JP7042069B2 - Network equipment and network systems - Google Patents
Network equipment and network systems Download PDFInfo
- Publication number
- JP7042069B2 JP7042069B2 JP2017235921A JP2017235921A JP7042069B2 JP 7042069 B2 JP7042069 B2 JP 7042069B2 JP 2017235921 A JP2017235921 A JP 2017235921A JP 2017235921 A JP2017235921 A JP 2017235921A JP 7042069 B2 JP7042069 B2 JP 7042069B2
- Authority
- JP
- Japan
- Prior art keywords
- mac address
- port
- packet
- network device
- ports
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明はネットワーク装置およびネットワークシステムに関する。 The present invention relates to network devices and network systems.
一般的なネットワークは、認証機能によりネットワークに接続する端末を検査し、ネットワークのセキュリティを確保している。このようなネットワークの認証機能として、特許文献1が提案されている。
In a general network, the authentication function inspects the terminals connected to the network to ensure the security of the network.
特許文献1では、端末がネットワークへ接続される際に送信されるARP(Address Resolution Protocol)の応答のパケットを偽装して、パスワードによる認証を行い、正常な端末のMAC(Media Access Control)アドレスと同じMACアドレスになりすました不正な端末は、不正接続防止装置に接続したままにする技術が開示されている。
In
特許文献1に開示された技術を用いれば、不正な端末が送信するパケットは、不正接続防止装置へ届き、不正な端末が不正の目的とする端末へは届かない。しかしながら、なりすましのMACアドレスに基づいて、正常な端末へ向けて送信されたパケットが、不正な端末で受信される可能性がある。
According to the technique disclosed in
特に、FDB(Filtering DataBase)テーブルを用いてパケットを中継するネットワーク装置に、正常な端末が接続された後、不正な端末が接続されると、正常な端末のMACアドレスと不正な端末のMACアドレスは同じMACアドレスであるため、FDBテーブルの正常な端末の情報が不正な端末の情報で上書きされ、ネットワーク装置は不正な端末へパケットを中継してしまう可能性がある。 In particular, if a normal terminal is connected to a network device that relays packets using the FDB (Filtering DataBase) table and then an unauthorized terminal is connected, the MAC address of the normal terminal and the MAC address of the invalid terminal Since is the same MAC address, the information of a normal terminal in the FDB table may be overwritten with the information of an invalid terminal, and the network device may relay the packet to the invalid terminal.
本発明は、ネットワーク装置を経由した不正な端末によるパケットの受信も防止することを目的とする。 An object of the present invention is to prevent a packet from being received by an unauthorized terminal via a network device.
本発明は、上述の課題を解決するためになされたものであり、本発明に係る代表的なネットワーク装置は、複数のポートを有し、前記複数のポート間でパケットを中継するネットワーク装置であって、前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換する生成部と、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを前記第1のMACアドレスあるいは前記第2のMACアドレスに変換するための検知部と、前記第1のMACアドレスあるいは前記第2のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定するための転送制御部と、を備えたことを特徴とする。 The present invention has been made to solve the above-mentioned problems, and a typical network device according to the present invention is a network device having a plurality of ports and relaying packets between the plurality of ports. Then, the MAC address of the source of the packet received by the first port among the plurality of ports is converted into the first MAC address depending on the first port, and the second among the plurality of ports. The generator that converts the source MAC address of the packet received on the port of the above to the second MAC address that depends on the second port, and the MAC of the destination of the packet received on any of the plurality of ports. Received from the detection unit for converting the address to the first MAC address or the second MAC address, and the plurality of ports based on the first MAC address or the second MAC address. It is characterized by having a forwarding control unit for specifying a packet transmission port.
本発明によれば、ネットワーク装置を経由した不正な端末によるパケットの受信も防止することが可能になる。 According to the present invention, it is possible to prevent a packet from being received by an unauthorized terminal via a network device.
以下、本発明の実施の形態を実施例として説明する。 Hereinafter, embodiments of the present invention will be described as examples.
図1は、ネットワーク構成の例を示す図である。ネットワーク装置100は、パケットを転送(中継)するネットワーク装置であって、ポート103より回線503を介してサーバ端末300のポート301に接続されている。そして、ネットワーク装置100とサーバ端末300がネットワークを構成し、このネットワークに端末が接続される。
FIG. 1 is a diagram showing an example of a network configuration. The
ここで、このネットワークに接続することが許可されている端末を正常端末と記述する。この許可は何らかの仕様などによって規定されていてもよい。また、後で説明するようにネットワーク装置100が正常端末の接続であるか否かに応じて動作を変更するという点において、ネットワーク装置100は不正端末監視装置であるとも言える。
Here, a terminal that is permitted to connect to this network is described as a normal terminal. This permission may be specified by some specifications or the like. Further, as will be described later, it can be said that the
ネットワークに端末が接続されている状態として、ネットワーク装置100は、ポート101より回線501を介して正常端末210のポート211に接続され、ポート102より回線502を介して正常端末220のポート221に接続されている。
Assuming that the terminal is connected to the network, the
以上のような接続により、正常端末210は、ネットワーク装置100を介したパケット11、パケット12を用いてサーバ端末300と通信を行い、正常端末220は、ネットワーク装置100を介したパケット21、パケット22を用いてサーバ端末300と通信を行う。
Through the above connection, the
なお、正常端末210と正常端末220もネットワークに含めて、ネットワーク装置100、正常端末210、正常端末220、およびサーバ端末300がネットワークシステムであってもよい。
The
図2は、ネットワーク装置100の内部構造の例を示す図である。FDB用MACアドレス生成部1000は、FDBテーブルに登録するMACアドレスの生成処理を行い、コンフィグレーションテーブル5100を管理する。コンフィグレーションテーブル5100については、図4を用いて後で説明する。
FIG. 2 is a diagram showing an example of the internal structure of the
転送制御部2000は、パケットの転送処理、MACアドレスの学習処理を行い、FDBテーブル5200を管理する。FDBテーブル5200については、図5と図8を用いて後で説明する。
The
MAC重複検知部3000は、ARPの応答のパケットなどネットワーク装置100に接続された端末宛のパケットを監視し、不正端末管理テーブル5300を管理する。不正端末管理テーブル5300については、図6と図9を用いて後で説明する。
The MAC
ポート状態制御部4000は、ポート101、ポート102、およびポート103の各ポートの状態を制御し、各ポートのリンクアップあるいはリンクダウンの処理を行う。メモリ5000は、コンフィグレーションテーブル5100、FDBテーブル5200、不正端末管理テーブル5300が格納されている。
The port
ネットワーク装置100のハードウェアは、一般的なネットワーク装置のハードウェアであってもよい。このため、例えば、ネットワーク装置100は図示を省略したプロセッサを備え、メモリ5000に格納されたプログラムを実行するプロセッサが、FDB用MACアドレス生成部1000、転送制御部2000、MAC重複検知部3000、およびポート状態制御部4000になってもよい。
The hardware of the
一般的なネットワーク装置を変更してネットワーク装置100としてもよく、転送制御部2000とFDBテーブル5200は一般的なネットワーク装置のものをそのまま利用し、ポート状態制御部4000は一般的なネットワーク装置のものを後で説明する動作も含むように変更してもよい。
The general network device may be changed to the
また、一般的なネットワーク装置に、FDB用MACアドレス生成部1000、MAC重複検知部3000、コンフィグレーションテーブル5100、および不正端末管理テーブル5300を新たに追加してもよい。
Further, a MAC
図3は、端末を交換したネットワーク構成の例を示す図である。交換により新たに接続する端末は、ネットワークに接続することを許可されていない端末であり、このような端末を不正端末と記述する。すなわち、図1を用いて説明したネットワーク構成において、正常端末220に代わり不正端末230が接続される直前の状態である。
FIG. 3 is a diagram showing an example of a network configuration in which terminals are exchanged. A terminal newly connected by exchange is a terminal that is not permitted to connect to the network, and such a terminal is described as an unauthorized terminal. That is, in the network configuration described with reference to FIG. 1, it is a state immediately before the
ネットワーク装置100は、ポート102より回線502を介して不正端末230のポート231に物理的に接続されている。不正端末230がネットワークに接続される直前の状態を示すことから、回線502はリンクダウンしており、物理的に接続されてリンクダウンした回線502を破線で表している。
The
なお、特に物理的に接続とは記述せず、単に接続と記述する場合の接続は、物理的に接続されてリンクアップし、通信の可能な状態あるいは通信している状態を表すとする。また、不正端末230以外は、図1を用いて説明したとおりであるので、図1と同じ符号を用いて説明を省略する。
It should be noted that the connection, which is not specifically described as a physical connection but is simply described as a connection, is physically connected and linked up, and represents a state in which communication is possible or a state in which communication is being performed. Further, since the description is as described with reference to FIG. 1 except for the
以下では、正常端末210がサーバ端末300宛に送信するパケット11、およびサーバ端末300が正常端末210宛に送信するパケット12について、図4から図6を用いて説明し、不正端末230の遮断について、図7から図11を用いて説明する。
In the following, the
図4はコンフィグレーションテーブル5100の例を示す図である。コンフィグレーションテーブル5100は、ポート番号5110と不正端末監視の実行状態5120の要素を持つテーブルである。
FIG. 4 is a diagram showing an example of the configuration table 5100. The configuration table 5100 is a table having elements of the
ポート番号5110は、ネットワーク装置100がイーサネット(登録商標)を収容するポートを登録する要素であり、図3に示したポート101、ポート102、およびポート103のそれぞれに対応して「P101」、「P102」、および「P103」が登録されている。
The
不正端末監視の実行状態5120は、ポート単位に不正端末監視機能の実行状態を登録する要素である。「P101」と「P102」のポート101とポート102については端末を接続するポートであり、不正端末監視機能が「有効」として登録されている。「P103」のポート103についてはサーバ端末300に接続するポートであり、不正端末監視機能が「無効」として登録されている。
The unauthorized terminal
図5はFDBテーブル5200の例を示す図である。FDBテーブル5200は、VLAN ID5210、ポート番号5220、およびMACアドレス5230の要素を持つ。なお、図3に示す各端末は、パケット通信用のVLAN(Virtual LAN)としてVLAN IDが「1」のVLANにより通信を行っているものとする。
FIG. 5 is a diagram showing an example of the FDB table 5200. The FDB table 5200 has elements of
このため、VLAN ID5210はパケットの通信に使用しているVLAN IDが登録される。図5の例では、VLAN IDが「1」を使用した例を記載しているが、他のVLAN IDを使用されてもよい。
Therefore, the VLAN ID used for packet communication is registered in the
ポート番号5220はパケットを受信したポートのポート番号が登録される。このポート番号は図4に示したポート番号5110のポート番号と対応する。MACアドレス5230は受信したパケットの送信元MACアドレスが登録される。
As the
FDBテーブル5200の登録処理を図3も参照しながら説明する。ネットワーク装置100の転送制御部2000は、正常端末210が送信するパケット11をポート101で受信すると、ポート101のポート番号である「P101」と正常端末210のMACアドレスである「M210」をFDBテーブル5200へ登録する(この状態の図示は省略)。
The registration process of the FDB table 5200 will be described with reference to FIG. When the
ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。
When the registration to the FDB table 5200 is monitored and the registration occurs, the FDB MAC
FDB用MACアドレス生成部1000は、登録されたポート番号の「P101」すなわちポート101の不正端末監視の実行状態5120が「有効」であると判定すると、MACアドレス5230の「M210」にポート101の識別子を加味したMACアドレス「M210a」に変換する。そして、FDBテーブル5200のMACアドレス5230には、変換後のMACアドレスである「M210a」が上書きされる。
When the FDB
MACアドレスの変換前の「M210」と変換後の「M210a」の対応は、不正端末管理テーブル5300で管理される。不正端末管理テーブル5300については、図6を用いて後で説明する。 The correspondence between the "M210" before the conversion of the MAC address and the "M210a" after the conversion is managed by the unauthorized terminal management table 5300. The unauthorized terminal management table 5300 will be described later with reference to FIG.
ネットワーク装置100の転送制御部2000は、サーバ端末300が送信するパケット12をポート103で受信すると、ポート103のポート番号である「P103」とサーバ端末300のMACアドレスである「M300」をFDBテーブル5200へ登録する。
When the
ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。
When the registration to the FDB table 5200 is monitored and the registration occurs, the FDB MAC
FDB用MACアドレス生成部1000は、登録されたポート番号の「P103」すなわちポート103の不正端末監視の実行状態5120が「無効」であると判定すると、MACアドレスを変換せず、FDBテーブル5200に上書きしない(変換と上書きをスキップする)。
When the FDB MAC
図6は不正端末管理テーブル5300の例を示す図である。不正端末管理テーブル5300は、MACアドレス5310、変換MACアドレス5320、および登録数5330の要素を持つ。MACアドレス5310は、ネットワーク装置100が受信したパケットのMACアドレスが登録される。
FIG. 6 is a diagram showing an example of the unauthorized terminal management table 5300. The fraudulent terminal management table 5300 has elements of a
変換MACアドレス5320は、FDB用MACアドレス生成部1000により変換された後のMACアドレスが登録され、登録数5330は、変換MACアドレス5320に登録されたMACアドレスの個数が登録される。登録数5330は設けられずに、変換MACアドレス5320の内容がMACアドレスであるか否かがカウントされてもよい。
For the converted
