JP4615504B2 - ネットワーク中継システム、および、ネットワーク中継システムにおける方法 - Google Patents

ネットワーク中継システム、および、ネットワーク中継システムにおける方法 Download PDF

Info

Publication number
JP4615504B2
JP4615504B2 JP2006321464A JP2006321464A JP4615504B2 JP 4615504 B2 JP4615504 B2 JP 4615504B2 JP 2006321464 A JP2006321464 A JP 2006321464A JP 2006321464 A JP2006321464 A JP 2006321464A JP 4615504 B2 JP4615504 B2 JP 4615504B2
Authority
JP
Japan
Prior art keywords
data
network relay
marking
abnormal
route information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006321464A
Other languages
English (en)
Other versions
JP2008136049A (ja
Inventor
晴大 加賀野井
毅 相本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2006321464A priority Critical patent/JP4615504B2/ja
Priority to US11/831,073 priority patent/US8340092B2/en
Publication of JP2008136049A publication Critical patent/JP2008136049A/ja
Application granted granted Critical
Publication of JP4615504B2 publication Critical patent/JP4615504B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/555Error detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3009Header conversion, routing tables or routing tags
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/557Error correction, e.g. fault recovery or fault tolerance

Description

本発明は、ネットワーク中継システム、および、ネットワーク中継システムにおける方法に関する。
インターネット等のネットワークにおいて、ネットワーク経由で異常なデータを送信することによりネットワーク機器やサーバシステムを攻撃する行為が脅威となっている。こうした脅威に対処するため、ネットワークを相互接続するネットワーク中継システムにおいて、異常なデータの可能性の有無を検出すると、当該可能性のあるデータを、当該データが異常なデータであるか否かを精査する検査装置に転送することが開示されている(例えば、特許文献1)。
特開2005−5927号公報
しかしながら、上記技術では、具体的に異常である可能性があるデータを、どのように検査装置に転送するかについて開示されていない。このように、異常である可能性のあるデータを効率良く検査装置に転送する技術は、確立されていない。このため、異常である可能性のあるデータを検査装置に転送するために、多くの時間やリソースを要したり、回線の帯域を無駄遣いしてしまうおそれがあった。なお、このような課題は、異常である可能性のあるデータを検査装置に転送する場合に限らず、特定の処理の対象であるデータをデータ収集装置に転送する際に共通する課題であった。
本発明は、上記課題を解決するためになされたものであり、ネットワーク中継システムにおいて、特定の処理の対象であるデータを、効率良く検査装置などの収集装置に転送することを目的とする。
上記課題の少なくとも一部を解決するため、本発明の第1の態様は、宛先を指定する宛先情報を有するデータの中継を行うネットワーク中継システムを提供する。第1の態様にかかるネットワーク中継システムは、前記データのうち、特定の処理の対象である第1のデータを収集するためのデータ収集装置と、前記データ収集装置と直接または間接に接続された1または複数のネットワーク中継装置と、を備える。前記1または複数のネットワーク中継装置のうち少なくとも一つは、受信された前記データが、前記第1のデータであるか、前記特定の処理の対象でない第2のデータであるかを判定する判定部と、前記第1のデータであると判定されたデータに、第1のマーキングを行うマーキング部と、を備える。前記1または複数のネットワーク中継装置は、それぞれに、受信された前記データに前記第1のマーキングがされている場合には、受信された前記データを、前記データ収集装置に送るための第1の転送処理を実行し、受信された前記データに前記第1のマーキングがされていない場合には、受信された前記データを、前記指定された宛先に送るための第2の転送処理を実行する転送処理部を備える。
第1の態様に係るネットワーク中継システムによれば、特定の処理の対象であるデータに第1のマーキングを行い、各ネットワーク中継装置は、第1のマーキングの有無に応じて異なる転送処理を実行する。この結果、ネットワーク中継装置全てが、特定の処理の対象であるか否かを判定する必要がなく、効率良く特定の処理の対象であるデータをデータ収集装置に転送することができる。
第1の態様に係るネットワーク中継システムにおいて、前記1または複数のネットワーク中継装置は、それぞれに、第1の経路情報と、第2の経路情報とを格納した格納部を備え、前記転送処理部は、前記第1の経路情報を参照して前記第1の転送処理を実行し、前記第2の経路情報を参照して前記第2の転送処理を実行しても良い。こうすれば、各ネットワーク中継装置は、第1のマーキングがなされたデータを転送するための第1の経路情報を予め持っているので、速やかに第1のマーキングがなされたデータをデータ収集装置に転送することができる。
第1の態様に係るネットワーク中継システムは、複数の前記データ収集装置を備え、前記第1の経路情報は、各データ収集装置にデータを転送するための複数種類の経路情報を含んでも良い。こうすれば、各データ収集装置に速やかに第1のマーキングがなされたデータを転送することができる。
第1の態様に係るネットワーク中継システムにおいて、前記第1の経路情報に含まれる複数種類の経路情報に対応する複数種類の前記第1のマーキングが用いられ、前記転送処理部は、前記第1の経路情報に含まれる複数種類の経路情報のうち、受信されたデータにされている前記第1のマーキングの種類に対応する経路情報を参照して前記第1の処理を実行しても良い。こうすれば、第1のマーキングの種類に応じて、すみやかに複数のデータ収集装置のいずれかに第1のマーキングがなされたデータを転送することができる。
第1の態様に係るネットワーク中継システムにおいて、前記第1の経路情報は静的に設定される。こうすれば、ネットワーク中継システムにおけるデータ収集装置の配置に合わせて、第1の経路情報を自由に設定できるので、データ収集装置をネットワーク中継システム内に最適配置することができる。
第1の態様に係るネットワーク中継システムにおいて、前記1または複数のネットワーク中継装置は、レイヤ3中継装置であり、前記1または複数のネットワーク中継装置の前記転送処理部は、前記第1のマーキングがされているデータと、前記第1のマーキングがされていないデータとを、異なる仮想プライベートネットワークに属するデータとして扱うことにより、前記第1の転送処理および前記第2の転送処理を実行する。こうすれば、仮想プライベートネットワークの仕組みを用いて、容易に、第1のマーキングがなされたデータをデータ収集装置に転送することができる。
第1の態様に係るネットワーク中継システムにおいて、前記第1のマーキングは、ネットワーク層のヘッダに行われても良く、データリンク層のヘッダに行われても良い。こうすれば、第1のマーキングによるデータ量の増加を抑制できるので、マーキングのために通信帯域を無駄に使用することを抑制することができる。
第1の態様に係るネットワーク中継システムにおいて、前記1または複数のネットワーク中継装置は、レイヤ2中継装置であり、前記1または複数のネットワーク中継装置の前記転送処理部は、前記第1のマーキングがされているデータと、前記第1のマーキングがされていないデータとを、異なる仮想ローカルエリアネットワークに属するデータとして扱うことにより、前記第1の転送処理および前記第2の転送処理を実行しても良い。こうすれば、仮想ローカルエリアネットワークの仕組みを用いて、容易に、第1のマーキングがなされたデータをデータ収集装置に転送することができる。
第1の態様に係るネットワーク中継システムにおいて、前記第1のデータは、異常である可能性があるデータであり、前記特定の処理は、前記第1のデータが異常であるか否かを判断する処理であっても良い。こうすれば、異常である可能性があるデータを効率良くデータ収集装置に転送することができる。
第1の態様に係るネットワーク中継システムにおいて、前記データ収集装置は、収集された前記第1のデータを検査して、前記第1のデータが異常であるか否かを判断する検査部を備え、異常でないと判断された前記第1のデータについて、前記第1のマーキングを解除して、前記異常でないと判断された前記第1のデータを前記1または複数のネットワーク中継装置のいずれかに転送しても良い。こうすれば、検査の結果、異常でなかったデータについては、指定された宛先に正しく転送することができる。
第1の態様に係るネットワーク中継システムにおいて、前記異常でないと判断された前記第1のデータについて、前記第1のマーキングを解除すると共に、異常でないことを示す第2のマーキングを行っても良い。こうすれば、各ネットワーク中継装置は、当該データが異常でないことを認識して処理を進めることができる。
本発明の第2の態様は、宛先を指定する宛先情報を有するデータの中継を行うネットワーク中継システムであって、前記データのうち、異常である可能性がある第1のデータを収集するためのデータ収集装置と、前記データ収集装置と直接または間接に接続された1または複数のネットワーク中継装置と、を備えるネットワーク中継システムにおける方法を提供する。第2の態様に係る方法は、前記1または複数のネットワーク中継装置のうち少なくとも一つにおいて、受信された前記データが、前記第1のデータであるか、異常である可能性がない第2のデータであるかを判定し、前記第1のデータであると判定されたデータに、第1のマーキングを行い、前記1または複数のネットワーク中継装置のそれぞれにおいて、受信された前記データに前記第1のマーキングがされている場合には、受信された前記データを、前記データ収集装置に送るための第1の転送処理を実行し、受信された前記データに前記第1のマーキングがされていない場合には、受信された前記データを、前記指定された宛先に送るための第2の転送処理を実行する。
第2の態様に係る方法によれば、第1の態様に係るネットワーク中継システムと同様の作用・効果を得ることができる。また、第2の態様に係る方法は、第1の態様に係るネットワーク中継システムと同様に、種々の態様で実現され得る。
なお、本発明は、さらに、種々の態様で実現することが可能であり、例えば、上記第1の態様に係るネットワーク中継システムを構成するネットワーク中継装置や、上記第1の態様に係るネットワーク中継システムを構成するデータ収集装置として実現することができる。また、これらのシステムや装置、方法の態様に加えて、システム、装置または方法を構築するためのコンピュータプログラム、そのコンピュータプログラムを記録した記録媒体、そのコンピュータプログラムを含み搬送波内に具現化されたデータ信号、等の態様で実現することができる。
A.実施例:
・ネットワーク中継システムの構成:
次に、本発明の実施の形態を実施例に基づき説明する。図1〜図4を参照して、実施例に係るネットワーク中継システムの構成について説明する。図1は、実施例に係るネットワーク中継システムの概略構成を示すブロック図である。図2は、実施例に係るネットワーク中継システムに含まれるネットワーク中継装置の内部構成を示すブロック図である。図3は、実施例に係るネットワーク中継システムに含まれる収集装置200の内部構成を示すブロック図である。図4は、実施例において各ネットワーク中継装置に格納されたルーティングテーブルを概念的に示す図である。図5は、実施例において第2の中継装置に格納されたACLテーブルの一例を概念的に示す図である。図6は、イーサネットフレームのデータ構造を概念的に示す図である。
図1に示すように、本実施例に係るネットワーク中継システム1000は、3つのネットワーク中継装置、すなわち、第1の中継装置100aと第2の中継装置100bと第3の中継装置100cとを含んでいる。以下では、3つのネットワーク中継装置を区別する必要がない場合は、符号の末尾のアルファベットを省略し、ネットワーク中継装置100と記述する。さらに、ネットワーク中継システム1000は、収集装置200を含んでいる。
ネットワーク中継装置100は、図2に示すように、複数の物理ポート110と、送受信処理回路120と、フレーム処理回路130と、装置制御部140とを含んでいる。
物理ポート110は、同軸ケーブルや光ファイバなどの回線CVを介してネットワークに接続するためのインタフェースである。物理ポート110は、本実施例では、イーサネット(登録商標)規格に準拠したポートである。
送受信処理回路120は、各物理ポート110と接続され、物理ポート110を介して受信された電気信号を解釈して、データリンク層において用いられるデータの固まり(以下、フレームと呼ぶ。本実施例では、イーサネット(登録商標)・フレームである。)に変換する受信処理を行う。送受信処理回路120は、変換したイーサネットフレームをフレーム処理回路130に送る。また、送受信処理回路120は、フレーム処理回路130から転送すべきイーサネットフレームを受け取り、イーサネットフレームを電気信号に変換して後述する対応ポートから送信する送信処理を行う。
ここで、図6を参照してイーサネットフレームについて説明する。イーサネットフレーム800は、ペイロード830と、IPヘッダ820と、イーサネットヘッダ810を含んでいる。ペイロード830は、転送対象であるデータ本体である。IPヘッダ820は、ネットワーク層における処理に用いられる情報が記述されたヘッダである。IPヘッダ820は、図6に示すように、TOS(Type of Service)フィールドと、送信元IPアドレス(以下、SIPとも呼ぶ。)と、宛先IPアドレス(以下、DIPとも呼ぶ。)を含んでいる。TOSフィールドには、例えば、そのIPパケットの優先度を指定する情報を始め、IPパケットのタイプを指定する情報が記述される。イーサネットヘッダ810は、宛先MACアドレス(以下、DMACとも呼ぶ。)と、送信元MACアドレス(以下、SMACとも呼ぶ。)と、COS(Class of Service)フィールドと、VLANーIDを含んでいる。COS(Class of Service)フィールドや、VLANーIDは、省略される場合もある。
フレーム処理回路130は、転送処理部131と、フィルタ処理部132と、メモリ134とを備えている。メモリ134には、ルーティングテーブル135と、ACL(Access Control List)テーブル136が格納されている。ルーティングテーブル135は、宛先IPアドレスと転送先装置を対応付ける情報が記述されたテーブルである。ACLテーブル136は、フィルタ処理部132がイーサネットフレームをフィルタリングする際に用いるテーブルである。ACLテーブル136は、全てのネットワーク中継装置100に設定される必要はなく、設定されていない場合もある。ルーティングテーブル135と、ACLテーブル136については、さらに、後述する。
転送処理部131およびフィルタ処理部132は、後述する本回路の機能を実現するために設計されたASIC(Application Specific Integrated Circuit:特定用途向け集積回路)であり、後述する本回路の機能をハードウエア処理により実行する。転送処理部131は、送受信処理回路120から受け取ったイーサネットフレームを転送するための転送処理を行う回路である。具体的には、転送処理部131は、そのイーサネットフレームに含まれる宛先IPアドレスに基づいて、イーサネットフレームを転送する転送先装置を特定する。転送先装置の特定は、後述するように、メモリ134に格納されたルーティングテーブル135を参照して実行される。転送処理部131は、さらに、特定された転送先装置のMACアドレスを特定すると共に、特定された転送先装置にイーサネットフレームを転送するための対応ポートを特定する。かかるMACアドレスおよび対応ポートの特定は、転送先装置のMACアドレスと対応ポートを対応付ける情報が記述されたARPテーブル(図示省略)を参照して実行される。転送処理部131は、イーサネットフレームに含まれる宛先MACアドレスを特定された転送先装置のMACアドレスに変更し、変更後のイーサネットフレームを、特定された対応ポートを指定して送受信処理回路120に送信する。この結果、イーサネットフレームは、対応ポートから転送先装置へと転送される。転送処理部131により対応ポートを特定して行われる転送は、OSI(Open Systems Interconnection)参照モデルの第3層であるネットワーク層のアドレスであるIPアドレスに基づいて行われるため、以下、レイヤ3転送と呼ぶ。
フィルタ処理部132は、上述したACLテーブル136が設定されている場合に、ACLテーブル136を参照して、イーサネットフレームのフィルタリングを行う回路である。また、フィルタ処理部132は、ACLテーブル136に記述された条件に合致したイーサネットフレームに後述するマークキングを行う。
装置制御部140は、ネットワーク中継装置100全体を制御する。装置制御部140は、周知の計算機であり、制御プログラムを実行することにより、装置制御部としての機能を実現する。装置制御部140は、RIP(Routing Information Protocol)や、OSPF(Open Shortest Path First)などのルーティングプロトコルの処理を行う機能や、ルーティングテーブルを作成して、フレーム処理回路130のメモリ134に格納する機能などを実行する。
収集装置200は、異常なデータである可能性があるイーサネットフレーム(以下、第1のイーサネットフレームと呼ぶ。)を収集し、収集された第1のイーサネットフレームが、本当に異常なデータであるか否かを精査するための装置である。収集装置200は、ネットワーク中継装置100と類似した構成を有している。収集装置200は、図3に示すように、複数の物理ポート210と、送受信処理回路220と、フレーム検査回路230と、装置制御部140とを含んでいる。
物理ポート210は、ネットワーク中継装置100の物理ポート110と同一であるのでその説明を省略する。
送受信処理回路220は、ネットワーク中継装置100の送受信処理回路120と同様に、物理ポート210を介して受信された電気信号を解釈して、イーサネットフレームに変換し、フレーム検査回路230に送る。また、送受信処理回路120は、フレーム検査回路230から転送すべきイーサネットフレームを受け取り、イーサネットフレームを電気信号に変換して対応ポートから送信する送信処理を行う。
フレーム検査回路230は、異常データ検査部231と、メモリ234とを備えている。メモリ234には、異常データパターンテーブル235が格納されている。異常データパターンテーブルには、トロイの木馬などの悪質なコード、ウイルス、DDOS(Distributed Denial of Service)攻撃のためのフレームのパターンなど、異常なイーサネットフレームの特徴が記録されたテーブルである。
異常データ検査部231は、ネットワーク中継装置100の転送処理部131と同様に、本回路の機能を実現するために設計されたASICである。異常データ検査部231は、送受信処理回路220から受け取った第1のイーサネットフレームの内容を精査して、第1のイーサネットフレームが、異常なイーサネットフレームであるか否かを判断する。また、異常データ検査部231は、後述するように、異常なイーサネットフレームであると判断した第1のイーサネットフレームを廃棄や、異常なイーサネットフレームでないと判断した第1のイーサネットフレームのマーキングの解除、再転送を行う。
装置制御部240は、収集装置200全体を制御する。装置制御部240は、周知の計算機であり、制御プログラムを実行することにより、装置制御部としての機能を実現する。装置制御部240は、例えば、異常データパターンテーブル235のアップデートなどを実行する。
図1に戻って、説明を続ける。図1において、黒丸は各装置が備えるポートを示している。例えば、各ネットワーク中継装置100a〜100cのポートP1〜P3は、図2における物理ポート110のいずれかに対応しており、収集装置200のポートP1は、図3における物理ポート210のいずれかに対応している。
図1に示すように、ネットワーク中継システム1000に含まれる3つのネットワーク中継装置100のうち、第1の中継装置100aのポートP1は、システム外部の端末500A(端末A)と、外部ネットワークONT1を介して接続されている。同様に、第3の中継装置100cのポートP2は、システム外部の端末500B(端末B)と、外部ネットワークONT2を介して接続されている。端末500A、500Bに代えて、周知のルータや、スイッチと接続されていても良い。
第1の中継装置100aのポートP1と第2の中継装置100bのポートP3、第2の中継装置100bのポートP2と第3の中継装置100cのポートP1、第1の中継装置100aのポートP2と第3の中継装置100cのポートP3は、それぞれ内部ネットワークINT1、INT2、INT3を介して接続されている。また、第1の中継装置100aのポートP3は、内部ネットワークINT4を介して収集装置200のポートP1と接続されている。このように、第1の中継装置100aは、直接的に、収集装置200と接続されている。一方、第2の中継装置100bおよび第3の中継装置100cは、間接的に、すなわち、1または複数の他のネットワーク中継装置を介して(本実施例では、第1の中継装置100aを介して)、収集装置200と接続されている。
次に、図4を参照して、各ネットワーク中継装置100に格納されているルーティングテーブル135の内容について説明する。第1の中継装置100a、第2の中継装置100b、第3の中継装置100cに格納されているルーティングテーブルをそれぞれ、符号135a、135b、135cを用いて表す。図4に示すように、ルーティングテーブル135a、135b、135cには、宛先IPアドレスと転送先との対応関係を示す経路情報が記述されている。転送先としては、実際は、転送先装置のポートのIPアドレスが記述されることが多いが、図4では、理解の容易のため転送先装置の符号を記述している。図4に示すように、各ルーティングテーブル135a〜135cは、それぞれ、2つの仮想プライベートネットワーク(VPN:Virtual Private Network)用に、2種類の経路情報を含んでいる。すなわち、識別ID1のVPN用の第1の経路情報と、識別ID0のVPN用の第2の経路情報である。
第1の経路情報は、宛先IPアドレスに関わらず、処理対象のイーサネットフレームが収集装置200に転送されるように記述された特殊な経路情報である。第1の経路情報は、例えば、システム管理者により静的に設定される。
第2の経路情報は、宛先IPアドレスに応じて、最終的に宛先IPアドレスを有する装置に転送されるように記述された通常の経路情報である。図4において、IP_Aは、端末500AのIPアドレスを表し、IP_Bは、端末500BのIPアドレスを示している。第2の経路情報は、静的に設定されても良いし、各種ルーティングプロトコルにより動的に設定されても良い。
次に、図5を参照して、ACLテーブル136について説明する。ACLテーブル136は、上述したように全てのネットワーク中継装置100a〜100cに設定されている必要はなく、本実施例では、第2の中継装置100bにのみ設定されているものとする。図5には、第2の中継装置100bに設定されているACLテーブル136bを示している。ACLテーブル136bは、ルール(条件)を記述するエントリと、そのルールに合致した場合に行うアクションを記述するエントリとを含んでいる。ルールを記述するエントリには、異常である可能性があるイーサネットフレームを判定するためのルールが記述される。記述されるルールには、例えば、送信元IPアドレス(SIP)が、詐称送信元IPアドレスとして用いられることがあるもの(例えば、0.0.0.0や、ブロードキャストアドレスなど)であること、宛先IPアドレス(DIP)が、特定のアドレス(例えば、DDoS攻撃を頻繁に受けるサーバのIPアドレス)であることなどがある。また、記述されるルールは、許可されていないアクセスのフレームであること(例えば、宛先IPアドレスと送信元IPアドレスによりルールを記述)、DDoS攻撃の可能性のあるフレームであること(例えば、ICMPを利用しているフレーム)、特定アプリケーション宛または特定アプリケーションからのフレームであること(例えば、TCPヘッダの送信元ポート番号、宛先ポート番号などでルールを記述)などであっても良い。そして、これらのルールに合致した場合に行われるアクションは、本実施例では、マーキングと記述される。マーキングについては、後述する。
・ネットワーク中継システムの動作:
図7〜図11を参照して、ネットワーク中継システム1000の動作について説明する。図7は、各ネットワーク中継装置の動作ステップを示すフローチャートである。図8は、各ネットワーク中継装置における転送処理の処理ステップを示すフローチャートである。図9は、収集装置の動作ステップを示すフローチャートである。図10は、実施例におけるネットワーク中継システムの動作例を示す第1の図である。図11は、実施例におけるネットワーク中継システムの動作例を示す第2の図である。
まず、各ネットワーク中継装置100a〜100cにおける動作を説明する。どのネットワーク中継装置100a〜100cも動作は同一であるので、各ネットワーク中継装置を区別するアルファベットを省略し、ネットワーク中継装置100の動作として説明する。図7に示すように、ネットワーク中継装置100が自身を宛先とするMACアドレスを有するイーサネットフレームを物理ポート110のいずれかを介して受信する(ステップS110)。イーサネットフレームを受信すると、ネットワーク中継装置100のフレーム処理回路130において、フィルタ処理部132は、メモリ134にACLテーブル136が設定されているか否かを判断する(ステップS120)。ACLテーブル136が設定されていない場合には(ステップS120:NO)、フレーム処理回路130の転送処理部131による転送処理に移る(ステップS150)。
一方、メモリ134にACLテーブル136が設定されていると判断すると(ステップS120:YES)、フィルタ処理部132は、受信されたイーサネットフレームがマーキングの条件に合致するか否かを判定する(ステップS130)。すなわち、フィルタ処理部132は、図5を参照して説明したACLテーブル136に記述されたルールに合致するか否かを判定する。
受信されたイーサネットフレームがマーキングの条件に合致しないと判定されると(ステップS130:NO)、フレーム処理回路130の転送処理部131による転送処理に移る(ステップS150)。
一方、受信されたイーサネットフレームがマーキングの条件に合致しないと判定されると(ステップS130:YES)、すなわち、受信されたイーサネットフレームが異常である可能性があると判断されると、フィルタ処理部132は、当該イーサネットフレームに異常の可能性があることを示すマーキング(以下、異常マーキングと呼ぶ。)を行う。本実施例では、異常マーキングは、当該イーサネットフレームの送信元MACアドレスの全部または一部を所定の値に書き換えることにより行う。異常マーキングがなされると、転送処理部131による転送処理に移る(ステップS150)。
転送処理部131による転送処理について、図8を参照して説明する。まず、転送処理部131は、当該イーサネットフレームに異常マーキングがされているか否かを判断する(ステップS210)。すなわち、本実施例では、当該イーサネットフレームの送信元MACアドレスに所定の書換が行われているか否かを判断する。
転送処理部131は、当該イーサネットフレームに異常マーキングがされていると判断すると(ステップS210:YES)、当該イーサネットフレームを、識別ID1のVPN(VPN−1)に属するフレームとして転送処理を行う(ステップS220)。すなわち、転送処理部131は、図4を参照して説明したルーティングテーブル135のうち、静的に設定された第1の経路情報に従って、ルーティングを行い、イーサネットフレームの転送を行う。この結果、当該イーサネットフレームは、最終的に収集装置200に転送されるようにルーティングされる。
一方、当該イーサネットフレームに異常マーキングがされていないと判断すると(ステップS210:NO)、当該イーサネットフレームを、識別ID0のVPN(VPN−0)に属するフレームとして転送処理を行う(ステップS230)。すなわち、転送処理部131は、図4を参照して説明したルーティングテーブル135のうち、通常の経路情報である第2の経路情報に従って、ルーティングを行い、イーサネットフレームの転送を行う。この結果、当該イーサネットフレームは、最終的に宛先IPアドレスとして記述されたIPアドレスを有する装置に転送されるようにルーティングされる。
次に、収集装置200の動作について、図9を参照して説明する。収集装置200は、自身を宛先とするMACアドレスを有するイーサネットフレームを物理ポート210のいずれかを介して受信する(ステップS310)。ここで、収集装置200に転送されてくるイーサネットフレームは、上述したネットワーク中継装置100の動作から解るように、異常マーキングがされているイーサネットフレームである。
イーサネットフレームを受信すると、収集装置200のフレーム検査回路230において、異常データ検査部231は、当該イーサネットフレームが異常なイーサネットフレームであるか否かを判断する(ステップS320)。具体的には、異常データ検査部231は、当該イーサネットフレームの内容を精査して、上述した異常データパターンテーブル235と比較することにより、異常なイーサネットフレームであるか否かを判断する。
異常データ検査部231は、当該イーサネットフレームが異常なイーサネットフレームであると判断すると(ステップS320:YES)、当該イーサネットフレームを廃棄し(ステップS340)、処理を終了する。
一方、異常データ検査部231は、当該イーサネットフレームが異常なイーサネットフレームでないと判断すると(ステップS320:NO)、当該イーサネットフレームの異常マーキングを解除する(ステップS330)。具体的には、当該イーサネットフレームの送信元MACアドレスを自身に割り当てられた通常のMACアドレスに書き換える。
異常データ検査部231は、当該当該イーサネットフレームの異常マーキングを解除すると、当該イーサネットフレームを受信したポートから転送する(ステップS350)。この結果、本実施例では、収集装置200から第1の中継装置100aに異常マーキングが解除されたイーサネットフレームが戻される。
ついで、理解の容易のため、ネットワーク中継システム1000の動作例を、図10および図11を参照して説明する。動作例として、端末500Aから端末500B宛にフレームP(宛先IPアドレスがIP_Bであるフレーム)が送られた場合を例として説明する。図10および図11において、白抜きの矢印は、通常の転送、例えば、VPN−0に属するフレームとしてルーティングされた転送、すなわち、第2の経路情報に従ってルーティングされた転送であることを示す。一方、黒塗りの矢印は、VPN−1に属するフレームとしてルーティングされた転送、すなわち、第1の経路情報に従ってルーティングされた転送であることを示す。
図10は、第2の中継装置100bにおいて、ACLテーブル136b(図5)の異常マーキングの条件に該当せずに、通常のルーティングが行われた場合を示している。図10において、白抜きの矢印で示すように、フレームPは、送信元MACアドレス(SMAC)になにもマーキングされず、第2の中継装置100bと第3の中継装置100cにおいて、第2の経路情報(図4)に従ってルーティングされ、最終的に端末Bに送られる。
図11は、第2の中継装置100bにおいて、ACLテーブル136b(図5)の異常マーキングの条件に該当し、異常マーキングがされた場合を示している。図11において、送信元MACアドレス(SMAC)の末尾に付された「−1」は、異常マーキングがなされていることを示している。図10に示すようにフレームPは、第2の中継装置100bにおいて異常マーキングがなされ、第2の中継装置100bと第1の中継装置100aにおいて、第1の経路情報(図4)に従ってルーティングされ、収集装置200へと転送される。ここで、フレームPは、収集装置200において異常なフレームであると判断されると、収集装置200において廃棄されてしまう。一方、収集装置200において異常なフレームでないと判断されると、フレームPは、図11において白抜きの矢印で示すように、第1の中継装置100aに戻され、第1の中継装置100aと第3の中継装置100cにおいて、第2の経路情報(図4)に従ってルーティングされ、最終的に端末Bに送られる。
以上説明した本実施例におけるネットワーク中継システム1000によれば、各ネットワーク中継装置100a〜100cに、予め収集装置200に転送するための第1の経路情報(図4)が静的に設定されているため、異常の可能性のあるトラフィック(イーサネットフレーム)が検出されたら、当該トラフィックを瞬時に収集装置200に迂回させることができる。例えば、異常の可能性のあるトラフィックが検出された後に、ルーティングテーブルを動的に変更する構成とすると、各ネットワーク中継装置のルーティングテーブルを変更して、迂回が可能になるまでに時間がかかるおそれがあるが、本実施例では、そのような不都合はない。
さらに、本実施例では、送信元MACアドレスに異常マーキングをしているので、帯域を無駄にすることがない。例えば、異常の可能性のあるトラフィックが検出された場合に、そのトラフィックを構成するフレームをカプセリングすることにより、迂回を行う構成とすると、カプセリングの分だけフレームのデータ量が大きくなり、帯域を無駄に使用するおそれがあるが、本実施例では、そのような不具合はない。
さらに、収集装置200の配置位置に応じて、各ネットワーク中継装置100a〜100cに、予め収集装置200に転送するための第1の経路情報(図4)を静的に設定すれば良いため、収集装置200を最適な配置を容易に実現可能である。
また、異常の可能性のあるイーサネットフレームを検出するためのフィルタ(本実施例では、ACLテーブル136)を全てのネットワーク中継装置100に設定する必要がなく、各ネットワーク中継装置100で異なるフィルタを設定することも可能であるため、ネットワーク中継装置100のリソースを有効に活用できる。例えば、いわゆるポリシールーティングにより、収集装置へ異常な可能性のあるトラフィックを迂回する構成とすると、全てのネットワーク中継装置に同じルールを設定したフィルタを設定する必要が生じ、効率的でない。
B.変形例:
・第1変形例:
上記実施例では、宛先MACアドレスに対して、異常マーキングを行うこととしたが、これは一例であって、異常マーキングは様々な手法で行うことができる。例えば、図6に示すイーサネットフレーム800のうち、IPヘッダ820のTOSフィールドに異常マーキングを行っても良い。例えば、TOSフィールドは、8ビット用意されているが、そのうちの最後の1ビットを異常マーキング用とし、当該ビットが「0」である場合は、異常マーキング無し、「1」である場合は異常マーキング有りとすることができる。また、イーサネットフレーム800のうち、イーサネットヘッダ810のCOSフィールドや、VLAN−IDを記述するフィールドの一部に、異常マーキングを行うこととしても良い。また、宛先MACアドレスに異常マーキングを行うこととしても良い。カプセリングのように新たなデータを追加するようなことは、データ量の増大による帯域の無駄な使用を招くため、上述した各種の例のように、既存のフィールドにマーキングすることが好ましい。
・第2変形例:
収集装置200において、異常なイーサネットフレームでないと判断された場合、上記実施例では、異常マーキングを解除しているのみであるが、これに加えて、異常であるか否かの精査が済んでいることを示すマーキング(以下、検査済マーキングと呼ぶ。)を行っても良い。図12は、第2変形例における収集装置の動作ステップを示すフローチャートである。図9を参照して説明した実施例における収集装置の動作ステップと異なる点は、検査済マーキングを行うステップS335が追加されている点のみである。他のステップは、同一であるので、説明を省略する。
検査済マーキングは、例えば、IPヘッダ820のTOSフィールドや、イーサネットヘッダ810のCOSフィールドを始め、異常マーキングと同様に様々な手法で行うことができる。異常マーキングと同様に、検査済マーキングについても、データ量の増大による帯域の無駄な使用を抑制するため、既存のフィールドにマーキングすることが好ましい。
このように検査済マーキングをする場合、各ネットワーク中継装置100は、検査済マーキングがなされたイーサネットフレームを、フィルタ処理部132による異常な可能性があるか否かの判定の対象としないこととする。あるいは、各ネットワーク中継装置100は、検査済マーキングがなされたイーサネットフレームを、異常な可能性があると判定しても、異常マーキングを行わないこととする。あるいは、各ネットワーク中継装置100は、検査済マーキングがなされたイーサネットフレームを、無条件に第2の経路情報に従って、ルーティングすることとする。
第2変形例によれば、収集装置200において、一度、異常でないと判断されたイーサネットフレームが、再びいずれかのネットワーク中継装置100において異常マーキングされ、再び収集装置200に戻ってしまうことを抑制することができる。ネットワーク中継システム1000を構成する複数のネットワーク中継装置100にACLテーブル136を設定する場合、特に、重複した内容のルールを複数のネットワーク中継装置100のACLテーブル136に設定する場合などに有効である。
・第3変形例:
上記実施例では、3台のネットワーク中継装置100が相互に接続されている例を示したが、ネットワーク中継システムに含まれるネットワーク中継装置100の台数は、任意に変更することができ、ネットワーク中継装置100の接続態様も任意に変更することができる。例えば、4台のネットワーク中継装置100を直線状に接続しても良いし、環状に接続しても良いし、スター状に接続しても良い。
最小の構成例として、第1の中継装置100aと収集装置200のみからなるネットワーク中継システム1000bを、第3変形例として図13を参照して説明する。図13は、本変形例におけるネットワーク中継システムの概略構成を示すブロック図である。本構成では、図5に示すようなACLテーブル136が第1の中継装置100aに設定されている。また、第1の中継装置100aには実施例と同様に、通常の経路情報である第2の経路情報と、収集装置200に転送するための第1の経路情報が、ルーティングテーブル135に記述されている。
このような構成においても、図13において白抜きの矢印で示すように、異常の可能性のないフレームは、第2の経路情報に従って通常のルーティングが行われ、図13において黒塗りの矢印でしめすように、異常の可能性のあるフレームは、収集装置200に迂回するようにルーティングされる。
・第4変形例:
上記実施例では、各ネットワーク中継装置100a〜100cは、レイヤ3転送を行う装置であるが、ネットワーク中継装置100a〜100cは、レイヤ2転送を行うレイヤ2スイッチであっても良い。図14〜図15を参照して、レイヤ2スイッチにより構成されたネットワーク中継システムについて説明する。図14は、本変形例におけるネットワーク中継装置に格納されたMACアドレステーブルを概念的に示す図である。図15は、本変形例における転送処理の処理ステップを示すフローチャートである。レイヤ2スイッチとしてのネットワーク中継装置100では、図2におけるメモリ134には、ルーティングテーブル135に代えて、MACアドレステーブル137が格納されている。
図14を参照してMACアドレステーブル137の内容について説明する。レイヤ2スイッチである第1の中継装置100a、第2の中継装置100b、第3の中継装置100cに格納されているMACアドレステーブルをそれぞれ、符号137a、137b、137cを用いて表す。図14に示すように、MACアドレステーブル137a、137b、137cには、宛先MACアドレスと、送出ポートとの対応関係を示す経路情報が記述されている。送出ポートとしては、理解の容易のため、図1においてポートを示す黒丸に付された符号を記述している。図14に示すように、各MACアドレステーブル137a〜137cは、それぞれ、2つの仮想ローカルエリアネットワーク(VLAN:Virtual Local Area Network)用に、2種類の経路情報を含んでいる。すなわち、識別ID1のVLAN用の第1の経路情報と、識別ID0のVLAN用の第2の経路情報である。
第1の経路情報は、宛先MACアドレスに関わらず、処理対象のイーサネットフレームが収集装置200に転送されるように記述された特殊な経路情報である。第1の経路情報は、例えば、システム管理者により静的に設定される。
第2の経路情報は、宛先MACアドレスごとに、当該宛先MACアドレスを有する装置が、どのポートの先に存在するかを記述した通常の経路情報である。図14において、MAC_Aは、端末500AのMACアドレスを表し、MAC_Bは、端末500BのMACアドレスを示している。第2の経路情報は、静的に設定されても良いし、動的な学習により設定されても良い。
本変形例におけるレイヤ2スイッチとしてのネットワーク中継装置100の動作は、基本的には、図7を参照して説明した実施例におけるネットワーク中継装置100の動作と同じである。ただし、図7における異常マーキング(ステップS140)は、イーサネットヘッダ810のCOSフィールドに行われる。例えば、COSフィールドは、3ビット用意されているが、そのうちの最後の1ビットを異常マーキング用とし、当該ビットが「0」である場合は、異常マーキング無し、「1」である場合は異常マーキング有りとする。
また、レイヤ2スイッチとしてのネットワーク中継装置100の転送処理は、実施例における転送処理(図8)と異なるので、図15を参照して説明する。まず、転送処理部131は、当該イーサネットフレームに異常マーキングがされているか否かを判断する(ステップS410)。すなわち、本変形例では、当該イーサネットフレームのCOSフィールドを調べ、異常マーキングがなされているか否かを判断する。
転送処理部131は、当該イーサネットフレームに異常マーキングがされていると判断すると(ステップS410:YES)、当該イーサネットフレームを、識別ID1のVLAN(VLAN−1)に属するフレームとして転送処理を行う(ステップS420)。すなわち、転送処理部131は、図14を参照して説明したMACアドレステーブル137のうち、静的に設定された第1の経路情報に従って、送出ポートを特定し、イーサネットフレームの転送を行う。この結果、当該イーサネットフレームは、最終的に収集装置200に転送される。
一方、当該イーサネットフレームに異常マーキングがされていないと判断すると(ステップS410:NO)、当該イーサネットフレームを、識別ID0のVLAN(VLAN−1)に属するフレームとして転送処理を行う(ステップS430)。すなわち、転送処理部131は、図14を参照して説明したMACアドレステーブル137のうち、通常の経路情報である第2の経路情報に従って、送出ポートを特定し、イーサネットフレームの転送を行う。この結果、当該イーサネットフレームは、最終的に宛先MACアドレスとして記述されたMACアドレスを有する装置に転送される。
収集装置200の動作は、実施例と同様であるのでその説明を省略する。
以上説明した本変形例によれば、レイヤ2転送のためのネットワーク中継システムにおいても、実施例同様に、異常の可能性のあるトラフィック(イーサネットフレーム)が検出されたら、当該トラフィックを瞬時に収集装置200に迂回させることができる。また、COSフィールドに異常マーキングをしているので、帯域を無駄にすることがない。また、収集装置200を最適な配置を容易に実現可能である。また、フィルタ(本実施例では、ACLテーブル136)を全てのネットワーク中継装置100に設定する必要がなく、ネットワーク中継装置100のリソースを有効に活用できる。
なお、本変形例において、COSフィールド以外には、イーサネットヘッダにおける宛先MACアドレス、送信元MACアドレス、VLAN−IDを記述するフィールドに異常マーキングすることも可能ではあるが、これらを書き換えると、収集装置200が異常でないと判断したイーサネットフレームを、本来のルートに戻せない場合があり得るので、使用できる場合は限定される。例えば、レイヤ2転送のためのネットワーク中継システムが、外部から転送されてきたイーサネットフレームに、さらに、別のイーサネットヘッダを付与して、システム内では新たに付与したイーサネットヘッダを利用するいわゆるMACinMAC技術を利用するシステムである場合がある。かかる場合には、オリジナルのイーサネットヘッダを参照することにより、収集装置200は異常でないと判断したイーサネットフレームを、本来のルートに戻せるので、新たに付与したイーサネットヘッダにおける宛先MACアドレス、送信元MACアドレス、VLAN−IDを記述するフィールドに異常マーキングしても良い。
・第5変形例:
上記実施例および変形例では、ネットワーク中継システム内に1つの収集装置のみを備えているが、複数の収集装置を備えても良い。一例として、図16〜図19を参照して、3つの収集装置を備えるシステムについて説明する。図16は、第5変形例に係るネットワーク中継システムの概略構成を示すブロック図である。図17は、第5変形例において各ネットワーク中継装置に格納されたルーティングテーブルを概念的に示す図である。図18は、第5変形例において各ネットワーク中継装置に格納されたACLテーブルの一例を概念的に示す図である。図19は、第5変形例におけるネットワーク中継システムの動作例を示す図である。
図16に示すように、本変形例に係るネットワーク中継システム1000cは、4つのネットワーク中継装置、すなわち、第1の中継装置100aと第2の中継装置100bと第3の中継装置100cと第4の中継装置100dを含んでいる。ネットワーク中継システム1000cは、さらに、3つの収集装置、すなわち、第1の収集装置200aと第2の収集装置200bと第3の収集装置200cを含んでいる。各ネットワーク中継装置および収集装置の基本的構成および動作は、実施例と同様であるので説明を省略する。
図16に示すように、ネットワーク中継システム1000cにおいて、第2の中継装置100bのポートP1は、外部ネットワークONT1を介して、システム外部の端末500A(端末A)と接続されている。同様に、第4の中継装置100dのポートP4は、外部ネットワークONT2を介して、システム外部の端末500B(端末B)と接続されている。第1の中継装置100aのポートP1と第2の中継装置100bのポートP3、第2の中継装置100bのポートP2と第3の中継装置100cのポートP1、第3の中継装置100cのポートP3と第4の中継装置100dのポートP2、第1の中継装置100aのポートP2と第4の中継装置100dのポートP1は、それぞれ内部ネットワークINT1、INT2、INT3、INT4を介して接続されている。
また、第1の収集装置200aのポートP1と第1の中継装置100aのポートP3、第2の収集装置200bのポートP1と第4の中継装置100dのポートP3、第3の収集装置200cのポートP1と第3の中継装置100cのポートP2は、それぞれ内部ネットワークINT5、INT6、INT7を介して接続されている。
次に、図17を参照して、本変形例において各ネットワーク中継装置100に格納されているルーティングテーブル135の内容について説明する。第1の中継装置100a、第2の中継装置100b、第3の中継装置100c、第4の中継装置100dに格納されているルーティングテーブルをそれぞれ、符号135a、135b、135c、135dを用いて表す。図17に示すように、ルーティングテーブル135a、135b、135cには、実施例と同様に、第1の経路情報と、第2の経路情報を含んでいる。第2の経路情報は、実施例と同様に、宛先IPアドレスに応じて、最終的に宛先IPアドレスを有する装置に転送されるように記述された通常の経路情報であり、識別ID「0」のVPN用の経路情報として記述されている。第1の経路情報は、実施例と同様に、宛先IPアドレスに関わらず、処理対象のイーサネットフレームが収集装置に転送されるように記述された特殊な経路情報である。第1の経路情報は、実施例と異なり、3種類の経路情報を含んでいる。3種類の経路情報は、イーサネットフレームを、第2の収集装置200bに転送するための経路情報と、第2の収集装置200bに転送するための経路情報と、第3の収集装置200cに転送するための経路情報であり、それぞれ識別ID「1」「2」「3」のVPN用の経路情報として記述されている。第1の経路情報は、実施例と同様に、例えば、システム管理者により静的に設定される。
次に、図18を参照して、本変形例におけるACLテーブルについて説明する。本変形例では、第2の中継装置100bと第3の中継装置100cと第4の中継装置100dとに設定されている。図18には、第2の中継装置100b、第3の中継装置100c、第4の中継装置100dにそれぞれ設定されているACLテーブル136b、136c、136dを示している。ACLテーブル136b、136c、136dには、実施例と同様に、異常である可能性があるイーサネットフレームを判定するためのルールと、ルールに合致した場合に異常マーキングが行われることが記述されている。ここで、各ACLテーブル136b、136c、136dには、それぞれ異なるルールが記述されている。また、実施例と異なり、本変形例では、複数種類の異常マーキング、すなわち、マーキング1〜3が用いられる。3種類の異常マーキングは、上記実施例および変形例に記載したいずれのタイプであっても良く、各ネットワーク中継装置100において、それぞれ異なるマーキングであることが識別できるものであれば良い。本変形例では、ACLテーブル136bには、異常マーキングとしてマーキング1を行うことが記述され、ACLテーブル136cには、異常マーキングとしてマーキング3を行うことが記述され、ACLテーブル136dには、異常マーキングとしてマーキング2を行うことが記述されている。
・本変形例に係るネットワーク中継システムの動作:
・異常マーキング処理:
本変形例では、図18に示すACLテーブルから解るように、第2の中継装置100bと、第3の中継装置100cと、第4の中継装置100dとにおいて、イーサネットフレームに対する異常マーキングが行われ得る。具体的には、第2の中継装置100bにおいてマーキング条件に合致すると判断されればマーキング1がなされ、第3の中継装置100cにおいてマーキング条件に合致すると判断されればマーキング3がなされ、第4の中継装置100dにおいてマーキング条件に合致すると判断されればマーキング2がなされる。
・転送処理:
本変形例では、各ネットワーク中継装置100a〜100dにおいて、転送対象のイーサネットフレームに異常マーキングがなされていない場合には、転送処理部131は、実施例と同様に、識別ID0のVPN(VPN−0)に属するフレームとして転送処理を行う。この結果、当該イーサネットフレームは、第2の経路情報に従って、最終的に宛先IPアドレスとして記述されたIPアドレスを有する装置に転送されるようにルーティングされる。
一方、本変形例では、各ネットワーク中継装置100a〜100dにおいて、転送対象のイーサネットフレームに異常マーキングがなされている場合には、転送処理部131は、異常マーキングの種類に応じて、第1の経路情報に含まれる3種類の経路情報うちの1つに従って、転送処理を行う。具体的には、転送処理部131は、当該イーサネットフレームに異常マーキングとしてマーキング1がなされている場合には、識別ID1のVPN(VPN−1)に属するフレームとして転送処理を行う。また、転送処理部131は、当該イーサネットフレームに異常マーキングとしてマーキング2がなされている場合には、識別ID2のVPN(VPN−2)に属するフレームとして転送処理を行う。そして、転送処理部131は、当該イーサネットフレームに異常マーキングとしてマーキング3がなされている場合には、識別ID3のVPN(VPN−3)に属するフレームとして転送処理を行う。この結果、マーキング1がなされているイーサネットフレームは、最終的に第1の収集装置200aに、マーキング2がなされているイーサネットフレームは、最終的に第2の収集装置200bに、マーキング3がなされているイーサネットフレームは、最終的に第3の収集装置200cに、それぞれ転送されるようにルーティングされる。
・具体的動作例:
理解の容易のため、ネットワーク中継システム1000cの動作例を、図19を参照して説明する。動作例として、端末500Aから端末500B宛にフレームP(宛先IPアドレスがIP_Bであるフレーム)が送られた場合を例として説明する。図10において、白抜きの矢印は、第2の中継装置100b、第3の中継装置100c、第4の中継装置100dのいずれにおいても、異常マーキングの条件に合致せず、通常のルーティングが行われた場合の転送ルートを示している。かかる場合には、フレームPは、何もマーキングされず、最終的に端末Bに送られる。
図19において、黒塗りの矢印は、第2の中継装置100bにおいて異常マーキングの条件に合致した場合の転送ルートを示している。かかる場合には、フレームPは、第2の中継装置100bにおいてマーキング1がなされる。この結果、図19に示すように、フレームPは、VPN−1に属するフレームとして第2の中継装置100bから第1の中継装置100aを経由して第1の収集装置200aに転送される。そして、第1の収集装置200aにおいて異常なフレームでないと判断されると、マーキング1が解除される。この結果、フレームPは、VPN−0に属するフレームとして第1の収集装置200aから第1の中継装置100aと第4の中継装置100dを経由して最終的に端末Bに送られる。
図19において、シングルハッチングされた矢印は、第3の中継装置100cにおいて異常マーキングの条件に合致した場合の転送ルートを示している。かかる場合には、フレームPは、第3の中継装置100cにおいてマーキング3がなされる。この結果、図19に示すように、フレームPは、VPN−3に属するフレームとして第3の中継装置100cから第3の収集装置200cに転送される。そして、第3の収集装置200cにおいて異常なフレームでないと判断されると、マーキング3が解除される。この結果、フレームPは、VPN−0に属するフレームとして第3の収集装置200cから第3の中継装置100cと第4の中継装置100dを経由して最終的に端末Bに送られる。
図19において、クロスハッチングされた矢印は、第4の中継装置100dにおいて異常マーキングの条件に合致した場合の転送ルートを示している。かかる場合には、フレームPは、第4の中継装置100dにおいてマーキング2がなされる。この結果、図19に示すように、フレームPは、VPN−2に属するフレームとして第4の中継装置100dから第2の収集装置200bに転送される。そして、第2の収集装置200bにおいて異常なフレームでないと判断されると、マーキング2が解除される。この結果、フレームPは、VPN−0に属するフレームとして第2の収集装置200bから第4の中継装置100dを経由して最終的に端末Bに送られる。
以上説明した第5変形例に係るネットワーク中継システム1000cによれば、3つの収集装置200a〜cに異常な可能性のあるデータを分散し、3つの収集装置において異常なデータであるか否かを検査する。この結果、3つの収集装置200a〜cに異常なデータであるか否かを検査する負荷を分散することができる。また、3つのネットワーク中継装置100b、100d、100cにそれぞれ異なるACLテーブルを設定している。この結果、異常な可能性が有るか否かを判定するフィルタリング処理の負荷を、3つのネットワーク中継装置100b、100d、100cに分散することができる。
ただし、ACLテーブル136は、3種類のマーキング1〜3を用いる場合であっても、必ずしも3つのネットワーク中継装置100に設定される必要はなく、1つのネットワーク中継装置100に設定されても良い。図20は、第5変形例に係るネットワーク中継システムにおけるACLテーブルの別の例を概念的に示す図である。この例では、第2の中継装置100bにのみACLテーブル136bを設定している。かかる場合には、第2の中継装置100bにおいて、図18に示した3つのACLテーブルに記述された異常マーキングの条件について判断し、3種類のマーキング1〜3が行われる。
・第6変形例:
上記実施例では、異常な可能性のあるフレームを、異常か否かを検査する処理を実行するために収集装置に迂回させているが、これに限らず、他の特定の処理の対象であるフレーム(特定トラフィックを構成するフレーム)を、収集装置に迂回させるために、本発明を適用しても良い。例えば、認証処理の対象であるフレームを、収集装置に迂回させる構成を採用しても良い。具体的には、アクセスするために認証が必要なネットワーク(認証要ネットワーク)宛のフレームをマーキングするように、いずれかのネットワーク中継装置100におけるACLテーブル136を設定する。認証要ネットワークのネットワークアドレスを宛先IPアドレスとするフレームにマーキングするようにACLテーブル136を記述すれば良い。こうすれば、認証要ネットワークにアクセスしようとするフレームは、収集装置200に転送される。そして、収集装置200に認証サーバ機能を持たせ、認証されたフレームについてはマーキングを解除して、認証要ネットワークに転送し、認証されなかったフレームは廃棄することしても良い。
・その他の変形例:
上記実施例および変形例では、データリンク層のアドレスとしてMACアドレスを用いており、ネットワーク層のアドレスとしてIPアドレスを用いているが、これは、本実施例において各装置を接続するネットワークが、データリンク層のプロトコルとしてEthernet(登録商標)を用い、ネットワーク層のプロトコルとしてIP(internet protocol)を用いているからである。もちろん、データリンク層およびネットワーク層のプロトコルに他のプロトコルを用いる場合には、それらのプロトコルにおいて用いられるアドレスを用いても良い。かかる場合は、転送されるデータはイーサネットフレームではなく、データリンク層のプロトコルに用いられるデータとなる。
上記実施例では、異常マーキングされたイーサネットフレームを通常のイーサネットフレームとは、異なるVPNに属するフレームとして扱うことにより、収集装置200に転送しており、上記第4変形例では、異常マーキングされたイーサネットフレームを通常のイーサネットフレームとは、異なるVLANに属するフレームとして扱うことにより、収集装置200に転送しているが、これはVPNやVLANといった既存技術を利用することにより、既存のネットワーク中継装置との親和性を高めるためである。これに限られることなく、通常のフレームは、宛先情報(レイヤ3転送の場合は宛先IPアドレス、レイヤ2転送の場合は宛先MACアドレス)により指定された宛先に転送され、異常マーキングされたフレームは、収集装置200に転送する仕組みであれば良い。
上記実施例では、収集装置200は、異常である可能性のあるフレームを精査して、異常であるか否かを検査する機能を備えているが、収集装置200は、異常である可能性のあるフレームを収集するためだけの装置であっても良い。例えば、収集装置200から異常である可能性のあるフレームを精査して、異常であるか否かを検査する専用装置に、収集されたフレームを転送する構成であっても良い。
上記実施例では、収集装置200は、異常であると判断されたフレームを廃棄しているのみであるが、これに代えて、または、これに加えて、様々な処理を行っても良い。例えば、異常であると判断されたフレームの情報を、各ネットワーク中継装置100にフィードバックして、以後は同じ内容のフレームは、各ネットワーク中継装置100において廃棄することとしても良い。
上記実施例では、異常である可能性が有るか否かの判定を、ACLテーブル136とフィルタ処理部132により行っているが、このような判定は、周知の他の種々のフィルタリング技術により行っても良い。例えば、同一の宛先IPアドレスを有するイーサネットフレームが、所定の流量以上になった場合に、異常な可能性があると判定しても良い。
上記実施例および変形例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えてもよい。
以上、実施例、変形例に基づき本発明について説明してきたが、上記した発明の実施の形態は、本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明は、その趣旨並びに特許請求の範囲を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物が含まれる。
実施例に係るネットワーク中継システムの概略構成を示すブロック図である。 実施例に係るネットワーク中継システムに含まれるネットワーク中継装置の内部構成を示すブロック図である。 実施例に係るネットワーク中継システムに含まれる収集装置200の内部構成を示すブロック図である。 実施例において各ネットワーク中継装置に格納されたルーティングテーブルを概念的に示す図である。 実施例において第2の中継装置に格納されたACLテーブルの一例を概念的に示す図である。 イーサネットフレームのデータ構造を概念的に示す図である。 各ネットワーク中継装置の動作ステップを示すフローチャートである。 各ネットワーク中継装置における転送処理の処理ステップを示すフローチャートである。 収集装置の動作ステップを示すフローチャートである。 実施例におけるネットワーク中継システムの動作例を示す第1の図である。 実施例におけるネットワーク中継システムの動作例を示す第2の図である。 第2変形例における収集装置の動作ステップを示すフローチャートである。 第3変形例におけるネットワーク中継システムの概略構成を示すブロック図である。 第4変形例におけるネットワーク中継装置に格納されたMACアドレステーブルを概念的に示す図である。 第4変形例における転送処理の処理ステップを示すフローチャートである。 第5変形例に係るネットワーク中継システムの概略構成を示すブロック図である。 第5変形例において各ネットワーク中継装置に格納されたルーティングテーブルを概念的に示す図である。 第5変形例において各ネットワーク中継装置に格納されたACLテーブルの一例を概念的に示す図である。 第5変形例におけるネットワーク中継システムの動作例を示す図である。 第5変形例に係るネットワーク中継システムにおけるACLテーブルの別の例を概念的に示す図である。
符号の説明
100、100a〜100d…ネットワーク中継装置
110…物理ポート
120…送受信処理回路
130…フレーム処理回路
131…転送処理部
132…フィルタ処理部
134…メモリ
135…ルーティングテーブル
136…ACLテーブル
137…MACアドレステーブル
140…装置制御部
200…収集装置
210…物理ポート
220…送受信処理回路
230…フレーム検査回路
231…異常データ検査部
234…メモリ
235…異常データパターンテーブル
240…装置制御部
800…イーサネットフレーム
810…イーサネットヘッダ
820…IPヘッダ
830…ペイロード
1000、1000b、1000c…ネットワーク中継システム
ONT1、ONT2…外部ネットワーク
INT1〜INT7…内部ネットワーク
CV…回線

Claims (26)

  1. 宛先を指定する宛先情報を有するデータの中継を行うネットワーク中継システムであって、
    前記データのうち、特定の処理の対象である第1のデータを収集するためのデータ収集装置と、
    前記データ収集装置と直接的または間接的に接続された1または複数のネットワーク中継装置と、を備え、
    前記1または複数のネットワーク中継装置のうち少なくとも一つは、
    受信された前記データが、前記第1のデータであるか、前記特定の処理の対象でない第2のデータであるかを判定する判定部と、
    前記第1のデータであると判定されたデータに、第1のマーキングを行うマーキング部と、を備え、
    前記1または複数のネットワーク中継装置は、それぞれに、
    受信された前記データに前記第1のマーキングがされている場合には、受信された前記データを、前記データ収集装置に送るための第1の転送処理を実行し、受信された前記データに前記第1のマーキングがされていない場合には、受信された前記データを、前記指定された宛先に送るための第2の転送処理を実行する転送処理部を備える、ネットワーク中継システム。
  2. 請求項1に記載のネットワーク中継システムにおいて、
    前記1または複数のネットワーク中継装置は、それぞれに、
    第1の経路情報と、第2の経路情報とを格納した格納部を備え、
    前記転送処理部は、前記第1の経路情報を参照して前記第1の転送処理を実行し、前記第2の経路情報を参照して前記第2の転送処理を実行する、ネットワーク中継システム。
  3. 請求項2に記載のネットワーク中継システムは、複数の前記データ収集装置を備え、
    前記第1の経路情報は、各データ収集装置にデータを転送するための複数種類の経路情報を含む、ネットワーク中継システム。
  4. 請求項3に記載のネットワーク中継システムにおいて、
    前記第1の経路情報に含まれる複数種類の経路情報に対応する複数種類の前記第1のマーキングが用いられ、
    前記転送処理部は、前記第1の経路情報に含まれる複数種類の経路情報のうち、受信されたデータにされている前記第1のマーキングの種類に対応する経路情報を参照して前記第1の処理を実行する、ネットワーク中継装置。
  5. 請求項2ないし請求項4のいずれかに記載のネットワーク中継システムにおいて、
    前記第1の経路情報は静的に設定される、ネットワーク中継システム。
  6. 請求項1ないし請求項5のいずれかに記載のネットワーク中継システムにおいて、
    前記1または複数のネットワーク中継装置は、レイヤ3中継装置であり、
    前記1または複数のネットワーク中継装置の前記転送処理部は、前記第1のマーキングがされているデータと、前記第1のマーキングがされていないデータとを、異なる仮想プライベートネットワークに属するデータとして扱うことにより、前記第1の転送処理および前記第2の転送処理を実行する、ネットワーク中継システム。
  7. 請求項6に記載のネットワーク中継システムにおいて、
    前記第1のマーキングは、ネットワーク層のヘッダに行われる、ネットワーク中継装置。
  8. 請求項6に記載のネットワーク中継システムにおいて、
    前記第1のマーキングは、データリンク層のヘッダに行われる、ネットワーク中継装置。
  9. 請求項1ないし請求項5のいずれかに記載のネットワーク中継システムにおいて、
    前記1または複数のネットワーク中継装置は、レイヤ2中継装置であり、
    前記1または複数のネットワーク中継装置の前記転送処理部は、前記第1のマーキングがされているデータと、前記第1のマーキングがされていないデータとを、異なる仮想ローカルエリアネットワークに属するデータとして扱うことにより、前記第1の転送処理および前記第2の転送処理を実行する、ネットワーク中継システム。
  10. 請求項9に記載のネットワーク中継システムにおいて、
    前記第1のマーキングは、データリンク層のヘッダに行われる、ネットワーク中継装置。
  11. 請求項1ないし請求項10のいずれかに記載のネットワーク中継システムにおいて、
    前記第1のデータは、異常である可能性があるデータであり、
    前記特定の処理は、前記第1のデータが異常であるか否かを判断する処理である、ネットワーク中継システム。
  12. 請求項11に記載のネットワーク中継システムにおいて、
    前記データ収集装置は、
    収集された前記第1のデータを検査して、前記第1のデータが異常であるか否かを判断する検査部を備え、
    異常でないと判断された前記第1のデータについて、前記第1のマーキングを解除して、前記異常でないと判断された前記第1のデータを前記1または複数のネットワーク中継装置のいずれかに転送する、ネットワーク中継システム。
  13. 請求項12に記載のネットワーク中継システムにおいて、
    前記データ収集装置は、前記異常でないと判断された前記第1のデータについて、前記第1のマーキングを解除すると共に、異常でないことを示す第2のマーキングを行う、ネットワーク中継システム。
  14. 宛先を指定する宛先情報を有するデータの中継を行うネットワーク中継システムであって、前記データのうち、特定の処理の対象である第1のデータを収集するためのデータ収集装置と、前記データ収集装置と直接または間接に接続された1または複数のネットワーク中継装置と、を備えるネットワーク中継システムにおける方法であって、
    前記1または複数のネットワーク中継装置のうち少なくとも一つにおいて、
    受信された前記データが、前記第1のデータであるか、前記特定の処理の対象でない第2のデータであるかを判定し、
    前記第1のデータであると判定されたデータに、第1のマーキングを行い、
    前記1または複数のネットワーク中継装置のそれぞれにおいて、
    受信された前記データに前記第1のマーキングがされている場合には、受信された前記データを、前記データ収集装置に送るための第1の転送処理を実行し、
    受信された前記データに前記第1のマーキングがされていない場合には、受信された前記データを、前記指定された宛先に送るための第2の転送処理を実行する、方法。
  15. 請求項14に記載の方法において、
    前記1または複数のネットワーク中継装置は、それぞれに、
    第1の経路情報と、第2の経路情報とを格納した格納部を備え、
    前記第1の経路情報を参照して前記第1の転送処理を実行し、前記第2の経路情報を参照して前記第2の転送処理を実行する、方法。
  16. 請求項15に記載の方法において、
    前記ネットワーク中継システムは、複数の前記データ収集装置を備え、
    前記第1の経路情報は、各データ収集装置にデータを転送するための複数種類の経路情報を含む、方法。
  17. 請求項16に記載の方法において、
    前記第1の経路情報に含まれる複数種類の経路情報に対応する複数種類の前記第1のマーキングが用いられ、
    前記第1の処理は、前記第1の経路情報に含まれる複数種類の経路情報のうち、受信されたデータにされている前記第1のマーキングの種類に対応する経路情報を参照して実行される、方法。
  18. 請求項15ないし請求項17のいずれかに記載の方法において、
    前記第2の経路情報は静的に設定される、方法。
  19. 請求項14ないし請求項18のいずれかに記載の方法において、
    前記1または複数のネットワーク中継装置は、レイヤ3中継装置であり、
    前記第1のマーキングがされているデータと、前記第1のマーキングがされていないデータとを、異なる仮想プライベートネットワークに属するデータとして扱うことにより、前記第1の転送処理および前記第2の転送処理を実行する、方法。
  20. 請求項19に記載の方法において、
    前記第1のマーキングは、ネットワーク層のヘッダに行われる、方法。
  21. 請求項19に記載の方法において、
    前記第1のマーキングは、データリンク層のヘッダに行われる、方法。
  22. 請求項14ないし請求項18のいずれかに記載の方法において、
    前記1または複数のネットワーク中継装置は、レイヤ2中継装置であり、
    前記1または複数のネットワーク中継装置の前記転送処理部は、前記第1のマーキングがされているデータと、前記第1のマーキングがされていないデータとを、異なる仮想ローカルエリアネットワークに属するデータとして扱うことにより、前記第1の転送処理および前記第2の転送処理を実行する、方法。
  23. 請求項22に記載の方法において、
    前記第1のマーキングは、データリンク層のヘッダに行われる、方法。
  24. 請求項14ないし請求項23のいずれかに記載の方法において、
    前記第1のデータは、異常である可能性があるデータであり、
    前記特定の処理は、前記第1のデータが異常であるか否かを判断する処理である、方法。
  25. 請求項24に記載の方法は、さらに、
    前記データ収集装置において、収集された前記第1のデータを検査して、前記第1のデータが前記異常であるか否かを判断し、
    前記異常でないと判断された前記第1のデータについて、前記第1のマーキングを解除し、
    前記異常でないと判断された前記第1のデータを前記1または複数のネットワーク中継装置のいずれかに転送する、方法。
  26. 請求項25に記載の方法において、
    前記データ収集装置において、前記異常でないと判断された前記第1のデータについて、前記第1のマーキングを解除すると共に、異常でないことを示す第2のマーキングを行う、方法。
JP2006321464A 2006-11-29 2006-11-29 ネットワーク中継システム、および、ネットワーク中継システムにおける方法 Active JP4615504B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006321464A JP4615504B2 (ja) 2006-11-29 2006-11-29 ネットワーク中継システム、および、ネットワーク中継システムにおける方法
US11/831,073 US8340092B2 (en) 2006-11-29 2007-07-31 Switching system and method in switching system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006321464A JP4615504B2 (ja) 2006-11-29 2006-11-29 ネットワーク中継システム、および、ネットワーク中継システムにおける方法

Publications (2)

Publication Number Publication Date
JP2008136049A JP2008136049A (ja) 2008-06-12
JP4615504B2 true JP4615504B2 (ja) 2011-01-19

Family

ID=39463601

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006321464A Active JP4615504B2 (ja) 2006-11-29 2006-11-29 ネットワーク中継システム、および、ネットワーク中継システムにおける方法

Country Status (2)

Country Link
US (1) US8340092B2 (ja)
JP (1) JP4615504B2 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8194662B2 (en) * 2006-06-08 2012-06-05 Ilnickl Slawomir K Inspection of data
US20110072515A1 (en) * 2009-09-22 2011-03-24 Electronics And Telecommunications Research Institute Method and apparatus for collaboratively protecting against distributed denial of service attack
JP5519301B2 (ja) * 2010-01-18 2014-06-11 株式会社ビデオリサーチ 通信システム、中継装置及び中継装置における通信方法
TWI489825B (zh) * 2010-08-24 2015-06-21 Gemtek Technolog Co Ltd 路由設備及其網路封包處理方法
JP2012129648A (ja) 2010-12-13 2012-07-05 Fujitsu Ltd サーバ装置、管理装置、転送先アドレス設定プログラムおよび仮想ネットワークシステム
CN104717150B (zh) * 2013-12-13 2019-06-11 中兴通讯股份有限公司 交换装置及丢包方法
JP6256110B2 (ja) * 2014-03-04 2018-01-10 富士通株式会社 パケット処理システム及びパケット処理方法
US20170207929A1 (en) * 2014-07-31 2017-07-20 Hewlett Packard Enterprise Development Lp Encapsulation Packet With Class Of Service Encoding
US20180212982A1 (en) * 2017-01-23 2018-07-26 Alaxala Networks Corporation Network system, network controller, and network control method
JP2018137700A (ja) * 2017-02-24 2018-08-30 三菱電機株式会社 局側光終端装置及び光通信システム
WO2019116973A1 (ja) * 2017-12-15 2019-06-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知装置、車載ネットワークシステム、および、不正検知方法
CN110389714B (zh) * 2018-04-20 2022-12-23 伊姆西Ip控股有限责任公司 用于数据输入输出的方法、装置和计算机存储介质
JP7360087B2 (ja) * 2019-09-30 2023-10-12 サクサ株式会社 セキュリティ監視装置及びセキュリティ監視方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007234A (ja) * 2000-06-20 2002-01-11 Mitsubishi Electric Corp 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体
JP2002335246A (ja) * 2001-05-10 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース侵入検査方法及び装置並びにネットワークベース侵入検査用プログラム及びその記録媒体
JP2005005927A (ja) * 2003-06-11 2005-01-06 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステムと不正アクセス制御方法およびプログラム
JP2006067605A (ja) * 2002-08-20 2006-03-09 Nec Corp 攻撃検知装置および攻撃検知方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6914886B2 (en) * 2001-05-03 2005-07-05 Radware Ltd. Controlling traffic on links between autonomous systems
US20040131059A1 (en) * 2002-09-19 2004-07-08 Ram Ayyakad Single-pass packet scan
US7292569B1 (en) * 2003-02-26 2007-11-06 Cisco Technology, Inc. Distributed router forwarding architecture employing global translation indices
US7685436B2 (en) * 2003-10-02 2010-03-23 Itt Manufacturing Enterprises, Inc. System and method for a secure I/O interface
US7610375B2 (en) * 2004-10-28 2009-10-27 Cisco Technology, Inc. Intrusion detection in a data center environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007234A (ja) * 2000-06-20 2002-01-11 Mitsubishi Electric Corp 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体
JP2002335246A (ja) * 2001-05-10 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース侵入検査方法及び装置並びにネットワークベース侵入検査用プログラム及びその記録媒体
JP2006067605A (ja) * 2002-08-20 2006-03-09 Nec Corp 攻撃検知装置および攻撃検知方法
JP2005005927A (ja) * 2003-06-11 2005-01-06 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステムと不正アクセス制御方法およびプログラム

Also Published As

Publication number Publication date
JP2008136049A (ja) 2008-06-12
US20080123622A1 (en) 2008-05-29
US8340092B2 (en) 2012-12-25

Similar Documents

Publication Publication Date Title
JP4615504B2 (ja) ネットワーク中継システム、および、ネットワーク中継システムにおける方法
US11032190B2 (en) Methods and systems for network security universal control point
US10164875B2 (en) SR app-segment integration with service function chaining (SFC) header metadata
US10484278B2 (en) Application-based network packet forwarding
US8175096B2 (en) Device for protection against illegal communications and network system thereof
JP5411134B2 (ja) ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム
US9749229B2 (en) Forwarding packets with encapsulated service chain headers
EP2595357B1 (en) Method performed in a network device and system for packet handling
JP4547340B2 (ja) トラフィック制御方式、装置及びシステム
US7653057B1 (en) Preventing forwarding of a packet to a control plane
US7817636B2 (en) Obtaining information on forwarding decisions for a packet flow
CN108881328B (zh) 数据包过滤方法、装置、网关设备及存储介质
EP2509262B1 (en) Unaddressed device communication from within an MPLS network
US8856947B1 (en) Intrusion detection and prevention processing within network interface circuitry
WO2013063791A1 (en) Nat/firewall accelerator
JP6737610B2 (ja) 通信装置
US20150200848A1 (en) Single Hop Overlay Architecture for Line Rate Performance in Campus Networks
US20160277293A1 (en) Application-based network packet forwarding
WO2019123523A1 (ja) 通信装置、通信システム、通信制御方法、プログラム
US10374922B2 (en) In-band, health-based assessments of service function paths
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
KR101060615B1 (ko) 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법
JP2018064228A (ja) パケット制御装置
US20050204059A1 (en) Network system with shared filtering information
US20210288908A1 (en) Elimination of address resolution protocol

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101019

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101020

R150 Certificate of patent or registration of utility model

Ref document number: 4615504

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131029

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250