JP7391727B2 - 中継装置 - Google Patents
中継装置 Download PDFInfo
- Publication number
- JP7391727B2 JP7391727B2 JP2020041506A JP2020041506A JP7391727B2 JP 7391727 B2 JP7391727 B2 JP 7391727B2 JP 2020041506 A JP2020041506 A JP 2020041506A JP 2020041506 A JP2020041506 A JP 2020041506A JP 7391727 B2 JP7391727 B2 JP 7391727B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- permission list
- address
- source
- list table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000032683 aging Effects 0.000 claims description 31
- 238000012546 transfer Methods 0.000 claims description 27
- 230000004044 response Effects 0.000 claims description 19
- 230000006870 function Effects 0.000 claims description 17
- 238000000034 method Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000002401 inhibitory effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Description
本発明は、中継装置に関する。
ネットワーク運用者が、自身が運用しているネットワークから提供しているサービスを停止させる場合、一般的には、特段、技術的な工夫は必要ない。しかし、サービスを停止したくてもできないケースも存在し得る。
クライアントが定常的にリクエストを送信するようなサービスを提供する場合、このようなサービスを利用するクライアントはネットワークに接続された機器やその機器で動作するソフトウェアである。このため、サービスを停止してもすぐにはリクエストの送信をやめない。リクエストの無応答に対してエラー処理で高頻度にリクエストを送信する場合もある。
このようなサービスを提供しているネットワーク運用者が、同サービスを利用するクライアントを大量に抱えてしまった場合、さらに、クライアントが増加し続ける場合、サービスを停止することは容易ではない。単純にサービスを停止させた場合、かつ、クライアントが要求の無応答に対して高頻度にリトライを行う場合には、ネットワークが過負荷となり障害を発生させてしまうこともある。
ネットワーク運用者は、自身が運用するネットワークを安定させるため、サービスを停止させたくてもできず、高負荷に耐えるネットワークを構築、管理し、そのコストを払い続けなければならない。このようなケースでサービスを停止させるためには、サービスを安定して提供しつつ、サービス停止のための対策を実施する必要がある。
これまで、前述の状況でサービスを恒久的に停止させるための技術は積極的に発明されてこなかったが、部分的に解決できる技術は存在する。ホワイトリストはそのような技術の一つである。ホワイトリストは、中継装置にネットワークを中継可能なパケットを学習させ、学習したもの以外のパケットの中継を抑止することで意図しないパケットがネットワーク内を流れることを防止するネットワークセキュリティのための技術である(例えば、特許文献1参照)。
上記ホワイトリストの技術を、前述の状況に置かれたネットワーク運用者が運用するロールエリアネットワーク(以降、LANと称す)と、クライアントが存在するワイドエリアネットワーク(以降、WANと称す)を中継するゲートウェイに適用することが考えられる。
この場合、ゲートウェイにある時点のクライアントを学習させ、それ以外のアクセスを禁止させることにより、サービスを安定して供給しつつ、クライアントの増加によるネットワーク負荷の上昇を防ぐことは可能である。
しかし、上記ホワイトリストの技術では、クライアントのアクセスをサービスによらず遮断してしまい、提供するサービスを考慮した上でネットワーク負荷の上昇を防ぐことは困難である。
本発明の目的は、中継装置において、提供するサービスを考慮した上でネットワーク負荷の上昇を防ぐことにある。
本発明の一態様の中継装置は、動作モードとして学習モードとエージングモードを有し、LANとWANの間に設置されたゲートウェイとして機能する中継装置であって、前記中継装置は、前記WANから前記LANへのパケットの中継を許可するため通過許可リストテーブルを有し、前記学習モードにおいては、前記LAN内に存在する停止対象サービスのポートを宛先にする前記パケットの送信元IPアドレスを前記通過許可リストテーブルに登録し、前記エージングモードにおいては、前記停止対象サービス宛の前記パケットに対し、前記通過許可リストテーブルを参照し、前記通過許可リストテーブルに登録された前記送信元IPアドレスをソースIPアドレスとする前記パケットを中継し、前記通過許可リストテーブルに登録されていない前記送信元IPアドレスを前記ソースIPアドレスとする前記パケットを廃棄する。
本発明の一態様によれば、中継装置において、提供するサービスを考慮した上でネットワーク負荷の上昇を防ぐことができる。
(実施形態)
ホワイトリストの技術では、クライアントのアクセスをサービスによらず遮断してしまう。また、IPアドレスが同一であるが新規にクライアントとなった端末からのアクセスを防止できず、サービス停止に向けてクライアントの数を削減できない。
ホワイトリストの技術では、クライアントのアクセスをサービスによらず遮断してしまう。また、IPアドレスが同一であるが新規にクライアントとなった端末からのアクセスを防止できず、サービス停止に向けてクライアントの数を削減できない。
実施形態は、これらのホワイトリストをネットワークサービスの停止に適用した際に生じる課題を解決する仕組みを提供する。具体的には、突然サービス停止した場合の高負荷状態を避けるため、当分の間はサービスを安定供給する。そして、将来的にはサービスを停止させる。その際、サービス停止によるリクエストの増加を起こさないようにする。
このように、実施形態は、LANとWANを中継するゲートウェイとして機能する中継装置に対して、ホワイトリストを応用した手法でサービスを安定供給しつつ停止に向けて縮退させる仕組みを提供する。
これを実現するため、中継装置は、パケットからサービスを判定するためにLAN内に流入するパケットの宛先ポート番号をチェックする能力を持つ。また、ある宛先ポートにアクセスしてきたパケットの内、サーバへ中継する送信元IPアドレスを記録するテーブル(以降、通過許可リストと称す)を持つ。
中継装置は、学習期間とエージング期間の2種類の運用状態を持つ。学習期間はクライアントの送信元IPアドレスを通過許可リストに記録する。また、すべてのパケットを中継する。エージング期間はテーブルを通過許可リストとして使用し、通過許可リストに存在しない送信元IPアドレスを持つパケットは廃棄する。
中継装置は、学習期間とエージング期間の2種類の運用状態を持つ。学習期間はクライアントの送信元IPアドレスを通過許可リストに記録する。また、すべてのパケットを中継する。エージング期間はテーブルを通過許可リストとして使用し、通過許可リストに存在しない送信元IPアドレスを持つパケットは廃棄する。
また、一定期間アクセスの無かったクライアントは通過許可リストから削除し、クライアントがアクセスをやめない場合でも、徐々に通過許可リストから削除してゆく。これにより緩やかにサービスを停止でき、かつサービス停止によるリスエストの増加を起こさない。
実施形態によれば、サービスを使用中のユーザに限定してサービスの提供を継続する。また、サービスを使用しなくなったユーザのリクエストを遮断し、サービス使用中のユーザを徐々に遮断することで、サービス利用者を徐々に削減し、緩やかにサービスを停止する。
以下、図面を用いて、実施例について説明する。
以下、図面を用いて、実施例について説明する。
(ネットワークの構成)
図1は、実施形態として想定するネットワークの構成図である。
実施形態は、LAN107とWAN106の間に設置されたゲートウェイとして機能する中継装置101を対象とする。中継装置101は、ネットワークサービス停止機能を有する。LAN(ロールエリアネットワーク)107には、NTPサーバ102、HTTPサーバ103、端末104、端末105が存在する。NTPサーバ102とHTTPサーバ103は、WAN(ワイドエリアネットワーク)106に対して、中継装置101を経由してサービスを提供している。
図1は、実施形態として想定するネットワークの構成図である。
実施形態は、LAN107とWAN106の間に設置されたゲートウェイとして機能する中継装置101を対象とする。中継装置101は、ネットワークサービス停止機能を有する。LAN(ロールエリアネットワーク)107には、NTPサーバ102、HTTPサーバ103、端末104、端末105が存在する。NTPサーバ102とHTTPサーバ103は、WAN(ワイドエリアネットワーク)106に対して、中継装置101を経由してサービスを提供している。
(ゲートウェイとなる中継装置の構成)
図2は、図1に示した中継装置101のモジュール構成例を示すブロック図である。
中継装置101はソフトウェア制御部210、ASIC(Application Specific Integrated Circuit)(転送エンジン)220、CAM(Content Addressable Memory)230、パケット送受信部241、242、243から構成される。
図2は、図1に示した中継装置101のモジュール構成例を示すブロック図である。
中継装置101はソフトウェア制御部210、ASIC(Application Specific Integrated Circuit)(転送エンジン)220、CAM(Content Addressable Memory)230、パケット送受信部241、242、243から構成される。
ASIC(転送エンジン)220は、CAM230とともに、パケットの中継を担う。また、ネットワークサービス停止機能を実現するために、パケットのポート番号を検索する機能、CAM230に存在する通過許可リスト231を検索し、動作モードに応じてパケットを処理する機能を有する。
通過許可リスト231は、ASIC(転送エンジン)220が、WAN106上のクライアントからサーバ102または103へのリクエストパケットについて、LAN107内への中継または廃棄の判定に使用する。動作モードは学習期間とエージング期間の2種類存在し、学習期間は通過許可リスト231の作成、エージング期間は通過許可リスト231からエントリを削除する。加えて、ネットワークサービス停止機能は時刻情報を利用するため、時計機能221を有する。
ソフトウェア制御部210は、主にハードウェアの制御を担い、ネットワークサービス停止機能のASIC(転送エンジン)220の処理の補完と、動作モードの変更を行う。ソフトウェア制御部210は、CPU(Central Processing Unit)211とメモリ212から構成される。メモリ212には機能制御プログラム213が展開されている。機能制御プログラム213は通過許可リスト管理テーブル214を持つ。機能制御プログラム213も時刻情報を使用するため、CPU211も時計機能215を有する。パケット送受信部241、242、243は中継装置101の外部とのインターフェースであり、他の通信装置とのフレーム送受信を行う。
(通過許可リスト)
図3Aは、通過許可リスト231のテーブル構造である。テーブルはクライアントの送信元IPアドレスとパケットの最終受信時刻の一覧になる。
図3Aは、通過許可リスト231のテーブル構造である。テーブルはクライアントの送信元IPアドレスとパケットの最終受信時刻の一覧になる。
図3Bは、通過許可リスト管理テーブル214のテーブル構造である。テーブルはクライアントの送信元IPアドレスの一覧になる。
(全体の処理)
中継装置101が行う処理は、サービス停止時に、サービスの提供を継続するクライアントの学習と、サービス停止に向けてクライアントの数を徐々に削減(エージング)していくことである。図4を用いて全体の処理を説明する。
中継装置101が行う処理は、サービス停止時に、サービスの提供を継続するクライアントの学習と、サービス停止に向けてクライアントの数を徐々に削減(エージング)していくことである。図4を用いて全体の処理を説明する。
中継装置101は、停止したいサービスのポートを宛先にするパケットの送信元IPアドレスを通過許可リストに登録する(401)。
中継装置101は任意のタイミングで動作モードを学習からエージングへ切り替える(402)。中継装置101は、WAN側からの受信パケットの宛先ポートを確認し、宛先ポートが停止したいサービス宛のパケットだった場合、通過許可リストを参照し、そこに記録されたIPをソースIPとするパケットのみを中継し、該当しないパケットは廃棄する(403)。また、一定期間アクセスされなかったIPアドレスは通過許可リストから削除する(404)。
(通過許可リストの作成)
図5は通過許可リスト作成時401の装置内のシーケンスである。
中継装置101はWAN側のパケット送受信部241からパケットを受信する(S501)。ASIC(転送エンジン)220は受信パケットの宛先ポート番号をチェックする(S502)。宛先ポートが停止対象のサービス以外を宛先ポートにしている場合、パケットを中継する(S507)。
図5は通過許可リスト作成時401の装置内のシーケンスである。
中継装置101はWAN側のパケット送受信部241からパケットを受信する(S501)。ASIC(転送エンジン)220は受信パケットの宛先ポート番号をチェックする(S502)。宛先ポートが停止対象のサービス以外を宛先ポートにしている場合、パケットを中継する(S507)。
宛先ポートが停止対象のサービス宛ての場合、ASIC(転送エンジン)220は通過許可リストからパケットの送信元IPアドレスを検索する(S503)。通過許可リストにパケットの送信元IPアドレスが存在する場合、パケットを中継する(S507)。
通過許可リストに送信元IPアドレスが存在しない場合、パケットをソフトウェア制御部210(図5~図8では、「ソフト制御部」と略す)へ転送した後(S504)、パケット中継する(S507)。ソフトウェア制御部210は通過許可リスト管理テーブルにパケットの送信元IPアドレスを追加する(S505)。次に、ASIC(転送エンジン)の通過許可リストにIPアドレスを登録する。
(学習期間とエージング期間の切替え)
図6は動作モードを学習からエージングへ切り替える際の装置内のシーケンスである。ソフトウェア制御部210は、ASIC(転送エンジン)220の動作モードをエージングへ設定することで切り替えを行う。
図6は動作モードを学習からエージングへ切り替える際の装置内のシーケンスである。ソフトウェア制御部210は、ASIC(転送エンジン)220の動作モードをエージングへ設定することで切り替えを行う。
(パケット受信時における通過許可リストのエージング)
図7はパケット受信時における通過許可リストのエージングの装置内シーケンスである。
中継装置101はWAN側のパケット送受信部241からパケットを受信する(S701)。ASIC(転送エンジン)220は受信パケットの宛先ポート番号をチェックする(S702)。宛先ポートが停止対象のサービス以外を宛先ポートにしている場合、パケットを中継する(S706)。
図7はパケット受信時における通過許可リストのエージングの装置内シーケンスである。
中継装置101はWAN側のパケット送受信部241からパケットを受信する(S701)。ASIC(転送エンジン)220は受信パケットの宛先ポート番号をチェックする(S702)。宛先ポートが停止対象のサービス以外を宛先ポートにしている場合、パケットを中継する(S706)。
宛先ポートが停止対象のサービス宛ての場合、ASIC(転送エンジン)220は通過許可リストからパケットの送信元IPアドレスを検索する(S703)。通過許可リストに送信元IPアドレスが存在しない場合、パケットをソフトウェア制御部210へ転送してから(S710)、パケットを廃棄する(S711)。
ソフトウェア制御部210は、S710で受け取ったパケットの内容に基づいて偽の応答パケットを生成し、ASCI(転送エンジン)220にその応答パケットを転送し(S712)、ASIC(転送エンジン)220がパケットを送信してきたクライアントに対して偽の応答を送信する(S713)。
ここで、偽の応答とは、パケットの送信先となるサーバが、そのパケットの宛先ポート番号で示されるサービスを提供していないことをパケットの送信元に通知するための応答を、中継装置1010がサーバに成り代わって生成して送信することである。
サービスを提供していないことを示す応答の具体例としては、例えばサービスに使われているプロトコルがUDPであった場合は、ICMPエラーパケットである。このような応答を返すことで、パケットの送信元はサーバ無応答に対する再送パケットの送信を抑制する。このため、サービス停止による再送パケットの増加を抑える効果が得られる。
S703で通過許可リストに送信元IPアドレスが存在した場合、パケットの受信時刻と通過許可リストに記録された最終受信時刻を比較する(S704)。時刻の差分が閾値以上であればパケットをソフトウェア制御部210へ転送する(S707)。
ASIC(転送エンジン)220からパケットを転送されたソフトウェア制御部210は通過許可リスト管理テーブルから通知されたパケットの送信元IPアドレスを削除した後(S708)、ASIC(転送エンジン)の通過許可リストからもパケットの送信元IPアドレスを削除する(S709)。その後、ASIC(転送エンジン)210は、先に説明したS710以降の処理に入り、パケットの廃棄と偽の応答の送信を行う。
ASIC(転送エンジン)220は時刻比較S704の結果、時刻の差分が閾値未満であれば、通過許可リストからの削除判定を行う(S705)。この判定は、通過許可リストから送信元IPアドレスの削除を行うか否かをランダムに決定するものである。具体的な決定方法としては、例えば0から99の範囲の乱数を生成し、生成した乱数が4以下であった場合に通過許可リストから送信元IPアドレスの削除を行うと決定すれば、5%の確率でランダムに削除処理が行われることになる。
この処理を行うことで、クライアントからのアクセス時間のタイムアウトによるサービス受付停止が期待できない場合に、サービス受付対象のクライアントを削減する。この判定の結果、通過許可リストからの削除対象外とされたパケットは中継する(S706)。通過許可リストからの削除対象とされたパケットは、時刻比較S704の時刻差分が閾値以上となった場合と同一の処理を行う(S707、S708、S709、S710、S711、S712、S713)。
(定期的な通過許可リストのエージング)
図8はソフトウェア制御部210が定期的に行う通過許可リストのエージングの装置内シーケンスである。
図7で説明したエージング処理は、パケットの受信を契機として行われるエージング処理なので、通過許可リストに登録されている送信元IPアドレスからのパケットが全く受信されなくなった場合、通過許可リストから削除されないことになってしまう。このように、パケットが全く受信されなくなった場合でも、一定期間経過後に通過許可リストから強制的に削除するため、図7のエージング処理と並列に図8に示すエージング処理を定期的に実行する。
図8はソフトウェア制御部210が定期的に行う通過許可リストのエージングの装置内シーケンスである。
図7で説明したエージング処理は、パケットの受信を契機として行われるエージング処理なので、通過許可リストに登録されている送信元IPアドレスからのパケットが全く受信されなくなった場合、通過許可リストから削除されないことになってしまう。このように、パケットが全く受信されなくなった場合でも、一定期間経過後に通過許可リストから強制的に削除するため、図7のエージング処理と並列に図8に示すエージング処理を定期的に実行する。
ソフトウェア制御部210は、転送エンジンの通過許可リストからエントリ情報を取得する(S801)。取得したエントリの最終受信時刻と、現在時刻を比較し(S802)、最終受信時刻と現在時刻との時刻の差分が閾値未満であれば何もしない。最終受信時刻と現在時刻との時刻の差分が閾値以上であれば、通過許可リスト管理テーブルから送信元IPアドレスを削除した後(S803)、ASIC(転送エンジン)の通過許可リストからもパケットの送信元IPアドレスを削除する(S804)。
上記実施例では、ゲートウェイとして機能する中継装置に、サービスを停止するにあたり当分の間、継続してサービスを提供するクライアントを通過許可リストとして学習する。その後、サービス停止に向け、一定時間以上停止対象のサービスにアクセスのなかったクライアントを通過許可リストから削除する。また、経過時間によらず強制的にクライアントを通過許可リストから削除する。このようにして、WANに提供しているサービスを徐々に縮退させ、最終的にサービスの提供を停止させる。
101 中継装置(ゲートウェイ)
102 NTPサーバ
103 HTTPサーバ
104 端末
105 端末
106 WAN
107 LAN
210 ソフトウェア制御部
211 CPU
212 メモリ
213 機能制御プログラム
214 通過許可リスト管理テーブル
215 時計
220 ASIC(転送エンジン)
221 時計
230 CAM
231 通過許可リスト
241 パケット送受信部
242 パケット送受信部
243 パケット送受信部
102 NTPサーバ
103 HTTPサーバ
104 端末
105 端末
106 WAN
107 LAN
210 ソフトウェア制御部
211 CPU
212 メモリ
213 機能制御プログラム
214 通過許可リスト管理テーブル
215 時計
220 ASIC(転送エンジン)
221 時計
230 CAM
231 通過許可リスト
241 パケット送受信部
242 パケット送受信部
243 パケット送受信部
Claims (11)
- 動作モードとして学習モードとエージングモードを有し、LANとWANの間に設置されたゲートウェイとして機能する中継装置であって、
前記中継装置は、
前記WANから前記LANへのパケットの中継を許可するため通過許可リストテーブルを有し、
前記学習モードにおいては、
前記LAN内に存在する停止対象サービスのポートを宛先にする前記パケットの送信元IPアドレスを前記通過許可リストテーブルに登録し、
前記エージングモードにおいては、
前記停止対象サービス宛の前記パケットに対し、前記通過許可リストテーブルを参照し、
前記通過許可リストテーブルに登録された前記送信元IPアドレスをソースIPアドレスとする前記パケットを中継し、前記通過許可リストテーブルに登録されていない前記送信元IPアドレスを前記ソースIPアドレスとする前記パケットを廃棄することを特徴とする中継装置。 - 前記中継装置は、
前記動作モードに応じて前記パケットを処理する転送部と、
所定の制御を行う制御部と、
前記通過許可リストテーブルを記憶する記憶部と、
前記パケットを送受信するパケット送受信部と、
を有することを特徴とする請求項1に記載の中継装置。 - 前記学習モードにおいては、
前記パケット送受信部は、
前記WANから前記LAN内への前記パケットを受信し、
前記転送部は、
受信した前記パケットの宛先ポート番号をチェックし、
前記宛先ポート番号が前記停止対象サービス以外を宛先ポートにしている場合は、前記パケットを前記LANへ中継し、
前記宛先ポート番号が前記停止対象サービスを前記宛先ポートにしている場合は、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを検索し、
前記通過許可リストテーブルに前記パケットの前記送信元IPアドレスが存在する場合は、前記パケットを前記LANへ中継し、
前記通過許可リストテーブルに前記送信元IPアドレスが存在しない場合、前記パケットを前記制御部へ転送した後、前記パケットを前記LANへ中継し、
前記制御部は、
転送された前記パケットの前記送信元IPアドレスを前記通過許可リストテーブルに追加登録することを特徴とする請求項2に記載の中継装置。 - 前記エージングモードにおいては、
前記パケット送受信部は、
前記WANから前記LAN内への前記パケットを受信し、
前記転送部は、
受信した前記パケットの前記宛先ポート番号をチェックし、
前記宛先ポート番号が前記停止対象サービス以外を前記宛先ポートにしている場合、前記パケットを前記LANへ中継し、
前記宛先ポート番号が前記停止対象サービスを前記宛先ポートにしている場合、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを検索し、
前記通過許可リストに前記送信元IPアドレスが存在しない場合、前記パケットを廃棄した後、前記パケットを送信してきたクライアントに対して、前記停止対象サービスを提供していないことを表す偽の応答パケットを送信することを特徴とする請求項3に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記通過許可リストに前記送信元IPアドレスが存在しない場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送ることを特徴とする請求項4に記載の中継装置。 - 前記通過許可リストテーブルには、
前記送信元IPアドレスに対応して前記パケットの最終受信時刻が登録されており、
前記エージングモードにおいては、
前記転送部は、
前記通過許可リストテーブルに前記送信元IPアドレスが存在した場合、前記パケットの受信時刻と前記通過許可リストテーブルに登録された前記最終受信時刻とを比較し、
前記比較の結果、前記受信時刻と前記最終受信時刻との時刻差分が所定の閾値以上の場合、前記パケットを廃棄した後に、前記偽の応答パケットを送信することを特徴とする請求項4に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記比較の結果、前記時刻差分が所定の前記閾値以上の場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送り、
前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項6に記載の中継装置。 - 前記エージングモードにおいては、
前記比較の結果、前記時刻差分が前記所定の閾値未満の場合、前記通過許可リストテーブルからの削除判定処理を行うことを特徴とする請求項6に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記削除判定処理として、前記通過許可リストテーブルから前記送信元IPアドレスの削除を行うか否かをランダムに決定し、
前記決定の結果、前記通過許可リストテーブルからの削除対象外とされた場合、前記パケットを前記LANへ中継し、
前記決定の結果、前記通過許可リストテーブルからの削除対象とされた場合、前記パケットを廃棄した後に、前記偽の応答パケットを送信することを特徴とする請求項8に記載の中継装置。 - 前記エージングモードにおいては、
前記転送部は、
前記決定の結果、前記通過許可リストテーブルからの削除対象とされた場合、前記パケットを前記制御部へ転送し、
前記制御部は、
転送された前記パケットの内容に基づいて、前記偽の応答パケットを生成して前記転送部へ送り、
前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項9に記載の中継装置。 - 前記通過許可リストテーブルには、
前記送信元IPアドレスに対応して前記パケットの最終受信時刻が登録されており、
前記エージングモードにおいては、
前記パケット送受信部が前記WANから前記LAN内への前記パケットを受信しない場合、
前記制御部は、
前記通過許可リストテーブルに登録されている前記最終受信時刻と現在時刻とを比較し、
前記比較の結果、前記現在時刻と前記最終受信時刻との時刻差分が所定の閾値以上の場合、前記通過許可リストテーブルから前記パケットの前記送信元IPアドレスを削除することを特徴とする請求項2に記載の中継装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020041506A JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020041506A JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021145201A JP2021145201A (ja) | 2021-09-24 |
| JP7391727B2 true JP7391727B2 (ja) | 2023-12-05 |
Family
ID=77767242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020041506A Active JP7391727B2 (ja) | 2020-03-11 | 2020-03-11 | 中継装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7391727B2 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008211446A (ja) | 2007-02-26 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | 通信システムおよび通信方法 |
| JP2010212916A (ja) | 2009-03-09 | 2010-09-24 | Oita Univ | スキャン攻撃不正侵入防御装置 |
| US20150365379A1 (en) | 2014-06-12 | 2015-12-17 | Gryphon Online Safety, Inc. | System and method for managing, controlling and configuring an intelligent parental control filter |
| US20160269412A1 (en) | 2015-03-10 | 2016-09-15 | Control4 Corporation | Systems and methods for cloud-based network control |
| JP2017005402A (ja) | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | 通信装置 |
| JP2017130963A (ja) | 2017-03-15 | 2017-07-27 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
-
2020
- 2020-03-11 JP JP2020041506A patent/JP7391727B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008211446A (ja) | 2007-02-26 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | 通信システムおよび通信方法 |
| JP2010212916A (ja) | 2009-03-09 | 2010-09-24 | Oita Univ | スキャン攻撃不正侵入防御装置 |
| US20150365379A1 (en) | 2014-06-12 | 2015-12-17 | Gryphon Online Safety, Inc. | System and method for managing, controlling and configuring an intelligent parental control filter |
| US20160269412A1 (en) | 2015-03-10 | 2016-09-15 | Control4 Corporation | Systems and methods for cloud-based network control |
| JP2017005402A (ja) | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | 通信装置 |
| JP2017130963A (ja) | 2017-03-15 | 2017-07-27 | アラクサラネットワークス株式会社 | ネットワーク装置、及び、通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021145201A (ja) | 2021-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| US7162737B2 (en) | Synchronization of security gateway state information | |
| Yi et al. | A case for stateful forwarding plane | |
| Scharf et al. | Multipath TCP (MPTCP) application interface considerations | |
| US6456624B1 (en) | Network address resolve blocker | |
| US7885180B2 (en) | Address resolution request mirroring | |
| CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
| EP3035638A1 (en) | Interest acknowledgements for information centric networking | |
| JP5536232B2 (ja) | ネットワーク接続をアイドリングさせる方法及び装置 | |
| US20090245265A1 (en) | Communication gateway device and relay method of the same | |
| US11323310B2 (en) | Method, device, and system for providing hot reservation for in-line deployed network functions with multiple network interfaces | |
| US20200280485A1 (en) | Bridging configuration changes for compliant devices | |
| US20220150321A1 (en) | Accelerating dynamic content delivery in a content delivery network | |
| US10680930B2 (en) | Method and apparatus for communication in virtual network | |
| JP7391727B2 (ja) | 中継装置 | |
| WO2018088462A1 (ja) | 通信制御装置、通信制御方法およびプログラム | |
| US11063859B2 (en) | Packet processing method and network device | |
| US8505096B2 (en) | Methods of, and apparatus for, monitoring traffic emanating from a source in a network | |
| US10833981B1 (en) | Method, device, and system for providing hot reservation for in-line deployed network functions with multiple network interfaces | |
| JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
| JP2007336401A (ja) | 通信制御装置、認証システムおよび通信制御プログラム | |
| US10841221B2 (en) | Stage one cache lookup for network node of mesh network | |
| JP4677501B2 (ja) | 中継装置および中継方法 | |
| JP6014068B2 (ja) | 中継装置及び中継方法、並びにコンピュータ・プログラム | |
| JP2002199003A (ja) | 移動端末位置登録方法及びその実施装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230927 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231003 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231026 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231114 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231122 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7391727 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |