[go: up one dir, main page]

JP2009033577A - タグベースvlanのセキュリティ方法および中継装置 - Google Patents

タグベースvlanのセキュリティ方法および中継装置 Download PDF

Info

Publication number
JP2009033577A
JP2009033577A JP2007196832A JP2007196832A JP2009033577A JP 2009033577 A JP2009033577 A JP 2009033577A JP 2007196832 A JP2007196832 A JP 2007196832A JP 2007196832 A JP2007196832 A JP 2007196832A JP 2009033577 A JP2009033577 A JP 2009033577A
Authority
JP
Japan
Prior art keywords
vlan
switch
frame
port
tag information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007196832A
Other languages
English (en)
Inventor
Yukiaki Abe
幸哲 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Semiconductor Ltd
Original Assignee
Fujitsu Semiconductor Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Semiconductor Ltd filed Critical Fujitsu Semiconductor Ltd
Priority to JP2007196832A priority Critical patent/JP2009033577A/ja
Publication of JP2009033577A publication Critical patent/JP2009033577A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】不正な端末による通信を防ぎ、タグベースVLANのセキュリティを高めることができるようにしたタグベースVLANのセキュリティ方法を提供する。
【解決手段】スイッチ34aは、PC31a〜33aから受信したフレーム内のVLANタグ情報とPC31a〜33aが接続されたポートが持つVLANタグ情報とが一致する場合にのみ、PC31a〜33aから受信したフレームに対応する送信フレームを再作成する。スイッチ34bは、PC31b〜33bから受信したフレーム内のVLANタグ情報とPC31b〜33bが接続されたポートが持つVLANタグ情報とが一致する場合にのみ、PC31b〜33bから受信したフレームに対応する送信フレームを再作成する。
【選択図】図1

Description

本発明は、中継装置間の転送フレームにVLAN(Virtual Local Area Network)タグ情報を含めるタグベースVLANのセキュリティ方法、および、このタグベースVLANのセキュリティ方法の実施に使用する中継装置に関する。
ネットワークグループを論理的に分割する方法として、VLAN技術が知られている。VLANは、例えば、ポートベースVLANと、MAC(Media Access Control)ベースVLANと、タグベースVLANとに分類することができる。
ポートベースVLANは、中継装置のポート毎にVLAN番号を割り当ててVLANを構築する技術である。MACベースVLANは、端末のMACアドレス毎にVLAN番号を割り当ててVLANを構築する技術である。
タグベースVLANは、ポートベースVLANやMACベースVLANの欠点である中継装置間の回線増大化を防ぐために工夫された技術であり、中継装置間のデータ転送に、IEEE802.1Qに従ったフレームを使用するものである。
IEEE802.1Qに従ったフレームは、ネットワークの基本であるIEEE802.3に従ったフレームにVLAN番号を記述したVLANタグ情報を付加したフレームである。
図7はIEEE802.3に従ったフレームの構成図である。即ち、IEEE802.3に従ったフレームは、「プリアンブル→ 送信先MACアドレス→送信元MACアドレス→長さ→IP(Internet Protocol)パケット→FCS(Frame Check Sequence)」という構成を持つ。
「プリアンブル」部は、フレームの先頭を示す値が入る部分である。「送信先MACアドレス」部は、フレームを送信する相手側の機器のMACアドレス値が入る部分である。「送信元MACアドレス」部は、フレームを送信した側の機器のMACアドレス値が入る部分である。
「長さ」部は、フレームの長さを示す値が入る部分である。「IPパケット」部は、送信元/送信先IPアドレス、パケット長などのIPヘッダおよびデータが入る部分である。「FCS」部は、フレームのヘッダ部とデータ部に誤りがないかどうかを検出するためのCRC(Cyclic Redundancy Check:巡回冗長検査)符号が入る部分である。
図8はIEEE802.1Qに従ったフレームの構成図である。即ち、IEEE802.1Qに従ったフレームは、「プリアンブル→ 送信先MACアドレス→送信元MACアドレス→VLANタグ情報→長さ→IPパケット→FCS」という構成を持つ。
「VLANタグ情報」部は、VLAN番号を記述したVLANタグ情報が入る部分である。VLANタグ情報は4バイトとされているが、12ビットがVLAN番号として使用される。したがって、最大で4096個のVLANを識別することができることになる。なお、「VLANタグ情報」部が挿入されるので、「FCS」部には再計算された値が入ることになる。
図9はポートベースVLANの構成例を示す図である。図9中、1a〜3a、1b〜3bは端末であるパーソナルコンピュータ(以下、PCという)、4a、4bは中継装置であるスイッチ、5a〜10aはスイッチ4aのポート、5b〜10bはスイッチ4bのポート、11a〜13a、11b〜13b、14〜16はLANケーブルである。
この構成例では、PC1aは、LANケーブル11aでスイッチ4aのポート5aに接続されている。PC2aは、LANケーブル12aでスイッチ4aのポート6aに接続されている。PC3aは、LANケーブル13aでスイッチ4aのポート7aに接続されている。
また、PC1bは、LANケーブル11bでスイッチ4bのポート5bに接続されている。PC2bは、LANケーブル12bでスイッチ4bのポート6bに接続されている。PC3bは、LANケーブル13bでスイッチ4bのポート7bに接続されている。
また、スイッチ4aのポート8aとスイッチ4bのポート8bはLANケーブル14で接続されている。スイッチ4aのポート9aとスイッチ4bのポート9bはLANケーブル15で接続されている。スイッチ4aのポート10aとスイッチ4bのポート10bはLANケーブル16で接続されている。
ここで、たとえば、スイッチ4aのポート5a、8aおよびスイッチ4bのポート5b、8bにVLAN1を指定するVLAN番号を割り当て、スイッチ4aのポート6a、9aおよびスイッチ4bのポート6b、9bにVLAN2を指定するVLAN番号を割り当て、スイッチ4aのポート7a、10aおよびスイッチ4bのポート7b、10bにVLAN3を指定するVLAN番号を割り当てるとする。
このようにすると、PC1a、1bは、VLAN1に属し、PC1a、1b間でのみ通信が可能となる。また、PC2a、2bは、VLAN2に属し、PC2a、2b間でのみ通信が可能となる。また、PC3a、3bは、VLAN3に属し、PC3a、3b間でのみ通信が可能となる。
この場合、PC1a〜3aとスイッチ4aとの間、PC1b〜3bとスイッチ4bとの間およびスイッチ4aとスイッチ4bとの間の転送フレームの構成は、図7に示す構成に従うことになる。このように、ポートベースVLANにおいては、PCとスイッチとの間およびスイッチとスイッチとの間の転送フレームの構成は、図7に示す構成に従うことになる。
また、図9に示すポートベースVLANの構成例では、スイッチ4aとスイッチ4bとの間には、3本のLANケーブル14〜16が必要となる。このように、ポートベースVLANにおいては、スイッチ間には、VLAN数と同数の回線が必要になる。
図10はタグベースVLANの構成例を示す図である。この構成例では、PC1a〜3aとスイッチ4aとの間およびPC1b〜3bとスイッチ4bとの間の転送フレームは、図7に示す構成に従い、スイッチ4aとスイッチ4bとの間の転送フレームは、図8に示す構成に従うことになる。また、この構成例では、スイッチ4aとスイッチ4bとの間は、1本のLANケーブル14で足りる。
このように、タグベースVLANにおいては、PCとスイッチとの間の転送フレームは、図7に示す構成に従い、スイッチとスイッチとの間の転送フレームは、図8に示す構成に従うことになる。また、スイッチ間は、1本の回線で足りる。
図11はスイッチ4aの概略的構成図であり、スイッチ4bも同様に構成される。図11中、18はフレームの送受信および信号処理を行うネットワークLSI、19はメモリ、20a〜23aはPHY(物理層)デバイスである。
図12はスイッチ4aが実行するフレーム処理を説明するための図である。図12中、24はスイッチ4aがPC1a〜PC3aのいずれかのPCから受信した受信フレームであり、スイッチ4aでは、PC1a〜PC3aのいずれかのPCからフレーム24を受信すると、受信フレーム24からIPパケットのみを抽出し、再度、送信フレーム25を組み立てる。
この場合、スイッチ4aは、ポートが持っている情報(送信先MACアドレス、送信元MACアドレスおよびVLANタグ情報)26を使用し、更に、プリアンブルの追加および長さとFCSの計算を行い、送信フレーム25を組み立てることになる。
特開平11−127167号公報 特開平11−74923号公報 特開2000−196647号公報
図13および図14は図10に示すタグベースVLANが有する問題点を説明するための図であり、図13は図10に示すタグベースVLANの構成例にVLAN1メンバであるPC1a、PC1bだけアクセスすることができるVLAN1共有サーバ28を接続した場合を示している。
図14は図13に示すPC1aを不正なPC29に差し替えた場合を示している。この場合、不正なPC29は、VLAN1に属することになり、PC1bとの通信および VLAN1共有サーバ28への侵入が可能になる。
ここで、VLAN1共有サーバ28へのアクセスに対して、パスワードなどのアクセス制限を施していても、パスワードなどが見破られない限り、アクセスは拒否されず、誰でも簡単にVLAN1共有サーバ28に侵入することができる。このため、この環境では十分なセキュリティがあるとは言えない。
たとえば、メンバの再編成などで、VLAN1メンバがVLAN2に異動した場合に、VLAN1共有サーバ28のパスワードを変えない限り、元のVLAN1メンバは、VLAN1のポートにPCを接続するだけで、容易にVLAN1メンバとなることができ、VLAN1共有サーバ28に侵入することが可能となる。そのため、入り口であるVLANのポートに他のVLANメンバが接続した場合、通信ができないようにする工夫が必要である。
本発明は、かかる点に鑑み、不正な端末による通信を防ぐことができ、タグベースVLANのセキュリティを高めることができるようにしたタグベースVLANのセキュリティ方法、および、このタグベースVLANのセキュリティ方法の実施に使用することができる中継装置を提供することを目的とする。
本発明のタグベースVLANのセキュリティ方法は、中継装置に接続された端末の送信フレームにネットワーク管理者が前記端末に設定したVLANタグ情報を含め、前記中継装置は、前記端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致する場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成するというものである。
本発明の中継装置は、端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とを比較する比較手段と、前記端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致したことを前記比較手段が検出した場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成する送信フレーム作成手段とを有するものである。
本発明のタグベースVLANのセキュリティ方法によれば、中継装置は、端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致する場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成する。換言すれば、中継装置は、端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致しない場合には、前記端末から受信したフレームに対応する送信フレームを再作成しない。
即ち、接続先ポートが持つVLANタグ情報の設定がネットワーク管理者により行われていない端末を中継装置に接続しても通信を行うことができない。したがって、不正な端末による通信を防ぐことができ、タグベースVLANのセキュリティを高めることができる。なお、中継装置として、本発明の中継装置を使用することができる。
図1は本発明のタグベースVLANのセキュリティ方法の一実施形態が実施されるタグベースVLANの構成例を示す図である。図1中、31a〜33a、31b〜33bはPC、34a、34bは本発明の中継装置の一実施形態であるスイッチ、35a〜38aはスイッチ34aのポート、35b〜38bはスイッチ34bのポート、41a〜43a、41b〜43b、44はLANケーブルである。
この構成例では、PC31aは、LANケーブル41aでスイッチ34aのポート35aに接続されている。PC32aは、LANケーブル42aでスイッチ34aのポート36aに接続されている。PC33aは、LANケーブル43aでスイッチ34aのポート37aに接続されている。
また、PC31bは、LANケーブル41bでスイッチ34bのポート35bに接続されている。PC32bは、LANケーブル42bでスイッチ34bのポート36bに接続されている。PC33bは、LANケーブル43bでスイッチ34bのポート37bに接続されている。スイッチ34aのポート38aとスイッチ34bのポート38bとはLANケーブル44で接続されている。
本発明のタグベースVLANのセキュリティ方法の一実施形態においては、スイッチ34aとスイッチ34bとの間のみならず、PC31a〜33aとスイッチ34aとの間およびPC31b〜33bとスイッチ34bとの間の転送フレームは、IEEE802.1Qに従った構成とされる。
そこで、PC31a〜33a、31b〜33b内のLANカードにはVLANタグ情報がネットワーク管理者により設定される。このネットワーク管理者によるPC31a〜33a、31b〜33b内のLANカードへのVLANタグ情報の設定は、LANカード内の書き換え可能な不揮発性メモリ、たとえば、フラッシュメモリにVLANタグ情報を書き込むことにより行われる。
図2はPC31a〜33a、31b〜33b内のLANカードを示す図である。図2中、51aはPC31a内のLANカードであり、61aはCPU(central processing unit)、71aはCPU61aによりアクセスされるフラッシュメモリである。52aはPC32a内のLANカードであり、62aはCPU、72aはCPU62aによりアクセスされるフラッシュメモリである。53aはPC33a内のLANカードであり、63aはCPU、73aはCPU63aによりアクセスされるフラッシュメモリである。
また、51bはPC31b内のLANカードであり、61bはCPU、71bはCPU61bによりアクセスされるフラッシュメモリである。52bはPC32b内のLANカードであり、62bはCPU、72bはCPU62bによりアクセスされるフラッシュメモリである。53bはPC33b内のLANカードであり、63bはCPU、73bはCPU63bによりアクセスされるフラッシュメモリである。
本例では、PC31a、31bはVLAN1に属させ、PC32a、32bはVLAN2に属させ、PC33a、33bはVLAN3に属させるものとする。このようにさせる場合には、LANカード51a内のフラッシュメモリ71aおよびLANカード51b内のフラッシュメモリ71bには、ネットワーク管理者により、ネットワーク管理者のコンピュータとPC31a、31bとの間の通信回線を介してVLAN1を指定するVLAN番号が記述されたVLANタグ情報が書き込まれる。
また、LANカード52a内のフラッシュメモリ72aおよびLANカード52b内のフラッシュメモリ72bには、ネットワーク管理者により、ネットワーク管理者のコンピュータとPC32a、32bとの間の通信回線を介してVLAN2を指定するVLAN番号が記述されたVLANタグ情報が書き込まれる。
また、LANカード53a内のフラッシュメモリ73aおよびLANカード53b内のフラッシュメモリ73bには、ネットワーク管理者により、ネットワーク管理者のコンピュータとPC33a、33bとの間の通信回線を介してVLAN3を指定するVLAN番号が記述されたVLANタグ情報が書き込まれる。
このように、本実施形態では、LANカード51a〜53a、51b〜53bへのVLANタグ情報の設定は、ネットワーク管理者により、ネットワーク管理者のコンピュータとPC31a〜33a、31b〜33bとの間の通信回線を介して行われるので、ユーザがLANカード51a〜53a、51b〜53b内のフラッシュメモリ71a〜73a、71b〜73bにVLANタグ情報を書き込むことはできない。
図3はPC31a〜33a、31b〜33bの送信フレーム例を示す図であり(A)はPC31a、31bの送信フレーム例、(B)はPC32a、32bの送信フレーム例、(C)はPC33a、33bの送信フレーム例を示している。
本例では、PC31a、31bは、VLAN1に属しているので、図3(A)に示すように、VLAN1を指定するVLAN番号が記述されたVLANタグ情報を挿入してなるIEEE802.1Qに従ったフレームを送信する。PC31aの送信フレームへのVLANタグ情報の挿入は、LANカード51a内のCPU61aにより行われ、PC31bの送信フレームへのVLANタグ情報の挿入は、LANカード51b内のCPU51bにより行われる。
また、PC32a、32bは、VLAN2に属しているので、図3(B)に示すように、VLAN2を指定するVLAN番号が記述されたVLANタグ情報を挿入してなるIEEE802.1Qに従ったフレームを送信する。PC32aの送信フレームへのVLANタグ情報の挿入は、LANカード52a内のCPU62aにより行われ、PC32bの送信フレームへのVLANタグ情報の挿入は、LANカード52b内のCPU62bにより行われる。
また、PC33a、33bは、VLAN3に属しているので、図3(C)に示すように、VLAN3を指定するVLAN番号が記述されたVLANタグ情報を挿入してなるIEEE802.1Qに従ったフレームを送信する。PC33aの送信フレームへのVLANタグ情報の挿入は、LANカード53a内のCPU63aにより行われ、PC33bの送信フレームへのVLANタグ情報の挿入は、LANカード53b内のCPU63bにより行われる。
図4はスイッチ34aの概略的構成図であり、スイッチ34bも同様に構成される。図4中、80はフレームの送受信および信号処理を行うネットワークLSI、81はネットワークLSI80内のCPU、82はSDRAM(synchronous dynamic random access memory)、83はフラッシュメモリ、84は比較器、85a〜88aはPHY(物理層)デバイスである。
本例では、PC31aはVLAN1に属し、PC32aはVLAN2に属し、PC33aはVLAN3に属するとされているので、ネットワーク管理者により、フラッシュメモリ83には、ポート35aが持つVLAN番号としてVLAN1を指定するVLAN番号が書き込まれ、ポート36aが持つVLAN番号としてVLAN2を指定するVLAN番号が書き込まれ、ポート37aが持つVLAN番号としてVLAN3を指定するVLAN番号が書き込まれる。
また、スイッチ34aと同様に構成されるスイッチ34b内のフラッシュメモリには、ネットワーク管理者により、ポート35bが持つVLAN番号としてVLAN1を指定するVLAN番号が書き込まれ、ポート36bが持つVLAN番号としてVLAN2を指定するVLAN番号が書き込まれ、ポート37bが持つVLAN番号としてVLAN3を指定するVLAN番号が書き込まれる。
ここで、スイッチ34aは、ポート35aに接続されたPCから受信したフレーム内のVLANタグ情報とポート35aが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート35aに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34bに送信する。なお、スイッチ34aは、ポート35aに接続されたPCから受信したフレーム内のVLANタグ情報とポート35aが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。
また、スイッチ34aは、ポート36aに接続されたPCから受信したフレーム内のVLANタグ情報とポート36aが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート36aに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34bに送信する。なお、スイッチ34aは、ポート36aに接続されたPCから受信したフレーム内のVLANタグ情報とポート36aが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。
また、スイッチ34aは、ポート37aに接続されたPCから受信したフレーム内のVLANタグ情報とポート37aが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート37aに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34bに送信する。なお、スイッチ34aは、ポート35aに接続されたPCから受信したフレーム内のVLANタグ情報とポート37aが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。
また、スイッチ34bは、ポート35bに接続されたPCから受信したフレーム内のVLANタグ情報とポート35bが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート35bに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34aに送信する。なお、スイッチ34bは、ポート35bに接続されたPCから受信したフレーム内のVLANタグ情報とポート35bが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。
また、スイッチ34bは、ポート36bに接続されたPCから受信したフレーム内のVLANタグ情報とポート36bが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート36bに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34aに送信する。なお、スイッチ34bは、ポート36bに接続されたPCから受信したフレーム内のVLANタグ情報とポート36bが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。
また、スイッチ34bは、ポート37bに接続されたPCから受信したフレーム内のVLANタグ情報とポート37bが持っているVLANタグ情報とを比較し、これらが一致した場合にのみ、ポート37bに接続されたPCから受信したフレームに対応する送信フレームを再作成してスイッチ34aに送信する。なお、スイッチ34bは、ポート37bに接続されたPCから受信したフレーム内のVLANタグ情報とポート37bが持っているVLANタグ情報とが一致しない場合には、受信したフレームを破棄する。
図5はスイッチ34aが実行するフレーム処理例を説明するための図であり、スイッチ34aのポート35aにVLAN1に属するPC31aが接続されている場合である。図5中、90はスイッチ34aがPC31aから受信したフレームであり、スイッチ34aは、PC31aからフレーム90を受信すると、この受信したフレーム90からVLANタグ情報とIPパケットのみを抽出し、比較器74において、受信フレーム90から抽出したVLANタグ情報91とポート35aが持っているVLANタグ情報92とを比較する。
本例の場合には、受信フレーム90から抽出したVLANタグ情報91内のVLAN番号と、ポート35aが持っているVLANタグ情報92内のVLAN番号とは、共にVLAN1を指定するVLAN番号であるから、受信フレーム90から抽出したVLANタグ情報91とポート35aが持っているVLANタグ情報92は一致する。
したがって、この場合には、再度、ネットワークLSI80において送信フレーム93が組み立てられる。具体的には、スイッチ34aは、従来の場合と同様に、ポート35aが持っている情報(送信先MACアドレス、送信元MACアドレスおよびVLANタグ情報)を使用し、更に、プリアンブルの追加と、長さとFCSの計算を行い、送信フレーム93を組み立てることになる。
図6はスイッチ34aが実行するフレーム処理例を説明するための図であり、スイッチ34aのポート35aにVLAN2に属するPC32aが接続された場合である。図6中、94はポート35aに接続されたPC32aから受信したフレームであり、スイッチ34aは、PC32aからフレーム94を受信すると、この受信フレーム94からVLANタグ情報とIPパケットのみを抽出し、比較器74において、受信フレーム94から抽出したVLANタグ情報95とポート35aが持っているVLANタグ情報92とを比較する。
本例の場合、受信フレーム94から抽出したVLANタグ情報95内のVLAN番号はVLAN2を指定するVLAN番号であり、ポート35aが持っているVLANタグ情報92はVLAN1を指定するVLAN番号であるから、受信フレーム94から抽出したVLANタグ情報95とポート35aが持っているVLANタグ情報92は一致しない。この場合には、受信フレーム94に対応する送信フレームが再作成されることはなく、受信フレーム94は破棄される。
以上のように、本発明のタグベースVLANのセキュリティ方法の一実施形態においては、スイッチ34aは、PC31a〜33aから受信したフレーム内のVLANタグ情報とPC31a〜33aが接続されたポートが持つVLANタグ情報とが一致する場合にのみ、PC31a〜33aから受信したフレームに対応する送信フレームを再作成し、これをスイッチ34bに送信する。
換言すれば、スイッチ34aは、PC31a〜33aから受信したフレーム内のVLANタグ情報とPC31a〜33aが接続されたポートが持つVLANタグ情報とが一致しない場合には、PC31a〜33aから受信したフレームに対応する送信フレームを再作成しない。
即ち、スイッチ34aのポート35a〜37aのいずれかに接続したPCは、その接続先のポートが持つVLANタグ情報の設定をネットワーク管理者により行われていない場合には、他のPCと通信を行うことができない。
また、スイッチ34bは、PC31b〜33bから受信したフレーム内のVLANタグ情報とPC31b〜33bが接続されたポートが持つVLANタグ情報とが一致する場合にのみ、PC31b〜33bから受信したフレームに対応する送信フレームを再作成し、これをスイッチ34aに送信する。
換言すれば、スイッチ34bは、PC31b〜33bから受信したフレーム内のVLANタグ情報とPC31b〜33bが接続されたポートが持つVLANタグ情報とが一致しない場合には、PC31b〜33bから受信したフレームに対応する送信フレームを再作成しない。
即ち、スイッチ34bのポート35b〜37bのいずれかに接続したPCは、その接続先のポートが持つVLANタグ情報の設定をネットワーク管理者により行われていない場合には、他のPCと通信を行うことができない。
したがって、本発明のタグベースVLANのセキュリティ方法の一実施形態によれば、不正なPCによる通信を防ぐことができ、タグベースVLANのセキュリティを高めることができる。
本発明のタグベースVLANのセキュリティ方法の一実施形態が実施されるタグベースVLANの構成例を示す図である。 図1に示すタグベースVLANが備えるパーソナルコンピュータ内のLANカードを示す図である。 図1に示すタグベースVLANが備えるパーソナルコンピュータの送信フレーム例を示す図である。 本発明の中継装置の一実施形態であるスイッチの概略的構成図である。 本発明の中継装置の一実施形態であるスイッチが実行するフレーム処理例を説明するための図である。 本発明の中継装置の一実施形態であるスイッチが実行するフレーム処理例を説明するための図である。 IEEE802.3に従ったフレームの構成図である。 IEEE802.1Qに従ったフレームの構成図である。 ポートベースVLANの構成例を示す図である。 タグベースVLANの構成例を示す図である。 図10に示すタグベースVLANが備えるスイッチの概略的構成図である。 図10に示すタグベースVLANが備えるスイッチが実行するフレーム処理を説明するための図である。 図10に示すタグベースVLANが有する問題点を説明するための図である。 図10に示すタグベースVLANが有する問題点を説明するための図である。
符号の説明
1a〜3a、1b〜3b…パーソナルコンピュータ(PC)
4a、4b…スイッチ
5a〜10a、5b〜10b…ポート
11a〜13a、11b〜13b、14〜16…LANケーブル
18…ネットワークLSI
19…メモリ
20a〜23a…PHY(物理層)デバイス
24…受信フレーム
25…送信フレーム
26…スイッチのポートが持っている情報
28…VLAN1共有サーバ
29…不正なパーソナルコンピュータ(不正なPC)
31a〜33a、31b〜33b…パーソナルコンピュータ(PC)
34a、34b…スイッチ(本発明の中継装置の一実施形態)
35a〜38a、35b〜38b…ポート
41a〜43a、41b〜43b、44…LANケーブル
51a〜53a、51b〜53b…LANカード
61a〜63a、61b〜63b…CPU
71a〜73a、71b〜73b…フラッシュメモリ
80…ネットワークLSI
81…CPU
82…SDRAM
83…フラッシュメモリ
84…比較器
85a〜88a…PHY(物理層)デバイス
90…受信フレーム
91、92…VLANタグ情報
93…送信フレーム
94…受信フレーム
95…VLANタグ情報

Claims (2)

  1. 中継装置に接続された端末の送信フレームにネットワーク管理者が前記端末に設定したVLANタグ情報を含め、
    前記中継装置は、前記端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致する場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成すること
    を特徴とするタグベースVLANのセキュリティ方法。
  2. 端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とを比較する比較手段と、
    前記端末から受信したフレーム内のVLANタグ情報と前記端末が接続されたポートが持つVLANタグ情報とが一致したことを前記比較手段が検出した場合にのみ、前記端末から受信したフレームに対応する送信フレームを再作成する送信フレーム作成手段と、
    を有することを特徴とする中継装置。
JP2007196832A 2007-07-30 2007-07-30 タグベースvlanのセキュリティ方法および中継装置 Pending JP2009033577A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007196832A JP2009033577A (ja) 2007-07-30 2007-07-30 タグベースvlanのセキュリティ方法および中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007196832A JP2009033577A (ja) 2007-07-30 2007-07-30 タグベースvlanのセキュリティ方法および中継装置

Publications (1)

Publication Number Publication Date
JP2009033577A true JP2009033577A (ja) 2009-02-12

Family

ID=40403564

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007196832A Pending JP2009033577A (ja) 2007-07-30 2007-07-30 タグベースvlanのセキュリティ方法および中継装置

Country Status (1)

Country Link
JP (1) JP2009033577A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102333099A (zh) * 2011-10-27 2012-01-25 杭州华三通信技术有限公司 一种安全控制方法和设备
JP2013207784A (ja) * 2012-03-29 2013-10-07 Fujitsu Ltd 通信インターフェース装置、該プログラム、及び仮想ネットワーク構築方法
US11962433B2 (en) 2020-03-16 2024-04-16 Sumitomo Electric Industries, Ltd. Switch device, in-vehicle communication system, and communication method
US12021658B2 (en) 2020-03-16 2024-06-25 Sumitomo Electric Industries, Ltd. Switch device, in-vehicle communication system, and communication method

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102333099A (zh) * 2011-10-27 2012-01-25 杭州华三通信技术有限公司 一种安全控制方法和设备
JP2013207784A (ja) * 2012-03-29 2013-10-07 Fujitsu Ltd 通信インターフェース装置、該プログラム、及び仮想ネットワーク構築方法
US11962433B2 (en) 2020-03-16 2024-04-16 Sumitomo Electric Industries, Ltd. Switch device, in-vehicle communication system, and communication method
US12021658B2 (en) 2020-03-16 2024-06-25 Sumitomo Electric Industries, Ltd. Switch device, in-vehicle communication system, and communication method

Similar Documents

Publication Publication Date Title
US8189600B2 (en) Method for IP routing when using dynamic VLANs with web based authentication
US10708245B2 (en) MACsec for encrypting tunnel data packets
US11095478B2 (en) Access control method, apparatus, and system
US8335918B2 (en) MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network
JP6032278B2 (ja) Lan多重化装置
US9237098B2 (en) Media access control (MAC) address summation in Datacenter Ethernet networking
US6708218B1 (en) IpSec performance enhancement using a hardware-based parallel process
US8320374B2 (en) Method and apparatus for improved multicast routing
US20030185220A1 (en) Dynamically loading parsing capabilities
US8699492B2 (en) Method and apparatus for simulating IP multinetting
CN105591982B (zh) 一种报文传输的方法和装置
CN109150673B (zh) 基于bras系统的报文封装方法、装置及系统
EP3461072A1 (en) Access control
CN110768884B (zh) Vxlan报文封装及策略执行方法、设备、系统
JP4920878B2 (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
US7248582B2 (en) Method and system for labeling data in a communications system
JP2009033577A (ja) タグベースvlanのセキュリティ方法および中継装置
EP4117242A1 (en) Message detection method, device and system
US11962433B2 (en) Switch device, in-vehicle communication system, and communication method
CN114338227B (zh) 基于分割流量的网络流量分析对抗方法及装置
US10574596B2 (en) Software defined networking FCoE initialization protocol snooping bridge system
US12021658B2 (en) Switch device, in-vehicle communication system, and communication method
US20230179688A1 (en) Variable Frame Headers
JP2006279801A (ja) パケット処理装置