JP2007150615A - Network apparatus - Google Patents

Network apparatus Download PDF

Info

Publication number
JP2007150615A
JP2007150615A JP2005341195A JP2005341195A JP2007150615A JP 2007150615 A JP2007150615 A JP 2007150615A JP 2005341195 A JP2005341195 A JP 2005341195A JP 2005341195 A JP2005341195 A JP 2005341195A JP 2007150615 A JP2007150615 A JP 2007150615A
Authority
JP
Japan
Prior art keywords
type
packet processing
packet
processing
transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005341195A
Other languages
Japanese (ja)
Other versions
JP3976060B2 (en
Inventor
Yoko Yano
洋子 矢野
Mikio Komatsu
幹生 小松
Susumu Ito
享 伊藤
Yasuhiro Yanagi
康裕 柳
Toshinobu Kawasaki
利信 河崎
Satoshi Hirata
聡 平田
Hitoshi Nomura
仁志 野村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2005341195A priority Critical patent/JP3976060B2/en
Publication of JP2007150615A publication Critical patent/JP2007150615A/en
Application granted granted Critical
Publication of JP3976060B2 publication Critical patent/JP3976060B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To process packets according to the type of apparatus without imposing burden on a user. <P>SOLUTION: In the network apparatus 1, a controller 5 serving as a type discriminating means discriminates the type of apparatus connected through a transmission line (communication cable), and systems of processing packets made by the controller 5 as a packet processing means according to the type of apparatus at the sending side or the receiving side, i.e., the system for passing packets without processing them and the system for transferring them after processing packets concerning with the security such as virus check, etc. are automatically changed. As the result, it is unnecessary for a user to decide and set up the system of processing packet for every type of apparatus (first or second group) connected over the transmission line, thereby processing packets according to the type of apparatus without imposing burden on the user. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

データ伝送機能を有し少なくとも2つの種類に分類される複数の機器とそれぞれ伝送路を介して接続され、伝送路を介してパケットを受け取ったときに当該パケットに対して何らかの処理を行うネットワーク装置に関するものである。   The present invention relates to a network device that has a data transmission function and is connected to a plurality of devices classified into at least two types via transmission lines, and performs some processing on the packets when the packets are received via the transmission lines. Is.

近年、インターネットの普及に伴ってウイルスやワームなどの不正なプログラムや、DoS(Denial of Services:サービス距離攻撃)と呼ばれる不正なアクセスが急増しており、例えば、インターネットに接続されるパーソナルコンピュータには、ウイルスやワームなどの不正なプログラムを検出する機能(いわゆるウイルスチェック機能)などのセキュリティ機能が必須となっている。また、冷蔵庫やテレビ受像機などの機器にデータ伝送機能を付加して通信ケーブルのような伝送路に各機器を接続し、個々の機器間で伝送路を介したパケット交換を行ったり、あるいは伝送路に接続された外部の通信網(インターネットなど)から各機器を制御するといったことが行われている(例えば、特許文献1参照)。
特開2001−350676号公報 In recent years, with the spread of the Internet, unauthorized programs such as viruses and worms and unauthorized access called DoS (Denial of Services) have increased rapidly. For example, personal computers connected to the Internet have Security functions such as a function for detecting malicious programs such as viruses and worms (so-called virus check function) are essential. In addition, data transmission functions are added to devices such as refrigerators and television receivers, and each device is connected to a transmission line such as a communication cable, and packets are exchanged or transmitted between individual devices via the transmission line. Each device is controlled from an external communication network (such as the Internet) connected to a road (see, for example, Patent Document 1).
JP 2001-350676 A

ところで、コンピュータネットワークにおいては、利用者自らがパケットに対する処理(主にウイルスチェックなどのセキュリティに関する処理)の要否を判断して設定することが一般的に行われているが、上述のような機器を含むネットワークにおいては、パケットに対する処理機能を有する機器と有しない機器とが混在しており、パケット処理機能を有しない機器に代わってパケット処理を行うネットワーク装置が必要となる。   By the way, in a computer network, a user himself / herself generally determines and sets whether or not processing for packets (mainly security-related processing such as virus checking) is necessary. In a network including the above, a device having a packet processing function and a device having no packet processing function are mixed, and a network device that performs packet processing is required instead of a device that does not have a packet processing function.

しかしながら、従来のネットワーク装置においてはパケット処理の要否やパケット処理の内容等を機器の種類(例えば、パケット処理機能を有する機器と有しない機器など)に応じて変更するように利用者が設定しなければならず、個々の機器の機能やネットワークに関する知識が必要となるために利用者に大きな負担を強いるという問題があった。   However, in a conventional network device, the user must set so that the necessity of packet processing, the contents of packet processing, and the like are changed according to the type of device (for example, a device with and without a packet processing function). In other words, there is a problem that a large burden is imposed on the user because knowledge of functions and networks of individual devices is required.

本発明は上記事情に鑑みて為されたものであり、その目的は、利用者に負担をかけずに機器の種類に応じたパケット処理を行うことができるネットワーク装置を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a network device capable of performing packet processing according to the type of device without placing a burden on the user.

請求項1の発明は、上記目的を達成するために、データ伝送機能を有し少なくとも2つの種類に分類される複数の機器とそれぞれ伝送路を介して接続され、伝送路を介してパケットを受け取ったときに当該パケットに対して処理を行うネットワーク装置において、伝送路を介して接続された機器の種類を判別する種類判別手段と、種類判別手段で判別された機器の種類を記憶する記憶手段と、記憶手段を参照し送信元又は送信先の機器の種類に応じてパケットに対する処理の方式を変更するパケット処理手段とを備えたことを特徴とする。   In order to achieve the above object, the invention of claim 1 is connected to a plurality of devices having a data transmission function and classified into at least two types via a transmission line, and receives a packet via the transmission line. In the network device that processes the packet at the time, a type discriminating unit that discriminates the type of device connected through the transmission path, and a storage unit that stores the type of the device discriminated by the type discriminating unit And packet processing means for referring to the storage means and changing the processing method for the packet in accordance with the type of the source or destination device.

請求項2の発明は、請求項1の発明において、前記種類はパケット処理が必要な種類とパケット処理が不要な種類とを少なくとも含み、パケット処理手段は、送信元又は送信先の機器の種類がパケット処理を必要とする場合にパケット処理を行うことを特徴とする。   According to a second aspect of the present invention, in the first aspect of the present invention, the types include at least a type that requires packet processing and a type that does not require packet processing. Packet processing is performed when packet processing is required.

請求項3の発明は、請求項2の発明において、前記種類は個々にパケット処理の内容が異なる複数の種類を含み、パケット処理手段は、送信元又は送信先の機器の種類がパケット処理を必要とする場合に当該機器の種類に対応したパケット処理を行うことを特徴とする。   According to a third aspect of the present invention, in the second aspect of the present invention, the type includes a plurality of types having different packet processing contents, and the packet processing means requires that the type of the transmission source or transmission destination device be subjected to packet processing. In this case, packet processing corresponding to the type of the device is performed.

請求項4の発明は、請求項1〜3の何れかの発明において、前記種類はパケット処理が必要な種類とパケット処理が不要な種類とを少なくとも含み、パケット処理手段は、送信元又は送信先の機器の種類がパケット処理を不要とする場合にパケット処理を行わずにパケットを通過させることを特徴とする。   According to a fourth aspect of the present invention, in any one of the first to third aspects, the types include at least a type that requires packet processing and a type that does not require packet processing, and the packet processing means includes a transmission source or a transmission destination. When the type of the device does not require packet processing, the packet is passed without performing packet processing.

請求項1の発明によれば、伝送路を介して接続された機器の種類を判別し、送信元又は送信先の機器の種類に応じてパケットに対する処理の方式が自動的に変更されるので、伝送路を介して接続される機器の種類毎に利用者がパケット処理の方式を判断して設定する必要がなく、利用者に負担をかけずに機器の種類に応じたパケット処理を行うことができる。   According to the invention of claim 1, since the type of the device connected through the transmission path is determined, and the processing method for the packet is automatically changed according to the type of the source or destination device, It is not necessary for the user to determine and set the packet processing method for each type of device connected via the transmission line, and packet processing corresponding to the device type can be performed without imposing a burden on the user. it can.

請求項2の発明によれば、パケット処理が必要である機器に対して、利用者がパケット処理の要否を意識せずに自動的にパケット処理を行うことができる。   According to the second aspect of the present invention, it is possible to automatically perform packet processing on a device that requires packet processing without the user being aware of whether or not packet processing is necessary.

請求項3の発明によれば、パケット処理が必要である機器の種類に応じて、利用者がパケット処理の要否を意識せずに自動的にパケット処理を行うことができる。   According to the invention of claim 3, the packet processing can be automatically performed by the user without being aware of the necessity of the packet processing according to the type of the device that needs the packet processing.

請求項4の発明によれば、パケット処理が不要である機器宛のパケットを自動的に通過させることで伝送速度の低下を抑えることができる。   According to the invention of claim 4, it is possible to suppress a decrease in transmission speed by automatically passing a packet addressed to a device that does not require packet processing.

本実施形態のネットワーク装置1は、いわゆるハブとして構成されており、それぞれに伝送路となる通信ケーブル(例えば、カテゴリー5e又は6のLANケーブルなど)を介してデータ伝送機能を有する機器M1j,M2k(j=1,2,…,m、k=1,2,…,l)が接続される複数の通信ポート部2i(i=1,2,…,n−1,n)と、同じく伝送路となる通信ケーブルを介して上位のネットワーク機器であるルータRと接続される通信ポート部3と、通信ポート部2i,3間の伝送経路を切り換えるパケット交換部4と、CPUを主構成要素としパケット交換部4を制御して伝送経路を切り換えさせる機能(経路切換機能)を有する制御部5と、通信ケーブルを介して各通信ポート部2i,3に接続されている複数の機器M1j,M2k並びにルータRのMAC(Media Access Conrol:媒体アクセス制御)アドレスや後述する機器M1j,M2kの種類を記憶するための記憶部6とを備えている。このネットワーク装置1の例としてあげたハブ(集線装置)は、通信のセキュリティを管理するためにMIB(Management Information Base)と称する情報を利用する。MIBとは、SNMP(Simple Network Management Protocol)で管理されるノードが、自分の状態を外部に知らせるために公開する情報のことであり、RFC 1156として規定されているMIB1以外に、RFC 1213で規定されていて現在では一般的に広く使用されているMIB2が有る。このようなMIBは、ネットワーク経路を通じてネットワーク装置1に収集されて利用可能となったり、予めネットワーク装置1に記録媒体経由で記憶更新されて使用される。なお、ルータRは光ファイバケーブルや電話回線等の伝送媒体を介してインターネットと接続されており、インターネットからのパケット及び機器M1j,M2kからインターネットへのパケットは全てルータRを経由して伝送される。 The network device 1 of the present embodiment is configured as a so-called hub, and each of the devices M1 j and M2 having a data transmission function via a communication cable (for example, a category 5e or 6 LAN cable) serving as a transmission path. a plurality of communication port units 2 i (i = 1, 2,..., n−1, n) to which k (j = 1, 2,..., m, k = 1, 2 ,. Similarly, a communication port unit 3 connected to a router R, which is a higher-level network device, via a communication cable serving as a transmission path, a packet switching unit 4 for switching a transmission path between the communication port units 2 i and 3, and a CPU are mainly used. A control unit 5 having a function (path switching function) for switching the transmission path by controlling the packet switching unit 4 as a constituent element, and a plurality of devices connected to the communication port units 2 i and 3 via a communication cable M1 j M2 k and routers R of MAC: and a storage unit 6 for storing the type of the device M1 j, M2 k to (Media Access conrol media access control) address or later. The hub (concentrator) given as an example of the network device 1 uses information called MIB (Management Information Base) in order to manage communication security. The MIB is information that a node managed by SNMP (Simple Network Management Protocol) discloses in order to inform the outside of its state, and is defined by RFC 1213 in addition to MIB 1 defined as RFC 1156. Currently, there is a MIB 2 that is generally widely used. Such MIB is collected and made available to the network device 1 through the network path, or is stored and updated in advance in the network device 1 via a recording medium. The router R is connected to the Internet via a transmission medium such as an optical fiber cable or a telephone line, and all packets from the Internet and packets from the devices M1 j and M2 k to the Internet are transmitted via the router R. Is done.

通信ポート部2i,3は、通信ケーブルの先端に設けられているRJ−45のモジュラプラグが挿抜自在に接続されるモジュラジャックを具備している。また、パケット交換部4は多数のスイッチ要素を具備し、制御部5の制御下でスイッチ要素を駆動することにより任意の1つの通信ポート部2i又は3と他の1乃至複数の通信ポート部2i又は3との間の伝送経路を切り換えるものである。記憶部6は不揮発性メモリからなり、各通信ポート部2iに接続されている機器M1j,M2k並びに通信ポート部3に接続されているルータRのMACアドレスを各通信ポート部2i,3と対応させて記憶している。但し、通信ポート部2i,3に接続されている機器M1j,M2kやルータRのMACアドレスを取得する方法については従来周知であるから詳細な説明は省略する。 The communication port portions 2 i and 3 include a modular jack to which an RJ-45 modular plug provided at the tip of the communication cable is detachably connected. The packet switching unit 4 includes a large number of switch elements, and by driving the switch elements under the control of the control unit 5, any one communication port unit 2 i or 3 and one or more other communication port units The transmission path between 2 i and 3 is switched. Storage unit 6 is a nonvolatile memory, the communication port unit 2 i to connected devices M1 j, M2 k and the communication port unit the MAC address of the router R which is connected to the communication port unit 3 2 i, 3 is stored correspondingly. However, since a method for acquiring the MAC addresses of the devices M1 j and M2 k connected to the communication port units 2 i and 3 and the router R is well known in the art, a detailed description thereof will be omitted.

制御部5は、通信ポート部2i,3からパケット交換部4に入ってくるパケットの送信先のアドレス(MACアドレス)を監視しており、例えば、通信ポート部3から入ってきたパケットの送信先のアドレスを記憶部6に記憶しているMACアドレスと照合し、送信先のアドレスと一致するMACアドレスの機器(例えば、M11)が接続されている通信ポート部21と通信ポート部3との間にのみ伝送経路が形成されるようにパケット交換部4を制御し、形成された伝送経路を介してパケットを通信ポート部21に送り出させている。なお、上述のパケット交換処理はハブの一般的な機能である。 The control unit 5 monitors the address (MAC address) of the transmission destination of the packet that enters the packet switching unit 4 from the communication port units 2 i and 3. For example, the control unit 5 transmits the packet that has entered from the communication port unit 3. The communication port unit 2 1 and the communication port unit 3 to which the device (for example, M1 1 ) of the MAC address that matches the destination address is compared with the MAC address stored in the storage unit 6 and matched with the destination address. only the transmission path controls the packet switching unit 4 so as to form, thereby fed a packet to the communication port unit 2 1 through the formed transmission paths between. Note that the packet switching process described above is a general function of the hub.

ところで、本実施形態のネットワーク装置1に接続される機器M1j,M2kには2つの種類がある。1つは、パーソナルコンピュータやテレビ受像機等の家電機器であって、以下、これらを第1グループの機器M1jと呼ぶ。もう1つは、照明器具を制御する照明用コントローラやインターホン機器等の設備機器であって、以下、これらを第2グループの機器M2kと呼ぶ。第1グループの機器M1jは、電子メール等の文字データの他に音声と映像の一方又は双方を含むマルチメディア伝送などを行うものであり、特にパーソナルコンピュータでは、利用者が新しいプログラムを導入することでデータ伝送のプロトコル(通信プロトコル)が変更される場合があるため、通常、自由度の高いネットワーク運用が必要となる。 By the way, there are two types of devices M1 j and M2 k connected to the network device 1 of the present embodiment. One is a home appliance such as a personal computer or a television receiver, and hereinafter, these will be referred to as a first group of devices M1 j . Second, a facility equipment such as lighting controller or intercom device for controlling a lighting equipment, hereinafter referred to these as devices M2 k of the second group. The first group of devices M1 j performs multimedia transmission including one or both of voice and video in addition to text data such as e-mail, and the user introduces a new program, particularly in a personal computer. As a result, a data transmission protocol (communication protocol) may be changed.

一方、第2グループの機器M2kは、予め設定されている特定の通信プロトコルを用いて遠隔からの動作制御や動作監視が行われ、また、利用者が自由にプログラムを更新できる機能を備えていないから、第1グループの機器M1jに比べてセキュリティを重視したネットワーク運用が必要となる。 On the other hand, the second group of devices M2 k is remotely controlled for operation and monitoring using a specific communication protocol set in advance, and has a function that allows the user to freely update the program. Therefore, it is necessary to operate the network with an emphasis on security compared to the first group of devices M1 j .

そこで本実施形態のネットワーク装置1においては、第1グループの機器M1に対しては可能な限り自由度の高いネットワーク運用を可能とするパケット処理を行うとともに、第2グループの機器M2kに対してはセキュリティを高めるためのパケット処理を行っている。そのために制御部5では、各通信ポート部2i,3に接続されている機器の種類(第1グループ及び第2グループとその他)を判別し、判別した機器の種類を各通信ポート部2i,3と対応させて記憶部6に記憶させている。ここで、制御部5が機器の種類を判別する方法としては、例えば、パケットの送信元のアドレスに含まれるMACアドレスに基づいて当該送信元の機器の製造者(メーカー)や型番等から判別する方法や、あるいはUPnP(ユニバーサル・プラグ・アンド・プレイ)の機能が本実施形態のネットワーク装置1と機器の双方に搭載されていれば当該UPnP機能を使うという方法がある。 Therefore, in the network device 1 of the present embodiment, the first group of devices M1 j performs packet processing that enables a network operation with a high degree of freedom as much as possible, and the second group of devices M2 k. Packet processing to increase security. For this purpose, the control unit 5 discriminates the types of devices (first group and second group and others) connected to the communication port units 2 i and 3, and sets the discriminated device types to the respective communication port units 2 i. , 3 and stored in the storage unit 6. Here, as a method for the control unit 5 to determine the type of device, for example, based on the MAC address included in the address of the transmission source of the packet, it is determined from the manufacturer (manufacturer) of the transmission source device, the model number, or the like. There is a method or a method of using the UPnP function if a UPnP (Universal Plug and Play) function is installed in both the network device 1 and the device of this embodiment.

次に、図2に示すフローチャートを参照しながら制御部5によるパケット処理の手順を説明する。   Next, the procedure of packet processing by the control unit 5 will be described with reference to the flowchart shown in FIG.

まず、何れかの通信ポート部2i又は3にパケットを受信すると(S1)、制御部5は当該パケットの送信元のアドレスを記憶部6の記憶内容と照合することで送信元の機器の種類を判別する(S2)。そして、送信元の機器が第2グループの機器M2kであれば、制御部5は何らパケット処理を行わず、パケット交換部4を制御して当該パケットを送信先のアドレスを有する機器が接続されている通信ポート部2i又は3にのみ転送させる(S3)。つまり、第2グループの機器M2kから送信されるデータ(パケット)は特定の通信プロトコルを用いた動作監視用の情報であるから、特にパケット処理を行わずに通過させても支障がないものである。 First, when a packet is received at any one of the communication port units 2 i or 3 (S1), the control unit 5 compares the address of the transmission source of the packet with the stored contents of the storage unit 6 to determine the type of the transmission source device. Is discriminated (S2). If the source device is the second group of devices M2 k , the control unit 5 does not perform any packet processing, and the packet exchange unit 4 is controlled to connect the device having the destination address to the packet. The data is transferred only to the communication port unit 2 i or 3 (S3). That is, data transmitted from the device M2 k of the second group (packet) is because it is information for operation monitoring using a specific communication protocol, even those do not hinder particularly passed without packet processing is there.

また、送信元の機器が第1グループの機器M2jであれば、制御部5は当該パケットの送信先のアドレスを記憶部6の記憶内容と照合することで送信先の機器の種類を判別する(S4)。そして、送信先の機器が第1グループの機器M1jであれば、制御部5は何らパケット処理を行わず、パケット交換部4を制御して当該パケットを送信先のアドレスを有する機器(第1のグループの機器M1j)が接続されている通信ポート部2iにのみ転送させる(S3)。つまり、第1グループの機器M1j同士が授受するデータ(パケット)については、自由度の高いネットワーク運用を可能とするために何らパケット処理を行わずに通過させることが望ましい。一方、送信先の機器が第2グループの機器M2kであれば、制御部5が予め決められたパケット処理(例えば、ウイルスチェックなど)を当該パケットに対して実行し(S5)、パケット交換部4を制御してパケット処理後の当該パケットを送信先のアドレスを有する機器(第2のグループの機器M2k)が接続されている通信ポート部2iにのみ転送させる(S3)。つまり、第1グループの機器M1jから第2グループの機器M2kへ送信されたデータ(パケット)については、第2グループの機器M2kがウイルスチェック機能等のセキュリティに関する機能を有していないことから、ネットワーク装置1においてウイルスチェック等のパケット処理を代行する必要がある。 If the transmission source device is the first group of devices M2 j , the control unit 5 determines the type of the transmission destination device by comparing the transmission destination address of the packet with the stored contents of the storage unit 6. (S4). If the destination device is the first group of devices M1 j , the control unit 5 does not perform any packet processing, and controls the packet switching unit 4 to send the packet to the device having the destination address (first Are transferred only to the communication port unit 2 i to which the group of devices M1 j ) is connected (S3). That is, it is desirable to pass data (packets) exchanged between the devices M1 j of the first group without performing any packet processing in order to enable a highly flexible network operation. On the other hand, if the destination device is the second group of devices M2 k , the control unit 5 executes predetermined packet processing (for example, virus check) on the packet (S5), and the packet switching unit 4, the packet after packet processing is transferred only to the communication port unit 2 i to which the device having the destination address (device M 2 k in the second group) is connected (S 3). That is, for data (packets) transmitted from the first group of devices M1 j to the second group of devices M2 k , the second group of devices M2 k does not have a security function such as a virus check function. Therefore, it is necessary to perform packet processing such as virus checking in the network device 1.

さらに、送信元の機器がルータRであれば、制御部5は当該パケットの送信先のアドレスを記憶部6の記憶内容と照合することで送信先の機器の種類を判別する(S6)。そして、送信先の機器が第1グループの機器M1jであれば、制御部5は何らパケット処理を行わず、パケット交換部4を制御して当該パケットを送信先のアドレスを有する機器(第1のグループの機器M1j)が接続されている通信ポート部2iにのみ転送させる(S3)。つまり、ルータR(インターネット)から第1グループの機器M1jへのデータ(パケット)については、自由度の高いネットワーク運用を可能とするために何らパケット処理を行わずに通過させることが望ましい。一方、送信先の機器が第2グループの機器M2kであれば、制御部5が予め決められたパケット処理(例えば、ウイルスチェックなど)を当該パケットに対して実行し(S5)、パケット交換部4を制御してパケット処理後の当該パケットを送信先のアドレスを有する機器(第2のグループの機器M2k)が接続されている通信ポート部2iにのみ転送させる(S3)。つまり、ルータR(インターネット)から第2グループの機器M2kへ送信されたデータ(パケット)についても、上述のようにネットワーク装置1においてウイルスチェック等のパケット処理を代行する必要がある。 Further, if the transmission source device is the router R, the control unit 5 determines the type of the transmission destination device by comparing the transmission destination address of the packet with the stored contents of the storage unit 6 (S6). If the destination device is the first group of devices M1 j , the control unit 5 does not perform any packet processing, and controls the packet switching unit 4 to send the packet to the device having the destination address (first Are transferred only to the communication port unit 2 i to which the group of devices M1 j ) is connected (S3). That is, it is desirable to pass data (packets) from the router R (Internet) to the first group of devices M1 j without performing any packet processing in order to enable a highly flexible network operation. On the other hand, if the destination device is the second group of devices M2 k , the control unit 5 executes predetermined packet processing (for example, virus check) on the packet (S5), and the packet switching unit 4, the packet after packet processing is transferred only to the communication port unit 2 i to which the device having the destination address (device M 2 k in the second group) is connected (S 3). That is, for the data (packets) transmitted from the router R (Internet) to the second group of devices M2 k , it is necessary to perform packet processing such as virus check in the network device 1 as described above.

このように本実施形態のネットワーク装置1によれば、伝送路(通信ケーブル)を介して接続された機器の種類を種類判別手段たる制御部5で判別し、送信元又は送信先の機器の種類に応じてパケット処理手段たる制御部5がパケットに対して行う処理の方式、すなわち、パケット処理を行わずに通過させる方式と、ウイルスチェック等のセキュリティに関するパケット処理を行った後に転送する方式とが自動的に変更されるので、伝送路を介して接続される機器の種類(第1グループ又は第2グループ)毎に利用者がパケット処理の方式を判断して設定する必要がなく、利用者に負担をかけずに機器の種類に応じたパケット処理を行うことができる。   As described above, according to the network device 1 of the present embodiment, the type of the device connected via the transmission path (communication cable) is determined by the control unit 5 serving as the type determining means, and the type of the source or destination device is determined. Depending on the packet processing means, the control unit 5 performs processing on the packet, that is, the method of passing without performing the packet processing, and the method of transferring after performing packet processing related to security such as virus check. Since it is automatically changed, it is not necessary for the user to determine and set the packet processing method for each type of device (first group or second group) connected via the transmission line, and to the user. Packet processing according to the type of device can be performed without imposing a burden.

ところで、第2グループに属する機器M2k同士の間でも必要となるパケット処理の内容が異なる場合がある。例えば、汎用性の高い通信プロトコルであるTCP(Transmission Control Protocol)やUDP(User Datagram Protocol)を利用する場合と、専用の(その種類にのみ使用される)通信プロトコルを利用する場合とでは、汎用性の高い通信プロトコルを利用する場合の方がDoSなどの不正なアクセスの生じる可能性が高くなる。したがって、第2グループの機器M2kに対して必要なパケット処理の内容に応じた複数のレベルの何れかを割り当てて記憶部6に記憶しておき、受信したパケットに対して制御部5が当該レベルに応じたパケット処理を実行することが望ましい。例えば、汎用性の高い通信プロトコルを利用する機器(以下、レベル1の機器M2’kと呼ぶ。)に対してはウイルスチェックとともに不正なアクセスに対するセキュリティチェックを行い、専用の通信プロトコルを利用する機器(以下、レベル2の機器M2”kと呼ぶ。)に対してはウイルスチェックのみを行うようにすればよい。 Incidentally, there are cases where the contents of the packet processing required even among devices M2 k belonging to the second group are different. For example, when using TCP (Transmission Control Protocol) or UDP (User Datagram Protocol), which are highly versatile communication protocols, and when using a dedicated communication protocol (used only for that type) The possibility of unauthorized access such as DoS is higher when a highly reliable communication protocol is used. Therefore, any one of a plurality of levels corresponding to the contents of necessary packet processing is assigned to the second group of devices M2 k and stored in the storage unit 6, and the control unit 5 applies the received packet to the second unit M2k. It is desirable to execute packet processing according to the level. For example, devices that utilize high communication protocol versatile (hereinafter, referred to as device M2 'k Level 1.) To perform a security check against unauthorized access with virus checking for, equipment using a dedicated communication protocol For the following (hereinafter referred to as level 2 device M2 ″ k ), only virus checking may be performed.

具体的には、図3のフローチャートに示す手順で制御部5がパケット処理を行えばよい。ステップS1〜S5の処理は図2のフローチャートに示した手順と同一であるから説明は省略する。   Specifically, the control unit 5 may perform packet processing according to the procedure shown in the flowchart of FIG. The processing in steps S1 to S5 is the same as the procedure shown in the flowchart of FIG.

制御部5は当該パケットの送信元のアドレスを記憶部6の記憶内容と照合することで送信元の機器の種類を判別し、送信元の機器がルータRであれば、当該パケットの送信先のアドレスを記憶部6の記憶内容と照合することで送信先の機器の種類を判別する(S6)。そして、送信先の機器が第1グループの機器M1jであれば、制御部5は何らパケット処理を行わず、パケット交換部4を制御して当該パケットを送信先のアドレスを有する機器(第1のグループの機器M1j)が接続されている通信ポート部2iにのみ転送させる(S3)。 The control unit 5 determines the type of the transmission source device by comparing the transmission source address of the packet with the content stored in the storage unit 6. If the transmission source device is the router R, the control unit 5 determines the transmission destination of the packet. By comparing the address with the stored content of the storage unit 6, the type of destination device is determined (S6). If the destination device is the first group of devices M1 j , the control unit 5 does not perform any packet processing, and controls the packet switching unit 4 to send the packet to the device having the destination address (first Are transferred only to the communication port unit 2 i to which the group of devices M1 j ) is connected (S3).

一方、送信先の機器が第2グループの機器M2kであれば、制御部5はさらに記憶部6の記憶内容と照合することで当該機器M2kの種類(レベル)を判別する(S7)。そして、機器の種類がレベル1であれば、制御部5はレベル1に対して予め決められたパケット処理(例えば、ウイルスチェックと不正なアクセスに対するセキュリティチェック)を当該パケットに対して実行し(S8)、パケット交換部4を制御してパケット処理後の当該パケットを送信先のアドレスを有する機器(第2のグループに属するレベル1の機器M2’k)が接続されている通信ポート部2iにのみ転送させる(S3)。また、機器の種類がレベル2であれば、制御部5はレベル2に対して予め決められたパケット処理(例えば、ウイルスチェックのみ)を当該パケットに対して実行し(S9)、パケット交換部4を制御してパケット処理後の当該パケットを送信先のアドレスを有する機器(第2のグループに属するレベル2の機器M2”k)が接続されている通信ポート部2iにのみ転送させる(S3)。 On the other hand, the destination device is if the device M2 k of the second group, the control unit 5 further determines the type of the device M2 k by matching the stored contents of the storage section 6 (level) (S7). If the type of device is level 1, the control unit 5 executes packet processing (for example, virus check and security check against unauthorized access) predetermined for level 1 on the packet (S8). ), By controlling the packet switching unit 4 and processing the packet after the packet processing to the communication port unit 2 i to which the device having the destination address (level 1 device M2 ′ k belonging to the second group) is connected (S3). If the device type is level 2, the control unit 5 performs packet processing (for example, only virus check) predetermined for level 2 on the packet (S9), and the packet switching unit 4 And the packet after packet processing is transferred only to the communication port unit 2 i to which the device having the destination address (level 2 device M2 ″ k belonging to the second group) is connected (S3). .

なお、図3のフローチャートに示す手順では、送信元の機器がルータRである場合、すなわち、受信したパケットがインターネットからルータRを経由したものである場合にだけレベル1,2を判別してレベル1,2毎に異なるパケット処理を行っているが、これは、インターネットからルータRを経由して伝送されるデータ(パケット)には、第1グループの機器M1jや第2グループの機器M2kから送信されたデータ(パケット)に比較して、ウイルスやワームなどの不正なプログラムが含まれている確率が遙かに高く、また、ウイルスやワーム以外の不正なアクセスが生じる確率も非常に高いという理由に基づいている。但し、送信元の機器がルータRでない場合にもレベル1,2を判別してレベル1,2毎に異なるパケット処理を行うようにしても勿論構わない。 In the procedure shown in the flowchart of FIG. 3, levels 1 and 2 are discriminated only when the transmission source device is the router R, that is, when the received packet is from the Internet via the router R. Different packet processing is performed for each of 1 and 2, and this is because data (packets) transmitted from the Internet via the router R has a first group of devices M1 j and a second group of devices M2 k. Compared to data (packets) sent from, the probability of including malicious programs such as viruses and worms is much higher, and the probability of unauthorized access other than viruses and worms is also very high Based on the reason. However, even if the transmission source device is not the router R, it is of course possible to determine levels 1 and 2 and perform different packet processing for each level 1 and 2.

ここで、エミット(EMIT(Embedded Micro Internetworking Technology))と称する機器組み込み型ネットワーク技術(機器に簡単にミドルウェアを組み込んでネットワークに接続できる機能を備えるネットワーク技術、以降、EMIT技術と称する。)を用いることで、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)から様々な設備機器(照明装置、空調装置、動力装置、センサ、電気錠、ウェブカメラ等、以降、EMIT端末と称する。)<図示せず>にアクセスして、EMIT端末を遠隔監視・制御することができる。   Here, the use of a device-embedded network technology called EMIT (Embedded Micro Internetworking Technology) (a network technology having a function capable of easily incorporating middleware into a device and connecting to the network, hereinafter referred to as EMIT technology). From various external devices (not shown) such as mobile phones, PCs (Personal Computers), PDAs (Personal Digital Assistants), and PHSs (Personal Handy phone Systems), various equipment (lighting devices, air conditioners, power units, sensors) , An electric lock, a web camera, etc., hereinafter referred to as an EMIT terminal.) By accessing <not shown>, the EMIT terminal can be remotely monitored and controlled.

尚、EMIT端末は、マイコン搭載の組み込み機器であり、機器組み込み型のネット接続用ミドルウェアでありEMIT技術を実現するEMITソフトウェアが搭載されている。例えば、本実施形態における第2グループの機器M2kにEMITソフトウェアを搭載し、EMIT端末として用いることができる。 Note that the EMIT terminal is a built-in device equipped with a microcomputer, and is a device-embedded middleware for connecting to the network and is equipped with EMIT software that realizes the EMIT technology. For example, EMIT software can be installed in the second group of devices M2 k in this embodiment and used as an EMIT terminal.

本発明の実施形態を示すブロック図である。It is a block diagram which shows embodiment of this invention. 同上の動作説明用のフローチャートである。It is a flow chart for operation explanation same as the above. 同上の別の動作説明用のフローチャートである。It is a flowchart for another operation | movement description same as the above.

符号の説明Explanation of symbols

1 ネットワーク装置
1〜2n 通信ポート部
3 通信ポート部
4 パケット交換部
5 制御部
6 記憶部
M1j 第1グループの機器
M2k 第2グループの機器
R ルータ 1 network device 2 1 to 2 n of the communication port unit 3 communication port unit 4 packet switching unit 5 control unit 6 memory unit M1 j first group device M2 k of the second group instrument R router

Claims (4)

データ伝送機能を有し少なくとも2つの種類に分類される複数の機器とそれぞれ伝送路を介して接続され、伝送路を介してパケットを受け取ったときに当該パケットに対して処理を行うネットワーク装置において、
伝送路を介して接続された機器の種類を判別する種類判別手段と、種類判別手段で判別された機器の種類を記憶する記憶手段と、記憶手段を参照し送信元又は送信先の機器の種類に応じてパケットに対する処理の方式を変更するパケット処理手段とを備えたことを特徴とするネットワーク装置。 In a network device that has a data transmission function and is connected to each of a plurality of devices classified into at least two types via a transmission path and processes the packet when a packet is received via the transmission path,
Type discriminating means for discriminating the type of equipment connected via the transmission line, storage means for storing the equipment type discriminated by the type discriminating means, and the type of the source or destination equipment with reference to the storage means And a packet processing unit for changing a processing method for the packet according to the network device. 前記種類はパケット処理が必要な種類とパケット処理が不要な種類とを少なくとも含み、パケット処理手段は、送信元又は送信先の機器の種類がパケット処理を必要とする場合にパケット処理を行うことを特徴とする請求項1記載のネットワーク装置。   The types include at least a type that requires packet processing and a type that does not require packet processing, and the packet processing means performs packet processing when the type of the source or destination device requires packet processing. The network device according to claim 1, wherein: 前記種類は個々にパケット処理の内容が異なる複数の種類を含み、パケット処理手段は、送信元又は送信先の機器の種類がパケット処理を必要とする場合に当該機器の種類に対応したパケット処理を行うことを特徴とする請求項2記載記載のネットワーク装置。   The types include a plurality of types having different packet processing contents, and the packet processing means performs packet processing corresponding to the type of the device when the type of the transmission source or transmission destination device requires packet processing. The network device according to claim 2, wherein the network device is performed. 前記種類はパケット処理が必要な種類とパケット処理が不要な種類とを少なくとも含み、パケット処理手段は、送信元又は送信先の機器の種類がパケット処理を不要とする場合にパケット処理を行わずにパケットを通過させることを特徴とする請求項1〜3の何れか記載のネットワーク装置。   The types include at least a type that requires packet processing and a type that does not require packet processing, and the packet processing means does not perform packet processing when the type of the source or destination device does not require packet processing. The network device according to claim 1, wherein the packet is allowed to pass.
JP2005341195A 2005-11-25 2005-11-25 Network equipment Expired - Fee Related JP3976060B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005341195A JP3976060B2 (en) 2005-11-25 2005-11-25 Network equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005341195A JP3976060B2 (en) 2005-11-25 2005-11-25 Network equipment

Publications (2)

Publication Number Publication Date
JP2007150615A true JP2007150615A (en) 2007-06-14
JP3976060B2 JP3976060B2 (en) 2007-09-12

Family

ID=38211508

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005341195A Expired - Fee Related JP3976060B2 (en) 2005-11-25 2005-11-25 Network equipment

Country Status (1)

Country Link
JP (1) JP3976060B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009260848A (en) * 2008-04-18 2009-11-05 Panasonic Electric Works Co Ltd Network device
JP2019205005A (en) * 2018-05-21 2019-11-28 コニカミノルタ株式会社 Information processing system, management apparatus, and program

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009260848A (en) * 2008-04-18 2009-11-05 Panasonic Electric Works Co Ltd Network device
JP2019205005A (en) * 2018-05-21 2019-11-28 コニカミノルタ株式会社 Information processing system, management apparatus, and program

Also Published As

Publication number Publication date
JP3976060B2 (en) 2007-09-12

Similar Documents

Publication Publication Date Title
US20210281571A1 (en) Enhanced smart process control switch port lockdown
US8219713B2 (en) Method and system for a network controller based pass-through communication mechanism between local host and management controller
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
WO2006041080A1 (en) Firewall system and firewall control method
JPWO2007116605A1 (en) Communication terminal device, rule distribution device, and program
JP2011029749A (en) Method and apparatus for dynamically controlling destination of transmission data in network communication
US20120054359A1 (en) Network Relay Device and Frame Relaying Control Method
EP1720312A1 (en) Media Access Control Address based method for securing access to a local area
JP3976060B2 (en) Network equipment
US20220394600A1 (en) Methods for Access Security at Operation and Maintenance, O&amp;M, Support
JP4029898B2 (en) Network equipment
JP3976059B2 (en) Network equipment
JP3976058B2 (en) Network equipment
KR100478910B1 (en) IP collision detection/ Interseption method thereof
JP2009033557A (en) Network access system and network access method
JP2005094164A (en) Access point management terminal
US20060185009A1 (en) Communication apparatus and communication method
JP2005286681A (en) Relay equipment
CN110753109B (en) Gateway interconnection method, gateway device, storage medium and apparatus
GB2568145A (en) Poisoning protection for process control switches
JP7000863B2 (en) Malware inspection support program, malware inspection support method and communication device
JP2010136014A (en) Mac address automatic authentication system
JP2010157265A (en) System, device, method and program for controlling access
KR20050029800A (en) Network connection control method
JP2008092185A (en) Network device and customer premise network system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070507

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070529

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070611

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100629

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 3976060

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100629

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100629

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100629

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110629

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120629

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120629

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130629

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees