機能を有するため、ネットワーク中継装置は、他のネットワーク中継装置に対して、認証クライアントとしても認証サーバとしても振舞うことができる。
[適用例7]
適用例1ないし6のいずれか一項記載のネットワーク中継装置であって、
前記認証処理部は、前記ネットワーク中継装置に他のネットワーク中継装置が接続された際に、前記他のネットワーク中継装置のMACアドレスが、前記ネットワーク中継装置内に接続を許可すべきMACアドレスとして予め登録されている場合に、前記認証が成功したものと取り扱う、ネットワーク中継装置。
このような構成にすれば、認証処理部は、ネットワーク中継装置に他のネットワーク中継装置が接続された際に、他のネットワーク中継装置のMACアドレスが接続を許可すべきMACアドレスとして予め登録されている場合に、認証が成功したものと取り扱うため、接続を許可すべき他のネットワーク中継装置を予め指定しておくことができる。
なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、ネットワーク中継装置、ネットワーク中継装置の制御方法、ネットワーク中継装置を用いたネットワークシステム、および、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記憶した記憶媒体等の形態で実現することができる。
本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。 スイッチの構成を概略的に示す説明図である。 認証方法リストの一例を示す説明図である。 許可リストの一例を示す説明図である。 フレーム受信時処理の手順を示すフローチャートである。 スイッチに他のスイッチが接続された場合であって認証が行われる前の様子を示す説明図である。 図5のステップS16において認証の種類がEAP_CASである場合に行われる処理の流れを示すシーケンス図である。 スイッチに他のスイッチが接続された場合であって認証が行われた後の様子を示す説明図である。 図8の状態においてスイッチに新たな外部装置が接続される様子を示す説明図である。 図5のステップS16において認証の種類がEAP_PCである場合に行われる処理の流れを示すシーケンス図である。 スイッチに新たな外部装置が接続された場合であって認証が行われた後の様子を示す説明図である。 第2実施例におけるスイッチの構成を概略的に示す説明図である。 VLAN定義情報の一例を示す説明図である。 第2実施例におけるスイッチに他のスイッチが接続された場合であって認証が行われる前の様子を示す説明図である。 第2実施例におけるスイッチに対して他のスイッチが接続された際に行われる処理(図5:ステップS16:認証の種類EAP_CAS)の流れを示すシーケンス図である。 第2実施例におけるスイッチに他のスイッチが接続された場合であって認証が行われた後の様子を示す説明図である。
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
A.第1実施例:
(A−1)装置構成:
図1は、本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。ネットワーク中継装置(以降、「スイッチ」とも呼ぶ。)100は、いわゆるレイヤ2スイッチであり、MACアドレスによるフレームの中継を行う機能を有する。また、スイッチ100は、5つのポートP501〜P505を備えている。ポートP501には、回線を通じてパーソナルコンピュータ(以降、「端末」、「PC」とも呼ぶ。)10が接続されている。PC10のMACアドレスはMAC_PC10である。ポートP502には、回線を通じてPC20が接続されている。PC20のMACアドレスはMAC_PC20である。なお、図1では便宜上、説明上必要としない、他のネットワーク装置、回線、端末、およびネットワーク中継装置100内の構成部については図示を省略している。このことは、後述する図においても同様である。
図2は、スイッチ100の構成を概略的に示す説明図である。スイッチ100は、CPU200と、ROM300と、RAM400と、有線通信インタフェース(有線通信I/F)500とを備えている。スイッチ100の各構成要素は、バスを介して互いに接続されている。
CPU200は、ROM300に格納されているコンピュータプログラムをRAM400に展開して実行することにより、スイッチ100の各部を制御する。また、CPU200は、中継処理部210、EAP認証部240としても機能する。中継処理部210は、さらに、認証情報管理部220と、MACアドレス認証部230とを含み、有線通信インタフェース500を介して受信したフレームである受信フレームを中継する機能を有する。認証情報管理部220は、主として、許可リスト420を更新する機能と、他のスイッチとの間において許可リスト420を交換する機能とを有する。MACアドレス認証部230は、受信フレームの中継可否を決定する機能を有する。認証処理部としてのEAP認証部240は、スイッチ100に外部装置(例えば、PCや他のスイッチ)が接続された際に、予め定められた認証方式に従って、外部装置との間で認証を行う機能を有する。これら各機能部についての詳細は後述する。
RAM400には、認証方法リスト410と、許可リスト420とが含まれている。これら各リストについての詳細は後述する。有線通信インタフェース500は、ローカルエリアネットワーク(LAN)と接続するためのLANケーブルの接続口である。有線通信インタフェース500は、5つのポートP501〜P505を含んでいる。なお、本実施例では、ポートP501〜P504はスイッチ以外の外部装置(例えば、PCやモバイル端末等)を接続するためのポートである。ポートP505は、他のスイッチを接続するためのカスケード接続用ポートである。
(A−2)テーブル構成:
図3は、認証方法リスト410の一例を示す説明図である。認証方法リスト410は、ポート番号フィールドと、認証の種類フィールドと、MAC認証フィールドとを含んでいる。ポート番号フィールドの各エントリには、スイッチ100が備える全てのポートについての識別子が格納されている。
認証の種類フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められた認証の種類が格納されている。認証の種類とは、ポートに対して外部装置(PCや他のスイッチ)が接続された際に、EAP認証部240が行う認証の種類のことを意味する。本実施例における認証の種類は、「EAP_PC」と、「EAP_CAS」と、「Open」とを含んでいる。EAP_PCは、スイッチと、スイッチ以外の外部装置との間における認証であることを意味する。EAP_CASは、スイッチ間認証であることを意味する。Openは、認証なしであることを意味する。また、各認証の種類において実際に用いられる認証方式は、RAM400内部に予め格納されている。本実施例では、認証の種類がEAP_PCの場合はIEEE 802.1XのEAP−MD5(extensible authentication protocol-message digest version 5)を用いて認証を行う。一方、認証の種類がEAP_CASの場合はIEEE 802.1XのEAP−TLS(Extensible Authentication Protocol-Transport Layer Security)を用いて認証を行う。なお、各認証の種類において実際に用いられる認証方式は、利用者によるコンフィギュレーションが可能な構成としてもよい。
MAC認証フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められたMACアドレス認証の有効(enable)/無効(disable)の設定値が格納されている。
例えば、図3の例では、識別子P501で識別されるポート(ポートP501)に外部装置が接続された際には、EAP_PCに基づく認証、すなわち、EAP−MD5認証方式に従って認証が行われることが規定されている。また、ポートP501からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE01)。ポートP504に外部装置が接続された際には、認証を行わないことが規定されている。また、ポートP504からの受信フレームに対しては、MACアドレス認証を行わないことが規定されている(エントリE04)。ポートP505に外部装置が接続された際には、EAP_CASに基づく認証、すなわち、EAP−TLS認証方式に従って認証が行われることが規定されている。また、ポートP505からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE05)。
なお、エントリE04のように、認証の種類がOpenに設定されたポートでは、フレームの中継を正しく行うために、MACアドレス認証は無効(disable)に設定される。このため、スイッチ100は、認証の種類がOpenに設定されたポートに対しては、外部装置の接続時において認証を行わず、さらに、受信フレームに対するMACアドレス認証も行わない。この結果、認証の種類がOpenに設定されたポートがセキュリティホールになる恐れがある。
図4は、許可リスト420の一例を示す説明図である。第1の許可リストとしての許可リスト420は、MACアドレス認証の際に使用されるリストである。許可リスト420には、スイッチ100の中継処理部210において中継を許可する受信フレームの送信元MACアドレス(フレームの送信元である装置のMACアドレス)が、許可アドレスとして格納されている。すなわち、許可リスト420には、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されているといえる。
例えば、図4の例では、受信フレームのヘッダに含まれる送信元MACアドレスが、「MAC_PC10」、「MAC_PC20」のいずれかであれば、中継処理部210において当該フレームの中継が許可される。
(A−3)フレーム受信時処理:
図5は、フレーム受信時処理の手順を示すフローチャートである。中継処理部210は、ポートP501〜P505のいずれかを介してフレームを受信したか否かを判定する(ステップS10)。フレームを受信していない場合(ステップS10:NO)、ステップS10へ戻る。フレームを受信した場合(ステップS10:YES)、中継処理部210は、受信フレームはEAPフレームか否かを判定する(ステップS12)。具体的には、例えば、中継処理部210は、受信フレームのヘッダに含まれるイーサタイプから判断される受信フレームのタイプがEAPOLである場合、EAPフレームを受信したと判定することができる。
受信フレームがEAPフレームである場合(ステップS12:YES)、EAP認証部240は、認証方法リスト410を検索する(ステップS14)。具体的には、EAP認証部240は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリの認証の種類フィールドの値を取得する。EAP認証部240は、取得した認証の種類に応じた処理を行った後、処理を終了する(ステップS16)。各認証の種類(EAP_PC、EAP_CAS)に応じた処理の詳細については後述する。
一方、受信フレームがEAPフレーム以外のフレームである場合(ステップS12:NO)、MACアドレス認証部230は認証方法リスト410を検索する(ステップS18)。具体的には、MACアドレス認証部230は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリのMAC認証フィールドの値、すなわち、MACアドレス認証の有効/無効の設定値を取得する。次に、MACアドレス認証部230は、MACアドレス認証を行うか否かを判定する(ステップS20)。具体的には、取得した設定値が「enable」であればMACアドレス認証を行い、取得した設定値が「disable」であればMACアドレス認証は行わない。MACアドレス認証を行わない場合(ステップS20:なし)、処理はステップS28へ遷移する。
MACアドレス認証を行う場合(ステップS20:あり)、MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。MACアドレス認証部230は、受信フレームを中継可能であるか否かを判定する(ステップS24)。具体的には、MACアドレス認証部230は、受信フレームのヘッダに含まれる送信元MACアドレスが、許可リスト420に格納されているMACアドレスのいずれかと一致するか否かを判定する。一致しない場合(ステップS24:不可)、MACアドレス認証部230は、受信フレームを破棄し、処理を終了する(ステップS26)。受信フレームを破棄した際、MACアドレス認証部230は、破棄したフレームの送信元端末に対して、フレームを破棄した旨の通知を行ってもよい。
一方、一致する場合(ステップS24:可)、MACアドレス認証部230は、受信フレームは中継可であるものとして、フレーム中継処理を行う(ステップS28)。フレーム中継処理においては、中継処理部210は、図示しないMACアドレステーブルを参照し、フォワーディング(宛先MACアドレスがMACアドレステーブルにある場合のフレーム中継動作)もしくはフラッディング(宛先MACアドレスがMACアドレステーブルに無い場合の動作)を行った後、処理を終了する。このように、中継処理部210のMACアドレス認証部230は、許可リスト420に基づいて、受信フレームの中継可否を決定する。
図6は、スイッチ100に他のスイッチ100Xが接続された場合であって、認証が行われる前の様子を示す説明図である。スイッチ100Xの構成は、ポートP501がカスケード接続用ポートに設定されている点を除いては、図1に示したスイッチ100と同様である。スイッチ100XのポートP501は、回線を通じてスイッチ100のポートP505と接続されている。また、スイッチ100XのポートP502にはPC30が、ポートP503にはPC40が、ポートP504にはPC50が、それぞれ回線を通じて接続されている。また、PC30のMACアドレスはMAC_PC30、PC40のMACアドレスはMAC_PC40、PC50のMACアドレスはMAC_PC50である。
また、スイッチ100X内部に格納されている認証方法リスト410の、ポートP501に対応する認証の種類フィールドの値は「EAP_CAS」、MAC認証フィールドの値は「enable」である。また、ポートP502に対応する認証の種類フィールドの値は「EAP_PC」、MAC認証フィールドの値は「enable」である。さらに、スイッチ100X内部に格納されている許可リスト420には、既にスイッチ100Xに接続されている3台のPCのMACアドレス(MAC_PC30、MAC_PC40、MAC_PC50)が格納されている。なお、スイッチ100Xに格納されている許可リスト420を、第2の許可リストとも呼ぶ。
例えば、図6のように、スイッチ100とスイッチ100Xとの認証が行われる前において、PC30からPC20へフレームが送信された場合について考える。まず、スイッチ100Xは、PC30からのフレームを検出する(図5:ステップS10:YES)。検出したフレームはEAPフレームではないため(ステップS12:NO)、MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP502におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。送信元MACアドレスであるMAC_PC30は、許可リスト420に格納されているMACアドレスと一致するため、MACアドレス認証部230は、受信フレームを中継可能であると判定する(ステップS24:可)。スイッチ100Xの中継処理部210は、フレーム中継処理を行う(ステップS28)。この結果、スイッチ100Xが受信したフレームは、スイッチ100XのポートP501からスイッチ100へ向けて送信される。
スイッチ100Xからのフレームを受信したスイッチ100は(図5:ステップS10:YES)、受信フレームはEAPフレームではないと判定する(ステップS12:NO)。MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP505におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索し、送信元MACアドレスであるMAC_PC30が、許可リスト420に格納されているMACアドレスのいずれとも一致しないと判定する(ステップS22、S24:不可)。この結果、スイッチ100が受信したフレームは、MACアドレス認証部230により破棄される(ステップS26)。
以上のように、スイッチ100とスイッチ100Xとの間の認証が行われる前においては、スイッチ100は、スイッチ100Xに接続されている外部装置からの受信フレームを中継することなく破棄する。換言すれば、スイッチ100は、スイッチ100Xとの認証前においては、スイッチ100Xからのトラフィックの入力を制限する。これは、スイッチ100が有する許可リスト420に、スイッチ100Xに接続されている外部装置(PC30〜PC50)のMACアドレスが格納されていないためである。
(A−4)認証の種類に応じた処理:
図6のように、スイッチ100に他のスイッチ100Xが接続された場合、スイッチ100もしくはスイッチ100Xは、接続先のスイッチに対して、認証の開始を要求するためのEAPOL開始フレームを送信する。EAPOL開始フレームを受信したスイッチ100の中継処理部210は、受信フレームはEAPフレームであると判定する(図5:ステップS12:YES)。このため、EAP認証部240は、認証方法リスト410を検索し、認証の種類はEAP_CASであると判定する(ステップS14)。以下、認証の種類がEAP_CASである場合の処理(ステップS16)について説明する。
(A−4−1)認証の種類がEAP_CASである場合の処理:
図7は、図5のステップS16において、認証の種類がEAP_CASである場合に行われる処理の流れを示すシーケンス図である。スイッチ100に対してスイッチ100Xが接続された際、最初に双方の間においてリンクアップが行われる(ステップS100)。次に、サプリカント(Supplicant)としてのスイッチ100Xから、オーセンティケータ(Authenticator)としてのスイッチ100に対して、認証の開始を要求するためのEAPOL開始フレーム(EAP over LAN-Start)が送信される(ステップS102)。
EAPOL開始フレームを受信したスイッチ100のEAP認証部240は、サプリカントのIDを要求するEAP要求フレームを送信する(ステップS104)。要求フレームを受信したスイッチ100Xは、サプリカントのIDを含んだEAP応答フレームを送信する(ステップS106)。次に、スイッチ100のEAP認証部240は、認証に使用するEAPのタイプ(本実施例では、EAP−TLS)を通知するEAP要求フレームを送信する(ステップS108)。要求フレームを受信したスイッチ100Xは、認証に使用するEAPのタイプ(本実施例では、EAP−TLS)の識別子を含んだEAP応答フレームを送信する(ステップS110)。
その後、スイッチ100と、スイッチ100Xとの間で、ステップS110で通知された認証方式に則った認証が行われる(ステップS112)。認証が成功した場合、スイッチ100のEAP認証部240は、認証が成功した旨のEAPフレームを送信する(ステップS114)。なお、上述した各フレームは、EAPの規約で予め定められた形式に則った構成とされ、IDやタイプ等の値は、フレーム中の規定の位置に格納されるデータとして送受信される。
認証成功後、スイッチ100の認証情報管理部220は、許可リスト420に格納された許可アドレスを含んだフレームを送信する(ステップS116)。これを受信したスイッチ100Xは、スイッチ100X内の許可リスト420に格納された許可アドレスを含んだフレームを送信する(ステップS118)。最後に、スイッチ100の認証情報管理部220は、受信フレームに含まれる許可アドレスをもとにして、スイッチ100の許可リスト420に格納されている許可アドレスを更新する。具体的には、認証情報管理部220は、受信フレームに含まれる許可アドレス(MACアドレス)を、自身の許可リスト420に追加する。また、スイッチ100Xについても同様に、受信フレームに含まれる許可アドレスをもとにして、スイッチ100Xの許可リスト420に格納されている許可アドレスを更新する。
なお、図7においては、スイッチ100XがIEEE 802.1Xに基づく認証クライアント(サプリカント)として機能し、スイッチ100がIEEE 802.1Xに基づく認証サーバ(オーセンティケータ)として機能しているが、これらは逆にしてもよい。例えば、スイッチ100は、リンクアップ(ステップS100)検出後、一定時間内にEAPOL開始フレームを受信しない場合は、スイッチ100Xに対してEAPOL開始フレームを送信する構成を採用することができる。このような場合、スイッチ100が認証クライアントとして機能し、スイッチ100Xが認証サーバとして機能する。以上のように、認証処理部としてのEAP認証部240がIEEE 802.1Xに基づく認証クライアントと、IEEE 802.1Xに基づく認証サーバとの両方の機能を有するようにすれば、スイッチ100は、スイッチ100Xに対して、認証クライアントとしても、認証サーバとしても振舞うことができるため、柔軟性の高い認証を実現することができる。
図8は、スイッチ100に他のスイッチ100Xが接続された場合であって、認証が行われた後の様子を示す説明図である。スイッチ100およびスイッチ100Xの構成は図6で説明した通りである。スイッチ100内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、スイッチ100Xの許可リスト420に格納された許可アドレス(MAC_PC30、MAC_PC40、MAC_PC50)が格納されている(図7:ステップS120)。同様に、スイッチ100X内部に格納されている許可リスト420には、既にスイッチ100Xに接続されている3台のPCのMACアドレス(MAC_PC30、MAC_PC40、MAC_PC50)に加えて、スイッチ100の許可リスト420に格納された許可アドレス(MAC_PC10、MAC_PC20)が格納されている(図7:ステップS120)。
図8のように、スイッチ100とスイッチ100Xとの認証が行われた後において、PC30からPC20へのフレームが送信された場合について考える。PC30からのフレームが、スイッチ100Xを経由してスイッチ100へ送信されるまでの流れは、図6で説明したものと同じである。
スイッチ100Xからのフレームを受信したスイッチ100は(図5:ステップS10:YES)、受信フレームEAPフレームではないと判定する(ステップS12:NO)。MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP505におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。送信元MACアドレスであるMAC_PC30が、許可リスト420に格納されているMACアドレスと一致するため、MACアドレス認証部230は、受信フレームを中継可能であると判定する(ステップS24:可)。スイッチ100の中継処理部210は、フレーム中継処理を行う(ステップS28)。この結果、スイッチ100が受信したフレームは、スイッチ100のポートP502からPC20へ向けて送信される。
以上のように、スイッチ100とスイッチ100Xとの間の認証が行われ、当該認証が成功した後においては、スイッチ100は、スイッチ100Xに接続されている外部装置からの受信フレームを中継する。換言すれば、スイッチ100は、スイッチ100Xとの認証成功後においては、スイッチ100Xからのトラフィックの入力を制限しない。
(A−4−2)認証の種類がEAP_PCである場合の処理:
図9は、図8の状態において、スイッチ100に新たな外部装置が接続される様子を示す説明図である。スイッチ100に新たな外部装置(PC60、MACアドレスMAC_PC60)が接続された場合、PC60は、接続先のスイッチ100に対して、認証の開始を要求するためのEAPOL開始フレームを送信する。EAPOL開始フレームを受信したスイッチ100の中継処理部210は、受信フレームはEAPフレームであると判定する(図5:ステップS12:YES)。このため、EAP認証部240は、認証方法リスト410を検索し、認証の種類はEAP_PCであると判定する(ステップS14)。以下、認証の種類がEAP_PCである場合の処理(ステップS16)について説明する。
図10は、図5のステップS16において、認証の種類がEAP_PCである場合に行われる処理の流れを示すシーケンス図である。図10のステップS100〜S114は、PC60が認証クライアント(サプリカント)として振舞う点を除いては、図7のS100〜S114とほぼ同じである。ただし、本実施例では認証の種類がEAP_PCの場合、EAP−MD5に従って認証が行われるため、ステップS108においてスイッチ100のEAP認証部240は、認証に使用するEAPのタイプとして、EAP−MD5を通知するEAP要求フレームを送信する。
ステップS112の認証が成功後、スイッチ100の認証情報管理部220は、許可リスト420に格納されている許可アドレスに、PC60のMACアドレス(MAC_PC60)を追加する更新を行う(ステップS200)。その後、スイッチ100の認証情報管理部220と、スイッチ100Xとは、互いに、許可リスト420に格納された許可アドレスを含んだフレームを送信し合う(ステップS116、S118)。そして、スイッチ100の認証情報管理部220と、スイッチ100Xとは、自身の許可リスト420を更新する。なお、ステップS116〜S120の詳細は、図7と同様である。
図11は、スイッチ100に新たな外部装置が接続された場合であって、認証が行われた後の様子を示す説明図である。スイッチ100およびスイッチ100Xの内部に格納されている許可リスト420には、新たにスイッチ100に接続されたPC60のMACアドレス(MAC_PC60)が追加されている(図10:ステップS120)。
以上のように、スイッチ100と、スイッチ100Xとの認証が成功した後において、一方のスイッチ(例えばスイッチ100)に対して、さらに、PC等の外部装置(例えばPC60)が接続された場合、上述のように、スイッチ100とPC60との認証成功後、スイッチ100は、PC60のMACアドレスを自身の許可リスト420に追加する。そして、スイッチ100は、更新後の許可リスト420をスイッチ100Xに送信する。この結果、新たに接続されたPC60との間の送受信フレームについても、図8で説明したものと同様に、破棄されることなく中継される。なお、以上のことは、例えば、スイッチ100に他のスイッチ(例えば、スイッチ100Y)が接続された場合についても同様である。
また、図11のように、例えば、スイッチ100Xがさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100Xは、スイッチ100から受信した、スイッチ100の許可リスト420に格納された許可アドレスを含んだフレーム(図10:ステップS116)を、さらに、自身が接続されている他のスイッチ(スイッチ100Z)へ送信してもよい。このように、自身が接続されている一方のスイッチから受信した許可アドレスを、他方のスイッチへ伝播する構成とすれば、MACアドレス認証で使用される許可リストの内容(すなわち、フレームの中継を許可すべき外部装置のMACアドレス)を、スイッチ間で交換することができるため、利便性が向上する。なお、許可アドレスの伝播の範囲は、ルータで区切られた同一のセグメントの範囲内のスイッチとすることができる。なお、ルータそのものに対して許可アドレスの伝播を行ってもよい。そうすれば、ルータによっても、MACアドレスを管理することができる。
以上のように、第1実施例によれば、ネットワーク中継装置(スイッチ100)のEAP認証部240は、スイッチ100に他のネットワーク中継装置(スイッチ100X)が接続された際に、認証方法リスト410に直接的または間接的に予め定められた認証方式(EAP_CAS:EAP−TLS、EAP_PC:EAP−MD5)に従って、スイッチ100Xとの間で認証(図5:ステップS16、図7)を行い、中継処理部210は、認証が成功した場合に、スイッチ100Xで中継が許可されているフレームをスイッチ100においても中継するため、セキュリティを向上させることができる。
さらに、スイッチ100の中継処理部210は、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リスト(許可リスト420)に基づいて、受信フレームの中継可否を決定し(図5:ステップS22、S24)、中継不可である受信フレームを破棄する。また、認証情報管理部220は、スイッチ100Xとの間の認証が成功した場合に、許可リスト420の内容をスイッチ100Xへ送信すると共に、スイッチ100Xから、スイッチ100Xにおいて中継可能なフレームを特定するための第2の許可リスト(許可リスト420)の内容を受信し、受信したスイッチ100Xの許可リスト420に規定された内容を、スイッチ100の許可リスト420に反映する(図5:ステップS16、図7)。
すなわち、スイッチ100は、スイッチ100Xとの認証前においては、スイッチ100Xからのトラフィックの入力を制限し、スイッチ100Xとの認証成功後においては、スイッチ100Xからのトラフィックの入力を制限しない。このため、特に、従来の問題点であったカスケード接続用ポートがセキュリティホール化することを抑制することができる。この結果、スイッチ100におけるセキュリティ(特に機密性)を向上させることができる。
さらに、EAP認証部240は、スイッチ100に端末(例えば、PC等の外部装置)が直接的に接続された際に、認証方法リスト410に直接的または間接的に予め定められた認証方式(EAP_CAS:EAP−TLS、EAP_PC:EAP−MD5)に従って端末を認証し、認証情報管理部220は、さらに、端末の認証が成功した場合、端末からの受信フレームの中継を許可するように許可リスト420に規定された内容を変更するとともに、変更された許可リスト420の内容をスイッチ100X等の他のネットワーク中継装置へ送信する。すなわち、スイッチ間における認証と許可アドレスの交換の後に、あるスイッチに対して構成の変更があった場合でも、変更後の許可アドレスの交換が行われるため、セキュリティと、利便性とを向上させることができる。
B.第2実施例:
本発明の第2実施例では、第1実施例で説明したネットワーク中継装置において、さらに、VLAN(Virtual LAN)を使用可能な構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
(B−1)装置構成:
図12は、第2実施例におけるスイッチ100aの構成を概略的に示す説明図である。図2に示したスイッチ100との違いは、中継処理部210に代えて中継処理部210aを備える点と、認証情報管理部220に代えて認証情報管理部220aを備える点と、RAM400に代えてRAM400aを備える点のみであり、他の構成については第1実施例と同じである。中継処理部210aおよび認証情報管理部220aの機能についての詳細は後述する。RAM400aは、図3で説明した認証方法リスト410と、図4で説明した許可リスト420とに加えて、VLAN定義情報430を備えている。
(B−2)テーブル構成:
図13は、VLAN定義情報430の一例を示す説明図である。第1の仮想ネットワーク定義情報としてのVLAN定義情報430は、ポート番号フィールドと、VLAN IDフィールドとを含んでいる。ポート番号フィールドの各エントリには、スイッチ100aが備える全てのポートについての識別子が格納されている。VLAN IDフィールドには、ポート番号フィールドに格納されている各ポートに対して割り当てられている仮想ネットワーク(VLAN)の識別子が格納されている。
例えば、図13の例では、識別子P501で識別されるポート(ポートP501)に接続されている外部装置(すなわち、図1のPC10)は、識別子「1」で識別されるVLANに所属することが規定されている。同様に、識別子P502で識別されるポート(ポートP502)に接続されている外部装置(すなわち、図1のPC20)は、識別子「2」で識別されるVLANに所属することが規定されている。
(B−3)フレーム受信時処理:
フレーム受信時処理については、図5で説明したものと同様である。ただし、中継処理部210aは、第1の仮想ネットワークの定義情報としてのVLAN定義情報430に基づいて、スイッチ100aに直接的、または他のスイッチ等を介して間接的に接続される外部装置における仮想的なサブネットワーク(VLAN)を構築することができる。具体的には、中継処理部210aは、フレーム中継処理(図5:ステップS28)において、VLAN定義情報430を参照することにより、異なるVLANの識別子が割り当てられたポートは異なるサブネットに所属するものとして、フレームの中継処理を行う。すなわち、図13に示したVLAN定義情報430によれば、図1のPC10と、PC20とは、異なるVLANに所属するため、中継処理部210によって異なるサブネットに所属するものとして取り扱われる。この結果、PC10と、PC20との間におけるパケットの中継は行われない。
図14は、第2実施例におけるスイッチ100aに他のスイッチ100Xaが接続された場合であって、認証が行われる前の様子を示す説明図である。スイッチ100Xaの構成は、ポートP501がカスケード接続用ポートに設定されている点を除いては、図12に説明したスイッチ100aと同様である。スイッチ100XaのポートP501は、回線を通じてスイッチ100aのポートP505と接続されている。また、スイッチ100XaのポートP502にはPC30(MACアドレス:MAC_PC30、VLAN ID:1)が、ポートP503にはPC40(MACアドレス:MAC_PC40、VLAN ID:2)が、ポートP504にはPC50(MACアドレス:MAC_PC50、VLAN ID:2)が、それぞれ回線を通じて接続されている。
スイッチ100Xa内部に格納されている認証方法リスト410および許可リスト420の内容は、図6で説明したものと同様である。スイッチ100Xa内部に格納されているVLAN定義情報430の、ポートP501に対応するVLAN IDフィールドの値は「−」、ポートP502に対応するVLAN IDフィールドの値は「1」、ポートP503とポートP504に対応するVLAN IDフィールドの値は「2」である。なお、スイッチ100Xaに格納されているVLAN定義情報430を、第2の仮想ネットワーク定義情報とも呼ぶ。
(B−4)認証の種類に応じた処理:
(B−4−1)認証の種類がEAP_CASである場合の処理:
図15は、第2実施例におけるスイッチ100aに対して他のスイッチ100Xaが接続された際に行われる処理(図5:ステップS16:認証の種類EAP_CAS)の流れを示すシーケンス図である。ステップS100〜S114は、図7で説明したステップS100〜S114と同じである。
スイッチ100Xaとの認証成功後、スイッチ100aの認証情報管理部220aは、許可リスト420に格納された許可アドレスと、VLAN定義情報430に格納された仮想ネットワークの定義情報とを含んだフレームを送信する(ステップS300)。これを受信したスイッチ100Xaは、同様に、スイッチ100Xa内の許可リスト420に格納された許可アドレスと、VLAN定義情報430に格納された仮想ネットワークの定義情報とを含んだフレームを送信する(ステップS302)。
スイッチ100aの認証情報管理部220aは、受信フレームに含まれる許可アドレスをもとにして、スイッチ100aの許可リスト420に格納されている許可アドレスを更新するとともに、受信フレームに含まれる仮想ネットワークの定義情報をもとにして、スイッチ100aのVLAN定義情報430に格納されている定義情報を更新する(ステップS304)。また、スイッチ100Xについても同様に、受信フレームに含まれる許可アドレスと、仮想ネットワークの定義情報とをもとにして、自身の許可リスト420と、VLAN定義情報430とを更新する(ステップS304)。
図16は、第2実施例におけるスイッチ100aに他のスイッチ100Xaが接続された場合であって、認証が行われた後の様子を示す説明図である。スイッチ100aおよびスイッチ100Xaの構成は図14で説明した通りである。スイッチ100a内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、スイッチ100Xaの許可リスト420に格納された許可アドレス(MAC_PC30、MAC_PC40、MAC_PC50)が格納されている。また、スイッチ100a内部に格納されているVLAN定義情報430には、ポートP505に対応するVLAN IDとして、「1」および「2」が格納されている(図15:ステップS304)。同様に、スイッチ100Xa内部に格納されている許可リスト420には、既にスイッチ100Xaに接続されている3台のPCのMACアドレス(MAC_PC30、MAC_PC40、MAC_PC50)に加えて、スイッチ100aの許可リスト420に格納された許可アドレス(MAC_PC10、MAC_PC20)が格納されている。また、スイッチ100Xa内部に格納されているVLAN定義情報430には、ポートP501に対応するVLAN IDとして、「1」および「2」が格納されている(図15:ステップS304)。
(B−4−2)認証の種類がEAP_PCである場合の処理:
認証の種類がEAP_PCである場合の処理については、図示を省略するが、図10に示した第1実施例とほぼ同様である。異なる点は、ステップS200において、許可リスト420に加えVLAN定義情報430を更新する点と、ステップS116、S118において許可アドレスに加えて仮想ネットワークの定義情報を送受信する点と、ステップS120において、許可リスト420に加えVLAN定義情報430を更新する点である。
以上のように、第2実施例によれば、ネットワーク中継装置(スイッチ100a)の中継処理部210aは、さらに、第1の仮想ネットワーク定義情報(VLAN定義情報430)に基づいて仮想的なサブネットワーク(VLAN)を構築することが可能であり、認証情報管理部220aは、さらに、他のネットワーク中継装置(スイッチ100Xa)との間の認証(図5:ステップS16、図15)が成功した場合に、VLAN定義情報430の内容をスイッチ100Xaへ送信すると共に、スイッチ100Xaから第2の仮想ネットワーク定義情報(VLAN定義情報430)の内容を受信し、受信した仮想ネットワーク定義情報に規定された内容を、自身の仮想ネットワーク定義情報(VLAN定義情報430)に反映する。この結果、スイッチ100aにおいて、セキュリティを向上しつつ、仮想的なサブネットワーク(VLAN)に関する設定を簡便に行うことができる。
さらに、第2実施例におけるスイッチ100aの認証情報管理部220aは、端末(例えばPC等)の認証(図5:ステップS16)が成功した場合、VLAN定義情報430の内容をスイッチ100Xaへ送信するため、スイッチ100aにおいて、セキュリティを向上しつつ、仮想的なサブネットワークに関する設定の更新をも簡便に行うことができる。
C.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲で種々の構成を採ることができる。例えば、ソフトウェアによって実現した機能は、ハードウェアによって実現するものとしてもよい。そのほか、以下のような変形が可能である。
C1.変形例1:
上記実施例では、ネットワーク中継装置の構成について説明した。しかし、上記実施例で示したネットワーク中継装置の構成はあくまで一例であり、任意の構成を採用することができる。例えば、その構成要素の一部を省略したり、更なる構成要素を付加したりする変形が可能である。
例えば、上記実施例におけるスイッチは、MACアドレスによるフレームの中継を行うレイヤ2スイッチであるものとした。しかし、MACアドレスによるフレームの中継に加えてIPアドレスによるパケットの中継を行うことも可能な、いわゆるレイヤ3スイッチであるものとしてもよい。また、無線通信インタフェースを備え、無線通信におけるパケットの中継が可能な、いわゆるアクセスポイントであるものとしてもよい。
例えば、上記実施例におけるスイッチでは、認証方法リストと、許可リストと、VLAN定義情報とはRAMに格納されているものとしたが、他の記憶媒体、例えば、フラッシュROMに格納されているものとしても良い。
上記実施例におけるスイッチでは、CPUは、中継処理部と、EAP認証部と、を備え、中継処理部は、さらに、認証情報管理部と、MACアドレス認証部とを含むものとして記載した。また、各処理部において実行される機能について説明した。しかし、これら各処理部の配置および各処理部が果たす機能の内容についてはあくまで例示であり、スイッチの構成に応じて任意に変更することが可能である。
例えば、上記実施例において記載した中継処理部の機能のうちのフレーム中継機能は、有線通信インタフェースを構成する物理チップによって実現される機能であるものとし、中継処理部の他の機能(受信フレームの中継可否を決定する機能や、認証情報管理部の機能、MACアドレス認証部の機能)は、CPUによって実現される機能であるとしてもよい。この場合、有線通信インタフェースを構成する物理チップと、CPUとが協働することによって中継処理部の全ての機能を実現する。
例えば、有線通信インタフェースを構成する物理チップの内部に、中継処理部と、EAP認証部と、認証情報管理部と、MACアドレス認証部との全ての機能を備えるものとしてもよい。
C2.変形例2:
上記実施例におけるスイッチは、受信したフレームのMACアドレス認証を行うためのMACアドレス認証部と、外部装置が接続された際に、接続された外部装置との間で認証を行うためのEAP認証部とを備える(すなわち、RADIUS(Remote Authentication Dial-In User Service)機能を内蔵する)構成とした。しかし、専用のRADIUSサーバをスイッチとは別に設け、外部のRADIUSサーバにおいて、実際のMACアドレス認証や、接続された外部装置認証を行う構成としてもよい。専用のRADIUSサーバをスイッチとは別に設ける場合、MACアドレス認証部と、EAP認証部は、RADIUSサーバに対して認証要求を送信し、その応答としての認証結果を得ることによって、MACアドレス認証部およびEAP認証部として機能する。
上記実施例では、予め定められた認証方式として、認証の種類がEAP_PCの場合はIEEE 802.1XのEAP−MD5を用いて、認証の種類がEAP_CASの場合はIEEE 802.1XのEAP−TLSを用いて認証を行うものとした。しかし、上記実施例における認証方式は、あくまで例示であり、任意のものを採用することができる。
例えば、認証方式として、EAP−TTLSや、PEAP(Protected Extensible Authentication Protocol)や、LEAP(Lightweight Extensible Authentication Protocol)のほか、EAPプロトコルを利用した独自方式等を採用することができる。
例えば、認証方式として、IEEE 802.1XのEAPプロトコルに準拠した認証方法に代えて、次のような認証方式を用いても良い。具体的には、スイッチ内部に、接続を許可すべき外部装置(他のスイッチやPC等)のMACアドレスを予め記憶しておく。そして、EAP認証部は、外部装置が接続された際に、当該外部装置のMACアドレスが接続を許可すべきMACアドレスとして予め登録されている場合に、認証が成功したものとして取り扱う。このようにすれば、接続を許可すべき外部装置(他のスイッチやPC等)を、スイッチの管理者等によって、予め指定しておくことができる。
C3.変形例3:
上記実施例では、認証方法リスト、許可リストおよびVLAN定義情報の一例を示した。しかし、これらのテーブルはあくまで一例であり、発明の要旨を逸脱しない範囲において任意に定めることができる。例えば、上記に例示したフィールド以外のフィールドを備えるものとしても良い。また、各テーブルには、ダイレクトマップ方式を用いることも可能である。さらに、利用者が各テーブルをコンフィギュレーション可能な構成とすることも好ましい。
上記実施例における許可リストは、フレームを受信したポートの区別なく、中継可能な送信元MACアドレスのみを格納する構成としているが、次のような変形をしてもよい。
例えば、許可リストに対して、ポート番号フィールドを追加することで、ポート毎に中継を許可する受信フレームの送信元MACアドレスを管理する構成にしてもよい。
例えば、許可アドレスフィールドに代えて、送信元MACアドレスフィールドと、中継可否フィールドとを設け、送信元MACアドレス毎に、フレームの中継可能/不可能を設定する構成としてもよい。
100…スイッチ
100X…スイッチ
100Y…スイッチ
100Z…スイッチ
100a…スイッチ
100Xa…スイッチ
200…CPU
210…中継処理部
210a…中継処理部
220…認証情報管理部
220a…認証情報管理部
230…MACアドレス認証部
240…EAP認証部
410…認証方法リスト
420…許可リスト
430…VLAN定義情報
500…有線通信インタフェース
P501〜P505…ポート

Claims (7)

  1. ネットワーク中継装置であって、
    前記ネットワーク中継装置に他のネットワーク中継装置が接続された際に、予め定められた認証方式に従って、他のネットワーク中継装置との間で認証を行う認証処理部と、
    前記ネットワーク中継装置が受信したフレームである受信フレームの中継可否を決定し、中継可である前記受信フレームを中継するとともに、前記認証が成功した場合に、前記他のネットワーク中継装置で中継が許可されているフレームを前記ネットワーク中継装置においても中継する中継処理部と、
    を備え、
    前記認証処理部は、
    前記認証をされる側として動作する認証クライアントと、前記認証をする側として動作する認証サーバとの両方の機能を有し、
    前記他のネットワーク中継装置の接続検出後、一定時間内に前記認証の開始を要求するための開始フレームを受信しない場合は、前記他のネットワーク中継装置に対して前記開始フレームを送信する、ネットワーク中継装置。
  2. 請求項1記載のネットワーク中継装置であって、
    前記中継処理部は、
    前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストに従って、前記受信フレームの中継可否を決定し、
    前記中継処理部は、さらに、
    前記認証が成功した場合に、前記第1の許可リストの内容を前記他のネットワーク中継装置へ送信すると共に、前記他のネットワーク中継装置から、前記他のネットワーク中継装置において中継可能なフレームを特定するための第2の許可リストの内容を受信し、受信した前記第2の許可リストの内容を、前記第1の許可リストに反映し、受信した前記第2の許可リストの内容を、同一セグメントの範囲内の前記他のネットワーク中継装置とは異なるネットワーク中継装置へ送信する認証情報管理部を備える、ネットワーク中継装置。
  3. 請求項2記載のネットワーク中継装置であって、さらに、
    前記ネットワーク中継装置が有するそれぞれのポートに対する仮想ネットワークの識別子を格納する第1の仮想ネットワーク定義情報を備え、
    前記中継処理部は、さらに、
    前記第1の仮想ネットワーク定義情報に基づいて、前記ネットワーク中継装置に直接的に、または、他のネットワーク中継装置を介して間接的に接続される端末における仮想的なサブネットワークを構築することが可能であり、
    前記認証情報管理部は、さらに、
    前記認証が成功した場合、前記第1の仮想ネットワーク定義情報の内容を前記他のネットワーク中継装置へ送信すると共に、前記他のネットワーク中継装置から、前記他のネットワーク中継装置が有するそれぞれのポートに対する仮想ネットワークの識別子を格納する第2の仮想ネットワーク定義情報の内容を受信し、受信した前記第2の仮想ネットワーク定義情報の内容を、前記第1の仮想ネットワーク定義情報に反映する、ネットワーク中継装置。
  4. 請求項2または3記載のネットワーク中継装置であって、
    前記認証処理部は、さらに、
    前記ネットワーク中継装置に端末が直接的に接続された際に、予め定められた認証方式に従って前記端末を認証し、
    前記認証情報管理部は、さらに、
    前記端末の認証が成功した場合、前記端末からの受信フレームの中継を許可するように前記第1の許可リストに規定された内容を変更するとともに、変更された前記第1の許可リストの内容を前記他のネットワーク中継装置へ送信する、ネットワーク中継装置。
  5. 請求項3に従属する請求項4記載のネットワーク中継装置であって、
    前記認証情報管理部は、さらに、
    前記端末の認証が成功した場合、前記第1の仮想ネットワーク定義情報の内容を前記他のネットワーク中継装置へ送信する、ネットワーク中継装置。
  6. 請求項1ないし5のいずれか一項記載のネットワーク中継装置であって、
    前記認証処理部は、IEEE 802.1Xに基づく認証クライアントと、IEEE 802.1Xに基づく認証サーバとの両方の機能を有する、ネットワーク中継装置。
  7. 請求項1ないし6のいずれか一項記載のネットワーク中継装置であって、
    前記認証処理部は、前記ネットワーク中継装置に他のネットワーク中継装置が接続された際に、前記他のネットワーク中継装置のMACアドレスが、前記ネットワーク中継装置内に接続を許可すべきMACアドレスとして予め登録されている場合に、前記認証が成功したものと取り扱う、ネットワーク中継装置。
JP2010186826A 2010-08-24 2010-08-24 ネットワーク中継装置 Active JP5143198B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2010186826A JP5143198B2 (ja) 2010-08-24 2010-08-24 ネットワーク中継装置
CN2011102435428A CN102377773A (zh) 2010-08-24 2011-08-22 网络中继装置及接收帧的中继控制方法
US13/215,240 US20120054830A1 (en) 2010-08-24 2011-08-23 Network Relay Device and Relay Control Method of Received Frames

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010186826A JP5143198B2 (ja) 2010-08-24 2010-08-24 ネットワーク中継装置

Publications (2)

Publication Number Publication Date
JP2012049588A JP2012049588A (ja) 2012-03-08
JP5143198B2 true JP5143198B2 (ja) 2013-02-13

Family

ID=45698949

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010186826A Active JP5143198B2 (ja) 2010-08-24 2010-08-24 ネットワーク中継装置

Country Status (3)

Country Link
US (1) US20120054830A1 (ja)
JP (1) JP5143198B2 (ja)
CN (1) CN102377773A (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013182336A (ja) * 2012-02-29 2013-09-12 Toshiba Corp 端末装置、同端末装置の動作方法及びプログラム
US8892696B1 (en) 2012-03-08 2014-11-18 Juniper Networks, Inc. Methods and apparatus for automatic configuration of virtual local area network on a switch device
JPWO2013168375A1 (ja) * 2012-05-07 2016-01-07 日本電気株式会社 セキュリティ設計装置及びセキュリティ設計方法
DE102015211345A1 (de) * 2015-06-19 2016-12-22 Siemens Aktiengesellschaft Netzwerkgerät und Verfahren zum Zugriff einer Netzwerkkomponente auf ein Datennetz
US11870777B2 (en) 2018-05-18 2024-01-09 Mitsubishi Electric Corporation Relay device and communication system
KR20210110388A (ko) * 2019-03-01 2021-09-07 미쓰비시덴키 가부시키가이샤 슬레이브 장치 및 슬레이브 프로그램
CN113994720B (zh) * 2019-08-01 2024-01-09 住友电气工业株式会社 中继装置、车辆通信系统、车辆、通信方法及通信程序

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04143881A (ja) * 1990-10-05 1992-05-18 Toshiba Corp 相互認証方式
JPH1127270A (ja) * 1997-06-30 1999-01-29 Hitachi Cable Ltd ネットワーク機器の認識方法
JP2001186186A (ja) * 1999-12-27 2001-07-06 Toshiba Corp パケット交換装置、ネットワークシステム、およびパケット交換方法
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
US8989045B2 (en) * 2004-11-12 2015-03-24 Brocade Communications Systems, Inc. Methods, devices and systems with improved zone merge operation by initiator selection
US7810138B2 (en) * 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
JP4620527B2 (ja) * 2005-06-03 2011-01-26 株式会社日立製作所 パケット通信装置
CN100591013C (zh) * 2006-09-05 2010-02-17 华为技术有限公司 实现认证的方法和认证系统
CN101150406B (zh) * 2006-09-18 2011-06-08 华为技术有限公司 基于802.1x协议的网络设备认证方法及系统及相关装置
US8396985B2 (en) * 2010-08-11 2013-03-12 Lsi Corporation Packet sequence number tracking for an anti-replay window

Also Published As

Publication number Publication date
JP2012049588A (ja) 2012-03-08
CN102377773A (zh) 2012-03-14
US20120054830A1 (en) 2012-03-01

Similar Documents

Publication Publication Date Title
JP5143199B2 (ja) ネットワーク中継装置
JP5143198B2 (ja) ネットワーク中継装置
JP5106599B2 (ja) ネットワーク中継装置
US7342906B1 (en) Distributed wireless network security system
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
US7477747B2 (en) Method and system for inter-subnet pre-authentication
US8713087B2 (en) Communication system, authentication device, control server, communication method, and program
US8599756B2 (en) Communication relay device, communication relay method, and storage medium having communication relay program stored therein
US20180063714A1 (en) Zero-touch onboarding in a network
US20170187713A1 (en) Preserving an authentication state by maintaining a virtual local area network (vlan) association
US20140075505A1 (en) System and method for routing selected network traffic to a remote network security device in a network environment
WO2013150925A1 (ja) ネットワークシステム、コントローラ、及びパケット認証方法
WO2007047118A2 (en) Virtual lan override in a multiple bssid mode of operation
US20160352731A1 (en) Network access control at controller
US20080092214A1 (en) Authenticating multiple network elements that access a network through a single network switch port
US8254882B2 (en) Intrusion prevention system for wireless networks
US10542481B2 (en) Access point beamforming for wireless device
US11277746B2 (en) Systems and method for micro network segmentation
JP4920878B2 (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
US11212279B1 (en) MAC address theft detection in a distributed link layer switched network based on trust level comparison
JP4881672B2 (ja) 通信装置及び通信制御プログラム
KR20170038568A (ko) Sdn 컨트롤러 및 sdn 컨트롤러에서의 스위치 식별 방법
US8607058B2 (en) Port access control in a shared link environment
JP5577976B2 (ja) ネットワーク中継装置
Tanizawa et al. A wireless LAN architecture using PANA for secure network selection

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120808

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121106

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121120

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151130

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5143198

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250