[go: up one dir, main page]

JP7042069B2 - ネットワーク装置およびネットワークシステム - Google Patents

ネットワーク装置およびネットワークシステム Download PDF

Info

Publication number
JP7042069B2
JP7042069B2 JP2017235921A JP2017235921A JP7042069B2 JP 7042069 B2 JP7042069 B2 JP 7042069B2 JP 2017235921 A JP2017235921 A JP 2017235921A JP 2017235921 A JP2017235921 A JP 2017235921A JP 7042069 B2 JP7042069 B2 JP 7042069B2
Authority
JP
Japan
Prior art keywords
mac address
port
packet
network device
ports
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017235921A
Other languages
English (en)
Other versions
JP2019103103A (ja
Inventor
智則 上田
宏征 吉野
賢介 猪野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2017235921A priority Critical patent/JP7042069B2/ja
Publication of JP2019103103A publication Critical patent/JP2019103103A/ja
Application granted granted Critical
Publication of JP7042069B2 publication Critical patent/JP7042069B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明はネットワーク装置およびネットワークシステムに関する。
一般的なネットワークは、認証機能によりネットワークに接続する端末を検査し、ネットワークのセキュリティを確保している。このようなネットワークの認証機能として、特許文献1が提案されている。
特許文献1では、端末がネットワークへ接続される際に送信されるARP(Address Resolution Protocol)の応答のパケットを偽装して、パスワードによる認証を行い、正常な端末のMAC(Media Access Control)アドレスと同じMACアドレスになりすました不正な端末は、不正接続防止装置に接続したままにする技術が開示されている。
特開2016-187113号公報
特許文献1に開示された技術を用いれば、不正な端末が送信するパケットは、不正接続防止装置へ届き、不正な端末が不正の目的とする端末へは届かない。しかしながら、なりすましのMACアドレスに基づいて、正常な端末へ向けて送信されたパケットが、不正な端末で受信される可能性がある。
特に、FDB(Filtering DataBase)テーブルを用いてパケットを中継するネットワーク装置に、正常な端末が接続された後、不正な端末が接続されると、正常な端末のMACアドレスと不正な端末のMACアドレスは同じMACアドレスであるため、FDBテーブルの正常な端末の情報が不正な端末の情報で上書きされ、ネットワーク装置は不正な端末へパケットを中継してしまう可能性がある。
本発明は、ネットワーク装置を経由した不正な端末によるパケットの受信も防止することを目的とする。
本発明は、上述の課題を解決するためになされたものであり、本発明に係る代表的なネットワーク装置は、複数のポートを有し、前記複数のポート間でパケットを中継するネットワーク装置であって、前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換する生成部と、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを前記第1のMACアドレスあるいは前記第2のMACアドレスに変換するための検知部と、前記第1のMACアドレスあるいは前記第2のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定するための転送制御部と、を備えたことを特徴とする。
本発明によれば、ネットワーク装置を経由した不正な端末によるパケットの受信も防止することが可能になる。
ネットワーク構成の例を示す図である。 ネットワーク装置の内部構造の例を示す図である。 端末を交換したネットワーク構成の例を示す図である。 コンフィグレーションテーブルの例を示す図である。 FDBテーブルの例を示す図である。 不正端末管理テーブルの例を示す図である。 不正端末が接続されたネットワーク構成の例を示す図である。 不正端末接続後のFDBテーブルの例を示す図である。 不正端末接続後の不正端末管理テーブルの例を示す図である。 不正端末が通信するネットワーク構成の例を示す図である。 不正端末が遮断されたネットワーク構成の例を示す図である。
以下、本発明の実施の形態を実施例として説明する。
図1は、ネットワーク構成の例を示す図である。ネットワーク装置100は、パケットを転送(中継)するネットワーク装置であって、ポート103より回線503を介してサーバ端末300のポート301に接続されている。そして、ネットワーク装置100とサーバ端末300がネットワークを構成し、このネットワークに端末が接続される。
ここで、このネットワークに接続することが許可されている端末を正常端末と記述する。この許可は何らかの仕様などによって規定されていてもよい。また、後で説明するようにネットワーク装置100が正常端末の接続であるか否かに応じて動作を変更するという点において、ネットワーク装置100は不正端末監視装置であるとも言える。
ネットワークに端末が接続されている状態として、ネットワーク装置100は、ポート101より回線501を介して正常端末210のポート211に接続され、ポート102より回線502を介して正常端末220のポート221に接続されている。
以上のような接続により、正常端末210は、ネットワーク装置100を介したパケット11、パケット12を用いてサーバ端末300と通信を行い、正常端末220は、ネットワーク装置100を介したパケット21、パケット22を用いてサーバ端末300と通信を行う。
なお、正常端末210と正常端末220もネットワークに含めて、ネットワーク装置100、正常端末210、正常端末220、およびサーバ端末300がネットワークシステムであってもよい。
図2は、ネットワーク装置100の内部構造の例を示す図である。FDB用MACアドレス生成部1000は、FDBテーブルに登録するMACアドレスの生成処理を行い、コンフィグレーションテーブル5100を管理する。コンフィグレーションテーブル5100については、図4を用いて後で説明する。
転送制御部2000は、パケットの転送処理、MACアドレスの学習処理を行い、FDBテーブル5200を管理する。FDBテーブル5200については、図5と図8を用いて後で説明する。
MAC重複検知部3000は、ARPの応答のパケットなどネットワーク装置100に接続された端末宛のパケットを監視し、不正端末管理テーブル5300を管理する。不正端末管理テーブル5300については、図6と図9を用いて後で説明する。
ポート状態制御部4000は、ポート101、ポート102、およびポート103の各ポートの状態を制御し、各ポートのリンクアップあるいはリンクダウンの処理を行う。メモリ5000は、コンフィグレーションテーブル5100、FDBテーブル5200、不正端末管理テーブル5300が格納されている。
ネットワーク装置100のハードウェアは、一般的なネットワーク装置のハードウェアであってもよい。このため、例えば、ネットワーク装置100は図示を省略したプロセッサを備え、メモリ5000に格納されたプログラムを実行するプロセッサが、FDB用MACアドレス生成部1000、転送制御部2000、MAC重複検知部3000、およびポート状態制御部4000になってもよい。
一般的なネットワーク装置を変更してネットワーク装置100としてもよく、転送制御部2000とFDBテーブル5200は一般的なネットワーク装置のものをそのまま利用し、ポート状態制御部4000は一般的なネットワーク装置のものを後で説明する動作も含むように変更してもよい。
また、一般的なネットワーク装置に、FDB用MACアドレス生成部1000、MAC重複検知部3000、コンフィグレーションテーブル5100、および不正端末管理テーブル5300を新たに追加してもよい。
図3は、端末を交換したネットワーク構成の例を示す図である。交換により新たに接続する端末は、ネットワークに接続することを許可されていない端末であり、このような端末を不正端末と記述する。すなわち、図1を用いて説明したネットワーク構成において、正常端末220に代わり不正端末230が接続される直前の状態である。
ネットワーク装置100は、ポート102より回線502を介して不正端末230のポート231に物理的に接続されている。不正端末230がネットワークに接続される直前の状態を示すことから、回線502はリンクダウンしており、物理的に接続されてリンクダウンした回線502を破線で表している。
なお、特に物理的に接続とは記述せず、単に接続と記述する場合の接続は、物理的に接続されてリンクアップし、通信の可能な状態あるいは通信している状態を表すとする。また、不正端末230以外は、図1を用いて説明したとおりであるので、図1と同じ符号を用いて説明を省略する。
以下では、正常端末210がサーバ端末300宛に送信するパケット11、およびサーバ端末300が正常端末210宛に送信するパケット12について、図4から図6を用いて説明し、不正端末230の遮断について、図7から図11を用いて説明する。
図4はコンフィグレーションテーブル5100の例を示す図である。コンフィグレーションテーブル5100は、ポート番号5110と不正端末監視の実行状態5120の要素を持つテーブルである。
ポート番号5110は、ネットワーク装置100がイーサネット(登録商標)を収容するポートを登録する要素であり、図3に示したポート101、ポート102、およびポート103のそれぞれに対応して「P101」、「P102」、および「P103」が登録されている。
不正端末監視の実行状態5120は、ポート単位に不正端末監視機能の実行状態を登録する要素である。「P101」と「P102」のポート101とポート102については端末を接続するポートであり、不正端末監視機能が「有効」として登録されている。「P103」のポート103についてはサーバ端末300に接続するポートであり、不正端末監視機能が「無効」として登録されている。
図5はFDBテーブル5200の例を示す図である。FDBテーブル5200は、VLAN ID5210、ポート番号5220、およびMACアドレス5230の要素を持つ。なお、図3に示す各端末は、パケット通信用のVLAN(Virtual LAN)としてVLAN IDが「1」のVLANにより通信を行っているものとする。
このため、VLAN ID5210はパケットの通信に使用しているVLAN IDが登録される。図5の例では、VLAN IDが「1」を使用した例を記載しているが、他のVLAN IDを使用されてもよい。
ポート番号5220はパケットを受信したポートのポート番号が登録される。このポート番号は図4に示したポート番号5110のポート番号と対応する。MACアドレス5230は受信したパケットの送信元MACアドレスが登録される。
FDBテーブル5200の登録処理を図3も参照しながら説明する。ネットワーク装置100の転送制御部2000は、正常端末210が送信するパケット11をポート101で受信すると、ポート101のポート番号である「P101」と正常端末210のMACアドレスである「M210」をFDBテーブル5200へ登録する(この状態の図示は省略)。
ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。
FDB用MACアドレス生成部1000は、登録されたポート番号の「P101」すなわちポート101の不正端末監視の実行状態5120が「有効」であると判定すると、MACアドレス5230の「M210」にポート101の識別子を加味したMACアドレス「M210a」に変換する。そして、FDBテーブル5200のMACアドレス5230には、変換後のMACアドレスである「M210a」が上書きされる。
MACアドレスの変換前の「M210」と変換後の「M210a」の対応は、不正端末管理テーブル5300で管理される。不正端末管理テーブル5300については、図6を用いて後で説明する。
ネットワーク装置100の転送制御部2000は、サーバ端末300が送信するパケット12をポート103で受信すると、ポート103のポート番号である「P103」とサーバ端末300のMACアドレスである「M300」をFDBテーブル5200へ登録する。
ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。
FDB用MACアドレス生成部1000は、登録されたポート番号の「P103」すなわちポート103の不正端末監視の実行状態5120が「無効」であると判定すると、MACアドレスを変換せず、FDBテーブル5200に上書きしない(変換と上書きをスキップする)。
図6は不正端末管理テーブル5300の例を示す図である。不正端末管理テーブル5300は、MACアドレス5310、変換MACアドレス5320、および登録数5330の要素を持つ。MACアドレス5310は、ネットワーク装置100が受信したパケットのMACアドレスが登録される。
変換MACアドレス5320は、FDB用MACアドレス生成部1000により変換された後のMACアドレスが登録され、登録数5330は、変換MACアドレス5320に登録されたMACアドレスの個数が登録される。登録数5330は設けられずに、変換MACアドレス5320の内容がMACアドレスであるか否かがカウントされてもよい。
図5を用いて説明したように、ネットワーク装置100は、正常端末210が送信するパケット11を受信すると、MACアドレス5310に「M210」が登録され、変換MACアドレス5320に「M210a」が登録されて、登録数5330が「1」となる。なお、変換MACアドレス5320に複数のMACアドレスを登録する処理については図9を用いて説明する。
不正端末管理テーブル5300を使用する処理を図3も参照しながら説明する。サーバ端末300が正常端末210宛に送信するパケット12はパケットの宛先MACアドレスに正常端末210のMACアドレスである「M210」が格納されている。MAC重複検知部3000は、パケット12を受信すると宛先MACアドレスである「M210」が不正端末管理テーブル5300のMACアドレス5310に登録されているか検索する。
図6に示すように不正端末管理テーブル5300のMACアドレス5310に「M210」が登録されている場合、「M210」に対応する変換MACアドレス5320に登録されているMACアドレスが1個であることを検知すると、重複はないため、変換MACアドレス5320の「M210a」を取得して、宛先MACアドレスの「M210」を「M210a」に置き換える。
ここで、MAC重複検知部3000による「M210a」の取得は、「M210」に対応する変換MACアドレス5320の最初に登録された(変換後の)MACアドレス、例えば変換MACアドレス5320のテーブルとしての最初の欄の(変換後の)MACアドレスの取得であってもよい。
このために、変換MACアドレス5320への登録の時点で登録数5330が「0」の場合、変換MACアドレス5320のテーブルとしての最初の欄に(変換後の)MACアドレスが登録されてもよい。
そして、転送制御部2000は、置き換えられた「M210a」をキーワードとして、FDBテーブル5200のMACアドレス5230を検索する。図5に示すようにFDBテーブル5200にはMACアドレス5230の「M210a」がポート番号5220の「P101」すなわちポート101で登録されており、ネットワーク装置100はパケット12をポート101から送信する。
図7は、不正端末が接続されたネットワーク構成の例を示す図である。図3で説明したネットワーク構成において、不正端末230がネットワークに接続した直後の状態、すなわち回線502がリンクアップすると、不正端末230は通信を開始するためにパケット31を送信する。ここで、パケット31はARPパケットであることが一般的であるが、ARPパケット以外のパケットでもよい。
また、不正端末230は、正常端末210と同じMACアドレスになりすました端末であり、不正端末230のMACアドレスである「M210」は、正常端末210のMACアドレスである「M210」と同一のMACアドレスである。
なお、不正端末230の通信以外は、図1および図3を用いて説明したとおりであるので、図1および図3と同じ符号を用いて説明を省略する。
以下では、不正端末230が送信するパケット31について、図8と図9を用いて説明する。
図8は、不正端末接続後のFDBテーブル5200の例を示す図である。図5に示したFDBテーブル5200と同じ要素、同じ符号、あるいは同じ値は、図5を用いた説明と同じ説明であるので、説明を省略する。
ネットワーク装置100の転送制御部2000は、不正端末230が送信するパケット31をポート102で受信すると、ポート102のポート番号である「P102」と不正端末230のMACアドレスである「M210」をFDBテーブル5200へ登録する(この状態の図示は省略)。
ネットワーク装置100のFDB用MACアドレス生成部1000は、FDBテーブル5200への登録を監視して登録が発生すると、登録されたポート番号に基づいて、図4に示すコンフィグレーションテーブル5100を参照する。
FDB用MACアドレス生成部1000は、登録されたポート番号の「P102」すなわちポート102の不正端末監視の実行状態5120が「有効」であると判定すると、MACアドレス5230の「M210」にポート102の識別子を加味したMACアドレス「M210b」に変換する。そして、FDBテーブル5200のMACアドレス5230には、変換後のMACアドレスである「M210b」が上書きされる。
MACアドレスの変換前の「M210」と変換後の「M210b」の対応は、不正端末管理テーブル5300で管理される。この場合の不正端末管理テーブル5300については、図9を用いて後で説明する。
図7で説明したように、不正端末230のMACアドレスである「M210」は、正常端末210のMACアドレスである「M210」と同一のMACアドレスであるが、ポートの識別子を加味したMACアドレスに変換することにより、FDBテーブル5200のMACアドレス5230に登録された「M210a」と「M210b」は異なるMACアドレスとなる。
これにより、一般的な従来のFDBテーブルの処理として、FDBテーブル5200のポート番号5220の「P101」に対応するMACアドレス5230へ「M210」が登録され、その後、ポート番号5220の「P102」に対応するMACアドレス5230へ「M210」が登録されることにより、「M210」が「P101」から「P102」へ移動することが防止される。
すなわち、ポート101に接続された正常端末210宛に、サーバ端末300により送信されたパケット12が、FDBテーブル5200に基づいてポート102に接続された不正端末230に送信されることが防止される。
図9は、不正端末接続後の不正端末管理テーブル5300の例を示す図である。図6に示した不正端末管理テーブル5300と同じ要素、同じ符号、あるいは同じ値は、図6を用いた説明と同じ説明であるので、説明を省略する。
図8を用いて説明したように、ネットワーク装置100は、不正端末230が送信するパケット31を受信すると、MACアドレス5310に「M210」を、変換MACアドレス5320に「M210b」を登録する。
ここで、MACアドレス5310には同一の「M210」が既に登録されているため、変換後のMACアドレスである「M210b」は、登録済の「M210」に対応する2個目の変換MACアドレスとして、不正端末管理テーブル5300に登録され、登録数5330が「2」に更新される。2個目の変換MACアドレスであることは、登録数5330の値から判定されてもよい。
図10は、不正端末が通信するネットワーク構成の例を示す図である。図7で説明したネットワーク構成において、不正端末230が通信を開始するために送信したパケット31の応答のパケット32をネットワーク装置100がポート103で受信した状態である。
ここで、パケット31はARPパケットであり、パケット32はARPの応答のパケットであることが一般的であるが、ARPに関するパケット以外のパケットであってもよい。
ネットワーク装置100はパケット32を受信すると、MAC重複検知部3000により、パケット32の宛先MACアドレスで、不正端末管理テーブル5300のMACアドレス5310に登録されたMACアドレスが検索される。
パケット32の宛先MACアドレスは不正端末230のMACアドレスである「M210」であるが、正常端末210のMACアドレスである「M210」と同一のMACアドレスである場合、図9に示すようにMACアドレス5310の「M210」に対応する変換MACアドレス5320に2個が登録されていることを検知する(登録数5330の「2」を検知してもよい)。
ネットワーク装置100は、不正端末管理テーブル5300のMACアドレス5310の1個に対応する変換MACアドレス5320が複数個登録されていることを検知すると、不正端末が接続されている可能性があるため、変換後MACアドレス「M210a」と「M210b」が不正端末の可能性がある端末とする処理を実行する。
不正端末の可能性がある端末とする処理として、ネットワーク装置100は、パケット32を破棄する。図10では図示を省略したが、この処理を開始した時点以降で、正常端末210を宛先とするパケット12をネットワーク装置が受信した場合、パケット12も破棄してもよい。
そして、ネットワーク装置100は、図8に示すFDBテーブル5200からMACアドレス5230が「M210a」と「M210b」に対応するポート番号の「P101」と「P102」を取得し、ポート状態制御部4000を用いてポート番号の「P101」と「P102」に対応するポート101とポート102を停止する。
図11は、停止後のネットワーク構成の例を示す図である。図10を用いて説明したネットワーク構成において、ポート101とポート102を停止した後の状態である。ポート101とポート102の停止により、物理的には接続されているものの、回線501と回線502がリンクダウンし、正常端末210と不正端末230がネットワークから遮断される。
この結果、停止後は不正端末230から一切パケットを受信することなく、不正端末230をネットワークから遮断できる。
以上の説明では、パケット32の宛先MACアドレスに基づいて不正端末230をネットワークから遮断したが、パケット31をネットワーク装置100が受信したときの動作で不正端末230をネットワークから遮断してもよい。
例えば、FDB用MACアドレス生成部1000は、パケット31に対して、不正端末管理テーブル5300の変換MACアドレス5320へ「M210b」を登録して、登録数5330を「2」にし、MAC重複検知部3000は、この登録数5330が「2」となる登録を検知し、ポート状態制御部4000を用いてポート101とポート102を停止してもよい。
以上で説明したように、不正端末が正常端末のMACアドレスと同じMACアドレスになりすましても、ポートに依存して変換されたMACアドレスを用いるため、正常端末へのパケットの転送路が、不正端末の方へ変更されることはない。
また、不正端末へのパケットを検出すると、ポートを停止するため、この停止によっても、不正端末へパケットが届くことはない。さらに、このような不正端末監視装置としての機能を、一般的なネットワーク装置への付加機能として実現することも可能である。
11 正常端末からのパケット
12 正常端末宛のパケット
31 不正端末からのパケット
32 不正端末宛のパケット
100 ネットワーク装置
210 正常端末
230 不正端末
300 サーバ端末

Claims (8)

  1. 複数のポートを有し、前記複数のポート間でパケットを中継するネットワーク装置であって、
    前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第のMACアドレスに変換する生成部と、
    前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
    前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
    前記第のMACアドレスあるいは前記第のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
    前記検知部は、
    前記管理テーブルにおいて、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
    を備えたことを特徴とするネットワーク装置。
  2. 複数のポートを有し、前記複数のポート間でパケットを中継するネットワーク装置であって、
    前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第のMACアドレスに変換する生成部と、
    前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
    前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
    前記第のMACアドレスあるいは前記第のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
    前記検知部は、
    前記管理テーブルにおいて、同一のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
    を備えたことを特徴とするネットワーク装置。
  3. 請求項1および2の何れかに記載のネットワーク装置であって、
    前記第1のポートと前記生成部により変換された前記第のMACアドレスとを関連付ける情報、および前記第2のポートと前記生成部により変換された前記第のMACアドレスとを関連付ける情報が格納されるFDBテーブルをさらに備え、
    前記転送制御部は、
    前記検知部により変換された前記第のMACアドレスあるいは前記第のMACアドレスを、前記FDBテーブルで検索し、前記第のMACアドレスあるいは前記第のMACアドレスに関連付けられた前記第1のポートあるいは前記第2のポートを、受信したパケットの送信ポートとして特定すること
    を特徴とするネットワーク装置。
  4. 請求項1および2の何れかに記載のネットワーク装置であって、
    前記検知部は、
    前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第のMACアドレスあるいは前記第のMACアドレスを特定し、特定された前記第のMACアドレスあるいは前記第のMACアドレスに変換すること
    を特徴とするネットワーク装置。
  5. 請求項3に記載のネットワーク装置であって、
    前記複数のポートのそれぞれに第1の状態と第2の状態が設定される構成テーブルをさらに備え、
    前記生成部は、
    前記構成テーブルにおいて前記第1のポートが前記第1の状態であると判定すると、前記第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第のMACアドレスに変換し、前記構成テーブルにおいて前記第2のポートが前記第1の状態であると判定すると、前記第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第のMACアドレスに変換し、前記構成テーブルにおいて前記複数のポートの中の第3のポートが前記第2の状態であると判定すると、変換をスキップし、
    前記FDBテーブルは、
    前記第1のポートと前記生成部により変換された前記第のMACアドレスとを関連付ける情報、前記第2のポートと前記生成部により変換された前記第のMACアドレスとを関連付ける情報、および前記第3のポートと前記第3のポートで受信したパケットの送信元のMACアドレスとを関連付ける情報が格納されること
    を特徴とするネットワーク装置。
  6. 請求項4に記載のネットワーク装置であって、
    前記検知部は、
    前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスが、前記第のMACアドレス及び前記第のMACアドレスに関連付けて前記管理テーブルに格納される第のMACアドレスであることを検知して、受信したパケットを破棄すること
    を特徴とするネットワーク装置。
  7. 請求項6に記載のネットワーク装置であって、
    前記第1のポートと前記第2のポートで送信元が前記第のMACアドレスのARPパケットを受信し、前記複数のポートのいずれかのポートで宛先が前記第のMACアドレスのARPの応答のパケットを受信すること
    を特徴とするネットワーク装置。
  8. サーバと複数の端末がネットワーク装置に接続され、パケットで通信されるネットワークシステムであって、
    前記複数の端末の中の第1の端末は、
    前記第1の端末のMACアドレスを送信元のMACアドレスとするパケットを、前記ネットワーク装置の第1のポートへ送信し、
    前記複数の端末の中の第2の端末は、
    前記第2の端末のMACアドレスを送信元のMACアドレスとするパケットを、前記ネットワーク装置の第2のポートへ送信し、
    前記サーバは、
    前記第1の端末のMACアドレスあるいは前記第2の端末のMACアドレスを宛先のMACアドレスとするパケットを、前記ネットワーク装置の第3のポートへ送信し、
    前記ネットワーク装置は、
    前記複数のポートの中の第1のポートで受信したパケットの送信元のMACアドレスを前記第1のポートに依存した第1のMACアドレスに変換し、前記複数のポートの中の第2のポートで受信したパケットの送信元のMACアドレスを前記第2のポートに依存した第2のMACアドレスに変換する生成部と、
    前記第1のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第1のMACアドレスとを関連付ける情報、および前記第2のポートで受信したパケットの送信元のMACアドレスと、前記生成部により変換された前記第2のMACアドレスとを関連付ける情報が格納される管理テーブルと、
    前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスを、前記管理テーブルで検索し、受信したパケットの宛先のMACアドレスに関連付けられた前記第1のMACアドレスあるいは前記第2のMACアドレスを特定し、特定された前記第1のMACアドレスあるいは前記第2のMACアドレスに変換する検知部と、
    前記第1のMACアドレスあるいは前記第2のMACアドレスに基づいて前記複数のポートの中から、受信したパケットの送信ポートを特定する転送制御部と、を有し、
    前記検知部は、
    前記管理テーブルにおいて、前記複数のポートのいずれかのポートで受信したパケットの宛先のMACアドレスに前記第1のMACアドレス及び前記第2のMACアドレスが関連付けられていることを検知して、前記第1のポートと前記第2のポートを停止するよう制御すること
    を特徴とするネットワークシステム。
JP2017235921A 2017-12-08 2017-12-08 ネットワーク装置およびネットワークシステム Active JP7042069B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017235921A JP7042069B2 (ja) 2017-12-08 2017-12-08 ネットワーク装置およびネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017235921A JP7042069B2 (ja) 2017-12-08 2017-12-08 ネットワーク装置およびネットワークシステム

Publications (2)

Publication Number Publication Date
JP2019103103A JP2019103103A (ja) 2019-06-24
JP7042069B2 true JP7042069B2 (ja) 2022-03-25

Family

ID=66977253

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017235921A Active JP7042069B2 (ja) 2017-12-08 2017-12-08 ネットワーク装置およびネットワークシステム

Country Status (1)

Country Link
JP (1) JP7042069B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7491772B2 (ja) * 2020-08-19 2024-05-28 アズビル株式会社 ネットワーク装置およびネットワーク構成判定方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008153905A (ja) 2006-12-18 2008-07-03 Fujitsu Ltd ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法
JP2009065303A (ja) 2007-09-05 2009-03-26 Nec Corp ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008153905A (ja) 2006-12-18 2008-07-03 Fujitsu Ltd ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法
JP2009065303A (ja) 2007-09-05 2009-03-26 Nec Corp ネットワーク装置、ネットワーク管理システム及びそれらに用いるmacアドレス重複検出方法

Also Published As

Publication number Publication date
JP2019103103A (ja) 2019-06-24

Similar Documents

Publication Publication Date Title
US9118716B2 (en) Computer system, controller and network monitoring method
US10212160B2 (en) Preserving an authentication state by maintaining a virtual local area network (VLAN) association
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
US20050050365A1 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
US9154509B2 (en) Intelligent electric device and network system including the device
EP2127309A2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network
JP4920878B2 (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
CN107241313B (zh) 一种防mac泛洪攻击的方法及装置
JP5134141B2 (ja) 不正アクセス遮断制御方法
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
JP6117050B2 (ja) ネットワーク制御装置
JP2007006054A (ja) パケット中継装置及びパケット中継システム
JP7042069B2 (ja) ネットワーク装置およびネットワークシステム
JP4895793B2 (ja) ネットワーク監視装置及びネットワーク監視方法
EP3499808B1 (en) Network device and controlling method thereof applicable for mesh networks
JP2018064228A (ja) パケット制御装置
KR102510093B1 (ko) 네트워크에서의 접근 통제 시스템 및 그 방법
JP2006067057A (ja) ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
JP4020134B2 (ja) スイッチングハブ装置、ルータ装置
CN108667832B (zh) 基于配置信息的认证方法、服务器、交换机和存储介质
JP6568495B2 (ja) 不正アクセス防止装置および方法
JP2018196100A (ja) 仮想交換システム
JP7474554B2 (ja) 機器監視方法、機器監視装置、及びプログラム
JP4863310B2 (ja) Ip衛星通信システムおよび不正パケット侵入防御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200423

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220314

R150 Certificate of patent or registration of utility model

Ref document number: 7042069

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250