JP4813970B2 - ブリッジ装置 - Google Patents

ブリッジ装置 Download PDF

Info

Publication number
JP4813970B2
JP4813970B2 JP2006147655A JP2006147655A JP4813970B2 JP 4813970 B2 JP4813970 B2 JP 4813970B2 JP 2006147655 A JP2006147655 A JP 2006147655A JP 2006147655 A JP2006147655 A JP 2006147655A JP 4813970 B2 JP4813970 B2 JP 4813970B2
Authority
JP
Japan
Prior art keywords
access restriction
frame
restriction rule
storage device
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006147655A
Other languages
English (en)
Other versions
JP2007318582A (ja
Inventor
淳也 加藤
智宏 藤崎
存史 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006147655A priority Critical patent/JP4813970B2/ja
Publication of JP2007318582A publication Critical patent/JP2007318582A/ja
Application granted granted Critical
Publication of JP4813970B2 publication Critical patent/JP4813970B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、データリンク層におけるブリッジ装置を構成する技術に関し、特にフィルタリング機能を有するブリッジ装置を構成する技術に関する。
データリンク層においてフレームを転送する装置のなかには、特定の用途のために上位層のデータを解析して転送を判断する装置が存在する。特許文献1では、クライアント装置とルーティング装置との間に、スヌーピング装置を設置し、スヌーピング装置が、認証を伴うIGMP受信要求をスヌーピング(覗き見)し、ルーティング装置に、受信要求をそのまま送信し、認証サーバに送信するパケットを作成せず、ルーティング装置が認証サーバに送信するパケットを作成し、また、ルーティング装置から受信したマルチキャストデータを、要求のあったクライアント装置にコピーし、送信している。また特許文献2では、本来エンドホストが有するべき暗号化機能を、外部の代理機構に持たせることによって、エンドホストに代わって暗号化を実施している。
特開2004−357200号公報 特開2006−33350号公報
エンドホストへ到着するフレームやパケットを適切に選別するために、従来はファイヤウォール装置やエンドホスト自身が持つパケットフィルタ機構が用いられていた。しかし、ネットワーク構成によってはファイヤウォール装置の設置が困難であったり、エンドホストが十分なパケットフィルタ機構を持たない場合は、到着するフレームやパケットの選別が不十分である問題がある。また背景の技術の項で述べたように、エンドホストと外部ネットワークとの間にスヌーピング装置を配置することで、エンドホストに流入するフレームを制御しようとする試みが存在するが、制御可能な範囲が限定的であり柔軟性に乏しい。
本発明の目的は、プロトコル階層によらずフレームの内部構造を解析し、フレームの通過・廃棄を判定するブリッジ装置を実現できる技術を提供することである。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、データリンク層のフレームの中継を行うブリッジ装置であって、フレーム転送の可否をネットワーク層以上の観点から検査するためのアクセス制限ルールを記憶するアクセス制限ルール記憶装置と、第1のインターフェイスと第2のインターフェイスと、前記第1のインターフェイスと前記第2のインターフェイスにそれぞれ関連して設けられた、前記アクセス制限ルール記憶装置に記憶されたアクセス制限ルールに基づいて、フレームヘッダ部分だけではなく内部データ構造を解析しフレームの通過・廃棄を判定する入力用と出力用のフィルタ装置と、前記フィルタ装置の状態を監視し、その状態に基づいてアクセス制限ルールを動的に生成し、動的に生成したアクセス制限ルールを前記アクセス制限ルール記憶装置に設定するフィルタ状態監視装置と、通信の状態を記憶する通信状態記憶装置と、を備え、前記フィルタ状態監視装置は、前記第1のインターフェイスからTCPセッションを開始するセッション開始パケットを含んだフレームが到着し前記第1のインターフェイスに関連して設けられた前記入力用フィルタ装置を通過しようとするとき、該TCPセッションの開始状態を前記通信状態記憶装置に保存し、かつ前記第2のインターフェイスに関連して設けられた入力用フィルタ装置が前記TCPパケットの返答のTCPパケットを含んだフレームを通過できるようにアクセス制限ルールを動的に生成し、該アクセス制限ルールを前記アクセス制限ルール記憶装置に設定し、前記TCPセッションの開始から終了までの通信の状態を前記通信状態記憶装置に記憶し、前記TCPセッションの終了を検出した場合に前記アクセス制限ルール記憶装置に動的に設定した前記アクセス制限ルールを削除することを特徴とする。
の発明は、第の発明のブリッジ装置であって、前記フィルタ状態監視装置は、通信の状態を前記通信状態記憶装置に記憶しておき、一定時間通信が行われなかった場合に、動的に設定したアクセス制限ルールを前記アクセス制限ルール記憶装置から削除することを特徴とする。
本ブリッジ装置をエンドホストと外部ネットワークの間に挿入することでネットワーク層の通信に影響を与えることなく(エンドホストもIPルータ装置のいずれに対しても一切の設定の変更を必要とすることなく)フレームの選別と通過・廃棄の判定を行うことができる。本ブリッジ装置はデータリンク層のフレーム中継器として振舞うためネットワーク層からは透過となる。ただし、本ブリッジ装置がフレームの内部を解析し、上位層のプロトコル情報を用いて通過・廃棄の判別を行うため柔軟な制御が可能である。
本発明により、プロトコル階層によらずフレームの内部構造を解析し、フレームの通過・廃棄を判定するブリッジ装置を実現できる。これまでのブリッジ機構はフレームの通過・廃棄を判定条件として限定的なものしか記述ができなかったが、本発明では、ネットワーク層で処理を行うIPファイヤウォールが持つ装置が判別能力と同等に柔軟な設定をブリッジ装置にも持たせることができる。
以下、本発明の実施例を図を参照して詳細に説明する。
本実施例のブリッジ装置は、データリンク層のフレームの中継を行う通常のブリッジ装置が有する機能のほかに、データリンク層のフレームを上位層(ネットワーク層以上)の観点から内部構造の検査を行いフレームの通過・廃棄を判断する機能を有するブリッジ装置である。データリンク層においてイーサネットフレームを検査しパケットを転送するブリッジ装置は、本来イーサネットフレームのデータ部分にはなんら関与せず、イーサネットフレームのヘッダ部分のみの情報を解釈して転送処理を行っていた。本実施例のブリッジ装置はレイヤを越えてフレームのデータ部分の検査を行い転送・非転送の判断を行うことが特徴である。
図1は本実施例のブリッジ装置の概要を示したものである。本実施例のブリッジ装置は上位層によるフィルタリング機能つきのブリッジ装置であり、本来はデータリンク層において転送されるフレームに対して、フレームのデータ部分の情報を取り出しネットワーク層やトランスポート層、あるいはそれ以上の層の観点からフレームの内部構造を把握する。
図1において、11は本実施例のブリッジ装置であり、フレーム転送の可否をネットワーク層以上の観点から検査しフィルタリングするフィルタ装置(図示していない)を有している。12は入力フレーム群であり、13は出力フレーム群である。14〜17はプロトコルレイヤを表しており、14は物理層、15はデータリンク層、16はネットワーク層、17はトランスポート層である。ブリッジ装置11に入力したフレームは、フレーム転送の可否をデータリンク層15以上、すなわちデータリンク層15、ネットワーク層16、トランスポート層17、その上のアプリケーション層(図示していない)の観点から検査しフィルタリングを行い、フレームを出力する。ここで、データリンク層15において検査を行う機能は従来のブリッジ装置の機能と同様であり、本ブリッジ装置11において特徴的な機能は、ネットワーク層16以上の観点から検査を行う機能である。
図2はイーサネットフレームの構造を記したものである。図2において、14〜18はプロトコルレイヤを示しており、順に、物理層、データリンク層、ネットワーク層、トランスポート層、アプリケーション層を示している。21はデータリンク層15のイーサネットフレームであり、22はネットワーク層16のIPパケットであり、23はトランスポート層17のTCPパケットであり、24はアプリケーション層18のアプリケーションメッセージである。イーサネットフレーム21、IPパケット22、TCPパケット23のそれぞれについて、黒の部分がヘッダ部分であり、白の部分がデータ部分である。このように、フレームのデータ構造を解釈するとイーサネットフレーム21の内部にネットワーク層のIPパケット22がカプセル化されており、さらにその内部にはトランスポート層のTCPパケット23がカプセル化されている。さらにTCPパケット23の内部にはアプリケーションが生成したメッセージ24が内包されている。
レイヤを越えてフレームの情報を取り出すことについて例をもって説明する。例えば、たくさんのイーサネットフレームの中からHTTPトラフィックだけを抽出する場合は、特定のトランスポート層のヘッダを取り出しポート番号を検査すれば選別を行うことができる。同様にたくさんのイーサネットフレームの中から、ICMPパケットだけを取り出すにはIPパケットを抽出し、IPヘッダのプロトコル番号を検査すれば選別することができる。
本来データリンク層15で動作するイーサネットブリッジ装置は、フレームのデータ部分の情報を参照することなくデータの転送を行っていたが、本実施例のブリッジ装置11においては、上記の例に示すとおりレイヤを越えてフレームの内部情報を参照することで、フレームの種別を選別することが可能である。
図3は本発明の実施例のブリッジ装置を用いたエンドホストの防衛を説明するための図である。図3において、11は本実施例のブリッジ装置である。31はブリッジ装置11内においてフレームのヘッダ部分だけではなく内部データ構造を解析しフレームの通過・廃棄を判定するフィルタ装置であり、32はアクセス制限ルールを記憶するアクセス制限ルール記憶装置である。33はアクセス制限ルール記憶装置32に記憶されているアクセス制限ルールの例であり、フレーム転送の可否をネットワーク層以上の観点から検査するためのアクセス制限ルールである。フィルタ装置31はアクセス制限ルール記憶装置32に記憶されたアクセス制限ルール33に基づいてフレームの通過・廃棄を判定する。34はエンドホスト装置であり、35はIPルータ装置である。
なお、図3に示したアクセス制限ルール33は、通常の言語でわかりやすく表現したものであるが、本実施例においては、実際のアクセス制限ルール33は次の形式的で記述される。
10 discard indev eth0 port HTTP
20 discard indev eth0 port TELNET
30 discard indev eth0 proto ICMP
40 discard indev eth0 from 10.10.10.10
このようにンターフェイスに関する指定とフレームの中身を調べるためのルールを記述するが、これは一般的なファイヤウォールにおけるルール記述とほとんど同じである。上記の記述例において、indevが入力されるインターフェイス(出力の場合はoutdev)を記しており、その後ろにフレームの中身を調べる条件を記している。portキーワードはレイヤ4(トランスポート層)のプロトコルの種類を指定している。ルール番号10、20は、フレームの中身に格納されているパケットのトランスポート層部分がHTTPもしくはTELNETの場合廃棄するという意味である。ルール番号30のprotoはレイヤ3(ネットワーク層)部分の構造を解釈させる指示であり、ネットワーク層部分がICMPであるフレームを廃棄するという指示である。最後に、ルール番号40のfromはレイヤ3の送信元IPアドレスを検査する指示子である。
本実施例においては、IPルータ装置35とエンドホスト装置34は、ネットワーク層において同一のネットワークに所属しておりサブネットを共有している。またブリッジ装置11はIPルータ装置35とエンドホスト装置34の間に設置されており、両者からのイーサネットフレームを中継するブリッジとして機能する。ブリッジ装置11は2つのイーサネットポートを有しており、ひとつはeth0でIPルータ装置35に、もうひとつはeth1でエンドホスト装置34と接続されている。eth0ポートとeth1ポート間で相互にフレームが中継される。
本ブリッジ装置11はイーサネットフレームを中継する際に、フレームの内部を検査して中継の可否を判断することができる。もしなんら検査を行わずすべてのフレームを中継する場合はデータリンク層におけるリピータ(ハブ)と全く等価である。したがってネットワーク層において、エンドホスト装置34はIPルータ装置35に到達するまでにブリッジ装置11の存在を意識せず通信を行うことができる。つまりエンドホスト装置34やIPルータ装置35に、本ブリッジ装置11を利用するための特別な設定や機構は一切必要ない。
ここで、ブリッジ装置11を用いてエンドホスト装置34を防衛する例をあげる。ブリッジ装置11にアクセス制限を行うアクセス制限ルール33を適応する。この例ではルール番号10〜40の4つのルールが適応されているが、ブリッジ装置11がフレームの階層構造をアプリケーション層まで解析して廃棄の条件に値するか判定を行う。ルール番号10、20についてはトランスポート層(TCP層)のヘッダまで取り出し、その種別を示すポート番号の検査を行う。ルール番号30についてはネットワーク層(IP層)のヘッダまでを取り出しその種別を示すプロトコル番号の検査を行う。同様にルール番号40についてはネットワーク層(IP層)のヘッダまでを取り出し、送信元アドレスフィールドの検査を行う。このようにイーサネットフレームのヘッダだけでなく、その内部のデータ構造を解析することによってフレームの通過の条件をデータリンク層より上位のプロトコルで規定することが可能な、ブリッジ装置を構成することが可能である。通過したパケットについてはネットワーク層において透過であり、通常のブリッジやリピータと同一の挙動を示す。これにより、エンドホスト装置34自身が有するパケットフィルタリング機構を、エンドホスト装置34の外部に取り付けられた本ブリッジ装置11が代理することができる。
一般に、イーサネットブリッジ装置は、イーサネットフレームを入力しMACアドレスを見て転送先を判断するが、フレームの内部に含まれるIPパケットの情報は原則的に参照しない。すなわち、フレームが入力されフレームが出力されるのが通常のブリッジ装置(ハブ、レイヤ2スイッチ)の基本機能である。これに対して、本ブリッジ装置11では、フレームを転送する際にフレームの内部のIPパケットの構造まで検査した上で、転送するか否かを判断する。転送が許可されたフレームは出力インターフェイスから送出されるが、フレームが入力され、フレームが出力される、という動作に着目すると、ブリッジを通過している動作と同じである。本ブリッジ装置11は検査機構については上位層の機能を利用できるにもかかわらず、フレームの転送についてはブリッジと同じであり、透過なフレーム転送を行うことができる。本ブリッジ装置11は、プロトコル階層に依存しないフレーム通過制御装置ということができる。
図4は本ブリッジ装置11の詳細な内部構造を示したものである。図4において、41、43はブリッジ装置11に入力するフレームのフィルタリングを行う入力用フィルタ装置であり、42、43はブリッジ装置11から出力するフレームのフィルタリングを行う出力用フィルタ装置である。45はアクセス制限ルールを記憶するアクセス制限ルール記憶装置である。46はフィルタ装置41〜44の状態を監視するフィルタ状態監視装置である。47は通信の状態を記憶する通信状態記憶装置である。48はインターフェイス1であり、49はインターフェイス2である。入力用フィルタ装置41はインターフェイス1(48)に接続されており、出力用フィルタ装置44はインターフェイス2(49)に接続されている。入力用フィルタ装置43はインターフェイス2(49)に接続されており、出力用フィルタ装置42はインターフェイス1(48)に接続されている。太線の矢印がフレームの流れを表す。フィルタ装置41〜44はアクセス制限ルール記憶装置45に記憶されたアクセス制限ルールによりそれぞれを通過するフレーム転送の可否をネットワーク層以上の観点から検査しフィルタリングする。図4では入力インターフェイスを2つ図示しているが3つ以上存在してもよい。また、アクセス制限ルール記憶装置45、通信状態制御装置47は同じ記憶装置内の別々の記憶領域であってもよい。
インターフェイス1(48)には入力用のフィルタ装置41と、出力用のフィルタ装置42が関連付けられており、インターフェイス1(48)を通過するパケットは入力の方向に応じてそれぞれ入力用フィルタ装置41、出力用フィルタ装置42を通過する。通過する際にあらかじめ設定されたルールに応じて、フレームの内部を検査し通過させるか破棄するかの判断を行う。これはインターフェイス2(49)と入力用フィルタ装置43、出力用フィルタ装置44についても同じ役割をもつ。またフィルタ状態監視装置46は、各フィルタ装置41〜44の状態を監視し、その状態に基づいてアクセス制限ルールを動的に生成し、そのアクセス制限ルールをアクセス制限ルール記憶装置45に設定する。ここで、動的に生成するとは、例えばエンドホストから外部に向けて通信が開始された際に、その通信に最低限必要なアドレスやポートだけに通信許可を与えるアクセス制限ルールを生成するというような、各フィルタ装置41〜44の状態に応じてアクセス制限ルールを生成することである。
例えば、インターフェイス2(49)からHTTPのセッションを開始するTCPパケット(あて先アドレスが1.1.1.1、送信元アドレスが2.2.2.2、あて先ポートが80、送信元ポートが12345であるとする)を含んだフレームが到着し入力用フィルタ装置43を通過しようとするとき、フィルタ状態監視装置46は、2.2.2.2からのHTTPセッションの開始を検知し、セッションの開始状態を通信状態記憶装置47に保存し、かつインターフェイス1の入力用フィルタ装置41が、返答のフレーム(あて先アドレスが2.2.2.2、送信元アドレスが1.1.1.1、あて先ポートが12345、送信元ポートが80であるTCPパケットを含んだフレーム)を通過できるようにアクセス制限ルールを動的に生成し、アクセス制限ルール記憶装置45に設定する。このときアクセス制限ルール記憶装置45に設定されるアクセス制限ルールは「インターフェイス1から入力されるフレームのうちあて先アドレスがエンドホスト(2.2.2.2)かつ送信元アドレスが1.1.1.1かつあて先ポートが12345かつ送信元ポートが80であるTCPパケットを含むフレームのみ通過」である。なお、この例の場合は、アクセス制限ルールに記載されていないもの以外はすべて廃棄することを前提としている。
また、通信を行っているセッションに関する最小限必要なフレームだけを通過させるためには、現在行われているセッションが何であるかの状態(例えば、エンドホストに関してセッションの開始状態)を記憶しておき、通信が終了したら動的に生成されたルールを解除する必要がある。そこで、通信の開始から終了までの間、通信の状態を通信状態記憶装置47に記憶しておき、通信の終了を検知した場合に、動的に設定したルールを解除する。例えば、TCP通信であれば、通信が開始された時に通信状態記憶装置47にセッションの開始が記憶され、通信の終了はそのセッションの終了を示すフラグを読み取ることで通信の終了を検知することができる。また、通信状態記憶装置47に記憶されているセッションについて、通信が一定時間通信が行われなかった場合は、通信の終了とみなすことも可能である。結局、フィルタ状態監視装置46は、通信の状態を通信状態記憶装置47に記憶しておき、通信の終了を検知した場合あるいは一定時間通信が行われなかった場合に、動的に設定したアクセス制限ルールをアクセス制限ルール記憶装置45から削除し、また通信状態記憶装置47からそのセッションを削除する。
このように各部のフィルタの状態を一元的に監視するフィルタ状態監視装置46を配置することにより、イーサネットフレームの内容に応じて動的なフィルタルールを構成することができる。
以上の説明では動的なアクセス制限ルールの設定について説明したが、アクセス制限ルールは利用者の設定次第で任意に設定することも可能である。すなわち静的に設定することも可能である。静的にアクセス制限ルールを設定する場合は、図示していない入力手段により、アクセス制限ルールをアクセス制限ルール記憶手段45に設定する。また、アクセス制限ルール記憶手段45にはデフォルトのアクセス制限ルールを記憶させておくこともできる。例えば、「ルールがない場合は廃棄」、「ルールがない場合は許可」のようなデフォルトのルールを利用者の選択により設定することもできる。なお、静的なアクセス制限ルールのみを利用し、動的なアクセス制限ルールを利用しない場合は、フィルタ状態監視装置46、通信状態記憶装置47は不要である。
図4に示した実施例においては、各インターフェイスそれぞれに入力用フィルタ装置と出力用フィルタ装置が設けられており、このようにするのが好適であるが、各インターフェイスそれぞれに一つのフィルタ装置、例えば入力用フィルタ装置だけを用いてフィルタリングを行ってもよい。ただし、ブリッジ装置から出力されるフレームを制御したい(例えば特定の種類のもの以外は外に出さない)場合は、出力用フィルタ装置も有効である。また、すべてのインターフェイスに対して一つのフィルタ装置を用いてフィルタリングを行うこともできる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明の実施例である上位層によるフィルタリング機能つきブリッジ装置の概要を示す図である。 イーサネットフレームの構造を示す図である。 本発明の実施例のブリッジ装置を用いたエンドホストの防衛を説明するための図である。 本発明の実施例のブリッジ装置の詳細な内部構造を示す図である。
符号の説明
11…ブリッジ装置、12…入力フレーム群、13…出力フレーム群、14…物理層、15…データリンク層、16…ネットワーク層、17…トランスポート層、18…アプリケーション層、21…イーサネットフレーム、22…IPパケット、23…TCPパケット、24…アプリケーションメッセージ、31…フィルタ装置、32…アクセス制限ルール記憶装置、33…アクセス制限ルール、34…エンドホスト装置、35…IPルータ装置、41、43…入力用フィルタ装置、42、44…出力用フィルタ装置、45…アクセス制限ルール記憶装置、46…フィルタ状態監視装置、47…通信状態記憶装置、48…インターフェイス1、49…インターフェイス2

Claims (2)

  1. データリンク層のフレームの中継を行うブリッジ装置であって、
    フレーム転送の可否をネットワーク層以上の観点から検査するためのアクセス制限ルールを記憶するアクセス制限ルール記憶装置と、
    第1のインターフェイスと第2のインターフェイスと、
    前記第1のインターフェイスと前記第2のインターフェイスにそれぞれ関連して設けられた、前記アクセス制限ルール記憶装置に記憶されたアクセス制限ルールに基づいて、フレームヘッダ部分だけではなく内部データ構造を解析しフレームの通過・廃棄を判定する入力用と出力用のフィルタ装置と、
    前記フィルタ装置の状態を監視し、その状態に基づいてアクセス制限ルールを動的に生成し、動的に生成したアクセス制限ルールを前記アクセス制限ルール記憶装置に設定するフィルタ状態監視装置と、
    通信の状態を記憶する通信状態記憶装置と、
    を備え
    前記フィルタ状態監視装置は、前記第1のインターフェイスからTCPセッションを開始するセッション開始パケットを含んだフレームが到着し前記第1のインターフェイスに関連して設けられた前記入力用フィルタ装置を通過しようとするとき、該TCPセッションの開始状態を前記通信状態記憶装置に保存し、かつ前記第2のインターフェイスに関連して設けられた入力用フィルタ装置が前記TCPパケットの返答のTCPパケットを含んだフレームを通過できるようにアクセス制限ルールを動的に生成し、該アクセス制限ルールを前記アクセス制限ルール記憶装置に設定し、前記TCPセッションの開始から終了までの通信の状態を前記通信状態記憶装置に記憶し、前記TCPセッションの終了を検出した場合に前記アクセス制限ルール記憶装置に動的に設定した前記アクセス制限ルールを削除することを特徴とするブリッジ装置。
  2. 請求項に記載のブリッジ装置であって、
    記フィルタ状態監視装置は、通信の状態を前記通信状態記憶装置に記憶しておき、一定時間通信が行われなかった場合に、動的に設定したアクセス制限ルールを前記アクセス制限ルール記憶装置から削除することを特徴とするブリッジ装置。
JP2006147655A 2006-05-29 2006-05-29 ブリッジ装置 Expired - Fee Related JP4813970B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006147655A JP4813970B2 (ja) 2006-05-29 2006-05-29 ブリッジ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006147655A JP4813970B2 (ja) 2006-05-29 2006-05-29 ブリッジ装置

Publications (2)

Publication Number Publication Date
JP2007318582A JP2007318582A (ja) 2007-12-06
JP4813970B2 true JP4813970B2 (ja) 2011-11-09

Family

ID=38852023

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006147655A Expired - Fee Related JP4813970B2 (ja) 2006-05-29 2006-05-29 ブリッジ装置

Country Status (1)

Country Link
JP (1) JP4813970B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018105197A1 (ja) * 2016-12-08 2018-06-14 株式会社デンソー イーサネットスイッチ
JP7225729B2 (ja) 2018-11-21 2023-02-21 株式会社デンソー 中継装置及び中継方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device

Also Published As

Publication number Publication date
JP2007318582A (ja) 2007-12-06

Similar Documents

Publication Publication Date Title
US9998365B2 (en) Network feedback in software-defined networks
US9407579B1 (en) Software defined networking pipe for network traffic inspection
JP4886788B2 (ja) 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
US10148459B2 (en) Network service insertion
US8634437B2 (en) Extended network protocols for communicating metadata with virtual machines
EP2595357B1 (en) Method performed in a network device and system for packet handling
EP2509262B1 (en) Unaddressed device communication from within an MPLS network
US20110004698A1 (en) Defining Network Traffic Processing Flows Between Virtual Machines
JP4615504B2 (ja) ネットワーク中継システム、および、ネットワーク中継システムにおける方法
CN108881328B (zh) 数据包过滤方法、装置、网关设备及存储介质
CN101471822A (zh) 一种定位网络故障的方法和系统
US7599365B1 (en) System and method for detecting a network packet handling device
WO2018235365A1 (ja) 車載通信装置、通信制御方法および通信制御プログラム
JP4813970B2 (ja) ブリッジ装置
JP2001249866A (ja) ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
JP5275512B2 (ja) パケットフラッド制御
JP2007310662A (ja) ファイアウォール装置
JP2006330783A (ja) オーバレイネットワーク生成アプリケーション起動ノード特定装置およびその方法
JP7156310B2 (ja) 通信装置、通信システム、通信制御方法、プログラム
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
US8660143B2 (en) Data packet interception system
JP2007208575A (ja) 不正トラフィック管理装置およびシステム
JP2017017527A (ja) ネットワークシステム及びスイッチ
CN115211079B (zh) 交换机装置、车载通信系统及通信方法
WO2023103891A1 (zh) 一种报文转发的方法、装置及网络系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080801

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110215

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110823

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110825

R150 Certificate of patent or registration of utility model

Ref document number: 4813970

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140902

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees