JP6387195B2 - 通信装置及びシステム及び方法 - Google Patents
通信装置及びシステム及び方法 Download PDFInfo
- Publication number
- JP6387195B2 JP6387195B2 JP2017547634A JP2017547634A JP6387195B2 JP 6387195 B2 JP6387195 B2 JP 6387195B2 JP 2017547634 A JP2017547634 A JP 2017547634A JP 2017547634 A JP2017547634 A JP 2017547634A JP 6387195 B2 JP6387195 B2 JP 6387195B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- transfer
- packet
- communication
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0873—Checking configuration conflicts between network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Description
本発明は、通信装置及びシステム及び方法に関する。
近年、発電所などの重要インフラ内のネットワークに攻撃者が侵入し、システムの制御が奪われることがないような対策が必要である。重要インフラのネットワークにおいては、ファイアウォール装置、及びパーソナルコンピュータ等の端末に搭載されているウィルスソフト等による防御対策は実施されているが、システム制御を奪おうとする攻撃者の侵入を防ぐために、より強力な対策が必要とされる。攻撃者に侵入された際のリスクを軽減する手法として、ホワイトリスト機能を利用する方法がある。ホワイトリスト機能は、ネットワークを流れる正規通信内情報に含まれる正規端末情報をホワイトリスト収容装置に登録し、ホワイトリスト収容装置に登録された正規端末以外からの非正規通信を遮断することでセキュリティレベルを高める機能である。
本技術の背景分野として、特開2015−050767号公報(特許文献1)及び特開2009−239525号公報(特許文献2)がある。
特許文献1には、「ネットワークスイッチは、許容された通信規則を含むホワイトリストが予め格納され、ホワイトリストを基盤として、複数のスイッチインタフェースを介して入力された1つ以上のパケットを監視し、ホワイトリストに従うパケットに対しては通信を許容するホワイトリスト監視部と、ホワイトリストをアップデートさせてホワイトリスト監視部に送るホワイトリスト管理部とを含む。」と記載されている(要約参照)。
特許文献2には、「パケットフィルタリング装置は、SIPサーバから送信されたパケットを受信し、受信したパケットが、SIPクライアントから所定の間隔で送信される認証要求に対する応答であるか否かを判定し、認証要求に対する応答であると判定され、当該パケットの送信元情報がホワイトリストに記憶されていない場合に、当該パケットの送信元情報を取得してホワイトリストに格納する。そして、パケットフィルタリング装置は、ネットワークに輻輳が発生していると検出した場合に、ネットワーク上のパケットを受信し、当該受信されたパケットのうち、ホワイトリストに送信元が記憶されているパケットを、ホワイトリストに送信元が記憶されていないパケットよりも優先して送信先に転送する。」と記載されている(要約参照)。
本技術の背景分野として、特開2015−050767号公報(特許文献1)及び特開2009−239525号公報(特許文献2)がある。
特許文献1には、「ネットワークスイッチは、許容された通信規則を含むホワイトリストが予め格納され、ホワイトリストを基盤として、複数のスイッチインタフェースを介して入力された1つ以上のパケットを監視し、ホワイトリストに従うパケットに対しては通信を許容するホワイトリスト監視部と、ホワイトリストをアップデートさせてホワイトリスト監視部に送るホワイトリスト管理部とを含む。」と記載されている(要約参照)。
特許文献2には、「パケットフィルタリング装置は、SIPサーバから送信されたパケットを受信し、受信したパケットが、SIPクライアントから所定の間隔で送信される認証要求に対する応答であるか否かを判定し、認証要求に対する応答であると判定され、当該パケットの送信元情報がホワイトリストに記憶されていない場合に、当該パケットの送信元情報を取得してホワイトリストに格納する。そして、パケットフィルタリング装置は、ネットワークに輻輳が発生していると検出した場合に、ネットワーク上のパケットを受信し、当該受信されたパケットのうち、ホワイトリストに送信元が記憶されているパケットを、ホワイトリストに送信元が記憶されていないパケットよりも優先して送信先に転送する。」と記載されている(要約参照)。
「アラクサラリング活用ガイド」、1.3 用語解説 (https://www.alaxala.com/jp/techinfo/archive/guide/pdf/N08R038_Ring_U-Guide_V1R0.pdf)
「AX7800S・AX5400Sソフトウェアマニュアル 解説書 Vol.1」、8.1.3 スパニングツリートポロジーの構成要素((1)ルートブリッジ・指定ブリッジ、(2)ルートポート・指定ポート)、8.5.1エッジポート (https://www.alaxala.com/jp/techinfo/archive/manual/AX5400S/HTML/10_10_/APGUIDE/0001.HTM)
ネットワークの経路冗長化を実現するために、通信装置を複数配置し、一般的な経路冗長化プロトコル(例えばリングプロトコル(非特許文献1参照)、スパニングツリープロトコル等)を使用して実施する場合、ネットワーク上のいずれかの通信装置や通信ケーブルに障害が発生し現状態での通信が継続出来なくなった場合、通信経路の切替を実施し、通信を継続させる。
特許文献1に記載の技術において、ネットワークスイッチは、前述した場合における攻撃を阻止するために、送信元、送信先、及びプロトコル等の複数種類の情報からなるエントリが登録されたホワイトリストをネットワークスイッチが持つインタフェース単位に保持する。各エントリに含まれる情報は事前に各インタフェースについて設定するものであるが、前述したホワイトリストと使用しつつ、前述したネットワークの冗長化を実現するためには、経路の切替が発生する可能性のある全てのインタフェースについて、同じホワイトリストを重複して登録しておかなくてはならない。特許文献2に記載のホワイトリストを自動生成する技術を用いたとしても、擬似的に障害を発生されるなどして事前に経路切替のパターンを全て実施し、ホワイトリストを生成しなければならない。そのため、経路切替パターンが増加すればするほど、装置内のメモリ消費量も増加し、設定や経路の切替を実施するための労力も増加するという課題がある。
特許文献1に記載の技術において、ネットワークスイッチは、前述した場合における攻撃を阻止するために、送信元、送信先、及びプロトコル等の複数種類の情報からなるエントリが登録されたホワイトリストをネットワークスイッチが持つインタフェース単位に保持する。各エントリに含まれる情報は事前に各インタフェースについて設定するものであるが、前述したホワイトリストと使用しつつ、前述したネットワークの冗長化を実現するためには、経路の切替が発生する可能性のある全てのインタフェースについて、同じホワイトリストを重複して登録しておかなくてはならない。特許文献2に記載のホワイトリストを自動生成する技術を用いたとしても、擬似的に障害を発生されるなどして事前に経路切替のパターンを全て実施し、ホワイトリストを生成しなければならない。そのため、経路切替パターンが増加すればするほど、装置内のメモリ消費量も増加し、設定や経路の切替を実施するための労力も増加するという課題がある。
本発明は、以上の点に鑑み、ホワイトリスト機能によるセキュリティ向上と、ネットワーク冗長化機能によるネットワークの信頼性向上を実現することを目的とする。
本発明の第1の解決手段によると、
通信装置であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有し、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定された第1受信部と、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有し、ホワイトリストの生成及び制御の対象に予め設定された第2受信部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送する転送部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記転送部により前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、前記転送部により予め定められた転送先に通信データを転送させるための、制御部と、
を備えた通信装置が提供される。
通信装置であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有し、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定された第1受信部と、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有し、ホワイトリストの生成及び制御の対象に予め設定された第2受信部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送する転送部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記転送部により前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、前記転送部により予め定められた転送先に通信データを転送させるための、制御部と、
を備えた通信装置が提供される。
本発明の第2の解決手段によると、
通信システムであって、
前記冗長化されたネットワークは、リングプロトコル、又は、スパニングツリープロトコルで動作し、
前記冗長化されたネットワークの各ノードに、上述のような通信装置が設けられていることを特徴とする通信システムが提供される。
通信システムであって、
前記冗長化されたネットワークは、リングプロトコル、又は、スパニングツリープロトコルで動作し、
前記冗長化されたネットワークの各ノードに、上述のような通信装置が設けられていることを特徴とする通信システムが提供される。
本発明の第3の解決手段によると、
通信方法であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有する第1受信部を、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定し、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有する第2受信部を、ホワイトリストの生成及び制御の対象に予め設定し、
通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送し、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、予め定められた転送先に通信データを転送させるための、
通信方法が提供される。
通信方法であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有する第1受信部を、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定し、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有する第2受信部を、ホワイトリストの生成及び制御の対象に予め設定し、
通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送し、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、予め定められた転送先に通信データを転送させるための、
通信方法が提供される。
本発明によれば、ホワイトリスト機能によるセキュリティ向上と、ネットワーク冗長化機能によるネットワークの信頼性向上を実現可能となる。
A.概要
通信装置が持つ複数のデータ送受信部について、ホワイトリストを用いた通信制御を実施するデータ送受信部と、ホワイトリストを用いず一般的な通信制御を実施するデータ送受信部を同時に使用できる通信装置を提供する。さらにホワイトリストを用いないデータ送受信部について、リンクダウンが発生した際に自動で閉塞する機能を持つ通信装置を提供する。
通信装置が持つ複数のデータ送受信部について、ホワイトリストを用いた通信制御を実施するデータ送受信部と、ホワイトリストを用いず一般的な通信制御を実施するデータ送受信部を同時に使用できる通信装置を提供する。さらにホワイトリストを用いないデータ送受信部について、リンクダウンが発生した際に自動で閉塞する機能を持つ通信装置を提供する。
B.実施例1
(1)パケット中継装置(通信装置)
図1は、データの一例であるパケットを中継する、パケット中継装置の構成例を示す。パケット中継装置100は、通信装置の一例である。パケット中継装置100は、パケットの中継、及びホワイトリストの生成を実行する。ホワイトリストとは、例えば、パケット中継装置100による転送が許可されたパケットの一覧を示す。
パケット中継装置100は、例えば、複数のパケット受信部200、パケット転送部300、S/W(SoftWare)制御部400、複数のパケット送信部500、及び入出力インタフェース600を含む。
(1)パケット中継装置(通信装置)
図1は、データの一例であるパケットを中継する、パケット中継装置の構成例を示す。パケット中継装置100は、通信装置の一例である。パケット中継装置100は、パケットの中継、及びホワイトリストの生成を実行する。ホワイトリストとは、例えば、パケット中継装置100による転送が許可されたパケットの一覧を示す。
パケット中継装置100は、例えば、複数のパケット受信部200、パケット転送部300、S/W(SoftWare)制御部400、複数のパケット送信部500、及び入出力インタフェース600を含む。
パケット受信部200それぞれは、例えば、端末や他のパケット中継装置等の外部装置と、メタルケーブルや光ケーブル等の回線で接続され、接続された外部装置からパケットを受信する。パケット受信部200それぞれは、パケット受信部200を一意に識別する受信部番号を有する。
パケット受信部200それぞれは、パケットを受信した際に、当該パケットに当該パケット受信部200に対応する制御情報(例、パケット受信部、VLAN番号、等)を付加する。制御情報は、1以上のパケット受信部200を有するパケット受信部群を示す情報を含む。パケット受信部200のパケット受信部番号、及び当該パケット受信部200が所属するVLAN識別子であるVLAN番号は、それぞれ当該パケット受信部200が付加する制御情報の一例である。
パケット受信部200それぞれは、パケットを受信した際に、当該パケットに当該パケット受信部200に対応する制御情報(例、パケット受信部、VLAN番号、等)を付加する。制御情報は、1以上のパケット受信部200を有するパケット受信部群を示す情報を含む。パケット受信部200のパケット受信部番号、及び当該パケット受信部200が所属するVLAN識別子であるVLAN番号は、それぞれ当該パケット受信部200が付加する制御情報の一例である。
パケット転送部300は、パケット受信部200からパケットを受信し、S/W制御部400が生成したホワイトリストに従って、受信したパケットの転送、又は廃棄等を行う。S/W制御部400は、ホワイトリストを生成する。パケット送信部500それぞれは、端末や他のパケット中継装置等の外部装置と、メタルケーブルや光ケーブル等の回線で接続され、パケット転送部300から受信したパケットを、接続された外部装置へと送信する。
パケット受信部200及びパケット送信部500は、通常、ハードウェアで構成される。なお、パケット受信部200及びパケット送信部500は、図1では説明のため別の部として記載しているが、パケット受信部200とパケット送信部500が一体化したパケット送受信部であってもよい。
パケット受信部200及びパケット送信部500は、通常、ハードウェアで構成される。なお、パケット受信部200及びパケット送信部500は、図1では説明のため別の部として記載しているが、パケット受信部200とパケット送信部500が一体化したパケット送受信部であってもよい。
入出力インタフェース600は、入出力装置610が接続される。入出力インタフェース600は、入出力装置610を介して、利用者からの入力を受け付ける。また、入出力インタフェース600は、プログラムの実行結果等を入出力装置610に出力する。入出力装置610は、例えば、キーボードやマウス等の利用者からの入力を受ける入力装置、及びディスプレイ装置やプリンタ等のパケット中継装置100の処理結果を利用者が視認可能な形式で出力する出力装置を含む。
なお、図1では入出力装置610は、パケット中継装置100と独立した装置として記載されているが、パケット中継装置100にディスプレイや操作ボタン等の入出力装置610が備え付けられていてもよい。
なお、図1では入出力装置610は、パケット中継装置100と独立した装置として記載されているが、パケット中継装置100にディスプレイや操作ボタン等の入出力装置610が備え付けられていてもよい。
パケット転送部300は、ホワイトリスト格納メモリ310と、転送先決定部320と、転送テーブルメモリ330と、転送設定メモリ340と、を含む。ホワイトリスト格納メモリ310は、例えば、CAM(Content Addressable Memory)やDRAM(Dynamic Random Access Memory)等であり、S/W制御部400が生成したホワイトリストを格納する。
転送テーブルメモリ330は、例えば、CAMやDRAM等であり、パケットのヘッダ情報(例、Mac Address,IP Address,protocol,port番号、等)と、パケットの転送先即ちパケット送信部500と、の対応を示す情報を格納する。当該情報は管理者等によって作成され、予め転送テーブルメモリ330に格納されている。OSI(Open Systems Interconnection)参照モデルのレイヤ2の通信に用いられるMac Address Tableや、OSI参照モデルのレイヤ3の通信に用いられるRouting Tableは、当該対応を示す情報の一例である。
転送設定メモリ340は、例えば、DRAM等であり、後述するパケット中継装置100のモードや状態、ホワイトリスト登録外パケット受信時の動作等の設定情報を格納する。転送設定メモリ340に格納される設定情報は、入出力装置610を介して、管理者等により設定される。
転送テーブルメモリ330は、例えば、CAMやDRAM等であり、パケットのヘッダ情報(例、Mac Address,IP Address,protocol,port番号、等)と、パケットの転送先即ちパケット送信部500と、の対応を示す情報を格納する。当該情報は管理者等によって作成され、予め転送テーブルメモリ330に格納されている。OSI(Open Systems Interconnection)参照モデルのレイヤ2の通信に用いられるMac Address Tableや、OSI参照モデルのレイヤ3の通信に用いられるRouting Tableは、当該対応を示す情報の一例である。
転送設定メモリ340は、例えば、DRAM等であり、後述するパケット中継装置100のモードや状態、ホワイトリスト登録外パケット受信時の動作等の設定情報を格納する。転送設定メモリ340に格納される設定情報は、入出力装置610を介して、管理者等により設定される。
転送先決定部320は、パケット受信部200からパケットを受信し、受信したパケットのヘッダ情報をキーに転送テーブルメモリ330内を検索することにより、受信したパケットの転送先を決定する。
また、転送先決定部320は、後述するホワイトリスト運用状態中にパケットを受信した場合、ホワイトリスト格納メモリ310に格納されたホワイトリストを検索し、受信したパケットがホワイトリスト対象パケットであるか否かを判定する。転送先決定部320は、受信したパケットがホワイトリスト登録外パケットであると判定した場合、転送設定メモリ340が保持するホワイトリスト登録外パケット受信時動作設定が示す処理を、当該パケットに対して行う。
転送先決定部320は、後述するホワイトリスト生成状態中にパケットを受信すると、受信したパケットから所定のヘッダ情報(例、Mac Address,IP Address,protocol,port番号、等)及び所定の制御情報(例、パケット受信部番号、VLAN番号、等)を抽出し、S/W制御部400へと送信する。転送先決定部320は、転送設定メモリ340の設定内容に従い、ホワイトリストを利用した通信を実施するか否かなどの判別を行う。
パケット転送部300は、ホワイトリストの高速検索、パケットのワイヤレートでの通信など、単純で高速な命令を実行するため、通常、ハードウェアで構成される。パケット転送部300は、例えば、FPGA(Field Programmable Gate Array)等で構成されてもよい。
また、転送先決定部320は、後述するホワイトリスト運用状態中にパケットを受信した場合、ホワイトリスト格納メモリ310に格納されたホワイトリストを検索し、受信したパケットがホワイトリスト対象パケットであるか否かを判定する。転送先決定部320は、受信したパケットがホワイトリスト登録外パケットであると判定した場合、転送設定メモリ340が保持するホワイトリスト登録外パケット受信時動作設定が示す処理を、当該パケットに対して行う。
転送先決定部320は、後述するホワイトリスト生成状態中にパケットを受信すると、受信したパケットから所定のヘッダ情報(例、Mac Address,IP Address,protocol,port番号、等)及び所定の制御情報(例、パケット受信部番号、VLAN番号、等)を抽出し、S/W制御部400へと送信する。転送先決定部320は、転送設定メモリ340の設定内容に従い、ホワイトリストを利用した通信を実施するか否かなどの判別を行う。
パケット転送部300は、ホワイトリストの高速検索、パケットのワイヤレートでの通信など、単純で高速な命令を実行するため、通常、ハードウェアで構成される。パケット転送部300は、例えば、FPGA(Field Programmable Gate Array)等で構成されてもよい。
S/W制御部400は、CPU(Control Processing Unit)410と、S/Wメモリ420と、を含む。CPU410は、S/Wメモリ420に格納されたプログラムを実行するプロセッサを含む。S/Wメモリ420は、不揮発性の記憶素子であるROM(Read Only Memory)及び揮発性の記憶素子であるRAM(Random Access Memory)を含む。ROMは、不変のプログラム(例えば、BIOS(Basic Input/Output System))などを格納する。RAMは、DRAMのような高速かつ揮発性の記憶素子であり、プロセッサが実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
S/Wメモリ420は、ホワイトリスト生成プログラム421、転送設定プログラム422、冗長化プロトコル制御プログラム423を含む。
S/Wメモリ420に格納されたプログラムはCPU410(プロセッサ)によって実行されることで、定められた処理を記憶装置及び通信ポート(通信デバイス)等を用いながら行う。従って、本実施例及び他の実施例においてプログラムを主語とする説明は、CPU410を主語とした説明でもよい。若しくは、プログラムが実行する処理は、そのプログラムが動作する計算機及び計算機システムが行う処理である。
S/Wメモリ420は、ホワイトリスト生成プログラム421、転送設定プログラム422、冗長化プロトコル制御プログラム423を含む。
S/Wメモリ420に格納されたプログラムはCPU410(プロセッサ)によって実行されることで、定められた処理を記憶装置及び通信ポート(通信デバイス)等を用いながら行う。従って、本実施例及び他の実施例においてプログラムを主語とする説明は、CPU410を主語とした説明でもよい。若しくは、プログラムが実行する処理は、そのプログラムが動作する計算機及び計算機システムが行う処理である。
CPU410は、プログラムに従って動作することによって、所定の機能を実現する機能部として動作する。例えば、CPU410は、ホワイトリスト生成プログラム421に従って動作することでホワイトリスト生成部として機能し、転送設定プログラム422に従って動作することで転送設定部とし、冗長化プロトコル制御プログラム423に従って動作することで冗長化プロトコル制御部として機能する。さらに、CPU410は、各プログラムが実行する複数の処理のそれぞれを実現する機能部としても動作する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。
ホワイトリスト生成プログラム421は、転送先決定部320から受信した制御情報及びヘッダ情報から、ホワイトリストを生成し、ホワイトリスト格納メモリ310へと書き込む。
転送設定プログラム422は、入出力装置610から入力された転送設定を転送設定メモリ340に書き込む。
冗長化プロトコル制御プログラム423は、後述するリングプロトコルやスパニングツリープロトコルなどのネットワーク冗長化プロトコルに対し、パケット中継装置100がネットワーク内のノードとして動作するためのプログラムであり、各プロトコルに対応した制御パケットの送受信や制御パケット受信時の経路切替などを制御する。
ホワイトリスト生成プログラム421は、転送先決定部320から受信した制御情報及びヘッダ情報から、ホワイトリストを生成し、ホワイトリスト格納メモリ310へと書き込む。
転送設定プログラム422は、入出力装置610から入力された転送設定を転送設定メモリ340に書き込む。
冗長化プロトコル制御プログラム423は、後述するリングプロトコルやスパニングツリープロトコルなどのネットワーク冗長化プロトコルに対し、パケット中継装置100がネットワーク内のノードとして動作するためのプログラムであり、各プロトコルに対応した制御パケットの送受信や制御パケット受信時の経路切替などを制御する。
図2は、ホワイトリスト格納メモリ310に格納されるホワイトリストの一例を示す。図2の例ではホワイトリストはn個のエントリを含む。ホワイトリストの各エントリは、複数のパラメータを含む。当該複数のパラメータそれぞれは、パケット受信部200から受信したパケットから転送先決定部320が抽出した制御情報又はヘッダ情報である。
エントリ700は、ホワイトリストに含まれるエントリの一例である。エントリ700は、例えば、それぞれパケットの制御情報を示すパラメータである、パケット受信部番号701、及びVLAN番号702を含む。エントリ700は、例えば、それぞれパケットのヘッダ情報を示すパラメータである、Souce Mac Address703、Destination Mac Address704、Protocol705、Source IP Address706、Destination IP Address707、Source port番号708、及びDestination Port番号を含む。
パケット受信部番号701は、パケット受信部200それぞれを一意に識別する番号である。パケット受信部番号701により、パケットを受信したパケット受信部200が特定される。VLAN番号702は、パケット受信部200が所属するVLANを一意に識別する番号である。
エントリ700は、ホワイトリストに含まれるエントリの一例である。エントリ700は、例えば、それぞれパケットの制御情報を示すパラメータである、パケット受信部番号701、及びVLAN番号702を含む。エントリ700は、例えば、それぞれパケットのヘッダ情報を示すパラメータである、Souce Mac Address703、Destination Mac Address704、Protocol705、Source IP Address706、Destination IP Address707、Source port番号708、及びDestination Port番号を含む。
パケット受信部番号701は、パケット受信部200それぞれを一意に識別する番号である。パケット受信部番号701により、パケットを受信したパケット受信部200が特定される。VLAN番号702は、パケット受信部200が所属するVLANを一意に識別する番号である。
Source Mac Address703は、パケットの送信元Macアドレスを示す。Destination Mac Address704は、パケットの宛先Macアドレスを示す。protocol705は、プロトコルの種類を示す。Source IP Address706は、パケットの送信元IPアドレスを示す。Destination IP Address707は、パケットの宛先IPアドレスを示す。Source port番号708は、パケットの送信元ポート番号を示す。Destination port番号709は、パケットの宛先ポート番号を示す。
なお、エントリ700は、図2の例に限らず、1種類以上の制御情報を示すパラメータと、複数種類のヘッダ情報を示すパラメータと、を含めばよい。エントリ700は、例えば、前述したヘッダ情報を示すパラメータに加えて又は代えて、TOS(Type Of Service)、フラグ、TTL(Time To Live)、ID、バージョン、及びヘッダ値等のヘッダ情報を含んでもよい。
なお、エントリ700は、図2の例に限らず、1種類以上の制御情報を示すパラメータと、複数種類のヘッダ情報を示すパラメータと、を含めばよい。エントリ700は、例えば、前述したヘッダ情報を示すパラメータに加えて又は代えて、TOS(Type Of Service)、フラグ、TTL(Time To Live)、ID、バージョン、及びヘッダ値等のヘッダ情報を含んでもよい。
図3は、転送設定メモリ340が保持する転送設定情報の一例を示す。転送設定情報は、例えば、転送設定の種別を示す保持情報501、保持情報501の状態を示す保持内容502、及び保持内容502の初期状態を示す初期状態503を含む。図3において、保持内容502を示す各セルには「/」で区切られた複数の値が記載されているが、実際には当該複数の値のいずれか1つが格納される。初期状態503は、対応する保持内容502に記載されている複数の値のいずれか1つを格納する。
以下、転送設定情報に従ったパケット中継装置100の動作の概略の一例を説明する。
転送先決定部320はパケットを受信すると、転送設定メモリ340を参照し、レコード504の保持内容502が、ホワイトリスト機能が有効であるホワイトリストスイッチモードであるか、ホワイトリスト機能が無効であるノーマルスイッチモードであるかを判定する。レコード504の保持内容502がノーマルスイッチモードである場合、転送先決定部320は、受信したパケットのヘッダ情報をキーに転送テーブルメモリ330を検索する。転送先決定部320は、検索結果に従い転送先を決定し、パケットを転送する。レコード504の保持内容502がホワイトリストスイッチモードである場合、転送先決定部320は、転送設定メモリ340を参照し、レコード505の保持内容502が、ホワイトリストを生成する生成状態であるか、ホワイトリストを用いた転送を行う運用状態であるかを判定する。
転送先決定部320はパケットを受信すると、転送設定メモリ340を参照し、レコード504の保持内容502が、ホワイトリスト機能が有効であるホワイトリストスイッチモードであるか、ホワイトリスト機能が無効であるノーマルスイッチモードであるかを判定する。レコード504の保持内容502がノーマルスイッチモードである場合、転送先決定部320は、受信したパケットのヘッダ情報をキーに転送テーブルメモリ330を検索する。転送先決定部320は、検索結果に従い転送先を決定し、パケットを転送する。レコード504の保持内容502がホワイトリストスイッチモードである場合、転送先決定部320は、転送設定メモリ340を参照し、レコード505の保持内容502が、ホワイトリストを生成する生成状態であるか、ホワイトリストを用いた転送を行う運用状態であるかを判定する。
以下、レコード505の保持内容502が生成状態である場合の動作例を説明する。転送先決定部320は、受信したパケットに対して、ノーマルスイッチモードのパケット転送と同様の処理を行いながら、受信したパケットの所定のヘッダ情報及び所定の制御情報を、CPU410が実行するホワイトリスト生成プログラム421に送信する。CPU410は、ホワイトリスト生成プログラム421により、転送先決定部320から受信したパケットのヘッダ情報及び制御情報からホワイトリストを生成し、生成した情報をホワイトリスト格納メモリ310へ書き込む。
以下、レコード505の保持内容502が運用状態である場合の動作例を説明する。転送先決定部320は、パケット受信部200から受信したパケットが、ホワイトリスト格納H/Wメモリ310に格納されたホワイトリストに登録済みか否かを判定する。当該パケットが当該ホワイトリストに登録済みである場合、転送先決定部320は、受信したパケットに対して、ノーマルスイッチモードのパケット転送と同様の処理を行う。
当該パケットが当該ホワイトリストに登録済みでない場合、転送先決定部320は、転送設定メモリ340を参照し、レコード506の保持内容502が示す処理を当該パケットに対して行う。レコードの保持内容502が示す処理は、例えば、当該パケットの廃棄、当該パケットの通過即ち当該パケットに対するノーマルスイッチモードと同様のパケット転送を含む。
以下、レコード505の保持内容502が運用状態である場合の動作例を説明する。転送先決定部320は、パケット受信部200から受信したパケットが、ホワイトリスト格納H/Wメモリ310に格納されたホワイトリストに登録済みか否かを判定する。当該パケットが当該ホワイトリストに登録済みである場合、転送先決定部320は、受信したパケットに対して、ノーマルスイッチモードのパケット転送と同様の処理を行う。
当該パケットが当該ホワイトリストに登録済みでない場合、転送先決定部320は、転送設定メモリ340を参照し、レコード506の保持内容502が示す処理を当該パケットに対して行う。レコードの保持内容502が示す処理は、例えば、当該パケットの廃棄、当該パケットの通過即ち当該パケットに対するノーマルスイッチモードと同様のパケット転送を含む。
なお、転送先決定部320は、パケット受信部200からパケットを受信したときに、転送設定メモリ340のレコード507の保持内容502を参照し、受信したパケットに含まれるパケット受信部番号に対応する値が「対象」であるか「対象外」であるか判定する。受信したパケットに含まれるパケット受信部番号に対応する値が「対象外」である場合、転送先決定部320は、その他の設定情報に関わらず、当該パケットに対して、ノーマルスイッチモードと同様の処理をする。
レコード508については、後述する図9で説明を行う。
レコード508については、後述する図9で説明を行う。
図4は、転送設定プログラム422が入出力装置610から入力を受け付ける転送設定に関する命令一覧の一例を示す。転送設定に関する命令は、例えば、命令の種別を示す命令種別1101、命令種別1101が示す命令による設定内容を示す設定内容1102、及び設定内容1102の初期状態を示す初期状態1103を含む。
レコード1104〜1108が示す命令のそれぞれは、転送設定メモリ340のレコード504〜508それぞれが示す転送設定を変更する命令である。レコード1104〜1108の命令種別1101、設定内容1102、及び初期状態1103それぞれは、転送設定メモリ340のレコード504〜508の保持情報501、保持内容502、及び初期状態503に対応する。
レコード1104〜1108が示す命令のそれぞれは、転送設定メモリ340のレコード504〜508それぞれが示す転送設定を変更する命令である。レコード1104〜1108の命令種別1101、設定内容1102、及び初期状態1103それぞれは、転送設定メモリ340のレコード504〜508の保持情報501、保持内容502、及び初期状態503に対応する。
(2)動作詳細
図15は、本実施例のパケット中継装置100について、外部からのパケットを受信した際の転送設定メモリ340の設定内容による動作について示したフローチャートである。尚、生成状態・運用状態の各処理の詳細については後述とする。
パケット中継装置100のパケット受信部200のいずれかがパケットを受信すると、受信パケットに前述のような制御情報を付加し、転送先決定部320へと送信する(ステップ2301)。パケットを受信した転送先決定部320は、転送設定メモリ340のレコード504の保持情報502を確認し、ホワイトリストの機能状態がホワイトリストスイッチモードか、ノーマルスイッチモードかを判定する (ステップ2302)。
以下、ステップ2302でホワイトリストスイッチモードと判定された場合を説明する。転送先決定部320は、転送設定メモリ340のレコード505の保持情報502を確認し、ホワイトリストを生成する生成状態であるか、ホワイトリストを用いた転送を行う運用状態であるかを判定する(ステップ2303)。判定の結果、生成状態である場合には、後述する図7のステップ1501へと移行し、ホワイトリストの自動生成を実施する。万一、判定の結果、運用状態である場合には、後述する図8のステップ1601へと移行し、生成されたホワイトリストに基づく通信制御を実施する。
尚、ホワイトリストの生成状態、運用状態については、例えば、前述の通り入出力装置610から管理者等による入力によって変更されるものである。生成状態についてはネットワーク構築時などの無菌期間を想定しており、無菌期間に正常な通信を実施させ、ホワイトリストを自動生成させた後、管理者等によって運用状態へと遷移させることを想定している。
以下、ステップ2302でノーマルスイッチモードと判定された場合を説明する。
転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、転送先を決定する(ステップ2304)。転送先決定部320で送信先を決定されたパケットは、パケット送信部500のいずれかから送信され(ステップ2305)、処理を終える。
図15は、本実施例のパケット中継装置100について、外部からのパケットを受信した際の転送設定メモリ340の設定内容による動作について示したフローチャートである。尚、生成状態・運用状態の各処理の詳細については後述とする。
パケット中継装置100のパケット受信部200のいずれかがパケットを受信すると、受信パケットに前述のような制御情報を付加し、転送先決定部320へと送信する(ステップ2301)。パケットを受信した転送先決定部320は、転送設定メモリ340のレコード504の保持情報502を確認し、ホワイトリストの機能状態がホワイトリストスイッチモードか、ノーマルスイッチモードかを判定する (ステップ2302)。
以下、ステップ2302でホワイトリストスイッチモードと判定された場合を説明する。転送先決定部320は、転送設定メモリ340のレコード505の保持情報502を確認し、ホワイトリストを生成する生成状態であるか、ホワイトリストを用いた転送を行う運用状態であるかを判定する(ステップ2303)。判定の結果、生成状態である場合には、後述する図7のステップ1501へと移行し、ホワイトリストの自動生成を実施する。万一、判定の結果、運用状態である場合には、後述する図8のステップ1601へと移行し、生成されたホワイトリストに基づく通信制御を実施する。
尚、ホワイトリストの生成状態、運用状態については、例えば、前述の通り入出力装置610から管理者等による入力によって変更されるものである。生成状態についてはネットワーク構築時などの無菌期間を想定しており、無菌期間に正常な通信を実施させ、ホワイトリストを自動生成させた後、管理者等によって運用状態へと遷移させることを想定している。
以下、ステップ2302でノーマルスイッチモードと判定された場合を説明する。
転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、転送先を決定する(ステップ2304)。転送先決定部320で送信先を決定されたパケットは、パケット送信部500のいずれかから送信され(ステップ2305)、処理を終える。
以下、本実施例のパケット中継装置100を複数台配置し、冗長プロトコルの一例としてリングプロトコルを使用した場合の動作について記載する。リングプロトコルは、ネットワークスイッチをリング状に接続したネットワークで使われるレイヤー2のネットワークの冗長化プロトコルである。専用の制御用パケットを使ってリング状のネットワークの状態を監視し,障害や障害復旧などの状態の変化を検出すると、通信経路を切り替えるという機能を実現する。リングプロトコルについて、一例として、以降は非特許文献1に記載の動作をするものとし、用語についても非特許文献1の「1.3用語解説」にて使用されている用語を使用して説明を行う。但し、「1.3用語解説」にて説明されているリングポート以外のパケット受信部・パケット送信部をエッジポートと呼ぶものとする。
図5Aは、パケット中継装置を複数配置し、リング状の構成を組んだ場合の構成図の例である。以下、パケット中継装置101〜104を本実施例のパケット中継装置として説明を行う。パケット中継装置101〜104は、各々パケット受信部200及びパケット送信部500で接続され、リングプロトコルで動作している。
なお、図5Aでは以降パケット受信部200及びパケット送信部500が一体化したパケット送受信部であるものとして説明を行う。図5Aの参照番号121〜128及び131〜136が、パケット送受信部である。また、パケット中継装置101はパケットの送受信を行う端末111及びネットワーク110とも、接続されている。パケット中継装置102はパケットの送受信を行う端末112と接続され、パケット中継装置103はパケットの送受信を行う端末113、114と接続され、中継装置104はパケットの送受信を行う端末115と接続されている。端末111〜115は、端末間での通信に加え、ネットワーク110を介してサーバ140とも通信を実施することができる。
パケット送受信部121〜128はリングポート(図中、白丸)であり、パケット送受信部131〜136はエッジポート(図中、黒丸)である。マスタノードはパケット中継装置101であり、パケット送受信部121をプライマリポート、パケット送受信部122をセカンダリポートとする。リングプロトコルではプライマリポートは障害の有無に関わらず通信パケットの送受信を実施する。セカンダリポートはネットワークが正常に動作している間はパケットの送受信を行わず、障害発生時にはパケットの送受信を実施する。パケット中継装置102〜104はトランジットノードである。
パケット中継装置101から送出されるヘルスチェックフレームやフラッシュ制御フレームについては、冗長化プロトコル制御プログラム423に従って動作しているCPU410によって生成されパケット送受信部121及び122から送信される。
なお、図5Aでは以降パケット受信部200及びパケット送信部500が一体化したパケット送受信部であるものとして説明を行う。図5Aの参照番号121〜128及び131〜136が、パケット送受信部である。また、パケット中継装置101はパケットの送受信を行う端末111及びネットワーク110とも、接続されている。パケット中継装置102はパケットの送受信を行う端末112と接続され、パケット中継装置103はパケットの送受信を行う端末113、114と接続され、中継装置104はパケットの送受信を行う端末115と接続されている。端末111〜115は、端末間での通信に加え、ネットワーク110を介してサーバ140とも通信を実施することができる。
パケット送受信部121〜128はリングポート(図中、白丸)であり、パケット送受信部131〜136はエッジポート(図中、黒丸)である。マスタノードはパケット中継装置101であり、パケット送受信部121をプライマリポート、パケット送受信部122をセカンダリポートとする。リングプロトコルではプライマリポートは障害の有無に関わらず通信パケットの送受信を実施する。セカンダリポートはネットワークが正常に動作している間はパケットの送受信を行わず、障害発生時にはパケットの送受信を実施する。パケット中継装置102〜104はトランジットノードである。
パケット中継装置101から送出されるヘルスチェックフレームやフラッシュ制御フレームについては、冗長化プロトコル制御プログラム423に従って動作しているCPU410によって生成されパケット送受信部121及び122から送信される。
図5Aのネットワークに障害がない状態で、各パケット中継装置101〜104がノーマルスイッチモードで動作している場合に、端末112から端末111を宛先にしたパケットを送信する場合、中継装置102のパケット送受信部133でパケットを受信後、転送先決定部320にて転送テーブルメモリ330内の情報を参照し、パケットの送信を実施しようとするが、初期状態では転送テーブルメモリ330に宛先の情報が存在しないため、一般的なレイヤ2通信で使用されるパケットのフラッディングが実施されると同時に転送テーブルメモリ330に端末112が持つMAC ADDRESSを端末112が接続されているパケット送受信部133番号と組にして保存する。説明のため、今後は端末112が持つMAC ADDRESSはAという記号で記載する。
フラッディングされたパケットはパケット中継装置101のパケット送受信部122及びパケット中継装置103のパケット送受信部125で受信されるが、パケット送受信部122についてセカンダリポートのため受信パケットは廃棄される。パケット中継装置103のパケット送受信部125で受信されたパケットは中継装置102と同様フラッディング及び転送テーブルメモリ330への情報保存を実施し、その後フラッディング及び転送テーブルメモリ330への情報保存を繰り返し、最終的にパケット中継装置101のパケット送受信部131から送出され、端末111に到達する。
フラッディングされたパケットはパケット中継装置101のパケット送受信部122及びパケット中継装置103のパケット送受信部125で受信されるが、パケット送受信部122についてセカンダリポートのため受信パケットは廃棄される。パケット中継装置103のパケット送受信部125で受信されたパケットは中継装置102と同様フラッディング及び転送テーブルメモリ330への情報保存を実施し、その後フラッディング及び転送テーブルメモリ330への情報保存を繰り返し、最終的にパケット中継装置101のパケット送受信部131から送出され、端末111に到達する。
図6A_101〜図6A_104は、端末112から端末111を宛先にしたパケットの送信を実施した後の、パケット中継装置101〜104それぞれの転送テーブルメモリ330に保存されている情報の一例を示している。端末112が持つパケット送受信部番号1201及び送信元1202を1組の情報として持ち、どの送信元がどのパケット送受信部と接続されているかを示している。以降、端末111から端末112への通信は図6A_101〜図6A_104の情報により、フラッディングを行うことなく、実施される。
上述の通信を実施した後、図5Bで示すようにパケット送受信部124と125を接続しているケーブルが何らかの理由で切断された場合、マスタノードから送出されているヘルスチェックフレームの到達性がなくなることにより、マスタノードからフラッシュ制御フレームが送信され、パケット中継装置101〜104内の各転送テーブルメモリ330内のMac Addressとパケット送受信部の情報が削除される。さらに、マスタノードは、セカンダリポートであるパケット受信部122の通信不可状態を解除し、通信を継続させるようにする。
例えば、端末112から端末111を宛先にしたパケットは、パケット中継装置102のパケット送受信部133で受信後、転送先決定部320にて転送テーブルメモリ330内の情報を参照し、パケットの送信を実施しようとするが、フラッシュ制御フレームにより図6A_101〜図6A_104で記載した転送テーブルメモリ330内の情報は削除されているため、一般的なレイヤ2通信で使用されるパケットのフラッディングが実施されると同時に転送テーブルメモリ330に端末112がパケット送受信部133に接続されていると言う情報を再度保存する。
パケット送受信部124はリンクがダウンしているため、パケットはパケット中継装置103には到達しないが、パケット中継装置101のパケット送受信部122で受信され、パケット中継装置101でフラッディングされることにより、端末111へと到達する。
上述の通信を実施した後、図5Bで示すようにパケット送受信部124と125を接続しているケーブルが何らかの理由で切断された場合、マスタノードから送出されているヘルスチェックフレームの到達性がなくなることにより、マスタノードからフラッシュ制御フレームが送信され、パケット中継装置101〜104内の各転送テーブルメモリ330内のMac Addressとパケット送受信部の情報が削除される。さらに、マスタノードは、セカンダリポートであるパケット受信部122の通信不可状態を解除し、通信を継続させるようにする。
例えば、端末112から端末111を宛先にしたパケットは、パケット中継装置102のパケット送受信部133で受信後、転送先決定部320にて転送テーブルメモリ330内の情報を参照し、パケットの送信を実施しようとするが、フラッシュ制御フレームにより図6A_101〜図6A_104で記載した転送テーブルメモリ330内の情報は削除されているため、一般的なレイヤ2通信で使用されるパケットのフラッディングが実施されると同時に転送テーブルメモリ330に端末112がパケット送受信部133に接続されていると言う情報を再度保存する。
パケット送受信部124はリンクがダウンしているため、パケットはパケット中継装置103には到達しないが、パケット中継装置101のパケット送受信部122で受信され、パケット中継装置101でフラッディングされることにより、端末111へと到達する。
図6B_101〜図6B_104は、図5Bの状態で、端末112から端末111を宛先にしたパケットの送信を実施した後の、パケット中継装置101〜104それぞれの転送テーブルメモリ330に保存されている情報の一例を示している。上述の動作により、リングプロトコルにはネットワーク上のいずれかのポイントで障害が発生した場合にも、通信を継続させる効果がある。
特許文献1や特許文献2の技術を用いて、前述した構成のネットワークの通信をホワイトリスト化するためには、前述した通信の経路切替に対応するため、各パケット中継装置101〜104の各パケット受信部について、経路が切り替わる可能性のある通信の全てをホワイトリストに設定するか、ホワイトリストの生成状態中に全ての障害パターンを実施し、登録をしなければならない。図5Aや図5Bのような簡易なリング構成でも障害のパターンは複数存在する。リング構成が重複するマルチリング構成等になると、さらに障害のパターン、経路切替のパターンは増加するため、従来技術ではホワイトリスト機能を使用しながら、ネットワークの経路冗長を実施することは実質不可能であると想定される。
本実施例では、図5A、図5Bのパケット中継装置101〜104について、例えば、入出力装置610による転送設定に関する命令に従い設定された転送設定メモリ340のレコード507の保持内容502の値によって、ホワイトリストを生成し、ホワイトリストの生成及び制御の対象となるパケット受信部200と、ホワイトリストの生成を行わず、ホワイトリストの生成及び制御の対象外となるパケット受信部200を選択できる。
図5A、図5Bにおいて、エッジポート(黒丸)であるパケット送受信部131〜136はホワイトリストの生成及び制御の対象とし、リングポート(白丸)であるパケット送受信部121〜128はホワイトリストの生成及び制御の対象外とする値を設定する。パケット送受信部131〜136をホワイトリストの生成及び制御の対象とすることで、接続される端末111〜115やサーバ140の通信をホワイトリスト化し、ネットワーク110経由及び内部から不正通信を遮断することができる。さらに、パケット送受信部121〜128はホワイトリストの生成及び制御の対象外とすることにより、図5Bで示した断線時の通信路変更に対応することも出来る。
本実施例では、図5A、図5Bのパケット中継装置101〜104について、例えば、入出力装置610による転送設定に関する命令に従い設定された転送設定メモリ340のレコード507の保持内容502の値によって、ホワイトリストを生成し、ホワイトリストの生成及び制御の対象となるパケット受信部200と、ホワイトリストの生成を行わず、ホワイトリストの生成及び制御の対象外となるパケット受信部200を選択できる。
図5A、図5Bにおいて、エッジポート(黒丸)であるパケット送受信部131〜136はホワイトリストの生成及び制御の対象とし、リングポート(白丸)であるパケット送受信部121〜128はホワイトリストの生成及び制御の対象外とする値を設定する。パケット送受信部131〜136をホワイトリストの生成及び制御の対象とすることで、接続される端末111〜115やサーバ140の通信をホワイトリスト化し、ネットワーク110経由及び内部から不正通信を遮断することができる。さらに、パケット送受信部121〜128はホワイトリストの生成及び制御の対象外とすることにより、図5Bで示した断線時の通信路変更に対応することも出来る。
図7は、図15のステップ2303において、生成状態であると判定された場合の動作を説明したフローチャートの一例である。
パケットを受信した転送先決定部320は、転送設定メモリ340のレコード507の保持情報502を確認し、制御情報内にあるパケット受信部200の番号がホワイトリストの生成及び制御の対象か否かを判定する(ステップ1502)。
以下、ステップ1502での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象である場合を説明する。転送先決定部320は、受信パケットのヘッダ部分及び制御情報をS/W制御部400へと送信する(ステップ1503)。受信パケットのヘッダ部分及び制御情報を受信したS/W制御部400は、CPU410は、その内部に存在するプロセッサをホワイトリスト生成部として動作させ、ヘッダ部分及び制御情報により、図2に記載の情報に従いホワイトリストを生成する(ステップ1504)。さらに、ホワイトリスト生成部として動作しているCPU410は、ホワイトリスト格納メモリ340へと生成したホワイトリストの書き込みを実施する(ステップ1505)。そして、転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、転送先を決定する(ステップ1506)。パケット転送部300は、転送先決定部320で送信先を決定されたパケットを、パケット送信部500のいずれかから送信し(ステップ1507)、処理を終える。
転送先決定部320は、ステップ1502での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象外である場合は、ホワイトリストの生成処理を実施せず、前述したステップ1506、1507の処理を実施し、処理を終える。
パケットを受信した転送先決定部320は、転送設定メモリ340のレコード507の保持情報502を確認し、制御情報内にあるパケット受信部200の番号がホワイトリストの生成及び制御の対象か否かを判定する(ステップ1502)。
以下、ステップ1502での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象である場合を説明する。転送先決定部320は、受信パケットのヘッダ部分及び制御情報をS/W制御部400へと送信する(ステップ1503)。受信パケットのヘッダ部分及び制御情報を受信したS/W制御部400は、CPU410は、その内部に存在するプロセッサをホワイトリスト生成部として動作させ、ヘッダ部分及び制御情報により、図2に記載の情報に従いホワイトリストを生成する(ステップ1504)。さらに、ホワイトリスト生成部として動作しているCPU410は、ホワイトリスト格納メモリ340へと生成したホワイトリストの書き込みを実施する(ステップ1505)。そして、転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、転送先を決定する(ステップ1506)。パケット転送部300は、転送先決定部320で送信先を決定されたパケットを、パケット送信部500のいずれかから送信し(ステップ1507)、処理を終える。
転送先決定部320は、ステップ1502での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象外である場合は、ホワイトリストの生成処理を実施せず、前述したステップ1506、1507の処理を実施し、処理を終える。
図8は、図15のステップ2303において、運用状態と判定された場合の動作を説明したフローチャートの一例である。
パケットを受信した転送先決定部320は、転送設定メモリ340のレコード507の保持情報502を確認し、制御情報内にあるパケット受信部200の番号がホワイトリストの生成部及び制御の対象か否かを判定する(ステップ1602)。
以下、ステップ1602での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象である場合を説明する。パケットを受信した転送先決定部320は、ホワイトリスト格納メモリ310内を検索する(ステップ1603)。そして、受信したパケットが持つヘッダ情報及び制御情報が、ホワイトリスト格納メモリ310に格納されており、HITしたか否かを判定する(ステップ1604)。
以下、ステップ1604で検索HITした場合を説明する。転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、送信先を決定する(ステップ1605)。パケット転送部300は、パケット転送部300で送信先を決定されたパケットを、パケット送信部500のいずれかから送信し(ステップ1606)、処理を終える。
以下、ステップ1604で検索HITしなかった場合を説明する。転送先決定部320は、設定転送メモリ340内のレコード506の保持情報502を確認し、保持情報502が廃棄か通過かを判別する(ステップ1607)。ステップ1607で通過と判定された場合、ステップ1605へと移る。ステップ1607で廃棄と判定された場合、転送先決定部320は、パケットを廃棄し(ステップ1608)、処理を終える。
ステップ1602での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象外である場合は、ホワイトリスト格納メモリ340の検索を実施せず、前述したステップ1605、1606の処理を実施し、処理を終える。
パケットを受信した転送先決定部320は、転送設定メモリ340のレコード507の保持情報502を確認し、制御情報内にあるパケット受信部200の番号がホワイトリストの生成部及び制御の対象か否かを判定する(ステップ1602)。
以下、ステップ1602での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象である場合を説明する。パケットを受信した転送先決定部320は、ホワイトリスト格納メモリ310内を検索する(ステップ1603)。そして、受信したパケットが持つヘッダ情報及び制御情報が、ホワイトリスト格納メモリ310に格納されており、HITしたか否かを判定する(ステップ1604)。
以下、ステップ1604で検索HITした場合を説明する。転送先決定部320は、転送テーブルメモリ330を受信パケットのヘッダ部分及び制御情報をキーに検索し、送信先を決定する(ステップ1605)。パケット転送部300は、パケット転送部300で送信先を決定されたパケットを、パケット送信部500のいずれかから送信し(ステップ1606)、処理を終える。
以下、ステップ1604で検索HITしなかった場合を説明する。転送先決定部320は、設定転送メモリ340内のレコード506の保持情報502を確認し、保持情報502が廃棄か通過かを判別する(ステップ1607)。ステップ1607で通過と判定された場合、ステップ1605へと移る。ステップ1607で廃棄と判定された場合、転送先決定部320は、パケットを廃棄し(ステップ1608)、処理を終える。
ステップ1602での判定の結果、受信パケットの制御情報に含まれるパケット受信部200の番号がホワイトリストの生成及び制御の対象外である場合は、ホワイトリスト格納メモリ340の検索を実施せず、前述したステップ1605、1606の処理を実施し、処理を終える。
図5Aのネットワーク構成において、本実施例におけるパケット中継装置101〜104の転送設定メモリ340のレコード504の保持内容502をホワイトリストスイッチモードとし、レコード505の保持内容502を生成状態とし、レコード507の保持内容502を、エッジポートであるパケット送受信部131〜136はホワイトリストの生成及び制御の対象とし、リングポートであるパケット送受信部121〜128はホワイトリストの生成及び制御の対象外とする値を設定した場合に、端末112から端末111への通信を実施した際は、ホワイトリストの生成処理が行われるのはパケット中継装置102のパケット送受信部133でパケットを受信した場合のみである。端末112から送信されたパケットは前述したようにパケット中継装置103のパケット送受信部125、パケット中継装置104のパケット送受信部127、パケット中継装置101のパケット送受信部121で受信されるが、いずれのパケット送受信部についても前述したとおりホワイトリストの生成及び制御の対象外であり、ホワイトリストの生成は実施されない。
前述のように端末112から端末111への通信を実施した後、例えば、入出力装置610等により、本実施例におけるパケット中継装置101〜104の転送設定メモリ340のレコード505の保持内容502を運用状態とし、さらに図5Bの障害状態に陥ったとしても、端末112から端末111への通信はパケット受信部133でホワイトリストによる通信制御を実施しながら、前述した経路切替後の経路にも対応することができる。
前述のように端末112から端末111への通信を実施した後、例えば、入出力装置610等により、本実施例におけるパケット中継装置101〜104の転送設定メモリ340のレコード505の保持内容502を運用状態とし、さらに図5Bの障害状態に陥ったとしても、端末112から端末111への通信はパケット受信部133でホワイトリストによる通信制御を実施しながら、前述した経路切替後の経路にも対応することができる。
なお、上述について、一例としてリングプロトコルを記載しているが、スパニングツリープロトコルについても、ネットワークの構成時のトポロジ計算や障害発生時のトポロジ再構築の方式がリングプロトコルとは異なるものの、経路切替が発生する可能性のあるパケット送受信部(非特許文献2記載の指定ポート・非指定ポート)と経路切替が発生し得ないパケット送受信部(非特許文献2記載のエッジポート)というわけ方で設定を実施すれば、本実施例が適用可能である。
図14は、スパニングツリーを使用してネットワークを構成した際の構成図の一例である。図14では、パケット中継装置2201〜2205によりネットワークが構成されており、各パケット中継装置2201〜2205がスパニングツリープロトコルにより動作している。各パケット中継装置2201〜2205はパケット送受信部2211〜2222で接続されており、パケット送受信部2211〜2222が前述した経路切替が発生する可能性のあるパケット送受信部となる。また、ネットワーク上には端末2301〜2304が各々パケット中継装置2202、2204、2205のパケット送受信部2231〜2234に接続されており、パケット送受信部2231〜2234が前述した経路切替が発生し得ないパケット送受信部となる。
(3)リンクダウン時の閉塞
また、本実施例のパケット中継装置100で構成されるリングのネットワークが設置されている場所に悪意あるユーザが侵入し、非正規の端末を本実施例のパケット中継装置100に接続し通信を実施しようとした際、リングポートであるパケット受信部200についてはホワイトリストの生成及び制御の対象外となっているため、非正規の端末を接続しても通信が可能な状態になっている。その対策として、本実施例のパケット中継装置には、ホワイトリストの生成及び制御の対象外となっているパケット受信部200について、リンクダウン時に閉塞を行う機能を持たせることができる(詳細は、後述の図9等参照)。悪意あるユーザが非正規の端末をリングポートに接続しようとする場合、各パケット中継装置100間を接続しているケーブルを一度抜去することになり、必ずリンクダウンを伴う。前述したとおり転送設定メモリ340のレコード508の保持内容502の設定状態により、リンクダウン発生時にはパケット受信部を閉塞することができるため、ホワイトリスト対象外のパケット受信部についても、セキュリティを確保することができる。
また、本実施例のパケット中継装置100で構成されるリングのネットワークが設置されている場所に悪意あるユーザが侵入し、非正規の端末を本実施例のパケット中継装置100に接続し通信を実施しようとした際、リングポートであるパケット受信部200についてはホワイトリストの生成及び制御の対象外となっているため、非正規の端末を接続しても通信が可能な状態になっている。その対策として、本実施例のパケット中継装置には、ホワイトリストの生成及び制御の対象外となっているパケット受信部200について、リンクダウン時に閉塞を行う機能を持たせることができる(詳細は、後述の図9等参照)。悪意あるユーザが非正規の端末をリングポートに接続しようとする場合、各パケット中継装置100間を接続しているケーブルを一度抜去することになり、必ずリンクダウンを伴う。前述したとおり転送設定メモリ340のレコード508の保持内容502の設定状態により、リンクダウン発生時にはパケット受信部を閉塞することができるため、ホワイトリスト対象外のパケット受信部についても、セキュリティを確保することができる。
図9は、本実施例におけるパケット中継装置100の転送設定メモリ340のレコード504の保持内容502がホワイトリストスイッチモードであり且つホワイトリストの対象外となっているパケット受信部200がリンクダウンを検出した際のフローチャートである。尚、リンクダウンについては、パケット中継装置100は、一般的な通信装置であれば、パケット受信部200等によりリンク状態を監視しており、リンクダウン時にそれを検出できるものである。
パケット受信部200は、リンクダウンを検出すると、リンクダウンしたパケット受信部番号をリンクダウン情報としてパケット転送部300へと通知する(ステップ1701)。リンクダウン情報を受信したパケット転送部300は、リンクダウンを検出した当該のパケット受信部200がホワイトリストの生成及び制御の対象か、対象外かを転送設定メモリ340のレコード507の保持内容502を確認することにより判別する(ステップ1702)。ステップ1702でホワイトリストの生成及び制御の対象と判別された場合は、パケット転送部300は、処理を終える。
パケット受信部200は、リンクダウンを検出すると、リンクダウンしたパケット受信部番号をリンクダウン情報としてパケット転送部300へと通知する(ステップ1701)。リンクダウン情報を受信したパケット転送部300は、リンクダウンを検出した当該のパケット受信部200がホワイトリストの生成及び制御の対象か、対象外かを転送設定メモリ340のレコード507の保持内容502を確認することにより判別する(ステップ1702)。ステップ1702でホワイトリストの生成及び制御の対象と判別された場合は、パケット転送部300は、処理を終える。
以下、ステップ1702でホワイトリストの生成及び制御の対象外と判別された場合について説明する。パケット転送部300では、リンクダウンを検出した当該のパケット受信部200がリンクダウン時に当該のパケット受信部200の閉塞を実施する設定になっているか否かを、転送設定メモリ340のレコード508の保持内容502から判別する (ステップ1703)。ステップ1703で閉塞を実施する設定ではないと判別された場合は、パケット転送部300は、処理を終える。
以下、ステップ1703で閉塞を実施する設定になっていると判別された場合について説明する。パケット転送部300は、リンクダウン情報をS/W制御部400に通知する (ステップ1704)。通知を受信したS/W制御部400では、転送設定部として動作しているCPU410から当該のパケット受信部200の閉塞を実施する(ステップ1705)。この時転送設定部として動作しているCPU410は、閉塞したパケット受信部番号を保持し、転送設定メモリ340のレコード508の保持内容502について、当該のパケット受信部200の閉塞設定が入出力装置610等により非実施に変更されるまで閉塞状態を維持する。なお、当該のパケット受信部200は、当該のパケット受信部200のリンクアップを検出しても閉塞状態を変更しない。入出力装置610等により、当該のパケット受信部200の閉塞設定が非実施状態に変更された際には、CPU410が保持している閉塞状態のパケット受信部番号を確認し、閉塞状態となっている場合には当該のパケット受信部200の閉塞状態を解除する。
なお、ホワイトリストの生成及び制御の対象のパケット受信部200については、リンクダウンを検出すると、そのパケット受信部200の状態を閉塞に変更し、そのパケット受信部200のリンクアップを検出すると、そのパケット受信部200の状態を開放に変更する。
以下、ステップ1703で閉塞を実施する設定になっていると判別された場合について説明する。パケット転送部300は、リンクダウン情報をS/W制御部400に通知する (ステップ1704)。通知を受信したS/W制御部400では、転送設定部として動作しているCPU410から当該のパケット受信部200の閉塞を実施する(ステップ1705)。この時転送設定部として動作しているCPU410は、閉塞したパケット受信部番号を保持し、転送設定メモリ340のレコード508の保持内容502について、当該のパケット受信部200の閉塞設定が入出力装置610等により非実施に変更されるまで閉塞状態を維持する。なお、当該のパケット受信部200は、当該のパケット受信部200のリンクアップを検出しても閉塞状態を変更しない。入出力装置610等により、当該のパケット受信部200の閉塞設定が非実施状態に変更された際には、CPU410が保持している閉塞状態のパケット受信部番号を確認し、閉塞状態となっている場合には当該のパケット受信部200の閉塞状態を解除する。
なお、ホワイトリストの生成及び制御の対象のパケット受信部200については、リンクダウンを検出すると、そのパケット受信部200の状態を閉塞に変更し、そのパケット受信部200のリンクアップを検出すると、そのパケット受信部200の状態を開放に変更する。
C.実施例2
本実施例は、実施例1の通信装置について、転送設定メモリ340が保持する転送設定情報を一部変更した変形例である。
図10は、本実施例におけるパケット中継装置の転送設定メモリ340が保持する転送設定情報の一例を示している。
この転送設定情報において、保持情報1801、保持内容1802、初期状態1803及びレコード1804〜1806については、実施例1の保持情報501、保持内容502、初期状態503及びレコード504〜506と同様である。レコード1807については、保持内容1802の値に従い、冗長化プロトコルを使用したネットワークを構築している際に、経路の切替が発生した場合にホワイトリストの再生成(再学習)を実施するか否かの判別に使用する。
レコード1808については、レコード1807の保持内容1802の値が再生成であるパケット受信部について、後述するレコード1809の保持内容1802の値が再生成状態である場合に、当該のパケット受信部200がリンクダウンした場合、当該のパケット受信部200を閉塞状態にするか否かの判別に使用する。
レコード1809については、ホワイトリストの再生成状態の設定であり、保持内容502に再生成状態、もしくは運用状態のいずれかを保持する。
本実施例は、実施例1の通信装置について、転送設定メモリ340が保持する転送設定情報を一部変更した変形例である。
図10は、本実施例におけるパケット中継装置の転送設定メモリ340が保持する転送設定情報の一例を示している。
この転送設定情報において、保持情報1801、保持内容1802、初期状態1803及びレコード1804〜1806については、実施例1の保持情報501、保持内容502、初期状態503及びレコード504〜506と同様である。レコード1807については、保持内容1802の値に従い、冗長化プロトコルを使用したネットワークを構築している際に、経路の切替が発生した場合にホワイトリストの再生成(再学習)を実施するか否かの判別に使用する。
レコード1808については、レコード1807の保持内容1802の値が再生成であるパケット受信部について、後述するレコード1809の保持内容1802の値が再生成状態である場合に、当該のパケット受信部200がリンクダウンした場合、当該のパケット受信部200を閉塞状態にするか否かの判別に使用する。
レコード1809については、ホワイトリストの再生成状態の設定であり、保持内容502に再生成状態、もしくは運用状態のいずれかを保持する。
図11は、転送設定プログラム422が入出力装置610から入力を受け付ける転送設定に関する命令一覧の一例を示す。この転送設定に関する命令において、命令種別1901、設定内容1902、初期状態1903及びレコード1904〜1906については実施例1の命令種別1101、設定内容1102、初期状態1103及びレコード1104〜1106同様であり、レコード1907〜1909は、それぞれ転送設定情報のレコード1807〜1809の保持内容1802を設定する命令である。
尚、本実施例においては実施例1の図3のレコード507及び図4のレコード1107で記載したホワイトリスト対象・対象外の設定についても、図10及び図11にレコードを追加してもよい。その場合は、図7及び図8の各フローチャートを用いることができる。但し、ここでは、一例として、全てのパケット受信部をホワイトリストの生成及び制御の対象としたものとして説明を行うため、図10及び図11には記載しない。そのため、ホワイトリストの生成状態・運用状態については、実施例1の図7及び図8にて説明したホワイトリスト生成状態・運用状態のフローチャートにおいて、パケット受信部200についてのホワイトリストの生成及び制御の対象・対象外の判定をなくし(ステップ1502、1602)、全てのパケット受信部200についてホワイトリストの生成及び制御の対象として動作するフローチャートとなる。
尚、本実施例においては実施例1の図3のレコード507及び図4のレコード1107で記載したホワイトリスト対象・対象外の設定についても、図10及び図11にレコードを追加してもよい。その場合は、図7及び図8の各フローチャートを用いることができる。但し、ここでは、一例として、全てのパケット受信部をホワイトリストの生成及び制御の対象としたものとして説明を行うため、図10及び図11には記載しない。そのため、ホワイトリストの生成状態・運用状態については、実施例1の図7及び図8にて説明したホワイトリスト生成状態・運用状態のフローチャートにおいて、パケット受信部200についてのホワイトリストの生成及び制御の対象・対象外の判定をなくし(ステップ1502、1602)、全てのパケット受信部200についてホワイトリストの生成及び制御の対象として動作するフローチャートとなる。
図12は、本実施例のパケット中継装置100における、ネットワーク障害発生時の経路切替時の動作を示すフローチャートである。
本実施例のパケット中継装置100がネットワークの障害を検知すると、CPU410は、ホワイトリスト生成部により、転送設定メモリ340のレコード1807の保持内容1802を取得し、ホワイトリスト格納メモリ310に格納されているホワイトリストの中で、図2のエントリ701のパケット受信番号と、取得した転送設定メモリ340のレコード1807の保持内容1802の中で、再生成の値を持つひとつまたは複数のパケット受信部200の番号と一致するエントリを削除する(ステップ2001)。該当する全てのエントリの削除が完了したら、ホワイトリスト生成部から転送設定メモリ340のレコード1809の保持内容1802を再生成状態へと変更する(ステップ2002)。
本実施例のパケット中継装置100がネットワークの障害を検知すると、CPU410は、ホワイトリスト生成部により、転送設定メモリ340のレコード1807の保持内容1802を取得し、ホワイトリスト格納メモリ310に格納されているホワイトリストの中で、図2のエントリ701のパケット受信番号と、取得した転送設定メモリ340のレコード1807の保持内容1802の中で、再生成の値を持つひとつまたは複数のパケット受信部200の番号と一致するエントリを削除する(ステップ2001)。該当する全てのエントリの削除が完了したら、ホワイトリスト生成部から転送設定メモリ340のレコード1809の保持内容1802を再生成状態へと変更する(ステップ2002)。
図13は、本実施例におけるパケット中継装置100の転送設定メモリ340のレコード1804の保持内容1802がホワイトリストスイッチモードであり且つレコード1805の保持内容1802が運用状態である場合の動作を説明したフローチャートの一例である。
パケット中継装置100のパケット受信部200のいずれかがパケットを受信すると、その受信部200は、受信パケットに制御情報を付加し、転送先決定部320へと送信する(ステップ2101)。パケットを受信した転送先決定部320は、転送設定メモリ340内の情報を確認し、レコード1809の保持情報1802が再生成状態であり且つ、制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成であるか否かを判別する(ステップ2102)。
ステップ2102でレコード1809の保持情報1802が再生成状態であり且つ、制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成であると判別された場合は、実施例1の図7のステップ1503へと移行し、CPU410は、ホワイトリストの生成を実施する。
ステップ2102でレコード1809の保持情報1802が再生成状態でない、もしくは制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成無しであると判別された場合は、実施例1の図8のステップ1603へと移行し、転送先設定部320は、ホワイトリストに基づいた通信制御を実施する。
パケット中継装置100のパケット受信部200のいずれかがパケットを受信すると、その受信部200は、受信パケットに制御情報を付加し、転送先決定部320へと送信する(ステップ2101)。パケットを受信した転送先決定部320は、転送設定メモリ340内の情報を確認し、レコード1809の保持情報1802が再生成状態であり且つ、制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成であるか否かを判別する(ステップ2102)。
ステップ2102でレコード1809の保持情報1802が再生成状態であり且つ、制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成であると判別された場合は、実施例1の図7のステップ1503へと移行し、CPU410は、ホワイトリストの生成を実施する。
ステップ2102でレコード1809の保持情報1802が再生成状態でない、もしくは制御情報内にあるパケット受信部200について、レコード1807の保持情報1802の値が再生成無しであると判別された場合は、実施例1の図8のステップ1603へと移行し、転送先設定部320は、ホワイトリストに基づいた通信制御を実施する。
例えば、図5Aのネットワーク構成において、本実施例におけるパケット中継装置101〜104を配置し、転送設定メモリ340のレコード1805の保持内容1802を生成状態とし、レコード1807の保持内容1802を、エッジポート(黒丸)であるパケット送受信部131〜136は再生成無しとし、リングポート(白丸)であるパケット送受信部121〜128は再生成とする値を設定した場合に、端末112から端末111への通信を実施した際は、ホワイトリストの生成処理はパケット送受信部133、125、127、121でパケットを受信した場合に実施される。
端末112から端末111への通信を実施した後、本実施例におけるパケット中継装置101〜104の転送設定メモリ340のレコード505の保持内容502を運用状態とし、さらに図5Bの障害状態に陥った場合、フラッシュ制御フレームがマスタノードからトランジットノードへと通知される。マスタノードは障害検知時、トランジットノードはフラッシュ制御フレームを受信した際の障害検知時に、図12で説明した処理を実行し、パケット送受信部125、127、121で生成されたホワイトリストを削除する。
その後、端末112から端末111への通信を実施した際には、パケット受信部133でホワイトリストによる通信制御を実施しながら、前述した経路切替後の経路となるパケット受信部122でホワイトリストが再生成される。ホワイトリストの再生成が完了したら、入出力装置610からレコード1909について、運用状態とする命令を実施し、全てのパケット送受信部が運用状態へと戻る。
端末112から端末111への通信を実施した後、本実施例におけるパケット中継装置101〜104の転送設定メモリ340のレコード505の保持内容502を運用状態とし、さらに図5Bの障害状態に陥った場合、フラッシュ制御フレームがマスタノードからトランジットノードへと通知される。マスタノードは障害検知時、トランジットノードはフラッシュ制御フレームを受信した際の障害検知時に、図12で説明した処理を実行し、パケット送受信部125、127、121で生成されたホワイトリストを削除する。
その後、端末112から端末111への通信を実施した際には、パケット受信部133でホワイトリストによる通信制御を実施しながら、前述した経路切替後の経路となるパケット受信部122でホワイトリストが再生成される。ホワイトリストの再生成が完了したら、入出力装置610からレコード1909について、運用状態とする命令を実施し、全てのパケット送受信部が運用状態へと戻る。
上述の説明のようにすることにより、経路切替時に不要となったリストを削除でき、さらに経路切替後もホワイトリストによるセキュアな運用を継続することができる。
また、実施例1と同様に本実施例のパケット中継装置100で構成されるリングのネットワークが設置されている場所に悪意あるユーザが侵入し、非正規の端末を本実施例のパケット中継装置100に接続し通信を実施しようとした際、リングポートとなるパケット送受信部のケーブルを抜去するなどして障害を発生させた場合、ホワイトリストの再生成を行う設定となっているパケット受信部200に非正規の端末を接続した場合、通信が可能な状態になってしまう場合が想定される。その対策として、本実施例のパケット中継装置には、ホワイトリストが再生成状態となっているパケット受信部200について、リンクダウン時に閉塞を行う機能を持たせることができる。動作については、リンクダウン時の判定項目が実施例1(図9参照)ではホワイトリスト対象外であるか否かであったのに対し、本実施例では当該のパケット受信部200について、ホワイトリストの再生成設定があり且つ、転送設定メモリ340のレコード1809の保持内容1802が再生成状態であるか否か、となる。
なお、上述について、一例としてリングプロトコルを記載しているが、実施例1と同様にして、スパニングツリープロトコルについても本実施例が適用可能である。
また、実施例1と同様に本実施例のパケット中継装置100で構成されるリングのネットワークが設置されている場所に悪意あるユーザが侵入し、非正規の端末を本実施例のパケット中継装置100に接続し通信を実施しようとした際、リングポートとなるパケット送受信部のケーブルを抜去するなどして障害を発生させた場合、ホワイトリストの再生成を行う設定となっているパケット受信部200に非正規の端末を接続した場合、通信が可能な状態になってしまう場合が想定される。その対策として、本実施例のパケット中継装置には、ホワイトリストが再生成状態となっているパケット受信部200について、リンクダウン時に閉塞を行う機能を持たせることができる。動作については、リンクダウン時の判定項目が実施例1(図9参照)ではホワイトリスト対象外であるか否かであったのに対し、本実施例では当該のパケット受信部200について、ホワイトリストの再生成設定があり且つ、転送設定メモリ340のレコード1809の保持内容1802が再生成状態であるか否か、となる。
なお、上述について、一例としてリングプロトコルを記載しているが、実施例1と同様にして、スパニングツリープロトコルについても本実施例が適用可能である。
D.付記
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれている。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれている。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
100 パケット中継装置、200 パケット受信部、300 パケット転送部、310 ホワイトリスト格納メモリ、320 転送先決定部、330 転送テーブルメモリ、340 転送設定メモリ、400 S/W制御部、410 CPU、420 S/Wメモリ、421 ホワイトリスト生成プログラム、422 転送設定プログラム、423 冗長化プロトコル制御プログラム、500 パケット送信部、600 入出力インタフェース、610 入出力装置
Claims (10)
- 通信装置であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有し、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定された第1受信部と、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有し、ホワイトリストの生成及び制御の対象に予め設定された第2受信部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送する転送部と、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記転送部により前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、前記転送部により予め定められた転送先に通信データを転送させるための、制御部と、
を備えた通信装置。 - 請求項1に記載の通信装置において、
ひとつ又は複数の前記第1受信部をホワイトリストの生成及び制御の対象外に、ひとつ又は複数の前記第2受信部をホワイトリストの生成及び制御の対象に、予め設定した転送設定メモリ
をさらに備え、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、
前記転送部は、前記転送設定メモリを参照し、通信データを受信した受信部がホワイトリストの生成及び制御の対象である前記第2受信部か、対象外である前記第1受信部かを判断し、
前記転送部は、前記第2受信部が通信データを受信したと判断すると、前記第2受信部が受信した通信データのヘッダ情報を前記制御部に送信し、
前記制御部は、ヘッダ情報によりホワイトリストを生成してホワイトリスト格納メモリに記憶し、
前記転送部は、前記第2受信部を介して受信した通信データを、予め定められた転送先に転送する
ことを特徴とする通信装置。 - 請求項2に記載の通信装置において、
前記通信装置が運用状態に予め設定されている場合、
前記転送部は、前記転送設定メモリを参照し、通信データを受信した受信部がホワイトリスト対象である前記第2受信部か、対象外である前記第1受信部であるかを判断し、
前記転送部は、前記第2受信部が通信データを受信したと判断すると、前記第2受信部を介して受信した通信データのヘッダ情報が、前記ホワイトリスト格納メモリに格納されているか否かを判定し、
格納されている場合、前記転送部は、前記第2受信部を介して受信した通信データを、ヘッダ情報に従い、予め定められた転送先に転送し、
格納されていない場合、前記転送部は、予め定められた廃棄又は通過の情報に従い、それぞれ、通信データを廃棄する又は通信データを予め定められた転送先に転送し、
一方、
前記転送部は、前記第1受信部が通信データを受信したと判断すると、前記第1受信部を介して受信した通信データを、予め定められた転送先に転送する
ことを特徴とする通信装置。 - 請求項1に記載の通信装置において、
前記制御部は、
前記第1受信部に接続されたリンクのリンクダウンを検知すると、前記第1受信部の状態を閉塞に変更し、前記第1受信部に接続されたリンクのリンクアップを検知しても前記第1受信部の状態を変更せず、外部からの開放指示を受け付けると、前記第1受信部の状態を開放に変更することを特徴とする通信装置。 - 請求項4に記載の通信装置において、
前記制御部は、
前記第2受信部に接続されたリンクのリンクダウンを検知すると、前記第2受信部の状態を閉塞に変更し、前記第2受信部に接続されたリンクのリンクアップを検知すると、前記第2受信部の状態を開放に変更することを特徴とする通信装置。 - 請求項1に記載の通信装置において、
ひとつ又は複数の前記第1受信部を再生成有りに、ひとつ又は複数の前記第2受信部を再生成無しに、予め設定した転送設定メモリ
をさらに備え、
前記転送設定メモリは、さらに、ひとつ又は複数の前記第1受信部もホワイトリストの生成及び制御の対象に予め設定し、前記制御部は、前記転送部によりひとつ又は複数の前記第1受信部を介して受信された通信データに基づきホワイトリストを生成及び記憶し、
前記制御部は、冗長化されたネットワーク上の障害を検知すると、前記転送設定メモリを参照し、ひとつ又は複数の前記第1受信部についてのホワイトリストを削除し、前記通信装置をホワイトリストの再生成状態に設定し、ホワイトリストの再生成を実行する
ことを特徴とする通信装置。 - 請求項6に記載の通信装置において、
前記転送部は、通信データを受信し、前記通信装置が再生成状態に設定されている場合、且つ、前記転送設定メモリを参照して通信データを受信した受信部が前記第1受信部であると判断した場合、通信データのヘッダ情報を前記制御部に送信し、前記制御部は、ヘッダ情報からホワイトリストの再生成及び記憶を実行し、
前記転送部は、前記通信装置が再生成状態に設定されていない場合、又は、前記転送設定メモリを参照して通信データを受信した受信部が前記第2受信部であると判断した場合、通信データをホワイトリストにより通信制御する
ことを特徴とする通信装置。 - 請求項3に記載の通信装置において、
前記転送部は、
転送を制御する転送先決定部と、
転送先情報が保存されている転送テーブルメモリと、
前記ホワイトリスト格納メモリと、
前記転送設定メモリと、
を備え、
前記転送設定メモリは、さらに、ホワイトリスト機能を用いるか否かのモードを予め設定し、登録外廃棄/通過を予め設定し、
前記転送先決定部は、
前記転送設定メモリを参照し、モードの設定に基づきホワイトリストを用いた通信制御を実施するか否かを制御し、
前記転送設定メモリを参照し、登録外廃棄/通過設定に基づき、ホワイトリストに登録外のデータ通信を廃棄するか転送するかを制御する
ことを特徴とする通信装置。 - 通信システムであって、
前記冗長化されたネットワークは、リングプロトコル、又は、スパニングツリープロトコルで動作し、
前記冗長化されたネットワークの各ノードに請求項1に記載された通信装置が設けられている
ことを特徴とする通信システム。 - 通信方法であって、
冗長化されたネットワークに接続されたポート又はリングポート又は障害時に経路切替が発生する可能性があるポートを有する第1受信部を、転送を許可された通信データの一覧であるホワイトリストの生成及び制御の対象外に予め設定し、
他の装置に接続されたポート又はエッジポート又は障害時に経路切替が発生し得ないポートを有する第2受信部を、ホワイトリストの生成及び制御の対象に予め設定し、
通信装置がホワイトリスト生成状態に予め設定されている場合、前記第1受信部を介して通信データを受信したと判断すると、予め定められた転送先に通信データを転送し、
前記通信装置がホワイトリスト生成状態に予め設定されている場合、前記第2受信部を介して通信データを受信したと判断すると、受信された通信データに基づきホワイトリストを生成及び記憶し、予め定められた転送先に通信データを転送させるための、
通信方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015210495 | 2015-10-27 | ||
| JP2015210495 | 2015-10-27 | ||
| PCT/JP2016/054048 WO2017073089A1 (ja) | 2015-10-27 | 2016-02-12 | 通信装置及びシステム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2017073089A1 JPWO2017073089A1 (ja) | 2018-04-26 |
| JP6387195B2 true JP6387195B2 (ja) | 2018-09-05 |
Family
ID=58631436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017547634A Active JP6387195B2 (ja) | 2015-10-27 | 2016-02-12 | 通信装置及びシステム及び方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10680893B2 (ja) |
| JP (1) | JP6387195B2 (ja) |
| WO (1) | WO2017073089A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10721212B2 (en) * | 2016-12-19 | 2020-07-21 | General Electric Company | Network policy update with operational technology |
| WO2018077483A1 (en) * | 2017-01-23 | 2018-05-03 | Mitsubishi Electric Corporation | Evaluation and generation of a whitelist |
| JP6793056B2 (ja) | 2017-02-15 | 2020-12-02 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
| CN109804610B (zh) * | 2017-03-23 | 2022-05-13 | 柏思科技有限公司 | 限制具有网络功能的设备的数据流量传输的方法和系统 |
| WO2018212086A1 (ja) * | 2017-05-15 | 2018-11-22 | 日本電気株式会社 | 制御装置、中継装置、通信システムおよび通信制御方法 |
| CN107360184B (zh) * | 2017-08-14 | 2020-09-08 | 杭州迪普科技股份有限公司 | 终端设备认证方法和装置 |
| JP6493475B1 (ja) | 2017-09-28 | 2019-04-03 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
| US10771476B2 (en) * | 2018-03-14 | 2020-09-08 | Cisco Technology, Inc. | Defeating man-in-the-middle attacks in one leg of 1+1 redundant network paths |
| JP2020017809A (ja) * | 2018-07-24 | 2020-01-30 | アラクサラネットワークス株式会社 | 通信装置及び通信システム |
| JP7139252B2 (ja) * | 2019-01-10 | 2022-09-20 | アラクサラネットワークス株式会社 | 転送装置 |
| US11882448B2 (en) * | 2021-06-07 | 2024-01-23 | Sr Technologies, Inc. | System and method for packet detail detection and precision blocking |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8572266B2 (en) * | 2006-04-03 | 2013-10-29 | Disney Enterprises, Inc. | Group management and graphical user interface for associated electronic devices |
| US20100299398A1 (en) * | 2006-11-24 | 2010-11-25 | Duaxes Corporation | Communication control apparatus |
| US8695100B1 (en) * | 2007-12-31 | 2014-04-08 | Bitdefender IPR Management Ltd. | Systems and methods for electronic fraud prevention |
| JP2009239525A (ja) | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
| US8751808B2 (en) * | 2009-11-12 | 2014-06-10 | Roy Gelbard | Method and system for sharing trusted contact information |
| US8635281B2 (en) * | 2009-12-18 | 2014-01-21 | Morningside Analytics, Inc. | System and method for attentive clustering and analytics |
| WO2011130711A2 (en) * | 2010-04-15 | 2011-10-20 | General Instrument Corporation | Cross-domain identity management for a whitelist-based online secure device privisioning framework |
| US8677464B2 (en) * | 2011-06-22 | 2014-03-18 | Schweitzer Engineering Laboratories Inc. | Systems and methods for managing secure communication sessions with remote devices |
| US9262624B2 (en) * | 2011-09-16 | 2016-02-16 | Mcafee, Inc. | Device-tailored whitelists |
| US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
| US9544212B2 (en) * | 2012-01-27 | 2017-01-10 | Microsoft Technology Licensing, Llc | Data usage profiles for users and applications |
| JP6253333B2 (ja) * | 2012-10-09 | 2017-12-27 | キヤノン電子株式会社 | 情報処理装置、情報処理システムおよび情報処理方法 |
| CN102957694B (zh) * | 2012-10-25 | 2016-08-31 | 北京奇虎科技有限公司 | 一种判断钓鱼网站的方法及装置 |
| US9306873B2 (en) * | 2013-02-21 | 2016-04-05 | Beers Enterprises, Llc | Customer controlled video network |
| US9672818B2 (en) * | 2013-04-18 | 2017-06-06 | Nuance Communications, Inc. | Updating population language models based on changes made by user clusters |
| US20140313975A1 (en) * | 2013-04-19 | 2014-10-23 | Cubic Corporation | White listing for binding in ad-hoc mesh networks |
| KR101455167B1 (ko) * | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
| US9961079B1 (en) * | 2014-03-21 | 2018-05-01 | Symantec Corporation | Context aware intruder detection using WIFI MAC addresses |
| US9491176B1 (en) * | 2014-08-28 | 2016-11-08 | Google Inc. | Monitoring content consumption by restricted account |
-
2016
- 2016-02-12 WO PCT/JP2016/054048 patent/WO2017073089A1/ja active Application Filing
- 2016-02-12 US US15/751,548 patent/US10680893B2/en active Active
- 2016-02-12 JP JP2017547634A patent/JP6387195B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US10680893B2 (en) | 2020-06-09 |
| WO2017073089A1 (ja) | 2017-05-04 |
| US20190190777A1 (en) | 2019-06-20 |
| JPWO2017073089A1 (ja) | 2018-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6387195B2 (ja) | 通信装置及びシステム及び方法 | |
| RU2526719C2 (ru) | Сетевая система и способ избыточности сети | |
| JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
| JP5673557B2 (ja) | ネットワークシステム、コントローラ、ネットワーク制御方法 | |
| US8289839B2 (en) | Scaling BFD sessions for neighbors using physical / sub-interface relationships | |
| US20090296726A1 (en) | ACCESS CONTROL LIST MANAGEMENT IN AN FCoE ENVIRONMENT | |
| US9813448B2 (en) | Secured network arrangement and methods thereof | |
| RU2612599C1 (ru) | Устройство управления, система связи, способ управления коммутаторами и программа | |
| JP6433865B2 (ja) | 通信装置 | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| KR20140014263A (ko) | 통신 경로 제어 시스템, 및 통신 경로 제어 방법 | |
| JP6923809B2 (ja) | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム | |
| US20140092725A1 (en) | Method and first network node for managing an ethernet network | |
| CN109861961B (zh) | 网络防御装置以及网络防御系统 | |
| JP7150552B2 (ja) | ネットワーク防御装置およびネットワーク防御システム | |
| JP2018504061A (ja) | ソフトウェア定義ネットワーキングコントローラ | |
| JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
| JP2009506592A (ja) | フォールトトレラントネットワーク上のノードを管理するための装置および方法 | |
| KR101881061B1 (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 | |
| JP2003152806A (ja) | 通信路のスイッチ接続制御システム | |
| US20190028479A1 (en) | Relay apparatus | |
| US9912575B2 (en) | Routing network traffic packets through a shared inline tool | |
| KR102067186B1 (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 | |
| US20200162381A1 (en) | Stage one cache lookup for network node of mesh network | |
| KR20200007060A (ko) | 분리된 망 사이의 데이터 통신을 지원하는 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180110 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180731 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180810 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6387195 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |