JP2005328281A - Network system and communication method - Google Patents
Network system and communication method Download PDFInfo
- Publication number
- JP2005328281A JP2005328281A JP2004143819A JP2004143819A JP2005328281A JP 2005328281 A JP2005328281 A JP 2005328281A JP 2004143819 A JP2004143819 A JP 2004143819A JP 2004143819 A JP2004143819 A JP 2004143819A JP 2005328281 A JP2005328281 A JP 2005328281A
- Authority
- JP
- Japan
- Prior art keywords
- address
- communication
- network
- communication device
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークを介して接続されている通信装置が相互に通信を行う場合、必ず中継装置を介して通信を行うネットワークシステム及び通信方法に関する。 The present invention relates to a network system and a communication method that always communicate via a relay device when communication devices connected via a network communicate with each other.
昨今、インターネットの急速な普及により、一般ユーザにより使用されるパーソナルコンピュータ(以下、PC)へのウイルス、ワーム等の感染の拡大が社会問題になっている。すなわち、開かれた通信環境においては、セキュリティホールが放置されているPC、ウイルスパターンの更新を怠っているPC等が多々存在し、斯かるPCからのメール送信、ファイル共有等を介して、ウイルス、ワーム等の感染がネットワーク内に拡大している。 Recently, due to the rapid spread of the Internet, the spread of viruses, worms and other infections to personal computers (hereinafter referred to as PCs) used by general users has become a social problem. In other words, in an open communication environment, there are many PCs where security holes are left unattended, virus PCs that fail to update virus patterns, etc., and virus transmission via such mail transmission, file sharing, etc. Infections such as worms are spreading throughout the network.
斯かるウイルス、ワーム等の感染を未然に防止すべく、ファイアウォール、ルータによるパケットフィルタリング等を行い、ネットワークの外部からウイルス、ワーム等の侵入を阻止している。 In order to prevent such infections such as viruses and worms, packet filtering by a firewall and a router is performed to prevent the entry of viruses and worms from the outside of the network.
しかし、例えばイーサネット(登録商標)LANに接続されているPC同士で通信を行う場合、ルータを介することなく通信を行うことから、ファイアウォール、ルータによるパケットフィルタリング等を用いた場合であっても、ウイルス、ワーム等の侵入を阻止することができない。すなわち、可搬型記憶媒体による感染ファイルの持込、他のネットワーク接続時に感染した可搬型PCのLANへの接続等によるウイルス、ワーム等の侵入を阻止することができず、一旦感染した後は、これらを検知、駆除することは困難であり、時間経過とともにLAN内に蔓延してしまうという問題点があった。 However, for example, when communicating between PCs connected to an Ethernet (registered trademark) LAN, communication is performed without going through a router. Therefore, even when using firewall, packet filtering by a router, etc. , Can not prevent the intrusion of worms. In other words, it is not possible to prevent invasion of viruses, worms, etc. by bringing in infected files on portable storage media, connecting to a LAN of portable PCs infected when connected to other networks, etc. It is difficult to detect and remove these, and there is a problem that they spread in the LAN over time.
斯かる問題点に対応すべく、例えば特許文献1では、LAN内に接続されているスイッチングハブがパケットフィルタリングの機能を有することにより、論理的に同一ネットワーク内のPC同士の通信であっても、スイッチングハブを介する場合にはウイルス、ワーム等の侵入を阻止することができるネットワークシステムが開示されている。
In order to deal with such problems, for example, in
また、PPTP、PPPoE(Point to Point Protocol over Ethernet(登録商標))等ルータと端末と間に仮想的な専用回線を形成することで、すべての通信をルータ経由とする方法も標準プロトコルの1つとして開示されている。
しかし、上述したようなネットワークシステムでは、LAN内の任意のPC同士で通信を行う場合にも機能させようとすると、物理的に1つのPCに対して1つのスイッチングハブのポートが必要となり、ハブとしての機能を無駄にするばかりでなく、パケットフィルタリング機能を有する高価なスイッチングハブを大量に配設する必要があり、経済的な観点からも現実的な解決方法ではないという問題点があった。 However, in the network system as described above, if an attempt is made to function even when communication is performed between arbitrary PCs in the LAN, one switching hub port is physically required for one PC, and the hub As a result, it is necessary to dispose a large amount of expensive switching hubs having a packet filtering function, which is not a practical solution from an economical viewpoint.
また、仮想的な専用線を用いる場合、事前に各端末にソフトウェアを追加導入しておき、環境に応じた適切な設定を行う必要が生じることから、人件費等の経済的観点、又は利用者が利用可能になるまで初期設定時間に相当の時間を要するという時間的観点から、現実的ではないという問題点があった。 In addition, when using a virtual leased line, additional software must be installed in advance in each terminal, and it will be necessary to make appropriate settings according to the environment. From the time point of view that it takes a considerable amount of time for the initial setting time to become usable, there is a problem that it is not realistic.
本発明は斯かる事情に鑑みてなされたものであり、1つの物理ネットワークを仮想的に分割することにより、ネットワーク構成情報を記憶してある中継装置を必ず経由して通信装置相互間の通信を行うことができるネットワークシステム及び通信方法を提供することを目的とする。また、通信装置に事前にソフトウェアを追加導入したり特殊な設定を行うことなく、通信装置相互間の通信を行うことができるネットワークシステム及び通信方法を提供することを目的とする。 The present invention has been made in view of such circumstances. By virtually dividing one physical network, communication between communication devices is surely performed via a relay device that stores network configuration information. An object is to provide a network system and a communication method that can be performed. It is another object of the present invention to provide a network system and a communication method capable of performing communication between communication devices without additionally installing software in advance or performing special settings.
上記目的を達成するために第1発明に係るネットワークシステムは、相互に通信可能な複数の通信装置と、外部ネットワークと接続する中継装置とを備え、前記各通信装置及び前記中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有するネットワークシステムにおいて、前記通信装置と前記中継装置とは異なる前記アドレス分割情報を有し、前記通信装置間で通信する場合、前記中継装置を経由すべくなしてあることを特徴とする。 In order to achieve the above object, a network system according to a first aspect of the present invention includes a plurality of communication devices capable of communicating with each other and a relay device connected to an external network, and each of the communication devices and the relay device is unique. In a network system having an address and address division information for dividing the address into a network address part and a host address part, the communication apparatus and the relay apparatus have the address division information different from each other and communicate between the communication apparatuses In this case, the relay apparatus is configured to pass through the relay device.
第1発明に係るネットワークシステムでは、各通信装置及び中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有しており、通信装置と中継装置とは異なるアドレス分割情報を有し、各通信装置のネットワークアドレス部分の値は各通信装置固有のアドレス分割情報を用いてそれぞれ相異なっている。これにより、通信装置相互間で通信を行う場合、一の通信装置は他の通信装置が物理的に異なるネットワークに接続しているものと認識し、送信パケットは必ず中継装置に送信されることから、中継装置であるルータ、インテリジェントハブ等の構成を変更することなく、すべての通信についてパケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 In the network system according to the first invention, each communication device and relay device has a unique address and address division information for dividing the address into a network address portion and a host address portion. Have different address division information, and the value of the network address portion of each communication device is different from each other using the address division information unique to each communication device. As a result, when communicating between communication devices, one communication device recognizes that the other communication device is physically connected to a different network, and the transmission packet is always transmitted to the relay device. In addition, it is possible to perform audit processing such as packet filtering for all communications without changing the configuration of routers, intelligent hubs, etc., which are relay devices, so that safe and reliable communications can be performed.
一方、中継装置は、通信装置とは異なるアドレス分割情報を有しており、中継装置の有するアドレス分割情報で分割された各通信装置のアドレスのネットワークアドレス部分は、中継装置と同一のネットワークに接続しているものと認識される。よって、通信装置が送信するパケットは必ず中継装置に送られ、中継装置において破棄又は書き換え等を行うことが可能となる。また、中継装置が通信装置にパケットを直接送信することも可能となる。 On the other hand, the relay device has address division information different from that of the communication device, and the network address portion of each communication device address divided by the address division information of the relay device is connected to the same network as the relay device. It is recognized that Therefore, the packet transmitted by the communication device is always sent to the relay device, and can be discarded or rewritten in the relay device. It is also possible for the relay device to directly transmit a packet to the communication device.
さらに、通信装置の一部は、中継装置と同じアドレス分割情報を有していても良い。これにより、すべての通信が中継装置を経由する通信装置と、直接他の通信装置にパケットを送信可能な中継装置とを混在させることも可能となる。 Further, a part of the communication device may have the same address division information as the relay device. As a result, a communication device in which all communications pass through the relay device and a relay device that can directly transmit packets to other communication devices can be mixed.
また、第2発明に係るネットワークシステムは、第1発明において、一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスを、一のネットワークアドレス部分とする情報であることを特徴とする。 In the network system according to a second aspect of the present invention, in the first aspect, the address division information possessed by one communication apparatus is information having a unique address possessed by the one communication apparatus as one network address part. It is characterized by that.
第2発明に係るネットワークシステムでは、一の通信装置が有するアドレス分割情報により、一の通信装置が有する固有のアドレスは、全体が一のネットワークアドレス部分として認識される。これにより、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 In the network system according to the second aspect of the invention, the unique address possessed by one communication device is recognized as one network address part as a whole by the address division information possessed by one communication device. Thereby, since one communication apparatus determines that the network is configured by only one communication apparatus and a relay apparatus, even if one communication apparatus communicates with another communication apparatus, Communication is always performed via the relay device, and audit processing such as packet filtering can be performed, so that safe and reliable communication can be performed.
また、第3発明に係るネットワークシステムは、第1発明において、一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むようにしてあることを特徴とする。 The network system according to a third aspect of the present invention is the network system according to the first aspect, wherein the address division information possessed by one communication device has a network address portion of a unique address possessed by the one communication device in a power of 2 An address is included.
第3発明に係るネットワークシステムでは、一の通信装置が有するアドレス分割情報は、一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むよう構成してある。これにより、2のべき乗個のホストアドレスを含むネットワークアドレス部分に他の通信装置が存在しない場合、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 In the network system according to the third aspect of the invention, the address division information possessed by one communication apparatus is configured such that the network address portion of the unique address possessed by one communication apparatus includes a power of two host addresses. As a result, if there is no other communication device in the network address portion including the power-of-two host address, the one communication device determines that the network is composed of only one communication device and a relay device. Therefore, even when one communication device communicates with another communication device, it is always possible to communicate via a relay device and perform audit processing such as packet filtering, which is safe and reliable. Communication can be performed.
また、第4発明に係る通信方法は、相互に通信可能な複数の通信装置と、外部ネットワークと接続する中継装置とを備え、前記各通信装置及び前記中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有するネットワーク上での通信方法において、前記通信装置と前記中継装置とは異なる前記アドレス分割情報を有し、前記通信装置間で通信する場合、前記中継装置を経由することを特徴とする。 According to a fourth aspect of the present invention, a communication method includes a plurality of communication devices that can communicate with each other and a relay device that is connected to an external network. Each of the communication devices and the relay device has a unique address and the address. In a communication method on a network having address division information for dividing a network address portion and a host address portion, the communication device and the relay device have different address division information and communicate between the communication devices. , Via the relay device.
第4発明に係る通信方法では、各通信装置及び中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有しており、通信装置と中継装置とは異なるアドレス分割情報を有し、各通信装置のネットワークアドレス部分の値は各通信装置固有のアドレス分割情報を用いてそれぞれ相異なっている。これにより、通信装置相互間で通信を行う場合、一の通信装置は他の通信装置が物理的に異なるネットワークに接続しているものと認識し、送信パケットは必ず中継装置に送信されることから、中継装置であるルータ、インテリジェントハブ等の構成を変更することなく、すべての通信についてパケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 In the communication method according to the fourth aspect of the invention, each communication device and relay device has a unique address and address division information for dividing the address into a network address portion and a host address portion. Have different address division information, and the value of the network address portion of each communication device is different from each other using the address division information unique to each communication device. As a result, when communicating between communication devices, one communication device recognizes that the other communication device is physically connected to a different network, and the transmission packet is always transmitted to the relay device. In addition, it is possible to perform audit processing such as packet filtering for all communications without changing the configuration of routers, intelligent hubs, etc., which are relay devices, so that safe and reliable communications can be performed.
一方、中継装置は、通信装置とは異なるアドレス分割情報を有しており、中継装置の有するアドレス分割情報で分割された各通信装置のアドレスのネットワークアドレス部分は、中継装置のアドレスのネットワーク部分と同一となることから、中継装置にとっては、各通信装置は同一のネットワークに接続しているものと認識される。よって、通信装置が送信するパケットは必ず中継装置に送られ、中継装置において破棄又は書き換え等を行うことが可能となる。また、中継装置が通信装置にパケットを直接送信することも可能となる。 On the other hand, the relay device has address division information different from that of the communication device, and the network address portion of the address of each communication device divided by the address division information of the relay device is the network portion of the address of the relay device. Since they are the same, it is recognized by the relay device that each communication device is connected to the same network. Therefore, the packet transmitted by the communication device is always sent to the relay device, and can be discarded or rewritten in the relay device. It is also possible for the relay device to directly transmit a packet to the communication device.
さらに、通信装置の一部は、中継装置と同じアドレス分割情報を有していても良い。これにより、すべての通信が中継装置を経由する通信装置と、直接他の通信装置にパケットを送信可能な中継装置とを混在させることも可能となる。 Further, a part of the communication device may have the same address division information as the relay device. As a result, a communication device in which all communications pass through the relay device and a relay device that can directly transmit packets to other communication devices can be mixed.
また、第5発明に係る通信方法は、第4発明において、一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスを、一のネットワークアドレス部分とする情報であることを特徴とする。 In the communication method according to a fifth aspect based on the fourth aspect, the address division information possessed by one communication apparatus is information having a unique address possessed by the one communication apparatus as one network address part. It is characterized by that.
第5発明に係る通信方法では、一の通信装置が有するアドレス分割情報により、一の通信装置が有する固有のアドレスは、全体が一のネットワークアドレス部分として認識される。これにより、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 In the communication method according to the fifth aspect of the present invention, the unique address possessed by one communication device is recognized as one network address part as a whole by the address division information possessed by one communication device. Thereby, since one communication apparatus determines that the network is configured by only one communication apparatus and a relay apparatus, even if one communication apparatus communicates with another communication apparatus, Communication is always performed via the relay device, and audit processing such as packet filtering can be performed, so that safe and reliable communication can be performed.
また、第6発明に係る通信方法は、第4発明において、一の通信装置が有する前記アドレス分割情報は、前記一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むことを特徴とする。 The communication method according to a sixth aspect of the present invention is the communication method according to the fourth aspect of the present invention, wherein the address division information possessed by one communication device has a network address portion of a unique address possessed by the one communication device and is a power of 2 hosts It includes an address.
第6発明に係る通信方法では、一の通信装置が有するアドレス分割情報は、一の通信装置が有する固有のアドレスのネットワークアドレス部分が、2のべき乗個のホストアドレスを含むようにしてある。これにより、2のべき乗個のホストアドレスを含むネットワークアドレス部分に他の通信装置が存在しない場合、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 In the communication method according to the sixth aspect of the invention, the address division information possessed by one communication device is such that the network address portion of the unique address possessed by one communication device includes a power of 2 host addresses. As a result, if there is no other communication device in the network address portion including the power-of-two host address, the one communication device determines that the network is composed of only one communication device and a relay device. Therefore, even when one communication device communicates with another communication device, it is always possible to communicate via a relay device and perform audit processing such as packet filtering, which is safe and reliable. Communication can be performed.
第1発明及び第4発明によれば、通信装置相互間で通信を行う場合、一の通信装置は他の通信装置が物理的に異なるネットワークに接続しているものと認識し、送信パケットは必ず中継装置に送信されることから、中継装置であるルータ、インテリジェントハブ等の構成を変更することなく、すべての通信についてパケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 According to the first and fourth inventions, when communicating between communication devices, one communication device recognizes that another communication device is connected to a physically different network, and the transmission packet is always Since it is transmitted to the relay device, it is possible to perform audit processing such as packet filtering for all communications without changing the configuration of routers, intelligent hubs, etc. that are relay devices, ensuring safe and reliable communication. Can be done.
また、第2発明及び第5発明によれば、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 According to the second and fifth inventions, since one communication apparatus determines that the network is composed of only one communication apparatus and a relay apparatus, one communication apparatus is another communication apparatus. Even if the communication is performed, it is always possible to communicate via the relay device and to perform an audit process such as packet filtering, and it is possible to perform a safe and reliable communication.
また、第3発明及び第6発明によれば、2のべき乗個のホストアドレスを含むネットワークアドレス部分に他の通信装置が存在しない場合、一の通信装置は、ネットワークが一の通信装置と中継装置とのみで構成されていると判断することから、一の通信装置が他の通信装置と通信を行う場合であっても、必ず中継装置を経由して通信し、パケットフィルタリング等の監査処理を行うことができ、安全で、しかも確実な通信を行うことが可能となる。 According to the third and sixth inventions, when there is no other communication device in the network address part including the power-of-two host addresses, one communication device is a communication device and a relay device with one network. Therefore, even if one communication device communicates with another communication device, it always communicates via the relay device and performs audit processing such as packet filtering. It is possible to perform secure and reliable communication.
以下、本発明をその実施の形態を示す図面に基づいて具体的に説明する。 Hereinafter, the present invention will be specifically described with reference to the drawings showing embodiments thereof.
(実施の形態1)
図1は、本発明の実施の形態1に係るネットワークシステムの全体構成を説明するブロック図である。なお、本実施の形態1では、イーサネット(登録商標)を用いて接続されるLAN環境を想定しており、一の中継装置であるルータ1と、ルータ1の管理対象となる複数の通信装置2、2、・・・とが、LAN3を介して接続してある。また、ルータ1は、通信回線4を介してインターネット5に接続してあり、外部ネットワークと接続可能となしてある。オペレーティングシステムとして、通信装置2、2、・・・にはウィンドウズ(登録商標)(R)が導入してある。
(Embodiment 1)
FIG. 1 is a block diagram illustrating the overall configuration of a network system according to
図2は、ルータ1の構成を示すブロック図である。ルータ1は、少なくともCPU11、RAM12、及び通信インタフェース13a、13bからなり、RAM12は、通信のアドレスを制御する情報を制御するアドレス分割情報を記憶してあるルーティングテーブル121と、コンピュータウィルス、ワーム等の検出、駆除等に用いるフィルタリングテーブル122を備えている。
FIG. 2 is a block diagram showing the configuration of the
CPU11は、内部バス14を介してルータ1の上述したようなハードウェア各部と接続されており、上述したハードウェア各部を制御するとともに、RAM12に格納されたルーティングテーブル121に従って、通信パケットの送信先を特定し、フィルタリングテーブル122に従って、異常なパケットの存在を検出、除去等を行う。
The CPU 11 is connected to the above-described hardware units of the
RAM12は、ソフトウェアの実行時に発生する一時的なデータも記憶する。通信インタフェース13aは、内部バス14に接続されており、通信回線4を介して異なるネットワーク環境との通信パケット情報の送受信を行う。通信インタフェース13bは、内部バス14に接続されており、LAN3を介して同一ネットワーク内の通信パケット情報の送受信を行う。
The
図3は、通信装置2の構成を示すブロック図である。通信装置2は、少なくともCPU21、記憶装置22、RAM23、表示部24、入力部25、補助記憶装置26及び通信インタフェース27からなり、記憶装置22は、オペレーティングシステム、制御プログラム及び通信のアドレスを制御する情報を制御するアドレス分割情報を記憶してある。通信装置2に記憶しているアドレス分割情報は、具体的にはネットマスク情報であり、固有のアドレスであるIPアドレスをネットワークアドレス部分とホストアドレス部分とに分割する。アドレス分割情報は、各通信装置2ごとにその内容が相違する。
FIG. 3 is a block diagram illustrating a configuration of the
CPU21は、内部バス28を介して通信装置2の上述したようなハードウェア各部と接続されており、上述したハードウェア各部を制御するとともに、ハードディスク等の記憶装置22に格納された制御プログラム又は補助記憶装置26を介してCD−ROM、DVD等の(可搬型)記録媒体を用いて記憶装置22へ導入された制御プログラムに従って、種々のソフトウェア的機能を実行する。また、記憶装置22に格納されたアドレス分割情報を用いてネットワークアドレス部分を算出し、同一ネットワークと認識された装置間でデータの送受信を行う。
The
RAM23は、DRAM等で構成され、ソフトウェアの実行時に発生する一時的なデータを記憶する。
The
表示部24は、液晶表示装置、CRTディスプレイ等の表示装置であり、通信状態を表示したり、ユーザへ操作入力を促す画面を表示したり、画像データの表示等を行う。入力部25は、通信装置2を操作するために必要な文字キー、テンキー、各種のファンクションキー等を備えたキーボード、マウス等の入力媒体である。
The
通信インタフェース27は、内部バス28に接続されており、外部からの通信パケット情報の送受信を、LAN3を介して行う。
The
以下、上述した構成のネットワークシステムにおける通信装置2、2間の通信処理の動作について説明する。図4は、本発明の実施の形態1に係るネットワークシステムにおける通信装置2、2、・・・及びルータ1とのIPアドレスの関係を示す図である。
The operation of communication processing between the
図4では、ルータ1の通信インタフェース13a、13bに適用されるネットワーク構成情報は、従来の設定と相違しない。すなわち、接続するLAN3のIPアドレスは、192.168.1.0〜192.168.1.255の256個であり、LAN3に接続する機器は、192.168.1.1〜192.168.1.254の範囲のいずれかのIPアドレスを有する。なお、ルータ1を示すIPアドレスとして、192.168.1.1を割り当てる。
In FIG. 4, the network configuration information applied to the
ルータ1がDHCPサーバ機能を有し、オペレーティングシステムとしてウィンドウズ(登録商標)(R)が稼働する通信装置2aに対してIPアドレスを自動的に割り当てる場合、192.168.1.2〜192.168.1.254から未使用のIPアドレスを1つ、例えば192.168.1.50を選ぶ。通信装置2aのIPアドレスを192.168.1.50と指定するとともにネットマスクを255.255.255.255とし、デフォルトゲートウェイのアドレス192.168.1.1を通信装置2aに送信する。
When the
このようにすることで、例えば通信装置2aがIPパケットを送信しようとする場合、送信先が通信装置2aである場合を除いて、異なる物理ネットワークに接続しているものと判断される。例えば通信装置2bが送信先である場合、通信装置2aの接続するネットワークは、ネットマスク255.255.255.255であるので192.168.1.50〜192.168.1.50のサイズを有するネットワークであるものと認識される。そこで、通信装置2bのIPアドレス192.168.1.51に対しては、ネットワークアドレスが相違すると判断されることから、直接通信することができない。よって、IPパケットはデフォルトゲートウェイ192.168.1.1に転送され、ルータ1に到着する。
In this way, for example, when the communication device 2a attempts to transmit an IP packet, it is determined that the communication device 2a is connected to a different physical network except when the transmission destination is the communication device 2a. For example, when the
したがって、通信装置2aから他の通信装置2、2、・・・へ送信を行なう場合であっても、必ずルータ1を経由して通信を行なうことから、ルータ1において通信パケットをフィルタリングテーブル122の設定に従って監査し、正常なデータであると確認できた後、本来の送信先のIPアドレスに通信パケットをルーティングすることができる。
Therefore, even when transmission is performed from the communication device 2 a to the
通信装置2aにとって、デフォルトゲートウェイ192.168.1.1は直接接続したネットワーク192.168.1.50〜192.168.1.50の範囲内には存在しない。しかし、ウィンドウズ(登録商標)(R)のようにネットワーク構成情報の妥当性検査を行なわないオペレーティングシステムでは、デフォルトゲートウェイとして設定されたIPアドレスに無条件で送信される。よって、送信元の通信装置2aは、LAN3で直接接続されている他の通信装置2bにパケットを送信する場合においても、必ずルータ1を経由して通信を行なうことができ、ルータ1において通信パケットに対してパケットフィルタリング等の処理を行なうことが可能となる。
For the communication apparatus 2a, the default gateway 192.168.1.1 does not exist within the range of the directly connected network 192.168.1.50 to 192.168.1.50. However, in an operating system that does not validate network configuration information, such as Windows (registered trademark) (R), it is transmitted unconditionally to the IP address set as the default gateway. Therefore, even when the transmission source communication device 2 a transmits a packet to another
したがって、LANに外部から持ち込まれたウイルス、ワーム等が感染している通信装置2aが、物理ネットワークが同一であるLAN上に接続されている他の通信装置2bと通信を行う場合であっても、必ずルータ1における監査処理を経由することになり、ルータ1に通信パケットが到達した時点で、ウイルス、ワーム等を駆除する等の適切な処理を実行することができ、より安全で、しかも確実な通信を行うことが可能となる。
Therefore, even when the communication device 2a infected with a virus, a worm, etc. brought into the LAN from the outside communicates with another
(実施の形態2)
本実施の形態2では、実施の形態1と同様、イーサネット(登録商標)を用いて接続されるLAN環境を想定しており、一の中継装置であるルータ1と、ルータ1の管理対象となる複数の通信装置2、2、・・・とが、LAN3を介して接続してある。また、ルータ1は通信回線4を介してインターネット5に接続してあり、外部ネットワークと接続可能となしてある。オペレーティングシステムとして、通信装置2、2、・・・にはリナックスが導入してある。なお、オペレーティングシステムとしては、リナックスに限定されるものではなく、ネットワーク構成情報の確認を行うオペレーティングシステム、例えばMacOSX(R)であってもよい。
(Embodiment 2)
In the second embodiment, as in the first embodiment, a LAN environment connected using Ethernet (registered trademark) is assumed, and the
以下、上述した構成のネットワークシステムにおける通信装置2、2、・・・間の通信処理の動作について説明する。図5は、本発明の実施の形態2に係るネットワークシステムにおける通信装置2、2、・・・及びルータ1とのIPアドレスの関係を示す図である。
The operation of communication processing between the
図5に示すように、ルータ1の通信インタフェース13に適用されるネットワーク構成情報は、従来の設定と相違しない。すなわち、接続するLAN3のIPアドレスは、192.168.1.0〜192.168.1.255の256個であり、LAN3に接続する機器は192.168.1.1〜192.168.1.254の範囲のいずれかのIPアドレスを有する。ルータ1を示すIPアドレスとして192.168.1.1を割り当てる。
As shown in FIG. 5, the network configuration information applied to the
ルータ1がDHCPサーバ機能を有し、通信装置2aに対してIPアドレスを自動的に割り当てる場合、192.168.1.5〜192.168.1.253から未使用のIPアドレスを1つ、192.168.1.n(n=4m+1、ただしm、nは自然数)を割り当てる。例えば、192.168.1.5を選ぶ通信装置2aのIPアドレスを192.168.1.5と指定するとともに、ネットマスクを255.255.255.252とし、デフォルトゲートウェイのアドレスとしてIPアドレスの末尾に1を加えた192.168.1.6を通信装置2aに送信する。また、IPアドレス192.168.1.k(k=4m、4m+1、4m+2、4m+3、ただしk、mは自然数)は他の通信装置2、2、・・・には割り当てない。
When the
このようにすることで、例えば通信装置2aがIPパケットを送信しようとする場合、送信先が通信装置2aである場合を除いて、送信先は異なる物理ネットワークに接続しているものと判断される。例えば、通信装置2bが送信先である場合、通信装置2aの接続するネットワークは、ネットマスク255.255.255.252であるので192.168.1.4〜192.168.1.7のサイズ4のネットワークであると見倣される。他の通信装置2、2、・・・のアドレスは、斯かる範囲外のアドレスが割り当てられている。したがって、通信装置2bのIPアドレス192.168.1.9は直接通信できないネットワークであると判断され、通信装置2aはIPパケットをデフォルトゲートウェイ192.168.1.6に対して転送する。
By doing so, for example, when the communication device 2a attempts to transmit an IP packet, it is determined that the transmission destination is connected to a different physical network, except when the transmission destination is the communication device 2a. . For example, when the
アドレス192.168.1.6を有する機器はLAN3上に存在しないが、通信装置2aが192.168.1.6を探すべくARP要求をLAN3上で行う場合、中継装置1が、中継装置1のMACアドレスMRで応答する。したがって、通信装置2aは、MRがデフォルトルータのMACアドレスであると見倣し、MR宛にパケットを送信する。
A device having the address 192.168.1.6 does not exist on the
したがって、通信装置2aから他の通信装置2、2、・・・へ送信を行う場合であっても、必ずルータ1を経由して通信を行うことから、ルータ1において通信パケットをフィルタリングテーブル122の設定に従って監査し、正常なデータであると確認できた後、本来の送信先のIPアドレスに通信パケットをルーティングすることができる。
Therefore, even when transmission is performed from the communication device 2 a to the
これにより、リナックスのようにネットワーク構成情報の妥当性検査を行うオペレーティングシステムであっても、送信元の通信装置2aは、接続する物理ネットワークに自分自身、デフォルトルータ、及び未使用アドレス2つのみが存在すると誤って認識することから、送信元の通信装置2aは、LAN3で直接接続されている通信装置2bにパケットを送信する場合においても、必ずルータ1を経由して通信を行い、ルータ1において通信パケットに対してパケットフィルタリング等の処理を行なうことが可能となる。
As a result, even in the case of an operating system that validates network configuration information like Linux, the transmission source communication device 2a has only itself, a default router, and two unused addresses in the connected physical network. Since it is erroneously recognized as being present, the transmission source communication device 2a always communicates via the
したがって、LAN3に外部から持ち込まれたウイルス、ワーム等が感染している通信装置2aが送信元として、LAN3に接続されている他の通信装置2bに対して通信を行う場合であっても、必ずルータ1における監査処理を経由することになり、ルータ1へ通信パケットが到達した時点でウイルス、ワーム等を駆除する等の適切な処理を実行することができ、より安全で、しかも確実な通信を行うことが可能となる。
Therefore, even when a communication device 2a infected with a virus, a worm or the like brought into the
なお、本実施の形態2では、1つの通信装置が4つのIPアドレスを有するネットワークに含まれるように通信装置側のネットワーク構成情報に認識されている場合について説明しているが、1つの論理ネットワークに含まれるアドレスの個数は4つに限定されるものではなく、2以上でネットワークマスキングが可能な個数、すなわち2のべき乗であれば何でも良い。ただし、1つの論理ネットワークに含まれるアドレスのうち、通信装置に割り当て可能なものは1つのみであり、他は未使用とする必要がある。 In the second embodiment, a case where one communication apparatus is recognized in the network configuration information on the communication apparatus side so as to be included in a network having four IP addresses has been described. The number of addresses included in is not limited to four, but may be any number that can be network masked by two or more, that is, a power of two. However, among the addresses included in one logical network, only one address can be assigned to the communication device, and the others need not be used.
なお、本実施の形態1及び2では、ルータ1が通信パケットの監査機能を有する場合について説明しているが、監査処理はルータ1で行うことに限定されるものではなく、専用の監視装置をLAN3上に別途設けるものであっても良い。この場合、送信元である通信装置は、監視装置のIPアドレスへ送信するものと認識するようネットワーク構成情報を設定する。
In the first and second embodiments, the case where the
(実施の形態3)
本実施の形態3では、実施の形態2と同様、イーサネット(登録商標)を用いて接続されるLAN環境を想定しており、一の中継装置であるルータ1と、ルータ1の管理対象である通信装置2、2、・・・がLAN3を介して接続してある。また、ルータ1は通信回線4を介してインターネット5に接続してあり、外部のネットワークと接続可能となっている。オペレーティングシステムとして、通信装置2aにはリナックスが、通信装置2bにはウィンドウズ(登録商標)が導入してある。通信装置2cはスキャナ装置である。
(Embodiment 3)
As in the second embodiment, the third embodiment assumes a LAN environment that is connected using Ethernet (registered trademark), and is a
以下、上述した構成のネットワークシステムにおける通信装置2、2、・・・間の通信処理の動作について説明する。図6は本発明の実施の形態3に係るネットワークシステムにおける通信装置2、2、・・・及びルータ1とのIPアドレスの関係を示す図である。
The operation of communication processing between the
図6では、ルータ1の通信インタフェース13に適用されるネットワーク構成情報は、従来の設定と相違しない。すなわち、接続するLAN3のIPアドレスは、192.168.1.0〜192.168.1.255の256個であり、LAN3に接続する機器は、192.168.1.1〜192.168.1.254の範囲のいずれかのIPアドレスを有する。ルータ1を示すIPアドレスとして、192.168.1.1を割り当てる。
In FIG. 6, the network configuration information applied to the
ルータ1内のアドレス割り当てテーブルは、ウィンドウズ(登録商標)(R)用領域として192.168.1.50〜192.168.1.127(ネットマスク255.255.255.255)、その他のOS用領域として192.168.1.128〜192.168.1.251(ネットマスク255.255.255.252)、適用外機器用領域として192.168.1.2〜192.168.1.49、適用外機器MACアドレスとしてMcが登録されている。
The address assignment table in the
ルータ1がDHCPサーバ機能を有し、通信装置2aに対してIPアドレスを自動的に割り当てる場合、通信装置2からのDHCP要求に含まれるオペレーティングシステム情報によってウィンドウズ(登録商標)であることを知ることができる。よって、ルータ1は192.168.1.50〜192.168.1.127から未使用のIPアドレスを1つ、例えば192.168.1.50を選ぶ。ルータ1は通信装置2aのIPアドレスを192.168.1.50と指定するとともにネットマスクを255.255.255.255とし、デフォルトゲートウェイのアドレスとして192.168.1.1を通信装置2aに送信する。
When the
ルータ1がDHCPサーバ機能を有し、通信装置2bに対してIPアドレスを自動的に割り当てる場合、通信装置2からのDHCP要求に含まれるオペレーティングシステム情報によってリナックスであることを知ることができる。そこで、192.168.1.128〜192.168.1.251から未使用のIPアドレスを1つ、192.168.1.n(n=4m+1、ただしm、nは自然数)を割り当てる。例えば192.168.1.129を選ぶルータ1は、通信装置2bのIPアドレスを192.168.1.129と指定するとともにネットマスクを255.255.255.252とし、デフォルトゲートウェイのアドレスとしてIPアドレスの末尾に1を加えた192.168.1.130を通信装置2bに送信する。また、IPアドレス192.168.1.128〜192.168.1.131は他の通信装置2、2、・・・には割り当てない。
When the
ルータ1がDHCPサーバ機能を有し、通信装置2cに対してIPアドレスを自動的に割り当てる場合、通信装置2からのDHCP要求に含まれる送信元MACアドレス情報がMcであるので、適用外機器と知ることができる。そこで、192.168.1.2〜192.168.1.49から未使用のIPアドレスを1つ、例えば192.168.1.2を選ぶ。ルータ1は通信装置2bのIPアドレスを192.168.1.2と指定するとともにネットマスクを255.255.255.0とし、デフォルトゲートウェイのアドレス192.168.1.1を通信装置2cに送信する。このネットワーク構成情報は、従来の設定と相違しない。
When the
このようにすることで、通信装置2a及び2bがIPパケットを送信しようとする場合、送信先が自身である場合を除いて、送信先は異なる物理ネットワークに接続しているものと判断され、ルータ1を経由して送信される。通信装置2cがIPパケットを送信しようとする場合は、送り先がLAN3に接続していれば直接送信され、それ以外であればルータ1に送られる。
In this way, when the
したがって、複数のオペレーティングシステムが導入された通信装置2、2、・・・が混在するネットワークシステムにおいても、ルータ1でのパケット監査が必要な装置にだけ、すべてのパケット送信をルータ1経由で行うことが可能となる。
Therefore, even in a network system in which
よって、LAN3に外部から持ち込まれたウィルス、ワーム等が感染している通信装置2aが送信元として、LAN3に接続されている他の通信装置2bに対して通信を行なう場合であっても、必ずルータ1における監査処理を経由することになり、ルータ1へ通信パケットが到着した時点でウィルス、ワーム等の発信したパケットであることを識別して破棄する等の適切な処理を実行することができ、より安全で、しかも確実な通信を行なうことが可能となる。また、ウィルス、ワーム等と無縁な通信装置2cは他の通信装置に直接パケットを送ることを可能とすることで、ルータ1の負荷を軽減することも可能となる。
Therefore, even when a communication device 2a infected with a virus, a worm or the like brought into the
1 ルータ
2、2a、2b、2c 通信装置
3 LAN
11、21 CPU
12、23 RAM
13a、13b、27 通信インタフェース
14、28 内部バス
22 記憶装置
24 表示部
25 入力部
26 補助記憶装置
1
11, 21 CPU
12, 23 RAM
13a, 13b, 27
Claims (6)
前記各通信装置及び前記中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有するネットワークシステムにおいて、
前記通信装置と前記中継装置とは異なる前記アドレス分割情報を有し、前記通信装置間で通信する場合、前記中継装置を経由すべくなしてあることを特徴とするネットワークシステム。 A plurality of communication devices capable of communicating with each other and a relay device connected to an external network,
In each of the communication devices and the relay device, a network system having a unique address and address division information for dividing the address into a network address portion and a host address portion.
The network system, wherein the communication device and the relay device have different address division information, and are communicated between the communication devices via the relay device.
前記各通信装置及び前記中継装置は、固有のアドレスと、該アドレスをネットワークアドレス部分及びホストアドレス部分に分割するアドレス分割情報を有するネットワーク上での通信方法において、
前記通信装置と前記中継装置とは異なる前記アドレス分割情報を有し、前記通信装置間で通信する場合、前記中継装置を経由することを特徴とする通信方法。 A plurality of communication devices capable of communicating with each other and a relay device connected to an external network,
In the communication method on the network, each communication device and the relay device each have a unique address and address division information for dividing the address into a network address portion and a host address portion.
A communication method characterized in that the communication device and the relay device have different address division information, and when communication is performed between the communication devices, the communication device passes through the relay device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004143819A JP2005328281A (en) | 2004-05-13 | 2004-05-13 | Network system and communication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004143819A JP2005328281A (en) | 2004-05-13 | 2004-05-13 | Network system and communication method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005328281A true JP2005328281A (en) | 2005-11-24 |
Family
ID=35474279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004143819A Pending JP2005328281A (en) | 2004-05-13 | 2004-05-13 | Network system and communication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005328281A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012010169A (en) * | 2010-06-25 | 2012-01-12 | Nec Access Technica Ltd | Radio communication network connection system, and radio communication network connection method |
WO2015092956A1 (en) * | 2013-12-19 | 2015-06-25 | International Business Machines Corporation | Virtual machine network controller |
-
2004
- 2004-05-13 JP JP2004143819A patent/JP2005328281A/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012010169A (en) * | 2010-06-25 | 2012-01-12 | Nec Access Technica Ltd | Radio communication network connection system, and radio communication network connection method |
WO2015092956A1 (en) * | 2013-12-19 | 2015-06-25 | International Business Machines Corporation | Virtual machine network controller |
US9300580B2 (en) | 2013-12-19 | 2016-03-29 | International Business Machines Corporation | Virtual machine network controller |
US9363176B2 (en) | 2013-12-19 | 2016-06-07 | International Business Machines Corporation | Virtual machine network controller |
US9577929B2 (en) | 2013-12-19 | 2017-02-21 | International Business Machines Corporation | Virtual machine network controller |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7474655B2 (en) | Restricting communication service | |
JP4500806B2 (en) | Method and apparatus for configuring a router port | |
US7792990B2 (en) | Remote client remediation | |
JP5062967B2 (en) | Network access control method and system | |
JP5090408B2 (en) | Method and apparatus for dynamically controlling destination of transmission data in network communication | |
WO2009087702A1 (en) | Virtual machine execution program, user authentication program and information processor | |
JP2005197823A (en) | Illegitimate access control apparatus between firewall and router | |
JP2009278635A (en) | Firewall with stateful inspection | |
JP6793056B2 (en) | Communication equipment and systems and methods | |
JP2009177841A (en) | Network appliance and control method thereof | |
US20070130624A1 (en) | Method and system for a pre-os quarantine enforcement | |
JP2021111396A (en) | Security for container network | |
KR20130124692A (en) | System and method for managing filtering information of attack traffic | |
KR101076683B1 (en) | Apparatus and method for splitting host-based networks | |
JP2007517305A (en) | Flexible network security system and network security method permitting reliable processes | |
JPWO2004114599A1 (en) | Device connection method in a network and network system using the same | |
JP2008271242A (en) | Network monitor, program for monitoring network, and network monitor system | |
US7551559B1 (en) | System and method for performing security actions for inter-layer binding protocol traffic | |
JP2005193590A (en) | Printing device | |
JP2010239591A (en) | Network system, relay device, and method of controlling network | |
JP4895793B2 (en) | Network monitoring apparatus and network monitoring method | |
JP2007052550A (en) | Computer system and information processing terminal | |
WO2019123523A1 (en) | Communication device, communication system, communication control method, and program | |
JP2005328281A (en) | Network system and communication method | |
TWI732708B (en) | Network security system and network security method based on multi-access edge computing |