JP2017175526A - 中継装置、中継装置の中継方法、及び中継用プログラム - Google Patents
中継装置、中継装置の中継方法、及び中継用プログラム Download PDFInfo
- Publication number
- JP2017175526A JP2017175526A JP2016061704A JP2016061704A JP2017175526A JP 2017175526 A JP2017175526 A JP 2017175526A JP 2016061704 A JP2016061704 A JP 2016061704A JP 2016061704 A JP2016061704 A JP 2016061704A JP 2017175526 A JP2017175526 A JP 2017175526A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- frame
- list
- output
- physical port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】仮想ネットワークごとのセキュリティを向上させる。【解決手段】物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置であって、物理ポート毎に通信規格を記憶する物理ポート記憶手段と、通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段と、入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定するフレーム解析手段と、を備える。【選択図】図3
Description
本発明は中継装置、中継装置の中継方法、及び中継用プログラムに関わり、特に物理ポート毎に仮想ネットワークが割り当てられる中継装置、中継装置の中継方法、及び中継用プログラムに関する。
自宅やオフィスでインターネットへ接続するような情報ネットワークとは別に、プラント内、工場内やビル内などの設備の制御をおこなうネットワーク(制御ネットワーク)がある。その制御ネットワークでは、データリンク層をイーサネット(登録商標)とした通信規格が、多種存在する。例えば、このような通信規格として、FL-net、PROFINET、EtherNet/IP、CC-Link IEなどがある。
制御ネットワークでは、所有する設備を動作させ、設備の制御をするため、多種存在する通信規格の設備を同時に動作させることがある。例えば、図8に示ように、領域10ではFL-net規格を用いて端末101、102の制御を行い、領域20ではCC-Link IE規格を用いて端末201、202の制御を行う。
工場内にある通信規格の異なる通信端末(工作機器、センサー、カメラなど)を同一のスイッチを用いて、ネットワークを構成すると、異なる通信規格の端末に不要な通信を発生させてしまい、回線帯域を不要な通信で消費することにより、正常な通信ができなくなるといった問題が発生する。例えば、図9に示ように、領域10の制御装置103、端末101及び端末102がFL-net規格に属し、領域20の制御装置203、端末201及び端末202がCC-LinkIE規格に属する。制御装置103はスイッチ31を介して、端末101と端末102を制御し、制御装置203はスイッチ31を介して、端末101と端末102を制御する。
制御装置103から出されたフレームがブロードキャストである場合、スイッチ30はCC-LinkIE規格側である領域20にもフレームを出してしまう。ただし、通信規格が異なるために端末201、202との通信はできない。同様に、制御装置203から出されたフレームがブロードキャストである場合、スイッチ30はFL-net規格側である領域10にもフレームを出してしまう。ただし、通信規格が異なるために端末101、102との通信はできない。
また、FL-net側の領域10に端末を増設すると、アドレス解決するためのFloodフレームを、CC-LinkIE側の領域20に出してしまう。
同一のスイッチを用いて、ネットワークを構成する課題は、特許文献1に記載されたような、通信規格が同じ通信端末同士をそれぞれ、仮想的に1つのスイッチに割り当てる技術(ポートベースVLAN等)を用いて解決可能である。図10に、図9のスイッチ31を通信規格毎に論理的に分けられたスイッチ32−1、32−2を備えたスイッチ32に置き換えた例を示す。
しかしながら、図10に示すような、通信規格毎に論理的に用意したスイッチ(ポートベースVLANなどを用いて論理的に分かれたスイッチ)で構成するネットワークにおいて、未認証の端末(悪意のある者が、そのネットワークに接続した端末など)や認証済みの端末が何らかの手段でウイルスに感染した場合、ネットワークごとのセキュリティが守れないといった課題が発生する。
本発明の目的は、物理ポート毎に仮想ネットワークが割り当てられる中継装置において仮想ネットワークごとのセキュリティを向上させることができる中継装置、中継装置の中継方法、及び中継用プログラムを提供することにある。
本発明の第1の態様は、物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置であって、
物理ポート毎に通信規格を記憶する物理ポート記憶手段と、
前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段と、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定するフレーム解析手段と、を備えた中継装置である。
物理ポート毎に通信規格を記憶する物理ポート記憶手段と、
前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段と、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定するフレーム解析手段と、を備えた中継装置である。
本発明の第2の態様は、前記中継装置と、前記仮想ネットワークに対応して設けられ、該中継装置に接続される制御装置と、前記中継装置に接続され、該制御装置によって制御される端末とを備えた制御ネットワークシステムである。
本発明の第3の態様は、物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置の中継方法であって、
前記中継装置は、物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備え、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する中継方法である。
前記中継装置は、物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備え、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する中継方法である。
本発明の第4の態様は、物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定された中継装置であり、且つ物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備えた中継装置としてのコンピュータに、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定する処理と、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する処理と、
を実行させる中継用プログラムである。
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定する処理と、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する処理と、
を実行させる中継用プログラムである。
本発明によれば、仮想ネットワークごとのセキュリティを向上させることができる。
以下、本発明の一実施形態について図面を用いて詳細に説明する。
図1は本発明の一実施形態の制御ネットワークシステムを示すブロック図である。図1に示ように、領域10の制御装置103、端末101及び端末102がFL-net規格に属し、領域20の制御装置203、端末201及び端末202がCC-LinkIE規格に属する。制御装置103は中継装置となるセキュリティスイッチ30を介して、端末101と端末102を制御し、制御装置203はセキュリティスイッチ30を介して、端末101と端末102を制御する。セキュリティスイッチ30はポートベースVLAN機能を用いて論理的に分かれたスイッチ30−1、30−2を備える。端末101、102にはスイッチ30−1が割り当てられ、端末201、202にはスイッチ30−2が割り当てられる。端末101、102、201、202は工作機器、センサー、カメラ等であり、ここでは端末101、201が工作機器、端末102、202がセンサーである。なおここでは、制御ネットワークにおける、データリンク層をイーサネット(登録商標)とした通信規格として、FL-net規格とCC-LinkIE規格を例にとって説明しているが、その他の通信規格の組み合わせでもよい。
図2は、セキュリティスイッチ30のポートベースVLAN機能の説明図である。ポートベースVLANとは、物理ポート単位に仮想的なLAN(仮想ネットワーク)を形成することをいう。図2(A)に示すように、制御装置103,203、セキュリティスイッチ30、及び端末101,102,201,202は、物理的に1つのネットワークを形成しているように見える。しかし、図2(B)に示ように、ポートベースVLAN機能を用いて、物理的な配置(接続)とは関係なく、仮想的にネットワーク(VLAL1及びVLAN2)を形成している。物理ポート単位にLANグループが設定され、設定したLANグループが異なる場合、その通信は、遮断される。ここでは物理ポートP1、P2、P5、P6がVLAN1に設定され、物理ポートP3、P4、P7、P8がVLAN2に設定される。図2(C)に示ように、物理的には同じスイッチに接続されていても、論理的には、LANグループ単位のスイッチが形成されたように見える。図1に示したスイッチ30−1、30−2はLANグループ単位に分けられたスイッチを示す。
図3は、中継装置となるセキュリティスイッチ30の一構成例を示すブロック図である。セキュリティスイッチ30は、物理ポート記憶手段となる物理ポート記憶部301、通信ルール記憶手段となる通信ルール記憶部302、及びフレーム解析手段となるフレーム解析部303を備えている。
物理ポート記憶部301には物理ポート毎に通信規格が記憶される。ここでは、物理ポート記憶部301に記憶される、図4のテーブルに示ように、物理ポート番号1、2、5、及び6の物理ポート(VLAL1が割り当てられた物理ポート)にはFL-net規格が設定され、物理ポート番号3、4、7、及び8の物理ポート(VLAL2が割り当てられた物理ポート)にはCC-LinkIE規格が設定されている。
通信ルール記憶部302には、通信規格の通信ルールが設定され記憶される。通信規格の通信ルールを設定する場合、設定する物理ポート番号と物理ポート記憶部301から通信規格を特定し、特定した通信規格の通信ルールを設定し、通信ルール記憶部302に記憶する。通信ルールはフレームの通過条件を規定するもので、通信ルール記憶部302に記憶される図5のテーブルでは、出力可能なフレームの情報のリストが、FL-net規格とCC-LinkIE規格とに分けて記憶されている。例えば、図5のテーブルには、FL-net規格の通信ルールについて、エントリ番号ごとにOSI参照モデルのデータリンク層(L2)のMACヘッダー情報、OSI参照モデルのネットワーク層(L3)のIPヘッダー情報、OSI参照モデルのトランスポート層(L4)のTCP/UDPヘッダー情報が記憶されている。MACヘッダー、IPヘッダー、TCP/UDPヘッダーの代表的な対象フィールドを図6に示す。なお通信ルールのパラメータは図6では、MACヘッダー、IPヘッダー、及びTCP/UDPヘッダーとしているが、パラメータの設定はこれに限定されず、例えば、MACヘッダーのみ、MACヘッダーとIPヘッダー、IPヘッダーとTCP/UDPヘッダーをパラメータとしてもよい。図6に示す、MACヘッダー、IPヘッダー、TCP/UDPヘッダーの対象フィールドのいずれか又は対象フィールドを任意に組み合わせてパラメータとすることもできる。また、MACヘッダー、IPヘッダー、及びTCP/UDPヘッダーの対象フィールドとして、図6に示された以外の対象フィールド、例えばIPヘッダーのサービスタイプ(ToS)フィールドやフラグフィールドの両方又は一方を含めることもできる。また、フレームの特定のデータをテーブルに記憶し、これを通信ルールとすることもできる。
また図5のテーブルには、CC-LinkIE規格の通信ルールについて、エントリ番号ごとにOSI参照モデルのデータリンク層(L2)のMACヘッダー情報、データリンク層より上層のCC-LinkIEフレームのヘッダー情報が記憶されている。通信ルールのパラメータはこれに限定されず、MACヘッダーのみ、CC-LinkIEフレームのヘッダーのみとしてもよい。図6に示したMACヘッダーの対象フィールドとCC-LinkIEフレームのヘッダーの対象フィールド(例えば、フレーム種別、データ種別、ノードID等)のいずれか又は対象フィールドを任意に組み合わせてパラメータとすることもできる。また、フレームの特定のデータをテーブルに記憶し、これを通信ルールとすることもできる。
図5のテーブルには通信ルールとして出力可能なフレームの情報のリストを記憶しているが、出力を許可しないフレームの情報リストを記憶しておいてもよい。通信ルールとして出力可能なフレームの情報のリストを記憶した場合には、フレーム解析部303は、入力フレームの情報が通信ルール記憶部302に記憶されたフレーム情報のリストにあれば入力フレームを出力する。また、通信ルールとして出力を許可しないフレームの情報リストを記憶した場合は入力フレームの情報が通信ルール記憶部302に記憶されたフレーム情報のリストになければ入力フレームを出力する。なお、通信ルールとして出力可能なフレームの情報のリストを記憶した場合には、リストを更新しなくとも未知の攻撃や不正アクセスを排除できる利点がある。
以上説明した例では、FL-net規格とCC-LinkIE規格を用いた制御ネットワークを示し、両方の通信規格の通信ルールとして出力可能なフレームの情報のリストを用いたが、通信ルールは通信規格の種類に応じて、出力可能なフレームの情報のリスト(第1のリストとなる)か、出力を許可しないフレームの情報リスト(第2のリストとなる)かを選択することができる。例えば、製造工程において、より高いセキュリティレベルが求められる工程の通信規格の通信ルールとして出力可能なフレームの情報のリストを用い、他方の通信規格の通信ルールとして出力を許可しないフレームの情報のリストを用いてもよい。また、制御ネットワークと情報ネットワークとが混在するシステムにおいて、制御ネットワーク側の通信規格の通信ルールとして出力可能なフレームの情報のリストを用い、情報ネットワーク側の通信規格の通信ルールとして出力を許可しないフレームの情報のリストを用いるようにしてもよい。
フレーム解析部303は、図7のフローチャートに示すように動作する。ここでは、通信ルールが出力可能なフレームの情報のリストである場合を例にとって説明する。通信ルールが出力を許可しないフレームの情報リストの場合はステップS405とステップS406とを交換したフローチャートとなる。図7に示すように、フレーム解析部303は入力フレームを受信すると、入力フレームを解析し(ステップS401)、入力した物理ポートの物理ポート番号に基づいて物理ポート記憶部301を参照し、通信規格を特定する(ステップS402)。具体的には、図4に示すように、物理ポート番号が1、2、5、又は6であれば、FL-net規格と特定し、物理ポート番号が3、4、7、又は8であれば、CC-LinkIE規格と特定する。次に、通信規格毎の通信ルールの有無を通信ルール記憶部302を参照し、調べる(ステップS403)。
通信ルール記憶部302に通信ルールがあるか否かを判断し(ステップS404)、通信ルールが有れば(ステップS404のYES)、通過条件を満たすとして、予め設定した設定動作に従い動作する。例えば設定が、「通信ルールが有れば、フレームを通過、通過したこと(又は通信ルールが有ったこと)を通知しない」であれば、フレームを通過させ出力する(ステップS405)。一方、通信ルールが無ければ(ステップS404のNO)、通過条件を満たさないとして、予め設定した設定動作に従い動作する。例えば設定が「通信ルールが無ければ、フレームを廃棄し、廃棄したことを通知(記録)する」であれば、フレームを廃棄し、廃棄したことを通知(記録)する。設定動作は特に限定されず、ステップS405において、通過したフレームをログに記録し、ログサーバに送信したり、ステップS406において、フレームを廃棄せずに別途出力して、当該フレームによって生ずる影響を検証できるようにしてもよい。
以上説明した実施形態のセキュリティスイッチのフレーム解析部の全部又は一部は、ハードウェア、ソフトウェア又はこれらの組合せにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。ハードウェアで構成する場合、図3に示す、セキュリティスイッチのフレーム解析部の一部又は全部を、例えば、LSI(Large Scale Integrated circuit)、ASIC(Application Specific Integrated Circuit)、ゲートアレイ、FPGA(Field Programmable Gate Array)等の集積回路(IC)で構成することができる。
フレーム解析部をソフトウェアで構成する場合、フレーム解析部の機能を記述したプログラムを記憶した、ハードディスク、ROM等の記憶部、演算に必要なデータを記憶するDRAM、CPU、各部を接続するバスで構成されたコンピュータにおいて、演算に必要な情報をDRAMに記憶し、CPUで当該プログラムを動作させることで実現することができる。
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
以上、本発明の好適な実施形態の構成を説明した。しかし、かかる実施形態は、本発明の単なる例示に過ぎず、何ら本発明を限定するものではないことに留意されたい。本発明の要旨を逸脱することなく、特定用途に応じて種々の変形変更が可能であることが、当業者には容易に理解できよう。
上記の実施の形態の一部又は全部は、以下の付記のようにも記載されうるが、以下の構成には限られない。
(付記1)
物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置であって、
物理ポート毎に通信規格を記憶する物理ポート記憶手段と、
前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段と、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定するフレーム解析手段と、を備えた中継装置。
物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置であって、
物理ポート毎に通信規格を記憶する物理ポート記憶手段と、
前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段と、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定するフレーム解析手段と、を備えた中継装置。
(付記2)
前記通信ルールは、出力可能なフレームの情報のリストであり、前記フレーム解析手段は、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記1に記載の中継装置。
前記通信ルールは、出力可能なフレームの情報のリストであり、前記フレーム解析手段は、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記1に記載の中継装置。
(付記3)
前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
前記フレーム解析手段は、特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、前記入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記1に記載の中継装置。
前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
前記フレーム解析手段は、特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、前記入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記1に記載の中継装置。
(付記4)
付記1から3のいずれかに記載の中継装置と、前記仮想ネットワークに対応して設けられ、該中継装置に接続される制御装置と、前記中継装置に接続され、該制御装置によって制御される端末とを備えた制御ネットワークシステム。
付記1から3のいずれかに記載の中継装置と、前記仮想ネットワークに対応して設けられ、該中継装置に接続される制御装置と、前記中継装置に接続され、該制御装置によって制御される端末とを備えた制御ネットワークシステム。
(付記5)
物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置の中継方法であって、
前記中継装置は、物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備え、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する中継方法。
物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置の中継方法であって、
前記中継装置は、物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備え、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する中継方法。
(付記6)
前記通信ルールは、出力可能なフレームの情報のリストであり、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記5に記載の中継方法。
前記通信ルールは、出力可能なフレームの情報のリストであり、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記5に記載の中継方法。
(付記7)
前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、前記入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記5に記載の中継方法。
前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、前記入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記5に記載の中継方法。
(付記8)
物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定された中継装置であり、且つ物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備えた中継装置としてのコンピュータに、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定する処理と、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する処理と、
を実行させる中継用プログラム。
物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定された中継装置であり、且つ物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備えた中継装置としてのコンピュータに、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定する処理と、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する処理と、
を実行させる中継用プログラム。
(付記9)
前記通信ルールは、出力可能なフレームの情報のリストであり、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記8に記載の中継用プログラム。
前記通信ルールは、出力可能なフレームの情報のリストであり、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記8に記載の中継用プログラム。
(付記10)
前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記8に記載の中継用プログラム。
前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする付記8に記載の中継用プログラム。
本発明は、セキュリティの向上が求められるネットワーク、特に制御ネットワークのセキュリティスイッチに好適に用いることができる。
10、20 制御ネットワークシステムの領域
103、203 制御装置
101、102、201、202 端末
30、31 スイッチ
30 セキュリティスイッチ
301 物理ポート記憶部
302 通信ルール記憶部
303 フレーム解析部
103、203 制御装置
101、102、201、202 端末
30、31 スイッチ
30 セキュリティスイッチ
301 物理ポート記憶部
302 通信ルール記憶部
303 フレーム解析部
Claims (10)
- 物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置であって、
物理ポート毎に通信規格を記憶する物理ポート記憶手段と、
前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段と、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定するフレーム解析手段と、を備えた中継装置。 - 前記通信ルールは、出力可能なフレームの情報のリストであり、前記フレーム解析手段は、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする請求項1に記載の中継装置。
- 前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
前記フレーム解析手段は、特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、前記入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする請求項1に記載の中継装置。 - 請求項1から3のいずれか1項に記載の中継装置と、前記仮想ネットワークに対応して設けられ、該中継装置に接続される制御装置と、前記中継装置に接続され、該制御装置によって制御される端末とを備えた制御ネットワークシステム。
- 物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定される中継装置の中継方法であって、
前記中継装置は、物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備え、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定し、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する中継方法。 - 前記通信ルールは、出力可能なフレームの情報のリストであり、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする請求項5に記載の中継方法。
- 前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、前記入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする請求項5に記載の中継方法。 - 物理ポート毎に仮想ネットワークが割り当てられ、同じ仮想ネットワークが割り当てられた物理ポートに同じ通信規格が設定された中継装置であり、且つ物理ポート毎に通信規格を記憶する物理ポート記憶手段と、前記通信規格毎にフレームの通過条件を規定する通信ルールを記憶する通信ルール記憶手段とを備えた中継装置としてのコンピュータに、
入力されたフレームの物理ポートに対応する通信規格を、前記物理ポート記憶手段を参照して特定する処理と、
特定された通信規格に対応する通信ルールの通過条件を、入力されたフレームが満たすか否かを、前記通信ルール記憶手段を参照して調べ、前記通過条件を満たすか否かに基づいて前記フレームを出力するか否かを決定する処理と、
を実行させる中継用プログラム。 - 前記通信ルールは、出力可能なフレームの情報のリストであり、前記入力されたフレームの情報が前記通信ルールの前記リストにあるときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする請求項8に記載の中継用プログラム。
- 前記通信ルールは、通信規格の種類によって設定される、出力可能なフレームの情報の第1のリストと、出力を許可しないフレームの情報の第2のリストとのうちの1つであり、
特定された通信規格に対応する通信ルールが第1のリストである場合は、前記入力されたフレームの情報が前記第1のリストにあるときに、前記通過条件を満たすとして前記フレームを出力し、特定された通信規格に対応する通信ルールが第2のリストである場合は、入力されたフレームの情報が前記第2のリストにないときに、前記通過条件を満たすとして前記フレームを出力することを特徴とする請求項8に記載の中継用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016061704A JP2017175526A (ja) | 2016-03-25 | 2016-03-25 | 中継装置、中継装置の中継方法、及び中継用プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016061704A JP2017175526A (ja) | 2016-03-25 | 2016-03-25 | 中継装置、中継装置の中継方法、及び中継用プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2017175526A true JP2017175526A (ja) | 2017-09-28 |
Family
ID=59973948
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016061704A Pending JP2017175526A (ja) | 2016-03-25 | 2016-03-25 | 中継装置、中継装置の中継方法、及び中継用プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2017175526A (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001306421A (ja) * | 2000-04-27 | 2001-11-02 | Nippon Telegr & Teleph Corp <Ntt> | 集中型ファイアウォール装置 |
| JP2015111754A (ja) * | 2013-12-06 | 2015-06-18 | アンリツネットワークス株式会社 | スイッチ装置及びスイッチ装置制御方法 |
| JP2015179925A (ja) * | 2014-03-19 | 2015-10-08 | 三菱電機株式会社 | 中継装置 |
-
2016
- 2016-03-25 JP JP2016061704A patent/JP2017175526A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001306421A (ja) * | 2000-04-27 | 2001-11-02 | Nippon Telegr & Teleph Corp <Ntt> | 集中型ファイアウォール装置 |
| JP2015111754A (ja) * | 2013-12-06 | 2015-06-18 | アンリツネットワークス株式会社 | スイッチ装置及びスイッチ装置制御方法 |
| JP2015179925A (ja) * | 2014-03-19 | 2015-10-08 | 三菱電機株式会社 | 中継装置 |
Non-Patent Citations (1)
| Title |
|---|
| FUJITSU: "FUJITSU Network SR-X コマンド設定事例集", P3NK-5132-01Z0, JPN6019044856, October 2014 (2014-10-01), pages 1 - 25, ISSN: 0004276466 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10333897B2 (en) | Distributed firewalls and virtual network services using network packets with security tags | |
| US9531850B2 (en) | Inter-domain service function chaining | |
| EP3058687B1 (en) | Configurable service proxy mapping | |
| US10284458B2 (en) | Flow table modifying method, flow table modifying apparatus, and openflow network system | |
| US20160212048A1 (en) | Openflow service chain data packet routing using tables | |
| US10212095B2 (en) | Maximum transmission unit installation for switches in a software-defined network | |
| KR20210068313A (ko) | 오류 근본 원인 결정 방법 및 장치, 그리고 컴퓨터 저장 매체 | |
| US9401928B2 (en) | Data stream security processing method and apparatus | |
| WO2016150057A1 (zh) | 访问控制列表acl的发送方法及装置 | |
| CN103053138A (zh) | 利用网格标签进行外出分组转发的装置和方法 | |
| KR101855742B1 (ko) | 소프트웨어 정의 네트워킹에서의 목적지 기반 패킷 전송 제어 방법 및 장치 | |
| JP6483720B2 (ja) | 物理ポート間のノンブロッキング動作のための仮想ポートマッピング | |
| CN107819683B (zh) | 安全资源池实现租户业务流量编排的方法、装置及电子设备 | |
| US11516108B2 (en) | System and method for loopback and network loop detection and analysis | |
| WO2016063189A1 (en) | Pre-built match-action tables | |
| US20170048168A1 (en) | Network Fabric Control | |
| Chiu et al. | Rapid detection of disobedient forwarding on compromised OpenFlow switches | |
| JPWO2014129624A1 (ja) | 制御装置、通信システム、経路切替方法及びプログラム | |
| US9154414B2 (en) | Reverse path forwarding router system | |
| US10476790B2 (en) | Service chaining at a network device | |
| US20170180225A1 (en) | Conflict detection in a hybrid network device | |
| JP2019213182A (ja) | ネットワーク防御装置およびネットワーク防御システム | |
| JP2017175526A (ja) | 中継装置、中継装置の中継方法、及び中継用プログラム | |
| US11134099B2 (en) | Threat response in a multi-router environment | |
| JP7156310B2 (ja) | 通信装置、通信システム、通信制御方法、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20160921 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20170712 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190215 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191114 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191126 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200609 |