JP4864735B2 - Ipアドレス払い出し管理システムおよびipアドレス払い出し管理方法 - Google Patents
Ipアドレス払い出し管理システムおよびipアドレス払い出し管理方法 Download PDFInfo
- Publication number
- JP4864735B2 JP4864735B2 JP2007008182A JP2007008182A JP4864735B2 JP 4864735 B2 JP4864735 B2 JP 4864735B2 JP 2007008182 A JP2007008182 A JP 2007008182A JP 2007008182 A JP2007008182 A JP 2007008182A JP 4864735 B2 JP4864735 B2 JP 4864735B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- server
- membership report
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、IPアドレス払い出し管理システムおよびIPアドレス払い出し管理方法に関する。
TCP/IP(Transmission Control Protocol/Internet Protocol)通信を行う場合、端末(パーソナルコンピュータ)、サーバ、スイッチ、ルータ等のネットワーク機器は、ネットワーク上で各機器を識別するためのIPアドレスが割り当てられていることが必要である。IPアドレスがネットワーク上で重複することは、許されない。このため、IPアドレスは、例えば、IPアドレスを管理するDHCP(Dynamic Host Configuration Protocol)サーバをネットワーク上に設置し、DHCPサーバにより自動的にIPアドレスを払い出すことにより、各機器に割り当てられる。
DHCPサーバを用いただけの管理システムでは、物理的にネットワークに接続できれば、どの端末でもIPアドレスが割り当てられるため、第三者が簡単にネットワークを利用できてしまう。このため、第三者によるネットワークの利用を防止するために、事前に登録したMAC(Media Access Control)アドレスのみにIPアドレスを払い出すDHCPサーバを用いて管理するシステムがある。例えば、利用者は、利用者の認証を実施する認証サーバを介して、MACアドレスをDHCPサーバに登録する(例えば、特許文献1)。
特開2002−232449号公報
一般的に、ネットワークを利用する全端末のMACアドレスを事前に登録するシステムでは、端末数の増加に伴い、登録作業および管理作業が増加する。例えば、特許文献1では、DHCPサーバにMACアドレスが事前に登録されていない端末を利用する者は、IPアドレスを取得するために必要な認証情報を認証サーバに入力する。そして利用者は、認証が正しく行われた場合に、認証サーバを介して、MACアドレスをDHCPサーバに登録する。このため、MACアドレスをDHCPサーバに登録するために利用者が実施する作業は、煩雑になる。また、認証のための情報を管理するデータベース、認証サーバ等が必要になり、管理者の負担が増加する。
本発明の目的は、簡易な手段で、許可したい利用者の端末のみにIPアドレスを払い出し、第三者の端末へのIPアドレスの払い出しを防止することである。
IPアドレス払い出し管理システムは、IGMP(Internet Group Management Protocol)に基づくメンバーシップ・レポートを送信する端末と、IGMPスヌーピング機能を備えたネットワーク中継機器と、IPアドレスを管理するサーバとを有している。例えば、ネットワーク中継機器は、端末から受信したメンバーシップ・レポートをサーバへ転送する。また、サーバは、メンバーシップ・レポートの受信に基づいて、メンバーシップ・レポートを送信した端末のみにIPアドレスを払い出す。
本発明では、簡易な手段で、許可したい利用者の端末のみにIPアドレスを払い出し、第三者の端末へのIPアドレスの払い出しを防止できる。
以下、本発明の実施形態を図面を用いて説明する。
図1は、本発明の一実施形態を示している。この実施形態では、IPアドレス払い出し管理システム10は、IGMP(Internet Group Management Protocol)に基づくメンバーシップ・レポート(MR:Membership Report)を送信する端末(例えば、パーソナルコンピュータ、以後、PCとも称する)101、102と、IGMPスヌーピング機能を備えたL2スイッチ(ネットワーク中継機器)201、202、203と、IPアドレスを管理するDHCPサーバ301とを有している。
図1は、本発明の一実施形態を示している。この実施形態では、IPアドレス払い出し管理システム10は、IGMP(Internet Group Management Protocol)に基づくメンバーシップ・レポート(MR:Membership Report)を送信する端末(例えば、パーソナルコンピュータ、以後、PCとも称する)101、102と、IGMPスヌーピング機能を備えたL2スイッチ(ネットワーク中継機器)201、202、203と、IPアドレスを管理するDHCPサーバ301とを有している。
ネットワーク20は、IPアドレス払い出し管理システム10および他のネットワークにデータを中継するルータ401を有している。なお、IPアドレス払い出し管理システム10のDHCPサーバ301により管理されているネットワーク20に、第三者のPC103、104が、物理的に接続される場合もある。
PC101−102は、例えば、上位(DHCPサーバ301)からのIGMPのクエリ(Query)に対して、メンバーシップ・レポート(以後、MRとも称する)を応答するソフトウエアがインストールされている。以後、このソフトウエアをMR送信用ソフトウエアとも称する。MR送信用ソフトウエアは、例えば、正規にIPアドレスを割り当てたい利用者が、ネットワークの利用を申請したときに配布される。なお、PC103−104は、MR送信用ソフトウエアがインストールされていない。
PC101−102は、例えば、上位(DHCPサーバ301)からのIGMPのクエリ(Query)に対して、メンバーシップ・レポート(以後、MRとも称する)を応答するソフトウエアがインストールされている。以後、このソフトウエアをMR送信用ソフトウエアとも称する。MR送信用ソフトウエアは、例えば、正規にIPアドレスを割り当てたい利用者が、ネットワークの利用を申請したときに配布される。なお、PC103−104は、MR送信用ソフトウエアがインストールされていない。
PC101−102は、ネットワーク接続時あるいは電源導入時にメンバーシップ・レポートをDHCPサーバ301に送信する。なお、ネットワーク接続時とは、例えば、PC101とL2スイッチ201とをLAN(Local Area Network)ケーブルで接続したときである。L2スイッチ201−203は、データリンク層(Level2:L2)で行き先を振り分けるネットワーク中継機器であり、IGMPスヌーピング機能を用いて、PC101−102から送信されたMRをDHCPサーバ301に転送する。
DHCPサーバ301は、ネットワーク20に接続された各機器に割り当てるIPアドレスを管理するサーバであり、MRを送信したPC101、102およびネットワーク20に接続されている各機器にIPアドレスを払い出す。また、DHCPサーバ301は、IPアドレスの払い出しを許可する端末のMACアドレスを記憶する許可リスト302を有している。許可リスト302は、例えば、DHCPサーバ301の図示しないメモリに記憶される。
図2は、図1に示したDHCPサーバ301および端末(PC)のIPアドレス払い出し手順の基本動作を示している。DHCPdiscover311、DHCPrequest313は、PC101からDHCPサーバ301に送信されるフレームを示している。また、DHCPoffer312、DHCPack314、DHCPnack316は、DHCPサーバ301からPC101に送信されるフレームを示している。
PC101は、電源投入時あるいはネットワーク接続時に、DHCPdiscover311をブロードキャスト形式でネットワーク全体に送信し、IPアドレスを管理しているDHCPサーバを探索する。DHCPdiscover311を受信したDHCPサーバ301は、DHCPoffer312を、DHCPdiscover311の送信元のPC101に返信する。
なお、ネットワーク内に複数のDHCPサーバが存在する場合、PC101は、複数のDHCPofferを受信することになる。この場合は、PC101は、最も先に受信したDHCPofferを参照し、そのDHCPofferを送信したDHCPサーバにDHCPrequestを返信する。図の例では、PC101は、DHCPrequest313をDHCPサーバ301に送信する。
DHCPrequest313を受信したDHCPサーバ301は、IPアドレス情報等を含んだDHCPack314をPC101に返信する。これにより、PC101は、IPアドレスが割り当てられると共に、他のネットワークにデータを中継するルータ401のIPアドレスも通知される。なお、DHCPnack316がDHCPサーバ301からPC101に送信された場合、PC101は、IPアドレスの割り当てを受けられず、ネットワークを利用することができない。
後述する図3で説明するが、本発明では、DHCPサーバ301は、第3者の端末(例えば、図1のPC103)からのDHCPdiscoverを破棄し、DHCPofferを送信しない。あるいは、DHCPサーバ301は、第3者の端末に対しては、DHCPnackを返信する。これにより、第三者の端末へのIPアドレスの払い出しを防止できる。
図3は、図1に示したIPアドレス払い出し管理システム10のIPアドレス払い出し動作の一例を示している。ステップS110、S112、S114、S116、S118は、PC101−102をソフトウエア(例えば、上述のMR送信用ソフトウエア)により制御することにより実現される。ステップS210は、L2スイッチ201−203により実行され、ハードウエアのみで実現されてもよく、ハードウエアをソフトウエアにより制御することにより実現されてもよい。ステップS310、S312、S314、S316、S318、S320、S322は、DHCPサーバ301をソフトウエアにより制御することにより実現される。
図中の破線は、メンバーシップ・レポート(MR)等のフレームの流れを示している。なお、ステップS112、S114、S116、S118、S314、S318、S320、S322は、上述した図2の動作に対応する。
先ず、ステップS110では、PC101−102は、PC101−102がL2スイッチ201−202に接続されたときに、MRをIGMPのマルチキャスト形式で、DHCPサーバ301に数秒おきに送信する。また、PC101−102は、ステップS112において、PC101−102がL2スイッチ201−202に接続されたときに、DHCPdiscoverを、ブロードキャスト形式でネットワーク全体に数秒間隔で送信する。
先ず、ステップS110では、PC101−102は、PC101−102がL2スイッチ201−202に接続されたときに、MRをIGMPのマルチキャスト形式で、DHCPサーバ301に数秒おきに送信する。また、PC101−102は、ステップS112において、PC101−102がL2スイッチ201−202に接続されたときに、DHCPdiscoverを、ブロードキャスト形式でネットワーク全体に数秒間隔で送信する。
なお、DHCPサーバ301のステップS312の処理の後に、DHCPdiscoverがDHCPサーバ301に到達すれば、ステップS110、S112の処理は、どちらが先に実行されてもよい。例えば、PC101−102は、MRおよびDHCPdiscoverを、DHCPサーバ301に数秒おきに同時に送信してもよい。ステップS114−S118の動作は、上述した図2のPC101の動作と同じため、詳細な説明を省略する。
ステップS210では、L2スイッチ201−203は、IGMPスヌーピング機能を用いて、PC101−102から受信したMRをDHCPサーバ301に転送する。換言すれば、MRは、マルチキャスト形式でDHCPサーバ301に送信されるため、L2スイッチ201−203により上位ポートへ転送され、DHCPサーバ301に到達する(ステップS310)。また、DHCPdiscoverは、ブロードキャスト形式でネットワーク全体に送信されるため、ネットワークに接続されているDHCPサーバ301に到達する(ステップS314)。
ステップS312では、DHCPサーバ301は、ステップS310で受信したMRの送信元の端末(例えば、PC101)のMACアドレスを、許可リストに記憶する。なお、MRは、送信元のMACアドレスを含むフィールドと一緒に送信されるため、DHCPサーバ301は、受信したMRに基づいて、MRの送信元の端末のMACアドレスを認識できる。
ステップS314では、DHCPサーバ301は、PC101−102から送信されたDHCPdiscoverを受信する。ここで、DHCPdiscoverは、上述したように、IPアドレスを管理しているDHCPサーバを探索するために、PC101−102から送信されたフレームである。換言すれば、DHCPdiscoverは、IPアドレスを取得するために端末(PC101−102)から送信されたフレームである。
ステップS316では、DHCPサーバ301は、DHCPdiscoverの送信元の端末のMACアドレスが、許可リストに記憶されているか否かを判定する。DHCPdiscoverの送信元の端末のMACアドレスが、許可リストに記憶されている場合、処理は、ステップS318に移る。一方、DHCPdiscoverの送信元の端末のMACアドレスが、許可リストに記憶されていない場合、DHCPサーバ301は、受信したDHCPdiscoverを破棄し、DHCPofferを端末に送信せずに、処理を終了する。
なお、正規な端末であるPC101では、MRおよびDHCPdiscoverをDHCPサーバ301に数秒おきに送信するため、ステップS312の後にDHCPサーバ301に到達したDHCPdiscoverにより、処理は継続される。すなわち、DHCPサーバ301は、許可リストに記憶されているMACアドレスに対応する端末のみにDHCPofferを送信し(ステップS318)、IPアドレスの払い出し処理を実行する。このため、許可リストに記憶されていない第三者の端末にIPアドレスを払い出すことを防止できる。
ステップS318−S320の動作は、上述した図2のDHCPサーバ301のDHCPoffer312の送信以降の動作と同じため、詳細な説明を省略する。MR送信用ソフトウエアがインストールされていないPC103−104は、上述のステップS310、S312、S316の処理により、DHCPdiscoverが破棄されるため、IPアドレスの払い出し処理を継続できない。このため、MR送信用ソフトウエアがインストールされていない第三者の端末にIPアドレスを払い出すことを防止できる。
なお、DHCPサーバ301は、限られたIPアドレスを有効に活用するために、IPアドレスの有効期限を設定して、IPアドレスを端末に払い出してもよい。この場合、DHCPサーバ301は、端末存在確認を定期的に実行し、ネットワークを利用している端末のみに、IPアドレスを再払い出しする。ここで、端末存在確認とは、IPアドレスが割り当てられた端末がネットワークを利用しているか否かを確認することである。なお、端末存在確認が実行されないIPアドレス払い出し管理システムでは、IPアドレスの有効期限が切れた端末は、上述のステップS110−S118を再度実行し、IPアドレスを新たに取得する。
図4は、図1に示したIPアドレス払い出し管理システム10の端末存在確認の動作の一例を示している。ステップS150、S152は、PC101−102をソフトウエア(例えば、上述のMR送信用ソフトウエア)により制御することにより実現される。ステップS250、S252は、L2スイッチ201−203により実行され、ハードウエアのみで実現されてもよく、ハードウエアをソフトウエアにより制御することにより実現されてもよい。ステップS350、S352、S354、S356、S358は、DHCPサーバ301をソフトウエアにより制御することにより実現される。
図中の破線は、メンバーシップ・レポート(MR)等のフレームの流れを示している。ステップS350を実行する前に、クエリ(Query)に対する端末からの応答の制限時間が予め設定されている。また、PC101−102は、上述した図3のフローにより、IPアドレスが割り当てられた端末である。
先ず、ステップS350では、DHCPサーバ301は、QueryをIGMPのマルチキャスト形式で、IPアドレスが割り当てられたPC101−102等に定期的に送信する。
先ず、ステップS350では、DHCPサーバ301は、QueryをIGMPのマルチキャスト形式で、IPアドレスが割り当てられたPC101−102等に定期的に送信する。
ステップS250では、L2スイッチ201−203は、IGMPスヌーピング機能を用いて、DHCPサーバ301から受信したQueryをPC101−102に転送する。Queryは、マルチキャスト形式でIPアドレスが割り当てられた端末に送信されるため、L2スイッチ201−203により、PC101−102に転送される。このため、IPアドレスが割り当てられていない第三者のPC103−104が、物理的にネットワークに接続されていても、Queryは、PC103−104に転送されない。これにより、第三者がQueryの情報を悪用することを防止できる。
ステップS150では、PC101−102は、Queryを受信する。ステップS152では、PC101−102は、Queryの受信に応答して、MRをマルチキャスト形式で、DHCPサーバ301に送信する。
ステップS252では、L2スイッチ201−203は、IGMPスヌーピング機能を用いて、PC101−102から受信したMRをDHCPサーバ301に転送する。
ステップS252では、L2スイッチ201−203は、IGMPスヌーピング機能を用いて、PC101−102から受信したMRをDHCPサーバ301に転送する。
ステップS352では、DHCPサーバ301は、MRを受信する。ステップS354では、DHCPサーバ301は、Queryを送信してから制限時間内にMRを受信できたか否かを判定する。制限時間内にMRを受信できた場合、ステップS356において、MRを送信した端末のMACアドレスは、図1に示した許可リスト302に保持される。
一方、制限時間内にMRを受信できなかった場合、ステップS358において、DHCPサーバ301は、MRを制限時間内に送信しなかった端末のMACアドレスを、許可リスト302から削除する。
一方、制限時間内にMRを受信できなかった場合、ステップS358において、DHCPサーバ301は、MRを制限時間内に送信しなかった端末のMACアドレスを、許可リスト302から削除する。
上述の処理により、定期的に更新される許可リスト302には、制限時間内にMRを送信した端末のMACアドレスのみが記憶される。この結果、IPアドレスの有効期限が切れたときに、ネットワークを利用しない端末にIPアドレスを再払い出しすることを防止でき、限られたIPアドレスを有効に活用できる。
また、許可リスト302が定期的に更新されるため、MR送信用ソフトウエアを使用せずにネットワークを継続的に利用することを防止できる。例えば、MR送信用ソフトウエアの異常終了により、MRの応答を返さなかった端末は、IPアドレスの有効期限が切れたときに、ネットワークを利用できなくなる。これにより、ネットワークの不正利用の防止を向上できる。
また、許可リスト302が定期的に更新されるため、MR送信用ソフトウエアを使用せずにネットワークを継続的に利用することを防止できる。例えば、MR送信用ソフトウエアの異常終了により、MRの応答を返さなかった端末は、IPアドレスの有効期限が切れたときに、ネットワークを利用できなくなる。これにより、ネットワークの不正利用の防止を向上できる。
図5は、図1に示した許可リスト302の一例を示している。許可リスト302は、整理番号No、MACアドレス、払い出し状況ST、リース時刻LTを示す情報を有している。MACアドレスには、MRをDHCPサーバに送信した端末のMACアドレスが記憶される。払い出し状況STには、払い出し中や待機中等を示す情報が記憶される。例えば、払い出し中は、端末にIPアドレスが払い出された状態を示している。また、待機中は、端末にIPアドレスが払い出されていない状態、例えば、上述した図3に示したステップS110を実行し、ステップS112を実行する前の状態を示している。リース時刻LTには、IPアドレスを払い出した時刻が記憶される。
例えば、整理番号No1では、MRをDHCPサーバに送信した正規の端末であるPC101のMACアドレスが記憶され、12時にIPアドレスをPC101に払い出したことを示している。また、整理番号No2では、正規の端末としてPC102のMACアドレスが記憶され、IPアドレスがPC102に、まだ払い出されていないことを示している。上述した図3に示したステップS110、S210、S310、S312および図4に示したフローにより、許可リスト302には、MRをDHCPサーバに送信した正規の端末のMACアドレスのみが、受信したMRに基づいて、自動的に記憶される。なお、払い出し状況STに、払い出したIPアドレスを記憶してもよい。この場合、DHCPサーバ301は、許可リスト302を用いて、正規の端末およびIPアドレスを管理できる。
図6は、図1に示したIPアドレス払い出し管理システム10で使用するIGMPフレームの構成を示している。図に示したIGMPフレームの構成は、IFTE(Internet Engineering Task Force)により、RFC(Request For Comment)2236で公開されているため、詳細な説明を省略する。IGMPフレームは、8ビットのType、8ビットのMax Resp Time、16ビットのChecksum、32ビットのGroup Addressを有している。
Typeは、IGMPのメッセージのタイプを示している。例えば、0x11は、マルチキャストグループのメンバを問い合わせるMembership Query、すなわち、上述した図4に示したQueryを示している。ここで、”0x”は、後に続く2桁の数字が16進数であることを示している。0x12および0x16は、マルチキャストグループに参加することを示すMembership Report、すなわち、上述した図3等に示したメンバーシップ・レポート(MR)を示している。また、0x12が示すMembership Reportは、IGMPv1を使用しているシステムとの互換用である。0x17は、マルチキャストグループからの離脱を示すLeave Group(後述する図9に示すLeave)を示している。
Max Resp Timeは、最大応答時間であり、例えば、上述した図4で説明した制限時間が設定される。Checksumは、誤り検出に用いられるチェックサムであり、Group Addressは、対象マルチキャストのグループアドレスである。例えば、事前に配布されたMR送信用ソフトウエアにより、Group Addressに、図1に示したDHCPサーバ301宛のグループアドレスが設定される。これにより、PC101は、ネットワーク接続時等に、DHCPサーバ301にMRを送信できる。
図7は、図3に示したフローの具体例を示している。上述した図1、図2および図3で説明した要素と同一の要素については、同一の符号を付し、これ等については、詳細な説明を省略する。図中の破線は、メンバーシップ・レポート(MR)等のフレームの流れを示している。
先ず、MR送信用ソフトウエアが予めインストールされている正規の端末であるPC101は、電源投入時あるいはネットワーク接続時にMR111をDHCPサーバ301に数秒間隔で送信する。L2スイッチ201−203は、IGMPの動作に基づき、PC101のMACアドレスを記憶し、MR111をDHCPサーバ301に転送する。DHCPサーバ301は、受信したMR111の送信元のMACアドレス(PC101のMACアドレス)を、許可リスト302に記憶する。また、PC101は、DHCPdiscover311もDHCPサーバ301に数秒間隔で送信する。PC101のMACアドレスは、許可リスト302に登録されているため、上述した図2に示した動作が実行され、PC101にIPアドレスが払い出される。
先ず、MR送信用ソフトウエアが予めインストールされている正規の端末であるPC101は、電源投入時あるいはネットワーク接続時にMR111をDHCPサーバ301に数秒間隔で送信する。L2スイッチ201−203は、IGMPの動作に基づき、PC101のMACアドレスを記憶し、MR111をDHCPサーバ301に転送する。DHCPサーバ301は、受信したMR111の送信元のMACアドレス(PC101のMACアドレス)を、許可リスト302に記憶する。また、PC101は、DHCPdiscover311もDHCPサーバ301に数秒間隔で送信する。PC101のMACアドレスは、許可リスト302に登録されているため、上述した図2に示した動作が実行され、PC101にIPアドレスが払い出される。
一方、MR送信用ソフトウエアがインストールされていないPC103は、電源投入時あるいはネットワーク接続時にDHCPdiscover311のみをDHCPサーバ301に数秒間隔で送信する。PC103のMACアドレスは、許可リスト302に登録されていないため、DHCPサーバは、受信したDHCPdiscover311を破棄し、DHCPoffer312をPC103に送信しない。したがって、上述した図2に示した動作が実行されない。この実施形態では、正規の端末へのMR送信用ソフトウエアのインストールにより、許可したい利用者の端末のみにIPアドレスを払い出し、第三者の端末へのIPアドレスの払い出しを防止することができる。
図8は、図4に示した端末存在確認のフローの具体例を示している。上述した図4および図7で説明した要素と同一の要素については、同一の符号を付し、これ等については、詳細な説明を省略する。図の例では、PC101およびPC102は、上述した図3に示したフローにより、IPアドレスを取得し、さらに、PC102は、IPアドレスの取得後、MR送信用ソフトウエアが異常終了している状態である。
DHCPサーバ301は、ネットワークを利用している端末を確認するために、マルチキャスト形式で、PC101およびPC102にQuery112を定期的に送信する。L2スイッチ201−203は、IGMPスヌーピング機能を用いて、対象マルチキャストのグループに参加している端末(PC101、PC102等)にQuery112を転送する。PC101は、ネットワークを利用することを明示するために、Query112の受信に応答して、MR111をDHCPサーバ301に送信する。
DHCPサーバ301は、PC101からのMR111を予め設定された制限時間内に受信できたため、許可リスト302に記憶されているPC101のMACアドレスを保持する。また、DHCPサーバ301は、PC101に払い出したIPアドレスの有効期限を更新する。この結果、PC101は、ネットワークを継続して利用できる。
一方、MR送信用ソフトウエアが異常終了しているPC102は、Query112の受信に応答して、MR111をDHCPサーバ301に送信できない。したがって、DHCPサーバ301は、PC102からのMR111を制限時間内に受信できないため、PC102に払い出したIPアドレスの有効期限を更新せずに、PC102のMACアドレスを許可リスト302から削除する。この結果、PC102は、IPアドレスの有効期限が切れたときに、ネットワークを利用できなくなる。
一方、MR送信用ソフトウエアが異常終了しているPC102は、Query112の受信に応答して、MR111をDHCPサーバ301に送信できない。したがって、DHCPサーバ301は、PC102からのMR111を制限時間内に受信できないため、PC102に払い出したIPアドレスの有効期限を更新せずに、PC102のMACアドレスを許可リスト302から削除する。この結果、PC102は、IPアドレスの有効期限が切れたときに、ネットワークを利用できなくなる。
これにより、DHCPサーバ301は、IPアドレスの有効期限が切れたときに、PC102に割り当てたIPアドレスを他の機器に割り当てることができる。この結果、限られたIPアドレスを有効に活用できる。
また、MR送信用ソフトウエアを使用せずにネットワークを利用することを防止でき、ネットワークの不正利用の防止を向上できる。例えば、PC102がネットワークを利用していないときに、MR送信用ソフトウエアがインストールされていない端末(例えば、PC103)が、PC102のMACアドレスになりすまして、IPアドレスを取得することを防止できる。なお、PC102は、MR送信用ソフトウエアを再度起動し、上述の図3に示したフローを実行することにより、新たなIPアドレスを取得できる。
また、MR送信用ソフトウエアを使用せずにネットワークを利用することを防止でき、ネットワークの不正利用の防止を向上できる。例えば、PC102がネットワークを利用していないときに、MR送信用ソフトウエアがインストールされていない端末(例えば、PC103)が、PC102のMACアドレスになりすまして、IPアドレスを取得することを防止できる。なお、PC102は、MR送信用ソフトウエアを再度起動し、上述の図3に示したフローを実行することにより、新たなIPアドレスを取得できる。
図9は、図1に示したIPアドレス払い出し管理システム10の端末がネットワークの利用を終了するときの動作の一例を示している。ネットワークの利用を終了するPC101は、IPアドレス返却のためのDHCPrelease315をDHCPサーバ301に送信する。さらに、PC101は、Leave113(上述した図6に示したIGMPフレームのLeave Group)をDHCPサーバ301に送信する。L2スイッチ201、203は、IGMPスヌーピング機能を用いて、DHCPサーバ301にLeave113を転送する。Leave113を受信したDHCPサーバ301は、Leave113の送信元のPC101のMACアドレスを、許可リスト302から削除する。これにより、PC101がネットワークを利用していないときに、MR送信用ソフトウエアがインストールされていない端末(例えば、PC103)が、PC101のMACアドレスになりすまして、IPアドレスを取得することを防止できる。許可リスト302は、上述した図8に示したQuery112の送信間隔に拘わらず、ネットワークの利用が終了したときに更新されるため、ネットワークの不正利用の防止をさらに向上できる。
以上、この実施形態では、正規の利用者は、DHCPサーバからのQueryに対してMRを応答するソフトウエア(MR送信用ソフトウエア)を、端末に予めインストールする。すなわち、正規な端末には、MR送信用ソフトウエアが予めインストールされる。これにより、正規の端末は、電源投入時、ネットワーク接続時、あるいは、DHCPサーバ301からの問い合わせ時に、MRを自動的にDHCPサーバ301に送信できる。DHCPサーバ301は、受信したMRに基づいて、IPアドレスの払い出しを許可する端末として、その端末のMACアドレスを自動的に許可リスト302に記憶する。
したがって、端末(PC101−102)、各L2スイッチ201−203、DHCPサーバ301等に、煩わしい設定をすることなく、許可したい利用者の端末のみにIPアドレスを払い出し、第三者の端末へのIPアドレスの払い出しを防止することができる。さらに、DHCPサーバ301は、端末によるネットワークの利用の終了時およびQueryを用いた定期的な端末存在確認時に、許可リスト302を自動的に更新する。これにより、MR送信用ソフトウエアを使用せずにネットワークを利用することを防止でき、ネットワークの不正利用の防止を向上できる。また、IPアドレスは、有効期限が設定されて払い出されるため、限られたIPアドレスを有効に活用できる。
なお、上述した実施形態では、許可リスト302に基づいてIPアドレスを払い出すか否かを判定する例について述べた。本発明は、かかる実施形態に限定されるものではない。例えば、DHCPサーバは、図5に示した許可リスト302と一緒に、図10に示す拒否リスト303を用いて、IPアドレスを払い出すか否かを判定してもよい。図10は、IPアドレスの払い出しを拒否する端末のMACアドレスを記憶する拒否リスト303の一例を示している。
拒否リスト303は、整理番号NoおよびMACアドレスの情報を有している。MACアドレスには、IPアドレスの払い出しを拒否する端末、例えば、他のネットワークで悪質な利用者として知られている人が利用する端末のMACアドレスが記憶される。例えば、整理番号No1には、PC103のMACアドレスが記憶される。これにより、DHCPサーバ301は、PC103からMRを受信しても、拒否リスト303に記憶されているMACアドレスのため、IPアドレスをPC103に払い出さない。
なお、正規の利用者が、長期出張等で端末を利用しない期間だけ、その端末のMACアドレスを、拒否リスト303に記憶し、再度利用するときに拒否リスト303から削除してもよい。この場合にも、上述した実施形態と同様の効果を得ることができる。さらに、第三者がMR送信用ソフトウエアを入手した場合でも、第三者の端末へのIPアドレスの払い出しを防止することができる。
上述した実施形態では、第三者の端末へのIPアドレスの払い出しを防止するために、図3に示したフローを実施する例について述べた。本発明は、かかる実施形態に限定されるものではない。例えば、DHCPサーバ301は、図11に示すフローを実施することにより、第三者の端末へのIPアドレスの払い出しを防止してもよい。
図11は、図1に示したDHCPサーバ301のIPアドレス払い出し動作の別の例を示している。上述した図3で説明したステップと同一のステップについては、同一の符号を付し、これ等については、詳細な説明を省略する。図1に示したPC101−102およびL2スイッチ201−203の動作は、図3に示した動作と同じである。図11に示したフローは、図3に示したステップS316に対応する処理(ステップS321)をステップS320の処理の後に実施する点が、図3に示したフローと異なる。
図11は、図1に示したDHCPサーバ301のIPアドレス払い出し動作の別の例を示している。上述した図3で説明したステップと同一のステップについては、同一の符号を付し、これ等については、詳細な説明を省略する。図1に示したPC101−102およびL2スイッチ201−203の動作は、図3に示した動作と同じである。図11に示したフローは、図3に示したステップS316に対応する処理(ステップS321)をステップS320の処理の後に実施する点が、図3に示したフローと異なる。
DHCPサーバ301は、DHCPrequestを受信(ステップS320)した後に、ステップS321において、DHCPrequestの送信元の端末のMACアドレスが、許可リストに記憶されているか否かを判定する。DHCPrequestの送信元の端末のMACアドレスが、許可リストに記憶されている場合、ステップS322aにおいて、DHCPサーバ301は、DHCPrequestの送信元の端末にDHCPackを返信する。これにより、DHCPサーバ301は、許可したい利用者の端末にIPアドレスを払い出すことができる。
一方、DHCPrequestの送信元の端末のMACアドレスが、許可リストに記憶されていない場合、ステップS322bにおいて、DHCPサーバ301は、DHCPrequestの送信元の端末にDHCPnackを返信する。なお、DHCPサーバ301は、ステップS322bにおいて、無効なIPアドレス(例えば、0.0.0.0)を、DHCPrequestの送信元の端末に払い出してもよい。これにより、許可リストに記憶されていない第三者の端末への有効なIPアドレスの払い出しを防止できる。図11に示したフローにおいても、上述した実施形態と同様の効果を得ることができる。
以上、本発明について詳細に説明してきたが、上記の実施形態およびその変形例は発明の一例に過ぎず、本発明はこれに限定されるものではない。本発明を逸脱しない範囲で変形可能であることは明らかである。
本発明は、IPアドレス払い出し管理システムおよびIPアドレス払い出し管理方法に利用できる。
10‥IPアドレス払い出し管理システム;20‥ネットワーク;101−104‥端末(PC);111−113‥IGMPフレーム;201−103‥L2スイッチ;301‥DHCPサーバ;302‥許可リスト;303‥拒否リスト;311−316‥DHCPフレーム;401‥ルータ
Claims (10)
- ネットワークに接続される機器を識別するためのIPアドレスを管理するサーバと、
IGMP(Internet Group Management Protocol)に基づくメンバーシップ・レポートを送信する端末と、
IGMPスヌーピング機能を有し、前記端末から受信したメンバーシップ・レポートを前記サーバへ転送するネットワーク中継機器とを備え、
前記サーバは、受信した前記メンバーシップ・レポートに基づいて、前記メンバーシップ・レポートを送信した端末のみにIPアドレスを払い出すことを特徴とするIPアドレス払い出し管理システム。 - 請求項1記載のIPアドレス払い出し管理システムにおいて、
前記サーバは、
IPアドレスの払い出しを許可する端末のMACアドレスを記憶する許可リストを有し、
受信した前記メンバーシップ・レポートに基づいて、前記メンバーシップ・レポートを送信した端末のMACアドレスを前記許可リストに記憶し、
IPアドレスの取得のためのフレームを端末から受信したときに、前記フレームを送信した端末のMACアドレスが、前記許可リストに記憶されているか否かを判定し、
前記フレームを送信した端末のMACアドレスが、前記許可リストに記憶されている場合のみ、IPアドレスを払い出すことを特徴とするIPアドレス払い出し管理システム。 - 請求項2記載のIPアドレス払い出し管理システムにおいて、
前記サーバは、
IGMPに基づくクエリ(Query)を端末に送信し、
前記クエリに対する応答である前記メンバーシップ・レポートを、予め設定された制限時間内に受信できたか否かを判定し、
前記制限時間内に受信できなかったメンバーシップ・レポートに対応する端末のMACアドレスを、前記許可リストから削除することを特徴とするIPアドレス払い出し管理システム。 - 請求項3記載のIPアドレス払い出し管理システムにおいて、
前記端末は、ネットワークを利用することを明示するために、前記クエリを前記サーバから受信した場合、前記メンバーシップ・レポートを前記サーバに返信することを特徴とするIPアドレス払い出し管理システム。 - 請求項1記載のIPアドレス払い出し管理システムにおいて、
前記端末は、ネットワーク接続時に、前記メンバーシップ・レポートを前記サーバに送信することを特徴とするIPアドレス払い出し管理システム。 - ネットワークに接続される機器を識別するためのIPアドレスを管理するサーバと、端末と、ネットワーク中継機器とを備えたネットワークにおけるIPアドレス払い出し管理方法であって、
前記端末は、IGMPに基づくメンバーシップ・レポートを送信し、
前記ネットワーク中継機器は、IGMPスヌーピング機能に基づいて、前記端末から受信したメンバーシップ・レポートを前記サーバへ転送し、
前記サーバは、受信した前記メンバーシップ・レポートに基づいて、前記メンバーシップ・レポートを送信した端末のみにIPアドレスを払い出すことを特徴とするIPアドレス払い出し管理方法。 - 請求項6記載のIPアドレス払い出し管理方法において、
前記サーバは、
IPアドレスの払い出しを許可する端末のMACアドレスを記憶する許可リストを備え、
受信した前記メンバーシップ・レポートに基づいて、前記メンバーシップ・レポートを送信した端末のMACアドレスを前記許可リストに記憶し、
IPアドレスの取得のためのフレームを端末から受信したときに、前記フレームを送信した端末のMACアドレスが、前記許可リストに記憶されているか否かを判定し、
前記フレームを送信した端末のMACアドレスが、前記許可リストに記憶されている場合のみ、IPアドレスを払い出すことを特徴とするIPアドレス払い出し管理方法。 - 請求項7記載のIPアドレス払い出し管理方法において、
前記サーバは、
IGMPに基づくクエリを端末に送信し、
前記クエリに対する応答である前記メンバーシップ・レポートを、予め設定された制限時間内に受信できたか否かを判定し、
前記制限時間内に受信できなかったメンバーシップ・レポートに対応する端末のMACアドレスを、前記許可リストから削除することを特徴とするIPアドレス払い出し管理方法。 - 請求項8記載のIPアドレス払い出し管理方法において、
前記端末は、ネットワークを利用することを明示するために、前記クエリを前記サーバから受信した場合、前記メンバーシップ・レポートを前記サーバに返信することを特徴とするIPアドレス払い出し管理方法。 - 請求項6記載のIPアドレス払い出し管理方法において、
前記端末は、ネットワーク接続時に、前記メンバーシップ・レポートを前記サーバに送信することを特徴とするIPアドレス払い出し管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007008182A JP4864735B2 (ja) | 2007-01-17 | 2007-01-17 | Ipアドレス払い出し管理システムおよびipアドレス払い出し管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007008182A JP4864735B2 (ja) | 2007-01-17 | 2007-01-17 | Ipアドレス払い出し管理システムおよびipアドレス払い出し管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008177761A JP2008177761A (ja) | 2008-07-31 |
| JP4864735B2 true JP4864735B2 (ja) | 2012-02-01 |
Family
ID=39704459
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007008182A Expired - Fee Related JP4864735B2 (ja) | 2007-01-17 | 2007-01-17 | Ipアドレス払い出し管理システムおよびipアドレス払い出し管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4864735B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5731949B2 (ja) * | 2011-11-01 | 2015-06-10 | 日本電信電話株式会社 | セキュアアクセスシステムおよびセキュアアクセス方法 |
| US9686091B2 (en) * | 2013-02-01 | 2017-06-20 | Harman International Industries, Incorporated | Network address management and functional object discovery system |
| JP6306485B2 (ja) * | 2014-09-29 | 2018-04-04 | 日本電信電話株式会社 | 判別装置及び判別方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4077330B2 (ja) * | 2003-02-06 | 2008-04-16 | 富士通株式会社 | データ生成装置 |
| JP2006087014A (ja) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | レイヤ2スイッチ |
| JP2008060631A (ja) * | 2006-08-29 | 2008-03-13 | Alaxala Networks Corp | 通信装置及びマルチキャストユーザ認証方法 |
| JP5002259B2 (ja) * | 2006-12-25 | 2012-08-15 | パナソニック株式会社 | 認証システム |
-
2007
- 2007-01-17 JP JP2007008182A patent/JP4864735B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008177761A (ja) | 2008-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20060133356A1 (en) | Network telephone system | |
| JP2004040759A (ja) | 家電機器ネットワークの遠隔制御システムおよびその方法 | |
| JP2006033830A (ja) | 無線式パケット・ベースのネットワークの電力節減 | |
| JP2004185498A (ja) | アクセス制御装置 | |
| JP2009296128A (ja) | 情報処理装置、情報処理装置の制御方法及びコンピュータプログラム | |
| CN101197811B (zh) | 提高代理方式下动态主机配置协议中服务器可靠性的方法 | |
| US20240163243A1 (en) | Systems and methods for improving arp/nd performance on host communication devices | |
| JP4864735B2 (ja) | Ipアドレス払い出し管理システムおよびipアドレス払い出し管理方法 | |
| EP1585288A2 (en) | Electronic apparatus, a method of controlling an electronic apparatus, a computer program and a computer program and a computer readable storage medium | |
| JP6147415B2 (ja) | ネットワークの変化に耐性のある、コンピュータネットワーク内のサービスディスカバリ方法 | |
| JP2008244765A (ja) | 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法 | |
| JP4290526B2 (ja) | ネットワークシステム | |
| JP3730583B2 (ja) | マルチキャスト通信システム、このマルチキャスト通信システムに用いられるルーティング装置および認証サーバ装置、ルーティング装置用のプログラム、認証サーバ装置用のプログラム、ならびにマルチキャスト通信方法 | |
| JP2008077475A (ja) | サーバクライアントシステム及び通信状態配信サーバ | |
| JP2008227600A (ja) | 通信妨害装置及び通信妨害プログラム | |
| US7904506B2 (en) | Context information management system | |
| JP2003324457A (ja) | アクセス制御装置、方法、プログラムおよび記録媒体 | |
| US20040250137A1 (en) | Host management apparatus, host management method, and host management program | |
| JP6993883B2 (ja) | マルチキャスト中継装置、マルチキャスト中継システムおよびマルチキャスト中継方法 | |
| US11552928B2 (en) | Remote controller source address verification and retention for access devices | |
| JP2003348085A (ja) | Dhcpサーバー、ipアドレスの管理方法、サーバープログラム | |
| JP2006295339A (ja) | ゲートウェイ装置及びそのプログラム | |
| JP2004056584A (ja) | マルチキャスト通信システムにおけるルーティング装置、そのルーティング方法およびプログラム | |
| KR20090040588A (ko) | 동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치 | |
| JP2002271367A (ja) | ネットワークの接続システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090907 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111026 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111101 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111109 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141118 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |