JPH09186713A - Lan集線装置 - Google Patents
Lan集線装置Info
- Publication number
- JPH09186713A JPH09186713A JP7343503A JP34350395A JPH09186713A JP H09186713 A JPH09186713 A JP H09186713A JP 7343503 A JP7343503 A JP 7343503A JP 34350395 A JP34350395 A JP 34350395A JP H09186713 A JPH09186713 A JP H09186713A
- Authority
- JP
- Japan
- Prior art keywords
- port
- security
- media address
- slot
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
の設定を自動的に行える技術を提供し、ネットワーク管
理者にかかる負担を軽減すると共に、メディアアドレス
の入力ミスを防止することを課題とする。 【解決手段】各ポートを特定するポート識別情報毎に、
少なくとも、各ポートに接続されている端末のメディア
アドレスを登録する管理テーブルと、管理テーブルから
ポート識別情報及び各ポートに接続されている端末のメ
ディアアドレスとを読み出すセキュリティ情報読出手段
と、セキュリティ情報読出手段が読み出したポート識別
情報及びメディアアドレスを登録するセキュリティテー
ブルと、あるポートに、送信元の端末のメディアアドレ
ス及び宛先の端末のメディアアドレスを付加された信号
が送信されてきたときに、前記セキュリティテーブルを
参照して、セキュリティ処理を実行するセキュリティ実
行手段とを備える。
Description
N)に利用される集線装置のセキュリティ自動設定シス
テムに関する。
にHUBと呼ばれる集線装置を接続し、この集線装置に
複数の端末を接続している。
は網外からの信号を受信すると、この信号を、接続され
ている全ての端末へ分配したり、特定の端末のみへ送信
したりする装置である。
ングHUB、マルチモジュールHUB等のように、様々
の種類のものがある。また、最近では、ネットワークが
拡張され、多数のユーザが参加するようになってきてい
るため、不正なユーザが参加してきても簡単に発見する
ことが困難になってきている。そこで、ネットワークの
入り口であるHUBにセキュリティ機能をもたせ、不正
アクセスを事前に防止することが重要になってきてい
る。
は、HUBの各ポートに接続される端末毎にメディアア
ドレスを登録し、信号の送受信を行う場合には、送信元
の端末のアドレスと宛先の端末のアドレスとを信号に付
加することを前提とし、登録されていないアドレスが付
加されている信号を受信すると、その信号のデータ部分
にスクランブルをかける方法や、HUBの複数のポート
を一つのグループとして、複数のグループに分割し、各
グループ毎にメディアアドレスを設定し、信号の送受信
を行う場合には、送信元の端末のグループのメディアア
ドレスと宛先の端末のグループのメディアアドレスとを
信号に付加することを前提とし、登録されていないアド
レスが付加されている信号を受信すると、そのグループ
へ送受信される信号のデータ部分にスクランブルをかけ
る方法等がある。
ポートのグループ毎にメディアアドレスを設定する場合
には、予めネットワーク管理者がメディアアドレスの設
定及び入力を行わなければならず、作業が煩雑である上
に、入力ミスの虞がある。
されたものであり、セキュリティ用のメディアアドレス
の設定を自動的に行える技術を提供し、ネットワーク管
理者にかかる負担を軽減すると共に、メディアアドレス
の入力ミスを防止することを課題とする。
決するために以下のような手段を採用した。すなわち、
本発明のLAN集線装置は、端末を接続するポートを複
数有する装置であり、管理テーブル、セキュリティ情報
読出手段、セキュリティテーブル、及びセキュリティ実
行手段を備えている。
ト識別情報毎に、各ポートに接続されている端末のメデ
ィアアドレスを登録している。セキュリティ情報読出手
段は、管理テーブルからポート識別情報と、各ポートに
接続されている端末のメディアアドレスとを読み出す。
報読出手段が読み出したポート識別情報と、メディアア
ドレスとを登録するセキュリティテーブルと、セキュリ
ティ実行手段は、或るポートに、送信元の端末のメディ
アアドレス及び宛先の端末のメディアアドレスを付加さ
れた信号が送信されてきたときに、セキュリティテーブ
ルを参照して、前記ポートのメディアアドレスと前記送
信元の端末のメディアアドレスとが不一致ならば、前記
ポートを切断する。
周期毎に、管理テーブルからポート識別情報及びメディ
アアドレスを読み出して、セキュリティテーブルの登録
内容を更新させるようにしてもよい。
リティ実行手段が動作していない間に、セキュリティテ
ーブルの内容を更新させることが好ましい。さらに、セ
キュリティテーブルには、ポート識別情報とメディアア
ドレスとに加えて、登録内容の更新回数を登録するよう
にしてもよい。
スロットを複数装填することができるマルチメディア型
LAN集線装置の場合には、スロット管理テーブル、セ
キュリティ情報読出手段、グループ化手段、セキュリテ
ィテーブル、及びセキュリティ実行手段を備えるように
する。
に、各ポートを特定するポート識別情報と各ポートに接
続されている端末のメディアアドレスとを登録するテー
ブルである。
理テーブルからスロット識別情報と各スロットのポート
に接続されている端末のメディアアドレスとを読み出
す。グループ化手段は、各スロットの属性情報に基づい
て、前記端末のメディアアドレスをグループ分けして、
各グループにグループ識別情報を付加する。
によりグループ分けされたグループのグループ識別情報
毎に、各グループのメディアアドレス群を登録する。セ
キュリティ実行手段は、あるグループのポートに、送信
元の端末のメディアアドレス及び宛先の端末のメディア
アドレスを付加された信号が送信されてきたときに、前
記セキュリティテーブルを参照して、前記グループのメ
ディアアドレス群に、前記送信元の端末のメディアアド
レスと同一のメディアアドレスが登録されていなけれ
ば、前記ポートを切断する。
図面に沿って説明する。 《実施形態1》本実施形態では、本発明のLAN集線装
置として、スイッチングHUB装置を例に挙げて説明す
る。
thernet通信に適用した場合の概略構成を示す図
である。同図に示すように、スイッチングHUB装置1
は、基幹LANを接続するためのバックボーン用ポート
2と、端末を接続するための5個のポート3とを有して
いる。
が接続されている。5個の各ポート3には、本発明の端
末として、パーソナルコンピュータ(PC)4が接続さ
れている。
C)4には、本発明のメディアアドレスとして、MAC
(Media Access Control;媒体アクセス制御)アドレス
が割り当てられている。そして、各パーソナルコンピュ
ータ(PC)4は、データを送信する際にパケットを作
成することになるが、このとき、パケットには、図2に
示すように、送信元アドレス(SA)と宛先アドレス
(DA)とが挿入される。
ナルコンピュータ(PC)4からパケットを受信する
と、このパケットから宛先アドレス(DA)を抽出し、
この宛先アドレスが示すパーソナルコンピュータ(P
C)4のポート3を判別する。そして、スイッチングH
UB装置1は、宛先アドレス(DA)が示すポート3
と、前記パケットを受信したポート3とを接続(スイッ
チング)し、受信したパケットを宛先のパーソナルコン
ピュータ(PC)4へ送信することができるようになっ
ている。
HUB装置の概略構成を示す図である。スイッチングH
UB装置1は、基幹LANとのインタフェース処理を行
うLANインタフェース部5と、LANインタフェース
部5とポート3との接続/切断あるいはポート3間の接
続/切断を切り換えるスイッチング回路6と、スイッチ
ング回路6の動作を制御するコントロール回路7とを備
えている。
に、CPU7a、RAM7b、及びROM7cをバスで
接続して構成されている。RAM7bには、図5に示す
ように、管理テーブル70とセキュリティテーブル71
とが格納されている。
るポート番号毎に、各ポート3に接続されているパーソ
ナルコンピュータ(PC)4のMACアドレスを含む情
報を登録している。
を特定するポート番号毎に、各ポート3に接続されてい
るパーソナルコンピュータ(PC)4のMACアドレス
のみを登録している。
実行すべきアプリケーションプログラムを格納してい
る。ここで、CPU7aがROM7cのアプリケーショ
ンプログラムを実行することにより、実現される機能に
ついて図6に沿って説明する。
ーションプログラムを実行することにより、本発明のセ
キュリティ情報読出手段としてのセキュリティ情報読出
部と、本発明のセキュリティ実行手段としてのセキュリ
ティ実行部と、スイッチング処理部とが実現される。
HUB1のセキュリティ機能がオンになると(図示しな
い入力装置からセキュリティ機能の起動命令が入力され
ると)、RAM7bの管理テーブル70から各ポートの
ポート番号と各ポートに接続されているパーソナルコン
ピュータ(PC)4のMACアドレスとを読み出し、セ
キュリティテーブル71上に登録する。
ケットが入力されると、このポートのポート番号を判別
すると共に、入力されたパケットから送信元アドレス
(SA)を読み出す。そして、セキュリティ実行部は、
判別されたポート番号をキーワードにしてセキュリティ
テーブル71へアクセスし、前記ポート番号に対応する
MACアドレスを読み出す。そして、パケットから読み
出された送信元アドレス(SA)とセキュリティテーブ
ル71から読み出されたMACアドレスとが一致するか
否かを判別する。そして、セキュリティ実行部は、双方
のアドレスが一致すれば、スイッチング処理部に対し
て、前記ポートと、宛先のパーソナルコンピュータ(P
C)が接続されているポートとの接続を依頼する。一
方、双方のアドレスが不一致ならば、スイッチング処理
部に対して、前記ポートの切断を依頼する。
部からポートの接続を依頼されると、入力したパケット
から宛先アドレス(DA)を読み出し、この宛先アドレ
ス(DA)をキーワードにして管理テーブル70へアク
セスする。そして、スイッチング処理部は、前記宛先ア
ドレス(DA)に対応するポート番号を判別する。そし
て、スイッチング処理部は、スイッチング回路6を動作
させて、前記パケットを入力したポートと前記宛先アド
レス(DA)に対応するポートとを接続させる。
ィ実行部からポートの切断を依頼されると、前記ポート
の接続処理は行わない。以下、本実施形態におけるセキ
ュリティ情報の自動設定処理について図7のフローチャ
ートに沿って説明する。
の起動命令が入力されると、CPU7aは、ROM7c
のアプリケーションプログラムを実行して、以下の処理
を実現する。
理テーブル70へアクセスして、各ポート3のポート番
号と各ポート3に接続されているパーソナルコンピュー
タ(PC)4のMACアドレスとを読み出す(ステップ
701)。
番号とMACアドレスとは、RAM7bのセキュリティ
テーブル71へ書き込まれる(ステップ702)。この
とき、セキュリティテーブル71に書き込まれたポート
番号とMACアドレスとは、固定値になり(ステップ7
03)、これ以降、スイッチングHUB装置1のセキュ
リティ機能が起動される(ステップ704)。ここでい
う、セキュリティ機能とは、前述のセキュリティ実行部
により実現される機能をいう。
更された場合などには、セキュリティ機能を一旦停止し
て、再度セキュリティ機能の起動命令を入力すれば、前
述のステップ701〜ステップ703の処理が繰り返し
実行されるので、更新・変更された管理テーブル70の
内容が、自動的にセキュリティテーブル71に反映され
る。
により作成していたセキュリティテーブルを自動的に作
成することができる。 《実施形態2》本実施態様におけるスイッチングHUB
装置は、前述の実施態様1の構成に対して、コントロー
ル回路7の構成が異なっており、その他の構成は同一で
ある。
回路7の構成を図8に示す。同図に示すように、コント
ロール回路7は、前述の実施態様1の構成に加えて、タ
イマ7dを備えている。このタイマ7dは、一定時間を
計時するものであり、セキュリティ機能がオフ状態の時
に、起動される。そして、タイマ7dが一定時間を計時
すると、CPU7aは、セキュリティテーブル71の内
容を更新するようになっている。即ち、セキュリティテ
ーブル71に、ポート番号とMACアドレスとが一旦登
録された後に、セキュリティ機能がオフ状態になってい
ると、CPU7aは、タイマ7dを起動する。そして、
CPU7aは、タイマ7dが一定時間を計時し終わる
と、再度RAM7bの管理テーブル70からポート番号
とMACアドレスとを読み出し、セキュリティテーブル
71に上書きする。
報の自動設定処理について図9に沿って説明する。CP
U7aは、図示しない入力装置からセキュリティ機能の
起動命令が入力させると、ROM7cのアプリケーショ
ンプログラムを実行することにより、以下の処理を実現
する。
理テーブル70へアクセスし、各ポートのポート番号
と、各ポートに接続されているパーソナルコンピュータ
(PC)4のMACアドレスを読み出す(ステップ90
1)。
番号とMACアドレスとは、RAM7bのセキュリティ
テーブル71に書き込まれる(ステップ902)。ここ
で、CPU7aは、再度、セキュリティ機能が引き続き
起動状態にあるか、あるいは停止命令が入力されたかを
判別する(ステップ903)。
状態にあれば、CPU7aは、セキュリティテーブル7
1の内容を固定値として(ステップ904)、セキュリ
ティ機能を開始する(ステップ905)。
キュリティ機能の停止命令が入力されていれば、タイマ
7dを起動する(ステップ906)。そして、タイマ7
dが一定時間の計時を終了すると、CPU7aは、前述
のステップ901以降の処理を繰り返し実行する。
テーブル71の登録内容を、自動的に更新・変更するこ
とができ、オペレータにかかる負担をより軽減すること
ができる。
チングHUB装置は、前述の実施態様2の構成と同様で
あるが、コントロール回路7のタイマ7dは、セキュリ
ティ機能がオン状態のときに起動される。そして、タイ
マ7dが一定時間を計時すると、CPU7aは、セキュ
リティテーブル71の内容を更新するようになってい
る。即ち、CPU7aは、セキュリティテーブル71
に、ポート番号とMACアドレスとを登録したときに、
タイマ7dを起動する。そして、CPU7aは、タイマ
7dが一定時間を計時し終わると、再度RAM7bの管
理テーブル70からポート番号とMACアドレスとを読
み出し、各ポート毎に、管理テーブル70から読み出さ
れたMACアドレスと、セキュリティテーブル71に登
録されているMACアドレスとを比較する。ここで、両
者のMACアドレスが不一致ならば、セキュリティテー
ブル71に登録されていたMACアドレスを、管理テー
ブル70から読み出されたMACアドレスへ書き換え
る。
ーブル71の情報とが不一致になる場合としては、例え
ば、以下の3つの場合が考えられる。 (1)一定時間の間に、空き状態にあったポートにパー
ソナルコンピュータ(PC)4が接続されると、管理テ
ーブル70の前記ポートのエントリは、前記パーソナル
コンピュータ(PC)4が接続された時点で、空き状態
を示す情報から前記パーソナルコンピュータ(PC)4
のMACアドレスへ書き換えられることになる。このた
め、一定時間後に管理テーブル70から読み出された情
報と、セキュリティテーブル71に登録されている情報
とは不一致になる。
されていたパーソナルコンピュータ(PC)4が他のパ
ーソナルコンピュータ(PC)4へ変更されると、管理
テーブル70の前記ポートのエントリは、前記ポートに
前記他のパーソナルコンピュータ(PC)4が接続され
た時点で、前記パーソナルコンピュータ(PC)4のM
ACアドレスから前記他のパーソナルコンピュータ(P
C)4のMACアドレスへ書き換えられることになる。
このため、一定時間後に管理テーブル70から読み出さ
れた情報と、セキュリティテーブル71に登録されてい
る情報とは不一致になる。
されていたパーソナルコンピュータ(PC)4が切り離
されると、管理テーブル70の前記ポートのエントリ
は、前記パーソナルコンピュータ(PC)4が切り離さ
れた時点で、前記パーソナルコンピュータ(PC)4の
MACアドレスから空き状態を示す情報へ書き換えられ
ることになる。このため、一定時間後に管理テーブル7
0から読み出された情報と、セキュリティテーブル71
に登録されている情報とは不一致になる。
一定時間経過後に、セキュリティテーブル71の情報
は、管理テーブル70から読み出された情報によって更
新されることになる。
報の自動設定処理について図10に沿って説明する。C
PU7aは、図示しない入力装置からセキュリティ機能
の起動命令が入力させると、ROM7cのアプリケーシ
ョンプログラムを実行することにより、以下の処理を実
現する。
理テーブル70へアクセスし、各ポートのポート番号
と、各ポートに接続されているパーソナルコンピュータ
(PC)4のMACアドレスを読み出す(ステップ10
01)。
70から読み出された情報と、セキュリティテーブル7
1に登録されている情報とが比較される。そして、セキ
ュリティテーブル71のエントリのうち、管理テーブル
70から読み出された情報と異なる情報が登録されてい
るエントリが存在する場合には、そのエントリの情報
を、管理テーブル70から読み出された情報によって更
新することになるが、セキュリティ機能の起動直後で
は、セキュリティテーブル71のエントリには何も登録
されていないので、管理テーブル70から読み出された
全ての情報が、セキュリティテーブル71に登録される
(ステップ1002、1003)。
終わると、CPU7aは、セキュリティテーブル71の
情報に従ってセキュリティ機能の実行を開始する(ステ
ップ1004)とともに、タイマ7dを起動する。
と、CPU7aは、再度RAM7bの管理テーブル70
へアクセスし、ポート番頭とMACアドレスとを読み出
す(ステップ1001)。
ーブル70から読み出された情報と、セキュリティテー
ブル71に登録されている情報とを比較し(ステップ1
002)、セキュリティテーブル71のエントリのう
ち、管理テーブル70から読み出された情報と不一致の
情報が登録されているエントリが存在する場合には、そ
のエントリの情報を、管理テーブル70から読み出され
た情報で更新する(ステップ1003)。そして、CP
U7aは、更新後のセキュリティテーブル71に従って
セキュリティ機能を実行する。
テーブル71の登録内容を、自動的に更新・変更するこ
とができる。さらに、セキュリティ機能の実行中に、空
き状態のポートにパーソナルコンピュータ(PC)4が
接続された場合や、あるポートに接続されているパーソ
ナルコンピュータ(PC)4が変更された場合でも、一
定時間経過後には、新たに接続されたパーソナルコンピ
ュータ(PC)4に対するセキュリティ機能を実行する
ことができる。
ポートのパーソナルコンピュータ(PC)4が切り離さ
れた場合には、一定時間経過後からは、そのポートに対
するセキュリティ機能を実行しないようにすることもで
きる。
チングHUB装置は、前述の実施態様1の構成に対し
て、コントロール回路7の構成が異なっている。すなわ
ち、本実施形態では、コントロール回路7のRAM7b
に設定されている管理テーブル70の構成が異なってい
る。
の内部構成を示している。同図に示すように、管理テー
ブル70は、ポート番号毎に、各ポートに接続されてい
るパーソナルコンピュータ(PC)4のMACアドレス
を登録するエントリに加え、各ポートのMACアドレス
が変更された回数、すなわち、あるポートに接続されて
いるパーソナルコンピュータ(PC)4が他のパーソナ
ルコンピュータ(PC)4に変更された回数(以下、変
更回数と記す)を登録するエントリが設定されている。
これに対応して、コントロール回路7のCPU7aは、
セキュリティ機能がオフ状態にあるときに、各ポートの
MACアドレスが変更されると、そのポートの変更回数
をインクリメントする。そして、CPU7aは、セキュ
リティ機能がオンになったときに、管理テーブル70の
変更回数を参照し、変更回数が特定値以下のポートのM
ACアドレスだけを読み出し、セキュリティテーブル7
1へ登録する。一方、MACアドレスの変更回数が特定
値を超えているポートについては、そのポートのMAC
アドレスがセキュリティテーブル71へ登録されず、セ
キュリティ機能が実行されないようになっている。
“1”に設定すると、管理テーブル70に登録されてい
る3つのポート(ポート1〜ポート3)のうち、変更回
数が“1”以下のポートは、「ポート1」と「ポート
2」であるから、CPU7aは、セキュリティ機能がオ
ンになったときに、「ポート1」のMACアドレス「0
0000e123456」と「ポート3」のMACアド
レス「00000e345678」とだけを、セキュリ
ティテーブル71に登録する。そして、CPU7aは、
「ポート1」と「ポート3」についてのみ、セキュリテ
ィ機能を実行する。
時するタイマを設け、このタイマが一定時間を計時して
いる間、MACアドレスが変更されなかったポートにつ
いては、その変更回数を特定値以下にリセットするよう
にしてもよい。
LAN集線装置として、マルチモジュールHUB装置を
例に挙げて説明する。
の概略構成を示す図である。同図に示すように、マルチ
モジュールHUB装置8は、モジュールを装填するため
の6つのスロット9a〜9f(以下、総称してスロット
9と記す)を備えている。
利用する10BASE5用のインタフェースモジュール13
が装填されている。スロット2(9b)には、同軸ケー
ブルを利用する10BASE5用のインタフェースモジュー
ル12が装填されている。
ケーブルを使用する10BASE-T用のインタフェースモジ
ュール11が装填されている。スロット4(9d)に
は、ツィストペア・ケーブルを使用する10BASE-T用の
インタフェースモジュール10が装填されている。
ト間の接続/切断を切り換えるブリッジモジュール15
が装填されている。スロット6(9f)には、各スロッ
ト1(9a)〜スロット5(9e)に装填されているモ
ジュールを制御する管理モジュール14が装填されてい
る。
(9d)に装填されている、10BASE-Tインタフェース
モジュール(10)、10BASE-Tインタフェースモジュ
ール(11)、10BASE5インタフェースモジュール
(12)、及び10BASE5インタフェースモジュール
(13)は、各々4つのポートを有しており、各ポート
には、各通信ケーブルの形態に対応した端末が接続され
ている。
ール(10)のポートに接続されている端末と、10BA
SE-Tインタフェースモジュール(11)のポートに接続
されている端末との計8個の端末は、一つのセグメント
を形成している。
ル(12)のポートに接続されている端末と、10BASE
5インタフェースモジュール(13)のポートに接続さ
れている端末との計8個の端末も、一つのセグメントを
形成しているものとする。
レスとしてのMACアドレスが割り当てられているもの
とする。ここで、図13に管理モジュール14の概略構
成を示す。
は、CPU14a、RAM14b、及びROM14cを
バスで接続して構成されている。RAM14bには、図
14に示すように、管理テーブル140と、セグメント
テーブル141と、セキュリティテーブル142とが格
納されている。
モジュール10・11・12・13が装填されているス
ロット9a・9b・9c・9dの各スロット番号毎に、
各インタフェースモジュール10・11・12・13の
各ポートを特定するポート番号と、各ポートに接続され
ている端末のMACアドレスとを格納している。
ェースモジュール10・11・12・13が装填されて
いるスロットのスロット番号毎に、各インタフェースモ
ジュール10・11・12・13に接続されている端末
群のセグメントを特定するセグメントIDが格納されて
いる。本実施形態では、スロット1(9a)の10BASE
5インタフェースモジュール13に接続されている4つ
の端末と、スロット2(9b)の10BASE5インタフェ
ースモジュール12に接続されている4つの端末との計
8個の端末は、セグメント1に属するものとする。ま
た、スロット3(9c)の10BASE-Tインタフェースモ
ジュール11に接続されている4つの端末と、スロット
4(9d)の10BASE-Tインタフェースモジュール10
に接続されている4つの端末との計8個の端末は、セグ
メント2に属するものとする。
スロット1とスロット2のエントリにセグメントID
「1」が登録され、スロット3とスロット4のエントリ
にセグメントID「2」が登録される。
ジュールHUB装置8に接続されている16つの端末を
グループに分割し、各グループを特定するグループ番号
毎に、各グループに属する端末のMACアドレスを登録
するテーブルである。本実施形態では、セグメントテー
ブル141のセグメントに従って端末をグループ分けす
るものとする。従って、セグメント1に属する端末をグ
ループ1とし、セグメント2に属するグループ2とす
る。
14aが実行すべきアプリケーションプログラムが格納
されている。ここで、CPU14aがROM14cのア
プリケーションプログラムを実行することにより、実現
される機能について述べる。
リケーションプログラムを実行することにより、本発明
のセキュリティ情報読出手段としてのセキュリティ情報
読出部と、本発明のグループ化手段としてのグループ化
部と、本発明のセキュリティ実行手段としてのセキュリ
ティ実行部と、スイッチング処理部とが実現される。
ールHUB装置8のセキュリティ機能がオンになると
(図示しない入力装置からセキュリティ機能の起動命令
が入力されると)、RAM14bの管理テーブル140
から各スロット9a・9b・9c・9dのスロット番号
と、各スロット9a・9b・9c・9dのポートのポー
ト番号と、各ポートに接続されている端末のMACアド
レスとを読み出す。
が読み出したスロット番号をキーワードにしてセグメン
トテーブル141を参照し、16つの端末をグループ分
けする。そして、グループ化部は、各グループにグルー
プ番号を付加し、各グループのグループ番号と、各グル
ープに属する端末のMACアドレスとをセキュリティテ
ーブル142に登録する。
ットが入力されると、このポートを有するインタフェー
スモジュール10・11・12・13のスロット番号を
判別し、さらにスロット番号に基づいて送信元の端末が
属するセグメント(グループ)番号を判別する。また、
セキュリティ実行部は、入力されたパケットから送信元
アドレス(SA)を読み出す。そして、セキュリティ実
行部は、判別されたグループ番号をキーワードにしてセ
キュリティテーブル141へアクセスし、前記グループ
番号に対応するMACアドレス群の中に、パケットから
読み出された送信元アドレス(SA)と一致するMAC
アドレスが存在するか否かを判別する。そして、セキュ
リティ実行部は、前記グループの中に、パケットから読
み出された送信元アドレス(SA)と一致するMACア
ドレスが存在すれば、スイッチング処理部に対して、前
記ポートと、宛先の端末が接続されているポートとの接
続を依頼する。一方、双方のアドレスが不一致ならば、
スイッチング処理部に対して、前記ポートの切断を依頼
する。
部からポートの接続を依頼されると、入力したパケット
から宛先アドレス(DA)を読み出し、この宛先アドレ
ス(DA)をキーワードにして管理テーブル140へア
クセスする。そして、スイッチング処理部は、前記宛先
アドレス(DA)に対応するポート番号を判別する。そ
して、スイッチング処理部は、双方のポートを収容する
インタフェースモジュール10・11・12・13に対
して、前記パケットを入力したポートと前記宛先アドレ
ス(DA)に対応するポートとを接続させる。
ィ実行部からポートの切断を依頼されると、前記ポート
の接続処理は行わない。以上、本実施形態によれば、マ
ルチモジュールHUB装置8でも、セキュリティテーブ
ルを自動的に作成することができ、オペレータにかかる
負担を軽減することができるとともに、手入力による入
力ミスを防止することができる。
する際に、セグメントテーブルを利用しているが、ブリ
ッジモジュールに設定されているフォワーディングテー
ブルを利用して端末群のグループ化を行うようにしても
よい。
施形態5と同様に、マルチモジュールHUB装置を例に
挙げて説明する。
の概略構成を示す図である。このマルチモジュールHU
B装置8は、前述の実施形態5では6つのスロットを備
えていたのに対して、5つのスロット9a・9b・9c
・9d・9e(以下、総称してスロット9と記す)を備
えている。
ーブルを利用する10BASE5用のインタフェースモジュ
ール13が装填されている。スロット2(9b)には、
同軸ケーブルを利用する10BASE5用のインタフェース
モジュール12が装填されている。
利用する10BASE5用のインタフェースモジュール16
が装填されている。スロット4(9d)には、異なるセ
グメント間の接続/切断を切り換えるブリッジモジュー
ル15が装填されている。
(9a)〜スロット4(9d)に装填されているモジュ
ールを制御する管理モジュール14が装填されている。
ここで、スロット1(9a)〜スロット3(9c)に装
填されている、10BASE5インタフェースモジュール1
6、10BASE5インタフェースモジュール12、及び1
0BASE5インタフェースモジュール13には、各々4つ
のポートが設けられており、各ポートには、各通信ケー
ブルの形態に対応した端末が接続されている。
ール16と、10BASE5インタフェースモジュール12
と、10BASE5インタフェースモジュール13とは、一
つのセグメントを形成しているものとする。
成を示す。RAM14bには、前述の実施形態5と同様
に、管理テーブル140と、セグメントテーブル141
と、セキュリティテーブル142とが設定されている。
モジュール12・13・16が装填されているスロット
9a・9b・9cのスロット番号毎に、各インタフェー
スモジュール12・13・16の各ポートを特定するポ
ート番号と、各ポートに接続されている端末のMACア
ドレスとを格納している。
ェースモジュール12・13・16が装填されているス
ロット9a・9b・9cのスロット番号毎に、各インタ
フェースモジュール12・13・16に接続されている
端末群のセグメントを特定するセグメントIDが格納さ
れている。本実施形態では、スロット1(9a)〜スロ
ット3(9c)のインタフェースモジュール12・13
・16に接続されている計12個の端末は、同一のセグ
メント「1」に属しているため、スロット1〜スロット
3のエントリには、セグメントIDとして「1」が登録
されている。
ントに3つのスロットが属しているが、グループ化を行
う場合に、2つのスロットを一つのグループにすること
はできるが、残りの一つのスロットは同一のグループに
することができないため、残りの1つのスロットについ
ては、グループセキュリティを適用することができな
い。従って、本実施形態では、グループ化されたスロッ
トについては、グループセキュリティを適用し、残りの
スロットについてはポートセキュリティを適用するよう
にした。具体的には、スロット1(9a)のインタフェ
ースモジュール13の4つのポートと、スロット2(9
b)のインタフェースモジュール12の4つのポートと
の計8つのポートを一つのグループとし、グループセキ
ュリティの対象としている。そして、スロット3(9
c)のインタフェースモジュール16の4つのポート
は、ポートセキュリティの対象としている。これによ
り、本実施形態のセキュリティテーブル142は、グル
ープに属するポートについては、前述の実施形態5と同
様に、グループ番号毎に、グループに属するポートに割
り当てられているMACアドレスを登録する。一方、グ
ループに属していないポートについては、前述の実施形
態1〜実施形態4に示したように、各ポートのポート番
号毎に、各ポートに割り当てられているMACアドレス
を登録するようにしている。
グループセキュリティとポートセキュリティとを同時に
実現することができる。
たセキュリティテーブルの設定作業を、自動的に行うこ
とができ、ネットワーク管理者にかかる負担を軽減する
ことができると共に、入力ミスを防止することができ
る。
略構成図
機能別構成ブロック図
定処理を示すフローチャート図
図
定処理を示すフローチャート図
設定処理を示すフローチャート図
装置の概略構成図
装置の概略構成図
Claims (5)
- 【請求項1】 端末を接続するポートを複数有するLA
N集線装置であり、 各ポートを特定するポート識別情報毎に、少なくとも、
各ポートに接続されている端末のメディアアドレスを登
録する管理テーブルと、 前記管理テーブルからポート識別情報と、各ポートに接
続されている端末のメディアアドレスとを読み出すセキ
ュリティ情報読出手段と、 前記セキュリティ情報読出手段が読み出したポート識別
情報及びメディアアドレスを登録するセキュリティテー
ブルと、 前記ポートに、送信元の端末のメディアアドレス及び宛
先の端末のメディアアドレスを付加された信号が送信さ
れてきたときに、前記セキュリティテーブルを参照し
て、前記ポートのメディアアドレスと前記送信元の端末
のメディアアドレスとが不一致ならば、前記ポートを切
断するセキュリティ実行手段と、 を備えるLAN集線装置。 - 【請求項2】 前記セキュリティ情報読出手段は、一定
周期毎に、前記管理テーブルからポート識別情報及びメ
ディアアドレスを読み出し、 前記セキュリティテーブルは、前記セキュリティ情報読
出手段がポート識別情報及びメディアアドレスを読み出
すと、これらの情報により登録内容を更新する請求項1
記載のLAN集線装置。 - 【請求項3】 前記セキュリティ情報読出手段及びセキ
ュリティテーブルは、前記セキュリティ実行手段が動作
していない間に、セキュリティテーブルの内容を更新・
変更させる請求項2記載のLAN集線装置。 - 【請求項4】 前記セキュリティテーブルには、前記ポ
ート識別情報とメディアアドレスとに加えて、登録内容
の更新回数を登録する請求項2記載のLAN集線装置。 - 【請求項5】 端末を接続するポートを複数有するスロ
ットを複数有するマルチメディア型LAN集線装置であ
り、 各スロット毎に、各ポートを特定するポート識別情報、
及び各ポートに接続されている端末のメディアアドレス
を登録するスロット管理テーブルと、 前記スロット管理テーブルからスロット識別情報と各ス
ロットのポートに接続されている端末のメディアアドレ
スとを読み出すセキュリティ情報読出手段と、 各スロットの属性情報に基づいて、前記端末のメディア
アドレスをグループ分けして、各グループにグループ識
別情報を付加するグループ化手段と、 前記グループ化手段によりグループ分けされたグループ
のグループ識別情報毎に、各グループのメディアアドレ
ス群を登録するセキュリティテーブルと、 前記グループのポートに、送信元の端末のメディアアド
レス及び宛先の端末のメディアアドレスを付加された信
号が送信されてきたときに、前記セキュリティテーブル
を参照して、前記グループのメディアアドレス群に、前
記送信元の端末のメディアアドレスと同一のメディアア
ドレスが未登録ならば、前記ポートを切断するセキュリ
ティ実行手段と、 を備えるマルチメディア型LAN集線装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP34350395A JP3594391B2 (ja) | 1995-12-28 | 1995-12-28 | Lan集線装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP34350395A JP3594391B2 (ja) | 1995-12-28 | 1995-12-28 | Lan集線装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH09186713A true JPH09186713A (ja) | 1997-07-15 |
JP3594391B2 JP3594391B2 (ja) | 2004-11-24 |
Family
ID=18362021
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP34350395A Expired - Fee Related JP3594391B2 (ja) | 1995-12-28 | 1995-12-28 | Lan集線装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3594391B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007183837A (ja) * | 2006-01-06 | 2007-07-19 | Fujitsu Ltd | 環境設定プログラム、環境設定システムおよび環境設定方法 |
JP2007235634A (ja) * | 2006-03-02 | 2007-09-13 | Nec Corp | ネットワークカードセレクタ |
US7801106B2 (en) | 1999-12-22 | 2010-09-21 | Nokia Corporation | Prevention of spoofing in telecommunications system |
-
1995
- 1995-12-28 JP JP34350395A patent/JP3594391B2/ja not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7801106B2 (en) | 1999-12-22 | 2010-09-21 | Nokia Corporation | Prevention of spoofing in telecommunications system |
JP2007183837A (ja) * | 2006-01-06 | 2007-07-19 | Fujitsu Ltd | 環境設定プログラム、環境設定システムおよび環境設定方法 |
JP2007235634A (ja) * | 2006-03-02 | 2007-09-13 | Nec Corp | ネットワークカードセレクタ |
Also Published As
Publication number | Publication date |
---|---|
JP3594391B2 (ja) | 2004-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6775830B1 (en) | Computer system and a program install method thereof | |
JP3473975B2 (ja) | ネットワークシステムおよびネットワークにおける通信方法 | |
US6253334B1 (en) | Three bus server architecture with a legacy PCI bus and mirrored I/O PCI buses | |
US7280547B2 (en) | Dynamic WAN port detection | |
US7386876B2 (en) | MAC address-based communication restricting method | |
US20020146002A1 (en) | Network administration apparatus, network administrating program, network administrating method and computer network system | |
US6148004A (en) | Method and apparatus for establishment of dynamic ESCON connections from fibre channel frames | |
EP0621713A2 (en) | Communication of local area network based applications on a switched network | |
JP2005006303A (ja) | 仮想ネットワーク・アドレス | |
US20100070662A1 (en) | Method, apparatus and system for serial attached scsi (sas) zoning management of a domain using initiator isolation | |
JPH0612532B2 (ja) | Lanにおける無許可サービス防止方法及びシステム | |
US20020144024A1 (en) | Method and system for assigning peripheral devices to logical ports of a network peripheral server | |
US20070155422A1 (en) | Method for controlling mobile data connection through USB Ethernet management of mobile station | |
US5541853A (en) | Processor configurable for both virtual mode and protected mode | |
JPH09186713A (ja) | Lan集線装置 | |
WO1996038792A1 (en) | Monitoring and control of data flow in a computer network device | |
US20020194332A1 (en) | Method and apparatus to manage resources for a multi-threaded device driver | |
Cisco | Configuring IBM Channel Attach | |
Cisco | Configuring the 12E/2FE Interfaces | |
WO1998056150A1 (en) | Shared use of a network interface card between heterogeneous computer systems | |
JP2000134207A (ja) | バーチャルローカルエリアネットワーク構成情報管理方式 | |
JPH08221234A (ja) | プリンタ共有ネットワークシステム | |
JPH0693685B2 (ja) | フレーム選択受信方法 | |
KR960006472B1 (ko) | TICOM IOP 환경에서 FDDI펌웨어(firmware) 구동방법 | |
JPH10143455A (ja) | クライアント/サーバシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20030408 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040730 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040831 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080910 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080910 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090910 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |