CN104272676A - 通信系统、访问控制装置、交换机、网络控制方法及程序 - Google Patents
通信系统、访问控制装置、交换机、网络控制方法及程序 Download PDFInfo
- Publication number
- CN104272676A CN104272676A CN201380023070.2A CN201380023070A CN104272676A CN 104272676 A CN104272676 A CN 104272676A CN 201380023070 A CN201380023070 A CN 201380023070A CN 104272676 A CN104272676 A CN 104272676A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- control information
- packet
- control
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/50—Allocation or scheduling criteria for wireless resources
- H04W72/52—Allocation or scheduling criteria for wireless resources based on load
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
- H04W40/12—Communication route or path selection, e.g. power-based or shortest path routing based on transmission quality or channel quality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/02—Selection of wireless resources by user or terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W72/00—Local resource management
- H04W72/04—Wireless resource allocation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种适合于在集中控制型的通信系统中进行大量的数据包通信、细粒度的访问控制的结构。通信系统包含在转发节点设定控制信息的控制装置、转发节点及访问控制装置。上述转发节点利用由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包。上述访问控制装置具备判定部,该判定部对于从上述转发节点的上述预定的端口转发的数据包判定是否生成控制信息,对上述控制装置请求生成控制信息。
Description
技术领域
(关于相关申请的记载)
本发明基于日本国专利申请:特愿2012-104664号(2012年5月1日申请)主张优先权,将该申请的全部记载内容作为参考援引到本说明书中。
本发明涉及通信系统、访问控制装置、交换机、网络控制方法及程序,特别是涉及具有集中控制交换机的控制器的通信系统、访问控制装置、交换机、网络控制方法及程序。
背景技术
近年来称为开放流(OpenFlow)的网络备受瞩目(参照专利文献1、非专利文献1、2)。开放流采用的是被称为开放流控制器的控制装置控制被称为开放流交换机的交换机的动作的集中控制型的网络结构。更具体而言,开放流控制器通过在开放流交换机设定指定了输入端口、层2~层4的头部的匹配条件及规定了处理内容的流条目(flow entry),能够进行极微细的路径控制。
此外,在网络系统中,使用网络管理系统(NMS)、策略服务器来整体管理安全性、服务品质等。
在专利文献1中公开了通过网络管理员来集中管理的网络中的管理方法。该文献的段落0031~0032中记载了网络内的交换机与上述开放流的交换机进行同样的动作。另外,在该段落结尾记载了与大量的流头部条目匹配的数据包被分配到优先级最高的流条目,即,能够使用如最长匹配这样的规则。
现有技术文献
专利文献
专利文献1:特表2010-541426号公报
非专利文献
非专利文献1:Nick McKeown及其他7名,“OpenFlow:Enabling In否vation in Campus Networks”,[online],[平成24(2012)年3月14日检索],互联网<URL:http://www.openflow.org/documents/openflow-wp-latest.pdf>
非专利文献2:“OpenFlow Switch Specification”Version 1.1.0 Implemented(Wire Protocol 0x02),[online],[平成24(2012)年3月14日检索],互联网<URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf>
发明内容
发明要解决的课题
以下的分析是根据本发明所得。在非专利文献1、2的开放流所代表的集中控制型的通信系统中,在进行大量的数据包通信、细粒度的访问控制的情况下,对集中控制设备的控制装置(相当于非专利文献1、2的开放流控制器)的查询增加,存在负荷增大的问题。另外,通过控制装置控制的转发节点(相当于非专利文献1、2的开放流交换机、专利文献1的网络元件)也在可保持的流条目的数目、CPU(Central ProcessingUnit,中央处理器)的处理性能上受到制约。而且,在没有符合接收的数据包的流条目的情况下,需要与控制装置进行通信,因此在进行大量的数据包接收、细粒度的访问控制时会导致不能发挥本来的性能的情况。
特别是在交换机与控制装置间的安全信道使用TLS/SSL(TransportLayer Security/Secure Sockets Layer,传输层安全/安全套接层)的话,会使上述倾向变显著,引起数据包延迟等。
作为其对策研究了通过准备多个控制装置来分散负荷等。然而,控制对象的转发节点的数目、与这些转发节点连接的终端数目、各终端所处理的服务的种类增加的话,需要与这些大量的处理对象数据包对应的流条目,无法避免对控制装置的查询大幅度增加。因此,希望有彻底的对策。
本发明的目的是提供一种通信系统、访问控制装置、转发节点、网络控制方法及程序,即使在进行大量的数据包通信、细粒度的访问控制的情况下,也能抑制控制装置、交换机的负荷增大,能够使其发挥其本来的性能。
用于解决课题的方法
根据第1观点,提供一种通信系统,包含:控制装置,在转发节点设定控制信息;转发节点,利用由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包;以及访问控制装置,具备判定部,该判定部对于从上述转发节点的上述预定的端口转发的数据包判定是否需要生成控制信息,并对上述控制装置请求生成控制信息。
根据第2观点,提供一种访问控制装置,配置于通信系统,该通信系统包含:控制装置,在转发节点设定控制信息;以及转发节点,利用由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包,上述访问控制装置具备判定部,该判定部对于从上述转发节点的上述预定的端口转发的数据包判定是否需要生成控制信息,并对上述控制装置请求生成控制信息。
根据第3观点,提供一种转发节点,与在转发节点设定控制信息的控制装置连接,设定有由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息,在接收到符合上述第2控制信息的匹配条件的数据包的情况下,附加预定的头部后转发数据包。
根据第4观点,提供一种网络控制方法,包含以下步骤:对于从利用由控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包的转发节点通过上述第2控制信息转发的数据包,判定是否需要生成控制信息;以及基于上述判定结果对上述控制装置请求生成控制信息。本方法与接收来自转发节点的数据包并判断是否需要生成控制信息的计算机这样的特定设备相结合。
根据第5观点,提供一种程序,使配置于通信系统的计算机执行如下的处理,其中,上述通信系统包含:控制装置,在转发节点设定控制信息;转发节点,利用由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包,所述程序使所述计算机执行如下处理:对于从上述转发节点的上述预定的端口转发的数据包判定是否需要生成控制信息的处理;以及基于上述判定结果,对上述控制装置请求生成控制信息的处理。此外,该程序能够记录于计算机可读(非暂时性)的存储介质。即,本发明也可以作为计算机程序产品来体现。
发明效果
根据本发明,即使在进行大量的数据包通信、细粒度的访问控制的情况下,也能抑制控制装置、交换机的负荷增大,能够使其发挥本来的性能。
附图说明
图1是表示本发明的一个实施方式的结构的图。
图2是表示本发明的第1实施方式的通信系统的结构的图。
图3是表示本发明的第1实施方式的交换机的结构的图。
图4是设定于本发明的第1实施方式的交换机的流条目(第2控制信息)的例。
图5是本发明的第1实施方式的控制器所保持的访问策略的一例。
图6是表示了本发明的第1实施方式的动作的顺序图。
图7是在图6的步骤S08的时刻设定于本发明的第1实施方式的交换机的流条目的例。
图8是在图2中补记数据包转发路径的图。
图9是表示本发明的第2实施方式的通信系统的结构的图。
图10是设定于本发明的第2实施方式的交换机的流条目(第2控制信息)的例。
图11是表示本发明的第3实施方式的通信系统的结构的图。
图12是表示本发明的第3实施方式的交换机的结构的图。
图13是表示本发明的第4实施方式的通信系统的结构的图。
具体实施方式
首先参照附图对本发明的一个实施方式的概要进行说明。此外,该概要中标记的附图参考标号是作为用于帮助理解的一例而出于方便起见对各要素标记的,并不是要将本发明限定于图示的方式。
本发明在其一个实施方式中,如图1所示,通过包含如下部分的结构来实现:在转发节点10设定控制信息的控制装置30、使用从该控制装置30设定的控制信息转发数据包的1个或多个转发节点10及访问控制装置20。
更具体而言,控制装置30在转发节点10设定转发预定的外部节点间(例如图1的客户端-服务器间)的数据包的第1控制信息及将不符合上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息。然后,转发节点10用上述第1、第2控制信息进行接收数据包的转发。
访问控制装置20具备判定部22,该判定部22对于从转发节点10的预定端口接收的数据包(通过第2控制信息转发的数据包)判定是否生成控制信息,对上述控制装置请求控制信息的生成。在此,未成为请求控制信息的生成的对象的数据包被判定部22废弃。
如上所述,未成为转发预定的外部节点间(例如图1的客户端-服务器间)的数据包的第1控制信息的转发的对象的数据包被发送到访问控制装置20(参照图1的粗箭头线)。然后,在访问控制装置20中,经由判定部22废弃未成为请求控制信息的生成的对象的数据包。结果,通过控制装置30仅生成必需的控制信息,并设定到转发节点10。
因此,即使是大量的数据包流入转发节点10的情况、在大量的转发节点10进行细粒度的访问控制的情况,也能够抑制控制装置30、转发节点10的负荷增大。
[第1实施方式]
接着,参照附图对本发明的第1实施方式进行详细地说明。图2是表示本发明的第1实施方式的通信系统的结构的图。参照图2,表示了配置于网络的多个交换机11、控制这些交换机11的控制器60、与配置有交换机11的网络连接的客户端41、42以及服务器50。
交换机11按照从控制器60设定的流条目处理数据包。
图3是表示本发明的第1实施方式的交换机的结构的图。参照图3,表示了本实施方式的交换机11是具备控制消息处理部111、数据包处理部112、流表113的结构。另外,图3的端口P1~Px是与其他的交换机、服务器50连接的端口,端口PP是与控制器60的控制对象数据包提取部61连接的端口。
流表113是用于储存从控制器60设定的流条目的表格。流条目由使与接收数据包相对照的匹配条件(Match Fields)和处理内容(Instructions)对应的条目构成。
数据包处理部112接收数据包后,从流表113检索具有符合接收数据包的匹配条件的流条目。在上述检索的结果是找到了具有符合接收数据包的匹配条件的流条目的情况下,数据包处理部112执行设定于该流条目的处理内容(Instructions)。
控制消息处理部111收发控制器60与控制消息。例如,执行从控制器60到流表113的流条目的追加、变更、删除等。
图4是表示在初期状态下设定于交换机11的流条目(第2控制信息)的图。在图4的例中,在发送源IP地址(Src IP)、目的地IP地址(DstIP)、TCP/UDP(Transmission Control Protocol/User Datagram Protocol,传输控制协议/用户数据报协议)目的地端口(dst port)等的各字段设定通配符(ANY)来作为匹配条件,表示设定有转发到控制器60的控制对象数据包提取部61的处理内容(Instructions)的流条目。因此,在仅设定图4的流条目的状态下,所有接收数据包会被转发到控制器60的控制对象数据包提取部61。
另外,在图4的例中,在流条目设置有统计信息(Counters)字段,使得能够在每个流条目记录统计信息。这些统计信息也可以经由控制消息处理部111提供到控制器60,例如,能够用于异常通信(traffic)的确定等。
此外,如图4这样的流条目可以事先设定于交换机11,也可以在交换机11的网络连接时由控制器60进行设定。
能够使用非专利文献1、2的开放流交换机作为如上所述的交换机11。另外,上述数据包处理部112及流表能够成为使用ASIC(ApplicationSpecific Integrated Circuit,专用集成电路)的硬件结构,能够高速执行流条目的检索、各种处理。
另外,在以下的说明中,设客户端41、42与服务器50进行通信而进行说明,但也可以包含其他的通信设备。另外,例如,也可以在作为客户端41、42来使用的设备内置与上述交换机11相当的功能,对从内置应用输出的数据包进行与交换机11同样的动作。
控制器60具备控制对象数据包提取部61、判定部62、流条目生成部63及交换机控制部64。
控制对象数据包提取部61如上所述地与网卡中的混杂模式(promiscuous mode)同样地动作,并从交换机11接收所有基于初期设定的流条目(第2控制信息)转发的数据包。然后,控制对象数据包提取部61参照接收的数据包的头部信息,提取控制对象数据包并输出到判定部62。控制对象数据包的选择基准是根据设想的通信的内容、控制器60的能力来决定。例如,也可以仅将VLAD ID的值在预定的范围内的数据包转发到判定部62,或者,也可以将具有疑为异常通信、未授权访问的特征的数据包以外的数据包发送到判定部62。
判定部62基于预定的访问策略等判定是否生成与从控制对象数据包提取部61转发的数据包对应的流条目。在上述判定的结果是判定为需要生成流条目的情况下,判定部62向流条目生成部63发送接收数据包或从接收数据包提取的信息,请求生成流条目。另一方面,在上述判定的结果是判定为无需生成流条目的情况下,判定部62废弃接收数据包。
图5是判定部62为了判定是否生成流条目而参照的访问策略的一例。在图5的例中,发送源IP地址为192.168.100.1、目的地IP地址为192.168.0.1的数据包的访问权限是“allow(允许)”,因此判定为需要生成流条目。另一方面,发送源IP地址为192.168.100.2、目的地IP地址为192.168.0.1的数据包的访问权限为“deny(拒绝)”,因此判定为不可生成流条目。此外,在图5的例中,仅使用IP地址进行判定,但此外也可以使用层2、层4的头部信息、协议信息等进行判定。
流条目生成部63从判定部62受理流条目的生成请求,参照由交换机11构成的网络拓扑,计算将接收数据包从发送源向目的地的转发路径,生成使交换机11进行沿着该路径的数据包转发的流条目。例如,在针对从图1的客户端42发给服务器50的数据包而受理流条目的生成请求的情况下,流条目生成部63使交换机11生成将从客户端42发给服务器50的数据包转发到转发路径上的下一跳的流条目。
交换机控制部64进行将由流条目生成部63生成的流条目设定于对应的交换机11的动作。此外,也可以使交换机控制部64保持管理各交换机11设定的流条目的流条目数据库等,并判定是否设定由流条目生成部63生成的流条目。
如上所述的控制器60能够通过以非专利文献1、2的开放流控制器为基础追加相当于上述控制对象数据包提取部61及判定部62的功能来实现。
此外,图1~图3所示的访问控制装置、控制器、交换机的各部(处理构件)也能够通过使搭载于这些装置的计算机使用其硬件执行上述各处理的计算机程序来实现。
接着,参照附图对本实施方式的动作进行详细说明。图6是表示本发明的第1实施方式的动作的顺序图。以下,对客户端42发送给服务器50的数据包的连续的动作进行说明。
参照图6,首先,在客户端42向服务器50发送数据包后(步骤S01),交换机11参照流表113,按照符合接收数据包的流条目处理数据包(步骤S02)。在此,图4所示的流条目(第2控制信息)符合。交换机11按照流条目(第2控制信息)的内容,对控制器60的控制对象数据包提取部61转发上述数据包。
控制器60的控制对象数据包提取部61接收上述数据包后,判断是否为控制对象数据包(步骤S03)。在此,设从客户端42发给服务器50的数据包被判断为控制对象数据包。因此,从客户端42发给服务器50的数据包被发送到判定部62(步骤S03的是)。此外,在由步骤S03判断为不是控制对象数据包的情况下(步骤S03的否),该数据包被废弃(步骤S04)。
接着,控制器60的判定部62接收控制对象数据包后,判断是否进行流条目的生成(步骤S05)。在此,设从客户端42发给服务器50的数据包按照图5的访问策略被判定为需要生成流条目。因此,控制器60的判定部62对流条目生成部63请求流条目的生成(步骤S05的是)。此外,在步骤S05中判断为不需要生成流条目的情况下(步骤S05的否),该数据包被废弃(步骤S06)。
接着,控制器60的流条目生成部63受理流条目的生成请求后,计算数据包的转发路径,生成包含交换机11的设定于该转发路径上的交换机的流条目,并发送到交换机控制部64(步骤S07)。
接着,控制器60的交换机控制部64在该转发路径上的交换机设定上述生成的流条目(步骤S08)。另外,交换机控制部64对交换机11指示向本次接收的数据包的下一跳的发送或流表的再检索。由此,在步骤S01中接收的数据包被转发到下一跳。
图7是由上述步骤S08设定的流条目(第1控制信息)的例。在比图3所示的流条目(第2控制信息)优先级高的位置设定有将从客户端42(设IP地址=192.168.100.1)发给服务器50(设IP地址=192.168.0.1)的数据包转发到下一跳的流条目。即,交换机11从高位条目开始依次检索流表113,如果发现符合接收数据包的匹配条件则采用其流条目。此外,在图7的例中,对越位于高位的流条目优先级越高进行了说明,但也可以采用在流条目设置优先级信息字段并将具有符合接收数据包的匹配条件的流条目的优先级依次比较来选择最优先的流条目的方式。
之后,客户端42发送后续数据包后(步骤S11),交换机11基于在步骤S08中设定的流条目(第1控制信息)转发数据包。以后,不经由访问控制装置20、控制器60进行高速的转发。另外,从服务器50向客户端42的响应数据包也通过与上述同样的顺序设定允许通信的流条目。
另一方面,图1的客户端41在向服务器50发送了数据包的情况下,与上述的流程相同,交换机11转发上述数据包到访问控制装置20。在该情况下,访问控制装置20会通过上述控制对象数据包提取部61或判定部62进行数据包废弃动作(控制对象数据包提取部61的非控制对象判定或者判定部62的无需流条目生成判定)。该情况下,不向控制器60的流条目生成部63发出流条目的生成请求,因此不会给控制器的流条目生成部63施加负荷。
图8是表示通过上述流条目的设定顺序实现的数据包转发路径的图。客户端42与服务器50间的数据包按照图7所示的流条目(第1控制信息;省略从服务器50到客户端42的数据包转发用的流条目)通过图8的粗箭头线所示的路径转发。另一方面,来自客户端41的数据包按照图4、图7的下层所示的流条目(第2控制信息),如图8的细箭头线所示地被控制对象数据包提取部61、判定部62转发、废弃。
因此,即使从客户端41向交换机11发送大量的数据包,控制器60的负荷也不会变得过大。另外,即使客户端、交换机的数目增加,由于分别通过控制对象数据包提取部61、判定部62进行分选,因此也能够抑制控制器60的负荷。
此外,在上述第1实施方式中,列举在控制器60内置控制对象数据包提取部61、判定部62的例进行了说明,但如图1所示,也能采用在与控制器(控制装置)不同的信息处理装置(访问控制装置)配置控制对象数据包提取部61及判定部62的结构。另外,在该情况下,也能通过增加信息处理装置(访问控制装置)的台数来分散负荷。
[第2实施方式]
接着,对配置多个信息处理装置(访问控制装置)来进行负荷分散的第2实施方式进行说明。
图9是表示本发明的第2实施方式的通信系统的结构的图。与图1、图2所示的实施方式的不同点在于,具备控制对象数据包提取部61及判定部62且配置有多个接收来自交换机11的数据包的访问控制装置20A~20C。此外,访问控制装置20A~20C各自的动作与上述第1实施方式的控制器60的控制对象数据包提取部61及判定部62的动作相同,因此省略说明。
图10是设定于本实施方式的交换机11的流条目(第2控制信息)的例。与图4所示的流条目(第2控制信息)的不同点在于,与接收数据包的特征对应地设置多个切换发送目的地的访问控制装置的流条目(第2控制信息)。在图10的例中,客户端42中符合指示向访问控制装置的转发的流条目(第2控制信息)的数据包(第1控制信息未设定数据包)被转发到访问控制装置20A。另外,其他的客户端中符合指示向访问控制装置的转发的流条目(第2控制信息)的数据包(第1控制信息未设定数据包)被转发到访问控制装置20B。
如上所述,根据本实施方式,如图9所示,能将从交换机11转发的大量的数据包(第1控制信息未设定数据包)的处理分散到多个访问控制装置20A~20C。此外,在图9的例中,交换机11与访问控制装置20A~20C间通过单链路连接,但也能使交换机11与访问控制装置20A间通过汇总了多个链路的链路聚合连接。例如,对于设想了大量的数据包的处理的流,也可以使通过链路聚合连接的高性能的访问控制装置进行处理。
[第3实施方式]
接着,对在交换机11与访问控制装置间经由其他网络连接的情况下也能向访问控制装置转发数据包(第1控制信息未设定数据包)的第3实施方式进行说明。
图11是表示本发明的第3实施方式的通信系统的结构的图。如图11所示,在交换机11A与访问控制装置20D分离设置的情况下,例如,需要将发给服务器50的数据包(第1控制信息未设定数据包)转发到访问控制装置的结构。在此,在本实施方式中对交换机施加变更。
图12是表示本发明的第3实施方式的交换机11A的结构的图。与图3所示的第1实施方式的交换机11的不同点在于,追加了在发送到访问控制装置20D的数据包追加附加头部的头部附加处理部114。
头部附加处理部114对从数据包处理部112转发的数据包附加包含了数据通路ID(DPID;交换机11A的标示符)及访问控制装置20D的地址信息的头部后将其输出到端口PP。
如上所述,根据本实施方式,如图11所示,即使是交换机11A与访问控制装置20D分离设置的情况下,也能将数据包(第1控制信息未设定数据包)转发到访问控制装置。
另外,在本实施方式中,附加头部中包含有数据通路ID(DPID;交换机11A的标示符),因此访问控制装置20D能够掌握数据包(第1控制信息未设定数据包)的发送源的交换机。
以上,对本发明的各实施方式进行了说明,但是本发明并不局限于上述实施方式,在不脱离本发明的基本的技术思想的范围内,能够进一步施加变形/置换/调整。例如,在上述实施方式中使用的网络结构、交换机、访问控制装置、控制器的数目没有限制。
另外,在上述第1~第3实施方式中,对控制对象数据包提取部内置于访问控制装置20或控制器的情况进行了说明,但如图13所示,也可以通过非专利文献1、2的开放流交换机等转发节点(第2转发节点)12来构成控制对象数据包提取部(第4实施方式)。该情况下,控制装置或控制器通过在转发节点(第2转发节点)设定提取上述控制对象数据包的控制信息(流条目),能使转发节点(第2转发节点)12作为控制对象数据包提取部发挥功能。
另外,在上述第1实施方式中,对在交换机与控制对象数据包提取部61、交换机与交换机控制部64间分别设置信道的情况进行了说明,但也可以由1个信道发送数据包(第1控制信息未设定数据包)及交换机与控制器间的控制消息。例如,也可以采用共用在非专利文献1、2中设置于开放流交换机、开放流控制器间的安全信道。
另外,在上述实施方式中,对判定部62基于访问策略判定是否需要生成流条目的情况进行了说明,但也可以在上述判定部62追加数据包分析功能。例如,在从上述控制对象数据包提取部61转发的数据包的分析的结果是在预定期间以预定的阈值(N次)以上转发同一发送源IP地址的数据包的情况下,判定部62判断为DDoS攻击(DistributedDenial of Service attack,分布式拒绝服务攻击)等非法数据包。然后,判定部62对流条目生成部63发送接收数据包或从接收数据包提取的信息,请求生成废弃同一发送源IP地址的数据包的流条目。这样一来,能够减少成为控制对象数据包提取部61的转发对象的数据包的数量。
此外,将上述专利文献及非专利文献的各公开援引编入到本说明书。在本发明的全部公开(包含权利请求书)的范围内,还可以基于其基本技术思想,改变、调整实施方式或实施例。另外,在本发明的权利请求书的范围内,能进行各种公开要素(包含各权利请求的各要素、各实施方式或实施例的各要素、各附图的各要素等)的多种组合、选择。即,本发明理所当然包含本领域技术人员根据包括权利请求书在内的全部公开、技术思想得到的各种变形、修正。
标号说明
10 转发节点;
11、11A 交换机;
12 第2转发节点;
20、20A~20E 访问控制装置;
21、61、121 控制对象数据包提取部;
22、62 判定部;
30 控制装置;
41、42 客户端;
50 服务器;
60 控制器;
63 流条目生成部;
64 交换机控制部;
111 控制消息处理部;
112 数据包处理部;
113 流表;
114 头部附加处理部;
P1~Px、PP 端口。
Claims (11)
1.一种通信系统,其特征在于,包含:
控制装置,在转发节点设定控制信息;
转发节点,利用由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包;以及
访问控制装置,具备判定部,该判定部对于从上述转发节点的上述预定的端口转发的数据包判定是否需要生成控制信息,并对上述控制装置请求生成控制信息。
2.根据权利要求1所述的通信系统,其中,
上述访问控制装置还具备控制对象数据包提取部,该控制对象数据包提取部从自上述转发节点的上述预定的端口转发的数据包中提取向上述判定部发送的控制对象数据包。
3.根据权利要求1或2所述的通信系统,其中,
上述转发节点还具备头部附加处理部,该头部附加处理部在从上述预定的端口转发的数据包附加向上述访问控制装置转发用的头部。
4.根据权利要求1-3中任一项所述的通信系统,其中,
配置有多个上述访问控制装置,
设定用于向上述多个访问控制装置进行分配的多个控制信息来作为上述第2控制信息。
5.根据权利要求1-4中任一项所述的通信系统,其中,
上述判定部基于预定的访问策略判定是否需要生成控制信息。
6.根据权利要求1-6中任一项所述的通信系统,其中,
上述判定部在从上述转发节点的上述预定的端口转发的数据包具有预定的特征的情况下,对上述控制装置请求生成用于使上述转发节点执行具有上述特征的数据包的废弃的控制信息。
7.根据权利要求2-6中任一项所述的通信系统,其中,
上述控制对象数据包提取部由被上述控制装置控制的第2转发节点构成。
8.一种访问控制装置,其特征在于,
上述访问控制装置配置于通信系统,该通信系统包含:
控制装置,在转发节点设定控制信息;以及
转发节点,利用由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包,
上述访问控制装置具备判定部,该判定部对于从上述转发节点的上述预定的端口转发的数据包判定是否需要生成控制信息,并对上述控制装置请求生成控制信息。
9.一种转发节点,其特征在于,
与在转发节点设定控制信息的控制装置连接,
设定有由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息,
在接收到符合上述第2控制信息的匹配条件的数据包的情况下,附加预定的头部后转发数据包。
10.一种网络控制方法,其特征在于,包含以下步骤:
对于从利用由控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包的转发节点通过上述第2控制信息转发的数据包,判定是否需要生成控制信息;以及
基于上述判定结果对上述控制装置请求生成控制信息。
11.一种程序,其特征在于,
使配置于通信系统的计算机执行如下的处理,
其中,上述通信系统包含:
控制装置,在转发节点设定控制信息;
转发节点,利用由上述控制装置设定的第1控制信息及用于将不符合由上述控制装置设定的上述第1控制信息的匹配条件的数据包从预定的端口转发的第2控制信息来转发数据包,
所述程序使所述计算机执行如下处理:
对于从上述转发节点的上述预定的端口转发的数据包判定是否需要生成控制信息的处理;以及
基于上述判定结果,对上述控制装置请求生成控制信息的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012-104664 | 2012-05-01 | ||
| JP2012104664 | 2012-05-01 | ||
| PCT/JP2013/062462 WO2013164988A1 (ja) | 2012-05-01 | 2013-04-26 | 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104272676A true CN104272676A (zh) | 2015-01-07 |
Family
ID=49514387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380023070.2A Pending CN104272676A (zh) | 2012-05-01 | 2013-04-26 | 通信系统、访问控制装置、交换机、网络控制方法及程序 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US20150124595A1 (zh) |
| JP (1) | JP6248929B2 (zh) |
| CN (1) | CN104272676A (zh) |
| WO (1) | WO2013164988A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306390A (zh) * | 2015-09-30 | 2016-02-03 | 上海斐讯数据通信技术有限公司 | 一种数据报文转发控制方法及系统 |
| CN112438037A (zh) * | 2018-08-03 | 2021-03-02 | 日本电信电话株式会社 | 控制系统以及控制方法 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667853B (zh) | 2013-11-22 | 2021-06-01 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| JP6291834B2 (ja) * | 2013-12-20 | 2018-03-14 | 株式会社リコー | 通信装置、通信方法および通信システム |
| WO2015157935A1 (zh) * | 2014-04-16 | 2015-10-22 | 华为技术有限公司 | 一种流表项管理方法及设备 |
| JP6364255B2 (ja) * | 2014-06-17 | 2018-07-25 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム |
| JP6435695B2 (ja) * | 2014-08-04 | 2018-12-12 | 富士通株式会社 | コントローラ,及びその攻撃者検知方法 |
| US20160294871A1 (en) * | 2015-03-31 | 2016-10-06 | Arbor Networks, Inc. | System and method for mitigating against denial of service attacks |
| US9930010B2 (en) * | 2015-04-06 | 2018-03-27 | Nicira, Inc. | Security agent for distributed network security system |
| CN106713182B (zh) * | 2015-08-10 | 2020-10-09 | 华为技术有限公司 | 一种处理流表的方法及装置 |
| CN108965215B (zh) * | 2017-05-26 | 2019-12-24 | 中国科学院沈阳自动化研究所 | 一种多融合联动响应的动态安全方法与系统 |
| JP2020072427A (ja) * | 2018-11-01 | 2020-05-07 | 日本電気株式会社 | ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| CN101969786A (zh) * | 2008-01-02 | 2011-02-09 | 雀巢产品技术援助有限公司 | 食用组合物 |
| WO2011030490A1 (ja) * | 2009-09-10 | 2011-03-17 | 日本電気株式会社 | 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム |
| WO2011043416A1 (ja) * | 2009-10-07 | 2011-04-14 | 日本電気株式会社 | 情報システム、制御サーバ、仮想ネットワーク管理方法およびプログラム |
| WO2012049960A1 (ja) * | 2010-10-15 | 2012-04-19 | 日本電気株式会社 | スイッチシステム、モニタリング集中管理方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007104160A (ja) * | 2005-10-03 | 2007-04-19 | Sony Corp | 通信システム、通信装置および方法、並びにプログラム |
| EP2193630B1 (en) | 2007-09-26 | 2015-08-26 | Nicira, Inc. | Network operating system for managing and securing networks |
| WO2011081104A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| US8893300B2 (en) * | 2010-09-20 | 2014-11-18 | Georgia Tech Research Corporation | Security systems and methods to reduce data leaks in enterprise networks |
| KR101634745B1 (ko) * | 2011-12-30 | 2016-06-30 | 삼성전자 주식회사 | 전자장치, 이를 제어할 수 있는 사용자 입력장치 및 그 제어방법 |
-
2013
- 2013-04-26 US US14/397,524 patent/US20150124595A1/en not_active Abandoned
- 2013-04-26 JP JP2014513372A patent/JP6248929B2/ja active Active
- 2013-04-26 CN CN201380023070.2A patent/CN104272676A/zh active Pending
- 2013-04-26 WO PCT/JP2013/062462 patent/WO2013164988A1/ja active Application Filing
-
2016
- 2016-04-18 US US15/131,464 patent/US10244537B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080189769A1 (en) * | 2007-02-01 | 2008-08-07 | Martin Casado | Secure network switching infrastructure |
| CN101969786A (zh) * | 2008-01-02 | 2011-02-09 | 雀巢产品技术援助有限公司 | 食用组合物 |
| WO2011030490A1 (ja) * | 2009-09-10 | 2011-03-17 | 日本電気株式会社 | 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム |
| WO2011043416A1 (ja) * | 2009-10-07 | 2011-04-14 | 日本電気株式会社 | 情報システム、制御サーバ、仮想ネットワーク管理方法およびプログラム |
| WO2012049960A1 (ja) * | 2010-10-15 | 2012-04-19 | 日本電気株式会社 | スイッチシステム、モニタリング集中管理方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306390A (zh) * | 2015-09-30 | 2016-02-03 | 上海斐讯数据通信技术有限公司 | 一种数据报文转发控制方法及系统 |
| CN112438037A (zh) * | 2018-08-03 | 2021-03-02 | 日本电信电话株式会社 | 控制系统以及控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013164988A1 (ja) | 2013-11-07 |
| JPWO2013164988A1 (ja) | 2015-12-24 |
| US20150124595A1 (en) | 2015-05-07 |
| US10244537B2 (en) | 2019-03-26 |
| JP6248929B2 (ja) | 2017-12-20 |
| US20160234848A1 (en) | 2016-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104272676A (zh) | 通信系统、访问控制装置、交换机、网络控制方法及程序 | |
| JP4759389B2 (ja) | パケット通信装置 | |
| CN104137509B (zh) | 用于基于互联网协议的内容路由器的方法和装置 | |
| US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
| US11750614B2 (en) | Methods and systems for dynamic creation of access control lists | |
| WO2011093228A1 (ja) | フロントエンドシステム、フロントエンド処理方法 | |
| US9537755B2 (en) | Access relay method and access gateway device | |
| MXPA04005734A (es) | Sistema y metodo para entregar corriente de datos de multiples tipos de datos a diferentes niveles de prioridad. | |
| JP6024664B2 (ja) | 通信システム、制御装置および通信方法 | |
| US10079805B2 (en) | Bypassing a firewall for authorized flows using software defined networking | |
| CN102752217B (zh) | 网络加速系统和网络加速方法 | |
| US20160380899A1 (en) | Method and apparatus for dynamic traffic control in sdn environment | |
| US20040133631A1 (en) | Communication system | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| TW200810475A (en) | Method and system for network-independent QoS | |
| US20130242997A1 (en) | Policy control enforcement at a packet gateway | |
| KR102376496B1 (ko) | 서비스 스트림 분산 포워딩 시스템 및 그 방법 | |
| JPWO2013141340A1 (ja) | 制御装置、通信装置、通信システム、通信方法及びプログラム | |
| CN106330386B (zh) | 一种传输层参数调整方法和装置 | |
| US20150078169A1 (en) | Communication Terminal, Method of Communication and Communication System | |
| JP6674856B2 (ja) | 通信制御装置、通信制御方法及び通信制御システム | |
| US20140341219A1 (en) | Communication Terminal, Method of Communication, Communication System and Control Apparatus | |
| Lee et al. | Active interest management for improving flow completion time in named-data networking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150107 |