CN104205750A - 控制装置、通信装置、通信方法和程序 - Google Patents
控制装置、通信装置、通信方法和程序 Download PDFInfo
- Publication number
- CN104205750A CN104205750A CN201380018590.4A CN201380018590A CN104205750A CN 104205750 A CN104205750 A CN 104205750A CN 201380018590 A CN201380018590 A CN 201380018590A CN 104205750 A CN104205750 A CN 104205750A
- Authority
- CN
- China
- Prior art keywords
- control information
- communication
- control
- priority level
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 90
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 46
- 230000008569 process Effects 0.000 claims abstract description 11
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 claims 1
- 238000004148 unit process Methods 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 abstract description 9
- 238000006243 chemical reaction Methods 0.000 abstract description 7
- 238000001514 detection method Methods 0.000 description 32
- 238000012217 deletion Methods 0.000 description 23
- 230000037430 deletion Effects 0.000 description 23
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 230000032683 aging Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000009472 formulation Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/50—Allocation or scheduling criteria for wireless resources
- H04W72/56—Allocation or scheduling criteria for wireless resources based on priority criteria
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/308—Route determination based on user's profile, e.g. premium users
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种惊喜控制各个控制对象设备而不受控制对象设备的数目的、监视频率等的限制。通信装置在多个控制信息当中选择与接收到的分组匹配并且优先级等级最高的控制信息,并且基于所选择的控制信息来处理接收到的分组。控制装置设置有:控制信息生成单元,生成多个控制信息,对于该多个控制信息,匹配条件的至少一部分重叠并且优先级排名和处理内容在多个信息之间是不同的;以及控制单元,设定关于通信装置的多个控制信息。为了改变多个控制信息当中的具有最高优先级排名的控制信息,在通信装置中基于对多个控制信息中的每一个预先设定的改变条件来执行处理。通过优先级排名的转换来执行通信策略的切换。
Description
技术领域
[相关申请的引用]
本申请基于并要求2012年3月30日提交的日本专利申请No.2012-081654的优先权,其全部内容通过参考合并于此。
本发明涉及控制装置、通信装置、通信方法和程序,并且更具体地涉及对于在其监督下的通信装置实行集中控制的控制装置、由控制装置控制的通信装置、通信方法和程序。
背景技术
近来,称为开放流(OpenFlow)的网络吸引了注意力(参见专利文献1和非专利文献1、2)。开放流使用集中控制型网络架构,在该架构中,称为开放流控制器的控制装置控制称为开放流交换机的交换机的行为。通过开放流,能够在符合网络整体状态的情况下灵活地修改一起构成虚拟网络的交换机的行为。因此,通过利用开放流,可以更容易地构建高灵活度的虚拟网络。
另一方面,为了在网络系统中对安全性、服务质量等实行一元(monistic)控制,在网络系统中使用网络管理系统(NMS)或策略服务器。
在专利文献2中,公开了一种生成端口设定信息的管理计算机(0043、0044和0062段)。端口设定信息基于设定策略和网络配置信息来提供关于设置在每个交换机中的每个端口是否执行客户端认证功能的信息。该设定策略提供不会自动设定是否要执行客户端认证的交换机或端口。在专利文献中,陈述了管理计算机基于端口设定信息1140来生成配置定义,并且在必要时使其在交换机中被反映(参见0029和0063段)。
在专利文献3中,公开了一种策略管理系统,该策略管理系统包括用于监视网络的轮询器件和自陷(trap)器件、以及配置用于在必要时校正策略的策略应用指令器件。在专利文献4中,公开了一种在进行安全检查时逐步扩大可能的接入范围的检测(quarantine)网络系统。
[引用列表]
[专利文献]
