国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      網(wǎng)絡(luò)中繼裝置及接收幀的中繼控制方法

      文檔序號:7760261閱讀:230來源:國知局
      專利名稱:網(wǎng)絡(luò)中繼裝置及接收幀的中繼控制方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種網(wǎng)絡(luò)中繼裝置以及該網(wǎng)絡(luò)中繼裝置中使用的接收幀的中繼控制方法。
      背景技術(shù)
      隨著 ICT(Information and Communication Technology,信息與通訊技術(shù))的發(fā)展,出現(xiàn)了被稱為智能交換機(jī)的交換機(jī)產(chǎn)品。與普通交換機(jī)相比,這樣的智能交換機(jī)是具有高功能的交換機(jī)。智能交換機(jī)例如具有VLAN(Virtual Local Area Network,虛擬局域網(wǎng)) 功能、安全性功能、QoS服務(wù)質(zhì)量等各種各樣的功能(例如,參照專利文獻(xiàn)1)。在這樣的功能中,近年來,尤其要求強(qiáng)化重視了網(wǎng)絡(luò)的內(nèi)部威脅的安全性功能。一般來說,作為重視了該網(wǎng)絡(luò)內(nèi)部的威脅的安全性功能,廣泛使用被稱為“基于每個端口的安全性”的功能,該功能是指基于與智能交換機(jī)的端口連接的外部裝置的MAC地址來限制通信內(nèi)容(traffic)的輸入。然而,現(xiàn)有技術(shù)中,即使在智能交換機(jī)中采用了基于每個端口的安全性功能的情況下,用于使智能交換機(jī)相互之間進(jìn)行級聯(lián)連接(cascading connection)的級聯(lián)連接用端口也被設(shè)定為開放狀態(tài)、即在安全性方面不對通信內(nèi)容的輸入加以限制的狀態(tài)。因此,存在級聯(lián)連接用端口成為安全漏洞的問題。此外,上述技術(shù)問題不僅僅是智能交換機(jī)中存在的問題,也是具有安全性功能的所有中繼裝置中普遍存在的問題。專利文獻(xiàn)1日本特開2008-48252號公報

      發(fā)明內(nèi)容
      故而,本發(fā)明的目的是,提供一種提高了安全性的網(wǎng)絡(luò)中繼裝置及該網(wǎng)絡(luò)中繼裝置中使用的接收幀的中繼控制方法。本發(fā)明涉及對從外部裝置接收到的幀進(jìn)行中繼的網(wǎng)絡(luò)中繼裝置。為了達(dá)到上述目的,本發(fā)明的網(wǎng)絡(luò)中繼裝置具備認(rèn)證處理部和中繼處理部,在作為外部裝置的其它網(wǎng)絡(luò)中繼裝置連接到網(wǎng)絡(luò)中繼裝置時,該認(rèn)證處理部按照預(yù)先規(guī)定的認(rèn)證方法,來與該其它網(wǎng)絡(luò)中繼裝置之間進(jìn)行認(rèn)證,該中繼處理部確定可否對網(wǎng)絡(luò)中繼裝置從外部裝置接收到的幀進(jìn)行中繼,并對確定為可中繼的幀進(jìn)行中繼,并且,中繼處理部以認(rèn)證成功為條件,在網(wǎng)絡(luò)中繼裝置中,對從其它網(wǎng)絡(luò)中繼裝置接收到的幀也進(jìn)行中繼。根據(jù)上述結(jié)構(gòu),能夠提高網(wǎng)絡(luò)中繼裝置的安全性。有代表性的是,該網(wǎng)絡(luò)中繼裝置還具備存儲部,該存儲部存儲第一許可一覽表,該第一許可一覽表用于用接收到的幀中包含的信息來確定網(wǎng)絡(luò)中繼裝置可以中繼的幀,中繼處理部具備認(rèn)證信息管理部和確定處理部,該認(rèn)證信息管理部將第一許可一覽表的內(nèi)容發(fā)送給認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置,并且從認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置接收用于確定其它網(wǎng)絡(luò)中繼裝置可以中繼的幀的第二許可一覽表的內(nèi)容,將所接收到的第二許可一覽表的內(nèi)容反映在第一許可一覽表中,該確定處理部按照反映了第二許可一覽表的內(nèi)容的第一許來確定可否對從外部裝置接收到的幀進(jìn)行中繼。根據(jù)上述結(jié)構(gòu),能夠提高網(wǎng)絡(luò)中繼裝置的安全性。其中,優(yōu)選的是,存儲部還存儲對由外部裝置構(gòu)筑的虛擬的子網(wǎng)進(jìn)行定義的第一虛擬網(wǎng)絡(luò)定義信息,其中,該外部裝置是直接與網(wǎng)絡(luò)中繼裝置連接、或經(jīng)由其它網(wǎng)絡(luò)中繼裝置而間接與網(wǎng)絡(luò)中繼裝置連接的外部裝置;認(rèn)證信息管理部進(jìn)一步將第一虛擬網(wǎng)絡(luò)定義信息的內(nèi)容發(fā)送給認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置,并從認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置接收對由外部裝置構(gòu)筑的虛擬的子網(wǎng)進(jìn)行定義的第二虛擬網(wǎng)絡(luò)定義信息的內(nèi)容,并將所接收到的第二虛擬網(wǎng)絡(luò)定義信息的內(nèi)容反映在第一虛擬網(wǎng)絡(luò)定義信息中,其中,該外部裝置是直接與其它網(wǎng)絡(luò)中繼裝置連接、或經(jīng)由別的其它網(wǎng)絡(luò)中繼裝置而間接與其它網(wǎng)絡(luò)中繼裝置連接的外部裝置。根據(jù)上述結(jié)構(gòu),能夠提高網(wǎng)絡(luò)中繼裝置的安全性,并能簡便地進(jìn)行關(guān)于虛擬的子網(wǎng)的設(shè)定。此外,也可以是,當(dāng)發(fā)送幀的終端作為外部裝置而連接到網(wǎng)絡(luò)中繼裝置時,認(rèn)證處理部進(jìn)一步按照預(yù)先規(guī)定的認(rèn)證方法來與終端之間進(jìn)行認(rèn)證,在終端的認(rèn)證成功的情況下,認(rèn)證信息管理部進(jìn)一步改變第一許可一覽表的內(nèi)容,以允許從終端接收的幀的中繼,并且將改變后的第一許可一覽表的內(nèi)容發(fā)送給認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置。根據(jù)上述結(jié)構(gòu),能夠提高網(wǎng)絡(luò)中繼裝置的安全性。在此情況下,優(yōu)選的是,終端的認(rèn)證成功的情況下,認(rèn)證信息管理部進(jìn)一步將第一虛擬網(wǎng)絡(luò)定義信息的內(nèi)容發(fā)送給認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置。根據(jù)上述結(jié)構(gòu),能夠提高網(wǎng)絡(luò)中繼裝置的安全性,并能簡便地進(jìn)行關(guān)于虛擬的子網(wǎng)的設(shè)定。此外,優(yōu)選的是,認(rèn)證處理部具有基于IEEE802. IX的認(rèn)證客戶以及基于 IEEE802. IX的認(rèn)證服務(wù)器這兩方面的功能。根據(jù)上述結(jié)構(gòu),相對于其它網(wǎng)絡(luò)中繼裝置而言,網(wǎng)絡(luò)中繼裝置既能作為認(rèn)證客戶動作又能作為認(rèn)證服務(wù)器動作。此外,優(yōu)選的是,當(dāng)其它網(wǎng)絡(luò)中繼裝置連接到網(wǎng)絡(luò)中繼裝置時,若其它網(wǎng)絡(luò)中繼裝置的MAC地址在網(wǎng)絡(luò)中繼裝置內(nèi)被預(yù)先登記為應(yīng)允許連接的MAC地址,則認(rèn)證處理部當(dāng)作與其它網(wǎng)絡(luò)中繼裝置之間的認(rèn)證成功來進(jìn)行處理。根據(jù)上述結(jié)構(gòu),網(wǎng)絡(luò)中繼裝置能夠預(yù)先指定連接被允許的其它網(wǎng)絡(luò)中繼裝置。此外,本發(fā)明涉及網(wǎng)絡(luò)中繼裝置中使用的、對從外部裝置接收的幀的中繼進(jìn)行控制的接收幀的中繼控制方法。為了達(dá)到上述目的,本發(fā)明的中繼控制方法包括判斷連接到網(wǎng)絡(luò)中繼裝置的外部裝置是否是其它網(wǎng)絡(luò)中繼裝置的步驟;在所連接的外部裝置是其它網(wǎng)絡(luò)中繼裝置的情況下,按照預(yù)先規(guī)定的認(rèn)證方法,來與其它網(wǎng)絡(luò)中繼裝置之間進(jìn)行認(rèn)證的步驟;在其它網(wǎng)絡(luò)中繼裝置的認(rèn)證成功的情況下,在網(wǎng)絡(luò)中繼裝置與該認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置之間,交換為了用包含在接收到的幀中的信息來確定可中繼的幀而預(yù)先存儲的許可一覽表的內(nèi)容的步驟;將通過交換而獲取的、認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置所存儲的許可一覽表的內(nèi)容反映在網(wǎng)絡(luò)中繼裝置所存儲的許可一覽表中的步驟;以及按照反映了認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置所存儲的許可一覽表的內(nèi)容的許可一覽表,來判斷可否對從外部裝置接收到的幀進(jìn)行中繼的步驟。
