JP5074314B2 - フレーム転送装置 - Google Patents
フレーム転送装置 Download PDFInfo
- Publication number
- JP5074314B2 JP5074314B2 JP2008177276A JP2008177276A JP5074314B2 JP 5074314 B2 JP5074314 B2 JP 5074314B2 JP 2008177276 A JP2008177276 A JP 2008177276A JP 2008177276 A JP2008177276 A JP 2008177276A JP 5074314 B2 JP5074314 B2 JP 5074314B2
- Authority
- JP
- Japan
- Prior art keywords
- frame
- discard
- port
- management table
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/18—Loop-free operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/55—Prevention, detection or correction of errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Description
本発明は、フレーム転送装置に係り、特に、MAC(Media Access Control)アドレスに基づいてフレーム転送するシステムにおける、フレーム廃棄設定、廃棄通知、およびフレーム転送を行うためのフレーム転送装置に関する。
MACアドレスに基づいてフレーム転送するレイヤ2スイッチ装置では、一般的に、「MACアドレス」と「そのMACアドレスを持つ装置が存在するポートID」の組み合わせを登録した転送テーブルを装置内部に有しており、MACフレーム受信時に該フレームの宛先MACアドレスを転送テーブルで検索し、検索にヒットした場合は登録されているポートにフレームを転送する。また、ヒットした登録ポートが該フレームの受信ポートと一致した場合(宛先ポートが受信ポート同じ場合)には、フレームを廃棄し、ヒットしなかった場合には受信ポート以外の全てのポートに転送する。このように、宛先MACアドレスが未登録時に受信ポートを除く全てのポートに転送することを、フラッディング(flooding)という。全てのポートに転送するのではなく、仮想LANなどの予めグループ設定したポートにだけフラッディングする方法もある。
転送テーブルへの登録方法は、MACフレーム受信時に該フレームの送信元MACアドレスと該フレームの受信ポートを自動的に登録(MAC自動学習)する方法と、管理者がコマンド投入などにより設定する方法がある。また自動学習を使った場合には、転送テーブルの最大登録数は有限であるため、MAC登録を削除し入れ替えていくことが必要となる。よって、一定時間アクセスが無いMACアドレスは自動的に削除する方法が、MAC自動学習と一緒に用いられることが多い。この一定時間アクセスが無いものを削除する機能をエイジング(aging)と呼ぶ。
現在、アクセス網の高速ブロードバンド化やネットワークのIP化の導入が進むなかで、不正ユーザによる詐称フレームやDoS攻撃(Denial of Service Attack)またはコンピュータウィルスによるネットワーク障害、さらにはユーザの誤接続および誤設定によるループフレーム、不正フレームや「なりすまし」フレームによるネットワーク障害が発生する場合がある。
これらを予防する手段として、例えば、レイヤ2スイッチの転送テーブルにフラグを備えて、廃棄したいMACアドレスを予め管理者がネットワーク装置に登録することにより、受信したMACフレームの宛先MACアドレスまたは送信元MACアドレスが一致したらフレームを廃棄する方法が知られている。逆に、装置内部にアクセス許可テーブルを備え、転送したいMACアドレスを予め管理者が登録することにより、受信したMACフレームの宛先または送信元MACアドレスが一致したらフレームを転送する方法が知られている。
また、MACアドレスとIPアドレスの組をリストとして持ち、受信フレームの送信元または宛先MACアドレスとIPアドレスの組が、リストに存在するか否かで不正端末や不正フレームの存在を監視する方法が知られている(例えば、特許文献1)。さらに、レイヤ3以上のプロトコルデータ内容(例えばDHCPメッセージ)を解析して、MACアドレスとIPアドレスの組をテーブルに保持し、受信フレームの送信元MACアドレスまたは宛先MACアドレスとIPアドレスの組がテーブル内容と一致しない場合にフレームを廃棄する方法が知られている(例えば、特許文献2)。
例えば、悪意のあるユーザが送信元MACアドレスを詐称(なりすまし)してフレームを送信すると、MACフレーム転送装置内の転送テーブルが詐称フレームにより自動学習してしまい、本来出力すべきポートと異なるポートにフレーム出力することになり、正しい通信を妨害される可能性がある。また、意図していなくともユーザのミスで、ユーザネットワーク側でループを形成してしまった場合にも、ループフレームにより自動学習してしまい、前述同様に正しい通信を妨害される可能性がある。さらに、ループを形成された場合には、ループフレームによりトラヒックが増加し、帯域を使ってしまい正しい通信を妨害される可能性がある。単純にユーザネットワークに接続するポートのMAC自動学習をオフにすると、MACフレーム転送装置を通るフレームは、全てフラッディングされることになり、通信帯域の効率が良くない。
特許文献1では、不正端末の存在を監視するだけであり、フレーム転送を廃棄する方法ではない。またMACとIPアドレスの組の不正を監視するだけのため、MACとIPの両方を詐称した場合やループフレームの存在は、検出することができない。特許文献2では、MACとIPの組が不正なフレームを廃棄することができるが、MACとIPの両方を詐称した場合やループフレームの存在は、検出することができない。
またネットワークを管理する上では、不正フレームは廃棄し、かつ、不正が発生している箇所を特定し早急に対策することが必要となる。しかしながら不正発生箇所の特定は難しく、例えばネットワークを流れるフレームをキャプチャ監視し、異常なフレームが無いか人力で解析する方法などが取られており、管理者の負担となっている。
本発明は、以上の点に鑑み、ユーザによる詐称フレームやループフレームによる通信妨害を防ぎ、さらに不正が発生しているポートIDをネットワーク管理者に通知するためのMACフレーム等のフレーム転送装置を提供することを目的とする。
上記目的を達成するために、本発明によるMACフレーム転送装置は、例えば、
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、広域ネットワークに接続された第2のインタフェース部と、制御部を備え、各ユーザ端末と上記広域ネットワークとの間でMACフレームの転送を制御するMACフレーム転送装置であって、
上記制御部が、ユーザ端末または広域ネットワーク側装置のMACアドレスと対応して該端末または装置が接続された第1または第2インタフェース部を特定する接続ポートIDを保存するテーブルと、
受信フレームの送信元MACアドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象MACアドレスと対象ポートIDを保存するテーブルと、
上記廃棄したフレーム数をカウントするテーブルと、
本MACフレーム転送装置を管理する管理装置との通知手段を備え、フレーム受信時に送信元MACと上記廃棄対象MACアドレスが一致した場合にフレームを廃棄し、かつ、上記廃棄フレーム数をカウントし、廃棄したフレーム数が予め定めた値を越えた場合に当該ポートIDとMACアドレス、廃棄フレーム数を管理装置に通知することを、特徴のひとつとする。
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、広域ネットワークに接続された第2のインタフェース部と、制御部を備え、各ユーザ端末と上記広域ネットワークとの間でMACフレームの転送を制御するMACフレーム転送装置であって、
上記制御部が、ユーザ端末または広域ネットワーク側装置のMACアドレスと対応して該端末または装置が接続された第1または第2インタフェース部を特定する接続ポートIDを保存するテーブルと、
受信フレームの送信元MACアドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象MACアドレスと対象ポートIDを保存するテーブルと、
上記廃棄したフレーム数をカウントするテーブルと、
本MACフレーム転送装置を管理する管理装置との通知手段を備え、フレーム受信時に送信元MACと上記廃棄対象MACアドレスが一致した場合にフレームを廃棄し、かつ、上記廃棄フレーム数をカウントし、廃棄したフレーム数が予め定めた値を越えた場合に当該ポートIDとMACアドレス、廃棄フレーム数を管理装置に通知することを、特徴のひとつとする。
本発明の第1の解決手段によると、
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存し、かつ、アドレス及び接続ポートIDに対応して、さらに、一定時間アクセスがないものを削除するエイジング機能の対象か否かを設定するエイジング対象外設定欄を含む、フレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記フレーム転送管理テーブルのエイジング対象外設定欄がエイジング対象外か判定し、エイジング対象外の場合は、前記フレーム転送管理テーブルを上書き更新又は登録しないようにし、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングし、
前記プロセッサは、
管理装置から、設定データの内容として、対象ポートID、対象アドレス、登録または削除の指示を取得し、
対象ポートと対象アドレスの組が、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄にエイジング対象外として登録されているか検索し、
(1) アドレス及び接続ポートIDの組がエイジング対象外として登録済の場合は、
登録指示の場合は、既に登録済のため終了し、
削除指示の場合は、前記フレーム転送管理テーブルの当該エントリを初期化して削除し、前記フレーム廃棄管理テーブルの非当該ポートIDに登録されている当該のエントリを初期化して削除し、
一方
(2)アドレス及び接続ポートIDの組がエイジング対象外として登録未の場合は、
登録指示の場合は、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄を登録し、エイジング対象外設定欄に対象外としての設定を行い、前記フレーム廃棄管理テーブルの非当該ポートIDに当該を廃棄対象アドレスとして登録する
前記フレーム転送装置が提供される。
本発明の第2の解決手段によると、
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存するフレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
ポートID欄に対応して、優先的に登録するための優先ポート設定欄を記憶した優先学習ポート設定テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記優先学習ポート設定テーブルの受信フレームのポートIDが優先ポート設定されているか判定し、優先学習ポート設定の場合には、前記フレーム廃棄管理テーブルの非優先学習ポートに対し、当該受信フレームの送信元アドレスを廃棄対象アドレスとして登録し、終了し、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングする
前記フレーム転送装置が提供される。
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存し、かつ、アドレス及び接続ポートIDに対応して、さらに、一定時間アクセスがないものを削除するエイジング機能の対象か否かを設定するエイジング対象外設定欄を含む、フレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記フレーム転送管理テーブルのエイジング対象外設定欄がエイジング対象外か判定し、エイジング対象外の場合は、前記フレーム転送管理テーブルを上書き更新又は登録しないようにし、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングし、
前記プロセッサは、
管理装置から、設定データの内容として、対象ポートID、対象アドレス、登録または削除の指示を取得し、
対象ポートと対象アドレスの組が、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄にエイジング対象外として登録されているか検索し、
(1) アドレス及び接続ポートIDの組がエイジング対象外として登録済の場合は、
登録指示の場合は、既に登録済のため終了し、
削除指示の場合は、前記フレーム転送管理テーブルの当該エントリを初期化して削除し、前記フレーム廃棄管理テーブルの非当該ポートIDに登録されている当該のエントリを初期化して削除し、
一方
(2)アドレス及び接続ポートIDの組がエイジング対象外として登録未の場合は、
登録指示の場合は、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄を登録し、エイジング対象外設定欄に対象外としての設定を行い、前記フレーム廃棄管理テーブルの非当該ポートIDに当該を廃棄対象アドレスとして登録する
前記フレーム転送装置が提供される。
本発明の第2の解決手段によると、
それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存するフレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
ポートID欄に対応して、優先的に登録するための優先ポート設定欄を記憶した優先学習ポート設定テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記優先学習ポート設定テーブルの受信フレームのポートIDが優先ポート設定されているか判定し、優先学習ポート設定の場合には、前記フレーム廃棄管理テーブルの非優先学習ポートに対し、当該受信フレームの送信元アドレスを廃棄対象アドレスとして登録し、終了し、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングする
前記フレーム転送装置が提供される。
本発明によれば、MACフレーム等のフレーム転送装置(PONシステムも含むフレーム転送システムでもよい)において、ループフレームや詐称フレームを廃棄し、ネットワーク障害の発生を防止することが可能となる。さらに不正が発生しているポートとそのときの送信元MACアドレス、廃棄数を管理装置に通知することにより、障害解析の容易化も可能となる。
以下、本発明の実施の形態について、図面を参照して説明する。
1.第1の実施の形態
(ハード構成)
図1は、MACフレーム転送装置20を含むネットワークシステム構成の第1の実施の形態を示す。
ここに示したネットワークシステムは、MACフレーム転送装置20と、複数のユーザ端末(60−1aから60−3c)と、管理装置(10−1から10−3)を備え、ルータ30を介して、インターネット40に接続されている。
1.第1の実施の形態
(ハード構成)
図1は、MACフレーム転送装置20を含むネットワークシステム構成の第1の実施の形態を示す。
ここに示したネットワークシステムは、MACフレーム転送装置20と、複数のユーザ端末(60−1aから60−3c)と、管理装置(10−1から10−3)を備え、ルータ30を介して、インターネット40に接続されている。
ユーザ端末側ネットワークには、例えば、ユーザ端末側ネットワークNW−1、NW−3のように、複数のユーザ端末60(60−1aから1b、60−3aから3c)が、宅内ハブ50(50−1、50−3)を介して、MACフレーム転送装置20に接続されるものと、ユーザ端末側ネットワークNW−2のように、ユーザ端末60(60−2a)が、アクセス回線70(70−2)を介して直接MACフレーム転送装置20に接続されるものとがある。ここで例えば、ユーザ端末60や宅内ハブ50の位置にホームルータを設置し、図示しない複数のユーザ端末をホームルータ経由で、MACフレーム転送装置20に接続してもよい。また、ユーザ端末60や宅内ハブ50の位置にMACフレーム転送装置20を設置し、MACフレーム転送装置20をカスケード接続にしてもよい。従って、以下の説明において、一例として、ユーザ端末60又はユーザ端末側ネットワークNWには、ホームルータやMACフレーム転送装置20も含まれるものとする。
MACフレーム転送装置20は、これらのユーザ網に接続されたアクセス回線70(70−1から70−3)と、インターネットなどの広域網に接続されたアクセス回線70(70−r)とを収容する入出力ポートに対して、個別のID(P1からPr)を割当てている。
管理装置10(10−1から10−3)は、MACフレーム転送装置20やその他システム内装置の設定や監視などの管理を行うものであり、シリアルケーブル等の回線91や管理専用のネットワーク回線92、またはルータ30を介する広域ネットワーク回線81などで接続される。図1では管理装置10を複数台図示してあるが、システム内に1台で複数種回線を接続する構成やシステム内に1台でいずれか一種の回線接続する構成でもよい。
ユーザ端末60またはルータ30は、通信のためにMACフレームを送出または転送する。MACフレーム転送装置20は、フレーム転送管理テーブル2510とフレーム廃棄管理テーブル2520を備え、受信したMACフレームを解析し、これらテーブルを参照して、MACフレームの転送または廃棄を制御する。
図2は、MACフレーム転送装置20の一実施の形態を示すブロック構成図である。
図2に示すMACフレーム転送装置20は、管理装置10と接続するためのシリアルインタフェース部2100と、同様に制御インタフェース部2200と、プロセッサ2300と、プロセッサ2300が実行する各種のプログラムを格納したメモリ2400と、データメモリ2500と、フレーム転送制御処理部2600(2600−1から2600−r)と、アクセス回線を収容するフレーム送受信インタフェース部2700(2700−1から2700−r)と、これらの要素を接続する内部バス2800を備える。
図2に示すMACフレーム転送装置20は、管理装置10と接続するためのシリアルインタフェース部2100と、同様に制御インタフェース部2200と、プロセッサ2300と、プロセッサ2300が実行する各種のプログラムを格納したメモリ2400と、データメモリ2500と、フレーム転送制御処理部2600(2600−1から2600−r)と、アクセス回線を収容するフレーム送受信インタフェース部2700(2700−1から2700−r)と、これらの要素を接続する内部バス2800を備える。
フレーム送受信インタフェース部2700は、図1に示したアクセス回線70(70−1から70−r)の何れかに接続され、それぞれ個別のポートIDが割当てられている。アクセス回線70からの受信信号は、フレーム送受信インタフェース部2700で処理され受信フレームに変換してフレーム転送制御処理部2600に渡る。フレーム転送制御処理部2600は、後述する処理シーケンスに従いフレームを転送または廃棄する。プロセッサ2300は、テーブル管理処理2410をメモリ2400からロードする等により実施し、テーブル管理処理2410を管理装置10からの指示などに従いデータメモリ上のテーブル管理を行う。
(メモリ構成)
図3は、本実施の形態におけるフレーム転送管理テーブル2510の構成図の一例を示す。フレーム転送管理テーブル2510は、本実施の形態において、受信したフレームの送信先ポートを決定するために使用されるテーブルである。
図3において、フレーム転送管理テーブル2510は、MACアドレス欄2511と、接続ポートID欄2512を備える。MACアドレス欄2511には、フレーム受信時の送信元MACアドレスを登録する。接続ポートID欄2512には、そのときの入力(送信元)ポートIDを登録し前記MACアドレスを持つ端末が接続されているポートIDを示す。
フレーム受信時には、受信フレームの宛先MACアドレスをフレーム転送管理テーブル2510で検索し、ヒットした場合にその接続ポートID欄2512が示すポートIDに送信(転送)する。
図3は、本実施の形態におけるフレーム転送管理テーブル2510の構成図の一例を示す。フレーム転送管理テーブル2510は、本実施の形態において、受信したフレームの送信先ポートを決定するために使用されるテーブルである。
図3において、フレーム転送管理テーブル2510は、MACアドレス欄2511と、接続ポートID欄2512を備える。MACアドレス欄2511には、フレーム受信時の送信元MACアドレスを登録する。接続ポートID欄2512には、そのときの入力(送信元)ポートIDを登録し前記MACアドレスを持つ端末が接続されているポートIDを示す。
フレーム受信時には、受信フレームの宛先MACアドレスをフレーム転送管理テーブル2510で検索し、ヒットした場合にその接続ポートID欄2512が示すポートIDに送信(転送)する。
図4は、本実施の形態におけるフレーム廃棄管理テーブル2520の構成図の一例を示す。フレーム廃棄管理テーブル2520は、本実施の形態において、廃棄対象のMACアドレスとそのMACアドレスに基づいて廃棄したフレーム数を保存するテーブルである。
図4において、フレーム廃棄管理テーブル2520は、ポートID欄2521と、ポートID毎のindex欄2522と、廃棄対象MACアドレス欄2523と、廃棄フレーム数欄2524を備える。indexは、例えば、自然に(又は自動的に)ハードウェアがナンバリングするものである。
図4において、フレーム廃棄管理テーブル2520は、ポートID欄2521と、ポートID毎のindex欄2522と、廃棄対象MACアドレス欄2523と、廃棄フレーム数欄2524を備える。indexは、例えば、自然に(又は自動的に)ハードウェアがナンバリングするものである。
廃棄対象MACアドレス欄2523には、フレーム受信時の送信元MACアドレスでフレーム廃棄対象とするMACアドレスを登録する。廃棄フレーム数2524には、前記MACアドレス一致のため廃棄したフレーム数を計上する。ポートID毎に廃棄対象MACアドレスと廃棄フレーム数をカウントするため、どこのポートIDでどのMACアドレスフレームが廃棄されているか知ることが可能となる。
図4の例では、ポートID欄2521とindex欄2522を備えているが、メモリアドレスとこれらが対応付けされていれば、ポートID欄2521とindex欄2522は備えなくとも良い。
図5は、本実施の形態における廃棄通知パラメータテーブル2530の構成図の一例を示す。廃棄通知パラメータテーブル2530は、本実施の形態において、管理装置10にMACフレーム廃棄に関する通知を行うための設定情報を保存するテーブルである。
図5において、廃棄通知パラメータテーブル2530は、廃棄数監視周期欄2531と、周期クリア欄2532と、廃棄数閾値2533を備えている。
図5において、廃棄通知パラメータテーブル2530は、廃棄数監視周期欄2531と、周期クリア欄2532と、廃棄数閾値2533を備えている。
廃棄数監視周期欄2531には、フレーム廃棄管理テーブル2520を監視する周期を登録する。周期クリア欄2532には、フレーム廃棄管理テーブル2520の廃棄フレーム数2524を監視周期毎にクリアするか否かの設定を保存する。廃棄数閾値欄2533には、フレーム廃棄管理テーブル2520の廃棄フレーム数2524が示す廃棄数と比較し管理装置10に閾値超過を通知するための閾値を登録する。
図5には、(1)から(3)の3種の異なる設定例を示している。
例(1)は、300秒に1回廃棄数を確認し、あるポートIDのあるMACアドレスの廃棄フレーム数2524が100個以上になったら管理装置10に通知し、当該ポートIDの当該MACアドレスの廃棄フレーム数欄2524をクリアする設定例である。
例(1)は、300秒に1回廃棄数を確認し、あるポートIDのあるMACアドレスの廃棄フレーム数2524が100個以上になったら管理装置10に通知し、当該ポートIDの当該MACアドレスの廃棄フレーム数欄2524をクリアする設定例である。
同様に例(2)は、300秒に1回廃棄数を確認し、300秒毎に廃棄フレーム数欄2524をクリアする設定例である。この例(2)の設定例では、300秒間に100個以上フレーム廃棄した場合に、管理装置10に通知することになる。
また、例(3)は、後述するテーブル管理処理2420に従い、時間の周期ではなく、処理の周期で監視する設定例である。例(3)の設定例では、あるポートIDのあるMACアドレスの廃棄フレーム数2524が100個以上になったら管理装置10に通知し、当該ポートIDの当該MACアドレスの廃棄フレーム数欄2524をクリアする設定例である。
(フローチャート)
次に、第1の実施の形態の動作について説明する。
図6は、第1の実施の形態におけるフレーム転送制御処理部2600のフローチャートを示す。フレーム転送制御処理部2600は、MACフレームの受信、転送および廃棄、フレーム転送管理テーブル2510への登録処理、等を行う。
次に、第1の実施の形態の動作について説明する。
図6は、第1の実施の形態におけるフレーム転送制御処理部2600のフローチャートを示す。フレーム転送制御処理部2600は、MACフレームの受信、転送および廃棄、フレーム転送管理テーブル2510への登録処理、等を行う。
フレーム転送制御処理部2600は、フレーム送受信インタフェース部2700からMACフレームを受信し(図6のS1)、受信フレームの送信元MACアドレスがフレーム廃棄管理テーブル2520の廃棄対象MACアドレス欄2523に登録されているか検索する(S2)。登録されていた場合は(S2のYesルート)、フレーム転送制御処理部2600は、受信フレームを廃棄し(S3)、フレーム廃棄管理テーブル2520の当該エントリの廃棄フレーム数をインクリメントし(S4)、終了する。
一方、登録されていなかった場合は(S2のNoルート)、フレーム転送制御処理部2600は、受信フレームの送信元MACアドレスがフレーム転送管理テーブル2510のMACアドレス欄2511に登録されているか検索する(S5)。
一方、登録されていなかった場合は(S2のNoルート)、フレーム転送制御処理部2600は、受信フレームの送信元MACアドレスがフレーム転送管理テーブル2510のMACアドレス欄2511に登録されているか検索する(S5)。
未登録の場合は(S5のNoルート)、フレーム転送制御処理部2600は、後述するフレーム転送管理テーブル2510への登録処理を行い(S6)、ステップS7に移行する。登録済の場合は(S5のYesルート)、フレーム転送制御処理部2600は、フレーム転送管理テーブル2510の接続ポートID2512欄の現状ポートと今回の受信ポートが同じか判定する(S10)。
受信ポートが異なる場合は(S10のNoルート)、フレーム転送制御処理部2600は、ステップS5のNoルートに合流し、ステップS6に移行する。一方、フレーム転送制御処理部2600は、受信ポートが同じ場合は(S10のYesルート)、ステップS7に移行する。
ステップS7では、フレーム転送制御処理部2600は、受信フレームの宛先MACアドレスがフレーム転送管理テーブル2510のMACアドレス欄2511に登録されているか検索する(S7)。登録済の場合は(S7のYesルート)、フレーム転送制御処理部2600は、当該エントリの接続ポートID欄2512に登録されているポートに転送し(S8)、終了する。未登録の場合は(S7のNoルート)、フレーム転送制御処理部2600は、宛先ポートが不明のため、受信ポートを除くポートにフラッディングし(S9)、終了する。
図7は、図6中のフレーム転送管理テーブル登録処理(S6)を示すフローチャートである。
フレーム転送管理テーブル登録処理(S6)では、フレーム転送制御処理部2600は、受信フレームの送信元MACアドレスと受信ポートIDを、フレーム転送管理テーブル2510のMACアドレス欄2511と接続ポートID欄2512に各各登録し(図7のS601)、終了する。
フレーム転送管理テーブル2510にMACアドレスとポートIDが登録されたため、以降の受信フレームの宛先MACアドレスが今回登録したMACアドレスと一致する場合は、フラッディングではなく当該ポートにのみ転送(送信)される。
フレーム転送管理テーブル登録処理(S6)では、フレーム転送制御処理部2600は、受信フレームの送信元MACアドレスと受信ポートIDを、フレーム転送管理テーブル2510のMACアドレス欄2511と接続ポートID欄2512に各各登録し(図7のS601)、終了する。
フレーム転送管理テーブル2510にMACアドレスとポートIDが登録されたため、以降の受信フレームの宛先MACアドレスが今回登録したMACアドレスと一致する場合は、フラッディングではなく当該ポートにのみ転送(送信)される。
図8は、第1の実施の形態におけるテーブル管理処理2410のフローチャートを示す。プロセッサ2300は、テーブル管理処理2410を実行することにより、フレーム廃棄管理テーブル2520、廃棄通知パラメータテーブル2530への設定処理、管理装置10への通知処理、を行う。
プロセッサ2300は、テーブル管理処理2410を実行し、管理装置10から廃棄対象MACアドレス設定の指示を受信したか否かを判定する(図8のS21)。本実施の形態では、管理装置10からの指示は、既知の技術を用いることができる。例えば、シリアルインタフェースやTelnet、HTTP接続によりMACフレーム転送装置20にアクセスし、CLI(CommandLineInterface)コマンドやGUI(Graphic User Interface)で指示する方法や、SNMP(Simple Network Management Protocol)コマンド、TL−1(Transaction Language One)コマンドなどで指示する方法、またはこれらの組み合わせでも良い。
廃棄対象MACアドレス設定指示の設定データの内容は、「対象ポートID」、「廃棄対象MACアドレス」、「エントリ登録または削除の指示」、が含まれていれば、テキストでもコード化されたデータでも良い。プロセッサ2300は、管理装置10から廃棄対象MACアドレス設定の指示を受信した場合には(S21のYesルート)、後述する廃棄対象MACアドレス設定処理を行う(S22)。
次に、プロセッサ2300は、管理装置10から廃棄通知パラメータ設定の指示を受信したか否かを判定する(S23)。本実施の形態では、管理装置10からの指示は、既知の技術を用いることができる。廃棄通知パラメータ設定指示の設定データの内容は、「廃棄数監視周期」、「周期クリア設定」、「廃棄数閾値」、の何れかまたは全てが含まれていれば、テキストでもコード化されたデータでも良い。
プロセッサ2300は、管理装置10から廃棄通知パラメータ設定の指示を受信した場合には(S23のYesルート)、後述する廃棄通知パラメータ設定処理を行う(S24)。プロセッサ2300は、次に後述するイベント通知処理を行い(S25)、廃棄対象MACアドレス設定の指示受信判定(図8のS21)に戻り、以下繰り返す。
図9は、図8中の廃棄対象MACアドレス設定処理(S22)を示すフローチャートである。
プロセッサ2300は、廃棄対象MACアドレス設定処理(S22)を開始し、設定データの内容、「対象ポートID」「廃棄対象MACアドレス」「登録または削除の指示」を取得し(S2201)、「対象ポート」と「廃棄対象MACアドレス」の組が、フレーム廃棄管理テーブル2520のポートID欄2521と廃棄対象MACアドレス欄2523に登録されているか検索する(S2202)。
プロセッサ2300は、廃棄対象MACアドレス設定処理(S22)を開始し、設定データの内容、「対象ポートID」「廃棄対象MACアドレス」「登録または削除の指示」を取得し(S2201)、「対象ポート」と「廃棄対象MACアドレス」の組が、フレーム廃棄管理テーブル2520のポートID欄2521と廃棄対象MACアドレス欄2523に登録されているか検索する(S2202)。
廃棄MACアドレス登録済の場合は(S2202のYesルート)、プロセッサ2300は、次に登録指示か判定する(S2203)。登録指示の場合は(S2203のYesルート)、プロセッサ2300は、既に登録済のため終了する。削除指示の場合は(S2203のNoルート)、プロセッサ2300は、フレーム廃棄管理テーブル2520の当該エントリの廃棄フレーム数欄2524および廃棄対象MACアドレス欄2523を初期化してエントリ削除し(S2204)、終了する。
廃棄MACアドレス登録未の場合は(S2202のNoルート)、プロセッサ2300は、次に登録指示か判定する(S2205)。登録指示の場合は(S2205のYesルート)、プロセッサ2300は、フレーム廃棄管理テーブル2520の当該エントリの廃棄フレーム数欄2524を初期化(0クリア)して、対象ポートIDの廃棄対象MACアドレス欄2523に指示されたMACアドレスを登録し(S2206)、終了する。なお、Index欄2522は、プロセッサ2300により、予め定められた規則・設定・手法等に従い、自動的に割り当てることができる。削除指示の場合は(S2205のNoルート)、プロセッサ2300は、既に削除済(登録未)のため終了する。
図10は、図8中の廃棄通知パラメータ設定処理(S24)を示すフローチャートである。
プロセッサ2300は、廃棄通知パラメータ設定処理2410(S24)の実行を開始し、設定データの内容、「廃棄数監視周期」「周期クリア設定」「廃棄数閾値」を取得し(S2401)、指示に従い廃棄通知パラメータテーブル2530に設定する(S2402)。次に、廃棄数監視周期2531に設定変化があったか判定し(S2403)、変化なしの場合は(S2403のNoルート)、終了する。変化あり時は(S2403のYesルート)、周期タイマを停止し(S2404)、変化後の“新”廃棄数監視周期が0秒(時間周期に依る監視なし)か判定する(S2405)。0秒設定の場合は(S2405のYesルート)終了し、異なる場合(S2405のNoルート)は周期タイマを“新”周期で開始し(S2406)終了する。
プロセッサ2300は、廃棄通知パラメータ設定処理2410(S24)の実行を開始し、設定データの内容、「廃棄数監視周期」「周期クリア設定」「廃棄数閾値」を取得し(S2401)、指示に従い廃棄通知パラメータテーブル2530に設定する(S2402)。次に、廃棄数監視周期2531に設定変化があったか判定し(S2403)、変化なしの場合は(S2403のNoルート)、終了する。変化あり時は(S2403のYesルート)、周期タイマを停止し(S2404)、変化後の“新”廃棄数監視周期が0秒(時間周期に依る監視なし)か判定する(S2405)。0秒設定の場合は(S2405のYesルート)終了し、異なる場合(S2405のNoルート)は周期タイマを“新”周期で開始し(S2406)終了する。
図11は、図8中のイベント通知処理(S25)を示すフローチャートである。
プロセッサ2300は、イベント通知処理(S25)を開始し、周期タイマが動作中か判定する(S2501)。周期タイマ動作中の場合は(S2501のYesルート)、プロセッサ2300は、次に周期タイマが満了したか判定する(S2502)。周期タイマが満了していない場合(S2502のNoルート)は、プロセッサ2300は、処理を終了する。一方、プロセッサ2300は、周期タイマが満了していた場合(S2502のYesルート)および周期タイマが停止中の場合(S2501のNoルート)は、フレーム廃棄管理テーブル2520の廃棄フレーム数2524が、廃棄通知パラメータテーブル2530の廃棄数閾値2533の値以上かを判定する(S2503)。
プロセッサ2300は、イベント通知処理(S25)を開始し、周期タイマが動作中か判定する(S2501)。周期タイマ動作中の場合は(S2501のYesルート)、プロセッサ2300は、次に周期タイマが満了したか判定する(S2502)。周期タイマが満了していない場合(S2502のNoルート)は、プロセッサ2300は、処理を終了する。一方、プロセッサ2300は、周期タイマが満了していた場合(S2502のYesルート)および周期タイマが停止中の場合(S2501のNoルート)は、フレーム廃棄管理テーブル2520の廃棄フレーム数2524が、廃棄通知パラメータテーブル2530の廃棄数閾値2533の値以上かを判定する(S2503)。
閾値以上の場合は(S2503のYesルート)、プロセッサ2300は、フレーム廃棄管理テーブル2520の当該エントリの「ポートID」「廃棄対象MACアドレス」「廃棄フレーム数」を取得し(S2504)、管理装置10に「ポートID」「廃棄対象MACアドレス」「廃棄フレーム数」をイベント通知し(S2505)、フレーム廃棄管理テーブル2520の当該エントリの廃棄フレーム数欄2506を0クリアする(S2506)。ここで、本実施の形態では、管理装置10への通知方法は、既知の技術を用いることができる。例えば、シリアルインタフェースやTelnet、HTTP接続によりMACフレーム転送装置20にアクセスした状態で画面に出力する方法や、SNMP(Simple Network Management Protocol)のTrapで通知する方法、メールで通知する方法、ランプで通知する方法、またはこれらの組み合わせでも良い。通知データの内容は、「ポートID」「廃棄対象MACアドレス」「廃棄フレーム数」が含まれていれば、テキストでもコード化されたデータ(bit列、ランプの点灯状態、7セグメントLEDの点灯など)でも良い。
次に、プロセッサ2300は、フレーム廃棄管理テーブル2520のテーブルエントリを全て検索完了したか判定する(S2507)。検索完了未の場合は(S2507のNoルート)、プロセッサ2300は、S2503に戻り、処理を繰り返す。一方、検索完了済の場合は(S2507のYesルート)、プロセッサ2300は、廃棄通知パラメータテーブル2530の廃棄数周期監視が0秒(時間周期に依る監視なし)か判定する(S2508)。
0秒設定の場合は(S2508のYesルート)プロセッサ2300は、処理を終了し、異なる場合(S2508のNoルート)は、廃棄通知パラメータテーブル2530の周期クリア欄2532設定がEnableか判定する(S2509)。
Enable設定の場合は(S2509のYesルート)、プロセッサ2300は、フレーム廃棄管理テーブル2520の全エントリの廃棄フレーム数欄2524を0クリアする(S2510)。ステップS2510の次、および、周期クリア欄2532設定がDisable設定の場合(S2509のNoルート)は、プロセッサ2300は、周期タイマを再開し(S2511)、処理を終了する。
Enable設定の場合は(S2509のYesルート)、プロセッサ2300は、フレーム廃棄管理テーブル2520の全エントリの廃棄フレーム数欄2524を0クリアする(S2510)。ステップS2510の次、および、周期クリア欄2532設定がDisable設定の場合(S2509のNoルート)は、プロセッサ2300は、周期タイマを再開し(S2511)、処理を終了する。
(シーケンス)
図26は、第1の実施の形態において、ループフレームや不正フレームが廃棄され、管理装置10に通知されるまでのシーケンスの一例を示す図である。
MACフレーム転送装置20を設置した管理者は、ループフレームや不正フレームを廃棄させるために、予めルータ30のMACアドレスを調べておき、ステップS24の廃棄通知パラメータ設定処理(SQ1)と、ステップS22の廃棄対象MACアドレス設定処理(SQ2)を、管理装置10からMACフレーム転送装置20に指示し、MACフレーム転送装置20のプロセッサ2300で実施する。各設定指示は、図8、図9、図10に示すフローチャートに従い処理される。本シーケンス例では、ルータ30のMACアドレス(Mr)を送信元に持つフレームをポートP1やポートP2で受信時に廃棄するため、フレーム廃棄テーブル2520は図26に示すように設定する場合を示す。
図26は、第1の実施の形態において、ループフレームや不正フレームが廃棄され、管理装置10に通知されるまでのシーケンスの一例を示す図である。
MACフレーム転送装置20を設置した管理者は、ループフレームや不正フレームを廃棄させるために、予めルータ30のMACアドレスを調べておき、ステップS24の廃棄通知パラメータ設定処理(SQ1)と、ステップS22の廃棄対象MACアドレス設定処理(SQ2)を、管理装置10からMACフレーム転送装置20に指示し、MACフレーム転送装置20のプロセッサ2300で実施する。各設定指示は、図8、図9、図10に示すフローチャートに従い処理される。本シーケンス例では、ルータ30のMACアドレス(Mr)を送信元に持つフレームをポートP1やポートP2で受信時に廃棄するため、フレーム廃棄テーブル2520は図26に示すように設定する場合を示す。
このような場合、ユーザ端末(60−1a)は、通信を行うために自装置のMACアドレス(M1a)を送信元MACアドレス及びルータ30のMACアドレス(Mr)を宛先MACアドレスとするフレームを送信する(SQ3)。MACフレーム転送装置20は、受信したフレームを図6、図7に示すフローチャートに従い処理し、フレーム転送管理テーブル2510は図26に示す2510−1のように登録し、フレームをルータ30に転送する(SQ4)。ただし、場合によっては、ルータ30以外にもフレームをフラッディングする。
次に、ルータ30から応答フレームが返ってくると(SQ5)、上記同様に、MACフレーム転送装置20は、受信したフレームを図6、図7に示すフローチャートに従い処理し、フレーム転送管理テーブル2510は図26に示す2510−2のように登録し、フレームをユーザ端末(60−1a)に転送する(SQ6)。
また、ユーザ端末(60−1a)側からのループや、不正(なりすまし)フレームにより、送信元としてルータ30のMACアドレス(Mr)を持つフレームをMACフレーム転送装置20がP1から受信した場合(SQ7)は、図6に示すフローチャートに従い処理し、フレーム廃棄管理テーブル2520にポートP1でのMACアドレス(Mr)は廃棄対象MACアドレスとして登録されているため、フレームは廃棄され、フレーム廃棄管理テーブル2520の廃棄フレーム数欄2524がインクリメントされる。ユーザ端末(60−2a)側で同じことが起きた場合も、同様に廃棄される(SQ8)。
そして、図8、図11のフローチャートに従った処理により、ポートID、廃棄対象MACアドレス、廃棄数などの情報が管理装置10に通知される(SQ9)。
上記例では、ルータ30のMACアドレスを持つ不正フレームを廃棄し通知する例を示したが、同様にユーザ端末60のMACアドレスを持つ不正フレームを廃棄し通知するように実施することも容易である。
上記例では、ルータ30のMACアドレスを持つ不正フレームを廃棄し通知する例を示したが、同様にユーザ端末60のMACアドレスを持つ不正フレームを廃棄し通知するように実施することも容易である。
以上、本発明の第1の実施の形態によれば、例えば、ルータ30のMACアドレスを、MACフレーム転送装置20のルータ30接続ポート以外のポートに廃棄対象MACアドレスとして設定することにより、ユーザ側ネットワークでループ接続がありフレームがMACフレーム転送装置20に戻ってきた場合にはそのループフレームを廃棄することが可能となる。また、ループフレーム受信時に転送テーブルに自動学習する前にフレーム廃棄するため、転送テーブルを汚すこともない。さらには、ループフレームを廃棄した数をカウントし、ポートIDとMACアドレスを含めて管理装置10に通知するため、MACフレーム転送装置20のどのポートIDでどのMACアドレスの不正が発生しているかを特定することが可能となる。これはループフレームに限らず、ルータ30のMACアドレスを詐称するフレームに対しても同様の効果を得ることができる。
2.第2の実施の形態
(ハード構成)
第1の実施の形態と同様である。
(ハード構成)
第1の実施の形態と同様である。
(メモリ構成)
図12は、第1の実施の形態のフレーム転送管理テーブル2510の一変形例である第2の実施の形態を示す。
図3と比較すると、本実施の形態は、フレーム転送管理テーブル2510に対し、管理装置10等からの管理者指示での登録も可能とし、かつ、管理者指示で登録したものがエイジングで削除されるのを防ぐためにエイジング対象外設定欄2513を備えたことに特徴がある。また、一例として、エイジング対象外設定を“1”とし、エイジング対象設定を“0”と定義している。これらにより、フレーム転送管理テーブル2510に登録するだけで、自動的にフレーム廃棄管理テーブル2520への登録を自動化し、管理者の負荷を軽減することが可能となる。
他のメモリ構成は、第1の実施の形態と同様である。
図12は、第1の実施の形態のフレーム転送管理テーブル2510の一変形例である第2の実施の形態を示す。
図3と比較すると、本実施の形態は、フレーム転送管理テーブル2510に対し、管理装置10等からの管理者指示での登録も可能とし、かつ、管理者指示で登録したものがエイジングで削除されるのを防ぐためにエイジング対象外設定欄2513を備えたことに特徴がある。また、一例として、エイジング対象外設定を“1”とし、エイジング対象設定を“0”と定義している。これらにより、フレーム転送管理テーブル2510に登録するだけで、自動的にフレーム廃棄管理テーブル2520への登録を自動化し、管理者の負荷を軽減することが可能となる。
他のメモリ構成は、第1の実施の形態と同様である。
(フローチャート)
以下、フローチャートで処理について詳細に説明する。
図13は、第1の実施の形態のフレーム転送制御処理部2600の一変形例である第2の実施の形態を示す。
図6と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS5のYesルート後に、フレーム転送管理テーブル2510エイジング対象外設定欄2513がエイジング対象外か判定し(S11)、エイジング対象外の場合は(S11のYesルート)、フレーム転送管理テーブル2510を(上書き)更新しないように(登録しないように)したことに特徴のひとつがある(図13の破線囲み)。
以下、フローチャートで処理について詳細に説明する。
図13は、第1の実施の形態のフレーム転送制御処理部2600の一変形例である第2の実施の形態を示す。
図6と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS5のYesルート後に、フレーム転送管理テーブル2510エイジング対象外設定欄2513がエイジング対象外か判定し(S11)、エイジング対象外の場合は(S11のYesルート)、フレーム転送管理テーブル2510を(上書き)更新しないように(登録しないように)したことに特徴のひとつがある(図13の破線囲み)。
図14は、第1の実施の形態のテーブル管理処理2410の一変形例である第2の実施の形態を示す。
図8と比較すると、本実施の形態は、プロセッサ2300は、S23のNoルート後に、管理装置10からフレーム転送管理テーブル設定の指示を受信したか否かを判定し(S26)、指示を受信した場合には(S26のYesルート)、後述するフレーム転送管理テーブル設定処理(S27)を行うことに特徴がある(図14の破線囲み)。
図8と比較すると、本実施の形態は、プロセッサ2300は、S23のNoルート後に、管理装置10からフレーム転送管理テーブル設定の指示を受信したか否かを判定し(S26)、指示を受信した場合には(S26のYesルート)、後述するフレーム転送管理テーブル設定処理(S27)を行うことに特徴がある(図14の破線囲み)。
図15は、図14中のフレーム転送管理テーブル設定処理(S27)を示すフローチャートである。
プロセッサ2300は、フレーム転送管理テーブル設定処理(S27)を開始すると、設定データの内容「対象ポートID」「対象MACアドレス」「登録または削除の指示」を取得し(S2701)、「対象ポート」と「対象MACアドレス」の組が、フレーム転送管理テーブル2510のMACアドレス欄2511と接続ポートID欄2512にエイジング対象外として登録されているか検索する(S2702)。
プロセッサ2300は、フレーム転送管理テーブル設定処理(S27)を開始すると、設定データの内容「対象ポートID」「対象MACアドレス」「登録または削除の指示」を取得し(S2701)、「対象ポート」と「対象MACアドレス」の組が、フレーム転送管理テーブル2510のMACアドレス欄2511と接続ポートID欄2512にエイジング対象外として登録されているか検索する(S2702)。
エイジング対象外としてMACアドレス登録済の場合は(S2702のYesルート)、プロセッサ2300は、次に登録指示か判定する(S2703)。登録指示の場合は(S2703のYesルート)、プロセッサ2300は、既に登録済のため終了する。削除指示の場合は(S2703のNoルート)、プロセッサ2300は、フレーム転送管理テーブル2510の当該エントリを初期化して削除し(S2704)、逆にフレーム廃棄管理テーブル2520の非当該ポートIDに登録されている当該MACアドレスのエントリを初期化して削除し(S2705)、終了する。
これはつまり、ポート1でMAC=Aがエイジング対象外設定され、ポート2ではMAC=Aが廃棄MACアドレスとして登録されていた後、ポート1でMAC=Aをフレーム転送管理テーブル2510から削除指示した場合にはフレーム廃棄管理テーブル2520において、ポート2のMAC=A廃棄設定を削除するということである。
これはつまり、ポート1でMAC=Aがエイジング対象外設定され、ポート2ではMAC=Aが廃棄MACアドレスとして登録されていた後、ポート1でMAC=Aをフレーム転送管理テーブル2510から削除指示した場合にはフレーム廃棄管理テーブル2520において、ポート2のMAC=A廃棄設定を削除するということである。
エイジング対象外としてMACアドレス登録未の場合は(S2702のNoルート)、プロセッサ2300は、次に登録指示か判定する(S2706)。登録指示の場合は(S2706のYesルート)、プロセッサ2300は、フレーム転送管理テーブル2510のMACアドレス欄2511と接続ポートID欄2512を登録し、エイジング対象外設定欄2513に“1”対象外設定を行う(S2707)。プロセッサ2300は、次にフレーム廃棄管理テーブル2520の非当該ポートIDに当該MACを廃棄対象MACアドレスとして登録し(S2708)、終了する。削除指示(S2706のNoルート)の場合は、プロセッサ2300は、既に削除済(登録未)のため終了する。
以上、本発明の第2の実施の形態によれば、フレーム転送管理テーブル2510に対し、管理者指示での登録を可能とし、かつ、管理者指示で登録したものがエイジングで削除されるのを防ぐためにエイジング対象外設定欄2513を備えたことに因り、フレーム転送管理テーブル2510に例えばルータ30のMACアドレスと、その接続ポートIDを設定すれば、
フレーム廃棄管理テーブル2520への廃棄MACアドレス設定は装置内部で自動的に実施されるため、第1の実施の形態の効果に加え、さらに管理者の管理負荷を軽減することが可能となる。
フレーム廃棄管理テーブル2520への廃棄MACアドレス設定は装置内部で自動的に実施されるため、第1の実施の形態の効果に加え、さらに管理者の管理負荷を軽減することが可能となる。
3.第3の実施の形態
(ハード構成)
図16は、本発明のMACフレーム転送装置20を含むネットワークシステム構成の一変形例である第3の実施の形態を示す。
図1と比較すると、本実施の形態は、データメモリ2500内に、優先学習ポート設定テーブル2540を備えたことに特徴がある。ここで優先学習と名付けたのは、なりすまし防止のため、そのポートでの学習は優先的に扱うという意味である。つまり、優先学習ポートと設定されたポートからの受信フレームの送信元MACアドレスは、優先的に学習(登録)する。このようにすることで、管理者がルータ30などのMACアドレスを調べる必要がなくなり、MACフレーム転送装置20上でルータ30の接続されているポートを指定するだけで良く、管理者の負荷を軽減することが可能となる。
他の構成は、第1の実施の形態と同様である。
(ハード構成)
図16は、本発明のMACフレーム転送装置20を含むネットワークシステム構成の一変形例である第3の実施の形態を示す。
図1と比較すると、本実施の形態は、データメモリ2500内に、優先学習ポート設定テーブル2540を備えたことに特徴がある。ここで優先学習と名付けたのは、なりすまし防止のため、そのポートでの学習は優先的に扱うという意味である。つまり、優先学習ポートと設定されたポートからの受信フレームの送信元MACアドレスは、優先的に学習(登録)する。このようにすることで、管理者がルータ30などのMACアドレスを調べる必要がなくなり、MACフレーム転送装置20上でルータ30の接続されているポートを指定するだけで良く、管理者の負荷を軽減することが可能となる。
他の構成は、第1の実施の形態と同様である。
(メモリ構成)
図17は、本実施の形態における優先学習ポート設定テーブル2540の構成の一例を示す。
優先学習ポート設定テーブル2540は、本実施の形態において、フレーム転送管理テーブルの自動学習を優先的に学習するポートIDを設定するテーブルである。図17において、優先学習ポート設定テーブル2540は、ポートID欄2541と、優先学習フラグ欄2542を備える。また、一例として、優先学習ポート設定で優先設定を“1”と定義し、非優先設定を“0”と定義している。
図17は、本実施の形態における優先学習ポート設定テーブル2540の構成の一例を示す。
優先学習ポート設定テーブル2540は、本実施の形態において、フレーム転送管理テーブルの自動学習を優先的に学習するポートIDを設定するテーブルである。図17において、優先学習ポート設定テーブル2540は、ポートID欄2541と、優先学習フラグ欄2542を備える。また、一例として、優先学習ポート設定で優先設定を“1”と定義し、非優先設定を“0”と定義している。
第3の実施の形態では、ポートに対して、優先学習フラグ設定を備えることにより、管理装置10から廃棄対象MACアドレスなどの“MACアドレス”を指定する必要を無くしたことに特徴がある。つまり、ポートを指定するだけで、フレーム転送テーブル2510やフレーム廃棄管理テーブル2520を自動的に設定していくことを可能とする。
他のメモリ構成は第1の実施の形態と同様である。
他のメモリ構成は第1の実施の形態と同様である。
(フローチャート)
以下、フローチャートで処理について詳細に説明する。
図18は、第1の実施の形態のフレーム転送制御処理部2600の一変形例である第3の実施の形態を示す。
図6と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS5のYesルート後に、優先学習ポート設定テーブル2540の受信フレームのポートIDが優先ポート設定されているか判定し(S12)、優先学習ポート設定の場合には(S12のYesルート)、フレーム廃棄管理テーブル2520に優先学習ポートIDで(上書き)登録する(フレーム転送管理テーブル登録処理S6:変形例)ところに特徴のひとつがある(図18の破線囲み)。
以下、フローチャートで処理について詳細に説明する。
図18は、第1の実施の形態のフレーム転送制御処理部2600の一変形例である第3の実施の形態を示す。
図6と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS5のYesルート後に、優先学習ポート設定テーブル2540の受信フレームのポートIDが優先ポート設定されているか判定し(S12)、優先学習ポート設定の場合には(S12のYesルート)、フレーム廃棄管理テーブル2520に優先学習ポートIDで(上書き)登録する(フレーム転送管理テーブル登録処理S6:変形例)ところに特徴のひとつがある(図18の破線囲み)。
図19は、第1の実施の形態のフレーム転送管理テーブル登録処理(S6)の一変形例である第3の実施の形態を示す。
図7と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS601の後に、優先学習ポート設定テーブル2540の受信フレームのポートIDが優先ポート設定されているか判定し(S602)、非優先学習ポート設定の場合には(S602のNoルート)、終了する。
優先学習ポート設定の場合には(S602のYesルート)、フレーム転送制御処理部2600は、優先学習ポート設定テーブル2540を参照し非優先学習ポートを検出し、フレーム廃棄管理テーブル2520の非優先学習ポートに対し、当該受信フレームの送信元MACアドレスを廃棄対象MACアドレスとして登録し(S603)、終了する。
図7と比較すると、本実施の形態は、フレーム転送制御処理部2600は、ステップS601の後に、優先学習ポート設定テーブル2540の受信フレームのポートIDが優先ポート設定されているか判定し(S602)、非優先学習ポート設定の場合には(S602のNoルート)、終了する。
優先学習ポート設定の場合には(S602のYesルート)、フレーム転送制御処理部2600は、優先学習ポート設定テーブル2540を参照し非優先学習ポートを検出し、フレーム廃棄管理テーブル2520の非優先学習ポートに対し、当該受信フレームの送信元MACアドレスを廃棄対象MACアドレスとして登録し(S603)、終了する。
図20は、第1の実施の形態のテーブル管理処理2410の一変形例である第3の実施の形態を示す。
図8と比較すると、本実施の形態では、ステップS23のNoルート後に、管理装置10から優先学習ポート設定の指示を受信したか否かを判定し(S28)、指示を受信した場合には(S28のYesルート)、後述する優先学習ポート設定処理(S29)を行うことに特徴がある(図20の破線囲み)。
図8と比較すると、本実施の形態では、ステップS23のNoルート後に、管理装置10から優先学習ポート設定の指示を受信したか否かを判定し(S28)、指示を受信した場合には(S28のYesルート)、後述する優先学習ポート設定処理(S29)を行うことに特徴がある(図20の破線囲み)。
図21は、図20中の優先学習ポート設定(S29)を示すフローチャートである。
プロセッサ2300は、優先学習ポート設定処理(S29)を開始すると、設定データの内容「対象ポートID」「優先学習フラグ設定」を取得し(S2901)、優先学習フラグ設定に変化ありか判定する(S2902)。プロセッサ2300は、フラグ変化なしの場合は(S2902のNoルート)は、終了する。一方、フラグ変化ありの場合は(S2902のYesルート)は、プロセッサ2300は、フレーム転送管理テーブル2510内で、当該ポートIDで登録されている全MACアドレスを取得する(S2903)。
プロセッサ2300は、優先学習ポート設定処理(S29)を開始すると、設定データの内容「対象ポートID」「優先学習フラグ設定」を取得し(S2901)、優先学習フラグ設定に変化ありか判定する(S2902)。プロセッサ2300は、フラグ変化なしの場合は(S2902のNoルート)は、終了する。一方、フラグ変化ありの場合は(S2902のYesルート)は、プロセッサ2300は、フレーム転送管理テーブル2510内で、当該ポートIDで登録されている全MACアドレスを取得する(S2903)。
次に、プロセッサ2300は、フラグ設定指示が“1”優先学習設定に変化したのか判定する(S2904)。“1”に変化した場合は(S2904のYesルート)、プロセッサ2300は、優先学習ポート設定されたポートで登録(学習)されているMACアドレスを送信元に持つフレームを、不正フレームとして非優先学習ポートでは廃棄させるため、ステップS2905からS2907の処理を行う。すなわち、プロセッサ2300は、優先学習ポート設定テーブル2540の当該ポートの優先学習フラグ欄2542を“1”優先学習設定にし(S2905)、フレーム廃棄管理テーブル2520の非優先学習ポートIDに対し、上記ステップS2903で取得した全MACアドレスを廃棄対象MACアドレス欄2523に登録する(S2906)。次にフレーム廃棄管理テーブル2520の優先学習設定した当該ポートIDに対し、廃棄対象MACアドレスを初期化(全て削除)し(S2907)終了する。
一方、“0”に変化した場合は(S2904のNoルート)、プロセッサ2300は、ステップS2904のYesルート時とは逆に、廃棄設定されたMACアドレスを解除するなど、後処理のため、ステップS2908からS2911の処理を行う。すなわち、プロセッサ2300は、優先学習ポート設定テーブル2540の当該ポートの優先学習フラグ欄2542を“0”非優先学習設定にし(S2908)、フレーム廃棄管理テーブル2520の優先学習ポートIDに対し、上記ステップS2903で取得した全MACアドレスを廃棄対象MACアドレス欄2523からエントリ削除し廃棄フレーム数欄2524を0クリアする(S2909)。次に、プロセッサ2300は、フレーム転送管理テーブル2510内で、優先学習ポートで登録されている全MACアドレスを取得し(S2910)、フレーム廃棄管理テーブル2520の指示された当該ポートIDに対し、上記ステップS2910で取得した全MACアドレスを廃棄対象MACアドレス欄2523に登録し(S2911)、終了する。
以上、本発明の第3の実施の形態によれば、優先学習ポート設定テーブル2540に、例えばルータ30が接続されるMACフレーム転送装置20のポートIDを優先学習ポートとして設定すれば、フレーム廃棄管理テーブル2520やフレーム転送管理テーブル2510にMACアドレス設定することなく、ポートID指定だけで装置内部で自動的に廃棄MACアドレス設定されるため、第1の実施の形態や第2の実施の形態の効果に加え、さらに管理者の管理負荷を軽減することが可能となる。
4.第4の実施の形態
図22、図23、図24は、それぞれ第1の実施の形態の各テーブルの一変形例であり、第4の実施の形態を示す。
第4の実施の形態は、各テーブルに追加の識別情報としてVLAN−ID(Virtual LAN−ID)を追加した例である。このように、ポートとMACの組に依る管理に、VLAN−IDなどの識別子を追加する拡張も容易である。上述した第1〜第3の実施の形態の各フローチャートにおける処理で、データの設定又は判断等の条件として、VLAN−IDをさらに加えることで、各処理を実行することができる。
図22、図23、図24は、それぞれ第1の実施の形態の各テーブルの一変形例であり、第4の実施の形態を示す。
第4の実施の形態は、各テーブルに追加の識別情報としてVLAN−ID(Virtual LAN−ID)を追加した例である。このように、ポートとMACの組に依る管理に、VLAN−IDなどの識別子を追加する拡張も容易である。上述した第1〜第3の実施の形態の各フローチャートにおける処理で、データの設定又は判断等の条件として、VLAN−IDをさらに加えることで、各処理を実行することができる。
5.第5の実施の形態
(ハード構成)
図25は、本発明のMACフレーム転送装置20を含むネットワークシステム構成の一変形例である第5の実施の形態を示す。
図25では、PON(Passive Optical Network)システムに置き換えた例を示す。ここでPONシステムOLT20は、前記のMACフレーム転送装置20と同様のフレーム廃棄処理および管理装置への通知処理を備える。またONU100(100−1から100−4)もまた同様の処理を備える。PONシステムOLT20とONU100間は、光スプリッタ73、74および光ファイバ71(71−1から71−4)でスター型に接続される。
以上のように、PONシステムにも容易に拡張することが可能であり、実施の形態によれば、ONUのどのユーザ側ネットワークポートで不正フレームが発生しているかを管理者に容易に通知可能となる。
(ハード構成)
図25は、本発明のMACフレーム転送装置20を含むネットワークシステム構成の一変形例である第5の実施の形態を示す。
図25では、PON(Passive Optical Network)システムに置き換えた例を示す。ここでPONシステムOLT20は、前記のMACフレーム転送装置20と同様のフレーム廃棄処理および管理装置への通知処理を備える。またONU100(100−1から100−4)もまた同様の処理を備える。PONシステムOLT20とONU100間は、光スプリッタ73、74および光ファイバ71(71−1から71−4)でスター型に接続される。
以上のように、PONシステムにも容易に拡張することが可能であり、実施の形態によれば、ONUのどのユーザ側ネットワークポートで不正フレームが発生しているかを管理者に容易に通知可能となる。
以上、本実施の形態によれば、MACフレーム転送装置(PONシステムも含む)において、ループフレームや詐称フレームを廃棄し、ネットワーク障害の発生を防止することが可能となる。さらに不正が発生しているポートとそのときの送信元MAC、廃棄数を管理装置に通知することにより、障害解析の容易化も可能となる。
本発明は、MACフレーム以外にも、IPフレームやその他の適宜のフレームの転送に適用することができる。また、本発明は、PON等の各種のネットワークにも適用することがきる。
10、10−1〜10−3:管理装置
20:MACフレーム転送装置、PONシステムOLT
30:ルータ
40:インターネット
50、50−1〜50−2:HUB
60、60−1a〜60−3c:ユーザ端末
70、70−1〜70−r:アクセス回線
73,74:光スプリッタ
80、81:広域ネットワーク回線
91:シリアルケーブルなどの回線
92:管理用のネットワーク回線
100、100−1〜100−4:ONU(光終端装置)
2100:シリアルインタフェース部
2200:制御インタフェース部
2300:プロセッサ
2400:メモリ
2410:テーブル管理処理
2500:データメモリ
2510:フレーム転送管理テーブル
2520:フレーム廃棄管理テーブル
2530:廃棄通知パラメータテーブル
2540:優先学習ポート設定テーブル
2600、2600−1〜2600−r:フレーム転送制御処理部
2700、2700−1〜2700−r:フレーム送受信インタフェース部
2800:内部バス
20:MACフレーム転送装置、PONシステムOLT
30:ルータ
40:インターネット
50、50−1〜50−2:HUB
60、60−1a〜60−3c:ユーザ端末
70、70−1〜70−r:アクセス回線
73,74:光スプリッタ
80、81:広域ネットワーク回線
91:シリアルケーブルなどの回線
92:管理用のネットワーク回線
100、100−1〜100−4:ONU(光終端装置)
2100:シリアルインタフェース部
2200:制御インタフェース部
2300:プロセッサ
2400:メモリ
2410:テーブル管理処理
2500:データメモリ
2510:フレーム転送管理テーブル
2520:フレーム廃棄管理テーブル
2530:廃棄通知パラメータテーブル
2540:優先学習ポート設定テーブル
2600、2600−1〜2600−r:フレーム転送制御処理部
2700、2700−1〜2700−r:フレーム送受信インタフェース部
2800:内部バス
Claims (8)
- それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存し、かつ、アドレス及び接続ポートIDに対応して、さらに、一定時間アクセスがないものを削除するエイジング機能の対象か否かを設定するエイジング対象外設定欄を含む、フレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記フレーム転送管理テーブルのエイジング対象外設定欄がエイジング対象外か判定し、エイジング対象外の場合は、前記フレーム転送管理テーブルを上書き更新又は登録しないようにし、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングし、
前記プロセッサは、
管理装置から、設定データの内容として、対象ポートID、対象アドレス、登録または削除の指示を取得し、
対象ポートと対象アドレスの組が、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄にエイジング対象外として登録されているか検索し、
(1) アドレス及び接続ポートIDの組がエイジング対象外として登録済の場合は、
登録指示の場合は、既に登録済のため終了し、
削除指示の場合は、前記フレーム転送管理テーブルの当該エントリを初期化して削除し、前記フレーム廃棄管理テーブルの非当該ポートIDに登録されている当該のエントリを初期化して削除し、
一方
(2)アドレス及び接続ポートIDの組がエイジング対象外として登録未の場合は、
登録指示の場合は、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄を登録し、エイジング対象外設定欄に対象外としての設定を行い、前記フレーム廃棄管理テーブルの非当該ポートIDに当該を廃棄対象アドレスとして登録する
前記フレーム転送装置。 - それぞれが少なくとも1つのユーザ端末と接続されたアクセス回線を収容する複数の第1インタフェース部と、
ネットワークに接続された第2のインタフェース部と、
ユーザ端末またはネットワーク側装置のアドレスと、アドレスに対応して該端末または該ネットワーク側装置が接続された前記第1または第2インタフェース部を特定する接続ポートIDとを保存するフレーム転送管理テーブルと、
受信フレームの送信元アドレスと比較して一致した場合に該フレームを廃棄するための廃棄対象アドレス及び対象ポートIDと、廃棄フレーム数を対応づけて保存するフレーム廃棄管理テーブルと、
ポートID欄に対応して、優先的に登録するための優先ポート設定欄を記憶した優先学習ポート設定テーブルと、
前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルを参照し、フレームの受信及び転送及び廃棄を行うためのフレーム転送制御処理部と、
管理装置からの指示に従い、前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルのテーブル管理処理を実行するプロセッサと
を備え、各ユーザ端末と上記ネットワークとの間でフレームの転送を制御するフレーム転送装置であって、
上記フレーム転送制御処理部が、
前記第1又は第2インタフェース部からフレームを受信し、
受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されているか検索し、
登録されていた場合は、受信フレームを廃棄し、前記フレーム廃棄管理テーブルの当該エントリの廃棄フレーム数をインクリメントし、
一方、受信フレームの送信元アドレスが前記フレーム廃棄管理テーブルの廃棄対象アドレス欄に登録されていなかった場合は、前記受信フレームの送信元アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、未登録の場合は、前記受信フレームの送信元アドレスと受信ポートIDを、前記フレーム転送管理テーブルのアドレス欄と接続ポートID欄に登録し、一方、登録済の場合は、前記優先学習ポート設定テーブルの受信フレームのポートIDが優先ポート設定されているか判定し、優先学習ポート設定の場合には、前記フレーム廃棄管理テーブルの非優先学習ポートに対し、当該受信フレームの送信元アドレスを廃棄対象アドレスとして登録し、終了し、
前記受信フレームの宛先アドレスが前記フレーム転送管理テーブルのアドレス欄に登録されているか検索し、登録済の場合は、当該エントリの接続ポートID欄に登録されているポートに転送し、未登録の場合は、前記受信フレームの受信ポートを除くポートにフラッディングする
前記フレーム転送装置。 - 前記プロセッサは、
管理装置から優先学習ポート設定の指示を受信した場合には、
前記管理装置から、設定データの内容である対象ポートID、優先学習フラグ設定を取得し、優先学習フラグ設定の変化ありの場合は、前記フレーム転送管理テーブル内で、当該ポートIDで登録されている全アドレスを取得し、
(1) フラグ設定指示が優先学習設定に変化した場合は、前記優先学習ポート設定テーブルの当該ポートの優先学習フラグ欄を優先学習設定にし、前記フレーム廃棄管理テーブルの非優先学習ポートIDに対し、上記取得した全アドレスを廃棄対象アドレス欄に登録し、また、前記フレーム廃棄管理テーブルの優先学習設定した当該ポートIDに対し、廃棄対象アドレスを全て削除し、
一方、
(2) フラグ設定指示が非優先学習設定に変化した場合は、前記優先学習ポート設定テーブルの当該ポートの優先学習フラグ欄を非優先学習設定にし、前記フレーム廃棄管理テーブルの優先学習ポートIDに対し、上記取得した全アドレスを廃棄対象アドレス欄からエントリ削除し廃棄フレーム数欄をクリアし、また、前記フレーム転送管理テーブル内で、優先学習ポートで登録されている全アドレスを取得し、前記フレーム廃棄管理テーブルの指示された当該ポートIDに対し、上記取得した全アドレスを廃棄対象アドレス欄に登録すること
を特徴とする請求項2に記載のフレーム転送装置。 - 前記プロセッサが実行するテーブル管理処理は、
管理装置から、対象ポートID、廃棄対象アドレス、登録または削除の指示を含む設定データの内容を取得し、前記フレーム廃棄管理テーブルを更新する廃棄対象アドレス設定処理をさらに含むことを特徴とする請求項1又は2に記載のフレーム転送装置。 - 前記フレーム廃棄管理テーブルを監視する周期を登録する廃棄数監視周期欄と、前記フレーム廃棄管理テーブルの廃棄フレーム数を監視周期毎にクリアするか否かの設定を保存する周期クリア欄と、廃棄数閾値欄とを記憶した廃棄通知パラメータテーブルをさらに備え、
前記プロセッサは、廃棄フレームに関するイベントを管理装置に通知するためのイベント通知処理をさらに実行し、
前記イベント通知処理は、
周期タイマが動作中で満了した場合又は周期タイマが停止中の場合、前記フレーム廃棄管理テーブルを検索し、
廃棄フレーム数が、前記廃棄通知パラメータテーブルの、前記廃棄数閾値の値以上のエントリが有る場合は、前記廃棄管理テーブルの当該エントリの、ポートID、廃棄対象アドレス、廃棄フレーム数を、管理装置に通知し、
前記廃棄管理テーブルの当該エントリの廃棄フレーム数欄をクリアすることを含むこと
を特徴とする請求項1又は2に記載のフレーム転送装置。 - 前記プロセッサは、さらに、
廃棄通知パラメータテーブルの廃棄数周期監視欄を参照し、
0秒又は時間周期に依る監視なしと設定されている場合は、処理を終了し、
0秒又は時間周期に依る監視なしと設定されていない場合は、前記廃棄通知パラメータテーブルの周期クリア欄設定を判定し、
周期クリア欄設定がEnable設定の場合は、前記フレーム廃棄管理テーブルの全エントリの廃棄フレーム数欄を0クリアし、周期タイマを再開し、Disable設定の場合は、周期タイマを再開して、処理を終了すること
を特徴とする請求項5に記載のフレーム転送装置。 - 前記プロセッサが実行する前記テーブル管理処理は、
管理装置から、廃棄数監視周期、周期クリア設定、廃棄数閾値を含む設定データの内容を取得し、指示に従い廃棄通知パラメータテーブルに設定する廃棄通知パラメータ設定処理をさらに含むことを特徴とする請求項5に記載のフレーム転送装置。 - 前記フレーム転送管理テーブル及び前記フレーム廃棄管理テーブルは、VLAN−IDを識別情報としてさらに含むこと特徴とする請求項1乃至7のいずれかに記載のフレーム転送装置。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008177276A JP5074314B2 (ja) | 2008-07-07 | 2008-07-07 | フレーム転送装置 |
| CN2009101475435A CN101626381B (zh) | 2008-07-07 | 2009-06-18 | 帧传送装置 |
| EP20090008071 EP2144405B1 (en) | 2008-07-07 | 2009-06-19 | Frame forwarding apparatus |
| US12/490,996 US8040872B2 (en) | 2008-07-07 | 2009-06-24 | Frame forwarding apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008177276A JP5074314B2 (ja) | 2008-07-07 | 2008-07-07 | フレーム転送装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010016775A JP2010016775A (ja) | 2010-01-21 |
| JP5074314B2 true JP5074314B2 (ja) | 2012-11-14 |
Family
ID=41212835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008177276A Expired - Fee Related JP5074314B2 (ja) | 2008-07-07 | 2008-07-07 | フレーム転送装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8040872B2 (ja) |
| EP (1) | EP2144405B1 (ja) |
| JP (1) | JP5074314B2 (ja) |
| CN (1) | CN101626381B (ja) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4823331B2 (ja) * | 2009-04-13 | 2011-11-24 | 富士通株式会社 | ネットワーク接続装置及びスイッチング回路装置、並びにアドレス学習処理方法 |
| EP2541844B1 (en) * | 2010-02-22 | 2015-05-06 | Nec Corporation | Communication system, communication method, server device, communication device |
| US8599845B2 (en) * | 2010-04-07 | 2013-12-03 | Fujitsu Limited | Software-assisted VLAN aging timer scheme for distributed switching systems |
| US9258807B2 (en) * | 2010-05-03 | 2016-02-09 | Intel Deutschland Gmbh | Communication network device, communication terminal, and communication resource allocation methods |
| US8879554B2 (en) * | 2010-05-07 | 2014-11-04 | Cisco Technology, Inc. | Preventing MAC spoofs in a distributed virtual switch |
| JP5750973B2 (ja) * | 2011-03-29 | 2015-07-22 | 富士通株式会社 | 通信方法および通信装置 |
| JP2012248919A (ja) * | 2011-05-25 | 2012-12-13 | Hitachi Cable Ltd | フレーム中継装置、ネットワークシステム及びフレーム中継方法 |
| GB2494385B (en) | 2011-08-31 | 2018-06-06 | Metaswitch Networks Ltd | Transmitting and forwarding data |
| US9160633B1 (en) * | 2011-10-07 | 2015-10-13 | Adtran, Inc. | Systems and methods for dynamically learning virtual local area network (VLAN) tags |
| CN103686466B (zh) * | 2012-09-12 | 2016-12-21 | 华为技术有限公司 | 为光网络中的设备生成转发表项的方法和装置 |
| JP6015304B2 (ja) * | 2012-09-27 | 2016-10-26 | 富士通株式会社 | 通信装置およびアドレス学習方法 |
| US9198118B2 (en) * | 2012-12-07 | 2015-11-24 | At&T Intellectual Property I, L.P. | Rogue wireless access point detection |
| US9369372B1 (en) * | 2013-03-13 | 2016-06-14 | Altera Corporation | Methods for network forwarding database flushing |
| WO2015075959A1 (ja) * | 2013-11-25 | 2015-05-28 | 三菱電機株式会社 | 中継装置および通信ネットワーク |
| US10218604B2 (en) * | 2015-01-19 | 2019-02-26 | Hewlett Packard Enterprise Development Lp | Engines to prune overlay network traffic |
| JP6293353B2 (ja) * | 2015-02-19 | 2018-03-14 | 三菱電機株式会社 | 中継装置 |
| US10038632B2 (en) * | 2015-07-23 | 2018-07-31 | Netscout Systems, Inc. | AIA enhancements to support L2 connected networks |
| CN105392132B (zh) * | 2015-10-29 | 2019-01-18 | 华讯方舟科技有限公司 | 一种端口数据分离方法和装置 |
| US10237088B2 (en) * | 2016-10-07 | 2019-03-19 | Ciena Corporation | Systems and methods for avoiding inadvertent loops in a layer 2 switched network |
| JP6562486B1 (ja) * | 2018-05-17 | 2019-08-21 | Necプラットフォームズ株式会社 | Macアドレステーブル管理回路、イーサネットパケットスイッチング装置、テーブル管理方法、プログラム |
| JP7204006B2 (ja) * | 2019-11-20 | 2023-01-13 | 三菱電機株式会社 | 光通信装置及び通信システム |
| US11444961B2 (en) * | 2019-12-20 | 2022-09-13 | Intel Corporation | Active attack detection in autonomous vehicle networks |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2742129B2 (ja) * | 1990-02-09 | 1998-04-22 | 株式会社日立製作所 | アドレスフィルタ装置 |
| JP3499621B2 (ja) | 1994-12-27 | 2004-02-23 | 株式会社東芝 | アドレス管理装置およびアドレス管理方法 |
| US6006258A (en) * | 1997-09-12 | 1999-12-21 | Sun Microsystems, Inc. | Source address directed message delivery |
| US6157635A (en) * | 1998-02-13 | 2000-12-05 | 3Com Corporation | Integrated remote data access and audio/visual conference gateway |
| DE60107076T2 (de) * | 2000-01-31 | 2005-11-24 | Aeptec Microsystems, Inc. | Zugangsvorrichtung für breitbandkommunikationen |
| US7380272B2 (en) * | 2000-05-17 | 2008-05-27 | Deep Nines Incorporated | System and method for detecting and eliminating IP spoofing in a data transmission network |
| JP3446747B2 (ja) * | 2001-04-23 | 2003-09-16 | 株式会社日立製作所 | パケット通信方法 |
| JP2003333063A (ja) * | 2002-05-17 | 2003-11-21 | Hitachi Cable Ltd | スイッチングハブ |
| CN1240240C (zh) * | 2002-09-20 | 2006-02-01 | 明基电通股份有限公司 | 无线通信网络系统中保证基站数据帧同步的溢出控制方法 |
| JP4320603B2 (ja) | 2004-02-26 | 2009-08-26 | 日本電気株式会社 | 加入者回線収容装置およびパケットフィルタリング方法 |
| JP4464766B2 (ja) * | 2004-03-03 | 2010-05-19 | 株式会社日立製作所 | マルチキャスト配信制御装置 |
| JP4403893B2 (ja) * | 2004-06-21 | 2010-01-27 | 株式会社日立製作所 | マルチキャストパケット転送装置 |
| JP2006094416A (ja) * | 2004-09-27 | 2006-04-06 | Nec Corp | 加入者回線収容装置およびパケットフィルタリング方法 |
| JP2006121667A (ja) * | 2004-09-27 | 2006-05-11 | Matsushita Electric Ind Co Ltd | パケット受信制御装置及びパケット受信制御方法 |
| JP4020134B2 (ja) * | 2004-10-05 | 2007-12-12 | 松下電工株式会社 | スイッチングハブ装置、ルータ装置 |
| JP2007266850A (ja) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 伝送装置 |
| JP5165898B2 (ja) | 2007-01-17 | 2013-03-21 | 株式会社東芝 | 磁気ランダムアクセスメモリ及びその書き込み方法 |
| US8477793B2 (en) * | 2007-09-26 | 2013-07-02 | Sling Media, Inc. | Media streaming device with gateway functionality |
-
2008
- 2008-07-07 JP JP2008177276A patent/JP5074314B2/ja not_active Expired - Fee Related
-
2009
- 2009-06-18 CN CN2009101475435A patent/CN101626381B/zh not_active Expired - Fee Related
- 2009-06-19 EP EP20090008071 patent/EP2144405B1/en not_active Not-in-force
- 2009-06-24 US US12/490,996 patent/US8040872B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101626381B (zh) | 2012-09-05 |
| EP2144405B1 (en) | 2012-05-23 |
| JP2010016775A (ja) | 2010-01-21 |
| US8040872B2 (en) | 2011-10-18 |
| US20100002702A1 (en) | 2010-01-07 |
| EP2144405A3 (en) | 2010-06-09 |
| EP2144405A2 (en) | 2010-01-13 |
| CN101626381A (zh) | 2010-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5074314B2 (ja) | フレーム転送装置 | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| Dhawan et al. | Sphinx: detecting security attacks in software-defined networks. | |
| US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
| US7436770B2 (en) | Metering packet flows for limiting effects of denial of service attacks | |
| US6895432B2 (en) | IP network system having unauthorized intrusion safeguard function | |
| EP2194677B1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| US20080301810A1 (en) | Monitoring apparatus and method therefor | |
| US20100223669A1 (en) | Automated Containment Of Network Intruder | |
| JP4774307B2 (ja) | 不正アクセス監視装置及びパケット中継装置 | |
| CN113228591B (zh) | 用于动态补救安全系统实体的方法、系统和计算机可读介质 | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| Gao et al. | A dos resilient flow-level intrusion detection approach for high-speed networks | |
| Rengaraju et al. | Detection and prevention of DoS attacks in Software-Defined Cloud networks | |
| US20160366171A1 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| KR100947211B1 (ko) | 능동형 보안 감사 시스템 | |
| US20090240804A1 (en) | Method and apparatus for preventing igmp packet attack | |
| Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
| JP7150552B2 (ja) | ネットワーク防御装置およびネットワーク防御システム | |
| CN109861961B (zh) | 网络防御装置以及网络防御系统 | |
| Almaini et al. | Delegation of authentication to the data plane in software-defined networks | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| US8281400B1 (en) | Systems and methods for identifying sources of network attacks | |
| Gonçalves et al. | IPS architecture for IoT networks overlapped in SDN | |
| KR20090044177A (ko) | 블랙리스트 기반의 침입 관리 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100122 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120412 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120424 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120622 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120814 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120823 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150831 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |