JP7042069B2 - Network equipment and network systems - Google Patents

Network equipment and network systems Download PDF

Info

Publication number
JP7042069B2
JP7042069B2 JP2017235921A JP2017235921A JP7042069B2 JP 7042069 B2 JP7042069 B2 JP 7042069B2 JP 2017235921 A JP2017235921 A JP 2017235921A JP 2017235921 A JP2017235921 A JP 2017235921A JP 7042069 B2 JP7042069 B2 JP 7042069B2
Authority
JP
Japan
Prior art keywords
mac address
port
packet
network device
ports
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017235921A
Other languages
Japanese (ja)
Other versions
JP2019103103A (en
Inventor
智則 上田
宏征 吉野
賢介 猪野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2017235921A priority Critical patent/JP7042069B2/en
Publication of JP2019103103A publication Critical patent/JP2019103103A/en
Application granted granted Critical
Publication of JP7042069B2 publication Critical patent/JP7042069B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明はネットワーク装置およびネットワークシステムに関する。 The present invention relates to network devices and network systems.

一般的なネットワークは、認証機能によりネットワークに接続する端末を検査し、ネットワークのセキュリティを確保している。このようなネットワークの認証機能として、特許文献1が提案されている。 In a general network, the authentication function inspects the terminals connected to the network to ensure the security of the network. Patent Document 1 has been proposed as an authentication function for such a network.

特許文献1では、端末がネットワークへ接続される際に送信されるARP(Address Resolution Protocol)の応答のパケットを偽装して、パスワードによる認証を行い、正常な端末のMAC(Media Access Control)アドレスと同じMACアドレスになりすました不正な端末は、不正接続防止装置に接続したままにする技術が開示されている。 In Patent Document 1, an ARP (Address Resolution Protocol) response packet transmitted when a terminal is connected to a network is disguised, password authentication is performed, and the MAC (Media Access Control) address of a normal terminal is used. A technique for keeping an unauthorized terminal spoofing the same MAC address connected to an unauthorized connection prevention device is disclosed.

特開2016-187113号公報Japanese Unexamined Patent Publication No. 2016-187113

特許文献1に開示された技術を用いれば、不正な端末が送信するパケットは、不正接続防止装置へ届き、不正な端末が不正の目的とする端末へは届かない。しかしながら、なりすましのMACアドレスに基づいて、正常な端末へ向けて送信されたパケットが、不正な端末で受信される可能性がある。 According to the technique disclosed in Patent Document 1, the packet transmitted by the unauthorized terminal reaches the unauthorized connection prevention device, and the packet transmitted by the unauthorized terminal does not reach the terminal intended by the unauthorized terminal. However, a packet sent to a normal terminal based on the spoofed MAC address may be received by an unauthorized terminal.

特に、FDB(Filtering DataBase)テーブルを用いてパケットを中継するネットワーク装置に、正常な端末が接続された後、不正な端末が接続されると、正常な端末のMACアドレスと不正な端末のMACアドレスは同じMACアドレスであるため、FDBテーブルの正常な端末の情報が不正な端末の情報で上書きされ、ネットワーク装置は不正な端末へパケットを中継してしまう可能性がある。 In particular, if a normal terminal is connected to a network device that relays packets using the FDB (Filtering DataBase) table and then an unauthorized terminal is connected, the MAC address of the normal terminal and the MAC address of the invalid terminal Since is the same MAC address, the information of a normal terminal in the FDB table may be overwritten with the information of an invalid terminal, and the network device may relay the packet to the invalid terminal.

本発明は、ネットワーク装置を経由した不正な端末によるパケットの受信も防止することを目的とする。 An object of the present invention is to prevent a packet from being received by an unauthorized terminal via a network device.

本発明は、上述の課題を解決するためになされたものであり、本発明に係る代表的なネットワーク装置は、複数のポートを有し、前記複数のポート間でパケットを中継するネットワーク装置であって、前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換する生成部と、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを前記第1のMACアドレスあるいは前記第2のMACアドレスに変換するための検知部と、前記第1のMACアドレスあるいは前記第2のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定するための転送制御部と、を備えたことを特徴とする。 The present invention has been made to solve the above-mentioned problems, and a typical network device according to the present invention is a network device having a plurality of ports and relaying packets between the plurality of ports. Then, the MAC address of the source of the packet received by the first port among the plurality of ports is converted into the first MAC address depending on the first port, and the second among the plurality of ports. The generator that converts the source MAC address of the packet received on the port of the above to the second MAC address that depends on the second port, and the MAC of the destination of the packet received on any of the plurality of ports. Received from the detection unit for converting the address to the first MAC address or the second MAC address, and the plurality of ports based on the first MAC address or the second MAC address. It is characterized by having a forwarding control unit for specifying a packet transmission port.

本発明によれば、ネットワーク装置を経由した不正な端末によるパケットの受信も防止することが可能になる。 According to the present invention, it is possible to prevent a packet from being received by an unauthorized terminal via a network device.

ネットワーク構成の例を示す図である。It is a figure which shows the example of the network configuration. ネットワーク装置の内部構造の例を示す図である。It is a figure which shows the example of the internal structure of a network device. 端末を交換したネットワーク構成の例を示す図である。It is a figure which shows the example of the network configuration which exchanged the terminal. コンフィグレーションテーブルの例を示す図である。It is a figure which shows the example of the configuration table. FDBテーブルの例を示す図である。It is a figure which shows the example of the FDB table. 不正端末管理テーブルの例を示す図である。It is a figure which shows the example of the fraudulent terminal management table. 不正端末が接続されたネットワーク構成の例を示す図である。It is a figure which shows the example of the network configuration to which the unauthorized terminal is connected. 不正端末接続後のFDBテーブルの例を示す図である。It is a figure which shows the example of the FDB table after an unauthorized terminal connection. 不正端末接続後の不正端末管理テーブルの例を示す図である。It is a figure which shows the example of the unauthorized terminal management table after the unauthorized terminal connection. 不正端末が通信するネットワーク構成の例を示す図である。It is a figure which shows the example of the network configuration in which an unauthorized terminal communicates. 不正端末が遮断されたネットワーク構成の例を示す図である。It is a figure which shows the example of the network configuration in which an unauthorized terminal is blocked.

以下、本発明の実施の形態を実施例として説明する。 Hereinafter, embodiments of the present invention will be described as examples.

図1は、ネットワーク構成の例を示す図である。ネットワーク装置100は、パケットを転送(中継)するネットワーク装置であって、ポート103より回線503を介してサーバ端末300のポート301に接続されている。そして、ネットワーク装置100とサーバ端末300がネットワークを構成し、このネットワークに端末が接続される。 FIG. 1 is a diagram showing an example of a network configuration. The network device 100 is a network device that forwards (relays) packets, and is connected to port 301 of the server terminal 300 from port 103 via line 503. Then, the network device 100 and the server terminal 300 form a network, and the terminal is connected to this network.

ここで、このネットワークに接続することが許可されている端末を正常端末と記述する。この許可は何らかの仕様などによって規定されていてもよい。また、後で説明するようにネットワーク装置100が正常端末の接続であるか否かに応じて動作を変更するという点において、ネットワーク装置100は不正端末監視装置であるとも言える。 Here, a terminal that is permitted to connect to this network is described as a normal terminal. This permission may be specified by some specifications or the like. Further, as will be described later, it can be said that the network device 100 is an unauthorized terminal monitoring device in that the operation is changed depending on whether or not the network device 100 is connected to a normal terminal.

ネットワークに端末が接続されている状態として、ネットワーク装置100は、ポート101より回線501を介して正常端末210のポート211に接続され、ポート102より回線502を介して正常端末220のポート221に接続されている。 Assuming that the terminal is connected to the network, the network device 100 is connected to the port 211 of the normal terminal 210 from the port 101 via the line 501, and is connected to the port 221 of the normal terminal 220 from the port 102 via the line 502. Has been done.

以上のような接続により、正常端末210は、ネットワーク装置100を介したパケット11、パケット12を用いてサーバ端末300と通信を行い、正常端末220は、ネットワーク装置100を介したパケット21、パケット22を用いてサーバ端末300と通信を行う。 Through the above connection, the normal terminal 210 communicates with the server terminal 300 using the packet 11 and the packet 12 via the network device 100, and the normal terminal 220 communicates with the packet 21 and the packet 22 via the network device 100. Is used to communicate with the server terminal 300.

なお、正常端末210と正常端末220もネットワークに含めて、ネットワーク装置100、正常端末210、正常端末220、およびサーバ端末300がネットワークシステムであってもよい。 The normal terminal 210 and the normal terminal 220 may be included in the network, and the network device 100, the normal terminal 210, the normal terminal 220, and the server terminal 300 may be a network system.

図2は、ネットワーク装置100の内部構造の例を示す図である。FDB用MACアドレス生成部1000は、FDBテーブルに登録するMACアドレスの生成処理を行い、コンフィグレーションテーブル5100を管理する。コンフィグレーションテーブル5100については、図4を用いて後で説明する。 FIG. 2 is a diagram showing an example of the internal structure of the network device 100. The FDB MAC address generation unit 1000 performs a MAC address generation process to be registered in the FDB table, and manages the configuration table 5100. The configuration table 5100 will be described later with reference to FIG.

転送制御部2000は、パケットの転送処理、MACアドレスの学習処理を行い、FDBテーブル5200を管理する。FDBテーブル5200については、図5と図8を用いて後で説明する。 The transfer control unit 2000 performs packet transfer processing and MAC address learning processing, and manages the FDB table 5200. The FDB table 5200 will be described later with reference to FIGS. 5 and 8.

MAC重複検知部3000は、ARPの応答のパケットなどネットワーク装置100に接続された端末宛のパケットを監視し、不正端末管理テーブル5300を管理する。不正端末管理テーブル5300については、図6と図9を用いて後で説明する。 The MAC duplication detection unit 3000 monitors packets addressed to terminals connected to the network device 100, such as ARP response packets, and manages the unauthorized terminal management table 5300. The unauthorized terminal management table 5300 will be described later with reference to FIGS. 6 and 9.

ポート状態制御部4000は、ポート101、ポート102、およびポート103の各ポートの状態を制御し、各ポートのリンクアップあるいはリンクダウンの処理を行う。メモリ5000は、コンフィグレーションテーブル5100、FDBテーブル5200、不正端末管理テーブル5300が格納されている。 The port state control unit 4000 controls the state of each port of port 101, port 102, and port 103, and performs link-up or link-down processing of each port. The memory 5000 stores a configuration table 5100, an FDB table 5200, and an unauthorized terminal management table 5300.

ネットワーク装置100のハードウェアは、一般的なネットワーク装置のハードウェアであってもよい。このため、例えば、ネットワーク装置100は図示を省略したプロセッサを備え、メモリ5000に格納されたプログラムを実行するプロセッサが、FDB用MACアドレス生成部1000、転送制御部2000、MAC重複検知部3000、およびポート状態制御部4000になってもよい。 The hardware of the network device 100 may be the hardware of a general network device. Therefore, for example, the network device 100 includes a processor (not shown), and the processor that executes the program stored in the memory 5000 includes a MAC address generation unit 1000 for FDB, a transfer control unit 2000, a MAC duplication detection unit 3000, and a processor. It may become the port state control unit 4000.

一般的なネットワーク装置を変更してネットワーク装置100としてもよく、転送制御部2000とFDBテーブル5200は一般的なネットワーク装置のものをそのまま利用し、ポート状態制御部4000は一般的なネットワーク装置のものを後で説明する動作も含むように変更してもよい。 The general network device may be changed to the network device 100, the transfer control unit 2000 and the FDB table 5200 use the general network device as they are, and the port state control unit 4000 is the general network device. May be modified to include the behavior described later.

また、一般的なネットワーク装置に、FDB用MACアドレス生成部1000、MAC重複検知部3000、コンフィグレーションテーブル5100、および不正端末管理テーブル5300を新たに追加してもよい。 Further, a MAC address generation unit 1000 for FDB, a MAC duplication detection unit 3000, a configuration table 5100, and an unauthorized terminal management table 5300 may be newly added to a general network device.

図3は、端末を交換したネットワーク構成の例を示す図である。交換により新たに接続する端末は、ネットワークに接続することを許可されていない端末であり、このような端末を不正端末と記述する。すなわち、図1を用いて説明したネットワーク構成において、正常端末220に代わり不正端末230が接続される直前の状態である。 FIG. 3 is a diagram showing an example of a network configuration in which terminals are exchanged. A terminal newly connected by exchange is a terminal that is not permitted to connect to the network, and such a terminal is described as an unauthorized terminal. That is, in the network configuration described with reference to FIG. 1, it is a state immediately before the unauthorized terminal 230 is connected instead of the normal terminal 220.

ネットワーク装置100は、ポート102より回線502を介して不正端末230のポート231に物理的に接続されている。不正端末230がネットワークに接続される直前の状態を示すことから、回線502はリンクダウンしており、物理的に接続されてリンクダウンした回線502を破線で表している。 The network device 100 is physically connected to the port 231 of the unauthorized terminal 230 from the port 102 via the line 502. Since the state immediately before the unauthorized terminal 230 is connected to the network is shown, the line 502 is linked down, and the physically connected and linked down line 502 is represented by a broken line.

なお、特に物理的に接続とは記述せず、単に接続と記述する場合の接続は、物理的に接続されてリンクアップし、通信の可能な状態あるいは通信している状態を表すとする。また、不正端末230以外は、図1を用いて説明したとおりであるので、図1と同じ符号を用いて説明を省略する。 It should be noted that the connection, which is not specifically described as a physical connection but is simply described as a connection, is physically connected and linked up, and represents a state in which communication is possible or a state in which communication is being performed. Further, since the description is as described with reference to FIG. 1 except for the unauthorized terminal 230, the description will be omitted using the same reference numerals as those in FIG.

以下では、正常端末210がサーバ端末300宛に送信するパケット11、およびサーバ端末300が正常端末210宛に送信するパケット12について、図4から図6を用いて説明し、不正端末230の遮断について、図7から図11を用いて説明する。 In the following, the packet 11 transmitted by the normal terminal 210 to the server terminal 300 and the packet 12 transmitted by the server terminal 300 to the normal terminal 210 will be described with reference to FIGS. 4 to 6, and the blocking of the unauthorized terminal 230 will be described. , FIGS. 7 to 11 will be described.

図4はコンフィグレーションテーブル5100の例を示す図である。コンフィグレーションテーブル5100は、ポート番号5110と不正端末監視の実行状態5120の要素を持つテーブルである。 FIG. 4 is a diagram showing an example of the configuration table 5100. The configuration table 5100 is a table having elements of the port number 5110 and the execution state 5120 of unauthorized terminal monitoring.

ポート番号5110は、ネットワーク装置100がイーサネット(登録商標)を収容するポートを登録する要素であり、図3に示したポート101、ポート102、およびポート103のそれぞれに対応して「P101」、「P102」、および「P103」が登録されている。 The port number 5110 is an element for registering a port in which the network device 100 accommodates Ethernet (registered trademark), and corresponds to each of the port 101, the port 102, and the port 103 shown in FIG. "P102" and "P103" are registered.

不正端末監視の実行状態5120は、ポート単位に不正端末監視機能の実行状態を登録する要素である。「P101」と「P102」のポート101とポート102については端末を接続するポートであり、不正端末監視機能が「有効」として登録されている。「P103」のポート103についてはサーバ端末300に接続するポートであり、不正端末監視機能が「無効」として登録されている。 The unauthorized terminal monitoring execution state 5120 is an element for registering the execution state of the unauthorized terminal monitoring function for each port. The ports 101 and 102 of "P101" and "P102" are ports for connecting terminals, and the unauthorized terminal monitoring function is registered as "valid". The port 103 of "P103" is a port connected to the server terminal 300, and the unauthorized terminal monitoring function is registered as "invalid".

図5はFDBテーブル5200の例を示す図である。FDBテーブル5200は、VLAN ID5210、ポート番号5220、およびMACアドレス5230の要素を持つ。なお、図3に示す各端末は、パケット通信用のVLAN(Virtual LAN)としてVLAN IDが「1」のVLANにより通信を行っているものとする。 FIG. 5 is a diagram showing an example of the FDB table 5200. The FDB table 5200 has elements of VLAN ID 5210, port number 5220, and MAC address 5230. It is assumed that each terminal shown in FIG. 3 communicates with a VLAN having a VLAN ID of "1" as a VLAN (Virtual LAN) for packet communication.

このため、VLAN ID5210はパケットの通信に使用しているVLAN IDが登録される。図5の例では、VLAN IDが「1」を使用した例を記載しているが、他のVLAN IDを使用されてもよい。 Therefore, the VLAN ID used for packet communication is registered in the VLAN ID 5210. In the example of FIG. 5, an example in which the VLAN ID is “1” is described, but other VLAN IDs may be used.

ポート番号5220はパケットを受信したポートのポート番号が登録される。このポート番号は図4に示したポート番号5110のポート番号と対応する。MACアドレス5230は受信したパケットの送信元MACアドレスが登録される。 As the port number 5220, the port number of the port that received the packet is registered. This port number corresponds to the port number of port number 5110 shown in FIG. As the MAC address 5230, the source MAC address of the received packet is registered.

FDBテーブル5200の登録処理を図3も参照しながら説明する。ネットワーク装置100の転送制御部2000は、正常端末210が送信するパケット11をポート101で受信すると、ポート101のポート番号である「P101」と正常端末210のMACアドレスである「M210」をFDBテーブル5200へ登録する(この状態の図示は省略)。 The registration process of the FDB table 5200 will be described with reference to FIG. When the transfer control unit 2000 of the network device 100 receives the packet 11 transmitted by the normal terminal 210 on the port 101, it sets the port number “P101” of the port 101 and the MAC address “M210” of the normal terminal 210 in the FDB table. Register to 5200 (not shown in this state).

ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。 When the registration to the FDB table 5200 is monitored and the registration occurs, the FDB MAC address generation unit 1000 of the network device 100 refers to the configuration table 5100 shown in FIG. 4 based on the registered port number.

FDB用MACアドレス生成部1000は、登録されたポート番号の「P101」すなわちポート101の不正端末監視の実行状態5120が「有効」であると判定すると、MACアドレス5230の「M210」にポート101の識別子を加味したMACアドレス「M210a」に変換する。そして、FDBテーブル5200のMACアドレス5230には、変換後のMACアドレスである「M210a」が上書きされる。 When the FDB MAC address generator 1000 determines that the registered port number "P101", that is, the execution state 5120 of the unauthorized terminal monitoring of the port 101 is "valid", the MAC address 5230 "M210" of the port 101 Convert to the MAC address "M210a" with the identifier added. Then, the MAC address 5230 of the FDB table 5200 is overwritten with the converted MAC address "M210a".

MACアドレスの変換前の「M210」と変換後の「M210a」の対応は、不正端末管理テーブル5300で管理される。不正端末管理テーブル5300については、図6を用いて後で説明する。 The correspondence between the "M210" before the conversion of the MAC address and the "M210a" after the conversion is managed by the unauthorized terminal management table 5300. The unauthorized terminal management table 5300 will be described later with reference to FIG.

ネットワーク装置100の転送制御部2000は、サーバ端末300が送信するパケット12をポート103で受信すると、ポート103のポート番号である「P103」とサーバ端末300のMACアドレスである「M300」をFDBテーブル5200へ登録する。 When the transfer control unit 2000 of the network device 100 receives the packet 12 transmitted by the server terminal 300 on the port 103, the FDB table displays the port number “P103” of the port 103 and the MAC address “M300” of the server terminal 300. Register to 5200.

ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。 When the registration to the FDB table 5200 is monitored and the registration occurs, the FDB MAC address generation unit 1000 of the network device 100 refers to the configuration table 5100 shown in FIG. 4 based on the registered port number.

FDB用MACアドレス生成部1000は、登録されたポート番号の「P103」すなわちポート103の不正端末監視の実行状態5120が「無効」であると判定すると、MACアドレスを変換せず、FDBテーブル5200に上書きしない(変換と上書きをスキップする)。 When the FDB MAC address generation unit 1000 determines that the registered port number "P103", that is, the execution state 5120 of the unauthorized terminal monitoring of the port 103 is "invalid", the MAC address is not converted and the FDB table 5200 is displayed. Do not overwrite (skip conversions and overwrites).

図6は不正端末管理テーブル5300の例を示す図である。不正端末管理テーブル5300は、MACアドレス5310、変換MACアドレス5320、および登録数5330の要素を持つ。MACアドレス5310は、ネットワーク装置100が受信したパケットのMACアドレスが登録される。 FIG. 6 is a diagram showing an example of the unauthorized terminal management table 5300. The fraudulent terminal management table 5300 has elements of a MAC address 5310, a translated MAC address 5320, and a registration number 5330. As the MAC address 5310, the MAC address of the packet received by the network device 100 is registered.

変換MACアドレス5320は、FDB用MACアドレス生成部1000により変換された後のMACアドレスが登録され、登録数5330は、変換MACアドレス5320に登録されたMACアドレスの個数が登録される。登録数5330は設けられずに、変換MACアドレス5320の内容がMACアドレスであるか否かがカウントされてもよい。 For the converted MAC address 5320, the MAC address after being converted by the FDB MAC address generation unit 1000 is registered, and for the registered number 5330, the number of MAC addresses registered in the converted MAC address 5320 is registered. The number of registrations 5330 may not be provided, and it may be counted whether or not the content of the converted MAC address 5320 is a MAC address.

図5を用いて説明したように、ネットワーク装置100は、正常端末210が送信するパケット11を受信すると、MACアドレス5310に「M210」が登録され、変換MACアドレス5320に「M210a」が登録されて、登録数5330が「1」となる。なお、変換MACアドレス5320に複数のMACアドレスを登録する処理については図9を用いて説明する。 As described with reference to FIG. 5, when the network device 100 receives the packet 11 transmitted by the normal terminal 210, "M210" is registered in the MAC address 5310 and "M210a" is registered in the converted MAC address 5320. , The number of registrations 5330 becomes "1". The process of registering a plurality of MAC addresses in the converted MAC address 5320 will be described with reference to FIG.

不正端末管理テーブル5300を使用する処理を図3も参照しながら説明する。サーバ端末300が正常端末210宛に送信するパケット12はパケットの宛先MACアドレスに正常端末210のMACアドレスである「M210」が格納されている。MAC重複検知部3000は、パケット12を受信すると宛先MACアドレスである「M210」が不正端末管理テーブル5300のMACアドレス5310に登録されているか検索する。 The process of using the unauthorized terminal management table 5300 will be described with reference to FIG. In the packet 12 transmitted by the server terminal 300 to the normal terminal 210, "M210", which is the MAC address of the normal terminal 210, is stored in the destination MAC address of the packet. When the MAC duplication detection unit 3000 receives the packet 12, it searches whether the destination MAC address "M210" is registered in the MAC address 5310 of the unauthorized terminal management table 5300.

図6に示すように不正端末管理テーブル5300のMACアドレス5310に「M210」が登録されている場合、「M210」に対応する変換MACアドレス5320に登録されているMACアドレスが1個であることを検知すると、重複はないため、変換MACアドレス5320の「M210a」を取得して、宛先MACアドレスの「M210」を「M210a」に置き換える。 As shown in FIG. 6, when "M210" is registered in the MAC address 5310 of the unauthorized terminal management table 5300, it is determined that there is only one MAC address registered in the converted MAC address 5320 corresponding to "M210". If it is detected, there is no duplication, so the conversion MAC address 5320 "M210a" is acquired and the destination MAC address "M210" is replaced with "M210a".

ここで、MAC重複検知部3000による「M210a」の取得は、「M210」に対応する変換MACアドレス5320の最初に登録された(変換後の)MACアドレス、例えば変換MACアドレス5320のテーブルとしての最初の欄の(変換後の)MACアドレスの取得であってもよい。 Here, the acquisition of "M210a" by the MAC duplication detection unit 3000 is the first as a table of the MAC address (after conversion) registered at the beginning of the converted MAC address 5320 corresponding to "M210", for example, the converted MAC address 5320. It may be the acquisition of the MAC address (after conversion) in the column of.

このために、変換MACアドレス5320への登録の時点で登録数5330が「0」の場合、変換MACアドレス5320のテーブルとしての最初の欄に(変換後の)MACアドレスが登録されてもよい。 Therefore, if the number of registrations 5330 is "0" at the time of registration to the converted MAC address 5320, the (converted) MAC address may be registered in the first column of the converted MAC address 5320 table.

そして、転送制御部2000は、置き換えられた「M210a」をキーワードとして、FDBテーブル5200のMACアドレス5230を検索する。図5に示すようにFDBテーブル5200にはMACアドレス5230の「M210a」がポート番号5220の「P101」すなわちポート101で登録されており、ネットワーク装置100はパケット12をポート101から送信する。 Then, the transfer control unit 2000 searches for the MAC address 5230 of the FDB table 5200 using the replaced "M210a" as a keyword. As shown in FIG. 5, in the FDB table 5200, the “M210a” of the MAC address 5230 is registered in the “P101” of the port number 5220, that is, the port 101, and the network device 100 transmits the packet 12 from the port 101.

図7は、不正端末が接続されたネットワーク構成の例を示す図である。図3で説明したネットワーク構成において、不正端末230がネットワークに接続した直後の状態、すなわち回線502がリンクアップすると、不正端末230は通信を開始するためにパケット31を送信する。ここで、パケット31はARPパケットであることが一般的であるが、ARPパケット以外のパケットでもよい。 FIG. 7 is a diagram showing an example of a network configuration to which an unauthorized terminal is connected. In the network configuration described with reference to FIG. 3, when the unauthorized terminal 230 is immediately connected to the network, that is, when the line 502 is linked up, the unauthorized terminal 230 transmits a packet 31 to start communication. Here, the packet 31 is generally an ARP packet, but a packet other than the ARP packet may be used.

また、不正端末230は、正常端末210と同じMACアドレスになりすました端末であり、不正端末230のMACアドレスである「M210」は、正常端末210のMACアドレスである「M210」と同一のMACアドレスである。 Further, the unauthorized terminal 230 is a terminal impersonating the same MAC address as the normal terminal 210, and the MAC address "M210" of the unauthorized terminal 230 is the same MAC address as the MAC address "M210" of the normal terminal 210. Is.

なお、不正端末230の通信以外は、図1および図3を用いて説明したとおりであるので、図1および図3と同じ符号を用いて説明を省略する。 Since the explanation is as described with reference to FIGS. 1 and 3 except for the communication of the unauthorized terminal 230, the description will be omitted using the same reference numerals as those of FIGS. 1 and 3.

以下では、不正端末230が送信するパケット31について、図8と図9を用いて説明する。 Hereinafter, the packet 31 transmitted by the unauthorized terminal 230 will be described with reference to FIGS. 8 and 9.

図8は、不正端末接続後のFDBテーブル5200の例を示す図である。図5に示したFDBテーブル5200と同じ要素、同じ符号、あるいは同じ値は、図5を用いた説明と同じ説明であるので、説明を省略する。 FIG. 8 is a diagram showing an example of the FDB table 5200 after connecting to an unauthorized terminal. The same elements, the same reference numerals, or the same values as those of the FDB table 5200 shown in FIG. 5 have the same description as the description using FIG. 5, and therefore the description thereof will be omitted.

ネットワーク装置100の転送制御部2000は、不正端末230が送信するパケット31をポート102で受信すると、ポート102のポート番号である「P102」と不正端末230のMACアドレスである「M210」をFDBテーブル5200へ登録する(この状態の図示は省略)。 When the transfer control unit 2000 of the network device 100 receives the packet 31 transmitted by the unauthorized terminal 230 on the port 102, the FDB table displays the port number “P102” of the port 102 and the MAC address “M210” of the unauthorized terminal 230. Register to 5200 (not shown in this state).

ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。 When the registration to the FDB table 5200 is monitored and the registration occurs, the FDB MAC address generation unit 1000 of the network device 100 refers to the configuration table 5100 shown in FIG. 4 based on the registered port number.

FDB用MACアドレス生成部1000は、登録されたポート番号の「P102」すなわちポート102の不正端末監視の実行状態5120が「有効」であると判定すると、MACアドレス5230の「M210」にポート102の識別子を加味したMACアドレス「M210b」に変換する。そして、FDBテーブル5200のMACアドレス5230には、変換後のMACアドレスである「M210b」が上書きされる。 When the FDB MAC address generator 1000 determines that the registered port number "P102", that is, the execution state 5120 of the unauthorized terminal monitoring of the port 102 is "valid", the MAC address 5230 "M210" of the port 102 Convert to the MAC address "M210b" with the identifier added. Then, the MAC address 5230 of the FDB table 5200 is overwritten with the converted MAC address "M210b".

MACアドレスの変換前の「M210」と変換後の「M210b」の対応は、不正端末管理テーブル5300で管理される。この場合の不正端末管理テーブル5300については、図9を用いて後で説明する。 The correspondence between "M210" before the conversion of the MAC address and "M210b" after the conversion is managed by the unauthorized terminal management table 5300. The unauthorized terminal management table 5300 in this case will be described later with reference to FIG.

図7で説明したように、不正端末230のMACアドレスである「M210」は、正常端末210のMACアドレスである「M210」と同一のMACアドレスであるが、ポートの識別子を加味したMACアドレスに変換することにより、FDBテーブル5200のMACアドレス5230に登録された「M210a」と「M210b」は異なるMACアドレスとなる。 As described with reference to FIG. 7, the MAC address “M210” of the unauthorized terminal 230 is the same MAC address as the MAC address “M210” of the normal terminal 210, but the MAC address is added to the port identifier. By the conversion, "M210a" and "M210b" registered in the MAC address 5230 of the FDB table 5200 become different MAC addresses.

これにより、一般的な従来のFDBテーブルの処理として、FDBテーブル5200のポート番号5220の「P101」に対応するMACアドレス5230へ「M210」が登録され、その後、ポート番号5220の「P102」に対応するMACアドレス5230へ「M210」が登録されることにより、「M210」が「P101」から「P102」へ移動することが防止される。 As a result, as a general conventional FDB table process, "M210" is registered in the MAC address 5230 corresponding to "P101" of port number 5220 of FDB table 5200, and then "P102" of port number 5220 is supported. By registering "M210" to the MAC address 5230, it is possible to prevent "M210" from moving from "P101" to "P102".

すなわち、ポート101に接続された正常端末210宛に、サーバ端末300により送信されたパケット12が、FDBテーブル5200に基づいてポート102に接続された不正端末230に送信されることが防止される。 That is, the packet 12 transmitted by the server terminal 300 to the normal terminal 210 connected to the port 101 is prevented from being transmitted to the unauthorized terminal 230 connected to the port 102 based on the FDB table 5200.

図9は、不正端末接続後の不正端末管理テーブル5300の例を示す図である。図6に示した不正端末管理テーブル5300と同じ要素、同じ符号、あるいは同じ値は、図6を用いた説明と同じ説明であるので、説明を省略する。 FIG. 9 is a diagram showing an example of the unauthorized terminal management table 5300 after the unauthorized terminal is connected. Since the same elements, the same codes, or the same values as those of the unauthorized terminal management table 5300 shown in FIG. 6 are the same as the explanations using FIG. 6, the description thereof will be omitted.

図8を用いて説明したように、ネットワーク装置100は、不正端末230が送信するパケット31を受信すると、MACアドレス5310に「M210」を、変換MACアドレス5320に「M210b」を登録する。 As described with reference to FIG. 8, when the network device 100 receives the packet 31 transmitted by the unauthorized terminal 230, it registers "M210" in the MAC address 5310 and "M210b" in the converted MAC address 5320.

ここで、MACアドレス5310には同一の「M210」が既に登録されているため、変換後のMACアドレスである「M210b」は、登録済の「M210」に対応する2個目の変換MACアドレスとして、不正端末管理テーブル5300に登録され、登録数5330が「2」に更新される。2個目の変換MACアドレスであることは、登録数5330の値から判定されてもよい。 Here, since the same "M210" is already registered in the MAC address 5310, the converted MAC address "M210b" is used as the second converted MAC address corresponding to the registered "M210". , Is registered in the unauthorized terminal management table 5300, and the number of registrations 5330 is updated to "2". It may be determined from the value of the registered number 5330 that it is the second converted MAC address.

図10は、不正端末が通信するネットワーク構成の例を示す図である。図7で説明したネットワーク構成において、不正端末230が通信を開始するために送信したパケット31の応答のパケット32をネットワーク装置100がポート103で受信した状態である。 FIG. 10 is a diagram showing an example of a network configuration in which an unauthorized terminal communicates. In the network configuration described with reference to FIG. 7, the network device 100 receives the packet 32 in response to the packet 31 transmitted by the unauthorized terminal 230 to start communication on the port 103.

ここで、パケット31はARPパケットであり、パケット32はARPの応答のパケットであることが一般的であるが、ARPに関するパケット以外のパケットであってもよい。 Here, the packet 31 is generally an ARP packet, and the packet 32 is generally a packet for an ARP response, but it may be a packet other than a packet related to ARP.

ネットワーク装置100はパケット32を受信すると、MAC重複検知部3000により、パケット32の宛先MACアドレスで、不正端末管理テーブル5300のMACアドレス5310に登録されたMACアドレスが検索される。 When the network device 100 receives the packet 32, the MAC duplication detection unit 3000 searches for the MAC address registered in the MAC address 5310 of the unauthorized terminal management table 5300 with the destination MAC address of the packet 32.

パケット32の宛先MACアドレスは不正端末230のMACアドレスである「M210」であるが、正常端末210のMACアドレスである「M210」と同一のMACアドレスである場合、図9に示すようにMACアドレス5310の「M210」に対応する変換MACアドレス5320に2個が登録されていることを検知する(登録数5330の「2」を検知してもよい)。 The destination MAC address of the packet 32 is "M210" which is the MAC address of the unauthorized terminal 230, but when it is the same MAC address as the MAC address "M210" of the normal terminal 210, the MAC address is as shown in FIG. It is detected that two are registered in the conversion MAC address 5320 corresponding to the "M210" of the 5310 (the "2" of the registered number 5330 may be detected).

ネットワーク装置100は、不正端末管理テーブル5300のMACアドレス5310の1個に対応する変換MACアドレス5320が複数個登録されていることを検知すると、不正端末が接続されている可能性があるため、変換後MACアドレス「M210a」と「M210b」が不正端末の可能性がある端末とする処理を実行する。 When the network device 100 detects that a plurality of converted MAC addresses 5320 corresponding to one of the MAC addresses 5310 in the unauthorized terminal management table 5300 are registered, the unauthorized terminal may be connected, so conversion is performed. After that, the MAC addresses "M210a" and "M210b" are processed as terminals that may be unauthorized terminals.

不正端末の可能性がある端末とする処理として、ネットワーク装置100は、パケット32を破棄する。図10では図示を省略したが、この処理を開始した時点以降で、正常端末210を宛先とするパケット12をネットワーク装置が受信した場合、パケット12も破棄してもよい。 The network device 100 discards the packet 32 as a process of making the terminal a possibility of an unauthorized terminal. Although not shown in FIG. 10, if the network device receives the packet 12 destined for the normal terminal 210 after the time when this process is started, the packet 12 may also be discarded.

そして、ネットワーク装置100は、図8に示すFDBテーブル5200からMACアドレス5230が「M210a」と「M210b」に対応するポート番号の「P101」と「P102」を取得し、ポート状態制御部4000を用いてポート番号の「P101」と「P102」に対応するポート101とポート102を停止する。 Then, the network device 100 acquires the port numbers "P101" and "P102" whose MAC addresses 5230 correspond to "M210a" and "M210b" from the FDB table 5200 shown in FIG. 8, and uses the port state control unit 4000. The port 101 and the port 102 corresponding to the port numbers "P101" and "P102" are stopped.

図11は、停止後のネットワーク構成の例を示す図である。図10を用いて説明したネットワーク構成において、ポート101とポート102を停止した後の状態である。ポート101とポート102の停止により、物理的には接続されているものの、回線501と回線502がリンクダウンし、正常端末210と不正端末230がネットワークから遮断される。 FIG. 11 is a diagram showing an example of the network configuration after the stoppage. In the network configuration described with reference to FIG. 10, it is a state after the port 101 and the port 102 are stopped. Due to the suspension of port 101 and port 102, although physically connected, the line 501 and the line 502 are linked down, and the normal terminal 210 and the unauthorized terminal 230 are cut off from the network.

この結果、停止後は不正端末230から一切パケットを受信することなく、不正端末230をネットワークから遮断できる。 As a result, after the stop, the unauthorized terminal 230 can be blocked from the network without receiving any packet from the unauthorized terminal 230.

以上の説明では、パケット32の宛先MACアドレスに基づいて不正端末230をネットワークから遮断したが、パケット31をネットワーク装置100が受信したときの動作で不正端末230をネットワークから遮断してもよい。 In the above description, the unauthorized terminal 230 is blocked from the network based on the destination MAC address of the packet 32, but the unauthorized terminal 230 may be blocked from the network by the operation when the network device 100 receives the packet 31.

例えば、FDB用MACアドレス生成部1000は、パケット31に対して、不正端末管理テーブル5300の変換MACアドレス5320へ「M210b」を登録して、登録数5330を「2」にし、MAC重複検知部3000は、この登録数5330が「2」となる登録を検知し、ポート状態制御部4000を用いてポート101とポート102を停止してもよい。 For example, the FDB MAC address generation unit 1000 registers "M210b" in the conversion MAC address 5320 of the unauthorized terminal management table 5300 for the packet 31, sets the registration number 5330 to "2", and sets the registration number 5330 to "2", and the MAC duplication detection unit 3000. May detect the registration in which the number of registrations 5330 is "2" and stop the port 101 and the port 102 by using the port state control unit 4000.

以上で説明したように、不正端末が正常端末のMACアドレスと同じMACアドレスになりすましても、ポートに依存して変換されたMACアドレスを用いるため、正常端末へのパケットの転送路が、不正端末の方へ変更されることはない。 As explained above, even if the malicious terminal impersonates the same MAC address as the MAC address of the normal terminal, the MAC address converted depending on the port is used, so the packet transfer path to the normal terminal is the illegal terminal. It will not be changed to.

また、不正端末へのパケットを検出すると、ポートを停止するため、この停止によっても、不正端末へパケットが届くことはない。さらに、このような不正端末監視装置としての機能を、一般的なネットワーク装置への付加機能として実現することも可能である。 Further, when a packet to an unauthorized terminal is detected, the port is stopped, so that the packet does not reach the unauthorized terminal even by this stop. Further, it is possible to realize such a function as an unauthorized terminal monitoring device as an additional function to a general network device.

11 正常端末からのパケット
12 正常端末宛のパケット
31 不正端末からのパケット
32 不正端末宛のパケット
100 ネットワーク装置
210 正常端末
230 不正端末
300 サーバ端末 11 Packets from normal terminals 12 Packets destined for normal terminals 31 Packets from fraudulent terminals 32 Packets destined for fraudulent terminals 100 Network equipment 210 Normal terminals 230 Unauthorized terminals 300 Server terminals

Claims (8)

複数のポートを有し、前記複数のポート間でパケットを中継するネットワーク装置であって、
前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第のMACアドレスに変換する生成部と、
前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
前記第のMACアドレスあるいは前記第のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
前記検知部は、
前記管理テーブルにおいて、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
を備えたことを特徴とするネットワーク装置。 A network device having a plurality of ports and relaying packets between the plurality of ports.
The MAC address of the source of the packet received on the first port among the plurality of ports is converted into the first MAC address depending on the first port, and the second among the plurality of ports. A generator that converts the MAC address of the source of the packet received on the port into the second MAC address that depends on the second port, and
Information that associates the MAC address of the source of the packet received in the first port with the first MAC address converted by the generator, and the MAC of the source of the packet received in the second port. A management table that stores information that associates the address with the second MAC address converted by the generator.
The MAC address of the destination of the packet received by any of the plurality of ports is searched in the management table, and the first MAC address or the second MAC address associated with the MAC address of the destination of the received packet is searched. A detector that identifies the MAC address and converts it to the identified first MAC address or the second MAC address .
It has a transfer control unit that identifies a transmission port of a received packet from the plurality of ports based on the first MAC address or the second MAC address.
The detector is
In the management table, it is detected that the first MAC address and the second MAC address are associated with the MAC address of the destination of the packet received on any of the plurality of ports, and the first MAC address is detected. A network device comprising controlling one port and the second port to be stopped. 複数のポートを有し、前記複数のポート間でパケットを中継するネットワーク装置であって、
前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第のMACアドレスに変換する生成部と、
前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
前記第のMACアドレスあるいは前記第のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
前記検知部は、
前記管理テーブルにおいて、同一のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
を備えたことを特徴とするネットワーク装置。 A network device having a plurality of ports and relaying packets between the plurality of ports.
The MAC address of the source of the packet received on the first port among the plurality of ports is converted into the first MAC address depending on the first port, and the second among the plurality of ports. A generator that converts the MAC address of the source of the packet received on the port into the second MAC address that depends on the second port, and
Information that associates the MAC address of the source of the packet received in the first port with the first MAC address converted by the generator, and the MAC of the source of the packet received in the second port. A management table that stores information that associates the address with the second MAC address converted by the generator.
The MAC address of the destination of the packet received by any of the plurality of ports is searched in the management table, and the first MAC address or the second MAC address associated with the MAC address of the destination of the received packet is searched. A detector that identifies the MAC address and converts it to the identified first MAC address or the second MAC address .
It has a transfer control unit that identifies a transmission port of a received packet from the plurality of ports based on the first MAC address or the second MAC address.
The detector is
In the management table, it is detected that the first MAC address and the second MAC address are associated with the same MAC address, and control is performed to stop the first port and the second port. A network device characterized by being equipped with. 請求項1および2の何れかに記載のネットワーク装置であって、
前記第1のポートと前記生成部により変換された前記第のMACアドレスとを関連付ける情報、および前記第2のポートと前記生成部により変換された前記第のMACアドレスとを関連付ける情報が格納されるFDBテーブルをさらに備え、
前記転送制御部は、
前記検知部により変換された前記第のMACアドレスあるいは前記第のMACアドレスを、前記FDBテーブルで検索し、前記第のMACアドレスあるいは前記第のMACアドレスに関連付けられた前記第1のポートあるいは前記第2のポートを、受信したパケットの送信ポートとして特定すること
を特徴とするネットワーク装置。 The network device according to any one of claims 1 and 2.
Information that associates the first port with the first MAC address converted by the generator, and information relating the second port to the second MAC address converted by the generator is stored. Further equipped with FDB table to be
The transfer control unit
The first MAC address or the second MAC address converted by the detection unit is searched for in the FDB table, and the first MAC address associated with the first MAC address or the second MAC address is associated with the first MAC address. A network device characterized in that a port or the second port is specified as a transmission port of a received packet. 請求項1および2の何れかに記載のネットワーク装置であって、
前記検知部は、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第のMACアドレスあるいは前記第のMACアドレスを特定し、特定された前記第のMACアドレスあるいは前記第のMACアドレスに変換すること
を特徴とするネットワーク装置。 The network device according to any one of claims 1 and 2.
The detector is
The MAC address of the destination of the packet received by any of the plurality of ports is searched in the management table, and the first MAC address or the second MAC address associated with the MAC address of the destination of the received packet is searched. A network device characterized in that a MAC address is specified and converted into the specified first MAC address or the second MAC address. 請求項3に記載のネットワーク装置であって、
前記複数のポートのそれぞれに第1の状態と第2の状態が設定される構成テーブルをさらに備え、
前記生成部は、
前記構成テーブルにおいて前記第1のポートが前記第1の状態であると判定すると、前記第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第のMACアドレスに変換し、前記構成テーブルにおいて前記第2のポートが前記第1の状態であると判定すると、前記第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第のMACアドレスに変換し、前記構成テーブルにおいて前記複数のポートの中の第3のポートが前記第2の状態であると判定すると、変換をスキップし、
前記FDBテーブルは、
前記第1のポートと前記生成部により変換された前記第のMACアドレスとを関連付ける情報、前記第2のポートと前記生成部により変換された前記第のMACアドレスとを関連付ける情報、および前記第3のポートと前記第3のポートで受信したパケットの送信元のMACアドレスとを関連付ける情報が格納されること
を特徴とするネットワーク装置。 The network device according to claim 3.
A configuration table in which the first state and the second state are set for each of the plurality of ports is further provided.
The generator is
When it is determined in the configuration table that the first port is in the first state, the MAC address of the source of the packet received by the first port is the first MAC address depending on the first port. When it is determined in the configuration table that the second port is in the first state, the MAC address of the source of the packet received by the second port depends on the second port. When it is converted to the MAC address of 2 and it is determined in the configuration table that the third port among the plurality of ports is in the second state, the conversion is skipped.
The FDB table is
Information relating the first port to the first MAC address converted by the generation unit, information relating the second port to the second MAC address converted by the generation unit, and the above. A network device characterized in that information relating to a third port and a MAC address of a source of a packet received in the third port is stored. 請求項4に記載のネットワーク装置であって、
前記検知部は、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスが、前記第のMACアドレス及び前記第のMACアドレスに関連付けて前記管理テーブルに格納される第のMACアドレスであることを検知して、受信したパケットを破棄すること
を特徴とするネットワーク装置。 The network device according to claim 4.
The detector is
The MAC address of the destination of the packet received on any of the plurality of ports is the third MAC address stored in the management table in association with the first MAC address and the second MAC address. A network device characterized in that it detects that and discards the received packet. 請求項6に記載のネットワーク装置であって、
前記第1のポートと前記第2のポートで送信元が前記第のMACアドレスのARPパケットを受信し、前記複数のポートのいずれかのポートで宛先が前記第のMACアドレスのARPの応答のパケットを受信すること
を特徴とするネットワーク装置。 The network device according to claim 6.
The source receives the ARP packet of the third MAC address on the first port and the second port, and the destination is the ARP response of the third MAC address on any of the plurality of ports. A network device characterized by receiving a packet of. サーバと複数の端末がネットワーク装置に接続され、パケットで通信されるネットワークシステムであって、
前記複数の端末の中の第1の端末は、
前記第1の端末のMACアドレスを送信元のMACアドレスとするパケットを、前記ネットワーク装置の第1のポートへ送信し、
前記複数の端末の中の第2の端末は、
前記第2の端末のMACアドレスを送信元のMACアドレスとするパケットを、前記ネットワーク装置の第2のポートへ送信し、
前記サーバは、
前記第1の端末のMACアドレスあるいは前記第2の端末のMACアドレスを宛先のMACアドレスとするパケットを、前記ネットワーク装置の第3のポートへ送信し、
前記ネットワーク装置は、
前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換する生成部と、
前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
前記第1のMACアドレスあるいは前記第2のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
前記検知部は、
前記管理テーブルにおいて、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
を特徴とするネットワークシステム。 A network system in which a server and multiple terminals are connected to a network device and communicated by packets.
The first terminal among the plurality of terminals is
A packet having the MAC address of the first terminal as the source MAC address is transmitted to the first port of the network device.
The second terminal among the plurality of terminals is
A packet having the MAC address of the second terminal as the source MAC address is transmitted to the second port of the network device.
The server
A packet having the MAC address of the first terminal or the MAC address of the second terminal as the destination MAC address is transmitted to the third port of the network device.
The network device is
The MAC address of the source of the packet received by the first port among the plurality of ports is converted into the first MAC address depending on the first port, and the second port among the plurality of ports is converted. A generator that converts the MAC address of the source of the packet received in step 1 to the second MAC address that depends on the second port.
Information that associates the MAC address of the source of the packet received in the first port with the first MAC address converted by the generator, and the MAC of the source of the packet received in the second port. A management table that stores information that associates the address with the second MAC address converted by the generator.
The MAC address of the destination of the packet received by any of the plurality of ports is searched in the management table, and the first MAC address or the second MAC address associated with the MAC address of the destination of the received packet is searched. A detector that identifies the MAC address and converts it to the identified first MAC address or the second MAC address .
It has a transfer control unit that identifies a transmission port of a received packet from the plurality of ports based on the first MAC address or the second MAC address .
The detector is
In the management table, it is detected that the first MAC address and the second MAC address are associated with the MAC address of the destination of the packet received on any of the plurality of ports, and the first MAC address is detected. A network system characterized in that one port and the second port are controlled to be stopped.
JP2017235921A 2017-12-08 2017-12-08 Network equipment and network systems Active JP7042069B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017235921A JP7042069B2 (en) 2017-12-08 2017-12-08 Network equipment and network systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017235921A JP7042069B2 (en) 2017-12-08 2017-12-08 Network equipment and network systems

Publications (2)

Publication Number Publication Date
JP2019103103A JP2019103103A (en) 2019-06-24
JP7042069B2 true JP7042069B2 (en) 2022-03-25

Family

ID=66977253

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017235921A Active JP7042069B2 (en) 2017-12-08 2017-12-08 Network equipment and network systems

Country Status (1)

Country Link
JP (1) JP7042069B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7491772B2 (en) * 2020-08-19 2024-05-28 アズビル株式会社 NETWORK DEVICE AND NETWORK CONFIGURATION DETECTION METHOD

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008153905A (en) 2006-12-18 2008-07-03 Fujitsu Ltd Network relay program, network relay device, communication system and network relay method
JP2009065303A (en) 2007-09-05 2009-03-26 Nec Corp Network unit, network management system, and mac address duplication detecting method used for them

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008153905A (en) 2006-12-18 2008-07-03 Fujitsu Ltd Network relay program, network relay device, communication system and network relay method
JP2009065303A (en) 2007-09-05 2009-03-26 Nec Corp Network unit, network management system, and mac address duplication detecting method used for them

Also Published As

Publication number Publication date
JP2019103103A (en) 2019-06-24

Similar Documents

Publication Publication Date Title
US9118716B2 (en) Computer system, controller and network monitoring method
US10212160B2 (en) Preserving an authentication state by maintaining a virtual local area network (VLAN) association
JP5062967B2 (en) Network access control method and system
US7552478B2 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
US9154509B2 (en) Intelligent electric device and network system including the device
JP2007036374A (en) Packet transfer apparatus, communication network, and packet transfer method
JP2007006054A (en) Packet repeater and packet repeating system
EP2127309A2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network
CN107241313B (en) Method and device for preventing MAC flooding attack
JP5134141B2 (en) Unauthorized access blocking control method
JP2008054204A (en) Connection device, terminal device, and data confirmation program
KR101064382B1 (en) Arp attack blocking system in communication network and method thereof
JP2015035724A (en) Network control device
JP7042069B2 (en) Network equipment and network systems
EP3499808B1 (en) Network device and controlling method thereof applicable for mesh networks
CN109428884B (en) Communication protection device, control method, and recording medium
JP4020134B2 (en) Switching hub device, router device
JP2019041369A (en) Communication protection device, control method, and program
JP2006067057A (en) NETWORK EQUIPMENT, Radius CLIENT, WIRED LAN AUTHENTICATION SYSTEM, AUTHENTICATION PACKET TRANSMISSION METHOD, CONTROL PROGRAM, RECORDING MEDIUM, AND SUPPLICANT
JP2018064228A (en) Packet controller
JP2018196100A (en) Virtual exchange system
US20190028436A1 (en) Apparatus and method for forwarding of data packets
JP6568495B2 (en) Unauthorized access prevention apparatus and method
JP7474554B2 (en) Equipment monitoring method, equipment monitoring device, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200423

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220314

R150 Certificate of patent or registration of utility model

Ref document number: 7042069

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150