加入者回線収容装置およびパケットフィルタリング方法
【課題】加入者回線に接続された通信端末に対して送出されるパケットを効率的にフィルタリングすることが可能な加入者回線収容装置およびパケットフィルタリング方法を得る。
【解決手段】加入者回線収容装置102内のDHCP処理部168は、加入者回線収容装置に加入者回線を介して接続された通信端末がIPアドレスの割り当てを要求したときに得られたアドレス情報を基にして動的出力管理テーブル171を作成している。アップリンク回線130等を経て加入者回線収容装置102に到来したすべてのパケットは動的出力フィルタ部167でパケットの種類に応じてIPアドレス等と照合されるフィルタリング処理が行われ、これを通過したパケットが更に静的出力フィルタ部166でフィルタリングされて、インターフェイス回路部161を介して図示しないユーザ端末に送出される。
【解決手段】加入者回線収容装置102内のDHCP処理部168は、加入者回線収容装置に加入者回線を介して接続された通信端末がIPアドレスの割り当てを要求したときに得られたアドレス情報を基にして動的出力管理テーブル171を作成している。アップリンク回線130等を経て加入者回線収容装置102に到来したすべてのパケットは動的出力フィルタ部167でパケットの種類に応じてIPアドレス等と照合されるフィルタリング処理が行われ、これを通過したパケットが更に静的出力フィルタ部166でフィルタリングされて、インターフェイス回路部161を介して図示しないユーザ端末に送出される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パケットを加入者回線終端装置に終端された加入者回線に接続された通信端末に送出する際に使用する加入者回線収容装置およびパケットの送出の際のパケットフィルタリング方法に関する。
【背景技術】
【0002】
電話回線や光ケーブル等の伝送路を介してそれぞれのユーザ端末がインターネット等の通信ネットワークに接続する際にDHCP(Dynamic Host Configuration Protocol)を使用するサービス形態が広く採用されるようになってきている。ここでDHCPとは、再利用可能なIP(Internet Protocol)アドレスの動的割り当てを行うプロトコルをいう。
【0003】
ところが、DHCPを用いた通信ネットワークでは、第三者がIPアドレスやMAC(Media Access Control)アドレスを詐称して、他人の通信を妨害したり、他人に成りすますことができるという問題がある。
【0004】
たとえば、DHCPを用いた通信ネットワークを構成する加入者回線終端装置のブリッジフォワーダでフラッディングの対象となるパケットを受信したような場合には、同一ネットワーク上に存在するすべてのノードにこれらのパケットが送信される。このため、本来通信の対象とならないユーザ端末にまで不要なパケットが送信されてトラフィックが増大する。
【0005】
しかも、DHCPを用いた通信ネットワークではユーザ端末に動的にIPアドレスが割り当てられるため、静的なフィルタをあらかじめ登録しておいて不要なパケットを排除することができない。
【0006】
そこで、加入者回線収容装置に収容された回線に接続したユーザ端末のすべてのMACアドレスを登録しておき、これらのMACアドレスのいずれとも異なる通信端末がネットワークにアクセスしようとしたときには、これを拒否するようにすることでセキュリティを向上するが提案されている(たとえば特許文献1参照)。
【0007】
この第1の提案によれば、IPアドレスを詐称することで、第三者が他人の通信を妨害したり、他人に成りすますことができるという問題が残る。
【0008】
このような問題を解消するために、IPパケットを使用して第三者が不正に通信ネットワークへのアクセスを要求してきたような場合に、これを拒否することのできる加入者回線収容装置が提案されている(たとえば非特許文献1参照)。
【0009】
この第2の提案では、IPパケットがDHCPサーバに到来してIPアドレスの取得が要求されたとき、これに対してIPアドレスを発行すると共に、発行するIPアドレスとIPアドレスの取得の要求があった加入者回線の識別番号および要求した通信端末のMACアドレスの組をフィルタ条件登録手段に登録しておく。そして、パケットが到来したときにはフィルタ条件登録手段に登録されたIPアドレスと識別番号およびMACアドレスの組と一致するパケットのみにパケット通信を許可するようにしている。これにより、IPアドレス等のアドレス情報が一致しても加入者回線の識別番号が一致しないパケットについては通信を許可しないので、不正アクセスを効果的に防止することができる。
【特許文献1】特開2002−204246号公報(第0038〜第0040段落、図8)。
【非特許文献1】Cisco−Cable Source.Verify and IP Address Security(http://www.cisco.com/warp/public/109/source_verify.html)
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、この第2の提案では、入力フィルタによってパケットの入力を規制するだけであり、不要なデータの出力を規制することができない。
【0011】
そこで本発明の目的は、加入者回線に接続された通信端末に対して送出されるパケットを効率的にフィルタリングすることが可能な加入者回線収容装置およびパケットフィルタリング方法を提供することにある。
【課題を解決するための手段】
【0012】
請求項1記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った動的アドレスがアドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
【0013】
すなわち請求項1記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する動的アドレスをアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す動的アドレスからなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、動的アドレスが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0014】
請求項2記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットの宛先を示す絶対アドレスと動的アドレスの対からなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った絶対アドレスと動的アドレスの対がアドレス情報取得手段の取得した絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
【0015】
すなわち請求項2記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる対をパケット情報として読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスの対が実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0016】
請求項3記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットからその宛先を示す絶対アドレスと動的アドレスおよび加入者回線番号からなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った絶対アドレスと動的アドレスおよび加入者回線番号がアドレス情報取得手段の取得した絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
【0017】
すなわち請求項3記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスおよび加入者回線番号の組み合わせが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0018】
請求項4記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別手段と、(ニ)この関連アドレス解析パケット判別手段が関連アドレス解析パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、(ホ)このパケット情報読取手段の読み取った動的アドレスがアドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、(へ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
【0019】
すなわち請求項4記載の発明では、動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットを加入者回線収容装置から送出する場合を扱っている。これ以外は請求項1記載の発明と同様である。
【0020】
請求項14記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段に接続された通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った動的アドレスが加入者回線終端手段にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスのいずれかに一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
【0021】
すなわち請求項14記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する動的アドレスをアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す動的アドレスからなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、動的アドレスが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0022】
請求項15記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスが加入者回線終端手段に接続された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
【0023】
すなわち請求項15記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる対をパケット情報として読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスの対が実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0024】
請求項16記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスおよび加入者回線番号が加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
【0025】
すなわち請求項16記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスおよび加入者回線番号の組み合わせが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0026】
請求項17記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットが、これら通信端末に対して動的に割り当てられたアドレスとしての動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別ステップと、(ロ)この関連アドレス解析パケット判別ステップで関連アドレス要求パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ハ)このパケット情報読取ステップで読み取った動的アドレスが加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末のいずれかに割り当てられた動的アドレスと一致するか否かを判別するアドレス情報一致有無判別ステップと、(ニ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
【0027】
すなわち請求項17記載の発明では、動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットを加入者回線収容装置から送出する場合を扱っている。これ以外は請求項14記載の発明と同様である。
【発明の効果】
【0028】
このように本発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられた動的アドレスを加入者回線収容装置が少なくとも把握しておき、パケットをこれらの通信端末に送出するときにこれが一致するかを送出の1つの要件としているので、たとえMACアドレス等の絶対アドレスを取得した第三者からのパケットであっても、動的アドレスが一致しなければ送出を拒否することができる。このため、宛先の存在しないパケットの送出によるトラヒックの増大を防止することができる。
【発明を実施するための最良の形態】
【0029】
以下実施例につき本発明を詳細に説明する。
【実施例1】
【0030】
<システムの概要>
【0031】
図1は、本実施例の加入者回線収容装置を使用したマルチキャスト情報配信システムの概要を表わしたものである。このマルチキャスト情報配信システム100は、ADSL(Asymmetric Digital Subscriber Line)と呼ばれる非対称ディジタル加入者回線を使用している。マルチキャスト情報配信システム100は、それぞれの加入者宅に配置されたユーザスプリッタ1011〜101Mと加入者回線収容装置102とを、DSL加入者回線1031〜103Mで接続している。各ユーザスプリッタ1011〜101Mには、それぞれ電話機1041〜104MとADSLモデム1051〜105Mのうちの対応するものが接続されている。ADSLモデム1051〜105Mには、ホームページの閲覧等の各種のデータ処理を行うためのパーソナルコンピュータ1061〜106Mがそれぞれ接続される他、セットトップボックス1071〜107Mを介してテレビジョン番組を視聴するためのインターネットテレビジョン(TV)1081〜108Mがそれぞれ接続されている。
【0032】
加入者回線収容装置102は、音声交換機112と接続されており、公衆電話交換網(PSTN:Public Switched Telephone Network)113と接続されるようになっている。また、加入者回線収容装置102はルータ114を介してインターネット等のパケット通信を行うためのパケット通信ネットワーク115に接続されている。パケット通信ネットワーク115には、各ユーザのインターネットテレビジョン108に対して各種のテレビジョン番組を配信させるための番組配信用サーバ116が接続されている。
【0033】
図2は、加入者回線収容装置とその周辺の構成を示したものである。本実施例で加入者回線収容装置102は、1つのシステム当たりで最大で1920回線を収容できるようになっている。
【0034】
加入者回線収容装置102は、ADSLモデム1051〜1051920とDSL加入者回線1031〜1031920を介して接続されるスプリッタユニット1221〜1221920を備えている。このうちのスプリッタユニット1221を代表的に説明する。スプリッタユニット1221は、DSL加入者回線1031を介して送られてきた信号1231を、音声周波数帯域の電話信号1241と、これよりも高い所定の周波数帯域のADSL信号1251に分離する。電話信号1241は、回線交換用の音声交換機112に送られることになる。
【0035】
これに対して、スプリッタユニット1211によって分離されたADSL信号1251は、対応するDSL加入者回線終端ユニット(Line Termination Unit:LTU)1271の図示しない初段部分で変復調され、ATMセルが取り出されて、バックプレーンバス128を介して複合中継ユニット(IGU)131に入力される。複合中継ユニット131の詳細は後に説明する。DSL加入者回線終端ユニット1271は最大で32回線等の所定数の回線に対応したDSLトランシーバモジュール(後に説明するDSP(Digital Signal Processor))を備えており、DSL加入者回線1031〜1031920を使用して、インターネットに接続するためのインターフェイスとしてのアップリンク回線130を介して上り方向(図1におけるパケット通信ネットワーク115の方向)に高速のデータ通信を行う他、下りデータを受信して変調し、DSL加入者回線1031〜1031920に送出するようになっている。
【0036】
図3は、加入者回線収容装置の要部のシステム構成を表わしたものである。加入者回線収容装置102は、図2で説明したDSL加入者回線終端ユニット(LTU)1271〜127Jを備えており、これらは複合中継ユニット131の一端側に接続されている。複合中継ユニット131はインターネットに接続するためのインターフェイス機能を有しており、その他端側には、アップリンク回線130が接続されている。
【0037】
複合中継ユニット131は、加入者回線収容装置102の全体的な制御や監視等を行う装置制御部132と、バックプレーン(Backplane)のインターフェイスを行うバックプレーンIF(インターフェイス)回路133、ATM(Asynchronous Transfer Mode)セルの組み立てや分解を行うATM SAR(Asynchronous Transfer Mode Segmentation and Reassembly)134、およびレイヤ2の転送を行い、MACアドレス(Media Access Control Address)を基にパケットを仕分けるブリッジフォワーダ135を配置している。ATMセルは、ATM SAR134とDSL加入者回線終端ユニット1271〜127Jの間で伝送され、アップリンク回線130の入出力部分ではイーサネット(登録商標)のフレームが伝送される。
【0038】
図4は、複合中継ユニットのハードウェアとしての回路構成の概要を表わしたものである。複合中継ユニット131は、装置制御CPU(Central Processing Unit)141とネットワークプロセッサ142の2つのプロセッサと、フラッシュROM(Read Only Memory)143、SDRAM(Synchronous Dynamic Random Access Memory)144および不揮発性RAM(Random Access Memory)145からなるメモリ群と、特定用途向けの集積回路としてのASIC(Application Specific Integrated Circuit)からなるバックプレーンIF回路133ならびに図示しないLSI(Large Scale Integration)で構成されるGbE(Gigabit Ethernet(登録商標)) IF(interface)回路147を備えている。
【0039】
ここで、装置制御CPU141は、装置の管理や通信あるいはコンフィグレーションの設定に関する制御を行う。ネットワークプロセッサ142は、内蔵CPU151およびATM SAR134を備えた高速の通信用プロセッサである。このネットワークプロセッサ142を使用して、図3に示したブリッジフォワーダ135をソフトウェア的に実現し、これによるフレームの受信、宛先の判別、宛先への送信等の処理が実行される。バックプレーンIF回路133は、回線との間のバスの制御等の回線に関する各種制御を、ギガビット単位で送られてくるフレームの高速処理を行うために、ハードウェアで実現している。バックプレーンIF回路133は、DSL加入者回線終端ユニット1271〜127Jを個々にポーリングによって処理している。
【0040】
図5は、この複合中継ユニットの主要な機能ブロックを示したものである。複合中継ユニット131は、図2に示したDSL加入者回線終端ユニット1271〜127Jにそれぞれ対応して配置された第1〜第Jのインターフェイス回路部1611〜161Jを備えている。ブリッジフォワーダ135と第1〜第Jのインターフェイス回路部1611〜161Jの間には、入力パケットバイパス部1621〜162Jと、動的入力フィルタ部1631〜163Jおよび静的入力フィルタ部1641〜164Jからなる直列回路と、出力パケットバイパス部1651〜165Jと、静的出力フィルタ部1661〜166Jおよび動的出力フィルタ部1671〜167Jからなる直列回路とが接続されている。DHCP(Dynamic Host Configuration Protocol)処理部168は、入力パケットバイパス部1621〜162Jおよび出力パケットバイパス部1651〜165Jに接続されている。この図で、第1〜第Jのインターフェイス回路部1611〜161Jは、図3におけるブリッジフォワーダ135よりもDSL加入者回線終端ユニット1271〜127J側の回路部分を総括的に表わしたものである。
【0041】
入力パケットバイパス部1621〜162Jは、入力されたパケットをDHCP処理部168に進むものと動的入力フィルタ部1631〜163Jに進むものとに仕分けるようになっている。動的入力フィルタ部1631〜163Jは、時間的に変動する動的なアドレス情報を使用して受信したパケットのフィルタリングを行う。これに対して静的入力フィルタ部1641〜164Jは、時間的に変動しない静的なアドレス情報を使用して受信したパケットの更なるフィルタリングを行う。同様に、静的出力フィルタ部1661〜166Jは、静的なアドレス情報を使用して、ユーザ端末方向に送出されるパケットの静的なフィルタリングを行う。動的出力フィルタ部1671〜167Jは、これら送出されるパケットの動的なフィルタリングを行う。出力パケットバイパス部1651〜165Jは、静的出力フィルタ部1661〜166Jから送られてきたパケットあるいはDHCP処理部168から出力されるパケットを第1〜第Jのインターフェイス回路部1611〜161Jのうちの対応するものに与え、該当するユーザ端末に送出させるようになっている。
【0042】
<フィルタリング処理>
【0043】
図6は、動的出力フィルタ部に内蔵された動的出力管理テーブルの一部を表わしたものである。動的出力管理テーブル171には、ユーザ端末のそれぞれについての割り当てられたIPアドレス、MACアドレスおよび加入者回線番号をリストアップしている。
【0044】
ところで、各加入者端末のユーザ(DHCPクライアント)は、DHCPサーバにIPアドレスを要求して、DHCPサーバ側にあらかじめ確保しているIPアドレスの割り当てを受けることができる。このとき、図5に示したDHCP処理部168側では、割り当てたIPアドレスと、そのユーザ端末に関するMACアドレスおよび加入者回線番号を取得することができる。
【0045】
図7は、DHCP処理部による動的出力管理テーブルの更新処理の様子を表わしたものである。DHCP処理部168はDHCPサーバに対してIPアドレスの割当要求に基づいた割り当てが完了するたびに(ステップS301:Y)、そのユーザ端末のアドレス情報を取得する(ステップS302)。そして、得られたアドレス情報としてのIPアドレス、MACアドレスおよび加入者回線番号を、図6に示した動的出力管理テーブル171に登録し(ステップS303)。その内容のフィルタリングを行うための出力フィルタエントリを1つ追加する(ステップS304)。
【0046】
ところでDHCPサーバはIPアドレスを、リース期間を設定してそれぞれのユーザ端末に割り当てるようにしている。したがって、それぞれのIPアドレス単位にリース期間が満了するまでの期間を逐次チェックして(ステップS305)、満了すれば(Y)、その出力フィルタエントリを削除する(ステップS306)。これは、リース期間内でのみパケットの送出を許すようにするためである。
【0047】
図8および図9は、動的出力フィルタ部によるパケットの送出制御の様子を表わしたものである。図4に示した複合中継ユニット131内の前記した装置制御CPU141が所定の制御プログラムを実行することで、この処理を行う。もちろん、同一の制御論理をハードウェアで実現することも可能である。
【0048】
装置制御CPU141は該当するユーザ端末に送信するパケットが到来するのを監視している(図8ステップS321)。このようなパケットがアップリンク回線130や図5に示す静的入力フィルタ部1641〜164J等から図3に示すブリッジフォワーダ135に送られてきたら(Y)、まず、そのパケットのイーサ(イーサネット(登録商標))ヘッダ内の「Type」フィールドの情報を読み出す(ステップS322)。そして、これが「0x0806」であれば、その送出するパケットがARP(Address Resolution Protocol)パケットであることが分かる(ステップS323:Y)。
【0049】
ここでARPパケットについて説明する。イーサネット(登録商標)上での通信は、たとえその上位の通信でIPアドレスを使用しても、最終的にはMACアドレスを使用した通信が行われる。そこで、MACアドレスを取得するために、IPアドレスをパケットにセットして、同一ネットワーク上の全ノードにブロードキャストするARPパケットが存在している。
【0050】
このように関連アドレスを解析する関連アドレス解析パケットとしてのARPパケットの存在により、第三者がIPアドレスからMACアドレスを取得するということが可能になる。つまり、他人のARPパケットをキャプチャ(監視)することによって、IPアドレスとMACアドレスの組を知ることも可能である。したがって、不正なアクセスをより簡単に行うことができる。
【0051】
送出するパケットがARPパケットであると判別された場合には(ステップS323:Y)、更に、そのパケットのイーサヘッダ内の「Destination Address」フィールドを読み出す(ステップS324)。そしてこれが図6に示した動的出力管理テーブル171に登録した「MACアドレス」あるいはマルチキャストアドレスまたはブロードキャストアドレスと同一であるかどうかをチェックする(ステップS325)。同じでなければ(N)、宛先のユーザ端末が存在しないことになるので、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄される(ステップS326)。
【0052】
これに対して、ステップS325で同一のアドレスが動的出力管理テーブル171に存在した場合には(Y)、そのパケットの「Target Protocol Address」フィールドを読み出す(ステップS327)。そして、これが、動的出力管理テーブル171に登録された「IPアドレス」と同一であるかどうかをチェックする(ステップS328)。同一であれば(Y)、そのパケットは静的出力フィルタ部1661〜166Jのうちの該当するものに送られて、従来から行われているような静的なフィルタリングが行われる(ステップS329)。同一ではなかった場合(ステップS328:N)、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄されることになる(ステップS326)。
【0053】
図9は、図8のステップS323でイーサヘッダ内の「Type」フィールドが「0x0806」ではなかった場合(N)、すなわち送出するパケットがARPパケットではなった場合の処理を示したものである。この場合、「Type」フィールドが「0x0800」であるかどうかのチェックが行われる(図9ステップS330)。「Type」フィールドが「0x0800」の場合には、そのパケットはIPパケットである。そこでこの場合には(Y)、送信するそのパケットのイーサヘッド内の「Destination Address」を読み出す(ステップS331)。そして、これが動的出力管理テーブル171に登録された「MACアドレス」と同一であるかどうかをチェックする(ステップS332)。同一であれば(Y)、そのIPパケットの「Destination Address」を再度読み出すか、読み出したものをチェックして(ステップS333)、これが動的出力管理テーブル171に登録された「IPアドレス」と同一であるかどうかをチェックする(図8ステップS328)。この後の処理についてはすでに説明した。
【0054】
一方、図9のステップS332で「MACアドレス」と同一ではないと判別された場合には(N)、イーサヘッド内の「Destination Address」がマルチキャストアドレスまたはブロードキャストアドレスと同一であるかどうかのチェックが行われる(ステップS334)。この結果、同一であれば(Y)、図8のステップS329に進んで静的なフィルタリングが行われることになる。それ以外の場合には(図9ステップS334:N)、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄される(図8ステップS326)。
【0055】
また、図9のステップS330で「Type」フィールドが「0x0800」ではないとされた場合(N)、そのパケットは静的出力フィルタ部1661〜166Jのうちの対応するものに送られることになる。すなわち、この場合には送出するパケットがARPパケットでもIPパケットでもない他のパケットの場合である。そこで本実施例ではその処理を動的出力フィルタ部1671〜167Jでは行わず、静的出力フィルタ部1661〜166Jの処理に任せることにしている(図8ステップS329)。静的出力フィルタ部1661〜166Jは、たとえばこのようなパケットを廃棄することになる。
【0056】
このようにして静的出力フィルタ部1661〜166Jに送られたパケットは、ここで更に必要なフィルタリングが行われ、出力パケットバイパス部1651〜165Jから第1〜第Jのインターフェイス回路部1611〜161Jのうちの対応するものを通過して、宛先のユーザ端末に送信されることになる。
【0057】
なお、以上説明した実施例では、DHCP処理部が加入者回線収容装置の内部に存在して、これにより取得したIPアドレス等のアドレス情報を基にして動的出力管理テーブルを作成する場合を説明したが、これに限るものではない。たとえば、DHCP処理部あるいはDHCPサーバが加入者回線収容装置の外に独立して存在し、その代わりに加入者回線収容装置の内部にはこれと通信して必要な情報を取得するDHCPリレーエージェントが配置されていてもよい。この場合には、DHCPリレーエージェントを介して取得したアドレス情報を基にして、動的出力管理テーブルを作成することになる。また、加入者回線収容装置の内部にDHCPリレーエージェントが存在しない場合でも、DHCP処理が行われる場合には、複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段を備えた加入者回線収容装置の内部にこれらのアドレス情報を伝送するパケット自体が流れること自体は確かである。したがって、これらのアドレス情報をスプーフするスプーフィング手段を加入者回線収容装置の内部に配置することで、同様に動的出力管理テーブルを作成することができる。
【0058】
また、以上説明した実施例では、加入者回線はDSL回線の場合を説明したが、加入者回線終端手段に接続されるものであればこれに限るものではない。たとえば、光ファイバケーブルを使用した回線に対しても本発明を同様に適用することができる。また、実施例ではIPアドレスやMACアドレスをフィルタの条件としてチェックすることにしたが、名称の如何を問わず動的アドレスや絶対アドレスを用いて同様に出力フィルタとしての機能を持たせることができることも当然である。
【0059】
更に実施例では動的出力管理テーブル171に登録した内容と照合することで、送出するパケットのフィルタリングを行うことにしたが、このような特別のテーブルを設けずに、同様のフィルタリングを行うようにする場合も本発明が適用されることは当然である。
【図面の簡単な説明】
【0060】
【図1】本実施例でテレビジョン映像を視聴するためのマルチキャスト情報配信システムの概要を表わしたシステム構成図である。
【図2】本実施例で加入者回線収容装置とその周辺の回路構成の概要を示したブロック図である。
【図3】本実施例で加入者回線収容装置の要部のシステム構成を表わしたブロック図である。
【図4】本実施例で複合中継ユニットのハードウェア構成の概要を表わしたブロック図である。
【図5】本実施例で複合中継ユニットの主要な機能ブロックを示したブロック図である。
【図6】本実施例で動的出力フィルタ部に内蔵された動的出力管理テーブルの一部を表わした説明図である。
【図7】本実施例のDHCP処理部による動的出力管理テーブルの更新処理の様子を表わした流れ図である。
【図8】本実施例の動的出力フィルタ部によるパケットの送出制御の前半を表わした流れ図である。
【図9】本実施例の動的出力フィルタ部によるパケットの送出制御の後半を表わした流れ図である。
【符号の説明】
【0061】
100 マルチキャスト情報配信システム
102 加入者回線収容装置
103 DSL加入者回線
127 DSL加入者回線終端ユニット
130 アップリンク回線
135 ブリッジフォワーダ
141 装置制御CPU
142 ネットワークプロセッサ
167 動的出力フィルタ部
168 DHCP処理部
171 動的出力管理テーブル
【技術分野】
【0001】
本発明は、パケットを加入者回線終端装置に終端された加入者回線に接続された通信端末に送出する際に使用する加入者回線収容装置およびパケットの送出の際のパケットフィルタリング方法に関する。
【背景技術】
【0002】
電話回線や光ケーブル等の伝送路を介してそれぞれのユーザ端末がインターネット等の通信ネットワークに接続する際にDHCP(Dynamic Host Configuration Protocol)を使用するサービス形態が広く採用されるようになってきている。ここでDHCPとは、再利用可能なIP(Internet Protocol)アドレスの動的割り当てを行うプロトコルをいう。
【0003】
ところが、DHCPを用いた通信ネットワークでは、第三者がIPアドレスやMAC(Media Access Control)アドレスを詐称して、他人の通信を妨害したり、他人に成りすますことができるという問題がある。
【0004】
たとえば、DHCPを用いた通信ネットワークを構成する加入者回線終端装置のブリッジフォワーダでフラッディングの対象となるパケットを受信したような場合には、同一ネットワーク上に存在するすべてのノードにこれらのパケットが送信される。このため、本来通信の対象とならないユーザ端末にまで不要なパケットが送信されてトラフィックが増大する。
【0005】
しかも、DHCPを用いた通信ネットワークではユーザ端末に動的にIPアドレスが割り当てられるため、静的なフィルタをあらかじめ登録しておいて不要なパケットを排除することができない。
【0006】
そこで、加入者回線収容装置に収容された回線に接続したユーザ端末のすべてのMACアドレスを登録しておき、これらのMACアドレスのいずれとも異なる通信端末がネットワークにアクセスしようとしたときには、これを拒否するようにすることでセキュリティを向上するが提案されている(たとえば特許文献1参照)。
【0007】
この第1の提案によれば、IPアドレスを詐称することで、第三者が他人の通信を妨害したり、他人に成りすますことができるという問題が残る。
【0008】
このような問題を解消するために、IPパケットを使用して第三者が不正に通信ネットワークへのアクセスを要求してきたような場合に、これを拒否することのできる加入者回線収容装置が提案されている(たとえば非特許文献1参照)。
【0009】
この第2の提案では、IPパケットがDHCPサーバに到来してIPアドレスの取得が要求されたとき、これに対してIPアドレスを発行すると共に、発行するIPアドレスとIPアドレスの取得の要求があった加入者回線の識別番号および要求した通信端末のMACアドレスの組をフィルタ条件登録手段に登録しておく。そして、パケットが到来したときにはフィルタ条件登録手段に登録されたIPアドレスと識別番号およびMACアドレスの組と一致するパケットのみにパケット通信を許可するようにしている。これにより、IPアドレス等のアドレス情報が一致しても加入者回線の識別番号が一致しないパケットについては通信を許可しないので、不正アクセスを効果的に防止することができる。
【特許文献1】特開2002−204246号公報(第0038〜第0040段落、図8)。
【非特許文献1】Cisco−Cable Source.Verify and IP Address Security(http://www.cisco.com/warp/public/109/source_verify.html)
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、この第2の提案では、入力フィルタによってパケットの入力を規制するだけであり、不要なデータの出力を規制することができない。
【0011】
そこで本発明の目的は、加入者回線に接続された通信端末に対して送出されるパケットを効率的にフィルタリングすることが可能な加入者回線収容装置およびパケットフィルタリング方法を提供することにある。
【課題を解決するための手段】
【0012】
請求項1記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った動的アドレスがアドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
【0013】
すなわち請求項1記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する動的アドレスをアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す動的アドレスからなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、動的アドレスが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0014】
請求項2記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットの宛先を示す絶対アドレスと動的アドレスの対からなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った絶対アドレスと動的アドレスの対がアドレス情報取得手段の取得した絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
【0015】
すなわち請求項2記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる対をパケット情報として読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスの対が実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0016】
請求項3記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)通信端末のいずれかに送出するパケットからその宛先を示す絶対アドレスと動的アドレスおよび加入者回線番号からなるパケット情報を読み取るパケット情報読取手段と、(ニ)このパケット情報読取手段の読み取った絶対アドレスと動的アドレスおよび加入者回線番号がアドレス情報取得手段の取得した絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別手段と、(ホ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
【0017】
すなわち請求項3記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスおよび加入者回線番号の組み合わせが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0018】
請求項4記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、(ロ)この加入者回線終端手段に終端された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、(ハ)動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別手段と、(ニ)この関連アドレス解析パケット判別手段が関連アドレス解析パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、(ホ)このパケット情報読取手段の読み取った動的アドレスがアドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、(へ)このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段とを加入者回線収容装置に具備させる。
【0019】
すなわち請求項4記載の発明では、動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットを加入者回線収容装置から送出する場合を扱っている。これ以外は請求項1記載の発明と同様である。
【0020】
請求項14記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段に接続された通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った動的アドレスが加入者回線終端手段にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスのいずれかに一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
【0021】
すなわち請求項14記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する動的アドレスをアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す動的アドレスからなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、動的アドレスが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0022】
請求項15記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスが加入者回線終端手段に接続された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
【0023】
すなわち請求項15記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる対をパケット情報として読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスの対が実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0024】
請求項16記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取るパケット情報読取ステップと、(ロ)このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスおよび加入者回線番号が加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別ステップと、(ハ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
【0025】
すなわち請求項16記載の発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対する絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するようにし、これらの通信端末にパケットを送出するときには、そのパケットの宛先を示す絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取って、このパケット情報がアドレス情報のいずれかに一致する場合にのみそのパケットの送出を許可するようにした。これにより、絶対アドレスと動的アドレスおよび加入者回線番号の組み合わせが実在しない通信端末へのパケットの加入者回線収容装置からの送出を阻止することができる。
【0026】
請求項17記載の発明では、(イ)複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットが、これら通信端末に対して動的に割り当てられたアドレスとしての動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別ステップと、(ロ)この関連アドレス解析パケット判別ステップで関連アドレス要求パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、(ハ)このパケット情報読取ステップで読み取った動的アドレスが加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末のいずれかに割り当てられた動的アドレスと一致するか否かを判別するアドレス情報一致有無判別ステップと、(ニ)このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップとをパケットフィルタリング方法に具備させる。
【0027】
すなわち請求項17記載の発明では、動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットを加入者回線収容装置から送出する場合を扱っている。これ以外は請求項14記載の発明と同様である。
【発明の効果】
【0028】
このように本発明では、加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられた動的アドレスを加入者回線収容装置が少なくとも把握しておき、パケットをこれらの通信端末に送出するときにこれが一致するかを送出の1つの要件としているので、たとえMACアドレス等の絶対アドレスを取得した第三者からのパケットであっても、動的アドレスが一致しなければ送出を拒否することができる。このため、宛先の存在しないパケットの送出によるトラヒックの増大を防止することができる。
【発明を実施するための最良の形態】
【0029】
以下実施例につき本発明を詳細に説明する。
【実施例1】
【0030】
<システムの概要>
【0031】
図1は、本実施例の加入者回線収容装置を使用したマルチキャスト情報配信システムの概要を表わしたものである。このマルチキャスト情報配信システム100は、ADSL(Asymmetric Digital Subscriber Line)と呼ばれる非対称ディジタル加入者回線を使用している。マルチキャスト情報配信システム100は、それぞれの加入者宅に配置されたユーザスプリッタ1011〜101Mと加入者回線収容装置102とを、DSL加入者回線1031〜103Mで接続している。各ユーザスプリッタ1011〜101Mには、それぞれ電話機1041〜104MとADSLモデム1051〜105Mのうちの対応するものが接続されている。ADSLモデム1051〜105Mには、ホームページの閲覧等の各種のデータ処理を行うためのパーソナルコンピュータ1061〜106Mがそれぞれ接続される他、セットトップボックス1071〜107Mを介してテレビジョン番組を視聴するためのインターネットテレビジョン(TV)1081〜108Mがそれぞれ接続されている。
【0032】
加入者回線収容装置102は、音声交換機112と接続されており、公衆電話交換網(PSTN:Public Switched Telephone Network)113と接続されるようになっている。また、加入者回線収容装置102はルータ114を介してインターネット等のパケット通信を行うためのパケット通信ネットワーク115に接続されている。パケット通信ネットワーク115には、各ユーザのインターネットテレビジョン108に対して各種のテレビジョン番組を配信させるための番組配信用サーバ116が接続されている。
【0033】
図2は、加入者回線収容装置とその周辺の構成を示したものである。本実施例で加入者回線収容装置102は、1つのシステム当たりで最大で1920回線を収容できるようになっている。
【0034】
加入者回線収容装置102は、ADSLモデム1051〜1051920とDSL加入者回線1031〜1031920を介して接続されるスプリッタユニット1221〜1221920を備えている。このうちのスプリッタユニット1221を代表的に説明する。スプリッタユニット1221は、DSL加入者回線1031を介して送られてきた信号1231を、音声周波数帯域の電話信号1241と、これよりも高い所定の周波数帯域のADSL信号1251に分離する。電話信号1241は、回線交換用の音声交換機112に送られることになる。
【0035】
これに対して、スプリッタユニット1211によって分離されたADSL信号1251は、対応するDSL加入者回線終端ユニット(Line Termination Unit:LTU)1271の図示しない初段部分で変復調され、ATMセルが取り出されて、バックプレーンバス128を介して複合中継ユニット(IGU)131に入力される。複合中継ユニット131の詳細は後に説明する。DSL加入者回線終端ユニット1271は最大で32回線等の所定数の回線に対応したDSLトランシーバモジュール(後に説明するDSP(Digital Signal Processor))を備えており、DSL加入者回線1031〜1031920を使用して、インターネットに接続するためのインターフェイスとしてのアップリンク回線130を介して上り方向(図1におけるパケット通信ネットワーク115の方向)に高速のデータ通信を行う他、下りデータを受信して変調し、DSL加入者回線1031〜1031920に送出するようになっている。
【0036】
図3は、加入者回線収容装置の要部のシステム構成を表わしたものである。加入者回線収容装置102は、図2で説明したDSL加入者回線終端ユニット(LTU)1271〜127Jを備えており、これらは複合中継ユニット131の一端側に接続されている。複合中継ユニット131はインターネットに接続するためのインターフェイス機能を有しており、その他端側には、アップリンク回線130が接続されている。
【0037】
複合中継ユニット131は、加入者回線収容装置102の全体的な制御や監視等を行う装置制御部132と、バックプレーン(Backplane)のインターフェイスを行うバックプレーンIF(インターフェイス)回路133、ATM(Asynchronous Transfer Mode)セルの組み立てや分解を行うATM SAR(Asynchronous Transfer Mode Segmentation and Reassembly)134、およびレイヤ2の転送を行い、MACアドレス(Media Access Control Address)を基にパケットを仕分けるブリッジフォワーダ135を配置している。ATMセルは、ATM SAR134とDSL加入者回線終端ユニット1271〜127Jの間で伝送され、アップリンク回線130の入出力部分ではイーサネット(登録商標)のフレームが伝送される。
【0038】
図4は、複合中継ユニットのハードウェアとしての回路構成の概要を表わしたものである。複合中継ユニット131は、装置制御CPU(Central Processing Unit)141とネットワークプロセッサ142の2つのプロセッサと、フラッシュROM(Read Only Memory)143、SDRAM(Synchronous Dynamic Random Access Memory)144および不揮発性RAM(Random Access Memory)145からなるメモリ群と、特定用途向けの集積回路としてのASIC(Application Specific Integrated Circuit)からなるバックプレーンIF回路133ならびに図示しないLSI(Large Scale Integration)で構成されるGbE(Gigabit Ethernet(登録商標)) IF(interface)回路147を備えている。
【0039】
ここで、装置制御CPU141は、装置の管理や通信あるいはコンフィグレーションの設定に関する制御を行う。ネットワークプロセッサ142は、内蔵CPU151およびATM SAR134を備えた高速の通信用プロセッサである。このネットワークプロセッサ142を使用して、図3に示したブリッジフォワーダ135をソフトウェア的に実現し、これによるフレームの受信、宛先の判別、宛先への送信等の処理が実行される。バックプレーンIF回路133は、回線との間のバスの制御等の回線に関する各種制御を、ギガビット単位で送られてくるフレームの高速処理を行うために、ハードウェアで実現している。バックプレーンIF回路133は、DSL加入者回線終端ユニット1271〜127Jを個々にポーリングによって処理している。
【0040】
図5は、この複合中継ユニットの主要な機能ブロックを示したものである。複合中継ユニット131は、図2に示したDSL加入者回線終端ユニット1271〜127Jにそれぞれ対応して配置された第1〜第Jのインターフェイス回路部1611〜161Jを備えている。ブリッジフォワーダ135と第1〜第Jのインターフェイス回路部1611〜161Jの間には、入力パケットバイパス部1621〜162Jと、動的入力フィルタ部1631〜163Jおよび静的入力フィルタ部1641〜164Jからなる直列回路と、出力パケットバイパス部1651〜165Jと、静的出力フィルタ部1661〜166Jおよび動的出力フィルタ部1671〜167Jからなる直列回路とが接続されている。DHCP(Dynamic Host Configuration Protocol)処理部168は、入力パケットバイパス部1621〜162Jおよび出力パケットバイパス部1651〜165Jに接続されている。この図で、第1〜第Jのインターフェイス回路部1611〜161Jは、図3におけるブリッジフォワーダ135よりもDSL加入者回線終端ユニット1271〜127J側の回路部分を総括的に表わしたものである。
【0041】
入力パケットバイパス部1621〜162Jは、入力されたパケットをDHCP処理部168に進むものと動的入力フィルタ部1631〜163Jに進むものとに仕分けるようになっている。動的入力フィルタ部1631〜163Jは、時間的に変動する動的なアドレス情報を使用して受信したパケットのフィルタリングを行う。これに対して静的入力フィルタ部1641〜164Jは、時間的に変動しない静的なアドレス情報を使用して受信したパケットの更なるフィルタリングを行う。同様に、静的出力フィルタ部1661〜166Jは、静的なアドレス情報を使用して、ユーザ端末方向に送出されるパケットの静的なフィルタリングを行う。動的出力フィルタ部1671〜167Jは、これら送出されるパケットの動的なフィルタリングを行う。出力パケットバイパス部1651〜165Jは、静的出力フィルタ部1661〜166Jから送られてきたパケットあるいはDHCP処理部168から出力されるパケットを第1〜第Jのインターフェイス回路部1611〜161Jのうちの対応するものに与え、該当するユーザ端末に送出させるようになっている。
【0042】
<フィルタリング処理>
【0043】
図6は、動的出力フィルタ部に内蔵された動的出力管理テーブルの一部を表わしたものである。動的出力管理テーブル171には、ユーザ端末のそれぞれについての割り当てられたIPアドレス、MACアドレスおよび加入者回線番号をリストアップしている。
【0044】
ところで、各加入者端末のユーザ(DHCPクライアント)は、DHCPサーバにIPアドレスを要求して、DHCPサーバ側にあらかじめ確保しているIPアドレスの割り当てを受けることができる。このとき、図5に示したDHCP処理部168側では、割り当てたIPアドレスと、そのユーザ端末に関するMACアドレスおよび加入者回線番号を取得することができる。
【0045】
図7は、DHCP処理部による動的出力管理テーブルの更新処理の様子を表わしたものである。DHCP処理部168はDHCPサーバに対してIPアドレスの割当要求に基づいた割り当てが完了するたびに(ステップS301:Y)、そのユーザ端末のアドレス情報を取得する(ステップS302)。そして、得られたアドレス情報としてのIPアドレス、MACアドレスおよび加入者回線番号を、図6に示した動的出力管理テーブル171に登録し(ステップS303)。その内容のフィルタリングを行うための出力フィルタエントリを1つ追加する(ステップS304)。
【0046】
ところでDHCPサーバはIPアドレスを、リース期間を設定してそれぞれのユーザ端末に割り当てるようにしている。したがって、それぞれのIPアドレス単位にリース期間が満了するまでの期間を逐次チェックして(ステップS305)、満了すれば(Y)、その出力フィルタエントリを削除する(ステップS306)。これは、リース期間内でのみパケットの送出を許すようにするためである。
【0047】
図8および図9は、動的出力フィルタ部によるパケットの送出制御の様子を表わしたものである。図4に示した複合中継ユニット131内の前記した装置制御CPU141が所定の制御プログラムを実行することで、この処理を行う。もちろん、同一の制御論理をハードウェアで実現することも可能である。
【0048】
装置制御CPU141は該当するユーザ端末に送信するパケットが到来するのを監視している(図8ステップS321)。このようなパケットがアップリンク回線130や図5に示す静的入力フィルタ部1641〜164J等から図3に示すブリッジフォワーダ135に送られてきたら(Y)、まず、そのパケットのイーサ(イーサネット(登録商標))ヘッダ内の「Type」フィールドの情報を読み出す(ステップS322)。そして、これが「0x0806」であれば、その送出するパケットがARP(Address Resolution Protocol)パケットであることが分かる(ステップS323:Y)。
【0049】
ここでARPパケットについて説明する。イーサネット(登録商標)上での通信は、たとえその上位の通信でIPアドレスを使用しても、最終的にはMACアドレスを使用した通信が行われる。そこで、MACアドレスを取得するために、IPアドレスをパケットにセットして、同一ネットワーク上の全ノードにブロードキャストするARPパケットが存在している。
【0050】
このように関連アドレスを解析する関連アドレス解析パケットとしてのARPパケットの存在により、第三者がIPアドレスからMACアドレスを取得するということが可能になる。つまり、他人のARPパケットをキャプチャ(監視)することによって、IPアドレスとMACアドレスの組を知ることも可能である。したがって、不正なアクセスをより簡単に行うことができる。
【0051】
送出するパケットがARPパケットであると判別された場合には(ステップS323:Y)、更に、そのパケットのイーサヘッダ内の「Destination Address」フィールドを読み出す(ステップS324)。そしてこれが図6に示した動的出力管理テーブル171に登録した「MACアドレス」あるいはマルチキャストアドレスまたはブロードキャストアドレスと同一であるかどうかをチェックする(ステップS325)。同じでなければ(N)、宛先のユーザ端末が存在しないことになるので、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄される(ステップS326)。
【0052】
これに対して、ステップS325で同一のアドレスが動的出力管理テーブル171に存在した場合には(Y)、そのパケットの「Target Protocol Address」フィールドを読み出す(ステップS327)。そして、これが、動的出力管理テーブル171に登録された「IPアドレス」と同一であるかどうかをチェックする(ステップS328)。同一であれば(Y)、そのパケットは静的出力フィルタ部1661〜166Jのうちの該当するものに送られて、従来から行われているような静的なフィルタリングが行われる(ステップS329)。同一ではなかった場合(ステップS328:N)、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄されることになる(ステップS326)。
【0053】
図9は、図8のステップS323でイーサヘッダ内の「Type」フィールドが「0x0806」ではなかった場合(N)、すなわち送出するパケットがARPパケットではなった場合の処理を示したものである。この場合、「Type」フィールドが「0x0800」であるかどうかのチェックが行われる(図9ステップS330)。「Type」フィールドが「0x0800」の場合には、そのパケットはIPパケットである。そこでこの場合には(Y)、送信するそのパケットのイーサヘッド内の「Destination Address」を読み出す(ステップS331)。そして、これが動的出力管理テーブル171に登録された「MACアドレス」と同一であるかどうかをチェックする(ステップS332)。同一であれば(Y)、そのIPパケットの「Destination Address」を再度読み出すか、読み出したものをチェックして(ステップS333)、これが動的出力管理テーブル171に登録された「IPアドレス」と同一であるかどうかをチェックする(図8ステップS328)。この後の処理についてはすでに説明した。
【0054】
一方、図9のステップS332で「MACアドレス」と同一ではないと判別された場合には(N)、イーサヘッド内の「Destination Address」がマルチキャストアドレスまたはブロードキャストアドレスと同一であるかどうかのチェックが行われる(ステップS334)。この結果、同一であれば(Y)、図8のステップS329に進んで静的なフィルタリングが行われることになる。それ以外の場合には(図9ステップS334:N)、そのパケットは動的出力フィルタ部1671〜167Jのうちの該当するもので廃棄される(図8ステップS326)。
【0055】
また、図9のステップS330で「Type」フィールドが「0x0800」ではないとされた場合(N)、そのパケットは静的出力フィルタ部1661〜166Jのうちの対応するものに送られることになる。すなわち、この場合には送出するパケットがARPパケットでもIPパケットでもない他のパケットの場合である。そこで本実施例ではその処理を動的出力フィルタ部1671〜167Jでは行わず、静的出力フィルタ部1661〜166Jの処理に任せることにしている(図8ステップS329)。静的出力フィルタ部1661〜166Jは、たとえばこのようなパケットを廃棄することになる。
【0056】
このようにして静的出力フィルタ部1661〜166Jに送られたパケットは、ここで更に必要なフィルタリングが行われ、出力パケットバイパス部1651〜165Jから第1〜第Jのインターフェイス回路部1611〜161Jのうちの対応するものを通過して、宛先のユーザ端末に送信されることになる。
【0057】
なお、以上説明した実施例では、DHCP処理部が加入者回線収容装置の内部に存在して、これにより取得したIPアドレス等のアドレス情報を基にして動的出力管理テーブルを作成する場合を説明したが、これに限るものではない。たとえば、DHCP処理部あるいはDHCPサーバが加入者回線収容装置の外に独立して存在し、その代わりに加入者回線収容装置の内部にはこれと通信して必要な情報を取得するDHCPリレーエージェントが配置されていてもよい。この場合には、DHCPリレーエージェントを介して取得したアドレス情報を基にして、動的出力管理テーブルを作成することになる。また、加入者回線収容装置の内部にDHCPリレーエージェントが存在しない場合でも、DHCP処理が行われる場合には、複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段を備えた加入者回線収容装置の内部にこれらのアドレス情報を伝送するパケット自体が流れること自体は確かである。したがって、これらのアドレス情報をスプーフするスプーフィング手段を加入者回線収容装置の内部に配置することで、同様に動的出力管理テーブルを作成することができる。
【0058】
また、以上説明した実施例では、加入者回線はDSL回線の場合を説明したが、加入者回線終端手段に接続されるものであればこれに限るものではない。たとえば、光ファイバケーブルを使用した回線に対しても本発明を同様に適用することができる。また、実施例ではIPアドレスやMACアドレスをフィルタの条件としてチェックすることにしたが、名称の如何を問わず動的アドレスや絶対アドレスを用いて同様に出力フィルタとしての機能を持たせることができることも当然である。
【0059】
更に実施例では動的出力管理テーブル171に登録した内容と照合することで、送出するパケットのフィルタリングを行うことにしたが、このような特別のテーブルを設けずに、同様のフィルタリングを行うようにする場合も本発明が適用されることは当然である。
【図面の簡単な説明】
【0060】
【図1】本実施例でテレビジョン映像を視聴するためのマルチキャスト情報配信システムの概要を表わしたシステム構成図である。
【図2】本実施例で加入者回線収容装置とその周辺の回路構成の概要を示したブロック図である。
【図3】本実施例で加入者回線収容装置の要部のシステム構成を表わしたブロック図である。
【図4】本実施例で複合中継ユニットのハードウェア構成の概要を表わしたブロック図である。
【図5】本実施例で複合中継ユニットの主要な機能ブロックを示したブロック図である。
【図6】本実施例で動的出力フィルタ部に内蔵された動的出力管理テーブルの一部を表わした説明図である。
【図7】本実施例のDHCP処理部による動的出力管理テーブルの更新処理の様子を表わした流れ図である。
【図8】本実施例の動的出力フィルタ部によるパケットの送出制御の前半を表わした流れ図である。
【図9】本実施例の動的出力フィルタ部によるパケットの送出制御の後半を表わした流れ図である。
【符号の説明】
【0061】
100 マルチキャスト情報配信システム
102 加入者回線収容装置
103 DSL加入者回線
127 DSL加入者回線終端ユニット
130 アップリンク回線
135 ブリッジフォワーダ
141 装置制御CPU
142 ネットワークプロセッサ
167 動的出力フィルタ部
168 DHCP処理部
171 動的出力管理テーブル
【特許請求の範囲】
【請求項1】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、
前記通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、
このパケット情報読取手段の読み取った動的アドレスが前記アドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、
このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
とを具備することを特徴とする加入者回線収容装置。
【請求項2】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するアドレス情報取得手段と、
前記通信端末のいずれかに送出するパケットの宛先を示す前記絶対アドレスと動的アドレスの対からなるパケット情報を読み取るパケット情報読取手段と、
このパケット情報読取手段の読み取った絶対アドレスと動的アドレスの対が前記アドレス情報取得手段の取得した絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別手段と、
このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
とを具備することを特徴とする加入者回線収容装置。
【請求項3】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するアドレス情報取得手段と、
前記通信端末のいずれかに送出するパケットからその宛先を示す前記絶対アドレスと動的アドレスおよび前記加入者回線番号からなるパケット情報を読み取るパケット情報読取手段と、
このパケット情報読取手段の読み取った絶対アドレスと動的アドレスおよび加入者回線番号が前記アドレス情報取得手段の取得した絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別手段と、
このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
とを具備することを特徴とする加入者回線収容装置。
【請求項4】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
この加入者回線終端手段に終端された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、
前記動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別手段と、
この関連アドレス解析パケット判別手段が関連アドレス解析パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、
このパケット情報読取手段の読み取った動的アドレスが前記アドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、
このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
とを具備することを特徴とする加入者回線収容装置。
【請求項5】
前記動的アドレスはIPアドレスであることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
【請求項6】
前記絶対アドレスはMACアドレスであることを特徴とする請求項2〜請求項4いずれかに記載の加入者回線収容装置。
【請求項7】
前記関連アドレス解析パケットはARPパケットであることを特徴とする請求項4記載の加入者回線収容装置。
【請求項8】
ARPパケットは、ARP要求パケットあるいはARP応答パケットであることを特徴とする請求項7記載の加入者回線収容装置。
【請求項9】
前記加入者回線はDSL回線であることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
【請求項10】
前記加入者回線は光ファイバケーブルを使用した回線であることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
【請求項11】
前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の内部に備えられていることを特徴とする請求項7記載の加入者回線収容装置。
【請求項12】
前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の外部に備えられており、前記加入者回線終端手段の内部にはこのDHCPサーバに処理を委任するDHCPリレーエージェントが配置されていることを特徴とする請求項7記載の加入者回線収容装置。
【請求項13】
前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の外部に備えられており、前記アドレス情報取得手段は、前記アドレス情報をスプーフするスプーフィング手段であることを特徴とする請求項7記載の加入者回線収容装置。
【請求項14】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段に接続された通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
このパケット情報読取ステップで読み取った動的アドレスが前記加入者回線終端手段にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスのいずれかに一致するか否かを判別するアドレス情報一致有無判別ステップと、
このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
とを具備することを特徴とするパケットフィルタリング方法。
【請求項15】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスが前記加入者回線終端手段に接続された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別ステップと、
このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
とを具備することを特徴とするパケットフィルタリング方法。
【請求項16】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取るパケット情報読取ステップと、
このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスおよび加入者回線番号が前記加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別ステップと、
このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
とを具備することを特徴とするパケットフィルタリング方法。
【請求項17】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットが、これら通信端末に対して動的に割り当てられたアドレスとしての動的アドレスを指定してこれに対応する絶対アドレスの解決を行う関連アドレス解決パケットであるかどうかを判別する関連アドレス解決パケット判別ステップと、
この関連アドレス解決パケット判別ステップで関連アドレス解決パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
このパケット情報読取ステップで読み取った動的アドレスが前記加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末のいずれかに割り当てられた動的アドレスと一致するか否かを判別するアドレス情報一致有無判別ステップと、
このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
とを具備することを特徴とするパケットフィルタリング方法。
【請求項1】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、
前記通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、
このパケット情報読取手段の読み取った動的アドレスが前記アドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、
このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
とを具備することを特徴とする加入者回線収容装置。
【請求項2】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなる組をアドレス情報として逐次取得するアドレス情報取得手段と、
前記通信端末のいずれかに送出するパケットの宛先を示す前記絶対アドレスと動的アドレスの対からなるパケット情報を読み取るパケット情報読取手段と、
このパケット情報読取手段の読み取った絶対アドレスと動的アドレスの対が前記アドレス情報取得手段の取得した絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別手段と、
このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
とを具備することを特徴とする加入者回線収容装置。
【請求項3】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
この加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなる組をアドレス情報として逐次取得するアドレス情報取得手段と、
前記通信端末のいずれかに送出するパケットからその宛先を示す前記絶対アドレスと動的アドレスおよび前記加入者回線番号からなるパケット情報を読み取るパケット情報読取手段と、
このパケット情報読取手段の読み取った絶対アドレスと動的アドレスおよび加入者回線番号が前記アドレス情報取得手段の取得した絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別手段と、
このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
とを具備することを特徴とする加入者回線収容装置。
【請求項4】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段と、
この加入者回線終端手段に終端された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスをアドレス情報として逐次取得するアドレス情報取得手段と、
前記動的アドレスを指定してこれに対応する絶対アドレスの解析を行う関連アドレス解析パケットであるかどうかを判別する関連アドレス解析パケット判別手段と、
この関連アドレス解析パケット判別手段が関連アドレス解析パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取手段と、
このパケット情報読取手段の読み取った動的アドレスが前記アドレス情報取得手段の取得したアドレス情報のいずれかに一致するか否かを判別するアドレス情報一致有無判別手段と、
このアドレス情報一致有無判別手段が一致していると判別したパケットのみの送出を許可するパケット送出制御手段
とを具備することを特徴とする加入者回線収容装置。
【請求項5】
前記動的アドレスはIPアドレスであることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
【請求項6】
前記絶対アドレスはMACアドレスであることを特徴とする請求項2〜請求項4いずれかに記載の加入者回線収容装置。
【請求項7】
前記関連アドレス解析パケットはARPパケットであることを特徴とする請求項4記載の加入者回線収容装置。
【請求項8】
ARPパケットは、ARP要求パケットあるいはARP応答パケットであることを特徴とする請求項7記載の加入者回線収容装置。
【請求項9】
前記加入者回線はDSL回線であることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
【請求項10】
前記加入者回線は光ファイバケーブルを使用した回線であることを特徴とする請求項1〜請求項4いずれかに記載の加入者回線収容装置。
【請求項11】
前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の内部に備えられていることを特徴とする請求項7記載の加入者回線収容装置。
【請求項12】
前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の外部に備えられており、前記加入者回線終端手段の内部にはこのDHCPサーバに処理を委任するDHCPリレーエージェントが配置されていることを特徴とする請求項7記載の加入者回線収容装置。
【請求項13】
前記動的アドレスの割り当てを行うDHCPサーバが前記加入者回線終端手段の外部に備えられており、前記アドレス情報取得手段は、前記アドレス情報をスプーフするスプーフィング手段であることを特徴とする請求項7記載の加入者回線収容装置。
【請求項14】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段に接続された通信端末のいずれかに送出するパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
このパケット情報読取ステップで読み取った動的アドレスが前記加入者回線終端手段にそれぞれ接続された通信端末に対して動的に割り当てられたアドレスとしての動的アドレスのいずれかに一致するか否かを判別するアドレス情報一致有無判別ステップと、
このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
とを具備することを特徴とするパケットフィルタリング方法。
【請求項15】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスが前記加入者回線終端手段に接続された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスの対のいずれかの対と一致するか否かを判別するアドレス情報一致有無判別ステップと、
このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
とを具備することを特徴とするパケットフィルタリング方法。
【請求項16】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットの送出先の通信端末に対してユニークに割り当てられた絶対アドレスとこれに対して動的に割り当てられた動的アドレスおよびこの動的アドレスを取得した加入者回線番号からなるパケット情報を読み取るパケット情報読取ステップと、
このパケット情報読取ステップで読み取った絶対アドレスと動的アドレスおよび加入者回線番号が前記加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末の絶対アドレスと動的アドレスおよび加入者回線番号の組のいずれかと一致するか否かを判別するアドレス情報一致有無判別ステップと、
このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
とを具備することを特徴とするパケットフィルタリング方法。
【請求項17】
複数の加入者回線をそれぞれ個別に終端する加入者回線終端手段にそれぞれ接続された通信端末のいずれかに送出するパケットが、これら通信端末に対して動的に割り当てられたアドレスとしての動的アドレスを指定してこれに対応する絶対アドレスの解決を行う関連アドレス解決パケットであるかどうかを判別する関連アドレス解決パケット判別ステップと、
この関連アドレス解決パケット判別ステップで関連アドレス解決パケットであると判別したときそのパケットの宛先を示す動的アドレスからなるパケット情報を読み取るパケット情報読取ステップと、
このパケット情報読取ステップで読み取った動的アドレスが前記加入者回線終端手段に終端された加入者回線にそれぞれ接続された通信端末のいずれかに割り当てられた動的アドレスと一致するか否かを判別するアドレス情報一致有無判別ステップと、
このアドレス情報一致有無判別ステップで一致していると判別したパケットのみの送出を許可するパケット送出制御ステップ
とを具備することを特徴とするパケットフィルタリング方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2006−94416(P2006−94416A)
【公開日】平成18年4月6日(2006.4.6)
【国際特許分類】
【出願番号】特願2004−280486(P2004−280486)
【出願日】平成16年9月27日(2004.9.27)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成18年4月6日(2006.4.6)
【国際特許分類】
【出願日】平成16年9月27日(2004.9.27)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]