JP6407610B2 - ネットワーク装置、及び、通信方法 - Google Patents

ネットワーク装置、及び、通信方法 Download PDF

Info

Publication number
JP6407610B2
JP6407610B2 JP2014158321A JP2014158321A JP6407610B2 JP 6407610 B2 JP6407610 B2 JP 6407610B2 JP 2014158321 A JP2014158321 A JP 2014158321A JP 2014158321 A JP2014158321 A JP 2014158321A JP 6407610 B2 JP6407610 B2 JP 6407610B2
Authority
JP
Japan
Prior art keywords
unit
state
network device
packet
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014158321A
Other languages
English (en)
Other versions
JP2016036087A5 (ja
JP2016036087A (ja
Inventor
奉行 林
奉行 林
流 一秀
一秀 流
善文 新
善文 新
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2014158321A priority Critical patent/JP6407610B2/ja
Publication of JP2016036087A publication Critical patent/JP2016036087A/ja
Publication of JP2016036087A5 publication Critical patent/JP2016036087A5/ja
Application granted granted Critical
Publication of JP6407610B2 publication Critical patent/JP6407610B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、ネットワーク装置に関する。
現在、IPネットワークを利用するため、広く普及した汎用品を利用することができる。このため、ネットワーク装置が何らかの制限をかけない場合、意図した端末だけでなく、さまざまな端末が容易にIPネットワークに接続することができる。そして、意図しない端末がIPネットワークに接続されることによって、IPネットワークに不正なデータが流れたり、セキュリティが侵害されたりする可能性がある。
従来、ネットワーク装置におけるパケット転送の可否を判定するため、ネットワーク装置が保持する条件を用いる技術が提案されている(例えば、特許文献1参照)。特許文献1には、「ネットワーク中継装置と接続された端末装置による特定ネットワークへの接続の可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、前記第1の情報に基づき端末装置と前記特定のネットワーク上のノードとの間の通信データの前記通信部による中継の可否を管理する」ネットワーク中継装置が記載される。
また、ネットワーク装置の設定を簡易にするため、物理的な鍵などのハードウェアによる選択手段によってネットワーク装置の設定を切り替える技術が提案されている(特許文献2参照)。特許文献2には、「動作設定を変更可能な通信装置を、複数の設定プログラムを選択するためのハードウェアによる設定選択指示入力手段と、設定選択の操作権限を確認するための鍵及びその鍵識別手段と、前記鍵識別手段により権限が確認された場合にのみ前記選択された設定プログラムの内容を実行して機器を動作させる実行手段」を有する通信装置が記載される。
特開2012−080418号公報 特開2004−215068号公報
ネットワークの管理者は、本来意図しない端末がIPネットワークへ接続することを防ぎ、かつ、IPネットワークに不正なデータが流れないような安全なネットワークを構築する必要がある。そして、ネットワーク管理者は、安全なネットワークが構築されるようにネットワーク装置にパケットの転送を許可する送信元アドレスをあらかじめ設定する必要がある。
しかし、IPネットワークへ流入するデータをネットワーク装置が制限するようにネットワーク装置を設定することは、一般的なユーザにとって困難である。これは、そのネットワーク装置への設定が複雑であり、設定のために専門的かつ高度な知識が必要であるためである。
ネットワーク装置の設定は、ネットワーク装置の設置状況(設置環境)によって異なるので、専門知識が必要となり、予め設定をプログラムしておくことは難しい。そのため、鍵によって予め設定されたプログラムを実行させたとしても、専門家以外が所望のネットワーク装置の設定を行うことは難しい。
複数の装置と接続される通信装置であって、制御部と施錠部とアドレス学習部とフィルタリング部を有し、施錠部は、施錠状態に関する状態信号を制御部に対して出力し、制御部は、状態信号で示される状態に基づいて、複数の装置から受信するパケットに含まれるアドレスを学習するか、中止するか制御し、フィルタリング部は、学習したアドレスを用いて、複数の装置から受信するパケットをフィルタリングする。
IPネットワークに接続可能な端末を簡易に設定できる。
実施例のネットワークシステムを示すブロック図である。 実施例のフィルタテーブルを示す説明図である。 実施例のアドレス学習の処理を示すフローチャートである。 実施例のアドレスを新たに追加した後のフィルタテーブルを示す説明図である。 実施例のパケット転送装置を示す外観図である。 変形例1のアドレス学習の処理を示すフローチャートである。 変形例1のパケット転送装置を示すブロック図である。 変形例1のパケット転送装置を示す外観図である。 変形例1の操作パネルを示すブロック図である。 ユーザによる認証装置301の操作と施錠部300の状態を図示したものである。
本発明の実施形態を実施例に基づいて以下の順序で説明する。
A.実施例
B.変形例
A.実施例:
図1は本実施例のネットワークシステムを示すブロック図である。
本実施例のネットワークシステムは、ネットワーク10、少なくとも一つのパケット転送装置100、及び、複数の端末700(700a〜700f)を有する。ネットワーク10は、例えば、IPネットワークである。
パケット転送装置100は、ネットワーク10に設置され、端末700及び他のパケット転送装置100から転送されたパケットを受信する。パケット転送装置100は、プロセッサを有するネットワーク装置である。
端末700はプロセッサを有する計算機であり、例えば、ユーザが直接使用するパーソナルコンピュータであってもよい。また、端末700は、例えば、ネットワーク10を介して前記パーソナルコンピュータに情報サービスを提供するサーバであってもよい。また、例えば、端末700は温度等を測定するためのセンサを備える端末であってもよい。
また、図1は、パケット転送装置100の装置構成図を示す。
パケット転送装置100は入出力装置500を接続することが可能である。入出力装置500は、パケット転送装置100における処理結果を、ユーザに出力するための装置である。入出力装置は、例えば、ディスプレイ、プリンタ、キーボード、またはマウスを備える装置である。また、入出力装置は、例えば、タブレット端末であってもよい。なお、入出力装置500は、パケット転送装置100が有してもよい。コネクタ120は入出力装置500をパケット転送装置100に接続するためのインタフェースである。
図1に示すパケット転送装置100は、インタフェース130を介してネットワーク10、インタフェース110を介して複数の端末700(700a〜700c)及びインタフェース120を介して入出力装置500に接続される。パケット転送装置100は、制御部200、施錠部300、転送部400、少なくとも一つのインタフェース110(110a、110b)及び少なくとも一つのインタフェース130を有する。インタフェース130はネットワーク10と接続する専用のインタフェースであってもよいし、インタフェース110と共用してもよい。
制御部200は、プロセッサ及びメモリを有する。プロセッサは、メモリが保持するプログラムを実行することによって制御部200の機能を実装する。
制御部200はアドレス学習部201を有する。アドレス学習部201は施錠部300から送信される状態信号302に基づいて、転送部400が有するフィルタリング部にアドレスの学習を指示する機能部である。
アドレス学習部201は、プロセッサが、プログラムを読む込みことによって実装されてもよいし、制御部200に組み込まれる集積回路等の物理的な装置によって実装されてもよい。また、制御部200は、プロセッサが、プログラムを読み込むことによって実装されてもよいし、パケット転送装置100に組み込まれる集積回路等の物理的な装置として実装されてもよい。
制御部200は、施錠部300から状態信号302を受け付ける。状態信号302は施錠部300の状態が変化した時に施錠部300から制御部200に送信され、制御部200及び制御部が有する各機能部に施錠部300の状態を通知する。アドレス学習部201は受け付けた状態信号302に従って、施錠部の状態を保持する。
施錠部300はパケット転送装置100の操作権限を持ったユーザの物理的な接近によって有効となる認証装置301を有する機能部である。認証装置301はパケット転送装置100の操作権限を持ったユーザが所持する鍵600の正当性を確認する機構を備える。鍵600は、例えば、物理的な鍵、メモリカード、接触式ICカード、非接触式ICカード等である。認証装置301は、例えば、物理的な鍵の挿入、メモリカードの挿入、接触式ICカードの挿入、非接触式ICカードの接近、又は暗証番号の入力等によってユーザの操作権限を認証する。認証装置301が、暗証番号等の、パケット装置100の使用権限を持ったユーザのみが知り得る情報を使用して、認証を行う場合は、鍵600は不要である。
施錠部300は、ユーザが認証装置301による認証に成功した時に施錠部300を解錠状態又は施錠状態にする手段を有する。前記手段は、例えば、認証装置301に挿入した物理的な鍵の回転角度と施錠部300の状態とを対応させる手段、認証装置301に、認証装置301による認証が成功した場合の施錠部300の状態を指示するボタンを備える手段、認証装置301による認証が成功した場合に一定期間のみ施錠部300の状態を解錠状態とし、一定期間経過した後は施錠状態とする手段、認証装置301による認証が行われる前の状態が施錠状態であった場合は解錠状態とし、解錠状態であった場合は施錠状態とする手段、又はこれらを組み合わせた手段等であってもよい。
施錠部300は、ユーザによる認証装置301の操作によって施錠部300の状態が解錠状態、又は施錠状態になった時、状態信号302を制御部200に送信する。状態信号302は施錠部300の状態(解錠状態又は施錠状態)の情報を含む。
図10は鍵600が物理的な鍵であり、鍵600の回転角度と施錠部300の状態を対応させる手段を用いた場合のユーザによる認証装置301の操作と施錠部300の状態を図示したものである。認証装置301はパケット転送装置100の外部から鍵600を挿入するための鍵穴301aを有する。鍵穴301aに鍵600を挿入していない場合は施錠部300の状態は施錠状態である(図10(a))。ユーザが鍵穴301aに鍵600を挿入した状態で元の位置から90度左回転することで施錠部300の状態は解錠状態となる(図10(b)、図10(c))。認証装置301は鍵600が認証装置301と対応する正当な鍵でない場合、ユーザが鍵穴301aに鍵600を挿入した状態で鍵600を回転させるために回転力を加えても鍵600が回転しない機構を有する。したがって、ユーザが認証装置301と対応する正当な鍵600を所有していない場合は施錠部300は解錠状態とならない。
転送部400は、パケットを転送するための装置である。転送部400は、プロセッサ及びメモリを有する。また、転送部400は、データ転送部401とフィルタリング部402を機能部として有する。
データ転送部401はプロセッサがプログラムを読み込むことによって実装されてもよいし、転送部400に組み込まれる集積回路等の物理的な装置によって実装されてもよい。また、フィルタリング部402はプロセッサがプログラムを読み込むことによって実装されてもよいし、転送部400に組み込まれる集積回路等の物理的な装置によって実装されてもよい。さらに、転送部400は、プロセッサがプログラムを読み込むことによって実装されてもよいし、パケット転送装置100に組み込まれる集積回路などの物理的な装置として実装されてもよい。
データ転送部401は転送装置100に到着したパケットのヘッダに含まれる送信先アドレスに従ってパケットを転送する機能部である。また、データ転送部401は、転送処理とともに、到着したパケットをスヌーピングし、ヘッダ情報を取得する。そして、データ転送部401は、取得したヘッダ情報をアドレス学習部201に送信する。
フィルタリング部402は、フィルタテーブル403を有し、フィルタテーブル403を参照して、パケット転送装置100が受信したパケットに対して、転送を行うか否かを決定する機能部である。フィルタリング部402は、パケット転送装置100が受信したパケットに対して、転送を行わないことを決定した場合は、データ転送部401は前記パケットを転送せず、破棄する。
また、フィルタリング部402はアドレス学習部201からの指示を受けて、フィルタリングを停止する機能を有する。フィルタリング部402によるフィルタリングが停止している期間は、データ転送部401はパケット転送装置100が受信したすべてのパケットを転送する。また、フィルタリング部402は、フィルタリングを停止する一方、アドレス学習部201から送信された学習指示2011により、フィルタテーブル403に、スヌーピングにより取得した受信したパケットのヘッダ情報に含まれるアドレスを登録し、転送許可と設定する。
図2は本実施例のフィルタテーブル403を示す説明図である。
フィルタテーブル403はフィルタチェック順番4031、送信元IPアドレス4032、送信元MACアドレス4033、及び転送許可4034を含む。フィルタチェック順番4031は、フィルタテーブル403のエントリを採用する優先順位を示す。
具体的には、本実施例のフィルタリング部402は、フィルタチェック順番4031の数字が低い順に、フィルタテーブル403のエントリを検索する。そして、フィルタリング部402は、エントリが示すアドレスの条件が一致した場合、一致したエントリの転送許可4034に従って、パケットを転送するか否かを決定する。
送信元IPアドレス4032は、パケット転送装置100が受信したパケットの送信元のIPアドレスを示す。送信元MACアドレス4033は、パケット転送装置100が受信したパケットの送信元のMACアドレスを示す。
転送許可4034は、送信元IPアドレス4032及び送信元MACアドレス4033のアドレスをヘッダに含むパケットの転送を許可するか否かを示す。
フィルタリング部402はフィルタテーブル403を、パケット転送装置100に接続する端末700が属するネットワークセグメント毎に有してもよく、また、パケット転送装置100が有するインタフェース110毎に有してもよい。
図2に示すフィルタテーブル403aは、端末700a及び端末700bが属するネットワークセグメントから送信されるパケットを、データ転送部401は、すべて転送しないことを示す。また、図2に示すフィルタテーブル403bは、端末700cが属するネットワークセグメントから送信されるパケットのうち、端末700cから送信されたパケット以外のパケットをデータ転送部401は、すべて転送しないことを示す。
本実施例におけるアドレスの学習は、施錠部300が解錠状態の時、フィルタテーブル403にパケット転送装置100が受信したパケットのアドレスを追加することで行う。
アドレス学習部201は、施錠部300から解錠状態となったことを示す状態信号302を受信した時、フィルタリング部402に対して、フィルタリングの停止を指示する。また、アドレス学習部201は、前記指示を行った後、フィルタテーブル403に格納されたアドレスをすべて削除する。具体的には、アドレス学習部201は、フィルタテーブル403を図2のフィルタテーブル403aと等しい状態にする。なお、前記のアドレスの削除を行わない実装としてもよい。さらに、アドレス学習部は201は、施錠部300から施錠状態となったことを示す状態信号302を受信した時、フィルタリング部402に対して、フィルタリングの再開を指示する。
本実施例では、パケット転送装置100は、一つのネットワークセグメントにおいて送受信されるパケットを施錠部300が解錠状態である時に受信した場合のみ、そのパケットを正当なパケットとみなし、パケットの送信元アドレスを学習する。そして、パケット転送装置100は、フィルタリング部402がフィルタテーブルを参照することによって、施錠部300が解錠状態である時に受信したパケットのみを転送する。
これによって、パケット転送装置100は、学習されたアドレス以外のアドレスから送信されたパケットを施錠部300が施錠状態である時に受信した場合、パケットの転送を制限することができる。そして、不正なデータがIPネットワークに流入することを防ぐことができる。
図3は、本実施例のパケットを受信した場合のデータ転送部401及びアドレス学習部201の処理を示すフローチャートである。
以下の説明において、図3に示す処理開始時、フィルタテーブル403は図2に示すフィルタテーブル403と同じである。
端末700aは、パケット転送装置100に向けてパケットを送信する。端末700aがパケット転送装置100に向けて転送するパケットのヘッダにはパケットの送信先IPアドレス、送信先MACアドレス、送信元IPアドレス、並びに送信元MACアドレスが含まれる。
パケット転送装置100のデータ転送部401はインタフェース110を介してパケットを受信する。そして、データ転送部401は受信したパケットをスヌーピング(覗き見)し、受信したパケットからヘッダ情報等の内容を取得する(S4011)。S4011において、取得する内容には、送信元のIPアドレス及びMACアドレス、並びに、受信したインタフェース110を示す識別子が含まれる。
S4011において、データ転送部401は、受信したパケットをパケットが示す宛先に従って転送する。そして、S4011の後、データ転送部401は、スヌーピングによって取得した内容を、アドレス学習部201に送信する(S4012)。アドレス学習部の負荷軽減のため、又はすでに学習済みのアドレスを有する端末700から送信されたパケットから再度アドレスを学習する必要はないため、データ転送部300は、S4011及びS4012を特定の種類のパケットに対してのみ実施してもよい。例えば、データ転送部401はIPネットワークにおけるアドレス解決要求に対してのみ、S4011及びS4012を実施してもよい。
データ転送部401はS4011及びS4012を行わない場合、受信したパケットの転送のみを行う。
アドレス学習部201は、データ転送部401からスヌーピングによって取得した情報を受信した場合、施錠部300の状態に基づいて、続いて実施する処理を判定する(S2011)。S2011において、施錠部300の状態が施錠状態であった場合は、アドレス学習部201は処理を終了する。
施錠部300の状態が解錠状態であった場合、アドレス学習部201は転送部400が有するフィルタリング部に学習指示2011を送信し、学習させる(S2012)。
S2012において、学習指示2011は受信したパケットの送信元のアドレス(前述の例においては、端末700a)、受信したパケットの送信元のアドレスが属するネットワークセグメント、及び前記パケットを受信したインタフェース110を示す識別子を含む。
フィルタリング部402は、アドレス学習部201から送信された学習指示2011の受信時、学習指示2011に付加されたインタフェース110の識別子、又は受信したパケットが属するネットワークセグメントを用いて、フィルタテーブル403を特定する。そして、特定したフィルタテーブル403に、学習指示2011に含まれる、受信したパケットの送信元アドレスを格納する(S4021)。
S4021において、フィルタリング部402は、新たに追加したエントリのフィルタチェック順番4031に追加したエントリを最も優先して適用することを示す値を格納し、転送許可4034に転送を許可することを示す値を格納する。
図4は、本実施例のアドレスを新たに格納した後のフィルタテーブル403を示す説明図である。
図4に示すフィルタテーブル403には、端末700aの送信元のアドレスが格納され、転送許可4034に「許可」が格納される。なお、図4に示すフィルタテーブル403bと図2に示すフィルタテーブル403bとは、同じである。
S4021において、フィルタテーブル403に、受信したパケットの送信元アドレスを格納することによって、データ転送部401は、施錠部300が施錠状態である時、フィルタテーブル403が保持するアドレスを持つ端末以外の装置から送信されたパケットを転送せず、ユーザが意図しない装置間の通信を制限できる。
図5は、本実施例における、鍵600が物理的な鍵であり認証装置301が挿入された鍵600の回転角度によって施錠部300の状態を操作する場合の、パケット転送装置100を前面から見た外観図である。認証装置301は鍵600を挿入するための鍵穴301aを有する。ユーザは認証装置301と対応する正当な鍵600を鍵穴301aに挿入し「解錠」と記載された角度まで鍵600を回転することで施錠部300を解錠状態とすることができる。パケット転送装置100は端末700を接続するためのインタフェース110を多数有する。なお、コネクタ120は入出力装置500をパケット転送装置100に接続するためのインタフェースである。
本実施例によれば、パケット転送装置100のユーザが、認証装置301の操作によって、施錠部300を解錠状態にしている間、パケット転送装置100はパケット転送装置100が転送するパケットのアドレスを学習する。このため、ユーザがネットワークの特別な専門知識を持たなくても、IPネットワークへ接続可能な端末を設定できる。
本実施例の各構成、機能、処理部、手順等は、それらの一部又は全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、前述の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、若しくは、SSD(Solid State Drive)等の記録装置、又は、ICカード、SDカード、若しくは、DVD等の記録媒体に置くことができる。
また、制御線又は情報線は、説明上必要と考えられるものを示しており、製品上必ずしもすべての制御線又は情報線を示しているとは限らない。実際にはほとんどすべての構成が相互に接続されていると考えてもよい。
B.変形例:
なお、本発明は上述の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
B1.変形例1
図6は本変形例におけるアドレス学習の処理を示すフローチャートである。
アドレス学習部301は、アドレス学習部301が行うアドレスを学習するか否か決定する判定処理S2011の替わりに、パケット転送装置100はアドレスの学習の開始又は停止を指示する入力装置と、アドレス学習部301でのアドレスの学習が有効であるか否かを表示する表示装置とを備えた操作パネルを有し、その操作パネルからの信号又は制御部200が保持する状態を用いてアドレスを学習するか否かを決定する処理S2013を実装してもよい。この場合、制御部200はアドレス学習部201が判定処理S2013においてアドレスを学習するか否かを示す状態を保持する。
図7は、本変形例におけるパケット転送装置100を示すブロック図である。本変形例では、制御部200は操作パネル510から送信されるアドレスの学習を開始又は停止する指示信号に従って、制御部の状態を学習中状態又は運用中状態となる。制御部200は操作パネル510からアドレスの学習を開始する指示信号を受信した場合は、制御部200の状態を学習中状態とし、アドレスの学習を停止する指示信号を受信した場合は、制御部200の状態を運用中状態とする。ただし、制御部200は施錠部300の状態が解錠状態である場合のみ、操作パネル510からの指示信号を受け付け、施錠部300の状態が施錠状態の場合には操作パネル510からの指示信号を受け付けない。
また、制御部200は制御部200の状態が変更された時、又は施錠部300から状態信号を受信した時、制御部200の状態及び施錠部300の状態を操作パネル510に対して送信する。操作パネル510は操作パネル510が有する表示装置に受信した制御部200の状態及び施錠部300の状態を表示する。これによって、パケット転送装置100のユーザはパケット転送装置100に対して行った操作の結果を、入出力装置500を接続することなしに確認することができる。
さらに、S2013において、アドレス学習部201は制御部200の状態を参照し、運用中状態の場合は処理を終了し、学習中状態の場合はフィルタリング部402に受信したパケットの送信元アドレスを送信する処理S2012を実施する。
なお、操作パネル510はアドレスの学習の開始又は停止以外にパケット転送装置100を操作するインタフェースを有してもよい。
図8は、本変形例におけるパケット転送装置100の1つの実施形態を前面から見た外観図である。ディスプレイ511はパケット転送装置がユーザによるアドレスの学習に関する指示を受け付けるか否か、パケット転送装置がアドレスの学習を行っているか否か、選択中のパケット転送装置100に対する指示、又はその他のパケット転送装置100の状態を表示する。また、パケット転送装置100のユーザはボタン512〜514を操作することで、アドレス学習に関する指示を含むパケット転送装置100に対する指示を選択及び実行できる。そのほかの部分については実施例と同様である。
図9は、本変形例における図8とは異なる操作パネル510の実施形態の一つである。パネル510は表示灯515及びボタン516を有する。表示灯515は学習を行っているか否かを点灯状態や点灯時の色などを用いて表示する。また、パケット転送装置100のユーザはボタン516を押下することで、学習の開始又は停止をパケット転送装置100に指示する。
本変形例によって、パケット転送装置100は、パケット転送装置100がアドレスの学習以外の機能を操作するインタフェースを有する場合に、それらのインタフェースとアドレスの学習を操作するインタフェースとを統合した、一貫したインタフェースを有することができる。
B2.変形例2
実施例において、フィルタリング部402によって受信したパケットの転送が不許可と判定された場合、パケット転送装置100は、受信したパケットに含まれる情報及びフィルタリング部402によって不許可と判定されたことを、パケット転送装置100が有するメモリ、ハードディスク、若しくはSSD等の記録媒体に記録してもよい。また、フィルタリング部402によって受信したパケットの転送が不許可と判定された場合、パケット転送装置100は、受信したパケットに含まれる情報及びフィルタリング部402によって不許可と判定されたことを、外部に対して出力し、入出力装置500に表示してもよい。さらに、フィルタリング部402によって受信したパケットの転送が不許可と判定された場合、パケット転送装置100は、受信したパケットに含まれる情報及びフィルタリング部402によって不許可と判断されたことを、パケット転送装置100の外部に出力し、IPネットワーク10に接続された端末700のいずれかに送信してもよい。
本変形例において、転送部400は、フィルタリング部402によって不許可と判断されたパケットを転送するよう実装してもよい。
これによって、フィルタリング部402によって不許可と判定されたパケットが、実際には正当な端末700からの通信によるパケットであった場合でも、端末400と端末400の通信先との通信をパケット転送装置100は阻害しない。また、IPネットワーク10の管理者は不正である可能性が高いパケットのIPネットワーク10への流入を監視することができる。

Claims (10)

  1. 複数の端末装置とネットワークとに接続されるネットワーク装置であって、
    データ転送部と制御部と施錠部とフィルタリング部とを有し、前記施錠部は施錠状態に関する状態信号を前記制御部に対して出力し、前記制御部はアドレス学習部を有し、前記データ転送部は前記複数の端末装置から受信する前記ネットワークに向けたパケットに含まれるヘッダ情報を取得して前記アドレス学習部に送信し、前記アドレス学習部は、前記データ転送部から受信したヘッダ情報と前記状態信号で示される状態に基づいて前記ヘッダ情報に含まれるアドレスを学習するか否かを判定し、前記フィルタリング部に対し、前記状態信号が解錠状態を示す場合には前記パケットの送信元のアドレスを前記フィルタリング部のフィルタテーブルに格納するよう制御し、前記状態信号が施錠状態を示す場合には前記パケットの送信元アドレスをフィルタリング部のフィルタテーブルに格納せず、前記フィルタテーブルに含まれるアドレスに基づいて前記端末装置から受信するパケットをフィルタリングすべきかを判定するよう制御し、前記状態信号で示される状態が施錠状態から解錠状態に変更した場合に、前記フィルタリング部にアドレスの学習を指示し、前記状態信号で示される状態が解錠状態から施錠状態に変更した場合に、前記フィルタリング部に対してアドレスの学習は行わず、フィルタテーブルに含まれる学習したアドレスを用いて転送するか廃棄するかを決定するよう制御し、施錠状態から解錠状態となったことを示す前記状態信号を受信すると、前記フィルタテーブルをリセットすることを特徴とするネットワーク装置。
  2. 請求項1に記載のネットワーク装置であって、操作パネルをさらに有し、前記制御部は前記状態信号で示される状態が解錠状態である場合に前記操作パネルからの入力を受け付け、前記状態信号で示される状態が施錠状態である場合に前記操作パネルからの入力を受け付けないことを特徴とするネットワーク装置。
  3. 請求項1に記載のネットワーク装置であって、前記施錠部は外部媒体からの入力に基づいて前記施錠状態に関する状態信号を出力することを特徴とするネットワーク装置。
  4. 請求項1に記載のネットワーク装置であって、前記ネットワーク装置は、記録媒体を有し、前記フィルタリング部が受信したパケットに対して転送を許可しないと判定した場合、前記記録媒体に対して、前記転送を許可しない判定が発生したことを記録することを特徴とするネットワーク装置。
  5. 請求項1に記載のネットワーク装置であって、前記フィルタリング部が受信したパケットに対して転送を許可しないと判定した場合、外部に対して、前記転送を許可しない判定が発生したことを通知することを特徴とするネットワーク装置。
  6. 請求項2に記載のネットワーク装置であって、前記操作パネルは、ディスプレイと1つ以上のボタンを有し、前記ディスプレイは前記状態信号で示される施錠状態又は選択中の前記ネットワーク装置への指示を表示し、前記ボタンは前記ネットワーク装置への指示を選択又は実行することを特徴とするネットワーク装置。
  7. 請求項2に記載のネットワーク装置であって、前記操作パネルは、1つ以上の状態表示灯と1つ以上のボタンを有し、前記状態表示灯は前記状態信号で示される施錠状態を点灯又は点滅又は前記状態表示灯の色を変えることで表示し、前記ボタンは押下によって前記ボタンに割り当てられた指示を実行することを特徴とするネットワーク装置。
  8. 請求項3に記載のネットワーク装置であって、前記外部媒体が物理的な鍵であることを特徴とするネットワーク装置。
  9. 複数の端末装置とネットワークとに接続されるネットワーク装置であって、
    データ転送部と制御部と認証部とフィルタリング部とを有し、前記認証部は前記ネットワーク装置を操作するユーザの操作権限の認証状態に関する状態信号を前記制御部に対して出力し、前記制御部はアドレス学習部を有し、前記データ転送部は前記複数の端末装置から受信する前記ネットワークに向けたパケットに含まれるヘッダ情報を取得して前記アドレス学習部に送信し、前記アドレス学習部は、前記データ転送部から受信したヘッダ情報と前記状態信号で示される状態に基づいて前記ヘッダ情報に含まれるアドレスを学習するか否かを判定し、前記フィルタリング部に対し、前記状態信号が認証成功状態を示す場合には一定期間前記パケットの送信元のアドレスを前記フィルタリング部のフィルタテーブルに格納するよう制御し、前記一定期間経過後は前記パケットの送信元アドレスをフィルタリング部のフィルタテーブルに格納せず、前記フィルタテーブルに含まれるアドレスに基づいて前記端末装置から受信するパケットをフィルタリングすべきかを判定するよう制御し、前記状態信号が認証成功状態を示す場合に、前記フィルタリング部にアドレスの学習を指示し、前記状態信号で示される状態が認証成功状態となってから一定期間経過した後に、前記フィルタリング部に対してアドレスの学習は行わず、フィルタテーブルに含まれる学習したアドレスを用いて転送するか廃棄するかを決定するよう制御し、認証成功状態となったことを示す前記状態信号を受信すると、前記フィルタテーブルをリセットすることを特徴とするネットワーク装置。
  10. 請求項9に記載のネットワーク装置であって、前記認証部は外部媒体からの入力に基づいて前記認証状態に関する状態信号を出力することを特徴とするネットワーク装置。
JP2014158321A 2014-08-04 2014-08-04 ネットワーク装置、及び、通信方法 Active JP6407610B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014158321A JP6407610B2 (ja) 2014-08-04 2014-08-04 ネットワーク装置、及び、通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014158321A JP6407610B2 (ja) 2014-08-04 2014-08-04 ネットワーク装置、及び、通信方法

Publications (3)

Publication Number Publication Date
JP2016036087A JP2016036087A (ja) 2016-03-17
JP2016036087A5 JP2016036087A5 (ja) 2017-03-23
JP6407610B2 true JP6407610B2 (ja) 2018-10-17

Family

ID=55523724

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014158321A Active JP6407610B2 (ja) 2014-08-04 2014-08-04 ネットワーク装置、及び、通信方法

Country Status (1)

Country Link
JP (1) JP6407610B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7444468B2 (ja) * 2021-07-08 2024-03-06 Necプラットフォームズ株式会社 ルータ装置、フィルタ登録プログラム及びフィルタ登録方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7046629B2 (en) * 2001-09-26 2006-05-16 D-Link Corporation Method for controlling number of addresses in address table of switch
JP2004215068A (ja) * 2003-01-07 2004-07-29 Canon Inc 通信装置
JP4720363B2 (ja) * 2005-08-19 2011-07-13 パナソニック電工株式会社 フィルタリング装置

Also Published As

Publication number Publication date
JP2016036087A (ja) 2016-03-17

Similar Documents

Publication Publication Date Title
US10110571B2 (en) Securing internet of things communications across multiple vendors
JP6350302B2 (ja) プログラマブル表示器
KR101474226B1 (ko) 원격 리소스에 대한 이용가능한 보안 액세스를 위한 웜홀디바이스들
JP6845431B2 (ja) 情報処理装置および情報処理装置の制御方法
JP5241319B2 (ja) ネットワーク上に配置された構成要素についての情報を検出するためのパスワードを管理するコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
US9088566B2 (en) Information processing system, information processing device, and relay server
WO2016092630A1 (ja) 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム
JP6149741B2 (ja) 情報処理装置及びプログラム
WO2008035450A1 (fr) Authentification par un identifiant ponctuel
JP2009217820A (ja) ネットワーク画像形成デバイスをリモート管理するための方法及びリモート画像形成デバイス管理アプリケーションソフトウェアツール
KR102407136B1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US9477194B2 (en) Image forming apparatus capable of limiting range of operation during maintenance, control method therefor, and storage medium
JP5365115B2 (ja) 機器管理システム、機器管理装置、ライセンス認証方法、ライセンス認証プログラム、及びそのプログラムを記録した記録媒体
CN107066871B (zh) 功能装置和控制设备
JP2004021666A (ja) ネットワークシステム、サーバ、およびサーバ設定方法
JP6987571B2 (ja) 制御装置
KR102446933B1 (ko) 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102410552B1 (ko) 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
JP6407610B2 (ja) ネットワーク装置、及び、通信方法
JP2016036064A (ja) 仮想通信システム
JP6114214B2 (ja) ネットワーク装置、及び、通信方法
JP2014142732A (ja) 権限委譲システム
JP6162611B2 (ja) 通信制御サーバ、通信制御方法、及びプログラム
KR102609368B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
JP2016071644A (ja) ライセンス管理方法及びライセンス管理システム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170117

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170215

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180109

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20180223

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180308

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20180315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180327

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180904

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180919

R150 Certificate of patent or registration of utility model

Ref document number: 6407610

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250