図5を用いて説明したように、ネットワーク装置100は、正常端末210が送信するパケット11を受信すると、MACアドレス5310に「M210」が登録され、変換MACアドレス5320に「M210a」が登録されて、登録数5330が「1」となる。なお、変換MACアドレス5320に複数のMACアドレスを登録する処理については図9を用いて説明する。
As described with reference to FIG. 5, when the
不正端末管理テーブル5300を使用する処理を図3も参照しながら説明する。サーバ端末300が正常端末210宛に送信するパケット12はパケットの宛先MACアドレスに正常端末210のMACアドレスである「M210」が格納されている。MAC重複検知部3000は、パケット12を受信すると宛先MACアドレスである「M210」が不正端末管理テーブル5300のMACアドレス5310に登録されているか検索する。
The process of using the unauthorized terminal management table 5300 will be described with reference to FIG. In the
図6に示すように不正端末管理テーブル5300のMACアドレス5310に「M210」が登録されている場合、「M210」に対応する変換MACアドレス5320に登録されているMACアドレスが1個であることを検知すると、重複はないため、変換MACアドレス5320の「M210a」を取得して、宛先MACアドレスの「M210」を「M210a」に置き換える。
As shown in FIG. 6, when "M210" is registered in the
ここで、MAC重複検知部3000による「M210a」の取得は、「M210」に対応する変換MACアドレス5320の最初に登録された(変換後の)MACアドレス、例えば変換MACアドレス5320のテーブルとしての最初の欄の(変換後の)MACアドレスの取得であってもよい。
Here, the acquisition of "M210a" by the MAC
このために、変換MACアドレス5320への登録の時点で登録数5330が「0」の場合、変換MACアドレス5320のテーブルとしての最初の欄に(変換後の)MACアドレスが登録されてもよい。
Therefore, if the number of
そして、転送制御部2000は、置き換えられた「M210a」をキーワードとして、FDBテーブル5200のMACアドレス5230を検索する。図5に示すようにFDBテーブル5200にはMACアドレス5230の「M210a」がポート番号5220の「P101」すなわちポート101で登録されており、ネットワーク装置100はパケット12をポート101から送信する。
Then, the
図7は、不正端末が接続されたネットワーク構成の例を示す図である。図3で説明したネットワーク構成において、不正端末230がネットワークに接続した直後の状態、すなわち回線502がリンクアップすると、不正端末230は通信を開始するためにパケット31を送信する。ここで、パケット31はARPパケットであることが一般的であるが、ARPパケット以外のパケットでもよい。
FIG. 7 is a diagram showing an example of a network configuration to which an unauthorized terminal is connected. In the network configuration described with reference to FIG. 3, when the
また、不正端末230は、正常端末210と同じMACアドレスになりすました端末であり、不正端末230のMACアドレスである「M210」は、正常端末210のMACアドレスである「M210」と同一のMACアドレスである。
Further, the
なお、不正端末230の通信以外は、図1および図3を用いて説明したとおりであるので、図1および図3と同じ符号を用いて説明を省略する。
Since the explanation is as described with reference to FIGS. 1 and 3 except for the communication of the
以下では、不正端末230が送信するパケット31について、図8と図9を用いて説明する。
Hereinafter, the
図8は、不正端末接続後のFDBテーブル5200の例を示す図である。図5に示したFDBテーブル5200と同じ要素、同じ符号、あるいは同じ値は、図5を用いた説明と同じ説明であるので、説明を省略する。 FIG. 8 is a diagram showing an example of the FDB table 5200 after connecting to an unauthorized terminal. The same elements, the same reference numerals, or the same values as those of the FDB table 5200 shown in FIG. 5 have the same description as the description using FIG. 5, and therefore the description thereof will be omitted.
ネットワーク装置100の転送制御部2000は、不正端末230が送信するパケット31をポート102で受信すると、ポート102のポート番号である「P102」と不正端末230のMACアドレスである「M210」をFDBテーブル5200へ登録する(この状態の図示は省略)。
When the
ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。
When the registration to the FDB table 5200 is monitored and the registration occurs, the FDB MAC
FDB用MACアドレス生成部1000は、登録されたポート番号の「P102」すなわちポート102の不正端末監視の実行状態5120が「有効」であると判定すると、MACアドレス5230の「M210」にポート102の識別子を加味したMACアドレス「M210b」に変換する。そして、FDBテーブル5200のMACアドレス5230には、変換後のMACアドレスである「M210b」が上書きされる。
When the FDB
MACアドレスの変換前の「M210」と変換後の「M210b」の対応は、不正端末管理テーブル5300で管理される。この場合の不正端末管理テーブル5300については、図9を用いて後で説明する。 The correspondence between "M210" before the conversion of the MAC address and "M210b" after the conversion is managed by the unauthorized terminal management table 5300. The unauthorized terminal management table 5300 in this case will be described later with reference to FIG.
図7で説明したように、不正端末230のMACアドレスである「M210」は、正常端末210のMACアドレスである「M210」と同一のMACアドレスであるが、ポートの識別子を加味したMACアドレスに変換することにより、FDBテーブル5200のMACアドレス5230に登録された「M210a」と「M210b」は異なるMACアドレスとなる。
As described with reference to FIG. 7, the MAC address “M210” of the
これにより、一般的な従来のFDBテーブルの処理として、FDBテーブル5200のポート番号5220の「P101」に対応するMACアドレス5230へ「M210」が登録され、その後、ポート番号5220の「P102」に対応するMACアドレス5230へ「M210」が登録されることにより、「M210」が「P101」から「P102」へ移動することが防止される。
As a result, as a general conventional FDB table process, "M210" is registered in the
すなわち、ポート101に接続された正常端末210宛に、サーバ端末300により送信されたパケット12が、FDBテーブル5200に基づいてポート102に接続された不正端末230に送信されることが防止される。
That is, the
図9は、不正端末接続後の不正端末管理テーブル5300の例を示す図である。図6に示した不正端末管理テーブル5300と同じ要素、同じ符号、あるいは同じ値は、図6を用いた説明と同じ説明であるので、説明を省略する。 FIG. 9 is a diagram showing an example of the unauthorized terminal management table 5300 after the unauthorized terminal is connected. Since the same elements, the same codes, or the same values as those of the unauthorized terminal management table 5300 shown in FIG. 6 are the same as the explanations using FIG. 6, the description thereof will be omitted.
図8を用いて説明したように、ネットワーク装置100は、不正端末230が送信するパケット31を受信すると、MACアドレス5310に「M210」を、変換MACアドレス5320に「M210b」を登録する。
As described with reference to FIG. 8, when the
ここで、MACアドレス5310には同一の「M210」が既に登録されているため、変換後のMACアドレスである「M210b」は、登録済の「M210」に対応する2個目の変換MACアドレスとして、不正端末管理テーブル5300に登録され、登録数5330が「2」に更新される。2個目の変換MACアドレスであることは、登録数5330の値から判定されてもよい。
Here, since the same "M210" is already registered in the
図10は、不正端末が通信するネットワーク構成の例を示す図である。図7で説明したネットワーク構成において、不正端末230が通信を開始するために送信したパケット31の応答のパケット32をネットワーク装置100がポート103で受信した状態である。
FIG. 10 is a diagram showing an example of a network configuration in which an unauthorized terminal communicates. In the network configuration described with reference to FIG. 7, the
ここで、パケット31はARPパケットであり、パケット32はARPの応答のパケットであることが一般的であるが、ARPに関するパケット以外のパケットであってもよい。
Here, the
ネットワーク装置100はパケット32を受信すると、MAC重複検知部3000により、パケット32の宛先MACアドレスで、不正端末管理テーブル5300のMACアドレス5310に登録されたMACアドレスが検索される。
When the
パケット32の宛先MACアドレスは不正端末230のMACアドレスである「M210」であるが、正常端末210のMACアドレスである「M210」と同一のMACアドレスである場合、図9に示すようにMACアドレス5310の「M210」に対応する変換MACアドレス5320に2個が登録されていることを検知する(登録数5330の「2」を検知してもよい)。
The destination MAC address of the
ネットワーク装置100は、不正端末管理テーブル5300のMACアドレス5310の1個に対応する変換MACアドレス5320が複数個登録されていることを検知すると、不正端末が接続されている可能性があるため、変換後MACアドレス「M210a」と「M210b」が不正端末の可能性がある端末とする処理を実行する。
When the
不正端末の可能性がある端末とする処理として、ネットワーク装置100は、パケット32を破棄する。図10では図示を省略したが、この処理を開始した時点以降で、正常端末210を宛先とするパケット12をネットワーク装置が受信した場合、パケット12も破棄してもよい。
The
そして、ネットワーク装置100は、図8に示すFDBテーブル5200からMACアドレス5230が「M210a」と「M210b」に対応するポート番号の「P101」と「P102」を取得し、ポート状態制御部4000を用いてポート番号の「P101」と「P102」に対応するポート101とポート102を停止する。
Then, the
図11は、停止後のネットワーク構成の例を示す図である。図10を用いて説明したネットワーク構成において、ポート101とポート102を停止した後の状態である。ポート101とポート102の停止により、物理的には接続されているものの、回線501と回線502がリンクダウンし、正常端末210と不正端末230がネットワークから遮断される。
FIG. 11 is a diagram showing an example of the network configuration after the stoppage. In the network configuration described with reference to FIG. 10, it is a state after the
この結果、停止後は不正端末230から一切パケットを受信することなく、不正端末230をネットワークから遮断できる。
As a result, after the stop, the
以上の説明では、パケット32の宛先MACアドレスに基づいて不正端末230をネットワークから遮断したが、パケット31をネットワーク装置100が受信したときの動作で不正端末230をネットワークから遮断してもよい。
In the above description, the
例えば、FDB用MACアドレス生成部1000は、パケット31に対して、不正端末管理テーブル5300の変換MACアドレス5320へ「M210b」を登録して、登録数5330を「2」にし、MAC重複検知部3000は、この登録数5330が「2」となる登録を検知し、ポート状態制御部4000を用いてポート101とポート102を停止してもよい。
For example, the FDB MAC
以上で説明したように、不正端末が正常端末のMACアドレスと同じMACアドレスになりすましても、ポートに依存して変換されたMACアドレスを用いるため、正常端末へのパケットの転送路が、不正端末の方へ変更されることはない。 As explained above, even if the malicious terminal impersonates the same MAC address as the MAC address of the normal terminal, the MAC address converted depending on the port is used, so the packet transfer path to the normal terminal is the illegal terminal. It will not be changed to.
また、不正端末へのパケットを検出すると、ポートを停止するため、この停止によっても、不正端末へパケットが届くことはない。さらに、このような不正端末監視装置としての機能を、一般的なネットワーク装置への付加機能として実現することも可能である。 Further, when a packet to an unauthorized terminal is detected, the port is stopped, so that the packet does not reach the unauthorized terminal even by this stop. Further, it is possible to realize such a function as an unauthorized terminal monitoring device as an additional function to a general network device.
11 正常端末からのパケット
12 正常端末宛のパケット
31 不正端末からのパケット
32 不正端末宛のパケット
100 ネットワーク装置
210 正常端末
230 不正端末
300 サーバ端末
11 Packets from
Claims (8)
前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換する生成部と、
前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
前記第1のMACアドレスあるいは前記第2のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
前記検知部は、
前記管理テーブルにおいて、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
を備えたことを特徴とするネットワーク装置。 A network device having a plurality of ports and relaying packets between the plurality of ports.
The MAC address of the source of the packet received on the first port among the plurality of ports is converted into the first MAC address depending on the first port, and the second among the plurality of ports. A generator that converts the MAC address of the source of the packet received on the port into the second MAC address that depends on the second port, and
Information that associates the MAC address of the source of the packet received in the first port with the first MAC address converted by the generator, and the MAC of the source of the packet received in the second port. A management table that stores information that associates the address with the second MAC address converted by the generator.
The MAC address of the destination of the packet received by any of the plurality of ports is searched in the management table, and the first MAC address or the second MAC address associated with the MAC address of the destination of the received packet is searched. A detector that identifies the MAC address and converts it to the identified first MAC address or the second MAC address .
It has a transfer control unit that identifies a transmission port of a received packet from the plurality of ports based on the first MAC address or the second MAC address.
The detector is
In the management table, it is detected that the first MAC address and the second MAC address are associated with the MAC address of the destination of the packet received on any of the plurality of ports, and the first MAC address is detected. A network device comprising controlling one port and the second port to be stopped.
前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換する生成部と、
前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
前記第1のMACアドレスあるいは前記第2のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
前記検知部は、
前記管理テーブルにおいて、同一のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
を備えたことを特徴とするネットワーク装置。 A network device having a plurality of ports and relaying packets between the plurality of ports.
The MAC address of the source of the packet received on the first port among the plurality of ports is converted into the first MAC address depending on the first port, and the second among the plurality of ports. A generator that converts the MAC address of the source of the packet received on the port into the second MAC address that depends on the second port, and
Information that associates the MAC address of the source of the packet received in the first port with the first MAC address converted by the generator, and the MAC of the source of the packet received in the second port. A management table that stores information that associates the address with the second MAC address converted by the generator.
The MAC address of the destination of the packet received by any of the plurality of ports is searched in the management table, and the first MAC address or the second MAC address associated with the MAC address of the destination of the received packet is searched. A detector that identifies the MAC address and converts it to the identified first MAC address or the second MAC address .
It has a transfer control unit that identifies a transmission port of a received packet from the plurality of ports based on the first MAC address or the second MAC address.
The detector is
In the management table, it is detected that the first MAC address and the second MAC address are associated with the same MAC address, and control is performed to stop the first port and the second port. A network device characterized by being equipped with.
前記第1のポートと前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートと前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納されるFDBテーブルをさらに備え、
前記転送制御部は、
前記検知部により変換された前記第1のMACアドレスあるいは前記第2のMACアドレスを、前記FDBテーブルで検索し、前記第1のMACアドレスあるいは前記第2のMACアドレスに関連付けられた前記第1のポートあるいは前記第2のポートを、受信したパケットの送信ポートとして特定すること
を特徴とするネットワーク装置。 The network device according to any one of claims 1 and 2.
Information that associates the first port with the first MAC address converted by the generator, and information relating the second port to the second MAC address converted by the generator is stored. Further equipped with FDB table to be
The transfer control unit
The first MAC address or the second MAC address converted by the detection unit is searched for in the FDB table, and the first MAC address associated with the first MAC address or the second MAC address is associated with the first MAC address. A network device characterized in that a port or the second port is specified as a transmission port of a received packet.
前記検知部は、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換すること
を特徴とするネットワーク装置。 The network device according to any one of claims 1 and 2.
The detector is
The MAC address of the destination of the packet received by any of the plurality of ports is searched in the management table, and the first MAC address or the second MAC address associated with the MAC address of the destination of the received packet is searched. A network device characterized in that a MAC address is specified and converted into the specified first MAC address or the second MAC address.
前記複数のポートのそれぞれに第1の状態と第2の状態が設定される構成テーブルをさらに備え、
前記生成部は、
前記構成テーブルにおいて前記第1のポートが前記第1の状態であると判定すると、前記第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記構成テーブルにおいて前記第2のポートが前記第1の状態であると判定すると、前記第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換し、前記構成テーブルにおいて前記複数のポートの中の第3のポートが前記第2の状態であると判定すると、変換をスキップし、
前記FDBテーブルは、
前記第1のポートと前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、前記第2のポートと前記生成部により変換された前記第2のMACアドレスとを関連付ける情報、および前記第3のポートと前記第3のポートで受信したパケットの送信元のMACアドレスとを関連付ける情報が格納されること
を特徴とするネットワーク装置。 The network device according to claim 3.
A configuration table in which the first state and the second state are set for each of the plurality of ports is further provided.
The generator is
When it is determined in the configuration table that the first port is in the first state, the MAC address of the source of the packet received by the first port is the first MAC address depending on the first port. When it is determined in the configuration table that the second port is in the first state, the MAC address of the source of the packet received by the second port depends on the second port. When it is converted to the MAC address of 2 and it is determined in the configuration table that the third port among the plurality of ports is in the second state, the conversion is skipped.
The FDB table is
Information relating the first port to the first MAC address converted by the generation unit, information relating the second port to the second MAC address converted by the generation unit, and the above. A network device characterized in that information relating to a third port and a MAC address of a source of a packet received in the third port is stored.
前記検知部は、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスが、前記第1のMACアドレス及び前記第2のMACアドレスに関連付けて前記管理テーブルに格納される第3のMACアドレスであることを検知して、受信したパケットを破棄すること
を特徴とするネットワーク装置。 The network device according to claim 4.
The detector is
The MAC address of the destination of the packet received on any of the plurality of ports is the third MAC address stored in the management table in association with the first MAC address and the second MAC address. A network device characterized in that it detects that and discards the received packet.
前記第1のポートと前記第2のポートで送信元が前記第3のMACアドレスのARPパケットを受信し、前記複数のポートのいずれかのポートで宛先が前記第3のMACアドレスのARPの応答のパケットを受信すること
を特徴とするネットワーク装置。 The network device according to claim 6.
The source receives the ARP packet of the third MAC address on the first port and the second port, and the destination is the ARP response of the third MAC address on any of the plurality of ports. A network device characterized by receiving a packet of.
前記複数の端末の中の第1の端末は、
前記第1の端末のMACアドレスを送信元のMACアドレスとするパケットを、前記ネットワーク装置の第1のポートへ送信し、
前記複数の端末の中の第2の端末は、
前記第2の端末のMACアドレスを送信元のMACアドレスとするパケットを、前記ネットワーク装置の第2のポートへ送信し、
前記サーバは、
前記第1の端末のMACアドレスあるいは前記第2の端末のMACアドレスを宛先のMACアドレスとするパケットを、前記ネットワーク装置の第3のポートへ送信し、
前記ネットワーク装置は、
前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換する生成部と、
前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
前記第1のMACアドレスあるいは前記第2のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
前記検知部は、
前記管理テーブルにおいて、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
を特徴とするネットワークシステム。 A network system in which a server and multiple terminals are connected to a network device and communicated by packets.
The first terminal among the plurality of terminals is
A packet having the MAC address of the first terminal as the source MAC address is transmitted to the first port of the network device.
The second terminal among the plurality of terminals is
A packet having the MAC address of the second terminal as the source MAC address is transmitted to the second port of the network device.
The server
A packet having the MAC address of the first terminal or the MAC address of the second terminal as the destination MAC address is transmitted to the third port of the network device.
The network device is
The MAC address of the source of the packet received by the first port among the plurality of ports is converted into the first MAC address depending on the first port, and the second port among the plurality of ports is converted. A generator that converts the MAC address of the source of the packet received in step 1 to the second MAC address that depends on the second port.
Information that associates the MAC address of the source of the packet received in the first port with the first MAC address converted by the generator, and the MAC of the source of the packet received in the second port. A management table that stores information that associates the address with the second MAC address converted by the generator.
The MAC address of the destination of the packet received by any of the plurality of ports is searched in the management table, and the first MAC address or the second MAC address associated with the MAC address of the destination of the received packet is searched. A detector that identifies the MAC address and converts it to the identified first MAC address or the second MAC address .
It has a transfer control unit that identifies a transmission port of a received packet from the plurality of ports based on the first MAC address or the second MAC address .
The detector is
In the management table, it is detected that the first MAC address and the second MAC address are associated with the MAC address of the destination of the packet received on any of the plurality of ports, and the first MAC address is detected. A network system characterized in that one port and the second port are controlled to be stopped.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017235921A JP7042069B2 (en) | 2017-12-08 | 2017-12-08 | Network equipment and network systems |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017235921A JP7042069B2 (en) | 2017-12-08 | 2017-12-08 | Network equipment and network systems |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019103103A JP2019103103A (en) | 2019-06-24 |
JP7042069B2 true JP7042069B2 (en) | 2022-03-25 |
Family
ID=66977253
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017235921A Active JP7042069B2 (en) | 2017-12-08 | 2017-12-08 | Network equipment and network systems |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7042069B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7491772B2 (en) * | 2020-08-19 | 2024-05-28 | アズビル株式会社 | NETWORK DEVICE AND NETWORK CONFIGURATION DETECTION METHOD |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008153905A (en) | 2006-12-18 | 2008-07-03 | Fujitsu Ltd | Network relay program, network relay device, communication system and network relay method |
JP2009065303A (en) | 2007-09-05 | 2009-03-26 | Nec Corp | Network unit, network management system, and mac address duplication detecting method used for them |
-
2017
- 2017-12-08 JP JP2017235921A patent/JP7042069B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008153905A (en) | 2006-12-18 | 2008-07-03 | Fujitsu Ltd | Network relay program, network relay device, communication system and network relay method |
JP2009065303A (en) | 2007-09-05 | 2009-03-26 | Nec Corp | Network unit, network management system, and mac address duplication detecting method used for them |
Also Published As
Publication number | Publication date |
---|---|
JP2019103103A (en) | 2019-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9118716B2 (en) | Computer system, controller and network monitoring method | |
US10212160B2 (en) | Preserving an authentication state by maintaining a virtual local area network (VLAN) association | |
JP5062967B2 (en) | Network access control method and system | |
US7552478B2 (en) | Network unauthorized access preventing system and network unauthorized access preventing apparatus | |
US8209529B2 (en) | Authentication system, network line concentrator, authentication method and authentication program | |
US9154509B2 (en) | Intelligent electric device and network system including the device | |
JP2007036374A (en) | Packet transfer apparatus, communication network, and packet transfer method | |
JP2007006054A (en) | Packet repeater and packet repeating system | |
EP2127309A2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network | |
CN107241313B (en) | Method and device for preventing MAC flooding attack | |
JP5134141B2 (en) | Unauthorized access blocking control method | |
JP2008054204A (en) | Connection device, terminal device, and data confirmation program | |
KR101064382B1 (en) | Arp attack blocking system in communication network and method thereof | |
JP2015035724A (en) | Network control device | |
JP7042069B2 (en) | Network equipment and network systems | |
EP3499808B1 (en) | Network device and controlling method thereof applicable for mesh networks | |
CN109428884B (en) | Communication protection device, control method, and recording medium | |
JP4020134B2 (en) | Switching hub device, router device | |
JP2019041369A (en) | Communication protection device, control method, and program | |
JP2006067057A (en) | NETWORK EQUIPMENT, Radius CLIENT, WIRED LAN AUTHENTICATION SYSTEM, AUTHENTICATION PACKET TRANSMISSION METHOD, CONTROL PROGRAM, RECORDING MEDIUM, AND SUPPLICANT | |
JP2018064228A (en) | Packet controller | |
JP2018196100A (en) | Virtual exchange system | |
US20190028436A1 (en) | Apparatus and method for forwarding of data packets | |
JP6568495B2 (en) | Unauthorized access prevention apparatus and method | |
JP7474554B2 (en) | Equipment monitoring method, equipment monitoring device, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200423 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210302 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210408 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211118 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220301 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220314 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7042069 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |