JP6967950B2 - 認証スイッチ装置、ネットワークシステムおよび認証方法 - Google Patents
認証スイッチ装置、ネットワークシステムおよび認証方法 Download PDFInfo
- Publication number
- JP6967950B2 JP6967950B2 JP2017230574A JP2017230574A JP6967950B2 JP 6967950 B2 JP6967950 B2 JP 6967950B2 JP 2017230574 A JP2017230574 A JP 2017230574A JP 2017230574 A JP2017230574 A JP 2017230574A JP 6967950 B2 JP6967950 B2 JP 6967950B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user terminal
- frame
- port
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
例えば、特許文献1に記載される認証スイッチ装置では、認証対象のユーザ端末が接続されたポートが属するVLANを管理用VLANに変換し、管理用VLANを介して認証に関する通信を実施する。ユーザ端末の認証が成功した場合、上記認証スイッチ装置は、RADIUSサーバから発行されたVLAN IDを自身に固有なVLAN IDに変換してから、ユーザ端末が接続しているポートに割り当てる。これにより、管理用VLANが、ユーザ端末ごとに規定されたVLANに変換される。
このように、従来は、ユーザ端末が接続しているポートに割り当てるVLAN IDとRADIUSサーバに登録されたアカウント情報とが対応関係にある。
このため、特許文献1に記載された認証スイッチ装置では、VLANを変更する場合、RADIUSサーバに登録されているアカウント情報も更新する必要があるという課題があった。
図1は、この発明の実施の形態1に係るネットワークシステム1の構成例を示す図である。ネットワークシステム1は、IEEE802.1X認証を実施するシステムであり、認証スイッチ装置2、ハブ3、RADIUSサーバ4およびユーザ端末5を備えている。認証スイッチ装置2は、ユーザ端末5とローカルエリアネットワーク6との間に介在している。ユーザ端末5は、認証結果に応じてローカルエリアネットワーク6へのアクセスが可能となる。
なお、アカウント情報には、ユーザ端末5に割り当てられたユーザIDおよびユーザに付与されたパスワードといったユーザ端末5の認証に使用される情報が含まれる。
認証スイッチ装置2は、認証処理において、アカウント情報をRADIUSサーバ4に送信して、ユーザ端末5の認証を問い合わせる。
図3は、ユーザ端末テーブル22の例を示す図である。ユーザ端末テーブル22には、図3に示すように、認証フレームに含まれる送信元MACアドレス、認証フレームが受信されたポートのポート番号、および受信ポートが属するVLANのVLAN IDが登録されている。
例えば、フレーム転送部21は、認証フレームに付与されているポート番号から、認証に成功したユーザ端末5が接続しているポートを特定し、特定したポートに転送するフレームのVLAN IDを、認証フレームに付与されているVLAN IDに変更する。
これにより、フレーム転送部21は、認証フレームを、認証に成功したユーザ端末5が接続しているポートに転送する。
図4は、フレーム転送部21がフレームを入力したときの処理を示すフローチャートである。ポートA〜ポートDのいずれかのポートでフレームが受信されると、フレーム転送部21は、受信されたフレームに含まれる、VLAN IDが管理用VLAN IDであり、かつ、宛先MACアドレスが認証スイッチ装置2宛であるか否かを判定する(ステップST1)。なお、管理用VLAN IDは、管理用VLANを識別するVLAN識別情報である。
また、ステップST3の処理が完了すると、フレーム転送部21は、ステップST3で得られたフレームを、フレーム処理部20に転送する。
例えば、認証処理部24は、認証フレームからアカウント情報を取得し、フレーム転送部21に指示して、取得したアカウント情報をRADIUSサーバ4に送信させてユーザ端末5の認証を問い合わせる。RADIUSサーバ4は、認証スイッチ装置2からアカウント情報を受信すると、予め登録されたアカウント情報と、受信したアカウント情報とを照合してユーザ端末5の認証を実施する。ユーザ端末5の認証に成功した場合、RADIUSサーバ4は、認証スイッチ装置2へ認証結果を返信する。
また、フレーム判定部23は、RADIUSサーバ4から返信された認証結果が認証の失敗である場合に、認証に失敗したユーザ端末5に対応するポート番号およびVLAN IDをユーザ端末テーブル22から削除する。
一方、EtherTypeが“0x888E”である場合(ステップST1b;YES)、フレーム判定部23は、送信対象のフレームが認証フレームであることから、認証フレームに付与されている宛先MACアドレスをキーとして、ユーザ端末テーブル22からポート番号およびVLAN IDを取得する(ステップST2b)。
次に、フレーム判定部23は、ユーザ端末テーブル22から取得したポート番号およびVLAN IDを、送信対象のフレームに付与する(ステップST3b)。
このように構成することで、ユーザ端末5に割り当てるVLAN IDをRADIUSサーバ4で保持する必要がない。従って、VLAN IDとアカウント情報とを切り離して設定できることから、RADIUSサーバ4に登録されているアカウント情報を更新しなくても、VLANを構築することができる。
実施の形態1は、フレーム処理部が備えるユーザ端末テーブルを示したが、実施の形態2では、フレーム転送部がユーザ端末テーブルを備える構成について説明する。
図8は、この発明の実施の形態2に係る認証スイッチ装置2Aの構成を示すブロック図である。図8において、図1と同一の構成要素には同一の符号を付して説明を省略する。実施の形態2におけるネットワークシステムは、図1に示したネットワークシステム1における認証スイッチ装置2を、認証スイッチ装置2Aに置き換えたものである。
認証処理部24Aは、アカウント情報が設定された認証フレームに基づいて、ユーザ端末5の認証処理を実施する。認証処理において、認証処理部24Aは、RADIUSサーバ4にアカウント情報を問い合わせるためのパケットを作成し、当該パケットをフレーム転送部21Aから送信し、RADIUSサーバ4から認証結果を受信する。
例えば、フレーム転送部21Aは、ユーザ端末テーブル22Aから取得したポート番号から、認証に成功したユーザ端末5が接続しているポートを特定し、特定したポートに転送するフレームのVLAN IDを、ユーザ端末テーブル22Aから取得したVLAN IDに変更する。
実施の形態2におけるユーザ端末テーブル22Aは、フレーム転送部21Aによって、ポート番号およびVLAN IDが更新される。
図9は、フレーム転送部21Aによるユーザ端末テーブル22Aに対する処理を示すフローチャートである。まず、フレーム転送部21Aは、受信フレームに含まれる、VLAN IDが管理用VLAN IDであり、かつ、宛先MACアドレスが認証スイッチ装置2A宛であるか否かを判定する(ステップST1d)。
続いて、フレーム転送部21Aは、認証フレームから取得したVLAN IDを管理用VLAN IDに変換する(ステップST5d)。
一方、EtherTypeが“0x888E”であれば(ステップST1f;YES)、フレーム判定部23Aは、送信対象のフレームが認証フレームであると判定する。
このとき、フレーム判定部23Aは、認証に成功したユーザ端末5のMACアドレス(送信元MACアドレス)を認証フレームに付与する(ステップST2f)。
続いて、フレーム判定部23は、ステップST2fでユーザ端末5のMACアドレスを付与した送信対象のフレームを、フレーム転送部21に出力する(ステップST3f)。
続いて、フレーム転送部21Aは、ステップST3gで取得した送信元MACアドレスをキーとしてユーザ端末テーブル22Aからポート番号およびVLAN IDを取得する(ステップST4g)。
このようにして、認証スイッチ装置2Aの制御に関するフレームが、管理用VLANを介して転送される。
このように構成しても、ユーザ端末5に割り当てるVLAN IDをRADIUSサーバ4で保持する必要がない。従って、VLAN IDとアカウント情報とを切り離して設定できることから、RADIUSサーバ4に登録されているアカウント情報を更新しなくても、VLANを構築することができる。
特に、フレーム処理部20Aの処理負荷が高い場合またはメモリの使用量が高い場合、フレーム処理部20Aではなく、フレーム転送部21Aが、ユーザ端末テーブル22Aの作成および更新を行うことができる。
Claims (9)
- 認証情報が受信されたポートを識別するためのポート識別情報およびポートが属する仮想ローカルエリアネットワークを識別するためのVLAN識別情報が、前記認証情報を送信したユーザ端末に固有なアドレス情報ごとに登録されたテーブルデータと、
前記認証情報に基づいてユーザ端末の認証処理を実施し、認証に成功したユーザ端末に固有なアドレス情報をキーとして前記テーブルデータから取得したポート識別情報およびVLAN識別情報を出力する処理部と、
前記処理部から出力されたポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポートを特定し、特定したポートにユーザ端末の認証結果を転送する転送部と、を備えた
ことを特徴とする認証スイッチ装置。 - 前記処理部は、前記認証情報に含まれるポート識別情報およびVLAN識別情報を使用して前記テーブルデータを更新し、認証に失敗したユーザ端末に対応するポート識別情報およびVLAN識別情報を前記テーブルデータから削除する
ことを特徴とする請求項1記載の認証スイッチ装置。 - 認証情報が受信されたポートを識別するためのポート識別情報およびポートが属する仮想ローカルエリアネットワークを識別するためのVLAN識別情報が、前記認証情報を送信したユーザ端末に固有なアドレス情報ごとに登録されたテーブルデータと、
前記認証情報に基づいてユーザ端末の認証処理を実施する処理部と、
前記認証情報から取得したアドレス情報をキーとしてポート識別情報およびVLAN識別情報を前記テーブルデータから取得し、取得したポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポートを特定し、特定したポートにユーザ端末の認証結果を転送する転送部と、を備えた
ことを特徴とする認証スイッチ装置。 - 前記転送部は、前記認証情報に含まれるポート識別情報およびVLAN識別情報を使用して前記テーブルデータを更新し、認証に失敗したユーザ端末に対応するポート識別情報およびVLAN識別情報を前記テーブルデータから削除する
ことを特徴とする請求項3記載の認証スイッチ装置。 - 前記処理部は、IEEE802.1X認証を行う
ことを特徴とする請求項1から請求項4のうちのいずれか1項記載の認証スイッチ装置。 - 請求項1から請求項5のうちのいずれか1項記載の認証スイッチ装置と、
前記処理部からの問い合わせに応じてユーザ端末の認証処理を実施して認識結果を返信する認証サーバと、
認証スイッチ装置が有するポートに接続されたユーザ端末と、を備えた
ことを特徴とするネットワークシステム。 - 請求項1または請求項2記載の認証スイッチ装置の認証方法であって、
前記処理部が、前記認証情報に基づいてユーザ端末の認証処理を実施し、認証に成功したユーザ端末に固有なアドレス情報をキーとして前記テーブルデータから取得したポート識別情報およびVLAN識別情報を出力するステップと、
前記転送部が、前記処理部から出力されたポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポート特定し、特定したポートにユーザ端末の認証結果を転送するステップと、を備えた
ことを特徴とする認証方法。 - 請求項3または請求項4記載の認証スイッチ装置の認証方法であって、
前記処理部が、前記認証情報に基づいてユーザ端末の認証処理を実施するステップと、
前記転送部が、前記認証情報から取得したアドレス情報をキーとしてポート識別情報およびVLAN識別情報を前記テーブルデータから取得し、取得したポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポートにユーザ端末の認証結果を転送するステップと、を備えた
ことを特徴とする認証方法。 - 前記処理部は、IEEE802.1X認証を行う
ことを特徴とする請求項7または請求項8記載の認証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017230574A JP6967950B2 (ja) | 2017-11-30 | 2017-11-30 | 認証スイッチ装置、ネットワークシステムおよび認証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017230574A JP6967950B2 (ja) | 2017-11-30 | 2017-11-30 | 認証スイッチ装置、ネットワークシステムおよび認証方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019102928A JP2019102928A (ja) | 2019-06-24 |
JP6967950B2 true JP6967950B2 (ja) | 2021-11-17 |
Family
ID=66974248
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017230574A Active JP6967950B2 (ja) | 2017-11-30 | 2017-11-30 | 認証スイッチ装置、ネットワークシステムおよび認証方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6967950B2 (ja) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009267987A (ja) * | 2008-04-28 | 2009-11-12 | Mitsubishi Electric Corp | 局側装置、ponシステムおよびホームゲートウェイ装置 |
JP2010187314A (ja) * | 2009-02-13 | 2010-08-26 | Hitachi Cable Ltd | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 |
US8064458B2 (en) * | 2009-06-23 | 2011-11-22 | Nortel Networks Limited | Method and apparatus for simulating IP multinetting |
JP5364671B2 (ja) * | 2010-10-04 | 2013-12-11 | アラクサラネットワークス株式会社 | ネットワーク認証における端末接続状態管理 |
JP6106558B2 (ja) * | 2013-08-30 | 2017-04-05 | アラクサラネットワークス株式会社 | 通信システム及び認証スイッチ |
-
2017
- 2017-11-30 JP JP2017230574A patent/JP6967950B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019102928A (ja) | 2019-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7752653B1 (en) | Method and apparatus for registering auto-configured network addresses based on connection authentication | |
US7886149B2 (en) | Method and apparatus for assigning network addresses based on connection authentication | |
US8488569B2 (en) | Communication device | |
US7337224B1 (en) | Method and apparatus providing policy-based determination of network addresses | |
CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
US8019891B2 (en) | Network connection control technique, network connection technique and authentication apparatus | |
CN106559292A (zh) | 一种宽带接入方法和装置 | |
WO2011041967A1 (zh) | 匿名通信的方法、注册方法、信息收发方法及系统 | |
US20180227299A1 (en) | Methods and devices for identifying an authentication server | |
CN106302353B (zh) | 身份认证方法、身份认证系统和相关设备 | |
JP4852379B2 (ja) | パケット通信装置 | |
US10856145B2 (en) | Method and device for identifying visited and home authentication servers | |
US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
EP3664403B1 (en) | User authentication of bras under architecture of mutually separated forwarding and control | |
JP2005167646A (ja) | 接続制御システム、接続制御装置、及び接続管理装置 | |
US20160112286A1 (en) | Method and system for detecting use of wrong internet protocol address | |
WO2018039901A1 (zh) | 用于ip地址分配的方法、装置、系统和计算机程序产品 | |
WO2016152416A1 (ja) | 通信管理システム、アクセスポイント、通信管理装置、接続制御方法、通信管理方法、及びプログラム | |
JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
JP6967950B2 (ja) | 認証スイッチ装置、ネットワークシステムおよび認証方法 | |
CN113055191B (zh) | 一种转发方法、装置、宽带远程接入服务器的转发面 | |
JP2006067057A (ja) | ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント | |
KR101690498B1 (ko) | 스위치에 네트워크를 설정하는 방법, 이를 사용한 스위치 및 컴퓨터 판독 가능한 기록매체 | |
KR20170119364A (ko) | Sdn 기반 응용 서비스 제공 시스템 및 방법 | |
JP5624112B2 (ja) | 無線ローカルエリアネットワークにおけるサービス品質制御 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200721 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20200721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210526 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210706 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210826 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210928 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211026 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6967950 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |