JP2005236394A - Network system and network control method - Google Patents

Network system and network control method Download PDF

Info

Publication number
JP2005236394A
JP2005236394A JP2004040094A JP2004040094A JP2005236394A JP 2005236394 A JP2005236394 A JP 2005236394A JP 2004040094 A JP2004040094 A JP 2004040094A JP 2004040094 A JP2004040094 A JP 2004040094A JP 2005236394 A JP2005236394 A JP 2005236394A
Authority
JP
Japan
Prior art keywords
switch
terminal
server
network
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004040094A
Other languages
Japanese (ja)
Other versions
JP3746782B2 (en
Inventor
Hideki Yoshii
英樹 吉井
Makoto Murakami
誠 村上
Yoshiki Ashigaya
吉喜 芦萱
Shinsuke Takeuchi
伸介 竹内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
Japan Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Telecom Co Ltd filed Critical Japan Telecom Co Ltd
Priority to JP2004040094A priority Critical patent/JP3746782B2/en
Publication of JP2005236394A publication Critical patent/JP2005236394A/en
Application granted granted Critical
Publication of JP3746782B2 publication Critical patent/JP3746782B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To enable making a contract, performing management and providing various services per port in a LAN switch or per session in WLAN. <P>SOLUTION: This network system and this network control method have a switch 101 having a plurality of ports to which user terminals 102 can be connected, and a server 105 for performing predetermined management and provision of services per the port. Predetermined setting has been performed per port for the switch 101 so that it can deal with the predetermined management and the provision of the services by the server 105. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、例えばスイッチにおけるポート単位等での管理や各種サービスの提供を可能とするネットワークシステム及びネットワーク制御方法に関する。   The present invention relates to a network system and a network control method that enable management, for example, in units of ports in a switch and provision of various services.

従来、企業ユーザは、社内LAN(Local Area Network)を管理するにあたり、セキュリティポリシの策定、監査、ウィルスチェックソフトウェアの導入、ファイアウォールの設置、IDS(Intrusion Detection System)の設置、IPアドレス管理、MACアドレス管理等、膨大な労力を割いている。さらに、ネットワークファイルサーバの提供、SIP(Session Initiation Protocol)フォンの提供、グループウェアの提供等、企業ユーザは情報システムの構築に膨大なコストをかけている。このような労力にも関わらずウィルスの感染、社内情報の漏洩といった事件が多発している。尚、今日では、遠隔一元的にセキュリティ管理を行うネットワークシステムの開発も進められている。   Conventionally, when a corporate user manages an internal LAN (Local Area Network), a security policy is formulated, audited, virus check software is installed, firewall is installed, IDS (Intrusion Detection System) is installed, IP address management, MAC address Enormous effort such as management is devoted. Furthermore, corporate users are spending enormous costs on the construction of information systems, such as providing network file servers, providing SIP (Session Initiation Protocol) phones, and providing groupware. Despite these efforts, incidents such as virus infections and in-house information leaks occur frequently. Today, network systems that perform remote centralized security management are also being developed.

しかしながら、前述したような従来技術に関わるネットワークシステムでは、ISPとの契約は基本的にLANのエッジまでとなり、LAN内は自前で運用するか外部委託するかしかなく、ISPが外部からLAN内部を管理するといったサービスはなされていなかった。さらに、LAN内部には、ルータやスイッチ、ハブといったネットワーク中継機器が多数必要となり、その管理、運用は複雑であり処理負担も大きく、投資効率も悪い。投資効率という面に着目して、ルータやスイッチ、ハブといったネットワーク中継機器のレンタルサービスも行われているが、管理、運用に関しては全く解決されていない。   However, in the network system related to the prior art as described above, the contract with the ISP is basically up to the edge of the LAN, and the LAN can only be operated on its own or outsourced. There was no service to manage. Furthermore, a large number of network relay devices such as routers, switches, and hubs are required inside the LAN, and the management and operation are complicated, the processing load is large, and the investment efficiency is poor. Paying attention to the investment efficiency, network relay equipment rental services such as routers, switches, and hubs are also offered, but management and operation have not been solved at all.

さらに、近年、イントラネットと呼ばれるようなシステムでは、ネットワークファイルサーバやSIPを用いたアプリケーション、各種グループウェアなどを利用する企業が増えている。これらのサービスやアプリケーションを利用する場合には、別途そのアプリケーションベンダー、サービスベンダーと契約し、必要ならばソフトウェアをインストールし、社内にはヘルプデスク等を用意しなければならないことから、管理体系が大変複雑になり、処理負担も大きく、投資効率も悪い。   Furthermore, in recent years, in a system such as an intranet, an increasing number of companies use applications such as network file servers, SIP applications, and various groupware. When using these services and applications, it is necessary to contract with the application vendor and service vendor separately, install the software if necessary, and prepare a help desk in the company. Complicated, heavy processing load and poor investment efficiency.

また、IP系の公衆ネットワークサービス(公衆無線LAN等)を考慮した場合、既存のサービスでは、無線LANのAPなどを異なるネットワーク事業者が共有するといったサービスは実現されていない。以上の状況からL2スイッチのポート単位もしくはWLANのセッション単位でサービスを提供可能とすることが嘱望されている。   In addition, when considering an IP public network service (public wireless LAN or the like), the existing service does not realize a service in which different network operators share a wireless LAN AP or the like. From the above situation, it is desired to be able to provide services in units of L2 switch ports or WLAN sessions.

本発明の目的とするところは、スイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供を可能とするネットワークシステム及びネットワーク制御方法を提供することにある。   An object of the present invention is to provide a network system and a network control method capable of providing contract, management, and various services in units of ports in a switch or in sessions in a WLAN.

上記目的を達成するために、本発明の第1の態様によれば、端末が接続可能な複数のポートを有するスイッチと、無線ネットワーク中継デバイスとを有し、上記スイッチは契約に基づいてポート単位で所定のネットワークサービスが利用可能となるように設定がなされており、さらに上記スイッチはLAN外部のネットワーク監視端末から、セキュアに監視、設定可能であることを特徴とするネットワークシステムが提供される。   In order to achieve the above object, according to a first aspect of the present invention, a switch having a plurality of ports to which a terminal can be connected and a wireless network relay device are provided, and the switch is based on a contract in units of ports. A network system is provided in which a setting is made so that a predetermined network service can be used, and the switch can be securely monitored and set from a network monitoring terminal outside the LAN.

そして、本発明の第2の態様によれば、端末が接続可能な複数のポートを有するスイッチと、上記ポート単位で所定の管理、サービスの提供を行うサーバとを有し、上記スイッチは上記サーバによる上記所定の管理、サービスの提供に対応可能となるようにポート単位で所定の設定がなされており、上記サーバは、上記ポート単位で端末の認証を行い、認証が成立した場合には第1のネットワークに上記端末を接続し、認証が不成立の場合には第2のネットワークに上記端末を接続する、ことを特徴とするネットワークシステムが提供される。   And according to the 2nd aspect of this invention, it has a switch which has a some port which a terminal can connect, and a server which performs predetermined management and service provision in the said port unit, The said switch is said server Predetermined settings are made in units of ports so as to be able to support the predetermined management and service provision by the server, and the server authenticates the terminal in units of the ports, and if the authentication is successful, the first A network system is provided, characterized in that the terminal is connected to the other network, and the terminal is connected to the second network when authentication is not established.

さらに、本発明の第3の態様によれば、上記第2の態様において、上記スイッチの各ポートに接続された各端末が利用可能な付加的サービス内容をポート単位で統括して管理する管理サーバを更に有し、当該管理サーバは、上記認証が成立した場合には上記付加的サービス内容に基づいて付加的サービスを提供するように制御することを更に特徴とするネットワークシステムが提供される。   Furthermore, according to the third aspect of the present invention, in the second aspect, the management server that manages the additional service contents that can be used by each terminal connected to each port of the switch in a unit of port. A network system is further provided, wherein the management server further controls to provide an additional service based on the content of the additional service when the authentication is established.

また、本発明の第4の態様によれば、端末が接続可能な複数のポートを有するスイッチと、当該スイッチと通信自在なサーバとを有するネットワークシステムによるネットワーク制御方法であって、上記サーバは、ポート単位での制御が可能となるように所定の設定が施されたスイッチに対して当該設定単位に基づいて管理、サービスの提供を統括して行うことを特徴とするネットワークの制御方法が提供される。   According to the fourth aspect of the present invention, there is provided a network control method by a network system having a switch having a plurality of ports to which a terminal can be connected and a server that can communicate with the switch, wherein the server includes: Provided is a network control method characterized by integrated management and service provision based on a setting unit for a switch that has been set in a predetermined manner so that control can be performed in units of ports. The

本発明によれば、スイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供を可能とするネットワークシステム及びネットワーク制御方法を提供することができる。   According to the present invention, it is possible to provide a network system and a network control method that enable contracts, management, and provision of various services in units of ports in a switch or sessions in a WLAN.

以下、図面を参照して本発明の第1乃至第4の実施の形態について説明する。   Hereinafter, first to fourth embodiments of the present invention will be described with reference to the drawings.

(第1の実施の形態)
図1には、本発明の第1の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。この第1の実施の形態に係るネットワークシステム及びネットワーク制御方法では、L2スイッチのポート単位、若しくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とする。この点、スイッチの機器単位での契約等が基本とされている既存のサービスと大きく相違する。 (First embodiment)
FIG. 1 is a conceptual diagram of a network system and a network control method according to the first embodiment of the present invention. In the network system and the network control method according to the first embodiment, it is possible to make contracts and management and provide various services in units of ports of the L2 switch or sessions in the WLAN. This is a significant difference from existing services that are based on switch-unit contracts.

L2スイッチ101の各ポートには、ユーザ端末102a,102b,102c・・・(以下、符号102で総称する)が接続されている。ここで、L2スイッチ101におけるポートとは、ユーザ端末102とN対1で接続されるOSI7層モデルでいうところのデータリンク層に位置する有線ネットワーク中継デバイスの一つのネットワークインタフェースをいうものとする。一方、無線ネットワーク中継デバイス(無線LANアクセスポイント)103は、ユーザ端末104a,104b,104c・・・(以下、符号104で総称する)と通信自在となっている。ここで、WLANにおけるセッションとは、ユーザ端末104とN対1で接続される無線ネットワーク中継デバイス103の一つのセッションをいうものとする。各端末102,104は、L2スイッチ101又は無線ネットワーク中継デバイス103を介して、他のデバイスにアクセス可能な状態にある。   User terminals 102 a, 102 b, 102 c... (Hereinafter collectively referred to as reference numeral 102) are connected to each port of the L2 switch 101. Here, the port in the L2 switch 101 refers to one network interface of a wired network relay device located in the data link layer in the OSI 7 layer model connected N-1 to the user terminal 102. On the other hand, the wireless network relay device (wireless LAN access point) 103 can communicate with user terminals 104a, 104b, 104c (hereinafter collectively referred to as reference numeral 104). Here, the session in WLAN refers to one session of the wireless network relay device 103 connected N-to-one with the user terminal 104. Each terminal 102, 104 is in a state where it can access other devices via the L2 switch 101 or the wireless network relay device 103.

L2スイッチ101、無線ネットワーク中継デバイス103は、配布前に外部管理を可能とするためのコンフィグレーションがなされる。具体的には、管理VLANの作成、管理用IPアドレスの割り当て、認証用パスワードなどが準備され、ネットワーク監視端末100より所定の監視、及び管理、設定が可能となる。
続いて、L2スイッチ101のポート単位、もしくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とするためのコンフィグレーションがなされる。これについては、配布前になされても良いし、配布後、ネットワーク監視端末100によりなされてもよい。 The L2 switch 101 and the wireless network relay device 103 are configured to enable external management before distribution. Specifically, management VLAN creation, management IP address assignment, authentication password, and the like are prepared, and predetermined monitoring, management, and setting can be performed from the network monitoring terminal 100.
Subsequently, a configuration is made to enable contracts and management and provision of various services in units of ports of the L2 switch 101 or in units of sessions in the WLAN. This may be done before distribution, or may be done by the network monitoring terminal 100 after distribution.

このコンフィグレーションは具体的には、以下のようになる。   Specifically, this configuration is as follows.

即ち、L2スイッチ101においては、利用可能なポートの設定(契約外のポートはシャットダウン)、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他スイッチにまつわる設定等が必要とあれば実施される。さらに、無線ネットワーク中継でバイス103においては、デバイス毎の同時利用セッション数、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他無線ネットワーク中継デバイス103にまつわる設定等が必要とあれば実施される。   In other words, in the L2 switch 101, setting of available ports (shut down non-contracted ports), registration of MAC addresses of available terminals, VLAN creation for each group, QoS for each VLAN, creation of statistical information, and If transmission or other settings related to the switch are necessary, it is implemented. Further, in the wireless network relay device 103, the number of simultaneous use sessions for each device, registration of MAC addresses of available terminals, VLAN creation for each group, QoS for each VLAN, creation and transmission of statistical information, and other wireless This is carried out if settings relating to the network relay device 103 are necessary.

以上の構成において、L2スイッチ101、無線ネットワーク中継デバイス103に対しては、端末100により所定のコンフィグレーションがなされる。これは、L2スイッチのポート単位、若しくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とするために施されるものであり、具体的には、少なくとも管理VLAN(Virtual Local Area Network)の作成、管理用IPアドレスの割り当て、管理端末の準備等がなされる(#1)。このようなコンフィグレーションにより、L2スイッチ101はポート単位で設定がなされ(#2)、無線ネットワーク中継デバイス103はセッション単位で設定がなされる(#3)。このような設定の後においては、ユーザ端末の利用状況や、契約内容の変更に対して、柔軟にLAN内を管理することが可能となる。   In the above configuration, the terminal 100 performs a predetermined configuration for the L2 switch 101 and the wireless network relay device 103. This is performed in order to make it possible to provide contracts and management and various services in units of L2 switch ports or sessions in WLAN. Specifically, at least a management VLAN (Virtual Local Area Network) is provided. ), Management IP address assignment, management terminal preparation, etc. (# 1). With this configuration, the L2 switch 101 is set on a port basis (# 2), and the wireless network relay device 103 is set on a session basis (# 3). After such setting, the inside of the LAN can be managed flexibly with respect to changes in the usage status of the user terminal and contract contents.

以上説明したように、本発明の第1の実施の形態によれば、L2スイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供を可能となる。   As described above, according to the first embodiment of the present invention, it is possible to provide contracts, management, and various services in units of ports in the L2 switch or sessions in the WLAN.

(第2の実施の形態)
次に、図2には、本発明の第2の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。 (Second Embodiment)
Next, FIG. 2 illustrates a conceptual diagram of a network system and a network control method according to the second embodiment of the present invention.

図2に示されるように、例えばIEEE802.1x等に対応した各スイッチ1a,1b,1c,1d・・・(以下、符号1で総称する)の各ポートには、ユーザ端末2a,2b・・・2l・・・(以下、符号2で総称する)が接続されている。スイッチ1a,1bはルータ3aに接続されており、スイッチ1c,1dはルータ3bに接続されている。ルータ3a,3b・・・(以下、符号3で総称する)は、インターネット等のネットワーク5を介してIEEE802.1x対応のRadius(Remote authentication dial-in user service)サーバ4と通信自在に接続されている。そして、このIEEE802.1x対応のRadiusサーバ4は、アクセスしてきたユーザ端末を認証し、当該ユーザ端末のポートの利用許可、不許可の決定を最低でも行い、必要とあれば、VLAN番号の割り当て、IPアドレスの割り当て、その他様々な情報をユーザ端末に割り当てる機能を有するものである。VLAN20には、ゲストVLANが含まれる場合もあり得る。   As shown in FIG. 2, for example, each port of each switch 1a, 1b, 1c, 1d (hereinafter collectively referred to as reference numeral 1) corresponding to IEEE802.1x is connected to user terminals 2a, 2b,.・ 2l (hereinafter collectively referred to as reference numeral 2) is connected. The switches 1a and 1b are connected to the router 3a, and the switches 1c and 1d are connected to the router 3b. The routers 3a, 3b (hereinafter collectively referred to as reference numeral 3) are communicatively connected to an IEEE 802.1x compatible Radius (Remote Authentication Dial-in User Service) server 4 via a network 5 such as the Internet. Yes. Then, the IEEE 802.1x-compliant Radius server 4 authenticates the accessed user terminal, determines whether or not to permit or reject the port of the user terminal, and assigns a VLAN number if necessary. It has a function of assigning IP addresses and other various information to user terminals. The VLAN 20 may include a guest VLAN.

スイッチ1、ルータ3は、配布前に外部管理を可能とするためのコンフィグレーションがなされる。具体的には、管理VLANの作成、管理用IPアドレスの割り当て、認証用パスワードなどが準備され、IEEE802.1x対応のRadiusサーバ4より所定の監視、及び管理、設定が可能となる。続いて、スイッチ1のポート単位、もしくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とするためのコンフィグレーションがなされる。これについては、配布前になされても良いし、配布後、ネットワーク監視端末100によりなされてもよい。   The switch 1 and the router 3 are configured to enable external management before distribution. Specifically, management VLAN creation, management IP address assignment, authentication password, and the like are prepared, and predetermined monitoring, management, and setting can be performed from the Radius server 4 that supports IEEE802.1x. Subsequently, a contract or management for each port of the switch 1 or for each session in the WLAN and configuration for enabling provision of various services are performed. This may be done before distribution, or may be done by the network monitoring terminal 100 after distribution.

このコンフィグレーションは、より具体的には以下の内容を含む。   More specifically, this configuration includes the following contents.

即ち、スイッチ1においては、利用可能なポートの設定(契約外のポートはシャットダウン)、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他スイッチにまつわる設定等が必要とあれば実施される。ルータ3においては、デバイス毎の同時利用セッション数、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他、ルータ3にまつわる設定等が必要とあれば実施される。   That is, in the switch 1, setting of usable ports (shutdown of non-contracted ports), registration of MAC addresses of usable terminals, creation of VLANs for each group, QoS for each VLAN, creation of statistical information, and transmission If other settings related to the switch are necessary, they are implemented. In the router 3, the number of simultaneous sessions for each device, registration of MAC addresses of available terminals, VLAN creation for each group, QoS for each VLAN, creation and transmission of statistical information, and other settings related to the router 3 are performed. Implemented if necessary.

以上のほか、スイッチ1、ルータ3について、IEEE802.1x対応のために、利用するIEEE802.1x対応のRadiusサーバ4のIPアドレス、ポート番号、そのIPアドレスのIP reachabilityの確保、必要とあればバックアップRadiusサーバ4のIPアドレス、ポート番号、その他、IEEE802.1x利用のための設定が実施される。   In addition to the above, for switch 1 and router 3, in order to comply with IEEE802.1x, ensure the IP address and port number of the Radius server 4 that supports IEEE802.1x, ensure IP reachability of the IP address, and back up if necessary Settings for using the IEEE802.1x, such as the IP address and port number of the Radius server 4, are implemented.

このような構成の下、第2の実施の形態に係るネットワークシステム及びネットワーク制御方法では、例えばIEEE802.1x等に対応したスイッチ1のポート単位での契約や管理、各種サービスの提供を可能とする。これを実現する為に、前述したように、スイッチ1にはポート単位の設定に係るコンフィグレーション、即ち管理VLANの作成、管理用IPアドレスの割り当て、管理端末の準備等が予めなされている。   Under such a configuration, in the network system and network control method according to the second embodiment, for example, contracts and management in units of ports of the switch 1 compatible with IEEE802.1x and the like, and provision of various services are enabled. . In order to realize this, as described above, the switch 1 is preconfigured with a configuration related to the setting for each port, that is, creation of a management VLAN, assignment of a management IP address, preparation of a management terminal, and the like.

以下、図3のフローチャートを参照して、本発明の第2の実施の形態に係るネットワークシステムのIEEE802.1x対応のRadiusサーバ4による動作を詳細に説明する。尚、一連の制御動作は、本発明の第2の実施の形態に係るネットワーク制御方法にも相当する。   Hereinafter, with reference to the flowchart of FIG. 3, the operation by the IEEE 802.1x-compliant Radius server 4 of the network system according to the second embodiment of the present invention will be described in detail. The series of control operations also corresponds to the network control method according to the second embodiment of the present invention.

IEEE802.1x対応のRadiusサーバ4は、端末2からの接続要求を受信すると(ステップS1)、接続要求を出力した端末2に所定の認証情報(ID及びパスワード、MACアドレス、電子認証等)を要求する(ステップS2)。   When receiving a connection request from the terminal 2 (step S1), the IEEE 802.1x-compliant Radius server 4 requests predetermined authentication information (ID and password, MAC address, electronic authentication, etc.) from the terminal 2 that has output the connection request. (Step S2).

続いて、IEEE802.1x対応のRadiusサーバ4は、この要求に応じて端末2から出力された所定の認証情報をスイッチ1、ルータ3を介して受信すると(ステップS3)、接続要求を出力している端末2についての認証を実行する(ステップS4)。   Subsequently, upon receiving predetermined authentication information output from the terminal 2 in response to this request via the switch 1 and the router 3 (step S3), the IEEE 802.1x-compliant Radius server 4 outputs a connection request. Authentication for the terminal 2 is executed (step S4).

このステップS4において、IEEE802.1x対応のRadiusサーバ4は、認証情報が不適切なものであると認定した場合(認証NG)には、ゲストVLANの有無を判断する(ステップS7)。そして、ゲストVLANが有りの場合には、ゲストVLANに割り当て(ステップS9)、動作を終了する。一方、ゲストVLANが無しの場合には、その端末2のアクセスをポート単位で拒否し(ステップS8)、動作を終了する。   In this step S4, when the RADIUS server 4 that supports IEEE802.1x determines that the authentication information is inappropriate (authentication NG), it determines the presence or absence of the guest VLAN (step S7). If there is a guest VLAN, it is assigned to the guest VLAN (step S9), and the operation is terminated. On the other hand, when there is no guest VLAN, the access of the terminal 2 is denied on a port basis (step S8), and the operation is terminated.

例えば、MACアドレスにより端末2を認証する場合、未登録のMACアドレスの端末2のアクセスは拒否されることにが、ID及びパスワード等により認証を受け、MACアドレスを登録した後は接続許可される。   For example, when authenticating the terminal 2 with the MAC address, the access of the terminal 2 with the unregistered MAC address is denied, but the connection is permitted after receiving the authentication with the ID and password and registering the MAC address. .

一方、上記ステップS4において、IEEE802.1x対応のRadiusサーバ4は、接続要求を出力している端末2の認証情報を適切なものと認定した場合(認証OK)、当該端末2をVLAN20に接続させるための制御信号をスイッチ1に出力し、当該端末2をVLAN20に接続させる(ステップS5)。以降、IEEE802.1x対応のRadiusサーバ4は、ポート単位で当該端末2の管理、サービス提供を行うことになる(ステップS6)。   On the other hand, in step S4, when the RADIUS server 4 compatible with IEEE802.1x recognizes the authentication information of the terminal 2 outputting the connection request as appropriate (authentication OK), the terminal 2 is connected to the VLAN 20. A control signal for output is output to the switch 1 to connect the terminal 2 to the VLAN 20 (step S5). Thereafter, the Radius server 4 compatible with IEEE802.1x performs management and service provision of the terminal 2 in units of ports (step S6).

以上で一連の処理を終了する。   Thus, a series of processing ends.

以上説明したように、本発明の第2の実施の形態によれば、IEEE802.1x等に対応したスイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供を可能となる。   As described above, according to the second embodiment of the present invention, it is possible to provide contracts, management, and provision of various services in units of ports in switches that support IEEE802.1x, etc., or in units of sessions in WLAN. .

(第3の実施の形態)
次に、図4には、本発明の第3の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。 (Third embodiment)
Next, FIG. 4 shows a conceptual diagram of a network system and a network control method according to the third embodiment of the present invention.

図4に示されるように、IEEE802.1x対応の各スイッチ1a,1b,1c,1d・・・(以下、符号1で総称する)の各ポートには、IEEE802.1x対応のユーザ端末2a,2b・・・2l・・・(以下、符号2で総称する)が接続されている。スイッチ1a,1bはIEEE802.1x対応のルータ3aに接続されており、スイッチ1c,1dはIEEE802.1x対応のルータ3bに接続されている。このルータ3a,3b・・・(以下、符号3で総称する)は、インターネット等のネットワーク5を介してIEEE802.1x対応のRadiusサーバ6と通信自在に接続されている。そして、このIEEE802.1x対応のRadiusサーバ6は、アクセスしてきたユーザ端末を認証し、当該ユーザ端末のポートの利用許可、不許可の決定を最低でも行い、必要とあれば、VLAN番号の割り当て、IPアドレスの割り当て、その他様々な情報をユーザ端末に割り当てる機能を有するものである。   As shown in FIG. 4, IEEE802.1x-compatible user terminals 2a, 2b are connected to the ports of IEEE802.1x-compatible switches 1a, 1b, 1c, 1d (hereinafter collectively referred to as reference numeral 1). ... 2 l (hereinafter collectively referred to as reference numeral 2) are connected. The switches 1a and 1b are connected to an IEEE802.1x compatible router 3a, and the switches 1c and 1d are connected to an IEEE802.1x compatible router 3b. These routers 3a, 3b (hereinafter collectively referred to as reference numeral 3) are connected to an IEEE802.1x-compliant Radius server 6 through a network 5 such as the Internet so as to be communicable. Then, the IEEE 802.1x-compliant Radius server 6 authenticates the accessed user terminal, determines whether to permit or disallow use of the port of the user terminal, and assigns a VLAN number if necessary. It has a function of assigning IP addresses and other various information to user terminals.

以上の他、端末状態診断サーバ7、セキュリティ対策サイト8がネットワーク5に通信自在に接続されている。セキュリティ対策サイト8では、最新のウィルスパターンファイルやパッチ等を保持している。端末状態診断サーバ7は、ユーザ端末2のセキュリティ対策状況を、ウィルスパターンファイルのバージョンや適用済みパッチリスト等の情報を用いて診断するサーバである。端末状態診断サーバ7には、最新のパッチリスト等を登録することで、ユーザ端末2が満たすべきセキュリティレベルの設定を行う。   In addition to the above, the terminal status diagnosis server 7 and the security countermeasure site 8 are connected to the network 5 so as to be able to communicate. The security countermeasure site 8 holds the latest virus pattern files and patches. The terminal status diagnosis server 7 is a server that diagnoses the security countermeasure status of the user terminal 2 using information such as a virus pattern file version and an applied patch list. By registering the latest patch list or the like in the terminal status diagnosis server 7, the security level to be satisfied by the user terminal 2 is set.

スイッチ1、ルータ3は、配布前に外部管理を可能とするためのコンフィグレーションがなされる。具体的には、管理VLANの作成、管理用IPアドレスの割り当て、認証用パスワードなどが準備され、IEEE802.1x対応のRadiusサーバ6より所定の監視、及び管理、設定が可能となる。続いて、スイッチ1のポート単位、もしくはWLANにおけるセッション単位での契約や管理、各種サービスの提供を可能とするためのコンフィグレーションがなされる。これについては、配布前になされても良いし、配布後、ネットワーク監視端末100によりなされてもよい。   The switch 1 and the router 3 are configured to enable external management before distribution. Specifically, management VLAN creation, management IP address assignment, authentication password, and the like are prepared, and predetermined monitoring, management, and setting can be performed from the IEEE802.1x-compliant Radius server 6. Subsequently, a contract or management for each port of the switch 1 or for each session in the WLAN and configuration for enabling provision of various services are performed. This may be done before distribution, or may be done by the network monitoring terminal 100 after distribution.

このコンフィグレーションは、より具体的には以下の内容を含む。   More specifically, this configuration includes the following contents.

即ち、スイッチ1においては、利用可能なポートの設定(契約外のポートはシャットダウン)、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他スイッチにまつわる設定等が必要とあれば実施される。ルータ3においては、デバイス毎の同時利用セッション数、利用可能な端末のMACアドレスの登録、グループ毎のVLAN作成、VLAN毎のQoS、統計情報の作成、及び送信、その他、ルータ3にまつわる設定等が必要とあれば実施される。   That is, in the switch 1, setting of usable ports (shutdown of non-contracted ports), registration of MAC addresses of usable terminals, creation of VLANs for each group, QoS for each VLAN, creation of statistical information, and transmission If other settings related to the switch are necessary, they are implemented. In the router 3, the number of simultaneous sessions for each device, registration of MAC addresses of available terminals, VLAN creation for each group, QoS for each VLAN, creation and transmission of statistical information, and other settings related to the router 3 are performed. Implemented if necessary.

以上のほか、スイッチ1、ルータ3について、IEEE802.1x対応のために、利用するIEEE802.1x対応のRadiusサーバ6のIPアドレス、ポート番号、そのIPアドレスのIP reachabilityの確保、必要とあればバックアップRadiusサーバ6のIPアドレス、ポート番号、その他、IEEE802.1x利用のための設定が実施される。さらに、IEEE802.1x対応のRadiusサーバ6に対しても、例えば、利用ユーザの登録、利用ユーザ端末のMACアドレスの登録、認証手法の選択、同時利用可能セッション数の登録等がなされる。   In addition to the above, for the switch 1 and router 3, in order to comply with IEEE802.1x, the IP address and port number of the Radius server 6 that supports IEEE802.1x, ensuring IP reachability of the IP address, and backup if necessary Settings for using the IEEE802.1x, such as the IP address and port number of the Radius server 6, are implemented. Further, for example, registration of a user, registration of a MAC address of a user terminal, selection of an authentication method, registration of the number of sessions that can be used simultaneously, and the like are performed on the Radius server 6 that supports IEEE802.1x.

このような構成の下、第3の実施の形態に係るネットワークシステム及びネットワーク制御方法では、IEEE802.1x対応のスイッチ1のポート単位での契約や管理、各種サービスの提供を可能とする。これを実現する為に、前述したように、IEEE802.1x対応のスイッチ1にはポート単位の設定に係るコンフィグレーション、即ち管理VLANの作成、管理用IPアドレスの割り当て、管理端末の準備等が予めなされている。更に、IEEE802.1x対応のRadiusサーバ6に対しても、例えばユーザ情報とMACアドレス情報がペアになったCSVファイルの登録等(ユーザの同時アクセスセッション数の登録)がなされる。   Under such a configuration, the network system and the network control method according to the third embodiment enable contracts and management in units of ports of the IEEE802.1x compatible switch 1 and provision of various services. In order to achieve this, as described above, the IEEE802.1x-compatible switch 1 is preconfigured with a configuration related to port-based settings, that is, creation of a management VLAN, assignment of a management IP address, preparation of a management terminal, etc. Has been made. Further, for example, registration of a CSV file in which user information and MAC address information are paired (registration of the number of simultaneous access sessions of a user) is also performed on the Radius server 6 that supports IEEE802.1x.

さらに、この第3の実施の形態に係るネットワークシステム及びネットワーク制御方法では、セキュリティ上の理由から、LANを、少なくともセキュリティ対策用VLAN20aと業務用VLAN20bとに分けて運用する工夫もなされている。   Furthermore, in the network system and the network control method according to the third embodiment, for security reasons, the LAN is divided into at least a security countermeasure VLAN 20a and a business VLAN 20b.

以下、図5のフローチャートを参照して、本発明の第3の実施の形態に係るネットワークシステムのRadiusサーバ6による動作を詳細に説明する。この一連の制御動作は、本発明の第3の実施の形態に係るネットワーク制御方法にも相当する。   Hereafter, with reference to the flowchart of FIG. 5, the operation | movement by the Radius server 6 of the network system which concerns on the 3rd Embodiment of this invention is demonstrated in detail. This series of control operations also corresponds to the network control method according to the third embodiment of the present invention.

Radiusサーバ6は、端末2からの接続要求を受信すると(ステップS10)、接続要求を出力した端末2に所定の認証情報(ID及びパスワード、MACアドレス、電子認証等)を要求する(ステップS11)。続いて、Radiusサーバ6は、この要求に応じて端末2から出力された所定の認証情報をスイッチ1、ルータ3を介して受信すると(ステップS12)、接続要求を出力している端末2についての認証を実行する(ステップS13)。   When receiving the connection request from the terminal 2 (step S10), the Radius server 6 requests predetermined authentication information (ID and password, MAC address, electronic authentication, etc.) from the terminal 2 that has output the connection request (step S11). . Subsequently, when the Radius server 6 receives the predetermined authentication information output from the terminal 2 in response to this request via the switch 1 and the router 3 (step S12), the Radius server 6 outputs the connection request for the terminal 2 that has output the connection request. Authentication is executed (step S13).

この認証としては、電子証明書が格納されたUSBトークンを用いたIEEE802.1xによる認証を採用することも可能である。   As this authentication, it is also possible to employ authentication based on IEEE802.1x using a USB token in which an electronic certificate is stored.

このステップS13において、Radiusサーバ6は、認証情報が不適切なものであると認定した場合(認証NG)、その端末2のアクセスをポート単位で拒否し、動作を終了する(ステップS14)。例えば、MACアドレスにより端末2を認証する場合、未登録のMACアドレスの端末2のアクセスは拒否されることにが、ID及びパスワード等により認証を受け、MACアドレスを登録した後は接続許可されることになる。   In this step S13, when the Radius server 6 recognizes that the authentication information is inappropriate (authentication NG), it denies the access of the terminal 2 in units of ports and ends the operation (step S14). For example, when authenticating the terminal 2 with the MAC address, the access of the terminal 2 with the unregistered MAC address is denied, but the connection is permitted after receiving the authentication with the ID and password and registering the MAC address. It will be.

一方、上記ステップS13において、Radiusサーバ6は、接続要求を出力している端末2の認証情報を適切なものと認定した場合(認証OK)、端末2に対し、自己のセキュリティ対策状況を示すセキュリティ対策状況データをRadiusサーバ6に対して出力するように要求する(ステップS15)。次いで、Radiusサーバ6は、その要求に応じて端末2から出力された自己のセキュリティ対策状況を示すセキュリティ対策状況データをスイッチ2、ルータ3を介して受信すると(ステップS16)、Radiusサーバ6は、受信したセキュリティ対策状況データを端末状態診断サーバ7に転送し、端末2のセキュリティ対策状況の診断を依頼する(ステップS17)。端末状態診断サーバ7にてセキュリティ対策状況の診断が実行され、Radiusサーバ6が当該結果を受信すると(ステップS18)、端末2のセキュリティ対策が十分であるか否かを判定する(ステップS19)。   On the other hand, in step S13, when the Radius server 6 recognizes that the authentication information of the terminal 2 outputting the connection request is appropriate (authentication OK), the security indicating the security countermeasure status of the terminal 2 is shown. A request is made to output countermeasure status data to the Radius server 6 (step S15). Next, when the Radius server 6 receives security countermeasure status data indicating its own security countermeasure status output from the terminal 2 in response to the request via the switch 2 and the router 3 (step S16), the Radius server 6 The received security countermeasure status data is transferred to the terminal status diagnosis server 7, and a diagnosis of the security countermeasure status of the terminal 2 is requested (step S17). When the security measure status diagnosis is executed by the terminal status diagnosis server 7 and the Radius server 6 receives the result (step S18), it is determined whether the security measure of the terminal 2 is sufficient (step S19).

このステップS19において、Radiusサーバ6は、セキュリティ対策が十分でないと判定すると、端末2をセキュリティ対策用VLAN20aに接続するための制御信号をスイッチ2に出力して、当該端末2をセキュリティ対策用VLAN20aに接続させる(ステップS20)。そして、セキュリティ対策が完了した通知を受信するまで待機する(ステップS21)。セキュリティ対策用VLAN20aに接続された端末2は、必要なウィルス検知用データ、パッチファイル等をセキュリティ対策サイト8よりダウンロードして各種のセキュリティ対策を実行することになる。こうして、ステップS21にて、Radiusサーバ6が当該通知を受信すると、上記ステップS15に戻り、上記動作を繰り返す。尚、このステップS21をYesに分岐し、ステップS22に戻るようにしてもよい。   If the Radius server 6 determines in step S19 that security measures are not sufficient, the Radius server 6 outputs a control signal for connecting the terminal 2 to the security countermeasure VLAN 20a to the switch 2, and sends the terminal 2 to the security countermeasure VLAN 20a. Connect (step S20). Then, it waits until it receives a notification that security measures have been completed (step S21). The terminal 2 connected to the security countermeasure VLAN 20a downloads necessary virus detection data, patch files, etc. from the security countermeasure site 8 and executes various security countermeasures. Thus, when the Radius server 6 receives the notification in step S21, the process returns to step S15 and repeats the above operation. Note that step S21 may be branched to Yes, and the process may return to step S22.

一方、上記ステップS19において、端末2のセキュリティ対策が十分であると判断した場合には、Radiusサーバ6は当該端末2を業務用VLAN20bに接続させるための制御信号をスイッチ1に出力し、当該端末2を業務用VLAN20bに接続させる(ステップS22)。これ以降、Radiusサーバ6は、ポート単位で当該端末2の管理、サービス提供を行う(ステップS23)。以上で一連の処理を終了する。   On the other hand, if it is determined in step S19 that the security measures of the terminal 2 are sufficient, the Radius server 6 outputs a control signal for connecting the terminal 2 to the business VLAN 20b to the switch 1, and the terminal 2 2 is connected to the business VLAN 20b (step S22). Thereafter, the Radius server 6 manages the terminal 2 and provides a service in units of ports (step S23). Thus, a series of processing ends.

以上説明したように、本発明の第3の実施の形態によれば、IEEE802.1x対応のスイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供が可能となる。しかも、セキュリティ対策の不十分な端末と十分な端末とで接続先のVLANを切り換えることが可能である。従って、ウィルス等による被害を未然に防止し、迅速に対応することも可能となる。   As described above, according to the third embodiment of the present invention, it is possible to provide contracts, management, and various services in units of ports in IEEE802.1x-compatible switches or sessions in WLAN. Moreover, it is possible to switch the connection destination VLAN between a terminal with insufficient security measures and a terminal with sufficient security measures. Therefore, it is possible to prevent damages caused by viruses and the like and respond quickly.

(第4の実施の形態)
次に、図6には、本発明の第4の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。ここでは、図4と同一構成要素には図4と同一符号を付し、重複した説明は省略し、異なる部分を説明する。各部のコンフィグレーションに関しても前述した第3の実施の形態と略同様である為、説明を省略する。 (Fourth embodiment)
Next, FIG. 6 illustrates a conceptual diagram of a network system and a network control method according to the fourth embodiment of the present invention. Here, the same components as those in FIG. 4 are denoted by the same reference numerals as those in FIG. Since the configuration of each part is also substantially the same as that of the third embodiment described above, description thereof is omitted.

図6に示されるように、第4の実施の形態に係るネットワークシステムは、図4の構成に加えてRadiusサーバ6が収集したログ情報を格納する利用ログデータベース(以下、利用ログDBとする)9と、利用状況監視サーバ10、オプションサービス管理サーバ11を更に備えている。この利用ログDB9には、例えば、IEEE802.1x対応Radiusサーバ6のログ、ユーザID、ユーザ端末2のMACアドレス、スイッチ1のIPアドレス及びポート番号、利用開始日時、利用終了日時、総パケット数、端末情報、オプションサービス情報(オプションサービス名、サービス利用開始時間、サービス利用終了時間等)等の情報が関係付けられて記憶されている。利用状況監視サーバ10は、利用ログDB9を参照することでIEEE802.1x対応Radiusサーバ6のログ、及びIEEE802.1x対応のスイッチ1からSNMP(Simple Network Management Protocol)を介して得たポート番号、ユーザ端末からSNMPを介して得た端末情報に応じて、端末監視テーブルを作成できる。   As shown in FIG. 6, the network system according to the fourth embodiment has a usage log database (hereinafter referred to as a usage log DB) that stores log information collected by the Radius server 6 in addition to the configuration of FIG. 9, a usage status monitoring server 10, and an optional service management server 11. The usage log DB 9 includes, for example, a log of the IEEE 802.1x-compliant Radius server 6, a user ID, a MAC address of the user terminal 2, an IP address and port number of the switch 1, a use start date and time, a use end date and time, a total number of packets, Information such as terminal information, option service information (option service name, service use start time, service use end time, etc.) and the like are associated and stored. The usage status monitoring server 10 refers to the usage log DB 9 to log the IEEE802.1x compatible Radius server 6, the port number obtained from the IEEE802.1x compatible switch 1 via SNMP (Simple Network Management Protocol), the user A terminal monitoring table can be created according to terminal information obtained from a terminal via SNMP.

また、利用状況監視サーバ10は、利用ログDB9を参照することで、例えば単位時間毎の利用頻度のグラフ化、スイッチのポート毎の利用頻度の可視化、スイッチのポート毎の総パケット数に基づく判断ならびに警告等を行うことも可能である。   In addition, the usage status monitoring server 10 refers to the usage log DB 9, for example, graphs of usage frequency for each unit time, visualization of usage frequency for each port of the switch, and determination based on the total number of packets for each port of the switch. It is also possible to issue a warning or the like.

さらに、第4の実施の形態に係るネットワークシステムでは、詳細は後述するが、オプションサービス管理サーバ11が、IEEE802.1x対応のスイッチ1のポート単位でオプションサービスの契約内容を管理し、オプションサービスサーバ群12との連携により、各種のオプションサービスを提供するための制御を統括している。   Furthermore, in the network system according to the fourth embodiment, as will be described in detail later, the option service management server 11 manages the contract contents of the option service for each port of the switch 1 compatible with IEEE802.1x, and the option service server In cooperation with the group 12, it controls the control for providing various optional services.

以下、図7のフローチャートを参照して、本発明の第4の実施の形態に係るネットワークシステムのRadiusサーバ6による動作を詳細に説明する。この一連の制御動作は、本発明の第4の実施の形態に係るネットワーク制御方法にも相当する。   Hereafter, with reference to the flowchart of FIG. 7, the operation | movement by the Radius server 6 of the network system which concerns on the 4th Embodiment of this invention is demonstrated in detail. This series of control operations also corresponds to the network control method according to the fourth embodiment of the present invention.

この図7のステップS30乃至S43に示される動作は、先に説明した図5のステップS10乃至S23と同様である。図7のステップS44において、Radiusサーバ6が利用ログを収集し、利用ログDB9に格納する点のみが第3の実施の形態(図5)と相違しているだけであるので、ここでは、これ以上の重複した説明は省略する。   The operations shown in steps S30 to S43 in FIG. 7 are the same as steps S10 to S23 in FIG. 5 described above. Since only the point that the Radius server 6 collects the usage log and stores it in the usage log DB 9 in step S44 of FIG. 7 is different from the third embodiment (FIG. 5). The duplicate description above is omitted.

続いて、図8のフローチャートを参照して、本発明の第4の実施の形態に係るネットワークシステムのオプションサービス管理サーバ11による動作を詳細に説明する。この一連の制御動作は、第4の実施の形態に係るネットワーク制御方法にも相当する。   Next, the operation of the optional service management server 11 in the network system according to the fourth embodiment of the present invention will be described in detail with reference to the flowchart in FIG. This series of control operations also corresponds to the network control method according to the fourth embodiment.

さて、認証が成立し、端末2が業務用LAN20bに接続されると、オプションサービス管理サーバ11は当該端末2との交渉を開始する(ステップS51)。   When the authentication is established and the terminal 2 is connected to the business LAN 20b, the option service management server 11 starts negotiation with the terminal 2 (step S51).

このオプションサービス管理サーバ11は、ポート単位で利用可能なサービスの登録を受けており、その内容を保存している。上記交渉に際して、端末2側では利用可能なサービスが表示され、所望とするオプションサービスが選択可能となる。   This optional service management server 11 receives registration of services that can be used in units of ports and stores the contents. At the time of the negotiation, available services are displayed on the terminal 2 side, and a desired optional service can be selected.

オプションサービス管理サーバ11は、この交渉を開始した後、ポート単位で管理している利用可能なオプションサービスのうちユーザ端末2側で選択されたオプションサービスに係る利用チケット(利用可能サービス名、サービス利用のためのコンフィグレーション情報、属性証明書等の情報を含む)を作成し、ユーザ端末2に配布することになる(ステップS52)。そして、利用チケットの作成、配布の情報に基づいて利用ログDB9の内容を適宜更新する(ステップS53)。この利用チケットにより、ユーザ端末2はオプションサービスサーバ群12によるサービスの利用が許可されることになる。   After starting this negotiation, the option service management server 11 uses a use ticket (available service name, service usage) related to the option service selected on the user terminal 2 side among the available option services managed in units of ports. (Including configuration information, attribute certificate, etc.) for the user terminal 2 and distributed to the user terminal 2 (step S52). Then, the contents of the usage log DB 9 are updated as appropriate based on the creation and distribution information of the usage ticket (step S53). With this use ticket, the user terminal 2 is permitted to use the service by the optional service server group 12.

以降、ユーザ端末2がオプションサービスの利用を開始し、当該ユーザ端末2からの利用状況報告がなされると(ステップS54)、オプションサービス管理サーバ11は利用ログDB9の内容を更新する(ステップS55)。更に、ユーザ端末2がオプションサービスの利用を終了し、当該ユーザ端末2からの利用終了報告を受けると(ステップS56)、利用ログDB9の内容を更新し(ステップS57)、本動作を終了する。   Thereafter, when the user terminal 2 starts using the optional service and a usage status report is made from the user terminal 2 (step S54), the optional service management server 11 updates the contents of the usage log DB 9 (step S55). . Further, when the user terminal 2 ends the use of the option service and receives a use end report from the user terminal 2 (step S56), the contents of the use log DB 9 are updated (step S57), and this operation ends.

ここで、オプションサービスサーバ群12の詳細は図9に示される通りである。   Here, the details of the option service server group 12 are as shown in FIG.

即ち、サーバ群12には、DHCP(Dynamic Host Configuration Protocol)オプションサーバ12a、GRIDオプションサーバ12b、SIPアプリケーションオプションサーバ12c、グループウェアオプションサーバ12d等が含まれている。   That is, the server group 12 includes a DHCP (Dynamic Host Configuration Protocol) option server 12a, a GRID option server 12b, a SIP application option server 12c, a groupware option server 12d, and the like.

DHCPオプションサーバ12aは、動的なIPアドレスの割り当て、及びホストコンフィグレーションを実現する(DNS等)。GRIDオプションサーバ12bは、GRIDアプリケーションをサポートするもので、例えばネットワーク上に個人のディスクスペースを状況に応じて作成するものである。SIPアプリケーションオプションサーバ12cは、SIPを利用するアプリケーションをサポートするもので、例えばSIPフォンや画面共有、SIPプレゼンス管理等を実現する。そして、グループウェアオプションサーバ12dは、例えばスケジューラ、簡易掲示板、勤務管理等をサポートするものである。これら各オプションサービスは、物理的に異なる複数のサーバによって提供されても、一のサーバで論理的に分けられた態様で提供されてもよい。   The DHCP option server 12a realizes dynamic IP address assignment and host configuration (DNS or the like). The GRID option server 12b supports the GRID application, and for example, creates a personal disk space on the network according to the situation. The SIP application option server 12c supports applications using SIP, and implements, for example, a SIP phone, screen sharing, SIP presence management, and the like. The groupware option server 12d supports, for example, a scheduler, a simple bulletin board, work management, and the like. Each of these optional services may be provided by a plurality of physically different servers, or may be provided in a manner logically divided by one server.

以上説明したように、本発明の第4の実施の形態によれば、IEEE802.1x対応のスイッチにおけるポート単位、若しくはWLANにおけるセッション単位での契約、管理、各種サービスの提供が可能となる。しかも、セキュリティ対策の不十分な端末と十分な端末とで接続先のVLANを切り換えることが可能である。従って、ウィルス等による被害を未然に防止し、迅速に対応することも可能となる。また、ポート単位で利用可能なオプションサービスを統括管理することも可能である。即ち、前述したオプションサービス等のサーバ機能はサービス提供者側でホスティングされるので、ベンダーと個別に契約する必要はなくなり、ユーザはIEEE802.1x対応のスイッチのポートをレンタルするだけで当該オプションサービスの提供を受けることが可能となる。従って、オプションサービスを利用する場合も契約、及び当該契約に基づく各種処理(課金等)はシンプルになる。さらに、ユーザ側は、固定資産を抱える必要がないので、資産管理も不要となる。   As described above, according to the fourth embodiment of the present invention, it is possible to provide contracts, management, and various services in units of ports in IEEE802.1x-compatible switches or sessions in WLAN. Moreover, it is possible to switch the connection destination VLAN between a terminal with insufficient security measures and a terminal with sufficient security measures. Therefore, it is possible to prevent damages caused by viruses and the like and respond quickly. It is also possible to centrally manage optional services available on a port basis. In other words, since the server functions such as the optional service described above are hosted on the service provider side, there is no need to make a separate contract with the vendor, and the user can simply rent a port of the IEEE802.1x compatible switch. It becomes possible to receive provision. Therefore, even when using the optional service, the contract and various processes (billing, etc.) based on the contract are simplified. Furthermore, since the user does not need to hold fixed assets, asset management is also unnecessary.

以上、本発明の第1乃至第4の実施の形態について説明したが、本発明はこれに限定されることなく、その趣旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、前述したオプションサービスは、前述したものには限定されず、ネットワークディスクやバイオメトリクス認証、ファイアウォール機能、IDS等、種々のものが含まれることは勿論である。   The first to fourth embodiments of the present invention have been described above. However, the present invention is not limited to this, and various modifications and changes can be made without departing from the spirit of the present invention. is there. For example, the optional services described above are not limited to those described above, and various services such as network disks, biometric authentication, firewall functions, IDS, and the like are of course included.

本発明の第1の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図。1 is a conceptual diagram of a network system and a network control method according to a first embodiment of the present invention. 本発明の第2の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図。The conceptual diagram of the network system and network control method which concern on the 2nd Embodiment of this invention. 本発明の第2の実施の形態に係るネットワークシステムのサーバ4による動作を詳細に説明するフローチャート。The flowchart explaining in detail the operation | movement by the server 4 of the network system which concerns on the 2nd Embodiment of this invention. 本発明の第3の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。A network system and a network control method according to a third embodiment of the present invention will be described with reference to conceptual diagrams. 本発明の第3の実施の形態に係るネットワークシステムのRadiusサーバ6による動作を詳細に説明するフローチャート。The flowchart explaining in detail the operation | movement by the Radius server 6 of the network system which concerns on the 3rd Embodiment of this invention. 本発明の第4の実施の形態に係るネットワークシステム及びネットワーク制御方法の概念図を示し説明する。A network system and a network control method according to the fourth embodiment of the present invention will be described with reference to conceptual diagrams. 本発明の第4の実施の形態に係るネットワークシステムのRadiusサーバ6による動作を詳細に説明するフローチャート。The flowchart explaining in detail the operation | movement by the Radius server 6 of the network system which concerns on the 4th Embodiment of this invention. 本発明の第4の実施の形態に係るネットワークシステムのオプションサービス管理サーバ11による動作を詳細に説明するフローチャート。The flowchart explaining in detail the operation | movement by the option service management server 11 of the network system which concerns on the 4th Embodiment of this invention. オプションサービスサーバ群12を詳細に示す図。The figure which shows the option service server group 12 in detail.

符号の説明Explanation of symbols

1・・・スイッチ、2・・・ユーザ端末、3・・・ルータ、4・・・Radiusサーバ、5・・・ネットワーク、6・・・Radiusサーバ、7・・・端末状態診断サーバ、8・・・セキュリティ対策サイト、9・・・利用ログDB、10・・・利用状況監視サーバ、11・・・オプションサービス管理サーバ、12・・・オプションサービスサーバ群。   DESCRIPTION OF SYMBOLS 1 ... Switch, 2 ... User terminal, 3 ... Router, 4 ... Radius server, 5 ... Network, 6 ... Radius server, 7 ... Terminal state diagnostic server, 8. ... Security countermeasure site, 9... Usage log DB, 10... Usage status monitoring server, 11... Optional service management server, 12.

Claims (4)

端末が接続可能な複数のポートを有するスイッチと、
無線ネットワーク中継デバイスと、
を有し、上記スイッチは契約に基づいてポート単位で所定のネットワークサービスが利用可能となるように設定がなされており、
さらに、上記スイッチはLAN外部のネットワーク監視端末から、セキュアに監視、設定可能であることを特徴とするネットワークシステム。 A switch having a plurality of ports to which a terminal can be connected;
A wireless network relay device;
The above switch is set so that a predetermined network service can be used on a port basis based on a contract.
Furthermore, the switch can be securely monitored and set from a network monitoring terminal outside the LAN. 端末が接続可能な複数のポートを有するスイッチと、
上記ポート単位で所定の管理、サービスの提供を行うサーバと、
を有し、上記スイッチは上記サーバによる上記所定の管理、サービスの提供に対応可能となるようにポート単位で所定の設定がなされており、
上記サーバは、上記ポート単位で端末の認証を行い、認証が成立した場合には第1のネットワークに上記端末を接続し、認証が不成立の場合には第2のネットワークに上記端末を接続する、ことを特徴とするネットワークシステム。 A switch having a plurality of ports to which a terminal can be connected;
A server that provides predetermined management and services in units of ports;
The switch has a predetermined setting for each port so that the server can support the predetermined management and provision of services.
The server authenticates the terminal in units of the port, connects the terminal to the first network when the authentication is established, and connects the terminal to the second network when the authentication is not established. A network system characterized by this. 上記スイッチの各ポートに接続された各端末が利用可能な付加的サービス内容をポート単位で統括して管理する管理サーバを更に有し、当該管理サーバは、上記認証が成立した場合には上記付加的サービス内容に基づいて付加的サービスを提供するように制御することを更に特徴とする請求項2に記載のネットワークシステム。   The management server further includes a management server that manages the additional service contents that can be used by each terminal connected to each port of the switch in units of ports, and the management server adds the additional service when the authentication is established. The network system according to claim 2, further comprising controlling to provide an additional service based on the content of the dynamic service. 端末が接続可能な複数のポートを有するスイッチと、当該スイッチと通信自在なサーバとを有するネットワークシステムによるネットワーク制御方法であって、
上記サーバは、ポート単位での制御が可能となるように所定の設定が施されたスイッチに対して当該設定単位に基づいて管理、サービスの提供を統括して行うことを特徴とするネットワークの制御方法。 A network control method by a network system having a switch having a plurality of ports to which a terminal can be connected and a server capable of communicating with the switch,
The server controls the switch that has been set to a predetermined setting so that control can be performed in units of ports, and performs management and provision of services based on the setting unit. Method.
JP2004040094A 2004-02-17 2004-02-17 Network system Expired - Fee Related JP3746782B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004040094A JP3746782B2 (en) 2004-02-17 2004-02-17 Network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004040094A JP3746782B2 (en) 2004-02-17 2004-02-17 Network system

Publications (2)

Publication Number Publication Date
JP2005236394A true JP2005236394A (en) 2005-09-02
JP3746782B2 JP3746782B2 (en) 2006-02-15

Family

ID=35018938

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004040094A Expired - Fee Related JP3746782B2 (en) 2004-02-17 2004-02-17 Network system

Country Status (1)

Country Link
JP (1) JP3746782B2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007102697A (en) * 2005-10-07 2007-04-19 Nec Corp Quarantine system, method and program
JP2008244535A (en) * 2007-03-26 2008-10-09 Kddi Corp Data communication system
JP2009519663A (en) * 2005-12-13 2009-05-14 インターナショナル・ビジネス・マシーンズ・コーポレーション Virtual network, data network system, computer program, and method of operating computer program
JP2010283553A (en) * 2009-06-04 2010-12-16 Optim Corp Network management method based on kind of equipment, network management device, program
JP2012050139A (en) * 2011-11-18 2012-03-08 Canon Inc Information processing apparatus and control method thereof
JP2013504812A (en) * 2009-09-09 2013-02-07 アップル インコーポレイテッド Accessory device authentication
US8634761B2 (en) 2008-09-08 2014-01-21 Apple Inc. Cross-transport authentication
US8763079B2 (en) 2005-01-07 2014-06-24 Apple Inc. Accessory authentication for electronic devices
US9160541B2 (en) 2006-06-27 2015-10-13 Apple Inc. Method and system for authenticating an accessory
JP2017506034A (en) * 2014-01-31 2017-02-23 クゥアルコム・インコーポレイテッドQualcomm Incorporated Method, device and system for dynamic network access management

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9223958B2 (en) 2005-01-07 2015-12-29 Apple Inc. Accessory authentication for electronic devices
US10049206B2 (en) 2005-01-07 2018-08-14 Apple Inc. Accessory authentication for electronic devices
US9754099B2 (en) 2005-01-07 2017-09-05 Apple Inc. Accessory authentication for electronic devices
US8763079B2 (en) 2005-01-07 2014-06-24 Apple Inc. Accessory authentication for electronic devices
JP2007102697A (en) * 2005-10-07 2007-04-19 Nec Corp Quarantine system, method and program
JP2009519663A (en) * 2005-12-13 2009-05-14 インターナショナル・ビジネス・マシーンズ・コーポレーション Virtual network, data network system, computer program, and method of operating computer program
JP4886788B2 (en) * 2005-12-13 2012-02-29 インターナショナル・ビジネス・マシーンズ・コーポレーション Virtual network, data network system, computer program, and method of operating computer program
US9160541B2 (en) 2006-06-27 2015-10-13 Apple Inc. Method and system for authenticating an accessory
JP2008244535A (en) * 2007-03-26 2008-10-09 Kddi Corp Data communication system
US8634761B2 (en) 2008-09-08 2014-01-21 Apple Inc. Cross-transport authentication
JP2010283553A (en) * 2009-06-04 2010-12-16 Optim Corp Network management method based on kind of equipment, network management device, program
JP2013504812A (en) * 2009-09-09 2013-02-07 アップル インコーポレイテッド Accessory device authentication
JP2012050139A (en) * 2011-11-18 2012-03-08 Canon Inc Information processing apparatus and control method thereof
JP2017506034A (en) * 2014-01-31 2017-02-23 クゥアルコム・インコーポレイテッドQualcomm Incorporated Method, device and system for dynamic network access management

Also Published As

Publication number Publication date
JP3746782B2 (en) 2006-02-15

Similar Documents

Publication Publication Date Title
US9621553B1 (en) Secure network access control
US9154378B2 (en) Architecture for virtualized home IP service delivery
US10129246B2 (en) Assignment and distribution of network configuration parameters to devices
US8132233B2 (en) Dynamic network access control method and apparatus
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
JP5318111B2 (en) Various methods and apparatus for a central management station for automatically distributing configuration information to remote devices
US9391959B2 (en) Automated control plane for limited user destruction
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US20160352731A1 (en) Network access control at controller
TW201141126A (en) Apparatus and methods for managing network resources
JP2005252717A (en) Network management method and server
JP3746782B2 (en) Network system
US20050188063A1 (en) Modifying a DHCP configuration for one system according to a request from another system
JP2010283553A (en) Network management method based on kind of equipment, network management device, program
WO2018039901A1 (en) Method, device and system for ip address allocation, and computer program product
KR100888979B1 (en) System and method for managing access to network based on user authentication
Richter et al. Practical Deployment of Cisco Identity Services Engine (ISE): Real-world Examples of AAA Deployments
CN115769203A (en) Apparatus and method for incorporating a device into a local area network

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051124

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081202

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081202

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091202

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101202

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101202

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111202

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees