JPH10508996A - 安全なネットワークのためのプログラム可能な発信元アドレスロック機構 - Google Patents
安全なネットワークのためのプログラム可能な発信元アドレスロック機構Info
- Publication number
- JPH10508996A JPH10508996A JP8516069A JP51606996A JPH10508996A JP H10508996 A JPH10508996 A JP H10508996A JP 8516069 A JP8516069 A JP 8516069A JP 51606996 A JP51606996 A JP 51606996A JP H10508996 A JPH10508996 A JP H10508996A
- Authority
- JP
- Japan
- Prior art keywords
- source address
- address
- received
- port
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/44—Star or tree networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/7453—Address table lookup; Address filtering using hashing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S370/00—Multiplex communications
- Y10S370/908—Local area network
- Y10S370/911—Bridge, e.g. brouter, bus extender
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Stored Programmes (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
アドレス学習能力を有する管理されるレピータ(10)であって、特定のポート(30)と組合された格納済発信元アドルスと異なった受信された発信元アドレスを有するデータパケットを特定ポート(30)で受信すると、格納済発信元アドレスを受信された発信元アドレスで置き換えるものにおける、発信元アドレスロック回路であって、格納済発信元アドレスが、受信された発信元アドレスと一致しないとき、格納済発信元アドレスを受信された発信元アドレスで置き換えるための、特定ポートと組合されたアドレス学習回路と、アドレス学習回路と結合されアドレス学習回路が格納済発信元アドレスを受信された発信元アドレスで置き換えられないようにするためのビット値を格納するための、特定ポートに対応するアドレスロックレジスタとを含む。この管理されるレピータは、管理されるレピータ内の特定ポートについての発信元アドレス更新を管理者が、不能化できるようにすることで、発信元アドレス更新機能を持つネットワークのセキュリティを向上させる。各アドレスロックレジスタは、外部からプログラムでき、管理者は、特定のポートについての発信元アドレス更新を不能化するようにタイムウインドウをプログラムできる。管理者は、各ポートに組合された格納済発信元アドレスが更新されないよう、各アドレスロックレジスタを個別にプログラムできる。この管理されるレピータにより、管理者は、ポート1つ1つについて、管理されるレピータのアドレス学習能力を可能化するか不能化するか、プログラム可能なタイムウインドウに対して決定できる。
Description
【発明の詳細な説明】
安全なネットワークのためのプログラム可能な
発信元アドレスロック機構
関連出願との相互参照
本出願は、1994年10月10日発行の、米国特許第5,353,353号
「レピータベースのネットワークでのアドレストラッキング」および、1994
年4月20日に出願され1995年1月17日に公開された特開平7−1545
4「データを送信および受信するための複数のポートを含むネットワークの安全
を提供するためのシステム」と関連し、この2件は、あらゆる目的のために、こ
こに明示的に引用によって援用される。
発明の背景
この発明は、発信元アドレス更新機能を有するネットワークのセキュリティに
関し、より特定的には、安全なネットワークのためのプログラム可能な発信元ア
ドレスロック機構に関する。
(あらゆる目的のためここに引用により援用される)IEEE802.3規格
に基づくネットワークのような、典型的なネットワークにおいては、あるデータ
端末装置(DTE)、すなわち、ある端末局から他のDTEへ送信されるデータ
パケットは、すべてのレピータを通過する。普通、2つまたはそれ以上の端末局
が、レピータのポートを通じて、レピータに接続されている。レピータはまた、
他のレピータに接続されることもある。
典型的なデータパケットは、プリアンブルと、フレーム開始デリミタ(SFD
)と、行先アドレスフィールドと、発信元アドレスフィールドと、型/長さフィ
ールドと、データフィールドと、フレームチェックシーケンス(FCS)フィー
ルドと、送信終了デリミタ(ETD)とを含む。各DTEは、メディアアクセス
コントロール(MAC)アドレスと呼ばれる、割当てられた個別かつ一意のアド
レスを有する。DTEがデータパケットを送信するとき、送信されるデータパケ
ットは、データパケットの発信元アドレスフィールド内に、送信したDTEのM
ACアドレスを含み、その行先アドレスフィールド内に、データパケットが向
けられたDTEのMACアドレスを含んでいる。
レピータが、レピータのポートの1つにおいて、そのポートに接続されている
DTEからのデータパケットを受信すると、レピータは、このデータパケットを
変更することなく、他のポートに接続されているすべてのDTEに再送信する。
通常は、データパケットの行先アドレスフィールド内にあるMACアドレスを持
つDTEのみが、そのデータパケットを読取り、他のDTEはただそのデータパ
ケットを無視する。しかしながら、レピータがデータパケットを変更せずにすベ
てのポートに再送信するということは、ネットワークのセキュリティを危うくす
る。可能性として、行先アドレスフィールドに含まれる行先アドレスと一致しな
いMACアドレスを有する、目標とされていないDTEも、行先であるDTEの
みに向けられているデータパケットを読出し得るのである。
レピータのポートが各々、(スタートポロジのネットワークでのように)1つ
のDTEに接続されていると仮定すると、レピータに接続された管理ユニット内
のハードウェアは、各ポートに接続されたDTEのMACアドレスを学習できる
ことになる。このような管理ユニットに接続されたレピータは、アドレス学習能
力を有する管理されるレピータと呼ばれる。学習されたMACアドレスは、管理
ユニット内のメモリロケーションADR(x)に格納される。ただしxは、1か
らnまでの範囲内で、xは管理されるレピータのn個のポートの中のxポートを
識別する。
複数のDTE(たとえば、同軸ケーブル上の局や他のレピータ)に接続された
ポートは例外として、一度ポートxに接続されたDTEのMACアドレスがわか
り、ADR(x)に格納されると、ADR(x)内の値はネットワークが再構成
されない限り変わらない。
もし、管理されるレピータのポートと接続されたDTEが変われば、管理ユニ
ットは、IEEE802.3規格に従い、そのポートに対し格納されたMACア
ドレスを更新する。ポートxで受信されたデータパケットの発信元アドレスフィ
ールド内のMACアドレスと、以前にADR(x)に格納された発信元アドレス
との不一致が検出されると、管理ユニットは、格納されたMACアドレスを、受
信されたデータパケットの発信元アドレスフィールド内に含まれた受信された発
信元アドレスと置き換えることで、メモリロケーションADR(x)を更新する
。
学習されたMACアドレスの更新を可能にすることにより、ネットワークは、
ネットワークセキュリティに対する深刻な侵害という可能性にさらされる。たと
えば、侵入者は、以前にADR(x)に格納されていたMACアドレスを有する
DTEを切離し、別の装置をポートxに接続して置き換えることができる。セキ
ュリティ対策がされたネットワークにおいては、ポートxの使用をもくろむ侵入
者が以前にADR(x)に格納されていたMACアドレスを知ることは困難なの
で、侵入者は、ポートxにおいて異なったMACアドレスを使う可能性が大であ
る。一度侵入者がデータパケットを送信し、管理されるレピータが、そのデータ
パケットの発信元アドレスフィールドに違ったMACアドレスを検出すると、管
理ユニットは、以前に学習したMACアドレスを侵入者のMACアドレスで置き
換える。その後は、侵入者のアドレスがADR(x)に格納されているので、侵
入者はネットワークにアクセスできる。さらに深刻な問題が生じるのは、侵入者
がADR(x)にネットワーク上の別のDTEに対応するMACアドレスを格納
させるときである。この場合、侵入者は他のDTEに向けられたデータパケット
を受信することになる。
先行技術では、発信元アドレスが更新された後、割込みフラグをセットするこ
とで、この種のネットワークのセキュリティの問題に対処してきた。割込みフラ
グは、MACアドレスの更新が特定のポートで起こったことをネットワーク管理
者に警告する。もし、そのMACアドレスの更新が、許可されたDTEの変更の
結果ならば、管理者は割込みに応答しない。もし、その変化が許可されたもので
なければ、管理者は、次のデータパケットが届く前に、ポートを閉じるか、AD
R(x)を元の学習したMACアドレスでプログラムし直す。格納されたMAC
アドレスを更新し、ネットワークのセキュリティを提供するために更新後に割込
みフラグをセットする、アドレス学習能力を有する管理されるレピータの例は、
カリフォルニア州サニィベイルのアドバンスト・マイクロ・ディバイシズが製造
し、援用された特許第5,353,353号に記載されたIMR+/HIMIB
(P/N AM79C981(IMR)およびAM79C987(HIMIB)
)である。
この種のネットワークセキュリティシステムは、割込みフラグに適時に対応す
れば、十分なものだが、ネットワークのセキュリティが、割込みフラグに適時に
対応するためのマイクロプロセッサの速さと、複雑なソフトウェアの効率的実行
とに依存しているという点で、その性能は最適とは言えない。毎秒、数千ものデ
ータパケットがネットワークを通過するので、割込みフラグに対応する前に侵入
者にデータパケットが送信されるとすると、セキュリティの侵害は甚大になる。
割込みへの対応が遅れると、侵入者は他のDTEのふりをして、そのDTEに向
けられたデータパケットを盗聴できる。先行技術では、優先順位の高い割込みに
対応するための非常に迅速なマイクロプロセッサと複雑なソフトウェアとを用い
て、この種のセキュリティの侵害を最小限に抑えている。しかし、このような装
置は高価なので、この解決法は望ましくない。
先行技術においては、アドレス学習能力を有する管理されるレピータは、許可
されていないポートには改変したデータパケットを送信し、許可されたポートに
は改変されていないデータパケットを送信することで、ある程度のネットワーク
のセキュリティを提供していた。つまり、管理されるレピータは、もし、ADR
(x)に格納されたポートxのMACアドレスが受信されたデータパケットの行
先アドレスと一致すれば、ポートxのデータパケットを変更せずに送信する。他
の、アドレスが一致しないポートすべてに対しては、管理されるレピータはポー
トxのデータパケットを改変して送信する。こうして、許可されていないDTE
が他のDTEに向けられたデータパケットを盗聴することを防いでいる。この種
のセキュリティシステムの一例は、援用された特開平7−15454号に示され
ている。しかし、行先アドレスマッチングを用いて許可されていないDTEへの
データパケットを改変する先行技術は、依然として、先に述べた発信元アドレス
更新シナリオから生じるセキュリティの侵害には弱い。
発明の概要
この発明は、発信元アドレス更新機能を持つ管理されるレピータを備えたネッ
トワークにおいて、セキュリティを高めるための機構を提供する。この発明は、
発信元アドレス更新がネットワークのセキュリティに与える潜在的な問題のより
効率的で経済的な解決法を提供する、という点を含め、先行技術より優れたさま
ざまな利点を有する。この解決法によれば、先行技術において必要とされたよう
な、非常に迅速なマイクロプロセッサまたは複雑なソフトウェアは必要ない。
この発明の一局面によれば、これは、アドレス学習能力を持ち特定のポートで
、そのポートと組合された格納された発信元アドレスと異なる受信された発信元
アドレスを持つデータパケットを受信すると、格納された発信元アドレスを受信
された発信元アドレスで置き換える管理されるレピータにおいて動作する。好ま
しい実施例は、格納されている発信元アドレスが受信された発信元アドレスに一
致しないとき、格納されている発信元アドレスを受信された発信元アドレスで置
き換えるための、特定のポートと組合されたアドレス学習回路を含む発信元アド
レスロック回路と、アドレス学習回路に結合され、アドレス学習回路が格納され
ている発信元アドレスを受信された発信元アドレスで置き換えるのを不能化する
ビット値を格納するための、上記特定ポートに対するアドレスロックレジスタと
を含む。
発信元アドレスロック回路は、管理者が、管理されるレピータ内のどの特定の
ポートまたはポートの組についても、発信元アドレス更新を不能化できるように
することで、発信元アドレス更新機能を持つネットワークのセキュリティを向上
させる。各アドレスロックレジスタは外部から個別にプログラムでき、管理者は
、特定のポートについての発信元アドレス更新が時間の関数として不能化される
タイムウインドウをプログラムすることができる。この発明によれば、管理者は
ポート1つ1つについて管理されるレピータのアドレス学習能力がプログラムさ
れたタイムウインドウについて可能化されるべきか、不能化されるべきかを決定
できる。
明細書の以下の説明および図を参照することで、この発明の性質および利点が
さらに理解されるであろう。
図面の簡単な説明
図1はこの発明の好ましい実施例による管理されるレピータのブロック図であ
る。
図2はCAMアドレス更新回路の詳細な概略ブロック図である。
好ましい実施例の説明
図1は、マイクロプロセッサ20に結合された管理されるレピータ10のブロ
ック図である。管理されるレピータ10は、複数のポート30x(x=1からn
)と、レピータのフロントエンド40と、データ入力コントローラ50と、マイ
クロプロセッサインタフェース60と、データ入力セレクタ70と、内容参照可
能メモリ(CAM)一致インジケータ80と、CAMアドレス更新回路100と
を含む。
複数のデータ端末装置(DTE)が、複数のポート30xを通じて、管理され
るレピータ10に接続する。電源が投入されると、アドレス学習能力を持つ管理
されるレピータ10は、ポート30xに接続するDTEの各MACアドレスを学
習し、CAM一致インジケータ80内のこれと組合されたアドレスロケーション
ADR(x)に格納する。管理されるレピータ10は、ポート30xで受信され
た発信元アドレスが、ADR(x)に格納されたMACアドレスと異なるときは
、ADR(x)に格納されたMACアドレスを、ポート30xで受信されたデー
タパケットの受信された発信元アドレスで更新する。
レピータフロントエンド40は、ポート301でデータパケットを受信し、他
のポート30xにこのデータパケットを再送信する。レピータフロントエンド4
0はまた、データパケットを処理して、管理されるレピータ10内で使用される
べき、PORT信号、DATA信号、ENABLE信号、およびVALID信号
を発生させる。
PORT信号は、データパケットを受信するポート301に付けられたポート
番号を表わす4ビットの値を含む。レピータフロントエンド40は、すべてのデ
ータパケットをシリアルビットストリームで送信する。このシリアルビットスト
リームは、ポート301でのデータパケットの受信された発信元アドレスを含む
。ENABLE信号がアサートされると、DATA信号内のデータが有効である
ことを示す。VALID信号がアサートされると、データパケットに誤りがない
ことが示される。
データ入力コントローラ50は、PORT信号、DATA信号、およびENA
BLE信号を、レピータフロントエンド40から受信する。データ入力コントロ
ーラ50は、DATA信号をフォーマット化する。データ入力コントローラ50
は、受信された発信元アドレスのビットをCAM一致インジケータ80への入力
に適したフォーマットに配置するためのシフトレジスタとコントローラ(図示せ
ず)とを含む。データ入力コントローラ50は受信された発信元アドレスとポー
ト番号とを適切なフォーマットで出力する。フォーマット化した後、データ入力
コントローラ50はCAM一致インジケータに対して、COMPARE信号をア
サートして比較の手順を開始させる。
マイクロプロセッサ20に結合されたマイクロプロセッサインタフェース60
は、マイクロプロセッサ データ(MDATA)信号、マイクロプロセッサ ポ
ート(MPORT)信号、およびマイクロプロセッサ 書込(MWRITE)信
号を発生させる。MDATA信号は、マイクロプロセッサがADR(x)メモリ
ロケーションにプログラムしようとする、ポート30xに対応するMACアドレ
スを含む。MPORT信号は、マイクロプロセッサがプログラムしようとしてい
るMACアドレスを有するポート30xを識別するポート番号を含む。マイクロ
プロセッサインタフェース60はMWRITE信号をアサートし、プログラムさ
れたMACアドレスとプログラムされたポート番号とをCAM一致インジケータ
80に書込む。
データ入力セレクタ70は、データ入力コントローラ50と結合されており、
ポート番号と受信された発信元アドレスとを受信する。データ入力セレクタ70
はまた、マイクロプロセッサインタフェース60にも結合されており、MPOR
TおよびMDATAを受信する。SELECT信号(SEL)に応答して、2つ
のマルチプレクサ(図示しないがデータ入力セレクタ70に含まれる。)は、C
AM一致インジケータ80への入力として、データ入力コントローラ50または
マイクロプロセッサインタフェース60のいずれかから、ポート番号とアドレス
とを選択する。通常は、SELECT信号はLOWに設定され、データ入力セレ
クタ70はプログラムされたポート番号とアドレスとをマイクロプロセッサイン
タフェース60から選択する。
データ入力セレクタ70から、CAM一致インジケータ80は、PORT A
DR入力において、選択されたポート番号を受信し、DATA IN入力におい
て、これに対応する選択されたアドレスを受信する。CAM一致インジケータ8
0はまた、適切にフォーマット化された受信された発信元アドレスを、CMP
IN入力で受信する。
CAM一致インジケータ80は、データ入力コントローラ50からのCOMP
ARE信号がアサートされたのに応答して、CMP INの受信された発信元ア
ドレスを、CAM一致インジケータ80のADR(x)に格納されたMACアド
レスの各々と比較する。好ましい実施例では、ポート30xに対し、1つの記憶
ロケーションADR(x)がある。所望ならば、1つのポートに接続された複数
アドレスに対処するため、各ポートについて複数の記憶ロケーションを用いて、
他の実施例を実現することもできる。
比較の後、CMP IN入力の受信された発信元アドレスがADR(x)に格
納されたMACアドレスと一致するときは、CAM一致インジケータ80はMA
TCH(x)信号をアサートする。CAM一致インジケータ80は、複数のMA
TCH(x)信号を有し、その1つ1つが各ポート30xに対応する。たとえば
ポート301から受信された発信元アドレスが、ADR(2)に格納されたMA
Cアドレスと一致したら、CAM一致インジケータ80はMATCH(2)信号
をアサートする。
CAM一致インジケータ80は、WRITE信号がアサートされたのに応答し
て、DATA IN入力の選択されたアドレス情報を、PORT ADR入力の
選択されたポート番号に対応するメモリロケーションADR(PORT ADR
)に書込む。
管理されるレピータ10内での上述の機能の動作および実装に関する具体的詳
細は、援用された米国特許第5,353,353号および、特開平7−1545
4において、さらに説明されている。
CAMアドレス更新回路100は、レピータフロントエンド40からPORT
信号およびVALID信号を受信し、CAM一致インジケータ80から複数のM
ATCH(x)信号を受信し、マイクロプロセッサインタフェース60からMW
RITE信号を受信する。これらの信号に応答して、CAMアドレス更新回路1
00は、データ入力セレクタ70に対し、SELECT信号をHIGHに設定し
、CAM一致インジケータ80に対し、WRITE信号をHIGHに設定する。
C
AMアドレス更新回路100は、CAM一致インジケータ80に格納されたMA
Cアドレスをいつ更新するかを制御し、同時に、受信された発信元アドレスまた
はプログラムされたアドレスで、特定ポートに対応する格納されたMACアドレ
スを置き換えるかどうかを決定する。好ましい実施例は、CAMアドレス更新回
路100内で選択的にMACアドレス更新を不能化するよう動作する。
図2は、CAMアドレス更新回路100の詳細な概略図である。CAMアドレ
ス更新回路100は、デコーダ110と、パルス回路120と、発信元アドレス
ロック機構130とを含む。デコーダ110およびパルス回路120は、発信元
アドレスロック機構130で使えるよう入力信号を処理する。
デコーダ110はレピータフロントエンド40からのPORT信号をデコード
し、各ポート30xに1つのACTIVE(x)信号が対応する複数のACTI
VE(x)信号をアサートする。ACTIVE(x)信号は、ポート30xが活
性のとき、すなわち、ポート30xがデータパケットを受信したとき、アサート
される。好ましい実施例では、デコーダ110はPORT信号をデコードし、ポ
ート30xがデータパケットを受信したことを示すときはACTIVE信号を1
つだけアサートする。
パルス回路120は、レピータフロントエンド40からVALID信号を受信
し、1周期のパルスであるVX信号を出力する。パルス回路120は、VALI
D信号がLOWからHIGHに遷移するとき、VXをアサートする。レピータフ
ロントエンド40は、データパケットに誤りがないとき、それを示すよう、デー
タパケットの終わりにVALID信号をアサートする。
発信元アドレスロック機構130は、デコーダ110からACTIVE(x)
信号を受信し、パルス回路120からVX信号を受信し、CAM一致インジケー
タ80からMATCH(x)信号を受信し、マイクロプロセッサインタフェース
60からMWRITE信号を受信する。
発信元アドレスロック機構130は、複数のANDゲート140xと、複数の
インバータゲート150xと、複数のアドレスロックレジスタ160xと、選択O
Rゲート170と、書込ORゲート180とを含む。
各ポート30xに対して、ACTIVE(x)信号と、反転されたMATCH
(x)信号(MATCH(x)信号と結合されたインバータゲート150xから
の出力)と、VX信号とが、入力ANDゲート140xに結合される。アドレス
ロックレジスタA(x)160xは、また、ANDゲート140xの入力に結合さ
れる。アドレスロックレジスタA(x)がアサートされると、ポート30xに対
するADR(x)はロックされず、ポートxに対し格納されたMACアドレスは
更新できる。A(x)がデアサートされるときは、UPDATE(x)信号は決
してアサートせず、ADR(x)がロックされることを保証する。ADR(x)
をロックすることで、受信された一致しない発信元アドレスによる更新は不能化
される。
好ましい実施例においては、アドレスロックレジスタA(x)160(x)は
個別に外部からプログラムできる内部レジスタとして実装され、各ポート30x
は異なったプログラムが可能である。他の実施例では、アドレスロックレジスタ
A(x)を異なった形で実装できる。ANDゲート1401は、CAM一致イン
ジケータ80内のADR(1)のロケーションのポート301で受信された発信
元アドレスとの更新を制御するUPDATE(1)信号を出力する。
複数のANDゲート140xの出力は、選択ORゲート170の入力と結合さ
れる。選択ORゲート170は、データ入力セレクタ70へのSELECT信号
をアサートする。選択ORゲート170は、データ入力セレクタ70がプログラ
ムされたポート番号およびアドレスを選択するか、ポート301で受信されたポ
ート番号とアドレスを選択するかを制御する。選択ORゲート170からのSE
LECT信号は、また、書込ORゲート180の入力に結合される。MWRIT
E信号は、また、書込ORゲート180の他方の入力に結合される。書込ORゲ
ート180は、CAM一致インジケータ80へのWRITE信号をアサートする
。
この発明の好ましい実施例によれば、VXがアサートされ(誤りのないパケッ
トが受信されたことを示す)、ACTIVE(1)がアサートされ(ポート301
が活性であることを示す)、MATCH(1)がデアサートされ(受信された
発信元アドレスがADR(1)に格納されたMACアドレスと一致しないことを
示す)、A(1)がアサートされる(ロックがないことを示す)ときは、UPD
ATE(1)信号がアサートされる。したがって、選択ORゲート170および
書込ORゲート180は、それぞれ、SELECT信号およびWRITE信号を
アサートし、受信された発信元アドレスがADR(1)に書込まれる。しかし、
もし、A(1)がLOWに設定され、ロックを示すと、UPDATE(1)信号
は、デアサートされ、ADR(1)は受信された発信元アドレスでは更新されな
い。
この発明の好ましい実施例の利点は、これによって、ネットワーク管理者に、
柔軟性を持ったネットワークのセキュリティが提供されることである。レピータ
に電源が投入されると、すべてのポートが、対応するADR(x)を更新できる
ようにプログラムされる。これが学習フェーズである。予め定められた時間が満
了すると、または、ポート30xでアドレスが変化したことが検出されると、管
理者は、管理されるレピータがポート30xに対応するADR(x)をロックす
るようプログラムする。これは、単に、好ましい実施例の一使用例である。
この発明によると、管理者は、いつ、どのポートに対し、アドレス学習を可能
化または不能化するか、全く柔軟に対応できる。管理者は、ポート1つ1つに対
し、所望のどんな方法ででもアドレスロックレジスタA(x)をプログラムでき
る。一度ADR(x)がロックされると、管理者は、先行技術で要されたような
速度第1というやり方で割込みフラグに対応せねばと、心配する必要がない。こ
の発明のもう1つの利点は、これによって、既に各ポートに接続されたMACア
ドレスを知っているネットワーク管理者が、アドレスロックレジスタA(x)1
60xを用いて格納されたMACアドレスをロックし、しかる後に、これらのM
ACアドレスをADR(x)メモリロケーションにプログラムできる、というこ
とである。
この発明について、好ましい実施例に関して説明してきたが、当業者には、こ
の発明を逸脱することなく、さまざまな変更、修正が行ない得、均等物が使用で
きることは明らかであろう。したがって、上述の説明は、この発明の範囲を限定
するものではなく、この発明は添付された請求項によってのみ規定される。
【手続補正書】特許法第184条の8第1項
【提出日】1996年11月11日
【補正内容】請求の範囲
1.アドレス学習能力を有し、特定ポートでその特定ポートに組合わされた格納
されている発信元アドレスと異なる受信された発信元アドレスを有するデータパ
ケットを受信すると、格納されている発信元アドレスを受信された発信元アドレ
スで置き換える、管理されるレピータで使用するための、発信元アドレスロック
回路であって、
前記発信元アドレスロック回路は、
格納されている発信元アドレスが受信された発信元アドレスと一致しないとき
、格納されている発信元アドレスを受信された発信元アドレスで置き換えるため
の、特定ポートに対する学習モード回路と、
前記学習モード回路と結合され、前記学習モード回路が、格納されている発信
元アドレスを受信された発信元アドレスと置き換えるのを防ぐためのビット値を
格納するための、特定ポートに対する、アドレスロックレジスタとを含む、発信
元アドレスロック回路。
2.前記アドレスロックレジスタは、前記学習モード回路を不能化する時間を設
定するよう、外部からプログラム可能である、請求項1に記載の発信元アドレス
ロック回路。
3.複数のポートを有し、アドレス学習能力を有し、特定ポートでその特定ポー
トと組合された格納されている発信元アドレスと異なる受信された発信元アドレ
スを有するデータパケットを受信すると、格納されている発信元アドレスを受信
された発信元アドレスで置き換える、管理されるレピータで使用するための、発
信元アドレスロック機構であって、
前記発信元アドレスロック機構は、
複数の学習モード回路を含み、前記複数の学習モード回路の1つが複数のポー
トの1つに対応し、各学習モード回路は、格納されている発信元アドレスが、受
信された発信元アドレスと異なっていると、格納されている発信元アドレスを受
信された発信元アドレスで置き換え、前記学習モード回路と組合された特定ポー
トがデータパケットを受信し、
前記発信元アドレスロック機構はさらに、
複数のアドレスロックレジスタを含み、前記複数のアドレスロックレジスタの
1つは各学習モード回路と結合され、格納されている発信元アドレスが受信され
た発信元アドレスと異なるとき、前記学習モード回路が、格納されている発信元
アドレスを受信された発信元アドレスで置き換えるのを防ぐための、ビット値を
格納し、前記学習モード回路と組合された特定のポートがデータパケットを受信
する、発信元アドレスロック機構。
4.前記アドレスロックレジスタの各々は、前記アドレスロックレジスタと組合
された前記学習モード回路を不能化する時間を設定するため、個別に外部からプ
ログラム可能である、請求項3に記載の発信元アドレスロック機構。
5.前記学習モード回路がさらに、格納されている発信元アドレスを受信された
発信元アドレスで置き換えるか、または、特定のポートに対しプログラムされた
発信元アドレスで置き換えるかを選択する、請求項3に記載の発信元アドレスロ
ック機構。
─────────────────────────────────────────────────────
【要約の続き】
ポートについての発信元アドレス更新を不能化するよう
にタイムウインドウをプログラムできる。管理者は、各
ポートに組合された格納済発信元アドレスが更新されな
いよう、各アドレスロックレジスタを個別にプログラム
できる。この管理されるレピータにより、管理者は、ポ
ート1つ1つについて、管理されるレピータのアドレス
学習能力を可能化するか不能化するか、プログラム可能
なタイムウインドウに対して決定できる。
Claims (1)
- 【特許請求の範囲】 1.アドレス学習能力を有し、特定ポートでその特定ポートに組合わされた格納 されている発信元アドレスと異なる受信された発信元アドレスを有するデータパ ケットを受信すると格納されている発信元アドレスを受信された発信元アドレス で置き換える管理されるレピータにおける、発信元アドレスロック回路であって 、 格納されている発信元アドレスが受信された発信元アドレスと一致しないとき 、格納されている発信元アドレスを受信された発信元アドレスで置き換えるため の、特定ポートに対する学習モード回路と、 前記学習モード回路と結合され、前記学習モード回路が、格納されている発信 元アドレスを受信された発信元アドレスと置き換えるのを防ぐためのビット値を 格納するための、特定ポートに対するアドレスロックレジスタとを含む、発信元 アドレスロック回路。 2.前記アドレスロックレジスタは、前記学習モード回路を不能化する時間を設 定するよう、外部からプログラム可能である、請求項1に記載の発信元アドレス ロック回路。 3.複数のポートを有し、アドレス学習能力を有し、特定ポートでその特定ポー トと組合された格納されている発信元アドレスと異なる受信された発信元アドレ スを有するデータパケットを受信すると、格納されている発信元アドレスを受信 された発信元アドレスで置き換える管理されるレピータにおける、発信元アドレ スロック機構であって、 複数の学習モード回路を含み、前記複数の学習モード回路の1つが複数のポー トの1つに対応し、各学習モード回路は、格納されている発信元アドレスが受信 された発信元アドレスと異なっていると、格納されている発信元アドレスを受信 された発信元アドレスで置き換え、前記学習モード回路と組合された特定ポート がデータパケットを受信し、 前記発信元アドレスロック機構はさらに、 複数のアドレスロックレジスタを含み、前記複数のアドレスロックレジスタの 1つは各学習モード回路と結合され、格納されている発信元アドレスが受信され た発信元アドレスと異なるとき、前記学習モード回路が、格納されている発信元 アドレスを受信された発信元アドレスで置き換えないようにするためのビット値 を格納し、前記学習モード回路と組合された特定のポートがデータパケットを受 信する、発信元アドレスロック機構。 4.前記アドレスロックレジスタの各々は、前記アドレスロックレジスタと組合 された前記学習モード回路を不能化する時間を設定するため、個別に外部からプ ログラム可能である、請求項3に記載の発信元アドレスロック機構。 5.前記学習モード回路がさらに、格納されている発信元アドレスを受信された 発信元アドレスで置き換えるか、または、特定のポートに対しプログラムされた 発信元アドレスで置き換えるかを選択する、請求項3に記載の発信元アドレスロ ック機構。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US08/337,634 US5590201A (en) | 1994-11-10 | 1994-11-10 | Programmable source address locking mechanism for secure networks |
| US08/337,634 | 1994-11-10 | ||
| PCT/US1995/013526 WO1996015608A1 (en) | 1994-11-10 | 1995-10-11 | Programmable source address locking mechanism for secure networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10508996A true JPH10508996A (ja) | 1998-09-02 |
Family
ID=23321349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8516069A Pending JPH10508996A (ja) | 1994-11-10 | 1995-10-11 | 安全なネットワークのためのプログラム可能な発信元アドレスロック機構 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US5590201A (ja) |
| EP (1) | EP0791260A1 (ja) |
| JP (1) | JPH10508996A (ja) |
| KR (1) | KR970706671A (ja) |
| TW (1) | TW257910B (ja) |
| WO (1) | WO1996015608A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012227772A (ja) * | 2011-04-20 | 2012-11-15 | Nippon Telegr & Teleph Corp <Ntt> | フレーム転送装置及び保守監視システム |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
| US5940596A (en) * | 1996-03-25 | 1999-08-17 | I-Cube, Inc. | Clustered address caching system for a network switch |
| US5754791A (en) * | 1996-03-25 | 1998-05-19 | I-Cube, Inc. | Hierarchical address translation system for a network switch |
| US5727146A (en) * | 1996-06-04 | 1998-03-10 | Hewlett-Packard Company | Source address security for both training and non-training packets |
| EP0951767A2 (en) | 1997-01-03 | 1999-10-27 | Fortress Technologies, Inc. | Improved network security device |
| GB9704060D0 (en) * | 1997-02-27 | 1997-04-16 | 3Com Ireland | Multicast filtering |
| GB2362060B (en) * | 2000-04-12 | 2002-04-24 | 3Com Corp | Efficient method of deducing network topology including endstations |
| US20050249207A1 (en) * | 2001-01-29 | 2005-11-10 | Richard Zodnik | Repeater for locating electronic devices |
| US7117282B1 (en) * | 2004-04-26 | 2006-10-03 | Dgi Creations, Llc | Method and apparatus for active isolation of communications ports |
| EP1854019A4 (en) * | 2004-09-22 | 2010-12-22 | Cyberdefender Corp | NETWORK FOR PROTECTION AGAINST THREATS |
| US8249064B1 (en) | 2005-06-29 | 2012-08-21 | Marvell International Ltd. | Remote switching |
| US7995543B2 (en) | 2006-05-05 | 2011-08-09 | Marvell World Trade Ltd. | Network device for implementing multiple access points and multiple client stations |
| WO2011002818A1 (en) * | 2009-06-29 | 2011-01-06 | Cyberdefender Corporation | Systems and methods for operating an anti-malware network on a cloud computing platform |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4680755A (en) * | 1985-11-14 | 1987-07-14 | Hewlett Packard Company | Real-time end of packet signal generator |
| US4901348A (en) * | 1985-12-24 | 1990-02-13 | American Telephone And Telegraph Company | Data transmission security arrangement for a plurality of data stations sharing access to a communication network |
| US4922503A (en) * | 1988-10-28 | 1990-05-01 | Infotron Systems Corporation | Local area network bridge |
| GB8927623D0 (en) * | 1989-12-06 | 1990-02-07 | Bicc Plc | Repeaters for secure local area networks |
| US5099517A (en) * | 1990-06-29 | 1992-03-24 | Digital Equipment Corporation | Frame status encoding for communication networks |
| US5179554A (en) * | 1991-04-08 | 1993-01-12 | Digital Equipment Corporation | Automatic association of local area network station addresses with a repeater port |
| US5177788A (en) * | 1991-10-15 | 1993-01-05 | Ungermann-Bass, Inc. | Network message security method and apparatus |
| US5251203A (en) * | 1991-12-23 | 1993-10-05 | Xerox Corporation | Hub privacy filter for active star CSMA/CD network |
| US5353353A (en) * | 1993-04-26 | 1994-10-04 | Advanced Micro Devices, Inc. | Repeater security system |
| US5485455A (en) * | 1994-01-28 | 1996-01-16 | Cabletron Systems, Inc. | Network having secure fast packet switching and guaranteed quality of service |
-
1994
- 1994-11-10 US US08/337,634 patent/US5590201A/en not_active Expired - Lifetime
-
1995
- 1995-03-21 TW TW084102693A patent/TW257910B/zh active
- 1995-10-11 KR KR1019970702105A patent/KR970706671A/ko not_active Application Discontinuation
- 1995-10-11 WO PCT/US1995/013526 patent/WO1996015608A1/en not_active Application Discontinuation
- 1995-10-11 JP JP8516069A patent/JPH10508996A/ja active Pending
- 1995-10-11 EP EP95937557A patent/EP0791260A1/en not_active Ceased
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012227772A (ja) * | 2011-04-20 | 2012-11-15 | Nippon Telegr & Teleph Corp <Ntt> | フレーム転送装置及び保守監視システム |
Also Published As
| Publication number | Publication date |
|---|---|
| TW257910B (en) | 1995-09-21 |
| US5590201A (en) | 1996-12-31 |
| EP0791260A1 (en) | 1997-08-27 |
| KR970706671A (ko) | 1997-11-03 |
| WO1996015608A1 (en) | 1996-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6310876B1 (en) | Method and apparatus for managing bin chains in a memory | |
| US5727146A (en) | Source address security for both training and non-training packets | |
| US5949786A (en) | Stochastic circuit identification in a multi-protocol network switch | |
| JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
| JPH10508996A (ja) | 安全なネットワークのためのプログラム可能な発信元アドレスロック機構 | |
| US6545982B1 (en) | Communication apparatus and methods | |
| US7966391B2 (en) | Systems, apparatus and methods for managing networking devices | |
| US5414694A (en) | Address tracking over repeater based networks | |
| US5353353A (en) | Repeater security system | |
| US7113995B1 (en) | Method and apparatus for reporting unauthorized attempts to access nodes in a network computing system | |
| JPH05327726A (ja) | アクティブ・リピータ・ユニット | |
| US5940392A (en) | Programmable address mapping matrix for secure networks | |
| JPH08249306A (ja) | データ駆動型情報処理装置 | |
| US6452908B1 (en) | Route searching circuit and communication apparatus using the same | |
| GB2355373A (en) | Network device with automatic detection of duplex mismatch | |
| US5654985A (en) | Address tracking over repeater based networks | |
| US5581559A (en) | Inverse packet disrupt for secure networks | |
| WO2002019635A1 (en) | Hardware address adaptation | |
| KR20020090160A (ko) | 보안기능이 개선된 데이터 네트워크 노드 | |
| JPH0767109B2 (ja) | ハブ装置 | |
| US7461142B2 (en) | Method and apparatus for address management in a network device | |
| Cisco | Managing Your Catalyst 3900 | |
| Cisco | Managing Your Catalyst 3900 | |
| Cisco | Managing Your Catalyst 3900 | |
| Cisco | Managing Your Catalyst 3900 |