JP2012034192A - Packet transfer device, packet transfer device management system, and packet transfer device management method - Google Patents

Packet transfer device, packet transfer device management system, and packet transfer device management method Download PDF

Info

Publication number
JP2012034192A
JP2012034192A JP2010172066A JP2010172066A JP2012034192A JP 2012034192 A JP2012034192 A JP 2012034192A JP 2010172066 A JP2010172066 A JP 2010172066A JP 2010172066 A JP2010172066 A JP 2010172066A JP 2012034192 A JP2012034192 A JP 2012034192A
Authority
JP
Japan
Prior art keywords
flow
search
packet
statistics
packet transfer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010172066A
Other languages
Japanese (ja)
Other versions
JP5480056B2 (en
Inventor
Yuichi Ishikawa
有一 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2010172066A priority Critical patent/JP5480056B2/en
Publication of JP2012034192A publication Critical patent/JP2012034192A/en
Application granted granted Critical
Publication of JP5480056B2 publication Critical patent/JP5480056B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To perform a power-saving flow search for dynamically controlling triggering of flow search of CAM according to traffic amount.SOLUTION: A packet transfer device measures a traffic amount for each interface (for each flow list), and registers the flow entry for a flow monitor only for the interface whose traffic amount is excessive, for triggering CAM search. It includes a search triggering flag table 612 for each flow list, and sets presence of registration of flow entry for each flow list according to the traffic amount. Upon receiving a packet, it refers to the search triggering flag table 612, and triggers a CAM 614 only for the packet corresponding to the flow list in which the flow entry is registered. At the interface whose traffic amount has been reduced, the flow entry is deleted to stop triggering of CAM search.

Description

本発明は、パケット転送装置、パケット転送装置管理システム及びパケット転送装置管理方法に係り、特に、ネットワーク上を流れるパケットの統計量に基づいてパケットの検索起動を制御するパケット転送装置、及び、それを管理するパケット転送装置管理システム及びパケット転送装置管理方法に関する。   The present invention relates to a packet transfer device, a packet transfer device management system, and a packet transfer device management method, and more particularly to a packet transfer device that controls packet search activation based on statistics of packets flowing on a network, and The present invention relates to a packet transfer device management system and a packet transfer device management method to be managed.

パケット転送装置の、検索に伴う消費電力の低減が必須課題となっている。CAM(Content Addressable Memory)を用いたフロー検索の省電力技術の例が、例えば、特開2009−239401号公報(特許文献1)、特開2006−165603号公報(特許文献2)に開示されている。   Reduction of the power consumption accompanying the search of the packet transfer apparatus has become an essential issue. Examples of power-saving techniques for flow search using CAM (Content Addressable Memory) are disclosed in, for example, Japanese Patent Application Laid-Open No. 2009-239401 (Patent Document 1) and Japanese Patent Application Laid-Open No. 2006-165603 (Patent Document 2). Yes.

特許文献1の技術は、検索キーの項目数に応じた検索手段を指定する。また、トラフィック量によらず検索起動する。特許文献2の技術は、検索キーから生成したHashで指定されたブロックのみ検索起動する。また、トラフィック量によらず検索起動する。   The technique of Patent Document 1 designates a search means corresponding to the number of search key items. The search is activated regardless of the traffic volume. In the technique of Patent Document 2, only a block designated by Hash generated from a search key is searched and activated. The search is activated regardless of the traffic volume.

特開2009−239401号公報「パケット転送装置」JP 2009-239401 A "Packet Transfer Device" 特開2006−165603号公報「データ転送装置」JP 2006-165603 A "Data Transfer Device" 特開2008−92520号公報「パケット品質評価システムおよび方法」JP 2008-92520 A “Packet Quality Evaluation System and Method”

パケット転送装置におけるフロー検索の用途のうち、フローモニタ機能(例えばNetFlow/選択的sFlow/フローミラー等)やQoS機能は、トラフィック量が過大である場合に特に有効な機能であり、トラフィック量が少量である場合には必ずしも機能させなくてもよい。しかし、特許文献1、2の技術では、トラフィック量によらずフローエントリが設定されCAM検索が起動されるので、トラフィックが少量で機能を必要としない場合にもCAMの消費電力やフローエントリを過剰に消費してしまう。   Among the flow search applications in the packet transfer device, the flow monitor function (for example, NetFlow / selective sFlow / flow mirror) and the QoS function are particularly effective functions when the traffic volume is excessive, and the traffic volume is small. If it is, it does not necessarily have to function. However, in the techniques of Patent Documents 1 and 2, since the flow entry is set regardless of the traffic volume and the CAM search is started, even if the traffic is small and the function is not required, the CAM power consumption and the flow entry are excessive. To consume.

本発明は、以上の点に鑑み、トラフィック量に応じて動的にCAMのフロー検索の起動を制御する省電力フロー検索を行うパケット転送装置、パケット転送装置管理システム及びパケット転送装置管理方法を提供することを目的とする。   In view of the above, the present invention provides a packet transfer apparatus, a packet transfer apparatus management system, and a packet transfer apparatus management method for performing a power-saving flow search that dynamically controls activation of a CAM flow search according to the traffic volume. The purpose is to do.

本発明は、トラフィック量に応じてフローエントリを設定し、エントリ設定の有るフローリストを検索起動する。
本発明では、まずインタフェースレベルの荒い粒度でトラフィック量を測定する。トラフィックが過大となったインタフェースに対してのみ、各種フローエントリを設定し、CAM検索を起動する。トラフィックが減少したインタフェースではフローエントリを削除し、再びCAM検索起動を停止して省電力化、フローエントリ数削減する。 In the present invention, a flow entry is set according to the traffic volume, and a flow list with entry setting is searched and activated.
In the present invention, first, the traffic volume is measured with a rough granularity at the interface level. Only for the interface where the traffic is excessive, various flow entries are set and the CAM search is started. In the interface where traffic has decreased, the flow entry is deleted, and the CAM search activation is stopped again to save power and reduce the number of flow entries.

これを実現するため、インタフェース毎のエントリの設定有無を管理する検索起動フラグテーブルを所持する。初期状態では、検索起動フラグは全てオフに設定する。トラフィックが過大と判定されたインタフェースのみ、検索起動フラグをオンとし、当該インタフェースに対するフローエントリを設定し始める。パケットを受信すると、フロー検索を起動する前に予め検索起動フラグテーブルを参照して、検索起動フラグがオン(=フローエントリ設定有)となっているインタフェース、テーブルの属するブロックのみ検索起動する。トラフィックが減少したと判定されたインタフェースの検索起動フラグはオフとし、フローエントリを削除する。更に、「NetFlowで異常フロー特定した場合、フローミラーで詳細解析」といった段階的な検索起動も考えられる。   In order to realize this, a search activation flag table for managing the presence / absence of entry setting for each interface is possessed. In the initial state, all search activation flags are set to off. Only the interface for which the traffic is determined to be excessive turns on the search activation flag and starts setting the flow entry for the interface. When a packet is received, the search activation flag table is referred to in advance before the flow search is activated, and only the interface to which the search activation flag is on (= flow entry set) and the block to which the table belongs are activated. The search activation flag of the interface determined to have decreased traffic is turned off, and the flow entry is deleted. Further, step-by-step search activation such as “when abnormal flow is identified with NetFlow, detailed analysis with flow mirror” is also conceivable.

本発明の第1の解決手段によると、
複数の入力回線と複数の出力回線に接続され、入力回線から受信したパケットをヘッダ情報に基づき特定される出力回線に送信するパケット転送装置であって、
複数のブロックを有するフロー検索メモリと、
受信したパケットのヘッダ情報のうちひとつ以上の情報を検索キーとして前記フロー検索メモリの所定ブロックを検索して該パケットが属するフローを識別するフロー検索を実行するフロー検索制御部と、
識別されたフローに従い、フロー毎に予め定められた処理を実行するフロー処理部と、
フローリストの識別子と、前記フロー検索メモリの複数のブロックにそれぞれ対応し該複数のブロックのうち検索対象となるブロックを特定する複数の検索起動情報が対応して格納される検索起動テーブルと、
受信パケットが属するフローリストに基づき前記検索起動テーブルを参照して、対応する検索起動情報に従い検索対象となる前記フロー検索メモリのブロックを特定する検索起動判定部と
を備え、
前記フロー検索制御部は、
前記検索起動判定部で特定された前記フロー検索メモリのブロックに対し前記フロー検索を実行するパケット転送装置が提供される。
上述のパケット転送装置によると、検索が必要なブロックを活性化すればよく、省電力フロー検索を行うことができる。 According to the first solution of the present invention,
A packet transfer apparatus that is connected to a plurality of input lines and a plurality of output lines, and that transmits a packet received from the input line to an output line specified based on header information,
A flow search memory having a plurality of blocks;
A flow search control unit that searches a predetermined block of the flow search memory using one or more pieces of information of received header information of a packet as a search key and identifies a flow to which the packet belongs;
A flow processing unit that executes a predetermined process for each flow according to the identified flow;
A search start table in which a plurality of search start information corresponding to a plurality of blocks of the flow search memory and corresponding to a plurality of search start information for specifying a search target block among the plurality of blocks are stored correspondingly.
A search activation determination unit that refers to the search activation table based on a flow list to which the received packet belongs, and specifies a block of the flow search memory to be searched according to corresponding search activation information;
The flow search control unit
A packet transfer apparatus is provided that performs the flow search on the block of the flow search memory identified by the search activation determination unit.
According to the packet transfer apparatus described above, it is only necessary to activate a block that needs to be searched, and a power saving flow search can be performed.

本発明の第2の解決手段によると、
複数の入力回線と複数の出力回線に接続され、入力回線から受信したパケットをヘッダ情報に基づき特定される出力回線に送信するパケット転送装置であって、
パケットのヘッダ情報に基づき該パケットが属するフローを識別するためのフロー検索メモリと、
受信したパケットのヘッダ情報のうちひとつ以上の情報を検索キーとして前記フロー検索メモリを検索して該パケットが属するフローを識別するフロー検索を実行するフロー検索制御部と、
識別されたフローに従い、フロー毎に予め定められた処理を実行するフロー処理部と、
フローリストの識別子と、前記フロー検索を実行するか否かを示す検索起動情報とが格納される検索起動テーブルと、
受信するパケット又は送信するパケットの統計量を、フローリスト毎に求める統計採取部と、
前記統計採取部により求められた統計量が予め定められた登録閾値を上回る場合、前記検索起動テーブルの、該当するフローリストに対応する検索起動情報を、前記フロー検索を実行するように設定する管理部と、
受信したパケットが属するフローリストに基づき前記検索起動テーブルを参照して、対応する検索起動情報に従いフロー検索を実行するか判定する検索起動判定部と
を備え、
前記フロー検索制御部は、前記検索起動判定部の判定結果に従い、フロー検索を実行すると判定された場合前記フロー検索メモリに対する前記フロー検索を実行し、フロー検索を実行しないと判定された場合、前記フロー検索を実行しない前記パケット転送装置が提供される。
上述のパケット転送装置によると、トラフィック量に応じて動的にCAMのフロー検索の起動を制御する省電力フロー検索を行うことができる。 According to the second solution of the present invention,
A packet transfer apparatus that is connected to a plurality of input lines and a plurality of output lines, and that transmits a packet received from the input line to an output line specified based on header information,
A flow search memory for identifying the flow to which the packet belongs based on the header information of the packet;
A flow search control unit that searches the flow search memory using one or more pieces of information of received packet header information as a search key and executes a flow search for identifying a flow to which the packet belongs;
A flow processing unit that executes a predetermined process for each flow according to the identified flow;
A search activation table storing a flow list identifier and search activation information indicating whether to execute the flow search;
A statistics collection unit that obtains the statistics of received packets or transmitted packets for each flow list; and
Management in which search activation information corresponding to a corresponding flow list in the search activation table is set to execute the flow search when the statistic obtained by the statistics collection unit exceeds a predetermined registration threshold And
A search activation determination unit that refers to the search activation table based on a flow list to which the received packet belongs, and determines whether to execute a flow search according to corresponding search activation information;
The flow search control unit executes the flow search for the flow search memory when it is determined to execute a flow search according to the determination result of the search activation determination unit, and when it is determined not to execute the flow search, The packet transfer apparatus that does not perform flow search is provided.
According to the packet transfer apparatus described above, it is possible to perform a power-saving flow search that dynamically controls activation of a CAM flow search according to the traffic volume.

本発明の第3の解決手段によると、
フローエントリの登録有り又は登録無しを示すフラグが設定される検索起動テーブルを有し、該フラグが登録有りを示す場合、入力パケットのフロー検索を実行し、該フラグが登録無しを示す場合フロー検索を実行しないパケット転送装置と、
前記パケット転送装置を管理する外部管理装置と
を備えたパケット転送装置管理システムであって、
前記パケット転送装置は、受信するパケットの統計量、または送信するパケットの統計量を求めて前記外部管理装置に送信し、
前記外部管理装置は、前記パケット転送装置から送信されたパケットの統計量が予め定められた登録閾値を上回ること、又は、パケットの統計量が予め定められた削除閾値を下回ることにより、フローエントリの登録又は削除の要否を判定し、
前記外部管理装置は、フローエントリの登録又は削除の要否を示す設定制御情報を前記パケット転送装置に送信し、
前記パケット転送装置は、前記外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを登録し、検索起動フラグテーブルのフラグを登録有りとし、前記外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを削除し、検索起動フラグテーブルのフラグを登録無しとするパケット転送装置管理システムが提供される。
上述のパケット転送装置管理システムによると、パケット転送装置の外部の装置で検索起動を管理できる。 According to the third solution of the present invention,
It has a search start table in which a flag indicating whether a flow entry is registered or not registered is set. When the flag indicates that there is registration, a flow search is executed for the input packet. A packet transfer device that does not execute
A packet transfer device management system comprising an external management device for managing the packet transfer device,
The packet transfer device obtains the statistics of the packet to be received or the statistics of the packet to be transmitted and transmits it to the external management device,
The external management device determines whether the statistic of the packet transmitted from the packet transfer device exceeds a predetermined registration threshold or the statistical value of the packet falls below a predetermined deletion threshold. Determine whether registration or deletion is necessary,
The external management device transmits setting control information indicating whether registration or deletion of a flow entry is necessary to the packet transfer device,
The packet transfer device registers a flow entry for a flow search when the setting control information transmitted from the external management device indicates that a flow entry needs to be registered, and sets a flag in the search activation flag table. If it is registered and the setting control information transmitted from the external management device indicates that the flow entry needs to be registered, the flow entry for the flow search is deleted and the flag of the search activation flag table is not registered A packet transfer device management system is provided.
According to the packet transfer device management system described above, search activation can be managed by a device external to the packet transfer device.

本発明の第4の解決手段によると、
パケット転送装置は、受信するパケットの統計量、または送信するパケットの統計量を求めて外部管理装置に送信し、
外部管理装置は、パケット転送装置から送信されたパケットの統計量が予め定められた登録閾値を上回ること、又は、パケットの統計量が予め定められた削除閾値を下回ることにより、フローエントリの登録又は削除の要否を判定し、
外部管理装置は、フローエントリの登録又は削除の要否を示す設定制御情報をパケット転送装置に送信し、
パケット転送装置は、外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを登録し、検索起動フラグテーブルのフラグを登録有りとし、外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを削除し、検索起動フラグテーブルのフラグを登録無しとし、
パケット転送装置は、検索起動テーブルのフラグを参照して、該フラグが登録有りを示す場合入力パケットのフロー検索を実行し、該フラグが登録無しを示す場合フロー検索を実行しないパケット転送装置管理方法が提供される。
上述のパケット転送装置管理方法によると、パケット転送装置の外部の装置で検索起動を管理できる。 According to the fourth solution of the present invention,
The packet transfer device obtains the statistics of the received packet or the statistics of the packet to be transmitted and sends it to the external management device.
The external management device can register a flow entry when the statistic of the packet transmitted from the packet transfer device exceeds a predetermined registration threshold value or the statistic of the packet falls below a predetermined deletion threshold value. Determine whether it needs to be deleted,
The external management device transmits setting control information indicating whether registration or deletion of the flow entry is necessary to the packet transfer device,
When the setting control information transmitted from the external management device indicates that the flow entry needs to be registered, the packet transfer device registers the flow entry for the flow search and registers the flag of the search activation flag table When the setting control information transmitted from the external management device indicates that registration of the flow entry is necessary, the flow entry for the flow search is deleted, and the flag of the search activation flag table is not registered.
The packet transfer apparatus refers to the flag of the search start table, and executes a flow search for an input packet when the flag indicates that there is registration, and does not execute a flow search when the flag indicates that there is no registration Is provided.
According to the packet transfer device management method described above, search activation can be managed by a device external to the packet transfer device.

本発明によると、トラフィック量に応じて動的にCAMのフロー検索の起動を制御する省電力フロー検索を行うことができる。   According to the present invention, it is possible to perform a power saving flow search that dynamically controls activation of a CAM flow search according to the traffic volume.

本発明のパケット転送装置のブロック図。The block diagram of the packet transfer apparatus of this invention. 本発明のフロー検索部のブロック図。The block diagram of the flow search part of this invention. フローリストを入力物理回線毎に構成する場合の、本発明の検索起動フラグテーブル。The search start flag table of this invention when a flow list is comprised for every input physical line. フローリストを入力論理回線毎に構成する場合の、本発明の検索起動フラグテーブル。The search start flag table of this invention when a flow list is comprised for every input logical line. フローリストを出力物理回線毎に構成する場合の、本発明の検索起動フラグテーブル。The search start flag table of this invention when a flow list is comprised for every output physical line. フローリストを出力論理回線毎に構成する場合の、本発明の検索起動フラグテーブル。The search start flag table of this invention when a flow list is comprised for every output logical line. フロー検索CAM614をフィルタ/QoS/NetFlow/フローミラーの各種テーブル用途に分配する構成例、及び、フロー検索CAM614及び対応するフロー処理RAM616の構成図。6 is a configuration example of distributing the flow search CAM 614 to various table uses of filters / QoS / NetFlow / flow mirrors, and a configuration diagram of the flow search CAM 614 and the corresponding flow processing RAM 616. FIG. フロー検索CAM614の1ブロックに格納されるエントリの例。An example of an entry stored in one block of the flow search CAM 614. フロー処理RAM616のフィルタ領域に設定されたフロー処理エントリの例。An example of a flow processing entry set in the filter area of the flow processing RAM 616. フロー処理RAM616のNetFlow領域に設定されたフロー処理エントリの例。An example of a flow process entry set in the NetFlow area of the flow process RAM 616. フロー処理RAM616のQoS領域に設定されたフロー処理エントリの例。An example of a flow process entry set in the QoS area of the flow process RAM 616. フロー処理RAM616のフローミラー領域に設定されたフロー処理エントリの例。An example of a flow process entry set in the flow mirror area of the flow process RAM 616. 統計量としてパケットレートを採取する場合の統計採取部62の構成図。The block diagram of the statistics collection part 62 in the case of collecting a packet rate as a statistics. 統計量としてビットレートを採取する場合の統計採取部62の構成図。The block diagram of the statistics collection part 62 in the case of collecting a bit rate as a statistics. 入力物理回線毎の統計量に基づいて検索起動フラグテーブルを設定する流れを示すフローチャート。The flowchart which shows the flow which sets a search starting flag table based on the statistics for every input physical line. 入力物理回線毎にフローリストを備える場合の、検索起動フラグテーブルに基づく検索起動制御の流れを示すフローチャート。The flowchart which shows the flow of search starting control based on a search starting flag table in the case of providing a flow list for every input physical line. 入力物理回線毎のパケットレートに基づいて検索起動フラグテーブルを設定する流れを示すフローチャート。The flowchart which shows the flow which sets a search starting flag table based on the packet rate for every input physical line. 入力物理回線毎のビットレートに基づいて検索起動フラグテーブルを設定する流れを示すフローチャート。The flowchart which shows the flow which sets a search starting flag table based on the bit rate for every input physical line. 入力論理回線毎にフローリストを備える場合の、検索起動フラグテーブルに基づく検索起動制御の流れを示すフローチャート。The flowchart which shows the flow of search starting control based on a search starting flag table in the case of providing a flow list for every input logical line. 出力物理回線毎にフローリストを備える場合の、検索起動フラグテーブルに基づく検索起動制御の流れを示すフローチャート。The flowchart which shows the flow of search starting control based on a search starting flag table in the case of providing a flow list for every output physical line. 出力論理回線毎にフローリストを備える場合の、検索起動フラグテーブルに基づく検索起動制御の流れを示すフローチャート。The flowchart which shows the flow of search starting control based on a search starting flag table in the case of providing a flow list for every output logical line. 入力物理回線毎にフローリストを備える場合の、入力物理回線毎のビットレートに基づくNetFlowの検索起動制御の流れを示すフローチャート。The flowchart which shows the flow of search starting control of NetFlow based on the bit rate for every input physical line in the case of providing a flow list for every input physical line. NetFlowによるフロー毎のビットレートに基づくフローミラーの検索起動制御の流れを示すフローチャート。The flowchart which shows the flow of search starting control of the flow mirror based on the bit rate for every flow by NetFlow. フロー処理RAMのNetFlow領域で、フロー毎のビットレートを統計採取するためのフロー処理エントリの例。An example of a flow processing entry for collecting statistics of the bit rate for each flow in the NetFlow area of the flow processing RAM. 全てのフローリスト(全ての物理回線または論理回線)に対し、本発明のパケットの統計量に基づいてNetFlowのフローエントリを登録する機能を有効とするユーザインタフェースの設定例。An example of setting a user interface that enables a function of registering a NetFlow flow entry based on a packet statistic of the present invention for all flow lists (all physical lines or logical lines). 入力物理回線0と、入力物理回線3と、出力物理回線1に対し、本発明のパケットの統計量に基づいてフローミラーのフローエントリを登録する機能を有効とするユーザインタフェースの設定例。A setting example of a user interface that enables a function of registering a flow entry of a flow mirror based on a packet statistic of the present invention for an input physical line 0, an input physical line 3, and an output physical line 1. ネットワークによって接続された本発明のパケット転送装置と外部管理装置の構成図。The block diagram of the packet transfer apparatus of this invention and the external management apparatus which were connected by the network. 検索起動ブロックテーブルの構成図。The block diagram of a search starting block table.

1.第1の実施の形態
まず、フローリスト毎の検索起動フラグテーブルに基づいて検索起動を制御するパケット転送装置について説明する。 1. First Embodiment First, a packet transfer apparatus that controls search activation based on a search activation flag table for each flow list will be described.

(ハード構成)
図1は、パケット転送装置のブロック図である。
パケット転送装置1は、例えば、管理ソフト搭載CPU(処理部)3と、レジスタ4と、パケット受信回路5と、受信側のパケット検索部6と、パケット中継処理手段(スイッチ部)7と、送信側のパケット検索部8と、パケット送信回路9とを備える。パケット検索部6は、例えば、経路検索部60と、フロー検索部61と、統計採取部62とを有する。
パケット転送装置1は、複数の入力回線と複数の出力回線に接続され、入力回線から受信したパケットをヘッダ情報に基づき特定される出力回線に送信する。 (Hardware configuration)
FIG. 1 is a block diagram of a packet transfer apparatus.
The packet transfer apparatus 1 includes, for example, a management software loaded CPU (processing unit) 3, a register 4, a packet receiving circuit 5, a receiving side packet search unit 6, a packet relay processing unit (switch unit) 7, and a transmission Side packet search unit 8 and packet transmission circuit 9 are provided. The packet search unit 6 includes, for example, a route search unit 60, a flow search unit 61, and a statistics collection unit 62.
The packet transfer apparatus 1 is connected to a plurality of input lines and a plurality of output lines, and transmits a packet received from the input line to an output line specified based on the header information.

パケット受信回路5は、入力回線からパケットを受信すると、パケットを格納し、パケットのヘッダ情報をパケット検索部6に出力する。さらに、パケット受信回路5は、パケットを入力した入力回線を識別する入力回線番号(又は識別子)を含み、装置内で使用される内部ヘッダを、パケット検索部6に出力してもよい。パケット受信回路5は、例えば、フロー検索部61でのフロー検索の結果に応じた処理をすることもできる。例えば、フロー検索がフィルタ機能に用いられる場合において、フロー検索により特定されたフローに対するフロー処理がパケットの廃棄を示す場合には、パケット受信回路5は格納したパケットを廃棄する。一方、フロー検索により特定されたフローに対するフロー処理がパケットの通過を示す場合などには、経路検索部60で特定された出力先に従い、格納されたパケットをパケット中継処理手段7に出力する。なお、フロー検索により特定されたフローに対するフロー処理は、フロー毎に予め定められ、パケット受信回路5やパケット検索部6で適宜実行されることができる。なお、フロー処理を実行するものをここではフロー処理部と称する。フロー処理の例については後述する。   When receiving the packet from the input line, the packet receiving circuit 5 stores the packet and outputs the header information of the packet to the packet search unit 6. Further, the packet receiving circuit 5 may output an internal header used in the apparatus to the packet search unit 6 including an input line number (or identifier) for identifying an input line to which a packet is input. For example, the packet receiving circuit 5 can perform processing according to the result of the flow search in the flow search unit 61. For example, in the case where the flow search is used for the filter function and the flow process for the flow specified by the flow search indicates the discard of the packet, the packet receiving circuit 5 discards the stored packet. On the other hand, when the flow process for the flow specified by the flow search indicates the passage of the packet, the stored packet is output to the packet relay processing unit 7 according to the output destination specified by the route search unit 60. Note that the flow process for the flow specified by the flow search is predetermined for each flow and can be appropriately executed by the packet receiving circuit 5 or the packet search unit 6. In addition, what performs a flow process is called a flow process part here. An example of the flow process will be described later.

送信側のパケット検索部8は、受信側のパケット検索部6と同様の構成を有することができる。本実施の形態は、受信側及び送信側のパケット検索部6、8のいずれにも適用できる。パケット送信回路9は、パケット中継処理手段7により転送されたパケットを入力し、パケット受信回路5及びパケット検索部6と同様の処理を行い、パケットを出力回線に送信する。   The packet search unit 8 on the transmission side can have the same configuration as the packet search unit 6 on the reception side. This embodiment can be applied to both the packet search units 6 and 8 on the reception side and the transmission side. The packet transmission circuit 9 receives the packet transferred by the packet relay processing means 7, performs the same processing as the packet reception circuit 5 and the packet search unit 6, and transmits the packet to the output line.

パケット検索部6の経路検索部60は、パケットのヘッダ情報に基づき、パケットの出力先を特定する。フロー検索部61は、パケットのヘッダ情報に基づきフローを検索し、検索されたフローに対するフロー処理を判定する。統計採取部62は、受信するパケット又は送信するパケットの統計量を、フローリスト毎に求める。
レジスタ4は、設定情報などを格納する。管理ソフト搭載CPU3は、例えば管理端末2から設定情報を入力し、パケット検索部6の各部に設定する。 The route search unit 60 of the packet search unit 6 specifies the output destination of the packet based on the header information of the packet. The flow search unit 61 searches for a flow based on the header information of the packet, and determines a flow process for the searched flow. The statistics collection unit 62 obtains the statistics of received packets or transmitted packets for each flow list.
The register 4 stores setting information and the like. The management software loading CPU 3 inputs setting information from the management terminal 2, for example, and sets the setting information in each unit of the packet search unit 6.

図2は、フロー検索部61のブロック図である。
フロー検索部61は、例えば、検索起動判定部610と、検索起動フラグテーブル制御部611と、検索起動フラグテーブル612と、フロー検索CAM制御部613と、フロー検索CAM614と、フロー処理RAM(Random Access Memory)制御部615と、フロー処理RAM616と、フロー処理判定部とを有する。 FIG. 2 is a block diagram of the flow search unit 61.
The flow search unit 61 includes, for example, a search start determination unit 610, a search start flag table control unit 611, a search start flag table 612, a flow search CAM control unit 613, a flow search CAM 614, and a flow processing RAM (Random Access). Memory) control unit 615, flow processing RAM 616, and flow processing determination unit.

フロー検索CAM(フロー検索メモリ)614は、例えば、パケットのヘッダ情報に基づきパケットが属するフローを識別するためのメモリである。フロー検索CAM614は、図示のように複数のブロックを有してもよい。例えば、識別されたフローに対するフロー処理が、例えばフィルタ機能、QoS機能、NetFlow機能、フローミラー機能の場合、各機能に対応するブロックを有する。物理的に別個のCAMが各ブロックにそれぞれ対応してもよいし、ひとつのCAMが複数のブロックに分割されてもよい。なお、上述の機能以外の適宜の機能のブロックを有しても良いし、上述の機能の一部のブロックを有してもよい。   The flow search CAM (flow search memory) 614 is a memory for identifying a flow to which a packet belongs based on, for example, packet header information. The flow search CAM 614 may have a plurality of blocks as shown. For example, in the case where the flow process for the identified flow is, for example, a filter function, a QoS function, a NetFlow function, or a flow mirror function, a block corresponding to each function is included. A physically separate CAM may correspond to each block, or one CAM may be divided into a plurality of blocks. In addition, you may have a block of appropriate functions other than the above-mentioned function, and you may have a one part block of the above-mentioned function.

検索起動フラグテーブル612は、フローリストの識別子と、フロー検索CAM614の複数のブロックにそれぞれ対応し、複数のブロックのうち検索対象となるブロックを特定する複数の検索起動フラグ(検索起動情報)とが対応して格納される。例えば、フロー検索CAM614には、検索起動フラグが「1」の機能に対応するブロックに、対応するフローリストのフローエントリが格納される。なお、フラグを用いる以外にも適宜の形態で検索起動情報が格納されてもよい。   The search activation flag table 612 includes a flow list identifier and a plurality of search activation flags (search activation information) that respectively correspond to a plurality of blocks of the flow search CAM 614 and identify a block to be searched among the plurality of blocks. Stored correspondingly. For example, the flow search CAM 614 stores the flow entry of the corresponding flow list in the block corresponding to the function whose search activation flag is “1”. Note that the search activation information may be stored in an appropriate form other than using the flag.

なお、フローリストは、ユーザがフローポリシを定義する単位・グループである。フローリストは、入力回線又は出力回線、又は論理的な入力インタフェースとして例えば入力VLAN、又は論理的な出力インタフェースとして例えば出力VLANが共通するフローエントリの集合として構成されるリストである。例えば、入力回線番号が共通しているものをひとつのフローリストとみなせる。フローリストの識別子としては、後述するように、例えば、入力物理回線、入力論理回線、出力物理回線及び出力論理回線のいずれかの識別子を用いることができる。   The flow list is a unit / group in which a user defines a flow policy. The flow list is a list configured as a set of flow entries in which an input line or an output line, or a logical input interface, for example, an input VLAN, or a logical output interface, for example, an output VLAN is common. For example, a common input line number can be regarded as one flow list. As the identifier of the flow list, as will be described later, for example, any one of an input physical line, an input logical line, an output physical line, and an output logical line can be used.

検索起動判定部610は、受信パケットが属するフローリスト(例えば入力回線番号など)に基づき検索起動フラグテーブル612を参照して、該当するフローエントリの有無を判定し、フローエントリがある場合は検索起動フラグに従い検索対象となるフロー検索CAM614のブロックを特定する。検索起動フラグテーブル制御部611は、検索起動フラグテーブル612の検索や、検索起動フラグテーブル612への設定を制御する。   The search activation determination unit 610 refers to the search activation flag table 612 based on the flow list (for example, input line number) to which the received packet belongs, and determines whether there is a corresponding flow entry. If there is a flow entry, the search activation is performed. The block of the flow search CAM 614 to be searched is specified according to the flag. The search activation flag table control unit 611 controls search of the search activation flag table 612 and setting of the search activation flag table 612.

フロー検索CAM制御部613は、受信したパケットのヘッダ情報のうちひとつ以上の情報を検索キーとしてフロー検索CAM614の所定ブロックを検索して、パケットが属するフローを識別するフロー検索を実行する。例えば、フロー検索CAM制御部613は、検索起動フラグテーブル612を参照して特定されたフロー検索CAM614のブロックに対しフロー検索を実行する。   The flow search CAM control unit 613 searches for a predetermined block of the flow search CAM 614 using one or more pieces of information in the received packet header information as a search key, and executes a flow search for identifying the flow to which the packet belongs. For example, the flow search CAM control unit 613 performs a flow search on the block of the flow search CAM 614 specified with reference to the search activation flag table 612.

フロー処理RAM制御部615は、フロー検索CAM制御部613のフロー検索の結果得られたヒットアドレスに基づき、フロー処理RAM616を検索する。フロー処理RAM616は、フロー検索CAM614の対応するアドレスに、フロー処理に関する情報が格納される。詳細は後述する。フロー処理判定部は、フロー検索CAM制御部613及びフロー処理RAM制御部615による検索結果から、フロー処理を判定する。   The flow processing RAM control unit 615 searches the flow processing RAM 616 based on the hit address obtained as a result of the flow search by the flow search CAM control unit 613. The flow processing RAM 616 stores information related to the flow processing at a corresponding address of the flow search CAM 614. Details will be described later. The flow processing determination unit determines the flow processing from the search results obtained by the flow search CAM control unit 613 and the flow processing RAM control unit 615.

図3は、フローリストを入力物理回線毎に構成する場合の、検索起動フラグテーブルである。入力物理回線毎にフローリストが構成され、検索起動フラグテーブル612は、入力物理回線の識別子に対応して、検索起動フラグが格納される。   FIG. 3 is a search activation flag table when a flow list is configured for each input physical line. A flow list is configured for each input physical line, and the search activation flag table 612 stores a search activation flag corresponding to the identifier of the input physical line.

図4は、フローリストを入力論理回線毎に構成する場合の、検索起動フラグテーブルである。入力論理回線毎にフローリストが構成され、検索起動フラグテーブル612は、入力論理回線の識別子に対応して、検索起動フラグが格納される。   FIG. 4 is a search activation flag table when the flow list is configured for each input logical line. A flow list is configured for each input logical line, and the search activation flag table 612 stores a search activation flag corresponding to the identifier of the input logical line.

図5は、フローリストを出力物理回線毎に構成する場合の、検索起動フラグテーブルである。出力物理回線毎にフローリストが構成され、検索起動フラグテーブル612は、出力物理回線の識別子に対応して、検索起動フラグが格納される。   FIG. 5 is a search activation flag table when a flow list is configured for each output physical line. A flow list is configured for each output physical line, and the search activation flag table 612 stores a search activation flag corresponding to the identifier of the output physical line.

図6は、フローリストを出力論理回線毎に構成する場合の、検索起動フラグテーブルである。出力論理回線毎にフローリストが構成され、検索起動フラグテーブル612は、出力論理回線の識別子に対応して、検索起動フラグが格納される。   FIG. 6 is a search activation flag table when a flow list is configured for each output logical line. A flow list is configured for each output logical line, and the search activation flag table 612 stores a search activation flag corresponding to the identifier of the output logical line.

図7は、フロー検索CAM614及び対応するフロー処理RAM616の構成図である。
図7(a)に、フロー検索CAM614をフィルタ/QoS/NetFlow/フローミラーの各種テーブル用途に分配する構成例を示す。フロー検索CAM614は、複数のブロックを有する。例えば、フィルタブロック、QoSブロック、NetFlowブロック、フローミラーブロックを有する。例えば、フロー検索CAM614の物理的なブロック6140〜6147を、図示のように各機能に対するブロックに割り当てても良い。図の例では各ブロックを均等に分けているが、適宜分けることができ、例えば記憶量、エントリ量等に応じて分けても良い。 FIG. 7 is a configuration diagram of the flow search CAM 614 and the corresponding flow processing RAM 616.
FIG. 7A shows a configuration example in which the flow search CAM 614 is distributed to various table uses of filter / QoS / NetFlow / flow mirror. The flow search CAM 614 has a plurality of blocks. For example, a filter block, a QoS block, a NetFlow block, and a flow mirror block are included. For example, the physical blocks 6140 to 6147 of the flow search CAM 614 may be assigned to blocks for each function as illustrated. In the example shown in the figure, each block is equally divided, but can be appropriately divided. For example, the blocks may be divided according to the storage amount, the entry amount, or the like.

図7(b)に、図7(a)のフロー検索CAM614に対応するフロー処理RAM616の構成を示す。フロー処理RAM616は、複数の領域を有する。例えば、フィルタ領域6160、QoS領域6162、NetFlow領域6161、フローミラー領域6163を有する。   FIG. 7B shows a configuration of the flow processing RAM 616 corresponding to the flow search CAM 614 in FIG. The flow processing RAM 616 has a plurality of areas. For example, it has a filter area 6160, a QoS area 6162, a NetFlow area 6161, and a flow mirror area 6163.

図8は、フロー検索CAM614のブロックに格納されるエントリの例である。
フロー検索CAM614のエントリ(フローエントリ)は、例えば、フローリストの識別子(例えば入力物理回線の識別子)と、送信元MACアドレス(SMAC)と、宛先MACアドレス(DMAC)と、送信元IPアドレス(SIP)と、宛先IPアドレス(DIP)と、TOS(Type of Service)と、TCPのポート番号である送信元ポート番号(SPORT)と、宛先ポート番号(DPORT)とを含む。各エントリのアドレスがヒットアドレスとして出力される。なお、各エントリの情報項目は、これ以外にも、特定するフローにより適宜定めることができる。 FIG. 8 shows an example of entries stored in the block of the flow search CAM 614.
An entry (flow entry) of the flow search CAM 614 includes, for example, an identifier of a flow list (for example, an identifier of an input physical line), a source MAC address (SMAC), a destination MAC address (DMAC), and a source IP address (SIP ), A destination IP address (DIP), a TOS (Type of Service), a source port number (SPORT) that is a TCP port number, and a destination port number (DPORT). The address of each entry is output as a hit address. In addition, the information item of each entry can be determined as appropriate according to the specified flow.

図9は、フロー処理RAM616のフィルタ領域に設定されたフロー処理エントリの例である。フロー処理RAM616のフィルタ領域6160には、フロー検索CAM614で検索されるアドレスに対応して、廃棄及び通過のいずれかを示すフィルタ情報が格納される。   FIG. 9 is an example of a flow process entry set in the filter area of the flow process RAM 616. Filter information indicating either discard or passage is stored in the filter area 6160 of the flow processing RAM 616 corresponding to the address searched by the flow search CAM 614.

図10は、フロー処理RAM616のNetFlow領域に設定されたフロー処理エントリの例である。
フロー処理RAM616のNetFlow領域6161には、フロー検索CAM614で検索されるアドレスに対応して、パケット数と、バイト数と、累積TCPフラグと、宛先アナライザポート情報が格納される。このパケット数は、該当エントリが検索される度にインクリメントされる。例えば、フロー検索CAM614で特定されたフロー毎のパケット数を示す。バイト数は、該当エントリが検索される度に、パケットのバイト数が加算される。パケットに含まれるTCPフラグ情報(例えばSYN/FINなど)が1であるパケットが到着すると、各TCPフラグに対応する累積TCPフラグ情報の値が0から1に更新されることにより、累積TCPフラグはフローの累積的なTCPフラグの状態を示す。宛先アナライザポートは、NetFlowにおけるアナライザ(外部装置)の宛先を示す。宛先アナライザポートがフローエントリによらず一意に定まる場合には、省略してもよい。 FIG. 10 is an example of a flow process entry set in the NetFlow area of the flow process RAM 616.
The NetFlow area 6161 of the flow processing RAM 616 stores the number of packets, the number of bytes, the accumulated TCP flag, and the destination analyzer port information corresponding to the address searched by the flow search CAM 614. The number of packets is incremented every time the corresponding entry is searched. For example, the number of packets for each flow specified by the flow search CAM 614 is shown. The number of bytes is added to the number of bytes of the packet every time the corresponding entry is searched. When a packet with TCP flag information (for example, SYN / FIN) included in the packet arrives, the value of the cumulative TCP flag information corresponding to each TCP flag is updated from 0 to 1, whereby the cumulative TCP flag is Indicates the state of the cumulative TCP flag of the flow. The destination analyzer port indicates the destination of the analyzer (external device) in NetFlow. If the destination analyzer port is uniquely determined regardless of the flow entry, it may be omitted.

図11は、フロー処理RAM616のQoS領域に設定されたフロー処理エントリの例ある。フロー処理RAM616のQoS領域6162には、フロー検索CAM614で検索されるアドレスに対応して、優先度情報が格納される。   FIG. 11 is an example of a flow process entry set in the QoS area of the flow process RAM 616. In the QoS area 6162 of the flow processing RAM 616, priority information is stored corresponding to the address searched by the flow search CAM 614.

図12は、フロー処理RAM616のフローミラー領域に設定されたフロー処理エントリの例である。フロー処理RAM616のフローミラー領域6163には、フロー検索CAM614で検索されるアドレスに対応して、ミラーポート情報が格納される。
なお、フローミラーとは、選択的ミラーと同様である。選択的ミラーについては特許文献3に開示されているように、ミラーリング機能に、ある特定の条件(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号など)に加えて、条件に合致したもののみをミラーポートに送信する機能である。 FIG. 12 is an example of a flow process entry set in the flow mirror area of the flow process RAM 616. In the flow mirror area 6163 of the flow processing RAM 616, mirror port information is stored corresponding to the address searched by the flow search CAM 614.
The flow mirror is the same as the selective mirror. As disclosed in Patent Document 3, for the selective mirror, in addition to certain specific conditions (source IP address, destination IP address, source port number, destination port number, etc.) This is a function that sends only the matching items to the mirror port.

(動作)
図16は、入力物理回線毎にフローリストを備える場合の、検索起動フラグテーブルに基づく検索起動制御の流れを示すフローチャートである。
パケット受信回路5が回線からパケットを入力すると、検索起動判定部610は、パケット受信回路5からパケットのヘッダ情報を入力する(処理1100)。このとき、パケット受信回路5がパケットを受信した入力物理回線の回線番号(入力物理回線番号)をさらに入力する。例えば、入力物理回線番号を含む内部ヘッダを入力してもよい。 (Operation)
FIG. 16 is a flowchart showing the flow of search activation control based on the search activation flag table when a flow list is provided for each input physical line.
When the packet receiving circuit 5 inputs a packet from the line, the search activation determination unit 610 inputs the header information of the packet from the packet receiving circuit 5 (process 1100). At this time, the packet receiving circuit 5 further inputs the line number (input physical line number) of the input physical line that received the packet. For example, an internal header including an input physical line number may be input.

検索起動フラグテーブル制御部611は、パケットの入力物理回線番号で検索起動フラグテーブル612を読み出す(処理1101)。例えば、検索起動フラグテーブル制御部611は、検索起動判定部610が取得した入力物理回線番号に基づき検索起動フラグテーブル612を参照し、入力回線番号が一致する検索起動フラグを読み出す。検索起動判定部610は、パケットの属するフローリストの検索起動フラグが1か判断する(処理1102)。例えば、検索起動判定部610は、検索起動フラグテーブル制御部611が読み出した複数の検索起動フラグのうち、少なくともひとつが1であるか判断する。   The search activation flag table control unit 611 reads the search activation flag table 612 with the input physical line number of the packet (processing 1101). For example, the search activation flag table control unit 611 refers to the search activation flag table 612 based on the input physical line number acquired by the search activation determination unit 610, and reads the search activation flag with the matching input line number. The search activation determination unit 610 determines whether the search activation flag of the flow list to which the packet belongs is 1 (processing 1102). For example, the search activation determination unit 610 determines whether at least one of the plurality of search activation flags read by the search activation flag table control unit 611 is 1.

検索起動フラグのうち少なくともひとつが1の場合(処理1102:Yes)、フロー検索CAM制御部613は、検索対象となるCAMのブロックを判定する(処理1103)。例えば、フロー検索CAM制御部613は、検索起動フラグテーブル制御部611から検索起動フラグを入力して、フラグが1である検索起動フラグに対応するブロックを、検索対象のブロックと判定する。検索起動フラグと、対応するブロックの関係は、検索起動ブロックテーブル6130としてフロー検索CAM制御部613に所持し、これを参照することで判定が可能となる。検索起動ブロックテーブル6130の構成例を、図28に示す。検索起動ブロックテーブル6130には、検索起動フラグに対応して検索対象となるブロックには1が設定され、検索対象とならないブロックには0が設定される。なお、フロー検索CAM制御部613が検索対象を判定する以外にも、検索起動判定部610に検索起動ブロックテーブル6130を所持して検索対象のブロックを判定し、検索対象のブロックをフロー検索CAM制御部613に通知してもよい。   When at least one of the search activation flags is 1 (process 1102: Yes), the flow search CAM control unit 613 determines a CAM block to be searched (process 1103). For example, the flow search CAM control unit 613 receives a search start flag from the search start flag table control unit 611 and determines a block corresponding to the search start flag whose flag is 1 as a search target block. The relationship between the search activation flag and the corresponding block is held in the flow search CAM control unit 613 as the search activation block table 6130 and can be determined by referring to this. A configuration example of the search activation block table 6130 is shown in FIG. In the search start block table 6130, 1 is set for a block to be searched corresponding to the search start flag, and 0 is set for a block not to be searched. In addition to determining the search target by the flow search CAM control unit 613, the search start determination unit 610 has the search start block table 6130 to determine the search target block, and the search target block is determined by the flow search CAM control. You may notify to the part 613.

フロー検索CAM制御部613は、CAM検索を起動する(処理1104)。例えば、フロー検索CAM制御部613は、検索起動判定部610から入力したパケットのヘッダ情報に基づき、フロー検索CAM614の検索対象のブロックを検索し、ヒットアドレスを取得する。なお、ヒットアドレスは、検索対象のブロック数だけ取得される。フロー処理RAM制御部615は、フロー検索CAM制御部613が取得したヒットアドレスに基づきフロー処理RAM616を検索し、対応するフロー処理に関する情報を取得する。例えば、フィルタ領域6160に対しては通過/廃棄を示す情報が取得され、QoS領域6162に対して優先度情報が取得される。   The flow search CAM control unit 613 activates a CAM search (process 1104). For example, the flow search CAM control unit 613 searches for a block to be searched for the flow search CAM 614 based on the header information of the packet input from the search activation determination unit 610, and acquires a hit address. Note that hit addresses are acquired for the number of blocks to be searched. The flow processing RAM control unit 615 searches the flow processing RAM 616 based on the hit address acquired by the flow search CAM control unit 613, and acquires information related to the corresponding flow processing. For example, information indicating pass / discard is acquired for the filter area 6160, and priority information is acquired for the QoS area 6162.

パケット転送装置1は、検索結果に応じた処理を実行する(処理1105)。一例としてフィルタ処理を例に挙げると、パケットの通過/廃棄を示す情報に従い、パケット受信回路5がパケットの転送/廃棄の処理を実行する。
一方、検索起動フラグのうち少なくともひとつが1でない(すべて0の)場合(処理1102:No)、CAM検索を起動ぜず、検索非起動の場合の予め定められた処理を実行する(処理1106)。 The packet transfer apparatus 1 executes a process according to the search result (process 1105). Taking a filter process as an example, the packet receiving circuit 5 executes a packet transfer / discard process according to information indicating the passage / discard of the packet.
On the other hand, if at least one of the search activation flags is not 1 (all 0) (process 1102: No), the CAM search is not activated and a predetermined process is executed when the search is not activated (process 1106). .

図19は、入力論理回線毎にフローリストを備える場合の、検索起動フラグテーブルに基づく検索起動制御の流れを示すフローチャートである。
図16のフローチャートにおける処理1101が、パケットの入力論理回線番号で検索起動フラグテーブル612を読み出す処理(処理1108)に変わる例である。パケットの入力論理回線番号は、例えばVLANやリンクアグリゲーションなどのように、ヘッダ情報などから特定できる論理的な回線番号である。他の処理は、図16と同様であるので説明を省略する。 FIG. 19 is a flowchart showing the flow of search activation control based on the search activation flag table when a flow list is provided for each input logical line.
The processing 1101 in the flowchart of FIG. 16 is an example that changes to the processing (processing 1108) of reading the search activation flag table 612 with the input logical line number of the packet. The input logical line number of a packet is a logical line number that can be specified from header information or the like, such as VLAN or link aggregation. The other processes are the same as those in FIG.

図20は、出力物理回線毎にフローリストを備える場合の、検索起動フラグテーブルに基づく検索起動制御の流れを示すフローチャートである。
図16のフローチャートにおける処理1101が、パケットの出力物理回線番号で検索起動フラグテーブル612を読み出す処理(処理1109)に変わる例である。パケットの出力物理回線番号は、例えば経路検索部60により検索されフロー検索部61に通知されることができる。ヘッダ情報などから特定できる。他の処理は、図16と同様であるので説明を省略する。 FIG. 20 is a flowchart showing the flow of search activation control based on the search activation flag table when a flow list is provided for each output physical line.
Processing 1101 in the flowchart of FIG. 16 is an example in which processing 1101 is read (processing 1109) for reading the search activation flag table 612 with the output physical line number of the packet. The output physical line number of the packet can be searched by the route search unit 60 and notified to the flow search unit 61, for example. It can be specified from header information. The other processes are the same as those in FIG.

図21は、出力論理回線毎にフローリストを備える場合の、検索起動フラグテーブルに基づく検索起動制御の流れを示すフローチャートである。
図16のフローチャートにおける処理1101が、パケットの出力論理回線番号で検索起動フラグテーブル612を読み出す処理(処理1110)に変わる例である。パケットの出力論理回線番号は、例えばヘッダ情報などから特定してもよいし、経路検索部60により検索されフロー検索部61に通知されるようにしてもよい。他の処理は、図16と同様であるので説明を省略する。 FIG. 21 is a flowchart showing the flow of search activation control based on the search activation flag table when a flow list is provided for each output logical line.
The processing 1101 in the flowchart of FIG. 16 is an example of changing to processing (processing 1110) for reading the search activation flag table 612 with the output logical line number of the packet. The output logical line number of the packet may be specified from, for example, header information, or may be searched by the route search unit 60 and notified to the flow search unit 61. The other processes are the same as those in FIG.

2.第2の実施の形態
次に、例えば入力物理回線毎の統計量に基づいて検索起動フラグテーブルを設定するパケット転送装置について説明する。第1の実施の形態の構成・処理はそのまま用いることができる。 2. Second Embodiment Next, a packet transfer apparatus that sets a search activation flag table based on, for example, statistics for each input physical line will be described. The configuration and processing of the first embodiment can be used as they are.

図13は、統計量としてパケットレートを採取する場合の統計採取部62の構成図である。
統計採取部62は、例えば、パケットカウンタ演算部620と、統計RAM制御部621と、統計RAM622と、タイマー623と、レート判定部624と有する。 FIG. 13 is a configuration diagram of the statistics collection unit 62 in the case of collecting packet rates as statistics.
The statistics collection unit 62 includes, for example, a packet counter calculation unit 620, a statistics RAM control unit 621, a statistics RAM 622, a timer 623, and a rate determination unit 624.

パケットカウンタ演算部620は、パケット受信回路5がパケットを受信すると、予め定められた統計採取単位毎にパケット数をカウントする。統計採取単位は、例えば入力物理回線毎などであり、フローリストと対応してもよい。例えば、パケットカウンタ演算部620は、パケット受信回路5から装置内で用いる内部ヘッダなどをさらに入力して入力物理回線の識別子(例えば番号)を取得し、入力物理回線番号毎にパケット数をカウントする。なお、入力物理回線以外にも、入力論理回線毎にカウントしてもよいし、出力物理回線毎、出力論理回線毎でもよい。   When the packet reception circuit 5 receives a packet, the packet counter calculation unit 620 counts the number of packets for each predetermined statistics collection unit. The statistics collection unit is, for example, for each input physical line, and may correspond to the flow list. For example, the packet counter calculation unit 620 further inputs an internal header or the like used in the apparatus from the packet receiving circuit 5 to obtain an input physical line identifier (for example, a number), and counts the number of packets for each input physical line number. . In addition to the input physical line, counting may be performed for each input logical line, or for each output physical line and for each output logical line.

統計RAM622は、パケットカウンタ演算部620でカウントされるパケット数(累積パケット数)が統計採取単位毎に格納される。統計RAM制御部621は、統計RAM622に対するパケット数の書き込み及び読み出しを制御する。タイマー623は、予め定められた時間毎に、レート判定部624にトリガを出力する。   The statistical RAM 622 stores the number of packets (cumulative packet number) counted by the packet counter calculation unit 620 for each statistical collection unit. The statistical RAM control unit 621 controls writing and reading of the number of packets with respect to the statistical RAM 622. The timer 623 outputs a trigger to the rate determination unit 624 every predetermined time.

レート判定部624は、例えばタイマー623からのトリガを契機に、統計RAM622から各統計採取単位の累積パケット数を取得し、取得した累積パケット数とタイマー623のトリガ間隔から各統計採取単位のトラフィック量(統計量。ここではパケットレート)を求める。また、レート判定部624は、求められたトラフィック量と予め定められた閾値(登録閾値、削除閾値)を比較し、比較結果をレジスタ4に書き込む。例えば、レート判定部624は、ある統計採取単位のトラフィック量が登録閾値を超えている場合、統計採取単位に対応する領域に閾値超えを示す情報をレジスタ4に書き込む。また、レート判定部624は、ある統計採取単位のトラフィック量が削除閾値を下回る場合、その統計採取単位に対応する領域に閾値割れを示す情報をレジスタ4に書き込む。レート判定部624は、統計RAM622から累積パケット数を取得すると、統計RAM622の情報をリセットする。レート判定の処理が完了すると、パケット数(累積パケット数)を0にリセットして、次回のタイマー623からのトリガを契機とするレート判定の処理に備える。なお、上述のトラフィック量の算出手法は一例であり、上記の構成、処理以外にも適宜の手法で求めることができる。   The rate determination unit 624 acquires the cumulative number of packets for each statistical collection unit from the statistical RAM 622, for example, triggered by a trigger from the timer 623, and the traffic volume of each statistical collection unit from the acquired cumulative number of packets and the trigger interval of the timer 623. (Statistics, here packet rate) is obtained. Further, the rate determination unit 624 compares the obtained traffic amount with predetermined threshold values (registration threshold value, deletion threshold value), and writes the comparison result in the register 4. For example, when the traffic amount of a certain statistics collection unit exceeds the registration threshold, the rate determination unit 624 writes information indicating that the threshold is exceeded in the register 4 in an area corresponding to the statistics collection unit. In addition, when the traffic amount of a certain statistics collection unit falls below the deletion threshold, the rate determination unit 624 writes information indicating the threshold breakage in the register 4 in an area corresponding to the statistics collection unit. When the rate determination unit 624 acquires the cumulative number of packets from the statistical RAM 622, the rate determination unit 624 resets the information in the statistical RAM 622. When the rate determination process is completed, the number of packets (cumulative packet number) is reset to 0 to prepare for the rate determination process triggered by the next trigger from the timer 623. Note that the traffic amount calculation method described above is an example, and can be obtained by an appropriate method other than the above configuration and processing.

管理ソフト搭載CPU3は、レジスタ4を定期的に参照し、閾値超えを示す情報が登録されている場合、対応する統計採取単位が属するフローリストについて検索起動フラグテーブル612の検索起動フラグを、フロー検索を実行するように(例えば1に)設定する。どの機能、ブロックに対するフロー検索を実行するかは、予め定められることができる。また、閾値割れを示す情報が登録されている場合、対応する統計採取単位が属するフローリストについて検索起動フラグテーブル612の検索起動フラグを、フロー検索を実行しないように(例えば0に)設定する。   The management software-equipped CPU 3 periodically refers to the register 4 and, when information indicating that the threshold is exceeded is registered, the search start flag in the search start flag table 612 is searched for the flow list to which the corresponding statistics collection unit belongs. Is set to execute (for example, 1). Which function and block the flow search is to be executed can be determined in advance. When information indicating threshold breakage is registered, the search activation flag of the search activation flag table 612 is set so as not to execute the flow search (for example, 0) for the flow list to which the corresponding statistics collection unit belongs.

図14は、統計量としてビットレートを採取する場合の統計採取部62の構成図である。
入力物理回線毎のビットレートに基づいて検索起動フラグテーブルを設定する場合の構成について説明する。図14に示す統計採取部62は、例えば、バイトカウンタ演算部625と、統計RAM制御部621と、統計RAM622と、タイマー623と、レート判定部624と有する。図13の構成では、パケットカウンタ演算部620がパケット数をカウントし、レート判定部624がパケットレートを求めているのに対し、図14の構成では、バイトカウンタ演算部625が、パケット受信回路5で受信されたパケットのヘッダ情報などからパケットのバイト数を取得して累積バイト数をカウントし、レート判定部624がビットレートを求める。他の構成は、図13と同様であるので説明を省略する。 FIG. 14 is a configuration diagram of the statistic collecting unit 62 in the case of collecting a bit rate as a statistic.
A configuration for setting the search activation flag table based on the bit rate for each input physical line will be described. The statistics collection unit 62 illustrated in FIG. 14 includes, for example, a byte counter calculation unit 625, a statistics RAM control unit 621, a statistics RAM 622, a timer 623, and a rate determination unit 624. In the configuration of FIG. 13, the packet counter calculation unit 620 counts the number of packets, and the rate determination unit 624 obtains the packet rate, whereas in the configuration of FIG. 14, the byte counter calculation unit 625 includes the packet reception circuit 5. The number of bytes of the packet is acquired from the header information of the packet received in step S1, the cumulative number of bytes is counted, and the rate determination unit 624 obtains the bit rate. Other configurations are the same as those in FIG.

(動作)
図15は、入力物理回線毎の統計量に基づいて検索起動フラグテーブルを設定する流れを示すフローチャートである。
統計採取部62は、入力物理回線毎に統計量を統計採取し、統計量を周期的にチェックする(処理1001)。統計採取部62は、統計量が登録閾値を超えているか判断する(処理1002)。統計量が登録閾値を超えている場合(処理1002:Yes)、例えば管理ソフト搭載CPU3は、検索起動フラグテーブル612の該当フローリストに対する検索起動フラグを1に設定する(処理1003)。複数の検索起動フラグのうちどのフラグを1に設定するかは、フローリスト毎に予め決められ、レジスタ4等に保持されることができる。 (Operation)
FIG. 15 is a flowchart showing the flow of setting the search activation flag table based on the statistics for each input physical line.
The statistics collection unit 62 collects statistics for each input physical line and periodically checks the statistics (processing 1001). The statistics collection unit 62 determines whether the statistic exceeds the registration threshold (process 1002). If the statistic exceeds the registration threshold (process 1002: Yes), for example, the management software-equipped CPU 3 sets the search activation flag for the corresponding flow list in the search activation flag table 612 to 1 (process 1003). Which flag to set to 1 among the plurality of search activation flags is predetermined for each flow list and can be held in the register 4 or the like.

一方、統計量が登録閾値を超えていない場合(処理1002:No)、統計採取部62は、統計量が削除閾値を下回っているか判断する(処理1004)。統計量が削除閾値を下回っている場合(処理1004:Yes)、例えば管理ソフト搭載CPU3は、検索起動フラグテーブル612の該当フローリストに対する検索起動フラグを0に設定する(処理1005)。   On the other hand, when the statistic does not exceed the registration threshold (process 1002: No), the statistic collection unit 62 determines whether the statistic is below the deletion threshold (process 1004). If the statistic is below the deletion threshold (process 1004: Yes), for example, the management software-equipped CPU 3 sets the search activation flag for the corresponding flow list in the search activation flag table 612 to 0 (process 1005).

図17は、入力物理回線毎のパケットレートに基づいて検索起動フラグテーブルを設定する流れを示すフローチャートである。図15のフローチャートにおいて、統計量がパケットレートである場合の例である。統計採取部62の構成としては、図13に示す構成を用いることができる。処理の詳細は上述の図15、図13と同様であるので説明を省略する。   FIG. 17 is a flowchart showing a flow of setting the search activation flag table based on the packet rate for each input physical line. In the flowchart of FIG. 15, it is an example in case a statistic is a packet rate. As the configuration of the statistics collection unit 62, the configuration shown in FIG. 13 can be used. Details of the processing are the same as those in FIGS.

図18は、入力物理回線毎のビットレートに基づいて検索起動フラグテーブルを設定する流れを示すフローチャートである。図15のフローチャートにおいて、統計量がビットレートである場合の例である。統計採取部62の構成としては、図14に示す構成を用いることができる。処理の詳細は上述の図15、図14と同様であるので説明を省略する。   FIG. 18 is a flowchart showing the flow of setting the search activation flag table based on the bit rate for each input physical line. In the flowchart of FIG. 15, it is an example in case a statistic is a bit rate. The configuration shown in FIG. 14 can be used as the configuration of the statistics collection unit 62. Details of the processing are the same as those in FIGS.

図22は、入力物理回線毎にフローリストを備える場合の、入力物理回線毎のビットレートに基づくNetFlowの検索起動制御の流れを示すフローチャートである。
例えば、インタフェースレベル(粗いレベル)でのトラフィック量が過大なインタフェースに対して、NetFlowを起動させることができる。例えば、図15のフローチャートにおいて、統計量がビットレートであり、設定される検索起動フラグがNetFlowに対応するフラグと予め定められている場合に相当する。 FIG. 22 is a flowchart showing the flow of NetFlow search activation control based on the bit rate for each input physical line when a flow list is provided for each input physical line.
For example, NetFlow can be activated for an interface having an excessive amount of traffic at the interface level (coarse level). For example, in the flowchart of FIG. 15, this corresponds to the case where the statistic is the bit rate and the search activation flag to be set is predetermined as a flag corresponding to NetFlow.

統計採取部62は、入力物理回線毎にビットレートを統計採取し、ビットレートを周期的にチェックする(処理1201)。統計採取部62は、例えばレート判定部624にて、ビットレートが登録閾値を超えているか判断する(処理1202)。ビットレートが登録閾値を超えている場合(処理1202:Yes)、例えば管理ソフト搭載CPU3は、検索起動フラグテーブル612の該当フローリストに対するNetFlowの検索起動フラグを1に設定する(処理1203)。   The statistics collection unit 62 collects a bit rate for each input physical line and periodically checks the bit rate (processing 1201). The statistics collection unit 62 determines, for example, whether the bit rate exceeds the registration threshold at the rate determination unit 624 (process 1202). When the bit rate exceeds the registration threshold (processing 1202: Yes), for example, the management software-equipped CPU 3 sets the NetFlow search activation flag for the corresponding flow list in the search activation flag table 612 to 1 (processing 1203).

一方、ビットレートが登録閾値を超えていない場合(処理1202:No)、統計採取部62は例えばレート判定部624にて、ビットレートが削除閾値を下回っているか判断する(処理1204)。ビットレートが削除閾値を下回っている場合(処理1204:Yes)、例えば管理ソフト搭載CPU3は、検索起動フラグテーブル612の該当フローリストに対するNetFlowの検索起動フラグを0に設定する(処理1205)。
なお、NetFlow以外の検索起動フラグは、予め設定されていてもよい。また、上述の例では、統計量がビットレートの場合について説明したが、上述のようにパケットレートなどでもよい。 On the other hand, when the bit rate does not exceed the registration threshold (step 1202: No), the statistics collection unit 62 determines, for example, at the rate determination unit 624 whether the bit rate is below the deletion threshold (step 1204). If the bit rate is below the deletion threshold (step 1204: Yes), for example, the management software-equipped CPU 3 sets the NetFlow search activation flag for the corresponding flow list in the search activation flag table 612 to 0 (processing 1205).
Note that a search activation flag other than NetFlow may be set in advance. In the above example, the case where the statistic is the bit rate has been described, but the packet rate may be used as described above.

図23は、NetFlowによるフロー毎のビットレートに基づくフローミラーの検索起動制御の流れを示すフローチャートである。
統計量として、上述のように統計採取部62で求められるパケットレート等を用いる以外にも、NetFlowにより収集される情報を用いてもよい。例えば、NetFlowにより収集されるフロー毎のビットレートに基づき、フローミラーの検索起動フラグを設定する。この例では、パケット転送装置1において、NetFlow機能が動作している。検索起動フラグによらず全てのインタフェースについてNetFlowが動作してもよいし、上述のように統計採取部62によるパケットレート等に基づいて検索起動フラグが設定された状態でもよい。 FIG. 23 is a flowchart showing the flow of flow mirror search activation control based on the bit rate for each flow by NetFlow.
As a statistic, information collected by NetFlow may be used in addition to the packet rate obtained by the statistic collecting unit 62 as described above. For example, a flow mirror search activation flag is set based on the bit rate for each flow collected by NetFlow. In this example, the NetFlow function is operating in the packet transfer apparatus 1. NetFlow may operate for all interfaces regardless of the search activation flag, or the search activation flag may be set based on the packet rate or the like by the statistics collection unit 62 as described above.

まず、例えばフロー処理RAM制御部615は、NetFlowによりフロー毎にビットレートを統計採取し、ビットレートを周期的にチェックする(処理1301)。
フロー処理RAM制御部615は、例えば、図13のレート判定部624とタイマー623と同様のレート判定部とタイマーを有する。タイマーから定期的に出力されるトリガを契機に、レート判定部は、フロー処理RAM616のNetFlow領域6160を参照してレート演算用バイト数を取得してビットレートを求める。 First, for example, the flow processing RAM control unit 615 statistically collects the bit rate for each flow using NetFlow, and periodically checks the bit rate (processing 1301).
The flow processing RAM control unit 615 includes, for example, a rate determination unit and a timer similar to the rate determination unit 624 and the timer 623 in FIG. In response to a trigger periodically output from the timer, the rate determination unit refers to the NetFlow area 6160 of the flow processing RAM 616 to acquire the number of bytes for rate calculation and obtain the bit rate.

図24に、フロー処理RAM616のNetFlow領域6161で、フロー毎のビットレートを統計採取するためのフロー処理エントリの例を示す。フロー処理RAM616のNetFlow領域6161は、例えば、レート演算用バイト数と、累積バイト数と、累積TCPフラグと、宛先アナライザポートを含む。レート演算用バイト数と累積バイト数は、該当するフローが検索されるとパケット長(バイト数)が加算される。レート演算用バイト数は、フロー処理RAM制御部615に読み出される毎にリセットされる。累積TCPフラグ及び宛先アナライザポートは上述と同様である。   FIG. 24 shows an example of a flow processing entry for collecting statistics of the bit rate for each flow in the NetFlow area 6161 of the flow processing RAM 616. The NetFlow area 6161 of the flow processing RAM 616 includes, for example, a rate calculation byte number, a cumulative byte number, a cumulative TCP flag, and a destination analyzer port. The packet length (number of bytes) is added to the rate calculation byte count and the cumulative byte count when a corresponding flow is searched. The number of bytes for rate calculation is reset every time it is read by the flow processing RAM control unit 615. The cumulative TCP flag and the destination analyzer port are the same as described above.

図23に戻り、フローチャートの説明を続ける。フロー処理RAM制御部615は、ビットレートが登録閾値を超えているか判断する(処理1302)。ビットレートが登録閾値を超えている場合(処理1302:Yes)、例えば管理ソフト搭載CPU3は、検索起動フラグテーブル612の該当フローリストに対するフローミラーの検索起動フラグを1に設定する(処理1303)。例えば、図13に示すレート判定部624と同様に、フロー処理RAM制御部615は、ビットレートが登録閾値を超えている場合、閾値超えを示す情報をレジスタ4に書き込む。管理ソフト搭載CPU3は、レジスタ4を定期的に参照し、閾値超えを示す情報が登録されている場合、検索起動フラグテーブル612の該当フローリストに対するフローミラーの検索起動フラグを1に設定する。   Returning to FIG. 23, the description of the flowchart will be continued. The flow processing RAM control unit 615 determines whether the bit rate exceeds the registration threshold (processing 1302). When the bit rate exceeds the registration threshold (processing 1302: Yes), for example, the management software CPU 3 sets the flow mirror search activation flag for the corresponding flow list in the search activation flag table 612 to 1 (processing 1303). For example, similar to the rate determination unit 624 illustrated in FIG. 13, the flow processing RAM control unit 615 writes information indicating that the threshold is exceeded in the register 4 when the bit rate exceeds the registration threshold. The management software CPU 3 periodically refers to the register 4 and sets the flow mirror search activation flag to 1 for the corresponding flow list in the search activation flag table 612 when information indicating that the threshold is exceeded is registered.

一方、ビットレートが登録閾値を超えていない場合(処理1302:No)、フロー処理RAM制御部615は、ビットレートが削除閾値を下回っているか判断する(処理1304)。ビットレートが削除閾値を下回っている場合(処理1304:Yes)、例えば管理ソフト搭載CPU3は、検索起動フラグテーブル612の該当フローリストに対するフローミラーの検索起動フラグを0に設定する(処理1305)。
なお、上述のフロー処理RAM制御部615の処理は、他の適宜の処理部、制御部で実行されてもよい。 On the other hand, when the bit rate does not exceed the registration threshold (processing 1302: No), the flow processing RAM control unit 615 determines whether the bit rate is below the deletion threshold (processing 1304). When the bit rate is below the deletion threshold (processing 1304: Yes), for example, the management software-equipped CPU 3 sets the flow mirror search activation flag for the corresponding flow list in the search activation flag table 612 to 0 (processing 1305).
Note that the processing of the flow processing RAM control unit 615 described above may be executed by another appropriate processing unit or control unit.

図25は、全てのフローリスト(全ての物理回線または論理回線)に対し、本実施の形態のパケットの統計量に基づいてNetFlowのフローエントリを登録する機能を有効とするユーザインタフェースの設定例である。   FIG. 25 shows a user interface setting example for enabling the function of registering a NetFlow flow entry based on the packet statistics of this embodiment for all flow lists (all physical lines or logical lines). is there.

図26は、入力物理回線0と、入力物理回線3と、出力物理回線1に対し、本実施の形態のパケットの統計量に基づいてフローミラーのフローエントリを登録する機能を有効とするユーザインタフェースの設定例である。   FIG. 26 shows a user interface that enables the function of registering the flow mirror flow entry for the input physical line 0, the input physical line 3, and the output physical line 1 based on the packet statistics of the present embodiment. It is an example of setting.

3. 第3の実施の形態
上述の実施の形態では、検索起動フラグテーブル612はフィルタ機能等の複数の機能ごとに検索起動フラグを有するが、検索起動フラグがひとつでもよい。検索起動フラグが1の場合、複数の機能のすべてについてフロー検索を実行するようにしてもよいし、特定の機能についてのみ検索起動フラグが設定されてもよい。 3. Third Embodiment In the above-described embodiment, the search activation flag table 612 has a search activation flag for each of a plurality of functions such as a filter function, but one search activation flag may be used. When the search activation flag is 1, the flow search may be executed for all of the plurality of functions, or the search activation flag may be set only for a specific function.

この場合、検索起動フラグテーブル612は、フローリストの識別子と、フロー検索を実行するか否かを示す検索起動フラグとが格納されてもよい。例えば入力物理回線毎のパケットの統計量が登録閾値を上回ると、検索起動フラグが1に設定されてフロー検索CAM614のフロー検索が実行され、一方、入力物理回線毎のパケットの統計量が削除閾値を下回ると、検索起動フラグが0に設定されフロー検索CAM614のフロー検索を実行しないようにしてもよい。   In this case, the search activation flag table 612 may store a flow list identifier and a search activation flag indicating whether or not to execute a flow search. For example, if the packet statistics for each input physical line exceeds the registration threshold, the search activation flag is set to 1 and the flow search of the flow search CAM 614 is executed, while the packet statistics for each input physical line is the deletion threshold. If the value is less than, the search activation flag may be set to 0 and the flow search of the flow search CAM 614 may not be executed.

フロー検索部61の動作については上述と同様であるが、検索起動フラグがひとつの場合の例に即して説明すると、検索起動判定部610は、検索起動フラグテーブル制御部611を介して、受信したパケットが属するフローリストに基づき検索起動フラグテーブル612を参照し、対応する検索起動フラグに従いフロー検索を実行するか判定する。   The operation of the flow search unit 61 is the same as described above. However, the search start determination unit 610 receives the request via the search start flag table control unit 611. Based on the flow list to which the received packet belongs, the search activation flag table 612 is referred to, and it is determined whether to execute the flow search according to the corresponding search activation flag.

フロー検索部61は、検索起動判定部610の判定結果に従い、フロー検索を実行すると判定された場合フロー検索CAM614に対するフロー検索を実行する。例えば、フロー検索CAM制御部613は、受信したパケットのヘッダ情報のうちひとつ以上の情報を検索キーとしてフロー検索CAM614を検索して該パケットが属するフローを識別するフロー検索を実行する。一方、フロー検索を実行しないと判定された場合は、フロー検索CAM614に対するフロー検索を実行しない。
なお、フロー検索CAM614を用いる代わりにRAMを用い、RAMのツリー検索等を行う場合は、不要な検索をoff(検索起動フラグを0)にしてCAM検索を停止することで、高速化やASIC電力削減を実現できる。 The flow search unit 61 executes the flow search for the flow search CAM 614 when it is determined to execute the flow search according to the determination result of the search activation determination unit 610. For example, the flow search CAM control unit 613 searches the flow search CAM 614 using one or more pieces of information in the received packet header information as a search key, and executes a flow search for identifying the flow to which the packet belongs. On the other hand, if it is determined not to execute the flow search, the flow search for the flow search CAM 614 is not executed.
In addition, when RAM is used instead of using the flow search CAM 614 and a RAM tree search or the like is performed, an unnecessary search is turned off (search start flag is set to 0) to stop the CAM search. Reduction can be realized.

4.第4の実施の形態
図27は、ネットワークによって接続された本発明のパケット転送装置と外部管理装置の構成図である。
ネットワークによって接続された外部管理装置10により検索起動フラグテーブルの設定を制御するパケット転送装置管理方法について説明する。 4). Fourth Embodiment FIG. 27 is a configuration diagram of a packet transfer apparatus and an external management apparatus of the present invention connected by a network.
A packet transfer apparatus management method for controlling the setting of the search activation flag table by the external management apparatus 10 connected via the network will be described.

上述の各実施の形態において、統計採取部62のレート判定部624及びタイマー623の機能がパケット転送装置1の外部にあってもよい。例えば、外部管理装置10が、統計採取部62のレート判定部624及びタイマー623の機能を有する。   In the above-described embodiments, the functions of the rate determination unit 624 and the timer 623 of the statistics collection unit 62 may be provided outside the packet transfer apparatus 1. For example, the external management apparatus 10 has functions of a rate determination unit 624 and a timer 623 of the statistics collection unit 62.

パケット転送装置1は、受信するパケットの統計量、または送信するパケットの統計量を求めて外部管理装置10に送信する。外部管理装置10は、パケット転送装置1から送信されたパケットの統計量が予め定められた登録閾値を上回ること、又は、パケットの統計量が予め定められた削除閾値を下回ることにより、フローエントリの登録又は削除の要否を判定する。外部管理装置10は、フローエントリの登録又は削除の要否を示す設定制御情報をパケット転送装置1に送信する。   The packet transfer device 1 obtains the statistics of the received packet or the statistics of the packet to be transmitted, and transmits it to the external management device 10. The external management device 10 determines whether the statistics of the packet transmitted from the packet transfer device 1 exceeds a predetermined registration threshold or the statistics of the packet falls below a predetermined deletion threshold. Determine whether registration or deletion is necessary. The external management device 10 transmits to the packet transfer device 1 setting control information indicating whether flow entry registration or deletion is necessary.

パケット転送装置1は、外部管理装置10から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを登録し、検索起動フラグテーブルのフラグを登録有りとする。また、パケット転送装置1は、外部管理装置10から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを削除し、検索起動フラグテーブルのフラグを登録無しとする。パケット転送装置1は、検索起動テーブルのフラグを参照して、該フラグが登録有りを示す場合入力パケットのフロー検索を実行し、該フラグが登録無しを示す場合フロー検索を実行しない。   When the setting control information transmitted from the external management apparatus 10 indicates that registration of a flow entry is necessary, the packet transfer apparatus 1 registers a flow entry for a flow search and sets a flag in the search activation flag table. Registered. Further, when the setting control information transmitted from the external management device 10 indicates that registration of the flow entry is necessary, the packet transfer apparatus 1 deletes the flow entry for the flow search, and stores the search start flag table. No flag is registered. The packet transfer apparatus 1 refers to the flag of the search activation table and executes the flow search for the input packet when the flag indicates that there is registration, and does not execute the flow search when the flag indicates that there is no registration.

5.パケット転送装置の構成例
パケット転送装置は、例えば、複数の入力回線と出力回線に接続され、入力回線から受信したパケットをヘッダ情報によって特定されるいずれかの出力回線に転送するパケット転送装置であって、
パケットを受信すると、ヘッダ情報のうち少なくとも一つ以上の情報を検索キーとしてパケットが属するフローを特定するフロー検索を実施するフロー検索部と、
フロー検索により特定されたフロー毎に予め指定された処理をパケットに対し実施するフロー処理部を備え、
フロー検索部において、フローを定義するフローエントリを複数設定できるフローリストと、
フローリスト毎のフローエントリの登録の有無を記載した検索起動フラグテーブルを備え、
パケットを受信すると検索起動フラグテーブルを参照して、パケットが属するフローリストにおけるフローエントリの有無を判定し、フローエントリ有りと判定された場合にはフロー検索を起動し、フローエントリ無しと判定された場合にはフロー検索の起動を停止する。 5. Configuration Example of Packet Transfer Device A packet transfer device is a packet transfer device that is connected to a plurality of input lines and output lines and transfers packets received from the input lines to one of the output lines specified by the header information. And
When a packet is received, a flow search unit that performs a flow search that identifies a flow to which the packet belongs using at least one piece of information of header information as a search key;
A flow processing unit that performs a process specified in advance for each flow specified by the flow search on the packet;
In the flow search unit, a flow list that can set multiple flow entries that define a flow,
It has a search activation flag table that describes whether or not a flow entry is registered for each flow list.
When a packet is received, the search activation flag table is referenced to determine whether there is a flow entry in the flow list to which the packet belongs. When it is determined that there is a flow entry, flow search is activated and it is determined that there is no flow entry. In this case, the flow search is stopped.

また、パケット転送装置は、フロー検索に用いる検索デバイスとしてCAM(Content Addressable Memory)を使用してもよい。
パケット転送装置は、入力物理回線毎、または入力論理回線毎、または出力物理回線毎、または出力論理回線毎にフローリストを備えてもよい。 Further, the packet transfer apparatus may use CAM (Content Addressable Memory) as a search device used for flow search.
The packet transfer apparatus may include a flow list for each input physical line, for each input logical line, for each output physical line, or for each output logical line.

パケット転送装置は、受信するパケットの統計量、または送信するパケットの統計量を採取する統計採取部をさらに備え、入力物理回線毎のパケットの統計量が、入力物理回線毎に備えるフローリスト毎に予め指定された登録閾値を上回る場合、または、入力論理回線毎のパケットの統計量が、入力論理回線毎に備えるフローリスト毎に予め指定された登録閾値を上回る場合、または、出力物理回線毎のパケットの統計量が、出力物理回線毎に備えるフローリスト毎に予め指定された登録閾値を上回る場合、または、出力論理回線毎のパケットの統計量が、出力論理回線毎に備えるフローリスト毎に予め指定された登録閾値を上回る場合、フローリストにフローエントリを登録し、検索起動フラグテーブルのフラグを登録有りとしてもよい。   The packet transfer apparatus further includes a statistics collection unit that collects statistics of received packets or statistics of packets to be transmitted, and the statistics of packets for each input physical line are provided for each flow list provided for each input physical line. When the pre-specified registration threshold is exceeded, or when the packet statistics for each input logical line exceeds the pre-registered registration threshold for each flow list provided for each input logical line, or for each output physical line When the packet statistic exceeds the registration threshold specified in advance for each flow list provided for each output physical line, or the packet statistic for each output logical line is set in advance for each flow list provided for each output logical line. If the specified registration threshold is exceeded, the flow entry may be registered in the flow list and the flag in the search activation flag table may be registered.

パケット転送装置は、受信するパケットの統計量、または送信するパケットの統計量を測定する統計採取部をさらに備え、入力物理回線毎のパケットの統計量が、入力物理回線毎に備えるフローリスト毎に予め指定された削除閾値を下回る場合、または、入力論理回線毎のパケットの統計量が、入力論理回線毎に備えるフローリスト毎に予め指定された削除閾値を下回る場合、または、出力物理回線毎のパケットの統計量が、出力物理回線毎に備えるフローリスト毎に予め指定された削除閾値を下回る場合、または、出力論理回線毎のパケットの統計量が、出力論理回線毎に備えるフローリスト毎に予め指定された削除閾値を下回る場合、フローリストからフローエントリを削除し、検索起動フラグテーブルのフラグを登録無しとしてもよい。   The packet transfer apparatus further includes a statistics collection unit that measures a received packet statistic or a transmitted packet statistic, and a packet statistic for each input physical line is provided for each flow list provided for each input physical line. When the deletion threshold value is lower than a predetermined threshold value, or when the statistics of the packet for each input logical line is lower than the deletion threshold value specified for each flow list provided for each input logical line, or for each output physical line If the statistics of the packet are below the deletion threshold specified in advance for each flow list provided for each output physical line, or if the statistics of the packet for each output logical line are provided in advance for each flow list provided for each output logical line If it falls below the specified deletion threshold, the flow entry may be deleted from the flow list and the search activation flag table flag may not be registered.

上述のパケットの統計量は、パケットレート、またはビットレートでもよい。
上述のパケット転送装置において、フロー処理部で実施する処理が、フロー毎の統計量の採取、またはフロー毎のパケットのミラーリングというフローモニタ機能でもよい。
また、上述のパケット転送装置において、パケットの統計量に基づいて、フローエントリの登録・削除の機能の有効・無効を設定するユーザインタフェースを備えてもよい。 The packet statistics described above may be a packet rate or a bit rate.
In the above-described packet transfer apparatus, the processing performed by the flow processing unit may be a flow monitoring function of collecting statistics for each flow or mirroring packets for each flow.
Further, the above-described packet transfer apparatus may be provided with a user interface for setting the validity / invalidity of the function of registering / deleting a flow entry based on the packet statistics.

本パケット転送装置管理方法では、パケット転送装置は、受信するパケットの統計量、または送信するパケットの統計量を外部管理装置に送信し、
外部管理装置は、パケット転送装置から送信されたパケットの統計量を含む情報に基づいてフローエントリの登録または削除の要否を判定し、
外部管理装置は、フローエントリの登録または削除の要否を示す設定制御情報をパケット転送装置に送信し、
パケット転送装置は、外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフローリストにフローエントリを登録し、検索起動フラグテーブルのフラグを登録有りとし、
外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフローリストからフローエントリを削除し、検索起動フラグテーブルのフラグを登録無しとする。 In this packet transfer device management method, the packet transfer device transmits the statistics of the received packet or the statistics of the packet to be transmitted to the external management device,
The external management device determines whether it is necessary to register or delete the flow entry based on information including the statistics of the packet transmitted from the packet transfer device,
The external management device transmits setting control information indicating whether registration or deletion of the flow entry is necessary to the packet transfer device,
The packet transfer device registers the flow entry in the flow list when the setting control information transmitted from the external management device indicates that the flow entry needs to be registered, and sets the flag of the search activation flag table as registered,
When the setting control information transmitted from the external management apparatus indicates that the flow entry needs to be registered, the flow entry is deleted from the flow list, and the flag in the search activation flag table is not registered.

本発明は、例えば、フローを検索するパケット転送装置に利用可能である。   The present invention can be used, for example, in a packet transfer device that searches for a flow.

1・・・本発明のパケット転送装置
2・・・管理端末
3・・・管理ソフト搭載CPU
4・・・レジスタ
5・・・パケット受信回路
6・・・受信側のパケット検索部
7・・・スイッチ
8・・・送信側のパケット検索部
9・・・パケット送信回路
10・・・外部管理装置
11・・・ネットワーク
60・・・経路検索部
61・・・フロー検索部
62・・・統計採取部
610・・・検索起動判定部
611・・・検索起動フラグテーブル制御部
612・・・検索起動フラグテーブル
613・・・フロー検索CAM制御部
614・・・フロー検索CAM
615・・・フロー処理RAM制御部
616・・・フロー処理RAM
6140・・・フロー検索CAMのブロック0
6141・・・フロー検索CAMのブロック1
6142・・・フロー検索CAMのブロック2
6143・・・フロー検索CAMのブロック3
6144・・・フロー検索CAMのブロック4
6145・・・フロー検索CAMのブロック5
6146・・・フロー検索CAMのブロック6
6147・・・フロー検索CAMのブロック7
6140−1・・・フロー検索CAMのブロック0に登録されたフローエントリ
6140−2・・・フロー検索CAMのブロック0に登録されたフローエントリ
6140−3・・・フロー検索CAMのブロック0に登録されたフローエントリ
6140−4・・・フロー検索CAMのブロック0に登録されたフローエントリ
6140−5・・・フロー検索CAMのブロック0に登録されたフローエントリ
6140−6・・・フロー検索CAMのブロック0に登録されたフローエントリ
6160・・・フロー処理RAM616の領域0(フィルタ領域)
6160−1・・・フロー処理RAM616の領域0に登録されたフィルタ用フロー処理エントリ(廃棄)
6160−2・・・フロー処理RAM616の領域0に登録されたフィルタ用フロー処理エントリ(通過)
6160−n・・・フロー処理RAM616の領域0に登録されたフィルタ用フロー処理エントリ(廃棄)
6161・・・フロー処理RAM616の領域1(NetFlow領域)
6161−1・・・フロー処理RAM616の領域1に登録されたNetFlow用フロー処理エントリ
6161−2・・・フロー処理RAM616の領域1に登録されたNetFlow用フロー処理エントリ
6161−n・・・フロー処理RAM616の領域1に登録されたNetFlow用フロー処理エントリ
6162・・・フロー処理RAM616の領域2(QoS領域)
6162−1・・・フロー処理RAM616の領域2に登録されたQoS用フロー処理エントリ(優先度1)
6162−2・・・フロー処理RAM616の領域2に登録されたQoS用フロー処理エントリ(優先度2)
6162−n・・・フロー処理RAM616の領域2に登録されたQoS用フロー処理エントリ(優先度n)
6163・・・フロー処理RAM616の領域3(フローミラー領域)
6163−1・・・フロー処理RAM616の領域3に登録されたフローミラー用フロー処理エントリ
6163−2・・・フロー処理RAM616の領域3に登録されたフローミラー用フロー処理エントリ
6163−n・・・フロー処理RAM616の領域3に登録されたフローミラー用フロー処理エントリ
620・・・パケットカウンタ演算部
621・・・統計RAM制御部
622・・・統計RAM
623・・・タイマー
624・・・レート判定部
625・・・バイトカウンタ演算部 DESCRIPTION OF SYMBOLS 1 ... Packet transfer apparatus 2 ... Management terminal 3 ... CPU with management software
4... Register 5... Packet reception circuit 6... Reception side packet search unit 7... Switch 8. Device 11 ... Network 60 ... Route search unit 61 ... Flow search unit 62 ... Statistic collection unit 610 ... Search activation determination unit 611 ... Search activation flag table control unit 612 ... Search Activation flag table 613 ... Flow search CAM control unit 614 ... Flow search CAM
615: Flow processing RAM control unit 616: Flow processing RAM
6140 Block 0 of flow search CAM
6141: Block 1 of flow search CAM
6142 ... Block 2 of the flow search CAM
6143: Flow search CAM block 3
6144: Flow search CAM block 4
6145: Block 5 of the flow search CAM
6146: Block 6 of the flow search CAM
6147: Block 7 of the flow search CAM
6140-1 ... Flow entry 6140-2 registered in block 0 of flow search CAM ... Flow entry 6140-3 registered in block 0 of flow search CAM ... Registered in block 0 of flow search CAM Flow entry 6140-4 ... Flow entry 6140-5 registered in block 0 of flow search CAM ... Flow entry 6140-6 registered in block 0 of flow search CAM ... Flow entry 6160 registered in block 0... Area 0 (filter area) of flow processing RAM 616
6160-1... Filter processing entry (discard) registered in area 0 of the flow processing RAM 616
6160-2... Flow process entry for filter (pass) registered in area 0 of the flow process RAM 616
6160-n... Flow processing entry for filter registered in area 0 of flow processing RAM 616 (discard)
6161: Area 1 of the flow processing RAM 616 (NetFlow area)
6161-1... NetFlow flow processing entry 6161-2 registered in area 1 of flow processing RAM 616. NetFlow flow processing entry 6161-n registered in area 1 of flow processing RAM 616. NetFlow flow processing entry 6162 registered in area 1 of RAM 616... Area 2 (QoS area) of flow processing RAM 616
6162-1 ... QoS flow process entry registered in area 2 of the flow process RAM 616 (priority level 1)
6162-2 ... QoS flow process entry registered in area 2 of flow process RAM 616 (priority level 2)
6162-n ... QoS flow processing entry (priority n) registered in area 2 of the flow processing RAM 616.
6163: Area 3 (flow mirror area) of the flow processing RAM 616
6163-1 Flow process entry for flow mirror registered in area 3 of flow process RAM 616 6163-2 Flow process entry for flow mirror 6163-n registered in area 3 of flow process RAM 616 Flow processing entry 620 for the flow mirror registered in the area 3 of the flow processing RAM 616... Packet counter calculation unit 621... Statistical RAM control unit 622.
623 ... Timer 624 ... Rate determination unit 625 ... Byte counter calculation unit

Claims (14)

複数の入力回線と複数の出力回線に接続され、入力回線から受信したパケットをヘッダ情報に基づき特定される出力回線に送信するパケット転送装置であって、
複数のブロックを有するフロー検索メモリと、
受信したパケットのヘッダ情報のうちひとつ以上の情報を検索キーとして前記フロー検索メモリの所定ブロックを検索して該パケットが属するフローを識別するフロー検索を実行するフロー検索制御部と、
識別されたフローに従い、フロー毎に予め定められた処理を実行するフロー処理部と、
フローリストの識別子と、前記フロー検索メモリの複数のブロックにそれぞれ対応し該複数のブロックのうち検索対象となるブロックを特定する複数の検索起動情報が対応して格納される検索起動テーブルと、
受信パケットが属するフローリストに基づき前記検索起動テーブルを参照して、対応する検索起動情報に従い検索対象となる前記フロー検索メモリのブロックを特定する検索起動判定部と
を備え、
前記フロー検索制御部は、
前記検索起動判定部で特定された前記フロー検索メモリのブロックに対し前記フロー検索を実行するパケット転送装置。 A packet transfer apparatus that is connected to a plurality of input lines and a plurality of output lines, and that transmits a packet received from the input line to an output line specified based on header information,
A flow search memory having a plurality of blocks;
A flow search control unit that searches a predetermined block of the flow search memory using one or more pieces of information of received header information of a packet as a search key and identifies a flow to which the packet belongs;
A flow processing unit that executes a predetermined process for each flow according to the identified flow;
A search start table in which a plurality of search start information corresponding to a plurality of blocks of the flow search memory and corresponding to a plurality of search start information for specifying a search target block among the plurality of blocks are stored correspondingly.
A search activation determination unit that refers to the search activation table based on a flow list to which the received packet belongs, and specifies a block of the flow search memory to be searched according to corresponding search activation information;
The flow search control unit
A packet transfer device that executes the flow search on the block of the flow search memory specified by the search activation determination unit. 検索起動情報が、検索対象となるブロックがないことを示す場合、前記フロー検索メモリに対する前記フロー検索を実行しない請求項1に記載のパケット転送装置。   The packet transfer device according to claim 1, wherein when the search activation information indicates that there is no block to be searched, the flow search is not performed on the flow search memory. 受信するパケット又は送信するパケットの統計量を、フローリスト毎に求める統計採取部と、
前記統計採取部により求められた統計量が予め定められた登録閾値を上回る場合、前記検索起動テーブルの、該当するフローリストに対応する複数の検索起動情報のうち予め定められた検索起動情報を、検索対象を示すように設定する管理部と
をさらに備える請求項1に記載のパケット転送装置。 A statistics collection unit that obtains the statistics of received packets or transmitted packets for each flow list; and
When the statistic obtained by the statistic collecting unit exceeds a predetermined registration threshold, a predetermined search activation information among a plurality of search activation information corresponding to the corresponding flow list in the search activation table, The packet transfer apparatus according to claim 1, further comprising a management unit configured to set a search target. 複数の入力回線と複数の出力回線に接続され、入力回線から受信したパケットをヘッダ情報に基づき特定される出力回線に送信するパケット転送装置であって、
パケットのヘッダ情報に基づき該パケットが属するフローを識別するためのフロー検索メモリと、
受信したパケットのヘッダ情報のうちひとつ以上の情報を検索キーとして前記フロー検索メモリを検索して該パケットが属するフローを識別するフロー検索を実行するフロー検索制御部と、
識別されたフローに従い、フロー毎に予め定められた処理を実行するフロー処理部と、
フローリストの識別子と、前記フロー検索を実行するか否かを示す検索起動情報とが格納される検索起動テーブルと、
受信するパケット又は送信するパケットの統計量を、フローリスト毎に求める統計採取部と、
前記統計採取部により求められた統計量が予め定められた登録閾値を上回る場合、前記検索起動テーブルの、該当するフローリストに対応する検索起動情報を、前記フロー検索を実行するように設定する管理部と、
受信したパケットが属するフローリストに基づき前記検索起動テーブルを参照して、対応する検索起動情報に従いフロー検索を実行するか判定する検索起動判定部と
を備え、
前記フロー検索制御部は、前記検索起動判定部の判定結果に従い、フロー検索を実行すると判定された場合前記フロー検索メモリに対する前記フロー検索を実行し、フロー検索を実行しないと判定された場合、前記フロー検索を実行しない前記パケット転送装置。 A packet transfer apparatus that is connected to a plurality of input lines and a plurality of output lines, and that transmits a packet received from the input line to an output line specified based on header information,
A flow search memory for identifying the flow to which the packet belongs based on the header information of the packet;
A flow search control unit that searches the flow search memory using one or more pieces of information of received packet header information as a search key and executes a flow search for identifying a flow to which the packet belongs;
A flow processing unit that executes a predetermined process for each flow according to the identified flow;
A search activation table storing a flow list identifier and search activation information indicating whether to execute the flow search;
A statistics collection unit that obtains the statistics of received packets or transmitted packets for each flow list; and
Management in which search activation information corresponding to a corresponding flow list in the search activation table is set to execute the flow search when the statistic obtained by the statistics collection unit exceeds a predetermined registration threshold And
A search activation determination unit that refers to the search activation table based on a flow list to which the received packet belongs, and determines whether to execute a flow search according to corresponding search activation information;
The flow search control unit executes the flow search for the flow search memory when it is determined to execute a flow search according to the determination result of the search activation determination unit, and when it is determined not to execute the flow search, The packet transfer apparatus that does not perform flow search. 前記管理部は、前記統計採取部により求められた統計量が予め定められた削除閾値を下回る場合、前記検索起動テーブルの検索起動情報を、前記フロー検索を実行しないように設定する請求項4に記載のパケット転送装置。   The management unit sets the search activation information of the search activation table not to execute the flow search when the statistic obtained by the statistics collection unit is lower than a predetermined deletion threshold. The packet transfer apparatus described. 前記フロー検索メモリとして、CAM(Content Addressable Memory)を使用することを特徴とする請求項4に記載のパケット転送装置。   5. The packet transfer apparatus according to claim 4, wherein a CAM (Content Addressable Memory) is used as the flow search memory. 前記フローリストは、入力物理回線、入力論理回線、出力物理回線、及び、出力論理回線のいずれかに対応する請求項4に記載のパケット転送装置。   The packet transfer apparatus according to claim 4, wherein the flow list corresponds to any one of an input physical line, an input logical line, an output physical line, and an output logical line. 前記統計採取部は、受信するパケット又は送信するパケットについて、入力物理回線毎のパケットの統計量、入力論理回線毎のパケットの統計量、出力回線毎のパケットの統計量、及び、出力論理回線毎のパケットの統計量のいずれかを求め、
前記管理部は、
入力物理回線毎のパケットの統計量が、入力物理回線に対応するフローリスト毎に予め指定された登録閾値を上回る場合、または、 (※閾値の明細書サポート)
入力論理回線毎のパケットの統計量が、入力論理回線に対応するフローリスト毎に予め指定された登録閾値を上回る場合、または、
出力物理回線毎のパケットの統計量が、出力物理回線に対応するフローリスト毎に予め指定された登録閾値を上回る場合、または、
出力論理回線毎のパケットの統計量が、出力論理回線に対応するフローリスト毎に予め指定された登録閾値を上回る場合、
前記検索起動テーブルの、該当するフローリストに対応する検索起動情報を設定する請求項4に記載のパケット転送装置。 The statistics collection unit, for received packets or transmitted packets, packet statistics for each input physical line, packet statistics for each input logical line, packets statistics for each output line, and each output logical line Find one of the packet statistics for
The management unit
If the statistics of the packets for each input physical line exceed the registration threshold specified in advance for each flow list corresponding to the input physical line, or (* Threshold specification description supported)
When the statistics of the packet for each input logical line exceeds the registration threshold specified in advance for each flow list corresponding to the input logical line, or
When the statistics of the packet for each output physical line exceeds the registration threshold specified in advance for each flow list corresponding to the output physical line, or
If the statistics of the packet for each output logical line exceeds the registration threshold specified in advance for each flow list corresponding to the output logical line,
The packet transfer apparatus according to claim 4, wherein search activation information corresponding to a corresponding flow list in the search activation table is set. 前記統計採取部は、受信するパケット又は送信するパケットについて、入力物理回線毎のパケットの統計量、入力論理回線毎のパケットの統計量、出力回線毎のパケットの統計量、及び、出力論理回線毎のパケットの統計量のいずれかを求め、
前記管理部は、
入力物理回線毎のパケットの統計量が、入力物理回線に対応するフローリスト毎に予め指定された削除閾値を下回る場合、または、
入力論理回線毎のパケットの統計量が、入力論理回線に対応するフローリスト毎に予め指定された削除閾値を下回る場合、または、
出力物理回線毎のパケットの統計量が、出力物理回線に対応するフローリスト毎に予め指定された削除閾値を下回る場合、または、
出力論理回線毎のパケットの統計量が、出力論理回線に対応するフローリスト毎に予め指定された削除閾値を下回る場合、
前記検索起動テーブルの、該当するフローリストに対応する検索起動情報を削除する請求項4に記載のパケット転送装置。 The statistics collection unit, for received packets or transmitted packets, packet statistics for each input physical line, packet statistics for each input logical line, packets statistics for each output line, and each output logical line Find one of the packet statistics for
The management unit
When the statistics of the packet for each input physical line is below the deletion threshold specified in advance for each flow list corresponding to the input physical line, or
If the statistics of the packet for each input logical line is below the deletion threshold specified in advance for each flow list corresponding to the input logical line, or
When the statistics of the packet for each output physical line is lower than the deletion threshold specified in advance for each flow list corresponding to the output physical line, or
If the statistics of the packet for each output logical line is below the deletion threshold specified in advance for each flow list corresponding to the output logical line,
The packet transfer apparatus according to claim 4, wherein search activation information corresponding to a corresponding flow list is deleted from the search activation table. 前記パケットの統計量が、パケットレート又はビットレートである請求項4に記載のパケット転送装置。   The packet transfer apparatus according to claim 4, wherein the statistical amount of the packet is a packet rate or a bit rate. 前記フロー処理部で実行する処理が、フロー毎の統計量の採取、又は、フロー毎のパケットのミラーリングを含むフローモニタ機能である請求項4に記載のパケット転送装置。   The packet transfer apparatus according to claim 4, wherein the process executed by the flow processing unit is a flow monitor function including collecting statistics for each flow or mirroring a packet for each flow. パケットの統計量に基づいて、フローエントリの登録又は削除の機能を有効にするか無効にするかを設定するユーザインタフェース
をさらに備える請求項4に記載のパケット転送装置。 5. The packet transfer apparatus according to claim 4, further comprising a user interface for setting whether to enable or disable a flow entry registration or deletion function based on packet statistics. フローエントリの登録有り又は登録無しを示すフラグが設定される検索起動テーブルを有し、該フラグが登録有りを示す場合、入力パケットのフロー検索を実行し、該フラグが登録無しを示す場合フロー検索を実行しないパケット転送装置と、
前記パケット転送装置を管理する外部管理装置と
を備えたパケット転送装置管理システムであって、
前記パケット転送装置は、受信するパケットの統計量、または送信するパケットの統計量を求めて前記外部管理装置に送信し、
前記外部管理装置は、前記パケット転送装置から送信されたパケットの統計量が予め定められた登録閾値を上回ること、又は、パケットの統計量が予め定められた削除閾値を下回ることにより、フローエントリの登録又は削除の要否を判定し、
前記外部管理装置は、フローエントリの登録又は削除の要否を示す設定制御情報を前記パケット転送装置に送信し、
前記パケット転送装置は、前記外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを登録し、検索起動フラグテーブルのフラグを登録有りとし、前記外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを削除し、検索起動フラグテーブルのフラグを登録無しとするパケット転送装置管理システム。 It has a search start table in which a flag indicating whether a flow entry is registered or not registered is set. When the flag indicates that there is a registration, a flow search is performed for the input packet. When the flag indicates that there is no registration, a flow search is performed. A packet transfer device that does not execute
A packet transfer device management system comprising an external management device for managing the packet transfer device,
The packet transfer device obtains the statistics of the packet to be received or the statistics of the packet to be transmitted and transmits it to the external management device,
The external management device determines whether the statistic of the packet transmitted from the packet transfer device exceeds a predetermined registration threshold or the statistical value of the packet falls below a predetermined deletion threshold. Determine whether registration or deletion is necessary,
The external management device transmits setting control information indicating whether registration or deletion of a flow entry is necessary to the packet transfer device,
The packet transfer device registers a flow entry for a flow search when the setting control information transmitted from the external management device indicates that a flow entry needs to be registered, and sets a flag in the search activation flag table. If it is registered and the setting control information transmitted from the external management device indicates that the flow entry needs to be registered, the flow entry for the flow search is deleted and the flag of the search activation flag table is not registered Packet transfer device management system. パケット転送装置は、受信するパケットの統計量、または送信するパケットの統計量を求めて外部管理装置に送信し、
外部管理装置は、パケット転送装置から送信されたパケットの統計量が予め定められた登録閾値を上回ること、又は、パケットの統計量が予め定められた削除閾値を下回ることにより、フローエントリの登録又は削除の要否を判定し、
外部管理装置は、フローエントリの登録又は削除の要否を示す設定制御情報をパケット転送装置に送信し、
パケット転送装置は、外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを登録し、検索起動フラグテーブルのフラグを登録有りとし、外部管理装置から送信された設定制御情報がフローエントリの登録が要であることを示す場合にはフロー検索のためのフローエントリを削除し、検索起動フラグテーブルのフラグを登録無しとし、
パケット転送装置は、検索起動テーブルのフラグを参照して、該フラグが登録有りを示す場合入力パケットのフロー検索を実行し、該フラグが登録無しを示す場合フロー検索を実行しないパケット転送装置管理方法。 The packet transfer device obtains the statistics of the received packet or the statistics of the packet to be transmitted and sends it to the external management device.
The external management device can register a flow entry when the statistic of the packet transmitted from the packet transfer device exceeds a predetermined registration threshold value or the statistic of the packet falls below a predetermined deletion threshold value. Determine whether it needs to be deleted,
The external management device transmits setting control information indicating whether registration or deletion of the flow entry is necessary to the packet transfer device,
When the setting control information transmitted from the external management device indicates that the flow entry needs to be registered, the packet transfer device registers the flow entry for the flow search and registers the flag of the search activation flag table When the setting control information transmitted from the external management device indicates that registration of the flow entry is necessary, the flow entry for the flow search is deleted, and the flag of the search activation flag table is not registered.
The packet transfer apparatus refers to the flag of the search start table, and executes a flow search for an input packet when the flag indicates that there is registration, and does not execute a flow search when the flag indicates that there is no registration .
JP2010172066A 2010-07-30 2010-07-30 Packet transfer device, packet transfer device management system, and packet transfer device management method Active JP5480056B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010172066A JP5480056B2 (en) 2010-07-30 2010-07-30 Packet transfer device, packet transfer device management system, and packet transfer device management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010172066A JP5480056B2 (en) 2010-07-30 2010-07-30 Packet transfer device, packet transfer device management system, and packet transfer device management method

Publications (2)

Publication Number Publication Date
JP2012034192A true JP2012034192A (en) 2012-02-16
JP5480056B2 JP5480056B2 (en) 2014-04-23

Family

ID=45847071

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010172066A Active JP5480056B2 (en) 2010-07-30 2010-07-30 Packet transfer device, packet transfer device management system, and packet transfer device management method

Country Status (1)

Country Link
JP (1) JP5480056B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9641437B2 (en) 2013-08-05 2017-05-02 Alaxala Networks Corporation Packet relay device and packet relay method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003304278A (en) * 2002-04-08 2003-10-24 Hitachi Ltd Flow detector and packet transfer device having flow detecting function
JP2005151341A (en) * 2003-11-18 2005-06-09 Ntt Docomo Inc Communication system, monitoring device, edge router and communication method
JP2005252954A (en) * 2004-03-08 2005-09-15 Fujitsu Ltd Table retrieval apparatus
JP2006165603A (en) * 2004-12-02 2006-06-22 Hitachi Ltd Data transfer apparatus
JP2008193628A (en) * 2007-02-08 2008-08-21 Nippon Telegr & Teleph Corp <Ntt> Traffic information distribution and collection method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003304278A (en) * 2002-04-08 2003-10-24 Hitachi Ltd Flow detector and packet transfer device having flow detecting function
JP2005151341A (en) * 2003-11-18 2005-06-09 Ntt Docomo Inc Communication system, monitoring device, edge router and communication method
JP2005252954A (en) * 2004-03-08 2005-09-15 Fujitsu Ltd Table retrieval apparatus
JP2006165603A (en) * 2004-12-02 2006-06-22 Hitachi Ltd Data transfer apparatus
JP2008193628A (en) * 2007-02-08 2008-08-21 Nippon Telegr & Teleph Corp <Ntt> Traffic information distribution and collection method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9641437B2 (en) 2013-08-05 2017-05-02 Alaxala Networks Corporation Packet relay device and packet relay method

Also Published As

Publication number Publication date
JP5480056B2 (en) 2014-04-23

Similar Documents

Publication Publication Date Title
US10075338B2 (en) Relay control unit, relay control system, relay control method, and relay control program
CN108667853B (en) Malicious attack detection method and device
US9467384B2 (en) Packet forwarding apparatus and method using flow subgroup based path selection for dynamic load balancing
US9819590B2 (en) Method and apparatus for notifying network abnormality
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
US10924374B2 (en) Telemetry event aggregation
US8432807B2 (en) Network traffic analysis using a flow table
US7411957B2 (en) Hardware filtering support for denial-of-service attacks
US8005012B1 (en) Traffic analysis of data flows
JP5538257B2 (en) Bandwidth monitoring device and packet relay device
US8797869B2 (en) Flow-based rate limiting
US8891543B1 (en) Method and system for processing packets in a network device
US10574546B2 (en) Network monitoring using selective mirroring
JP2006005402A (en) Communication statistic collection apparatus
EP4057579A1 (en) Data forwarding method, data buffering method, device, and related apparatus
US11223568B2 (en) Packet processing method and apparatus
JP2017046149A (en) Communication device
US9001839B2 (en) Communication control device and method
CN116405281A (en) Real-time information detection network switching system
JP5480056B2 (en) Packet transfer device, packet transfer device management system, and packet transfer device management method
US20140376394A1 (en) Communication apparatus, control apparatus, communication system, communication control method, and computer program
JP2016197836A (en) Packet transmission device
US20140233381A1 (en) Communication apparatus, control apparatus, communication system, communication control method, and program
CN110365667B (en) Attack message protection method and device and electronic equipment
ES2640871T3 (en) Communication device, communication system, communication control method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140213

R150 Certificate of patent or registration of utility model

Ref document number: 5480056

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250