JP2006094416A - 加入者回線収容装置およびパケットフィルタリング方法 - Google Patents

加入者回線収容装置およびパケットフィルタリング方法 Download PDF

Info

Publication number
JP2006094416A
JP2006094416A JP2004280486A JP2004280486A JP2006094416A JP 2006094416 A JP2006094416 A JP 2006094416A JP 2004280486 A JP2004280486 A JP 2004280486A JP 2004280486 A JP2004280486 A JP 2004280486A JP 2006094416 A JP2006094416 A JP 2006094416A
Authority
JP
Japan
Prior art keywords
address
packet
subscriber line
dynamic
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004280486A
Other languages
English (en)
Inventor
Takeshi Sato
壮 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004280486A priority Critical patent/JP2006094416A/ja
Priority to CA002520182A priority patent/CA2520182A1/en
Priority to US11/231,827 priority patent/US7680106B2/en
Priority to SG200506162A priority patent/SG121174A1/en
Priority to SG200803643-6A priority patent/SG143261A1/en
Priority to CN2005101199403A priority patent/CN1756239B/zh
Priority to KR20050090194A priority patent/KR100758859B1/ko
Priority to BRPI0504190 priority patent/BRPI0504190A/pt
Publication of JP2006094416A publication Critical patent/JP2006094416A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • H04L12/2861Point-to-multipoint connection from the data network to the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】加入者回線に接続された通信端末に対して送出されるパケットを効率的にフィルタリングすることが可能な加入者回線収容装置およびパケットフィルタリング方法を得る。
【解決手段】加入者回線収容装置102内のDHCP処理部168は、加入者回線収容装置に加入者回線を介して接続された通信端末がIPアドレスの割り当てを要求したときに得られたアドレス情報を基にして動的出力管理テーブル171を作成している。アップリンク回線130等を経て加入者回線収容装置102に到来したすべてのパケットは動的出力フィルタ部167でパケットの種類に応じてIPアドレス等と照合されるフィルタリング処理が行われ、これを通過したパケットが更に静的出力フィルタ部166でフィルタリングされて、インターフェイス回路部161を介して図示しないユーザ端末に送出される。
【選択図】図5

Description

本発明は、パケットを加入者回線終端装置に終端された加入者回線に接続された通信端末に送出する際に使用する加入者回線収容装置およびパケットの送出の際のパケットフィルタリング方法に関する。
電話回線や光ケーブル等の伝送路を介してそれぞれのユーザ端末がインターネット等の通信ネットワークに接続する際にDHCP(Dynamic Host Configuration Protocol)を使用するサービス形態が広く採用されるようになってきている。ここでDHCPとは、再利用可能なIP(Internet Protocol)アドレスの動的割り当てを行うプロトコルをいう。
ところが、DHCPを用いた通信ネットワークでは、第三者がIPアドレスやMAC(Media Access Control)アドレスを詐称して、他人の通信を妨害したり、他人に成りすますことができるという問題がある。
たとえば、DHCPを用いた通信ネットワークを構成する加入者回線終端装置のブリッジフォワーダでフラッディングの対象となるパケットを受信したような場合には、同一ネットワーク上に存在するすべてのノードにこれらのパケットが送信される。このため、本来通信の対象とならないユーザ端末にまで不要なパケットが送信されてトラフィックが増大する。
しかも、DHCPを用いた通信ネットワークではユーザ端末に動的にIPアドレスが割り当てられるため、静的なフィルタをあらかじめ登録しておいて不要なパケットを排除することができない。
そこで、加入者回線収容装置に収容された回線に接続したユーザ端末のすべてのMACアドレスを登録しておき、これらのMACアドレスのいずれとも異なる通信端末がネットワークにアクセスしようとしたときには、これを拒否するようにすることでセキュリティを向上するが提案されている(たとえば特許文献1参照)。
この第1の提案によれば、IPアドレスを詐称することで、第三者が他人の通信を妨害したり、他人に成りすますことができるという問題が残る。
このような問題を解消するために、IPパケットを使用して第三者が不正に通信ネットワークへのアクセスを要求してきたような場合に、これを拒否することのできる加入者回線収容装置が提案されている(たとえば非特許文献1参照)。
この第2の提案では、IPパケットがDHCPサーバに到来してIPアドレスの取得が要求されたとき、これに対してIPアドレスを発行すると共に、発行するIPアドレスとIPアドレスの取得の要求があった加入者回線の識別番号および要求した通信端末のMACアドレスの組をフィルタ条件登録手段に登録しておく。そして、パケットが到来したときにはフィルタ条件登録手段に登録されたIPアドレスと識別番号およびMACアドレスの組と一致するパケットのみにパケット通信を許可するようにしている。これにより、IPアドレス等のアドレス情報が一致しても加入者回線の識別番号が一致しないパケットについては通信を許可しないので、不正アクセスを効果的に防止することができる。
特開2002−204246号公報(第0038〜第0040段落、図8)。 Cisco−Cable Source.Verify and IP Address Security(http://www.cisco.com/warp/public/109/source_verify.html)
しかしながら、この第2の提案では、入力フィルタによってパケットの入力を規制するだけであり、不要なデータの出力を規制することができない。
そこで本発明の目的は、加入者回線に接続された通信端末に対して送出されるパケットを効率的にフィルタリングすることが可能な加入者回線収容装置およびパケットフィルタリング方法を提供することにある。
請求項1記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った動的アドレスがアドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
すなわち請求項1記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する動的アドレスをアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す動的アドレスからなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、動的アドレスが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
請求項2記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットの宛先を示す絶対アドレスと動的アドレスの対からなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った絶対アドレスと動的アドレスの対がアドレス情報取得手段の取得した絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
すなわち請求項2記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる対をパケット情報として読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスの対が実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
請求項3記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットからその宛先を示す絶対アドレスと動的アドレスおよび加入者回線番号からなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った絶対アドレスと動的アドレスおよび加入者回線番号がアドレス情報取得手段の取得した絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
すなわち請求項3記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスおよび加入者回線番号の組み合わせが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
請求項4記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別手段と、(ニ)この関連アドレス解析パケット判別手段が関連アドレス解析パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、(ホ)このパケット情報読取手段の読み取った動的アドレスがアドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、(へ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
すなわち請求項4記載の発明では、動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットを加入者回線収容装置から送出する場合を扱っている。これ以外は請求項1記載の発明と同様である。
請求項14記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段に接続された通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った動的アドレスが加入者回線終端手段にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスのいずれかに一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
すなわち請求項14記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する動的アドレスをアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す動的アドレスからなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、動的アドレスが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
請求項15記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスが加入者回線終端手段に接続された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
すなわち請求項15記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる対をパケット情報として読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスの対が実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
請求項16記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスおよび加入者回線番号が加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
すなわち請求項16記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスおよび加入者回線番号の組み合わせが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
請求項17記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットが、これら通信端末に対して動的に割り当てられたアドレスとしての動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別ステップと、(ロ)この関連アドレス解析パケット判別ステップで関連アドレス要求パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ハ)このパケット情報読取ステップで読み取った動的アドレスが加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末のいずれかに割り当てられた動的アドレスと一致するか否かを判別するアドレス情報一致有無判別ステップと、(ニ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
すなわち請求項17記載の発明では、動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットを加入者回線収容装置から送出する場合を扱っている。これ以外は請求項14記載の発明と同様である。
このように本発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられた動的アドレスを加入者回線収容装置が少なくとも把握しておき、パケットをこれらの通信端末に送出するときにこれが一致するかを送出の1つの要件としているので、たとえMACアドレス等の絶対アドレスを取得した第三者からのパケットであっても、動的アドレスが一致しなければ送出を拒否することができる。このため、宛先の存在しないパケットの送出によるトラヒックの増大を防止することができる。
以下実施例につき本発明を詳細に説明する。
<システムの概要>
図1は、本実施例の加入者回線収容装置を使用したマルチキャスト情報配信システムの概要を表わしたものである。このマルチキャスト情報配信システム100は、ADSL(Asymmetric Digital Subscriber Line)と呼ばれる非対称ディジタル加入者回線を使用している。マルチキャスト情報配信システム100は、それぞれの加入者宅に配置されたユーザスプリッタ1011〜101Mと加入者回線収容装置102とを、DSL加入者回線1031〜103Mで接続している。各ユーザスプリッタ1011〜101Mには、それぞれ電話機1041〜104MとADSLモデム1051〜105Mのうちの対応するものが接続されている。ADSLモデム1051〜105Mには、ホームページの閲覧等の各種のデータ処理を行うためのパーソナルコンピュータ1061〜106Mがそれぞれ接続される他、セットトップボックス1071〜107Mを介してテレビジョン番組を視聴するためのインターネットテレビジョン(TV)1081〜108Mがそれぞれ接続されている。
加入者回線収容装置102は、音声交換機112と接続されており、公衆電話交換網(PSTN:Public Switched Telephone Network)113と接続されるようになっている。また、加入者回線収容装置102はルータ114を介してインターネット等のパケット通信を行うためのパケット通信ネットワーク115に接続されている。パケット通信ネットワーク115には、各ユーザのインターネットテレビジョン108に対して各種のテレビジョン番組を配信させるための番組配信用サーバ116が接続されている。
図2は、加入者回線収容装置とその周辺の構成を示したものである。本実施例で加入者回線収容装置102は、1つのシステム当たりで最大で1920回線を収容できるようになっている。
加入者回線収容装置102は、ADSLモデム1051〜1051920とDSL加入者回線1031〜1031920を介して接続されるスプリッタユニット1221〜1221920を備えている。このうちのスプリッタユニット1221を代表的に説明する。スプリッタユニット1221は、DSL加入者回線1031を介して送られてきた信号1231を、音声周波数帯域の電話信号1241と、これよりも高い所定の周波数帯域のADSL信号1251に分離する。電話信号1241は、回線交換用の音声交換機112に送られることになる。
これに対して、スプリッタユニット1211によって分離されたADSL信号1251は、対応するDSL加入者回線終端ユニット(Line Termination Unit:LTU)1271の図示しない初段部分で変復調され、ATMセルが取り出されて、バックプレーンバス128を介して複合中継ユニット(IGU)131に入力される。複合中継ユニット131の詳細は後に説明する。DSL加入者回線終端ユニット1271は最大で32回線等の所定数の回線に対応したDSLトランシーバモジュール(後に説明するDSP(Digital Signal Processor))を備えており、DSL加入者回線1031〜1031920を使用して、インターネットに接続するためのインターフェイスとしてのアップリンク回線130を介して上り方向(図1におけるパケット通信ネットワーク115の方向)に高速のデータ通信を行う他、下りデータを受信して変調し、DSL加入者回線1031〜1031920に送出するようになっている。
図3は、加入者回線収容装置の要部のシステム構成を表わしたものである。加入者回線収容装置102は、図2で説明したDSL加入者回線終端ユニット(LTU)1271〜127Jを備えており、これらは複合中継ユニット131の一端側に接続されている。複合中継ユニット131はインターネットに接続するためのインターフェイス機能を有しており、その他端側には、アップリンク回線130が接続されている。
複合中継ユニット131は、加入者回線収容装置102の全体的な制御や監視等を行う装置制御部132と、バックプレーン(Backplane)のインターフェイスを行うバックプレーンIF(インターフェイス)回路133、ATM(Asynchronous Transfer Mode)セルの組み立てや分解を行うATM SAR(Asynchronous Transfer Mode Segmentation and Reassembly)134、およびレイヤ2の転送を行い、MACアドレス(Media Access Control Address)を基にパケットを仕分けるブリッジフォワーダ135を配置している。ATMセルは、ATM SAR134とDSL加入者回線終端ユニット1271〜127Jの間で伝送され、アップリンク回線130の入出力部分ではイーサネット(登録商標)のフレームが伝送される。
図4は、複合中継ユニットのハードウェアとしての回路構成の概要を表わしたものである。複合中継ユニット131は、装置制御CPU(Central Processing Unit)141とネットワークプロセッサ142の2つのプロセッサと、フラッシュROM(Read Only Memory)143、SDRAM(Synchronous Dynamic Random Access Memory)144および不揮発性RAM(Random Access Memory)145からなるメモリ群と、特定用途向けの集積回路としてのASIC(Application Specific Integrated Circuit)からなるバックプレーンIF回路133ならびに図示しないLSI(Large Scale Integration)で構成されるGbE(Gigabit Ethernet(登録商標)) IF(interface)回路147を備えている。
ここで、装置制御CPU141は、装置の管理や通信あるいはコンフィグレーションの設定に関する制御を行う。ネットワークプロセッサ142は、内蔵CPU151およびATM SAR134を備えた高速の通信用プロセッサである。このネットワークプロセッサ142を使用して、図3に示したブリッジフォワーダ135をソフトウェア的に実現し、これによるフレームの受信、宛先の判別、宛先への送信等の処理が実行される。バックプレーンIF回路133は、回線との間のバスの制御等の回線に関する各種制御を、ギガビット単位で送られてくるフレームの高速処理を行うために、ハードウェアで実現している。バックプレーンIF回路133は、DSL加入者回線終端ユニット1271〜127Jを個々にポーリングによって処理している。
図5は、この複合中継ユニットの主要な機能ブロックを示したものである。複合中継ユニット131は、図2に示したDSL加入者回線終端ユニット1271〜127Jにそれぞれ対応して配置された第1〜第Jのインターフェイス回路部1611〜161Jを備えている。ブリッジフォワーダ135と第1〜第Jのインターフェイス回路部1611〜161Jの間には、入力パケットバイパス部1621〜162Jと、動的入力フィルタ部1631〜163Jおよび静的入力フィルタ部1641〜164Jからなる直列回路と、出力パケットバイパス部1651〜165Jと、静的出力フィルタ部1661〜166Jおよび動的出力フィルタ部1671〜167Jからなる直列回路とが接続されている。DHCP(Dynamic Host Configuration Protocol)処理部168は、入力パケットバイパス部1621〜162Jおよび出力パケットバイパス部1651〜165Jに接続されている。この図で、第1〜第Jのインターフェイス回路部1611〜161Jは、図3におけるブリッジフォワーダ135よりもDSL加入者回線終端ユニット1271〜127J側の回路部分を総括的に表わしたものである。
入力パケットバイパス部1621〜162Jは、入力されたパケットをDHCP処理部168に進むものと動的入力フィルタ部1631〜163Jに進むものとに仕分けるようになっている。動的入力フィルタ部1631〜163Jは、時間的に変動する動的なアドレス情報を使用して受信したパケットのフィルタリングを行う。これに対して静的入力フィルタ部1641〜164Jは、時間的に変動しない静的なアドレス情報を使用して受信したパケットの更なるフィルタリングを行う。同様に、静的出力フィルタ部1661〜166Jは、静的なアドレス情報を使用して、ユーザ端末方向に送出されるパケットの静的なフィルタリングを行う。動的出力フィルタ部1671〜167Jは、これら送出されるパケットの動的なフィルタリングを行う。出力パケットバイパス部1651〜165Jは、静的出力フィルタ部1661〜166Jから送られてきたパケットあるいはDHCP処理部168から出力されるパケットを第1〜第Jのインターフェイス回路部1611〜161Jのうちの対応するものに与え、該当するユーザ端末に送出させるようになっている。
<フィルタリング処理>
図6は、動的出力フィルタ部に内蔵された動的出力管理テーブルの一部を表わしたものである。動的出力管理テーブル171には、ユーザ端末のそれぞれについての割り当てられたIPアドレス、MACアドレスおよび加入者回線番号をリストアップしている。
ところで、各加入者端末のユーザ(DHCPクライアント)は、DHCPサーバにIPアドレスを要求して、DHCPサーバ側にあらかじめ確保しているIPアドレスの割り当てを受けることができる。このとき、図5に示したDHCP処理部168側では、割り当てたIPアドレスと、そのユーザ端末に関するMACアドレスおよび加入者回線番号を取得することができる。
図7は、DHCP処理部による動的出力管理テーブルの更新処理の様子を表わしたものである。DHCP処理部168はDHCPサーバに対してIPアドレスの割当要求に基づいた割り当てが完了するたびに(ステップS301:Y)、そのユーザ端末のアドレス情報を取得する(ステップS302)。そして、得られたアドレス情報としてのIPアドレス、MACアドレスおよび加入者回線番号を、図6に示した動的出力管理テーブル171に登録し(ステップS303)。その内容のフィルタリングを行うための出力フィルタエントリを1つ追加する(ステップS304)。
ところでDHCPサーバはIPアドレスを、リース期間を設定してそれぞれのユーザ端末に割り当てるようにしている。したがって、それぞれのIPアドレス単位にリース期間が満了するまでの期間を逐次チェックして(ステップS305)、満了すれば(Y)、その出力フィルタエントリを削除する(ステップS306)。これは、リース期間内でのみパケットの送出を許すようにするためである。
図8および図9は、動的出力フィルタ部によるパケットの送出制御の様子を表わしたものである。図4に示した複合中継ユニット131内の前記した装置制御CPU141が所定の制御プログラムを実行することで、この処理を行う。もちろん、同一の制御論理をハードウェアで実現することも可能である。
装置制御CPU141は該当するユーザ端末に送信するパケットが到来するのを監視している(図8ステップS321)。このようなパケットがアップリンク回線130や図5に示す静的入力フィルタ部1641〜164J等から図3に示すブリッジフォワーダ135に送られてきたら(Y)、まず、そのパケットのイーサ(イーサネット(登録商標))ヘッダ内の「Type」フィールドの情報を読み出す(ステップS322)。そして、これが「0x0806」であれば、その送出するパケットがARP(Address Resolution Protocol)パケットであることが分かる(ステップS323:Y)。
ここでARPパケットについて説明する。イーサネット(登録商標)上での通信は、たとえその上位の通信でIPアドレスを使用しても、最終的にはMACアドレスを使用した通信が行われる。そこで、MACアドレスを取得するために、IPアドレスをパケットにセットして、同一ネットワーク上の全ノードにブロードキャストするARPパケットが存在している。
このように関連アドレスを解析する関連アドレス解析パケットとしてのARPパケットの存在により、第三者がIPアドレスからMACアドレスを取得するということが可能になる。つまり、他人のARPパケットをキャプチャ(監視)することによって、IPアドレスとMACアドレスの組を知ることも可能である。したがって、不正なアクセスをより簡単に行うことができる。
送出するパケットがARPパケットであると判別された場合には(ステップS323:Y)、更に、そのパケットのイーサヘッダ内の「Destination Address」フィールドを読み出す(ステップS324)。そしてこれが図6に示した動的出力管理テーブル171に登録した「MACアドレス」あるいはマルチキャストアドレスまたはブロードキャストアドレスと同一であるかどうかをチェックする(ステップS325)。同じでなければ(N)、宛先のユーザ端末が存在しないことになるので、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄される(ステップS326)。
これに対して、ステップS325で同一のアドレスが動的出力管理テーブル171に存在した場合には(Y)、そのパケットの「Target Protocol Address」フィールドを読み出す(ステップS327)。そして、これが、動的出力管理テーブル171に登録された「IPアドレス」と同一であるかどうかをチェックする(ステップS328)。同一であれば(Y)、そのパケットは静的出力フィルタ部1661〜166Jのうちの該当するものに送られて、従来から行われているような静的なフィルタリングが行われる(ステップS329)。同一ではなかった場合(ステップS328:N)、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄されることになる(ステップS326)。
図9は、図8のステップS323でイーサヘッダ内の「Type」フィールドが「0x0806」ではなかった場合(N)、すなわち送出するパケットがARPパケットではなった場合の処理を示したものである。この場合、「Type」フィールドが「0x0800」であるかどうかのチェックが行われる(図9ステップS330)。「Type」フィールドが「0x0800」の場合には、そのパケットはIPパケットである。そこでこの場合には(Y)、送信するそのパケットのイーサヘッド内の「Destination Address」を読み出す(ステップS331)。そして、これが動的出力管理テーブル171に登録された「MACアドレス」と同一であるかどうかをチェックする(ステップS332)。同一であれば(Y)、そのIPパケットの「Destination Address」を再度読み出すか、読み出したものをチェックして(ステップS333)、これが動的出力管理テーブル171に登録された「IPアドレス」と同一であるかどうかをチェックする(図8ステップS328)。この後の処理についてはすでに説明した。
一方、図9のステップS332で「MACアドレス」と同一ではないと判別された場合には(N)、イーサヘッド内の「Destination Address」がマルチキャストアドレスまたはブロードキャストアドレスと同一であるかどうかのチェックが行われる(ステップS334)。この結果、同一であれば(Y)、図8のステップS329に進んで静的なフィルタリングが行われることになる。それ以外の場合には(図9ステップS334:N)、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄される(図8ステップS326)。
また、図9のステップS330で「Type」フィールドが「0x0800」ではないとされた場合(N)、そのパケットは静的出力フィルタ部1661〜166Jのうちの対応するものに送られることになる。すなわち、この場合には送出するパケットがARPパケットでもIPパケットでもない他のパケットの場合である。そこで本実施例ではその処理を動的出力フィルタ部1671〜167Jでは行わず、静的出力フィルタ部1661〜166Jの処理に任せることにしている(図8ステップS329)。静的出力フィルタ部1661〜166Jは、たとえばこのようなパケットを廃棄することになる。
このようにして静的出力フィルタ部1661〜166Jに送られたパケットは、ここで更に必要なフィルタリングが行われ、出力パケットバイパス部1651〜165Jから第1〜第Jのインターフェイス回路部1611〜161Jのうちの対応するものを通過して、宛先のユーザ端末に送信されることになる。
なお、以上説明した実施例では、DHCP処理部が加入者回線収容装置の内部に存在して、これにより取得したIPアドレス等のアドレス情報を基にして動的出力管理テーブルを作成する場合を説明したが、これに限るものではない。たとえば、DHCP処理部あるいはDHCPサーバが加入者回線収容装置の外に独立して存在し、その代わりに加入者回線収容装置の内部にはこれと通信して必要な情報を取得するDHCPリレーエージェントが配置されていてもよい。この場合には、DHCPリレーエージェントを介して取得したアドレス情報を基にして、動的出力管理テーブルを作成することになる。また、加入者回線収容装置の内部にDHCPリレーエージェントが存在しない場合でも、DHCP処理が行われる場合には、複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段を備えた加入者回線収容装置の内部にこれらのアドレス情報を伝送するパケット自体が流れること自体は確かである。したがって、これらのアドレス情報をスプーフするスプーフィング手段を加入者回線収容装置の内部に配置することで、同様に動的出力管理テーブルを作成することができる。
また、以上説明した実施例では、加入者回線はDSL回線の場合を説明したが、加入者回線終端手段に接続されるものであればこれに限るものではない。たとえば、光ファイバケーブルを使用した回線に対しても本発明を同様に適用することができる。また、実施例ではIPアドレスやMACアドレスをフィルタの条件としてチェックすることにしたが、名称の如何を問わず動的アドレスや絶対アドレスを用いて同様に出力フィルタとしての機能を持たせることができることも当然である。
更に実施例では動的出力管理テーブル171に登録した内容と照合することで、送出するパケットのフィルタリングを行うことにしたが、このような特別のテーブルを設けずに、同様のフィルタリングを行うようにする場合も本発明が適用されることは当然である。
本実施例でテレビジョン映像を視聴するためのマルチキャスト情報配信システムの概要を表わしたシステム構成図である。 本実施例で加入者回線収容装置とその周辺の回路構成の概要を示したブロック図である。 本実施例で加入者回線収容装置の要部のシステム構成を表わしたブロック図である。 本実施例で複合中継ユニットのハードウェア構成の概要を表わしたブロック図である。 本実施例で複合中継ユニットの主要な機能ブロックを示したブロック図である。 本実施例で動的出力フィルタ部に内蔵された動的出力管理テーブルの一部を表わした説明図である。 本実施例のDHCP処理部による動的出力管理テーブルの更新処理の様子を表わした流れ図である。 本実施例の動的出力フィルタ部によるパケットの送出制御の前半を表わした流れ図である。 本実施例の動的出力フィルタ部によるパケットの送出制御の後半を表わした流れ図である。
符号の説明
100 マルチキャスト情報配信システム
102 加入者回線収容装置
103 DSL加入者回線
127 DSL加入者回線終端ユニット
130 アップリンク回線
135 ブリッジフォワーダ
141 装置制御CPU
142 ネットワークプロセッサ
167 動的出力フィルタ部
168 DHCP処理部
171 動的出力管理テーブル

Claims (17)

  1. 複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
    この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、
    前記通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、
    このパケット情報読取手段の読み取った動的アドレスが前記アドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、
    このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
    とを具備することを特徴とする加入者回線収容装置。
  2. 複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
    この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するアドレス情報取得手段と、
    前記通信端末のいずれかに送出するパケットの宛先を示す前記絶対アドレスと動的アドレスの対からなるパケット情報を読み取るパケット情報読取手段と、
    このパケット情報読取手段の読み取った絶対アドレスと動的アドレスの対が前記アドレス情報取得手段の取得した絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別手段と、
    このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
    とを具備することを特徴とする加入者回線収容装置。
  3. 複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
    この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するアドレス情報取得手段と、
    前記通信端末のいずれかに送出するパケットからその宛先を示す前記絶対アドレスと動的アドレスおよび前記加入者回線番号からなるパケット情報を読み取るパケット情報読取手段と、
    このパケット情報読取手段の読み取った絶対アドレスと動的アドレスおよび加入者回線番号が前記アドレス情報取得手段の取得した絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別手段と、
    このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
    とを具備することを特徴とする加入者回線収容装置。
  4. 複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
    この加入者回線終端手段に終端された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、
    前記動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別手段と、
    この関連アドレス解析パケット判別手段が関連アドレス解析パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、
    このパケット情報読取手段の読み取った動的アドレスが前記アドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、
    このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
    とを具備することを特徴とする加入者回線収容装置。
  5. 前記動的アドレスはIPアドレスであることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
  6. 前記絶対アドレスはMACアドレスであることを特徴とする請求項2〜請求項4いずれかに記載の加入者回線収容装置。
  7. 前記関連アドレス解析パケットはARPパケットであることを特徴とする請求項4記載の加入者回線収容装置。
  8. ARPパケットは、ARP要求パケットあるいはARP応答パケットであることを特徴とする請求項7記載の加入者回線収容装置。
  9. 前記加入者回線はDSL回線であることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
  10. 前記加入者回線は光ファイバケーブルを使用した回線であることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
  11. 前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の内部に備えられていることを特徴とする請求項7記載の加入者回線収容装置。
  12. 前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の外部に備えられており、前記加入者回線終端手段の内部にはこのDHCPサーバに処理を委任するDHCPリレーエージェントが配置されていることを特徴とする請求項7記載の加入者回線収容装置。
  13. 前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の外部に備えられており、前記アドレス情報取得手段は、前記アドレス情報をスプーフするスプーフィング手段であることを特徴とする請求項7記載の加入者回線収容装置。
  14. 複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段に接続された通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
    このパケット情報読取ステップで読み取った動的アドレスが前記加入者回線終端手段にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスのいずれかに一致するか否かを判別するアドレス情報一致有無判別ステップと、
    このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
    とを具備することを特徴とするパケットフィルタリング方法。
  15. 複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
    このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスが前記加入者回線終端手段に接続された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別ステップと、
    このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
    とを具備することを特徴とするパケットフィルタリング方法。
  16. 複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取るパケット情報読取ステップと、
    このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスおよび加入者回線番号が前記加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別ステップと、
    このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
    とを具備することを特徴とするパケットフィルタリング方法。
  17. 複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットが、これら通信端末に対して動的に割り当てられたアドレスとしての動的アドレスを指定してこれに対応する絶対アドレスの解決を行う関連アドレス解決パケットであるかどうかを判別する関連アドレス解決パケット判別ステップと、
    この関連アドレス解決パケット判別ステップで関連アドレス解決パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
    このパケット情報読取ステップで読み取った動的アドレスが前記加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末のいずれかに割り当てられた動的アドレスと一致するか否かを判別するアドレス情報一致有無判別ステップと、
    このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
    とを具備することを特徴とするパケットフィルタリング方法。
JP2004280486A 2004-09-27 2004-09-27 加入者回線収容装置およびパケットフィルタリング方法 Pending JP2006094416A (ja)

Priority Applications (8)

Application Number Priority Date Filing Date Title
JP2004280486A JP2006094416A (ja) 2004-09-27 2004-09-27 加入者回線収容装置およびパケットフィルタリング方法
CA002520182A CA2520182A1 (en) 2004-09-27 2005-09-20 Subscriber line accommodation apparatus and packet filtering method
US11/231,827 US7680106B2 (en) 2004-09-27 2005-09-22 Subscriber line accommodation apparatus and packet filtering method
SG200506162A SG121174A1 (en) 2004-09-27 2005-09-26 Subscriber line accommodation apparatus and packetfiltering method
SG200803643-6A SG143261A1 (en) 2004-09-27 2005-09-26 Subscriber line accommodation apparatus and packet filtering method
CN2005101199403A CN1756239B (zh) 2004-09-27 2005-09-27 用户线路容纳设备和分组过滤方法
KR20050090194A KR100758859B1 (ko) 2004-09-27 2005-09-27 가입자 회선 수용장치 및 패킷 필터링 방법
BRPI0504190 BRPI0504190A (pt) 2004-09-27 2005-09-27 aparelho de acomodação de linha de assinante e método de filtragem de pacotes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004280486A JP2006094416A (ja) 2004-09-27 2004-09-27 加入者回線収容装置およびパケットフィルタリング方法

Publications (1)

Publication Number Publication Date
JP2006094416A true JP2006094416A (ja) 2006-04-06

Family

ID=36098991

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004280486A Pending JP2006094416A (ja) 2004-09-27 2004-09-27 加入者回線収容装置およびパケットフィルタリング方法

Country Status (7)

Country Link
US (1) US7680106B2 (ja)
JP (1) JP2006094416A (ja)
KR (1) KR100758859B1 (ja)
CN (1) CN1756239B (ja)
BR (1) BRPI0504190A (ja)
CA (1) CA2520182A1 (ja)
SG (2) SG143261A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4320603B2 (ja) * 2004-02-26 2009-08-26 日本電気株式会社 加入者回線収容装置およびパケットフィルタリング方法
JP2006094416A (ja) * 2004-09-27 2006-04-06 Nec Corp 加入者回線収容装置およびパケットフィルタリング方法
CN101083670B (zh) * 2006-06-02 2010-09-29 鸿富锦精密工业(深圳)有限公司 地址分配系统及方法
US7792942B1 (en) * 2007-01-31 2010-09-07 Alcatel Lucent DHCP server synchronization with DHCP proxy
US7894437B2 (en) * 2007-12-29 2011-02-22 Alcatel Lucent Determining transmission port in a GPON network
US8346171B1 (en) 2008-02-15 2013-01-01 Marvell International Ltd. Reducing interference between wireless networks
JP5074314B2 (ja) * 2008-07-07 2012-11-14 株式会社日立製作所 フレーム転送装置
JP5587085B2 (ja) * 2010-07-27 2014-09-10 パナソニック株式会社 通信システム、制御装置及び制御プログラム
JP5385872B2 (ja) * 2010-07-27 2014-01-08 パナソニック株式会社 通信制御装置、通信システム及びプログラム
KR101619371B1 (ko) * 2014-12-24 2016-05-10 주식회사 시큐아이 패킷 처리 방법 및 장치

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5204858A (en) * 1989-08-23 1993-04-20 Nec Corporation Address setting and filtering system for terminal accommodating circuits in a packet switching system
US5740375A (en) * 1996-02-15 1998-04-14 Bay Networks, Inc. Forwarding internetwork packets by replacing the destination address
JP3865454B2 (ja) 1997-04-17 2007-01-10 富士通株式会社 通信装置
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
KR19990061606A (ko) 1997-12-31 1999-07-26 전주범 케이블모뎀 시스템의 ip 어드레스 도용 방지 방법
US6195705B1 (en) * 1998-06-30 2001-02-27 Cisco Technology, Inc. Mobile IP mobility agent standby protocol
US6597689B1 (en) * 1998-12-30 2003-07-22 Nortel Networks Limited SVC signaling system and method
US6466571B1 (en) * 1999-01-19 2002-10-15 3Com Corporation Radius-based mobile internet protocol (IP) address-to-mobile identification number mapping for wireless communication
US7275113B1 (en) * 1999-05-27 2007-09-25 3 Com Corporation Dynamic network address configuration system and method
JP4137371B2 (ja) 2000-12-28 2008-08-20 富士通株式会社 アドレス管理装置及びアドレス管理方法
US6988148B1 (en) * 2001-01-19 2006-01-17 Cisco Technology, Inc. IP pool management utilizing an IP pool MIB
KR100424457B1 (ko) * 2001-08-29 2004-03-26 삼성전자주식회사 디지털 가입자 회선 가입자측 단말장치의 인터넷 프로토콜패킷 필터링방법
WO2003034687A1 (en) 2001-10-19 2003-04-24 Secure Group As Method and system for securing computer networks using a dhcp server with firewall technology
DE60139883D1 (de) 2001-11-29 2009-10-22 Stonesoft Oy Kundenspezifische Firewall
US6661780B2 (en) * 2001-12-07 2003-12-09 Nokia Corporation Mechanisms for policy based UMTS QoS and IP QoS management in mobile IP networks
JP2003204345A (ja) * 2002-01-08 2003-07-18 Nec Corp 通信システム、パケット中継装置、パケット中継方法、及び中継プログラム
US7054323B2 (en) * 2002-03-13 2006-05-30 Motorola, Inc. Method for packet data protocol context activation
US7324515B1 (en) * 2002-03-27 2008-01-29 Cisco Technology, Inc. Proxy addressing scheme for cable networks
US7174376B1 (en) * 2002-06-28 2007-02-06 Cisco Technology, Inc. IP subnet sharing technique implemented without using bridging or routing protocols
JP4232550B2 (ja) * 2002-07-01 2009-03-04 日本電気株式会社 ネットワーク情報検出装置および方法
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
WO2004025472A1 (en) 2002-09-11 2004-03-25 Wholepoint Corporation Security apparatus and method for protecting access to local area networks
US20040090970A1 (en) * 2002-11-11 2004-05-13 Sanchez Cheryl A. Distribution of data flows to local loop subscribers by an access multiplexer
US7864686B2 (en) * 2004-05-25 2011-01-04 Cisco Technology, Inc. Tunneling scheme for transporting information over a cable network
JP2006094416A (ja) * 2004-09-27 2006-04-06 Nec Corp 加入者回線収容装置およびパケットフィルタリング方法

Also Published As

Publication number Publication date
US20060067321A1 (en) 2006-03-30
KR20060051704A (ko) 2006-05-19
US7680106B2 (en) 2010-03-16
CN1756239A (zh) 2006-04-05
CN1756239B (zh) 2010-06-09
KR100758859B1 (ko) 2007-09-14
SG143261A1 (en) 2008-06-27
SG121174A1 (en) 2006-04-26
BRPI0504190A (pt) 2006-05-09
CA2520182A1 (en) 2006-03-27

Similar Documents

Publication Publication Date Title
US7860029B2 (en) Subscriber line accommodation device and packet filtering method
US8488569B2 (en) Communication device
JP4023240B2 (ja) ユーザ認証システム
KR20060051705A (ko) 가입자 회선 수용장치 및 패킷 필터링 방법
KR100758859B1 (ko) 가입자 회선 수용장치 및 패킷 필터링 방법
US6883094B2 (en) Communication device for monitoring datalink layer information and outputting data based on communication request information type
EP1748603B2 (en) A transmission method for message in layer 2 and an access device
US8416691B1 (en) Associating hosts with subscriber and service based requirements
US7564850B2 (en) Method for transmitting layer 2 packet and access device thereof
CN102075588A (zh) 一种实现网络地址转换nat穿越的方法、系统和设备
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
US8305920B2 (en) Method, system and terminal for determining QoS level
JP2009267987A (ja) 局側装置、ponシステムおよびホームゲートウェイ装置
JP2008010934A (ja) ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体
JPH09307580A (ja) 不正パケット防止方法およびブリッジ装置
KR20080065325A (ko) 동일 링크에 연결된 복수의 단말간 2계층 통신이이루어지지 않는 가입자액세스 장치에 있어서 단말간통신을 가능하게 하는 통신장치 및 방법
JP3898119B2 (ja) ファイアウォール多重装置およびパケット振分け方法
US20060072601A1 (en) Virtual IP interface
JP2003234753A (ja) エッジ・ブロードバンド・アクセス中継装置およびブロードバンドネットワークシステム
CN114500094A (zh) 一种访问方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070813

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090612

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090623

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091110