[专利文献1]
日本专利特开公开No.JP-P2011-170718A
[专利文献2]
日本专利特开公开No.JP-P2008-060692A
[专利文献3]
日本专利特开公开No.JP-P2004-236030A
[专利文献4]
日本专利特开公开No.JP-P2010-287932A
[非专利文献]
[非专利文献1]
Nick McKeown和其他7人,“OpenFlow:Enabling Innovation inCampus Networks”,[在线],[平成24年(2012)2月14日检索],因特网<URL:http://www.openflow.org/documents/openflow-wp-latest.pdf>
[非专利文献2]
“OpenFlow Switch Specification”Version 1.1.0Implemented(WireProtocol 0x02),[在线],[平成24年(2012)2月14日检索],因特网<URL:http://www.openflow.org/documents/openflow-spec-v1.1.0pdf>
发明内容
[技术问题]
本发明给出以下分析。现在认为,在如专利文献1以及非专利文献1、2中公开的集中控制型系统中,实行这样的动态控制,其中在特定时间的发生作为触发的情况下,修改各个装置的行为,如在专利文献3或4中。在这样的情况下,有必要监视装置的状态或者与监视结果一致地执行独立控制。在专利文献1的示例中,这样的独立控制是修改“流条目”。
因此,出现下述问题:如果要监督的装置的数目增加,则在对这些装置实行集中控制的控制装置上的负载也增加,控制器诸如专利文献1的控制器或者专利文献2的管理计算机。监视这些装置状态的频率可能在控制装置上这样增加的负载的可能原因之中。如果减小监视这些装置状态的频率,或者仅仅使控制的内容模式化(stereotype),则可能能够抑制控制装置上负载的增加。然而,在这样的情况下,将失去专利文献1所表示的通信系统所特有的优点,即,对装置的细致控制。
因此,本发明的目的是提供一种控制装置、通信装置、通信方法和程序,其有助于不论被控制的装置的数目如何都实现对于受监督装置的精细单独控制。
[对问题的解决方案]
在第一方面中,提供了一种控制装置,包括:控制信息生成单元,其生成多个控制信息,该多个控制信息具有至少部分地彼此重叠的匹配条件、彼此不同的优先级等级的排名以及彼此不同的处理内容;以及控制单元。控制单元在通信装置中设定多个控制信息。通信装置在多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的控制信息,并且基于所选择的控制信息来处理接收到的分组。控制装置使得通信装置基于在控制信息的基础上预先设定的修改条件,来修改多个控制信息当中的优先级等级最高的控制信息,从而改变通信策略。
在第二方面中,提供了一种通信装置,包括:分组处理单元,其在多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的这样的控制信息,并且基于所选择的控制信息来处理接收到的分组;以及控制信息管理单元。控制信息管理单元基于由控制装置预先指定的条件,来修改多个控制信息当中的优先级等级最高的控制信息,从而改变通信策略。
在第三方面中,提供了一种用于通信的方法,包括下述步骤:生成多个控制信息,该多个控制信息具有至少部分地彼此重叠的匹配条件、彼此不同的优先级等级的排名以及彼此不同的处理内容;在通信装置中设定多个控制信息,该通信装置在多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的控制信息,并且基于所选择的控制信息来处理接收到的分组;以及对通信装置预先指定用于修改多个控制信息当中的优先级等级最高的控制信息的条件。该方法与指定机器相结合,该指定机器是对在其监督下的通信装置实行集中控制的控制装置。
在第四方面中,提供了一种实现上述控制装置和通信装置的各个功能的程序。该程序可以被记录在计算机可读(即,非瞬时)记录介质中。也就是说,本发明可以是计算机程序产品的形式。
[本发明的有益效果]
根据本发明,可以有助于在不经历包括控制下的装置的数目、监视频率和其他的约束的情况下实现对象装置的细致独立控制。
附图说明
图1是示出本发明的示例性实施例1的配置的示意图。
图2是示出本发明的示例性实施例1的整体配置的框图。
图3是示出本发明的示例性实施例1每个装置的详细配置的框图。
图4是示出根据本发明的示例性实施例1的交换机的流表的制定的列表视图。
图5是示出本发明的示例性实施例1的操作的序列图。
图6示出了用于初始阶段的两个流表,其中该流表通过本发明的示例性实施例1的交换机来保持。
图7示出了由本发明的示例性实施例1的交换机保持的两个流表,其中流条目经历已经设定的条件。
图8示出了由本发明的示例性实施例1的交换机保持的两个流表,其中流条目经历已经删除的条件。
图9示出了由本发明的示例性实施例1的交换机保持的两个流表,其中流条目经历已经设定的第二条件。
图10是示出本发明的示例性实施例2的整体配置的框图。
图11是示出用于初始阶段的流表的列表视图,其中流表由本发明的示例性实施例2的交换机保持。
图12是由本发明的示例性实施例2的交换机保持的流表的列表视图,其中流条目经历已经设定的条件。
具体实施方式
首先描述示例性实施例的概要。注意,概要中使用的用于参考附图的附图标记是帮助理解的简单说明,并非要将本发明限制于所示的模式。
在本发明的示例性实施例中,提供了包括通信装置10A和控制装置20A的配置,如图1所示。通信装置10A在多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的控制信息,并且基于所选择的控制信息来处理接收到的分组。控制装置在通信装置10A中设定上述控制信息。
更具体地,控制装置20A包括控制单元21A和控制信息生成单元22A,控制单元21A在通信装置10A中设定上述多个控制信息。控制信息生成单元生成多个控制信息,该多个控制信息具有至少部分地彼此重叠的匹配条件,并且还具有优先级等级中各自不同的排名、以及各自不同的处理内容。通信装置10A基于可以在控制信息的基础上预先定义的修改条件来修改多个控制信息当中的优先级等级最高的控制信息。在预先定义的修改条件的示例当中,从设定的时间开始,或者从流条目的执行的最后时间开始,可能由于预设持续时间的度过而超时。因此,可以在控制装置20A不监视通信装置10A的情况下改变通信策略。
注意,可以通过删除优先级等级中排名较高的控制信息、重写优先级等级本身或者在存储位置指示优先级等级中的排名的情况下修改流条目的存储位置,来修改多个控制信息当中的优先级等级最高的控制信息。
控制装置20A可以与每个控制信息一一对应地设定修改条件。或者,可以使用通信装置10A上提供的流条目老化(aging)处理功能。在该情况下,控制装置20A可以在比通信装置10A更加上游的通信装置中设定报头重写的流条目,以产生没有命中优先级等级的排名中最高的控制信息的情况,从而产生老化。
[第一示例性实施例]
现在将说明将本发明应用于访问控制系统中的策略切换的示例性实施例1。图2描绘了示出本发明示例性的实施例1的整体配置的框图。参考图2,示出了客户端100-1、100-2、检测系统30以及防火墙40通过与等同于上述通信装置的交换机10互连的配置。
交换机10和检测系统30经由虚线指示的控制网络连接到等同于述控制装置的控制器20。控制信息可以在控制器20与交换机10之间并且在检测系统30与控制器20之间交换。
客户端100-1、100-2可以是属于相同区段并且能够彼此进行通信的个人计算机、平板终端或移动终端。
在以下说明中,使用图2所示的配置。然而,本发明不限于图2所示的例如具体数目的客户端100-1、100-2或交换机10。
下面详细描述图2所示组件的详细配置。图3示出了交换机10、控制器20以及检测系统30的功能的配置。
交换机10包括交换机处理单元11、流表12、控制器接口13和流条目删除管理单元14。
控制器接口13经由控制网络连接到控制器20,以与控制器20交换控制信息。例如,控制器接口13在控制器20的指令下进行操作以补充、修改或删除流表12中的流条目。
在从外部接收分组时,交换机处理单元11从流表12中检索具有与传入分组的报头信息匹配的匹配条件的流条目,并且执行在检索到的流条目中提供的处理。处理的示例包括重写传入分组或者在指定端口输出的分组的报头的指定字段。
在流表12中,存储有流条目,该流条目产生了匹配条件以及要对通过匹配条件识别的流执行的处理(动作)的内容。匹配条件通过从分组头获得的信息和分组的输入端口号的组合来指定。信息的示例包括MAC(媒体访问控制)地址、IP(因特网协议)地址和TCP(传输控制协议)端口号。除了上述分组报头的重写或者分组在指定端口输出之外,动作可以包括修改交换机处理单元11中的处理的优先级等级、应用带宽限制或者丢弃分组。流表12可包括多个流条目。
图4示出了流表12的示意性制定。该流表与非专利文献1或2的流表的不同之处在于,流表的每个流条目包括用于其删除的条件。
交换机10能够保持例如图4所示的多个流表12。作为用于与流条目匹配的情况的动作,可以将控制转移(transfer)给不同的流表(参见非专利文献2的“4.1.1Pipeline Processing”)。如果在流表中没有与传入分组匹配的流条目,则交换机10可以丢弃分组或者将其转发到控制器20。基于来自控制器20的指令,可以在交换机上设定任何操作。在本示例性实施例中,如图6至图9所示,存在两个流条目,其中交换机10被设定为使得如果在第一流表中没有与分组匹配的流条目,则可以将分组转发到控制器20。
此外,在每个流条目中设定优先级等级。如果存在匹配流的多个流条目,则应用优先级等级较高的流条目。应当理解,在下面的说明中,流表中给定的流条目的垂直位置越高,该流条目的优先级等级就越高。
流条目删除管理单元14进行检查,以了解流条目中的任何一个是否满足流条目删除条件。如果流条目中的任何给定一个满足该条件,则删除该流条目。
注意,通过将等同于流条目删除管理单元14的功能补充到例如非专利文献1、2的开放流交换机,可以实现上述交换机10。
控制器20由交换机控制单元21、流条目信息变换单元22、策略管理单元23、拓扑管理单元24和检测系统控制单元25组成。
交换机控制单元21等同于上述控制单元21A,并且指令交换机10补充、修改或删除流表12中的流条目。当在交换机10中没有发现具有与接收到的分组匹配的匹配条件的流条目时,交换机控制单元21还作为接收转发到控制器的分组的通信接口进行操作。
流条目信息变换单元22等同于上述控制信息生成单元22A,并且基于从交换机10递送到交换机控制单元21的分组的报头信息、策略管理单元23所拥有的策略信息以及拓扑管理单元24所拥有的拓扑信息,来制定要被设定在交换机10中的流条目。
通信策略信息在系统中有效时被存储在策略管理单元23中。在本示例性实施例的以下说明中,假设网络管理员已经在策略管理单元23中存储了下述通信策略:
(1)将来自未检测的客户端的流量转发到防火墙,并且接收安全检查;如果在防火墙中没有丢弃业务,则允许与其他客户端进行通信;
(2)然而,假如在没有检测的客户端的情况下经过了假设为时间T1的预设时间,则禁止客户端与除了检测系统之外的通信;
(3)允许已经检测的客户端直接与另一客户端直接通信持续这里假设为时间T2的预设时间;在预设时间度过之后,以与未检测的客户端相同的方式处理该客户端。
在拓扑管理单元24中,存储了关于系统中存在的客户端、交换机以及检测系统的信息、以及其地址信息和关于其互连的信息。
从检测系统30向检测系统控制单元25通知对客户端的检测处理已经结束。
上述控制器20可以例如通过非专利文献1、2的开放流控制器来实现,此外提供了生成在用于删除的预设条件下进行删除的流条目的功能。控制信息可以在例如使用非专利文献1、2中公开的开放流协议的交换机10和控制器20之间交换。
检测系统30包括检测处理单元31和控制器接口32。
检测处理单元31具有下述功能:通过与对客户端100-1、100-2执行安全检查的检测程序进行通信来决定确定可能的可接入性。检测处理单元31是本领域公知的系统元件,并且因此这里不详细说明。
控制器接口32向控制器20通知客户端已经通过检测。
注意,图3所示各个装置的各个单元(处理器件)可以通过允许使用计算机的硬件执行上述处理操作的计算机程序来实现。
下面参考附图详细描述本示例性实施例的操作。在下面的说明中,将通信控制策略(1)至(3)应用于客户端100-1这样的情况将被用作示例。
图5描绘了示出本发明的示例性实施例1的操作的序列图。首先,客户端100-1将分组传送到客户端100-2(步骤S001)。从客户端100-1发送的分组具有客户端100-1的发送源MAC地址以及客户端100-2的目的地MAC地址。当通过交换机10接收分组时,为了决定转发目的地,其交换机处理单元11从分组中提取报头信息,并且从流表12中检索具有与报头信息匹配的匹配条件的流条目。
图6示出了在该时刻由交换机10保持的流表12-1、12-2。在作为第一流表的流表12-1中,仅记录了从防火墙出口接收分组时执行流表跳转(jump)的流条目f0。在作为第二流表的流表12-2中,登记有根据目的地MAC地址转发分组的流表f01至f03。注意,在图6至图9中,星号(*)表示任意的(通配符)。
从客户端100-1接收第一分组的交换机10将分组从客户端100-1转发到控制器20,因为图6的流条目12-1缺乏具有与来自客户端100-1的分组匹配的匹配条件的流条目(步骤S002)。
基于与从交换机10转发的分组的报头中所包含的关于发送源MAC地址信息的信息,并且基于策略管理单元23中所包含的信息,控制器20在其流条目信息变换单元22中形成要在交换机10中设定的流条目(步骤S003)。
控制器20向交换机发送出由交换机控制单元21如上所述形成的流条目,并且指令交换机将该流条目添加到流表12-1(步骤S004)。
图7示出了控制器20添加流条目之后的流表12-1、12-2。在图7所示的示例中,添加流表f1至f3,其中将客户端100-1的MAC地址设定为匹配条件的发送源MAC地址。而且,在这些流条目当中,在流条件f1中设定了阐述在时间T1的度过之后应当删除流条目的删除的条件。
从设定上述流条目f1至f3的时间开始,从那时起递送的来自客户端100-1的分组与流条目f1匹配并且被转发到执行安全检查的防火墙40(步骤S005、步骤S006)。当将通过防火墙40的分组转发到交换机10时(步骤S007),分组与图7的流表12-1的流条目f0匹配,使得控制转移到作为第二流表的流表12-2。交换机10参考流表12-2并且处理已经通过防火墙40检查的分组。结果,分组被转发到客户端100-2(步骤S008)。通过上述,通信策略(1)被应用。
交换机10基于流表12-1、12-2继续转发的处理。保持进行操作的流条目删除管理单元14进行检查,以了解流表的每个流条目是否满足删除的条件。如果条件被满足,则删除所考虑的流条目。该检查处理可以通过运行以预设周期顺序扫描全部流条目的任务来执行,但是不是限制性的含义。在本示例性实施例中,如果确认了预设时间T1已经度过,则流条目删除管理单元14根据与上述策略(2)相对应的流条目的删除条件来在步骤S009中删除流条目f1。注意,可以使用如非专利文献2中说明书所示的超时值(硬超时)来实现确认通过流条目删除管理单元14对每个流条目的删除(时间)条件中的处理。可以在每个流条目中设定超时值。还能够执行交换机10通知控制器20已经删除了考虑中的条目的步骤。
图8示出了在删除流条目f1之后的流表12-1、12-2的状态。在删除流条目f1之后,交换机10根据流条目f2来将来自客户端100-1、寻址到检测系统的分组转发到检测系统。交换机根据流条目f3丢弃寻址到除了检测系统之外的分组。
以该方式,仅基于交换机中的处理,就可以将应用于客户端100-1的通信策略改变为策略(2),而不需要控制器20监督对各个客户端的策略应用的状态或者监视交换机。
现在无法与除了检测系统之外的进行通信的客户端100-1执行检测程序以与检测系统进行通信,并且通知检测系统30检测的结束(步骤S010至S011)。检测系统30确认客户端100-1的检测已经结束,并且经由控制器接口32将该效果通知控制器20(步骤S012至步骤S013)。
在通过控制器20的检测系统控制单元25接收上述通知时,流条目信息变换单元22生成与策略(3)相对应的流条目f4。控制器20指令交换机10删除流条目f2、f3,并添加流条目f4来代替它们(S014至S015)。
图9示出了添加流条目f4之后的流表12-1、12-2。从添加的时间起,来自客户端100-1的分组与交换机10中的流条目f4匹配,并且控制转移到流表12-2,使得允许将分组转发到客户端100-2(步骤S016至S017)。
在确认了时间T2经过之后,流条目删除管理单元14删除流条目f4。这导致流表恢复到图6的状态。从规定时间T2的度过时间开始的通信被禁止,以使得实现通信策略(3)。
注意,在本示例性实施例中,向预先存在的检测系统30添加控制器接口32,以提供在操作上与检测系统30相关联的接入控制。然而,还能够将检测处理单元31建立在控制器20内部。
在一开始在每个交换机中设定流条目的上述本示例性实施例中,不必使控制器20监视每个交换机的状态就可以实现等同于策略切换的操作。换言之,将控制器部分上的监视处理分配给交换机,并且因此,可以减轻施加在控制器上的处理负载以及监视负载。这还提高了系统的可调整性。
[第二示例性实施例]
现在将说明将本发明应用于带宽控制系统中的业务控制的示例性实施例2。图10描述了本发明的示例性实施例2的整体配置。参考图10,示出了客户端100-1、100-2和网关50经由交换机10互连的配置。以下说明集中于本示例性实施例与示例性实施例1的不同之处。
客户端100-1、100-2经由网关50与外部网络通信。
控制器20还经由虚线所示的网络连接到交换机10。控制器20与交换机10能够经由控制网络彼此交换控制信息。
以下描述基于图10的配置。然而注意,本发明不限于图10所示的例如客户端100-1、100-2的数目或者交换机的数目。
交换机10的配置类似于示例性实施例1的配置,并且因此不再说明。然而注意,交换机10仅保留一个流表(参见图11和图12)。
控制器20的配置也类似于示例性实施例1的配置,除了因为没有提供检测系统30,所以省略了检测系统控制单元25。也就是说,本示例性实施例的控制器20包括交换机控制单元21、流条目信息变换单元22、策略管理单元23和拓扑管理单元24。
在本示例性实施例的以下说明中,假设网络管理者已经在控制器20的策略管理单元23中存储了以下带宽控制通信策略:
(2-1)客户端100-1可以无限制地使用带宽,直到每单位时间向外部网络的累积通信量的预设值,这里设定为B1字节;
(2-2)从那时起,只要每单位时间从客户端100-1到外部网络的累积通信量超过B1字节并且不超过B2字节,就向最大带宽施加限制,该最大带宽为S1bps;
(2-3)如果每单位时间从客户端100-1到外部网络的累积通信量超过B2字节,则向最大带宽施加进一步限制,直到预设时间(设定为T3)度过,该最大带宽为S2bps,其中S1>S2;此外,将交换机处理的处理优先级等级设定为低于正常值;
(2-4)客户端100-2不经历上述限制(2-1)至(2-3),并且与外部网络自由通信。
下面参考附图说明本示例性实施例的操作。在图10中,如果客户端100-2提出对与网关50通信的请求,则从客户端100-2发出的分组的发送源MAC地址是客户端100-2,而其目的地MAC地址是网关50。
图11示出了此时由交换机10保持的流表12。在图11所示的示例中,设定了允许在客户端100-1与100-2之间的通信以及从网关50到客户端100-1或100-2的通信的流条目f11、f12、以及允许从客户端100-2到网关50的通信的流条目f13。注意,在图11、图12中,星号(*)也表示任意的(通配符)。
因此,根据流表12的流条目f13,交换机10将来自客户端100-2的寻址到网关50的分组转发到网关50。该操作等同于上述策略(2-4)。
下面说明客户端100-1向网关50进行通信请求的情况。从客户端100-1发出的分组具有客户端100-1的发送源MAC地址以及网关50的目的地MAC地址。因为在流表12中没有与分组匹配的流条目,所以交换机10将分组转发到控制器20。
在流条目信息变换单元22中,基于从交换机10转发的分组报头中所包含的发送源MAC地址信息,并且基于策略管理单元23中的信息,控制器20生成流条目。
图12示出了将来自客户端100-2的分组的报头信息添加到网关50以及基于上述通信策略(2-1)至(2-3)生成的流条目f5至f7的状态。流条目f5对应于通信策略(2-1),通信策略(2-1)阐述了没有带宽限制,只要每单位时间向外部网络的累积通信量未达到预设量,这里设定为B1字节。流条目f6对应于通信策略(2-2),通信策略(2-2)阐述了在S1bps的带宽限制下允许通信,只要每单位时间向外部网络的累积通信量超过B1字节,并且未达到B2字节。流条目f6对应于通信策略(2-2),通信策略(2-2)陈述,如果每单位时间向外部网络的累积通信量超过B2字节,那么仅在预设持续时间里允许通信,这里设定为T3,服从S2bps的带宽限制。注意,同样在本示例性实施例中,在流表的优先级等级中考虑的流条目的垂直位置越高,就越优先应用该流条目。
如果一旦在交换机10中设定图12所示的流条目f5至f7,从客户端100-1寻址到网关50的分组就与其中一个流条目匹配(这里是具有相同匹配条件的流条目中优先级等级最高的流条目f5),并且因此被转发给网关50。这是符合通信策略(2-1)的操作。
如在示例性实施例1中,通过与根据流表进行的转发处理并行的处理,交换机10在其流条目删除管理单元14中确认用于删除的条件是否满足流表中各个流条目。如果确认有流条目满足用于删除的条件,则流条目删除管理单元14删除流条目。在本示例性实施例中,流条目删除管理单元14在与流条目f5匹配的分组的字节累积数量达到B1字节的时刻,删除流条目f5。注意,通过流条目删除管理单元14确认每个流条目中字节的累积数量的处理可通过参考流统计信息(计数器)来实现。与流条目一一对应记录的计数器如非专利文献2中说明书所限定。对于交换机10而言,可以在这里执行通知控制器已经删除所考虑的条目的步骤。
在删除流条目f5以后,从客户端100-1寻址到网关50的分组现在与出自具有相同匹配条件的流条目、现在优先级等级最高的流条目f6匹配。因此,交换机10在交换机处理单元11中应用达到S1bps的带宽限制,并因此将分组转发给网关50。
随后,在与流条目f6匹配的分组的字节累积数量达到B2字节的时刻,将流条目f6删除。
在完成流条目f6的删除以后,从客户端100-1寻址到网关50的分组与出自具有相同匹配条件的流条目、现在变为优先级等级最高的流条目f7匹配。因此,交换机10在交换机处理单元中应用达到S2bps的带宽限制,并因此将分组转发给网关50。另一方面,交换机10将交换机处理的优先级等级设定为低于交换机处理单元11中的正常值,并因此转发分组。通过这种方式,可将交换机10中的通信策略从通信策略(2-1)切换为通信策略(2-2),然后切换为通信策略(2-3)。
流条目f7被设定为,如果从收到首次与匹配条件匹配的分组的时刻开始以后,时间T3消逝,就要被删除。如果流条目f7最后被删除,则流表12恢复到与图11所示初始状态相同的状态。
如上所述,本发明不仅可以如示例性实施例1中那样应用于提供接入限制的通信策略的切换,而且可以应用于例如提供带宽限制的通信策略的动态切换。
虽然上面示出了本发明的优选示例性实施例,但是本发明不限于上述示例性实施例,并且在不脱离其范围的情况下可以进行进一步的改变、替代或调整。例如,可将本发明应用于将第一示例性实施例与第二示例性实施例组合在一起的控制,使得将接入限制动态地切换为带宽限制,并且反之亦然。
在上述示例性实施例中,通过删除流条目来修改优先级等级最高的流条目。替代地,可以修改流条目的存储顺序。例如,将图7中的流条目f1移动到流条目阵列的最下端具有与删除流条目f1有相同的效果。此外,如果将关于优先级等级的信息明确地提供给每个流条目,则能够重写优先级等级信息。
通过参考将上述专利文献和非专利文献的公开合并于此。基于本发明的基本技术概念,在本发明的全部公开的范围内(包括权利要求书和附图),可以改变或调整特定的示例性实施例或示例。此外,在本发明权利要求书的概念范围内,可以进行这里公开的要素的各种组合或选择(权利要求书、示例性实施例、示例和附图的要素)。即,根据包括权利要求书和附图的全部公开以及本发明的技术概念,本发明可包括本领域技术人员可想到的各种改变或校正。应当理解,那些按照单数形式表达的术语也表示多数形式的术语,记住在日文背景下,在单数形式与多数形式之间没有进行区分。
[附图标记列表]
10 交换机
10A至10C 通信装置
11 交换机处理单元
12,12-1,12-2 流表
13 控制器接口
14 流条目删除管理单元
20 控制器
20A 控制装置
21 交换机控制单元
21A 控制单元
22 流条目信息变换单元
22A 控制信息生成单元
23 策略管理单元
24 拓扑管理单元
25 检测系统控制单元
30 检测系统
31 检测处理单元
32 控制器接口
40 防火墙
50 网关
100-1,100-2 客户端
f0至f7,f01至f13 流条目
Claims (10)
1.一种控制装置,包括:
控制信息生成单元,所述控制信息生成单元生成多个控制信息,所述多个控制信息具有至少部分地彼此重叠的匹配条件、彼此不同的优先级等级的排名以及彼此不同的处理内容;以及
控制单元,所述控制单元在通信装置中设定所述多个控制信息;所述通信装置在所述多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的控制信息;所述通信装置基于所选择的控制信息来处理接收到的分组;其中,
所述控制装置使得所述通信装置基于在所述控制信息的基础上预先设定的修改条件,来修改所述多个控制信息当中的优先级等级最高的控制信息,由此使得从通信策略中的一个切换到另一个。
2.根据权利要求1所述的控制装置,其中,
当所述修改条件变得有效时,所述控制装置使得所述通信装置删除所述多个控制信息当中的优先级等级最高的控制信息,从而修改所述多个控制信息当中的优先级等级最高的控制信息。
3.根据权利要求1所述的控制装置,其中,
当所述修改条件变得有效时,所述控制装置使得所述通信装置重写所述多个控制信息的所述优先级等级,从而修改所述多个控制信息当中的优先级等级最高的控制信息。
4.根据权利要求1至3中的任一项所述的控制装置,其中,
根据如果从给定主机之间的通信发生的时间开始已经度过了预设时间,则要修改分组的转发目的地的通信策略,所述控制信息生成单元生成:
第一控制信息,所述第一控制信息是以所述预设时间作为有效时间段来在所述给定主机之间转发分组,以及
第二控制信息,所述第二控制信息的优先级等级相比所述第一控制信息低;所述第二控制信息是在所述预设时间的度过之后,将具有另一转发目的地作为地址的分组转发到所述另一转发目的地。
5.根据权利要求4所述的控制装置,其中,
生成第三控制信息,所述第三控制信息用于丢弃寻址到除了所述另一转发目的地之外的分组。
6.根据权利要求1至3中的任一项所述的控制装置,其中,
所述控制信息生成单元根据在预设主机之间的通信中要根据业务量应用的带宽限制的通信策略来生成:
第一控制信息,所述第一控制信息是只要所述业务量小于第一阈值,就将分组转发到其地址;以及
第二控制信息,所述第二控制信息是当所述业务量等于或大于第一阈值时,通过应用预设带宽限制来将分组转发到其地址。
7.一种通信装置,包括:
分组处理单元,所述分组处理单元在多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的控制信息;所述分组处理单元基于所选择的控制信息来处理接收到的分组;以及
控制信息管理单元,所述控制信息管理单元基于控制装置预先指定的条件来修改所述多个控制信息当中的优先级等级最高的控制信息,由此使得从通信策略中的一个切换到另一个。
8.一种用于通信的方法,包括下述步骤:
生成多个控制信息,所述多个控制信息具有至少部分地彼此重叠的匹配条件、彼此不同的优先级等级的排名以及彼此不同的处理内容;
在通信装置中设定所述多个控制信息;所述通信装置在所述多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的控制信息;所述通信装置基于所选择的控制信息来处理接收到的分组;以及
对所述通信装置预先指定用于修改所述多个控制信息当中的优先级等级最高的控制信息的条件。
9.一种使得加载在控制装置上的计算机执行下述步骤的程序,所述控制装置控制通信装置;所述通信装置在多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的控制信息,并且基于所选择的控制信息来处理接收到的分组;所述步骤包括:
生成所述多个控制信息,所述多个控制信息具有至少部分地彼此重叠的匹配条件、彼此不同的优先级等级的排名以及彼此不同的处理内容;
在所述通信装置中设定所述多个控制信息;以及
对所述通信装置预先指定用于修改所述多个控制信息当中的优先级等级最高的控制信息的条件,由此使得从通信策略中的一个切换到另一个。
10.一种使得加载在通信装置上的计算机执行下述步骤的程序,所述通信装置具有分组处理单元;所述分组处理单元在多个控制信息当中选择与接收到的分组匹配并且具有优先级等级最高的匹配条件的这样的控制信息,并且基于所选择的控制信息来处理接收到的分组;所述步骤包括:
存储从所述控制装置接收到的所述多个控制信息;以及
基于从所述控制装置预先指定的条件来修改在所述多个控制信息当中的优先级等级最高的控制信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012-081654 | 2012-03-30 | ||
| JP2012081654 | 2012-03-30 | ||
| PCT/JP2013/059328 WO2013147053A1 (ja) | 2012-03-30 | 2013-03-28 | 制御装置、通信装置、通信方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104205750A true CN104205750A (zh) | 2014-12-10 |
Family
ID=49260298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380018590.4A Pending CN104205750A (zh) | 2012-03-30 | 2013-03-28 | 控制装置、通信装置、通信方法和程序 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9549413B2 (zh) |
| EP (1) | EP2833587A4 (zh) |
| JP (1) | JP5987901B2 (zh) |
| CN (1) | CN104205750A (zh) |
| IN (1) | IN2014DN07439A (zh) |
| WO (1) | WO2013147053A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5466723B2 (ja) * | 2012-03-07 | 2014-04-09 | 株式会社Nttドコモ | ホスト提供システム及び通信制御方法 |
| US9426067B2 (en) | 2012-06-12 | 2016-08-23 | International Business Machines Corporation | Integrated switch for dynamic orchestration of traffic |
| JP6321496B2 (ja) * | 2014-09-08 | 2018-05-09 | 日本電信電話株式会社 | パケットヘッダ識別制御装置、制御方法、制御プログラム、および、管理装置 |
| WO2017088178A1 (zh) * | 2015-11-27 | 2017-06-01 | 华为技术有限公司 | 一种发送控制信息的方法、传输数据块的方法及相关装置 |
| CN107204924B (zh) * | 2016-03-18 | 2020-09-25 | 华为技术有限公司 | 链路发现方法及装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020143914A1 (en) * | 2001-03-29 | 2002-10-03 | Cihula Joseph F. | Network-aware policy deployment |
| JP2004236030A (ja) | 2003-01-30 | 2004-08-19 | Fujitsu Ltd | ネットワーク状況に基づくポリシー適用方式及びそのプログラム |
| JP4714111B2 (ja) | 2006-08-29 | 2011-06-29 | 株式会社日立製作所 | 管理計算機、計算機システム及びスイッチ |
| US20080186971A1 (en) * | 2007-02-02 | 2008-08-07 | Tarari, Inc. | Systems and methods for processing access control lists (acls) in network switches using regular expression matching logic |
| US8559310B2 (en) * | 2007-09-04 | 2013-10-15 | Ca, Inc. | System and method for bandwidth control |
| JP5321256B2 (ja) | 2009-06-09 | 2013-10-23 | 日本電気株式会社 | 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム |
| JP5645139B2 (ja) * | 2010-01-05 | 2014-12-24 | 日本電気株式会社 | ネットワークシステム、コントローラ、ネットワーク制御方法 |
| JP5757552B2 (ja) | 2010-02-19 | 2015-07-29 | 日本電気株式会社 | コンピュータシステム、コントローラ、サービス提供サーバ、及び負荷分散方法 |
| JP5438624B2 (ja) * | 2010-08-03 | 2014-03-12 | 日本電信電話株式会社 | 通信システム、制御サーバ、フロー制御方法およびそのプログラム |
| JP5870995B2 (ja) | 2010-08-09 | 2016-03-01 | 日本電気株式会社 | 通信システム、制御装置、計算機、ノードの制御方法およびプログラム |
| JP5538257B2 (ja) * | 2011-02-02 | 2014-07-02 | アラクサラネットワークス株式会社 | 帯域監視装置、及びパケット中継装置 |
| CN103370911B (zh) | 2011-02-17 | 2016-08-10 | 日本电气株式会社 | 流通信系统 |
| WO2013042373A1 (en) | 2011-09-21 | 2013-03-28 | Nec Corporation | Communication apparatus, control apparatus, communication system, communication control method, communication terminal and program |
-
2013
- 2013-03-28 US US14/388,203 patent/US9549413B2/en active Active
- 2013-03-28 EP EP13770341.9A patent/EP2833587A4/en not_active Withdrawn
- 2013-03-28 WO PCT/JP2013/059328 patent/WO2013147053A1/ja active Application Filing
- 2013-03-28 JP JP2014508045A patent/JP5987901B2/ja not_active Expired - Fee Related
- 2013-03-28 CN CN201380018590.4A patent/CN104205750A/zh active Pending
-
2014
- 2014-09-04 IN IN7439DEN2014 patent/IN2014DN07439A/en unknown
Non-Patent Citations (1)
| Title |
|---|
| MINLAN YU.ETC: "Scalable Flow-Based Networking with DIFANE", 《ACM》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5987901B2 (ja) | 2016-09-07 |
| EP2833587A4 (en) | 2015-12-30 |
| US20150327285A1 (en) | 2015-11-12 |
| WO2013147053A1 (ja) | 2013-10-03 |
| US9549413B2 (en) | 2017-01-17 |
| IN2014DN07439A (zh) | 2015-04-24 |
| JPWO2013147053A1 (ja) | 2015-12-14 |
| EP2833587A1 (en) | 2015-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
| US9769074B2 (en) | Network per-flow rate limiting | |
| US10986021B2 (en) | Flow management in networks | |
| EP2685758B1 (en) | Method, device and system for scheduling data flow | |
| US8705349B2 (en) | Destination-based congestion control | |
| WO2011074516A1 (ja) | ネットワークシステムとその制御方法、及びコントローラ | |
| Cugini et al. | P4 in-band telemetry (INT) for latency-aware VNF in metro networks | |
| JP6492112B2 (ja) | ソフトウェア定義ネットワーク化のためのサービス品質制御方法及びデバイス | |
| WO2015118429A1 (en) | Method and system for supporting packet prioritization at a data network | |
| US8811295B2 (en) | Methods and apparatus for priority-based adoption of an access device | |
| CN104205750A (zh) | 控制装置、通信装置、通信方法和程序 | |
| US20130016609A1 (en) | Network equipment and frame transmission control method | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| US20160014036A1 (en) | Communication system, switch, control apparatus, packet processing method, and program | |
| US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
| US10554556B2 (en) | Network element with congestion-aware match tables | |
| JP5967221B2 (ja) | 通信ノード、制御装置、通信システム、パケット処理方法、通信ノードの制御方法及びプログラム | |
| RU2589867C2 (ru) | Устройство связи, устройство управления, система связи, способ связи, способ управления устройством связи и программа | |
| JP5991427B2 (ja) | 制御装置、通信システム、制御情報の送信方法及びプログラム | |
| WO2014020902A1 (en) | Communication system, control apparatus, communication method, and program | |
| KR20150130020A (ko) | 통신장치의 트래픽 관리 방법 | |
| JP2016139908A (ja) | 通信システム、通信ノード、制御装置、通信制御方法、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141210 |