      并且,該中繼控制方法也可以還包括判斷連接到網(wǎng)絡(luò)中繼裝置的外部裝置是否是發(fā)送幀的終端的步驟;在所連接的外部裝置是發(fā)送幀的終端的情況下,按照預(yù)先規(guī)定的認(rèn)證方法,來與終端之間進(jìn)行認(rèn)證的步驟;以及在終端的認(rèn)證成功的情況下,改變網(wǎng)絡(luò)中繼裝置所存儲的許可一覽表的內(nèi)容,以允許從終端接收的幀的中繼,并且將該改變后的許可一覽表的內(nèi)容發(fā)送給認(rèn)證成功的其它網(wǎng)絡(luò)中繼裝置。根據(jù)上述結(jié)構(gòu),能夠提高網(wǎng)絡(luò)中繼裝置的安全性。此外,本發(fā)明能夠通過各種各樣的方式來實現(xiàn)。例如,本發(fā)明能夠通過網(wǎng)絡(luò)中繼裝置、網(wǎng)絡(luò)中繼裝置的控制方法、使用了網(wǎng)絡(luò)中繼裝置的網(wǎng)絡(luò)系統(tǒng)、以及用于實現(xiàn)這些方法或裝置的功能的計算機(jī)程序、存儲了該計算機(jī)程序的存儲介質(zhì)等的方式來實現(xiàn)。本發(fā)明可應(yīng)用于包括中繼裝置和無線通信裝置的網(wǎng)絡(luò)系統(tǒng)等,在要提高無線通信時的安全性的情況下等尤為有效。在參照附圖進(jìn)行下述詳細(xì)說明之后,本發(fā)明的各種目的、 特征、方案、效果將會更加明確。


      圖1是表示本發(fā)明的第一實施方式所涉及的網(wǎng)絡(luò)中繼裝置及終端的概要結(jié)構(gòu)的圖。圖2是表示第一實施方式所涉及的網(wǎng)絡(luò)中繼裝置的結(jié)構(gòu)的概要圖。圖3是表示認(rèn)證方法一覽表的一例的圖。圖4是表示許可一覽表的一例的圖。圖5是表示本發(fā)明的第一實施方式所涉及的網(wǎng)絡(luò)中繼裝置在接收幀時所進(jìn)行的處理的順序的流程圖。圖6是表示在其它網(wǎng)絡(luò)中繼裝置連接到第一實施方式所涉及的網(wǎng)絡(luò)中繼裝置的情況下尚未進(jìn)行認(rèn)證時的情形的圖。圖7是表示圖5的步驟S16中認(rèn)證的種類是EAP_CAS的情況下的處理流程的序列圖。圖8是表示在其它網(wǎng)絡(luò)中繼裝置連接到第一實施方式所涉及的網(wǎng)絡(luò)中繼裝置的情況下進(jìn)行了認(rèn)證之后的情形的圖。圖9是表示在圖8的狀態(tài)下新的外部裝置連接到網(wǎng)絡(luò)中繼裝置的情形的圖。圖10是表示在圖5的步驟S16中認(rèn)證的種類是EAP_PC的情況下的處理流程的序列圖。圖11是表示在新的外部裝置連接到網(wǎng)絡(luò)中繼裝置的情況下進(jìn)行了認(rèn)證之后的情形的圖。圖12是表示本發(fā)明的第二實施方式所涉及的網(wǎng)絡(luò)中繼裝置的結(jié)構(gòu)的概要圖。圖13是表示VLAN定義信息的一例的圖。圖14是表示在其它網(wǎng)絡(luò)中繼裝置連接到第二實施方式所涉及的網(wǎng)絡(luò)中繼裝置的情況下尚未進(jìn)行認(rèn)證時的情形的圖。圖15是在其它網(wǎng)絡(luò)中繼裝置連接到第二實施方式所涉及的網(wǎng)絡(luò)中繼裝置時進(jìn)行的處理(圖5的步驟S16中,認(rèn)證的種類為EAP_CAS)的流程的序列圖。圖16是表示在其它網(wǎng)絡(luò)中繼裝置連接到第二實施方式所涉及的網(wǎng)絡(luò)中繼裝置的情況下進(jìn)行了認(rèn)證之后的情形的圖。
      具體實施例方式以下,參照附圖對本發(fā)明的實施方式進(jìn)行說明。<第一實施方式>圖1是表示本發(fā)明的第一實施方式所涉及的網(wǎng)絡(luò)中繼裝置100、終端PClO及PC20 的概要結(jié)構(gòu)的圖。第一實施方式所涉及的網(wǎng)絡(luò)中繼裝置100是所謂第二層交換機(jī),并具有基于MAC(Media Access Control,介質(zhì)訪問控制)地址進(jìn)行幀的中繼的功能。第二層相當(dāng)于 OSI (Open Systems hterconnection,開放系統(tǒng)互連)參考模型的第二層(數(shù)據(jù)鏈路層)。 以下,將網(wǎng)絡(luò)中繼裝置100稱為交換機(jī)100來進(jìn)行說明。交換機(jī)100具備5個端口 P501 P505。端口 P501經(jīng)由線路與個人計算機(jī)等終端 PClO連接。終端PClO的MAC地址是MAC_PC10。端口 P502經(jīng)由線路與個人計算機(jī)等終端 PC20連接。終端PC20的MAC地址是MAC_PC20。此外,為了便于說明,圖1中省略了說明中不需要的其它網(wǎng)絡(luò)裝置、線路、終端及交換機(jī)100內(nèi)的結(jié)構(gòu)的圖示。這些在后述的圖中也同樣被省略。圖2是表示第一實施方式所涉及的交換機(jī)100的結(jié)構(gòu)的概要圖。交換機(jī)100具備CPU(Central Processing Unit 中央處理器)200、ROM (Read Only Memory,只讀存儲器)300、RAM (Random Access Memory,隨機(jī)存取存儲器)400以及有線通信接口(有線通信 I/F) 5000交換機(jī)100的各構(gòu)成要素經(jīng)由總線600而相互連接。CPU200通過將存儲在R0M300中的計算機(jī)程序載入到RAM400中執(zhí)行,來控制交換機(jī)100的各個部。此外,通過執(zhí)行上述計算機(jī)程序,CPU200也發(fā)揮中繼處理部210及認(rèn)證處理部250的作用。中繼處理部210包括認(rèn)證信息管理部220和MAC地址認(rèn)證部230,并具有對經(jīng)由有線通信接口 500接收到的幀(以下,記載為接收幀)進(jìn)行中繼的功能。認(rèn)證信息管理部220主要具有對存儲部即RAM400所存儲的許可一覽表420進(jìn)行更新的功能和與其它交換機(jī)交換許可一覽表420的功能。MAC地址認(rèn)證部230進(jìn)行確定可否對接收幀進(jìn)行中繼的處理,發(fā)揮作為確定處理部的功能。包含在認(rèn)證處理部250中的EAP認(rèn)證部240具有以下功能即,在外部裝置(例如,終端或其它交換機(jī))連接到交換機(jī)100時,按照預(yù)先規(guī)定的認(rèn)證方法,與外部裝置之間進(jìn)行認(rèn)證。這些功能部的詳細(xì)內(nèi)容將于后述。RAM400中存儲有認(rèn)證方法一覽表410和許可一覽表420。關(guān)于這些一覽表的詳細(xì)內(nèi)容將于后述。有線通信接口 500是用于與局域網(wǎng)(LAN)連接的LAN電纜的連接口。有線通信接口 500包括5個端口 P501 P505。此外,本實施方式中,端口 P501 P504是用于連接交換機(jī)以外的外部裝置(例如,個人計算機(jī)、移動終端等)的端口。端口 P505是用于連接其它交換機(jī)的級聯(lián)連接用端口。圖3是表示認(rèn)證方法一覽表410的一例的圖。認(rèn)證方法一覽表410包括端口號字段、認(rèn)證種類字段和MAC認(rèn)證字段。端口號字段的各項目(entry)中存儲有與交換機(jī)100 所具備的所有端口對應(yīng)的標(biāo)識符。本實施方式中,標(biāo)識符是“P501 ” “P505”。認(rèn)證種類字段中存儲有,表示對存儲在端口號字段中的各端口預(yù)先規(guī)定的認(rèn)證種類的數(shù)據(jù)。認(rèn)證種類是指,在外部裝置(終端、其它交換機(jī))連接到端口時,EAP認(rèn)證部MO 所進(jìn)行的認(rèn)證的種類。本實施方式中,認(rèn)證種類是“EAP_PC”、“EAP_CAS”及“Open”這3種。CN 102377773 A
      說明書
      5/13 頁
      EAP_PC是指交換機(jī)與交換機(jī)以外的外部裝置之間的認(rèn)證。EAP_CAS是指交換機(jī)之間的認(rèn)證。Open是指不進(jìn)行認(rèn)證。此外,用于執(zhí)行各認(rèn)證種類中實際使用的認(rèn)證方法的各種數(shù)據(jù)被預(yù)先存儲在RAM400內(nèi)部。本實施方式中,在認(rèn)證種類是EAP_PC的情況下,用IEEE(The Institute of Electrical and Electronics Engineers,美國電氣禾口電子工禾呈師協(xié)會)802. IX 的 EAP-MD5(extensible authentication protocol-message digest version 5,擴(kuò)展驗證協(xié)議消息摘要算法5版本)進(jìn)行認(rèn)證。另一方面,在認(rèn)證的種類是EAP_CAS的情況下,用 IEEE802. IX 的EAP-TLS (extensible authentication protocol-transport layer security,擴(kuò)展認(rèn)證協(xié)議-傳輸層安全)來進(jìn)行認(rèn)證。此外,也可以采用用戶能設(shè)定的方法來作為各認(rèn)證種類中實際使用的認(rèn)證方法。MAC認(rèn)證字段中存儲有,對存儲在端口號字段中的各端口預(yù)先規(guī)定的、MAC地址認(rèn)證的有效(enable)/無效(disable)的設(shè)定值。例如,圖3的例子中規(guī)定,在外部裝置連接到用標(biāo)識符P501識別的端口 P501時, 進(jìn)行基于EAP_PC的認(rèn)證,即按照EAP-MD5認(rèn)證方法來進(jìn)行認(rèn)證。此外,還規(guī)定,對來自端口 P501的接收幀進(jìn)行MAC地址認(rèn)證(項目E01)。并規(guī)定,在外部裝置連接到用標(biāo)識符P504 識別的端口 P504時,不進(jìn)行認(rèn)證。此外,也規(guī)定對來自端口 P504的接收幀不進(jìn)行MAC地址認(rèn)證(項目E04)。并規(guī)定,在外部裝置連接到用標(biāo)識符P505識別的端口 P505時,進(jìn)行基于 EAP_CAS的認(rèn)證,即,按照EAP-TLS認(rèn)證方法來進(jìn)行認(rèn)證。此外,也規(guī)定對來自端口 P505的接收幀進(jìn)行MAC地址認(rèn)證(項目E05)。此外,在如項目E04那樣的認(rèn)證種類被設(shè)定為Open的端口中,為了正確進(jìn)行接收幀的中繼,將MAC地址認(rèn)證設(shè)定為無效(disable)。因此,交換機(jī)100對認(rèn)證種類被設(shè)定為 Open的端口不進(jìn)行外部裝置連接時的認(rèn)證,并且也不進(jìn)行對接收幀的MAC地址的認(rèn)證。其結(jié)果,認(rèn)證種類被設(shè)定為Open的端口有可能成為安全漏洞。圖4是表示許可一覽表420的一例的圖。許可一覽表420是在進(jìn)行MAC地址認(rèn)證時所使用的一覽表。許可一覽表420中存儲了交換機(jī)100的中繼處理部210允許中繼的接收幀的發(fā)送源MAC地址(向交換機(jī)100發(fā)送了幀的裝置的MAC地址)作為許可地址。也就是說,許可一覽表420被構(gòu)成為能用接收幀中包含的信息來確定可中繼的接收幀。例如,圖4的例子中,若接收幀的幀頭(header)中包含的發(fā)送源MAC地址是“MAC_ PC10”及“MAC_PC20”中的任一種,則中繼處理部210允許中繼該接收幀。接下來,對上述結(jié)構(gòu)的交換機(jī)100在接收幀時所進(jìn)行的處理進(jìn)行說明。圖5是表示本發(fā)明的第一實施方式所涉及的網(wǎng)絡(luò)中繼裝置(交換機(jī))100在接收幀時所進(jìn)行的處理的順序的流程圖。首先,中繼處理部210判斷是否經(jīng)由端口 P501 P505中的任意端口接收到幀(步驟S10)。在接收到幀的情況下(步驟SlO為是),中繼處理部210判斷接收幀是否是EAP幀 (步驟Si》。具體而言,例如,在根據(jù)接收幀的幀頭中包含的以太網(wǎng)類型(Ethernet Type) 而判斷出接收幀的類型為EAPOL(extensible authentication protocol over LAN,局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)的情況下,中繼處理部210可以判斷為接收到EAP幀。在判斷為接收幀是EAP幀的情況下(步驟S12為是),EAP認(rèn)證部240檢索認(rèn)證方法一覽表410的認(rèn)證種類字段(步驟S14)。具體而言,EAP認(rèn)證部240參照認(rèn)證方法一覽表410,從端口號字段中具有接收到幀的端口的標(biāo)識符的項目中獲取認(rèn)證種類字段的值。EAP認(rèn)證部240進(jìn)行相應(yīng)于所獲取的認(rèn)證種類的處理之后,結(jié)束處理(步驟S16)。相應(yīng)于各認(rèn)證種類(EAP_PC、EAP_CAS)的處理的詳細(xì)內(nèi)容將于后述。另一方面,在判斷為接收幀不是EAP幀的情況下(步驟S12為否),MAC地址認(rèn)證部230檢索認(rèn)證方法一覽表410的MAC認(rèn)證字段(步驟S18)。具體而言,MAC地址認(rèn)證部 230參照認(rèn)證方法一覽表410,從端口號字段中具有接收到幀的端口的標(biāo)識符的項目中獲取MAC認(rèn)證字段的值、即MAC地址認(rèn)證的有效/無效的設(shè)定值。接下來,MAC地址認(rèn)證部230 根據(jù)所獲取的設(shè)定值判斷是否進(jìn)行MAC地址認(rèn)證(步驟S20)。具體而言,若所獲取的設(shè)定值是“enable”,則MAC地址認(rèn)證部230進(jìn)行MAC地址認(rèn)證,若所獲取的設(shè)定值是“disable”, 則MAC地址認(rèn)證部230不進(jìn)行MAC地址認(rèn)證。在不進(jìn)行MAC地址認(rèn)證的情況下(步驟S20 為否),MAC地址認(rèn)證部230進(jìn)行幀中繼處理(步驟S28)。在判斷為進(jìn)行MAC地址認(rèn)證的情況下(步驟S20為是),MAC地址認(rèn)證部230參照許可一覽表420(步驟S22),判斷可否進(jìn)行接收幀的中繼(步驟S24)。具體而言,MAC地址認(rèn)證部230判斷接收幀的幀頭中包含的發(fā)送源MAC地址是否與許可一覽表420中存儲的 MAC地址中的任一地址相一致。在判斷為兩者的MAC地址不一致,不能進(jìn)行接收幀的中繼的情況下(步驟S24為否),MAC地址認(rèn)證部230毀掉接收幀,結(jié)束處理(步驟S26)。在毀掉了接收幀的情況下,MAC地址認(rèn)證部230也可以向被毀掉的幀的發(fā)送源終端通知幀被毀掉了的內(nèi)容。另一方面,在上述步驟S20中判斷為不進(jìn)行MAC地址認(rèn)證的情況下(步驟S20為否)、以及上述步驟S24中判斷為兩者的MAC地址相一致,能進(jìn)行接收幀的中繼的情況下 (步驟SM為是),MAC地址認(rèn)證部230進(jìn)行幀中繼處理(步驟S28)。該幀中繼處理中,中繼處理部210參照未圖示的MAC地址表,進(jìn)行轉(zhuǎn)發(fā)(forwarding)(在MAC地址表中存在目的地MAC地址的情況下中繼幀的動作)或泛洪(flooding) (MAC地址表中不存在目的地MAC 地址的情況下的動作)之后,結(jié)束處理。像這樣,中繼處理部210的MAC地址認(rèn)證部230基于許可一覽表420來確定可否對接收幀進(jìn)行中繼。1.接收幀時的處理的具體例(一)參照圖6 圖8,進(jìn)一步說明該交換機(jī)100在接收幀時所進(jìn)行的處理的具體例丄一 。圖6 圖8示出的是,其它交換機(jī)100X的端口 P501連接到交換機(jī)100的端口 P505 的例子。除了端口 P501被設(shè)定為級聯(lián)連接用端口之外,該其它交換機(jī)100X的結(jié)構(gòu)與圖2所示的交換機(jī)100相同。其它交換機(jī)100X中,端口 P501經(jīng)由線路與交換機(jī)100的端口 P505 連接,端口 P502經(jīng)由線路與終端PC30連接,端口 P503經(jīng)由線路與終端PC40連接,端口 P504 經(jīng)由線路與終端PC50連接。此外,終端PC30的MAC地址是MAC_PC30,終端PC40的MAC地址是 MAC_PC40,終端 PC50 的 MAC 地址是 MAC_PC50。此外,在其它交換機(jī)100X所具有的認(rèn)證方法一覽表410中設(shè)定有以下內(nèi)容即, 關(guān)于端口 P501,認(rèn)證種類為“EAP_CAS”,MAC認(rèn)證為“enable”,而關(guān)于端口 P502,認(rèn)證種類為“EAP_PC”,MAC認(rèn)證字段為“enable”。并且,其它交換機(jī)100X所具有的許可一覽表(該具體例中,稱為第二許可一覽表)420中存儲有與其它交換機(jī)100X連接的3臺終端(PC30、 PC40 及 PC50)的 MAC 地址(MAC_PC30、MAC_PC40 及 MAC_PC50)。此外,與交換機(jī) 100 的各端口連接的終端及交換機(jī)100所具有的認(rèn)證方法一覽表410及許可一覽表(該具體例中,稱為第一許可一覽表)420如圖1、圖3及圖4所示。
      1-1.在交換機(jī)與交換機(jī)之間講行認(rèn)證之前例如,考慮下述情況,即,如圖6所示那樣,在交換機(jī)100與其它交換機(jī)100X之間的認(rèn)證進(jìn)行之前,從終端PC30向終端PC20發(fā)送幀。首先,其它交換機(jī)100X檢測到來自終端PC30的接收幀(圖5的步驟SlO為是)。 由于該檢測出的接收幀不是EAP幀(步驟S12為否),其它交換機(jī)100X參照認(rèn)證方法一覽表410,而判斷為接收到幀的端口 P502的MAC地址認(rèn)證是有效的(步驟S18、S20)。接下來,其它交換機(jī)100X確認(rèn)了作為發(fā)送源MAC地址的MAC_PC30與第二許可一覽表420中存儲的MAC地址相一致時,判斷為可以進(jìn)行接收幀的中繼(步驟S22、SM為是)。然后,其它交換機(jī)100X進(jìn)行幀中繼處理(步驟S28)。其結(jié)果,其它交換機(jī)100X所接收的幀從其它交換機(jī)100X的端口 P501被發(fā)送到交換機(jī)100。接收到來自其它交換機(jī)100X的幀的交換機(jī)100(圖5的步驟SlO為是)判斷為接收幀不是EAP幀(步驟S12為否)。接下來,交換機(jī)100參照認(rèn)證方法一覽表410而判斷為接收到幀的端口 P505的MAC地址認(rèn)證是有效的(步驟S18、S20)。然而,交換機(jī)100確認(rèn)了作為發(fā)送源MAC地址的MAC_PC30與第一許可一覽表420中存儲的任何一個MAC地址都不一致時,判斷為不可以進(jìn)行接收幀的中繼(步驟S22、S24為否)。其結(jié)果,交換機(jī)100毀掉經(jīng)由其它交換機(jī)100X而接收到的幀(步驟S26)。像這樣,在交換機(jī)100與其它交換機(jī)100X之間進(jìn)行認(rèn)證之前,交換機(jī)100不對來自與其它交換機(jī)100X連接的外部裝置的接收幀進(jìn)行中繼而將其毀掉。換言之,在與其它交換機(jī)100X之間進(jìn)行認(rèn)證之前,交換機(jī)100限制來自其它交換機(jī)100X的通信內(nèi)容的輸入。這是因為,交換機(jī)100所具有的第一許可一覽表420中沒有存儲與其它交換機(jī)100X連接的外部裝置(終端PC30 PC50)的MAC地址的緣故。1-2.交換機(jī)與交換機(jī)之間的認(rèn)證處理在交換機(jī)100與其它交換機(jī)100X之間進(jìn)行以下認(rèn)證。圖7是表示圖5的步驟S16 中認(rèn)證種類為EAP_CAS的情況下在交換機(jī)之間進(jìn)行的處理的流程的序列圖。在其它交換機(jī)100X連接到交換機(jī)100的情況下,首先雙方之間進(jìn)行連接 (步驟S100)。接下來,作為請求者(Supplicant)的其它交換機(jī)100X向作為鑒定者(Authenticator)的交換機(jī)100發(fā)送用于請求開始認(rèn)證的EAPOL開始幀(ΕΑΡ over LAN-Start)(步驟 S102)。接收到EAPOL開始幀的交換機(jī)100的EAP認(rèn)證部240判斷為接收幀是EAP幀,便將請求請求者ID的EAP請求幀發(fā)送給其它交換機(jī)100X(步驟S104)。接收到請求幀的其它交換機(jī)100X將包含請求者ID的EAP應(yīng)答幀發(fā)送給交換機(jī)100 (步驟S106)。接下來,交換機(jī)100的EAP認(rèn)證部240將用于通知認(rèn)證中使用的EAP的類型(本實施方式中為EAP-TLS) 的EAP請求幀發(fā)送給其它交換機(jī)100X(步驟S108)。接收到請求幀的其它交換機(jī)100X將包含認(rèn)證中使用的EAP類型的標(biāo)識符的EAP應(yīng)答幀發(fā)送給交換機(jī)100 (步驟Sl 10)。然后,在交換機(jī)100與其它交換機(jī)100X之間按照步驟SllO中通知的認(rèn)證方法進(jìn)行認(rèn)證(步驟SlU)。在認(rèn)證成功的情況下,交換機(jī)100的EAP認(rèn)證部240將表示認(rèn)證成功的EAP幀發(fā)送給其它交換機(jī)100X(步驟S114)。此外,上述各幀的結(jié)構(gòu)是按照EAP規(guī)章中預(yù)先規(guī)定的格式的結(jié)構(gòu),ID、類型等的值作為幀中的規(guī)定位置中存儲的數(shù)據(jù)被發(fā)送、接收。在認(rèn)證成功之后,交換機(jī)100的認(rèn)證信息管理部220將包含第一許可一覽表420中存儲的許可地址的幀發(fā)送給其它交換機(jī)100X(步驟S116)。接收到該幀的其它交換機(jī) 100X將包含其它交換機(jī)100X內(nèi)的第二許可一覽表420中存儲的許可地址的幀發(fā)送給交換機(jī)100(步驟S118)。最后,交換機(jī)100的認(rèn)證信息管理部220基于接收幀中包含的許可地址,來更新交換機(jī)100的第一許可一覽表420中存儲的許可地址。具體而言,認(rèn)證信息管理部220將接收幀中包含的許可地址(MAC地址)追加到第一許可一覽表420中。此外,同樣地,其它交換機(jī)100X基于接收幀中包含的許可地址,來更新其它交換機(jī)100X的第二許可一覽表420中存儲的許可地址。該例子中,交換機(jī)100所具有的第一許可一覽表420中,除了存儲有與交換機(jī)100 連接的兩臺終端(PC10及PC20)的許可地址(MAC_PC10及MAC_PC20)之外,還存儲有其它交換機(jī)100X所具有的第二許可一覽表420中存儲的許可地址(MAC_PC30、MAC_PC40及MAC_ PC50)(圖8)。同樣地,其它交換機(jī)100X所具有的第二許可一覽表420中,除了存儲有與其它交換機(jī)100X連接的3臺終端(PC30、PC40及PC50)的MAC地址(MAC_PC30、MAC_PC40 及MAC_PC50)之外,還存儲有交換機(jī)100所具有的第一許可一覽表420中存儲的許可地址 (MAC_PC10 及 MAC_PC20)(圖 8)。此外,圖7中,雖然其它交換機(jī)100X發(fā)揮基于IEEE802. IX的認(rèn)證客戶 (Supplicant)的作用,交換機(jī)100發(fā)揮基于IEEE802. IX的認(rèn)證服務(wù)器(鑒定者)的作用, 但也可以調(diào)換其作用。例如,交換機(jī)100也可以采用在檢測到連接(步驟S100)之后一定時間內(nèi)未接收到EAPOL開始幀的情況下,向其它交換機(jī)100X發(fā)送EAPOL開始幀的結(jié)構(gòu)。在此情況下,交換機(jī)100發(fā)揮認(rèn)證客戶的作用,而其它交換機(jī)100X發(fā)揮認(rèn)證服務(wù)器的作用。像這樣,若EAP認(rèn)證部240具有基于IEEE802. IX的認(rèn)證客戶和基于IEEE802. IX的認(rèn)證服務(wù)器這兩方面的功能,則相對于其它交換機(jī)100X,交換機(jī)100既能作為認(rèn)證客戶動作又能作為認(rèn)證服務(wù)器動作,從而能夠?qū)崿F(xiàn)靈活性較好的認(rèn)證。1-3.在交換機(jī)與交換機(jī)之間進(jìn)行認(rèn)證之后考慮下述情況,即,如圖8所示那樣,進(jìn)行了交換機(jī)100與其它交換機(jī)100X之間的認(rèn)證之后,將幀從終端PC30發(fā)送到終端PC20。在此情況下,將來自終端PC30的幀經(jīng)由其它交換機(jī)100X而發(fā)送到交換機(jī)100的流程與用圖6說明過的流程相同。接收到來自其它交換機(jī)100X的幀的交換機(jī)100(圖5的步驟SlO為是)判斷為接收幀不是EAP幀(步驟S12為否)。接下來,交換機(jī)100參照認(rèn)證方法一覽表410,而判斷為接收到幀的端口 P505中的MAC地址認(rèn)證是有效的(步驟S18、S20)。并且,交換機(jī)100確認(rèn)了作為發(fā)送源MAC地址的MAC_PC30與第一許可一覽表420中存儲的MAC地址相一致時, 判斷為可以進(jìn)行接收幀的中繼(步驟S22、SM為是)。然后,交換機(jī)100進(jìn)行幀中繼處理 (步驟S28)。其結(jié)果,經(jīng)由其它交換機(jī)100X而被交換機(jī)100接收到的幀從交換機(jī)100的端口 P502被發(fā)送到終端PC20。像這樣,交換機(jī)100與其它交換機(jī)100X之間進(jìn)行認(rèn)證,并且該認(rèn)證成功之后,交換機(jī)100對來自與其它交換機(jī)100X連接的外部裝置的接收幀進(jìn)行中繼。換言之,交換機(jī)100 將與其它交換機(jī)100X之間的認(rèn)證成功作為不對來自其它交換機(jī)100X的通信內(nèi)容的輸入進(jìn)行制限的條件。2.接收幀時的處理的具體例(二)參照圖9 圖11進(jìn)一步說明該交換機(jī)100所進(jìn)行的接收幀時的處理的具體例(二)。圖9 圖11示出的是,在圖8的狀態(tài)下,新的外部裝置連接到交換機(jī)100的例子。 該新的外部裝置是MAC地址為MAC_PC60的終端PC60。2-1.在講行交換機(jī)與終端之間的認(rèn)證之前考慮如圖9所示那樣,要把新的終端PC60連接到交換機(jī)100的端口 P503的情況。 在此情況下,終端PC60向連接對象的交換機(jī)100發(fā)送用于請求開始認(rèn)證的EAPOL開始幀。 接收到EAPOL開始幀的交換機(jī)100判斷為接收幀是EAP幀(圖5的步驟S12為是)。接下來,交換機(jī)100參照認(rèn)證方法一覽表410,判斷為認(rèn)證的種類是EAP_PC (步驟S14)。2-2.交換機(jī)與終端之間的認(rèn)證處理在交換機(jī)100與終端PC60之間進(jìn)行如下認(rèn)證。圖10是表示在圖5的步驟S16中認(rèn)證的種類是EAP_PC的情況下交換機(jī)與終端之間進(jìn)行的處理的流程的序列圖。除了終端 PC60作為認(rèn)證客戶(Supplicant)動作之外,圖10的步驟SlOO S114與圖7的SlOO S114實質(zhì)上相同。但是,由于本具體例(二)中,認(rèn)證種類為EAP_PC,所以交換機(jī)100向終端PC60發(fā)送通知認(rèn)證中使用的EAP類型為EAP-MD5的EAP請求幀(步驟S108)。在步驟S112的認(rèn)證成功之后,交換機(jī)100更新第一許可一覽表420中存儲的許可地址,追加終端PC60的MAC地址(MAC_PC60)(步驟S200)。此后,交換機(jī)100和其它交換機(jī) 100X互相發(fā)送包含許可一覽表420中存儲的許可地址的幀(步驟S116、S118)。然后,交換機(jī)100和其它交換機(jī)100X更新自己的許可一覽表420。此外,步驟Sl 16 S120的詳細(xì)內(nèi)容與圖7相同。2-3.進(jìn)行了交換機(jī)與終端之間的認(rèn)證之后圖11是表示在新的終端PC60連接到交換機(jī)100的情況下進(jìn)行了認(rèn)證之后的情形的圖。交換機(jī)100及其它交換機(jī)100X所具有的許可一覽表420中,追加了新連接到交換機(jī) 100 的終端 PC60 的 MAC 地址(MAC_PC60)。如該例子這樣,在交換機(jī)100與其它交換機(jī)100X之間的認(rèn)證成功之后,交換機(jī)100 上又連接了終端PC60的情況下,交換機(jī)100將終端PC60的MAC地址追加到第一許可一覽表420。然后,交換機(jī)100將更新后的第一許可一覽表420發(fā)送給其它交換機(jī)100X。其結(jié)果,與用圖8說明過的情況同樣,不毀掉與新連接的終端PC60之間發(fā)送、接收的幀,而對其進(jìn)行中繼。此外,例如,在其它交換機(jī)100X以外的別的其它交換機(jī)連接到交換機(jī)100的情況下也同樣進(jìn)行上述處理。此外,如圖11所示那樣,例如,其它交換機(jī)100X連接到別的其它交換機(jī)的情況下, 其它交換機(jī)100X也可以將從交換機(jī)100接收到的、包含交換機(jī)100的第一許可一覽表420 中存儲的許可地址的幀發(fā)送給該別的其它交換機(jī)。像這樣,若采用從與自己連接的一個交換機(jī)接收到的許可地址傳輸?shù)搅硪粋€交換機(jī)的結(jié)構(gòu),則能在交換機(jī)之間交換MAC地址認(rèn)證中使用的許可一覽表的內(nèi)容(即,幀的中繼被允許的外部裝置的MAC地址),從而提高使用的方便性。此外,可以將許可地址的傳輸范圍設(shè)定為由路由器區(qū)分的同一網(wǎng)段(segment) 的范圍內(nèi)的交換機(jī)。此外,也可以向路由器本身傳輸許可地址。這樣的話,也能夠利用路由器來管理MAC地址。如上所述那樣,根據(jù)本發(fā)明的第一實施方式所涉及的交換機(jī)100,在其它交換機(jī) 100X連接進(jìn)來時,與其它交換機(jī)100X之間進(jìn)行認(rèn)證,并以認(rèn)證成功為條件,在交換機(jī)100中對該其它交換機(jī)100X中被允許中繼的幀也進(jìn)行中繼。因此,本第一實施方式所涉及的交換機(jī)100能夠提高安全性。此外,本第一實施方式所涉及的交換機(jī)100中,與其它交換機(jī)100X之間進(jìn)行認(rèn)證處理,若認(rèn)證未成功,則判斷為不能進(jìn)行接收幀的中繼,并毀掉接收幀,而若與其它交換機(jī) 100X之間的認(rèn)證成功,則與其它交換機(jī)100X之間進(jìn)行許可一覽表420的內(nèi)容的發(fā)送、接收, 以在相互之間反映該內(nèi)容。也就是說,本第一實施方式所涉及的交換機(jī)100對來自未被認(rèn)證的其它交換機(jī)100X的通信內(nèi)容的輸入進(jìn)行限制,而不對來自被認(rèn)證的其它交換機(jī)100X 的通信內(nèi)容的輸入進(jìn)行限制。因此,尤其能夠避免級聯(lián)連接用端口成為安全漏洞這一現(xiàn)有技術(shù)的問題。因而,本第一實施方式所涉及的交換機(jī)100能夠進(jìn)一步提高關(guān)于機(jī)密的安全性。并且,本第一實施方式所涉及的交換機(jī)100也與直接連接的終端之間進(jìn)行認(rèn)證, 并改變(第一)許可一覽表420以允許對來自認(rèn)證成功的終端的接收幀進(jìn)行中繼,并將改變后的許可一覽表420發(fā)送給其它交換機(jī)100X。這樣一來,根據(jù)本第一實施方式所涉及的交換機(jī)100,即使在交換機(jī)之間的認(rèn)證和許可地址的交換進(jìn)行之后,某個交換機(jī)的結(jié)構(gòu)發(fā)生了改變的情況下,也進(jìn)行結(jié)構(gòu)改變后的許可地址的交換,所以仍然能夠提高安全性和使用方便性。<第二實施方式>在本發(fā)明的第二實施方式中,對第一實施方式中說明過的網(wǎng)絡(luò)中繼裝置(交換機(jī))100中能進(jìn)一步使用虛擬網(wǎng)絡(luò)、即VLAN(VirtUal LAN,虛擬局域網(wǎng))的結(jié)構(gòu)進(jìn)行說明。 