JP2018133692A - 通信装置及びシステム及び方法 - Google Patents
通信装置及びシステム及び方法 Download PDFInfo
- Publication number
- JP2018133692A JP2018133692A JP2017026039A JP2017026039A JP2018133692A JP 2018133692 A JP2018133692 A JP 2018133692A JP 2017026039 A JP2017026039 A JP 2017026039A JP 2017026039 A JP2017026039 A JP 2017026039A JP 2018133692 A JP2018133692 A JP 2018133692A
- Authority
- JP
- Japan
- Prior art keywords
- address
- mac address
- client
- information
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】 DHCPを用いてIPアドレスの動的割当てを行うネットワークにおいて、通信装置によるホワイトリストを用いた特定端末への通信制御を行うこと。
【解決手段】 許容された通信規則を含むホワイトリストを自動生成するパケット中継装置100であって、DHCPによるDHCPサーバ600とDHCPクライアント700間の通信をスヌープし、DHCPクライアント700のIPアドレスが変更された際に当該のDHCPクライアント700に関連するホワイトリストに含まれるIPアドレス情報についても、自動で当該のDHCPクライアント700に新しく割り当てられたIPアドレス情報へと変更することで、DHCPにより動的にIPアドレスが変更されるネットワークにおいて、ホワイトリストを用いた通信制御を可能とする。
【選択図】図1
【解決手段】 許容された通信規則を含むホワイトリストを自動生成するパケット中継装置100であって、DHCPによるDHCPサーバ600とDHCPクライアント700間の通信をスヌープし、DHCPクライアント700のIPアドレスが変更された際に当該のDHCPクライアント700に関連するホワイトリストに含まれるIPアドレス情報についても、自動で当該のDHCPクライアント700に新しく割り当てられたIPアドレス情報へと変更することで、DHCPにより動的にIPアドレスが変更されるネットワークにおいて、ホワイトリストを用いた通信制御を可能とする。
【選択図】図1
Description
本発明は、通信装置及びシステム及び方法に関する。
近年、発電所などの重要インフラ内のネットワークに攻撃者が侵入し、システムの制御を奪われることがないような対策が必要である。重要インフラのネットワークにおいては、ファイアウォール装置、及びパーソナルコンピュータ等の端末に搭載されているウィルスソフト等による防御対策は実施されているが、システム制御を奪おうとする攻撃者の侵入を防ぐために、より強力な対策が必要とされる。攻撃者に侵入された際のリスクを軽減する手法として、通信装置によるホワイトリスト機能を利用する方法がある。通信装置によるホワイトリスト機能は、ネットワーク内を流れる正規通信に含まれる正規端末情報をホワイトリスト収容が可能な通信装置に登録し、ホワイトリスト収容が可能な通信装置に登録された正規端末以外からの非正規通信を遮断することでセキュリティレベルを高める機能である。
本技術の背景分野として、特開2015−050767号公報(特許文献1)及び特願2015−166671号公報(特許文献2)及び特願2015−210495号公報(特許文献3)がある。
特許文献1には、「ネットワークスイッチは、許容された通信規則を含むホワイトリストが予め格納され、ホワイトリストを基盤として、複数のスイッチインタフェースを介して入力された1つ以上のパケットを監視し、ホワイトリストに従うパケットに対しては通信を許容するホワイトリスト監視部と、ホワイトリストをアップデートさせてホワイトリスト監視部に送るホワイトリスト管理部とを含む。」と記載されている(要約参照)。
特許文献2には、「第1データ受信部が受信した第1データの制御情報及び第1データの複数種類のヘッダ情報を受信し、優先度情報が示す第1データ受信部が所属する第1データ受信部群の優先度と、ホワイトリスト格納第1メモリが格納することができるホワイトリストのエントリ数を示す収容条件と、に基づいて、第1データの複数種類のヘッダ情報から、パラメータを選択し、第1データの制御情報と、選択した1以上のパラメータと、を含むエントリを、ホワイトリストに追加する。」と記載されている(要約参照)。
特許文献3には、「パケット中継装置は、パケット受信部、パケット転送部、S/W制御部、パケット送信部、入出力インタフェースを備え、許容された通信規則を含むホワイトリストを自動生成する。データを受信するデータ受信部毎に、ホワイトリストを用いた通信制御を行うか、ホワイトリストを用いずにデータ通信を実施するかを選択できる。」と記載されている(要約参照)。
特許文献1には、「ネットワークスイッチは、許容された通信規則を含むホワイトリストが予め格納され、ホワイトリストを基盤として、複数のスイッチインタフェースを介して入力された1つ以上のパケットを監視し、ホワイトリストに従うパケットに対しては通信を許容するホワイトリスト監視部と、ホワイトリストをアップデートさせてホワイトリスト監視部に送るホワイトリスト管理部とを含む。」と記載されている(要約参照)。
特許文献2には、「第1データ受信部が受信した第1データの制御情報及び第1データの複数種類のヘッダ情報を受信し、優先度情報が示す第1データ受信部が所属する第1データ受信部群の優先度と、ホワイトリスト格納第1メモリが格納することができるホワイトリストのエントリ数を示す収容条件と、に基づいて、第1データの複数種類のヘッダ情報から、パラメータを選択し、第1データの制御情報と、選択した1以上のパラメータと、を含むエントリを、ホワイトリストに追加する。」と記載されている(要約参照)。
特許文献3には、「パケット中継装置は、パケット受信部、パケット転送部、S/W制御部、パケット送信部、入出力インタフェースを備え、許容された通信規則を含むホワイトリストを自動生成する。データを受信するデータ受信部毎に、ホワイトリストを用いた通信制御を行うか、ホワイトリストを用いずにデータ通信を実施するかを選択できる。」と記載されている(要約参照)。
一方、DHCPを用いたネットワークにおけるセキュリティ技術については、特開2007−36374号公報(特許文献4)で紹介されている。
特許文献4には「パケット転送装置は、複数のポートとプロトコル処理部と制御部とを有する。クライアント端末からのDHCPによるIPアドレス割当て要求をDHCPサーバへ転送し、IPアドレス割当ての申請を受信する。その際に、パケット転送装置は、記憶部に該クライアント端末の情報(IPアドレス、MACアドレス)を記憶する。また、該クライアント端末によるARP解決又はパケット転送装置自身によるARP解決によって、ARPパケットからも記憶部に該クライアント端末の情報(IPアドレス、MACアドレス)を記憶する。記憶したDHCPパケットとARPパケットのIPアドレスが一致すると、ARPパケットを送信したクライアント端末に対してポートフィルタリングをする。」と記載されている(要約参照)。
特許文献4には「パケット転送装置は、複数のポートとプロトコル処理部と制御部とを有する。クライアント端末からのDHCPによるIPアドレス割当て要求をDHCPサーバへ転送し、IPアドレス割当ての申請を受信する。その際に、パケット転送装置は、記憶部に該クライアント端末の情報(IPアドレス、MACアドレス)を記憶する。また、該クライアント端末によるARP解決又はパケット転送装置自身によるARP解決によって、ARPパケットからも記憶部に該クライアント端末の情報(IPアドレス、MACアドレス)を記憶する。記憶したDHCPパケットとARPパケットのIPアドレスが一致すると、ARPパケットを送信したクライアント端末に対してポートフィルタリングをする。」と記載されている(要約参照)。
上述の特許文献1〜3が示す通り、ホワイトリストには管理者が事前に設定する場合と通信内容から自動で生成する場合があるが、いずれにしても一度設定、生成されたホワイトリストのパラメータについては変化しない前提である。そのため、例えばDynamic Host Configration Protocol(以後DHCP)を用いて端末のIP(Internet Protocol)アドレスが動的に変更していくようなネットワークに対しては適応が難しいことが想定される。
また、特許文献4により、DHCPを使用してIPアドレスの割当てを行っているネットワークにおいて、不正な端末が接続された際に転送装置のポートを閉塞することで通信を遮断することが出来るが、ホワイトリスト機能のように正規の端末の不審な挙動を捕らえて通信制御を行うことはできない。
本発明は、以上の点に鑑み、動的に端末のIPアドレスが変化するネットワークにおいて、ホワイトリスト機能によるセキュリティ向上を実現可能とすることを目的とする。
本発明の第1の解決手段によると、
通信装置であって、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信装置が提供される。
通信装置であって、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信装置が提供される。
本発明の第2の解決手段によると、
通信システムであって、
通信装置と、
クライアントにIPアドレスの動的割当てを行うサーバと、
を備え、
前記通信装置は、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信システムが提供される。
通信システムであって、
通信装置と、
クライアントにIPアドレスの動的割当てを行うサーバと、
を備え、
前記通信装置は、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信システムが提供される。
本発明の第3の解決手段によると、
通信装置における通信方法であって、
前記通信装置は、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信方法が提供される。
通信装置における通信方法であって、
前記通信装置は、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信方法が提供される。
本発明によれば、動的に端末のIPアドレスが変化するネットワークにおいて、ホワイトリスト機能によるセキュリティ向上を実現可能となる。
A.概要
本発明及び/又は本実施例によると、例えば、ホワイトリストによる通信制御を可能とし、DHCPクライアントとDHCPサーバとの間でやり取りされるDHCPによる通信からDHCPクライアントとなる端末のIPアドレス及びMACアドレスの組合せ及び当該のIPアドレスに対する有効期限(以下リースタイマ)を格納するデータベースを保持する通信装置について、通信装置に設定されたホワイトリストを、IPアドレス及びMACアドレスの組合せ及びリースタイマを格納しているデータベースのとあるエントリが変更された際に、当該のエントリに格納されているMACアドレスをキーに検索し、ヒットするものがあれば当該のホワイトリストに設定されているIPアドレスを、変更されたデータベースの当該のエントリに格納されているIPアドレスに修正することで、DHCPによるアドレスの動的変更に対応するホワイトリスト機能を提供することができる。
本発明及び/又は本実施例によると、例えば、ホワイトリストによる通信制御を可能とし、DHCPクライアントとDHCPサーバとの間でやり取りされるDHCPによる通信からDHCPクライアントとなる端末のIPアドレス及びMACアドレスの組合せ及び当該のIPアドレスに対する有効期限(以下リースタイマ)を格納するデータベースを保持する通信装置について、通信装置に設定されたホワイトリストを、IPアドレス及びMACアドレスの組合せ及びリースタイマを格納しているデータベースのとあるエントリが変更された際に、当該のエントリに格納されているMACアドレスをキーに検索し、ヒットするものがあれば当該のホワイトリストに設定されているIPアドレスを、変更されたデータベースの当該のエントリに格納されているIPアドレスに修正することで、DHCPによるアドレスの動的変更に対応するホワイトリスト機能を提供することができる。
また、本発明及び/又は本実施例によると、例えば、DHCPを用いてIPアドレスの動的割当てを行うネットワークにおいて、通信装置によるホワイトリストを用いた特定端末への通信制御を、特定端末のIPアドレスが動的に変化しても行えるようにすることができる。
B.通信装置及びシステム
図1は、データの一例であるパケットを中継する、パケット中継装置及びパケット中継装置に接続されるDHCPサーバとDHCPクライアントの構成例を示す。パケット中継装置100は、通信装置の一例である。パケット中継装置100は、例えば、パケットの中継、ホワイトリストの生成、DHCPサーバとDHCPクライアントの間でやり取りされるDHCPによる通信からDHCP情報テーブルの作成、修正及びDHCP情報テーブルの変更に伴うホワイトリストの修正を実行する。ホワイトリストとは、パケット中継装置100により転送が許可されたパケットの一覧を示す。なお、DHCPは、例えば、RFC2131で規定されているが、これに限られない。
パケット中継装置100は、例えば、複数のパケット送受信部200、パケット転送部300、S/W(SoftWare)制御部400、及び入出力インタフェース500を含む。
パケット送受信部200それぞれは、例えば、端末や他のパケット中継装置等の外部装置と、メタルケーブルや光ケーブル等の有線回線又は無線回線で接続され、接続された外部装置からパケットを受信し、受信したパケットを接続された外部装置へと送信する。パケット送受信部200それぞれは、パケット送受信部200を一意に識別する送受信部番号を有する。
パケット送受信部200それぞれは、パケットを受信した際に、当該パケットに当該パケット送受信部200に対応する制御情報を付加する。制御情報は、例えば、パケット送受信部200のパケット送受信部番号、及び当該パケット送受信部200が所属するVLAN識別子であるVLAN番号を含む。
パケット転送部300は、例えば、パケット受信部200からパケットを受信し、S/W制御部400が生成したホワイトリストに従って、受信したパケットの転送、又は廃棄等を行う。S/W制御部400は、例えば、ホワイトリストを生成、DHCPサーバとDHCPクライアントの間でやり取りされるDHCPによる通信からDHCP情報テーブルの作成・変更、及びDHCP情報テーブルの変更に伴うホワイトリストの修正を実行する。
入出力インタフェース500は、入出力装置510が接続される。入出力インタフェース500は、入出力装置510を介して、利用者からの入力を受け付ける。また、入出力インタフェース500は、プログラムの実行結果等を入出力装置510に出力する。入出力装置510は、例えば、キーボードやマウス等の利用者からの入力を受ける入力装置、及びディスプレイ装置やプリンタ等のパケット中継装置100の処理結果を利用者が視認可能な形式で出力する出力装置を含む。
尚、図1では入出力装置510は、パケット中継装置100と独立した装置として記載されているが、パケット中継装置100にディスプレイや操作ボタン等の入出力装置510が備え付けられていてもよい。
DHCPサーバ600は、DHCPによるクライアントへのIPアドレスの割当てを行うためのサーバであり、パケット中継装置100とパケット送受信部200によって接続される。
DHCPクライアント700は、DHCPによるIPアドレスの割当てサービスを受ける端末であり、パケット中継装置100とパケット送受信部200によって接続される。
尚、DHCPクライアント700が接続されるパケット送受信部200は、DHCPサーバ600が接続されるパケット送受信部200とは、異なる送受信部番号を持つものとする。
図1は、データの一例であるパケットを中継する、パケット中継装置及びパケット中継装置に接続されるDHCPサーバとDHCPクライアントの構成例を示す。パケット中継装置100は、通信装置の一例である。パケット中継装置100は、例えば、パケットの中継、ホワイトリストの生成、DHCPサーバとDHCPクライアントの間でやり取りされるDHCPによる通信からDHCP情報テーブルの作成、修正及びDHCP情報テーブルの変更に伴うホワイトリストの修正を実行する。ホワイトリストとは、パケット中継装置100により転送が許可されたパケットの一覧を示す。なお、DHCPは、例えば、RFC2131で規定されているが、これに限られない。
パケット中継装置100は、例えば、複数のパケット送受信部200、パケット転送部300、S/W(SoftWare)制御部400、及び入出力インタフェース500を含む。
パケット送受信部200それぞれは、例えば、端末や他のパケット中継装置等の外部装置と、メタルケーブルや光ケーブル等の有線回線又は無線回線で接続され、接続された外部装置からパケットを受信し、受信したパケットを接続された外部装置へと送信する。パケット送受信部200それぞれは、パケット送受信部200を一意に識別する送受信部番号を有する。
パケット送受信部200それぞれは、パケットを受信した際に、当該パケットに当該パケット送受信部200に対応する制御情報を付加する。制御情報は、例えば、パケット送受信部200のパケット送受信部番号、及び当該パケット送受信部200が所属するVLAN識別子であるVLAN番号を含む。
パケット転送部300は、例えば、パケット受信部200からパケットを受信し、S/W制御部400が生成したホワイトリストに従って、受信したパケットの転送、又は廃棄等を行う。S/W制御部400は、例えば、ホワイトリストを生成、DHCPサーバとDHCPクライアントの間でやり取りされるDHCPによる通信からDHCP情報テーブルの作成・変更、及びDHCP情報テーブルの変更に伴うホワイトリストの修正を実行する。
入出力インタフェース500は、入出力装置510が接続される。入出力インタフェース500は、入出力装置510を介して、利用者からの入力を受け付ける。また、入出力インタフェース500は、プログラムの実行結果等を入出力装置510に出力する。入出力装置510は、例えば、キーボードやマウス等の利用者からの入力を受ける入力装置、及びディスプレイ装置やプリンタ等のパケット中継装置100の処理結果を利用者が視認可能な形式で出力する出力装置を含む。
尚、図1では入出力装置510は、パケット中継装置100と独立した装置として記載されているが、パケット中継装置100にディスプレイや操作ボタン等の入出力装置510が備え付けられていてもよい。
DHCPサーバ600は、DHCPによるクライアントへのIPアドレスの割当てを行うためのサーバであり、パケット中継装置100とパケット送受信部200によって接続される。
DHCPクライアント700は、DHCPによるIPアドレスの割当てサービスを受ける端末であり、パケット中継装置100とパケット送受信部200によって接続される。
尚、DHCPクライアント700が接続されるパケット送受信部200は、DHCPサーバ600が接続されるパケット送受信部200とは、異なる送受信部番号を持つものとする。
パケット転送部300は、ホワイトリスト格納メモリ310と、転送先決定部320と、転送テーブルメモリ330と、転送設定メモリ340と、を含む。
ホワイトリスト格納メモリ310は、例えば、CAM(Content Addressable Memory)やDRAM(Dynamic Random Access Memory)等であり、S/W制御部400が生成したホワイトリストを格納する。
転送テーブルメモリ330は、例えば、CAMやDRAM等であり、パケットのヘッダ情報と、パケットの転送先即ちパケット送受信部200と、の対応を示す情報を格納する。当該情報は管理者等によって作成され、予め転送テーブルメモリ330に格納されている。OSI(Open Systems Interconnection)参照モデルのレイヤ2の通信に用いられるMac Address Tableや、OSI参照モデルのレイヤ3の通信に用いられるRouting Tableは、当該対応を示す情報の一例である。
転送設定メモリ340は、例えば、DRAM等であり、後述するパケット中継装置100のモードや状態、ホワイトリスト登録外パケット受信時の動作等の設定情報を格納する。転送設定メモリ340に格納される設定情報は、入出力装置510を介して、管理者等により設定される。
ホワイトリスト格納メモリ310は、例えば、CAM(Content Addressable Memory)やDRAM(Dynamic Random Access Memory)等であり、S/W制御部400が生成したホワイトリストを格納する。
転送テーブルメモリ330は、例えば、CAMやDRAM等であり、パケットのヘッダ情報と、パケットの転送先即ちパケット送受信部200と、の対応を示す情報を格納する。当該情報は管理者等によって作成され、予め転送テーブルメモリ330に格納されている。OSI(Open Systems Interconnection)参照モデルのレイヤ2の通信に用いられるMac Address Tableや、OSI参照モデルのレイヤ3の通信に用いられるRouting Tableは、当該対応を示す情報の一例である。
転送設定メモリ340は、例えば、DRAM等であり、後述するパケット中継装置100のモードや状態、ホワイトリスト登録外パケット受信時の動作等の設定情報を格納する。転送設定メモリ340に格納される設定情報は、入出力装置510を介して、管理者等により設定される。
転送先決定部320は、パケット送受信部200からパケットを受信し、受信したパケットのヘッダ情報をキーに転送テーブルメモリ330内を検索することにより、受信したパケットの転送先を決定する。
また、転送先決定部320は、後述するホワイトリスト運用状態中にパケットを受信した場合、ホワイトリスト格納メモリ310に格納されたホワイトリストを検索する。転送先決定部320は、受信したパケットがホワイトリスト登録外パケットであると判定した場合、当該パケットの廃棄を行う。
転送先決定部320は、後述するホワイトリスト生成状態中にパケットを受信すると、受信したパケットから所定のヘッダ情報及び所定の制御情報を抽出し、S/W制御部400へと送信する。転送先決定部320は、転送設定メモリ340の設定内容に従い、ホワイトリストを利用した通信を実施するか否かなどの判別を行う。また、後述するDHCPACKパケット、DHCP RELEASEパケットを受信した際には、パケットからDHCPクライアント700の情報を抽出し、S/W制御部400へと送信する。
パケット転送部300は、ホワイトリストの高速検索、パケットのワイヤレートでの通信など、単純で高速な命令を実行するため、通常、ハードウェアで構成されることができる。パケット転送部300は、例えば、FPGA(Field Programmable Gate Array)等で構成されてもよい。なお、パケット転送部300は、ソフトウェアで構成されてもよい。
また、転送先決定部320は、後述するホワイトリスト運用状態中にパケットを受信した場合、ホワイトリスト格納メモリ310に格納されたホワイトリストを検索する。転送先決定部320は、受信したパケットがホワイトリスト登録外パケットであると判定した場合、当該パケットの廃棄を行う。
転送先決定部320は、後述するホワイトリスト生成状態中にパケットを受信すると、受信したパケットから所定のヘッダ情報及び所定の制御情報を抽出し、S/W制御部400へと送信する。転送先決定部320は、転送設定メモリ340の設定内容に従い、ホワイトリストを利用した通信を実施するか否かなどの判別を行う。また、後述するDHCPACKパケット、DHCP RELEASEパケットを受信した際には、パケットからDHCPクライアント700の情報を抽出し、S/W制御部400へと送信する。
パケット転送部300は、ホワイトリストの高速検索、パケットのワイヤレートでの通信など、単純で高速な命令を実行するため、通常、ハードウェアで構成されることができる。パケット転送部300は、例えば、FPGA(Field Programmable Gate Array)等で構成されてもよい。なお、パケット転送部300は、ソフトウェアで構成されてもよい。
S/W制御部400は、CPU(Control Processing Unit)410と、S/Wメモリ420と、を含む。CPU410は、S/Wメモリ420に格納されたプログラムを実行するプロセッサを含む。S/Wメモリ420は、不揮発性の記憶素子であるROM(Read Only Memory)及び揮発性の記憶素子であるRAM(Random Access Memory)を含むことができる。ROMは、不変のプログラム(例えば、BIOS(Basic Input/Output System))などを格納する。RAMは、DRAMのような高速かつ揮発性の記憶素子であり、プロセッサが実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
S/Wメモリ420は、ホワイトリスト生成プログラム421、転送設定プログラム422、DHCP情報変更反映プログラム423とDHCP情報テーブル424を含む。
S/Wメモリ420に格納されたプログラムはCPU410(プロセッサ)によって実行されることで、定められた処理を記憶装置及び通信ポート(通信デバイス)等を用いながら行う。従って、本実施例及び他の実施例においてプログラムを主語とする説明は、CPU410(プロセッサ)を主語とした説明でもよい。若しくは、プログラムが実行する処理は、そのプログラムが動作する計算機及び計算機システムが行う処理である。
CPU410(プロセッサ)は、プログラムに従って動作することによって、所定の機能を実現する機能部として動作する。例えば、CPU410(プロセッサ)は、ホワイトリスト生成プログラム421に従って動作することでホワイトリスト生成部として機能し、転送設定プログラム422に従って動作することで転送設定部として機能し、DHCP情報変更反映プログラム423に従って動作することでDHCP情報変更反映部として機能する。DHCP情報テーブル424については、DHCP情報変更反映プログラム423によって作成・変更を行われる。さらに、CPU410(プロセッサ)は、各プログラムが実行する複数の処理のそれぞれを実現する機能部としても動作する。なお、S/W制御部400(特にCPU410)及びパケット転送部300(特に転送先決定部320)を処理部と呼ぶことができる。
S/Wメモリ420は、ホワイトリスト生成プログラム421、転送設定プログラム422、DHCP情報変更反映プログラム423とDHCP情報テーブル424を含む。
S/Wメモリ420に格納されたプログラムはCPU410(プロセッサ)によって実行されることで、定められた処理を記憶装置及び通信ポート(通信デバイス)等を用いながら行う。従って、本実施例及び他の実施例においてプログラムを主語とする説明は、CPU410(プロセッサ)を主語とした説明でもよい。若しくは、プログラムが実行する処理は、そのプログラムが動作する計算機及び計算機システムが行う処理である。
CPU410(プロセッサ)は、プログラムに従って動作することによって、所定の機能を実現する機能部として動作する。例えば、CPU410(プロセッサ)は、ホワイトリスト生成プログラム421に従って動作することでホワイトリスト生成部として機能し、転送設定プログラム422に従って動作することで転送設定部として機能し、DHCP情報変更反映プログラム423に従って動作することでDHCP情報変更反映部として機能する。DHCP情報テーブル424については、DHCP情報変更反映プログラム423によって作成・変更を行われる。さらに、CPU410(プロセッサ)は、各プログラムが実行する複数の処理のそれぞれを実現する機能部としても動作する。なお、S/W制御部400(特にCPU410)及びパケット転送部300(特に転送先決定部320)を処理部と呼ぶことができる。
ホワイトリスト生成プログラム421は、転送先決定部320から受信した制御情報及びヘッダ情報から、ホワイトリストを生成し、ホワイトリスト格納メモリ310へと書き込む。
転送設定プログラム422は、入出力装置610から入力された転送設定を転送設定メモリ340に書き込む。
DHCP情報変更反映プログラム423は、DHCPサーバ600とDHCPクライアント700の間でやり取りされるDHCPによる通信から、DHCPサーバ600によってDHCPクライアント700へと割り当てられるIPアドレスと、当該のDHCPクライアント700のMACアドレスの組合せ及び当該のIPアドレスに対するリースタイマを抽出し、DHCP情報テーブル424を当該のDHCPクライアント700のMACアドレスをキーに検索する。DHCP情報テーブル424に当該のDHCPクライアント700のMACアドレスに関するエントリがなければ、DHCP情報変更反映プログラム423は、DHCP情報テーブル424に、新しいエントリを作成し、作成した情報を格納する。DHCP情報テーブル424に既に当該のDHCPクライアント700のMACアドレスに対するエントリが存在する場合には、DHCP情報変更反映プログラム423は、DHCP情報テーブル424を、IPアドレス情報及びリースタイマを抽出した情報へと更新する。
尚、リースタイマについては情報が格納されたタイミングから残り時間に対する減算が行われていき、残り時間が0になったタイミングで後述するエントリの削除処理が実行される。
また、DHCP情報変更反映プログラム423は、DHCP情報テーブル424の更新後にホワイトリスト格納メモリ310内を検索し、当該のDHCPクライアント700のMACアドレスに関連するホワイトリストのエントリを発見した場合、当該のエントリに格納されているIPアドレス情報を当該のDHCPクライアント700へ割り当てられるIPアドレスへと修正する。
転送設定プログラム422は、入出力装置610から入力された転送設定を転送設定メモリ340に書き込む。
DHCP情報変更反映プログラム423は、DHCPサーバ600とDHCPクライアント700の間でやり取りされるDHCPによる通信から、DHCPサーバ600によってDHCPクライアント700へと割り当てられるIPアドレスと、当該のDHCPクライアント700のMACアドレスの組合せ及び当該のIPアドレスに対するリースタイマを抽出し、DHCP情報テーブル424を当該のDHCPクライアント700のMACアドレスをキーに検索する。DHCP情報テーブル424に当該のDHCPクライアント700のMACアドレスに関するエントリがなければ、DHCP情報変更反映プログラム423は、DHCP情報テーブル424に、新しいエントリを作成し、作成した情報を格納する。DHCP情報テーブル424に既に当該のDHCPクライアント700のMACアドレスに対するエントリが存在する場合には、DHCP情報変更反映プログラム423は、DHCP情報テーブル424を、IPアドレス情報及びリースタイマを抽出した情報へと更新する。
尚、リースタイマについては情報が格納されたタイミングから残り時間に対する減算が行われていき、残り時間が0になったタイミングで後述するエントリの削除処理が実行される。
また、DHCP情報変更反映プログラム423は、DHCP情報テーブル424の更新後にホワイトリスト格納メモリ310内を検索し、当該のDHCPクライアント700のMACアドレスに関連するホワイトリストのエントリを発見した場合、当該のエントリに格納されているIPアドレス情報を当該のDHCPクライアント700へ割り当てられるIPアドレスへと修正する。
図2は、ホワイトリスト格納メモリ310に格納されるホワイトリストの一例を示す。図2の例ではホワイトリストはn個のエントリを含む。ホワイトリストの各エントリは、複数のパラメータを含む。当該複数のパラメータそれぞれは、パケット送受信部200から受信したパケットから転送先決定部320が抽出した制御情報又はヘッダ情報である。
エントリ800は、ホワイトリストに含まれるエントリの一例である。エントリ800は、例えば、それぞれパケットの制御情報を示すパラメータである、パケット受信部番号801、及びVLAN番号802を含む。エントリ800は、例えば、それぞれパケットのヘッダ情報を示すパラメータである、Souce Mac Address803、Destination Mac Address804、Protocol805、Source IP Address806、Destination IP Address807、Source port番号808、及びDestination Port番号809を含む。
エントリ800は、ホワイトリストに含まれるエントリの一例である。エントリ800は、例えば、それぞれパケットの制御情報を示すパラメータである、パケット受信部番号801、及びVLAN番号802を含む。エントリ800は、例えば、それぞれパケットのヘッダ情報を示すパラメータである、Souce Mac Address803、Destination Mac Address804、Protocol805、Source IP Address806、Destination IP Address807、Source port番号808、及びDestination Port番号809を含む。
パケット送受信部番号801は、パケット送受信部200それぞれを一意に識別する番号である。パケット送受信部番号801により、パケットを受信したパケット送受信部200が特定される。VLAN番号802は、パケット送受信部200が所属するVLANを一意に識別する番号である。
Source Mac Address803は、パケットの送信元Macアドレスを示す。Destination Mac Address804は、パケットの宛先Macアドレスを示す。protocol805は、プロトコルの種類を示す。Source IP Address806は、パケットの送信元IPアドレスを示す。Destination IP Address807は、パケットの宛先IPアドレスを示す。Source port番号808は、パケットの送信元ポート番号を示す。Destination port番号809は、パケットの宛先ポート番号を示す。
Source Mac Address803は、パケットの送信元Macアドレスを示す。Destination Mac Address804は、パケットの宛先Macアドレスを示す。protocol805は、プロトコルの種類を示す。Source IP Address806は、パケットの送信元IPアドレスを示す。Destination IP Address807は、パケットの宛先IPアドレスを示す。Source port番号808は、パケットの送信元ポート番号を示す。Destination port番号809は、パケットの宛先ポート番号を示す。
また、エントリ800は、転送先決定部320がホワイトリストの検索を行う際のパラメータとして使用する一例(パラメータ801〜809)とは別に、DHCP情報変更反映プログラム423がホワイトリスト格納メモリ310を検索する際のキーとして、Souce Mac Address811、Destination Mac Address813を含む。Souce Mac Address811は、Source Mac Address803と同様の情報であり、Destination Mac Address813はDestination Mac Address804と同様の情報である。さらに、DHCP情報変更反映プログラム423上から当該のMACアドレスに関する情報が削除された場合に、当該のMACアドレスに関するホワイトリストを無効化するためのValid bit810及び812を持つ。Valid bit810はSouce Mac Address811に対して有効・無効を判別するものであり、Valid bit812はDestination Mac Address813に対して有効・無効を判別するものである。
尚、エントリ800は、図2のパラメータ801〜809の例に限らず、1種類以上の制御情報を示すパラメータと、Source IP Address806及びDestination IP Address807を含む複数種類のヘッダ情報を示すパラメータと、を含めばよい。エントリ800は、例えば、前述したヘッダ情報を示すパラメータに加えて又は代えて、TOS(Type Of Service)、フラグ、TTL(Time To Live)、ID、バージョン、及びヘッダ値等のヘッダ情報を含んでもよい。
また、本実施例におけるエントリ800は、パラメータ810〜813までの情報は必ず保持するものとする。
尚、エントリ800は、図2のパラメータ801〜809の例に限らず、1種類以上の制御情報を示すパラメータと、Source IP Address806及びDestination IP Address807を含む複数種類のヘッダ情報を示すパラメータと、を含めばよい。エントリ800は、例えば、前述したヘッダ情報を示すパラメータに加えて又は代えて、TOS(Type Of Service)、フラグ、TTL(Time To Live)、ID、バージョン、及びヘッダ値等のヘッダ情報を含んでもよい。
また、本実施例におけるエントリ800は、パラメータ810〜813までの情報は必ず保持するものとする。
図3は、DHCP情報テーブル424に格納される情報の一例を示す。図3の例では、DHCP情報テーブル424はm個のエントリを含む。DHCP情報テーブル424の各エントリは複数のパラメータを含む。当該複数のパラメータそれぞれは、DHCPサーバ600からパケット送受信部200を介して転送先決定部320が受信したDHCP ACKパケットから抽出した情報である。DHCP ACKパケットにはIPアドレスを割り当てるDHCPクライアント700のMACアドレス、当該のDHCPクライアント700に割り当てるIPアドレス及び当該のIPアドレスに対するリースタイマが含まれる。尚、リースタイマは、DHCPサーバ600がDHCP ACKパケットを送出する際に、DHCP ACKパケットにプリセットする情報である。エントリ900は、DHCP情報テーブル423に含まれるエントリの一例である。Mac Address901はDHCP ACKパケットに含まれるIPアドレスを割り当てるDHCPクライアント700のMACアドレスである。IP Address902はDHCP ACKパケットに含まれる当該のDHCPクライアント700に割り当てるIPアドレスである。リースタイマ903は、当該のIPアドレスに対する有効期限を格納する。
図4は、転送設定メモリ340が保持する転送設定情報の一例を示す。転送設定情報は、例えば、転送設定の種別を示す保持情報501、保持情報501の状態を示す保持内容502、及び保持内容502の初期状態を示す初期状態503を含む。図4において、保持内容502を示す各セルには「/」で区切られた複数の値が記載されているが、実際には当該複数の値のいずれか1つが格納される。初期状態503は、対応する保持内容502に記載されている複数の値のいずれか1つを格納する。
以下、転送設定情報に従ったパケット中継装置100の動作の概略の一例を説明する。
転送先決定部320はパケットを受信すると、レコード504の保持内容502が、ホワイトリストの生成を行う生成状態であるか、ホワイトリストによる通信制御を行う運用状態であるかを判定する。
以下、レコード504の保持内容502が生成状態である場合の動作例を説明する。転送先決定部320は、パケット送受信部200から受信したパケットが、DHCP以外のパケットであった場合、通常のパケット中継装置と同様にパケットの転送を行いながら、受信したパケットの所定のヘッダ情報及び所定の制御情報をホワイトリスト生成プログラム421に送信する。ホワイトリスト生成プログラム421は、転送先決定部320から受信したヘッダ情報及び制御情報(801〜809)からホワイトリストのパラメータを抽出するとともに、DHCP情報変更反映プログラム423がホワイトリスト格納メモリ310の検索を行うための制御情報(811、813)を抽出し、Valid bit810及びValid bit812に対し有効状態を書き込むための値を生成する。そして、抽出、生成した情報をホワイトリスト格納メモリ310へ書き込む。
尚、転送先決定部320が受信したパケットがDHCPに関連するパケットであった場合については、レコード504の保持内容502に関わらず同じ動作になるため後述とする。
以下、レコード504の保持内容502が運用状態である場合の動作例を説明する。転送先決定部320は、パケット送受信部200から受信したパケットが、DHCP以外のパケットであった場合、当該のパケット情報がホワイトリスト格納H/Wメモリ310に格納されたホワイトリストに登録済みか、且つ登録済みであった場合に当該のエントリのValid bit810及びValid bit812が有効か、否かを判定する。当該パケット情報がホワイトリストに登録済みであり、且つ当該のエントリのValid bit810及びValid bit812が有効な場合、転送先決定部320は、受信したパケットに対して、通常のパケット中継装置と同様にパケットの転送を行う。
当該パケット情報がホワイトリストに登録済みでないもしくは登録済みであってもValid bit810、Valid bit812のいずれかが無効な場合、転送先決定部320は、パケットを廃棄する。
転送先決定部320はパケットを受信すると、レコード504の保持内容502が、ホワイトリストの生成を行う生成状態であるか、ホワイトリストによる通信制御を行う運用状態であるかを判定する。
以下、レコード504の保持内容502が生成状態である場合の動作例を説明する。転送先決定部320は、パケット送受信部200から受信したパケットが、DHCP以外のパケットであった場合、通常のパケット中継装置と同様にパケットの転送を行いながら、受信したパケットの所定のヘッダ情報及び所定の制御情報をホワイトリスト生成プログラム421に送信する。ホワイトリスト生成プログラム421は、転送先決定部320から受信したヘッダ情報及び制御情報(801〜809)からホワイトリストのパラメータを抽出するとともに、DHCP情報変更反映プログラム423がホワイトリスト格納メモリ310の検索を行うための制御情報(811、813)を抽出し、Valid bit810及びValid bit812に対し有効状態を書き込むための値を生成する。そして、抽出、生成した情報をホワイトリスト格納メモリ310へ書き込む。
尚、転送先決定部320が受信したパケットがDHCPに関連するパケットであった場合については、レコード504の保持内容502に関わらず同じ動作になるため後述とする。
以下、レコード504の保持内容502が運用状態である場合の動作例を説明する。転送先決定部320は、パケット送受信部200から受信したパケットが、DHCP以外のパケットであった場合、当該のパケット情報がホワイトリスト格納H/Wメモリ310に格納されたホワイトリストに登録済みか、且つ登録済みであった場合に当該のエントリのValid bit810及びValid bit812が有効か、否かを判定する。当該パケット情報がホワイトリストに登録済みであり、且つ当該のエントリのValid bit810及びValid bit812が有効な場合、転送先決定部320は、受信したパケットに対して、通常のパケット中継装置と同様にパケットの転送を行う。
当該パケット情報がホワイトリストに登録済みでないもしくは登録済みであってもValid bit810、Valid bit812のいずれかが無効な場合、転送先決定部320は、パケットを廃棄する。
図5は、本実施例において、DHCPサーバ600及びDHCPクライアント700間で、DHCPを用いた通信を行った際に、パケットを中継するパケット中継装置100内の動作を示した説明図である。尚、図5のDHCP ACKパケット受信時及びDHCP RELEASE受信時の動作に関しては、詳細をそれぞれ図6−1〜3及び図7−1〜3で別途説明する。
DHCPサーバ600からS1でDHCP ACKパケットが送出され、パケット中継装置100で受信すると、S2でパケット転送部300は、パケットの転送を行うとともに、S3でDHCP ACKパケット内に格納されているDHCPクライアント700のMACアドレス、DHCPクライアント700へ割り当てられるIPアドレス、リースタイマを抽出し、S/W制御部400へと送信する。DHCP情報を受信したS/W制御部は、S4でDHCP情報テーブルとホワイトリストの更新を行う。
DHCPクライアント700からS5でDHCP RELEASEパケットが送出され、パケット中継装置100で受信すると、S6でパケット転送部300は、パケットの転送を行うとともに、S7でDHCP RELEASEパケット内に格納されているDHCPクライアント700のMACアドレスを抽出し、S/W制御部400へと送信する。DHCP情報を受信したS/W制御部は、S8でDHCP情報テーブルとホワイトリストの更新を行う。
DHCPサーバ600からS9でDHCP ACK以外のDHCPパケットが送出され、パケット中継装置100で受信すると、S10でパケット転送部300は、パケットの転送を行う。
DHCPクライアント700からS11でDHCP RELEASE以外のDHCPパケットが送出され、パケット中継装置100で受信すると、S12でパケット転送部300は、パケットの転送を行う。
上記で説明したとおり、DHCPパケットについてはホワイトリストの検索や登録外廃棄の対象外としてパケットの転送を行う。
DHCPサーバ600からS1でDHCP ACKパケットが送出され、パケット中継装置100で受信すると、S2でパケット転送部300は、パケットの転送を行うとともに、S3でDHCP ACKパケット内に格納されているDHCPクライアント700のMACアドレス、DHCPクライアント700へ割り当てられるIPアドレス、リースタイマを抽出し、S/W制御部400へと送信する。DHCP情報を受信したS/W制御部は、S4でDHCP情報テーブルとホワイトリストの更新を行う。
DHCPクライアント700からS5でDHCP RELEASEパケットが送出され、パケット中継装置100で受信すると、S6でパケット転送部300は、パケットの転送を行うとともに、S7でDHCP RELEASEパケット内に格納されているDHCPクライアント700のMACアドレスを抽出し、S/W制御部400へと送信する。DHCP情報を受信したS/W制御部は、S8でDHCP情報テーブルとホワイトリストの更新を行う。
DHCPサーバ600からS9でDHCP ACK以外のDHCPパケットが送出され、パケット中継装置100で受信すると、S10でパケット転送部300は、パケットの転送を行う。
DHCPクライアント700からS11でDHCP RELEASE以外のDHCPパケットが送出され、パケット中継装置100で受信すると、S12でパケット転送部300は、パケットの転送を行う。
上記で説明したとおり、DHCPパケットについてはホワイトリストの検索や登録外廃棄の対象外としてパケットの転送を行う。
以下に、DHCP ACKパケット受信時の動作について説明する。尚、図6−1〜図6−3については、以下の説明の通り、図6−1、図6−2、図6−3の順番にシーケンシャルに動作が実行されるものとする。
図6−1は、本実施例において、パケット中継装置100のパケット転送部300がDHCP ACKパケットを受信した際の動作を説明するフロー図である。ステップ1001で、転送先決定部320は、DHCP ACKパケット内の情報として格納されているDHCPクライアント700のMACアドレス、DHCPクライアント700へ割り当てられるIPアドレス、リースタイマを抽出する。その後、転送先決定部320は、ステップ1002で抽出した情報(例えば、DHCP情報)をDHCP情報変更反映プログラム423へ送信する。
図6−2は、本実施例において、パケット中継装置100のDHCP情報変更反映プログラム423がパケット転送部300からDHCP情報を受信し、DHCP情報テーブル424内情報の追加、書換えを行う際の動作を説明するフロー図である。DHCP情報変更反映プログラム423は、ステップ1003でDHCPクライアント700のMACアドレスをキーとし、DHCP情報テーブル424を検索する。DHCP情報変更反映プログラム423は、ステップ1004で検索の結果HITした場合には、ステップ1005へと進み、DHCP情報テーブル424のHITしたエントリに対し、DHCPクライアント700へ割り当てられるIPアドレス、リースタイマを更新する。
DHCP情報変更反映プログラム423は、ステップ1004でHITしなかった場合には、当該のMACアドレスに関する情報がDHCP情報テーブル424には存在しないということになり、ステップ1006で新規にDHCP情報テーブル424にエントリを作成し、パケット転送部300から送信されてきたDHCP情報を当該のエントリに格納する。
DHCP情報変更反映プログラム423は、ステップ1004でHITしなかった場合には、当該のMACアドレスに関する情報がDHCP情報テーブル424には存在しないということになり、ステップ1006で新規にDHCP情報テーブル424にエントリを作成し、パケット転送部300から送信されてきたDHCP情報を当該のエントリに格納する。
図6−3は、本実施例において、パケット中継装置100のDHCP情報変更反映プログラム423がパケット転送部300からDHCP情報を受信し、ホワイトリスト格納メモリ内310のホワイトリスト情報の書換えを行う際のフロー図である。
ステップ1007でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のSouce Mac Address811フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1008で検索したエントリに対しHITした場合には、ステップ1009へと進み、当該のエントリに対し、Source IP Address806フィールドの値をDHCPクライアント700へ割り当てられるIPアドレスの値に書き換え、Valid bit810フィールドに有効を示す値を格納し、ステップ1010へと進む。ステップ1008でHITしなかった場合にも、ステップ1010へと進む。ステップ1010では、DHCP情報変更反映プログラム423は、ステップ1008で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1010で最終エントリでなかった場合には、ステップ1011へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1008へと戻る。DHCP情報変更反映プログラム423は、ステップ1010で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、ステップ1012へと移行する。
ステップ1012でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のDestination Mac Address813フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1013で検索したエントリに対しHITした場合には、ステップ1014へと進み、当該のエントリに対し、Destination IP Address807フィールドの値をDHCPクライアント700へ割り当てられるIPアドレスの値に書き換え、Valid bit812フィールドに有効を示す値を格納し、ステップ1015へと進む。ステップ1013でHITしなかった場合にも、ステップ1015へと進む。ステップ1015では、DHCP情報変更反映プログラム423は、ステップ1013で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1015で最終エントリでなかった場合には、ステップ1016へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1013へと戻る。DHCP情報変更反映プログラム423は、ステップ1015で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、修正処理を終える。
DHCP情報変更反映プログラム423は、ステップ1009及びステップ1014を繰り返し行うことで、DHCPクライアント700のIPアドレスが変更された場合に、ホワイトリストとして登録されているIPアドレス情報も追随可能となる。前述の動作により、動的にIPアドレスが変化するネットワークに対しても、ホワイトリストの適用が可能となる。
ステップ1007でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のSouce Mac Address811フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1008で検索したエントリに対しHITした場合には、ステップ1009へと進み、当該のエントリに対し、Source IP Address806フィールドの値をDHCPクライアント700へ割り当てられるIPアドレスの値に書き換え、Valid bit810フィールドに有効を示す値を格納し、ステップ1010へと進む。ステップ1008でHITしなかった場合にも、ステップ1010へと進む。ステップ1010では、DHCP情報変更反映プログラム423は、ステップ1008で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1010で最終エントリでなかった場合には、ステップ1011へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1008へと戻る。DHCP情報変更反映プログラム423は、ステップ1010で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、ステップ1012へと移行する。
ステップ1012でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のDestination Mac Address813フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1013で検索したエントリに対しHITした場合には、ステップ1014へと進み、当該のエントリに対し、Destination IP Address807フィールドの値をDHCPクライアント700へ割り当てられるIPアドレスの値に書き換え、Valid bit812フィールドに有効を示す値を格納し、ステップ1015へと進む。ステップ1013でHITしなかった場合にも、ステップ1015へと進む。ステップ1015では、DHCP情報変更反映プログラム423は、ステップ1013で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1015で最終エントリでなかった場合には、ステップ1016へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1013へと戻る。DHCP情報変更反映プログラム423は、ステップ1015で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、修正処理を終える。
DHCP情報変更反映プログラム423は、ステップ1009及びステップ1014を繰り返し行うことで、DHCPクライアント700のIPアドレスが変更された場合に、ホワイトリストとして登録されているIPアドレス情報も追随可能となる。前述の動作により、動的にIPアドレスが変化するネットワークに対しても、ホワイトリストの適用が可能となる。
以下に、DHCP RELEASEパケット受信時の動作について説明する。尚、図7−1〜図7−3については、以下の説明の通り、図7−1、図7−2、図7−3の順番にシーケンシャルに動作が実行されるものとする。
図7−1は、本実施例において、パケット中継装置100のパケット転送部300がDHCP RELEASEパケットを受信した際の動作を説明するフロー図である。ステップ1101で転送先決定部320はDHCP RELEASEパケット内の情報として格納されているDHCPクライアント700のMACアドレスを抽出する。その後、転送先決定部320は、ステップ1102で抽出した情報(例えば、DHCP情報)をDHCP情報変更反映プログラム423へ送信する。
図7−1は、本実施例において、パケット中継装置100のパケット転送部300がDHCP RELEASEパケットを受信した際の動作を説明するフロー図である。ステップ1101で転送先決定部320はDHCP RELEASEパケット内の情報として格納されているDHCPクライアント700のMACアドレスを抽出する。その後、転送先決定部320は、ステップ1102で抽出した情報(例えば、DHCP情報)をDHCP情報変更反映プログラム423へ送信する。
図7−2は、本実施例において、パケット中継装置100のDHCP情報変更反映プログラム423がパケット転送部300からDHCP情報を受信し、DHCP情報テーブル内情報の削除を行う際の動作を説明するフロー図である。DHCP情報変更反映プログラム423は、ステップ1103でDHCPクライアント700のMACアドレスをキーとし、DHCP情報テーブル424を検索する。DHCP情報変更反映プログラム423は、ステップ1104で検索の結果HITした場合には、ステップ1105へと進み、DHCP情報テーブル424のHITしたエントリに対し、エントリの削除を実施し、ステップ1106へと移行する。
DHCP情報変更反映プログラム423は、ステップ1104でHITしなかった場合には、当該のMACアドレスに関する情報がDHCP情報テーブル424には存在しないということになり、削除処理を実施せず終了する。
DHCP情報変更反映プログラム423は、ステップ1104でHITしなかった場合には、当該のMACアドレスに関する情報がDHCP情報テーブル424には存在しないということになり、削除処理を実施せず終了する。
図7−3は、本実施例において、パケット中継装置100のDHCP情報変更反映プログラム423がパケット転送部300からDHCP情報を受信し、ホワイトリスト格納メモリ310内のホワイトリスト情報の書換えを行う際のフロー図である。ステップ1106でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のSouce Mac Address811フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1107で検索したエントリに対しHITした場合には、ステップ1108へと進み、当該のエントリに対し、Valid bit810フィールドに無効を示す値を格納し、ステップ1109へと進む。ステップ1107でHITしなかった場合にも、ステップ1109へと進む。ステップ1109では、DHCP情報変更反映プログラム423は、ステップ1107で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1109で最終エントリでなかった場合には、ステップ1110へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1107へと戻る。DHCP情報変更反映プログラム423は、ステップ1109で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、ステップ1111へと移行する。
ステップ1111でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のDestination Mac Address813フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1112で検索したエントリに対しHITした場合には、ステップ1113へと進み、当該のエントリに対し、Valid bit812フィールドに無効を示す値を格納し、ステップ1114へと進む。ステップ1112でHITしなかった場合にも、ステップ1114へと進む。ステップ1114では、DHCP情報変更反映プログラム423は、ステップ1112で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1114で最終エントリでなかった場合には、ステップ1115へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1112へと戻る。DHCP情報変更反映プログラム423は、ステップ1114で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、修正処理を終える。
DHCP情報変更反映プログラム423は、ステップ1108及びステップ1113を繰り返し行うことで、DHCPクライアント700のIPアドレスがリリースされた場合に、当該のDHCPクライアント700のMACアドレスに関連するホワイトリストを無効化し、ホワイトリストの状態を最新に保つことが可能となる。
ステップ1111でDHCP情報変更反映プログラム423は、DHCPクライアント700のMACアドレスをキーとし、ホワイトリスト格納メモリ310内のDestination Mac Address813フィールドの値と一致するものがあるかを検索する。DHCP情報変更反映プログラム423は、ステップ1112で検索したエントリに対しHITした場合には、ステップ1113へと進み、当該のエントリに対し、Valid bit812フィールドに無効を示す値を格納し、ステップ1114へと進む。ステップ1112でHITしなかった場合にも、ステップ1114へと進む。ステップ1114では、DHCP情報変更反映プログラム423は、ステップ1112で検索したエントリがホワイトリスト格納メモリ内310の最終エントリであるか否かを判別する。DHCP情報変更反映プログラム423は、ステップ1114で最終エントリでなかった場合には、ステップ1115へと移行し、ホワイトリスト格納メモリ内310内の次のエントリについて検索を進め、ステップ1112へと戻る。DHCP情報変更反映プログラム423は、ステップ1114で最終エントリであった場合には、ホワイトリスト格納メモリ310内の全てのエントリに対し検索を終えたことになり、修正処理を終える。
DHCP情報変更反映プログラム423は、ステップ1108及びステップ1113を繰り返し行うことで、DHCPクライアント700のIPアドレスがリリースされた場合に、当該のDHCPクライアント700のMACアドレスに関連するホワイトリストを無効化し、ホワイトリストの状態を最新に保つことが可能となる。
尚、DHCP情報変更反映プログラム423は、DHCP情報テーブル424を常時監視しており、DHCP情報テーブル424内の各エントリについて、リースタイマが0になった際にも、ステップ1105以降の動作を当該のエントリに格納されているMACアドレス情報を用いて、実行する。
また、転送先決定部320がパケット送受信部200から受信したパケットがDHCPパケットであり、且つ前述したDHCP ACK及びDHCP RELEASEパケット以外の種別であった場合には、ホワイトリスト格納メモリ内310内の検索を行うことなく、通常のパケット中継装置の中継動作を実施する。
また、転送先決定部320がパケット送受信部200から受信したパケットがDHCPパケットであり、且つ前述したDHCP ACK及びDHCP RELEASEパケット以外の種別であった場合には、ホワイトリスト格納メモリ内310内の検索を行うことなく、通常のパケット中継装置の中継動作を実施する。
図8は、転送設定プログラム422が入出力装置510から入力を受け付ける転送設定に関する命令の一例を示す。転送設定に関する命令は、例えば、命令の種別を示す命令種別1201、命令種別1201が示す命令による設定内容を示す設定内容1202、及び設定内容1202の初期状態を示す初期状態1203を含む。
レコード1204が示す命令は、レコード504が示す転送設定を変更する命令である。レコード1204の命令種別1201、設定内容1202、及び初期状態1203は、レコード504の保持情報501、保持内容502、及び初期状態503に対応する。
尚、入出力装置510から転送設定プログラム422がホワイトリストの生成状態から運用状態へと変更する命令を受け付けた場合には、転送設定プログラム422からDHCP情報変更反映プログラム423へと命令を受け付けた旨の連絡を出し、連絡を受けたDHCP情報変更反映プログラム423は、DHCP情報テーブル424に格納されている全てのエントリに対し、各エントリに格納されているMACアドレス情報及びIPアドレス情報を用いて、図6−3のステップ1007以降を繰り返し実行する。前述の動作を実施することにより、ホワイトリスト生成状態中に、転送先決定部320からパケット情報を受け取ったホワイトリスト生成プログラム421がホワイトリスト情報を生成し、当該のホワイトリスト情報をホワイトリスト格納メモリ310へ書き込みを終えるまでの間に、DHCPにより当該のパケット情報内に格納されているMACアドレスに対するIPアドレスが変更されてしまった場合の行き違いを修正することができる。
レコード1204が示す命令は、レコード504が示す転送設定を変更する命令である。レコード1204の命令種別1201、設定内容1202、及び初期状態1203は、レコード504の保持情報501、保持内容502、及び初期状態503に対応する。
尚、入出力装置510から転送設定プログラム422がホワイトリストの生成状態から運用状態へと変更する命令を受け付けた場合には、転送設定プログラム422からDHCP情報変更反映プログラム423へと命令を受け付けた旨の連絡を出し、連絡を受けたDHCP情報変更反映プログラム423は、DHCP情報テーブル424に格納されている全てのエントリに対し、各エントリに格納されているMACアドレス情報及びIPアドレス情報を用いて、図6−3のステップ1007以降を繰り返し実行する。前述の動作を実施することにより、ホワイトリスト生成状態中に、転送先決定部320からパケット情報を受け取ったホワイトリスト生成プログラム421がホワイトリスト情報を生成し、当該のホワイトリスト情報をホワイトリスト格納メモリ310へ書き込みを終えるまでの間に、DHCPにより当該のパケット情報内に格納されているMACアドレスに対するIPアドレスが変更されてしまった場合の行き違いを修正することができる。
また、前述した転送設定プログラム422が入出力装置510から入力を受け付ける転送設定に関する命令については、一例であり、例えばDHCP情報テーブル424について、追加、修正、削除などができるようにしてもよい。DHCP情報テーブル424の追加及び修正については、入出力装置510から追加、修正したいMACアドレス、IPアドレス及びリースタイマを入力し、命令を受け付けた転送設定プログラム422からDHCP情報変更反映プログラム423へと前述の入力情報を送信し、前述の入力情報を受信したDHCP情報変更反映プログラム423で、図6−2のステップ1003から、前述の入力情報に基づき処理を実施する。削除の場合は、入出力装置510から削除したいMACアドレスを入力し、命令を受け付けた転送設定プログラム422からDHCP情報変更反映プログラム423へと前述の入力情報を送信し、前述の入力情報を受信したDHCP情報変更反映プログラム423で、図7−2のステップ1103から命令により与えられた情報に基づき処理を実施する。
C.付記
なお、以上では、DHCPを用いる場合を例に説明したが、DHCPでは、例えば、サーバがクライアントからアドレス配布要求を受け、サーバからクライアントに対しIPアドレスの動的割当てをすることができる。本発明及び/又は本実施例は、DHCPに限らず、IPアドレスの動的割当てを行う様々なプロトコルを用いることができる。
なお、以上では、DHCPを用いる場合を例に説明したが、DHCPでは、例えば、サーバがクライアントからアドレス配布要求を受け、サーバからクライアントに対しIPアドレスの動的割当てをすることができる。本発明及び/又は本実施例は、DHCPに限らず、IPアドレスの動的割当てを行う様々なプロトコルを用いることができる。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれている。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
100 パケット中継装置、200 パケット送受信部、300 パケット転送部、310 ホワイトリスト格納メモリ、320 転送先決定部、330 転送テーブルメモリ、340 転送設定メモリ、400 S/W制御部、410 CPU、420 S/Wメモリ、421 ホワイトリスト生成プログラム、422 転送設定プログラム、423 DHCP情報変更判定プログラム、 424 DHCP情報テーブル、500 入出力インタフェース、510 入出力装置、600 DHCPサーバ、700 DHCPクライアント
Claims (10)
- 通信装置であって、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信装置。
- 請求項1に記載の通信装置であって、
前記ホワイトリストは、送信元IPアドレス及び宛先IPアドレス、送信元MACアドレス及び宛先MACアドレス、パケットの転送又は廃棄を制御するための送信元有効無効ビット及び宛先有効無効ビットを含み、
前記処理部は、
前記クライアントMACアドレスをキーとし前記ホワイトリスト格納メモリを検索し、
前記クライアントMACアドレスが送信元MACアドレスと一致したエントリの送信元IPアドレスを前記クライアントIPアドレスへと修正して送信元有効無効ビットを有効とし、前記クライアントMACアドレスが宛先MACアドレスと一致したエントリの宛先IPアドレスを前記クライアントIPアドレスへと修正して宛先有効無効ビットを有効とする、
ことを特徴とする通信装置。
- 請求項1に記載の通信装置であって、
前記ホワイトリストは、送信元IPアドレス及び宛先IPアドレス、送信元MACアドレス及び宛先MACアドレス、パケットの転送又は廃棄を制御するための送信元有効無効ビット及び宛先有効無効ビットを含み、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信解放又は通信切断のための通信内容から、クライアントMACアドレスを抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索されたエントリを削除し、
前記クライアントMACアドレスをキーとし前記ホワイトリスト格納メモリを検索し、
前記クライアントMACアドレスが送信元MACアドレスと一致するエントリの送信元有効無効ビットを無効とし、前記クライアントMACアドレスが宛先MACアドレスと一致するエントリの宛先有効無効ビットを無効とする、
ことを特徴とする通信装置。
- 請求項3に記載の通信装置であって、
前記処理部は、
前記プロトコル情報テーブル内の有効期限が0になったエントリを削除し、
削除されたエントリのMACアドレスをキーとし前記ホワイトリスト格納メモリを検索し、
前記削除されたエントリのMACアドレスが送信元MACアドレスと一致するエントリの送信元有効無効ビットを無効とし、前記削除されたエントリのMACアドレスが宛先MACアドレスと一致するエントリの宛先有効無効ビットを無効とする、
ことを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
入出力装置からホワイトリストの生成状態から運用状態へと変更する命令を受け付けた場合、
前記処理部は、
前記プロトコル情報テーブルに格納されている各エントリに格納されているMACアドレス情報及びIPアドレス情報を用いて、
前記MACアドレス情報をキーとし前記ホワイトリスト格納メモリを検索し、
前記MACアドレス情報が送信元MACアドレスと一致したエントリの送信元IPアドレスを前記IPアドレス情報へと修正して送信元有効無効ビットを有効とし、前記MACアドレス情報が宛先MACアドレスと一致したエントリの宛先IPアドレスを前記IPアドレス情報へと修正して宛先有効無効ビットを有効とする、
ことを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
入出力装置から追加又は修正するMACアドレス情報、IPアドレス情報及び有効期限情報が入力された場合、
前記処理部は、
前記MACアドレス情報により前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、IPアドレス情報及び有効期限情報により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記MACアドレス情報、前記IPアドレス情報、前記有効期限情報を含むエントリを新規に作成し、
前記MACアドレス情報によりが送信元MACアドレスと一致したエントリの送信元IPアドレスを前記IPアドレス情報へと修正して送信元有効無効ビットを有効とし、前記MACアドレス情報が宛先MACアドレスと一致したエントリの宛先IPアドレスを前記IPアドレス情報へと修正して宛先有効無効ビットを有効とする、
ことを特徴とする通信装置。
- 請求項3に記載の通信装置であって、
入出力装置から削除するMACアドレス情報が入力された場合、
前記処理部は、
前記MACアドレス情報により前記プロトコル情報テーブル内のMACアドレスを検索して、検索されたエントリを削除し、
前記MACアドレス情報をキーとし前記ホワイトリスト格納メモリを検索し、
前記MACアドレス情報が送信元MACアドレスと一致するエントリの送信元有効無効ビットを無効とし、前記MACアドレス情報が宛先MACアドレスと一致するエントリの宛先有効無効ビットを無効とする、
ことを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
前記処理部は、運用状態において、前記ホワイトリスト格納メモリを参照し、
前記送信元有効無効ビット及び前記宛先有効無効ビットが有効な場合、受信したパケットを転送し、
前記送信元有効無効ビット又は前記宛先有効無効ビットが無効な場合、受信したパケットを廃棄する、
ことを特徴とする通信装置。
- 通信システムであって、
通信装置と、
クライアントにIPアドレスの動的割当てを行うサーバと、
を備え、
前記通信装置は、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信システム。
- 通信装置における通信方法であって、
前記通信装置は、
MACアドレス、IPアドレス、前記IPアドレスの有効期限を対応して記憶するプロトコル情報テーブルと、
MACアドレス、IPアドレスを含むホワイトリストを記憶するホワイトリスト格納メモリと、
処理部と、
を備え、
前記処理部は、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント間の通信確立又は通信接続のための通信内容から、クライアントMACアドレス、クライアントIPアドレス、前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内のMACアドレスを検索して、検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索されたエントリのIPアドレス及び有効期限を更新し、検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス、前記クライアント有効期限を含むエントリを新規に作成し、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリ内のMACアドレスを検索して、前記クライアントIPアドレスを用いて、検索されたエントリのIPアドレスを更新する、
通信方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017026039A JP6793056B2 (ja) | 2017-02-15 | 2017-02-15 | 通信装置及びシステム及び方法 |
| US15/846,531 US10397111B2 (en) | 2017-02-15 | 2017-12-19 | Communication device, communication system, and communication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017026039A JP6793056B2 (ja) | 2017-02-15 | 2017-02-15 | 通信装置及びシステム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018133692A true JP2018133692A (ja) | 2018-08-23 |
| JP6793056B2 JP6793056B2 (ja) | 2020-12-02 |
Family
ID=63105525
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017026039A Active JP6793056B2 (ja) | 2017-02-15 | 2017-02-15 | 通信装置及びシステム及び方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10397111B2 (ja) |
| JP (1) | JP6793056B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021034831A (ja) * | 2019-08-22 | 2021-03-01 | アラクサラネットワークス株式会社 | パケット中継装置及びパケット中継システム |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2565612B (en) * | 2017-03-23 | 2022-04-06 | Pismo Labs Technology Ltd | Method and System for Updating a Whitelist at a Network Node |
| GB2566765B (en) | 2017-03-23 | 2022-09-14 | Pismo Labs Technology Ltd | Method and system for restricting transmission of data traffic for devices with networking capabilities |
| JP6743771B2 (ja) * | 2017-06-23 | 2020-08-19 | 株式会社デンソー | ネットワークスイッチ |
| CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
| CN112637106B (zh) * | 2019-09-24 | 2023-01-31 | 成都鼎桥通信技术有限公司 | 终端访问网站的方法及装置 |
| CN114244760B (zh) * | 2021-11-24 | 2023-09-12 | 中盈优创资讯科技有限公司 | 一种客户路由白名单动态更新方法及装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7474660B1 (en) * | 1999-03-31 | 2009-01-06 | Cisco Technology, Inc. | MAC address extension to maintain router information in source routed computer networks |
| US7577146B2 (en) * | 2003-10-31 | 2009-08-18 | Redback Networks Inc. | Network element modifying the DHCP lease timer |
| US8688834B2 (en) * | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| US8996603B2 (en) * | 2004-09-16 | 2015-03-31 | Cisco Technology, Inc. | Method and apparatus for user domain based white lists |
| JP4664143B2 (ja) | 2005-07-22 | 2011-04-06 | 株式会社日立製作所 | パケット転送装置、通信網及びパケット転送方法 |
| JP3920305B1 (ja) * | 2005-12-12 | 2007-05-30 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置 |
| JP5086585B2 (ja) * | 2006-08-11 | 2012-11-28 | アラクサラネットワークス株式会社 | ネットワーク中継装置 |
| US8863235B2 (en) * | 2008-05-13 | 2014-10-14 | At&T Mobility Ii Llc | Time-dependent white list generation |
| WO2014118795A1 (en) * | 2013-02-04 | 2014-08-07 | Longsand Limited | Managing access to a network |
| FR3003426B1 (fr) * | 2013-03-18 | 2016-08-05 | Cassidian Sas | Procede et dispositif de gestion de la connectivite d'un terminal par un serveur mobile dans un reseau de telecommunications |
| KR101455167B1 (ko) | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
| JP6433865B2 (ja) | 2015-08-26 | 2018-12-05 | アラクサラネットワークス株式会社 | 通信装置 |
| US10680893B2 (en) | 2015-10-27 | 2020-06-09 | Alaxala Networks Corporation | Communication device, system, and method |
| US10218671B2 (en) * | 2016-09-13 | 2019-02-26 | Cisco Technology, Inc. | Dynamic media access control address allocation and leasing for wireless network |
-
2017
- 2017-02-15 JP JP2017026039A patent/JP6793056B2/ja active Active
- 2017-12-19 US US15/846,531 patent/US10397111B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021034831A (ja) * | 2019-08-22 | 2021-03-01 | アラクサラネットワークス株式会社 | パケット中継装置及びパケット中継システム |
| JP7264767B2 (ja) | 2019-08-22 | 2023-04-25 | アラクサラネットワークス株式会社 | パケット中継装置及びパケット中継システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6793056B2 (ja) | 2020-12-02 |
| US20180234339A1 (en) | 2018-08-16 |
| US10397111B2 (en) | 2019-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6793056B2 (ja) | 通信装置及びシステム及び方法 | |
| US11108738B2 (en) | Communication apparatus and communication system | |
| US10491561B2 (en) | Equipment for offering domain-name resolution services | |
| EP3788755B1 (en) | Accessing cloud resources using private network addresses | |
| JP4487150B2 (ja) | 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム | |
| US20140317684A1 (en) | Security Actuator for a Dynamically Programmable Computer Network | |
| JP6441510B2 (ja) | Usb攻撃防御 | |
| WO2012077603A1 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
| US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
| US20100281159A1 (en) | Manipulation of dhcp packets to enforce network health policies | |
| JP2011509619A (ja) | Macテーブルのオーバーフロー攻撃に対する防御を容易にすること | |
| US11277384B2 (en) | Dynamic filter generation and distribution within computer networks | |
| US8887237B2 (en) | Multimode authentication | |
| US10965651B2 (en) | Secure domain name system to support a private communication service | |
| JP2011199749A (ja) | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム | |
| JP2020113869A (ja) | 転送装置 | |
| JP2010239591A (ja) | ネットワークシステム、中継装置、およびネットワーク制御方法 | |
| JP6114214B2 (ja) | ネットワーク装置、及び、通信方法 | |
| US11159533B2 (en) | Relay apparatus | |
| JP5350333B2 (ja) | パケット中継装置及びネットワークシステム | |
| US20170331838A1 (en) | Methods and computing devices to regulate packets in a software defined network | |
| US8892884B2 (en) | Managing IPsec security associations using discrete domains | |
| JP2017085273A (ja) | 制御システム、制御装置、制御方法およびプログラム | |
| JP7264767B2 (ja) | パケット中継装置及びパケット中継システム | |
| WO2020156081A1 (zh) | 防止网络攻击的方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20170307 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170317 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190919 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200805 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200811 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200924 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201027 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201109 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6793056 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |