スパニングツリープロトコルによりセットアップされたネットワーク構成を保護するための方法
スパニングツリープロトコル(STP)によりセットアップされたネットワーク構成を保護するための方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、1つのコンピュータネットワークの複数のブリッジのうちの1つをルートブリッジとして選択することによって、またその複数のブリッジのそれぞれの複数のブリッジポートのうちの1つをルートポートとして選択することによって、スパニングツリープロトコル(STP)によってセットアップされたネットワーク構成を保護するための方法、上述の種類のネットワーク構成で動作するためのブリッジ、および上述のような複数のブリッジを含むコンピュータネットワークに関する。
【背景技術】
【0002】
図1は、複数のリンク12から26によって相互接続された複数のブリッジ2から11をもつコンピュータネットワーク1を示す。図1のネットワーク構成を図2aに示すツリー状のネットワーク構成(スパニングツリー)に変形するために、スパニングツリープロトコル(STP)が、コンピュータネットワーク1のブートストラッピング段階中に実行される。スパニングツリープロトコルは、リンク21から26(図2aに破線で示す)を非活動化し、それにより、コンピュータネットワーク1のルートブリッジとも呼ばれるスパニングツリーの先端にあるブリッジ2のうちの1つをさらに先のブリッジ3から11のそれぞれに接続するループなし構成を取得することによって、スパニングツリーを生成する。かかるネットワーク構成が実現されるとき、ネットワークの端末(図示されていない)はループなしネットワーク1によって相互接続され、それによりデータグラムを送信および受信することができる。したがって、ブートストラッピング段階に続く動作段階において、端末の双方向のデータストリームはゲートウェイへ/から、また任意で端末間で、伝送される。
【0003】
図1、2aに示すブリッジ2から11はそれぞれ、スパニングツリーのブリッジ2から11を対応するリンク12から20を介して互いに接続するための複数の使用可能な(転送)ブリッジポート2aから11a、3b、4b、6b、7b、9b、10bを備える。ブリッジ2から11をルートブリッジ2へとつながるリンクを使って接続するこれらのブリッジポート2aから11aを、以下、ルートポート2aから11aと呼ぶ。非活動化されたリンク21から26を介してブリッジ3から11を接続するために使用されうるこれらのブリッジポートは、ツリー形の構成内では使用されず、したがって図2aには示されていない。図2aのブリッジ2から11のいずれもさらに先のブリッジポートを介してコンピュータネットワーク1の追加ブリッジまたは端末に接続されうることは理解されている。
【0004】
STPの設計について、ブリッジ2から11はすべて同等であり、同等の確率で接続する/切り離すことができることが想定されていた。しかし、今日のネットワークでは、管理者はブリッジIDを適宜に設定することによってスパニングツリーのルートとしてネットワークの中心点に位置するブリッジを選択することになり、通常ルートブリッジはSTPプロセスを管理するためのSTPインスタンスの機能を果たすこともできるネットワーク管理ユニット27の近くにある。他のブリッジと比較して、ルートブリッジは、より高い性能をもつデバイスであり、より高品質のおよび/または冗長なコンポーネントを使用して構築されるため、より高い可用性をもつ。さらに、端末のデータフローのほとんどはゲートウェイを介して、したがってルートブリッジを介して導かれる。特に、端末の許可(IEEE 802.1X Port−Based Network Access Control、RFC3588 Diameter)およびユーザ(アプリケーション固有の、たとえば、RFC3261 SIP)は、通常中心の位置にあるサーバとの通信を必要とする。すべてではないが多くの端末はルートブリッジを介してその位置に到達する。
【0005】
したがって、悪意ある攻撃者からブートストラッピング段階中にセットアップされたネットワーク構成を保護することが重要である。かかる悪意ある攻撃者が、たとえばケーブルを抜く/切るまたは無線リンクを妨害することによって、2つの隣接するブリッジの間のリンクを中断する場合、いくつかのまたはすべての端末は(冗長経路がある場合に)通信を継続することができる。しかし、攻撃者が偽造STPメッセージ、通常ブリッジプロトコルデータユニット(BPDU)を入れるとき、ブリッジされたネットワーク1全体の通信が、スパニングツリーの再構成を引き起こすことによって遮断されうる。
【0006】
図2bは、現行のルートブリッジ2のIDよりも大きいルートブリッジIDを運ぶ偽造BPDUを送信する、ブリッジ10と11の間のリンク20に接続されたかかる攻撃者30を示す。標準STPプロトコル手順によれば、ルートブリッジは常に最も低いルートブリッジIDをもつブリッジとして選択されるため、かかるBPDUはネットワーク1の構成にいかなる変更も引き起こさないことになる。
【0007】
しかし、攻撃者30が現行のルートブリッジ2(これはブリッジのより高い優先度に相当する)のIDよりも低いルートIDを運ぶBPDUを送信するとき、ブリッジ選択機構が再始動され、図2cに示すように、正規のSTPが新しいスパニングツリーを構築することになる。新しいスパニングツリーは攻撃者の位置30から始まって構築されるため、ネットワーク1内の主要なリンク12から13、16、18、24は非活動化され、それによりネットワーク全体の動作にマイナスの影響を及ぼしうる。
【0008】
したがって、単一のリンクへのアクセスをもつ攻撃者は、たとえばリンクの妨害など、その特定のリンク上のデータグラム伝送を妨害することができるだけでなく、ネットワーク全体の性能に影響を及ぼしうる。攻撃者が実際のルートと同じルートIDをもつ、但し有意に低いルート経路コストをもつ偽造BPDUを送信するとき、同様の作用が生成され、それによりスパニングツリーの大きな再構成の原因となりうる。
【0009】
US2006/0092862に、外部ネットワークに接続されたブリッジのブリッジポートがルートポートとして選択されることを防ぐことによってコアネットワーク内のルートブリッジの位置を保つことを可能にする「STPルートガード」として知られている手順が説明されている。しかし、かかる手順は、コアネットワーク自体のリンクへの攻撃を防ぐことはできない。
【0010】
理論上は、受信ブリッジが暗号署名をチェックすることによってBPDUの真性を確認することができるような、暗号法による署名をすべてのBPDUに行うことも可能であろう。しかし、暗号法によるBPDUの保護は、相当な構成/管理オーバヘッドならびに各ブリッジ内のかなりの計算資源を必要とすることになろう。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】米国特許出願公開第2006/0092862号明細書
【発明の概要】
【発明が解決しようとする課題】
【0012】
本発明の目的は、偽造STPメッセージを使用した攻撃からスパニングツリープロトコルによりセットアップされたネットワーク構成を保護することを可能にする方法、ブリッジ、およびコンピュータネットワークを提供することである。
【課題を解決するための手段】
【0013】
この目的は、双方向のトラヒックがブリッジポートを通過する場合に少なくとも1つのブリッジのうちの少なくとも1つのブリッジポートのサブ状態をアクティブなサブ状態に設定するステップと、アクティブなサブ状態にあるブリッジポートのうちの1つでSTPメッセージ、具体的にはブリッジプロトコルデータユニット(BPDU)を受信するステップと、STPメッセージがネットワーク構成のルートブリッジの変更を示す場合にそのSTPメッセージを捨てることによっておよび/またはネットワーク管理ユニットに警告メッセージを送ることによってネットワーク構成を保護するステップとを含む前述の方法によって達成される。
【0014】
ブリッジポートがアクティブなサブ状態にある場合、それは双方向のペイロードトラヒックを見ており、このような場合にはルートブリッジの変更はネットワークの動作を向上させないため、ルートブリッジは上手く働いていて、異なるルートブリッジを知らせるBPDUは恐らく偽造されたものであると推定することができる。したがって、かかるBPDUを無視することが不必要なルートブリッジ変更を回避することになる。さらに、ネットワーク管理ユニットは、偽造BPDUの発生の知らせを受けることができ、攻撃者を特定し、阻止するために必要な措置を取ることができる。
【0015】
好ましい一変形形態では、ルートブリッジの変更は、ネットワーク構成のルートブリッジのブリッジポートIDよりも小さいBPDUのブリッジポートIDによって示される。図2cに関連して詳述されるとおり、攻撃者が現在のルートブリッジ(ブリッジのより高い優先度に相当する)のIDよりも小さいルートIDを運ぶBPDUを送信する場合、最新技術では、ブリッジ選択機構が再始動され、攻撃者の位置から始まって、新しいスパニングツリーが構築されることになろう。本方式では、BPDUを受け取るルートポートがアクティブなサブ状態にあるとき、その攻撃者のBPDUは無視され、それによりネットワーク構成を保護する。
【0016】
さらなる好ましい一変形形態では、この方法は、STPメッセージが、通常はルートポートではないブリッジポートで、ルートポートの変更およびルート経路コストの減少を示す場合にそのSTPメッセージのルート経路コストの妥当性をチェックするステップをさらに含む。ネットワーク構成の変更は、ルートブリッジの変更を示すBPDUによってだけでなく、偽造ルート経路コストをもつBPDUによっても引き起こされることがあり、それによりスパニングツリーの再構成もトリガする1つまたは複数のブリッジのルートポートの変更につながる。偽造BPDUをトポロジの変更を知らせる正規のBPDUと区別することは難しいが、カストマイズされた妥当性のチェックはかかる攻撃への防衛に役立つことができる。
【0017】
本変形形態の好ましい一改善では、妥当性についてのルート経路コストのチェックは、ネットワークのトポロジおよび/またはネットワーク管理ユニットによって設定されるルート経路コストの許容範囲を考慮し、STPメッセージのルート経路コストを実際のルート経路コストと比較することによって実行される。かかる方法で、偽造ルート経路コストをもつBPDUは、正規のトポロジ変更を示すBPDUと区別されることが可能である。
【0018】
本発明の第2の態様は、前述のコンピュータネットワークのネットワーク構成で動作するためのブリッジであって、双方向のトラヒックがブリッジポートを通過する場合に少なくとも1つのブリッジポートのサブ状態をアクティブなサブ状態に設定するためのサブ状態設定ユニットと、アクティブなサブ状態にあるブリッジポートのうちの1つでSTPメッセージ、具体的にはブリッジプロトコルデータユニット(BPDU)を受信するための受信ユニットと、STPメッセージがネットワーク構成のルートブリッジの変更を示す場合にそのSTPメッセージを捨てることによっておよび/またはネットワーク管理ユニットに警告メッセージを送ることによってネットワーク構成を保護するためのネットワーク構成保護ユニットとを含むブリッジに関する。
【0019】
サブ状態設定ユニットは、転送ブリッジポートすなわちSTPによって有効にされたこれらのブリッジポートのそれぞれに追加された追加状態機械である。したがって、サブ状態設定ユニットは、ブリッジポートの転送状態をアクティブなおよびパッシブなサブ状態に分けるために使用されることが可能である。端末からの双方向のペイロードトラヒックが転送ブリッジポートを介して伝送される限り、それはアクティブなサブ状態にある。たとえばリンク障害の場合、トラヒックは止まり、ブリッジポートはパッシブなサブ状態に変わる。したがって、BPDUはサブ状態の変更を引き起こすことはできないが、たとえばスパニングツリーの再構成中に転送ブリッジポートを使用不能にすることによって、STPによるポート状態の変更だけは引き起こすことができる。スパニングツリーのかかる不要な変更は、たとえばBPDUがルートブリッジの変更を示しそして転送ブリッジポートがアクティブなサブ状態にあるときにそのBPDUが偽造されていると推定することによって、偽造BPDUを識別することにより回避されることが可能である。
【0020】
好ましい一実施形態では、ルートブリッジの変更は、ルートブリッジのブリッジポートIDよりも小さいBPDUのブリッジポートIDによってネットワーク構成保護ユニット内で示される。アクティブなサブ状態のブリッジポートがかかるBPDUを受け取る場合、ネットワーク構成保護ユニットはそのBPDUを捨てるそして/またはネットワークのSTPインスタンスとしての機能を果たすこともできるネットワーク管理ユニットに警告メッセージを送る。
【0021】
さらなる好ましい一実施形態では、ネットワーク構成保護ユニットは、STPメッセージがルートポートの変更およびルート経路コストの減少を示す場合にそのSTPメッセージのルート経路コストの妥当性をチェックするように構成される。通常は、ルートポートではないブリッジポートでBPDUが受信されるとき、かかるチェックが実行される。
【0022】
本実施形態の好ましい一改善では、ネットワーク構成保護ユニットは、ネットワークのトポロジおよび/またはネットワーク管理ユニットによって設定されるルート経路コストの許容範囲を考慮し、STPメッセージのルート経路コストを実際のルート経路コストと比較することによってそのルート経路コストの妥当性をチェックするように構成される。この場合、ネットワークトポロジに関する追加情報が、ネットワーク管理ユニットによって提供されうるネットワーク構成保護ユニットで入手可能である。
【0023】
本発明の第3の態様は、前述のタイプの複数のブリッジを含むコンピュータネットワークであって、複数のブリッジのうちの1つをルートブリッジとして選択することによって、また複数のブリッジのそれぞれの複数のブリッジポートのうちの1つをルートポートとして選択することによって、スパニングツリープロトコル(STP)によりセットアップされたネットワーク構成で動作するコンピュータネットワークにおいて実装される。STPは、ネットワークのブートストラッピング段階中にスパニングツリーを生成する。動作段階では、ネットワーク構成は前述の方法で攻撃から保護され、したがってリンク障害などの正規のトポロジ変更の場合にのみ修正される。
【0024】
好ましい一実施形態では、コンピュータネットワークはさらに、ネットワークの他のセントラルサーバまたはゲートウェイ機能と同じ場所に配置されうるネットワーク管理ユニットを含む。ネットワーク管理ユニットは、ネットワークのトポロジに関する、具体的にはルート経路コストの許容範囲に関する情報も提供することができる。
【0025】
さらなる特徴および利点については、重要な詳細を示す図面を参照した以下の例示的な実施形態の説明に記載され、また特許請求の範囲により定義される。個々の特徴は単独で個々に実装されることが可能であり、それらの特徴のうちのいくつかは任意の所望の組合せで実装されることが可能である。
【0026】
例示的な実施形態が図表に示され、以下に説明される。
【図面の簡単な説明】
【0027】
【図1】複数の相互接続されたブリッジを含むコンピュータネットワークの略図である。
【図2a】スパニングツリープロトコルによりセットアップされた図1のコンピュータネットワークのネットワーク構成の略図である。
【図2b】保護されていないネットワーク構成の場合に、コンピュータネットワークのブリッジの1つにSTPメッセージを送信する攻撃者によってどのように図2aのネットワーク構成が変更されうるかを示す図である。
【図2c】保護されていないネットワーク構成の場合に、コンピュータネットワークのブリッジの1つにSTPメッセージを送信する攻撃者によってどのように図2aのネットワーク構成が変更されうるかを示す図である。
【図3a】図2aのネットワーク構成を保護するためのブリッジを示す図である。
【図3b】図3aのブリッジのブリッジポートの状態図である。
【図4】図2aのネットワーク構成を保護するための方法の流れ図である。
【発明を実施するための形態】
【0028】
図3aは、図2aのコンピュータネットワーク1のブリッジ10をより詳細に示す。ブリッジ10は、リンク18、19を介してルートブリッジ2に接続され、以下でルートポートとも呼ばれる第1の転送ブリッジポート10aと、図2aのさらに先のブリッジ11にリンク20によって接続される第2の転送ブリッジポート10bと、図2aのネットワーク構成で使用不可能にされている第3のブリッジポート10cとを含む。
【0029】
ブリッジ10はさらに、サブ状態設定ユニット41、受信ユニット42、およびネットワーク構成保護ユニット43を含む。受信ユニット42は、2つの転送ブリッジポート10a、10bで、STPメッセージを、具体的にはBPDUを受信するように構成される。サブ状態設定ユニット41およびネットワーク構成保護ユニット42は、以下にさらに詳述される方法で攻撃から図2aのネットワーク構成を保護するように構成される。サブ状態設定ユニット41、受信ユニット42、およびネットワーク構成保護ユニット43は、図3aでは別個の実体として示されているが、これらはブリッジ10内の1つの物理的実体、たとえばマイクロプロセッサ、ASICなどに実装されうることが、当業者には理解されるであろう。またブリッジポート10aから10cのすべてに対して使用される3つのユニット41から43を提供するかわりに、ブリッジポート10aから10cのそれぞれに対して別個のユニットが使用されることも可能である。
【0030】
サブ状態設定ユニット41の機能は、図3aの転送ブリッジポート10a、10bの状態図を表す、図3bを参照して最もよく説明されうる。この図では、転送状態は、パッシブなサブ状態51とアクティブなサブ状態52に分けられている。端末からの双方向のペイロードトラヒックがブリッジポート10a、10bを通して伝送される限り、それらはアクティブなサブ状態52にある。たとえばリンク障害の場合、トラヒックは止まり、ブリッジポート10a、10bはパッシブなサブ状態51に変わる。図3bにも示すとおり、BPDUはサブ状態51、52の間の遷移を引き起こさない。しかし、それらは、転送状態から動作不能状態へのまたはその逆の、STPによるブリッジポート状態の変化、すなわちルートポートの変化またはブリッジポート10a、10bの変化を引き起こしうる。
【0031】
図3bに示す2状態機構に基づいて、図4の流れ図に示す拡張プロトコル状態遷移図が実行されることが可能であり、これを第2のブリッジポート10bについて以下に説明する。第1のステップ100で、ブリッジ11へのリンク20に障害はないため、サブ状態設定デバイス41が転送ブリッジポート10bを図3bに示すアクティブなサブ状態52に設定し、その結果として、双方向のトラヒックが第2のブリッジポート10bを通過する。第2のステップ101で、BPDUが第2のブリッジポート10bの受信ユニット42によって受信される。第3のステップ102で、着信BPDUがそこに含まれるルートブリッジIDに関してネットワーク構成保護ユニットによるチェックを受ける。そのルートブリッジIDがブリッジ10に知られているルートブリッジIDよりも低い場合、そのBPDUは偽造されていると考えて差し支えない。これは、転送/アクティブ状態では、双方向のペイロードトラヒックは図2aのルートブリッジ2への機能的経路を示し、したがって再構成の必要がないということによる。かかる偽造BPDUはステップ103で無事に捨てられることが可能であり、警報信号がネットワーク管理ユニット27にその出来事について知らせることができる。しかし、BPDU内のルートブリッジIDが知られているルートブリッジIDよりも大きいとき、そのBPDUはいかなる方法でも再構成を引き起こすことはなく、したがってSTPインスタンス、通常はネットワーク管理ユニット27に無事に渡されることが可能である。
【0032】
受信されたBPDU内のルートブリッジIDがブリッジ10に知られているルートブリッジIDと等しい場合、ステップ104aから104cで、そのBPDUに含まれるルート経路コストが慎重に分析される必要がある。ルートポート10aがより低いルート経路コストの更新を受信するあるいは非ルートポート(ブリッジポート10bなど)がさらに高いコストをもつBPDUを受信するときはいつでも、ブリッジのルートポート10a(したがって切替えテーブル)に変化はない。この場合、ネットワークはその通常の動作を継続することができ、プロセスは次のステップ105に引き継がれることが可能であると考えて差し支えない。また、ルートポート10aがより高いルート経路コストをもつBPDUを受信し、それによりルートポート切替えを潜在的にトリガする場合、かかるBPDUは特定のリンクへの妨害と比べて同等のまたはより少ない作用をもつため、そのBPDUは同様に(ステップ104bで)STPインスタンス27に無事に渡されることが可能である。
【0033】
しかし、ブリッジポート10bなどの非ルートポートがより低いルート経路コストをもつBPDUを受信し、そうしてそれらがブリッジ10のルートポート10aを変更するとき、新しいリンクがネットワーク1に追加されたか、あるいはトラヒックをリダイレクトするためにネットワーク管理ユニット27がリンクコストを変更することを決定したか、あるいは攻撃者がネットワークの動作を阻害しようとしていることを示しうる。後者の場合、1つのリンクに送られるかかる偽造BPDUは、図2cを参照して前述したように、ネットワークの動作への有害な作用でネットワーク1全体でトラヒックを再編することができるであろう。
【0034】
したがって、STPインスタンス27に偽造BPDUを渡す可能性を低減するために、ルート経路コストはネットワーク構成保護ユニット43によってあらかじめ(ステップ104cで)その妥当性をチェックされる必要がある。これは、たとえば、ネットワークのトポロジの知られている特性およびリンクコスト値の許容範囲に関するネットワーク管理ユニット27に与えられたルールに関して、前のコストと新しいコストの差異を分析することによって行われることが可能であり、それにより攻撃者の偽造BPDUの潜在的な影響をさらに低減しうる。かかる方法で偽造ルート経路コストをもつBPDUが識別された場合、ステップ103と類似の方法で、そのBPDUは捨てられ、警告メッセージがSTPインスタンス27に送られる。偽造BPDUが検出されなかった場合、次のステップ106で、サブ状態設定ユニット41が、双方向のトラヒックがブリッジポート10bを通過するかをチェックし、ブリッジポート10bをアクティブなサブ状態に設定し、図4で説明されるプロセスが再び新たに始まることができる。上述のプロセスはブリッジ10のルートポート10aにも同様に適用されることが可能であり、ルート経路コストのチェックはこの場合に必要とされないことは理解されよう。
【0035】
ネットワーク1全体を保護するために、図4を参照して説明されるプロセスが、図2aに示すネットワークのブリッジ3から11のそれぞれのブリッジポート3aから11a、3b、4b、6b、7b、9b、10bに好ましくは適用される。かかる方法で、STPプロトコル形式の変更または追加構成オーバヘッドの必要なしに1つまたは複数の内部リンク12から20にアクセスできる攻撃者による妨害からネットワーク1全体が保護されることが可能である。したがって、本明細書に述べるスキーマは、トラヒックのほとんどが明確な中枢ポイントを通過する標準的な企業ネットワーク設定において特に有利であり、しかし他の特徴をもつネットワークのプロトコルの安定性を脅かさない。
【0036】
好ましい実施形態の前述の説明は、例示を目的として与えられている。与えられた開示から、当業者は本発明およびその付随する利点を理解するだけでなく、開示された構造および方法の明らかな多種の変形形態および修正形態も見いだすことになろう。したがって、出願人は、添付の特許請求の範囲およびその均等物により定義される、本発明の趣旨および範囲に含まれるようなすべてのかかる変更形態および修正形態を包含することを求める。
【技術分野】
【0001】
本発明は、1つのコンピュータネットワークの複数のブリッジのうちの1つをルートブリッジとして選択することによって、またその複数のブリッジのそれぞれの複数のブリッジポートのうちの1つをルートポートとして選択することによって、スパニングツリープロトコル(STP)によってセットアップされたネットワーク構成を保護するための方法、上述の種類のネットワーク構成で動作するためのブリッジ、および上述のような複数のブリッジを含むコンピュータネットワークに関する。
【背景技術】
【0002】
図1は、複数のリンク12から26によって相互接続された複数のブリッジ2から11をもつコンピュータネットワーク1を示す。図1のネットワーク構成を図2aに示すツリー状のネットワーク構成(スパニングツリー)に変形するために、スパニングツリープロトコル(STP)が、コンピュータネットワーク1のブートストラッピング段階中に実行される。スパニングツリープロトコルは、リンク21から26(図2aに破線で示す)を非活動化し、それにより、コンピュータネットワーク1のルートブリッジとも呼ばれるスパニングツリーの先端にあるブリッジ2のうちの1つをさらに先のブリッジ3から11のそれぞれに接続するループなし構成を取得することによって、スパニングツリーを生成する。かかるネットワーク構成が実現されるとき、ネットワークの端末(図示されていない)はループなしネットワーク1によって相互接続され、それによりデータグラムを送信および受信することができる。したがって、ブートストラッピング段階に続く動作段階において、端末の双方向のデータストリームはゲートウェイへ/から、また任意で端末間で、伝送される。
【0003】
図1、2aに示すブリッジ2から11はそれぞれ、スパニングツリーのブリッジ2から11を対応するリンク12から20を介して互いに接続するための複数の使用可能な(転送)ブリッジポート2aから11a、3b、4b、6b、7b、9b、10bを備える。ブリッジ2から11をルートブリッジ2へとつながるリンクを使って接続するこれらのブリッジポート2aから11aを、以下、ルートポート2aから11aと呼ぶ。非活動化されたリンク21から26を介してブリッジ3から11を接続するために使用されうるこれらのブリッジポートは、ツリー形の構成内では使用されず、したがって図2aには示されていない。図2aのブリッジ2から11のいずれもさらに先のブリッジポートを介してコンピュータネットワーク1の追加ブリッジまたは端末に接続されうることは理解されている。
【0004】
STPの設計について、ブリッジ2から11はすべて同等であり、同等の確率で接続する/切り離すことができることが想定されていた。しかし、今日のネットワークでは、管理者はブリッジIDを適宜に設定することによってスパニングツリーのルートとしてネットワークの中心点に位置するブリッジを選択することになり、通常ルートブリッジはSTPプロセスを管理するためのSTPインスタンスの機能を果たすこともできるネットワーク管理ユニット27の近くにある。他のブリッジと比較して、ルートブリッジは、より高い性能をもつデバイスであり、より高品質のおよび/または冗長なコンポーネントを使用して構築されるため、より高い可用性をもつ。さらに、端末のデータフローのほとんどはゲートウェイを介して、したがってルートブリッジを介して導かれる。特に、端末の許可(IEEE 802.1X Port−Based Network Access Control、RFC3588 Diameter)およびユーザ(アプリケーション固有の、たとえば、RFC3261 SIP)は、通常中心の位置にあるサーバとの通信を必要とする。すべてではないが多くの端末はルートブリッジを介してその位置に到達する。
【0005】
したがって、悪意ある攻撃者からブートストラッピング段階中にセットアップされたネットワーク構成を保護することが重要である。かかる悪意ある攻撃者が、たとえばケーブルを抜く/切るまたは無線リンクを妨害することによって、2つの隣接するブリッジの間のリンクを中断する場合、いくつかのまたはすべての端末は(冗長経路がある場合に)通信を継続することができる。しかし、攻撃者が偽造STPメッセージ、通常ブリッジプロトコルデータユニット(BPDU)を入れるとき、ブリッジされたネットワーク1全体の通信が、スパニングツリーの再構成を引き起こすことによって遮断されうる。
【0006】
図2bは、現行のルートブリッジ2のIDよりも大きいルートブリッジIDを運ぶ偽造BPDUを送信する、ブリッジ10と11の間のリンク20に接続されたかかる攻撃者30を示す。標準STPプロトコル手順によれば、ルートブリッジは常に最も低いルートブリッジIDをもつブリッジとして選択されるため、かかるBPDUはネットワーク1の構成にいかなる変更も引き起こさないことになる。
【0007】
しかし、攻撃者30が現行のルートブリッジ2(これはブリッジのより高い優先度に相当する)のIDよりも低いルートIDを運ぶBPDUを送信するとき、ブリッジ選択機構が再始動され、図2cに示すように、正規のSTPが新しいスパニングツリーを構築することになる。新しいスパニングツリーは攻撃者の位置30から始まって構築されるため、ネットワーク1内の主要なリンク12から13、16、18、24は非活動化され、それによりネットワーク全体の動作にマイナスの影響を及ぼしうる。
【0008】
したがって、単一のリンクへのアクセスをもつ攻撃者は、たとえばリンクの妨害など、その特定のリンク上のデータグラム伝送を妨害することができるだけでなく、ネットワーク全体の性能に影響を及ぼしうる。攻撃者が実際のルートと同じルートIDをもつ、但し有意に低いルート経路コストをもつ偽造BPDUを送信するとき、同様の作用が生成され、それによりスパニングツリーの大きな再構成の原因となりうる。
【0009】
US2006/0092862に、外部ネットワークに接続されたブリッジのブリッジポートがルートポートとして選択されることを防ぐことによってコアネットワーク内のルートブリッジの位置を保つことを可能にする「STPルートガード」として知られている手順が説明されている。しかし、かかる手順は、コアネットワーク自体のリンクへの攻撃を防ぐことはできない。
【0010】
理論上は、受信ブリッジが暗号署名をチェックすることによってBPDUの真性を確認することができるような、暗号法による署名をすべてのBPDUに行うことも可能であろう。しかし、暗号法によるBPDUの保護は、相当な構成/管理オーバヘッドならびに各ブリッジ内のかなりの計算資源を必要とすることになろう。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】米国特許出願公開第2006/0092862号明細書
【発明の概要】
【発明が解決しようとする課題】
【0012】
本発明の目的は、偽造STPメッセージを使用した攻撃からスパニングツリープロトコルによりセットアップされたネットワーク構成を保護することを可能にする方法、ブリッジ、およびコンピュータネットワークを提供することである。
【課題を解決するための手段】
【0013】
この目的は、双方向のトラヒックがブリッジポートを通過する場合に少なくとも1つのブリッジのうちの少なくとも1つのブリッジポートのサブ状態をアクティブなサブ状態に設定するステップと、アクティブなサブ状態にあるブリッジポートのうちの1つでSTPメッセージ、具体的にはブリッジプロトコルデータユニット(BPDU)を受信するステップと、STPメッセージがネットワーク構成のルートブリッジの変更を示す場合にそのSTPメッセージを捨てることによっておよび/またはネットワーク管理ユニットに警告メッセージを送ることによってネットワーク構成を保護するステップとを含む前述の方法によって達成される。
【0014】
ブリッジポートがアクティブなサブ状態にある場合、それは双方向のペイロードトラヒックを見ており、このような場合にはルートブリッジの変更はネットワークの動作を向上させないため、ルートブリッジは上手く働いていて、異なるルートブリッジを知らせるBPDUは恐らく偽造されたものであると推定することができる。したがって、かかるBPDUを無視することが不必要なルートブリッジ変更を回避することになる。さらに、ネットワーク管理ユニットは、偽造BPDUの発生の知らせを受けることができ、攻撃者を特定し、阻止するために必要な措置を取ることができる。
【0015】
好ましい一変形形態では、ルートブリッジの変更は、ネットワーク構成のルートブリッジのブリッジポートIDよりも小さいBPDUのブリッジポートIDによって示される。図2cに関連して詳述されるとおり、攻撃者が現在のルートブリッジ(ブリッジのより高い優先度に相当する)のIDよりも小さいルートIDを運ぶBPDUを送信する場合、最新技術では、ブリッジ選択機構が再始動され、攻撃者の位置から始まって、新しいスパニングツリーが構築されることになろう。本方式では、BPDUを受け取るルートポートがアクティブなサブ状態にあるとき、その攻撃者のBPDUは無視され、それによりネットワーク構成を保護する。
【0016】
さらなる好ましい一変形形態では、この方法は、STPメッセージが、通常はルートポートではないブリッジポートで、ルートポートの変更およびルート経路コストの減少を示す場合にそのSTPメッセージのルート経路コストの妥当性をチェックするステップをさらに含む。ネットワーク構成の変更は、ルートブリッジの変更を示すBPDUによってだけでなく、偽造ルート経路コストをもつBPDUによっても引き起こされることがあり、それによりスパニングツリーの再構成もトリガする1つまたは複数のブリッジのルートポートの変更につながる。偽造BPDUをトポロジの変更を知らせる正規のBPDUと区別することは難しいが、カストマイズされた妥当性のチェックはかかる攻撃への防衛に役立つことができる。
【0017】
本変形形態の好ましい一改善では、妥当性についてのルート経路コストのチェックは、ネットワークのトポロジおよび/またはネットワーク管理ユニットによって設定されるルート経路コストの許容範囲を考慮し、STPメッセージのルート経路コストを実際のルート経路コストと比較することによって実行される。かかる方法で、偽造ルート経路コストをもつBPDUは、正規のトポロジ変更を示すBPDUと区別されることが可能である。
【0018】
本発明の第2の態様は、前述のコンピュータネットワークのネットワーク構成で動作するためのブリッジであって、双方向のトラヒックがブリッジポートを通過する場合に少なくとも1つのブリッジポートのサブ状態をアクティブなサブ状態に設定するためのサブ状態設定ユニットと、アクティブなサブ状態にあるブリッジポートのうちの1つでSTPメッセージ、具体的にはブリッジプロトコルデータユニット(BPDU)を受信するための受信ユニットと、STPメッセージがネットワーク構成のルートブリッジの変更を示す場合にそのSTPメッセージを捨てることによっておよび/またはネットワーク管理ユニットに警告メッセージを送ることによってネットワーク構成を保護するためのネットワーク構成保護ユニットとを含むブリッジに関する。
【0019】
サブ状態設定ユニットは、転送ブリッジポートすなわちSTPによって有効にされたこれらのブリッジポートのそれぞれに追加された追加状態機械である。したがって、サブ状態設定ユニットは、ブリッジポートの転送状態をアクティブなおよびパッシブなサブ状態に分けるために使用されることが可能である。端末からの双方向のペイロードトラヒックが転送ブリッジポートを介して伝送される限り、それはアクティブなサブ状態にある。たとえばリンク障害の場合、トラヒックは止まり、ブリッジポートはパッシブなサブ状態に変わる。したがって、BPDUはサブ状態の変更を引き起こすことはできないが、たとえばスパニングツリーの再構成中に転送ブリッジポートを使用不能にすることによって、STPによるポート状態の変更だけは引き起こすことができる。スパニングツリーのかかる不要な変更は、たとえばBPDUがルートブリッジの変更を示しそして転送ブリッジポートがアクティブなサブ状態にあるときにそのBPDUが偽造されていると推定することによって、偽造BPDUを識別することにより回避されることが可能である。
【0020】
好ましい一実施形態では、ルートブリッジの変更は、ルートブリッジのブリッジポートIDよりも小さいBPDUのブリッジポートIDによってネットワーク構成保護ユニット内で示される。アクティブなサブ状態のブリッジポートがかかるBPDUを受け取る場合、ネットワーク構成保護ユニットはそのBPDUを捨てるそして/またはネットワークのSTPインスタンスとしての機能を果たすこともできるネットワーク管理ユニットに警告メッセージを送る。
【0021】
さらなる好ましい一実施形態では、ネットワーク構成保護ユニットは、STPメッセージがルートポートの変更およびルート経路コストの減少を示す場合にそのSTPメッセージのルート経路コストの妥当性をチェックするように構成される。通常は、ルートポートではないブリッジポートでBPDUが受信されるとき、かかるチェックが実行される。
【0022】
本実施形態の好ましい一改善では、ネットワーク構成保護ユニットは、ネットワークのトポロジおよび/またはネットワーク管理ユニットによって設定されるルート経路コストの許容範囲を考慮し、STPメッセージのルート経路コストを実際のルート経路コストと比較することによってそのルート経路コストの妥当性をチェックするように構成される。この場合、ネットワークトポロジに関する追加情報が、ネットワーク管理ユニットによって提供されうるネットワーク構成保護ユニットで入手可能である。
【0023】
本発明の第3の態様は、前述のタイプの複数のブリッジを含むコンピュータネットワークであって、複数のブリッジのうちの1つをルートブリッジとして選択することによって、また複数のブリッジのそれぞれの複数のブリッジポートのうちの1つをルートポートとして選択することによって、スパニングツリープロトコル(STP)によりセットアップされたネットワーク構成で動作するコンピュータネットワークにおいて実装される。STPは、ネットワークのブートストラッピング段階中にスパニングツリーを生成する。動作段階では、ネットワーク構成は前述の方法で攻撃から保護され、したがってリンク障害などの正規のトポロジ変更の場合にのみ修正される。
【0024】
好ましい一実施形態では、コンピュータネットワークはさらに、ネットワークの他のセントラルサーバまたはゲートウェイ機能と同じ場所に配置されうるネットワーク管理ユニットを含む。ネットワーク管理ユニットは、ネットワークのトポロジに関する、具体的にはルート経路コストの許容範囲に関する情報も提供することができる。
【0025】
さらなる特徴および利点については、重要な詳細を示す図面を参照した以下の例示的な実施形態の説明に記載され、また特許請求の範囲により定義される。個々の特徴は単独で個々に実装されることが可能であり、それらの特徴のうちのいくつかは任意の所望の組合せで実装されることが可能である。
【0026】
例示的な実施形態が図表に示され、以下に説明される。
【図面の簡単な説明】
【0027】
【図1】複数の相互接続されたブリッジを含むコンピュータネットワークの略図である。
【図2a】スパニングツリープロトコルによりセットアップされた図1のコンピュータネットワークのネットワーク構成の略図である。
【図2b】保護されていないネットワーク構成の場合に、コンピュータネットワークのブリッジの1つにSTPメッセージを送信する攻撃者によってどのように図2aのネットワーク構成が変更されうるかを示す図である。
【図2c】保護されていないネットワーク構成の場合に、コンピュータネットワークのブリッジの1つにSTPメッセージを送信する攻撃者によってどのように図2aのネットワーク構成が変更されうるかを示す図である。
【図3a】図2aのネットワーク構成を保護するためのブリッジを示す図である。
【図3b】図3aのブリッジのブリッジポートの状態図である。
【図4】図2aのネットワーク構成を保護するための方法の流れ図である。
【発明を実施するための形態】
【0028】
図3aは、図2aのコンピュータネットワーク1のブリッジ10をより詳細に示す。ブリッジ10は、リンク18、19を介してルートブリッジ2に接続され、以下でルートポートとも呼ばれる第1の転送ブリッジポート10aと、図2aのさらに先のブリッジ11にリンク20によって接続される第2の転送ブリッジポート10bと、図2aのネットワーク構成で使用不可能にされている第3のブリッジポート10cとを含む。
【0029】
ブリッジ10はさらに、サブ状態設定ユニット41、受信ユニット42、およびネットワーク構成保護ユニット43を含む。受信ユニット42は、2つの転送ブリッジポート10a、10bで、STPメッセージを、具体的にはBPDUを受信するように構成される。サブ状態設定ユニット41およびネットワーク構成保護ユニット42は、以下にさらに詳述される方法で攻撃から図2aのネットワーク構成を保護するように構成される。サブ状態設定ユニット41、受信ユニット42、およびネットワーク構成保護ユニット43は、図3aでは別個の実体として示されているが、これらはブリッジ10内の1つの物理的実体、たとえばマイクロプロセッサ、ASICなどに実装されうることが、当業者には理解されるであろう。またブリッジポート10aから10cのすべてに対して使用される3つのユニット41から43を提供するかわりに、ブリッジポート10aから10cのそれぞれに対して別個のユニットが使用されることも可能である。
【0030】
サブ状態設定ユニット41の機能は、図3aの転送ブリッジポート10a、10bの状態図を表す、図3bを参照して最もよく説明されうる。この図では、転送状態は、パッシブなサブ状態51とアクティブなサブ状態52に分けられている。端末からの双方向のペイロードトラヒックがブリッジポート10a、10bを通して伝送される限り、それらはアクティブなサブ状態52にある。たとえばリンク障害の場合、トラヒックは止まり、ブリッジポート10a、10bはパッシブなサブ状態51に変わる。図3bにも示すとおり、BPDUはサブ状態51、52の間の遷移を引き起こさない。しかし、それらは、転送状態から動作不能状態へのまたはその逆の、STPによるブリッジポート状態の変化、すなわちルートポートの変化またはブリッジポート10a、10bの変化を引き起こしうる。
【0031】
図3bに示す2状態機構に基づいて、図4の流れ図に示す拡張プロトコル状態遷移図が実行されることが可能であり、これを第2のブリッジポート10bについて以下に説明する。第1のステップ100で、ブリッジ11へのリンク20に障害はないため、サブ状態設定デバイス41が転送ブリッジポート10bを図3bに示すアクティブなサブ状態52に設定し、その結果として、双方向のトラヒックが第2のブリッジポート10bを通過する。第2のステップ101で、BPDUが第2のブリッジポート10bの受信ユニット42によって受信される。第3のステップ102で、着信BPDUがそこに含まれるルートブリッジIDに関してネットワーク構成保護ユニットによるチェックを受ける。そのルートブリッジIDがブリッジ10に知られているルートブリッジIDよりも低い場合、そのBPDUは偽造されていると考えて差し支えない。これは、転送/アクティブ状態では、双方向のペイロードトラヒックは図2aのルートブリッジ2への機能的経路を示し、したがって再構成の必要がないということによる。かかる偽造BPDUはステップ103で無事に捨てられることが可能であり、警報信号がネットワーク管理ユニット27にその出来事について知らせることができる。しかし、BPDU内のルートブリッジIDが知られているルートブリッジIDよりも大きいとき、そのBPDUはいかなる方法でも再構成を引き起こすことはなく、したがってSTPインスタンス、通常はネットワーク管理ユニット27に無事に渡されることが可能である。
【0032】
受信されたBPDU内のルートブリッジIDがブリッジ10に知られているルートブリッジIDと等しい場合、ステップ104aから104cで、そのBPDUに含まれるルート経路コストが慎重に分析される必要がある。ルートポート10aがより低いルート経路コストの更新を受信するあるいは非ルートポート(ブリッジポート10bなど)がさらに高いコストをもつBPDUを受信するときはいつでも、ブリッジのルートポート10a(したがって切替えテーブル)に変化はない。この場合、ネットワークはその通常の動作を継続することができ、プロセスは次のステップ105に引き継がれることが可能であると考えて差し支えない。また、ルートポート10aがより高いルート経路コストをもつBPDUを受信し、それによりルートポート切替えを潜在的にトリガする場合、かかるBPDUは特定のリンクへの妨害と比べて同等のまたはより少ない作用をもつため、そのBPDUは同様に(ステップ104bで)STPインスタンス27に無事に渡されることが可能である。
【0033】
しかし、ブリッジポート10bなどの非ルートポートがより低いルート経路コストをもつBPDUを受信し、そうしてそれらがブリッジ10のルートポート10aを変更するとき、新しいリンクがネットワーク1に追加されたか、あるいはトラヒックをリダイレクトするためにネットワーク管理ユニット27がリンクコストを変更することを決定したか、あるいは攻撃者がネットワークの動作を阻害しようとしていることを示しうる。後者の場合、1つのリンクに送られるかかる偽造BPDUは、図2cを参照して前述したように、ネットワークの動作への有害な作用でネットワーク1全体でトラヒックを再編することができるであろう。
【0034】
したがって、STPインスタンス27に偽造BPDUを渡す可能性を低減するために、ルート経路コストはネットワーク構成保護ユニット43によってあらかじめ(ステップ104cで)その妥当性をチェックされる必要がある。これは、たとえば、ネットワークのトポロジの知られている特性およびリンクコスト値の許容範囲に関するネットワーク管理ユニット27に与えられたルールに関して、前のコストと新しいコストの差異を分析することによって行われることが可能であり、それにより攻撃者の偽造BPDUの潜在的な影響をさらに低減しうる。かかる方法で偽造ルート経路コストをもつBPDUが識別された場合、ステップ103と類似の方法で、そのBPDUは捨てられ、警告メッセージがSTPインスタンス27に送られる。偽造BPDUが検出されなかった場合、次のステップ106で、サブ状態設定ユニット41が、双方向のトラヒックがブリッジポート10bを通過するかをチェックし、ブリッジポート10bをアクティブなサブ状態に設定し、図4で説明されるプロセスが再び新たに始まることができる。上述のプロセスはブリッジ10のルートポート10aにも同様に適用されることが可能であり、ルート経路コストのチェックはこの場合に必要とされないことは理解されよう。
【0035】
ネットワーク1全体を保護するために、図4を参照して説明されるプロセスが、図2aに示すネットワークのブリッジ3から11のそれぞれのブリッジポート3aから11a、3b、4b、6b、7b、9b、10bに好ましくは適用される。かかる方法で、STPプロトコル形式の変更または追加構成オーバヘッドの必要なしに1つまたは複数の内部リンク12から20にアクセスできる攻撃者による妨害からネットワーク1全体が保護されることが可能である。したがって、本明細書に述べるスキーマは、トラヒックのほとんどが明確な中枢ポイントを通過する標準的な企業ネットワーク設定において特に有利であり、しかし他の特徴をもつネットワークのプロトコルの安定性を脅かさない。
【0036】
好ましい実施形態の前述の説明は、例示を目的として与えられている。与えられた開示から、当業者は本発明およびその付随する利点を理解するだけでなく、開示された構造および方法の明らかな多種の変形形態および修正形態も見いだすことになろう。したがって、出願人は、添付の特許請求の範囲およびその均等物により定義される、本発明の趣旨および範囲に含まれるようなすべてのかかる変更形態および修正形態を包含することを求める。
【特許請求の範囲】
【請求項1】
コンピュータネットワーク(1)の複数のブリッジ(2から11)のうちの1つをルートブリッジ(2)として選択することによって、また複数のブリッジ(2から11)のそれぞれの複数のブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)のうちの1つをルートポート(2aから11a)として選択することによって、スパニングツリープロトコル(STP)によりセットアップされたネットワーク構成を保護するための方法であって、
双方向のトラヒックがブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)を通過する場合に少なくとも1つのブリッジ(2から11)のうちの少なくとも1つのブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)のサブ状態(51、52)をアクティブなサブ状態(52)に設定するステップと、
アクティブなサブ状態にあるブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)のうちの1つでSTPメッセージ、具体的にはブリッジプロトコルデータユニット(BPDU)を受信するステップと、
STPメッセージがネットワーク構成のルートブリッジ(2)の変更を示す場合にそのSTPメッセージを捨てることによっておよび/またはネットワーク管理ユニット(27)に警告メッセージを送ることによってネットワーク構成を保護するステップと
を含む、方法。
【請求項2】
ルートブリッジ(2)の変更がネットワーク構成のルートブリッジ(2)のブリッジポートIDよりも小さいBPDUのブリッジポートIDによって示される、請求項1に記載の方法。
【請求項3】
STPメッセージがルートポート(2aから11a)の変更およびルート経路コストの減少を示す場合にそのSTPメッセージのルート経路コストの妥当性をチェックするステップをさらに含む、請求項1に記載の方法。
【請求項4】
妥当性についてのルート経路コストのチェックが、ネットワーク(1)のトポロジおよび/またはネットワーク管理ユニット(27)によって設定されるルート経路コストの許容範囲を考慮し、STPメッセージのルート経路コストを実際のルート経路コストと比較することによって実行される、請求項3に記載の方法。
【請求項5】
ブリッジ(10)の複数のブリッジポート(10aから10c)のうちの1つをルートポート(10a)として選択することによって、またコンピュータネットワーク(1)の複数のブリッジ(2から11)のうちの1つをルートブリッジ(2)として選択することによって、スパニングツリープロトコル(STP)によりセットアップされたコンピュータネットワーク(1)のネットワーク構成で動作するためのブリッジ(10)であって、
双方向のトラヒックがブリッジポート(10a、10b)を通過する場合に少なくとも1つのブリッジポート(10a、10b)のサブ状態をアクティブなサブ状態(52)に設定するためのサブ状態設定ユニット(41)と、
アクティブなサブ状態にあるブリッジポート(10a、10b)のうちの1つでSTPメッセージ、具体的にはブリッジプロトコルデータユニット(BPDU)を受信するための受信ユニット(42)と、
STPメッセージがネットワーク構成のルートブリッジ(2)の変更を示す場合にそのSTPメッセージを捨てることによっておよび/またはネットワーク管理ユニット(27)に警告メッセージを送ることによってネットワーク構成を保護するためのネットワーク構成保護ユニット(43)と
を含む、ブリッジ(10)。
【請求項6】
ルートブリッジ(2)のブリッジポートIDよりも小さいBPDUのブリッジポートIDによってネットワーク構成保護ユニット(43)内でルートブリッジ(2)の変更が示される、請求項5に記載のブリッジ。
【請求項7】
STPメッセージがルートポート(10a)の変更およびルート経路コストの減少を示す場合にネットワーク構成保護ユニット(43)がそのSTPメッセージのルート経路コストの妥当性をチェックするように構成された、請求項5に記載のブリッジ。
【請求項8】
ネットワーク構成保護ユニット(43)が、ネットワークのトポロジおよび/またはネットワーク管理ユニット(27)によって設定されたルート経路コストの許容範囲を考慮し、STPメッセージのルート経路コストを実際のルート経路コストと比較することによって、ルート経路コストの妥当性をチェックするように構成された、請求項7に記載のブリッジ。
【請求項9】
請求項5に記載の複数のブリッジ(2から11)を含むコンピュータネットワーク(1)であって、複数のブリッジ(2から11)のうちの1つをルートブリッジ(2)として選択することによって、また複数のブリッジ(2から11)のそれぞれの複数のブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)のうちの1つをルートポート(2aから11a)として選択することによって、スパニングツリープロトコル(STP)によりセットアップされたネットワーク構成で動作する、コンピュータネットワーク(1)。
【請求項10】
ネットワーク管理ユニット(27)をさらに含む、請求項9に記載のコンピュータネットワーク。
【請求項1】
コンピュータネットワーク(1)の複数のブリッジ(2から11)のうちの1つをルートブリッジ(2)として選択することによって、また複数のブリッジ(2から11)のそれぞれの複数のブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)のうちの1つをルートポート(2aから11a)として選択することによって、スパニングツリープロトコル(STP)によりセットアップされたネットワーク構成を保護するための方法であって、
双方向のトラヒックがブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)を通過する場合に少なくとも1つのブリッジ(2から11)のうちの少なくとも1つのブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)のサブ状態(51、52)をアクティブなサブ状態(52)に設定するステップと、
アクティブなサブ状態にあるブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)のうちの1つでSTPメッセージ、具体的にはブリッジプロトコルデータユニット(BPDU)を受信するステップと、
STPメッセージがネットワーク構成のルートブリッジ(2)の変更を示す場合にそのSTPメッセージを捨てることによっておよび/またはネットワーク管理ユニット(27)に警告メッセージを送ることによってネットワーク構成を保護するステップと
を含む、方法。
【請求項2】
ルートブリッジ(2)の変更がネットワーク構成のルートブリッジ(2)のブリッジポートIDよりも小さいBPDUのブリッジポートIDによって示される、請求項1に記載の方法。
【請求項3】
STPメッセージがルートポート(2aから11a)の変更およびルート経路コストの減少を示す場合にそのSTPメッセージのルート経路コストの妥当性をチェックするステップをさらに含む、請求項1に記載の方法。
【請求項4】
妥当性についてのルート経路コストのチェックが、ネットワーク(1)のトポロジおよび/またはネットワーク管理ユニット(27)によって設定されるルート経路コストの許容範囲を考慮し、STPメッセージのルート経路コストを実際のルート経路コストと比較することによって実行される、請求項3に記載の方法。
【請求項5】
ブリッジ(10)の複数のブリッジポート(10aから10c)のうちの1つをルートポート(10a)として選択することによって、またコンピュータネットワーク(1)の複数のブリッジ(2から11)のうちの1つをルートブリッジ(2)として選択することによって、スパニングツリープロトコル(STP)によりセットアップされたコンピュータネットワーク(1)のネットワーク構成で動作するためのブリッジ(10)であって、
双方向のトラヒックがブリッジポート(10a、10b)を通過する場合に少なくとも1つのブリッジポート(10a、10b)のサブ状態をアクティブなサブ状態(52)に設定するためのサブ状態設定ユニット(41)と、
アクティブなサブ状態にあるブリッジポート(10a、10b)のうちの1つでSTPメッセージ、具体的にはブリッジプロトコルデータユニット(BPDU)を受信するための受信ユニット(42)と、
STPメッセージがネットワーク構成のルートブリッジ(2)の変更を示す場合にそのSTPメッセージを捨てることによっておよび/またはネットワーク管理ユニット(27)に警告メッセージを送ることによってネットワーク構成を保護するためのネットワーク構成保護ユニット(43)と
を含む、ブリッジ(10)。
【請求項6】
ルートブリッジ(2)のブリッジポートIDよりも小さいBPDUのブリッジポートIDによってネットワーク構成保護ユニット(43)内でルートブリッジ(2)の変更が示される、請求項5に記載のブリッジ。
【請求項7】
STPメッセージがルートポート(10a)の変更およびルート経路コストの減少を示す場合にネットワーク構成保護ユニット(43)がそのSTPメッセージのルート経路コストの妥当性をチェックするように構成された、請求項5に記載のブリッジ。
【請求項8】
ネットワーク構成保護ユニット(43)が、ネットワークのトポロジおよび/またはネットワーク管理ユニット(27)によって設定されたルート経路コストの許容範囲を考慮し、STPメッセージのルート経路コストを実際のルート経路コストと比較することによって、ルート経路コストの妥当性をチェックするように構成された、請求項7に記載のブリッジ。
【請求項9】
請求項5に記載の複数のブリッジ(2から11)を含むコンピュータネットワーク(1)であって、複数のブリッジ(2から11)のうちの1つをルートブリッジ(2)として選択することによって、また複数のブリッジ(2から11)のそれぞれの複数のブリッジポート(2aから11a、3b、4b、6b、7b、9b、10b)のうちの1つをルートポート(2aから11a)として選択することによって、スパニングツリープロトコル(STP)によりセットアップされたネットワーク構成で動作する、コンピュータネットワーク(1)。
【請求項10】
ネットワーク管理ユニット(27)をさらに含む、請求項9に記載のコンピュータネットワーク。
【図1】
【図2a】
【図2b】
【図2c】
【図3a】
【図3b】
【図4】
【図2a】
【図2b】
【図2c】
【図3a】
【図3b】
【図4】
【公表番号】特表2011−509056(P2011−509056A)
【公表日】平成23年3月17日(2011.3.17)
【国際特許分類】
【出願番号】特願2010−541739(P2010−541739)
【出願日】平成20年12月19日(2008.12.19)
【国際出願番号】PCT/EP2008/068022
【国際公開番号】WO2009/087049
【国際公開日】平成21年7月16日(2009.7.16)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
【公表日】平成23年3月17日(2011.3.17)
【国際特許分類】
【出願日】平成20年12月19日(2008.12.19)
【国際出願番号】PCT/EP2008/068022
【国際公開番号】WO2009/087049
【国際公開日】平成21年7月16日(2009.7.16)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
[ Back to top ]