JP2005328281A - Network system and communication method - Google Patents

Network system and communication method Download PDF

Info

Publication number
JP2005328281A
JP2005328281A JP2004143819A JP2004143819A JP2005328281A JP 2005328281 A JP2005328281 A JP 2005328281A JP 2004143819 A JP2004143819 A JP 2004143819A JP 2004143819 A JP2004143819 A JP 2004143819A JP 2005328281 A JP2005328281 A JP 2005328281A
Authority
JP
Japan
Prior art keywords
address
communication
network
communication device
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004143819A
Other languages
Japanese (ja)
Inventor
Akinori Saito
明紀 齊藤
Hideo Masuda
秀夫 桝田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Osaka Industrial Promotion Organization
Original Assignee
Osaka Industrial Promotion Organization
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Osaka Industrial Promotion Organization filed Critical Osaka Industrial Promotion Organization
Priority to JP2004143819A priority Critical patent/JP2005328281A/en
Publication of JP2005328281A publication Critical patent/JP2005328281A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network system and a communication method that enable communication devices to communicate with each other always through a repeating device stored with network constitution information by virtually dividing one physical network and enable the communication between the communication devices without additionally installing software in the communication devices in advance nor making special settings. <P>SOLUTION: In the network system which is equipped with a plurality of communication devices capable of communicating with each other and the repeating device connecting with an external network and in which the respective communication devices and repeating device have unique addresses and pieces of address division information for dividing the addresses into network address parts and host address parts, the communication devices and repeating device have the pieces of address division information which are different and the communication devices communicate with each other via the repeating device. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ネットワークを介して接続されている通信装置が相互に通信を行う場合、必ず中継装置を介して通信を行うネットワークシステム及び通信方法に関する。   The present invention relates to a network system and a communication method that always communicate via a relay device when communication devices connected via a network communicate with each other.

昨今、インターネットの急速な普及により、一般ユーザにより使用されるパーソナルコンピュータ(以下、PC)へのウイルス、ワーム等の感染の拡大が社会問題になっている。すなわち、開かれた通信環境においては、セキュリティホールが放置されているPC、ウイルスパターンの更新を怠っているPC等が多々存在し、斯かるPCからのメール送信、ファイル共有等を介して、ウイルス、ワーム等の感染がネットワーク内に拡大している。   Recently, due to the rapid spread of the Internet, the spread of viruses, worms and other infections to personal computers (hereinafter referred to as PCs) used by general users has become a social problem. In other words, in an open communication environment, there are many PCs where security holes are left unattended, virus PCs that fail to update virus patterns, etc., and virus transmission via such mail transmission, file sharing, etc. Infections such as worms are spreading throughout the network.

斯かるウイルス、ワーム等の感染を未然に防止すべく、ファイアウォール、ルータによるパケットフィルタリング等を行い、ネットワークの外部からウイルス、ワーム等の侵入を阻止している。   In order to prevent such infections such as viruses and worms, packet filtering by a firewall and a router is performed to prevent the entry of viruses and worms from the outside of the network.

しかし、例えばイーサネット(登録商標)LANに接続されているPC同士で通信を行う場合、ルータを介することなく通信を行うことから、ファイアウォール、ルータによるパケットフィルタリング等を用いた場合であっても、ウイルス、ワーム等の侵入を阻止することができない。すなわち、可搬型記憶媒体による感染ファイルの持込、他のネットワーク接続時に感染した可搬型PCのLANへの接続等によるウイルス、ワーム等の侵入を阻止することができず、一旦感染した後は、これらを検知、駆除することは困難であり、時間経過とともにLAN内に蔓延してしまうという問題点があった。   However, for example, when communicating between PCs connected to an Ethernet (registered trademark) LAN, communication is performed without going through a router. Therefore, even when using firewall, packet filtering by a router, etc. , Can not prevent the intrusion of worms. In other words, it is not possible to prevent invasion of viruses, worms, etc. by bringing in infected files on portable storage media, connecting to a LAN of portable PCs infected when connected to other networks, etc. It is difficult to detect and remove these, and there is a problem that they spread in the LAN over time.

斯かる問題点に対応すべく、例えば特許文献1では、LAN内に接続されているスイッチングハブがパケットフィルタリングの機能を有することにより、論理的に同一ネットワーク内のPC同士の通信であっても、スイッチングハブを介する場合にはウイルス、ワーム等の侵入を阻止することができるネットワークシステムが開示されている。   In order to deal with such problems, for example, in Patent Document 1, a switching hub connected in a LAN has a packet filtering function, so that even if communication between PCs in the same network is logically performed, A network system has been disclosed that can prevent the entry of viruses, worms, etc. via a switching hub.

また、PPTP、PPPoE(Point to Point Protocol over Ethernet(登録商標))等ルータと端末と間に仮想的な専用回線を形成することで、すべての通信をルータ経由とする方法も標準プロトコルの1つとして開示されている。
特開2003−348113号公報 One of the standard protocols is a method in which all communications are routed through a router by forming a virtual dedicated line between a router and a terminal, such as PPTP and PPPoE (Point to Point Protocol over Ethernet (registered trademark)). It is disclosed as.
JP 2003-348113 A

しかし、上述したようなネットワークシステムでは、LAN内の任意のPC同士で通信を行う場合にも機能させようとすると、物理的に1つのPCに対して1つのスイッチングハブのポートが必要となり、ハブとしての機能を無駄にするばかりでなく、パケットフィルタリング機能を有する高価なスイッチングハブを大量に配設する必要があり、経済的な観点からも現実的な解決方法ではないという問題点があった。   However, in the network system as described above, if an attempt is made to function even when communication is performed between arbitrary PCs in the LAN, one switching hub port is physically required for one PC, and the hub As a result, it is necessary to dispose a large amount of expensive switching hubs having a packet filtering function, which is not a practical solution from an economical viewpoint.

また、仮想的な専用線を用いる場合、事前に各端末にソフトウェアを追加導入しておき、環境に応じた適切な設定を行う必要が生じることから、人件費等の経済的観点、又は利用者が利用可能になるまで初期設定時間に相当の時間を要するという時間的観点から、現実的ではないという問題点があった。   In addition, when using a virtual leased line, additional software must be installed in advance in each terminal, and it will be necessary to make appropriate settings according to the environment. From the time point of view that it takes a considerable amount of time for the initial setting time to become usable, there is a problem that it is not realistic.

本発明は斯かる事情に鑑みてなされたものであり、1つの物理ネットワークを仮想的に分割することにより、ネットワーク構成情報を記憶してある中継装置を必ず経由して通信装置相互間の通信を行うことができるネットワークシステム及び通信方法を提供することを目的とする。また、通信装置に事前にソフトウェアを追加導入したり特殊な設定を行うことなく、通信装置相互間の通信を行うことができるネットワークシステム及び通信方法を提供することを目的とする。   The present invention has been made in view of such circumstances. By virtually dividing one physical network, communication between communication devices is surely performed via a relay device that stores network configuration information. An object is to provide a network system and a communication method that can be performed. It is another object of the present invention to provide a network system and a communication method capable of performing communication between communication devices without additionally installing software in advance or performing special settings.

上記目的を達成するために第1発明に係るネットワークシステムは、相互に通信可能な複数の通信装置と、外部ネットワークと接続する中継装置とを備え、前記各通信装置及び前記中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有するネットワークシステムにおいて、前記通信装置と前記中継装置とは異なる前記アドレス分割情報を有し、前記通信装置間で通信する場合、前記中継装置を経由すべくなしてあることを特徴とする。   In order to achieve the above object, a network system according to a first aspect of the present invention includes a plurality of communication devices capable of communicating with each other and a relay device connected to an external network, and each of the communication devices and the relay device is unique. In a network system having an address and address division information for dividing the address into a network address part and a host address part, the communication apparatus and the relay apparatus have the address division information different from each other and communicate between the communication apparatuses In this case, the relay apparatus is configured to pass through the relay device.

第1発明に係るネットワークシステムでは、各通信装置及び中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有しており、通信装置と中継装置とは異なるアドレス分割情報を有し、各通信装置のネットワークアドレス部分の値は各通信装置固有のアドレス分割情報を用いてそれぞれ相異なっている。これにより、通信装置相互間で通信を行う場合、一の通信装置は他の通信装置が物理的に異なるネットワークに接続しているものと認識し、送信パケットは必ず中継装置に送信されることから、中継装置であるルータ、インテリジェントハブ等の構成を変更することなく、すべての通信についてパケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   In the network system according to the first invention, each communication device and relay device has a unique address and address division information for dividing the address into a network address portion and a host address portion. Have different address division information, and the value of the network address portion of each communication device is different from each other using the address division information unique to each communication device. As a result, when communicating between communication devices, one communication device recognizes that the other communication device is physically connected to a different network, and the transmission packet is always transmitted to the relay device. In addition, it is possible to perform audit processing such as packet filtering for all communications without changing the configuration of routers, intelligent hubs, etc., which are relay devices, so that safe and reliable communications can be performed.

一方、中継装置は、通信装置とは異なるアドレス分割情報を有しており、中継装置の有するアドレス分割情報で分割された各通信装置のアドレスのネットワークアドレス部分は、中継装置と同一のネットワークに接続しているものと認識される。よって、通信装置が送信するパケットは必ず中継装置に送られ、中継装置において破棄又は書き換え等を行うことが可能となる。また、中継装置が通信装置にパケットを直接送信することも可能となる。   On the other hand, the relay device has address division information different from that of the communication device, and the network address portion of each communication device address divided by the address division information of the relay device is connected to the same network as the relay device. It is recognized that Therefore, the packet transmitted by the communication device is always sent to the relay device, and can be discarded or rewritten in the relay device. It is also possible for the relay device to directly transmit a packet to the communication device.

さらに、通信装置の一部は、中継装置と同じアドレス分割情報を有していても良い。これにより、すべての通信が中継装置を経由する通信装置と、直接他の通信装置にパケットを送信可能な中継装置とを混在させることも可能となる。   Further, a part of the communication device may have the same address division information as the relay device. As a result, a communication device in which all communications pass through the relay device and a relay device that can directly transmit packets to other communication devices can be mixed.

また、第2発明に係るネットワークシステムは、第1発明において、一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスを、一のネットワークアドレス部分とする情報であることを特徴とする。   In the network system according to a second aspect of the present invention, in the first aspect, the address division information possessed by one communication apparatus is information having a unique address possessed by the one communication apparatus as one network address part. It is characterized by that.

第2発明に係るネットワークシステムでは、一の通信装置が有するアドレス分割情報により、一の通信装置が有する固有のアドレスは、全体が一のネットワークアドレス部分として認識される。これにより、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   In the network system according to the second aspect of the invention, the unique address possessed by one communication device is recognized as one network address part as a whole by the address division information possessed by one communication device. Thereby, since one communication apparatus determines that the network is configured by only one communication apparatus and a relay apparatus, even if one communication apparatus communicates with another communication apparatus, Communication is always performed via the relay device, and audit processing such as packet filtering can be performed, so that safe and reliable communication can be performed.

また、第3発明に係るネットワークシステムは、第1発明において、一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むようにしてあることを特徴とする。   The network system according to a third aspect of the present invention is the network system according to the first aspect, wherein the address division information possessed by one communication device has a network address portion of a unique address possessed by the one communication device in a power of 2 An address is included.

第3発明に係るネットワークシステムでは、一の通信装置が有するアドレス分割情報は、一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むよう構成してある。これにより、2のべき乗個のホストアドレスを含むネットワークアドレス部分に他の通信装置が存在しない場合、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   In the network system according to the third aspect of the invention, the address division information possessed by one communication apparatus is configured such that the network address portion of the unique address possessed by one communication apparatus includes a power of two host addresses. As a result, if there is no other communication device in the network address portion including the power-of-two host address, the one communication device determines that the network is composed of only one communication device and a relay device. Therefore, even when one communication device communicates with another communication device, it is always possible to communicate via a relay device and perform audit processing such as packet filtering, which is safe and reliable. Communication can be performed.

また、第4発明に係る通信方法は、相互に通信可能な複数の通信装置と、外部ネットワークと接続する中継装置とを備え、前記各通信装置及び前記中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有するネットワーク上での通信方法において、前記通信装置と前記中継装置とは異なる前記アドレス分割情報を有し、前記通信装置間で通信する場合、前記中継装置を経由することを特徴とする。   According to a fourth aspect of the present invention, a communication method includes a plurality of communication devices that can communicate with each other and a relay device that is connected to an external network. Each of the communication devices and the relay device has a unique address and the address. In a communication method on a network having address division information for dividing a network address portion and a host address portion, the communication device and the relay device have different address division information and communicate between the communication devices. , Via the relay device.

第4発明に係る通信方法では、各通信装置及び中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有しており、通信装置と中継装置とは異なるアドレス分割情報を有し、各通信装置のネットワークアドレス部分の値は各通信装置固有のアドレス分割情報を用いてそれぞれ相異なっている。これにより、通信装置相互間で通信を行う場合、一の通信装置は他の通信装置が物理的に異なるネットワークに接続しているものと認識し、送信パケットは必ず中継装置に送信されることから、中継装置であるルータ、インテリジェントハブ等の構成を変更することなく、すべての通信についてパケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   In the communication method according to the fourth aspect of the invention, each communication device and relay device has a unique address and address division information for dividing the address into a network address portion and a host address portion. Have different address division information, and the value of the network address portion of each communication device is different from each other using the address division information unique to each communication device. As a result, when communicating between communication devices, one communication device recognizes that the other communication device is physically connected to a different network, and the transmission packet is always transmitted to the relay device. In addition, it is possible to perform audit processing such as packet filtering for all communications without changing the configuration of routers, intelligent hubs, etc., which are relay devices, so that safe and reliable communications can be performed.

一方、中継装置は、通信装置とは異なるアドレス分割情報を有しており、中継装置の有するアドレス分割情報で分割された各通信装置のアドレスのネットワークアドレス部分は、中継装置のアドレスのネットワーク部分と同一となることから、中継装置にとっては、各通信装置は同一のネットワークに接続しているものと認識される。よって、通信装置が送信するパケットは必ず中継装置に送られ、中継装置において破棄又は書き換え等を行うことが可能となる。また、中継装置が通信装置にパケットを直接送信することも可能となる。   On the other hand, the relay device has address division information different from that of the communication device, and the network address portion of the address of each communication device divided by the address division information of the relay device is the network portion of the address of the relay device. Since they are the same, it is recognized by the relay device that each communication device is connected to the same network. Therefore, the packet transmitted by the communication device is always sent to the relay device, and can be discarded or rewritten in the relay device. It is also possible for the relay device to directly transmit a packet to the communication device.

さらに、通信装置の一部は、中継装置と同じアドレス分割情報を有していても良い。これにより、すべての通信が中継装置を経由する通信装置と、直接他の通信装置にパケットを送信可能な中継装置とを混在させることも可能となる。   Further, a part of the communication device may have the same address division information as the relay device. As a result, a communication device in which all communications pass through the relay device and a relay device that can directly transmit packets to other communication devices can be mixed.

また、第5発明に係る通信方法は、第4発明において、一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスを、一のネットワークアドレス部分とする情報であることを特徴とする。   In the communication method according to a fifth aspect based on the fourth aspect, the address division information possessed by one communication apparatus is information having a unique address possessed by the one communication apparatus as one network address part. It is characterized by that.

第5発明に係る通信方法では、一の通信装置が有するアドレス分割情報により、一の通信装置が有する固有のアドレスは、全体が一のネットワークアドレス部分として認識される。これにより、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   In the communication method according to the fifth aspect of the present invention, the unique address possessed by one communication device is recognized as one network address part as a whole by the address division information possessed by one communication device. Thereby, since one communication apparatus determines that the network is configured by only one communication apparatus and a relay apparatus, even if one communication apparatus communicates with another communication apparatus, Communication is always performed via the relay device, and audit processing such as packet filtering can be performed, so that safe and reliable communication can be performed.

また、第6発明に係る通信方法は、第4発明において、一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むことを特徴とする。   The communication method according to a sixth aspect of the present invention is the communication method according to the fourth aspect of the present invention, wherein the address division information possessed by one communication device has a network address portion of a unique address possessed by the one communication device and is a power of 2 hosts It includes an address.

第6発明に係る通信方法では、一の通信装置が有するアドレス分割情報は、一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むようにしてある。これにより、2のべき乗個のホストアドレスを含むネットワークアドレス部分に他の通信装置が存在しない場合、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   In the communication method according to the sixth aspect of the invention, the address division information possessed by one communication device is such that the network address portion of the unique address possessed by one communication device includes a power of 2 host addresses. As a result, if there is no other communication device in the network address portion including the power-of-two host address, the one communication device determines that the network is composed of only one communication device and a relay device. Therefore, even when one communication device communicates with another communication device, it is always possible to communicate via a relay device and perform audit processing such as packet filtering, which is safe and reliable. Communication can be performed.

第1発明及び第4発明によれば、通信装置相互間で通信を行う場合、一の通信装置は他の通信装置が物理的に異なるネットワークに接続しているものと認識し、送信パケットは必ず中継装置に送信されることから、中継装置であるルータ、インテリジェントハブ等の構成を変更することなく、すべての通信についてパケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   According to the first and fourth inventions, when communicating between communication devices, one communication device recognizes that another communication device is connected to a physically different network, and the transmission packet is always Since it is transmitted to the relay device, it is possible to perform audit processing such as packet filtering for all communications without changing the configuration of routers, intelligent hubs, etc. that are relay devices, ensuring safe and reliable communication. Can be done.

また、第2発明及び第5発明によれば、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   According to the second and fifth inventions, since one communication apparatus determines that the network is composed of only one communication apparatus and a relay apparatus, one communication apparatus is another communication apparatus. Even if the communication is performed, it is always possible to communicate via the relay device and to perform an audit process such as packet filtering, and it is possible to perform a safe and reliable communication.

また、第3発明及び第6発明によれば、2のべき乗個のホストアドレスを含むネットワークアドレス部分に他の通信装置が存在しない場合、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。   According to the third and sixth inventions, when there is no other communication device in the network address part including the power-of-two host addresses, one communication device is a communication device and a relay device with one network. Therefore, even if one communication device communicates with another communication device, it always communicates via the relay device and performs audit processing such as packet filtering. It is possible to perform secure and reliable communication.

以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。   Hereinafter, the present invention will be specifically described with reference to the drawings showing embodiments thereof.

(実施の形態1)
図1は、本発明の実施の形態1に係るネットワークシステムの全体構成を説明するブロック図である。なお、本実施の形態1では、イーサネット(登録商標)を用いて接続されるLAN環境を想定しており、一の中継装置であるルータ1と、ルータ1の管理対象となる複数の通信装置2、2、・・・とが、LAN3を介して接続してある。また、ルータ1は、通信回線4を介してインターネット5に接続してあり、外部ネットワークと接続可能となしてある。オペレーティングシステムとして、通信装置2、2、・・・にはウィンドウズ(登録商標)(R)が導入してある。 (Embodiment 1)
FIG. 1 is a block diagram illustrating the overall configuration of a network system according to Embodiment 1 of the present invention. In the first embodiment, a LAN environment connected using Ethernet (registered trademark) is assumed, and a router 1 as a relay device and a plurality of communication devices 2 to be managed by the router 1 are used. Are connected via the LAN 3. The router 1 is connected to the Internet 5 via a communication line 4 and can be connected to an external network. As an operating system, Windows (registered trademark) (R) is introduced into the communication devices 2, 2,.

図2は、ルータ1の構成を示すブロック図である。ルータ1は、少なくともCPU11、RAM12、及び通信インタフェース13a、13bからなり、RAM12は、通信のアドレスを制御する情報を制御するアドレス分割情報を記憶してあるルーティングテーブル121と、コンピュータウィルス、ワーム等の検出、駆除等に用いるフィルタリングテーブル122を備えている。   FIG. 2 is a block diagram showing the configuration of the router 1. The router 1 includes at least a CPU 11, a RAM 12, and communication interfaces 13a and 13b. The RAM 12 includes a routing table 121 that stores address division information for controlling information for controlling communication addresses, computer viruses, worms, and the like. A filtering table 122 used for detection and removal is provided.

CPU11は、内部バス14を介してルータ1の上述したようなハードウェア各部と接続されており、上述したハードウェア各部を制御するとともに、RAM12に格納されたルーティングテーブル121に従って、通信パケットの送信先を特定し、フィルタリングテーブル122に従って、異常なパケットの存在を検出、除去等を行う。   The CPU 11 is connected to the above-described hardware units of the router 1 via the internal bus 14, and controls the above-described hardware units and transmits a communication packet destination according to the routing table 121 stored in the RAM 12. And the presence / absence of an abnormal packet is detected and removed according to the filtering table 122.

RAM12は、ソフトウェアの実行時に発生する一時的なデータも記憶する。通信インタフェース13aは、内部バス14に接続されており、通信回線4を介して異なるネットワーク環境との通信パケット情報の送受信を行う。通信インタフェース13bは、内部バス14に接続されており、LAN3を介して同一ネットワーク内の通信パケット情報の送受信を行う。   The RAM 12 also stores temporary data generated when the software is executed. The communication interface 13 a is connected to the internal bus 14 and transmits / receives communication packet information to / from different network environments via the communication line 4. The communication interface 13b is connected to the internal bus 14, and transmits / receives communication packet information in the same network via the LAN 3.

図3は、通信装置2の構成を示すブロック図である。通信装置2は、少なくともCPU21、記憶装置22、RAM23、表示部24、入力部25、補助記憶装置26及び通信インタフェース27からなり、記憶装置22は、オペレーティングシステム、制御プログラム及び通信のアドレスを制御する情報を制御するアドレス分割情報を記憶してある。通信装置2に記憶しているアドレス分割情報は、具体的にはネットマスク情報であり、固有のアドレスであるIPアドレスをネットワークアドレス部分とホストアドレス部分とに分割する。アドレス分割情報は、各通信装置2ごとにその内容が相違する。   FIG. 3 is a block diagram illustrating a configuration of the communication device 2. The communication device 2 includes at least a CPU 21, a storage device 22, a RAM 23, a display unit 24, an input unit 25, an auxiliary storage device 26, and a communication interface 27. The storage device 22 controls an operating system, a control program, and a communication address. Address division information for controlling information is stored. The address division information stored in the communication device 2 is specifically netmask information, and divides an IP address, which is a unique address, into a network address portion and a host address portion. The content of the address division information is different for each communication device 2.

CPU21は、内部バス28を介して通信装置2の上述したようなハードウェア各部と接続されており、上述したハードウェア各部を制御するとともに、ハードディスク等の記憶装置22に格納された制御プログラム又は補助記憶装置26を介してCD−ROM、DVD等の(可搬型)記録媒体を用いて記憶装置22へ導入された制御プログラムに従って、種々のソフトウェア的機能を実行する。また、記憶装置22に格納されたアドレス分割情報を用いてネットワークアドレス部分を算出し、同一ネットワークと認識された装置間でデータの送受信を行う。   The CPU 21 is connected to the above-described hardware units of the communication device 2 via the internal bus 28, and controls the above-described hardware units and controls programs or auxiliary programs stored in the storage device 22 such as a hard disk. Various software functions are executed in accordance with a control program introduced into the storage device 22 using a (portable) recording medium such as a CD-ROM or DVD via the storage device 26. Further, the network address portion is calculated using the address division information stored in the storage device 22, and data is transmitted and received between devices recognized as the same network.

RAM23は、DRAM等で構成され、ソフトウェアの実行時に発生する一時的なデータを記憶する。   The RAM 23 is composed of a DRAM or the like, and stores temporary data generated when the software is executed.

表示部24は、液晶表示装置、CRTディスプレイ等の表示装置であり、通信状態を表示したり、ユーザへ操作入力を促す画面を表示したり、画像データの表示等を行う。入力部25は、通信装置2を操作するために必要な文字キー、テンキー、各種のファンクションキー等を備えたキーボード、マウス等の入力媒体である。   The display unit 24 is a display device such as a liquid crystal display device or a CRT display, and displays a communication state, a screen that prompts the user to input an operation, and displays image data. The input unit 25 is an input medium such as a keyboard and a mouse having character keys, numeric keys, various function keys, and the like necessary for operating the communication device 2.

通信インタフェース27は、内部バス28に接続されており、外部からの通信パケット情報の送受信を、LAN3を介して行う。   The communication interface 27 is connected to the internal bus 28 and transmits / receives communication packet information from the outside via the LAN 3.

以下、上述した構成のネットワークシステムにおける通信装置2、2間の通信処理の動作について説明する。図4は、本発明の実施の形態1に係るネットワークシステムにおける通信装置2、2、・・・及びルータ1とのIPアドレスの関係を示す図である。   The operation of communication processing between the communication devices 2 and 2 in the network system having the above-described configuration will be described below. FIG. 4 is a diagram showing a relationship of IP addresses with the communication devices 2, 2,... And the router 1 in the network system according to the first embodiment of the present invention.

図4では、ルータ1の通信インタフェース13a、13bに適用されるネットワーク構成情報は、従来の設定と相違しない。すなわち、接続するLAN3のIPアドレスは、192.168.1.0〜192.168.1.255の256個であり、LAN3に接続する機器は、192.168.1.1〜192.168.1.254の範囲のいずれかのIPアドレスを有する。なお、ルータ1を示すIPアドレスとして、192.168.1.1を割り当てる。   In FIG. 4, the network configuration information applied to the communication interfaces 13a and 13b of the router 1 is not different from the conventional setting. That is, the IP address of LAN3 to be connected is 256 from 192.168.1.0 to 192.168.1.255, and the devices to be connected to LAN3 are 192.168.1.1 to 192.168 .. Have any IP address in the range of 1.254. Note that 192.168.1.1 is assigned as the IP address indicating the router 1.

ルータ1がDHCPサーバ機能を有し、オペレーティングシステムとしてウィンドウズ(登録商標)(R)が稼働する通信装置2aに対してIPアドレスを自動的に割り当てる場合、192.168.1.2〜192.168.1.254から未使用のIPアドレスを1つ、例えば192.168.1.50を選ぶ。通信装置2aのIPアドレスを192.168.1.50と指定するとともにネットマスクを255.255.255.255とし、デフォルトゲートウェイのアドレス192.168.1.1を通信装置2aに送信する。   When the router 1 has a DHCP server function and automatically assigns an IP address to the communication device 2a on which Windows (registered trademark) (R) operates as an operating system, 192.168.1.2 to 192.168. 1. Select one unused IP address from 1.254, for example, 192.168.1.50. The IP address of the communication device 2a is designated as 192.168.1.50, the netmask is set to 255.255.255.255, and the default gateway address 192.168.1.1 is transmitted to the communication device 2a.

このようにすることで、例えば通信装置2aがIPパケットを送信しようとする場合、送信先が通信装置2aである場合を除いて、異なる物理ネットワークに接続しているものと判断される。例えば通信装置2bが送信先である場合、通信装置2aの接続するネットワークは、ネットマスク255.255.255.255であるので192.168.1.50〜192.168.1.50のサイズを有するネットワークであるものと認識される。そこで、通信装置2bのIPアドレス192.168.1.51に対しては、ネットワークアドレスが相違すると判断されることから、直接通信することができない。よって、IPパケットはデフォルトゲートウェイ192.168.1.1に転送され、ルータ1に到着する。   In this way, for example, when the communication device 2a attempts to transmit an IP packet, it is determined that the communication device 2a is connected to a different physical network except when the transmission destination is the communication device 2a. For example, when the communication device 2b is the transmission destination, the network to which the communication device 2a is connected is the netmask 255.255.255.255, so the size of 192.168.1.50 to 192.168.1.50 is set. Is recognized as a network having Therefore, since it is determined that the network address is different from the IP address 192.168.1.51 of the communication device 2b, direct communication cannot be performed. Therefore, the IP packet is transferred to the default gateway 192.168.1.1 and arrives at the router 1.

したがって、通信装置2aから他の通信装置2、2、・・・へ送信を行なう場合であっても、必ずルータ1を経由して通信を行なうことから、ルータ1において通信パケットをフィルタリングテーブル122の設定に従って監査し、正常なデータであると確認できた後、本来の送信先のIPアドレスに通信パケットをルーティングすることができる。   Therefore, even when transmission is performed from the communication device 2 a to the other communication devices 2, 2,..., Communication is always performed via the router 1. After auditing according to the settings and confirming that the data is normal, the communication packet can be routed to the original destination IP address.

通信装置2aにとって、デフォルトゲートウェイ192.168.1.1は直接接続したネットワーク192.168.1.50〜192.168.1.50の範囲内には存在しない。しかし、ウィンドウズ(登録商標)(R)のようにネットワーク構成情報の妥当性検査を行なわないオペレーティングシステムでは、デフォルトゲートウェイとして設定されたIPアドレスに無条件で送信される。よって、送信元の通信装置2aは、LAN3で直接接続されている他の通信装置2bにパケットを送信する場合においても、必ずルータ1を経由して通信を行なうことができ、ルータ1において通信パケットに対してパケットフィルタリング等の処理を行なうことが可能となる。   For the communication apparatus 2a, the default gateway 192.168.1.1 does not exist within the range of the directly connected network 192.168.1.50 to 192.168.1.50. However, in an operating system that does not validate network configuration information, such as Windows (registered trademark) (R), it is transmitted unconditionally to the IP address set as the default gateway. Therefore, even when the transmission source communication device 2 a transmits a packet to another communication device 2 b directly connected via the LAN 3, the communication device 2 a can always communicate via the router 1. It is possible to perform processing such as packet filtering.

したがって、LANに外部から持ち込まれたウイルス、ワーム等が感染している通信装置2aが、物理ネットワークが同一であるLAN上に接続されている他の通信装置2bと通信を行う場合であっても、必ずルータ1における監査処理を経由することになり、ルータ1に通信パケットが到達した時点で、ウイルス、ワーム等を駆除する等の適切な処理を実行することができ、より安全で、しかも確実な通信を行うことが可能となる。   Therefore, even when the communication device 2a infected with a virus, a worm, etc. brought into the LAN from the outside communicates with another communication device 2b connected on the LAN having the same physical network. It will always go through the audit process in the router 1, and when the communication packet arrives at the router 1, it can execute appropriate processes such as removing viruses, worms, etc., and it is safer and more reliable. Communication can be performed.

(実施の形態2)
本実施の形態2では、実施の形態1と同様、イーサネット(登録商標)を用いて接続されるLAN環境を想定しており、一の中継装置であるルータ1と、ルータ1の管理対象となる複数の通信装置2、2、・・・とが、LAN3を介して接続してある。また、ルータ1は通信回線4を介してインターネット5に接続してあり、外部ネットワークと接続可能となしてある。オペレーティングシステムとして、通信装置2、2、・・・にはリナックスが導入してある。なお、オペレーティングシステムとしては、リナックスに限定されるものではなく、ネットワーク構成情報の確認を行うオペレーティングシステム、例えばMacOSX(R)であってもよい。 (Embodiment 2)
In the second embodiment, as in the first embodiment, a LAN environment connected using Ethernet (registered trademark) is assumed, and the router 1 that is one relay device and the management target of the router 1 are used. A plurality of communication devices 2, 2,... Are connected via a LAN 3. The router 1 is connected to the Internet 5 via the communication line 4 and can be connected to an external network. As an operating system, Linux is introduced into the communication devices 2, 2,. Note that the operating system is not limited to Linux, and may be an operating system for confirming network configuration information, for example, MacOSX®.

以下、上述した構成のネットワークシステムにおける通信装置2、2、・・・間の通信処理の動作について説明する。図5は、本発明の実施の形態2に係るネットワークシステムにおける通信装置2、2、・・・及びルータ1とのIPアドレスの関係を示す図である。   The operation of communication processing between the communication devices 2, 2,... In the network system having the above-described configuration will be described below. FIG. 5 is a diagram showing a relationship of IP addresses with the communication devices 2, 2,... And the router 1 in the network system according to the second embodiment of the present invention.

図5に示すように、ルータ1の通信インタフェース13に適用されるネットワーク構成情報は、従来の設定と相違しない。すなわち、接続するLAN3のIPアドレスは、192.168.1.0〜192.168.1.255の256個であり、LAN3に接続する機器は192.168.1.1〜192.168.1.254の範囲のいずれかのIPアドレスを有する。ルータ1を示すIPアドレスとして192.168.1.1を割り当てる。   As shown in FIG. 5, the network configuration information applied to the communication interface 13 of the router 1 is not different from the conventional setting. That is, the IP address of the LAN 3 to be connected is 256 from 192.168.1.0 to 192.168.1.255, and the devices connected to the LAN 3 are 192.168.1.1 to 192.168.1. Have any IP address in the range of .254. 192.168.1.1 is assigned as an IP address indicating the router 1.

ルータ1がDHCPサーバ機能を有し、通信装置2aに対してIPアドレスを自動的に割り当てる場合、192.168.1.5〜192.168.1.253から未使用のIPアドレスを1つ、192.168.1.n(n=4m+1、ただしm、nは自然数)を割り当てる。例えば、192.168.1.5を選ぶ通信装置2aのIPアドレスを192.168.1.5と指定するとともに、ネットマスクを255.255.255.252とし、デフォルトゲートウェイのアドレスとしてIPアドレスの末尾に1を加えた192.168.1.6を通信装置2aに送信する。また、IPアドレス192.168.1.k(k=4m、4m+1、4m+2、4m+3、ただしk、mは自然数)は他の通信装置2、2、・・・には割り当てない。   When the router 1 has a DHCP server function and automatically assigns an IP address to the communication device 2a, one unused IP address is assigned from 192.168.1.5 to 192.168.1.253, 192.168.1. n (n = 4m + 1, where m and n are natural numbers) is assigned. For example, the IP address of the communication device 2a that selects 192.168.1.5 is specified as 192.168.1.5, the netmask is set to 255.255.255.252, and the IP address is set as the default gateway address. 192.168.1.6 with 1 added to the end is transmitted to the communication device 2a. In addition, the IP address 192.168.1. k (k = 4m, 4m + 1, 4m + 2, 4m + 3, where k and m are natural numbers) is not assigned to the other communication devices 2, 2,.

このようにすることで、例えば通信装置2aがIPパケットを送信しようとする場合、送信先が通信装置2aである場合を除いて、送信先は異なる物理ネットワークに接続しているものと判断される。例えば、通信装置2bが送信先である場合、通信装置2aの接続するネットワークは、ネットマスク255.255.255.252であるので192.168.1.4〜192.168.1.7のサイズ4のネットワークであると見倣される。他の通信装置2、2、・・・のアドレスは、斯かる範囲外のアドレスが割り当てられている。したがって、通信装置2bのIPアドレス192.168.1.9は直接通信できないネットワークであると判断され、通信装置2aはIPパケットをデフォルトゲートウェイ192.168.1.6に対して転送する。   By doing so, for example, when the communication device 2a attempts to transmit an IP packet, it is determined that the transmission destination is connected to a different physical network, except when the transmission destination is the communication device 2a. . For example, when the communication device 2b is the transmission destination, the network to which the communication device 2a is connected is the netmask 255.255.255.252, so the size is between 192.168.1.4 and 192.168.1.7. 4 network. The addresses of the other communication devices 2, 2,... Are assigned addresses outside this range. Therefore, it is determined that the IP address 192.168.1.9 of the communication device 2b is a network that cannot communicate directly, and the communication device 2a transfers the IP packet to the default gateway 192.168.1.6.

アドレス192.168.1.6を有する機器はLAN3上に存在しないが、通信装置2aが192.168.1.6を探すべくARP要求をLAN3上で行う場合、中継装置1が、中継装置1のMACアドレスMRで応答する。したがって、通信装置2aは、MRがデフォルトルータのMACアドレスであると見倣し、MR宛にパケットを送信する。   A device having the address 192.168.1.6 does not exist on the LAN 3, but when the communication device 2a makes an ARP request on the LAN 3 to search for 192.168.1.6, the relay device 1 Respond with the MAC address MR. Therefore, the communication device 2a assumes that MR is the MAC address of the default router, and transmits a packet to the MR.

したがって、通信装置2aから他の通信装置2、2、・・・へ送信を行う場合であっても、必ずルータ1を経由して通信を行うことから、ルータ1において通信パケットをフィルタリングテーブル122の設定に従って監査し、正常なデータであると確認できた後、本来の送信先のIPアドレスに通信パケットをルーティングすることができる。   Therefore, even when transmission is performed from the communication device 2 a to the other communication devices 2, 2,..., Communication is always performed via the router 1. After auditing according to the settings and confirming that the data is normal, the communication packet can be routed to the original destination IP address.

これにより、リナックスのようにネットワーク構成情報の妥当性検査を行うオペレーティングシステムであっても、送信元の通信装置2aは、接続する物理ネットワークに自分自身、デフォルトルータ、及び未使用アドレス2つのみが存在すると誤って認識することから、送信元の通信装置2aは、LAN3で直接接続されている通信装置2bにパケットを送信する場合においても、必ずルータ1を経由して通信を行い、ルータ1において通信パケットに対してパケットフィルタリング等の処理を行なうことが可能となる。   As a result, even in the case of an operating system that validates network configuration information like Linux, the transmission source communication device 2a has only itself, a default router, and two unused addresses in the connected physical network. Since it is erroneously recognized as being present, the transmission source communication device 2a always communicates via the router 1 even when transmitting a packet to the communication device 2b directly connected via the LAN 3. Processing such as packet filtering can be performed on the communication packet.

したがって、LAN3に外部から持ち込まれたウイルス、ワーム等が感染している通信装置2aが送信元として、LAN3に接続されている他の通信装置2bに対して通信を行う場合であっても、必ずルータ1における監査処理を経由することになり、ルータ1へ通信パケットが到達した時点でウイルス、ワーム等を駆除する等の適切な処理を実行することができ、より安全で、しかも確実な通信を行うことが可能となる。   Therefore, even when a communication device 2a infected with a virus, a worm or the like brought into the LAN 3 from the outside communicates with another communication device 2b connected to the LAN 3 as a transmission source, It will go through the audit process in the router 1, and when the communication packet arrives at the router 1, it can execute appropriate processes such as removing viruses, worms, etc. Can be done.

なお、本実施の形態2では、1つの通信装置が4つのIPアドレスを有するネットワークに含まれるように通信装置側のネットワーク構成情報に認識されている場合について説明しているが、1つの論理ネットワークに含まれるアドレスの個数は4つに限定されるものではなく、2以上でネットワークマスキングが可能な個数、すなわち2のべき乗であれば何でも良い。ただし、1つの論理ネットワークに含まれるアドレスのうち、通信装置に割り当て可能なものは1つのみであり、他は未使用とする必要がある。   In the second embodiment, a case where one communication apparatus is recognized in the network configuration information on the communication apparatus side so as to be included in a network having four IP addresses has been described. The number of addresses included in is not limited to four, but may be any number that can be network masked by two or more, that is, a power of two. However, among the addresses included in one logical network, only one address can be assigned to the communication device, and the others need not be used.

なお、本実施の形態1及び2では、ルータ1が通信パケットの監査機能を有する場合について説明しているが、監査処理はルータ1で行うことに限定されるものではなく、専用の監視装置をLAN3上に別途設けるものであっても良い。この場合、送信元である通信装置は、監視装置のIPアドレスへ送信するものと認識するようネットワーク構成情報を設定する。   In the first and second embodiments, the case where the router 1 has a communication packet audit function has been described. However, the audit process is not limited to the router 1, and a dedicated monitoring device is used. It may be provided separately on the LAN 3. In this case, the communication apparatus that is the transmission source sets the network configuration information so as to recognize that the transmission is made to the IP address of the monitoring apparatus.

(実施の形態3)
本実施の形態3では、実施の形態2と同様、イーサネット(登録商標)を用いて接続されるLAN環境を想定しており、一の中継装置であるルータ1と、ルータ1の管理対象である通信装置2、2、・・・がLAN3を介して接続してある。また、ルータ1は通信回線4を介してインターネット5に接続してあり、外部のネットワークと接続可能となっている。オペレーティングシステムとして、通信装置2aにはリナックスが、通信装置2bにはウィンドウズ(登録商標)が導入してある。通信装置2cはスキャナ装置である。 (Embodiment 3)
As in the second embodiment, the third embodiment assumes a LAN environment that is connected using Ethernet (registered trademark), and is a router 1 that is one relay device and a management target of the router 1. Communication devices 2, 2,... Are connected via a LAN 3. The router 1 is connected to the Internet 5 via a communication line 4 and can be connected to an external network. As an operating system, Linux is introduced into the communication device 2a, and Windows (registered trademark) is introduced into the communication device 2b. The communication device 2c is a scanner device.

以下、上述した構成のネットワークシステムにおける通信装置2、2、・・・間の通信処理の動作について説明する。図6は本発明の実施の形態3に係るネットワークシステムにおける通信装置2、2、・・・及びルータ1とのIPアドレスの関係を示す図である。   The operation of communication processing between the communication devices 2, 2,... In the network system having the above-described configuration will be described below. FIG. 6 is a diagram showing the IP address relationship with the communication devices 2, 2,... And the router 1 in the network system according to the third embodiment of the present invention.

図6では、ルータ1の通信インタフェース13に適用されるネットワーク構成情報は、従来の設定と相違しない。すなわち、接続するLAN3のIPアドレスは、192.168.1.0〜192.168.1.255の256個であり、LAN3に接続する機器は、192.168.1.1〜192.168.1.254の範囲のいずれかのIPアドレスを有する。ルータ1を示すIPアドレスとして、192.168.1.1を割り当てる。   In FIG. 6, the network configuration information applied to the communication interface 13 of the router 1 is not different from the conventional setting. That is, the IP address of LAN3 to be connected is 256 from 192.168.1.0 to 192.168.1.255, and the devices to be connected to LAN3 are 192.168.1.1 to 192.168 .. Have any IP address in the range of 1.254. 192.168.1.1 is assigned as the IP address indicating the router 1.

ルータ1内のアドレス割り当てテーブルは、ウィンドウズ(登録商標)(R)用領域として192.168.1.50〜192.168.1.127(ネットマスク255.255.255.255)、その他のOS用領域として192.168.1.128〜192.168.1.251(ネットマスク255.255.255.252)、適用外機器用領域として192.168.1.2〜192.168.1.49、適用外機器MACアドレスとしてMcが登録されている。   The address assignment table in the router 1 is an area for Windows (registered trademark) (R) 192.168.1.50 to 192.168.1.127 (netmask 255.255.255.255), other OS 192.168.1.128 to 192.168.1.251 (net mask 255.255.255.252) as the application area, and 192.168.1.2 to 192.168.8.1. 49, Mc is registered as a non-applicable device MAC address.

ルータ1がDHCPサーバ機能を有し、通信装置2aに対してIPアドレスを自動的に割り当てる場合、通信装置2からのDHCP要求に含まれるオペレーティングシステム情報によってウィンドウズ(登録商標)であることを知ることができる。よって、ルータ1は192.168.1.50〜192.168.1.127から未使用のIPアドレスを1つ、例えば192.168.1.50を選ぶ。ルータ1は通信装置2aのIPアドレスを192.168.1.50と指定するとともにネットマスクを255.255.255.255とし、デフォルトゲートウェイのアドレスとして192.168.1.1を通信装置2aに送信する。   When the router 1 has a DHCP server function and automatically assigns an IP address to the communication device 2a, it knows that it is Windows (registered trademark) from the operating system information included in the DHCP request from the communication device 2. Can do. Therefore, the router 1 selects one unused IP address from 192.168.1.50 to 192.168.1.127, for example, 192.168.1.50. The router 1 designates the IP address of the communication device 2a as 192.168.1.50, sets the netmask to 255.255.255.255, and sets 192.168.1.1 as the default gateway address to the communication device 2a. Send.

ルータ1がDHCPサーバ機能を有し、通信装置2bに対してIPアドレスを自動的に割り当てる場合、通信装置2からのDHCP要求に含まれるオペレーティングシステム情報によってリナックスであることを知ることができる。そこで、192.168.1.128〜192.168.1.251から未使用のIPアドレスを1つ、192.168.1.n(n=4m+1、ただしm、nは自然数)を割り当てる。例えば192.168.1.129を選ぶルータ1は、通信装置2bのIPアドレスを192.168.1.129と指定するとともにネットマスクを255.255.255.252とし、デフォルトゲートウェイのアドレスとしてIPアドレスの末尾に1を加えた192.168.1.130を通信装置2bに送信する。また、IPアドレス192.168.1.128〜192.168.1.131は他の通信装置2、2、・・・には割り当てない。   When the router 1 has a DHCP server function and automatically assigns an IP address to the communication device 2b, it can be recognized that the router 1 is Linux by operating system information included in the DHCP request from the communication device 2. Therefore, one unused IP address from 192.168.1.128 to 192.168.1.251, 192.168.1. n (n = 4m + 1, where m and n are natural numbers) is assigned. For example, the router 1 that selects 192.168.1.129 specifies the IP address of the communication device 2b as 192.168.1.129, sets the netmask to 255.255.255.252, and sets the IP address as the default gateway address. 192.168.1.130 with 1 added to the end of the address is transmitted to the communication device 2b. Also, the IP addresses 192.168.1.128 to 192.168.1.131 are not assigned to the other communication devices 2, 2,.

ルータ1がDHCPサーバ機能を有し、通信装置2cに対してIPアドレスを自動的に割り当てる場合、通信装置2からのDHCP要求に含まれる送信元MACアドレス情報がMcであるので、適用外機器と知ることができる。そこで、192.168.1.2〜192.168.1.49から未使用のIPアドレスを1つ、例えば192.168.1.2を選ぶ。ルータ1は通信装置2bのIPアドレスを192.168.1.2と指定するとともにネットマスクを255.255.255.0とし、デフォルトゲートウェイのアドレス192.168.1.1を通信装置2cに送信する。このネットワーク構成情報は、従来の設定と相違しない。   When the router 1 has a DHCP server function and automatically assigns an IP address to the communication device 2c, the source MAC address information included in the DHCP request from the communication device 2 is Mc. I can know. Accordingly, one unused IP address, for example, 192.168.1.2 is selected from 192.168.1.2 to 192.168.1.49. The router 1 specifies the IP address of the communication device 2b as 192.168.1.2, sets the netmask to 255.255.255.0, and transmits the default gateway address 192.168.1.1 to the communication device 2c. To do. This network configuration information is not different from conventional settings.

このようにすることで、通信装置2a及び2bがIPパケットを送信しようとする場合、送信先が自身である場合を除いて、送信先は異なる物理ネットワークに接続しているものと判断され、ルータ1を経由して送信される。通信装置2cがIPパケットを送信しようとする場合は、送り先がLAN3に接続していれば直接送信され、それ以外であればルータ1に送られる。   In this way, when the communication devices 2a and 2b try to transmit an IP packet, it is determined that the transmission destination is connected to a different physical network, except when the transmission destination is itself. 1 is transmitted. When the communication device 2c tries to send an IP packet, it is sent directly if the destination is connected to the LAN 3, and sent to the router 1 otherwise.

したがって、複数のオペレーティングシステムが導入された通信装置2、2、・・・が混在するネットワークシステムにおいても、ルータ1でのパケット監査が必要な装置にだけ、すべてのパケット送信をルータ1経由で行うことが可能となる。   Therefore, even in a network system in which communication devices 2, 2,... In which a plurality of operating systems are installed are mixed, all packets are transmitted via the router 1 only to devices that require packet inspection at the router 1. It becomes possible.

よって、LAN3に外部から持ち込まれたウィルス、ワーム等が感染している通信装置2aが送信元として、LAN3に接続されている他の通信装置2bに対して通信を行なう場合であっても、必ずルータ1における監査処理を経由することになり、ルータ1へ通信パケットが到着した時点でウィルス、ワーム等の発信したパケットであることを識別して破棄する等の適切な処理を実行することができ、より安全で、しかも確実な通信を行なうことが可能となる。また、ウィルス、ワーム等と無縁な通信装置2cは他の通信装置に直接パケットを送ることを可能とすることで、ルータ1の負荷を軽減することも可能となる。   Therefore, even when a communication device 2a infected with a virus, a worm or the like brought into the LAN 3 from the outside communicates with another communication device 2b connected to the LAN 3, When the communication packet arrives at the router 1 through the audit process in the router 1, it is possible to execute an appropriate process such as identifying and discarding the packet transmitted by a virus, worm or the like. Therefore, safer and more reliable communication can be performed. Further, the communication device 2c, which is not related to viruses, worms, etc., can directly send packets to other communication devices, thereby reducing the load on the router 1.

本発明の実施の形態1に係るネットワークシステムの全体構成を説明するブロック図である。It is a block diagram explaining the whole structure of the network system which concerns on Embodiment 1 of this invention. ルータの構成を示すブロック図である。It is a block diagram which shows the structure of a router. 通信装置の構成を示すブロック図である。It is a block diagram which shows the structure of a communication apparatus. 本発明の実施の形態1に係るネットワークシステムにおける通信装置及びルータとのIPアドレスの関係を示す図である。It is a figure which shows the relationship of the IP address with the communication apparatus and router in the network system which concerns on Embodiment 1 of this invention. 本発明の実施の形態2に係るネットワークシステムにおける通信装置及びルータとのIPアドレスの関係を示す図である。It is a figure which shows the relationship of the IP address with the communication apparatus and router in the network system which concerns on Embodiment 2 of this invention. 本発明の実施の形態3に係るネットワークシステムにおける通信装置及びルータとのIPアドレスの関係を示す図である。It is a figure which shows the relationship of the IP address with the communication apparatus and router in the network system which concerns on Embodiment 3 of this invention.

符号の説明Explanation of symbols

1 ルータ
2、2a、2b、2c 通信装置
3 LAN
11、21 CPU
12、23 RAM
13a、13b、27 通信インタフェース
14、28 内部バス
22 記憶装置
24 表示部
25 入力部
26 補助記憶装置 1 router 2, 2a, 2b, 2c communication device 3 LAN
11, 21 CPU
12, 23 RAM
13a, 13b, 27 Communication interface 14, 28 Internal bus 22 Storage device 24 Display unit 25 Input unit 26 Auxiliary storage device

Claims (6)

相互に通信可能な複数の通信装置と、外部ネットワークと接続する中継装置とを備え、
前記各通信装置及び前記中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有するネットワークシステムにおいて、
前記通信装置と前記中継装置とは異なる前記アドレス分割情報を有し、前記通信装置間で通信する場合、前記中継装置を経由すべくなしてあることを特徴とするネットワークシステム。 A plurality of communication devices capable of communicating with each other and a relay device connected to an external network,
In each of the communication devices and the relay device, a network system having a unique address and address division information for dividing the address into a network address portion and a host address portion.
The network system, wherein the communication device and the relay device have different address division information, and are communicated between the communication devices via the relay device. 一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスを、一のネットワークアドレス部分とする情報であることを特徴とする請求項1記載のネットワークシステム。   2. The network system according to claim 1, wherein the address division information possessed by one communication apparatus is information having a unique address possessed by the one communication apparatus as one network address part. 一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むようにしてあることを特徴とする請求項1記載のネットワークシステム。   2. The network according to claim 1, wherein said address division information possessed by one communication device is such that a network address portion of a unique address possessed by said one communication device includes a power-of-two host address. system. 相互に通信可能な複数の通信装置と、外部ネットワークと接続する中継装置とを備え、
前記各通信装置及び前記中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有するネットワーク上での通信方法において、
前記通信装置と前記中継装置とは異なる前記アドレス分割情報を有し、前記通信装置間で通信する場合、前記中継装置を経由することを特徴とする通信方法。 A plurality of communication devices capable of communicating with each other and a relay device connected to an external network,
In the communication method on the network, each communication device and the relay device each have a unique address and address division information for dividing the address into a network address portion and a host address portion.
A communication method characterized in that the communication device and the relay device have different address division information, and when communication is performed between the communication devices, the communication device passes through the relay device. 一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスを、一のネットワークアドレス部分とする情報であることを特徴とする請求項4記載の通信方法。   5. The communication method according to claim 4, wherein the address division information possessed by one communication apparatus is information having a unique address possessed by the one communication apparatus as one network address part. 一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むことを特徴とする請求項4記載の通信方法。   5. The communication method according to claim 4, wherein in the address division information possessed by one communication device, the network address portion of the unique address possessed by the one communication device includes a power of two host addresses.
JP2004143819A 2004-05-13 2004-05-13 Network system and communication method Pending JP2005328281A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004143819A JP2005328281A (en) 2004-05-13 2004-05-13 Network system and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004143819A JP2005328281A (en) 2004-05-13 2004-05-13 Network system and communication method

Publications (1)

Publication Number Publication Date
JP2005328281A true JP2005328281A (en) 2005-11-24

Family

ID=35474279

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004143819A Pending JP2005328281A (en) 2004-05-13 2004-05-13 Network system and communication method

Country Status (1)

Country Link
JP (1) JP2005328281A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012010169A (en) * 2010-06-25 2012-01-12 Nec Access Technica Ltd Radio communication network connection system, and radio communication network connection method
WO2015092956A1 (en) * 2013-12-19 2015-06-25 International Business Machines Corporation Virtual machine network controller

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012010169A (en) * 2010-06-25 2012-01-12 Nec Access Technica Ltd Radio communication network connection system, and radio communication network connection method
WO2015092956A1 (en) * 2013-12-19 2015-06-25 International Business Machines Corporation Virtual machine network controller
US9300580B2 (en) 2013-12-19 2016-03-29 International Business Machines Corporation Virtual machine network controller
US9363176B2 (en) 2013-12-19 2016-06-07 International Business Machines Corporation Virtual machine network controller
US9577929B2 (en) 2013-12-19 2017-02-21 International Business Machines Corporation Virtual machine network controller

Similar Documents

Publication Publication Date Title
US7474655B2 (en) Restricting communication service
JP4500806B2 (en) Method and apparatus for configuring a router port
US7792990B2 (en) Remote client remediation
JP5062967B2 (en) Network access control method and system
JP5090408B2 (en) Method and apparatus for dynamically controlling destination of transmission data in network communication
WO2009087702A1 (en) Virtual machine execution program, user authentication program and information processor
JP2005197823A (en) Illegitimate access control apparatus between firewall and router
JP2009278635A (en) Firewall with stateful inspection
JP6793056B2 (en) Communication equipment and systems and methods
JP2009177841A (en) Network appliance and control method thereof
US20070130624A1 (en) Method and system for a pre-os quarantine enforcement
JP2021111396A (en) Security for container network
KR20130124692A (en) System and method for managing filtering information of attack traffic
KR101076683B1 (en) Apparatus and method for splitting host-based networks
JP2007517305A (en) Flexible network security system and network security method permitting reliable processes
JPWO2004114599A1 (en) Device connection method in a network and network system using the same
JP2008271242A (en) Network monitor, program for monitoring network, and network monitor system
US7551559B1 (en) System and method for performing security actions for inter-layer binding protocol traffic
JP2005193590A (en) Printing device
JP2010239591A (en) Network system, relay device, and method of controlling network
JP4895793B2 (en) Network monitoring apparatus and network monitoring method
JP2007052550A (en) Computer system and information processing terminal
WO2019123523A1 (en) Communication device, communication system, communication control method, and program
JP2005328281A (en) Network system and communication method
TWI732708B (en) Network security system and network security method based on multi-access edge computing