JP6114214B2 - Network device and communication method - Google Patents
Network device and communication method Download PDFInfo
- Publication number
- JP6114214B2 JP6114214B2 JP2014034171A JP2014034171A JP6114214B2 JP 6114214 B2 JP6114214 B2 JP 6114214B2 JP 2014034171 A JP2014034171 A JP 2014034171A JP 2014034171 A JP2014034171 A JP 2014034171A JP 6114214 B2 JP6114214 B2 JP 6114214B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- network device
- network
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 40
- 238000004891 communication Methods 0.000 title claims description 19
- 238000012546 transfer Methods 0.000 claims description 228
- 230000005540 biological transmission Effects 0.000 claims description 29
- 238000010586 diagram Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 238000001914 filtration Methods 0.000 description 2
- 230000001174 ascending effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ネットワーク装置に関する。 The present invention relates to a network device.
現在、IPネットワークを利用するため、広く普及した汎用品を利用することができる。このため、ネットワーク装置がなんらかの制限をかけない場合、意図した端末だけでなく、さまざまな端末が容易にIPネットワークに接続することができる。そして、意図しない端末がIPネットワークに接続されることによって、IPネットワークに不正なデータが流れたり、セキュリティが侵害されたりする可能性がある。 Currently, since an IP network is used, a widely used general-purpose product can be used. Therefore, when the network device does not place any restrictions, not only the intended terminal but also various terminals can easily connect to the IP network. Then, if an unintended terminal is connected to the IP network, there is a possibility that unauthorized data may flow through the IP network or security may be compromised.
一方、ネットワーク装置は、端末から送信されたパケットを他の端末に転送するため、ネットワーク装置が有するインタフェース(ポート)と端末との対応関係を保持する。そして、この対応関係を追加又は更新することは、アドレスの学習と呼ばれる。 On the other hand, since the network device transfers the packet transmitted from the terminal to another terminal, the network device maintains a correspondence relationship between the interface (port) of the network device and the terminal. Adding or updating this correspondence is called address learning.
従来、アドレス学習の可否を判定するため、ネットワーク装置が保持する条件を用いる技術が提案されている(例えば、特許文献1参照)。特許文献1には、「ネットワーク中継装置と接続された端末装置による特定ネットワークへの接続の可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、前記第1の情報に基づき端末装置と前記特定のネットワーク上のノードとの間の通信データの前記通信部による中継の可否を管理する」ネットワーク中継装置が記載される。
Conventionally, in order to determine whether address learning is possible, a technique using a condition held by a network device has been proposed (see, for example, Patent Document 1). In
ネットワークの管理者は、本来意図しない端末がIPネットワークへ接続することを防ぎ、かつ、IPネットワークに不正なデータが流れないような安全なネットワークを構築する必要がある。そして、ネットワーク管理者は、安全なネットワークが構築されるようにネットワーク装置にアドレスを学習させる必要がある。 The network administrator needs to construct a secure network that prevents an unintended terminal from connecting to the IP network and prevents illegal data from flowing through the IP network. Then, the network administrator needs to let the network device learn an address so that a secure network is constructed.
しかし、IPネットワークへ流入するデータをネットワーク装置が制限するようにネットワーク装置を設定することは、一般的なユーザにとって困難である。これは、そのネットワーク装置への設定が複雑であり、設定のために専門的かつ高度な知識が必要であるためである。 However, it is difficult for a general user to set a network device so that the data flowing into the IP network is restricted by the network device. This is because setting to the network device is complicated, and specialized and advanced knowledge is required for setting.
さらに、特許文献1の技術を用いた場合、特許文献1の技術を用いる場合、認証機能とDHCPサーバの利用が必要であり、ネットワークの設計およびネットワーク装置設定に専門知識が必要となる。
Further, when using the technique of
本発明では、ネットワークの特別な専門知識がなくても、IPネットワークへ接続可能な端末を設定でき、さらに、安全なIPネットワークの構築を可能にする装置を提供することを目的とする。 It is an object of the present invention to provide an apparatus that can set a terminal that can be connected to an IP network without special network knowledge, and that can construct a secure IP network.
本発明の一態様によると、IPネットワークと複数の端末の間に位置するネットワーク装置であって、複数の端末に接続され、端末から送信されるパケットを受信した場合、受信したパケットを用いて端末のアドレスを学習しアドレス情報を生成する学習処理、または、パケットの転送が許可されるか否かを示すフィルタ情報に基づいて受信したパケットを転送制御するフィルタリング処理を行う。 According to an aspect of the present invention, when a network device is located between an IP network and a plurality of terminals and is connected to the plurality of terminals and receives a packet transmitted from the terminal, the terminal uses the received packet. A learning process for learning the address and generating address information, or a filtering process for controlling transfer of a received packet based on filter information indicating whether or not packet transfer is permitted.
より具体的には、本発明の一形態によると、ネットワーク装置であって、プロセッサ及びメモリを有し、複数の端末に接続され、前記複数の端末から送信されるパケットを受信するネットワークインタフェースを有し、前記ネットワーク装置が前記複数の端末のアドレスを学習できるか否かを示す学習情報と、前記ネットワーク装置が転送するパケットを示すアドレス情報と、前記パケットの転送が許可されるか否かを示すフィルタ情報と、を保持し、前記アドレス情報及び前記フィルタ情報の少なくとも一方に基づいてパケットを転送する転送部を有し、前記転送部は、端末からパケットを受信した場合、前記パケットを受信した際に前記ネットワーク装置が前記アドレスを学習できるか否かを、前記学習情報に基づいて判定し、前記ネットワーク装置がアドレスを学習できる場合、前記受信したパケットの送信元のアドレスを前記アドレス情報に格納し、前記ネットワーク装置がアドレスを学習できない場合、前記受信したパケットの送信元のアドレスを前記アドレス情報に格納せず、前記フィルタ情報に含まれるアドレスに基づいて前記受信したパケットを転送すべきか否かを判定する。 More specifically, according to one aspect of the present invention, a network device includes a processor and a memory, and has a network interface connected to a plurality of terminals and receiving packets transmitted from the plurality of terminals. And learning information indicating whether the network device can learn addresses of the plurality of terminals, address information indicating packets transferred by the network device, and whether transfer of the packets is permitted. A transfer unit that holds the filter information and transfers the packet based on at least one of the address information and the filter information, and the transfer unit receives the packet when receiving the packet from the terminal. Whether or not the network device can learn the address based on the learning information. When the work device can learn the address, the address of the source of the received packet is stored in the address information, and when the network device cannot learn the address, the address of the source of the received packet is stored in the address information. It is determined whether to transfer the received packet based on the address included in the filter information without storing.
本発明の一実施形態によると、IPネットワークへの接続可能な端末を簡易に設定できる。 According to an embodiment of the present invention, a terminal that can be connected to an IP network can be easily set.
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 Problems, configurations, and effects other than those described above will be clarified by the following description of embodiments.
本実施例のネットワーク装置は、所定の有効時間内に通信した端末のみの通信を許可することによって、IPネットワークを設定する際に接続された端末のみの通信を可能にする。 The network device according to the present embodiment allows communication only with terminals connected when setting the IP network by permitting communication only with terminals that have communicated within a predetermined effective time.
以下において、図面を参照しながら本実施例のパケット転送装置を説明する。 Hereinafter, the packet transfer apparatus according to the present embodiment will be described with reference to the drawings.
図1は、本実施例のネットワークシステムを示すブロック図である。 FIG. 1 is a block diagram illustrating a network system according to the present embodiment.
本実施例のネットワークシステムは、ネットワーク10、少なくとも一つのパケット転送装置100(100a〜100c)、少なくとも一つのサーバ410、及び、複数の端末400(400a〜400e)を有する。ネットワーク10は、例えば、IPネットワークである。
The network system of this embodiment includes a
パケット転送装置100は、ネットワーク10に設置され、端末400及びサーバ410から送信されるパケットを受信する。また、パケット転送装置100は、他のパケット転送装置100から送信されたパケットを受信する。パケット転送装置100は、プロセッサを有するネットワーク装置である。
The packet transfer apparatus 100 is installed in the
端末400は、プロセッサを有する計算機であり、例えば、ユーザが直接使用するパーソナルコンピュータであってもよい。また、端末400は、例えば、温度等を測定するためのセンサを備える端末であってもよい。 The terminal 400 is a computer having a processor, and may be, for example, a personal computer used directly by a user. The terminal 400 may be a terminal including a sensor for measuring temperature or the like, for example.
サーバ410は、パケット転送装置100を介して端末400と通信する。サーバ410は、プロセッサを有する計算機である。サーバ410は、例えば、アプリケーションによるサービスを端末400に提供する計算機であってもよく、また、端末400が測定した結果を収集し、集計し、集計した結果をユーザに提供する計算機であってもよい。
The
また、サーバ410は、入出力装置500を有してもよい。入出力装置500は、ユーザが、サーバ410を介してパケット転送装置100に指示を入力するために用いられる装置である。また、入出力装置500は、パケット転送装置100における処理結果を、ユーザに出力するための装置である。
The
入出力装置500は、例えば、ディスプレイ、プリンタ、キーボード、マウス、又はタブレット端末を備える装置である。なお、入出力装置500は、パケット転送装置100が有してもよい。
The input /
図1に示すパケット転送装置100aは、複数の端末400(400a、400b)及びサーバ410に接続される。パケット転送装置100は、制御部202、転送部300及び少なくとも一つのインタフェース110を有する。
The
制御部202は、プロセッサ及びメモリを有する。プロセッサは、メモリ204が保持するプログラムを実行することによって制御部202の機能を実装する。
The
制御部202は、アドレス管理部200及び少なくとも一つのアドレステーブル201を有する。アドレス管理部200は、端末400及びサーバ間で送受信されるパケットを転送するためのアドレスを管理する機能部である。
The
アドレス管理部200は、ユーザからの指示1501を受け付ける。指示1501は、入出力装置500を介して、コンソールケーブルにてパケット転送装置100に送られる。なお、入出力装置500からパケット転送装置100への通知は、インタフェース110を介したパケット通信でもよい。
The
なお、アドレス管理部200は、プログラムによって実装されてもよいし、制御部202に組み込まれる集積回路等の物理的な装置によって実装されてもよい。また、制御部202は、プログラムによって実装されてもよいし、パケット転送装置100に組み込まれる集積回路等の物理的な装置として実装されてもよい。
Note that the
アドレステーブル201は、パケット転送装置100を介して通信できる端末400又はサーバ410のアドレスを示す。さらに、本実施例のアドレステーブル201は、アドレス管理部200がアドレステーブル201にアドレスを設定することができるか否かを示す学習情報を保持する。また、アドレステーブル201は、学習してもよいアドレスを保持する。
The address table 201 indicates the address of the terminal 400 or the
本実施例における学習情報は、パケット転送装置100がアドレスを学習できるか否かを示す。例えば、学習情報は、単なる「学習可」又は「学習不可」を示してもよいし、アドレスを学習できる時間を、有効時間として示してもよい。 The learning information in the present embodiment indicates whether or not the packet transfer apparatus 100 can learn an address. For example, the learning information may simply indicate “learnable” or “not learnable”, or may indicate the time during which an address can be learned as an effective time.
以下において、アドレステーブル201が有する学習情報が、有効時間(後述する有効時間211)である場合を説明する。 Hereinafter, a case where the learning information included in the address table 201 is a valid time (a valid time 211 described later) will be described.
制御部202は、アドレステーブル201を、インタフェース110に対応させて保持してもよい。このため、アドレステーブル201は、パケット転送装置100が接続される端末400、又は、サーバ410ごとに設定されてもよいし、同一のネットワークアドレスを持つ装置で構成されるネットワークセグメントごとに設定されてもよい。
The
転送部300は、パケットを転送するための装置である。転送部300は、プロセッサ及びメモリを有する。また、転送部300は、機能部としてデータ転送部303を有し、情報として、転送テーブル301、フィルタテーブル302及び有効時間305を保持する。
The
データ転送部303は、プログラムによって実装されてもよいし、転送部300に組み込まれる集積回路等の物理的な装置によって実装されてもよい。また、転送部300は、プログラムによって実装されてもよいし、パケット転送装置100に組み込まれる集積回路等の物理的な装置として実装されてもよい。
The
転送テーブル301は、パケット転送装置100を介して通信できる端末400又はサーバ410のアドレスを示す。
The forwarding table 301 indicates the address of the terminal 400 or the
フィルタテーブル302は、パケット転送装置100が転送しないパケットの送信元のアドレスを示す。 The filter table 302 indicates a source address of a packet that is not transferred by the packet transfer apparatus 100.
有効時間305は、アドレス管理部200に設定された有効時間211に対応する。具体的には、有効時間211がユーザの指示に従って設定された際、データ転送部303は、アドレステーブル201の有効時間211に基づいて、有効時間305を更新する。有効時間211が複数のインタフェース110に対応して複数設定される場合、有効時間305は、インタフェース110に対応して値を保持してもよいし、複数の有効時間211をマージした値を保持してもよい。
The
例えば、1時〜3時を示す有効時間211aと2時〜4時を示す有効時間211bとがアドレステーブル201に設定されていた場合、データ転送部303は、1時〜3時と2時〜4時とを、1時〜4時に変換することによってマージし、1時〜4時を示す値によって有効時間305を更新してもよい。これによって、有効時間305が保持する情報量を低減できる。
For example, when the
また、有効時間211が時間ではなく、「学習可」又は「学習不可」を示す場合、データ転送部303は、少なくとも一つの有効時間211が「学習可」を示す場合、有効時間305として「学習可」を保持してもよい。
In addition, when the effective time 211 indicates “learning” or “learning impossible” instead of time, the
本実施例において、アドレステーブル201のアドレス及び転送テーブル301のアドレスは、同じである。アドレステーブル201は、転送テーブル301にアドレスを設定するためのテーブルである。 In the present embodiment, the address of the address table 201 and the address of the transfer table 301 are the same. The address table 201 is a table for setting an address in the transfer table 301.
また、本実施例におけるアドレスの学習は、アドレステーブル201にアドレスを設定し、アドレステーブル201のアドレスを転送テーブル301に格納することである。 In the present embodiment, learning of an address is to set an address in the address table 201 and store the address of the address table 201 in the transfer table 301.
インタフェース110(110a、110b)は、端末400又はサーバ410と接続するためのネットワークインタフェースである。本実施例のインタフェース110は、例えば、ポートである。また、インタフェース110は、他のパケット転送装置100のインタフェース110と接続されてもよい。
The interfaces 110 (110a and 110b) are network interfaces for connecting to the terminal 400 or the
インタフェース110は、端末400又はサーバ410が属するネットワークセグメントの各々と接続されてもよいし、端末400の各々と接続されてもよいし、サーバ410の各々と接続されてもよい。
The interface 110 may be connected to each of the network segments to which the terminal 400 or the
以下において、端末400aは、IPアドレスとして192.168.1.1が割り当てられており、さらに、MACアドレスとして0000.1111.1401が割り当てられる。また、端末400bは、IPアドレスとして192.168.1.2が割り当てられており、さらに、MACアドレスとして0000.1111.1402が割り当てられる。また、端末400a及び端末400bは、IPアドレスのうち上位24ビットがネットワークアドレスであり、端末400a及び端末400bはネットワークアドレスが192.168.1.0である一つのネットワークセグメントに属する。 In the following, the terminal 400a is assigned 192.168.168.1.1 as the IP address, and is further assigned 0000.1111.11401 as the MAC address. Further, the terminal 400b is assigned 192.168.168.1.2 as an IP address, and is further assigned 0000.1111.1402 as a MAC address. Also, the terminal 400a and the terminal 400b belong to one network segment whose upper 24 bits are the network address among the IP addresses, and the terminal 400a and the terminal 400b belong to one network segment whose network address is 192.168.1.0.
サーバ410は、IPアドレスとして10.0.0.1が割り当てられ、MACアドレスとして0000.1111.1403が割り当てられる。また、サーバ410が属するネットワークは、端末400a及び端末400bが属するネットワークとは異なるネットワークセグメントに属する。サーバ410のIPアドレスは上位8ビットがネットワークアドレスであり、サーバ410が属するネットワークセグメントのネットワークアドレスは、10.0.0.0である。
The
図2は、本実施例のアドレステーブル201を示す説明図である。 FIG. 2 is an explanatory diagram showing the address table 201 of this embodiment.
アドレステーブル201(201a、201b)は、有効時間211(211a、211b)、アドレス212(212a、212b)及び許可アドレス213(213a、213b)を含む。有効時間211は、アドレス212にアドレスを設定できる期間である。 The address table 201 (201a, 201b) includes a valid time 211 (211a, 211b), an address 212 (212a, 212b), and a permitted address 213 (213a, 213b). The valid time 211 is a period during which an address can be set for the address 212.
有効時間211は、時間、終了時刻、又は、開始時刻及び終了時刻等、所定の期間を示すことができれば、いずれの方法によって指定されてもよい。また、有効時間211は、前述の学習情報の内容を示してもよく、例えば、「学習可」又は「学習不可」を示してもよい。 The valid time 211 may be specified by any method as long as it can indicate a predetermined period such as time, end time, or start time and end time. The valid time 211 may indicate the content of the learning information described above, and may indicate “learning is possible” or “learning is not possible”, for example.
アドレス管理部200は、指示1501によってユーザから学習情報として有効時間を入力された場合、アドレステーブル201の有効時間211に入力された有効時間を格納する。そして、アドレス管理部200は、例えば、有効時間211が、開始時刻を含まず、時間によって指定される場合、ユーザから入力された有効時間を有効時間211に格納した時から、有効時間211が示す時間、アドレス212を更新できる。
When the valid time is input as learning information from the user according to the
また、アドレス管理部200は、指示1501によって学習情報として「学習可」又は「学習不可」を入力された場合、アドレステーブル201の有効時間211に入力された値を格納する。
In addition, when “learnable” or “learning impossible” is input as learning information according to the
アドレス212は、パケット転送装置100を介して通信できる端末400又はサーバ410のアドレスを示す。本実施例のアドレス212は、IPアドレス及びMACアドレスを格納する。
The address 212 indicates the address of the terminal 400 or the
許可アドレス213は、学習が許可されたアドレスを示す。具体的には、許可アドレス213は、アドレス212に設定することができるアドレスを示す。なお、許可アドレス213は、学習を許可されていないアドレスを示してもよい。 The permitted address 213 indicates an address for which learning is permitted. Specifically, the permission address 213 indicates an address that can be set as the address 212. The permitted address 213 may indicate an address for which learning is not permitted.
メモリ204は、一つのインタフェース110に対して一つのアドレステーブル201を有してもよいし、複数のインタフェース110に対して一つのアドレステーブル201を有してもよい。 The memory 204 may have one address table 201 for one interface 110 or one address table 201 for a plurality of interfaces 110.
すなわち、メモリ204は、パケット転送装置100に接続する端末400又はサーバ410が属するネットワークセグメントに対して、一つのアドレステーブル201を有してもよく、また、パケット転送装置100に接続する端末400の各々に対して、一つのアドレステーブル201を有してもよい。
That is, the memory 204 may have one address table 201 for the network segment to which the terminal 400 or the
インタフェース110に対してアドレステーブル201を有し、さらに、インタフェース110に対して有効時間211を有することによって、ユーザは、パケット転送装置100に、インタフェースの各々について、アドレスを学習させることができる。 By having the address table 201 for the interface 110 and further having the valid time 211 for the interface 110, the user can cause the packet transfer apparatus 100 to learn the address for each of the interfaces.
図2に示すアドレステーブル201aは、端末400a及び端末400bが属するネットワークセグメントに対応するアドレステーブルである。また、図2に示すアドレステーブル201bは、サーバ410が属するネットワークに対応するアドレステーブルである。
An address table 201a illustrated in FIG. 2 is an address table corresponding to a network segment to which the
また、図2に示すアドレス212aは、端末400a及び端末400bが属するネットワークセグメントにおいて、パケット転送装置100を介して通信することを許可された装置がないことを示す。また、図2に示すアドレス212bは、サーバ410が属するネットワークセグメントにおいて、サーバ410のみがパケット転送装置100を介して通信することを許可されていることを示す。
Further, the
図3Aは、本実施例の転送テーブル301を示す説明図である。 FIG. 3A is an explanatory diagram illustrating the transfer table 301 of this embodiment.
転送テーブル301は、インタフェース3011、IPアドレス3012及びMACアドレス3013を含む。インタフェース3011は、パケット転送装置100のインタフェース110を示す。
The forwarding table 301 includes an
IPアドレス3012は、インタフェース3011が示すインタフェース110に接続される装置のIPアドレスであり、かつ、パケット転送装置100を介して通信する装置のIPアドレスを示す。
An
MACアドレス3013は、インタフェース3011が示すインタフェース110に接続される装置のMACアドレスであり、かつ、パケット転送装置100を介して通信する装置のMACアドレスを示す。
The
図3Aに示す転送テーブル301は、パケット転送装置100が、サーバ410が属するネットワークセグメントが接続されるインタフェース110bから、サーバ410を宛先とするパケットのみを送信できることを示す。
The forwarding table 301 shown in FIG. 3A indicates that the packet forwarding apparatus 100 can transmit only packets destined for the
パケット転送装置100が受信したパケットの宛先へのネクストホップが、転送テーブル301が示すIPアドレス3012及びMACアドレス3013と一致しない場合、転送部300は、受信したパケットを破棄してもよい。これによって、データ転送部303は、学習していないアドレスへのパケットの転送を防ぐことができる。そして、不正なデータがIPネットワークに流入することを防ぐことができる。
When the next hop to the destination of the packet received by the packet transfer apparatus 100 does not match the
パケット転送装置100が受信したパケットの宛先へのネクストホップが、転送テーブル301が示すIPアドレス3012及びMACアドレス3013と一致する場合、データ転送部303はパケットの宛先に従ってパケットを転送する。
When the next hop to the destination of the packet received by the packet transfer apparatus 100 matches the
図3Bは、本実施例のフィルタテーブル302を示す説明図である。 FIG. 3B is an explanatory diagram illustrating the filter table 302 according to this embodiment.
フィルタテーブル302は、フィルタチェック順番3021、送信元IPアドレス3022、送信元MACアドレス3023、及び転送許可3024を含む。フィルタチェック順番3021は、フィルタテーブル302のエントリを採用する優先順位を示す。 The filter table 302 includes a filter check order 3021, a transmission source IP address 3022, a transmission source MAC address 3023, and a transfer permission 3024. The filter check order 3021 indicates the priority order in which the entries in the filter table 302 are adopted.
具体的には、本実施例のデータ転送部303は、フィルタチェック順番3021の数字が低い順に、フィルタテーブル302のエントリを検索する。そして、データ転送部303は、エントリが示すアドレスの条件が一致した場合、一致したエントリの転送許可3024に従って、パケットを転送するか否かを決定する。データ転送部303は、フィルタテーブル302を用いて受信するパケットをフィルタリングし、パケット転送制御を行う。
Specifically, the
送信元IPアドレス3022は、パケット転送装置100が受信したパケットの送信元のIPアドレスを示す。送信元MACアドレス3023は、パケット転送装置100が受信したパケットの送信元のMACアドレスを示す。 The transmission source IP address 3022 indicates the transmission source IP address of the packet received by the packet transfer apparatus 100. The transmission source MAC address 3023 indicates the transmission source MAC address of the packet received by the packet transfer apparatus 100.
転送許可3024は、送信元IPアドレス3022及び送信元MACアドレス3023のアドレスをヘッダに含むパケットの転送を、許可するか否かを示す。 The transfer permission 3024 indicates whether or not to permit transfer of a packet including the addresses of the transmission source IP address 3022 and the transmission source MAC address 3023 in the header.
メモリ304は、フィルタテーブル302を、パケット転送装置100に接続する端末400又はサーバ410が属するネットワークセグメント毎に有してもよく、また、パケット転送装置100に接続する端末400又はサーバ410毎に有してもよい。
The memory 304 may have a filter table 302 for each network segment to which the terminal 400 or
図3Bに示すフィルタテーブル302aは、端末400a及び端末400bが属するネットワークセグメントからの接続を制御するためのフィルタテーブル302である。また、図3Bに示すフィルタテーブル302bは、サーバ410が属するネットワークセグメントからの接続を制御するためのフィルタテーブル302である。
3B is a filter table 302 for controlling connection from the network segment to which the
また、図3Bに示すフィルタテーブル302aは、端末400a及び端末400bが属するネットワークセグメントから送信されるパケットを、データ転送部303は、すべて転送しないことを示す。また、図3Bに示すフィルタテーブル302bは、サーバ410が属するネットワークセグメントから送信されるパケットのうち、サーバ410から送信されたパケット以外のパケットを、データ転送部303は、すべて転送しないことを示す。
3B indicates that the
フィルタテーブル302を用いることによって、データ転送部303は、一つのネットワークセグメントに属する複数の装置が、パケット転送装置100によるアドレス解決なしに、相互にアドレス解決を行うことを防ぐことができる。
By using the filter table 302, the
具体的には、端末400a及び端末400bが同じネットワークセグメントに属する場合、端末400aは、パケット転送装置100宛てにパケットを送信することなく、端末400aが端末400bへアドレス解決要求を直接送信し、端末400bのMACアドレスを解決することができる。
Specifically, when the terminal 400a and the terminal 400b belong to the same network segment, the terminal 400a directly transmits an address resolution request to the terminal 400b without transmitting a packet to the packet transfer apparatus 100, and the
そして、端末400aが端末400bのMACアドレス宛てにパケットを送信することによって、端末400a及び端末400bが通信することができる。しかし、この場合、パケット転送装置100のアドレス管理部200は、端末400a及び端末400bのIPアドレス及びMACアドレスを学習することができない。
Then, the terminal 400a transmits a packet to the MAC address of the terminal 400b, so that the terminal 400a and the terminal 400b can communicate with each other. However, in this case, the
また、一つのネットワークセグメントに属する複数の装置が、パケット転送装置100によるアドレス解決なしでパケットを相互に送受信することは、セキュリティの観点から望ましくない。 In addition, it is not desirable from the viewpoint of security that a plurality of devices belonging to one network segment transmit and receive packets to and from each other without address resolution by the packet transfer device 100.
そこで、本実施例のパケット転送装置100は、一つのネットワークセグメントにおいて送受信されるパケットを有効時間(有効時間211及び有効時間305)内に受信した場合、そのパケットを正当なパケットとみなし、パケットの送信元のアドレスを学習する。そして、データ転送部303は、フィルタテーブル302を参照することによって、有効時間においてパケットを送信した装置のパケットのみを転送する。データ転送部303は、有効時間内に学習することにより取得したアドレスを含むフィルタテーブル302を用いて受信するパケットをフィルタリングし、パケット転送制御を行う。
Therefore, when the packet transfer apparatus 100 according to the present embodiment receives a packet transmitted / received in one network segment within the valid time (the valid time 211 and the valid time 305), the packet transfer device 100 regards the packet as a valid packet, Learn the source address. Then, the
これによって、パケット転送装置100は、学習されたアドレス以外のアドレスから送信されたパケットを有効時間外に受信した場合、パケットの転送を制限することができる。 As a result, the packet transfer apparatus 100 can limit packet transfer when a packet transmitted from an address other than the learned address is received outside the valid time.
さらに、本実施例のパケット転送装置100は、一つのネットワークセグメントに属する複数の装置が、有効時間内にアドレス解決要求を相互に送信した場合、アドレス解決要求の送信元のアドレスを学習する。このため、データ転送部303は、有効時間305が示す時間、一つのネットワークセグメントに属する複数の装置間のアドレス解決要求を、制御部203に転送する。
Furthermore, the packet transfer apparatus 100 of the present embodiment learns the address of the address resolution request source when a plurality of apparatuses belonging to one network segment transmit address resolution requests to each other within the valid time. Therefore, the
図4は、本実施例のパケットを受信した場合のアドレス管理部200の処理を示すフローチャートである。
FIG. 4 is a flowchart illustrating processing of the
以下の説明において、図4に示す処理の開始時、アドレステーブル201、転送テーブル301及びフィルタテーブル302は、図2に示すアドレステーブル201、並びに、図3Aに示す転送テーブル301及び図3Bに示すフィルタテーブル302と同じである。 In the following description, at the start of the processing shown in FIG. 4, the address table 201, the transfer table 301, and the filter table 302 are the address table 201 shown in FIG. 2, the transfer table 301 shown in FIG. 3A, and the filter shown in FIG. It is the same as the table 302.
端末400aは、パケット転送装置100に向けてパケットを送信する。端末400aがパケット転送装置100に向けて送信するパケットには、アドレス解決要求と、端末400aと同じネットワークセグメントに属する端末400へ送信するパケットとが含まれる。
The
アドレス解決要求には、送信元のIPアドレス及びMACアドレスが含まれ、さらに、解決したいアドレスとしてパケット転送装置100のIPアドレスが含まれる。なお、端末400及びサーバ410は、パケット転送装置100のIPアドレスを、あらかじめ保持する。
The address resolution request includes the IP address and MAC address of the transmission source, and further includes the IP address of the packet transfer apparatus 100 as an address to be resolved. Note that the terminal 400 and the
パケット転送装置100のデータ転送部303は、インタフェース110を介してパケットを受信する。インタフェース110を介してパケットを受信した場合、インタフェース110を制御する機能部、又は、転送部300は、受信したパケットに、パケットを受信したインタフェース110の識別子を付加する。
The
そして、データ転送部303は、パケットを受信した場合、有効時間305を参照し、受信した時刻が有効時間305が示す時間内であるか否かを判定する(S900)。
Then, when receiving the packet, the
なお、以下においてパケットを受信した時刻は、インタフェース110がパケットを受信した時刻である。しかし、S900におけるパケットを受信した時刻は、インタフェース110がパケットを受信した時刻から、S900までの時刻であれば、いずれの時刻でもよい。 In the following description, the time when the packet is received is the time when the interface 110 receives the packet. However, the time at which the packet is received at S900 may be any time as long as it is from S110 when the interface 110 receives the packet to S900.
また、有効時間305がインタフェース110に対応して値を保持する場合、データ転送部303は、S900において、パケットを受信したインタフェース110に対応する有効時間305を参照する。
When the
なお、有効時間305が「学習可」又は「学習不可」であるかを示す場合、データ転送部は、S900において、有効時間305が「学習可」か否かを判定する。そして、データ転送部303は、「学習可」である場合S901を実行し、「学習不可」である場合S1100を実行する。
When the
S900において、受信した時刻が有効時間305が示す時間内である場合、データ転送部303は、受信したパケットが、パケット転送装置100を宛先とするパケット(自宛てのパケット)であるか、送信元のIPアドレスと宛先のIPアドレスとがパケット転送装置100を宛先としておらず且つ送信元のIPアドレスと宛先のIPアドレスとが同じネットワークセグメントに属するパケット(参照するパケット)であるか、又は、その他のパケットであるかを判定する(S901)。
In S900, when the received time is within the time indicated by the
本実施例では、端末400a及び端末400bはIPアドレスのうち上位24ビットをネットワークアドレスとしており、サーバ410はIPアドレスのうち上位8ビットをネットワークアドレスとしている。送信元のIPアドレスと宛先のIPアドレスとが、同じネットワークセグメントに属する場合は、送信元のIPアドレスと宛先のIPアドレスのネットワークアドレスが一致する。
In this embodiment, the terminal 400a and the terminal 400b use the upper 24 bits of the IP address as the network address, and the
S900においてパケットを受信した時刻が有効時間305が示す時間外である場合、又は、S901においてその他のパケットであると判定された場合、受信したパケットはアドレス学習対象パケットではないため、データ転送部303は、S1100に進む。
If the time when the packet is received in S900 is outside the time indicated by the
なお、図4に示す処理において、データ転送部303は、自宛てのパケットではなく、また、異なるネットワークセグメント間で送受信されるパケットを、アドレス学習対象パケットの候補から除外する。しかし、データ転送部303は、S901を省略してもよく、有効時間305内に受信するすべてのパケットをアドレス学習対象パケットの候補としてもよい。
In the processing shown in FIG. 4, the
データ転送部303は、フィルタテーブル302を参照し、受信したパケットが廃棄するパケットか否か判定する(S1100)。廃棄するパケットである場合、データ転送部303は、パケットを廃棄し、さらに、フィルタテーブル302に登録されていないパケットを受信したことを制御部202へ通知する。
The
制御部202のアドレス管理部200は、フィルタテーブル302に登録されていないパケットを受信したことをサーバ410の入出力装置500に表示する(S1007)。データ転送部303は、S1100において廃棄するパケットでないと判定した場合、S1101に進む。
The
データ転送部303は、S1101において、転送テーブル301を参照し、受信したパケットの宛先のネクストホップが登録されているか否か判定する。登録されている場合、S1101のYesに進み、データ転送部303は、パケットを宛先に向けて送信する。一方、受信したパケットが登録されていないネクストホップへのパケットである場合、データ転送部303は、パケットを廃棄し、さらに、転送テーブル301に登録されていないパケットを受信したことを制御部202へ通知する。
In step S1101, the
制御部202のアドレス管理部200は、データ転送部303から、転送テーブル301に登録されていないパケットを受信したことを通知された場合、転送テーブル301に登録されていないパケットを受信したことを、サーバ410の入出力装置500に表示する(S1007)。また、S1007において、アドレス管理部200は、転送すべきでないパケットを受信したことを示すログを生成してもよい。
When the
S901においてパケットが自宛てのパケットであると判定された場合、データ転送部303は、パケットを制御部202へ転送する(S903)。
If it is determined in S901 that the packet is addressed to itself, the
S901において、受信したパケットが同じネットワークにおけるパケットであると判定された場合、データ転送部303は、受信したパケットを参照し、受信したパケットからヘッダ情報等の内容を取得する(S902)。ここで取得する内容には、送信元のIPアドレス及びMACアドレス、並びに、受信したインタフェース110の識別子等が含まれる。
If it is determined in S901 that the received packet is a packet in the same network, the
S902において、データ転送部303は、参照したパケットをパケットが示す宛先に従って転送する。
In step S902, the
そして、S902の後、データ転送部303は、参照によって取得した内容を、パケットとして制御部202に転送する(S903)。これは、本実施例のパケット転送装置100は、同じネットワークセグメントに属する二つの装置間で有効時間内に送受信されるパケットを、必要な通信によるパケットとみなし、このようなパケットのアドレスを学習するためである。そして、これにより、パケット転送装置100は、同じネットワークセグメント内で必要な通信を許可することができる。
After S902, the
なお、データ転送部303は、S902において参照によってパケットの内容を取得したが、パケットを複製してもよい。
Note that the
アドレス管理部200は、制御部202がデータ転送部303からパケットを受信した場合、受信したパケットがアドレス解決要求以外の自宛てのパケットであるか否かを、受信したパケットが含むヘッダ情報に基づいて判定する(S1000)。
When the
受信したパケットがアドレス解決要求以外の自宛てのパケットである場合、受信したパケットは図4に示す処理の対象外であるため、アドレス管理部200は、図4に示す処理を終了する。
If the received packet is a packet addressed to itself other than the address resolution request, the received packet is not subject to the processing shown in FIG. 4, and therefore the
受信したパケットがアドレス解決要求であるか、又は、自宛て以外のパケットである場合、アドレス管理部200は、受信したパケットに付加されたインタフェース110の識別子を参照し、パケットを受信したインタフェース110に対応するアドレステーブル201を特定する。例えば、アドレス管理部200は、受信したパケットの送信元が端末400aであり、インタフェース110aを介してパケットを受信した場合、インタフェース110aに対応するアドレステーブル201aを特定する。
When the received packet is an address resolution request or is a packet other than the address addressed to itself, the
そして、アドレス管理部200は、パケットを受信した時刻が、特定されたアドレステーブル201(前述の例において、アドレステーブル201a)の有効時間211(前述の例において、有効時間211a)内であるか否かを判定する(S1001)。なお、S1001におけるパケットを受信した時刻は、インタフェース110がパケットを受信した時刻から、S1001までの時刻であれば、いずれの時刻でもよい。
Then, the
また、有効時間305がインタフェース110に対応した値を保持する場合、S1001の処理は省略されてもよい。
When the
S1001において、パケットを受信した時刻が有効時間211内である場合、受信したパケットは、アドレスを学習すべきパケットである可能性が高い。このため、アドレス管理部200は、特定されたアドレステーブル201の許可アドレス213を参照し、受信したパケットの送信元(前述の例において、端末400a)のアドレスを学習すべきであるか否かを判定する(S1002)。
In S1001, when the time when the packet is received is within the valid time 211, the received packet is highly likely to be a packet whose address should be learned. For this reason, the
S1002において、許可アドレス213に基づいて、受信したパケットの送信元のアドレスを学習すべきであると判定した場合、受信したパケットの送信元のアドレスを学習することが許可されているため、パケット転送装置100は、送信元のアドレスを学習する。 If it is determined in S1002 that the source address of the received packet should be learned based on the permitted address 213, it is permitted to learn the source address of the received packet. The device 100 learns the source address.
このため、アドレス管理部200は、S1003〜S1006を実行することによって、受信したパケットの送信元(前述の例において、端末400a)のアドレスを、転送部300に送信し、学習させる。許可アドレス213を用いることによって、ユーザが指定したアドレスのみをパケット転送装置100に学習させることができる。
For this reason, the
また、S1001において、パケットを受信した時刻が有効時間211内ではないと判定された場合、又は、S1002において、パケットの送信元のアドレスを学習すべきではないと判定された場合、アドレス管理部200は、受信したパケットのアドレスを学習せず、受信したパケットを破棄する。
If it is determined in S1001 that the time when the packet is received is not within the valid time 211, or if it is determined in S1002 that the packet transmission source address should not be learned, the
そして、アドレス管理部200は、アドレスを学習すべきではないパケットを受信したことを出力する(S1007)。例えばS1007において、アドレス管理部200は、有効時間外にアドレス解決要求を受信したこと、又は、許可されていない装置から同一ネットワークセグメント内の他の装置に向けて送信されたパケットを受信したこと等を、サーバ410の入出力装置500に表示する。
Then, the
また、アドレス管理部200は、S1007において、アドレスを学習すべきでないパケットを受信したことを示すログを生成してもよい。これによって、ユーザは、有効時間外にアドレス解決要求を受信したこと、又は、許可されていない装置から同一ネットワークセグメント内の他の装置に向けてパケットが送信されたことを認識することができる。
The
アドレス管理部200は、S1001において参照したアドレステーブル201のアドレス212(具体的には、アドレス212a)に、受信したパケットの送信元のIPアドレス及びMACアドレスを追加する(S1003)。
The
図5は、本実施例のアドレス解決要求の送信元のアドレスを格納した後のアドレステーブル201を示す説明図である。 FIG. 5 is an explanatory diagram illustrating the address table 201 after storing the address of the address resolution request source according to this embodiment.
図5に示すアドレス212aは、S1003の処理後のアドレス212aであり、端末400aのIPアドレス及びMACアドレスを保持する。図5に示すアドレス212a以外のアドレステーブル201は、図2に示すアドレステーブル201と同じである。
An
S1003の後、アドレス管理部200は、アドレス212の内容をデータ転送部303に送信し、データ転送部303は、受信したアドレス212の内容に基づいて、転送テーブル301を更新する(S1004)。S1004において、データ転送部303は、アドレステーブル201が対応するインタフェース110の識別子と、アドレス212のIPアドレス及びMACアドレスとを対応させて、転送テーブル301に格納する。
After S1003, the
データ転送部303は、S1003において追加されたエントリに基づいて、転送テーブル301にアドレスを追加してもよいし、すべてのアドレス212に基づいて転送テーブル301を更新してもよい。S1004の処理によって、パケット転送装置100は、アドレスを学習する。
The
データ転送部303は、S1004において、受信したパケットに付加されたインタフェース110を用いてフィルタテーブル302を特定する。そして、特定したフィルタテーブル302に、受信したパケットの送信元のアドレスを格納する。データ転送部303は、すべてのアドレス212に基づいてフィルタテーブル302を更新してもよいし、S1003においてアドレス212に追加されたエントリに基づいてフィルタテーブル302を更新してもよい。
In step S1004, the
また、データ転送部303は、新たに追加したエントリのフィルタチェック順番3021に、追加したエントリを最も優先して適用することを示す値を格納し、転送許可3024に転送を許可することを示す値を格納する。
Further, the
図6Aは、本実施例のアドレスを新たに格納した後の転送テーブル301を示す説明図である。 FIG. 6A is an explanatory diagram illustrating the transfer table 301 after the address of this embodiment is newly stored.
図6Aに示す転送テーブル301は、端末400aのインタフェース3011に、インタフェース110aの識別子として「端末接続インタフェース」を含む。
The transfer table 301 illustrated in FIG. 6A includes “terminal connection interface” as the identifier of the
図6Bは、本実施例のアドレスを新たに格納した後のフィルタテーブル302を示す説明図である。 FIG. 6B is an explanatory diagram illustrating the filter table 302 after the address of this embodiment is newly stored.
図6Bに示すフィルタテーブル302には、端末400aの送信元のアドレスが格納され、転送許可3024に「許可」が格納される。なお、図6Bに示すフィルタテーブル302bと図3Bに示すフィルタテーブル302bとは、同じである。 In the filter table 302 shown in FIG. 6B, the address of the transmission source of the terminal 400a is stored, and “permitted” is stored in the transfer permission 3024. Note that the filter table 302b illustrated in FIG. 6B and the filter table 302b illustrated in FIG. 3B are the same.
S1004においてフィルタテーブル302に、受信したパケットの送信元のアドレスを格納することによって、データ転送部303は、有効時間外において、フィルタテーブル302以外の装置から送信されたパケットを転送せず、ユーザが意図しない装置間の通信を制限できる。
By storing the source address of the received packet in the filter table 302 in S1004, the
S1004の後、アドレス管理部200は、受信したパケットが自装置のIPアドレスの解決要求であるか否かを判定する(S1005)。アドレス管理部200は、受信したパケットのヘッダの内容に従って、受信したパケットが自装置のIPアドレスの解決要求であるか否かを判定する。
After S1004, the
受信したパケットが自装置のIPアドレスの解決要求である場合、アドレス管理部200は、アドレス解決要求を送信した端末400に、パケット転送装置100のMACアドレスを応答する(S1006)。S1006の後、アドレス管理部200は、図4に示す処理を終了する。
When the received packet is a request for resolving the IP address of the own device, the
また、S1005において、受信したパケットが自装置のIPアドレスの解決要求でないと判定された場合、アドレス管理部200は、図4に示す処理を終了する。
If it is determined in S1005 that the received packet is not a request for resolving the IP address of the own device, the
S1003〜S1006の処理によって、有効時間内に受信したアドレス解決要求、又は、同じネットワークセグメントの装置間において送信されるパケットの送信元のアドレスを、パケット転送装置100は学習することができる。そして、パケット転送装置100に接続される装置は、パケット転送装置100を介して、パケットを送受信できる。 Through the processing of S1003 to S1006, the packet transfer apparatus 100 can learn the address resolution request received within the valid time or the source address of the packet transmitted between apparatuses in the same network segment. A device connected to the packet transfer device 100 can transmit and receive packets via the packet transfer device 100.
具体的な例を以下に示す。図4に示す処理によって、端末400aのアドレスがパケット転送装置100によって学習され、端末400aからパケットを有効時間外に受信した場合、データ転送部303は、転送テーブル301及びフィルタテーブル302に従って、端末400aから受信したパケットを転送する。
Specific examples are shown below. 4, when the address of the terminal 400a is learned by the packet transfer apparatus 100 and a packet is received from the terminal 400a outside the valid time, the
しかし、図4に示す処理によってアドレスが学習されていない装置(例えば、端末400b)が、有効時間外にパケットをパケット転送装置100に送信した場合、フィルタテーブル302に端末400bのアドレスが格納されていないため、データ転送部303は、端末400bから送信されたパケットを転送しない。
However, when a device whose address has not been learned by the process shown in FIG. 4 (for example, the terminal 400b) transmits a packet to the packet transfer device 100 outside the valid time, the address of the terminal 400b is stored in the filter table 302. Therefore, the
また、端末400a及び端末400bが同じネットワークセグメントに属する場合においても、有効時間内に端末400bのアドレスが学習されなければ、パケット転送装置100は、端末400bから端末400aへのパケットの送信を制限できる。これによって、同じネットワークセグメントにおいても、セキュリティが向上する。 Even when the terminal 400a and the terminal 400b belong to the same network segment, the packet transfer apparatus 100 can restrict transmission of packets from the terminal 400b to the terminal 400a if the address of the terminal 400b is not learned within the valid time. . This improves security even in the same network segment.
なお、転送テーブル301に宛先のアドレスが格納されておらず、かつ、データ転送部303が、転送テーブル301に格納されていないアドレスを宛先とするパケットを有効時間211内に受信した場合、データ転送部303及びアドレス管理部200は、転送テーブル301に登録されていないアドレス宛に、アドレス解決要求を送信してもよい。
If the destination address is not stored in the transfer table 301 and the
具体的には、データ転送部303は、転送テーブル301に端末400aのアドレスが未設定であることをアドレス管理部200へ通知する。アドレス管理部200は、未設定の通知を受信した場合、端末400aのMACアドレスを解決するため、端末400aにアドレス解決要求を送信する。このアドレス解決要求には、端末400aのIPアドレスが含まれる。
Specifically, the
そして、端末400aは、パケット転送装置100からアドレス解決要求を受信した場合、自らのMACアドレスをパケット転送装置100に応答する。パケット転送装置100は、端末400aからMACアドレスを受信した場合、アドレステーブル201に端末400aのIPアドレス及びMACアドレスを格納する。また、パケット転送装置100は、端末400aのIPアドレス及びMACアドレスを、データ転送部303によって転送テーブル301に登録させる。
When receiving an address resolution request from the packet transfer apparatus 100, the terminal 400a responds to the packet transfer apparatus 100 with its own MAC address. When receiving the MAC address from the terminal 400a, the packet transfer apparatus 100 stores the IP address and the MAC address of the terminal 400a in the address table 201. Also, the packet transfer apparatus 100 causes the
図7は、本実施例の入出力装置500が表示する画面の例を示す説明図である。
FIG. 7 is an explanatory diagram illustrating an example of a screen displayed by the input /
入出力装置500は、画面510〜画面540を表示する。画面510は、ユーザが有効時間211を入力するための画面である。画面530は、ユーザが学習済みのアドレスを削除するための画面である。画面540は、許可アドレス213にアドレスを設定するための画面である。
The input /
なお、アドレステーブル201が有効時間211として、パケット転送装置100がアドレスを学習できるか否かを示す学習情報を保持する場合、画面510は、例えば、「学習可」又は「学習不可」をユーザが入力するための画面である。
When the address table 201 holds the learning information indicating whether the packet transfer apparatus 100 can learn the address as the valid time 211, the
画面510は、領域511〜領域520を含む。領域511は、画面510によって、有効時間を適用するインタフェース110を指定するための領域である。領域512及び領域516は、有効時間を入力するための領域である。
領域512は、有効時間として開始時刻及び終了時刻を入力するための領域である。領域512は、領域513〜領域515、及び領域520を含む。領域513は、開始時刻を入力するための領域であり、領域514は、終了時刻を入力するための領域である。
An
領域520は、曜日又は年月日を入力するための領域である。領域520に曜日が設定される場合、設定された曜日における領域513の開始時刻から領域514の終了時刻までの時間がアドレス学習時間として指定される。
An
領域520に年月日が設定された場合、設定された年月日における領域513の開始時刻から領域514の終了時刻までの時間がアドレス学習時間として指定される。
When the date is set in the
また、領域520に年、月及び日の少なくとも一つが設定される場合、領域520に設定された期間における領域513の開始時刻から領域514の終了時刻までの時間が学習期間として指定される、例えば、領域520に月及び日だけが設定された場合、毎年設定された月日における領域513の開始時刻から領域514の終了時刻までの時間がアドレス学習時間として指定されるものである。
Further, when at least one of year, month, and day is set in the
領域515は、領域513及び領域514に入力された有効時間を、パケット転送装置100の有効時間211に反映するためのボタンである。
An
また、領域516は、有効時間として、時間を入力するための領域である。領域516は、領域517及び領域518を含む。領域517は、現在時刻からの時間を入力するための領域である。
An
領域518は、有効時間を開始するためのボタンである。領域518が操作された場合、操作された時点から領域517に入力された時間、パケット転送装置100は、アドレスを学習する。
An
領域519は、有効時間を削除するためのボタンである。領域519がユーザによって操作された場合、アドレス管理部200は、領域511が示すインタフェース110に対応して設定された有効時間211の値を削除する。有効時間211を削除することによって、パケット転送装置100は、対応するインタフェース110を介して受信したパケットからアドレスを学習しない。
An
画面510によって、ユーザは、アドレスを学習するための本実施例の有効時間を設定できる。このため、ユーザがネットワークに対する高度な技術を有さなくても、パケット転送装置100は、必要なアドレスを学習することができる。
The
そして、画面510によって、有効時間は任意に設定でき、さらに、有効時間を削除することができる。これによって、アドレスを学習しない期間を設定でき、セキュリティを向上させることができる。
The valid time can be arbitrarily set on the
なお、画面510によって有効時間211が設定された際、アドレス管理部200は、有効時間211が新たに設定されたアドレステーブル201のアドレス212を特定し、特定したアドレス212に格納されるアドレスを、アドレス212、転送テーブル301及びフィルタテーブル302から削除してもよい。これは、設定された有効時間211内のアドレス学習のみを有効にするためである。なお、アドレス管理部200は、データ転送部303に、転送テーブル301及びフィルタテーブル302からのアドレスの削除を指示する。
When the valid time 211 is set on the
画面530は、領域531〜領域536を含む。領域531は、アドレステーブル201のアドレス212、転送テーブル301及びフィルタテーブル302に格納されたアドレスをすべて削除するためのボタンである。
領域532は、アドレス212、転送テーブル301及びフィルタテーブル302から削除するアドレスを入力するためのエントリである。領域532は、領域533〜領域536を含む。
An
領域533及び領域534は、アドレス212、転送テーブル301及びフィルタテーブル302から削除するIPアドレス及びMACアドレスを入力するための領域である。領域535は、アドレス212、転送テーブル301及びフィルタテーブル302から削除するアドレスのネットワークセグメントを入力するための領域である。
領域536は、領域533〜領域535に入力されたアドレスに従って、アドレステーブル201及び転送テーブル301からアドレスを削除するためのボタンである。
An
画面540は、領域541〜領域544を含む。領域541は、画面540によって、許可アドレスを適用するインタフェース110を指定するための領域である。
領域542は、許可アドレス213のIPアドレスを設定するための領域である。また、領域543は、許可アドレス213のMACアドレスを設定するための領域である。領域544は、領域542及び領域543において指定された値を、アドレステーブル201の許可アドレス213に設定するための領域である。
An
画面540を介して許可アドレス213を設定することによって、ユーザは、パケット転送装置100が不要なアドレスを学習することを防ぐことができる。
By setting the permitted address 213 via the
本実施例によれば、ユーザによって設定された有効時間211の間、パケット転送装置100が特定のパケットについてアドレスを学習する。このため、ユーザがネットワークの特別な専門知識を持たなくても、IPネットワークへ接続可能な端末を設定できる。 According to the present embodiment, the packet transfer apparatus 100 learns an address for a specific packet during the valid time 211 set by the user. Therefore, a terminal that can be connected to the IP network can be set even if the user does not have special network knowledge.
さらに、データ転送部303は、送信元として許可されたアドレスを示すフィルタテーブル302を有し、フィルタテーブル302を用いて、有効時間211外に送信されたパケットから不正なパケットを特定することができる。そして、データ転送部303は、不正なパケットを転送しない。
Further, the
つまり、フィルタテーブル302は、アドレス学習の結果、生成され、転送が許可されるアドレスを示すホワイトリストである。そしてパケット転送装置は、アドレス学習停止中は作成したホワイトリストにより、受信したパケットについてフィルタリングを行い、転送すべきか否かを制御する。これによって、データ転送部303は、安全なIPネットワークの構築を可能にする装置を提供することができる。
That is, the filter table 302 is a white list indicating addresses that are generated as a result of address learning and are permitted to be transferred. When the address learning is stopped, the packet transfer apparatus performs filtering on the received packet based on the created white list and controls whether or not to transfer. As a result, the
なお、本発明は前述の実施例に限定されるものではなく、様々な変形例が含まれる。例えば、前述の実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。 In addition, this invention is not limited to the above-mentioned Example, Various modifications are included. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described.
また、前述の各構成、機能、処理部、手順等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、前述の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、若しくは、SSD(Solid State Drive)等の記録装置、又は、ICカード、SDカード、若しくは、DVD等の記録媒体に置くことができる。 The above-described configurations, functions, processing units, procedures, and the like may be realized in hardware by designing a part or all of them, for example, with an integrated circuit. The above-described configurations, functions, and the like may be realized by software by interpreting and executing a program that realizes each function by the processor. Information such as programs, tables, and files for realizing each function is stored in a recording device such as a memory, a hard disk, or an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD. Can do.
また、制御線又は情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線又は情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。 Further, the control lines or information lines indicate what is considered necessary for the explanation, and not all the control lines or information lines on the product are necessarily shown. Actually, it may be considered that almost all the components are connected to each other.
100 パケット転送装置
110 インタフェース
200 アドレス管理部
202 制御部
201 アドレステーブル
300 転送部
301 転送テーブル
302 フィルタテーブル
303 データ転送部
400 端末
410 サーバ
100 packet transfer device 110
Claims (15)
プロセッサ及びメモリを有し、
複数の端末に接続され、
前記複数の端末から送信されるパケットを受信するネットワークインタフェースを有し、
前記ネットワーク装置が前記複数の端末のアドレスを学習できるか否かを示す学習情報と、
前記ネットワーク装置が転送するパケットを示すアドレス情報と、
前記パケットの転送が許可されるか否かを示すフィルタ情報と、を保持し、
前記アドレス情報及び前記フィルタ情報の少なくとも一方に基づいてパケットを転送する転送部を有し、
前記転送部は、
端末からパケットを受信した場合、前記パケットを受信した際に前記ネットワーク装置が前記アドレスを学習できるか否かを、前記学習情報に基づいて判定し、
前記ネットワーク装置がアドレスを学習できる場合、前記受信したパケットの送信元のアドレスを前記アドレス情報に格納し、
前記ネットワーク装置がアドレスを学習できない場合、前記受信したパケットの送信元のアドレスを前記アドレス情報に格納せず、前記フィルタ情報に含まれるアドレスに基づいて前記受信したパケットを転送すべきかを判定することを特徴とするネットワーク装置。 A network device,
A processor and a memory;
Connected to multiple devices,
A network interface for receiving packets transmitted from the plurality of terminals;
Learning information indicating whether the network device can learn addresses of the plurality of terminals;
Address information indicating a packet transferred by the network device;
Filter information indicating whether or not transfer of the packet is permitted, and
A transfer unit that transfers a packet based on at least one of the address information and the filter information;
The transfer unit is
When a packet is received from a terminal, whether the network device can learn the address when receiving the packet is determined based on the learning information,
If the network device can learn an address, store the address of the source of the received packet in the address information,
If the network device cannot learn an address, it does not store the source address of the received packet in the address information, but determines whether to transfer the received packet based on the address included in the filter information A network device characterized by the above.
前記学習情報は、前記ネットワーク装置が複数の端末のアドレスを学習できる有効時間を示し、
前記転送部は、
前記端末からパケットを受信した場合、前記受信したパケットの送信元及び宛先が同じネットワークセグメントに属するか否かをさらに判定し、
前記有効時間内にパケットを受信し、かつ、前記受信したパケットの送信元及び宛先が同じネットワークセグメントに属する場合、前記受信したパケットの送信元のアドレスを取得し、
前記取得した送信元のアドレスを前記アドレス情報に格納することを特徴とするネットワーク装置。 The network device according to claim 1,
The learning information indicates an effective time during which the network device can learn addresses of a plurality of terminals,
The transfer unit is
When receiving a packet from the terminal, further determine whether the source and destination of the received packet belong to the same network segment,
If the packet is received within the valid time, and the source and destination of the received packet belong to the same network segment, obtain the address of the source of the received packet;
The network apparatus characterized in that the acquired transmission source address is stored in the address information.
前記転送部は、
前記ネットワーク装置がアドレスを学習できる場合、前記受信したパケットの送信元のアドレスを、前記転送が許可されるパケットのアドレスとして前記フィルタ情報に格納し、
前記ネットワーク装置がアドレスを学習できず、かつ、前記受信したパケットの送信元のアドレスが、前記フィルタ情報に含まれるアドレスと異なる場合、前記受信したパケットを転送しないことを特徴とするネットワーク装置。 The network device according to claim 1,
The transfer unit is
When the network device can learn an address, the transmission source address of the received packet is stored in the filter information as an address of the packet that is permitted to be transferred,
The network apparatus, wherein the network apparatus cannot learn an address and does not transfer the received packet when the address of the transmission source of the received packet is different from the address included in the filter information.
前記転送部は、
前記ネットワーク装置が複数の端末のアドレスを学習できる有効時間内にパケットを受信した場合、前記受信したパケットの送信元のアドレスを取得し、
前記取得した送信元のアドレスを前記アドレス情報に格納することを特徴とするネットワーク装置。 The network device according to claim 1,
The transfer unit is
If the network device receives a packet within an effective time in which the addresses of a plurality of terminals can be learned , obtain the source address of the received packet,
The network apparatus characterized in that the acquired transmission source address is stored in the address information.
前記端末から受信するパケットは、アドレス解決要求を含み、
前記ネットワーク装置は、前記複数の端末が接続される複数のネットワークインタフェースを有し、
前記学習情報は、前記複数のネットワークインタフェースがアドレスを学習できるか否かを示し、
前記転送部は、
前記アドレスを学習できるネットワークインタフェースがアドレス解決要求を含むパケットを受信した場合、前記アドレス解決要求を送信した端末のアドレスを前記アドレス情報に格納し、
前記アドレスを学習できないネットワークインタフェースがアドレス解決要求を含むパケットを受信し、かつ、前記受信したパケットの送信元のアドレスが、前記フィルタ情報に含まれるアドレスと異なる場合、前記受信したパケットを転送しないことを特徴とするネットワーク装置。 The network device according to claim 4, wherein
The packet received from the terminal includes an address resolution request,
The network device has a plurality of network interfaces to which the plurality of terminals are connected,
The learning information indicates whether the plurality of network interfaces can learn addresses,
The transfer unit is
When the network interface capable of learning the address receives a packet including an address resolution request, the address of the terminal that transmitted the address resolution request is stored in the address information,
If the network interface that cannot learn the address receives a packet including an address resolution request and the transmission source address of the received packet is different from the address included in the filter information, the received packet is not transferred. A network device characterized by the above.
ユーザへの通知を出力する出力インタフェースと、
前記ネットワーク装置がアドレスを学習できない場合、前記アドレスを学習できない状態において前記パケットを受信したことを、前記出力インタフェースを介して出力する制御部と、を有することを特徴とするネットワーク装置。 The network device according to claim 4, wherein
An output interface that outputs a notification to the user;
And a control unit that outputs, via the output interface, that the packet has been received in a state where the address cannot be learned when the network device cannot learn an address.
前記ネットワーク装置は、
前記アドレスの学習が許可されるか否かを示す許可情報を有し、
前記ネットワーク装置がアドレスを学習できる場合、前記受信したパケットの送信元のアドレスを学習することが許可されているか否かを、前記許可情報に基づいて判定し、
前記制御部が、前記受信したパケットの送信元のアドレスを学習することが許可されると判定した場合、前記転送部は、前記受信したパケットの送信元のアドレスを前記アドレス情報に格納することを特徴とするネットワーク装置。 The network device according to claim 6 , wherein
The network device is:
Having permission information indicating whether or not learning of the address is permitted;
If the network device can learn the address, determine whether or not learning the source address of the received packet is permitted based on the permission information,
When the control unit determines that learning of the source address of the received packet is permitted, the transfer unit stores the source address of the received packet in the address information. Feature network device.
ユーザによる指示を受け付ける入力インタフェースを有し、
前記制御部は、前記入力インタフェースを介して受け付けた前記ユーザの指示に従って、前記許可情報を更新することを特徴とするネットワーク装置。 The network device according to claim 7, wherein
It has an input interface that accepts user instructions,
The network device according to claim 1, wherein the control unit updates the permission information in accordance with the user instruction received via the input interface.
ユーザによる指示を受け付ける入力インタフェースと、
前記入力インタフェースを介して受け付けた前記ユーザの指示に従って、前記学習情報を更新又は削除をする制御部と、を有することを特徴とするネットワーク装置。 The network device according to claim 1,
An input interface that accepts user instructions;
And a control unit that updates or deletes the learning information in accordance with the user instruction received via the input interface.
前記ネットワーク装置は、
プロセッサ及びメモリを有し、
複数の端末に接続され、
前記複数の端末から送信されるパケットを受信するネットワークインタフェースを有し、
前記ネットワーク装置が前記複数の端末のアドレスを学習できるか否かを示す学習情報と、
前記ネットワーク装置が転送するパケットを示すアドレス情報と、
前記パケットの転送が許可されるか否かを示すフィルタ情報と、を保持し、
前記方法は、
前記プロセッサが、前記アドレス情報及び前記フィルタ情報の少なくとも一方に基づいてパケットを転送する転送手順を含み、
前記転送手順は、
端末からパケットを受信した場合、前記プロセッサが、前記パケットを受信した際に前記ネットワーク装置が前記アドレスを学習できるか否かを、前記学習情報に基づいて判定する手順と、
前記ネットワーク装置がアドレスを学習できる場合、前記プロセッサが、前記受信したパケットの送信元のアドレスを前記アドレス情報に格納する手順と、
前記ネットワーク装置がアドレスを学習できない場合、前記プロセッサが、前記受信したパケットの送信元のアドレスを前記アドレス情報に格納せず、前記フィルタ情報に含まれるアドレスに基づいてパケットを転送する手順と、を含むことを特徴とする通信方法。 A communication method using a network device,
The network device is:
A processor and a memory;
Connected to multiple devices,
A network interface for receiving packets transmitted from the plurality of terminals;
Learning information indicating whether the network device can learn addresses of the plurality of terminals;
Address information indicating a packet transferred by the network device;
Filter information indicating whether or not transfer of the packet is permitted, and
The method
The processor includes a transfer procedure for transferring a packet based on at least one of the address information and the filter information;
The transfer procedure is:
When receiving a packet from a terminal, the processor determines, based on the learning information, whether the network device can learn the address when the packet is received;
When the network device can learn an address, the processor stores a source address of the received packet in the address information;
If the network device cannot learn an address, the processor does not store the source address of the received packet in the address information, and forwards the packet based on the address included in the filter information. A communication method characterized by comprising.
前記学習情報は、前記ネットワーク装置が複数の端末のアドレスを学習できる有効時間を示し、
前記転送手順は、
前記ネットワークインタフェースが前記端末からパケットを受信した場合、前記プロセッサが、前記受信したパケットの送信元及び宛先が同じネットワークセグメントに属するか否かをさらに判定する手順と、
前記ネットワークインタフェースが前記有効時間内に当該パケットを受信し、かつ、前記受信したパケットの送信元及び宛先が同じネットワークセグメントに属する場合、前記プロセッサが、前記受信したパケットの送信元のアドレスを取得する手順と、
前記プロセッサが、前記取得した送信元のアドレスを前記アドレス情報に格納する手順と、を含むことを特徴とする通信方法。 The communication method according to claim 10, comprising:
The learning information indicates an effective time during which the network device can learn addresses of a plurality of terminals,
The transfer procedure is:
When the network interface receives a packet from the terminal, the processor further determines whether the source and destination of the received packet belong to the same network segment;
When the network interface receives the packet within the valid time and the source and destination of the received packet belong to the same network segment, the processor acquires the address of the source of the received packet Procedure and
And a procedure in which the processor stores the acquired transmission source address in the address information.
前記転送手順は、
前記ネットワーク装置がアドレスを学習できる場合、前記プロセッサが、前記受信したパケットの送信元のアドレスを、前記転送が許可されるパケットのアドレスとして前記フィルタ情報に格納する手順と、
前記ネットワーク装置がアドレスを学習できず、かつ、前記受信したパケットの送信元のアドレスが、前記フィルタ情報に含まれるアドレスと異なる場合、前記プロセッサが、前記受信したパケットを転送しない手順とを含むことを特徴とする通信方法。 The communication method according to claim 10, comprising:
The transfer procedure is:
When the network device can learn an address, the processor stores the address of the source of the received packet in the filter information as the address of the packet that is permitted to be transferred;
Including a procedure in which the processor does not transfer the received packet when the network device cannot learn an address and the source address of the received packet is different from the address included in the filter information. A communication method characterized by the above.
前記転送手順は、
前記ネットワーク装置がアドレスを学習できる場合、前記プロセッサが、前記受信したパケットの送信元のアドレスを取得する手順と、
前記プロセッサが、前記取得した送信元のアドレスを前記アドレス情報に格納する手順と、を含むことを特徴とする通信方法。 The communication method according to claim 10, comprising:
The transfer procedure is:
If the network device can learn an address, the processor obtains a source address of the received packet; and
And a procedure in which the processor stores the acquired transmission source address in the address information.
前記端末から受信するパケットは、アドレス解決要求を含み、
前記ネットワーク装置は、前記複数の端末が接続される複数のネットワークインタフェースを有し、
前記学習情報は、前記複数のネットワークインタフェースがアドレスを学習できるか否かを示し、
前記転送手順は、
前記アドレスを学習できるネットワークインタフェースがアドレス解決要求を含むパケットを受信した場合、前記プロセッサが、前記アドレス解決要求を送信した端末のアドレスを前記アドレス情報に格納する手順と、
前記アドレスを学習できないネットワークインタフェースがアドレス解決要求を含むパケットを受信し、かつ、前記受信したパケットの送信元のアドレスが、前記フィルタ情報に含まれるアドレスと異なる場合、前記プロセッサが、前記受信したパケットを転送しない手順と、を含むことを特徴とする通信方法。 The communication method according to claim 13, comprising:
The packet received from the terminal includes an address resolution request,
The network device has a plurality of network interfaces to which the plurality of terminals are connected,
The learning information indicates whether the plurality of network interfaces can learn addresses,
The transfer procedure is:
When the network interface capable of learning the address receives a packet including an address resolution request, the processor stores the address of the terminal that has transmitted the address resolution request in the address information;
When the network interface that cannot learn the address receives a packet including an address resolution request, and the transmission source address of the received packet is different from the address included in the filter information, the processor receives the packet And a procedure that does not transfer the communication method.
前記ネットワーク装置は、ユーザへの通知を出力する出力インタフェースを有し、
前記方法は、前記ネットワーク装置がアドレスを学習できない場合、前記プロセッサが、前記アドレスを学習できない状態において前記パケットを受信したことを、前記出力インタフェースを介して出力する制御手順を含むことを特徴とする通信方法。 The communication method according to claim 13, comprising:
The network device has an output interface for outputting a notification to a user;
The method includes a control procedure for outputting, via the output interface, that the processor has received the packet in a state where the address cannot be learned when the network device cannot learn the address. Communication method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014034171A JP6114214B2 (en) | 2014-02-25 | 2014-02-25 | Network device and communication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014034171A JP6114214B2 (en) | 2014-02-25 | 2014-02-25 | Network device and communication method |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017050031A Division JP2017130963A (en) | 2017-03-15 | 2017-03-15 | Network device and communication method |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2015159482A JP2015159482A (en) | 2015-09-03 |
JP2015159482A5 JP2015159482A5 (en) | 2016-05-12 |
JP6114214B2 true JP6114214B2 (en) | 2017-04-12 |
Family
ID=54183173
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014034171A Active JP6114214B2 (en) | 2014-02-25 | 2014-02-25 | Network device and communication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6114214B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11303476B2 (en) | 2017-09-28 | 2022-04-12 | Nec Corporation | Communication apparatus, communication system, communication control method, communication program and device connection control program |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7139252B2 (en) | 2019-01-10 | 2022-09-20 | アラクサラネットワークス株式会社 | transfer device |
JP7176455B2 (en) | 2019-03-28 | 2022-11-22 | オムロン株式会社 | Monitoring system, setting device and monitoring method |
JP7444468B2 (en) * | 2021-07-08 | 2024-03-06 | Necプラットフォームズ株式会社 | Router device, filter registration program, and filter registration method |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6654382B1 (en) * | 1998-10-26 | 2003-11-25 | Hewlett-Packard Developmemt Company, L.P. | Network device with logical-address learn mode |
JP4320603B2 (en) * | 2004-02-26 | 2009-08-26 | 日本電気株式会社 | Subscriber line accommodation apparatus and packet filtering method |
US7688825B2 (en) * | 2005-04-12 | 2010-03-30 | Fujitsu Limited | Filtering frames at an input port of a switch |
JP2009071423A (en) * | 2007-09-11 | 2009-04-02 | Fujitsu Ltd | Network adapter |
-
2014
- 2014-02-25 JP JP2014034171A patent/JP6114214B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11303476B2 (en) | 2017-09-28 | 2022-04-12 | Nec Corporation | Communication apparatus, communication system, communication control method, communication program and device connection control program |
Also Published As
Publication number | Publication date |
---|---|
JP2015159482A (en) | 2015-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11363067B2 (en) | Distribution and management of services in virtual environments | |
JP2017130963A (en) | Network device and communication method | |
US10958725B2 (en) | Systems and methods for distributing partial data to subnetworks | |
JP4487150B2 (en) | Communication apparatus, firewall control method, and firewall control program | |
KR101317178B1 (en) | ZigBee Gateway and method for identifying message of the same | |
US7684339B2 (en) | Communication control system | |
CN109672680B (en) | Cross-domain login method | |
JP6114214B2 (en) | Network device and communication method | |
JP6545000B2 (en) | Upload management system, control method of upload management system, and program | |
JP2018133692A (en) | Communication apparatus, system, and method | |
JP2016153985A (en) | Printing system, printer search program, printer control program, and recording medium | |
JP6683386B2 (en) | Data transfer system and data transfer method | |
JP7180486B2 (en) | Data processing device, method and program | |
JP5011136B2 (en) | Information leak detection system | |
JP7024247B2 (en) | Information processing equipment, communication systems, communication methods and programs | |
US10367781B2 (en) | Information processing apparatus, method of controlling the same, and storage medium | |
US20140281033A1 (en) | Information processing apparatus, relay method, and computer-readable storage medium | |
JP6958176B2 (en) | Information processing equipment, information processing systems, control methods and programs | |
JP7468652B2 (en) | Distributed system, communication terminal, function recovery method, and program | |
KR20230106857A (en) | Security system, apparatus, method, computer-readable storage medium and computer program for internal network | |
CN114338669B (en) | Block chain-based data transmission method, device, equipment and storage medium | |
WO2015146215A1 (en) | Network address translation device, network address translation system, network address translation method, and computer-readable recording medium | |
JPWO2017047087A1 (en) | Data inspection system, data inspection method and program | |
JP6576387B2 (en) | Information processing apparatus, information processing method, information processing program, recording medium, and access control system | |
JP2015185032A (en) | Information leakage prevention device, method and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160316 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160316 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170214 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170316 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6114214 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |