JPH06104900A - Lan間接続方法 - Google Patents
Lan間接続方法Info
- Publication number
- JPH06104900A JPH06104900A JP4252581A JP25258192A JPH06104900A JP H06104900 A JPH06104900 A JP H06104900A JP 4252581 A JP4252581 A JP 4252581A JP 25258192 A JP25258192 A JP 25258192A JP H06104900 A JPH06104900 A JP H06104900A
- Authority
- JP
- Japan
- Prior art keywords
- lan
- terminal device
- data
- address
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【目的】 LANシステムを管理する場合でも、特定の
端末装置にのみアクセスし、他の端末装置にはアクセス
を禁止できるセキュリティ機能を実現する、高度なデー
タのフィルタができる優れたLAN間接続方法を提供す
ることを目的とする。 【構成】 データを到達すべき端末装置の宛先アドレス
11とデータを送出する端末装置の送信元アドレス12
とを登録するフィルタリングテーブルを設け、任意の端
末装置からの接続要求に対して前記フィルタリングテー
ブルに登録された端末装置間にのみ接続を許可し、デー
タの伝送を行う。
端末装置にのみアクセスし、他の端末装置にはアクセス
を禁止できるセキュリティ機能を実現する、高度なデー
タのフィルタができる優れたLAN間接続方法を提供す
ることを目的とする。 【構成】 データを到達すべき端末装置の宛先アドレス
11とデータを送出する端末装置の送信元アドレス12
とを登録するフィルタリングテーブルを設け、任意の端
末装置からの接続要求に対して前記フィルタリングテー
ブルに登録された端末装置間にのみ接続を許可し、デー
タの伝送を行う。
Description
【0001】
【産業上の利用分野】本発明はコンピュータネットワ−
クに利用するLAN間接続方法に関する。
クに利用するLAN間接続方法に関する。
【0002】
【従来の技術】図2は複数のLAN間を接続してデータ
伝送を行うシステムの構成を示すものである。図2にお
いて、31はデータ伝送に光ファイバーを使用したFD
DI−LANのバックボーンLAN(以下、単にバック
ボーンという)であり、32,33は複数の異なるLA
Nをバックボーン31に接続するLAN間接続装置であ
る。このLAN間接続装置32,33は、物理層とデー
タリンク層が異なる複数のLANを、共通のネットワー
ク層(第3層)で相互接続する。34はFDDI−LA
Nに接続されている共通データベースである。35,3
6はLANを構成するイーサネットである。イーサネッ
ト35及び36には、端末装置37A,37B及び38
A,38B、並びに、図には示してない他の端末装置が
接続されている。
伝送を行うシステムの構成を示すものである。図2にお
いて、31はデータ伝送に光ファイバーを使用したFD
DI−LANのバックボーンLAN(以下、単にバック
ボーンという)であり、32,33は複数の異なるLA
Nをバックボーン31に接続するLAN間接続装置であ
る。このLAN間接続装置32,33は、物理層とデー
タリンク層が異なる複数のLANを、共通のネットワー
ク層(第3層)で相互接続する。34はFDDI−LA
Nに接続されている共通データベースである。35,3
6はLANを構成するイーサネットである。イーサネッ
ト35及び36には、端末装置37A,37B及び38
A,38B、並びに、図には示してない他の端末装置が
接続されている。
【0003】図2のようなシステムにおいて、異なるL
ANに接続された端末装置間でデータの伝送を行う場
合、自由にデータ伝送を行うわけではなく、IP(イン
ターネットプロトコル)に基づいて、データの透過又は
遮断を制御するフィルタリングを行うLAN間接続方法
が用いられていた。
ANに接続された端末装置間でデータの伝送を行う場
合、自由にデータ伝送を行うわけではなく、IP(イン
ターネットプロトコル)に基づいて、データの透過又は
遮断を制御するフィルタリングを行うLAN間接続方法
が用いられていた。
【0004】従来のLAN間接続方法においてフィルタ
リングを行う場合に、IPが本来保持しているルーティ
ングテーブルをルーティングプロトコルを通して、もし
くは、ルーティングプロトコルのコンフィグレーション
を変更して、間接的にルーティングテーブルを書き換え
るか、あるいは、ルーティングプロトコルを使用せずに
直接、ルーティングテーブルを書き換えるというもので
あった。図3はルーティングテーブルを示すもので、1
は宛先IPアドレスであり、2は送信元IPアドレスで
ある。このIPアドレスは、A,B,Cの3つのクラス
を示すビットの他、上位のネットワークアドレス、及
び、下位のホストアドレスで構成されている。
リングを行う場合に、IPが本来保持しているルーティ
ングテーブルをルーティングプロトコルを通して、もし
くは、ルーティングプロトコルのコンフィグレーション
を変更して、間接的にルーティングテーブルを書き換え
るか、あるいは、ルーティングプロトコルを使用せずに
直接、ルーティングテーブルを書き換えるというもので
あった。図3はルーティングテーブルを示すもので、1
は宛先IPアドレスであり、2は送信元IPアドレスで
ある。このIPアドレスは、A,B,Cの3つのクラス
を示すビットの他、上位のネットワークアドレス、及
び、下位のホストアドレスで構成されている。
【0005】次に上記従来例の動作について説明する。
いま、端末装置37Aから端末装置38BにIPデータ
を伝送する場合を想定する。まず、端末装置37Aから
IPデータがLAN間接続装置32に到達すると、LA
N間接続装置32は、IPデータを送信する宛先を、図
3の宛先IPアドレスを参照して検索する。そしてホス
トアドレスが同じイーサネット35にあれば、そのIP
データを廃棄する。この場合、ホストアドレスの示す端
末装置38Bはイーサネット35にないので、端末装置
38Bが接続されたLAN(イーサネットに限らない)
をネットワークアドレスにより検索する。次に、をが存
在するかどうかを、図3の宛先IPアドレスの欄につい
て検索する。この場合、データを伝送すべき端末装置2
8Bが接続されたネットワークはイーサネット36であ
るので、イーサネット36に接続されているLAN間接
続装置33を宛先IPアドレスとして、IPデータを伝
送する。これを受信したLAN間接続装置33は、宛先
IPアドレスのホストアドレスが示す端末装置38Bに
IPデータを伝送する。
いま、端末装置37Aから端末装置38BにIPデータ
を伝送する場合を想定する。まず、端末装置37Aから
IPデータがLAN間接続装置32に到達すると、LA
N間接続装置32は、IPデータを送信する宛先を、図
3の宛先IPアドレスを参照して検索する。そしてホス
トアドレスが同じイーサネット35にあれば、そのIP
データを廃棄する。この場合、ホストアドレスの示す端
末装置38Bはイーサネット35にないので、端末装置
38Bが接続されたLAN(イーサネットに限らない)
をネットワークアドレスにより検索する。次に、をが存
在するかどうかを、図3の宛先IPアドレスの欄につい
て検索する。この場合、データを伝送すべき端末装置2
8Bが接続されたネットワークはイーサネット36であ
るので、イーサネット36に接続されているLAN間接
続装置33を宛先IPアドレスとして、IPデータを伝
送する。これを受信したLAN間接続装置33は、宛先
IPアドレスのホストアドレスが示す端末装置38Bに
IPデータを伝送する。
【0006】LAN間接続装置32又は33において、
ルーティングテーブルを参照した結果、一致するIPア
ドレスがエントリされていない場合には、そのデータは
廃棄される。このように、上記従来のLAN間接続方法
においてもIPデータのフィルタリングが実現されてい
た。
ルーティングテーブルを参照した結果、一致するIPア
ドレスがエントリされていない場合には、そのデータは
廃棄される。このように、上記従来のLAN間接続方法
においてもIPデータのフィルタリングが実現されてい
た。
【0007】
【発明が解決しようとする課題】しかしながら、上記従
来のLAN間接続方法においては、IPの本来もつルー
ティングテーブルに依存したフィルタ機能を用いている
ので、パスワード等のステーションレベルすなわちレイ
ヤ2レベルでのセキュリティは可能であったが、レイヤ
3レベルでのセキュリティとしては不十分であった。従
って、1つのビル内に複数のテナントがそれぞれLAN
を構築している場合には、そのビル全体のLANシステ
ムの管理者は、管理する全てのLANに接続された端末
装置のアドレスを有するルーティングテーブルをもって
いる。従って、管理者は全ての端末装置に自由にアクセ
スすることができた。そのため、データの盗難やハッカ
ーの侵入を防止することができず、完全なセキュリティ
を実現するには不十分であるという問題があった。
来のLAN間接続方法においては、IPの本来もつルー
ティングテーブルに依存したフィルタ機能を用いている
ので、パスワード等のステーションレベルすなわちレイ
ヤ2レベルでのセキュリティは可能であったが、レイヤ
3レベルでのセキュリティとしては不十分であった。従
って、1つのビル内に複数のテナントがそれぞれLAN
を構築している場合には、そのビル全体のLANシステ
ムの管理者は、管理する全てのLANに接続された端末
装置のアドレスを有するルーティングテーブルをもって
いる。従って、管理者は全ての端末装置に自由にアクセ
スすることができた。そのため、データの盗難やハッカ
ーの侵入を防止することができず、完全なセキュリティ
を実現するには不十分であるという問題があった。
【0008】本発明はこのような従来の問題を解決する
ものであり、LANシステムを管理する場合でも、特定
の端末装置にのみアクセスし、他の端末装置にはアクセ
スを禁止できるセキュリティ機能を実現する、高度なデ
ータのフィルタができる優れたLAN間接続方法を提供
することを目的とするものである。
ものであり、LANシステムを管理する場合でも、特定
の端末装置にのみアクセスし、他の端末装置にはアクセ
スを禁止できるセキュリティ機能を実現する、高度なデ
ータのフィルタができる優れたLAN間接続方法を提供
することを目的とするものである。
【0009】
【課題を解決するための手段】本発明は上記目的を達成
するために、データを到達すべき端末装置の宛先アドレ
スとデータを送出する端末装置の送信元アドレスとを登
録するフィルタリングテーブルを設け、任意の端末装置
からの接続要求に対して前記フィルタリングテーブルに
登録された端末装置間にのみ接続を許可し、データの伝
送を行う。
するために、データを到達すべき端末装置の宛先アドレ
スとデータを送出する端末装置の送信元アドレスとを登
録するフィルタリングテーブルを設け、任意の端末装置
からの接続要求に対して前記フィルタリングテーブルに
登録された端末装置間にのみ接続を許可し、データの伝
送を行う。
【0010】また、データの伝送を禁止する端末装置の
IPアドレスを登録するフィルタリングテーブルを設
け、任意の端末装置からの接続要求に対して前記フィル
タリングテーブルを参照し、前記フィルタリングテーブ
ルに登録された端末装置への接続を禁止する。
IPアドレスを登録するフィルタリングテーブルを設
け、任意の端末装置からの接続要求に対して前記フィル
タリングテーブルを参照し、前記フィルタリングテーブ
ルに登録された端末装置への接続を禁止する。
【0011】
【作用】本発明は上記のような構成により、LAN間接
続装置を通過するデータがIPアドレスの組み合わせか
ら、宛先もしくは送信元のネットワークアドレスでフィ
ルタが掛けられるために高度なセキュリティ機能を実現
するネットワーク設計が可能になる。
続装置を通過するデータがIPアドレスの組み合わせか
ら、宛先もしくは送信元のネットワークアドレスでフィ
ルタが掛けられるために高度なセキュリティ機能を実現
するネットワーク設計が可能になる。
【0012】
【実施例】以下、本発明の実施例を図2に示す構成を援
用して説明する。
用して説明する。
【0013】本実施例において、共通データベース34
は、各イーサネット35及び36からアクセス可能にす
るが、他のイーサネットにアクセス可能な端末装置をイ
ーサネットごとに制限するような構成とする。例えば、
イーサネット35では、端末装置37Aに限り他のイー
サネットにアクセス可能とする。また、イーサネット3
6では、端末装置38Aに限り他のイーサネットにアク
セス可能とする。この場合には、LAN間接続装置32
に設けたフィルタリングテーブルにおいて、宛先アドレ
スを38Aとし、送信元アドレスを37Aとする。同様
に、LAN間接続装置33に設けたフィルタリングテー
ブルにおいて、宛先アドレスを37Aとし、送信元アド
レスを38Aとする。
は、各イーサネット35及び36からアクセス可能にす
るが、他のイーサネットにアクセス可能な端末装置をイ
ーサネットごとに制限するような構成とする。例えば、
イーサネット35では、端末装置37Aに限り他のイー
サネットにアクセス可能とする。また、イーサネット3
6では、端末装置38Aに限り他のイーサネットにアク
セス可能とする。この場合には、LAN間接続装置32
に設けたフィルタリングテーブルにおいて、宛先アドレ
スを38Aとし、送信元アドレスを37Aとする。同様
に、LAN間接続装置33に設けたフィルタリングテー
ブルにおいて、宛先アドレスを37Aとし、送信元アド
レスを38Aとする。
【0014】このようなエントリを行うことにより、例
えば、端末装置38Bから端末装置37Aにアクセスし
ても接続を行わない。また、送信元アドレスが端末装置
38A以外の端末装置場合にも、そのデータをフィルタ
リングすなわち遮断することができる。従って、このフ
ィルタリングテーブルによってアクセス可能な端末装置
を、例えば、トラヒックや課金情報等の管理データのみ
を格納する部門サーバとして、他の端末装置へはアクセ
スを禁止することができる。
えば、端末装置38Bから端末装置37Aにアクセスし
ても接続を行わない。また、送信元アドレスが端末装置
38A以外の端末装置場合にも、そのデータをフィルタ
リングすなわち遮断することができる。従って、このフ
ィルタリングテーブルによってアクセス可能な端末装置
を、例えば、トラヒックや課金情報等の管理データのみ
を格納する部門サーバとして、他の端末装置へはアクセ
スを禁止することができる。
【0015】このように上記実施例によれば、従来のル
ーティングテーブルによっては行えないレイヤ3レベル
でのフィルタリングが可能であり、データの盗難やハッ
カーの侵入を防止することができ、状況に応じたセキュ
リテイの要請に応えたネットワークの通信経路設計が可
能になるという効果を得ることができる。
ーティングテーブルによっては行えないレイヤ3レベル
でのフィルタリングが可能であり、データの盗難やハッ
カーの侵入を防止することができ、状況に応じたセキュ
リテイの要請に応えたネットワークの通信経路設計が可
能になるという効果を得ることができる。
【0016】なお、上記実施例においては、接続する端
末装置のアドレスをエントリするようにしたが、接続を
禁止する端末装置すなわちフィルタリングする端末装置
のアドレスをエントリすることにより、エントリした端
末装置以外のものに対して、データを伝送する構成とし
ても良い。
末装置のアドレスをエントリするようにしたが、接続を
禁止する端末装置すなわちフィルタリングする端末装置
のアドレスをエントリすることにより、エントリした端
末装置以外のものに対して、データを伝送する構成とし
ても良い。
【0017】
【発明の効果】本発明は上記実施例より明らかなよう
に、データを伝送する宛先アドレスと送信元アドレスを
エントリするフィルタリングテーブルを設けることによ
り、レイヤ3レベルのセキュリティが可能となり、デー
タの盗難やハッカーの侵入を防止でき、ウィルスの感染
をも防御できる優れたLAN間接続方法を実現する効果
が得られる。
に、データを伝送する宛先アドレスと送信元アドレスを
エントリするフィルタリングテーブルを設けることによ
り、レイヤ3レベルのセキュリティが可能となり、デー
タの盗難やハッカーの侵入を防止でき、ウィルスの感染
をも防御できる優れたLAN間接続方法を実現する効果
が得られる。
【図1】本発明のLAN間接続方法に用いるフィルタリ
ングテーブルの図
ングテーブルの図
【図2】複数のLAN間を接続するシステムの構成図
【図3】従来のLAN間接続方法に用いるルーティング
テーブルの図
テーブルの図
11 宛先アドレス 12 送信元アドレス
───────────────────────────────────────────────────── フロントページの続き (72)発明者 竹内 宏則 神奈川県横浜市港北区綱島東四丁目3番1 号 松下通信工業株式会社内 (72)発明者 森 孝志 神奈川県横浜市港北区綱島東四丁目3番1 号 松下通信工業株式会社内 (72)発明者 武佐 睦 神奈川県横浜市港北区綱島東四丁目3番1 号 松下通信工業株式会社内
Claims (2)
- 【請求項1】 それぞれ端末装置を接続する複数のLA
N間で、データ伝送の経路を決定する宛先IPアドレス
及び送信元IPアドレスを登録したルーティングテーブ
ルを参照して接続し、任意のLANに接続された端末装
置と他のLANに接続された端末装置との間でデータ伝
送を行うときのLAN間接続方法であって、データを到
達すべき端末装置の宛先アドレスとデータを送出する端
末装置の送信元アドレスとを登録するフィルタリングテ
ーブルを設け、任意の端末装置からの接続要求に対して
前記フィルタリングテーブルに登録された端末装置間に
のみ接続を許可し、データの伝送を行うことを特徴とす
るLAN間接続方法。 - 【請求項2】 それぞれ端末装置を接続する複数のLA
N間で、データ伝送の経路を決定する宛先IPアドレス
及び送信元IPアドレスを登録したルーティングテーブ
ルを参照して接続し、任意のLANに接続された端末装
置と他のLANに接続された端末装置との間でデータ伝
送を行うときのLAN間接続方法であって、データの伝
送を禁止する端末装置のIPアドレスを登録するフィル
タリングテーブルを設け、任意の端末装置からの接続要
求に対して前記フィルタリングテーブルを参照し、前記
フィルタリングテーブルに登録された端末装置への接続
を禁止することを特徴とするLAN間接続方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP4252581A JPH06104900A (ja) | 1992-09-22 | 1992-09-22 | Lan間接続方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP4252581A JPH06104900A (ja) | 1992-09-22 | 1992-09-22 | Lan間接続方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH06104900A true JPH06104900A (ja) | 1994-04-15 |
Family
ID=17239366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP4252581A Pending JPH06104900A (ja) | 1992-09-22 | 1992-09-22 | Lan間接続方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06104900A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000028700A1 (fr) * | 1998-11-05 | 2000-05-18 | Seiko Instruments Inc. | Systeme de reseau |
| JP2000197159A (ja) * | 1998-12-28 | 2000-07-14 | Sanyo Electric Co Ltd | 音響・映像コントロ―ルシステム |
| JP2001016664A (ja) * | 1999-06-28 | 2001-01-19 | Digital Electronics Corp | 制御用表示装置、および、そのプログラムが記録された記録媒体 |
| US6768738B1 (en) | 1998-10-05 | 2004-07-27 | Hitachi, Ltd. | Packet forwarding apparatus with a flow detection table |
| US9473622B2 (en) | 2005-12-07 | 2016-10-18 | Ricoh Company, Limited | Call control server |
-
1992
- 1992-09-22 JP JP4252581A patent/JPH06104900A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6768738B1 (en) | 1998-10-05 | 2004-07-27 | Hitachi, Ltd. | Packet forwarding apparatus with a flow detection table |
| US7408935B2 (en) | 1998-10-05 | 2008-08-05 | Hitachi, Ltd. | Packet forwarding apparatus with a flow detection table |
| WO2000028700A1 (fr) * | 1998-11-05 | 2000-05-18 | Seiko Instruments Inc. | Systeme de reseau |
| KR100679969B1 (ko) * | 1998-11-05 | 2007-02-08 | 에스아이아이 나노 테크놀로지 가부시키가이샤 | 네트워크 시스템 |
| JP2000197159A (ja) * | 1998-12-28 | 2000-07-14 | Sanyo Electric Co Ltd | 音響・映像コントロ―ルシステム |
| JP2001016664A (ja) * | 1999-06-28 | 2001-01-19 | Digital Electronics Corp | 制御用表示装置、および、そのプログラムが記録された記録媒体 |
| US9473622B2 (en) | 2005-12-07 | 2016-10-18 | Ricoh Company, Limited | Call control server |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE60109683T2 (de) | Verfahren zur Kommunikationseinschränkung auf der Basis von MAC-Adresspaaren | |
| US9407605B2 (en) | Routing a packet by a device | |
| US7624431B2 (en) | 802.1X authentication technique for shared media | |
| US6047325A (en) | Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks | |
| AU2002327757A1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device | |
| US20110010769A1 (en) | Preventing Spoofing | |
| JP2007500396A (ja) | 動的ネットワーク・ポリシー管理のシステムと方法 | |
| EP1571806A2 (en) | Network management method and network managing server | |
| CN100438427C (zh) | 网络控制方法和设备 | |
| US7225255B2 (en) | Method and system for controlling access to network resources using resource groups | |
| JPH06104900A (ja) | Lan間接続方法 | |
| Cisco | Configuring Network Security | |
| Cisco | Configuring Source-Route Bridging | |
| Cisco | M through R Commands | |
| Cisco | M through R Commands | |
| US20050216598A1 (en) | Network access system and associated methods | |
| KR102246290B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 방법, 장치 및 컴퓨터 프로그램 | |
| JPH08191326A (ja) | ネットワーク構成の認識方法 | |
| US20090180471A1 (en) | System and method for port mapping in a communications network switch | |
| Miyoshi et al. | Network-based single sign-on architecture for IP-VPN | |
| JPH05260052A (ja) | ネットワーク構成方式 | |
| Droste | Weighted communication in a security compound | |
| Terada1 et al. | User Access domain management system-ADAMS | |
| Murayama | User Access DomAin Management System-ADAMS |