專利名稱:網(wǎng)絡(luò)中繼裝置及幀的中繼的控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)中繼裝置以及該網(wǎng)絡(luò)中繼裝置中使用的、對從外部裝置接收的幀的中繼進(jìn)行控制的方法���。
背景技術(shù):
隨著 ICT(Information and Communication Technology�,信息與通訊技術(shù))的發(fā)展��,出現(xiàn)了被稱為智能交換機(jī)的交換機(jī)產(chǎn)品���。與普通交換機(jī)相比���,這樣的智能交換機(jī)是具有高功能的交換機(jī)���。智能交換機(jī)例如具有VLAN(Virtual Local Area Network,虛擬局域網(wǎng)) 功能����、安全性功能、QoS服務(wù)質(zhì)量功能等各種各樣的功能(例如��,參照專利文獻(xiàn)1)�����。在這樣的功能中���,近年來,尤其要求提高重視了網(wǎng)絡(luò)的內(nèi)部威脅的安全性功能���。一般來說�����,作為重視了該網(wǎng)絡(luò)內(nèi)部的威脅的安全性功能��,廣泛使用被稱為“基于每個(gè)端口的安全性”的功能����,該功能是指基于與智能交換機(jī)的端口連接的外部裝置的MAC地址來限制通信內(nèi)容(traffic)的輸入。但現(xiàn)狀中�����,安全性的提高和使用方便性是相互抵觸的關(guān)系����,若要求其中一個(gè),則不得不犧牲另一個(gè)�����。例如�����,智能交換機(jī)中���,在采用基于每個(gè)端口的安全性功能的情況下�,需要預(yù)先得知與該端口連接的外部裝置的MAC地址��。然而�����,近年來,由于在公司內(nèi)�����,作為用戶在工作上使用個(gè)人所具有的便攜式終端或智能手機(jī)等的工作人員���、合同工��、關(guān)聯(lián)公司及客戶的工作人員等來賓越來越多����,所以存在以下問題��,即���,如果對有可能連接許多這樣的不確定的外部裝置的端口采用嚴(yán)格的安全性對策,則使用方便性會降低�。此外,上述技術(shù)問題不僅僅是智能交換機(jī)中存在的問題�,也是具有安全性功能的所有中繼裝置中普遍存在的問題。專利文獻(xiàn)1日本特開2008-48252號公報(bào)
發(fā)明內(nèi)容
故而�,本發(fā)明的目的是����,提供一種既能提高安全性又能提高使用方便性的網(wǎng)絡(luò)中繼裝置及幀的中繼的控制方法���。本發(fā)明涉及對從外部裝置接收到的幀進(jìn)行中繼的網(wǎng)絡(luò)中繼裝置��。為了達(dá)到上述目的�����,本發(fā)明的網(wǎng)絡(luò)中繼裝置具備多個(gè)端口����、認(rèn)證處理部以及中繼處理部��,多個(gè)端口用于與外部裝置連接��,并且�,該多個(gè)端口分別被設(shè)定了對應(yīng)的認(rèn)證種類,該認(rèn)證種類是指在外部裝置連接到該端口時(shí)應(yīng)對該外部裝置進(jìn)行的認(rèn)證的種類�����;在外部裝置連接到網(wǎng)絡(luò)中繼裝置時(shí),認(rèn)證處理部按照對與該外部裝置連接的端口設(shè)定了的認(rèn)證種類�����,來與該外部裝置之間進(jìn)行認(rèn)證��;對于在認(rèn)證種類被設(shè)定為第一認(rèn)證種類的端口接收到的幀���,不需要認(rèn)證處理部進(jìn)行認(rèn)證��,中繼處理部便對該幀進(jìn)行中繼�,對于在認(rèn)證種類被設(shè)定為第二認(rèn)證種類的端口接收到的幀���,在認(rèn)證處理部所進(jìn)行的認(rèn)證成功時(shí)���,中繼處理部才對該幀進(jìn)行中繼。
優(yōu)選的是���,該網(wǎng)絡(luò)中繼裝置還具備安全性管理部�����,該安全性管理部監(jiān)視從與認(rèn)證種類被設(shè)定為第一認(rèn)證種類的端口連接的外部裝置接收到的幀。有代表性的是,該安全性管理部檢測從與認(rèn)證種類被設(shè)定為第一認(rèn)證種類的端口連接的外部裝置接收到的幀是否包含計(jì)算機(jī)病毒���。此外����,在外部裝置連接進(jìn)來時(shí)�����,若網(wǎng)絡(luò)中繼裝置存儲有虛擬網(wǎng)絡(luò)的標(biāo)識符����,則安全性管理部也可以向與認(rèn)證種類被設(shè)定為第一認(rèn)證種類的端口連接的外部裝置����、 和與認(rèn)證種類被設(shè)定為第二認(rèn)證種類的端口連接的外部裝置�,發(fā)送不相同的虛擬網(wǎng)絡(luò)的標(biāo)識符,其中�����,虛擬網(wǎng)絡(luò)的標(biāo)識符用于定義與網(wǎng)絡(luò)中繼裝置連接的外部裝置所構(gòu)筑的虛擬的子網(wǎng)。此外,在存儲有用于使用從外部裝置接收到的幀中包含的信息來確定可中繼的幀的許可一覽表的情況下,中繼處理部也可以具備根據(jù)外部裝置的連接狀態(tài),來改變許可一覽表中規(guī)定的內(nèi)容的認(rèn)證信息管理部。優(yōu)選的是,在外部裝置連接到認(rèn)證種類被設(shè)定為第一認(rèn)證種類的端口的情況下,該認(rèn)證信息管理部改變許可一覽表中規(guī)定的內(nèi)容,以允許對從所連接的該外部裝置接收到的幀進(jìn)行中繼,在外部裝置連接到認(rèn)證種類被設(shè)定為第二認(rèn)證種類的端口���,并且認(rèn)證處理部所進(jìn)行的認(rèn)證成功的情況下���,認(rèn)證信息管理部改變許可一覽表中規(guī)定的內(nèi)容�,以允許對從所連接的該外部裝置接收到的幀進(jìn)行中繼��。并且���,優(yōu)選的是��,在改變了許可一覽表的情況下��,認(rèn)證信息管理部將該改變后的許可一覽表的內(nèi)容進(jìn)一步發(fā)送給與網(wǎng)絡(luò)中繼裝置連接著的其它網(wǎng)絡(luò)中繼裝置��。此外����,優(yōu)選的是�,認(rèn)證處理部具有基于IEEE802. IX的認(rèn)證客戶以及基于 IEEE802. IX的認(rèn)證服務(wù)器這兩方面的功能�����。此外��,優(yōu)選的是�����,當(dāng)其它網(wǎng)絡(luò)中繼裝置連接到網(wǎng)絡(luò)中繼裝置時(shí)�����,若其它網(wǎng)絡(luò)中繼裝置的MAC地址在網(wǎng)絡(luò)中繼裝置內(nèi)被預(yù)先登記為應(yīng)允許連接的MAC地址��,則認(rèn)證處理部當(dāng)作與其它網(wǎng)絡(luò)中繼裝置之間的認(rèn)證成功來進(jìn)行處理�����。根據(jù)上述結(jié)構(gòu)�����,既能提高網(wǎng)絡(luò)中繼裝置的安全性又能提高使用方便性�。此外���,本發(fā)明能夠通過各種各樣的方式來實(shí)現(xiàn)��。例如���,本發(fā)明能夠通過網(wǎng)絡(luò)中繼裝置����、網(wǎng)絡(luò)中繼裝置的控制方法�����、使用了網(wǎng)絡(luò)中繼裝置的網(wǎng)絡(luò)系統(tǒng)�����、以及用于實(shí)現(xiàn)這些方法或裝置的功能的計(jì)算機(jī)程序���、存儲了該計(jì)算機(jī)程序的存儲介質(zhì)等的方式來實(shí)現(xiàn)。本發(fā)明可應(yīng)用于包括中繼裝置和無線通信裝置的網(wǎng)絡(luò)系統(tǒng)等����,在要提高無線通信時(shí)的安全性的情況下等尤為有效。在參照附圖進(jìn)行下述詳細(xì)說明之后�����,本發(fā)明的各種目的、 特征��、方案���、效果將會更加明確�����。
圖1是表示本發(fā)明的第一實(shí)施方式所涉及的網(wǎng)絡(luò)中繼裝置及終端的概要結(jié)構(gòu)的圖����。圖2是表示第一實(shí)施方式所涉及的網(wǎng)絡(luò)中繼裝置的結(jié)構(gòu)的概要圖����。圖3是表示認(rèn)證方法一覽表的一例的圖。圖4是表示許可一覽表的一例的圖�����。圖5是表示本發(fā)明的第一實(shí)施方式所涉及的網(wǎng)絡(luò)中繼裝置在接收幀時(shí)所進(jìn)行的處理的順序的流程圖����。圖6是說明第一實(shí)施方式中的接收幀時(shí)的處理的具體例(一)的圖�����。圖7是表示圖6所示的連接時(shí)所進(jìn)行的No Auth簽名處理(圖5的步驟S32)的流程的序列圖���。圖8是說明接收幀時(shí)的處理的具體例(一)的圖。圖9是表示在圖8所示的連接時(shí)所進(jìn)行的認(rèn)證處理(圖5的步驟S16)的流程的序列圖����。圖10是說明第一實(shí)施方式中的接收幀時(shí)的處理的具體例(二)的圖。圖11是表示認(rèn)證方法一覽表的另一例的圖�。圖12是表示本發(fā)明的第二實(shí)施方式所涉及的網(wǎng)絡(luò)中繼裝置的結(jié)構(gòu)的概要圖����。圖13是表示VLAN定義信息的一例的圖。圖14是表示缺省值(default) VLAN信息的一例的圖�。圖15是說明第二實(shí)施方式中的接收幀時(shí)的處理的具體例(一)的圖。圖16是表示圖15所示的連接時(shí)所進(jìn)行的No Auth簽名處理(圖5的步驟S32) 的流程的序列圖�。
具體實(shí)施例方式以下,參照附圖對本發(fā)明的實(shí)施方式進(jìn)行說明����。<第一實(shí)施方式>圖1是表示本發(fā)明的第一實(shí)施方式所涉及的網(wǎng)絡(luò)中繼裝置100、終端PClO及PC20 的概要結(jié)構(gòu)的圖���。第一實(shí)施方式所涉及的網(wǎng)絡(luò)中繼裝置100是所謂第二層交換機(jī)�����,并具有基于MAC(Media Access Control���,介質(zhì)訪問控制)地址進(jìn)行幀的中繼的功能��。第二層相當(dāng)于 OSI (Open Systems hterconnection����,開放系統(tǒng)互連)參考模型的第二層(數(shù)據(jù)鏈路層)�����。 以下����,將網(wǎng)絡(luò)中繼裝置100記為交換機(jī)100來進(jìn)行說明。交換機(jī)100經(jīng)由5個(gè)端口 P501 P505與外部裝置(例如��,終端或其它交換機(jī))連接�����。圖1的例子中端口 P501經(jīng)由線路與個(gè)人計(jì)算機(jī)等終端PClO連接。終端PClO的 MAC地址是MAC_PC10�����。端口 P502經(jīng)由線路與個(gè)人計(jì)算機(jī)等終端PC20連接�。終端PC20的 MAC地址是MAC_PC20。只有LAN電纜CBL連接到端口 P503�。例如,考慮到該端口 P503是合同工����、關(guān)聯(lián)公司及客戶的工作人員等來賓用戶所使用的LAN連接口,因此預(yù)計(jì)會有許多不確定的終端連接到該端口�。此外,為了便于說明��,圖1中省略了說明中不需要的其它網(wǎng)絡(luò)裝置�、線路�����、終端及交換機(jī)100內(nèi)的結(jié)構(gòu)的圖示����。這些在后述的圖中也同樣被省略�����。圖2是表示第一實(shí)施方式所涉及的交換機(jī)100的結(jié)構(gòu)的概要圖��。交換機(jī)100具備CPU(Central Processing Unit 中央處理器)200����、ROM (Read Only Memory����,只讀存儲器)300、RAM (Random Access Memory�,隨機(jī)存取存儲器)400以及有線通信接口(有線通信 I/F) 5000交換機(jī)100的各構(gòu)成要素經(jīng)由總線600而相互連接。CPU200通過將存儲在R0M300中的計(jì)算機(jī)程序載入到RAM400中執(zhí)行�����,來控制交換機(jī)100的各個(gè)部���。此外�����,通過執(zhí)行上述計(jì)算機(jī)程序�����,CPU200也發(fā)揮中繼處理部210����、認(rèn)證處理部245及安全性管理部250的作用。中繼處理部210包括認(rèn)證信息管理部220和MAC地址認(rèn)證部230�,并具有對經(jīng)由有線通信接口 500接收到的幀(以下,記載為接收幀)進(jìn)行中繼的功能���。認(rèn)證信息管理部220主要具有對存儲部即RAM400所存儲的許可一覽表420進(jìn)行更新的功能和與其它交換機(jī)交換許可一覽表420的功能����。MAC地址認(rèn)證部230進(jìn)行確定可否對接收幀進(jìn)行中繼的處理����,發(fā)揮作為確定處理部的功能。包含在認(rèn)證處理部M5中的EAP認(rèn)證部240具有以下功能即�,在外部裝置(例如��,終端或其它交換機(jī))連接到交換機(jī) 100時(shí)���,按照預(yù)先規(guī)定的認(rèn)證方法��,與外部裝置之間進(jìn)行認(rèn)證�����。安全性管理部250具有從安全性方面對接收幀進(jìn)行管理的功能����。這些功能部的詳細(xì)內(nèi)容將于后述。RAM400中存儲有認(rèn)證方法一覽表410和許可一覽表420����。關(guān)于這些一覽表的詳細(xì)內(nèi)容將于后述。有線通信接口 500是用于與局域網(wǎng)(LAN)連接的LAN電纜的連接口�����。有線通信接口 500包括前述的5個(gè)端口 P501 P505���。此外��,本實(shí)施方式中����,端口 P501 P504 是用于連接交換機(jī)以外的外部裝置(例如,個(gè)人計(jì)算機(jī)���、移動(dòng)終端等)的端口����。端口 P505 是用于連接其它交換機(jī)的級聯(lián)連接用端口���。圖3是表示認(rèn)證方法一覽表410的一例的圖��。認(rèn)證方法一覽表410包括端口號字段���、認(rèn)證種類字段和MAC認(rèn)證字段。端口號字段的各項(xiàng)目(entry)中存儲有與交換機(jī)100 所具備的所有端口對應(yīng)的標(biāo)識符�。本實(shí)施方式中,標(biāo)識符是“P501 ” “P505”��。認(rèn)證種類字段中存儲有����,對存儲在端口號字段中的各端口預(yù)先規(guī)定的認(rèn)證種類。 認(rèn)證種類是指�����,在外部裝置連接到端口時(shí)����,EAP認(rèn)證部240應(yīng)對所連接的外部裝置進(jìn)行的認(rèn)證的種類。本實(shí)施方式中����,認(rèn)證種類是“EAP”、“No Auth”及“Open”這3種��。作為第一認(rèn)證種類的NoAuth是指�����,不需要對連接到交換機(jī)100的外部裝置進(jìn)行認(rèn)證(換言之���,省略對外部裝置的認(rèn)證)�����。作為第二認(rèn)證種類的EAP是指�����,需要對連接到交換機(jī)100的外部裝置進(jìn)行認(rèn)證����。在認(rèn)證種類是EAP的情況下實(shí)際使用的認(rèn)證方法被預(yù)先存儲在RAM400內(nèi)部。 本實(shí)施方式中��,在認(rèn)證種類是EAP_PC的情況下����,用IEEE (The Institute of Electrical and Electronics Engineers,美國電氣和電子工程師協(xié)會)802. IX 的EAP-MD5 (extensible authentication protocol-message digest version 5,擴(kuò)展驗(yàn)證協(xié)議消息摘要算法 5 版本)進(jìn)行認(rèn)證���。此外��,也可以采用用戶能設(shè)定的方法來作為存儲在RAM400中的認(rèn)證方法��。 Open是指�����,不對連接到交換機(jī)100的外部裝置進(jìn)行認(rèn)證�����。No Auth與Open的不同之處將于后述����。MAC認(rèn)證字段中存儲有,對存儲在端口號字段中的各端口預(yù)先規(guī)定的�����、MAC地址認(rèn)證的有效(enable)/無效(disable)的設(shè)定值�����。例如�,圖3的例子中規(guī)定����,在外部裝置連接到用標(biāo)識符P501識別的端口 P501時(shí), 進(jìn)行基于EAP的認(rèn)證�,即按照EAP-MD5認(rèn)證方法來進(jìn)行認(rèn)證。此外�,還規(guī)定,對來自端口 P501 的接收幀進(jìn)行MAC地址認(rèn)證(項(xiàng)目E01)����。并規(guī)定,在外部裝置連接到用標(biāo)識符P503識別的端口 P503時(shí)����,不進(jìn)行認(rèn)證(省略認(rèn)證)���。此外,也規(guī)定����,對來自端口 P503的接收幀進(jìn)行MAC 地址認(rèn)證(項(xiàng)目E(X3)。并規(guī)定��,在外部裝置連接到用標(biāo)識符P505識別的端口 P505時(shí)�����,不進(jìn)行認(rèn)證��。此外����,也規(guī)定,對來自端口 P505的接收幀不進(jìn)行MAC地址認(rèn)證(項(xiàng)目E05)�����。也就是說�,設(shè)定為No Auth的端口 P503與設(shè)定為Open的端口 P505的共同之處在于,不對連接到該端口的外部裝置進(jìn)行認(rèn)證。然而���,兩者存在以下不同之處��。 針對來自認(rèn)證種類被設(shè)定為No Auth的端口的接收幀��,進(jìn)行MAC地址認(rèn)證及后述的安全性管理處理��。·針對來自認(rèn)證種類被設(shè)定為Open的端口的接收幀���,不進(jìn)行MAC地址認(rèn)證及安全
性管理處理�����。此外���,在如項(xiàng)目E05那樣的認(rèn)證種類被設(shè)定為Open的端口中,為了正確進(jìn)行接收幀的中繼�,將MAC地址認(rèn)證設(shè)定為無效(disable)。因此��,交換機(jī)100對認(rèn)證種類被設(shè)定為Open的端口不進(jìn)行外部裝置連接時(shí)的認(rèn)證����,并且也不進(jìn)行對接收幀的MAC地址的認(rèn)證��。其結(jié)果��,認(rèn)證種類被設(shè)定為Open的端口有可能成為安全漏洞�����。圖4是表示許可一覽表420的一例的圖����。許可一覽表420是在進(jìn)行MAC地址認(rèn)證時(shí)所使用的一覽表���。許可一覽表420中存儲了交換機(jī)100的中繼處理部210允許中繼的接收幀的發(fā)送源MAC地址(向交換機(jī)100發(fā)送了幀的裝置的MAC地址)作為許可地址���。也就是說,許可一覽表420被構(gòu)成為能用接收幀中包含的信息來確定可中繼的接收幀�。例如,圖4的例子中����,若接收幀的幀頭(header)中包含的發(fā)送源MAC地址是“MAC_ PC10”及“MAC_PC20”中的任一種,則中繼處理部210允許中繼該接收幀����。接下來�����,對上述結(jié)構(gòu)的交換機(jī)100在接收幀時(shí)所進(jìn)行的處理進(jìn)行說明���。圖5是表示本發(fā)明的第一實(shí)施方式所涉及的網(wǎng)絡(luò)中繼裝置(交換機(jī))100在接收幀時(shí)所進(jìn)行的處理的順序的流程圖。首先����,中繼處理部210判斷是否經(jīng)由端口 P501 P505中的任意端口接收到幀(步驟S10)。在接收到幀的情況下(步驟SlO為是)����,中繼處理部210判斷接收幀是否是EAP幀 (步驟Si》���。具體而言��,例如��,在根據(jù)接收幀的幀頭中包含的以太網(wǎng)類型(Ethernet Type) 而判斷出接收幀的類型為 EAPOL(exte nsible authentication protocol over LAN��,局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)的情況下�,中繼處理部210可以判斷為接收到EAP幀。在判斷為接收幀是EAP幀的情況下(步驟S12為是)�,EAP認(rèn)證部240檢索認(rèn)證方法一覽表410的認(rèn)證種類字段(步驟S14)。具體而言�����,EAP認(rèn)證部240參照認(rèn)證方法一覽表410����,從端口號字段中具有接收到幀的端口的標(biāo)識符的項(xiàng)目中獲取認(rèn)證種類字段的值。 EAP認(rèn)證部240進(jìn)行需要的認(rèn)證處理之后�,結(jié)束處理(步驟S16)。認(rèn)證處理的詳細(xì)內(nèi)容將于后述���。另一方面���,在判斷為接收幀不是EAP幀的情況下(步驟S12為否),EAP認(rèn)證部240 檢索認(rèn)證方法一覽表410的認(rèn)證種類字段及MAC認(rèn)證字段(步驟S18)��。具體而言�����,EAP認(rèn)證部240參照認(rèn)證方法一覽表410�����,從端口號字段中具有接收到幀的端口的標(biāo)識符的項(xiàng)目中獲取證種類字段的值和MAC認(rèn)證字段的值。接著�����,EAP認(rèn)證部240判斷是否是第一次經(jīng)由No Auth端口與外部裝置連接(步驟S30)�����。具體而言���,EAP認(rèn)證部240判斷步驟S18中獲取的認(rèn)證種類字段的值是否是“No Auth”����,并判斷接收幀的幀頭(header)中包含的發(fā)送源MAC地址是否與許可一覽表420中存儲的MAC地址中的某一地址相一致���。在認(rèn)證種類字段的值為No Auth,并且發(fā)送源MAC地址與許可一覽表420中存儲的MAC地址不一致的情況下�����,EAP認(rèn)證部240判斷為該接收幀是來自連接到No Auth端口的外部裝置的最初的接收幀(步驟S30為是)�。在獲得該判斷結(jié)果的情況下�,EAP認(rèn)證部240進(jìn)行NoAuth簽名處理之后(步驟S3》�����,結(jié)束處理��。No Auth 簽名處理的詳細(xì)內(nèi)容將于后述�����。另一方面����,在認(rèn)證種類字段的值不是No Auth,或者認(rèn)證種類字段的值是No Auth 但發(fā)送源MAC地址與許可一覽表420中存儲的MAC地址的某一地址相一致的情況下���,EAP認(rèn)證部240判斷為該接收幀是來自連接到No Auth端口以外的端口的外部裝置的接收幀���,或判斷為該接收幀是來自連接到No Auth端口的外部裝置的第二次以后的接收幀(步驟S30 為否)。在獲得該判斷結(jié)果的情況下���,MAC地址認(rèn)證部230進(jìn)一步判斷是否進(jìn)行MAC地址認(rèn)證(步驟S20)��。具體而言�,若步驟S18中獲取的MAC認(rèn)證字段的值是“enable”,則MAC地址認(rèn)證部230進(jìn)行MAC地址認(rèn)證����,若該MAC認(rèn)證字段的值是“disable”,則MAC地址認(rèn)證部 230不進(jìn)行MAC地址認(rèn)證����。在判斷為不進(jìn)行MAC地址認(rèn)證的情況下(步驟S20為否),MAC 地址認(rèn)證部230進(jìn)行幀中繼處理(步驟S28)��。在判斷為進(jìn)行MAC地址認(rèn)證的情況下(步驟S20為是)����,MAC地址認(rèn)證部230參照許可一覽表420(步驟S22),判斷可否進(jìn)行接收幀的中繼(步驟S24)�����。具體而言��,MAC地址認(rèn)證部230判斷接收幀的幀頭中包含的發(fā)送源MAC地址是否與許可一覽表420中存儲的 MAC地址中的任一地址相一致�。在判斷為兩者的MAC地址不一致�����,不能進(jìn)行接收幀的中繼的情況下(步驟S24為否),MAC地址認(rèn)證部230毀掉接收幀(步驟S26)����,結(jié)束處理。在毀掉了接收幀的情況下����,MAC地址認(rèn)證部230也可以向被毀掉的幀的發(fā)送源終端通知幀被毀掉了的內(nèi)容。另一方面����,在上述步驟S20中判斷為不進(jìn)行MAC地址認(rèn)證的情況下(步驟S20為否)、以及上述步驟S24中判斷為兩者的MAC地址相一致����,能進(jìn)行接收幀的中繼的情況下 (步驟SM為是),MAC地址認(rèn)證部230進(jìn)行幀中繼處理(步驟S28)�����。該幀中繼處理中��,中繼處理部210參照未圖示的MAC地址表����,進(jìn)行轉(zhuǎn)發(fā)(forwarding)(在MAC地址表中存在目的地MAC地址的情況下中繼幀的動(dòng)作)或泛洪(flooding) (MAC地址表中不存在目的地MAC 地址的情況下的動(dòng)作)之后�,結(jié)束處理���。這樣�����,中繼處理部210的MAC地址認(rèn)證部230基于許可一覽表420來確定可否對接收幀進(jìn)行中繼�����。接著����,參照圖6 圖11�����,進(jìn)一步說明該交換機(jī)100所進(jìn)行的接收幀時(shí)的處理的具體例��。ι. m^mm^m^wimmmmu (mm (-))用該具體例(一)�����,說明終端作為新的外部裝置連接到交換機(jī)100的情況。1-1. No Auth 簽名處理圖6是表示在新外部裝置(終端PC30)連接到交換機(jī)100的情況下�,進(jìn)行No Auth 簽名處理(圖5的步驟S32)時(shí)的情形圖�。交換機(jī)100的結(jié)構(gòu)如圖1所示。用該圖6����,對在圖1的狀態(tài)下,終端PC30 (MAC地址為MAC_PC30)連接到交換機(jī)100的���、認(rèn)證種類為No Auth 的端口 P503的情況進(jìn)行說明�。新連接的終端PC30向交換機(jī)100(或連接到交換機(jī)100的其它終端)發(fā)送了幀時(shí)��,交換機(jī)100檢測出來自終端PC30的接收幀(步驟SlO為是)����。由于檢測出的接收幀不是EAP幀(步驟S12為否),所以EAP認(rèn)證部240從認(rèn)證方法一覽表410獲取接收了幀的端口 P503的認(rèn)證種類字段的值“NoAuth”及MAC認(rèn)證字段的值“enable” (步驟S18)�����。由于認(rèn)證種類字段的值為“No Auth",且發(fā)送源MAC地址的MAC_PC30未被存儲在許可一覽表 420中���,所以EAP認(rèn)證部240判斷為該接收幀是來自連接到No Auth端口的外部裝置的最初的接收幀(步驟S30為是)��。因此��,EAP認(rèn)證部240進(jìn)行No Auth簽名處理(步驟S32)�。圖7是表示第一實(shí)施方式中的No Auth簽名處理(圖5的步驟S32)的流程的序列圖。首先�����,交換機(jī)100接收從終端PC30發(fā)送來的幀(步驟S100)����。交換機(jī)100的認(rèn)證信息管理部220通過將從終端PC30接收到的幀的幀頭中包含的發(fā)送源MAC地址追加到許可一覽表420中,來進(jìn)行更新(步驟S102)���。此后�,交換機(jī)100的安全性管理部250開始對終端PC30進(jìn)行Syslog管理(步驟S104)����。具體而言,安全性管理部250獲取終端PC30的內(nèi)核(kernel)�、各種守護(hù)進(jìn)程(daemon)、應(yīng)用程序等所輸出的日志(log)�����,并存儲到交換機(jī)100的RAM (Random Access Memory,隨機(jī)存取存儲器)400、或其它存儲媒體(例如����,未圖示的快閃只讀存儲器(flash ROM)、硬盤等)中��。此外���,安全性管理部250也可以監(jiān)視從終端PC30獲取的日志,在檢測到任何異常的情況下��,通知交換機(jī)100的管理員檢測到異常����。通知的方法可以采用報(bào)警點(diǎn)燈、 向規(guī)定地址發(fā)送電子郵件等各種方法�����。此外��,優(yōu)選的是��,對終端PC30繼續(xù)進(jìn)行Syslog管理�����, 直到與終端PC30之間的連接被切斷為止。此外��,上述Syslog管理(步驟S104)不過是由安全性管理部250進(jìn)行的安全性管理的一例��,也可以通過采用以下各種管理方法來取代Syslog管理���,或者在采用Syslog管理的同時(shí)還采用以下各種管理方法�。例如��,安全性管理部250也可以對來自連接到認(rèn)證種類為No Auth的端口的外部裝置的接收幀進(jìn)行病毒掃描�,以檢測是否含有計(jì)算機(jī)病毒。在從接收幀檢測出計(jì)算機(jī)病毒的情況下���,安全性管理部250可以不對該接收幀進(jìn)行中繼而將其毀掉����。此外�����,在毀掉接收幀時(shí)�,也可以通知交換機(jī)100的管理員檢測到計(jì)算機(jī)病毒�����。此外�,例如�����,也可以采用以下結(jié)構(gòu)�,即�,安全性管理部250將連接到認(rèn)證種類為No Auth的端口的外部裝置的MAC地址存儲在交換機(jī)100的RAM400或其它存儲媒體(例如,未圖示的快閃只讀存儲器��、硬盤等)中�,從而能夠在包括交換機(jī)100的網(wǎng)絡(luò)內(nèi)部發(fā)生問題等情況下參照該地址。此外���,例如����,在進(jìn)行No Auth簽名處理時(shí)����,安全性管理部250也可以通過電子郵件等來通知交換機(jī)100的管理員新追加到許可一覽表420中的外部裝置的信息(例如�����,終端PC30的MAC地址�����、用戶名及密碼等)���。在交換機(jī)100的內(nèi)部所存儲的許可一覽表420中,除了已連接到交換機(jī)100的兩臺終端(PC10及PC20)的MAC地址(MAC_PC10及MAC_PC20)之外����,通過上述No Auth簽名處理,還追加了新連接到交換機(jī)100的終端PC30的MAC地址(MAC_PC30)(圖6)���。用圖6對在進(jìn)行了 No Auth簽名處理之后��,從終端PC30向終端PC20發(fā)送了幀的情況進(jìn)行說明����。接收到來自終端PC30的幀的交換機(jī)100(步驟S10)判斷為接收幀不是EAP 幀(步驟S12為否)��。交換機(jī)100的EAP認(rèn)證部240參照認(rèn)證方法一覽表410���,獲取接收到幀的端口 P503的認(rèn)證種類字段的值“No Auth"以及MAC認(rèn)證字段的值“enable” (步驟 S18)�����。然后�,由于步驟S18中獲取的認(rèn)證種類字段的值為“No Auth”,作為發(fā)送源MAC地址的MAC_PC30與許可一覽表420中存儲的MAC地址相一致�,所以EAP認(rèn)證部240判斷為接收幀是來自連接到No Auth端口的終端的第2次以后的接收幀(步驟S30為否)。接著�����,由于步驟S18中獲取的MAC認(rèn)證字段的值為“enable”��,所以交換機(jī)100的 MAC地址認(rèn)證部230判斷為要進(jìn)行MAC地址認(rèn)證(步驟S20為是)��。由于檢索了許可一覽表 420后所得到的結(jié)果(步驟S22)是�����,作為發(fā)送源MAC地址的MAC_PC30與許可一覽表420中存儲的MAC地址相一致�����,所以MAC地址認(rèn)證部230判斷為可以對接收幀進(jìn)行中繼(步驟SM 為是)�����。交換機(jī)100的中繼處理部210按照該判斷來進(jìn)行幀中繼處理(步驟S28)�����。其結(jié)果�, 交換機(jī)100通過端口 P503所接收到的幀從交換機(jī)100的端口 P502被發(fā)送給終端PC20。此外���,例如����,在交換機(jī)100進(jìn)一步與其它交換機(jī)連接的情況下��,交換機(jī)100也可以將包含更新后的許可一覽表420中存儲的許可地址的幀進(jìn)一步發(fā)送給該其它交換機(jī)���。這樣��,若采用將更新后的許可地址傳送給與自己連接著的其它交換機(jī)的結(jié)構(gòu)��,則能夠在交換機(jī)之間交換MAC地址認(rèn)證中使用的許可一覽表的內(nèi)容(即��,幀的中繼被允許的外部裝置的MAC地址)����,從而能夠進(jìn)一步提高使用方便性。此外��,可以將許可地址的傳送范圍設(shè)定為由路由器區(qū)分的同一網(wǎng)段(segment)的范圍內(nèi)的交換機(jī)��。此外���,也可以向路由器本身傳送許可地址�����。這樣的話���,也能夠利用路由器來管理MAC地址。這樣����,在作為外部裝置的終端連接到認(rèn)證種類被設(shè)定為“No Auth”的端口的情況下�,交換機(jī)100省略對所連接的終端的認(rèn)證,并進(jìn)行用于允許來自該終端的幀的中繼的處理(即��,No Auth簽名處理)。因此���,對于終端而言���,不需要對認(rèn)證種類被設(shè)定為“No Auth” 的端口進(jìn)行特別處理(例如,用戶名���、密碼的輸入等)���,只要與端口連接就可進(jìn)行通信。因此��,例如���,交換機(jī)100的管理員只要將可能會有許多不確定的終端連接進(jìn)來的端口的認(rèn)證種類預(yù)先設(shè)定為“No Auth”����,就能夠提高交換機(jī)100的使用方便性���。并且��,安全性管理部250對認(rèn)證種類被設(shè)定為“No Auth”的端口進(jìn)行用圖7說明過的各種安全性管理��。這樣�,交換機(jī)100能夠如上所述那樣提高使用方便性的同時(shí),提高安全性����。1-2.認(rèn)證處理圖8是表示在新的外部裝置(終端PC40)連接到交換機(jī)100的情況下進(jìn)行認(rèn)證處理(圖5的步驟S16)時(shí)的情形的圖。交換機(jī)100的結(jié)構(gòu)如圖1所示��。在此用圖8�,對在圖 1的狀態(tài)下,終端PC40 (MAC地址MAC_PC40)連接到交換機(jī)100的�、認(rèn)證種類為EAP的端口 P504的情況進(jìn)行說明。在新連接的終端PC40向交換機(jī)100(或與交換機(jī)100連接的其它終端)發(fā)送了幀的情況下�,交換機(jī)100檢測到來自終端PC40的接收幀(步驟SlO為是)。由于來自終端PC40 的接收幀是用于請求開始認(rèn)證的EAPOL開始幀(步驟S12為是)�,所以EAP認(rèn)證部240參照認(rèn)證方法一覽表410,而判斷出認(rèn)證種類為EAP (步驟S14)�,并進(jìn)行規(guī)定的認(rèn)證處理(步驟 S16)。圖9是表示第一實(shí)施方式中的認(rèn)證處理(圖5的步驟S16)的流程的序列圖�����。首先�,作為請求者(Supplicant)的終端PC40向作為鑒定者(Authenticator)的交換機(jī)100發(fā)送用于請求開始認(rèn)證的EAPOL開始幀(ΕΑΡ over LAN-Mart)(步驟S200)���。接收到EAPOL 開始幀的交換機(jī)100的EAP認(rèn)證部240將請求請求者ID的EAP請求幀發(fā)送給終端PC40 (步驟S204)�����。接收到請求幀的終端PC40將包含請求者ID的EAP應(yīng)答幀發(fā)送給交換機(jī)100 (步驟S206)�。接著,交換機(jī)100的EAP認(rèn)證部240將用于通知認(rèn)證中使用的EAP的類型(本實(shí)施方式中為EAP-MM)的EAP請求幀發(fā)送給終端PC40(步驟S208)���。接收到請求幀的終端 PC40將包含認(rèn)證中使用的EAP類型的標(biāo)識符的EAP應(yīng)答幀發(fā)送給交換機(jī)100 (步驟S210)��。然后�����,在交換機(jī)100與終端PC40之間按照步驟S210中通知的認(rèn)證方法進(jìn)行認(rèn)證 (步驟S2U)���。在認(rèn)證成功的情況下,交換機(jī)100的EAP認(rèn)證部240將表示認(rèn)證成功的EAP 幀發(fā)送給終端PC40 (步驟S214)���。此外����,上述各幀的結(jié)構(gòu)是按照EAP規(guī)章中預(yù)先規(guī)定的格式的結(jié)構(gòu)�,ID���、類型等的值作為幀中的規(guī)定位置中存儲的數(shù)據(jù)被發(fā)送、接收���。在認(rèn)證成功之后���,交換機(jī)100的認(rèn)證信息管理部220通過將從終端PC40接收到的幀的幀頭中包含的發(fā)送源MAC地址追加到許可一覽表420中,來進(jìn)行更新(步驟S216)����。在通過上述認(rèn)證處理之后,外部裝置的認(rèn)證成功時(shí)���,交換機(jī)100的內(nèi)部所存儲的許可一覽表420中����,除了已經(jīng)連接到交換機(jī)100的兩臺終端(PC10及PC20)的MAC地址 (MAC_PC10及MAC_PC20)之外���,還存儲了新連接到交換機(jī)100的終端PC40的MAC地址(MAC_PC40)(圖8)��。因此����,與用圖6說明過的相同,在認(rèn)證處理之后��,在交換機(jī)100與終端PC40 之間發(fā)送接收的幀被中繼處理部210中繼����。也就是說�����,可以將認(rèn)證種類被設(shè)定為“ΕΑΡ”的端口作為認(rèn)證處理成功后可通信的端口�����。2.觀乍力細(xì)·-TO連接■嶋兄T (滅仿“二))該具體例(二 )中���,對其它交換機(jī)作為新的外部裝置而連接到交換機(jī)100的情況進(jìn)行說明����。2-1. No Auth 簽名處理圖10是表示在新的外部裝置(其它交換機(jī)100Χ)連接到交換機(jī)100的情況下進(jìn)行No Auth簽名處理(圖5的步驟S32)時(shí)的情形的圖�。除了認(rèn)證方法一覽表410中存儲的內(nèi)容是圖11所示的內(nèi)容之外,交換機(jī)100的結(jié)構(gòu)與圖1所示的交換機(jī)100相同�。圖11是例示了該具體例(二)中的交換機(jī)100所具有的認(rèn)證方法一覽表410的圖。與圖3所示的認(rèn)證方法一覽表410不同��,該圖11所示的認(rèn)證方法一覽表410中規(guī)定 在項(xiàng)目Ε05中,外部裝置連接到端口 Ρ505 (即�����,級聯(lián)連接(cascading connection)用端口 ) 時(shí)不進(jìn)行認(rèn)證(省略認(rèn)證)����;對在端口 P505接收到的幀進(jìn)行MAC地址認(rèn)證。此外��,除了端口 P501被設(shè)定為級聯(lián)連接用端口之外��,其它交換機(jī)100X的結(jié)構(gòu)與圖1所示的交換機(jī)100相同���。其它交換機(jī)100X中�,端口 P501通過線路與交換機(jī)100的端口 P505連接����,端口 P502通過線路與終端PC50連接,端口 P503通過線路與終端PC60連接����, 端口 P504通過線路與終端PC70連接。此外,終端PC50的MAC地址是MAC_PC50����,終端PC60 的MAC地址是MAC_PC60,終端PC70的MAC地址是MAC_PC70�����。在此���,省略關(guān)于該其它交換機(jī) 100X內(nèi)部所存儲的認(rèn)證方法一覽表410及許可一覽表420等的記載。下面用圖10��,對在圖1的狀態(tài)下����,其它交換機(jī)100X連接到交換機(jī)100的、認(rèn)證種類為No Auth的級聯(lián)連接用端口 P505����,并且終端PC50向終端PC20發(fā)送幀的情況進(jìn)行說明。 此外����,由于其它交換機(jī)100X中的幀中繼等的處理基本上與交換機(jī)100相同,因此省略其說明����。在終端PC50向終端PC20發(fā)送了幀的情況下��,交換機(jī)100檢測到終端PC50經(jīng)由其它交換機(jī)100X發(fā)送來的接收幀(步驟SlO為是)�。由于該檢測出的接收幀不是EAP幀(步驟S12為否)��,所以交換機(jī)100的EAP認(rèn)證部240從認(rèn)證方法一覽表410中獲取接收到幀的端口 P505的認(rèn)證種類字段的值“No Auth”及MAC認(rèn)證字段的值“enable” (步驟S18)���。由于認(rèn)證種類字段的值是“No Auth",并且發(fā)送源MAC地址的MAC_PC50未被存儲在許可一覽表420中�����,所以交換機(jī)100的EAP認(rèn)證部240判斷為該接收幀是來自與No Auth端口連接的外部裝置的最初的接收幀(步驟S30為是)���。因此,交換機(jī)100的EAP認(rèn)證部240進(jìn)行 No Auth簽名處理(步驟S32)�。No Auth簽名處理如圖7所示。在交換機(jī)100的內(nèi)部所存儲的許可一覽表420中��,除了已直接連接到交換機(jī)100 的兩臺終端(PC10及PC20)的MAC地址(MAC_PC10及MAC_PC20)之外���,通過上述No Auth簽名處理��,還追加了經(jīng)由其它交換機(jī)100X新連接到交換機(jī)100的終端PC50的MAC地址(MAC_ PC50)(圖10)�����。這樣�,與用圖6說明過的情況相同,許可一覽表420中追加了終端PC50的 MAC地址之后的交換機(jī)100不毀掉與新連接的終端PC50之間發(fā)送接收的幀而對其進(jìn)行中繼�����。此外����,對于其它交換機(jī)100X的終端PC60及PC70��,所進(jìn)行的處理也與用圖10說明過的對于終端PC50所進(jìn)行處理相同�����。也就是說�,在第一次接收到來自各終端的幀時(shí),交換機(jī)100通過進(jìn)行No Auth簽名處理����,來允許對與各終端之間發(fā)送接收的幀進(jìn)行中繼。此外,與用圖6說明過的情況相同�,例如,在交換機(jī)100上還連接著其它交換機(jī)的情況下�����,交換機(jī)100也可以將含有更新后的許可一覽表420中存儲的許可地址的幀進(jìn)一步發(fā)送給該其它交換機(jī)����。這樣,只要使級聯(lián)連接用端口(端口 P505)的認(rèn)證種類為“No Auth”�����,便能在其它交換機(jī)作為外部裝置連接進(jìn)來時(shí)�,也進(jìn)行與終端作為外部裝置連接進(jìn)來時(shí)所進(jìn)行的處理相同的處理,并獲得相同的效果����。也就是說,交換機(jī)100對于來自經(jīng)由級聯(lián)連接用端口而連接進(jìn)來的其它交換機(jī)及與其它交換機(jī)連接著的外部裝置的訪問�����,也能夠進(jìn)行用圖7說明過的各種安全性管理�。2-2.認(rèn)證處理即使在作為外部裝置的其它交換機(jī)連接到認(rèn)證種類被設(shè)定為“ΕΑΡ”的端口時(shí)���,也能夠進(jìn)行與作為外部裝置的終端連接進(jìn)來時(shí)相同的處理(具體而言,是用圖8及圖9說明過的處理)���,并獲得相同的效果���。在此省略其詳細(xì)說明。此外����,在其它交換機(jī)100Χ連接到交換機(jī)100時(shí),進(jìn)行認(rèn)證處理的情況下��,交換機(jī) 100發(fā)揮基于IEEE 802. IX的認(rèn)證服務(wù)器(鑒定者)的作用�,但是交換機(jī)100也可以發(fā)揮基于IEEE 802. IX的認(rèn)證客戶(請求者)的作用。例如��,交換機(jī)100也可以采用在檢測到連接 (步驟S100)之后一定時(shí)間內(nèi)未從連接對象裝置接收到EAPOL開始幀的情況下�����,向連接對象裝置發(fā)送EAPOL開始幀的結(jié)構(gòu)�。在此情況下�����,交換機(jī)100發(fā)揮認(rèn)證客戶的作用,而連接對象裝置發(fā)揮認(rèn)證服務(wù)器的作用�。這樣,EAP認(rèn)證部240也可以構(gòu)成為����,具有基于ΙΕΕΕ802. IX 的認(rèn)證客戶和基于ΙΕΕΕ802. IX的認(rèn)證服務(wù)器這兩方面的功能。這樣�����,相對于其它交換機(jī) 100Χ�����,交換機(jī)100能作為認(rèn)證客戶動(dòng)作又能作為認(rèn)證服務(wù)器進(jìn)行動(dòng)作����,從而能夠?qū)崿F(xiàn)靈活性較好的認(rèn)證。如上所述����,根據(jù)本發(fā)明的第一實(shí)施方式所涉及的交換機(jī)100,在對接收到幀的端口設(shè)定了的認(rèn)證種類是第一認(rèn)證種類(No Auth)的情況下�����,對來自所連接的外部裝置(例如, 終端��、其它交換機(jī))的接收幀進(jìn)行中繼�,而在對接收到幀的端口設(shè)定了的認(rèn)證種類是第二認(rèn)證種類(EAP)的情況下,只是在所連接的外部裝置的認(rèn)證成功時(shí)���,才對來自外部裝置的接收幀進(jìn)行中繼��。因此�,本第一實(shí)施方式所涉及的交換機(jī)100既能提高安全性又能提高使用方便性�����。此外����,也可以是,本第一實(shí)施方式所涉及的交換機(jī)100具備安全性管理部250����,該安全性管理部250監(jiān)視來自與認(rèn)證種類被設(shè)定為第一認(rèn)證種類(No Auth)的端口連接的外部裝置的接收幀��,并檢測該被監(jiān)視的接收幀是否包含計(jì)算機(jī)病毒。因此�����,本第一實(shí)施方式所涉及的交換機(jī)100能夠進(jìn)一步提高安全性���。并且�����,本第一實(shí)施方式所涉及的交換機(jī)100改變許可一覽表420中規(guī)定的內(nèi)容����,以允許對來自與認(rèn)證種類被設(shè)定為第一認(rèn)證種類(No Auth)的端口連接的外部裝置的接收幀進(jìn)行中繼��,或允許對來自與認(rèn)證種類被設(shè)定為第二認(rèn)證種類(EAP)的端口連接且認(rèn)證成功的外部裝置的接收幀進(jìn)行中繼��。因此����,本第一實(shí)施方式所涉及的交換機(jī)100既能提高安全性又能提高使用方便性。此外�����,本第一實(shí)施方式所涉及的交換機(jī)100由于將更新后的許可一覽表420的內(nèi)容發(fā)送給連接著的其它交換機(jī),所以能夠進(jìn)一步提高使用方便性����。<第二實(shí)施方式>
在本發(fā)明的第二實(shí)施方式中,對第一實(shí)施方式中說明過的網(wǎng)絡(luò)中繼裝置(交換機(jī))100中能進(jìn)一步使用虛擬網(wǎng)絡(luò)��、即VLAN(Virtual LAN����,虛擬局域網(wǎng))來進(jìn)行安全性管理的結(jié)構(gòu)進(jìn)行說明。以下�,僅對第二實(shí)施方式中與第一實(shí)施方式具有不相同的結(jié)構(gòu)及動(dòng)作的部分進(jìn)行說明。此外���,對第二實(shí)施方式中使用的附圖中與第一實(shí)施方式相同的構(gòu)成部分標(biāo)注了與上述第一實(shí)施方式相同的附圖標(biāo)記并省略其詳細(xì)說明�����。圖12是表示本發(fā)明的第二實(shí)施方式所涉及的網(wǎng)絡(luò)中繼裝置(交換機(jī))IOOa的結(jié)構(gòu)的概要圖���。本第二實(shí)施方式所涉及的交換機(jī)IOOa與圖2所示的第一實(shí)施方式所涉及的交換機(jī)100的不同之處在于中繼處理部210a、認(rèn)證信息管理部220a�����、安全性管理部250a 以及RAM400a的結(jié)構(gòu)���。RAM400a中��,除了存儲有在第一實(shí)施方式中說明過的認(rèn)證方法一覽表410及許可一覽表420之外�����,還存儲有VLAN定義信息430及缺省值VLAN信息440�。圖13是表示VLAN 定義信息430的一例的圖����。該VLAN定義信息430是定義了與物理連接方式不相同的、虛擬構(gòu)筑的子網(wǎng)(以下���,記為虛擬網(wǎng)絡(luò))的信息�����,并包含端口號字段和VLAN ID字段�。端口號字段的各項(xiàng)目中存儲有與交換機(jī)IOOa所具備的所有端口對應(yīng)的標(biāo)識符�����。本實(shí)施方式中,端口標(biāo)識符是“P501” “P505”�����。VLAN ID字段中存儲有���,對存儲在端口號字段中的各端口預(yù)先分配的虛擬網(wǎng)絡(luò)的標(biāo)識符(VLAN ID)的標(biāo)識符�。本實(shí)施方式中的VLAN標(biāo)識符是“1”��。例如��,圖13的例子中規(guī)定��,與用端口標(biāo)識符P501識別的端口 P501連接的外部裝置(即����,圖1所示的終端PCio)屬于用VLAN標(biāo)識符“1”識別的虛擬網(wǎng)絡(luò)。也同樣地規(guī)定�����, 與用端口標(biāo)識符P502識別的端口 P502連接的外部裝置(即�����,圖1所示的終端PC20)屬于用VLAN標(biāo)識符“1”識別的虛擬網(wǎng)絡(luò)。圖14是表示缺省值(default) VLAN信息440的一例的圖�。該缺省值VLAN信息 440含有認(rèn)證種類字段和VLAN ID字段。認(rèn)證種類字段中存儲有在認(rèn)證方法一覽表410 中分配給各端口的認(rèn)證種類(EAP���、No Auth及Open)。此外��,存儲在認(rèn)證種類字段中的認(rèn)證種類既可以是認(rèn)證方法一覽表410中分配給各端口的所有認(rèn)證種類�,也可以是其中的一部分。圖14的例子中省略了認(rèn)證種類“Open”�����。VLAN ID字段中存儲有針對認(rèn)證種類字段中存儲的各認(rèn)證種類而預(yù)先規(guī)定的VLAN標(biāo)識符���。也就是說���,缺省值VLAN信息440是用于將認(rèn)證種類與應(yīng)分配給與使用了該認(rèn)證種類的端口連接的外部裝置的VLAN標(biāo)識符對應(yīng)起來存儲的表。例如���,圖14的例子中規(guī)定���,將“1”作為VLAN標(biāo)識符分配給連接到認(rèn)證種類為EAP 的端口的外部裝置����。此外�,還規(guī)定,將“2”作為VLAN標(biāo)識符分配給連接到認(rèn)證種類為No Auth的端口的外部裝置����。這樣,在本實(shí)施方式中規(guī)定���,將互不相同的VLAN標(biāo)識符分配給連接到認(rèn)證種類為EAP的端口的外部裝置�����、和連接到認(rèn)證種類為No Auth的端口的外部裝置���。如上所述那樣構(gòu)成的交換機(jī)IOOa在接收幀時(shí)所進(jìn)行的處理與用圖5說明過的處理相同。但是��,中繼處理部210a按照VLAN定義信息430����,能夠構(gòu)筑直接與交換機(jī)IOOa 連接的���、或經(jīng)由其它交換機(jī)100 等而間接與交換機(jī)IOOa連接的外部裝置中的虛擬網(wǎng)絡(luò) (VLAN)。具體而言��,中繼處理部210a在幀中繼處理(圖5的步驟S28)中�����,通過參照VLAN 定義信息430���,將被分配了不同虛擬網(wǎng)絡(luò)的VLAN標(biāo)識符的端口作為屬于不同虛擬網(wǎng)絡(luò)的端口,來進(jìn)行幀的中繼處理����。也就是說,根據(jù)圖13所示的VLAN定義信息430����,由于圖1中的終端PClO及終端PC20被分別分配了相同的VLAN標(biāo)識符,所以中繼處理部210a將它們視為屬于相同的虛擬網(wǎng)絡(luò)而進(jìn)行處理�����。其結(jié)果��,交換機(jī)IOOa進(jìn)行終端PClO與終端PC20之間的幀的中繼。接著�,參照圖15及圖16,來說明該交換機(jī)IOOa所進(jìn)行的接收幀時(shí)的處理的具體例��。1. &謹(jǐn)乍連接■嶋兄T (滅仿“一))用該具體例(一)���,對終端作為新的外部裝置連接到交換機(jī)IOOa的情況進(jìn)行說明����。1-1. No Auth 簽名處理圖15是表示在新外部裝置(終端PC30)連接到交換機(jī)IOOa的情況下���,進(jìn)行No Auth簽名處理(圖5的步驟S32)時(shí)的情形的圖��。交換機(jī)IOOa的結(jié)構(gòu)如圖1及圖12所示���。 用該圖15,對在圖1及圖12的狀態(tài)下��,終端PC30 (MAC地址MAC_PC30)連接到交換機(jī)IOOa 的���、認(rèn)證種類為NoAuth的端口 P503的情況進(jìn)行說明��。在新連接的終端PC30向交換機(jī)IOOa (或連接到交換機(jī)IOOa的其它終端)發(fā)送了幀時(shí)�����,交換機(jī)IOOa的EAP認(rèn)證部240經(jīng)過與用圖6說明過的處理相同的處理�,進(jìn)行No Auth 簽名處理。圖16是表示第二實(shí)施方式中的No Auth簽名處理(圖5的步驟S32)的流程的序列圖���。首先����,交換機(jī)IOOa接收從終端PC30發(fā)送來的幀(步驟S100)�。在接收到來自終端PC30的幀之后,交換機(jī)IOOa的安全性管理部250a向終端PC30發(fā)送終端PC30應(yīng)所屬的 VLAN標(biāo)識符(步驟S200)���。具體而言,安全性管理部250a參照缺省值VLAN信息440���,獲取認(rèn)證種類字段的值為“No Auth”的項(xiàng)目的VLAN ID字段中的值“2”�����。安全性管理部250a將所獲取的VLAN ID字段的值“2”發(fā)送給終端PC30���。此后��,交換機(jī)IOOa的認(rèn)證信息管理部220a更新許可地址和VLAN定義信息(步驟 S202)��。具體而言���,認(rèn)證信息管理部220a通過將從終端PC30接收到的幀的幀頭中包含的發(fā)送源MAC地址追加到許可一覽表420中,來進(jìn)行更新�。并且,認(rèn)證信息管理部220a對VLAN 定義信息430進(jìn)行如下更新即����,將在端口號字段中具有在步驟S200中被發(fā)送了 VLAN標(biāo)識符的外部裝置所連接的端口(即,接收到了幀的端口)的項(xiàng)目的VLAN ID字段的值更新為在步驟S200中被發(fā)送給終端PC30的VLAN標(biāo)識符����。在交換機(jī)IOOa的內(nèi)部所存儲的許可一覽表420中,除了已連接到交換機(jī)IOOa的兩臺終端(PCio及PC20)的MAC地址(MAC_PC10及MAC_PC20)之外��,通過上述No Auth簽名處理����,還追加了新連接到交換機(jī)IOOa的終端PC30的MAC地址(MAC_PC30)(圖15)。并且���,在交換機(jī)IOOa中存儲的VLAN定義信息430中�,還追加了新連接到交換機(jī)IOOa的終端 PC30所連接的端口 P503的VLAN標(biāo)識符“2”。此外���,與用圖6說明過的情況相同��,例如���,在交換機(jī)IOOa進(jìn)一步與其它交換機(jī)連接的情況下,交換機(jī)IOOa也可以將包含更新后的許可一覽表420及VLAN定義信息430中存儲的信息的幀進(jìn)一步發(fā)送給該其它交換機(jī)����。1-2.認(rèn)證處理第二實(shí)施方式的認(rèn)證處理中,只要進(jìn)行與用圖16說明過的步驟S200及S202相同的處理��,來取代用圖9說明過的第一實(shí)施方式中的認(rèn)證處理的步驟S216即可�����。此外���,在進(jìn)行認(rèn)證處理的情況下,所對應(yīng)的認(rèn)證種類是“ΕΑΡ”�。因此,根據(jù)用圖14說明過的缺省值VLAN 信息440����,在與圖16的步驟S200相同的處理中�����,安全性管理部250a所發(fā)送的VLAN標(biāo)識符成為“1”��。通過上述處理�����,能夠進(jìn)行以下運(yùn)行����,例如�,通過將用VLAN標(biāo)識符“ 1 ”識別的虛擬網(wǎng)絡(luò)用作通常業(yè)務(wù)用的網(wǎng)絡(luò),并將用VLAN標(biāo)識符“2”識別的虛擬網(wǎng)絡(luò)用作互連網(wǎng)接入專用網(wǎng)絡(luò)�,能夠允許認(rèn)證成功的外部裝置訪問通常業(yè)務(wù)用的網(wǎng)絡(luò)、即機(jī)密信息多的網(wǎng)絡(luò)���,而不允許省略了認(rèn)證的外部裝置訪問機(jī)密信息多的網(wǎng)絡(luò)�。換言之�����,可以將虛擬網(wǎng)絡(luò)用作確保安全性的手段。2.觀乍夕卜■連接■嶋兄T (滅仿“二))在其它交換機(jī)作為新的外部裝置連接到該交換機(jī)IOOa時(shí)��,通過進(jìn)行與終端作為外部裝置連接進(jìn)來的上述具體例(一)相同的處理����,也能夠獲得相同的效果。此外�,在此省略其詳細(xì)說明。如上所述�����,在外部裝置(例如����,終端、其它交換機(jī))連接進(jìn)來時(shí)����,本發(fā)明的第二實(shí)施方式所涉及的交換機(jī)IOOa向連接到認(rèn)證種類被設(shè)定為第一認(rèn)證種類(No Auth)的端口的外部裝置、和連接到認(rèn)證種類被設(shè)定為第二認(rèn)證種類(EAP)的端口的外部裝置�����,發(fā)送互不相同的虛擬網(wǎng)絡(luò)的標(biāo)識符(VLANID)�。因此,本第二實(shí)施方式所涉及的交換機(jī)IOOa能夠進(jìn)一步提高安全性���?��!醋冃卫?>上述各實(shí)施方式所示的交換機(jī)的結(jié)構(gòu)只不過是一例,可以采用任何結(jié)構(gòu)�����。例如�,能夠進(jìn)行以下變形,即���,省略其構(gòu)成要素的一部分�����,或附加別的構(gòu)成要素�����。各實(shí)施方式的交換機(jī)也可以不是基于MAC地址進(jìn)行幀的中繼的第二層交換機(jī)�, 而是還能夠進(jìn)一步用IP地址來進(jìn)行包的中繼的、所謂第三層交換機(jī)��。此外���,各實(shí)施方式的交換機(jī)也可以是能夠通過無線通信經(jīng)由無線通信接口而進(jìn)行包的中繼的�����、所謂接入點(diǎn) (access point)0此外��,上述各實(shí)施方式的交換機(jī)中�,將認(rèn)證方法一覽表�、許可一覽表及VLAN定義信息及缺省值VLAN信息存儲在RAM中,但也可以存儲在其它存儲介質(zhì)(例如����,快閃只讀存儲器(flash ROM))中。此外���,上述各實(shí)施方式的交換機(jī)中��,CPU具備中繼處理部�、EAP認(rèn)證部及安全性管理部�����,中繼處理部進(jìn)一步包括認(rèn)證信息管理部及MAC地址認(rèn)證部��。此外���,對各處理部中執(zhí)行的功能進(jìn)行了說明��。然而�,這些處理部的配置及各處理部所發(fā)揮的功能的內(nèi)容只不過是一例����,也可以根據(jù)交換機(jī)的結(jié)構(gòu)而進(jìn)行任意的變更。此外���,也可以是��,上述各實(shí)施方式中記載的���、中繼處理部的功能中的幀中繼功能為由構(gòu)成有線通信接口的物理芯片來實(shí)現(xiàn)的功能,中繼處理部的其它功能(確定可否對接收幀進(jìn)行中繼的功能���、認(rèn)證信息管理部的功能����、MAC地址認(rèn)證部的功能)為由CPU來實(shí)現(xiàn)的功能。在此情況下����,通過使構(gòu)成有線通信接口的物理芯片與CPU相配合,來實(shí)現(xiàn)中繼處理部的所有功能���。例如����,也可以使構(gòu)成有線通信接口的物理芯片的內(nèi)部具備中繼處理部�、EAP認(rèn)證部、安全性管理部�、認(rèn)證信息管理部及MAC地址認(rèn)證部的所有功能?���!醋冃卫?>上述各實(shí)施方式的交換機(jī)的結(jié)構(gòu)具備用于進(jìn)行接收到的幀的MAC地址認(rèn)證的 MAC地址認(rèn)證部;以及在外部裝置連接進(jìn)來時(shí)�,用于與所連接的外部裝置之間進(jìn)行認(rèn)證的 EAP 認(rèn)證部(即,內(nèi)置了 RADIUS (Remote Authentication Dial-In User Service����,遠(yuǎn)程用戶撥入認(rèn)證服務(wù))功能)���。然而,也可以采用如下結(jié)構(gòu)��,即�����,在交換機(jī)之外���,另外設(shè)置專用的 RADIUS服務(wù)器,在外部的RADIUS服務(wù)器中進(jìn)行實(shí)際的MAC地址認(rèn)證和/或與連接的外部裝置之間的認(rèn)證����。在交換機(jī)之外,另外設(shè)置專用的RADIUS服務(wù)器的情況下�����,MAC地址認(rèn)證部及EAP認(rèn)證部通過向RADIUS服務(wù)器發(fā)送認(rèn)證請求��,并獲得作為其應(yīng)答的認(rèn)證結(jié)果�����,來發(fā)揮 MAC地址認(rèn)證部及EAP認(rèn)證部的作用。此外�����,上述各實(shí)施方式中����,在認(rèn)證種類為EAP的情況下使用IEEE802. IX的EAP-MD5 作為預(yù)先規(guī)定的認(rèn)證方法。然而�����,也可以用上述例子以外的任何方法作為認(rèn)證方法�。例如,除了可以采用 EAP-TLS (extensible authentication protocol-transport layer security,擴(kuò)展認(rèn)iiEtt(��、議-1 專輸層安全)���、EAP-TTLS (extensible authentication protocol-tunneled transport layer security,擴(kuò)展認(rèn)iiEtt(���、議 _ 隨道傳輸層安全)、 PEAP (Protected Extensible Authentication Protocol��,才戶白勺胃才/"皿胃 IIiiH十辦 iX) >LEAP (Lightweight Extensible Authentication Protocol, gfi^Jf ) ^ .) ^ 外�����,也可以采用利用了 EAP協(xié)議的獨(dú)自的方法等來作為認(rèn)證方法。也可以通過采用以下認(rèn)證方法����,來取代依照ΙΕΕΕ802. IX的EAP協(xié)議的認(rèn)證方法。 具體而言��,交換機(jī)內(nèi)部預(yù)先存儲連接被允許的外部裝置(其它交換機(jī)��、終端等)的MAC地址����。然后�����,在外部裝置連接進(jìn)來時(shí)�����,該外部裝置的MAC地址被預(yù)先登記為連接被允許的MAC 地址的情況下�,EAP認(rèn)證部當(dāng)作認(rèn)證成功而進(jìn)行處理。這樣����,連接被允許的外部裝置可以由交換機(jī)的管理員等預(yù)先指定�?!醋冃卫?>上述各實(shí)施方式中,用表的形式表示認(rèn)證方法一覽表���、許可一覽表���、VLAN定義信息及缺省值VLAN信息的一例。然而��,這些表僅僅是一例而已���,只要不脫離本發(fā)明的宗旨�����,能夠采用任何形式�。例如��,也可以具備上述字段以外的字段�����。此外,也可以對各個(gè)表采用直接映射(direct-mapped)方式���。另外�,優(yōu)選采用用戶可以設(shè)定各個(gè)表的結(jié)構(gòu)���。具體而言����,許可一覽表的結(jié)構(gòu)是不區(qū)分接收到幀的端口,僅存儲可中繼的發(fā)送源 MAC地址的結(jié)構(gòu),但也可以進(jìn)行以下變形。例如,也可以是如下結(jié)構(gòu)�,即���,在許可一覽表中追加端口號字段���,按端口來管理中繼被允許的接收幀的發(fā)送源MAC地址。此外��,例如��,也可以是如下結(jié)構(gòu),即�����,通過設(shè)置發(fā)送源MAC地址字段和可否中繼字段來取代許可地址字段�����,并對每個(gè)發(fā)送源MAC地址設(shè)定可否進(jìn)行幀的中繼�。此外,上述各實(shí)施方式中����,CPU通過執(zhí)行存儲器中存儲的固件和/或計(jì)算機(jī)程序, 來實(shí)現(xiàn)交換機(jī)的各個(gè)結(jié)構(gòu)�����,但根據(jù)具體情況�����,本發(fā)明的各個(gè)結(jié)構(gòu)可以通過硬件來實(shí)現(xiàn)���,也可以通過軟件來實(shí)現(xiàn)����。此外,在本發(fā)明的功能的一部分或全部通過軟件來實(shí)現(xiàn)的情況下�����,可以將該軟件 (計(jì)算機(jī)程序)以存儲在計(jì)算機(jī)可讀取的記錄媒體中的形式來提供�。本發(fā)明中,“計(jì)算機(jī)可讀取的記錄媒體”并不局限于軟盤(flexible disk)和CD-ROM等便攜式的記錄媒體�����,還包括 各種RAM和ROM等計(jì)算機(jī)的內(nèi)部存儲裝置���、以及硬盤等固定在計(jì)算機(jī)上的外部存儲裝置�。以上���,雖然對本發(fā)明進(jìn)行了詳細(xì)的說明��,但是上述說明中的所有方面不過是對本發(fā)明的示例,而非用來限定本發(fā)明的范圍���。例如�����,可以基于本發(fā)明的構(gòu)思���,適當(dāng)?shù)厥÷愿郊右?��。此外,除了上述變形例以外��,在不脫離本發(fā)明的范圍內(nèi)�,毫無疑問可以進(jìn)行各種改進(jìn)和變形。
權(quán)利要求
1.一種網(wǎng)絡(luò)中繼裝置���,對從外部裝置接收到的幀進(jìn)行中繼����,其特征在于該網(wǎng)絡(luò)中繼裝置具備多個(gè)端口�,用于與上述外部裝置連接,并且�,該多個(gè)端口分別被設(shè)定了對應(yīng)的認(rèn)證種類,該認(rèn)證種類是指在上述外部裝置連接到該端口時(shí)應(yīng)對該外部裝置進(jìn)行的認(rèn)證的種類����;認(rèn)證處理部�,在上述外部裝置連接到上述網(wǎng)絡(luò)中繼裝置時(shí)��,該認(rèn)證處理部按照對與該外部裝置連接的端口設(shè)定了的上述認(rèn)證種類�,來與上述外部裝置之間進(jìn)行認(rèn)證;以及中繼處理部�,對于在認(rèn)證種類被設(shè)定為第一認(rèn)證種類的端口接收到的幀,不需要上述認(rèn)證處理部進(jìn)行認(rèn)證��,該中繼處理部便對該幀進(jìn)行中繼��;對于在認(rèn)證種類被設(shè)定為第二認(rèn)證種類的端口接收到的幀�����,在上述認(rèn)證處理部所進(jìn)行的認(rèn)證成功時(shí)����,該中繼處理部才對該幀進(jìn)行中繼。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中繼裝置���,其特征在于該網(wǎng)絡(luò)中繼裝置還具備安全性管理部��,該安全性管理部監(jiān)視從與認(rèn)證種類被設(shè)定為上述第一認(rèn)證種類的端口連接的上述外部裝置接收到的幀�����。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)中繼裝置����,其特征在于上述安全性管理部檢測從與認(rèn)證種類被設(shè)定為上述第一認(rèn)證種類的端口連接的上述外部裝置接收到的幀是否包含計(jì)算機(jī)病毒�。
4.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)中繼裝置,其特征在于該網(wǎng)絡(luò)中繼裝置存儲有虛擬網(wǎng)絡(luò)的標(biāo)識符�����,該虛擬網(wǎng)絡(luò)的標(biāo)識符用于定義與上述網(wǎng)絡(luò)中繼裝置連接的上述外部裝置所構(gòu)筑的虛擬的子網(wǎng)�,在上述外部裝置連接進(jìn)來時(shí),上述安全性管理部向與認(rèn)證種類被設(shè)定為上述第一認(rèn)證種類的端口連接的上述外部裝置�����、和與認(rèn)證種類被設(shè)定為上述第二認(rèn)證種類的端口連接的上述外部裝置���,發(fā)送不相同的上述虛擬網(wǎng)絡(luò)的標(biāo)識符���。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中繼裝置,其特征在于該網(wǎng)絡(luò)中繼裝置存儲有用于使用從上述外部裝置接收到的幀中包含的信息來確定可中繼的幀的許可一覽表���,上述中繼處理部具備根據(jù)上述外部裝置的連接狀態(tài)�,來改變上述許可一覽表中規(guī)定的內(nèi)容的認(rèn)證信息管理部。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)中繼裝置�,其特征在于在上述外部裝置連接到認(rèn)證種類被設(shè)定為上述第一認(rèn)證種類的端口的情況下,上述認(rèn)證信息管理部改變上述許可一覽表中規(guī)定的內(nèi)容���,以允許對從所連接的該外部裝置接收到的幀進(jìn)行中繼����,在上述外部裝置連接到認(rèn)證種類被設(shè)定為上述第二認(rèn)證種類的端口����,并且上述認(rèn)證處理部所進(jìn)行的認(rèn)證成功的情況下,上述認(rèn)證信息管理部改變上述許可一覽表中規(guī)定的內(nèi)容���,以允許對從所連接的該外部裝置接收到的幀進(jìn)行中繼����。
7.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)中繼裝置���,其特征在于上述認(rèn)證信息管理部在改變了上述許可一覽表的情況下����,將該被改變后的許可一覽表的內(nèi)容進(jìn)一步發(fā)送給與上述網(wǎng)絡(luò)中繼裝置連接著的其它網(wǎng)絡(luò)中繼裝置。
8.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中繼裝置�����,其特征在于上述認(rèn)證處理部具有基于IEEE802. IX的認(rèn)證客戶以及基于IEEE802. IX的認(rèn)證服務(wù)器這兩方面的功能�����。
9.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中繼裝置�����,其特征在于當(dāng)其它網(wǎng)絡(luò)中繼裝置連接到上述網(wǎng)絡(luò)中繼裝置時(shí)����,若該其它網(wǎng)絡(luò)中繼裝置的MAC地址在上述網(wǎng)絡(luò)中繼裝置內(nèi)被預(yù)先登記為應(yīng)允許連接的MAC地址����,則上述認(rèn)證處理部當(dāng)作與該其它網(wǎng)絡(luò)中繼裝置之間的上述認(rèn)證成功來進(jìn)行處理。
10.一種幀的中繼的控制方法���,是網(wǎng)絡(luò)中繼裝置中使用的�、對從外部裝置接收到的幀的中繼進(jìn)行控制的方法�����,其特征在于該幀的中繼的控制方法包括判斷對與上述外部裝置連接的上述網(wǎng)絡(luò)中繼裝置的端口設(shè)定了的認(rèn)證種類的步驟;若對上述外部裝置所連接的端口設(shè)定了的認(rèn)證種類是第一認(rèn)證種類��,則不進(jìn)行與上述外部裝置之間的認(rèn)證�,而對經(jīng)由上述外部裝置所連接的端口而接收到的幀進(jìn)行中繼的步驟,若對上述外部裝置所連接的端口設(shè)定了的認(rèn)證種類是第二認(rèn)證種類���,則在按照預(yù)先規(guī)定的認(rèn)證方法來進(jìn)行的�、與上述外部裝置之間的認(rèn)證成功的情況下����,對經(jīng)由上述外部裝置所連接的端口而接收到的幀進(jìn)行中繼的步驟;以及監(jiān)視從與認(rèn)證種類被設(shè)定為上述第一認(rèn)證種類的端口連接的上述外部裝置接收到的幀����,并判斷可否進(jìn)行中繼的步驟。
全文摘要
本發(fā)明提供一種網(wǎng)絡(luò)中繼裝置以及幀的中繼的控制方法����。該網(wǎng)絡(luò)中繼裝置具備多個(gè)端口、認(rèn)證處理部以及中繼處理部�,多個(gè)端口用于與外部裝置連接,并且�,該多個(gè)端口分別被設(shè)定了對應(yīng)的認(rèn)證種類,該認(rèn)證種類是指在外部裝置連接到端口時(shí)應(yīng)對該外部裝置進(jìn)行的認(rèn)證的種類;在外部裝置連接到網(wǎng)絡(luò)中繼裝置時(shí)���,認(rèn)證處理部按照對與該外部裝置連接的端口設(shè)定了的認(rèn)證種類�,來與該外部裝置之間進(jìn)行認(rèn)證����;對于在認(rèn)證種類被設(shè)定為第一認(rèn)證種類的端口接收到的幀���,不需要認(rèn)證處理部進(jìn)行認(rèn)證����,中繼處理部便對該幀進(jìn)行中繼����,對于在認(rèn)證種類被設(shè)定為第二認(rèn)證種類的端口接收到的幀,在認(rèn)證處理部所進(jìn)行的認(rèn)證成功時(shí)����,中繼處理部才對該幀進(jìn)行中繼。
文檔編號H04L9/32GK102377568SQ20111024354
公開日2012年3月14日 申請日期2011年8月22日 優(yōu)先權(quán)日2010年8月24日
發(fā)明者山田大輔 申請人:巴比祿股份有限公司