CN1756239B - 用户线路容纳设备和分组过滤方法 - Google Patents

用户线路容纳设备和分组过滤方法 Download PDF

Info

Publication number
CN1756239B
CN1756239B CN2005101199403A CN200510119940A CN1756239B CN 1756239 B CN1756239 B CN 1756239B CN 2005101199403 A CN2005101199403 A CN 2005101199403A CN 200510119940 A CN200510119940 A CN 200510119940A CN 1756239 B CN1756239 B CN 1756239B
Authority
CN
China
Prior art keywords
address
grouping
subscriber
dynamic
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2005101199403A
Other languages
English (en)
Other versions
CN1756239A (zh
Inventor
佐藤壮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of CN1756239A publication Critical patent/CN1756239A/zh
Application granted granted Critical
Publication of CN1756239B publication Critical patent/CN1756239B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • H04L12/2861Point-to-multipoint connection from the data network to the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

在用户线路容纳设备中,用户线路终接单元分别地终接多条用户线路。地址信息获取单元,依次获取动态地分配给连接至由所述用户线路终接单元终接的用户线路的每个通信终端的动态地址,作为地址信息。分组信息读取单元,从将要发送到多个通信终端之一的分组中,读出包含表示该分组目的地的动态地址的分组信息。地址信息一致与否判定单元,判定读出的动态地址是否与由地址信息获取单元获取的地址信息中的一条相一致。分组发送控制单元,仅允许判定为一致的分组的发送。同时也公开了一种分组过滤方法。

Description

用户线路容纳设备和分组过滤方法
技术领域
本发明涉及将分组发送到通信终端时使用的用户线路容纳设备,该通信终端连接到由用户线路终接单元终接的用户线路,本发明还涉及用于发送分组的分组过滤方法。
背景技术
目前已经广泛地使用这样的业务形式,其中各个用户终端使用DHCP(动态主机配置协议)通过诸如电话线或光缆的传输线路连接到通信网络,例如因特网。DHCP表示一种动态分配可再用的IP(网际协议)地址的协议。
然而,在使用DHCP的通信网络中,第三方能够通过冒充IP地址或MAC(媒体存取控制)地址,干扰他人的通信或者冒充他人。
例如,当使用DHCP的通信网络中包含的用户线路终接单元的桥式转发器接收到扩散(flooding)的分组时,分组被发送到同一网络上存在的所有节点。由于这个缘故,不必要的分组甚至被发送到并非通信目标的用户终端,从而增加了业务量。
另外,在使用DHCP的通信网络中,IP地址被动态地分配给每个用户终端。由此,不可能通过预先注册静态过滤器来排除不必要的分组。
已经提出了一种用户线路容纳设备,其中注册了连接至容纳的线路上的用户终端的所有MAC地址。当不同于这些MAC地址的通信终端将要访问网络时,该访问被拒绝,由此提高了安全级别(例如,参考文献1(公开号为2002-204246的日本专利))。
在第一种提案中,第三方能够通过冒充IP地址来干扰他人的通信,或者冒充他人。
为了解决这个问题,已经提出了这样的用户线路容纳设备,能够通过使用IP分组来拒绝来自通信网络第三方的访问请求(例如,参见参考文献2(Cisco-Cable Source-Verify and IP Address Security(Http://www.cisco.com/warp/public/109/source_verify.html)))。
在第二种提案中,当IP分组到达DHCP服务器以请求获取IP地址时,响应该请求发放IP地址。另外,发放的IP地址、为其请求获取IP地址的用户线路的识别号码以及发出该请求的通信终端的MAC地址的组都被注册登记在过滤器条件注册装置中。当分组到达后,将分组发送源的IP地址、识别号码、MAC地址的组与在过滤器条件注册装置中注册的这组IP地址、识别号码、MAC地址进行比较。仅当两组一致时,分组通信才被允许。对于地址信息——例如发送源的IP地址一致但是用户线路的识别号码不一致的分组,通信不被允许。因此,能够有效地避免非法访问。
然而,第二种提案仅能限制通过使用输入过滤器输入的分组,而不能够限制不必要数据的输出。因此,发送到连接至用户线路的通信终端的分组不能够得到有效的过滤。
发明内容
本发明的一个目标在于提供一种用户线路容纳设备和分组过滤方法,所述设备和方法能够有效地过滤发送到连接至用户线路的通信终端的分组。
根据本发明,为了实现上述目标,提供一种用户线路容纳设备,包括:用户线路终接单元,分别地终接多条用户线路;地址信息获取单元,依次获取动态地分配给每个通信终端的动态地址作为地址信息,所述通信终端连接至由所述用户线路终接单元终接的用户线路;分组信息读取单元,从将要发送到多个通信终端之一的分组中,读出包含表示该分组目的地的动态地址的分组信息;地址信息一致与否判定单元,判定由所述分组信息读取单元读出的动态地址是否与由所述地址信息获取单元获取的地址信息中的一条相一致;和分组发送控制单元,仅允许由所述地址信息一致与否判定单元判定为一致的分组的发送。
在此还提供一种分组过滤方法,包括以下步骤:从将要发送到连接至用户线路终接单元的多个通信终端之一的分组中,读出包含表示该分组目的地的动态地址的分组信息,所述用户线路终接单元分别地终接多条用户线路;判定所读出的动态地址是否与作为动态地分配给连接至用户线路终接单元的通信终端的地址的动态地址之一相一致;和仅允许判定为一致的分组的发送。
附图说明
图1是示出了用以收看电视图像的多点传送信息分发系统构造概况的视图;
图2是示出了用户线路容纳设备和外围电路构造概况的框图;
图3是示出了用户线路容纳设备的主体的系统构造的框图;
图4是示出了集成网关单元的硬件构造的概要框图;
图5是示出了集成网关单元主要功能块的框图;
图6是示出了由DHCP处理单元进行的动态输出管理表格更新处理的流程图;
图7是示出了由动态输出过滤单元进行的分组的发送控制的前半部分的流程图;
图8是示出了由动态输出过滤单元进行的分组的发送控制的后半部分的流程图;和
图9是用户线路容纳设备的主体的概念图。
具体实施方式
以下将参照附图详细描述本发明的实施例。
<系统概述>
图1示出了使用本实施例的用户线路容纳设备的多点传送信息分发系统的概况。多点传送信息分发系统1OO使用被称为ADSL的非对称数字用户线路。多点传送信息分发系统100通过DSL用户线路1031~103M,将配置在用户家中的用户分离器1011~101M连接到用户线路容纳设备102。用户分离器1011~101M中的每一个均被连接到电话机1041~104M中相应的一个,和ADSL调制解调器1051~105M中相应的一个。执行各种数据处理——例如主页浏览的个人计算机1061~106M被相应地各自连接到ADSL调制解调器1051~105M。另外,用以收看TV节目的因特网电视(TV)1081~108M通过机顶盒1071~107M相应地各自连接到ADSL调制解调器1051~105M
用户线路容纳设备102被连接到语音交换机112,并由此连接到PSTN(公用电话交换网络)113。用户线路容纳设备102也通过路由器114连接到分组通信网络115,例如执行分组通信的因特网。用以将各种TV节目分发给用户的因特网电视108的节目分发服务器116被连接到分组通信网络115。
图2示出了用户线路容纳设备102及其外围的构造。用户线路容纳设备102每一系统最多能够容纳1920条线路。
用户线路容纳设备102包括通过DSL用户线路1031~1031920连接到ADSL调制解调器1051~1051920的分离器单元1221~1221920,用作用户线路终接单元以分别地终接DSL用户线路1031~1031920的DSL用户线路终接单元(LTU)1271~127J,和集成网关单元131。以下将代表性地描述分离器单元1221和DSL用户线路终接单元1271
分离器单元1221将通过DSL用户线路1031发送的信号1231分离为处在语音频带内的电话信号1241和处在高于语音频带的预定频带内的ADSL信号1251。电话信号1241被发送到语音交换机112以用于线路交换。由分离器单元1221分离的ADSL信号1251通过相应DSL用户线路终接单元1271的初级部分(未示出)被调制/解调,以抽取ATM信元。ATM信元通过背板(backplane)总线128被输入到集成网关单元(IGU)131。稍后将详细描述集成网关单元131。
DSL用户线路终接单元1271包括相应于预定数目的线路——例如最大32线的DSL收发模块(DSP(数字信号处理器))。DSL用户线路终接单元1271通过上行链路130执行上行链路方向(图1中分组通信网络115的方向)上的高速数据通信,上行链路130充当使用DSL用户线路1031~1031920连接到因特网的接口。DSL用户线路终接设备1271同样也接收并调制下行链路数据,并将它发送到DSL用户线路1031~1031920
图3示出了用户线路容纳设备102的主体的系统构造。用户线路容纳设备102包括图2所描述的DSL用户线路终接单元(LTU)1271~127J。DSL用户线路终接单元1271~127J被连接到集成网关单元131的一个终端上。集成网关单元131具有连接到因特网的接口功能。上行链路线路130被连接到集成网关单元131的其它终端上。
集成网关单元131包括设备控制单元132,该设备控制单元控制和监控整个用户线路容纳设备102、用作背板接口的背板IF(接口)电路133、对ATM(异步传输模式)信元进行装配或分段的ATM SAR(异步传输模式分段和重新装配)134和桥式转发器135,所述桥式转发器转发层2,并基于MAC地址(媒体存取控制地址)对分组进行分类。ATM信元在ATM SAR134和DSL用户线路终接单元1271~127J之间进行传输。在上行链路线路130的输入/输出部分传输以太网(注册商标)帧。
图4示出了集成网关单元131的硬件电路构造的概况。集成网关单元131包括两个处理器,即设备控制CPU(中央处理器)141和网络处理器142,包括闪存ROM(只读存储器)143,SDRAM(同步动态随机存取存储器)144,和非易失性RAM(随机存取存储器)145的存储器组,包括作为特殊应用目的的集成电路的ASIC(专用集成电路)的背板IF电路133,和包括LSI(大规模集成电路)的GbE(吉比特以太网(注册商标))IF(接口)电路147(未示出)。
设备控制CPU141执行与设备管理、通信或配置设定有关的控制。网络处理器142是具有内部CPU151和ATM SAR 134的高速通信处理器。图3所示的桥式转发器135通过使用网络处理器142作为软件来实施,从而诸如帧接收、目的地确定以及到目的地的传输的处理都由桥式转发器135来执行。背板IF电路133作为硬件来实施各种与线路有关的控制,例如对线路的总线控制,以执行为每吉比特发送的帧的高速处理。背板IF电路133通过分别地轮询处理DSL用户线路终接单元1271~127J
图5示出了集成网关单元131的主要功能模块。集成网关单元131包括与图2所示的DSL用户线路终接单元1271~127J对应配置的第1至第J个接口电路单元1611~161J。在桥式转发器135与第1至第J个接口电路单元1611~161J之间,包括输入分组旁路单元1621~162J、动态输入过滤单元1631~163J和静态输入过滤单元1641~164J的串连电路,和包括输出分组旁路单元1651~165J、静态输出过滤单元1661~166J和动态输出过滤单元1671~167J的串连电路是连接在一起的。DHCP(动态主机配置协议)处理单元168被连接到输入分组旁路单元1621~162J和输出分组旁路单元1651~165J上。图5中的第1至第J个接口电路单元1611~161J共同地代表桥式转发器135接近图3中DSL用户线路终接单元1271~127J一侧的电路部分。
输入分组旁路单元1621~162J将所接收的分组分为将要发送给DHCP处理单元168的分组和将要发送给动态输入过滤单元1631~163J的分组。动态输入过滤单元1631~163J通过使用随时间变化的动态地址信息来过滤所接收的分组。对此,静态输入过滤单元1641~164J还通过使用不随时间变化的静态地址信息来过滤所接收的分组。静态输出过滤单元1661~166J通过使用静态地址信息来静态地过滤将要朝着用户终端方向发送的分组。动态输出过滤单元1671~167J动态地过滤将要发送的分组。每个输出分组旁路单元1651~165J均将从静态输出过滤单元1661~166J发送的分组或从DHCP处理单元168输出的分组送给第1至第J个接口电路单元1611~161J中相应的一个,从而将分组发送到相应的用户终端。
<过滤处理>
表格1示出了动态输出过滤单元1671~167J中包含的动态输出管理表格171的一部分。动态输出管理表格171列出了分配给相应用户终端的IP地址,MAC地址和用户线路号码。
表格1.动态输出管理表格171
  IP地址   MAC地址   用户线路号码
  192.1.1.2   00:00:4C:35:27:A6   1/3
  192.1.1.10   00:00:4C:8B:39:C2   1/24
  192.1.1.18   00:00:4C:D3:9A:72   7/10
  ....   ....   ....
通过请求DHCP服务器的IP地址,能够分配给每个用户终端的用户(DHCP客户)在DHCP服务器端预先确保的IP地址。此时,图5所示的DHCP处理单元168能够获取所分配的IP地址、与该用户终端有关的MAC地址和用户线路号码。因此,DHCP处理单元168充当地址信息获取单元,依次获取分配给用户终端的IP地址、MAC地址和用户线路号码以作为地址信息。
图6示出了由DHCP处理单元168进行的动态输出管理表格171的更新处理。每当基于IP地址分配请求的DHCP服务器的分配完成时(步骤S301的“是”),DHCP处理单元168获取该用户终端的地址信息(步骤S302)。作为所获取的地址信息的IP地址、MAC地址和用户线路号码注册登记在表格1所示的动态输出管理表格171中(步骤S303)。添加用以过滤该内容的输出过滤项目(步骤S304)。
DHCP服务器为每一个用户终端所分配IP地址设定一段租借期限。因此,直到该租借期限届满为止,依次为每个IP地址检验期限(步骤S305)。如果该租借期限届满(是),输出过滤项目被删除(步骤S306)。这样做的目的在于仅在租借期限内允许分组的发送。
图7和8示出了由动态输出过滤单元1671~167J进行的分组发送控制。该处理是通过使图4所示的集成网关单元131中的设备控制CPU141执行预定的控制程序来执行的。与图7和8相同的控制逻辑也可以由硬件来实施。
设备控制CPU141监控将要发送到相应用户终端的分组的到达(图7中的步骤S321)。当这样的分组从上行线路130或图5所示的静态输入过滤单元1641~164J发送到图5所示的桥式转发器135时(是),读出该分组的以太(以太网(注册商标))报头中“Type”(类型)字段中的信息(步骤S322)。如果该信息是“0x0806”,就判定了将要发送的分组是ARP(地址解析协议)分组(步骤S323中的“是”)。
在此将对ARP分组进行解释说明。在以太网(注册商标)上的通信中,即便在IP地址用于更高级别的通信时,最终也执行使用MAC地址的通信。ARP用于获取MAC地址。在ARP中,想要知道MAC地址的一方“A”在ARP请求分组中设置相应于该MAC地址的已知IP地址,并向同一网络上的所有节点广播该ARP分组。被分配MAC地址的一方“B”在ARP响应分组中设置MAC地址并将其返回给“A”。“A”通过接收该ARP响应分组能够知道目标MAC地址。
由于ARP分组(ARP请求分组或者ARP响应分组)的存在,第三方能够从IP地址获取MAC地址,其中ARP分组充当用于分析对应于所指定的动态地址的绝对地址的相关地址分析分组。也就是说,当捕获(监控)到其他人的ARP分组时,也能够知道他人的IP地址和MAC地址。因此,可能更容易进行非法的访问。
如果将要发送的分组被判定为ARP分组(步骤323中“是”),则读出该分组的以太报头中“Destination Address”(目的地地址)字段(步骤S324)。检验该目的地地址是与动态输出管理表格171中登记注册的“MAC地址”相一致,还是与多点传送地址或者广播地址相一致(步骤S325)。如果所述地址不一致(否),则该目标用户终端是不存在的。因此,由动态输出过滤单元1671~167J中相应的一个单元丢弃该分组(S326)。
在步骤S325中,如果在动态输出管理表格171中存在相同的地址(是),则读出该分组的“Target Protocol Address”(目标协议地址)字段(步骤S327)。检验该目标协议地址是否与动态输出管理表格171中登记注册的“IP地址”相一致(步骤S328)。如果所述地址一致(是),该分组被发送到静态输出过滤单元1661~166J中相应的一个,并如前所述经受静态过滤(步骤S329)。如果所述地址不一致(步骤S328中“否”),则由动态输出过滤单元1671~167J中相应的一个单元丢弃该分组(步骤S326)。
图8示出了在图7的步骤S323中,当以太报头的“Type”字段不是“0x0806”(否)时,即将要发送的分组不是ARP分组时,所执行的处理。在这种情况下,检验该“Type”字段是否是“0x0800”(图8中步骤S330)。如果该“Type”字段是“0x0800”,则该分组是IP分组。在这种情况下(是),读出将要发送的分组的以太报头中的“Destination Address”(步骤S331)。检验该目的地地址是否与动态输出管理表格171中登记注册的“MAC地址”相一致(步骤S332)。如果所述地址一致(是),再次读出该IP分组中的“Destination Address”。换句话说,检验所读出的地址(步骤S333),目的是为了检验该地址是否与动态输出管理表格171中登记注册的“IP地址”相一致(图7中的步骤S328)。在上面已经对该处理过程进行了描述。
如果在在图8的步骤S332中判定该地址与所述“MAC地址”不一致(否),则检验以太报头中的“Destination Address”是否与多点传送地址或广播地址相一致(步骤S334)。如果所述地址一致(是),流程前进到图7中的步骤S329以执行静态过滤。否则(图8的步骤S334中“否”),由动态输出过滤单元1671~167J中相应的一个单元丢弃该分组(图7中的步骤S326)。
如果在图8中的步骤S330中判定该“Type”字段不是“0x0800”(否),则将该分组发送到静态输出过滤单元1661~166J中相应的一个。在这种情况下,将要发送的分组既不是ARP分组,也不是IP分组。在本实施例中,该分组的处理不是由动态输出过滤单元1671~167J,而是由静态输出过滤单元1661~166J来执行的(图7中的步骤S329)。例如,静态输出过滤单元1661~166J丢弃这样的分组。
发送到静态输出过滤单元1661~166J的分组经受必要的过滤,从输出分组旁路单元1651~165J穿过第1至第J个接口电路单元1611~161J中相应的一个,并被发送到目的用户终端。
图9示出了集成网关单元131的主体部分。集成网关单元131包括地址信息获取单元181,相关地址分析分组判定单元182,分组信息读取单元183,地址信息一致与否判定单元184,以及分组发送控制单元185。
地址信息获取单元181依次从DHCP服务器180获取分配给用户终端的IP地址,与该用户终端相关的MAC地址和用户线路号码的组作为地址信息。更确切地说,地址信息获取单元181执行图6中步骤S301到S306的操作。
相关地址分析分组判定单元182判定要发送给用户终端的分组是否是相关的地址分析分组,例如ARP分组或IP分组,并将判定结果输出到地址信息一致与否判定单元184和分组发送控制单元185。更确切地说,相关地址分析分组判定单元182执行图7中步骤S322和S323与图8中步骤S330的操作。
分组信息读取单元183从该分组读出分组信息,所述分组信息包含MAC地址、IP地址和用户线路号码的组,并表示该分组的地址。更确切地说,分组信息读取单元183执行图7中步骤S324和S327与图8中步骤S331和S333的操作。
地址信息一致与否判定单元184判定由分组信息读取单元183所读取的这组MAC地址、IP地址和用户线路号码是否与由地址信息获取单元181所获取的地址信息之一相一致。此时,执行与相关地址分析分组判定单元182的判定结果相对应的处理。更确切地说,地址信息一致与否判定单元184执行图7中步骤S325和S328与图8中步骤S332的操作。
分组发送控制单元185仅允许将由地址信息一致与否判定单元184判定为一致的分组发送到用户终端。此时,执行与相关地址分析分组判定单元182的判定结果相对应的处理。更确切地说,分组发送控制单元185执行图7中步骤S326和S329的操作。
如上所述,依次获取分配给用户终端的IP地址、有关该用户终端的MAC地址和用户线路号码的组作为地址信息。在将分组发送给用户终端的过程中,从该分组中读出包含IP地址、MAC地址和用户线路号码的分组信息。仅当该分组信息与地址信息之一相一致时,该分组的发送才被允许。使用这种配置,能够避免将分组从用户线路容纳设备102发送到IP地址,MAC地址和用户线路号码的组合不存在的通信终端。
DHCP服务器180可能存在于用户线路容纳设备102中。
在上述说明中,DHCP处理单元168存在于用户线路容纳设备102中,并且动态输出管理表格171是基于诸如由DHCP处理单元168获取的IP地址的地址信息来创建的。然而,本发明并不限于此。例如,DHCP处理单元168或DHCP服务器180可以独立地存在于用户线路容纳设备102之外。作为替代,在用户线路容纳设备102中可能配置有DHCP中继代理,其委托DHCP处理单元168或DHCP服务器180来处理,并通过与它们进行通信以获取必要的信息。在这种情况下,DHCP中继代理充当地址信息获取单元。动态输出管理表格171基于通过DHCP中继代理而获取的地址信息来创建。
即使在用户线路容纳设备102中不存在DHCP中继代理,如果执行DHCP处理,传输地址信息的分组自身也会在包含分别地终接多条用户线路1031~103M的用户线路终接单元的用户线路容纳设备102中流动。当在用户线路容纳设备102中配置对地址信息进行电子欺骗的电子欺骗单元时,动态输出管理表格171能够以如上所述的相同方式来创建。在这种情况下,电子欺骗单元充当地址信息获取单元。
在上述实施例中,已经说明将DSL线路作为用户线路的例子。然而,本发明并不限于此,并且能够使用连接到用户线路终接单元的任何其他用户线路。例如,本发明也可以应用于使用光纤电缆的线路。
在本实施例中,IP地址、MAC地址和用户线路号码的组作为过滤条件被检验。也可以检验仅包括IP地址和MAC地址的对,或者仅检验IP地址。不管其名称,例如“MAC地址”或“IP地址”,唯一地分配给通信终端的绝对地址或者动态地分配给该绝对地址的动态地址可以用于给予输出过滤器的功能。
在本实施例中,要发送的分组的过滤是通过与动态输出管理表格171中登记注册的内容进行核对而进行的。即使不提供任何专门的表格,而执行相同的过滤时,也可以适用本发明。
如上所述,在本发明中,用户线路容纳设备掌握动态分配给通信终端的动态地址,所述通信终端连接到由用户线路终接单元终接的每个用户线路上。基于动态地址是否与该分组的目的地相一致的发送条件,将分组发送到通信终端。由于这个缘故,如果动态地址不一致,即使来自于已经获取绝对地址——例如MAC地址的第三方的分组发送也能够被拒绝。因此,能够避免由于无目的地发送分组而导致的业务量的增长。

Claims (18)

1.一种用户线路容纳设备,其特征在于包括:
用户线路终接单元(127),分别地终接多条用户线路(103);
地址信息获取单元(181),依次获取动态地分配给每个通信终端的动态地址作为地址信息,所述通信终端连接至由所述用户线路终接单元终接的用户线路;
分组信息读取单元(183),从将要发送到多个通信终端之一的分组中,读出包含表示该分组目的地的动态地址的分组信息;
地址信息一致与否判定单元(184),判定由所述分组信息读取单元读出的动态地址是否与由所述地址信息获取单元获取的地址信息中的一条相一致;和
分组发送控制单元(185),仅允许发送由所述地址信息一致与否判定单元判定为一致的分组。
2.根据权利要求1的设备,其中,
所述地址信息获取单元依次获取唯一地分配给通信终端的绝对地址和动态地分配给该绝对地址的动态地址的组,作为地址信息,
分组信息读取单元从将要发送给多个通信终端之一的分组中读出分组信息,所述分组信息包含该组绝对地址和动态地址,并表示该分组的目的地,以及
所述地址信息一致与否判定单元判定由所述分组信息读取单元读取的这组绝对地址和动态地址是否与由所述地址信息获取单元获取的地址信息中的一条相一致。
3.根据权利要求2的设备,其中,
所述地址信息获取单元依次获取唯一地分配给该通信终端的绝对地址、动态地分配给该绝对地址的动态地址和已经获取该动态地址的用户线路的用户线路号码的组,作为地址信息,
分组信息读取单元从将要发送给多个通信终端之一的分组中读出分组信息,所述分组信息包含该组绝对地址、动态地址和用户线路号码,并表示该分组的目的地,以及,
所述地址信息一致与否判定单元判定由所述分组信息读取单元读取的这组绝对地址、动态地址和用户线路号码是否与由所述地址信息获取单元获取的地址信息中的一条相一致。
4.根据权利要求1的设备,其中,
还包括:相关地址分析分组判定单元(182),判定将要发送到多个通信终端之一的分组是否是用于分析与指定的动态地址相对应的绝对地址的相关地址分析分组,
其中所述分组信息读取单元从由所述相关地址分析分组判定单元判定为相关地址分析分组的分组中读出该分组信息。
5.根据权利要求1的设备,其中,
所述动态地址是IP地址。
6.根据权利要求2的设备,其中,
所述绝对地址是MAC地址。
7.根据权利要求4的设备,其中,
所述相关地址分析分组是ARP分组。
8.根据权利要求7的设备,其中,
所述ARP分组是ARP请求分组和ARP响应分组之一。
9.根据权利要求1的设备,其中,
所述用户线路是DSL线路。
10.根据权利要求1的设备,其中,
所述用户线路是使用光纤电缆的线路。
11.根据权利要求7的设备,其中,
还包括分配动态地址的DHCP服务器(180)。
12.根据权利要求11的设备,其中,
所述地址信息获取单元从所述DHCP服务器获取分配的动态地址。
13.根据权利要求7的设备,其中,
所述地址信息获取单元包括委托DHCP服务器进行处理的DHCP中继代理,其中所述DHCP服务器配置在该设备之外,用来分配动态地址。
14.根据权利要求7的设备,其中,
所述地址信息获取单元包括电子欺骗单元,所述电子欺骗单元对由配置在该设备之外的DHCP服务器分配的动态地址进行电子欺骗。
15.一种分组过滤方法,其特征在于包括以下步骤:
从将要发送到连接至用户线路终接单元的多个通信终端之一的分组中,读出包含表示该分组目的地的动态地址的分组信息,所述用户线路终接单元分别地终接多条用户线路;
判定所读出的动态地址是否与作为动态地分配给连接至用户线路终接单元的通信终端的地址的动态地址之一相一致;和
仅允许发送判定为一致的分组。
16.根据权利要求15的方法,其中,
在读取步骤中,读出分组信息,所述分组信息包含唯一地分配给作为该分组的发送目的地的通信终端的绝对地址,和动态地分配给该绝对地址的动态地址的组,以及,
在判定步骤中,判定所读出的这组绝对地址和动态地址,是否与多个通信终端的其中一组绝对地址和动态地址相一致。
17.根据权利要求16的方法,其中,
在读取步骤中,读出分组信息,所述分组信息包含唯一地分配给作为该分组的发送目的地的通信终端的绝对地址、动态地分配给该绝对地址的动态地址以及已经获取该动态地址的用户线路的用户线路号码的组,以及,
在判定步骤中,判定所读出的这组绝对地址、动态地址和用户线路号码,是否与多个通信终端的其中一组绝对地址、动态地址和用户线路号码相一致。
18.根据权利要求15的方法,其中,
还包括以下步骤,判定将要发送到多个通信终端之一的分组是否是用于分析与指定的动态地址相对应的绝对地址的相关地址分析分组,
在读取步骤中,从判定为相关地址分析分组的分组中读出该分组信息。
CN2005101199403A 2004-09-27 2005-09-27 用户线路容纳设备和分组过滤方法 Expired - Fee Related CN1756239B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004280486A JP2006094416A (ja) 2004-09-27 2004-09-27 加入者回線収容装置およびパケットフィルタリング方法
JP2004280486 2004-09-27
JP2004-280486 2004-09-27

Publications (2)

Publication Number Publication Date
CN1756239A CN1756239A (zh) 2006-04-05
CN1756239B true CN1756239B (zh) 2010-06-09

Family

ID=36098991

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2005101199403A Expired - Fee Related CN1756239B (zh) 2004-09-27 2005-09-27 用户线路容纳设备和分组过滤方法

Country Status (7)

Country Link
US (1) US7680106B2 (zh)
JP (1) JP2006094416A (zh)
KR (1) KR100758859B1 (zh)
CN (1) CN1756239B (zh)
BR (1) BRPI0504190A (zh)
CA (1) CA2520182A1 (zh)
SG (2) SG143261A1 (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4320603B2 (ja) * 2004-02-26 2009-08-26 日本電気株式会社 加入者回線収容装置およびパケットフィルタリング方法
JP2006094416A (ja) * 2004-09-27 2006-04-06 Nec Corp 加入者回線収容装置およびパケットフィルタリング方法
CN101083670B (zh) * 2006-06-02 2010-09-29 鸿富锦精密工业(深圳)有限公司 地址分配系统及方法
US7792942B1 (en) * 2007-01-31 2010-09-07 Alcatel Lucent DHCP server synchronization with DHCP proxy
US7894437B2 (en) * 2007-12-29 2011-02-22 Alcatel Lucent Determining transmission port in a GPON network
US8346171B1 (en) 2008-02-15 2013-01-01 Marvell International Ltd. Reducing interference between wireless networks
JP5074314B2 (ja) * 2008-07-07 2012-11-14 株式会社日立製作所 フレーム転送装置
JP5587085B2 (ja) * 2010-07-27 2014-09-10 パナソニック株式会社 通信システム、制御装置及び制御プログラム
JP5385872B2 (ja) * 2010-07-27 2014-01-08 パナソニック株式会社 通信制御装置、通信システム及びプログラム
KR101619371B1 (ko) * 2014-12-24 2016-05-10 주식회사 시큐아이 패킷 처리 방법 및 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5204858A (en) * 1989-08-23 1993-04-20 Nec Corporation Address setting and filtering system for terminal accommodating circuits in a packet switching system
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
CN1402506A (zh) * 2001-08-29 2003-03-12 三星电子株式会社 用户住宅设备中过滤因特网协议分组的方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5740375A (en) * 1996-02-15 1998-04-14 Bay Networks, Inc. Forwarding internetwork packets by replacing the destination address
JP3865454B2 (ja) 1997-04-17 2007-01-10 富士通株式会社 通信装置
KR19990061606A (ko) 1997-12-31 1999-07-26 전주범 케이블모뎀 시스템의 ip 어드레스 도용 방지 방법
US6195705B1 (en) * 1998-06-30 2001-02-27 Cisco Technology, Inc. Mobile IP mobility agent standby protocol
US6597689B1 (en) * 1998-12-30 2003-07-22 Nortel Networks Limited SVC signaling system and method
US6466571B1 (en) * 1999-01-19 2002-10-15 3Com Corporation Radius-based mobile internet protocol (IP) address-to-mobile identification number mapping for wireless communication
US7275113B1 (en) * 1999-05-27 2007-09-25 3 Com Corporation Dynamic network address configuration system and method
JP4137371B2 (ja) 2000-12-28 2008-08-20 富士通株式会社 アドレス管理装置及びアドレス管理方法
US6988148B1 (en) * 2001-01-19 2006-01-17 Cisco Technology, Inc. IP pool management utilizing an IP pool MIB
WO2003034687A1 (en) 2001-10-19 2003-04-24 Secure Group As Method and system for securing computer networks using a dhcp server with firewall technology
DE60139883D1 (de) 2001-11-29 2009-10-22 Stonesoft Oy Kundenspezifische Firewall
US6661780B2 (en) * 2001-12-07 2003-12-09 Nokia Corporation Mechanisms for policy based UMTS QoS and IP QoS management in mobile IP networks
JP2003204345A (ja) * 2002-01-08 2003-07-18 Nec Corp 通信システム、パケット中継装置、パケット中継方法、及び中継プログラム
US7054323B2 (en) * 2002-03-13 2006-05-30 Motorola, Inc. Method for packet data protocol context activation
US7324515B1 (en) * 2002-03-27 2008-01-29 Cisco Technology, Inc. Proxy addressing scheme for cable networks
US7174376B1 (en) * 2002-06-28 2007-02-06 Cisco Technology, Inc. IP subnet sharing technique implemented without using bridging or routing protocols
JP4232550B2 (ja) * 2002-07-01 2009-03-04 日本電気株式会社 ネットワーク情報検出装置および方法
AU2003270571A1 (en) 2002-09-11 2004-04-30 Wholepoint Corporation Security apparatus and method for protecting access to local area networks
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
US20040090970A1 (en) * 2002-11-11 2004-05-13 Sanchez Cheryl A. Distribution of data flows to local loop subscribers by an access multiplexer
US7864686B2 (en) * 2004-05-25 2011-01-04 Cisco Technology, Inc. Tunneling scheme for transporting information over a cable network
JP2006094416A (ja) * 2004-09-27 2006-04-06 Nec Corp 加入者回線収容装置およびパケットフィルタリング方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5204858A (en) * 1989-08-23 1993-04-20 Nec Corporation Address setting and filtering system for terminal accommodating circuits in a packet switching system
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
CN1402506A (zh) * 2001-08-29 2003-03-12 三星电子株式会社 用户住宅设备中过滤因特网协议分组的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张元国,王仁林.Cable Modem宽带接入系统设计.潍坊学院学报3 4.2003,3(4),54-56.
张元国,王仁林.Cable Modem宽带接入系统设计.潍坊学院学报3 4.2003,3(4),54-56. *

Also Published As

Publication number Publication date
SG143261A1 (en) 2008-06-27
US20060067321A1 (en) 2006-03-30
KR20060051704A (ko) 2006-05-19
KR100758859B1 (ko) 2007-09-14
CA2520182A1 (en) 2006-03-27
US7680106B2 (en) 2010-03-16
SG121174A1 (en) 2006-04-26
BRPI0504190A (pt) 2006-05-09
JP2006094416A (ja) 2006-04-06
CN1756239A (zh) 2006-04-05

Similar Documents

Publication Publication Date Title
CN1756239B (zh) 用户线路容纳设备和分组过滤方法
US7860029B2 (en) Subscriber line accommodation device and packet filtering method
CN1756240A (zh) 用户线路容纳装置和分组过滤方法
US7437552B2 (en) User authentication system and user authentication method
US9253106B2 (en) Traffic-control-based data transmission method and communication system
US8488569B2 (en) Communication device
US7978694B2 (en) Method for transmitting layer 2 packet and access device thereof
CN101194470A (zh) 用于管理两种类型的设备的设备及方法
CN104270325A (zh) CPE设备基于Linux实现公网接入用户数限制的系统及方法
US8874743B1 (en) Systems and methods for implementing dynamic subscriber interfaces
US7564850B2 (en) Method for transmitting layer 2 packet and access device thereof
CN101087243B (zh) 在弹性分组环中限制多播范围的方法及装置
CN100525189C (zh) 控制边界设备通讯的方法、边界设备和网络管理模块
JPH09307580A (ja) 不正パケット防止方法およびブリッジ装置
JP3627600B2 (ja) Ipアドレス管理システムおよびipアドレス管理方法
KR20080065325A (ko) 동일 링크에 연결된 복수의 단말간 2계층 통신이이루어지지 않는 가입자액세스 장치에 있어서 단말간통신을 가능하게 하는 통신장치 및 방법
JP3766654B2 (ja) Atm−ponを用いたデータフレーム転送システム
JP2000341269A (ja) データ量計数装置及びデータ量計数方法
CN114500094A (zh) 一种访问方法及装置
JPH06205050A (ja) Lan−広帯域isdn接続装置の同報処理方法
CN1255979C (zh) 通讯协议用机与网络中心之间的联接系统
WO2000064104A1 (en) Method for establishing a data connection with a mobile terminal using a local and a unique network address
JPH11341036A (ja) グループ通信装置
JP2000013413A (ja) グループ通信装置および方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1090209

Country of ref document: HK

C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100609

Termination date: 20100927

REG Reference to a national code

Ref country code: HK

Ref legal event code: WD

Ref document number: 1090209

Country of ref document: HK