JP2004104709A - アクセスネットワークシステム - Google Patents

アクセスネットワークシステム Download PDF

Info

Publication number
JP2004104709A
JP2004104709A JP2002267291A JP2002267291A JP2004104709A JP 2004104709 A JP2004104709 A JP 2004104709A JP 2002267291 A JP2002267291 A JP 2002267291A JP 2002267291 A JP2002267291 A JP 2002267291A JP 2004104709 A JP2004104709 A JP 2004104709A
Authority
JP
Japan
Prior art keywords
packet
address
subscriber
access network
relay device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002267291A
Other languages
English (en)
Inventor
Takakazu Oda
小田 孝和
Masakazu Kitamura
北村 雅一
Takushi Oshiumi
押海 卓志
Masashi Fukutomi
福富 昌司
Norio Matsufuru
松古 典夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Furukawa Electric Co Ltd
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Original Assignee
Furukawa Electric Co Ltd
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Furukawa Electric Co Ltd, Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone West Corp filed Critical Furukawa Electric Co Ltd
Priority to JP2002267291A priority Critical patent/JP2004104709A/ja
Publication of JP2004104709A publication Critical patent/JP2004104709A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】不正アクセスなどに対してセキュリティの確保を図る。
【解決手段】複数の加入者PC18〜32とアクセスネットワーク10がエッジルータ14と加入者集約装置15〜17を介して接続され、パケットの中継を行うアクセスネットワークシステムにて、エッジルータ14は、同一サブネットワーク配下の加入者PCからのARP要求/応答に対して、加入者IPテーブルを用いて正規の加入者からのARPだけを受信し、またIPパケットの受信時には、この加入者IPテーブルを用いて正規のアドレスのパケットのみを中継する。
【選択図】   図1

Description

【0001】
【発明の属する技術分野】
この発明は、タグ(tag)VLANを加入者ホストに固定アドレスを割り当てるアクセスネットワークシステムに関するものである。
【0002】
【従来の技術】
従来のネットワークシステムでは、ADSL(Asymmetric Digital Subscriber Line)やCATVなどを用いた高速なデータ伝送を行うアクセスネットワークが普及することにより、例えばこのアクセスネットワークを利用してインターネットを使った動画などのコンテンツ配信が行われるようになってきた。このコンテンツ配信のサービスでは、バックボーンネットワークであるアクセスネットワーク上に設けられたサービス事業者の配信サーバから、動画などのデータをIP(Internet Protocol)パケット構成にして、加入者の端末装置(加入者ホスト)である加入者PC(パーソナルコンピュータ)に送信している。このIPを使った配信ネットワークでは、各加入者に個別のIPアドレスまたはネットワークアドレスが割り振られており、この割り振られたアドレスに基づいて、コンテンツ配信のサービスを行っていた。
【0003】
このコンテンツ配信などを行うアクセスネットワークでは、加入者を収容する回線として、近年IEEE802.3で規定されるLANが用いられつつあり、安価なスイッチングハブとメディアコンバータを使ったFTTH(Fiber To The Home)のアクセスネットワークを構成することが可能となってきた。このアクセスネットワークで加入者を収容する場合には、ネットワーク構成上、レイヤ3中継で終端することが望まれるが、収容する加入者数を増やすためには、VLANタグを使って加入者を論理的にグループ化して、1つのLANインタフェース上の通信を多重化することが可能である。これは、IEEE802.1Qの規定で決められた方式である。
【0004】
このようなVLANタグで通信を多重化する方式の場合には、通常IPの論理的なネットワークを各VLANタグに相当する加入者に対して割り当てるが、アドレスの利用効率を良くするための方法として、RFC3069の規定では、VLAN Aggregationというアドレス割り当ての方法が提案されている。このVLAN Aggregationという環境下では、ブロードキャストのネットワークの境界とIPのサブネットワークの境界が一致していないという特徴をもつ。
そのような環境下では、複数の加入者ホストと前記ネットワークを中継装置を介して接続させ、パケットの中継を行うアクセスネットワークシステムにおいて、前記加入者ホストは、パケットを送受信するための仮想ネットワーク(VLANで識別される論理的ネットワーク)を構築しており、前記中継装置は、パケットの入力の仮想ネットワークと出力の仮想ネットワークが所属する論理インターフェース(IPのサブネットワーク単位に割り当てられるインターフェース)が同一で、かつ入力、出力の仮想ネットワークが異なる形態となる。
【0005】
【発明が解決しようとする課題】
しかしながら、RFC3069の規定による、VLAN Aggregationの方式において、中継装置は、加入者PCからのARP要求に対して、応答が必要となり、従来方式の場合には、全てのARP要求に対して中継装置の物理アドレスを応答するという方法でProxyARPの動作を行うため、同一VLAN内のARP要求にも応答してしまい、不要なARPパケットを送信するという問題があった。
【0006】
また、この割り当て方法では、同一サブネットワーク内に異なるユーザが接続されることから、あるユーザが別のユーザのIPアドレスを利用して通信を行うアドレス詐称の問題があった。
【0007】
また、この割り当て方法では、ARPパケットのソースIPに他のユーザのIPアドレスを入れ、ソースMACアドレスには自身のMACアドレスを入れて、エッジルータに送信することによって、エッジルータのARPテーブルを書き換え、この他のユーザの通信パケットを覗き見ることが可能になるといったセキュリティの問題があった。
【0008】
また、アクセスネットワークの設備を構築する場合には、VLANによる多重化のために、接続された加入者PCを集約する集約装置と、マルチキャストやユニキャスト中継を行うアクセスネットワーク上に配置されたエッジ装置(エッジルータ)に分けて運用するネットワークシステムにおいて、上位側に設置されたエッジ装置では、通常全加入者のVLANタグを個別に設定する必要があり、加入者を集約する集約装置側においても、エッジ装置の個別設定に応じた個別設定が必要となるので、この設備構築時の設定動作が煩雑になるとともに、その工数が多く増加するという問題点があった。また、エッジ装置全体で収容できるVLAN数は、VLAN IDの大きさに制限されるという問題点もあった。
【0009】
この発明は、上記問題点に鑑みなされたもので、ブロードキャストのネットワークの境界とIPのサブネットワークの境界が一致しない環境下でも加入者間の通信を可能とするとともに、不正アクセスなどに対してセキュリティの確保を図ることができるアクセスネットワークシステムを提供することを目的とする。
【0010】
【課題を解決するための手段】
上記目的を達成するため、この発明の請求項1では、ブロードキャストのネットワークの境界とIPのサブネットワークの境界が一致していない環境下で、複数の加入者ホストと前記ネットワークを中継装置を介して接続させ、パケットの中継を行うアクセスネットワークシステムにおいて、前記加入者ホストは、パケットを送受信するための仮想ネットワークを構築しており、前記中継装置は、加入者ホストのIPアドレスと当該加入者ホストが所属する仮想ネットワークの識別データを対応づけて記憶する加入者IPテーブルを有し、アドレス解決用の要求パケットが入力すると、該要求パケットの送信元IPアドレスに対応した前記仮想ネットワークの識別データに基づいて、該要求パケットのターゲットIPアドレスが所属する仮想ネットワークおよび物理アドレスを検索して、前記ソースIPアドレスに対応した仮想ネットワークが前記ターゲットIPアドレスが所属する仮想ネットワークと異なる場合に前記物理アドレスを含んだ応答パケットを送信することを特徴とするアクセスネットワークシステムが提供される。
【0011】
この発明によれば、ARPを受信した仮想ネットワークが所属する論理インターフェースと出力論理インターフェースが同じ場合でも、この出力仮想ネットワークが異なる場合には、例えばMACアドレスを含んだARP応答パケットを応答して、ブロードキャストのネットワークの境界とIPのサブネットワークの境界が一致していない環境下でも加入者間の通信を可能とする。
【0012】
また、この発明によれば、例えば入力するARP要求パケットに対して加入者IPテーブルを検索し、ARP要求パケットの送信元IPアドレスがこの加入者IPテーブルにエントリされている場合にのみ、ARP応答パケットの送信を可能として、不正アクセスなどに対するセキュリティを確保する。
【0013】
この発明の請求項2にかかるアクセスネットワークシステムでは、上記発明において、前記中継装置は、前記要求パケットのソースIPアドレスと該要求パケットを受信した仮想ネットワークの対が前記IPテーブルにエントリされていない場合には、前記要求パケットを廃棄することを特徴とする。
【0014】
この発明によれば、例えば不正アクセスなどにより、ARP要求パケットのソースIPアドレスと該パケットを受信した仮想ネットワークの対が加入者IPテーブルにエントリされてない場合には、ARP要求パケットを廃棄することで、正規の加入者にだけARP応答を行う。
【0015】
この発明の請求項3にかかるアクセスネットワークシステムでは、上記発明において、前記中継装置は、前記要求パケットのソースIPアドレスが前記IPテーブルにエントリされていない場合には、前記要求パケットを廃棄することを特徴とする。
【0016】
この発明によれば、例えば不正アクセスなどにより、ARP要求パケットのソースIPアドレスが加入者IPテーブルにエントリされてない場合には、ARP要求パケットを廃棄することで、正規の加入者にだけARP応答を行う。
【0017】
この発明の請求項4にかかるアクセスネットワークシステムでは、上記発明において、前記応答パケットで送信される物理アドレスは、前記中継装置の物理アドレスからなることを特徴とする。
【0018】
この発明によれば、正規の加入者へのARP応答時には、エッジルータの物理アドレスを含むARP応答パケットを送信するプロキシARPを行う。
【0019】
この発明の請求項5にかかるアクセスネットワークシステムでは、上記発明において、前記中継装置は、アドレス解決用のパケットが入力すると、前記パケットのソースIPアドレスと前記パケットを受信した仮想ネットワークの識別データの対が前記加入者IPテーブルにエントリされたかどうかを確認し、エントリされている場合には、パケットの送信元IPアドレスと送信元のMACアドレスを学習しアドレス解決用のテーブルを更新することを特徴とする。
【0020】
この発明によれば、例えば正常なアクセスにより、ARPパケットのソースIPアドレスと前記パケットを受信した仮想ネットワークの識別データの対が加入者IPテーブルにエントリされている場合には、アドレス解決用テーブルの更新を可能として、不正なエントリを登録しようとする攻撃に対するセキュリティを確保する。
【0021】
この発明の請求項6にかかるアクセスネットワークシステムでは、上記発明において、前記中継装置は、アドレス解決用のパケットが入力すると、前記パケットのソースIPアドレスと該アドレス解決用のパケットを受信した仮想ネットワークの対が前記加入者IPテーブルにエントリされていない場合には、前記パケットを廃棄することを特徴とする。
【0022】
この発明によれば、例えば不正アクセスなどにより、ARPパケットのソースIPアドレスと該アドレス解決用のパケットを受信した仮想ネットワークの対が加入者IPテーブルにエントリされてない場合には、ARPパケットを廃棄することで、正規の加入者からのARPパケットだけ受信し、不正なエントリを登録しようとする攻撃に対するセキュリティを確保する。
【0023】
この発明の請求項7にかかるアクセスネットワークシステムでは、上記発明において、前記中継装置は、アドレス解決用のパケットが入力すると、前記パケットのソースIPアドレスが前記加入者IPテーブルにエントリされていない場合には、前記パケットを廃棄することを特徴とする。
【0024】
この発明によれば、例えば不正アクセスなどにより、ARPパケットのソースIPアドレスが加入者IPテーブルにエントリされてない場合には、ARPパケットを廃棄することで、正規の加入者からのARPパケットだけ受信し、不正なエントリを登録しようとする攻撃に対するセキュリティを確保する。
【0025】
この発明の請求項8にかかるアクセスネットワークシステムでは、上記発明において、前記中継装置は、IPパケットの中継時、該IPパケットを送信するための物理アドレスを決定するために、アドレス解決用の要求パケットを送信する場合、前記要求パケットのターゲットIPアドレスが、前記加入者IPテーブルにエントリされているかどうかを確認し、エントリされている場合には、その加入者ホストが所属する仮想ネットワークに要求パケットを送信することを特徴とする。
【0026】
この発明によれば、IPパケットの中継時、該IPパケットを送信するための物理アドレスを決定するために、アドレス解決用の要求パケットを送信する場合、前記要求パケットのターゲットIPアドレスが、前記加入者IPテーブルにエントリされている場合に、アドレス解決用の要求パケットを該当するVLANにだけ送信することで、正規の加入者にだけアドレス解決用の要求パケットの送信を行い、他の加入者に通信の様子が漏れることを防止する。
【0027】
この発明の請求項9にかかるアクセスネットワークシステムでは、上記発明において、前記中継装置は、IPパケットの中継時、該IPパケットを送信するための物理アドレスを決定するために、アドレス解決用の要求パケットを送信する場合、前記要求パケットのターゲットIPアドレスが、前記加入者IPテーブルにエントリされているかどうかを確認し、エントリされていない場合には、要求パケットを送信しないことを特徴とする。
【0028】
この発明によれば、IPパケットの中継時、該IPパケットを送信するための物理アドレスを決定するために、アドレス解決用の要求パケットを送信する場合、前記要求パケットのターゲットIPアドレスが、前記加入者IPテーブルにエントリされていない場合には、要求パケットを送信しないことで、正規の加入者にだけアドレス解決用の要求パケットの送信を行い、他の加入者に通信の様子が漏れることを防止する。
【0029】
【発明の実施の形態】
以下に示す図1〜図7の添付図面を参照して、この発明にかかるアクセスネットワークシステムの好適な実施の形態を説明する。なお、以下の図において、同一の構成部分に関しては、説明の都合上、同一符号を付記するものとする。
【0030】
図1は、この発明にかかるアクセスネットワークシステムの構成を示す構成図である。図において、アクセスネットワークシステムは、アクセスネットワーク10に配設されるサービス事業者(データセンタ)のルータ11と、このルータ11に接続されるコンテンツ配信サーバ12を含むサーバ群13と、同じくアクセスネットワーク10に配設される複数のエッジルータ14と、上位側のエッジルータ14に接続されるとともに、下位側の加入者PCと接続される加入者集約装置15〜17と、この加入者集約装置15〜17によってそれぞれ集約される複数の加入者PC18〜22,23〜27,28〜32とから構成されている。
【0031】
このサーバ群13は、コンテンツ配信サーバ12の他に、例えば加入者認証サーバ、配信受付サーバ、課金サーバなどから構成されている。ルータ11は、アクセスネットワーク10を介してコンテンツ配信サーバ12から配信されるマルチキャストパケットおよびユニキャストのストリームを各エッジルータ14に配信している。
【0032】
エッジルータ14は、IEEE802.1Qの規定で決められた方式で、VLANタグを使って加入者PCを論理的にグループ化し、加入者PCからの要求に応じてコンテンツ配信サーバ12からのストリームをフォワードするとともに、加入者PCからのARP(アドレス解決プロトコル)要求に応じて、宛先のMACアドレスをARP送信元の加入者PCに送信する機能を有している。
【0033】
すなわち、このシステムでは、IPアドレスの効率利用のために、エッジルータ14の同一サブネット配下に複数のVLANを設定し、図2のパケットフォーマットに示すようなARPのパケットを必要なノードにだけ送信することと、受信したARPパケットに対して、正規の加入者のARPパケットだけ受信するARPフィルタリング機能と、IPパケットのIPアドレスを抽出して、正規のIPアドレスのパケットのみ中継するIPフィルタリング機能を有している。さらに、エッジルータ14は、異なるポート上の同一VLANタグについては、レイヤ2での接続を分離する機能も有している。
【0034】
図3は、図1に示したエッジルータ14の構成を示す構成図である。図において、入力するパケットを受信するパット受信部14aと、パケットを送信するパケット送信部14bと、入力するパケットからのデータを処理するデータ処理部14cと、加入者PCのIPアドレスと当該加入者のVLAN識別番号とのデータを対応付けて記憶する加入者IPテーブル14dと、IPアドレスと出力論理I/F(インターフェース)とのデータを対応付けて記憶するルーティングテーブル14eと、検索されたIPアドレスとMACアドレスのデータを対応付けて記憶するARPテーブル14fとから構成されている。
【0035】
なお、この実施例における加入者IPテーブル14dは、図4に示すように、加入者PCに割り当てられたIPアドレスと、サブネットマスクと、この加入者PCが所属するVLANの識別データであるVLAN IDとでエントリ構成されている。
【0036】
上述したごとく、ARPパケットは、図2に示したパケットフォーマットで構成されている。このデータ処理部14cでは、プロトコルタイプのデータによってプロトコルがIPであることを認識し、オペレーションのデータによって、受信したパケットがARP要求パケットであるかARP応答パケットであるかを認識している。また、このデータ処理部14cでは、送信元のIPアドレスに基づいて、この受信パケットが正規の加入者からのARPパケットであるかどうかを判断している。
【0037】
このような構成において、アクセスネットワークシステムのARPフィルタリング時の動作を図5のフローチャートを用いて説明する。まず、エッジルータ14のデータ処理部14cは、加入者集約装置を介して所定の加入者PCからARP要求/応答パケットを受信すると(ステップ101)、当該パケットの送信元IPアドレスを抽出して、加入者IPテーブル14dから対応するVLAN識別番号を検索する(ステップ102)。
【0038】
ここで、該当するエントリが検索できたかどうか判断し(ステップ103)、該当するエントリが検索できない場合には、受信したARP要求/応答パケットを廃棄し(ステップ104)、また該当するエントリがある場合には、ARP要求/応答パケット内のMACアドレスを抽出し、そのMACアドレスとIPアドレスをARPテーブル14fに登録する(ステップ105)。
【0039】
次に、ステップ106においてARP要求パケットの場合には、ルーティングテーブル14eから出力論理I/Fのデータを検索し(ステップ107)、この検索した出力論理I/Fが、上述したARP要求パケットが入力した論理I/Fと異なるかどうか判断する(ステップ108)。ここで、入力論理I/Fと出力論理I/Fが異なる場合には、エッジルータ14は、自装置のMACアドレスのデータを、ターゲットMACアドレス(宛先MACアドレス)としてプロキシARP応答パケットを作成して、ARP要求パケット送信元の加入者PCに送信する(ステップ109)。
【0040】
また、この入力論理I/Fと出力論理I/Fが同じ場合には、入力仮想ネットワークと出力仮想ネットワークが異なるVLANに所属するかどうか判断する(ステップ110)。ここで、入力仮想ネットワークと出力仮想ネットワークが異なるVLANに所属する場合には、ステップ109に進んでプロキシARP応答パケットを送信し、また入力仮想ネットワークと出力仮想ネットワークが同じVLANに所属する場合には、ARPの応答を行わずに上記動作を終了する(ステップ111)。
【0041】
なお、ステップ110において、例えば論理I/Fに設定されたVLANが複数の場合も想定されるので、この場合には、例えば予め各加入者PCのMACアドレスとVLAN識別番号を学習している。そして、検索対象のIPアドレスからARPテーブルを検索して、該当するエントリが検索できた場合には、この該当するMACアドレスに対応したVLANを出力仮想ネットワークが所属するVLANとして、上記入力仮想ネットワークのVLANと比較する。また、該当するエントリが検索できない場合には、Unknownとして比較を終了する。
【0042】
このように、この実施例のアクセスネットワークシステムでは、ARP要求/応答パケットを受信すると、このARP要求/応答パケットの送信元IPアドレスを予め設定された加入者IPテーブルから検索して、この加入者IPテーブルにエントリされている場合にのみ、プロキシARPを応答するので、ARPパケットを必要な加入者にだけ送信するとともに、正規の加入者からのARPパケットだけを受信でき、これにより不正アクセスなどに対してセキュリティの確保を図ることができる。
【0043】
また、この実施例では、異なるポート上の同一VLANタグについては、エッジルータによって接続を分離する構成とするので、加入者集約装置は、VLANタグを個別に設定する必要がなくなり、VLAN設定を全て同じ設定にでき、このため設備構築時の設定動作が簡単になり、その工数および製作コストを減少させることができる。
【0044】
次に、アクセスネットワークシステムのIPフィルタリング時の動作を図6のフローチャートを用いて説明する。まず、エッジルータ14のデータ処理部14cは、加入者集約装置を介して所定の加入者PCからIPパケットを受信すると(ステップ201)、当該パケットの送信元IPアドレスを抽出して、加入者IPテーブル14dを検索して(ステップ202)、この送信元IPアドレスが加入者IPテーブルにエントリされているかどうか判断する(ステップ203)。
【0045】
ここで、該当するエントリがない場合には、不正IPパケットと判断して、受信したIPパケットを廃棄し(ステップ204)、また送信元IPアドレスが加入者IPテーブルにエントリされている場合には、通常のフォワーディングの処理を行う。すなわち、ルーティングテーブルを検索して、この送信元IPアドレスに対応する出力論理I/Fを決定する(ステップ205)。
【0046】
次に、宛先のIPアドレスにパケットを送るための宛先MACアドレスが必要になるので、ARPテーブル14fからこのMACアドレスを検索する(ステップ206)。そして、該当するMACアドレスがARPテーブルにエントリされているかどうか判断する(ステップ207)。
【0047】
ここで、該当するエントリが検索できない場合には、後述するARPパケット送信のルーチンに移行し(ステップ208)、また該当するエントリがある場合には、このMACアドレスから出力VLANを決定する(ステップ209)。次に、この決定したVLANに対する宛先IPアドレスを加入者IPテーブル14dから検索する(ステップ210)。そして、検索されたVLANに対してMACヘッダを付けたIPパケットを作成して送信する(ステップ211)。
【0048】
また、ステップ207において、ARPテーブル14fに該当するエントリがない場合には、ARP送信のルーチンによってARPパケットを送信することになる。図7は、このARP送信のルーチンを示すフローチャートである。図において、エッジルータ14は、このターゲットIPアドレスに基づいて加入者IPテーブル14dを検索して、対応するVLANを得る(ステップ301)。次に、この検索されたVLANに対してARP要求パケットを作成して送信する(ステップ302)。
【0049】
そして、このARP要求に対するARP応答パケットが入力すると、このARP応答パケットを受信して(ステップ303)、宛先MACアドレスを得て、上述したIPパケットをこの宛先に送信する(ステップ304)。
【0050】
このように、この実施例のアクセスネットワークシステムでは、IPパケットを受信すると、このIPパケットの送信元IPアドレスを加入者IPテーブルから検索して、正規のIPアドレスのパケットのみを中継するIPフィルタリング機能を実行するので、必要なVLANにのみIPパケットを送信でき、不正アクセスなどに対してセキュリティの確保を図ることができる。
【0051】
この発明は、これら実施形態に限定されるものではなく、この発明の要旨を逸脱しない範囲で種々の変形実施が可能である。
【0052】
【発明の効果】
以上説明したように、この発明の請求項1,4にかかるアクセスネットワークシステムでは、前記入力論理インターフェースと出力論理インターフェースが同じで、かつ入力仮想ネットワークと出力仮想ネットワークが異なる場合に、中継装置の物理アドレスを含んだ応答を行うので、入力仮想ネットワークと出力仮想ネットワークが所属する論理インターフェースが同じ場合でも、異なる仮想ネットワークが存在する場合には、応答パケットを送信することが可能となる。
【0053】
この発明の請求項1にかかるアクセスネットワークシステムでは、入力する要求パケットに対して加入者IPテーブルを検索し、前記要求パケットのソースIPアドレスと該要求パケットを受信した仮想ネットワークの対が前記加入者IPテーブルにエントリされている場合にのみ、物理アドレスを含む応答パケットを送信するので、不要な応答パケットの送信を行わないと同時に、不正アクセスなどに対してセキュリティの確保を図ることができる。
【0054】
この発明の請求項2にかかるアクセスネットワークシステムでは、要求パケットのソースIPアドレスと該要求パケットを受信した仮想ネットワークの対が加入者IPテーブルにエントリされてない場合には、前記要求パケットを廃棄するので、不正アクセスなどを排除し、正規の加入者にだけ応答を行うことができる。
【0055】
この発明の請求項3にかかるアクセスネットワークシステムでは、要求パケットのソースIPアドレスが加入者IPテーブルにエントリされてない場合には、前記要求パケットを廃棄するので、不正アクセスなどを排除し、正規の加入者にだけ応答を行うことができる。
【0056】
この発明の請求項5,6,7にかかるアクセスネットワークシステムでは、ARPパケットのソースIPアドレスと前記パケットを受信した仮想ネットワークの識別データの対が加入者IPテーブルにエントリされてない場合には、前記ARPパケットを廃棄し、正規ユーザのARPパケットのみをARPテーブルに登録するので、不正ユーザによる偽ARPパケット攻撃を排除し、正規の加入者へのサービスを行うことができる。
【0057】
この発明の請求項8,9にかかるアクセスネットワークシステムでは、アドレス解決用の要求パケットのターゲットIPアドレスが、加入者IPテーブルにエントリされてない場合には、要求パケットを送信せず、エントリされている場合には、加入者ホストが所属する仮想ネットワークにだけ要求パケットを送信するので、不要な要求パケットの送信を防ぐと共に、加入者の利用しているIPアドレスの情報や通信の様子が、その加入者以外の加入者の仮想ネットワークに漏れることを防ぐことができる。
【図面の簡単な説明】
【図1】この発明にかかるアクセスネットワークシステムの構成を示す構成図である。
【図2】ARPパケットのパケットフォーマットの構成を示す構成図である。
【図3】図1に示したエッジルータのブロック構成を示す構成図である。
【図4】図3に示した加入者IPテーブルの構成を示す構成図である。
【図5】アクセスネットワークシステムのARPフィルタリングを説明するためのフローチャートである。
【図6】同じく、IPフィルタリングを説明するためのフローチャートである。
【図7】同じく、ARP送信のためのルーチンを示すフローチャートである。
【符号の説明】
10 アクセスネットワーク
11 ルータ
12 コンテンツ配信サーバ
13 サーバ群
14 エッジルータ
14a パット受信部
14b パケット送信部
14c データ処理部
14d 加入者IPテーブル
14e ルーティングテーブル
14f ARPテーブル
15〜17 加入者集約装置
18〜32 加入者PC

Claims (10)

  1. ブロードキャストのネットワークの境界とIPのサブネットワークの境界が一致していない環境下で、複数の加入者ホストと前記ネットワークを中継装置を介して接続させ、パケットの中継を行うアクセスネットワークシステムにおいて、
    前記加入者ホストは、パケットを送受信するための仮想ネットワークを構築しており、
    前記中継装置は、加入者ホストのIPアドレスと当該加入者ホストが所属する仮想ネットワークの識別データを対応づけて記憶する加入者IPテーブルを有し、アドレス解決用の要求パケットが入力すると、該要求パケットのソースIPアドレスに対応した前記仮想ネットワークの識別データに基づいて、該要求パケットのターゲットIPアドレスが所属する仮想ネットワークおよび物理アドレスを検索して、前記ソースIPアドレスに対応した仮想ネットワークが前記ターゲットIPアドレスが所属する仮想ネットワークと異なる場合に、前記物理アドレスを含んだ応答パケットを送信することを特徴とするアクセスネットワークシステム。
  2. 前記中継装置は、前記要求パケットのソースIPアドレスと該要求パケットを受信した仮想ネットワークの対が前記加入者IPテーブルにエントリされていない場合には、前記要求パケットを廃棄することを特徴とする請求項1に記載のアクセスネットワークシステム。
  3. 前記中継装置は、前記要求パケットのソースIPアドレスが前記加入者IPテーブルにエントリされていない場合には、前記要求パケットを廃棄することを特徴とする請求項1に記載のアクセスネットワークシステム。
  4. 前記応答パケットで送信される物理アドレスは、前記中継装置の物理アドレスからなることを特徴とする請求項1に記載のアクセスネットワークシステム。
  5. 前記中継装置は、アドレス解決用のパケットが入力すると、前記パケットのソースIPアドレスと前記パケットを受信した仮想ネットワークの識別データの対が前記加入者IPテーブルにエントリされているかどうかを確認し、エントリされている場合には、パケットの送信元IPアドレスと送信元のMACアドレスを学習しアドレス解決用のテーブルを更新することを特徴とする請求項1〜4のいずれか一つに記載のアクセスネットワークシステム。
  6. 前記中継装置は、アドレス解決用のパケットが入力すると、前記パケットのソースIPアドレスと該アドレス解決用のパケットを受信した仮想ネットワークの対が前記加入者IPテーブルにエントリされていない場合には、前記パケットを廃棄することを特徴とする請求項1〜5のいずれか一つに記載のアクセスネットワークシステム。
  7. 前記中継装置は、アドレス解決用のパケットが入力すると、前記パケットのソースIPアドレスが前記加入者IPテーブルにエントリされていない場合には、前記パケットを廃棄することを特徴とする請求項1〜5のいずれか一つに記載のアクセスネットワークシステム。
  8. 前記中継装置は、IPパケットの中継時、該IPパケットを送信するための物理アドレスを決定するために、アドレス解決用の要求パケットを送信する場合、前記要求パケットのターゲットIPアドレスが、前記加入者IPテーブルにエントリされているかどうかを確認し、エントリされている場合には、その加入者ホストが所属する仮想ネットワークにだけ要求パケットを送信することを特徴とする請求項1〜5のいずれか一つに記載のアクセスネットワークシステム。
  9. 前記中継装置は、IPパケットの中継時、該IPパケットを送信するための物理アドレスを決定するために、アドレス解決用の要求パケットを送信する場合、前記要求パケットのターゲットIPアドレスが、前記加入者IPテーブルにエントリされているかどうかを確認し、エントリされていない場合には、要求パケットを送信しないことを特徴とする請求項1〜5のいずれか一つに記載のアクセスネットワークシステム。
  10. 前記中継装置は、異なるポート上の同一VLANタグについては、レイヤ2での接続を分離する機能を持つことを特徴とする請求項1〜10のいずれか一つに記載のアクセスネットワークシステム。
JP2002267291A 2002-09-12 2002-09-12 アクセスネットワークシステム Pending JP2004104709A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002267291A JP2004104709A (ja) 2002-09-12 2002-09-12 アクセスネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002267291A JP2004104709A (ja) 2002-09-12 2002-09-12 アクセスネットワークシステム

Publications (1)

Publication Number Publication Date
JP2004104709A true JP2004104709A (ja) 2004-04-02

Family

ID=32265864

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002267291A Pending JP2004104709A (ja) 2002-09-12 2002-09-12 アクセスネットワークシステム

Country Status (1)

Country Link
JP (1) JP2004104709A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006067293A (ja) * 2004-08-27 2006-03-09 Canon Inc 情報処理装置及び受信パケットのフィルタリング処理方法
JP2010124158A (ja) * 2008-11-18 2010-06-03 Nec Engineering Ltd Ip衛星通信システムおよび不正パケット侵入防御方法
WO2012127634A1 (ja) * 2011-03-22 2012-09-27 富士通株式会社 ネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラム
CN114285786A (zh) * 2021-12-24 2022-04-05 中国农业银行股份有限公司 一种网络链路库的构建方法及装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006067293A (ja) * 2004-08-27 2006-03-09 Canon Inc 情報処理装置及び受信パケットのフィルタリング処理方法
JP4579623B2 (ja) * 2004-08-27 2010-11-10 キヤノン株式会社 情報処理装置及び受信パケットのフィルタリング処理方法
JP2010124158A (ja) * 2008-11-18 2010-06-03 Nec Engineering Ltd Ip衛星通信システムおよび不正パケット侵入防御方法
WO2012127634A1 (ja) * 2011-03-22 2012-09-27 富士通株式会社 ネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラム
JP5655935B2 (ja) * 2011-03-22 2015-01-21 富士通株式会社 ネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラム
US9590864B2 (en) 2011-03-22 2017-03-07 Fujitsu Limited Network management apparatus and network management method
CN114285786A (zh) * 2021-12-24 2022-04-05 中国农业银行股份有限公司 一种网络链路库的构建方法及装置
CN114285786B (zh) * 2021-12-24 2023-12-08 中国农业银行股份有限公司 一种网络链路库的构建方法及装置

Similar Documents

Publication Publication Date Title
US7801123B2 (en) Method and system configured for facilitating residential broadband service
AU697935B2 (en) Method for establishing restricted broadcast groups in a switched network
US9112725B2 (en) Dynamic VLAN IP network entry
US7386876B2 (en) MAC address-based communication restricting method
CN101026519B (zh) 基于用户信息字符串动态创建vlan接口
EP1250791B1 (en) System and method for using an ip address as a wireless unit identifier
US6888834B1 (en) System and method for providing wireless internet services
US20030037163A1 (en) Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider
WO2010072096A1 (zh) IPv6环境下提高邻居发现安全性的方法及宽带接入设备
WO2009094928A1 (fr) Procédé et équipement de transmission d'un message basé sur le protocole de tunnel de niveau 2
WO2009138034A1 (en) Method and apparatus for internet protocol version six (ipv6) addressing and packet filtering in broadband networks
WO2007124679A1 (fr) Procédé et système de communication en réseau
JP2001326696A (ja) アクセス制御方法
JP3994412B2 (ja) ネットワークシステム、網内識別子の設定方法、ネットワーク接続点、網内識別子の設定プログラム、及び記録媒体
JP2004104709A (ja) アクセスネットワークシステム
US9025606B2 (en) Method and network node for use in link level communication in a data communications network
EP2073506B1 (en) Method for resolving a logical user address in an aggregation network
KR20040011936A (ko) 복수의 가상랜으로 구성된 이더넷 상에서의 스위칭 장치와이를 이용한 통신 방법
EP1730882A2 (en) Vlan mapping for multi-service provisioning
US20060072601A1 (en) Virtual IP interface