技術領域

本發明涉及一種網絡中繼裝置以及該網絡中繼裝置中使用的接收幀的中繼控制方法。

背景技術

隨著ICT(Information?and?Communication?Technology，信息與通訊技術)的發展，出現了被稱為智能交換機的交換機產品。與普通交換機相比，這樣的智能交換機是具有高功能的交換機。智能交換機例如具有VLAN(Virtual?Local?Area?Network，虛擬局域網)功能、安全性功能、QoS服務質量等各種各樣的功能(例如，參照專利文獻1)。在這樣的功能中，近年來，尤其要求強化重視了網絡的內部威脅的安全性功能。

一般來說，作為重視了該網絡內部的威脅的安全性功能，廣泛使用被稱為“基于每個端口的安全性”的功能，該功能是指基于與智能交換機的端口連接的外部裝置的MAC地址來限制通信內容(traffic)的輸入。然而，現有技術中，即使在智能交換機中采用了基于每個端口的安全性功能的情況下，用于使智能交換機相互之間進行級聯連接(cascading?connection)的級聯連接用端口也被設定為開放狀態、即在安全性方面不對通信內容的輸入加以限制的狀態。因此，存在級聯連接用端口成為安全漏洞的問題。

此外，上述技術問題不僅僅是智能交換機中存在的問題，也是具有安全性功能的所有中繼裝置中普遍存在的問題。

【專利文獻1】：日本特開2008-48252號公報

發明內容

故而，本發明的目的是，提供一種提高了安全性的網絡中繼裝置及該網絡中繼裝置中使用的接收幀的中繼控制方法。

本發明涉及對從外部裝置接收到的幀進行中繼的網絡中繼裝置。為了達到上述目的，本發明的網絡中繼裝置具備認證處理部和中繼處理部，在作為外部裝置的其它網絡中繼裝置連接到網絡中繼裝置時，該認證處理部按照預先規定的認證方法，來與該其它網絡中繼裝置之間進行認證，該中繼處理部確定可否對網絡中繼裝置從外部裝置接收到的幀進行中繼，并對確定為可中繼的幀進行中繼，并且，中繼處理部以認證成功為條件，在網絡中繼裝置中，對從其它網絡中繼裝置接收到的幀也進行中繼。

根據上述結構，能夠提高網絡中繼裝置的安全性。

有代表性的是，該網絡中繼裝置還具備存儲部，該存儲部存儲第一許可一覽表，該第一許可一覽表用于用接收到的幀中包含的信息來確定網絡中繼裝置可以中繼的幀，中繼處理部具備認證信息管理部和確定處理部，該認證信息管理部將第一許可一覽表的內容發送給認證成功的其它網絡中繼裝置，并且從認證成功的其它網絡中繼裝置接收用于確定其它網絡中繼裝置可以中繼的幀的第二許可一覽表的內容，將所接收到的第二許可一覽表的內容反映在第一許可一覽表中，該確定處理部按照反映了第二許可一覽表的內容的第一許可一覽表，來確定可否對從外部裝置接收到的幀進行中繼。

根據上述結構，能夠提高網絡中繼裝置的安全性。

其中，優選的是，存儲部還存儲對由外部裝置構筑的虛擬的子網進行定義的第一虛擬網絡定義信息，其中，該外部裝置是直接與網絡中繼裝置連接、或經由其它網絡中繼裝置而間接與網絡中繼裝置連接的外部裝置；認證信息管理部進一步將第一虛擬網絡定義信息的內容發送給認證成功的其它網絡中繼裝置，并從認證成功的其它網絡中繼裝置接收對由外部裝置構筑的虛擬的子網進行定義的第二虛擬網絡定義信息的內容，并將所接收到的第二虛擬網絡定義信息的內容反映在第一虛擬網絡定義信息中，其中，該外部裝置是直接與其它網絡中繼裝置連接、或經由別的其它網絡中繼裝置而間接與其它網絡中繼裝置連接的外部裝置。

根據上述結構，能夠提高網絡中繼裝置的安全性，并能簡便地進行關于虛擬的子網的設定。

此外，也可以是，當發送幀的終端作為外部裝置而連接到網絡中繼裝置時，認證處理部進一步按照預先規定的認證方法來與終端之間進行認證，在終端的認證成功的情況下，認證信息管理部進一步改變第一許可一覽表的內容，以允許從終端接收的幀的中繼，并且將改變后的第一許可一覽表的內容發送給認證成功的其它網絡中繼裝置。

根據上述結構，能夠提高網絡中繼裝置的安全性。

在此情況下，優選的是，終端的認證成功的情況下，認證信息管理部進一步將第一虛擬網絡定義信息的內容發送給認證成功的其它網絡中繼裝置。

根據上述結構，能夠提高網絡中繼裝置的安全性，并能簡便地進行關于虛擬的子網的設定。

此外，優選的是，認證處理部具有基于IEEE802.1X的認證客戶以及基于IEEE802.1X的認證服務器這兩方面的功能。