特許第5987901号(P5987901)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧

特許5987901制御装置、通信装置、通信方法及びプログラム
<>
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000002
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000003
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000004
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000005
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000006
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000007
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000008
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000009
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000010
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000011
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000012
  • 特許5987901-制御装置、通信装置、通信方法及びプログラム 図000013
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5987901
(24)【登録日】2016年8月19日
(45)【発行日】2016年9月7日
(54)【発明の名称】制御装置、通信装置、通信方法及びプログラム
(51)【国際特許分類】
   H04L 12/717 20130101AFI20160825BHJP
   H04L 12/741 20130101ALI20160825BHJP
【FI】
   H04L12/717
   H04L12/741
【請求項の数】10
【全頁数】18
(21)【出願番号】特願2014-508045(P2014-508045)
(86)(22)【出願日】2013年3月28日
(86)【国際出願番号】JP2013059328
(87)【国際公開番号】WO2013147053
(87)【国際公開日】20131003
【審査請求日】2014年9月29日
(31)【優先権主張番号】特願2012-81654(P2012-81654)
(32)【優先日】2012年3月30日
(33)【優先権主張国】JP
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100080816
【弁理士】
【氏名又は名称】加藤 朝道
(72)【発明者】
【氏名】相田 貴史
【審査官】 衣鳩 文彦
(56)【参考文献】
【文献】 国際公開第2011/083668(WO,A1)
【文献】 特開2012−039188(JP,A)
【文献】 特表2014−526812(JP,A)
【文献】 特表2014−506021(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/717
H04L 12/741
(57)【特許請求の範囲】
【請求項1】
マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成する制御情報生成部と、
前記複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置に対し、前記複数の制御情報を設定する制御部と、を備え、
前記通信装置に、前記制御情報毎に予め設定した変更条件が成立した場合、前記通信装置に、前記複数の制御情報の優先順位を書き換えさせ、前記複数の制御情報のうちの最上位の制御情報を変更させることにより、通信ポリシーの切替を実施すること、
を特徴とする制御装置。
【請求項2】
マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成する制御情報生成部と、
前記複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置に対し、前記複数の制御情報を設定する制御部と、を備え、
前記通信装置に、前記制御情報毎に予め設定した変更条件に基づいて、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更させることにより、通信ポリシーの切替を実施する制御装置であって、
所定のホスト間の通信の発生後、所定の時間が経過したときに、パケットの転送先を変更するとの通信ポリシーに従い、
前記制御情報生成部は、
前記所定の時間を有効期限とし、前記ホスト間のパケットを転送する第1の制御情報と、
前記第1の制御情報より優先順位が低く、前記所定の時間の経過後に、別の転送先を宛先としたパケットを前記別の転送先に転送する第2の制御情報と、を生成する制御装置。
【請求項3】
さらに、前記別の転送先以外を宛先とするパケットを廃棄する第3の制御情報を生成する請求項の制御装置。
【請求項4】
マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成する制御情報生成部と、
前記複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置に対し、前記複数の制御情報を設定する制御部と、を備え、
前記通信装置に、前記制御情報毎に予め設定した変更条件に基づいて、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更させることにより、通信ポリシーの切替を実施する制御装置であって、
所定のホスト間の通信について、トラフィック量に応じて、帯域制限を掛けるとの通信ポリシーに従い、
前記制御情報生成部は、
前記トラフィック量が第1のしきい値未満である間、パケットを宛先に転送させる第1の制御情報と、
前記トラフィック量が第1のしきい値以上となったときに、所定の帯域制限を適用してパケットを宛先に転送させる第2の制御情報と、
を生成する制御装置。
【請求項5】
複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理するパケット処理部と、
予め制御装置から指示された条件に基づいて、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更することにより、通信ポリシーの切替を実施する制御情報管理部とを備えた通信装置であって、
前記制御情報管理部は、前記制御装置から制御情報毎に指示された条件が成立した場合、前記複数の制御情報の優先順位を書き換え、前記複数の制御情報のうちの最上位の制御情報を変更することにより、前記通信ポリシーの切替を実施する通信装置
【請求項6】
マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成するステップと、
前記複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置に対し、前記複数の制御情報を設定するステップと、
前記通信装置に対し、予め、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更するための条件を指示するステップと、を含む通信方法であって、
所定のホスト間の通信の発生後、所定の時間が経過したときに、パケットの転送先を変更するとの通信ポリシーに従い、
前記制御情報を生成するステップにおいて、前記所定の時間を有効期限とし、前記ホスト間のパケットを転送する第1の制御情報と、
前記第1の制御情報より優先順位が低く、前記所定の時間の経過後に、別の転送先を宛先としたパケットを前記別の転送先に転送する第2の制御情報と、を生成する通信方法。
【請求項7】
マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成するステップと、
前記複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置に対し、前記複数の制御情報を設定するステップと、
前記通信装置に対し、予め、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更するための条件を指示するステップと、を含む通信方法であって、
所定のホスト間の通信について、トラフィック量に応じて、帯域制限を掛けるとの通信ポリシーに従い、
前記制御情報を生成するステップにおいて、
前記トラフィック量が第1のしきい値未満である間、パケットを宛先に転送させる第1の制御情報と、
前記トラフィック量が第1のしきい値以上となったときに、所定の帯域制限を適用してパケットを宛先に転送させる第2の制御情報と、
を生成する通信方法。
【請求項8】
複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置を制御する制御装置に搭載されたコンピュータに、
マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成する処理と、
前記通信装置に対し、前記複数の制御情報を設定する処理と、
前記通信装置に対し、予め、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更する条件を指示する処理と、を実行させることにより、通信ポリシーの切替機能を実現するプログラムであって、
所定のホスト間の通信の発生後、所定の時間が経過したときに、パケットの転送先を変更するとの通信ポリシーに従い、
前記制御情報を生成する処理において、前記所定の時間を有効期限とし、前記ホスト間のパケットを転送する第1の制御情報と、
前記第1の制御情報より優先順位が低く、前記所定の時間の経過後に、別の転送先を宛先としたパケットを前記別の転送先に転送する第2の制御情報と、を生成する処理を前記コンピュータに実行させるプログラム。
【請求項9】
複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置を制御する制御装置に搭載されたコンピュータに、
マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成する処理と、
前記通信装置に対し、前記複数の制御情報を設定する処理と、
前記通信装置に対し、予め、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更する条件を指示する処理と、を実行させることにより、通信ポリシーの切替機能を実現するプログラムであって、
所定のホスト間の通信について、トラフィック量に応じて、帯域制限を掛けるとの通信ポリシーに従い、
前記制御情報を生成するステップにおいて、
前記トラフィック量が第1のしきい値未満である間、パケットを宛先に転送させる第1の制御情報と、
前記トラフィック量が第1のしきい値以上となったときに、所定の帯域制限を適用してパケットを宛先に転送させる第2の制御情報と、
を生成する処理を前記コンピュータに実行させるプログラム。
【請求項10】
複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理するパケット処理部を備えた通信装置に搭載されたコンピュータに、
制御装置から受信した前記複数の制御情報を記憶する処理と、
記制御装置から予め指示された条件に基づいて、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更する処理と、を実行させるプログラムであって、
前記複数の制御情報のうちの優先順位の最も高い制御情報を変更する処理において、前記制御装置から制御情報毎に指示された条件が成立した場合、前記複数の制御情報の優先順位を書き換え、前記複数の制御情報のうちの最上位の制御情報を変更する処理を実行させることにより、通信ポリシーの切替を実施するプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
[関連出願についての記載]
本発明は、日本国特許出願:特願2012−081654号(2012年3月30日出願)に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、制御装置、通信装置、通信方法及びプログラムに関し、特に、配下の通信装置を集中制御する制御装置、この制御装置から制御を受ける通信装置、通信方法及びプログラムに関する。
【背景技術】
【0002】
近年、オープンフロー(OpenFlow)というネットワークが注目を浴びている(特許文献1、非特許文献1、2参照)。オープンフローは、オープンフローコントローラと呼ばれる制御装置が、オープンフロースイッチと呼ばれるスイッチの振る舞いを制御する集中制御型のネットワークアーキテクチャを採用している。オープンフローによれば、ネットワーク全体の状況に合わせ、仮想ネットワークを構成するスイッチの振る舞いを柔軟に変更することができる。このため、オープンフローを用いることで、柔軟性の高い仮想ネットワークを構築することが容易になっている。
【0003】
その他、ネットワークシステムにおいて、セキュリティやサービス品質などを一元管理するために、ネットワーク管理システム(NMS)やポリシーサーバが用いられている。
【0004】
特許文献2には、クライアント認証実行をするか否かを自動で設定しないスイッチやポート等を定めた設定ポリシー及びネットワーク構成情報に基づいて、スイッチに備わる各ポートがクライアント認証機能を実行するか否かの情報を定めたポート設定情報を生成する管理計算機が開示されている(段落0043〜0044、0062参照)。さらに、この管理計算機は、ポート設定情報1140に基づいて、構成定義を生成し、必要なスイッチに反映すると記載されている(段落0029、0063参照)。
【0005】
特許文献3には、ネットワークを監視するポーリング手段及びトラップ手段、必要に応じてポリシーを修正していくポリシー適用指示手段とを備えたポリシー運用方式が開示されている。また、特許文献4には、セキュリティチェックを進めながら段階的にアクセスできる範囲を広げていく検疫ネットワークシステムが開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2011−170718号公報
【特許文献2】特開2008−060692号公報
【特許文献3】特開2004−236030号公報
【特許文献4】特開2010−287932号公報
【非特許文献】
【0007】
【非特許文献1】Nick McKeownほか7名、“OpenFlow: Enabling Innovation in Campus Networks”、[online]、[平成24(2012)年2月14日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉
【非特許文献2】“OpenFlow Switch Specification” Version 1.1.0 Implemented (Wire Protocol 0x02)、[online]、[平成24(2012)年2月14日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
【発明の概要】
【発明が解決しようとする課題】
【0008】
以下の分析は、本発明によって与えられたものである。特許文献1、非特許文献1、2の集中制御型の通信システムにおいて、特許文献3、4のように、ある事象の発生を契機として、個別に機器のふるまいを変更するといった動的な制御を行う場合、これらの機器の状態監視やその結果に応じた個別制御(特許文献1の例で言えば、「フローエントリ」の変更)を行う必要がある。
【0009】
このため、制御対象機器が増えてしまうと、これらの機器を集中制御する制御装置(特許文献1のコントローラや特許文献2の管理計算機に相当)の負荷も増大してしまうという問題点がある。また、これらの機器の状態監視の頻度なども負荷増大の一因となりうる。このとき、監視頻度を下げたり、制御内容を画一なものにしてしまえば、制御装置の負荷増大を抑えることができるが、きめ細かな制御をなしうる特許文献1に代表される通信システムの長所が喪われてしまう。
【0010】
本発明は、上記した制御対象機器の数等の制約を受けることなく、制御対象機器のきめ細かな個別制御の実現に貢献できるようにした制御装置、通信装置、通信方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
第1の視点によれば、マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成する制御情報生成部と、前記複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置に対し、前記複数の制御情報を設定する制御部と、を備え、前記通信装置に、前記制御情報毎に予め設定した変更条件に基づいて、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更させることにより、通信ポリシーの切替を実施する制御装置であって、所定のホスト間の通信の発生後、所定の時間が経過したときに、パケットの転送先を変更するとの通信ポリシーに従い、前記制御情報生成部は、前記所定の時間を有効期限とし、前記ホスト間のパケットを転送する第1の制御情報と、前記第1の制御情報より優先順位が低く、前記所定の時間の経過後に、別の転送先を宛先としたパケットを前記別の転送先に転送する第2の制御情報と、を生成する制御装置が提供される。
【0012】
第2の視点によれば、複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理するパケット処理部と、予め制御装置から指示された条件に基づいて、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更することにより、通信ポリシーの切替を実施する制御情報管理部とを備えた通信装置であって、前記制御情報管理部は、前記制御装置から制御情報毎に指示された条件が成立した場合、前記複数の制御情報の優先順位を書き換え、前記複数の制御情報のうちの最上位の制御情報を変更することにより、前記通信ポリシーの切替を実施する通信装置が提供される。
【0013】
第3の視点によれば、マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成するステップと、前記複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて、受信パケットを処理する通信装置に対し、前記複数の制御情報を設定するステップと、前記通信装置に対し、予め、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更するための条件を指示するステップと、を含む通信方法であって、所定のホスト間の通信の発生後、所定の時間が経過したときに、パケットの転送先を変更するとの通信ポリシーに従い、前記制御情報を生成するステップにおいて、前記所定の時間を有効期限とし、前記ホスト間のパケットを転送する第1の制御情報と、前記第1の制御情報より優先順位が低く、前記所定の時間の経過後に、別の転送先を宛先としたパケットを前記別の転送先に転送する第2の制御情報と、を生成する通信方法が提供される。本方法は、配下の通信装置を集中制御する制御装置という、特定の機械に結びつけられている。
【0014】
第4の視点によれば、上記した制御装置及び通信装置の各機能を実現するためのプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジエントな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
【発明の効果】
【0015】
本発明によれば、制御対象機器の数や監視頻度等の制約を受けることなく、制御対象機器のきめ細かな個別制御の実現に貢献することが可能となる。
【図面の簡単な説明】
【0016】
図1】本発明の一実施形態の構成を示す図である。
図2】本発明の第1の実施形態の全体構成を示す図である。
図3】本発明の第1の実施形態の各装置の詳細構成を示すブロック図である。
図4】本発明の第1の実施形態のスイッチのフローテーブルの概略構成を示す図である。
図5】本発明の第1の実施形態の動作を表したシーケンス図である。
図6】本発明の第1の実施形態のスイッチに保持されるフローテーブル(初期状態)を示す図である。
図7】本発明の第1の実施形態のスイッチに保持されるフローテーブル(条件付きフローエントリ設定後)を示す図である。
図8】本発明の第1の実施形態のスイッチに保持されるフローテーブル(条件付きフローエントリ削除後)を示す図である。
図9】本発明の第1の実施形態のスイッチに保持されるフローテーブル(第2の条件付きフローエントリ設定後)を示す図である。
図10】本発明の第2の実施形態の全体構成を示す図である。
図11】本発明の第2の実施形態のスイッチに保持されるフローテーブル(初期状態)を示す図である。
図12】本発明の第2の実施形態のスイッチに保持されるフローテーブル(条件付きフローエントリ設定後)を示す図である。
【発明を実施するための形態】
【0017】
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
【0018】
本発明は、その一実施形態において、図1に示すように、複数の制御情報の中から、受信パケットに適合し、かつ、優先順位の最も高いマッチ条件を持つ制御情報を選択し、該選択した制御情報に基づいて受信パケットを処理する通信装置10Aと、この通信装置10Aに前記制御情報を設定する制御装置20Aとを含む構成にて実現できる。
【0019】
より具体的には、制御装置20Aは、通信装置10Aに対し、前記複数の制御情報を設定する制御部21Aと、マッチ条件の少なくとも一部が重複し、かつ、優先順位と処理内容がそれぞれ異なる複数の制御情報を生成する制御情報生成部22Aと、を備える。そして、前記通信装置10Aは、前記制御情報毎に予め設定された変更条件(例えば、フローエントリの設定時や前回フローエントリ実行時を起点とする所定時間経過によるタイムアウト)に基づいて、前記複数の制御情報のうちの優先順位の最も高い制御情報を変更する。これにより、制御装置20Aが通信装置10Aの監視等を行うことなく、通信ポリシーの切替が実施される。
【0020】
なお、前記複数の制御情報のうちの優先順位の最も高い制御情報の変更は、優先順位が上位の制御情報の削除や、優先順位そのものの書き換え、フローエントリの格納位置の変更(格納位置が優先順位を示している場合)等によって実現できる。
【0021】
また、前記変更条件は、制御装置20Aが個々の制御情報に対応付けて設定することとしてもよいし、通信装置10A側のフローエントリのエージング処理機能などを利用する形態(制御装置20Aが、通信装置10Aのさらに上流側の通信装置にフローエントリを設定してヘッダ書換えを指示し、前記優先順位の最も高い制御情報にヒットしない状態を作り出して、エージングを発生させる等も含む。)も採用可能である。
【0022】
[第1の実施形態]
続いて、本発明をアクセス制御システムにおけるポリシー切替に適用する第1の実施形態について説明する。図2は、本発明の第1の実施形態の全体構成を示す図である。図2を参照すると、上述した通信装置に相当するスイッチ10を介して、クライアント100−1、100−2と、検疫システム30と、ファイヤーウォール40と、が接続された構成が示されている。
【0023】
また、スイッチ10及び検疫システム30は、それぞれ図中破線で示す制御用のネットワークを介して、上述した制御装置に相当するコントローラ20と接続されている。コントローラ20とスイッチ10間、検疫システム30とコントローラ20間は、それぞれ制御情報を送受信可能となっている。
【0024】
クライアント100−1、100−2は、同一のセグメントに属し互いに通信可能なパーソナルコンピュータ、タブレット型端末、携帯端末等の機器である。
【0025】
なお、以下の説明では、図2の構成を用いることとするが、本発明は、図2に示したクライアント100−1、100−2、スイッチ10の台数等に限定されない。
【0026】
続いて、図2に示した各装置の詳細構成について説明する。図3は、スイッチ10、コントローラ20、検疫システム30の機能の構成を示す図である。
【0027】
スイッチ10は、スイッチ処理部11と、フローテーブル12と、コントローラ用インターフェース13と、フローエントリ削除管理部14とを備えて構成される。
【0028】
コントローラ用インターフェース13は、コントローラ20と制御用のネットワークで接続され、コントローラ20と制御情報を授受する。例えば、コントローラ用インターフェース13は、コントローラ20からの指示により、フローテーブル12に対してフローエントリの追加・変更・削除等の操作を行う。
【0029】
スイッチ処理部11は、外部からパケットを受信すると、フローテーブル12から、入力パケットのヘッダ情報に適合するマッチ条件を持つフローエントリを検索し、検索したフローエントリに定められた処理を実行する。前記処理としては、例えば、入力パケットのヘッダの特定フィールドを書き換える処理や、特定ポートへの出力等が実行される。
【0030】
フローテーブル12には、パケットの入力ポート番号とパケットのヘッダから得られる情報(MAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス、TCP(Transmission Control Protocol)ポート番号等)の組み合わせによって指定されるマッチ条件、および、このマッチ条件により識別されたフローに対して実行する処理内容(アクション)を記述したフローエントリが格納される。アクションとしては、上述した、パケットのヘッダ書き換え、特定ポートへの出力のほか、スイッチ処理部11における処理の優先度の変更、帯域制限の実施、パケットの廃棄等も指定できる。また、フローテーブル12には複数のフローエントリを保持することができる。
【0031】
図4は、フローテーブル12の概略構成を示す図である。非特許文献1、2のフローエントリと異なる点は、各々のフローエントリにフローエントリ削除条件が設定されている点である。
【0032】
スイッチ10は、図4のようなフローテーブル12を複数保持することができ、フローエントリにマッチした場合のアクションとして別のフローテーブルに制御を移すことも可能である(非特許文献2の「4.1.1 Pipeline Processing」参照)。また、入力されたパケットにマッチするフローエントリがフローテーブルに存在しない場合、スイッチ10は、当該パケットを廃棄するか、当該パケットをコントローラ20に転送することができる。いずれの動作もコントローラ20からの指示によりスイッチに設定される。本実施形態では、図6図9に示すように2つのフローテーブルがあり、第1のフローテーブルにマッチするフローエントリがなかった場合、スイッチ10は、当該パケットをコントローラ20に転送するよう設定されている。
【0033】
また、各々のフローエントリには優先度が設定される。複数のフローエントリがフローにマッチした場合は、より優先度の高いものが適用される。以下の説明では、フローテーブルの上位に登録されているフローエントリほど、優先度が高いものとして説明する。
【0034】
フローエントリ削除管理部14は、各フローエントリについてフローエントリ削除条件が満たされているかを調べ、満たされていれば当該フローエントリを削除する。
【0035】
なお、上記したスイッチ10は、例えば非特許文献1、2のオープンフロースイッチに、上記したフローエントリ削除管理部14に相当する機能を追加することにより実現できる。
【0036】
コントローラ20は、スイッチ制御部21と、フローエントリ情報変換部22と、ポリシー管理部23と、トポロジー管理部24と、検疫システム制御部25とを備えて構成される。
【0037】
スイッチ制御部21は、上記した制御部21Aに相当し、スイッチ10に対して、フローテーブル12へのフローエントリの追加・変更・削除の指示を出す。また、スイッチ制御部21は、また、スイッチ10において受信パケットに適合するマッチ条件を持つフローエントリが見つからなかった場合にコントローラに転送されたパケットを受け取る通信インターフェースとしても機能する。
【0038】
フローエントリ情報変換部22は、上記した制御情報生成部22Aに相当し、スイッチ制御部21にスイッチ10から入力されたパケットのヘッダ情報と、ポリシー管理部23のもつポリシー情報と、トポロジー管理部24のもつトポロジー情報に基づいて、スイッチ10に設定するためのフローエントリを作成する。
【0039】
ポリシー管理部23には、システムで適用する通信ポリシー情報を格納する。本実施形態では、ポリシー管理部23には、ネットワーク管理者により次のような通信ポリシーが格納されているものとして説明する。
(1)検疫を受けていないクライアントからのトラフィックはファイヤーウォールに転送してセキュリティチェックを実施した上で、ファイヤーウォールで廃棄されなかった場合には他のクライアントとの通信を許可する。
(2)ただし、検疫を受けないまま一定時間(T1時間とする)を経過したクライアントに対しては、検疫システム以外との通信を禁止するように変更する。
(3)また、検疫を受けたクライアントは一定時間(T2時間とする)他のクライアントと直接の通信を許可し、規定時間経過後は検疫を受けていないクライアントと同様に扱う。
【0040】
トポロジー管理部24には、システムに存在するクライアント、スイッチ、検疫システムおよびそれらのアドレス情報、接続関係の情報が格納されている。
【0041】
検疫システム制御部25は、検疫システム30からクライアントに対する検疫処理が完了したことの通知を受ける。
【0042】
上記したコントローラ20は、例えば非特許文献1、2のオープンフローコントローラに、削除条件付きのフローエントリの生成機能を追加する構成にて実現できる。また、コントローラ20とスイッチ10間の制御情報の授受は、例えば、非特許文献1、2のオープンフロープロトコルを利用することができる。
【0043】
検疫システム30は、検疫処理部31と、コントローラ用インターフェース32とを備えて構成されている。
【0044】
検疫処理部31は、クライアント100−1、100−2上でセキュリティチェックを行う検疫プログラムと通信することでアクセス可否を判断する機能を持つ。検疫処理部31は従来より一般的に知られたシステムの要素であり詳細な記述は省く。
【0045】
コントローラ用インターフェース32は、クライアントが検疫を通過した旨をコントローラ20に通知する。
【0046】
なお、図3に示した各装置の各部(処理手段)は、これらの装置に搭載されたコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
【0047】
続いて、本実施形態の動作について図面を参照して詳細に説明する。以下の説明では、クライアント100−1に対して通信制御ポリシー(1)〜(3)を適用する場合を例に説明する。
【0048】
図5は、本発明の第1の実施形態の動作を表したシーケンス図である。まず、クライアント100−1がクライアント100−2に対してパケットを送信する(ステップS001)。クライアント100−1から送信されたパケットは、送信元MACアドレスがクライアント100−1、宛先MACアドレスがクライアント100−2となっている。このパケットはスイッチ10で受信されると、スイッチ10のスイッチ処理部11はパケットからヘッダ情報を抽出し、フローテーブル12からこのヘッダ情報に適合するマッチ条件を持つフローエントリを検索し、転送先を決定する。
【0049】
図6は、この時点のスイッチ10に保持されているフローテーブル12−1、12−2を示す図である。第1のフローテーブルであるフローテーブル12−1には、ファイヤーウォール出口からのパケットを受信した場合にフローテーブルにジャンプするフローエントリf0しか登録されていない。第2のフローテーブルであるフローテーブル12−2には、宛先MACアドレスに応じてパケットを転送するフローエントリf01〜f03が登録されている。なお、図6図9においてアスタリスク(*)は任意(ワイルドカード)であることを表している。
【0050】
クライアント100−1からの最初のパケットを受信したスイッチ10は、図6のフローテーブル12−1に、クライアント100−1からのパケットに適合するマッチ条件を持つフローエントリが存在しないため、コントローラ20に対して、クライアント100−1から受信したパケットを転送する(ステップS002)。
【0051】
コントローラ20は、フローエントリ情報変換部22において、スイッチ10から転送されてきたパケットのヘッダに含まれる送信元MACアドレス情報およびポリシー管理部23の情報に基づいて、スイッチ10に設定すべきフローエントリを作成する(ステップS003)。
【0052】
コントローラ20は、スイッチ制御部21より前記作成したフローエントリをスイッチに送信してフローテーブル12−1に追加するよう指示を出す(S004)。
【0053】
図7は、コントローラ20によるフローエントリ追加後のフローテーブル12−1、12−2を示す図である。図7の例では、マッチ条件の送信元MACアドレスにクライアント100−1のMACアドレスが設定されたフローエントリf1〜f3が追加されている。また、このうち、フローエントリf1は、T1時間経過したら、このフローエントリを削除する、との削除条件が設定されている。
【0054】
前記フローエントリf1〜f3が設定されると、以降、クライアント100−1からのパケットは、フローエントリf1にマッチしてファイヤーウォール40に転送され、ファイヤーウォール40にてセキュリティチェックが行われる(ステップS005、S006)。ファイヤーウォール40を通過したパケットがスイッチ10に転送されると(ステップS007)、図7のフローテーブル12−1のフローエントリf0にマッチし、第2のフローテーブルであるフローテーブル12−2へと制御が移動する。スイッチ10はフローテーブル12−2を参照して、ファイヤーウォール40にてセキュリティチェック済みのパケットを処理する。この結果、当該パケットは、クライアント100−2へと転送される(ステップS008)。以上により、通信ポリシー(1)が適用されたことになる。
【0055】
スイッチ10は、フローテーブル12−1、12−2に基づく転送処理を継続する。前記動作中のフローエントリ削除管理部14は、各フローテーブルの各フローエントリについて、削除条件が満たされているかを確認し、満たされていれば当該フローエントリを削除する。この確認処理は、ある決まった周期で、全フローエントリを順に走査するタスクを動作させることで実現できるが、その方法は、これに限定されるものではない。本実施形態では、前述のポリシー(2)に対応するフローエントリf1の削除条件に従い、フローエントリ削除管理部14は、時間T1の経過を確認すると、フローエントリf1を削除する(ステップS009)。なお、フローエントリ削除管理部14による各フローエントリの削除条件(時間)の確認処理は、非特許文献2に仕様化されている各フローエントリに設定できるタイムアウト値(Hard Timeout)を用いて実現することもできる。またここで、スイッチ10が、当該エントリを削除した旨をコントローラ20に通知するステップを実行してもよい。
【0056】
図8は、フローエントリf1が削除された状態のフローテーブル12−1、12−2を示す図である。フローエントリf1の削除が完了すると、スイッチ10は、クライアント100−1からのパケットのうち、検疫システムを宛先とするものについては、フローエントリf2に従い、検疫システムに転送し、それ以外を宛先とするものはフローエントリf3に従い、廃棄する。
【0057】
このようにして、コントローラ20が、個別のクライアントに対するポリシー適用状況を管理したりスイッチを監視したりせずに、スイッチ内の処理のみでクライアント100−1に適用される通信ポリシーを(2)に変更することができる。
【0058】
検疫システム以外と通信できない状態となったクライアント100−1は、検疫プログラムを実行し検疫システムとの通信を行って、検疫が完了したことを検疫システム30に通知する(ステップS010〜S011)。検疫システム30は、クライアント100−1に対する検疫が完了したことを確認し、コントローラ用インターフェース32よりコントローラ20に通知する(ステップS012〜S013)。
【0059】
コントローラ20は、検疫システム制御部25において前記通知を受けると、フローエントリ情報変換部22で、ポリシー(3)に対応するフローエントリf4を生成する。そして、コントローラ20は、スイッチ10に対し、フローエントリf2、f3を削除し、代わりにフローエントリf4を追加するよう指示を出す(ステップS014〜S015)。
【0060】
図9は、フローエントリf4が追加された状態のフローテーブル12−1、12−2を示す図である。以後クライアント100−1からのパケットはスイッチ10においてフローエントリf4にマッチし、フローテーブル12−2へ制御が移動するため、クライアント100−2への転送が許可される(ステップS016〜S017)。
【0061】
フローエントリ削除管理部14は、時間T2の経過を確認すると、フローエントリf4を削除する。これによりフローテーブルは図6の状態に戻り、規定時間T2経過後の通信が禁止され、通信ポリシー(3)が実現される。
【0062】
なお、本実施形態では既存の検疫システム30にコントローラ用インターフェース32を付加することで検疫システム30と連動したアクセス制御を実現したが、検疫処理部31をコントローラ20内に組み込んでしまうことも可能である。
【0063】
以上のように、本実施形態によれば、コントローラ20が個々のスイッチの状態を監視しなくとも、個々のスイッチに、事前にフローエントリを設定しておくことで、ポリシーの切り替えと同等の動作を行わせることができる。換言すれば、コントローラの監視処理が、スイッチ側に分散されていることになるため、コントローラの監視負荷及び処理負荷を軽減する。またこれにより、システムのスケーラビリティを向上させることができる。
【0064】
[第2の実施形態]
続いて、本発明を帯域制御システムにおけるトラフィックコントロールに適用した第2の実施形態について説明する。図10は、本発明の第2の実施形態の全体構成を示す図である。図10を参照すると、スイッチ10を介して、クライアント100−1、100−2と、ゲートウェイ50と、が接続された構成が示されている。以下、第1の実施形態と相違する点を中心に説明する。
【0065】
クライアント100−1、100−2は、ゲートウェイ50を通じて外部ネットワークとの通信を行う。
【0066】
また、コントローラ20はスイッチ10と、破線で示す制御用のネットワークで接続している。コントローラ20とスイッチ10間は、前記制御用のネットワークを介して、制御情報を送受信可能となっている。
【0067】
なお、以下の説明では、図10の構成を用いることとするが、本発明は、図10示したクライアント100−1、100−2、スイッチ10の台数等に限定されない。
【0068】
スイッチ10の構成は、第1の実施形態と同様であるため説明を省略する。但し、本実施形態では、スイッチ10が保持するフローテーブルは、1つである(図11図12参照)。
【0069】
コントローラ20の構成についても、本実施形態では、検疫システム30は存在しないため検疫システム制御部25が不要となることを除き第1の実施形態と同様である。即ち、本実施形態のコントローラ20は、スイッチ制御部21、フローエントリ情報変換部22、ポリシー管理部23及びトポロジー管理部24を備えている。
【0070】
本実施形態では、コントローラ20のポリシー管理部23には、ネットワーク管理者により次のような帯域制御通信ポリシーが格納されているものとして説明する。
(2−1)クライアント100−1は、外部ネットワークへの単位期間あたり累積通信量が一定量(B1バイトとする)までは無制限で利用できる。
(2−2)それ以後、クライアント100−1から外部ネットワークへの単位期間あたり累積通信量がB1バイトを超えB2バイトまでは、利用できる最大の帯域に制限を設ける(S1 bpsとする。)。
(2−3)さらに、クライアント100−1から外部ネットワークへの単位期間あたり累積通信量がB2バイトを超えた場合、一定時間(T3時間とする)を経過するまで利用できる最大の帯域をさらに制限(S2 bpsとする。但し、S1>S2)した上で、スイッチ処理における処理優先度を通常より低くする。
(2−4)クライアント100−2は、上記(2−1)〜(2−3)の制限を受けず自由に外部ネットワークと通信可能とする。
【0071】
続いて、本実施形態の動作について図面を参照して説明する。図10において、クライアント100−2がゲートウェイ50に対して通信要求を行った場合、クライアント100−2から送信されたパケットの送信元MACアドレスはクライアント100−2、宛先MACアドレスはゲートウェイ50となっている。
【0072】
図11は、この時点のスイッチ10に保持されているフローテーブル12を示す図である。図11の例では、クライアント100−1、100−2間やゲートウェイ50からクライアント100−1、100−2方向の通信を許可するフローエントリf11、f12と、クライアント100−2からゲートウェイ50宛ての通信を許可するフローエントリf13が設定されている。なお、図11図12においてもアスタリスク(*)は任意(ワイルドカード)であることを表している。
【0073】
従って、スイッチ10は、クライアント100−2からゲートウェイ50宛てのパケットを、フローテーブル12のフローエントリf13に従い、ゲートウェイ50に転送する。この動作は、上述した、通信ポリシー(2−4)に相当する。
【0074】
一方、クライアント100−1がゲートウェイ50に対して通信要求を行った場合について説明する。クライアント100−1から送信されたパケットは、送信元MACアドレスがクライアント100−1、宛先MACアドレスがゲートウェイ50となっている。フローテーブル12には、このパケットに適合するマッチ条件を持つフローエントリがないため、スイッチ10は前記パケットをコントローラ20に転送する。
【0075】
コントローラ20は、フローエントリ情報変換部22において、スイッチ10から転送されてきたパケットのヘッダに含まれる送信元MACアドレス情報およびポリシー管理部23の情報に基づいてフローエントリを生成する。
【0076】
図12は、クライアント100−2からゲートウェイ50宛てのパケットのヘッダ情報と、上記した通信ポリシー(2−1)〜(2−3)に基づいて生成されたフローエントリf5〜f7が追加された状態を示している。フローエントリf5は、上記(2−1)の外部ネットワークへの単位期間あたり累積通信量が一定量(B1バイトとする)までは無制限で利用できる、との通信ポリシーに対応するものである。フローエントリf6は、上記(2−2)の外部ネットワークへの単位期間あたり累積通信量がB1バイトを超えB2バイトまでは、帯域制限S1bpsで通信を許可する、との通信ポリシーに対応するものである。フローエントリf7は、上記(2−3)の外部ネットワークへの単位期間あたり累積通信量がB2バイトを超えると、一定時間(T3時間とする)に限り、帯域制限S2bpsで通信を許可する、との通信ポリシーに対応するものである。なお、本実施形態においても、フローテーブルの上位に登録されたフローエントリほど、優先的に適用されるものとする。
【0077】
図12に示すフローエントリf5〜f7が設定された後、スイッチ10は、クライアント100−1からゲートウェイ50宛てのパケットは、同じマッチ条件のフローエントリのうち優先順位が最も高いフローエントリf5にマッチしてゲートウェイ50に転送されるようになる。これは、通信ポリシー(2−1)に従った動作である。
【0078】
第1の実施形態と同様に、スイッチ10は、フローテーブルに基づく転送処理を行っている間も並行して、フローエントリ削除管理部14においてフローテーブルの各フローエントリについて、削除条件が満たされているかを確認する。確認の結果、削除条件が満たされているフローエントリが存在すれば、フローエントリ削除管理部14は、当該フローエントリを削除する。本実施形態では、フローエントリf5にマッチしたパケットの累計バイト数がB1バイトに達した時点で、フローエントリ削除管理部14はフローエントリf5を削除する。なお、フローエントリ削除管理部14による各フローエントリの累計バイト数の確認処理は、非特許文献2に仕様化されている各フローエントリに対応付けて記録されるフロー統計情報(Counters)を参照することで実現できる。またここで、スイッチ10が、当該エントリを削除した旨をコントローラに通知するステップを実行してもよい。
【0079】
フローエントリf5の削除が完了すると、クライアント100−1からゲートウェイ50宛てのパケットは、同じマッチ条件のフローエントリのうち、優先順位が最も高くなったフローエントリf6にマッチするようになる。このため、スイッチ10は、スイッチ処理部11においてS1 bpsまでの帯域制限を適用した上で、ゲートウェイ50に転送する。
【0080】
その後、フローエントリf6にマッチしたパケットの累計バイト数がB2バイトに達した時点で、フローエントリf6が削除される。
【0081】
フローエントリf6の削除が完了すると、クライアント100−1からゲートウェイ50宛てのパケットは、同じマッチ条件のフローエントリのうち、優先順位が最も高くなったフローエントリf7にマッチするようになる。このため、スイッチ10は、スイッチ処理部においてS2 bpsまでの帯域制限を適用した上で、ゲートウェイ50に転送する。また、スイッチ10は、スイッチ処理部11におけるスイッチ処理の優先度を通常よりも低くした上で転送を行う。このようにしてスイッチ10内で、通信ポリシー(2−1)から、通信ポリシー(2−2)、通信ポリシー(2−3)への切り替えが実現される。
【0082】
フローエントリf7は、初めてマッチ条件に適合するパケットを受信した時点から時間T3が経過すると削除されることが指定されている。最終的に、フローエントリf7が削除されると、フローテーブル12は図11に示す初期状態と同じ状態に戻る。
【0083】
以上のように、本発明は、第1の実施形態に示したようなアクセス制限を規定した通信ポリシーの切替のみならず、帯域制限等を規定した通信ポリシーの動的切替にも適用することができる。
【0084】
以上、本発明の実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した第1の実施形態と第2の実施形態とを組み合わせ、アクセス制限と、帯域制限との双方を動的に切り替える制御にも適用することが可能である。
【0085】
また上記した実施形態では、フローエントリの削除により、最も優先順位の高いフローエントリの変更を実現しているが、その他、フローエントリの格納順序を変更することでもよい(例えば、図7のフローエントリf1の末尾への移動は、フローエントリf1の削除と同様となる)。その他、フローエントリに明示的に優先度情報が付与されている場合には、この優先度情報を書き換える方法も採用可能である。
【0086】
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。なお本書において、単数形で記載された用語は、当然に複数をも代表するものとする。日本語は単複同形であることに留意されたい。
【符号の説明】
【0087】
10 スイッチ
10A〜10C 通信装置
11 スイッチ処理部
12、12−1、12−2 フローテーブル
13 コントローラ用インターフェース
14 フローエントリ削除管理部
20 コントローラ
20A 制御装置
21 スイッチ制御部
21A 制御部
22 フローエントリ情報変換部
22A 制御情報生成部
23 ポリシー管理部
24 トポロジー管理部
25 検疫システム制御部
30 検疫システム
31 検疫処理部
32 コントローラ用インターフェース
40 ファイヤーウォール
50 ゲートウェイ
100−1、100−2 クライアント
f0〜f7、f01〜f13 フローエントリ
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.