JP2011004024A - 通信装置 - Google Patents
通信装置 Download PDFInfo
- Publication number
- JP2011004024A JP2011004024A JP2009143865A JP2009143865A JP2011004024A JP 2011004024 A JP2011004024 A JP 2011004024A JP 2009143865 A JP2009143865 A JP 2009143865A JP 2009143865 A JP2009143865 A JP 2009143865A JP 2011004024 A JP2011004024 A JP 2011004024A
- Authority
- JP
- Japan
- Prior art keywords
- user
- packet
- invalid
- program
- invalid user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
- H04L12/2872—Termination of subscriber connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/168—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP] specially adapted for link layer protocols, e.g. asynchronous transfer mode [ATM], synchronous optical network [SONET] or point-to-point protocol [PPP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】
通常のPPPoEを用いた接続サービスではPPPの認証フェーズまでユーザ判定が行えないため、無効なユーザによる接続要求でもアクセスサーバ、認証サーバへの負荷となってしまう。
【解決手段】
アクセスサーバで無効ユーザのリストを保持し、PADIパケットにユーザ情報を付与することにより早期に無効ユーザを判定しパケットを破棄することで負荷軽減を行う。また、無効ユーザを擬似的に接続完了させリトライの発生を抑えることで負荷低減を行う。
【選択図】 図1
通常のPPPoEを用いた接続サービスではPPPの認証フェーズまでユーザ判定が行えないため、無効なユーザによる接続要求でもアクセスサーバ、認証サーバへの負荷となってしまう。
【解決手段】
アクセスサーバで無効ユーザのリストを保持し、PADIパケットにユーザ情報を付与することにより早期に無効ユーザを判定しパケットを破棄することで負荷軽減を行う。また、無効ユーザを擬似的に接続完了させリトライの発生を抑えることで負荷低減を行う。
【選択図】 図1
Description
本発明は、認証機能を持ったPPPoE終端装置に関する。
インターネット接続サービスとしてPPPoE(Point to Point Protocol over Ethernet)を使用した接続サービスが広く普及している。PPPoE接続を行うための方法として、ブロードバンドルーターを使用しブロードバンドルーターでPPPoE接続を行い、各ホスト端末にはDHCP(Dynamic Host Configuration Protocol)でIP(Internet protocol)アドレスを割り当てて接続を行うユーザが増えている。
RFC2516 A Method for Transmitting PPP Over Ethernet(PPPoE)
ブロードバンドルーターの多くはマルチアカウントに対応しており、複数のアカウント情報を保持可能となっている。また、一部のブロードバンドルーターでは初期状態でアカウント情報を持っているものもある。
新しくアカウント情報を登録する場合に、初期状態で登録されているアカウント情報を消さずに登録する場合や、ISP(Internet Service Provider)を移行した際に新しいアカウント情報を登録する場合に古いアカウント情報を消さずに新しくアカウント情報を登録してしまい、無効なアカウント情報がブロードバンドルーターに残ったまま接続を行うユーザが多数存在する。
複数のアカウント情報を設定可能なブロードバンドルーターを使用する場合、複数登録されるアカウント情報のどれか1つでも正常なものがあれば、ユーザはインターネットサービスを受けられるため、無効なアカウント情報が登録されていてもユーザは気づかずにそのままの状態で放置してしまう場合が多い。
ブロードバンドルーターでは、登録されている全てのアカウント情報でインターネット接続を試みるため、無効なアカウント情報では接続が失敗するが、定期的にリトライ処理でインターネット接続を行い無効な接続処理が繰り返されることとなっている。
ブロードバンドルーターの普及とともに、このような無効アカウント情報を登録されたブロードバンドルーターが増加しているため、ISPでは、無効なアカウント情報での認証要求を受け付け処理しなければならず、BAS(Broadband Access Server)といったPPPoEを終端するアクセスサーバやRADIUS(Remote Authentication Dial In User Service)サーバといった認証サーバに対して負荷増加の要因となっており本来の接続性能以上の機器を設置する必要に迫られている。
一般的なPPPoE接続サービスではPAP(Password Authentication Protocol)もしくはCHAP(Challenge Handshake Authentication Protocol)による認証を行っている。
PAP/CHAPによる認証ではユーザ情報が取得できるのはLCP(Link Control Protocol)ネゴシエーション完了後であり、それまでの間、アクセスサーバのリソースを消費してしまう。また、アクセスサーバでは一般的にユーザ情報は保持していないため、認証サーバへ認証要求を行い認証サーバからの接続拒否応答を受け取るまでユーザ情報が無効なものであるか判別がつかないため、無効なユーザ情報であっても認証サーバへ認証要求を行うことで認証サーバの負荷を増加させている。
このようなユーザからの無効な接続要求に対してのアクセスサーバ、認証サーバへの負荷を軽減させることが課題となる。
本発明による装置は一例として、ルーター装置、サーバ装置とのインターフェースと、プロセッサと、PPPプロトコルの処理のための第1プログラム、無効ユーザの判定をするための第2プログラムとを格納するプログラム格納部と、前記無効ユーザの情報を格納する無効ユーザリストテーブルとを有し、前記プロセッサは、前記第1プログラムを読み出して、前記ルータ装置から受信するPADIパケット及び前記ルータ装置へ送信するPADOパケットを処理し、前記第2プログラムを読み出して、前記PADIパケットに含まれるユーザ情報について、前記無効ユーザリストテーブルを検索し、前記ユーザ情報が前記無効ユーザリストテーブルにあるときに、前記PADOパケットを前記ルータ装置へ送信する。
本発明による装置は他の例として、ルーター装置、サーバ装置とのインターフェースと、プロセッサと、PPPプロトコルの処理のための第1プログラム、無効ユーザの判定をするための第2プログラムとを格納するプログラム格納部と、前記無効ユーザの情報を格納する無効ユーザリストテーブルとを有し、前記プロセッサは、前記第1プログラムを読み出して、前記ルータ装置から受信するPADIパケット及び前記ルータ装置へ送信するPADOパケットを処理し、前記第2プログラムを読み出して、前記PADIパケットに含まれるユーザ情報について、前記無効ユーザリストテーブルを検索し、前記ユーザ情報が前記無効ユーザリストテーブルにあるときに、前記無効ユーザにIPアドレスを割り当てて前記ルータ装置とのセッションを確立する。
認証サーバからの接続拒否応答は、アクセスサーバで監視し、アクセスサーバ内に無効なユーザ情報のリストを保持してもよい。無効な接続要求受信時、認証サーバに認証要求を行うことなく接続拒否を行うことで認証サーバの負荷を軽減する。
また、ユーザ情報をPPPoEのPADIパケットに乗せる場合、早い段階で無効なユーザであるかの判断を可能としアクセスサーバの負荷を軽減する。
また、無効なユーザの接続要求をアクセスサーバ内で終端してしまいブロードバンドルーターからのリトライ接続を行わせない場合、アクセスサーバおよび認証サーバの負荷を軽減することができる。
無効な接続要求に対するアクセスサーバおよび認証サーバの負荷が軽減されるため、アクセスサーバおよび認証サーバに要求される性能が低くなり、設備投資の経済化が行える。
以下、図面を用いて本発明の実施例を詳細に説明する。
図1は、アクセスサーバの構成例を示した図である。
アクセスサーバ(11)は、ルーター装置としてのブロードバンドルーター(BRT)(10−i(i=1,2・・・))や認証サーバ(12)との接続を行う回線インタフェース(110−i(i=1,2・・・))とプログラムを処理するプロセッサ(201)およびプログラムを格納するプログラム格納メモリ(112)、データを保持するための制御データ格納メモリ(113)を備える。プログラム格納メモリは図示されるルーチンの各々の機能を担うソフトウェアが格納される。
アクセスサーバ(11)は回線インタフェース(110−4)を経由してルータ(14)と接続され、ルータを介して認証サーバ(12)、保守端末(13)と通信を行える構成とする。
BRT(10−i(i=1,2・・・))からの接続要求はPPPプロトコル処理ルーチン(112−1)で処理され個々のBRT(10−i(i=1,2・・・))の識別やセッションの状態はセッション管理情報メモリ(113−1)でセッション管理情報として管理される。
接続要求時の認証処理は認証プロトコル処理ルーチン(112−2)で処理され認証サーバ(12)と通信を行い処理される。
認証処理時に拒否応答が認証サーバ(12)から返却された場合、認証失敗回数が認証失敗カウンタ(113−2)でカウントされ、あらかじめ設定された無効ユーザ判定閾値メモリ(113−3)に記憶された無効ユーザ判定閾値を越えた場合、無効ユーザ情報として無効ユーザリストテーブル(113−4)に登録される。
無効ユーザリストに登録されたBRT(10−i(i=1,2・・・))は次の接続要求時、無効ユーザ判定処理ルーチン(112−3)で処理され認証サーバ(12)への認証処理を行わずに接続を拒否する。
図2は、システム構成例を示した図である。
BRT(10−i(i=1,2・・・))はONU(Optical Network Unit、加入者宅側の終端装置)(15−i(i=1,2・・・))を介してOLT(Optical Line Terminal、管理側の終端装置)(16−i(i=1,2・・・))で集約されてアクセスサーバ(11)に接続される。アクセスサーバ(11)は認証サーバ(12)および保守端末(13)とルータ(14)を介して接続される。アクセスサーバ(11)はBRT(10−i(i=1,2・・・))のPPPoE/PPPを終端しルータ(14)を介してインターネット網(17)の接続を供給する。
図3は、プロトコルシーケンスの例を示した図である。図では認証方法にCHAPを、アクセスサーバと認証サーバとの間のプロトコルにRADIUSプロトコルを使用する場合の例で記述した。
BRT(10)はPADI(PPPoE Active Discovery Initiation)パケット(200−1)にユーザ情報を付与して送信する。PADIパケットの詳細は図4にて後述する。
PADIパケット(200−1)を受信したアクセスサーバ(11)は無効ユーザ判定処理(112−3)で無効ユーザリスト(113−4)を検索し該当ユーザ情報がない場合、PADO(PPPoE Active Discovery Initiation)パケット(201)を返却する。その後、PADR(PPPoE Active Discovery Request)パケット(202)、PADS(PPPoE Active Discovery Session−confirmation)パケット(203)、LCP−Configuration−Requestパケット(204)、LCP―Configuration―Ackパケット(205)をやりとりし、認証フェーズへ移行する。認証フェーズではアクセスサーバ(11)からCHAP−Challengeパケット(206)を送信し、CHAP−Challengeパケット(206)を受信したBRT(10)はCHAP−Responseパケット(207)にユーザ情報を付与して送信する。CHAP−Responseパケット(207)を受信したアクセスサーバ(11)はCHAP−Responseパケット(207)およびセッション管理情報(113−1)から必要な情報を取り出してAccess−Requestパケット(208)を作成し、認証サーバ(12)へ送信する。Access−Requestパケット(208)を受信した認証サーバ(12)ではユーザ情報から認証判定を行い認証結果を返却する。今回の例では認証拒否のためAccess−Rejectパケット(209)を送信する。Access−Rejectパケット(209)を受信したアクセスサーバ(11)では、認証失敗カウンタ(113−2)を更新し、無効ユーザ判定閾値メモリ(113−3)に記憶された閾値を越えているか判定を行う。越えていた場合、無効ユーザリストテーブル(113−4)に登録を行うとともに、BRT(10)に対してCHAP−Failureパケット(210)を送信する。
認証失敗により接続が出来なかったBRT(10)は再度接続シーケンスを行うためPADIパケット(200−2)にユーザ情報を付与して送信する。PADIパケット(200−2)を受信したアクセスサーバ(11)は無効ユーザリストテーブル(113−4)を検索し該当ユーザ情報が登録されていることを判定し、PADIパケット(200−2)を破棄する。以降、BRT(10)からのPADIパケット(200−i(i=3・・・))は破棄されるためアクセスサーバ(11)および認証サーバ(12)に対する負荷が軽減される。
図4はPADIパケットの構成を示した図である。
PPPoEパケット(400)はバージョンフィールド(400−1)、タイプフィールド(400−2)、コードフィールド(400−3)、セッションを識別するためのセッションIDフィールド(400−4)、PPPoEパケットの長さを示す長さフィールド(400−5)および0個以上のTAG情報(400−6)から構成されている。TAG(400−6)はタグ(TAG)の種別を示すTAGタイプフィールド(410−1)、TAGの長さを示すTAG長さフィールド(410−2)、TAGの値を格納するTAG値フィールド(410−3)で構成される。
PADIパケットではコードフィールド(400−3)にPADIパケットを示す0x09という値が設定される。ここで、TAGの中にユーザ情報としてISP(Internet Service Provider)の認証時に使用するユーザアカウント名をユーザ名として格納する。
ユーザ名を格納するTAGとしてService−Nameタグを用いる場合、Service−Nameタグ(420)のようにTAGタイプ(420−1)に0x0101を、TAG長さ(420−2)にはタグの長さを、タグ値フィールド(420−3)にユーザ名を格納する。
ユーザ名を格納するTAGとしてVendor−Specificタグを用いる場合の例として、Vendor−Specificタグ(430)の構成を示す。本パケットは任意の構造を取ることが可能なので図示の通りであることを規定するものではない。TAGタイプ(430−1)に0x0105を、TAG長さ(430−2)にはタグの長さを、Vendor−IDフィールド(430)にはベンダーIDを格納する。ベンダータグタイプ(430−4)は以降に続くフィールドを識別するための情報である。タグ値(430−5)にユーザ名を格納する。このようにPADIパケット内にユーザ情報を付与することでPADIパケット受信時にアクセスサーバにてユーザ名を識別可能とする。
図5は認証失敗カウンタ(113−2)のデータ構成例を示した図である。
認証失敗カウンタ(113−2)はユーザ情報(500−1)、BRT(10)のMACアドレス(500−2)、失敗回数情報(500−2)を格納している。認証サーバ(12)より認証失敗が返却されたユーザに対応するユーザ情報毎にカウンタを持ち、カウントするとともにその結果を記録する。、BRT(10)の識別を行わない場合は、MACアドレス(ルータに接続される端末の識別情報)(500−2)は無い構成でもよい。MACアドレスを追加する場合には、BRT(10)の識別を厳格に行うことができる。
図6は無効ユーザ判定閾値メモリ(113−3)のデータ構成例を示した図である。
無効ユーザ判定閾値メモリ(113−3)は認証失敗カウンタ(113−2)で管理される認証失敗ユーザを無効ユーザリストテーブル(113−4)に登録するための失敗回数の下限値を保持している。
図7は無効ユーザリストテーブル(113−4)のデータ構成例を示した図である。
無効ユーザリストテーブル(113−4)は無効と判定されたユーザのユーザ情報(700−1)とBRT(10)のMACアドレス(700−2)の組合せをリストとして保持している。なお、図5と同様、MACアドレスについては保持しない構成でもよい。
図8は認証サーバ(12)から認証失敗を受信した場合のフローチャートである。認証サーバ(12)から認証失敗応答受信(800−1)すると認証失敗となったユーザ情報に対する認証失敗カウンタ(113−2)をカウントアップする(800−2)。
カウントアップした結果、失敗回数が無効ユーザ判定閾値メモリの閾値(113−3)を越えているか判定(800−3)し、越えている場合、無効ユーザリストテーブル(113−4)に該当ユーザのユーザ情報を登録する(800−4)。閾値以下の場合は、無効ユーザリストへの登録は行わない。
図9はPADIパケットを受信した時の処理を示したフローチャートである。
PADIパケットを受信(900−1)した場合、PADIパケット内のユーザ情報で無効ユーザリストを検索する(900−2)。その後、無効ユーザリストテーブルの検索結果を判定(900−3)して、無効ユーザリストテーブル(113−4)に該当ユーザが存在した場合、PADIパケットを破棄する(900−4)。無効ユーザリストテーブル(113−4)に該当ユーザが存在していなかった場合には、PADOパケットを編集し、PADOパケットを送信する(900−5)。
以上の方法を用いることでPADIパケット受信時に無効ユーザを判定することが可能であり、アクセスサーバ(11)および認証サーバ(12)の負荷を低減可能となる。
なお、無効ユーザリストテーブルは、保守端末での保守操作で修正・管理・表示確認してもよい。また、アクセスサーバは、無効ユーザリストテ-ブルにアクセスサーバが無効ユーザを登録したときに、保守端末に対して登録通知を送信してもよい。これら機能を採用する場合、保守者は容易に無効ユーザのステータスを管理することができる。
図10は、別の実施例のシーケンス図である。
図10では、無効ユーザリストテーブル(113−4)にBRT(10)のユーザが既に登録されている状態から記載している。無効ユーザリストテーブル(113−4)に登録されるまでのシーケンスは図3と同様である。
BRT(10)からユーザ情報が付与されたPADIパケット(1000)を受信すると、アクセスサーバ(11)は無効ユーザリスト(113−4)を検索する。無効ユーザリスト(113−4)に登録されている場合、セッション管理情報メモリ(113−1)に無効ユーザフラグを付与する。その後、PADOパケット(1001)、PADRパケット(1002)、PADSパケット(1003)、LCP−Configuration−Requestパケット(1004)、LCP―Configuration―Ackパケット(1005)をやりとりし、認証フェーズへ移行する。
認証フェーズではアクセスサーバ(11)からCHAP−Challengeパケット(1006)を送信し、CHAP−Challengeパケット(1006)を受信したBRT(10)はCHAP−Responseパケット(1007)にユーザ情報を付与して送信する。CHAP−Responseパケット(1007)を受信したアクセスサーバ(11)は、認証サーバ(12)に認証要求を行うことなく、BRT(10)に対してCHAP−Success(1008)で応答する。認証フェーズを抜けるとIPCP−Configuration−Requestパケット(1009)、IPCP―Configuration―Ackパケット(1010)をやりとりし、PPPセッション確立状態となる。この時、アクセスサーバ(11)からのIPCP−Configuration−Requestパケット(1009)に付与するIPアドレスは正規のIPアドレスではなく無効ユーザ用に割り当てたIPアドレスを用いる。無効ユーザ用に割り当てるIPアドレスは正規のユーザに割り当てるIPアドレス以外の空いているIPアドレスのうちの1つを指定する。
PPPセッション確立後、BRT(10)がIPパケット(1011)を送信した場合、PPPプロトコル処理ルーチン(112−1)にてPPPカプセル化されたパケットのカプセル化解除処理を行う際に、セッション管理情報に付与されている無効ユーザフラグの有無を判定し、無効ユーザフラグが設定されていた場合、転送を行わずにアクセスサーバで破棄する。
上記処理を行うことにより、無効ユーザの接続要求はリトライが発生しなくなり、アクセスサーバ(11)および認証サーバ(12)の負荷軽減が実現される。
10,10−i・・・ブロードバンドルーター
11,11−i・・・アクセスサーバ
12・・・認証サーバ
13・・・保守端末
14・・・ルータ
15−i・・・ONU(Optical Network Unit)
16−i・・・OLT(Optiocal Line Terminal)
17・・・インターネット網
110−i・・・回線インタフェース
111・・・プロセッサ
112・・・プログラム格納メモリ
113・・・制御データ格納メモリ
11,11−i・・・アクセスサーバ
12・・・認証サーバ
13・・・保守端末
14・・・ルータ
15−i・・・ONU(Optical Network Unit)
16−i・・・OLT(Optiocal Line Terminal)
17・・・インターネット網
110−i・・・回線インタフェース
111・・・プロセッサ
112・・・プログラム格納メモリ
113・・・制御データ格納メモリ
Claims (9)
- ルーター装置、サーバ装置とのインターフェースと、
プロセッサと、
PPPプロトコルの処理のための第1プログラム、無効ユーザの判定をするための第2プログラムとを格納するプログラム格納部と、
前記無効ユーザの情報を格納する無効ユーザリストテーブルとを有し、
前記プロセッサは、
前記第1プログラムを読み出して、前記ルータ装置から受信するPADIパケット及び前記ルータ装置へ送信するPADOパケットを処理し、
前記第2プログラムを読み出して、前記PADIパケットに含まれるユーザ情報について、前記無効ユーザリストテーブルを検索し、
前記ユーザ情報が前記無効ユーザリストテーブルにあるときに、前記PADOパケットを前記ルータ装置へ送信する通信装置。 - 前記PADOパケットを前記ルータ装置へ送信した後に新規PADIパケットを受信するときに、前記新規PADIパケットを廃棄することを特徴とする請求項1に記載の通信装置。
- ルーター装置、サーバ装置とのインターフェースと、
プロセッサと、
PPPプロトコルの処理のための第1プログラム、無効ユーザの判定をするための第2プログラムとを格納するプログラム格納部と、
前記無効ユーザの情報を格納する無効ユーザリストテーブルとを有し、
前記プロセッサは、
前記第1プログラムを読み出して、前記ルータ装置から受信するPADIパケット及び前記ルータ装置へ送信するPADOパケットを処理し、
前記第2プログラムを読み出して、前記PADIパケットに含まれるユーザ情報について、前記無効ユーザリストテーブルを検索し、
前記ユーザ情報が前記無効ユーザリストテーブルにあるときに、前記無効ユーザにIPアドレスを割り当てて前記ルータ装置とのセッションを確立する通信装置。 - 前記セッションを確立した後に前記ルータ装置からIPパケットを受信するとき、前記IPパケットを破棄することを特徴とする請求項2に記載の通信装置。
- ユーザの認証の失敗回数を管理するカウンタと、
前記プログラム格納部に格納される、前記ユーザの認証のための第3プログラムをさらに有し、
前記プロセッサは、前記第3プログラムを読み出して、前記ルータ装置からのパケットに含まれる情報に基づいて、前記ユーザの認証を処理し、
前記カウンタは、前記認証の失敗回数をカウントし、
前記無効ユーザリストテーブルは、前記失敗回数が閾値を越えた前記ユーザの前記ユーザ情報を、前記無効ユーザの前記ユーザ情報として格納することを特徴とする請求項1または請求項3に記載の通信装置。 - 前記ユーザ情報は、ユーザアカウントを含むことを特徴とする請求項1または請求項3に記載の通信装置。
- 前記ユーザ情報は、ユーザアカウントと前記ルータ装置に接続される端末の識別情報を含むことを特徴とする請求項1または請求項3に記載の通信装置。
- 前記ルータ装置とPPPoEに基づいて通信することを特徴とする請求項1または請求項3に記載の通信装置。
- 前記無効ユーザリストテーブルに、前記無効ユーザの前記ユーザ情報を格納するときに、登録通知を外部へ送信することを特徴とする請求項5に記載の通信装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009143865A JP2011004024A (ja) | 2009-06-17 | 2009-06-17 | 通信装置 |
US12/814,658 US20100325295A1 (en) | 2009-06-17 | 2010-06-14 | Communication apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009143865A JP2011004024A (ja) | 2009-06-17 | 2009-06-17 | 通信装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011004024A true JP2011004024A (ja) | 2011-01-06 |
Family
ID=43355263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009143865A Withdrawn JP2011004024A (ja) | 2009-06-17 | 2009-06-17 | 通信装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20100325295A1 (ja) |
JP (1) | JP2011004024A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013126036A (ja) * | 2011-12-13 | 2013-06-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続制御方法及びネットワーク接続制御装置 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5684176B2 (ja) * | 2012-03-13 | 2015-03-11 | 株式会社東芝 | アクセス装置、システム及びプログラム |
US20140215034A1 (en) * | 2013-01-29 | 2014-07-31 | Huawei Device Co., Ltd. | Processing Method and Processing Device for Automatically Setting Internet Access Mode |
CN103347010A (zh) * | 2013-06-21 | 2013-10-09 | 苏州经贸职业技术学院 | 一种园区网络中多服务商PPPoE的接入认证处理方法 |
US10015153B1 (en) * | 2013-12-23 | 2018-07-03 | EMC IP Holding Company LLC | Security using velocity metrics identifying authentication performance for a set of devices |
CN104301336A (zh) * | 2014-11-14 | 2015-01-21 | 深圳市共进电子股份有限公司 | PPPoE接入的认证方法 |
CN104852974B (zh) * | 2015-04-29 | 2018-10-02 | 华为技术有限公司 | 一种在PPPoE认证过程中的报文处理方法及相关设备 |
CN105262698B (zh) | 2015-10-28 | 2019-03-01 | 华为技术有限公司 | 一种负载分担的方法、装置和系统 |
CN105939372B (zh) * | 2015-12-24 | 2019-04-09 | 杭州迪普科技股份有限公司 | 一种PPPoE会话建立方法及装置 |
CN107046568B (zh) * | 2017-02-22 | 2020-10-09 | 新华三技术有限公司 | 一种认证方法和装置 |
CN111585852B (zh) * | 2020-04-17 | 2021-05-18 | 武汉思普崚技术有限公司 | 一种双栈拨号方法、设备及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003204345A (ja) * | 2002-01-08 | 2003-07-18 | Nec Corp | 通信システム、パケット中継装置、パケット中継方法、及び中継プログラム |
JP4480963B2 (ja) * | 2002-12-27 | 2010-06-16 | 富士通株式会社 | Ip接続処理装置 |
JP4655903B2 (ja) * | 2004-12-08 | 2011-03-23 | 株式会社日立製作所 | パケット転送装置 |
JP3920305B1 (ja) * | 2005-12-12 | 2007-05-30 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置 |
-
2009
- 2009-06-17 JP JP2009143865A patent/JP2011004024A/ja not_active Withdrawn
-
2010
- 2010-06-14 US US12/814,658 patent/US20100325295A1/en not_active Abandoned
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013126036A (ja) * | 2011-12-13 | 2013-06-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続制御方法及びネットワーク接続制御装置 |
Also Published As
Publication number | Publication date |
---|---|
US20100325295A1 (en) | 2010-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2011004024A (ja) | 通信装置 | |
JP4652285B2 (ja) | ゲートウェイ選択機能を備えたパケット転送装置 | |
US8433807B2 (en) | Method, system, and apparatus for processing access prompt information | |
US8488569B2 (en) | Communication device | |
US8745253B2 (en) | Triggering DHCP actions from IEEE 802.1x state changes | |
US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
US7477648B2 (en) | Packet forwarding apparatus and access network system | |
JP4680866B2 (ja) | ゲートウェイ負荷分散機能を備えたパケット転送装置 | |
US20230344734A1 (en) | Wireless Network Delay Processing Method and System, and Access Server | |
US20110202670A1 (en) | Method, device and system for identifying ip session | |
CN110611893B (zh) | 为漫游无线用户设备扩展订户服务 | |
WO2012088911A1 (zh) | Ip终端接入网络的方法和装置 | |
CN108696495B (zh) | 为服务提供商网络提供aaa服务的方法和服务器 | |
JP4261382B2 (ja) | 通信統計情報収集機能を備えたアクセスサーバ | |
US10666650B2 (en) | Packet processing method in PPPoE authentication process and relevant device | |
EP2677716A1 (en) | Access control method, access device and system | |
US10999379B1 (en) | Liveness detection for an authenticated client session | |
EP2574093A1 (en) | Method and system for managing and controlling wired terminal, and access server | |
CN103856571B (zh) | 一种自适应网路连接方法和系统 | |
WO2012152014A1 (zh) | 终端中ip地址管理方法及装置 | |
CN111327431B (zh) | 一种计费策略获取方法及装置 | |
US11552928B2 (en) | Remote controller source address verification and retention for access devices | |
CN118175141A (zh) | Fttr系统安全分配地址的方法 | |
JP2007174005A (ja) | 同一idによる多重セッション取得抑止方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110902 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20120606 |