JP7391727B2 - 中継装置 - Google Patents
中継装置 Download PDFInfo
- Publication number
- JP7391727B2 JP7391727B2 JP2020041506A JP2020041506A JP7391727B2 JP 7391727 B2 JP7391727 B2 JP 7391727B2 JP 2020041506 A JP2020041506 A JP 2020041506A JP 2020041506 A JP2020041506 A JP 2020041506A JP 7391727 B2 JP7391727 B2 JP 7391727B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- permission list
- address
- source
- list table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000032683 aging Effects 0.000 claims description 31
- 238000012546 transfer Methods 0.000 claims description 27
- 230000004044 response Effects 0.000 claims description 19
- 230000006870 function Effects 0.000 claims description 17
- 238000000034 method Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000002401 inhibitory effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Description
ホワイトリストの技術では、クライアントのアクセスをサービスによらず遮断してしまう。また、IPアドレスが同一であるが新規にクライアントとなった端末からのアクセスを防止できず、サービス停止に向けてクライアントの数を削減できない。
中継装置は、学習期間とエージング期間の2種類の運用状態を持つ。学習期間はクライアントの送信元IPアドレスを通過許可リストに記録する。また、すべてのパケットを中継する。エージング期間はテーブルを通過許可リストとして使用し、通過許可リストに存在しない送信元IPアドレスを持つパケットは廃棄する。
以下、図面を用いて、実施例について説明する。
図1は、実施形態として想定するネットワークの構成図である。
実施形態は、LAN107とWAN106の間に設置されたゲートウェイとして機能する中継装置101を対象とする。中継装置101は、ネットワークサービス停止機能を有する。LAN(ロールエリアネットワーク)107には、NTPサーバ102、HTTPサーバ103、端末104、端末105が存在する。NTPサーバ102とHTTPサーバ103は、WAN(ワイドエリアネットワーク)106に対して、中継装置101を経由してサービスを提供している。
図2は、図1に示した中継装置101のモジュール構成例を示すブロック図である。
中継装置101はソフトウェア制御部210、ASIC(Application Specific Integrated Circuit)(転送エンジン)220、CAM(Content Addressable Memory)230、パケット送受信部241、242、243から構成される。
図3Aは、通過許可リスト231のテーブル構造である。テーブルはクライアントの送信元IPアドレスとパケットの最終受信時刻の一覧になる。
中継装置101が行う処理は、サービス停止時に、サービスの提供を継続するクライアントの学習と、サービス停止に向けてクライアントの数を徐々に削減(エージング)していくことである。図4を用いて全体の処理を説明する。
図5は通過許可リスト作成時401の装置内のシーケンスである。
中継装置101はWAN側のパケット送受信部241からパケットを受信する(S501)。ASIC(転送エンジン)220は受信パケットの宛先ポート番号をチェックする(S502)。宛先ポートが停止対象のサービス以外を宛先ポートにしている場合、パケットを中継する(S507)。
図6は動作モードを学習からエージングへ切り替える際の装置内のシーケンスである。ソフトウェア制御部210は、ASIC(転送エンジン)220の動作モードをエージングへ設定することで切り替えを行う。
図7はパケット受信時における通過許可リストのエージングの装置内シーケンスである。
中継装置101はWAN側のパケット送受信部241からパケットを受信する(S701)。ASIC(転送エンジン)220は受信パケットの宛先ポート番号をチェックする(S702)。宛先ポートが停止対象のサービス以外を宛先ポートにしている場合、パケットを中継する(S706)。
図8はソフトウェア制御部210が定期的に行う通過許可リストのエージングの装置内シーケンスである。
図7で説明したエージング処理は、パケットの受信を契機として行われるエージング処理なので、通過許可リストに登録されている送信元IPアドレスからのパケットが全く受信されなくなった場合、通過許可リストから削除されないことになってしまう。このように、パケットが全く受信されなくなった場合でも、一定期間経過後に通過許可リストから強制的に削除するため、図7のエージング処理と並列に図8に示すエージング処理を定期的に実行する。
102 NTPサーバ
103 HTTPサーバ
104 端末
105 端末
106 WAN
107 LAN
210 ソフトウェア制御部
211 CPU
212 メモリ
213 機能制御プログラム
214 通過許可リスト管理テーブル
215 時計
220 ASIC(転送エンジン)
221 時計
230 CAM
231 通過許可リスト
241 パケット送受信部
242 パケット送受信部
243 パケット送受信部
Claims (11)
- 動作モードとして学習モードとエージングモードを有し、LANとWANの間に設置されたゲートウェイとして機能する中継装置であって、
前記中継装置は、
前記WANから前記LANへのパケットの中継を許可するため通過許可リストテーブルを有し、
前記学習モードにおいては、
前記LAN内に存在する停止対象サービスのポートを宛先にする前記パケットの送信元IPアドレスを前記通過許可リストテーブルに登録し、
前記エージングモードにおいては、
前記停止対象サービス宛の前記パケットに対し、前記通過許可リストテーブルを参照し、
前記通過許可リストテーブルに登録された前記送信元IPアドレスをソースIPアドレスとする前記パケットを中継し、前記通過許可リストテーブルに登録されていない前記送信元IPアドレスを前記ソースIPアドレスとする前記パケットを廃棄することを特徴とする中継装置。 - 前記中継装置は、
前記動作モードに応じて前記パケットを処理する転送部と、
所定の制御を行う制御部と、
前記通過許可リストテーブルを記憶する記憶部と、
前記パケットを送受信するパケット送受信部と、
を有することを特徴とする請求項1に記載の中継装置。 - 前記学習モードにおいては、
前記パケット送受信部は、
前記WANから前記LAN内への前記パケットを受信し、
前記転送部は、
受信した前記パケットの宛先ポート番号をチェックし、
前記宛先ポート番号が前記停止対象サービス以外を宛先ポートにしている場合は、前記パケットを前記LANへ中継し、
前記宛先ポート番号が前記停止対象サービスを前記宛先ポートにしている場合は、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを検索し、
前記通過許可リストテーブルに前記パケットの前記送信元IPアドレスが存在する場合は、前記パケットを前記LANへ中継し、
前記通過許可リストテーブルに前記送信元IPアドレスが存在しない場合、前記パケットを前記制御部へ転送した後、前記パケットを前記LANへ中継し、
前記制御部は、
転送された前記パケットの前記送信元IPアドレスを前記通過許可リストテーブルに追加登録することを特徴とする請求項2に記載の中継装置。 - 前記エージングモードにおいては、
前記パケット送受信部は、
前記WANから前記LAN内への前記パケットを受信し、
前記転送部は、
受信した前記パケットの前記宛先ポート番号をチェックし、
前記宛先ポート番号が前記停止対象サービス以外を前記宛先ポートにしている場合、前記パケットを前記LANへ中継し、
前記宛先ポート番号が前記停止対象サービスを前記宛先ポートにしている場合、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを検索し、
前記通過許可リストに前記送信元IPアドレスが存在しない場合、前記パケットを廃棄した後、前記パケットを送信してきたクライアントに対して、前記停止対象サービスを提供していないことを表す偽の応答パケットを送信することを特徴とする請求項3に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記通過許可リストに前記送信元IPアドレスが存在しない場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送ることを特徴とする請求項4に記載の中継装置。 - 前記通過許可リストテーブルには、
前記送信元IPアドレスに対応して前記パケットの最終受信時刻が登録されており、
前記エージングモードにおいては、
前記転送部は、
前記通過許可リストテーブルに前記送信元IPアドレスが存在した場合、前記パケットの受信時刻と前記通過許可リストテーブルに登録された前記最終受信時刻とを比較し、
前記比較の結果、前記受信時刻と前記最終受信時刻との時刻差分が所定の閾値以上の場合、前記パケットを廃棄した後に、前記偽の応答パケットを送信することを特徴とする請求項4に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記比較の結果、前記時刻差分が所定の前記閾値以上の場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送り、
前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項6に記載の中継装置。 - 前記エージングモードにおいては、
前記比較の結果、前記時刻差分が前記所定の閾値未満の場合、前記通過許可リストテーブルからの削除判定処理を行うことを特徴とする請求項6に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記削除判定処理として、前記通過許可リストテーブルから前記送信元IPアドレスの削除を行うか否かをランダムに決定し、
前記決定の結果、前記通過許可リストテーブルからの削除対象外とされた場合、前記パケットを前記LANへ中継し、
前記決定の結果、前記通過許可リストテーブルからの削除対象とされた場合、前記パケットを廃棄した後に、前記偽の応答パケットを送信することを特徴とする請求項8に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記決定の結果、前記通過許可リストテーブルからの削除対象とされた場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送り、
前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項9に記載の中継装置。 - 前記通過許可リストテーブルには、
前記送信元IPアドレスに対応して前記パケットの最終受信時刻が登録されており、
前記エージングモードにおいては、
前記パケット送受信部が前記WANから前記LAN内への前記パケットを受信しない場合、
前記制御部は、
前記通過許可リストテーブルに登録されている前記最終受信時刻と現在時刻とを比較し、
前記比較の結果、前記現在時刻と前記最終受信時刻との時刻差分が所定の閾値以上の場合、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項2に記載の中継装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020041506A JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020041506A JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021145201A JP2021145201A (ja) | 2021-09-24 |
JP7391727B2 true JP7391727B2 (ja) | 2023-12-05 |
Family
ID=77767242
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020041506A Active JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7391727B2 (ja) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008211446A (ja) | 2007-02-26 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | 通信システムおよび通信方法 |
JP2010212916A (ja) | 2009-03-09 | 2010-09-24 | Oita Univ | スキャン攻撃不正侵入防御装置 |
US20150365379A1 (en) | 2014-06-12 | 2015-12-17 | Gryphon Online Safety, Inc. | System and method for managing, controlling and configuring an intelligent parental control filter |
US20160269412A1 (en) | 2015-03-10 | 2016-09-15 | Control4 Corporation | Systems and methods for cloud-based network control |
JP2017005402A (ja) | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | 通信装置 |
JP2017130963A (ja) | 2017-03-15 | 2017-07-27 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
-
2020
- 2020-03-11 JP JP2020041506A patent/JP7391727B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008211446A (ja) | 2007-02-26 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | 通信システムおよび通信方法 |
JP2010212916A (ja) | 2009-03-09 | 2010-09-24 | Oita Univ | スキャン攻撃不正侵入防御装置 |
US20150365379A1 (en) | 2014-06-12 | 2015-12-17 | Gryphon Online Safety, Inc. | System and method for managing, controlling and configuring an intelligent parental control filter |
US20160269412A1 (en) | 2015-03-10 | 2016-09-15 | Control4 Corporation | Systems and methods for cloud-based network control |
JP2017005402A (ja) | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | 通信装置 |
JP2017130963A (ja) | 2017-03-15 | 2017-07-27 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2021145201A (ja) | 2021-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
US7162737B2 (en) | Synchronization of security gateway state information | |
Yi et al. | A case for stateful forwarding plane | |
Scharf et al. | Multipath TCP (MPTCP) application interface considerations | |
US6456624B1 (en) | Network address resolve blocker | |
US7885180B2 (en) | Address resolution request mirroring | |
CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
EP3035638A1 (en) | Interest acknowledgements for information centric networking | |
JP5536232B2 (ja) | ネットワーク接続をアイドリングさせる方法及び装置 | |
US20090245265A1 (en) | Communication gateway device and relay method of the same | |
US11323310B2 (en) | Method, device, and system for providing hot reservation for in-line deployed network functions with multiple network interfaces | |
US20200280485A1 (en) | Bridging configuration changes for compliant devices | |
US20220150321A1 (en) | Accelerating dynamic content delivery in a content delivery network | |
US10680930B2 (en) | Method and apparatus for communication in virtual network | |
JP7391727B2 (ja) | 中継装置 | |
WO2018088462A1 (ja) | 通信制御装置、通信制御方法およびプログラム | |
US11063859B2 (en) | Packet processing method and network device | |
US8505096B2 (en) | Methods of, and apparatus for, monitoring traffic emanating from a source in a network | |
US10833981B1 (en) | Method, device, and system for providing hot reservation for in-line deployed network functions with multiple network interfaces | |
JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
JP2007336401A (ja) | 通信制御装置、認証システムおよび通信制御プログラム | |
US10841221B2 (en) | Stage one cache lookup for network node of mesh network | |
JP4677501B2 (ja) | 中継装置および中継方法 | |
JP6014068B2 (ja) | 中継装置及び中継方法、並びにコンピュータ・プログラム | |
JP2002199003A (ja) | 移動端末位置登録方法及びその実施装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230927 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231003 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231114 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7391727 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |