JP5074314B2 - フレーム転送装置 - Google Patents
フレーム転送装置 Download PDFInfo
- Publication number
- JP5074314B2 JP5074314B2 JP2008177276A JP2008177276A JP5074314B2 JP 5074314 B2 JP5074314 B2 JP 5074314B2 JP 2008177276 A JP2008177276 A JP 2008177276A JP 2008177276 A JP2008177276 A JP 2008177276A JP 5074314 B2 JP5074314 B2 JP 5074314B2
- Authority
- JP
- Japan
- Prior art keywords
- frame
- discard
- port
- management table
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/18—Loop-free operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/55—Prevention, detection or correction of errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Description
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、広域ネットワークに接続された第2のインタフェース部と、制御部を備え、各ユーザ端末と上記広域ネットワークとの間でMACフレームの転送を制御するMACフレーム転送装置であって、
上記制御部が、ユーザ端末または広域ネットワーク側装置のMACアドレスと対応して該端末または装置が接続された第1または第2インタフェース部を特定する接続ポートIDを保存するテーブルと、
受信フレームの送信元MACアドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象MACアドレスと対象ポートIDを保存するテーブルと、
上記廃棄したフレーム数をカウントするテーブルと、
本MACフレーム転送装置を管理する管理装置との通知手段を備え、フレーム受信時に送信元MACと上記廃棄対象MACアドレスが一致した場合にフレームを廃棄し、かつ、上記廃棄フレーム数をカウントし、廃棄したフレーム数が予め定めた値を越えた場合に当該ポートIDとMACアドレス、廃棄フレーム数を管理装置に通知することを、特徴のひとつとする。
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存し、かつ、アドレス及び接続ポートIDに対応して、さらに、一定時間アクセスがないものを削除するエイジング機能の対象か否かを設定するエイジング対象外設定欄を含む、フレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記フレーム転送管理テーブルのエイジング対象外設定欄がエイジング対象外か判定し、エイジング対象外の場合は、前記フレーム転送管理テーブルを上書き更新又は登録しないようにし、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングし、
前記プロセッサは、
管理装置から、設定データの内容として、対象ポートID、対象アドレス、登録または削除の指示を取得し、
対象ポートと対象アドレスの組が、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄にエイジング対象外として登録されているか検索し、
(1) アドレス及び接続ポートIDの組がエイジング対象外として登録済の場合は、
登録指示の場合は、既に登録済のため終了し、
削除指示の場合は、前記フレーム転送管理テーブルの当該エントリを初期化して削除し、前記フレーム廃棄管理テーブルの非当該ポートIDに登録されている当該のエントリを初期化して削除し、
一方
(2)アドレス及び接続ポートIDの組がエイジング対象外として登録未の場合は、
登録指示の場合は、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄を登録し、エイジング対象外設定欄に対象外としての設定を行い、前記フレーム廃棄管理テーブルの非当該ポートIDに当該を廃棄対象アドレスとして登録する
前記フレーム転送装置が提供される。
本発明の第2の解決手段によると、
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存するフレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
ポートID欄に対応して、優先的に登録するための優先ポート設定欄を記憶した優先学習ポート設定テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記優先学習ポート設定テーブルの受信フレームのポートIDが優先ポート設定されているか判定し、優先学習ポート設定の場合には、前記フレーム廃棄管理テーブルの非優先学習ポートに対し、当該受信フレームの送信元アドレスを廃棄対象アドレスとして登録し、終了し、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングする
前記フレーム転送装置が提供される。
1.第1の実施の形態
(ハード構成)
図1は、MACフレーム転送装置20を含むネットワークシステム構成の第1の実施の形態を示す。
ここに示したネットワークシステムは、MACフレーム転送装置20と、複数のユーザ端末(60−1aから60−3c)と、管理装置(10−1から10−3)を備え、ルータ30を介して、インターネット40に接続されている。
図2に示すMACフレーム転送装置20は、管理装置10と接続するためのシリアルインタフェース部2100と、同様に制御インタフェース部2200と、プロセッサ2300と、プロセッサ2300が実行する各種のプログラムを格納したメモリ2400と、データメモリ2500と、フレーム転送制御処理部2600(2600−1から2600−r)と、アクセス回線を収容するフレーム送受信インタフェース部2700(2700−1から2700−r)と、これらの要素を接続する内部バス2800を備える。
図3は、本実施の形態におけるフレーム転送管理テーブル2510の構成図の一例を示す。フレーム転送管理テーブル2510は、本実施の形態において、受信したフレームの送信先ポートを決定するために使用されるテーブルである。
図3において、フレーム転送管理テーブル2510は、MACアドレス欄2511と、接続ポートID欄2512を備える。MACアドレス欄2511には、フレーム受信時の送信元MACアドレスを登録する。接続ポートID欄2512には、そのときの入力(送信元)ポートIDを登録し前記MACアドレスを持つ端末が接続されているポートIDを示す。
フレーム受信時には、受信フレームの宛先MACアドレスをフレーム転送管理テーブル2510で検索し、ヒットした場合にその接続ポートID欄2512が示すポートIDに送信(転送)する。
図4において、フレーム廃棄管理テーブル2520は、ポートID欄2521と、ポートID毎のindex欄2522と、廃棄対象MACアドレス欄2523と、廃棄フレーム数欄2524を備える。indexは、例えば、自然に(又は自動的に)ハードウェアがナンバリングするものである。
図5において、廃棄通知パラメータテーブル2530は、廃棄数監視周期欄2531と、周期クリア欄2532と、廃棄数閾値2533を備えている。
例(1)は、300秒に1回廃棄数を確認し、あるポートIDのあるMACアドレスの廃棄フレーム数2524が100個以上になったら管理装置10に通知し、当該ポートIDの当該MACアドレスの廃棄フレーム数欄2524をクリアする設定例である。
次に、第1の実施の形態の動作について説明する。
図6は、第1の実施の形態におけるフレーム転送制御処理部2600のフローチャートを示す。フレーム転送制御処理部2600は、MACフレームの受信、転送および廃棄、フレーム転送管理テーブル2510への登録処理、等を行う。
一方、登録されていなかった場合は(S2のNoルート)、フレーム転送制御処理部2600は、受信フレームの送信元MACアドレスがフレーム転送管理テーブル2510のMACアドレス欄2511に登録されているか検索する(S5)。
フレーム転送管理テーブル登録処理(S6)では、フレーム転送制御処理部2600は、受信フレームの送信元MACアドレスと受信ポートIDを、フレーム転送管理テーブル2510のMACアドレス欄2511と接続ポートID欄2512に各各登録し(図7のS601)、終了する。
フレーム転送管理テーブル2510にMACアドレスとポートIDが登録されたため、以降の受信フレームの宛先MACアドレスが今回登録したMACアドレスと一致する場合は、フラッディングではなく当該ポートにのみ転送(送信)される。
プロセッサ2300は、廃棄対象MACアドレス設定処理(S22)を開始し、設定データの内容、「対象ポートID」「廃棄対象MACアドレス」「登録または削除の指示」を取得し(S2201)、「対象ポート」と「廃棄対象MACアドレス」の組が、フレーム廃棄管理テーブル2520のポートID欄2521と廃棄対象MACアドレス欄2523に登録されているか検索する(S2202)。
プロセッサ2300は、廃棄通知パラメータ設定処理2410(S24)の実行を開始し、設定データの内容、「廃棄数監視周期」「周期クリア設定」「廃棄数閾値」を取得し(S2401)、指示に従い廃棄通知パラメータテーブル2530に設定する(S2402)。次に、廃棄数監視周期2531に設定変化があったか判定し(S2403)、変化なしの場合は(S2403のNoルート)、終了する。変化あり時は(S2403のYesルート)、周期タイマを停止し(S2404)、変化後の“新”廃棄数監視周期が0秒(時間周期に依る監視なし)か判定する(S2405)。0秒設定の場合は(S2405のYesルート)終了し、異なる場合(S2405のNoルート)は周期タイマを“新”周期で開始し(S2406)終了する。
プロセッサ2300は、イベント通知処理(S25)を開始し、周期タイマが動作中か判定する(S2501)。周期タイマ動作中の場合は(S2501のYesルート)、プロセッサ2300は、次に周期タイマが満了したか判定する(S2502)。周期タイマが満了していない場合(S2502のNoルート)は、プロセッサ2300は、処理を終了する。一方、プロセッサ2300は、周期タイマが満了していた場合(S2502のYesルート)および周期タイマが停止中の場合(S2501のNoルート)は、フレーム廃棄管理テーブル2520の廃棄フレーム数2524が、廃棄通知パラメータテーブル2530の廃棄数閾値2533の値以上かを判定する(S2503)。
Enable設定の場合は(S2509のYesルート)、プロセッサ2300は、フレーム廃棄管理テーブル2520の全エントリの廃棄フレーム数欄2524を0クリアする(S2510)。ステップS2510の次、および、周期クリア欄2532設定がDisable設定の場合(S2509のNoルート)は、プロセッサ2300は、周期タイマを再開し(S2511)、処理を終了する。
図26は、第1の実施の形態において、ループフレームや不正フレームが廃棄され、管理装置10に通知されるまでのシーケンスの一例を示す図である。
MACフレーム転送装置20を設置した管理者は、ループフレームや不正フレームを廃棄させるために、予めルータ30のMACアドレスを調べておき、ステップS24の廃棄通知パラメータ設定処理(SQ1)と、ステップS22の廃棄対象MACアドレス設定処理(SQ2)を、管理装置10からMACフレーム転送装置20に指示し、MACフレーム転送装置20のプロセッサ2300で実施する。各設定指示は、図8、図9、図10に示すフローチャートに従い処理される。本シーケンス例では、ルータ30のMACアドレス(Mr)を送信元に持つフレームをポートP1やポートP2で受信時に廃棄するため、フレーム廃棄テーブル2520は図26に示すように設定する場合を示す。
上記例では、ルータ30のMACアドレスを持つ不正フレームを廃棄し通知する例を示したが、同様にユーザ端末60のMACアドレスを持つ不正フレームを廃棄し通知するように実施することも容易である。
(ハード構成)
第1の実施の形態と同様である。
図12は、第1の実施の形態のフレーム転送管理テーブル2510の一変形例である第2の実施の形態を示す。
図3と比較すると、本実施の形態は、フレーム転送管理テーブル2510に対し、管理装置10等からの管理者指示での登録も可能とし、かつ、管理者指示で登録したものがエイジングで削除されるのを防ぐためにエイジング対象外設定欄2513を備えたことに特徴がある。また、一例として、エイジング対象外設定を“1”とし、エイジング対象設定を“0”と定義している。これらにより、フレーム転送管理テーブル2510に登録するだけで、自動的にフレーム廃棄管理テーブル2520への登録を自動化し、管理者の負荷を軽減することが可能となる。
他のメモリ構成は、第1の実施の形態と同様である。
以下、フローチャートで処理について詳細に説明する。
図13は、第1の実施の形態のフレーム転送制御処理部2600の一変形例である第2の実施の形態を示す。
図6と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS5のYesルート後に、フレーム転送管理テーブル2510エイジング対象外設定欄2513がエイジング対象外か判定し(S11)、エイジング対象外の場合は(S11のYesルート)、フレーム転送管理テーブル2510を(上書き)更新しないように(登録しないように)したことに特徴のひとつがある(図13の破線囲み)。
図8と比較すると、本実施の形態は、プロセッサ2300は、S23のNoルート後に、管理装置10からフレーム転送管理テーブル設定の指示を受信したか否かを判定し(S26)、指示を受信した場合には(S26のYesルート)、後述するフレーム転送管理テーブル設定処理(S27)を行うことに特徴がある(図14の破線囲み)。
プロセッサ2300は、フレーム転送管理テーブル設定処理(S27)を開始すると、設定データの内容「対象ポートID」「対象MACアドレス」「登録または削除の指示」を取得し(S2701)、「対象ポート」と「対象MACアドレス」の組が、フレーム転送管理テーブル2510のMACアドレス欄2511と接続ポートID欄2512にエイジング対象外として登録されているか検索する(S2702)。
これはつまり、ポート1でMAC=Aがエイジング対象外設定され、ポート2ではMAC=Aが廃棄MACアドレスとして登録されていた後、ポート1でMAC=Aをフレーム転送管理テーブル2510から削除指示した場合にはフレーム廃棄管理テーブル2520において、ポート2のMAC=A廃棄設定を削除するということである。
フレーム廃棄管理テーブル2520への廃棄MACアドレス設定は装置内部で自動的に実施されるため、第1の実施の形態の効果に加え、さらに管理者の管理負荷を軽減することが可能となる。
(ハード構成)
図16は、本発明のMACフレーム転送装置20を含むネットワークシステム構成の一変形例である第3の実施の形態を示す。
図1と比較すると、本実施の形態は、データメモリ2500内に、優先学習ポート設定テーブル2540を備えたことに特徴がある。ここで優先学習と名付けたのは、なりすまし防止のため、そのポートでの学習は優先的に扱うという意味である。つまり、優先学習ポートと設定されたポートからの受信フレームの送信元MACアドレスは、優先的に学習(登録)する。このようにすることで、管理者がルータ30などのMACアドレスを調べる必要がなくなり、MACフレーム転送装置20上でルータ30の接続されているポートを指定するだけで良く、管理者の負荷を軽減することが可能となる。
他の構成は、第1の実施の形態と同様である。
図17は、本実施の形態における優先学習ポート設定テーブル2540の構成の一例を示す。
優先学習ポート設定テーブル2540は、本実施の形態において、フレーム転送管理テーブルの自動学習を優先的に学習するポートIDを設定するテーブルである。図17において、優先学習ポート設定テーブル2540は、ポートID欄2541と、優先学習フラグ欄2542を備える。また、一例として、優先学習ポート設定で優先設定を“1”と定義し、非優先設定を“0”と定義している。
他のメモリ構成は第1の実施の形態と同様である。
以下、フローチャートで処理について詳細に説明する。
図18は、第1の実施の形態のフレーム転送制御処理部2600の一変形例である第3の実施の形態を示す。
図6と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS5のYesルート後に、優先学習ポート設定テーブル2540の受信フレームのポートIDが優先ポート設定されているか判定し(S12)、優先学習ポート設定の場合には(S12のYesルート)、フレーム廃棄管理テーブル2520に優先学習ポートIDで(上書き)登録する(フレーム転送管理テーブル登録処理S6:変形例)ところに特徴のひとつがある(図18の破線囲み)。
図7と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS601の後に、優先学習ポート設定テーブル2540の受信フレームのポートIDが優先ポート設定されているか判定し(S602)、非優先学習ポート設定の場合には(S602のNoルート)、終了する。
優先学習ポート設定の場合には(S602のYesルート)、フレーム転送制御処理部2600は、優先学習ポート設定テーブル2540を参照し非優先学習ポートを検出し、フレーム廃棄管理テーブル2520の非優先学習ポートに対し、当該受信フレームの送信元MACアドレスを廃棄対象MACアドレスとして登録し(S603)、終了する。
図8と比較すると、本実施の形態では、ステップS23のNoルート後に、管理装置10から優先学習ポート設定の指示を受信したか否かを判定し(S28)、指示を受信した場合には(S28のYesルート)、後述する優先学習ポート設定処理(S29)を行うことに特徴がある(図20の破線囲み)。
プロセッサ2300は、優先学習ポート設定処理(S29)を開始すると、設定データの内容「対象ポートID」「優先学習フラグ設定」を取得し(S2901)、優先学習フラグ設定に変化ありか判定する(S2902)。プロセッサ2300は、フラグ変化なしの場合は(S2902のNoルート)は、終了する。一方、フラグ変化ありの場合は(S2902のYesルート)は、プロセッサ2300は、フレーム転送管理テーブル2510内で、当該ポートIDで登録されている全MACアドレスを取得する(S2903)。
図22、図23、図24は、それぞれ第1の実施の形態の各テーブルの一変形例であり、第4の実施の形態を示す。
第4の実施の形態は、各テーブルに追加の識別情報としてVLAN−ID(Virtual LAN−ID)を追加した例である。このように、ポートとMACの組に依る管理に、VLAN−IDなどの識別子を追加する拡張も容易である。上述した第1〜第3の実施の形態の各フローチャートにおける処理で、データの設定又は判断等の条件として、VLAN−IDをさらに加えることで、各処理を実行することができる。
(ハード構成)
図25は、本発明のMACフレーム転送装置20を含むネットワークシステム構成の一変形例である第5の実施の形態を示す。
図25では、PON(Passive Optical Network)システムに置き換えた例を示す。ここでPONシステムOLT20は、前記のMACフレーム転送装置20と同様のフレーム廃棄処理および管理装置への通知処理を備える。またONU100(100−1から100−4)もまた同様の処理を備える。PONシステムOLT20とONU100間は、光スプリッタ73、74および光ファイバ71(71−1から71−4)でスター型に接続される。
以上のように、PONシステムにも容易に拡張することが可能であり、実施の形態によれば、ONUのどのユーザ側ネットワークポートで不正フレームが発生しているかを管理者に容易に通知可能となる。
20:MACフレーム転送装置、PONシステムOLT
30:ルータ
40:インターネット
50、50−1〜50−2:HUB
60、60−1a〜60−3c:ユーザ端末
70、70−1〜70−r:アクセス回線
73,74:光スプリッタ
80、81:広域ネットワーク回線
91:シリアルケーブルなどの回線
92:管理用のネットワーク回線
100、100−1〜100−4:ONU(光終端装置)
2100:シリアルインタフェース部
2200:制御インタフェース部
2300:プロセッサ
2400:メモリ
2410:テーブル管理処理
2500:データメモリ
2510:フレーム転送管理テーブル
2520:フレーム廃棄管理テーブル
2530:廃棄通知パラメータテーブル
2540:優先学習ポート設定テーブル
2600、2600−1〜2600−r:フレーム転送制御処理部
2700、2700−1〜2700−r:フレーム送受信インタフェース部
2800:内部バス
Claims (8)
- それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存し、かつ、アドレス及び接続ポートIDに対応して、さらに、一定時間アクセスがないものを削除するエイジング機能の対象か否かを設定するエイジング対象外設定欄を含む、フレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記フレーム転送管理テーブルのエイジング対象外設定欄がエイジング対象外か判定し、エイジング対象外の場合は、前記フレーム転送管理テーブルを上書き更新又は登録しないようにし、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングし、
前記プロセッサは、
管理装置から、設定データの内容として、対象ポートID、対象アドレス、登録または削除の指示を取得し、
対象ポートと対象アドレスの組が、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄にエイジング対象外として登録されているか検索し、
(1) アドレス及び接続ポートIDの組がエイジング対象外として登録済の場合は、
登録指示の場合は、既に登録済のため終了し、
削除指示の場合は、前記フレーム転送管理テーブルの当該エントリを初期化して削除し、前記フレーム廃棄管理テーブルの非当該ポートIDに登録されている当該のエントリを初期化して削除し、
一方
(2)アドレス及び接続ポートIDの組がエイジング対象外として登録未の場合は、
登録指示の場合は、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄を登録し、エイジング対象外設定欄に対象外としての設定を行い、前記フレーム廃棄管理テーブルの非当該ポートIDに当該を廃棄対象アドレスとして登録する
前記フレーム転送装置。 - それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存するフレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
ポートID欄に対応して、優先的に登録するための優先ポート設定欄を記憶した優先学習ポート設定テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記優先学習ポート設定テーブルの受信フレームのポートIDが優先ポート設定されているか判定し、優先学習ポート設定の場合には、前記フレーム廃棄管理テーブルの非優先学習ポートに対し、当該受信フレームの送信元アドレスを廃棄対象アドレスとして登録し、終了し、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングする
前記フレーム転送装置。 - 前記プロセッサは、
管理装置から優先学習ポート設定の指示を受信した場合には、
前記管理装置から、設定データの内容である対象ポートID、優先学習フラグ設定を取得し、優先学習フラグ設定の変化ありの場合は、前記フレーム転送管理テーブル内で、当該ポートIDで登録されている全アドレスを取得し、
(1) フラグ設定指示が優先学習設定に変化した場合は、前記優先学習ポート設定テーブルの当該ポートの優先学習フラグ欄を優先学習設定にし、前記フレーム廃棄管理テーブルの非優先学習ポートIDに対し、上記取得した全アドレスを廃棄対象アドレス欄に登録し、また、前記フレーム廃棄管理テーブルの優先学習設定した当該ポートIDに対し、廃棄対象アドレスを全て削除し、
一方、
(2) フラグ設定指示が非優先学習設定に変化した場合は、前記優先学習ポート設定テーブルの当該ポートの優先学習フラグ欄を非優先学習設定にし、前記フレーム廃棄管理テーブルの優先学習ポートIDに対し、上記取得した全アドレスを廃棄対象アドレス欄からエントリ削除し廃棄フレーム数欄をクリアし、また、前記フレーム転送管理テーブル内で、優先学習ポートで登録されている全アドレスを取得し、前記フレーム廃棄管理テーブルの指示された当該ポートIDに対し、上記取得した全アドレスを廃棄対象アドレス欄に登録すること
を特徴とする請求項2に記載のフレーム転送装置。 - 前記プロセッサが実行するテーブル管理処理は、
管理装置から、対象ポートID、廃棄対象アドレス、登録または削除の指示を含む設定データの内容を取得し、前記フレーム廃棄管理テーブルを更新する廃棄対象アドレス設定処理をさらに含むことを特徴とする請求項1又は2に記載のフレーム転送装置。 - 前記フレーム廃棄管理テーブルを監視する周期を登録する廃棄数監視周期欄と、前記フレーム廃棄管理テーブルの廃棄フレーム数を監視周期毎にクリアするか否かの設定を保存する周期クリア欄と、廃棄数閾値欄とを記憶した廃棄通知パラメータテーブルをさらに備え、
前記プロセッサは、廃棄フレームに関するイベントを管理装置に通知するためのイベント通知処理をさらに実行し、
前記イベント通知処理は、
周期タイマが動作中で満了した場合又は周期タイマが停止中の場合、前記フレーム廃棄管理テーブルを検索し、
廃棄フレーム数が、前記廃棄通知パラメータテーブルの、前記廃棄数閾値の値以上のエントリが有る場合は、前記廃棄管理テーブルの当該エントリの、ポートID、廃棄対象アドレス、廃棄フレーム数を、管理装置に通知し、
前記廃棄管理テーブルの当該エントリの廃棄フレーム数欄をクリアすることを含むこと
を特徴とする請求項1又は2に記載のフレーム転送装置。 - 前記プロセッサは、さらに、
廃棄通知パラメータテーブルの廃棄数周期監視欄を参照し、
0秒又は時間周期に依る監視なしと設定されている場合は、処理を終了し、
0秒又は時間周期に依る監視なしと設定されていない場合は、前記廃棄通知パラメータテーブルの周期クリア欄設定を判定し、
周期クリア欄設定がEnable設定の場合は、前記フレーム廃棄管理テーブルの全エントリの廃棄フレーム数欄を0クリアし、周期タイマを再開し、Disable設定の場合は、周期タイマを再開して、処理を終了すること
を特徴とする請求項5に記載のフレーム転送装置。 - 前記プロセッサが実行する前記テーブル管理処理は、
管理装置から、廃棄数監視周期、周期クリア設定、廃棄数閾値を含む設定データの内容を取得し、指示に従い廃棄通知パラメータテーブルに設定する廃棄通知パラメータ設定処理をさらに含むことを特徴とする請求項5に記載のフレーム転送装置。 - 前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルは、VLAN−IDを識別情報としてさらに含むこと特徴とする請求項1乃至7のいずれかに記載のフレーム転送装置。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008177276A JP5074314B2 (ja) | 2008-07-07 | 2008-07-07 | フレーム転送装置 |
CN2009101475435A CN101626381B (zh) | 2008-07-07 | 2009-06-18 | 帧传送装置 |
EP20090008071 EP2144405B1 (en) | 2008-07-07 | 2009-06-19 | Frame forwarding apparatus |
US12/490,996 US8040872B2 (en) | 2008-07-07 | 2009-06-24 | Frame forwarding apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008177276A JP5074314B2 (ja) | 2008-07-07 | 2008-07-07 | フレーム転送装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010016775A JP2010016775A (ja) | 2010-01-21 |
JP5074314B2 true JP5074314B2 (ja) | 2012-11-14 |
Family
ID=41212835
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008177276A Expired - Fee Related JP5074314B2 (ja) | 2008-07-07 | 2008-07-07 | フレーム転送装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8040872B2 (ja) |
EP (1) | EP2144405B1 (ja) |
JP (1) | JP5074314B2 (ja) |
CN (1) | CN101626381B (ja) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4823331B2 (ja) * | 2009-04-13 | 2011-11-24 | 富士通株式会社 | ネットワーク接続装置及びスイッチング回路装置、並びにアドレス学習処理方法 |
EP2541844B1 (en) * | 2010-02-22 | 2015-05-06 | Nec Corporation | Communication system, communication method, server device, communication device |
US8599845B2 (en) * | 2010-04-07 | 2013-12-03 | Fujitsu Limited | Software-assisted VLAN aging timer scheme for distributed switching systems |
US9258807B2 (en) * | 2010-05-03 | 2016-02-09 | Intel Deutschland Gmbh | Communication network device, communication terminal, and communication resource allocation methods |
US8879554B2 (en) * | 2010-05-07 | 2014-11-04 | Cisco Technology, Inc. | Preventing MAC spoofs in a distributed virtual switch |
JP5750973B2 (ja) * | 2011-03-29 | 2015-07-22 | 富士通株式会社 | 通信方法および通信装置 |
JP2012248919A (ja) * | 2011-05-25 | 2012-12-13 | Hitachi Cable Ltd | フレーム中継装置、ネットワークシステム及びフレーム中継方法 |
GB2494385B (en) | 2011-08-31 | 2018-06-06 | Metaswitch Networks Ltd | Transmitting and forwarding data |
US9160633B1 (en) * | 2011-10-07 | 2015-10-13 | Adtran, Inc. | Systems and methods for dynamically learning virtual local area network (VLAN) tags |
CN103686466B (zh) * | 2012-09-12 | 2016-12-21 | 华为技术有限公司 | 为光网络中的设备生成转发表项的方法和装置 |
JP6015304B2 (ja) * | 2012-09-27 | 2016-10-26 | 富士通株式会社 | 通信装置およびアドレス学習方法 |
US9198118B2 (en) * | 2012-12-07 | 2015-11-24 | At&T Intellectual Property I, L.P. | Rogue wireless access point detection |
US9369372B1 (en) * | 2013-03-13 | 2016-06-14 | Altera Corporation | Methods for network forwarding database flushing |
WO2015075959A1 (ja) * | 2013-11-25 | 2015-05-28 | 三菱電機株式会社 | 中継装置および通信ネットワーク |
US10218604B2 (en) * | 2015-01-19 | 2019-02-26 | Hewlett Packard Enterprise Development Lp | Engines to prune overlay network traffic |
JP6293353B2 (ja) * | 2015-02-19 | 2018-03-14 | 三菱電機株式会社 | 中継装置 |
US10038632B2 (en) * | 2015-07-23 | 2018-07-31 | Netscout Systems, Inc. | AIA enhancements to support L2 connected networks |
CN105392132B (zh) * | 2015-10-29 | 2019-01-18 | 华讯方舟科技有限公司 | 一种端口数据分离方法和装置 |
US10237088B2 (en) * | 2016-10-07 | 2019-03-19 | Ciena Corporation | Systems and methods for avoiding inadvertent loops in a layer 2 switched network |
JP6562486B1 (ja) * | 2018-05-17 | 2019-08-21 | Necプラットフォームズ株式会社 | Macアドレステーブル管理回路、イーサネットパケットスイッチング装置、テーブル管理方法、プログラム |
JP7204006B2 (ja) * | 2019-11-20 | 2023-01-13 | 三菱電機株式会社 | 光通信装置及び通信システム |
US11444961B2 (en) * | 2019-12-20 | 2022-09-13 | Intel Corporation | Active attack detection in autonomous vehicle networks |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2742129B2 (ja) * | 1990-02-09 | 1998-04-22 | 株式会社日立製作所 | アドレスフィルタ装置 |
JP3499621B2 (ja) | 1994-12-27 | 2004-02-23 | 株式会社東芝 | アドレス管理装置およびアドレス管理方法 |
US6006258A (en) * | 1997-09-12 | 1999-12-21 | Sun Microsystems, Inc. | Source address directed message delivery |
US6157635A (en) * | 1998-02-13 | 2000-12-05 | 3Com Corporation | Integrated remote data access and audio/visual conference gateway |
DE60107076T2 (de) * | 2000-01-31 | 2005-11-24 | Aeptec Microsystems, Inc. | Zugangsvorrichtung für breitbandkommunikationen |
US7380272B2 (en) * | 2000-05-17 | 2008-05-27 | Deep Nines Incorporated | System and method for detecting and eliminating IP spoofing in a data transmission network |
JP3446747B2 (ja) * | 2001-04-23 | 2003-09-16 | 株式会社日立製作所 | パケット通信方法 |
JP2003333063A (ja) * | 2002-05-17 | 2003-11-21 | Hitachi Cable Ltd | スイッチングハブ |
CN1240240C (zh) * | 2002-09-20 | 2006-02-01 | 明基电通股份有限公司 | 无线通信网络系统中保证基站数据帧同步的溢出控制方法 |
JP4320603B2 (ja) | 2004-02-26 | 2009-08-26 | 日本電気株式会社 | 加入者回線収容装置およびパケットフィルタリング方法 |
JP4464766B2 (ja) * | 2004-03-03 | 2010-05-19 | 株式会社日立製作所 | マルチキャスト配信制御装置 |
JP4403893B2 (ja) * | 2004-06-21 | 2010-01-27 | 株式会社日立製作所 | マルチキャストパケット転送装置 |
JP2006094416A (ja) * | 2004-09-27 | 2006-04-06 | Nec Corp | 加入者回線収容装置およびパケットフィルタリング方法 |
JP2006121667A (ja) * | 2004-09-27 | 2006-05-11 | Matsushita Electric Ind Co Ltd | パケット受信制御装置及びパケット受信制御方法 |
JP4020134B2 (ja) * | 2004-10-05 | 2007-12-12 | 松下電工株式会社 | スイッチングハブ装置、ルータ装置 |
JP2007266850A (ja) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 伝送装置 |
JP5165898B2 (ja) | 2007-01-17 | 2013-03-21 | 株式会社東芝 | 磁気ランダムアクセスメモリ及びその書き込み方法 |
US8477793B2 (en) * | 2007-09-26 | 2013-07-02 | Sling Media, Inc. | Media streaming device with gateway functionality |
-
2008
- 2008-07-07 JP JP2008177276A patent/JP5074314B2/ja not_active Expired - Fee Related
-
2009
- 2009-06-18 CN CN2009101475435A patent/CN101626381B/zh not_active Expired - Fee Related
- 2009-06-19 EP EP20090008071 patent/EP2144405B1/en not_active Not-in-force
- 2009-06-24 US US12/490,996 patent/US8040872B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN101626381B (zh) | 2012-09-05 |
EP2144405B1 (en) | 2012-05-23 |
JP2010016775A (ja) | 2010-01-21 |
US8040872B2 (en) | 2011-10-18 |
US20100002702A1 (en) | 2010-01-07 |
EP2144405A3 (en) | 2010-06-09 |
EP2144405A2 (en) | 2010-01-13 |
CN101626381A (zh) | 2010-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5074314B2 (ja) | フレーム転送装置 | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
Dhawan et al. | Sphinx: detecting security attacks in software-defined networks. | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
US7436770B2 (en) | Metering packet flows for limiting effects of denial of service attacks | |
US6895432B2 (en) | IP network system having unauthorized intrusion safeguard function | |
EP2194677B1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US20080301810A1 (en) | Monitoring apparatus and method therefor | |
US20100223669A1 (en) | Automated Containment Of Network Intruder | |
JP4774307B2 (ja) | 不正アクセス監視装置及びパケット中継装置 | |
CN113228591B (zh) | 用于动态补救安全系统实体的方法、系统和计算机可读介质 | |
RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
Gao et al. | A dos resilient flow-level intrusion detection approach for high-speed networks | |
Rengaraju et al. | Detection and prevention of DoS attacks in Software-Defined Cloud networks | |
US20160366171A1 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
KR100947211B1 (ko) | 능동형 보안 감사 시스템 | |
US20090240804A1 (en) | Method and apparatus for preventing igmp packet attack | |
Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
JP7150552B2 (ja) | ネットワーク防御装置およびネットワーク防御システム | |
CN109861961B (zh) | 网络防御装置以及网络防御系统 | |
Almaini et al. | Delegation of authentication to the data plane in software-defined networks | |
US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
US8281400B1 (en) | Systems and methods for identifying sources of network attacks | |
Gonçalves et al. | IPS architecture for IoT networks overlapped in SDN | |
KR20090044177A (ko) | 블랙리스트 기반의 침입 관리 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100122 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120412 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120424 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120622 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120814 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120823 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150831 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |