JP2008042735A - Management method of mac address learning function, and network device - Google Patents

Management method of mac address learning function, and network device Download PDF

Info

Publication number
JP2008042735A
JP2008042735A JP2006216942A JP2006216942A JP2008042735A JP 2008042735 A JP2008042735 A JP 2008042735A JP 2006216942 A JP2006216942 A JP 2006216942A JP 2006216942 A JP2006216942 A JP 2006216942A JP 2008042735 A JP2008042735 A JP 2008042735A
Authority
JP
Japan
Prior art keywords
mac address
network terminal
terminal device
network
connection position
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006216942A
Other languages
Japanese (ja)
Inventor
Yasuaki Nojima
泰明 野島
Kenichi Endo
賢一 遠藤
Masahiro Arai
正博 新井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Telecom Networks Ltd
Original Assignee
Fujitsu Telecom Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Telecom Networks Ltd filed Critical Fujitsu Telecom Networks Ltd
Priority to JP2006216942A priority Critical patent/JP2008042735A/en
Publication of JP2008042735A publication Critical patent/JP2008042735A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent illegal communications by masquerading under a feigned MAC address, and to enable provision of a communication service only to network terminal units of which number of sets is declared in advance by an end user. <P>SOLUTION: Network terminal unit information, at least including MAC addresses of network tunnel units A, B for each connection position of network equipment 3, 7, is registered into MAC address management tables 31, 71. Even when any network terminal unit having the MAC address once registered is connected to another connection position, without modifying the contents of the MAC address management tables 31, 71, a new registration of network terminal unit information including a MAC address through relearning is inhibited. Also, the number of times of learning a proper MAC address included in each network terminal unit of the end user is managed, and the number of MAC addresses usable by the end user is limited. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、MAC(Media Access Control)アドレス学習機能の管理方法及びネットワーク機器に関し、インターネット接続サービスシステムにおけるMACアドレスの学習機能の管理をベースとした不正通信の防止及び正規のエンドユーザに対する適正な通信サービスを提供する技術に係る。   The present invention relates to a MAC (Media Access Control) address learning function management method and a network device, and relates to the prevention of unauthorized communication based on the management of a MAC address learning function in an Internet connection service system and appropriate communication for a regular end user. It relates to technology that provides services.

現在、光ファイバを利用した高速ブロードバンド通信サービスが急激に普及し、通信技術革新によりエンドユーザは一層安価で高速な通信サービスを受けることが可能となり、例えば、FTTH(Fiber To The Home)/FTTB(Fiber To The Building)サービスの一つとして、VoIP(Voice over Internet Protocol)技術による電話機能サービスに更に固定電話と同等の付加サービスを取り入れたサービスなどを提供する通信事業者が増加する一方、通信事業者による通信のセキュリティ強化が重要視され、通信事業者による適正にセキュリティが管理された有償の通信サービスがエンドユーザに対して提供されることが要望されている。   Currently, high-speed broadband communication services using optical fibers are rapidly spreading, and communication technology innovation enables end users to receive lower-speed and higher-speed communication services. For example, FTTH (Fiber To The Home) / FTTB ( As one of the fiber to the building (telecommunications) services, the number of telecommunications carriers providing services that incorporate additional services equivalent to fixed-line telephones to telephone function services based on VoIP (Voice over Internet Protocol) technology is increasing. It is important to enhance communication security by operators, and there is a demand for providing a paid communication service in which security is appropriately managed by a communication carrier to end users.

一般に、インターネットへの接続を実現するためには、エンドユーザのネットワーク端末装置は、まずPPP(Point-to-Point Protocol)と呼ばれるプロトコルを用いて、インターネットバックボーンへの入り口となる地域アクセスポイントに設置されるBAS(Broadband-Access-Server)に対してポイントツウポイント接続を試みるが、その際、IPアドレスを使用するため、通常、各ネットワーク端末装置に手動にてIPアドレスを設定する必要がある。   In general, in order to realize connection to the Internet, an end user's network terminal device is first installed at a regional access point serving as an entrance to the Internet backbone using a protocol called PPP (Point-to-Point Protocol). Although a point-to-point connection is attempted to a BAS (Broadband-Access-Server), the IP address is used at that time, and therefore it is usually necessary to manually set the IP address in each network terminal device.

但し、ネットワーク端末装置の設置台数が多い場合、各端末装置にIPアドレスを設定する作業が煩雑になるため、IPアドレスを管理するサーバを設置することにより、IPアドレスを自動的に払い出す仕組みであるDHCP(Dynamic Host Configuration Protocol)が用いられる。   However, when the number of installed network terminal devices is large, the work of setting the IP address for each terminal device becomes complicated. Therefore, by installing a server for managing the IP address, the IP address is automatically paid out. A certain Dynamic Host Configuration Protocol (DHCP) is used.

DHCPは、RFC(Request For Comments)2131により規定されているプロトコルで、コンピュータ等のネットワーク端末装置がTCP/IP(Transmission Control Protocol/Internet Protocol)を利用して通信する場合に、IPアドレスやデフォルトゲートウェイのアドレスなどを自動的に設定するプロトコルである。   DHCP is a protocol defined by RFC (Request For Comments) 2131. When a network terminal device such as a computer communicates using TCP / IP (Transmission Control Protocol / Internet Protocol), an IP address or a default gateway is used. This is a protocol that automatically sets the address of the server.

DHCPサーバには、予めIPアドレスやデフォルトゲートウェイのアドレスが登録され、コンピュータ等のクライアント装置は、起動時にDHCPサーバにアクセスし、DHCPサーバは、アクセスしたクライアント装置に対してIPアドレスを払い出し、これによりクライアント装置はIPアドレスを取得する。   In the DHCP server, an IP address and a default gateway address are registered in advance, and a client device such as a computer accesses the DHCP server at startup, and the DHCP server issues an IP address to the accessed client device. The client device acquires an IP address.

しかし、DHCPによるIPアドレスの自動払い出し機能を備えることにより、コンピュータや情報家電等のネットワーク端末装置をモデム等のネットワーク機器に接続するだけでIPアドレスが自動的に払い出されて通信可能となるため、不正な通信が行われる可能性が生じる。このような不正通信を防ぐための機能として、DHCPサーバには、事前に登録されたMACアドレスの端末装置に対してのみIPアドレスを払い出すMACフィルタリング機能を備えている。   However, since an automatic IP address issuing function by DHCP is provided, an IP address can be automatically issued and communication can be performed simply by connecting a network terminal device such as a computer or information appliance to a network device such as a modem. There is a possibility that unauthorized communication is performed. As a function for preventing such unauthorized communication, the DHCP server has a MAC filtering function for paying out an IP address only to a terminal device having a MAC address registered in advance.

また、エンドユーザの端末装置の接続数を契約時の接続数に制限する手段として、下記の特許文献1に、IP通信サービスのサービス管理を行う接続端末数管理方法等について記載されている。特許文献1に記載の接続端末数管理方法は、サービス提供者が顧客に接続端末数に応じた料金を設定してIP通信サービスを提供する場合、顧客が契約数を超える端末を接続し、不正なアクセスを行うことを防ぐために、IP通信サービスを享受する端末のMACアドレスを収集し、収集したMACアドレスに基づき、特定の顧客が光加入者網終端装置に接続している端末の実際の数を算出し、顧客が実際に接続している端末数をサービス提供者が監視し、接続端末数を管理し得るようにしたものである。   Further, as means for limiting the number of connections of end user terminal devices to the number of connections at the time of a contract, the following Patent Document 1 describes a connection terminal number management method for performing service management of an IP communication service. In the method for managing the number of connected terminals described in Patent Document 1, when a service provider provides an IP communication service by setting a fee according to the number of connected terminals to a customer, the customer connects terminals exceeding the number of contracts, In order to prevent unauthorized access, the MAC number of the terminal that enjoys the IP communication service is collected, and based on the collected MAC address, the actual number of terminals that a specific customer connects to the optical subscriber network terminating device The service provider can monitor the number of terminals to which the customer is actually connected and manage the number of connected terminals.

特開2002−232445号公報JP 2002-232445 A

前述したように、DHCPはその仕組み上、物理的にネットワークに繋ぎさえすればどの端末装置でもIPアドレスを取得することができ、MACフィルタリング機能に対してもMACアドレスを詐称することにより、正規のエンドユーザ以外の者が簡単に通信サービスを受けることができ、悪意のユーザによるインターネット犯罪などを誘発する一因ともなっている。   As described above, because of the mechanism of DHCP, any terminal device can obtain an IP address as long as it is physically connected to the network. By spoofing the MAC address for the MAC filtering function, A person other than the end user can easily receive the communication service, which is one of the causes of an internet crime by a malicious user.

一般的なLAN(Local Area Network)において、レイヤ2のスイッチング装置によるデータ転送を行う際、該スイッチング装置のポートに接続された端末装置のMACアドレスを各ポート対応に学習させ、MACアドレスに対応したポートにのみデータフレームを流すことによりトラフィックの増大を防止している。MACアドレスは、各ネットワーク端末装置に設定されている各装置固有のアドレスである。そのため、同一のMACアドレスのネットワーク端末装置は通常存在しないはずであり、MACアドレスを管理することにより、エンドユーザの特定が可能である。   In a general LAN (Local Area Network), when data transfer is performed by a switching device of layer 2, the MAC address of the terminal device connected to the port of the switching device is learned for each port, and the MAC address is supported. An increase in traffic is prevented by sending data frames only to the ports. The MAC address is an address unique to each device set in each network terminal device. Therefore, network terminal devices with the same MAC address should normally not exist, and end users can be specified by managing MAC addresses.

通常、レイヤ2スイッチング装置は、一度学習したポート対応のMACアドレスと同一のMACアドレスのネットワーク端末装置が別ポートに接続され、該MACアドレスが別ポートから入力されると、ネットワーク端末装置が移設されたと見なし、学習したMACアドレスを別ポートに移す。即ち、ポートとMACアドレスとの対応を再度学習し、後発優先で上書きする。   Normally, in a layer 2 switching device, when a network terminal device having the same MAC address as the MAC address corresponding to the port learned once is connected to another port, and the MAC address is input from another port, the network terminal device is relocated. The learned MAC address is transferred to another port. That is, the correspondence between the port and the MAC address is learned again, and overwritten with the priority of the later generation.

しかし、一般的に、ネットワーク端末装置が別ポートに移設のために繋ぎ換えられることはめったになく、学習済みのMACアドレスとその接続ポートとの不一致は、学習済みのMACアドレスを故意的に詐称したネットワーク端末装置が別ポートに接続されたことにより発生した蓋然性が非常に高い。そのような場合、悪意のある他人が本来のエンドユーザに成りすまして通信サービスを受けることになり、インターネット犯罪などの発生に繋がりかねない。   However, in general, network terminal devices are rarely switched to another port for relocation, and the mismatch between the learned MAC address and its connection port deliberately spoofed the learned MAC address. There is a very high probability that the network terminal device has been connected to another port. In such a case, a malicious other person impersonates the original end user and receives a communication service, which may lead to the occurrence of an Internet crime.

本発明は、MACアドレスの学習機能の管理により、学習済みのMACアドレスを詐称したネットワーク端末装置を用いた成りすましによる不正通信を防止し、また、エンドユーザが予め契約時に申告した台数のネットワーク端末装置に対してのみ通信サービスを提供することを可能にし、契約料金に応じたネットワーク端末装置台数の通信サービスを可能にする。   The present invention prevents unauthorized communication due to impersonation using a network terminal device that misrepresents a learned MAC address by managing the MAC address learning function, and the number of network terminal devices that an end user has previously declared at the time of contract It is possible to provide a communication service only with respect to the network terminal device, and it is possible to provide a communication service for the number of network terminal devices according to the contract fee.

本発明のMACアドレス学習機能の管理について図1を参照して説明すると、ネットワーク機器3,7の接続位置毎に、該接続位置に接続されたネットワーク端末装置A,BのMACアドレスを少なくとも含むネットワーク端末装置情報をMACアドレス管理テーブル31,71に登録し、MACアドレス管理テーブル31,71に一旦登録されたMACアドレスと同一のMACアドレスを有するネットワーク端末装置が、MACアドレス管理テーブル31,71に登録された接続位置と異なる接続位置に接続されたことを検出したとき、MACアドレス管理テーブル31,71に一旦登録されたネットワーク機器の接続位置とネットワーク端末装置情報との対応付けを変更することなく、該MACアドレスを含む新たなネットワーク端末装置情報の登録を禁止することを特徴とする。   The management of the MAC address learning function of the present invention will be described with reference to FIG. 1. A network including at least the MAC addresses of the network terminal apparatuses A and B connected to the connection positions for each connection position of the network devices 3 and 7. The terminal device information is registered in the MAC address management tables 31 and 71, and a network terminal device having the same MAC address as the MAC address once registered in the MAC address management tables 31 and 71 is registered in the MAC address management tables 31 and 71. When it is detected that the connection position is different from the connected connection position, the association between the connection position of the network device once registered in the MAC address management tables 31 and 71 and the network terminal device information is changed. New network terminal device including the MAC address Characterized in that it prohibits the registration of information.

また、ネットワーク機器の接続位置毎に、ネットワーク端末装置情報を前記MACアドレス管理テーブル31,71に登録して学習する学習回数に予め上限回数を定めておき、該学習回数が上限回数以下のときは、ネットワーク機器の接続位置毎に、異なるMACアドレスを有するネットワーク端末装置情報を、前記MACアドレス管理テーブル31,71に登録し、前記学習回数が上限回数を越えたときは、MACアドレス管理テーブル31,71における前記ネットワーク機器の接続位置への新たなMACアドレスを有するネットワーク端末装置情報の登録を禁止することを特徴とする。   Further, for each connection position of the network device, an upper limit number is set in advance for the number of times of learning by registering the network terminal device information in the MAC address management tables 31 and 71, and when the number of learning times is less than or equal to the upper limit number. The network terminal device information having a different MAC address is registered in the MAC address management tables 31 and 71 for each connection position of the network device, and when the learning count exceeds the upper limit count, the MAC address management table 31 and 71, registration of network terminal device information having a new MAC address at the connection position of the network device is prohibited.

本発明によれば、通信サービスを許可するエンドユーザに対してそのネットワーク端末装置のMACアドレスの学習結果を固定化し、再学習を禁止することで、MACアドレスを基にエンドユーザを特定することができ、学習により登録されているMACアドレスのネットワーク端末装置にのみIPアドレスを割り当てることにより、MACアドレスを詐称した成りすましによる不正な第三者へのIPアドレス払い出しを防ぐことができる。   According to the present invention, it is possible to identify the end user based on the MAC address by fixing the learning result of the MAC address of the network terminal device to the end user who permits the communication service and prohibiting the relearning. In addition, by assigning an IP address only to a network terminal device having a MAC address registered by learning, it is possible to prevent an IP address from being issued to an unauthorized third party by impersonating a MAC address.

また、エンドユーザの各ネットワーク端末装置が有する固有のMACアドレスを学習する回数を管理することにより、エンドユーザが使用可能なMACアドレス数を制限することができ、それによりエンドユーザが使用可能なネットワーク端末装置の台数を制限することができ、エンドユーザが使用可能なネットワーク端末装置の台数に応じた契約料金に基づいた通信サービスを、正規の台数のネットワーク端末装置に対して提供することが可能となる。   Further, the number of MAC addresses that can be used by the end user can be limited by managing the number of times of learning the unique MAC address possessed by each network terminal device of the end user, whereby the network that can be used by the end user. The number of terminal devices can be limited, and a communication service based on a contract fee according to the number of network terminal devices that can be used by an end user can be provided to a regular number of network terminal devices. Become.

図1は本発明の実施形態のネットワークシステムの構成例を示す。同図の構成例において、端末A,Bは、エンドユーザのコンピュータ又はセットトップボックス等のネットワーク端末装置であり、端末Aは、GE−PON加入者線終端装置(ONU:Optical Network Unit)4を介して通信事業者の局内設備のGE−PON回線終端装置(OLT:Optical Line Terminal)7に接続されている。   FIG. 1 shows a configuration example of a network system according to an embodiment of the present invention. In the configuration example of FIG. 1, terminals A and B are network terminal devices such as end-user computers or set-top boxes, and terminal A has a GE-PON subscriber line terminal unit (ONU: Optical Network Unit) 4. Via the GE-PON line terminator (OLT) 7 of the in-station equipment of the communication carrier.

一方、端末Bは、エンドユーザ宅内のVDSLモデム1、集合型VDSL装置3及びGE−PON加入者線終端装置(ONU)6を介して通信事業者の局内設備のGE−PON回線終端装置(OLT)7に接続されている。GE−PON回線終端装置(OLT)7は、レイヤ2スイッチ8を経てIP網9に接続され、インターネット接続業者(ISP:Internet Services Provider)又は通信事業者のDHCPサーバ10及び各種情報データベースサーバ11に接続される。   On the other hand, the terminal B receives the GE-PON line termination device (OLT) of the telecommunications carrier's in-house equipment via the VDSL modem 1 in the end user's house, the collective VDSL device 3 and the GE-PON subscriber line termination device (ONU) 6. ) 7. The GE-PON line terminator (OLT) 7 is connected to the IP network 9 via the layer 2 switch 8, and is connected to the DHCP server 10 and various information database servers 11 of an Internet service provider (ISP) or a communication carrier. Connected.

集合型VDSL装置3には、上記のエンドユーザ宅内のVDSLモデム1のほかに、他のエンドユーザ宅のVDSLモデム2を含む多数のVDSLモデム(図示省略)が接続される。集合型VDSL装置3は、その各ポート対応に、接続されているネットワーク端末装置の接続位置、端末名、そのMACアドレス及びIPアドレスを関連付けたネットワーク端末装置情報をMACアドレス管理テーブル31に格納して記憶する。図示の例では、接続位置“VDSL−1”、端末名“端末B”、MACアドレス“MAC−B”、IPアドレス“IP−B”を関連付けて記憶している。   In addition to the above-described VDSL modem 1 in the end user's house, the collective VDSL apparatus 3 is connected to a number of VDSL modems (not shown) including the VDSL modem 2 in another end user's house. The collective VDSL device 3 stores in the MAC address management table 31 network terminal device information in which the connection position of the connected network terminal device, the terminal name, its MAC address and IP address are associated with each port. Remember. In the illustrated example, the connection location “VDSL-1”, the terminal name “terminal B”, the MAC address “MAC-B”, and the IP address “IP-B” are stored in association with each other.

GE−PON回線終端装置(OLT)7には、上記のGE−PON加入者線終端装置(ONU)4のほかに、他のGE−PON加入者線終端装置(ONU)5,6を含む図示省略の多数のGE−PON加入者線終端装置(ONU)が接続される。GE−PON回線終端装置(OLT)7は、その各ポート対応に、接続されているネットワーク端末装置の接続位置、端末名、そのMACアドレス及びIPアドレスを関連付けたネットワーク端末装置情報をMACアドレス管理テーブル71に格納して記憶する。   The GE-PON line terminator (OLT) 7 includes other GE-PON subscriber line terminators (ONU) 5 and 6 in addition to the GE-PON subscriber line terminator (ONU) 4 described above. A number of omitted GE-PON subscriber line termination units (ONUs) are connected. The GE-PON line terminator (OLT) 7 is a MAC address management table that stores network terminal information associated with the connection position, terminal name, MAC address, and IP address of the connected network terminal device corresponding to each port. 71 is stored and stored.

図示の例では、接続位置“GEPON−4”、端末名“端末A”、MACアドレス“MAC−A”、IPアドレス“IP−A”のネットワーク端末装置情報と、接続位置“GEPON−6”、端末名“端末B”、MACアドレス“MAC−B”、IPアドレス“IP−B”のネットワーク端末装置情報とを記憶している。   In the illustrated example, the network terminal device information of the connection position “GEPON-4”, the terminal name “terminal A”, the MAC address “MAC-A”, the IP address “IP-A”, and the connection position “GEPON-6”, The terminal name “terminal B”, the MAC address “MAC-B”, and the network terminal device information of the IP address “IP-B” are stored.

集合型VDSL装置3及びGE−PON回線終端装置(OLT)7では、既に記憶されたMACアドレスを、学習によって他ポートへ移動させることを禁止し、一旦設定したMACアドレスとポートとの対応付けを固定化し、各ポートに対応付けられたMACアドレスの変更を制限する。   In the collective VDSL device 3 and the GE-PON line terminator (OLT) 7, it is prohibited to move a previously stored MAC address to another port by learning, and the MAC address once set is associated with the port. It is fixed and the change of the MAC address associated with each port is restricted.

通信事業者によりエンドユーザのMACアドレスを管理する手法として、通信事業者がエンドユーザにネットワーク端末装置を配布するものとし、該ネットワーク端末装置のMACアドレスを事前に把握して集合型VDSL装置3又はGE−PON回線終端装置(OLT)7に登録する。   As a method for managing the MAC address of the end user by the communication carrier, the communication carrier distributes the network terminal device to the end user, and knows the MAC address of the network terminal device in advance and collects the collective VDSL device 3 or It is registered in the GE-PON line terminator (OLT) 7.

或いは、エンドユーザが用意したネットワーク端末装置が集合型VDSL装置3又はGE−PON回線終端装置(OLT)7に接続されたとき、集合型VDSL装置3又はGE−PON回線終端装置(OLT)7で最初に認識したMACアドレスを該エンドユーザの固有のアドレスとして登録し、その後、DHCPサーバ10から該MACアドレスに対応付けたIPアドレスを自動的に払い出すようにする。DHCPサーバ10の機能によりIPアドレス及びMACアドレスを管理し、エンドユーザの特定を行う。   Alternatively, when the network terminal device prepared by the end user is connected to the collective VDSL device 3 or the GE-PON line terminator (OLT) 7, the collective VDSL device 3 or the GE-PON line terminator (OLT) 7 The first recognized MAC address is registered as the unique address of the end user, and then the IP address associated with the MAC address is automatically issued from the DHCP server 10. The IP address and MAC address are managed by the function of the DHCP server 10, and end users are specified.

図2は本発明におけるMACアドレス詐称時の動作例を示す。今、端末AのMACアドレス“MAC−A”を詐称した端末A’が、GE−PON加入者線終端装置(ONU)5を介してGE−PON回線終端装置(OLT)7に接続されたとする。GE−PON回線終端装置(OLT)7は、既に、接続位置“GEPON−4”に対応付けて端末AのMACアドレス“MAC−A”が登録されていることを確認し、該MACアドレス“MAC−A”の再学習による接続位置の変更登録を禁止する。そのため、接続位置“GEPON−5”にはMACアドレス“MAC−A”が登録されず、MACアドレスを詐称した端末A’による通信が阻止される。   FIG. 2 shows an example of operation when the MAC address is spoofed in the present invention. Now, it is assumed that the terminal A ′ spoofing the MAC address “MAC-A” of the terminal A is connected to the GE-PON line terminator (OLT) 7 via the GE-PON subscriber line terminator (ONU) 5. . The GE-PON line terminator (OLT) 7 confirms that the MAC address “MAC-A” of the terminal A is already registered in association with the connection position “GEPON-4”, and the MAC address “MAC” -Change registration of connection position by re-learning "A" is prohibited. Therefore, the MAC address “MAC-A” is not registered in the connection position “GEPON-5”, and communication by the terminal A ′ that spoofed the MAC address is blocked.

また、端末BのMACアドレス“MAC−B”を詐称した端末B’が、宅内のVDSLモデム2を介して集合型VDSL装置3に接続されたとする。集合型VDSL装置3は、既に、接続位置“VDSL−1”に対応付けた端末BのMACアドレス“MAC−B”が登録されていることを確認し、該MACアドレス“MAC−B”の再学習による接続位置の変更登録を禁止する。   Further, it is assumed that a terminal B ′ spoofing the MAC address “MAC-B” of the terminal B is connected to the collective VDSL apparatus 3 via the VDSL modem 2 in the home. The collective VDSL device 3 confirms that the MAC address “MAC-B” of the terminal B associated with the connection position “VDSL-1” has already been registered, and re-establishes the MAC address “MAC-B”. The registration of change of connection position by learning is prohibited.

そのため、接続位置“VDSL−2”にはMACアドレス“MAC−B”が登録されず、MACアドレスを詐称した端末B’による通信が阻止される。このように、MACアドレスが詐称されても、MACアドレス学習結果を固定化しているため、新しく学習し直されず、悪意のある第三者による通信が阻止される。   Therefore, the MAC address “MAC-B” is not registered in the connection position “VDSL-2”, and communication by the terminal B ′ that misrepresents the MAC address is blocked. As described above, even if the MAC address is spoofed, the MAC address learning result is fixed, so that a new learning is not performed again, and communication by a malicious third party is prevented.

図3は本発明におけるMACアドレス学習回数制限の動作例を示す。図3において、端末Aのエンドユーザは、1つの端末のみ利用可能な低価格の通信サービスの契約を通信事業者との間に締結し、他方、端末Bのエンドユーザは、2つの端末を利用可能な高価格の通信サービスの契約を通信事業者との間に締結しているものとする。   FIG. 3 shows an example of the operation of limiting the MAC address learning frequency in the present invention. In FIG. 3, the end user of terminal A concludes a contract for a low-cost communication service that can use only one terminal with a communication carrier, while the end user of terminal B uses two terminals. Assume that you have a contract with a telecommunications carrier for possible high-priced telecommunications services.

GE−PON回線終端装置(OLT)7は、端末Aのエンドユーザに対するMACアドレスの学習回数を1回に制限し、該端末Aの接続位置“GE−PON4”に対するMACアドレスを含むネットワーク端末装置情報の登録数を1つに制限する。   The GE-PON line terminator (OLT) 7 limits the number of learning of the MAC address for the end user of the terminal A to one, and the network terminal apparatus information including the MAC address for the connection position “GE-PON4” of the terminal A Limit the number of registrations to one.

また、集合型VDSL装置3は、端末Bのエンドユーザに対するMACアドレスの学習回数が2回に設定されているため、端末Bのエンドユーザは端末Bの以外の端末Cを宅内のVDSLモデム1を介して集合型VDSL装置3に接続したとき、端末Bの接続位置“VDSL−1”に対するMACアドレスの登録数を2つまで許容し、該接続位置“VDSL−1”に対して、新たに接続された端末の端末名“端末C”、MACアドレス“MAC−C”、IPアドレス“IP−C”のネットワーク端末装置情報を新たに登録する。   In the collective VDSL apparatus 3, since the MAC address learning frequency for the end user of the terminal B is set to 2, the end user of the terminal B connects the terminal C other than the terminal B to the VDSL modem 1 in the home. When connecting to the collective VDSL device 3 through the terminal, the number of registered MAC addresses for the connection position “VDSL-1” of the terminal B is allowed up to two, and a new connection is made to the connection position “VDSL-1”. The network terminal device information of the terminal name “terminal C”, the MAC address “MAC-C”, and the IP address “IP-C” is newly registered.

また、GE−PON回線終端装置(OLT)7は、端末B、端末Cのエンドユーザに対して、MACアドレスの学習回数が2回に設定されているため、端末BのMACアドレス登録後、端末Cが集合型VDSL装置3及びGE−PON6を介して接続されると、端末Bの接続位置“GEPON−6”に対するMACアドレスの登録数を2つまで許容し、該接続位置“GEPON−6”に対して、新たに接続された端末の端末名“端末C”、MACアドレス“MAC−C”、IPアドレス“IP−C”のネットワーク端末装置情報を新たに登録する。   In addition, since the GE-PON line terminator (OLT) 7 has set the MAC address learning frequency to 2 times for the end users of the terminal B and the terminal C, after the MAC address registration of the terminal B, the terminal When C is connected via the collective VDSL device 3 and the GE-PON 6, the number of registered MAC addresses for the connection position “GEPON-6” of the terminal B is allowed up to two, and the connection position “GEPON-6”. On the other hand, the network terminal device information of the terminal name “terminal C”, the MAC address “MAC-C”, and the IP address “IP-C” of the newly connected terminal is newly registered.

このようにして、GE−PON回線終端装置(OLT)7又は集合型VDSL装置3において、MACアドレス学習回数を、予めエンドユーザ毎に契約時に登録された回数に制限することにより、通信事業者はエンドユーザ毎にネットワーク端末装置の接続台数を管理し、エンドユーザとの契約料金に応じた複数のネットワーク端末装置による通信サービスを提供することが可能となる。   In this way, in the GE-PON line termination device (OLT) 7 or the collective VDSL device 3, by limiting the MAC address learning frequency to the number registered in advance for each end user at the time of the contract, the communication carrier can It is possible to manage the number of connected network terminal devices for each end user and provide a communication service by a plurality of network terminal devices according to the contract fee with the end user.

本発明の実施形態のネットワークシステムの構成例を示す図である。It is a figure which shows the structural example of the network system of embodiment of this invention. 本発明におけるMACアドレス詐称時の動作例を示す図である。It is a figure which shows the operation example at the time of MAC address spoofing in this invention. 本発明におけるMACアドレス学習回数制限の動作例を示す図である。It is a figure which shows the operation example of MAC address learning frequency restriction | limiting in this invention.

符号の説明Explanation of symbols

1,2 エンドユーザ宅内のVDSLモデム
3 集合型VDSL装置
31 MACアドレス管理テーブル
4,5,6 GE−PON加入者線終端装置(ONU)
7 局内設備のGE−PON回線終端装置(OLT)
71 MACアドレス管理テーブル
8 レイヤ2スイッチ
9 IP網
10 DHCPサーバ
11 各種情報データベースサーバ 1, 2 VDSL modem in the end user's home 3 Collective VDSL device 31 MAC address management table 4, 5, 6 GE-PON subscriber line termination unit (ONU)
7 GE-PON line terminator (OLT) for station facilities
71 MAC address management table 8 Layer 2 switch 9 IP network 10 DHCP server 11 Various information database servers

Claims (4)

ネットワーク端末装置のMAC(Media Access Control)アドレスと該ネットワーク端末装置が接続されたネットワーク機器の接続位置との対応付けを学習するMACアドレス学習機能の管理方法であって、
前記ネットワーク機器の接続位置毎に、該接続位置に接続されたネットワーク端末装置のMACアドレスを少なくとも含むネットワーク端末装置情報をMACアドレス管理テーブルに登録するネットワーク端末装置情報登録ステップと、
前記MACアドレス管理テーブルに一旦登録されたMACアドレスと同一のMACアドレスを有するネットワーク端末装置が、前記MACアドレス管理テーブルに登録された接続位置と異なる接続位置に接続されたことを検出したとき、前記MACアドレス管理テーブルに一旦登録されたネットワーク機器の接続位置とネットワーク端末装置情報との対応付けを変更することなく、該MACアドレスを含む新たなネットワーク端末装置情報の登録を禁止するネットワーク端末装置情報登録禁止ステップと、
を含むことを特徴とするMACアドレス学習機能の管理方法。 A MAC address learning function management method for learning association between a MAC (Media Access Control) address of a network terminal device and a connection position of a network device to which the network terminal device is connected,
A network terminal device information registration step for registering network terminal device information including at least a MAC address of a network terminal device connected to the connection position in a MAC address management table for each connection position of the network device;
When it is detected that a network terminal device having the same MAC address as the MAC address once registered in the MAC address management table is connected to a connection position different from the connection position registered in the MAC address management table, Network terminal device information registration that prohibits registration of new network terminal device information including the MAC address without changing the association between the connection position of the network device once registered in the MAC address management table and the network terminal device information Forbidden steps,
A management method for a MAC address learning function. 前記ネットワーク機器の接続位置毎に、前記ネットワーク端末装置情報を前記MACアドレス管理テーブルに登録して学習する学習回数に予め上限回数を定めておき、
前記学習回数が上限回数以下のときは、前記ネットワーク機器の接続位置毎に、異なるMACアドレスを有するネットワーク端末装置情報を、前記MACアドレス管理テーブルに登録するネットワーク端末装置情報登録ステップと、
前記学習回数が上限回数を越えたときは、前記MACアドレス管理テーブルにおける前記ネットワーク機器の接続位置への新たなMACアドレスを有するネットワーク端末装置情報の登録を禁止するネットワーク端末装置情報登録禁止ステップと、
を含むことを特徴とする請求項1に記載のMACアドレス学習機能の管理方法。 For each connection position of the network device, the network terminal device information is registered in the MAC address management table and learned in advance to determine the upper limit number of times,
When the learning number is less than or equal to the upper limit number, network terminal device information registration step of registering network terminal device information having a different MAC address for each connection position of the network device in the MAC address management table;
A network terminal device information registration prohibiting step for prohibiting registration of network terminal device information having a new MAC address to the connection position of the network device in the MAC address management table when the number of learning times exceeds the upper limit number;
The MAC address learning function management method according to claim 1, comprising: ネットワーク端末装置のMAC(Media Access Control)アドレスと該ネットワーク端末装置が接続された接続位置との対応付けを学習するMACアドレス学習機能を有するネットワーク機器であって、
前記接続位置毎に、該接続位置に接続されたネットワーク端末装置のMACアドレスを少なくとも含むネットワーク端末装置情報をMACアドレス管理テーブルに登録するネットワーク端末装置情報登録手段と、
前記MACアドレス管理テーブルに一旦登録されたMACアドレスと同一のMACアドレスを有するネットワーク端末装置が、前記MACアドレス管理テーブルに登録された接続位置と異なる接続位置に接続されたことを検出したとき、前記MACアドレス管理テーブルに一旦登録されたネットワーク機器の接続位置とネットワーク端末装置情報との対応付けを変更することなく、該MACアドレスを含む新たなネットワーク端末装置情報の登録を禁止するネットワーク端末装置情報登録禁止手段と、
を備えたことを特徴とするネットワーク機器。 A network device having a MAC address learning function for learning a correspondence between a MAC (Media Access Control) address of a network terminal device and a connection position to which the network terminal device is connected,
Network terminal device information registration means for registering network terminal device information including at least the MAC address of the network terminal device connected to the connection location in the MAC address management table for each connection location;
When it is detected that a network terminal device having the same MAC address as the MAC address once registered in the MAC address management table is connected to a connection position different from the connection position registered in the MAC address management table, Network terminal device information registration that prohibits registration of new network terminal device information including the MAC address without changing the association between the connection position of the network device once registered in the MAC address management table and the network terminal device information Prohibited means,
A network device characterized by comprising: 前記接続位置毎に、前記ネットワーク端末装置情報を前記MACアドレス管理テーブルに登録して学習する学習回数に予め上限回数を定め、
前記学習回数が上限回数以下のときは、前記ネットワーク機器の接続位置毎に、異なるMACアドレスを有するネットワーク端末装置情報を、前記MACアドレス管理テーブルに登録するネットワーク端末装置情報登録手段と、
前記学習回数が上限回数を越えたときは、前記MACアドレス管理テーブルにおける前記ネットワーク機器の接続位置への新たなMACアドレスを有するネットワーク端末装置情報の登録を禁止するネットワーク端末装置情報登録禁止手段と、
を備えたことを特徴とする請求項3に記載のネットワーク機器。 For each connection position, the network terminal device information is registered in the MAC address management table and learned in advance to determine the upper limit number of times,
When the learning number is equal to or less than the upper limit number, network terminal device information registration means for registering network terminal device information having a different MAC address for each connection position of the network device in the MAC address management table;
Network terminal device information registration prohibiting means for prohibiting registration of network terminal device information having a new MAC address to the connection position of the network device in the MAC address management table when the learning number exceeds the upper limit number;
The network device according to claim 3, further comprising:
JP2006216942A 2006-08-09 2006-08-09 Management method of mac address learning function, and network device Pending JP2008042735A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006216942A JP2008042735A (en) 2006-08-09 2006-08-09 Management method of mac address learning function, and network device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006216942A JP2008042735A (en) 2006-08-09 2006-08-09 Management method of mac address learning function, and network device

Publications (1)

Publication Number Publication Date
JP2008042735A true JP2008042735A (en) 2008-02-21

Family

ID=39177238

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006216942A Pending JP2008042735A (en) 2006-08-09 2006-08-09 Management method of mac address learning function, and network device

Country Status (1)

Country Link
JP (1) JP2008042735A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012520596A (en) * 2009-03-13 2012-09-06 アルカテル−ルーセント Intrusion detection for virtual layer 2 services
CN103354567A (en) * 2013-07-10 2013-10-16 杭州华三通信技术有限公司 Method for synchronizing media access control (MAC) addresses and device
US9485167B2 (en) 2013-04-24 2016-11-01 Fujitsu Limited Communication device and address learning method
JP2020031321A (en) * 2018-08-22 2020-02-27 富士通株式会社 Communication device
CN112788006A (en) * 2020-12-30 2021-05-11 锐捷网络股份有限公司 Authentication-free MAC address determination method and device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004194145A (en) * 2002-12-13 2004-07-08 Fujitsu Ltd Switching device
JP2006148851A (en) * 2004-10-19 2006-06-08 Tokyo Electric Power Co Inc:The Connection position validity judgment method and apparatus

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004194145A (en) * 2002-12-13 2004-07-08 Fujitsu Ltd Switching device
JP2006148851A (en) * 2004-10-19 2006-06-08 Tokyo Electric Power Co Inc:The Connection position validity judgment method and apparatus

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012520596A (en) * 2009-03-13 2012-09-06 アルカテル−ルーセント Intrusion detection for virtual layer 2 services
US9485167B2 (en) 2013-04-24 2016-11-01 Fujitsu Limited Communication device and address learning method
CN103354567A (en) * 2013-07-10 2013-10-16 杭州华三通信技术有限公司 Method for synchronizing media access control (MAC) addresses and device
CN103354567B (en) * 2013-07-10 2016-03-16 杭州华三通信技术有限公司 A kind of method and apparatus of synchronized multimedia accessing to control address
JP2020031321A (en) * 2018-08-22 2020-02-27 富士通株式会社 Communication device
JP7087819B2 (en) 2018-08-22 2022-06-21 富士通株式会社 Communication device
CN112788006A (en) * 2020-12-30 2021-05-11 锐捷网络股份有限公司 Authentication-free MAC address determination method and device

Similar Documents

Publication Publication Date Title
US7539193B2 (en) System and method for facilitating communication between a CMTS and an application server in a cable network
US8751617B2 (en) Method and device for identifying and selecting an interface to access a network
US9332579B2 (en) Method and system for efficient use of a telecommunication network and the connection between the telecommunications network and a customer premises equipment
US9036582B2 (en) Method and system for efficient management of a telecommunications network and the connection between the telecommunications network and a customer premises equipment
CN101374045B (en) Method for implementing user port orientation on GPON access equipment
US7894437B2 (en) Determining transmission port in a GPON network
JP5898189B2 (en) Telecommunications network, method and system for efficiently using a connection between the telecommunications network and customer premises equipment
US20120047583A1 (en) Cable fraud detection system
US9413829B2 (en) Method for efficient initialization of a telecommunications network and telecommunications network
JP2008042735A (en) Management method of mac address learning function, and network device
JP2010514290A (en) Network device and method for translating media access control address
US20110142048A1 (en) System and method for providing common carrier selection service in distribution network
KR100590875B1 (en) xDSL modem and system including DHCP spoofing server, and PPPoE method for connecting internet using the same
JP2009033557A (en) Network access system and network access method
JP2007226620A (en) Home gateway device and accounting management system for network system
US8347075B1 (en) Methods to mitigate attacks against fiber-to-the-home network systems
Cisco Chapter 1 - Overview
US20050195751A1 (en) System and method for identifying devices using a point to point protocol
US20240007328A1 (en) Operating a broadband access network of a telecommunications network with a customer premises equipment
EP4270878A1 (en) Method for operating a broadband access network of a telecommunications network with a customer premises equipment, broadband access network or telecommunications network, system, customer determination entity or functionality, program and computer-readable medium
JP4451362B2 (en) Network authentication system
KR100969466B1 (en) Apparatus and method for providing network access service about terminal of infected with virus
TWI415425B (en) The home network gateway provides a domain name assignment method for multiple WAN connections
JP2018042055A (en) Ethernet bridge device and internet communication system using the same

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090312

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110913

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20110915

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120124