专利名称:中继设备、通信系统、通信方法以及计算机程序的制作方法
技术领域:
本发明涉及在TCP/IP ( Transmission Control Protocol / Internet Protocol,传输控制协议/因特网协议)中即便在服务器设备或IP电话机等 通信设备的IP地址重复的情况下,也能够通过将通信优先级高的通信设备 优先连接到网络上来防止发给这些通信设备的数据包不到达的情况的中继 设备、通信系统、通信方法以及计算机程序。
背景技术:
近年来,随着TCP/IP网络的普及,正在进行通过将安装有IP功能的 IP电话机直接连接到网络上来削减通信成本的尝试。但是,在TCP/IP的 通信环境下,需要给每个通信设备分配IP地址(四字节的数字串),以用 来在网络上识别与网络相连的工作站或服务器设备以及IP电话机等通信设 备(例如参见专利文献1)。
图15是作为以往的中继设备的交换式集线器设备的结构的框图。作 为以往的中继设备的交换式集线器设备100包括转换控制部110、存储 ARP (Address Resolution Protocol ,地址解析协议)表120a的存储部 120、 ARP表控制部130、以及通信端口 140-1、 140-2、 ...、 140-N。
转换控制部110用于进行数据包的收发处理,当接收到数据包时,参 考ARP表120a,选出与发送目的地的通信设备连接的通信端口,并向所 选出的通信端口转发数据包。ARP表120a是将IP地址与MAC地址对应 起来的表。IP地址是在网络上识别通信设备的识别信息,MAC地址是物 理识别通信设备的识别信息。
ARP表控制部130确定所接收的数据包的发送源IP地址以及发送源 MAC地址是否注册在ARP表120a中,并根据需要来在ARP表120a中添 加或变更IP地址和发送源MAC地址。通信端口 140-1、 140-2、 ...、 140-
N是与进行数据包的收发的通信设备相连的连接部。
以往的交换式集线器设备解析从连接在各通信端口上的通信设备150-
1、 150-2..... 150-N发送而来的数据包,指定数据包的发送目的地,并
向所指定的通信设备发送数据包,由此完成通信设备间的数据包的收发。
专利文献1:日本专利文献特开2001-36561号公报。
发明内容
但是,如果网络管理者以及使用者自由地进行IP地址的设定,则可能 会将同一个IP地址重复设定给多个通信设备,而如果多个通讯设备的IP 地址重复,则广播会被多次发送,从而导致通信不稳定。
就是说,当在LAN上存在IP地址重复的通信设备时,各通信设备的 ARP表会被非法更新,从而无法正常地进行数据包的收发,进而会发生通 信故障。例如,当通信设备为IP电话机时,可能变成来电声音不鸣响的状 态。此外,当然也存在数据包被错误发送到IP地址重复的另外的通信设备 中,而不是发送到本来应发送的通信设备中。
例如,考虑如图16所示的情况,即在第二 LAN上连接有服务器设备 160、以及终端(PC) 170a、 170b,在第一 LAN上连接有PC 170c,并从 PC 170c向服务器设备160发送数据包。
当服务器设备160和PC 170a的IP地址重复时,从PC 170c发送的数 据包基于IP地址而到达连接有服务器设备160的第二 LAN中。交换式集 线器设备100从数据包中取得IP地址,并参考ARP表120a,向与取得的 IP地址相对应的MAC地址的通信设备发送数据包。这里,由于服务器设 备160和PC 170a的IP地址重复,因而存在两个与IP地址对应的MAC地 址,因此存在错误发送到具有重复的IP地址的PC 170a中的可能性。
当数据包被发送到PC 170a中时,所发送的数据包被忽略。此外,由 于数据包没有被发送到服务器设备100中,因此重发数据包(但只在TCP 数据包的场合),从而从PC 170c向服务器设备160发送数据包的发送完 成时间将增加重发处理的时间。当数据包大小较小或为UDP数据包时, 不进行数据包的重发,因此会出现通信被正常进行的场合和不被正常进行
的场合,从而被认识到网络处于不稳定的状态。
本发明就会建议上述的情况而完成的,其目的在于,提供一种即使在 通信设备的IP地址重复的情况下也能够通过将通信优先级高的通信设备优 先连接到网络上来防止发给这些通信设备的数据包不到达的情况的中继设 备、通信系统、通信方法以及计算机程序。
第一发明涉及的中继设备包括多个通信端口,并用于将连接在各通信 端口上的通信设备连接到网络上,其特征在于,包括将在网络上识别各 通信设备的网络识别信息和物理识别该通信设备的物理识别信息对应起来 的识别信息表;接收优先级信息的装置,该优先级信息表示各通信设备的 通信优先级;将接收的优先级信息与通信设备的物理识别信息对应起来的 装置;第一确定装置,确定包含在由各通信端口接收的数据包中的发送源 的网络识别信息以及发送源的物理识别信息是否存在于所述识别信息表 中;添加装置,当由所述第一确定装置确定出所述发送源的网络识别信息 不存在于所述识别信息表中时,该添加装置将所述发送源的网络识别信息 以及所述发送源的物理识别信息添加到识别信息表中;以及,使所述识别 信息表附带与所述发送源的物理识别信息对应的优先级信息的装置。
在第一发明中,以识别信息表的方式将在网络上识别各通信设备的网 络识别信息与物理识别物理识别信息对应起来,同时接收表示各通信设备 的通信优先级的优先级信息,并将所接收的优先级信息与通信设备的优先 级信息对应起来,其中所述各通信设备与设于中继设备中的多个通信端口 相连。并且,确定包含在由各通信端口接收的数据包中的发送源的网络识 别信息以及发送源的物理识别信息是否存在于识别信息表中,当发送源的 网络识别信息存在于识别信息表中时,将发送源的网络识别信息以及发送 源的物理识别信息添加到识别信息表中,并且使所述识别信息表附带与发 送源的物理识别信息对应的优先级信息。由此,通信设备的网络识别信 息、物理识别信息以及优先级信息将在识别信息表中彼此对应。
第二发明涉及的中继装置的特征在于,还包括第二确定装置,当由 所述第一确定装置确定出所述发送源的网络识别信息存在于所述识别信息 表中,但所述发送源的物理识别信息不存在于所述识别信息表中时,该第
二确定装置确定与所述发送源的物理识别信息对应的优先级信息是否高于 与在所述识别信息表中和所述发送源的网络识别信息对应起来的物理识别信息相对应的优先级信息;以及,更新装置,当由所述第二确定装置确定 出与所述发送源的物理识别信息对应的优先级信息高于与在所述识别信息 表中和所述发送源的网络识别信息对应起来的物理识别信息相对应的优先 级信息时,该更新装置更新所述识别信息表,以便将所述发送源的物理识 别信息与所述网络识别信息对应起来。在第二发明中,当由确定出发送源的网络识别信息存在于识别信息表 中,但发送源的物理识别信息不存在于识别信息表中时,确定与发送源的 物理识别信息对应的优先级信息是否高于与在识别信息表中和发送源的网 络识别信息对应起来的物理识别信息相对应的优先级信息,并且当确定出 与发送源的物理识别信息对应的优先级信息高于与在识别信息表中和发送 源的网络识别信息对应起来的物理识别信息相对应的优先级信息时,更新 识别信息表,以便将发送源的物理识别信息与网络识别信息对应起来。由 此,当网络识别信息重复时,在识别信息表中存储优先级信息高的那一方 的通信设备的MAC地址。第三发明涉及的中继装置的特征在于,还包括丢弃装置,当由所述第 二确定装置确定出与所述发送源的物理识别信息对应的优先级信息低于与 在所述识别信息表中和所述发送源的网络识别信息对应起来的物理识别信 息相对应的优先级信息时,该丢弃装置丢弃所述数据包。在第三发明中,当确定出与发送源的物理识别信息对应的优先级信息 低于与在识别信息表中和发送源的网络识别信息对应起来的物理识别信息 相对应的优先级信息时,丢弃数据包。第四发明涉及的中继设备的特征在于,还包括将由所述丢弃装置丢 弃的数据包的发送源的网络识别信息以及物理识别信息记录到历史信息中 的装置;以及,第三确定装置,确定包含在所发送的数据包中的物理识别 信息是否存在于所述历史信息中,进而确定包含在所述数据包中的网络识 别信息是否存在于所述历史信息中;当由所述第三确定装置确定出包含在 所述数据包中的网络识别信息存在于所述历史信息中时,所述添加装置不
将包含在所述数据包中的网络识别信息以及物理识别信息添加到识别信息 表中。在第四发明中,将丢弃的数据包的发送源的网络识别信息以及物理识 别信息记录到历史信息中。接着,确定包含在所发送的数据包中的物理识 别信息是否存在于历史信息中,进而确定包含在数据包中的网络识别信息 是否存在于历史信息中。并且,当确定出包含在数据包中的网络识别信息 存在于历史信息中时,不将包含在数据包中的网络识别信息以及物理识别 信息添加到识别信息表中。第五发明涉及的中继设备的特征在于,当由所述第三确定装置确定出 包含在所述数据包中的网络识别信息不存在于所述历史信息中时,所述添 加装置将包含在所述数据包中的网络识别信息以及物理识别信息添加到识 别信息表中。在第五发明中,当确定出包含在数据包中的网络识别信息不存在于历 史信息中时,将包含在数据包中的网络识别信息以及物理识别信息添加到 识别信息表中。第六发明涉及的中继设备的特征在于,还包括重置装置,该重置装置 重置除所述识别信息表中的优先级信息高的物理识别信息以及与该优先级 信息对应起来的网络识别信息之外的识别信息表。在第六发明中,重置除识别信息表中的优先级信息高的物理识别信息 以及与该优先级信息对应起来的网络识别信息之外的识别信息表。第七发明涉及的中继设备的特征在于,还包括转换装置,参考所述 识别信息表,将包含在通过各通信端口接收的数据包中的发送源的网络识 别信息转换成物理识别信息;以及,向通信设备转发所述数据包的装置, 该通信设备具有由所述转换装置转换的物理识别信息。在第七发明中,参考识别信息表,将包含在通过各通信端口接收的数 据包中的发送源的网络识别信息转换成物理识别信息。并且向具有由转换 装置转换的物理识别信息的通信设备转发数据包。第八发明涉及的通信系统的特征在于,包括上述发明中任一发明所 述的中继设备;以及连接在该中继设备的各通信端口上的通信设备,并
且,所述通信系统在各通信设备之间进行通信。在第八发明中,间通信设备连接到上述通信设备的各通信端口上,从 而在各通信设备之间进行通信。第九发明涉及的通信方法在中继设备中参考识别信息表来指定所接收 的数据包的发送目的地并进行发送,其中,所述中继设备用于将连接在多 个通信端口中的每一个上的通信设备连接到网络上,所述识别信息表将在 网络上识别各通信设备的网络识别信息和物理识别该通信设备的物理识别 信息对应起来,所述通信方法的特征在于,将表示各通信设备的通信优先级的优先级信息与通信设备的物理识别信息对应起来;当包含在由各通信设备接收的数据包中的发送源的网络识别信息不存在于所述识别信息表中 时,将所述发送源的网络识别信息以及所述发送源的物理识别信息添加到 识别信息表中,并使所述识别信息表附带与所述发送源的物理识别信息对应的优先级信息;当所述发送源的网络识别信息存在于所述识别信息表 中,但所述发送源的物理识别信息不存在于所述识别信息表中,而且与所 述发送源的物理识别信息对应的优先级信息高于与在所述识别信息表中和 所述发送源的网络识别信息对应起来的物理识别信息相对应的优先级信息 时,更新所述识别信息表,以便将所述发送源的物理识别信息与所述网络 识别信息对应起来,由此来防止同一网络识别信息重复注册在所述识别信 息表中,并将所接收的数据包的发送目的地指定为一个。在第九发明中,中继设备接收表示各通信设备的通信优先级的优先级 信息,并将接收的优先级信息与通信设备的物理识别信息对应起来。并 且,当包含在由各通信设备接收的数据包中的发送源的网络识别信息不存 在于识别信息表中时,将发送源的网络识别信息以及发送源的物理识别信 息添加到识别信息表中,并使识别信息表附带与发送源的物理识别信息对 应的优先级信息。另一方面,当发送源的网络识别信息存在于识别信息表 中,但发送源的物理识别信息不存在于识别信息表中,而且与发送源的物 理识别信息对应的优先级信息高于与在识别信息表中和发送源的网络识别 信息对应起来的物理识别信息相对应的优先级信息时,更新识别信息表, 以便将发送源的物理识别信息与网络识别信息对应起来。由此能够防止同一网络识别信息重复注册在识别信息表中,并将所接收的数据包的发送目 的地指定为一个。第十发明涉及的计算机程序用于根据包含在数据包中的发送源的通信 设备的网络识别信息以及物理识别信息,来更新将网络识别信息与物理识 别信息对应起来的识别信息表,其特征在于,使计算机执行将表示各通 信设备的通信优先级的优先级信息与通信设备的物理识别信息对应起来的 步骤;确定包含在由各通信端口接收的数据包中的发送源的网络识别信息 以及发送源的物理识别信息是否存在于所述识别信息表中的确定步骤;当 在所述确定步骤中确定出所述发送源的网络识别信息不存在于所述识别信 息表中时,将所述发送源的网络识别信息以及所述发送源的物理识别信息 添加到识别信息表中的步骤;以及,使所述识别信息表附带与所述发送源 的物理识别信息对应的优先级信息的步骤。在第十方面中,使计算机接收表示各通信设备的通信优先级的优先级 信息,并将接收的优先级信息与通信设备的物理识别信息对应起来。并且 时计算机确定包含在由各通信端口接收的数据包中的发送源的网络识别信 息以及发送源的物理识别信息是否存在于识别信息表中。当确定出发送源 的网络识别信息不存在于识别信息表中时,使计算机将发送源的网络识别 信息以及发送源的物理识别信息添加到识别信息表中,并将与发送源的物 理识别信息对应的优先级信息附带于识别信息表中。第十一发明涉及的计算机程序的特征在于,还使计算机执行当在所 述确定步骤中确定出所述发送源的网络识别信息存在于所述识别信息表 中,但所述发送源的物理识别信息不存在于所述识别信息表中时,确定与 所述发送源的物理识别信息对应的优先级信息是否高于与在所述识别信息 表中和所述发送源的网络识别信息对应起来的物理识别信息相对应的优先 级信息的第二确定步骤;以及,当在所述第二确定步骤中确定出与所述发 送源的物理识别信息对应的优先级信息高于与在所述识别信息表中和所述 发送源的网络识别信息对应起来的物理识别信息相对应的优先级信息时, 更新所述识别信息表,以便将所述发送源的物理识别信息与所述网络识别 信息对应起来的步骤。
在第十一发明中,当确定出发送源的网络识别信息存在于识别信息表 中,但发送源的物理识别信息不存在于识别信息表中时,使计算机确定与 发送源的物理识别信息对应的优先级信息是否高于与在识别信息表中和发 送源的网络识别信息对应起来的物理识别信息相对应的优先级信息。并 且,当确定出与发送源的物理识别信息对应的优先级信息高于与在识别信 息表中和发送源的网络识别信息对应起来的物理识别信息相对应的优先级 信息时,使计算机更新识别信息表,以便将发送源的物理识别信息与网络 识别信息对应起来。发明效果根据本发明,即便在通信设备的网络识别信息重复的情况下,也总是将通信优先级高的通信设备的MAC地址与该IP地址对应起来,从而在 ARP表1 la中只注册1组的IP地址和MAC地址。由此,将通信优先级高 的通信设备优先连接到网络上,能够防止发给这些通信设备的数据包不到 达的情况。根据本发明,当确定出与发送源的物理识别信息对应的优先级信息低 于与在识别信息表中和发送源的网络识别信息对应起来的物理识别信息相 对应的优先级信息时,丢弃数据包。由此,数据包不会从中继设备被发送 到外部的网络。从而,即便在带恶意的第三者使用与服务器设备等重要的通信设备的 网络识别信息相同的网络识别信息连接到中继设备上,从而第三者的通信 设备的网络识别信息以及物理识别信息被注册到识别信息表中的情况下, 即便之后才连接服务器设备等重要的通信设备,也能够将最初注册的第三 者的通信设备的物理识别信息变更为服务器设备等重要的通信设备的物理 识别信息,因此可获得能够提高安全性等的优异的效果。
图1是输出连接有本发明涉及的中继设备的状态下的TCP/IP网络系 统的结构的框图;图2是示出作为本发明涉及的中继设备的交换式集线器设备的结构的 框图;图3是ARP表的概要的示意图;图4是优选MAC地址信息的概要的示意图;图5是由交换式集线器设备进行的ARP表的注册/更新处理的流程图;图6是由交换式集线器设备进行的ARP表的注册/更新处理的流程图;图7是由交换式集线器设备进行的ARP表的注册/更新处理的流程图;图8是由交换式集线器设备进行的ARP表的注册/更新处理的流程图;图9是ARP表的更新处理(MAC地址更新)的概要的示意图; 图10是从连接在交换式集线器设备上的通信设备发送数据包的发送 例的图;图11是向连接在交换式集线器设备上的通信设备发送数据包的发送 例的图;图12是历史信息的概要的示意图;图13是ARP表的重置处理的概要的示意图;图14是示出作为本发明涉及的中继设备的交换式集线器设备的其他 结构的要部的框图;图15是示出作为以往中继设备的交换式集线器设备的结构的框图;图16是用于说明现有技术中的问题的图。标号说明1交换式集线器设备 10转换控制部 11存储部 lla ARP表lib优先MAC地址信息 lie历史信息
12 ARP表控制部13 (13-1、 13-2、 13-N)通信端口 14通知部具体实施方式
下面,参考示出本发明的实施方式的附图来详细说明本发明。 图1是输出连接有本发明涉及的中继设备的状态下的TCP/IP网络系统 的结构的框图。TCP/IP网络系统具有如下结构作为中继设备的交换式集线器设备 la、 lb连接在用于将不同的网络(这里为第一 LAN、第二 LAN)连接起 来的路由器设备5上,通信设备6、 6连接在交换式集线器设备la上,通 信设备6、 6、 6连接在交换式集线器设备lb上。路由器设备5判断作为数据包的发送目的地的通信设备的IP地址,由 此自动选择最优路径来向交换式集线器设备转发数据包。在图1所示的例 子中,各通信设备属于同一广播域,收发数据包的通信设备彼此经由一个 或多个交换式集线器设备1而连接,当在通信设备之间进行数据包的收发 时,经由交换式集线器设备l来进行所述收发。图2是示出作为本发明涉及的中继设备的交换式集线器设备的结构的 框图。作为本发明涉及的中继设备的交换式集线器设备1包括控制部(转 换控制部)10、存储部11、 ARP表控制部12、通信端口 13、以及通知部 14。在存储部11中存储ARP表12a、优先MAC地址信息llb、历史信息 llc。通信端口 13是与进行数据包的收发的各通信设备相连的连接部,包 括第一端口 13-1、第二端口 13-2、...、第N端口 13-N。转换控制部IO用于进行数据包的收发处理。具体地说,当接收到数据 包时,参考ARP表lla来选出与发送目的地的通信设备相连的通信端口13 (13-1、 13-2..... 13-N中的某一通信端口),并向选出的通信端口 13转发数据包。如图3所示,ARP表lla是将IP地址和MAC地址对应起来的表,并
对应有与使用MAC地址识别的通信设备相连接的通信端口,以便能够识 别该通信端口。在本发明中,还与MAC地址对应存储了表示通信优先级 的优先级信息。优先级信息是用于识别不允许停止服务的服务器设备或IP电话机这样 的通信识别的信息,该信息以标志的形式被注册在ARP表lla中。例如, 当标记为1时,表示该通信设备"优先",当标记为0时,表示该通信设 备"不优先(非优先)"。ARP表控制部12参考ARP表lla来确定所接收的数据包的发送源IP 地址以及发送源MAC地址,并根据需要,进行ARP表lla的更新,即进 行IP地址以及发送源MAC地址的添加以及变更。如图4所示,优先MAC地址信息lib表示优先进行通信的通信设备 的MAC地址,并被管理者适当更新。例如,从连接在通信端口 13上的 PC这样的通信终端设备接收优先进行通信的通信设备的MAC地址,并由 ARP表控制部12将所接收的MAC地址添加到优先MAC地址信息lib 中。此外,也可以变更或删除MAC地址信息lib中所注册的MAC地 址。此外,ARP表控制部12将所接收的数据包的历史信息llc存储到存 储部11中。通知部14根据ARP表控制部12的指示,生成表示没有注册 在ARP表11a中的通知文,并经由转换控制部10向所述特定的通信设备 发送通知文(对于历史信息llc的详细内容,将在后面进行说明)。接着,对如上构成的交换式集线器设备1的操作进行说明。首先,基 于图5~图8所示的流程图来说明由交换式集线器设备l进行的ARP表11a 的注册/更新处理。如图5所示,在由连接在交换式集线器设备1上的PC等通信终端设 备注册了优先MAC地址信息llb的状态下,当通过通信端口 13接收到从 通信设备发送的数据包时,ARP表控制部12从所接收的数据包中提取包 含在其报头中的发送源IP地址以及发送源MAC地址(步骤S1)。然后, 将发送源IP地址以及发送源MAC地址作为检索词,检索发送源IP地址 以及发送源MAC地址是否已注册在ARP表中(步骤S2)。
根据检索的结果,来确定发送源IP地址是否已注册在ARP表lla中 (步骤S3),并且确定发送源MAC地址是否已注册在ARP表lla中(步 骤S4、 S5)。[(1)当没有注册发送源IP地址以及发送源MAC地址时]当确定出发送源IP地址没有注册在ARP表lla中(步骤S3:否)、 并且发送源MAC地址也没有注册在ARP表lla中(步骤S4:否)时,进 行将发送源IP地址以及发送源MAC地址注册到ARP表lla中的ARP注 册处理(步骤S6)。如图6所示,在ARP注册处理中,首先确定发送源MAC地址是否已 注册在优先MAC地址信息llb中(步骤SIO)。当发送源MAC地址已注册在优先MAC地址信息lib中时(步骤 S10:是),向ARP表lla中注册发送源IP地址和发送源MAC地址,并 将标记作为"1"注册到ARP表中,由此将发来数据包的通信设备的通信 优先级注册为"优先"(步骤Sll)。然后,根据ARP表lla,指定数据 包的发送目的地来进行发送处理(步骤S13)。当发送源MAC地址没有注册在优先MAC地址信息lib中时(步骤 S10:否),向ARP表lla中注册发送源IP地址和发送源MAC地址,并 将标记作为"0"注册到ARP表中,由此将发来数据包的通信设备的通信 优先级注册为"不优先"(步骤S12)。然后,转移到S13中进行发送处 理。[(2)当没有注册发送源IP地址但己注册发送源MAC地址时]当确定出发送源IP地址没有注册在ARP表lla中(步骤S3:否)、 而发送源MAC地址已注册在ARP表lla中(步骤S4:是)时,进行 ARP更新处理(IP地址更新),即将与ARP表lla的发送源MAC地址相 对应的IP地址更新为发送源IP地址(步骤S7)。如图7所示,在ARP更新处理(IP地址更新)中,首先确定发送源 MAC地址是否已注册在优先MAC地址信息llb中(步骤S20)。当发送源MAC地址已注册在优先MAC地址信息lib中时(步骤 S20:是),将发送源IP地址以与MAC地址对应的状态注册到ARP表lla中,并将标记作为"1"注册到ARP表lla中,由此将发来数据包的 通信设备的通信优先级注册为"优先"(步骤S21)。然后,根据ARP表 lla,指定数据包的发送目的地来进行发送处理(步骤S23)。当发送源MAC地址没有注册在优先MAC地址信息lib中时(步骤 S20:否),将发送源IP地址以与MAC地址对应的状态注册到ARP表 lla中,并将标记作为"0"注册到ARP表lla中,由此将发来数据包的 通信设备的通信优先级注册为"不优先"(步骤S22)。然后,然后,转 移到S13中进行发送处理。这里,与上述的AEP注册处理不同之处在于 将与ARP表lla的发送源MAC地址相对应的IP地址改写成发送源IP地 址。于是防止对应一个MAC地址而注册多个IP地址的情况。[(3)当己注册发送源IP地址但没有注册发送源MAC地址时]当确定出发送源IP地址已注册在ARP表lla中(步骤S3:是)、但 发送源MAC地址没有注册在ARP表lla中(步骤S4:否)时,进行 ARP更新处理(MAC地址更新),即将与ARP表lla的发送源IP地址相 对应的MAC地址更新为适当的发送源MAC地址(步骤S8)。如图8所示,在ARP更新处理(MAC地址更新)中,由于具有与发 送了数据包的通信设备的IP地址相同的IP地址的通信设备连接在交换式 集线器设备1上,因而为了判断某个通信设备的通信优先级是否高,首先 确定与注册在ARP表lla中的IP地址相对应的通信优先级是否为"优 先",即标志是否为"1"(步骤S30)。就是说,査看是否优先已连接的 通信设备的通信。当与注册在ARP表lla中的IP地址相对应的标志为"1"时(步骤 S30:是),作出已注册在ARP表lla中的通信设备的通信优先于发送了 上述数据包的通信设备的判断,从而不向发送源转发所接收的数据包,而 是丢弃该数据包(步骤S31)。此外,上述通信设备的MAC地址不被注 册到ARP表lla中,从而即便在IP地址重复的情况下,通信优先级高的 那一方的通信设备的MAC地址也不会被更新为低的那一方的通信设备的 MAC地址。当与注册在ARP表lla中的IP地址相对应的标志不为"1"时(步骤
S30:否),由于已注册在ARP表lla中的通信设备的通信优先级低,因 此,接下来为了判断发来数据包的通信设备的通信优先级是否高,而确定 包含在数据包中的发送源MAC地址是否已注册在优先MAC地址信息lib 中(步骤S32)。当发送源MAC地址已注册在优先MAC地址信息lib中时(步骤 S32:是),将发送源MAC地址以与IP地址对应的状态注册到ARP表 lla中,并将标记作为"1"注册到ARP表lla中,由此将发来数据包的 通信设备的通信优先级注册为"优先"(步骤S33)。然后,根据ARP表 lla,指定数据包的发送目的地来进行发送处理(步骤S34)。另外,如图9所示,在步骤S33中改写(更新)与己注册在ARP表 lla中的IP地址相对应的MAC地址。由此,当IP地址重复时,通信优先 级低的那一方的通信设备的MAC地址被更新为通信优先级高的那一方的 通信设备的MAC地址。于是,即便在IP地址重复的情况下,也总是将通 信优先级高的通信设备的MAC地址与该IP地址对应起来,从而在ARP 表1 la中只注册1组的IP地址和MAC地址。当发送源MAC地址没有注册在优先MAC地址信息lib中时(步骤 S32:否),作出已注册在ARP表lla中的通信设备的通信优先于发送了 上述数据包的通信设备的判断,从而转移到步骤S31中,不向发送源转发 所接收的数据包,而是丢弃该数据包。如此,优先最初注册在ARP表lla 中的通信设备的通信(当优先级相同时,优先先连接的通信设备)。[(1)当已注册发送源IP地址以及发送源MAC地址时]当确定出发送源IP地址己注册在ARP表lla中(步骤S3:是)、并 且发送源MAC地址也己注册在ARP表lla中(步骤S4:是)时,不进行 ARP表lla的变更,而是根据ARP表lla,指定数据包的发送目的地来进 行发送处理(步骤S9)。通过使用如上构成的交换式集线器设备1构成TCP/IP网络系统,如下 所述,可优先进行通信优先级被指定为"优先"(标志被指定为"1") 的通信设备的数据包通信。如图10所示,当从连接在交换式集线器设备1上的通信设备6、 6、 6
发送数据包时,即便通信设备6a和6c的IP地址重复,也由于通信设备6a 的通信优先级为"不优先"(标志为"0")、并且通信设备6c的通信优 先级为"优先"(标志为"1"),因而在通信设备6c连接着的情况下, 通信设备6a的信息将从ARP表lla中消失(图10A)。从而,能够从通 信设备6c经由交换式集线器设备l来发送数据包(图10B),但是由于由 于通信设备6a的数据包在交换式集线器设备1中被丢弃(图10C),因此 能够防止来自通信设备6a的数据包被发送。因此,例如即便在由恶意的第三者使用与服务器设备等重要的通信设 备的IP地址相同的IP地址连接到交换式集线器设备1上,从而第三者的 通信设备的IP地址以及MAC地址被注册到ARP表lla中的情况下,只要 将服务器设备等重要的通信设备的MAC地址注册在优先MAC地址信息 lib中,即便之后才连接服务器设备等重要的通信设备,也能将最初注册 的第三者的通信设备的MAC地址变更为服务器设备等重要的通信设备的 MAC地址,因此能够提高安全性。尤其,最近网上购物等电子交易也逐渐渗透到一般家庭中,但是,如 果恶意的第三方冒充为买方的服务器设备,则买方的姓名、住所、电话号 码、信用卡号码等个人信息将处于被搾取的危险境地,而本发明对于这种 状况非常有用。此外,如图11所示,当向连接在交换式集线器设备l上的通信设备发 送数据包时,即便通信设备的IP地址重复,本发明的交换式集线器设备1 也在ARP表1 la中只注册1组的IP地址和MAC地址,并且优先将通信优 先级被注册为"优先"的通信设备的MAC地址注册在ARP表lla中(图IIA) ,因此交换式集线器设备1向优先级高的通信设备发送数据包(图IIB) 。艮P,不会向被注册为"不优先"的通信设备发送数据包,但由于至少 向注册为"优先"的通信设备优先发送数据包,因此能够保证向不希望停 止通信的服务器设备、IP电话机等重要的通信设备进行的通信,能够防止 数据包不到达。此外,在由交换式集线器设备l进行的ARP表lla的注册处理中,将
丢弃了数据包的发送源的IP地址以及MAC地址记录在历史信息11c中, 并基于所记录的历史信息llc来判断是否更新ARP表lla。例如,如图12所示,ARP表控制部12将历史信息llc存储在存储部 11中,该历史信息llc中包含丢弃的数据包的接收日期和时间、发送源的 IP地址、MAC地址。然后,ARP表控制部12确定历史信息llc中是否存 在数据包的发送源MAC地址,并确定历史信息llc中是否存在数据包的 发送源IP地址。当历史信息llc中存在IP地址时,ARP表控制部12不将数据包的发 送源IP地址以及发送源MAC地址添加到ARP表lla中。另一方面,当历 史信息1 lc中不存在IP地址时,ARP表控制部12将数据包的发送源IP地 址以及发送源MAC地址添加到ARP表1 la中。由此,不会以过去删除了数据包的发送源IP地址和发送源MAC地址 的组合被添加到ARP表lla中。这是因为与过去相同的发送源IP地址和 发送源MAC地址被错误设定的可能性高、或者由恶意的第三者冒充该IP 地址的可能性高的缘故。另外,虽然也可以考虑使得过去删除了数据包的 MAC地址无法注册到ARP表中,但由于也存在只是错误设定的情况,因 此只有在发送源IP地址和发送源MAC地址都一致时才拒绝向ARP表lla 中注册。而且,ARP表控制部12参考历史信息llc来指定被认定为不添加 (注册)到ARP表lla中的IP地址和MAC地址的通信设备,并指示通知 部14以使其向该通信设备进行通知。通知部14根据ARP表控制部12的 指示,生成表示没有被注册到ARP表lla中的通知文,并经由转换控制部 10而向所述指定的通信设备发送通知文。由此,该通信设备的用户可通过 通知文掌握IP地址的重复。此外,与以往一样,当通信发生了故障时,也 可以生成故障信息并将其通知给各通信设备。此外,ARP表控制部12除了 ARP表lla中的优先级信息高的MAC 地址、和与该优先级信息相对应的IP地址之外,重置ARP表lla。艮口, 如图13所示,从ARP表lla中删除优先级信息为"0"的IP地址 =1.2.3.2、 MAC地址=1.2.3.4.5.2, IP地址=1.2.3.3、 MAC地址=1.2.3.4.5.3,
以及IP地址=1.2.3.5、 MAC地址=1.2.3.4.5.5。另一方面,优先级信息为 "1"的IP地址=1.2.3.1、 MAC地址=1.2.3.4.5.1,以及IP地址=1.2.3.4、 MAC地址=1.2.3.4.5.4不从ARP表lla中删除。由此,优先级信息为"1"的IP地址以及MAC地址的信息不会通过 ARP表lla的重置处理而被删除,因此,不会因为恶意的第三者在重置处 理期间使用与服务器设备等重要的通信设备的IP地址相同的IP地址连接 到交换式集线器设备1上,而存在第三者的通信设备的IP地址以及MAC 地址注册到ARP表lla中的危险。从而,能够进一步提高安全性。在实施方式中,为了简化说明,对表示通信优先级的优先级信息为二 值形式的情况进行了说明,但也可以是优先级信息为多值形式(三值以 上)的情况。例如,如图14所示,在存储部11中预先保存将通信优先级 分为"上"、"中"、"下"的通信优先级表lld,并由ARP表控制部12 通过参考该通信优先级表lld来在ARP表lla中注册与通信优先级对应的 标志。例如,当标志为"2"时,表示其通信设备的通信优先级为 "上",当标志为"1"时,表示其通信设备的通信优先级为"中",而 当标志为"0"时,表示其通信设备的通信优先级为"下"。通过如此为通信优先级设定多个等级,例如将服务器设备等最重要的 通信设备设为最优先,接下来将网络管理员的通信终端设备等重要的通信 设备设为第二优先,并将一般用户的通信终端设备等通信设备设为非优 先,由此能够细化管理通信的优先级。此外,在实施方式中,对通信设备进行物理识别的识别信息使用了 MAC地址,但只要是唯一指定通信设备的信息,也可以使用设备名称、 主要使用者的名称等。
权利要求
1. 一种中继设备,包括多个通信端口,并用于将连接在各通信端口上的通信设备连接到网络上,其特征在于,包括将在网络上识别各通信设备的网络识别信息和物理识别该通信设备的物理识别信息对应起来的识别信息表;接收优先级信息的装置,该优先级信息表示各通信设备的通信优先级;将接收的优先级信息与通信设备的物理识别信息对应起来的装置;第一确定装置,确定包含在由各通信端口接收的数据包中的发送源的网络识别信息以及发送源的物理识别信息是否存在于所述识别信息表中;添加装置,当由所述第一确定装置确定出所述发送源的网络识别信息不存在于所述识别信息表中时,该添加装置将所述发送源的网络识别信息以及所述发送源的物理识别信息添加到识别信息表中;以及使所述识别信息表附带与所述发送源的物理识别信息对应的优先级信息的装置。
2. 如权利要求1所述的中继设备,其特征在于,还包括 第二确定装置,当由所述第一确定装置确定出所述发送源的网络识别信息存在于所述识别信息表中,但所述发送源的物理识别信息不存在于所 述识别信息表中时,该第二确定装置确定与所述发送源的物理识别信息对 应的优先级信息是否高于与在所述识别信息表中和所述发送源的网络识别 信息对应起来的物理识别信息相对应的优先级信息;以及更新装置,当由所述第二确定装置确定出与所述发送源的物理识别信 息对应的优先级信息高于与在所述识别信息表中和所述发送源的网络识别 信息对应起来的物理识别信息相对应的优先级信息时,该更新装置更新所 述识别信息表,以便将所述发送源的物理识别信息与所述网络识别信息对 应起来。
3. 如权利要求2所述的中继设备,其特征在于,还包括丢弃装置,当由所述第二确定装置确定出与所述发送源的物理 识别信息对应的优先级信息低于与在所述识别信息表中和所述发送源的网 络识别信息对应起来的物理识别信息相对应的优先级信息时,该丢弃装置 丢弃所述数据包。
4. 如权利要求3所述的中继设备,其特征在于,还包括 将由所述丢弃装置丢弃的数据包的发送源的网络识别信息以及物理识别信息记录到历史信息中的装置;以及第三确定装置,确定包含在所发送的数据包中的物理识别信息是否存 在于所述历史信息中,进而确定包含在所述数据包中的网络识别信息是否 存在于所述历史信息中;当由所述第三确定装置确定出包含在所述数据包中的网络识别信息存 在于所述历史信息中时,所述添加装置不将包含在所述数据包中的网络识 别信息以及物理识别信息添加到识别信息表中。
5. 如权利要求4所述的中继设备,其特征在于,当由所述第三确定装置确定出包含在所述数据包中的网络识别信息不 存在于所述历史信息中时,所述添加装置将包含在所述数据包中的网络识 别信息以及物理识别信息添加到识别信息表中。
6. 如权利要求1至5中任一项所述的中继设备,其特征在于, 还包括重置装置,该重置装置重置除所述识别信息表中的优先级信息高的物理识别信息以及与该优先级信息对应起来的网络识别信息之外的识 别信息表。
7. 如权利要求1至6中任一项所述的中继设备,其特征在于,还包括转换装置,参考所述识别信息表,将包含在通过各通信端口接收的数 据包中的发送源的网络识别信息转换成物理识别信息;以及向通信设备转发所述数据包的装置,该通信设备具有由所述转换装置 转换的物理识别信息。
8. —种通信系统,其特征在于,包括权利要求1至7中任一项所述 的中继设备;以及连接在该中继设备的各通信端口上的通信设备,并且,所述通信系统在各通信设备之间进行通信。
9. 一种通信方法,在中继设备中参考识别信息表来指定所接收的数据包的发送目的地并进行发送,其中,所述中继设备用于将连接在多个通信 端口中的每一个上的通信设备连接到网络上,所述识别信息表将在网络上 识别各通信设备的网络识别信息和物理识别该通信设备的物理识别信息对 应起来,所述通信方法的特征在于,将表示各通信设备的通信优先级的优先级信息与通信设备的物理识别信息对应起来;当包含在由各通信设备接收的数据包中的发送源的网络识别信息不存 在于所述识别信息表中时,将所述发送源的网络识别信息以及所述发送源 的物理识别信息添加到识别信息表中,并使所述识别信息表附带与所述发 送源的物理识别信息对应的优先级信息;当所述发送源的网络识别信息存在于所述识别信息表中,但所述发送 源的物理识别信息不存在于所述识别信息表中,而且与所述发送源的物理 识别信息对应的优先级信息高于与在所述识别信息表中和所述发送源的网 络识别信息对应起来的物理识别信息相对应的优先级信息时,更新所述识 别信息表,以便将所述发送源的物理识别信息与所述网络识别信息对应起 来,由此来防止同一网络识别信息重复注册在所述识别信息表中,并将所 接收的数据包的发送目的地指定为一个。
10. —种计算机程序,用于根据包含在数据包中的发送源的通信设备 的网络识别信息以及物理识别信息,来更新将网络识别信息与物理识别信 息对应起来的识别信息表,其特征在于,使计算机执行将表示各通信设备的通信优先级的优先级信息与通信设备的物理识别 信息对应起来的步骤;确定包含在由各通信端口接收的数据包中的发送源的网络识别信息以 及发送源的物理识别信息是否存在于所述识别信息表中的确定步骤;当在所述确定步骤中确定出所述发送源的网络识别信息不存在于所述 识别信息表中时,将所述发送源的网络识别信息以及所述发送源的物理识 别信息添加到识别信息表中的步骤;以及使所述识别信息表附带与所述发送源的物理识别信息对应的优先级信息的步骤。
11.如权利要求10所述的计算机程序,其特征在于,还使计算机执行当在所述确定步骤中确定出所述发送源的网络识别信息存在于所述识 别信息表中,但所述发送源的物理识别信息不存在于所述识别信息表中 时,确定与所述发送源的物理识别信息对应的优先级信息是否高于与在所 述识别信息表中和所述发送源的网络识别信息对应起来的物理识别信息相 对应的优先级信息的第二确定步骤;以及当在所述第二确定步骤中确定出与所述发送源的物理识别信息对应的 优先级信息高于与在所述识别信息表中和所述发送源的网络识别信息对应 起来的物理识别信息相对应的优先级信息时,更新所述识别信息表,以便 将所述发送源的物理识别信息与所述网络识别信息对应起来的步骤。
全文摘要
即使在通信设备的IP地址重复的情况下也可通过将通信优先级高的通信设备优先连接到网络上来防止发给这些通信设备的数据包不到达的情况。在ARP表(11a)中将各通信设备(6)的IP地址与MAC地址对应起来,同时接收表示各通信设备(6)的通信优先级的优先级信息,并将所接收的优先级信息与通信设备的MAC地址对应起来,其中各通信设备(6)与设于交换式集线器设备(1)中的多个通信端口(13)相连。当包含在由各通信端口(13)接收的数据包中的发送源的IP地址不存在于ARP表(11a)中时,将发送源的IP地址和MAC地址添加到ARP表(11a)中,并使ARP表(11a)附带优先级信息。
文档编号H04L12/44GK101401366SQ20068005392
公开日2009年4月1日 申请日期2006年3月20日 优先权日2006年3月20日
发明者中村孝雄, 大盐祯也, 岩井巧, 泽田成吾, 高井常行 申请人:富士通株式会社