JP2008206115A - ネットワーク制御方法 - Google Patents

ネットワーク制御方法 Download PDF

Info

Publication number
JP2008206115A
JP2008206115A JP2007043148A JP2007043148A JP2008206115A JP 2008206115 A JP2008206115 A JP 2008206115A JP 2007043148 A JP2007043148 A JP 2007043148A JP 2007043148 A JP2007043148 A JP 2007043148A JP 2008206115 A JP2008206115 A JP 2008206115A
Authority
JP
Japan
Prior art keywords
packet
packet processing
subscriber user
transfer data
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007043148A
Other languages
English (en)
Other versions
JP4260848B2 (ja
Inventor
Takeshi Yagi
毅 八木
Kazuhiro Okura
一浩 大倉
Masao Tanabe
正雄 田邉
Junichi Murayama
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007043148A priority Critical patent/JP4260848B2/ja
Publication of JP2008206115A publication Critical patent/JP2008206115A/ja
Application granted granted Critical
Publication of JP4260848B2 publication Critical patent/JP4260848B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できるネットワーク制御技術を提供する。
【解決手段】ネットワーク制御装置9は加入者ユーザ収容装置1〜4毎のパケット処理装置7、8をリストとして管理する。ネットワーク制御装置9は、通知されたパケットフローの転送データ量と、宛先加入者ユーザ収容装置3に対するパケット処理装置8の転送データ量を加算し、一定値を超過しない際は、宛先加入者ユーザ収容装置3とパケット処理装置8間に論理的なトンネルを設定する。一定値を超過する際は、通知されたパケットフローの転送データ量と、送信元加入者ユーザ収容装置1に対するパケット処理装置7の転送データ量を加算し、一定値を超過しない際は、当該送信元加入者ユーザ収容装置1と当該パケット処理装置7間に論理的なトンネルを設定する。図の点線はこの場合のパケットの転送経路である。
【選択図】図13

Description

本発明は、広域ネットワークにおいて、トラヒック変動をネットワークワイドに監視し、分析の必要がある場合のみ専用のパケット処理装置へトラヒックを転送して詳細分析を実施する際に、単一の宛先アドレスに対して大規模な分析対象が発生した際でも、負荷分散を実施することで、ネットワーク内における不正アクセス監視および攻撃トラヒック防御を効率的に実施してセキュリティを低コストで向上するための技術である。
インターネットの普及に伴い、ネットワーク経由の不正アクセスによるデータなどの不正盗聴、DDoS(Distributed Denial of Services)攻撃などによるシステム攻撃などが多発している。
従来、これらの脅威に対処するために、ファイアウォール機能をルータ等のパケット転送装置に実装することで、ネットワークを流れるデータ内容やパケットヘッダ内容に応じて通信を制御するアクセス制御技術が用いられる。このパケット転送装置をネットワークの境界に設置することで、ユーザが設定したセキュリティポリシに従った必要最低限の通信のみを通過させることが可能である。
しかし、上記のファイアウォール機能では、セキュリティポリシに従った通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正侵入等の不正アクセスやDDoS攻撃を完全に阻止することは困難である。
この問題を解決するために、Anomaly Detectorなどの異常トラヒック検出装置とAnomaly Guardなどの異常トラヒック分析・制御装置を組み合わせて使用する方式が採用されている[特許文献1]。この方式では、Anomaly Detectorで異常トラヒックの可能性を検出すると、Anomaly Guardへ警告を送り、対象トラヒックをAnomaly Guardへ再ルーチングして分析する。Anomaly Guardは、詳細な分析を実施した後、受信トラヒックを不正トラヒックと正常トラヒックに分類し、正常トラヒックは元の宛先に転送するとともに、不正なトラヒックは削除する。
この方式には、異常トラヒック分析・制御装置が、ネットワーク内のルーチング情報を変更して異常トラヒックの可能性があるフローの宛先アドレスの次ホップを自身とすることで、当該フローを自身へ誘導する方式[非特許文献2]と、ネットワーク内のエッジルータと異常トラヒック分析・制御装置間に論理的なトンネルを設定して異常トラヒックの可能性があるフローを異常トラヒック分析・制御装置へ転送する方式がある[非特許文献1]。後者の方式では、特定のルータと異常トラヒック分析・制御装置間に双方向の論理的なトンネルを設定するとともに、当該ルータに対してループを防止するためのアクセスコントロールリストを設定することで、特定トラヒックを異常トラヒック分析・制御装置へ誘導すると同時にループ発生を回避している。
特開2005−5927号公報「ネットワークシステムと不正アクセス制御方法およびプログラム」 八木,他,"DDoS攻撃軽減装置スクラビンクボックス共用化のためのネットワーク制御方式の評価",信学技報,IN2006−131,pp103−108,Dec.2006. Cisco Systems, Inc.,"Cisco Anomaly Guardモジュール"、[online],[平成19年2月5日検索],インターネット<http://www.cisco.com/japanese/warp/public/3/jp/product/hs/ifmodule/csm/prodlit/agm_ds.shtml>
しかし、これらの方式では、フローが誘導される異常トラヒック分析・制御装置は、宛先アドレス単位にトラヒックを誘導する。このため、単一の宛先アドレスに対する大量の攻撃が発生した際に、異常トラヒック分析・制御装置に大量のトラヒックが流入して輻輳する可能性がある。このため、各異常トラヒック分析・制御装置は、対応づけられた宛先アドレスヘの攻撃トラヒックが最大になった際でも確実に分析・制御できるよう、通常時には過剰といえる処理性能を保有しなければならず、結果的に、装置が高コスト化する。例えば、今日までに10Gb/s相当のDDoS攻撃発生が確認されているが、Anomaly Guardの転送インタフェースは1Gb/sである。
また、トラヒックエンジニアリングのような従来の負荷分散方式においても、経路は宛先アドレスに基づき設定するため、前記の問題は解決できない。さらに、トラヒックエンジニアリングを使用した際は、同一のエッジルータ配下に攻撃者と被攻撃者が存在する場合、トラヒックを特定装置へ誘導することができない。
本発明の目的は、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できるネットワーク制御技術を提供することにある。
本発明は、特定のトラヒックを分析・制御するために、エッジルータ相当の加入者ユーザ収容装置と、異常トラヒック分析・制御装置相当の複数のパケット処理装置間で、転送経路を動的に設定して対象トラヒックを転送するよう指示するネットワーク制御装置が設置されたネットワークにおいて、加入者ユーザ収容装置に対してループを防止するためのアクセスコントロールリストを設定することで、特定トラヒックを異常トラヒック分析・制御装置へ誘導すると同時にループ発生を回避する従来技術を利用するネットワーク制御において、各パケット処理装置の転送データ量を観測するとともに、加入者ユーザ収容装置毎に迂回先パケット処理装置を規定するリストを作成し、同一の宛先アドレスを保有するパケットフロー群をパケット処理装置へ迂回する際に、宛先加入者ユーザ収容装置に対応するパケット処理装置の現在の転送データ量などの処理負荷をチェックし、処理負荷が予め定めた閾値以上であれば、送信元加入者ユーザ収容装置に対応する単数または複数のパケット処理装置を特定し、当該パケット処理装置の現処理負荷をチェックし、処理負荷が閾値以下のパケット処理装置を検出した際に、当該パケット処理装置と当該送信元加入者ユーザ収容装置間に論理ポートを設定する。その後は、従来技術を適用し、加入者ユーザ収容装置に対してループを防止するためのアクセスコントロールリストを設定する。また、パケット処理装置へ誘導中のパケットフローの転送データ量が動的に増加した際も、当該パケット処理装置上の一部のパケットフローに対して、送信元加入者ユーザ収容装置を特定し、特定した送信元加入者ユーザ収容装置に対応する単数または複数のパケット処理装置を特定することで次候補の誘導先パケット処理装置を特定して誘導先を動的に変更する。
これにより、パケット処理機能を通過させ制御を実施したいトラヒックが、宛先が同一アドレスである巨大なパケットフロー群で構成されている際に、送信元加入者ユーザ収容装置毎にパケットフロー群を分割して送信元加入者ユーザ収容装置に対応した複数のパケット処理装置間で負荷分散する。この際、パケット処理装置は、過剰な処理性能を保有する必要はなく、ネットワーク制御装置は、ネットワーク内の各経路上に設置されている全装置を管理する必要も無い。さらに、同一のエッジルータ配下に攻撃者と被攻撃者が存在する場合でも、パケット処理装置間で負荷分散しつつトラヒックをパケット処理装置へ誘導することができる。
これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
上述の課題を解決するために、本発明では、請求項1では、ネットワーク制御方法において、ネットワーク制御装置が、加入者ユーザ収容装置毎のパケット処理装置をリストとして管理するとともに、通知されたパケットフローの転送データ量と、通知に記述された宛先加入者ユーザ収容装置に対するパケット処理装置の転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、一定値を超過しない際は、当該宛先加入者ユーザ収容装置と当該パケット処理装置間に論理的なトンネルを設定し、一定値を超過する際は、通知されたパケットフローの転送データ量と、通知に記述された送信元加入者ユーザ収容装置に対するパケット処理装置の転送データ量を加算し、際に予め定めた一定値を超過するか否かを確認し、一定値を超過しない際は、当該送信元加入者ユーザ収容装置と当該パケット処理装置間に論理的なトンネルを設定するネットワーク制御方法を採用する。
さらに、請求項2では、請求項1のネットワーク制御方法において、パケット処理装置は、通過パケットフローの一定時間毎の転送データ量をカウントし、ネットワーク制御装置は、各パケット処理装置に転送されているパケットフローを送信元加入者ユーザ収容装置と宛先加入者ユーザ収容装置と共にフロー管理リストとして管理するとともに、パケット処理装置の一定時間毎の総転送データ量を参照し、転送データ量が予め定めた一定値を超過したパケット処理装置を検出した際に、当該パケット処理装置について、転送データ量の合計が超過分以上となる単数または複数のパケットフローを特定し、特定したパケットフローに対し、フロー管理リストから、当該パケットフローの送信元加入者ユーザ収容装置を特定し、当該送信元加入者ユーザ収容装置に対するパケット処理装置の転送データ量と、特定したパケットフローの転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、一定値を超過しない際は、当該パケット処理装置を新たなパケットフロー転送先として当該装置と送信元加入者ユーザ収容装置間に論理的なトンネルを設定し、前パケット処理装置と宛先加入者ユーザ収容装置間に設定されている論理的なトンネルを削除するネットワーク制御方法を採用する。
さらに、請求項3では、請求項1または2のネットワーク制御方法において、ネットワーク制御装置が、アドレスから当該アドレスを収容する加入者ユーザ収容装置を特定する機能を保有し、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量のみで構成される制御情報の通知を受けた際に、宛先アドレスから宛先加入者ユーザ収容装置を特定し、送信元アドレスから送信元加入者ユーザ収容装置を特定し、特定した加入者ユーザ収容装置を、通知に記述された加入者ユーザ収容装置として用いるネットワーク制御方法を採用する。
さらに、請求項4では、請求項1ないし3のうちいずれか1項のネットワーク制御方法において、転送データ量の代わりに、転送データ量と転送パケット数および転送パケットフロー数から構成される転送負荷を用いるネットワーク制御方法を採用する。
さらに、請求項5では、請求項1ないし4のうちいずれか1項のネットワーク制御方法において、パケット処理装置のパケット通過制御機能において、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄するネットワーク制御方法を採用する。
さらに、請求項6では、請求項1ないし4のうちいずれか1項のネットワーク制御方法において、パケット処理装置のパケット通過制御機能において、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄するネットワーク制御方法を採用する。
本発明によれば、パケット処理装置間での負荷分散を実現するために、各パケット処理装置の転送データ量を観測するとともに、加入者ユーザ収容装置毎に迂回先パケット処理装置を規定するリストを作成し、同一の宛先アドレスを保有するパケットフロー群をパケット処理装置へ迂回する際に、宛先加入者ユーザ収容装置に対応するパケット処理装置の現在の転送データ量などの処理負荷をチェックし、処理負荷が予め定めた閾値以上であれば、送信元加入者ユーザ収容装置に対応する単数または複数のパケット処理装置を特定し、当該パケット処理装置の現処理負荷をチェックし、処理負荷が閾値以下のパケット処理装置を検出した際に、当該パケット処理装置と当該送信元加入者ユーザ収容装置間に論理ポートを設定する。その後は、従来技術を適用し、加入者ユーザ収容装置に対してループを防止するためのアクセスコントロールリストを設定する。また、パケット処理装置へ誘導中のパケットフローの転送データ量が動的に増加した際も、当該パケット処理装置上の一部のパケットフローに対して、送信元加入者ユーザ収容装置を特定し、特定した送信元加入者ユーザ収容装置に対応する単数または複数のパケット処理装置を特定することで次候補の誘導先パケット処理装置を特定して誘導先を動的に変更する。
これにより、パケット処理機能を通過させ制御を実施したいトラヒックが、宛先が同一アドレスである巨大なパケットフロー群で構成されている際に、送信元加入者ユーザ収容装置毎にパケットフロー群を分割して送信元加入者ユーザ収容装置に対応した複数のパケット処理装置間で負荷分散する。この際、パケット処理装置は、過剰な処理性能を保有する必要はなく、ネットワーク制御装置は、ネットワーク内の各経路上に設置されている全装置を管理する必要も無い。さらに、同一のエッジルータ配下に攻撃者と被攻撃者が存在する場合でも、パケット処理装置間で負荷分散しつつトラヒックをパケット処理装置へ誘導することができる。
これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。
次に、本発明の実施の形態について、図面を用いて説明する。
図1に、本発明を適用するネットワークのネットワークモデルの一例を示す。ネットワークは、加入者ユーザ収容装置1〜4、パケット転送装置5〜6、パケット処理装置7〜8およびそれらを制御するネットワーク制御装置9から構成され、ユーザ端末10〜17は、各アクセス網18〜21を経由して、加入者ユーザ収容装置1〜4に収容されている。一般的には、加入者ユーザ収容装置1〜4はエッジノードまたはエッジルータ、パケット転送装置5〜6はコアノードまたはコアルータと呼ばれる。加入者ユーザ収容装置1〜4は、パケット転送装置5〜6によって接続されている。加入者ユーザ収容装置1〜4とパケット転送装置5〜6およびパケット処理装置7〜8からなるネットワークをコアネットワーク22とし、ユーザ端末で構成されるネットワークをユーザネットワーク23とする。
加入者ユーザ収容装置1には、装置を識別するためのアドレスとしてコア#1が付与されており、加入者ユーザ収容装置2には、装置を識別するためのアドレスとしてコア#2が付与されており、加入者ユーザ収容装置3には、装置を識別するためのアドレスとしてコア#3が付与されており、加入者ユーザ収容装置4には、装置を識別するためのアドレスとしてコア#4が付与されており、パケット転送装置5には、装置を識別するためのアドレスとしてコア#5が付与されており、パケット転送装置6には、装置を識別するためのアドレスとしてコア#6が付与されており、パケット処理装置7には、装置を識別するためのアドレスとしてコア#7が付与されており、パケット処理装置8には、装置を識別するためのアドレスとしてコア#8が付与されており、それぞれに到達するための経路はルーチングプロトコルにより管理されている。
コア#1〜コア#8は、コアネットワークがIPv4ネットワークであればIPv4アドレスとなり、その際のルーチングプロトコルとしてはOSPF(Open Shortest Path First:RFC2328)などが挙げられる。コアネットワークがIPv6ネットワークであればIPv6アドレスとなり、その際のルーチングプロトコルとしてはOSPFv6(Open Shortest Path First version6:RFC2740)などが挙げられる。また、コアネットワークがMPLS(Multi-Protocol Label Switching)ネットワーク(RFC3031)である場合、ルーチングプロトコルで経路を特定した後、RSVP−TE(ReSerVation Protocol with Traffic Engineering:RFC3209)やCR−LDP(Constrain-based Label Distribution Protocol:RFC3212)などのシグナリングプロトコルで送信元と宛先のパケット転送装置間にLSP(Label Switched Path)と呼ばれるパスを設定する。
同様に、ユーザ端末10は、アドレスIP#1で識別され、ユーザ端末11は、アドレスIP#2で識別され、ユーザ端末12は、アドレスIP#3で識別され、ユーザ端末13は、アドレスIP#4で識別され、ユーザ端末14は、アドレスIP#5で識別され、ユーザ端末15は、アドレスIP#6で識別され、ユーザ端末16は、アドレスIP#7で識別され、ユーザ端末17は、アドレスIP#8で識別される。
図2に、本発明を適用するネットワークの物理モデルの一例を示す。ネットワーク制御装置9は、ネットワーク内の各装置と接続されている。本実施例では、リンク108〜115により、各装置との接続性を確保している。加入者ユーザ収容装置1とパケット転送装置5はリンク101で接続され、加入者ユーザ収容装置2とパケット転送装置5はリンク102で接続され、加入者ユーザ収容装置3とパケット転送装置6はリンク103で接続され、加入者ユーザ収容装置4とパケット転送装置6はリンク104で接続され、パケット転送装置5とパケット転送装置6はリンク105で接続され、パケット転送装置5とパケット処理装置7はリンク106で接続され、パケット転送装置6とパケット処理装置8はリンク107で接続されている。リンクとしては、光ファイバや光波長のような光パスや、イーサネットケーブルのような物理ケーブルを示している。
図3に、本発明のネットワーク制御方法を実装する通信ネットワークに設置されるネットワーク制御装置の構成例を示す。ネットワーク制御装置は、制御フロー管理機能24および外部装置制御部25を有している。
制御フロー管理機能24は、誘導先管理リスト26と、誘導先トラヒック管理機能27と、フロー誘導先管理機能28を保有する。
誘導先管理リスト26は、加入者ユーザ収容装置毎に、トラヒック誘導先となるパケット処理装置を管理する機能を有している。本リストは、加入者ユーザ収容装置と各パケット処理装置との位置関係や両装置間の中継路上のホップ数などに基づき、オペレータが静的に設定することを想定するが、ネットワーク制御装置が、両装置間の中継路上の装置のトラヒック負荷状況などから動的に設定してもよい。
誘導先トラヒック管理機能27は、各パケット処理装置の現在の転送データ量情報を収集して管理する機能と、各パケット処理装置の転送データ量の許容上限値を示す閾値を設定して管理する機能を保有する。ネットワーク制御装置は、パケット処理装置の保有するトラヒックカウンタやMIB情報を、コマンドラインインタフェースやSNMP(Simple Network Management Protocol)を用いて収集する。また、閾値は、各パケット処理装置の性能に応じてオペレータにより設定される。なお、誘導先トラヒック管理機能27が、転送データ量情報の代わりに、転送データ量と転送パケット数および転送パケットフロー数から構成される転送負荷情報を収集して管理し、これを用いるようにしてもよい。
フロー誘導先管理機能28は、現在各パケット処理装置へ誘導されているパケットフローの、宛先アドレスおよび送信元アドレスと宛先加入者ユーザ収容装置のアドレスと、送信元加入者ユーザ収容装置のアドレスと、誘導先パケット処理装置と、誘導先パケット処理装置を決定した際にトラヒック誘導元とした加入者ユーザ収容装置と、転送データ量を管理するフロー管理リストを有している。この際、誘導先パケット処理装置を決定した際にトラヒック誘導元とした加入者ユーザ収容装置は、エントリの項目として登録してもよいし、宛先加入者ユーザ収容装置もしくは送信元加入者ユーザ収容装置のいずれかにフラグをつけて管理してもよい。また、パケット処理装置がパケットフローごとの転送データ量を収集できる場合、本機能で管理されている各パケットフローの転送データ量は、誘導先トラヒック管理機能27が転送データ量を収集する際に、当該装置上のパケットフローの転送データ量も収集することで、定期的に更新される。
制御フロー管理機能24は、
宛先加入者ユーザ収容装置のアドレスと、送信元加入者ユーザ収容装置のアドレスと、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および、当該パケットフローの転送データ量で構成される制御情報の通知を受信した際に、誘導先管理リスト26から、宛先加入者ユーザ収容装置に対する誘導先パケット処理装置を特定する機能と、
誘導先トラヒック管理機能27から、特定したパケット処理装置の現転送データ量に当該パケットフローの転送データ量を加算した際に当該パケット処理装置における閾値を超過するか否かを特定する機能と、
閾値を超過しなかった際に、トラヒック誘導先を当該パケット処理装置と決定して後述の外部装置制御部25に対して宛先加入者ユーザ収容装置と当該パケット処理装置間へ論理ポートを設定するよう指示する機能と、
閾値を超過した際に、誘導先管理リスト26から、前記制御情報の通知に記載された送信元加入者ユーザ収容装置に対する誘導先パケット処理装置を特定する機能と、
送信元加入者ユーザ収容装置から特定したパケット処理装置の現転送データ量に当該パケットフローの転送データ量を加算した際に当該パケット処理装置における閾値を超過するか否かを特定し、超過した際は制御を断念して制御が不可能な旨をユーザヘ通知し、閾値を超過しなかった際はトラヒック誘導先を当該パケット処理装置と決定し、送信元加入者ユーザ収容装置と当該パケット処理装置間へ論理ポートを設定するよう外部装置制御部25に依頼する機能と、
ループを防止しつつ当該論理ポートに当該パケットフローを出力する経路設定を、誘導先パケット処理装置を決定する際に参照した加入者ユーザ収容装置(宛先加入者ユーザ収容装置か送信元加入者ユーザ収容装置のいずれか)に指示するよう外部装置制御部25に依頼する機能を有している。
また、この機能では、論理ポート設定を指示する前に、フロー誘導先管理機能28を参照し、当該装置間でパケットフローが誘導されているか否かを確認し、誘導されているパケットフローが存在する際は、既に論理ポートが設定されているとして論理ポート設定指示を出さない。
なお、宛先加入者ユーザ収容装置のアドレスと、送信元加入者ユーザ収容装置のアドレスと、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および、当該パケットフローの転送データ量で構成される制御情報の通知を受信する代わりに、アドレスから当該アドレスを収容する加入者ユーザ収容装置を特定する機能を保有し、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量のみで構成される制御情報の通知を受信した際に、宛先アドレスから宛先加入者ユーザ収容装置を特定し、送信元アドレスから送信元加入者ユーザ収容装置を特定するようにしてもよい。
上記に加え、制御フロー管理機能24は、
パケットフロー情報で構成される誘導解除を通知された際に、フロー誘導先管理機能28からトラヒック誘導先のパケット処理装置を特定し、当該パケットフローを論理ポートに出力している経路を削除するよう外部装置制御部25に依頼する機能と、
上記フロー誘導先管理機能28のエントリから誘導元の加入者ユーザ収容装置を特定するとともに、当該加入者ユーザ収容装置と当該パケット処理装置間に設定されている論理ポートを削除するよう外部装置制御部25に依頼する機能と、
フロー誘導先管理機能28から当該パケットフロー情報を削除する機能を有している。
また、この機能では、論理ポート削除を指示する前に、フロー誘導先管理機能28を参照し、当該装置間でパケットフローが誘導されているか否かを確認し、誘導されているパケットフローが存在する際は、論理ポート削除指示を省略する。
上記に加え、制御フロー管理機能24は、
誘導先トラヒック管理機能が定期的に収集している各パケット処理装置の転送データ量が閾値を超過した際に、フロー誘導先管理機能28から、当該パケット処理装置へ誘導されているパケットフローを特定し、転送データ量を閾値以下に抑制するよう再誘導候補となる単数または複数のパケットフローを抽出し、抽出したパケットフローで現在誘導元となっていない加入者ユーザ収容装置(宛先加入者ユーザ収容装置か送信元加入者ユーザ収容装置のいずれか)から、誘導先管理リストを検索し、他のパケット処理装置を再誘導先として特定する機能と、
特定したパケット処理装置の現転送データ量に当該パケットフローの転送データ量を加算した際に当該パケット処理装置における閾値を超過するか否かを特定する機能と、
閾値を超過しなかった際に、トラヒック誘導先を誘導先候補であるパケット処理装置へ迂回することを決定して外部装置制御部25に対して新規誘導元となる加入者ユーザ収容装置(制御前までは誘導元となっていなかった加入者ユーザ収容装置)と当該パケット処理装置間へ論理ポートを設定するよう外部装置制御部25に依頼し、閾値を超過した際は制御を断念する機能と、
ループを防止しつつ当該論理ポートに当該パケットフローを出力する経路設定を宛先加入者ユーザ収容装置に指示するよう外部装置制御部25に依頼する機能を有している。
外部装置制御部25は、論理ポート設定指示機能29、経路設定指示機能30を有している。
論理ポート設定指示機能29は、
制御フロー管理機能24から論理ポート設定するよう指示された加入者ユーザ収容装置とパケット処理装置に対し、加入者ユーザ収容装置に対しては、パケット処理装置を示すアドレス宛に論理ポートを設定して転送経路を生成するよう指示し、パケット処理装置に対しては、加入者ユーザ収容装置を示すアドレス宛に論理ポートを設定して転送経路を設定するよう指示する機能と、
制御フロー管理機能24から論理ポートを削除するよう指示された加入者ユーザ収容装置とパケット処理装置に対し、加入者ユーザ収容装置に対しては、パケット処理装置を示すアドレス宛に設定していた論理ポートを削除して転送経路を削除するよう指示し、パケット処理装置に対しては、加入者ユーザ収容装置を示すアドレス宛に設定していた論理ポートを削除して転送経路を削除するよう指示する機能を有している。
経路設定指示機能30は、加入者ユーザ収容装置とパケット処理装置間にされた論理ポートに出力すべきパケットのヘッダ情報を通知情報もしくはフロー誘導先管理機能28から特定し、当該パケットヘッダ情報を保有するパケットを当該装置間に設定された論理ポート以外から受信した際に当該論理ポートへ出力するようACL(Access Control List)ヘエントリ追加するよう指示する機能と、前記ACLエントリを削除するよう指示する機能を有している。
外部装置制御部25は、各制御の完了通知を当該装置から受信したかを管理し、一定時間通知の受信が確認できない際に、再度上記設定を試行する機能と、各制御の完了通知を当該装置から受信した際に、制御フロー管理機能24に制御完了を通知する機能を有している。
これにより、各パケット処理装置の転送データ量に応じてパケットフローの誘導先を動的に設定でき、パケットヘッダ条件に基づき、特定の転送パケットをパケット処理装置へ送信できる。
これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を、複数のパケット処理装置で負荷分散して実施することが可能となり、異常トラヒック防御を低コストで実現できる。
図4に、本発明のネットワーク制御方法を実装する通信ネットワークに設置される加入者ユーザ収容装置の構成例を示す。加入者ユーザ収容装置は、パケット転送部31とサーバ接続部32で構成される。
パケット転送部31は、転送テーブル33と、アクセスコントロールリスト34と、論理ポート設定機能35を有している。
転送テーブル33は、入力パケットのヘッダ情報から出力ラベル値および出力リンクを導く機能を有している。請求項と比較すると、ラベル値が論理ポートを示している。本実施例では、ヘッダ情報例としてラベル値と宛先アドレスを記述している(転送テーブル33の具体例については図7、図9参照)。ここで、入力ラベル値としてデフォルトとしているものは、ラベルが付与されていないことを示している。従来、ラベルが付与されていないものはIPネットワークのようなコネクションレスネットワーク、ラベルが付与されているものはMPLSネットワークのようなコネクションオリエンテッドネットワークである。IPネットワークでは、ルーチングプロトコルにより出力先が特定され、MPLSネットワークではルーチングプロトコルとシグナリングプロトコルで出力先が特定される。このため、ラベル値の有無で転送テーブルを分割して管理してもよい。さらに、ヘッダ情報として、送信元アドレスを記述し、特定のユーザ間フローのみを別経路に出力するよう、オペレータが設定できるようにしてもよい。
また、本実施例では、転送テーブル33内に出力論理ポートと出力物理ポートを記述しているが、これらも別テーブルとして記述してもよい。この際は、入力ラベルがデフォルトであるエントリに対しては、宛先アドレスから出力物理ポートを導くテーブルに記述される。また、入力ラベル値が指定されているエントリに関しては、入力ラベル値から出力ラベル値を導くテーブルと、出力ラベル値から出力物理ポートを導くテーブルに記述される。
アクセスコントロールリスト34は、転送テーブル33より優先的に適用したい転送情報を管理する機能と、転送テーブル33を参照する前に本機能が保有する転送情報を適用する機能を有している。本実施例では、転送情報として、入力パケットのヘッダ情報と、出力ラベル値および、出力リンクが該当する。また、例えば、入力パケットのヘッダ情報が一部しか記述されていない場合、記述されている情報のみが適用条件となる。
論理ポート設定機能35は、特定のアドレスを保有する宛先との間に論理ポートを設定する機能と、特定のアドレスを保有する宛先との間の論理ポートを削除する機能を有している。例えば、コアネットワークがMPLSネットワークである際は、論理ポート設定機能35がシグナリングプロトコルを使用し、特定のアドレスを保有する宛先との間にLSPを設定する。
サーバ接続部32は、ネットワーク制御装置からの指示を受け付け、ネットワーク制御装置からの指示を各機能へ受け渡す機能と、ネットワーク制御装置からの指示に基づく制御が完了した際に、当該処理の完了通知をネットワーク制御装置に送信する機能を有している。
これにより、加入者ユーザ収容装置は、ネットワーク制御装置からの指示に基づきパケット処理装置間に論理ポートを設定するとともに、パケット処理装置へ送信したいパケットを抽出して当該パケットのみを前記論理ポートへ送信する。さらに、パケット処理装置から受信したパケットに関しては、パケット抽出の対象としない。
これにより、特定パケットのみをパケット処理装置へ送信するとともに、パケット処理装置へ送信するパケットのループ発生を防止する。
図5に、本発明のネットワーク制御方法を実装する通信ネットワークに設置されるパケット処理装置の構成例を示す。パケット処理装置は、転送データ量観測機能39と、パケット処理機能40と、パケット返送機能41およびサーバ接続部42で構成される。
転送データ量観測機能39は、宛先アドレスと送信元アドレスなどのパケットフローのヘッダ情報に対する一定時間毎の転送データ量や総転送データ量をカウントする機能と、ネットワーク制御装置からの転送データ量参照要求に対して現転送データ量を通知する機能を有している。
パケット処理機能40は、単一のパケット通過制御処理を実施する機能を有している。パケット通過制御処理としては、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄する制御や、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄する制御が挙げられる。これらの制御に際しては、宛先アドレスに対して転送パケット数をカウントする転送パケット数カウントテーブルや、宛先アドレスに対して転送データ量を累計する転送データ量カウントテーブルや、各テーブルのエントリを一定周期毎に保存してカウント値をリセットする機能や、上記保存値と閾値を比較する機能や、比較した際に閾値を超過したパケットを可変レートで廃棄する機能や、上記廃棄の継続判断を一定時間毎に実施する機能が必要となる。また、送受信データ量に基づき課金する機能、通過パケットのログを収集管理する機能などもパケット通過処理に含まれる。
パケット返送機能41は、返送経路設定機能43およびパケット返送テーブル44を有している。
返送経路設定機能43は、特定のアドレスを保有する宛先との間に論理ポートを設定する機能と、特定のアドレスを保有する宛先との間に設定された論理ポートを削除する機能を有している。例えば、コアネットワークがMPLSネットワークである際は、返送経路設定機能43がシグナリングプロトコルを使用し、特定のアドレスを保有する宛先との間にLSPを設定する。
パケット返送テーブル44は、受信パケットの入力論理ポートから、当該パケットの誘導元加入者ユーザ収容装置間に設定した出力論理ポートおよび出力物理ポートを導く機能を有しており、本実施例では、受信パケットのラベル値から、当該パケットの誘導元加入者ユーザ収容装置間に設定した論理ポートに割り当てられているラベルおよび出力リンクを導く機能を有している。また、出力論理ポートと出力物理ポートを特定する機能を二つのテーブルに分割してもよい。この際は、入力論理ポートから出力論理ポートを特定するテーブルと、出力論理ポートから出力物理ポートを特定するテーブルを保有することになる。
パケット返送機能41は、前述のネットワーク制御装置から、特定のアドレス間に論理ポートを設定する指示を受けた際に、返送経路設定機能43により、指定されたアドレス間に論理ポートを設定するとともに、指定されたアドレスから論理ポートを設定してきた際に、論理ポートが設定された際に決まる当該経路に対応するラベルから、自身が論理ポートを設定した際に決まる当該経路に対応するラベルを導くよう、パケット返送テーブル44に記述し、自身が論理ポートを設定した際に決まる当該経路の出力先を当該経路に割り当てられたラベルと対となるようパケット返送テーブル44に記述する機能を有している。
さらに、パケット返送機能41は、前述のネットワーク制御装置から、特定のアドレス間の論理ポートを解除する指示を受けた際に、返送経路設定機能43により、指定されたアドレス間の論理ポートを削除し、当該経路に対応するラベルに関するパケット返送テーブル44のエントリを削除する機能を有している。
サーバ接続部42は、ネットワーク制御装置からの指示を受け付け、ネットワーク制御装置からの指示を各機能へ受け渡す機能と、ネットワーク制御装置からの指示に基づく制御が完了した際に、当該処理の完了通知をネットワーク制御装置に送信する機能を有している。
これにより、パケット処理装置は、転送パケットフローの転送データ量を観測するとともに、ネットワーク制御装置からの指示に基づき加入者ユーザ収容装置間に論理ポートを設定し、加入者ユーザ収容装置から受信したパケットを、同加入者ユーザ収容装置へ返送する。
これにより、パケット処理装置は、トラヒックを受信し、分析し、制御しつつ加入者ユーザ収容装置へ返送しつつ、自身の転送データ量を観測してネットワーク制御装置に参照させることができる。
(動作の説明)
図6のネットワークモデルを用いて、本発明の動作例を示す。初期状態において、ユーザ#1からユーザ#5間で、加入者ユーザ収容装置1、リンク101、パケット転送装置5、リンク105、パケット転送装置6、リンク103、加入者ユーザ収容装置3経由でパケットを転送している。当該フローをパケット処理装置へ迂回させる制御を実施するとする。
図7に、パケット処理装置への迂回制御前の加入者ユーザ収容装置3の動作例を示す。転送テーブル33は、前述のように、入力パケットのヘッダ情報から出力ラベル値および出力リンクを導く機能を有しており、本実施例では、図7に示すように、入力パケットのヘッダ情報として入力ラベル値と宛先アドレスを記述している。入力ラベル値としてデフォルトとしているものは、ラベルが付与されていないことを示している。
図7は、加入者ユーザ収容装置3が、送信元アドレスがユーザ#1で宛先アドレスがユーザ#5であるパケットをリンク103から受信した場合を示している。加入者ユーザ収容装置3は、パケットを受信した際に、パケット転送部31において、転送テーブル33を参照し、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーから出力リンク116を特定し、当該パケットをリンク116へ出力する。
図8に、パケット処理装置への迂回開始時のネットワーク制御装置9の動作例を示す。誘導先管理リスト26は、前述のように、加入者ユーザ収容装置毎にトラヒック誘導先となるパケット処理装置を管理する機能を有しており、図8の例では、例えば3行目はコア#3(加入者ユーザ収容装置3)のトラヒック誘導先がコア#8(パケット処理装置8)であることを示している。誘導先トラヒック管理機能27は、前述のように、各パケット処理装置の現在の転送データ量情報を収集して管理する機能と、各パケット処理装置の転送データ量の許容上限値を示す閾値を設定して管理する機能を保有しており、図8の例では、例えば2行目に示すように、コア#8(パケット処理装置8)の現在の転送データ量は100Mb/s(byte per second)であり、転送データ量の許容上限値を示す閾値は500Mb/sである。
ネットワーク制御装置9は、制御対象とするパケットフローのヘッダ情報、当該パケットの送信元加入者ユーザ収容装置、宛先加入者ユーザ収容装置および当該パケットフローの転送データ量からなる制御情報(図8の例では、宛先アドレス:ユーザ#5、宛先加入者ユーザ収容装置:コア#3、送信元加入者ユーザ収容装置:コア#1、転送データ量:200Mb/s)を受信した際、宛先加入者ユーザ収容装置コア#3を検索キーとして誘導先管理リスト26を検索し誘導先候補1であるコア#8を特定し、誘導先トラヒック管理機能27を用いて、コア#8の現転送データ量100Mb/s(byte per second)に当該パケットフローの転送データ量200Mb/sを加えた際に閾値500Mb/sを下回ることを確認した後、当該パケットフローの誘導先パケット処理装置をコア#8に決定し、誘導先トラヒック管理機能27に当該パケットフロー情報を追加するとともに、下記の制御を実施する。
(a)論理ポート設定指示機能29を用い、当該宛先加入者ユーザ収容装置を示すアドレスコア#3に対し、迂回先のパケット処理装置を示すアドレスコア#8への論理ポート設定を指示する。
(b)論理ポート設定指示機能29を用い、当該パケット処理装置を示すアドレスコア#8に対し、迂回元の加入者ユーザ収容装置を示すアドレスコア#3への論理ポート設定を指示する。
(c)経路設定指示機能30を用い、当該加入者ユーザ収容装置を示すアドレスコア#3に対し、迂回先のパケット処理装置を示すアドレスコア#8への論理ポートに割り当てられたラベルを、宛先アドレスがユーザ#5であるパケットヘ付与するよう指示する。
この際、誘導先トラヒック管理機能27が複数のフローを管理しており、加入者ユーザ収容装置コア#3とパケット処理装置コア#8を保有する別エントリが存在する場合、(a)および(b)の処理は省略する。
図9に、パケット処理装置への迂回開始時の加入者ユーザ収容装置3の動作例を示す。
加入者ユーザ収容装置3は、ネットワーク制御装置9からの指示(a)に対し論理ポート設定機能35を用いて、パケット処理装置コア#8に対して論理ポートを設定する。この際、パケット処理装置コア#8からも、(b)に対応する論理ポートが設定される。加入者ユーザ収容装置3は、前記論理ポートに付与されたラベル#1および後記論理ポートに付与されたラベル#2を特定する。また、ネットワーク制御装置9からの指示(c)に対し指定されたヘッダ条件である「宛先アドレスがユーザ#5であるパケット」に対して前記論理ポートに割り当てたラベル#1およびラベル#1に対応する出力リンク103を特定するためのエントリをアクセスコントロールリスト34に追加する。ここで、入力ラベル値は、パケット処理装置コア#8間に設置した論理ポートに割り当てたラベル#2以外の任意値とし、デフォルトも含めた全ての入力ラベル値に対して当該エントリを有効とする。
この際、図7と同パケットを受信すると、アクセスコントロールリスト34にヒットし、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーから出力ラベル#1、出力リンク103を特定し、当該パケットをリンク103へ出力する。
このように、制御対象とするヘッダ情報、当該パケットの宛先加入者ユーザ収容装置、当該パケットを送信するパケット処理装置がネットワーク制御装置に入力された際に、当該パケットをパケット処理装置へ送信することが可能となる。
図10に、パケット処理装置への迂回開始時のパケット処理装置8の動作例を示す。
パケット処理装置8は、ネットワーク制御装置9からの指示(b)に対し、返送経路設定機能43を用いて、パケット転送装置コア#3に対して論理ポートを設定する。この際、加入者ユーザ収容装置コア#3からも(a)に対応する論理ポートが設定される。
パケット処理装置8は、前記論理ポートに付与されたラベル#2および後記論理ポートに付与されたラベル#1を特定し、ラベル#1から返送用のラベル#2およびラベル#2に対する出力リンク107を特定するためのエントリをパケット返送テーブル44に設定する。パケット返送テーブル44は、受信パケットの入力論理ポートから当該パケットの誘導元加入者ユーザ収容装置間に設定した出力論理ポートおよび出力物理ポートを導くためのテーブルである。
この際、図9の加入者ユーザ収容装置3から転送されたパケットを受信すると、パケット処理機能40を中継し、制御後のパケットをパケット返送機能41へ転送する。パケット返送機能41では、パケット返送テーブル44を参照して、当該パケットのラベル#1から返送経路に出力するためのラベル#2および出力リンク107を特定し、ラベル#1を削除するとともにラベル#2で再カプセリングしてリンク107へ当該パケットを送信する。
また、パケット処理装置8は、転送データ量観測機能39により、受信パケットの送信元アドレスと宛先アドレスに対する転送データ量をカウントする。カウントデータは、一定周期毎に集計し、ネットワーク制御装置9が各パケット処理装置のカウントデータをSNMP参照要求で参照するか、各パケット処理装置がネットワーク制御装置9へSNMPトラップ通知で通知する。
このように、制御対象とするヘッダ情報、当該パケットの宛先加入者ユーザ収容装置、当該パケットを送信するパケット処理装置がネットワーク制御装置に入力された際に、当該パケットは、パケット処理装置へ送信され、パケット処理装置でヘッダ情報ごとの転送データ量を集計された後、分析され、正常なトラヒックに関わるパケットは、パケットが抽出された加入者ユーザ収容装置へ返送される。
これにより、パケット処理装置の転送データ量を観測しつつ、パケット処理装置への迂回経路設定および異常トラヒック分析・制御が可能となる。
図11に、パケット処理装置への迂回制御後の転送経路を示す。ユーザ#1からユーザ#5間で、加入者ユーザ収容装置1、リンク101、パケット転送装置5、リンク105、パケット転送装置6、リンク103、加入者ユーザ収容装置3、リンク103、パケット転送装置6、リンク107、パケット処理装置8、リンク107、パケット転送装置6、リンク103、加入者ユーザ収容装置3経由でパケットを転送している。
このように、本発明は、制御対象パケットフローが発生した際に、加入者ユーザ収容装置から誘導先パケット処理装置を特定し、誘導先パケット処理装置の処理負荷を考慮しつつ、特定のパケットをパケット処理装置へ迂回させることができる。
図12に、複数パケット処理装置間での負荷分散が必要となる、パケット処理装置への迂回開始時のネットワーク制御装置9の動作例を示す。
ネットワーク制御装置9は、制御対象とするパケットフローのヘッダ情報、当該パケットの送信元加入者ユーザ収容装置、宛先加入者ユーザ収容装置および当該パケットフローの転送データ量からなる制御情報(図12の例では、宛先アドレス:ユーザ#5、宛先加入者ユーザ収容装置:コア#3、送信元加入者ユーザ収容装置:コア#1、転送データ量:200Mb/s)を受信した際、宛先加入者ユーザ収容装置コア#3を検索キーとして誘導先管理リスト26を検索し誘導先候補であるコア#8を特定し、コア#8の現転送データ量400Mb/s(byte per second)に当該パケットフローの転送データ量200Mb/sを加えた際に閾値500Mb/sを上回るため、送信元加入者ユーザ収容装置コア#1を検索キーとして誘導先管理リスト26を検索し誘導先候補であるコア#7を特定し、コア#7の現転送データ量100Mb/sに当該パケットフローの転送データ量200Mb/sを加えた際に閾値400Mb/sを下回ることを確認し、当該パケットフローの誘導元を送信元加入者ユーザ収容装置とし、誘導先パケット処理装置をコア#7に決定し、フロー誘導先管理機能に当該パケットフロー情報を追加するとともに、図8に記載した(a)以降の制御を実施する。
このように、本発明は、制御対象パケットフローが発生した際に、宛先加入者ユーザ収容装置毎に対応したパケット処理装置を特定するが、その際に、制御後に輻輳が発生する可能性があると判断された際、送信元加入者ユーザ収容装置から誘導先パケット処理装置を特定する。
これにより、特に単一の宛先アドレスに対して複数の懐疑パケットフロー群が存在する際に、複数のパケット処理装置間での負荷分散を実現し、異常トラヒック分析・制御を低コストで実現可能となる。
図13に、図12に記載の負荷分散を適用した制御後の転送経路を示す。図11の制御時と同じ制御情報を受信しているが、本図では、ユーザ#1からユーザ#5間で、加入者ユーザ収容装置1、リンク101、パケット転送装置5、リンク106、パケット処理装置7、リンク106、パケット転送装置5、リンク105、パケット転送装置6、リンク103、加入者ユーザ収容装置3経由でパケットを転送している。
また、図14に、制御情報を受信した際以外に、複数のパケット処理装置間で動的負荷分散を実施する際のネットワーク制御装置の動作例を示す。フロー誘導先管理機能28は、誘導先パケット処理装置と、現在各誘導先パケット処理装置へ誘導されているパケットフローの、宛先アドレスおよび送信元アドレスと宛先加入者ユーザ収容装置のアドレスと、送信元加入者ユーザ収容装置のアドレスと、誘導先パケット処理装置を決定した際にトラヒック誘導元とした加入者ユーザ収容装置と、転送データ量を管理するフロー管理リストを有している。
ネットワーク制御装置9は、各パケット処理装置の転送データ量を定期的に収集する。この際に、収集時の転送データ量と誘導先トラヒック管理機能27が管理する閾値を比較する。ここで、パケット処理装置コア#8の総転送データ量が閾値を100Mb/s上回ったことを検出した場合(図14の例では、600Mb/s(コア#8の総転送データ量)−500Mb/s(コア#8の閾値)=100Mb/sだけコア#8の総転送データ量がコア#8の閾値を超過している)、宛先加入者ユーザ収容装置から当該パケット処理装置へ誘導されている単数または複数のパケットフローを、誘導先トラヒック管理機能27から特定し、閾値超過分の100Mb/s以上の転送データ量を保有する単数または複数のパケットフローを抽出する。本実施例では、まず宛先アドレスがユーザ#5で送信元ユーザアドレスがユーザ#1のパケットフローと、宛先アドレスがユーザ#7で送信元ユーザアドレスがユーザ#4のパケットフローが特定された後、各パケットフローの転送データ量から、前者のパケットフローが抽出される。本実施例では、単数の場合を例とするが、複数の場合は、単数の場合を複数回繰り返すことで対応できる。本実施例では、宛先ユーザアドレスがユーザ#5、送信元アドレスがユーザ#1のパケットフローが制御対象パケットフローとして特定される。
このパケットフローの送信元加入者ユーザ収容装置はコア#1であることから、コア#1を検索キーとして誘導先管理リスト26を検索し、パケット処理装置コア#7を特定し、誘導先トラヒック管理機能27から、特定したパケット処理装置コア#7の現転送データ量100Mb/sを特定し、制御対象パケットフローの転送データ量200Mb/sと加算した際に閾値400Mb/sを下回ることを確認した後、当該パケット処理装置コア#7を新規誘導先として決定する。また、閾値を上回ることが確認された際は、制御を断念し、上記と同じ手順で別のパケットフローの再誘導を試行する。
パケット処理装置コア#7を新規誘導先として決定した後は、フロー誘導先管理機能28の当該パケットフロー情報の誘導先パケット処理装置をコア#7に更新するとともに、下記の制御を実施する。
(a)論理ポート設定指示機能29を用い、当該送信元加入者ユーザ収容装置を示すアドレスコア#1に対し、迂回先のパケット処理装置を示すアドレスコア#7への論理ポート設定を指示する。
(b)論理ポート設定指示機能29を用い、当該パケット処理装置を示すアドレスコア#7に対し、迂回元の加入者ユーザ収容装置を示すアドレスコア#1への論理ポート設定を指示する。
(c)経路設定指示機能30を用い、当該加入者ユーザ収容装置を示すアドレスコア#1に対し、コア#7への論理ポートに割り当てられたラベルを、宛先アドレスがユーザ#5であるパケットへ付与するよう指示する。
(d)経路設定指示機能30を用い、旧誘導元加入者ユーザ収容装置を示すアドレスコア#3に対し、コア#8への論理ポートに割り当てられたラベルを、宛先アドレスがユーザ#5であるパケットへ付与する制御を解除するよう指示する。
この際、フロー誘導先管理機能28が複数のフローを管理しており、誘導元加入者ユーザ収容装置がコア#1で誘導先パケット処理装置がコア#7である別エントリが存在する場合、(a)および(b)の処理は省略する。
また、フロー誘導先管理機能28が、誘導元加入者ユーザ収容装置がコア#3で誘導先パケット処理装置がコア#7である別エントリを保有しない場合、下記の制御を実施する。
(e)論理ポート設定指示機能29を用い、旧誘導元加入者ユーザ収容装置を示すアドレスコア#3に対し、旧迂回先のパケット処理装置を示すアドレスコア#8への論理ポート削除を指示する。
(f)論理ポート設定指示機能29を用い、旧誘導先パケット処理装置を示すアドレスコア#8に対し、旧誘導元加入者ユーザ収容装置を示すアドレスコア#3への論理ポート削除を指示する。
本実施例では、当該エントリが存在しない場合、(e)(f)の動作により論理ポートも削除する。
このように、本発明は、パケット処理装置へ誘導中のパケットフロー群の転送データ量が動的に増加してパケット処理装置で輻輳が発生する可能性がある場合でも、パケットフロー群を送信元加入者ユーザ収容装置単位に分割して複数のパケット処理装置に負荷分散して迂回する。
これにより、複数のパケット処理装置間での動的な負荷分散を実現し、異常トラヒック分析・制御を低コストで実現可能となる。
以上説明した各装置は、その機能を実現するための手段を有しており、その手段はコンピュータと記憶装置に記憶されたプログラムで構成できる。また、そのプログラムの一部または全部に代えてハードウェアで構成することもできる。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明を適用するネットワークのネットワークモデルの一例を示している。 本発明を適用するネットワークの物理モデルの一例を示している。 本発明のネットワーク制御方法を実装する通信ネットワークに設置されるネットワーク制御装置の構成例を示している。 本発明のネットワーク制御方法を実装する通信ネットワークに設置される加入者ユーザ収容装置の構成例を示している。 本発明のネットワーク制御方法を実装する通信ネットワークに設置されるパケット処理装置の構成例を示している。 パケット処理装置への迂回制御前の転送経路例を示している。 パケット処理装置への迂回制御前の加入者ユーザ収容装置3の動作例を示している。 パケット処理装置への迂回制御開始時のネットワーク制御装置の動作例を示している。 パケット処理装置への迂回制御開始時の加入者ユーザ収容装置3の動作例を示している。 パケット処理装置への迂回制御開始時のパケット処理装置8の動作例を示している。 パケット処理装置への迂回制御後の転送経路例を示している。 複数パケット処理装置間での負荷分散時のネットワーク制御装置の動作例を示している。 パケット処理装置への迂回制御後の転送経路例を示している。 複数パケット処理装置間での動的負荷分散時のネットワーク制御装置の動作例を示している。
符号の説明
1〜4…加入者ユーザ収容装置、5〜6…パケット転送装置、7〜8…パケット処理装置、9…ネットワーク制御装置、10〜17…ユーザ端末、18〜21…アクセス網、22…コアネットワーク、23…ユーザネットワーク、24…制御フロー管理機能、25…外部装置制御部、26…誘導先管理リスト、27…誘導先トラヒック管理機能、28…フロー誘導先管理機能、29…論理ポート設定指示機能、30…経路設定指示機能、31…パケット転送部、32…サーバ接続部、33…転送テーブル、34…アクセスコントロールリスト、35…論理ポート設定機能、39…転送データ量観測機能、40…パケット処理機能、41…パケット返送機能、42…サーバ接続部、43…返送経路設定機能、44…パケット返送テーブル、101〜116…リンク

Claims (6)

  1. 論理ポートを設定可能な複数の加入者ユーザ収容装置と、論理ポートを設定可能であり、パケットの通過制御機能を搭載する複数のパケット処理装置と、宛先加入者ユーザ収容装置のアドレスと送信元加入者ユーザ収容装置のアドレスと宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量で構成される制御情報の通知を受けるネットワーク制御装置と、を有するパケット転送ネットワークにおけるネットワーク制御方法であって、
    前記ネットワーク制御装置が、
    前記加入者ユーザ収容装置毎のパケット処理装置をリストとして管理するとともに、
    通知されたパケットフローの転送データ量と、通知に記述された宛先加入者ユーザ収容装置に対するパケット処理装置の転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、
    一定値を超過しない際は、当該宛先加入者ユーザ収容装置と当該パケット処理装置間に論理的なトンネルを設定し、
    一定値を超過する際は、通知されたパケットフローの転送データ量と、通知に記述された送信元加入者ユーザ収容装置に対するパケット処理装置の転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、一定値を超過しない際は、当該送信元加入者ユーザ収容装置と当該パケット処理装置間に論理的なトンネルを設定する
    ことを特徴とするネットワーク制御方法。
  2. 請求項1に記載のネットワーク制御方法において、
    前記パケット処理装置は、
    通過パケットフローの一定時間毎の転送データ量をカウントし、
    前記ネットワーク制御装置は、
    各パケット処理装置に転送されているパケットフローを送信元加入者ユーザ収容装置と宛先加入者ユーザ収容装置と共にフロー管理リストとして管理するとともに、
    パケット処理装置の一定時間毎の総転送データ量を参照し、転送データ量が予め定めた一定値を超過したパケット処理装置を検出した際に、当該パケット処理装置について、転送データ量の合計が超過分以上となる単数または複数のパケットフローを特定し、特定したパケットフローに対し、前記フロー管理リストから、当該パケットフローの送信元加入者ユーザ収容装置を特定し、当該送信元加入者ユーザ収容装置に対するパケット処理装置の転送データ量と、特定したパケットフローの転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、
    一定値を超過しない際は、当該パケット処理装置を新たなパケットフロー転送先として当該装置と送信元加入者ユーザ収容装置間に論理的なトンネルを設定し、前パケット処理装置と宛先加入者ユーザ収容装置間に設定されている論理的なトンネルを削除する
    ことを特徴とするネットワーク制御方法。
  3. 請求項1または2に記載のネットワーク制御方法において
    前記ネットワーク制御装置が、
    宛先加入者ユーザ収容装置のアドレスと送信元加入者ユーザ収容装置のアドレスと宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量で構成される制御情報の通知を受ける代わりに、
    アドレスから当該アドレスを収容する加入者ユーザ収容装置を特定する機能を保有し、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量のみで構成される制御情報の通知を受けた際に、宛先アドレスから宛先加入者ユーザ収容装置を特定し、送信元アドレスから送信元加入者ユーザ収容装置を特定し、特定した加入者ユーザ収容装置を、通知に記述された加入者ユーザ収容装置として用いることを特徴とするネットワーク制御方法。
  4. 請求項1ないし3のうちのいずれか1項に記載のネットワーク制御方法において、
    転送データ量の代わりに、転送データ量と転送パケット数および転送パケットフロー数から構成される転送負荷を用いることを特徴とするネットワーク制御方法。
  5. 請求項1ないし4のうちのいずれか1項に記載のネットワーク制御方法において
    前記パケット処理装置が、
    前記パケット通過制御機能のパケット通過処理として、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄することを特徴とするネットワーク制御方法。
  6. 請求項1ないし4のうちのいずれか1項に記載のネットワーク制御方法において
    前記パケット処理装置が、
    前記パケット通過制御機能のパケット通過処理として、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄することを特徴とするネットワーク制御方法。
JP2007043148A 2007-02-23 2007-02-23 ネットワーク制御方法 Expired - Fee Related JP4260848B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007043148A JP4260848B2 (ja) 2007-02-23 2007-02-23 ネットワーク制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007043148A JP4260848B2 (ja) 2007-02-23 2007-02-23 ネットワーク制御方法

Publications (2)

Publication Number Publication Date
JP2008206115A true JP2008206115A (ja) 2008-09-04
JP4260848B2 JP4260848B2 (ja) 2009-04-30

Family

ID=39783070

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007043148A Expired - Fee Related JP4260848B2 (ja) 2007-02-23 2007-02-23 ネットワーク制御方法

Country Status (1)

Country Link
JP (1) JP4260848B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011030799A1 (ja) * 2009-09-09 2011-03-17 日本電気株式会社 通信ネットワーク、通信ノード、及び予備帯域制御方式
CN112769857A (zh) * 2021-01-22 2021-05-07 华迪计算机集团有限公司 一种用于电子政务外网的异常流量管控系统
JP2021535633A (ja) * 2018-06-29 2021-12-16 インテル コーポレイション 仮想ネットワークでのストレージサービスの品質の管理

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011030799A1 (ja) * 2009-09-09 2011-03-17 日本電気株式会社 通信ネットワーク、通信ノード、及び予備帯域制御方式
JP2021535633A (ja) * 2018-06-29 2021-12-16 インテル コーポレイション 仮想ネットワークでのストレージサービスの品質の管理
JP7175997B2 (ja) 2018-06-29 2022-11-21 インテル コーポレイション 仮想ネットワークでのストレージサービスの品質の管理
US11809890B2 (en) 2018-06-29 2023-11-07 Intel Corporation Managing quality of storage service in virtual network
CN112769857A (zh) * 2021-01-22 2021-05-07 华迪计算机集团有限公司 一种用于电子政务外网的异常流量管控系统
CN112769857B (zh) * 2021-01-22 2022-09-27 华迪计算机集团有限公司 一种用于电子政务外网的异常流量管控系统

Also Published As

Publication number Publication date
JP4260848B2 (ja) 2009-04-30

Similar Documents

Publication Publication Date Title
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
US20190297017A1 (en) Managing network congestion using segment routing
KR101900154B1 (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
JP4547340B2 (ja) トラフィック制御方式、装置及びシステム
EP3366020B1 (en) Sdn controller assisted intrusion prevention systems
JP2005277804A (ja) 情報中継装置
JP6599819B2 (ja) パケット中継装置
JP4380710B2 (ja) トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム
CN113037731B (zh) 基于sdn架构和蜜网的网络流量控制方法及系统
Afaq et al. Large flows detection, marking, and mitigation based on sFlow standard in SDN
Gkounis Cross-domain DoS link-flooding attack detection and mitigation using SDN principles
JP4279324B2 (ja) ネットワーク制御方法
KR20110065273A (ko) 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템
JP4260848B2 (ja) ネットワーク制御方法
JP4244356B2 (ja) トラヒック分析・制御システム
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
US10097515B2 (en) Firewall control device, method and firewall device
JP4516612B2 (ja) ネットワーク制御方法およびネットワーク制御装置
JP2006050442A (ja) トラヒック監視方法及びシステム
US20190230115A1 (en) Fatigue-based segment routing
Veena et al. Detection and mitigation of security attacks using real time SDN analytics
JP4326423B2 (ja) 管理装置および不正アクセス防御システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090203

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090204

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120220

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4260848

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130220

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees