JP2020031321A - Communication device - Google Patents

Communication device Download PDF

Info

Publication number
JP2020031321A
JP2020031321A JP2018155503A JP2018155503A JP2020031321A JP 2020031321 A JP2020031321 A JP 2020031321A JP 2018155503 A JP2018155503 A JP 2018155503A JP 2018155503 A JP2018155503 A JP 2018155503A JP 2020031321 A JP2020031321 A JP 2020031321A
Authority
JP
Japan
Prior art keywords
packet
cpu
terminal device
transfer path
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018155503A
Other languages
Japanese (ja)
Other versions
JP7087819B2 (en
Inventor
純平 山田
Junpei Yamada
純平 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018155503A priority Critical patent/JP7087819B2/en
Publication of JP2020031321A publication Critical patent/JP2020031321A/en
Application granted granted Critical
Publication of JP7087819B2 publication Critical patent/JP7087819B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To provide a communication device capable of reliably processing packets for communication protocol control.SOLUTION: The communication device has an L2 switch 100 that includes: a switch device 102 that relays data packets of terminal device connected and relays packets transmitted terminal device; a CPU 101 that controls the switch device; a first transfer path A105 for transferring packets necessary for controlling communication protocol as the transfer path of packets from the switch device to the CPU; and a second transfer path B106 for transferring packets for acquiring information of the terminal device. The CPU controls the communication protocol for the packets necessary for controlling the communication protocol using the first transfer path A and controls to acquire a piece of information unique to the terminal device from packets for acquiring information using the second transfer path B.SELECTED DRAWING: Figure 1

Description

本発明は、データを中継する通信装置に関する。   The present invention relates to a communication device that relays data.

近年、IoT(Internet of Things)によるIoTデバイスなど、多様な端末装置がネットワーク接続されている。端末装置のネットワークへの不正接続や、脆弱なオペレーティングシステム(OS)を使用している端末装置によるマルウェア感染を防ぐため、ネットワークに対してどのような端末装置が接続されているかを知るために、端末装置の情報の可視化がセキュリティ上重要である。   In recent years, various terminal devices such as IoT devices based on the Internet of Things (IoT) are connected to a network. In order to prevent unauthorized connection of the terminal device to the network and malware infection by the terminal device using the vulnerable operating system (OS), in order to know what terminal device is connected to the network, Visualization of terminal device information is important for security.

複数台の端末装置は、ネットワーク機器(通信装置)を介してネットワークに接続され、通信装置は、例えば、スイッチ(L2スイッチ、L3スイッチ)、ルータ等がある。そして、ネットワーク上に不正接続検知の専用装置(アプライアンス製品)を配置することでネットワーク接続された端末装置の情報を可視化できる。   The plurality of terminal devices are connected to a network via a network device (communication device), and the communication device includes, for example, a switch (L2 switch, L3 switch), a router, and the like. By arranging a dedicated device (appliance product) for detecting unauthorized connection on the network, information on the terminal device connected to the network can be visualized.

従来技術として、ネットワーク上に配置した接続監視システムにより、不正接続機器の接続を検出して表示する技術が開示されている(例えば、下記特許文献1参照。)。また、通信ネットワークのノードに、OS検出器を設けてノード間の通信を分析する技術が開示されている(例えば、下記特許文献2参照。)。また、監視装置が不正利用の情報機器を検出した場合に、管理者の電子メールアドレスに警報の電子メールを送信する技術が開示されている(例えば、下記特許文献3参照。)。   As a conventional technique, a technique has been disclosed in which a connection monitoring system arranged on a network detects and displays the connection of an illegally connected device (for example, see Patent Document 1 below). Also, a technology is disclosed in which an OS detector is provided in a node of a communication network to analyze communication between the nodes (for example, see Patent Document 2 below). In addition, a technique is disclosed in which, when a monitoring device detects an illegally used information device, a warning e-mail is transmitted to an e-mail address of a manager (for example, see Patent Document 3 below).

特開2005−051579号公報JP 2005-051579 A 特表2013−545196号公報JP-T-2013-545196 特開2005−318037号公報JP 2005-318037 A

しかしながら、上述したアプライアンス製品は、L2スイッチなどの通信装置のポートに接続された端末装置のパケットのモニタリングのために、通信装置の一つ以上のポートを占有してしまう。また、アプライアンス製品では、通信装置のどのポート配下に不正端末装置が接続されているのかを検出できない。アプライアンス製品は、通信装置とは別装置であり、通信装置のポートの情報を有していない。   However, the above-mentioned appliance product occupies one or more ports of the communication device for monitoring a packet of a terminal device connected to the port of the communication device such as an L2 switch. Further, the appliance product cannot detect under which port of the communication device the unauthorized terminal device is connected. The appliance product is a device different from the communication device, and does not have information on the port of the communication device.

また、上記特許文献1のように、SNMPトラップを用い不正接続された端末装置の接続位置を接続監視システムに通知する方法があるが、この方法では、ネットワーク機器とは別に不正接続監視システムを用意しなければならず、コスト高となる。また、SNMPの設定を行い、SNMPトラップが不正接続監視システムに届くように設定する手間がかかった。   Also, as in Patent Document 1, there is a method of notifying a connection monitoring system of a connection position of an illegally connected terminal device using an SNMP trap. In this method, an unauthorized connection monitoring system is prepared separately from network devices. Must be done, resulting in high costs. In addition, it takes time and effort to set the SNMP and to set the SNMP trap to reach the unauthorized connection monitoring system.

そして、従来技術では、スイッチやルータなどの通信装置単体で、この通信装置に接続された端末装置の情報の可視化を実現することができなかった。通信装置単体で、ネットワーク内の他の装置の装置情報を収集する機能を実現する場合、通信装置内のCPUで処理しなければならないパケットが増え、スイッチデバイスからの受信処理を行うドライバが処理しきれず、結果としてパケットの取りこぼしが発生してしまう。取りこぼしたパケットが通信プロトコル制御用パケット(例えば、STPのBPDUパケット)の場合には、他の通信装置に自装置の情報を送信することができなくなる。そして、他の通信装置がループ構成を回避するための再計算を実行する間、ネットワーク全体が停止状態となってしまう。STPはSpanning Tree Protocol、BPDUはBridge Protocol Data Unitの略である。   In the related art, it is not possible to realize visualization of information of a terminal device connected to the communication device using only a communication device such as a switch or a router. If the communication device alone implements the function of collecting device information of other devices in the network, the number of packets that must be processed by the CPU in the communication device increases, and the driver that performs reception processing from the switch device processes the packets. As a result, a packet is missed. If the dropped packet is a communication protocol control packet (for example, an STP BPDU packet), it becomes impossible to transmit the information of the own device to another communication device. Then, while the other communication device performs the recalculation for avoiding the loop configuration, the entire network is stopped. STP is an abbreviation of Spanning Tree Protocol, and BPDU is an abbreviation of Bridge Protocol Data Unit.

一つの側面では、通信プロトコル制御用パケットを確実に中継処理できることを目的とする。   An object of one aspect is to reliably relay a communication protocol control packet.

一つの案では、通信装置は、接続される端末装置のデータのパケットを中継する通信装置であって、前記端末装置から送信されたパケットの中継を行うスイッチデバイスと、前記スイッチデバイスを制御するCPUと、前記スイッチデバイスから前記CPUへのパケットの転送パスとして、通信プロトコル制御に必要なパケットを転送する第一の転送パスと、前記端末装置の情報取得用のパケットを転送する第二の転送パスと、を備え、前記CPUは、前記第一の転送パスを用いて前記通信プロトコル制御に必要なパケットに対する通信プロトコルの制御を行い、前記第二の転送パスを用いて前記情報取得用のパケットから前記端末装置に固有の情報を取得する制御を行うことを要件とする。   In one case, the communication device is a communication device that relays a packet of data of a terminal device to be connected, a switch device that relays a packet transmitted from the terminal device, and a CPU that controls the switch device. A first transfer path for transferring a packet required for communication protocol control as a transfer path of a packet from the switch device to the CPU, and a second transfer path for transferring a packet for acquiring information of the terminal device. Wherein the CPU controls a communication protocol for a packet necessary for the communication protocol control using the first transfer path, and uses the second transfer path to control the communication protocol from the packet for information acquisition. It is a requirement to perform control for acquiring information unique to the terminal device.

一つの実施形態によれば、通信プロトコル制御用パケットを確実に中継処理できるという効果を奏する。   According to one embodiment, there is an effect that the relay processing of the communication protocol control packet can be reliably performed.

図1は、実施の形態にかかる通信装置のハードウェア構成例を示す図である。FIG. 1 is a diagram illustrating an example of a hardware configuration of a communication device according to an embodiment. 図2は、実施の形態にかかる端末装置の情報の可視化に関わるソフトウェア機能のブロック図である。FIG. 2 is a block diagram of software functions related to visualization of information of the terminal device according to the embodiment. 図3は、実施の形態にかかる通信装置が行うパケット解析処理例を示すフローチャートである。FIG. 3 is a flowchart illustrating an example of a packet analysis process performed by the communication device according to the embodiment. 図4Aは、実施の形態にかかる通信装置が行うプロトコル解析処理を説明する図である。(その1)FIG. 4A is a diagram illustrating a protocol analysis process performed by the communication device according to the embodiment. (Part 1) 図4Bは、実施の形態にかかる通信装置が行うプロトコル解析処理を説明する図である。(その2)FIG. 4B is a diagram illustrating a protocol analysis process performed by the communication device according to the embodiment. (Part 2) 図5は、実施の形態にかかる通信装置の出力生成処理例を説明する図である。FIG. 5 is a diagram illustrating an example of an output generation process of the communication device according to the embodiment. 図6は、実施の形態にかかる通信装置の出力結果の例を示す図表である。FIG. 6 is a diagram illustrating an example of an output result of the communication device according to the embodiment. 図7は、実施の形態にかかる通信装置の他のハードウェア構成例を示す図である。FIG. 7 is a diagram illustrating another example of the hardware configuration of the communication device according to the embodiment. 図8は、従来の通信装置による内部ポートの輻輳状態を説明する図である。FIG. 8 is a diagram illustrating a congestion state of an internal port by a conventional communication device. 図9は、実施の形態にかかる通信装置による内部ポートの輻輳状態の回避を説明する図である。FIG. 9 is a diagram illustrating avoidance of a congestion state of an internal port by the communication device according to the embodiment. 図10は、実施の形態にかかる通信装置のマルチコアCPUを用いた処理動作を説明する図である。FIG. 10 is a diagram illustrating a processing operation using the multi-core CPU of the communication device according to the embodiment.

(実施の形態)
実施の形態の通信装置は、スイッチ(L2スイッチ、L3スイッチ)、ルータ等に適用される。実施の形態では、通信装置とは別にネットワーク上に別途アプライアンス製品を設けることなく、通信装置単体で、この通信装置に接続された端末装置の情報の可視化を実現する。端末装置の情報とは、例えば、端末装置のMACアドレス、接続ポート番号、端末装置の識別情報等である。情報の可視化とは、端末装置を特定可能な固有の情報を表示等のために出力することを意味する。通信装置は、例えば、端末装置毎のMACアドレスと、接続ポート番号と、端末装置の識別情報と、を関連付けた情報を生成し、出力する。 (Embodiment)
The communication device according to the embodiment is applied to a switch (L2 switch, L3 switch), a router, and the like. In the embodiment, the visualization of the information of the terminal device connected to the communication device is realized by the communication device alone without providing a separate appliance product on the network separately from the communication device. The information of the terminal device is, for example, a MAC address of the terminal device, a connection port number, identification information of the terminal device, and the like. The visualization of information means that unique information capable of identifying a terminal device is output for display or the like. The communication device generates and outputs information in which, for example, a MAC address for each terminal device, a connection port number, and identification information of the terminal device are associated with each other.

図1は、実施の形態にかかる通信装置のハードウェア構成例を示す図である。図1には、通信装置100として、L2スイッチまたはL3スイッチに適用した場合の構成例を示す。通信装置100は、CPU(Central Processing Unit)101、スイッチデバイス102、メモリ103、不揮発メモリ104等を含む。   FIG. 1 is a diagram illustrating an example of a hardware configuration of a communication device according to an embodiment. FIG. 1 shows a configuration example when the communication device 100 is applied to an L2 switch or an L3 switch. The communication device 100 includes a CPU (Central Processing Unit) 101, a switch device 102, a memory 103, a nonvolatile memory 104, and the like.

CPU101は、通信装置100の全体制御を司る制御部として機能し、通信装置100に接続された端末装置間のデータの中継(転送)を制御する。スイッチデバイス102は、ASIC(Application Specific Integrated Circuit)等で構成され、LAN等の接続ポートP(P1〜Pn)に接続される端末装置のデータ中継を制御する。   The CPU 101 functions as a control unit that controls the entire communication device 100, and controls data relay (transfer) between terminal devices connected to the communication device 100. The switch device 102 is configured by an ASIC (Application Specific Integrated Circuit) or the like, and controls data relay of a terminal device connected to a connection port P (P1 to Pn) such as a LAN.

符号101aは、コンソールポートであり、PC等の外部コンソール端末に接続され、コンソール端末によりコンソールポート101aを介して入力されるコマンドに基づき、通信装置100の設定操作や端末装置の端末識別情報等の情報出力を行うことができる。以下の説明では、通信装置100が端末装置との間で送受信するデータは、所定フレームを有し、パケット化されて送受信される。   Reference numeral 101a denotes a console port, which is connected to an external console terminal such as a personal computer (PC). Based on a command input from the console terminal via the console port 101a, a setting operation of the communication device 100 and terminal identification information of the terminal device are performed. Information can be output. In the following description, data transmitted / received by the communication device 100 to / from the terminal device has a predetermined frame, is packetized, and is transmitted / received.

不揮発メモリ104には、CPU101の制御プログラムが格納され、制御プログラムは、CPU101により不揮発メモリ104からメモリ103にロードされて実行される。その際、CPU101は、メモリ103や不揮発メモリ104を作業領域に使用する。メモリ103には、例えばRAM等を用いることができ、不揮発メモリ104にはフラッシュメモリを用いることができる。メモリ103は、例えば、設定データや後述する各テーブル等の情報を保持する補助メモリとしても機能する。   The nonvolatile memory 104 stores a control program for the CPU 101, and the control program is loaded from the nonvolatile memory 104 to the memory 103 and executed by the CPU 101. At that time, the CPU 101 uses the memory 103 and the nonvolatile memory 104 as a work area. For example, a RAM or the like can be used as the memory 103, and a flash memory can be used as the nonvolatile memory 104. The memory 103 also functions as an auxiliary memory that holds, for example, setting data and information such as tables described later.

そして、実施の形態の通信装置100は、CPU101とスイッチデバイス102との間には、通信プロトコル制御用パケットを転送する信号線である転送パス(第一の転送パス)Aと、他装置情報取得用パケットを転送する信号線である転送パス(第二の転送パス)Bと、を個別に設ける。転送パスAは、既存の通信装置と同様のパケット転送に用いる。   In the communication apparatus 100 according to the embodiment, a transfer path (first transfer path) A, which is a signal line for transferring a communication protocol control packet, And a transfer path (second transfer path) B which is a signal line for transferring the use packet. The transfer path A is used for packet transfer similar to that of an existing communication device.

なお、端末装置は、通信装置100に対して所定の(単一の)パケットを送信し、このパケットを受信した通信装置100は、内部のスイッチデバイス102によって、パケットを第一の転送パスAあるいは第二の転送パスBに振り分けて転送するか、双方に同じパケットを同報する。パケットが通信プロトコル制御と他装置情報取得の両方の用途に使われる場合はパスAにもパスBにも同じパケットを送信する必要がある。   Note that the terminal device transmits a predetermined (single) packet to the communication device 100, and the communication device 100 that has received the packet transmits the packet to the first transfer path A or The packet is distributed to the second transfer path B and transferred, or the same packet is broadcast to both. When a packet is used for both communication protocol control and other device information acquisition, it is necessary to transmit the same packet to both path A and path B.

転送パスBは、端末情報取得用パケットの転送パスであり、通信装置100の接続ポートに接続される端末装置に固有の情報の取得用として新設する。例えば、CPU101とスイッチデバイス102とを接続する内部ポートの一部を通信プロトコル制御用パケットの転送専用として用い、他の一部を端末装置の端末情報取得用パケットの転送専用として割り当てる。   The transfer path B is a transfer path for a terminal information acquisition packet, and is newly provided for acquiring information unique to the terminal device connected to the connection port of the communication device 100. For example, a part of an internal port connecting the CPU 101 and the switch device 102 is dedicated to transfer of a communication protocol control packet, and another part is dedicated to transfer of a terminal information acquisition packet of a terminal device.

転送パスAでは、制御情報付きのパケット送受信を行う、例えば、PCI−Express等の規格の内部ポート105を用いることができる。転送パスBには、SGMII(Serial Gigabit Media Independent Interface)等のポート(内部ポート)106を用いることができる。   In the transfer path A, for example, an internal port 105 of a standard such as PCI-Express for transmitting and receiving packets with control information can be used. For the transfer path B, a port (internal port) 106 such as a serial gigabit media independent interface (SGMII) can be used.

また、転送パスBには、所定のVLAN ID(Virtual LAN IDentifier)を割り当てる。転送パスBの内部ポート106に監視したいVLANセグメントのID(所定の識別子)を割り当てることにより、スイッチデバイス102は、端末装置が送信するブロードキャストおよびマルチキャストのパケットをいずれもCPU101に送ることができる。   Further, a predetermined VLAN ID (Virtual LAN IDentifier) is assigned to the transfer path B. By allocating the ID (predetermined identifier) of the VLAN segment to be monitored to the internal port 106 of the transfer path B, the switch device 102 can send both the broadcast and multicast packets transmitted by the terminal device to the CPU 101.

図2は、実施の形態にかかる端末装置の情報の可視化に関わるソフトウェア機能のブロック図である。図2に示す各構成部の機能は、図1のCPU101のプログラム実行により実現できる。   FIG. 2 is a block diagram of software functions related to visualization of information of the terminal device according to the embodiment. The function of each component shown in FIG. 2 can be realized by executing a program of the CPU 101 in FIG.

CPU101は、パケット解析部201と、出力生成部202と、コマンド受付部203と、スイッチデバイス制御部204と、通信デバイス制御部205と、コンソールデバイス制御部206と、を含む。端末識別情報テーブルDBと、MACアドレステーブルTは、例えば図1に記載のメモリ103や不揮発メモリ104の記憶領域に設けられる。   The CPU 101 includes a packet analysis unit 201, an output generation unit 202, a command reception unit 203, a switch device control unit 204, a communication device control unit 205, and a console device control unit 206. The terminal identification information table DB and the MAC address table T are provided in a storage area of the memory 103 or the nonvolatile memory 104 illustrated in FIG. 1, for example.

通信デバイス制御部205は、CPU101に内蔵される通信コントローラを制御するドライバとして機能し、スイッチデバイス102を経由して受信したパケットをパケット入出力インタフェース(IF)を介してパケット解析部201に出力する。通信デバイス制御部205は、転送パスB(内部ポート106)を用いて端末装置との間のパケットの入出力を制御する。   The communication device control unit 205 functions as a driver that controls a communication controller built in the CPU 101, and outputs a packet received via the switch device 102 to the packet analysis unit 201 via a packet input / output interface (IF). . The communication device control unit 205 controls input and output of packets to and from the terminal device using the transfer path B (internal port 106).

コンソールデバイス制御部206は、コンソールポート101aに対する入出力を制御するドライバとして機能する。コンソールデバイス制御部206は、コンソールポート101aを介して入力された操作等のコマンドをコマンド入出力IFを介してコマンド受付部203に出力する。   The console device control unit 206 functions as a driver that controls input and output to and from the console port 101a. The console device control unit 206 outputs a command such as an operation input via the console port 101a to the command receiving unit 203 via a command input / output IF.

パケット解析部201は、内部ポート106を経由して端末装置から入力されるパケットを受信してパケットの種別毎の解析を行う。パケット解析部201は、受信したパケットの種別を判定し、パケット種別毎の解析部211にパケットを渡す。   The packet analysis unit 201 receives a packet input from a terminal device via the internal port 106 and performs analysis for each packet type. The packet analysis unit 201 determines the type of the received packet, and passes the packet to the analysis unit 211 for each packet type.

パケット種別毎の解析部211は、通信プロトコル毎の複数のプロトコル解析部221(221a,221b…)を有する。各プロトコル解析部221は、受信したパケットの特定のフィールドの値を元に端末装置の識別情報に変換し、取得したMACアドレスと端末装置の識別情報を端末識別情報テーブルDBに登録する。   The analysis unit 211 for each packet type has a plurality of protocol analysis units 221 (221a, 221b ...) for each communication protocol. Each protocol analyzer 221 converts the value of a specific field of the received packet into identification information of the terminal device, and registers the acquired MAC address and the identification information of the terminal device in the terminal identification information table DB.

プロトコル解析部221は、例えば、フィンガープリンティングの手法により端末装置の識別情報を得る。フィンガープリンティングとは、端末装置から送信されたパケットの特定のフィールドの値を抽出し、そのフィールドの値によって、端末装置のオペレーティングシステム(OS)種別やOSバージョン、機種名を推定する方法である。また、パケット内の情報からパケットの送信元である端末装置のMACアドレスを得る。そして、プロトコル解析部221は、得られたMACアドレスと、端末装置の識別情報を、端末識別情報テーブルDBにデータベースとして登録する。   The protocol analysis unit 221 obtains the identification information of the terminal device by, for example, a fingerprinting technique. Fingerprinting is a method of extracting a value of a specific field of a packet transmitted from a terminal device, and estimating an operating system (OS) type, an OS version, and a model name of the terminal device based on the value of the field. Further, the MAC address of the terminal device that is the transmission source of the packet is obtained from the information in the packet. Then, the protocol analysis unit 221 registers the obtained MAC address and the identification information of the terminal device in the terminal identification information table DB as a database.

MACアドレステーブルTには、MAC学習により端末装置毎のMACアドレスと、このMACアドレスの端末装置が接続されている通信装置100の接続ポートPのポート番号の情報をテーブル形式で記憶保持する。スイッチデバイス制御部204は、MACアドレステーブルTにアクセスするドライバの機能部である。スイッチデバイス制御部204は、出力生成部202の要求により、MACアドレステーブルTを参照し、端末装置毎のMACアドレスとポート番号の情報を読み出し、出力生成部202に出力する。   The MAC address table T stores, in a table format, information on the MAC address of each terminal device by MAC learning and information on the port number of the connection port P of the communication device 100 to which the terminal device of this MAC address is connected. The switch device control unit 204 is a functional unit of a driver that accesses the MAC address table T. In response to a request from the output generation unit 202, the switch device control unit 204 refers to the MAC address table T, reads information on the MAC address and port number of each terminal device, and outputs the information to the output generation unit 202.

コマンド受付部203は、コンソールデバイス制御部206を介して外部のコンソール端末から入力されるコマンドを解析し、要求されたコマンドに対応する出力生成要求を出力生成部202に出力する。また、出力生成部202が生成した出力結果を、コンソールデバイス制御部206を介して外部のコンソール端末に出力する。   The command receiving unit 203 analyzes a command input from an external console terminal via the console device control unit 206, and outputs an output generation request corresponding to the requested command to the output generation unit 202. The output result generated by the output generation unit 202 is output to an external console terminal via the console device control unit 206.

出力生成部202は、コマンド受付部203からの出力生成要求を受け付けると、端末識別情報テーブルDBと、MACアドレステーブルTを参照する。そして、出力生成部202は、これら端末識別情報テーブルDBおよびMACアドレステーブルTから該当する端末装置を可視化する情報を生成し出力結果として、コマンド受付部203を介してコンソール端末に向けて出力する。端末装置を可視化する情報の詳細な生成例については後述する。   When receiving the output generation request from the command receiving unit 203, the output generation unit 202 refers to the terminal identification information table DB and the MAC address table T. The output generation unit 202 generates information for visualizing the corresponding terminal device from the terminal identification information table DB and the MAC address table T, and outputs the information to the console terminal via the command reception unit 203 as an output result. A detailed generation example of the information for visualizing the terminal device will be described later.

以下、端末装置を可視化する情報を生成するために行う通信装置100の各機能部の処理例について説明する。   Hereinafter, a processing example of each functional unit of the communication device 100 performed to generate information for visualizing the terminal device will be described.

図3は、実施の形態にかかる通信装置が行うパケット解析処理例を示すフローチャートである。主に、図2のパケット解析部201が行う処理内容について説明する。   FIG. 3 is a flowchart illustrating an example of a packet analysis process performed by the communication device according to the embodiment. Mainly, processing contents performed by the packet analysis unit 201 in FIG. 2 will be described.

はじめに、パケット解析部201は、端末装置が送信したパケット種別を判定する(ステップS301a)。パケット種別の判定は、パケットのヘッダを参照してプロトコル、例えば、DHCP(Dynamic Host Configuration Protocol)や、LLDP(Link Layer Discovery Protocol)を判定する。   First, the packet analysis unit 201 determines the type of the packet transmitted by the terminal device (Step S301a). In determining the packet type, a protocol, for example, a Dynamic Host Configuration Protocol (DHCP) or a Link Layer Discovery Protocol (LLDP) is determined with reference to the header of the packet.

そして、パケット解析部201は、判定したプロトコル毎に、受信したパケットをパケット種別毎の解析部211に渡す。例えば、パケット解析部201は、パケット種別が〇〇プロトコルであれば(ステップS301a:Case1)、このパケットを対応するプロトコル解析部221(図1の〇〇プロトコル解析部221a)に渡す。そして、〇〇プロトコル解析部221aによりステップS302aの処理を実行する。受信したパケットが異なるプロトコルであれば(ステップS301a:other)、再度パケット種別の判定を行う(ステップS301b)。   Then, the packet analysis unit 201 passes the received packet to the analysis unit 211 for each packet type for each determined protocol. For example, if the packet type is $ protocol (Step S301a: Case1), the packet analysis unit 201 passes this packet to the corresponding protocol analysis unit 221 (#protocol analysis unit 221a in FIG. 1). Then, the processing of step S302a is executed by the protocol analysis unit 221a. If the received packet is a different protocol (step S301a: other), the packet type is determined again (step S301b).

ステップS302aでは、プロトコル解析部221(〇〇プロトコル解析部221a)により、この○○プロトコルの解析処理を行う。はじめに、プロトコル解析部221は、パケットの特定のフィールドを上記フィンガープリンティング等の手法により抽出し(ステップS303)、抽出した特定のフィールドの値を識別情報に変換する(ステップS304)。また、パケットの送信元MACのフィールドから端末装置のMACアドレスを抽出する(ステップS305)。   In step S302a, the protocol analysis unit 221 (〇〇protocol analysis unit 221a) performs the analysis processing of the XX protocol. First, the protocol analysis unit 221 extracts a specific field of the packet by a method such as fingerprinting (step S303), and converts the value of the extracted specific field into identification information (step S304). Further, the MAC address of the terminal device is extracted from the source MAC field of the packet (step S305).

次に、プロトコル解析部221は、抽出したMACアドレスをキーとして、端末識別情報テーブルDBを検索し(ステップS306)、該当するMACアドレスの登録の有無を判断する(ステップS307)。ここで、該当するMACアドレスが端末識別情報テーブルDBに未登録エントリであったとする(ステップS307:Yes)。この場合、プロトコル解析部221は、MACアドレスと、ステップS305で抽出した端末装置の識別情報のエントリを端末識別情報テーブルDBに新規登録する(ステップS308)。   Next, the protocol analysis unit 221 searches the terminal identification information table DB using the extracted MAC address as a key (step S306), and determines whether or not the corresponding MAC address is registered (step S307). Here, it is assumed that the corresponding MAC address is an unregistered entry in the terminal identification information table DB (Step S307: Yes). In this case, the protocol analysis unit 221 newly registers the MAC address and the entry of the identification information of the terminal device extracted in step S305 in the terminal identification information table DB (step S308).

一方、該当するMACアドレスが端末識別情報テーブルDBに登録済であったとする(ステップS307:No)。この場合、プロトコル解析部221は、MACアドレスと、ステップS305で抽出した端末装置の識別情報の内容で端末識別情報テーブルDBを更新する(ステップS309)。ステップS308またはステップS309の処理により、パケット解析部201は一つのプロトコル(〇〇プロトコル)に対する一連のパケット解析処理を終了する。   On the other hand, it is assumed that the corresponding MAC address has been registered in the terminal identification information table DB (step S307: No). In this case, the protocol analysis unit 221 updates the terminal identification information table DB with the MAC address and the content of the terminal device identification information extracted in step S305 (step S309). By the processing of step S308 or step S309, the packet analysis unit 201 ends a series of packet analysis processing for one protocol ($ protocol).

また、上記ステップS301aにおいて、受信したパケットが異なるプロトコルの場合(ステップS301a:other)、パケット解析部201は、再度のパケット種別の判定を行う(ステップS301b)。例えば、パケット解析部201は、パケット種別が〇△プロトコルであれば(ステップS301b:Case2)、このパケットを対応するプロトコル解析部221(図1の〇△プロトコル解析部221b)に渡す。そして、〇△プロトコル解析部221bによりステップS302bの処理を実行する。   If the received packet has a different protocol in step S301a (step S301a: other), the packet analysis unit 201 determines the packet type again (step S301b). For example, if the packet type is $ protocol (step S301b: Case2), the packet analysis unit 201 passes this packet to the corresponding protocol analysis unit 221 (# protocol analysis unit 221b in FIG. 1). Then, the process of step S302b is executed by the protocol analysis unit 221b.

ステップS302bでは、プロトコル解析部221(〇△プロトコル解析部221b)により、この○△プロトコルの解析処理を行う。ステップS302bにおけるプロトコル解析の処理手順は、ステップS303〜ステップS309と同様である。また、プロトコル解析処理は、異なるプロトコル毎にそれぞれステップS303〜ステップS309と同等の処理を行えばよい。   In step S302b, the protocol analyzing unit 221 (〇 △ protocol analyzing unit 221b) analyzes the こ の protocol. The procedure of the protocol analysis in step S302b is the same as that in steps S303 to S309. In the protocol analysis processing, processing equivalent to steps S303 to S309 may be performed for each different protocol.

なお、図3の処理は一例であり、例えば、一つのステップS301aで複数のパケット種別のいずれであるかを特定してもよい。この場合、ステップS302aでは、ステップS301aで特定したパケット種別に対応した分岐先の各処理で、特定したパケット種別のプロトコル解析処理を直接実行することができる。   Note that the process in FIG. 3 is an example, and for example, one of a plurality of packet types may be specified in one step S301a. In this case, in step S302a, in each process of the branch destination corresponding to the packet type specified in step S301a, the protocol analysis process of the specified packet type can be directly executed.

図4A,図4Bは、実施の形態にかかる通信装置が行うプロトコル解析処理を説明する図である。これらの図を用いて図3のステップS302aに示すプロトコル解析処理の流れを示す。   FIGS. 4A and 4B are diagrams illustrating a protocol analysis process performed by the communication device according to the embodiment. The flow of the protocol analysis process shown in step S302a of FIG. 3 will be described with reference to these drawings.

図4Aには、通信装置100は、接続ポートPに接続された端末装置400(400a)からDHCPパケットを受信する例を示す。DHCPパケット410は、パケットの送信元である端末装置400aの送信元MACアドレスの値のフィールド410aと、Option55の値のフィールド410bと、を含む。Option55フィールド410bは、端末装置400aのOSに対応した異なる値をとる。   FIG. 4A shows an example in which communication device 100 receives a DHCP packet from terminal device 400 (400a) connected to connection port P. The DHCP packet 410 includes a field 410a of the value of the source MAC address of the terminal device 400a that is the source of the packet, and a field 410b of the value of Option 55. The Option 55 field 410b has a different value corresponding to the OS of the terminal device 400a.

パケット解析部201のパケット種別毎の解析部211は、上記特定のフィールド抽出時(ステップS303)、送信元MACアドレスの値のフィールド410aから送信元MACアドレス「00:23:26:01:23:45」を取得する。また、パケット種別毎の解析部211は、Option55フィールド410bをフィンガープリンティングし、「1,15,3,6,44,46,47,31,33,249,43」の値が「Windows XP」(登録商標)のOS種別であると判断する。   When the specific field is extracted (step S303), the packet type analyzing unit 211 of the packet analyzing unit 201 extracts the source MAC address “00: 23: 26: 01: 23:” from the source MAC address value field 410a. 45 ”is obtained. The analysis unit 211 for each packet type fingerprints the Option55 field 410b, and the value of “1,15,3,6,44,46,47,31,33,249,43” is set to “Windows XP” ( It is determined that the OS type is (registered trademark).

そして、パケット種別毎の解析部211は、端末識別情報テーブルDBに、取得した端末装置400aに対応する新たなエントリとして、MACアドレス「00:23:26:01:23:45」を格納する。また、このMACアドレスに対応する端末識別情報として「Windows XP」の情報を格納する。   Then, the analysis unit 211 for each packet type stores the MAC address “00: 23: 26: 01: 23: 45” as a new entry corresponding to the acquired terminal device 400a in the terminal identification information table DB. Also, information of “Windows XP” is stored as terminal identification information corresponding to the MAC address.

図4Bには、通信装置100は、接続ポートPに接続された端末装置400(400b)からLLDPパケットを受信する例を示す。LLDPはLink Layer Discovery Protocolの略である。LLDPパケット420は、パケットの送信元である端末装置400bの送信元MACアドレスの値のフィールド420aと、System Descriptionフィールド(システム種別)420bと、を含む。System Descriptionフィールド420bは、端末装置400bの種別に対応した異なる値をとる。   FIG. 4B shows an example in which communication device 100 receives an LLDP packet from terminal device 400 (400b) connected to connection port P. LLDP is an abbreviation for Link Layer Discovery Protocol. The LLDP packet 420 includes a field 420a of the value of the source MAC address of the terminal device 400b that is the source of the packet, and a System Description field (system type) 420b. The System Description field 420b has a different value corresponding to the type of the terminal device 400b.

パケット解析部201のパケット種別毎の解析部211は、特定のフィールド抽出時(ステップS303)、送信元MACアドレスの値のフィールド420aから送信元MACアドレス「00:23:26:0a:bc:de」を取得する。また、パケット種別毎の解析部211は、System Descriptionフィールド420bの値「Fujitsu IP Phone」を取得する。   When extracting a specific field (step S303), the analyzing unit 211 for each packet type of the packet analyzing unit 201 extracts the source MAC address “00: 23: 26: 0a: bc: de” from the source MAC address value field 420a. To get. Further, the analysis unit 211 for each packet type acquires the value “Fujitsu IP Phone” of the System Description field 420b.

そして、パケット種別毎の解析部211は、端末識別情報テーブルDBに、取得した端末装置400bに対応する新たなエントリとして、MACアドレス「00:23:26:0a:bc:de」を格納する。また、このMACアドレスに対応する端末識別情報として「Fujitsu IP Phone」の情報を格納する。   Then, the analysis unit 211 for each packet type stores the MAC address “00: 23: 26: 0a: bc: de” as a new entry corresponding to the acquired terminal device 400b in the terminal identification information table DB. Also, information of “Fujitsu IP Phone” is stored as terminal identification information corresponding to the MAC address.

図5は、実施の形態にかかる通信装置の出力生成処理例を説明する図である。図2に示す出力生成部202による出力結果の生成処理例を示す。出力生成部202は、コマンド受付部203からの出力生成要求を受けると、MACアドレステーブルTと、端末識別情報テーブルDBとを参照する。そして、出力生成部202は、端末識別情報テーブルDBからMACアドレス毎の端末識別情報を取得する。また、MACアドレステーブルTからMACアドレス毎の接続ポート番号情報を取得する。そして、MACアドレス毎の接続ポート番号情報と、端末識別情報とを関連付けた出力結果500を生成する。   FIG. 5 is a diagram illustrating an example of an output generation process of the communication device according to the embodiment. 3 illustrates an example of an output result generation process performed by the output generation unit 202 illustrated in FIG. 2. When receiving the output generation request from the command receiving unit 203, the output generation unit 202 refers to the MAC address table T and the terminal identification information table DB. Then, the output generation unit 202 acquires terminal identification information for each MAC address from the terminal identification information table DB. Further, connection port number information for each MAC address is obtained from the MAC address table T. Then, an output result 500 in which connection port number information for each MAC address is associated with terminal identification information is generated.

図5には、DHCPパケットを送出した端末装置400a(図4A参照)に関する出力結果500の生成例を示す。出力生成部202は、端末装置400aのMACアドレス「00:23:26:01:23:45」をキーとして、端末識別情報テーブルDBからMACアドレスに対応する端末識別情報「Windows XP」を取得する。また、出力生成部202は、取得した端末装置400aのMACアドレス「00:23:26:01:23:45」をキーとして、MACアドレステーブルTからMACアドレスに対応する接続ポート番号情報「1」を取得する。   FIG. 5 shows an example of generating an output result 500 relating to the terminal device 400a (see FIG. 4A) that has transmitted the DHCP packet. The output generation unit 202 acquires the terminal identification information “Windows XP” corresponding to the MAC address from the terminal identification information table DB using the MAC address “00: 23: 26: 01: 23: 45” of the terminal device 400a as a key. . In addition, the output generation unit 202 uses the acquired MAC address “00: 23: 26: 01: 23: 45” of the terminal device 400a as a key to connect port number information “1” corresponding to the MAC address from the MAC address table T. To get.

そして、出力生成部202は、MACアドレス「00:23:26:01:23:45」の接続ポート番号情報「1」と、端末識別情報「Windows XP」とを関連付けた出力結果500を生成する。   Then, the output generation unit 202 generates an output result 500 in which the connection port number information “1” of the MAC address “00: 23: 26: 01: 23: 45” is associated with the terminal identification information “Windows XP”. .

出力結果500は、MACアドレス毎、すなわち通信装置100の全ポート(接続ポートP)に接続されている全ての端末装置400(400a,400b,…)の接続ポート番号情報と、端末識別情報とを関連付けた情報を含む。   The output result 500 includes, for each MAC address, that is, connection port number information and terminal identification information of all terminal devices 400 (400a, 400b,...) Connected to all ports (connection ports P) of the communication device 100. Contains associated information.

出力生成部202が生成した出力結果500は、出力生成要求を行ったコンソールポート101a(図1参照)を介して外部のコンソール端末にコマンドラインで返答する。このほか、出力結果500の出力先は、出力生成要求を行った所定の端末装置のWebブラウザ上に表示してもよいし、ファイル化して出力生成要求を行った所定の端末装置に送信する構成としてもよい。   The output result 500 generated by the output generation unit 202 returns a command line to the external console terminal via the console port 101a (see FIG. 1) that has issued the output generation request. In addition, the output destination of the output result 500 may be displayed on the Web browser of the predetermined terminal device that has issued the output generation request, or may be filed and transmitted to the predetermined terminal device that has issued the output generation request. It may be.

上述した通信装置100では、転送パスBの内部ポート106に監視したいVLANセグメントのIDを割り当てる構成とした。この構成に加えて、スイッチデバイス102のポートミラーリング機能を使用して外部の特定のポート(例えば一つあるいは全てのポート)に入出力されるパケットを内部ポート106にミラーリングしてもよい。これにより、ブロードキャスト、マルチキャストパケット以外のパケットもモニターできるようになる。   In the communication device 100 described above, the ID of the VLAN segment to be monitored is assigned to the internal port 106 of the transfer path B. In addition to this configuration, a packet input / output to a specific external port (for example, one or all ports) may be mirrored to the internal port 106 using the port mirroring function of the switch device 102. As a result, packets other than broadcast and multicast packets can be monitored.

通信装置100のCPU101が行う各機能部(図2参照)の処理については、ネットワーク機器としてデータ転送する主機能に影響を与えないよう、主機能とは別のコアを割付けてもよい。そして、CPU101がパケット解析により取得する端末を可視化するための情報は、MACアドレスと端末装置400の識別情報に限らない。例えば、IPアドレスやホスト名、NetBIOS名(コンピュータ名に相当)、ベンダー名を加えた全てであってもよいし、そのうちのいずれかの組み合わせであってもよい。   Regarding the processing of each functional unit (see FIG. 2) performed by the CPU 101 of the communication device 100, a core different from the main function may be allocated so as not to affect the main function of transferring data as a network device. Information for the CPU 101 to visualize the terminal obtained by packet analysis is not limited to the MAC address and the identification information of the terminal device 400. For example, the IP address, the host name, the NetBIOS name (corresponding to the computer name), and the vendor name may be added, or any combination of them may be used.

図6は、実施の形態にかかる通信装置の出力結果の例を示す図表である。出力生成部202は、図6に示す例では、出力結果500として、端末装置400(400a,400b,…)毎のMACアドレス、端末識別情報、接続ポート番号情報に加え、端末装置400から取得したIPアドレス、コンピュータ名を含んでいる。この出力結果500は、端末識別情報テーブルDBに格納保持される。   FIG. 6 is a diagram illustrating an example of an output result of the communication device according to the embodiment. In the example illustrated in FIG. 6, the output generation unit 202 acquires the output result 500 from the terminal device 400 in addition to the MAC address, the terminal identification information, and the connection port number information for each terminal device 400 (400a, 400b,...). Includes IP address and computer name. This output result 500 is stored and held in the terminal identification information table DB.

図示のように、通信装置100は、複数の端末装置400それぞれのMACアドレスと、端末識別情報として異なるOSであること、通信装置100に対する接続ポート番号情報、IPアドレス、コンピュータ名、を可視化した情報として出力することができる。   As shown in the drawing, the communication device 100 is a different OS as the MAC address of each of the plurality of terminal devices 400 and the terminal identification information, and information visualizing the connection port number information, the IP address, and the computer name for the communication device 100. Can be output as

図7は、実施の形態にかかる通信装置の他のハードウェア構成例を示す図である。図7に示す通信装置100は、ルータに適用した場合の構成例を示す。ルータの構成例の場合、図1に示す各構成に加えて、CPU101にはWAN等の外部ネットワークのポートWを備えればよい。   FIG. 7 is a diagram illustrating another example of the hardware configuration of the communication device according to the embodiment. The communication device 100 shown in FIG. 7 shows a configuration example when applied to a router. In the case of a router configuration example, in addition to the components shown in FIG. 1, the CPU 101 may include a port W of an external network such as a WAN.

次に、上述した実施の形態の通信装置100において、図1に示したCPU101とスイッチデバイス102との間に転送パスB(内部ポート106)を新たに設けた構成について、従来技術との対比説明を行う。   Next, in the communication apparatus 100 according to the above-described embodiment, a configuration in which a transfer path B (internal port 106) is newly provided between the CPU 101 and the switch device 102 illustrated in FIG. I do.

図8は、従来の通信装置による内部ポートの輻輳状態を説明する図である。従来の通信装置800では、CPU801とスイッチデバイス802は、CPUポートと呼ばれるデータパス803(図1の転送パスA(内部ポート105に相当)を経由して通信プロトコルの制御に必要なパケットの送受信を行っている。   FIG. 8 is a diagram illustrating a congestion state of an internal port by a conventional communication device. In the conventional communication apparatus 800, the CPU 801 and the switch device 802 transmit and receive packets necessary for controlling a communication protocol via a data path 803 (corresponding to the internal port 105 in FIG. 1) called a CPU port. Is going.

CPUポート(データパス803)は、例えば、STPで使用されるBPDUパケットの送受信に使用されている。STPは、LAN内の端末装置がループ構成となるのを回避するための通信プロトコルである。そして、実施の形態で説明したように、端末装置の情報を可視化するために、CPUポート(データパス803)を使って複数の監視したい端末装置のパケットF2を取得したとする。   The CPU port (data path 803) is used, for example, for transmitting and receiving BPDU packets used in STP. STP is a communication protocol for preventing a terminal device in a LAN from forming a loop configuration. Then, as described in the embodiment, it is assumed that, in order to visualize the information of the terminal device, packets F2 of a plurality of terminal devices to be monitored are acquired using the CPU port (data path 803).

この場合、図8に示すように、複数の接続ポート(P1,P2,Pn−1,Pn)の監視したいパケットF2がCPUポート(データパス803)に集中して輻輳が発生しやすくなる。この結果、通信プロトコルの制御に必要なパケットF1(接続ポートP3)を取りこぼすことがある。   In this case, as shown in FIG. 8, the packets F2 to be monitored at the plurality of connection ports (P1, P2, Pn-1, Pn) are concentrated on the CPU port (data path 803) and congestion is likely to occur. As a result, the packet F1 (connection port P3) necessary for controlling the communication protocol may be missed.

例えば、STPの場合、CPU801がBPDUパケットを取りこぼしてしまうと、ループ構成を回避するための再計算処理を行う必要が生じ、STPを構成するネットワーク全体が暫くの間、通信停止状態となるおそれが生じる。   For example, in the case of STP, if the CPU 801 drops a BPDU packet, it is necessary to perform a recalculation process to avoid a loop configuration, and the entire network configuring the STP may be in a communication suspended state for a while. Occurs.

図9は、実施の形態にかかる通信装置による内部ポートの輻輳状態の回避を説明する図である。実施の形態の通信装置100は、CPUポート(内部ポート105)の転送パスAを、既存の通信プロトコル制御用のパケットF1の転送パスとして用いる。   FIG. 9 is a diagram illustrating avoidance of a congestion state of an internal port by the communication device according to the embodiment. The communication device 100 according to the embodiment uses the transfer path A of the CPU port (the internal port 105) as the transfer path of the existing communication protocol control packet F1.

そして、この転送パスA(内部ポート105)とは別に、監視したいパケットF2用のデータパスとして転送パスBを設ける。これにより、転送パスBを監視したいパケットF2専用として用いる。この場合、接続ポートP1,P2,Pn−1,Pnのパケット監視により端末装置400の情報を取得する。   In addition to the transfer path A (internal port 105), a transfer path B is provided as a data path for the packet F2 to be monitored. Thus, the transfer path B is used exclusively for the packet F2 to be monitored. In this case, the information of the terminal device 400 is obtained by monitoring the packets of the connection ports P1, P2, Pn-1, and Pn.

この際、転送パスAは、パケット監視に関与せずに接続ポートP3の既存の通信プロトコル制御用のパケットF1の転送を継続できる。なお、実施の形態では、通信プロトコル制御用のパケットF1として、他にSNMP(Simple Network Management Protocol)にも適用できる。   At this time, the transfer path A can continue the transfer of the existing communication protocol control packet F1 of the connection port P3 without being involved in the packet monitoring. In the embodiment, as the packet F1 for controlling the communication protocol, the present invention can be applied to an SNMP (Simple Network Management Protocol).

これにより、通信装置100において輻輳要因の通信プロトコル制御用パケットのロスト発生を回避することができる。そして、通信装置100は、端末装置400の情報取得の処理を行っても、ネットワーク機器の主機能の一つである通信プロトコル制御への影響を回避することができるようになる。   As a result, it is possible to avoid the occurrence of a loss of the communication protocol control packet due to the congestion factor in the communication device 100. Then, even when the communication device 100 performs the information acquisition process of the terminal device 400, it is possible to avoid the influence on the communication protocol control which is one of the main functions of the network device.

図10は、実施の形態にかかる通信装置のマルチコアCPUを用いた処理動作を説明する図である。上述した、CPUポートの転送パスAとは別に、パケットを監視するためのデータパス(転送パスB)を用いた場合のCPU処理例について説明する。   FIG. 10 is a diagram illustrating a processing operation using the multi-core CPU of the communication device according to the embodiment. An example of CPU processing when a data path (transfer path B) for monitoring packets is used separately from the transfer path A of the CPU port will be described.

図10に示すように、CPU101として複数のコアを搭載するCPUを使用する。これにより、内部ポートのパケット送受信処理をCPU101の所定のコアを用いて行いながら、監視ポートのパケット送受信処理をCPU101の別のコアで並列に行うことができる。   As shown in FIG. 10, a CPU having a plurality of cores is used as the CPU 101. Accordingly, while the packet transmission / reception processing of the internal port is performed using a predetermined core of the CPU 101, the packet transmission / reception processing of the monitoring port can be performed in parallel by another core of the CPU 101.

例えば、CPU101の複数のコアnのうちの一つ(n−1)のコア(例えばコア0)は、ネットワーク機器として必要な転送パスAを用いた通信制御部1001として機能する。通信制御部1001は、端末装置400の通信プロトコルに応じた解析と制御処理を行う通信プロトコル解析、制御処理部1011と、スイッチデバイス102を制御するスイッチデバイス制御処理部1012と、を含む。また、コマンド受付処理部1013と、内部ポートのフレーム送受信処理部1014と、を含む。これら各構成部は、CPU101のコア0がプログラム実行することで機能実現できる。   For example, one (n-1) core (for example, core 0) of the plurality of cores n of the CPU 101 functions as the communication control unit 1001 using the transfer path A required as a network device. The communication control unit 1001 includes a communication protocol analysis and control processing unit 1011 that performs analysis and control processing according to the communication protocol of the terminal device 400, and a switch device control processing unit 1012 that controls the switch device 102. It also includes a command reception processing unit 1013 and a frame transmission / reception processing unit 1014 for an internal port. Each of these components can be implemented as a function by the core 0 of the CPU 101 executing a program.

また、CPU101のコアnは、通信装置100に接続された端末装置400の情報を可視化する可視化処理部1002として機能する。この端末装置の情報を可視化する可視化処理部1002は、転送パスBを用いて端末識別情報を取得する端末装置識別フレーム解析処理部1021と、監視ポート(内部ポート106)のパケット送受信処理を行うフレーム送受信処理部1022と、を含む。これら各構成部は、CPU101のコアnがプログラム実行することで機能実現できる。   The core n of the CPU 101 functions as a visualization processing unit 1002 that visualizes information of the terminal device 400 connected to the communication device 100. The visualization processing unit 1002 for visualizing the information of the terminal device includes a terminal device identification frame analysis processing unit 1021 for acquiring terminal identification information using the transfer path B, and a frame for performing packet transmission / reception processing of a monitoring port (internal port 106). And a transmission / reception processing unit 1022. Each of these components can be realized by executing a program by the core n of the CPU 101.

CPU101は、転送パスA(内部ポート105)と、転送パス(内部ポート106)単位で、一方の通信制御部1001、および他方の可視化処理部1002の機能を処理するコアを指定することができる。   The CPU 101 can designate a core for processing the functions of one communication control unit 1001 and the other visualization processing unit 1002 for each of the transfer path A (internal port 105) and the transfer path (internal port 106).

また、CPU101は、マルチコアのCPUを用いるに限らず、複数のCPU101を用いてもよい。このようなマルチCPUの構成の場合、一方のCPU101は、転送パスAを用いる通信制御部1001として機能する。他方のCPU101は、通信装置100に接続された端末装置400の情報を可視化するために、転送パスBを用いて端末識別情報を取得する機能、すなわち、可視化処理部1002として機能する。   Further, the CPU 101 is not limited to using a multi-core CPU, but may use a plurality of CPUs 101. In the case of such a multi-CPU configuration, one CPU 101 functions as the communication control unit 1001 using the transfer path A. The other CPU 101 functions as a function of acquiring terminal identification information using the transfer path B in order to visualize information of the terminal device 400 connected to the communication device 100, that is, functions as a visualization processing unit 1002.

このように、転送パスAを用いて端末装置400の通信プロトコルの制御に必要なパケットに対するパケット送受信処理をCPU内のあるCPUコアが割り付け実行する。また、転送パスBを用いて端末装置400の端末識別情報を取得するパケット解析処理をCPU内の他のCPUコアが割り付け実行する。   As described above, a certain CPU core in the CPU allocates and executes a packet transmission / reception process for a packet necessary for controlling the communication protocol of the terminal device 400 using the transfer path A. In addition, another CPU core in the CPU allocates and executes a packet analysis process of acquiring the terminal identification information of the terminal device 400 using the transfer path B.

これにより、通信装置100は、転送パスBを用いて端末装置400の端末識別情報を取得するパケット解析処理を行っても、ネットワーク機器の主機能である通信プロトコルの制御に必要なパケットの処理で使用するCPUリソースの圧迫を防ぐことができる。そして、通信装置100の主機能である通信プロトコルの制御に必要なパケットの処理の輻輳を抑制できるようになる。   Accordingly, even when the communication device 100 performs the packet analysis process of acquiring the terminal identification information of the terminal device 400 using the transfer path B, the communication device 100 can process the packet necessary for controlling the communication protocol which is the main function of the network device. Pressure on the CPU resources to be used can be prevented. Then, it becomes possible to suppress the congestion of the packet processing required for controlling the communication protocol which is the main function of the communication device 100.

以上説明した実施の形態によれば、通信装置単体で、この通信装置に接続された複数の端末装置の情報の可視化を行うことができる。実施の形態では、通信装置は、端末装置のパケットを監視し、プロトコル種別毎にパケットの特定のフィールドから端末装置に固有の端末識別情報を抽出し、通信装置に接続された各端末の端末識別情報を記憶保持する。   According to the above-described embodiment, information of a plurality of terminal devices connected to the communication device can be visualized by the communication device alone. In the embodiment, the communication device monitors a packet of the terminal device, extracts terminal identification information unique to the terminal device from a specific field of the packet for each protocol type, and identifies the terminal identification of each terminal connected to the communication device. Stores and retains information.

端末識別情報は、端末装置のOS、種別、IPアドレス、ホスト名、NetBIOS名、ベンダー名等である。端末装置から取得したMACアドレスおよび接続ポート番号と、端末識別情報とを関連付けることで、通信装置の各接続ポートにどのような端末装置が接続されているかを特定できるようになる。   The terminal identification information is the OS, type, IP address, host name, NetBIOS name, vendor name, and the like of the terminal device. By associating the MAC address and the connection port number acquired from the terminal device with the terminal identification information, it becomes possible to specify what terminal device is connected to each connection port of the communication device.

このように、端末装置の情報を可視化することにより、ネットワークに対してどのような端末装置が接続されているかを容易に知ることができる。そして、端末装置のネットワークへの不正接続や、脆弱なOSを使用している端末装置によるマルウェア感染を防ぎ、端末装置を含み構築したネットワークのセキュリティを保つことができるようになる。   In this way, by visualizing the information of the terminal device, it is possible to easily know what terminal device is connected to the network. Then, unauthorized connection of the terminal device to the network and malware infection by the terminal device using the vulnerable OS can be prevented, and the security of the network including the terminal device can be maintained.

また、実施の形態によれば、ネットワーク上に不正接続検知の専用装置(アプライアンス製品)を配置し、通信装置に蓄積された端末装置の可視化された情報を収集させることができる。これにより、例えば、脆弱なOSを使用している端末装置を接続ポートを含めて特定できるため、この脆弱なOSを使用している端末装置が接続された接続ポートを遮断する制御も行えるようになる。   Further, according to the embodiment, it is possible to arrange a dedicated device (appliance product) for detecting unauthorized connection on the network, and to collect the visualized information of the terminal device accumulated in the communication device. Thereby, for example, since the terminal device using the vulnerable OS can be specified including the connection port, the control for cutting off the connection port to which the terminal device using the vulnerable OS is connected can be performed. Become.

実施の形態の通信装置は、L2スイッチおよびL3スイッチ、さらにはルータにも適用することができ、これらスイッチやルータを含み、接続ポートに接続された端末装置の端末識別情報を取得し、どのような端末装置が接続されているかを容易に特定できる。   The communication device according to the embodiment can be applied to an L2 switch and an L3 switch, and further to a router. The communication device includes the switch and the router, acquires terminal identification information of a terminal device connected to a connection port, and obtains the It is possible to easily specify whether a terminal device is connected.

そして、実施の形態によれば、スイッチデバイスとCPUとの間では、端末装置が送信するパケットについて、通信プロトコルの制御に必要なパケットと、監視したいパケットとを異なる内部ポートを用いてCPUに転送する。通信プロトコルの制御に必要なパケットは第一の転送パス(転送パスA)を介して転送し、端末装置の情報取得用のパケットは第二の転送パス(転送パスB)を介して転送するようにした。これにより、通信プロトコルの制御に必要なパケットの転送パスの輻輳を抑制し、パケットのロストを回避でき、データ転送の通信プロトコル制御用のパケットを確実に転送することが可能となる。   According to the embodiment, between the switch device and the CPU, for the packet transmitted by the terminal device, the packet necessary for controlling the communication protocol and the packet to be monitored are transferred to the CPU using different internal ports. I do. Packets necessary for controlling the communication protocol are transferred via a first transfer path (transfer path A), and packets for acquiring information of the terminal device are transferred via a second transfer path (transfer path B). I made it. As a result, it is possible to suppress congestion of a packet transfer path required for controlling a communication protocol, avoid packet loss, and reliably transfer a packet for communication protocol control of data transfer.

また、CPUは、第一の転送パスおよび第二の転送パスから転送されるそれぞれのパケットを並行処理することにより、通信プロトコルの制御に必要なパケット処理と、監視したいパケット処理とを並行処理できる。   Further, the CPU can process the packet processing required for controlling the communication protocol and the packet processing to be monitored in parallel by processing the respective packets transferred from the first transfer path and the second transfer path in parallel. .

例えば、CPUにマルチコアCPUを用いることにより、あるコアで通信プロトコルの制御に必要なパケット処理を行い、他のコアで監視したいパケット処理を行うことができる。また、複数の異なるCPUを用い、あるCPUで通信プロトコルの制御に必要なパケット処理を行い、他のCPUで監視したいパケット処理を行うことができる。これらにより、通信プロトコルの制御に必要なパケット処理と、監視したいパケット処理を独立して処理でき、一方が他方に影響を与えず、処理の輻輳を抑制し、これら異なるパケット処理をいずれも確実に実行できるようになる。   For example, by using a multi-core CPU as a CPU, it is possible to perform packet processing required for controlling a communication protocol in one core and perform packet processing to be monitored in another core. Further, it is possible to use a plurality of different CPUs, perform packet processing required for controlling a communication protocol by one CPU, and perform packet processing to be monitored by another CPU. As a result, the packet processing required for controlling the communication protocol and the packet processing to be monitored can be processed independently, one does not affect the other, the processing congestion is suppressed, and any of these different packet processings is reliably performed. You can do it.

また、CPUは、第二の転送パスの情報取得用のパケットを監視し、情報取得用のパケットに含まれる端末装置に固有の識別情報を抽出することができる。例えば、情報取得用のパケットの所定のフィールドに含まれる端末装置に固有の識別情報をフィンガープリンティングにより取得する。これにより、端末装置に固有の識別情報を受信したパケットから簡単に取得することができる。   Further, the CPU can monitor the information acquisition packet of the second transfer path and extract identification information unique to the terminal device included in the information acquisition packet. For example, identification information unique to the terminal device included in a predetermined field of the information acquisition packet is acquired by fingerprinting. This makes it possible to easily obtain the identification information unique to the terminal device from the received packet.

また、CPUは、端末装置のMACアドレスと接続ポートの情報をMACアドレステーブルに保持する。そして、CPUは、端末装置毎のMACアドレスをキーとして、情報取得用のパケットから抽出した端末識別情報をMACアドレスに関連付け、MACアドレス毎に関連付けた接続ポートと、端末識別情報と、を端末識別情報テーブルに保持することができる。これにより、MAC学習により得た端末装置毎のMACアドレスおよび接続ポートの情報と、パケット監視時に得た端末識別情報とを端末装置毎に関連付けて端末識別情報テーブルに保持しておくことができる。そして、端末識別情報テーブルを参照するだけで通信装置に接続された端末装置を特定できるようになる。   Further, the CPU holds the MAC address of the terminal device and the information of the connection port in the MAC address table. Then, using the MAC address of each terminal device as a key, the CPU associates the terminal identification information extracted from the information acquisition packet with the MAC address, and identifies the connection port associated with each MAC address and the terminal identification information with the terminal identification information. It can be stored in an information table. As a result, the information of the MAC address and the connection port for each terminal device obtained by MAC learning and the terminal identification information obtained at the time of packet monitoring can be associated with each terminal device and held in the terminal identification information table. Then, the terminal device connected to the communication device can be specified simply by referring to the terminal identification information table.

また、CPUは、受信したパケットから端末装置の通信プロトコルを判断し、通信プロトコル別のパケット処理を行うことができる。これにより、通信プロトコル別のパケット処理により、端末装置別の識別情報を容易に抽出することができるようになる。   Further, the CPU can determine the communication protocol of the terminal device from the received packet and perform packet processing for each communication protocol. Thus, the identification information for each terminal device can be easily extracted by the packet processing for each communication protocol.

また、CPUは、端末識別情報の要求に基づき、端末識別情報テーブルから端末装置毎のMACアドレスと、接続ポートと、端末識別情報と、を出力することができる。これにより、通信装置に対して外部から端末識別情報の要求時、端末識別情報テーブルを参照するだけで通信装置に接続された端末装置を直ちに返答できるようになる。   Further, the CPU can output the MAC address, the connection port, and the terminal identification information for each terminal device from the terminal identification information table based on the request for the terminal identification information. Thus, when externally requesting the terminal identification information from the communication device, the terminal device connected to the communication device can be immediately replied only by referring to the terminal identification information table.

また、CPUは、第二の転送パスに監視対象の端末装置のVLANセグメントの識別子を割り当て、監視対象の端末装置全体のパケットを第二の転送パスを介して取得することができる。これにより、接続ポートに接続された監視対象の端末装置が送信するブロードキャストおよびマルチキャストのパケットをCPUに転送でき、CPUは、監視対象の端末装置の端末識別情報を取得できるようになる。   Further, the CPU can assign the identifier of the VLAN segment of the terminal device to be monitored to the second transfer path, and can acquire the packet of the entire terminal device to be monitored via the second transfer path. Thus, the broadcast and multicast packets transmitted by the terminal device to be monitored connected to the connection port can be transferred to the CPU, and the CPU can acquire the terminal identification information of the terminal device to be monitored.

そして、実施の形態によれば、専用アプライアンスを導入することなく、ネットワーク上に上記の通信装置を設置するだけで、通信装置に接続された端末装置を可視化するための端末識別情報を容易に取得できるようになる。また、実施の形態によれば、通信装置に対して、従来の如く専用アプライアンスを接続する必要がないため、通信装置の接続ポートを占有することがなく、通信装置の接続ポートを端末装置の接続用に確保できる。また、上述した端末識別情報により、端末装置が通信装置のどの接続ポート配下に接続されているかを容易に判別できるようになる。   According to the embodiment, the terminal identification information for visualizing the terminal device connected to the communication device can be easily obtained only by installing the communication device on the network without introducing the dedicated appliance. become able to. Further, according to the embodiment, it is not necessary to connect a dedicated appliance to the communication device unlike the related art, so that the connection port of the communication device is not occupied and the connection port of the communication device is connected to the terminal device. Can be secured. Further, the terminal identification information described above makes it easy to determine under which connection port of the communication device the terminal device is connected.

なお、本実施の形態で説明した通信制御にかかる方法は、予め用意された制御プログラムを対象機器(通信装置)のコンピュータ(CPU等)が実行することにより実現することができる。本制御プログラムは、磁気ディスク、光ディスク、USB(Universal Serial Bus)フラッシュメモリなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また、制御プログラムは、インターネット等のネットワークを介して配布してもよい。   Note that the communication control method described in the present embodiment can be realized by a computer (CPU or the like) of a target device (communication device) executing a control program prepared in advance. The present control program is recorded on a computer-readable recording medium such as a magnetic disk, an optical disk, and a USB (Universal Serial Bus) flash memory, and is executed by being read from the recording medium by the computer. Further, the control program may be distributed via a network such as the Internet.

上述した実施の形態に関し、さらに以下の付記を開示する。   Regarding the above-described embodiment, the following supplementary notes are further disclosed.

(付記1)接続される端末装置のデータのパケットを中継する通信装置であって、
前記端末装置から送信されたパケットの中継を行うスイッチデバイスと、
前記スイッチデバイスを制御するCPUと、
前記スイッチデバイスから前記CPUへのパケットの転送パスとして、
通信プロトコル制御に必要なパケットを転送する第一の転送パスと、
前記端末装置の情報取得用のパケットを転送する第二の転送パスと、
を備え、
前記CPUは、前記第一の転送パスを用いて前記通信プロトコル制御に必要なパケットに対する通信プロトコルの制御を行い、前記第二の転送パスを用いて前記情報取得用のパケットから前記端末装置に固有の情報を取得する制御を行うことを特徴とする通信装置。 (Supplementary Note 1) A communication device that relays a data packet of a connected terminal device,
A switch device that relays a packet transmitted from the terminal device;
A CPU for controlling the switch device;
As a transfer path of a packet from the switch device to the CPU,
A first transfer path for transferring packets required for communication protocol control,
A second transfer path for transferring a packet for information acquisition of the terminal device,
With
The CPU controls a communication protocol for a packet necessary for the communication protocol control using the first transfer path, and uses the second transfer path to convert the information acquisition packet to a packet unique to the terminal device. A communication device for performing control to acquire the information of the communication device.

(付記2)前記CPUは、前記第一の転送パスおよび前記第二の転送パスから転送されるそれぞれの前記パケットを並行処理することを特徴とする付記1に記載の通信装置。 (Supplementary note 2) The communication device according to supplementary note 1, wherein the CPU performs parallel processing on each of the packets transferred from the first transfer path and the second transfer path.

(付記3)前記CPUは、マルチコアCPU、あるいは複数の異なるCPUであることを特徴とする付記2に記載の通信装置。 (Supplementary note 3) The communication device according to supplementary note 2, wherein the CPU is a multi-core CPU or a plurality of different CPUs.

(付記4)前記CPUは、前記第二の転送パスの前記情報取得用のパケットを監視し、当該情報取得用のパケットに含まれる前記端末装置に固有の端末識別情報を抽出することを特徴とする付記1〜3のいずれか一つに記載の通信装置。 (Supplementary Note 4) The CPU monitors the information acquisition packet on the second transfer path, and extracts terminal identification information unique to the terminal device included in the information acquisition packet. The communication device according to any one of supplementary notes 1 to 3, wherein

(付記5)前記CPUは、当該情報取得用のパケットの所定のフィールドに含まれる前記端末装置に固有の端末識別情報をフィンガープリンティングにより取得することを特徴とする付記4に記載の通信装置。 (Supplementary note 5) The communication device according to supplementary note 4, wherein the CPU acquires, by fingerprinting, terminal identification information unique to the terminal device included in a predetermined field of the information acquisition packet.

(付記6)前記CPUは、前記端末装置のMACアドレスと接続ポートの情報をMACアドレステーブルに保持し、前記端末装置毎のMACアドレスをキーとして、前記情報取得用のパケットから抽出した前記端末識別情報を前記MACアドレスに関連付け、
前記MACアドレス毎に関連付けた前記接続ポートと、前記端末識別情報と、を端末識別情報テーブルに保持することを特徴とする付記4または5に記載の通信装置。 (Supplementary Note 6) The CPU holds the MAC address and connection port information of the terminal device in a MAC address table, and uses the MAC address of each terminal device as a key to extract the terminal identification extracted from the information acquisition packet. Associating information with said MAC address;
6. The communication device according to claim 4, wherein the connection port associated with each of the MAC addresses and the terminal identification information are held in a terminal identification information table.

(付記7)前記CPUは、前記端末識別情報の要求に基づき、前記端末識別情報テーブルから前記端末装置毎のMACアドレスと、前記接続ポートと、前記端末識別情報と、を出力することを特徴とする付記5または6に記載の通信装置。 (Supplementary Note 7) The CPU outputs the MAC address, the connection port, and the terminal identification information of each terminal device from the terminal identification information table based on the request for the terminal identification information. 7. The communication device according to claim 5, wherein

(付記8)前記CPUは、受信したパケットから前記端末装置の通信プロトコルを判断し、前記通信プロトコル別のパケット処理を行うことを特徴とする付記1〜7のいずれか一つに記載の通信装置。 (Supplementary note 8) The communication device according to any one of Supplementary notes 1 to 7, wherein the CPU determines a communication protocol of the terminal device from a received packet and performs packet processing for each communication protocol. .

(付記9)前記CPUは、前記第二の転送パスに監視対象の前記端末装置のVLANセグメントの識別子の割り当て、または、前記第二の転送パスに監視対象の外部ポートをスイッチデバイスのミラーリング機能により、前記監視対象の端末装置全体のパケットを前記第二の転送パスを介して取得することを特徴とする付記1〜8のいずれか一つに記載の通信装置。 (Supplementary Note 9) The CPU assigns an identifier of a VLAN segment of the terminal device to be monitored to the second transfer path, or assigns an external port to be monitored to the second transfer path by a mirroring function of a switch device. The communication device according to any one of supplementary notes 1 to 8, wherein a packet of the entire terminal device to be monitored is acquired via the second transfer path.

(付記10)端末装置から送信されたパケットの中継を行うスイッチデバイスと、前記スイッチデバイスからパケットの転送パスを有し、前記スイッチデバイスを制御するCPUと、を有する通信装置の通信制御プログラムであって、
前記CPUに、
通信プロトコル制御に必要なパケットを転送する第一の転送パスを用いて前記通信プロトコル制御に必要なパケットに対する通信プロトコルの制御を行わせ、
前記端末装置の情報取得用のパケットを転送する第二の転送パスを用いて前記情報取得用のパケットから前記端末装置に固有の情報を取得する制御を行わせる、
ことを特徴とする通信制御プログラム。 (Supplementary Note 10) A communication control program for a communication device, comprising: a switch device that relays a packet transmitted from a terminal device; and a CPU that has a transfer path for the packet from the switch device and controls the switch device. hand,
In the CPU,
Using the first transfer path to transfer the packets required for the communication protocol control to control the communication protocol for the packets required for the communication protocol control,
Using a second transfer path for transferring the information acquisition packet of the terminal device, performing control to acquire information unique to the terminal device from the information acquisition packet,
A communication control program characterized by the above-mentioned.

100 通信装置
101 CPU
101a コンソールポート
102 スイッチデバイス
103 メモリ
104 不揮発メモリ
105 内部ポート(第一の転送パスA)
106 内部ポート(第二の転送パスB)
201 パケット解析部
202 出力生成部
203 コマンド受付部
204 スイッチデバイス制御部
205 通信デバイス制御部
206 コンソールデバイス制御部
211 パケット種別毎の解析部
221 プロトコル解析部
400(400a,400b) 端末装置
500 出力結果
DB 端末識別情報テーブル
F1 通信プロトコルの制御に必要なパケット
F2 監視したいパケット
P 接続ポート
T MACアドレステーブル 100 communication device 101 CPU
101a console port 102 switch device 103 memory 104 non-volatile memory 105 internal port (first transfer path A)
106 internal port (second transfer path B)
Reference Signs List 201 packet analysis unit 202 output generation unit 203 command reception unit 204 switch device control unit 205 communication device control unit 206 console device control unit 211 analysis unit for each packet type 221 protocol analysis unit 400 (400a, 400b) terminal device 500 output result DB Terminal identification information table F1 Packets required for control of communication protocol F2 Packets to be monitored P Connection port T MAC address table

Claims (8)

接続される端末装置のデータのパケットを中継する通信装置であって、
前記端末装置から送信されたパケットの中継を行うスイッチデバイスと、
前記スイッチデバイスを制御するCPUと、
前記スイッチデバイスから前記CPUへのパケットの転送パスとして、
通信プロトコル制御に必要なパケットを転送する第一の転送パスと、
前記端末装置の情報取得用のパケットを転送する第二の転送パスと、
を備え、
前記CPUは、前記第一の転送パスを用いて前記通信プロトコル制御に必要なパケットに対する通信プロトコルの制御を行い、前記第二の転送パスを用いて前記情報取得用のパケットから前記端末装置に固有の情報を取得する制御を行うことを特徴とする通信装置。 A communication device for relaying a data packet of a connected terminal device,
A switch device for relaying a packet transmitted from the terminal device;
A CPU for controlling the switch device;
As a transfer path of a packet from the switch device to the CPU,
A first transfer path for transferring packets required for communication protocol control,
A second transfer path for transferring a packet for acquiring information of the terminal device,
With
The CPU controls a communication protocol for a packet necessary for the communication protocol control using the first transfer path, and uses the second transfer path to convert the information acquisition packet to a specific packet for the terminal device. A communication device for performing control to acquire the information of the communication device. 前記CPUは、前記第一の転送パスおよび前記第二の転送パスから転送されるそれぞれの前記パケットを並行処理することを特徴とする請求項1に記載の通信装置。   The communication device according to claim 1, wherein the CPU performs parallel processing on each of the packets transferred from the first transfer path and the second transfer path. 前記CPUは、マルチコアCPU、あるいは複数の異なるCPUであることを特徴とする請求項2に記載の通信装置。   The communication device according to claim 2, wherein the CPU is a multi-core CPU or a plurality of different CPUs. 前記CPUは、前記第二の転送パスの前記情報取得用のパケットを監視し、当該情報取得用のパケットに含まれる前記端末装置に固有の端末識別情報を抽出することを特徴とする請求項1〜3のいずれか一つに記載の通信装置。   2. The apparatus according to claim 1, wherein the CPU monitors the information acquisition packet on the second transfer path and extracts terminal identification information unique to the terminal device included in the information acquisition packet. The communication device according to any one of claims 1 to 3. 前記CPUは、当該情報取得用のパケットの所定のフィールドに含まれる前記端末装置に固有の端末識別情報をフィンガープリンティングにより取得することを特徴とする請求項4に記載の通信装置。   The communication device according to claim 4, wherein the CPU acquires terminal identification information unique to the terminal device included in a predetermined field of the information acquisition packet by fingerprinting. 前記CPUは、前記端末装置のMACアドレスと接続ポートの情報をMACアドレステーブルに保持し、前記端末装置毎のMACアドレスをキーとして、前記情報取得用のパケットから抽出した前記端末識別情報を前記MACアドレスに関連付け、
前記MACアドレス毎に関連付けた前記接続ポートと、前記端末識別情報と、を端末識別情報テーブルに保持することを特徴とする請求項4または5に記載の通信装置。 The CPU holds the MAC address and connection port information of the terminal device in a MAC address table, and uses the MAC address of each terminal device as a key, and extracts the terminal identification information extracted from the information acquisition packet into the MAC address table. Associated with the address,
The communication device according to claim 4, wherein the connection port associated with each of the MAC addresses and the terminal identification information are held in a terminal identification information table. 前記CPUは、前記端末識別情報の要求に基づき、前記端末識別情報テーブルから前記端末装置毎のMACアドレスと、前記接続ポートと、前記端末識別情報と、を出力することを特徴とする請求項5または6に記載の通信装置。   6. The device according to claim 5, wherein the CPU outputs the MAC address, the connection port, and the terminal identification information of each terminal device from the terminal identification information table based on the request for the terminal identification information. Or the communication device according to 6. 前記CPUは、受信したパケットから前記端末装置の通信プロトコルを判断し、前記通信プロトコル別のパケット処理を行うことを特徴とする請求項1〜7のいずれか一つに記載の通信装置。   The communication device according to any one of claims 1 to 7, wherein the CPU determines a communication protocol of the terminal device from a received packet and performs packet processing for each communication protocol.
JP2018155503A 2018-08-22 2018-08-22 Communication device Active JP7087819B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018155503A JP7087819B2 (en) 2018-08-22 2018-08-22 Communication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018155503A JP7087819B2 (en) 2018-08-22 2018-08-22 Communication device

Publications (2)

Publication Number Publication Date
JP2020031321A true JP2020031321A (en) 2020-02-27
JP7087819B2 JP7087819B2 (en) 2022-06-21

Family

ID=69624343

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018155503A Active JP7087819B2 (en) 2018-08-22 2018-08-22 Communication device

Country Status (1)

Country Link
JP (1) JP7087819B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7245629B1 (en) * 2002-05-21 2007-07-17 Extreme Networks Method and apparatus for a control communication channel in a packet-forwarding device
JP2008042735A (en) * 2006-08-09 2008-02-21 Fujitsu Access Ltd Management method of mac address learning function, and network device
JP2009504104A (en) * 2005-08-03 2009-01-29 カリプティクス セキュリティ System and method for realizing adaptive security by dynamically learning network environment
JP2014165641A (en) * 2013-02-25 2014-09-08 Toyota Motor Corp Information processing device and information processing method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7245629B1 (en) * 2002-05-21 2007-07-17 Extreme Networks Method and apparatus for a control communication channel in a packet-forwarding device
JP2009504104A (en) * 2005-08-03 2009-01-29 カリプティクス セキュリティ System and method for realizing adaptive security by dynamically learning network environment
JP2008042735A (en) * 2006-08-09 2008-02-21 Fujitsu Access Ltd Management method of mac address learning function, and network device
JP2014165641A (en) * 2013-02-25 2014-09-08 Toyota Motor Corp Information processing device and information processing method
CN105009546A (en) * 2013-02-25 2015-10-28 丰田自动车株式会社 Information processing device and information processing method

Also Published As

Publication number Publication date
JP7087819B2 (en) 2022-06-21

Similar Documents

Publication Publication Date Title
JP6490205B2 (en) Method, apparatus and system for flow entry configuration
US9118587B2 (en) Network multi-path discovery
US10205657B2 (en) Packet forwarding in data center network
WO2018228302A1 (en) Virtual network link detection method and device
JP2005006303A (en) Virtual network address
JP2006135964A (en) Network management apparatus and method
US8457006B2 (en) Diagnosing network problems in an IPV6 dual stack network
CN104852840A (en) Method and device for controlling mutual access between virtual machines
CN105141449A (en) Addition method and device for monitoring configuration
CN114070723A (en) Virtual network configuration method and system of bare metal server and intelligent network card
US20100094994A1 (en) Network structure information acquiring method and device
CN107995321A (en) A kind of VPN client acts on behalf of the method and device of DNS
US20130042020A1 (en) Quick Network Path Discovery
JP2018510538A (en) Network sharing method and apparatus
CN107547341B (en) Access method and device of virtual extensible local area network VXLAN
US10972464B2 (en) Network system
JP7087819B2 (en) Communication device
CN114172789B (en) Virtual equipment link detection method, device, equipment and storage medium
US20240154874A1 (en) Bare metal detection method and system, and related component
JP4773978B2 (en) Route search device, route search program, route search method, and route search system
JP6476853B2 (en) Network monitoring system and method
US20150142960A1 (en) Information processing apparatus, information processing method and information processing system
US20200274791A1 (en) Multi-vrf and multi-service insertion on edge gateway virtual machines
US10505785B2 (en) Terminal monitoring control device for controlling and monitoring a terminal device connected in a network
CN114844845B (en) Virtual-real combined network target range wireless real equipment access device, method and system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210513

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220523

R150 Certificate of patent or registration of utility model

Ref document number: 7087819

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150