CN100527711C - 包传输装置、通信网和数据包传输方法 - Google Patents
包传输装置、通信网和数据包传输方法 Download PDFInfo
- Publication number
- CN100527711C CN100527711C CNB2006101078263A CN200610107826A CN100527711C CN 100527711 C CN100527711 C CN 100527711C CN B2006101078263 A CNB2006101078263 A CN B2006101078263A CN 200610107826 A CN200610107826 A CN 200610107826A CN 100527711 C CN100527711 C CN 100527711C
- Authority
- CN
- China
- Prior art keywords
- address
- packet transmission
- packet
- transmission device
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种包传输装置、通信网和数据包传输方法,不对每个端口执行数据发送接收停止,在容纳的客户机终端装置为静态的IP地址设定的情况下,不允许发送接收数据来进行工作。本发明的包传输装置,具有多个端口、协议处理部和控制部,将来自客户机终端的基于DHCP协议的IP地址分配请求传输到DHCP服务器,接收IP地址分配的申请。此时,包传输装置在存储部中存储该客户机终端的信息(IP地址、MAC地址)。并且,通过基于该客户机终端的ARP解决或基于包传输装置自身的ARP解决,还从ARP数据包在存储部中存储该客户机终端的信息(IP地址、MAC地址)。若存储的DHCP数据包与ARP数据包的IP地址一致,则对发送了ARP数据包的客户机终端执行端口过滤。
Description
技术领域
本发明涉及一种包传输装置、通信网和数据包传输方法,尤其涉及一种连接利用DHCP分配地址的DHCP服务器和客户机终端的带地址监视功能的包传输装置、通信网和数据包传输方法。
背景技术
在以前企业中利用的专用线或帧中继等与WAN(Wide Area Network)服务的连接中,使用路由器。但是,通过吉比特对应等,LAN(Local Area Network)本身的高速化的发展,路由器中的处理成为瓶颈。因此,替换路由器,L3(Layer3)交换器(switch)或L2(Layer2)交换器等的交换器群引起关注。
以路由为主要目的的路由器是用UNIX运行路由软件的制品,其路由处理由通用的CPU与软件来执行。相反,上述的交换器群(以下,称为‘交换器’。)的情况是,以高速路由为目的,制作成能由专用的硬件ASIC(Application SpecificIntegrated Circuit)来处理该处理。由于这种机构上的不同,在以高速处理为目的的情况下,利用交换器是有效的。
在此基础上,由于因特网的访问网的多样化、高速化与常时连接的进展,通信商在边缘网中使用交换器,展开广域交换器服务。而且,通过在交换器中搭载应用程序,有效的实施各加入者向ISP(Internet Service Provider)的连接。作为应用程序之一,有DHCP(Dynamic Host Configuration Protocol)。
所谓DHCP是例如自动向客户机分配IP地址等的协议。DHCP是由RFC951中记载的BOOTP(BOOT strap Protocol)扩展而来的,其进行了如下定义,对分配的IP地址设置可利用的期间(出租期间),还可自动设定想让客户机终端使用的DNS(Domain NameService)服务器的IP(Internet Protocol)地址的设定值。这些,例如由RFC2131与RFC2132来定义。
利用DHCP的DHCP服务器根据客户机终端的请求,动态分配IP地址。由此,客户机终端不用单个进行IP地址的设定,就可进行TCP/IP(TransmissionControl/Internet Protocol)通信。客户机终端结束通信时,则自动收回地址,将该IP地址分配给其它客户机终端。即便不清楚网络设定的用户也可简单地连接于因特网,并且,网络管理者可容易地一元化管理多个客户机终端。在当前的因特网或内部网彼此连接、复杂化的情况中,由DHCP服务器来自动分配IP地址是非常方便的。
DHCP服务器在动态分配IP地址方面有优点,相反,客户机终端用户在利用对客户机终端单个设定的IP地址(下面称为‘静态IP地址’。)进行网络连接的情况下,不能分配IP地址。
由于不能进行DHCP服务器对IP地址的管理,也可以考虑使用管理外的IP地址来非法地连接于网络上。网络中的安全性问题是非常重要的问题之一,已经公开了一种具备如下功能的防止非法访问的系统技术,即将IP地址与MAC地址相对应地存储,将与之对应的客户机终端装置识别为正规的客户机,不与其它客户机终端装置发送接收数据。(例如参照特开平2001-211180号公报)。
具体而言,通过DHCP服务器具有存储数据库,若接收来自客户机终端的IP地址分配请求,则首先对照该MAC地址是否存储在允许客户机终端的MAC地址数据库中。若存储MAC地址,则将IP地址与MAC地址相对应,并记录在已分配地址数据库中。之后,定期向该IP地址发送ARP(Address ResolutionProtocol)数据包,对照该响应数据包中的发送源MAC地址和发送源IP地址的组合是否记录在已分配地址数据库中。结果,若有记录,则判断为正规客户机,若无记录,则判断为不正规客户机终端。
并且,作为使非法访问使用了交换器网络集线器的简单结构的网络不能进行(截断)的终端通信的技术,例如,由特开平2003-338826号公报公开。
具体而言,特开平2003-338826号公报记载的交换器网络集线器具有如下技术,即将连接于DHCP服务器上的端口设为主端口,将连接客户机终端的物理端口(以下,称为‘端口’)设为副端口,接收来自DHCP服务器的信号时,由信号检测部/通信控制部控制主端口/副端口,使非法终端等事先不能连接。
但是,就特开平2001-211180号公报记载的技术而言,DHCP服务器必需是专用的服务器,开关网络集线器也必需具有对应于专用服务器的功能。
另外,特开平2003-338826号公报中记载的技术,并不是使与已取得IP地址的终端的通信不能进行的技术。并且,必需另外具备,具有DHCP服务器的网络连接用的称为主端口的端口、其他的用于连接客户机终端装置的端口,不能如通常的交换器网络集线器等那样,自由选择端口并连接设备。
并且,对应于连接于端口上的客户机终端装置的地址,停止对该被连接的端口本身的数据发送接收,因此未考虑在该端口级联连接(多级连接)交换器网络集线器等,并在其属下连接多台客户机终端装置的系统中的使用。具体而言,在级联连接的网络集线器中容纳了非法客户机终端的情况下,由于不对连接该网络集线器的端口发送接收数据,所以即便是容纳于该网络集线器中的其它正规客户机终端也不能进行通信。
发明内容
鉴于以上问题,本发明的目的在于提供一种包传输装置、通信网和数据包传输方法,不对每个端口执行数据发送接收停止(以下,称为‘截断’),在容纳的客户机终端装置为静态的IP地址设定的情况下,不允许发送接收数据来进行工作。并且,本发明的另一个目的在于提供一种技术,通过简单的构成,对非法访问网络的客户机终端,通过IP地址的过滤来截断通信。本发明的再一目的在于,在级联连接包传输装置的情况下,也可向各包传输装置传递过滤用的信息。
为了解决上述问题,带地址监视功能的包传输装置具备,可容纳多个客户机终端或通信网的多个端口与协议处理部、控制部。
包传输装置具有存储单元,从客户机终端接收基于DHCP协议的IP地址分配请求时,在位于带地址监视功能的包传输装置中的用户管理表格中,存储该终端的MAC地址。并且具有存储单元,例如在存储之后,将该终端必需的信息传输到上述通信系统内的各DHCP服务器,在从各DHCP服务器接收IP地址分配申请之后,经协议处理部,将该终端的分配IP地址存储在用户管理表格中。还具有存储单元,通过该终端的ARP(Address Resolution Protocol)解决和通过带地址监视功能的包传输装置的ARP解决,因此也从ARP数据包经协议处理部在用户管理表格中存储该终端的IP地址。并且具有过滤单元,在存储的DHCP数据包的信息与ARP数据包的信息一致的情况下,对连接发送ARP数据包的终端的端口执行基于IP地址的过滤。
本发明提供一种包传输装置,包括:发送接收数据包的多个端口,与第1终端、第2终端以及向终端分配IP地址的地址分配服务器直接连接或者经由其他包传输装置来连接;存储部,将所述端口的识别符、用于根据IP地址得到MAC地址的地址解决响应中包含的MAC地址及IP地址和表示是否要过滤的过滤判定标志对应起来进行存储;处理部,进行接收到的数据包的传输处理和过滤,所述处理部,从连接于所述端口之一的所述第1终端接收地址分配请求时,将该地址分配请求发送给所述地址分配服务器,接收根据地址分配请求从所述地址分配服务器发送的、包含分配给所述第1终端的IP地址的地址分配响应,通过广播,将用于根据IP地址得到MAC地址的、包含所分配的IP地址的地址解决请求发送给连接于所述端口上的终端和其他包传输装置,经所述端口之一接收从使用地址解决请求内的该IP地址的所述第2终端或其他包传输装置返回的地址解决响应时,将包含于该地址解决响应中的所述第2终端或其他包传输装置的MAC地址与IP地址,与接收了地址解决响应的端口的识别符相对应,存储在所述存储部中,以及,设定与该端口的识别符相对应的过滤判定标志,根据所述存储部的被设定了过滤判定标志的端口和/或与该标志对应的MAC地址及IP地址,对所述第2终端或所述其他包传输装置进行过滤。
本发明提供一种通信网,具备:地址分配服务器,根据地址分配请求,分配IP地址;第1包传输装置,为上述技术方案中所述的包传输装置,连接于使用由所述地址分配服务器分配的IP地址进行通信的第3终端;第2包传输装置,为上述技术方案中所述的包传输装置,与所述地址分配服务器、所述第1包传输装置、具有被静态分配的IP地址的第4终端分别连接,从所述第4终端接收了地址解决响应的所述第2包传输装置,通过向所述第1包传输装置发送控制通信数据包,将用于过滤的信息发送给所述第1包传输装置。
本发明提供一种数据包传输方法,从连接于用于发送接收数据包的端口之一的第1终端接收地址分配请求时,将该地址分配请求发送给地址分配服务器,接收根据地址分配请求从地址分配服务器发送的、包含分配给第1终端的IP地址的地址分配响应,通过广播,将包含所分配的IP地址的地址解决请求,发送给连接于端口的终端和其他包传输装置,经端口之一接收从使用地址解决请求内的该IP地址的第2终端或其他包传输装置发送的地址解决响应时,将包含于该地址解决响应中的第2终端或其他包传输装置的MAC地址与IP地址,与接收了地址解决响应的端口的识别符相对应,存储在存储部中,以及,对应于该端口识别符来设定过滤判定标志,根据存储部的被设定了过滤判定标志的端口和/或与该标志对应的MAC地址及IP地址,对第2终端或其他包传输装置进行过滤。
附图说明
图1是表示本发明的基本实施方式例的通信系统图。
图2是DHCP数据包的构成图。
图3是控制通信数据包的构成图。
图4是作为一实施例的带地址监视功能的包传输装置的装置构成图。
图5是作为一实施例的带地址监视功能的包传输装置的协议处理部的构成图。
图6是作为一实施例的带地址监视功能的包传输装置的用户管理表格的格式图。
图7是第1实施方式中的带地址监视功能的包传输装置之动作的序列图(1)。
图8是第1实施方式中的带地址监视功能的包传输装置之动作的序列图(2)。
图9是表示本实施例的带地址监视功能的包传输装置之协议部的动作之流程图(1)。
图10是表示本实施例的带地址监视功能的包传输装置之协议部的动作之流程图(2)。
图11是表示本实施例的带地址监视功能的包传输装置之协议部的动作之流程图(3)。
图12是第1实施方式的带地址监视功能的包传输装置之用户管理表格的动作图(1)。
图13是第1实施方式的带地址监视功能的包传输装置之用户管理表格的动作图(2)。
图14是第2实施方式的带地址监视功能的包传输装置之动作的序列图。
图15是第2实施方式的带地址监视功能的包传输装置之用户管理表格的动作图。
图16是第3实施方式的带地址监视功能的包传输装置之动作的序列图(1)。
图17是第3实施方式的带地址监视功能的包传输装置之动作的序列图(2)。
图18是第3实施方式的带地址监视功能的包传输装置之动作的序列图(3)。
图19是第3实施方式的带地址监视功能的包传输装置之动作的序列图(4)。
图20是ARP数据包的格式图。
图21是表示ARP REQUEST和APR ACK的数据包格式的图。
具体实施方式
下面,参照附图来详细说明本发明的实施方式。
1.第1实施方式
(系统构成)
首先,说明本发明的第1实施方式。
图1是表示使用本实施方式的带地址监视功能的包传输装置之通信系统整体的图。
通信系统具备连接于因特网5000上的路由器4000、位于路由器4000属下的通信网1与通信网2。通信网1是仅由1台带地址监视功能的包传输装置构成的网络的例,通信网2是由多台带地址监视功能的包传输装置构成的网络的例。另外,既可具备通信网1或2之一,也可具备分别有适当数量的通信网1和2。
通信网1具有,连接于路由器4000上的带地址监视功能的包传输装置1(2000)、带地址监视功能的包传输装置1(2000)容纳的客户机终端1(第1终端)(1000)及客户机终端2(第2终端)(1100)和DHCP服务器1(3000)。通信网1例如是192.168.0.0/24的网络,DHCP服务器1(3000)例如可分配192.168.0.1~192.168.0.254的IP地址。
通信网2中,连接于路由器4000上的带地址监视功能的包传输装置3(2200)容纳了:DHCP服务器2(3100)、带地址监视功能的包传输装置2(2100)、与带地址监视功能的包传输装置4(2300)。
带地址监视功能的包传输装置2(2100),例如容纳客户机终端3(第3终端)(1200)。带地址监视功能的包传输装置4(2300),例如还容纳带地址监视功能的包传输装置5(2400)与带地址监视功能的包传输装置6(2500)。并且,带地址监视功能的包传输装置5(2400),在属下容纳客户机终端4(第4终端)(1300)。另外,各包传输装置除此之外也可与适当的装置连接。
通信网2例如是192.168.1.0/24的网络,DHCP服务器2(3100)例如可分配192.168.1.1~192.168.1.254的IP地址。
在本实施例中,客户机终端在连接于网络上的时刻被检测,在以太网(商标)成为物理的连接状态。并且,路由器4000可以搭载DHCP中继代理,即便接收广播数据包,也可中继到DHCP服务器。由此,不限制本发明。
这里,概略描述各装置。另外,详细的动作如后所述。
在本实施方式的通信系统内,从客户机终端有IP地址的分配请求(IP地址分配请求)时,将后述的图2所示的DHCP数据包,通过以太网帧形式,经由带地址监视功能的包传输装置,在各DHCP服务器之间发送接收。当经由带地址监视功能的包传输装置时,将DHCP数据包中的IP地址存储在图5所示后述的用户管理表格中。存储的结果,带地址监视功能的包传输装置识别向哪个客户机终端分配哪个IP地址。
之后,决定由DHCP服务器想要分配的IP地址时,带地址监视功能的包传输装置例如通过使用了ARP解决的两个地址分发方法之一来分发分配IP地址。
一个是,带地址监视功能的包传输装置从各DHCP服务器接收IP地址分配的承认时,则将DHCP数据包原样发送到客户机终端。客户机终端若接收该数据包,为了确认分发的DHCP的分配IP地址是否没有重复,客户机终端实现ARP解决,结果,取得分配IP地址。作为另一方法,也可以是如下方法,即从各DHCP服务器接收IP地址的分配承认时,带地址监视功能的包传输装置对容纳的客户机终端实现ARP解决。具体如后所述,但在本实施方式中,说明前者的客户机终端的ARP解决方法的IP地址分配方法。另外,在其它实施方式中,说明后者的带地址监视功能的包传输装置对容纳的终端实现ARP解决,分配IP地址的具体方法。
两个ARP解决方法任一中,只要没有ARP响应(例如,利用计时器功能时间已过时),进行了地址请求的客户机终端就可利用由DHCP服务器分配的IP地址。另一方面,在有ARP响应的情况下,接收ARP数据包的带地址监视功能的包传输装置从ARP数据包中将IP地址和MAC地址等存储在用户管理表格中。存储的结果,若基于DHCP数据包的IP地址与基于ARP数据包的IP地址一致,在有ARP响应的端口,实施对该终端的MAC地址的IP地址过滤。
并且,带地址监视功能的包传输装置不传输作为广播的ARP响应。通过使用本实施例的控制通信数据包,向级联连接的带地址监视功能的包传输装置传输,过滤IP地址的端口与MAC地址和IP地址的信息。传输的结果,对静态使用IP地址的客户机终端的MAC地址,提供一种通过基于IP地址过滤的通信截断来防止非法使用IP地址的技术。
图2是表示DHCP数据包的图。如RFC2131、RFC2132所述,DHCP数据包以以太网帧形式110传输,包含发送对象MAC地址140、发送源MAC地址150与IP数据包120。IP数据包120包含发送对象IP地址160、发送源IP地址170与UDP数据包130,在UDP数据包130中,具备表示DHCP各数据包的内容的DHCP信息内容180。
图3是表示控制通信数据包的图。控制通信数据包包含标题部200与数据部210。标题部200的数据链接部220包含数据包的发送接收对象的MAC地址信息。另外,数据部210包含要过滤的IP地址信息230、MAC地址信息240、端口信息250和其它部260。作为控制通信数据包的识别方法,也可利用数据部的其它部260来执行标志的监视。另外,作为数据包的识别方法,可采用适当的方法,该例不限制本专利。
该控制通信数据包,例如,是对级联连接的其它带地址监视功能的包传输装置有效的数据包,即便客户机终端接收该数据包也毫无影响。带地址监视功能的包传输装置通过接收控制数据包,可取得使用了静态IP地址的客户机终端的端口与MAC地址和IP地址的信息。由此,带地址监视功能的包传输装置对使用了静态IP地址的客户机终端,实施基于IP地址的过滤,并实施不使发送接收数据进行的通信功能的截断。
图20是ARP数据包的格式图。ARP数据包,例如,包含:(1)目的地MAC地址、(2)发送源MAC地址、(3)代码(例如01为ARP请求,02为ARP响应)、(4)发送源MAC地址、(5)发送源IP地址、(6)目的地MAC地址和(7)目的地IP地址。
图21是表示ARP REQUEST和APR ACK的数据包格式的图。图21(a)中,PC1例如相当于图1的客户机终端1(1000),PC2相当于客户机终端2(1100)。例如,如图21(a)所示的各地址被分配时,从PC1发送的(或从包传输装置发送的)ARP REQUEST如图21(b)所示。另外,目的地MAC地址的FF:FF:FF:FF:FF:FF表示广播地址。这里,ARP REQUEST包含要调查的IP地址(这里为分配给PC1的192.168.0.1)。
PC2接收ARP REQUEST时,由于要调查的IP地址与自己的IP地址相同,所以发送如图21
所示的ARP ACK。ARP ACK,例如,在目的地MAC地址中包含ARP REQUEST的发送源MAC地址,通过单播(unicast)来发送。
图4是表示本实施方式的带地址监视功能的包传输装置1(2000)的构成框图。另外,其它带地址监视功能的包传输装置1(2100-2500)的构成也一样。带地址监视功能的包传输装置1,例如,具备多个输入输出端口2010-1~2010-n、协议处理部2020和控制端口2010的控制部2030。
端口2010是与客户机终端和包含带地址监视功能的包传输装置的通信网的接口,与多个客户机终端或通信网进行数据包(例如各DHCP数据包)的发送接收。协议处理部2020根据端口2010接收到的数据包的内容,执行协议处理等,输出到端口2010-1~n之一。
图5是表示协议处理部2020的详细构成图的框图。协议处理部2020具备,例如,暂时存储来自端口2010的数据包的多个接收缓冲器2021;从接收缓冲器2021读出数据包并执行协议处理等的协议处理处理器(处理部)2023;存储处理器2023执行的程序(例如,DHCP管理子程序2026-1、ARP管理子程序2026-2)的程序存放存储器2026;存储表格(例如,用户管理表格2024-1)的表格存放存储器2024;数据包存放存储器2027,具有暂时存储DHCP ACK数据包的DHCPACK数据包存放存储器2027-1;暂时存储送往端口2010的数据包的发送缓冲器2022;与控制部2030的接口的处理器间接口2025。另外,各存储器也可由一个存储器构成。并且,也可分别具备多个接收缓冲器、发送缓冲器。例如,也可对应于各端口具备接收缓冲器和发送缓冲器。
这里,处理器2023读出存储在接收缓冲器中的数据包,由DHCP管理子程序2026-1、ARP管理子程序2026-2和用户管理表格2024-1执行协议处理之后,利用数据包的标题信息输出到发送缓冲器2022。
DHCP ACK数据包存放存储器2027-1的细节如后所述,是暂时存储送往带地址监视功能的包传输装置1(2000)的DHCP ACK信号的存储器。
图6是表示用户管理表格2024-1的构成的图。
用户管理表格2024-1将带地址监视功能的包传输装置的端口序号(或识别符)400、连接于端口序号400上的客户机终端的MAC地址410、DHCP数据包的状态内容(状态)420、由DHCP服务器分配的预定的IP地址430、ARP数据包的状态内容(状态)440、ARP协议中的IP地址450、基于IP地址的过滤的ON/OFF(过滤判定标志)460对应起来进行存储。
带地址监视功能的包传输装置的用户管理表格2024-1每次接收DHCP数据包和ARP数据包时,均判断并更新协议种类(状态)。并且,当由DHCP服务器分配的预定的IP地址430与ARP协议中的IP地址450一致的情况下,对正使用ARP协议中的IP地址450的该终端的MAC地址410执行基于IP地址的过滤。是否执行过滤,对应于执行过滤的该终端的端口,例如,用ON或OFF的表述来表示过滤判定栏(标志)。
(动作序列)
下面,详细说明本实施方式的动作。
图7和图8是表示第1实施方式的通信网1的动作的序列图。另外,图12、图13表示本实施方式的动作中的用户管理表格的状态。
另外,如图1的通信网所示,在带地址监视功能的包传输装置1(2000)的端口1上连接客户机终端1(1000),在端口2上连接路由器4000,在端口3上连接客户机终端2(1100),在端口4上连接DHCP服务器1(3000)。这里,客户机终端1(1000)是期待由DHCP服务器1(3000)分配IP地址的终端,仅被赋予MAC地址(00:10:20:30:40:50)。另一方面,客户机终端2(1100)是,除MAC地址(00:20:30:40:50:60)外,已分配静态IP地址(192.168.0.10)的终端。这样,在本实施方式中,将分配了静态IP地址的终端假设为非法IP地址利用终端。
为了开始DHCP序列,使用UDP(User Datagram Protocol)协议,从客户机终端1(1000)按广播地址发送DHCP DISCOVER(Dynamic Host Configurationprotocol DISCOVER,地址分配发现数据包)(步骤20)。例如,在DHCP DISCOVER中包含客户机终端1(1000)的MAC地址。DHCP DISCOVER是请求分配IP地址的协议数据包。另外,关于DHCP服务器的IP地址分配的协议只要是适当协议即可,不会限制本实施方式。
接收到DHCP DISCOVER的带地址监视功能的包传输装置1(2000),经装置内配备的接收端口2010-1与接收缓冲器2021将DHCP DISCOVER传输到协议处理部2020。并且,利用DHCP管理子程序2026-1将包含于DHCP DISCOVER中的客户机终端1的MAC地址与数据包的协议种类(这里为DHCP DISCOVER)存储在用户管理表格2024-1中(图12中的用户管理表格2024-11)(步骤21)。
从协议处理部2020,经连接于客户机终端2(1100)和DHCP服务器1(3000)上的发送缓冲器2022和发送端口2010-3与发送端口2010-4,向客户机终端2(1100)与DHCP服务器1(3000)发送DHCP DISCOVER(步骤22)。
客户机终端2(1100)忽视DHCP DISCOVER,没有任何来自客户机终端2(1100)的响应。DHCP服务器1(3000)针对DHCP DISCOVER的询问,作为对客户机终端1(1000)的IP地址提议(这里例如设为192.168.0.1),通过单播向带地址监视功能的包传输装置1(2000)发送DHCP OFFER(Dynamic HostConfiguration protocol OFFER,地址分配提供数据包)(步骤23)。
接收到DHCP OFFER的带地址监视功能的包传输装置1(2000),经装置内配备的接收端口2010-1与接收缓冲器2021,向协议处理部2020传输DHCPOFFER,同时,经DHCP管理子程序2026-1将数据包的协议种类(这里为DHCPOFFER)存储在用户管理表格2024-1中(图12中的用户管理表格2024-12)(步骤24)。例如,根据OFFER中包含的MAC地址,参照用户管理表格,将“OFFER”存储在对应于设定的MAC地址410的DHCP的状态420中。
带地址监视功能的包传输装置1(2000)经发送缓冲器2022与发送端口2010-1,将DHCP OFFER发送到客户机终端1(1000)(步骤25)。
作为DHCP OFFER的响应,客户机终端1(1000)通过广播来发送进行被提议的IP地址(192.168.0.1)的分配申请的DHCP REQUEST(Dynamic HostConfiguration protocol REQUEST,地址分配请求)(步骤26)。
接收到DHCP REQUEST的带地址监视功能的包传输装置1(2000),经装置内配备的接收端口2010-1与接收缓冲器2021,将DHCP REQUEST传输到协议处理部2020,同时,经DHCP管理子程序2026-1将数据包的协议种类(这里为DHCP REQUEST)存储在用户管理表格2024-1中(图12的用户管理表格2024-13)(步骤27)。
从协议处理部2020,经连接于客户机终端2(1100)和DHCP服务器1(3000)上的发送缓冲器2022和发送端口2010-3与发送端口2010-4,向客户机终端2(1100)与DHCP服务器1(3000)发送DHCP REQUEST(步骤28)。
客户机终端2(1100)忽视DHCP REQUEST,没有任何来自客户机终端2(1100)的响应。DHCP服务器1(3000)通过单播向包传输装置1(2000)发送DHCPACK(Dynamic Host Configuration protocol ACK,地址分配响应),作为IP地址的分配承认(步骤23、24:IP地址192.168.0.1)(步骤29)。
接收到DHCP ACK的带地址监视功能的包传输装置1(2000),经装置内配备的接收端口2010-1与接收缓冲器2021,向协议处理部2020传输DHCP ACK,同时,经DHCP管理子程序2026-1将数据包的协议种类(这里为DHCP ACK)和分配IP地址(192.168.0.1)存储在用户管理表格2024-1中(图12的用户管理表格2024-14)(步骤30)。另外,IP地址也可使用上述DHCP OFFER中包含的提议的IP地址、DHCP REQUEST中包含的IP地址。这里,均为192.168.0.1。
带地址监视功能的包传输装置1(2000)经发送缓冲器2022与发送端口2010-1,将DHCP ACK发送到客户机终端1(1000)(步骤31)。
客户机终端1(1000)为了调查由DHCP服务器1(3000)提议的IP地址(192.168.0.1)是否未与其它的客户机终端重复,通过广播发送RFC826中记载的ARP REQUEST(Address Resolution Protocol REQUEST,地址解决请求)(步骤32)。ARP是管理MAC地址与IP地址的关系的协议,用于根据TCP/IP协议中IP地址来求出以太网的MAC地址。这里,ARP REQUEST包含提议的IP地址192.168.0.1的地址。
接收到ARP REQUEST的带地址监视功能的包传输装置1(2000)经装置内配备的接收端口2010-1与接收缓冲器2021,将ARP REQUEST传输到协议处理部2020,同时,经ARP管理子程序2026-2将数据包的协议种类(这里为ARPREQUEST)存储在用户管理表格2024-1中(图13的用户管理表格2024-15)(步骤33)。
从协议处理部2020,经连接于客户机终端2(1100)和DHCP服务器1(3000)上的发送缓冲器2022和发送端口2010-3与发送端口2010-4,向客户机终端2(1100)与DHCP服务器1(3000)发送ARP REQUEST(步骤34)。
DHCP服务器1(3000)忽视ARP REQUEST,没有任何来自DHCP服务器1(3000)的响应。客户机终端2(1100)比较客户机终端2(1100)的IP地址(192.168.0.1)与ARP REQUEST数据包中的IP地址(192.168.0.1)(步骤35)。若不一致,则由于IP地址未重复,所以客户机终端1(1000)可使用由DHCP服务器1(3000)提议的IP地址(步骤36)。这里,由于是假设为由DHCP服务器1(3000)提议的IP地址(192.168.0.1)与客户机终端2(1100)的IP地址(192.168.0.1)重复的例,所以从客户机终端2(1100)向包含ARP REQUEST的发送源的客户机终端1(1000)的其它客户机终端、通过广播发送ARP ACK(Address Resolution Protocol ACK,地址解决响应)(步骤37)。
在包含以往的包传输装置的通常交换器类(L2交换器、L3交换器)中,接收广播的ARP ACK时,向包含发送源的客户机终端1(1000)的其它客户机终端发送ARP ACK。接收到ARP ACK的客户机终端1(1000),由于IP地址(192.168.0.1)重复,所以向DHCP服务器1(3000)发送DHCP RELEASE(Dynamic HostConfiguration protocol RELEASE),请求再分配IP地址。只要客户机终端2(1100)静态持有IP地址(192.168.0.1),DHCP服务器1(3000)就不能分配(192.168.0.1)。但是,本实施方式中的带地址监视功能的包传输装置1(2000)接收作为广播的ARP ACK时,不通过广播发送到正连接的其它客户机终端。由于不向客户机终端1(1000)发送ARP ACK,所以不实施客户机终端1的地址再分配请求的DHCPRELEASE。
带地址监视功能的包传输装置1(2000)经装置内配备的接收端口2010-3与接收缓冲器2021,向协议处理部2020传输ARP ACK,同时,经ARP管理子程序2026-2将数据包的协议种类(这里为ARP ACK)和ARP ACK内的IP地址(192.168.0.1)与MAC地址(00:20:30:40:50:60)存储在用户管理表格2024-1中(图9的用户管理表格2024-16)(步骤38)。这里,对应于接收到ARP ACK的端口3来存储。
由于由DHCP服务器1(3000)分配的IP地址(192.168.0.1)与基于ARP ACK的IP地址(192.168.0.1)一致,所以对应于根据用户管理表格2024-1(图13的用户管理表格2024-17)有ARP ACK响应的端口3(客户机终端2正连接的),将过滤判定标志设为ON(步骤29)。由此,实施对端口3、或MAC地址(00:20:30:40:50:60)和IP地址(192.168.0.1)的过滤。在该状态下,非法使用IP地址的客户机终端2(1100)不能利用IP地址(192.168.0.1)通信。
带地址监视功能的包传输装置1(2000)接收ACK时,还发送控制通信数据包(步骤40)。该控制通信数据包的作用是,向在级联连接的情况下向带地址监视功能的包传输装置等或客户机终端等传输执行过滤的端口和IP地址和MAC地址的信息。利用该信息,级联连接的带地址监视功能的包传输装置可获得要执行过滤的客户机终端的信息。另外,即便客户机终端接收该数据包也没有任何问题。在本实施方式中,通信网1中的客户机终端1(1000)即便接收该控制通信数据包也废弃(步骤41)。在本实施方式中,也可省略步骤40、41。
以上的结果,由于客户机终端2(1100)不能使用IP地址(192.168.0.1),所以根据计时器功能从发送ARP REQUEST开始经过规定时间时,客户机终端1(1000)可利用IP地址(192.168.0.1),因此可以通信(步骤42)。
(流程图)
图9-11是表示本实施方式的带地址监视功能的包传输装置1(2000)的协议处理部(2020)中配备的处理器2023的处理流程图。
带地址监视功能的包传输装置1(2000)的处理器2023,经接收端口2010-1(或接收端口2010-3)和接收缓冲器2021接收广播的DHCP DISCOVER时,将客户机终端1(1000)的MAC地址与DHCP数据包的协议种类存储到用户管理表格2024-1中(步骤2210,对应于图7:步骤21)。用户管理表格2024-1的状态变为图12的用户管理表格2024-11,对应于连接客户机终端1的端口1,终端的MAC地址410存储为客户机终端1(1000)的地址00:10:20:30:40:50,DHCP数据包的协议种类420存储为DHCP DISCOVER。
从协议处理部2020,经连接于客户机终端2(1100)与DHCP服务器1(3000)上的发送缓冲器2022和发送端口2010-3与发送端口2010-4,向客户机终端2(1100)与DHCP服务器1(3000)发送DHCP DISCOVER(步骤2111,对应于图7:步骤22)。
没有任何来自客户机终端2(1100)的响应,从DHCP服务器1(3000)经带地址监视功能的包传输装置1(2000)的接收端口2010-4和接收缓冲器2021接收单播的DHCP OFFER。接收DHCP OFFER时,对应于端口1,向位于带地址监视功能的包传输装置1(2000)内的用户管理表格2024-1存储DHCP数据包的协议种类(DHCP OFFER)(步骤2112,对应于图7:步骤24)。用户管理表格2024-1的状态变为图12的用户管理表格2024-12,对应于端口1,DHCP数据包的协议种类420存储为DHCP OFFER。
从协议处理部2020,经连接于客户机终端1(1000)上的发送缓冲器2022和发送端口2010-1,向客户机终端1(1000)发送DHCP OFFER(步骤2113,对应于图7:步骤25)。
在该DHCP OFFER中存在来自客户机终端1(1000)的响应的情况下,带地址监视功能的包传输装置1(2000)经接收端口2010-1/接收缓冲器2021接收广播的DHCP REQUEST。接收DHCP REQUEST时,向位于带地址监视功能的包传输装置1(2000)内的用户管理表格2024-1存储DHCP数据包的协议种类(步骤2114,对应于图7:步骤27)。用户管理表格2024-1的状态变为图12的用户管理表格2024-13,对应于端口1,DHCP数据包的协议种类420存储为DHCP
REQUEST(步骤2214,对应于图7:步骤27)。
从协议处理部2020,经连接于客户机终端2(1100)与DHCP服务器1(3000)上的发送缓冲器2022和发送端口2010-3与发送端口2010-4,向客户机终端2(1100)与DHCP服务器1(3000)发送DHCP REQUEST(步骤2115,对应于图7:步骤28)。
没有任何来自客户机终端2(1100)的响应,从DHCP服务器1(3000)经带地址监视功能的包传输装置1(2000)的接收端口2010-4和接收缓冲器2021接收单播的DHCP ACK。接收DHCP ACK时,向位于带地址监视功能的包传输装置1(2000)内的用户管理表格2024-1存储分配给客户机终端1(1000)的IP地址与DHCP数据包的协议种类(步骤2116,对应于图7:步骤30)。分配的IP地址可使用包含于DHCP ACK中的地址。用户管理表格2024-1的状态变为图12的用户管理表格2024-14,对应于端口1,DHCP数据包的协议种类420存储为DHCPREQUEST,IP地址430存储为192.168.0.1。
这里,带地址监视功能的包传输装置1(2000)持有两个ARP解决方法的模式。一个方法是带地址监视功能的包传输装置1(2000)从DHCP服务器1(3000)接收DHCP ACK时,则将DHCP ACK原样发送到客户机终端1(1000),为了确认根据被分发DHCP的分配的IP地址(192.168.0.1)是否未重复,从客户机终端1(1000)来实现ARP解决。作为另一方法,为如下方法,即从DHCP服务器1(3000)接收DHCP ACK时,对带地址监视功能的包传输装置1(2000)容纳的客户机终端1(1000)与客户机终端2(1100)实现ARP解决。
在图7的序列中,说明前者的基于客户机终端1(1000)的ARP解决。后者如后所述。采用上述两个方法中的一个,例如,可通过标志来事先设定,带地址监视功能的包传输装置1(2000)也可根据标志来判断是否发送ARP数据包(步骤2117)。在基于客户机终端1(1000)的ARP解决中(步骤2117:否),在存储之后,从协议处理部2020经连接于客户机终端1(1000)上的发送缓冲器2022和发送端口2010-1向客户机终端1(1000)发送DHCP ACK(图10:步骤2118,对应于图7:步骤31)。接收到DHCP ACK的客户机终端1(1000)通过广播来发送ARPREQUEST。
带地址监视功能的包传输装置1(2000)经接收端口2010-1和接收缓冲器2021接收ARP REQUEST。接收ARP REQUEST时,向位于带地址监视功能的包传输装置1(2000)内的用户管理表格2024-1存储ARP数据包的协议种类。用户管理表格2024-1的状态变为图13的用户管理表格2024-15,发送ARPREQUEST。对应于端口3(和4),ARP数据包的协议种类420存储为ARPREQUEST(步骤2119,对应于图7:步骤33)。
存储之后,从协议处理部2020,经连接于客户机终端2(1100)与DHCP服务器1(3000)上的发送缓冲器2022和发送端口2010-3与发送端口2010-4,向客户机终端2(1100)与DHCP服务器1(3000)发送ARP REQUEST(步骤2120,对应于图7:步骤34)。
若客户机终端2(1100)使用IP地址(192.168.0.1),则由于IP地址重复,所以带地址监视功能的包传输装置1(2000)从该终端经接收端口2010-3/接收缓冲器2021接收ARP ACK。
假设客户机终端2(1100)持有不是IP地址(192.168.0.1)的地址,由于带地址监视功能的包传输装置1(2000)不接收ARP ACK(步骤2121),所以客户机终端1可利用分配的IP地址(192.168.0.1)(步骤2122)。
这里,由于假设为客户机终端2(1100)持有IP地址(192.168.0.1),所以接收单播的ARP ACK。接收ARP ACK(步骤2121)时,向位于带地址监视功能的包传输装置1(2000)内的用户管理表格2024-1存储ARP数据包的协议种类(ARPACK)与客户机终端2的MAC地址(00:20:30:40:50:60),IP地址430存储为192.168.0.1。用户管理表格2024-1的状态变为图13的用户管理表格2024-16,对应于端口3,分配给客户机终端1(1000)的IP地址430存储为192.168.0.1,ARP数据包的协议种类440存储为ARP ACK(步骤2123,对应于图7:步骤38)。
在存储后的表格中,上述用户管理表格2024-1中,基于DHCP ACK的IP地址(192.168.0.1)与基于ARP ACK的IP地址(192.168.0.1)一致(步骤2124)。
若一致,则用户管理表格2024-1的状态变为图13的用户管理表格2024-17,通过设过滤判定460为ON,对有ARP ACK响应的端口3(客户机终端2正连接的)实施MAC地址(00:20:30:40:50:60)和IP地址(192.168.0.1)的过滤(步骤2125,对应于图7:步骤39)。由此,使用非法IP地址终端的客户机终端2(1100)不能通信。
并且,接收ARP ACK时,自动使用控制通信数据包,向其它带地址监视功能的包传输装置或客户机终端,发送IP地址(192.168.0.1)重复的客户机终端2(1100)的端口序号3与MAC地址(00:20:30:40:50:60)及IP地址的信息(192.168.0.1)(步骤2126,对应于图7:步骤40)。
以上的结果,由于客户机终端2(1100)不能使用IP地址(192.168.0.1),所以根据计时器功能时间已过时,客户机终端1(1000)由于可利用分配的IP地址(192.168.0.1),所以可通信。
2.第2实施方式
下面,说明本发明的第2实施方式。通信系统整体的构成、包传输装置的构成与上述一样,所以省略说明。
图14是表示第2实施方式的通信网1的动作的序列图。与图7的第1实施方式的步骤20-30相同,所以省略步骤20-30的说明。
图15表示本实施方式中的用户管理表格2024-1的状态。另外,也省略图7的步骤20-30的用户管理表格2024-1的状态(图12的2024-11~14)的说明。
带地址监视功能的包传输装置1(2000)接收DHCP ACK(步骤30)时,在位于带地址监视功能的包传输装置1(2000)内的DHCP ACK数据包存放存储器2027-1中存储DHCP ACK消息(步骤50)。
从带地址监视功能的包传输装置1(2000)内的协议处理部2020,经连接于客户机终端1(1000)与客户机终端2(1100)上的发送缓冲器2022和发送端口2010-1与2010-3,将ARP REQUEST发送到客户机终端1(1000)与客户机终端2(1100)(步骤51)。这里,在ARP REQUEST中包含接收到的DHCP ACK或DHCPREQUEST中包含的IP地址(例如192.168.0.1)。
针对ARP REQUEST,没有任何来自客户机终端1(1100)的响应。客户机终端2(1100)比较客户机终端2(1100)的IP地址(192.168.0.1)与ARP REQUEST数据包中的IP地址(192.168.0.1)(步骤52)。若不一致,则由于IP地址未重复,所以客户机终端1可使用由DHCP服务器1(3000)提议的IP地址(步骤53)。这里,由于假设为由DHCP服务器1(3000)提议的IP地址(192.168.0.1)与客户机终端2(1100)的IP地址(192.168.0.1)重复,所以从客户机终端2(1100)通过广播发送ARP ACK(步骤54)。例如,配送给作为ARP REQUEST发送源的包传输装置1(2000)和其他的客户机终端。
带地址监视功能的包传输装置1(2000)经端口3接收作为广播的ARPACK时,不经广播发送到连接的其它客户机终端,而是经装置内配备的接收端口2010-3与接收缓冲器2021,将ARP ACK传输到协议处理部2020。另外,对应于端口3,将数据包的协议种类(这里为ARP ACK)与IP地址(192.168.0.1)和MAC地址(00:20:30:40:50:60)通过ARP管理子程序2026-2存储在用户管理表格2024-1中(图15的用户管理表格2024-20)(步骤55)。
由于由DHCP服务器1(3000)分配的IP地址(192.168.0.1)与基于ARP ACK的IP地址(192.168.0.1)一致,所以对根据用户管理表格2024-1(图15的用户管理表格2024-20)有ARP ACK响应的端口3(客户机终端2正连接的端口),实施MAC地址(00:20:30:40:50:60)和IP地址(192.168.0.1)的过滤。例如,将对应于端口3的过滤判定460设为ON。在该状态下,使用非法IP地址的客户机终端2(1100)不能利用IP地址(192.168.0.1)通信。
接收ARP ACK时,带地址监视功能的包传输装置1(2000)发送控制通信数据包(步骤57)。即便客户机终端接收该数据包也没有任何问题。由此,通信网1中的客户机终端1(1000)即便接收该控制通信数据包也废弃(步骤58)。另外,在本实施方式中,也可省略步骤57、58。
从位于带地址监视功能的包传输装置1(2000)内的DHCP ACK数据包存放存储器2027读出DHCP ACK数据包,从协议处理部2020,经连接于客户机终端1(1000)上的发送缓冲器2022和发送端口2010-1,向客户机终端1(1000)发送DHCPACK(步骤59)。
利用DHCP ACK向客户机终端1(1000)分配IP地址(192.168.0.1)。
以上的结果,由于客户机终端2(1100)不能使用IP地址(192.168.0.1),所以利用计时器功能时间已过时,则客户机终端1(1000)可利用IP地址(192.168.0.1),所以可通信(步骤60)。
下面,用图9、11说明第2实施方式的带地址监视功能的包传输装置1(2000)的协议处理部(2020)中配备的处理器2023的处理流程。步骤2110-2117与第1实施方式一样,所以省略说明。
在本实施方式中,实现基于带地址监视功能的包传输装置1(2000)的ARP解决。在图9的步骤2117中,通过事先设定‘发送ARP数据包’,移动到图中的B流程。带地址监视功能的包传输装置1(2000)接收DHCP ACK时,将DHCPACK数据包存储在位于带地址监视功能的包传输装置1(2000)内的DHCP ACK数据包存放存储器2027-1中(图11:步骤2130,对应于图14:步骤50)。
协议处理部2020经连接于客户机终端1(1000)与客户机终端2(1100)上的发送缓冲器2022和发送端口2010-1及发送端口2010-3,向客户机终端1(1000)与客户机终端2(1100)发送ARP REQUEST(步骤2131,对应于图14:步骤51)。
假设客户机终端2(1100)持有不是IP地址(192.168.0.1)的地址,则带地址监视功能的包传输装置1(2000)不接收ARP ACK(步骤2132)。协议处理部2020从DHCP ACK数据包存储器2027-1中读出暂时存储的DHCP ACK(步骤2133),将DHCP ACK发送到客户机终端1(1000)(步骤2134)。结果,客户机终端1可利用从DHCP ACK分配的IP地址(192.168.0.1)(步骤2135)。
这里,由于假设为客户机终端2(1100)持有IP地址(192.168.0.1),所以接收单播的ARP ACK。具体而言,客户机终端2(1100)使用IP地址(192.168.0.1),则由于IP地址重复,所以带地址监视功能的包传输装置1(2000)经接收端口2010-3/接收缓冲器2021从该终端接收ARP ACK(步骤2132)。
接收ARP ACK时,向位于带地址监视功能的包传输装置1(2000)内的用户管理表格2024-1存储ARP数据包的协议种类、与作为ARP ACK发送源的客户机终端2的MAC地址(00:20:30:40:50:60)。用户管理表格2024-1的状态变为图15的用户管理表格2024-20,对应于端口3,分配给客户机终端1(1000)的IP地址430存储为192.168.0.1,ARP数据包的协议种类440存储为ARPACK(步骤2136)。根据上述用户管理表格2024-1,基于DHCP ACK的IP地址(192.168.0.1)与基于ARP ACK的IP地址(192.168.0.1)一致(步骤2137)。
通过用户管理表格2024-1的状态变为图15的用户管理表格2024-21,并设过滤判定460为ON,对有ARP ACK响应的端口3(客户机终端2正连接的端口)实施MAC地址(00:20:30:40:50:60)和IP地址(192.168.0.1)的过滤(步骤2138)。由此,使用非法IP地址终端的客户机终端2(1100)不能通信。
并且,接收ARP ACK时,自动使用控制通信数据包,向其它带地址监视功能的包传输装置或客户机终端发送,IP地址(192.168.0.1)重复的客户机终端2(1100)的端口序号3与MAC地址(00:20:30:40:50:60)及IP地址的信息(192.168.0.1)(步骤2139)。并且,协议处理部2020从DHCP ACK数据包存储器2027-1中读出暂时存储的DHCP ACK(步骤2140),将DHCP ACK发送到客户机终端1(1000)(步骤2141)。
以上的结果,由于客户机终端2(1100)不能使用IP地址(192.168.0.1),所以利用DHCP ACK,客户机终端1(1000)由于可利用分配的IP地址(192.168.0.1),所以可通信。
3.第3实施方式
在本实施方式中,说明由图1的通信网2所示的多台带地址监视功能的包传输装置构成的网络。通信系统整体的构成、包传输装置的构成与上述一样,所以省略说明。另外,通信网1也可省略。
在图1的例中,通信网2是5台带地址监视功能的包传输装置构成的网络的例。例如,在带地址监视功能的包传输装置3(第2包传输装置)(2200)的端口1上连接DHCP服务器2(3100),在端口2上连接带地址监视功能的包传输装置2(第1包传输装置)(2100),在端口3上连接路由器4000,在端口4上连接带地址监视功能的包传输装置4(2300)。并且例如,在带地址监视功能的包传输装置2(2100)的端口1上连接带地址监视功能的包传输装置3(2200),在端口3上连接客户机终端3(第1终端)(1200)。在带地址监视功能的包传输装置4(2300)的端口1上连接带地址监视功能的包传输装置3(2200),在端口2上连接带地址监视功能的包传输装置5(2400),在端口4上连接带地址监视功能的包传输装置6(2500)。在带地址监视功能的包传输装置5(2400)的端口1上连接客户机终端4(第2终端)(1300)。在带地址监视功能的包传输装置6(2500)的端口1上连接带地址监视功能的包传输装置4(2300)。另外,各装置、终端可连接于适当的端口上。并且,也可省略包传输装置4-6,在包传输装置3(2200)的端口4上连接客户机终端4(1300)。
客户机终端3(1200)是期待由DHCP服务器2(3100)分配IP地址的终端,仅赋予MAC地址(00:30:40:50:60:70)。另一方面,客户机终端4(1300)是除MAC地址(00:40:50:60:70:80)外,还分配了静态IP地址(192.168.1.1)的客户机终端,假设为使用非法IP地址的终端。
图16-19示出第3实施方式的序列图。表示本实施方式的协议处理部2020中具备的处理器2023的处理的流程图与用户管理表格2024-1的状态,由于与各个带地址监视功能的包传输装置所进行的相同,与上述的第1和第2实施方式一样,故省略说明。
从客户机终端3(1200)向DHCP服务器2(3100)通过广播发送IP地址分配请求DHCP DISCOVER(步骤100、步骤101)。接收到DHCP DISCOVER的带地址监视功能的包传输装置2(2100),经装置内配备的接收端口2010-3与接收缓冲器2021,向协议处理部2020传输DHCP DISCOVER。并且,利用DHCP管理子程序2026-1,将数据包的协议种类(这里为DHCP DISCOVER)与客户机终端3(1200)的MAC地址(00:30:40:50:60:70)存储在用户管理表格2024-1中(步骤102)。
协议处理部2020经连接于带地址监视功能的包传输装置3(2200)上的发送缓冲器2022和发送端口2010-1,向带地址监视功能的包传输装置3(2200)发送DHCP DISCOVER(步骤103)。
带地址监视功能的包传输装置2(2100)~带地址监视功能的包传输装置5(2400)也执行与步骤101-103一样的处理(步骤102-110),所以省略详细说明。
在步骤111中,DHCP服务器2(3100)针对DHCP DISCOVER的询问(105),通过单播向客户机终端3(1200)发送DHCP OFFER(步骤111)。带地址监视功能的包传输装置3(2200)将DHCP OFFER发送到带地址监视功能的包传输装置2(2100)。并且,经装置内配备的接收端口2010-1与接收缓冲器2021,将DHCPOFFER传输到协议处理部2020,利用DHCP管理子程序2026-1,将数据包的协议种类(这里为DHCP OFFER)存储在用户管理表格2024-1中(步骤112)。带地址监视功能的包传输装置2(2100)也执行与带地址监视功能的包传输装置3一样的处理(步骤113),所以省略详细说明。
接着,接收到DHCP OFFER的客户机终端3(1200)作为DHCP OFFER的响应,通过广播发送DHCP REQUEST(步骤114)。接收到DHCP REQUEST的带地址监视功能的包传输装置2(2100)经装置内配备的接收端口2010-3与接收缓冲器2021,将DHCP REQUEST传输到协议处理部2020,同时,利用DHCP管理子程序2026-1,将数据包的协议种类(这里为DHCP REQUEST)存储在用户管理表格2024-1中。并且,从协议处理部2020经连接于带地址监视功能的包传输装置3(2200)上的发送缓冲器2022和发送端口2010-1,向带地址监视功能的包传输装置3(2200)发送DHCP REQUEST(步骤116)。
带地址监视功能的包传输装置2(2100)~带地址监视功能的包传输装置5(2400)也执行与步骤115一样的处理(步骤116-125),所以省略详细说明。
在步骤126中,DHCP服务器2(3100)针对DHCP REQUEST的询问(120),通过单播向客户机终端3(1200)发送DHCP ACK(步骤126、127)。接收到DHCPACK的带地址监视功能的包传输装置3(2200),将DHCP ACK数据包暂时存储在DHCP ACK数据包存放存储器2027-1中(步骤128)。带地址监视功能的包传输装置3(2200)经装置内配备的接收端口2010-1与接收缓冲器2021,将DHCPACK传输到协议处理部2020,同时,利用DHCP管理子程序2026-1,将数据包的协议种类(这里为DHCP ACK)与分配IP地址(192.168.1.1)存储在用户管理表格2024-1中(步骤129)。
带地址监视功能的包传输装置3(2200),经发送缓冲器2022和发送端口2010-2与发送端口2010-3,将ARP REQUEST发送到位于下属的带地址监视功能的包传输装置2(2100)~带地址监视功能的包传输装置6(2500),以及客户机终端3(1200)、客户机终端4(1300)(步骤130)。各带地址监视功能的包传输装置接收ARP REQUEST,并将DHCP数据包的协议种类(ARP REQUEST)存储在用户管理表格2024-1中(步骤131-139)。并且,各包传输装置通过广播发送ARPREQUEST。
在步骤140中,客户机终端4(1300)在接收ARP REQUEST之后,比较客户机终端4(1300)的IP地址(192.168.1.1)与ARP REQUEST数据包中的IP地址(192.168.1.1)(步骤140)。若不一致,则由于IP地址未重复,所以使用由DHCP服务器2(3100)提议的IP地址(步骤141)。这里,由于假设为由DHCP服务器2(3100)提议的IP地址(192.168.1.1)与客户机终端4(1300)的IP地址(192.168.1.1)重复,所以从客户机终端4(1300)向其它客户机终端通过广播发送ARP ACK(步骤142、143)。
带地址监视功能的包传输装置5(2400),接收作为广播的ARP ACK时,经装置内配备的接收端口2010-3与接收缓冲器2021,向协议处理部2020传输ARPACK,同时,利用ARP管理子程序2026-2将数据包的协议种类(这里为ARPACK)和IP地址(192.168.1.1)与MAC地址(00:40:50:60:70:80)存储在用户管理表格2024-1中(步骤144)。
由于由DHCP服务器2(3100)分配的IP地址(192.168.1.1)与基于ARP ACK的IP地址(192.168.1.1)一致,所以对根据用户管理表格2024-1有ARP ACK响应的端口3(客户机终端4正连接的),实施MAC地址(00:40:50:60:70:80)和IP地址(192.168.1.1)的过滤(步骤145)。例如,通过将对应于用户管理表格2024-1的端口1的过滤判定标志设为ON,实施过滤。并且,通过广播来发送ARPACK。
带地址监视功能的包传输装置4(2300)~带地址监视功能的包传输装置3(2200)也执行同样的处理(步骤146~151),所以省略详细说明。
接收到ARP ACK的带地址监视功能的包传输装置3(2200)执行与带地址监视功能的包传输装置5(2400)、带地址监视功能的包传输装置4(2300)一样的处理(步骤150、151),同时,不向位于下属的带地址监视功能的包传输装置通过广播传输ARP响应,而发送控制通信数据包(步骤152、153)。控制通信数据包,例如,包含图3所示的各信息。这里,IP地址信息230、MAC地址信息240、端口信息250可使用用户管理表格2024-1中将过滤判定标志设定为ON的入口的各信息(这里为关于客户机终端4的信息)。另外,上述包传输装置4、5接收ARP ACK时,传输ARP ACK,但包传输装置3本身是发送ARP REQUEST的装置,即便接收ARP ACK,也不传输ARP ACK。
带地址监视功能的包传输装置2(2100)接收控制通信数据包。由此,取得过滤的端口信息。例如,带地址监视功能的包传输装置2(2100)取得包含于控制通信数据包中的IP地址信息、MAC地址信息,并对应于接收到控制通信数据包的端口(端口1)的识别符,将IP地址信息与MAC地址信息存储在用户管理表格2024-1中。并且,将对应于用户管理表格2024-1的端口信息的过滤判定标志设定为ON,对MAC地址(00:40:50:60:70:80)和IP地址(192.168.1.1)实施过滤(步骤154)。
在本实施方式中,由于从带地址监视功能的包传输装置3(2200)发送ARPREQUEST,所以ARP ACK仅能从客户机终端4(1300)到达包传输装置3(2200)。因此,制作并发送控制通信数据包,还向带地址监视功能的包传输装置2(2100)传递用于过滤的信息。根据该控制通信数据包,带地址监视功能的包传输装置2(2100)对IP地址(192.168.1.1)重复的客户机终端4(1300)的对应端口(端口1)可截断MAC地址(00:40:50:60:70:80)的IP地址(192.168.1.1)的通信。
并且,带地址监视功能的包传输装置2(2100),通过广播发送接收到的控制通信数据包(步骤155)。即便客户机终端接收该数据包也没有任何问题。由此,通信网2中的客户机终端3(1200)即便接收该控制通信数据包也可废弃(步骤156)。
另外,被广播的控制通信数据包,也被带地址监视功能的包传输装置4(2300)、带地址监视功能的包传输装置5(2400)接收、传输(步骤159~162)。各包传输装置4(2300)、5(2400)既可执行与上述步骤154、155一样的处理,也可如上所述,根据接收的ARP ACK实施过滤,所以忽略控制通信数据包。并且,客户机终端4(1300)也可与上述步骤156一样,即便接收控制通信数据包也废弃(步骤163)。
发送之后,从位于带地址监视功能的包传输装置3(2200)内的DHCP ACK数据包存放存储器2027-1中读出DHCP ACK信息(步骤164),并为了从协议处理部2020向客户机终端3(1200)分配IP地址(192.168.1.1),将DHCP ACK发送到带地址监视功能的包传输装置2(2100)(步骤165)。
接收到DHCP ACK的带地址监视功能的包传输装置2(2100),经装置内配备的接收端口2010-3与接收缓冲器2021,将DHCP REQUEST传输到协议处理部2020,同时,利用DHCP管理子程序2026-1,将数据包的协议种类(这里为DHCPACK)存储在用户管理表格2024-1中(步骤106)。并且,从协议处理部2020,经连接于带地址监视功能的包传输装置3(2200)上的发送缓冲器2022和发送端口2010-3,向客户机终端3(1200)发送DHCP ACK(步骤167)。
根据DHCP ACK,向客户机终端3(1200)分配IP地址(192.168.1.1)。以上的结果,由于客户机终端3(1200)可利用IP地址(192.168.1.1),所以变为可通信(步骤168)。另外,在本实施方式中,虽然如第2实施方式使用包传输装置自己实现ARP解决的方法,但可变形为如第1实施方式的由客户机终端实现ARP解决。
另外,上述各实施方式中的装置的连接为一例,也可是其它连接方式,并且,连接终端、服务器、其它传输装置的端口可连接于适当的端口。
根据本发明,由于不对每个端口执行数据发送接收停止(下面称为‘截断’。),所以可提供一种包传输装置、通信网和数据包传输方法,在容纳的客户机终端装置在静态的IP地址设定的情况下动作,以不进行数据发送接收。根据本发明,可提供如下技术,利用基于IP地址的过滤,用简单的结构对非法访问网络的客户机终端截断通信。根据本发明,即便在级联(cascade)连接包传输装置的情况下,也可向各包传输装置传递过滤用的信息。
Claims (10)
1、一种包传输装置,包括:
发送接收数据包的多个端口,与第1终端、第2终端以及向终端分配IP地址的地址分配服务器直接连接或者经由其他包传输装置来连接;
存储部,将所述端口的识别符、用于根据IP地址得到MAC地址的地址解决响应中包含的MAC地址及IP地址和表示是否要过滤的过滤判定标志对应起来进行存储;
处理部,进行接收到的数据包的传输处理和过滤,
所述处理部,
从连接于所述端口之一的所述第1终端接收地址分配请求时,将该地址分配请求发送给所述地址分配服务器,
接收根据地址分配请求从所述地址分配服务器发送的、包含分配给所述第1终端的IP地址的地址分配响应,
通过广播,将用于根据IP地址得到MAC地址的、包含所分配的IP地址的地址解决请求发送给连接于所述端口上的终端和其他包传输装置,
经所述端口之一接收从使用地址解决请求内的该IP地址的所述第2终端或其他包传输装置返回的地址解决响应时,将包含于该地址解决响应中的所述第2终端或其他包传输装置的MAC地址与IP地址,与接收了地址解决响应的端口的识别符相对应,存储在所述存储部中,以及,设定与该端口的识别符相对应的过滤判定标志,
根据所述存储部的被设定了过滤判定标志的端口和/或与该标志对应的MAC地址及IP地址,对所述第2终端或所述其他包传输装置进行过滤。
2、根据权利要求1所述的包传输装置,其特征在于:
所述处理部,通过如下方法之一来发送所述地址解决请求,
接收从所述第1终端发送的地址解决请求,并根据该请求,通过广播发送地址解决请求,或
从所述地址分配服务器接收地址分配响应时,自己通过广播发送地址解决请求。
3、根据权利要求1所述的包传输装置,其特征在于:
所述处理部,
向所述第1终端发送所接收到的地址分配响应,
根据地址分配响应,接收从所述第1终端发送的地址解决请求,并根据该请求,通过广播发送地址解决请求。
4、根据权利要求1所述的包传输装置,其特征在于:
所述处理部,
存储所接收到的地址分配响应,
自己通过广播发送地址解决请求,
在接收地址解决响应并设定所述过滤判定标志之后,或在规定时间内未接收到地址解决响应之后,读出所存储的地址分配响应,发送到所述第1终端。
5、根据权利要求1所述的包传输装置,其特征在于:
所述存储部,还存储所述端口的识别符和包含于地址分配请求或地址分配响应中的所述第1终端的MAC地址和分配给所述第1终端的IP地址,
所述处理部,
将接收到的地址分配请求或接收到的地址分配响应中包含的所述第1终端的MAC地址和分配给所述第1终端的IP地址,与接收了地址分配请求的端口的识别符相对应,存储在所述存储部中,
通过存储在所述存储部的有关地址分配请求或地址分配响应的IP地址,与有关地址解决响应的IP地址的一致,来设定与接收了地址解决响应的端口识别符相对应的过滤判定标志。
6、根据权利要求1所述的包传输装置,其特征在于:
所述处理部,
经所述端口之一接收地址解决响应时,还包括,
制作包含用于实施过滤且被包含在地址解决响应中的MAC地址与IP地址的控制通信数据包,并通过广播来发送制作的控制通信数据包,
通过发送接收该控制通信数据包,向通信网内的其它包传输装置发送过滤用的信息。
7、根据权利要求1所述的包传输装置,其特征在于:
所述处理部,
从其它包传输装置经所述端口之一接收包含用于实施过滤的MAC地址与IP地址的控制通信数据包时,将接收了该数据包的端口的识别符、与包含于接收到的控制通信数据包中的MAC地址和IP地址存储在所述存储部中,以及,设定与该端口的识别符相对应的过滤判定标志。
8、一种通信网,具备:
地址分配服务器,根据地址分配请求,分配IP地址;
第1包传输装置,为权利要求7所述的包传输装置,连接于使用由所述地址分配服务器分配的IP地址进行通信的第3终端;
第2包传输装置,为权利要求6所述的包传输装置,与所述地址分配服务器、所述第1包传输装置、具有被静态分配的IP地址的第4终端分别连接,
从所述第4终端接收了地址解决响应的所述第2包传输装置,通过向所述第1包传输装置发送控制通信数据包,将用于过滤的信息发送给所述第1包传输装置。
9、根据权利要求8所述的通信网,其特征在于:
还具备一个或多个第3包传输装置,其为权利要求1~7之一所述的包传输装置,连接于所述第4终端与所述第2包传输装置之间,
所述第3包传输装置,从所述第4终端接收地址解决响应时,向所述第2包传输装置传输地址解决响应。
10、一种数据包传输方法,
从连接于用于发送接收数据包的端口之一的第1终端接收地址分配请求时,将该地址分配请求发送给地址分配服务器,
接收根据地址分配请求从地址分配服务器发送的、包含分配给第1终端的IP地址的地址分配响应,
通过广播,将包含所分配的IP地址的地址解决请求,发送给连接于端口的终端和其他包传输装置,
经端口之一接收从使用地址解决请求内的该IP地址的第2终端或其他包传输装置发送的地址解决响应时,将包含于该地址解决响应中的第2终端或其他包传输装置的MAC地址与IP地址,与接收了地址解决响应的端口的识别符相对应,存储在存储部中,以及,对应于该端口识别符来设定过滤判定标志,
根据存储部的被设定了过滤判定标志的端口和/或与该标志对应的MAC地址及IP地址,对第2终端或其他包传输装置进行过滤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005212938A JP4664143B2 (ja) | 2005-07-22 | 2005-07-22 | パケット転送装置、通信網及びパケット転送方法 |
| JP212938/2005 | 2005-07-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1901511A CN1901511A (zh) | 2007-01-24 |
| CN100527711C true CN100527711C (zh) | 2009-08-12 |
Family
ID=37657256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101078263A Expired - Fee Related CN100527711C (zh) | 2005-07-22 | 2006-07-24 | 包传输装置、通信网和数据包传输方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070022211A1 (zh) |
| JP (1) | JP4664143B2 (zh) |
| CN (1) | CN100527711C (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100854087B1 (ko) * | 2006-08-21 | 2008-08-25 | 삼성전자주식회사 | 원격 관리장치 및 그 주소 설정방법 |
| US8681779B2 (en) * | 2006-09-01 | 2014-03-25 | Alcatel Lucent | Triple play subscriber and policy management system and method of providing same |
| CN100563149C (zh) * | 2007-04-25 | 2009-11-25 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| US8495224B2 (en) * | 2007-06-29 | 2013-07-23 | Apple Inc. | Network management |
| CN101459659B (zh) * | 2007-12-11 | 2011-10-05 | 华为技术有限公司 | 一种地址解析协议报文处理方法及通讯系统以及网元 |
| US7814182B2 (en) * | 2008-03-20 | 2010-10-12 | International Business Machines Corporation | Ethernet virtualization using automatic self-configuration of logic |
| US8953601B2 (en) * | 2008-05-13 | 2015-02-10 | Futurewei Technologies, Inc. | Internet protocol version six (IPv6) addressing and packet filtering in broadband networks |
| CN101572712B (zh) * | 2009-06-09 | 2012-06-27 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
| JP5669079B2 (ja) * | 2009-11-16 | 2015-02-12 | パナソニック株式会社 | Id管理システム |
| JP5633436B2 (ja) * | 2011-03-11 | 2014-12-03 | 富士通株式会社 | ルータ装置 |
| CN102761499B (zh) * | 2011-04-26 | 2015-02-04 | 国基电子(上海)有限公司 | 网关及其避免受攻击的方法 |
| CN102710439B (zh) * | 2012-05-29 | 2014-07-16 | 南京邮电大学 | 一种用户终端参数信息的获取方法 |
| US9019967B2 (en) * | 2012-07-30 | 2015-04-28 | Dell Products L.P. | VLAN advertisement and automated configuration |
| US9444713B1 (en) * | 2012-11-15 | 2016-09-13 | Qlogic, Corporation | Cut-through routing for network devices |
| US10009314B2 (en) | 2013-09-12 | 2018-06-26 | Mitsubishi Electric Corporation | IP address distribution system, switch apparatus, and IP address distribution method |
| US9634948B2 (en) | 2013-11-07 | 2017-04-25 | International Business Machines Corporation | Management of addresses in virtual machines |
| CN105338125B (zh) * | 2014-06-25 | 2019-11-05 | 华为技术有限公司 | 报文处理方法及装置 |
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| JP2016158011A (ja) * | 2015-02-23 | 2016-09-01 | ルネサスエレクトロニクス株式会社 | 配信制御装置、データ配信システム、配信制御方法及びプログラム |
| US10171301B2 (en) * | 2015-07-27 | 2019-01-01 | International Business Machines Corporation | Identifying hardcoded IP addresses |
| US10200342B2 (en) | 2015-07-31 | 2019-02-05 | Nicira, Inc. | Dynamic configurations based on the dynamic host configuration protocol |
| DE102016001925A1 (de) | 2016-02-18 | 2017-08-24 | Innoroute Gmbh | Verfahren zur Optimierung von IP-Verkehr über 802.3 Ethernetverbindungen |
| DE102016001869A1 (de) | 2016-02-18 | 2017-08-24 | Innoroute Gmbh | Verfahren zur Optimierung der Wegfindung von IPv6 Verkehr (IPway) |
| JP6793056B2 (ja) | 2017-02-15 | 2020-12-02 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
| US10819568B2 (en) * | 2017-06-26 | 2020-10-27 | Commscope Technologies Llc | System and method for configuring the ethernet network and RF connections for links between nodes of a distributed antenna system |
| CN107241461B (zh) * | 2017-07-14 | 2019-09-13 | 迈普通信技术股份有限公司 | Mac地址获取方法、网关设备、网络认证设备及网络系统 |
| US11140180B2 (en) * | 2018-03-23 | 2021-10-05 | International Business Machines Corporation | Guard system for automatic network flow controls for internet of things (IoT) devices |
| JP2020017809A (ja) | 2018-07-24 | 2020-01-30 | アラクサラネットワークス株式会社 | 通信装置及び通信システム |
| US20210176125A1 (en) * | 2019-12-10 | 2021-06-10 | James Kyriannis | Programmable switching device for network infrastructures |
| CN112261173A (zh) * | 2020-10-20 | 2021-01-22 | 四川天邑康和通信股份有限公司 | 一种涉及融合网关的dhcp服务器分配地址冲突检测方法 |
| CN112383559B (zh) * | 2020-11-25 | 2023-04-25 | 杭州迪普信息技术有限公司 | 地址解析协议攻击的防护方法及装置 |
| KR20220133716A (ko) * | 2021-03-25 | 2022-10-05 | 삼성전자주식회사 | 가상 기업망을 구성하기 위한 장치 및 방법 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
| JP2001211180A (ja) * | 2000-01-26 | 2001-08-03 | Nec Commun Syst Ltd | クライアント認証機能付きdhcpサーバ、及びその認証方法 |
| US7096273B1 (en) * | 2001-04-25 | 2006-08-22 | Cisco Technology, Inc. | DHCP over mobile IP |
| US7200649B1 (en) * | 2001-09-27 | 2007-04-03 | Rockwell Automation Technologies, Inc. | Adaptive method for duplicative IP address detection |
| JP2004104355A (ja) * | 2002-09-06 | 2004-04-02 | Furukawa Electric Co Ltd:The | ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム |
| US7234163B1 (en) * | 2002-09-16 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
| EP1718032B1 (en) * | 2005-04-25 | 2008-09-10 | Alcatel Lucent | Detection of duplicated network addresses by a proxy |
-
2005
- 2005-07-22 JP JP2005212938A patent/JP4664143B2/ja not_active Expired - Fee Related
-
2006
- 2006-06-30 US US11/477,450 patent/US20070022211A1/en not_active Abandoned
- 2006-07-24 CN CNB2006101078263A patent/CN100527711C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007036374A (ja) | 2007-02-08 |
| JP4664143B2 (ja) | 2011-04-06 |
| US20070022211A1 (en) | 2007-01-25 |
| CN1901511A (zh) | 2007-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100527711C (zh) | 包传输装置、通信网和数据包传输方法 | |
| US7046666B1 (en) | Method and apparatus for communicating between divergent networks using media access control communications | |
| US7286537B2 (en) | Internet protocol address allocation device and method | |
| US7139818B1 (en) | Techniques for dynamic host configuration without direct communications between client and server | |
| US5884024A (en) | Secure DHCP server | |
| US6061739A (en) | Network address assignment using physical address resolution protocols | |
| US7881224B2 (en) | Detection of duplicated network addresses | |
| EP1894352B1 (en) | Device and method for managing two types of devices | |
| CN101741702B (zh) | 实现arp请求广播限制的方法和装置 | |
| KR20090064431A (ko) | 라우트 정보를 관리하고 액세스 디바이스에서 데이터를 재전송하기 위한 방법 및 디바이스 | |
| AU2002347725A1 (en) | Method and arrangement for preventing illegitimate use of ip addresses | |
| WO2009138034A1 (en) | Method and apparatus for internet protocol version six (ipv6) addressing and packet filtering in broadband networks | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| JP2001326696A (ja) | アクセス制御方法 | |
| Kashyap | IP over InfiniBand (IPoIB) architecture | |
| RU2005136993A (ru) | Способ обмена пакетами пользовательских данных | |
| US7085836B1 (en) | System and method for automatic private IP address selection | |
| US7558844B1 (en) | Systems and methods for implementing dynamic subscriber interfaces | |
| JP2005064570A (ja) | ネットワークシステム及びインターネットワーク装置 | |
| KR101052913B1 (ko) | IPv6 주소를 할당하는 네트워크 시스템 및 그 방법 | |
| JP2002237816A (ja) | アドレス自動割り当て方法 | |
| KR20040011936A (ko) | 복수의 가상랜으로 구성된 이더넷 상에서의 스위칭 장치와이를 이용한 통신 방법 | |
| Hughes | IPv6 Core Protocols | |
| JP4408831B2 (ja) | ネットワークシステムおよびその通信制御方法 | |
| WO2002011402A1 (en) | Dhcp server with rarp request handling capabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: HITACHI CO., LTD. Free format text: FORMER OWNER: HITACHI COMMUNICATION TECHNOLOGIES LTD. Effective date: 20100323 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20100323 Address after: Tokyo, Japan, Japan Patentee after: Hitachi Ltd. Address before: Tokyo, Japan, Japan Patentee before: Hitachi Communications Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090812 Termination date: 20140724 |
|
| EXPY | Termination of patent right or utility model |