[go: up one dir, main page]

JP4664143B2 - パケット転送装置、通信網及びパケット転送方法 - Google Patents

パケット転送装置、通信網及びパケット転送方法 Download PDF

Info

Publication number
JP4664143B2
JP4664143B2 JP2005212938A JP2005212938A JP4664143B2 JP 4664143 B2 JP4664143 B2 JP 4664143B2 JP 2005212938 A JP2005212938 A JP 2005212938A JP 2005212938 A JP2005212938 A JP 2005212938A JP 4664143 B2 JP4664143 B2 JP 4664143B2
Authority
JP
Japan
Prior art keywords
address
packet
packet transfer
dhcp
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005212938A
Other languages
English (en)
Other versions
JP2007036374A (ja
Inventor
真輔 清水
裕章 宮田
▲琢▼ 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005212938A priority Critical patent/JP4664143B2/ja
Priority to US11/477,450 priority patent/US20070022211A1/en
Priority to CNB2006101078263A priority patent/CN100527711C/zh
Publication of JP2007036374A publication Critical patent/JP2007036374A/ja
Application granted granted Critical
Publication of JP4664143B2 publication Critical patent/JP4664143B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケット転送装置、通信網及びパケット転送方法に係り、特に、DHCPによりアドレスを配布するDHCPサーバ及びクライアント端末を接続するアドレス監視機能付きパケット転送装置、通信網及びパケット転送方法に関する。
従来企業で利用されてきた専用線やフレームリレーなどのWAN(Wide Area Network)サービスとの接続に、ルータが使われている。しかし、ギガビット対応などでLAN(Local Area Network)そのものの高速化が進み、ルータでの処理がボトルネックになっている。そこで、ルータに変わってL3(Layer3)スイッチやL2(Layer2)スイッチなどのスイッチ群が注目を集めている。
ルーティングを主な目的としているルータは、UNIXで行われていたルーティングソフトウエアの製品であり、そのルーティング処理は汎用のCPUとソフトウエアで行われる。それに対して上述のスイッチ群(以下、「スイッチ」という。)の場合、高速なルーティングを目的に、その処理を専用のハードウェアであるASIC(Application Specific Integrated Circuit)で処理できるように作られている。この機構上の違いにより、高速な処理を目的とした場合にはスイッチの利用が効果的である。
これらを踏まえて、通信事業者はインターネットへのアクセス網の多様化、高速化と常時接続が進んでいることにより、エッジ網にスイッチを用いて、広域スイッチサービスを展開してきている。また、スイッチにアプリケーションを搭載することによって、各加入者のISP(Internet Service Provider)への接続を効率的に実施してきている。そのアプリケーションの一つとしてDHCP(Dynamic Host Configuration Protocol)がある。
DHCPとは、例えば、自動的にIPアドレスなどをクライアントに割り当てるためのプロトコルである。DHCPはRFC951で記載されているBOOTP(BOOTstrap Protocol)を拡張したもので、割り当てられたIPアドレスに利用可能期間(リース期間)を設け、クライアント端末に使用させたいDNS(Domain NameService)サーバのIP(Internet Protocol)アドレスといった設定値も自動設定できるように定義している。これらは、例えば、RFC2131とRFC2132で定義されている。
DHCPを利用したDHCPサーバは、クライアント端末の要求に応じてIPアドレスを動的に割り当てている。それにより、クライアント端末は個別にIPアドレスの設定を行うことなく、TCP/IP(Transmisson Contorol/Internet Protocol)通信を行うことができる。クライアント端末が通信を終えると自動的にアドレスを回収し、他のクライアント端末にそのIPアドレスを割り当てる。ネットワークの設定に詳しくないユーザでも簡単にインターネットに接続することができ、また、ネットワーク管理者は多くのクライアント端末を容易に一元管理することができる。現在のインターネットやイントラネットが相互接続されて、複雑化している中、DHCPサーバによるIPアドレスの自動配布が非常に便利である。
DHCPサーバは、動的にIPアドレスを割り当てる利点がある反面、クライアント端末ユーザがクライアント端末に個別に設定したIPアドレス(以下、「静的なIPアドレス」という。)にて、ネットワーク接続するような場合、IPアドレスの配布ができない。
DHCPサーバによるIPアドレスの管理ができないことから、管理外のIPアドレスを使用して、不正にネットワークへ接続していることも考えられる。ネットワークにおいてセキュリティの問題は非常に重要なことのひとつであり、IPアドレスとMACアドレスを対応付けて記憶しておき、それに該当しているクライアント端末装置を正規クライアントと認識し、その他のクライアント端末装置へのデータの送受信を行わない機能を備えた不正アクセス防止システム技術が開示されている(例えば、特許文献1参照)。
具体的には、DHCPサーバに記憶データベースを持つことによって、クライアント端末からのIPアドレス割り当て要求を受けると、まず、そのMACアドレスが許容クライアント端末のMACアドレスデータベースに記憶されているか照合する。MACアドレスが記憶されていれば、IPアドレスをMACアドレスと対応付けて割当て済みアドレスデータベースに記録する。その後、定期的に当該IPアドレスへARP(Address Resolution Protocol)パケットを送信し、その応答パケット中の送信元MACアドレス及び送信元IPアドレスの組み合わせが割当て済みアドレスデータベースに記録されているか照合する。その結果、記録されていれば正規クライアント、記録されていなければ不正規クライアント端末と判定するものである。
また、スイッチングハブを用いた簡単な構成のネットワークに、不正にアクセスしようとする端末の通信を行わせない(遮断する)技術として、例えば、特許文献2が開示されている。
具体的には、特許文献2に記載のスイッチングハブにおいて、DHCPサーバに接続しているポートをマスタポート、クライアント端末が接続された物理ポート(以下、「ポート」という。)をサブポートとして扱い、DHCPサーバからの信号を受信すると信号検出部/通信制御部でマスタポート/サブポートを制御し、不正な端末等を予め接続できないようにする技術するものである。
特開平2001−211180号公報 特開平2003−338826号公報 RFC951、IETF発行、1985年9月 RFC2131、IETF発行、1997年3月 RFC2132、IETF発行、1997年3月 RFC826、IETF発行、1982年11月
しかし、特許文献1記載の技術においては、DHCPサーバが専用のサーバでなければならず、スイッチングハブも専用のサーバに対応する機能を有していなければならない。
また、特許文献2に記載の技術は、既にIPアドレスを取得済みの端末に対して通信を行わせないようにするものではない。また、DHCPサーバを有するネットワーク接続用のマスタポートと呼ばれるポートと、その他にクライアント端末装置を接続する為のポートとを別に備える必要があり、通常のスイッチングハブ等のように、自由にポートを選択して機器を接続することが行えない。
更に、ポートに接続されたクライアント端末装置のアドレスに応じ、その接続されているポート自身に対するデータ送受信を止めてしまうので、そのポートにスイッチングハブ等をカスケード接続(多段接続)し、その配下にクライアント端末装置を複数台接続するようなシステムでの使用を考慮したものではない。具体的には、カスケード接続したハブに不正クライアント端末が収容された場合、そのハブを接続したポートへのデータ送受信が行われなくなる為、そのハブに収容されている他の正規クライアント端末までも通信が行えなくなる。
以上の点に鑑み、本発明の目的は、ポート毎にデータ送受信停止(以下、「遮断」という。)を行うのではなく、収容するクライアント端末装置が静的なIPアドレス設定の場合、データ送受信をさせないように動作するパケット転送装置、通信網及びパケット転送方法を提供することにある。また、本発明の他の目的は、簡単な構成にてネットワークに不正にアクセスしているクライアント端末に対して、IPアドレスによるフィルタリングによって通信を遮断する技術を提供することにある。本発明は、パケット転送装置がカスケード接続された場合にも、各パケット転送装置へフィルタリングのための情報を伝えることを目的のひとつとする。
上記の課題を解決するために、アドレス監視機能付きパケット転送装置は、図4に後述する複数のクライアント端末もしくは通信網を収容できる複数のポートとプロトコル処理部、制御部を備える。
パケット転送装置は、クライアント端末からDHCPプロトコルによるIPアドレス配布要求を受信すると、図5に後述するアドレス監視機能付きパケット転送装置にあるユーザ管理テーブル2024−1に該端末のMACアドレスを記憶する手段を有する。また、例えば記憶後に、該端末に必要な情報を上記の通信システム内の各DHCPサーバへ転送し、各DHCPサーバからIPアドレス割り当て申請の受信後、図4に後述するプロトコル処理部2020を介して図5に後述するユーザ管理テーブル2024−1に該端末の割り当てIPアドレスを記憶する手段を有する。さらに、該端末によるARP(Address Resolution Protocol)解決及びアドレス監視機能付きパケット転送装置によるARP解決によってARPパケットからも図4に後述するプロトコル処理部2020を介して図5に後述するユーザ管理テーブル2024−1に該端末のIPアドレスを記憶する手段を有する。また、記憶したDHCPパケットの情報とARPパケットの情報が一致した場合に、ARPパケットを送信した端末が接続されているポートに対してIPアドレスによるフィルタリングをする手段を有する。
また、カスケード接続の場合に親のアドレス監視機能付きパケット転送装置が子のアドレス監視機能付きパケット転送装置にIPアドレスによるフィルタリングするIPアドレス及びMACアドレス及びポートの情報を伝える制御通信パケットを送信する手段を有することも特徴のひとつである。
本発明のアドレス監視機能付きパケット転送装置は、例えば、複数のクライアント端末を収容し、該複数の端末とDHCPサーバ間を接続するアドレス監視機能付きパケット転送装置であって、前記複数のクライアント端末もしくはDHCPサーバ間のパケットを送受信する複数のポートと、前記複数のポートの何れかで受信したパケットの内容に基づいて必要な処理を行う、前記複数のポートの何れかに出力する処理部を備え、前記処理部は、前記複数のクライアント端末の何れかの端末からDHCPサーバによるIPアドレスの割り当ての要求を受信すると、該端末の情報を記憶部に記録し、DHCPサーバへIPアドレスの割り当てのDHCPシーケンスを行い、前記複数のクライアント端末の何れかの端末からARP解決を受信すると、該端末の情報を記憶部に記録し、その情報からIPアドレスによるフィルタリングができることを特徴のひとつとする。
また、上述のパケット転送装置において、ARP解決を行う際にアドレス監視機能付きパケット転送装置はクライアント端末からのARP解決方法とアドレス監視機能付きパケット転送装置からのARP解決の二つのモード切り替えができることを特徴のひとつとする。
上述のパケット転送装置において、制御通信パケットを用いることでカスケード接続のアドレス監視機能付きパケット転送装置にIPアドレスによるフィルタリングの情報を転送することを特徴のひとつとする。また、上述のパケット転送装置において、MACアドレス及びIPアドレスによるフィルタリングをすることを特徴のひとつとする。
上述のパケット転送装置において、アドレス監視機能付きパケット転送装置によるARP解決の場合、DHCPサーバからのDHCPパケットを一度、アドレス監視機能付きパケット転送装置の記憶部に記憶し、ARP解決の応答有り無し及び制御通信パケットの送信後に記憶していたDHCPパケットをクライアント端末に対して送信することを特徴のひとつとする。
上述のパケット転送装置において、クライアント端末からのARP応答があった場合、記憶部に記憶したMACアドレスとARP応答があったクライアント端末のMACアドレスが一致すると、アドレス監視機能付きパケット転送装置はブロードキャストであるARP応答を転送しないで制御通信パケットとして配下にあるアドレス監視機能付きパケット転送装置及びクライアント端末に送信することを特徴のひとつとする。
本発明の第1の解決手段によると、
第1及び/又は第2の端末と、端末にIPアドレスを割り当てるアドレス配布サーバとに接続され、パケットを送受信するための複数のポートと、
前記ポートの識別子と、IPアドレスからMACアドレスを得るためのアドレス解決応答に含まれるMACアドレス及びIPアドレスと、フィルタリングの要否を示すフィルタ判定フラグとが対応して記憶される記憶部と、
受信したパケットの転送処理及びフィルタリングを行う処理部と
を備え、
前記処理部は、
前記ポートのひとつに接続された前記第1の端末からアドレス配布要求を受信すると、該アドレス配布要求を前記アドレス配布サーバに送信し、
アドレス配布要求に従い前記アドレス配布サーバから送信される、前記第1の端末に割り当てられるIPアドレスを含むアドレス配布応答を受信し、
IPアドレスからMACアドレスを得るための、割り当てられるIPアドレスを含むアドレス解決要求を、前記ポートに接続されている端末及び装置にブロードキャストで送信し、
アドレス解決要求内の該IPアドレスを使用する前記第2の端末又は装置から返信されるアドレス解決応答を、前記ポートのひとつを介して受信すると、該アドレス解決応答に含まれる第2の端末又は装置のMACアドレスとIPアドレスとを、アドレス解決応答を受信したポートの識別子に対応して前記記憶部に記憶し、及び、該ポートの識別子に対応したフィルタ判定フラグを設定し、
前記記憶部のフィルタ判定フラグが設定されたポート、及び/又は、該フラグに対応するMACアドレス並びにIPアドレスに基づき、前記第2の端末又は前記装置に対してフィルタリングを実行するパケット転送装置が提供される。
本発明の第2の解決手段によると、
アドレス配布要求に従いIPアドレスを割り当てるアドレス配布サーバと、
請求項7に記載のパケット転送装置であって、前記アドレス配布サーバにより割り当れられるIPアドレスで通信する第1の端末に接続される第1のパケット転送装置と、
請求項6に記載のパケット転送装置であって、前記アドレス配布サーバと、前記第1のパケット転送装置と、静的に割り当てられたIPアドレスを有する第2の端末とのそれぞれに接続される第2のパケット転送装置と
を備え、
前記第2の端末からアドレス解決応答を受信した前記第2の転送装置が、前記第1のパケット転送装置に制御通信パケットを送信することにより、フィルタリングのための情報が前記第1のパケット転送装置に送信される通信網が提供される。
本発明の第3の解決手段によると、
パケットを送受信するためのポートのひとつに接続された第1の端末からアドレス配布要求を受信すると、該アドレス配布要求をアドレス配布サーバに送信し、
アドレス配布要求に従いアドレス配布サーバから送信される、第1の端末に割り当てられるIPアドレスを含むアドレス配布応答を受信し、
割り当てられるIPアドレスを含むアドレス解決要求を、ポートに接続されている端末及び装置にブロードキャストで送信し、
アドレス解決要求内の該IPアドレスを使用する第2の端末又は装置から送信されるアドレス解決応答を、ポートのひとつを介して受信すると、該アドレス解決応答に含まれる第2の端末又は装置のMACアドレスとIPアドレスとを、アドレス解決応答を受信したポートの識別子に対応して、記憶部に記憶し、及び、該ポートの識別子に対応してフィルタ判定フラグを設定し、
記憶部のフィルタ判定フラグが設定されたポート、及び/又は、該フラグに対応するMACアドレス並びにIPアドレスに基づき、第2の端末又は装置に対してフィルタリングを実行するパケット転送方法が提供される。
本発明によると、ポート毎にデータ送受信停止(以下、「遮断」という。)を行うのではなく、収容するクライアント端末装置が静的なIPアドレス設定の場合、データ送受信をさせないように動作するパケット転送装置、通信網及びパケット転送方法を提供することができる。本発明によれば、簡単な構成にてネットワークに不正にアクセスしているクライアント端末に対して、IPアドレスによるフィルタリングによって通信を遮断する技術を提供できる。本発明によると、パケット転送装置がカスケード接続された場合にも、各パケット転送装置へフィルタリングのための情報を伝えることができる。
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
1.第1の実施の形態
(システム構成)
まず、本発明の第1の実施形態について説明する。
図1は、本実施の形態におけるアドレス監視機能付きパケット転送装置が用いられている通信システム全体を示す図である。
通信システムは、インターネット5000に接続しているルータ4000と、ルータ4000の配下にある通信網1と通信網2とを備える。通信網1は、アドレス監視機能付きパケット転送装置1台のみで構成されているネットワークの例で、通信網2はアドレス監視機能付きパケット転送装置が複数台で構成されているネットワークの例である。なお、通信網1又は2のいずれかを備えてもよいし、通信網1及び2をそれぞれ適宜の数備えてもよい。
通信網1は、ルータ4000に接続しているアドレス監視機能付きパケット転送装置1(2000)と、アドレス監視機能付きパケット転送装置1(2000)が収容しているクライアント端末1(第1の端末)(1000)及びクライアント端末2(第2の端末)(1100)と、DHCPサーバ1(3000)とを有する。通信網1は、例えば、192.168.0.0/24のネットワークであり、DHCPサーバ1(3000)は、例えば、192.168.0.1〜192.168.0.254のIPアドレスを配布することができる。
通信網2は、ルータ4000に接続しているアドレス監視機能付きパケット転送装置3(2200)が、DHCPサーバ2(3100)と、アドレス監視機能付きパケット転送装置2(2100)と、アドレス監視機能付きパケット転送装置4(2300)とを収容している。
アドレス監視機能付きパケット転送装置2(2100)は、例えば、クライアント端末3(第3の端末)(1200)を収容する。アドレス監視機能付きパケット転送装置4(2300)は、例えば、アドレス監視機能付きパケット転送装置5(2400)と、アドレス監視機能付きパケット転送装置6(2500)をさらに収容する。また、アドレス監視機能付きパケット転送装置5(2400)は、配下にクイアント端末4(第4の端末)(1300)を収容している。なお、各パケット転送装置は、これら以外にも適宜の装置と接続されることができる。
通信網2は、例えば、192.168.1.0/24のネットワークであり、DHCPサーバ2(3100)は、例えば、192.168.1.1〜192.168.1.254のIPアドレスを配布することができる。
本発明において、クライアント端末はネットワークに接続した時点で検知され、イーサネット(商標)に物理的な接続状態となる。また、ルータ4000は、DHCPリレーエージェントを搭載しているものと考え、ブロードキャストパケットを受信してもDHCPサーバへ中継できる。よって、本発明を制限するものではない。
ここで、各装置について概略を述べる。なお、詳細な動作については後述する。
本実施の形態による通信システム内では、クライアント端末からIPアドレスの割り当て要求(IPアドレス配布要求)があると、後述する図2に示すDHCPパケットをイーサネットフレーム形式によりアドレス監視機能付きパケット転送装置経由して、各DHCPサーバ間で送受信する。アドレス監視機能付きパケット転送装置を経由する際に、DHCPパケット中のIPアドレスを、図5に後述するユーザ管理テーブルに記憶する。記憶した結果、どのクライアント端末に対してどのIPアドレスを割り当てるかをアドレス監視機能付きパケット転送装置が認識する。
次に、DHCPサーバにより割り当てたいIPアドレスが決まると、アドレス監視機能付きパケット転送装置は、例えば、ARP解決を用いた二つのアドレス配布方法のいずれかで割り当てIPアドレスを配布する。
一つは、アドレス監視機能付きパケット転送装置が、各DHCPサーバからIPアドレスの割り当ての承認を受信すると、そのままクライアント端末にDHCPパケットを送信する。クライアント端末は、そのパケットを受信すると配布されたDHCPの割り当てIPアドレスが重複していないかを確認するためにクライアント端末からARP解決を図り、その結果、割り当てIPアドレスを取得する。もう一つの方法として、各DHCPサーバからIPアドレスの割り当ての承認を受信すると、アドレス監視機能付きパケット転送装置が、収容しているクライアント端末に対してARP解決を図る方法であってもよい。詳細は後述するが、本実施の形態では、前者のクライアント端末のARP解決方法によるIPアドレス配布方法を示す。また、他の実施の形態に、後者のアドレス監視機能付きパケット転送装置が、収容している端末に対してARP解決を図ってIPアドレスを配布する方法の詳細を示す。
二つのARP解決方法の何れかで、ARP応答がなければ(例えば、タイマー機能により時間が経過すると)、アドレス要求をしたクライアント端末は、DHCPサーバより割り当てられたIPアドレスを利用できる。一方、ARP応答があった場合は、ARPパケットを受信するアドレス監視機能付きパケット転送装置がARPパケット中からIPアドレス及びMACアドレス等をユーザ管理テーブルに記憶する。記憶した結果、DHCPパケットによるIPアドレスとARPパケットによるIPアドレスが一致すると、ARPの応答があったポートにおいて、該当端末のMACアドレスに対するIPアドレスのフィルタリングを実施する。
また、アドレス監視機能付きパケット転送装置は、ブロードキャストであるARP応答を転送しない。本発明による制御通信パケットを用いることで、カスケード接続のアドレス監視機能付きパケット転送装置にIPアドレスのフィルタリングするポートとMACアドレスとIPアドレスの情報を転送する。転送の結果、静的にIPアドレスを使用しているクライアント端末のMACアドレスに対して、IPアドレスのフィルタリングによる通信遮断によって、不正にIPアドレスの使用を防止する技術を提供できる。
図2は、DHCPのパケットを示す図である。RFC2131、RFC2132に記載されているように、DHCPパケットはイーサネットフレーム形式110で転送され、送信先MACアドレス140と送信元MACアドレス150とIPパケット120を含む。そのIPパケット120は、送信先IPアドレス160と送信元IPアドレス170とUDPパケット130とを含み、UDPパケット130中に、DHCPの各パケットの内容を示すDHCPメッセージ内容180を備える。
図3は、制御通信パケットを示す図である。制御通信パケットは、ヘッダ部200とデータ部210とを含む。ヘッダ部200のデータリンク部220は、パケットの送受信先のMACアドレス情報を含む。また、データ部210は、フィルタリングしたいIPアドレス情報230と、MACアドレス情報240と、ポート情報250と、その他部260とを含む。制御通信パケットの識別方法としてはデータ部のその他部260を利用して、フラグの監視をしてもよい。なお、パケットの識別方法としては、適宜の方法をとることができ、この例は本特許を制限するものではない。
この制御通信パケットは、例えば、カスケード接続している他のアドレス監視機能付きパケット転送装置に有効なパケットであり、クライアント端末がこのパケットを受信しても何ら影響はない。アドレス監視機能付きパケット転送装置は制御パケットを受信することで、静的にIPアドレスを使用しているクライアント端末のポートとMACアドレスとIPアドレスの情報を取得できる。これによりアドレス監視機能付きパケット転送装置は、静的にIPアドレスを使用しているクライアント端末に対して、IPアドレスによるフィルタリングを実施してデータの送受信をさせない通信機能の遮断を実施する。
図20は、ARPパケットのフォーマット図である。ARPパケットは、例えば、(1)宛先MACアドレス、(2)送信元MACアドレス、(3)コード(例えば、01はARP要求、02はARP応答)、(4)送信元MACアドレス、(5)送信元IPアドレス、(6)宛先MACアドレス及び(7)宛先IPアドレスを含む。
図21は、ARP REQUEST及びAPR ACKのパケットフォーマットを示す図である。図21(a)において、PC1は、例えば図1のクライアント端末1(1000)に相当し、PC2はクライアント端末2(1100)に相当する。例えば、図21(a)に示すように各アドレスが割り当てられているとすると、PC1から送信される(又はパケット転送装置から送信される)ARP REQUESTは、図21(b)のようになる。なお、宛先MACアドレスのFF:FF:FF:FF:FF:FFはブロードキャストアドレスを示す。ここで、ARP REQUESTは、調べたいIPアドレス(ここではPC1に割り当てられた192.168.0.1)を含む。
PC2は、ARP REQUESTを受信すると、調べたいIPアドレスと自らのIPアドレスが同一であるので、図21(c)に示すようなARP ACKを送信する。ARP ACKは、例えば、宛先MACアドレスに、ARP REQUESTの送信元MACアドレスを含めて、ユニキャストで送信する。
図4は、本実施の形態によるアドレス監視機能付きパケット転送装置1(2000)の構成を示すブロック図である。なお、他のアドレス監視機能付きパケット転送装置1(2100〜2500)も同様の構成である。アドレス監視機能付きパケット転送装置1は、例えば、複数の入出力ポート2010−1〜2010−nと、プロトコル処理部2020と、ポート2010を制御する制御部2030とを備える。
ポート2010は、クライアント端末及びアドレス監視機能付きパケット転送装置を含む通信網とのインタフェースであり、複数のクライアント端末や通信網と、パケット(例えば各DHCPパケット)の送受信を行う。プロトコル処理部2020は、ポート2010で受信したパケットの内容に基づいて、プロトコル処理等を行い、ポート2010−1〜nの何れかに出力する。
図5は、プロトコル処理部2020の詳細な構成図を示すブロック図である。プロトコル処理部2020は、例えば、ポート2010からのパケットを一時的に蓄積する複数の受信バッファ2021と、受信バッファ2021からパケットを読み出し、プロトコル処理等を行うプロトコル処理プロセッサ(処理部)2023と、プロセッサ2023が実行するプログラム(例えば、DHCP管理ルーチン2026−1、ARP管理ルーチン2026−2)を格納するプログラム格納メモリ2026と、テーブル(例えば、ユーザ管理テーブル2024−1)を記憶するテーブル格納メモリ2024と、DHCP ACKパケットを一時的に格納するDHCP ACKパケット格納メモリ2027−1を有するパケット格納メモリ2027と、ポート2010へのパケットを一時的に蓄積する送信バッファ2022と、制御部2030とのインタフェースであるプロセッサ間インタフェース2025とを備える。なお、各メモリがひとつのメモリで構成されていてもよい。また、受信バッファ、送信バッファは、それぞれ複数備えられてもよい。例えば、各ポートに対応して受信バッファ及び送信バッファが備えられてもよい。
ここで、プロセッサ2023は、受信バッファに蓄積されたパケットを読み出してDHCP管理ルーチン2026−1、ARP管理ルーチン2026−2及びユーザ管理テーブル2024−1によりプロトコル処理を行った後、パケットのヘッダ情報によって送信バッファ2022に出力する。
DHCP ACKパケット格納メモリ2027−1についての詳細は後述するが、アドレス監視機能付きパケット転送装置1(2000)へのDHCP ACK信号を一時的に記憶するメモリである。
図6は、ユーザ管理テーブル2024−1の構成を示す図である。
ユーザ管理テーブル2024−1は、アドレス監視機能付きパケット転送装置のポート番号(又は識別子)400と、ポート番号400に接続しているクライアント端末のMACアドレス410と、DHCPパケットのステータス内容(状態)420と、DHCPサーバから割り当て予定のIPアドレス430と、ARPパケットのステータス内容(状態)440と、ARPプロトコルにおけるIPアドレス450と、IPアドレスによるフィルタリングのON/OFF(フィルタ判定フラグ)460が対応付けられて記憶される。
アドレス監視機能付きパケット転送装置のユーザ管理テーブル2024−1は、DHCPパケット及びARPパケットを受信するたびにプロトコル種別(ステータス)を判別して更新される。また、DHCPサーバから割り当て予定のIPアドレス430とARPプロトコルにおけるIPアドレス450が一致した場合、ARPプロトコルにおけるIPアドレス450を使用している該端末のMACアドレス410に対してIPアドレスによるフィルタリングを実行する。フィルタリングを実行するか否かは、フィルタをかける該端末のポートに対応して、例えば、フィルタ判定の欄(フラグ)をONかOFFの表記で表す。
(動作シーケンス)
以下、本実施の形態の動作について詳細に説明する。
図7及び8は、第1の実施形態による通信網1の動作を示すシーケンス図である。また、図12、13は、本実施の形態の動作におけるユーザ管理テーブルの状態を示す。
また、図1の通信網に示すように、アドレス監視機能付きパケット転送装置1(2000)のポート1にクライアント端末1(1000)と、ポート2にルータ4000と、ポート3にクライアント端末2(1100)と、ポート4にDHCPサーバ1(3000)が接続している。ここで、クライアント端末1(1000)は、DHCPサーバ1(3000)からIPアドレスの割り当てを期待している端末であり、MACアドレス(00:10:20:30:40:50)のみ付与されている。一方、クライアント端末2(1100)は、MACアドレス(00:20:30:40:50:60)の他、静的にIPアドレス(192.168.0.1)が既に振られている端末である。このように、静的IPアドレスが振られている端末を、本実施の形態では、不正IPアドレス利用端末と仮定する。
DHCPのシーケンスを開始するため、クライアント端末1(1000)からUDP(User Datagram Protocol)プロトコルを使ってDHCP DISCOVER(Dynamic Host Configuration protocol DISCOVER、アドレス配布発見パケット)をブロードキャストアドレスで送信する(ステップ20)。例えば、DHCP DISCOVERには、クライアント端末1(1000)のMACアドレスが含まれる。DHCP DISCOVERは、IPアドレスを割り当てるように要求するプロトコルパケットである。なお、DHCPサーバのIPアドレス配布に関するプロトコルは適宜のプロトコルでよく、本実施の形態を制限するものではない。
DHCP DISCOVERを受信したアドレス監視機能付きパケット転送装置1(2000)は、装置内に備える受信ポート2010−1と受信バッファ2021を介してDHCP DISCOVERをプロトコル処理部2020に転送する。また、DHCP DISCOVERに含まれるクライアント端末1のMACアドレスとパケットのプロトコル種別(ここではDHCP DISCOVER)を、DHCP管理ルーチン2026−1によりユーザ管理テーブル2024−1に記憶(図12のユーザ管理テーブル2024−11のようになる)する(ステップ21)。
プロトコル処理部2020から、クライアント端末2(1100)とDHCPサーバ1(3000)に接続している送信バッファ2022及び送信ポート2010−3と送信ポート2010−4を介して、クライアント端末2(1100)とDHCPサーバ1(3000)へDHCP DISCOVERを送信する(ステップ22)。
クライアント端末2(1100)は、DHCP DISCOVERを無視し、クライアント端末2(1100)からは何も応答がない。DHCPサーバ1(3000)は、DHCP DISCOVERの問い合わせに対してクライアント端末1(1000)にIPアドレスの提案(ここでは、例えば、192.168.0.1とする)としてユニキャストでDHCP OFFER(Dynamic Host Configuration protocol OFFER、アドレス配布提供パケット)をアドレス監視機能付きパケット転送装置1(2000)へユニキャストで送信する(ステップ23)。
DHCP OFFERを受信したアドレス監視機能付きパケット転送装置1(2000)は、装置内に備える受信ポート2010−1と受信バッファ2021を介してDHCP OFFERをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではDHCP OFFER)をDHCP管理ルーチン2026−1を介してユーザ管理テーブル2024−1に記憶(図12のユーザ管理テーブル2024−12)する(ステップ24)。例えば、OFFERに含まれるMACアドレスに基づいて、ユーザ管理テーブルを参照し、設定するMACアドレス410に対応したDHCPの状態420に“OFFER”を記憶する。
アドレス監視機能付きパケット転送装置1(2000)は、送信バッファ2022と送信ポート2010−1を介して、DHCP OFFERをクライアント端末1(1000)へ送信する(ステップ25)。
クライアント端末1(1000)は、DHCP OFFERの応答として、提案されたIPアドレス(192.168.0.1)の割り当て申請を行うDHCP REQUEST(Dynamic Host Configuration protocol REQUEST、アドレス配布要求)を、ブロードキャストで送信する(ステップ26)。
DHCP REQUESTを受信したアドレス監視機能付きパケット転送装置1(2000)は、装置内に備える受信ポート2010−1と受信バッファ2021を介してDHCP REQUESTをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではDHCP REQUEST)をDHCP管理ルーチン2026−1を介してユーザ管理テーブル2024−1に記憶(図12のユーザ管理テーブル2024−13)する(ステップ27)。
プロトコル処理部2020からクライアント端末2(1100)とDHCPサーバ1(3000)に接続している送信バッファ2022及び送信ポート2010−3と送信ポート2010−4を介して、クライアント端末2(1100)とDHCPサーバ1(3000)へDHCP REQUESTを送信する(ステップ28)。
クライアント端末2(1100)は、DHCP REQUESTを無視し、クライアント端末2からは何も応答がない。DHCPサーバ1(3000)は、IPアドレスの割り当ての承認(ステップ23、24:IPアドレス192.168.0.1)として、パケット転送装置1(2000)へDHCP ACK(Dynamic Host Configuration protocol ACK、アドレス配布応答)をユニキャストで送信する(ステップ29)。
DHCP ACKを受信したアドレス監視機能付きパケット転送装置1(2000)は、装置内に備える受信ポート2010−1と受信バッファ2021を介してDHCP ACKをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではDHCP ACK)及び割り当てIPアドレス(192.168.0.1)をDHCP管理ルーチン2026−1を介してユーザ管理テーブル2024−1に記憶(図12のユーザ管理テーブル2024−14)する(ステップ30)。なお、IPアドレスは、上述のDHCP OFFERに含まれる提案されたIPアドレス、DHCP REQUESTに含まれるIPアドレスを用いてもよい。ここでは、いずれも192.168.0.1である。
アドレス監視機能付きパケット転送装置1(2000)は、送信バッファ2022と送信ポート2010−1を介してDHCP ACKをクライアント端末1(1000)へ送信する(ステップ31)。
クライアント端末1(1000)は、DHCPサーバ1(3000)より提案されたIPアドレス(192.168.0.1)が他のクライアント端末と重複していないかを調べるためにRFC826に記載されているARP REQUEST(Address Resolution Protocol REQUEST、アドレス解決要求)をブロードキャストで送信する(ステップ32)。ARPは、MACアドレスとIPアドレスの関係を管理するプロトコルであり、TCP/IPプロトコルのうちIPアドレスから、イーサネットのMACアドレスを求めるために使われる。ここでは、ARP REQUESTは提案されたIPアドレス192.168.0.1のアドレスを含む。
ARP REQUESTを受信したアドレス監視機能付きパケット転送装置1(2000)は、装置内に備える受信ポート2010−1と受信バッファ2021を介してARP REQUESTをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではARP REQUEST)をARP管理ルーチン2026−2を介してユーザ管理テーブル2024−1に記憶(図13のユーザ管理テーブル2024−15)する(ステップ33)。
プロトコル処理部2020からクライアント端末2(1100)とDHCPサーバ1(3000)に接続している送信バッファ2022及び送信ポート2010−3と送信ポート2010−4を介してクライアント端末2(1100)とDHCPサーバ1(3000)へARP REQUESTを送信する(ステップ34)。
DHCPサーバ1(3000)は、ARP REQUESTを無視し、DHCPサーバ1(300)からは何も応答がない。クライアント端末2(1100)において、クライアント端末2(1100)のIPアドレス(192.168.0.1)とARP REQUESTパケット中のIPアドレス(192.168.0.1)を比較する(ステップ35)。一致しなければ、IPアドレスの重複がないので、クライアント端末1(1000)は、DHCPサーバ1(3000)より提案されたIPアドレスが使用できる(ステップ36)。ここでは、DHCPサーバ1(3000)より提案されたIPアドレス(192.168.0.1)とクライアント端末2(1100)のIPアドレス(192.168.0.1)が重複していると仮定している例なので、クライアント端末2(1100)からARP ACK(Address Resolution Protocol ACK、アドレス解決応答)を、ARP REQUESTの送信元であるクライアント端末1(1000)を含めた他のクライアント端末に対してブロードキャストで送信(ステップ37)する。
従来のパケット転送装置を含めた通常のスイッチ類(L2スイッチ、L3スイッチ)では、ブロードキャストであるARP ACKを受信すると送信元のクライアント端末1(1000)を含めた他のクライアント端末にARP ACKを送信する。ARP ACKを受信したクライアント端末1(1000)は、IPアドレス(192.168.0.1)が重複をしているのでDHCPサーバ1(3000)に対してDHCP RELEASE(Dynamic Host Configuration protocol RELEASE)を送信してIPアドレスの再割り当てを要求する。クライアント端末2(1100)がIPアドレス(192.168.0.1)を静的に持っている以上、DHCPサーバ1(3000)は(192.168.0.1)を割り当てることはできなかった。
しかし、本実施の形態におけるアドレス監視機能付きパケット転送装置1(2000)は、ブロードキャストであるARP ACKを受信すると、接続してある他のクライアント端末にブロードキャストで送信しない。クライアント端末1(1000)に対してはARP ACKを送信しないので、クライアント端末1のアドレス再割り当て要求であるDHCP RELEASEを実施させない。
また、アドレス監視機能付きパケット転送装置1(2000)は、装置内に備える受信ポート2010−3と受信バッファ2021を介してARP ACKをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではARP ACK)及びARP ACK内のIPアドレス(192.168.0.1)とMACアドレス(00:20:30:40:50:60)をARP管理ルーチン2026−2を介してユーザ管理テーブル2024−1に記憶(図9のユーザ管理テーブル2024−16)する(ステップ38)。ここでは、ARP ACKを受信したポート3に対応して記憶する。
DHCPサーバ1(3000)から割り振られたIPアドレス(192.168.0.1)とARP ACKによるIPアドレス(192.168.0.1)とが一致するので、ユーザ管理テーブル2024−1(図13のユーザ管理テーブル2024−17)よりARP ACKの応答があったポート3(クライアント端末2が接続している)に対応してフィルタ判定フラグをONにする(ステップ29)。これにより、ポート3に対して、又はMACアドレス(00:20:30:40:50:60)及びIPアドレス(192.168.0.1)に対してのフィルタリングを実施する。この状態で、不正IPアドレス使用のクライアント端末2(1100)は、IPアドレス(192.168.0.1)で通信ができなくなる。
アドレス監視機能付きパケット転送装置1(2000)は、ARP ACKを受信すると、制御通信パケット(ステップ40)も送信する。この制御通信パケットは、カスケード接続した場合のアドレス監視機能付きパケット転送装置等やクライアント端末等にフィルタリングをかけたポート及びIPアドレス及びMACアドレスの情報を転送する役目がある。この情報によりカスケード接続したアドレス監視機能付きパケット転送装置はフィルタリングをかけたいクライアント端末の情報を入手することができる。なお、クライアント端末がこのパケットを受信しても何ら問題はない。本実施の形態では通信網1におけるクライアント端末1(1000)はこの制御通信パケットを受信しても破棄(ステップ41)する。なお、本実施の形態ではステップ40、41を省略してもよい。
以上の結果、クライアント端末2(1100)はIPアドレス(192.168.0.1)を使用できないことから、タイマー機能によりARP REQUESTを送信してから所定時間が経過すると、クライント端末1(1000)はIPアドレス(192.168.0.1)を利用することができるので、通信可能となる(ステップ42)。
(フローチャート)
図9〜11は、本実施の形態におけるアドレス監視機能付きパケット転送装置1(2000)のプロトコル処理部2020に備えるプロセッサ2023の処理を示すフローチャートである。
アドレス監視機能付きパケット転送装置1(2000)のプロセッサ2023は、ブロードキャストのDHCP DISCOVERを、受信ポート2010−1(又は受信ポート2010−3)及び受信バッファ2021を介して受信すると、クライアント端末1(1000)のMACアドレスとDHCPパケットのプロトコル種別とをユーザ管理テーブル2024−1へ記憶する(ステップ2210、図7:ステップ21に対応)。ユーザ管理テーブル2024−1の状態は、図12のユーザ管理テーブル2024−11となり、クライアント端末1が接続されたポート1に対応して、端末のMACアドレス410にクライアント端末1(1000)のアドレス00:10:20:30:40:50と、DHCPパケットのプロトコル種別420にDHCP DISCOVERと記憶する。
プロトコル処理部2020からクライアント端末2(1100)とDHCPサーバ1(3000)に接続している送信バッファ2022及び送信ポート2010−3と送信ポート2010−4を介して、クライアント端末2(1100)とDHCPサーバ1(3000)へDHCP DISCOVERを送信する(ステップ2111、図7:ステップ22に対応)。
クライアント端末2(1100)からは何も応答がなく、DHCPサーバ1(3000)よりユニキャストのDHCP OFFERをアドレス監視機能付きパケット転送装置1(2000)の受信ポート2010−4及び受信バッファ2021を介して受信する。DHCP OFFERを受信すると、アドレス監視機能付きパケット転送装置1(2000)内にあるユーザ管理テーブル2024−1へ、ポート1に対応してDHCPパケットのプロトコル種別(DHCP OFFER)を記憶する(ステップ2112、図7:ステップ24に対応)。ユーザ管理テーブル2024−1の状態は図12のユーザ管理テーブル2024−12となり、ポート1に対応して、DHCPパケットのプロトコル種別420にDHCP OFFERと記憶する。
プロトコル処理部2020からクライアント端末1(1000)に接続している送信バッファ2022及び送信ポート2010−1を介してクライアント端末1(1000)へDHCP OFFERを送信する(ステップ2113、図7:ステップ25に対応)。
そのDHCP OFFERにクライアント端末1(1000)からの応答がある場合、アドレス監視機能付きパケット転送装置1(2000)は、受信ポート2010−1/受信バッファ2021を介してブロードキャストのDHCP REQUESTを受信する。DHCP REQUESTを受信すると、アドレス監視機能付きパケット転送装置1(2000)内にあるユーザ管理テーブル2024−1へDHCPパケットのプロトコル種別を記憶する(ステップ2214、図7:ステップ27に対応)。ユーザ管理テーブル2024−1の状態は、図12のユーザ管理テーブル2024−13となり、ポート1に対応してDHCPパケットのプロトコル種別420にDHCP REQUESTと記憶する(ステップ2214、図7:ステップ27に対応)。
プロトコル処理部2020からクライアント端末2(1100)とDHCPサーバ1(3000)に接続している送信バッファ2022及び送信ポート2010−3と送信ポート2010−4を介して、クライアント端末2(1100)とDHCPサーバ1(3000)へDHCP REQUESTを送信する(ステップ2115、図7:ステップ28に対応)。
クライアント端末2(1100)からは何も応答がなく、DHCPサーバ1(3000)よりユニキャストのDHCP ACKをアドレス監視機能付きパケット転送装置1(2000)の受信ポート2010−4及び受信バッファ2021を介して受信する。DHCP ACKを受信すると、アドレス監視機能付きパケット転送装置1(2000)内にあるユーザ管理テーブル2024−1へクライアント端末1(1000)へ割り当てるIPアドレスとDHCPパケットのプロトコル種別を記憶する(ステップ2116、図7:ステップ30に対応)。割り当てるIPアドレスは、DHCP ACKに含まれるアドレスを用いることができる。ユーザ管理テーブル2024−1の状態は、図12のユーザ管理テーブル2024−14となり、DHCPパケットのプロトコル種別420にDHCP REQUESTとIPアドレス430に192.168.0.1とをポート1に対応して記憶する。
ここで、アドレス監視機能付きパケット転送装置1(2000)は、二つのARP解決方法のモードを持っている。一つは、アドレス監視機能付きパケット転送装置1(2000)がDHCPサーバ1(3000)からDHCP ACKを受信するとそのままクライアント端末1(1000)にDHCP ACKを送信し、配布されたDHCPの割り当てによるIPアドレス(192.168.0.1)が重複していないかを確認するために、クライアント端末1(1000)からARP解決を図る方法である。もう一つの方法として、DHCPサーバ1(3000)からDHCP ACKを受信するとアドレス監視機能付きパケット転送装置1(2000)が収容しているクライアント端末1(1000)とクライアント端末2(1100)に対してARP解決を図る方法である。
図7のシーケンスでは、前者のクライアント端末1(1000)によるARP解決について説明する。なお、後者については後述する。上述の二つの方法のいずれをとるかは、例えば、フラグにより予め設定されることができ、アドレス監視機能付きパケット転送装置1(2000)はフラグに基づきARPパケットを送信するか判断してもよい(ステップ2117)。クライアント端末1(1000)によるARP解決では(ステップ2117:NO)、記憶後、プロトコル処理部2020からクライアント端末1(1000)に接続している送信バッファ2022及び送信ポート2010−1を介してクライアント端末1(1000)へDHCP ACKを送信する(図10:ステップ2118、図7:ステップ31に対応)。DHCP ACKを受信したクライアント端末1(1000)はブロードキャストでARP REQUESTを送信する。
アドレス監視機能付きパケット転送装置1(2000)は、受信ポート2010−1及び受信バッファ2021を介してARP REQUESTを受信する。ARP REQUESTを受信すると、アドレス監視機能付きパケット転送装置1(2000)内にあるユーザ管理テーブル2024−1へARPパケットのプロトコル種別を記憶する。ユーザ管理テーブル2024−1の状態は図13のユーザ管理テーブル2024−15となり、ARP REQUESTを送信する。ポート3(及び4)に対応して、ARPパケットのプロトコル種別440にARP REQUESTと記憶する(ステップ2119、図7:ステップ33に対応)。
記憶後、プロトコル処理部2020からクライアント端末2(1100)とDHCPサーバ1(3000)に接続している送信バッファ2022及び送信ポート2010−3と送信ポート2010−4を介して、クライアント端末2(1100)とDHCPサーバ1(3000)へARP REQUESTを送信する(ステップ2120、図7:ステップ34に対応)。
クライアント端末2(1100)がIPアドレス(192.168.0.1)を使用しているとIPアドレスが重複しているので、アドレス監視機能付きパケット転送装置1(2000)は、該当端末からARP ACKを受信ポート2010−3/受信バッファ2021を介して受信する。
仮にクライアント端末2(1100)がIPアドレス(192.168.0.1)ではないアドレスを持っていればアドレス監視機能付きパケット転送装置1(2000)はARP ACKを受信しないので(ステップ2121)、クライアント端末1は、割り当てたIPアドレス(192.168.0.1)を利用できる(ステップ2122)。
ここではクライアント端末2(1100)がIPアドレス(192.168.0.1)を持っていることと仮定しているので、ユニキャストのARP ACKを受信する。ARP ACKを受信すると(ステップ2121)、アドレス監視機能付きパケット転送装置1(2000)内にあるユーザ管理テーブル2024−1へ、ARPパケットのプロトコル種別(ARP ACK)とクライアント端末2のMACアドレス(00:20:30:40:50:60)とIPアドレス430に192.168.0.1とを記憶する。ユーザ管理テーブル2024−1の状態は図13のユーザ管理テーブル2024−16となり、ポート3に対応して、クライアント端末1(1000)に割り当てるIPアドレス430に192.168.0.1と、ARPパケットのプロトコル種別440にARP ACKと記憶する(ステップ2123、図7:ステップ38に対応)。
記憶後のテーブルでは、上述のユーザ管理テーブル2024−1において、DHCP ACKによるIPアドレス(192.168.0.1)とARP ACKによるIPアドレス(192.168.0.1)が一致する(ステップ2124)。
一致すると、ユーザ管理テーブル2024−1の状態は図13のユーザ管理テーブル2024−17となり、フィルタ判定460がONとすることによって、ARP ACKの応答があったポート3(クライアント端末2が接続している)に対して、MACアドレス(00:20:30:40:50:60)及びIPアドレス(192.168.0.1)のフィルタリングを実施する(ステップ2125、図7:ステップ39に対応)。これにより、不正IPアドレス使用端末のクライアント端末2(1100)は通信ができなくなる。
また、ARP ACKを受信すると自動的に制御通信パケットを用いて、IPアドレス(192.168.0.1)が重複しているクライアント端末2(1100)のポート番号3とMACアドレス(00:20:30:40:50:60)とIPアドレスの情報(192.168.0.1)を、他のアドレス監視機能付きパケット転送装置又はクライアント端末に対して送信する(ステップ2126、図7:ステップ40に対応)。
以上の結果、クライアント端末2(1100)はIPアドレス(192.168.0.1)を使用できないことから、タイマー機能により時間が経過すると、クライント端末1(1000)は割り当てられたIPアドレス(192.168.0.1)を利用することができるので通信可能となる。
2.第2の実施の形態
次に、本発明の第2の実施形態について説明する。通信システム全体の構成、パケット転送装置の構成については上述と同様であるので、その説明を省略する。
図14は、第2の実施形態における通信網1の動作を示すシーケンス図である。図7の第1の実施形態によるステップ20〜30のところまでは同じであるので、ステップ20〜30までの説明は省略する。
図15に、本実施の形態でのユーザ管理テーブル2024−1の状態を示す。なお、図7のステップ20〜30までのユーザ管理テーブル2024−1の状態(図12の2024−11〜14)の説明も省略する。
アドレス監視機能付きパケット転送装置1(2000)は、DHCP ACKを受信すると(ステップ30)、アドレス監視機能付きパケット転送装置1(2000)内にあるDHCP ACKパケット格納メモリ2027−1へ、DHCP ACKメッセージを記憶(ステップ50)する。
アドレス監視機能付きパケット転送装置1(2000)内のプロトコル処理部2020から、クライアント端末1(1000)とクライアント端末2(1100)に接続している送信バッファ2022及び送信ポート2010−1と2010−3を介して、クライアント端末1(1000)とクライアント端末2(1100)へARP REQUESTを送信する(ステップ51)。ここで、ARP REQUESTには、受信されたDHCP ACK又はDHCP REQUESTに含まれるIPアドレス(例えば、192.168.0.1)が含まれる。
ARP REQUESTに対して、クライアント端末1(1100)からは何も応答がない。クライアント端末2(1100)において、クライアント端末2(1100)のIPアドレス(192.168.0.1)とARP REQUESTパケット中のIPアドレス(192.168.0.1)を比較する(ステップ52)。一致しなければ、IPアドレスの重複がないので、クライアント端末1はDHCPサーバ1(3000)より提案されたIPアドレスが使用できる(ステップ53)。ここでは、DHCPサーバ1(3000)より提案されたIPアドレス(192.168.0.1)とクライアント端末2(1100)のIPアドレス(192.168.0.1)が重複していると仮定しているので、クライアント端末2(1100)からARP ACKを、ブロードキャストで送信(ステップ54)する。例えば、ARP REQUESTの送信元であるパケット転送装置1(2000)と他のクライアント端末に対して配信される。
アドレス監視機能付きパケット転送装置1(2000)は、ブロードキャストであるARP ACKをポート3を介して受信すると、接続してある他のクライアント端末にブロードキャストで送信しないで、装置内に備える受信ポート2010−3と受信バッファ2021を介してARP ACKをプロトコル処理部2020に転送する。また、ポート3に対応してパケットのプロトコル種別(ここではARP ACK)とIPアドレス(192.168.0.1)とMACアドレス(00:20:30:40:50:60)をARP管理ルーチン2026−2によりユーザ管理テーブル2024−1に記憶(図15のユーザ管理テーブル2024−20)する(ステップ55)。
DHCPサーバ1(3000)から割り振られたIPアドレス(192.168.0.1)とARP ACKによるIPアドレス(192.168.0.1)と一致するので、ユーザ管理テーブル2024−1(図15のユーザ管理テーブル2024−20)よりARP ACKの応答があったポート3(クライアント端末2が接続しているポート)に対して、MACアドレス(00:20:30:40:50:60)及びIPアドレス(192.168.0.1)のフィルタリングを実施する(ステップ56)。例えば、ポート3に対応するフィルタ判定460をONにする。この状態で、不正IPアドレス使用のクライアント端末2(1100)はIPアドレス(192.168.0.1)で通信ができなくなる。
ARP ACKを受信すると、アドレス監視機能付きパケット転送装置1(2000)は、制御通信パケット(ステップ57)を送信する。この制御通信パケットをクライアント端末がこのパケットを受信しても何ら問題はない。よって通信網1におけるクライアント端末1(1000)はこの制御通信パケットを受信しても破棄(ステップ58)する。なお、本実施の形態においては、ステップ57、58は省略できる。
アドレス監視機能付きパケット転送装置1(2000)内にあるDHCP ACKパケット格納メモリ2027からDHCP ACKパケットを読み出して、プロトコル処理部2020から、クライアント端末1(1000)に接続している送信バッファ2022及び送信ポート2010−1を介して、クライアント端末1(1000)へDHCP ACKを送信する(ステップ59)。
DHCP ACKによってクライアント端末1(1000)にIPアドレス(192.168.0.1)を割り当てる。
以上の結果、クライアント端末2(1100)はIPアドレス(192.168.0.1)を使用できないことから、タイマー機能により時間が経過すると、クライント端末1(1000)はIPアドレス(192.168.0.1)を利用することができるので通信可能となる(ステップ60)。
次に、第2の実施の形態におけるアドレス監視機能付きパケット転送装置1(2000)のプロトコル処理部2020に備えるプロセッサ2023の処理を示すフローチャートを図9、11を用いて説明する。ステップ2110〜2117までは、第1の実施の形態と同様なので説明を省略する。
本実施の形態では、アドレス監視機能付きパケット転送装置1(2000)によるARP解決を図る。図9のステップ2117では、「ARPパケットを送信する」ことが予め設定されておくことで、図中Bのフローに移る。アドレス監視機能付きパケット転送装置1(2000)がDHCP ACKを受信すると、アドレス監視機能付きパケット転送装置1(2000)内にあるDHCP ACKパケット格納メモリ2027−1へDHCP ACKパケットを格納する(図11:ステップ2130、図14:ステップ50に対応)。
プロトコル処理部2020は、クライアント端末1(1000)とクライアント端末2(1100)に接続している送信バッファ2022及び送信ポート2010−1と送信ポート2010−3を介して、クライアント端末1(1000)とクライアント端末2(1100)へARP REQUESTを送信する(ステップ2131、図14:ステップ51に対応)。
仮にクライアント端末2(1100)がIPアドレス(192.168.0.1)ではないアドレスを持っていればアドレス監視機能付きパケット転送装置1(2000)はARP ACKを受信しない(ステップ2132)。プロトコル処理部2020は、一時的に格納していたDHCP ACKを、DHCP ACKパケットメモリ2027−1より読み出して(ステップ2133)、DHCP ACKをクライアント端末1(1000)へ送信する(ステップ2134)。この結果、クライアント端末1は、DHCP ACKより割り当てたIPアドレス(192.168.0.1)を利用できる(ステップ2135)。
ここでは、クライアント端末2(1100)がIPアドレス(192.168.0.1)を持っていることと仮定しているので、ユニキャストのARP ACKを受信する。具体的には、クライアント端末2(1100)は、IPアドレス(192.168.0.1)を使用しているとIPアドレスが重複しているので、アドレス監視機能付きパケット転送装置1(2000)は、受信ポート2010−3/受信バッファ2021を介して、該当端末からARP ACKを受信する(ステップ2132)。
ARP ACKを受信すると、アドレス監視機能付きパケット転送装置1(2000)内にあるユーザ管理テーブル2024−1へ、ARPパケットのプロトコル種別と、ARP ACKの送信元であるクライアント端末2のMACアドレス(00:20:30:40:50:60)を記憶する。ユーザ管理テーブル2024−1の状態は図15のユーザ管理テーブル2024−20となり、ポート3に対応してクライアント端末1(1000)に割り当てるIPアドレス430に192.168.0.1と、ARPパケットのプロトコル種別440にARP ACKと記憶する(ステップ2136)。上述のユーザ管理テーブル2024−1より、DHCP ACKによるIPアドレス(192.168.0.1)とARP ACKによるIPアドレス(192.168.0.1)が一致する(ステップ2137)。
ユーザ管理テーブル2024−1の状態は図15のユーザ管理テーブル2024−21となりフィルタ判定460をONとすることによって、ARP ACKの応答があったポート3(クライアント端末2が接続しているポート)に対して、MACアドレス(00:20:30:40:50:60)及びIPアドレス(192.168.0.1)のフィルタリングを実施する(ステップ2138)。これにより不正IPアドレス使用端末のクライアント端末2(1100)は通信ができなくなる。
また、ARP ACKを受信すると、自動的に制御通信パケットを用いてIPアドレス(192.168.0.1)が重複しているクライアント端末2(1100)のポート番号3とMACアドレス(00:20:30:40:50:60)とIPアドレスの情報(192.168.0.1)を、他のアドレス監視機能付きパケット転送装置又はクライアント端末に対して送信する(ステップ2139)。また、プロトコル処理部2020は、一時的に記憶していたDHCP ACKをDHCP ACKパケットメモリ2027−1より読み出して(ステップ2140)、DHCP ACKをクライアント端末1(1000)へ送信する(ステップ2141)。
以上の結果、クライアント端末2(1100)は、IPアドレス(192.168.0.1)を使用できないことから、DHCP ACKによりクライント端末1(1000)は割り当てられたIPアドレス(192.168.0.1)を利用することができるので通信可能となる。
3.第3の実施の形態
本実施の形態では、図1の通信網2に示すアドレス監視機能付きパケット転送装置が複数台で構成されているネットワークについて説明をする。通信システム全体の構成、パケット転送装置の構成については上述と同様であるので、その説明を省略する。なお、通信網1は省略してもよい。
図1の例では、通信網2は、アドレス監視機能付きパケット転送装置が5台構成のネットワークの例である。例えば、アドレス監視機能付きパケット転送装置3(第2のパケット転送装置)(2200)のポート1にDHCPサーバ2(3100)と、ポート2にアドレス監視機能付きパケット転送装置2(第1のパケット転送装置)(2100)と、ポート3にルータ4000と、ポート4にアドレス監視機能付きパケット転送装置4(2300)が接続している。また例えば、アドレス監視機能付きパケット転送装置2(2100)のポート1にアドレス監視機能付きパケット転送装置3(2200)と、ポート3にクライアント端末3(第1の端末)(1200)が接続している。アドレス監視機能付きパケット転送装置4(2300)のポート1にアドレス監視機能付きパケット転送装置3(2200)と、ポート2にアドレス監視機能付きパケット転送装置5(2400)と、ポート4にアドレス監視機能付きパケット転送装置6(2500)が接続されている。アドレス監視機能付きパケット転送装置5(2400)のポート1にクライアント端末4(第2の端末)(1300)が接続している。アドレス監視機能付きパケット転送装置6(2500)のポート1にアドレス監視機能付きパケット転送装置4(2300)が接続している。なお、各装置、端末は適宜のポートに接続されることができる。また、パケット転送装置4〜6を省略し、パケット転送装置3(2200)のポート4にクライアント端末4(1300)が接続されてもよい。
クライアント端末3(1200)は、DHCPサーバ2(3100)からIPアドレスの割り当てを期待している端末であり、MACアドレス(00:30:40:50:60:70)のみ付与されている。一方、クライアント端末4(1300)はMACアドレス(00:40:50:60:70:80)の他、静的にIPアドレス(192.168.1.1)が既に振られているクライアント端末であり、不正IPアドレス使用端末と仮定する。
図16〜19に、第3の実施の形態のシーケンス図を示す。本実施の形態におけるプロトコル処理部2020に備えるプロセッサ2023の処理を示すフローチャートと、ユーザ管理テーブル2024−1の状態は、個々のアドレス監視機能付きパケット転送装置が行うものと変わらないので、上述の第1及び第2の実施の形態と同様であるので、その説明を省略する。
クライアント端末3(1200)からIPアドレスの割り当て要求であるDHCP DISCOVERを、DHCPサーバ2(3100)へ向けてブロードキャストで送信する(ステップ100、ステップ101)。DHCP DISCOVERを受信したアドレス監視機能付きパケット転送装置2(2100)は、装置内に備える受信ポート2010−3と受信バッファ2021を介して、DHCP DISCOVERをプロトコル処理部2020に転送する。また、パケットのプロトコル種別(ここではDHCP DISCOVER)とクライアント端末3(1200)のMACアドレス(00:30:40:50:60:70)を、DHCP管理ルーチン2026−1によりユーザ管理テーブル2024−1に記憶する(ステップ102)。
プロトコル処理部2020は、アドレス監視機能付きパケット転送装置3(2200)に接続している送信バッファ2022及び送信ポート2010−1を介して、アドレス監視機能付きパケット転送装置3(2200)へDHCP DISCOVERを送信する(ステップ103)。
アドレス監視機能付きパケット転送装置2(2100)〜アドレス監視機能付きパケット転送装置5(2400)においても、ステップ101〜103と同様の処理(ステップ102〜110)を行うので詳細な説明は省略する。
ステップ111では、DHCPサーバ2(3100)は、DHCP DISCOVERの問い合わせ(105)に対して、クライアント端末3(1200)に向けてユニキャストでDHCP OFFERを送信する(ステップ111)。アドレス監視機能付きパケット転送装置3(2200)は、DHCP OFFERをアドレス監視機能付きパケット転送装置2(2100)へ送信する。また、装置内に備える受信ポート2010−1と受信バッファ2021を介してDHCP OFFERをプロトコル処理部2020に転送して、パケットのプロトコル種別(ここではDHCP OFFER)をDHCP管理ルーチン2026−1によりユーザ管理テーブル2024−1に記憶する(ステップ112)。アドレス監視機能付きパケット転送装置2(2100)においてもアドレス監視機能付きパケット転送装置3と同様の処理(ステップ113)を行うので詳細な説明は省略する。
次に、DHCP OFFERを受信したクライアント端末3(1200)は、DHCP OFFERの応答として、DHCP REQUESTをブロードキャストで送信(ステップ114)する。DHCP REQUESTを受信したアドレス監視機能付きパケット転送装置2(2100)は、装置内に備える受信ポート2010−3と受信バッファ2021を介して、DHCP REQUESTをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではDHCP REQUEST)をDHCP管理ルーチン2026−1によりユーザ管理テーブル2024−1に記憶する。また、プロトコル処理部2020からアドレス監視機能付きパケット転送装置3(2200)に接続している送信バッファ2022及び送信ポート2010−1を介して、アドレス監視機能付きパケット転送装置3(2200)へDHCP REQUESTを送信する(ステップ116)。
アドレス監視機能付きパケット転送装置2(2100)〜アドレス監視機能付きパケット転送装置5(2400)においてもステップ115と同様の処理(ステップ116〜125)を行うので、詳細な説明は省略する。
