JP3403971B2 - パケット転送装置 - Google Patents

パケット転送装置

Info

Publication number
JP3403971B2
JP3403971B2 JP15541199A JP15541199A JP3403971B2 JP 3403971 B2 JP3403971 B2 JP 3403971B2 JP 15541199 A JP15541199 A JP 15541199A JP 15541199 A JP15541199 A JP 15541199A JP 3403971 B2 JP3403971 B2 JP 3403971B2
Authority
JP
Japan
Prior art keywords
packet
session
processing unit
transfer device
packet transfer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP15541199A
Other languages
English (en)
Other versions
JP2000349851A (ja
Inventor
祐治 小島
哲明 鶴岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP15541199A priority Critical patent/JP3403971B2/ja
Priority to US09/552,134 priority patent/US6987768B1/en
Publication of JP2000349851A publication Critical patent/JP2000349851A/ja
Application granted granted Critical
Publication of JP3403971B2 publication Critical patent/JP3403971B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS

Description

【発明の詳細な説明】
【0001】
【発明が属する技術分野】本発明は、パケット転送装置
に関し、特にTCP通信又はUDP通信により端末が接続され
ているネットワークにおいて、パケット転送を実行する
パケット転送装置に関するものである。
【0002】端末間の通信のためのネットワークの利用
の拡大に伴い、ネットワークの規模拡大のためにネット
ワーク間の中継、例えばLAN(Local Area Network)とLA
N、又はLANと専用線を相互接続する必要が生じる。こう
して構築されるネットワークで現在主流なのはIP(Inter
net Protocol)によるネットワークである。このIPは、I
SO(International Organization for Standardization)
のOSI(Open Systems Interconnection)モデルにおける
ネットワーク層に相当するコネクションレス型のプロト
コルである。
【0003】コネクションレス型のIP通信では、予め端
末間で通信路を確保するコネクション型のプロトコルと
異なり、LAN間を相互接続するパケット転送装置が、通
信データを格納しているパケットを転送処理することに
よって端末間の通信が実現する。
【0004】このコネクションレス型のIP通信を用い
て、コネクション型の通信を実現するためには、より上
位のトランスポート層及びセッション層に相当するTCP
(Transmission Control Protocol)によって、「セッシ
ョン」と呼ばれるコネクションを確立してから、端末間
で通信を行う必要がある。
【0005】一方、端末間でコネクションレス型のパケ
ット通信を行うときには、TCPの代わりにコネクション
レス型のUDP(User Datagram Protocol)を用いる。このT
CP及びUDPのどちらを用いて通信を行うかは、端末間で
通信を行う個別のアプリケーションが選択することにな
る。
【0006】
【従来の技術】図10は、複数のLANをパケット転送装置
が相互接続しているときの一般的なネットワーク構成例
を示している。この構成例において、同一のLANに接続
されている端末同士は、パケット転送装置を介さずに直
接相互に通信する。例えばLAN1に接続されている端末11
と端末13は、LAN1を介してパケットを送受信することに
よって直接通信することができる。
【0007】一方、同一のLANに接続されていない端末
同士は、複数のパケット転送装置及び複数のLANを介し
て通信する。例えば、端末11と端末62との間の通信は、
端末11が送信したパケットが、LAN1→パケット転送装置
1→LAN4→パケット転送装置2→LAN5→パケット転送装置
3→LAN6の順に中継されて端末62で受信し、さらに、端
末62から送信されたパケットは上記と逆方向に中継さ
れ、端末11が受信することによって実現する。
【0008】このときパケット転送装置1は、LAN1に接
続されているインタフェースIF1で端末11が送信したパ
ケットを受信し、パケット内において宛先アドレス等の
そのパケットの制御情報が格納されているヘッダ部の各
フィールド値から、そのパケットを送出すべきインタフ
ェースとしてLAN4に接続されているインタフェースIF4
を決定し、このインタフェースIF4から該パケットを送
出する。同様にインタフェースIF4は、端末62から送信
されたパケットを受信し、インタフェースIF1から該パ
ケットをLAN1に送出するというパケット転送処理を行
う。
【0009】このようなパケット転送処理を、個々のパ
ケット転送装置(例えば図10のネットワーク構成例で
は、パケット転送装置1、パケット転送装置2、及びパケ
ット転送装置3)が実行することによって、端末間の通信
が実現する。一方、パケット転送装置は、パケットを転
送するだけでなく、ある特定のパケットを転送せずに廃
棄することによって、ネットワーク管理の一環としてネ
ットワーク上で特定の通信を禁止し、不正なアクセスを
防ぐことも一般的な機能として持っている。
【0010】特定の端末、特定の端末群、特定のLAN、
及び特定のアプリケーション間の通信を許可/禁止する
ことは、パケット転送装置が特定のパケットを転送/廃
棄するための、「フィルタリング処理」を行うことによ
って可能となる。例えば、図10のネットワーク構成例に
おいて、LAN2に接続されている端末22とLAN1に接続され
ている端末群との通信に関して、端末22−端末11間の通
信は許可し、それ以外の端末22−端末12間及び端末22−
端末13間の通信は禁止するというネットワーク管理をネ
ットワーク管理者が行う場合、パケット転送装置1は、
送信元アドレスが端末22を指し示しており、かつ宛先ア
ドレスが端末11を指し示しているパケットと、送信元ア
ドレスが端末11を指し示しており、かつ宛先アドレスが
端末22を指し示しているパケットのみを転送する。
【0011】上記の条件を満たさず、かつ送信元アドレ
スが端末22を指し示しており、かつ宛先アドレスの上位
ビットがLAN1に接続されている端末を指し示していると
きはパケットを廃棄するというフィルタリング処理を実
行する。一般に、IPネットワークにおいては、同一LAN
に接続している端末は、同一のサブネットワークに属し
ており、各端末のアドレスは、ある一定範囲のその上位
ビットが等しくなる。上述のフィルタリング処理によっ
て、ネットワーク管理者が、端末22とLAN1に接続されて
いる端末群との通信は端末22−端末11との間を除いて禁
止するというネットワーク管理を行うことが可能であ
る。
【0012】上記の例と同様にパケット単位で転送/廃
棄を決定する各種のフィルタリング条件を、ネットワー
ク管理者が組み合わせてパケット転送装置に設定するこ
とによって、例えば、図10におけるLAN1,LAN2,及びLAN3
が社内の内部ネットワークとして、パケット転送装置1
のインタフェースIF4を社外との接続点として、必要な
通信は許可しつつ、LAN4,LAN5,及びLAN6のような社外の
外部ネットワークからの不正なアクセスを制御するとい
う、より複雑なネットワークのセキュリティ制御をネッ
トワーク管理者は行うことが可能となる。
【0013】また、ネットワーク上のある特定の通信
を、単に許可/禁止するだけではなく、他の通信よりも
優先的に扱うといった「優先制御」は、パケット転送装
置が特定の通信のパケットを判別し、判別した該パケッ
トを優先的に処理することによって実現する。
【0014】この優先制御処理は、パケット転送装置が
特定のパケットを判別するという点においてはフィルタ
リング処理と同じ処理であり、フィルタリング処理と優
先制御処理との違いは、パケット転送装置が、パケット
判別後に、該パケットを転送/廃棄するか、該パケット
を優先するかの違いである。
【0015】例えば、図10のネットワーク構成例におい
て、他の端末へ重要なサービスを提供するサーバである
端末31と他の端末との通信においては、他の通信よりも
優先的に処理するというネットワーク管理をネットワー
ク管理者が行う場合、パケット転送装置1は、パケット
のヘッダの宛先アドレスまたは送信元アドレスが端末31
を指し示すときは、高い優先度でパケットを転送するよ
うに、パケット転送装置1に設定する。このような優先
制御処理をパケット転送装置1が実行することによっ
て、端末31と他の端末との通信の優先制御を行うことが
可能となる。
【0016】上述したセキュリティ制御及び優先制御
を、従来のパケット転送装置は、図11で示す処理構成で
実行する。例えば、パケット転送装置100(これは上記
の装置1〜3を総称している)が、セキュリティ制御を行
うとき、ネットワーク管理者は、ソフトウエア部101を
構成するセキュリティ制御ソフトウェア102に対しネッ
トワークの管理方針に基づき予め設定を行う。
【0017】そして、その設定を、ハードウェア部104
にあるフィルタリングテーブル108の各フィルタリング
エントリに適合する形へ、セキュリティ制御ソフトウェ
ア102が変換する。セキュリティ制御ソフトウェア102
は、変換した各エントリをフィルタリングテーブル108
へ格納するように、ハードウエア部104中のフィルタリ
ング処理部109へ依頼する。
【0018】フィルタリング処理部109はセキュリティ
制御ソフトウェア102から依頼された各エントリをフィ
ルタリングテーブル108へ格納する。このような手順
で、パケット転送装置100は、予めフィルタリングテー
ブル108へ各フィルタリングエントリを格納しておく。
そして、フィルタリング処理部109が、受信したパケッ
トとフィルタリングテーブル108の各エントリを各フィ
ールド値により比較して、その受信したパケットに対し
該当するエントリが存在したならば、該当するエントリ
内の「転送/廃棄フィールド」の値(例えば、転送なら
‘1’、廃棄なら‘0’)に従って受信パケットを転送ま
たは廃棄する。
【0019】また同様に、パケット転送装置100が優先
制御を行うとき、ネットワーク管理者が、ソフトウェア
部101を構成する優先制御ソフトウェア103に対しネット
ワークの管理方針に基づいて予め設定を行う。そして、
その設定を、ハードウェア部104にある優先制御テーブ
ル110の各エントリに適合する形へ、優先制御ソフトウ
エア103が変換する。
【0020】優先制御ソフトウエア103は、変換した各
エントリを優先制御テーブル110へ格納するように、ハ
ードウエア部104中の優先制御処理部111へ依頼する。優
先制御処理部111は、優先制御ソフトウエア103から依頼
された各エントリを優先制御テーブル110へ格納する。
【0021】このような手順で、パケット転送装置100
は、予め優先制御テーブル110へ各優先制御エントリを
格納しておく。そして、優先制御処理部111が、受信し
たパケットと優先制御テーブル110の各エントリとを各
フィールド値により比較して、その受信したパケットに
対し該当するエントリが存在したならば、その該当する
エントリ内の「優先度フィールド」の値(例えば‘0’
〜‘7’)に従って、パケット転送装置100が、その受信
パケットを優先的に転送する。
【0022】また、上述のフィルタリング処理部109及
び優先制御処理部111は、パケットの送出インタフェー
スに基づき、フィルタリングテーブル108及び優先制御
テーブル110を検索するので、フィルタリング処理部109
及び優先制御処理部111より前段にルーティング処理部1
07及びルーティングテーブル106を配置している。
【0023】なお、フィルタリング処理部109で廃棄と
決定されるであろうパケットに関して、優先制御処理部
111が処理を行っても無駄であるので、一般に優先制御
処理部111の前段にフィルタリング処理部109を配置して
いる。以下に、受信パケットに対して図12に示したパケ
ット転送装置100が行う一連の転送処理動作として、上
述の個々の処理部を説明する。
【0024】受信インタフェースにパケットが到着する
と、ルーティング処理部107が宛先アドレス(例えば、IP
通信ならば宛先IPアドレス)に基づいてルーティングテ
ーブル106を検索し、受信パケットを送出するインタフ
ェース及びそのときの送出パケットのMAC(Media Access
Control)アドレスを決定する。
【0025】次に、ルーティング処理部107は、受信パ
ケットを次処理部であるフィルタリング処理部109へ送
出するとともに、上述のルーティング処理部107が決定
した送出インタフェース及びMACアドレスをフィルタリ
ング処理部109へ通知する。ここで、MACアドレスとは、
LANに接続されている中継装置(図示せず)又は端末の
インタフェースを識別するアドレスであり、同一のLAN
に接続されている端末/中継装置同士が通信するために
必要なアドレスである。
【0026】ルーティングテーブル106には、予め宛先I
Pアドレスに対する送出インタフェースとMACアドレスの
対応関係を、ネットワーク管理者が入力するか、装置制
御ソフトウェアが隣接する中継装置と通信することによ
って格納する。また、上述のルーティング処理部107が
決定した送出インタフェース番号及びMACアドレスをフ
ィルタリング処理部109へ通知するといったように、パ
ケットとともにそのパケットに付随する情報を次処理部
へ通知する方法としては、例えばパケットヘッダ(図13
により後述する)の更に前に装置内制御用ヘッダを前処
理部で付加し、その装置内制御用ヘッダの特定のフィー
ルドへ、次処理部へ通知する情報を前処理部が格納すれ
ばよい。
【0027】ルーティング処理部107からパケットを受
信したフィルタリング処理部109は、パケットヘッダ内
の各フィールド値及び受信したパケットの送信/受信イ
ンタフェースに基づき、フィルタリングテーブル108を
検索し、受信したパケットが廃棄のフィルタリング条件
と合致したならば廃棄し、それ以外ならば受信したパケ
ットを次処理部である優先制御処理部111へ渡す。
【0028】優先制御処理部111は、パケットヘッダ内
の各フィールド値及び受信したパケットの送信/受信イ
ンタフェース番号に基づいて優先制御テーブル110を検
索し、ある特定のエントリに受信したパケットが適合す
るならば、同エントリに格納した優先度及びパケット
を、次処理部であるスイッチ部112へ渡す。
【0029】スイッチ部112は、受信したパケットを、
パケットの送出インタフェース番号及び優先度に応じて
パケットスケジューリング処理部114内の各送出キュー1
13へ格納する。例えば、パケットスケジューリング処理
部114には、図示の如く、各送出インタフェース115毎に
3つのキューを用意して、パケット転送装置100が「0〜
7」の8段階の優先度を有するようにするならば、「0〜
2」が低優先のキュー、「3〜5」が中優先のキュー、「6
〜7」が高優先のキューといったように割り振る。
【0030】パケットスケジューリング処理部114は各
キューからパケットをパケットスケジューリング方法に
従って取り出し、送出インタフェース115へ送出する。
上述のパケットスケジューリング方法としては、例えば
単純なものとして、より高い優先度を持つパケットを格
納するキュー113から先にパケットを送出し、より高い
優先度のキュー内が空であったならば、次に高い優先度
を持つキュー113からパケットを送出するというような
方法がある。
【0031】このようにパケットの優先度に応じて先に
パケットを送出することによって、パケット転送装置10
0は優先転送制御を行うことができ、最終的に送出イン
タフェース115からパケットを送出する。ここでフィル
タリングテーブル108のテーブル構造について図12及び
図13により具体的に説明する。
【0032】例えばIPの場合、図13に示すIPパケットフ
ォーマットのヘッダ内の各フィールド値(プロトコル番
号、送信元IPアドレス、宛先IPアドレス、送信元ポート
番号、宛先ポート番号、受信インタフェース番号、及び
送信インタフェース番号)に対応してテーブル108は、
図12(1)及び(2)にそれぞれ示すように、フィルタリ
ング条件・テーブルとマスクデータ・テーブルとで構成
される。
【0033】フィルタリング条件・テーブルの各エント
リは、図示のように、対応するマスクデータ・テーブル
の各エントリとポインタによって関係付けられている。
フィルタリング条件・テーブルには、パケット転送装置
がフィルタリング処理を行うパケットの条件を格納し、
マスクデータ・テーブルには、その各フィルタリング条
件の各フィールド値が有意な条件かどうかを示す‘0’,
‘1’のビット列を格納する。
【0034】例えば、フィルタリング条件・テーブルの
フィルタリング条件301においては、プロトコル番号、
送信元IPアドレス、及び宛先IPアドレスの3つの条件を
設定し、他の送信元ポート番号、宛先ポート番号、受信
インタフェース番号、及び送出インタフェース番号は設
定していない。
【0035】したがって、フィルタリング条件301に対
応するマスクデータ306に関して、送信元ポート番号、
宛先ポート番号、受信インタフェース番号、及び送出イ
ンタフェース番号のフィールド値をビット列として「00
…0」に設定する。さらに、送信元IPアドレスに関し
て、フィルタリング条件301では、「150.56.0.0」(こ
れは、ビット列10010110 00111000 00000000 00000000
と等しい)になっているが、対応するマスクデータ306
の送信元IPアドレスが「255.255.0.0」(これは、ビッ
ト列11111111 11111111 00000000 00000000と等しい)
になっている。
【0036】従って、送信元IPアドレスが「150.56.0.
0」であるパケットのみが、フィルタリング条件301の送
信元IPアドレスに適合するのではなく、送信元IPアドレ
スが「150.56.(0〜255).(0〜255)」であるパケットの全
てが、フィルタリング条件301の送信元IPアドレスの条
件に適合する。
【0037】同様に宛先IPアドレスに関しても、フィル
タリング条件301では、宛先IPアドレスが「10.(0〜25
5).(0〜255).(0〜255)」であるパケットの全てが、フィ
ルタリング条件301の宛先IPアドレスの条件に適合す
る。すなわち、マスクデータテーブルのマスク値は、パ
ケットヘッダ内フィールド値に対し、フィルタリング条
件・テーブルの各エントリの各フィールド値が適合する
範囲を指定することになる。
【0038】マスクデータ・テーブルに設定する総エン
トリ数は、フィルタリング条件・テーブルに設定した総
エントリ数と等しい必要は無く、例えば、フィルタリン
グ条件302のマスクデータのパターンは、フィルタリン
グ条件301と等しいので、フィルタリング条件302のポイ
ンタはマスクデータ306を指すように設定することによ
り、フィルタリング条件・テーブルに設定した総エント
リ数よりもマスクデータテーブルに設定した総エントリ
数の方が少なくて済む。
【0039】なお、フィルタリング条件・テーブルの
「プロトコル番号」を、「TCP」又は「UDP」という文字で
表記したが、フィルタリング条件・テーブルをパケット
転送装置100のハードウェア部104における記憶デバイス
(図示せず)で実装するときは、これを、TCP=0、UDP=1
のようにそれぞれ対応するビットで記憶デバイス内に格
納することになる。
【0040】同様に、フィルタリング条件・テーブルの
「転送/廃棄」を、「転送」又は「廃棄」という文字で表
記したが、フィルタリング条件・テーブルをハードウェ
ア部104における記憶デバイスで実装するときは、これ
を、転送=0、廃棄=1のようにそれぞれ対応するビットで
記憶デバイス内に格納することになる。
【0041】優先制御テーブル110についても、フィル
タリングテーブル108と同様に、優先制御条件・テーブ
ルとマスクデータ・テーブルを持ち、優先制御条件・テ
ーブル及びマスクデータ・テーブルのフィールドとし
て、プロトコル番号、送信元IPアドレス、宛先IPアドレ
ス、送信元ポート番号、宛先ポート番号、受信インタフ
ェース番号、及び送出インタフェース番号のフィールド
を持ち、フィルタリング条件・テーブルの「転送/廃
棄」フィールドが、「優先度」に置き換わったテーブル
構造になっている。
【0042】上述のフィルタリングテーブル108及び優
先制御テーブル110をハードウェア部104に実装するとき
は、一般にCAM(Content Addressable Memory; 連想記
憶)という記憶デバイスによって実装する。記憶デバイ
スとして、このようなCAMを用いることにより、他のメ
モリ等とは違ってCAMは、メモリ内の各エントリと検索
キーであるパケット内フィールド値との比較を1エント
リずつ行うのではなく、検索キーと全エントリを並列に
同時比較することが可能なので、テーブル内に格納した
エントリ数に関係なく高速に受信パケットに対し該当す
るエントリを検索することができる。
【0043】
【発明が解決しようとする課題】従来のパケット転送装
置のハードウェア部が具備しているフィルタリングテー
ブル、優先制御テーブル、並びにこれらのテーブルの検
索・更新・結果判断を行うフィルタリング処理部及び優
先制御処理部は、パケット単位でのエントリ構成を持
ち、なおかつパケット転送装置に到着する1つのパケッ
ト毎に転送/廃棄、及び優先度を判断していた。
【0044】したがって、例えば、あるアプリケーショ
ンに関する通信において、通常、外部ネットワークから
発信が開始された通信は禁止または低優先で扱うが、内
部ネットワークから発信が開始された通信に関しては許
可または高優先で扱うというような、セッション開設方
向に応じたセキュリティ制御及び優先転送制御を行うこ
とができないという問題点があった。これをもう少し具
体的に説明する。
【0045】例えば、図3(1)のTCP通信の場合、パケ
ットとは、図12に示したフィルタリング条件では区
別することができない。これは、パケットとは、い
ずれも外部ネットワークに属する端末62が発信したパケ
ットであるからである。しかしながら、パケットは、
元々内部ネットワークに属する端末11が発信したパケッ
トが起因して開始された一連の通信に属しているのに
対して、パケットは、元から外部ネットワークに属す
る端末62が発信したパケットに起因した通信である。
したがって、パケットとを区別して、パケット転送
装置は、廃棄/転送しなければならない。
【0046】これを行うためには、パケット単位ではな
く、前のパケット(たとえばパケット)の属性に基づ
いて、後のパケット(たとえばパケット)を識別する
ための情報を定義する必要がある。そうすることによっ
て、セッション開設方向に応じたセキュリティ制御及び
優先転送制御を行うことが可能となる。
【0047】上述のセッション開設方向に応じたセキュ
リティ制御及び優先転送制御を行うためには、この処理
を行うセキュリティ制御/優先転送処理部をパケット転
送装置内に新たに設ければよい。このとき、該セキュリ
ティ/優先転送処理部も、図11に示す順番にパケット転
送装置内に配置されたルーティング処理部、フィルタリ
ング処理部、及び優先制御処理部を適切に協業するよう
にパケット転送装置内に配置する必要がある。
【0048】これにより、パケット転送装置が実行する
パケット転送処理が遅くなることを避け、各処理部で重
複している冗長な処理を省き、以って高速パケット転送
処理を実現することができる。この場合の適切に協業す
るとは、例えば、セキュリティ/優先転送処理部が、受
信パケットに対し処理を実行することによって、送出イ
ンタフェースが判別する場合はルーティング処理を行わ
ないというような、ルーティング処理部と協業を行う場
合が挙げられる。
【0049】従って、従来のパケット転送装置は、セッ
ションを検出することができず、従ってある特定のパケ
ットを識別するための情報を定義し、その定義情報に従
ってセキュリティ制御及び優先転送制御が実行できない
という問題点があった。また、ルーティングテーブル及
びフィルタリングテーブルを検索する必要がないパケッ
トまで冗長に検索してしまいパケット転送処理の高速化
にとって不利であるという問題点があった。
【0050】更に、図11の従来のパケット転送装置が有
するフィルタリングテーブル及び優先制御テーブルは、
例えばネットワーク管理者が設定に使用するソフトウェ
アにより、各エントリを各フィールド値の範囲を表現す
るマスク値とともに格納するので、エントリ数自体は少
ないが、上記の問題点を解決するために新たに設けるセ
ッション管理テーブルは、端末間の通信に基づいてエン
トリを格納するので、セッション管理テーブルの保有エ
ントリ数が多くなり、そのセッション管理テーブルを実
装するための使用メモリ容量が膨大になるという問題点
もあった。
【0051】従って、本発明は、セッションに対応した
セキュリティ制御及び優先転送制御が可能なパケット転
送装置を実現することを課題とする。また、使用メモリ
容量を節約することを課題とする。
【0052】
【課題を解決するための手段】上記の課題を解決するた
め、本発明に係るパケット転送装置は、概略的には、セ
ッションを検出することによって、ある特定のパケット
を識別するための情報を定義し、この定義情報に従っ
て、セキュリティ制御及び優先転送制御(主処理部によ
るルーティング処理、フィルタ処理、及び優先制御処
理)を実行するとともに、前着しているパケットから類
推できる同一セッションのパケットに関しては、主処理
部を経由せずにパケットを送出することによって高速に
パケット転送を行うとするものである。
【0053】すなわち、本発明では、パケット転送装置
内に、主処理部に加えて、セッション管理判定部を構成
するセッション管理処理部及びセッション管理テーブル
と、セッション開設判定部を構成するセッション開設管
理処理部及びセッション開設管理テーブルとを新たに設
ける。
【0054】そして、図1に示すように、受信したパケ
ット(ステップS1)がセッションとして管理していない
パケットであれば、セッション管理処理部(同S2)→ル
ーティング処理部(同S3)→フィルタリング処理部(同
S4)→優先制御処理部(同S5)→セッション開設管理処
理部(同S6)→スイッチ部→パケットスケジューリング
処理部(同S7)の順に処理して送出インタフェースから
送出する(同S8)。
【0055】一方、受信パケット(同S1)がセッション
として管理しているパケットであれば(同S2)、ルーテ
ィング処理(同S3)、フィルタリング処理(同S4)、及
び優先制御処理(同S5)を行わずにスイッチ部及びパケ
ットスケジューリング処理部に直接渡し(同S7)、パケ
ットを送出(同S8)して、上記冗長な処理をせず、高速
にパケットを転送している。
【0056】セッション開設管理処理部は、主処理部を
構成する優先制御処理部の後段に配し、上述したように
セキュリティ制御ソフトウェアまたは優先制御ソフトウ
エア等からの制御により、セッション開設管理テーブル
へセッションを開設すべきパケットが識別可能なエント
リを格納/更新/削除する。
【0057】セッション開設管理処理部は、主処理部か
らパケットを受け取った後、セッション開設管理テーブ
ルを検索し、セッション開設管理テーブルに適合するエ
ントリがあったならば、同一のセッションで該パケット
に続く後続のパケットを、パケット情報(そのヘッダか
ら識別可能なフィールドと、後段の主処理部によるルー
ティン処理、フィルタリング処理、及び優先制御処理を
行わずに該パケットを転送可能なように各処理の結果得
られた情報を格納したフィールドとを有するエントリ)
をセッション管理テーブルへ格納するようにセッション
管理処理部へ依頼する。
【0058】セッション管理処理部は、主処理部を構成
するルーティング処理部の前段に配置され、上記の依頼
に基づいてセッション管理テーブルへパケット情報(エ
ントリ)を格納する。セッション管理処理部は、パケッ
トを受け取った後、そのパケット情報(パケットヘッダ
の各フィールド値)を基にセッション管理テーブルを検
索し、適合するエントリがあったならば、(該エントリ
のタイムスタンプを更新し)該エントリに格納されてい
るパケット情報(受信/送出インタフェース番号及び優
先度及び宛先物理アドレス(宛先MACアドレス))をスイッ
チ部へ通知し、該パケットは主処理部を通らずにバイパ
スしてスイッチ部へ送られる。
【0059】セッション管理処理部は、パケットがセッ
ション管理テーブルのエントリに適合し、かつ、セッシ
ョン閉鎖開始のパケットである旨のフラグが立っていた
ならば、それを該エントリに記憶しておき、後続の閉鎖
受信応答パケットによってセッションが閉鎖されたな
ら、該エントリをセッション管理テーブルより削除する
というセッション閉鎖時の処理を行う。
【0060】なおセッション管理処理部は、受け取った
パケットが、いかなるセッション管理テーブルのエント
リにも適合しない場合、従来と同様にパケットをルーテ
ィング処理部へ渡す。このように本発明では、セッショ
ン管理処理部、セッション管理テーブル、セッション開
設管理処理部、及びセッション開設管理テーブルをパケ
ット転送装置の適切な処理段に配置し、セッションを検
出することによって、ある特定のパケットを識別するた
めの情報(パケット情報)が定義され、その定義情報に
基づき実行されるセキュリティ制御及び優先転送制御
を、主処理部と協業しつつ、パケット転送装置のハード
ウェア部で処理するとともに、前着しているパケットよ
り類推できるパケットに関しては、主処理部をバイパス
してパケットを送出することにより、高速にパケット転
送を行うという課題を解決している。
【0061】また、使用メモリ容量を節約するため、エ
ントリ内の各フィールド値の中で例えばIPアドレス及び
ポート番号は、その全番号空間と比較して、実際のネッ
トワーク運用状況においてパケット転送装置を介在して
使用される番号空間は少ないので、そのような場合、各
フィールド値の必要なパターン数分のインデックス付け
をし、該インデックスの組み合わせにより、テーブルを
構成すればよい。
【0062】なお、上記のセッション管理判定部は、該
セッション管理テーブルを検索して適合するエントリが
ないときは、各エントリの構成情報を反転して再度検索
を行うことができる。また、通信形態がTCP通信のと
き、パケットフォーマットのコードビットを用いて該セ
ッションの開設又は閉鎖(の判定)を行うことが可能であ
る。
【0063】例えば、該セッション管理判定部が、該コ
ードビットのFINをセッション閉鎖フラグとして用
い、このフラグが設定されたパケットを受信し、さらに
後続の閉鎖受信応答パケットを該セッション管理処理部
が受信したとき該セッションの閉鎖(の判定)を行うとと
もに該セッション管理テーブルの適合するエントリを削
除することができる。
【0064】さらに、該セッション管理判定部が、該コ
ードビットのRSTをセッション閉鎖フラグとして用
い、このフラグが設定されたパケットを受信したとき、
以後、該セッションの閉鎖(の判定)を行うとともに該セ
ッション管理テーブルの適合するエントリを削除するこ
ともできる。
【0065】さらに、上記のセッション閉鎖以外に、該
セッション管理判定部が、一定時間以上パケットの送受
信が無いとき、以後、該セッションの閉鎖(の判定)を行
うとともに該セッション管理テーブルの適合するエント
リを削除してもよい。一方、通信形態がUDP通信のと
き、該セッション開設管理テーブルが、UDPパケット
ヘッダに続くアプリケーションデータ部の一部のビット
パターンを保持するUDPセッション開設データ・テー
ブルを含み、該セッション開設管理処理部が、該セッシ
ョン開設管理テーブルと該UDPセッション開設データ
・テーブルを検索してセッションの開設(の判定)を行う
ことが可能である。
【0066】この場合も、該セッション管理判定部が、
一定時間以上パケットの送受信が無いとき、以後、該セ
ッションの閉鎖(の判定)を行うとともに該セッション管
理テーブルの適合するエントリを削除してよい。また、
各テーブルにマスクデータ・テーブルを付設することが
できる。
【0067】
【発明の実施の形態】図2は、本発明に係るパケット転
送装置100の一実施例を示している。この実施例では、
図11に示したパケット転送装置100において、受信イン
タフェース105とをルーティング処理部107との間に、セ
ッション管理テーブル121を備えたセッション管理処理
部122を設け、優先制御処理部111とスイッチ部112との
間にセッション開設管理テーブル123を備えたセッショ
ン開設管理処理部124を設けている。そして、処理部122
と124とを信号線125で直接接続するとともに処理部122
からデータ線126を介して直接パケットをスイッチ部112
に送るようにしている。
【0068】このようなパケット転送装置100は、例え
ば図10に示した一般的なネットワーク構成例において、
LAN1に属する端末群がLAN6に属する端末群へTCPのアプ
リケーションの一つであるtelnet通信で送信するパケッ
トは、高優先で扱い、LAN6に属する端末群がLAN1に属す
る端末群へTCP通信で送信しようとするパケットに関し
ては通信を許可しない、というようなセキュリティ制御
及び優先転送制御を行うものである。
【0069】今、LAN1のIPネットワークアドレスを192.
168.10.0(ネットマスク =255.255.255.0)とし、LAN6のI
Pネットワークアドレスを192.168.60.0(ネットマスク =
255.255.255.0)とし、端末11のIPアドレスを192.168.1
0.1とし、端末62のIPアドレスを192.168.60.2とする。
【0070】なお、本実施例においては、図10中のパケ
ット転送装置1〜3と図2中のパケット転送装置100と図3
及び図4中のパケット転送装置100は、実質的に同一の装
置を指すものとする。また、図5は、図2のパケット転送
装置100内に設けたセッション開設管理テーブル123を示
し、図6は、セッション管理テーブル121を示す。
【0071】さらに、図3(1)は、TCPのセッション開設
時のパケットのフローを示しており、LAN1に属する端末
11とLAN6に属する端末62がtelnet通信する例を示してい
る。例えば、パケット転送装置100は、端末62を送信元
とするパケットを転送せずに廃棄したことを示してお
り、一方、パケットは転送したことを示している。
【0072】以下に図3(1)の時間の流れに沿って、TCP
通信のセッション開設時に関して図2に示したパケット
転送装置が実行する処理を説明する。端末11−端末62間
のTCP通信においては、端末62が発信したパケットが
パケット転送装置100に到着したとき、この通信はLAN6
に属する端末群がLAN1に属する端末群へ発信したTCP通
信であるので、パケット転送装置100は、上記のとおり
パケットを廃棄する。
【0073】これを実行するため、ネットワーク管理者
は、「LAN6に属する端末群がLAN1に属する端末群へ発信
したTCP通信は許可しない。」というネットワーク管理
方針に従って、セキュリティ制御ソフトウェア102を介
してフィルタリングテーブル108へ、図12に示したフィ
ルタリング条件305及び対応マスクデータ309に示すよう
に、プロトコル番号がTCPであり、送信元IPアドレスが1
92.168.60.0(マスク値255.255.255.0)であり、宛先IPア
ドレスが192.168.10.0(マスク値255.255.255.0)であ
り、かつ「転送/廃棄」フィールドの値が廃棄であるエ
ントリを予め格納しておく。
【0074】このエントリにパケットが適合(ヒッ
ト)することを、従来例で述べたようにようにフィルタ
リング処理部109が判断して廃棄する。telnet通信を開
くパケットがパケット転送装置100に到着したとき、
この通信はLAN1に属する端末群がLAN6に属する端末群へ
発信したtelnet通信であるので、パケットを発信源パ
ケットとするパケット、等を、パケット転送装置10
0は高優先で転送処理する。
【0075】すなわち、これを実行するため、ネットワ
ーク管理者は、「LAN1に属する端末群がLAN6に属する端
末群へ発信したtelnet通信を高優先で転送処理する。」
というネットワーク管理方針に従って、優先制御ソフト
ウエア103を介してセッション開設管理テーブル123へ、
図5に示す如く、セッション開設条件801及び対応マス
クデータ802のように、プロトコル番号がTCPであり、送
信元IPアドレスが192.168.10.0(マスク値255.255.255.
0)であり、宛先IPアドレスが192.168.60.0(マスク値25
5.255.255.0)であり、宛先ポート番号が23(telnet通信
であることを示す)であり、かつ「優先度/転送」フィー
ルドが7(高優先)であるエントリを予め格納しておく。
【0076】一方、TCP通信のセッションを開設するま
での、セッション開設開始のパケットには、TCP通信の
仕様上、図13に示したTCPパケットフォーマットのコー
ドビット(別名; CTR(control)フラグ)のSYNビットが立
っている(以降、CTR=SYNと表現する)。セッション開設
管理処理部124は、このコードビットをトリガにしてセ
ッション開設管理テーブル123を検索し、パケットが
セッション開設条件801及び対応マスクデータ802のエン
トリに適合(ヒット)しているか否かを判別する。
【0077】上記の手順は、図7に示すセッション開設
管理処理部124のステップS10,S11及びS13に相当してい
る。次に、セッション開設管理処理部124は、適合する
エントリがあったという判断に基づきセッション管理処
理部122へ、パケットより後続のパケット及びを
高優先で転送処理するように、パケットやを識別可
能なエントリを作成するように依頼する。
【0078】この依頼時、セッション開設管理処理部12
4は、受信したパケットのヘッダ内より、プロトコル番
号、送信元/宛先IPアドレス、及び送信元/宛先ポート番
号を得るとともに、図5(1)に示したセッション開設条
件テーブルより優先度を読み出す。そして、セッション
開設管理処理部124よりも前段の処理部がセッション開
設管理処理部124へパケットと一緒に通知した受信/送信
インタフェース番号、及び宛先MACアドレスを得て、こ
れらを同時にセッション管理処理部122へ通知する。
【0079】このような各処理部間でのデータを通知す
るとき、前段から後段への通知に関しては、例えばパケ
ットヘッダの更に前に装置内で制御を行うための独自の
装置内ヘッダを付加することによって実行する。一方、
前段から後段へのデータ通知ではなく、セッション開設
管理処理部124からセッション管理処理部122へのデータ
の通知(後段から前段へのデータ通知)に関しては、セ
ッション開設管理処理部124とセッション管理処理部122
との間の信号線125によって実行する。従って、セッシ
ョン開設管理処理部124からの依頼によって、セッショ
ン管理処理部122は、パケット及びが識別可能であ
る図6のセッション管理テーブルにおけるセッション管
理エントリ901を、ネットワーク管理者が予め作成する
のではなく動的に作成する。
【0080】この手順は、図7のフローチャートにおけ
るステップS14及びS16に相当しており、プロトコル番号
はTCPであるので、ステップS14を経由してステップS16
へ移行する処理となる。そして、セッション開設管理処
理部124は、上記依頼の確認信号を受理した後、受信パ
ケットをスイッチ部112へ渡す(ステップS17)。スイッチ
部112は、受信パケットを、送出インタフェース番号及
びそのパケットの優先度に応じて該当するキュー113へ
格納し、パケットスケジューリング処理部114が受信パ
ケットをその送出インタフェース115から送出する。
【0081】パケットがパケット転送装置100へ到着
したとき、LAN1に属する端末群がLAN6に属する端末群へ
発信したtelnet通信に関しては、パケット転送装置100
は高優先で転送処理するので、パケットを高優先で転
送処理する。すなわち、セッション管理処理部122は、
パケットを受信したならば、セッション管理テーブル
123を検索する。この手順は、図8に示すセッション管理
処理部122のフローチャートにおけるステップS21及びS2
1に相当する。
【0082】セッション管理処理部122が、セッション
管理テーブル121を検索しても、セッション開設管理処
理部124の依頼に従って、セッション管理処理部122が、
作成したセッション管理エントリ901には、パケット
は適合しない(ミスヒット)。これは、上述の如くセッ
ション管理エントリ901をパケットに適合(ヒット)
するように、すなわち端末11〜端末62の方向についてだ
け適合するように、セッション管理処理部122が作成し
たからである。
【0083】したがって、ステップS23を実行し、送信
元IPアドレスと宛先IPアドレス、送信元ポート番号と宛
先ポート番号、受信インタフェース番号と送信インタフ
ェース番号を入れ替えて、もう一度、セッション管理処
理部122がセッション管理テーブル121を検索する(ステ
ップS24)。
【0084】ここで初めて、パケットはセッション管
理テーブル121に適合することになるので、セッション
管理処理部122は、このことを示す反転フラグを立て
(ステップS26)、セッション管理エントリ901のタイム
スタンプを更新する。このタイムスタンプとは、端末が
セッション管理エントリ901のtelnet通信を現在行って
いるのか否かを、パケット転送装置100が判断するため
に必要な指標の一つである。
【0085】なお、ステップS24の検索を行っても、受
信パケットが各セッション管理エントリに適合しない場
合は、そのまま受信パケットをルーティング処理部107
へ送出(ステップS39)することは言うまでも無い。次
に、セッション管理処理部122は、セッション管理エン
トリ901から反転処理を行った後ヒットしたので、受信
インタフェース番号及び送信元MACアドレスとして分か
る、パケットの送出インタフェース番号と宛先MACア
ドレスを、次の処理部であるスイッチ部112へ直接通知
する(ステップS27及び S29)。
【0086】さらに同時に、セッション管理エントリ90
1から分かる優先度をスイッチ部112へ直接通知する(ス
テップS30及び S31)。次に、セッション管理処理部122
は、telnet通信が終わったときに該当するセッション管
理エントリを削除するための処理(後述する)であるス
テップ(S32〜S36)を経て反転フラグを元に戻し(ステッ
プS37)、スイッチ部112への送出インタフェース番号、
宛先MACアドレス、及び優先度の通知と同時に、受信パ
ケットをスイッチ部112へ送出する(ステップS38)。
【0087】なお、セッション管理処理部122からスイ
ッチ部112へパケット及びそのパケットに付随するデー
タを通知するために、上述の如くデータ線126を設けて
いる。セッション管理処理部122が、パケットに対し
て、上述のように図8の処理(ステップS29,S34,S36を除
く)を実行することによって、パケット転送装置100
は、パケットをスイッチ部112以降で優先転送し、な
おかつ、冗長なルーティング処理部107、フィルタリン
グ処理部109、優先制御処理部111、及びセッション開設
管理処理部124で実行すべき処理を実行せずに高速にパ
ケット転送処理を実行することができる。
【0088】さらにパケットがパケット転送装置100
へ到着したとき、LAN1に属する端末群がLAN6に属する端
末群へ発信したtelnet通信に関しては、パケット転送装
置100は高優先で転送処理するので、パケット転送装置1
00はパケットを高優先で転送処理する。このとき、セ
ッション管理処理部122は、一度の検索でセッション管
理エントリ901にパケットが適合するが、このことを
除いては、上述のパケットのときと同様に、図8の処
理(ステップS23,S24,S26,S29,S34,S36,S39を除く)を
実行する。
【0089】このように処理を実行することによって、
パケット転送装置100は、パケットをスイッチ部112以
降で優先転送し、なおかつ、冗長なルーティング処理部
107、フィルタリング処理部109、優先制御処理部111、
及びセッション開設管理処理部124で実行する処理を、
実行せずに高速にパケット転送処理を実行することがで
きる。
【0090】次に、図4(1)の時間の流れに沿って、TC
P通信の閉鎖時に関してパケット転送装置100が実行する
処理を説明する。上記の実施例においては、TCP通信の
開設時に関してパケット転送装置100が実行する処理を
説明したが、パケット転送装置100は、TCP通信が終了し
たときも、必要がないエントリをセッション管理テーブ
ル121から削除する等の処理を実行する必要がある。
【0091】何故なら、図6に示したセッション管理テ
ーブル121には、パケット転送装置100間に跨る端末間の
通信が始まる度に、図5に示したセッション開設管理テ
ーブル121のセッション開設条件に応じて、セッション
管理処理部122がエントリを動的に追加するので、適切
にエントリを削除しないと、パケット転送装置運用中に
エントリ数がテーブル121の容量を越えてしまう可能性
があるからである。
【0092】ここで、TCPセッションの閉鎖に関して
は、FIN閉鎖(図4(1))または、RST閉鎖(同図(2))、また
はFIN閉鎖及びRST閉鎖以外の異常終了がある。FIN閉鎖
は、端末11と端末62が互いに、TCPパケットヘッダのCTR
フラグ(図13(1)参照)がFINであるパケット及び
を送り合い、これらのFINであるパケット及びに対
する受信応答パケット(CTRフラグがACK)を送ることに
よってセッションを閉鎖する。また、RST閉鎖の場合
は、CTRフラグがRSTであるパケットを端末11または端
末62が送ることによって即座にセッションを閉鎖する。
【0093】FIN閉鎖の場合、TCPパケットヘッダのCTR
フラグがFINであるパケットをパケット転送装置100が
受信すると、セッション管理処理部122は、パケット
が適合するセッション管理エントリ901のFINカウンタフ
ィールド値をカウントアップする。この手順は、図8に
おけるステップS33及びS34に相当する。
【0094】次に、パケットを受信した時点では、FI
Nカウンタ=1なので、セッション管理処理部122はステッ
プS35,S37及びS38の順に処理を実行し、受信したパケッ
トをスイッチ部112へ渡し、スイッチ部112は、パケッ
トを優先転送する。パケットは、端末11が発信した
パケットであり、端末62は、これを受信して、受信応答
パケットを端末11へ送出し、さらにCTRフラグがFINであ
るパケットを端末11へ送出する。
【0095】パケット転送装置100がパケットを受信
すると、セッション管理処理部122は、パケットが適
合するセッション管理エントリ901のFINカウンタフィー
ルド値をカウントアップする。この手順は、ステップS3
3及びS34に相当する。次に、セッション管理処理部122
は、ステップS35を実行し、ここでFINカウンタ=2である
が、CTRフラグはACKではないので、パケットと同様
に、ステップS37及びS38の順に処理を実行する。
【0096】パケットを受信した端末11は、端末62へ
受信応答パケットを送信する。パケット転送装置100
がパケットを受信すると、セッション管理処理部122
は、ステップS35を実行し、FINカウンタ=2であり、かつ
パケットのCTRフラグはACKであるので、パケットが
適合するセッション管理エントリ901を削除する(ステッ
プS36)。
【0097】このようにセッション管理処理部122が処
理を実行することによって、FIN閉鎖の時、TCP通信が終
了し、必要のないエントリを削除することができる。し
たがって、これ以降、パケット転送装置100は、パケッ
トがLAN6に属する端末群がLAN1に属する端末群へ発信
したTCP通信のパケットであるので、パケットをフィ
ルタリング処理部109によって廃棄する。
【0098】またRST閉鎖の場合、CTRフラグがRSTであ
るパケットを受信したならば、セッション管理処理部
122は、パケットが適合するセッション管理エントリ9
01を削除する。この手順は、ステップS32及びS36に相当
する。したがって、これ以降、パケット転送装置100
は、パケットがLAN6に属する端末群がLAN1に属する端
末群へ発信したTCP通信のパケットであるので、パケッ
トをフィルタリング処理部109によって廃棄する。
【0099】また、セッションの閉鎖が、上記のような
正常な閉鎖ではなく、伝送媒体の断線など異常な終了で
ある場合は、定期的にセキュリティ制御ソフトウェア10
2または優先制御ソフトウエア103がセッション管理テー
ブル121の各エントリのタイムスタンプをチェックし、
該ソフトウェアでネットワーク管理者または装置設計者
が設定した一定時間を経過した後もパケットの送受信が
起きていないエントリは削除する。
【0100】セッション管理エントリ901のタイムスタ
ンプは、パケット転送装置100が該エントリに適合する
パケットを受信する度に、セッション管理処理部122が
更新(ステップS25)する。また、上述のようにセキュリ
ティ制御ソフトウェア102または、優先制御ソフトウエ
ア103がセッション管理テーブル121へアクセスするため
に、ソフトウェア部101からセッション管理テーブル121
へ制御線127を設けている。
【0101】図9は、使用メモリデバイスとしてCAMを利
用する場合の使用メモリ容量を節約したセッション管理
テーブル例を示している。CAMは、逐一比較対象となる
エントリを読み込み、検索キーと比較するのではなく、
各エントリを一度に並列に検索し、各エントリのヒット
/ミスヒットを判別することが可能なメモリデバイスな
ので高速に検索を行うことができるが、1エントリの総
ビット長を長くすることはできないという特徴を持つ。
【0102】従って、図6に示すように一つのテーブル
としてセッション管理テーブル121を構成した場合、例
えば、送信元ポート番号値のみが異なり他のフィールド
値が同一であれば、他のフィールド値を一つのエントリ
としてインデックスを付けて保有し、該インデックス値
と送信元ポート番号の組によってセッション管理テーブ
ルを構成した方が、使用メモリ容量の節約につながる。
【0103】IP通信においては、セッション開始すると
きの宛先ポート番号は、ウェルノウンポートという或る
限られた種類のポート番号になる特性があり、またパケ
ット転送装置100を介して送受信されるIPアドレスの組
の種類もそのアドレス空間全体と比較して、少ないとい
う特性がある。
【0104】そこで、セッション管理テーブルの各フィ
ールドのビット長から考慮して、図9に示すように、CAM
-1, CAM-2, CAM-3, CAM-4のように各フィールドを分
け、各インデックス値をCAM-5で有することにより、使
用メモリ容量を節約したセッション管理テーブルを構築
することが好ましい。
【0105】図9の実施例では、同図(4)のCAM-4に見
られるように、MACアドレスを直接テーブル内に格納す
るのではなく、MACアドレスを格納している他のテーブ
ルのポインタとして格納した。これは、MACアドレス
は、48ビット長と長いので、上述と同様の理由で一つの
CAM内への格納は難しいからである。
【0106】セッション管理テーブルの検索において
は、MACアドレスは、検索を行うキーではなく、どのエ
ントリがヒットするかを判別した後に、ヒットするエン
トリがあったならば必要となるコンテンツであるので、
ポインタで格納することによって、セッション管理テー
ブルへの検索動作が遅くなることはない。また、MACア
ドレスを格納している他のテーブルとしては、例えばル
ーティングテーブル106とがあり、ルーティングテーブ
ル106とMACアドレスの各の領域を共用することも可能で
ある。
【0107】上記の実施例では、TCP通信に関して言及
したが、次にUDP通信の場合について説明する。図10に
示すようなネットワーク構成例において内部ネットワー
クであるLAN1、LAN2、LAN3に属する端末群が、外部ネッ
トワークであるLAN4、LAN5、LAN6へ発信したUDP通信の
アプリケーションの一つであるDNS(Domain Name Servic
e)の通信に関しては許可し、外部ネットワークに属する
端末群が内部ネットワークに属する端末群へ発信したUD
P通信は許可しないというセキュリティ制御を行うパケ
ット転送装置を、やはり図2に示すような装置構成で実
現することができる。
【0108】すなわち、図3(2)にはUDP通信の場合に
おけるセッション開設時のパケットのフローを示してお
り、図13(2)がUDPのパケットフォーマットを示してい
る。コネクションレス型のUDP通信はコネクション型TCP
通信と異なりセッションの開始を示すフラグがパケット
ヘッダ内に存在しない。したがって、UDP上で通信され
る個別のアプリケーション毎、すなわちUDPの宛先ポー
ト番号毎にセッションを開始するRequestパケットをパ
ケット転送装置100が識別可能なように、UDPヘッダに続
く、アプリケーションデータ部の一部の範囲のビットパ
ターンを、セッション開設管理テーブル121内のUDPセッ
ション開設データテーブル(図5(3))及び対応マスク
データテーブル(同(4))として記憶する。
【0109】パケット転送装置100は、受信したUDPパケ
ットに対してセッション開設条件テーブル(同(1))
に加えて、このUDPセッション開設データテーブルを検
索することによって、受信したUDPパケットが属するUDP
通信をセッション管理処理部122が管理すべきか否かを
判断する。
【0110】セキュリティ制御ソフトウェア102及び優
先制御ソフトウエア103が、セッション開設管理テーブ
ル123内のUDPセッション開設データ・テーブルに予めエ
ントリを格納しておく。図3(2)におけるパケットを
パケット転送装置100が受信したときは、外部ネットワ
ークに属する端末群が内部ネットワークに属する端末群
へ発信したUDP通信なので、フィルタリング処理部109に
よってパケットを廃棄する。
【0111】パケットをパケット転送装置100が受信
したときは、セッション開設管理処理部124がセッショ
ン開設管理処理テーブル123を検索する。その結果、セ
キュリティ制御ソフトウェア102が予めセッション開設
条件テーブルに作成しておいたプロトコル番号=UDP、宛
先ポート番号=53、及び受信インタフェース番号=インタ
フェースIF1というセッション開設条件エントリ802、ま
たは同様に受信インタフェース番号=インタフェースIF2
であるセッション開設条件エントリ803、または同様に
受信インタフェース番号=IF3であるセッション開設条件
エントリ804の内の、セッション開設条件エントリ806に
パケットがヒットする。これは、図7に示したフロー
チャート内のステップS12及びS13に相当する。
【0112】そして、セッション開設管理処理部124
は、プロトコル番号=UDPなので(ステップS14)、UDPセッ
ション開設データテーブルを検索する。その結果、DNS
の宛先ポート番号が53であるUDPセッション開設データ
エントリ806と受信パケットのアプリケーションデータ
の先頭のビットパターンが適合する(ステップS15)の
で、セッション開設管理処理部124は、パケットをReq
uestパケットと認識する。
【0113】したがって、セッション開設管理処理部12
4は、上記の実施例と同様にセッション管理処理部122
へ、後続のパケット及びが認識できるエントリの作
成を依頼し(ステップS16)、パケットをスイッチ部112
へ渡す(ステップS17)。パケット又はをパケット転
送装置100が受信したときも同様に、セッション管理処
理部122がパケット又はを識別可能なエントリがセ
ッション管理テーブル121にあり、そのエントリには、
パケット又はを転送するように記述してあるので、
これによって、内部ネットワークであるLAN1に属する端
末が、外部ネットワークであるLAN6へ発信したDNS通信
のパケットである、パケット又はをパケット転送装
置100は転送することができる。
【0114】セッションの閉鎖に関して、コネクション
レス型のUDP通信は、上記の実施例のコネクション型TCP
通信と違い、通信の終了を示すフラグ等は、UDPヘッダ
内に存在しない。UDP通信におけるセッションの閉鎖
は、定期的にセキュリティ制御ソフトウェア102また
は、優先制御ソフトウエア103がセッション管理テーブ
ル121のタイムスタンプをチェックし、該ソフトウェア
で設定された一定時間が、経過した後もパケットの送受
信が起きていないエントリを削除することよって行うこ
とができる。
【0115】
【発明の効果】以上説明したように本発明に係るパケッ
ト転送装置によれば、ルーティング処理、フィルタリン
グ処理、及び優先制御処理を実行する主処理部から出力
されたパケットがセッション開設条件に適合するか否か
を判定し、該パケットについて適合判定した時、該判定
部からそのパケット情報を受けて保持し、該パケット情
報に基づいて同一セッションに属する後続のパケットを
該主処理部のバイパス路に与えるように構成したので、
冗長な処理を減じて高速にパケットを転送することが同
時にできる効果がある。
【0116】また、使用メモリデバイスとしてCAMを使
用した場合、各フィールド値のビット長を考慮して、複
数のフィールドによって一つのテーブルを構成し、各テ
ーブルエントリに必要な種類数分のインデックス付け
し、該インデックスの組み合わせにより、セッション管
理テーブルを構成することによって、使用メモリ容量を
節約してセッション管理処理ができる効果がある。
【図面の簡単な説明】
【図1】本発明に係るパケット転送装置の処理概念を示
したフローチャート図である。
【図2】本発明に係るパケット転送装置の実施例を示す
ブロック図である。
【図3】セッション開設時のパケットのフローを示した
図である。
【図4】セッション閉鎖時のパケットのフローを示した
図である。
【図5】本発明に係るパケット転送装置に用いるセッシ
ョン開設管理テーブルを示した図である。
【図6】本発明に係るパケット転送装置に用いるセッシ
ョン管理テーブルを示した図である。
【図7】本発明に係るパケット転送装置に用いるセッシ
ョン開設管理処理部の処理手順を示したフローチャート
図である。
【図8】本発明に係るパケット転送装置に用いるセッシ
ョン管理処理部の処理手順を示したフローチャート図で
ある。
【図9】本発明に係るパケット転送装置の使用メモリ容
量を節約したセッション管理テーブル例を示した図であ
る。
【図10】パケット転送装置を含む一般的なネットワーク
構成例を示したブロック図である。
【図11】従来のパケット転送装置例を示したブロック図
である。
【図12】フィルタリングテーブルを示した図である。
【図13】一般的なパケットのフォーマットを示す図であ
る。
【符号の説明】
1〜3,100 パケット転送装置 11,12,13,2122,31,3
2,61,62 端末 101 ソフトウエア部 102セキュリティ制御ソフ
トウエア 103 優先制御ソフトウエア 104 ハードウエア部 105 受信インタフェース 106 ルーティングテーブル 107 ルーティング処
理部 108 フィルタリングテーブル 109 フィルタリン
グ処理部 110 優先制御テーブル 111 優先制御処理部 112 スイッチ部 114パケットスケジューリング処
理部 115 送出インタフェース 121セッション管理テーブル 122 セッション管
理処理部 123セッション開設管理テーブル 124 セッショ
ン開設管理処理部 125信号線 126データ線 127 制御線 図中、同一符号は同一又は相当部分を示す。
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 平4−180425(JP,A) 特開 平6−244897(JP,A) 特開 平10−242977(JP,A) (58)調査した分野(Int.Cl.7,DB名) H04L 29/06

Claims (12)

    (57)【特許請求の範囲】
  1. 【請求項1】各ネットワークに属する端末間の通信を行
    うパケット転送装置において、 ルーティング処理、フィルタリング処理、及び優先制御
    処理を実行する主処理部と、 該主処理部から出力されたパケットがセッション開設条
    件に適合するか否かを判定するセッション開設判定部
    と、 該セッション開設判定部が該パケットについて適合判定
    した時、該判定部からそのパケット情報を受けて保持
    し、該パケット情報に基づいて同一セッションに属する
    後続のパケットを該主処理部のバイパス路に与えるセッ
    ション管理判定部と、 を備えたことを特徴とするパケット転送装置。
  2. 【請求項2】請求項1において、 該セッション開設判定部が、ネットワーク管理方針に従
    って予めパケット情報と優先情報とが設定されたセッシ
    ョン開設管理テーブルと、該テーブルを検索してセッシ
    ョン開設条件の適合の有無を判定するセッション開設管
    理処理部と、で構成されていることを特徴としたパケッ
    ト転送装置。
  3. 【請求項3】請求項2において、 該セッション管理判定部が、該セッション開設管理処理
    部から与えられる同一セッションに関する該パケット情
    報を動的に保持するセッション管理テーブルと、該セッ
    ション管理テーブルを検索して同一セッションの後続パ
    ケットを該バイパスに与えるセッション管理処理部と、
    で構成されていることを特徴としたパケット転送装置。
  4. 【請求項4】請求項3において、 該セッション管理判定部が、該セッション管理テーブル
    を検索して適合するエントリがないときは、各エントリ
    の構成情報を反転して再度検索を行うことを特徴とした
    パケット転送装置。
  5. 【請求項5】請求項3において、 通信形態がTCP通信のとき、パケットフォーマットの
    コードビットを用いて該セッションの開設又は閉鎖を行
    うことを特徴としたパケット転送装置。
  6. 【請求項6】請求項5において、 該セッション管理判定部が、該コードビットのFINを
    セッション閉鎖フラグとして用い、このフラグが設定さ
    れたパケットを受信し、さらに後続の閉鎖受信応答パケ
    ットを該セッション管理処理部が受信したとき該セッシ
    ョンの閉鎖を行うとともに該セッション管理テーブルの
    適合するエントリを削除することを特徴としたパケット
    転送装置。
  7. 【請求項7】請求項5において、 該セッション管理判定部が、該コードビットのRSTを
    セッション閉鎖フラグとして用い、このフラグが設定さ
    れたパケットを受信したとき、以後、該セッションの閉
    鎖を行うとともに該セッション管理テーブルの適合する
    エントリを削除することを特徴としたパケット転送装
    置。
  8. 【請求項8】請求項5において、 該セッション管理判定部が、一定時間以上パケットの送
    受信が無いとき、以後、該セッションの閉鎖を行うとと
    もに該セッション管理テーブルの適合するエントリを削
    除することを特徴としたパケット転送装置。
  9. 【請求項9】請求項5において、 通信形態がUDP通信のとき、該セッション開設管理テ
    ーブルが、UDPパケットヘッダに続くアプリケーショ
    ンデータ部の一部のビットパターンを保持するUDPセ
    ッション開設データ・テーブルを含み、該セッション開
    設管理処理部が、該セッション開設管理テーブルと該U
    DPセッション開設データ・テーブルを検索してセッシ
    ョンの開設を行うことを特徴としたパケット転送装置。
  10. 【請求項10】請求項9において、 該セッション管理判定部が、一定時間以上パケットの送
    受信が無いとき、以後、該セッションの閉鎖を行うとと
    もに該セッション管理テーブルの適合するエントリを削
    除することを特徴としたパケット転送装置。
  11. 【請求項11】請求項9において、 各テーブルにマスクデータ・テーブルが付設されている
    ことを特徴としたパケット転送装置。
  12. 【請求項12】請求項3において、 該セッション管理テーブルが、各フィールド値の必要な
    種類数分のインデックス付けを行い、該インデックスの
    組み合わせにより、該テーブルを構成することを特徴と
    したパケット転送装置。
JP15541199A 1999-06-02 1999-06-02 パケット転送装置 Expired - Fee Related JP3403971B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP15541199A JP3403971B2 (ja) 1999-06-02 1999-06-02 パケット転送装置
US09/552,134 US6987768B1 (en) 1999-06-02 2000-04-19 Packet transferring apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP15541199A JP3403971B2 (ja) 1999-06-02 1999-06-02 パケット転送装置

Publications (2)

Publication Number Publication Date
JP2000349851A JP2000349851A (ja) 2000-12-15
JP3403971B2 true JP3403971B2 (ja) 2003-05-06

Family

ID=15605413

Family Applications (1)

Application Number Title Priority Date Filing Date
JP15541199A Expired - Fee Related JP3403971B2 (ja) 1999-06-02 1999-06-02 パケット転送装置

Country Status (2)

Country Link
US (1) US6987768B1 (ja)
JP (1) JP3403971B2 (ja)

Families Citing this family (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4080169B2 (ja) * 2000-09-29 2008-04-23 株式会社リコー セッション確立方法
JP4330342B2 (ja) 2001-02-19 2009-09-16 富士通株式会社 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム
JP5229109B2 (ja) * 2001-03-27 2013-07-03 富士通株式会社 パケット中継処理装置
JP3963690B2 (ja) 2001-03-27 2007-08-22 富士通株式会社 パケット中継処理装置
US7042888B2 (en) * 2001-09-24 2006-05-09 Ericsson Inc. System and method for processing packets
DE10147419A1 (de) * 2001-09-26 2003-04-24 Siemens Ag Verfahren zur Erstellung einer dynamischen Adresstabelle für einen Koppelknoten in einem Datennetz und Verfahren zur Übertragung eines Datentelegramms
US7260085B2 (en) * 2002-03-21 2007-08-21 Acme Packet, Inc. System and method for determining a destination for an internet protocol packet
US7230929B2 (en) * 2002-07-22 2007-06-12 Qlogic, Corporation Method and system for dynamically assigning domain identification in a multi-module fibre channel switch
US7397768B1 (en) 2002-09-11 2008-07-08 Qlogic, Corporation Zone management in a multi-module fibre channel switch
US7139837B1 (en) * 2002-10-04 2006-11-21 Ipolicy Networks, Inc. Rule engine
US6886141B1 (en) * 2002-10-07 2005-04-26 Qlogic Corporation Method and system for reducing congestion in computer networks
US7536716B2 (en) * 2003-04-17 2009-05-19 Alcatel Lucent Labeling gateway for compartmented multi-operator network elements over a heterogeneous network
JP4196732B2 (ja) 2003-05-26 2008-12-17 日本電気株式会社 データ転送装置及びプログラム
US7525910B2 (en) * 2003-07-16 2009-04-28 Qlogic, Corporation Method and system for non-disruptive data capture in networks
US7453802B2 (en) * 2003-07-16 2008-11-18 Qlogic, Corporation Method and apparatus for detecting and removing orphaned primitives in a fibre channel network
US7471635B2 (en) * 2003-07-16 2008-12-30 Qlogic, Corporation Method and apparatus for test pattern generation
US7463646B2 (en) * 2003-07-16 2008-12-09 Qlogic Corporation Method and system for fibre channel arbitrated loop acceleration
US7620059B2 (en) * 2003-07-16 2009-11-17 Qlogic, Corporation Method and apparatus for accelerating receive-modify-send frames in a fibre channel network
US7477655B2 (en) * 2003-07-21 2009-01-13 Qlogic, Corporation Method and system for power control of fibre channel switches
US7792115B2 (en) * 2003-07-21 2010-09-07 Qlogic, Corporation Method and system for routing and filtering network data packets in fibre channel systems
US7406092B2 (en) * 2003-07-21 2008-07-29 Qlogic, Corporation Programmable pseudo virtual lanes for fibre channel systems
US7684401B2 (en) * 2003-07-21 2010-03-23 Qlogic, Corporation Method and system for using extended fabric features with fibre channel switch elements
US7512067B2 (en) * 2003-07-21 2009-03-31 Qlogic, Corporation Method and system for congestion control based on optimum bandwidth allocation in a fibre channel switch
US7894348B2 (en) * 2003-07-21 2011-02-22 Qlogic, Corporation Method and system for congestion control in a fibre channel switch
US7646767B2 (en) * 2003-07-21 2010-01-12 Qlogic, Corporation Method and system for programmable data dependant network routing
US7522522B2 (en) * 2003-07-21 2009-04-21 Qlogic, Corporation Method and system for reducing latency and congestion in fibre channel switches
US7630384B2 (en) * 2003-07-21 2009-12-08 Qlogic, Corporation Method and system for distributing credit in fibre channel systems
US7466700B2 (en) * 2003-07-21 2008-12-16 Qlogic, Corporation LUN based hard zoning in fibre channel switches
US7420982B2 (en) * 2003-07-21 2008-09-02 Qlogic, Corporation Method and system for keeping a fibre channel arbitrated loop open during frame gaps
US7573909B2 (en) * 2003-07-21 2009-08-11 Qlogic, Corporation Method and system for programmable data dependant network routing
US7525983B2 (en) * 2003-07-21 2009-04-28 Qlogic, Corporation Method and system for selecting virtual lanes in fibre channel switches
US7447224B2 (en) * 2003-07-21 2008-11-04 Qlogic, Corporation Method and system for routing fibre channel frames
US7430175B2 (en) * 2003-07-21 2008-09-30 Qlogic, Corporation Method and system for managing traffic in fibre channel systems
US7580354B2 (en) * 2003-07-21 2009-08-25 Qlogic, Corporation Multi-speed cut through operation in fibre channel switches
US7376087B2 (en) * 2003-08-13 2008-05-20 Tropos Networks, Inc. Method and apparatus for monitoring and displaying routing metrics of a network
US20050071493A1 (en) * 2003-09-30 2005-03-31 Sheng Lee SNMP packet filtering for printing devices
US7509674B2 (en) * 2003-10-07 2009-03-24 Alcatel Lucent Access control listing mechanism for routers
US7440469B2 (en) * 2003-10-14 2008-10-21 Broadcom Corporation Descriptor write back delay mechanism to improve performance
US7512078B2 (en) * 2003-10-15 2009-03-31 Texas Instruments Incorporated Flexible ethernet bridge
US7564789B2 (en) * 2004-02-05 2009-07-21 Qlogic, Corporation Method and system for reducing deadlock in fibre channel fabrics using virtual lanes
US7480293B2 (en) * 2004-02-05 2009-01-20 Qlogic, Corporation Method and system for preventing deadlock in fibre channel fabrics using frame priorities
US7340167B2 (en) 2004-04-23 2008-03-04 Qlogic, Corporation Fibre channel transparent switch for mixed switch fabrics
US7930377B2 (en) * 2004-04-23 2011-04-19 Qlogic, Corporation Method and system for using boot servers in networks
US7411958B2 (en) * 2004-10-01 2008-08-12 Qlogic, Corporation Method and system for transferring data directly between storage devices in a storage area network
US8295299B2 (en) * 2004-10-01 2012-10-23 Qlogic, Corporation High speed fibre channel switch element
US7593997B2 (en) * 2004-10-01 2009-09-22 Qlogic, Corporation Method and system for LUN remapping in fibre channel networks
JP4409401B2 (ja) * 2004-10-08 2010-02-03 株式会社日立製作所 パケット転送装置及びストレージシステム
US7519058B2 (en) * 2005-01-18 2009-04-14 Qlogic, Corporation Address translation in fibre channel switches
WO2006077935A1 (ja) * 2005-01-21 2006-07-27 Matsushita Electric Industrial Co., Ltd. Avサーバ機器
US7577151B2 (en) * 2005-04-01 2009-08-18 International Business Machines Corporation Method and apparatus for providing a network connection table
US8031706B2 (en) * 2005-10-31 2011-10-04 Agere Systems Inc. Circuitry for determining network operations in a network device by addressing lookup tables with contents of protocol header fields
JP4759389B2 (ja) * 2006-01-10 2011-08-31 アラクサラネットワークス株式会社 パケット通信装置
US7548560B1 (en) 2006-02-27 2009-06-16 Qlogic, Corporation Method and system for checking frame-length in fibre channel frames
CN100555991C (zh) * 2006-12-29 2009-10-28 华为技术有限公司 报文访问控制的方法、转发引擎装置和通信设备
JP4738363B2 (ja) * 2007-02-26 2011-08-03 富士通株式会社 Sipサーバ
CN101277175B (zh) * 2007-03-30 2012-02-29 国际商业机器公司 改进会话启动协议服务器性能的方法和装置
JP4744479B2 (ja) * 2007-05-28 2011-08-10 エヌ・ティ・ティ・コミュニケーションズ株式会社 優先制御システム、優先設定制御システム、及び優先制御方法
JP4900119B2 (ja) * 2007-08-01 2012-03-21 ヤマハ株式会社 ネットワーク機器
JP2009049550A (ja) * 2007-08-15 2009-03-05 Hitachi Ltd ゲートウェイ装置
US8780923B2 (en) * 2010-01-15 2014-07-15 Dell Products L.P. Information handling system data center bridging features with defined application environments
US8493981B2 (en) * 2010-11-03 2013-07-23 Broadcom Corporation Switch module
US8891532B1 (en) * 2011-05-17 2014-11-18 Hitachi Data Systems Engineering UK Limited System and method for conveying the reason for TCP reset in machine-readable form
WO2023186819A1 (en) 2022-03-29 2023-10-05 Illumina Cambridge Limited Chromenoquinoline dyes and uses in sequencing

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5742760A (en) * 1992-05-12 1998-04-21 Compaq Computer Corporation Network packet switch using shared memory for repeating and bridging packets at media rate
US6510151B1 (en) * 1996-09-19 2003-01-21 Enterasys Networks, Inc. Packet filtering in connection-based switching networks
CA2217838C (en) * 1996-11-07 2003-07-29 At&T Corp. Wan-based voice gateway
US5940390A (en) * 1997-04-10 1999-08-17 Cisco Technology, Inc. Mechanism for conveying data prioritization information among heterogeneous nodes of a computer network
CA2304214C (en) * 1997-09-16 2006-05-23 Transnexus, Llc Internet telephony call routing engine
US6226680B1 (en) * 1997-10-14 2001-05-01 Alacritech, Inc. Intelligent network interface system method for protocol processing
US6400722B1 (en) * 1997-10-14 2002-06-04 Lucent Technologies Inc. Optimum routing system
US6563793B1 (en) * 1998-11-25 2003-05-13 Enron Warpspeed Services, Inc. Method and apparatus for providing guaranteed quality/class of service within and across networks using existing reservation protocols and frame formats
US6587433B1 (en) * 1998-11-25 2003-07-01 3Com Corporation Remote access server for multiple service classes in IP networks

Also Published As

Publication number Publication date
US6987768B1 (en) 2006-01-17
JP2000349851A (ja) 2000-12-15

Similar Documents

Publication Publication Date Title
JP3403971B2 (ja) パケット転送装置
EP2904745B1 (en) Method and apparatus for accelerating forwarding in software-defined networks
CN101019405B (zh) 用于在通信网络中缓解拒绝服务的方法和系统
JP3993092B2 (ja) サービス拒否攻撃を防ぐための方法
US6118760A (en) Management of entries in a network element forwarding memory
US6907042B1 (en) Packet processing device
US7386876B2 (en) MAC address-based communication restricting method
US6798788B1 (en) Arrangement determining policies for layer 3 frame fragments in a network switch
EP1632063B1 (en) Method and appartus for packet claasification and rewriting
US7894441B2 (en) Packet forwarding device with packet filter
WO2002091674A1 (en) Network traffic flow control system
EP0353859A2 (en) Network transit prevention
WO2008080314A1 (fr) Procédé, moteur de retransmission et dispositif de communication pour la commande d'accès aux messages
JPWO2004107683A1 (ja) パケット中継装置及びパケット中継方法並びにプログラム
CN110278152B (zh) 一种建立快速转发表的方法及装置
US8305918B2 (en) Method of configuring the quality-of-service profile of a given stream at an access node of a packet communications network
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP
Cisco Configuring IP

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20030218

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080229

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090228

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090228

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100228

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120229

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130228

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130228

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140228

Year of fee payment: 11

LAPS Cancellation because of no payment of annual fees