JP4587868B2 - ルータおよびルータプログラム - Google Patents

ルータおよびルータプログラム Download PDF

Info

Publication number
JP4587868B2
JP4587868B2 JP2005121383A JP2005121383A JP4587868B2 JP 4587868 B2 JP4587868 B2 JP 4587868B2 JP 2005121383 A JP2005121383 A JP 2005121383A JP 2005121383 A JP2005121383 A JP 2005121383A JP 4587868 B2 JP4587868 B2 JP 4587868B2
Authority
JP
Japan
Prior art keywords
router
communication
prefix
external network
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005121383A
Other languages
English (en)
Other versions
JP2006303810A (ja
Inventor
泰弘 白崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2005121383A priority Critical patent/JP4587868B2/ja
Publication of JP2006303810A publication Critical patent/JP2006303810A/ja
Application granted granted Critical
Publication of JP4587868B2 publication Critical patent/JP4587868B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、IPv6ネットワークにおける、プレフィックス委譲技術に関する。
IPv6アドレスは、「プレフィックス」と、「インターフェースID」から構成される128ビットのアドレスである。「プレフィックス」はISP(Internet Services Provider)が管理するアドレスであるが、ISPがユーザルータにプレフィックスの設定を委譲するプレフィクス委譲(Prefix Delegation)技術が、非特許文献1に記載されている。
また、ネットワークに接続されたネットワーク機器同士を接続するための通信プロトコルとしてUPnP(Universal Plug and Play)がある。UPnPの目的は、ネットワーク機器に複雑な設定をすることなく、簡単にネットワーク機器同士を接続できるようにすることである。なお、UPnPについては、非特許文献2に記載されている。
IETF(Internet Engineering Task Force),"RFC3633(IPv6 Prefix Options for Dynamic Host Configuration Protocol)"、[Online]、[平成17年3月31日検索]、インターネット<URL:http://ietf.org/rfc/rfc3633.txt?number=3633> UPnP Forum、"Internet Gateway Device(IDG)V 1.0"、[Online]、[平成17年3月31日検索]、インターネット<URL:http://www.upnp.org/standardizeddcps/igd.asp>
さて、端末が、UPnPを用いて、ユーザルータに実装されたファイアウォールを操作する場合がある。これにより、端末は、ファイアウォールの保護を受けつつ、必要に応じてインターネットなどの外部ネットワークからの着信を受けることができる。ただし、端末が操作可能なユーザルータは、UPnPの仕様(制約)により、当該端末と同一のLAN(Local Area Network、リンク)に接続されているユーザルータに限られる。
図9は、各ルータと端末との接続形態の一例を模式的に示した図である。
図示する接続形態の場合、ユーザルータ2の配下のLANに接続されている端末4は、UPnPを用いてユーザルータ2のファイアウォールを操作することができる。また、追加ルータ3の配下のLANに接続されている端末5は、UPnPを用いて追加ルータ3のファイアウォールを操作することができる。しかしながら、UPnPの仕様により、追加ルータ3のLANに接続されている端末5は、ユーザルータ2を操作することはできない。
したがって、ユーザルータ2が上位ルータ1から委譲されたプレフィクスを追加ルータ3にさらに委譲する場合、ユーザは、追加ルータ3配下の各端末5のために、ユーザルータ2のファイアウォールを手動で設定変更する必要がある。また、ユーザは、上位ルータ1から委譲されるプレフィクスが変更する度に、手動で追加ルータ3配下の各端末5のための設定変更を行う必要がある。すなわち、ユーザの作業負担は大きい。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、追加ルータへのプレフィクスの再委譲を考慮したファイアウォールの設定を行うことにある。
上記課題を解決するために、第1の発明は、ルータであって、外部ネットワークから当該ルータに接続された内部ネットワークへの通信可否ルールが設定された通信可否記憶手段と、上位ルータから委譲された少なくとも1つのプレフィックスを受け付けるプレフィックス委譲受付手段と、前記受け付けたプレフィックスの中から、当該ルータ配下のLANに付与するプレフィックスを決定する決定手段と、前記外部ネットワークから前記決定したプレフィックス宛ての通信を拒否するように、前記通信可否記憶手段の通信可否ルールを変更する変更手段と、を備え、前記通信可否記憶手段の通信可否ルールは、初期状態において、前記外部ネットワークから当該ルータに接続された内部ネットワークへの通信を全て許可するように設定され、前記変更手段は、前記外部ネットワークからの通信を許可する設定となっている、前記決定したプレフィックス宛の通信可否ルールのみを、前記外部ネットワークからの通信を拒否するように変更する。
また、第2の発明は、ルータであって、外部ネットワークから当該ルータに接続された内部ネットワークへの通信可否ルールが設定された通信可否記憶手段と、上位ルータから委譲された少なくとも1つのプレフィックスを受け付けるプレフィックス委譲受付手段と、前記受け付けたプレフィックスの中から、当該ルータ配下のLANに付与するプレフックスを決定する決定手段と、前記受け付けたプレフィックスの一部を、当該ルータに接続された追加ルータに再委譲するプレフィックス再委譲手段と、前記外部ネットワークから前記再委譲したプレフィックス宛ての通信を許可するように、前記通信可否記憶手段の通信可否ルールを変更する変更手段と、を備え、前記通信可否記憶手段の通信可否ルールは、初期状態において、前記外部ネットワークから当該ルータに接続された内部ネットワークへの通信を全て拒否するように設定され、前記変更手段は、前記追加ルータ配下の端末が当該追加ルータへの操作を行うだけで前記外部ネットワークから前記追加ルータ配下の端末への通信を可能とするために、前記外部ネットワークからの通信を拒否する設定となっている、前記再委譲したプレフィックス宛の通信可否ルールのみを、前記外部ネットワークからの通信を許可するように変更する。
また、第3の発明は、ルータが実行するルータプログラムであって、前記ルータは、外部ネットワークから当該ルータに接続された内部ネットワークへの通信可否ルールが設定された通信可否記憶部と、処理部とを備え、前記処理部は、上位ルータから委譲された少なくとも1つのプレフィックスを受け付けるプレフィックス委譲受付ステップと、前記受け付けたプレフィックスの中から、当該ルータ配下のLANに付与するプレフィックスを決定する決定ステップと、前記外部ネットワークから前記決定したプレフィックス宛ての通信を拒否するように、前記通信可否記憶手段の通信可否ルールを変更する変更ステップと、を実行し、前記通信可否記憶部の通信可否ルールは、初期状態において、前記外部ネットワークから当該ルータに接続された内部ネットワークへの通信を全て許可するように設定され、前記変更ステップは、前記外部ネットワークからの通信を許可する設定となっている、前記決定したプレフィックス宛の通信可否ルールのみを、前記外部ネットワークからの通信を拒否するように変更する。
また、第4の発明は、ルータが実行するルータプログラムであって、前記ルータは、外部ネットワークから当該ルータに接続された内部ネットワークへの通信可否ルールが設定された通信可否記憶部と、処理部とを備え、前記処理部は、上位ルータから委譲された少なくとも1つのプレフィックスを受け付けるプレフィックス委譲受付ステップと、前記受け付けたプレフィックスの中から、当該ルータ配下のLANに付与するプレフックスを決定する決定ステップと、前記受け付けたプレフィックスの一部を、当該ルータに接続された追加ルータに再委譲するプレフィックス再委譲ステップと、前記外部ネットワークから前記再委譲したプレフィックス宛ての通信を許可するように、前記通信可否記憶部の通信可否ルールを変更する変更ステップと、を実行し、前記通信可否記憶部の通信可否ルールは、初期状態において、前記外部ネットワークから当該ルータに接続された内部ネットワークへの通信を全て拒否するように設定され、前記変更ステップは、前記追加ルータ配下の端末が当該追加ルータへの操作を行うだけで前記外部ネットワークから前記追加ルータ配下の端末への通信を可能とするために、前記外部ネットワークからの通信を拒否する設定となっている、前記再委譲したプレフィックス宛の通信可否ルールのみを、前記外部ネットワークからの通信を許可するように変更する。
本発明により、追加ルータへのプレフィクスの再委譲を考慮した、より適切なファイアウォールの設定を行うことができる。
以下、本発明の実施の形態について説明する。
図1は、本発明の一実施形態が適用された通信システムの全体構成図である。
図示する通信システムは、端末やサーバなどの外部システム6と、上位ルータ1と、ユーザルータ2と、追加ルータ3と、ユーザルータ2にLAN8を介して接続された複数のユーザ端末4と、追加ルータ3にLAN9を介して接続された複数のユーザ端末5とを備える。そして、ユーザ端末4、5は、各ルータ2、3および上位ルータ1を介して、インターネットなどの外部ネットワーク10に接続することができる。上位ルータ1は、ISP(Internet Services Provider)等によって運用され、ユーザ端末4、5を、外部ネットワーク10に接続する装置である。
ユーザルータ2は、ユーザが使用するルータであって、CPE(Customer Premises Equipment)またはブロードバンドルータともいう。そして、本実施形態のユーザルータ2は、ファイアウォールの機能を備え、外部ネットワーク10からLAN8への不正な侵入を防いでいる。なお、ユーザルータ2については後述する。
追加ルータ3は、ユーザルータ2に接続されるルータであって、ユーザルータ2と同様にファイアウォールの機能を備える。ユーザ端末4、5は、PC(Personal Computer)や情報家電などのコンピュータである。
次に、ユーザルータ2の機能について説明する。
図2は、ユーザルータ2の機能ブロック図である。ユーザルータ2は、図示するように、PD(Prefix Delegation)機能21と、RA(Router Advertisement)機能22と、ファイアウォール機能23と、UPnP(Universal Plug and Play)機能24と、を備える。
PD機能21は、PD制御部211と、PDクライアント部212と、PDサーバ部213とを備え、前述のプレフィックス委譲技術を用いて、当該ユーザルータ2に接続されたLAN8に付与するプレフィックスを特定する。なお、プレフィックスは、IPv6アドレスの一部のアドレスである。また、プレフィックス委譲技術については、IETF(Internet Engineering Task Force)が発行したドキュメントRFC3633に記述されている。PD制御部211は、PD機能21全体を制御する。PDクライアント部212は、上位ルータ1のPDサーバ部11から委譲されたプレフィックス群を受け付ける。PDサーバ部213は、上位ルータ1から委譲されたプレフィックス群の一部を、追加ルータ3に更に委譲する。
RA機能22は、RA出力部221と、設定ファイル222とを備える。設定ファイル222には、PD機能21が特定したプレフィクスが設定される。RA出力部221は、設定ファイル222に設定されたプレフィクス情報を、当該ユーザルータ2および各ユーザ端末4が接続されたLAN8に出力(送信)する。
ファイアウォール機能23は、フィルタ制御部231と、通信可否リスト232とを備え、外部ネットワーク10からの不正なアクセスを防止する。フィルタ制御部231は、通信可否リスト232を参照し、パケットのチェック(パケットフィルタリング)を行う。すなわち、フィルタ制御部231は、外部ネットワーク10から送信された不正なパケットを破棄する。通信可否リスト232には、フィルタ制御部231がパケットのチェックを行うためのフィルタルール(基準)が設定されている。本実施形態の通信可否リスト232には、ファイアウォールの内側(LAN8に接続されたユーザ端末4、5)からファイアウォールの外側(外部ネットワーク10に接続された外部システム6)への通信(着信)は許可しているが、ファイアウォールの外側からファイアウォールの内側への通信(着信)は一定の場合を除き許可しないものとする。なお、通信可否リスト232の具体例については後述する。
UPnP機能24は、UPnPデバイス部241を備え、当該ユーザルータ2と同一のLAN8に接続されたユーザ端末4または追加ルータ3からの操作指示を受け付け、ファイアウォール機能23の通信可否リスト232に設定されたフィルタルールを追加・変更する。なお、UPnPは、前述の通り、ネットワーク機器同士を容易に接続するための通信プロトコルである。なお、追加ルータ3は、図2に示すユーザルータ2と同様の機能を有するものとする。
上記説明した、ユーザルータ2、追加ルータ3、ユーザ端末4、5は、いずれも、CPUと、メモリと、外部記憶装置と、入力装置と、出力装置と、他の装置と接続するための通信制御装置と、これらの各装置を接続するバスと、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。例えば、ユーザルータ2、追加ルータ3、ユーザ端末4、5の各機能は、ユーザルータ2用のプログラムの場合はユーザルータ2のCPUが、追加ルータ3用のプログラムの場合は追加ルータ3のCPUが、そして、ユーザ端末4、5用のプログラムの場合はユーザ端末4、5のCPUが、それぞれ実行することにより実現される。なお、ユーザルータ2の設定ファイル222および通信可否リスト232には、ユーザルータ2のメモリまたは外部記憶装置が用いられる。また、外部記憶装置、入力装置および出力装置については、各装置が必要に応じて備えるものとする。
次に、上位ルータ1からIPv6アドレスのプレフィックスを委譲された際のユーザルータ2の処理について説明する。なお、ユーザルータ2は、以下に示す3つの方法により、プレフィックスの委譲に連携したファイアウォール(通信可否リスト232)の設定を行うものとする。
まず、第1の方法を用いたユーザルータ2の処理について説明する。
図3(a)は、第1の方法の通信可否リスト232に記述されたフィルタルール(初期状態)の一例である。図示するフィルタルールは、外部ネットワーク10から送信された全てのパケットについて、ファイアウォールの内側(LAN8に接続されたユーザ端末4、LAN9に接続されたユーザ端末5)への通過を許可する設定301、302となっている。
図4は、第1の方法を用いた場合のユーザルータ2の処理フロー図である。まず、ユーザルータ2のPDクライアント部212は、上位ルータ1から所定のプレフィックス群を受け付ける(S11)。具体的には、上位ルータ1のPDサーバ部11は、所定のビット数のプレフィクス群(例えば、2001:db8:1234::/48)を、ユーザルータ2に委譲するものとする。そして、ユーザルータ2のPDクライアント部212は、受け付けたプレフィックス群をPD制御部211に送出する。
そして、PD制御部211は、LAN8に付与するプレフィックスを決定する(S12)。具体的には、PD制御部211は、受け付けたプレフィクス群に、所定のビット数のアドレスを付加したプレフィックス(例えば、2001:db8:1234:0001::/64)を決定する。なお、この決定されたプレフィックスを用いた端末のアドレスの決定については、IETFが発行したドキュメントRFC2461、2462に記述されている。また、PD制御部211は、決定したプレフィックス以外の上位ルータ1から委譲されたプレフィックス群については、PDサーバ部213に保存しておくものとする。
そして、PD制御部211は、決定したプレフィックス宛ての外部ネットワーク10からの通信(着信)を拒否するためのルールを、通信可否リスト232に追加する(S13)。図3(b)は、PD制御部211が、新たなルール303を追加した後の通信可否リスト232の一例である。この新たなルール303を追加することにより、外部ネットワーク10から送信されるパケットは、所定の場合を除き破棄される(すなわち、着信を拒否される)。なお、図示する例では、ファイアウォールの内側から外部ネットワーク10へパケットを送信してセッションが確立された場合、または、UPnP機能24の操作により通信が許可された場合については、外部ネットワーク10からのパケットの通過を許可する設定となっている(302)。
これにより、ユーザルータ2のフィルタ制御部231は、当該ユーザルータ2にLAN8を介して接続されたユーザ端末4に対する外部からの不正な侵入を防止することができる。一方、ユーザルータ2のフィルタ制御部231は、PDサーバ部213に保存されたプレフィックス群(追加ルータ3に再委譲されるプレフィックス群)宛てパケットについては、初期状態と同様に、ファイアウォールの内側への通過を許可する。
そして、PD制御部211は、S12で決定したプレフィックスを、RA機能22の設定ファイル222に書き込む(S14)。そして、PD制御部211は、RA出力部221にRAパケットの出力を指示する。RA出力部221は、PD制御部211の指示を受け付けて、設定ファイル222に記憶されたプレフィクスを読み出し、RAパケットを生成する。RAパケットは、当該ユーザルータ2に接続されたユーザ端末4各々に、S12で決定したプレフィクスを通知するためにデータである。そして、RA出力部221は、生成したRAパケットを、LAN8を介して各ユーザ端末4に送信する(S15)。
ユーザ端末4各々は、RA出力部221が出力したRAパケットを受信し、当該RAパケットに含まれるプレフィクスを用いて128ビットのIPv6アドレスを生成する。これにより、各ユーザ端末4のIPv6アドレスが決定する。そして、IPv6アドレスが決定した後、各ユーザ端末4は、外部ネットワーク10を介して所定の外部システム6からの着信を可能にするために、ユーザルータ2のファイアウォール機能23(通信可否リスト232)に対して設定変更を指示する。
なお、ファイアウォールへの設定操作については、例えば特願2004−035573に、ユーザ端末4がUPnPの通信プロトコルを用いてファイアウォールのアクセス制御を行う方法が記載されている。特願2004−035573の方法を用いることにより、ユーザ端末4は、ユーザルータ2のUPnPデバイス部241に、外部システム6から当該ユーザ端末4への着信を可能にするための操作指示を送信する。UPnPデバイス部241は、ユーザ端末4から操作指示を受け付けて、外部システム6から当該ユーザ端末4への着信を可能にするルールを、通信可否リスト232に追加する。
また、ユーザルータ2のPDサーバ部213は、保存したプレフィックス群の一部(例えば、2001:db8:1234:1000::/52)を、必要に応じて追加ルータ3に再委譲する(S16)。プレフィックスを委譲された追加ルータ3は、図4に示すユーザルータ2と同様の処理を行う。すなわち、追加ルータ3のPD機能21は、ユーザルータ2からプレフィクス群を受け付け(委譲され)、当該追加ルータ3に接続されたLAN9に付与するプレフィクスを決定する。そして、PD機能21は、図3(a)と同様に初期状態が外部ネットワーク10からの着信を全て許可する設定となっている通信可否リストに、決定したプレフィクス宛ての着信のみを拒否するルールを追加する。
以上説明した第1の方法では、ユーザルータ2の通信可否リスト232の初期状態は、外部ネットワーク10からの通信(着信)を全て許可する設定となっている。そして、ユーザルータ2のPD制御部211は、S12で決定したプリフィクスを有するアドレスに対する着信のみを拒否するルールを、通信可否リスト232に追加する。これにより、ユーザルータ2のフィルタ制御部231は、当該ユーザルータ2にLAN8を介して接続されたユーザ端末4に対する外部からの不正な侵入を防止することができる。
なお、ユーザルータ2に接続されたユーザ端末4各々は、必要に応じて、外部システム6から当該ユーザ端末4への着信を可能にするための操作指示を、ユーザルータ2のUPnPデバイス部241を介してファイアウォール機能23に送信する。このユーザ端末4の操作指示により、外部システム6から当該ユーザ端末4宛ての着信が可能となる。すなわち、ユーザ端末4は、ファイアウォールの保護を受けつつ、必要に応じて外部システム6からの着信を受けることができる。
また、追加ルータ3の通信可否リストの初期状態も、ユーザルータ2と同様に、外部ネットワーク10からの通信(着信)を全て許可する設定となっている。そして、追加ルータ3は、ユーザルータ2と同様に、決定したプリフィクスを有するアドレスに対する着信のみを拒否するルールを、通信可否リストに追加する。これにより、追加ルータ3のフィルタ制御部は、当該追加ルータ3にLAN9を介して接続されたユーザ端末5に対する外部からの不正な侵入を防止することができる。
そして、追加ルータ3に接続されたユーザ端末5各々は、必要に応じて、外部システム6から当該ユーザ端末5への着信を可能にするための操作指示を、追加ルータ3のUPnPデバイス部に対して送信し、ファイアウォール機能を操作する。ここで、ユーザルータ2の通信可否リスト232では、追加ルータ3に再委譲されるプレフィックス宛てパケットについては、外部ネットワーク10からの通信(着信)を全て許可する設定となっている。したがって、追加ルータ3に接続されたユーザ端末5は、当該ユーザ端末5が直接接続された追加ルータ3を操作するだけで、外部システム6からの着信が可能となる。すなわち、ユーザがユーザルータ2の通信可否リスト232を手動で設定することなしに、ユーザ端末5は、ファイアウォールの保護を受けつつ、必要に応じて外部システム6からの着信を受けることができる。
次に、第2の方法を用いたユーザルータ2の処理について説明する。
図5(a)は、第2の方法の通信可否リスト232に記述されたフィルタルール(初期状態)の一例である。図示するフィルタルールは、外部ネットワーク10から送信された全てのパケットについて、ファイアウォールの内側(LAN8に接続されたユーザ端末4、5)への通過を、所定の場合を除き、拒否(パケットを破棄)する設定501、502となっている。すなわち、第2の方法の通信可否リスト232の初期状態は、第1の方法と異なり、外部からファイアウォールの内側への着信を基本的に禁止している。
図6は、第2の方法を用いた場合のユーザルータ2の処理フロー図である。まず、ユーザルータ2のPDクライアント部212は、図4のS11と同様に、上位ルータ1から所定のプレフィックス群(例えば、2001:db8:1234::/48)を受け付ける(S21)。そして、PD制御部211は、図4のS12と同様に、当該ユーザルータ2に接続されたLAN8に付与するプレフィックス(例えば、2001:db8:1234:0001::/64)を決定する(S22)。また、PD制御部211は、決定したプレフィックス以外の上位ルータ1から委譲されたプレフィックス群については、PDサーバ部213に保存しておくものとする。
そして、PDサーバ部213は、保存したプレフィックス群の一部(例えば、2001:db8:1234:1000::/52)を、必要に応じて追加ルータ3に再委譲する(S25)。そして、PDサーバ部213は、再委譲したプレフィックス群宛てのパケットの着信を許可するためのルールを、通信可否リスト232に追加する(S26)。
図5(b)は、PDサーバ部213が、新たなルール503を追加した後の通信可否リスト232の一例である。この新たなルール503が追加されることにより、再委譲したプレフィクス群宛てに外部ネットワーク10から送信されるパケットはファイアウォールの内側へ通過することができる。これにより、追加ルータ3にLAN9を介して接続されたユーザ端末5は、追加ルータ3のファイアウォールに対する操作指示を行うことで、外部システム6からの着信を受けることができる。
なお、S23およびS24は、第1の方法のS14およびS15(図4参照)と同様の処理である。すなわち、PD制御部211は、S14と同様に、決定したプレフィクスを設定ファイル222に書き込む(S23)。そして、RA出力部221は、S15と同様に、RAパケットを生成し、LAN8にRAパケットを送信する(S24)。そして、ユーザ端末4各々は、第1の方法と同様に、IPv6アドレスを生成し、外部システム6からの着信を可能にするために、ユーザルータ2のファイアウォール機能23(通信可否リスト232)に対して設定変更を指示する。
以上説明した第2の方法では、ユーザルータ2の通信可否リスト232の初期状態は、外部ネットワーク10からの通信(着信)を基本的に拒否する設定となっている。そして、ユーザルータ2のPDサーバ部213は、追加ルータ3に再委譲するプリフィクス宛ての着信のみを許可するルールを、通信可否リスト232に追加する。これにより、ユーザルータ2は、当該ユーザルータ2に接続されたユーザ端末4に対しては外部からの不正な侵入を防止するとともに、追加ルータ3に接続されたユーザ端末5に対する通信は許可する。
また、追加ルータ3の通信可否リストの初期状態も、ユーザルータ2と同様に、外部ネットワーク10からの通信(着信)を基本的に拒否する設定となっている。これにより、追加ルータ3のフィルタ制御部は、当該追加ルータ3に接続されたユーザ端末5に対する外部からの不正な侵入を防止することができる。
そして、追加ルータ3に接続されたユーザ端末5各々は、必要に応じて、外部システム6から当該ユーザ端末5への着信を可能にするための操作指示を、追加ルータ3のUPnPデバイス部に対して送信し、ファイアウォール機能を操作する。ここで、ユーザルータ2の通信可否リスト232では、追加ルータ3に再委譲されるプレフィックス宛てパケットについては、外部ネットワーク10からの通信(着信)を全て許可する設定となっている。したがって、追加ルータ3に接続されたユーザ端末5は、当該ユーザ端末5が直接接続された追加ルータ3を操作するだけで、外部システム6からの着信が可能となる。すなわち、ユーザがユーザルータ2の通信可否リスト232を手動で設定することなしに、ユーザ端末5は、ファイアウォールの保護を受けつつ、必要に応じて外部システム6からの着信を受けることができる。
次に、第3の方法を用いたユーザルータ2の処理について説明する。
図7(a)は、第3の方法の通信可否リスト232に記述されたフィルタルール(初期状態)の一例である。図示するフィルタルールは、外部ネットワーク10から送信された全てのパケットについて、ファイアウォールの内側(LAN8に接続されたユーザ端末4、LAN9に接続されたユーザ端末5)への通過を、所定の場合を除き、拒否(パケットを破棄)する設定701、702となっている。すなわち、第3の方法の通信可否リスト232の初期状態は、第1の方法と異なり、外部からファイアウォールの内側への着信を基本的に禁止している。
図8は、第3の方法を用いた場合のユーザルータ2および追加ルータ3の処理フロー図である。まず、ユーザルータ2のPDクライアント部212は、図4のS11と同様に、上位ルータ1から所定のプレフィックス群(例えば、2001:db8:1234::/48)を受け付ける(S31)。そして、PD制御部211は、図4のS12と同様に、当該ユーザルータ2に接続されたLAN8に付与するプレフィックス(例えば、2001:db8:1234:0001::/64)を決定する(S32)。また、PD制御部211は、決定したプレフィックス以外の上位ルータ1から委譲されたプレフィックス群については、PDサーバ部213に保存しておくものとする。そして、PDサーバ部213は、保存したプレフィックス群の一部(例えば、2001:db8:1234:1000::/52)を、必要に応じて追加ルータ3に再委譲する(S35)。
追加ルータ3のPDクライアント部は、再委譲されたプレフィクス群を受け付ける。そして、追加ルータ3のPDクライアント部は、再委譲されたプレフィクス群宛てのパケットの着信を許可するための操作指示を、当該追加ルータ3が備えるUPnPコントロールポイント部を介して、ユーザルータ2のUPnPデバイス部241に送信する(S36)。
ユーザルータ2のUPnPデバイス部241は、追加ルータ3からの操作指示を受け付けて、再委譲したプレフィクス群宛ての外部からの着信を許可するルールを、通信可否リスト232に追加する(S37)。
図7(b)は、UPnPデバイス部241が、新たなルール703を追加した後の通信可否リスト232の一例である。この新たなルール703が追加されることにより、再委譲したプレフィクス群宛てに外部ネットワーク10から送信されるパケットはファイアウォールの内側へ通過することができる。これにより、追加ルータ3に接続されたユーザ端末5は、追加ルータ3のファイアウォールに対する操作指示を行うことで、外部システム6からの着信を受けることができる。
なお、S33およびS34は、第1の方法のS14およびS15(図4参照)と同様の処理である。
以上説明した第3の方法では、ユーザルータ2の通信可否リスト232の初期状態は、外部ネットワーク10からの通信(着信)を基本的に拒否する設定となっている。また、追加ルータ3の通信可否リストの初期状態も、ユーザルータ2と同様に、外部ネットワーク10からの通信(着信)を基本的に拒否する設定となっている。そして、追加ルータ3のPDクライアント部は、再委譲されたプリフィクス宛ての着信を許可する操作指示を、UPnPを用いてユーザルータ2に送信する。これにより、ユーザルータ2は、当該ユーザルータ2に接続されたユーザ端末4に対しては外部からの不正な侵入を防止するとともに、追加ルータ3に接続されたユーザ端末5に対する通信は許可する。また、追加ルータ3のフィルタ制御部は、当該追加ルータ3に接続されたユーザ端末5に対する外部からの不正な侵入を防止することができる。
そして、追加ルータ3に接続されたユーザ端末5各々は、必要に応じて、外部システム6から当該ユーザ端末5への着信を可能にするための操作指示を、追加ルータ3のUPnPデバイス部に対して送信し、ファイアウォール機能を操作する。ここで、ユーザルータ2の通信可否リスト232では、追加ルータ3に再委譲されるプレフィックス宛てパケットについては、外部ネットワーク10からの通信(着信)を全て許可する設定となっている。したがって、追加ルータ3に接続されたユーザ端末5は、当該ユーザ端末5が直接接続された追加ルータ3を操作するだけで、外部システム6からの着信が可能となる。すなわち、ユーザがユーザルータ2の通信可否リスト232を手動で設定することなしに、ユーザ端末5は、ファイアウォールの保護を受けつつ、必要に応じて外部システム6からの着信を受けることができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、本実施形態では、ユーザルータ2と追加ルータ3とは、それぞれ同じ方法を用いることとして説明した。しかしながら、ユーザルータ2は第1の方法を用い、追加ルータ3は第2の方法を用いることとしてもよい。また、ユーザルータ2は第2の方法を用い、追加ルータ3は第1の方法を用いることとしてもよい。
本発明の一実施形態が適用された通信システムの全体構成を示す図である。 ユーザルータの機能を示す機能ブロック図である。 第1の方法の通信可否リストの一例を示す図である。 第1の方法のユーザルータの処理フロー図である。 第2の方法の通信可否リストの一例を示す図である。 第2の方法のユーザルータの処理フロー図である。 第3の方法の通信可否リストの一例を示す図である。 第3の方法のユーザルータの処理フロー図である。 ルータと端末の接続形態の一例を示す図である。
符号の説明
1:上位ルータ、2:ユーザルータ、21:PD機能、211:PD制御部、212:PDクライアント、213:PDサーバ、22:RA機能、221:RA出力部、222:設定ファイル、23:ファイアウォール機能、231:フィルタ制御部、232:通信可否リスト、24:UPnP機能、241:UPnPデバイス部、3:追加ルータ、4、5:ユーザ端末、6:外部システム、8、9:LAN、10:外部ネットワーク

Claims (4)

  1. ルータであって、
    外部ネットワークから当該ルータに接続された内部ネットワークへの通信可否ルールが設定された通信可否記憶手段と、
    上位ルータから委譲された少なくとも1つのプレフィックスを受け付けるプレフィックス委譲受付手段と、
    前記受け付けたプレフィックスの中から、当該ルータ配下のLANに付与するプレフィックスを決定する決定手段と、
    前記外部ネットワークから前記決定したプレフィックス宛ての通信を拒否するように、前記通信可否記憶手段の通信可否ルールを変更する変更手段と、を備え
    前記通信可否記憶手段の通信可否ルールは、初期状態において、前記外部ネットワークから当該ルータに接続された内部ネットワークへの通信を全て許可するように設定され、
    前記変更手段は、前記外部ネットワークからの通信を許可する設定となっている、前記決定したプレフィックス宛の通信可否ルールのみを、前記外部ネットワークからの通信を拒否するように変更すること
    を特徴とするルータ。
  2. ルータであって、
    外部ネットワークから当該ルータに接続された内部ネットワークへの通信可否ルールが設定された通信可否記憶手段と、
    上位ルータから委譲された少なくとも1つのプレフィックスを受け付けるプレフィックス委譲受付手段と、
    前記受け付けたプレフィックスの中から、当該ルータ配下のLANに付与するプレフックスを決定する決定手段と、
    前記受け付けたプレフィックスの一部を、当該ルータに接続された追加ルータに再委譲するプレフィックス再委譲手段と、
    前記外部ネットワークから前記再委譲したプレフィックス宛ての通信を許可するように、前記通信可否記憶手段の通信可否ルールを変更する変更手段と、を備え、
    前記通信可否記憶手段の通信可否ルールは、初期状態において、前記外部ネットワークから当該ルータに接続された内部ネットワークへの通信を全て拒否するように設定され、
    前記変更手段は、前記追加ルータ配下の端末が当該追加ルータへの操作を行うだけで前記外部ネットワークから前記追加ルータ配下の端末への通信を可能とするために、前記外部ネットワークからの通信を拒否する設定となっている、前記再委譲したプレフィックス宛の通信可否ルールのみを、前記外部ネットワークからの通信を許可するように変更すること
    を特徴とするルータ。
  3. ルータが実行するルータプログラムであって、
    前記ルータは、外部ネットワークから当該ルータに接続された内部ネットワークへの通信可否ルールが設定された通信可否記憶部と、処理部とを備え、
    前記処理部は、
    上位ルータから委譲された少なくとも1つのプレフィックスを受け付けるプレフィックス委譲受付ステップと、
    前記受け付けたプレフィックスの中から、当該ルータ配下のLANに付与するプレフィックスを決定する決定ステップと、
    前記外部ネットワークから前記決定したプレフィックス宛ての通信を拒否するように、前記通信可否記憶手段の通信可否ルールを変更する変更ステップと、を実行し、
    前記通信可否記憶部の通信可否ルールは、初期状態において、前記外部ネットワークから当該ルータに接続された内部ネットワークへの通信を全て許可するように設定され、
    前記変更ステップは、前記外部ネットワークからの通信を許可する設定となっている、前記決定したプレフィックス宛の通信可否ルールのみを、前記外部ネットワークからの通信を拒否するように変更すること
    を特徴とするルータプログラム。
  4. ルータが実行するルータプログラムであって、
    前記ルータは、外部ネットワークから当該ルータに接続された内部ネットワークへの通信可否ルールが設定された通信可否記憶部と、処理部とを備え、
    前記処理部は、
    上位ルータから委譲された少なくとも1つのプレフィックスを受け付けるプレフィックス委譲受付ステップと、
    前記受け付けたプレフィックスの中から、当該ルータ配下のLANに付与するプレフックスを決定する決定ステップと、
    前記受け付けたプレフィックスの一部を、当該ルータに接続された追加ルータに再委譲するプレフィックス再委譲ステップと、
    前記外部ネットワークから前記再委譲したプレフィックス宛ての通信を許可するように、前記通信可否記憶部の通信可否ルールを変更する変更ステップと、を実行し、
    前記通信可否記憶部の通信可否ルールは、初期状態において、前記外部ネットワークから当該ルータに接続された内部ネットワークへの通信を全て拒否するように設定され、
    前記変更ステップは、前記追加ルータ配下の端末が当該追加ルータへの操作を行うだけで前記外部ネットワークから前記追加ルータ配下の端末への通信を可能とするために、前記外部ネットワークからの通信を拒否する設定となっている、前記再委譲したプレフィックス宛の通信可否ルールのみを、前記外部ネットワークからの通信を許可するように変更すること
    を特徴とするルータプログラム。
JP2005121383A 2005-04-19 2005-04-19 ルータおよびルータプログラム Active JP4587868B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005121383A JP4587868B2 (ja) 2005-04-19 2005-04-19 ルータおよびルータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005121383A JP4587868B2 (ja) 2005-04-19 2005-04-19 ルータおよびルータプログラム

Publications (2)

Publication Number Publication Date
JP2006303810A JP2006303810A (ja) 2006-11-02
JP4587868B2 true JP4587868B2 (ja) 2010-11-24

Family

ID=37471585

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005121383A Active JP4587868B2 (ja) 2005-04-19 2005-04-19 ルータおよびルータプログラム

Country Status (1)

Country Link
JP (1) JP4587868B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5105124B2 (ja) * 2011-02-24 2012-12-19 Necアクセステクニカ株式会社 ルータ装置、プレフィクス管理にもとづくパケット制御方法およびプログラム
JP6821311B2 (ja) * 2016-03-11 2021-01-27 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法及び中継プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003348116A (ja) * 2002-05-28 2003-12-05 Hitachi Ltd 家庭内ネットワーク向けアドレス自動設定方式
JP2004221879A (ja) * 2003-01-14 2004-08-05 Matsushita Electric Ind Co Ltd 通信方法、通信プログラムおよび中継装置
JP2005033250A (ja) * 2003-07-07 2005-02-03 Matsushita Electric Ind Co Ltd 中継装置とポートフォワード設定方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003348116A (ja) * 2002-05-28 2003-12-05 Hitachi Ltd 家庭内ネットワーク向けアドレス自動設定方式
JP2004221879A (ja) * 2003-01-14 2004-08-05 Matsushita Electric Ind Co Ltd 通信方法、通信プログラムおよび中継装置
JP2005033250A (ja) * 2003-07-07 2005-02-03 Matsushita Electric Ind Co Ltd 中継装置とポートフォワード設定方法

Also Published As

Publication number Publication date
JP2006303810A (ja) 2006-11-02

Similar Documents

Publication Publication Date Title
US9762541B2 (en) Intelligent sorting for N-way secure split tunnel
JP4852502B2 (ja) アクセスサーバ及び接続制限方法
JP4310193B2 (ja) 移動クライアント装置をインターネットに接続する方法およびシステム
EP1987629B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
US6801528B2 (en) System and method for dynamic simultaneous connection to multiple service providers
JP4327575B2 (ja) 動的ファイアウォールシステム
RU2269873C2 (ru) Беспроводное устройство инициализации
JP5031826B2 (ja) 分散型ファイアウォールの実装および制御
JP4909875B2 (ja) パケット中継装置
US20060056420A1 (en) Communication apparatus selecting a source address
US20070271453A1 (en) Identity based flow control of IP traffic
AU2003263771B2 (en) System and method for communicating in a load balancing environment
WO2010054471A1 (en) Method and apparatus for network port and network address translation
KR20040075380A (ko) 억세스 가상 사설망의 데이터 암호화 방법
KR101323852B1 (ko) 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법
JP2006185194A (ja) サーバ装置、通信制御方法及びプログラム
JP4587868B2 (ja) ルータおよびルータプログラム
US8745691B1 (en) System, method, and computer program product for preventing communication of data over a network connection
JP5206677B2 (ja) 通信装置及び通信方法
JP2007150633A (ja) 無線lanアクセスポイント、これを用いたipアドレスの管理方法並びに管理プログラム
JP4827868B2 (ja) ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
JP4744479B2 (ja) 優先制御システム、優先設定制御システム、及び優先制御方法
Phatak Spread-Identity mechanisms for DOS resilience and Security.
JP3802464B2 (ja) 通信ネットワークシステム、サービス処理制御方法、プロバイダサーバおよびサービス処理装置
KR101362290B1 (ko) 무선 인터넷 접속 시스템 및 그 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100330

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100615

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100812

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100831

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100907

R150 Certificate of patent or registration of utility model

Ref document number: 4587868

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130917

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140917

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250