JP2002359637A - パケット中継処理装置 - Google Patents

パケット中継処理装置

Info

Publication number
JP2002359637A
JP2002359637A JP2001308387A JP2001308387A JP2002359637A JP 2002359637 A JP2002359637 A JP 2002359637A JP 2001308387 A JP2001308387 A JP 2001308387A JP 2001308387 A JP2001308387 A JP 2001308387A JP 2002359637 A JP2002359637 A JP 2002359637A
Authority
JP
Japan
Prior art keywords
packet
session
server
service
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001308387A
Other languages
English (en)
Other versions
JP3963690B2 (ja
Inventor
Kuniaki Shimada
邦昭 嶋田
Ken Yokoyama
乾 横山
Toshihiko Kurita
敏彦 栗田
Tsuneo Katsuyama
恒男 勝山
Takeshi Kawasaki
健 川崎
Koichi Takaba
浩一 高場
博靖 ▲蔭▼山
Hiroyasu Kageyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2001308387A priority Critical patent/JP3963690B2/ja
Priority to US10/056,091 priority patent/US7107348B2/en
Publication of JP2002359637A publication Critical patent/JP2002359637A/ja
Priority to US11/279,338 priority patent/US7433958B2/en
Application granted granted Critical
Publication of JP3963690B2 publication Critical patent/JP3963690B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1012Server selection for load balancing based on compliance of requirements or conditions with available server resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1014Server selection for load balancing based on the content of a request
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1023Server selection for load balancing based on a hash applied to IP addresses or costs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Abstract

(57)【要約】 【課題】 多くのネットワークサービスで使用している
共通処理を、ネットワーク接続装置に配置することによ
り、サーバのサービス処理を高速化すること。 【解決手段】 従来サーバ上に配置していたパケット処
理部とセッション管理部をネットワーク接続装置2上に
配置し、ネットワーク接続装置2上でセッション管理に
基づくパケット中継処理を行う。また、ネットワーク装
置2上に、処理振分部2cとサービス処理部2dを設
け、サーバ1により設定されるポリシーに従って、処理
振分部2cによりサービス処理部2dへのセッション管
理に基づく振り分けを行う。さらに、条件に応じてサー
バ1でセッション管理を行ったり、サーバにもサービス
処理を行わせるようにしたり、サーバでパケットを解析
してサービス内容を設定し、ネットワーク接続装置が、
以後同じセッションに対して上記サービス内容に基づき
中継処理を行うようにすることもできる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、サーバ負荷分散制
御、NAT(Network Address Translation)、帯域制
御、VPN(Virtual Private Network)、ファイアウ
ォールサービス機能を持ったサーバを最適化するための
パケット中継処理装置に関する。
【0002】
【従来の技術】現在、WWW(World WideWeb)やE−
mail、携帯電話におけるパケット通信サービスの普
及により、インターネットが急速に大規模化している。
それに伴い、ネットワークのさらなる高速化や、セキュ
リティ等の高機能化の要求が高まって来ている。現状の
ネットワークサービスの実行形態は、サーバと、NIC
(NetworkInterface Card)等のネットワーク接続装置
という構成が一般的である。昨今のネットワークサービ
スは複雑化してきており、様々な、そして新しい要求に
対し柔軟に対応できるという点で、サーバというプラッ
トホームが適している。
【0003】図39に従来のパケット中継処理装置の構
成を示す。同図はサーバとネットワーク接続装置がネッ
トワーク上で、サービスを実現する一般的な構成を示し
ており、矢印は制御情報の流れ、太い矢印はパケット情
報を示す。
【0004】同図において、100はサーバであり、パ
ケット処理部101と、サービス1処理部〜サービスn
処理部102と、サービス1制御部〜サービスn制御部
103を備える。
【0005】サービス1処理部〜サービスn処理部10
2は、サービス1制御部〜サービスn制御部103で定
めるポリシーに従い、セッション管理やルーティングを
行うとともに、フィルタリングや負荷分散等のサービス
処理を行う。
【0006】104はネットワーク接続装置であり、ネ
ットワーク接続部を介してネットワークから入力された
パケットは、ネットワーク接続装置104、パケット通
信部105を介してサーバ100のパケット処理部10
1に送られ、パケットが処理される。
【0007】
【発明が解決しようとする課題】最近の急激なインター
ネットの大規模化のため、ネットワークを流れるパケッ
トの量は指数関数的な伸びを示している。このため、従
来のサーバでは、要求される処理速度に応えきれなくな
ってきており、サーバを高速化する技術が求められてい
る。また、新しいプラットホームを作る上で、サーバの
多くのサービスを統合することができるという点は、で
きる限り損なわないようにしたい。
【0008】本発明は上記問題を解決するためになされ
たものであって、多くのネットワークワービスで使用し
ている共通処理を、ネットワーク接続装置に配置するこ
とにより、サーバのサービス処理を高速化することを目
的とする。
【0009】
【課題を解決するための手段】図1は本発明の概要を説
明する図である。同図において、1はサーバ、2はネッ
トワーク接続装置である。本発明においては、ネットワ
ーク接続装置を統合し、従来サーバ上に配置していたパ
ケット処理部とセッション管理部をネットワーク接続装
置2上に配置してパケット中継処理部を構成し、該パケ
ット中継処理部により、ネットワーク接続装置2上でセ
ッション管理に基づくパケット中継処理を行う。
【0010】また、ネットワーク接続装置2上に、処理
振分部2cと複数のサービス処理部2dを設け、サーバ
1により設定されるポリシーに従って、処理振分部2c
により、複数のサービス処理部2dへのセッション管理
に基づく振り分けを行う。
【0011】さらに、サーバ1に外部セッション管理機
能を設け、セッション数がネットワーク接続装置2のセ
ッションテーブル登録数を上回った場合等に、サーバ1
によりセッション管理を行うようにすることもできる。
【0012】また、サーバ1に外部サービス処理部を設
け、上記処理振分部2cが、パケットを上記サーバ1に
転送し、サーバ1の外部サービス処理部でサービス処理
を実行させるようにしたり、サーバ1にパケット詳細解
析部を設け、サーバ1がパケットを解析してサービスを
決定し、決定したサービス内容をネットワーク接続装置
2に設定し、ネットワーク接続装置2は、以後同じセッ
ションに対して上記決定されたサービス内容に基づき中
継処理を行うようにすることもできる。
【0013】以上のように本発明においては、次のよう
にして前記課題を解決する。 (1)上記ネットワーク接続装置2に、パケット処理部
2aとセッション管理部2bからなる、セッション管理
に基づくパケット中継処理部を設け、ネットワーク接続
装置2により、セッション管理に基づく中継処理を行
う。
【0014】上記のように、従来サーバ上に配置してい
た機能をネットワーク接続装置2で行っているので、サ
ーバ1のCPU使用率を下げることができる。また、ネ
ットワーク接続装置2でセッション管理を行い、セッシ
ョン開始時にセッションテーブルに出力先を登録してい
るので、セッションの途中でルーティングテーブルが変
更されても、現在継続中のセッションについては、一貫
性を保持できる。 (2)上記(1)において、パケット中継処理装置のサ
ーバ1に外部セッション管理機能を設け、ネットワーク
接続装置2が、与えられた条件に応じてセッション情報
を上記サーバ1に転送し、サーバ1によりセッション管
理を行う。
【0015】これにより、セッション数がネットワーク
接続装置2のセッションテーブル登録数を上回った場合
でも、ネットワーク接続装置2で溢れた分をサーバ1で
管理することができる。 (3)上記(1〉において、ネットワーク接続装置2に
処理振分部2cと複数のサービス処理部2dを設け、処
理振分部2cが、上記複数のサービス処理部2dへのパ
ケットの振分を行いサービス処理を実行させる。
【0016】上記のように、処理振分部2cと複数のサ
ービス処理部2dをサーバ1より高速に処理できるネッ
トワーク接続装置2に配置することにより、サーバ1の
CPUの使用率を小さくすることができるとともに、サ
ービス処理を高速化することができる。 (4)上記(3)において、サーバ1に外部サービス処
理部を設け、処理振分部2cが、与えられた条件によっ
て、パケットの振分を行いサーバ1の外部サービス処理
部でサービス処理を実行させる。
【0017】上記のようにサービス処理を、ネットワー
ク接続装置2とサーバ1の両方で実行できるようにする
ことにより、ネットワーク接続装置2上で実現するのは
困難なサービス処理をサーバ1で行うことができ、ネッ
トワークサービスが複雑な処理を必要とする場合でも対
応することができる。 (5)上記(1)において、ネットワーク接続装置2に
振分処理部2cとサービス処理部2dを設け、また、サ
ーバ1にパケット詳細解析部(不図示)を設け、処理振
分部2cが、与えられた条件によってパケットをサーバ
1に転送し、サーバ1がパケットを解析してサービスを
決定し、決定したサービス内容をネットワーク接続装置
2に設定し、ネットワーク接続装置2は、以後同じセッ
ションに対して上記設定されたサービス内容に基づき中
継処理を行う。
【0018】上記のように、サーバ1においてパケット
を解析してサービスを決定し、決定したサービス内容を
ネットワーク接続装置2に設定し、以後同じセッション
に対してネットワーク接続装置2が上記決定されたサー
ビス内容に基づき中継処理を行うようにすることによ
り、サーバ1で全ての処理を行う場合に比べ、サービス
処理を高速に実現することが可能となる。
【0019】
【発明の実施の形態】図2は本発明の第1の実施例のパ
ケット中継処理装置の構成を示す図である。同図におい
て、11はサーバであり、ネットワーク制御部12を備
えており、ネットワーク制御部12は、管理者が入力し
たルーティング情報を制御情報通信部31を通して、ネ
ットワーク接続装置20のルーティングテーブル23a
に書き込む。制御情報通信部31は、例えばPCI(Pe
ripheral Components Interconnect)バスやシリアルイ
ンターフエースである。
【0020】20はネットワーク接続装置であり、本実
施例のネットワーク接続装置20は、図39に示した複
数のネットワーク接続装置104を統合したものであ
り、パケット処理部21、セッション管理部22、セッ
ションテーブル22a、ルーティング処理部23、ルー
ティングテーブル23aを備え、前記図38のサーバが
行っていた、パケット処理、セッション管理、ルーティ
ング処理等は、ネットワーク接続装置20で行われる。
【0021】図2において、ネットワークから入力され
た図3に示すパケットは、ネットワーク接続部30を通
してネットワーク接続装置20のパケット処理部21に
送られる。ネットワーク接続部30は、例えばイーサネ
ット(登録商標)コントローラである。
【0022】パケット処理部21では、後述する図4の
フローチャートに示す処理を行い、パケットをセッショ
ン管理部22に送る。セッション管理部22では、後述
する図5のフローチャートに示すようにセッション管理
を行い、パケットをパケット処理部21に渡す。
【0023】パケット処理部21は、後述する図4に示
すようにパケットの処理を行い、パケットをネットワー
ク接続部30を介して、ネットワークに出力する。図4
に上記パケット処理部の処理フローを示す。
【0024】同図に示すように、パケット処理部21
は、ネットワークから入力されたパケットのバッファリ
ングを行い(ステップS1)、チェックサムのチェック
を行う(ステップS2)。ついで、パケット処理部21
は、パケットのデフラグメンテーションを行い(ステッ
プS3)、パケットをセッション管理部22へ送る(ス
テップS4)。
【0025】そして、パケット処理部21は、セッショ
ン管理部22から送られてくるパケットのフラグメンテ
ーション(ステップS5)、チェックサム再計算を行い
(ステップS6)、パケットをネットワークに出力す
る。なお、パケット処理部21における処理は従来のパ
ケット処理部における処理と同じである。
【0026】図5に上記セッション管理部22の処理フ
ローを示す。同図に示すように、セッション管理部22
にパケットが送られてくると、セッション管理部22で
は、そのパケットに対応するセッションデータをセッシ
ョンテーブル22aから検索する(ステップS11)。
セッションテーブル22aは、セッションを管理するた
めのセッションデータを格納するテーブルである。図6
にセッションテーブル22aの構成例を示す。図6に示
すように、セッションデータは、セッションを識別する
セッションID(IDentifier)、セッションを一意に決
定するためのセッション検索キー(宛先/送信元アドレ
ス、宛先/送信元ポート、プロトコル)、セッションの
状態、および出力先などを項目として持つ。
【0027】ステップS11において、セッション管理
部22は、パケットのIPヘッダ内の送信元/宛先IP
アドレス、及びTCPヘッダ内のプロトコル、送信元/
宛先ポート等の情報をキーにしてセッションテーブル2
2aを検索する。
【0028】セッション管理部22に送られてきたパケ
ットのヘッダ内の情報とセッション検索キーが一致する
セッションデータが、セッションテーブル22aに登録
されていない場合には(ステップS12:No)、その
送られてきたパケットは、あるセッションの最初のパケ
ットであるので、セッション管理部22は、セッション
テーブル22aにそのセッションに関するセッションデ
ータを登録する(ステップS13)。すなわち、ステッ
プS13において、セッション管理部22は、送られて
きたパケットのヘッダ内の情報に基づいて、図6に示す
セッションテーブル22aにセッション検索キー(宛先
/送信元アドレス、宛先/送信元ポート、プロトコル)
や、セッションの状態を書き込む。
【0029】ついで、ルーティング処理部23でルーテ
ィングテーブル23aの検索を行い、検索の結果として
得られた出力先をセッションテーブル22aに書き込む
(ステップS14)。
【0030】一方、セッションテーブル22aにそのパ
ケットのヘッダ内の情報とセッション検索キーが一致す
るセッションデータが登録されている場合には(ステッ
プS12:Yes)、セッション管理部22は、そのセ
ッションの状態を検査して、状態が遷移するかどうかを
判定する(ステップS15)。そして、状態が遷移する
場合には(ステップS15:Yes)、セッション管理
部22は、セッションテーブル22a内のセッション状
態を書き換える(ステップS16)。
【0031】そして、セッション管理部22は、セッシ
ョンの状態遷移が終わりセッションクローズの場合、す
なわちセッション状態がTIME_WAIT及びCLO
SEDになっている場合には(ステップS17:Ye
s)、そのセッションに関するセッション検索キー、セ
ッション状態および出力先等をセッションテーブル22
aのエントリから削除する(ステップS18)。そし
て、処理が終わったパケットは出力先に送られる。セッ
ションの状態がセッションクローズになっていない場合
は(ステップS17:No)、セッション管理部22は
ステップS18を行わず、処理が終わったパケットは出
力先に送られる。
【0032】上記状態遷移は、TCPとその他のプロト
コルではその判断が異なる。以下、TCPとその他のプ
ロトコルを分けて説明する。図7にTCPの場合のセッ
ション状態を示す。TCPの場合、セッション状態には
図7に示すように、CLOSED、SYN_RECV、
ESTAB、FIN_RECV、FIN_SENT、T
IME_WAITの6つの状態を設定する。
【0033】セッションテーブル22aのセッション状
態には、図6に示すようにCLOSEDを除く上記5つ
の状態のうち、どの状態であるかが書き込まれている。
セッションが登録されていない時には状態がCLOSE
Dになっており、この状態でSYNパケットが到着した
場合、セッション状態はSYN_RECVに状態遷移す
る。その際、セッション管理部22は、セッションテー
ブル22aの「セッション状態」をSYN_RECVに
書き換える。ついで、セッション状態は、ESTAB
〈Established〉状態に遷移し、パケットが
送受信される。そして、FINパケットによりセッショ
ンは終了する。以下同様にして、SYNパケットとFI
Nパケットの到着を検知することにより、セッション管
理部22は、セッションの開始と終了を検知することが
できる。
【0034】図8にTCPの場合のセッション開始から
セッション終了までの状態遷移の様子の一例を示す。同
図に示すように、クライアントとサーバ間で通信を行う
場合、まずクライアントからSYNパケットを送信す
る。ついで、サーバからSYN_ACKパケットを返
し、これに応答してクライアントからサーバにACKパ
ケットを送信する。これにより、セッション状態は、S
YN状態からESTAB(Established)状
態に遷移し、以後、クライアントとサーバは、相互にパ
ケットを送受信する。そして、セッションを終了する
際、例えばクライアントからFINパケットをサーバに
送信し、サーバがFIN_ACKパケットをクライアン
トに送信し、これに応答してクライアントからACKパ
ケットをサーバに送信することによりセッションが終了
する(CLOSED状態となる)。
【0035】これに対し、TCP以外では、パケットに
SYNやFINのフラグが存在しない。図9に一例とし
てUDPの場合の状態遷移を示す。図9に示すようにセ
ッションテーブル22aに登録されていないセッション
に属するパケットが届いた場合には、セッション管理部
22は、そのセッションの状態をESTABとする。セ
ッションの終了は検知することができないので、セッシ
ョン管理部22は、タイマーによって一定時間パケット
の通過が無い場合にはそのセッションをセッションテー
ブル22aから削除することによって対応する。
【0036】以上説明したように、本実施例において
は、ネットワーク接続装置20にセッション管理に基づ
くパケット中継処理機能を設け、従来サーバ11上に配
置していた機能をネットワーク接続装置20が果たすよ
うにしたので、サーバ11のCPUの使用率を下げるこ
とができる。
【0037】また、ネットワーク接続装置20にセッシ
ョン管理部22を設け、セッション開始時にセッション
テーブル22aに出力先を登録しているので、セッショ
ンの途中でルーティングテーブル23aのエントリが変
更されても、現在継続中のセッションについては、一貫
性を保持できる。
【0038】図10は本発明の第2の実施例のパケット
中継処理装置の構成を示す図である。本実施例は、前記
図2に示した第1の実施例のパケット中継処理装置にお
いて、セッション情報をサーバ11に転送するサーバ転
送部24、セッション情報の通信を行うセッション情報
通信部32、外部セッション管理部13、外部セッショ
ンテーブル13aを設けたものである。そして、ネット
ワーク接続装置20のセッションテーブル22aが一杯
になったとき、サーバ11に設けた外部セッション管理
部13によりセッション管理を行う。その他の動作は第
1の実施例と同様である。
【0039】図11に本実施例におけるセッション管理
部、外部セッション管理部における処理フローを示す。
同図に示すように、セッション管理部22にパケットが
送られてくると、セッション管理部22、外部セッショ
ン管理部13では、パケットのヘッダに格納された情報
を検索キーとしてセッションテーブル22a、外部セッ
ションテーブル13aを検索する(ステップS21)。
セッションテーブル22a、13aは前記図6で説明し
たセッションを管理するための情報を格納したテーブル
である。
【0040】セッション管理部22に送られてきたパケ
ットのヘッダ内の情報とセッション検索キーが一致する
セッションデータがセッションテーブル22a及び外部
セッションテーブル13aに登録されていない場合には
(ステップS22:No)、そのパケットは、あるセッ
ションの最初のパケットであるので、まず、セッション
管理部22は、セッションテーブル22aが一杯かを調
べる(ステップS23)。
【0041】セッションテーブル22aが一杯でない場
合には(ステップS23:No)、セッション管理部2
2は、前記したようにセッションテーブル22aにその
セッションのセッションデータの登録を行う(ステップ
S24)。ついで、ルーティング処理部23でルーティ
ングテーブル23aの検索を行い、結果をセッションテ
ーブル22aに出力先を書き込む(ステップS25)。
【0042】また、セッションテーブル22aに、パケ
ットのヘッダ内の情報とセッション検索キーが一致する
セッションデータが登録されている場合には(ステップ
S22:Yes)、セッション管理部22はセッション
状態を検査して、状態が遷移するかどうかを判定する
(ステップS26)。そして、状態が遷移する場合には
(ステップS26:Yes)、セッション管理部22
は、セッションテーブル22aに格納されたセッション
データのセッション状態を書き換える(ステップS2
7)。
【0043】そして、セッションの状態遷移が終わった
後、セッションクローズの場合には(ステップS28:
Yes)、セッション管理部22は、セッションテーブ
ル22aのエントリからそのセッションデータを削除す
る(ステップS29)。処理が終わったパケットは出力
先に送られる。
【0044】一方、セッションの最初のパケットを登録
する際、セッションテーブル22aが一杯の場合には
(ステップS23:Yes)、サーバ11の外部セッシ
ョン管理部13で上記と同様の処理を行う。
【0045】すなわち、前記ステップS24およびステ
ップS25で説明したようにして、外部セッション管理
部13は、外部セッションテーブル13aにそのパケッ
トのセッションのセッションデータを登録し(ステップ
S30)、ルーティング処理部23は、ルーティングテ
ーブルの検索を行って、結果を外部セッションテーブル
13aに出力先を書き込む(ステップS31)。
【0046】また、外部セッションテーブル13aにそ
のパケットのヘッダ内の情報とセッション検索キーが一
致するセッションデータが登録されている場合には(ス
テップS22:Yes)、外部セッション管理部13
は、外部セッションテーブル13aのセッション状態を
検査して、セッション状態が遷移するかどうかを判定す
る(ステップS26)。状態が遷移する場合には、外部
セッション管理部13は、外部セッションテーブル13
aの「セッション状態」を書き換える(ステップS2
7)。そして、セッションの状態遷移が終わった後、セ
ッションクローズの場合には(ステップS28:Ye
s)、外部セッション管理部13は、セッションテーブ
ル13aのエントリからそのセッションデータを削除す
る(ステップS29)。
【0047】以上のように、本実施例においては、ネッ
トワーク接続装置20にセッション管理に基づくパケッ
ト中継処理機能を設け、従来サーバ11上に配置してい
た機能をネットワーク接続装置20が果たすようにした
ので、第1の実施例と同様、サーバ11のCPUの使用
率を下げることができる。また、第1の実施例と同様、
セッションの途中でルーティングテーブルが変更されて
も、現在継続中のセッションについては、一貫性を保持
できる。
【0048】さらに、セッション数がネットワーク接続
装置20のセッションテーブルに登録できる数を上回っ
た場合、サーバ11に設けた外部セッション管理部13
でセッション管理を行っているので、ネットワーク接続
装置20で溢れた分をサーバ11で管理することが可能
となる。
【0049】なお、上記説明ではサーバ11に外部セッ
ション管理部13を設けてサーバ11でセッション管理
を行っているが、サーバ11に外部セッションテーブル
13aのみを設け、セッション管理はネットワーク接続
装置20のセッション管理部22で行い、セッションテ
ーブル22aで溢れたセッションを上記外部セッション
テーブル13aに登録するようにしてもよい。
【0050】図12は本発明の第3の実施例のパケット
中継処理装置の構成を示す図である。本実施例によれ
ば、ネットワーク接続装置20に処理振分部26とサー
ビス処理部27とポリシーテーブル25を設け、サーバ
11により設定されるポリシーに従って、ネットワーク
接続装置20がフィルタリング、負荷分散、NAT等の
サービス処理を実行する。
【0051】同図において、11はサーバであり、サー
バ11はサービス制御部14を備えており、サービス制
御部14は、制御情報通信部31を通して、ネットワー
ク接続装置20のポリシーテーブル25にポリシーを書
き込む。ここで、ポリシーとは、フィルタリング、負荷
分散等のサービスを実行するためのルールである。例え
ば、フィルタリングの場合には、ポリシーに基づいて、
ポリシー検索キーの範囲でパケットを廃棄するか通過さ
せるかが設定される。負荷分散の場合には、ポリシーに
基づいて、仮想(代表)IPアドレス:ポート番号と、
振分先全てのサーバのIPアドレス:ポート番号が設定
される。NATの場合には、ポリシーに基づいて、変換
後IPアドレス:ポート番号が設定される。
【0052】20はネットワーク接続装置であり、本実
施例のネットワーク接続装置20は、第1の実施例と同
様、パケット処理部21、セッション管理部22、セッ
ションテーブル22a’を備え、さらに、上記ポリシー
テーブル25、処理振分部26及び複数のサービス処理
部27を備える。サービス処理部27は、パケットに適
用されるサービスのタイプに応じて複数備えられる。
【0053】本実施例によれば、セッション管理部22
は、パケットを受信した場合、受信したパケットのヘッ
ダ内の情報を用いて、セッションテーブル22a’から
セッションデータを検索する。そして、そのパケットの
ヘッダ内の情報が示すセッションデータがセッションテ
ーブル22a’に登録されている場合、上記とほぼ同様
な処理が行われる。
【0054】一方、そのパケットのヘッダ内の情報によ
って示されるセッションデータがセッションテーブル2
2a’に登録されていない場合、セッション管理部22
は、ポリシーテーブル25を参照し、そのパケットに適
用されるべきポリシーに基づいて、セッションデータを
作成し、作成したセッションデータをセッションテーブ
ル22a’に格納する。
【0055】処理振分部26は、パケットに対する適用
サービスをセッションテーブル22a’に格納されたセ
ッションデータに基づいて判別し、判別された適用サー
ビスに対応するサービス処理部27に処理を振り分け
る。複数のサービス処理部27は、各サービスに必要な
処理を行う。
【0056】以下、図13及び図14を用いて、本実施
例に係わるセッションテーブル22a’及びポリシーテ
ーブル25について説明する。図13に、本実施例に係
わるセッションテーブル22a’の構造例を示す。セッ
ションテーブル22a’は、前記したようにセッション
を管理するセッションデータを格納するテーブルであ
る。セッションデータは、セッションID、セッション
検索キー(宛先/送信元アドレスおよびポート、プロト
コル等)や、セッションの状態、および出力先等を項目
として含む。本実施例においては、図13に示すよう
に、セッションデータは、上記情報に加えて、さらに、
適用サービスタイプ(フィルタリングや負荷分散な
ど)、そのサービス固有情報(振分先アドレスなど)、
一貫性保持時間、イベントフラグ等を項目として含む。
適用サービスタイプは、パケットに適用するべきサービ
スを示す。サービス固有情報は、適用するべきサービス
に固有な情報を示す。例えば、適用サービスタイプが負
荷分散である場合、サービス固有情報として振分先のア
ドレスが考えられる。一貫性保持時間は、セッションが
終了してからセッションデータを保持すべき時間を示
す。つまり、一貫性保持時間が経過するまで、セッショ
ンが終了してもセッションデータはセッションテーブル
22a’から削除されない。イベントフラグは、そのパ
ケットまたはパケットのヘッダのログを採取するべきか
否かを示す。イベントフラグが「オン」である場合、そ
のパケットまたはパケットのヘッダは、サーバに転送さ
れ、サーバによってログが採取される。
【0057】図14に、ポリシーテーブルの構成例を示
す。ポリシーテーブルは、パケットに対してサービスを
実行するためのルールであるポリシーを格納する。図1
4に示すようにポリシーは、ポリシーID、ポリシー検
索キー、適用サービスタイプ、サービス固有情報、優先
度、グループID、イベントフラグ、一貫性保持時間及
びポリシーヒット数を含む。
【0058】ポリシーIDは、ポリシーを識別する情報
である。ポリシー検索キーは、パケットに適用するべき
ポリシーを決定するための情報である。適用サービスタ
イプは、ポリシーに基づいてパケットに適用されるサー
ビスを示す。サービス固有情報は、セッションデータと
同様に、適用サービスに固有な情報を示す。優先度は、
ポリシーの優先順位を示す数値である。優先度の値が低
いほど、そのポリシーは優先される。優先度は、パケッ
トのヘッダ内の情報が、複数のポリシーのポリシー検索
キーに一致した場合、どのポリシーを優先すべきか決定
する際に用いられる。グループIDは、ポリシーが属す
るグループを識別する情報である。イベントフラグ及び
一貫性保持時間は、セッションデータと同様である。ポ
リシーヒット数は、そのポリシーに該当したセッション
のカウント値を格納する。
【0059】イベントフラグ、一貫性保持時間、グルー
プID及びポリシーヒット数を用いた処理についての説
明は、各変形例の変形例として後述する。以下、図12
に示す第3実施例にかかわるパケット中継処理装置の動
作について図15から図19を用いて説明する。
【0060】まず、図12に示すパケット中継処理装置
において、ネットワークから入力されたパケットは、ネ
ットワーク接続部30を通り、パケット処理部21に送
られる。
【0061】パケット処理部21は、前記した図4の処
理フローに示したように、入力したパケットのバッファ
リングとチェックサムのチェック、デフラグメンテーシ
ョンを行った後、そのパケットをセッション管理部22
へ送る。そして、パケット処理部21は、セッション管
理部22から送られてきたパケットに対して、フラグメ
ントとチェックサム再計算を行い、ネットワーク接続装
置30を介して、ネットワークに出力する。
【0062】本実施例のセッション管理部22の処理フ
ローを図15に示す。同図に示すように、パケットがセ
ッション管理部22に送られてくると、セッション管理
部22は、そのパケットのヘッダ内の情報を用いて図1
3に示すセッションテーブル22a’からセッションデ
ータを検索する(ステップS41)。
【0063】セッションテーブルの検索は、第1の実施
例と同様、パケットのIPヘッダ内の送信元/宛先IP
アドレス、及びTCPヘッダ内のプロトコル、送信元/
宛先ポートの情報をキーにして行われる。
【0064】パケットのヘッダ内の情報とセッション検
索キーが一致するセッションデータがセッションテーブ
ル22a’に登録されていない場合(ステップS42:
No)、セッションの最初のパケットであるので、セッ
ション管理部22は、そのセッションに対する適用サー
ビスを判定するため、パケットのヘッダ内の情報を用い
て、図14に示すポリシーテーブル25からポリシーを
検索する(ステップS43)。
【0065】ポリシーテーブル25は、ルーティング情
報を持つとともに、サービスを適用する範囲を指定する
ポリシー検索キー(宛先/送信元アドレスおよびポー
ト、プロトコル。任意や範囲指定でもよい)や適用サー
ビスタイプ(フィルタリング廃棄や負荷分散など)、そ
のサービス固有の情報(全ての振り分け先アドレスな
ど)、および、優先度を持つ。
【0066】検索の結果、ポリシーテーブル25のエン
トリとパケットのヘッダ内の情報がマッチした場合、そ
のポリシーをセッションテーブル22a’の適用サービ
スタイプの欄に書き込む。つまり、セッション管理部2
2は、パケットのヘッダに格納された情報と適合するポ
リシー検索キーを持つポリシーをポリシーテーブル25
から取得する。続いて、セッション管理部22は、パケ
ットのヘッダ内の情報をセッション検索キーとするセッ
ションデータを作成し、セッションテーブル22a’に
登録する。さらに、セッション管理部22は、ポリシー
に含まれる適用サービスタイプ及びサービス固有情報
を、それぞれ登録したセッションデータの適用サービス
タイプ欄及びサービス固有情報欄に書き込む(ステップ
S44)。
【0067】ただし、複数のポリシーにマッチした場合
には、ポリシーテーブル25の優先度が高い順に処理す
る。また、同一サービスが複数マッチした場合には、優
先度が最も高いものを採用し、残りを無効とする。
【0068】以下、ポリシーテーブル25を検索した
際、パケットのヘッダに格納された情報と適合するポリ
シー検索キーを持つポリシーが複数存在した場合の処理
について、より具体的に説明する。
【0069】まず、取得した複数のポリシーに含まれる
適用サービスタイプが互いに競合しない場合、セッショ
ン管理部22は、ポリシーの優先度の値が低い順に(つ
まり、優先順位が高い順に)、複数の適用サービスタイ
プをセッションデータの適用サービスタイプの欄に書き
込む。これにより、そのパケットは、優先順位が高い順
に複数の適用サービスをうけることになる。
【0070】また、取得した複数のポリシーに含まれる
適用サービスタイプが互いに競合する場合、セッション
管理部22は、複数のポリシーのうち、ポリシーの優先
度の値が最も低いポリシーの適用サービスタイプのみを
セッションデータの適用サービスタイプの欄に書き込
む。これにより、そのパケットは、最も優先順位が高い
適用サービスのみを受けることとなる。
【0071】以下、具体例を挙げて説明する。あるパケ
ットのヘッダに格納された情報と適合するポリシー検索
キーを持つポリシーとして、以下の6ポリシーが取得さ
れたとする。 ポリシー1:適用サービス=フィルタ通過、優先度=1
0 ポリシー2:適用サービス=フィルタ通過、優先度=1
00 ポリシー3:適用サービス=フィルタ通過、優先度=2
00 ポリシー4:適用サービス=負荷分散、優先度=100
0 ポリシー5:適用サービス=負荷分散、優先度=200
0 ポリシー6:適用サービス=負荷分散、優先度=300
0 この場合、フィルタ通過と負荷分散は、互いに競合しな
い適用サービスタイプである。また、ポリシー1からポ
リシー3までの適用サービスタイプは全てフィルタ通過
であるため、互いに競合する。同様に、ポリシー4から
ポリシー6までの適用サービスタイプは全て負荷分散で
あるため、互いに競合する。セッション管理部22は、
適用サービスタイプがフィルタ通過であるポリシーのう
ち、最も優先度の値が低いポリシー1及び、適用サービ
スタイプがフィルタ通過であるポリシーのうち、最も優
先度の値が低いポリシー4を採用する。続いて、ポリシ
ー1のフィルタ通過の優先度は、ポリシー4の負荷分散
の優先度よりも低いため、セッション管理部22は、セ
ッションデータの適用サービスタイプの欄に、フィルタ
通過を先にして、フィルタ通過及び負荷分散を書き込
む。これにより、そのパケットは、フィルタ通過の後に
負荷分散サービスを受けることになる。
【0072】ステップS42でYesであった場合に行
われるステップS45からステップS48までのセッシ
ョン状態遷移に関する処理は、第1の実施例で説明した
のと同様である。すなわち、セッションテーブル22
a’にセッションデータの登録がある場合には、セッシ
ョン管理部22は、セッションテーブル22a’のセッ
ション状態を検査して、状態が遷移するかどうかを判定
する(ステップS45)。そして、セッションの状態が
遷移する場合には(ステップS45:Yes)、セッシ
ョン管理部22は、セッションテーブル22a’の状態
を書き換える(ステップS46)。そして、セッション
の状態遷移が終わった後、セッション管理部22は、そ
のセッションのセッションデータをセッションテーブル
22a’のエントリから削除する(ステップS48)。
処理が終わったパケットは、処理振分部26に送られる
(ステップS49)。
【0073】処理振分部26/サービス処理部27の処
理フローを図16に示す。処理振分部26/サービス処
理部27では、パケットに対して適用サービスを判別
し、各サービスに必要な処理を行う。
【0074】図16において、パケットが処理振分部2
6に入力されると、処理振分部26は、そのパケットの
ヘッダ内の情報を用いてセッションテーブル22a’か
ら、入力したパケットに対応するセッションデータを検
索する。検索の結果、得られたセッションデータで示さ
れる適用サービスタイプが、ルーティング処理である場
合(ステップS51)、処理振分部26は、ルーティン
グ処理を行うサービス処理部27に処理を振り分ける。
【0075】入力パケットに対応するセッションテーブ
ル22a’に、ルーティング先が書き込まれていない場
合、ポリシーテーブル25のルーティングテーブル(不
図示)を引き、出力先インターフェースと宛先MACア
ドレスをセッションテーブル22a’に書き込む。
【0076】より具体的に説明すると、処理振分部26
は、そのセッションデータにルーティング先が含まれて
いるか否か判定する(ステップS51)。セッションデ
ータにルーティング先が含まれていない場合(ステップ
S51:Yes)、処理を振り分けられたサービス処理
部27は、そのセッションデータに含まれる宛先IPア
ドレスを用いてルーティングテーブル(図12では不図
示)を検索し、検索の結果得られた出力先インターフェ
ースと宛先MACアドレスをルーティング先として決定
し(ステップS52)、決定されたルーティング先をそ
のセッションデータに書き込む(ステップS53)。以
後、そのセッションデータに対応するセッションのパケ
ットは、決定されたルーティング先に転送される。続い
て、サービス処理部27は、ステップS56へ進む。
【0077】また、処理振分部26が、セッションテー
ブル22a’を検索した結果得られたセッションデータ
の適用サービスタイプ欄を参照し、入力パケットが、負
荷分散サービスを受けるべきパケットであり、且つ セ
ッションデータに振分先サーバが含まれていない、つま
り、振分先サーバがまだ決定していないと判定した場合
と判定した場合(ステップS56:Yes)、処理振分
部26は、負荷分散処理を行うサービス処理部27に処
理を振り分ける。処理を振り分けられたサービス処理部
27は、振分先サーバを決定し(ステップS57)、決
定された振分先のアドレスを対応するセッションテーブ
ル22a’のサービス固有情報欄に書き込み(ステップ
S58)、ステップS61に進む。
【0078】また、処理振分部26が、セッションテー
ブル22a’を検索した結果得られたセッションデータ
の適用サービスタイプ欄を参照し、入力パケットがフィ
ルタリング廃棄サービスを受けるべきパケットであると
判定したならば(ステップS61:Yes)、処理振分
部26は、パケット廃棄処理を行うサービス処理部27
に処理を振り分ける。処理を振り分けられたサービス処
理部27は、そのパケットを廃棄し(ステップS6
2)、処理を終了する。ステップS61の判定でNoで
ある場合、ステップS63に進む。
【0079】処理振分部26が、セッションテーブル2
2a’を検索した結果得られたセッションデータの適用
サービスタイプ欄を参照し、入力パケットが、負荷分散
もしくはNATサービスを実行するパケットならば、そ
の入力パケットはヘッダ書換を受けるべきパケットであ
ると判定する(ステップS63:Yes)。処理振分部
26は、ヘッダ書換処理を行うサービス処理部27に処
理を振り分ける。処理を振り分けられたサービス処理部
27は、そのパケットのIPヘッダとTCPヘッダ上の
送信元/宛先IPアドレス、送信元/宛先ポート等を、
セッションテーブル22a’に格納されたセッションデ
ータに従って書き換え、(ステップS64)処理を終了
する。なお、セッションデータに複数の適用サービスが
格納されている場合、格納されている順に、入力パケッ
トに該複数の適用サービスを実行する。
【0080】以上のように、本実施例においては、第1
の実施例と同様、サーバ11のCPUの使用率を下げる
ことができ、また、セッションの途中でルーティングテ
ーブルが変更されても、現在継続中のセッションについ
ては、一貫性を保持できる。
【0081】さらに、処理振分部26と複数のサービス
に対応した複数のサービス処理部27を、サーバ11よ
り高速に処理できるネットワーク接続装置20に配置し
たので、サーバのCPUの使用率を小さくすることがで
きるとともに、サービス処理を高速化することができ
る。
【0082】さらに、また、本実施例によれば、サービ
スに応じて複数のサービス処理部27をネットワーク接
続装置20に備えることとしている。これにより、新た
なサービスが必要になった場合、必要となったサービス
に対応する新たなサービス処理部27をネットワーク接
続装置20に追加することにより、容易に対応すること
が可能な柔軟な構成を実現する。例えば、新たに、VP
N(Virtual PrivateNetwork )暗号化サービスや復号
化サービスが必要になった場合、新たに、VPN暗号化
サービスを行うサービス処理部27及び復号化サービス
を行うサービス処理部27を追加することにより対応す
ることが可能である。
【0083】以下、図17を用いて、より詳しくヘッダ
書換処理について説明する。図17に、本実施例におい
てネットワーク接続装置20が負荷分散サービスを行う
場合のパケットフローを示す。なお、図17に示すパケ
ットフローは、図13に示すセッションテーブル22
a’内のセッションIDが2及び3であるセッションデ
ータに対応している。また、矢印の方向は、パケットの
送信される方向を示す。
【0084】アドレスが10.25.1.230 であるクライアン
トからアドレスが192.168.100.75であるサーバへパケッ
トが送信される場合、まず、矢印A1に示すように、ク
ライアントからネットワーク接続装置20へ「宛先アド
レス:192.168.100.75、送信元アドレス:10.25.1.23
0」をヘッダに格納したパケットP1が送信される。ネ
ットワーク接続装置20のセッション管理部22は、パ
ケットP1に含まれる送信元アドレス10.25.1.230 及び
宛先アドレス192.168.100.75等をキーとして図13に示
すセッションテーブル22a’を参照し、セッションI
D=3であるセッションデータを取得する。
【0085】取得されたセッションデータ内の適用サー
ビスタイプは「ヘッダ書換」であるため、ネットワーク
接続装置20内の処理振分部26は、ヘッダ書換処理を
行うサービス処理部27に処理を振り分ける。そのセッ
ションデータ内の固有情報は「宛先アドレス:192.168.
100.100 」であるため、処理を振り分けられたサービス
処理部27は、パケットP1内の宛先アドレスを「192.
168.100.75」から「192.168.100.100」に書き換える。
この結果、矢印A2に示すように、ネットワーク接続装
置20からアドレスが192.168.100.100である振分先サ
ーバへ「宛先アドレス:192.168.100.100、送信元アド
レス:10.25.1.230」をヘッダに格納したパケットP2
が送信される。
【0086】逆に、アドレスが192.168.100.100である
振分先サーバからアドレスが10.25.1.230 であるクライ
アントへパケットが送信される場合、まず、矢印A3に
示すように、振分先サーバからネットワーク接続装置2
0へ「宛先アドレス:10.25.1.230、送信元アドレス:1
92.168.100.100 」をヘッダに格納したパケットP3が
送信される。ネットワーク接続装置20のセッション管
理部22は、パケットP3に含まれる送信元アドレス及
び宛先アドレスをキーとして図13に示すセッションテ
ーブル22a’を参照し、セッションID=2であるセ
ッションデータを取得する。
【0087】取得されたセッションデータ内の適用サー
ビスタイプ欄のエントリは「ヘッダ書換」であるため、
ネットワーク接続装置20内の処理振分部26は、ヘッ
ダ書換処理を行うサービス処理部27に処理を振り分け
る。処理を振り分けられたサービス処理部27は、その
セッションデータ内の固有情報に基づいて、パケット内
の送信元アドレスを「192.168.100.100」から「192.16
8.100.75」に書き換える。この結果、矢印A4に示すよ
うに、ネットワーク接続装置20からアドレスが10.25.
1.230であるクライアントへ「宛先アドレス:10.25.1.2
30、送信元アドレス:192.168.100.75」をヘッダに格納
したパケットP4が送信される。このようにして、ネッ
トワーク接続装置20は、パケットのヘッダを書き換え
る事により、パケットの宛先サーバの負荷を分散させる
ことができる。
【0088】図18は本発明の第4の実施例のパケット
中継処理装置の構成を示す図である。本実施例は、上記
第3の実施例のパケット中継処理装置において、処理振
分部26にサーバ転送機能を設けるとともに、サーバ1
1に外部サービス処理部15を設け、サービス処理を、
ネットワーク接続装置20とサーバ11の両方で実行で
きるようにしたものである。本実施例において、サービ
ス処理をサーバ11で実行する場合には、ポリシーテー
ブル25にサービスの内容だけでなく、サーバ11に転
送することを設定しておく。その他の動作は第3の実施
例と同様である。
【0089】図18に示すように、外部サービス処理部
15は、第3実施例に係わるサービス処理部27と同様
に、適用サービスタイプに応じて複数の外部サービス処
理部15をサーバ11に備えられる。従って、第3実施
例におけるサービス処理部27と同様に、新たなサービ
スタイプが必要になった場合、新たなサービスタイプに
対応する新たな外部サービス処理部15をサーバ11に
追加することにより、容易に対応することが可能であ
る。
【0090】本実施例にかかわるセッションテーブル2
2a’及びポリシーテーブル25の構成は、第3実施例
とほぼ同様であるため、詳しい説明は省略する。異なる
点は、第4実施例によれば、サービス処理部27で行う
サービスの内容に加えて、サーバ11に転送して外部サ
ービス処理部15で行うサービスの内容をセッションテ
ーブル22a’及びポリシーテーブル25に設定するこ
とができることである。
【0091】以下、本実施例の処理振分部26、サービ
ス処理部27及び外部サービス処理部15における処理
の手順を図19に示す。図19において、ステップS5
1からステップS64までの処理は図16と同じであ
る。例えば、入力パケットに対応するセッションテーブ
ル22a’内のセッションデータで、適用サービスタイ
プが「ルーティング」が書き込まれ、且つ、ルーティン
グ先が書き込まれていない場合、サービス処理部27
は、ポリシーテーブル25のルーティングテーブルを引
き、出力先インターフェースと宛先MACアドレスをセ
ッションテーブル22a’内のセッションデータに書き
込む。
【0092】このように、セッションテーブル22a’
の適用サービスタイプを参照し、適用サービスタイプに
サーバ転送が設定されていない場合には、前記図16で
説明したように、適用サービスタイプに応じた処理を行
い、ヘッダ書換えパケットの場合、ヘッダの書換処理を
行う。
【0093】さらに、本実施例によれば、サービスの一
部をサーバ11内の外部サービス処理部15が行う。そ
のために、処理振分部26は、図16のステップS51
からステップS64の処理に加えて、以下の手順を行
う。
【0094】すなわち、処理振分部26は、セッション
テーブル22a’を検索して得られたセッションデータ
の適用サービスタイプ欄を参照し、入力パケットが、サ
ーバ11へ転送されるべきパケットであるか否かを判定
する(ステップS71)。セッションデータの適用サー
ビスタイプ欄に「サーバ転送:ON」及び適用サービス
タイプが設定されている場合には(ステップS71:Y
es)、処理振分部26は、パケットに転送用ヘッダを
付す処理を行うサービス処理部27に処理を振り分け
る。処理を振り分けられたサービス処理部27は、その
パケットに転送用ヘッダを付す。転送用ヘッダの内容
は、例えば、適用サービスタイプ、そのパケットのセッ
ションデータのセッションID及び入力インターフェー
スである。続いて、サービス処理部27は、パケット通
信部33を介してパケットをサーバ11の外部サービス
処理部15に転送する(ステップS72)。適用サービ
スタイプに対応する外部サービス処理部15は、受信し
たパケットを処理する(ステップS73)。
【0095】外部サービス処理部15の処理フローは前
記した図16と同様である。例えば、セッションデータ
内でルーティング先が未決定の場合、外部サービス処理
部15は、ルーティング先を決定し、出力先インターフ
ェースと宛先MACアドレスをセッションテーブル22
a’に書き込む。
【0096】また、入力パケットが、負荷分散サービス
をうけるべきパケットであり、セッションデータ内で振
分先がまだ決定していない場合、外部サービス処理部1
5は、振分先サーバを決定し、対応するセッションテー
ブル22a’内のセッションデータのサービス固有情報
欄に書き込む。入力パケットがフィルタリング廃棄サー
ビスを受けるべきパケットならば、外部サービス処理部
15は、パケットを廃棄する。
【0097】そして、入力パケットが、負荷分散もしく
はNATサービスを受けるべきパケットならば、外部サ
ービス処理部15は、そのパケットのIPヘッダとTC
Pヘッダ上の送信元/宛先IPアドレス、送信元/宛先
ポート等を、セッションテーブル22a’内のセッショ
ンデータに従って書き換える。
【0098】なお、以上では、外部サービス処理部15
が、ネットワーク接続装置20におけるサービス内容と
同じサービスを行う場合について説明したが、外部サー
ビス処理部15で、例えば、暗号化、復号化、プロキ
シ、コンテンツ変換、プロトコル変換等のネットワーク
接続装置20上で行わないサービス処理を行うようにし
てもよい。
【0099】以上のように本実施例においては、ネット
ワーク接続装置20にセッション管理に基づくパケット
中継処理機能を設け、従来サーバ上に配置していた機能
をネットワーク接続装置20が果たすようにする。これ
により、第1の実施例と同様、サーバのCPUの使用率
を下げることができる。また、第1の実施例と同様、セ
ッションの途中でルーティングテーブルが変更されて
も、現在継続中のセッションについては、一貫性を保持
できる。さらに、処理振分部26にパケットをサーバへ
転送する機能を設けるとともに、サーバ11に外部サー
ビス処理部15を設け、サービス処理を、ネットワーク
接続装置20とサーバ11の両方で実行できるようにし
たので、ネットワーク接続装置20上で実現するのは困
難なサービス処理をサーバ11で行うことができ、ネッ
トワークサービスが複雑な処理を必要とする場合でも対
応することができる。
【0100】次に、第5実施例について説明する。図2
0は本発明の第5の実施例のパケット中継処理装置の構
成を示す図である。図21に示すように、本実施例に係
わるパケット中継処理装置は、第3実施例に係わるパケ
ット中継処理装置を構成するサーバ11にパケット詳細
解析部16を更に備える。このように構成することによ
り、ネットワーク接続装置20の処理振分部26が、与
えられた条件によってパケットをサーバ11に転送し、
サーバ11内のパケット詳細解析部16がパケットを解
析してサービスを決定し、決定したサービス内容をネッ
トワーク接続装置20に設定する。そして、設定以後同
じセッションに対して、ネットワーク接続装置20は、
上記決定されたサービス内容に基づき中継処理を行うよ
うにしたものである。
【0101】図20において、11はサーバであり、サ
ーバ11は前記第3、第4の実施例と同様、サービス制
御部14を備えており、サービス制御部14は、前記し
たように制御情報通信部31を通して、ネットワーク接
統装置20のポリシーテーブル25にポリシーを書き込
む。更に、サービス制御部14は、サーバ11が備える
詳細解析用ポリシーテーブル(図20では不図示)にも
ポリシーを書き込む。
【0102】また、サーバ11はパケット詳細解析部1
6を備えており、パケット詳細解析部16は、不図示の
パケット詳細解析用のセッションテーブル及びポリシー
テーブルに基づいて、パケットを解析してそのパケット
を含むセッションに対するサービスを決定し、決定した
サービス内容をネットワーク接続装置20のセッション
テーブル22a’のセッションデータを設定しなおす。
再設定後、ネットワーク接続装置20は上記サービス内
容に基づき中継処理を行う。詳細解析用のセッションテ
ーブル及びポリシーテーブルのデータ構成については後
述する。
【0103】第3及び第4実施例のサービス処理部27
や外部サービス処理部15と同様に、パケット詳細解析
部16も、適用サービスタイプに応じてサーバ11に複
数備えられる。従って、新たなサービスタイプが必要に
なった場合、新たなサービスタイプに対応する新たなパ
ケット詳細解析部16をサーバ11に追加することによ
り、容易に対応することが可能である。
【0104】20はネットワーク接続装置であり、本実
施例のネットワーク接続装置20は、第3の実施例と同
様、パケット処理部21、セッション管理部22、セッ
ションテーブル22a’、ポリシーテーブル25、処理
振分部26、サービス処理部27を備えており、さらに
処理振分部26はパケットをサーバへ転送する機能を備
えている。
【0105】上記パケット処理部21、セッション管理
部22、処理振分部26、サービス処理部27の動作は
前記第3の実施例と同様である。本実施例に係わるポリ
シーテーブル25のデータ構成は第3実施例と同様であ
るため、説明は省略する。本実施例にかかわるセッショ
ンテーブル22a’のデータ構成については、後述す
る。
【0106】また、本実施例においては、予めサーバ1
1によりポリシーテーブル25の適用サービスの欄に、
上記パケット詳細解析部16に転送するパケットと適用
サービスの適用範囲(例えばhttpはURLフィルタ
リング適用対象のパケットである等)を設定する。処理
振分部26は、前記第4の実施例で説明したのと同様
に、ポリシーテーブル25を参照してサーバ11に転送
するパケットを判断し、該当パケットのヘッダに適用サ
ービスタイプの種類を付した後、そのパケットをパケッ
ト通信路33を介してサーバ11のパケット詳細解析部
16に転送する。
【0107】以下、図21から図26を用いて、本実施
例にかかわる各テーブルのデータ構成について説明す
る。まず、図21から図24を用いて本実施例にかかわ
るセッションテーブル22a’について説明する。図2
1から図24に示すように、セッションテーブル22
a’に格納されるセッションデータに含まれる項目は、
図13に示すセッションテーブル22a’と同様であ
る。しかし、本実施例によれば、セッションデータがセ
ッションテーブル22a’に登録された後、パケット詳
細解析部16が、パケットを解析し、解析結果に基づい
てセッションテーブル22a’のセッションデータを再
設定する。
【0108】図21及び図22に、セッション管理部2
2が、ポリシーテーブル25に基づいてセッションデー
タを登録した際のセッションテーブル22a’の一例を
示す。図21から図22に示すように、まだパケット詳
細解析部16による解析が行われていないため、各セッ
ションデータの適用サービスタイプの欄において、「サ
ーバ転送:ON」となっている。従って、セッションデ
ータに対応するセッションのパケットは、サーバ11に
転送される。
【0109】図23及び図24に、パケット詳細解析部
16が、パケットの解析結果に基づいてセッションデー
タを再設定した後のセッションテーブル22a’の一例
を示す。図23及び図24に示すように、パケット詳細
解析部16による解析が行われたため、各セッションデ
ータの適用サービスタイプの欄において、「サーバ転
送:OFF」となっている。従って、以後、各セッショ
ンデータに対応するセッションのパケットは、サーバ1
1に転送されない事となる。
【0110】また、パケット詳細解析部16によってセ
ッションデータが再設定された結果、図21及び図22
に示すセッションテーブル22a’と、図23及び図2
4に示すセッションテーブル22a’とは、さらに、以
下の点が異なる。
【0111】・図21に示すようにセッションID=0
及び1であるセッションデータの適用サービスタイプの
欄に「URLフィルタリング」が格納されている。一
方、パケット詳細解析部16によるパケット解析の結
果、パケットを通過させることが決定されたため、図2
3に示す同じセッションIDのセッションデータの同欄
には、「フィルタリング通過」が格納されている。
【0112】・図21に示すように、セッションID=
2から5であるセッションデータの適用サービスタイプ
の欄に「URL負荷分散」が格納されているが、固有情
報の欄に振分先サーバに関する情報は格納されていな
い。一方、パケット詳細解析部16によるパケット解析
の結果、振分先サーバが決定されたため、図23に示す
ように、セッションID=3及び4であるセッションデ
ータは削除され、セッションID=2及び5であるセッ
ションデータの適用サービスタイプの欄に「ヘッダ書
換」が格納され、固有情報の欄に振分先サーバに関する
情報が格納されている。
【0113】・図22に示すように、セッションID=
6及び7であるセッションデータの適用サービスタイプ
の欄に「FTP(File Transfer Protocol)フィルタリ
ング」が格納されている。その後パケット詳細解析部1
6によるパケット解析の結果、そのセッションのパケッ
トを通過させると決定されたため、図24に示すよう
に、セッションID=6及び7である制御コネクション
のためのセッションデータに加えて、新たにセッション
ID=8及び9であるデータコネクションのためのセッ
ションデータが登録され、そのセッションデータの適用
サービスタイプの欄に「フィルタリング通過」が格納さ
れている。
【0114】次に、図25及び図26を用いて、パケッ
ト詳細解析部16が備えるテーブルについて説明する。
パケット詳細解析部16は、パケットを解析するため
に、詳細解析用セッションテーブル及び詳細解析用ポリ
シーテーブルを備える。
【0115】図25に、詳細解析用セッションテーブル
の構成例を示す。図25に示す詳細解析用セッションテ
ーブルは、図21及び図22に示すセッションテーブル
22a’に対応する。図25に示すように、詳細解析用
セッションテーブルに格納されるセッションデータは、
セッションID、セッション検索キー、セッション状
態、関連セッション及び適用サービスタイプを項目とし
て含む。関連セッション以外の項目は、セッションテー
ブル22a’に格納されるセッションデータと同様であ
る。関連セッションは、パケット詳細解析部16がパケ
ットを解析した結果、関連すると判定されたセッション
のセッションIDである。詳細解析用セッションテーブ
ル内のセッションデータは、セッションテーブル22
a’に格納されるセッションデータに基づいて、詳細解
析を行う際にパケット詳細解析部16によって登録さ
れ、詳細解析が終了するとパケット詳細解析部16によ
って削除される。
【0116】図26に、詳細解析用ポリシーテーブルの
構成例を示す。図26に示す詳細解析用ポリシーテーブ
ルは、図14に示すポリシーテーブル25よりも詳しい
ポリシーを格納する。例えば、URLフィルタリングに
ついては、URL毎にパケットを廃棄するか否かを示す
URLフィルタリング用URLテーブルが詳細解析用ポ
リシーテーブルに備えられる。また、例えばFTPフィ
ルタリングについては、IPアドレス及びポート番号ご
とに、パケットを通過させるべきか廃棄させるべきかを
示すFTPフィルタリング用テーブルが備えられる。更
にまた、例えば、URL負荷分散については、URL毎
に振分先サーバの候補のIPアドレス及び振分方法を示
すURL負荷分散用テーブル等が備えられる。なお、図
25に示す詳細解析用セッションテーブルは、図21か
ら図24に示すセッションテーブル22a’に対応して
いる。
【0117】以下、図27を用いて第5実施例に係わる
パケット中継処理装置の動作概念について説明する。図
27において、実線の矢印は、パケットの進む方向を示
し、破線の矢印は、テーブル内のデータの読み込み及び
テーブルへのデータ書き込みを示す。
【0118】まず、サーバ11内のサービス制御部14
は、制御情報通信部31を介して、ネットワーク接統装
置20のポリシーテーブル25及びパケット詳細解析部
16内の詳細解析用ポリシーテーブルにポリシーを書き
込む(矢印A11)。
【0119】続いて、ネットワーク接続装置20にパケ
ットが入力されると、セッション管理部22は、パケッ
トのヘッダに格納された情報を用いてポリシーテーブル
25を参照し、ヘッダ内の情報とポリシー検索キーがマ
ッチするポリシーを取得し、そのポリシーに基づいてセ
ッションデータを作成し、セッションテーブル22a’
に格納する(矢印A12)。
【0120】そのセッションデータの適用サービスタイ
プの欄に「サーバ転送:ON」が格納されている場合、
処理振分部26は、パケット通信部33を介してそのパ
ケットをパケット詳細解析部16に転送する。パケット
詳細解析16は、詳細解析用ポリシーテーブル及び詳細
解析用セッションテーブルを用いてそのパケットを解析
する(矢印A13)。パケット詳細解析部16は、パケ
ットの解析結果に基づいて、ネットワーク接続装置20
内のセッションテーブル22a’に格納されたセッショ
ンデータを再設定する(矢印A14)。パケットの解析
後は、ネットワーク接続装置20に入力したパケット
は、パケット詳細解析部16によって解析されることな
く、サービス処理部27によって処理され、ネットワー
ク接続装置20から出力される(矢印A15)。
【0121】以下、第5実施例に係わるパケット中継処
理装置の動作について説明する。パケット処理部21及
びセッション管理部22による処理の手順は、第1から
第4実施例と同様であるため、説明を省略する。以下、
処理振分部26、サービス処理部27及びパケット詳細
解析部16による処理の手順に重点をおいて説明する。
【0122】図28は処理振分部26及びサービス処理
部27の処理フローを示す図である。図28に示す処理
のうち、ヘッダ書換処理(ステップS64)までの処理
は図19と同じである。さらに、第5実施例によれば、
処理振分部26は、セッションデータに含まれる適用サ
ービスタイプに基づいて、入力パケットがサーバ11に
転送するべき該当パケットであるか否かを判断する(ス
テップS81)。適用サービスタイプに「サーバ転送:
ON」及び適用サービスタイプが設定されている場合に
は、振分処理部26は、そのパケットをサーバ11に転
送するべきパケットであると判断し(ステップS81:
Yes)、パケットに転送用ヘッダを付す処理を行うサ
ービス処理部27に、処理を振り分ける。処理を振り分
けられたサービス処理部27は、そのパケットに転送用
ヘッダを付す。転送用ヘッダの内容は第4実施例と同様
である。転送用ヘッダを付されたパケットは、パケット
通信部33を介して、サーバ11のパケット詳細解析部
16に転送される(ステップS82)。パケット詳細解
析部16は、受信したパケットを解析し、解析結果に基
づいて、制御情報通信部31を介して、セッションテー
ブル22a’に格納されたセッションデータを再設定す
る(ステップS83)。
【0123】図29は、パケット詳細解析部16の処理
の手順を示すフローチャートである。図29に示す処理
は、図28のステップS83に相当する。本実施例にお
いては、例として、URLフィルタリング、URL負荷
分散、及びFTPフィルタリングサービスをパケット詳
細解析部16を用いて提供する場合について説明する。
【0124】まず、URLフィルタリングサービスにつ
いて説明する。予めサーバ11のサービス制御部14
が、「パケット詳細解析部16へパケットを転送しUR
Lフィルタリングを行う」というポリシーを、制御通信
情報部31を介してポリシーテーブル25に設定する。
【0125】設定された条件から、ネットワーク接続装
置20の処理振分部26が、該当パケットをパケット詳
細解析部16に転送する。パケット詳細解析部16で
は、受信したパケットの転送用ヘッダ内に含まれる適用
サービスタイプ「URLフィルタリング」に基づいて、
そのパケットがURLフィルタリングサービスを受ける
べきパケットであることを判定する。パケット詳細解析
部16は、受信したパケットに含まれる情報に基づいて
セッションデータを作成し、詳細解析用セッションテー
ブルに格納する(ステップS91:Yes)。以後、パ
ケット詳細解析部16は、そのセッションの状態を管理
し、HTTPのGETリクエストを受信するまで、受信
したパケットをそのままネットワークへ出力させる。
【0126】セッション状態がESTABとなった後、
HTTPのGETリクエストを受信した場合(ステップ
S92:Yes)、パケット詳細解析部16は、URL
を判定し、パケットの通過/廃棄を決定する。すなわ
ち、パケット詳細解析部16は、そのパケットに含まれ
るURLを用いて、予め設定された詳細解析用ポリシー
テーブルに含まれるURLフィルタリング用URLテー
ブルを参照することにより、そのパケットの通過/廃棄
を判定する(ステップS93)。
【0127】パケットを廃棄すると判定した場合には
(ステップS93:Yes)、パケット詳細解析部16
は、そのセッションのパケットを廃棄する(ステップS
103)。更に、パケット詳細解析部16は、パケット
に含まれるセッションIDを用いてセッションテーブル
22a’を参照し、セッションIDに対応するセッショ
ンデータの適用サービスタイプの欄を、「サーバ転送:
ON・URLフィルタリング」から「廃棄」に書き換え
る(不図示)。
【0128】また、パケットを通過させると判定したの
場合には(ステップS93:No)、パケット詳細解析
部16は、セッションテーブル22a’を参照し、パケ
ットに含まれるセッションIDに対応するセッションデ
ータの適用サービスタイプの欄を「サーバ転送:ON・
URLフィルタリング」から「フィルタリング通過」に
書き換える(ステップS94)。図21及び図23に示
すセッションテーブル22a’においてセッションID
=0及び1であるセッションデータは、それぞれ、UR
Lフィルタリングの場合の、パケット解析前後のセッシ
ョンデータの一例である。
【0129】セッションテーブル22a’内のセッショ
ンデータを再設定した後、パケット詳細解析部16は、
詳細解析用セッションテーブルから、そのセッションI
Dに対応するセッションデータを削除する(不図示)。
【0130】上記のように、パケット詳細解析部16
が、ネットワーク接続装置20のセッションテーブル2
2a’内のセッションデータの適用サービスタイプを、
「サーバ転送:ON」から「フィルタリング通過」また
は「廃棄」に設定し直すと、ネットワーク接続装置20
は上記通過条件に従い、以後のパケットを処理する。す
なわち、ネットワーク接続装置20は、サーバ11のパ
ケット詳細解析部16にパケットを転送することなく、
パケットを通過させたり、廃棄する。
【0131】図30は、上記URLフィルタリングの動
作を説明する図である。クライアント、サーバ間で、S
YN、SYN_ACK、ACKパケットを交換する。そ
のセッションがESTABの状態に遷移するまでは、ネ
ットワーク接続装置20から上記パケット詳細解析部1
6にそれらパケットが転送され、パケット詳細解析部1
6は、そのセッションの状態を管理する。つまり、「ネ
ットワーク接続装置20」及び「サーバ11」で処理が
行われる。
【0132】セッションがESTAB状態に遷移し、H
TTPのGETリクエスト(GET”http://w
ww.xxx.co.jp”のようにURLが付されて
いる)を受信すると、サーバ11のパケット詳細解析部
16は、詳細解析用ポリシーに含まれるURLフィルタ
リング用URLテーブルを参照して上記URLのパケッ
トが廃棄するべきパケットであるか通過させるべきパケ
ットであるかを判定し、判定結果に基づいてセッション
テーブル22a’の適用サービスタイプの欄のエントリ
を「廃棄」または「通過」に書き換える。
【0133】以後、ネットワーク接続装置20は、セッ
ションテーブル22a’に設定された適用サービスタイ
プに応じて、そのセッションが終了するまで、パケット
を廃棄または通過させる。つまり、「ネットワーク接続
装置20」で処理が行われる。
【0134】次に、図29に戻って、URL負荷分散サ
ービスについて説明する。URL負荷分散において、例
えば、クライアントがある代表サーバにアクセスした後
に、URLに基づいて代表サーバに接続された他のサー
バを振分先サーバとして決定し、その振分先サーバにセ
ッションを振り分けることにより、負荷を複数の振分先
サーバに分散させることができる。
【0135】URL負荷分散を行う際、まずサーバ11
のサービス制御部14が、「パケット詳細解析部16へ
パケットを転送しURL負荷分散を行う」というポリシ
ーを、制御通信情報部31を介してポリシーテーブル2
5の適用サービスタイプ欄に設定する。
【0136】設定された条件から、ネットワーク接続装
置20の処理振分部26が該当パケットをサーバ11の
パケット詳細解析部16に転送する。パケット詳細解析
部16では、受信したパケットに含まれる適用サービス
タイプ「URL負荷分散」に基づいて、そのパケットが
URL負荷分散サービスを受けるべきパケットであるこ
とを判定する。パケット詳細解析部16は、URLフィ
ルタリングの場合と同様にして、受信したパケットに含
まれる情報に基づいてセッションデータを作成し、詳細
解析用セッションテーブルに格納する。さらに、パケッ
ト詳細解析部16は、パケットのヘッダに含まれる送信
元アドレス、宛先アドレス及びポート番号等に基づいて
代理応答を行い、相互に関連するセッションデータを登
録し、セッションデータの関連セッションの欄に、関連
するセッションデータのセッションIDを格納する(ス
テップS95:Yes)。
【0137】図25に示す詳細解析用セッションテーブ
ルにおいて、セッションID=2から5であるセッショ
ンデータは、URL負荷分散の場合のセッションデータ
の一例である。図25において、セッションID=2で
あるセッションデータは、セッションID=4であるセ
ッションデータと相互に関連し、セッションID=3で
あるセッションデータは、セッションID=5であるセ
ッションデータと相互に関連している事がわかる。
【0138】パケット詳細解析部16では、クライアン
トとサーバ11の間にコネクションを確立し、以後、セ
ッションの状態を管理する。また、パケット詳細解析部
16は、TCP(Transmission Control Protocol )を
終端する機能を有し、振分先サーバが決定するまで、パ
ケット詳細解析部16は、振分先サーバの変わりにクラ
イアントに対する応答を行う。パケット詳細解析部16
は、セッションの状態がESTABとなった後、HTT
PのGETリクエストを受信した場合(ステップS9
6:Yes)、パケット詳細解析部16は、パケットに
含まれるURLを用いて、予め設定された詳細解析用ポ
リシーテーブルに含まれるURL負荷分散用テーブルを
参照して、振分先サーバを決定する(ステップS9
7)。その後、サーバ11は、SYN、SYN_AC
K、ACKパケットを交換することにより、振分先サー
バとコネクションを確立する。
【0139】さらに、パケット詳細解析部16は、ネッ
トワーク接続装置20のセッションデータ22a’を参
照し、パケットに含まれるセッションIDに対応するセ
ッションデータを取得する。そして、パケット詳細解析
部16は、取得したセッションデータに含まれる適用サ
ービスタイプを「サーバ転送:ON・URL負荷分散」
から「サーバ転送:OFF・ヘッダ書換」に書き換え
る。さらに、パケット詳細解析部16は、セッションデ
ータの固有情報の欄に、決定された振分先サーバのIP
アドレス等に従って、IPアドレス:ポート番号、およ
びシーケンス番号/ACK番号差分を設定する(ステッ
プS98)。これにより、相互に関連していると判定さ
れた2つのセッションデータを1つのセッションデータ
にまとめることになるため、2つのコネクションを1つ
のコネクションとして扱うことが可能となる。さらに、
パケット詳細解析部16は、4つのセッションデータの
うち、不要になった残りの2つのデータを、セッション
テーブル22a’から削除する。
【0140】セッションテーブル22a’内のセッショ
ンデータを再設定した後、パケット詳細解析部16は、
詳細解析用セッションテーブルから、そのセッションI
Dに対応するセッションデータを削除する(不図示)。
そして、サーバ11は、振分先サーバにHTTPのGE
Tリクエストを送出する。
【0141】図21及び図23に示すセッションテーブ
ル22a’内のセッションID=2から5であるセッシ
ョンデータは、それぞれ、URL負荷分散の場合のパケ
ット解析前後のセッションデータの一例である。図21
におけるセッションID=2及び4である2つのセッシ
ョンデータによって示される2つのコネクションは、図
23において、セッションID=2であるセッションデ
ータで示される1つのコネクションにまとめられてい
る。同様に、図21におけるセッションID=3及び5
である2つのセッションデータによって示される2つの
コネクションは、図23において、セッションID=5
であるセッションデータで示される1つのコネクション
にまとめられている。
【0142】パケットの解析後、パケットは、パケット
詳細解析部16に送られない。ネットワーク接続装置2
0のヘッダ書換処理を行うサービス処理部27は、セッ
ションテーブル22a’に格納されたセッションデータ
内の固有情報に基づいて、パケット内のIPアドレス:
ポート番号、シーケンス番号、ACK番号を書き換えた
後、そのパケットをネットワークに出力させる。
【0143】図31は、上記URL負荷分散サービスの
動作を説明する図である。図31に示すように、クライ
アントとパケット中継処理装置の間でSYN、SYN_
ACK、ACKパケットを交換する。セッションがES
TAB状態に遷移し、HTTPのGETリクエストを受
信すると、パケット詳細解析部16は、GETリクエス
トのURLを判定し、振分先サーバを決定する。
【0144】ついで、上記と同様に、パケット中継処理
装置と振分先サーバの間でSYN、SYN_ACK、A
CKパケットを交換し、振分先サーバにHTTPのGE
Tリクエストを送出する。ここまでは、「ネットワーク
接続装置20」+「サーバ11」で処理が行われる。
【0145】パケット中継処理装置から振分先サーバに
HTTPのGETリクエストを送出した後、セッション
が終了するまで、ネットワーク接続装置20が、セッシ
ョンテーブル22a’に格納されたセッションデータに
基づいて、クライアントと振分先サーバとの間の中継処
理を行う。
【0146】次に、図29に戻って、FTPフィルタリ
ングサービスについて説明する。FTPは、制御用の制
御コネクションと、1以上のデータ転送用のデータコネ
クションとの複数のTCPコネクションからなる。
【0147】予めサーバ11のサービス制御部14が、
「パケット詳細解析部16へパケットを転送しFTPフ
ィルタリングを行う」というポリシーを、制御通信情報
部を介してポリシーテーブル25に設定する。
【0148】設定された条件から、ネットワーク接続装
置20の処理振分部26が該当パケットを詳細解析部1
6に転送する。URLフィルタリングの場合と同様に、
パケット詳細解析部16は、受信したパケットに含まれ
る適用サービスタイプに基づいて、そのパケットがFT
Pフィルタリングサービスを受けるべきパケットである
ことを判定し、パケット詳細解析部16は、詳細解析用
セッションテーブルにセッションデータを格納する(ス
テップS99:Yes)。続いて、パケット詳細解析部
16は、セッション状態を管理し、受信パケットをその
ままネットワークへ出力させる。
【0149】セッション状態がESTABとなった後、
図32に示すように、FTPのPORT命令もしくは、
PASV命令のACKパケットを受信すると(ステップ
S100:Yes)、パケット詳細解析部16は、その
パケットに含まれるIPアドレスとポート番号を判定
し、判定結果に基づいて、そのセッションのパケットを
通過するか廃棄するかを決定する(ステップS10
1)。
【0150】すなわち、パケット詳細解析部16は、I
Pアドレスとポート番号を用いて予め設定された詳細解
析用ポリシーテーブル内のFTPフィルタリング用テー
ブルを参照して、そのセッションのパケットを通過させ
るか廃棄するかを決定する。パケットを廃棄すると決定
した場合には(ステップS101:Yes)、パケット
詳細解析部16は、セッションテーブル22a’からパ
ケットの転送用ヘッダに含まれるセッションIDに対応
するセッションデータを取得し、そのセッションデータ
の適用サービスタイプの欄に「廃棄」を設定し、そのパ
ケットを廃棄する(ステップS103)。
【0151】また、そのパケットを通過させると決定し
た場合には(ステップS101:No)、パケット詳細
解析部16は、先のPORT命令もしくはPASV命令
のACKパケットのデータ部分に記述されているIPア
ドレスとポート番号に基づいて、データコネクションに
ついてのセッションデータをセッションテーブル22
a’に登録し、そのセッションデータの適用サービスタ
イプの欄に「フィルタリング通過」を設定する(ステッ
プS102)。
【0152】上記のようにパケット詳細解析部16が、
セッションテーブル22a’内のセッションデータを再
設定すると、ネットワーク接続装置20は上記通過条件
に従い、以後のデータコネクションに関するパケットを
処理する。すなわち、サーバ11のパケット詳細解析部
16にパケットを転送することなく、パケットを通過さ
せたり、廃棄させたりする。
【0153】図32は、上記FTPフィルタリングの動
作を説明する図である。クライアント、サーバ11間
で、SYN、SYN_ACK、ACKパケットを交換
し、ESTABの状態に遷移するまでは、上記パケット
詳細解析部16にパケットが転送され、「ネットワーク
接続装置20」+「サーバ11」で処理が行われる。
【0154】セッションの状態がESTAB状態に遷移
し、FTPのPORT命令またはPASV命令のACK
(IPアドレスとポート番号が付されている)を受信す
ると、パケット詳細解析部16は、パケットに含まれる
IPアドレスとポート番号を用いて詳細解析用ポリシー
テーブルを参照し、そのパケットを廃棄すべきか、通過
させるべきかを決定する。そのパケットを廃棄すると決
定する場合には、パケット詳細解析部16は、セッショ
ンテーブル22a’のセッションデータにパケットを廃
棄する旨を設定する。そのパケットを通過させると決定
する場合には、パケット詳細解析部16は、セッション
テーブル22a’にデータコネクションについてのセッ
ションデータを登録し、適用サービスタイプ欄に「通
過」を設定し直す。以後、ネットワーク接続装置20
は、パケットの廃棄処理又はデータコネクションのパケ
ットの通過処理を行う。
【0155】最後に、パケット中継処理装置がクライア
ントから制御コネクションのFINパケットを受信する
と、ネットワーク接続装置20からパケット通信部33
を介して、サーバ11のセッション詳細解析部16にそ
のパケットが転送される。サーバ11は、セッション詳
細解析部16を介してそのセッションのクローズ処理を
行う。さらに、セッション詳細解析部16は、パケット
の転送用ヘッダに含まれるセッションIDに基づいて、
クローズされるセッションに関するセッションデータを
削除する。
【0156】以下、図33及び図34を用いて、第5実
施例におけるパケットのフローについて、URL負荷分
散サービスの場合を例にとって説明する。なお、各図
は、図21、図23、図25に示すセッションテーブル
に格納されたセッションID=2から5のセッションデ
ータに対応する。図33に、パケット詳細解析部16に
よってセッションデータが再設定される前のパケットフ
ローを示す。
【0157】セッションデータが再設定される前におい
て、矢印A21に示すように、アドレス:ポート番号が
192.168.30.30:11950 であるクライアントからネットワ
ーク接続装置20へ「宛先アドレス:ポート番号=192.
168.200.1:http、送信元アドレス:ポート番号=192.16
8.30.30:11950」をヘッダに格納したパケットP11が
送信される。ネットワーク接続装置20のセッション管
理部22は、ポリシーテーブル25を参照し、ヘッダ内
の情報とポリシー検索キーがマッチするポリシーを取得
し、そのポリシーに基づいてセッションID=2である
セッションデータを作成し、セッションテーブル22
a’に格納する。
【0158】セッションデータ内の適用サービスタイプ
は「サーバ転送:ON・URL負荷分散」であるため、
ネットワーク接続装置20内の処理振分部26は、サー
バ転送処理を行うサービス処理部27に処理を振り分け
る。処理を振り分けられたサービス処理部27がそのパ
ケットに転送用ヘッダを付したのち、矢印A22に示す
ようにパケットはサーバ11に転送される。サーバ11
のパケット詳細解析部16は、転送されたパケットに含
まれる情報に基づいて、詳細解析用セッションテーブル
にセッションデータを登録する。
【0159】同様にして、サーバ11からクライアント
へ矢印A23からA28に示すような経路を経てパケッ
トP12、P13及びP14が出力される際に、それぞ
れ、セッションID=3、4及び5であるセッションデ
ータが、セッションテーブル22a’にセッション管理
部22によって格納され、対応するセッションデータ
が、詳細解析用セッションテーブルにパケット詳細解析
部16によって格納される。
【0160】セッションデータを各セッションテーブル
に登録した後、HTTPのGETリクエストを受信する
まで、パケット詳細解析部16は、各セッションの状態
を管理し、図33に示すパケットフローに基づいて、受
信したパケットをネットワークへ出力する。
【0161】その後、セッション状態がESTABとな
った後、HTTPのGETリクエストを受信すると、パ
ケット詳細解析部16は、パケットを解析し、解析結果
に基づいて、セッションテーブル22a’に格納された
セッションデータを設定しなおす。再設定後のセッショ
ンデータは、図23に示す通りである。
【0162】図34に、パケット詳細解析部16によっ
てセッションデータが再設定された後のパケットフロー
を示す。セッションデータが再設定された後において、
矢印A31に示すように、振分先サーバからネットワー
ク接続装置20へ「宛先アドレス:ポート番号として19
2.168.200.1:3333、送信元アドレス:ポート番号として
192.168.200.10:8080」をヘッダに格納したパケットP
14が送信されると、ネットワーク接続装置20の処理
振分部26は、パケットのヘッダに含まれる情報を用い
て、セッションテーブル22a’を参照し、セッション
ID=5であるセッションデータを取得し、セッション
データに基づいて、ヘッダ書換処理を行うサービス処理
部27に処理を振り分ける。サービス処理部27は、そ
のセッションデータに基づいて、そのパケットのヘッダ
内の宛先アドレス及びポート番号を「192.168.30.30:11
950」に、クライアントのアドレス及びポート番号を「1
92.168.200.1:http 」に書き換えることにより、パケッ
トP12を作成する。その後、矢印A32に示すよう
に、ネットワーク接続装置20は、パケットP12を振
分先サーバへそのパケットを出力する。
【0163】同様に、矢印A33に示すように、アドレ
ス:ポート番号が192.168.30.30:11950 であるクライア
ントからネットワーク接続装置20へ「宛先アドレス:
ポート番号=192.168.200.1:http、送信元アドレス:ポ
ート番号=192.168.30.30:11950」をヘッダに格納した
パケットP11が送信される。ネットワーク接続装置2
0の処理振分部26は、パケットのヘッダに含まれる情
報を用いて、セッションテーブル22a’を参照し、セ
ッションID=2であるセッションデータを取得する。
この例の場合、取得したセッションデータの適用サービ
スタイプの欄に「サーバ転送:OFF/ヘッダ書換」が
格納されているため、処理振分部26は、ヘッダ書換処
理を行うサービス処理部27に処理を振り分ける。サー
ビス処理部27は、そのセッションデータに基づいて、
そのパケットのヘッダ内の宛先アドレス及びポート番号
を振分先サーバのアドレス及びポート番号を「192.168.
200.10:8080」に書き換えることにより、パケットP1
3を作成する。その後、ネットワーク接続装置20は、
矢印A34に示すように、パケットP13を振分先サー
バへそのパケットを出力する。
【0164】このように、セッション詳細解析部16が
パケットの解析結果に基づいてセッションデータを書き
換えた後は、サーバ11を介さずに、ネットワーク接続
装置20によってパケットの中継処理が行われる。
【0165】以上のように、本実施例においては、ネッ
トワーク接続装置20にセッション管理に基づくパケッ
ト中継処理機能を設け、従来サーバ上に配置していた機
能をネットワーク接続装置20が果たすようにしたの
で、第1の実施例と同様、サーバ11のCPUの使用率
を下げることができる。また、第1の実施例と同様、セ
ッションの途中でルーティングテーブルが変更されて
も、現在継続中のセッションについては、一貫性を保持
できる。
【0166】さらに、第5実施例によれば、サーバ11
のパケット詳細解析部16においてパケットを解析して
サービスを決定し、決定したサービス内容をネットワー
ク接続装置20に設定し、以後同じセッションに対して
ネットワーク接続装置20が上記決定されたサービス内
容に基づき中継処理を行うようにする。従って、サーバ
11で全ての処理を行う場合に比べ、サービス処理を高
速に実現することができる。
【0167】以下、各実施例の変形例について説明す
る。まず、第1の変形例について説明する。第1実施例
から第5実施例において、第1の変形例を適用すること
により、セッションが終了した後すぐにセッションデー
タを削除するのではなく、一定時間経過した後にセッシ
ョンデータをセッションテーブル22a’することとし
てもよい。
【0168】そのために、第1の変形例によれば、図1
3及び図14、図21から図24に示すように、ポリシ
ーテーブル25及びセッションテーブル22a’のエン
トリに、さらに一貫性保持時間を含む。以下、第1の変
形例に係わるパケット中継処理装置が行う処理について
説明する。第1の変形例では、セッション管理部22が
行う処理の一部が第1から第5実施例と異なる。第1の
変形例を適用した場合のセッション管理部22が行う処
理について、図5を用いて説明する。
【0169】図5のステップS17において、セッショ
ン管理部22が、あるセッションがクローズしたと判定
した場合(ステップS17:Yes)、セッション管理
部22はタイマーを設定する。セッション管理部22
は、セッションデータに含まれる一貫性保持時間だけ待
機した後に、図5のステップS18に進み、そのセッシ
ョンデータをセッションテーブル22a’から削除す
る。
【0170】これにより、セッションが終了した後で、
一貫性保持時間が経過するまでの間に、そのセッション
が再度確立された場合、セッション検索キーに変更がな
ければ、セッション管理部22は、そのセッションを先
に終了したセッションと同じセッションとして扱う事が
できるようになる。例えば、負荷分散サービスにおい
て、一度終了したセッションと再度確立されたセッショ
ンとで同じ振分先サーバにパケットを振り分けることが
可能となる。延いては、セッション管理部22によるポ
リシーテーブル25の検索や処理振分部26によるパケ
ットのサーバ11への転送を省略する事ができるため、
高速にパケットを処理することが可能となる。
【0171】次に、第2の変形例について説明する。第
3実施例から第5実施例において、第2の変形例を適用
することにより、セッションに適用するポリシーの切り
換えが容易にできるようにすることとしてもよい。その
ために、第2の変形例によれば、複数のポリシーをいく
つかのグループに分ける。さらに、図14に示すよう
に、ポリシーテーブル25に格納されるポリシーは更に
項目として、そのポリシーが属するグループを識別する
グループIDを含み、ネットワーク接続装置20は、更
に図35に示すフラグテーブルを備える。
【0172】以下、図35を用いて、フラグテーブルの
データ構造について説明する。図35に示すように、フ
ラグテーブルは、グループIDに対応して、ポリシーの
有効・無効を示すフラグを格納する。図35において、
例として、フラグが「オフ(0)」である場合にポリシ
ーは無効であり、フラグが「オン(1)」である場合に
ポリシーは有効である。
【0173】以下、第2の変形例に係わるパケット中継
処理装置が行う処理について説明する。第2の変形例で
は、セッション管理部22が行う処理の一部が第3から
第5実施例と異なる。例として、第3実施例に係わるセ
ッション管理部22が行う処理を示す図15を参照しな
がら、第2の変形例を各実施例に適用することにより、
セッション管理部22が行う処理が変化する点について
詳しく説明する。
【0174】第2の変形例において、セッション管理部
22は、図15のステップS43からステップS44の
間でさらに、以下の処理を行う。まず、ステップS43
で、セッション管理部22は、ポリシーテーブル25を
検索し、パケットのヘッダに格納された情報と適合する
ポリシー検索キーを持つポリシーを取得する。セッショ
ン管理部22は、得られたポリシーに含まれるグループ
IDを用いてフラグテーブルを参照し、そのグループI
Dに対応するフラグがオンであるかオフであるか判定す
る。
【0175】判定の結果、フラグがオフである場合、セ
ッション管理部22はそのポリシーを採用しない。一
方、フラグがオンである場合、セッション管理部22
は、そのポリシーを採用する。セッション管理部22
は、ステップS44で、そのポリシーに基づいてセッシ
ョンデータを作成し、セッションテーブル22a’に格
納する。これにより、採用するべきポリシーをグループ
毎に切り換えることができるようになる。
【0176】例えば、複数の通常用のポリシーと複数の
非常用のポリシーとを作成した場合、第2の変形例によ
れば、予め通常用のポリシーからなる通常用グループ
と、非常用のポリシーからなる非常用グループを定義
し、ポリシーテーブル25には、通常用のポリシーも非
常用のポリシーも両方登録する。また、フラグテーブル
にパケット中継処理装置のユーザが有効にしておきたい
グループ、つまり、通常用と非常用いずれかのグループ
に対応するフラグをオンにする。これにより、通常用の
ポリシーと非常用のポリシーを、グループ毎に容易に切
り換える事が可能となる。
【0177】次に、第3の変形例について説明する。第
3実施例から第5実施例において、第3の変形例を適用
することにより、パケットのログを採取できるようにす
ることとしてもよい。そのために、第3の変形例によれ
ば、図13及び図14並びに図21から図24に示すポ
リシーテーブル25及びセッションテーブル22a’に
格納されるセッションデータ及びポリシーは、更に項目
としてイベントフラグを含む。
【0178】イベントフラグには、パケットに関するイ
ベントフラグと、ヘッダに関するイベントフラグとがあ
る。パケットに関するイベントフラグが「オン(1)」
である場合、ログ(履歴)を採取するために、そのパケ
ットがサーバ11に転送される。ヘッダに関するイベン
トフラグがオンである場合、ログを採取するために、そ
のパケットのヘッダがサーバ11に転送される。サーバ
11は、転送されたパケット又はパケットのヘッダを解
析し、ログを採取する。これにより、例えば、システム
に障害が生じたときに、ネットワーク管理ソフトを用い
て、採取したログを解析する事により、障害から復旧す
るために役に立つ情報を得ることが可能となる。
【0179】次に、第4の変形例について説明する。第
4の変形例によれば、第1実施例から第5実施例に係わ
るネットワーク接続装置20は、パケットに関する統計
情報を取得するために、更にカウンタ(不図示)を備え
る。上記サーバ11のネットワーク制御部12又はサー
ビス制御部14は、カウンタの値を参照する。統計情報
として、例えば、インターフェースごとのパケット入力
数と出力数が考えられる。この統計情報は、クライアン
ト等に課金を行う際等において使用することができる。
【0180】また、第3実施例から第5実施例に対して
は、更に、統計情報として、ポリシーテーブル25に格
納されたポリシー毎に、そのポリシーが適用されたセッ
ションの数、つまり、ポリシーがヒットした回数である
ポリシーヒット数を得る事としても良い。
【0181】そのために、第4の変形例によれば、図1
4に示すように、ポリシーテーブル25に格納されるポ
リシーは、更に項目としてポリシーヒット数を含む。そ
して、セッション管理部22が、新たなセッションに関
するセッションデータをセッションテーブル22a’に
登録するために、ポリシーテーブル25を参照して適用
するべきポリシーを取得すると、カウンタは、取得され
たポリシーのポリシーヒット数をインクリメントする。
これにより、ネットワーク管理者は、ポリシーが有効に
利用されているか否かを判断するための情報を得る事が
可能となる。
【0182】また、第3実施例から第5実施例に対して
は、更に、統計情報として、負荷分散サービスにおける
振分先サーバ毎に、セッションが振り分けられた回数を
示す振分先ヒット数を得る事としても良い。
【0183】そのために、図14に示すポリシーテーブ
ル25又は、図26に示す詳細解析用ポリシーテーブル
に格納された負荷分散サービスにかかわるポリシーは、
更に項目として、振分先サーバアドレスごとの振分先ヒ
ット数を含む。そして、サービス処理部27又はパケッ
ト詳細解析部16が、セッションの振分先サーバを決定
する処理を行うごとに、カウンタは、振分先サーバとし
て決定されたサーバに対応する振分先ヒット数をインク
リメントする。これにより、ネットワーク管理者は、負
荷分散の振分方式が有効に動作しているか否かを判断す
るための情報を得ることが可能となる。
【0184】本実施形態において説明したネットワーク
接続装置20を構成する各部及びサーバ11を構成する
各部が行う処理を示すプログラムは、それぞれRAM
(Random Access Memory)やROM(Read Only Memor
y)等のメモリに記録され、パケット中継処理装置にハ
ードウェア或いはソフトウェアとして備えられても良
い。以下、この場合について説明する。
【0185】図36にコンピュータ(情報処理装置)の
構成を示す。図36に示すように、コンピュータ40
は、少なくともCPU41、メモリ42を備える。さら
に、コンピュータ40は、入力装置43、出力装置4
4、外部記憶装置45、媒体駆動装置46、及びネット
ワークインターフェース47を備えることとしても良
い。各装置はバス48により互いに接続されている。
【0186】メモリ42は、例えば、ROM、RAM等
を含み、処理に用いられるプログラムとデータを格納す
る。CPU41は、メモリ42を利用してプログラムを
実行することにより、必要な処理を行う。
【0187】2以上のコンピュータ40に、パケット中
継処理装置を構成するサーバ11及びネットワーク接続
装置20に相当する機能を実現させる場合、まず、図
2、10、12、18、20に示すパケット中継処理装
置を構成する各部によって行われる処理を示すプログラ
ムを用意する。そして、サーバ11に備えられる各部に
よって行われる処理を示すプログラム(以下、サーバ1
1用のプログラムという)をサーバ11を実現すべきコ
ンピュータ内のメモリ42の特定のプログラムコードセ
グメントに格納する。
【0188】また、ネットワーク接続装置20に備えら
れる各部によって行われる処理を示すプログラム(以
下、ネットワーク接続装置20用のプログラムという)
を、ネットワーク接続装置20を実現すべきコンピュー
タ内のメモリ42の特定のプログラムコードセグメント
に格納する。ここで、ネットワーク接続装置20を実現
すべきコンピュータのCPUは、例えば、ネットワーク
プロセッサである。なお、上述の各部によって行われる
処理は、上記において、各フローチャートを用いて説明
されている。
【0189】入力装置43は、例えば、キーボード、ポ
インティングデバイス、タッチパネル等であり、ユーザ
からの指示や情報の入力に用いられる。出力装置44
は、例えば、ディスプレイやプリンタ等であり、コンピ
ュータ40の利用者への問い合わせ、処理結果等の出力
に用いられる。
【0190】外部記憶装置45は、例えば、磁気ディス
ク装置、光ディスク装置、光磁気ディスク装置等であ
る。この外部記憶装置45に上述のプログラムとデータ
を保存しておき、必要に応じて、それらをメモリ42に
ロードして使用することもできる。
【0191】媒体駆動装置46は、可搬記録媒体49を
駆動し、その記録内容にアクセスする。可搬記録媒体4
9としては、メモリカード、メモリスティック、フレキ
シブルディスク、CD−ROM(Compact Disc Read On
ly Memory)、光ディスク、光磁気ディスク、DVD(D
igital Versatile Disk)等、任意のコンピュータで読
み取り可能な記録媒体が用いられる。この可搬記録媒体
49に上述のプログラムとデータを格納しておき、必要
に応じて、それらをメモリ42にロードして使用するこ
ともできる。
【0192】ネットワークインターフェース47は、L
AN、WAN等の任意のネットワーク(回線)を介して
外部の装置を通信し、通信に伴なうデータ変換を行う。
また、必要に応じて、上述のプログラムとデータを外部
の装置から受け取り、それらをメモリ42にロードして
使用することもできる。
【0193】図37は、図36のコンピュータにプログ
ラムとデータを供給することができる、コンピュータで
読み取り可能な記録媒体及び伝送信号を説明する図であ
る。記録媒体を用いて、上述のプログラムや各テーブル
に格納されるデータを、サーバ11を実現すべきコンピ
ュータ及びネットワーク接続装置20を実現すべきコン
ピュータに供給することにより、2以上のコンピュータ
にパケット中継処理装置に相当する機能を行なわせるこ
とも可能である。
【0194】そのためには、上述のプログラムやデータ
を、コンピュータで読み取り可能な記録媒体49に予め
記憶させておく。そして、図37に示すように、媒体駆
動装置46を用いて、記録媒体49からサーバ11用の
プログラム等をサーバ11を実現すべきコンピュータに
読み出させて、そのコンピュータ(サーバ11)のメモ
リ42や外部記憶装置45に一旦格納させ、そのコンピ
ュータ(サーバ11)の有するCPU41にこの格納さ
れたプログラムを読み出させて実行させる。
【0195】同様に、記録媒体49からネットワーク接
続装置20用のプログラム等をネットワーク接続装置2
0を実現すべきコンピュータのメモリ42等に一旦格納
させ、そのコンピュータ(ネットワーク接続装置20)
の有するCPU41に格納されたプログラムを読み出さ
せて実行させる。
【0196】また、記録媒体49からプログラム等を、
サーバ11を実現すべきコンピュータ及びネットワーク
接続装置20を実現すべきコンピュータに読み出させる
代わりに、プログラム(データ)提供者が有するDB5
0から、通信回線(ネットワーク)51を介して、プロ
グラムをそれぞれのコンピュータにダウンロードするこ
ととしてもよい。この場合、例えば、DB50を有しプ
ログラムを送信するコンピュータでは、上記プログラム
を表現するプログラム・データをプログラム・データ・
シグナルに変換し、変換されたプログラム・データ・シ
グナルをモデムを用いて変調することにより伝送信号を
得て、得られた伝送信号を通信回線51(伝送媒体)に
出力する。プログラムを受信するコンピュータでは、受
信した伝送信号をモデムを用いて復調することにより、
プログラム・データ・シグナルを得て、得られたプログ
ラム・データ・シグナルを変換することにより、プログ
ラム・データを得る。
【0197】次に、図38を用いて、サーバ11を実現
すべきコンピュータ及びネットワーク接続装置20を実
現すべきコンピュータへのプログラムやデータのローデ
ィングについて、例を挙げてより詳しく説明する。
【0198】図38に示すように、サーバ11及びネッ
トワーク接続装置20を実現すべきコンピュータは、各
々CPU及びメモリを備え、上述の制御情報通信部31
を介して接続されている。また、例えば、制御情報通信
部31がPCIバスである場合、ネットワーク接続装置
20をPCI用のNIC(Network Interface Card)と
して実現しても良い。
【0199】例えば、サーバ11用のプログラム等及び
ネットワーク接続装置20用のプログラム等(ファーム
ウェア)を記録した記録媒体がある場合、まず、サーバ
11を実現すべきコンピュータに備えられた不図示の媒
体駆動装置を用いて記録媒体からサーバ11用のプログ
ラム等及びネットワーク接続装置20用のプログラム等
をサーバ11のメモリにロードする(矢印A41)。続
いて、サーバ11のメモリに格納されたネットワーク接
続装置20用のプログラム等を、制御情報通信部31を
介してネットワーク接続装置20のメモリにロードする
(矢印42)。このようにして、サーバ11を実現すべ
きコンピュータ及びネットワーク接続装置20を実現す
べきコンピュータに、それぞれに必要なプログラム等を
供給することができる。サーバ11のCPUは、サーバ
11のメモリにロードされたサーバ11用のプログラム
を実行し、ネットワーク接続装置20のCPUは、ネッ
トワーク接続装置20のメモリにロードされたネットワ
ーク接続装置20用のプログラムを実行する。
【0200】また、上述のようにプログラム等を記録媒
体からロードする代わりに、予めROM等に記録してお
くこととしても良い事は言うまでもない。また、記録媒
体のかわりに伝送信号を用いてプログラム等をサーバ1
1を実現すべきコンピュータに供給する事としても良
い。
【0201】また、ネットワーク接続装置20におい
て、CPUの代わりにASIC(Application Specific
Integrated Circuit)を用いて、ネットワーク接続装
置20を構成する各部をハードウェアで構成する事とし
ても良い。
【0202】以上、本発明の実施形態について説明した
が、本発明は上述した実施形態に限定されるものではな
く、他の様々な変更が可能である。 (付記1) ネットワーク接続装置を有するパケット中
継処理装置であって、上記ネットワーク接続装置がセッ
ションを管理するセッション管理部と、上記セッション
管理部によるセッション管理に基づいてパケットを中継
するパケット処理部を備えていることを特徴とするパケ
ット中継処理装置。 (付記2) 上記ネットワーク接続装置は、更に、上記
パケットのルーティング先に関するルーティング情報を
格納するルーティングテーブルと、上記セッションの開
始時に、上記ルーティング情報に基づいて上記パケット
のルーティング先を決定するルーティング処理部を更に
備え、上記パケット処理部は、上記パケットを上記ルー
ティング先に出力する、ことを特徴とする付記1に記載
のパケット中継処理装置。 (付記3) 上記パケット中継処理装置は、更に、サー
バを備え、上記サーバは、上記ルーティングテーブルに
上記ルーティング情報を書き込むネットワーク制御部を
備える、ことを特徴とする付記1に記載のパケット中継
処理装置。 (付記4) 上記パケット中継処理装置は、さらに、サ
ーバを備え、上記サーバは、上記セッションを管理する
外部セッション管理部を備え、上記セッション管理部
は、与えられた条件に応じて上記セッションに関するセ
ッション情報を上記サーバに転送し、上記外部セッショ
ン管理部は、受信した上記セッション情報に基づいて上
記セッションを管理する、ことを特徴とする付記1に記
載のパケット中継処理装置。 (付記5) 上記ネットワーク接続装置は、更に処理振
分部と複数のサービス処理部を備え、上記処理振分部
は、上記パケットに対するサービスの内容に基づいて、
上記複数のサービス処理部のうち少なくとも1つに上記
パケットを振り分け、上記パケットを振り分けられたサ
ービス処理部は、上記パケットに対するサービス処理を
実行する、ことを特徴とする付記1に記載のパケット中
継処理装置。 (付記6) 上記パケット中継処理装置は、更にサーバ
を備え、上記サーバは、外部サービス処理部を備え、上
記処理振分部は、与えられた条件によって、上記パケッ
トを上記サーバに転送し、上記外部サービス処理部は、
受信したパケットに対するサービスを実行する、ことを
特徴とする付記5のパケット中継処理装置。 (付記7) 上記パケット中継処理装置は、サーバを更
に備え、上記サーバは、パケット詳細解析部を備え、上
記ネットワーク接続装置は、更に処理振分部とサービス
処理部を備え、上記処理振分部が、与えられた条件によ
って上記パケットを上記パケット詳細解析部に転送し、
上記パケット詳細解析部は、上記パケットを解析するこ
とにより上記パケットに対するサービス内容を決定し、
決定した上記サービス内容を上記ネットワーク接続装置
に設定し、上記設定後、上記ネットワーク接続装置は、
上記決定されたサービス内容に基づいて上記パケットを
処理する、ことを特徴とする付記1に記載のパケット中
継処理装置。 (付記8) 上記サービス処理部として、上記パケット
のヘッダを書き換える機能を持つことを特徴とする付記
5に記載のパケット中継処理装置。 (付記9) 上記サービス処理部として、パケットを廃
棄する機能を持つことを特徴とする付記5に記載のパケ
ット中継処理装置。 (付記10) 上記サービス処理部は、上記サーバの負
荷分散のために、負荷の振分先を決定する機能を持つこ
とを特徴とする付記5に記載のパケット中継処理装置。 (付記11) 上記ネットワーク接続装置は、上記セッ
ションに関するセッション情報を格納するセッションテ
ーブルと、上記パケットに対するサービスを実行するた
めの規則を記述するポリシーを格納するポリシーテーブ
ルを備え、上記セッション管理部は、上記パケットを受
信した場合、上記パケットに含まれる情報を検索キーと
して用いてセッションテーブルを検索し、上記検索の結
果、該当するセッション情報が上記セッションテーブル
に登録されていない場合には、上記セッション管理部
は、さらに上記パケットに含まれる情報を検索キーに基
づいて、上記ポリシーテーブルから上記ポリシーを取得
し、上記取得したポリシーに基づいて、上記セッション
情報を上記セッションテーブルに書き込み、上記検索の
結果、該当するセッション情報が上記セッションテーブ
ルに登録されている場合には、上記セッション管理部
は、上記セッションの状態に基づいて、上記セッション
テーブルに格納されたセッション情報を管理することを
特徴とする付記5に記載のパケット中継処理装置。 (付記12) 上記パケット中継処理装置はサーバを備
え、上記サーバは、上記ポリシーを上記ポリシーテーブ
ルに書き込むサービス制御部を備える、ことを特徴とす
る付記11に記載のパケット中継処理装置。 (付記13) 上記セッションテーブルを検索する際の
上記検索キーが、IPパケットの宛先及び送信元IPア
ドレス、プロトコル、宛先及び送信元ポート番号、入力
インタフェースを含むことを特徴とする付記11に記載
のパケット中継処理装置。 (付記14)上記セッションテーブルが、上記検索キ
ー、上記セッションの状態、適用サービス及び上記適用
サービスに固有な情報をエントリとしてを持つことを特
徴とする付記11に記載のパケット中継処理装置。 (付記15) 上記ポリシーテーブルが、IPパケット
の宛先及び送信元IPアドレス、プロトコル、宛先及び
送信元ポート番号、適用サービスと上記適用サービスに
固有な情報、優先度をエントリとして持つことを特徴と
する付記11に記載のパケット中継処理装置。 (付記16) 上記セッション管理部は、更に、上記セ
ッションが終了してから所定時間経過した後に、上記終
了したセッションに関するセッション情報を上記セッシ
ョンテーブルから削除することを特徴とする付記1に記
載のパケット中継処理装置。 (付記17) 上記ネットワーク接続装置は、更に、パ
ケットに関する統計情報を取得するためのカウンタを備
えることを特徴とする付記1に記載のパケット中継処理
装置。 (付記18) 複数のポリシーは複数のグループに分け
られ、上記ネットワーク接続装置は、更に、上記グルー
プ毎に各ポリシーが有効であるか否かを設定することを
特徴とする付記11に記載のパケット中継処理装置。 (付記19) 上記ネットワーク接続装置は、更に、上
記パケットのログを採取するために、上記パケットの少
なくとも一部を上記サーバに転送することを特徴とする
付記12に記載のパケット中継処理装置。 (付記20) 上記パケットの一部は、上記パケットの
ヘッダであることを特徴とする付記18に記載のパケッ
ト中継処理装置。 (付記21) 上記セッション情報は、上記サーバに上
記パケットを転送するべきか否かを示すサーバ転送指示
情報を含み、上記処理振分部は、上記サーバ転送指示情
報に基づいて、上記パケットを上記サーバへの転送を行
うか否かを決定する事を特徴とする付記12に記載のパ
ケット中継処理装置。 (付記22) 上記パケット詳細解析部は、更に、上記
サーバに転送された上記パケットがHTTPプロトコル
のGETパケットである場合、上記パケットに含まれる
URL(Uniform Resource Loca
tor)に基づいて、上記パケットに対するサービスを
決定する、ことを特徴とする付記7に記載のパケット中
継処理装置。 (付記23) 上記パケット詳細解析部は、更に、上記
サーバに転送された上記パケットがFTPプロトコルの
PORT命令、或いはPASV命令のACKである場
合、上記セッションのデータコネクションのIPアドレ
スとポート番号に基づいて、上記パケットに対するサー
ビスを決定する、ことを特徴とする付記7に記載のパケ
ット中継処理装置。 (付記24) 上記パケット詳細解析部は、上記サーバ
の負荷を分散させる処理を行う場合、上記負荷の振分先
となる振分先サーバが決定されるまで、上記振分先サー
バに代わって応答することを特徴とする付記7に記載の
パケット中継処理装置。 (付記25) 上記パケット詳細解析部は、上記パケッ
トを解析することにより、上記セッションテーブルに、
上記パケットに対するサービスの種類、変換用IPアド
レス及びポート番号、シーケンス番号及びACK番号差
分を書き込む、ことを特徴とする付記21に記載のパケ
ット中継処理装置。 (付記26) パケット中継処理装置におけるネットワ
ーク接続装置であって、上記ネットワーク接続装置がセ
ッションを管理するセッション管理部と、上記セッショ
ン管理部によるセッション管理に基づいてパケットを中
継するパケット処理部を備えていることを特徴とするネ
ットワーク接続装置。 (付記27) 上記ネットワーク接続装置は、与えられ
た条件に応じて上記セッションに関するセッション情報
を上記パケット中継処理装置に備えられたサーバに転送
するサーバ転送部を備え、上記サーバは転送された上記
セッション情報により上記セッションの管理を行うこと
を特徴とする付記26のネットワーク接続装置。 (付記28) 上記ネットワーク接続装置は処理振分部
と複数のサービス処理部を更に備え、上記処理振分部
は、上記パケットに対するサービスの内容に基づいて、
上記複数のサービス処理部のうち少なくとも1つに上記
パケットを振り分け、上記パケットを振り分けられたサ
ービス処理部は、上記パケットに対するサービス処理を
実行する、ことを特徴とする付記26のネットワーク接
続装置。 (付記29) 上記処理振分部は、与えられた条件によ
って、上記パケットを上記パケット中継処理装置に備え
られたサーバに転送し、上記サーバに上記パケットに対
するサービス処理を実行させることを特徴とする付記2
6のネットワーク接続装置。 (付記30) 上記ネットワーク接続装置が処理振分部
とサービス処理部を更に備え、上記処理振分部は、与え
られた条件によって上記パケットをパケット中継処理装
置に備えられたサーバに、上記パケットに対するサービ
スを決定するために転送し、上記サービス処理部は、上
記サーバによるサービスの決定以後、上記サーバで決定
したサービス内容に基づいて上記セッションのパケット
を処理することを特徴とする付記26のネットワーク接
続装置。 (付記31) パケットを中継する制御を、ネットワー
ク接続装置に備えられたコンピュータに実行させるプロ
グラムであって、セッションを管理し、上記セッション
管理に基づいて上記パケットを中継することを含む処理
を上記コンピュータに実行させることを特徴とするプロ
グラム。 (付記32) 与えられた条件に応じて上記セッション
に関するセッション情報を上記ネットワーク接続装置に
接続されたサーバに、上記サーバに上記セッションの管
理を行わせるために転送する、ことを更に含む処理を上
記コンピュータに実行させることを特徴とする付記31
に記載のプログラム。 (付記33) 上記パケットに対するサービスの内容に
基づいて、上記サービスに対応する処理を行う装置又は
プログラムセグメントに、上記パケットを振り分ける、
ことを更に含む処理を上記コンピュータに実行させるこ
とを特徴とする付記31に記載のプログラム。 (付記34) 与えられた条件に応じて上記パケットを
上記ネットワーク接続装置に接続されたサーバに、上記
サーバに上記パケットに対するサービスを実行させるた
めに転送する、ことを更に含む処理を上記コンピュータ
に実行させることを特徴とする付記33に記載のプログ
ラム。 (付記35) 与えられた条件に応じて、上記ネットワ
ーク接続装置に接続されたサーバへ、上記パケットに対
するサービスを決定するために上記パケットを転送し、
上記サーバによる上記パケットに対するサービスの決定
以後、上記決定されたサービス内容に基づきパケットを
処理することを含む処理を上記コンピュータに実行させ
ること特徴とする付記31に記載のプログラム。 (付記36) パケットを中継する機能を有するネット
ワーク接続装置に接続されたサーバに実行させるプログ
ラムであって、上記ネットワーク接続装置が上記パケッ
トを処理するために、上記パケットに対するサービスを
実行するための規則を記述するポリシーを上記ネットワ
ーク接続装置に設定する、 .こ
とを含む処理を上記サーバに実行させることを特徴とす
るプログラム。 (付記37) 上記ネットワーク接続装置から転送され
た上記パケットを受信し、受信した上記パケットに対す
るサービスを実行する、ことを含む処理を上記サーバに
実行させることを特徴とする付記36に記載のプログラ
ム。 (付記38) パケットを中継する機能を有するネット
ワーク接続装置に接続されたサーバに実行させるプログ
ラムであって、上記ネットワーク接続装置から転送され
た上記パケットを受信し、上記パケットを解析すること
により、上記パケットに対するサービスの内容を決定
し、上記決定されたサービス内容に基づいて上記ネット
ワーク接続装置に上記パケットを処理させるために、該
決定されたサービスの内容を上記ネットワーク接続装置
に設定する、ことを含む処理を上記サーバに実行させる
ことを特徴とするプログラム。 (付記39) パケットを中継する制御を、ネットワー
ク接続装置に備えられたコンピュータに実行させるプロ
グラムを記録した記録媒体であって、セッションを管理
し、上記セッション管理に基づいて上記パケットを中継
することを含む処理を上記コンピュータに実行させるプ
ログラムを記録した記録媒体。 (付記40) 与えられた条件に応じて上記セッション
に関するセッション情報を上記ネットワーク接続装置に
接続されたサーバに、上記サーバに上記セッションの管
理を行わせるために転送する、ことを更に含む処理を上
記コンピュータに実行させるプログラムを記録した付記
39に記載の記録媒体。 (付記41) 上記パケットに対するサービスの内容に
基づいて、上記サービスに対応する処理を行う装置又は
プログラムセグメントに、上記パケットを振り分ける、
ことを更に含む処理を上記コンピュータに実行させるプ
ログラムを記録した付記39に記載の記録媒体。 (付記42) 与えられた条件に応じて上記パケット
を上記ネットワーク接続装置に接続されたサーバに、上
記サーバに上記パケットに対するサービスを実行させる
ために転送する、ことを更に含む処理を上記コンピュー
タに実行させるプログラムを記録した付記39に記載の
記録媒体。 (付記43) 与えられた条件に応じて、上記ネット
ワーク接続装置に接続されたサーバへ、上記パケットに
対するサービスを決定するために上記パケットを転送
し、上記サーバによる上記パケットに対するサービスの
決定以後、上記決定されたサービス内容に基づきパケッ
トを処理することを更に含む処理を上記コンピュータに
実行させるプログラムを記録した付記39に記載の記録
媒体。 (付記44) パケットを中継する機能を有するネット
ワーク接続装置に接続されたサーバに実行させるプログ
ラムを記録した記録媒体であって、上記ネットワーク接
続装置が上記パケットを処理するために、上記パケット
に対するサービスを実行するための規則を記述するポリ
シーを上記ネットワーク接続装置に設定する、
.ことを含む処理を上記サーバに実行さ
せるプログラムを記録した記録媒体。 (付記45) 上記ネットワーク接続装置から転送され
た上記パケットを受信し、受信した上記パケットに対す
るサービスを実行する、ことを更に含む処理を上記サー
バに実行させるプログラムを記録した付記44に記載の
記録媒体。 (付記46) パケットを中継する機能を有するネット
ワーク接続装置に接続されたサーバに実行させるプログ
ラムを記録した記録媒体であって、上記ネットワーク接
続装置から転送された上記パケットを受信し、上記パケ
ットを解析することにより、上記パケットに対するサー
ビスの内容を決定し、上記決定されたサービス内容に基
づいて上記ネットワーク接続装置に上記パケットを処理
させるために、該決定されたサービスの内容を上記ネッ
トワーク接続装置に設定する、ことを含む処理を上記サ
ーバに実行させるプログラムを記録した記録媒体。
【0203】
【発明の効果】以上説明したように、本発明において
は、以下の効果を得ることができる。 (1)上記ネットワーク接続装置にセッション管理に基
づくパケット中継処理部を設け、ネットワーク接続装置
により、セッション管理に基づく中継処理を行うように
する。これにより、サーバのCPU使用率を下げること
ができる。また、ネットワーク接続装置上でセッション
管理を行い、セッション開始時にセッションテーブルに
出力先を登録することにより、セッションの途中でルー
ティングテーブルが変更されても、現在継続中のセッシ
ョンについては、一貫性を保持できる。 (2)パケット中継処理装置のサーバに外部セッション
管理機能を設け、ネットワーク接続装置からセッション
情報を上記サーバに転送し、サーバによりセッション管
理を行うことにより、セッション数がネットワーク接続
装置のセッションテーブル登録数を上回った場合でも、
ネットワーク接続装置で溢れた分をサーバで管理するこ
とができる。 〈3〉処理振分部と複数のサービス処理部をサーバに比
べ高速に処理できるネットワーク接続装置に配置するこ
とにより、サーバのCPUの使用率を小さくすることが
できるとともに、サービス処理を高速化することができ
る。 (4)サーバに外部サービス処理部を設け、サービス処
理を、ネットワーク接続装置とサーバの両方で実行でき
るようにすることにより、ネットワーク接続装置2上で
実現するのは困難なサービス処理をサーバで行うことが
でき、ネットワーク接続装置が上記決定されたサービス
内容に基づき中継処理を行うようにすることにより、サ
ーバで全ての処理を行う場合に比べ、サービス処理を高
速に実現することが可能となる。
【図面の簡単な説明】
【図1】本発明の概要を説明する図である。
【図2】本発明の第1の実施例のパケット中継処理装置
の構成を示す図である。
【図3】転送パケットのフレーム構成を示す図である。
【図4】パケット処理部の処理フローを示す図である。
【図5】セッション管理部の処理フローを示す図であ
る。
【図6】セッションテーブルの構成例を示す図である。
【図7】TCPの状態遷移を示す図である。
【図8】TCPのセッション開始からセッション終了ま
での状態遷移を説明する図である。
【図9】UDPの状態遷移を示す図である。
【図10】本発明の第2の実施例のパケット中継処理装
置の構成を示す図である。
【図11】第2の実施例のセッション管理部、外部セッ
ション管理部における処理フローを示す図である。
【図12】本発明の第3の実施例のパケット中継処理装
置の構成を示す図である。
【図13】第3実施例に係わるセッションテーブルの構
成例を示す図である。
【図14】第3実施例にかかわるポリシーテーブルの構
成例を示す図である。
【図15】本発明の第3の実施例のセッション管理部の
処理フローを示す図である。
【図16】第3の実施例の処理振分部及びサービス処理
部における処理フローを示す図である。
【図17】第3実施例におけるポリシー検索終了後の負
荷分散サービスでのパケッフローを示す図である。
【図18】本発明の第4の実施例のパケット中継処理装
置の構成を示す図である。
【図19】第4の実施例に係わる処理振分部、サービス
処理部及び外部サービス処理部における処理の手順を示
すフローチャートである。
【図20】本発明の第5の実施例のパケット中継処理装
置の構成を示す図である。
【図21】第5実施例に係わるセッションテーブルの一
例を示す図(その1)である。
【図22】第5実施例に係わるセッションテーブルの一
例を示す図(その2)である。
【図23】第5実施例におけるパケット詳細解析終了後
のセッションテーブルの一例を示す図(その1)であ
る。
【図24】第5実施例におけるパケット詳細解析終了後
のセッションテーブルの一例を示す図(その2)であ
る。
【図25】詳細解析用セッションテーブルの構成例を示
す図である。
【図26】詳細解析用ポリシーテーブルの構成例を示す
図である。
【図27】第5実施例に係わるパケット中継処理装置の
動作概念を示す図である。
【図28】第5の実施例に係わる処理振分部、サービス
処理部及びパケット詳細解析部における処理の手順を示
すフローチャートである。
【図29】パケット詳細解析部における処理の手順を示
すフローチャートである。
【図30】URLフィルタリングの動作を説明する図で
ある。
【図31】URL負荷分散サービスの動作を説明する図
である。
【図32】FTPフィルタリングの動作を説明する図で
ある。
【図33】第5実施例における詳細解析前のURL負荷
分散サービスでのパケットフローを示す図である。
【図34】第5実施例における詳細解析後のURL負荷
分散サービスでのパケットフローを示す図である。
【図35】フラグテーブルのデータ構造の一例を示す図
である。
【図36】コンピュータの構成図である。
【図37】コンピュータにプログラムやデータを供給す
る記録媒体や伝送信号を説明する図である。
【図38】サーバ及びネットワーク接続装置へのプログ
ラムやデータのローディングを説明する図である。
【図39】従来のパケット中継処理装置の構成を示す図
である。
【符合の説明】
1 サーバ 2 ネットワーク接続装置 11 サーバ 12 ネットワーク制御部 13 外部セッション管理部 13a 外部セッションテーブル 14 サービス制御部 15 外部サービス処理部 16 パケット詳細解析部 20 ネットワーク接続装置 21 パケット処理部 22 セッション管理部 22a セッションテーブル 22a’セッションテーブル 23 ルーティング処理部 23a ルーティングテーブル 24 サーバ転送部 25 ポリシーテーブル 26 処理振分部 27 サービス処理部 30 ネットワーク接続部 31 制御情報通信部 32 セッション情報通信部 33 パケット通信路 40 コンピュータ 41 CPU 42 メモリ 43 入力装置 44 出力装置 45 外部記憶装置 46 媒体駆動装置 47 ネットワークインターフェース 48 バス 49 可搬記録媒体 50 データベース 51 回線 A 矢印 P パケット S ステップ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 栗田 敏彦 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 勝山 恒男 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 川崎 健 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 高場 浩一 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 ▲蔭▼山 博靖 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 Fターム(参考) 5K030 GA01 GA05 HA08 HD03 JT06 KA05 LB05

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】 ネットワーク接続装置を有するパケット
    中継処理装置であって、 上記ネットワーク接続装置がセッションを管理するセッ
    ション管理部と、 上記セッション管理部によるセッション管理に基づいて
    パケットを中継するパケット処理部を備えていることを
    特徴とするパケット中継処理装置。
  2. 【請求項2】 上記ネットワーク接続装置は、更に、上
    記パケットのルーティング先に関するルーティング情報
    を格納するルーティングテーブルと、 上記セッションの開始時に、上記ルーティング情報に基
    づいて上記パケットのルーティング先を決定するルーテ
    ィング処理部を更に備え、 上記パケット処理部は、上記パケットを決定された上記
    ルーティング先に出力する、 ことを特徴とする請求項1に記載のパケット中継処理装
    置。
  3. 【請求項3】 上記パケット中継処理装置は、更に、サ
    ーバを備え、 上記サーバは、上記ルーティングテーブルに上記ルーテ
    ィング情報を書き込むネットワーク制御部を備える、 ことを特徴とする請求項2に記載のパケット中継処理装
    置。
  4. 【請求項4】 上記パケット中継処理装置は、さらに、
    サーバを備え、 上記サーバは、上記セッションを管理する外部セッショ
    ン管理部を備え、 上記セッション管理部は、与えられた条件に応じて上記
    セッションに関するセッション情報を上記サーバに転送
    し、 上記外部セッション管理部は、受信した上記セッション
    情報に基づいて上記セッションを管理する、ことを特徴
    とする請求項1に記載のパケット中継処理装置。
  5. 【請求項5】 上記ネットワーク接続装置は、更に処理
    振分部と複数のサービス処理部を備え、 上記処理振分部は、上記パケットに対するサービスの内
    容に基づいて、上記複数のサービス処理部のうち少なく
    とも1つに上記パケットを振り分け、 上記パケットを振り分けられたサービス処理部は、上記
    パケットに対するサービス処理を実行する、ことを特徴
    とする請求項1に記載のパケット中継処理装置。
  6. 【請求項6】 上記パケット中継処理装置は、更にサー
    バを備え、 上記サーバは、外部サービス処理部を備え、 上記処理振分部は、与えられた条件によって、上記パケ
    ットを上記サーバに転送し、 上記外部サービス処理部は、受信したパケットに対する
    サービスを実行する、ことを特徴とする請求項5に記載
    のパケット中継処理装置。
  7. 【請求項7】 上記パケット中継処理装置は、サーバを
    更に備え、 上記サーバは、パケット詳細解析部を備え、 上記ネットワーク接続装置は、更に処理振分部とサービ
    ス処理部を備え、 上記処理振分部が、与えられた条件によって上記パケッ
    トを上記パケット詳細解析部に転送し、 上記パケット詳細解析部は、上記パケットを解析するこ
    とにより上記パケットに対するサービス内容を決定し、
    決定した上記サービス内容を上記ネットワーク接続装置
    に設定し、 上記設定後、上記ネットワーク接続装置は、上記決定さ
    れたサービス内容に基づいて上記パケットを処理する、
    ことを特徴とする請求項1に記載のパケット中継処理装
    置。
  8. 【請求項8】 上記ネットワーク接続装置は、上記セッ
    ションに関するセッション情報を格納するセッションテ
    ーブルと、上記パケットに対するサービスを実行するた
    めの規則を記述するポリシーを格納するポリシーテーブ
    ルを備え、 上記セッション管理部は、上記パケットを受信した場
    合、上記パケットに含まれる情報を検索キーとして用い
    てセッションテーブルを検索し、 上記検索の結果、該当するセッション情報が上記セッシ
    ョンテーブルに登録されていない場合には、上記セッシ
    ョン管理部は、さらに上記パケットに含まれる情報を検
    索キーに基づいて、上記ポリシーテーブルから上記ポリ
    シーを取得し、上記取得したポリシーに基づいて、上記
    セッション情報を上記セッションテーブルに書き込み、 上記検索の結果、該当するセッション情報が上記セッシ
    ョンテーブルに登録されている場合には、上記セッショ
    ン管理部は、上記セッションの状態に基づいて、上記セ
    ッションテーブルに格納されたセッション情報を管理す
    ることを特徴とする請求項5又は請求項6に記載のパケ
    ット中継処理装置。
  9. 【請求項9】 上記パケット中継処理装置はサーバを備
    え、 上記サーバは、上記ポリシーを上記ポリシーテーブルに
    書き込むサービス制御部を備える、 ことを特徴とする請求項8に記載のパケット中継処理装
    置。
  10. 【請求項10】 上記セッション管理部は、更に、上記
    セッションが終了してから所定時間経過した後に、上記
    終了したセッションに関するセッション情報を上記セッ
    ションテーブルから削除することを特徴とする請求項1
    乃至請求項9いずれか1項に記載のパケット中継処理装
    置。
  11. 【請求項11】 上記ネットワーク接続装置は、更に、
    パケットに関する統計情報を取得するためのカウンタを
    備えることを特徴とする請求項1乃至請求項10のいず
    れか1項に記載のパケット中継処理装置。
  12. 【請求項12】 複数のポリシーは複数のグループに分
    けられ、 上記ネットワーク接続装置は、更に、上記グループ毎に
    各ポリシーが有効であるか否かを設定することを特徴と
    する請求項8又は請求項9に記載のパケット中継処理装
    置。
  13. 【請求項13】 上記ネットワーク接続装置は、更に、
    上記パケットのログを採取するために、上記パケットの
    少なくとも一部を上記サーバに転送することを特徴とす
    る請求項9に記載のパケット中継処理装置。
  14. 【請求項14】 上記セッション情報は、上記サーバに
    上記パケットを転送するべきか否かを示すサーバ転送指
    示情報を含み、上記処理振分部は、上記サーバ転送指示
    情報に基づいて、上記パケットを上記サーバへの転送を
    行うか否かを決定する事を特徴とする請求項9に記載の
    パケット中継処理装置。
  15. 【請求項15】 上記パケット詳細解析部は、更に、上
    記サーバに転送された上記パケットがHTTPプロトコ
    ルのGETパケットである場合、上記パケットに含まれ
    るURL(Uniform Resource Loc
    ator)に基づいて、上記パケットに対するサービス
    を決定する、ことを特徴とする請求項7に記載のパケッ
    ト中継処理装置。
  16. 【請求項16】 上記パケット詳細解析部は、更に、上
    記サーバに転送された上記パケットがFTPプロトコル
    のPORT命令、或いはPASV命令のACKである場
    合、上記セッションのデータコネクションのIPアドレ
    スとポート番号に基づいて、上記パケットに対するサー
    ビスを決定する、ことを特徴とする請求項7に記載のパ
    ケット中継処理装置。
  17. 【請求項17】 上記パケット詳細解析部は、上記サー
    バの負荷を分散させる処理を行う場合、上記負荷の振分
    先となる振分先サーバが決定されるまで、上記振分先サ
    ーバに代わって応答することを特徴とする請求項7に記
    載のパケット中継処理装置。
  18. 【請求項18】 上記パケット詳細解析部は、上記パケ
    ットを解析することにより、上記セッションテーブル
    に、上記パケットに対するサービスの種類、変換用IP
    アドレス及びポート番号、シーケンス番号及びACK番
    号差分を書き込む、ことを特徴とする請求項7に記載の
    パケット中継処理装置。
  19. 【請求項19】 パケット中継処理装置におけるネット
    ワーク接続装置であって、 上記ネットワーク接続装置がセッションを管理するセッ
    ション管理部と、 上記セッション管理部によるセッション管理に基づいて
    パケットを中継するパケット処理部を備えていることを
    特徴とするネットワーク接続装置。
  20. 【請求項20】 パケットを中継する制御を、ネットワ
    ーク接続装置に備えられたコンピュータに実行させるプ
    ログラムであって、 セッションを管理し、 上記セッション管理に基づいて上記パケットを中継する
    ことを含む処理を上記コンピュータに実行させることを
    特徴とするプログラム。
JP2001308387A 2001-03-27 2001-10-04 パケット中継処理装置 Expired - Fee Related JP3963690B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2001308387A JP3963690B2 (ja) 2001-03-27 2001-10-04 パケット中継処理装置
US10/056,091 US7107348B2 (en) 2001-03-27 2002-01-28 Packet relay processing apparatus
US11/279,338 US7433958B2 (en) 2001-03-27 2006-04-11 Packet relay processing apparatus

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001-90122 2001-03-27
JP2001090122 2001-03-27
JP2001308387A JP3963690B2 (ja) 2001-03-27 2001-10-04 パケット中継処理装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2006297354A Division JP4365397B2 (ja) 2001-03-27 2006-11-01 パケット中継処理装置

Publications (2)

Publication Number Publication Date
JP2002359637A true JP2002359637A (ja) 2002-12-13
JP3963690B2 JP3963690B2 (ja) 2007-08-22

Family

ID=26612191

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001308387A Expired - Fee Related JP3963690B2 (ja) 2001-03-27 2001-10-04 パケット中継処理装置

Country Status (2)

Country Link
US (2) US7107348B2 (ja)
JP (1) JP3963690B2 (ja)

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006186877A (ja) * 2004-12-28 2006-07-13 Fujitsu Ltd パケットフィルタ同期方法及びパケット中継システム
JP2006287932A (ja) * 2005-04-01 2006-10-19 Internatl Business Mach Corp <Ibm> ネットワーク接続テーブルを提供するための方法および装置
JP2007173925A (ja) * 2005-12-19 2007-07-05 Fujitsu Ltd パケット中継システム
JP2008005078A (ja) * 2006-06-21 2008-01-10 Nec Corp 中継通信システム、中継装置及びそれらに用いるセッション別帯域制御方法並びにそのプログラム
JP2008537421A (ja) * 2005-04-21 2008-09-11 ノキア コーポレイション 通信システム内の接続を確立する方法
US7532619B2 (en) 2003-05-26 2009-05-12 Nec Corporation Packet transfer apparatus with multiple general-purpose processors
US7613825B2 (en) 2004-03-31 2009-11-03 Fujitsu Limited Hierarchical packet processing system and method, relay device and server
JP2009260988A (ja) * 2003-08-13 2009-11-05 Microsoft Corp ルーティングヒント
US7792133B2 (en) 2003-05-29 2010-09-07 Nec Corporation Packet relay device and packet method, and program
JP2010244501A (ja) * 2009-03-19 2010-10-28 Fujitsu Ltd 一意性保証支援プログラム、サービス提供システム、及び一意性保証実現方法
JP2011077768A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd 通信装置および通信制御方法
JP2011217336A (ja) * 2010-03-31 2011-10-27 Nextech:Kk 情報処理装置、プログラム、情報処理方法、および情報処理システム
JP2011259276A (ja) * 2010-06-10 2011-12-22 Nec Corp ルーティング管理システム、その処理方法及びプログラム
WO2012026042A1 (ja) 2010-08-27 2012-03-01 富士通株式会社 セッション確立装置、セッション確立方法及びセッション確立プログラム
JP2012044403A (ja) * 2010-08-18 2012-03-01 Nippon Telegr & Teleph Corp <Ntt> サービス振分方法およびサービス振分装置
US8266294B2 (en) 2003-08-13 2012-09-11 Microsoft Corporation Routing hints
JP2012527711A (ja) * 2009-07-24 2012-11-08 インテル コーポレイション 明示的な管理交渉を行わないQoSパケット処理
JP2012226654A (ja) * 2011-04-21 2012-11-15 Mitsubishi Electric Corp 情報処理装置
JP2013514691A (ja) * 2009-12-17 2013-04-25 アルカテル−ルーセント 複数のデータを処理するための方法および通信パケットをスイッチングするためのスイッチングデバイス
JP2013098880A (ja) * 2011-11-04 2013-05-20 Hitachi Ltd フィルタリングシステムおよびフィルタリング方法
JPWO2011099320A1 (ja) * 2010-02-12 2013-06-13 株式会社日立製作所 情報処理装置、情報処理システム、及び情報処理方法
US8689315B2 (en) 2003-06-06 2014-04-01 Microsoft Corporation Method for managing network filter based policies
US8918525B2 (en) 2003-08-13 2014-12-23 Microsoft Corporation Routing hints
JP2015091107A (ja) * 2013-11-07 2015-05-11 富士通株式会社 転送プログラム、装置、及び方法
JP2015525549A (ja) * 2013-06-03 2015-09-03 ▲ホア▼▲ウェイ▼技術有限公司 サービスプロセス制御方法およびネットワークデバイス

Families Citing this family (97)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7984157B2 (en) * 2002-02-26 2011-07-19 Citrix Systems, Inc. Persistent and reliable session securely traversing network components using an encapsulating protocol
US7315541B1 (en) * 2002-04-03 2008-01-01 Cisco Technology, Inc. Methods and apparatus for routing a content request
US7676579B2 (en) * 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
US7243141B2 (en) * 2002-05-13 2007-07-10 Sony Computer Entertainment America, Inc. Network configuration evaluation
US7917638B1 (en) 2002-05-31 2011-03-29 Barry Appelman Transparent reconnection
US7886365B2 (en) * 2002-06-11 2011-02-08 Panasonic Corporation Content-log analyzing system and data-communication controlling device
US20050021526A1 (en) * 2002-07-11 2005-01-27 International Business Machines Corporation Method for ensuring the availability of a service proposed by a service provider
RU2343639C2 (ru) * 2002-07-25 2009-01-10 Байо-Ки Интернэшнл, Инк. Высоконадежное биометрическое устройство
US8224985B2 (en) 2005-10-04 2012-07-17 Sony Computer Entertainment Inc. Peer-to-peer communication traversing symmetric network address translators
US8060626B2 (en) 2008-09-22 2011-11-15 Sony Computer Entertainment America Llc. Method for host selection based on discovered NAT type
US7467227B1 (en) * 2002-12-31 2008-12-16 At&T Corp. System using policy filter decision to map data traffic to virtual networks for forwarding the traffic in a regional access network
JP2004246715A (ja) * 2003-02-14 2004-09-02 Fujitsu Ltd 認証情報処理方法
US7409451B1 (en) * 2003-05-30 2008-08-05 Aol Llc, A Delaware Limited Liability Company Switching between connectivity types to maintain connectivity
KR100548154B1 (ko) * 2003-06-11 2006-01-31 (주)엔텔스 유무선 통신망에서의 패킷 전송 제어 및 패킷 과금 데이터생성을 위한 방법 및 장치
US7302491B2 (en) * 2003-07-31 2007-11-27 International Business Machines Corporation System and method of reducing data corruption due to recycled IP identification numbers
US9270643B2 (en) * 2003-11-21 2016-02-23 Intel Corporation State-transition based network intrusion detection
EP1589725B1 (en) * 2003-12-23 2007-02-07 Alcatel Method for operating a symmetric network address translation
JP2005204002A (ja) * 2004-01-15 2005-07-28 Fujitsu Ltd パケット中継装置
KR101042745B1 (ko) * 2004-01-30 2011-06-20 삼성전자주식회사 클라이언트 단말장치와 서버 사이의 세션 재설정을 위한시스템 및 방법
US7751327B2 (en) * 2004-02-25 2010-07-06 Nec Corporation Communication processing system, packet processing load balancing device and packet processing load balancing method therefor
JP4028853B2 (ja) * 2004-03-30 2007-12-26 株式会社日立製作所 情報サービス通信ネットワークシステムおよびセッション管理サーバ
US20050289244A1 (en) * 2004-06-28 2005-12-29 Himansu Sahu Method for service chaining in a communication network
JP4407556B2 (ja) * 2005-03-29 2010-02-03 日本電気株式会社 セッション中継装置、セッション中継方法およびプログラム
US7826487B1 (en) 2005-05-09 2010-11-02 F5 Network, Inc Coalescing acknowledgement responses to improve network communications
US7639613B1 (en) * 2005-06-24 2009-12-29 Packeteer, Inc. Adaptive, flow-based network traffic measurement and monitoring system
US20070102633A1 (en) * 2005-11-10 2007-05-10 Kresie Karl K Mass spectrometer having an embedded web server
JP3920305B1 (ja) * 2005-12-12 2007-05-30 株式会社日立コミュニケーションテクノロジー パケット転送装置
DE102005063048B4 (de) * 2005-12-29 2014-08-21 Nokia Siemens Networks Gmbh & Co. Kg Vermittlungseinheit für ein IP Multimedia Subsystem
US8533808B2 (en) * 2006-02-02 2013-09-10 Check Point Software Technologies Ltd. Network security smart load balancing using a multiple processor device
US9137204B2 (en) * 2006-02-02 2015-09-15 Check Point Software Technologies Ltd. Network security smart load balancing
US7827280B2 (en) * 2006-02-28 2010-11-02 Red Hat, Inc. System and method for domain name filtering through the domain name system
JP2007266850A (ja) * 2006-03-28 2007-10-11 Fujitsu Ltd 伝送装置
EP2031803B1 (en) * 2006-06-05 2012-05-30 Hitachi, Ltd. Relay network system and terminal adapter apparatus
US8332925B2 (en) * 2006-08-08 2012-12-11 A10 Networks, Inc. System and method for distributed multi-processing security gateway
US7995478B2 (en) 2007-05-30 2011-08-09 Sony Computer Entertainment Inc. Network communication with path MTU size discovery
US8559423B2 (en) * 2007-07-27 2013-10-15 Hangzhou H3C Technologies Co., Ltd. Method and apparatus for packet processing
US7933273B2 (en) * 2007-07-27 2011-04-26 Sony Computer Entertainment Inc. Cooperative NAT behavior discovery
US7680978B1 (en) * 2007-09-05 2010-03-16 Juniper Networks, Inc. Reducing content addressable memory (CAM) power consumption counters
US7916728B1 (en) 2007-09-28 2011-03-29 F5 Networks, Inc. Lockless atomic table update
JP4922120B2 (ja) * 2007-10-05 2012-04-25 株式会社オートネットワーク技術研究所 通信システム及び中継装置
US7908393B2 (en) 2007-12-04 2011-03-15 Sony Computer Entertainment Inc. Network bandwidth detection, distribution and traffic prioritization
US8229969B1 (en) * 2008-03-04 2012-07-24 Open Invention Network Llc Maintaining web session data spanning multiple application servers in a session database
US7856506B2 (en) 2008-03-05 2010-12-21 Sony Computer Entertainment Inc. Traversal of symmetric network address translator for multiple simultaneous connections
US8306036B1 (en) 2008-06-20 2012-11-06 F5 Networks, Inc. Methods and systems for hierarchical resource allocation through bookmark allocation
US8769681B1 (en) 2008-08-11 2014-07-01 F5 Networks, Inc. Methods and system for DMA based distributed denial of service protection
JP5493479B2 (ja) * 2008-10-03 2014-05-14 富士通株式会社 サービス提供システム、方法、一意性保証情報設定管理プログラム、負荷分散プログラム、及び管理装置
US8447884B1 (en) 2008-12-01 2013-05-21 F5 Networks, Inc. Methods for mapping virtual addresses to physical addresses in a network device and systems thereof
US8880632B1 (en) 2009-01-16 2014-11-04 F5 Networks, Inc. Method and apparatus for performing multiple DMA channel based network quality of service
US8112491B1 (en) 2009-01-16 2012-02-07 F5 Networks, Inc. Methods and systems for providing direct DMA
US8880696B1 (en) 2009-01-16 2014-11-04 F5 Networks, Inc. Methods for sharing bandwidth across a packetized bus and systems thereof
US8103809B1 (en) * 2009-01-16 2012-01-24 F5 Networks, Inc. Network devices with multiple direct memory access channels and methods thereof
US9152483B2 (en) 2009-01-16 2015-10-06 F5 Networks, Inc. Network devices with multiple fully isolated and independently resettable direct memory access channels and methods thereof
CN101834777B (zh) * 2009-03-11 2015-07-29 瞻博网络公司 基于会话高速缓存的http加速
CN102577275B (zh) 2009-09-10 2016-05-04 日本电气株式会社 中继控制设备、中继控制系统、中继控制方法
JP5273002B2 (ja) * 2009-09-30 2013-08-28 ブラザー工業株式会社 通信システム、通信制御装置、通信制御方法、及び通信制御プログラム
US9313047B2 (en) 2009-11-06 2016-04-12 F5 Networks, Inc. Handling high throughput and low latency network data packets in a traffic management device
US20110137909A1 (en) * 2009-12-07 2011-06-09 Sap Ag Location independent execution of user interface operations
JP5382451B2 (ja) * 2010-01-29 2014-01-08 日本電気株式会社 フロントエンドシステム、フロントエンド処理方法
CN102893558B (zh) * 2010-02-23 2015-11-25 Lg电子株式会社 用于家庭网络系统中的会话路由的方法和设备
KR100994076B1 (ko) * 2010-04-12 2010-11-12 주식회사 나우콤 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법
CN103262505B (zh) * 2010-10-22 2016-06-01 瑞典爱立信有限公司 使用网络地址转换的网络业务的区分处理
JP2012156698A (ja) * 2011-01-25 2012-08-16 Hitachi Ltd 中継装置、通信ネットワークシステム、及び、負荷分散方法
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
JP5729209B2 (ja) * 2011-08-12 2015-06-03 富士通株式会社 情報処理装置、情報処理システムのテスト方法およびプログラム
KR101240552B1 (ko) * 2011-09-26 2013-03-11 삼성에스디에스 주식회사 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법
US11095687B2 (en) * 2011-11-18 2021-08-17 Blue Armor Technologies, LLC Network security system using statistical object identification
US10514937B2 (en) * 2012-01-05 2019-12-24 Vmware, Inc. Auto-discovery service and method of discovering applications within a virtual network
US9036822B1 (en) 2012-02-15 2015-05-19 F5 Networks, Inc. Methods for managing user information and devices thereof
US9014029B1 (en) 2012-03-26 2015-04-21 Amazon Technologies, Inc. Measuring network transit time
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US9596286B2 (en) 2012-05-25 2017-03-14 A10 Networks, Inc. Method to process HTTP header with hardware assistance
US9426067B2 (en) * 2012-06-12 2016-08-23 International Business Machines Corporation Integrated switch for dynamic orchestration of traffic
US9342362B2 (en) * 2012-06-15 2016-05-17 Nvidia Corporation Service-processor-centric computer architecture and method of operation thereof
US10033837B1 (en) 2012-09-29 2018-07-24 F5 Networks, Inc. System and method for utilizing a data reducing module for dictionary compression of encoded data
US9270602B1 (en) 2012-12-31 2016-02-23 F5 Networks, Inc. Transmit rate pacing of large network traffic bursts to reduce jitter, buffer overrun, wasted bandwidth, and retransmissions
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
US9864606B2 (en) 2013-09-05 2018-01-09 F5 Networks, Inc. Methods for configurable hardware logic device reloading and devices thereof
WO2015095000A1 (en) 2013-12-16 2015-06-25 F5 Networks, Inc. Methods for facilitating improved user authentication using persistent data and devices thereof
CN104935450B (zh) * 2014-03-19 2018-12-25 新华三技术有限公司 一种访问会话管理方法及其装置
US10020979B1 (en) 2014-03-25 2018-07-10 A10 Networks, Inc. Allocating resources in multi-core computing environments
US9806943B2 (en) 2014-04-24 2017-10-31 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
KR101679578B1 (ko) * 2015-05-27 2016-11-25 주식회사 윈스 IoT 보안을 위한 제어 서비스 제공 장치 및 방법
US10601669B2 (en) * 2015-10-27 2020-03-24 Vmware, Inc. Configurable client filtering rules
US11190577B2 (en) * 2015-10-27 2021-11-30 Vmware, Inc. Single data transmission using a data management server
JP2018085634A (ja) * 2016-11-24 2018-05-31 富士通株式会社 情報処理装置
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US10999318B2 (en) * 2017-07-07 2021-05-04 Uniken Inc. Algorithmic packet-based defense against distributed denial of service
US10798159B2 (en) * 2017-07-26 2020-10-06 Netapp, Inc. Methods for managing workload throughput in a storage system and devices thereof
US11855898B1 (en) 2018-03-14 2023-12-26 F5, Inc. Methods for traffic dependent direct memory access optimization and devices thereof
US10944724B2 (en) * 2018-03-28 2021-03-09 Fortinet, Inc. Accelerating computer network policy search
US11537716B1 (en) 2018-11-13 2022-12-27 F5, Inc. Methods for detecting changes to a firmware and devices thereof
US10904719B2 (en) 2019-05-06 2021-01-26 Advanced New Technologies Co., Ltd. Message shunting method, device and system based on user mode protocol stack

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5694546A (en) * 1994-05-31 1997-12-02 Reisman; Richard R. System for automatic unattended electronic information transport between a server and a client by a vendor provided transport software with a manifest list
US5940390A (en) * 1997-04-10 1999-08-17 Cisco Technology, Inc. Mechanism for conveying data prioritization information among heterogeneous nodes of a computer network
US6351775B1 (en) 1997-05-30 2002-02-26 International Business Machines Corporation Loading balancing across servers in a computer network
US6363411B1 (en) * 1998-08-05 2002-03-26 Mci Worldcom, Inc. Intelligent network
SE513828C2 (sv) * 1998-07-02 2000-11-13 Effnet Group Ab Brandväggsapparat och metod för att kontrollera nätverksdatapakettrafik mellan interna och externa nätverk
US6546425B1 (en) * 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US6765909B1 (en) * 1999-04-22 2004-07-20 Nortel Networks Limited Method and apparatus for providing support for multiple QoS levels within a third generation packet data session
JP2000332817A (ja) 1999-05-18 2000-11-30 Fujitsu Ltd パケット処理装置
JP3403971B2 (ja) * 1999-06-02 2003-05-06 富士通株式会社 パケット転送装置
JP2001016254A (ja) 1999-06-29 2001-01-19 Hitachi Ltd 音声対応ルータのパケット送受信方法
US6714987B1 (en) * 1999-11-05 2004-03-30 Nortel Networks Limited Architecture for an IP centric distributed network
US6910074B1 (en) * 2000-07-24 2005-06-21 Nortel Networks Limited System and method for service session management in an IP centric distributed network
US20030055978A1 (en) * 2001-09-18 2003-03-20 Microsoft Corporation Methods and systems for enabling outside-initiated traffic flows through a network address translator
JP4407556B2 (ja) * 2005-03-29 2010-02-03 日本電気株式会社 セッション中継装置、セッション中継方法およびプログラム

Cited By (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7532619B2 (en) 2003-05-26 2009-05-12 Nec Corporation Packet transfer apparatus with multiple general-purpose processors
US7792133B2 (en) 2003-05-29 2010-09-07 Nec Corporation Packet relay device and packet method, and program
US8689315B2 (en) 2003-06-06 2014-04-01 Microsoft Corporation Method for managing network filter based policies
US8918525B2 (en) 2003-08-13 2014-12-23 Microsoft Corporation Routing hints
US8266294B2 (en) 2003-08-13 2012-09-11 Microsoft Corporation Routing hints
JP2009260988A (ja) * 2003-08-13 2009-11-05 Microsoft Corp ルーティングヒント
US7613825B2 (en) 2004-03-31 2009-11-03 Fujitsu Limited Hierarchical packet processing system and method, relay device and server
JP2006186877A (ja) * 2004-12-28 2006-07-13 Fujitsu Ltd パケットフィルタ同期方法及びパケット中継システム
JP4641794B2 (ja) * 2004-12-28 2011-03-02 富士通株式会社 パケットフィルタ同期方法及びパケット中継システム
JP4716909B2 (ja) * 2005-04-01 2011-07-06 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク接続テーブルを提供するための方法および装置
JP2006287932A (ja) * 2005-04-01 2006-10-19 Internatl Business Mach Corp <Ibm> ネットワーク接続テーブルを提供するための方法および装置
JP2008537421A (ja) * 2005-04-21 2008-09-11 ノキア コーポレイション 通信システム内の接続を確立する方法
JP2007173925A (ja) * 2005-12-19 2007-07-05 Fujitsu Ltd パケット中継システム
JP4648182B2 (ja) * 2005-12-19 2011-03-09 富士通株式会社 パケット中継システム
JP4692406B2 (ja) * 2006-06-21 2011-06-01 日本電気株式会社 中継通信システム、中継装置及びそれらに用いるセッション別帯域制御方法並びにそのプログラム
JP2008005078A (ja) * 2006-06-21 2008-01-10 Nec Corp 中継通信システム、中継装置及びそれらに用いるセッション別帯域制御方法並びにそのプログラム
JP2010244501A (ja) * 2009-03-19 2010-10-28 Fujitsu Ltd 一意性保証支援プログラム、サービス提供システム、及び一意性保証実現方法
JP2012527711A (ja) * 2009-07-24 2012-11-08 インテル コーポレイション 明示的な管理交渉を行わないQoSパケット処理
JP2011077768A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd 通信装置および通信制御方法
JP2013514691A (ja) * 2009-12-17 2013-04-25 アルカテル−ルーセント 複数のデータを処理するための方法および通信パケットをスイッチングするためのスイッチングデバイス
JPWO2011099320A1 (ja) * 2010-02-12 2013-06-13 株式会社日立製作所 情報処理装置、情報処理システム、及び情報処理方法
JP2011217336A (ja) * 2010-03-31 2011-10-27 Nextech:Kk 情報処理装置、プログラム、情報処理方法、および情報処理システム
JP2011259276A (ja) * 2010-06-10 2011-12-22 Nec Corp ルーティング管理システム、その処理方法及びプログラム
JP2012044403A (ja) * 2010-08-18 2012-03-01 Nippon Telegr & Teleph Corp <Ntt> サービス振分方法およびサービス振分装置
WO2012026042A1 (ja) 2010-08-27 2012-03-01 富士通株式会社 セッション確立装置、セッション確立方法及びセッション確立プログラム
JP5534014B2 (ja) * 2010-08-27 2014-06-25 富士通株式会社 セッション確立装置、セッション確立方法及びセッション確立プログラム
JP2012226654A (ja) * 2011-04-21 2012-11-15 Mitsubishi Electric Corp 情報処理装置
JP2013098880A (ja) * 2011-11-04 2013-05-20 Hitachi Ltd フィルタリングシステムおよびフィルタリング方法
JP2015525549A (ja) * 2013-06-03 2015-09-03 ▲ホア▼▲ウェイ▼技術有限公司 サービスプロセス制御方法およびネットワークデバイス
US9537982B2 (en) 2013-06-03 2017-01-03 Huawei Technologies Co., Ltd. Service process control method and network device
US10425510B2 (en) 2013-06-03 2019-09-24 Huawei Technologies Co., Ltd. Service process control method and network device
US11233884B2 (en) 2013-06-03 2022-01-25 Huawei Technologies Co., Ltd. Service process control method and network device
US11700322B2 (en) 2013-06-03 2023-07-11 Huawei Technologies Co., Ltd. Service process control method and network device
JP2015091107A (ja) * 2013-11-07 2015-05-11 富士通株式会社 転送プログラム、装置、及び方法

Also Published As

Publication number Publication date
US20020143955A1 (en) 2002-10-03
US7107348B2 (en) 2006-09-12
US7433958B2 (en) 2008-10-07
US20060168328A1 (en) 2006-07-27
JP3963690B2 (ja) 2007-08-22

Similar Documents

Publication Publication Date Title
JP3963690B2 (ja) パケット中継処理装置
Apostolopoulos et al. Design, implementation and performance of a content-based switch
US7490162B1 (en) Method and system for forwarding messages received at a traffic manager
US7102996B1 (en) Method and system for scaling network traffic managers
Kopparapu Load balancing servers, firewalls, and caches
US8180928B2 (en) Method and system for supporting read operations with CRC for iSCSI and iSCSI chimney
US8438321B2 (en) Method and system for supporting hardware acceleration for iSCSI read and write operations and iSCSI chimney
JP5544429B2 (ja) 複数のデータを処理するための方法および通信パケットをスイッチングするためのスイッチングデバイス
US20050060427A1 (en) Object-aware transport-layer network processing engine
EP1759317B1 (en) Method and system for supporting read operations for iscsi and iscsi chimney
JPWO2003103233A1 (ja) パケット中継装置、ネットワーク接続デバイス、パケット中継方法、記録媒体、プログラム
US20070124477A1 (en) Load Balancing System
JP5900352B2 (ja) パケット処理装置、パケット処理方法およびプログラム
JP2020048127A (ja) 制御装置、制御方法、及びプログラム
JP5229109B2 (ja) パケット中継処理装置
US20050281261A1 (en) Method and system for supporting write operations for iSCSI and iSCSI chimney
CN107249038A (zh) 业务数据转发方法及系统
JP4365397B2 (ja) パケット中継処理装置
Cisco IBM Systems Network Architecture (SNA) Protocols
JP4027213B2 (ja) 侵入検知装置およびその方法
Apostolopoulos et al. L5: A self learning layer 5 switch
WO2012098779A1 (ja) ネットワークシステム、コントローラ、及びQoS制御方法
JP4498984B2 (ja) サービス提供装置および通信制御プログラム
JP4063120B2 (ja) パケット伝送装置
JP2006135519A (ja) 通信システム、ルータ、通信制御方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060328

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060526

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061003

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061101

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20061205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070522

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110601

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120601

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120601

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130601

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140601

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees