JP2004241979A - Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program - Google Patents
Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program Download PDFInfo
- Publication number
- JP2004241979A JP2004241979A JP2003028224A JP2003028224A JP2004241979A JP 2004241979 A JP2004241979 A JP 2004241979A JP 2003028224 A JP2003028224 A JP 2003028224A JP 2003028224 A JP2003028224 A JP 2003028224A JP 2004241979 A JP2004241979 A JP 2004241979A
- Authority
- JP
- Japan
- Prior art keywords
- virtual network
- user
- identifier
- vlan
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、VLAN(仮想ローカルエリアネットワーク;virtual local areanetwork)などのフレーム転送網で代表される仮想網と、仮想網においてユーザ認証に用いられる認証サーバとに関する。
【0002】
【従来の技術】
仮想網は、実在の物理網を複数のユーザグループで物理的には共用するとともに、各ユーザグループに対しては他のユーザグループの存在を隠蔽してあたかも1つの網をそのユーザグループが独占して使用しているかのようにするものである。このような仮想網では、物理網にフレーム転送装置が接続しており、フレーム転送装置には、複数台のユーザ端末が接続される。そして、ユーザ端末を介してユーザがフレーム転送装置に接続要求を行った場合には、ユーザ認証を行ったのち、フレーム転送装置は、そのユーザ端末に仮想網識別子を割り当て、さらに、ユーザ端末からユーザフレームが送られてきたときにそのユーザフレームに、該当する仮想網識別子を付加し、フレーム転送装置間でフレーム転送を行う。このようにして、異なる仮想網識別子が割り当てられたユーザ端末間相互では通信できないようにし、1つの物理網を互いに通信不可能な複数のユーザグループに論理的に分割することができる。
【0003】
さらに、上述したような仮想網には、ユーザ端末から接続要求を行ったユーザに対するユーザ認証を行うために、認証サーバが設けられる。ユーザ認証は、フレーム転送装置と認証サーバとの間で行なわれる。認証サーバは、認証したユーザの情報に基いた仮想網識別子をフレーム転送装置に通知し、フレーム転送装置は、認証サーバから通知されたユーザの仮想網識別子と、ユーザが使用しているユーザ端末の識別子とをマッピングする。このように仮想網を構成することにより、フレーム転送装置に接続されているユーザ端末を異なったグループに所属する複数のユーザで共有することや、フレーム転送装置に対し、さまざまなユーザグループのユーザがアドホックにユーザ端末を接続することが可能になる。
【0004】
ところで、仮想網に用いられる従来の認証サーバでは、その認証サーバが保持するユーザ情報テーブルにユーザが所属するユーザグループの仮想網識別子をあらかじめ静的に設定しておき、接続要求があったユーザへの認証成功応答をフレーム転送装置に送信する際に、その認証成功応答内に仮想網識別子を埋め込むことによって、仮想網識別子をフレーム転送装置へ通知するようになっていた。そのため、あるユーザグループに所属している全てのユーザがフレーム転送網から離脱した場合であっても、そのユーザグループの仮想網識別子は占有されたままとなる。
【0005】
一般的な仮想網、特にフレーム転送網では、ユーザフレーム内に格納できる仮想網識別子の長さは12ビットであるから、仮想網識別子は最大で4094個となる(いわゆる4094VLAN制限問題)。このように仮想網内で使用できる仮想網識別子数には一般に上限があるため、仮想網識別子を静的に設定している場合には、たとえユーザグループに所属しているユーザがフレーム転送網に接続していなくてもその仮想網識別子を占有してしまうことになるので、設定することができる仮想網識別子数に上限があることになる。したがって、従来の仮想網では、契約ユーザグループ数のスケーラビリティの向上が困難である。
【0006】
【特許文献1】
特開平11−215152
【特許文献2】
特開2002−223228
【特許文献3】
特開2002−314573
【0007】
【発明が解決しようとする課題】
上述したように従来の仮想網には、4094VLAN制限問題のようにフレーム転送装置が設定することのできる仮想網識別子数に上限があるにも関わらず、ユーザが所属するユーザグループの仮想網識別子を認証サーバがそのユーザ情報テーブルに静的に設定しているため、契約することができるユーザグループ数に上限が存在し、仮想網のスケーラビリティを向上させることが困難である、という問題点がある。
【0008】
そこで本発明の目的は、仮想網における契約ユーザグループ数などのスケーラビリティ向上を向上させることにある、具体的には本発明の目的は、契約ユーザグループが仮想網識別子を占有することを回避し、契約ユーザグループ数の無制限化を実現することができる認証サーバと、そのような認証サーバを用いることによってスケーラビリティが向上したフレーム転送網とを提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明では、上記の課題を解決するために、各ユーザに割り当てられたユーザ識別子とユーザ端末グループごとに設定されるグループ識別子との対応関係を管理するユーザ情報テーブルを備える認証サーバに、グループ識別子に対して対応する仮想網識別子と接続ユーザ端末数とを管理するグループ識別子テーブルと、未使用である仮想網識別子を蓄積する蓄積部と、を設けるとともに、認証サーバに、接続要求を受けたときに認証処理を行う機能と、認証が許可された場合に、ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、抽出したグループ識別子に仮想網識別子が割り当てられているかをグループ識別子テーブルを用いて判断し、割り当てられている場合には、該当する仮想網識別子を通知するとともに該当する接続ユーザ端末数を更新し、割り当てられていない場合には、蓄積部に蓄積された未使用の仮想網識別子を抽出したグループ識別子に対応付けてグループ識別子テーブルに設定して当該仮想網識別子を通知するとともに対応する接続ユーザ端末数を更新する機能と、全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し蓄積部に蓄積する機能と、を持たせるようにしている。
【0010】
すなわち本発明では、ユーザ端末グループごとに固定的に割り当てられるグループ識別子について、そのグループ識別子に対する仮想網識別子と接続ユーザ端末数との対応関係をグループ識別子テーブルにおいて管理している。これにより、既に仮想網識別子が割り当てられているグループ識別子の情報を保持しておくことができるとともに、フレーム転送網に接続しているユーザ端末数をグループ識別子ごとに管理することが可能となる。さらに、典型的にはスタックとして実現される蓄積部によって、未使用である仮想網識別子をプールすることにより、特定のグループ識別子に占有されていない仮想網識別子情報を管理することが可能となる。すなわち、認証時に抽出したユーザ端末のグループ識別子と、グループ識別子テーブルを用いると、当該ユーザ端末のグループ識別子に該当する仮想網識別子を特定することが可能となる。
【0011】
ここで、グループ識別子に該当する仮想網識別子が存在しない場合には、プールしてある未使用の仮想網識別子をグループ識別子テーブルに割り当てることによって、仮想網識別子が割り当てられていなかったグループ識別子に対し、どのグループ識別子にも占有されていない仮想網識別子を割り当てることが可能となる。また、全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し、プールに蓄えることで、仮想網識別子の再利用が可能となる。
【0012】
結局、数的に限られた仮想網識別子を契約ユーザグループ間で共有することが可能となるとともに、契約グループによるVLAN−IDの占有を回避することができ、仮想網識別子の上限個数に制限されることなく、契約グループ数を増やすことができるようになる。
【0013】
【発明の実施の形態】
次に、本発明の好ましい実施形態について、図面を参照して説明する。
【0014】
図1は、本発明の実施の一形態の認証サーバを有する仮想網の構成の一例を示している。仮想網は、フレーム転送網として構成されており、タグ付きフレームを伝送するフレーム伝送路6と、フレーム伝送路6に接続する複数のフレーム転送装置4と、各フレーム転送装置4に接続してユーザ認証を行う認証サーバ5とを備えている。各フレーム転送装置4には、それぞれ、複数のユーザ端末1〜3が接続している。以下の説明では、フレーム転送装置4はVLANスイッチとして構成されており、また、認証サーバ5はRadius(remote authenticationdial−in user service)サーバであるとする。各ユーザ端末1〜3は、対応するフレーム転送装置4のユーザ端末用のインタフェースに接続している。認証サーバ5は、フレーム転送装置4の認証サーバ用のインタフェースに接続している。
【0015】
ここでフレーム転送装置4は、ユーザ端末用のインタフェースに接続されたユーザ端末から接続要求を受信し、認証サーバ5に対してユーザ認証要求を行う機能と、認証サーバ5からのユーザ認証応答に含まれる仮想網識別子(以下、VLAN−IDとする)を、接続要求を行ったユーザ端末に対応するユーザ端末識別子にマッピングする機能と、ユーザ端末からユーザフレームが転送されてきたときに、ユーザ端末に対して割り当てられたユーザ端末グループ(以下、VLANともいう)へのVLAN−IDを転送フレームにタグ付けし、タグ付けされたフレームをフレーム転送路6を介して相手側のフレーム転送装置に転送する機能と、を有する。ここで述べた機能は、仮想網を構成するフレーム転送装置4として一般的に備わっているものであり、本実施形態で用いるフレーム転送装置4の構成は、当業者には自明のものである。フレーム転送装置4は、上記のようにして、相互にフレーム転送を行う。
【0016】
認証サーバ5は、フレーム転送装置4からのユーザ認証要求に応じてユーザ認証を行い、ユーザ認証が成功した場合に、そのユーザの所属するグループのVLAN−IDを動的に設定し、フレーム転送装置4に対して認証応答を返信する機能を有する。図2は、このような認証サーバ5の内部構成を示している。認証サーバ5は、大別すると、フレーム転送装置4に対するインタフェースとなるVLANスイッチ接続部10と、実際にユーザ認証を行うユーザ認証応答部11と、VLAN−IDの動的な設定を行うVLAN−ID設定部12と、を備えている。ここでVLANスイッチ接続部10は、具体的には、フレーム転送装置4からのユーザ認証要求をユーザ認証応答部11に転送し、ユーザ認証応答部11からのユーザ認証応答もしくはユーザ認証拒否応答をフレーム転送装置4に送信する機能を有するとともに、フレーム転送装置4からのユーザ切断要求をユーザ認証応答部11に転送し、ユーザ認証応答部11からのユーザ切断応答をフレーム転送装置4に送信する機能を有する。
【0017】
ユーザ認証応答部11には、仮想網における従来の認証サーバと同様に、dictionaryDB(ディクショナリデータベース)13とusersDB(ユーザズデータベース)14の2つのデータベースを保持する。これらのデータベースについての詳細は、例えば、インターネット技術におけるデファクト標準を記述するRFC(Request for comments)文書のうち、RFC2138に記載されているが、dictionaryDB13は、属性として、「VLAN番号」を保持する。ここで属性「VLAN番号」の属性値形式は整数型である。また、usersDB14は、ユーザ情報テーブルに該当するものであって、VLANへのアクセス権限を持つユーザ識別子(以下、ユーザIDとする)のユーザ情報を保持し、各ユーザ情報は当該ユーザが所属するグループのグループ識別子(以下、VLAN番号と呼ぶ)を属性「VLAN番号」の属性値として保持する。
【0018】
ユーザ認証応答部11は、VLANスイッチ接続部10から受け取ったユーザ認証要求に含まれるユーザIDやパスワードに基づいてusersDB14を参照し、認証可否を決定する機能と、認証結果が許可であった場合、当該ユーザIDのVLAN番号を後述のVLAN−ID動的設定要求23としてVLAN−ID設定部12に送信する機能と、認証結果が拒否であった場合、ユーザ認証拒否応答をVLANスイッチ接続部10へと送信する機能と、VLAN−ID設定部12から受信した後述のVLAN−ID動的設定応答26のVLAN−IDと、dictionaryDB13、usersDB14とからユーザ認証応答を生成する機能と、生成したユーザ認証応答をVLANスイッチ接続部10へと送信する機能と、ユーザIDごとのセッション情報を保持する機能と、を有する。なお、usersDB14の検索方法やユーザ認証応答を生成する機能に関する詳細は、上述したRFC2138に記載されている。また、セッション情報の保持に関しては、RFC2139に記載されている。さらに、ユーザ認証応答部11は、VLANスイッチ接続部10から受け取ったユーザ切断要求のセッション情報から、当該ユーザIDを得る機能と、そのユーザIDとusersDB14とから該当するVLAN番号を抽出し、VLAN−ID削除要求としてVLAN−ID設定部12に送信する機能も備えている。こうしたユーザ認証応答部11の各機能は、例えば、ここには図示していないが、ユーザ認証応答部11内に設けられる認証応答制御部が実行する。
【0019】
VLAN−ID設定部12は、グループ識別子(VLAN番号)を保持するテーブルであるVLAN番号テーブル15と、未使用であるVLAN−IDをプールしておく未使用VLAN−ID(仮想網識別子)蓄積部として機能するVLAN−IDスタック16を有する。未使用であるVLAN−IDをプールするための機構としては、各種の記憶機構を用いることができるが、本実施形態では、スタック構成(後入れ先出し構成)の記憶機構を用い、演算処理量の削減などを図っている。
【0020】
VLAN番号テーブル15は、図3に示すように、VLAN番号を格納するVLAN番号フィールド20と、VLAN−IDを格納するVLAN−IDフィールド21と、カウンタフィールド22とから構成されている。このVLAN番号テーブル15では、既にVLAN−IDが割り当てられているVLAN番号ごとにエントリが設けられ、そのVLAN番号と、そのVLAN番号に対応してVLANのVLAN−IDと、そのVLANに接続している接続ユーザ端末数とが組となって、それぞれ、VLAN番号フィールド20、VLAN−IDフィールド21およびカウンタフィールド22に保持されるようになっている。
【0021】
VLAN−IDスタック16は、図4に示すように、データ長が12ビットであるデータブロックを4094個保持するものである。この4094という数字は、一般的な仮想網における仮想網識別子数の上限の数である。初期状態においてVLAN−IDスタック16は、1から4094までの各整数値をスタック内で昇順に保持している。
【0022】
VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別が「1」である場合、その設定要求中のVLAN番号をキーとしてVLAN番号テーブル15内を検索し、設定要求中のVLAN番号と同じVLAN番号が格納されているVLAN番号フィールド20を有するエントリがあるかどうかを調べる。そして、ヒットするエントリが存在した場合には、そのユーザがアクセス権を持つVLANに対して既にVLAN−IDが割り当てられているとして、VLAN−ID設定部12は、そのエントリのVLAN−IDフィールド21に格納されているVLAN−IDの値をVLAN−ID動的設定応答26としてユーザ認証応答部11に返答し、さらに、そのエントリのカウンタフィールド22の値に1を加算する。
【0023】
これに対してヒットするエントリが存在しない場合には、そのユーザがアクセス権を持つVLANに対しては未だVLAN−IDは割り当てられていないとして、VLAN−ID設定部12は、そのVLAN番号のエントリをVLAN番号テーブル15に作成するとともに、VLAN−IDスタック16からデータ(VLAN−ID)を1つポップアップし、VLAN−IDテーブル15のその作成したエントリにおいて、そのVLAN番号をVLAN番号フィールド20に格納し、VLAN−IDスタック16から取り出した値をVLAN−IDフィールド21に格納し、カウンタフィールド22に「1」をセットする。さらに、VLAN−ID設定部12は、その作成したエントリのVLAN−IDフィールド21に格納した値を新たに割り当てるVLAN−IDとして後述のVLAN−ID動的設定応答26を作成し、ユーザ認証応答部11に送信する機能を有する。
【0024】
さらに、VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求の要求種別が「0」である場合、その要求はユーザ切断要求によるVLAN−ID解放要求であると判断し、その設定要求中のVLAN番号をキーとしてVLAN番号テーブル15内を検索してそのVLAN番号と同じVLAN番号が格納されているVLAN番号フィールド20を有するエントリを探し出す。この場合、ユーザ切断要求は既にVLAN−IDを割り当てたVLAN番号に関してしか起こらないので、ヒットするエントリは必ず存在する。そして、VLAN−ID設定部12は、ヒットしたエントリのカウンタフィールド22の値から1を減算するとともに、その減算後のカウンタフィールド22の値が「0」になったかどうかを判断する。カウンタフィールド22の値が「0」になった場合は、そのVLAN番号のVLANからは全てのユーザ端末が離脱したとして、そのヒットしたエントリのVLAN−IDフィールド21の値をVLAN−IDスタック16へとプッシュダウンし、そのエントリを削除する。これによって、該当するVLAN−IDは未使用のものとされて、別のVLANに使用することが可能になる。なお、カウンタフィールド22の値が1以上の場合は、まだそのVLANに接続しているユーザ端末が存在する場合なので、VLAN−IDスタック16でのプッシュ処理は行われない。
【0025】
以上説明したようなVLAN−ID設定部12の各機能は、例えば、ここには図示していないが、VLAN−ID設定部12内に設けられる設定制御部が実行する。
【0026】
図5は、ユーザ認証応答部11がVLAN−ID設定部12に対して送信するVLAN−ID動的設定要求23の構成の一例を示している。VLAN−ID動的設定要求23は、要求種別を格納する要求種別フィールド24と、VLAN番号を格納するVLAN番号フィールド25とから構成されている。要求種別フィールド24は、ユーザ認証応答部11がユーザ認証要求を受けた際にVLAN−IDの割り当てを要求する場合には、値として「1」を保持し、ユーザ認証応答部11がユーザ切断要求を受けた際にVLAN−IDの割り当て解除を要求する場合には、値として「0」を保持する。VLAN番号フィールド25に格納されるVRAN番号は、VLAN−IDの動的設定を要求するVLANのVLAN番号である。
【0027】
図6は、VLAN−ID設定部12がユーザ認証応答部11に対して送信するVLAN−ID動的設定応答26の構成の一例を示している。VLAN−ID動的設定応答26にはVLAN−IDを格納するVLAN−IDフィールド27が設けられる。
【0028】
図5および図6にそれぞれ示したVLAN−ID動的設定要求23およびVLAN−ID動的設定応答26により、上述したようにVLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24の値が「1」であった場合に、その設定要求23のVLAN番号フィールド25に格納されているVLAN番号と同じものをVLAN番号テーブル15において検索し、ヒットしたエントリのVLAN−IDフィールド21に格納されている値をVLAN−ID動的設定応答26のVLAN−IDフィールド27に格納してユーザ認証応答部11に送信する。なお、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24が「0」であった場合には、VLAN−ID設定部12は、VLAN−ID動的設定応答26をユーザ認証応答部11に送信しない。
【0029】
次に、本実施形態の認証サーバの動作について説明する。ここでは、図1に示した仮想網において、2台あるフレーム転送装置4のうちの図示右側のフレーム転送装置のユーザ端末1〜3をそれぞれユーザ#1〜ユーザ#3が使用するものとする。ユーザ端末1を使用するユーザ#1のユーザIDが「user1」、そのユーザ#1のパスワードが「pass1」、ユーザ1#がアクセス権限を持っているVLANのVLAN番号が「5000」であるとし、ユーザ端末2を使用するユーザ#2のユーザIDが「user2」、そのユーザ#2のパスワードが「pass2」、ユーザ#2がアクセス権限を持っているVLANのVLAN番号が「5000」であり、ユーザ端末3を使用するユーザ#3のユーザIDが「user3」、ユーザ#3のパスワードが「pass3」、ユーザ3#がアクセス権限を持っているVLANのVLAN番号が「10」であるとする。
【0030】
ここで、VLAN番号は、この仮想網に対するユーザグループの契約ごとに昇順に割り振るものとする。したがって、図においては明示的には示されていないが、この仮想網に対しては、潜在的にVLANグループの数が5000以上存在することになる。このVLANグループの数は、VLAN−IDの個数である4094よりも大きい。また、ユーザ端末3を使用するユーザ#3は既に認証サーバ5により認証され、仮想網(フレーム転送網)へと接続しているものとする。
【0031】
ユーザ#1、ユーザ#2およびユーザ#3は、それぞれがアクセス権限を持っているVLANへアクセスするとき、それぞれのユーザIDとパスワードをユーザ情報としてフレーム転送装置4(この場合、対応するユーザ端末1〜3が直接収容されている図示右側のフレーム転送装置)に通知する。通知を受けたフレーム転送装置4は、ユーザ端末1〜3から通知されたユーザ情報に基づいて、ユーザ端末1〜3のユーザ認証要求を認証サーバ5に対し行う。
【0032】
図8は、ユーザ端末1を使用するユーザ#1からのユーザ認証要求を認証サーバ5が処理する動作を示している。
【0033】
この仮想網はフレーム転送網であるので、ユーザ認証要求、ユーザ認証応答なども全てフレームとして転送されるようになっている。ユーザ端末1からのユーザ認証要求フレーム30は、ユーザIDとして「user1」を、パスワードとして「pass1」を格納している。VLANスイッチ接続部10は、フレーム転送装置4から受信したこのユーザ認証要求フレーム30をユーザ認証応答部11に転送する。
【0034】
ユーザ認証要求フレーム30を受信したユーザ認証応答部11では、ユーザID「user1」とパスワード「pass1」とをキーとしてusersDB14が検索される。usersDB14においてユーザ#1に対応付けられているVLAN番号は、ユーザ#1がアクセス権限を持っているVLANのVLAN番号の「5000」である。そして、パスワードなどによるユーザ認証が成功すると、ユーザ認証応答部11は、VLAN番号フィールド25をそのユーザ#1のVLAN番号である「5000」とし、要求種別フィールド24を「1」としたVLAN−ID動的設定要求23をVLAN−ID設定部12へと送信する。
【0035】
VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24の値が「1」であるため、VLAN−IDの割り当てを要求するものだと判断し、VLAN−ID動的設定要求23のVLAN番号フィールド25に格納された「5000」をキーにして、VLAN番号テーブル15においてVLAN番号フィールド20に「5000」が格納されたエントリがあるかどうかを検索する。この時点では、ユーザ端末3のみが認証されて仮想網に接続しているから、VLAN番号テーブル15では、図9の(a)に示すように、VLAN番号が「10」であるエントリのみが存在する。したがって、VLAN番号を「5000」とした検索ではエントリがヒットしないこととなり、VLAN−ID設定部12は、VLAN−ID動的設定要求23によって通知されたVLAN番号が「5000」であるVLANに対しては未だにVLAN−IDが割り当てられていないと判断する。そしてVLAN−ID設定部12は、VLAN番号テーブル15に新たにエントリを生成してそのエントリのVLAN番号フィールド20に「5000」を格納し、VLAN−IDスタック16から値を1個ポップアップする。ポップアップする直前の時点においては、VLAN番号が「10」であるVLANのみにVLAN−IDが割り当てられおり、その割り当てられたVLAN−IDは「1」であるから、VLAN−IDスタック16には、図10の(a)に示すように、2から4094までの4093個の値が格納されている。これにより、ポップアップによって、VLAN−IDスタック16からその先頭の値「2」が取り出される。VLAN−ID設定部12は、その生成したエントリのVLAN−IDフィールド21に、ポップアップした値「2」を格納し、さらに、カウンタフィールド22の値を「1」にする。
【0036】
以上の処理により、VLAN番号テーブル15の内容は図9の(b)に示すようになり、VLAN−IDスタック16の内容は図10の(b)に示すようになる。さらにVLAN−ID設定部12は、VLAN番号テーブル15のVLAN番号が「5000」であるエントリのVLAN−IDフィールド21の値「2」をVLAN−ID動的設定応答26のVLAN−IDフィールド27に格納し、そのVLAN−ID動的設定応答26をユーザ認証応答部11へと送信する。
【0037】
このVLAN−ID動的設定応答26を受信したユーザ認証応答部11は、VLAN−ID動的設定応答26のVLAN−IDフィールド27の値「2」を、ユーザ#1のユーザ端末1に割り当てられるVLAN−IDとしてユーザ認証応答パケット31を作成し、VLANスイッチ接続部10へと送信し、またユーザ#1に関するセッション情報を更新する。ユーザ認証応答パケット31を受信したVLANスイッチ接続部10は、フレーム転送装置4にユーザ認証応答パケット31を転送する。これによって、ユーザ#1はユーザ端末1を使用して、VLAN−IDを「2」として仮想網を用いた通信を行えるようになる。
【0038】
次に、上述したユーザ#1のユーザ認証に引き続いてユーザ端末2を使用するユーザ#2からのユーザ認証要求を受け付けた場合の処理を説明する。
【0039】
ユーザ#2に関するユーザ認証要求フレーム30は、ユーザIDとして「user2」を、パスワードとして「pass2」を格納しており、フレーム転送装置4から認証サーバ5に送られる。認証サーバ5のVLANスイッチ接続部10は、フレーム転送装置4から受信したユーザ認証要求フレーム30をユーザ認証応答部11に転送する。ユーザ認証要求フレーム30を受信したユーザ認証応答部11では、ユーザID「user2」とパスワード「pass2」とをキーとしてusersDB14を検索する。usersDB14においては、ユーザ#2に対して、ユーザ#2がアクセス権限を持っているVLANのVLAN番号である「5000」が対応付けられており、ユーザ認証応答部11は、ユーザ認証の成功後、VLAN番号フィールド25をそのユーザ#2のVLAN番号である「5000」とし、要求種別フィールド24を「1」として、VLAN−ID動的設定要求23をVLAN−ID設定部12へと送信する。
【0040】
VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24が「1」であるため、VLAN−IDの割り当てを要求するものだと判断し、VLAN−ID動的設定要求23のVLAN番号フィールド25の値に基づいてVLAN番号テーブル15を検索する。この時点では、VLAN番号「5000」がVLAN番号テーブル15のVLAN番号フィールド20に格納されているのでそのエントリがヒットする。VLAN−ID設定部12は、VLAN番号「5000」に対しては既にVLAN−IDが割り当てられていると判断して、そのヒットしたエントリのカウンタフィールド22の値に1を加算する。その結果、カウンタフィールド22の値は「2」となる。この時点でのVLAN番号テーブル41の内容が図9の(c)に示されている。さらにVLAN−ID設定部12は、そのエントリのVLAN−IDフィールド21の値「2」をVLAN−ID動的設定応答26のVLAN−IDフィールド27に格納し、そのVLANーID動的設定応答26をユーザ認証応答部11へと送信する。
【0041】
VLAN−ID動的設定応答26を受信したユーザ認証応答部11は、ユーザ#2のセッション情報を更新するとともに、VLAN−ID動的設定応答26のVLAN−IDフィールド27の値「2」をユーザ#2のユーザ端末2のVLAN−IDとするユーザ認証応答フレーム31を作成し、そのユーザ認証応答フレーム31をVLANスイッチ接続部10へと送信する。ユーザ認証応答フレーム31を受信したVLANスイッチ接続部10は、フレーム転送装置4にユーザ認証応答フレーム31を転送する。
【0042】
次に、ユーザ#1、ユーザ#2が仮想網に接続した後、ユーザ#3が仮想網から離脱する際の処理を説明する。図11は、ユーザ端末3を使用するユーザ#3からのユーザ切断要求を認証サーバ5が処理する動作を示している。
【0043】
仮想網からの切断を要求する場合には、ユーザ認証要求に用いられるフレームの1つであるユーザ切断要求フレーム32において、切断要求を示す「stop」フラグが格納される。VLANスイッチ接続部10は、フレーム転送装置4から受信したユーザ切断要求フレーム32をユーザ認証応答部11に転送する。
【0044】
ユーザ切断要求フレーム32を受信したユーザ認証応答部11は、切断要求を示す「stop」フラグの存在により切断要求であると判断し、ユーザごとに保持するセッション情報からのユーザIDを参照し「user3」を得る。さらにユーザID「user3」とパスワード「pass3」とをキーとしてusersDB14を検索する。usersDB14においてはユーザ#3に対し、ユーザ#3がアクセス権限を持っているVLANのVLAN番号「10」が対応付けられており、ユーザ認証応答部11は、VLAN番号フィールド25をユーザ#3のVLAN番号である「10」とし、要求種別フィールド14を「0」としてVLAN−ID動的設定要求23を生成してVLAN−ID設定部12へと送信する。また、ユーザ認証応答部11は、ユーザ切断応答フレーム33を生成しVLANスイッチ接続部10へと送信する。ユーザ切断応答フレーム33を受信したVLANスイッチ接続部10は、フレーム転送装置4にユーザ切断応答フレーム33を転送する。
【0045】
VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24が「0」であるため、VLAN−IDの解放を要求するものだと判断する。そしてVLAN−ID動的設定要求23のVLAN番号フィールド25に格納された「10」をキーにして、VLAN番号テーブル15におけるVLAN番号フィールド20に「10」が格納されたエントリを検索する。そして、検索されたエントリにおけるカウンタフィールドの値から1を減算する。この場合、VLAN番号「10」に対応するエントリにおけるカウンタフィールド22の値は「1」であったから、このカウンタフィールド22の値は「0」に変化する。カウンタフィールド22の値が「0」となったことにより、VLAN−ID設定部12は、そのエントリのVLAN−IDフィールド21の値(この場合「1」)をVLAN−IDスタック16へとプッシュし、そのエントリを削除する。
【0046】
その結果、VLAN番号テーブル15の内容は図9の(d)に示すようになり、VLAN−IDスタック16の内容は図10の(c)に示すようになる。
【0047】
以上説明したように、この実施の形態では、各ユーザ端末グループに対してはVLAN番号(グループ識別子)を予め割り当てておき、実際に仮想網を使用する際に必要となるVLAN−ID(仮想網識別子)については、接続要求があった時点で動的に割り当てるので、同時接続可能なユーザ端末グループ数が制約されるだけであって、仮想網として利用可能な仮想網識別子の数の上限を超えたユーザ端末グループと契約してVLAN接続を提供することができる。上述した例では、VLAN番号が「5000」であって4094を超える場合であっても、VLAN接続が提供されている。また、全てのユーザ端末が離脱したユーザ端末グループのVLAN番号に割り当てられていたVLAN−IDは解放され、未使用のVLAN−IDとしてプールされるので、複数のグループでのVLAN−IDの共有が可能である。
【0048】
さらに、上記の説明においては、VLAN−IDが割り当てられていないVLANのVLAN番号のエントリはVLAN番号テーブル15には存在しないようになっているが、すなわち、VLAN番号テーブル15のエントリ自体も動的に生成するようになっているが、本発明はこれに限られるものではない。全ての契約ユーザ端末グループのVLAN番号をVLAN番号テーブル15に静的に登録しておき、そのVLAN番号のエントリのVLAN−IDフィールドにVLAN−IDの値が格納されているか否かでVLAN−IDが割り当てられているか否かを判別するようにしてもよい。
【0049】
上述した認証サーバは、それを実現するための計算機プログラムをサーバ用コンピュータに読み込ませ、そのプログラムを実行させることによっても実現できる。そのプログラムは、磁気テープやCD−ROMなどの記録媒体によって、コンピュータに読み込まれる。サーバ用コンピュータは、一般に、中央処理装置(CPU)と、プログラムやデータを格納するためのハードディスク装置と、主メモリと、キーボードやマウスなどの入力装置と、CRTなどの表示装置と、磁気テープやCD−ROM等の記録媒体を読み取る読み取り装置と、フレーム転送装置との接続に用いる通信インタフェースとから構成されている。ハードディスク装置、主メモリ、入力装置、表示装置、読み取り装置及び通信インタフェースは、いずれも中央処理装置に接続している。このコンピュータは、上述した認証サーバの各機能を実現するためのプログラムを格納した記録媒体を読み取り装置に装着し、記録媒体からプログラムを読み出してハードディスク装置に格納し、ハードディスク装置に格納されたプログラムを中央処理装置が実行することにより、認証サーバとして機能する。さらに、プログラムは、記録媒体からではなくネットワークを介してサーバ用コンピュータに読込まれるようにしてもよい。
【0050】
以上説明した実施の形態では、各フレーム転送装置に接続するユーザ端末の数はそれぞれ3であり、またユーザ数も3であったが、当業者には容易に理解できるように、本発明ではそれらの数には制限はない。認証サーバがRadiusサーバであるとしたが、本発明はそれに限るものではない。フレーム転送装置をVLANスイッチとしたが、本発明はそれに限るものではなく、またフレーム転送装置の個数にも制限されるものではない。
【0051】
【発明の効果】
以上説明したように本発明は、仮想網識別子(VLAN−ID)を動的に割り当てることにより、契約グループによる仮想網識別子の占有を回避でき、契約グループ数における制約をなくすことができるとともに、数的に限られた仮想網識別子を契約グループ間で共有することができるようになる、という効果がある。
【図面の簡単な説明】
【図1】仮想網の構成の一例を示す説明図である。
【図2】本発明の実施の一形態の認証サーバの内部構成を示すブロック図である。
【図3】VLAN番号テーブルの構成を示す図である。
【図4】VLAN−IDスタックの構成を示す図である。
【図5】VLAN−ID動的設定要求の構成の一例を示す図である。
【図6】VLAN−ID動的設定応答の構成の一例を示す図である。
【図7】仮想網でのユーザ認証の適用場面を示した説明図である。
【図8】ユーザ認証要求を認証サーバが処理する際の動作を説明する図である。
【図9】VLAN番号テーブルの内容の変化の一例を示す図である。
【図10】VLAN−IDスタックの内容の変化の一例を示す図である。
【図11】ユーザ切断要求を認証サーバが処理する際の動作を説明する図である。
【符号の説明】
1〜3 ユーザ端末
4 フレーム転送装置
5 認証サーバ
6 フレーム伝送路
10 VLANスイッチ接続部
11 ユーザ認証応答部
12 VLAN−ID設定部
13 ディクショナリデータベース(dictionaryDB)
14 ユーザズデータベース(usersDB)
15 VLAN番号テーブル
16 VLAN−IDスタック
20,25 VLAN番号フィールド
21,27 VLAN−IDフィールド
22 カウンタフィールド
23 VLAN−ID動的設定要求
24 要求種別フィールド
26 VLAN−ID動的設定応答
30 ユーザ認証要求フレーム
31 ユーザ認証応答フレーム
32 ユーザ切断要求フレーム
33 ユーザ切断応答フレーム[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a virtual network represented by a frame transfer network such as a VLAN (virtual local area network) and an authentication server used for user authentication in the virtual network.
[0002]
[Prior art]
A virtual network physically shares an actual physical network with a plurality of user groups, and conceals the existence of other user groups for each user group, as if one user group monopolizes one network. As if you were using it. In such a virtual network, a frame transfer device is connected to a physical network, and a plurality of user terminals are connected to the frame transfer device. Then, when the user makes a connection request to the frame transfer device via the user terminal, after performing user authentication, the frame transfer device assigns a virtual network identifier to the user terminal, and further, the user terminal When a frame is sent, a corresponding virtual network identifier is added to the user frame, and frame transfer is performed between frame transfer devices. In this way, communication cannot be performed between user terminals to which different virtual network identifiers are assigned, and one physical network can be logically divided into a plurality of user groups that cannot communicate with each other.
[0003]
Further, in the above-described virtual network, an authentication server is provided for performing user authentication for a user who has made a connection request from a user terminal. User authentication is performed between the frame transfer device and the authentication server. The authentication server notifies the frame transfer device of the virtual network identifier based on the information of the authenticated user, and the frame transfer device notifies the virtual network identifier of the user notified from the authentication server and the user terminal of the user used by the user. Map with an identifier. By configuring the virtual network in this way, the user terminals connected to the frame transfer device can be shared by a plurality of users belonging to different groups, and users of various user groups can be connected to the frame transfer device. It becomes possible to connect a user terminal to ad hoc.
[0004]
By the way, in the conventional authentication server used for the virtual network, the virtual network identifier of the user group to which the user belongs is statically set in advance in the user information table held by the authentication server, and the user who has made the connection request is When the authentication success response is transmitted to the frame transfer device, the virtual network identifier is notified to the frame transfer device by embedding the virtual network identifier in the authentication success response. Therefore, even when all users belonging to a certain user group have left the frame transfer network, the virtual network identifier of the user group remains occupied.
[0005]
In a general virtual network, particularly a frame transfer network, since the length of a virtual network identifier that can be stored in a user frame is 12 bits, the maximum number of virtual network identifiers is 4094 (so-called 4094 VLAN restriction problem). As described above, there is generally an upper limit to the number of virtual network identifiers that can be used in a virtual network. Therefore, when virtual network identifiers are statically set, even if a user belonging to a user group is assigned to the frame transfer network, Even if the virtual network identifier is not connected, the virtual network identifier is occupied, so that there is an upper limit to the number of virtual network identifiers that can be set. Therefore, in the conventional virtual network, it is difficult to improve the scalability of the number of contract user groups.
[0006]
[Patent Document 1]
JP-A-11-215152
[Patent Document 2]
JP-A-2002-223228
[Patent Document 3]
JP-A-2002-314573
[0007]
[Problems to be solved by the invention]
As described above, although the conventional virtual network has an upper limit on the number of virtual network identifiers that can be set by the frame transfer device as in the case of the 4094 VLAN restriction problem, the virtual network identifier of the user group to which the user belongs is Since the authentication server statically sets in the user information table, there is an upper limit on the number of user groups that can subscribe, and there is a problem that it is difficult to improve the scalability of the virtual network.
[0008]
Therefore, an object of the present invention is to improve scalability improvement such as the number of contract user groups in a virtual network. Specifically, an object of the present invention is to prevent a contract user group from occupying a virtual network identifier, An object of the present invention is to provide an authentication server capable of realizing an unlimited number of contracted user groups, and a frame transfer network with improved scalability by using such an authentication server.
[0009]
[Means for Solving the Problems]
In the present invention, in order to solve the above-described problem, an authentication server including a user information table for managing a correspondence between a user identifier assigned to each user and a group identifier set for each user terminal group is provided with a group identifier. A group identifier table for managing the corresponding virtual network identifier and the number of connected user terminals, and a storage unit for storing unused virtual network identifiers, and when the authentication server receives a connection request. A function for performing an authentication process, and when authentication is permitted, extracts a group identifier of the user terminal using the user information table, and determines whether a virtual network identifier is assigned to the extracted group identifier in the group identifier table. If it is assigned, the corresponding virtual network identifier is notified and the corresponding The number of connected user terminals is updated, and if not assigned, unused virtual network identifiers stored in the storage unit are set in the group identifier table in association with the extracted group identifiers and the virtual network identifiers are notified. And a function to release the virtual network identifier corresponding to the user terminal group from which all the user terminals have left as unused and to store the virtual network identifier in the storage unit. I have.
[0010]
That is, in the present invention, for a group identifier fixedly assigned to each user terminal group, the correspondence between the virtual network identifier and the number of connected user terminals for the group identifier is managed in the group identifier table. As a result, it is possible to hold information on the group identifier to which the virtual network identifier is already assigned, and to manage the number of user terminals connected to the frame transfer network for each group identifier. Furthermore, by pooling unused virtual network identifiers by a storage unit, typically implemented as a stack, it becomes possible to manage virtual network identifier information that is not occupied by a specific group identifier. That is, by using the group identifier of the user terminal extracted at the time of authentication and the group identifier table, it is possible to specify the virtual network identifier corresponding to the group identifier of the user terminal.
[0011]
Here, when there is no virtual network identifier corresponding to the group identifier, the unused virtual network identifiers pooled are assigned to the group identifier table, so that the group identifiers to which no virtual network identifiers have been assigned are assigned. , It is possible to assign a virtual network identifier that is not occupied by any group identifier. Further, the virtual network identifier corresponding to the user terminal group from which all the user terminals have left is released as unused and stored in the pool, so that the virtual network identifier can be reused.
[0012]
As a result, a limited number of virtual network identifiers can be shared between the contracted user groups, and the occupation of the VLAN-ID by the contracted group can be avoided. Without increasing the number of contract groups.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, a preferred embodiment of the present invention will be described with reference to the drawings.
[0014]
FIG. 1 shows an example of a configuration of a virtual network having an authentication server according to an embodiment of the present invention. The virtual network is configured as a frame transfer network, and includes a
[0015]
Here, the
[0016]
The
[0017]
The user authentication response unit 11 holds two databases, a dictionaryDB (dictionary database) 13 and a usersDB (users database) 14, similarly to the conventional authentication server in the virtual network. The details of these databases are described in, for example, RFC2138 among RFC (Request for Comments) documents that describe de facto standards in the Internet technology. The
[0018]
The user authentication response unit 11 refers to the
[0019]
The VLAN-
[0020]
As shown in FIG. 3, the VLAN number table 15 includes a
[0021]
As shown in FIG. 4, the VLAN-
[0022]
When the request type of the VLAN-ID
[0023]
On the other hand, if there is no hit entry, the VLAN-
[0024]
Further, when the request type of the VLAN-ID dynamic setting request received from the user authentication response unit 11 is “0”, the VLAN-
[0025]
Each of the functions of the VLAN-
[0026]
FIG. 5 shows an example of the configuration of the VLAN-ID
[0027]
FIG. 6 shows an example of a configuration of the VLAN-ID
[0028]
According to the VLAN-ID
[0029]
Next, the operation of the authentication server of the present embodiment will be described. Here, in the virtual network shown in FIG. 1, it is assumed that the
[0030]
Here, the VLAN numbers are assigned in ascending order for each contract of the user group with this virtual network. Therefore, although not explicitly shown in the figure, there are potentially 5000 or more VLAN groups for this virtual network. The number of VLAN groups is larger than 4094, which is the number of VLAN-IDs. It is also assumed that the
[0031]
When the
[0032]
FIG. 8 shows an operation in which the
[0033]
Since this virtual network is a frame transfer network, user authentication requests and user authentication responses are all transferred as frames. The user
[0034]
In the user authentication response unit 11 that has received the user
[0035]
The VLAN-
[0036]
With the above processing, the contents of the VLAN number table 15 become as shown in FIG. 9B, and the contents of the VLAN-
[0037]
Upon receiving the VLAN-ID
[0038]
Next, a process when a user authentication request from the
[0039]
The user
[0040]
Since the
[0041]
Upon receiving the VLAN-ID
[0042]
Next, processing when
[0043]
When requesting disconnection from the virtual network, a “stop” flag indicating a disconnection request is stored in a user
[0044]
Upon receiving the user
[0045]
Since the
[0046]
As a result, the contents of the VLAN number table 15 are as shown in FIG. 9D, and the contents of the VLAN-
[0047]
As described above, in this embodiment, a VLAN number (group identifier) is assigned to each user terminal group in advance, and a VLAN-ID (virtual network) required when actually using the virtual network is used. Identifier) is dynamically allocated at the time of the connection request, so that only the number of user terminal groups that can be simultaneously connected is limited, and the number exceeds the upper limit of the number of virtual network identifiers that can be used as a virtual network. And provide a VLAN connection by contracting with a user terminal group. In the example described above, the VLAN connection is provided even when the VLAN number is “5000” and exceeds 4094. Also, the VLAN-ID assigned to the VLAN number of the user terminal group from which all user terminals have left is released and pooled as unused VLAN-IDs, so that sharing of VLAN-IDs among a plurality of groups is not possible. It is possible.
[0048]
Further, in the above description, the entry of the VLAN number of the VLAN to which the VLAN-ID is not assigned does not exist in the VLAN number table 15, that is, the entry itself of the VLAN number table 15 is also dynamic. , But the present invention is not limited to this. The VLAN numbers of all the contract user terminal groups are statically registered in the VLAN number table 15, and the VLAN-ID is determined based on whether the VLAN-ID value is stored in the VLAN-ID field of the entry of the VLAN number. It may be determined whether or not is assigned.
[0049]
The above-described authentication server can also be realized by causing a computer for a server to read a computer program for realizing the authentication server and executing the program. The program is read into a computer by a recording medium such as a magnetic tape or a CD-ROM. The server computer generally includes a central processing unit (CPU), a hard disk device for storing programs and data, a main memory, an input device such as a keyboard and a mouse, a display device such as a CRT, a magnetic tape, It comprises a reading device for reading a recording medium such as a CD-ROM, and a communication interface used for connection with a frame transfer device. The hard disk device, main memory, input device, display device, reading device, and communication interface are all connected to the central processing unit. This computer attaches a recording medium storing a program for realizing the functions of the above-described authentication server to a reading device, reads the program from the recording medium, stores the program in a hard disk device, and executes the program stored in the hard disk device. When executed by the central processing unit, it functions as an authentication server. Further, the program may be read into the server computer via a network instead of from a recording medium.
[0050]
In the above-described embodiment, the number of user terminals connected to each frame transfer device is 3 and the number of users is 3. However, as will be easily understood by those skilled in the art, the present invention employs these. There is no limit on the number of. Although the authentication server is a Radius server, the present invention is not limited to this. Although the frame transfer device is a VLAN switch, the present invention is not limited thereto, and is not limited to the number of frame transfer devices.
[0051]
【The invention's effect】
As described above, according to the present invention, by allocating a virtual network identifier (VLAN-ID) dynamically, the occupation of the virtual network identifier by the contract group can be avoided, and the restriction on the number of contract groups can be eliminated. There is an effect that a limited virtual network identifier can be shared between contract groups.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram illustrating an example of a configuration of a virtual network.
FIG. 2 is a block diagram showing an internal configuration of the authentication server according to the embodiment of the present invention.
FIG. 3 is a diagram showing a configuration of a VLAN number table.
FIG. 4 is a diagram showing a configuration of a VLAN-ID stack.
FIG. 5 is a diagram illustrating an example of a configuration of a VLAN-ID dynamic setting request.
FIG. 6 is a diagram illustrating an example of a configuration of a VLAN-ID dynamic setting response.
FIG. 7 is an explanatory diagram showing an application scene of user authentication in a virtual network.
FIG. 8 is a diagram illustrating an operation when an authentication server processes a user authentication request.
FIG. 9 is a diagram illustrating an example of a change in the contents of a VLAN number table.
FIG. 10 is a diagram illustrating an example of a change in the content of a VLAN-ID stack.
FIG. 11 is a diagram illustrating an operation when an authentication server processes a user disconnection request.
[Explanation of symbols]
1-3 user terminal
4 Frame transfer device
5 Authentication server
6 Frame transmission path
10 VLAN switch connection
11 User authentication response section
12 VLAN-ID setting unit
13 dictionary database (dictionaryDB)
14 Users database (usersDB)
15 VLAN number table
16 VLAN-ID stack
20, 25 VLAN number field
21,27 VLAN-ID field
22 Counter field
23 VLAN-ID dynamic setting request
24 Request type field
26 VLAN-ID dynamic setting response
30 User authentication request frame
31 User authentication response frame
32 User disconnection request frame
33 User disconnection response frame
Claims (12)
前記グループ識別子に対して対応する仮想網識別子と接続ユーザ端末数とを管理するグループ識別子テーブルと、
未使用である仮想網識別子を蓄積する蓄積部と、
を有し、
前記ユーザ端末から接続要求を受けると認証処理を行い、認証が許可された場合に、前記ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、前記抽出したグループ識別子に仮想網識別子が割り当てられているかを前記グループ識別子テーブルを用いて判断し、割り当てられている場合には、該当する仮想網識別子を接続応答によって通知するとともに該当する接続ユーザ端末数を更新し、割り当てられていない場合には、前記蓄積部に蓄積された未使用の仮想網識別子を前記抽出したグループ識別子に対応付けて前記グループ識別子テーブルに設定し当該仮想網識別子を接続応答によって通知するとともに対応する接続ユーザ端末数を更新し、
全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し前記蓄積部に蓄積する、認証サーバ。Used in a virtual network which provides a logically divided network connection for each user terminal group by assigning a virtual network identifier to a user terminal and adding the allocated virtual network identifier to a user frame from the user terminal; An authentication server that performs user authentication by having a user information table that manages a correspondence relationship between a user identifier assigned to each user and a group identifier set for each user terminal group,
A group identifier table for managing a virtual network identifier and the number of connected user terminals corresponding to the group identifier,
A storage unit for storing unused virtual network identifiers;
Has,
When a connection request is received from the user terminal, an authentication process is performed. When the authentication is permitted, a group identifier of the user terminal is extracted using the user information table, and a virtual network identifier is assigned to the extracted group identifier. Is determined using the group identifier table, if assigned, the corresponding virtual network identifier is notified by a connection response and the number of connected user terminals is updated, and if not assigned, Sets the unused virtual network identifier stored in the storage unit to the group identifier table in association with the extracted group identifier, notifies the virtual network identifier by a connection response, and sets the corresponding number of connected user terminals. Updated,
An authentication server that releases a virtual network identifier corresponding to a user terminal group from which all user terminals have left as unused and stores the virtual network identifier in the storage unit.
前記認証サーバは、
前記グループ識別子に対して対応する仮想網識別子と接続ユーザ端末数とを管理するグループ識別子テーブルと、
未使用である仮想網識別子を蓄積する蓄積部と、
を有し、
前記認証サーバは、前記フレーム転送装置を介して前記ユーザ端末からの接続要求を受けると認証処理を行い、認証が許可された場合に、前記ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、前記抽出したグループ識別子に該当する仮想網識別子が割り当てられているかを前記グループ識別子テーブルを用いて判断し、割り当てられている場合には、該当する仮想網識別子を前記フレーム転送装置に通知するとともに対応する接続ユーザ端末数を更新し、割り当てられていない場合には、前記蓄積部に蓄積された未使用の仮想網識別子を前記抽出したグループ識別子に対応付けて前記グループ識別子テーブルに設定して当該仮想網識別子を前記フレーム転送装置に通知するとともに対応する接続ユーザ端末数を更新し、
さらに前記認証サーバは、全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し前記蓄積部に蓄積する、フレーム転送網。An authentication server having a user information table for managing a correspondence between a user identifier assigned to each user and a group identifier set for each user terminal group and performing user authentication, and a frame transfer device to which the user terminal is connected Having a virtual network identifier assigned to the user terminal, and the frame transfer device logically dividing each user terminal group by adding the assigned virtual network identifier to a user frame from the user terminal. A frame transfer network for providing a network connection,
The authentication server,
A group identifier table for managing a virtual network identifier and the number of connected user terminals corresponding to the group identifier,
A storage unit for storing unused virtual network identifiers;
Has,
The authentication server performs an authentication process upon receiving a connection request from the user terminal via the frame transfer device, and extracts a group identifier of the user terminal using the user information table when authentication is permitted. Then, it is determined whether or not a virtual network identifier corresponding to the extracted group identifier is allocated by using the group identifier table. If the virtual network identifier is allocated, the corresponding virtual network identifier is notified to the frame transfer device. And update the number of connected user terminals corresponding thereto, and when not assigned, set the unused virtual network identifier stored in the storage unit in the group identifier table in association with the extracted group identifier. Notify the virtual network identifier to the frame transfer device and update the corresponding number of connected user terminals.
Further, the authentication server releases the virtual network identifier corresponding to the user terminal group from which all user terminals have left as unused and stores the virtual network identifier in the storage unit.
ユーザ端末からの接続要求に応じて認証処理を行う機能と、
認証が許可された場合に、各ユーザに割り当てられたユーザ識別子とユーザ端末グループごとに設定されるグループ識別子との対応関係を管理するユーザ情報テーブルを用いて、当該ユーザ端末のグループ識別子を抽出する機能と、
前記抽出したグループ識別子に該当する仮想網識別子が割り当てられているかを、前記グループ識別子に対して対応する仮想網識別子と接続ユーザ端末数とを管理するグループ識別子テーブルを用いて判断し、割り当てられている場合には、該当する仮想網識別子を接続応答によって通知するとともに対応する接続ユーザ端末数を更新し、割り当てられていない場合には、未使用である仮想網識別子を蓄積する蓄積部に蓄積された未使用の仮想網識別子を前記抽出したグループ識別子に対応付けて前記グループ識別子テーブルに設定して当該仮想網識別子を前記接続応答によって通知するとともに対応する接続ユーザ端末数を更新する機能と、
全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し前記蓄積部に蓄積する機能と、
を実現させるためのプログラム。On the computer,
A function of performing an authentication process in response to a connection request from a user terminal;
When the authentication is permitted, a group identifier of the user terminal is extracted by using a user information table that manages a correspondence relationship between a user identifier assigned to each user and a group identifier set for each user terminal group. Features and
Whether a virtual network identifier corresponding to the extracted group identifier is assigned is determined using a group identifier table that manages a virtual network identifier corresponding to the group identifier and the number of connected user terminals, and is assigned. If not, the corresponding virtual network identifier is notified by a connection response and the number of corresponding connected user terminals is updated. If not assigned, the virtual network identifier is stored in a storage unit that stores unused virtual network identifiers. A function of setting the unused virtual network identifier in the group identifier table in association with the extracted group identifier, notifying the virtual network identifier by the connection response, and updating the corresponding number of connected user terminals,
A function of releasing the virtual network identifier corresponding to the user terminal group from which all user terminals have left as unused and storing the virtual network identifier in the storage unit;
The program to realize.
前記ユーザ端末から切断要求を受けると、前記ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、前記抽出したグループ識別子に該当する仮想網識別子を前記グループ識別子テーブルを用いて特定するとともに前記抽出したグループ識別子に対応する接続ユーザ端末数を更新し、当該接続ユーザ端末数が0になった場合には、前記該当する仮想網識別子は未使用になったものとして割り当てを解除し前記蓄積部に蓄積する機能を実現させる、
請求項10に記載のプログラム。The computer further comprises:
When a disconnection request is received from the user terminal, a group identifier of the user terminal is extracted using the user information table, and a virtual network identifier corresponding to the extracted group identifier is specified using the group identifier table, and The number of connected user terminals corresponding to the extracted group identifier is updated, and when the number of connected user terminals becomes 0, the corresponding virtual network identifier is deemed to be unused, the allocation is released, and the storage unit is deleted. Realizing the function to accumulate in
The program according to claim 10.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003028224A JP2004241979A (en) | 2003-02-05 | 2003-02-05 | Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003028224A JP2004241979A (en) | 2003-02-05 | 2003-02-05 | Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004241979A true JP2004241979A (en) | 2004-08-26 |
Family
ID=32955741
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003028224A Pending JP2004241979A (en) | 2003-02-05 | 2003-02-05 | Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004241979A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006115072A (en) * | 2004-10-13 | 2006-04-27 | Chuden Cti Co Ltd | Vlan authentication device |
JP2006345088A (en) * | 2005-06-07 | 2006-12-21 | Hitachi Communication Technologies Ltd | Vlan id dynamic allocation method and packet transfer apparatus |
WO2007065358A1 (en) * | 2005-12-06 | 2007-06-14 | Huawei Technologies Co., Ltd. | Method and system for service processing based on vlan stack |
JP2007150969A (en) * | 2005-11-30 | 2007-06-14 | Hitachi Communication Technologies Ltd | Terminal and communication method |
JP2007208323A (en) * | 2006-01-30 | 2007-08-16 | Fujitsu Ltd | Authentication vlan switch |
WO2010060373A1 (en) * | 2008-11-26 | 2010-06-03 | 华为技术有限公司 | Method, apparatus and system for establishing virtual local area network connection |
JP2012004915A (en) * | 2010-06-17 | 2012-01-05 | Nippon Telegr & Teleph Corp <Ntt> | Station-side apparatus and multicast control method |
WO2018096594A1 (en) * | 2016-11-22 | 2018-05-31 | 株式会社日立製作所 | Network system, network management apparatus and network management method |
-
2003
- 2003-02-05 JP JP2003028224A patent/JP2004241979A/en active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006115072A (en) * | 2004-10-13 | 2006-04-27 | Chuden Cti Co Ltd | Vlan authentication device |
JP2006345088A (en) * | 2005-06-07 | 2006-12-21 | Hitachi Communication Technologies Ltd | Vlan id dynamic allocation method and packet transfer apparatus |
JP4738901B2 (en) * | 2005-06-07 | 2011-08-03 | 株式会社日立製作所 | VLANID dynamic allocation method and packet transfer apparatus |
JP2007150969A (en) * | 2005-11-30 | 2007-06-14 | Hitachi Communication Technologies Ltd | Terminal and communication method |
WO2007065358A1 (en) * | 2005-12-06 | 2007-06-14 | Huawei Technologies Co., Ltd. | Method and system for service processing based on vlan stack |
JP2007208323A (en) * | 2006-01-30 | 2007-08-16 | Fujitsu Ltd | Authentication vlan switch |
WO2010060373A1 (en) * | 2008-11-26 | 2010-06-03 | 华为技术有限公司 | Method, apparatus and system for establishing virtual local area network connection |
US9160567B2 (en) | 2008-11-26 | 2015-10-13 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for establishing a virtual local area network connection |
JP2012004915A (en) * | 2010-06-17 | 2012-01-05 | Nippon Telegr & Teleph Corp <Ntt> | Station-side apparatus and multicast control method |
WO2018096594A1 (en) * | 2016-11-22 | 2018-05-31 | 株式会社日立製作所 | Network system, network management apparatus and network management method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7730033B2 (en) | Mechanism for exposing shadow copies in a networked environment | |
TW545012B (en) | Method and apparatus for identifying clients using incoming option data | |
US20050273465A1 (en) | Method and apparatus for community management in virtual community | |
JPH05102972A (en) | Method and apparatus for selective message insertion | |
US20080177885A1 (en) | Multi-device communication method and system | |
JP5544005B2 (en) | Token management method for digital rights management | |
CN107391758A (en) | Database switching method, device and equipment | |
US9584481B2 (en) | Host providing system and communication control method | |
JP2004187296A (en) | Method of grouping technical devices as nodes of network and apparatus for implementing the method | |
CN111585887A (en) | Communication method and device based on multiple networks, electronic equipment and storage medium | |
US20020103904A1 (en) | Method and apparatus for controlling access to files associated with a virtual server | |
CN107241312B (en) | A kind of right management method and device | |
TWI245185B (en) | Clustered computer system, method of accessing a group in a clustered computer system, apparatus thereof, and recording medium thereof | |
JP2004241979A (en) | Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program | |
JP2005208999A (en) | Virtual machine management program | |
US7308481B2 (en) | Network storage system | |
JP6683386B2 (en) | Data transfer system and data transfer method | |
CN101789963A (en) | Data synchronization system | |
CN105991789A (en) | Method for realizing virtual machine port mapping, servers and system | |
US20080155263A1 (en) | Systems and Methods for Tracking Electronic Files in Computer Networks Using Electronic Signatures | |
CN114978897B (en) | Network control method and system based on eBPF and application identification technology | |
US9122688B1 (en) | Naming scheme for different computer systems | |
JP5949552B2 (en) | Access control information generation system | |
JP2018082310A (en) | Paas connection program, paas connection method, and paas connection device | |
WO2013151371A1 (en) | System and method for determining service registration ip of pc room |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050125 |
|
A977 | Report on retrieval |
Effective date: 20070216 Free format text: JAPANESE INTERMEDIATE CODE: A971007 |
|
A131 | Notification of reasons for refusal |
Effective date: 20070307 Free format text: JAPANESE INTERMEDIATE CODE: A131 |
|
A02 | Decision of refusal |
Effective date: 20070627 Free format text: JAPANESE INTERMEDIATE CODE: A02 |