JP4758302B2 - ネットワークノード - Google Patents
ネットワークノード Download PDFInfo
- Publication number
- JP4758302B2 JP4758302B2 JP2006233196A JP2006233196A JP4758302B2 JP 4758302 B2 JP4758302 B2 JP 4758302B2 JP 2006233196 A JP2006233196 A JP 2006233196A JP 2006233196 A JP2006233196 A JP 2006233196A JP 4758302 B2 JP4758302 B2 JP 4758302B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information
- address
- processor
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 claims description 231
- 238000012546 transfer Methods 0.000 claims description 148
- 238000006243 chemical reaction Methods 0.000 claims description 50
- 230000004044 response Effects 0.000 claims description 49
- 230000004308 accommodation Effects 0.000 claims description 30
- 238000000034 method Methods 0.000 claims description 22
- 238000013519 translation Methods 0.000 claims description 10
- 238000001914 filtration Methods 0.000 claims description 6
- 238000005316 response function Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 44
- 230000005540 biological transmission Effects 0.000 description 39
- 238000010586 diagram Methods 0.000 description 20
- 238000012805 post-processing Methods 0.000 description 17
- 230000001629 suppression Effects 0.000 description 4
- MXBCYQUALCBQIJ-RYVPXURESA-N (8s,9s,10r,13s,14s,17r)-13-ethyl-17-ethynyl-11-methylidene-1,2,3,6,7,8,9,10,12,14,15,16-dodecahydrocyclopenta[a]phenanthren-17-ol;(8r,9s,13s,14s,17r)-17-ethynyl-13-methyl-7,8,9,11,12,14,15,16-octahydro-6h-cyclopenta[a]phenanthrene-3,17-diol Chemical compound OC1=CC=C2[C@H]3CC[C@](C)([C@](CC4)(O)C#C)[C@@H]4[C@@H]3CCC2=C1.C1CC[C@@H]2[C@H]3C(=C)C[C@](CC)([C@](CC4)(O)C#C)[C@@H]4[C@@H]3CCC2=C1 MXBCYQUALCBQIJ-RYVPXURESA-N 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
また、制御パケットへの応答や、攻撃パケットに対するノード内の装置制御部の急激な付加変動は、ノード全体の安定性を欠き、ネットワークの信頼性低下を招く可能性がある。
本発明は、回線収容ボードが、制御パケットに対する代理応答を行うことを目的のひとつとする。
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1及び/又は第2の回線収容部は、
第1又は第2のネットワークに接続される回線を収容するための回線インタフェースと、
予め定められた前記拡張機能を実行するための情報が予め記憶される記憶部と、
入力されるパケットに含まれる情報と、前記記憶部に記憶された情報とに基づき前記拡張機能を実行するプロセッサと、
パケットの入力元毎に該パケットの出力先が予め設定され、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサから入力されたパケットを、該設定に従い、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサのいずれかに出力するブリッジと
を有し、
前記回線インタフェースから受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記回線インタフェースから受信された該パケットが前記パケット転送部に入力される前に前記拡張機能が実行される、及び/又は、
前記パケット転送部から受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記パケット転送部により転送された該パケットが前記回線インタフェースから出力される前に前記拡張機能が実行される前記ネットワークノードが提供される。
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
外部ネットワークに接続するための第1の回線収容部と、
内部ネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1の回線収容部は、
外部ネットワークに接続される回線を収容するための回線インタフェースと、
内部ネットワーク内でのプライベートアドレスと、該プライベートアドレスに対応する外部ネットワークでのグローバルアドレスとが記憶されたアドレス変換テーブルと、
前記拡張機能として、前記アドレス変換テーブルを参照してプライベートアドレスとグローバルアドレスとを変換するプロセッサと
を有し、
前記転送データベースは、記憶される宛先アドレスに外部ネットワークのグローバルアドレスと、対応する出力先情報に前記第1の回線収容部の識別子とが用いられ、及び、記憶される宛先アドレスに内部ネットワークのプライベートアドレスと、対応する出力先情報に前記第2の回線収容部の識別子とが用いられ、
前記プロセッサは、
前記回線インタフェースを介して、宛先アドレスにグローバルアドレスを用いた内部ネットワーク宛てのパケットが入力される際、
入力されたパケットの該宛先アドレスに基づき前記アドレス変換テーブルを参照し、対応するプライベートアドレスを取得し、入力されたパケットの宛先アドレスを取得されたプライベートアドレスに書き換えて、前記パケット転送部に出力し、
前記パケット転送部は、宛先アドレスがプライベートアドレスに書き換えられた入力パケットの該宛先アドレスに基づき、前記転送データベースを参照し、対応する出力先情報に従い該入力パケットを前記第2の回線収容部に出力し、
前記第2の回線収容部は、該パケットを内部ネットワークに出力する前記ネットワークノードが提供される。
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースと、パケットのフロー情報に対応して、パケットの廃棄指示又は優先度の変更指示を含むポリシー情報が記憶されたパケットフィルタデータベースとを有し、入力されたパケットの宛先アドレスに基づき前記転送データベースを参照して対応する出力先情報を取得し、及び、該パケットのフロー情報に基づき前記パケットフィルタデータベースを参照して対応するポリシー情報を取得し、取得された出力先情報及びポリシー情報に従い、パケットを前記第1及び第2の回線収容部に転送する又はパケットを廃棄するパケット転送部と
を備え、
前記第1の回線収容部は、
第1のネットワークに接続される回線を収容するための回線インタフェースと、
パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報が記憶されるフロー統計テーブルと、
前記拡張機能として、パケットのフロー情報毎の前記統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを変更するプロセッサと
を有し、
前記プロセッサは、
前記回線インタフェースを介してパケットが入力される際、入力されたパケットのフロー情報に基づき、前記フロー統計テーブルの該当するフロー情報に対応する統計情報を増加し、
該統計情報が予め定められた閾値を超えるフロー情報を識別し、該フロー情報と予め定められたポリシー情報とを含む、前記パケットフィルタデータベースを更新するためのフィルタ情報を生成して出力する前記ネットワークノードが提供される。
受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1の回線収容部は、
第1のネットワークに接続される回線を収容するための回線インタフェースと、
ゲートウェイを担うノードのIPアドレスと、該ノードのMACアドレスとが対応して記憶されたテーブルと、
前記拡張機能を実行するプロセッサと
を有し、
前記プロセッサは、
前記回線インタフェースを介して、第1のネットワーク内の端末から、ゲートウェイを担うノードのIPアドレスを含むMACアドレス取得要求を受信し、
受信されたMACアドレス取得要求に含まれる該ゲートウェイを担うノードのIPアドレスに基づき前記テーブルを参照し、対応するMACアドレスを取得し、
取得されたMACアドレスを含むMACアドレス取得応答を、前記回線インタフェースを介して、前記端末に送信する前記ネットワークノードが提供される。
1−1. システム構成
以下、第1の実施の形態について図面を参照して説明する。ここでは、ノードの拡張機能処理として、NATに関して述べる。但し、適用する装置、パケットの種類はこれらに限られない。
ノード装置10は、装置制御部(制御部)20と、パケット転送部30と、回線収容ボード(第2の回線収容部)40と、機能拡張ボード(第1の回線収容部)50とを備える。また、ノード装置10は、信号線L7を介して管理端末15と接続される。なお、図1の例では、回線収容ボード40と機能拡張ボード50は、それぞれひとつずつ図示しているが、それぞれ複数備えてもよい。また、複数の機能拡張ボード50がそれぞれ異なる機能を実行してもよい。
装置制御部20は、装置制御プロセッサ21と装置制御用メモリ22とを有する。装置制御プロセッサ21は、パケットを他のネットワーク装置へ転送する為に必要な、後述するパケット転送用データベースや、パケット転送可否を決定するための、後述するパケットフィルタへ、信号線L1を介してアクセスする。また、装置制御プロセッサ21は、他のネットワーク装置に送信すべき制御パケットの発行や、他のネットワーク装置から受信した制御パケットに応じた動作を実行する。装置制御用メモリ22の用途として、例えば、パケット転送部30内のパケット転送用データベース32とパケットフィルタ33とに設定する情報の保持等が挙げられる。
パケット転送部30は、パケット転送用プロセッサ31と、パケット転送用データベース(転送データベース)32と、パケットフィルタ(パケットフィルタデータベース)33とを有する。パケット転送において、パケット転送用プロセッサ31は、パケットが入力されると、パケットを宛先に向けて出力する。詳述すると、パケット転送用プロセッサ31は、パケットの送信回線を決定する為に、パケット転送用データベース32を検索する。
パケット転送用データベース32は、例えば、宛先アドレスと、宛先アドレスに対応する出力インタフェース情報(出力先情報)とが対応して記憶される。ここで、出力インタフェース情報は、例えば、回線収容ボード40、機能拡張ボード50を指し、さらに、各ボードが有するポートのポート情報を含んでも良い。
パケットフィルタ33は、例えば、送信元アドレス、宛先アドレス、送信元ポート番号、宛先ポート番号の組み合わせと、その組み合わせに対応するポリシー情報とを含む。尚、パケット転送用プロセッサ31によるパケットフィルタ33の検索は、パケット転送用データベース32の検索と同様の方法で実行され、ポリシー情報が取得される。パケット転送用プロセッサ31は、取得されたポリシー情報に応じた処理を実行する。ポリシー情報は、例えば、パケットの転送可否を示す。また、パケットの廃棄指示、優先度変更などの情報であってもよい。
回線収容ボード40内の回線インタフェース60−1は、収容する各回線から受信したパケットをパケット転送部30に向けて出力し、パケット転送部30から入力されたパケットを出力先情報検索結果に記載のインタフェースから送信する。
機能拡張ボード50は、回線インタフェース60−2と、ブリッジ51と、拡張機能実行用プロセッサ(プロセッサ)52と、拡張機能用メモリ(記憶部)53とを有する。本実施の形態の拡張機能用メモリ53には、例えば、NAT処理に必要なアドレス変換テーブル5301を構成する。
アドレス変換テーブル5301は、機能拡張ボード50で送受信されるパケットヘッダ情報(送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号の組み合わせ)と、パケットのIPアドレスを変換する為の変換後のIPアドレスおよびパケットのポート番号を変換する為のポート番号とが対応して記憶される。例えば、送信元IPアドレスがプライベートIPアドレスであり、検索結果のIPアドレスがグローバルIPアドレスである。また、宛先IPアドレスがグローバルIPアドレスであり、検索結果のIPアドレスがプライベートIPアドレスである。
ブリッジ51は、パケットが入力されると、パケットが入力前に他のブロックで実行されたハンドリング内容とパケットの入力元とに応じて、出力先を決定する。
図6は、ブリッジ51におけるパケットの出力先を決定するための処理フローである。本実施の形態では、機能拡張ボード50にてNAT処理を適用する場合について述べる。
ブリッジ51は、パケットが入力されると(ステップ700)、パケットがパケット転送部30から入力されたか否かを判断する(ステップ701)。例えば、信号線L3から入力されていれば、パケット転送部30から入力されたと判断する。パケットがパケット転送部30から入力された場合(ステップ701、Yes)、ブリッジ51はパケットを信号線L501経由で拡張機能実行用プロセッサ52へ出力する(ステップ703)。
ネットワークを伝送するパケット800は、ヘッダ810とペイロード850とを含む。ヘッダ810は、L2ヘッダ820と、L3ヘッダ830と、L4ヘッダ840とを含む。L2ヘッダ820は、パケット800のL3プロトコルや伝送する回線媒体などを含むタイプ821と、パケット800を転送すべきネットワーク装置の物理アドレスである宛先MACアドレス822と、パケット800を他のネットワークに送信するネットワーク装置の物理アドレスである送信元MACアドレス823とを含む。また、L3ヘッダ830は、パケット800の送信優先度等が含まれるL3制御情報831と、パケット800の宛先を示す宛先IPアドレス832と、パケット800の送信元を示す送信元IPアドレス833とを含む。更に、L4ヘッダ840は、通信の信頼性を確保する為に必要なL4制御情報841と、パケットが宛先のネットワーク装置に望むサービスを示す宛先ポート番号842と、パケット800のフローを識別する為に必要な送信元ポート番号843とを含む。
以下、上記を踏まえた上で、ノード装置10から外部ネットワークに送信するパケット(送信パケット)と、ノード装置10が外部ネットワークから受信するパケット(受信パケット)とへ対するノード装置10におけるNAT処理を説明する。本実施の形態では、図8に示すように、機能拡張ボード50が外部ネットワークと接続される回線を収容し、回線収容ボード40は内部ネットワークに接続する回線を収容することを前提とする。なお、図8では、装置制御部20とパケット転送部30は省略している。
まず、外部ネットワークへ送信する際の処理について説明する。
回線収容ボード40の回線インタフェース60−1は、内部ネットワークに属するネットワーク装置から送信されたパケット800を受信すると、パケット800を信号線L2に出力する。このパケットの宛先は、例えば外部ネットワークの装置であり、グローバルIPアドレスを用いている。また、送信元のIPアドレスは、例えば、端末のプライベートIPアドレスを用いている。
なお、拡張機能実行用プロセッサ52は、上述の処理以外にも、プライベートアドレスとグローバルアドレスを変換する適宜の処理を用いても良い。
次に、外部ネットワークからパケットを受信する際の処理について説明する。
機能拡張ボード50の回線インタフェース60−2は、外部ネットワークに属するネットワーク装置から送信されたパケット800を受信すると、パケット800を信号線L503に出力する。このパケットの宛先は、例えば内部ネットワークの装置であり、ここではグローバルIPアドレスを用いている。
信号線L3からパケット800を入力されたパケット転送用プロセッサ31は、パケット転送用データベース32やパケットフィルタ33を検索する。なお、パケット転送用プロセッサ31による検索動作は、既に述べているものと同様であるので、ここでは省略する。なお、ここでは出力先情報として内部ネットワークに対応した回線インタフェース60−1が得られる。パケット転送用プロセッサ31は、上記検索動作の後、出力先情報付パケット900を信号線L2へ出力する。
なお、拡張機能実行用プロセッサ52は、上述の処理以外にも、プライベートアドレスとグローバルアドレスを変換する適宜の処理を用いても良い。
図中、「Apri」は、内部ネットワーク内の端末Aのプライベートアドレスであり、「A’glo」は、「Apri」に対応するグローバルアドレスである。また、「Bglo」は、外部ネットワークの端末Bのグローバルアドレスである。矢印付き実線は、外部ネットワークへのパケットを示し、一方、矢印付き破線は、内部ネットワークへのパケットを示す。
2−1. システム構成
本実施の形態は、ノードの拡張機能処理として、パケット統計収集を契機とするトラフィック傾向の分析に基づいたパケットフィルタの更新に関して述べる。本実施の形態では、第1の実施の形態と同様に、機能拡張ボード50が外部ネットワークと接続される回線を収容し、回線収容ボード40は内部ネットワークに接続する回線を収容することを前提とする(例えば図8参照)。但し、本実施の形態では、内部ネットワークで用いられるIPアドレスはグローバルIPアドレスとし、機能拡張ボード50でパケットに対するNATおよびNAPT処理を実行しないものとして説明する。なお、内部ネットワークでプライベートIPアドレスを用いる場合、上述の第1の実施の形態と組み合わせることにより、NAT処理等を実行するようにしてもよい。
本実施の形態の拡張機能用メモリ53には、パケットフロー毎の統計収集に必要なフロー統計テーブル5302を記憶する。図15に例示されるフロー統計テーブル5302は、機能拡張ボード50で送受信されるパケットフロー(例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号の組み合わせ)と、パケットフローの統計情報とを含む。統計情報は、例えば、所定時間内におけるパケットの受信数を示す。ノード装置10の他の構成は、上述の第1の実施の形態と同様である。
図9は、パケットの入力元/パケットの複製を生成する要否に対するブリッジ51の動作を示すフローチャートである。
本実施の形態では、機能拡張ボード50内のブリッジ51は、図9のフローチャートに従い、ブリッジ51に入力されるパケットに対するハンドリング方法を決定する。
ブリッジ51にパケットのコピーを生成する設定が為されていない場合(ステップ702、No)、ブリッジ51はパケットを信号線L501経由で拡張機能実行用プロセッサ52に向けて出力する(ステップ703)。
パケット統計収集を契機とするトラフィック傾向の分析には、パケット/コピーの統計情報から攻撃フローを検出する為に用いられる「時間当たりの閾値」が予め設定される。閾値は、例えば、管理者が管理端末15から設定する。信号線L7から閾値を入力された装置制御用プロセッサ21は、閾値を信号線L4に出力する。信号線L4から閾値を入力された拡張機能実行用プロセッサ52は閾値を適宜のメモリに記録する。
機能拡張ボード50内の回線インタフェース60−2は、外部ネットワークから送信されたパケット800を受信すると、パケット800を信号線L503に出力する。
拡張機能実行用プロセッサ52は、信号線L501からパケット800/コピーを入力すると(ステップ101)、パケット800/コピーが属するフロー毎の統計を収集する為、パケット800/コピーのヘッダ810からパケットフローの識別に必要な検索キー(フロー検索キー)を生成する(ステップ103)。フロー検索キーは、例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。拡張機能実行用プロセッサ52は、上述したフロー統計テーブル5302を検索する際、フロー検索キーとパケットフロー毎の統計収集に必要な検索コマンド(フロー検索コマンド)とを信号線L502に出力する。
拡張機能実行用プロセッサ52は、例えば一定時間毎にフロー統計テーブル5302を検査(ポーリング)する(ステップ111)。ポーリングの結果、或るフローの統計情報が設定された閾値を越える場合(ステップ113、Yes)、拡張機能実行用プロセッサ52は、そのフロー情報のパケットを外部ネットワークからの攻撃と判断する。この後、拡張機能実行用プロセッサ52は、そのフローが攻撃フローであることを示す情報(フィルタ情報)を生成し(ステップ115)、フィルタ情報(攻撃情報)を信号線L4を介して装置制御用プロセッサ21に出力する(ステップ117)。フィルタ情報は、例えば、閾値を超えた統計情報に対応する送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号を含む。なお、拡張機能実行用プロセッサ52は、一定時間毎に、フロー統計テーブル5302の統計情報をリセットしても良い。
本実施の形態により、受信パケットへのトラフィック分析に基づくパケットフィルタ33の更新が実現可能になる。
3−1. システム構成
本実施の形態では、ノードの拡張機能として、拡張機能実行用プロセッサ52が装置制御用プロセッサ21の代わりに応答すること(代理応答)について述べる。本実施の形態では、代理応答として、内部ネットワークに属する端末が外部のネットワークと通信する際、端末から送信されるパケットが通過する「ゲートウェイ(複数の異なるネットワークを接続するネットワーク装置)」のMACアドレスを得るために必要なARP(Address Resolution Protocol)ついて述べる。
本実施の形態では、図11に示すように、機能拡張ボード50を内部ネットワークに接続し、回線収容ボード40を外部ネットワークに接続する。尚、本実施の形態で用いるIPアドレスは、内部ネットワーク、外部ネットワークともにグローバルIPアドレスとするものとして説明する。なお、例えば、回線収容ボード40を第1の実施の形態の機能拡張ボード50としてNAT処理を実行するようにして、内部ネットワークではプライベートアドレスを用いてもよい。なお、図11では、回線収容ボード40、機能拡張ボード50以外の構成については省略している。
本実施の形態の拡張機能用メモリ53には、拡張機能実行用プロセッサ52へ入力されたパケット800に適用すべき後段処理の決定に必要な後段処理情報テーブル5303を記憶する。図16に例示される後段処理情報テーブル5303は、機能拡張ボード50で受信されるパケット800のL2ヘッダ成分(例えば、宛先MACアドレス)およびペイロード850の成分(例えば、装置IPアドレス)と、パケット800に適用すべき後段処理情報(例えば、装置MACアドレス)とを含む。なお、ノード装置10の他の構成は、上述の第1の実施の形態と同様である。
図10は、応答が必要なパケット/応答パケットに対するブリッジ51の動作を示すフローチャートである。機能拡張ボード50において代理応答を実行する設定が為されている場合、機能拡張ボード50のブリッジ51は、図10のフローチャートに従い、ブリッジ51へ入力されるパケットに対するハンドリング方法を決定する。
上記のことを踏まえた上で、ノードの拡張機能処理として、拡張機能実行用プロセッサ52による代理応答に関して、以下説明する。
ノード装置10−1の機能拡張ボード50において、回線インタフェース60−2は、内部ネットワークに属する端末から送信されたARP要求パケットを受信すると、ARP要求パケットを信号線L503に出力する。ARP要求パケットは、上述の通り、宛先アドレスとしてのブロードキャストアドレスと、ノード装置10のIPアドレスと、ARP要求を示すコードとを含む。
以上の説明から明らかなように、本発明によれば、ネットワークノードの拡張機能として実現する機能により、ブリッジ・プロセッサ・メモリの機能を再構成可能な機能拡張ボードを提供できる。
15 管理端末
20 装置制御部
21 装置制御プロセッサ
22 装置制御用メモリ
30 パケット転送部
31 パケット転送用プロセッサ
32 パケット転送用データベース
33 パケットフィルタ
40 回線収容ボード
50 機能拡張ボード
51 ブリッジ
52 拡張機能実行用プロセッサ
53 拡張機能用メモリ
5301 アドレス変換テーブル
5302 フロー統計テーブル
5303 後段処理情報テーブル
60 回線インタフェース
800 パケット
900 出力先情報付パケット
Claims (17)
- 受信されたパケットを他の装置に転送するパケット転送機能を有するネットワークノードにおいて、該パケット転送以外の拡張機能を実行するためのネットワークノードであって、
第1のネットワークに接続するための第1の回線収容部と、
第2のネットワークに接続するための第2の回線収容部と、
パケットの宛先アドレスと、該パケットを出力するための出力先情報とが対応して記憶された転送データベースを有し、入力されたパケットの宛先アドレスに基づき該転送データベースを参照して、対応する出力先情報に従いパケットを前記第1及び第2の回線収容部に転送するパケット転送部と
を備え、
前記第1及び/又は第2の回線収容部は、
第1又は第2のネットワークに接続される回線を収容するための回線インタフェースと、
予め定められた前記拡張機能を実行するための情報が予め記憶される記憶部と、
入力されるパケットに含まれる情報と、前記記憶部に記憶された情報とに基づき前記拡張機能を実行するプロセッサと、
パケットの入力元毎に該パケットの出力先が予め設定され、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサから入力されたパケットを、該設定に従い、前記パケット転送部、前記回線インタフェース、及び、前記プロセッサのいずれかに出力するブリッジと
を有し、
前記回線インタフェースから受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記回線インタフェースから受信された該パケットが前記パケット転送部に入力される前に前記拡張機能が実行される、及び/又は、
前記パケット転送部から受信したパケットが前記ブリッジにより前記プロセッサに転送され、前記プロセッサが該パケットに基づき前記拡張機能を実行することにより、前記パケット転送部により転送された該パケットが前記回線インタフェースから出力される前に前記拡張機能が実行される前記ネットワークノード。 - 前記ブリッジ及び前記プロセッサに接続される制御部
をさらに備え、
前記制御部は、所望のタイミングで
前記プロセッサに、予め定められた前記拡張機能を設定し、
該拡張機能を実行するための情報を前記記憶部に記憶し、
該拡張機能に応じた、パケットの入力元毎の出力先を前記ブリッジに設定する請求項1に記載のネットワークノード。 - 前記拡張機能は、
プライベートアドレスとグローバルアドレスを変換するアドレス変換機能、
パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを変更するフィルタ更新機能、及び、
前記回線インタフェースを介して端末から受信したパケットに対して、前記プロセッサが応答する代理応答機能
のいずれかである請求項1に記載のネットワークノード。 - 前記ブリッジに、パケットの入力元毎の出力先を設定する制御部
をさらに備え
前記拡張機能は、前記プロセッサがプライベートアドレスとグローバルアドレスを変換するアドレス変換機能であり、
前記ブリッジは、前記制御部により、
前記回線インタフェースから入力した第1のパケットを前記プロセッサに転送し、及び、該プロセッサにより拡張機能が実行され返信された前記第1のパケットを前記パケット転送部に転送するように設定され、及び、
前記パケット転送部から入力した第2のパケットを前記プロセッサに転送し、及び、該プロセッサにより拡張機能が実行され返信された前記第2のパケットを前記回線インタフェースに転送するように設定される請求項1に記載のネットワークノード。 - 前記第1の回線収容部は、外部ネットワークに接続され、
前記第2の回線収容部は、内部ネットワークに接続され、
前記記憶部は、内部ネットワーク内でのプライベートアドレスと、該プライベートアドレスに対応する外部ネットワークでのグローバルアドレスとが記憶されたアドレス変換テーブルを有し、
前記転送データベースは、記憶される宛先アドレスに外部ネットワークのグローバルアドレスと、対応する出力先情報に前記第1の回線収容部の識別子とが用いられ、及び、記憶される宛先アドレスに内部ネットワークのプライベートアドレスと、対応する出力先情報に前記第2の回線収容部の識別子とが用いられ、
前記プロセッサは、
前記回線インタフェースを介して、宛先アドレスにグローバルアドレスを用いた内部ネットワーク宛てのパケットが入力される際、
入力されたパケットの該宛先アドレスに基づき前記アドレス変換テーブルを参照し、対応するプライベートアドレスを取得し、入力されたパケットの宛先アドレスを取得したプライベートアドレスに書き換えて、前記パケット転送部に向けて出力し、
前記パケット転送部は、宛先アドレスがプライベートアドレスに書き換えられた入力パケットの該宛先アドレスに基づき、前記転送データベースを参照し、対応する出力先情報に従い該入力パケットを前記第2の回線収容部に出力し、
前記第2の回線収容部は、該パケットを内部ネットワークに出力する請求項4に記載のネットワークノード。 - 前記ブリッジに、パケットの入力元毎の出力先を設定する制御部
をさらに備え、
前記拡張機能は、前記プロセッサが、パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを策定するフィルタ更新機能であり、
前記ブリッジは、前記制御部により、
前記回線インタフェースから入力した第1のパケットを前記プロセッサに転送し、及び、該プロセッサにより拡張機能が実行され返信された前記第1のパケットを前記パケット転送部に転送するように設定され、及び、
前記パケット転送部から入力した第2のパケットを前記回線インタフェースに転送するように設定された請求項1に記載のネットワークノード。 - 前記ブリッジに、パケットの入力元毎の出力先を設定する制御部
をさらに備え、
前記拡張機能は、前記プロセッサが、パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報を収集し、該統計情報に従いパケットのフィルタリングポリシーを策定するフィルタ更新機能であり、
前記ブリッジは、前記制御部により、
前記回線インタフェースから入力した第1のパケットを複製し、該複製を前記プロセッサに転送し、及び、入力した第1のパケットを前記パケット転送部に転送するように設定され、及び、
前記パケット転送部から入力した第2のパケットを前記回線インタフェースに転送するように設定された請求項1に記載のネットワークノード。 - 前記パケット転送部は、パケットのフロー情報に対応して、パケットの廃棄指示又は優先度の変更指示を含むポリシー情報が記憶されたパケットフィルタデータベースをさらに有し、該パケットのフロー情報に基づき前記パケットフィルタデータベースを参照して対応するポリシー情報を取得し、前記転送データベースの出力先情報及び取得されたポリシー情報に従い、パケットを前記第1及び第2の回線収容部に転送し又はパケットを廃棄し、
前記記憶部は、パケットのフロー情報毎に、所定時間内における該パケットの受信数を示す統計情報が記憶されるフロー統計テーブルを有し、
前記プロセッサは、
前記回線インタフェースを介してパケットが入力される際、入力されたパケットのフロー情報に基づき、前記フロー統計テーブルの該当するフロー情報に対応する統計情報を増加し、
該統計情報が予め定められた閾値を超えるフロー情報を識別し、該フロー情報と予め定められたポリシー情報とを含むフィルタ情報を生成して、前記制御部に出力し、
前記制御部は、前記プロセッサからフィルタ情報が入力される際、該フィルタ情報に従い、前記パケットフィルタデータベースのフロー情報とポリシー情報とを更新する請求項6又は7に記載のネットワークノード。 - 前記ブリッジに、パケットの入力元毎の出力先を設定する制御部
をさらに備え、
前記拡張機能は、前記プロセッサが、前記回線インタフェースを介して端末から受信した所定のパケットに対して、前記プロセッサが応答する代理応答処理であり、
前記ブリッジは、前記制御部により、
前記回線インタフェースから入力された前記所定のパケットを前記プロセッサに出力し、及び、該プロセッサにより拡張機能が実行され返信された前記端末に対する応答の為のパケットを、前記回線インタフェースに出力するように設定された請求項1に記載のネットワークノード。 - 前記記憶部は、ゲートウェイを担うノードのIPアドレスと、該ノードのMACアドレスとが対応して記憶されたテーブルを有し、
前記プロセッサは、
前記回線インタフェースを介して、第1のネットワーク内の端末から、ゲートウェイを担うノードのIPアドレスを含むMACアドレス取得要求を受信し、
受信されたMACアドレス取得要求に含まれる該ゲートウェイを担うノードのIPアドレスに基づき前記テーブルを参照し、対応するMACアドレスを取得し、
取得されたMACアドレスを含むMACアドレス取得応答を、前記回線インタフェースを介して、前記端末に向けて送信する請求項9に記載のネットワークノード。 - 前記パケット転送部は、
パケットのヘッダ情報と、該ヘッダ情報に対応する該パケットの転送可否を示すポリシー情報とを格納するパケットフィルタデータベースをさらに有し、
入力されるパケットのヘッダ情報に基づき、前記パケットフィルタデータベースを参照して、対応するポリシー情報を取得し、該ポリシー情報に基づいてパケットを廃棄又は出力する請求項1に記載のネットワークノード。 - 前記パケット転送部は、
前記制御部からの指示に従い、前記転送データベースと前記パケットフィルタデータベースとに情報を設定し、及び、該転送データベースと該パケットフィルタデータベースとを検索する為のパケット転送用プロセッサを有することを特徴とする請求項2に記載のネットワークノード。 - 前記制御部に接続され、前記ネットワークノードの管理者により操作される管理端末により、前記第1の回線収容部で実行する前記拡張機能と、該拡張機能を実行するための前記情報とが、任意のタイミングで前記制御部に入力され、前記第1の回線収容部に設定される請求項2に記載のネットワークノード。
- 前記ブリッジが、
前記回線インタフェースから入力されたパケットを複製し、
複製されたパケットを前記プロセッサに出力し、及び、入力されたパケットを前記パケット転送部に出力する請求項1に記載のネットワークノード。 - 前記プロセッサが、
設定された該拡張機能に基づいて、パケット又は該パケットの複製を加工し、
加工済みの該パケット又は該複製を、前記ブリッジに出力することを特徴とする請求項1に記載のネットワークノード。 - 前記記憶部が、
パケットのヘッダ情報又は該パケットの複製のヘッダ情報と、該ヘッダ情報に対応する拡張機能を実行するための前記情報とを格納することを特徴とする請求項1に記載のネットワークノード。 - 前記プロセッサが、
前記記憶部に、前記制御部からの指示に従い、拡張機能を実行するための前記情報を設定し、
パケットのヘッダ情報又は該パケットの複製のヘッダ情報を検索キーとして前記記憶部を検索し、
検索結果として得られる情報に基づいて、前記拡張機能を実行することを特徴とする請求項16に記載のネットワークノード。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006233196A JP4758302B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワークノード |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006233196A JP4758302B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワークノード |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008060763A JP2008060763A (ja) | 2008-03-13 |
JP4758302B2 true JP4758302B2 (ja) | 2011-08-24 |
Family
ID=39243039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006233196A Active JP4758302B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワークノード |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4758302B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8638790B2 (en) * | 2008-06-23 | 2014-01-28 | Qualcomm Incorporated | Method and apparatus for managing data services in a multi-processor computing environment |
JP2010287189A (ja) * | 2009-06-15 | 2010-12-24 | Canon Inc | 情報処理装置、その制御方法、及びプログラム |
EP2596604A4 (en) * | 2010-07-23 | 2016-06-08 | Nec Corp | COMMUNICATION SYSTEM, NODE, STATISTICAL DATA COLLECTION DEVICE, STATISTICAL DATA COLLECTION METHOD, AND PROGRAM |
JP5522071B2 (ja) * | 2011-02-02 | 2014-06-18 | 日立金属株式会社 | エッジ中継装置、エッジ中継装置の冗長システム、広域ネットワークシステム、及び、エッジ中継装置用のフレーム転送方法 |
US10164913B2 (en) * | 2013-01-16 | 2018-12-25 | Cfph, Llc | Router for performing NAT and/or PAT translations |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4221864B2 (ja) * | 1999-01-12 | 2009-02-12 | ヤマハ株式会社 | ルータ |
JP4023281B2 (ja) * | 2002-10-11 | 2007-12-19 | 株式会社日立製作所 | パケット通信装置及びパケットスイッチ |
JP4157403B2 (ja) * | 2003-03-19 | 2008-10-01 | 株式会社日立製作所 | パケット通信装置 |
JP4332079B2 (ja) * | 2004-07-01 | 2009-09-16 | 株式会社日立製作所 | モジュール型パケット通信ノード装置 |
JP4369351B2 (ja) * | 2004-11-30 | 2009-11-18 | 株式会社日立製作所 | パケット転送装置 |
-
2006
- 2006-08-30 JP JP2006233196A patent/JP4758302B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2008060763A (ja) | 2008-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200228433A1 (en) | Computer-readable recording medium including monitoring program, programmable device, and monitoring method | |
US8971342B2 (en) | Switch and flow table controlling method | |
US10623314B2 (en) | Switch system, and monitoring centralized control method | |
JP5862706B2 (ja) | ネットワークシステム、及びネットワークフロー追跡方法 | |
EP3905590A1 (en) | System and method for obtaining network topology, and server | |
JP5660198B2 (ja) | ネットワークシステム、及びスイッチ方法 | |
JP2005244408A (ja) | ネットワーク・セグメントが互いに異なる複数のネットワークに接続されたゲートウェイ装置、およびipパケットを転送するためのプログラムおよび方法 | |
RU2517411C1 (ru) | Способ управления соединениями в межсетевом экране | |
KR20040095632A (ko) | 분산 구조 라우터의 포워딩 테이블 조합 장치 및 방법 | |
US20180367431A1 (en) | Heavy network flow detection method and software-defined networking switch | |
US7269661B2 (en) | Method using receive and transmit protocol aware logic modules for confirming checksum values stored in network packet | |
JP4758302B2 (ja) | ネットワークノード | |
CN109088957B (zh) | Nat规则管理的方法、装置和设备 | |
CN112887229A (zh) | 一种会话信息同步方法及装置 | |
US20050265340A1 (en) | Network address-port translation apparatus and method | |
US20130336327A1 (en) | Network system, packet processing method and recording medium | |
JP5961745B2 (ja) | 通信装置またはパケット転送方法 | |
WO2024109262A1 (zh) | 一种信息处理方法及装置、存储介质 | |
US7864800B2 (en) | Communication system, auxiliary device and communication method | |
JP4638849B2 (ja) | 機能分散型通信装置および経路制御方法 | |
US9455911B1 (en) | In-band centralized control with connection-oriented control protocols | |
US20200213356A1 (en) | Malware inspection support system and malware inspection support method | |
JP2006165603A (ja) | データ転送装置 | |
JPH0934816A (ja) | 大規模ipネットワーク | |
JP4480605B2 (ja) | ネットワーク、ルータ装置及びそれらに用いるプライベートアドレス間通信方法並びにそのプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090709 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110218 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110322 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110510 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110531 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110602 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4758302 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140610 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |