特表-13164988IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧
再表2013-164988通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
<>
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000003
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000004
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000005
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000006
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000007
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000008
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000009
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000010
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000011
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000012
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000013
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000014
  • 再表WO2013164988-通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム 図000015
< >
(19)【発行国】日本国特許庁(JP)
【公報種別】再公表特許(A1)
(11)【国際公開番号】WO/0
(43)【国際公開日】2013年11月7日
【発行日】2015年12月24日
(54)【発明の名称】通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
(51)【国際特許分類】
   H04L 12/717 20130101AFI20151201BHJP
   H04L 12/741 20130101ALI20151201BHJP
【FI】
   H04L12/717
   H04L12/741
【審査請求】未請求
【予備審査請求】未請求
【全頁数】21
【出願番号】特願2014-513372(P2014-513372)
(21)【国際出願番号】PCT/0/0
(22)【国際出願日】2013年4月26日
(31)【優先権主張番号】特願2012-104664(P2012-104664)
(32)【優先日】2012年5月1日
(33)【優先権主張国】JP
(81)【指定国】 AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KM,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ,VC
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100080816
【弁理士】
【氏名又は名称】加藤 朝道
(72)【発明者】
【氏名】山形 昌也
(72)【発明者】
【氏名】森田 陽一郎
(72)【発明者】
【氏名】佐々木 貴之
(72)【発明者】
【氏名】中江 政行
(72)【発明者】
【氏名】園田 健太郎
(72)【発明者】
【氏名】波多野 洋一
(72)【発明者】
【氏名】下西 英之
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA13
5K030HA08
5K030KA05
5K030KA07
5K030LB07
5K030LC15
(57)【要約】
本発明は、集中制御型の通信システムにおいて大量のパケット通信や細粒度のアクセス制御に好適な構成を提供する。通信システムは、転送ノードに制御情報を設定する制御装置と、転送ノードと、アクセス制御装置と、を含む。前記転送ノードは、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する。前記アクセス制御装置は、前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備える。
【特許請求の範囲】
【請求項1】
転送ノードに制御情報を設定する制御装置と、
前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、
前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備えたアクセス制御装置と、
を含む通信システム。
【請求項2】
前記アクセス制御装置は、さらに、
前記転送ノードの前記所定のポートから転送されたパケットから、前記判定部に送信する制御対象パケットを抽出する制御対象パケット抽出部を備える請求項1の通信システム。
【請求項3】
前記転送ノードは、さらに、
前記所定のポートから転送するパケットに、前記アクセス制御装置への転送用のヘッダを付加するヘッダ付加処理部を備える請求項1又は2の通信システム。
【請求項4】
前記アクセス制御装置が複数配置され、
前記第2の制御情報として、前記複数のアクセス制御装置への振り分けを行う複数の制御情報が設定されている請求項1から3いずれか一の通信システム。
【請求項5】
前記判定部は、所定のアクセスポリシに基づいて、制御情報の生成要否を判定する請求項1から4いずれか一の通信システム。
【請求項6】
前記判定部は、前記転送ノードの前記所定のポートから転送されたパケットが所定の特徴を有する場合、前記制御装置に対し、前記転送ノードに前記特徴を有するパケットの破棄を実行させる制御情報の生成を要求する請求項1から6いずれか一の通信システム。
【請求項7】
前記制御対象パケット抽出部が、前記制御装置から制御される第2の転送ノードで構成されている請求項2から6いずれか一の通信システム。
【請求項8】
転送ノードに制御情報を設定する制御装置と、
前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、を含む通信システムに配置され、
前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備えたアクセス制御装置。
【請求項9】
転送ノードに制御情報を設定する制御装置と、接続され、
前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とが設定され、
前記第2の制御情報のマッチ条件に適合するパケットを受信した場合、所定のヘッダを付加してからパケットを転送する転送ノード。
【請求項10】
制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードから、前記第2の制御情報によって転送されたパケットについて制御情報の生成要否を判定するステップと、
前記判定結果に基づいて、前記制御装置に対し、制御情報の生成を要求するステップと、を含むネットワーク制御方法。
【請求項11】
転送ノードに制御情報を設定する制御装置と、
前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、を含む通信システムに配置されたコンピュータに、
前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定する処理と、
前記判定結果に基づいて、前記制御装置に対し、制御情報の生成を要求する処理とを実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願についての記載)
本発明は、日本国特許出願:特願2012−104664号(2012年5月1日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
【0002】
本発明は、通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラムに関し、特に、スイッチを集中制御するコントローラを有する通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラムに関する。
【背景技術】
【0003】
近年、オープンフロー(OpenFlow)というネットワークが注目を浴びている(特許文献1、非特許文献1、2参照)。オープンフローは、オープンフローコントローラと呼ばれる制御装置が、オープンフロースイッチと呼ばれるスイッチの振る舞いを制御する集中制御型のネットワークアーキテクチャを採用している。より具体的には、オープンフローコントローラは、オープンフロースイッチに、入力ポート、レイヤ2〜レイヤ4のヘッダを指定したマッチ条件と処理内容を規定したフローエントリを設定することにより、きめ細かな経路制御を行うことが可能となっている。
【0004】
その他、ネットワークシステムにおいて、セキュリティやサービス品質などを一元管理するために、ネットワーク管理システム(NMS)やポリシーサーバが用いられている。
【0005】
特許文献1には、ネットワークマネージャによって集中管理されるネットワークにおける管理方法が開示されている。同文献の段落0031〜0032には、ネットワーク内のスイッチが上記したオープンフローのスイッチと同様に動作することが記載されている。また、同段落末文には、多数のフローヘッダエントリとマッチしているパケットが最も高いプライオリティのフローエントリに割り当てられる、即ち、ロンゲストマッチのようなルールを用いうることが記載されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特表2010−541426号公報
【非特許文献】
【0007】
【非特許文献1】Nick McKeownほか7名、“OpenFlow: Enabling Innovation in Campus Networks”、[online]、[平成24(2012)年3月14日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉
【非特許文献2】“OpenFlow Switch Specification” Version 1.1.0 Implemented (Wire Protocol 0x02)、[online]、[平成24(2012)年3月14日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
【発明の概要】
【発明が解決しようとする課題】
【0008】
以下の分析は、本発明によって与えられたものである。非特許文献1、2のオープンフローに代表される集中制御型の通信システムでは、大量のパケット通信や細粒度のアクセス制御を行う場合、機器を集中制御する制御装置(非特許文献1、2のオープンフローコントローラに相当)への問い合わせが増え、負荷が増大してしまうという問題点がある。また、制御装置によって制御される転送ノード(非特許文献1、2のオープンフロースイッチや特許文献1のネットワークエレメントに相当)の方も、保持可能なフローエントリの数やCPU(Central Processing Unit)の処理性能に制約がある。加えて、受信したパケットに適合するフローエントリが無い場合、制御装置との通信を行う必要があるため、大量のパケット受信や細粒度のアクセス制御を行うと本来の性能を発揮できない状況が起こりうる。
【0009】
とりわけ、スイッチと制御装置間のセキュアチャネルに、TLS/SSL(Transport Layer Security/Secure Sockets Layer)を用いると、上記傾向は顕著となり、パケット遅延等も起こりうる。
【0010】
これらの対策としては、制御装置を複数用意することによる負荷分散等が検討されている。しかしながら、制御対象の転送ノードの数、これらの転送ノードに接続する端末数、各端末が取り扱うサービスの種類が増えれば、これらの大量の処理対象パケットに対応するフローエントリが必要となり、制御装置への問い合わせが飛躍的に増加することは避けられない。このため、根本的な対策が望まれている。
【0011】
本発明は、大量のパケット通信や細粒度のアクセス制御を行う場合であっても、制御装置やスイッチの負荷増大を抑え、その本来の性能を発揮できるようにすることのできる通信システム、アクセス制御装置、転送ノード、ネットワーク制御方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0012】
第1の視点によれば、転送ノードに制御情報を設定する制御装置と、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備えたアクセス制御装置と、を含む通信システムが提供される。
【0013】
第2の視点によれば、転送ノードに制御情報を設定する制御装置と、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、を含む通信システムに配置され、前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備えたアクセス制御装置が提供される。
【0014】
第3の視点によれば、転送ノードに制御情報を設定する制御装置と、接続され、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とが設定され、前記第2の制御情報のマッチ条件に適合するパケットを受信した場合、所定のヘッダを付加してからパケットを転送する転送ノードが提供される。
【0015】
第4の視点によれば、制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードから、前記第2の制御情報によって転送されたパケットについて制御情報の生成要否を判定するステップと、前記判定結果に基づいて、前記制御装置に対し、制御情報の生成を要求するステップと、を含むネットワーク制御方法が提供される。本方法は、転送ノードからのパケットを受信して制御情報の生成要否を判断するコンピュータという、特定の機械に結びつけられている。
【0016】
第5の視点によれば、転送ノードに制御情報を設定する制御装置と、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、を含む通信システムに配置されたコンピュータに、前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定する処理と、前記判定結果に基づいて、前記制御装置に対し、制御情報の生成を要求する処理とを実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジエントな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
【発明の効果】
【0017】
本発明によれば、大量のパケット通信や細粒度のアクセス制御を行う場合であっても、制御装置やスイッチの負荷増大を抑え、その本来の性能を発揮できるようにすることが可能となる。
【図面の簡単な説明】
【0018】
図1】本発明の一実施形態の構成を示す図である。
図2】本発明の第1の実施形態の通信システムの構成を示す図である。
図3】本発明の第1の実施形態のスイッチの構成を示す図である。
図4】本発明の第1の実施形態のスイッチに設定されているフローエントリ(第2の制御情報)の例である。
図5】本発明の第1の実施形態のコントローラが保持するアクセスポリシの一例である。
図6】本発明の第1の実施形態の動作を表したシーケンス図である。
図7図6のステップS08の時点で、本発明の第1の実施形態のスイッチに設定されているフローエントリの例である。
図8図2にパケット転送経路を追記した図である。
図9】本発明の第2の実施形態の通信システムの構成を示す図である。
図10】本発明の第2の実施形態のスイッチに設定されているフローエントリ(第2の制御情報)の例である。
図11】本発明の第3の実施形態の通信システムの構成を示す図である。
図12】本発明の第3の実施形態のスイッチの構成を示す図である。
図13】本発明の第4の実施形態の通信システムの構成を示す図である。
【発明を実施するための形態】
【0019】
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
【0020】
本発明は、その一実施形態において、図1に示すように、転送ノード10に制御情報を設定する制御装置30と、この制御装置30から設定された制御情報を用いてパケットを転送する1または複数の転送ノード10と、アクセス制御装置20と、を含む構成にて実現できる。
【0021】
より具体的には、制御装置30は、転送ノード10に、所定の外部ノード間(例えば、図1のクライアント−サーバ間)のパケットを転送する第1の制御情報と、前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを設定する。そして、転送ノード10は、前記第1、第2の制御情報を用いて受信パケットの転送を行う。
【0022】
アクセス制御装置20は、転送ノード10の所定ポートから受信したパケット(第2の制御情報により転送されたパケット)について制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部22を備える。ここで、制御情報の生成を要求の対象とならなかったパケットは、判定部22にて廃棄される。
【0023】
以上のように、所定の外部ノード間(例えば、図1のクライアント−サーバ間)のパケットを転送する第1の制御情報による転送の対象とならなかったパケットは、アクセス制御装置20に送信される(図1の太矢線参照)。そして、アクセス制御装置20では、判定部22を介して、制御情報の生成要求の対象とならないパケットは廃棄される。この結果、必要な制御情報だけが制御装置30にて生成され、転送ノード10に設定される。
【0024】
従って、大量のパケットが転送ノード10に流れ込むようなケースや、多数の転送ノード10において細粒度のアクセス制御を行う場合であっても、制御装置30や転送ノード10の負荷増大を抑えることが可能となる。
【0025】
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の通信システムの構成を示す図である。図2を参照すると、ネットワークに配置された複数のスイッチ11と、これらスイッチ11を制御するコントローラ60と、スイッチ11が配置されたネットワークに接続されたクライアント41、42、サーバ50とが示されている。
【0026】
スイッチ11は、コントローラ60から設定されたフローエントリに従ってパケットを処理する。
【0027】
図3は、本発明の第1の実施形態のスイッチの構成を示す図である。図3を参照すると、本実施形態のスイッチ11は、制御メッセージ処理部111と、パケット処理部112と、フローテーブル113とを備えた構成が示されている。また、図3のポートP1〜Pxは、他のスイッチやサーバ50と接続されたポートであり、ポートPPは、コントローラ60の制御対象パケット抽出部61に接続されたポートであるものとする。
【0028】
フローテーブル113は、コントローラ60から設定されたフローエントリを格納するためのテーブルである。フローエントリは、受信パケットと照合するマッチ条件(Match Fields)と、処理内容(Instructions)とを対応付けたエントリによって構成される。
【0029】
パケット処理部112は、パケットを受信すると、フローテーブル113から、受信パケットに適合するマッチ条件を持つフローエントリを検索する。前記検索の結果、受信パケットに適合するマッチ条件を持つフローエントリが見つかった場合、パケット処理部112は、当該フローエントリに設定された処理内容(Instructions)を実行する。
【0030】
制御メッセージ処理部111は、コントローラ60と制御メッセージを授受する。例えば、コントローラ60から、フローテーブル113へのフローエントリの追加、変更、削除等を実行する。
【0031】
図4は、初期状態において、スイッチ11に設定されているフローエントリ(第2の制御情報)を示す図である。図4の例では、マッチ条件として、送信元IPアドレス(Src IP)、宛先IPアドレス(Dst IP)、TCP/UDP(Transmission Control Protcol/User Datagram Protocol)宛先ポート(dst port)等の各フィールドにワイルドカード(ANY)が設定され、コントローラ60の制御対象パケット抽出部61に転送するとの処理内容(Instructions)が設定されたフローエントリが示されている。従って、図4のフローエントリだけが設定された状態では、受信パケットはすべてコントローラ60の制御対象パケット抽出部61に転送されることになる。
【0032】
また、図4の例では、フローエントリには、統計情報(Counters)フィールドが設けられており、フローエントリ毎に統計情報を記録できるようになっている。これらの統計情報は、制御メッセージ処理部111を介して、コントローラ60に提供することも可能であり、例えば、異常トラヒックの特定などに利用できる。
【0033】
なお、図4のようなフローエントリは、予めスイッチ11に設定されていてもよいし、スイッチ11のネットワーク接続時に、コントローラ60が設定するものとしてもよい。
【0034】
上記のようなスイッチ11としては、非特許文献1、2のオープンフロースイッチを用いることができる。また、上記したパケット処理部112及びフローテーブルは、ASIC(Application Specific Integrated Circuit)を用いたハードウェア構成とすることができ、フローエントリのサーチや各種処理を高速に実行することが可能となる。
【0035】
また、以下の説明では、クライアント41、42とサーバ50とが通信するものとして説明するが、その他の通信機器が含まれていてもよい。また、例えば、クライアント41、42として使用する機器に、上記スイッチ11相当の機能が内蔵されていて、内蔵アプリケーションから出力されたパケットについて、スイッチ11と同様の動作を行うものとしてもよい。
【0036】
コントローラ60は、制御対象パケット抽出部61と、判定部62と、フローエントリ生成部63と、スイッチ制御部64とを備えている。
【0037】
制御対象パケット抽出部61は、上記のようにスイッチ11から、ネットワークカードにおけるプロミスキャスモード(promiscuous mode)と同様に動作し、初期設定されているフローエントリ(第2の制御情報)に基づいて転送されたパケットすべてを受信する。そして、制御対象パケット抽出部61は、受信したパケットのヘッダ情報を参照して、制御対象パケットを抽出して判定部62に出力する。制御対象パケットの選択基準は、想定されるトラヒックの内容や、コントローラ60の能力に応じて決定される。例えば、VLAD IDの値が所定の範囲にあるパケットだけを判定部62に転送するものとしてもよいし、あるいは、異常トラヒックや不正アクセスが疑われる特徴のあるパケット以外を判定部62送信するものとしてもよい。
【0038】
判定部62は、所定のアクセスポリシ等に基づいて、制御対象パケット抽出部61から転送されたパケットに対応するフローエントリの生成要否を判定する。前記判定の結果、フローエントリの生成が必要と判定した場合、判定部62は、フローエントリ生成部63に、受信パケットまたは受信パケットから抽出した情報を送信し、フローエントリの生成を依頼する。一方、前記判定の結果、フローエントリの生成が不要と判定した場合、判定部62は、受信パケットを廃棄する。
【0039】
図5は、判定部62が、フローエントリの生成要否を判定するために参照するアクセスポリシの一例である。図5の例では、送信元IPアドレスが192.168.100.1であり、宛先IPアドレスが192.168.0.1であるパケットは、アクセス権限が「allow」であるので、フローエントリの生成要と判定される。一方、送信元IPアドレスが192.168.100.2であり、宛先IPアドレスが192.168.0.1であるパケットは、アクセス権限が「deny」であるので、フローエントリの生成不可と判定される。なお、図5の例では、IPアドレスだけを用いて判定を行っているが、その他、レイヤ2、レイヤ4のヘッダ情報やプロトコル情報などを用いて判定を行ってもよい。
【0040】
フローエントリ生成部63は、判定部62からフローエントリの生成要求を受けると、スイッチ11によって構成されるネットワークトポロジを参照して、受信パケットを送信元から宛先まで転送する経路を計算し、スイッチ11に該経路に沿ったパケット転送を行わせるフローエントリを生成する。例えば、図1のクライアント42からサーバ50宛てのパケットについてフローエントリの生成要求を受けた場合、フローエントリ生成部63は、スイッチ11に、クライアント42からサーバ50宛てのパケットを、転送経路上の次ホップに転送させるフローエントリを生成する。
【0041】
スイッチ制御部64は、フローエントリ生成部63にて生成されたフローエントリを該当するスイッチ11に設定する動作を行う。なお、スイッチ制御部64に、各スイッチ11の設定されているフローエントリを管理するフローエントリデータベース等を保持させて、フローエントリ生成部63にて生成されたフローエントリの設定要否を行わせてもよい。
【0042】
上記のようなコントローラ60は、非特許文献1、2のオープンフローコントローラをベースに、上記制御対象パケット抽出部61及び判定部62に相当する機能を追加ことで実現することが可能である。
【0043】
なお、図1図3に示したアクセス制御装置、コントローラ、スイッチの各部(処理手段)は、これらの装置に搭載されたコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
【0044】
続いて、本実施形態の動作について図面を参照して詳細に説明する。図6は、本発明の第1の実施形態の動作を表したシーケンス図である。以下、クライアント42がサーバ50宛てのパケットを送信するものとして一連の動作を説明する。
【0045】
図6を参照すると、まず、クライアント42がサーバ50宛てのパケットを送信すると(ステップS01)、スイッチ11は、フローテーブル113を参照して、受信パケットに適合するフローエントリに従いパケットを処理する(ステップS02)。ここでは、図4に示すフローエントリ(第2の制御情報)がヒットする。スイッチ11は、フローエントリ(第2の制御情報)の内容に従って、コントローラ60の制御対象パケット抽出部61に対して、前記パケットを転送する。
【0046】
コントローラ60の制御対象パケット抽出部61は、前記パケットを受信すると、制御対象パケットであるか否かを判断する(ステップS03)。ここでは、クライアント42からサーバ50宛てのパケットは制御対象パケットであると判定されたものとする。従って、クライアント42からサーバ50宛てのパケットは、判定部62に送信される(ステップS03のYes)。なお、ステップS03で制御対象パケットでないと判断された場合(ステップS03のNo)、当該パケットは廃棄される(ステップS04)。
【0047】
次に、コントローラ60の判定部62は、制御対象パケットを受信すると、フローエントリの生成を行うか否かを判断する(ステップS05)。ここでは、クライアント42からサーバ50宛てのパケットは、図5のアクセスポリシに従い、フローエントリ生成要と判定されたものとする。従って、コントローラ60の判定部62は、フローエントリ生成部63に対して、フローエントリの生成を要求する(ステップS05のYes)。なお、ステップS05でフローエントリ生成不要と判断された場合(ステップS05のNo)、当該パケットは廃棄される(ステップS06)。
【0048】
次に、コントローラ60のフローエントリ生成部63は、フローエントリの生成要求を受けると、パケットの転送経路を計算し、スイッチ11を含むその転送経路上のスイッチに設定するフローエントリを生成し、スイッチ制御部64に送る(ステップS07)。
【0049】
次に、コントローラ60のスイッチ制御部64は、前記生成されたフローエントリをその転送経路上のスイッチに設定する(ステップS08)。また、スイッチ制御部64は、スイッチ11に対して、今回受信したパケットの次ホップへの送信またはフローテーブルの再検索を指示する。これにより、ステップS01で受信したパケットが次ホップに転送される。
【0050】
図7は、上記ステップS08で設定されたフローエントリ(第1の制御情報)の例である。図3に示したフローエントリ(第2の制御情報)よりも高優先となる位置に、クライアント42(IPアドレス=192.168.100.1とする)からサーバ50(IPアドレス=192.168.0.1とする)宛てのパケットを次ホップに転送するフローエントリが設定されている。即ち、スイッチ11は、フローテーブル113を上位エントリから順番にサーチし、受信パケットに適合するマッチ条件が見つかったら、そのフローエントリを採択する。なお、図7の例では、上位に位置するフローエントリ程、優先度が高いものとして説明したが、フローエントリに優先度情報フィールドを設けて、受信パケットに適合するマッチ条件を持つフローエントリの優先度を順次比較して最優先のフローエントリを選択する方式も採用可能である。
【0051】
その後、クライアント42が後続パケットを送信すると(ステップS11)、スイッチ11は、ステップS08で設定されたフローエントリ(第1の制御情報)に基づいてパケットを転送する。以降は、アクセス制御装置20やコントローラ60を介さずに高速な転送が行われる。また、サーバ50からクライアント42への応答パケットも上記と同様の手順により、通信を許可するフローエントリが設定される。
【0052】
一方、図1のクライアント41がサーバ50宛てのパケットを送信した場合、上記の流れと同様に、スイッチ11は、アクセス制御装置20に、前記パケットを転送する。この場合、アクセス制御装置20は、前記制御対象パケット抽出部61または判定部62にてパケット廃棄動作を行うことになる(制御対象パケット抽出部61における制御対象外判定、または、判定部62におけるフローエントリ生成不要判定)。この場合は、コントローラ60のフローエントリ生成部63にフローエントリの生成要求は発行されないので、コントローラのフローエントリ生成部63に負荷が掛かることはない。
【0053】
図8は、上記フローエントリの設定手順により実現されるパケット転送経路を示す図である。クライアント42とサーバ50間のパケットは、図7に示したフローエントリ(第1の制御情報;サーバ50からクライアント42へのパケット転送用のフローエントリは省略)に従って、図8の太い矢線で示す経路で転送される。一方、クライアント41からのパケットは、図4図7の下段に示したフローエントリ(第2の制御情報)に従って、図8の細い矢線で示すように制御対象パケット抽出部61、判定部62に転送され、廃棄される。
【0054】
従って、クライアント41からスイッチ11に大量のパケットを送信されたとしても、コントローラ60の負荷が過大となることはない。また、クライアントやスイッチの数が増えたとしても、それぞれ制御対象パケット抽出部61、判定部62にて、選別が行われるため、コントローラ60の負荷を抑えることが可能となる。
【0055】
なお、上記した第1の実施形態では、コントローラ60に、制御対象パケット抽出部61、判定部62が内蔵された例を挙げて説明したが、図1に示すように、コントローラ(制御装置)とは別の情報処理装置(アクセス制御装置)に、制御対象パケット抽出部61及び判定部62を配置した構成も採用可能である。また、この場合には、情報処理装置(アクセス制御装置)の台数を増やすことで負荷を分散することも可能である。
【0056】
[第2の実施形態]
続いて、情報処理装置(アクセス制御装置)を複数配置して負荷分散を行うようにした第2の実施形態について説明する。
【0057】
図9は、本発明の第2の実施形態の通信システムの構成を示す図である。図1図2に示した実施形態との相違点は、制御対象パケット抽出部61及び判定部62を備えてスイッチ11からのパケットを受信するアクセス制御装置20A〜20Cが複数配置されている点である。その他、アクセス制御装置20A〜20Cの個々の動作は、上記した第1の実施形態のコントローラ60の制御対象パケット抽出部61及び判定部62の動作と同じであるので説明を省略する。
【0058】
図10は、本実施形態のスイッチ11に設定されているフローエントリ(第2の制御情報)の例である。図4に示したフローエントリ(第2の制御情報)との相違点は、受信パケットの特徴に応じて、送信先のアクセス制御装置を切り替えるフローエントリ(第2の制御情報)が複数設定されている点である。図10の例では、クライアント42においてアクセス制御装置への転送を指示するフローエントリ(第2の制御情報)にヒットしたパケット(第1の制御情報未設定パケット)は、アクセス制御装置20Aに転送される。また、その他のクライアントにおいてアクセス制御装置への転送を指示するフローエントリ(第2の制御情報)にヒットしたパケット(第1の制御情報未設定パケット)は、アクセス制御装置20Bに転送される。
【0059】
以上のように、本実施形態によれば、図9に示すように、スイッチ11から転送される大量のパケット(第1の制御情報未設定パケット)の処理を複数のアクセス制御装置20A〜20Cに分散させることができる。なお、図9の例では、スイッチ11とアクセス制御装置20A〜20C間は、単一のリンクで接続されているが、スイッチ11とアクセス制御装置20A間を複数のリンクをまとめたリングアグリゲーションで接続することもできる。例えば、大量のパケットの処理が想定されるフローについては、リングアグリゲーションで接続された高性能のアクセス制御装置に処理させるようにしてもよい。
【0060】
[第3の実施形態]
続いて、スイッチ11とアクセス制御装置間が別のネットワークを介して接続されている場合にも、アクセス制御装置へパケット(第1の制御情報未設定パケット)を転送できるようにした第3の実施形態について説明する。
【0061】
図11は、本発明の第3の実施形態の通信システムの構成を示す図である。図11に示すように、スイッチ11Aとアクセス制御装置20Dとが離れて設置されている場合、例えば、サーバ50宛てとなっているパケット(第1の制御情報未設定パケット)をアクセス制御装置に転送する仕組みが必要になる。そこで、本実施形態では、スイッチに変更を加えている。
【0062】
図12は、本発明の第3の実施形態のスイッチ11Aの構成を示す図である。図3に示した第1の実施形態のスイッチ11との相違点は、アクセス制御装置20Dに送信するパケットに付加ヘッダを追加するヘッダ付加処理部114が追加されている点である。
【0063】
ヘッダ付加処理部114は、パケット処理部112から転送されたパケットに、データパスID(DPID;スイッチ11Aの識別子)と、アクセス制御装置20Dのアドレス情報を含んだヘッダを付加してからポートPPに出力する。
【0064】
以上のように、本実施形態によれば、図11に示すように、スイッチ11Aとアクセス制御装置20Dとが離れて設置されている場合であっても、パケット(第1の制御情報未設定パケット)をアクセス制御装置に転送することが可能となる。
【0065】
また、本実施形態では、付加ヘッダ中に、データパスID(DPID;スイッチ11Aの識別子)を含めるようにしてあるので、アクセス制御装置20Dが、パケット(第1の制御情報未設定パケット)の送信元のスイッチを把握することが可能となっている。
【0066】
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した実施形態で用いたネットワーク構成やスイッチ、アクセス制御装置、コントローラの数に制約は無い。
【0067】
また、上記した第1〜第3の実施形態では、制御対象パケット抽出部は、アクセス制御装置20またはコントローラに内蔵されているものとして説明したが、図13に示すように、制御対象パケット抽出部を非特許文献1、2のオープンフロースイッチ等の転送ノード(第2の転送ノード)12により構成することもできる(第4の実施形態)。この場合、制御装置またはコントローラが、転送ノード(第2の転送ノード)に、前記制御対象パケットを抽出する制御情報(フローエントリ)を設定することで、転送ノード(第2の転送ノード)12を制御対象パケット抽出部として機能させることが可能になる。
【0068】
また、上記した第1の実施形態では、スイッチと制御対象パケット抽出部61、スイッチとスイッチ制御部64間に、別々のチャネルが設けられるものとして説明したが、1つのチャネルで、パケット(第1の制御情報未設定パケット)と、スイッチとコントローラ間の制御メッセージとを送信するようにしてもよい。例えば、非特許文献1、2においてオープンフロースイッチ、オープンフローコントローラ間に設けられるセキュアチャネルを共用して用いる構成も採用可能である。
【0069】
また、上記した実施形態では判定部62がアクセスポリシに基づいてフローエントリの生成要否を判定するものとして説明したが、前記判定部62に、パケット分析機能を追加してもよい。例えば、前記制御対象パケット抽出部61から転送されたパケットの分析の結果、所定期間に所定のしきい値(N回)以上同一送信元IPアドレスのパケットが転送されている場合、判定部62は、DDoS攻撃(Distributed Denial of Service attack)等の不正パケットと判断する。そして、判定部62は、フローエントリ生成部63に対し、受信パケットまたは受信パケットから抽出した情報を送信し、同一の送信元IPアドレスのパケットを破棄させるフローエントリの生成を依頼する。このようにすることで、制御対象パケット抽出部61の転送対象とするパケットを間引くことも可能である。
【0070】
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
【符号の説明】
【0071】
10 転送ノード
11、11A スイッチ
12 第2の転送ノード
20、20A〜20E アクセス制御装置
21、61、121 制御対象パケット抽出部
22、62 判定部
30 制御装置
41、42 クライアント
50 サーバ
60 コントローラ
63 フローエントリ生成部
64 スイッチ制御部
111 制御メッセージ処理部
112 パケット処理部
113 フローテーブル
114 ヘッダ付加処理部
P1〜Px、PP ポート
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13

【手続補正書】
【提出日】2014年10月30日
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】請求項6
【補正方法】変更
【補正の内容】
【請求項6】
前記判定部は、前記転送ノードの前記所定のポートから転送されたパケットが所定の特徴を有する場合、前記制御装置に対し、前記転送ノードに前記特徴を有するパケットの破棄を実行させる制御情報の生成を要求する請求項1からいずれか一の通信システム。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0050
【補正方法】変更
【補正の内容】
【0050】
図7は、上記ステップS08で設定されたフローエントリ(第1の制御情報)の例である。図に示したフローエントリ(第2の制御情報)よりも高優先となる位置に、クライアント42(IPアドレス=192.168.100.1とする)からサーバ50(IPアドレス=192.168.0.1とする)宛てのパケットを次ホップに転送するフローエントリが設定されている。即ち、スイッチ11は、フローテーブル113を上位エントリから順番にサーチし、受信パケットに適合するマッチ条件が見つかったら、そのフローエントリを採択する。なお、図7の例では、上位に位置するフローエントリ程、優先度が高いものとして説明したが、フローエントリに優先度情報フィールドを設けて、受信パケットに適合するマッチ条件を持つフローエントリの優先度を順次比較して最優先のフローエントリを選択する方式も採用可能である。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0059
【補正方法】変更
【補正の内容】
【0059】
以上のように、本実施形態によれば、図9に示すように、スイッチ11から転送される大量のパケット(第1の制御情報未設定パケット)の処理を複数のアクセス制御装置20A〜20Cに分散させることができる。なお、図9の例では、スイッチ11とアクセス制御装置20A〜20C間は、単一のリンクで接続されているが、スイッチ11とアクセス制御装置20A間を複数のリンクをまとめたリングアグリゲーションで接続することもできる。例えば、大量のパケットの処理が想定されるフローについては、リングアグリゲーションで接続された高性能のアクセス制御装置に処理させるようにしてもよい。
【手続補正4】
【補正対象書類名】図面
【補正対象項目名】図10
【補正方法】変更
【補正の内容】
図10
【国際調査報告】