JPH07170279A - Lanブリッジシステムにおけるユーザグループ 設定方式 - Google Patents
Lanブリッジシステムにおけるユーザグループ 設定方式Info
- Publication number
- JPH07170279A JPH07170279A JP5313316A JP31331693A JPH07170279A JP H07170279 A JPH07170279 A JP H07170279A JP 5313316 A JP5313316 A JP 5313316A JP 31331693 A JP31331693 A JP 31331693A JP H07170279 A JPH07170279 A JP H07170279A
- Authority
- JP
- Japan
- Prior art keywords
- lan
- group number
- packet
- group
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【目的】複数の支線LANに複数の独立したグループに
グループ化する場合にルータや複数の専用幹線バスを使
用することなく、グループ間の不要ポケットを完全に防
止できるLANブリッジシステムを提供する。 【構成】LANa1,LANan,LANb1,LAN
bmをそれぞれ収容するブリッジ回路12,13,1
4,15に、収容したLANそれぞれのグループ番号を
設定し、同一グループ内LAN間転送時基幹バス11へ
送信するパケットにこのグループ番号を付加し、基幹バ
スからの受信パケットをブリッジ回路が元来具備するフ
ィルタリング機能であるMACアドレスによるフィルタ
リングを行う前に、グループ番号によるフィルタリング
行うことにより、LANのMAC層における同報パケッ
トや異常パケット、あるいは不正に他のグループの端末
と通信しようとするパケットを、グループ番号が違うこ
とにより完全に防止できる。
グループ化する場合にルータや複数の専用幹線バスを使
用することなく、グループ間の不要ポケットを完全に防
止できるLANブリッジシステムを提供する。 【構成】LANa1,LANan,LANb1,LAN
bmをそれぞれ収容するブリッジ回路12,13,1
4,15に、収容したLANそれぞれのグループ番号を
設定し、同一グループ内LAN間転送時基幹バス11へ
送信するパケットにこのグループ番号を付加し、基幹バ
スからの受信パケットをブリッジ回路が元来具備するフ
ィルタリング機能であるMACアドレスによるフィルタ
リングを行う前に、グループ番号によるフィルタリング
行うことにより、LANのMAC層における同報パケッ
トや異常パケット、あるいは不正に他のグループの端末
と通信しようとするパケットを、グループ番号が違うこ
とにより完全に防止できる。
Description
【0001】
【産業上の利用分野】本発明はLANシステムにおける
ユーザグループの構成に関し、特にMACブリッジシス
テムにおけるユーザグループの構成方式に関する。
ユーザグループの構成に関し、特にMACブリッジシス
テムにおけるユーザグループの構成方式に関する。
【0002】
【従来の技術】従来のLANシステムは、アプリケーシ
ョンごとのグループや組織単位に独立したグループLA
Nを構成しており、他のグループとの通信はほとんど必
要としない場合が非常に多い。例えば、テナントビル等
では、個々に独立したグループLANがビルの共通基幹
LANに複数接続されている。一方、近年システム管理
の向上や一部の共通アプリケーションの利用等のため
に、複数の独立したグループLANを共通の基幹通信イ
ンフラ(LAN)に収容する要求が多くなっている。
ョンごとのグループや組織単位に独立したグループLA
Nを構成しており、他のグループとの通信はほとんど必
要としない場合が非常に多い。例えば、テナントビル等
では、個々に独立したグループLANがビルの共通基幹
LANに複数接続されている。一方、近年システム管理
の向上や一部の共通アプリケーションの利用等のため
に、複数の独立したグループLANを共通の基幹通信イ
ンフラ(LAN)に収容する要求が多くなっている。
【0003】このような場合、従来よく行われている構
成として、複数のLANをブリッジ装置を介して基幹L
ANに接続する方法がある。ここでブリッジ装置を介在
することでパケットのMACアドレスを識別し自収容L
AN宛のパケットは他LANへ通過せず、また、他LA
Nからのパケットは自収容LAN宛パケットしか自収容
LANへ通過させないブリッジ装置元来のMACアドレ
スフィルタリング機能により、簡易なユーザグループを
組むことができる。
成として、複数のLANをブリッジ装置を介して基幹L
ANに接続する方法がある。ここでブリッジ装置を介在
することでパケットのMACアドレスを識別し自収容L
AN宛のパケットは他LANへ通過せず、また、他LA
Nからのパケットは自収容LAN宛パケットしか自収容
LANへ通過させないブリッジ装置元来のMACアドレ
スフィルタリング機能により、簡易なユーザグループを
組むことができる。
【0004】しかし、もともとブリッジが識別を行うM
AC層アドレスには接続されている全ネットワークに同
報パケットを通過させる同報アドレスがあるために、関
係のない他のグループLAN(支線LAN)にまで必要
のないパケットが流出してしまい、また接続されている
ネットワーク内でアドレスは重複してはならないことが
前提であるため、全く関係のない他のグループLAN内
の端末と端末アドレスの重複が発生しただけでも正常な
通信ができなくなるなど、もともと物理的に独立したネ
ットワークで運用しているときには問題にならなかった
ことが.複数のグループLANが共通な基幹LANに接
続されることにより非常に大きな課題が発生している。
AC層アドレスには接続されている全ネットワークに同
報パケットを通過させる同報アドレスがあるために、関
係のない他のグループLAN(支線LAN)にまで必要
のないパケットが流出してしまい、また接続されている
ネットワーク内でアドレスは重複してはならないことが
前提であるため、全く関係のない他のグループLAN内
の端末と端末アドレスの重複が発生しただけでも正常な
通信ができなくなるなど、もともと物理的に独立したネ
ットワークで運用しているときには問題にならなかった
ことが.複数のグループLANが共通な基幹LANに接
続されることにより非常に大きな課題が発生している。
【0005】そのため、同報パケットやMACアドレス
の重複発生を含めてグループ間パケットのトラヒックを
防止するようにユーザグループを組むには、ネットワー
クアドレス等の上位アドレスを使用してフィルタリング
を行うルータ機能を導入している。ルータはMAC層の
上位層であるネットワーク層のアドレス、例えばIPア
ドレスでフィルタリングするので、MACアドレスが同
報アドレスであってもネットワークアドレスを識別して
必要のない他のグループLANへのパケットの流出を防
止している。また、基幹バスを複数準備しユーザグルー
プごとに基幹バスを完全に分離することによって、MA
CシステムのままMACアドレスの重複や同報パケット
の影響が他のグループLANへ出ないように防止してい
るものもある。
の重複発生を含めてグループ間パケットのトラヒックを
防止するようにユーザグループを組むには、ネットワー
クアドレス等の上位アドレスを使用してフィルタリング
を行うルータ機能を導入している。ルータはMAC層の
上位層であるネットワーク層のアドレス、例えばIPア
ドレスでフィルタリングするので、MACアドレスが同
報アドレスであってもネットワークアドレスを識別して
必要のない他のグループLANへのパケットの流出を防
止している。また、基幹バスを複数準備しユーザグルー
プごとに基幹バスを完全に分離することによって、MA
CシステムのままMACアドレスの重複や同報パケット
の影響が他のグループLANへ出ないように防止してい
るものもある。
【0006】
【発明が解決しようとする課題】このようにLANシス
テムにおいてユーザグループを構成するためにルータ機
能を導入すると、パケットのネットワークアドレスを識
別するために回路規模が増大し処理が複雑になるばかり
か、複数のプロトコルがある場合にはすべてのプロトコ
ルに対応する必要があり、大幅なコスト増が発生すると
共に性能が悪化するという欠点がある。更に、上位層に
よるネットワーク識別を行っても端末のネットワークア
ドレスの設定を誤ったり、不正に他グループのネットワ
ークアドレスが使用されると、グループ間のトラヒック
を完全に防止することができない欠点がある。
テムにおいてユーザグループを構成するためにルータ機
能を導入すると、パケットのネットワークアドレスを識
別するために回路規模が増大し処理が複雑になるばかり
か、複数のプロトコルがある場合にはすべてのプロトコ
ルに対応する必要があり、大幅なコスト増が発生すると
共に性能が悪化するという欠点がある。更に、上位層に
よるネットワーク識別を行っても端末のネットワークア
ドレスの設定を誤ったり、不正に他グループのネットワ
ークアドレスが使用されると、グループ間のトラヒック
を完全に防止することができない欠点がある。
【0007】また、基幹バスを複数用意してユーザグル
ープごとに基幹バスを分離する方式の場合は、基幹バス
の数でグループ数が制限されるため、グループ数を多く
必要とする場合に対応できないばかりか、高速性能の基
幹バス複数用意すると非常に高価になるという欠点があ
る。
ープごとに基幹バスを分離する方式の場合は、基幹バス
の数でグループ数が制限されるため、グループ数を多く
必要とする場合に対応できないばかりか、高速性能の基
幹バス複数用意すると非常に高価になるという欠点があ
る。
【0008】本発明の目的は、複数の支線LANを複数
の独立したグループにグループ化し、ルータや複数の専
用基幹バスを使用することなくグループ間の不要なパケ
ットを完全に防止することが可能なLANブリッジシス
テムを提供することにある。
の独立したグループにグループ化し、ルータや複数の専
用基幹バスを使用することなくグループ間の不要なパケ
ットを完全に防止することが可能なLANブリッジシス
テムを提供することにある。
【0009】
【課題を解決するための手段】本発明のLANブリッジ
システムにおけるユーザグループ設定方式は、複数の端
末が接続される複数の支線LANをLAN端末のMAC
アドレスによるパケットフィルタリング機能を有する複
数のブリッジ回路を介して基幹バスに接続すると共に、
複数の前記ブリッジ回路に個々に収容された複数の前記
支線LANを独立した複数のグループにグループ化し、
前記ブリッジ回路はそれぞれ収容する前記支線LANの
グループ番号を予め登録しておき、前記端末から同一グ
ループ内の他の前記支線LANへ送信するパケットにこ
の端末が属する前記支線LANの前記グループ番号を付
加して前記基幹バスへ送信し、前記幹線バスを介して受
信したパケットに付加されている前記グループ番号を識
別して登録してある前記グループ番号と照合し、一致し
たときのみこの受信したパケットを前記パケットアドレ
スフィルタリング機能を動作させ前記ブリッジ回路が収
容している前記支線LANへ送信する。
システムにおけるユーザグループ設定方式は、複数の端
末が接続される複数の支線LANをLAN端末のMAC
アドレスによるパケットフィルタリング機能を有する複
数のブリッジ回路を介して基幹バスに接続すると共に、
複数の前記ブリッジ回路に個々に収容された複数の前記
支線LANを独立した複数のグループにグループ化し、
前記ブリッジ回路はそれぞれ収容する前記支線LANの
グループ番号を予め登録しておき、前記端末から同一グ
ループ内の他の前記支線LANへ送信するパケットにこ
の端末が属する前記支線LANの前記グループ番号を付
加して前記基幹バスへ送信し、前記幹線バスを介して受
信したパケットに付加されている前記グループ番号を識
別して登録してある前記グループ番号と照合し、一致し
たときのみこの受信したパケットを前記パケットアドレ
スフィルタリング機能を動作させ前記ブリッジ回路が収
容している前記支線LANへ送信する。
【0010】また、前記ブリッジ回路は、個々の前記支
線LANと接続しパケットを送受信するLANインタフ
ェース部と、前記LANインタフェース部から受信した
前記送信パケットおよび前記基幹バスを介して同一グル
ープ内の他の前記支線LANから受信した前記受信パケ
ットの送信先端末MACアドレスと予め記憶してある前
記支線LANに接続された端末のMACアドレスとを照
合し、前記送信または受信パケットを通過させるMAC
アドレスフィルタ部と、収容する前記支線LANの前記
グループ番号を予め登録しておくグループ番号設定部
と、前記MACアドレスフィルタ部を通過した前記送信
パケットに前記グループ番号設定部に登録してある前記
グループ番号を付加し基幹バス送信部へ送信するグルー
プ番号付加部と、前記グループ番号が付加された前記送
信パケットを前記基幹バスへ送信する前記基幹バス送信
部と、前記基幹バス上に送信された前記送信パケットを
受信する基幹バス受信部と、前記基幹バス受信部が前記
基幹バスから受信した前記受信パケットに付加されてい
る前記グループ番号を抽出して前記グループ番号設定部
に登録してある前記グループ番号と照合し、一致したと
き前記受信パケットを前記MACアドレスフィルタ部へ
送信するグループ番号フィルタ部とを有する。
線LANと接続しパケットを送受信するLANインタフ
ェース部と、前記LANインタフェース部から受信した
前記送信パケットおよび前記基幹バスを介して同一グル
ープ内の他の前記支線LANから受信した前記受信パケ
ットの送信先端末MACアドレスと予め記憶してある前
記支線LANに接続された端末のMACアドレスとを照
合し、前記送信または受信パケットを通過させるMAC
アドレスフィルタ部と、収容する前記支線LANの前記
グループ番号を予め登録しておくグループ番号設定部
と、前記MACアドレスフィルタ部を通過した前記送信
パケットに前記グループ番号設定部に登録してある前記
グループ番号を付加し基幹バス送信部へ送信するグルー
プ番号付加部と、前記グループ番号が付加された前記送
信パケットを前記基幹バスへ送信する前記基幹バス送信
部と、前記基幹バス上に送信された前記送信パケットを
受信する基幹バス受信部と、前記基幹バス受信部が前記
基幹バスから受信した前記受信パケットに付加されてい
る前記グループ番号を抽出して前記グループ番号設定部
に登録してある前記グループ番号と照合し、一致したと
き前記受信パケットを前記MACアドレスフィルタ部へ
送信するグループ番号フィルタ部とを有する。
【0011】
【実施例】次に本発明について図面を参照して説明す
る。図1は本発明のLANブリッジシステムの一実施例
を示すブロック図である。図2は図1のブリッジ回路の
ブロック図である。図3は図1の基幹バス上のパケット
データ形式の一例を示す図である。
る。図1は本発明のLANブリッジシステムの一実施例
を示すブロック図である。図2は図1のブリッジ回路の
ブロック図である。図3は図1の基幹バス上のパケット
データ形式の一例を示す図である。
【0012】図1においてブリッジ回路12,13,1
4,15は、それぞれLANa1,LANan,LAN
b1,LANbmを収容し、かつ基幹バス11と接続し
ており、各ブリッジ回路間のパケット伝送は、この基幹
バス11を介して行われる。LANa1,LANanは
同一のLANユーザグループAに、またLANb1,L
ANbmは同一のLANユーザグループBにそれぞれグ
ルーピングされており、各LANグループA,Bは、例
えばテナントサービスのように完全に分離されたグルー
プであり直接通信の必要がないものとする。ここで基幹
バス11は、十分高速な伝送容量を有しており、また、
この基幹バス11への送信は、基幹バスアービダ装置1
0により送信権制御が行われ衝突防止の制御が行われて
いるものとする。
4,15は、それぞれLANa1,LANan,LAN
b1,LANbmを収容し、かつ基幹バス11と接続し
ており、各ブリッジ回路間のパケット伝送は、この基幹
バス11を介して行われる。LANa1,LANanは
同一のLANユーザグループAに、またLANb1,L
ANbmは同一のLANユーザグループBにそれぞれグ
ルーピングされており、各LANグループA,Bは、例
えばテナントサービスのように完全に分離されたグルー
プであり直接通信の必要がないものとする。ここで基幹
バス11は、十分高速な伝送容量を有しており、また、
この基幹バス11への送信は、基幹バスアービダ装置1
0により送信権制御が行われ衝突防止の制御が行われて
いるものとする。
【0013】各ブリッジ回路12,13,14,15
は、それぞれ自収容LANに接続された端末のMACア
ドレスを所定の方法、例えばアドレス学習方式等で認識
し記憶しており、また自収容LAN上のパケットを常時
受信してそのパケットの送信先端末MACアドレス(D
A)を抽出し、記憶してある自収容LAN上の端末のM
ACアドレスと比較し、自収容LAN内の端末宛パケッ
ト以外であれば基幹バス11へ送信し、また基幹バス1
1上のパケットを常時受信してそのパケットの送信先端
末MACアドレス(DA)と記憶してある端末MACア
ドレスを比較照合し、自収容LAN上の端末宛のパケッ
トのみを自収容LANへ通過させる従来のMACアドレ
スのフィルタリング機能のほかに次のようなグループ番
号によるフィルタリング機能を有している。
は、それぞれ自収容LANに接続された端末のMACア
ドレスを所定の方法、例えばアドレス学習方式等で認識
し記憶しており、また自収容LAN上のパケットを常時
受信してそのパケットの送信先端末MACアドレス(D
A)を抽出し、記憶してある自収容LAN上の端末のM
ACアドレスと比較し、自収容LAN内の端末宛パケッ
ト以外であれば基幹バス11へ送信し、また基幹バス1
1上のパケットを常時受信してそのパケットの送信先端
末MACアドレス(DA)と記憶してある端末MACア
ドレスを比較照合し、自収容LAN上の端末宛のパケッ
トのみを自収容LANへ通過させる従来のMACアドレ
スのフィルタリング機能のほかに次のようなグループ番
号によるフィルタリング機能を有している。
【0014】次に本発明の特徴であるブリッジ回路の動
作について説明する。例えば、ブリッジ回路12のLA
Nインタフェース部20は、インタフェース線101を
介して収容LANa1と直接接続してLANa1上のパ
ケットを受信すると共に、同一グループの他のLANで
あるLANanから基幹バス11を介して受信したLA
Na1へのパケットを送信する機能を有している。LA
Na1上に流れる送信パケットは常時LANインタフェ
ース部20を介してMACアドレスフィルタ部21で受
信され、上述した従来のフィルタリング機能により、受
信した送信パケットの送信先端末MACアドレスと記憶
してある自収容LAN上の端末MACアドレスとを比較
照合してフィルタリングを行い、LANa1宛のパケッ
トは廃棄しLANa1宛以外のパケットのみを通過させ
る。この比較照合時に参照する自収容LANa1上の端
末MACアドレスは、例えばアドレス学習法で送信元端
末MACアドレス抽出して記憶しておく。また、各ブリ
ッジ回路12,13,14,15は、自収容LANが属
するユーザグループ番号をシステム構築時にグループ番
号設定部22に登録しておく。したがってブリッジ回路
12はユーザグループAのグループ番号を登録すること
になる。
作について説明する。例えば、ブリッジ回路12のLA
Nインタフェース部20は、インタフェース線101を
介して収容LANa1と直接接続してLANa1上のパ
ケットを受信すると共に、同一グループの他のLANで
あるLANanから基幹バス11を介して受信したLA
Na1へのパケットを送信する機能を有している。LA
Na1上に流れる送信パケットは常時LANインタフェ
ース部20を介してMACアドレスフィルタ部21で受
信され、上述した従来のフィルタリング機能により、受
信した送信パケットの送信先端末MACアドレスと記憶
してある自収容LAN上の端末MACアドレスとを比較
照合してフィルタリングを行い、LANa1宛のパケッ
トは廃棄しLANa1宛以外のパケットのみを通過させ
る。この比較照合時に参照する自収容LANa1上の端
末MACアドレスは、例えばアドレス学習法で送信元端
末MACアドレス抽出して記憶しておく。また、各ブリ
ッジ回路12,13,14,15は、自収容LANが属
するユーザグループ番号をシステム構築時にグループ番
号設定部22に登録しておく。したがってブリッジ回路
12はユーザグループAのグループ番号を登録すること
になる。
【0015】MACブリッジフィルタ部21を通過した
例えばLANan宛の送信パケットは、グループ番号付
加部23に入力され、ここでグループ番号設定部22に
登録されているユーザグループ番号が付加されて基幹バ
ス送信部24へ送られる。基幹バス送信部24は、イン
タフェース線102を介して基幹バスアービダ装置10
へ送信要求を行い、基幹バスアービダ装置10から送信
許可を受けたときユーザグループ番号が付加された送信
パケットを基幹バス11へ送信する。なお、このグルー
プ番号の付加方法はどのような方法でもよいが、ここで
は例えば図3に示すように送信パケットの先頭に付加す
るパケット形式とする。
例えばLANan宛の送信パケットは、グループ番号付
加部23に入力され、ここでグループ番号設定部22に
登録されているユーザグループ番号が付加されて基幹バ
ス送信部24へ送られる。基幹バス送信部24は、イン
タフェース線102を介して基幹バスアービダ装置10
へ送信要求を行い、基幹バスアービダ装置10から送信
許可を受けたときユーザグループ番号が付加された送信
パケットを基幹バス11へ送信する。なお、このグルー
プ番号の付加方法はどのような方法でもよいが、ここで
は例えば図3に示すように送信パケットの先頭に付加す
るパケット形式とする。
【0016】基幹バス上に送出された送信パケットはす
べてのブリッジ回路内の基幹バス受信部25を介してす
べてのブリッジ回路で常時受信され、グループ番号フィ
ルタ部26へ送られる。グループ番号フィルタ部26で
は受信したパケットに付加されているユーザグループ番
号を抽出し、抽出した受信パケットのユーザグループ番
号とグループ番号設定部22に登録されている自ユーザ
グループ番号とを比較照合し一致したとき、この受信パ
ケットは自ユーザグループ内の端末からの受信パケット
であると判断し、MACアドレスフィルタ部21へ通過
させる。また比較照合の結果不一致のときは、受信パケ
ットが他のLANユーザグループ(ここではユーザグル
ープB)内の端末からの受信パケットであると判断しこ
こで破棄する。つまり、異なるユーザグループからのパ
ケットは、元来ブリッジ回路が具備するMACアドレス
フィルタリング機能(ここではMACアドレスフィルタ
部21)によることなく、グループ番号フィルタ部26
で無条件にガードされることになる。
べてのブリッジ回路内の基幹バス受信部25を介してす
べてのブリッジ回路で常時受信され、グループ番号フィ
ルタ部26へ送られる。グループ番号フィルタ部26で
は受信したパケットに付加されているユーザグループ番
号を抽出し、抽出した受信パケットのユーザグループ番
号とグループ番号設定部22に登録されている自ユーザ
グループ番号とを比較照合し一致したとき、この受信パ
ケットは自ユーザグループ内の端末からの受信パケット
であると判断し、MACアドレスフィルタ部21へ通過
させる。また比較照合の結果不一致のときは、受信パケ
ットが他のLANユーザグループ(ここではユーザグル
ープB)内の端末からの受信パケットであると判断しこ
こで破棄する。つまり、異なるユーザグループからのパ
ケットは、元来ブリッジ回路が具備するMACアドレス
フィルタリング機能(ここではMACアドレスフィルタ
部21)によることなく、グループ番号フィルタ部26
で無条件にガードされることになる。
【0017】例えば、LANanの端末からLANa1
宛の送信パケットは、ブリッジ回路13のグループ番号
付加部23においてユーザグループAのユーザグループ
番号が付加され、基幹バス11〜ブリッジ回路12の基
幹バス受信部25を介してグループ番号フィルタ部26
で受信し、グループ番号フィルタ部26は受信した受信
パケットに付加されているユーザグループ番号を識別
し、識別したユーザグループ番号が自ユーザグループA
と同じであるためそのまま通過させ、MACアドレスフ
ィルタ部21において元来具備するMACアドレスによ
るフィルタリング機能によりフィルタリングし、フィル
タリングの結果自LANa1宛であることを識別して、
LANインタフェース部20を介してLANa1上に伝
送されることになる。またLANb1の端末からLAN
bmの端末宛に送信された送信パケットは、ブリッジ回
路14のグループ番号付加部23でユーザグループBの
ユーザグループ番号が付加され基幹バス11上に送信さ
れるため、ブリッジ回路12のグループ番号フイルータ
部26はユーザグループ番号の識別結果から自ユーザグ
ループ宛のパケットではないと判断し廃棄されることに
なる。
宛の送信パケットは、ブリッジ回路13のグループ番号
付加部23においてユーザグループAのユーザグループ
番号が付加され、基幹バス11〜ブリッジ回路12の基
幹バス受信部25を介してグループ番号フィルタ部26
で受信し、グループ番号フィルタ部26は受信した受信
パケットに付加されているユーザグループ番号を識別
し、識別したユーザグループ番号が自ユーザグループA
と同じであるためそのまま通過させ、MACアドレスフ
ィルタ部21において元来具備するMACアドレスによ
るフィルタリング機能によりフィルタリングし、フィル
タリングの結果自LANa1宛であることを識別して、
LANインタフェース部20を介してLANa1上に伝
送されることになる。またLANb1の端末からLAN
bmの端末宛に送信された送信パケットは、ブリッジ回
路14のグループ番号付加部23でユーザグループBの
ユーザグループ番号が付加され基幹バス11上に送信さ
れるため、ブリッジ回路12のグループ番号フイルータ
部26はユーザグループ番号の識別結果から自ユーザグ
ループ宛のパケットではないと判断し廃棄されることに
なる。
【0018】したがって、例えばユーザグループAの端
末のMACアドレスとユーザグループBの端末のMAC
アドレスに重複が発生しても、MACアドレスによるフ
ィルタリングの前にグループ番号フィルタ部26でフィ
ルタリングされ受信パケットが廃棄されるため、ユーザ
グループ間にパケットが流出することはない。またユー
ザグループBの端末が故意にユーザグループAの端末と
通信しようとしても同様にグループ番号フィルタ部26
でフイルタリングされパケット通信できないため、セキ
ュリティ機能としても有効となる。
末のMACアドレスとユーザグループBの端末のMAC
アドレスに重複が発生しても、MACアドレスによるフ
ィルタリングの前にグループ番号フィルタ部26でフィ
ルタリングされ受信パケットが廃棄されるため、ユーザ
グループ間にパケットが流出することはない。またユー
ザグループBの端末が故意にユーザグループAの端末と
通信しようとしても同様にグループ番号フィルタ部26
でフイルタリングされパケット通信できないため、セキ
ュリティ機能としても有効となる。
【0019】更に、ユーザグループAの端末が送信した
同報パケットも基幹バス上では同様にユーザグループ番
号合Aが付加されているため、ユーザグループBに属す
るブリッジ回路14,15のグループ番号フィルタ部2
6でフィルタリングされ廃棄されることになる。
同報パケットも基幹バス上では同様にユーザグループ番
号合Aが付加されているため、ユーザグループBに属す
るブリッジ回路14,15のグループ番号フィルタ部2
6でフィルタリングされ廃棄されることになる。
【0020】
【発明の効果】以上説明したように本発明は、各ブリッ
ジ回路に収容された個々のLANを複数のユーザグルー
プにグルーピングし同一グループ内のLAN間転送時、
基幹バスに送信するパケットにユーザグループ番号を付
加し、基幹バスからの受信パケットをブリッジ回路が元
来具備しているMACアドレスによるフィルタリング機
能によりアドレスフィルタリングを行う前に、受信パケ
ットに付加されているユーザグループ番号と自収容LA
Nのユーザグループ番号とを比較照合し、ユーザグルー
プ番号によるフィルタリングを行うので、MACブリッ
ジシステムであるにもかかわらず、ルータや基幹バスを
複数用意することなく、同報パケットを含めたユーザグ
ループ間の不要なパケットトラヒックを完全に防止で
き、また、LAN端末が誤ったMACアドレスのパケッ
トを発生したり、ユーザグループが異なるLAN上の端
末に誤って同一のMACアドレスが設定されている場合
でも他グループのLANへのパケット流出を防止でき
る。更に、意図的に他のユーザグループのLAN端末と
通信することもできないため、セキュリティの向上が図
れる。更にまた、ルータや複数の基幹バスを必要としな
いので、コストパフォーマンスのよいLANブリッジシ
ステムを実現できる。
ジ回路に収容された個々のLANを複数のユーザグルー
プにグルーピングし同一グループ内のLAN間転送時、
基幹バスに送信するパケットにユーザグループ番号を付
加し、基幹バスからの受信パケットをブリッジ回路が元
来具備しているMACアドレスによるフィルタリング機
能によりアドレスフィルタリングを行う前に、受信パケ
ットに付加されているユーザグループ番号と自収容LA
Nのユーザグループ番号とを比較照合し、ユーザグルー
プ番号によるフィルタリングを行うので、MACブリッ
ジシステムであるにもかかわらず、ルータや基幹バスを
複数用意することなく、同報パケットを含めたユーザグ
ループ間の不要なパケットトラヒックを完全に防止で
き、また、LAN端末が誤ったMACアドレスのパケッ
トを発生したり、ユーザグループが異なるLAN上の端
末に誤って同一のMACアドレスが設定されている場合
でも他グループのLANへのパケット流出を防止でき
る。更に、意図的に他のユーザグループのLAN端末と
通信することもできないため、セキュリティの向上が図
れる。更にまた、ルータや複数の基幹バスを必要としな
いので、コストパフォーマンスのよいLANブリッジシ
ステムを実現できる。
【図1】本発明の一実施例を示すブロック図。
【図2】図1に示したブリッジ回路のブロック図。
【図3】図1に示した基幹バス上のパケットデータの形
式を示す図。
式を示す図。
10 基幹バスアービタ装置 11 基幹バス 12,13,14,15 ブリッジ回路 20 LANインタフェース部 21 MACアドレスフィルタ部 22 グループ番号設定部 23 グループ番号付加部 24 基幹バス送信部 25 基幹バス受信部 26 グループ番号フィルタ部 101,102 インタフェース線
───────────────────────────────────────────────────── フロントページの続き (72)発明者 石上 直晴 東京都港区西新橋三丁目20番4号 日本電 気エンジニアリング株式会社内
Claims (2)
- 【請求項1】 複数の端末が接続される複数の支線LA
NをLAN端末のMACアドレスによるパケットフィル
タリング機能を有する複数のブリッジ回路を介して基幹
バスに接続すると共に、複数の前記ブリッジ回路に個々
に収容された複数の前記支線LANを独立した複数のグ
ループにグループ化し、前記ブリッジ回路はそれぞれ収
容する前記支線LANのグループ番号を予め登録してお
き、前記端末から同一グループ内の他の前記支線LAN
へ送信するパケットにこの端末が属する前記支線LAN
の前記グループ番号を付加して前記基幹バスへ送信し、
前記幹線バスを介して受信したパケットに付加されてい
る前記グループ番号を識別して登録してある前記グルー
プ番号と照合し、一致したときのみこの受信したパケッ
トを前記パケットアドレスフィルタリング機能を動作さ
せ前記ブリッジ回路が収容している前記支線LANへ送
信することを特徴するLANブリッジシステムにおける
ユーザグループ設定方式。 - 【請求項2】 前記ブリッジ回路は、個々の前記支線L
ANと接続しパケットを送受信するLANインタフェー
ス部と、前記LANインタフェース部から受信した前記
送信パケットおよび前記基幹バスを介して同一グループ
内の他の前記支線LANから受信した前記受信パケット
の送信先端末MACアドレスと予め記憶してある前記支
線LANに接続された端末のMACアドレスとを照合
し、前記送信または受信パケットを通過させるMACア
ドレスフィルタ部と、収容する前記支線LANの前記グ
ループ番号を予め登録しておくグループ番号設定部と、
前記MACアドレスフィルタ部を通過した前記送信パケ
ットに前記グループ番号設定部に登録してある前記グル
ープ番号を付加し基幹バス送信部へ送信するグループ番
号付加部と、前記グループ番号が付加された前記送信パ
ケットを前記基幹バスへ送信する前記基幹バス送信部
と、前記基幹バス上に送信された前記送信パケットを受
信する基幹バス受信部と、前記基幹バス受信部が前記基
幹バスから受信した前記受信パケットに付加されている
前記グループ番号を抽出して前記グループ番号設定部に
登録してある前記グループ番号と照合し、一致したとき
前記受信パケットを前記MACアドレスフィルタ部へ送
信するグループ番号フィルタ部とを有することを特徴と
する請求項1記載のLANブリッジシステムにおけるユ
ーザグループ設定方式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP5313316A JPH07170279A (ja) | 1993-12-14 | 1993-12-14 | Lanブリッジシステムにおけるユーザグループ 設定方式 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP5313316A JPH07170279A (ja) | 1993-12-14 | 1993-12-14 | Lanブリッジシステムにおけるユーザグループ 設定方式 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH07170279A true JPH07170279A (ja) | 1995-07-04 |
Family
ID=18039768
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP5313316A Pending JPH07170279A (ja) | 1993-12-14 | 1993-12-14 | Lanブリッジシステムにおけるユーザグループ 設定方式 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JPH07170279A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6457059B1 (en) | 1998-06-17 | 2002-09-24 | Fujitsu Limited | Method and apparatus for transmitting multicast data in a switched LAN environment |
CN1301607C (zh) * | 2002-02-01 | 2007-02-21 | 联想网御科技(北京)有限公司 | 实现支持虚拟局域网防火墙的方法 |
US7596085B2 (en) | 2004-12-06 | 2009-09-29 | Nec Corporation | Access network system and method of moving internal network relay devices |
JP2013009261A (ja) * | 2011-06-27 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 割当装置、割当プログラム、割当方法、及び割当システム |
-
1993
- 1993-12-14 JP JP5313316A patent/JPH07170279A/ja active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6457059B1 (en) | 1998-06-17 | 2002-09-24 | Fujitsu Limited | Method and apparatus for transmitting multicast data in a switched LAN environment |
US7487251B2 (en) | 1998-06-17 | 2009-02-03 | Fujitsu Limited | Communication control unit and communication control method applied for multicast-supporting LAN |
US8364834B2 (en) | 1998-06-17 | 2013-01-29 | Fujitsu Limited | Communication control unit and communication control method applied for multicast-supporting LAN |
US8370512B2 (en) | 1998-06-17 | 2013-02-05 | Fujitsu Limited | Communication control unit and communication control method applied for multicast-supporting LAN |
US8429283B2 (en) | 1998-06-17 | 2013-04-23 | Fujitsu Limited | Communication control unit and communication control method applied for multi-cast supporting LAN |
US8516139B2 (en) | 1998-06-17 | 2013-08-20 | Fujitsu Limited | Communication control unit and communication control method applied for multicast-supporting LAN |
US8521894B2 (en) | 1998-06-17 | 2013-08-27 | Fujitsu Limited | Communication control unit and communication control method applied for multi-cast-supporting LAN |
US9088505B2 (en) | 1998-06-17 | 2015-07-21 | Fujitsu Limited | Communication control unit and communication control method applied for multi-cast-supporting LAN |
CN1301607C (zh) * | 2002-02-01 | 2007-02-21 | 联想网御科技(北京)有限公司 | 实现支持虚拟局域网防火墙的方法 |
US7596085B2 (en) | 2004-12-06 | 2009-09-29 | Nec Corporation | Access network system and method of moving internal network relay devices |
JP2013009261A (ja) * | 2011-06-27 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 割当装置、割当プログラム、割当方法、及び割当システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101433029B (zh) | 用于使用第二层源地址的选择性的第二层端口阻塞的方法、系统 | |
US5216670A (en) | Message stripping protocol for a communication network | |
CN101057483B (zh) | 冗余和非冗余帧的接收 | |
EP1408656B1 (en) | Method and device for transparent LAN services | |
US8081633B2 (en) | Network node unit and method for forwarding data packets | |
US5218603A (en) | Node unit and communications method for local area network | |
CN110830371B (zh) | 报文重定向方法、装置、电子设备及可读存储介质 | |
CN102318291B (zh) | 一种业务流处理的方法、装置及系统 | |
US7710959B2 (en) | Private VLAN edge across multiple switch modules | |
US20040160944A1 (en) | Process for implementing a switched full-duplex ethernet type communication network with redundancy | |
JPH09505697A (ja) | セル切換通信制御装置における柔軟な宛先アドレスマッピング機構 | |
EP0860958B1 (en) | Virtual network architecture | |
US6272640B1 (en) | Method and apparatus employing an invalid symbol security jam for communications network security | |
JPH10271154A (ja) | 不正アクセス防止方法およびシステム | |
JPH0630025A (ja) | 非同期時分割交換方式 | |
JP2004159019A (ja) | 拡張vlanタグswap方式 | |
JPH07170279A (ja) | Lanブリッジシステムにおけるユーザグループ 設定方式 | |
EP0493892A2 (en) | Intrusion detection apparatus for local area network | |
US20060126643A1 (en) | Subscriber loop remote control apparatus, subscriber loop remote control method, and subscriber loop remote control program | |
US6721319B1 (en) | Network system | |
JPH10143338A (ja) | ネットワークプリンタ | |
US20050105527A1 (en) | Secure communication system, comprising a local network such as ethernet, in particular on board an aircraft | |
WO2007118071A2 (en) | Apparatus and methods for providing network security | |
JP3290142B2 (ja) | 経路制御プロトコル処理方式 | |
US6771643B1 (en) | Interconnecting packet switches |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 19981124 |