JP2009296246A - ネットワーク中継装置、および、ネットワーク中継装置方法 - Google Patents

ネットワーク中継装置、および、ネットワーク中継装置方法 Download PDF

Info

Publication number
JP2009296246A
JP2009296246A JP2008147131A JP2008147131A JP2009296246A JP 2009296246 A JP2009296246 A JP 2009296246A JP 2008147131 A JP2008147131 A JP 2008147131A JP 2008147131 A JP2008147131 A JP 2008147131A JP 2009296246 A JP2009296246 A JP 2009296246A
Authority
JP
Japan
Prior art keywords
regular
address
layer
port
network relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008147131A
Other languages
English (en)
Other versions
JP4734374B2 (ja
Inventor
Tomohiko Kono
智彦 河野
Shinichi Akaha
真一 赤羽
Kosei Nara
孝生 奈良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2008147131A priority Critical patent/JP4734374B2/ja
Priority to US12/475,853 priority patent/US8422493B2/en
Publication of JP2009296246A publication Critical patent/JP2009296246A/ja
Application granted granted Critical
Publication of JP4734374B2 publication Critical patent/JP4734374B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Abstract

【課題】不正端末による不正通信を判定する技術を提供する。
【解決手段】ネットワーク中継装置は、取得部と、正規端末情報記憶部と、判定処理部と、を備える。取得部は、正規端末に設定された正規レイヤ2アドレスと、正規端末に設定されたる正規レイヤ3アドレスと、正規端末が所属する正規VLAN情報と、正規端末が接続されている正規ポート情報と、を取得する。正規端末情報記憶部は、取得された正規レイヤ2アドレスと、正規レイヤ3アドレスと、正規VLANと、正規ポートとの組を示す正規端末情報を記憶する。判定処理部は、ポートを介して受信される対象フレームデータの送信元レイヤ2アドレスと、送信元レイヤ3アドレスと、所属するVLANと、受信ポートとの組が、正規端末情報記憶部に正規端末情報として記録されているか否かを判定する。
【選択図】図3

Description

本発明は、ネットワーク中継装置、および、ネットワーク中継装置方法に関し、特にネットワーク上の不正端末検出を行うネットワーク中継装置、および、ネットワーク中継装置方法に関する。
端末に自動的にIPアドレスを設定する方法としてDHCP(Dynamic Host Configuration Protocol)がある。DHCPは、IETF(Internet Engineering Task Force)によって規格化され、RFC(Request for Comments)2131として公開されている。DHCPは、管理された端末だけにIPアドレスを設定し、不正端末にIPアドレスを設定しないことで、不正端末のネットワーク接続を制限できる。しかし、端末に、手動でIPアドレスを設定することで、ネットワークに不正に接続することができる。
従来から、IPアドレスを手動で設定した不正端末の通信を防止するための技術が提案されている(例えば特許文献1)。
この従来技術1では、DHCPサーバと端末の間でやりとりされるDHCPプロトコルを監視し、DHCPでアドレスが設定された端末の情報をIPアドレスとMACアドレスで管理し、管理された情報に適合する端末の通信を許可する。
また、従来から、上記従来技術の他に、IPアドレスを手動で設定した端末の通信を防止するための技術が提案されている(例えば、非特許文献2)。
この従来技術2では、DHCPサーバと端末の間でやりとりされるDHCPプロトコルを監視し(DHCP snooping)、DHCPでアドレスが設定された端末のIPアドレスとポートとVLAN(Virtual Local Area Network)でフィルタリングし(IP Source Guard)、DHCPでアドレスが設定された端末のMACアドレスとポートとVLANでフィルタリングする(Port Security)。
特開2006―262378 " Configuring DHCP Snooping, IP Source Guard, and IPSG for Static Hosts"http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/37sg/configuration/guides/dhcp.html " Configuring Port Security"http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/37sg/configuration/guides/port_sec.html
しかしながら、従来技術1および従来技術2では、端末のMACアドレスが手動で設定される可能性を考慮していない。このため、従来技術1では、DHCPでアドレスが設定された端末と同じIPアドレスとMACアドレスを手動で設定した不正な端末が、ネットワーク中継装置の異なるポートや、異なるVLANに接続した場合、不正通信を防止することができないおそれがあった。
また、従来技術2では、レイヤ3アドレスであるIPアドレスと、レイヤ2アドレスであるMACアドレスを個別に扱っている。このため、DHCPでアドレスが設定された第1の端末のIPアドレスと、DHCPでアドレスが設定された第2の端末のMACアドレスを持つ端末の不正通信を防止することができないおそれがあった。
このため、端末のMACアドレスが手動で設定される可能性を考慮し、より厳密に不正な端末による不正通信を判定する技術が望まれている。
本発明の目的は、不正端末による不正通信をより厳密に判定する技術を提供することである。
本発明は、上述の課題の少なくとも一部を解決するために以下の形態または適用例として実現することが可能である。
[適用例1]正規端末の通信を、ポートを介して中継するネットワーク中継装置であって、
前記正規端末に設定されたレイヤ2アドレスである正規レイヤ2アドレスと、前記正規端末に設定されたレイヤ3アドレスである正規レイヤ3アドレスと、前記正規端末が所属するVLANを示す正規VLAN情報と、前記正規端末が接続されているポートを示す正規ポート情報と、を取得する取得部と、
取得された前記正規レイヤ2アドレスと、前記正規レイヤ3アドレスと、前記正規VLANと、前記正規ポートとの組を示す正規端末情報を記憶する正規端末情報記憶部と、
前記ポートを介して受信される対象フレームデータの送信元レイヤ2アドレスと、送信元レイヤ3アドレスと、所属するVLANと、受信ポートとの組が、前記正規端末情報記憶部に前記正規端末情報として記録されているか否かを判定する判定処理部と、
を備える、ネットワーク中継装置。
こうすれば、対象フレームの送信元レイヤ2アドレスと、送信元レイヤ3アドレスと、所属するVLANと、受信ポートとの組が、正規端末情報として記憶されている正規レイヤ2アドレスと、正規レイヤ3アドレスと、正規VLAN情報と、前記正規ポート情報の組と、適合しない対象フレームデータを、不正端末にかかるデータであると判定するので、不正端末による通信をより厳密に判定することができる。
[適用例2]適用例1に記載のネットワーク中継装置であって、
さらに、前記判定の結果、前記正規端末情報記憶部に前記正規端末情報として記録されている場合には、前記対象フレームデータの転送を実行し、前記正規端末情報記憶部に正規端末情報として記録されていない場合には、前記対象フレームデータの転送を実行しない、転送処理部を備える、ネットワーク中継装置。
こうすれば、対象フレームの送信元レイヤ2アドレスと、送信元レイヤ3アドレスと、所属するVLANと、受信ポートとの組が、正規端末情報として記憶されている正規レイヤ2アドレスと、正規レイヤ3アドレスと、正規VLAN情報と、前記正規ポート情報の組と、適合しない場合には、対象フレームデータの転送を実行しない。この結果、不正端末による通信をより厳密に抑制することができる。
[適用例3]適用例1または適用例2に記載のネットワーク中継装置において、
前記正規端末情報取得部は、前記ポートを介して正規端末とDHCPサーバとの間で送受信されるフレームデータであるDHCPフレームを監視して、前記正規端末に設定されたレイヤ2アドレスである正規レイヤ2アドレスと、前記正規端末に設定されたレイヤ3アドレスである正規レイヤ3アドレスと、前記正規端末が所属するVLANを示す正規VLAN情報と、前記正規端末が接続されているポートを示す正規ポート情報と、を取得する、ネットワーク中継装置。
こうすれば、DHCPフレームを監視することにより、正規端末情報を取得することができる。
[適用例4]適用例3に記載のネットワーク中継装置であって、
前記対象フレームデータは、前記DHCPフレーム以外のフレームデータである、ネットワーク中継装置。
こうすれば、前記DHCPフレーム以外のフレームデータについて、不正端末による通信にかかるデータか否かをより厳密に判定することができる。
[適用例5]適用例1ないし適用例4のいずれかに記載のネットワーク中継装置であって、
前記判定は、前記対象フレームデータがレイヤ3転送の対象であるかレイヤ2転送の対象であるかに関わらず実行される、ネットワーク中継装置。
こうすれば、対象フレームデータがレイヤ3転送の対象であるかレイヤ2転送の対象であるかに関わらず、不正端末による通信にかかるデータか否かをより厳密に判定することができる。
[適用例6]適用例1ないし適用例5のいずれかに記載のネットワーク中継装置であって、
前記正規端末情報記憶部に正規端末情報として記録されていると判定された前記対象フレームデータについては、送信元レイヤ2アドレスの学習処理を行い、
前記正規端末情報記憶部に正規端末情報として記録されていないと判定された前記対象フレームデータについては、送信元レイヤ2アドレスの学習処理を行わない、ネットワーク中継装置。
こうすれば、不正端末による通信にかかるデータに基づいてレイヤ2アドレスの学習処理を行わないので、誤ったレイヤ2アドレスの学習を抑制することができる。
[適用例7]適用例1ないし適用例6のいずれかに記載のネットワーク中継装置は、さらに、
前記対象フレームデータの送信先レイヤ3アドレスに基づいて、前記ポートのうち、前記対象フレームデータを出力する出力ポートを特定する1または複数の中継用検索テーブルを、有し、
前記正規端末情報記憶部は、前記1または複数の中継用検索テーブルと共有されている、ネットワーク中継システム。
こうすれば、正規端末情報記憶部を、中継用検索テーブルとは別に用意しなくて良いので、ネットワーク中継装置の構成を簡便化できる。
[適用例8]適用例7に記載のネットワーク中継装置であって、
前記1または複数の中継用検索テーブルは、
送信先のレイヤ3アドレスを、ネクストホップおよび所属VLANに対応付けるレイヤ3経路テーブルと、
前記ネクストホップをレイヤ2アドレスに対応付けるレイヤ2アドレス検索テーブルと、
前記レイヤ2アドレスを前記出力ポートに対応付けるポート検索テーブルと、
を含み、
前記正規端末情報のうち、前記正規レイヤ3アドレスと正規VLAN情報は、前記レイヤ3経路テーブルに記憶され、
前記正規端末情報のうち、前記正規レイヤ2アドレスは、前記レイヤ2アドレス検索テーブルに記憶され、
前記正規端末情報のうち、前記正規ポート情報は、前記ポート検索テーブルに記憶され、
前記正規レイヤ3アドレスに基づいて、前記レイヤ3経路テーブルと前記レイヤ2アドレス検索テーブルと前記ポート検索テーブルを順次に検索すると、該正規レイヤ3アドレスに対応する前記正規VLAN情報と前記正規レイヤ2アドレスと前記正規ポート情報を抽出できる、ネットワーク中継装置。
こうすれば、転送処理に必要なレイヤ3経路テーブルと、レイヤ2アドレス検索テーブルと、ポート検索テーブルとに、正規端末情報を記憶するので、ネットワーク中継装置の構成を簡便化できる。
[適用例9]適用例8に記載のネットワーク中継装置であって、
前記対象フレームデータが送信元レイヤ3アドレスを有しない場合には、判定処理部は、該対象フレームデータの前記送信元レイヤ2アドレスと、所属するVLANと、受信ポートとの組が、前記正規端末情報として記録されているか否かを判定する、ネットワーク中継装置。
こうすれば、レイヤ3アドレスを有しない対象フレームデータについて、不正端末による通信にかかるデータか否かをより厳密に判定することができる。
[適用例10]適用例1ないし適用例9のいずれかに記載のネットワーク中継装置であって、
前記レイヤ3アドレスは、IPアドレスである、ネットワーク中継装置。
[適用例11]適用例1ないし適用例10のいずれかに記載のネットワーク中継装置であって、
前記レイヤ2アドレスは、MACアドレスである、ネットワーク中継装置。
本発明は、種々の形態で実現することが可能であり、例えば、ネットワーク中継装置の制御方法、あるいは、ネットワーク中継方法、ネットワーク中継システムの制御方法などの方法発明として実現することができる。また、本発明は、ネットワーク中継装置またはネットワーク中継システムの制御プログラム、当該制御プログラムを記録した記録媒体などの態様で実現することができる。
A.第1実施例:
図1は、第1実施例としてのネットワークシステムの構成を示す図である。第1実施例としてのネットワークシステムは、DHCPサーバD1と、ネットワーク中継装置としてのSW1、SW2と、端末H1〜H2、不正端末Aを含んでいる。なお、説明を容易にするため、ネットワーク中継装置SW1の他のポートに接続されるネットワーク中継装置は省略する。図1では、端末H1〜H2は、DHCPによりIPアドレスを設定されている端末である(以下、正規端末とも呼ぶ)。一方、不正端末Aは、パケット盗聴等の手段により、MACアドレスを端末H1のMACアドレスに、IPアドレスを端末H2のIPアドレスに手動設定している。第1実施例の特徴である不正通信抑制手法が動作するのは、ネットワーク中継装置SW1である。ネットワーク中継装置SW2は、不正通信の抑制のためのフィルタリング機能を持たないスイッチであり、単にネットワークを階層化するために接続される。
ネットワーク中継装置SW1およびSW2は、複数のポートP11〜P1n(nは2以上の整数)を備える。また、ネットワーク中継装置SW1は、複数のVLANとしてV11〜P1n(nは2以上の整数)を構成している。
図2は、第1実施例におけるネットワーク中継装置SW1の構成を示すブロック図である。ネットワーク中継装置SW1は、管理部100と、フレーム転送処理部200と、プロトコル処理部300と、宛先/処理判定部400を備える。管理部100は、利用者の指示を受け付けるユーザインターフェース110を有している。プロトコル処理部300は、ルーティングプロトコルや、ARP(Address Resolution Protocol)などのプロトコルに関連する処理を行うが、詳細は省略する。プロトコル処理部300は、DHCPに関連する処理を行うDHCP解析処理部310を備えている。
宛先/処理判定部400は、ポート状態判定部410と、ポート状態管理テーブル411と、VLAN状態判定部420と、VLAN状態管理テーブル421と、パケット種別判定部430と、L3中継処理部440と、経路表441と、ARP処理部450とARPテーブル451と、L2検索処理部460と、FDB(Fowarding Data Base)461と、不正端末検出部470と、認証用データベース471と、フレーム処理判定部480と、MAC学習処理部490と、を備える。
図3は、第1実施例における不正端末の検出手法の概要を説明する図である。上述したネットワーク中継装置SW1の各構成要素の具体的な動作を説明する前に、不正端末の検出手法の概要を簡単に説明する。ネットワーク中継装置SW1が主として転送処理を行う対象フレームデータ800は、イーサネットヘッダ810と、IPヘッダ820と、ペイロード830を含んでいる。イーサネットヘッダ810は、レイヤ2プロトコル(本実施例ではイーサネット)で用いられる情報が記述されている。イーサネットヘッダ810は、宛先MACアドレス(以下、DMACとも呼ぶ。)と、送信元MACアドレス(以下、SMACとも呼ぶ。)と、VLAN−IDとを含んでいる。VLAN−IDは、対象フレームデータ800が利用しているVLAN(所属VLAN)を示す情報である。IPヘッダ820は、ネットワーク層における処理に用いられる情報が記述されたヘッダである。IPヘッダ820は、少なくとも送信元IPアドレス(以下、SIPとも呼ぶ。)と、宛先IPアドレス(以下、DIPとも呼ぶ。)を含んでいる。ペイロード830は、転送処理の対象のデータ本体である。
認証用データベース471には、DHCPによってIPアドレスを設定された正規端末の情報(正規端末情報)が記述されている。認証用データベース471に記述された正規端末情報は、1つの正規端末ごとに、設定されたIPアドレス(正規IPアドレスIPREG)と、正規VLAN情報VLREGと、正規ポート情報POREGと、正規端末のMACアドレス(正規MACアドレスMACREG)と、を含む。正規VLAN情報VLREGは、正規端末の所属VLAN(正規VLAN)を示す情報である。正規ポート情報POREGは、正規端末と通信するポート(正規ポート)を示す情報である。
ネットワーク中継装置SW1は、対象フレームデータ800が正規端末から送信された正規データであるか、不正端末から送信された不正データであるかを判定する。具体的には、ネットワーク中継装置SW1は、対象フレームデータ800の送信元IPアドレスと、所属VLANと、受信ポートと、対象フレームデータ800の送信元MACアドレスとの組み合わせが、認証用データベース471に記述されたいずれかの正規端末の正規IPアドレスIPREGと、正規VLAN情報VLREGと、正規ポート情報POREGと、正規MACアドレスMACREGとの組み合わせと、一致するか否かを判定する。これらの組み合わせが一致した場合には、ネットワーク中継装置SW1は、対象フレームデータ800を、正規端末から送信されたデータとして、通常の転送処理を行う。一方、これらの組み合わせが一致しない場合には、ネットワーク中継装置SW1は、対象フレームデータ800を、不正端末から送信されたデータとして、廃棄する。
以下、ネットワーク中継装置SW1の動作の詳細を説明していく。
・ネットワーク中継装置の設定:
図4は、ネットワーク中継装置SW1を、ネットワーク構成に合わせて設定し、不正端末の検出を開始する為の処理フローを示すフローチャートである。ネットワーク中継装置SW1の管理部100が、装置管理者からのポート毎の上流/下流指示を受信する(ステップS310)。ポートの上流とは、DHCPサーバD1が接続されたポートである。DHCPサーバが他のスイッチ経由で接続されているポートも上流となる。ポートの下流とは、DHCPサーバD1が接続されていないポートである。DHCPサーバD1によりIPアドレスが設定された正規端末は、スイッチの下流ポートに接続する。次に、ネットワーク中継装置SW1の管理部100が、装置管理者からのVLAN毎のDHCPsnooping実行/非実行指示を受信する(ステップS320)。上記指示は、ネットワーク中継装置SW1に接続された図示しない管理端末を介して装置管理者によりネットワーク中継装置SW1に入力される。
・フレームデータ受信処理:
図5は、フレームデータ受信処理の処理ステップを示す第1のフローチャートである。フレーム転送処理部200は、対象フレームデータ800が到着したポートP11〜P1nからそのフレームを受信して、図示しないフレーム蓄積用メモリに格納する(ステップS410)。フレーム転送処理部200は、受信された対象フレームデータ800の中から、宛先/処理判定部400が必要な、宛先MACアドレス、送信元MACアドレス、VLAN−ID、宛先IPアドレス、送信元IPアドレス等のヘッダ情報を抽出して、宛先/処理判定部400へ送信する(ステップS420)。
なお、DHCP等の制御フレームデータは、他の通常フレームデータよりも優先的に制御する方が、ネットワークの信頼性面で好ましい。そこで、フレーム転送処理部200は、受信したフレームデータがDHCP等の制御フレームであるか否かを判定し、DHCP等の制御フレームデータであった場合には優先的にフレーム蓄積用メモリへ格納するほうが好ましい。この場合の判定処理は、後述するパケット種別判定部430を用いればよい。
図6は、フレームデータ受信処理の処理ステップを示す第2のフローチャートである。次に、宛先/処理判定部400のポート状態判定部410は、ポート状態管理テーブル411を検索し、受信ポートの状態を参照する(ステップS510)。これにより、例えば、受信ポートが上流側のポートであるか、下流側のポートであるかなどが認識される。
宛先/処理判定部400のVLAN状態判定部420は、フレーム転送処理部から受信された前記ヘッダ情報から、対象フレームデータ800の所属VLANを決定する(ステップS520)。そして、宛先/処理判定部400のVLAN状態判定部420は、VLAN状態管理テーブル421を検索し、所属VLANの状態を参照する(ステップS530)。これにより、例えば、VLANのDHCPsnoopingが有効であるか否かなどが認識される。
宛先/処理判定部400のパケット種別判定部430は、フレーム転送処理部200から受信したヘッダ情報から、対象フレームデータ800のプロトコルを判定する(ステップS540)。判定したフレーム種別がDHCPフレームであった場合で、かつ、所属VLANのVLAN状態がDHCPsnooping有効に設定されている場合は、DHCP解析処理へ処理が進められる(ステップS550:YES)。一方、判定したフレーム種別がDHCPフレーム以外か、所属VLANのVLAN状態がDHCPsnooping無効に設定されている場合には(ステップS550:NO)、レイヤ3転送が必要か判定する(ステップS560)。レイヤ3転送が必要な場合は、レイヤ3転送処理フローへ(ステップS560:YES)、レイヤ3転送が不要な場合は、レイヤ2転送処理フローへ(ステップS560:NO)処理が進められる。
図7は、DHCPフレームデータを示す説明図である。宛先/処理判定部400のパケット種別判定部430は、対象フレームデータ800の中に、イーサネットヘッダとIPヘッダとUDPヘッダにカプセル化されているDHCPヘッダF200の存在を調べることで、対象フレームデータ800がDHCPフレームデータF100であることを判断する。
図8は、DHCP解析処理の処理ステップを示すフローチャートである。DHCP解析処理処理では、まずDHCPヘッダF200を、DHCPフレームF100から取り出し、参照する(ステップS710)。次に、DHCPフレームデータのタイプがACKで、かつ、受信したポートのポート状態が上流であるかを判定(ステップS720)する。該判定が真の場合(ステップS720:YES)、正規端末を管理する認証用データベース471に、新しくIPアドレスが設定された正規端末の情報を、正規MACアドレス、正規IPアドレス、正規端末の所属するVLAN、正規端末と通信するためのポートの組で追加する。なお、正規端末の情報には、有効な期間が管理されていても良く、有効期間が過ぎた場合、自動的に登録された情報は削除されても良い。たとえば、既に管理されている正規端末に対し、再度の設定が行われた場合、有効期間が初期化されることとしても良い。一方、上述の判定が偽であった場合(ステップS720:NO)、DHCPフレームデータのタイプがRELEASEで、かつ、受信したポートのポート状態が下流であるかを判定する(ステップS730)。該判定が真の場合には(ステップ730:YES)、RELEASEを送信した端末が、認証用データベース471に設定されているか検索を行う(ステップS740)。検索の結果、認証用データベース471に登録されている場合には(ステップS470:YES)、認証用データベース471よりRELEASEを送信した端末の正規端末情報を削除する。一方、検索の結果、データベースに登録されていない場合には(ステップS470:NO)、対象フレームデータ800を廃棄する。上述の判定が偽の場合には(ステップ730:NO)、レイヤ3転送が必要か否かを判定する(ステップS750)。レイヤ3転送が必要な場合には、レイヤ3転送処理へ(ステップS750:YES)、レイヤ3転送が不要な場合には、レイヤ2転送処理へ(ステップS750:NO)処理が進められる。
認証用データベース471に登録された正規端末情報は、例えば、Layer2情報とLayer3情報をが結合されたLayer2/3結合データベースという形で記憶される。
図9は、レイヤ3転送処理の処理ステップを示すフローチャートである。宛先/処理判定部400のL3中継処理部430は、対象フレームデータ800の宛先IPアドレスで経路表431を検索し、対象フレームデータ800を出力するVLAN(出力VLAN)と転送先装置(NextHop)を決定し、宛先/処理判定部400のARP処理部450に通知する(ステップS810)。次に、宛先/処理判定部400のARP処理部450は、通知されたNexthopでARPテーブル451を検索し、NexthopのMACアドレスを決定し、宛先/処理判定部400のL2中継処理部460に通知する(ステップS820)。さらに、宛先/処理判定部400のL2中継処理部460は、前記MACアドレスでFDB461を検索し、対象フレームデータ800の出力ポートを決定し、不正端末検出部470に通知する(ステップS830)。
図10は、レイヤ2転送処理の処理ステップを示すフローチャートである。宛先/処理判定部400のL2中継処理部460は、対象フレームデータ800の所属VLANと宛先MACアドレスでFDB461を検索し、対象フレームデータ800の出力ポートを決定し、不正端末検出部470に通知する(ステップS910)。
・不正端末の検出処理:
図11は、不正端末検出処理の処理フローを示す第1のフローチャートである。図11は、対象フレームデータ800がIPパケットであった場合の不正端末検出処理フローを示している。
まず、VLAN状態がDHCPsnooping有効であり、かつ、受信ポートのポート状態が下流であるか否かを判定する(ステップS1001)。VLAN状態がDHCPsnooping有効であり、かつ、受信ポートのポート状態が下流であった場合には(S1001:YES)、宛先/処理判定部400の不正端末検出部470は、対象フレームデータ800の送信元MACアドレスと、送信元IPアドレスと、所属VLANと、受信ポートで、認証用データベース471を検索する(ステップS1002)。認証用データベース471の検索の結果、対応するエントリが存在する場合(ステップS1003:YES)と、VLAN状態がDHCPsnooping無効、または、受信ポートのポート状態が上流であった場合には(ステップS1001:NO)、不正端末検出部470は、L2中継処理部460から通知された出力ポートを、フレーム処理判定部480に通知する(ステップS1004)。一方、検索の結果、対応するエントリが存在しない場合(S1003:NO)、不正端末検出部470は、フレーム処理判定部480に、廃棄指示を通知する(ステップS1005)。
図12は、不正端末検出処理の処理フローを示す第2のフローチャートである。図12は、対象フレームデータ800が非IPパケットであった場合の不正端末検出処理フローを示している。まず、VLAN状態がDHCPsnooping有効であり、かつ、受信ポートのポート状態が下流であるか否かを判定する(ステップS1101)。VLAN状態がDHCPsnooping有効であり、かつ、受信ポートのポート状態が下流であった場合には(S1101:YES)、宛先/処理判定部400の不正端末検出部470は、対象フレームデータ800の送信元MACアドレスと、所属VLANと、受信ポートで、認証用データベース471を検索する(ステップS1102)。認証用データベース471の検索の結果、対応するエントリが存在する場合(ステップS1103:YES)と、VLAN状態がDHCPsnooping無効、または、受信ポートのポート状態が上流であった場合には(S1101:NO)、不正端末検出部470は、L2中継処理部460から通知された出力ポートを、フレーム処理判定部480に通知する(ステップS1104)。認証用データベース471の検索の結果、対応するエントリが存在しない場合(ステップS1103:NO)、不正端末検出部470は、フレーム処理判定部480に、廃棄指示を通知する(ステップS1105)。
図13は、フレーム処理判定部480とMACアドレス学習処理部490の処理ステップを示すフローチャートである。宛先/処理判定部400のフレーム処理判定部480は、不正端末検出部470から通知された判定結果を解析する(ステップS1201)。解析の結果、廃棄指示である場合には(ステップ1202:YES)、フレーム処理判定部480は、対象フレームデータ800を廃棄する(ステップS1203)。一方、解析の結果、廃棄指示でない場合には(ステップ1202:NO)、MAC学習処理部490は、対象フレームデータ800の送信元MACアドレスで、FDB学習処理を行う(ステップS1204)。FDB学習処理は、簡単に言えば、送信元MACアドレスと、送信元MACアドレスを有する装置が接続されているポートとを対応付けて学習する処理である。次に、MAC学習処理部490は、フレーム処理判定部480から通知された判定結果を、フレーム転送処理部200に通知する(ステップS1205)。フレーム転送処理部200は、MAC学習処理部490から通知された出力ポートから対象フレームデータ800を送信する(ステップS1206)。
以上説明したネットワーク中継装置SW1によれば、DHCPサーバによりIPアドレスが設定された正規端末と同じIPアドレスとMACアドレスを手動で設定した不正端末が、ネットワーク中継装置の異なるポートや、異なるVLANに接続した場合、不正通信を抑制することができる。このため、DHCPでIPアドレスが設定された端末のIPアドレスとMACアドレスをパケット盗聴などにより得ることができた不正端末が、手動で正規端末と同じIPアドレスの設定と、正常端末と同じMACアドレスへの変更をしても、ネットワークに接続できない。
また、対象フレームデータ800に対してレイヤ3転送を行うかレイヤ2転送を行うかに関わらず、正規VLAN情報VLREGと、正規MACアドレスMACREGと、正規ポート情報POREGと共に、レイヤ3情報である正規IPアドレスIPREGを組み合わせて、不正端末検出を行うので、より厳密に不正端末による通信を抑制することができる。
また、不正端末のフレームを廃棄し、MACアドレス学習処理を防止することにより、不正端末からの通信により、正常端末の通信が妨害されることを防止することができる。
・第1実施例の変形例:
本発明はDHCPによる端末へのIPアドレス設定処理をもとに、不正端末の検出処理を行っている。しかしながら、IPアドレス設定処理はDHCPに限られるものではなく、各種の端末へのIPアドレス設定技術に対応させることも、パケット種別判定部430と、プロトコル処理部300を改造することで可能である。
なお、端末へのIPアドレス設定技術を用いず、端末のIPアドレスを手動で設定する場合にも、ユーザインタフェース経由で認証用データベース471を設定することで、本発明の検出方法で不正端末を検出することが可能である。
さらに、本実施例は、IPv4のIPアドレスが設定された端末を例に説明しているが、IPv6の不正端末の検出にも、同様に対応することが可能である。
B.第2実施例:
第2実施例におけるネットワークシステムの概略構成は、図1を参照して説明した第1実施例におけるネットワークシステムの概略構成と同一であるので、その説明を省略する。ただし、第2実施例におけるネットワークシステムでは、ネットワーク中継装置SW1に代えて、ネットワーク中継装置SW1Aを備えている。第2実施例の特徴である不正通信抑制手法が動作するのは、ネットワーク中継装置SW1Aである。ネットワーク中継装置SW2は、不正通信の抑制のためのフィルタリング機能を持たないスイッチであり、単にネットワークを階層化するために接続される。
図14は、第2実施例におけるネットワーク中継装置SW1Aの構成を示すブロック図である。ネットワーク中継装置SW1Aは、管理部100Aと、フレーム転送処理部200Aと、プロトコル処理部300Aと、宛先/処理判定部400Aを備える。管理部100Aは、利用者の指示を受け付けるユーザインターフェース110Aを有している。プロトコル処理部300Aは、ルーティングプロトコルや、ARP(Address Resolution Protocol)などのプロトコルに関連する処理を行うが、詳細は省略する。プロトコル処理部300Aは、DHCPに関連する処理を行うDHCP解析処理部310Aを備えている。
宛先/処理判定部400Aは、ポート状態判定部410Aと、ポート状態管理テーブル411Aと、VLAN状態判定部420Aと、VLAN状態管理テーブル421Aと、パケット種別判定部430Aと、L3中継処理部440Aと、経路表441Aと、ARP処理部450AとARPテーブル451Aと、L2中継処理部460Aと、FDB461Aと、不正端末検出部470Aと、フレーム処理判定部480Aと、MAC学習処理部490Aと、を備える。
図15は、第2実施例における不正端末の検出手法の概要を説明する図である。上述したネットワーク中継装置SW1Aの各構成要素の具体的な動作を説明する前に、不正端末の検出手法の概要を簡単に説明する。第1実施例では、正規端末情報は、独立したデータベースである認証用データベース471に記憶されているが、第2実施例では、正規端末情報は、ネットワーク中継装置が通常の転送処理において転送先を特定するために用いる中継用検索テーブルに記憶されている。すなわち、正規端末情報を記憶する記憶部と、中継用検索テーブルとが共有されている。第2実施例におけるネットワーク中継装置SW1Aは、中継用検索テーブルとして、ルーティングテーブル441Aと、ARPテーブル451Aと、FDB461Aを備えている。第2実施例では、正規端末情報のうち、正規IPアドレスIPREGと、正規VLAN情報VLREGとは、ルーティングテーブル441Aに格納されている。また、正規端末情報のうち、正規MACアドレスMACREGは、ARPテーブル451Aに格納され、正規ポート情報POREGは、FDB461Aに格納されている。各正規端末情報は、各テーブル441A、451A、461Aにおいて、転送処理に用いられる情報が格納された領域(中継用領域)とは異なる領域(認証用領域)に記憶されている。
各テーブル441A、451A、461Aにおいて転送用領域と認証用領域は、例えば、テーブルに格納するフラグによって識別する。転送処理のための検索時には、転送用領域を参照する。不正端末検出処理のための検索時には、認証用領域を参照する。転送用領域は、ルーティングプロトコル/ARPプロトコル/MAC学習機能等の従来機能で、管理する。一方、認証用領域は、プロトコル処理部300Aが管理する。
ネットワーク中継装置SW1Aは、対象フレームデータ800の送信元IPアドレスに基づいて、ルーティングテーブル441Aを検索する。対象フレームデータ800の送信元IPアドレスが、正規IPアドレスIPREGとしてルーティングテーブル441Aに記憶されていれば、送信元IPアドレスが正規IPアドレスIPREGであることが認識されると共に、正規VLAN情報VLREGと、Nexthopが決定される。ネットワーク中継装置SW1Aは、決定されたNexthopに基づいて、ARPテーブル451Aを検索する。その結果、正規MACアドレスMACREGが決定される。ネットワーク中継装置SW1Aは、決定されたMACアドレスMACREGに基づいて、FDB461Aを検索する。その結果、正規ポート情報POREGが決定される。すなわち、ネットワーク中継装置SW1Aは、対象フレームデータ800の送信元IPアドレスに基づいて、順次に、各テーブル441A、451A、461Aを検索することによって、正規端末情報としての正規IPアドレスIPREGと、正規VLAN情報VLREGと、正規MACアドレスMACREGと、正規ポート情報POREGを抽出することができる。
ネットワーク中継装置SW1Aは、対象フレームデータ800が正規端末から送信された正規データであるか、不正端末から送信された不正データであるかを判定する。具体的には、ネットワーク中継装置SW1Aは、対象フレームデータ800の送信元IPアドレスと、所属VLANと、受信ポートと、送信元MACアドレスとの組み合わせが、抽出された正規IPアドレスIPREGと、正規VLAN情報VLREGと、正規ポート情報POREGと、正規MACアドレスMACREGとの組み合わせと、一致するか否かを判定する。これらの組み合わせが一致した場合には、第1実施例と同様に、ネットワーク中継装置SW1Aは、対象フレームデータ800を、正規端末から送信されたデータとして、通常の転送処理を行う。一方、これらの組み合わせが一致しない場合には、ネットワーク中継装置SW1Aは、対象フレームデータ800を、不正端末から送信されたデータとして、廃棄する。
以下、第2実施例のネットワーク中継装置SW1Aの具体的動作を説明する。ネットワーク中継装置SW1Aの動作は、不正端末検出処理を除いて、第1実施例のネットワーク中継装置SW1の動作と同様であるので、以下では、不正端末検出処理についてのみ説明する。
.不正端末検出処理:
図16は、第2実施例における不正端末検出処理の処理ステップを示す第1のフローチャートである。図16では、受信したフレームがIPパケットであった場合の不正端末検出処理を示している。
まず、VLAN状態がDHCPsnooping有効であり、かつ、受信ポートのポート状態が下流であることを判定する(ステップS1401)。VLAN状態がDHCPsnooping有効であり、かつ、受信したポートの状態が下流であった場合(S1401:YES)、宛先/処理判定部400Aの不正端末検出部470Aは、宛先/処理判定部400AのL3中継処理部440Aに、受信したフレームの送信元IPアドレスを通知する(ステップS1402)。次に、宛先/処理判定部400AのL3中継処理部440Aは、受信したフレームの送信元IPアドレスでルーティングテーブル441Aの認証用領域のダイレクト経路を対象に検索し、VLANとNexthopを決定し、宛先/処理判定部400AのARP処理部450Aに、VLANとNexthopを通知する(ステップS1403)。ここで通知されるVLAN情報は、正規VLAN情報VLREGである。宛先/処理判定部400AのARP処理部450Aは、決定されたNexthopでARPテーブル451Aを検索し、当該Nexthopに対応するMACアドレスを決定し、宛先/処理判定部400AのL2中継処理部460Aに、上述したVLAN(正規VLAN情報VLREG)と決定されたMACアドレスを通知する(ステップS1404)。ここで通知されるMACアドレスは、正規MACアドレスMACREGである。宛先/処理判定部400AのL2中継処理部460Aは、決定されたVLAN(正規VLAN情報VLREG)と決定されたMACアドレス(正規MACアドレスMACREG)でFDB461Aを検索し、当該MACアドレスに対応するポートを決定し、宛先/処理判定部400Aの不正端末検出部470Aに、上述したVLAN(正規VLAN情報VLREG)と、MACアドレス(正規MACアドレスMACREG)と、決定されたポートを通知する(ステップS140)。ここで通知されるポート情報は、正規ポート情報POREGである。
ついで、上述したVLAN(正規VLAN情報VLREG)と、MACアドレス(正規MACアドレスMACREG)と、決定されたポート(正規ポート情報POREG)が、対象フレームデータ800の所属VLANと送信元MACアドレスと受信ポートと一致するか判定する。当該判定が一致であった場合(ステップS1406:YES)と、VLAN状態がDHCPsnooping無効か、または、受信ポートのポート状態が上流であった場合には(ステップS1401:NO)、不正端末検出部470Aは、L2中継処理部460Aから通知された出力ポートを、フレーム処理判定部480Aに通知する(ステップS1407)。当該判定が不一致だった場合には(ステップS1406:NO)、不正端末検出部470Aは、フレーム処理判定部480Aに、廃棄指示を通知する(ステップS1408)。
図17は、第2実施例における不正端末検出処理の処理ステップを示す第2のフローチャートである。図17は、受信したフレームが非IPパケットであった場合の不正端末検出処理を示している。まず、VLAN状態がDHCPsnooping有効であり、かつ、受信ポートのポート状態が下流であることを判定する(ステップS1501)。VLAN状態がDHCPsnooping有効であり、かつ、受信したポートの状態が下流であった場合には(S1501:YES)、宛先/処理判定部400Aの不正端末検出部470Aは、宛先/処理判定部400AのL2中継処理部460Aに、受信したフレームの送信元MACアドレスを通知する(ステップS1502)。宛先/処理判定部400AのL2中継処理部460Aは、受信VLANと送信元MACアドレスでFDB461Aを検索し、ポートを決定し、不正端末検出部470Aに通知する(ステップS1503)。ここで通知されるポート情報は、正規ポート情報POREGである。次に、通知された正規ポート情報POREGが、対象フレームデータ800の受信ポートと一致しているかを判定する。当該判定が一致であった場合(ステップS1504:YES)と、VLAN状態がDHCPsnooping無効、または、受信ポートのポート状態が上流であった場合には(ステップS1501:NO)、不正端末検出部470Aは、L2中継処理部460Aから通知された出力ポートを、フレーム処理判定部480Aに通知する(ステップS1505)。当該判定が不一致だった場合には(ステップS1504:NO)、不正端末検出部470Aは、フレーム処理判定部480Aに、廃棄指示を通知する(ステップS1506)。
以上説明した第2実施例におけるネットワーク中継装置SW1Aによれば、第1実施例のネットワーク中継装置SW1と同様の作用・効果を得ることができる。
さらに、第2実施例におけるネットワーク中継装置SW1Aでは、第1実施例で必要であった認証用データベース471が不要となっている。このため、ネットワーク中継装置SW1Aの部品点数削減や、必要なメモリ容量の低減など構成の簡便化を実現できる。また、ネットワーク中継装置SW1Aのメモリ容量を、他の目的に使用するなどして、有効利用することができる。
さらに、実施例2は、既存のuRPF機能と処理の一部を共通化することが可能である。具体的には、送信元IPアドレスによる経路検索処理を共通化できる。このため、uRPF機能と同時に動作させた場合、ネットワーク処理LSIの機能活性度を、2個の独立した機能を動作させるのに比べ、小さくすることができ、省エネルギー面での効果もある。
・第2実施例の変形例:
本発明はDHCPによる端末へのIPアドレス設定処理をもとに、不正端末の検出処理を行っている。しかしながら、IPアドレス設定処理はDHCPに限られるものではなく、各種の端末へのIPアドレス設定技術に対応させることも、パケット種別判定部430Aと、プロトコル処理部300Aを改造することで可能である。なお、端末へのIPアドレス設定技術を用いず、端末のIPアドレスを手動で設定する場合にも、ユーザインタフェース経由でルーティングテーブル441A、ARPテーブル451A、FDB461Aを設定することで、本発明の検出方法で不正端末を検出することが可能である。さらに、本実施例は、IPv4のIPアドレスが設定された端末を例に説明しているが、IPv6の不正端末の検出にも、同様に対応することが可能である。
C.第3実施例:
図18は、第3実施例の概要を示す説明図である。第2実施例のように、正規端末情報をルーティングテーブル441A、ARPテーブル451A、FDB461Aに格納する場合、各テーブルの管理を、従来からある制御機能と調停する必要がある。つまり、ルーティングテーブル441Aを管理するルーティングプロトコル、ARPテーブル451Aを管理するARPプロトコル、FDB461を管理するMAC学習処理機能と、不正端末検出のための機能とを、調停する必要がある。第2実施例では、図15に示すように、各テーブル441A、451A、461Aに認証用領域を設けて、他の制御機能が管理する中継用領域とは別に、正規端末情報を登録し、認証用領域を、不正端末検出のための機能で管理している。これに代えて、第3実施例では、認証領域を設けないで、中継用領域に中継用の情報と同様に、正規端末情報を登録している。そして、各テーブル441B、451B、461Bの正規端末情報が記述されたエントリについて、当該エントリが登録されてから削除されるまでの間、不正端末検出のための機能が当該エントリを管理することとしている。その他、不正端末検出処理等の他の処理は、第2実施例と同様であるので、その説明を省略する。
以上説明した第3実施例によれば、第2実施例と同様の作用・効果を生じる。さらに、各テーブル441A、451A、461Aに認証用領域を設けないので、各テーブル441A、451A、461Aに必要なメモリ容量を抑制することができる。
D.変形例:
・第1変形例:
上記各実施例では、各ネットワーク中継装置SW1、SW1Aは、レイヤ3転送を行うスイッチを想定しているが、これに代えて、ルータに本発明を適用しても良い。また、ネットワーク中継装置SW1、SW1Aは、レイヤ2転送を行うレイヤ2スイッチであっても良い。レイヤ2スイッチであっても、正規VLAN情報VLREGと、正規MACアドレスMACREGと、正規ポート情報POREGと共に、レイヤ3情報である正規IPアドレスIPREGを組み合わせて、不正端末検出を行うことが好ましい。
・第2変形例:
上記各実施例では、レイヤ2(データリンク層)アドレスとしてMACアドレスを用いており、レイヤ3(ネットワーク層)アドレスとしてIPアドレスを用いているが、これは、本実施例において各装置を接続するネットワークが、データリンク層のプロトコルとしてEthernet(登録商標)を用い、ネットワーク層のプロトコルとしてIP(internet protocol)を用いているからである。もちろん、データリンク層およびネットワーク層のプロトコルに他のプロトコルを用いる場合には、それらのプロトコルにおいて用いられるアドレスを用いても良い。かかる場合は、転送されるデータはイーサネットフレームではなく、データリンク層のプロトコルに用いられるデータとなる。
・第3変形例:
上記実施例では、単一の筐体にフレーム転送処理部200、プロトコル処理部300、管理部100、宛先/処理判定部400を含むように構成されている。これに代えて、複数の筐体に別体にこれらの構成要素の一部を備えても良い。例えば、管理部100とプロトコル処理部300は、制御管理装置として別体としても良い。また、複数のネットワーク中継装置をケーブルで接続して、複数のネットワーク中継装置により1つのネットワーク中継装置SW1、SW1Aを構成しても良い。係る場合には、上述した不正端末検出のための機能は、ネットワーク中継装置SW1、SW1Aを構成する複数のネットワーク中継装置の一部または全部に備えても良い。
・第4変形例:
上記実施例および変形例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えてもよい。
・第5変形例:
上記各実施例において、不正端末が送信した対象フレームデータ800と判定されたフレームデータは廃棄されているが、これに代えて、不正フレームデータの解析装置などに転送することとしても良い。
以上、実施例、変形例に基づき本発明について説明してきたが、上記した発明の実施の形態は、本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明は、その趣旨並びに特許請求の範囲を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物が含まれる。
第1実施例としてのネットワークシステムの構成を示す図。 第1実施例におけるネットワーク中継装置の構成を示すブロック図。 第1実施例における不正端末の検出手法の概要を説明する図。 ネットワーク中継装置をネットワーク構成に合わせて設定し不正端末の検出を開始する為の処理フローを示すフローチャート。 フレームデータ受信処理の処理ステップを示す第1のフローチャート。 フレームデータ受信処理の処理ステップを示す第2のフローチャート。 DHCPフレームデータを示す説明図。 DHCP解析処理の処理ステップを示すフローチャート。 レイヤ3転送処理の処理ステップを示すフローチャート。 レイヤ2転送処理の処理ステップを示すフローチャート。 不正端末検出処理の処理フローを示す第1のフローチャート。 不正端末検出処理の処理フローを示す第2のフローチャート。 フレーム処理判定部とMACアドレス学習処理の処理ステップを示すフローチャート。 第2実施例におけるネットワーク中継装置の構成を示すブロック図。 第2実施例における不正端末の検出手法の概要を説明する図。 第2実施例における不正端末検出処理の処理ステップを示す第1のフローチャート。 第2実施例における不正端末検出処理の処理ステップを示す第2のフローチャート。 第3実施例の概要を示す説明図である。
符号の説明
100、100A…管理部
110、110A…ユーザインターフェース
200、200A…フレーム転送処理部
300、300A…プロトコル処理部
400、400A…宛先/処理判定部
410、410A…ポート状態判定部
411、411A…ポート状態管理テーブル
430、430A…パケット種別判定部
441、441A…ルーティングテーブル
451、451A…ARPテーブル
461、461A…FDB
470、470A…不正端末検出部
471…認証用データベース
480、480A…フレーム処理判定部
800…対象フレームデータ
810…イーサネットヘッダ
830…ペイロード
SW1、SW1A…ネットワーク中継装置

Claims (12)

  1. 正規端末の通信を、ポートを介して中継するネットワーク中継装置であって、
    前記正規端末に設定されたレイヤ2アドレスである正規レイヤ2アドレスと、前記正規端末に設定されたレイヤ3アドレスである正規レイヤ3アドレスと、前記正規端末が所属するVLANを示す正規VLAN情報と、前記正規端末が接続されているポートを示す正規ポート情報と、を取得する取得部と、
    取得された前記正規レイヤ2アドレスと、前記正規レイヤ3アドレスと、前記正規VLANと、前記正規ポートとの組を示す正規端末情報を記憶する正規端末情報記憶部と、
    前記ポートを介して受信される対象フレームデータの送信元レイヤ2アドレスと、送信元レイヤ3アドレスと、所属するVLANと、受信ポートとの組が、前記正規端末情報記憶部に前記正規端末情報として記録されているか否かを判定する判定処理部と、
    を備える、ネットワーク中継装置。
  2. 請求項1に記載のネットワーク中継装置であって、
    さらに、前記判定の結果、前記正規端末情報記憶部に前記正規端末情報として記録されている場合には、前記対象フレームデータの転送を実行し、前記正規端末情報記憶部に正規端末情報として記録されていない場合には、前記対象フレームデータの転送を実行しない、転送処理部を備える、ネットワーク中継装置。
  3. 請求項1または請求項2に記載のネットワーク中継装置であって、
    前記正規端末情報取得部は、前記ポートを介して正規端末とDHCPサーバとの間で送受信されるフレームデータであるDHCPフレームを監視して、前記正規端末に設定されたレイヤ2アドレスである正規レイヤ2アドレスと、前記正規端末に設定されたレイヤ3アドレスである正規レイヤ3アドレスと、前記正規端末が所属するVLANを示す正規VLAN情報と、前記正規端末が接続されているポートを示す正規ポート情報と、を取得する、ネットワーク中継装置。
  4. 請求項3記載のネットワーク中継装置であって、
    前記対象フレームデータは、前記DHCPフレーム以外のフレームデータである、ネットワーク中継装置。
  5. 請求項1ないし請求項4のいずれかに記載のネットワーク中継装置であって、
    前記判定は、前記対象フレームデータがレイヤ3転送の対象であるかレイヤ2転送の対象であるかに関わらず実行される、ネットワーク中継装置。
  6. 請求項1ないし請求項5のいずれかに記載のネットワーク中継装置であって、
    前記正規端末情報記憶部に正規端末情報として記録されていると判定された前記対象フレームデータについては、送信元レイヤ2アドレスの学習処理を行い、
    前記正規端末情報記憶部に正規端末情報として記録されていないと判定された前記対象フレームデータについては、送信元レイヤ2アドレスの学習処理を行わない、ネットワーク中継装置。
  7. 請求項1ないし請求項6のいずれかに記載のネットワーク中継装置は、さらに、
    前記対象フレームデータの送信先レイヤ3アドレスに基づいて、前記ポートのうち、前記対象フレームデータを出力する出力ポートを特定する1または複数の中継用検索テーブルを、有し、
    前記正規端末情報記憶部は、前記1または複数の中継用検索テーブルと共有されている、ネットワーク中継システム。
  8. 請求項7に記載のネットワーク中継装置であって、
    前記1または複数の中継用検索テーブルは、
    送信先のレイヤ3アドレスを、ネクストホップおよび所属VLANに対応付けるレイヤ3経路テーブルと、
    前記ネクストホップをレイヤ2アドレスに対応付けるレイヤ2アドレス検索テーブルと、
    前記レイヤ2アドレスを前記出力ポートに対応付けるポート検索テーブルと、
    を含み、
    前記正規端末情報のうち、前記正規レイヤ3アドレスと正規VLAN情報は、前記レイヤ3経路テーブルに記憶され、
    前記正規端末情報のうち、前記正規レイヤ2アドレスは、前記レイヤ2アドレス検索テーブルに記憶され、
    前記正規端末情報のうち、前記正規ポート情報は、前記ポート検索テーブルに記憶され、
    前記正規レイヤ3アドレスに基づいて、前記レイヤ3経路テーブルと前記レイヤ2アドレス検索テーブルと前記ポート検索テーブルを順次に検索すると、該正規レイヤ3アドレスに対応する前記正規VLAN情報と前記正規レイヤ2アドレスと前記正規ポート情報を抽出できる、ネットワーク中継装置。
  9. 請求項8に記載のネットワーク中継装置であって、
    前記対象フレームデータが送信元レイヤ3アドレスを有しない場合には、判定処理部は、該対象フレームデータの前記送信元レイヤ2アドレスと、所属するVLANと、受信ポートとの組が、前記正規端末情報として記録されているか否かを判定する、ネットワーク中継装置。
  10. 請求項1ないし請求項9のいずれかに記載のネットワーク中継装置であって、
    前記レイヤ3アドレスは、IPアドレスである、ネットワーク中継装置。
  11. 請求項1ないし請求項10のいずれかに記載のネットワーク中継装置であって、
    前記レイヤ2アドレスは、MACアドレスである、ネットワーク中継装置。
  12. 正規端末の通信を、ポートを介して中継するネットワーク中継方法であって、
    (a)前記正規端末に設定されたレイヤ2アドレスである正規レイヤ2アドレスと、前記正規端末に設定されたレイヤ3アドレスである正規レイヤ3アドレスと、前記正規端末が所属するVLANを示す正規VLAN情報と、前記正規端末が接続されているポートを示す正規ポート情報と、を取得する工程と、
    (b)特定された前記正規レイヤ2アドレスと、前記正規レイヤ3アドレスと、前記正規VLANと、前記正規ポートとの組を示す正規端末情報を記憶して、前記正規端末を管理する工程と、
    (c)前記ポートを介して受信される対象フレームデータの送信元レイヤ2アドレスと、送信元レイヤ3アドレスと、所属するVLANと、受信ポートとの組が、前記正規端末情報記憶部に前記正規端末情報として記録されているか否かを判定する工程と、
    を備える、ネットワーク中継方法。
JP2008147131A 2008-06-04 2008-06-04 ネットワーク中継装置、および、ネットワーク中継装置方法 Active JP4734374B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008147131A JP4734374B2 (ja) 2008-06-04 2008-06-04 ネットワーク中継装置、および、ネットワーク中継装置方法
US12/475,853 US8422493B2 (en) 2008-06-04 2009-06-01 Network relay device and network relay method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008147131A JP4734374B2 (ja) 2008-06-04 2008-06-04 ネットワーク中継装置、および、ネットワーク中継装置方法

Publications (2)

Publication Number Publication Date
JP2009296246A true JP2009296246A (ja) 2009-12-17
JP4734374B2 JP4734374B2 (ja) 2011-07-27

Family

ID=41400267

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008147131A Active JP4734374B2 (ja) 2008-06-04 2008-06-04 ネットワーク中継装置、および、ネットワーク中継装置方法

Country Status (2)

Country Link
US (1) US8422493B2 (ja)
JP (1) JP4734374B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239427A (ja) * 2008-03-26 2009-10-15 Nec Fielding Ltd 認証スイッチの接続を認証する装置及びその方法
JP2012060231A (ja) * 2010-09-06 2012-03-22 Nec Corp リモートアクセスシステム、サーバ、リモートアクセス方法
JP2012244554A (ja) * 2011-05-23 2012-12-10 Fujitsu Ltd 情報処理装置、システムおよび情報処理プログラム
JP2013526093A (ja) * 2010-02-17 2013-06-20 アルカテル−ルーセント 通信ネットワーク環境での共通グループ動作フィルタリングのための方法およびシステム
JP5534023B2 (ja) * 2010-09-24 2014-06-25 富士通株式会社 基地局、基地局の制御方法及び情報処理システム
JP2015532053A (ja) * 2012-08-30 2015-11-05 クゥアルコム・インコーポレイテッドQualcomm Incorporated 中継装置を有するネットワーク内の3つのアドレスのみ適応できるアクセスポイントにおけるレイヤ−2アドレスの管理
JP2019017123A (ja) * 2018-11-06 2019-01-31 ヤマハ株式会社 中継装置およびプログラム
DE102019217785A1 (de) 2018-11-21 2020-05-28 Denso Corporation Vermittlungsvorrichtung
DE102019218061A1 (de) 2018-11-29 2020-06-04 Denso Corporation Weiterleitungsgerät
US10985991B2 (en) 2014-06-02 2021-04-20 Yamaha Corporation Relay device, program, and display control method

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8341725B2 (en) * 2009-07-30 2012-12-25 Calix, Inc. Secure DHCP processing for layer two access networks
US8862705B2 (en) * 2009-07-30 2014-10-14 Calix, Inc. Secure DHCP processing for layer two access networks
EP2579509A1 (en) * 2010-06-07 2013-04-10 Huawei Technologies Co., Ltd. Method, device and system for service configuration
CN102377634B (zh) * 2010-08-06 2014-02-05 北京乾唐视联网络科技有限公司 一种接入网设备的入网方法及系统
RU2576492C2 (ru) * 2010-09-03 2016-03-10 Нек Корпорейшн Устройство управления, система связи, способ связи и носитель записи с записанной на нем программой связи
JP5364671B2 (ja) * 2010-10-04 2013-12-11 アラクサラネットワークス株式会社 ネットワーク認証における端末接続状態管理
JP5636940B2 (ja) * 2010-12-16 2014-12-10 村田機械株式会社 中継通信システムおよび中継サーバ
US9066287B2 (en) 2012-01-24 2015-06-23 Qualcomm Incorporated Systems and methods of relay selection and setup
US9794796B2 (en) 2012-06-13 2017-10-17 Qualcomm, Incorporation Systems and methods for simplified store and forward relays
US9155101B2 (en) 2012-08-30 2015-10-06 Qualcomm Incorporated Systems and methods for dynamic association ordering based on service differentiation in wireless local area networks
WO2014035819A1 (en) * 2012-08-30 2014-03-06 Qualcomm Incorporated Layer 2 address management in 3 address only capable access points in networks with relays
CN103152276B (zh) * 2012-11-23 2015-11-25 华为技术有限公司 一种端口配置的方法及以太网交换机
US9143437B1 (en) * 2013-03-15 2015-09-22 Extreme Networks, Inc. Apparatus and method for multicast data packet forwarding
WO2014191082A1 (en) * 2013-05-29 2014-12-04 Alcatel Lucent Detection of an unknown host device in a communication network
CN104253878B (zh) * 2014-09-09 2018-04-17 烽火通信科技股份有限公司 Dhcp relay终结子接口的vlan信息管理系统及方法
CN112291079B (zh) * 2017-03-28 2021-10-26 华为技术有限公司 一种网络业务配置方法及网络管理设备
CN107317755B (zh) * 2017-08-23 2020-07-31 普联技术有限公司 一种硬件转发表项纠错方法、装置及计算机可读存储介质
US10409743B1 (en) 2018-06-29 2019-09-10 Xilinx, Inc. Transparent port aggregation in multi-chip transport protocols
US10992671B2 (en) * 2018-10-31 2021-04-27 Bank Of America Corporation Device spoofing detection using MAC authentication bypass endpoint database access control
JP7306020B2 (ja) 2019-03-29 2023-07-11 株式会社デンソー 中継装置
JP7247712B2 (ja) 2019-03-29 2023-03-29 株式会社デンソー 中継装置及び中継方法
US10817455B1 (en) 2019-04-10 2020-10-27 Xilinx, Inc. Peripheral I/O device with assignable I/O and coherent domains
US10817462B1 (en) 2019-04-26 2020-10-27 Xilinx, Inc. Machine learning model updates to ML accelerators
US11586369B2 (en) 2019-05-29 2023-02-21 Xilinx, Inc. Hybrid hardware-software coherent framework
US11074208B1 (en) 2019-07-24 2021-07-27 Xilinx, Inc. Routing network using global address map with adaptive main memory expansion for a plurality of home agents
US11372769B1 (en) 2019-08-29 2022-06-28 Xilinx, Inc. Fine-grained multi-tenant cache management
US11277283B2 (en) 2019-08-30 2022-03-15 Hewlett Packard Enterprise Development Lp Resilient zero touch provisioning
US11093394B1 (en) 2019-09-04 2021-08-17 Xilinx, Inc. Delegated snoop protocol
US11113194B2 (en) 2019-09-04 2021-09-07 Xilinx, Inc. Producer-to-consumer active direct cache transfers
US11271860B1 (en) 2019-11-15 2022-03-08 Xilinx, Inc. Compressed tag coherency messaging
US11386031B2 (en) 2020-06-05 2022-07-12 Xilinx, Inc. Disaggregated switch control path with direct-attached dispatch
US11556344B2 (en) 2020-09-28 2023-01-17 Xilinx, Inc. Hardware coherent computational expansion memory
US11606333B1 (en) * 2022-03-04 2023-03-14 Cisco Technology, Inc. Synchronizing dynamic host configuration protocol snoop information

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000174796A (ja) * 1998-12-07 2000-06-23 Hitachi Ltd 通信ネットワークシステムの管理方法および情報中継装置
JP2004104355A (ja) * 2002-09-06 2004-04-02 Furukawa Electric Co Ltd:The ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム
JP2005198090A (ja) * 2004-01-08 2005-07-21 Fujitsu Ltd ネットワーク不正接続防止方法及び装置
JP2006262378A (ja) * 2005-03-18 2006-09-28 Fujitsu Ltd フレーム中継装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2425681A (en) * 2005-04-27 2006-11-01 3Com Corporaton Access control by Dynamic Host Configuration Protocol snooping
US7920548B2 (en) * 2005-08-18 2011-04-05 Hong Kong Applied Science And Technology Research Institute Co. Ltd. Intelligent switching for secure and reliable voice-over-IP PBX service
US7672293B2 (en) * 2006-03-10 2010-03-02 Hewlett-Packard Development Company, L.P. Hardware throttling of network traffic sent to a processor based on new address rates

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000174796A (ja) * 1998-12-07 2000-06-23 Hitachi Ltd 通信ネットワークシステムの管理方法および情報中継装置
JP2004104355A (ja) * 2002-09-06 2004-04-02 Furukawa Electric Co Ltd:The ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム
JP2005198090A (ja) * 2004-01-08 2005-07-21 Fujitsu Ltd ネットワーク不正接続防止方法及び装置
JP2006262378A (ja) * 2005-03-18 2006-09-28 Fujitsu Ltd フレーム中継装置

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009239427A (ja) * 2008-03-26 2009-10-15 Nec Fielding Ltd 認証スイッチの接続を認証する装置及びその方法
JP2013526093A (ja) * 2010-02-17 2013-06-20 アルカテル−ルーセント 通信ネットワーク環境での共通グループ動作フィルタリングのための方法およびシステム
JP2012060231A (ja) * 2010-09-06 2012-03-22 Nec Corp リモートアクセスシステム、サーバ、リモートアクセス方法
JP5534023B2 (ja) * 2010-09-24 2014-06-25 富士通株式会社 基地局、基地局の制御方法及び情報処理システム
JP2012244554A (ja) * 2011-05-23 2012-12-10 Fujitsu Ltd 情報処理装置、システムおよび情報処理プログラム
US8914467B2 (en) 2011-05-23 2014-12-16 Fujitsu Limited Information processing apparatus, system, and storage medium
JP2015532053A (ja) * 2012-08-30 2015-11-05 クゥアルコム・インコーポレイテッドQualcomm Incorporated 中継装置を有するネットワーク内の3つのアドレスのみ適応できるアクセスポイントにおけるレイヤ−2アドレスの管理
US10985991B2 (en) 2014-06-02 2021-04-20 Yamaha Corporation Relay device, program, and display control method
JP2019017123A (ja) * 2018-11-06 2019-01-31 ヤマハ株式会社 中継装置およびプログラム
DE102019217785A1 (de) 2018-11-21 2020-05-28 Denso Corporation Vermittlungsvorrichtung
DE102019218061A1 (de) 2018-11-29 2020-06-04 Denso Corporation Weiterleitungsgerät

Also Published As

Publication number Publication date
US20090304008A1 (en) 2009-12-10
US8422493B2 (en) 2013-04-16
JP4734374B2 (ja) 2011-07-27

Similar Documents

Publication Publication Date Title
JP4734374B2 (ja) ネットワーク中継装置、および、ネットワーク中継装置方法
CN107911258B (zh) 一种基于sdn网络的安全资源池的实现方法及系统
CN107920023B (zh) 一种安全资源池的实现方法及系统
US9596211B2 (en) Cloud based customer premises equipment
US11621926B2 (en) Network device and method for sending BGP information
US7656872B2 (en) Packet forwarding apparatus and communication network suitable for wide area Ethernet service
EP2773073B1 (en) Entry generation method, message receiving method, and corresponding device and system
EP3958521A1 (en) Method and apparatus for providing service for service flow
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
EP2860882B1 (en) Service processing method, device and system
US20120173694A1 (en) Virtual private network implementation method and system
EP3026872B1 (en) Packet forwarding method, apparatus, and system
CN107948150B (zh) 报文转发方法及装置
WO2004051935A1 (ja) ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラム
EP2239890A2 (en) Remote access method in a network comprising a nat device
CN106341423B (zh) 一种报文处理方法和装置
EP2548346B1 (en) Packet node for applying service path routing at the mac layer
CN107018076B (zh) 一种报文监控方法和装置
EP3618365B1 (en) Packet forwarding
WO2017107871A1 (zh) 访问控制方法和网络设备
US20160006656A1 (en) Packet Processing Method and System, and Device
US9166884B2 (en) Network location service
KR20140024051A (ko) 다수의 인터페이스 네트워크 노드들에 대한 통신 메커니즘
US8559431B2 (en) Multiple label based processing of frames
EP3477897B1 (en) Method for routing data packets in a network topology

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100414

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100713

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110425

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140428

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4734374

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250