WO2005036831A1

WO2005036831A1 - フレーム中継装置

Info

Publication number: WO2005036831A1
Application number: PCT/JP2003/012828
Authority: WO
Inventors: Daisuke Namihira
Original assignee: Fujitsu Limited
Priority date: 2003-10-07
Filing date: 2003-10-07
Publication date: 2005-04-21
Also published as: US20080250496A1; JPWO2005036831A1

Abstract

本発明は、自装置でのフレームの中継処理で使用するＭＡＣアドレスとＩＰアドレスとの組を含むエントリが登録されるテーブルを備える。また、本発明は、受信されたフレーム中の送信元ＭＡＣアドレス及び送信元ＩＰアドレスで前記テーブルを検索し、この送信元アドレスの組がレイヤ３での中継対象として登録されているか否かを判定する判定手段を備える。さらに、本発明は、前記送信元アドレスの組が中継対象として登録されていると判定されたフレームのみを対象としてレイヤ３の中継処理を行うレイヤ３中継処理手段を備える。

Description

明細書

フレーム中継装置技術分野

本発明は、フレーム中継装置に関し、特に、アドレスのなりすましによる、他のサーバまたは端末に対する攻撃を防止するフレーム中継装置に関する。背景技術 '

従来から、個々のネットワーク接続機器に付与される I P ( Internet Protocol) アドレス、あるいは上記ネットワーク接続機器に固有な MA C (Media Access Control) アドレスを他の接続機器のものと偽る、いわゆるアドレスのなりすましの問題があった。このようなアドレスのなりすましのうち、 I Pアドレスのなりすましは、例えば、送信元 I Pアドレスを適当な他人のものに書き換えることによって容易に行うことができる。また、 MA Cアドレスのなりすましは、 I Pァドレスのなりすましと比較すると難しいものの、他人が用いる MA Cァドレスになりすますことは可能である。そして、アドレスをなりすました後で、インターネットに接続している各種サーバや端末に対して D o S (Denial of Services：サービス拒否）攻擊等のネットワークからの攻撃、あるいはネットワークからの侵入が行われた場合には、 I Pァドレスや MA Cァドレスが本来のァドレスとは異なるため. その攻擊元あるいは侵入元を特定するのは困難であった。

通常は、アドレスのなりすましを防止するために、所定の条件によってフレームを選別して、中継が必要なフレームのみを中継する、いわゆるフィルタリング処理を行う。このようなフィルタリング処理の機能は、ファイアウォール、負荷分散装置、あるいはルータやレイヤ 3スィツチ等の中継装置に実装されている。

ところで、上記のようなフレームの中継装置に実装されているフィルタリング機能は、装置本来のフレームの中継性能を維持するために、フレームのヘッダについている情報（例えば I Pァドレス等）がフィルタリングの対象であるか否かを見ることによって中継するフレームである力否かを選別していた。このため、なりすましによって侵入元や攻撃元のァドレスを度々変更された場合には、その変更に係るァドレスがフィルタリング対象を判定するァドレステーブルに無ければ、このようなフレームはフィルタリングされないので、なりすましを防止することができない。一方、中継装置が受け付ける或るサービスに係る全てのフレームをそのァドレスの如何に拘わらずフィルタリング対象にすると、当該中継装置で当該サービスに係るフレームは全て遮断されてしまうので、当該中継装置を経由してサーバにアクセスする全ての端末が当該サーバの提供するサービスを受けることができなくなる可能性があった。

また、ファイアウォールあるいは負荷分散装置では、ネットワークを経由した攻擊を検知した段階でその攻撃の送信元ァドレスからのフレームを中継しないようにすることは可能であった。しかしながら、なりすましのアドレスが再三にわたって変更された上で攻撃を継続するなどされた場合には、送信されたフレームが攻撃のためのフレムか否かの判別が困難であった。

さらに、通常のファイアウォールは、インターネットなどの外部のネットワークに接続する箇所に設置される。また、負荷分散装置は、負荷分散対象となるサーバに直結する箇所に設置される。この場合、ファイアウォールあるいは負荷分散装置に至るまでの経路に当たるネットワークが攻撃用の多量のフレームによつて輻輳を起こしてしまうため他のフレームが伝送されなレ、という問題があつた。

このような問題を解決するには、全ての端末付近にファイアウォールあるいは負荷分散装置を設置し、端末の直近でその攻撃フレームを排除する必要があった。しかしながら、設置の費用及び作業を考慮すると、全ての端末付近にこのような装置を設置することは困難であった。

なお、このような I Pァドレスや MA Cァドレスといったァドレスのなりすましによる攻撃防止に関する技術として、無線通信における端末移動によるァドレス変更において、ァクチべーシヨン（正規のライセンスを持っていることを証明すること）を行うことでなりすましを防止する技術（例えば、特許文献 1参照。）力 S開示されている。

特許文献 1

特表 2 0 0 3 - 5 1 8 8 2 1号公報

本発明は上述したような従来の技術の問題点に鑑みてなされたものである。すなわち、本発明の課題は、ルータ、レイヤ 3スィッチ、レイヤ 2スィッチ（スィッチング HU B )のようなフレーム中継装置において、ァドレスのなりすましによるフレームの中継を防止できるような技術を提供することにある。発明の開示

本発明は前記課題を解決するために、以下の手段を採用した。

すなわち、本発明は、フレーム中継装置であり、自装置でのフレームの中継処理で使用する MA Cアドレスと I Pアドレスとの組を含むエントリが登録されるテーブルと、受信されたフレーム中の送信元 MA Cアドレス及ぴ送信元 I Pアドレスで前記テーブルを検索し、この送信元ァドレスの組がレイヤ 3での中継対象として登録されているか否かを判定する判定手段と、前記送信元ァドレスの糸且が中継対象として登録されていると判定されたフレームのみを対象としてレイヤ 3 の中継処理を行うレイヤ 3中継処理手段とを備える。

本発明のフレーム中継装置によると、中継対象が MA Cアドレスと I Pァドレスとの組を含むェントリが登録されるテーブルに基づいて、受信したフレームに対する中継対象（ルーティング対象）であるか否かの判別処理を行う。そして、本発明のフレーム中継装置では、ルーティング対象のフレームについて中継処理（ル一ティング処理）を行う。テーブルには、正規に端末や中継装置に割り当てられた MA Cァドレス及び I Pァドレスの組が登録され、 MA Cァドレスや I Pアドレスをなりすました不正なアドレスの組は登録されないように構成される。従って、本発明によれば、受信したフレームのうち、なりすましなどの中継が許可されていないフレームの中継を防ぐことができる。

また、本発明は、前記フレームの送信元アドレスの組が前記テーブルに登録されていなかった場合に、この送信元ァドレスの組が正常か否かを問い合わせるための問い合わせフレームを送信し、この問い合わせフレームに対する応答フレームが前記問い合わせフレームを送信してから所定期間内に到着し且つこの応答フレーム中の情報が前記送信元ァドレスの組が正常であることを示すという条件を満たすか否かを判定し、前記条件を満たす送信元ァドレスの組を含むェントリを前記テーブルに登録し、前記条件を満たさない送信元ァ .ドレスの組を前記テープルへの登録対象から除外する中継対象登録手段を備えるように構成することが好ましい。 ' 本発明のフレーム中継装置によると、受信したフレームを前記テーブルに登録する（ルーティングを許可する登録を行う）前に、問い合わせフレームを送信する。そして、フレーム中継装置では、問い合わせフレームに対する応答が正しいことを判断した後に、この送信元ァドレスの組み合わせが正しいものとして受信したフレームの送信元アドレスの組を含むエントリの登録を行う。このようにすれば、フレーム受信時に、例えば、アドレスをなりすましたフレームの送信元アドレスの組を中継対象として登録することを防止できる。

また、本発明の前記中継対象登録手段は、前記問い合わせフレームとして前記フレームの送信元 I Pァドレスに対応する MA Cァドレスを問い合わせるための A R P (Address Resolution Protocol) 要求フレームを送信し、前記応答フレームとして A R P応答フレームを受信し、この A R P応答フレーム中の問い合わせ先の MA Cァドレスが前記フレームの送信元 MA Cァドレスと一致する場合に、前記送信元ァドレスの組み合わせが正常であると判定してもよい。

このようにすれば、本発明の問い合わせフレームとして、既存の A R P要求フレームを用いるため、新たな問い合わせフレームを生成することなく、本発明の処理を実行することができる。

さらに、本発明の前記中継対象登録手段は、前記問い合わせフレームとして前記フレームの送信元 MA Cァドレス及ぴ送信元 I Pァドレスをそれぞれ宛先 M A Cアドレス及び宛先 I Pアドレスとする ping (Packet INternet Groper) フレームを送信し、前記応答フレームとして ping リプライフレームを受信し、この ping リプライフレームの送信元 MA Cアドレス及ぴ送信元 I Pアドレスが前記フレームの送信元 MA Cアドレス及ぴ送信元 I Pァドレスにそれぞれ一致する場合に、前記送信元ァドレスの組み合わせが正常であると判定してもよい。

このようにすれば、本発明の問い合わせフレームとして、既存の ping フレームを用いるため、新たな問い合わせフレームを生成することなく、本発明の処理を実行することができる。

また、本発明の前記中継対象登録手段は、前記フレームの送信元 I Pアドレスと同一の I Pァドレスを含むェントリが既に前記テーブルに登録されている場合には、前記応答フレームに係る条件が満されるか否かに拘わらず、前記フレームの送信元ァドレスの ¾aを前記テーブルへの登録対象から除外してもよい。

このようにすれば、 MA Cァドレスをなりすましたフレームが中継対象としてテ一ブルに登録されるのを防止することができる。

また、本発明の前記中継対象登録手段は、前記フレームの送信元 MA Cァドレスと同一の MA Cァドレスを含むェントリが既に前記テーブルに登録されている場合には、前記応答フレームに係る条件が満されるか否かに拘わらず、前記フレームの送信元アドレスの組を前記テーブルへの登録対象から除外してもよレ、。このようにすれば、例えば、 I Pアドレスをなりすましたフレームが中継対象として登録されることを防止することができる。

また、本発明は、前記テーブルに対して MA Cアドレスが同一であり I Pアドレスが異なるェントリを登録可能な数が予め規定されており、前記中継対象登録手段は、前記フレームの送信元 MA Cァドレスと同一の MA Cァドレスを含む前記登録可能数以上のェントリが既に前記テーブルに登録されているときには、前記応答フレームに係る条件が満されるか否かに拘わらず、前記フレームの送信元ァドレスの組を前記テーブルへの登録対象から除外するように構成してもよい。本発明によると、中継対象として許可するフレームの送信元ァドレスの組をテーブルに登録する前に、このフレームの送信元 MA Cァドレスと同一の MA Cァドレスに対応する登録済の I Pアドレスの数を取得する。そして、この I Pアドレスの登録数が、予め定められた同一 MA Cァドレスに対する I Pァドレスの登録可能数以上であれば登録処理を行わない。従って、本発明によれば、登録可能数を複数に設定することで、同一の端末が I Pアドレスを変更した場合における MA Cァドレス及ぴ I Pァドレスの組をテーブルに登録することを許容する。一方で、登録可能数以上のァドレスの登録を防止して、なりすましのァドレスの登録を防止することができる。

また、本発明は、前記テーブルが、 MA Cアドレスとこの MA Cアドレスに対応する宛先ポート番号とを含むェントリを格納し、フレームのレイヤ 2での中継において宛先ポートを割り出すために参照される MA Cァドレステーブルの各ェントリに、 MA Cアドレスに対応する I Pアドレスのフィールドと、中継対象か否かを示す情報を格納するフィールドとを設けることによって構成され、自装置で受信されるフレームのレイャ 2の中継処理を前記テーブルを参照して行うレイャ 2中継処理手段と、前記テーブルから一定時間使用されなったェントリを削除する削除手段とをさらに備えるように構成してもよい。

本発明によると、中継対象とするか否かを判断するためのテーブルを、通常のレィャ 2の中継装置で用いる MA Cアドレステーブルに組み込むことができる。従つて、本発明によれば、レイヤ 2の中継処理とルーティング対象のチェックを 1つのテープで行うことができる。また、 MA Cアドレステーブルに対するエージング処理の利用による自動ェントリ削除を実現することができる。

また、本発明は、前記フレームの送信元ァドレスの組を含むェントリを前記テ一ブルに登録する際に、この送信元ァドレスの組を構成する MA Cァドレスと同一の MA Cァドレスを含む他のェントリが既に前記テーブルに登録されている場合には、前記判定手段による処理において当該ェントリが前記他のェントリよりも先に検索される状態で当該ェントリを登録してもよい。

本発明によると、所定時間経過後のエントリを削除する、いわゆるエージング処理によって、古い I Pアドレスを持つエントリが自動で削除される。従って、本発明によれば、使用されていない I Pアドレスを含むエントリを、テーブルから確実に削除することができる。

また、本発明は、自装置が有するポート毎に前記判定手段及び前記中継対象登録手段による処理を行うか否かを設定可能に構成されてもよい。

このようにすれば、個々のポートに接続する接続装置ゃネットワークの状況に応じて、本発明の処理を実行するか否かを設定することができる。

また、本発明は、自装置が有するポート毎に受信可能な MA Cアドレスを一つだけ登録可能なテーブルと、各ポートで受信されたフレームに対し、このフレームの送信元 MA Cァドレス及び受信ポート番号の組と同一の MA Cァドレス及ぴポート番号の組が前記テーブルに登録されているか否かを判定する判定手段と、前記送信元 MA Cァドレス及び受信ポート番号の組が登録されていると判定されたフレームのみを対象としてレイヤ 2の中継処理を行う中継手段とを含むフレーム中継装置として特定することができる。

本発明によると、中継対象を定義したテーブルには、中継装置の持つポート毎に一つの MA Cアドレスが用意される。また、本発明では、受信したフレームの送信元 MA Cァドレスと対応する MA Cァドレス及び受信ポート番号の組を、テーブルから検索して中継処理を行う。従って、本発明によれば、レイヤ 2中継処理において、 MA Cァドレスがなりすまされたフレームの中継を防ぐことができる。

また、本発明は、前記フレームの送信元 MA Cアドレスが、前記テーブルに登録されていない場合に、この送信元 MA Cァドレス及び受信ポート番号の組が有効であるか否かを判定し、有効なフレームの送信元 MA Cァドレス及び受信ポート番号の組を前記テーブルに登録する、 MA Cァドレス学習部をさらに含んでもよい。

このようにすれば、 M A Cアドレス学習機能を利用して、有効と認められる M A Cァドレス及びポート番号の組をテーブルに登録することができる。ここで、 M A Cァドレスがなりすまされた送信元ァドレス及ぴ受信ポート番号の組が無効とされることで、当該組が登録されるのを防止することができる。

また、本発明の前記 MA Cアドレス学習部は、前記ポートがフレームを受信可能な状態となつてから、最初に受信したフレームの送信元 MA Cァドレス及び受信ポート番号の組を、前記有効な組としてテーブルに登録するのが好ましい。ここで、当該状態とは、中継装置が起動したときに、この中継装置の全てのポートについて生じる。あるいは、中継装置起動中において、あるポートに対するリンクが切れ、その後、このポートについてリンクが接続されたときに生じる。

本発明によると、 MA Cアドレス学習部が、ポートから最初に受信したフレームの送信元 MA Cァドレス及び受信ポート番号の組を有効な組として登録し、このフレームの中継を行うためにテーブルに登録する。従って、本発明によれば、有効な組をテーブルに登録した後に受信したなりすましフレームの中継を防止することができる。

また、本発明の前記 MA Cアドレス学習部は、送信元 MA Cアドレス及び受信ポート番号の組が有効であるか否かの判断を行うか否かをポート毎に設定可能であってもよレヽ。

このようにすれば、個々のポートに接続される装置ゃネットワークの状況に応じて、本発明の処理を実行するか否かを設定することができる。

なお、本発明は、コンピュータに本発明に係る手段の何れかの機能を実現させるプログラムとして特定することができる。また、本発明は、そのようなプログラムが記録されたコンピュータが読み取り可能な記憶媒体として特定することができる。さらに、本発明は、フレーム中継装置に搭載される、レイヤ 3やレイヤ 2の中継の判定処理を行う装置として特定することができる。図面の簡単な説明

図 1は、第 1の実施の形態に係るフレーム中継装置の構成を示すプロック図であり、

図 2は、従来のレイヤ 2スィツチにおけるレイヤ 2中継処理を示すフローチヤ一ト及ぴ MA Cアドレステーブルの一例であり、

図 3は、第 1の実施の形態に係る MA Cァドレステーブルの一例であり、図 ·4は、フレーム中継装置のレイヤ 2中継処理部によるレイヤ 2中継処理を示すフローチヤ一トの一例であり、

図 5は、従来のレイヤ 2スィツチにおけるレイヤ 2ァドレス学習処理を説明するフローチヤ一トの一例であり、

図 6は、フレーム中継装置のレイヤ 2アドレス学習処理部による、レイヤ 2ァドレス学習処理を説明するフローチャートの一例であり、

図 7は、第 2の実施の形態に係るフレーム中継装置の構成を示すプロック図であり、

図 8は、ルーティング対象チェック部による、ルーティング前処理について説明するフローチャートの一例であり、

図 9は、ルーティング対象登録処理部による、ルーティング対象登録処理を説明するフローチャートの一例である。

図 1 0は、ルーティング対象登録処理部による、ルーティング対象登録処理を説明するフローチャートの一例である。発明を実施するための最良の形態

以下、図面を参照して、本発明のフレーム中継装置の一実施の形態を説明する。本発明のフレーム中継装置は、スィッチンダハブ、レイヤ 2スィッチ、ルータ、レイヤ 3スィツチ、 L 2及び L 3の中糸瞧能を持つ装置（ L 2 /L 3スィツチ)等に適用できる。本実施の形態は、レイヤ 2スィツチゃスィツチング HUBに適用可能な本発明に係るフレーム中継装置の一例を、第 1の実施の形態として説明する。また、レイヤ 3スイツチ、ルータ、 L 2 /L 3'スィツチに適用可能な本発明に係るフレーム中糸蝶置の一例を、第²の雄の形態として説明する。

〈第 1の雞の形態〉

図 1は、第 1の実施の形態に係るフレーム中継装置の構成を示すプロック図である。フレーム中継装置 1 0は、レイヤ 2中継処理部 1 1、 MA Cアドレステーブル 1 2、レイヤ 2アドレス学習処理部 1 3、許容 MA Cアドレステーブル 1 4を備える。

なお、フレーム中継装置 1 0の機能プロックのうち、レイヤ 2中継処理部 1 1は、本発明の判定手段及ぴ中継手段として機能する。また、レイヤ 2アドレス学習処理部 1 3は、本発明の判定手段、登録手段、及び切り替え手段として機能する。

レイヤ 2中継処理部 1 1は、複数（例えば n個）のポート 1 5のそれぞれで受信されるフレームを受け取る。レイヤ 2中継処理部 1 1は、 MA Cアドレステーブル 1 2を参照して、各フレームに対する後述のレイヤ 2中継処理を実行する。このレィャ 2中継処理によってフレームを中継するあて先が定められる。レイヤ 2中継処理後、レイヤ 2中継処理部 1 1は、フレームをレイヤ 2アドレス学習処理部 1 3に送信する。

なお、レイヤ 2中継処理部 1 1は、 MA Cアドレステーブル 1 2から、古い検索対象のフレームの情報（エントリ）を削除するために、いわゆるエージング処理（時間経過による処理）を行う。エージング処理では、エントリが登録されてから所定の時間（例えば、 I P V 4であれば通常 3 0秒）が経過するまでの間に、そのェントリに対するアクセスが無ければ、そのェントリが削除される。図 3は、フレーム中継装置 1 0に搭載される MA Cァドレステーブル 1 2の一例である。 MA Cアドレステーブル 1 2には、フレーム中継装置 1 0の中継対象である MA Cアドレスが格納されている。そして、 MA Cアドレステーブル 1 2 には、 MA Cアドレスにそれぞれ対応する I Pアドレス，宛先ポート，ルーティング対象の有無が格納されている。

レイヤ 2アドレス学習処理部 1 3は、後述の許容 MA Cアドレステーブル 1 4を用いて、入力されたフレームに対する後述のレイヤ 2ァドレス学習処理を実行する。レイヤ 2アドレス学習処理後、レイヤ 2アドレス学習処理部 1 3は、レイヤ 2中継処理に基づいたあて先に対応した出力先のポート 1 5へフレームを出力し、フレームは当該ポート 1 5から送出される。

許容 MA Cァドレステーブル 1 4は、レイヤ 2ァドレス学習処理部 1 3による処理のために新規に用意されるテーブルである。また、許容 MA Cアドレステーブル 1 4は、なりすました MA Cアドレスでの学習処理を防ぐために用意される。図 6に、許容 MA Cアドレステーブル 1 4の一例を示す。本テーブル 1 4は、フレーム中継装置 1 0の持つ個々のポート 1 5に対応するエントリを持つ。そして、個々のエントリは、個々のポート 1 5のポート番号に対応する、 MA Cアドレスの有効/無効を示す値を格納するフィールドと、そのポート番号で受信して良い MA Cアドレスを格納するフィールドとを持つ。各エントリにおいて、 MA Cアドレスの有効/無効を示す値は、 MA Cアドレスのフィールドに設定された MA Cァドレスが有効であるか否かを示す。

上述したフレーム中継装置 1 0に係る構成のうち、レイヤ 2中継処理部 1 1及ぴレイヤ 2アドレス学習処理部 1 3は、従来のフレーム中継装置における中継機能及び学習機能のそれぞれの処理内容に改変を加えることで実現することができる。

〈レイヤ 2中継処理〉

次に、フレーム中継装置 1 0で実行されるレイヤ 2中継処理について説明する。図 2は、本発明との比較のための、従来のレイヤ 2スィッチにおけるレイヤ 2 中継処理を示すフローチヤ一ト及ぴ MA Cァドレステーブルの一例である。図 2 に示す処理では、レイヤ 2スィッチは、受信されたフレームの宛先 MA Cァドレスを抽出して、レイヤ 2スィツチ内の MACァドレステーブルからこの宛先 M A Cアドレスに対応するポートを検索する。 MACアドレステーブルには、 MAC アドレスと、これに対応する宛先のポートの識別情報が格納されている。レイヤ 2スィツチは、 MACァドレステーブルから宛先 MACァドレスに対応する宛先ポートが検索できた（送信元 MACァドレスと同じ MACァドレスを持つェントリがヒットした）場合には、当該フレームを当該宛先ポートから送信していた。これに対し、レイヤ 2スィッチは、 MACアドレステーブルから宛先ポートを検索できなかった（エントリがヒットしなかった）場合には、当該フレームを、レィャ 2スィッチが属するサブネット内に同報送信（ブロードキャスト）していた < また、従来においても、 MACアドレステーブルのエントリに対し、上述したようなエージング処理が行われていた。

このような従来のレイヤ 2スィッチに対して、フレーム中継装置 10は、 MA Cァドレステーブル 12を用いて、以下のレイヤ 2中継処理を行う。

図 4は、レイヤ 2中継処理部 1 1によるレイヤ 2中継処理を示すフローチヤ一トの一例である。本処理が開始すると、最初に、レイヤ 2中継処理部 1 1は、受信したフレームの送信元 MACアドレスを抽出する（S 101) 。

レイヤ 2中継処理部 1 1は、検索条件の一つとして、抽出した送信元 MACァドレスを含むことを設定する。また、レイヤ 2中継処理部 1 1は、検索条件の一つとして、レイヤ 2中継処理で I Pアドレスを考慮しない条件（例えば、「don't carej )とする。そして、レイヤ 2中継処理部 1 1は、これらの検索条件に基づいて、 MACァドレステーブル 1 2から送信元 MACァドレスと同じ MACァドレスを含むェントリを検索する（S 102) 。

レイヤ 2中継処理部 1 1は、 MACアドレステーブル 1 2を検索した結果、検索対象の MACアドレスの情報（検索に引つかかるエントリ）があるか否かを判断する。そして、レイヤ 2中継処理部 1 1は、 MACアドレスのエントリが検索された場合に、このフレームを受信したポート 1 5が MACアドレステーブル 1 2内のエントリの宛先ポートと一致しているか否かを判断する（S 1 03) 。このとき、 S 1 0 3の処理において、いずれの条件も満たした場合（S 1 0 3 : Ye s) には、レイヤ 2中継処理部 1 1は、 S 104の処理を行う。また、 S 1 0 3の処理において、いずれかの条件が満たされない場合（S 1 0 3 ： N o) は、中継対象のフレームではない（なりすましのフレーム）と判断して、本処理を終了する。 S 103にて Noと判断されたときのフレームは、フレーム中継装置 10において、中継対象のフレームとして取り扱われない。例えば、当該フレームはフレーム中継装置 10内で廃棄される。

S 103の処理においていずれの条件も満たした場合には、レイヤ 2中継処理部 1 1は、受信されたフレームから、宛先 MACァドレスを抽出する（S 1 0 4) 。

レイヤ 2中継処理部 1 1は、抽出した宛先 MACアドレスを、検索対象の MA Cアドレスとする（エントリの検索条件に設定する）。このとき、レイヤ 2中継処理部 1 1は、 I Pアドレスを「don't carej 、即ちエントリの検索条件に含めない。そして、レイヤ 2中継処理部 1 1は、これらの検索条件に基づいて、 MAC アドレステーブル 1 2から宛先 MACアドレスを検索する（S 105) 。

レイヤ 2中継処理部 1 1は、 MACアドレステーブル 1 2を検索した結果、検索対象の宛先 MACァドレスが検索された（検索条件に合致するェントリが検索に引つかかった）場合には、この MACアドレスに対応する宛先ポート宛にフレームを送信する（S 106) 。但し、検索対象の宛先 MACアドレスが検索されなかった（エントリにヒットしなかった）場合には、フレーム中継装置 10に接続するサブネット内（受信ポートを除く他のポート）に同報送信する。

上述したレイヤ 2中継処理によれば、図 4に示すように、従来における中継処理（図 2)に S 103の判断処理が付加され、この判断処理において MACァドレスとポートとの対応関係が MACァドレステーブル 1 2の登録内容に合致しなければ、当該フレームがなりすましのフレームであるものとして当該中継処理を終了する。これによつて、なりすましのフレームの中継処理を防止することができる。

〈レイヤ 2ァドレス学習処理〉

次に、フレーム中継装置 10で実行されるレイヤ 2アドレス学習処理について説明する。このレイヤ 2アドレス学習処理は、なりすましたフレームを中継対象のフレームとして MACァドレステーブル 1 2に登録されることを防止する。図 5は、本発明との比較のための、従来のレイヤ 2スィッチにおけるレイヤ 2 ァドレス学習処理を説明するフローチャートの一例である。レイヤ 2ァドレス学習処理とは、レイヤ 2の中継処理を行う際に必要な MA Cアドレスを、 MA Cアドレステーブルに追加または更新する処理である。

図 5に示す例では、レイヤ 2スィッチは、受信フレームから送信元 MA Cアドレスを抽出し、当該 MA Cァドレスを含むェントリが MA Cァドレステーブルに既に登録されているか否かを判定する。そして、該当するエントリがない場合、又は当該 MA Cァドレスを含むェントリがあるがこのェントリ中の宛先ポートと当該受信フレームの受信ポートとがー致しない場合に MA Cァドレステーブル登録処理を行う。一方、レイヤ 2スィッチは、当該フレームの送信元 MA Cァドレス及ぴ受信ポートがヒットしたェントリに合致する場合には、 MA Cァドレステ一ブル登録処理を行わず、当該処理を終了する。

このような従来のレイヤ 2スィツチのレイヤ 2ァドレス学習処理に対して、フレーム中継装置 1 0のレイヤ 2ァドレス学習処理部 1 3は、 MA Cァドレステーブル 1 2及ぴ許容 MA Cァドレステーブル 1 4を用いて、以下のレイヤ 2ァドレス学習処理を行う。

図 6は、レイヤ 2アドレス学習処理部 1 3による、レイヤ 2アドレス学習処理の一例を説明するフローチャートである。

本処理が開始すると、最初に、レイヤ 2アドレス学習処理部 1 3は、許容 MA C アドレステーブル 1 4を参照して、受信したフレームを受信したポート 1 5の端末直結モードがオン（O N)である力否かを判断する（S 2 0 1 ) 。

ここに、「端末直結モード」とは、端末がフレーム中継装置 1 0の或るポートに直接に（他の HU Bゃスィツチを介さずに）接続されている場合に適用されるモードを指し、フレーム中継装置 1 0のポート単位でそのオンオフができるように構成される。端末直結モードがオンである場合には、レイヤ 2アドレス学習処理部 1 3 は、許容 MA Cァドレステーブル 1 4を用いて登録可能な MA Cァドレスのチエツクを行う。これに対し、端末直結モードがオフの場合には、レイヤ 2アドレス学習処理部 1 3は、登録可能な MA Cアドレスのチェックを行わない。

S 2 0 1において、受信ポートの端末直結モードが O Nではない（O F Fである）と判断される場合（S 201 ： No) には、レイヤ 2アドレス学習処理部 1 3は、 S 206の処理に移行する。これに対し、 S 201において、端末直結モードが ONであると判断される場合（S 201 ： Y e s ) には、レイヤ 2ァドレス学習処理部 1 3は、 S 202の処理に移行する。

端末直結モードが ONである場合に、レイヤ 2アドレス学習処理部 13は、フレームを受信したポート 1 5のポート番号（受信ポート番号）と同一のポート番号を含むエントリを、許容 MACアドレステーブル 14から取得する（S 202) 。フレーム中継装置 10の起動直後では、許容 MACァドレステーブル 14の全てのエントリに対し、 "無効" が設定されるように、フレーム中継装置 10が構成される。この時点では、 MACアドレステーブル 12には、登録エントリがないので. 許容 MACテーブル 14で有効が設定された M A C了ドレスに係るエントリのみが MACアドレステーブル 12に登録されるようにするためである。また、フレーム中継装置 10 (例えば、レイヤ 2ァドレス学習処理部 13)は、フレーム中継装置 1 0が持つポート P a (a =1, 2， 3 · · · )に接続されたリンクが切れたことを認識した場合には、許容 MACァドレステーブル 14のる当該ポート番号 P aに対する MACアドレスの有効 Z無効の設定を "無効" とする。このようなリンク切れの監視及ぴ無効設定に係る処理は、フレーム中継装置 10の起動時において常時行われるように構成される。

レイヤ 2ァドレス学習処理部 1 3は、許容 MACァドレステーブル 14から取得したエントリを参照して、当該エントリの有効/無効フィールドに "有効 (〇）" が設定されている否かを判断する（S 203) 。このとき、有効無効フィールドに "有効" が設定されている場合（S 203 ： Y e s) には、レイヤ 2 ァドレス学習処理部 1 3は、 S 205の処理に移行する。これに対し、有効無効フィールドに "有効" が設定されていない（ "無効（X)" が設定されている場合（S 203 ： No) には、レイヤ 2ァドレス学習処理部 1 3は、 S 204の処理に移行する。

S 204では、レイヤ 2アドレス学習処理部 1 3は、処理対象のフレームに係る情報を許容 MACアドレステーブル 14に登録する処理を行う。このとき、レィャ 2ァドレス学習処理部 13は、許容 MACァドレステーブル 14における、当該フレームの受信ポート番号に対応するェントリについて、有効無効フィールドに "有効（〇）" を設定するとともに、当該フレームの送信元 MA Cアドレスを登録する。 S 2 0 4の処理が終了すると、レイヤ 2アドレス学習処理部 1 3は. S 2 0 6の処理に移行する。

一方、 S 2 0 5では、レイヤ 2アドレス学習処理部 1 3は、フレームの送信元 MA Cァドレスが、 S 2 0 2で取得されたェントリの MA Cァドレスのフィールドに登録されている MA Cァドレスと同一であるか否かを判断す 0。このとき、レイヤ 2ァドレス学習処理部 1 3は、 MA Cァドレスが同一でない場合（S 2 0 5 ： N o )には、このフレームをなりすましのフレームであると判断して、本学習処理を終了する。これに対し、 MA Cアドレスが同一である場合には、 S 2 0 6の処理の処理に移行する。

S 2 0 6では、レイヤ 2アドレス学習処理部 1 3は、受信したフレームに係る情報を MA Cアドレステーブル 1 2に登録する。このとき、レイヤ 2アドレス学習処理部 1 3は、このフレームに対応する情報として、テーブル 1 2の MA Cァドレスのフィールドに対してフレームの送信元 MA Cアドレスが設定され、 I P アドレスのフィールドに対して "don' t care" が設定され、宛先ポートのフィールドにフレームの受信ポート番号が設定され、ルーティング対象であるか否かの情報を格納するフィールドにルーティング対象でないことを示す情報（フラグ。

「〇J 及び「X」のような二値で表現できる。）が設定されたエントリを MA C アドレステーブル 1 2に登録する。 S 2 0 6の処理が終了すると、レイヤ 2アドレス学習処理部 1 3は、本学習処理を終了する。

以上説明したフレーム中継装置 1 0によると、次の作用効果を得ることができる。即ち、端末直結モードがオンにされるような、端末とフレーム中継装置 1 0 とが直接接続されている状況下では、その端末を収容するポート P aは、その端末の MA Cァドレスが送信元ァドレスに設定されたフレームしか受信しない答である。このため、当該ポート P aに対して有効な MA Cアドレスが許容 MA Cァドレステーブル 1 4に登録されている場合において、登録された MA Cアドレスと異なる送信元 MA Cァドレスを持つフレームが当該ポート P aから受信された場合には、当該端末がなりすましのフレームを送信した可能性が高い。フレーム中継装置 1 0の学習処理によれば、このようなフレームに対しては S 2 0 5の判断で学習処理を途中で終了することで、当該フレームに係るェントリが MA Cァドレス学習テーブル 1 2に登録されることが防止される。また、フレーム中継装置 1 0のフレームの中継処理によれば、当該フレームの中継処理が S 1 0 3の判断で中止されるので、当該フレームが中継されることはない。

以上のように、フレーム中継装置 1 0によれば、自装置と直結している端末からのなりすましのフレームの中継を防止することができる。従って、中継装置に対し複雑なフィルタリング設定を行う必要はない。また、なりすましのフレームがインターネットゃイントラネット上に流れ込むのを抑えることができる。

なお、上述したレイヤ 2アドレス学習処理において、端末直結モードが O F Fの場合に許容 MA Cァドレステーブル 1 4によるチェック処理を行わない理由は次の通りである。ド接続される場合では、フレーム中継装置 1 0の他のレイヤ 2スィッチを収容するポートには、他のレイヤ 2スィツチの先に接続する複数の端末の MA Cァドレス力送信元 MA Cアドレスとして到着する。この場合に、端末直結モードがオンであると、許容 MA Cアドレステーブル 1 4は、一つのポートに対して一つの MA Cアドレスしか有効な MA Cァドレスとして登録しないので、有効として登録された M A Cァドレス以外の MA Cァドレスの中,継が行われなくなってしまう。このような状況を防止すべく、 1つのポートに対して複数の正常な送信元 MA Cァドレスを持つフレームが受信されるような接続状況下では、端末直結モードをオフにできるようにしている。

なお、上述したフレーム中継装置 1 0の構成では、 MA Cアドレステーブル 1 2に I Pアドレス及びルーティング対象か否かを示す情報を登録するフィールドを設け、図 4及び図 6において、 I Pアドレスの検索や登録に係る処理を行う ( S 1 0 2 , S 1 0 5 , S 2 0 6 ) 。このようなレイヤ 3に係る構成は、フレーム中継装置 1 0に無くても良レ、。

〈第 2の実施の形態〉

次に、本発明のフレーム中継装置の第 2の実施の形態について説明する。図 7は、第 2の実施の形態に係るフレーム中継装置 2 0の構成を示すプロック図である。フレーム中継装置 2 0は、 MA Cアドレステープノレ 1 2、許容 MA Cアドレステーブル 1 4、レイヤ 2中継処理部 2 1 (本発明のレイャ 2中継処理手段に対応）、スィッチ 2 2、レイヤ 2アドレス学習処理部 2 3、中継対象識別部 2 4、ポート 2 5、ルーティング処理部（本発明のレイャ 3中継処理手段に対応） 2 6、ル一ティング対象登録処理部 2 7、及びルーティング対象チエック部 2 8を備える。ルーティング対象登録処理部 2 7は、本発明のフレーム中継装置における中継対象登録手段として機能する。また、ルーティング対象チェック部 2 8は、本発明の判定手段として機能する。

なお、フレーム中継装置 2 0の構成のうち、レイヤ 2中継処理部 2 1，レイヤ 2 ァドレス学習処理部 2 3，ポート 2 5の構成は、第 1の実施の形態におけるフレ一ム中継装置 1 0のレイヤ 2中継処理部 1 1，レイヤ 2アドレス学習処理部 1 3 , ポート 1 5と同様である。従って、第 2の実施の形態において、これらの機能に関する説明は省略する。

スィッチ 2 2は、レイヤ 2中継処理部 2 1やルーティング処理部 2 6で決定されたポートへ向けて、中継対象のフレームを転送する。スィッチ 2 2は、従来の装置に搭載されているものを適用することができる。

中継対象識別部 2 4は、複数（例えば n個）のポート 2 5からそれぞれ受信される各フレームが、レイヤ 2の中継対象であるかあるいはレイヤ 3の中継対象であるかを、受信したフレームの宛先 MA Cアドレスに基づいて判断する。なお、この中継対象識別部 2 4の機能は、従来の装置の機能と同様の機能でもよい。ルーティング対象チェック部 2 8は、 MA Cアドレステーブル 1 2を参照して、受信したフレームに対する後述のルーティング前処理を実行する。ルーティング前処理後、ルーティング対象チェック部 2 8は、受信したフレームがルーティング対象であるか否かによって、受信したフレームをルーティング処理部 2 6またはルーティング対象登録処理部 2 7に送信する。このルーティング対象チエック部 2 8は、本発明に係る新規な構成である。

ルーティング処理部 2 6は、ルーティング対象チェック部 2 8から受信した、ルーティング対象のフレームに対するルーティング処理（レイヤ 3の中継処理）を行う。なお、このルーティング処理部^{2 6}によるルーティング処理は、従来のルータによるルーティング処理と同様の処理でもよレ、。

ルーティング対象登録処理部 2 7は、ルーティング対象チェック部 2 8においてルーティング対象ではないと判定されたフレームに対して、後述のルーティング対象登録処理を行う。このルーティング対象登録処理部 2 7は、本発明に係る新規な構成である。

〈ルーティング前処理〉

次に、本フレーム中継装置 2 0のルーティング対象チェック部 2 8による、ル一ティング前処理について説明する。

図 8は、本ルーティング対象チェック部 2 8による、ルーティング前処理の一例について説明するフローチャートである。前処理が開始すると、最初に、ルーティング対象チェック部 2 8は、受信したフレームの受信ポート番号に基づいて、このフレームに対するルーティング対象チェックを行うか否か (ルーティング対象チェックモードが O Nか否か）を判断する（図 8における S 3 0 1 ) 。

ここで、ルーティング対象チェックモードについて説明する。ルーティング対象チェックモードとは、受信フレームの送信元 MA Cアドレスと送信元 I Pアドレスの組から、当該受信フレームがフレーム中継装置 2 0におけるルーティング対象であるか否かのチェックを実行するモードである。すなわち、ルーティング対象チェックモードを設定しない場合（チェックモード： O F F)には、受信したフレームに対してルーティング対象であるか否かのチェックを行わない。これに対し、ルーティング対象チェックモードが O Nの場合には、受信フレームがルーティング対象か否かのチェックが行われる。ルーティング対象チェックモードは、各ポート番号単位にチェックを実行するか否か（モードの O NZO F F) を設定することができる。

S 3 0 1において、フレームの受信ポートに対するルーティング対象チェックモードが O Nである場合（S 3 0 1 ： Y e s )には、ルーティング対象チェック部 2 8は、 S 3 0 2の処理に移行する。また、ルーティング対象チェックモードが O F Fである場合（S 3 0 1 ： N o )には、ルーティング対象チェック部 2 8は、ルーティング前処理を終了して、フレームをルーティング処理部 2 6に送信する。そして、ルーティング処理部 2 6によるフレームのルーティング処理が行われる。なお、ルーティング処理は、従来と同様の処理であるので、説明は省略する。ルーティング対象チェックモードが O Nである場合には、ルーティング対象チエック部 2 8は、受信したフレームから送信元 MA Cアドレス、及ぴ送信元 I P ァドレスを抽出する（S 3 0 2 ) 。

送信元 MA Cアドレス及ぴ送信元 I Pアドレス抽出後、ルーティング対象チェック部 2 8は、この MA Cァドレスと I Pァドレスとの組み合わせを持つェントリを、 MA Cァドレステーブル 1 2から検索する（S 3 0 3 ) 。

ルーティング対象チェック部 2 8は、 S 3 0 3で検索した結果、 MA Cァドレステーブル 1 2に対応する組み合わせ（エントリ）があるか否かを判断する。さらに、ルーティング対象チェック部 2 8は、該当するエントリがある場合に、そのェントリがルーティング対象であるか否かを、検索されたェントリ中のルーテイング対象か否かを示す情報（フラグ）に基づいて判断する（S 3 0 4 ) 。このとき、ルーティング対象チェック部 2 8は、このエントリが MA Cアドレステープル 1 2から検索されない場合とこのフレームがルーティング対象ではない場合のいずれかである場合（S 3 0 4 ： N o )には、このフレームをルーティング対象登録処理部 2 7に送信する。これにより、当該フレームについて、ルーティング対象登録処理部 2 7によるルーティング対象登録処理が実行される。

また、ルーティング対象チェック部 2 8は、受信したフレームが上記の条件のいずれも満たした場合（S 3 0 4 ： Y e s )には、このフレームをルーティング処理部 2 6に送信する。

以上のような前処理によれば、 MA Cアドレステーブル 1 2において、ルーティング対象である旨が登録された MA Cァドレス及び I Pアドレスがそれぞれ送信元ァドレスとして設定されたフレームのみが、ルーティング処理部 2 6によるルーティング処理（中継処理）の対象となる。

〈ルーティング対象登録処理〉

次に、ルーティング対象登録処理部 2 7による、ルーティング対象登録処理について説明する。

図 9， 1 0は、ルーティング対象登録処理部 2 7による、ルーティング対象登録処理の一例を説明するフローチャートである。まず、ルーティング対象登録処理部 27は、ルーティング対象チェック部 28 から受信したフレームの受信ポートに対応する端末直結モードが ONであるか否かを判断する（S 40 1) 。このとき、端末直結モードが ONである場合（S 4 0 1 ： Ye s)には、ルーティング対象登録処理部 27は S 402の処理に移行する。また、端末直結モードが OFFである場合（S 401 ： No)には、ルーテ，ィング対象登録処理部 27は、 S 406の処理に移行する。

端末直結モードが ONである場合には、ルーティング対象登録処理部 27は、受信したフレームの受信ポート番号と同一のポートを持つェントリを、許容 MA Cアドレステーブル 14から取得する（S 402) 。

続いて、ルーティング対象登録処理部 27は、許容 MACアドレステーブル 1 4の情報に基づいて、このェントリに含まれる MACァドレスの有効/無効を示す値を格納するフィールド（有効フィールド）の値が "有効" であるか否かを判断する（S 403) 。このとき、有効フィールドの値が有効ではない場合（S 40

3 ： No)には、ルーティング対象登録処理部 27は、このフレームの送信元 M ACアドレスに係るエントリを許容 MACァドレステーブル 14に登録する（S

404) 。このとき、許容 MACアドレステーブル 14には、当該フレームの受信ポートのポート番号，に対応するエントリの有効フィールドに対し、有効を示す値を設定するとともに、当該ェントリの MACァドレスの格納フィールドに対し: 当該フレームの送信元 MACアドレスを登録する。登録後、ルーティング対象登録処理部 27は、 S 406の処理に移行する。

S 403の処理において、検索されたェントリの有効フィールドの値が有効であると判断された場合には、ルーティング対象登録処理部 27は、フレームの送信元 MACァドレスが当該ェントリの MACァドレスと同一であるか否かを判断する（S 405) 。このとき、フレームの送信元 MACアドレスとエントリの M ACアドレスとが同一ではない場合（S 405 ： No)には、ルーティング対象登録処理部 27は、このフレームがなりすましのフレームであるものとして、ルーティング対象として登録せずに本処理を終了する。これに対し、フレームの送信元 MACァドレスとエントリの MACァドレスとが同一である場合（S 405 : Ye s)には、ルーティング対象登録処理部 27は、 S 406の処理に移行する。 S 401 , 404, 405の処理後、ルーティング対象登録処理部 27は、受信したフレームの送信元 I Ρァドレスと同一の I Ρァドレス持つェントリを、 Μ ACアドレステーブル 1 2から検索する（S 406) 。

そして、ルーティング対象登録処理部 27は、 MACアドレステーブル 1 2にフレームの送信元 I Pァドレスと同一の I Pァドレスを持つェントリがあったか否かを判断する（S 407) 。このとき、該当するエントリがあった場合（S 4 07 ： Ye s)には、ルーティング対象登録処理部 27は、このフレームがなりすましのフレームであるものとして、ルーティング対象として登録せずに本処理を終了する。

S 407において、該当するェントリが検索されなかった場合（S 40 7 ： Y e s)には、ルーティング対象登録処理部 27は、当該フレームがなりすましのフレームか否かを判断するために、当該フレームの送信元 MACァドレスを問い合わせ先の MACアドレスとした AR P (Address Resolution Protocol) 要求フレームを送信する（S 408) 。即ち、フレームに設定された送信元 I Pアドレスに対応する MACァドレスを問い合わせるための ARP要求フレームを生成し、受信したフレームの送信元 MACァドレス宛に送信する。

ルーティング対象登録処理部 27は、 ARP要求フレームに対する応答が所定時間内にあり（所定時間内に A RP応答フレームを受信し）、かつ応答フレームに入っている MACァドレス（問い合わせ元の I Pァドレスに対応する MACァドレス）力受信したフレームの送信元 MACアドレスと同一であるか否かを判断する（S 409) 。

応答フレームを所定期間内に受信しなかった場合、或いは応答フレーム中の M ACアドレスとフレームの送信元 MACァドレスとがー致しなかった場合（S 4 09 ： No) には、ルーティング対象登録処理部 27は、受信したフレームがなりすましのフレームであるものとして、このフレームをルーティング対象として登録せずに本処理を終了する。

S 408において、 AR P要求フレームの代わりに ping (Packet INternet Groper) フレームを送信するようにしても良い。この場合には、 ping フレームの宛先 MACアドレスには、当該フレームの送信元 MACアドレスを設定し、且つ宛先 I Pァドレスには、当該フレームの送信元 I Pァドレスを設定する。

pingフレームを送信する場合には、ルーティング対象登録処理部 27は、 S 4 09において、 ping の Reply フレームを所定期間内に受信でき、この ping の Reply フレームの送信元 MA Cアドレスと送信元 I Pアドレスとが、受信したフレームの送信元 MACァドレスと送信元 MACァドレスと一致するか否かを判断する。 Reply フレームを所定期間内に受信できなかった場合、及び Reply フレームの送信元 MACァドレス及び送信元 I Pァドレスがフレームの送信元 MACァドレス及び送信元 I Pアドレスに一致しない場合（S 409 ： No) には、処理を終了し、そうでない場合（S 409 ： Y e s) には、処理を S 410に進める。

S 409において、所定期間内に受信された応答フレーム中の問い合わせ先の MACアドレスがフレームの送信元 MACアドレスに一致する場合、即ち、問い合わせに対する正常な応答が得られた場合には、ルーティング対象登録処理部 2 7は、受信したフレームの送信元 MACァドレスと同一の MACァドレスを持ち、かつ I Pアドレスに対する設定が「don't carej であるエントリが MA Cァドレステーブル 1 2に存在するか否かを判断する（S 41 0) 。

S 410において、上記条件を満たすエントリが MACアドレステーブル 1 2 に存在する（該当するエントリが見つかった）場合（S 410 ： Ye s) には、ルーティング対象登録処理部 27は、当該エントリの内容を、以下のように書き換える（更新する）。すなわち、ルーティング対象登録処理部 27は、当該ェントリの MACァドレスのフィーノレドに対してフレームの送信元 MACァドレスを登録し、 I Pァドレスのフィールドに対してフレームの送信元 I Pァドレスを登録し、宛先ポート番号のフィールドに対してフレームの受信ポート番号を登録し、ルーティング対象か否かを示す情報を格納するフィールドにルーティング対象であることを示す値（フラグ値）、例えば〇）を登録する（S 41 1) 。 S 41 1 が終了すると、ルーティング対象登録処理部 27は、本処理を終了する。

S 410において、条件を満たすェントリが MACァドレステーブル 12に存在しない場合には、ルーティング対象登録処理部 27は、受信したフレームの送信元 MACァドレスと同一の MACァドレスを持つ、 MACァドレステーブル 12のェントリの数を取得する（S 412) 。そして、取得したエントリの数が、予め定められた同一の MA Cアドレスに対する I Pァドレスの登録可能数未満であるか否かを判断する（S 4 1 3 ) 。ここで、同一の MA Cァドレスに対する I Pァドレスの登録可能数について説明する。 I P アドレスの登録可能数とは、 MA Cアドレステーブル 1 2に対し、同一の MA Cァドレスに対応する異なる I Pァドレスの登録（MA Cァドレスが同一で I Pァドレスが異なるエントリの登録）を幾つまで許容するかを指定する値である。例えば、 I Pアドレスの登録可能数として、 2を設定した場合は、ある MA Cアドレスが共通で I Pァドレスが異なるェントリを 2つまで MA Cァドレステーブル 1 2に登録することができることを示す。なお、 I Pアドレスの登録可能数は、ルーティング対象登録処理部 2 7がアクセス可能なメモリ（図示せず）上に予め用意される。当該登録可能数は、ユーザインターフェイス等を介して変更可能に構成することができる。

S 4 1 3において、取得したェントリの数が I Pァドレスの登録可能数未満である場合には、ルーティング対象登録処理部 2 7は、 MA Cァドレステーブル 1 2に対し、当該フレームに係るエントリを登録する。具体的には、エントリの MA Cァドレスのフィーノレドにフレームの送信元 MA Cァドレスが設定され I Pァドレスのフィールドにフレームの送信元 I Pアドレスが設定され、宛先ポート番号のフィールドにフレームの受信ポート番号が設定され、ルーティング対象か否かを示す値の格納フィールドにルーティング対象であることを示す値が設定されたェントリを、 MA Cァドレステーブル 1 2に登録する（S 4 1 4 ) 。そして、 MA Cァドレステーブル 1 2への書き込み終了後、ルーティング対象登録処理部 2 7は本処理を終了する。

S 4 1 3において、取得したエントリの数が、 I Pアドレスの登録可能数以上である場合（S 4 1 3 ： N o ) には、このェントリに対してはこれ以上 I Pアドレスの登録は不可能、すなわち、このフレームがなりすましである可能性があるとして登録せずに本処理を終了する。

上記の S 4 1 4において MA Cァドレステーブルに追加されるェントリは、上述した前処理やレイヤ 2中継処理時において、最優先で検索（ヒット）される状態で、或いは、追加ェントリと同一の MA Cァドレスを含む既登録の他のェントリよりも先に検索（参照）される状態で登録される。この理由は、次の通りである。通常、送信元 MA Cアドレスに対応する送信元 I Pアドレスは 1つであるので、一つの M A Cアドレスについては一つのエントリ（一つの I Pアドレス）のみが MA Cアドレステーブル 1 2に登録されるようにすれば、その後、 I Pアドレスをなりすました（I Pアドレスが異なる）フレームに対するエントリの登録を防止することができる。一方、端末が使用する I Pアドレスが設定等により適正に変更されることは全く考えられない訳ではない。このため、 I Pアドレスの登録可能数を 2以上に設定可能にすることで、 MA Cアドレスが共通で I Pアドレスが異なる複数のェントリが MA Cアドレステーブル 1 2に登録されることを許容している。但し、端末が使用する I Pァドレスは通常一つであるので、 I Pァドレスが変更された場合には、変更前の I Pアドレスは使われなくなる。一方、上述したように、一定時間使用されなかったエントリは、エージング処理によって、 MA Cアドレステーブル 1 2から削除される。従って、上述したように、追加エントリが変更前の I Pアドレスを含む他のェントリよりも先にヒットするように登録すれば、当該他のェントリをェ一ジング処理によって自動的に削除することが可能となる。

なお、上述した S 4 1 3の処理では、登録可能数未満か否かを判定しているが、登録可能数以下か否かで判定するようにしても良い。すなわち、登録可能数よりも多くの共通の MA Cァドレスを含むェントリが MA Cァドレステーブル 1 2に登録されないようになっていれば良い。

また、ルーティング対象登録処理において、端末直結モードが O Nの時のみ許容 MA Cアドレステーブルのチェックを行う理由は、該当ポートに端末でなくレイヤ 2スィッチ等がカスケード接続されている場合に対応するためである。これは、第 1の実施の形態で説明したのと同様の理由である。

〈実施の形態の効果〉

以上の本発明のフレーム中継装置に係る第 1の実施の形態及び第 2の実施の形態によれば、以下のような効果が得られる。

図 5から、端末直結モードが O Nの時は、許容 MA Cアドレステーブルで許可された MA Cアドレスしか学習対象とならない。フレーム中継装置 1 0又は 2 0に直接繋がった端末が、 MA Cアドレスのなりすましを行った場合、いままで通信してきた MA Cァドレスで既に許容 MA Cァドレステーブル 1 4に対する登録が行われていることから、なりすました MA Cアドレスでは学習処理が行われなレ、。すなわち MA Cァドレステーブルにエントリが登録されないため、図 4の中継方式で示したように、なりすました M A Cアドレスは中継されないといつた効果を得ることができる。

また、許容 MA Cァドレステーブル 1 4は、 Vンクが切れたときにそのリンクを収容するポートに対する有効 Z無効の設定が無効となる。このため、例えば別の端末に接続を変更した時は、許容 MA Cァドレステーブル 1 4の当該ポートに対するエントリの MA Cァドレスの有効無効が無効となっているので、端末が通信を開始した時点での MA Cアドレスで再登録がなされる。従って、フレーム中継装置 1 0及び 2 0によれば、ユーザが或るポートに対する端末の入れ替えや移動（ポートの変更）を行っても、アドレスのなりすましに対応することができる。

また、例えば、フレーム中糸！ ¾置 1 0及ぴ 2◦におレ、て、接続する他のレイヤ 2スィツチの先にいる複数の端末の MA Cァドレスが送信元 MA Cァドレスとして到着する場合、端末直結モードを O Nにすると、許容 MA Cアドレステーブルのチェック処理によって、レイヤ 2スィツチ配下の端末のうち 1つだけしか通信できなくなつてしまう。そのため、本フレーム中継装置 1 0及びフレーム中継装置 2 0では、端末直結モードを O F Fに設定し、そのポートからの MA Cァドレスを全て MA Cァドレステーブルに登録できるようにすることで、全端末からの通信を確保することが可能となる。

〈変形例〉

本実施の形態に係るフレーム中継装置 1 0及び 2 0は、例えば以下のような変形や運用が可能である。

例えば、フレーム中継装置 1 0又は 2 0に対して他のレイヤ 2スィツチ等がカスケード接続される場合には、端末直結モードを O F Fにしなければならない。しかしながら、この場合には、許容 MA Cアドレステーブル 1 4を用いた MA Cァドレスのチェックが行われない。そこで、他のレイヤ 2スィッチが接続されたポートからやってくる MA Cァドレスのなりすましフレームを防ぐために、他のレイヤ 2スイッチをフレーム中,継装置 1 0に置き換え、そのフレーム中継装置 1 0に端末が直結されるように接続することで、そのフレーム中継装置 1 0においてなりすましのフレーム中継を防止することができる。

また、フレーム中継装置 2 0では、ルーティング対象チェックモードが O Nの時のみルーティング対象のチェックを行っている。この理由は、該当ポート 2 5に他のレイヤ 3の中継装置（ルータやレイヤ 3スィッチなど）が接続されている場合に対応するためである。フレーム中継装置 2 0に他のレイヤ 3の中継装置が接続されている場合には、当該他の中継装置から来るフレーム（ルーティングフレーム）の MA Cアドレスは、全て他の中継装置の持つ MA Cアドレスとなる。このため、フレーム中継装置 2 0は、同一の送信元 MA Cァドレスに対して多数の送信元 I Pァドレスを受信する。すなわち、同一の送信元 MA Cアドレスに対して送信元 I Pァドレスが多数ある場合には、フレーム中継装置 2 0ではなりすましと判断され、ル一ティング対象とならない。この場合は、そのポート 2 5に対するルーティング対象チェックモードを O F Fにすることで、ルータ間接続にも対応することが可能となる。

但し、フレーム中継装置 2 0において、ルーティング対象チェックモードを O F Fにした場合、 I Pアドレスや MA Cアドレスのなりすましを防ぐことはできない _t その場合は、接続先のレイヤ 3の中継装置をフレーム中継装置 2 0に置き換える。このような置き換えによって、置き換えられたフレーム中継装置 2 0において、なりすましのフレーム中継を防止することができる。

また、フレーム中継装置 2 0では、ルーティング対象か否かの判断に用いるテ一ブルとして、従来の MA Cァドレステーブルに改変を加えたテーブルを利用している。これによつて、装置構成を簡易にするとともに、中継装置が従来持つエージング機能を用いて不要なエントリを削除することが可能となる。但し、 MA Cアドレステーブルとは別にルーティングの許可/不許可（対象か否か）を判断するための情報を登録するテーブルを別途もってもよい。ただし、その場合は、古いェントリの自動削除機能がなくなる（M A Cアドレステーブルに融合させていることで、レイヤ 2のエージング処理による自動削除を実現していたため）。このため、別途作成したテーブルにおいて、 MA Cァドレステーブルとは別にエージング処理を追加する必要がある。なお、この場合におけるエージング処理方法は、レイヤ 2中継処理でのエージング処理と同一の処理でよい。

また、 MACアドレス/ I Pアドレスの双方をなりすまし、かつ ARPや ping に対する擬似応答まで行われる場合を防ぐには、フレーム中継装置 20で、図 4及び図 5に示したような処理がルーティング対象登録処理とともに実行されるようにすれば良い。このようにすれば、 MACアドレス Zl Pアドレスの双方をなりすましたフレームの中継も完全に防ぐことが可能となる。

さらに、フレーム中継装置 20は、 I Pが I P V 4である場合を想定して説明している。但し、 I P力 S I P V 6の場合でも処理を変更することなく対処が可能である。具体的には、 I P v 6を適用する場合には、 MACァドレステーブルの I Pァドレスの格内フィーノレドのサイズを、 I Pv 4に応じた 32ビットから I P V 6に応じた 128ビットに拡張する。また、図 10の S 408において、 MACァドレスのチェックのために送信するフレームとして、 ARPフレームの代わりに I CM P V 6の近隣要請メッセージを送信する。そして、 ARP応答フレームの代わりに I CMPv 6の近隣通知メッセージを待ち受けるようにすれば良い。この場合、 S 409の判断処理に変更はない。このように、本発明に係るフレーム中継装置は、 I Pv 4だけではなく I Pv 6にも対応することができる。産業上の利用可能性

本発明は、ァドレスのなりすましを防止するフレームの中継処理を提供する産業に適用可能である。

Claims

請求の範囲

1 . 自装置でのフレームの中継処理で使用する MA Cァドレスと I Pアドレスとの組を含むェントリが登録されるテーブルと、

受信されたフレーム中の送信元 MA Cァドレス及ぴ送信元 I Pァドレスで前記テーブルを検索し、この送信元ァドレスの組がレイヤ 3での中継対象として登録されているか否かを判定する判定手段と、

前記送信元ァドレスの組が中継対象として登録されていると判定されたフレームのみを対象としてレイヤ 3の中継処理を行うレイヤ 3中継処理手段と、を含むフレーム中継装置。

2 . 前記フレームの送信元ァドレスの組が前記テーブルに登録されていなかつた場合に、この送信元ァドレスの組が正常か否かを問い合わせるための問い合わせフレームを送信し、この問い合わせフレームに対する応答フレームが前記問い合わせフレームを送信してから所定期間内に到着し且つこの応答フレーム中の情報が前記送信元ァドレスの組が正常であることを示すという条件を満たすか否かを判定し、前記条件を満たす送信元ァドレスの組を含むェントリを前記テーブルに登録し、前記条件を満たさない送信元ァドレスの組を前記テーブルへの登録対象から除外する中継対象登録手段をさらに含む

請求項 1記載のフレーム中継装置。

3 . 前記中継対象登録手段は、前記問い合わせフレームとして前記フレームの送信元 I Pァドレスに対応する MA Cァドレスを問い合わせるための A R P要求フレームを送信し、前記応答フレームとして A R P応答フレームを受信し、この A R P応答フレーム中の問い合わせ先の MA Cァドレスが前記フレームの送信元 MA Cァドレスと一致する場合に、前記送信元ァドレスの組み合わせが正常であると判定する

請求項 2記載のフレーム中継装置。

4 . 前記中継対象登録手段は、前記問い合わせフレームとして前記フレームの送信元 MA Cァドレス及び送信元 I Pァドレスをそれぞれ宛先 MA Cァドレス及ぴ宛先 I Pァドレスとする ping フレームを送信し、前記応答フレームとして ping リプライフレームを受信し、この ping リプライフレームの送信元 MA Cァドレス及ぴ送信元 I Pアドレスが前記フレームの送信元 MA Cァドレス及び送信元 I Pァドレスにそれぞれ一致する場合に、前記送信元ァドレスの組み合わせが正常であると判定する

請求項 2記載のフレーム中継装置。

5 . 前記中継対象登録手段は、前記フレームの送信元 I Pアドレスと同一の I Pアドレスを含むェントリが既に前記テーブルに登録されている場合には、前記応答フレームに係る条件が満されるか否かに拘わらず、前記フレームの送信元ァドレスの組を前記テーブルへの登録対象から除外する

請求項 2〜 4の何れかに記載のフレーム中継装置。

6 . 前記中継対象登録手段は、前記フレームの送信元 MA Cアドレスと同一の MA Cァドレスを含むェントリが既に前記テーブルに登録されている場合には、前記応答フレームに係る条件が満されるか否かに拘わらず、前記フレームの送信元ァドレスの組を前記テーブルへの登録対象から除外する

請求項 2〜 5の何れかに記載のフレーム中継装置。

7 . 前記テーブルに対して MA Cアドレスが同一であり I Pアドレスが異なるエントリを登録可能な数が予め規定されており、

前記中継対象登録手段は、前記フレームの送信元 MA Cァドレスと同一の M A Cァドレスを含む前記登録可能数以上のェントリが既に前記テーブルに登録されているときには、前記応答フレームに係る条件が満されるか否かに拘わらず、前記フレームの送信元ァドレスの組を前記テーブルへの登録対象から除外する請求項 2〜 6の何れかに記載のフレーム中継装置。

8 . 前記テーブルは、 MA Cアドレスとこの MA Cアドレスに対応する宛先ポ一ト番号とを含むェントリを格納し、フレームのレイヤ 2での中継において宛先ポートを割り出すために参照される MA Cァドレステーブルの各ェントリに、 M A Cァドレスに対応する I Pァドレスのフィールドと、中継対象か否かを示す情報を格納するフィールドとを設けることによって構成され、

自装置で受信されるフレームのレイヤ 2の中継処理を前記テーブルを参照して行うレイヤ 2中継処理手段と、前記テーブルから一定時間使用されなったェントリを削除する削除手段とをさらに含む

請求項 1〜 7の何れかに記载のフレーム中継装置。

9 . 前記フレームの送信元ァドレスの組を含むェントリを前記テーブルに登録する際に、この送信元ァドレスの組を構成する MA Cァドレスと同一の MA Cァドレスを含む他のェントリが既に前記テーブルに登録されている場合には、前記判定手段による処理において当該ェントリが前記他のェントリよりも先に検索される状態で当該ェントリを登録する

請求項 8記載のフレーム中継装置。

1 0 . 自装置が有するポート毎に前記判定手段及び前記中継対象登録手段による処理を行うか否かを設定可能に構成されている

請求項 1〜 9の何れかに記載のフレーム中継装置。

1 1 . 自装置が有するポート毎に受信可能な MA Cァドレスを一つだけ登録可能なテーブルと、

各ポートで受信されたフレームに対し、このフレームの送信元 MA Cァドレス及び受信ポート番号の組と同一の MA Cァドレス及ぴポート番号の組が前記テーブルに登録されているか否かを判定する判定手段と、

前記送信元 M A Cアドレス及び受信ポート番号の組が登録されていると判定されたフレームのみを対象としてレイヤ 2の中継処理を行う中継手段と

を含むフレーム中継装置。

1 2 . 前記フレームの送信元 MA Cアドレスが、前記テーブルに登録されていない場合に、この送信元 MA Cァドレス及び受信ポート番号の組が有効であるか否かを判定し、有効な送信元 MA Cァドレス及び受信ポート番号の組を前記テーブルに登録する、 MA Cアドレス学習部をさらに含む、請求項 1 1に記載のフレーム中継装置。

1 3 . 前記 MA Cァドレス学習部は、前記ポートがフレームを受信可能な状態となってから、最初に受信したフレームの送信元 MA Cァドレス及び受信ポート番号の組を、前記有効な組としてテーブルに登録する、請求項 1 2に記載のフレーム中継装置。

1 4 . 前記 MA Cァドレス学習部は、送信元 MA Cァドレス及び受信ポート番号の組が有効であるか否かの判断を行うか否かを個々のポート番号毎に設定可能である、請求項 1 1または 1 2に記載のフレーム中継装置。

1 5 . 自装置が有するポート毎に受信可能な MA Cアドレスを一つだけ登録可能なテーブルと、

を含むフレーム判定装置。

1 6 . 自装置でのフレームの中継処理で使用する MA Cァドレスと I Pァドレスとの組を含むェントリが登録されるテーブルと、

受信されたフレーム中の送信元 MA Cァドレス及び送信元 I Pァドレスで前記テーブルを検索し、この送信元ァドレスの組がレイヤ 3での中継対象として登録されているか否かを判定する判定手段とを含むフレーム判定装置。