以下,僅對第二實施方式中與第一實施方式具有不相同的結(jié)構(gòu)及動作的部分進(jìn)行說明。此外,對第二實施方式中使用的附圖中與第一實施方式相同的構(gòu)成部分標(biāo)注了與上述第一實施方式相同的附圖標(biāo)記并省略其詳細(xì)說明。圖12是表示本發(fā)明的第二實施方式所涉及的網(wǎng)絡(luò)中繼裝置(交換機(jī))IOOa的結(jié)構(gòu)的概要圖。本第二實施方式所涉及的交換機(jī)IOOa與圖2所示的第一實施方式所涉及的交換機(jī)100的不同之處在于中繼處理部210a、認(rèn)證信息管理部220a及RAM400a的結(jié)構(gòu)。RAM400a中,除了存儲有在第一實施方式中說明過的認(rèn)證方法一覽表410及許可一覽表420之外,還存儲有VLAN定義信息430。圖13是表示VLAN定義信息430的一例的圖。 該VLAN定義信息430是定義了與物理連接方式不相同的、虛擬構(gòu)筑的子網(wǎng)(以下,記為虛擬網(wǎng)絡(luò))的信息,并包含端口號字段和VLAN ID字段。端口號字段的各項目中存儲有與交換機(jī)IOOa所具備的所有端口對應(yīng)的標(biāo)識符。本實施方式中,端口標(biāo)識符是“P501” “P505”。 VLAN ID字段中存儲有,對存儲在端口號字段中的各端口預(yù)先分配的虛擬網(wǎng)絡(luò)(VLAN)的標(biāo)識符。本實施方式中的VLAN標(biāo)識符是“ 1”及“ 2 ”。例如,圖13的例子中規(guī)定,與用端口標(biāo)識符P501識別的端口 P501連接的外部裝置(即,圖1所示的終端PCio)屬于用VLAN標(biāo)識符“1”識別的虛擬網(wǎng)絡(luò)。也同樣地規(guī)定, 與用端口標(biāo)識符P502識別的端口 P502連接的外部裝置(即,圖1所示的終端PC20)屬于用VLAN標(biāo)識符“2”識別的虛擬網(wǎng)絡(luò)。如上所述那樣構(gòu)成的交換機(jī)IOOa在接收幀時所進(jìn)行的的處理與用圖5說明過的處理相同。但是,中繼處理部210a基于VLAN定義信息430,能夠構(gòu)筑直接與交換機(jī)IOOa 連接的、或經(jīng)由其它交換機(jī)100 等而間接與交換機(jī)IOOa連接的外部裝置中的虛擬網(wǎng)絡(luò) (VLAN)。具體而言,中繼處理部210a在幀中繼處理(圖5的步驟S28)中,通過參照VLAN
      13定義信息430,將被分配了不同虛擬網(wǎng)絡(luò)的VLAN標(biāo)識符的端口作為屬于不同虛擬網(wǎng)絡(luò)的端口,來進(jìn)行幀的中繼處理。也就是說,根據(jù)圖13所示的VLAN定義信息430,由于圖1中的終端PClO及終端PC20被分別分配了不同的VLAN標(biāo)識符,所以中繼處理部210a將它們視為屬于不同虛擬網(wǎng)絡(luò)而進(jìn)行處理。其結(jié)果,在終端PClO與終端PC20之間,不進(jìn)行幀的中繼。圖14是表示在其它交換機(jī)100 連接到第二實施方式所涉及的交換機(jī)IOOa的情況下尚未進(jìn)行認(rèn)證時的情形的圖。除了端口 P501被設(shè)定為級聯(lián)連接用端口之外,該其它交換機(jī)100 的其它結(jié)構(gòu)與圖12所示的交換機(jī)IOOa相同。其它交換機(jī)100 中,交換機(jī)IOOa 的端口 P505經(jīng)由線路與端口 P501連接,終端PC30 (MAC地址MAC_PC30、VLAN標(biāo)識符1)經(jīng)由線路與端口 P502連接,終端PC40 (MAC地址MAC_PC40、VLAN標(biāo)識符-.2、經(jīng)由線路與端口 P503連接,終端PC50 (MAC地址MAC_PC50、VLAN標(biāo)識符 經(jīng)由線路與端口 P504連接。此外,該其它交換機(jī)100 內(nèi)部存儲的認(rèn)證方法一覽表410及第二許可一覽表420 的內(nèi)容與用圖6說明過的其它交換機(jī)100X的相同。存儲在其它交換機(jī)100 內(nèi)部的VLAN 定義信息(該具體例中稱為第二 VLAN(虛擬網(wǎng)絡(luò))定義信息)430的、與端口 P501相對應(yīng)的VLAN ID字段的值為“-”,與端口 P502相對應(yīng)的VLAN ID字段的值為“ 1 ”,與端口 P503 及端口 P504相對應(yīng)的VLAN ID字段的值為“2”。圖15是表示在其它交換機(jī)100 連接到第二實施方式所涉及的交換機(jī)IOOa時所進(jìn)行的處理(圖5的步驟S16中,認(rèn)證的種類為EAP_CAS)的流程的序列圖。此外,該圖15 中的步驟SlOO Sl 14與用圖7說明過的步驟SlOO S114相同。在與其它交換機(jī)100 之間的認(rèn)證成功之后,交換機(jī)IOOa的認(rèn)證信息管理部220a 將包含第一許可一覽表420中存儲的許可地址和第一 VLAN定義信息430中存儲的虛擬網(wǎng)絡(luò)的定義信息的幀發(fā)送給其它交換機(jī)IOOXa(步驟S300)。同樣地,接收到該幀的其它交換機(jī)100 將包含其它交換機(jī)100 內(nèi)的第二許可一覽表420中存儲的許可地址和第二 VLAN 定義信息430中存儲的虛擬網(wǎng)絡(luò)的定義信息的幀發(fā)送給交換機(jī)IOOa(步驟S302)。交換機(jī)IOOa的認(rèn)證信息管理部220a基于接收幀中包含的許可地址,來更新第一許可一覽表420中存儲的許可地址,并且基于接收幀中包含的虛擬網(wǎng)絡(luò)的定義信息,來更新自己的VLAN定義信息(該具體例中,稱為第一VLAN(虛擬網(wǎng)絡(luò))定義信息)430中存儲的定義信息(步驟S304)。此外,同樣地,其它交換機(jī)100 基于接收幀中包含的許可地址和虛擬網(wǎng)絡(luò)的定義信息,來更新第二許可一覽表420和第二 VLAN定義信息430 (步驟S304)。圖16是表示其它交換機(jī)100 連接到圖14所示的交換機(jī)IOOa的情況下進(jìn)行了認(rèn)證之后的情形的圖。存儲在交換機(jī)IOOa內(nèi)部的第一許可一覽表420中,除了存儲有已連接到交換機(jī)IOOa的兩臺終端(PC10及PC20)的MAC地址(MAC_PC10、MAC_PC20)之外,還存儲有其它交換機(jī)100 的第二許可一覽表420中存儲的許可地址(MAC_PC30、MAC_PC40及 MAC_PC50)。此外,存儲在交換機(jī)IOOa內(nèi)部的第一 VLAN定義信息430中存儲有“ 1 ”及“2” 作為與端口 P505相對應(yīng)的VLAN標(biāo)識符(圖15的步驟S304)。同樣地,存儲在其它交換機(jī) IOOXa內(nèi)部的第二許可一覽表420中,除了存儲有已連接到其它交換機(jī)IOOXa的三臺終端 (PC30、PC40 及 PC50)的 MAC 地址(MAC_PC30、MAC_PC40 及 MAC_PC50)之外,還存儲有交換機(jī)IOOa的第一許可一覽表420中存儲的許可地址(MAC_PC10及MAC_PC20)。此外,存儲在其它交換機(jī)IOOXa內(nèi)部的第二 VLAN定義信息430中存儲有“ 1 ”及“2”作為與端口 P501相對應(yīng)的VLAN標(biāo)識符(圖15的步驟S304)。
      除了如下所述的不同之處,認(rèn)證種類為EAP_PC的情況下的處理與用圖10說明過的處理基本上相同,因此省略其圖示。處理中的不同之處在于在步驟S200中,除了更新許可一覽表420之外,還更新VLAN定義信息430 ;在步驟Sl 16及Sl 18中除了對許可地址進(jìn)行發(fā)送、接收之外,還對虛擬網(wǎng)絡(luò)的定義信息進(jìn)行發(fā)送、接收;在步驟S120中,除了更新許可一覽表420之外,還更新VLAN定義信息430。如上所述那樣,根據(jù)本發(fā)明的第二實施方式所涉及的交換機(jī)100a,在前述的第一實施方式所涉及的交換機(jī)100的處理的基礎(chǔ)上,在與其它交換機(jī)100 之間的認(rèn)證或與終端之間的認(rèn)證成功的情況下,與其它交換機(jī)100 之間進(jìn)行VLAN定義信息430的內(nèi)容的發(fā)送、接收,并互相反映該內(nèi)容。因而,本第二實施方式所涉及的交換機(jī)IOOa能夠提高安全性,并能簡便地進(jìn)行關(guān)于虛擬網(wǎng)絡(luò)(VLAN)的設(shè)定?!醋冃卫?>上述各實施方式所示的交換機(jī)的結(jié)構(gòu)只不過是一例,可以采用任何結(jié)構(gòu)。例如,能夠進(jìn)行以下變形,即,省略其構(gòu)成要素的一部分,或附加別的構(gòu)成要素。各實施方式的交換機(jī)也可以不是基于MAC地址進(jìn)行幀的中繼的第二層交換機(jī), 而是還能夠進(jìn)一步用IP地址來進(jìn)行包的中繼的、所謂第三層交換機(jī)。此外,各實施方式的交換機(jī)也可以是能夠通過無線通信經(jīng)由無線通信接口而進(jìn)行包的中繼的、所謂接入點(diǎn) (access point)0此外,上述各實施方式的交換機(jī)中,將認(rèn)證方法一覽表、許可一覽表及VLAN定義信息存儲在RAM中,但也可以存儲在其它存儲介質(zhì)(例如,快閃只讀存儲器(flash ROM)) 中。此外,上述各實施方式的交換機(jī)中,CPU具備中繼處理部及EAP認(rèn)證部,中繼處理部進(jìn)一步包括認(rèn)證信息管理部及MAC地址認(rèn)證部。此外,對各處理部中執(zhí)行的功能進(jìn)行了說明。然而,這些處理部的配置及各處理部所發(fā)揮的功能的內(nèi)容只不過是一例,也可以根據(jù)交換機(jī)的結(jié)構(gòu)而進(jìn)行任意的變更。此外,也可以是,上述各實施方式中記載的、中繼處理部的功能中的幀中繼功能為由構(gòu)成有線通信接口的物理芯片來實現(xiàn)的功能,中繼處理部的其它功能(確定可否對接收幀進(jìn)行中繼的功能、認(rèn)證信息管理部的功能、MAC地址認(rèn)證部的功能)為由CPU來實現(xiàn)的功能。在此情況下,通過使構(gòu)成有線通信接口的物理芯片與CPU相配合,來實現(xiàn)中繼處理部的所有功能。例如,也可以使構(gòu)成有線通信接口的物理芯片的內(nèi)部具備中繼處理部、EAP認(rèn)證部、認(rèn)證信息管理部及MAC地址認(rèn)證部的所有功能?!醋冃卫?>上述各實施方式的交換機(jī)的結(jié)構(gòu)具備用于進(jìn)行接收到的幀的MAC地址認(rèn)證的 MAC地址認(rèn)證部;以及在外部裝置連接進(jìn)來時,用于與所連接的外部裝置之間進(jìn)行認(rèn)證的 EAP 認(rèn)證部(即,內(nèi)置了 RADIUS (Remote Authentication Dial-In User Service,遠(yuǎn)程用戶撥入認(rèn)證服務(wù))功能)。然而,也可以采用如下結(jié)構(gòu),即,在交換機(jī)之外,另外設(shè)置專用的 RADIUS服務(wù)器,在外部的RADIUS服務(wù)器中進(jìn)行實際的MAC地址認(rèn)證和/或與連接的外部裝置之間的認(rèn)證。在交換機(jī)之外,另外設(shè)置專用的RADIUS服務(wù)器的情況下,MAC地址認(rèn)證部及EAP認(rèn)證部通過向RADIUS服務(wù)器發(fā)送認(rèn)證請求,并獲得作為其應(yīng)答的認(rèn)證結(jié)果,來發(fā)揮 MAC地址認(rèn)證部及EAP認(rèn)證部的作用。
      此外,上述各實施方式中,說明了在認(rèn)證種類為EAP_PC的情況下使用IEEE802. IX 的EAP-MD5作為預(yù)先規(guī)定的認(rèn)證方法、在認(rèn)證種類為EAP_CAS的情況下用IEEE802. IX的 EAP-TLS作為預(yù)先規(guī)定的認(rèn)證方法的例子。然而,也可以用上述例子以外的任何方法作為上述認(rèn)證方法。例如,除了可以采用 EAP-TTLS (extensible authentication protocol-tunneled transport layer security,擴(kuò)展認(rèn)證協(xié)議-隧道傳輸層安全)、PEAP (Protected Extensible Authentication Protocol,受保護(hù)的可擴(kuò)展身份驗證協(xié)議)、 LEAP (Lightweight Extensible Authentication Protocol,輕量級擴(kuò)展驗證協(xié)、議)之夕卜, 也可以采用利用了 EAP協(xié)議的獨(dú)自的方法等來作為認(rèn)證方法。也可以通過采用以下認(rèn)證方法,來取代依照IEEE802. IX的EAP協(xié)議的認(rèn)證方法。 具體而言,交換機(jī)內(nèi)部預(yù)先存儲連接被允許的外部裝置(其它交換機(jī)、終端等)的MAC地址。然后,在外部裝置連接進(jìn)來時,該外部裝置的MAC地址被預(yù)先登記為連接被允許的MAC 地址的情況下,EAP認(rèn)證部當(dāng)作認(rèn)證成功而進(jìn)行處理。這樣,連接被允許的外部裝置可以由交換機(jī)的管理員等預(yù)先指定?!醋冃卫?>上述各實施方式中,用表的形式表示認(rèn)證方法一覽表、許可一覽表及VLAN定義信息的一例。然而,這些表僅僅是一例而已,只要不脫離本發(fā)明的宗旨,能夠采用任何形式。例如,也可以具備上述字段以外的字段。此外,也可以對各個表采用直接映射 (direct-mapped)方式。另外,優(yōu)選采用用戶可以設(shè)定各個表的結(jié)構(gòu)。具體而言,許可一覽表的結(jié)構(gòu)是不區(qū)分接收到幀的端口,僅存儲可中繼的發(fā)送源 MAC地址的結(jié)構(gòu),但也可以進(jìn)行以下變形。例如,也可以是如下結(jié)構(gòu),即,在許可一覽表中追加端口號字段,按端口來管理中繼被允許的接收幀的發(fā)送源MAC地址。此外,也可以是如下結(jié)構(gòu),即,通過設(shè)置發(fā)送源MAC地址字段和可否中繼字段來取代許可地址字段,并對每個發(fā)送源MAC地址設(shè)定可否進(jìn)行幀的中繼。此外,上述各實施方式中,CPU通過執(zhí)行存儲器中存儲的固件和/或計算機(jī)程序, 來實現(xiàn)交換機(jī)的各個結(jié)構(gòu),但根據(jù)具體情況,本發(fā)明的各個結(jié)構(gòu)可以通過硬件來實現(xiàn),也可以通過軟件來實現(xiàn)。此外,在本發(fā)明的功能的一部分或全部通過軟件來實現(xiàn)的情況下,可以將該軟件 (計算機(jī)程序)以存儲在計算機(jī)可讀取的記錄媒體中的形式來提供。本發(fā)明中,“計算機(jī)可讀取的記錄媒體”并不局限于軟盤(flexible disk)和⑶-ROM等便攜式的記錄媒體,還包括各種RAM和ROM等計算機(jī)的內(nèi)部存儲裝置、以及硬盤等固定在計算機(jī)上的外部存儲裝置。以上,雖然對本發(fā)明進(jìn)行了詳細(xì)的說明,但是上述說明中的所有方面不過是對本發(fā)明的示例,而非用來限定本發(fā)明的范圍。例如,可以基于本發(fā)明的構(gòu)思,適當(dāng)?shù)厥÷愿郊右?。此外,除了上述變形例以外,在不脫離本發(fā)明的范圍內(nèi),毫無疑問可以進(jìn)行各種改進(jìn)和變形。
      權(quán)利要求
      1.一種網(wǎng)絡(luò)中繼裝置,對從外部裝置接收的幀進(jìn)行中繼,其特征在于 該網(wǎng)絡(luò)中繼裝置具備認(rèn)證處理部,在作為上述外部裝置的其它網(wǎng)絡(luò)中繼裝置連接到上述網(wǎng)絡(luò)中繼裝置時, 該認(rèn)證處理部按照預(yù)先規(guī)定的認(rèn)證方法,來與該其它網(wǎng)絡(luò)中繼裝置之間進(jìn)行認(rèn)證;以及中繼處理部,確定可否對上述網(wǎng)絡(luò)中繼裝置從上述外部裝置接收到的幀進(jìn)行中繼,并對確定為可中繼的幀進(jìn)行中繼,上述中繼處理部以上述認(rèn)證成功為條件,在上述網(wǎng)絡(luò)中繼裝置中,對從上述其它網(wǎng)絡(luò)中繼裝置接收到的幀也進(jìn)行中繼。
      2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中繼裝置,其特征在于該網(wǎng)絡(luò)中繼裝置還具備存儲部,該存儲部存儲第一許可一覽表,該第一許可一覽表用于用上述接收到的幀中包含的信息來確定上述網(wǎng)絡(luò)中繼裝置可以中繼的幀, 上述中繼處理部具備認(rèn)證信息管理部,將上述第一許可一覽表的內(nèi)容發(fā)送給上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置,并且從上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置接收用于確定上述其它網(wǎng)絡(luò)中繼裝置可以中繼的幀的第二許可一覽表的內(nèi)容,并將所接收到的上述第二許可一覽表的內(nèi)容反映在上述第一許可一覽表中;以及確定處理部,按照反映了上述第二許可一覽表的內(nèi)容的第一許可一覽表,來確定可否對從上述外部裝置接收到的幀進(jìn)行中繼。
      3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)中繼裝置,其特征在于上述存儲部還存儲對由上述外部裝置構(gòu)筑的虛擬的子網(wǎng)進(jìn)行定義的第一虛擬網(wǎng)絡(luò)定義信息,其中,上述外部裝置是直接與上述網(wǎng)絡(luò)中繼裝置連接、或經(jīng)由上述其它網(wǎng)絡(luò)中繼裝置而間接與上述網(wǎng)絡(luò)中繼裝置連接的外部裝置,上述認(rèn)證信息管理部進(jìn)一步將上述第一虛擬網(wǎng)絡(luò)定義信息的內(nèi)容發(fā)送給上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置,并從上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置接收對由上述外部裝置構(gòu)筑的虛擬的子網(wǎng)進(jìn)行定義的第二虛擬網(wǎng)絡(luò)定義信息的內(nèi)容,并將所接收到的上述第二虛擬網(wǎng)絡(luò)定義信息的內(nèi)容反映在上述第一虛擬網(wǎng)絡(luò)定義信息中,其中,上述外部裝置是直接與上述其它網(wǎng)絡(luò)中繼裝置連接、或經(jīng)由別的其它網(wǎng)絡(luò)中繼裝置而間接與上述其它網(wǎng)絡(luò)中繼裝置連接的外部裝置。
      4.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)中繼裝置,其特征在于當(dāng)發(fā)送幀的終端作為上述外部裝置而連接到上述網(wǎng)絡(luò)中繼裝置時,上述認(rèn)證處理部進(jìn)一步按照預(yù)先規(guī)定的認(rèn)證方法來與該終端之間進(jìn)行認(rèn)證,在上述終端的認(rèn)證成功的情況下,上述認(rèn)證信息管理部進(jìn)一步改變上述第一許可一覽表的內(nèi)容,以允許從上述終端接收的幀的中繼,并且將改變后的上述第一許可一覽表的內(nèi)容發(fā)送給上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置。
      5.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)中繼裝置,其特征在于在發(fā)送幀的終端作為上述外部裝置而連接到上述網(wǎng)絡(luò)中繼裝置的情況下,上述認(rèn)證處理部進(jìn)一步按照預(yù)先規(guī)定的認(rèn)證方法來與該終端之間進(jìn)行認(rèn)證,在上述終端的認(rèn)證成功的情況下,上述認(rèn)證信息管理部進(jìn)一步改變上述第一許可一覽表的內(nèi)容,以允許從上述終端接收的幀的中繼,并且將改變后的上述第一許可一覽表的內(nèi)容發(fā)送給上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置。
      6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)中繼裝置,其特征在于上述終端的認(rèn)證成功的情況下,上述認(rèn)證信息管理部進(jìn)一步將上述第一虛擬網(wǎng)絡(luò)定義信息的內(nèi)容發(fā)送給上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置。
      7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中繼裝置,其特征在于上述認(rèn)證處理部具有基于IEEE802. IX的認(rèn)證客戶以及基于IEEE802. IX的認(rèn)證服務(wù)器這兩方面的功能。
      8.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)中繼裝置,其特征在于當(dāng)上述其它網(wǎng)絡(luò)中繼裝置連接到上述網(wǎng)絡(luò)中繼裝置時,若上述其它網(wǎng)絡(luò)中繼裝置的 MAC地址在上述網(wǎng)絡(luò)中繼裝置內(nèi)被預(yù)先登記為應(yīng)允許連接的MAC地址,則上述認(rèn)證處理部當(dāng)作與上述其它網(wǎng)絡(luò)中繼裝置之間的上述認(rèn)證成功來進(jìn)行處理。
      9.一種中繼控制方法,是網(wǎng)絡(luò)中繼裝置中使用的、對從外部裝置接收的幀的中繼進(jìn)行控制的接收幀的中繼控制方法,其特征在于該中繼控制方法包括判斷連接到上述網(wǎng)絡(luò)中繼裝置的上述外部裝置是否是其它網(wǎng)絡(luò)中繼裝置的步驟; 在所連接的上述外部裝置是其它網(wǎng)絡(luò)中繼裝置的情況下,按照預(yù)先規(guī)定的認(rèn)證方法, 來與該其它網(wǎng)絡(luò)中繼裝置之間進(jìn)行認(rèn)證的步驟;在上述其它網(wǎng)絡(luò)中繼裝置的認(rèn)證成功的情況下,在上述網(wǎng)絡(luò)中繼裝置與該認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置之間交換許可一覽表的內(nèi)容的步驟,其中,該許可一覽表是為了用包含在接收到的幀中的信息來確定可中繼的幀而預(yù)先存儲的;將通過上述交換而獲取的、上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置所存儲的許可一覽表的內(nèi)容反映在上述網(wǎng)絡(luò)中繼裝置所存儲的許可一覽表中的步驟;以及按照反映了上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置所存儲的許可一覽表的內(nèi)容的許可一覽表,來判斷可否對從上述外部裝置接收到的幀進(jìn)行中繼的步驟。
      10.根據(jù)權(quán)利要求9所述的中繼控制方法,其特征在于 該中繼控制方法還包括判斷連接到上述網(wǎng)絡(luò)中繼裝置的上述外部裝置是否是發(fā)送幀的終端的步驟; 在所連接的上述外部裝置是上述發(fā)送幀的終端的情況下,按照預(yù)先規(guī)定的認(rèn)證方法, 來與該終端之間進(jìn)行認(rèn)證的步驟;以及在上述終端的認(rèn)證成功的情況下,改變上述網(wǎng)絡(luò)中繼裝置所存儲的許可一覽表的內(nèi)容,以允許從上述終端接收的幀的中繼,并且將該改變后的許可一覽表的內(nèi)容發(fā)送給上述認(rèn)證成功的上述其它網(wǎng)絡(luò)中繼裝置的步驟。
      全文摘要
      本發(fā)明提供一種網(wǎng)絡(luò)中繼裝置以及接收幀的中繼控制方法。網(wǎng)絡(luò)中繼裝置具備認(rèn)證處理部和中繼處理部,在其它網(wǎng)絡(luò)中繼裝置連接到網(wǎng)絡(luò)中繼裝置時,該認(rèn)證處理部按照認(rèn)證方法一覽表中規(guī)定的認(rèn)證方法,來與其它網(wǎng)絡(luò)中繼裝置之間進(jìn)行認(rèn)證;該中繼處理部按照許可一覽表來確定可否對網(wǎng)絡(luò)中繼裝置所接收到的幀進(jìn)行中繼,并對確定為可中繼的接收幀進(jìn)行中繼。中繼處理部以認(rèn)證成功為條件,在網(wǎng)絡(luò)中繼裝置中對從其它網(wǎng)絡(luò)中繼裝置接收到的幀也進(jìn)行中繼。
      文檔編號H04L29/06GK102377773SQ20111024354
      公開日2012年3月14日 申請日期2011年8月22日 優(yōu)先權(quán)日2010年8月24日
      發(fā)明者山田大輔 申請人:巴比祿股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1