JP6387195B2 - 通信装置及びシステム及び方法 - Google Patents
通信装置及びシステム及び方法 Download PDFInfo
- Publication number
- JP6387195B2 JP6387195B2 JP2017547634A JP2017547634A JP6387195B2 JP 6387195 B2 JP6387195 B2 JP 6387195B2 JP 2017547634 A JP2017547634 A JP 2017547634A JP 2017547634 A JP2017547634 A JP 2017547634A JP 6387195 B2 JP6387195 B2 JP 6387195B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- transfer
- packet
- communication
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0873—Checking configuration conflicts between network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Description
本技術の背景分野として、特開2015−050767号公報(特許文献1)及び特開2009−239525号公報(特許文献2)がある。
特許文献1には、「ネットワークスイッチは、許容された通信規則を含むホワイトリストが予め格納され、ホワイトリストを基盤として、複数のスイッチインタフェースを介して入力された1つ以上のパケットを監視し、ホワイトリストに従うパケットに対しては通信を許容するホワイトリスト監視部と、ホワイトリストをアップデートさせてホワイトリスト監視部に送るホワイトリスト管理部とを含む。」と記載されている(要約参照)。
特許文献2には、「パケットフィルタリング装置は、SIPサーバから送信されたパケットを受信し、受信したパケットが、SIPクライアントから所定の間隔で送信される認証要求に対する応答であるか否かを判定し、認証要求に対する応答であると判定され、当該パケットの送信元情報がホワイトリストに記憶されていない場合に、当該パケットの送信元情報を取得してホワイトリストに格納する。そして、パケットフィルタリング装置は、ネットワークに輻輳が発生していると検出した場合に、ネットワーク上のパケットを受信し、当該受信されたパケットのうち、ホワイトリストに送信元が記憶されているパケットを、ホワイトリストに送信元が記憶されていないパケットよりも優先して送信先に転送する。」と記載されている(要約参照)。
特許文献1に記載の技術において、ネットワークスイッチは、前述した場合における攻撃を阻止するために、送信元、送信先、及びプロトコル等の複数種類の情報からなるエントリが登録されたホワイトリストをネットワークスイッチが持つインタフェース単位に保持する。各エントリに含まれる情報は事前に各インタフェースについて設定するものであるが、前述したホワイトリストと使用しつつ、前述したネットワークの冗長化を実現するためには、経路の切替が発生する可能性のある全てのインタフェースについて、同じホワイトリストを重複して登録しておかなくてはならない。特許文献2に記載のホワイトリストを自動生成する技術を用いたとしても、擬似的に障害を発生されるなどして事前に経路切替のパターンを全て実施し、ホワイトリストを生成しなければならない。そのため、経路切替パターンが増加すればするほど、装置内のメモリ消費量も増加し、設定や経路の切替を実施するための労力も増加するという課題がある。
通信装置であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有し、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定された第1受信部と、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有し、ホワイトリストの生成及び制御の対象に予め設定された第2受信部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送する転送部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記転送部により前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、前記転送部により予め定められた転送先に通信データを転送させるための、制御部と、
を備えた通信装置が提供される。
通信システムであって、
前記冗長化されたネットワークは、リングプロトコル、又は、スパニングツリープロトコルで動作し、
前記冗長化されたネットワークの各ノードに、上述のような通信装置が設けられていることを特徴とする通信システムが提供される。
通信方法であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有する第1受信部を、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定し、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有する第2受信部を、ホワイトリストの生成及び制御の対象に予め設定し、
通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送し、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、予め定められた転送先に通信データを転送させるための、
通信方法が提供される。
通信装置が持つ複数のデータ送受信部について、ホワイトリストを用いた通信制御を実施するデータ送受信部と、ホワイトリストを用いず一般的な通信制御を実施するデータ送受信部を同時に使用できる通信装置を提供する。さらにホワイトリストを用いないデータ送受信部について、リンクダウンが発生した際に自動で閉塞する機能を持つ通信装置を提供する。
(1)パケット中継装置(通信装置)
図1は、データの一例であるパケットを中継する、パケット中継装置の構成例を示す。パケット中継装置100は、通信装置の一例である。パケット中継装置100は、パケットの中継、及びホワイトリストの生成を実行する。ホワイトリストとは、例えば、パケット中継装置100による転送が許可されたパケットの一覧を示す。
パケット中継装置100は、例えば、複数のパケット受信部200、パケット転送部300、S/W(SoftWare)制御部400、複数のパケット送信部500、及び入出力インタフェース600を含む。
パケット受信部200それぞれは、パケットを受信した際に、当該パケットに当該パケット受信部200に対応する制御情報(例、パケット受信部、VLAN番号、等)を付加する。制御情報は、1以上のパケット受信部200を有するパケット受信部群を示す情報を含む。パケット受信部200のパケット受信部番号、及び当該パケット受信部200が所属するVLAN識別子であるVLAN番号は、それぞれ当該パケット受信部200が付加する制御情報の一例である。
パケット受信部200及びパケット送信部500は、通常、ハードウェアで構成される。なお、パケット受信部200及びパケット送信部500は、図1では説明のため別の部として記載しているが、パケット受信部200とパケット送信部500が一体化したパケット送受信部であってもよい。
なお、図1では入出力装置610は、パケット中継装置100と独立した装置として記載されているが、パケット中継装置100にディスプレイや操作ボタン等の入出力装置610が備え付けられていてもよい。
転送テーブルメモリ330は、例えば、CAMやDRAM等であり、パケットのヘッダ情報(例、Mac Address,IP Address,protocol,port番号、等)と、パケットの転送先即ちパケット送信部500と、の対応を示す情報を格納する。当該情報は管理者等によって作成され、予め転送テーブルメモリ330に格納されている。OSI(Open Systems Interconnection)参照モデルのレイヤ2の通信に用いられるMac Address Tableや、OSI参照モデルのレイヤ3の通信に用いられるRouting Tableは、当該対応を示す情報の一例である。
転送設定メモリ340は、例えば、DRAM等であり、後述するパケット中継装置100のモードや状態、ホワイトリスト登録外パケット受信時の動作等の設定情報を格納する。転送設定メモリ340に格納される設定情報は、入出力装置610を介して、管理者等により設定される。
また、転送先決定部320は、後述するホワイトリスト運用状態中にパケットを受信した場合、ホワイトリスト格納メモリ310に格納されたホワイトリストを検索し、受信したパケットがホワイトリスト対象パケットであるか否かを判定する。転送先決定部320は、受信したパケットがホワイトリスト登録外パケットであると判定した場合、転送設定メモリ340が保持するホワイトリスト登録外パケット受信時動作設定が示す処理を、当該パケットに対して行う。
転送先決定部320は、後述するホワイトリスト生成状態中にパケットを受信すると、受信したパケットから所定のヘッダ情報(例、Mac Address,IP Address,protocol,port番号、等)及び所定の制御情報(例、パケット受信部番号、VLAN番号、等)を抽出し、S/W制御部400へと送信する。転送先決定部320は、転送設定メモリ340の設定内容に従い、ホワイトリストを利用した通信を実施するか否かなどの判別を行う。
パケット転送部300は、ホワイトリストの高速検索、パケットのワイヤレートでの通信など、単純で高速な命令を実行するため、通常、ハードウェアで構成される。パケット転送部300は、例えば、FPGA(Field Programmable Gate Array)等で構成されてもよい。
S/Wメモリ420は、ホワイトリスト生成プログラム421、転送設定プログラム422、冗長化プロトコル制御プログラム423を含む。
S/Wメモリ420に格納されたプログラムはCPU410(プロセッサ)によって実行されることで、定められた処理を記憶装置及び通信ポート(通信デバイス)等を用いながら行う。従って、本実施例及び他の実施例においてプログラムを主語とする説明は、CPU410を主語とした説明でもよい。若しくは、プログラムが実行する処理は、そのプログラムが動作する計算機及び計算機システムが行う処理である。
ホワイトリスト生成プログラム421は、転送先決定部320から受信した制御情報及びヘッダ情報から、ホワイトリストを生成し、ホワイトリスト格納メモリ310へと書き込む。
転送設定プログラム422は、入出力装置610から入力された転送設定を転送設定メモリ340に書き込む。
冗長化プロトコル制御プログラム423は、後述するリングプロトコルやスパニングツリープロトコルなどのネットワーク冗長化プロトコルに対し、パケット中継装置100がネットワーク内のノードとして動作するためのプログラムであり、各プロトコルに対応した制御パケットの送受信や制御パケット受信時の経路切替などを制御する。
エントリ700は、ホワイトリストに含まれるエントリの一例である。エントリ700は、例えば、それぞれパケットの制御情報を示すパラメータである、パケット受信部番号701、及びVLAN番号702を含む。エントリ700は、例えば、それぞれパケットのヘッダ情報を示すパラメータである、Souce Mac Address703、Destination Mac Address704、Protocol705、Source IP Address706、Destination IP Address707、Source port番号708、及びDestination Port番号を含む。
パケット受信部番号701は、パケット受信部200それぞれを一意に識別する番号である。パケット受信部番号701により、パケットを受信したパケット受信部200が特定される。VLAN番号702は、パケット受信部200が所属するVLANを一意に識別する番号である。
なお、エントリ700は、図2の例に限らず、1種類以上の制御情報を示すパラメータと、複数種類のヘッダ情報を示すパラメータと、を含めばよい。エントリ700は、例えば、前述したヘッダ情報を示すパラメータに加えて又は代えて、TOS(Type Of Service)、フラグ、TTL(Time To Live)、ID、バージョン、及びヘッダ値等のヘッダ情報を含んでもよい。
転送先決定部320はパケットを受信すると、転送設定メモリ340を参照し、レコード504の保持内容502が、ホワイトリスト機能が有効であるホワイトリストスイッチモードであるか、ホワイトリスト機能が無効であるノーマルスイッチモードであるかを判定する。レコード504の保持内容502がノーマルスイッチモードである場合、転送先決定部320は、受信したパケットのヘッダ情報をキーに転送テーブルメモリ330を検索する。転送先決定部320は、検索結果に従い転送先を決定し、パケットを転送する。レコード504の保持内容502がホワイトリストスイッチモードである場合、転送先決定部320は、転送設定メモリ340を参照し、レコード505の保持内容502が、ホワイトリストを生成する生成状態であるか、ホワイトリストを用いた転送を行う運用状態であるかを判定する。
以下、レコード505の保持内容502が運用状態である場合の動作例を説明する。転送先決定部320は、パケット受信部200から受信したパケットが、ホワイトリスト格納H/Wメモリ310に格納されたホワイトリストに登録済みか否かを判定する。当該パケットが当該ホワイトリストに登録済みである場合、転送先決定部320は、受信したパケットに対して、ノーマルスイッチモードのパケット転送と同様の処理を行う。
当該パケットが当該ホワイトリストに登録済みでない場合、転送先決定部320は、転送設定メモリ340を参照し、レコード506の保持内容502が示す処理を当該パケットに対して行う。レコードの保持内容502が示す処理は、例えば、当該パケットの廃棄、当該パケットの通過即ち当該パケットに対するノーマルスイッチモードと同様のパケット転送を含む。
レコード508については、後述する図9で説明を行う。
レコード1104〜1108が示す命令のそれぞれは、転送設定メモリ340のレコード504〜508それぞれが示す転送設定を変更する命令である。レコード1104〜1108の命令種別1101、設定内容1102、及び初期状態1103それぞれは、転送設定メモリ340のレコード504〜508の保持情報501、保持内容502、及び初期状態503に対応する。
図15は、本実施例のパケット中継装置100について、外部からのパケットを受信した際の転送設定メモリ340の設定内容による動作について示したフローチャートである。尚、生成状態・運用状態の各処理の詳細については後述とする。
パケット中継装置100のパケット受信部200のいずれかがパケットを受信すると、受信パケットに前述のような制御情報を付加し、転送先決定部320へと送信する(ステップ2301)。パケットを受信した転送先決定部320は、転送設定メモリ340のレコード504の保持情報502を確認し、ホワイトリストの機能状態がホワイトリストスイッチモードか、ノーマルスイッチモードかを判定する (ステップ2302)。
以下、ステップ2302でホワイトリストスイッチモードと判定された場合を説明する。転送先決定部320は、転送設定メモリ340のレコード505の保持情報502を確認し、ホワイトリストを生成する生成状態であるか、ホワイトリストを用いた転送を行う運用状態であるかを判定する(ステップ2303)。判定の結果、生成状態である場合には、後述する図7のステップ1501へと移行し、ホワイトリストの自動生成を実施する。万一、判定の結果、運用状態である場合には、後述する図8のステップ1601へと移行し、生成されたホワイトリストに基づく通信制御を実施する。
尚、ホワイトリストの生成状態、運用状態については、例えば、前述の通り入出力装置610から管理者等による入力によって変更されるものである。生成状態についてはネットワーク構築時などの無菌期間を想定しており、無菌期間に正常な通信を実施させ、ホワイトリストを自動生成させた後、管理者等によって運用状態へと遷移させることを想定している。
以下、ステップ2302でノーマルスイッチモードと判定された場合を説明する。
転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、転送先を決定する(ステップ2304)。転送先決定部320で送信先を決定されたパケットは、パケット送信部500のいずれかから送信され(ステップ2305)、処理を終える。
なお、図5Aでは以降パケット受信部200及びパケット送信部500が一体化したパケット送受信部であるものとして説明を行う。図5Aの参照番号121〜128及び131〜136が、パケット送受信部である。また、パケット中継装置101はパケットの送受信を行う端末111及びネットワーク110とも、接続されている。パケット中継装置102はパケットの送受信を行う端末112と接続され、パケット中継装置103はパケットの送受信を行う端末113、114と接続され、中継装置104はパケットの送受信を行う端末115と接続されている。端末111〜115は、端末間での通信に加え、ネットワーク110を介してサーバ140とも通信を実施することができる。
パケット送受信部121〜128はリングポート(図中、白丸)であり、パケット送受信部131〜136はエッジポート(図中、黒丸)である。マスタノードはパケット中継装置101であり、パケット送受信部121をプライマリポート、パケット送受信部122をセカンダリポートとする。リングプロトコルではプライマリポートは障害の有無に関わらず通信パケットの送受信を実施する。セカンダリポートはネットワークが正常に動作している間はパケットの送受信を行わず、障害発生時にはパケットの送受信を実施する。パケット中継装置102〜104はトランジットノードである。
パケット中継装置101から送出されるヘルスチェックフレームやフラッシュ制御フレームについては、冗長化プロトコル制御プログラム423に従って動作しているCPU410によって生成されパケット送受信部121及び122から送信される。
フラッディングされたパケットはパケット中継装置101のパケット送受信部122及びパケット中継装置103のパケット送受信部125で受信されるが、パケット送受信部122についてセカンダリポートのため受信パケットは廃棄される。パケット中継装置103のパケット送受信部125で受信されたパケットは中継装置102と同様フラッディング及び転送テーブルメモリ330への情報保存を実施し、その後フラッディング及び転送テーブルメモリ330への情報保存を繰り返し、最終的にパケット中継装置101のパケット送受信部131から送出され、端末111に到達する。
上述の通信を実施した後、図5Bで示すようにパケット送受信部124と125を接続しているケーブルが何らかの理由で切断された場合、マスタノードから送出されているヘルスチェックフレームの到達性がなくなることにより、マスタノードからフラッシュ制御フレームが送信され、パケット中継装置101〜104内の各転送テーブルメモリ330内のMac Addressとパケット送受信部の情報が削除される。さらに、マスタノードは、セカンダリポートであるパケット受信部122の通信不可状態を解除し、通信を継続させるようにする。
例えば、端末112から端末111を宛先にしたパケットは、パケット中継装置102のパケット送受信部133で受信後、転送先決定部320にて転送テーブルメモリ330内の情報を参照し、パケットの送信を実施しようとするが、フラッシュ制御フレームにより図6A_101〜図6A_104で記載した転送テーブルメモリ330内の情報は削除されているため、一般的なレイヤ2通信で使用されるパケットのフラッディングが実施されると同時に転送テーブルメモリ330に端末112がパケット送受信部133に接続されていると言う情報を再度保存する。
パケット送受信部124はリンクがダウンしているため、パケットはパケット中継装置103には到達しないが、パケット中継装置101のパケット送受信部122で受信され、パケット中継装置101でフラッディングされることにより、端末111へと到達する。
本実施例では、図5A、図5Bのパケット中継装置101〜104について、例えば、入出力装置610による転送設定に関する命令に従い設定された転送設定メモリ340のレコード507の保持内容502の値によって、ホワイトリストを生成し、ホワイトリストの生成及び制御の対象となるパケット受信部200と、ホワイトリストの生成を行わず、ホワイトリストの生成及び制御の対象外となるパケット受信部200を選択できる。
図5A、図5Bにおいて、エッジポート(黒丸)であるパケット送受信部131〜136はホワイトリストの生成及び制御の対象とし、リングポート(白丸)であるパケット送受信部121〜128はホワイトリストの生成及び制御の対象外とする値を設定する。パケット送受信部131〜136をホワイトリストの生成及び制御の対象とすることで、接続される端末111〜115やサーバ140の通信をホワイトリスト化し、ネットワーク110経由及び内部から不正通信を遮断することができる。さらに、パケット送受信部121〜128はホワイトリストの生成及び制御の対象外とすることにより、図5Bで示した断線時の通信路変更に対応することも出来る。
パケットを受信した転送先決定部320は、転送設定メモリ340のレコード507の保持情報502を確認し、制御情報内にあるパケット受信部200の番号がホワイトリストの生成及び制御の対象か否かを判定する(ステップ1502)。
以下、ステップ1502での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象である場合を説明する。転送先決定部320は、受信パケットのヘッダ部分及び制御情報をS/W制御部400へと送信する(ステップ1503)。受信パケットのヘッダ部分及び制御情報を受信したS/W制御部400は、CPU410は、その内部に存在するプロセッサをホワイトリスト生成部として動作させ、ヘッダ部分及び制御情報により、図2に記載の情報に従いホワイトリストを生成する(ステップ1504)。さらに、ホワイトリスト生成部として動作しているCPU410は、ホワイトリスト格納メモリ340へと生成したホワイトリストの書き込みを実施する(ステップ1505)。そして、転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、転送先を決定する(ステップ1506)。パケット転送部300は、転送先決定部320で送信先を決定されたパケットを、パケット送信部500のいずれかから送信し(ステップ1507)、処理を終える。
転送先決定部320は、ステップ1502での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象外である場合は、ホワイトリストの生成処理を実施せず、前述したステップ1506、1507の処理を実施し、処理を終える。
パケットを受信した転送先決定部320は、転送設定メモリ340のレコード507の保持情報502を確認し、制御情報内にあるパケット受信部200の番号がホワイトリストの生成部及び制御の対象か否かを判定する(ステップ1602)。
以下、ステップ1602での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象である場合を説明する。パケットを受信した転送先決定部320は、ホワイトリスト格納メモリ310内を検索する(ステップ1603)。そして、受信したパケットが持つヘッダ情報及び制御情報が、ホワイトリスト格納メモリ310に格納されており、HITしたか否かを判定する(ステップ1604)。
以下、ステップ1604で検索HITした場合を説明する。転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、送信先を決定する(ステップ1605)。パケット転送部300は、パケット転送部300で送信先を決定されたパケットを、パケット送信部500のいずれかから送信し(ステップ1606)、処理を終える。
以下、ステップ1604で検索HITしなかった場合を説明する。転送先決定部320は、設定転送メモリ340内のレコード506の保持情報502を確認し、保持情報502が廃棄か通過かを判別する(ステップ1607)。ステップ1607で通過と判定された場合、ステップ1605へと移る。ステップ1607で廃棄と判定された場合、転送先決定部320は、パケットを廃棄し(ステップ1608)、処理を終える。
ステップ1602での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象外である場合は、ホワイトリスト格納メモリ340の検索を実施せず、前述したステップ1605、1606の処理を実施し、処理を終える。
前述のように端末112から端末111への通信を実施した後、例えば、入出力装置610等により、本実施例におけるパケット中継装置101〜104の転送設定メモリ340のレコード505の保持内容502を運用状態とし、さらに図5Bの障害状態に陥ったとしても、端末112から端末111への通信はパケット受信部133でホワイトリストによる通信制御を実施しながら、前述した経路切替後の経路にも対応することができる。
また、本実施例のパケット中継装置100で構成されるリングのネットワークが設置されている場所に悪意あるユーザが侵入し、非正規の端末を本実施例のパケット中継装置100に接続し通信を実施しようとした際、リングポートであるパケット受信部200についてはホワイトリストの生成及び制御の対象外となっているため、非正規の端末を接続しても通信が可能な状態になっている。その対策として、本実施例のパケット中継装置には、ホワイトリストの生成及び制御の対象外となっているパケット受信部200について、リンクダウン時に閉塞を行う機能を持たせることができる(詳細は、後述の図9等参照)。悪意あるユーザが非正規の端末をリングポートに接続しようとする場合、各パケット中継装置100間を接続しているケーブルを一度抜去することになり、必ずリンクダウンを伴う。前述したとおり転送設定メモリ340のレコード508の保持内容502の設定状態により、リンクダウン発生時にはパケット受信部を閉塞することができるため、ホワイトリスト対象外のパケット受信部についても、セキュリティを確保することができる。
パケット受信部200は、リンクダウンを検出すると、リンクダウンしたパケット受信部番号をリンクダウン情報としてパケット転送部300へと通知する(ステップ1701)。リンクダウン情報を受信したパケット転送部300は、リンクダウンを検出した当該のパケット受信部200がホワイトリストの生成及び制御の対象か、対象外かを転送設定メモリ340のレコード507の保持内容502を確認することにより判別する(ステップ1702)。ステップ1702でホワイトリストの生成及び制御の対象と判別された場合は、パケット転送部300は、処理を終える。
以下、ステップ1703で閉塞を実施する設定になっていると判別された場合について説明する。パケット転送部300は、リンクダウン情報をS/W制御部400に通知する (ステップ1704)。通知を受信したS/W制御部400では、転送設定部として動作しているCPU410から当該のパケット受信部200の閉塞を実施する(ステップ1705)。この時転送設定部として動作しているCPU410は、閉塞したパケット受信部番号を保持し、転送設定メモリ340のレコード508の保持内容502について、当該のパケット受信部200の閉塞設定が入出力装置610等により非実施に変更されるまで閉塞状態を維持する。なお、当該のパケット受信部200は、当該のパケット受信部200のリンクアップを検出しても閉塞状態を変更しない。入出力装置610等により、当該のパケット受信部200の閉塞設定が非実施状態に変更された際には、CPU410が保持している閉塞状態のパケット受信部番号を確認し、閉塞状態となっている場合には当該のパケット受信部200の閉塞状態を解除する。
なお、ホワイトリストの生成及び制御の対象のパケット受信部200については、リンクダウンを検出すると、そのパケット受信部200の状態を閉塞に変更し、そのパケット受信部200のリンクアップを検出すると、そのパケット受信部200の状態を開放に変更する。
本実施例は、実施例1の通信装置について、転送設定メモリ340が保持する転送設定情報を一部変更した変形例である。
図10は、本実施例におけるパケット中継装置の転送設定メモリ340が保持する転送設定情報の一例を示している。
この転送設定情報において、保持情報1801、保持内容1802、初期状態1803及びレコード1804〜1806については、実施例1の保持情報501、保持内容502、初期状態503及びレコード504〜506と同様である。レコード1807については、保持内容1802の値に従い、冗長化プロトコルを使用したネットワークを構築している際に、経路の切替が発生した場合にホワイトリストの再生成(再学習)を実施するか否かの判別に使用する。
レコード1808については、レコード1807の保持内容1802の値が再生成であるパケット受信部について、後述するレコード1809の保持内容1802の値が再生成状態である場合に、当該のパケット受信部200がリンクダウンした場合、当該のパケット受信部200を閉塞状態にするか否かの判別に使用する。
レコード1809については、ホワイトリストの再生成状態の設定であり、保持内容502に再生成状態、もしくは運用状態のいずれかを保持する。
尚、本実施例においては実施例1の図3のレコード507及び図4のレコード1107で記載したホワイトリスト対象・対象外の設定についても、図10及び図11にレコードを追加してもよい。その場合は、図7及び図8の各フローチャートを用いることができる。但し、ここでは、一例として、全てのパケット受信部をホワイトリストの生成及び制御の対象としたものとして説明を行うため、図10及び図11には記載しない。そのため、ホワイトリストの生成状態・運用状態については、実施例1の図7及び図8にて説明したホワイトリスト生成状態・運用状態のフローチャートにおいて、パケット受信部200についてのホワイトリストの生成及び制御の対象・対象外の判定をなくし(ステップ1502、1602)、全てのパケット受信部200についてホワイトリストの生成及び制御の対象として動作するフローチャートとなる。
本実施例のパケット中継装置100がネットワークの障害を検知すると、CPU410は、ホワイトリスト生成部により、転送設定メモリ340のレコード1807の保持内容1802を取得し、ホワイトリスト格納メモリ310に格納されているホワイトリストの中で、図2のエントリ701のパケット受信番号と、取得した転送設定メモリ340のレコード1807の保持内容1802の中で、再生成の値を持つひとつまたは複数のパケット受信部200の番号と一致するエントリを削除する(ステップ2001)。該当する全てのエントリの削除が完了したら、ホワイトリスト生成部から転送設定メモリ340のレコード1809の保持内容1802を再生成状態へと変更する(ステップ2002)。
パケット中継装置100のパケット受信部200のいずれかがパケットを受信すると、その受信部200は、受信パケットに制御情報を付加し、転送先決定部320へと送信する(ステップ2101)。パケットを受信した転送先決定部320は、転送設定メモリ340内の情報を確認し、レコード1809の保持情報1802が再生成状態であり且つ、制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成であるか否かを判別する(ステップ2102)。
ステップ2102でレコード1809の保持情報1802が再生成状態であり且つ、制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成であると判別された場合は、実施例1の図7のステップ1503へと移行し、CPU410は、ホワイトリストの生成を実施する。
ステップ2102でレコード1809の保持情報1802が再生成状態でない、もしくは制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成無しであると判別された場合は、実施例1の図8のステップ1603へと移行し、転送先設定部320は、ホワイトリストに基づいた通信制御を実施する。
端末112から端末111への通信を実施した後、本実施例におけるパケット中継装置101〜104の転送設定メモリ340のレコード505の保持内容502を運用状態とし、さらに図5Bの障害状態に陥った場合、フラッシュ制御フレームがマスタノードからトランジットノードへと通知される。マスタノードは障害検知時、トランジットノードはフラッシュ制御フレームを受信した際の障害検知時に、図12で説明した処理を実行し、パケット送受信部125、127、121で生成されたホワイトリストを削除する。
その後、端末112から端末111への通信を実施した際には、パケット受信部133でホワイトリストによる通信制御を実施しながら、前述した経路切替後の経路となるパケット受信部122でホワイトリストが再生成される。ホワイトリストの再生成が完了したら、入出力装置610からレコード1909について、運用状態とする命令を実施し、全てのパケット送受信部が運用状態へと戻る。
また、実施例1と同様に本実施例のパケット中継装置100で構成されるリングのネットワークが設置されている場所に悪意あるユーザが侵入し、非正規の端末を本実施例のパケット中継装置100に接続し通信を実施しようとした際、リングポートとなるパケット送受信部のケーブルを抜去するなどして障害を発生させた場合、ホワイトリストの再生成を行う設定となっているパケット受信部200に非正規の端末を接続した場合、通信が可能な状態になってしまう場合が想定される。その対策として、本実施例のパケット中継装置には、ホワイトリストが再生成状態となっているパケット受信部200について、リンクダウン時に閉塞を行う機能を持たせることができる。動作については、リンクダウン時の判定項目が実施例1(図9参照)ではホワイトリスト対象外であるか否かであったのに対し、本実施例では当該のパケット受信部200について、ホワイトリストの再生成設定があり且つ、転送設定メモリ340のレコード1809の保持内容1802が再生成状態であるか否か、となる。
なお、上述について、一例としてリングプロトコルを記載しているが、実施例1と同様にして、スパニングツリープロトコルについても本実施例が適用可能である。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれている。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
Claims (10)
- 通信装置であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有し、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定された第1受信部と、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有し、ホワイトリストの生成及び制御の対象に予め設定された第2受信部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送する転送部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記転送部により前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、前記転送部により予め定められた転送先に通信データを転送させるための、制御部と、
を備えた通信装置。 - 請求項1に記載の通信装置において、
ひとつ又は複数の前記第1受信部をホワイトリストの生成及び制御の対象外に、ひとつ又は複数の前記第2受信部をホワイトリストの生成及び制御の対象に、予め設定した転送設定メモリ
をさらに備え、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、
前記転送部は、前記転送設定メモリを参照し、通信データを受信した受信部がホワイトリストの生成及び制御の対象である前記第2受信部か、対象外である前記第1受信部かを判断し、
前記転送部は、前記第2受信部が通信データを受信したと判断すると、前記第2受信部が受信した通信データのヘッダ情報を前記制御部に送信し、
前記制御部は、ヘッダ情報によりホワイトリストを生成してホワイトリスト格納メモリに記憶し、
前記転送部は、前記第2受信部を介して受信した通信データを、予め定められた転送先に転送する
ことを特徴とする通信装置。 - 請求項2に記載の通信装置において、
前記通信装置が運用状態に予め設定されている場合、
前記転送部は、前記転送設定メモリを参照し、通信データを受信した受信部がホワイトリスト対象である前記第2受信部か、対象外である前記第1受信部であるかを判断し、
前記転送部は、前記第2受信部が通信データを受信したと判断すると、前記第2受信部を介して受信した通信データのヘッダ情報が、前記ホワイトリスト格納メモリに格納されているか否かを判定し、
格納されている場合、前記転送部は、前記第2受信部を介して受信した通信データを、ヘッダ情報に従い、予め定められた転送先に転送し、
格納されていない場合、前記転送部は、予め定められた廃棄又は通過の情報に従い、それぞれ、通信データを廃棄する又は通信データを予め定められた転送先に転送し、
一方、
前記転送部は、前記第1受信部が通信データを受信したと判断すると、前記第1受信部を介して受信した通信データを、予め定められた転送先に転送する
ことを特徴とする通信装置。 - 請求項1に記載の通信装置において、
前記制御部は、
前記第1受信部に接続されたリンクのリンクダウンを検知すると、前記第1受信部の状態を閉塞に変更し、前記第1受信部に接続されたリンクのリンクアップを検知しても前記第1受信部の状態を変更せず、外部からの開放指示を受け付けると、前記第1受信部の状態を開放に変更することを特徴とする通信装置。 - 請求項4に記載の通信装置において、
前記制御部は、
前記第2受信部に接続されたリンクのリンクダウンを検知すると、前記第2受信部の状態を閉塞に変更し、前記第2受信部に接続されたリンクのリンクアップを検知すると、前記第2受信部の状態を開放に変更することを特徴とする通信装置。 - 請求項1に記載の通信装置において、
ひとつ又は複数の前記第1受信部を再生成有りに、ひとつ又は複数の前記第2受信部を再生成無しに、予め設定した転送設定メモリ
をさらに備え、
前記転送設定メモリは、さらに、ひとつ又は複数の前記第1受信部もホワイトリストの生成及び制御の対象に予め設定し、前記制御部は、前記転送部によりひとつ又は複数の前記第1受信部を介して受信された通信データに基づきホワイトリストを生成及び記憶し、
前記制御部は、冗長化されたネットワーク上の障害を検知すると、前記転送設定メモリを参照し、ひとつ又は複数の前記第1受信部についてのホワイトリストを削除し、前記通信装置をホワイトリストの再生成状態に設定し、ホワイトリストの再生成を実行する
ことを特徴とする通信装置。 - 請求項6に記載の通信装置において、
前記転送部は、通信データを受信し、前記通信装置が再生成状態に設定されている場合、且つ、前記転送設定メモリを参照して通信データを受信した受信部が前記第1受信部であると判断した場合、通信データのヘッダ情報を前記制御部に送信し、前記制御部は、ヘッダ情報からホワイトリストの再生成及び記憶を実行し、
前記転送部は、前記通信装置が再生成状態に設定されていない場合、又は、前記転送設定メモリを参照して通信データを受信した受信部が前記第2受信部であると判断した場合、通信データをホワイトリストにより通信制御する
ことを特徴とする通信装置。 - 請求項3に記載の通信装置において、
前記転送部は、
転送を制御する転送先決定部と、
転送先情報が保存されている転送テーブルメモリと、
前記ホワイトリスト格納メモリと、
前記転送設定メモリと、
を備え、
前記転送設定メモリは、さらに、ホワイトリスト機能を用いるか否かのモードを予め設定し、登録外廃棄/通過を予め設定し、
前記転送先決定部は、
前記転送設定メモリを参照し、モードの設定に基づきホワイトリストを用いた通信制御を実施するか否かを制御し、
前記転送設定メモリを参照し、登録外廃棄/通過設定に基づき、ホワイトリストに登録外のデータ通信を廃棄するか転送するかを制御する
ことを特徴とする通信装置。 - 通信システムであって、
前記冗長化されたネットワークは、リングプロトコル、又は、スパニングツリープロトコルで動作し、
前記冗長化されたネットワークの各ノードに請求項1に記載された通信装置が設けられている
ことを特徴とする通信システム。 - 通信方法であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有する第1受信部を、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定し、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有する第2受信部を、ホワイトリストの生成及び制御の対象に予め設定し、
通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送し、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、予め定められた転送先に通信データを転送させるための、
通信方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015210495 | 2015-10-27 | ||
JP2015210495 | 2015-10-27 | ||
PCT/JP2016/054048 WO2017073089A1 (ja) | 2015-10-27 | 2016-02-12 | 通信装置及びシステム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2017073089A1 JPWO2017073089A1 (ja) | 2018-04-26 |
JP6387195B2 true JP6387195B2 (ja) | 2018-09-05 |
Family
ID=58631436
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017547634A Active JP6387195B2 (ja) | 2015-10-27 | 2016-02-12 | 通信装置及びシステム及び方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10680893B2 (ja) |
JP (1) | JP6387195B2 (ja) |
WO (1) | WO2017073089A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10721212B2 (en) * | 2016-12-19 | 2020-07-21 | General Electric Company | Network policy update with operational technology |
WO2018077483A1 (en) * | 2017-01-23 | 2018-05-03 | Mitsubishi Electric Corporation | Evaluation and generation of a whitelist |
JP6793056B2 (ja) | 2017-02-15 | 2020-12-02 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
CN109804610B (zh) * | 2017-03-23 | 2022-05-13 | 柏思科技有限公司 | 限制具有网络功能的设备的数据流量传输的方法和系统 |
WO2018212086A1 (ja) * | 2017-05-15 | 2018-11-22 | 日本電気株式会社 | 制御装置、中継装置、通信システムおよび通信制御方法 |
CN107360184B (zh) * | 2017-08-14 | 2020-09-08 | 杭州迪普科技股份有限公司 | 终端设备认证方法和装置 |
JP6493475B1 (ja) | 2017-09-28 | 2019-04-03 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
US10771476B2 (en) * | 2018-03-14 | 2020-09-08 | Cisco Technology, Inc. | Defeating man-in-the-middle attacks in one leg of 1+1 redundant network paths |
JP2020017809A (ja) * | 2018-07-24 | 2020-01-30 | アラクサラネットワークス株式会社 | 通信装置及び通信システム |
JP7139252B2 (ja) * | 2019-01-10 | 2022-09-20 | アラクサラネットワークス株式会社 | 転送装置 |
US11882448B2 (en) * | 2021-06-07 | 2024-01-23 | Sr Technologies, Inc. | System and method for packet detail detection and precision blocking |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8572266B2 (en) * | 2006-04-03 | 2013-10-29 | Disney Enterprises, Inc. | Group management and graphical user interface for associated electronic devices |
US20100299398A1 (en) * | 2006-11-24 | 2010-11-25 | Duaxes Corporation | Communication control apparatus |
US8695100B1 (en) * | 2007-12-31 | 2014-04-08 | Bitdefender IPR Management Ltd. | Systems and methods for electronic fraud prevention |
JP2009239525A (ja) | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
US8751808B2 (en) * | 2009-11-12 | 2014-06-10 | Roy Gelbard | Method and system for sharing trusted contact information |
US8635281B2 (en) * | 2009-12-18 | 2014-01-21 | Morningside Analytics, Inc. | System and method for attentive clustering and analytics |
WO2011130711A2 (en) * | 2010-04-15 | 2011-10-20 | General Instrument Corporation | Cross-domain identity management for a whitelist-based online secure device privisioning framework |
US8677464B2 (en) * | 2011-06-22 | 2014-03-18 | Schweitzer Engineering Laboratories Inc. | Systems and methods for managing secure communication sessions with remote devices |
US9262624B2 (en) * | 2011-09-16 | 2016-02-16 | Mcafee, Inc. | Device-tailored whitelists |
US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
US9544212B2 (en) * | 2012-01-27 | 2017-01-10 | Microsoft Technology Licensing, Llc | Data usage profiles for users and applications |
JP6253333B2 (ja) * | 2012-10-09 | 2017-12-27 | キヤノン電子株式会社 | 情報処理装置、情報処理システムおよび情報処理方法 |
CN102957694B (zh) * | 2012-10-25 | 2016-08-31 | 北京奇虎科技有限公司 | 一种判断钓鱼网站的方法及装置 |
US9306873B2 (en) * | 2013-02-21 | 2016-04-05 | Beers Enterprises, Llc | Customer controlled video network |
US9672818B2 (en) * | 2013-04-18 | 2017-06-06 | Nuance Communications, Inc. | Updating population language models based on changes made by user clusters |
US20140313975A1 (en) * | 2013-04-19 | 2014-10-23 | Cubic Corporation | White listing for binding in ad-hoc mesh networks |
KR101455167B1 (ko) * | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
US9961079B1 (en) * | 2014-03-21 | 2018-05-01 | Symantec Corporation | Context aware intruder detection using WIFI MAC addresses |
US9491176B1 (en) * | 2014-08-28 | 2016-11-08 | Google Inc. | Monitoring content consumption by restricted account |
-
2016
- 2016-02-12 WO PCT/JP2016/054048 patent/WO2017073089A1/ja active Application Filing
- 2016-02-12 US US15/751,548 patent/US10680893B2/en active Active
- 2016-02-12 JP JP2017547634A patent/JP6387195B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US10680893B2 (en) | 2020-06-09 |
WO2017073089A1 (ja) | 2017-05-04 |
US20190190777A1 (en) | 2019-06-20 |
JPWO2017073089A1 (ja) | 2018-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6387195B2 (ja) | 通信装置及びシステム及び方法 | |
RU2526719C2 (ru) | Сетевая система и способ избыточности сети | |
JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
JP5673557B2 (ja) | ネットワークシステム、コントローラ、ネットワーク制御方法 | |
US8289839B2 (en) | Scaling BFD sessions for neighbors using physical / sub-interface relationships | |
US20090296726A1 (en) | ACCESS CONTROL LIST MANAGEMENT IN AN FCoE ENVIRONMENT | |
US9813448B2 (en) | Secured network arrangement and methods thereof | |
RU2612599C1 (ru) | Устройство управления, система связи, способ управления коммутаторами и программа | |
JP6433865B2 (ja) | 通信装置 | |
JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
KR20140014263A (ko) | 통신 경로 제어 시스템, 및 통신 경로 제어 방법 | |
JP6923809B2 (ja) | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム | |
US20140092725A1 (en) | Method and first network node for managing an ethernet network | |
CN109861961B (zh) | 网络防御装置以及网络防御系统 | |
JP7150552B2 (ja) | ネットワーク防御装置およびネットワーク防御システム | |
JP2018504061A (ja) | ソフトウェア定義ネットワーキングコントローラ | |
JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
JP2009506592A (ja) | フォールトトレラントネットワーク上のノードを管理するための装置および方法 | |
KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
JP2003152806A (ja) | 通信路のスイッチ接続制御システム | |
US20190028479A1 (en) | Relay apparatus | |
US9912575B2 (en) | Routing network traffic packets through a shared inline tool | |
KR102067186B1 (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
US20200162381A1 (en) | Stage one cache lookup for network node of mesh network | |
KR20200007060A (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180110 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180731 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180810 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6387195 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |