JPH09186713A - Lan集線装置 - Google Patents

Lan集線装置

Info

Publication number
JPH09186713A
JPH09186713A JP7343503A JP34350395A JPH09186713A JP H09186713 A JPH09186713 A JP H09186713A JP 7343503 A JP7343503 A JP 7343503A JP 34350395 A JP34350395 A JP 34350395A JP H09186713 A JPH09186713 A JP H09186713A
Authority
JP
Japan
Prior art keywords
port
security
media address
slot
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP7343503A
Other languages
English (en)
Other versions
JP3594391B2 (ja
Inventor
Norihiro Yoneda
典弘 米田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP34350395A priority Critical patent/JP3594391B2/ja
Publication of JPH09186713A publication Critical patent/JPH09186713A/ja
Application granted granted Critical
Publication of JP3594391B2 publication Critical patent/JP3594391B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】本発明は、セキュリティ用のメディアアドレス
の設定を自動的に行える技術を提供し、ネットワーク管
理者にかかる負担を軽減すると共に、メディアアドレス
の入力ミスを防止することを課題とする。 【解決手段】各ポートを特定するポート識別情報毎に、
少なくとも、各ポートに接続されている端末のメディア
アドレスを登録する管理テーブルと、管理テーブルから
ポート識別情報及び各ポートに接続されている端末のメ
ディアアドレスとを読み出すセキュリティ情報読出手段
と、セキュリティ情報読出手段が読み出したポート識別
情報及びメディアアドレスを登録するセキュリティテー
ブルと、あるポートに、送信元の端末のメディアアドレ
ス及び宛先の端末のメディアアドレスを付加された信号
が送信されてきたときに、前記セキュリティテーブルを
参照して、セキュリティ処理を実行するセキュリティ実
行手段とを備える。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、構内交換網(LA
N)に利用される集線装置のセキュリティ自動設定シス
テムに関する。
【0002】
【従来の技術】構内交換網(LAN)では、基幹LAN
にHUBと呼ばれる集線装置を接続し、この集線装置に
複数の端末を接続している。
【0003】この集線装置は、網内の他の端末、あるい
は網外からの信号を受信すると、この信号を、接続され
ている全ての端末へ分配したり、特定の端末のみへ送信
したりする装置である。
【0004】HUBと呼ばれる集線装置には、スイッチ
ングHUB、マルチモジュールHUB等のように、様々
の種類のものがある。また、最近では、ネットワークが
拡張され、多数のユーザが参加するようになってきてい
るため、不正なユーザが参加してきても簡単に発見する
ことが困難になってきている。そこで、ネットワークの
入り口であるHUBにセキュリティ機能をもたせ、不正
アクセスを事前に防止することが重要になってきてい
る。
【0005】セキュリティ機能を実現させる方法として
は、HUBの各ポートに接続される端末毎にメディアア
ドレスを登録し、信号の送受信を行う場合には、送信元
の端末のアドレスと宛先の端末のアドレスとを信号に付
加することを前提とし、登録されていないアドレスが付
加されている信号を受信すると、その信号のデータ部分
にスクランブルをかける方法や、HUBの複数のポート
を一つのグループとして、複数のグループに分割し、各
グループ毎にメディアアドレスを設定し、信号の送受信
を行う場合には、送信元の端末のグループのメディアア
ドレスと宛先の端末のグループのメディアアドレスとを
信号に付加することを前提とし、登録されていないアド
レスが付加されている信号を受信すると、そのグループ
へ送受信される信号のデータ部分にスクランブルをかけ
る方法等がある。
【0006】
【発明が解決しようとする課題】ところで、各ポートや
ポートのグループ毎にメディアアドレスを設定する場合
には、予めネットワーク管理者がメディアアドレスの設
定及び入力を行わなければならず、作業が煩雑である上
に、入力ミスの虞がある。
【0007】そこで、本発明は、前記問題点に鑑みてな
されたものであり、セキュリティ用のメディアアドレス
の設定を自動的に行える技術を提供し、ネットワーク管
理者にかかる負担を軽減すると共に、メディアアドレス
の入力ミスを防止することを課題とする。
【0008】
【課題を解決するための手段】本発明は、前記課題を解
決するために以下のような手段を採用した。すなわち、
本発明のLAN集線装置は、端末を接続するポートを複
数有する装置であり、管理テーブル、セキュリティ情報
読出手段、セキュリティテーブル、及びセキュリティ実
行手段を備えている。
【0009】管理テーブルは、各ポートを特定するポー
ト識別情報毎に、各ポートに接続されている端末のメデ
ィアアドレスを登録している。セキュリティ情報読出手
段は、管理テーブルからポート識別情報と、各ポートに
接続されている端末のメディアアドレスとを読み出す。
【0010】セキュリティテーブルは、セキュリティ情
報読出手段が読み出したポート識別情報と、メディアア
ドレスとを登録するセキュリティテーブルと、セキュリ
ティ実行手段は、或るポートに、送信元の端末のメディ
アアドレス及び宛先の端末のメディアアドレスを付加さ
れた信号が送信されてきたときに、セキュリティテーブ
ルを参照して、前記ポートのメディアアドレスと前記送
信元の端末のメディアアドレスとが不一致ならば、前記
ポートを切断する。
【0011】また、セキュリティ情報読出手段は、一定
周期毎に、管理テーブルからポート識別情報及びメディ
アアドレスを読み出して、セキュリティテーブルの登録
内容を更新させるようにしてもよい。
【0012】尚、セキュリティ情報読出手段は、セキュ
リティ実行手段が動作していない間に、セキュリティテ
ーブルの内容を更新させることが好ましい。さらに、セ
キュリティテーブルには、ポート識別情報とメディアア
ドレスとに加えて、登録内容の更新回数を登録するよう
にしてもよい。
【0013】次に、端末を接続するポートを複数有する
スロットを複数装填することができるマルチメディア型
LAN集線装置の場合には、スロット管理テーブル、セ
キュリティ情報読出手段、グループ化手段、セキュリテ
ィテーブル、及びセキュリティ実行手段を備えるように
する。
【0014】スロット管理テーブルは、各スロット毎
に、各ポートを特定するポート識別情報と各ポートに接
続されている端末のメディアアドレスとを登録するテー
ブルである。
【0015】セキュリティ情報読出手段は、スロット管
理テーブルからスロット識別情報と各スロットのポート
に接続されている端末のメディアアドレスとを読み出
す。グループ化手段は、各スロットの属性情報に基づい
て、前記端末のメディアアドレスをグループ分けして、
各グループにグループ識別情報を付加する。
【0016】セキュリティテーブルは、グループ化手段
によりグループ分けされたグループのグループ識別情報
毎に、各グループのメディアアドレス群を登録する。セ
キュリティ実行手段は、あるグループのポートに、送信
元の端末のメディアアドレス及び宛先の端末のメディア
アドレスを付加された信号が送信されてきたときに、前
記セキュリティテーブルを参照して、前記グループのメ
ディアアドレス群に、前記送信元の端末のメディアアド
レスと同一のメディアアドレスが登録されていなけれ
ば、前記ポートを切断する。
【0017】
【発明の実施の形態】以下、本発明の実施形態について
図面に沿って説明する。 《実施形態1》本実施形態では、本発明のLAN集線装
置として、スイッチングHUB装置を例に挙げて説明す
る。
【0018】図1は、スイッチングHUB装置1を、E
thernet通信に適用した場合の概略構成を示す図
である。同図に示すように、スイッチングHUB装置1
は、基幹LANを接続するためのバックボーン用ポート
2と、端末を接続するための5個のポート3とを有して
いる。
【0019】バックボーン用ポート2には、基幹LAN
が接続されている。5個の各ポート3には、本発明の端
末として、パーソナルコンピュータ(PC)4が接続さ
れている。
【0020】ここで、各パーソナルコンピュータ(P
C)4には、本発明のメディアアドレスとして、MAC
(Media Access Control;媒体アクセス制御)アドレス
が割り当てられている。そして、各パーソナルコンピュ
ータ(PC)4は、データを送信する際にパケットを作
成することになるが、このとき、パケットには、図2に
示すように、送信元アドレス(SA)と宛先アドレス
(DA)とが挿入される。
【0021】スイッチングHUB装置1は、あるパーソ
ナルコンピュータ(PC)4からパケットを受信する
と、このパケットから宛先アドレス(DA)を抽出し、
この宛先アドレスが示すパーソナルコンピュータ(P
C)4のポート3を判別する。そして、スイッチングH
UB装置1は、宛先アドレス(DA)が示すポート3
と、前記パケットを受信したポート3とを接続(スイッ
チング)し、受信したパケットを宛先のパーソナルコン
ピュータ(PC)4へ送信することができるようになっ
ている。
【0022】図3は、本実施形態におけるスイッチング
HUB装置の概略構成を示す図である。スイッチングH
UB装置1は、基幹LANとのインタフェース処理を行
うLANインタフェース部5と、LANインタフェース
部5とポート3との接続/切断あるいはポート3間の接
続/切断を切り換えるスイッチング回路6と、スイッチ
ング回路6の動作を制御するコントロール回路7とを備
えている。
【0023】コントロール回路7は、図4に示すよう
に、CPU7a、RAM7b、及びROM7cをバスで
接続して構成されている。RAM7bには、図5に示す
ように、管理テーブル70とセキュリティテーブル71
とが格納されている。
【0024】管理テーブル70は、各ポート3を特定す
るポート番号毎に、各ポート3に接続されているパーソ
ナルコンピュータ(PC)4のMACアドレスを含む情
報を登録している。
【0025】セキュリティテーブル71は、各ポート3
を特定するポート番号毎に、各ポート3に接続されてい
るパーソナルコンピュータ(PC)4のMACアドレス
のみを登録している。
【0026】図4に戻ってROM7cは、CPU7aが
実行すべきアプリケーションプログラムを格納してい
る。ここで、CPU7aがROM7cのアプリケーショ
ンプログラムを実行することにより、実現される機能に
ついて図6に沿って説明する。
【0027】即ち、CPU7aがROM7cのアプリケ
ーションプログラムを実行することにより、本発明のセ
キュリティ情報読出手段としてのセキュリティ情報読出
部と、本発明のセキュリティ実行手段としてのセキュリ
ティ実行部と、スイッチング処理部とが実現される。
【0028】セキュリティ情報読出部は、スイッチング
HUB1のセキュリティ機能がオンになると(図示しな
い入力装置からセキュリティ機能の起動命令が入力され
ると)、RAM7bの管理テーブル70から各ポートの
ポート番号と各ポートに接続されているパーソナルコン
ピュータ(PC)4のMACアドレスとを読み出し、セ
キュリティテーブル71上に登録する。
【0029】セキュリティ実行部は、あるポート3にパ
ケットが入力されると、このポートのポート番号を判別
すると共に、入力されたパケットから送信元アドレス
(SA)を読み出す。そして、セキュリティ実行部は、
判別されたポート番号をキーワードにしてセキュリティ
テーブル71へアクセスし、前記ポート番号に対応する
MACアドレスを読み出す。そして、パケットから読み
出された送信元アドレス(SA)とセキュリティテーブ
ル71から読み出されたMACアドレスとが一致するか
否かを判別する。そして、セキュリティ実行部は、双方
のアドレスが一致すれば、スイッチング処理部に対し
て、前記ポートと、宛先のパーソナルコンピュータ(P
C)が接続されているポートとの接続を依頼する。一
方、双方のアドレスが不一致ならば、スイッチング処理
部に対して、前記ポートの切断を依頼する。
【0030】スイッチング処理部は、セキュリティ実行
部からポートの接続を依頼されると、入力したパケット
から宛先アドレス(DA)を読み出し、この宛先アドレ
ス(DA)をキーワードにして管理テーブル70へアク
セスする。そして、スイッチング処理部は、前記宛先ア
ドレス(DA)に対応するポート番号を判別する。そし
て、スイッチング処理部は、スイッチング回路6を動作
させて、前記パケットを入力したポートと前記宛先アド
レス(DA)に対応するポートとを接続させる。
【0031】一方、スイッチング処理部は、セキュリテ
ィ実行部からポートの切断を依頼されると、前記ポート
の接続処理は行わない。以下、本実施形態におけるセキ
ュリティ情報の自動設定処理について図7のフローチャ
ートに沿って説明する。
【0032】図示しない入力装置からセキュリティ機能
の起動命令が入力されると、CPU7aは、ROM7c
のアプリケーションプログラムを実行して、以下の処理
を実現する。
【0033】すなわち、CPU7aは、RAM7bの管
理テーブル70へアクセスして、各ポート3のポート番
号と各ポート3に接続されているパーソナルコンピュー
タ(PC)4のMACアドレスとを読み出す(ステップ
701)。
【0034】管理テーブル70から読み出されたポート
番号とMACアドレスとは、RAM7bのセキュリティ
テーブル71へ書き込まれる(ステップ702)。この
とき、セキュリティテーブル71に書き込まれたポート
番号とMACアドレスとは、固定値になり(ステップ7
03)、これ以降、スイッチングHUB装置1のセキュ
リティ機能が起動される(ステップ704)。ここでい
う、セキュリティ機能とは、前述のセキュリティ実行部
により実現される機能をいう。
【0035】また、管理テーブル70の内容が更新・変
更された場合などには、セキュリティ機能を一旦停止し
て、再度セキュリティ機能の起動命令を入力すれば、前
述のステップ701〜ステップ703の処理が繰り返し
実行されるので、更新・変更された管理テーブル70の
内容が、自動的にセキュリティテーブル71に反映され
る。
【0036】以上、本実施態様によれば、従来、手作業
により作成していたセキュリティテーブルを自動的に作
成することができる。 《実施形態2》本実施態様におけるスイッチングHUB
装置は、前述の実施態様1の構成に対して、コントロー
ル回路7の構成が異なっており、その他の構成は同一で
ある。
【0037】ここで、本実施態様におけるコントロール
回路7の構成を図8に示す。同図に示すように、コント
ロール回路7は、前述の実施態様1の構成に加えて、タ
イマ7dを備えている。このタイマ7dは、一定時間を
計時するものであり、セキュリティ機能がオフ状態の時
に、起動される。そして、タイマ7dが一定時間を計時
すると、CPU7aは、セキュリティテーブル71の内
容を更新するようになっている。即ち、セキュリティテ
ーブル71に、ポート番号とMACアドレスとが一旦登
録された後に、セキュリティ機能がオフ状態になってい
ると、CPU7aは、タイマ7dを起動する。そして、
CPU7aは、タイマ7dが一定時間を計時し終わる
と、再度RAM7bの管理テーブル70からポート番号
とMACアドレスとを読み出し、セキュリティテーブル
71に上書きする。
【0038】以下、本実施形態におけるセキュリティ情
報の自動設定処理について図9に沿って説明する。CP
U7aは、図示しない入力装置からセキュリティ機能の
起動命令が入力させると、ROM7cのアプリケーショ
ンプログラムを実行することにより、以下の処理を実現
する。
【0039】すなわち、CPU7aは、RAM7bの管
理テーブル70へアクセスし、各ポートのポート番号
と、各ポートに接続されているパーソナルコンピュータ
(PC)4のMACアドレスを読み出す(ステップ90
1)。
【0040】管理テーブル70から読み出されたポート
番号とMACアドレスとは、RAM7bのセキュリティ
テーブル71に書き込まれる(ステップ902)。ここ
で、CPU7aは、再度、セキュリティ機能が引き続き
起動状態にあるか、あるいは停止命令が入力されたかを
判別する(ステップ903)。
【0041】ここで、セキュリティ機能が引き続き起動
状態にあれば、CPU7aは、セキュリティテーブル7
1の内容を固定値として(ステップ904)、セキュリ
ティ機能を開始する(ステップ905)。
【0042】一方、前述のステップ904において、セ
キュリティ機能の停止命令が入力されていれば、タイマ
7dを起動する(ステップ906)。そして、タイマ7
dが一定時間の計時を終了すると、CPU7aは、前述
のステップ901以降の処理を繰り返し実行する。
【0043】以上、本実施形態によれば、セキュリティ
テーブル71の登録内容を、自動的に更新・変更するこ
とができ、オペレータにかかる負担をより軽減すること
ができる。
【0044】《実施形態3》本実施態様におけるスイッ
チングHUB装置は、前述の実施態様2の構成と同様で
あるが、コントロール回路7のタイマ7dは、セキュリ
ティ機能がオン状態のときに起動される。そして、タイ
マ7dが一定時間を計時すると、CPU7aは、セキュ
リティテーブル71の内容を更新するようになってい
る。即ち、CPU7aは、セキュリティテーブル71
に、ポート番号とMACアドレスとを登録したときに、
タイマ7dを起動する。そして、CPU7aは、タイマ
7dが一定時間を計時し終わると、再度RAM7bの管
理テーブル70からポート番号とMACアドレスとを読
み出し、各ポート毎に、管理テーブル70から読み出さ
れたMACアドレスと、セキュリティテーブル71に登
録されているMACアドレスとを比較する。ここで、両
者のMACアドレスが不一致ならば、セキュリティテー
ブル71に登録されていたMACアドレスを、管理テー
ブル70から読み出されたMACアドレスへ書き換え
る。
【0045】管理テーブル70の情報とセキュリティテ
ーブル71の情報とが不一致になる場合としては、例え
ば、以下の3つの場合が考えられる。 (1)一定時間の間に、空き状態にあったポートにパー
ソナルコンピュータ(PC)4が接続されると、管理テ
ーブル70の前記ポートのエントリは、前記パーソナル
コンピュータ(PC)4が接続された時点で、空き状態
を示す情報から前記パーソナルコンピュータ(PC)4
のMACアドレスへ書き換えられることになる。このた
め、一定時間後に管理テーブル70から読み出された情
報と、セキュリティテーブル71に登録されている情報
とは不一致になる。
【0046】(2)一定時間の間に、あるポートに接続
されていたパーソナルコンピュータ(PC)4が他のパ
ーソナルコンピュータ(PC)4へ変更されると、管理
テーブル70の前記ポートのエントリは、前記ポートに
前記他のパーソナルコンピュータ(PC)4が接続され
た時点で、前記パーソナルコンピュータ(PC)4のM
ACアドレスから前記他のパーソナルコンピュータ(P
C)4のMACアドレスへ書き換えられることになる。
このため、一定時間後に管理テーブル70から読み出さ
れた情報と、セキュリティテーブル71に登録されてい
る情報とは不一致になる。
【0047】(3)一定時間の間に、あるポートに接続
されていたパーソナルコンピュータ(PC)4が切り離
されると、管理テーブル70の前記ポートのエントリ
は、前記パーソナルコンピュータ(PC)4が切り離さ
れた時点で、前記パーソナルコンピュータ(PC)4の
MACアドレスから空き状態を示す情報へ書き換えられ
ることになる。このため、一定時間後に管理テーブル7
0から読み出された情報と、セキュリティテーブル71
に登録されている情報とは不一致になる。
【0048】上記の(1)〜(3)のような場合には、
一定時間経過後に、セキュリティテーブル71の情報
は、管理テーブル70から読み出された情報によって更
新されることになる。
【0049】以下、本実施形態におけるセキュリティ情
報の自動設定処理について図10に沿って説明する。C
PU7aは、図示しない入力装置からセキュリティ機能
の起動命令が入力させると、ROM7cのアプリケーシ
ョンプログラムを実行することにより、以下の処理を実
現する。
【0050】すなわち、CPU7aは、RAM7bの管
理テーブル70へアクセスし、各ポートのポート番号
と、各ポートに接続されているパーソナルコンピュータ
(PC)4のMACアドレスを読み出す(ステップ10
01)。
【0051】そして、各ポート番号毎に、管理テーブル
70から読み出された情報と、セキュリティテーブル7
1に登録されている情報とが比較される。そして、セキ
ュリティテーブル71のエントリのうち、管理テーブル
70から読み出された情報と異なる情報が登録されてい
るエントリが存在する場合には、そのエントリの情報
を、管理テーブル70から読み出された情報によって更
新することになるが、セキュリティ機能の起動直後で
は、セキュリティテーブル71のエントリには何も登録
されていないので、管理テーブル70から読み出された
全ての情報が、セキュリティテーブル71に登録される
(ステップ1002、1003)。
【0052】セキュリティテーブル71に情報が登録し
終わると、CPU7aは、セキュリティテーブル71の
情報に従ってセキュリティ機能の実行を開始する(ステ
ップ1004)とともに、タイマ7dを起動する。
【0053】そして、タイマ7dが一定時間を計時する
と、CPU7aは、再度RAM7bの管理テーブル70
へアクセスし、ポート番頭とMACアドレスとを読み出
す(ステップ1001)。
【0054】CPU7aは、各ポート番号毎に、管理テ
ーブル70から読み出された情報と、セキュリティテー
ブル71に登録されている情報とを比較し(ステップ1
002)、セキュリティテーブル71のエントリのう
ち、管理テーブル70から読み出された情報と不一致の
情報が登録されているエントリが存在する場合には、そ
のエントリの情報を、管理テーブル70から読み出され
た情報で更新する(ステップ1003)。そして、CP
U7aは、更新後のセキュリティテーブル71に従って
セキュリティ機能を実行する。
【0055】以上、本実施形態によれば、セキュリティ
テーブル71の登録内容を、自動的に更新・変更するこ
とができる。さらに、セキュリティ機能の実行中に、空
き状態のポートにパーソナルコンピュータ(PC)4が
接続された場合や、あるポートに接続されているパーソ
ナルコンピュータ(PC)4が変更された場合でも、一
定時間経過後には、新たに接続されたパーソナルコンピ
ュータ(PC)4に対するセキュリティ機能を実行する
ことができる。
【0056】また、セキュリティ機能の実行中に、ある
ポートのパーソナルコンピュータ(PC)4が切り離さ
れた場合には、一定時間経過後からは、そのポートに対
するセキュリティ機能を実行しないようにすることもで
きる。
【0057】《実施形態4》本実施態様におけるスイッ
チングHUB装置は、前述の実施態様1の構成に対し
て、コントロール回路7の構成が異なっている。すなわ
ち、本実施形態では、コントロール回路7のRAM7b
に設定されている管理テーブル70の構成が異なってい
る。
【0058】図11は、本実施形態におけるRAM7b
の内部構成を示している。同図に示すように、管理テー
ブル70は、ポート番号毎に、各ポートに接続されてい
るパーソナルコンピュータ(PC)4のMACアドレス
を登録するエントリに加え、各ポートのMACアドレス
が変更された回数、すなわち、あるポートに接続されて
いるパーソナルコンピュータ(PC)4が他のパーソナ
ルコンピュータ(PC)4に変更された回数(以下、変
更回数と記す)を登録するエントリが設定されている。
これに対応して、コントロール回路7のCPU7aは、
セキュリティ機能がオフ状態にあるときに、各ポートの
MACアドレスが変更されると、そのポートの変更回数
をインクリメントする。そして、CPU7aは、セキュ
リティ機能がオンになったときに、管理テーブル70の
変更回数を参照し、変更回数が特定値以下のポートのM
ACアドレスだけを読み出し、セキュリティテーブル7
1へ登録する。一方、MACアドレスの変更回数が特定
値を超えているポートについては、そのポートのMAC
アドレスがセキュリティテーブル71へ登録されず、セ
キュリティ機能が実行されないようになっている。
【0059】例えば、図10において、前記特定値を
“1”に設定すると、管理テーブル70に登録されてい
る3つのポート(ポート1〜ポート3)のうち、変更回
数が“1”以下のポートは、「ポート1」と「ポート
2」であるから、CPU7aは、セキュリティ機能がオ
ンになったときに、「ポート1」のMACアドレス「0
0000e123456」と「ポート3」のMACアド
レス「00000e345678」とだけを、セキュリ
ティテーブル71に登録する。そして、CPU7aは、
「ポート1」と「ポート3」についてのみ、セキュリテ
ィ機能を実行する。
【0060】尚、コントロール回路7に、一定時間を計
時するタイマを設け、このタイマが一定時間を計時して
いる間、MACアドレスが変更されなかったポートにつ
いては、その変更回数を特定値以下にリセットするよう
にしてもよい。
【0061】《実施形態5》本実施形態では、本発明の
LAN集線装置として、マルチモジュールHUB装置を
例に挙げて説明する。
【0062】図12は、マルチモジュールHUB装置8
の概略構成を示す図である。同図に示すように、マルチ
モジュールHUB装置8は、モジュールを装填するため
の6つのスロット9a〜9f(以下、総称してスロット
9と記す)を備えている。
【0063】スロット1(9a)には、同軸ケーブルを
利用する10BASE5用のインタフェースモジュール13
が装填されている。スロット2(9b)には、同軸ケー
ブルを利用する10BASE5用のインタフェースモジュー
ル12が装填されている。
【0064】スロット3(9c)には、ツィストペア・
ケーブルを使用する10BASE-T用のインタフェースモジ
ュール11が装填されている。スロット4(9d)に
は、ツィストペア・ケーブルを使用する10BASE-T用の
インタフェースモジュール10が装填されている。
【0065】スロット5(9e)には、異なるセグメン
ト間の接続/切断を切り換えるブリッジモジュール15
が装填されている。スロット6(9f)には、各スロッ
ト1(9a)〜スロット5(9e)に装填されているモ
ジュールを制御する管理モジュール14が装填されてい
る。
【0066】ここで、スロット1(9a)〜スロット4
(9d)に装填されている、10BASE-Tインタフェース
モジュール(10)、10BASE-Tインタフェースモジュ
ール(11)、10BASE5インタフェースモジュール
(12)、及び10BASE5インタフェースモジュール
(13)は、各々4つのポートを有しており、各ポート
には、各通信ケーブルの形態に対応した端末が接続され
ている。
【0067】ここで、10BASE-Tインタフェースモジュ
ール(10)のポートに接続されている端末と、10BA
SE-Tインタフェースモジュール(11)のポートに接続
されている端末との計8個の端末は、一つのセグメント
を形成している。
【0068】また、10BASE5インタフェースモジュー
ル(12)のポートに接続されている端末と、10BASE
5インタフェースモジュール(13)のポートに接続さ
れている端末との計8個の端末も、一つのセグメントを
形成しているものとする。
【0069】また、各端末には、本発明のメディアアド
レスとしてのMACアドレスが割り当てられているもの
とする。ここで、図13に管理モジュール14の概略構
成を示す。
【0070】同図に示すように、管理モジュール14
は、CPU14a、RAM14b、及びROM14cを
バスで接続して構成されている。RAM14bには、図
14に示すように、管理テーブル140と、セグメント
テーブル141と、セキュリティテーブル142とが格
納されている。
【0071】管理テーブル140は、各インタフェース
モジュール10・11・12・13が装填されているス
ロット9a・9b・9c・9dの各スロット番号毎に、
各インタフェースモジュール10・11・12・13の
各ポートを特定するポート番号と、各ポートに接続され
ている端末のMACアドレスとを格納している。
【0072】セグメントテーブル141は、各インタフ
ェースモジュール10・11・12・13が装填されて
いるスロットのスロット番号毎に、各インタフェースモ
ジュール10・11・12・13に接続されている端末
群のセグメントを特定するセグメントIDが格納されて
いる。本実施形態では、スロット1(9a)の10BASE
5インタフェースモジュール13に接続されている4つ
の端末と、スロット2(9b)の10BASE5インタフェ
ースモジュール12に接続されている4つの端末との計
8個の端末は、セグメント1に属するものとする。ま
た、スロット3(9c)の10BASE-Tインタフェースモ
ジュール11に接続されている4つの端末と、スロット
4(9d)の10BASE-Tインタフェースモジュール10
に接続されている4つの端末との計8個の端末は、セグ
メント2に属するものとする。
【0073】従って、セグメントテーブル141には、
スロット1とスロット2のエントリにセグメントID
「1」が登録され、スロット3とスロット4のエントリ
にセグメントID「2」が登録される。
【0074】セキュリティテーブル142は、マルチモ
ジュールHUB装置8に接続されている16つの端末を
グループに分割し、各グループを特定するグループ番号
毎に、各グループに属する端末のMACアドレスを登録
するテーブルである。本実施形態では、セグメントテー
ブル141のセグメントに従って端末をグループ分けす
るものとする。従って、セグメント1に属する端末をグ
ループ1とし、セグメント2に属するグループ2とす
る。
【0075】図13に戻ってROM14cには、CPU
14aが実行すべきアプリケーションプログラムが格納
されている。ここで、CPU14aがROM14cのア
プリケーションプログラムを実行することにより、実現
される機能について述べる。
【0076】即ち、CPU14aがROM14cのアプ
リケーションプログラムを実行することにより、本発明
のセキュリティ情報読出手段としてのセキュリティ情報
読出部と、本発明のグループ化手段としてのグループ化
部と、本発明のセキュリティ実行手段としてのセキュリ
ティ実行部と、スイッチング処理部とが実現される。
【0077】セキュリティ情報読出部は、マルチモジュ
ールHUB装置8のセキュリティ機能がオンになると
(図示しない入力装置からセキュリティ機能の起動命令
が入力されると)、RAM14bの管理テーブル140
から各スロット9a・9b・9c・9dのスロット番号
と、各スロット9a・9b・9c・9dのポートのポー
ト番号と、各ポートに接続されている端末のMACアド
レスとを読み出す。
【0078】グループ化部は、セキュリティ情報読出部
が読み出したスロット番号をキーワードにしてセグメン
トテーブル141を参照し、16つの端末をグループ分
けする。そして、グループ化部は、各グループにグルー
プ番号を付加し、各グループのグループ番号と、各グル
ープに属する端末のMACアドレスとをセキュリティテ
ーブル142に登録する。
【0079】セキュリティ実行部は、あるポートにパケ
ットが入力されると、このポートを有するインタフェー
スモジュール10・11・12・13のスロット番号を
判別し、さらにスロット番号に基づいて送信元の端末が
属するセグメント(グループ)番号を判別する。また、
セキュリティ実行部は、入力されたパケットから送信元
アドレス(SA)を読み出す。そして、セキュリティ実
行部は、判別されたグループ番号をキーワードにしてセ
キュリティテーブル141へアクセスし、前記グループ
番号に対応するMACアドレス群の中に、パケットから
読み出された送信元アドレス(SA)と一致するMAC
アドレスが存在するか否かを判別する。そして、セキュ
リティ実行部は、前記グループの中に、パケットから読
み出された送信元アドレス(SA)と一致するMACア
ドレスが存在すれば、スイッチング処理部に対して、前
記ポートと、宛先の端末が接続されているポートとの接
続を依頼する。一方、双方のアドレスが不一致ならば、
スイッチング処理部に対して、前記ポートの切断を依頼
する。
【0080】スイッチング処理部は、セキュリティ実行
部からポートの接続を依頼されると、入力したパケット
から宛先アドレス(DA)を読み出し、この宛先アドレ
ス(DA)をキーワードにして管理テーブル140へア
クセスする。そして、スイッチング処理部は、前記宛先
アドレス(DA)に対応するポート番号を判別する。そ
して、スイッチング処理部は、双方のポートを収容する
インタフェースモジュール10・11・12・13に対
して、前記パケットを入力したポートと前記宛先アドレ
ス(DA)に対応するポートとを接続させる。
【0081】一方、スイッチング処理部は、セキュリテ
ィ実行部からポートの切断を依頼されると、前記ポート
の接続処理は行わない。以上、本実施形態によれば、マ
ルチモジュールHUB装置8でも、セキュリティテーブ
ルを自動的に作成することができ、オペレータにかかる
負担を軽減することができるとともに、手入力による入
力ミスを防止することができる。
【0082】また、本実施形態では、端末をグループ化
する際に、セグメントテーブルを利用しているが、ブリ
ッジモジュールに設定されているフォワーディングテー
ブルを利用して端末群のグループ化を行うようにしても
よい。
【0083】《実施形態6》本実施形態では、前述の実
施形態5と同様に、マルチモジュールHUB装置を例に
挙げて説明する。
【0084】図15は、マルチモジュールHUB装置8
の概略構成を示す図である。このマルチモジュールHU
B装置8は、前述の実施形態5では6つのスロットを備
えていたのに対して、5つのスロット9a・9b・9c
・9d・9e(以下、総称してスロット9と記す)を備
えている。
【0085】そして、スロット1(9a)には、同軸ケ
ーブルを利用する10BASE5用のインタフェースモジュ
ール13が装填されている。スロット2(9b)には、
同軸ケーブルを利用する10BASE5用のインタフェース
モジュール12が装填されている。
【0086】スロット3(9c)には、同軸ケーブルを
利用する10BASE5用のインタフェースモジュール16
が装填されている。スロット4(9d)には、異なるセ
グメント間の接続/切断を切り換えるブリッジモジュー
ル15が装填されている。
【0087】スロット5(9e)には、各スロット1
(9a)〜スロット4(9d)に装填されているモジュ
ールを制御する管理モジュール14が装填されている。
ここで、スロット1(9a)〜スロット3(9c)に装
填されている、10BASE5インタフェースモジュール1
6、10BASE5インタフェースモジュール12、及び1
0BASE5インタフェースモジュール13には、各々4つ
のポートが設けられており、各ポートには、各通信ケー
ブルの形態に対応した端末が接続されている。
【0088】ここで、10BASE5インタフェースモジュ
ール16と、10BASE5インタフェースモジュール12
と、10BASE5インタフェースモジュール13とは、一
つのセグメントを形成しているものとする。
【0089】ここで、図16に、RAM14bの内部構
成を示す。RAM14bには、前述の実施形態5と同様
に、管理テーブル140と、セグメントテーブル141
と、セキュリティテーブル142とが設定されている。
【0090】管理テーブル140は、各インタフェース
モジュール12・13・16が装填されているスロット
9a・9b・9cのスロット番号毎に、各インタフェー
スモジュール12・13・16の各ポートを特定するポ
ート番号と、各ポートに接続されている端末のMACア
ドレスとを格納している。
【0091】セグメントテーブル141は、各インタフ
ェースモジュール12・13・16が装填されているス
ロット9a・9b・9cのスロット番号毎に、各インタ
フェースモジュール12・13・16に接続されている
端末群のセグメントを特定するセグメントIDが格納さ
れている。本実施形態では、スロット1(9a)〜スロ
ット3(9c)のインタフェースモジュール12・13
・16に接続されている計12個の端末は、同一のセグ
メント「1」に属しているため、スロット1〜スロット
3のエントリには、セグメントIDとして「1」が登録
されている。
【0092】ところで、本実施形態では、同一のセグメ
ントに3つのスロットが属しているが、グループ化を行
う場合に、2つのスロットを一つのグループにすること
はできるが、残りの一つのスロットは同一のグループに
することができないため、残りの1つのスロットについ
ては、グループセキュリティを適用することができな
い。従って、本実施形態では、グループ化されたスロッ
トについては、グループセキュリティを適用し、残りの
スロットについてはポートセキュリティを適用するよう
にした。具体的には、スロット1(9a)のインタフェ
ースモジュール13の4つのポートと、スロット2(9
b)のインタフェースモジュール12の4つのポートと
の計8つのポートを一つのグループとし、グループセキ
ュリティの対象としている。そして、スロット3(9
c)のインタフェースモジュール16の4つのポート
は、ポートセキュリティの対象としている。これによ
り、本実施形態のセキュリティテーブル142は、グル
ープに属するポートについては、前述の実施形態5と同
様に、グループ番号毎に、グループに属するポートに割
り当てられているMACアドレスを登録する。一方、グ
ループに属していないポートについては、前述の実施形
態1〜実施形態4に示したように、各ポートのポート番
号毎に、各ポートに割り当てられているMACアドレス
を登録するようにしている。
【0093】以上のような構成を採用することにより、
グループセキュリティとポートセキュリティとを同時に
実現することができる。
【0094】
【発明の効果】本発明によれば、従来、人手に頼ってい
たセキュリティテーブルの設定作業を、自動的に行うこ
とができ、ネットワーク管理者にかかる負担を軽減する
ことができると共に、入力ミスを防止することができ
る。
【図面の簡単な説明】
【図1】スイッチングHUB装置を適用した通信網の概
略構成図
【図2】パケットのデータ構造を示す図
【図3】スイッチングHUB装置の内部構成を示す図
【図4】コントロール回路7の構成図
【図5】実施形態1におけるRAMの内部構成図
【図6】実施形態1におけるスイッチングHUB装置の
機能別構成ブロック図
【図7】実施形態1におけるセキュリティ情報の自動設
定処理を示すフローチャート図
【図8】実施形態2におけるコントロール回路7の構成
【図9】実施形態2におけるセキュリティ情報の自動設
定処理を示すフローチャート図
【図10】実施形態3におけるセキュリティ情報の自動
設定処理を示すフローチャート図
【図11】実施形態4におけるRAMの内部構成図
【図12】実施形態5におけるマルチモジュールHUB
装置の概略構成図
【図13】管理モジュールの内部構成図
【図14】実施形態5におけるRAMの内部構成図
【図15】実施形態6におけるマルチモジュールHUB
装置の概略構成図
【図16】実施形態6におけるRAMの内部構成図
【符号の説明】
1・・スイッチングHUB装置 2・・バックボーン用ポート 3・・ポート 4・・パーソナルコンピュータ(PC) 5・・LANインタフェース部 6・・スイッチング回路 7・・コントロール回路 7a・・CPU 7b・・RAM 7c・・ROM 70・・管理テーブル 71・・セキュリティテーブル 7d・・タイマ 8・・マルチモジュールHUB装置 9・・スロット 9a・・スロット1 9b・・スロット2 9c・・スロット3 9d・・スロット4 9e・・スロット5 9f・・スロット6 10・・10BASE-Tインタフェースモジュール 11・・10BASE-Tインタフェースモジュール 12・・10BASE5インタフェースモジュール 13・・10BASE5インタフェースモジュール 14・・管理モジュール 14a・・CPU 14b・・RAM 14c・・ROM 141・・管理テーブル 142・・セグメントテーブル 143・・セキュリティテーブル 15・・ブリッジモジュール 16・・10BASE5インタフェースモジュール

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 端末を接続するポートを複数有するLA
    N集線装置であり、 各ポートを特定するポート識別情報毎に、少なくとも、
    各ポートに接続されている端末のメディアアドレスを登
    録する管理テーブルと、 前記管理テーブルからポート識別情報と、各ポートに接
    続されている端末のメディアアドレスとを読み出すセキ
    ュリティ情報読出手段と、 前記セキュリティ情報読出手段が読み出したポート識別
    情報及びメディアアドレスを登録するセキュリティテー
    ブルと、 前記ポートに、送信元の端末のメディアアドレス及び宛
    先の端末のメディアアドレスを付加された信号が送信さ
    れてきたときに、前記セキュリティテーブルを参照し
    て、前記ポートのメディアアドレスと前記送信元の端末
    のメディアアドレスとが不一致ならば、前記ポートを切
    断するセキュリティ実行手段と、 を備えるLAN集線装置。
  2. 【請求項2】 前記セキュリティ情報読出手段は、一定
    周期毎に、前記管理テーブルからポート識別情報及びメ
    ディアアドレスを読み出し、 前記セキュリティテーブルは、前記セキュリティ情報読
    出手段がポート識別情報及びメディアアドレスを読み出
    すと、これらの情報により登録内容を更新する請求項1
    記載のLAN集線装置。
  3. 【請求項3】 前記セキュリティ情報読出手段及びセキ
    ュリティテーブルは、前記セキュリティ実行手段が動作
    していない間に、セキュリティテーブルの内容を更新・
    変更させる請求項2記載のLAN集線装置。
  4. 【請求項4】 前記セキュリティテーブルには、前記ポ
    ート識別情報とメディアアドレスとに加えて、登録内容
    の更新回数を登録する請求項2記載のLAN集線装置。
  5. 【請求項5】 端末を接続するポートを複数有するスロ
    ットを複数有するマルチメディア型LAN集線装置であ
    り、 各スロット毎に、各ポートを特定するポート識別情報、
    及び各ポートに接続されている端末のメディアアドレス
    を登録するスロット管理テーブルと、 前記スロット管理テーブルからスロット識別情報と各ス
    ロットのポートに接続されている端末のメディアアドレ
    スとを読み出すセキュリティ情報読出手段と、 各スロットの属性情報に基づいて、前記端末のメディア
    アドレスをグループ分けして、各グループにグループ識
    別情報を付加するグループ化手段と、 前記グループ化手段によりグループ分けされたグループ
    のグループ識別情報毎に、各グループのメディアアドレ
    ス群を登録するセキュリティテーブルと、 前記グループのポートに、送信元の端末のメディアアド
    レス及び宛先の端末のメディアアドレスを付加された信
    号が送信されてきたときに、前記セキュリティテーブル
    を参照して、前記グループのメディアアドレス群に、前
    記送信元の端末のメディアアドレスと同一のメディアア
    ドレスが未登録ならば、前記ポートを切断するセキュリ
    ティ実行手段と、 を備えるマルチメディア型LAN集線装置。
JP34350395A 1995-12-28 1995-12-28 Lan集線装置 Expired - Fee Related JP3594391B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP34350395A JP3594391B2 (ja) 1995-12-28 1995-12-28 Lan集線装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP34350395A JP3594391B2 (ja) 1995-12-28 1995-12-28 Lan集線装置

Publications (2)

Publication Number Publication Date
JPH09186713A true JPH09186713A (ja) 1997-07-15
JP3594391B2 JP3594391B2 (ja) 2004-11-24

Family

ID=18362021

Family Applications (1)

Application Number Title Priority Date Filing Date
JP34350395A Expired - Fee Related JP3594391B2 (ja) 1995-12-28 1995-12-28 Lan集線装置

Country Status (1)

Country Link
JP (1) JP3594391B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007183837A (ja) * 2006-01-06 2007-07-19 Fujitsu Ltd 環境設定プログラム、環境設定システムおよび環境設定方法
JP2007235634A (ja) * 2006-03-02 2007-09-13 Nec Corp ネットワークカードセレクタ
US7801106B2 (en) 1999-12-22 2010-09-21 Nokia Corporation Prevention of spoofing in telecommunications system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7801106B2 (en) 1999-12-22 2010-09-21 Nokia Corporation Prevention of spoofing in telecommunications system
JP2007183837A (ja) * 2006-01-06 2007-07-19 Fujitsu Ltd 環境設定プログラム、環境設定システムおよび環境設定方法
JP2007235634A (ja) * 2006-03-02 2007-09-13 Nec Corp ネットワークカードセレクタ

Also Published As

Publication number Publication date
JP3594391B2 (ja) 2004-11-24

Similar Documents

Publication Publication Date Title
US6775830B1 (en) Computer system and a program install method thereof
JP3473975B2 (ja) ネットワークシステムおよびネットワークにおける通信方法
US6253334B1 (en) Three bus server architecture with a legacy PCI bus and mirrored I/O PCI buses
US7280547B2 (en) Dynamic WAN port detection
US7386876B2 (en) MAC address-based communication restricting method
US20020146002A1 (en) Network administration apparatus, network administrating program, network administrating method and computer network system
US6148004A (en) Method and apparatus for establishment of dynamic ESCON connections from fibre channel frames
EP0621713A2 (en) Communication of local area network based applications on a switched network
JP2005006303A (ja) 仮想ネットワーク・アドレス
US20100070662A1 (en) Method, apparatus and system for serial attached scsi (sas) zoning management of a domain using initiator isolation
JPH0612532B2 (ja) Lanにおける無許可サービス防止方法及びシステム
US20020144024A1 (en) Method and system for assigning peripheral devices to logical ports of a network peripheral server
US20070155422A1 (en) Method for controlling mobile data connection through USB Ethernet management of mobile station
US5541853A (en) Processor configurable for both virtual mode and protected mode
JPH09186713A (ja) Lan集線装置
WO1996038792A1 (en) Monitoring and control of data flow in a computer network device
US20020194332A1 (en) Method and apparatus to manage resources for a multi-threaded device driver
Cisco Configuring IBM Channel Attach
Cisco Configuring the 12E/2FE Interfaces
WO1998056150A1 (en) Shared use of a network interface card between heterogeneous computer systems
JP2000134207A (ja) バーチャルローカルエリアネットワーク構成情報管理方式
JPH08221234A (ja) プリンタ共有ネットワークシステム
JPH0693685B2 (ja) フレーム選択受信方法
KR960006472B1 (ko) TICOM IOP 환경에서 FDDI펌웨어(firmware) 구동방법
JPH10143455A (ja) クライアント/サーバシステム

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20030408

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040831

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090910

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees