JP4752722B2 - パケット転送装置及びパケット転送方法 - Google Patents

パケット転送装置及びパケット転送方法 Download PDF

Info

Publication number
JP4752722B2
JP4752722B2 JP2006289789A JP2006289789A JP4752722B2 JP 4752722 B2 JP4752722 B2 JP 4752722B2 JP 2006289789 A JP2006289789 A JP 2006289789A JP 2006289789 A JP2006289789 A JP 2006289789A JP 4752722 B2 JP4752722 B2 JP 4752722B2
Authority
JP
Japan
Prior art keywords
arp
packet
address
terminals
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006289789A
Other languages
English (en)
Other versions
JP2008109357A (ja
Inventor
輝 橋口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Electric Works Co Ltd
Original Assignee
Panasonic Corp
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Works Ltd filed Critical Panasonic Corp
Priority to JP2006289789A priority Critical patent/JP4752722B2/ja
Publication of JP2008109357A publication Critical patent/JP2008109357A/ja
Application granted granted Critical
Publication of JP4752722B2 publication Critical patent/JP4752722B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、複数の端末間で通信されているパケットに対してフィルタリング処理を行ってパケットの転送を行うパケット転送装置及びパケット転送方法に関する。
従来より、通信セキュリティ上の監視・防御対象となる端末で送受信されるパケットを代理して受信してフィルタリング処理を行って転送するための技術としては、例えば下記の特許文献1に記載された情報通信システムが知られている。
この情報通信システムは、パケット転送装置にて監視・防御対象端末のIPアドレスを登録しておき、通信相手端末から監視・防御対象端末のIPアドレスを宛先IPアドレスとして含むARPメッセージを受信した場合に、パケット転送装置のMACアドレスを含む代理ARPメッセージを監視・防御対象端末の通信相手端末に送信する。これにより、通信相手端末から監視・防御対象端末に送信されるパケットをパケット転送装置で受信可能とし、監視・防御対象端末に転送するか否かを判定している。
特開2006−50152号公報
しかしながら、上述した情報通信システムは、通信相手端末から監視・防御対象端末宛のARPメッセージを受信した後にパケット転送装置から代理ARPメッセージを送信して、パケット転送を行う構成であるので、既に監視・防御対象端末と通信相手端末との間で通信を行っている状態では、通信相手端末が監視・防御対象端末宛てにARPメッセージを送信しない限り、代理ARPメッセージを送信してパケット転送を開始することができない。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、監視対象となる端末で送受信されるパケットの転送処理を所望のタイミングで開始することができるパケット転送装置及びパケット転送方法を提供することを目的とする。
本発明に係るパケット転送装置は、自己のIPアドレス及びMACアドレスと、監視対象となる複数の端末のIPアドレスとを記憶するアドレス記憶手段と、アドレス記憶手段に記憶された複数の端末のIPアドレスを用いて当該複数の端末との間でARP要求メッセージ及びARP応答メッセージを送受信して、当該複数の端末が記憶しているIPアドレスとMACアドレスとの組を記述したARPテーブルを書き換える代理ARP処理手段と、複数の端末のうちの何れかの端末から送信されたパケットを受信するパケット受信手段と、パケット受信手段で受信したパケットを解析して所定の条件に合致する場合にパケットに所定のフィルタリング処理を施すフィルタリング手段と、フィルタリング手段によって処理されたパケットを他の端末に転送するパケット転送手段とを備える。
このような本発明に係るパケット転送装置は、上述の課題を解決するために、代理ARP処理手段により、所定のタイミングにて複数の端末にARP要求メッセージを送信し、当該複数の端末から返信されたARP応答メッセージを受信して、各端末のIPアドレスとMACアドレスとの組を取得し、ARPテーブルの書き換え対象の端末に、当該端末の通信相手となる他の端末のIPアドレス及び自己のMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求メッセージを送信して、当該ARPテーブルの書き換え対象の端末のARPテーブルを書き換える代理ARP処理を行う。
このパケット転送装置において、代理ARP処理手段は、所定の周期で定期的に前記代理ARP処理を行い、複数の端末から自発的に送信されるARP要求メッセージを監視して各端末のARP要求メッセージの送信間隔を取得し、複数の端末の送信間隔のうち最小の送信間隔を所定の周期に設定して、代理ARP処理を行う。
本発明は、監視対象となる複数の端末間で通信されるパケットを解析するフィルタリング処理を行って当該パケットを転送するパケット転送装置のパケット転送方法であって、上述の課題を解決するために、パケットを転送する処理を開始する所定のタイミングとなった場合に、予め記憶しておいた複数の端末のIPアドレスを用いて、複数の端末にARP要求メッセージを送信し、当該複数の端末から返信されたARP応答メッセージを受信して、各端末のIPアドレスとMACアドレスとの組を取得し、ARPテーブルの書き換え対象の端末に、当該ARPテーブルの書き換え対象の端末の通信相手となる他の端末のIPアドレス及びパケット転送装置のMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求メッセージを送信して、当該ARPテーブルの書き換え対象の端末のARPテーブルを書き換える代理ARP処理を行う。
このパケット転送方法において、所定のタイミングとして、所定の周期で定期的に代理ARP処理を行い、複数の端末から自発的に送信されるARP要求メッセージを監視して各端末のARP要求メッセージの送信間隔を取得し、複数の端末の送信間隔のうち最小の送信間隔を所定の周期に設定して、代理ARP処理を行う。
本発明に係るパケット転送装置及びパケット転送方法によれば、複数の端末のARPテーブルを書き換えて、当該複数の端末で送受信されるパケットを転送する場合に、所定のタイミングにて能動的に複数の端末にARP要求メッセージを送信して代理ARP処理を開始するので、監視対象となる端末で送受信されるパケットの転送処理を所望のタイミングで開始することができる。
以下、本発明の実施の形態について図面を参照して説明する。
本発明は、例えば図1に示すように通信端末1Aと通信端末1Bとがスイッチ2を介してパケット通信するネットワーク構成において、当該スイッチ2に接続されたパケット転送装置3に適用される。なお、以下では、通信端末1Aと通信端末1Bとの2台の間で通信されるパケットをパケット転送装置3で転送する例について説明するが、更に多くの端末が存在していても良い。
スイッチ2は、受信したパケットに含まれるMAC(Media Access Control)アドレスを参照して、当該MACアドレスを有する通信端末1A,1Bやパケット転送装置3にパケットを中継する。
通信端末1A,1Bは、通信相手の端末のIP(Internet Protocol)アドレスとMACアドレスとの組を記憶したARP(Address Resolution Protocol)テーブルを記憶する記憶部11A,11Bと、パケット送受信部12A,12Bとを備える。パケット送受信部12A,12Bは、通信端末1A,1B間でTCP(Transmission Control Protocol)/IPに準拠したパケット通信を行うためのARPテーブルを記憶するために、通信相手との間でARPに準拠した処理を行う。パケット送受信部12A,12Bは、予め設定されたタイミングごとに、記憶部11A,11Bに記憶されたARPテーブルを消去及び作成するため、ARP要求メッセージをブロードキャストし、ARP要求メッセージに対して通信相手の端末から返信されたARP応答メッセージを受信する。
ARP要求メッセージには、自己のIPアドレス及びMACアドレスが送信元のIPアドレス及びMACアドレスとして格納され、通信相手の端末のIPアドレスが送信先のIPアドレスとして格納される。パケット送受信部12A,12Bは、ARP要求メッセージを受信し、送信先IPアドレスが自己のIPアドレスである場合に、自己のMACアドレスを送信元MACアドレスとして格納したARP応答メッセージを、ARP要求メッセージの送信元の端末に返信する。これにより、通信端末1A,1Bは、相互にMACアドレスを通知して、記憶部11A,11Bに通信相手の端末のIPアドレスとMACアドレスとの組を含むARPテーブルを記憶する。
パケット転送装置3は、図2に示すように、ネットワークインターフェース(IF)処理部21と、データリンク層処理部22と、ネットワーク層(IP)処理部23と、トランスポート層処理部24と、入力部25とを備える。
ネットワークインターフェース処理部21は、OSI(Open Systems Interconnection)参照モデルにおける物理層に相当し、A/D変換処理や復変調処理を行う。ネットワークインターフェース処理部21は、パケットを送信するIF出力部31と、パケットを受信するIF入力部32とを備える。
データリンク層処理部22は、OSI参照モデルにおけるデータリンク層における処理を行う。このデータリンク層処理部22は、IF出力部31にパケットを出力するデータリンク出力部33と、IF入力部32からパケットが供給されるデータリンク入力部34とを備える。
パケット転送装置3によってパケットを受信した場合、データリンク入力部34は、IF入力部32を介して当該パケットが入力される。データリンク入力部34は、受信したパケットに含まれるMACアドレスが自己のMACアドレスである場合に、当該パケットをネットワーク層処理部23に出力する。データリンク入力部34は、ARPメッセージ(ARP要求メッセージ、ARP応答メッセージを含む)を受信した場合には当該ARPメッセージをARP処理部36に出力し、ARPメッセージとは異なるパケットを受信した場合にはIP入力部35に出力する。
パケット転送装置3によってパケットを送信する場合、データリンク出力部33は、自己のMACアドレスをパケットに格納すると共に送信先のMACアドレスをパケットに付加してIF出力部31に出力する。データリンク出力部33は、ARPメッセージがARP処理部36から供給されると、当該ARPメッセージをIF入力部32に供給する。
入力部25は、パケット転送装置3の管理者、通信端末1A,1Bの監視者によって操作される入力インターフェースを備える。入力部25によって入力される情報としては、監視対象となる通信端末1A,1BのIPアドレス、代理ARP処理を行うタイミング、パケット転送処理を行う期間であって代理ARP処理を行う有効期間、フィルタリング条件等である。入力部25に入力された情報は、記憶部38に記憶される。
ネットワーク層処理部23は、OSI参照モデルにおけるネットワーク層処理として、代理ARP処理、パケット転送処理、フィルタリング処理等を行う。このネットワーク層処理部23は、IP入力部35、ARP処理部36、登録情報監視部37、記憶部38、IP出力部39、転送処理部40、パケットフィルタリング部41を備える。
トランスポート層処理部24は、OSI参照モデルにおけるトランスポート層の処理を行うことによって、パケットの再送制御等を行う。
ARP処理部36は、データリンク層処理部22を介してARP要求メッセージの送信及びARP応答メッセージの受信を行う。また、ARP処理部36は、通信端末1A,1B間で送受信されているパケットの転送を行うに際して、記憶部38に記憶された所定のタイミングで代理ARP処理を行う。この代理ARP処理は、パケット転送装置3から能動的にARP要求メッセージを通信端末1A,1Bに送信して、通信端末1A,1B間で送受信するパケットをパケット転送装置3に送信するように通信端末1A,1BのARPテーブルを書き換える処理である。
ARP処理部36は、所定のタイミングとなると、通信端末1A,1BにARP要求メッセージを送信し、当該通信端末1A,1Bから返信されたARP応答メッセージを受信する。そして、各通信端末1A,1BのIPアドレスとMACアドレスとの組を取得する。次に、ARPテーブルの書き換え対象の通信端末1Aの通信相手となる通信端末1BのIPアドレス及びパケット転送装置3のMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求メッセージ(代理ARP要求メッセージ)を通信端末1Aに送信して、当該通信端末1AのARPテーブルを書き換える。同様に、ARPテーブルの書き換え対象の通信端末1Bの通信相手となる通信端末1AのIPアドレス及びパケット転送装置3のMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求を当該通信端末1Bに送信して、当該通信端末1BのARPテーブルを書き換える。
このような代理ARP処理により、通信端末1Aの記憶部11Aには、通信端末1BのIPアドレスとパケット転送装置3のMACアドレスの組が記述されたARPテーブルが格納され、通信端末1Bの記憶部11Bには、通信端末1AのIPアドレスとパケット転送装置3のMACアドレスの組が記述されたARPテーブルが格納される。そして、通信端末1Aから通信端末1Bに送信されるパケットは、宛先MACアドレスがパケット転送装置3のMACアドレスとなるためにパケット転送装置3で受信され、通信端末1Bから通信端末1Aに送信されるパケットは、宛先MACアドレスがパケット転送装置3のMACアドレスとなるためにパケット転送装置3で受信されるようになる。
なお、代理ARP処理を行う所定のタイミングは、パケット転送装置3がスイッチ2に接続されたタイミングでも良い。これにより、パケット転送装置3がスイッチ2に接続されると略同時に通信端末1A,1B間で送受信されているパケットの転送が実現できる。
登録情報監視部37は、記憶部38に記憶されて登録された情報を監視する。登録情報監視部37は、記憶部38に記憶された代理ARP処理を行う所定のタイミングとなった場合に、代理ARP処理を行う命令をARP処理部36に通知する。例えば定期的に代理ARP処理を行うことが記憶部38に登録されている場合、ARP処理部36は、登録情報監視部37の命令に従って所定の間隔で定期的に代理ARP処理を行う。これにより、通信端末1A,1Bに記憶されたARPテーブルが定期的に消去されても、通信端末1A,1BのARPテーブルを定期的に書き換えて、通信端末1A,1Bから送信されたパケットがパケット転送装置3に送信されないことを抑制できる。
ARP処理部36は、代理ARP処理を行った後にパケット転送を停止する場合、通信端末1A,1Bから送信されるパケットをパケット転送装置3で受信させるように書き換えたARPテーブルを、通信端末1A,1B間で直接パケットを送受信するように戻す停止処理を行う。この停止処理は、通信端末1Aに、当該通信端末1Aの通信相手となる通信端末1BのIPアドレス及びMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求を送信して、当該通信端末1AのARPテーブルを書き換える。同様に、通信端末1Bに、当該通信端末1Bの通信相手となる通信端末1AのIPアドレス及びMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求を送信して、当該通信端末1BのARPテーブルを書き換える。パケット転送処理を行う期間であって代理ARP処理を行う有効期間が記憶部38に記憶されている場合、ARP処理部36は、当該有効期間の終了時に代理ARP処理の停止処理を行う。
このような停止処理を行うことにより、パケットの転送終了時に、通信端末1A,1BのARPテーブルを正しいARPテーブルに書き換えて、通信端末1A,1B間によって正常に通信可能な状態に戻すことができる。
IP入力部35は、データリンク入力部34から出力されたパケットを入力すると、送信先IPアドレスを参照して、パケット転送の対象となっている通信端末1A,1BのIPアドレスである場合に、パケットフィルタリング部41にパケットを出力する。
パケットフィルタリング部41は、IP入力部35から出力されたパケットを入力すると、当該パケットを解析して、当該パケットに所定のフィルタリング処理を行う。例えば、フィルタリング処理は、転送するか否かを決定する処理や、パケットの一部を変更する処理、パケットの内容を通信ログとして記録する処理などを含む。
このフィルタリング処理のフィルタリング条件は、入力部25によって予め記憶部38に記憶されている。パケットを転送しないフィルタリング条件としては、送信元IPアドレス及びMACアドレスが転送を禁止するものである場合、トランスポート層ヘッダに含まれるポート番号が転送を禁止する番号である場合など、監視対象となる通信端末1A,1Bでの通信を禁止するパラメータとして設定されている。このフィルタリング条件は、パケット転送装置3の管理者であって通信端末1A,1Bの通信を監視する管理者によって設定される。パケットフィルタリング部41は、フィルタリング条件によって転送を許可するパケット又はフィルタリング処理によって一部が変更されたパケットを転送処理部40に出力する。また、パケットフィルタリング部41は、転送したパケットそのものや、フィルタリング処理の結果を記憶部38に記憶させて、パケット転送装置3の管理者などに参照可能とする。
転送処理部40は、パケットフィルタリング部41で転送することが決定されたパケットが入力されると、当該パケットをトランスポート層処理部24に出力し、トランスポート層処理部24から再度入力したパケットをIP出力部39に出力する。
つぎに、上述したように構成されたパケット転送装置3による代理ARP処理を図3を参照して説明し、パケット転送処理を図4を参照して説明する。また、代理ARP処理の説明においては、図5に示すシーケンス図を参照する。
パケット転送装置3は、代理ARP処理の前に、記憶部38に通信端末1A,1BのIPアドレス、代理ARP処理を行う間隔、パケット転送を行う期間であって代理ARP処理を行う有効期間が記憶されている。この状態において、ARP処理部36は、先ずステップS1において、記憶部38にIPアドレスが記憶されている通信端末1A,1BのIPアドレスを宛先としたARP要求メッセージをブロードキャストで送信する。
図5は、パケット転送装置3のIPアドレスが1.1.1.3、MACアドレスが3:3:3:3:3:3であり、通信端末1AのIPアドレスが1.1.1.1、MACアドレスが1:1:1:1:1:1であり、通信端末1BのIPアドレスが1.1.1.2、MACアドレスが2:2:2:2:2:2である場合について示している。
この場合、ARP処理部36は、自己のIPアドレス及びMACアドレスを送信元アドレスとし通信端末1AのIPアドレスを送信先IPアドレスとしたARP要求メッセージ、自己のIPアドレス及びMACアドレスを送信元アドレスとし通信端末1BのIPアドレスを送信先IPアドレスとしたARP要求メッセージをブロードキャストする。
次のステップS2において、ARP処理部36は、ステップS1でブロードキャストしたARP要求メッセージに対するARP応答メッセージを受信する。このARP応答メッセージは、図5に示すように、通信端末1A,1BそれぞれのMACアドレスが送信元MACアドレスとして格納されている。
次のステップS3において、ARP処理部36は、ステップS2で受信したARP応答メッセージに含まれる通信端末1A,1BそれぞれのMACアドレスを取り出して、記憶部38に登録する。これにより、記憶部38には、通信端末1A,1BそれぞれについてIPアドレスとMACアドレスとの組が登録される。
次のステップS4において、ARP処理部36は、ステップS3にて登録した通信端末1A,1BそれぞれのMACアドレスを用いて、代理ARP処理を行う。ARP処理部36は、図5に示すように、通信端末1Aに、送信元IPアドレスを通信端末1BのIPアドレスとし送信元MACアドレスをパケット転送装置3のMACアドレスとした代理ARP要求メッセージを送信する。同様に、通信端末1Bに、送信元IPアドレスを通信端末1AのIPアドレスとし送信元MACアドレスをパケット転送装置3のMACアドレスとした代理ARP要求メッセージを送信する。
これに応じ、通信端末1Aは、代理ARP要求メッセージを受信すると、記憶部11Aに記憶されたARPテーブルのうち、通信端末1BのIPアドレスに対応したMACアドレスをパケット転送装置3のMACアドレスに更新する。同様に、通信端末1Bは、代理ARP要求メッセージを受信すると、記憶部11Aに記憶されたARPテーブルのうち、通信端末1AのIPアドレスに対応したMACアドレスをパケット転送装置3のMACアドレスに更新する。これにより、以降の通信端末1A,1Bから送信されるパケットは、スイッチ2を介してパケット転送装置3で受信されることになる。
次に、通信端末1Aは、送信先IPアドレスを通信端末1BのIPアドレスとし送信先MACアドレスをパケット転送装置3のMACアドレスとしたARP応答メッセージを送信する。同様に、通信端末1Bは、送信先IPアドレスを通信端末1AのIPアドレスとし送信先MACアドレスをパケット転送装置3のMACアドレスとしたARP応答メッセージを送信する。その後、パケット転送装置3は、通信端末1A,1B間で送受信されるパケットを受信した場合には、図4に示すパケット転送処理を行う。
このパケット転送処理は、先ず、IF入力部32、データリンク入力部34及びIP入力部35を介してパケットフィルタリング部41にパケットが受信されると、ステップS10において、パケットフィルタリング部41により、受信したパケットがフィルタリング条件にマッチするか否かを判定する。その結果、フィルタリング条件にマッチする場合には、ステップS11でフィルタリング処理を行って、ステップS12において転送処理部40によってパケットの転送を行わせる。一方、フィルタリング条件にマッチしない場合には、フィルタリング処理を行わずにステップS12でパケット転送を行う。ここで、ステップS12において、転送処理部40は、送信元IPアドレスに対応付けられたMACアドレスを参照して、通信端末1A,1Bから受信した送信先MACアドレスを、パケット転送装置3のMACアドレスから本来の送信先の通信端末1A,1BのMACアドレスに変更する。
通信端末1A,1Bから代理ARP要求メッセージに対するARP応答メッセージをパケット転送装置3で受信すると、次に、ARP処理部36は、ステップS5において、記憶部38に記憶された代理ARP処理を行う有効期間が経過したか否かを判定することによって、パケットの転送を終了するか否かを判定する。パケットの転送を終了する場合にはステップS9に処理を進め、パケットの転送を終了しない場合には、ステップS6に処理を進める。
ステップS6において、ARP処理部36は、ステップS2において通信端末1A,1BからARP応答メッセージを受信した時刻からの経過時刻を取得する。
次のステップS7において、ARP処理部36は、ステップS6で取得した経過時間と、予め記憶部38に記憶された代理ARP処理を行う間隔とを比較して、経過時間が代理ARP処理を行う間隔を超えているか否かを判定し、超えている場合にはステップS8に処理を進め、超えていない場合にはステップS5に処理を戻す。この代理ARP処理を行う間隔によって決定される代理ARP処理を行う所定のタイミングは、上述したように定期的に代理ARP処理を行う時間であっても良い。
ステップS8において、ARP処理部36は、ステップS4と同様に、通信端末1Aに対しては通信端末1BのIPアドレス及びパケット転送装置3のMACアドレスを含む代理ARP要求メッセージを送信し、通信端末1Bに対しては通信端末1AのIPアドレス及びパケット転送装置3のMACアドレスを含む代理ARP要求メッセージを送信して、ステップS4で変更させたARPテーブルを維持させて、ステップS5に処理を進める。
これにより、ステップS5において代理ARP処理を行う期間であってパケットの転送を行う期間においては、所定のタイミングで通信端末1A,1Bに代理ARP要求メッセージを送信して、通信端末1A,1B間で送受信されるパケットをパケット転送装置3で受信できる状態を維持する。
ステップS5において代理ARP処理を行う有効期間が終了したと判定し、パケットの転送を終了すると判定した場合には、処理をステップS9に進める。
ステップS9において、ARP処理部36は、代理ARP処理を停止することによってパケットの転送を停止する停止処理を行う。このとき、ARP処理部36は、通信端末1A,1Bの通信相手となる端末のIPアドレス及びMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求メッセージを送信して、代理ARP処理を行う前のARPテーブルに戻す。
以上のように、本発明を適用したパケット転送装置3によれば、通信端末1A,1B間で送受信されるパケットを監視したい期間においては、能動的に代理ARP要求メッセージを通信端末1A,1Bに送信することによって通信端末1A,1BのARPテーブルを書き換えることができ、パケットの転送処理を所望のタイミングで開始することができる。
また、パケットの転送終了時には、パケット転送装置3が能動的にARP要求メッセージを送信して、通信端末1A,1BのARPテーブルを元に戻して通信端末1A,1B間のみで通信させることができる。これにより、代理ARP処理を行う有効期間の終了時に即座に通信端末1A,1BのARPテーブルを元に戻すことができる。
つぎに、上述したパケット転送装置3において、通信トラフィックの集中を抑制しつつパケット転送処理を行う場合について説明する。なお、上述した構成や処理と同じ部分については、同一符号、ステップ番号を付することによりその詳細な説明を省略する。
このパケット転送装置3は、図6に示すように、物理的な通信ポートとして、通信端末1A用のNIC(A)と通信端末1B用のNIC(B)とを備える。このパケット転送装置3の機能的な構成は、図7に示すように、NIC(A)に相当するIF出力部31A及びIF入力部32Aと、NIC(B)に相当するIF出力部31B及びIF入力部32Bとを備える。このようなパケット転送装置3は、通信端末1A,1Bごとの複数の通信ポートを備えることにより、単一の通信ポートで通信を行う場合と比較して、トラフィックが集中することによる通信速度の低下を抑制できる。
また、パケット転送装置3は、登録情報監視部37によって、通信端末1A,1Bから自発的に送信されるARP要求メッセージの送信間隔を監視する。登録情報監視部37は、ARP処理部36によって通信端末1A,1Bから送信されたARP要求メッセージが記憶部38に記憶される間隔を監視することによって、通信端末1A,1Bから自発的に送信されるARP要求メッセージの送信間隔を監視する。そして、登録情報監視部37は、通信端末1A,1Bの送信間隔のうち最小間隔ごとにARP処理部36による代理ARP処理を行わせる。これにより、パケット転送装置3によって通信端末1A,1B間で送受信されるパケットに対してフィルタリング処理を行いたい期間において、通信端末1A,1BのARPテーブルが更新されて、パケット転送装置3にパケットが送信されないことを回避できる。また、パケット転送装置3にパケットが送信されないことを回避するために必要な代理ARP処理を行う間隔を最小とでき、トラフィックの負担を最小限とできる。
このようなパケット転送装置3の処理を図8に示し、図9にシーケンス図を示す。図9に示すように、パケット転送装置3は、NICごとにMACアドレスが設定されており、NIC(A)のMACアドレスが3:3:3:3:3:3であり、NIC(B)のMACアドレスが4:4:4:4:4:4である。
パケット転送装置3は、ステップS1において、NIC(A)及びNIC(B)の双方から、ARP要求メッセージをブロードキャストし、ステップS2において、通信端末1AからのARP応答メッセージをNIC(A)で受信し、通信端末1BからのARP応答メッセージをNIC(B)で受信する。そして、ステップS3において通信端末1A,1BのMACアドレスを記憶部38に記憶する。この時点において、記憶部38には、通信端末1A,1Bに対応した通信ポート、通信端末1A,1BのIPアドレスとMACアドレスとの組が登録されている。
ステップS21において、ARP処理部36は、記憶部38に登録されている通信ポートを用いて、NIC(A)から通信端末1Aに代理ARP要求メッセージを送信し、NIC(B)から通信端末1Bに代理ARP要求メッセージを送信する。これにより、通信端末1Aから通信端末1B宛のパケットをNIC(A)で受信可能とし、通信端末1Bから通信端末1A宛のパケットをNIC(B)で受信可能とする。すなわち、通信端末1Aから通信端末1Bに送信されるパケットには、パケット転送装置3のNIC(A)のMACアドレス(3:3:3:3:3:3)が格納され、通信端末1Bから通信端末1Aに送信されるパケットには、パケット転送装置3のNIC(B)のMACアドレス(4:4:4:4:4:4)が格納される。
次に、ステップS5においてパケット転送を終了しないと判定したステップS22において、ARP処理部36により、通信端末1A,1Bから自発的に送信されたARP要求メッセージを受信したか否かを判定し、受信した場合にはステップS23に処理を進め、受信していない場合にはステップS6に処理を進める。
ステップS23において、登録情報監視部37は、ARP処理部36が通信端末1A,1BからのARP要求メッセージを受信したことに応じて、通信端末1A,1BごとにARP要求メッセージの送信間隔を記録する。ここで、登録情報監視部37は、既に登録されたARP要求メッセージの送信間隔よりも、ARP要求メッセージの送信間隔が短いと判定した場合には、当該短いARP要求メッセージの送信間隔を記憶部38に登録する。これにより、登録情報監視部37は、通信端末1A,1Bのうちで最もARPテーブルを更新する間隔が短い情報を、代理ARP処理を行う間隔とする。
そして、ARP処理部36は、ステップS23で更新された代理ARP処理を行って代理ARP要求メッセージを送信する間隔をステップS6で取得し、当該代理ARP要求メッセージを送信する間隔となったことをステップS7で判定した場合に、ステップS24において、各NICから通信端末1A,1Bに代理ARP要求メッセージを送信する。
このように、パケット転送装置3は、通信端末1A,1BごとのNICを設けることによってトラフィックの集中を抑制すると共に、通信端末1A,1Bのうちで最もARPテーブルの更新間隔が短いものを代理ARP処理を行う間隔とすることによって最小限のトラフィックでパケット転送が不可能となる期間をなくすことができる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明を適用したパケット転送装置を含む通信システムを示す図である。 本発明を適用したパケット転送装置の機能的な構成を示すブロック図である。 本発明を適用したパケット転送装置による代理ARP処理の処理手順を示すフローチャートである。 本発明を適用したパケット転送装置によるパケット転送処理の処理手順を示すフローチャートである。 本発明を適用したパケット転送装置によって代理ARP処理を行った時のシーケンス図である。 本発明を適用した他のパケット転送装置を含む通信システムを示す図である。 本発明を適用した他のパケット転送装置の機能的な構成を示すブロック図である。 本発明を適用した他のパケット転送装置による代理ARP処理の処理手順を示すフローチャートである。 本発明を適用した他のパケット転送装置によって代理ARP処理を行った時のシーケンス図である。
符号の説明
1A,1B 通信端末
2 スイッチ
3 パケット転送装置
11A,11B 記憶部
12A,12B パケット送受信部
21 ネットワークインターフェース処理部
22 データリンク層処理部
23 ネットワーク層処理部
24 トランスポート層処理部
25 入力部
31,31A,31B IF出力部
32,32A,32B IF入力部
33 データリンク出力部
34 データリンク入力部
35 IP入力部
36 ARP処理部
37 登録情報監視部
38 記憶部
39 IP出力部
40 転送処理部
41 パケットフィルタリング部

Claims (5)

  1. 自己のIPアドレス及びMACアドレスと、監視対象となる複数の端末のIPアドレスとを記憶するアドレス記憶手段と、
    前記アドレス記憶手段に記憶された複数の端末のIPアドレスを用いて当該複数の端末との間でARP要求メッセージ及びARP応答メッセージを送受信して、当該複数の端末が記憶しているIPアドレスとMACアドレスとの組を記述したARPテーブルを書き換える代理ARP処理手段と、
    前記複数の端末のうちの何れかの端末から送信されたパケットを受信するパケット受信手段と、
    前記パケット受信手段で受信したパケットを解析して所定の条件に合致する場合にパケットに所定のフィルタリング処理を施すフィルタリング手段と、
    前記フィルタリング手段によって処理されたパケットを他の端末に転送するパケット転送手段とを備え、
    前記代理ARP処理手段は、所定のタイミングにて前記複数の端末にARP要求メッセージを送信し、当該複数の端末から返信されたARP応答メッセージを受信して、各端末のIPアドレスとMACアドレスとの組を取得し、ARPテーブルの書き換え対象の端末に、当該端末の通信相手となる他の端末のIPアドレス及び前記自己のMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求メッセージを送信して、当該ARPテーブルの書き換え対象の端末のARPテーブルを書き換える代理ARP処理を行い、
    前記代理ARP処理手段は、所定の周期で定期的に前記代理ARP処理を行い、
    前記代理ARP処理手段は、前記複数の端末から自発的に送信されるARP要求メッセージを監視して各端末のARP要求メッセージの送信間隔を取得し、複数の端末の送信間隔のうち最小の送信間隔を前記所定の周期に設定して、前記代理ARP処理を行うこと
    を特徴とするパケット転送装置。
  2. 前記代理ARP処理を行って前記複数の端末からのパケットを受信する処理を停止する場合に、前記代理ARP処理手段は、ARPテーブルの書き換え対象の端末の通信相手となる他の端末のIPアドレス及びMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求メッセージを当該ARPテーブルの書き換え対象の端末に送信して、当該ARPテーブルの書き換え対象の端末のARPテーブルを書き換える停止処理を行うことを特徴とする請求項1に記載のパケット転送装置。
  3. 前記代理ARP処理を行う有効期間を記憶する有効期間記憶手段を更に備え、
    前記代理ARP処理手段は、前記有効期間記憶手段に記憶された有効期間が開始した時に前記代理ARP処理を行い、前記有効期間記憶手段に記憶された有効期間が終了した時に前記停止処理を行うことを特徴する請求項に記載のパケット転送装置。
  4. 前記複数の端末に対応した通信ポートを備え、
    当該各通信ポートを介して各端末に対して代理ARP処理、パケットの受信及びパケットの転送を行うことを特徴とする請求項1に記載のパケット転送装置。
  5. 監視対象となる複数の端末間で通信されるパケットを解析するフィルタリング処理を行って当該パケットを転送するパケット転送装置のパケット転送方法であって、
    パケットを転送する処理を開始する所定のタイミングとなった場合に、
    予め記憶しておいた複数の端末のIPアドレスを用いて、前記複数の端末にARP要求メッセージを送信し、
    当該複数の端末から返信されたARP応答メッセージを受信して、各端末のIPアドレスとMACアドレスとの組を取得し、
    ARPテーブルの書き換え対象の端末に、当該ARPテーブルの書き換え対象の端末の通信相手となる他の端末のIPアドレス及び前記パケット転送装置のMACアドレスを送信元のIPアドレス及びMACアドレスとして格納したARP要求メッセージを送信して、当該ARPテーブルの書き換え対象の端末のARPテーブルを書き換える代理ARP処理を行い、
    前記所定のタイミングとして、所定の周期で定期的に前記代理ARP処理を行い、
    前記複数の端末から自発的に送信されるARP要求メッセージを監視して各端末のARP要求メッセージの送信間隔を取得し、複数の端末の送信間隔のうち最小の送信間隔を前記所定の周期に設定して、前記代理ARP処理を行うこと
    を特徴とするパケット転送方法。
JP2006289789A 2006-10-25 2006-10-25 パケット転送装置及びパケット転送方法 Expired - Fee Related JP4752722B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006289789A JP4752722B2 (ja) 2006-10-25 2006-10-25 パケット転送装置及びパケット転送方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006289789A JP4752722B2 (ja) 2006-10-25 2006-10-25 パケット転送装置及びパケット転送方法

Publications (2)

Publication Number Publication Date
JP2008109357A JP2008109357A (ja) 2008-05-08
JP4752722B2 true JP4752722B2 (ja) 2011-08-17

Family

ID=39442361

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006289789A Expired - Fee Related JP4752722B2 (ja) 2006-10-25 2006-10-25 パケット転送装置及びパケット転送方法

Country Status (1)

Country Link
JP (1) JP4752722B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5045958B2 (ja) * 2009-06-24 2012-10-10 Necアクセステクニカ株式会社 ルータ装置、通信システム及びそれらに用いる機能設定方法並びにそのプログラム
EP3028401A1 (en) 2013-08-01 2016-06-08 Hewlett-Packard Development Company, L.P. Address resolution rewriting
JP2015198295A (ja) * 2014-03-31 2015-11-09 富士通株式会社 情報処理システム、その制御方法、及び制御装置
JP2019201364A (ja) * 2018-05-17 2019-11-21 日本電信電話株式会社 通信装置及び通信方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4082613B2 (ja) * 2004-09-06 2008-04-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信サービスを制限するための装置

Also Published As

Publication number Publication date
JP2008109357A (ja) 2008-05-08

Similar Documents

Publication Publication Date Title
US7286520B2 (en) Mobile terminal equipment and packet communication method between terminals
CN107547510B (zh) 一种邻居发现协议安全表项处理方法和装置
JPH0522345A (ja) 最大転送単位の最適値管理決定方式
US20110047261A1 (en) Information communication apparatus, information communication method, and program
US20080298365A1 (en) Packet relay method and device
WO2018235365A1 (ja) 車載通信装置、通信制御方法および通信制御プログラム
JP4752722B2 (ja) パケット転送装置及びパケット転送方法
EP3528438B1 (en) Packet forwarding
JP6558492B2 (ja) ネットワークアドレス変換装置、設定要求装置、通信システム、通信方法およびプログラム
US11516294B2 (en) Switch device, monitoring method and monitoring program
EP1901497A1 (en) Apparatus for low latency communications through an alternate path
JP7158826B2 (ja) 通信制御装置、通信制御システム及び通信制御方法
JP2003309596A (ja) モバイル通信網システム、外部エージェントルータ、アドレスサーバ及びそれらに用いるパケット配送方法
JP4796883B2 (ja) Nat管理システム
JP4452173B2 (ja) ゲートウェイ装置及びVoIPネットワークシステム
US8891509B2 (en) Proxy networking device for a router
JP5805575B2 (ja) 中継装置、中継方法及び中継プログラム
JP4797707B2 (ja) 通信システム
JP2000196669A (ja) 情報中継装置
JP2008199421A (ja) 冗長化データ中継装置を用いた暗号化通信方法および暗号化通信システム
JP4629254B2 (ja) 通信障害箇所を迂回する方法及び通信障害箇所を迂回する迂回ルーター
JP2005244273A (ja) データ通信制御装置
JP4218063B2 (ja) IPv6通信システム、IPv6端末、中継装置及びその通信方法
JP2009231986A (ja) 通信装置
JP2007110654A (ja) ブリッジ装置及びブリッジ装置の制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090624

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110215

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110405

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110509

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140603

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees