JP2021145201A - 中継装置 - Google Patents
中継装置 Download PDFInfo
- Publication number
- JP2021145201A JP2021145201A JP2020041506A JP2020041506A JP2021145201A JP 2021145201 A JP2021145201 A JP 2021145201A JP 2020041506 A JP2020041506 A JP 2020041506A JP 2020041506 A JP2020041506 A JP 2020041506A JP 2021145201 A JP2021145201 A JP 2021145201A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- permission list
- address
- source
- list table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000032683 aging Effects 0.000 claims abstract description 32
- 238000012546 transfer Methods 0.000 claims description 26
- 230000004044 response Effects 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 10
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
ホワイトリストの技術では、クライアントのアクセスをサービスによらず遮断してしまう。また、IPアドレスが同一であるが新規にクライアントとなった端末からのアクセスを防止できず、サービス停止に向けてクライアントの数を削減できない。
中継装置は、学習期間とエージング期間の2種類の運用状態を持つ。学習期間はクライアントの送信元IPアドレスを通過許可リストに記録する。また、すべてのパケットを中継する。エージング期間はテーブルを通過許可リストとして使用し、通過許可リストに存在しない送信元IPアドレスを持つパケットは廃棄する。
以下、図面を用いて、実施例について説明する。
図1は、実施形態として想定するネットワークの構成図である。
実施形態は、LAN107とWAN106の間に設置されたゲートウェイとして機能する中継装置101を対象とする。中継装置101は、ネットワークサービス停止機能を有する。LAN(ロールエリアネットワーク)107には、NTPサーバ102、HTTPサーバ103、端末104、端末105が存在する。NTPサーバ102とHTTPサーバ103は、WAN(ワイドエリアネットワーク)106に対して、中継装置101を経由してサービスを提供している。
図2は、図1に示した中継装置101のモジュール構成例を示すブロック図である。
中継装置101はソフトウェア制御部210、ASIC(Application Specific Integrated Circuit)(転送エンジン)220、CAM(Content Addressable Memory)230、パケット送受信部241、242、243から構成される。
図3Aは、通過許可リスト231のテーブル構造である。テーブルはクライアントの送信元IPアドレスとパケットの最終受信時刻の一覧になる。
中継装置101が行う処理は、サービス停止時に、サービスの提供を継続するクライアントの学習と、サービス停止に向けてクライアントの数を徐々に削減(エージング)していくことである。図4を用いて全体の処理を説明する。
図5は通過許可リスト作成時401の装置内のシーケンスである。
中継装置101はWAN側のパケット送受信部241からパケットを受信する(S501)。ASIC(転送エンジン)220は受信パケットの宛先ポート番号をチェックする(S502)。宛先ポートが停止対象のサービス以外を宛先ポートにしている場合、パケットを中継する(S507)。
図6は動作モードを学習からエージングへ切り替える際の装置内のシーケンスである。ソフトウェア制御部210は、ASIC(転送エンジン)220の動作モードをエージングへ設定することで切り替えを行う。
図7はパケット受信時における通過許可リストのエージングの装置内シーケンスである。
中継装置101はWAN側のパケット送受信部241からパケットを受信する(S701)。ASIC(転送エンジン)220は受信パケットの宛先ポート番号をチェックする(S702)。宛先ポートが停止対象のサービス以外を宛先ポートにしている場合、パケットを中継する(S706)。
図8はソフトウェア制御部210が定期的に行う通過許可リストのエージングの装置内シーケンスである。
図7で説明したエージング処理は、パケットの受信を契機として行われるエージング処理なので、通過許可リストに登録されている送信元IPアドレスからのパケットが全く受信されなくなった場合、通過許可リストから削除されないことになってしまう。このように、パケットが全く受信されなくなった場合でも、一定期間経過後に通過許可リストから強制的に削除するため、図7のエージング処理と並列に図8に示すエージング処理を定期的に実行する。
102 NTPサーバ
103 HTTPサーバ
104 端末
105 端末
106 WAN
107 LAN
210 ソフトウェア制御部
211 CPU
212 メモリ
213 機能制御プログラム
214 通過許可リスト管理テーブル
215 時計
220 ASIC(転送エンジン)
221 時計
230 CAM
231 通過許可リスト
241 パケット送受信部
242 パケット送受信部
243 パケット送受信部
Claims (11)
- 動作モードとして学習モードとエージングモードを有し、LANとWANの間に設置されたゲートウェイとして機能する中継装置であって、
前記中継装置は、
前記WANから前記LANへのパケットの中継を許可するため通過許可リストテーブルを有し、
前記学習モードにおいては、
前記LAN内に存在する停止対象サービスのポートを宛先にする前記パケットの送信元IPアドレスを前記通過許可リストテーブルに登録し、
前記エージングモードにおいては、
前記停止対象サービス宛の前記パケットに対し、前記通過許可リストテーブルを参照し、前記通過許可リストテーブルに登録された前記送信元IPアドレスをソースIPアドレスとする前記パケットを中継し、前記通過許可リストテーブルに登録されていない前記送信元IPアドレスを前記ソースIPアドレスとする前記パケットを廃棄することを特徴とする中継装置。 - 前記中継装置は、
前記動作モードに応じて前記パケットを処理する転送部と、
所定の制御を行う制御部と、
前記通過許可リストテーブルを記憶する記憶部と、
前記パケットを送受信するパケット送受信部と、
を有することを特徴とする請求項1に記載の中継装置。 - 前記学習モードにおいては、
前記パケット送受信部は、
前記WANから前記LAN内への前記パケットを受信し、
前記転送部は、
受信した前記パケットの宛先ポート番号をチェックし、
前記宛先ポート番号が前記停止対象サービス以外を宛先ポートにしている場合は、前記パケットを前記WANへ中継し、
前記宛先ポート番号が前記停止対象サービスを前記宛先ポートにしている場合は、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを検索し、
前記通過許可リストテーブルに前記パケットの前記送信元IPアドレスが存在する場合は、前記パケットを前記WANへ中継し、
前記通過許可リストテーブルに前記送信元IPアドレスが存在しない場合、前記パケットを前記制御部へ転送した後、前記パケットを前記WANへ中継し、
前記制御部は、
転送された前記パケットの前記送信元IPアドレスを前記通過許可リストテーブルに追加登録することを特徴とする請求項2に記載の中継装置。 - 前記エージングモードにおいては、
前記パケット送受信部は、
前記WANから前記LAN内への前記パケットを受信し、
前記転送部は、
受信した前記パケットの前記宛先ポート番号をチェックし、
前記宛先ポート番号が前記停止対象サービス以外を前記宛先ポートにしている場合、前記パケットを前記WANへ中継し、
前記宛先ポート番号が前記停止対象サービスを前記宛先ポートにしている場合、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを検索し、
前記通過許可リストに前記送信元IPアドレスが存在しない場合、前記パケットを廃棄した後、前記パケットを送信してきたクライアントに対して、前記停止対象サービスを提供していないことを表す偽の応答パケットを送信することを特徴とする請求項3に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記通過許可リストに前記送信元IPアドレスが存在しない場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送ることを特徴とする請求項4に記載の中継装置。 - 前記通過許可リストテーブルには、
前記送信元IPアドレスに対応して前記パケットの最終受信時刻が登録されており、
前記エージングモードにおいては、
前記転送部は、
前記通過許可リストテーブルに前記送信元IPアドレスが存在した場合、前記パケットの受信時刻と前記通過許可リストテーブルに登録された前記最終受信時刻とを比較し、
前記比較の結果、前記受信時刻と前記最終受信時刻との時刻差分が所定の閾値以上の場合、前記パケットを廃棄した後に、前記偽の応答パケットを送信することを特徴とする請求項4に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記比較の結果、前記時刻差分が所定の前記閾値以上の場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送り、
前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項6に記載の中継装置。 - 前記エージングモードにおいては、
前記比較の結果、前記時刻差分が前記所定の閾値未満の場合、前記通過許可リストテーブルからの削除判定処理を行うことを特徴とする請求項6に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記削除判定処理として、前記通過許可リストテーブルから前記送信元IPアドレスの削除を行うか否かをランダムに決定し、
前記決定の結果、前記通過許可リストテーブルからの削除対象外とされた場合、前記パケットを前記WANへ中継し、
前記決定の結果、前記通過許可リストテーブルからの削除対象とされた場合、前記パケットを廃棄した後に、前記偽の応答パケットを送信することを特徴とする請求項8に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記決定の結果、前記通過許可リストテーブルからの削除対象とされた場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送り、
前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項9に記載の中継装置。 - 前記通過許可リストテーブルには、
前記送信元IPアドレスに対応して前記パケットの最終受信時刻が登録されており、
前記エージングモードにおいては、
前記パケット送受信部が前記WANから前記LAN内への前記パケットを受信しない場合、
前記制御部は、
前記通過許可リストテーブルに登録されている前記最終受信時刻と現在時刻とを比較し、
前記比較の結果、前記現在時刻と前記最終受信時刻との時刻差分が所定の閾値以上の場合、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項2に記載の中継装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020041506A JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020041506A JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021145201A true JP2021145201A (ja) | 2021-09-24 |
JP7391727B2 JP7391727B2 (ja) | 2023-12-05 |
Family
ID=77767242
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020041506A Active JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7391727B2 (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008211446A (ja) | 2007-02-26 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | 通信システムおよび通信方法 |
JP2010212916A (ja) | 2009-03-09 | 2010-09-24 | Oita Univ | スキャン攻撃不正侵入防御装置 |
US20150365379A1 (en) | 2014-06-12 | 2015-12-17 | Gryphon Online Safety, Inc. | System and method for managing, controlling and configuring an intelligent parental control filter |
US11082428B2 (en) | 2015-03-10 | 2021-08-03 | Wirepath Home Systems, Llc | Systems and methods for cloud-based network control |
JP6454224B2 (ja) | 2015-06-08 | 2019-01-16 | アラクサラネットワークス株式会社 | 通信装置 |
JP2017130963A (ja) | 2017-03-15 | 2017-07-27 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
-
2020
- 2020-03-11 JP JP2020041506A patent/JP7391727B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP7391727B2 (ja) | 2023-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9374392B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
US7162737B2 (en) | Synchronization of security gateway state information | |
US8693313B2 (en) | Apparatus and method for switching between redundant communication devices | |
US9832106B2 (en) | System and method for detecting network neighbor reachability | |
CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
US9680948B2 (en) | System and method for device failure notification | |
US20200280485A1 (en) | Bridging configuration changes for compliant devices | |
US11323310B2 (en) | Method, device, and system for providing hot reservation for in-line deployed network functions with multiple network interfaces | |
CN111245666B (zh) | 数据传输方法、装置及系统 | |
JP6571591B2 (ja) | 端末隔離通知システム | |
JP3999785B2 (ja) | 通信方法 | |
US10680930B2 (en) | Method and apparatus for communication in virtual network | |
US9705903B2 (en) | Call control device, call control method, and call control system | |
JP2021145201A (ja) | 中継装置 | |
CN110192378B (zh) | 控制非最佳路径的使用的装置和方法 | |
JP6593137B2 (ja) | パケット蓄積装置,及びパケット蓄積方法 | |
JP2007336401A (ja) | 通信制御装置、認証システムおよび通信制御プログラム | |
US10833981B1 (en) | Method, device, and system for providing hot reservation for in-line deployed network functions with multiple network interfaces | |
JP4677501B2 (ja) | 中継装置および中継方法 | |
JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
JP5889122B2 (ja) | 制御ノード及び通信制御方法 | |
US11956328B1 (en) | Avoiding stuck subscriber sessions on a disaggregated broadband network gateway | |
US11683327B2 (en) | Demand management of sender of network traffic flow | |
EP3629528A1 (en) | Method and apparatus for forwarding packets from a first network to a second network | |
JP2018078482A (ja) | 転送装置、転送方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230927 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231003 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231114 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7391727 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |