KR101051935B1 - Illegal IP User Blocking System and Method Using MAC Address on LAN - Google Patents

Illegal IP User Blocking System and Method Using MAC Address on LAN Download PDF

Info

Publication number
KR101051935B1
KR101051935B1 KR1020090090054A KR20090090054A KR101051935B1 KR 101051935 B1 KR101051935 B1 KR 101051935B1 KR 1020090090054 A KR1020090090054 A KR 1020090090054A KR 20090090054 A KR20090090054 A KR 20090090054A KR 101051935 B1 KR101051935 B1 KR 101051935B1
Authority
KR
South Korea
Prior art keywords
switching table
host
illegal
address
arp packet
Prior art date
Application number
KR1020090090054A
Other languages
Korean (ko)
Other versions
KR20110032519A (en
Inventor
김영우
Original Assignee
(주)엔스퍼트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엔스퍼트 filed Critical (주)엔스퍼트
Priority to KR1020090090054A priority Critical patent/KR101051935B1/en
Publication of KR20110032519A publication Critical patent/KR20110032519A/en
Application granted granted Critical
Publication of KR101051935B1 publication Critical patent/KR101051935B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템 및 차단방법에 관한 것이다. 본 발명은, 원시호스트가 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하여 스위치로 전송한다. 상기 스위치가 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신하고, 상기 제 1 스위칭테이블을 다수의 목적호스트로 브로드캐스팅한다. 상기 다수의 목적호스트가 상기 제 1 스위칭테이블을 수신하여 갱신한다. 불법호스트가 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하여 상기 스위치로 전송한다. 상기 스위치가 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고. 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정한다. 상기 스위치가 재설정된 상기 제 1 스위칭테이블을 상기 원시호스트 및 상기 다수의 목적호스트로 브로드캐스팅한다.

Figure R1020090090054

VLAN, MAC, IP, 차단, 불법, 호스트

The present invention relates to an illegal IP user blocking system and a blocking method using MAC addresses on a VLAN. In the present invention, the primitive host generates a first ARP packet including a first IP address and a first MAC address and transmits the same to the switch. The switch updates the first switching table according to the first ARP packet and broadcasts the first switching table to a plurality of destination hosts. The plurality of destination hosts receive and update the first switching table. The illegal host generates a second ARP packet including a second IP address and a second MAC address, and sends it to the switch. The switch updates the second switching table according to the second ARP packet. If there is a pair (Pair) in which the second IP address and the second MAC address of the illegal host included in the second switching table do not match a plurality of IP addresses and MAC addresses included in the first switching table, Set up IP blocking for illegal hosts. The switch switches the reset first switching table to the source host and the plurality of destination hosts.

Figure R1020090090054

VLAN, MAC, IP, Block, Illegal, Host

Description

VLAN상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템 및 차단방법{Illegal IP user intercepting system and method using MAC address on VLAN}Illegal IP user intercepting system and method using MAC address on VLAN}

본 발명은 불법 IP 차단방법에 관한 것으로, 보다 구체적으로는, VLAN 상에서 단말인 호스트들이 사용하고 있는 IP를 보호하고, 불법적인 호스트가 사용하지 못하도록 하기 위한 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템 및 차단방법에 관한 것이다. The present invention relates to an illegal IP blocking method, and more specifically, to an illegal IP user blocking system using a MAC address on a VLAN for protecting an IP being used by hosts which are terminals on a VLAN and preventing an illegal host from using the IP. And a blocking method.

이더넷은 원래, 예컨대, 회사 내에서 데이터 네트워크에 효율적인 기반 구조를 제공하는 LAN(근거리 통신망) 기술로서 개발되었다. 이더넷은 적절한 속도공유매체를 위해 개발되었지만, 현재의 기술은 주로, 가상 LAN, VLAN, cf. IEEE 802.lq를 지원하는 고용량 이더넷 스위치에 의해 상호 접속되는 10 Gbps까지의 점 대 점(point to point) 링크에 적용한다. 가상LAN(이하, VLAN)은, 서로 통신할 수 있는 시스템의 그룹, 예컨대 작업 집단(workgroup) 내의 컴퓨터 및, 프레임을 VLAN의 구성 요소만으로의 송달을 제한하는 프로토콜이다. LAN은 다중 VLAN으로 분할될 수 있고, 각 VLAN에는, VLAN 식별자 또는 VLAN 태그라 하는 수가 지정되어, 그것을 LAN 내에서 유일하게 식별한다. LAN은 적어도 하나의 VLAN, 디폴트 VLAN을 포함한다. Ethernet was originally developed as a local area network (LAN) technology, for example, to provide an efficient infrastructure for data networks within a company. Ethernet was developed for the proper speed sharing media, but current technologies are mainly virtual LAN, VLAN, cf. Applies to point to point links up to 10 Gbps interconnected by high capacity Ethernet switches supporting IEEE 802.lq. Virtual LANs (hereinafter, VLANs) are protocols that restrict delivery of a group of systems that can communicate with each other, such as computers in a workgroup, and frames to only the components of the VLAN. A LAN can be divided into multiple VLANs, and each VLAN is assigned a number, called a VLAN identifier or a VLAN tag, to uniquely identify it in the LAN. The LAN includes at least one VLAN, a default VLAN.

한편, 통상적으로 VLAN은 공동의 이해 관계를 갖는 집단내부(예를 들면, 연구기관, 회사)에서 간단한 형태의 프레임 형식을 이용해 단말기간에 정보를 교환할 목적으로 사용되는 것이었으나, 매트로 이더넷이나 사이버 아파트와 같은 이질적인 이해관계를 갖는 불특정 다수가 VLAN 환경을 이용하여 인터넷을 이용하게 되면서 기존의 VLAN 환경에서는 문제가 되지 않았던 보안의 문제가 발생되고 있다. 게다가, VLAN 환경에서는 일상적으로 ARP요청이나 넷바이어스(Netbios) 등과 같은 브로드캐스트/멀티캐스트 패킷이 빈번히 발생한다. On the other hand, VLANs are generally used within a group with common interests (eg, research institutes, companies) for the purpose of exchanging information between terminals using a simple frame format. As many unspecified people with heterogeneous interests such as apartments use the Internet using VLAN environment, security problem that is not a problem in the existing VLAN environment is generated. In addition, in a VLAN environment, broadcast / multicast packets such as ARP requests and Netbios are frequently generated.

보다 구체적으로, 불법 IP 사용자로부터 발생되는 넷바이어스 패킷 등의 브로드캐스트/멀티캐스트 패킷이 여과없이 LAN 또는 VALN에서 지나다님으로써 가입자 단말간의 보안성이 떨어지며, Win32/Nimda 웜 바이러스와 같이 LAN 또는 VLAN상에 공유되어 있는 단말을 검색하여 자기 복제하는 바이러스에 의해서 가입자들은 중요한 데이터를 잃어버릴 수 있는 문제점이 발생한다.More specifically, broadcast / multicast packets, such as netbias packets generated from illegal IP users, pass through the LAN or VALN without filtering. There is a problem that subscribers may lose important data due to viruses that search for and share self-replicating terminals.

이에 따라, 해당 기술분야에 있어서는, 한정된 VLAN 상의 IP 어드레스를 효율적으로 사용하고, 불법적인 IP 사용자들의 사용을 차단하기 위한 기술개발이 요구되고 있다. Accordingly, in the technical field, there is a demand for technology development to efficiently use IP addresses on a limited VLAN and to block the use of illegal IP users.

상기한 문제점을 개선하기 위해 안출된 본 발명의 기술적 과제는, 물리적인 MAC 어드레스와 논리적인 IP 어드레스의 매칭을 통해 한정된 VLAN 상의 IP 어드레스를 효율적으로 관리하고, 불법적인 IP 사용자들의 사용을 차단하기 위한 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템 및 차단방법을 제공하기 위한 것이다.The technical problem of the present invention, which is devised to improve the above problems, is to efficiently manage IP addresses on a limited VLAN through matching of physical MAC addresses and logical IP addresses, and to prevent the use of illegal IP users. It is to provide illegal IP user blocking system and blocking method using MAC address on VLAN.

본 발명의 실시 예에 따르면, MAC 어드레스와 IP 어드레스 정보를 포함한 ARP 패킷을 관리하는 스위치가 스위칭테이블을 활용함으로써, 불법적인 IP 사용자들의 사용을 차단하도록 하기 위한 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템 및 차단방법을 제공하는 것을 목적으로 한다.According to an embodiment of the present invention, a switch that manages an ARP packet including MAC address and IP address information utilizes a switching table, thereby blocking illegal IP user using a MAC address on a VLAN to block use of illegal IP users. It is an object of the present invention to provide a system and a blocking method.

본 발명의 실시 예에 따르면, VLAN 상에서 단말인 호스트들이 사용하고 있는 IP를 보호하고, 불법적인 호스트가 사용하지 못하도록 함으로써, VLAN 상의 유한한 IP 자원을 보호하기 위한 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템 및 차단방법을 제공하는 것을 목적으로 한다.According to an embodiment of the present invention, an illegal IP user using a MAC address on a VLAN to protect a finite IP resource on a VLAN by protecting an IP being used by hosts as terminals on a VLAN and preventing an illegal host from using the host. It is an object to provide a blocking system and a blocking method.

그러나 본 발명의 목적들은 상기에 언급된 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.However, the objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.

본 발명의 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법은, 원시호스트가 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하여 스위치로 전송하는 제 1 단계; 상기 스위치가 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신하고, 상기 제 1 스위칭테이블을 다수의 목적호스트로 브로드캐스팅하는 제 2 단계; 상기 다수의 목적호스트가 상기 제 1 스위칭테이블을 수신하여 갱신하는 제 3 단계; 불법호스트가 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하여 상기 스위치로 전송하는 제 4 단계; 상기 스위치가 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고. 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하는 제 5 단계; 및 상기 스위치가 재설정된 상기 제 1 스위칭테이블을 상기 원시호스트 및 상기 다수의 목적호스트로 브로드캐스팅하는 제 6 단계;를 수행할 수 있다.An illegal IP user blocking method using a MAC address on a VLAN according to an exemplary embodiment of the present invention may include: a first step of a raw host generating a first ARP packet including a first IP address and a first MAC address to a switch; A second step of the switch updating the first switching table according to the first ARP packet and broadcasting the first switching table to a plurality of destination hosts; A third step of the plurality of destination hosts receiving and updating the first switching table; A fourth step of the illegal host generating a second ARP packet including a second IP address and a second MAC address and transmitting the generated ARP packet to the switch; The switch updates the second switching table according to the second ARP packet. If there is a pair (Pair) in which the second IP address and the second MAC address of the illegal host included in the second switching table do not match a plurality of IP addresses and MAC addresses included in the first switching table, A fifth step of setting IP blocking for the illegal host; And broadcasting the first switching table in which the switch is reset to the source host and the plurality of destination hosts.

삭제delete

본 발명의 다른 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법은, 원시호스트가 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하고 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신하고, 상기 제 1 스위칭테이블을 다수의 목적호스트로 브로드캐스팅하는 제 1 단계; 상기 다수의 목적호스트는 상기 제 1 스위칭테이블로 갱신하는 제 2 단계; 불법호스트가 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하고, 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블을 상기 원시호스트로 브로드캐스팅하는 제 3 단계; 상기 원시호스트가 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하는 제 4 단계; 상기 IP 차단 후에, 상기 원시호스트가 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행하는 제 5 단계;를 수행할 수 있다.According to another embodiment of the present invention, a method for blocking an illegal IP user using a MAC address on a VLAN may include generating a first ARP packet including a first IP address and a first MAC address, and generating a first ARP packet according to the first ARP packet. Updating to a first switching table and broadcasting the first switching table to a plurality of destination hosts; A second step of updating the plurality of destination hosts with the first switching table; The illegal host generates a second ARP packet including a second IP address and a second MAC address, updates the second ARP packet according to the second ARP packet, and broadcasts the second switching table to the raw host. Third step; The source host updates the second switching table according to the second ARP packet, and the second IP address and the second MAC address of the illegal host included in the second switching table are included in the first switching table. A fourth step of setting IP blocking for the illegal host when there are a plurality of pairs of IP addresses and MAC addresses that do not match; After the IP blocking, a fifth step of performing, by the primitive host, resetting the second switching table to the first switching table may be performed.

삭제delete

상기 제 3 단계에서의 상기 불법호스트가, 상기 불법호스트가 상기 제 2 스위칭테이블을 상기 다수의 목적호스트로도 브로드캐스팅하며, 상기 제 4 단계에서의 상기 다수의 목적호스트가, 상기 제 2 ARP 패킷에 따라 상기 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정할 수 있다.The illegal host in the third step broadcasts the second switching table to the plurality of destination hosts, and the plurality of destination hosts in the fourth step include the second ARP packet. The second IP address and the second MAC address of the illegal host included in the second switching table according to the plurality of IP addresses and MAC addresses included in the first switching table. If there is an unmatched pair, IP blocking for the illegal host may be set.

상기 제 5 단계에서의 다수의 목적호스트가, 상기 IP 차단 후에, 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행할 수 있다.The plurality of destination hosts in the fifth step may perform a reset to change the second switching table to the first switching table after the IP blocking.

본 발명의 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템은, 원시호스트, 스위치, 다수의 목적호스트를 포함하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템에 있어서, 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하여 상기 스위치로 전송하는 상기 원시호스트; 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신한 상기 스위치로부터 상기 제 1 스위칭테이블을 브로드캐스팅받아 갱신하는 상기 다수의 목적호스트; 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하여 상기 스위치로 전송하는 불법호스트; 및 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고. 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하고, 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행하는 상기 스위치; 를 포함하고, 상기 스위치가, 재설정된 상기 제 1 스위칭테이블 상기 원시호스트 및 상기 다수의 목적호스트로 브로드캐스팅할 수 있다.In the illegal IP user blocking system using a MAC address on a VLAN according to an embodiment of the present invention, in the illegal IP user blocking system using a MAC address on a VLAN including a raw host, a switch, and a plurality of destination hosts, a first IP address is used. Generating the first ARP packet including the first MAC address and transmitting the first ARP packet to the switch; The plurality of destination hosts for receiving and updating the first switching table from the switch updated with the first switching table according to the first ARP packet; An illegal host generating a second ARP packet including a second IP address and a second MAC address and transmitting the same to the switch; And update to a second switching table according to the second ARP packet. If there is a pair (Pair) in which the second IP address and the second MAC address of the illegal host included in the second switching table do not match a plurality of IP addresses and MAC addresses included in the first switching table, The switch for setting an IP blocking for an illegal host and performing a reset to change the second switching table to a first switching table; And the switch may broadcast the reset first switching table to the source host and the plurality of destination hosts.

삭제delete

본 발명의 다른 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템은, 원시호스트, 스위치, 다수의 목적호스트를 포함하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템에 있어서, 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하고 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신하고, 상기 제 1 스위칭테이블을 다수의 목적호스트로 브로드캐스팅하여 상기 제 1 스위칭테이블로 갱신하도록 하는 상기 원시호스트; 및 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하고, 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블을 상기 원시호스트로 브로드캐스팅하는 불법호스트; 을 포함하며, 상기 원시호스트가, 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하고, 상기 IP 차단 후에, 상기 원시호스트는 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행할 수 있다.In the illegal IP user blocking system using a MAC address on a VLAN according to another embodiment of the present invention, in the illegal IP user blocking system using a MAC address on a VLAN including a raw host, a switch, and a plurality of destination hosts, the first IP is blocked. A first ARP packet including an address and a first MAC address is generated and updated with a first switching table according to the first ARP packet, and the first switching table is broadcast to a plurality of destination hosts to the first switching table. The primitive host for updating; And generating a second ARP packet including a second IP address and a second MAC address, updating the second ARP packet according to the second ARP packet, and broadcasting the second switching table to the raw host. ; Wherein the source host updates the second switching table according to the second ARP packet, and the second IP address and the second MAC address of the illegal host included in the second switching table are the first; If there are a plurality of IP addresses and a pair of MAC addresses that do not match the MAC address in the switching table, IP blocking is set for the illegal host, and after the IP blocking, the raw host removes the second switching table. 1 You can perform a reset to change to the switching table.

삭제delete

상기 불법호스트가 상기 제 2 스위칭테이블을 상기 다수의 목적호스트로도 브로드캐스팅 하면, 상기 다수의 목적호스트가, 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정할 수 있다.If the illegal host also broadcasts the second switching table to the plurality of destination hosts, the plurality of destination hosts are updated with the second switching table according to the second ARP packet and included in the second switching table. IP blocking of the illegal host is performed when there are pairs in which the second IP address and the second MAC address of the illegal host do not match the plurality of IP addresses and MAC addresses included in the first switching table. Can be set.

상기 다수의 목적호스트는, 상기 IP 차단 후에, 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행할 수 있다.The plurality of destination hosts may perform a reset to change the second switching table to the first switching table after the IP blocking.

본 발명에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템 및 차단방법은 물리적인 MAC 어드레스와 논리적인 IP 어드레스의 매칭을 통해 한정된 VLAN 상의 IP 어드레스를 효율적으로 관리하고, 불법적인 IP 사용자들의 사 용을 차단할 수 있는 효과를 제공한다.The illegal IP user blocking system and blocking method using a MAC address on a VLAN according to the present invention efficiently manage IP addresses on a limited VLAN by matching a physical MAC address with a logical IP address, and use illegal IP users. Provides the effect of blocking.

또한, 본 발명에 의해, MAC 어드레스와 IP 어드레스 정보를 포함한 ARP 패킷을 관리하는 스위치가 스위칭테이블을 활용함으로써, 불법적인 IP 사용자들의 사용을 차단하도록 할 수 있는 효과를 제공한다.In addition, according to the present invention, a switch managing an ARP packet including MAC address and IP address information utilizes a switching table, thereby providing an effect that the use of illegal IP users can be blocked.

뿐만 아니라, 본 발명에 의해, VLAN 상에서 단말인 호스트들이 사용하고 있는 IP를 보호하고, 불법적인 호스트가 사용하지 못하도록 함으로써, VLAN 상의 유한한 IP 자원을 보호할 수 있는 효과를 제공한다. In addition, the present invention provides an effect of protecting a finite IP resource on a VLAN by protecting an IP being used by hosts as terminals on a VLAN and preventing an illegal host from using the host.

이하, 본 발명의 바람직한 실시 예의 상세한 설명은 첨부된 도면들을 참조하여 설명할 것이다. 하기에서 본 발명을 설명함에 있어서, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.Hereinafter, a detailed description of a preferred embodiment of the present invention will be described with reference to the accompanying drawings. In the following description of the present invention, detailed descriptions of well-known functions or configurations will be omitted when it is deemed that they may unnecessarily obscure the subject matter of the present invention.

본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터 또는 신호를 '전송'하는 경우에는 어느 하나의 구성요소는 다른 구성요소로 직접 데이터 또는 신호를 전송할 수 있고, 적어도 하나의 또 다른 구성요소를 통하여 데이터 또는 신호를 다른 구성요소로 전송할 수 있음을 의미한다.In the present specification, when one component 'transmits' data or a signal to another component, any one component may directly transmit data or a signal to another component, and at least one other component. This means that data or a signal can be transmitted to other components through the APC.

도 1은 본 발명의 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템을 나타내는 구성도이다. 도 1을 참조하면, VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템은 원시호스트(10), 불법호스트(20), 스위치(30), 다수의 목적호스트(50)를 포함하며, VLAN(Virtual Local Area Network) 상에 위치한다.1 is a block diagram illustrating an illegal IP user blocking system using a MAC address on a VLAN according to an exemplary embodiment of the present invention. Referring to FIG. 1, an illegal IP user blocking system using a MAC address on a VLAN includes a primitive host 10, an illegal host 20, a switch 30, and a plurality of destination hosts 50, and a VLAN (Virtual Local). Area Network).

원시호스트(10)는 현재의 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷(Address Resolution Protocol Packet)을 주기적으로 생성한다. 원시호스트(10)는 제 1 ARP 패킷 생성에 따라 스위치(30)로 주기적으로 제 1 ARP 패킷을 전송한다. The primitive host 10 periodically generates a first Address Resolution Protocol Packet (ARP) packet including a current first IP address and a first MAC address. The primitive host 10 periodically transmits the first ARP packet to the switch 30 according to the generation of the first ARP packet.

불법호스트(20)는 불법적으로 VLAN 네트워크 상에 액세스(Access)하는 호스트로, 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성한다. 불법호스트(20)는 제 2 ARP 패킷 생성에 따라 스위치(30)로 제 2 ARP 패킷을 전송한다.The illegal host 20 is a host illegally accessing a VLAN network, and generates a second ARP packet including a second IP address and a second MAC address. The illegal host 20 transmits the second ARP packet to the switch 30 according to the generation of the second ARP packet.

스위치(30)는 원시호스트(10)로부터 주기적으로 제 1 ARP 패킷을 수신하여 저장하고, 제 1 ARP 패킷에 따라 제 1 스위칭테이블을 갱신한다. 본 발명의 일 실시 예로, 스위치(30)가 갱신한 제 1 스위칭테이블은 도 2의 표 1과 같을 수 있다.The switch 30 periodically receives and stores the first ARP packet from the source host 10 and updates the first switching table according to the first ARP packet. According to an embodiment of the present invention, the first switching table updated by the switch 30 may be as shown in Table 1 of FIG. 2.

스위치(30)는 제 1 스위칭테이블을 다수의 목적호스트(50: 50_1 내지 50_n)로 브로드캐스팅하여, 제 1 스위칭테이블을 갱신하도록 한다.The switch 30 broadcasts the first switching table to a plurality of destination hosts 50: 50_1 to 50_n to update the first switching table.

이후, 스위치(30)는 불법호스트(20)로부터 제 2 ARP 패킷을 수신하여 저장하고, 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신한다. Thereafter, the switch 30 receives and stores the second ARP packet from the illegal host 20 and updates the second ARP packet to the second switching table according to the second ARP packet.

본 발명의 일 실시 예로, 스위치(30)가 갱신한 제 2 스위칭테이블은 도 3의 표 2와 같을 수 있다.According to an embodiment of the present invention, the second switching table updated by the switch 30 may be as shown in Table 2 of FIG. 3.

스위치(30)는 제 2 스위칭테이블에 포함된 다수의 IP 어드레스와 MAC 어드레 스가, 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 불법호스트(20)에 대한 IP 차단을 설정한다. The switch 30 may be illegal when the plurality of IP addresses and MAC addresses included in the second switching table do not match the plurality of IP addresses and MAC addresses included in the first switching table. Set IP blocking for).

보다 구체적으로, 스위치(30)는 ARP 패킷 수신 시 마다, 갱신된 스위칭테이블의 IP 어드레스 및 MAC 어드레스와 갱신전 IP 어드레스 및 MAC 어드레스를 비교하여, 동일한 IP 어드레스에 다른 MAC 어드레스가 있는지를 확인한다. 비교에 따라, 스위치(30)는 동일한 IP 어드레스에 다른 MAC 어드레스가 있는 경우 가장 최근에 수신된 IP 어드레스에 해당하는 MAC 어드레스를 갖는 호스트를 불법호스트로 간주하여 해당 IP 어드레스 차단을 설정한다.More specifically, each time the switch 30 receives the ARP packet, the switch 30 compares the IP address and MAC address of the updated switching table with the IP address and MAC address before updating to check whether there are different MAC addresses in the same IP address. According to the comparison, when there is another MAC address in the same IP address, the switch 30 considers the host having the MAC address corresponding to the most recently received IP address as an illegal host and sets the corresponding IP address blocking.

본 발명에서는 불법호스트의 IP 어드레스 10.0.0.1 이 원시호스트의 IP 어드레스와 동일하다. 이 경우 불법호스트의 MAC 어드레스인 00-00-85-00-07-52 이 원시호스트의 MAC 어드레스 00-08-9f-02-b4-15 와 다르므로, 스위치(30)는 불법호스트에 대한 IP 어드레스를 차단하는 것이다.In the present invention, the IP address 10.0.0.1 of the illegal host is the same as the IP address of the source host. In this case, since the MAC address of the illegal host 00-00-85-00-07-52 is different from the MAC address 00-08-9f-02-b4-15 of the raw host, the switch 30 is set to the IP address of the illegal host. It is blocking the address.

불법호스트 차단에 따라, 스위치(30)는 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행한다. 이후, 스위치(30)는 재설정된 제 1 스위칭테이블을 원시호스트(10), 다수의 목적호스트(50)로 브로드캐스팅한다. 이에 따라, 원시호스트(10) 및 다수의 목적호스트(50)는 제 1 스위칭테이블로 갱신된다. 이러한 불법호스트에 대한 스위칭테이블 갱신 방법에 따라, 블법호스트(20)에 의한 불법적인 IP 사용을 차단할 수 있다.In response to the illegal host blocking, the switch 30 performs a reset to change the second switching table to the first switching table. Thereafter, the switch 30 broadcasts the reset first switching table to the source host 10 and the plurality of destination hosts 50. As a result, the source host 10 and the plurality of destination hosts 50 are updated with the first switching table. According to the switching table update method for the illegal host, illegal IP use by the illegal host 20 can be blocked.

다수의 목적호스트(50)는 스위치(30)로부터 ARP 패킷에 따라 갱신된 스위칭테이블을 브로드캐스팅 받아 스위칭테이블을 갱신한다.The plurality of destination hosts 50 receive the updated switching table according to the ARP packet from the switch 30 and update the switching table.

한편, 본 발명의 다른 실시 예에 따는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템은, 원시호스트(10), 불법호스트(20), 다수의 목적호스트(50)를 포함하며, VLAN(Virtual Local Area Network) 상에 위치할 수 있다. 이 경우 스위치(30)가 수행하는 불법호스트(20)에 대한 IP 어드레스 차단은 원시호스트(10), 다수의 목적호스트(50)에서 각기 수행될 수 있다. Meanwhile, an illegal IP user blocking system using a MAC address on a VLAN according to another embodiment of the present invention includes a raw host 10, an illegal host 20, a plurality of destination hosts 50, and a VLAN (Virtual Local). Area network). In this case, the IP address blocking for the illegal host 20 performed by the switch 30 may be performed in the source host 10 and the plurality of destination hosts 50, respectively.

도 4는 본 발명의 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법을 나타내는 흐름도이다. 도 1 내지 도 4를 참조하면, 원시호스트(10)는 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성한다(S101). 본 발명의 일 실시 예로, 제 1 IP 어드레스는 10.0.0.1 이며, 제 1 MAC 어드레스는 00-08-9f-02-b4-15 일 수 있다. 여기서 원시호스트(10)가 생성하는 ARP 패킷의 구조는 도 5와 같을 수 있다. 즉, 제 1 ARP 패킷은 헤더, 6 byte의 제 1 MAC 어드레스, 4 byte의 제 1 IP 어드레스를 포함할 수 있으며, 크기는 가변적이다. 한편, 헤더는 IP 어드레스 및 MAC 어드레스의 크기를 나타내거나, CRC(Cyclic redundary check)로 형성될 수 있다.4 is a flowchart illustrating a method for blocking an illegal IP user using a MAC address on a VLAN according to an exemplary embodiment of the present invention. 1 to 4, the primitive host 10 generates a first ARP packet including a first IP address and a first MAC address (S101). In an embodiment of the present invention, the first IP address may be 10.0.0.1, and the first MAC address may be 00-08-9f-02-b4-15. Herein, the structure of the ARP packet generated by the primitive host 10 may be as shown in FIG. 5. That is, the first ARP packet may include a header, a first MAC address of 6 bytes, and a first IP address of 4 bytes, and the size thereof is variable. The header may indicate the size of the IP address and the MAC address, or may be formed as a cyclic redundary check (CRC).

원시호스트(10)는 제 1 ARP 패킷을 스위치(30)로 전송한다(S103).The primitive host 10 transmits the first ARP packet to the switch 30 (S103).

스위치(30)는 제 1 ARP 패킷을 저장하고, 제 1 ARP 패킷에 따라 제 1 스위칭테이블을 갱신한다(S105).The switch 30 stores the first ARP packet and updates the first switching table according to the first ARP packet (S105).

본 발명의 일 실시 예로, 스위치(30)가 갱신한 제 1 스위칭테이블은 도 2의 표 1과 같을 수 있다.According to an embodiment of the present invention, the first switching table updated by the switch 30 may be as shown in Table 1 of FIG. 2.

스위치(30)는 제 1 스위칭테이블을 다수의 목적호스트(50: 50_1 내지 50_n)로 브로드캐스팅한다(S107_1 내지 S107_n, n은 자연수).The switch 30 broadcasts the first switching table to a plurality of destination hosts 50: 50_1 to 50_n (S107_1 to S107_n, n is a natural number).

다수의 목적호스트(50: 50_1 내지 50_n)은 제 1 스위칭테이블을 수신하여 데이터 송수신을 위한 스위칭테이블을 갱신한다(S109_1 내지 S109_n, n은 자연수).The plurality of destination hosts 50: 50_1 to 50_n receive the first switching table and update the switching table for data transmission and reception (S109_1 to S109_n, where n is a natural number).

단계(S109) 이후, 불법호스트(20)가 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성한다(S111). 본 발명의 일 실시 예로, 제 2 IP 어드레스는 10.0.0.1 이며, 제 2 MAC 어드레스는 00-00-85-00-07-52 일 수 있다.After step S109, the illegal host 20 generates a second ARP packet including a second IP address and a second MAC address (S111). According to an embodiment of the present invention, the second IP address may be 10.0.0.1, and the second MAC address may be 00-00-85-00-07-52.

불법호스트(20)는 제 2 ARP 패킷을 스위치(30)로 전송한다(S113).The illegal host 20 transmits the second ARP packet to the switch 30 (S113).

스위치(30)는 제 2 ARP 패킷을 저장하며, 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신한다(S115). 본 발명의 일 실시 예로, 스위치(30)가 갱신한 제 2 스위칭테이블은 도 3의 표 2와 같을 수 있다.The switch 30 stores the second ARP packet and updates the second ARP packet to the second switching table according to the second ARP packet (S115). According to an embodiment of the present invention, the second switching table updated by the switch 30 may be as shown in Table 2 of FIG. 3.

스위치(30)는 제 2 스위칭테이블에 포함된 다수의 IP 어드레스와 MAC 어드레스가, 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 불법호스트(20)에 대한 IP 차단을 설정한다(S117). The switch 30 is illegal when the plurality of IP addresses and MAC addresses included in the second switching table do not match the plurality of IP addresses and MAC addresses included in the first switching table. IP blocking is set in step S117.

보다 구체적으로, 스위치(30)는 ARP 패킷 수신 시 마다, 갱신된 스위칭테이블의 IP 어드레스 및 MAC 어드레스와 갱신전 IP 어드레스 및 MAC 어드레스를 비교하여, 동일한 IP 어드레스에 다른 MAC 어드레스가 있는지를 확인한다. 비교에 따라, 스위치(30)는 동일한 IP 어드레스에 다른 MAC 어드레스가 있는 경우 가장 최근에 수신된 IP 어드레스에 해당하는 MAC 어드레스를 갖는 호스트를 불법호스트로 간 주하여 해당 IP 어드레스 차단을 설정한다.More specifically, each time the switch 30 receives the ARP packet, the switch 30 compares the IP address and MAC address of the updated switching table with the IP address and MAC address before updating to check whether there are different MAC addresses in the same IP address. According to the comparison, when there is another MAC address in the same IP address, the switch 30 considers the host having the MAC address corresponding to the most recently received IP address as an illegal host and sets the corresponding IP address blocking.

본 발명에서는 불법호스트의 IP 어드레스 10.0.0.1 이 원시호스트의 IP 어드레스와 동일하다. 이 경우 불법호스트의 MAC 어드레스인 00-00-85-00-07-52 이 원시호스트의 MAC 어드레스 00-08-9f-02-b4-15 와 다르므로, 스위치(30)는 불법호스트에 대한 IP 어드레스를 차단하는 것이다.In the present invention, the IP address 10.0.0.1 of the illegal host is the same as the IP address of the source host. In this case, since the MAC address of the illegal host 00-00-85-00-07-52 is different from the MAC address 00-08-9f-02-b4-15 of the raw host, the switch 30 is set to the IP address of the illegal host. It is blocking the address.

불법호스트 차단에 따라, 스위치(30)는 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행한다(S109). 이후, 스위치(30)는 재설정된 제 1 스위칭테이블을 원시호스트(10)로 브로드캐스팅한다(S111). 이에 따라, 원시호스트(10)는 제 1 스위칭테이블로 갱신된다(S113).In response to the illegal host blocking, the switch 30 resets the second switching table to the first switching table (S109). Thereafter, the switch 30 broadcasts the reset first switching table to the raw host 10 (S111). Accordingly, the raw host 10 is updated to the first switching table (S113).

한편, 단계(S111 내지 S113) 이후 또는 동시에, 스위치(30)는 제 1 스위칭테이블을 제 1 내지 제 n 목적호스트(50_1 내지 50_n)로 브로드캐스팅한다(S115_1 내지 S115_n).Meanwhile, after steps S111 to S113 or at the same time, the switch 30 broadcasts the first switching table to the first to n th destination hosts 50_1 to 50_n (S115_1 to S115_n).

이에 따라, 제 1 내지 제 n 목적호스트(50_1 내지 50_n)은 제 1 스위칭테이블로 갱신한다(S117_1 내지 S117_n). 갱신에 따라, 블법호스트(20)에 의한 불법적인 IP 사용을 차단할 수 있다.Accordingly, the first to nth destination hosts 50_1 to 50_n are updated to the first switching table (S117_1 to S117_n). In accordance with the renewal, illegal use of the IP by the illegal host 20 may be blocked.

도 6은 본 발명의 다른 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법을 나타내는 흐름도이다. 도 1 내지 도 6을 참조하면, 원시호스트(10)는 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성한다(S131). 본 발명의 일 실시 예로, 제 1 IP 어드레스는 10.0.0.1 이며, 제 1 MAC 어드레스는 00-08-9f-02-b4-15 일 수 있다.6 is a flowchart illustrating a method for blocking an illegal IP user using a MAC address on a VLAN according to another embodiment of the present invention. 1 to 6, the primitive host 10 generates a first ARP packet including a first IP address and a first MAC address (S131). In an embodiment of the present invention, the first IP address may be 10.0.0.1, and the first MAC address may be 00-08-9f-02-b4-15.

원시호스트(10)는 제 1 ARP 패킷 생성에 사용된 제 1 IP 어드레스, 제 1 MAC 어드레스에 따라 제 1 스위칭테이블을 갱신한다(S133)The raw host 10 updates the first switching table according to the first IP address and the first MAC address used for generating the first ARP packet (S133).

본 발명의 일 실시 예로, 원시호스트(10)가 갱신한 제 1 스위칭테이블은 도 2의 표 1과 같을 수 있다.According to an embodiment of the present invention, the first switching table updated by the source host 10 may be as shown in Table 1 of FIG. 2.

원시호스트(10)는 제 1 스위칭테이블을 제 1 내지 n 목적호스트(50)로 브로드캐스팅한다(S135_1 내지 S135_n).The raw host 10 broadcasts the first switching table to the first to n destination hosts 50 (S135_1 to S135_n).

제 1 내지 n 목적호스트(50)는 제 1 스위칭테이블을 수신하여 스위칭테이블을 갱신한다(S137_1 내지 S137_n).The first to n destination hosts 50 receive the first switching table and update the switching table (S137_1 to S137_n).

단계(S137) 이후, 불법호스트(20)가 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성한다(S139). 본 발명의 일 실시 예로, 제 2 IP 어드레스는 10.0.0.1 이며, 제 2 MAC 어드레스는 00-00-85-00-07-52 일 수 있다.After step S137, the illegal host 20 generates a second ARP packet including a second IP address and a second MAC address (S139). According to an embodiment of the present invention, the second IP address may be 10.0.0.1, and the second MAC address may be 00-00-85-00-07-52.

불법호스트(20)는 제 2 ARP 패킷 생성에 사용된 제 2 IP 어드레스, 제 2 MAC 어드레스를 이용해 제 2 스위칭테이블을 갱신한다(S143).The illegal host 20 updates the second switching table using the second IP address and the second MAC address used to generate the second ARP packet (S143).

본 발명의 일 실시 예로, 불법호스트(20)가 갱신한 제 2 스위칭테이블은 도 3의 표 2와 같을 수 있다. According to an embodiment of the present invention, the second switching table updated by the illegal host 20 may be as shown in Table 2 of FIG. 3.

불법호스트(20)는 제 2 스위칭테이블을 원시호스트(10) 및 제 1 내지 제 n 목적호스트로 브로드캐스팅한다(S143, S145_1 내지 S145_n).The illegal host 20 broadcasts the second switching table to the source host 10 and the first to nth destination hosts (S143, S145_1 to S145_n).

원시호스트(10)는 제 2 스위칭테이블을 스위칭테이블로 갱신한다(S147).The raw host 10 updates the second switching table with the switching table (S147).

원시호스트(10)는 제 2 스위칭테이블에 포함된 다수의 IP 어드레스와 MAC 어 드레스가, 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 불법호스트(20)에 대한 IP 차단을 설정한다(S149). The raw host 10 is an illegal host when there are a pair of IP addresses and MAC addresses included in the second switching table and a plurality of IP addresses and MAC addresses not included in the first switching table. IP blocking for 20 is set (S149).

보다 구체적으로, 원시호스트(10)는 ARP 패킷 수신 시 마다, 갱신된 스위칭테이블의 IP 어드레스 및 MAC 어드레스와 갱신전 IP 어드레스 및 MAC 어드레스를 비교하여, 동일한 IP 어드레스에 다른 MAC 어드레스가 있는지를 확인한다. 비교에 따라, 스위치(30)는 동일한 IP 어드레스에 다른 MAC 어드레스가 있는 경우 가장 최근에 수신된 IP 어드레스에 해당하는 MAC 어드레스를 갖는 호스트를 불법호스트(20)로 간주하여 해당 IP 어드레스 차단을 설정한다.More specifically, the primitive host 10 compares the IP address and MAC address of the updated switching table with the pre-update IP address and MAC address each time an ARP packet is received to check whether there are different MAC addresses in the same IP address. . According to the comparison, when there is another MAC address in the same IP address, the switch 30 considers the host having the MAC address corresponding to the most recently received IP address as the illegal host 20 and sets the corresponding IP address blocking. .

본 발명에서는 불법호스트의 IP 어드레스 10.0.0.1 이 원시호스트의 IP 어드레스와 동일하다. 이 경우 불법호스트의 MAC 어드레스인 00-00-85-00-07-52 이 원시호스트의 MAC 어드레스 00-08-9f-02-b4-15 와 다르므로, 스위치(30)는 불법호스트에 대한 IP 어드레스를 차단하는 것이다.In the present invention, the IP address 10.0.0.1 of the illegal host is the same as the IP address of the source host. In this case, since the MAC address of the illegal host 00-00-85-00-07-52 is different from the MAC address 00-08-9f-02-b4-15 of the raw host, the switch 30 is set to the IP address of the illegal host. It is blocking the address.

불법호스트 차단에 따라, 원시호스트(10)는 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행한다(S151).In response to the illegal host blocking, the primitive host 10 resets the second switching table to the first switching table (S151).

한편, 단계(S145_1 내지 S145_n)에 따라, 제 2 스위칭테이블을 수신한 제 1 내지 제 n 목적호스트(50_1 내지 50_n)는 제 2 스위칭테이블을 스위칭테이블로 갱신한다(S153_1 내지 S153_n).Meanwhile, according to steps S145_1 to S145_n, the first to nth destination hosts 50_1 to 50_n receiving the second switching table update the second switching table to the switching table (S153_1 to S153_n).

제 1 내지 제 n 목적호스트(50_1 내지 50_n)은 단계(S149)와 동일하게 제 2 스위칭테이블에 포함된 다수의 IP 어드레스와 MAC 어드레스가, 제 1 스위칭테이블 에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 불법호스트(20)에 대한 IP 차단을 설정한다(S155_1 내지 S155_n). The first to nth destination hosts 50_1 to 50_n include the plurality of IP addresses and MAC addresses included in the second switching table in the same manner as in step S149, and the plurality of IP addresses and MAC addresses included in the first switching table. If there is a pair (Pair) that does not match the IP blocking for the illegal host 20 is set (S155_1 to S155_n).

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.The present invention can also be embodied as computer-readable codes on a computer-readable recording medium. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system.

컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기테이프, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disks, optical data storage devices, and the like, which are also implemented in the form of carrier waves (eg, transmission over the Internet). It also includes.

또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인 (functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion. And functional programs, codes and code segments for implementing the present invention can be easily inferred by programmers in the art to which the present invention belongs.

상기 본 발명의 내용은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정 해져야 할 것이다.Although the contents of the present invention have been described with reference to one embodiment shown in the drawings, this is merely exemplary, and those skilled in the art may realize various modifications and other equivalent embodiments therefrom. Will understand. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.BRIEF DESCRIPTION OF THE DRAWINGS In order to better understand the drawings cited in the detailed description of the invention, a brief description of each drawing is provided.

도 1은 본 발명의 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템을 나타내는 구성도.1 is a block diagram showing an illegal IP user blocking system using a MAC address on a VLAN according to an embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 제 1 스위칭테이블 표를 나타내는 도면.2 is a diagram illustrating a first switching table table according to an embodiment of the present invention.

도 3은 본 발명의 실시 예에 따른 제 2 스위칭테이블 표를 나타내는 도면.3 is a diagram illustrating a second switching table table according to an embodiment of the present invention.

도 4는 본 발명의 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법을 나타내는 흐름도.4 is a flowchart illustrating a method for blocking an illegal IP user using a MAC address on a VLAN according to an embodiment of the present invention.

도 5는 본 발명의 실시 예에 따른 원시호스트가 생성한 제 1 ARP 패킷의 구조를 나타내는 도면.5 is a diagram illustrating the structure of a first ARP packet generated by a primitive host according to an embodiment of the present invention.

도 6은 본 발명의 다른 실시 예에 따른 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법을 나타내는 흐름도.6 is a flowchart illustrating a method for blocking an illegal IP user using a MAC address on a VLAN according to another embodiment of the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10: 원시호스트 20: 불법호스트10: primitive host 20: illegal host

30: 스위치 50: 목적호스트30: switch 50: destination host

Claims (12)

원시호스트가 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하여 스위치로 전송하는 제 1 단계;A first step of the source host generating a first ARP packet including the first IP address and the first MAC address and transmitting the first ARP packet to the switch; 상기 스위치가 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신하고, 상기 제 1 스위칭테이블을 다수의 목적호스트로 브로드캐스팅하는 제 2 단계;A second step of the switch updating the first switching table according to the first ARP packet and broadcasting the first switching table to a plurality of destination hosts; 상기 다수의 목적호스트가 상기 제 1 스위칭테이블을 수신하여 갱신하는 제 3 단계; A third step of the plurality of destination hosts receiving and updating the first switching table; 불법호스트가 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하여 상기 스위치로 전송하는 제 4 단계;A fourth step of the illegal host generating a second ARP packet including a second IP address and a second MAC address and transmitting the generated ARP packet to the switch; 상기 스위치가 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고. 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하는 제 5 단계; 및 The switch updates the second switching table according to the second ARP packet. If there is a pair (Pair) in which the second IP address and the second MAC address of the illegal host included in the second switching table do not match a plurality of IP addresses and MAC addresses included in the first switching table, A fifth step of setting IP blocking for the illegal host; And 상기 스위치가 재설정된 상기 제 1 스위칭테이블을 상기 원시호스트 및 상기 다수의 목적호스트로 브로드캐스팅하는 제 6 단계; 를 수행하는 것을 특징으로 하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법.A sixth step of broadcasting the switched first switch table to the source host and the plurality of destination hosts; Illegal IP user blocking method using a MAC address on a VLAN, characterized in that for performing. 삭제delete 원시호스트가 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하고 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신하고, 상기 제 1 스위칭테이블을 다수의 목적호스트로 브로드캐스팅하는 제 1 단계;The primitive host generates a first ARP packet including a first IP address and a first MAC address, updates the first ARP packet according to the first ARP packet, and broadcasts the first switching table to a plurality of destination hosts. First step; 상기 다수의 목적호스트는 상기 제 1 스위칭테이블로 갱신하는 제 2 단계;A second step of updating the plurality of destination hosts with the first switching table; 불법호스트가 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하고, 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블을 상기 원시호스트로 브로드캐스팅하는 제 3 단계; The illegal host generates a second ARP packet including a second IP address and a second MAC address, updates the second ARP packet according to the second ARP packet, and broadcasts the second switching table to the raw host. Third step; 상기 원시호스트가 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하는 제 4 단계; 및 The source host updates the second switching table according to the second ARP packet, and the second IP address and the second MAC address of the illegal host included in the second switching table are included in the first switching table. A fourth step of setting IP blocking for the illegal host when there are a plurality of pairs of IP addresses and MAC addresses that do not match; And 상기 원시호스트가 상기 IP 차단 후에, 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행하는 제 5 단계;를 수행하는 것을 특징으로 하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법.And a fifth step of performing, by the primitive host, resetting the second switching table to the first switching table after the IP blocking. The illegal host user blocking method using a MAC address on a VLAN may be performed. 삭제delete 제 3 항에 있어서, The method of claim 3, wherein 상기 제 3 단계에서의 상기 불법호스트가, 상기 제 2 스위칭테이블을 상기 다수의 목적호스트로도 브로드캐스팅하며,The illegal host in the third step broadcasts the second switching table to the plurality of destination hosts, 상기 제 4 단계에서의 상기 다수의 목적호스트가, 상기 제 2 ARP 패킷에 따라 상기 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하는 것을 특징으로 하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법.The plurality of destination hosts in the fourth step is updated with the second switching table according to the second ARP packet, and the second IP address and the second MAC address of the illegal host included in the second switching table. In the case where there are a plurality of IP addresses and pairs that do not match the MAC addresses included in the first switching table, IP blocking for the illegal host is set. How to block users. 제 5 항에 있어서, The method of claim 5, 상기 제 5 단계에서의 다수의 목적호스트가, 상기 IP 차단 후에, 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행하는 것을 특징으로 하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단방법.And a plurality of destination hosts in the fifth step, after the IP blocking, performs a reset to change the second switching table to a first switching table. 원시호스트, 스위치, 다수의 목적호스트를 포함하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템에 있어서,In the illegal IP user blocking system using MAC address on a VLAN including a raw host, a switch, and a plurality of destination hosts, 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하여 상기 스위치로 전송하는 상기 원시호스트;The source host generating a first ARP packet including a first IP address and a first MAC address and transmitting the first ARP packet to the switch; 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신한 상기 스위치로부터 상기 제 1 스위칭테이블을 브로드캐스팅받아 갱신하는 상기 다수의 목적호스트;The plurality of destination hosts for receiving and updating the first switching table from the switch updated with the first switching table according to the first ARP packet; 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하여 상기 스위치로 전송하는 불법호스트; 및 An illegal host generating a second ARP packet including a second IP address and a second MAC address and transmitting the same to the switch; And 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고. 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하고, 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행하는 상기 스위치; 를 포함하고, Update to a second switching table according to the second ARP packet. If there is a pair (Pair) in which the second IP address and the second MAC address of the illegal host included in the second switching table do not match a plurality of IP addresses and MAC addresses included in the first switching table, The switch for setting an IP blocking for an illegal host and performing a reset to change the second switching table to a first switching table; Including, 상기 스위치가, 재설정된 상기 제 1 스위칭테이블 상기 원시호스트 및 상기 다수의 목적호스트로 브로드캐스팅하는 것을 특징으로 하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템.And the switch broadcasts the reset first switching table to the source host and the plurality of destination hosts. 삭제delete 원시호스트, 스위치, 다수의 목적호스트를 포함하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템에 있어서,In the illegal IP user blocking system using MAC address on a VLAN including a raw host, a switch, and a plurality of destination hosts, 제 1 IP 어드레스, 제 1 MAC 어드레스를 포함한 제 1 ARP 패킷을 생성하고 상기 제 1 ARP 패킷에 따라 제 1 스위칭테이블로 갱신하고, 상기 제 1 스위칭테이블을 다수의 목적호스트로 브로드캐스팅하여 상기 제 1 스위칭테이블로 갱신하도록 하는 상기 원시호스트; 및 A first ARP packet including a first IP address and a first MAC address is generated and updated with a first switching table according to the first ARP packet, and the first switching table is broadcasted to a plurality of destination hosts. The raw host for updating with a switching table; And 제 2 IP 어드레스, 제 2 MAC 어드레스를 포함한 제 2 ARP 패킷을 생성하고, 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블을 상기 원시호스트로 브로드캐스팅하는 불법호스트; 을 포함하며,An illegal host generating a second ARP packet including a second IP address and a second MAC address, updating to a second switching table according to the second ARP packet, and broadcasting the second switching table to the raw host; Including; 상기 원시호스트가, 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하고, 상기 IP 차단 후에 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행하는 것을 특징으로 하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템.The source host updates the second switching table according to the second ARP packet, and the second IP address and the second MAC address of the illegal host included in the second switching table are included in the first switching table. If there are a plurality of pairs of IP addresses and MAC addresses that do not match, the IP blocking is set for the illegal host, and after the IP blocking, a reset is performed to change the second switching table to the first switching table. Illegal IP user blocking system using MAC address on a VLAN, characterized in that the. 삭제delete 제 9 항에 있어서, The method of claim 9, 상기 불법호스트가 상기 제 2 스위칭테이블을 상기 다수의 목적호스트로도 브로드캐스팅 하면, 상기 다수의 목적호스트가, 상기 제 2 ARP 패킷에 따라 제 2 스위칭테이블로 갱신하고, 상기 제 2 스위칭테이블에 포함된 상기 불법호스트의 제 2 IP 어드레스와 제 2 MAC 어드레스가, 상기 제 1 스위칭테이블에 포함된 다수의 IP 어드레스, MAC 어드레스와 매칭되지 않는 페어(Pair)가 있는 경우 상기 불법호스트에 대한 IP 차단을 설정하는 것을 특징으로 하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템.If the illegal host also broadcasts the second switching table to the plurality of destination hosts, the plurality of destination hosts are updated with the second switching table according to the second ARP packet and included in the second switching table. IP blocking of the illegal host is performed when there are pairs in which the second IP address and the second MAC address of the illegal host do not match the plurality of IP addresses and MAC addresses included in the first switching table. Illegal IP user blocking system using MAC address on VLAN, characterized by setting. 제 11 항에 있어서, 상기 다수의 목적호스트는, The method of claim 11, wherein the plurality of destination hosts, 상기 IP 차단 후에, 상기 제 2 스위칭테이블을 제 1 스위칭테이블로 변경하는 재설정을 수행하는 것을 특징으로 하는 VLAN 상에서 MAC 어드레스를 이용한 불법 IP 사용자 차단시스템.And after the IP blocking, performing a reset to change the second switching table to the first switching table.
KR1020090090054A 2009-09-23 2009-09-23 Illegal IP User Blocking System and Method Using MAC Address on LAN KR101051935B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090090054A KR101051935B1 (en) 2009-09-23 2009-09-23 Illegal IP User Blocking System and Method Using MAC Address on LAN

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090090054A KR101051935B1 (en) 2009-09-23 2009-09-23 Illegal IP User Blocking System and Method Using MAC Address on LAN

Publications (2)

Publication Number Publication Date
KR20110032519A KR20110032519A (en) 2011-03-30
KR101051935B1 true KR101051935B1 (en) 2011-07-26

Family

ID=43937259

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090090054A KR101051935B1 (en) 2009-09-23 2009-09-23 Illegal IP User Blocking System and Method Using MAC Address on LAN

Country Status (1)

Country Link
KR (1) KR101051935B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101231620B1 (en) * 2011-09-05 2013-02-08 고려대학교 산학협력단 Defense method against arp offense for node of the network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030005761A (en) * 2001-07-10 2003-01-23 주식회사 니츠 Method of blocking illegal internal network access and apparatus thereof
KR20070081116A (en) * 2007-02-09 2007-08-14 주식회사 코어세스 Apparatus and method for automatically blocking spoofing by address resolution protocol
KR100807933B1 (en) * 2006-11-28 2008-03-03 엘지노텔 주식회사 System and method for detecting arp spoofing and computer readable storage medium storing program for detecting arp spoofing
US7360245B1 (en) 2001-07-18 2008-04-15 Novell, Inc. Method and system for filtering spoofed packets in a network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030005761A (en) * 2001-07-10 2003-01-23 주식회사 니츠 Method of blocking illegal internal network access and apparatus thereof
US7360245B1 (en) 2001-07-18 2008-04-15 Novell, Inc. Method and system for filtering spoofed packets in a network
KR100807933B1 (en) * 2006-11-28 2008-03-03 엘지노텔 주식회사 System and method for detecting arp spoofing and computer readable storage medium storing program for detecting arp spoofing
KR20070081116A (en) * 2007-02-09 2007-08-14 주식회사 코어세스 Apparatus and method for automatically blocking spoofing by address resolution protocol

Also Published As

Publication number Publication date
KR20110032519A (en) 2011-03-30

Similar Documents

Publication Publication Date Title
US11601296B2 (en) Bit indexed explicit replication for layer 2 networking
JP4575439B2 (en) Method and apparatus for L3-aware switching in an Ethernet passive optical network
US9112725B2 (en) Dynamic VLAN IP network entry
KR101379112B1 (en) Layer 2 seamless site extension of enterprises in cloud computing
EP1903723B1 (en) Method and apparatus for transmitting message
JP5053376B2 (en) Point-to-multipoint capability in bridged networks
US8165138B2 (en) Converged infiniband over ethernet network
WO2018177409A1 (en) Packet transmission method and apparatus
CN107046506B (en) Message processing method, flow classifier and service function example
US9325613B2 (en) Communication device and address learning method
WO2009127128A1 (en) Method for avoiding downstream data flooding in ethernet passive optical network
US8923291B2 (en) Communication apparatus and communication method
WO2012088901A1 (en) Method for allocating virtual local area network and associated device
WO2013053266A1 (en) Message learning method, device and system
Edwards et al. Diverter: A new approach to networking within virtualized infrastructures
Scott et al. Addressing the Scalability of Ethernet with MOOSE
WO2011107052A2 (en) Method and access node for preventing address conflict
US20160006684A1 (en) Communication system, control apparatus, communication method, and program
US9402224B2 (en) Method, apparatus and system for neighbor discovery
JP6032026B2 (en) Relay program, relay method, and relay processing apparatus
US7769007B2 (en) Method of providing multicast services in virtual private LAN
KR101051935B1 (en) Illegal IP User Blocking System and Method Using MAC Address on LAN
Cisco SMDS Commands
Cisco SMDS Commands
Cisco SMDS Commands

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140611

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee