CN103299589A - 通信系统、控制装置、通信方法以及程序 - Google Patents
通信系统、控制装置、通信方法以及程序 Download PDFInfo
- Publication number
- CN103299589A CN103299589A CN2012800044865A CN201280004486A CN103299589A CN 103299589 A CN103299589 A CN 103299589A CN 2012800044865 A CN2012800044865 A CN 2012800044865A CN 201280004486 A CN201280004486 A CN 201280004486A CN 103299589 A CN103299589 A CN 103299589A
- Authority
- CN
- China
- Prior art keywords
- address
- management apparatus
- main frame
- address management
- processing rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在具有进行地址管理的地址管理装置的网络中,能够同时实现从各主机向地址管理装置的通信和集中控制型的路径控制。通信系统包括:多个转发节点,其根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应;地址管理装置,其对主机赋予地址;控制装置,其在对所述主机与所述地址管理装置之间的转发节点设定了用于实现所述主机与所述地址管理装置之间的通信的第1处理规则之后,设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则。
Description
技术领域
[关于相关申请的记载]
本发明基于日本国专利申请:特愿2011-095134号(2011年4月21日申请)主张优先权,该申请的全部记载内容被引用并记载进本说明书中。
本发明涉及通信系统、控制装置、通信方法以及程序,尤其涉及通过配置于网络的转发节点转发数据包来实现通信的通信系统、控制装置、通信方法以及程序。
背景技术
近年来,提出了OpenFlow这一技术(参照专利文献1、非专利文献1、2)。OpenFlow将通信作为端对端的流而掌握,以流单位进行路径控制、障碍恢复、负载分散、最佳化。非专利文献2中被标准化的OpenFlow交换机,具有与相当于控制装置的OpenFlow控制器进行通信用的安全通道,按照从OpenFlow控制器适当指示追加或重写的流表(flow table)进行工作。在流表中,按每个流定义了与数据包报头(packet header)进行匹配的匹配规则(报头字段)、流统计信息(计数器,Counters)、和定义了处理内容的动作(Actions)的组(参考图5)。
例如,OpenFlow交换机在接收到数据包时,从流表中检索具有符合接收数据包的报头信息的匹配规则(参照图5的报头字段)的条目(entry)。关于检索的结果,在找到了符合接收数据包的条目的情况下,OpenFlow交换机更新流统计信息(counter),并对接收数据包实施记载在该条目的动作字段中的处理内容(来自指定端口的数据包发送、洪泛(flooding)、废弃等)。另一方面,在所述检索的结果为没有找到符合接收数据包的条目的情况下,OpenFlow交换机经由安全通道对OpenFlow控制器转发接收数据包,委托基于接收数据包的发送源/发送目标的数据包的路径的确定,受理用于实现该路径的确定的流条目并更新流表。如此,OpenFlow交换机使用存储在流表中的条目作为处理规则来进行数据包转发。
现有技术文献
专利文献
专利文献1:国际公开第2008/095010号
非专利文献
非专利文献1:Nick McKeown及其他7名,“OpenFlow:EnablingInnovation in Campus Networks”、[online]、[平成23年4月4日检索]、因特网<URL:http://www.openflowswitch.org//documents/openflow-wp-latest.pdf>
非专利文献2:“OpenFlow Switch Specification”Version1.0.0.(Wire Protocol 0x01)[平成23年4月4日检索]、因特网<URL:http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf>
发明内容
以下的分析是由本发明提供的。
专利文献1的OpenFlow控制器即OpenFlow的控制装置,在产生新的流时参照访问控制规则进行权限检查,然后,通过计算路径来进行访问控制(参照专利文献1的[0052])。
但是,在管理大规模网络的情况下,采用了如下这样的层级式的管理方法:整个网络的管理者仅管理向各个据点等的网络分配的网络带的定义等大框架,关于各个据点和/或部门所使用的各设备的地址管理等详细的管理内容,让每个据点和/或部门等的管理者和/或管理系统来负责。
在施行上述那样的管理方法时,考虑如下的方式:对每个据点和/或部门分配网络,用户终端等与配置有网络资源的网络之间通过网络交换机即转发节点来连接。另外,通过对这些分割成的每一个网络配置地址管理装置等,能够进行地址管理等。
因为由一般的DHCP(Dynamic Host Configuration Protocol:动态主机设置协议)等实现的管理被限定于同一网络段(子网络),若单个网络段的大小过于巨大,则容易产生拥堵等问题,所以上述那样的运用也是合理的。
然而,上述那样的每个据点、每个部门等的地址管理装置中的地址等的管理,与整个网络的管理不同,多数情况下由该据点和/或组织、部门的管理者和/或系统决定。
这还因为:在据点、部门等中应管理地址的用户终端、周边设备和/或网络资源,会根据组织、部门的要求而屡次追加、删除或替换,或者进行网络结构的重整而频繁地连接、断开,管理大规模网络的整个网络的管理者难以对其全部进行管理。
在上述那样的整个网络中,存在如下问题点:在使用专利文献1的OpenFlow控制器那样的集中控制型的控制装置,进行跨各个据点和/或部门等的整个网络的路径控制的情况下,该控制装置无法知道由地址管理装置分配的预定地址等、无法设定适当的流条目(处理规则)。
通过使用配置在网络之间的转发节点的ID和/或MAC(MediaAccess Control:介质访问控制)地址作为匹配规则的流条目(处理规则),也能够在一定范围内进行访问控制,但也要充分考虑如下情况:当考虑到如上述那样主机和/或网络资源被追加、删除和/或替换,或者向其他据点和/或部门移动的情形时,无法设定适当的流条目(处理规则)。
进而,上述控制装置还需要使被地址管理装置赋予地址之前的主机能够从地址管理装置获取地址。
本发明的目的在于提供一种通信系统、控制装置、策略管理装置、通信方法以及程序,在如上述那样具有进行地址管理的地址管理装置的网络中,能够同时实现从各主机向地址管理装置的通信和集中控制型的路径控制。
根据本发明的第1观点,提供一种通信系统,包括:多个转发节点,其根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应;地址管理装置,其对主机赋予地址;和控制装置,其在对所述主机与所述地址管理装置之间的转发节点设定了用于实现所述主机与所述地址管理装置之间的通信的第1处理规则之后,设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则。
根据本发明的第2观点,提供一种控制装置,与多个转发节点和对主机赋予地址的地址管理装置连接,所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应,所述控制装置在对所述主机与所述地址管理装置之间的转发节点设定了用于实现所述主机与所述地址管理装置之间的通信的第1处理规则之后,设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则。
根据本发明的第3观点,提供一种通信方法,包括如下步骤:与多个转发节点、和对主机赋予地址的地址管理装置连接的控制装置,对所述主机与所述地址管理装置之间的转发节点设定用于实现所述主机与所述地址管理装置之间的通信的第1处理规则的步骤;和所述控制装置设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则的步骤,其中,所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应。本方法与对处理接收数据包的多个转发节点进行控制的控制装置这样的特定的设备结合。
根据本发明的第4观点,提供一种程序,是由控制装置执行的程序,所述控制装置与多个转发节点、和对主机赋予地址的地址管理装置连接,所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应,所述程序使所述控制装置执行如下处理:对所述主机与所述地址管理装置之间的转发节点,设定用于实现所述主机与所述地址管理装置之间的通信的第1处理规则的处理;和设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则的处理。此外,该程序能够记录在计算机可读取的存储介质中。即,本发明也能够作为计算机程序产品来实现。
发明的效果
根据本发明,在具有进行地址管理的地址管理装置的网络中,能够同时实现从各主机向地址管理装置的通信和集中控制型的路径控制。
附图说明
图1是用于说明本发明的概要的图。
图2是表示本发明的第1实施方式的通信系统的结构的图。
图3是表示本发明的第1实施方式的控制装置的结构的图。
图4是表示本发明的第1实施方式的工作的顺序图。
图5是表示非专利文献2所记载的流条目的结构的图。
具体实施方式
首先,参考附图对本发明的一个实施方式的概要进行说明。以下,在该概要中所标注的附图标记,是作为用于帮助理解的一例为了方便而标注在各要素上的,并不意图将本发明限定于图示的形态。
在本发明的一个实施方式中,如图1所示,本发明能够通过包含多个转发节点200、地址管理装置310和控制装置300的通信系统来实现,所述多个转发节点200根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应,所述地址管理装置310对主机100赋予地址,所述控制装置300对转发节点200设定处理规则。
具体而言,控制装置300,首先,对主机100与地址管理装置310之间的转发节点200设定用于实现主机100与地址管理装置310之间的通信(参照图1的虚线的两个箭头线)的第1处理规则。在主机100被从地址管理装置赋予了地址之后,控制装置300设定用于实现被赋予了所述地址的主机100与预定的网络资源600之间的通信(参照图1的实线的两个箭头线)的第2处理规则。此外,控制装置300能够根据来自转发节点200的处理规则的设定请求等,获取对主机100赋予的地址(参照图1的点划线的箭头线)。
转发节点200为了根据从控制装置300设定的处理规则来处理数据包,将与控制装置300无关的通信断开。其结果,在具有进行地址管理的地址管理装置的网络中,能够确保从各主机向地址管理装置的访问性,同时能够进行使用了对各主机赋予的地址的极细的路径控制。
[第1实施方式]
接着,参照附图对本发明的第1实施方式进行详细说明。首先,对以下的说明中使用的术语进行说明。
“地址管理装置”是具有DHCP等的地址指派功能(地址分配功能)的装置。另外,在本实施方式中,“地址管理装置”也具有基于主机的MAC地址实现的认证功能。在本实施方式中,作为地址管理装置所利用的协议,为了简便而假定为一般的DHCP来说明,但也能够使用其他协议。本实施方式的本质之一是,控制装置一边有限地许可主机与地址管理装置之间的通信,一边获取从该通信内容发出的地址信息,也可以是DHCP以外的协议。
“网络资源”包含经由网络使用的应用服务器等。另外,在“网络资源”中,也可以包含:利用必须在由地址管理装置进行了地址指派后才能利用的协议、和/或必须在由地址管理装置进行了地址指派后才能基于访问控制规则进行定义的流那样的、所述地址管理装置以外的认证装置。
“主机”是与据点、部门等的网络连接使用的、成为用户终端的计算机和/或与网络连接使用的打印机和/或存储器等周边设备。新连接的网络资源也能够作为“主机”来处理。
“访问控制策略”是抽象描述对各主机赋予的访问控制内容的信息。在本实施方式中,“访问控制策略”被存储在策略管理装置的访问控制策略存储部中进行管理。另外,策略管理装置参照“访问控制策略”和后述的“资源信息”来生成ACL(访问控制列表)信息并发送到控制装置。在本实施方式中,为了简便,作为最基本的访问控制策略,设定“仅许可已认证的主机与网络资源的通信”这一内容。
“主机连接通知”是从控制装置交付给策略管理装置的、包含已认证主机的地址指派结果的信息。在本实施方式中,例如包含主机的MAC地址和IP地址的组。
“资源信息”是主机和/或网络资源的信息,被存储在策略管理装置的资源信息存储部中进行管理。策略管理装置在根据访问控制策略生成ACL信息时参照“资源信息”。在本实施方式中,在“资源信息”中,包含已认证的主机和/或网络资源的MAC地址和IP地址的组。
“ACL信息”是记载了从策略管理装置交付给控制装置的访问控制内容的信息。例如,根据“仅许可已认证的主机与网络资源的通信”这一内容的访问控制策略、和包含MAC地址与IP地址的组的资源信息,能够生成包含发送源主机的MAC地址与IP地址的组、发送目标网络资源的MAC地址与IP地址的组的ACL信息。另外,在ACL信息中还能够包含发送源与发送目标的通信内容和/或方向以及是否许可等。
“主机管理信息”是与转发节点连接的主机(包含网络资源)的信息,由控制装置进行管理、更新。在本实施方式中,主机管理信息包含主机的MAC地址、主机的IP地址、与主机连接的转发节点的标识符、和与主机连接的转发节点的连接器的标识符的组。
“访问控制规则”是控制装置在流的能否通信判定中使用的信息,基于ACL信息进行更新。例如,对定义流的发送源的主机管理信息与发送目标(网络资源)的主机管理信息之间的通信内容和/或方向定义能否通信。
“路径”是如下信息:在连接有多个转发节点的网络中由控制装置算出,表示流从发送源主机到达发送目标网络资源之间经由的、转发节点的行进方式的信息。
“连接器地址”是对成为流的起点的主机所连接的转发节点的连接器关联的、该主机的地址。在本实施方式中,在连接器地址的情况下,设为包含主机的MAC地址和IP地址的组。这样的连接器地址用于通过处理规则特定成为对象的流,在实施通过处理规则指定的处理时使用。反过来说,只要没有设定连接器地址,就没有设定符合来自于与其端口连接的主机的流的处理规则,因此全被废弃。
“处理规则”是从控制装置交付给转发节点的信息,是定义了转发节点在接收到某个流的数据包时对其进行何种处理的信息。控制装置对转发节点进行的处理规则设定请求中指定的转发节点以及连接器的标识符关联并指定连接器地址,由此,进行转发节点中成为处理对象的流的指定。作为这样的处理规则,也能够使用能将上述的转发节点以及连接器的标识符和/或连接器地址等作为匹配键(匹配规则)来设定的非专利文献1的流条目。
“处理规则设定请求”是从转发节点交付给控制装置的信息,用于对控制装置请求对到达转发节点的未认证数据包的处理进行定义的处理规则。在本实施方式中,将接收到数据包的转发节点以及连接器的标识符、和数据包的报头信息提取并包含到处理规则设定请求中。“处理规则设定请求”也可以包含数据包本身。
图2是表示本发明的第1实施方式的通信系统的结构的图。参照图2,示出了连接策略管理装置320、控制装置300、和据点A~据点C的结构。
在各个据点A~据点C中,配置有转发节点组200A~200C、地址管理装置310A~310C和网络资源600A~600C。此外,配置于策略管理装置320、控制装置300以及各据点的转发节点等,可以分别通过单个的计算机系统来构筑,也可以通过同一计算机系统来实现其一部分或全部。
主机100A~100C,例如通过按照程序进行工作的信息处理装置的CPU、RAM等存储介质和用于与地址管理装置和网络资源进行通信的通信接口来实现。另外,如图2所示,主机100A~100C能够移动到其他的据点中并与转发节点连接。
主机100A~100C对地址管理装置310A~310C送出数据包,基于来自地址管理装置310A~310C的响应,接收对自身的地址指派,进行网络设定。已进行网络设定的主机100A~100C,为了利用网络资源600A~600C而送出访问数据包,基于来自网络资源600A~600C的响应,开始通信。
地址管理装置310A~310C是接收来自主机100A~100C的请求来进行基于地址指派实现的主机认证的装置。地址管理装置310A~310C,例如通过按照程序进行工作的信息处理装置的CPU、RAM等的存储介质和用于与主机100A~100C进行通信的通信接口来实现。
网络资源600A~600C接收来自主机100A~100C的请求,开始用于利用服务的通信。网络资源600A~600C例如通过按照程序进行工作的信息处理装置的CPU、RAM等的存储介质和用于与主机100A~100C进行通信的通信接口来实现。此外,无需在所有的据点中配置网络资源600A~600C,可以存在没有配置网络资源的据点。
转发节点200A~200C是在接收到主机、地址管理装置310A~310C以及网络资源600A~600C送出的数据包时根据具有符合该数据包的匹配规则(matching rule)的处理规则来处理数据包的装置。这样的转发节点200A~200C通过包含按照程序进行工作的信息处理装置的CPU、RAM等的存储介质、用于与控制装置300进行通信的通信接口、用于获取主机100A~100C、地址管理装置310A~310C和网络资源600A~600C之间的通信内容的通信接口的结构来实现。
控制装置300是根据来自转发节点200A~200C的处理规则设定请求生成处理规则并发送的装置,例如通过按照程序进行工作的信息处理装置的CPU、RAM等的存储介质和用于与策略管理装置320和转发节点200A~200C进行通信的通信接口来实现。
具体而言,在从转发节点200A~200C接收到的处理规则设定请求所记载的数据包的信息为主机检索地址管理装置的数据包(DHCPDiscover)的情况下,控制装置300对处理规则设定请求所记载的转发节点及连接器设定在正式的连接器地址被决定之前的临时连接器地址(暂定连接器地址),进行访问控制规则的确认和路径计算。进而,控制装置300基于所述访问控制规则的确认和路径计算的结果,生成许可该数据包从主机向该地址管理装置的通信的处理规则(第1处理规则1),并交付给所述计算出的路径上的转发节点。
另外,在从转发节点200A~200C接收到的处理规则设定请求所记载的数据包的信息为地址管理装置对主机引导地址指派的数据包(DHCP Offer)的情况下,控制装置300进行访问控制规则的确认和路径计算。进而,控制装置300基于所述访问控制规则的确认和路径计算的结果,生成许可该数据包从该地址管理装置向主机的通信、从主机向地址管理装置请求地址指派的数据包(DHCP Request)的通信的处理规则(第1处理规则2、3),并交付给所述计算出的路径上的转发节点。
另外,在从转发节点200A~200C接收到的处理规则设定请求所记载的数据包的信息为地址管理装置对主机实施地址指派的数据包(DHCP Ack)的情况下,控制装置300删除所述暂定连接器地址,获取所指派的地址,设定连接器地址,生成主机连接通知并发送到策略管理装置320。当从策略管理装置320接收到ACL信息时,控制装置300更新访问控制规则,进行访问控制规则的确认和路径计算,生成许可该数据包从该地址管理装置向主机的通信的处理规则(第1处理规则4),并交付给所述计算出的路径上的转发节点。
进而,在从转发节点200A~200C接收到的处理规则设定请求所记载的数据包的信息为主机100A~100C的任一方访问网络资源600A~600C的数据包的情况下,控制装置300进行访问控制规则的确认和路径计算。进而,控制装置300基于所述访问控制规则的确认和路径计算的结果,生成许可数据包从该主机向网络资源600A~600C的通信的处理规则(第2处理规则),并交付给所述计算出的路径上的转发节点。
策略管理装置320基于从控制装置300交付来的主机连接通知,使用记载在通知中的已认证主机的信息对资源信息存储部322进行更新,基于访问控制策略存储部321的访问控制策略(在本实施方式中,存储有“仅许可已认证的主机与网络资源的通信”这样的策略)生成ACL信息,并交付给控制装置300。
策略管理装置320是根据来自控制装置300的主机连接通知返回适用于该主机的ACL信息的装置,具体而言,策略管理装置320通过按照程序进行工作的信息处理装置的CPU、RAM等的存储介质、用于与控制装置300进行通信的通信接口、和RAM和/或硬盘等的存储介质来实现。
上述的主机、地址管理装置、网络资源能够使用与在一般的网络中被称为主机、地址管理装置、网络资源的设备相同的设备。另外,作为转发节点及控制装置,能够使用与非专利文献1、2的OpenFlow的OpenFlow交换机、OpenFlow控制器同等结构的装置。
图3是表示上述控制装置的结构例的框图。参照图3,示出了如下结构:具有:路径计算部301、处理规则设定请求处理部302、主机连接通知部303、存储访问控制规则的访问控制规则存储部304、存储由转发节点构成的网络拓扑的网络拓扑存储部305、存储连接器地址指派规则的连接器地址指派规则存储部306、和存储主机管理信息的主机管理信息存储部307,经由安全通道308与转发节点进行通信。
路径计算部301参照存储在网络拓扑存储部305中的网络拓扑和存储在访问控制规则存储部304中的访问控制规则,计算主机与地址管理装置、或者主机与网络资源之间的路径。
处理规则设定请求处理部302基于从转发节点200A~200C接收到的处理规则设定请求,对路径计算部301和/或主机连接通知部303进行必要的指示,基于其结果生成处理规则并对转发节点进行设定。另外,在从转发节点200A~200C接收到的处理规则设定请求所记载的数据包的信息为主机检索地址管理装置的数据包(DHCPDiscover)的情况下,处理规则设定请求处理部302设定临时连接器地址(暂定连接器地址)。另外,在设定了临时连接器地址(暂定连接器地址)的情况下、和/或接收到正规的连接器地址的情况下,处理规则设定请求处理部302对存储在主机管理信息存储部307中的主机管理信息进行更新。
主机连接通知部303以接收到正规的连接器地址为契机,对策略管理装置320进行包含主机管理信息在内的主机连接通知。主机连接通知部303在从策略管理装置320接收到ACL信息时,基于其内容对存储在访问控制规则存储部304中的访问控制规则进行更新。
此外,上述的控制装置300的路径计算部301、处理规则设定请求处理部302和/或主机连接通知部303,也能够通过在构成控制装置的计算机中使用其硬件执行上述的控制装置300的各处理的计算机程序来实现。
接着,参照附图对本实施方式的工作进行详细说明。以下,在本实施方式中,参照图4的顺序图,对在据点A等中直到主机100A连接而开始与网络资源600A通信为止的处理进行说明。
(1)步骤S001
首先,在控制装置300中设定连接器地址的指派规则。连接器地址的指派规则,在步骤S004中生成IP地址未指派的、DHCP Discover数据包的处理规则的情况下指派暂定连接器地址时使用。
另外,在控制装置300中登记访问控制规则。这里的访问控制规则,在步骤S004中在生成IP地址未指派的DHCP Discover的处理规则的情况下,为了决定使与哪个转发节点以及连接器连接的主机和哪个地址管理装置进行通信的目的而使用。
例如,针对与图2的据点A等的转发节点200A连接的主机100A,设定使其与地址管理装置310A进行通信的访问控制规则。
(2)步骤S002
接着,主机100A生成并送出DHCP Discover数据包。
(3)步骤S003
接着,转发节点200A截获在步骤S002送出的数据包,根据该数据包和数据包到达的转发节点以及连接器的标识符,生成处理规则设定请求,交付给控制装置300。
(4)步骤S004
接着,控制装置300基于在步骤S003交付来的处理规则设定请求,确定访问控制规则,进行该数据包的发送源的主机和与该主机对应的地址管理装置之间的路径计算,生成处理规则(第1处理规则1)。
此时,由于在步骤S003中交付来的处理规则设定请求是DHCPDiscover数据包的处理规则设定请求,所以控制装置300判断为需要暂定连接器地址,参照在步骤S001中设定的连接器地址的指派规则来指派暂定连接器地址。
也就是说,由于该处理规则设定请求中并没有记载主机100A的IP地址,在步骤S024中对主机100A设定的IP地址也不明,所以作为在控制装置300生成的处理规则中定义流所需要的发送源IP地址,不同于在步骤S024中设定的IP地址,为了方便而将用于识别流的临时地址设定为暂定连接器地址。
由于在步骤S001中设定了允许与转发节点200A连接的主机100A和地址管理装置310A之间的通信的访问控制规则,所以在路径计算中,确定转发节点以及连接器来使连接有主机100A的转发节点以及连接器、与连接有地址管理装置310A的转发节点以及连接器连接。
另外,在该处理规则(第1处理规则1)中,设定了仅许可DHCPDiscover数据包的匹配规则。
根据以上所述,转发节点能够识别主机100A送出的数据包并转发到地址管理装置。另外,作为在步骤S007中由地址管理装置310A进行的主机100A的认证结果是没有实施地址指派的情况下,也能够拒绝之后的通信。
(5)步骤S005
接着,控制装置300将在步骤S004生成的处理规则交付给转发节点200A。
(6)步骤S006
接着,转发节点200A根据在步骤S005中交付来的处理规则,将在步骤S003中截获的数据包转发到地址管理装置310A。
(7)步骤S007
接着,地址管理装置310A接收在步骤S002送出并在步骤S006中转发来的DHCP Discover数据包,基于其内容,对主机100A指派IP地址,生成DHCP Offer数据包。
若在主机100A是不应指派地址的主机的情况下,地址管理装置310A将其废弃。
(8)步骤S008
接着,地址管理装置310A将在步骤S007生成的DHCP Offer数据包送出。
(9)步骤S009
接着,转发节点200A截获在步骤S008中送出的数据包,根据该数据包和数据包到达的转发节点以及连接器的标识符,生成处理规则设定请求,交付给控制装置300。
(10)步骤S010
接着,控制装置300基于在步骤S009中交付来的处理规则设定请求,确认访问控制规则,进行路径计算,生成处理规则(第1处理规则2、3)。
此时,因为在步骤S009中交付来的处理规则设定请求是DHCPOffer数据包的处理规则设定请求,所以控制装置300判断作为在步骤S007中由地址管理装置进行的认证结果是实施了地址指派,生成许可从地址管理装置310A向主机100A的DHCP Offer数据包和从主机100A向地址管理装置310A的DHCP Request数据包的通信的处理规则(第1处理规则的2、3)。
在此,不生成许可DHCP Ack的处理规则(第1处理规则4)是因为:通过在步骤S016中产生DHCP Ack数据包的处理规则设定请求,在步骤S017中获取从DHCP Ack数据包对主机100A指派的本身的IP地址。例如,在转发节点侧具备DHCP Ack数据包的自动通知功能的情况下,在此,可以生成许可DHCP Ack的处理规则并交付。
(11)步骤S011
接着,控制装置300将在步骤S010生成的处理规则交付给转发节点200A。
(12)步骤S012
接着,转发节点200A根据在步骤S011中交付来的处理规则,将在步骤S009中截获的数据包转发到主机100A。
(13)步骤S013
接着,主机100A接收在步骤S008中送出并在步骤S012中转发的DHCP Offer数据包,基于其内容,生成并送出DHCP Request数据包。
(14)步骤S014
接着,地址管理装置310A接收在步骤S013中送出的DHCPRequest数据包,基于其内容,生成DHCP Ack数据包。
(15)步骤S015
接着,地址管理装置310A将在步骤S014生成的DHCP Ack数据包送出。
(16)步骤S016
接着,转发节点200A截获在步骤S015中送出的数据包,根据该数据包和数据包到达的转发节点以及连接器的标识符,生成处理规则设定请求,并交付给控制装置300。
(17)步骤S017
由于在步骤S016中交付来的处理规则设定请求是DHCP Ack数据包的处理规则设定请求,所以控制装置300判断为能够获得正式的连接器地址的指派所需要的主机100A的正式的IP地址,从主机管理信息存储部中删除作为该主机的主机管理信息而登记的暂定连接器地址,更新为从DHCP Ack数据包获取的正式的IP地址。
接着,控制装置300生成主机连接通知。与上述主机管理信息的更新同时,实施与通过该正式的连接器地址定义的流有关的访问控制规则的更新,因此控制装置300以将已认证主机100A的主机管理信息传达到策略管理装置320为目的,生成主机连接通知。
(18)步骤S018
接着,控制装置300将在步骤S017生成的主机连接通知交付给策略管理装置320。
(19)步骤S019
接着,策略管理装置320接收在步骤S018中交付来的主机连接通知,基于其内容更新资源信息存储部,基于该更新结果和存储在策略存储部中的访问控制策略(“仅许可已认证的主机与网络资源的通信”这样的策略),生成ACL信息。
在该ACL信息中,记载了与在步骤S017生成的主机连接通知所记载的已认证主机100A有关的访问控制内容。
(20)步骤S020
接着,策略管理装置320将在步骤S019生成的ACL信息交付给控制装置300。
(21)步骤S021
接着,控制装置300基于在步骤S020中交付来的ACL信息,更新访问控制规则。进而,控制装置300基于在步骤S016中交付来的处理规则设定请求,并根据更新后的访问控制规则进行路径计算,生成处理规则(第2处理规则)。
此时,在更新后的访问控制规则中,作为对已认证主机100A许可的通信,包含与地址管理装置310A之间的DHCP的流、和/或与网络资源600A等之间的流的定义。
因此,在上述步骤S021生成的处理规则中,作为对与在步骤S016中交付来的DHCP Ack有关的处理规则设定请求的回答,除了与地址管理装置310A之间的DHCP有关的处理规则以外,还能够包含与其他网络资源有关的处理规则。然而,若生成所有与其他网络资源有关的处理规则并交付,则其量有时也会变得巨大,控制装置与转发节点之间的通信量和/或转发节点的处理能力的浪费多。于是,在本实施方式中,在送出了对网络资源的访问数据包之后,通过适当地接收处理规则设定请求,生成所需最小限度的处理规则并交付。
(22)步骤S022
接着,控制装置300将在步骤S021中生成的处理规则交付给转发节点200A。
(23)步骤S023
接着,转发节点200A按照在步骤S022中交付来的处理规则,将在步骤S016中截获的数据包转发到主机100A。
(24)步骤S024
接着,主机100A接收在步骤S015中送出并在步骤S022中转发的DHCP Ack数据包,基于其内容,进行自身的网络设定。
(25)步骤S025
接着,主机100A进行例如利用网络资源600A的操作。
(26)步骤S026
接着,主机100A通过在步骤S025中进行的操作,送出对网络资源600A的访问数据包。
(27)步骤S027
接着,转发节点200A截获在步骤S026中送出的数据包,根据该数据包和数据包到达的转发节点以及连接器的标识符,生成处理规则设定请求,交付给控制装置300。
(28)步骤S028
接着,控制装置300基于在步骤S027中交付来的处理规则设定请求,确认访问控制规则,进行路径计算,生成处理规则。
(29)步骤S029
接着,控制装置300将在步骤S028生成的处理规则交付给转发节点200A。
根据以上所述,主机100A与网络资源600A之间的通信开始。
如上所述,根据本实施方式,使用在一般的网络中被称为主机、地址管理装置、网络资源的设备,能够构成非专利文献1、2的OpenFlow那样的控制装置集中控制转发节点的通信系统。
另外,在本实施方式中,由于通过地址管理装置进行认证处理,所以能够进行仅许可来自已认证主机的流的访问控制。
以上,说明了本发明的优选实施方式,但本发明并不限定于上述实施方式,在不脱离本发明的基本技术思想的范围内,能够实施进一步的变形、置换、调整。例如,图2的网络结构是为了帮助理解本发明而简化的,能够采用各种变形技术方案。另外,在上述的第1实施方式中,列举控制某据点A中的流的例子进行了说明,但通过对位于据点A的主机100A设定允许访问据点B和/或据点C的网络资源600B、600C的处理规则,也能够进行跨据点、部门的访问控制。
另外,在上述的实施方式中,说明了转发节点200A~200C每当接收到未知数据包时都对控制装置300进行处理规则设定请求,但例如也可以使控制装置300汇总地设定多个处理规则,或对转发节点预先设定用于处理来自具有特定MAC地址的主机的数据包的处理规则。如此一来,能够减轻控制装置300的负载。例如,能够汇总地设定第1实施方式的第1处理规则的1~4。在该情况下,关于通过DHCP Ack数据包而获取的IP地址,只要在所述汇总地设定的处理规则中,在接收DHCP Ack数据包时对控制装置通知IP地址或者追加转发DHCP Ack数据包的处理规则即可。
另外,在上述的实施方式中,说明了转发节点200A~200C每当接收到未知数据包时都对控制装置300进行处理规则设定请求,但也可以以默认废弃未知数据包的方式进行工作,仅对具有包含预先设定的信息等的数据包进行处理规则设定请求。
另外,在上述的实施方式中,说明了在发送出DHCP Discover数据包的主机是不应指派地址的主机的情况下,地址管理装置310A废弃DHCP Discover数据包,由此将来自该主机的通信断开,但也可以使控制装置300基于来自地址管理装置310A的通知,对转发节点200A~200C(或者,转发节点200A~200C中与该主机连接的转发节点)设定废弃来自该主机的数据包的处理规则(第3处理规则)。如此一来,能够抑制由于转发节点200A~200C从试图进行不正当访问的主机接收数据包而产生的处理规则设定请求。
工业实用性
本发明能够适合应用于在企业等中以对多个据点和/或部门、组织的每一个分配管理者的形式进行网络管理的环境中。尤其是,完全不用变更当前构筑的网络结构、网络管理体制、地址管理装置等的认证装置的处理顺序,就能够实现进行基于流的极细的集中控制的通信系统。
此外,将前述的专利文献以及非专利文献的公开内容引用于本说明书中。
在本发明的全部公开(包含权利要求书以及附图)的框架内,进而能够基于其基本的技术思想进行实施方式乃至实施例的变更、调整。另外,在本发明的权利要求书以及附图的框架内能够进行各种公开要素(包含各权利要求的各要素、各实施例的各要素、各附图的各要素等)的多种组合乃至选择。也就是说,本发明当然包含本领域技术人员根据包含权利要求书在内的全部公开、技术思想所能够想到的各种变形、修正。
附图标记说明
100A~100C 主机
200A~200C 转发节点
300 控制装置
301 路径计算部
302 处理规则设定请求处理部
303 主机连接通知部
304 访问控制规则存储部
305 网络拓扑存储部
306 连接器地址指派规则存储部
307 主机管理信息存储部
308 安全通道
310A~310C 地址管理装置
320 策略管理装置
321 访问控制策略存储部
322 资源信息存储部
600A~600C 网络资源
Claims (10)
1.一种通信系统,包括:
多个转发节点,其根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应;
地址管理装置,其对主机赋予地址;
控制装置,其在对所述主机与所述地址管理装置之间的转发节点设定了用于实现所述主机与所述地址管理装置之间的通信的第1处理规则之后,设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则。
2.根据权利要求1所述的通信系统,
作为所述第2处理规则,所述控制装置生成具有使用从所述地址管理装置对所述主机赋予的地址来特定处理对象数据包的匹配规则的处理规则。
3.根据权利要求1或2所述的通信系统,
所述控制装置根据从所述主机与所述地址管理装置之间的转发节点接收到的处理规则设定请求获取从所述地址管理装置赋予的地址。
4.根据权利要求1~3中任一项所述的通信系统,
所述控制装置参照与赋予给所述主机的访问权限有关的信息来生成所述第2处理规则。
5.根据权利要求1~4中任一项所述的通信系统,
还包括提供与赋予给所述主机的访问权限有关的信息的策略管理装置。
6.根据权利要求1~5中任一项所述的通信系统,
所述地址管理装置配置有多个,
所述控制装置从所述多个地址管理装置中选择与所述主机对应的地址管理装置。
7.根据权利要求1~6中任一项所述的通信系统,
所述控制装置对与没有被从所述地址管理装置赋予地址的主机连接的转发节点,设定将来自所述主机的数据包废弃的第3处理规则。
8.一种控制装置,与多个转发节点和地址管理装置连接,其中,所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应,所述地址管理装置对主机赋予地址,
所述控制装置在对所述主机与所述地址管理装置之间的转发节点设定了用于实现所述主机与所述地址管理装置之间的通信的第1处理规则之后,设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则。
9.一种通信方法,包括如下步骤:
与多个转发节点、和对主机赋予地址的地址管理装置连接的控制装置,对所述主机与所述地址管理装置之间的转发节点设定用于实现所述主机与所述地址管理装置之间的通信的第1处理规则的步骤;和
所述控制装置设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则的步骤,
其中,所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应。
10.一种程序,是由与多个转发节点和地址管理装置连接的控制装置执行的程序,所述多个转发节点根据处理规则来处理接收数据包,所述处理规则将用于特定处理对象数据包的匹配规则和适用于符合所述匹配规则的数据包的处理内容相对应,所述地址管理装置对主机赋予地址,所述程序使所述控制装置执行如下处理:
对所述主机与所述地址管理装置之间的转发节点设定用于实现所述主机与所述地址管理装置之间的通信的第1处理规则的处理;和
设定用于实现被所述地址管理装置赋予了地址的主机与预定的网络资源之间的通信的第2处理规则的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011095134 | 2011-04-21 | ||
| JP2011-095134 | 2011-04-21 | ||
| PCT/JP2012/060672 WO2012144583A1 (ja) | 2011-04-21 | 2012-04-20 | 通信システム、制御装置、通信方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103299589A true CN103299589A (zh) | 2013-09-11 |
Family
ID=47041687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012800044865A Pending CN103299589A (zh) | 2011-04-21 | 2012-04-20 | 通信系统、控制装置、通信方法以及程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20130275620A1 (zh) |
| EP (1) | EP2645641A4 (zh) |
| JP (1) | JP5440740B2 (zh) |
| CN (1) | CN103299589A (zh) |
| WO (1) | WO2012144583A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973828B (zh) * | 2013-02-01 | 2017-07-14 | 华为技术有限公司 | 一种dhcp客户端获取ip地址的方法及装置 |
| JP5550764B1 (ja) * | 2013-05-27 | 2014-07-16 | 三菱電機インフォメーションシステムズ株式会社 | オープンフローネットワークシステム |
| CN105393508B (zh) | 2014-06-26 | 2019-09-13 | 华为技术有限公司 | 软件定义网络的服务质量控制方法及设备 |
| US10891370B2 (en) * | 2016-11-23 | 2021-01-12 | Blackberry Limited | Path-based access control for message-based operating systems |
| JP6493426B2 (ja) * | 2017-02-02 | 2019-04-03 | 日本電気株式会社 | 通信システム、通信制御方法および通信プログラム |
| JP6493475B1 (ja) * | 2017-09-28 | 2019-04-03 | 日本電気株式会社 | 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム |
| JP7227727B2 (ja) * | 2018-10-03 | 2023-02-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | デバイス管理装置、デバイス管理方法及びコンピュータープログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001071983A1 (en) * | 2000-03-20 | 2001-09-27 | At & T Corp. | Service selection in a shared access network using dynamic host configuration protocol |
| CN1531250A (zh) * | 2003-03-13 | 2004-09-22 | ��Ϊ��������˾ | 一种用户报文的转发控制方法 |
| CN101064673A (zh) * | 2006-04-28 | 2007-10-31 | 鸿富锦精密工业(深圳)有限公司 | 网络装置及其网络地址转换配置方法 |
| WO2008095010A1 (en) * | 2007-02-01 | 2008-08-07 | The Board Of Trustees Of The Leland Stanford Jr. University | Secure network switching infrastructure |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2193630B1 (en) * | 2007-09-26 | 2015-08-26 | Nicira, Inc. | Network operating system for managing and securing networks |
-
2012
- 2012-04-20 WO PCT/JP2012/060672 patent/WO2012144583A1/ja active Application Filing
- 2012-04-20 CN CN2012800044865A patent/CN103299589A/zh active Pending
- 2012-04-20 EP EP12773745.0A patent/EP2645641A4/en not_active Withdrawn
- 2012-04-20 JP JP2013511045A patent/JP5440740B2/ja not_active Expired - Fee Related
- 2012-04-20 US US13/977,115 patent/US20130275620A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001071983A1 (en) * | 2000-03-20 | 2001-09-27 | At & T Corp. | Service selection in a shared access network using dynamic host configuration protocol |
| CN1531250A (zh) * | 2003-03-13 | 2004-09-22 | ��Ϊ��������˾ | 一种用户报文的转发控制方法 |
| CN101064673A (zh) * | 2006-04-28 | 2007-10-31 | 鸿富锦精密工业(深圳)有限公司 | 网络装置及其网络地址转换配置方法 |
| WO2008095010A1 (en) * | 2007-02-01 | 2008-08-07 | The Board Of Trustees Of The Leland Stanford Jr. University | Secure network switching infrastructure |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5440740B2 (ja) | 2014-03-12 |
| JPWO2012144583A1 (ja) | 2014-07-28 |
| WO2012144583A1 (ja) | 2012-10-26 |
| EP2645641A4 (en) | 2014-12-03 |
| US20130275620A1 (en) | 2013-10-17 |
| EP2645641A1 (en) | 2013-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101685471B1 (ko) | 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 | |
| JP5594410B2 (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| JP5862577B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5811179B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
| JP5880560B2 (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
| CN103299589A (zh) | 通信系统、控制装置、通信方法以及程序 | |
| JP5812108B2 (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| EP2680506A1 (en) | Communication system, database, control device, communication method and program | |
| EP2619953B1 (en) | A control apparatus, a communication system, a communication method and a recording medium having recorded thereon a communication program | |
| CN110166414B (zh) | 一种通信方法、装置及系统 | |
| CN103119902B (zh) | 通信系统、策略管理装置、通信方法 | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| JP5858141B2 (ja) | 制御装置、通信装置、通信システム、通信方法及びプログラム | |
| JP6424820B2 (ja) | 機器管理システム、機器管理方法及びプログラム | |
| WO2014201600A1 (zh) | 一种会话管理方法、地址管理方法及相关装置 | |
| US20150381775A1 (en) | Communication system, communication method, control apparatus, control apparatus control method, and program | |
| US20210051076A1 (en) | A node, control system, communication control method and program | |
| CN103401784B (zh) | 一种接收报文的方法及开放流交换机 | |
| JP5937526B2 (ja) | トラフィック制御システム及びトラフィック制御方法 | |
| WO2015025817A1 (ja) | 通信端末、通信システム、通信方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130911 |