WO2006077659A1

WO2006077659A1 - ネットワーク伝送装置

Info

Publication number: WO2006077659A1
Application number: PCT/JP2005/004103
Authority: WO
Inventors: Kaori Morimoto; Nobuhiro Tsubone
Original assignee: Mitsubishi Denki Kabushiki Kaisha
Priority date: 2005-01-20
Filing date: 2005-03-09
Publication date: 2006-07-27
Also published as: JP3705297B1; JP2006203537A

Abstract

　ネットワーク伝送装置がＳＹＮ＋ＡＣＫパケットを受信した時点で、コネクション状態を管理するためのメモリ領域を確保して状態管理を開始する。ここで、コネクション状態には、受信したＴＣＰ制御パケットの種別（ＳＹＮ＋ＡＣＫ、ＳＹＮ＋ＡＣＫに対するＡＣＫ等）が含まれる。ネットワーク伝送装置がＡＣＫパケットを受信すると、コネクション状態を「確立」と判断し、端末装置１から送信されるＴＣＰパケットを格納するバッファをメモリ内に割当てる。このようにしてメモリリソースを有効利用し、ＤｏＳ攻撃の影響を受けにくいネットワーク伝送装置を得る。

Description

ネットワーク伝送装置

技術分野

[0001] 本発明は、 3ウェイハンドシェイクによりコネクションを管理する通信プロトコルによつて通信を行う端末間の通信経路に、衛星通信回線のように伝送遅延の大きい区間を含む場合、その通信経路上に設置して、データ伝送を高速化するネットワーク伝送装置に関するものである。背景技術

[0002] 例えば、特開 2002— 217988には、第 1の端末装置と第 2の端末装置との間の伝送路上に配置され、第 1の端末装置との間の伝送遅延が第 2の端末装置との間の伝送遅延に比して小さぐ第 1の端末装置力のデータを第 2の端末装置に対して転送する転送処理と、この転送処理により転送したデータに対する送達確認応答を作成して第 1の端末装置に返送する返送処理とを行うことができるネットワーク伝送装置が記載されている。従来の技術に記載されたネットワーク伝送装置においては、一方の端末装置がコネクション確立を要求するために送信するコネクション確立要求バケツト（以下、「SYNパケット」と表記する。）と、この SYNパケットを受信した他方の端末装置が送信するコネクション確立確認パケット（以下、「SYN+ACKパケット」と表記する。）とを受信することにより、これらの情報を記憶して、両端末の間に介在してデータの転送が行われる。ネットワーク伝送装置は、 SYNパケットを受信した時点で、コネクシヨン状態を管理するためのメモリ領域が確保され、 FIN +ACKパケットを受信した時点で、コネクション状態管理のためのメモリが開放される。また、ネットワーク伝送装置では、第 2の端末装置との伝送遅延が第 1の端末装置との伝送遅延よりも大きいため、第 1の端末装置から送信されてくるデータに対して自ら詐称送達確認応答バケツト (詐称 ACKパケット）を作成して第 1の端末装置に返送することによって、第 2の端末装置からの送達確認応答パケット (ACKパケット）が得られる前に、第 1の端末装置からのデータ送信を促がす処理が行われる。この処理のために、ネットワーク伝送装置は、 SYN+ACKパケットを受信した時点で、内部のメモリにバッファ領域を割当てて、転送するデータを格納する。このバッファ領域に格納された第 1の端末装置からのデータは、第 2の端末装置力のそのデータに対する ACKパケットが返送されてくると、バッファから削除される。

[0003] 特許文献 1 :特開 2002— 217988

発明の開示

発明が解決しょうとする課題

[0004] 従来のネットワーク伝送装置はコネクション確立を要求する接続要求端末が送信する SYNパケットを受信した後、その SYNパケットに呼応して、そのコネクション確立要求に応答する接続応答端末が送信する SYN+ACKパケットを受信した時点でコネクシヨンが確立したと見なしてコネクション管理情報を確定している。しかし、 SYN + ACKパケットを接続要求端末あてに送信した後、接続要求端末との間の回線上でビット誤りのために SYN+ACKパケットが失われ、接続要求端末に到達しない場合には、接続要求端末はコネクション確立状態には至らない。このとき、接続要求端末と接続応答端末との間のコネクションは確立しておらず、データ伝送が開始されないにもかかわらず、従来のデータ伝送装置は、両端末間のコネクションが確立されていると認識するため、両端末間でのデータ伝送に備えて、データパケットを一時的に格納するためのメモリリソースを確保する。このように、実際に使われないメモリリソースが未確立のコネクションに占有されるため、メモリリソースの利用効率を劣化させるという問題点があった。また、従来のネットワーク伝送装置は、 SYNフラッデイング (Floodi ng)攻撃と呼ばれる DoS (Denial of Service)攻撃の一種が実行される通信路に設置された場合には、悪意のあるユーザにより運用される接続要求端末が、接続応答端末の業務を妨害するために接続応答端末宛てに大量に送信する SYNパケットにより、ネットワーク伝送装置の動作も妨害され、正常に動作できなくなることがある。つまり、従来のネットワーク伝送装置は、接続要求端末が接続応答端末宛てに送信する SYNパケットを受信した時点で、 SYNパケットを受信したと、う事象を内部に記憶してコネクション状態を管理するため、悪意のあるユーザにより運用される接続要求端末が大量に送信する各 SYNパケットを受信するたびに、そのコネクション状態を管理するためのメモリリソースを消費し、やがてはコネクション状態を管理するためのメモリリソースが枯渴するため、ネットワーク伝送高速ィ匕装置としての動作続行が不可となり、その業務が妨害されるという問題点があった。

[0005] この発明は、上記のような問題点を解決するためになされたもので、 3ウェイハンドシェイクによりコネクションを管理する通信プロトコルによって通信を行う端末間の通信経路に伝送遅延の大きい区間を含む場合に、その通信経路上に設置してデータ伝送を高速化し、メモリリソースを有効利用し、また DoS攻撃の影響を受けにくいネットワーク伝送装置を得ることを目的とする。

課題を解決するための手段

[0006] 請求項 1の発明に係るネットワーク伝送装置は、 3ウェイハンドシェイクによりコネクシヨンを管理する通信プロトコルにより通信を行う第 1の端末装置と第 2の端末装置との間の伝送路上に配置され、上記第 1の端末装置との間の伝送遅延が上記第 2の端末装置との間の伝送遅延に比して小さぐ上記第 1の端末装置力送信されるデータを上記第 2の端末装置に転送する処理と、転送するデータに対する送達確認応答を作成して上記第 1の端末装置に返送する処理を行うネットワーク伝送装置において、上記第 1の端末装置又は上記第 2の端末装置のいずれか一方の端末装置から送信されるコネクション確立要求パケットに対して他方力も送信されるコネクション確立確認パケットを受信することによって、コネクション状態を管理するメモリ領域を確保して状態管理を行うコネクション状態管理部を備えたものである。

[0007] 請求項 2の発明に係るネットワーク伝送装置は、 3ウェイハンドシェイクによりコネクシヨンを管理する通信プロトコルにより通信を行う第 1の端末装置と第 2の端末装置との間の伝送路上に配置され、上記第 1の端末装置との間の伝送遅延が上記第 2の端末装置との間の伝送遅延に比して小さぐ上記第 1の端末装置力送信されるデータを上記第 2の端末装置に転送する処理と、転送するデータに対する送達確認応答を作成して上記第 1の端末装置に返送する処理を行うネットワーク伝送装置において、上記第 1の端末装置力送信されるデータを格納する転送用バッファを割当てるメモリと、上記第 1の端末装置又は上記第 2の端末装置のいずれか一方の端末装置から送信されるコネクション確立要求パケットに対して他方カゝら送信されるコネクション確立確認パケット、及びこのコネクション確立確認パケットに対して上記一方の端末装置から送信される送達確認応答パケットを受信することによって、上記メモリに上記転送用バッファを割当てるコネクション状態管理部とを備えたものである。

発明の効果

[0008] 請求項 1又は請求項 2に記載の発明によれば、ネットワーク伝送装置は、コネクション確立要求パケットに対してはコネクション状態を管理するメモリ領域を確保せず、コネクシヨン確立確認パケットを受信して、コネクション状態を管理するメモリ領域を確保して状態管理を行うことによって、不要なコネクション確立要求パケットに対するメモリ領域の使用を防ぐことができ、また、コネクション確立確認パケットに対する送達確認応答パケットを受信して、第 1の端末装置力も送信されるデータを格納するバッファを割当てることよって、コネクション確立確認パケット受信後に、そのコネクション確立確認パケットに対する送達確認応答パケットが何らかの障害により取得できな力つた場合にはメモリ割当てを行わないので、このようなコネクション未確立の場合に余計なメモリリソースを割当てることなぐメモリリソースの有効利用が図れる。また、 DoS攻撃の一種である SYNフラッデイング攻撃に対して、コネクション確立確認パケットを受信しない限りコネクション状態管理のためのメモリ領域確保を行わず、また、コネクション確立確認パケットに対する送達確認応答パケットを受信しない限り、第 1の端末装置力送信されるデータを格納するバッファの割当てを行わないので、このような攻撃による影響を受けにくぐ攻撃によってメモリリソースが枯渴することを抑止することができる。

図面の簡単な説明

[0009] [図 1]この発明の実施の形態 1に係るネットワーク伝送システムの構成を示す構成図である。

[図 2]この発明の実施の形態 1に係るネットワーク伝送装置の機能ブロック図である。

[図 3]この発明の実施の形態 1に係るネットワーク伝送装置におけるコネクション確立の通信シーケンスを示すシーケンス図である。

[図 4]この発明の実施の形態 1に係るネットワーク伝送装置におけるパケット受信の際の制御フローを示すフローチャートである。

符号の説明 [0010] 1 第 1の端末装置

2 第 2の端末装置

3 ネットワーク伝送装置

4 通信回線

5 トラヒック制御部

8 パケット種別判定，転送部

9 コネクション状態管理部

10 詐称 ACK生成部

11 TCPデータ伝送制御部

12、 13 メモリ

発明を実施するための最良の形態

[0011] 実施の形態 1

[0012] 本発明は、 3ウェイハンドシェイクによりコネクションを管理する通信プロトコルによつて通信を行う端末間の通信経路に、衛星通信回線のように伝送遅延の大きい区間を含む場合、その通信経路上に設置して、データ伝送を高速化するネットワーク伝送装置に関するものである。 3ウェイハンドシェイクによりコネクション管理を行い、更に送信したデータに対する送達確認応答を必要とする通信プロトコルの典型的な例としては、 IETF (Internet Engineering Task Force)で制定する RFC793に基づく TCP (Transmission Control Protocol)が挙げられる。以下の説明では、通信プロトコルが TCPである場合を例にして説明する力上記のように、 3ウェイハンドシェイクによりコネクション管理を行ヽ、送達確認応答を必要とするその他の通信プロトコルにも広く適用できるものである。

この発明の実施の形態 1に係るネットワーク伝送装置を図 1乃至図 4により説明する。図 1はこの発明の実施の形態 1に係るネットワーク伝送システムの構成を示す構成図であり、図 2はこの発明の実施の形態 1に係るネットワーク伝送装置の機能ブロック図である。また、図 3はこの発明の実施の形態 1に係るネットワーク伝送装置におけるコネクション確立の通信シーケンスを示すシーケンス図である。図 1において、 1は T CPに基づき通信する第 1の端末装置 (以下、端末装置 1と表記する）、 2は端末装置 1の通信相手となり、同様に TCPに基づいて通信する第 2の端末装置 (以下、端末装置 2と表記する)。 3はネットワーク伝送装置であり、 4はネットワーク伝送装置 3と端末装置 1との間の伝送遅延に比較して伝送遅延が大きい通信回線である。このような通信回線 3の一例としては、衛星通信回線が挙げられる。

[0013] 図 2において、 5はネットワーク伝送制御を行うトラヒック制御部であり、 6は端末装置 1と通信するためのネットワークインタフェース、 7は比較的遅延が大きい通信回線 4 を介して端末装置 2と通信するためのネットワークインタフェースである。 8はネットヮ一クインタフエース 6及びネットワークインタフェース 7で受信した各 IPパケットが TCP パケットであるか UDPパケットであるかを判定し、更に TCPパケットであると判定した場合には、その詳細種別（SYNパケット、 SYN+ACKパケット、 ACKパケット等）を判定し、内部処理のスケジューリング及び 2つのネットワークインタフェース 6及び 7間での透過的な転送等を制御するパケット種別判定 ·転送部である。 9は端末装置 1と端末装置 2との間に設定される TCPコネクションの状態を管理するコネクション状態管理部、 10は端末装置 1から端末装置 2宛てに送信する TCPパケットに対して、端末装置 2に代理して詐称 ACKパケットを生成して返送する詐称 ACK生成部、 11は端末装置 1から端末装置 2宛てに送信した TCPパケットを一旦格納し、端末装置 2との間での高速データ伝送、及び TCPパケットが途中で喪失した場合の再送制御を行う TCPデータ伝送制御部である。 TCPデータ伝送制御部 11内において、 12は端末装置 1から端末装置 2宛てに送信した TCPパケットを一旦格納するメモリである。また、 13はコネクション状態管理部 9内において、コネクション状態の管理のためにコネクシヨン状態を記憶するメモリであり、コネクション状態管理の開始に伴い、このメモリ 13にメモリ領域が確保される。

