JP7264767B2 - パケット中継装置及びパケット中継システム - Google Patents
パケット中継装置及びパケット中継システム Download PDFInfo
- Publication number
- JP7264767B2 JP7264767B2 JP2019151724A JP2019151724A JP7264767B2 JP 7264767 B2 JP7264767 B2 JP 7264767B2 JP 2019151724 A JP2019151724 A JP 2019151724A JP 2019151724 A JP2019151724 A JP 2019151724A JP 7264767 B2 JP7264767 B2 JP 7264767B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- relay device
- packet relay
- information
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、パケット中継装置及びパケット中継システムに関する。
近年、発電所などの重要インフラ内のネットワークに攻撃者が侵入し、システムの制御を奪われることがないような対策が必要となっている。重要インフラのネットワークにおいては、ファイアウォール装置及びパーソナルコンピュータ等の端末に搭載されているウィルスソフト等による防御対策は実施されている。しかし、システム制御を奪おうとする攻撃者の侵入を防ぐために、より強力な対策が必要とされる。
攻撃者に侵入された際のリスクを軽減する手法として、通信装置によるホワイトリスト機能を利用する方法がある。通信装置によるホワイトリスト機能は、ネットワーク内を流れる正規通信に含まれる正規端末情報をホワイトリスト収容が可能な通信装置に登録し、ホワイトリスト収容が可能な通信装置に登録された正規端末以外からの非正規通信を遮断することでセキュリティレベルを高める機能である。
このようなホワイトリスト機能を利用する方法は、例えば、特許文献1、特許文献2に記載されている。特許文献1、特許文献2に記載のホワイトリスト機能では、通信パケットに含まれ、通信許可を決定する条件の一部としても使用される端末等のIPアドレスが固定的に割り当てられているネットワークに適用することを前提としている。
また、これを拡張して、IPアドレスが動的に変化する端末等を含むネットワークにもホワイトリスト機能を適用できるようにするため、端末等のIPアドレス割り当てを管理するDHCP(Dynamic Host Configuration Protocol)通信の情報を用いて運用中にホワイトリストの内容を逐次更新する技術が特許文献3に記載されている。
この技術によれば、ホワイトリスト機能を持ったパケット中継装置を含むネットワークにおいて、運用中に端末等のIPアドレスが変化した場合でも、本来通信が許可されるべき通信が遮断される、あるいは、本来遮断されるべき通信が許可されてしまうようなことを起こさずに運用を継続できる。
特許文献3に記載の技術では、パケット中継装置がDHCP通信のパケット(以後、DHCPパケットと呼ぶ)を中継する際に、ホワイトリストの更新に必要なIPアドレス割り当て情報をDHCPパケットから抽出する手法(以後、この手法をDHCPスヌーピングと呼ぶ)を用いている。
そのため、特許文献3は、ホワイリスト機能を持つすべてのパケット中継装置をDHCPパケットが通過するネットワークに適用することが前提であり、DHCPパケットが通過しないパケット中継装置を有するネットワークに適用することは困難であった。
本発明の目的は、DHCPパケットが通過しないパケット中継装置を有するネットワークにおいても、パケット中継装置がDHCP情報を収集可能とすることにある。
本発明の一態様のパケット中継装置は、少なくとも処理部を有するパケット中継装置であって、前記処理部は、受信したパケットに含まれる通信内容に基づいて、前記パケット中継装置が保持するプロトコル情報を更新してプロトコル更新情報を生成し、予め指定された他のパケット中継装置に前記プロトコル更新情報を送信することを特徴とする。
本発明の一態様のパケット中継システムは、第1のパケット中継装置と第2のパケット中継装置がネットワークを介して接続されたパケット中継システムであって、前記第1のパケット中継装置は、前記ネットワークを介してパケットが転送され、前記ネットワークを介して転送されてきた前記パケットに含まれる通信内容に基づいて、前記第1のパケット中継装置が保持する第1のプロトコル情報を更新して第1のプロトコル更新情報を生成し、前記第2のパケット中継装置に前記第1のプロトコル更新情報を送信し、前記第2のパケット中継装置は、前記ネットワークを介して前記パケットは転送されず、前記第1のパケット中継装置から送信されてきた前記第1のプロトコル更新情報に基づいて、前記第2のパケット中継装置が保持する第2のプロトコル情報を更新することを特徴とする。
本発明の一態様によれば、DHCPパケットが通過しないパケット中継装置を有するネットワークにおいても、パケット中継装置がDHCP情報を収集することができる。
以下、図面を用いて、実施例について説明する。
図1は、実施例によるパケット中継装置10の内部構成を示す図である。
パケット中継装置10は、パケットの送信および受信を行う複数のパケット送受信部120、パケット送受信部120で受信したパケットを別のパケット送受信部120等へ転送するパケット転送部110、パケット中継装置10の全体の各種動作の制御を行う制御部100を有する。パケット中継装置10は、パケット送受信部120を介して接続された他の装置から受信したパケットを通信規約に従って他の外部装置に転送する処理を行う。
パケット中継装置10は、パケットの送信および受信を行う複数のパケット送受信部120、パケット送受信部120で受信したパケットを別のパケット送受信部120等へ転送するパケット転送部110、パケット中継装置10の全体の各種動作の制御を行う制御部100を有する。パケット中継装置10は、パケット送受信部120を介して接続された他の装置から受信したパケットを通信規約に従って他の外部装置に転送する処理を行う。
パケット転送部110は、パケットの転送先を決定するための情報を格納した転送テーブルメモリ111、許可されない不正な通信を防止する目的で、通信を許可するパケットの識別に必要な情報を格納するホワイトリスト格納メモリ113、パケット転送部110の動作を決定するための設定情報を格納する転送設定メモリ114、転送テーブルメモリ111、ホワイトリスト格納メモリ113、転送設定メモリ114の内容を参照して、パケット送受信部120で受信したパケットをどのパケット送受信部120に転送するかを決定して転送する転送先決定部112を有する。
転送先決定部112は、例えばFPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)などの専用ハードウェア回路で構成されるか、あるいはCPUがプログラムを実行して動作する構成であってもよい。
制御部100は、CPU(処理部)101、CPU101が実行する制御プログラム104とDHCP情報テーブル105とDHCP更新情報通知先テーブル106を格納するメモリ102、入出力装置40と接続されて管理者等がパケット中継装置10の各種設定等を行うための入出力インタフェース103を有する。パケット中継装置10において、基本的なパケット転送は転送部110が実行し、複雑なパケット処理を伴うものや装置全体の管理は制御部100が制御プログラム104によって実行する。
図2から図6は、それぞれパケット中継装置10に含まれるメモリやテーブルに格納されるデータの内容を示す図である。
図2は、DHCP情報テーブル105の内容を示す図である。
DHCP情報テーブル105は、パケット中継装置10が転送するDHCPパケットの内容を抽出して一時的に保持するためのテーブルであり、一連のデータ群を格納するエントリ1050を0個以上格納する構造となっている。各エントリ1050には識別用のエントリ番号が付される。一つのエントリ1050には、MACアドレス1051、IPアドレス1052、リースタイマ1053の値を格納する。DHCP情報テーブル105の具体的な操作内容については、後述する図8のシーケンス図で説明する。
DHCP情報テーブル105は、パケット中継装置10が転送するDHCPパケットの内容を抽出して一時的に保持するためのテーブルであり、一連のデータ群を格納するエントリ1050を0個以上格納する構造となっている。各エントリ1050には識別用のエントリ番号が付される。一つのエントリ1050には、MACアドレス1051、IPアドレス1052、リースタイマ1053の値を格納する。DHCP情報テーブル105の具体的な操作内容については、後述する図8のシーケンス図で説明する。
図3は、DHCP更新情報通知先テーブル106の内容を示す図である。
DHCP更新情報通知先テーブル106は、パケット中継装置10が図8で後述するDHCP更新情報パケットの送信先を指定するテーブルである。DHCP更新情報通知先テーブル106は、DHCP更新情報パケットの送信先となるパケット送受信部120の番号を格納するパケット送受信部番号1060を0個以上含む構成となっている。パケット送受信部番号1060に格納する値はネットワークシステムの階層構造に応じて決まるものであり、例えばネットワーク管理者が入出力装置40を通してシステム稼動前に設定しておくものである。
DHCP更新情報通知先テーブル106は、パケット中継装置10が図8で後述するDHCP更新情報パケットの送信先を指定するテーブルである。DHCP更新情報通知先テーブル106は、DHCP更新情報パケットの送信先となるパケット送受信部120の番号を格納するパケット送受信部番号1060を0個以上含む構成となっている。パケット送受信部番号1060に格納する値はネットワークシステムの階層構造に応じて決まるものであり、例えばネットワーク管理者が入出力装置40を通してシステム稼動前に設定しておくものである。
図4は、ホワイトリスト格納メモリ113の内容を示す図である。
ホワイトリストとは、パケット中継装置10が転送を許可する通信を識別するための情報であり、これらの情報を格納する0個以上のエントリ1130から構成される。
ホワイトリストとは、パケット中継装置10が転送を許可する通信を識別するための情報であり、これらの情報を格納する0個以上のエントリ1130から構成される。
一つのエントリ1130には、このエントリ1130による転送可否判断を適用するパケットが受信されるパケット送受信部120の番号を格納するパケット送受信部番号1131、転送を許可するパケット内容の条件を格納する転送許可パケット条件1132、検索用送信元MACアドレス1133、送信元有効ビット1134、検索用宛先MACアドレス1135、宛先有効ビット1136が格納される。
転送許可パケット条件1132は、ここでは送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号を含むものとしている。これらの項目は一例であり、ホワイトリストの目的に応じて他の項目を含んでいても良い。検索用送信元MACアドレス1133と検索用宛先MACアドレス1135は、それぞれ転送許可パケット条件1132が送信元IPアドレスと宛先アドレスを含んでいた場合に、これらのIPアドレスを割り当てられている装置のMACアドレスを格納する。
送信元有効ビット1134と宛先有効ビット1136は、それぞれMACアドレス1133と検索用宛先MACアドレス1135に有効なMACアドレスが格納されている場合に「有効」という値を格納する。この値が「無効」の場合は、転送許可パケット条件1132内のIPアドレスを割り当てられている装置が存在しないことを意味し、送信元有効ビット1134と宛先有効ビット1136のいずれかが「無効」となっている場合、当該エントリは無効、すなわち、当該エントリの転送許可パケット条件1132に合致していても、そのパケットの通信は許可されないという扱いになる。
ホワイトリスト格納メモリ113内の各エントリ1130は、ホワイトリスト機能が生成状態の時に通過したパケットを通過させるように生成され、運用状態においてはエントリ1130の転送許可パケット条件1132の内容に合致するパケットのみ転送するように使用される。これらの動作例については、例えば特許文献3に開示されているため、ここでの詳細な説明は省略する。
図5は、転送設定メモリ114が格納するデータの内容を示す図である。
転送設定メモリ114は、動作設定情報の意味を示す保持情報1141と、その設定値を示す内容1142の二つの項目の組み合わせでパケット転送部110の動作に関する設定情報を格納する。例えば、本実施例ではホワイトリスト機能の動作状態を設定する情報として、保持内容1141が「ホワイトリスト機能状態」、内容1142が「機能無効」、「生成状態」、「運用状態」のいずれか値を取るようになっている。ここでは、本実施例の説明に必要な設定情報のみを記載しているが、その他の設定情報を転送設定メモリ114に格納するようにしてもよい。
転送設定メモリ114は、動作設定情報の意味を示す保持情報1141と、その設定値を示す内容1142の二つの項目の組み合わせでパケット転送部110の動作に関する設定情報を格納する。例えば、本実施例ではホワイトリスト機能の動作状態を設定する情報として、保持内容1141が「ホワイトリスト機能状態」、内容1142が「機能無効」、「生成状態」、「運用状態」のいずれか値を取るようになっている。ここでは、本実施例の説明に必要な設定情報のみを記載しているが、その他の設定情報を転送設定メモリ114に格納するようにしてもよい。
図6は、転送テーブルメモリ111の内容を示す図である。
転送テーブルメモリ111は、パケット送受信部番号1111とMACアドレス1112の組み合わせを格納するエントリ1110を0個以上格納できる構成で、各エントリ1110には識別するためのエントリ番号が付される。
転送テーブルメモリ111は、パケット送受信部番号1111とMACアドレス1112の組み合わせを格納するエントリ1110を0個以上格納できる構成で、各エントリ1110には識別するためのエントリ番号が付される。
なお、転送テーブルメモリ111は、一般的なレイヤ2パケット中継装置において「MAC学習テーブル」とも呼ばれているものであり、無駄なパケット転送を防ぐ目的で、パケット送受信部120毎に、受信パケットのレイヤ2ヘッダ内の送信元MACアドレス情報に基づいてその先に接続されている装置のMACアドレスを一時的に学習しておくものである。転送テーブルメモリ111へのエントリの作成、削除の方法はレイヤ2パケット中継装置における周知の技術であるため、ここでの詳細説明は省略する。
以上が実施例によるパケット中継装置10の説明である。次に、パケット中継装置10を含むネットワークシステムにおけるパケット中継装置10の動作例を示し、本実施例が従来技術での課題を解決していることを説明する。
図7は、実施例によるパケット中継装置10を複数用いて構成したネットワークの一例を示す図である。
このネットワークシステムは、3台のパケット中継装置10(以下、個々のパケット中継装置10を区別する場合は、それぞれ符号を10-1、10-2、10-3と記載し、パケット送受信部120以外のパケット中継装置10内部の構成要素についても、区別が必要な場合は同様の枝番符号を付けて記載)、パケット中継装置10-1のパケット送受信部120-1に接続されるDHCPサーバ30、パケット中継装置10-2のパケット送受信部120-5と120-6にそれぞれ接続される端末20-1および端末20-2、パケット中継装置10-3のパケット送受信部120-8と120-9にそれぞれ接続される端末20-3および端末20-4から構成される(以下、個々の端末20-1から20-4を区別せずに説明する必要がある場合は端末20と記載する)。
このネットワークシステムは、3台のパケット中継装置10(以下、個々のパケット中継装置10を区別する場合は、それぞれ符号を10-1、10-2、10-3と記載し、パケット送受信部120以外のパケット中継装置10内部の構成要素についても、区別が必要な場合は同様の枝番符号を付けて記載)、パケット中継装置10-1のパケット送受信部120-1に接続されるDHCPサーバ30、パケット中継装置10-2のパケット送受信部120-5と120-6にそれぞれ接続される端末20-1および端末20-2、パケット中継装置10-3のパケット送受信部120-8と120-9にそれぞれ接続される端末20-3および端末20-4から構成される(以下、個々の端末20-1から20-4を区別せずに説明する必要がある場合は端末20と記載する)。
パケット中継装置10の間は、パケット中継装置10-1のパケット送受信部120-2とパケット中継装置10-2のパケット送受信部120-4が、パケット中継装置10-1のパケット送受信部120-3とパケット中継装置10-3のパケット送受信部120-7がそれぞれ接続される。
図7の構成において、例えばパケット中継装置10-2に端末20-1と端末20-4の間の通信を許可するホワイトリストのエントリがパケット中継装置10-2内のホワイトリスト格納メモリ113に格納されていたとして、その運用中に端末20-4のIPアドレスがDHCPサーバ30とのDHCP通信により変更または解放された場合、従来技術ではパケット中継装置10-2は、当該DHCP通信に伴うDHCPパケットをスヌーピングできず、端末20-4のIPアドレスの変化をホワイトリスト格納メモリ113に反映することができない。これは、意図しない別の端末にそれまで端末20-4に割り当てられていたIPアドレスが割り当てられた場合に、本来許可してはならない端末の通信を許可してしまうといったセキュリティ上の問題を引き起こす可能性がある。
しかし、実施例によるパケット中継装置10を用いれば、DHCPパケットが直接通過するかどうかに係わらず、すべてのパケット中継装置10でDHCP情報テーブル105の内容を適切に更新することができ、それに基づいてホワイトリスト格納メモリ113の内容も更新することができる。その動作を以下で詳細に説明する。
図8は、図7に示したネットワークシステムにおいて構成要素となる装置の動作を示したシーケンス図である。
ここで、本シーケンス図の動作を始める前の初期状態として、各パケット中継装置10内のテーブル内容は図9、図10、図11のようになっているものとする。
ここで、本シーケンス図の動作を始める前の初期状態として、各パケット中継装置10内のテーブル内容は図9、図10、図11のようになっているものとする。
図9は、転送テーブルメモリ111の初期状態を示すものである。
パケット中継装置10-1の転送テーブルメモリ111-1には、パケット送受信部120-2の配下に端末20-1(MACアドレスMAC20-1)と端末20-2(MACアドレスMAC20-2)が、パケット送受信部120-3の配下に端末20-3(MACアドレスMAC20-3)と端末20-4(MACアドレスMAC20-4)が、パケット送受信部120-1の配下にDHCPサーバ(MACアドレスMAC30)が接続されていることを示している。
パケット中継装置10-1の転送テーブルメモリ111-1には、パケット送受信部120-2の配下に端末20-1(MACアドレスMAC20-1)と端末20-2(MACアドレスMAC20-2)が、パケット送受信部120-3の配下に端末20-3(MACアドレスMAC20-3)と端末20-4(MACアドレスMAC20-4)が、パケット送受信部120-1の配下にDHCPサーバ(MACアドレスMAC30)が接続されていることを示している。
同様に、パケット中継装置10-2の転送テーブルメモリ111-2とパケット中継装置10-3の転送テーブルメモリ111-3にも、図示したとおりの値が格納され、転送先となる装置のMACアドレスとそれらが接続されているパケット送受信部120の対応付けが学習された状態になっているものとする。
図10は、DHCP更新情報通知先テーブル106の初期状態を示すものでる。
パケット中継装置10-1のDHCP更新情報通知先テーブル106-1には、DHCP更新情報パケットを送信すべきパケット中継装置10-2と10-3が接続されているパケット送受信部120-2とパケット送受信部120-3が指定されていることを示している。また、パケット中継装置10-2のDHCP更新情報テーブル106-2とパケット中継装置10-3のDHCP更新情報テーブル106-3にはDHCP更新情報パケットの送信先が設定されていないことを示している。
パケット中継装置10-1のDHCP更新情報通知先テーブル106-1には、DHCP更新情報パケットを送信すべきパケット中継装置10-2と10-3が接続されているパケット送受信部120-2とパケット送受信部120-3が指定されていることを示している。また、パケット中継装置10-2のDHCP更新情報テーブル106-2とパケット中継装置10-3のDHCP更新情報テーブル106-3にはDHCP更新情報パケットの送信先が設定されていないことを示している。
図11は、DHCP情報テーブル105の初期状態を示すものである。
初期状態として、図7の3台のパケット中継装置10のDHCP情報テーブル105の内容はすべて同じになっており、それぞれ固有のMACアドレスを持つ4台の端末20とそれらに割り当てられているIPアドレスの対応およびリースタイマが、複数のエントリ1050に格納されている。
初期状態として、図7の3台のパケット中継装置10のDHCP情報テーブル105の内容はすべて同じになっており、それぞれ固有のMACアドレスを持つ4台の端末20とそれらに割り当てられているIPアドレスの対応およびリースタイマが、複数のエントリ1050に格納されている。
以上のような初期状態になっている前提で、まず、端末20-4がシャットダウンする等の理由で、割り当てられているIPアドレスを解放する場合のネットワークシステム全体の動作を図8により説明する。
まず、端末20-4が割り当てられたIPアドレス(IP4)を解放するため、DHCPプロトコルに基づいてDHCP Releaseパケット51をDHCPサーバ30に向けて送信する。DHCP Releaseパケット51のレイヤ2ヘッダに含まれる宛先MACアドレスはDHCPサーバ30のMACアドレスMAC30が格納される。
DHCP Releaseパケット51は、パケット中継装置10-3の転送先決定部112-3がパケット送受信部120-9を通して受信し、転送テーブルメモリ111-3でDHCP Releaseパケット51の宛先MACアドレス(MAC30)を含むエントリ番号5の内容に従ってパケット送受信部120-7へ転送する。その際、転送先決定部112-3は、転送したDHCP Releaseパケット51がDHCP情報の更新に係わるパケットであることを認識し、DHCP Releaseパケット51の複製を制御部100-3へも転送する。
そして、CPU101-3が複製されたDHCP Releaseパケット51を入力として制御プログラム104によってDHCP情報更新処理S500-1を実行し、DHCP情報テーブル105-3を図11に示した状態からエントリ番号4(MAC20-4にIP4が割り当てられていることを示すエントリ)が削除された状態とする。さらに、CPU101-3は制御プログラム104によってホワイトリスト更新処理S510-1を実行する。制御プログラム104の詳細動作は、図13と図14のフローチャートを用いて後述する。
次に、パケット中継装置10-3が転送したDHCP Releaseパケット51は、パケット中継装置10-1の転送先決定部112-1がパケット送受信部120-3を通して受信し、転送テーブルメモリ111-1でDHCP Releaseパケット51の宛先MACアドレス(MAC30)を含むエントリ番号5の内容に従ってパケット送受信部120-1へ転送し、DHCPサーバ30に到達する。
その際、転送先決定部112-1は、転送したDHCP Releaseパケット51がDHCP情報の更新に係わるパケットであることを認識し、DHCP Releaseパケット51の複製を制御部100-1へも転送する。そして、CPU101-1が複製されたDHCP Releaseパケット51を入力として制御プログラム104によってDHCP情報更新処理S500-2を実行し、DHCP情報テーブル105-1を図11に示した状態からエントリ番号4(MAC20-4にIP4が割り当てられていることを示すエントリ)が削除された状態とする。
さらに、DHCP情報更新処理S500-2の中で、DHCP更新情報通知先テーブル106-1の内容と転送テーブルメモリ111-1の内容に基づいた処理(図13で後述)の結果としてDHCP更新情報パケット50-1を生成し、転送先決定部112-1とパケット送受信部120-2を通してパケット中継装置10-2へ送信する。その後、CPU101-1は制御プログラム104によってホワイトリスト更新処理S510-2を実行する。
図12は、DHCP更新情報パケット50(DHCP更新情報パケット一般を指す場合は、符号を50と記載)のフォーマットの一例を示す図である。
この例では、DHCP更新情報パケット50はレイヤ2ヘッダ401と各種の情報を格納するペイロードから構成され、ペイロードにはMACアドレス402、IPアドレス403、リースタイマ404、処理タイプ405が格納される。レイヤ2ヘッダ401には、本パケットがDHCP更新情報であることを示す固有の識別子も含まれる。DHCP更新情報パケット50は、DHCPパケットのスヌーピングを行ったパケット中継装置10が、下位のパケット中継装置10にDHCP情報の更新を伝えるためのパケットである。DHCP更新情報パケット50-1の例では、MACアドレス402に端末20-4のMACアドレスMAC20-4、IPアドレス403に端末20-4に割り当てられていたIPアドレスIP4、処理タイプ405に処理内容がIPアドレスの解放であることを示す値「解放」がそれぞれ格納される。
この例では、DHCP更新情報パケット50はレイヤ2ヘッダ401と各種の情報を格納するペイロードから構成され、ペイロードにはMACアドレス402、IPアドレス403、リースタイマ404、処理タイプ405が格納される。レイヤ2ヘッダ401には、本パケットがDHCP更新情報であることを示す固有の識別子も含まれる。DHCP更新情報パケット50は、DHCPパケットのスヌーピングを行ったパケット中継装置10が、下位のパケット中継装置10にDHCP情報の更新を伝えるためのパケットである。DHCP更新情報パケット50-1の例では、MACアドレス402に端末20-4のMACアドレスMAC20-4、IPアドレス403に端末20-4に割り当てられていたIPアドレスIP4、処理タイプ405に処理内容がIPアドレスの解放であることを示す値「解放」がそれぞれ格納される。
図8に戻り、パケット中継装置10-2では、転送先決定部112-2がパケット送受信部120-4を通してDHCP更新情報パケット50-1を受信すると、制御部100-2に転送し、CPU101-2が制御プログラム104によりDHCP情報更新処理S500-3を実行する。その結果、DHCP情報テーブル105-2は図11に示した状態からエントリ番号4(MAC20-4にIP4が割り当てられていることを示すエントリ)が削除された状態となる。さらに、CPU101-2は制御プログラム104によってホワイトリスト更新処理S510-3を実行する。
以上の一連の処理により、端末20-4がDHCPプロトコルによりIPアドレスの解放を行った場合に、その情報が当該DHCPプロトコルのパケットが通過しないパケット中継装置10にも伝わり、図11に示す状態のDHCP情報テーブル105からエントリ番号4を削除する処理がすべてのパケット中継装置10で実行される。さらに、その更新されたDHCP情報テーブル105に基づいて、ホワイトリスト格納メモリ113の内容もすべてのパケット中継装置10において適切に更新される。
次にもう一つの動作例として、端末20-4が再起動する等により、DHCPで新たなIPアドレスを取得した際の動作を同じく図8により説明する。ここで説明する動作は、先に説明したIPアドレス解放処理が完了した後の状態からに引き続き行われるものとする。
まず、端末20-4は新たなIPアドレスの割り当てをDHCPサーバ30に要求するため、DHCP Requestパケット52をDHCPサーバ30に向けて送信する。DHCP Requestパケット52は、先に説明したDHCP Releaseパケット51と同様、各パケット中継装置10が持つ転送テーブルメモリ111の内容に従って、パケット中継装置10-3とパケット中継装置10-1を経由して転送される。ここで、DHCP Requestパケット52は新たなIPアドレス割り当てをDHCPサーバ30に要求するもので、この段階ではまだIPアドレスの割り当ては完了していないので、パケット中継装置10-1とパケット中継装置10-3は、DHCP Requestパケット52の転送以外の処理は行わない。
DHCPサーバ30は、DHCP Requestパケット52を受信すると、その応答として、新たなIPアドレス(IP5)の割り当てを通知するDHCP Ackパケット53を端末20-4に向けて送信する。
DHCP Ackパケット53は、パケット中継装置10-1の転送先決定部112-1がパケット送受信部120-1を通して受信し、転送テーブルメモリ111-1のエントリ番号4の内容に従ってパケット送受信部120-3へ転送する。その際、転送先決定部112-1は、転送したDHCP Ackパケット53がDHCP情報の更新に係わるパケットであることを認識し、DHCP Ackパケット53の複製を制御部100-1へも転送する。
そして、CPU101-1が複製されたDHCP Ackパケット53を入力として制御プログラム104によってDHCP情報更新処理S500-4を実行し、DHCP情報テーブル105-1にIPアドレスIP5がMACアドレスMAC20-4の端末に割り当てられたことを示す新たなエントリ1050を作成する。さらに、DHCP情報更新処理S500-4の中で、DHCP更新情報通知先テーブル106-1の内容と転送テーブルメモリ111-1の内容に基づいた処理(図13で後述)の結果としてDHCP更新情報パケット50-2を生成し、転送先決定部112-1とパケット送受信部120-2を通してパケット中継装置10-2へ送信する。
DHCP更新情報パケット50-2では、MACアドレス402には端末20-4のMACアドレスMAC20-4が、IPアドレス403には端末20-4に割り当てられるIPアドレスIP5が、リースタイマ404には新たに割り当てられるIP5の有効期限である時刻5が、処理タイプ405には処理内容がIPアドレスの割り当てであることを示す値「割り当て」がそれぞれ格納される。その後、CPU101-1は制御プログラム104によってホワイトリスト更新処理S510-4を実行する。
パケット中継装置10-2では、転送先決定部112-2がパケット送受信部120-4を通してDHCP更新情報パケット50-2を受信すると、それがDHCP更新情報パケットであることを認識して制御部100-2に転送し、CPU101-2が制御プログラム104によりDHCP情報更新処理S500-5を実行する。その結果、DHCP情報テーブル105-2には、MACアドレス20-4の装置にIPアドレスIP5が時刻5を期限として割り当てられたことを示す新たなエントリ1050が作成される。さらに、CPU101-2は制御プログラム104によってホワイトリスト更新処理S510-5を実行する。
次に、パケット中継装置10-1が転送したDHCP Ackパケット53は、パケット中継装置10-3の転送先決定部112-3がパケット送受信部120-7を通して受信し、転送テーブルメモリ111-3のエントリ番号2の内容に従ってパケット送受信部120-9へ転送して端末20-4に到達する。その際、転送先決定部112-3は、転送したDHCP Ackパケット53がDHCP情報の更新に係わるパケットであることを認識し、DHCP Ackパケット53の複製を制御部100-3へも転送する。
そして、CPU101-3が複製されたDHCP Ackパケット53を入力として制御プログラム104によってDHCP情報更新処理S500-6を実行し、DHCP情報テーブル105-3には、MACアドレス20-4の装置にIPアドレスIP5が時刻5を期限として割り当てられたことを示す新たなエントリ1050が作成される。その後、CPU101-1は制御プログラム104によってホワイトリスト更新処理S510-6を実行する。
以上の一連の処理により、DHCPプロトコルにより新たなIPアドレスが端末20-4に割り当てられた場合に、その情報が当該DHCPプロトコルのパケットが通過しないパケット中継装置10-2にも伝わり、すべてのパケット中継装置10のDHCP情報テーブル105にその割り当て結果を示す新たなエントリ1050が作成されることとなる。さらに、その更新されたDHCP情報テーブル105に基づいて、ホワイトリスト格納メモリ113の内容もすべてのパケット中継装置10において更新される。
次に、フローチャートを用いて制御プログラム104の詳細動作を説明する。
図13は、図8のシーケンス図で示したDHCP情報更新処理S500-1からS500-6の処理を示すフローチャートである。これらの処理はすべて同じであるため、以下ではS500と表現する。
図13は、図8のシーケンス図で示したDHCP情報更新処理S500-1からS500-6の処理を示すフローチャートである。これらの処理はすべて同じであるため、以下ではS500と表現する。
DHCP情報更新処理S500は、制御部100がDHCP情報を更新するDHCPパケット、または、DHCP更新情報パケットを受信したときに起動する。
最初の処理として、DHCP情報を更新するDHCPパケットを受信した場合は、該DHCPパケットの内容からIPアドレス割り当て変更の対象となる装置のMACアドレス、割り当てまたは削除されるIPアドレス、該IPアドレスを割り当てる場合の有効期限であるリースタイマ、該DHCPパケットによる処理がIPアドレスの「割り当て」であるか「削除」であるかを示す処理タイプを抽出する(S5001)。
処理タイプは該DHCPパケットの種類によって決まり、例えばDHCP Ackパケットであれば「割り当て」となり、DHCP Releaseパケットであれば「削除」となる。DHCP更新情報パケットを受信した場合は、図12に示したDHCP更新情報パケット50のペイロード部分からMACアドレス、IPアドレス、リースタイマ、処理タイプをそれぞれ抽出する(S5002)。
次に、S5001またはS5002で抽出したMACアドレスと同じ値をMACアドレス1051に持つエントリ1050をDHCP情報テーブル105から検索する(S5003)。
S5003でエントリ1050が見つかった場合は(S5004)、S5001またはS5002で抽出した処理タイプが「割り当て」であれば(S5005)、前記エントリ1050の内容を更新し(S5006)、S5002で抽出した処理タイプが「削除」であれば(S5005)、前記エントリ1050を削除する(S5007)。S5006のエントリ更新とは、具体的には、前記エントリ1050のIPアドレス1052とリースタイマ1053の値を、S5001またはS5002で抽出したIPアドレスとリースタイマの値にそれぞれ書き換える処理である。
S5003でエントリ1050が見つからなかった場合は(S5004)、S5001またはS5002で抽出した処理タイプが「割り当て」であれば(S5008)、新規のエントリ1050を作成する(S5009)。S5009で新規作成するエントリ1050のMACアドレス1051とIPアドレス1052とリースタイマ1053には、S5001またはS5002で抽出したMACアドレスとIPアドレスとリースタイマの値をそれぞれ格納する。
以上、S5003からS5009の処理により、パケット中継装置10が受信したDHCPパケットまたはDHCP更新情報パケットの内容に基づいて、DHCP情報テーブル105の内容が更新される。
次に、DHCP更新情報処理S500では、配下に接続されるパケット中継装置10に必要に応じてDHCP更新情報を伝えるためのDHCP更新情報パケット50を作成する(S5010)。ここで作成するDHCP更新情報パケット50のMACアドレス1051とIPアドレス1052とリースタイマ1053には、S5001またはS5002で抽出したMACアドレスとIPアドレスとリースタイマの値をそれぞれ格納する。
次に、DHCP更新情報通知先テーブル106のエントリ1060に登録されているすべてのパケット送受信部番号に対して、S5012とS5013を実行する(S5011)。以下の説明では、処理対象となるDHCP更新情報通知先テーブル106のエントリ1060を「処理対象エントリ1060」と表記する。
S5012では、転送テーブルメモリ111から、パケット送受信部番号1111が処理対象エントリ1060の値と同じであり、かつ、MACアドレス1112がS5001またはS5002で抽出したMACアドレスと同じ値であるエントリ1110を検索する(S5012)。
S5012でエントリが見つからなかった場合は、転送先決定部112を経由してS5010で作成したDHCP更新情報パケット50を処理対象エントリ1060に格納される番号のパケット送受信部から送信する(S5013)。S5012でエントリが見つかった場合は、DHCP更新情報パケットの送信は行わない。
S5010からS5013までの処理の目的は、DHCP更新情報をDHCP更新情報通知先テーブル106で指定されるパケット送受信部に接続された配下のパケット中継装置10にも送信することであり、さらにその際、DHCP更新の対象となっている端末が配下につながっているパケット中継装置10に対してはDHCP更新情報を送信する対象から除外するということである。DHCP更新の対象となっている端末が配下につながるパケット中継装置10はDHCP更新の契機となったDHCPパケットが通過しているので、すでにDHCP更新を認識できているためである。すなわち、S5011からS5013の処理によれば、配下のDHCPパケットが経由していないパケット中継装置10宛に限定してDHCP更新情報を送信できるようになり、システム全体で最小限のDHCP更新情報パケットの送信により効率的なDHCP更新情報の共有が行えるようになる効果がある。
以上が、制御プログラム104におけるDHCP情報更新処理S500の詳細である。
以上が、制御プログラム104におけるDHCP情報更新処理S500の詳細である。
図14は、図8のシーケンス図で示したホワイトリスト更新処理S510-1からS510-6の処理を示すフローチャートである。これらの処理はすべて同じであるため、以下ではS510と表現する。
ホワイトリスト更新処理S510では、まず、転送設定メモリ114のホワイトリスト機能状態の値を確認し、その値が「機能無効」であればこのパケット中継装置10ではホワイトリスト機能を使用していないという意味なので、S510はここで終了する(S5101)。
転送設定メモリ114のホワイトリスト機能状態の値が「機能無効」以外であれば、ホワイトリスト格納メモリ113のすべてのエントリ1130に対してS5103以降の処理を実行する(S5102)。以下の説明では、処理対象となるホワイトリスト格納メモリ113のエントリ1130を「処理対象エントリ1130」と表記する。
まず、S5103で、DHCP情報テーブル105から処理対象エントリ1130の検索用送信元MACアドレス1133の値をMACアドレス1051に持つエントリ1050を検索する。
S5103で該当するエントリ1050が見つかった場合は(S5104)、対象エントリ1130の転送許可パケット条件1132に含まれる送信元IPアドレスに検索された前記エントリ1050のIPアドレス1052に格納されているIPアドレスの値を設定し、送信元有効ビット1133の値を「有効」に設定する(S5105)。
S5103で該当するエントリ1050が見つからなかった場合は(S5104)、送信元有効ビット1134の値を「無効」に設定する(S5106)。
続いて、S5107で、DHCP情報テーブル105から処理対象エントリ1130の検索用宛先MACアドレス1135の値をMACアドレス1051に持つエントリ1050を検索する。
S5107で該当するエントリ1050が見つかった場合は(S5108)、対象エントリ1130の転送許可パケット条件1132に含まれる宛先IPアドレスに検索された前記エントリ1050のIPアドレス1052に格納されているIPアドレスの値を設定し、宛先有効ビット1136の値を「有効」に設定する(S5109)。
S5107で該当するエントリ1050が見つからなかった場合は(S5104)、宛先有効ビット1136の値を「無効」に設定する(S5110)。
制御プログラム104は、以上のような処理でホワイトリスト更新処理S510を実行し、DHCPによる端末のIPアドレス再割り当てや解除が行われた際、その変更内容が反映されたDHCP情報テーブル105に基づいて、ホワイトリスト格納テーブルの各エントリに含まれるIPアドレス情報の変更や、エントリの有効化や無効化の制御をおこなう。このような制御により、DHCPプロトコルにより解放されたIPアドレスを含むホワイトリストは無効となり、新たなIPアドレスが割り当てられればホワイトリスト内のIPアドレスを更新したうえで再度有効となる。さらに、一度解放されたIPアドレスが異なるMACアドレスを持つ別の端末に再割り当てされたとしても、その端末にホワイトリストに基づく通信許可が行われることはない。
以上説明した構成により、複数のパケット中継装置10が階層的に接続されたネットワークシステムにおいて、不正パケットの中継をホワイトリストにより抑止することが可能で、すべてのパケット中継装置10がすべてのDHCPパケットを直接監視できない場合でも、その情報をすべてのパケット中継装置10の間で共有し、各パケット中継装置10が自装置内のホワイトリストの内容を修正することが可能なネットワークシステムが得られる。
ここまでは図7のネットワークシステムを例に説明したが、さらに複雑な構成でも複数のパケット転送装置間でDHCP更新情報の共有が行えることを説明するため、他のネットワーク構成における動作についても、DHCP更新情報の伝達部分に絞って説明する。
図15は、第2のネットワークシステム構成例を示す図である。
このシステムは、図7のシステムおいて、パケット中継装置10-2の配下に2台のパケット中継装置10-4と10-5を接続するように変更し、それらの配下に端末が接続されるようにした構成である。各パケット中継装置10内に設定されているDHCP更新情報通知先テーブル106の内容も併せて記載している。
このシステムは、図7のシステムおいて、パケット中継装置10-2の配下に2台のパケット中継装置10-4と10-5を接続するように変更し、それらの配下に端末が接続されるようにした構成である。各パケット中継装置10内に設定されているDHCP更新情報通知先テーブル106の内容も併せて記載している。
図15の構成では、まずパケット中継装置10-1が図8のS500-2に相当する処理によりDHCP更新情報パケット50-10をパケット中継装置10-2に送信する。
パケット中継装置10-2では、制御プログラム104がDHCP更新情報パケット50-10を受信することで開始するDHCP情報更新処理500において、DHCP更新情報通知先テーブル106-2に基づいてDHCP更新情報パケット50-11、50-12をパケット転送装置10-4と10-5にもそれぞれ送信する。これにより、パケット転送装置10-4と10-5でも、制御プログラム104のS500とS510の処理によりDHCP情報テーブル105とホワイトリスト格納メモリ113の内容が更新される。
図16は、第3のネットワークシステム構成例を示す図である。
このシステムは、図7のシステムおいて、パケット中継装置10-3のパケット送受信部120-8の先にパケット中継装置10-6を接続するように変更し、その配下に端末が接続されるようにした構成である。各パケット中継装置10内に設定されているDHCP更新情報通知先テーブル106の内容も併せて記載している。
このシステムは、図7のシステムおいて、パケット中継装置10-3のパケット送受信部120-8の先にパケット中継装置10-6を接続するように変更し、その配下に端末が接続されるようにした構成である。各パケット中継装置10内に設定されているDHCP更新情報通知先テーブル106の内容も併せて記載している。
図16の構成では、まずパケット中継装置10-1が図8のS500-2に相当する処理によりDHCP更新情報パケット50-10をパケット中継装置10-2に送信する。ここで、パケット中継装置10-1ではパケット送受信部120-3がDHCP更新対象の端末20-4が接続されるポートとなるため、DHCP更新情報通知先テーブル106-1にパケット送受信部120-3は登録されているが、S500におけるS5012で「エントリ有り」の判定となり、パケット中継装置10-1はパケット中継装置10-2に対してDHCP更新情報パケット50を送信しない。
しかし、パケット中継装置10-3で端末20-4からのDHCPパケット受信を契機として起動する制御プログラム104のDHCP情報更新処理500において、パケット中継装置10-6へDHCP更新情報パケット50-13を送信するため、最終的にパケット中継装置10-6も含めてネットワークシステム内のすべてのパケット中継装置10にDHCP更新情報が行き渡ることとなる。
上記実施例では、パケット中継装置がDHCPパケットを転送する際、DHCPパケットに含まれる情報に基づいてパケット中継装置が保持するDHCP情報を更新するとともに、あらかじめ指定された他のパケット中継装置に前記情報を送信し、他のパケット中継装置は前記情報に基づいて前記他のパケット中継装置が保持するDHCP情報を更新する。そして、各パケット中継装置は、更新されたDHCP情報に基づいてホワイトリストを更新する。
上記実施例によれば、動的に端末のIPアドレスが変化するネットワークが多数のパケット中継装置で構成されていた場合であっても、ホワイトリスト機能によるセキュリティを向上させることができる。
図17は、第4のネットワークシステム構成例を示す図である。
この例は、第2、第3の例とは異なり、本発明を実施する最小構成のシステムの一例を示すもので、本発明によるパケット中継装置2台から構成される。図7の例に対し、パケット中継装置10-3と端末20-3を削除し、端末20-4をパケット中継装置10-1のパケット送受信部120-3に直接接続した構成となっている。
この例は、第2、第3の例とは異なり、本発明を実施する最小構成のシステムの一例を示すもので、本発明によるパケット中継装置2台から構成される。図7の例に対し、パケット中継装置10-3と端末20-3を削除し、端末20-4をパケット中継装置10-1のパケット送受信部120-3に直接接続した構成となっている。
パケット中継装置10-1のDHCP更新情報通知先テーブル106-1の内容は、パケット送受信部120-2のみを指定したものとなる。これは、パケット中継装置10-1で下流となるパケット中継装置が接続されるパケット送受信部が120-2のみであることを示す。
図18は、図17のシステムの動作を示したシーケンス図である。
図8のシーケンス図と同様に、端末20-4が割り当てられているIPアドレスを解放する場合、および、IPアドレスを新たに取得する場合の動作を示している。
図8との動作上の差分は、端末20-4のDHCPパケットをパケット中継装置10-1が直接送受信するようになることと、パケット中継装置10-1のDHCP情報更新処理S500-7、S500-8の処理のみである。図8と同一のステップ番号を付している処理は図8と同じであるため説明は省略する。
図8のシーケンス図と同様に、端末20-4が割り当てられているIPアドレスを解放する場合、および、IPアドレスを新たに取得する場合の動作を示している。
図8との動作上の差分は、端末20-4のDHCPパケットをパケット中継装置10-1が直接送受信するようになることと、パケット中継装置10-1のDHCP情報更新処理S500-7、S500-8の処理のみである。図8と同一のステップ番号を付している処理は図8と同じであるため説明は省略する。
DHCP情報更新処理S500-7と図8のDHCP情報更新処理S500-2を比較して違いがあるのは、図13のフローチャートのS5011からS5013に対応する処理である。図8の場合は、図10が示すとおりDHCP更新情報通知先テーブル106-1にはパケット送受信部120-2と120-3が登録されており、このうち120-3の先にDHCPパケット送信元の端末20-4が接続されていることが転送テーブル111-1から確認できる。
その結果、DHCP更新情報パケットの送信元となるパケット送受信部から120-3が除外され、パケット送受信部120-2のみからDHCP更新情報パケットが送信される。一方、図17の場合は、DHCP更新情報通知先テーブル106-1には120-2のみが登録されており、その先にDHCPパケット送信元の端末20-4が接続されていないことが転送テーブル111-1から確認できるので、DHCP更新情報パケットはパケット送受信部120-2のみから送信される。
以上の動作は、S500-8でも同様である。以上説明したような図18の動作の結果として、パケット中継装置10-1とパケット中継装置10-2のそれぞれが持つDHCP情報テーブル105の内容は同じになる。
以上、パケット中継装置の数が異なるいくつかのシステム例で動作を説明したが、いずれの構成においても、DHCP更新情報送信先テーブルと転送テーブルを参照することで不要なDHCP更新情報パケットを送信することなく、全てのパケット中継装置の間で効率的にDHCP情報テーブルの内容を同期できるようになる。
上記実施例においては、多数のパケット中継装置から構成され、個々のパケット中継装置がすべてのDHCP通信に対するDHCPスヌーピングを行えないようなネットワークであっても、個々のパケット中継装置がDHCP情報を収集可能とし、このDHCP情報に基づいてホワイトリストの内容を適切に更新することができる。
具体的には、多数のパケット中継装置を含む規模の大きなネットワークにおいても、DHCPパケットが通過するか否かに係わらず、各パケット中継装置がDHCPスヌーピングによるIPアドレス割り当て情報を収集できるようになる。そして、各パケット中継装置がホワイトリスト機能を持っていた場合、収集したIPアドレス割り当て情報に基づいて、動的にアドレスが変更される端末に関するホワイトリストを各パケット中継装置で更新できるようになる。この結果、規模の大きなネットワークでもホワイトリスト機能によるセキュリティ確保を行えるようになる。
また、以上の実施例では、ネットワークシステムは単一のレイヤ2セグメントで構成されている前提で説明したが、本発明はVLANを利用してレイヤ2ネットワークが論理的に多重化されたネットワークシステムにも適用可能である。この場合、パケット送受信部の識別子として、VLAN番号と物理的なパケット送受信部の組み合わせで特定される論理的なパケット送受信部の識別子を用いるようにすればよい。
10 パケット中継装置
20 端末
30 DHCPサーバ
40 入出力装置
50 DHCP更新情報パケット
100 制御部
101 CPU
102 メモリ
103 入出力インタフェース
104 制御プログラム
105 DHCP情報テーブル
106 DHCP更新情報通知先テーブル
110 パケット転送部
111 転送テーブルメモリ
112 転送先決定部
113 ホワイトリスト格納メモリ
114 転送設定メモリ
120 パケット送受信部
20 端末
30 DHCPサーバ
40 入出力装置
50 DHCP更新情報パケット
100 制御部
101 CPU
102 メモリ
103 入出力インタフェース
104 制御プログラム
105 DHCP情報テーブル
106 DHCP更新情報通知先テーブル
110 パケット転送部
111 転送テーブルメモリ
112 転送先決定部
113 ホワイトリスト格納メモリ
114 転送設定メモリ
120 パケット送受信部
Claims (8)
- 少なくとも処理部を有するパケット中継装置であって、
前記処理部は、
受信したパケットに含まれる通信内容に基づいて、前記パケット中継装置が保持するプロトコル情報を更新してプロトコル更新情報を生成し、
予め指定された他のパケット中継装置に前記プロトコル更新情報を送信し、
複数のパケット送受信部と、
複数の前記パケット送受信部の識別情報をそれぞれ格納するプロトコル情報通知先テーブルと、を更に有し、
前記処理部は、
前記プロトコル情報通知先テーブルに格納された前記識別情報に基づいて、前記他のパケット中継装置が接続された前記パケット送受信部を特定し、
特定された前記パケット送受信部を介して、前記他のパケット中継装置に前記プロトコル更新情報を送信することを特徴とするパケット中継装置。 - 前記パケット送受信部毎に、前記パケット送受信部の前記識別情報と前記パケット送受信部が受信した前記パケットの送信元MACアドレスの組み合わせ格納する転送テーブルメモリと、
MACアドレス、IPアドレス及び前記IPアドレスの有効期限を対応させてエントリ毎に格納するプロトコル情報テーブルと、を更に有し、
前記処理部は、
サーバとクライアント端末の間を転送する前記パケットに含まれる前記通信内容から、クライアントMACアドレス、クライアントIPアドレス及び前記クライアントIPアドレスのクライアント有効期限を抽出し、
前記クライアントMACアドレスにより前記プロトコル情報テーブル内の前記MACアドレスを検索して、前記MACアドレスが検索された場合、前記クライアントIPアドレス及び前記クライアント有効期限により、検索された前記エントリの前記IPアドレス及び前記有効期限を更新し、
前記MACアドレスが検索されなかった場合、前記クライアントMACアドレス、前記クライアントIPアドレス及び前記クライアント有効期限を含む前記エントリを新規に作成し、
前記クライアントMACアドレス、前記クライアントIPアドレス及び前記クライアント有効期限を格納した前記プロトコル更新情報を生成し、
前記プロトコル情報通知先テーブルに格納されている前記識別情報のそれぞれについて、前記クライアントMACアドレスとの組み合わせが前記転送テーブルメモリに格納されているかどうかを検索し、前記組み合わせが前記転送テーブルメモリに格納されていない場合に、前記識別情報で特定される前記パケット送受信部に前記プロトコル更新情報を送信することを特徴とする請求項1に記載のパケット中継装置。 - 前記MACアドレス及び前記IPアドレスを含むホワイトリストをエントリ毎に格納するホワイトリスト格納メモリを更に有し、
前記処理部は、
前記クライアントMACアドレスにより前記ホワイトリスト格納メモリの前記エントリの前記MACアドレスを検索し、
前記クライアントIPアドレスを用いて、検索された前記エントリの前記IPアドレスを更新することを特徴とする請求項2に記載のパケット中継装置。 - 前記処理部は、
前記パケット中継装置が保持する前記プロトコル情報として、DHCP情報を更新することを特徴とする請求項1に記載のパケット中継装置。 - 第1のパケット中継装置と第2のパケット中継装置がネットワークを介して接続されたパケット中継システムであって、
前記第1のパケット中継装置は、
前記ネットワークを介してパケットが転送され、
前記ネットワークを介して転送されてきた前記パケットに含まれる通信内容に基づいて、前記第1のパケット中継装置が保持する第1のプロトコル情報を更新して第1のプロトコル更新情報を生成し、前記第2のパケット中継装置に前記第1のプロトコル更新情報を送信し、
前記第2のパケット中継装置は、
前記ネットワークを介して前記パケットは転送されず、
前記第1のパケット中継装置から送信されてきた前記第1のプロトコル更新情報に基づいて、前記第2のパケット中継装置が保持する第2のプロトコル情報を更新し、
第3のパケット中継装置が前記第2のパケット中継装置に更に接続されており、
前記第2のパケット中継装置は、
送信されてきた前記第1のプロトコル更新情報に基づいて、第2のプロトコル更新情報を生成して、前記第3のパケット中継装置に前記第2のプロトコル更新情報を送信し、
前記第3のパケット中継装置は、
前記ネットワークを介して前記パケットは転送されず、
前記第2のパケット中継装置から送信されてきた前記第2のプロトコル更新情報に基づいて、前記第3のパケット中継装置が保持する第3のプロトコル情報を更新することを特徴とするパケット中継システム。 - 前記パケットは、
IPアドレスの動的割当てを行うプロトコルによるサーバとクライアント端末の間を転送することを特徴とする請求項5に記載のパケット中継システム。 - 前記第1のパケット中継装置は、
第1のホワイトリストを保持し、
更新された前記第1のプロトコル情報に基づいて、前記第1のホワイトリストを更新し、
前記第2のパケット中継装置は、
第2のホワイトリストを保持し、
更新された前記第2のプロトコル情報に基づいて、前記第2のホワイトリストを更新し、
前記第3のパケット中継装置は、
第3のホワイトリストを保持し、
更新された前記第3のプロトコル情報に基づいて、前記第3のホワイトリストを更新することを特徴とする請求項5に記載のパケット中継システム。 - 前記第1のパケット中継装置は、
前記第1のパケット中継装置が保持する前記第1のプロトコル情報として、第1のDHCP情報を更新し、
前記第2のパケット中継装置は、
前記第2のパケット中継装置が保持する前記第2のプロトコル情報として、第2のDHCP情報を更新し、
前記第3のパケット中継装置は、
前記第3のパケット中継装置が保持する前記第3のプロトコル情報として、第3のDHCP情報を更新することを特徴とする請求項5に記載のパケット中継システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019151724A JP7264767B2 (ja) | 2019-08-22 | 2019-08-22 | パケット中継装置及びパケット中継システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019151724A JP7264767B2 (ja) | 2019-08-22 | 2019-08-22 | パケット中継装置及びパケット中継システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021034831A JP2021034831A (ja) | 2021-03-01 |
| JP7264767B2 true JP7264767B2 (ja) | 2023-04-25 |
Family
ID=74676142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019151724A Active JP7264767B2 (ja) | 2019-08-22 | 2019-08-22 | パケット中継装置及びパケット中継システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7264767B2 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040111640A1 (en) | 2002-01-08 | 2004-06-10 | Baum Robert T. | IP based security applications using location, port and/or device identifier information |
| US20070121617A1 (en) | 2005-11-29 | 2007-05-31 | Cisco Technology, Inc. | Extending sso for DHCP snooping to two box redundancy |
| JP2008005008A (ja) | 2006-06-20 | 2008-01-10 | Alaxala Networks Corp | ネットワーク中継システム、ネットワーク中継システムの制御方法、および、ネットワーク中継システムにおける管理装置 |
| US20100166001A1 (en) | 2008-12-29 | 2010-07-01 | At&T Intellectual Property I, L.P. | Boundary Routers Providing Redistribution and Related Backbone Networks, Computer Program Products, and Methods |
| CN105991321A (zh) | 2015-02-06 | 2016-10-05 | 杭州华三通信技术有限公司 | 管理数据中心服务器的方法及装置 |
| JP2018133692A (ja) | 2017-02-15 | 2018-08-23 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
-
2019
- 2019-08-22 JP JP2019151724A patent/JP7264767B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040111640A1 (en) | 2002-01-08 | 2004-06-10 | Baum Robert T. | IP based security applications using location, port and/or device identifier information |
| US20070121617A1 (en) | 2005-11-29 | 2007-05-31 | Cisco Technology, Inc. | Extending sso for DHCP snooping to two box redundancy |
| JP2008005008A (ja) | 2006-06-20 | 2008-01-10 | Alaxala Networks Corp | ネットワーク中継システム、ネットワーク中継システムの制御方法、および、ネットワーク中継システムにおける管理装置 |
| US20100166001A1 (en) | 2008-12-29 | 2010-07-01 | At&T Intellectual Property I, L.P. | Boundary Routers Providing Redistribution and Related Backbone Networks, Computer Program Products, and Methods |
| CN105991321A (zh) | 2015-02-06 | 2016-10-05 | 杭州华三通信技术有限公司 | 管理数据中心服务器的方法及装置 |
| JP2018133692A (ja) | 2017-02-15 | 2018-08-23 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021034831A (ja) | 2021-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11271892B2 (en) | Network communication method and system, device, and storage medium | |
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| EP3557822A1 (en) | Fully qualified domain name-based traffic control for virtual private network access control | |
| US8767737B2 (en) | Data center network system and packet forwarding method thereof | |
| WO2012077603A1 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
| CN102483702A (zh) | 用于网络设备中的虚拟机的网络话务处理流水线 | |
| JP6793056B2 (ja) | 通信装置及びシステム及び方法 | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| EP2127309A2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an ip (internet protocol) network | |
| EP4088441A1 (en) | Dhcp snooping with host mobility | |
| JP5445262B2 (ja) | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム | |
| US20230198987A1 (en) | Systems and methods for controlling accessing and storing objects between on-prem data center and cloud | |
| SE517217C2 (sv) | Metod och system för kommunikation mellan olika nätverk | |
| JP6289656B2 (ja) | セキュアなコンピュータシステム間の通信のための方法及びコンピュータネットワーク・インフラストラクチャ | |
| JP4356693B2 (ja) | メッセージ配信装置及びその方法並びにシステム及びプログラム | |
| US7359338B2 (en) | Method and apparatus for transferring packets in network | |
| JP7264767B2 (ja) | パケット中継装置及びパケット中継システム | |
| KR102094315B1 (ko) | 계정별 ap 할당 기반 망분리 시스템 | |
| CN109257284B (zh) | 数据存储设备及其操作方法,非暂时性计算机可读介质 | |
| US10931565B2 (en) | Multi-VRF and multi-service insertion on edge gateway virtual machines | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| US20210064411A1 (en) | Management apparatus, management system, management method and management program | |
| JP2002108729A (ja) | ネットワーク接続装置及び同装置に適用されるファイアウォール制御プログラムを記憶したコンピュータ読み取り可能な記憶媒体 | |
| JP2005250649A (ja) | プロセス間通信アクセス制御方式及び方法 | |
| KR20170097457A (ko) | 식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220225 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221227 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230119 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230404 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230413 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7264767 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |