ネットワーク中継装置及び転送制御システム
【課題】VLANに限定されず、個々の端末機器又は端末機器を使用する個々のユーザに対して、様々なポリシーを適用する。
【解決手段】認証サーバ20は、所定のネットワーク認証方式を用いて各端末機器10,12,14,16の認証やこれらを使用するユーザの認証を実行する。また、ネットワーク中継装置1,2は、認証された各端末機器10,12,14,16から受信したユーザフレームを中継する過程で、個々の端末機器又はユーザに割り当てられたクラスIDに対応するポリシーに基づき、ユーザフレームをフィルタリングする。
【解決手段】認証サーバ20は、所定のネットワーク認証方式を用いて各端末機器10,12,14,16の認証やこれらを使用するユーザの認証を実行する。また、ネットワーク中継装置1,2は、認証された各端末機器10,12,14,16から受信したユーザフレームを中継する過程で、個々の端末機器又はユーザに割り当てられたクラスIDに対応するポリシーに基づき、ユーザフレームをフィルタリングする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク中継装置及び転送制御システムに関する。
【背景技術】
【0002】
従来、端末機器がスイッチングハブを介して接続されたネットワークや所定のサーバへの通信を実行する前に、スイッチングハブを介して接続された認証サーバが所定のネットワーク認証方式を用いて端末機器のユーザ個人を認証する先行技術が知られている(例えば、特許文献1参照。)。この先行技術では、スイッチングハブに端末機器やルータ等が接続されており、さらにルータを介してRADIUS(Remote Authentication Dial In User Service)サーバ等が接続されている。
【0003】
先行技術で用いられるRADIUSサーバには、予めこれを管理する作業者により端末機器を使用するユーザを個別に識別するためのユーザIDとパスワード、及びユーザに割り当てられたVLAN(Virtual Local Area Network) IDを登録しておくことができる。そしてRADIUSサーバは、スイッチングハブに接続された端末機器を使用するユーザの認証を行い、認証が成功すると認証結果とともにVLAN IDを示す応答パケットをスイッチングハブへ通知する。スイッチングハブは受信した応答パケットに基づいて、認証に成功した端末機器が接続されているポートにVLANを設定する。
【0004】
このため上記の先行技術によれば、RADIUSサーバや端末機器を管理する作業者が、RADIUSサーバに端末機器に割り当てられたMAC(Media Access Control)アドレスやIP(Internet Protocol)アドレス等の送信元情報を登録しなくても、個々のユーザを識別するユーザIDとパスワード、及びユーザに対応するVLAN IDを予め登録しておけば、ユーザの認証とともにスイッチングハブのポートに対してVLANを自動的に設定することができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−286558号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、一般的に認証された端末機器から送信されたフレームをスイッチングハブにおいて受信した場合、スイッチングハブにてアクセスリストや、ルーティング、優先制御等のポリシー(フィルタリング条件)に基づいて受信したフレームをフィルタリングすることで、通信セキュリティの強化をさらに向上することができると考えられる。
【0007】
しかしながら、スイッチングハブにおいて端末機器が接続されたポートにVLAN IDが設定されている場合、このVLAN ID単位で共通のポリシーを適用することはできたとしても、現状では同一のVLAN IDに所属する個々のユーザに対して各種のポリシーを自由に設定することができない。
【0008】
そこで本発明は、VLANに限定されず、個々の端末機器又は端末機器を使用する個々のユーザに対して、様々なポリシーを適用することができる技術の提供を課題とする。
【課題を解決するための手段】
【0009】
上記の目的を達成するために本発明のネットワーク中継装置は、端末機器から送信されたユーザフレームを中継するネットワーク中継装置であって、端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、ユーザフレームに格納されたユーザフレームを送信した端末機器の端末機器識別情報によりフィルタリング用識別情報記憶部を参照し、端末機器識別情報に対応するフィルタリング用識別情報を特定する転送処理部と、フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、転送処理部において特定されたフィルタリング用識別情報に対応するポリシーに基づいて、ユーザフレームに対しフィルタリングを実行するフィルタリング部とを備える。
【0010】
また、上記の目的を達成するために本発明の転送制御システムは、端末機器と、端末機器から送信されたユーザフレームを中継するネットワーク中継装置とからなり、ネットワーク中継装置がユーザフレームを中継する際にユーザフレームをフィルタリングする転送制御システムであって、ネットワーク中継装置は、端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、ユーザフレームに格納されたユーザフレームを送信した端末機器の端末機器識別情報によりフィルタリング用識別情報記憶部を参照し、端末機器識別情報に対応するフィルタリング用識別情報を特定する転送処理手段と、フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、転送処理手段により特定されたフィルタリング用識別情報に対応するポリシーに基づいて、ユーザフレームに対しフィルタリングを実行するフィルタリング手段とを備える。
【発明の効果】
【0011】
本発明のネットワーク中継装置及び転送制御システムによれば、VLANに限定されず、個々の端末機器又は端末機器を使用する個々のユーザに対して、様々なポリシーを適用することができる。
【図面の簡単な説明】
【0012】
【図1】第1実施形態の転送制御システムの構成例を概略的に示す図である。
【図2】ネットワーク中継装置及び認証サーバの機能的な構成を概略的に示すブロック図である。
【図3】ネットワーク中継装置のクラスIDテーブルを示す表である。
【図4】フィルタリング部が有するフィルタリングテーブルを示す表である。
【図5】認証DBに登録された認証情報及びクラスIDを示す表である。
【図6】ユーザフレームの転送処理の流れを示すシーケンス図である。
【図7】第2実施形態の転送処理システムの構成例を概略的に示す図である。
【図8】第2実施形態のネットワーク中継装置の機能的な構成を概略的に示すブロック図である。
【図9】第2実施形態におけるユーザフレームの転送処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0013】
以下、本発明の実施形態について図面を参照しながら説明する。なお、以下ではネットワーク中継装置で実行される実施形態を中心として説明するが、ネットワーク中継装置及び端末機器を組み合わせたものが「転送制御システム」としての実施形態となる。
【0014】
〔第1実施形態〕
図1は、第1実施形態の転送制御システムの構成例を概略的に示す図である。ネットワーク中継装置1,2には、複数のポート4が備えられており、このうちいずれかのポート4に無線通信用のアクセスポイント6及びHUB8がそれぞれ接続されている。また、アクセスポイント6及びHUB8には、端末機器10,12及び端末機器14,16がそれぞれ接続されている。また、ネットワーク中継装置1,2には、企業内ネットワーク18を介して、認証サーバ20及び業務サーバ22が接続されている。また、ネットワーク中継装置1,2には、企業内ネットワーク18及びルータ24を介して、公衆ネットワーク26が接続されている。なお、ネットワーク中継装置1,2には、図示しない複数の端末機器や、部門サーバ、部門内ネットワーク等が接続されていてもよい。
【0015】
〔転送制御システムの概要〕
ネットワーク中継装置1,2は、例えばOSI(Open Systems Interconnection)参照モデルのレイヤ2及びレイヤ3等のデータ転送機能を備えたスイッチングハブである。ネットワーク中継装置1,2は、端末機器10,12,14,16から送信されたユーザフレームを宛先の端末機器10,12,14,16に転送したり、図示しない複数の端末機器や、業務サーバ22、公衆ネットワーク26等へ転送したりする。なお、本明細書において、「ユーザフレーム」は、端末機器10,12,14,16から送信されるレイヤ2のフレーム及びレイヤ3のパケットを含む意味にて使用する。
【0016】
また、ネットワーク中継装置1,2は、認証機能を有し、認証に成功していない端末機器からのデータは中継を遮断し、認証に成功した端末機器からのデータは中継を行う。なお、ネットワーク中継装置1,2は、認証に成功していない端末機器10,12,14,16と認証サーバ20との間の認証を行うための通信については、中継を行う。
【0017】
端末機器10,12,14,16は、例えばPC(Personal Computer)やワークステーション等、所定のユーザが操作を行い、データをユーザフレームとして送受信する機器である。
【0018】
認証サーバ20は、所定のネットワーク認証方式を用いて、個々の端末機器10,12,14,16やこれらを使用するユーザを認証するためのサーバである。認証サーバ20は、上記のネットワーク認証方式として、例えば、ユーザIDとパスワードを入力させるためのWEBページを端末機器に表示させ、入力されたユーザIDとパスワードに基づいてユーザを認証する認証方式(WEB認証)、MAC(Media Access Control)アドレスに基づいて端末機器を認証する認証方式(MAC認証)、IEEE(Institute of Electrical and Electronic Engineers)802.1x規格に基づく認証方式、RADIUSプロトコルに基づく認証方式等を用いて、端末機器10,12,14,16やこれらを使用するユーザを認証する。
【0019】
また、認証サーバ20には、予め端末機器10,12,14,16やこれらを使用するユーザを認証するために、MACアドレス、ユーザID及びパスワード等の認証情報、VLAN ID、及び、後述するフィルタリング用識別情報としてのクラスIDが対応付けられて登録されている。認証サーバ20は、上記のネットワーク認証方式に基づいて、各端末機器10,12,14,16との間で認証を行う。例えば、各端末機器10,12,14,16から送信された上記の認証情報は、ネットワーク中継装置1,2を介して認証サーバ20へ転送される。具体的に、認証サーバ20は、受信した認証情報が登録されている場合、認証を成功と判定し、受信した認証情報が登録されていない場合、認証を不成功と判定する。そして、端末機器10,12,14,16は、認証サーバ20による認証が成功すると、ネットワーク中継装置1,2において通信の中継が許可され、ネットワーク中継装置1,2を介して企業内ネットワーク18や業務サーバ22、公衆ネットワーク26等へアクセスすることができる。
【0020】
また、ネットワーク中継装置1,2は、認証サーバ20により所定のネットワーク認証方式を用いて認証された各端末機器10,12,14,16から受信したユーザフレームを中継する過程で、例えば、アクセスリストや、ルーティング、優先制御等のポリシー(フィルタリング条件)に基づいて、ユーザフレームをフィルタリングすることができる。なお、ネットワーク中継装置1,2において、ユーザフレームを転送する過程でこれをフィルタリングする手法については、図2〜図4を用いてさらに詳しく後述する。
【0021】
図2は、ネットワーク中継装置1,2及び認証サーバ20の機能的な構成を概略的に示すブロック図である。なお、図2中に点線で示す矢印は、ユーザフレームや認証情報が転送される方向を表している。
【0022】
ネットワーク中継装置1,2は、主にCPU(Central Processing Unit)28、送受信部30、及び制御部32を備えている。
【0023】
CPU28は、送受信部30及び制御部32で実行される動作を制御している。
送受信部30は、複数のポート4を備えており、複数のポート4には、図1中に示すアクセスポイント6や、HUB8、認証サーバ20、企業内ネットワーク18、図示しない他の端末機器等が接続されている。
【0024】
送受信部30は、ポート4で受信したユーザフレームを制御部32へ転送する。具体的に、送受信部30は、ユーザフレームに装置内タグを付加し、装置内タグの所定の領域に受信したポートのポート番号を格納し、ユーザフレームを制御部32へ転送する。
【0025】
また、送受信部30は、制御部32から転送されたユーザフレームを所定のポート4から送信する。具体的に、送受信部30は、ユーザフレームの装置内タグに格納されている転送先のポート番号を参照し、転送先のポート番号に対応するポート4からユーザフレームを送信する。なお、送受信部30は、ユーザフレームをポート4から送信する際に、ユーザフレームに付加されている装置内タグを除去する。
【0026】
制御部32は、転送処理部34、フィルタリング用識別情報記憶部としてのクラスIDテーブル36、FDB(Fowarding Data Base)38、及びフィルタリング手段としてのフィルタリング部40を有しており、主にユーザフレームの転送処理を行う。また、本実施形態において制御部32は、転送処理部34、クラスIDテーブル36、FDB38、及びフィルタリング部40を用い、個々の端末機器10,12,14,16から送信されたユーザフレームに対して、所定のポリシーに基づくフィルタリングを行う。
【0027】
〔フィルタリング用識別情報記憶部〕
フィルタリング用識別情報記憶部としてのクラスIDテーブル36には、ユーザフレームの送信元である端末機器10,12,14,16を識別する端末機器識別情報としてのMACアドレス又はIPアドレスと、フィルタリング用識別情報としてのクラスIDとが対応付けられて登録されている。なお、クラスIDテーブル36については、図3を用いてさらに詳しく後述する。
【0028】
FDB38には、周知のスイッチングハブに備えられたFDBと同様に、MACアドレスとポート番号とが対応付けられて登録されている。
【0029】
〔転送処理部(転送処理手段)〕
転送処理部34は、送受信部30から転送されたユーザフレームを受信する。
転送処理部34は、認証に成功していない端末機器から送信されたユーザフレームを破棄し、認証に成功した端末機器から送信されたユーザフレームに対して転送処理を行う。なお、転送処理部26は、認証に成功していない端末機器から送信されたユーザフレームであって、認証サーバ20との間で認証を行う通信のためのユーザフレームについては、転送処理を行う。また、例えば、制御部32は、認証の成功又は不成功の情報と、ポート番号又は端末機器識別情報とを対応付けて記憶した図示しない認証用テーブルを備え、転送処理部34は、認証用テーブルを参照して、ユーザフレームの転送又は破棄を判定してもよい。
【0030】
認証に成功した端末機器から送信されたユーザフレームの場合、転送処理部34は、ユーザフレームの送信元情報である送信元MACアドレスにより、クラスIDテーブル36を参照し、送信元MACアドレスと対応付けられて登録されているクラスIDを特定する。転送処理部34は、特定したクラスIDをユーザフレームに付加する。具体的に、ユーザフレームに付加されている装置内タグの所定の領域にクラスIDを格納する。
【0031】
次に、転送処理部34は、ユーザフレームの宛先MACアドレスにより、FDB38を参照し、宛先MACアドレスと対応付けられて登録されているポート番号を特定する。転送処理部34は、特定したポート番号をユーザフレームに付加する。具体的に、ユーザフレームに付加された装置内タグの所定の領域にポート番号を格納する。また、転送処理部34は、ユーザフレームの送信元MACアドレスと、ユーザフレームに付加されている装置内タグに格納されている受信したポートのポート番号とを対応付けて、FDB38に登録する。
【0032】
次に、転送処理部34は、ユーザフレームをフィルタリング部40経由で、送受信部30へ転送する。
【0033】
〔フィルタリング部(フィルタリング手段)〕
フィルタリング部40は、転送処理部34が送受信部30へユーザフレームを転送する過程で、ユーザフレームに付加されたクラスIDを参照し、クラスIDに対応するポリシーに基づいてユーザフレームをフィルタリングする。具体的に、フィルタリング部40は、クラスIDとポリシーとを対応付けて記憶したフィルタリング情報記憶部としてのフィルタリングテーブル42を有する。フィルタリング部40は、フィルタリングテーブル42にユーザフレームに付加されたクラスIDと対応付けられて記憶されているポリシーに基づき、アクセスリストや、ルーティング、優先制御等のフィルタリングを行う。
【0034】
認証サーバ20は、認証部(認証手段)としてのCPU44、及び認証管理部(認証管理手段)としての認証DB46を備えている。CPU44は、例えば、上述したWEB認証や、MAC認証、IEEE802.1x規格に基づく認証方式、RADIUSプロトコルに基づく認証方式等を用いて、端末機器10,12,14,16の認証やこれらを使用するユーザの認証を行う。認証DB46には、例えば、MACアドレス、ユーザID及びパスワード等の認証情報と、各ユーザに割り当てられたVLAN ID、及び各ユーザに割り当てられたクラスIDとが対応付けられて登録されている。
【0035】
CPU44は、例えば、図1中に示す端末機器10から送信された認証情報を、ネットワーク中継装置1を介して受信すると、受信した認証情報により認証DB46を照合する。CPU44は、受信した認証情報が認証DB46に登録されている場合、認証成功と判定し、認証が成功した旨の応答データを端末機器10へ送信する。この際、応答データには、受信した認証情報に対応付けられて認証DB46に記憶されているVLAN IDとクラスIDとが格納される。一方、CPU44は、受信した認証情報が認証DB46に登録されていない場合、認証不成功と判定し、認証不成功である旨の応答データを端末機器10へ送信する。なお、認証DB46に登録された認証情報及びクラスIDを示す表について、図5を用いてさらに詳しく後述する。
【0036】
図3は、ネットワーク中継装置1,2のクラスIDテーブル36を示す表である。
【0037】
図3中、左側の列に配置された「送信元アドレス」の欄には、ユーザフレームを送信する端末機器10,12,14,16に割り当てられたMACアドレスやIPアドレス等が示されている。また、右側の列に配置された「クラスID」の欄には、クラスIDが番号で示されている。
【0038】
上記の番号で示されたクラスIDは、左欄に示されているMACアドレスやIPアドレスと相互に対応している。例えば、クラスIDの欄に示されている「20」は、送信元アドレスの欄に示された端末機器10のMACアドレス又はIPアドレスと対応しており、クラスIDの欄に示された「30」は、端末機器12のMACアドレス又はIPアドレスと相互に対応している。
【0039】
例えば、転送処理部34が、端末機器10から送信されたユーザフレームを受信した際、ユーザフレームの送信元MACアドレスや送信元IPアドレスに基づいてクラスIDテーブル36を参照し、端末機器10のMACアドレスやIPアドレスに対応付けられて登録されているクラスID「20」を特定する。そして、特定されたクラスID「20」をユーザフレームに付加する。
【0040】
ネットワーク中継装置1,2は、転送処理部34において、認証サーバ20が送信した認証が成功した旨の応答データを端末機器10,12,14,16へ中継する際に、応答データに格納されているクラスIDを参照し、端末機器10,12,14,16のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブル36に登録する。
【0041】
図4は、フィルタリング部40が有するフィルタリングテーブル42を示す表である。フィルタリング部40は、クラスIDが付加されたユーザフレームが転送処理部34により転送先のポート4へ中継される過程で、クラスIDと対応するポリシーに基づいてユーザフレームをフィルタリングする。ポリシーの内容は、例えば、「アクセスリスト」、「ルーティング」、「優先制御」及び「カウント/ミラー」からなる。なお、ポリシーの内容については、周知のポリシーと同様の規定であり、ここではその詳細な説明を省略する。
【0042】
図4中、左端列に配置された「クラスID」の欄には、クラスIDを示す番号「20」や「30」等が示されている。左から2列目〜5列目に掛けてポリシーの具体的な内容である「アクセスリスト」、「ルーティング」、「優先制御」及び「カウント/ミラー」の欄がそれぞれ配置され、クラスIDごとにポリシーの各内容が有効であるか又は無効であるかのいずれかが示されている。
【0043】
例えば、クラスIDの欄に示されたクラスID「20」は、「アクセスリスト」及び「優先制御」の欄が「有効」として示されており、「ルーティング」及び「カウント/ミラー」の欄が「無効」として示されている。したがって、フィルタリング部40は、クラスID「20」が付加されたユーザフレームを受信した場合、アクセスリスト及び優先制御に基づいてユーザフレームをフィルタリングする。
【0044】
なお、上記の「アクセスリスト」、「ルーティング」、「優先制御」、「カウント/ミラー」の4つのに限らず、いずれか一つを用いてもよい。また、その他の内容が、ポリシーに追加されていてもよく、ユーザやこれを管理する作業者がその用途に応じて必要なポリシーをクラスIDに規定することができる。
【0045】
このように、クラスIDと、各種のポリシーのうちいずれのポリシーを有効とするか、又は無効とするかを自由に組み合わせて規定することができる。このため、例えば、ネットワーク中継装置1,2や端末機器10,12,14,16を管理する作業者は、ユーザ単位又は機器単位でそれぞれに必要なポリシーを規定することができる。
【0046】
図5は、認証DB46に登録された認証情報及びクラスIDを示す表である。図5中、左端列に配置された「ユーザID」の欄には、各端末機器10,12,14,16を使用するユーザを認識するためのアカウント情報が示されている。ここでは、例えば、端末機器10を使用するユーザを認識ためのアカウント情報として「user1」が「ユーザID」の欄に示されているものとする。
【0047】
また、左から2列目に配置された「パスワード」の欄には、「ユーザID」の欄に示されているアカウント情報に対応するパスワードが示されている。例えば、「ユーザID」の欄に示された「user1」に対応するパスワードが、「pass1」として「パスワード」の欄に示されている。
【0048】
左から3列目に配置された「VLAN ID」の欄には、VLAN情報が示されている。例えば、端末機器10を使用するユーザがVLAN番号10に所属している場合、VLAN番号を表す「10」が「VLAN ID」の欄に示されている。なお、「VLAN ID」の欄の下から1行目〜3行目に示す「−」は、端末機器にVLANが設定されていないことを便宜的に表している。
【0049】
右端列に配置された「クラスID」の欄には、上述したクラスIDが番号で示されている。「クラスID」の欄に示されている番号は、「ユーザID」の欄に登録されたアカウント情報と対応しており、例えば「user1」は、クラスIDの欄に示された「20」と対応している。
【0050】
図6は、ユーザフレームの転送処理の流れを示すシーケンス図である。以下、シーケンス図に基づいて、ユーザフレームの転送処理の流れを説明する。
【0051】
ステップS10:端末機器10は、所定のネットワーク認証方式に基づき、認証情報を認証サーバ20へ向けて送信する。
ステップS12:ネットワーク中継装置1は、端末機器10から送信された認証情報を認証サーバ20へ転送する。
ステップS14:認証サーバ20は、認証情報を受信すると、認証DB46を参照し、認証の成功又は不成功を判定する。次に、認証サーバ20は、認証した結果を示す応答データを端末機器10へ向けて通知する(ステップS16)。
【0052】
ステップS18:ネットワーク中継装置1は、認証サーバ20から送信された応答データを端末機器10へ転送する。なお、認証が成功した場合、ネットワーク中継装置1は、受信した応答データを参照して端末機器10のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブルに登録する。
【0053】
ここで、端末機器10は、ネットワーク中継装置1から転送された応答データが認証成功を示す場合、ネットワーク中継装置1を介しての通信が可能となる。一方、認証が失敗した場合、例えば、端末機器10を使用するユーザにより再度認証情報を入力し直してステップS10を実行してもよい。いずれにしても、認証が成功しない限り、ネットワーク中継装置1において通信が遮断されるため、端末機器10は、ネットワーク中継装置1を介してデータを送受信することができない。
【0054】
以下のステップS20からステップS28では、例えば、端末機器10が業務サーバ22へアクセスする場合におけるユーザフレームの転送処理について説明する。
【0055】
ステップS20:端末機器10は、業務サーバ22へ向けてユーザフレームを送信する。
【0056】
ステップS22:ネットワーク中継装置1は、端末機器10から送信されたユーザフレームを受信すると、ユーザフレームの送信元MACアドレスによりクラスIDテーブル36を参照し、ユーザフレームの送信元MACアドレスに対応付けられて記憶されているクラスID「20」をユーザフレームに付加する。
【0057】
ステップS24:次にネットワーク中継装置1は、ユーザフレームの宛先MACアドレスに基づいてFDB38を参照し、ユーザフレームの宛先MACアドレスに対応付けられて記憶されているポート番号を特定し、このポート番号をユーザフレームに付加し、送受信部30にユーザフレームを転送する
【0058】
ステップS26:ネットワーク中継装置1のフィルタリング部40は、ユーザフレームを送受信部30に転送する過程で、クラスIDに対応するポリシーに基づきユーザフレームのフィルタリングを実行する。例えば、フィルタリング部40は、ユーザフレームにクラスID「20」が付加されている場合、これに対応するポリシーのうち図4中で「有効」を示す「アクセスリスト」及び「優先制御」に基づいてユーザフレームのフィルタリングを行う。なお、本実施形態では、アクセスリストにより、クラスID「20」について業務サーバ20へのアクセスが許可されているものとする。
【0059】
ステップS28:ネットワーク中継装置1は、上記のフィルタリングに基づいてユーザフレームをポート4から業務サーバ20へ転送する。なお、このときネットワーク中継装置1は、ユーザフレームに付加されたクラスIDを削除したうえで転送する。
【0060】
以下のステップS30からステップS38では、例えば、端末機器10が公衆ネットワーク26へアクセスする場合におけるユーザフレームの転送処理について説明する。
【0061】
ステップS30:端末機器10は、公衆ネットワーク26へ向けてユーザフレームを送信する。
ステップS32:ネットワーク中継装置1は、端末機器10から送信されたユーザフレームを受信すると、上述したステップS22〜ステップS24と同様の手順を実行する。すなわち、ネットワーク中継装置1は、クラスID「20」をユーザフレームに付加し(ステップS32)、次に、FDB38を参照して転送先のポート4を特定する(ステップS34)。また、フィルタリング部40はクラスID「20」に規定されたポリシー(アクセスリスト及び優先制御)に基づいて、ユーザフレームのフィルタリングを行なう(ステップS36)。なお、本実施形態では、アクセスリストにより、クラスID「20」について公衆ネットワーク26へのアクセスが禁止されているものとする。
【0062】
ステップS38:ネットワーク中継装置1は、ステップS36でユーザフレームのフィルタリングを行なった結果、このユーザフレームを転送先のポート4から送信することなく破棄する。
【0063】
以下のステップS40からステップS44では、端末機器12が認証サーバ20により認証される際の認証情報の転送処理について説明する。
【0064】
ステップS40:端末機器12は、端末機器12を利用するユーザによって入力されたユーザIDやパスワード等の認証情報を認証サーバ20へ向けて送信する。
【0065】
ステップS42:ネットワーク中継装置1は、端末機器12から送信された認証情報を認証サーバ20へ転送する。
【0066】
ステップS44:認証サーバ20は、認証情報を受信すると、ステップS14と同様に、受信した認証情報により認証DB46を参照し、認証の成功又は不成功を判定する。次に認証サーバ20は、ステップS16と同様に、認証結果を示す応答データを端末機器12へ向けて通知する(ステップS46)。なお、このときネットワーク中継装置1は、受信した応答データの内容を参照して、端末機器12のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブル36に登録する。
【0067】
以下のステップS50からステップS58では、ステップS46で認証が成功した後に端末機器12が公衆ネットワーク26へアクセスする場合における、ユーザフレームの転送処理について説明する。
【0068】
ステップS50:端末機器12は、公衆ネットワーク26へ向けてユーザフレームを送信する。
ステップS52:ネットワーク中継装置1は、端末機器12から送信されたユーザフレームを受信すると、ユーザフレームの送信元MACアドレスによりクラスIDテーブル36を参照し、ユーザフレームの送信元MACアドレスと対応付けられて記憶されているクラスID「30」をユーザフレームに付加する。
【0069】
ステップS54:次にネットワーク中継装置1は、ユーザフレームの宛先MACアドレスによりFDB38を参照し、ユーザフレームの宛先MACアドレスと対応付けられて記憶されているポート番号を特定し、このポート番号をユーザフレームに付加し、送受信部30にユーザフレームを転送する。
【0070】
ステップS56:ネットワーク中継装置1は、ユーザフレームを転送先のポート4へ転送する過程で、フィルタリング部40により、ユーザフレームに付加されたクラスIDに対応するポリシーに基づいてフィルタリングを行う。例えば、ユーザフレームにクラスID「30」が付加されている場合、図4中で「有効」として示された「ルーティング」及び「優先制御」に基づいてユーザフレームの転送制御を行なう。
【0071】
ステップS58:ネットワーク中継装置1は、フィルタリング部40において上記の「ルーティング」及び「優先制御」に基づいてユーザフレームのフィルタリングを行い、このユーザフレームをポート4から公衆ネットワーク26へ送信する。
【0072】
このように、ネットワーク中継装置1,2は、端末機器10,12,14,16の端末機器識別情報とクラスIDとを対応付けて記憶することにより、端末機器10,12,14,16が送信するユーザフレームに対して、それぞれクラスIDに対応するポリシーに基づくフィルタリングを実行することができる。
【0073】
また、認証DB46に、端末機器又は端末機器を使用するユーザを認証する認証情報と、クラスIDとを対応付けて記憶することにより、端末機器又はユーザ単位で、クラスIDに対応するポリシーを適用することができる。
【0074】
また、フィルタリングテーブル42にクラスIDとクラスIDに対応するポリシーの内容を記憶させることにより、容易に各種のポリシーを設定できる。そして、端末機器又はユーザにクラスIDを割り当てることで、設定したポリシーを端末機器又はユーザ単位で適用することができる。よって、ネットワーク中継装置1,2は、VLAN単位で各種のポリシーを適用することに限定されず、同じVLANに所属していても、端末機器又はユーザにクラスIDを割り当てることで、端末機器又はユーザ単位で各種のポリシーを適用することができる。
【0075】
〔第2実施形態〕
次に、第2実施形態のネットワーク中継装置1,2について説明する。第2実施形態では、認証サーバ20の代わりにネットワーク中継装置1,2においてネットワーク認証が行われる点が第1実施形態と異なっている。その他の構成は第1実施形態と同様であり、第2実施形態では、第1実施形態と共通の構成には図示とともに同じ符号を付し、重複した説明を省略するものとする。
【0076】
図7は、第2実施形態の転送処理システムの構成例を概略的に示す図である。ネットワーク中継装置1,2のポート4には、企業内ネットワーク18を介して業務サーバ20、公衆ネットワーク26等が接続されている。
【0077】
また、ネットワーク中継装置1,2のポート4には、アクセスポイント6及びHUB8が接続されている。アクセスポイント6及びHUB8に接続された端末機器10,12,14,16は、ネットワーク中継装置1,2を介して、業務サーバ20、公衆ネットワーク26へアクセスすることができる。また、ネットワーク中継装置1,2は、所定のネットワーク認証方式を用いて、端末機器10,12,14,16の認証やこれらを使用するユーザの認証を実行する。また、ネットワーク中継装置1,2は、端末機器10,12,14,16が業務サーバ20、や公衆ネットワーク26へアクセスする際、各種のポリシーに基づいてフィルタリングを行う。
【0078】
図8は、第2実施形態のネットワーク中継装置1,2の機能的な構成を概略的に示すブロック図である。第2実施形態のネットワーク中継装置1,2は、認証部(認証手段)としてのCPU28と、認証管理部(認証管理手段)としての認証DB48とを備える。
【0079】
第1実施形態では、予め作業者が認証サーバ20の認証DB46にユーザIDやパスワード、VLAN ID、クラスID等を登録することで、複数のネットワーク中継装置1,2を介して接続された端末機器10,12,14,16を利用するユーザ等の認証情報を認証サーバ20で一元的に管理していた。しかし、第2実施形態のネットワーク中継装置1,2のように、それぞれのネットワーク中継装置1,2に接続された端末機器に関して、認証情報を各ネットワーク中継装置1,2の認証DB48に記憶させておくこともできる。
【0080】
この場合、ネットワーク中継装置1,2のCPU28は、端末機器10,12,14,16から送信された認証情報を受信すると、受信した認証情報により認証DB48を参照し、認証DB48に認証情報が登録されている場合、認証は成功と判定し、認証DB48に認証情報が登録されていない場合、認証は不成功と判定する。認証が成功した場合、各端末機器10,12,14,16は、ネットワーク中継装置1,2を介して業務サーバ20、公衆ネットワーク26へアクセスすることができる。また、制御部32はフィルタリング部40により、クラスIDに対応するポリシーに基づいて業務サーバ20や、公衆ネットワーク26へのアクセスを制限したり、転送経路を決定したりする。
【0081】
図9は、第2実施形態におけるユーザフレームの転送処理の流れを示すシーケンス図である。
【0082】
ステップS60:端末機器10は、ユーザIDやパスワード等、端末機器10を利用するユーザによって入力された認証情報をネットワーク中継装置1へ向けて送信する。
【0083】
ステップS62:ネットワーク中継装置1は、受信した認証情報により認証DB48を参照し、認証の成功又は不成功を判定する。次に、ネットワーク中継装置1は、認証した結果を端末機器10へ向けて通知する(ステップS64)。
【0084】
端末機器10は、ネットワーク中継装置1を介して通信を行う際に、第1実施形態と同様に、端末機器10に割り当てられたクラスIDに対応するポリシーに基づくフィルタリングが行われる。具体的に、端末機器10は、業務サーバ22へアクセスすることができるが、公衆ネットワーク26にはアクセスすることができない。
【0085】
ステップS70:端末機器12も、端末機器10と同様に、認証情報をネットワーク中継装置1へ向けて送信する。ネットワーク中継装置1は、端末機器12から送信された認証情報を受信すると、上記のステップS62及びステップS64と同様に、受信した認証情報により認証DB48を参照し、認証の成功又は不成功を判定する(ステップS72)。そして、ネットワーク中継装置1は、認証した結果を端末機器12へ向けて通知する(ステップS74)。
【0086】
このように、各ネットワーク中継装置1,2は、様々なネットワーク認証方式を用いて各端末機器10,12,14,16の認証やユーザの認証を実行することができる。さらに、ネットワーク中継装置1,2は、認証された各端末機器10,12,14,16から送信されたユーザフレームに対して個々のクラスIDを付加することができる。これにより、各端末機器10,12,14,16からネットワーク中継装置1,2を介して実行される通信と、各端末機器10,12,14,16やこれらを使用するユーザに割り当てられた認証情報を各ネットワーク中継装置1,2において効率的に管理することができる。
【0087】
本発明のネットワーク中継装置及び転送制御システムによれば、端末機器やこれを使用するユーザに割り当てられたユーザに割り当てられたクラスIDごとに各種のポリシーを適用することができる。これにより、端末機器又はユーザ単位で、フィルタリングポリシーを適用することができる。
【符号の説明】
【0088】
1,2 ネットワーク中継装置
10,12,14,16 端末機器
20 認証サーバ
34 転送処理部
36 クラスIDテーブル
38 FDB
40 フィルタリング部
46,48 認証DB
【技術分野】
【0001】
本発明は、ネットワーク中継装置及び転送制御システムに関する。
【背景技術】
【0002】
従来、端末機器がスイッチングハブを介して接続されたネットワークや所定のサーバへの通信を実行する前に、スイッチングハブを介して接続された認証サーバが所定のネットワーク認証方式を用いて端末機器のユーザ個人を認証する先行技術が知られている(例えば、特許文献1参照。)。この先行技術では、スイッチングハブに端末機器やルータ等が接続されており、さらにルータを介してRADIUS(Remote Authentication Dial In User Service)サーバ等が接続されている。
【0003】
先行技術で用いられるRADIUSサーバには、予めこれを管理する作業者により端末機器を使用するユーザを個別に識別するためのユーザIDとパスワード、及びユーザに割り当てられたVLAN(Virtual Local Area Network) IDを登録しておくことができる。そしてRADIUSサーバは、スイッチングハブに接続された端末機器を使用するユーザの認証を行い、認証が成功すると認証結果とともにVLAN IDを示す応答パケットをスイッチングハブへ通知する。スイッチングハブは受信した応答パケットに基づいて、認証に成功した端末機器が接続されているポートにVLANを設定する。
【0004】
このため上記の先行技術によれば、RADIUSサーバや端末機器を管理する作業者が、RADIUSサーバに端末機器に割り当てられたMAC(Media Access Control)アドレスやIP(Internet Protocol)アドレス等の送信元情報を登録しなくても、個々のユーザを識別するユーザIDとパスワード、及びユーザに対応するVLAN IDを予め登録しておけば、ユーザの認証とともにスイッチングハブのポートに対してVLANを自動的に設定することができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−286558号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、一般的に認証された端末機器から送信されたフレームをスイッチングハブにおいて受信した場合、スイッチングハブにてアクセスリストや、ルーティング、優先制御等のポリシー(フィルタリング条件)に基づいて受信したフレームをフィルタリングすることで、通信セキュリティの強化をさらに向上することができると考えられる。
【0007】
しかしながら、スイッチングハブにおいて端末機器が接続されたポートにVLAN IDが設定されている場合、このVLAN ID単位で共通のポリシーを適用することはできたとしても、現状では同一のVLAN IDに所属する個々のユーザに対して各種のポリシーを自由に設定することができない。
【0008】
そこで本発明は、VLANに限定されず、個々の端末機器又は端末機器を使用する個々のユーザに対して、様々なポリシーを適用することができる技術の提供を課題とする。
【課題を解決するための手段】
【0009】
上記の目的を達成するために本発明のネットワーク中継装置は、端末機器から送信されたユーザフレームを中継するネットワーク中継装置であって、端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、ユーザフレームに格納されたユーザフレームを送信した端末機器の端末機器識別情報によりフィルタリング用識別情報記憶部を参照し、端末機器識別情報に対応するフィルタリング用識別情報を特定する転送処理部と、フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、転送処理部において特定されたフィルタリング用識別情報に対応するポリシーに基づいて、ユーザフレームに対しフィルタリングを実行するフィルタリング部とを備える。
【0010】
また、上記の目的を達成するために本発明の転送制御システムは、端末機器と、端末機器から送信されたユーザフレームを中継するネットワーク中継装置とからなり、ネットワーク中継装置がユーザフレームを中継する際にユーザフレームをフィルタリングする転送制御システムであって、ネットワーク中継装置は、端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、ユーザフレームに格納されたユーザフレームを送信した端末機器の端末機器識別情報によりフィルタリング用識別情報記憶部を参照し、端末機器識別情報に対応するフィルタリング用識別情報を特定する転送処理手段と、フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、転送処理手段により特定されたフィルタリング用識別情報に対応するポリシーに基づいて、ユーザフレームに対しフィルタリングを実行するフィルタリング手段とを備える。
【発明の効果】
【0011】
本発明のネットワーク中継装置及び転送制御システムによれば、VLANに限定されず、個々の端末機器又は端末機器を使用する個々のユーザに対して、様々なポリシーを適用することができる。
【図面の簡単な説明】
【0012】
【図1】第1実施形態の転送制御システムの構成例を概略的に示す図である。
【図2】ネットワーク中継装置及び認証サーバの機能的な構成を概略的に示すブロック図である。
【図3】ネットワーク中継装置のクラスIDテーブルを示す表である。
【図4】フィルタリング部が有するフィルタリングテーブルを示す表である。
【図5】認証DBに登録された認証情報及びクラスIDを示す表である。
【図6】ユーザフレームの転送処理の流れを示すシーケンス図である。
【図7】第2実施形態の転送処理システムの構成例を概略的に示す図である。
【図8】第2実施形態のネットワーク中継装置の機能的な構成を概略的に示すブロック図である。
【図9】第2実施形態におけるユーザフレームの転送処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0013】
以下、本発明の実施形態について図面を参照しながら説明する。なお、以下ではネットワーク中継装置で実行される実施形態を中心として説明するが、ネットワーク中継装置及び端末機器を組み合わせたものが「転送制御システム」としての実施形態となる。
【0014】
〔第1実施形態〕
図1は、第1実施形態の転送制御システムの構成例を概略的に示す図である。ネットワーク中継装置1,2には、複数のポート4が備えられており、このうちいずれかのポート4に無線通信用のアクセスポイント6及びHUB8がそれぞれ接続されている。また、アクセスポイント6及びHUB8には、端末機器10,12及び端末機器14,16がそれぞれ接続されている。また、ネットワーク中継装置1,2には、企業内ネットワーク18を介して、認証サーバ20及び業務サーバ22が接続されている。また、ネットワーク中継装置1,2には、企業内ネットワーク18及びルータ24を介して、公衆ネットワーク26が接続されている。なお、ネットワーク中継装置1,2には、図示しない複数の端末機器や、部門サーバ、部門内ネットワーク等が接続されていてもよい。
【0015】
〔転送制御システムの概要〕
ネットワーク中継装置1,2は、例えばOSI(Open Systems Interconnection)参照モデルのレイヤ2及びレイヤ3等のデータ転送機能を備えたスイッチングハブである。ネットワーク中継装置1,2は、端末機器10,12,14,16から送信されたユーザフレームを宛先の端末機器10,12,14,16に転送したり、図示しない複数の端末機器や、業務サーバ22、公衆ネットワーク26等へ転送したりする。なお、本明細書において、「ユーザフレーム」は、端末機器10,12,14,16から送信されるレイヤ2のフレーム及びレイヤ3のパケットを含む意味にて使用する。
【0016】
また、ネットワーク中継装置1,2は、認証機能を有し、認証に成功していない端末機器からのデータは中継を遮断し、認証に成功した端末機器からのデータは中継を行う。なお、ネットワーク中継装置1,2は、認証に成功していない端末機器10,12,14,16と認証サーバ20との間の認証を行うための通信については、中継を行う。
【0017】
端末機器10,12,14,16は、例えばPC(Personal Computer)やワークステーション等、所定のユーザが操作を行い、データをユーザフレームとして送受信する機器である。
【0018】
認証サーバ20は、所定のネットワーク認証方式を用いて、個々の端末機器10,12,14,16やこれらを使用するユーザを認証するためのサーバである。認証サーバ20は、上記のネットワーク認証方式として、例えば、ユーザIDとパスワードを入力させるためのWEBページを端末機器に表示させ、入力されたユーザIDとパスワードに基づいてユーザを認証する認証方式(WEB認証)、MAC(Media Access Control)アドレスに基づいて端末機器を認証する認証方式(MAC認証)、IEEE(Institute of Electrical and Electronic Engineers)802.1x規格に基づく認証方式、RADIUSプロトコルに基づく認証方式等を用いて、端末機器10,12,14,16やこれらを使用するユーザを認証する。
【0019】
また、認証サーバ20には、予め端末機器10,12,14,16やこれらを使用するユーザを認証するために、MACアドレス、ユーザID及びパスワード等の認証情報、VLAN ID、及び、後述するフィルタリング用識別情報としてのクラスIDが対応付けられて登録されている。認証サーバ20は、上記のネットワーク認証方式に基づいて、各端末機器10,12,14,16との間で認証を行う。例えば、各端末機器10,12,14,16から送信された上記の認証情報は、ネットワーク中継装置1,2を介して認証サーバ20へ転送される。具体的に、認証サーバ20は、受信した認証情報が登録されている場合、認証を成功と判定し、受信した認証情報が登録されていない場合、認証を不成功と判定する。そして、端末機器10,12,14,16は、認証サーバ20による認証が成功すると、ネットワーク中継装置1,2において通信の中継が許可され、ネットワーク中継装置1,2を介して企業内ネットワーク18や業務サーバ22、公衆ネットワーク26等へアクセスすることができる。
【0020】
また、ネットワーク中継装置1,2は、認証サーバ20により所定のネットワーク認証方式を用いて認証された各端末機器10,12,14,16から受信したユーザフレームを中継する過程で、例えば、アクセスリストや、ルーティング、優先制御等のポリシー(フィルタリング条件)に基づいて、ユーザフレームをフィルタリングすることができる。なお、ネットワーク中継装置1,2において、ユーザフレームを転送する過程でこれをフィルタリングする手法については、図2〜図4を用いてさらに詳しく後述する。
【0021】
図2は、ネットワーク中継装置1,2及び認証サーバ20の機能的な構成を概略的に示すブロック図である。なお、図2中に点線で示す矢印は、ユーザフレームや認証情報が転送される方向を表している。
【0022】
ネットワーク中継装置1,2は、主にCPU(Central Processing Unit)28、送受信部30、及び制御部32を備えている。
【0023】
CPU28は、送受信部30及び制御部32で実行される動作を制御している。
送受信部30は、複数のポート4を備えており、複数のポート4には、図1中に示すアクセスポイント6や、HUB8、認証サーバ20、企業内ネットワーク18、図示しない他の端末機器等が接続されている。
【0024】
送受信部30は、ポート4で受信したユーザフレームを制御部32へ転送する。具体的に、送受信部30は、ユーザフレームに装置内タグを付加し、装置内タグの所定の領域に受信したポートのポート番号を格納し、ユーザフレームを制御部32へ転送する。
【0025】
また、送受信部30は、制御部32から転送されたユーザフレームを所定のポート4から送信する。具体的に、送受信部30は、ユーザフレームの装置内タグに格納されている転送先のポート番号を参照し、転送先のポート番号に対応するポート4からユーザフレームを送信する。なお、送受信部30は、ユーザフレームをポート4から送信する際に、ユーザフレームに付加されている装置内タグを除去する。
【0026】
制御部32は、転送処理部34、フィルタリング用識別情報記憶部としてのクラスIDテーブル36、FDB(Fowarding Data Base)38、及びフィルタリング手段としてのフィルタリング部40を有しており、主にユーザフレームの転送処理を行う。また、本実施形態において制御部32は、転送処理部34、クラスIDテーブル36、FDB38、及びフィルタリング部40を用い、個々の端末機器10,12,14,16から送信されたユーザフレームに対して、所定のポリシーに基づくフィルタリングを行う。
【0027】
〔フィルタリング用識別情報記憶部〕
フィルタリング用識別情報記憶部としてのクラスIDテーブル36には、ユーザフレームの送信元である端末機器10,12,14,16を識別する端末機器識別情報としてのMACアドレス又はIPアドレスと、フィルタリング用識別情報としてのクラスIDとが対応付けられて登録されている。なお、クラスIDテーブル36については、図3を用いてさらに詳しく後述する。
【0028】
FDB38には、周知のスイッチングハブに備えられたFDBと同様に、MACアドレスとポート番号とが対応付けられて登録されている。
【0029】
〔転送処理部(転送処理手段)〕
転送処理部34は、送受信部30から転送されたユーザフレームを受信する。
転送処理部34は、認証に成功していない端末機器から送信されたユーザフレームを破棄し、認証に成功した端末機器から送信されたユーザフレームに対して転送処理を行う。なお、転送処理部26は、認証に成功していない端末機器から送信されたユーザフレームであって、認証サーバ20との間で認証を行う通信のためのユーザフレームについては、転送処理を行う。また、例えば、制御部32は、認証の成功又は不成功の情報と、ポート番号又は端末機器識別情報とを対応付けて記憶した図示しない認証用テーブルを備え、転送処理部34は、認証用テーブルを参照して、ユーザフレームの転送又は破棄を判定してもよい。
【0030】
認証に成功した端末機器から送信されたユーザフレームの場合、転送処理部34は、ユーザフレームの送信元情報である送信元MACアドレスにより、クラスIDテーブル36を参照し、送信元MACアドレスと対応付けられて登録されているクラスIDを特定する。転送処理部34は、特定したクラスIDをユーザフレームに付加する。具体的に、ユーザフレームに付加されている装置内タグの所定の領域にクラスIDを格納する。
【0031】
次に、転送処理部34は、ユーザフレームの宛先MACアドレスにより、FDB38を参照し、宛先MACアドレスと対応付けられて登録されているポート番号を特定する。転送処理部34は、特定したポート番号をユーザフレームに付加する。具体的に、ユーザフレームに付加された装置内タグの所定の領域にポート番号を格納する。また、転送処理部34は、ユーザフレームの送信元MACアドレスと、ユーザフレームに付加されている装置内タグに格納されている受信したポートのポート番号とを対応付けて、FDB38に登録する。
【0032】
次に、転送処理部34は、ユーザフレームをフィルタリング部40経由で、送受信部30へ転送する。
【0033】
〔フィルタリング部(フィルタリング手段)〕
フィルタリング部40は、転送処理部34が送受信部30へユーザフレームを転送する過程で、ユーザフレームに付加されたクラスIDを参照し、クラスIDに対応するポリシーに基づいてユーザフレームをフィルタリングする。具体的に、フィルタリング部40は、クラスIDとポリシーとを対応付けて記憶したフィルタリング情報記憶部としてのフィルタリングテーブル42を有する。フィルタリング部40は、フィルタリングテーブル42にユーザフレームに付加されたクラスIDと対応付けられて記憶されているポリシーに基づき、アクセスリストや、ルーティング、優先制御等のフィルタリングを行う。
【0034】
認証サーバ20は、認証部(認証手段)としてのCPU44、及び認証管理部(認証管理手段)としての認証DB46を備えている。CPU44は、例えば、上述したWEB認証や、MAC認証、IEEE802.1x規格に基づく認証方式、RADIUSプロトコルに基づく認証方式等を用いて、端末機器10,12,14,16の認証やこれらを使用するユーザの認証を行う。認証DB46には、例えば、MACアドレス、ユーザID及びパスワード等の認証情報と、各ユーザに割り当てられたVLAN ID、及び各ユーザに割り当てられたクラスIDとが対応付けられて登録されている。
【0035】
CPU44は、例えば、図1中に示す端末機器10から送信された認証情報を、ネットワーク中継装置1を介して受信すると、受信した認証情報により認証DB46を照合する。CPU44は、受信した認証情報が認証DB46に登録されている場合、認証成功と判定し、認証が成功した旨の応答データを端末機器10へ送信する。この際、応答データには、受信した認証情報に対応付けられて認証DB46に記憶されているVLAN IDとクラスIDとが格納される。一方、CPU44は、受信した認証情報が認証DB46に登録されていない場合、認証不成功と判定し、認証不成功である旨の応答データを端末機器10へ送信する。なお、認証DB46に登録された認証情報及びクラスIDを示す表について、図5を用いてさらに詳しく後述する。
【0036】
図3は、ネットワーク中継装置1,2のクラスIDテーブル36を示す表である。
【0037】
図3中、左側の列に配置された「送信元アドレス」の欄には、ユーザフレームを送信する端末機器10,12,14,16に割り当てられたMACアドレスやIPアドレス等が示されている。また、右側の列に配置された「クラスID」の欄には、クラスIDが番号で示されている。
【0038】
上記の番号で示されたクラスIDは、左欄に示されているMACアドレスやIPアドレスと相互に対応している。例えば、クラスIDの欄に示されている「20」は、送信元アドレスの欄に示された端末機器10のMACアドレス又はIPアドレスと対応しており、クラスIDの欄に示された「30」は、端末機器12のMACアドレス又はIPアドレスと相互に対応している。
【0039】
例えば、転送処理部34が、端末機器10から送信されたユーザフレームを受信した際、ユーザフレームの送信元MACアドレスや送信元IPアドレスに基づいてクラスIDテーブル36を参照し、端末機器10のMACアドレスやIPアドレスに対応付けられて登録されているクラスID「20」を特定する。そして、特定されたクラスID「20」をユーザフレームに付加する。
【0040】
ネットワーク中継装置1,2は、転送処理部34において、認証サーバ20が送信した認証が成功した旨の応答データを端末機器10,12,14,16へ中継する際に、応答データに格納されているクラスIDを参照し、端末機器10,12,14,16のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブル36に登録する。
【0041】
図4は、フィルタリング部40が有するフィルタリングテーブル42を示す表である。フィルタリング部40は、クラスIDが付加されたユーザフレームが転送処理部34により転送先のポート4へ中継される過程で、クラスIDと対応するポリシーに基づいてユーザフレームをフィルタリングする。ポリシーの内容は、例えば、「アクセスリスト」、「ルーティング」、「優先制御」及び「カウント/ミラー」からなる。なお、ポリシーの内容については、周知のポリシーと同様の規定であり、ここではその詳細な説明を省略する。
【0042】
図4中、左端列に配置された「クラスID」の欄には、クラスIDを示す番号「20」や「30」等が示されている。左から2列目〜5列目に掛けてポリシーの具体的な内容である「アクセスリスト」、「ルーティング」、「優先制御」及び「カウント/ミラー」の欄がそれぞれ配置され、クラスIDごとにポリシーの各内容が有効であるか又は無効であるかのいずれかが示されている。
【0043】
例えば、クラスIDの欄に示されたクラスID「20」は、「アクセスリスト」及び「優先制御」の欄が「有効」として示されており、「ルーティング」及び「カウント/ミラー」の欄が「無効」として示されている。したがって、フィルタリング部40は、クラスID「20」が付加されたユーザフレームを受信した場合、アクセスリスト及び優先制御に基づいてユーザフレームをフィルタリングする。
【0044】
なお、上記の「アクセスリスト」、「ルーティング」、「優先制御」、「カウント/ミラー」の4つのに限らず、いずれか一つを用いてもよい。また、その他の内容が、ポリシーに追加されていてもよく、ユーザやこれを管理する作業者がその用途に応じて必要なポリシーをクラスIDに規定することができる。
【0045】
このように、クラスIDと、各種のポリシーのうちいずれのポリシーを有効とするか、又は無効とするかを自由に組み合わせて規定することができる。このため、例えば、ネットワーク中継装置1,2や端末機器10,12,14,16を管理する作業者は、ユーザ単位又は機器単位でそれぞれに必要なポリシーを規定することができる。
【0046】
図5は、認証DB46に登録された認証情報及びクラスIDを示す表である。図5中、左端列に配置された「ユーザID」の欄には、各端末機器10,12,14,16を使用するユーザを認識するためのアカウント情報が示されている。ここでは、例えば、端末機器10を使用するユーザを認識ためのアカウント情報として「user1」が「ユーザID」の欄に示されているものとする。
【0047】
また、左から2列目に配置された「パスワード」の欄には、「ユーザID」の欄に示されているアカウント情報に対応するパスワードが示されている。例えば、「ユーザID」の欄に示された「user1」に対応するパスワードが、「pass1」として「パスワード」の欄に示されている。
【0048】
左から3列目に配置された「VLAN ID」の欄には、VLAN情報が示されている。例えば、端末機器10を使用するユーザがVLAN番号10に所属している場合、VLAN番号を表す「10」が「VLAN ID」の欄に示されている。なお、「VLAN ID」の欄の下から1行目〜3行目に示す「−」は、端末機器にVLANが設定されていないことを便宜的に表している。
【0049】
右端列に配置された「クラスID」の欄には、上述したクラスIDが番号で示されている。「クラスID」の欄に示されている番号は、「ユーザID」の欄に登録されたアカウント情報と対応しており、例えば「user1」は、クラスIDの欄に示された「20」と対応している。
【0050】
図6は、ユーザフレームの転送処理の流れを示すシーケンス図である。以下、シーケンス図に基づいて、ユーザフレームの転送処理の流れを説明する。
【0051】
ステップS10:端末機器10は、所定のネットワーク認証方式に基づき、認証情報を認証サーバ20へ向けて送信する。
ステップS12:ネットワーク中継装置1は、端末機器10から送信された認証情報を認証サーバ20へ転送する。
ステップS14:認証サーバ20は、認証情報を受信すると、認証DB46を参照し、認証の成功又は不成功を判定する。次に、認証サーバ20は、認証した結果を示す応答データを端末機器10へ向けて通知する(ステップS16)。
【0052】
ステップS18:ネットワーク中継装置1は、認証サーバ20から送信された応答データを端末機器10へ転送する。なお、認証が成功した場合、ネットワーク中継装置1は、受信した応答データを参照して端末機器10のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブルに登録する。
【0053】
ここで、端末機器10は、ネットワーク中継装置1から転送された応答データが認証成功を示す場合、ネットワーク中継装置1を介しての通信が可能となる。一方、認証が失敗した場合、例えば、端末機器10を使用するユーザにより再度認証情報を入力し直してステップS10を実行してもよい。いずれにしても、認証が成功しない限り、ネットワーク中継装置1において通信が遮断されるため、端末機器10は、ネットワーク中継装置1を介してデータを送受信することができない。
【0054】
以下のステップS20からステップS28では、例えば、端末機器10が業務サーバ22へアクセスする場合におけるユーザフレームの転送処理について説明する。
【0055】
ステップS20:端末機器10は、業務サーバ22へ向けてユーザフレームを送信する。
【0056】
ステップS22:ネットワーク中継装置1は、端末機器10から送信されたユーザフレームを受信すると、ユーザフレームの送信元MACアドレスによりクラスIDテーブル36を参照し、ユーザフレームの送信元MACアドレスに対応付けられて記憶されているクラスID「20」をユーザフレームに付加する。
【0057】
ステップS24:次にネットワーク中継装置1は、ユーザフレームの宛先MACアドレスに基づいてFDB38を参照し、ユーザフレームの宛先MACアドレスに対応付けられて記憶されているポート番号を特定し、このポート番号をユーザフレームに付加し、送受信部30にユーザフレームを転送する
【0058】
ステップS26:ネットワーク中継装置1のフィルタリング部40は、ユーザフレームを送受信部30に転送する過程で、クラスIDに対応するポリシーに基づきユーザフレームのフィルタリングを実行する。例えば、フィルタリング部40は、ユーザフレームにクラスID「20」が付加されている場合、これに対応するポリシーのうち図4中で「有効」を示す「アクセスリスト」及び「優先制御」に基づいてユーザフレームのフィルタリングを行う。なお、本実施形態では、アクセスリストにより、クラスID「20」について業務サーバ20へのアクセスが許可されているものとする。
【0059】
ステップS28:ネットワーク中継装置1は、上記のフィルタリングに基づいてユーザフレームをポート4から業務サーバ20へ転送する。なお、このときネットワーク中継装置1は、ユーザフレームに付加されたクラスIDを削除したうえで転送する。
【0060】
以下のステップS30からステップS38では、例えば、端末機器10が公衆ネットワーク26へアクセスする場合におけるユーザフレームの転送処理について説明する。
【0061】
ステップS30:端末機器10は、公衆ネットワーク26へ向けてユーザフレームを送信する。
ステップS32:ネットワーク中継装置1は、端末機器10から送信されたユーザフレームを受信すると、上述したステップS22〜ステップS24と同様の手順を実行する。すなわち、ネットワーク中継装置1は、クラスID「20」をユーザフレームに付加し(ステップS32)、次に、FDB38を参照して転送先のポート4を特定する(ステップS34)。また、フィルタリング部40はクラスID「20」に規定されたポリシー(アクセスリスト及び優先制御)に基づいて、ユーザフレームのフィルタリングを行なう(ステップS36)。なお、本実施形態では、アクセスリストにより、クラスID「20」について公衆ネットワーク26へのアクセスが禁止されているものとする。
【0062】
ステップS38:ネットワーク中継装置1は、ステップS36でユーザフレームのフィルタリングを行なった結果、このユーザフレームを転送先のポート4から送信することなく破棄する。
【0063】
以下のステップS40からステップS44では、端末機器12が認証サーバ20により認証される際の認証情報の転送処理について説明する。
【0064】
ステップS40:端末機器12は、端末機器12を利用するユーザによって入力されたユーザIDやパスワード等の認証情報を認証サーバ20へ向けて送信する。
【0065】
ステップS42:ネットワーク中継装置1は、端末機器12から送信された認証情報を認証サーバ20へ転送する。
【0066】
ステップS44:認証サーバ20は、認証情報を受信すると、ステップS14と同様に、受信した認証情報により認証DB46を参照し、認証の成功又は不成功を判定する。次に認証サーバ20は、ステップS16と同様に、認証結果を示す応答データを端末機器12へ向けて通知する(ステップS46)。なお、このときネットワーク中継装置1は、受信した応答データの内容を参照して、端末機器12のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブル36に登録する。
【0067】
以下のステップS50からステップS58では、ステップS46で認証が成功した後に端末機器12が公衆ネットワーク26へアクセスする場合における、ユーザフレームの転送処理について説明する。
【0068】
ステップS50:端末機器12は、公衆ネットワーク26へ向けてユーザフレームを送信する。
ステップS52:ネットワーク中継装置1は、端末機器12から送信されたユーザフレームを受信すると、ユーザフレームの送信元MACアドレスによりクラスIDテーブル36を参照し、ユーザフレームの送信元MACアドレスと対応付けられて記憶されているクラスID「30」をユーザフレームに付加する。
【0069】
ステップS54:次にネットワーク中継装置1は、ユーザフレームの宛先MACアドレスによりFDB38を参照し、ユーザフレームの宛先MACアドレスと対応付けられて記憶されているポート番号を特定し、このポート番号をユーザフレームに付加し、送受信部30にユーザフレームを転送する。
【0070】
ステップS56:ネットワーク中継装置1は、ユーザフレームを転送先のポート4へ転送する過程で、フィルタリング部40により、ユーザフレームに付加されたクラスIDに対応するポリシーに基づいてフィルタリングを行う。例えば、ユーザフレームにクラスID「30」が付加されている場合、図4中で「有効」として示された「ルーティング」及び「優先制御」に基づいてユーザフレームの転送制御を行なう。
【0071】
ステップS58:ネットワーク中継装置1は、フィルタリング部40において上記の「ルーティング」及び「優先制御」に基づいてユーザフレームのフィルタリングを行い、このユーザフレームをポート4から公衆ネットワーク26へ送信する。
【0072】
このように、ネットワーク中継装置1,2は、端末機器10,12,14,16の端末機器識別情報とクラスIDとを対応付けて記憶することにより、端末機器10,12,14,16が送信するユーザフレームに対して、それぞれクラスIDに対応するポリシーに基づくフィルタリングを実行することができる。
【0073】
また、認証DB46に、端末機器又は端末機器を使用するユーザを認証する認証情報と、クラスIDとを対応付けて記憶することにより、端末機器又はユーザ単位で、クラスIDに対応するポリシーを適用することができる。
【0074】
また、フィルタリングテーブル42にクラスIDとクラスIDに対応するポリシーの内容を記憶させることにより、容易に各種のポリシーを設定できる。そして、端末機器又はユーザにクラスIDを割り当てることで、設定したポリシーを端末機器又はユーザ単位で適用することができる。よって、ネットワーク中継装置1,2は、VLAN単位で各種のポリシーを適用することに限定されず、同じVLANに所属していても、端末機器又はユーザにクラスIDを割り当てることで、端末機器又はユーザ単位で各種のポリシーを適用することができる。
【0075】
〔第2実施形態〕
次に、第2実施形態のネットワーク中継装置1,2について説明する。第2実施形態では、認証サーバ20の代わりにネットワーク中継装置1,2においてネットワーク認証が行われる点が第1実施形態と異なっている。その他の構成は第1実施形態と同様であり、第2実施形態では、第1実施形態と共通の構成には図示とともに同じ符号を付し、重複した説明を省略するものとする。
【0076】
図7は、第2実施形態の転送処理システムの構成例を概略的に示す図である。ネットワーク中継装置1,2のポート4には、企業内ネットワーク18を介して業務サーバ20、公衆ネットワーク26等が接続されている。
【0077】
また、ネットワーク中継装置1,2のポート4には、アクセスポイント6及びHUB8が接続されている。アクセスポイント6及びHUB8に接続された端末機器10,12,14,16は、ネットワーク中継装置1,2を介して、業務サーバ20、公衆ネットワーク26へアクセスすることができる。また、ネットワーク中継装置1,2は、所定のネットワーク認証方式を用いて、端末機器10,12,14,16の認証やこれらを使用するユーザの認証を実行する。また、ネットワーク中継装置1,2は、端末機器10,12,14,16が業務サーバ20、や公衆ネットワーク26へアクセスする際、各種のポリシーに基づいてフィルタリングを行う。
【0078】
図8は、第2実施形態のネットワーク中継装置1,2の機能的な構成を概略的に示すブロック図である。第2実施形態のネットワーク中継装置1,2は、認証部(認証手段)としてのCPU28と、認証管理部(認証管理手段)としての認証DB48とを備える。
【0079】
第1実施形態では、予め作業者が認証サーバ20の認証DB46にユーザIDやパスワード、VLAN ID、クラスID等を登録することで、複数のネットワーク中継装置1,2を介して接続された端末機器10,12,14,16を利用するユーザ等の認証情報を認証サーバ20で一元的に管理していた。しかし、第2実施形態のネットワーク中継装置1,2のように、それぞれのネットワーク中継装置1,2に接続された端末機器に関して、認証情報を各ネットワーク中継装置1,2の認証DB48に記憶させておくこともできる。
【0080】
この場合、ネットワーク中継装置1,2のCPU28は、端末機器10,12,14,16から送信された認証情報を受信すると、受信した認証情報により認証DB48を参照し、認証DB48に認証情報が登録されている場合、認証は成功と判定し、認証DB48に認証情報が登録されていない場合、認証は不成功と判定する。認証が成功した場合、各端末機器10,12,14,16は、ネットワーク中継装置1,2を介して業務サーバ20、公衆ネットワーク26へアクセスすることができる。また、制御部32はフィルタリング部40により、クラスIDに対応するポリシーに基づいて業務サーバ20や、公衆ネットワーク26へのアクセスを制限したり、転送経路を決定したりする。
【0081】
図9は、第2実施形態におけるユーザフレームの転送処理の流れを示すシーケンス図である。
【0082】
ステップS60:端末機器10は、ユーザIDやパスワード等、端末機器10を利用するユーザによって入力された認証情報をネットワーク中継装置1へ向けて送信する。
【0083】
ステップS62:ネットワーク中継装置1は、受信した認証情報により認証DB48を参照し、認証の成功又は不成功を判定する。次に、ネットワーク中継装置1は、認証した結果を端末機器10へ向けて通知する(ステップS64)。
【0084】
端末機器10は、ネットワーク中継装置1を介して通信を行う際に、第1実施形態と同様に、端末機器10に割り当てられたクラスIDに対応するポリシーに基づくフィルタリングが行われる。具体的に、端末機器10は、業務サーバ22へアクセスすることができるが、公衆ネットワーク26にはアクセスすることができない。
【0085】
ステップS70:端末機器12も、端末機器10と同様に、認証情報をネットワーク中継装置1へ向けて送信する。ネットワーク中継装置1は、端末機器12から送信された認証情報を受信すると、上記のステップS62及びステップS64と同様に、受信した認証情報により認証DB48を参照し、認証の成功又は不成功を判定する(ステップS72)。そして、ネットワーク中継装置1は、認証した結果を端末機器12へ向けて通知する(ステップS74)。
【0086】
このように、各ネットワーク中継装置1,2は、様々なネットワーク認証方式を用いて各端末機器10,12,14,16の認証やユーザの認証を実行することができる。さらに、ネットワーク中継装置1,2は、認証された各端末機器10,12,14,16から送信されたユーザフレームに対して個々のクラスIDを付加することができる。これにより、各端末機器10,12,14,16からネットワーク中継装置1,2を介して実行される通信と、各端末機器10,12,14,16やこれらを使用するユーザに割り当てられた認証情報を各ネットワーク中継装置1,2において効率的に管理することができる。
【0087】
本発明のネットワーク中継装置及び転送制御システムによれば、端末機器やこれを使用するユーザに割り当てられたユーザに割り当てられたクラスIDごとに各種のポリシーを適用することができる。これにより、端末機器又はユーザ単位で、フィルタリングポリシーを適用することができる。
【符号の説明】
【0088】
1,2 ネットワーク中継装置
10,12,14,16 端末機器
20 認証サーバ
34 転送処理部
36 クラスIDテーブル
38 FDB
40 フィルタリング部
46,48 認証DB
【特許請求の範囲】
【請求項1】
端末機器から送信されたユーザフレームを中継するネットワーク中継装置であって、
前記端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報により前記フィルタリング用識別情報記憶部を参照し、前記端末機器識別情報に対応する前記フィルタリング用識別情報を特定する転送処理部と、
前記フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、前記転送処理部において特定された前記フィルタリング用識別情報に対応する前記ポリシーに基づいて、前記ユーザフレームに対しフィルタリングを実行するフィルタリング部と
を備えるネットワーク中継装置。
【請求項2】
前記端末機器は、前記ネットワーク中継装置を介して、又は前記ネットワーク中継装置との間で、所定のネットワーク認証方式によって認証を行い、
前記転送処理部は、
認証が成功した前記端末機器について、前記端末機器識別情報と前記フィルタリング用識別情報とを対応付けて前記フィルタリング用識別情報記憶部に記憶する
請求項1に記載のネットワーク中継装置。
【請求項3】
前記端末機器又は前記端末機器を使用するユーザを認証するための認証情報と、前記フィルタリング用識別情報とを対応付けて記憶する認証管理部と、
前記端末機器から前記認証情報が送信された場合、受信した前記認証情報により前記認証管理部を参照して認証を実行する認証部と
を更に備え、
前記転送処理部は、
前記認証部による認証が成功した場合、認証が成功した前記端末機器の前記端末機器識別情報と、認証が成功した前記認証情報に対応して前記認証管理部に記憶されている前記フィルタリング用識別情報とを対応付けて、前記フィルタリング用識別情報記憶部に記憶する
請求項2に記載のネットワーク中継装置。
【請求項4】
前記転送処理部は、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報として前記ユーザフレームの送信元情報により前記フィルタリング用識別情報記憶部を参照する
請求項1から3いずれかに記載のネットワーク中継装置。
【請求項5】
前記端末機器情報は、前記端末機器に割り当てられたMACアドレス又はIPアドレスである
請求項1から4いずれかに記載のネットワーク中継装置。
【請求項6】
端末機器と、前記端末機器から送信されたユーザフレームを中継するネットワーク中継装置とからなり、前記ネットワーク中継装置が前記ユーザフレームを中継する際に前記ユーザフレームをフィルタリングする転送制御システムであって、
前記ネットワーク中継装置は、
前記端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報により前記フィルタリング用識別情報記憶部を参照し、前記端末機器識別情報に対応する前記フィルタリング用識別情報を特定する転送処理手段と、
前記フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、前記転送処理手段により特定された前記フィルタリング用識別情報に対応する前記ポリシーに基づいて、前記ユーザフレームに対しフィルタリングを実行するフィルタリング手段と
を備える転送制御システム。
【請求項7】
前記端末機器は、前記ネットワーク中継装置を介して、又は前記ネットワーク中継装置との間で、所定のネットワーク認証方式によって認証を行い、
前記転送処理手段は、
認証が成功した前記端末機器について、前記端末機器識別情報と前記フィルタリング用識別情報とを対応付けた前記フィルタリング用識別情報記憶部に記憶をする
請求項6に記載の転送制御システム。
【請求項8】
前記ネットワーク中継装置は、
前記端末機器又は前記端末機器を使用するユーザを認証するための認証情報と前記フィルタリング用識別情報とを対応付けて記憶する認証管理手段と、
前記端末機器から前記認証情報が送信された場合、受信した前記認証情報により前記認証管理手段により記憶した前記認証情報とこれに対応する前記フィルタリング情報とを参照して認証を実行する認証手段と
を更に備え、
前記転送処理手段は、
前記認証手段による認証が成功した場合、認証が成功した前記端末機器の前記端末機器識別情報と、認証が成功した前記認証情報に対応して前記認証管理手段により記憶された前記フィルタリング用識別情報とを対応付けて、前記フィルタリング用識別情報記憶部へ記憶する
請求項7に記載の転送制御システム。
【請求項9】
前記転送処理手段は、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報として前記ユーザフレームの送信元情報により前記フィルタリング用識別情報記憶部を参照する
請求項6から8いずれかに記載の転送制御システム。
【請求項10】
前記端末機器識別情報は、前記端末機器に割り当てられたMACアドレス又はIPアドレスである
請求項6から9いずれかに記載の転送制御システム。
【請求項1】
端末機器から送信されたユーザフレームを中継するネットワーク中継装置であって、
前記端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報により前記フィルタリング用識別情報記憶部を参照し、前記端末機器識別情報に対応する前記フィルタリング用識別情報を特定する転送処理部と、
前記フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、前記転送処理部において特定された前記フィルタリング用識別情報に対応する前記ポリシーに基づいて、前記ユーザフレームに対しフィルタリングを実行するフィルタリング部と
を備えるネットワーク中継装置。
【請求項2】
前記端末機器は、前記ネットワーク中継装置を介して、又は前記ネットワーク中継装置との間で、所定のネットワーク認証方式によって認証を行い、
前記転送処理部は、
認証が成功した前記端末機器について、前記端末機器識別情報と前記フィルタリング用識別情報とを対応付けて前記フィルタリング用識別情報記憶部に記憶する
請求項1に記載のネットワーク中継装置。
【請求項3】
前記端末機器又は前記端末機器を使用するユーザを認証するための認証情報と、前記フィルタリング用識別情報とを対応付けて記憶する認証管理部と、
前記端末機器から前記認証情報が送信された場合、受信した前記認証情報により前記認証管理部を参照して認証を実行する認証部と
を更に備え、
前記転送処理部は、
前記認証部による認証が成功した場合、認証が成功した前記端末機器の前記端末機器識別情報と、認証が成功した前記認証情報に対応して前記認証管理部に記憶されている前記フィルタリング用識別情報とを対応付けて、前記フィルタリング用識別情報記憶部に記憶する
請求項2に記載のネットワーク中継装置。
【請求項4】
前記転送処理部は、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報として前記ユーザフレームの送信元情報により前記フィルタリング用識別情報記憶部を参照する
請求項1から3いずれかに記載のネットワーク中継装置。
【請求項5】
前記端末機器情報は、前記端末機器に割り当てられたMACアドレス又はIPアドレスである
請求項1から4いずれかに記載のネットワーク中継装置。
【請求項6】
端末機器と、前記端末機器から送信されたユーザフレームを中継するネットワーク中継装置とからなり、前記ネットワーク中継装置が前記ユーザフレームを中継する際に前記ユーザフレームをフィルタリングする転送制御システムであって、
前記ネットワーク中継装置は、
前記端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報により前記フィルタリング用識別情報記憶部を参照し、前記端末機器識別情報に対応する前記フィルタリング用識別情報を特定する転送処理手段と、
前記フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、前記転送処理手段により特定された前記フィルタリング用識別情報に対応する前記ポリシーに基づいて、前記ユーザフレームに対しフィルタリングを実行するフィルタリング手段と
を備える転送制御システム。
【請求項7】
前記端末機器は、前記ネットワーク中継装置を介して、又は前記ネットワーク中継装置との間で、所定のネットワーク認証方式によって認証を行い、
前記転送処理手段は、
認証が成功した前記端末機器について、前記端末機器識別情報と前記フィルタリング用識別情報とを対応付けた前記フィルタリング用識別情報記憶部に記憶をする
請求項6に記載の転送制御システム。
【請求項8】
前記ネットワーク中継装置は、
前記端末機器又は前記端末機器を使用するユーザを認証するための認証情報と前記フィルタリング用識別情報とを対応付けて記憶する認証管理手段と、
前記端末機器から前記認証情報が送信された場合、受信した前記認証情報により前記認証管理手段により記憶した前記認証情報とこれに対応する前記フィルタリング情報とを参照して認証を実行する認証手段と
を更に備え、
前記転送処理手段は、
前記認証手段による認証が成功した場合、認証が成功した前記端末機器の前記端末機器識別情報と、認証が成功した前記認証情報に対応して前記認証管理手段により記憶された前記フィルタリング用識別情報とを対応付けて、前記フィルタリング用識別情報記憶部へ記憶する
請求項7に記載の転送制御システム。
【請求項9】
前記転送処理手段は、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報として前記ユーザフレームの送信元情報により前記フィルタリング用識別情報記憶部を参照する
請求項6から8いずれかに記載の転送制御システム。
【請求項10】
前記端末機器識別情報は、前記端末機器に割り当てられたMACアドレス又はIPアドレスである
請求項6から9いずれかに記載の転送制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−70225(P2012−70225A)
【公開日】平成24年4月5日(2012.4.5)
【国際特許分類】
【出願番号】特願2010−213442(P2010−213442)
【出願日】平成22年9月24日(2010.9.24)
【出願人】(000005120)日立電線株式会社 (3,358)
【Fターム(参考)】
【公開日】平成24年4月5日(2012.4.5)
【国際特許分類】
【出願日】平成22年9月24日(2010.9.24)
【出願人】(000005120)日立電線株式会社 (3,358)
【Fターム(参考)】
[ Back to top ]