[0014] コネクション確立の動作について、図 3を参照して説明する。ステップ S1により SYN パケットを端末装置 1から受信し、この SYNパケットをステップ S2により端末装置 2へ転送する。端末装置 2は、受信した SYNパケットに対して、 SYN+ACKパケットを生成し、ステップ S3により送信する。この SYN+ACKパケットをネットワーク伝送装置 3 が受信した時点で、コネクション状態管理部 9は、コネクション状態を管理するためのメモリ領域をメモリ 13に確保して状態管理を開始する。ここで確保したコネクション状態管理用のメモリ領域は、パケット伝送の最終を示す FINパケットに対する送達確認応答である FIN+ACKパケットを受信した時点で解放する。ネットワーク伝送装置 3 は、ステップ S4により SYN+ACKパケットを端末装置 1へ転送する。コネクション状態管理部 9において管理しているコネクション状態とは、少なくとも次の（1)一（5)に示す 5つの情報要素力構成するものとする。即ち、（1) SYN+ACKパケットの IPへッダに含まれる送信元 IPアドレス、（2) SYN+ACKパケットの IPヘッダに含まれる宛先 IPアドレス、（3) SYN+ACKパケットの TCPヘッダに含まれる送信元ポート番号、 (4) SYN+ACKパケットの TCPヘッダに含まれる宛先ポート番号、（5)受信した TC P制御パケットの種別（SYN+ ACK、 SYN+ACKに対する ACK等）である。

[0015] コネクション状態管理部 9は、ステップ S5により端末装置 1から上記 SYN+ACKパケットに対する確認応答である ACKパケットを受信すると、コネクションが確立されたと判断する。この判断に基づいて、 TCPデータ伝送制御部 11は、端末装置 1からの TCPパケットを格納するノッファ領域をメモリ 12内に割当て、端末装置 1からの TCP パケットをバッファリングしながら、端末装置 2へ高速にデータ伝送する。また、 TCP パケットが途中で喪失した場合の再送制御を行うために必要なメモリも必要に応じてメモリ 12上に割当てる。ここで割当てたメモリリソースは、コネクションが切断された場合、即ち、当該コネクションにおいて FIN+ACKパケットを受信した時点で解放する。なお、ステップ S5により端末装置 1から受信した ACKパケットは、端末装置 2ヘステップ S6により送信する。

[0016] 上記の説明においては、端末装置 1から SYNパケットが送信された場合について説明したが、端末装置 2が SYNパケットを送信した場合も同様に考えることができる。即ち、端末装置 2からの SYNパケットをネットワーク伝送装置 3が受信し、これを端末装置 1へ転送する。端末装置 1は受信した SYNパケットに対して、その応答として SY N+ACKパケットを送信し、これを受信したネットワーク伝送装置 3は、コネクション状態管理部 9にお、て必要なメモリ領域をメモリ 13に確保して、少なくとも上記（ 1)一（5 )のコネクション状態の管理を開始する。 SYN+ACKパケットは端末装置 2へ送信し、これを受信した端末装置 2は SYN+ACKパケットに対する確認応答である ACK パケットを送信する。この ACKパケットをネットワーク伝送装置 3が受信すると、コネクシヨン状態管理部 9は、コネクションが確立されたと判断する。この判断に基づいて、 TCPデータ伝送制御部 11は、端末装置 1からの TCPパケットを格納するバッファ領域をメモリ 12内に割当て、端末装置 1からの TCPパケットをバッファリングしながら、端末装置 2へ高速にデータ伝送する。

[0017] 端末装置 1から端末装置 2へのデータ伝送においては、送信したデータに対する送達確認応答が必要となるが、ネットワーク伝送装置 3は、端末装置 1からのデータを受信して TCPデータ伝送制御部 11のメモリ 12に確保したバッファ領域にデータを格納しつつ、詐称 ACK生成部 10により、当該データに対する詐称 ACKを生成してネットワークインタフェース 6を介して、端末装置 1へ送信する。端末装置 1は、この詐称 ACKを受信して次のデータを送信する。このような動作により端末装置 1は、伝送遅延の大きい通信回路 4を介した端末装置 2からの ACKを待たずに高速にデータを送信することができる。なお、ネットワーク伝送装置 3は、端末装置 1から送信される SY Nパケットを受信したときには、これに対する詐称 ACKを生成せずに端末装置 1側へ詐称 ACKを送信しな、ようにできる。

[0018] 次に図 4によりネットワーク伝送装置 3のトラヒック制御部 5における制御フローを説明する。図 4はこの発明の実施の形態 1に係るネットワーク伝送装置におけるパケット受信の際の制御フローを示すフローチャートである。図 4において、パケット種別判定 •転送部 8は、ステップ S7により端末装置 1又は端末装置 2のうち一方の端末装置から受信したパケットが TCPパケットである力否かを判定する。 TCPパケットでな、場合には、ステップ S8により受信したパケットを相手側である他方の端末装置に転送する。ステップ S7において、受信したパケットが TCPパケットである場合には、ステップ S9 に移行し、パケット種別判定 ·転送部 8は、受信したパケットが SYNパケットか否かの判定を行う。 SYNパケットであれば、ステップ S8に移行し、そのパケットを転送する。 SYNパケットではない場合には、ステップ S10に移行し、 SYN+ACKパケットである力否かを判定する。パケット種別判定'転送部 8はステップ S10において、受信したパケットが SYN+ACKパケットであると判定すると、当該 SYN+ACKパケットを相手側に送信しつつ、コネクション状態管理部 9へ SYN+ACKパケット受信を通知し、コネクション状態管理部 9は、コネクション状態を管理するためのメモリ領域をメモリ 1 3に確保し、コネクション状態を「SYN+ ACK受信済み」とする。ステップ S10において、受信したパケットが SYN+ACKパケットではない場合、ステップ S11へ移行し、受信したパケットが ACKパケットである力否かの判定を行う。パケット種別判定 '転送部 8はステップ SI 1にお、て、受信したパケットが ACKパケットであると判定すると、さらにステップ S 12へ移行して、コネクション状態が「SYN+ACK受信済み」であるか否の判定を行う。

[0019] ステップ S12において、コネクション状態が「SYN+ACK受信済み」である場合には、コネクション状態管理部 9は、当該コネクション状態を「コネクション確立」に変更し、端末装置 1からのデータの高速転送を行うために TCPデータ伝送制御部 11内のメモリ 12内にー且データを格納するためのバッファ領域を確保し、当該 ACKパケットはパケット種別判定'転送部 8により相手側へ転送される。ステップ S12において、状態が「SYN+ACK受信済み」でない場合には、ステップ S13に移行し、その ACKパケットが端末装置 2から送信されたものであるか否かの判定を行う。 ACKパケットが端末装置 2から送信されたものである場合には、ネットワーク伝送装置 3は、すでに詐称 ACKを端末装置 1へ送信しているので、当該 ACK信号は不要となり、ネットワーク伝送装置 3内で破棄する。ステップ S 13において、 ACKパケットが端末装置 2から送信されたものでない (即ち、端末装置 1から送信されたものである)場合、当該 ACKパケットは相手側である端末装置 2へ送信する。

[0020] ステップ SI 1にお!/、て、受信したパケットが ACKパケットでな!/、と判定すると、ステツプ S14に移行し、パケット種別判定 ·転送部 8は、受信パケットが FIN+ACKパケットであるか否かの判定を行う。ステップ S14において、受信パケットが FIN +ACKパケットであると判定すると、これはデータ伝送が終了することを意味するので、コネクション状態管理部 9はコネクション状態管理のために割当てて、たメモリを解放し、また T CPデータ伝送制御部 11はメモリ 12に割当ててヽたバッファ領域を解放する。ステツプ S14において、受信したパケットが FIN+ACKパケットではないと判定した場合、ステップ S15へ移行し、パケット種別判定'転送部 8は、端末装置 1からのデータパケットである力否かの判定を行う。ステップ S 15において、受信したパケットが端末装置 1から送信されたものでない (即ち、端末装置 2から転送されたものである）と判定した場合、受信したパケットを相手側の端末装置 1へ転送する。また、ステップ S15において、受信したパケットが端末装置 1から送信されたものであると判定した場合には、詐称 ACK生成部 10において、受信したパケットに対する詐称 ACKを生成し、これをネットワークインタフェース 6を介して端末装置 1へ送信する。また、受信したパケットにつ、ては、 TCPデータ伝送制御部 11のメモリ 12に確保して、るバッファ領域に一且格納し、端末装置 2側への転送を行う。

[0021] 以上のように、ネットワーク伝送装置 3は、 SYN+ACKパケットを受信して、コネクシヨン状態を管理するメモリ領域を確保してコネクション状態管理を開始し、 SYN + ACKパケットに対する ACKパケットを受信して、コネクション状態管理部 9内のコネクシヨン状態を「確立」との状態に設定し、 TCPデータ伝送制御部 11内のメモリ 12上に、端末装置 1から送信されてくるデータを一旦格納するバッファ領域を割当てることにより、 SYNパケットのみ受信してその後の応答パケットを受信しない場合に、また、 S YN + ACKパケット受信後にその S YN + ACKパケットに対する確認応答である AC Kパケットが障害等により取得できな力つた場合には、コネクション状態管理のためのメモリ領域確保や、データ転送用バッファ領域のメモリ 12への割当てを行わな、ので、コネクション未確立の場合に余計なメモリリソースを割当てることがなぐメモリリソースの有効利用が図れる。また、 DoS攻撃の一種である SYNフラッデイング攻撃に対して、 SYN+ACKパケットや、 SYN+ACKパケットに対する確認応答である ACK パケットを受信しない限り、メモリリソース割当てを行わないので、このような攻撃による影響を受けにくぐ攻撃によってメモリリソースが枯渴することを抑止することができる。

産業上の利用可能性

[0022] 本発明は、 3ウェイハンドシェイクによりコネクションを管理する通信プロトコルによつて通信を行う端末間の通信経路に、衛星通信回線のように伝送遅延の大きい区間を含む場合、その通信経路上に設置して、データ伝送を高速化するネットワーク伝送装置に適用することができる。

Claims

請求の範囲

[1] 3ウェイハンドシェイクによりコネクションを管理する通信プロトコルにより通信を行う第 1の端末装置と第 2の端末装置との間の伝送路上に配置され、上記第 1の端末装置との間の伝送遅延が上記第 2の端末装置との間の伝送遅延に比して小さぐ上記第 1の端末装置から送信されるデータを上記第 2の端末装置に転送する処理と、転送するデータに対する送達確認応答を作成して上記第 1の端末装置に返送する処理を行うネットワーク伝送装置において、上記第 1の端末装置又は上記第 2の端末装置のいずれか一方の端末装置力送信されるコネクション確立要求パケットに対して他方力送信されるコネクション確立確認パケットを受信することによって、コネクション状態を管理するメモリ領域を確保して状態管理を行うコネクション状態管理部を備えたことを特徴とするネットワーク伝送装置。

[2] 3ウェイハンドシェイクによりコネクションを管理する通信プロトコルにより通信を行う第 1の端末装置と第 2の端末装置との間の伝送路上に配置され、上記第 1の端末装置との間の伝送遅延が上記第 2の端末装置との間の伝送遅延に比して小さぐ上記第 1の端末装置から送信されるデータを上記第 2の端末装置に転送する処理と、転送するデータに対する送達確認応答を作成して上記第 1の端末装置に返送する処理を行うネットワーク伝送装置において、上記第 1の端末装置から送信されるデータを格納する転送用バッファを割当てるメモリと、上記第 1の端末装置又は上記第 2の端末装置のいずれか一方の端末装置力送信されるコネクション確立要求パケットに対して他方力送信されるコネクション確立確認パケット、及びこのコネクション確立確認パケットに対して上記一方の端末装置から送信される送達確認応答パケットを受信することによって、上記メモリに上記転送用バッファを割当てるコネクション状態管理部とを備えたことを特徴とするネットワーク伝送装置。