ステップ126では、DHCPサーバ2(3100)は、DHCP REQUESTの問い合わせ(ステップ120)に対して、クライアント端末3(1200)に向けてユニキャストでDHCP ACKを送信する(ステップ126、127)。DHCP ACKを受信したアドレス監視機能付きパケット転送装置3(2200)は、DHCP ACKパケット格納メモリ2027−1へDHCP ACKパケットを一時的に格納する(ステップ128)する。アドレス監視機能付きパケット転送装置3(2200)は、装置内に備える受信ポート2010−1と受信バッファ2021を介して、DHCP ACKをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではDHCP ACK)と割り当てIPアドレス(192.168.1.1)をDHCP管理ルーチン2026−1によりユーザ管理テーブル2024−1に記憶する(ステップ129)。
アドレス監視機能付きパケット転送装置3(2200)は、送信バッファ2022と送信ポート2010−2と送信ポート2010−3を介して、ARP REQUESTを、配下にあるアドレス監視機能付きパケット転送装置2(2100)〜アドレス監視機能付きパケット転送装置6(2500)及びクライアント端末3(1200)、クライアント端末4(1300)へ送信する(ステップ130)。各アドレス監視機能付きパケット転送装置は、ARP REQUESTを受信し、DHCPパケットのプロトコル種別(ARP REQUEST)をユーザ管理テーブル2024−1に記憶する(ステップ131〜139)。また、各パケット転送装置は、ARP REQUESTをブロードキャストで送信する。
ステップ140では、クライアント端末4(1300)がARP REQUESTを受信後、クライアント端末4(1300)のIPアドレス(192.168.1.1)とARP REQUESTパケット中のIPアドレス(192.168.1.1)を比較する(ステップ140)。一致しなければ、IPアドレスの重複がないのでDHCPサーバ2(3100)より提案されたIPアドレスが使用できる(ステップ141)。ここでは、DHCPサーバ2(3100)より提案されたIPアドレス(192.168.1.1)とクライアント端末4(1300)のIPアドレス(192.168.1.1)が重複していると仮定しているので、クライアント端末4(1300)からARP ACKを他のクライアント端末に対してブロードキャストで送信(ステップ142、143)する。
アドレス監視機能付きパケット転送装置5(2400)は、ブロードキャストであるARP ACKを受信すると、装置内に備える受信ポート2010−3と受信バッファ2021を介して、ARP ACKをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではARP ACK)とIPアドレス(192.168.1.1)とMACアドレス(00:40:50:60:70:80)をARP管理ルーチン2026−2によりユーザ管理テーブル2024−1に記憶する(ステップ144)。
DHCPサーバ2(3100)から割り振られたIPアドレス(192.168.1.1)と、ARP ACKによるIPアドレス(192.168.1.1)とが一致するので、ユーザ管理テーブル2024−1よりARP ACKの応答があったポート1(クライアント端末4が接続している)に対して、MACアドレス(00:40:50:60:70:80)及びIPアドレス(192.168.1.1)のフィルタリングを実施する(ステップ145)。例えば、ユーザ管理テーブル2024−1のポート1に対応するフィルタ判定フラグをONにすることによりフィルタリングが実施される。また、ARP ACKをブロードキャストで送信する。
アドレス監視機能付きパケット転送装置4(2300)〜アドレス監視機能付きパケット転送装置3(2200)においても同様の処理(ステップ146〜151)を行うので詳細な説明は省略する。
ARP ACKを受信したアドレス監視機能付きパケット転送装置3(2200)は、アドレス監視機能付きパケット転送装置5(2400)、アドレス監視機能付きパケット転送装置4(2300)と同様の処理(ステップ150、151)を行うと共に、配下にあるアドレス監視機能付きパケット転送装置に対してブロードキャストでARP応答を転送しないで、制御通信パケットを送信する(ステップ152、153)。制御通信パケットは、例えば、図3に示す各情報を含む。ここで、IPアドレス情報230、MACアドレス情報240、ポート情報250は、ユーザ管理テーブル2024−1において、フィルタ判定フラグがONに設定されたエントリの各情報(ここでは、クライアント端末4に関する情報)を用いることができる。なお、上述のパケット転送装置4、5は、ARP ACKを受信するとこれを転送するが、パケット転送装置3は、自らARP REQUESTを送信した装置であり、ARP ACKを受信してもこれを転送しない。
アドレス監視機能付きパケット転送装置2(2100)は、制御通信パケットを受信する。これにより、フィルタリングのポート情報が取得される。例えば、アドレス監視機能付きパケット転送装置2(2100)は、制御通信パケットに含まれるIPアドレス情報、MACアドレス情報を取得し、制御通信パケットを受信したポート(ポート1)の識別子に対応してIPアドレス情報とMACアドレス情報とをユーザ管理テーブル2024−1に記憶する。また、ユーザ管理テーブル2024−1のポート情報に対応するフィルタ判定フラグをONに設定して、MACアドレス(00:40:50:60:70:80)及びIPアドレス(192.168.1.1)に対してフィルタリングを実施する(ステップ154)。
本実施の形態では、アドレス監視機能付きパケット転送装置3(2200)からARP REQUESTを送信しているため、ARP ACKはクライアント端末4(1300)
からパケット転送装置3(2200)までしか届かない。そこで、制御通信パケットを作成して送信して、アドレス監視機能付きパケット転送装置2(2100)にもフィルタリングするための情報を伝えている。この制御通信パケットにより、アドレス監視機能付きパケット転送装置2(2100)ではIPアドレス(192.168.1.1)が重複しているクライント端末4(1300)の該当ポート(ポート1)に対してMACアドレス(00:40:50:60:70:80)のIPアドレス(192.168.1.1)の通信を遮断することができる。
さらに、アドレス監視機能付きパケット転送装置2(2100)は、受信した制御通信パケットをブロードキャストで送信する(ステップ155)。この制御通信パケットをクライアント端末が受信しても何ら問題はない。よって、通信網2におけるライアント端末3(1200)はこの制御通信パケットを受信しても破棄することができる(ステップ156)。
なお、ブロードキャストされた制御通信パケットは、アドレス監視機能付きパケット転送装置4(2300)、アドレス監視機能付きパケット転送装置5(2400)においても受信され、転送される(ステップ159〜162)。各パケット転送装置4(2300)、5(2400)は、上述のステップ154、155と同様の処理が実行してもよいし、上述の通りARP ACKの受信によりフィルタリングを実施しているので制御通信パケットを無視してもよい。また、クライアント端末4(1300)においても、上述のステップ156と同様、制御通信パケットを受信しても破棄することができる(ステップ163)。
送信後、アドレス監視機能付きパケット転送装置3(2200)内にあるDHCP ACKパケット格納メモリ2027−1からDHCP ACKメッセージを読み出して(ステップ164)、プロトコル処理部2020からクライアント端末3(1200)に向けて、IPアドレス(192.168.1.1)を割り当てるためにDHCP ACKをアドレス監視機能付きパケット転送装置2(2100)へ送信する(ステップ165)。
DHCP ACKを受信したアドレス監視機能付きパケット転送装置2(2100)は装置内に備える受信ポート2010−3と受信バッファ2021を介して、DHCP REQUESTをプロトコル処理部2020に転送すると共に、パケットのプロトコル種別(ここではDHCP ACK)をDHCP管理ルーチン2026−1によりユーザ管理テーブル2024−1に記憶する(ステップ106)。また、プロトコル処理部2020からアドレス監視機能付きパケット転送装置3(2200)に接続している送信バッファ2022及び送信ポート2010−3を介して、クライアント端末3(1200)へDHCP ACKを送信する(ステップ167)。
DHCP ACKによってクライアント端末3(1200)にIPアドレス(192.168.1.1)を割り当てる。以上の結果、クライント端末3(1200)はIPアドレス(192.168.1.1)を利用することができるので通信可能(ステップ168)となる。なお、本実施の形態では、第2の実施の形態のようにパケット転送装置が自らARP解決を図る方法を用いているが、第1の実施の形態のように、クライアント端末がARP解決を図るように変形することができる。
なお、上述の各実施の形態における装置の接続は一例であり、他の接続態様であってもよい、また、端末、サーバ、他の転送装置が接続されるポートは、適宜のポートに接続できる。
本発明は、アドレスを自動的に割当・管理する通信ネットワークに関する産業に利用可能である。
本発明の基本実施形態例を示した通信システム図である。 DHCPパケットの構成図である。 制御通信パケットの構成図である。 本発明のアドレス監視機能付きパケット転送装置の装置構成図である。 本発明のアドレス監視機能付きパケット転送装置のプロトコル処理部の構成図である。 本発明のアドレス監視機能付きパケット転送装置のユーザ管理テーブルのフォーマット図である。 第1の実施の形態におけるアドレス監視機能付きパケット転送装置の動作のシーケンス図(1)である。 第1の実施の形態におけるアドレス監視機能付きパケット転送装置の動作のシーケンス図(2)である。 本発明のアドレス監視機能付きパケット転送装置のプロトコル部の動作を示すフローチャート(1)である。 本発明のアドレス監視機能付きパケット転送装置のプロトコル部の動作を示すフローチャート(2)である。 本発明のアドレス監視機能付きパケット転送装置のプロトコル部の動作を示すフローチャート(3)である。 第1の実施の形態におけるアドレス監視機能付きパケット転送装置のユーザ管理テーブルの動作図(1)である。 第1の実施の形態におけるアドレス監視機能付きパケット転送装置のユーザ管理テーブルの動作図(2)である。 第2の実施の形態におけるアドレス監視機能付きパケット転送装置の動作のシーケス図である。 第2の実施の形態におけるアドレス監視機能付きパケット転送装置のユーザ管理テーブルの動作図である。 第3の実施の形態におけるアドレス監視機能付きパケット転送装置の動作のシーケス図(1)である。 第3の実施の形態におけるアドレス監視機能付きパケット転送装置の動作のシーケス図(2)である。 第3の実施の形態におけるアドレス監視機能付きパケット転送装置の動作のシーケス図(3)である。 第3の実施の形態におけるアドレス監視機能付きパケット転送装置の動作のシーケス図(4)である。 ARPパケットのフォーマット図。 ARP REQUEST及びAPR ACKのパケットフォーマットを示す図。
符号の説明
110: イーサネットフレーム(DHCPパケット)
120: DHCPパケットにおけるIPパケット
130: DHCPパケットにおけるUDPパケット
140: DHCPパケットにおける送信先MACアドレス
150: DHCPパケットにおける送信元MACアドレス
160: DHCPパケットにおける送信先IPアドレス
170: DHCPパケットにおける送信元IPアドレス
180: DHCPパケットのパケットデータ
200: 制御通信パケットにおけるヘッダ部
210: 制御通信パケットにおけるデータ部
220: 制御通信パケットにおけるデータリンク部
230: 制御通信パケットにおけるIPアドレス情報
240: 制御通信パケットにおけるMACアドレス情報
250: 制御通信パケットにおけるポート情報
260: 制御通信パケットにおけるその他部
400: ユーザ管理テーブルにおけるポート番号
410: ユーザ管理テーブルにおけるMACアドレス
420: ユーザ管理テーブルにおけるDHCPプロトコルパケットのメッセージ状態
430: ユーザ管理テーブルにおけるDHCPサーバから割り当て定のIPアドレス
440: ユーザ管理テーブルにおけるARPプロトコルパケットのメッセージ状態
450: ユーザ管理テーブルにおけるARPプロトコルパケットによるIPアドレス
460: ユーザ管理テーブルにおけるフィルタ判別結果
1000: クライアント端末1
1100: クライアント端末2
1200: クライアント端末3
1300: クライアント端末4
2000: アドレス監視機能付きパケット転送装置1
2010−1: ポート1
2010−2: ポート2
2010−3: ポート3
2020: プロトコル処理部
2021: 受信バッファ
2022: 送信バッファ
2023: プロトコル処理プロセッサ
2024: メモリ
2024−1: ユーザ管理テーブル
2025: プロセッサ間インタフェース
2026: プログラム格納メモリ
2026−1:DHCP管理ルーチン
2026−2:ARP管理ルーチン
2027: パケット格納メモリ
2027−1: DHCP ACKパケット格納メモリ
2030: 制御部
2100: アドレス監視機能付きパケット転送装置2
2200: アドレス監視機能付きパケット転送装置3
2300: アドレス監視機能付きパケット転送装置4
2400: アドレス監視機能付きパケット転送装置5
2500: アドレス監視機能付きパケット転送装置6
3000: DHCPサーバ1
3100: DHCPサーバ2
4000: ルータ
5000: インターネット

Claims (7)

  1. 第1及び/又は第2の端末と、端末にIPアドレスを割り当てるアドレス配布サーバとに接続され、パケットを送受信するための複数のポートと、
    前記ポートの識別子と、IPアドレスからMACアドレスを得るためのアドレス解決応答に含まれるMACアドレス及びIPアドレスと、フィルタリングの要否を示すフィルタ判定フラグとが対応して記憶される記憶部と、
    受信したパケットの転送処理及びフィルタリングを行う処理部と
    を備え、
    前記処理部は、
    前記ポートのひとつに接続された前記第1の端末からアドレス配布要求を受信すると、該アドレス配布要求を前記アドレス配布サーバに送信し、
    アドレス配布要求に従い前記アドレス配布サーバから送信される、前記第1の端末に割り当てられるIPアドレスを含むアドレス配布応答を受信し、
    受信されたアドレス配布応答を記憶し、
    IPアドレスからMACアドレスを得るための、割り当てられるIPアドレスを含むアドレス解決要求を、前記ポートに接続されている端末及び装置にブロードキャストで自ら送信し、
    アドレス解決要求内の該IPアドレスを使用する前記第2の端末又は装置から返信されるアドレス解決応答を、前記ポートのひとつを介して受信すると、該アドレス解決応答に含まれる前記第2の端末又は装置のMACアドレスとIPアドレスとを、アドレス解決応答を受信したポートの識別子に対応して前記記憶部に記憶し、及び、該ポートの識別子に対応したフィルタ判定フラグを設定し、
    前記フィルタ判定フラグを設定した後に、又は、所定時間内にアドレス解決応答を受信しなかった後に、記憶されたアドレス配布応答を読み出して前記第1の端末に送信し、
    前記記憶部のフィルタ判定フラグが設定されたポート、及び/又は、該フラグに対応するMACアドレス並びにIPアドレスに基づき、前記第2の端末又は前記装置に対してフィルタリングを実行するパケット転送装置。
  2. 前記処理部は、
    前記第1の端末から送信されるアドレス解決要求を受信して、該要求に従いアドレス解決要求をブロードキャストで送信すること、又は、
    前記アドレス配布サーバからアドレス配布応答を受信すると、自らアドレス解決要求をブロードキャストで送信すること
    のいずれかにより前記アドレス解決要求を送信する請求項1に記載のパケット転送装置。
  3. 前記記憶部は、前記ポートの識別子と、アドレス配布要求又はアドレス配布応答に含まれる前記第1の端末のMACアドレス及び前記第1の端末に割り当てられるIPアドレスとがさらに記憶され、
    前記処理部は、
    受信されたアドレス配布要求、又は、受信されたアドレス配布応答に含まれる、前記第1の端末のMACアドレスと前記第1の端末に割り当てられるIPアドレスとを、アドレス配布要求を受信したポートの識別子に対応して、前記記憶部に記憶し、
    前記記憶部に記憶された、アドレス配布要求又はアドレス配布応答についてのIPアドレスと、アドレス解決応答についてのIPアドレスが一致することにより、アドレス解決応答を受信したポートの識別子に対応したフィルタ判定フラグが設定される請求項1に記載のパケット転送装置。
  4. 前記処理部は、
    アドレス解決応答を前記ポートのひとつを介して受信すると、さらに、
    アドレス解決応答に含まれるフィルタリングを実施するためのMACアドレスとIPアドレスとを含む制御通信パケットを作成し、作成された制御通信パケットをブロードキャストで送信すること
    を含み、該制御通信パケットが送受信されることにより、通信網内の他のパケット転送装置へフィルタリングのための情報が送信される請求項1に記載のパケット転送装置。
  5. 前記処理部は、
    他のパケット転送装置から、フィルタリングを実施するためのMACアドレスとIPアドレスとを含む制御通信パケットを前記ポートのひとつを介して受信すると、該パケットを受信したポートの識別子と、受信した制御通信パケットに含まれるMACアドレス及びIPアドレスとを前記記憶部に記憶し、及び、該ポートの識別子に対応したフィルタ判定フラグを設定する請求項1に記載のパケット転送装置。
  6. アドレス配布要求に従いIPアドレスを割り当てるアドレス配布サーバと、
    請求項に記載のパケット転送装置であって、前記アドレス配布サーバにより割り当れられるIPアドレスで通信する第3の端末に接続される第1のパケット転送装置と、
    請求項に記載のパケット転送装置であって、前記アドレス配布サーバと、前記第1のパケット転送装置と、静的に割り当てられたIPアドレスを有する第4の端末とのそれぞれに接続される第2のパケット転送装置と
    を備え、
    前記第4の端末からアドレス解決応答を受信した前記第2の転送装置が、前記第1のパケット転送装置に制御通信パケットを送信することにより、フィルタリングのための情報が前記第1のパケット転送装置に送信される通信網。
  7. 請求項1乃至のいずれかに記載のパケット転送装置であって、前記第4の端末と、前記第2の転送装置との間に接続される、ひとつ又は複数の第3の転送装置
    をさらに備え、
    前記第3の転送装置は、前記第4の端末からアドレス解決応答を受信すると、前記第2の転送装置へアドレス解決応答を転送すること含む請求項に記載の通信網。
JP2005212938A 2005-07-22 2005-07-22 パケット転送装置、通信網及びパケット転送方法 Expired - Fee Related JP4664143B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005212938A JP4664143B2 (ja) 2005-07-22 2005-07-22 パケット転送装置、通信網及びパケット転送方法
US11/477,450 US20070022211A1 (en) 2005-07-22 2006-06-30 Packet transfer system, communication network, and packet transfer method
CNB2006101078263A CN100527711C (zh) 2005-07-22 2006-07-24 包传输装置、通信网和数据包传输方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005212938A JP4664143B2 (ja) 2005-07-22 2005-07-22 パケット転送装置、通信網及びパケット転送方法

Publications (2)

Publication Number Publication Date
JP2007036374A JP2007036374A (ja) 2007-02-08
JP4664143B2 true JP4664143B2 (ja) 2011-04-06

Family

ID=37657256

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005212938A Expired - Fee Related JP4664143B2 (ja) 2005-07-22 2005-07-22 パケット転送装置、通信網及びパケット転送方法

Country Status (3)

Country Link
US (1) US20070022211A1 (ja)
JP (1) JP4664143B2 (ja)
CN (1) CN100527711C (ja)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100854087B1 (ko) * 2006-08-21 2008-08-25 삼성전자주식회사 원격 관리장치 및 그 주소 설정방법
US8681779B2 (en) * 2006-09-01 2014-03-25 Alcatel Lucent Triple play subscriber and policy management system and method of providing same
CN100563149C (zh) * 2007-04-25 2009-11-25 华为技术有限公司 一种dhcp监听方法及其装置
US8495224B2 (en) * 2007-06-29 2013-07-23 Apple Inc. Network management
CN101459659B (zh) * 2007-12-11 2011-10-05 华为技术有限公司 一种地址解析协议报文处理方法及通讯系统以及网元
US7814182B2 (en) * 2008-03-20 2010-10-12 International Business Machines Corporation Ethernet virtualization using automatic self-configuration of logic
US8953601B2 (en) * 2008-05-13 2015-02-10 Futurewei Technologies, Inc. Internet protocol version six (IPv6) addressing and packet filtering in broadband networks
CN101572712B (zh) * 2009-06-09 2012-06-27 杭州华三通信技术有限公司 一种防止伪造报文攻击的方法和中继设备
JP5669079B2 (ja) * 2009-11-16 2015-02-12 パナソニック株式会社 Id管理システム
JP5633436B2 (ja) * 2011-03-11 2014-12-03 富士通株式会社 ルータ装置
CN102761499B (zh) * 2011-04-26 2015-02-04 国基电子(上海)有限公司 网关及其避免受攻击的方法
CN102710439B (zh) * 2012-05-29 2014-07-16 南京邮电大学 一种用户终端参数信息的获取方法
US9019967B2 (en) * 2012-07-30 2015-04-28 Dell Products L.P. VLAN advertisement and automated configuration
US9444713B1 (en) * 2012-11-15 2016-09-13 Qlogic, Corporation Cut-through routing for network devices
US10009314B2 (en) 2013-09-12 2018-06-26 Mitsubishi Electric Corporation IP address distribution system, switch apparatus, and IP address distribution method
US9634948B2 (en) 2013-11-07 2017-04-25 International Business Machines Corporation Management of addresses in virtual machines
CN105338125B (zh) * 2014-06-25 2019-11-05 华为技术有限公司 报文处理方法及装置
CN105635067B (zh) * 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置
JP2016158011A (ja) * 2015-02-23 2016-09-01 ルネサスエレクトロニクス株式会社 配信制御装置、データ配信システム、配信制御方法及びプログラム
US10171301B2 (en) * 2015-07-27 2019-01-01 International Business Machines Corporation Identifying hardcoded IP addresses
US10200342B2 (en) 2015-07-31 2019-02-05 Nicira, Inc. Dynamic configurations based on the dynamic host configuration protocol
DE102016001925A1 (de) 2016-02-18 2017-08-24 Innoroute Gmbh Verfahren zur Optimierung von IP-Verkehr über 802.3 Ethernetverbindungen
DE102016001869A1 (de) 2016-02-18 2017-08-24 Innoroute Gmbh Verfahren zur Optimierung der Wegfindung von IPv6 Verkehr (IPway)
JP6793056B2 (ja) 2017-02-15 2020-12-02 アラクサラネットワークス株式会社 通信装置及びシステム及び方法
US10819568B2 (en) * 2017-06-26 2020-10-27 Commscope Technologies Llc System and method for configuring the ethernet network and RF connections for links between nodes of a distributed antenna system
CN107241461B (zh) * 2017-07-14 2019-09-13 迈普通信技术股份有限公司 Mac地址获取方法、网关设备、网络认证设备及网络系统
US11140180B2 (en) * 2018-03-23 2021-10-05 International Business Machines Corporation Guard system for automatic network flow controls for internet of things (IoT) devices
JP2020017809A (ja) 2018-07-24 2020-01-30 アラクサラネットワークス株式会社 通信装置及び通信システム
US20210176125A1 (en) * 2019-12-10 2021-06-10 James Kyriannis Programmable switching device for network infrastructures
CN112261173A (zh) * 2020-10-20 2021-01-22 四川天邑康和通信股份有限公司 一种涉及融合网关的dhcp服务器分配地址冲突检测方法
CN112383559B (zh) * 2020-11-25 2023-04-25 杭州迪普信息技术有限公司 地址解析协议攻击的防护方法及装置
KR20220133716A (ko) * 2021-03-25 2022-10-05 삼성전자주식회사 가상 기업망을 구성하기 위한 장치 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) * 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
JP2004104355A (ja) * 2002-09-06 2004-04-02 Furukawa Electric Co Ltd:The ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5905859A (en) * 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
US7096273B1 (en) * 2001-04-25 2006-08-22 Cisco Technology, Inc. DHCP over mobile IP
US7200649B1 (en) * 2001-09-27 2007-04-03 Rockwell Automation Technologies, Inc. Adaptive method for duplicative IP address detection
US7234163B1 (en) * 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
EP1718032B1 (en) * 2005-04-25 2008-09-10 Alcatel Lucent Detection of duplicated network addresses by a proxy

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) * 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
JP2004104355A (ja) * 2002-09-06 2004-04-02 Furukawa Electric Co Ltd:The ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム

Also Published As

Publication number Publication date
JP2007036374A (ja) 2007-02-08
CN100527711C (zh) 2009-08-12
US20070022211A1 (en) 2007-01-25
CN1901511A (zh) 2007-01-24

Similar Documents

Publication Publication Date Title
JP4664143B2 (ja) パケット転送装置、通信網及びパケット転送方法
US7046666B1 (en) Method and apparatus for communicating between divergent networks using media access control communications
JP4886788B2 (ja) 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
US20080028071A1 (en) Communication load reducing method and computer system
EP2362587B1 (en) Method and apparatus for realizing ARP request broadcasting limitation
CN107547510B (zh) 一种邻居发现协议安全表项处理方法和装置
KR20090064431A (ko) 라우트 정보를 관리하고 액세스 디바이스에서 데이터를 재전송하기 위한 방법 및 디바이스
KR100807933B1 (ko) 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
JP2005073230A (ja) ネットワーク用スイッチ装置及び経路管理サーバ、ネットワークインタフェース装置、及びそれらの制御方法、及び、経路管理サーバ用コンピュータプログラム及びコンピュータ可読記憶媒体
WO2013053266A1 (zh) 一种报文的学习方法、装置和系统
KR101358775B1 (ko) 사용자 액세스 방법, 시스템, 및 액세스 서버, 액세스 장치
TWI315139B (ja)
JP2008504776A (ja) 動的デバイスアドレス管理のための方法およびシステム
JP3812285B2 (ja) ネットワークシステム及びネットワーク機器
JP2001326696A (ja) アクセス制御方法
JP4895793B2 (ja) ネットワーク監視装置及びネットワーク監視方法
US20130254425A1 (en) Dns forwarder for multi-core platforms
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
US20110235641A1 (en) Communication apparatus, method of controlling the communication apparatus,and program
JP3892235B2 (ja) アドレス自動割り当て方法
WO2014132774A1 (ja) ノード情報検出装置、ノード情報検出方法、及びプログラム
JP2005072701A (ja) インタフェース提供装置
JP2011004135A (ja) ネットワーク監視システムおよびネットワーク監視サーバならびにネットワーク監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080415

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20100121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100817

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101013

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101221

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110106

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140114

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees