知財求人 - 知財ポータルサイト「IP Force」
▶ レベル スリー コミュニケーションズ,エルエルシーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6648892
(24)【登録日】2020年1月20日
(45)【発行日】2020年2月14日
(54)【発明の名称】適合ネットワーク機能チェーン
(51)【国際特許分類】
H04L 12/717 20130101AFI20200203BHJP
【FI】
H04L12/717
【請求項の数】23
【全頁数】18
(21)【出願番号】特願2017-513721(P2017-513721)
(86)(22)【出願日】2015年9月22日
(65)【公表番号】特表2017-528998(P2017-528998A)
(43)【公表日】2017年9月28日
(86)【国際出願番号】US2015051521
(87)【国際公開番号】WO2016049065
(87)【国際公開日】20160331
【審査請求日】2018年9月14日
(31)【優先権主張番号】14/800,897
(32)【優先日】2015年7月16日
(33)【優先権主張国】US
(31)【優先権主張番号】14/492,773
(32)【優先日】2014年9月22日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】508140877
【氏名又は名称】レベル スリー コミュニケーションズ,エルエルシー
(74)【代理人】
【識別番号】110000877
【氏名又は名称】龍華国際特許業務法人
(72)【発明者】
【氏名】セラ、ウィリアム、トマス
(72)【発明者】
【氏名】ティーツ、ハロルド、ウェイン
(72)【発明者】
【氏名】セラ、ジェームズ、マイケル
(72)【発明者】
【氏名】カプト、 ピート、 ジョーゼフ、セカンド
(72)【発明者】
【氏名】エヴァート、トラヴィス、 デュアン
【審査官】
鈴木 肇
(56)【参考文献】
【文献】
特開2014−086881(JP,A)
【文献】
特開2012−170087(JP,A)
【文献】
特開2010−141795(JP,A)
【文献】
国際公開第2013/170347(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00−12/26
H04L 12/50−12/955
(57)【特許請求の範囲】
【請求項1】
ネットワーク内でネットワーク機能を動的に供給するコンピュータ実装方法であって、
前記ネットワーク中をルーティングされる少なくとも1つのパケットを含むネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第1のルールの第1の基準を満たすかを判断する段階であって、前記第1のルールは、前記第1の基準が満たされると、前記ネットワークトラフィックフローを解析または処理するためにネットワーク機能が使用されることを指定する、判断する段階と、
前記ネットワークトラフィックフローが前記第1の基準を満たすと判断されると、
前記ネットワーク機能を提供するネットワーク機能プロバイダへの前記ネットワーク中の第1のルートを判断する段階と、
前記第1のルート沿いの1または複数のルータを判断する段階と、
前記第1のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを解析または処理のために前記ネットワーク機能プロバイダに転送するように構成する段階と、
前記ネットワーク機能が適用される間、前記ネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第2のルールの第2の基準を満たすことを判断する段階と、
前記ネットワークトラフィックフローが前記第2の基準を満たすという前記判断に応答して、
第2のルートが、トラフィックを前記ネットワーク機能プロバイダに到達させることなく、前記ネットワークトラフィックフローのデスティネーションに送信するように、前記ネットワーク中の前記第2のルートを判断する段階と、
前記第2のルート沿いの1または複数のルータを判断する段階と、
前記第2のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを転送するように構成する段階と、を備える、方法。
前記ネットワーク中をルーティングされる少なくとも1つのパケットを含むネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第1のルールの第1の基準を満たすかを判断する段階であって、前記第1のルールは、前記第1の基準が満たされると、前記ネットワークトラフィックフローを解析または処理するためにネットワーク機能が使用されることを指定する、判断する段階と、
前記ネットワークトラフィックフローが前記第1の基準を満たすと判断されると、
前記ネットワーク機能を提供するネットワーク機能プロバイダへの前記ネットワーク中の第1のルートを判断する段階と、
前記第1のルート沿いの1または複数のルータを判断する段階と、
前記第1のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを解析または処理のために前記ネットワーク機能プロバイダに転送するように構成する段階と、
前記ネットワーク機能が適用される間、前記ネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第2のルールの第2の基準を満たすことを判断する段階と、
前記ネットワークトラフィックフローが前記第2の基準を満たすという前記判断に応答して、
第2のルートが、トラフィックを前記ネットワーク機能プロバイダに到達させることなく、前記ネットワークトラフィックフローのデスティネーションに送信するように、前記ネットワーク中の前記第2のルートを判断する段階と、
前記第2のルート沿いの1または複数のルータを判断する段階と、
前記第2のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを転送するように構成する段階と、を備える、方法。
【請求項2】
前記ネットワークトラフィックフローが前記第1の基準を満たすかを判断する前記段階は、前記ネットワークトラフィックフローに関連付けられたネットワークリンクの特性が閾値を超えることを判断する段階を含む、請求項1に記載の方法。
【請求項3】
前記第1のルートを判断する前記段階は、前記第1のルートが、前記ネットワークトラフィックフローに関連付けられたネットワークサービスのサービスレベルアグリーメントを満たすことを判断する段階を含む、請求項1または2に記載の方法。
【請求項4】
前記第1のルートを判断する前記段階は、
前記ネットワーク機能プロバイダが前記ネットワークトラフィックフローを解析または処理するための利用可能なリソースを有するかを判断する段階と、
前記ネットワーク機能プロバイダが十分なリソースを有するかに応じて、前記ネットワーク機能プロバイダへの前記第1のルートを判断する段階と、を含む、請求項1から3のいずれか一項に記載の方法。
前記ネットワーク機能プロバイダが前記ネットワークトラフィックフローを解析または処理するための利用可能なリソースを有するかを判断する段階と、
前記ネットワーク機能プロバイダが十分なリソースを有するかに応じて、前記ネットワーク機能プロバイダへの前記第1のルートを判断する段階と、を含む、請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記ネットワークトラフィックフローが第1の基準を満たすことを判断する前記段階は、ネットワークサービスの特性が、前記ネットワークサービスに関連付けられたサービスレベルアグリーメントの閾値を超えることを判断する段階を含む、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記ネットワークのユーザから特定量の時間の指標を受信する段階と、
前記特定量の時間にわたり、前記ネットワーク機能を適用する段階と、をさらに備える、請求項1から5のいずれか一項に記載の方法。
前記特定量の時間にわたり、前記ネットワーク機能を適用する段階と、をさらに備える、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記ネットワーク機能が使用される時間に基づいて、前記ネットワークトラフィックフローに関連付けられたネットワーククライアントに課金する段階をさらに備える、請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記第1の基準は、ネットワークサービスのクライアントによって指定される、請求項1から7のいずれか一項に記載の方法。
【請求項9】
ネットワーク内でネットワーク機能を動的に供給するシステムであって、
コンピューティングデバイスと、
前記コンピューティングデバイスに実装される解析モジュールと、
前記コンピューティングデバイスに実装されるネットワーク機能オーケストレーションモジュールと、
前記コンピューティングデバイスに実装されるサービス供給モジュールと、を備え、
前記解析モジュールは、前記ネットワーク中をルーティングされる少なくとも1つのパケットを含むネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第1のルールの第1の基準を満たすかを判断するように構成され、前記第1のルールは、前記第1の基準が満たされると、前記ネットワークトラフィックフローを解析または処理するためにネットワーク機能が使用されることを指定し、
前記ネットワーク機能オーケストレーションモジュールは、前記ネットワークトラフィックフローが前記第1の基準を満たすと判断されると、前記ネットワーク機能を提供するネットワーク機能プロバイダへの前記ネットワーク中の第1のルートを判断し、および前記第1のルート沿いの1または複数のルータを判断するように構成され、
前記サービス供給モジュールは、前記第1のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを解析または処理のために前記ネットワーク機能プロバイダに転送するように構成するように構成され、
前記システムは、さらに、
前記ネットワーク機能が適用される間、前記ネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第2のルールの第2の基準を満たすことを判断する、
前記ネットワークトラフィックフローが前記第2の基準を満たすという前記判断に応答して、
第2のルートが、トラフィックを前記ネットワーク機能プロバイダに到達させることなく、前記ネットワークトラフィックフローのデスティネーションに送信するように、前記ネットワーク中の前記第2のルートを判断する、
前記第2のルート沿いの1または複数のルータを判断する、および
前記第2のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを転送するように構成する、ように構成されている、システム。
コンピューティングデバイスと、
前記コンピューティングデバイスに実装される解析モジュールと、
前記コンピューティングデバイスに実装されるネットワーク機能オーケストレーションモジュールと、
前記コンピューティングデバイスに実装されるサービス供給モジュールと、を備え、
前記解析モジュールは、前記ネットワーク中をルーティングされる少なくとも1つのパケットを含むネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第1のルールの第1の基準を満たすかを判断するように構成され、前記第1のルールは、前記第1の基準が満たされると、前記ネットワークトラフィックフローを解析または処理するためにネットワーク機能が使用されることを指定し、
前記ネットワーク機能オーケストレーションモジュールは、前記ネットワークトラフィックフローが前記第1の基準を満たすと判断されると、前記ネットワーク機能を提供するネットワーク機能プロバイダへの前記ネットワーク中の第1のルートを判断し、および前記第1のルート沿いの1または複数のルータを判断するように構成され、
前記サービス供給モジュールは、前記第1のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを解析または処理のために前記ネットワーク機能プロバイダに転送するように構成するように構成され、
前記システムは、さらに、
前記ネットワーク機能が適用される間、前記ネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第2のルールの第2の基準を満たすことを判断する、
前記ネットワークトラフィックフローが前記第2の基準を満たすという前記判断に応答して、
第2のルートが、トラフィックを前記ネットワーク機能プロバイダに到達させることなく、前記ネットワークトラフィックフローのデスティネーションに送信するように、前記ネットワーク中の前記第2のルートを判断する、
前記第2のルート沿いの1または複数のルータを判断する、および
前記第2のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを転送するように構成する、ように構成されている、システム。
【請求項10】
前記ネットワークトラフィックフローが前記第1の基準を満たすことを判断することは、前記ネットワークトラフィックフローに関連付けられたネットワークリンクの特性が閾値を超えることを判断することを含む、請求項9に記載のシステム。
【請求項11】
前記第1のルートを判断することは、
前記ネットワーク機能プロバイダが前記ネットワークトラフィックフローを解析または処理するための利用可能なリソースを有するかを判断することと、
前記ネットワーク機能プロバイダが十分なリソースを有するかに応じて、前記ネットワーク機能プロバイダへの前記第1のルートを判断することと、を含む、請求項9または10に記載のシステム。
前記ネットワーク機能プロバイダが前記ネットワークトラフィックフローを解析または処理するための利用可能なリソースを有するかを判断することと、
前記ネットワーク機能プロバイダが十分なリソースを有するかに応じて、前記ネットワーク機能プロバイダへの前記第1のルートを判断することと、を含む、請求項9または10に記載のシステム。
【請求項12】
前記ネットワークトラフィックフローが第1の基準を満たすことを判断することは、ネットワークサービスの特性が、前記ネットワークサービスに関連付けられたサービスレベルアグリーメントの閾値を超えることを判断することを含む、請求項9から11のいずれか一項に記載のシステム。
【請求項13】
前記システムは、さらに、
前記ネットワークのユーザから特定量の時間の指標を受信する、および
前記特定量の時間にわたり、前記ネットワーク機能を適用する、ように構成されている、
請求項9から12のいずれか一項に記載のシステム。
前記ネットワークのユーザから特定量の時間の指標を受信する、および
前記特定量の時間にわたり、前記ネットワーク機能を適用する、ように構成されている、
請求項9から12のいずれか一項に記載のシステム。
【請求項14】
前記ネットワーク機能が使用される時間に基づいて、前記ネットワークトラフィックフローに関連付けられたネットワーククライアントに課金することをさらに備える、請求項13に記載のシステム。
【請求項15】
前記第1の基準は、ネットワークサービスのクライアントによって指定される、請求項9から14のいずれか一項に記載のシステム。
【請求項16】
少なくとも1つのコンピューティングデバイスによる実行時に、前記少なくとも1つのコンピューティングデバイスに、ネットワーク内でネットワーク機能を動的に供給するための手順を実行させるための命令を有するコンピュータプログラムであって、前記手順は、
前記ネットワーク中をルーティングされる少なくとも1つのパケットを含むネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第1のルールの第1の基準を満たすかを判断する手順であって、前記第1のルールは、前記第1の基準が満たされると、前記ネットワークトラフィックフローを解析または処理するためにネットワーク機能が使用されることを指定する、判断する手順と、
前記ネットワークトラフィックフローが前記第1の基準を満たすと判断されると、
前記ネットワーク機能を提供するネットワーク機能プロバイダへの前記ネットワーク中の第1のルートを判断する手順と、
前記第1のルート沿いの1または複数のルータを判断する手順と、
前記第1のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを解析または処理のために前記ネットワーク機能プロバイダに転送するように構成する手順と、
前記ネットワーク機能が適用される間、前記ネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第2のルールの第2の基準を満たすことを判断する手順と、
前記ネットワークトラフィックフローが前記第2の基準を満たすという前記判断に応答して、
第2のルートが、トラフィックを前記ネットワーク機能プロバイダに到達させることなく、前記ネットワークトラフィックフローのデスティネーションに送信するように、前記ネットワーク中の前記第2のルートを判断する手順と、
前記第2のルート沿いの1または複数のルータを判断する手順と、
前記第2のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを転送するように構成する手順と、を含む、コンピュータプログラム。
前記ネットワーク中をルーティングされる少なくとも1つのパケットを含むネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第1のルールの第1の基準を満たすかを判断する手順であって、前記第1のルールは、前記第1の基準が満たされると、前記ネットワークトラフィックフローを解析または処理するためにネットワーク機能が使用されることを指定する、判断する手順と、
前記ネットワークトラフィックフローが前記第1の基準を満たすと判断されると、
前記ネットワーク機能を提供するネットワーク機能プロバイダへの前記ネットワーク中の第1のルートを判断する手順と、
前記第1のルート沿いの1または複数のルータを判断する手順と、
前記第1のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを解析または処理のために前記ネットワーク機能プロバイダに転送するように構成する手順と、
前記ネットワーク機能が適用される間、前記ネットワークトラフィックフローをモニタリングし、前記ネットワークトラフィックフローが第2のルールの第2の基準を満たすことを判断する手順と、
前記ネットワークトラフィックフローが前記第2の基準を満たすという前記判断に応答して、
第2のルートが、トラフィックを前記ネットワーク機能プロバイダに到達させることなく、前記ネットワークトラフィックフローのデスティネーションに送信するように、前記ネットワーク中の前記第2のルートを判断する手順と、
前記第2のルート沿いの1または複数のルータを判断する手順と、
前記第2のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを転送するように構成する手順と、を含む、コンピュータプログラム。
【請求項17】
前記第1のルートを判断する前記手順は、前記第1のルートが、前記ネットワークトラフィックフローに関連付けられたネットワークサービスのサービスレベルアグリーメントを満たすことを判断する手順を含む、請求項16に記載のコンピュータプログラム。
【請求項18】
前記ネットワークトラフィックフローが第1の基準を満たすことを判断する前記手順は、ネットワークサービスの特性が、前記ネットワークサービスに関連付けられたサービスレベルアグリーメントの閾値を超えることを判断する手順を含む、請求項16または17に記載のコンピュータプログラム。
【請求項19】
前記第1のルートを判断する前記手順は、前記ネットワーク機能プロバイダが前記ネットワークトラフィックフローを解析または処理するための利用可能なリソースを有するかを判断する手順を含む、請求項16から18のいずれか一項に記載のコンピュータプログラム。
【請求項20】
前記ネットワークのユーザから特定量の時間の指標を受信する手順と、
前記特定量の時間にわたり、前記ネットワーク機能を適用する手順と、をさらに実行させるための請求項16から19のいずれか一項に記載のコンピュータプログラム。
前記特定量の時間にわたり、前記ネットワーク機能を適用する手順と、をさらに実行させるための請求項16から19のいずれか一項に記載のコンピュータプログラム。
【請求項21】
前記ネットワーク機能が使用される時間に基づいて、前記ネットワークトラフィックフローに関連付けられたネットワーククライアントに課金する手順をさらに実行させるための請求項16から20のいずれか一項に記載のコンピュータプログラム。
【請求項22】
前記第1の基準は、ネットワークサービスのクライアントによって指定される、請求項16から21のいずれか一項に記載のコンピュータプログラム。
【請求項23】
ネットワーク内でネットワーク機能を動的に供給するコンピュータ実装方法であって、
ネットワークトラフィックフローを解析または処理するためのネットワーク機能が開始時間に適用されることを示すルールを受信する段階と、
前記ネットワーク機能を提供するネットワーク機能プロバイダへの前記ネットワーク中の第1のルートを判断する段階と、
前記第1のルート沿いの1または複数のルータを判断する段階と、
前記第1のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを解析または処理のために前記ネットワーク機能プロバイダに転送するように構成する段階と、
前記ネットワーク中の第2のルートを判断する段階と、
前記第2のルート沿いの1または複数のルータを判断する段階と、
前記第2のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを終了時間に転送するように構成する段階と、を備える、方法。
ネットワークトラフィックフローを解析または処理するためのネットワーク機能が開始時間に適用されることを示すルールを受信する段階と、
前記ネットワーク機能を提供するネットワーク機能プロバイダへの前記ネットワーク中の第1のルートを判断する段階と、
前記第1のルート沿いの1または複数のルータを判断する段階と、
前記第1のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを解析または処理のために前記ネットワーク機能プロバイダに転送するように構成する段階と、
前記ネットワーク中の第2のルートを判断する段階と、
前記第2のルート沿いの1または複数のルータを判断する段階と、
前記第2のルート沿いの前記1または複数のルータを、前記ネットワークトラフィックフローを終了時間に転送するように構成する段階と、を備える、方法。
【発明の詳細な説明】
【技術分野】
【0001】
実施形態は概して、ネットワークサービスに関する。
【背景技術】
【0002】
現在のデータネットワークには、個人用サービスを提供するものがある。ネットワークは、特性および性能保証を指定するサービスレベルアグリーメント(SLA)支配下のクライアント間に接続を提供し得る。例えば、クライアントは、指定された専用の帯域幅を持つ仮想イーサネット(登録商標)接続を確立し得る。
【0003】
これらの接続に対し、いくつかのネットワークは、例えば侵入検出、ファイアウォール、パケット検査等のネットワーク機能を適用する可能性がある。これらの機能を提供することは、データを、当該機能を提供するサーバにルーティングすべく、トラフィックフローのルーティングに対する変更を必要とする可能性がある。例えば、侵入検出システムは、ネットワーク攻撃を検出および防止すべく、一連のパケットを検査し得る。従って、トラフィックは、侵入検出機能を提供する特定のデバイスを介してルーティングされ得る。
【0004】
従来のルーティングアルゴリズムは、データをルーティングするためのその近隣のリンクおよびデバイスに関する各ルータにおけるローカル情報に依存する。ルータは、このような情報をルーティングテーブルに維持している。着信パケットのデスティネーションアドレスに基づいて、ルータはそのルーティングテーブルを使用して、パケットを特定の近隣デバイスに転送する。
【0005】
Software Defined Network(ソフトウェア定義のネットワーク)(SDN)と呼ばれる技術は、制御機能および転送機能を別個のデバイスに分離する。制御デバイスは、ネットワークトポロジのグローバル知識を使用して、個々のデータフローのための転送デバイスで構成されるネットワーク中のパスを判断してよい。このように、例えば、制御デバイスは、遅延を最小化し若しくは帯域幅を最大化するパスをネットワーク中に確立してよく、または、特定のネットワーク機能を提供する特定のデバイスを介してデータフローをルーティングしてよい。
【0006】
ネットワーク機能を提供する従来のアプローチは、ネットワークサービスの開始時に、機能を設定することに依存する。例えば、クライアントは、セキュリティ検査の中レベルのファイアウォール機能を含む仮想イーサネット(登録商標)接続を確立してよい。しかしながら、このアプローチは、変化するネットワーク条件に適切に応答できない可能性があり、ネットワークサービスの継続期間中にネットワーク機能を処理することによって、リソースを無駄にする可能性がある。
【発明の概要】
【0007】
上記に照らし、指定された条件に基づいて、ネットワーク機能を動的に提供するためのメカニズムを提供すると有利であろう。
【0008】
一実施形態において、システムはネットワークを判断し、ネットワークトラフィックフローをモニタリングし、ネットワークトラフィックフローが第1のルールの第1の基準を満たすかを判断する。当該基準は、第1の基準が満たされると、ネットワークトラフィックフローを解析または処理するためにネットワーク機能が使用されることを指定する。ネットワークトラフィックフローが第1の基準を満たすと判断されると、ネットワークは、ネットワーク機能を提供するネットワーク機能プロバイダへのネットワーク中の第1のルートを判断し、第1のルート沿いの1または複数のルータを、ネットワークトラフィックフローを解析または処理のためにネットワーク機能プロバイダに転送するように構成する。
【0009】
一実施形態において、ネットワークは、ネットワークトラフィックフローを解析または処理するためのネットワーク機能の使用を開始するための開始時間を判断する。ネットワークは、ネットワーク機能を提供するネットワーク機能プロバイダへのネットワーク中の第1のルートを判断し、第1のルート沿いの1または複数のルータを、ネットワークトラフィックフローを解析または処理のためにネットワーク機能プロバイダに開始時間に転送するように構成する。
【0010】
方法およびコンピュータ可読媒体の実施形態もまた開示される。
【0011】
様々な実施形態に係る構造および動作に加え、さらなる実施形態および特徴点について添付図面を参照し、以下に詳細に説明する。
【0012】
添付図面は本明細書に組み込まれ、本明細書の一部を形成する。図面中、同様の参照番号は概して同一または類似の要素を示す。また、概して、参照番号中の最も左の数字は、当該参照番号が最初に現れる図面を示している。
【図面の簡単な説明】
【0013】
【図1A】一例示的実施形態による、ネットワーク機能を動的に供給するためのネットワーク環境を表わす図を示す。
【0014】
【図1B】一例示的実施形態による、ネットワーク機能を動的に供給するためのネットワーク環境を表わす図を示す。
【0015】
【図2】一例示的実施形態による、ネットワーク機能を動的に供給するためのコントローラの機能モジュールを表わす図を示す。
【0016】
【図3】例示的実施形態による、ネットワーク機能を動的に供給する方法を表わすフローチャートである。
【0017】
【図4】例示的実施形態による、指定された期間、ネットワーク機能を動的に供給する方法を表わすフローチャートである。
【発明を実施するための形態】
【0018】
実施形態において、ヒューリスティック、ポリシー条件およびクライアント指定の条件に基づいて、ネットワーク機能がトラフィックフローに動的に適用される。一例において、ネットワークは、クライアント間にデータ通信を提供する。ネットワークは、例えば、帯域幅、レイテンシ、ジッタ等に関連付けられたパラメータに従い、クライアント間に通信を提供するサービスを確立する。ネットワークは、そのトラフィックをモニタリングし、指定された条件が満たされると、ネットワークは、そのサービスのトラフィックまたはそのサービスのトラフィックの一部を、ネットワーク機能を適用する処理要素を介してルーティングする。これらの条件は、性能、容量、セキュリティ等に関する特性といった任意のネットワーク特性に関連付けられてよい。これらの条件は、ユーザ定義であってよく、またはネットワーク管理者によって設定されてよい。またネットワーク機能は、スケジュールに従い適用されてもよい。別の条件が満たされた後、または指定期間の後、ネットワーク機能は解除されてよい。条件およびスケジュールに応答して、ネットワーク機能を提供することで、クライアントおよび管理者に対し、接続および性能の管理において向上した柔軟性を付与し、ネットワークリソースの消費全体を低減するのに寄与してよい。
【0019】
図1Aは、一例示的実施形態による、ネットワーク機能を動的に供給するためのネットワーク環境100を表わす図を示す。
【0020】
ネットワーク環境100は、複数のエンドポイント間にネットワーク通信を提供するネットワーク120を含む。一実施形態において、ネットワーク120は、サービス料を取って、構成可能なデータ通信サービスを複数のエンドポイントに提供する。
【0021】
例示的なエンドポイント110および112は、ネットワーク120のサービスを利用する1または複数のクライアントコンピューティングデバイスであってよい。例示的に、エンドポイント110および112は、ローカルエリアネットワーク(LAN)、コンピュータ、モバイルデバイス、サーバ、クラスタ等であってよい。一例において、エンドポイント110および112はそれ自体がネットワークであってもよく、ネットワーク120をエンドポイント110および112が互いに通信するためのトランジットネットワークとして使用してもよい。
【0022】
ネットワーク120は、複数のルータ122a〜f、1または複数のデータセンタ124a〜bおよび1または複数のコントローラ126を含む。
【0023】
ネットワーク120は、例えばパーソナルコンピュータ、サーバ、モバイルデバイス、ローカルエリアネットワーク(LAN)等といったクライアントコンピューティングデバイス間でデータを送信するように構成されたネットワークであってよい。一実施形態において、ネットワーク120は、ワイドエリアネットワーク(WAN)またはメトロポリタンエリアネットワーク(MAN)である。一実施形態において、ネットワーク120は、例えば、仮想イーサネット(登録商標)接続、仮想ローカルエリアネットワーク(VLAN)、仮想プライベートネットワーク(VPN)等といった仮想ネットワークサービスを提供する。例えば、ネットワーク120は、遠隔地のクライアント間でデータ通信するための専用の帯域幅を備えた仮想回路を提供できる。ネットワーク120は、任意のポイントツーポイント、ポイントツーマルチポイントまたはマルチポイントツーマルチポイントのネットワークプロトコルを利用してもよい。使用されるネットワークアクセスプロトコルとしては、例えば、イーサネット(登録商標)、非同期転送モード(ATM)、ハイレベルデータリンク制御(HDLC)、フレームリレー、同期型光ネットワーク(SONET)/同期デジタルハイアラーキ(SDH)、インターネットプロトコル(IP)、伝送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)、マルチプロトコルラベルスイッチング(MPLS)等が含まれてよい。
【0024】
例示的なルータ122a〜fは、エンドポイント間でデータをルーティングするように構成されている。ルータ122a〜fは、例えば、仮想イーサネット(登録商標)接続、MPLSトンネリング、VLANルーティング、サービスレベルアグリーメント(SLA)等といった接続サービスを提供するように構成されてよい。本明細書で適用される「ルータ」という用語には、ネットワークレイヤルータおよびデータリンクレイヤスイッチの両方が含まれる。接続サービスは、特定のレベルの帯域幅、レイテンシまたはジッタといった特定のレベルのサービスで少なくとも2つの地理的に異なるコンピュータからの接続を提供してよい。
【0025】
当該レベルのサービスを提供するために、ルータ122a〜fは、接続のための帯域幅を予約してよい。予約には、特定の帯域幅とユーザとの関連付けが含まれてよい。帯域幅を予約したままの間、ネットワークはオーバーサブスクライブされる可能性がある。つまり、すべてのユーザがユーザに関連付けられた帯域幅を使用している場合、ネットワークは、不十分な容量を有することになる。専用のネットワーク接続は、1ユーザへのプライベート接続とみなし得る。このような専用のネットワーク接続はポイントツーポイントであってよく、この場合、当該接続はネットワーク上の2つのポイントを接続する。専用のネットワーク接続は、パブリックまたはプライベートであってよい。他方で、接続はまたマルチポイントツーマルチポイントであってもよく、この場合、ネットワーク上の1または複数のポイントのセットが、1または複数のネットワークポイントの第2のセットへ接続される。スイッチイングデバイスは、特定のポートで、特定のネットワーク接続のためのトラフィックを受信してよい。
【0026】
図1Aは、エンドポイント110および112を接続するネットワーク接続サービスを示す。当該接続サービスは、ルータ122aを含むパスに沿ってデータをルーティングしてよく、ルータ122aはエンドポイント110およびルータ122bに接続され、ルータ122bは、ルータ122aおよびエンドポイント112に接続されている。このように、エンドポイント110からエンドポイント112へアドレス指定されたデータは、まずルータ122aに送信されてよい。ルータ122aはデータをルータ122bに転送してよい。そして、ルータ122bはデータをエンドポイント112に転送してよい。一実施形態において、このパスは、ネットワーク120のトポロジに関するグローバル知識を有するコントローラ126によって設定されてよい。別の実施形態においては、このパスは、ルータ122a〜eの各々によって確立されてよく、ルータ122a〜eは、自身の接続性を伝えるべく、ルーティング情報をその近隣のルータと交換する。
【0027】
例示的なデータセンタ124a〜bは、ネットワークトラフィックまたはサービスに適用するためのネットワーク機能を提供してよい。データセンタは、例えば、侵入検出、ファイアウォール、パケット検査、データ圧縮、WAN加速化、TCPプロキシ、ネットワーク管理機能等といったネットワーク機能を提供するように構成されてよい。ネットワーク機能は、ネットワークサービスプロバイダによって、またはサードパーティによって提供されてよい。
【0028】
実施形態において、図1Bに図示の通り、データはネットワーク機能を適用するために、データセンタへと動的にルート変更されてよい。一実施形態において、ユーザは、ネットワーク機能が将来のどこかの期間で適用されるように指定できる。具体的には、ユーザは、ネットワーク機能がネットワーク接続サービス上のデータの一部または全部に対し、将来のある期間において適用されるように指定できる。当該期間が開始すると、ネットワーク120は、ネットワーク接続サービス上のデータを、ネットワーク機能を適用するデータセンタにルーティングするように構成されている。当該期間が終了すると、ネットワーク120は、ネットワーク接続サービス上のデータを、ネットワーク機能を適用するデータセンタに到達させずに、デスティネーションへとルーティングするように構成されている。
【0029】
別の実施形態においては、ユーザは、特定の利用条件が満たされると、ネットワーク機能が適用されるように指定できる。具体的には、ユーザは、データが特定の条件を満たすと、ネットワーク機能がネットワーク接続サービス上のデータの一部または全部に対し適用されるように指定できる。当該条件は、ネットワーク接続サービスについての集約データに基づいてよい。例えば、当該条件は、利用される帯域幅、レイテンシ、パケット損失、またはネットワーク接続サービス上のネットワークルート、またはネットワーク機能の稼働率レベルに基づいて、ネットワーク機能を実行するために、データがデータセンタにルーティングされることを指定してよい。他の例においては、当該条件は、パケットが特定の条件(例えば、特定のソース/デスティネーションアドレスまたは特定のパターンに合致するポート若しくはペイロードデータ)を満たすと、ネットワーク機能の実行のために、特定のフローがデータセンタにルーティングされることを指定してよい。当該条件が満たされると、ネットワーク120は、ネットワーク接続サービス上のデータを、ネットワーク機能を適用するデータセンタにルーティングするように構成されている。当該条件がもはや満たされなくなると、ネットワーク120は、ネットワーク接続サービス上のデータを、ネットワーク機能を適用するデータセンタに到達させることなく、デスティネーションにルーティングするように構成されている。
【0030】
図1Bに示される例においては、イーサネット(登録商標)接続ネットワークサービスが、エンドポイント110とエンドポイント112との間に構成されてよい。当該サービスは、エンドポイント110からエンドポイント112へ移動するトラフィックにファイアウォール機能を適用することによって強化されてよい。ファイアウォール機能を適用するには、エンドポイント110からエンドポイント112へ宛てられたトラフィックは、ルータ122aからルータ122cへルーティングされてよい。その後、ルータ122cは、トラフィックを検査し、ファイアウォール機能を適用可能なデータセンタ124aにトラフィックを送信できる。その後、トラフィックはルータ122bに送信された後、エンドポイント112へ送信され得る。
【0031】
コントローラ126は、ルータ122a〜fおよびデータセンタ124a〜bを、ネットワークサービスおよびネットワーク機能を作成、維持および解除するように構成および管理してよい。コントローラ126は、ネットワークに接続された1または複数のデバイスに実装されてよい。
【0032】
コントローラ126は、ルータ122a〜fのルーティングテーブルを、ネットワークサービスを作成するように構成してよい。例えば、エンドポイント110とエンドポイント112との間に仮想イーサネット(登録商標)接続を作成するために、コントローラ126は、ルータ122aおよび122bのルーティングテーブルへエントリを追加することによって、ネットワークパスを作成してよい。コントローラ126は、ファイアウォール等のネットワーク機能を、エンドポイント110とエンドポイント112との間の仮想イーサネット(登録商標)接続に後から追加してもよい。ファイアウォールを追加すべく、コントローラ126は、ルータ122a、122bおよび122cのルーティングテーブルを、データセンタ124aを介してトラフィックを転送するサービスのトラフィックにMPLSラベルを追加するように構成してよい。ファイアウォールを処理するためのデータセンタのリソースの利用可能性を検証し、且つファイアウォール機能を実行するようにデータセンタ124aを構成すべく、コントローラ126はデータセンタ124aと通信してもよい。コントローラ126の機能について、図2を参照しつつ以下に詳述する。
【0033】
図2は、一例示的実施形態による、コントローラ126の機能モジュールを表わすブロック図である。説明を簡単にするために、モジュールは、単一のコントローラエンティティの一部を形成するものとして記載されているものの、様々なコンポーネントが、任意の組み合わせにおける1または複数の別個のデバイスの一部を形成してよい。さらに、特定のモジュールが様々な機能を実行するように記載されているが、説明を簡単にするために、モジュールの境界は恣意的に定義されている。
【0034】
コントローラ126は、ユーザポータルモジュール210、サービスインベントリモジュール212、サービスルーティングモジュール214、サービス供給モジュール216、課金モジュール218、データ収集モジュール220、ルールデータベース221および解析モジュール222を含む。
【0035】
ユーザポータルモジュール210は、ネットワーク120のクライアントに、ネットワークサービスおよび機能を構成するためのユーザインタフェースを提供してよい。ユーザは、新しいネットワークサービスを要求し、または既存のネットワークサービスを修正するために、ユーザポータルモジュール210と対話してよい。例えば、ユーザは、エンドポイント110とエンドポイント112との間に10Mb/帯域幅を持つ新しい仮想イーサネット(登録商標)接続を確立してよい。ユーザポータルモジュール210は、要求されたサービスの利用可用性およびコスト情報をクライアントに伝達してよい。
【0036】
ユーザポータルモジュール210を使用することで、ユーザはまた、ネットワーク機能を開始するための条件およびルールを確立してよい。例えば、ユーザは、特定の条件が真である場合、すべてのTCPトラフィックが侵入検出システムによって解析されるように指定してよい。条件には、複数の要因および任意のネットワーク特性、接続特性またはサービス特性に関する解析が含まれてよい。例えば、ユーザは、仮想イーサネット(登録商標)接続上のTCPトラフィックがその平均TCPトラフィックから標準偏差2だけ増加すると常に、ネットワークはファイアウォールをアクティブ化し、次の30分間TCPパケットダンプを開始することを指定してよい。別の実施形態においては、条件は、ネットワーク機能を適用する将来における期間を指定してよい。当該期間は、定期的な間隔(例えば、毎週、毎月等)で繰り返してもよい。ユーザポータル210がいったん作成されると、ユーザポータル210は図2にルール250と示されるようにルール、およびルールデータベース221を作成する。
【0037】
サービスインベントリモジュール212は、ネットワーク120が供給するサービスのインベントリを維持する。インベントリは、サービスのタイプ、サービスの当事者、サービスのパラメータ、SLA等を含む、各サービスのエントリを含んでよい。例えば、エントリは、エンドポイント110とエンドポイント112との間の仮想イーサネット(登録商標)接続を指定してよい。エントリはさらに、当該接続が10Mb/s帯域幅および10msの最大レイテンシを提供する必要があり、すべてのトラフィックは侵入検出機能によって検査される必要があることを指定してよい。
【0038】
サービスルーティングモジュール214は、サービスインベントリモジュール210で、サービスのためのネットワークルートを判断する。サービスルーティングモジュール214は、サービスおよびサービスに関連付けられる要件、SLAまたは条件を解析する。サービスルーティングモジュール214は、ネットワークのトポロジの知識および供給されるサービスの合計およびサービスの要件に基づいて解析を実行し、各サービスのための適切なルートを判断してよい。例えば、より高い帯域幅を要求するサービスに対しては、サービスルーティングモジュール214は、1つの高帯域幅のルートを選択してよく、より低いレイテンシを要求するサービスに対しては、サービスルーティングモジュール214はより短いルートを選択してよい。このように、サービスルーティングモジュール214は、各サービスに関連付けられたSLAを実装する。
【0039】
サービス供給モジュール216は、各ネットワークデバイス(例えば、ルータ、スイッチ等)を、サービスルーティングモジュール214およびネットワーク機能オーケストレーションモジュール215によって判断されたルートを実装するように構成する。サービス供給モジュール216は、各ルータのルーティングテーブル、MPLSトンネリング構成等を、判断されたルートに従い、サービスの転送をさせるように構成してよい。実装されるルートは、ネットワーク機能の適用をトリガするためのヘッダをサービス内のパケットに追加することを含んでよい。ユーザは、ユーザポータルモジュール210を介して、サービスインベントリモジュール212内に、上記説明の通り、図2中にサービス252と示されるサービスを作成してよい。ネットワーク管理者はまた、データ収集モジュールおよび解析モジュールに関し後述される通り、管理者インタフェースを介して、またはネットワークサービスおよびネットワーク機能を開始するルール、条件および解析を設定することによって、サービスを作成してもよい。
【0040】
ルールデータベース221は、ネットワーク機能を開始するように、または終了するように評価される基準、条件または構成に関連付けられたルールを維持する。ルールは、ネットワークサービスに関連付けられたユーザ指定の構成によって提供されてよく、またはユーザ指定の構成から導かれてよい。ネットワーク管理者はまた、所望のネットワーク管理または性能目標に基づいて、ルールを提供してよい。ネットワーク機能オーケストレーションモジュール215は、特定の条件発生時にルールデータベース221内のルールを評価し、1または複数のネットワーク機能の適用をトリガし、ネットワーク機能の適用を終了する期間または条件を判断してよい。
【0041】
データ収集モジュール220は、ネットワークリンク、要素およびサービスをモニタリングし、ネットワーク性能統計情報および他のフロー情報を含む、利用状況データ254を収集する。一実施形態において、データ収集モジュール220は、各ネットワーク要素によって収集された統計情報を集約する。データ収集モジュール220はまた、周期的報告またはイベントドリブンの報告をネットワーク要素において構成してよい。例えば、ルータがルールで指定された特定タイプのデータを受信すると、ルータはデータ収集モジュール220に通知してよい。
【0042】
解析モジュール222は、データ収集モジュール220によって収集された利用状況データ254の解析を実行する。ネットワークリソースが現在および将来の需要に対し利用可能であることを保証することによって、解析を使用してSLAに準拠してよい。解析モジュール222は、利用状況データ252をルールデータベース221の複数の条件と比較してよい。複数の条件のうちの1つが満たされると、解析モジュール222は、ルールデータベース内のそのルールに対しどのネットワーク機能が指定されているかを判断する。次に、解析モジュール222は、図2中ネットワーク機能256として示されるネットワーク機能を、ネットワーク機能オーケストレーションモジュール215にシグナリングしてよい。
【0043】
ネットワーク機能オーケストレーションモジュール215は、ネットワークサービスに適用されるべきネットワーク機能の供給を判断および管理する。ネットワーク機能オーケストレーションモジュール215は、ネットワーク機能のためのリソースおよびルートを供給するためのネットワークトポロジ、リンク容量、ルータ容量、データセンタ容量等に関する情報を格納してよい。ネットワーク機能オーケストレーションモジュール215は、ネットワーク機能がネットワークサービスに適用されることを示す情報またはコマンドを受信してよい。この情報に基づいて、ネットワーク機能オーケストレーションモジュールは、ネットワーク機能のためにどのデータセンタを使用するかを判断する。
【0044】
一例において、解析モジュール222は、リンクの稼働率が最大容量に近づきつつあることを示す信号をネットワーク機能オーケストレーションモジュール215に送信してよく、このネットワーク機能オーケストレーションモジュール215に基づいて、解析モジュール222は、圧縮機能がリンクを移動中のサービスに適用されるべきであることを判断してよい。別の例においては、ユーザまたはネットワーク管理者が、ネットワーク機能の開始をトリガし、サービスインベントリモジュール212は、ネットワーク機能を供給するための信号をネットワーク機能オーケストレーションモジュール215に送信する。
【0045】
ネットワーク機能を供給すべく、ネットワーク機能オーケストレーションモジュール215は、ネットワーク120の内部または外部にある、当該機能を処理できる利用可能なデータセンタ124を判断してよい。利用可能なデータセンタ124が見つかると、ネットワーク機能オーケストレーションモジュール215は、そのデータセンタにあるリソースを予約し且つサービスを当該データセンタに適切にルーティングする方法を判断してよい。ネットワーク機能オーケストレーションモジュール215は、例えば、処理、スレッド、または仮想マシンをデータセンタ124または予約プールされたリソースでインスタンス化してよい。その後、ネットワーク機能オーケストレーションモジュール215は、当該処理およびルートのリンクを共有可能な他の処理のためのSLAを満たすルートを判断してよい。
【0046】
機能データを供給すべく、ネットワーク機能オーケストレーションモジュール215は、当該機能を提供するデータセンタに、機能供給命令258を送信してよい。機能供給命令258は、当該機能が適用されるべきネットワークサービス、当該機能が開始および終了されるべき時間、および当該機能の任意のパラメータを指定してよい。新しいルートを供給すべく、ネットワーク機能オーケストレーションモジュール215は、ルートのそれぞれのルータに、ルーティング命令260を、ソースからデータセンタへ、および可能であればデータセンタからデスティネーションへ、送信してよい。ルーティング命令260は、ルーティングテーブルエントリ、MPLSルーティングエントリ等を指定してよい。
【0047】
課金モジュール218は、ネットワークサービスおよびネットワーク機能についてクライアントにいくら課金するかを判断すべく、サービスインベントリモジュール212およびネットワーク機能オーケストレーションモジュール215と通信する。一実施形態において、ユーザは、ネットワーク機能がネットワークサービスに適用される時間で課金されてよい。
【0048】
例えば、ネットワーク120がエンドポイント110とエンドポイント112との間に仮想イーサネット(登録商標)サービスを提供し、ルータ122aおよび122bを介してサービスをルーティングすると想定する。この例では、解析モジュール222が、エンドポイント110とエンドポイント112との間のレイテンシは5msであり、サービスのためのSLAは、10msの最大レイテンシを要求することを最初に検出してよい。後で、解析モジュール120は、レイテンシが7msに増加したことを検出してよい。解析モジュール222は独立して、またはレイテンシの増加に応答して、エンドポイント110とエンドポイント112との間のルートを検査し、ルータ122aとルータ122bとの間のリンクの稼働率は80%であることを検出する。解析モジュール222は、ルールデータベースモジュール221内のルールまたは指定された条件に基づいて、80%はこのリンクの稼働率閾値を超えていることを判断してよく、ネットワーク機能オーケストレーションモジュール215に改善措置を取るための信号を送信できる。ネットワーク機能オーケストレーションモジュール215は、リンク稼働率を下げるべく、エンドポイント110からエンドポイント112へ流れる仮想イーサネット(登録商標)サービストラフィックに圧縮機能が適用可能であることを判断してよい。ネットワーク機能オーケストレーションモジュールは、ネットワークトポロジおよびデータセンタの位置情報を使用して、ルートおよび機能を適用可能な適切なデータセンタを判断してよい。例えば、ネットワーク機能オーケストレーションモジュール215は、データセンタ124aおよびデータセンタ124bの各々において、仮想マシンを開始することによって、データセンタ124aに圧縮機能を、データセンタ124bに解凍機能を供給してよい。次に、ネットワーク機能オーケストレーションモジュール215は、サービス供給モジュール216に対し、サービストラフィックのための新しいルートを伝達してよい。これは、ルータ110でエンドポイント110からサービスパケットを受信し、当該サービスパケットをルータ122cに転送し、次に圧縮のためにデータセンタ124aに転送し、圧縮されたサービスパケットをルータ122cに送信し直し、次にルータ122aに送信した後、ルータ122bに送信し、次に解凍のためにデータセンタ124bに送信し、ルータ122bに送信し直し、最終的にエンドポイント112に送信することが含まれる。サービス供給モジュール216は、ルータ122a、122bおよび122cの各々を、ルートを実装するように構成するであろう。
【0049】
図3は、例示的実施形態による、ネットワーク機能を動的に供給する方法300を示すフローチャートである。
【0050】
段階302で、ネットワークは、ネットワーク条件をモニタリングし、ネットワークサービスまたはネットワーク機能を適用するためのルールおよび他の構成情報を受信または判断する。ネットワークユーザまたは管理者は、当該ルールおよび構成情報を入力してよい。例えば、ネットワークは、ネットワークユーザに、ネットワークサービスおよびネットワーク機能に加入し、当該ネットワークサービスおよびネットワーク機能を管理および構成するためのポータルユーザインタフェースを提供してよい。ユーザは、ネットワークサービスにネットワーク機能を適用するためのルール、条件またはスケジュールを構成してよい。例えば、ネットワークユーザは、2つのエンドポイントLAN間の接続を提供する仮想イーサネット(登録商標)サービスに加入すべく、および当該サービスのための任意のSLA要件を入力すべく、ポータルを使用してよい。次にユーザは、ポータルで仮想イーサネット(登録商標)サービス関連のオプションを構成してよい。これには例えば、仮想イーサネット(登録商標)接続のトラフィックが平均から標準偏差2より多く増加した場合、ネットワークは当該接続にファイアウォールを設定し、且つ、トラフィックスパイクの継続期間中、パケットダンプを開始する必要があることを指定するルールを構成することが挙げられる。ユーザは、仮想イーサネット(登録商標)サービスが設定される時点、またはイーサネット(登録商標)サービスの実行後、これらのルールを設定してよい。ユーザはまたこの構成を変更してよく、後で異なるルールまたは機能をサービスに追加してよい。
【0051】
また、ルールおよび構成情報はネットワークリンク、ネットワーク要素または他のネットワーク特性全般とも関連付けられてよい。例えば、構成は、ネットワークリンクが複数のサービスからのトラフィックによって過剰利用になった場合、取るべき措置を指定してよい。
【0052】
段階304において、ネットワークは、ルールおよび構成に関連付けられた条件をモニタリングする。例えば、トラフィックが平均から標準偏差2を超えると、パケットダンプが実行される必要があることをサービスに関連付けられたルールが指定する場合、ネットワークは、サービスの平均トラフィックおよびその標準偏差の履歴を管理してよい。
【0053】
段階306において、ネットワークは、何らかのモニタリングされたネットワーク条件がルールまたはネットワーク若しくはサービスに関連付けられたイベントをトリガするかを判断する。ネットワーク条件が、任意の構成またはルールによって確立された基準を満たす場合、ネットワークは段階308に進み、適用されるべきネットワーク機能を判断する。
【0054】
段階308において、ネットワークは、適用されるべきネットワーク機能を判断する。当該ネットワーク機能は、ルール若しくは構成によって指定され、または利用可能なネットワークリソースに基づいて選択されてよい。例えば、ネットワークが例外的なトラフィックを検出した場合、ネットワークはパケットダンプを実行し、中レベルのセキュリティファイアウォールを開始することを選択してよい。次にネットワークは、トラフィックを解析し、より高いセキュリティ侵入検出機能等の適用すべき異なるネットワーク機能を選択してよい。
【0055】
段階310において、ネットワークがネットワーク機能を選択すると、ネットワークは、当該ネットワーク機能を提供するための適切なリソースおよびルートを判断する。例えば、ネットワークは、当該機能を処理するために利用可能なリソースを十分備え、且つ当該機能が適用されるべきサービス(複数可)の任意のSLA要件を満たすルート内に存在するデータセンタを判断してよい。ネットワークは、中央の場所にある利用可能なトポロジおよびルーティング情報を使用してよく、リソースの利用可能性を判断するためにデータセンタにクエリを実行してよい。
【0056】
段階312において、ネットワークは、例えば、ルータ、スイッチ、データセンタ等のネットワーク要素を、当該ネットワーク機能を提供するように構成する。ネットワークは、例えば、MPLSトンネルを、データセンタを介してサービストラフィックをルーティングするように構成してよい。ルータは、当該サービスのパケットにMPLSラベルを追加するように構成されてよく、データセンタは、該当するMPLSラベルを含むパケットに当該機能を適用するように構成されてよい。
【0057】
一実施形態において、ネットワークは、ネットワーク条件のモニタリングを継続し、該当するルールを評価することによって、ネットワーク機能の適用を変更または解除してよい。例えば、ルールが、トラフィックスパイク中、サービスのトラフィックがファイアウォールされるべきであることを指定する場合、ネットワークは当該トラフィックをモニタリングし、スパイクが終了したことを判断した後、その時点でそのファイアウォール機能を解除してよい。一実施形態において、ユーザは、ルールの一部として、当該機能が適用されるべき時間を指定してよい。このように、ネットワークはイベントに反応および適合し、該当する場合、機能を動的に提供することで、強化機能を提供しつつ、リソースの節約を行う。
【0058】
図4は、例示的実施形態による、指定された期間ネットワーク機能を動的に供給する方法400を示すフローチャートである。
【0059】
段階402において、ネットワークはネットワーク条件をモニタリングし、指定された期間ネットワークサービスまたは機能を適用するためのルールおよび他の構成情報を受信する。ネットワークユーザまたは管理者は、ネットワーク機能の適用をスケジュールする、またはネットワーク機能が適用されるべき時間を示すルールおよび構成情報を入力してよい。例えば、ネットワークユーザは、ポータルを使用して、2つのエンドポイントLAN間に接続を提供する仮想イーサネット(登録商標)サービスに加入し、当該サービスのための任意のSLA要件を入力してよい。ユーザは、仮想イーサネット(登録商標)サービスを通るTCPトラフィックが午後2時から午後4時にわたり、毎日著しく増加することを観測してよい。次にユーザは、ネットワークが午後2時から午後4時にわたり、毎日パケットダンプを実行し、侵入検出機能をアクティブ化することを指定するルールを構成してよい。
【0060】
段階404および段階406に示される通り、スケジュールされた機能の開始時間において、または当該開始時間の前に、ネットワークは、開始時間を判断し、ネットワークはネットワーク機能を提供するための適切なリソースおよびルートを判断する。例えば、ネットワークは、当該機能を処理するために利用可能なリソースを十分備え、且つ当該機能が適用されるべきサービス(複数化)の任意のSLA要件を満たすルート内に存在するデータセンタを判断してよい。ネットワークは、中央の場所にある利用可能なトポロジおよびルーティング情報を使用してよく、リソースの利用可能性を判断するためにデータセンタにクエリを実行してよい。
【0061】
段階408において、ネットワークは、例えば、ルータ、スイッチ、データセンタ等のネットワーク要素を、当該ネットワーク機能を提供するように構成する。ネットワークは、例えば、MPLSトンネルを、データセンタを介してサービストラフィックをルーティングするように構成してよい。ルータは、当該サービスのパケットにMPLSラベルを追加するように構成されてよく、データセンタは、該当するMPLSラベルを含むパケットに当該機能を適用するように構成されてよい。
【0062】
指定された期間が期限切れになると、ネットワークは、段階410および412に示される通り、ネットワーク要素およびデータセンタを再度構成することによって、適用するネットワーク機能を解除する。
【0063】
[結論]ルールデータベースモジュール221は、永続メモリを含む、任意の格納タイプの構造化メモリであってよい。例示において、データベースはリレーショナルデータベースまたはファイルシステムとして実装されてよい。
【0065】
図1および図2中のブロックおよびモジュールの各々は、同一または異なるコンピューティングデバイス上に実装されてよい。このようなコンピューティングデバイスとしては、限定はされないが、パーソナルコンピュータ、携帯電話等のモバイルデバイス、ワークステーション、埋め込みシステム、ゲームコンソール、テレビ、セットトップボックス、または任意の他のコンピューティングデバイスが含まれ得る。さらに、コンピューティングデバイスには、限定はされないが、命令を実行および格納するための非一時的メモリを含むプロセッサおよびメモリを有するデバイスが含まれ得る。メモリは、データおよびプログラム命令を有形に具現化してよい。ソフトウェアには、1または複数のアプリケーションおよびオペレーティングシステムが含まれてよい。ハードウェアには、限定はされないが、プロセッサ、メモリおよびグラフィカルユーザインタフェースディスプレイが含まれ得る。コンピューティングデバイスはまた、複数のプロセッサおよび複数の共有または個別のメモリコンポーネントを有してもよい。例えば、コンピューティングデバイスは、クラスタ化コンピューティング環境またはサーバファームの一部またはその全体であってよい。
【0066】
「(a)」、「(b)」、「(i)」、「(ii)」等の識別子が異なる要素または段階に対し使用されることがある。これらの識別子は明確さのために使用されており、要素または段階の順序を必ずしも指定していない。
【0067】
本発明は、指定された機能の実装およびそれらの関係を示す機能構築ブロックの補助を用いて上記されている。本明細書においては、説明の便宜上、これらの機能構築ブロックの境界は恣意的に定義されている。指定された機能およびそれらの関係が適切に実行される限り、代替の境界が定義可能である。
【0068】
特定の実施形態に関する上記の説明は、本発明の一般的性質を十分開示しているので、当該技術分野における知識を適用することで、過度の実験をすることなく、本発明の一般概念から逸脱することなく、容易に当該特定の実施形態に対する修正および/または様々な応用を適合することができる。従って、このような適合および修正は、本明細書に示された教示および指針に基づき、開示された実施形態の均等の意味および範囲に属することが意図されている。本明細書における文言または用語は、説明のためのものであり、限定の意図はなく、結果として、本明細書の文言または用語は、当該教示および指針に照らし当業者に解釈されることになることを理解されたい。
【0069】
本実施形態に係る広さおよび範囲は、上記例示によって限定されるべきではなく、以下の特許請求の範囲およびその均等内容によってのみ画されるべきである。