JP2014516215A - 通信システム、制御装置、処理規則設定方法およびプログラム - Google Patents

通信システム、制御装置、処理規則設定方法およびプログラム Download PDF

Info

Publication number
JP2014516215A
JP2014516215A JP2013555661A JP2013555661A JP2014516215A JP 2014516215 A JP2014516215 A JP 2014516215A JP 2013555661 A JP2013555661 A JP 2013555661A JP 2013555661 A JP2013555661 A JP 2013555661A JP 2014516215 A JP2014516215 A JP 2014516215A
Authority
JP
Japan
Prior art keywords
forwarding node
forwarding
processing
processing rules
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013555661A
Other languages
English (en)
Inventor
健太郎 園田
英之 下西
政行 中江
昌也 山形
陽一郎 森田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2013555661A priority Critical patent/JP2014516215A/ja
Publication of JP2014516215A publication Critical patent/JP2014516215A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/121Shortest path evaluation by minimising delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3009Header conversion, routing tables or routing tags
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/50Overload detection or protection within a single switching element
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0882Utilisation of link capacity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Environmental & Geological Engineering (AREA)

Abstract

【課題】制御装置と各転送ノードとを含む集中制御型ネットワークにおいて、特定の転送ノードに、処理規則が集中して設定されないようにする。
【解決手段】通信システムは、設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと、前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中して設定されないよう、前記複数の転送ノードの中から、処理規則を設定する転送ノードを選択する制御装置と、を含む。
【選択図】図1

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2011−125954号(2011年6月6日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信システム、制御装置、処理規則設定方法およびプログラムに関し、特に、制御装置がネットワークに配置された転送ノードを集中制御する通信システム、制御装置、処理規則設定方法およびプログラムに関する。
近年、オープンフロー(OpenFlow)という技術が提案されている(特許文献1、非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、制御装置と位置付けられるオープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール(ヘッダフィールド)と、フロー統計情報(Counters)と、処理内容を定義したアクション(Actions)と、の組が定義される(図13参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール(図13のヘッダフィールド参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、前記検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送し、受信パケットの送信元・送信先に基づいたパケットの経路の決定を依頼し、これを実現するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行っている。
国際公開第2008/095010号
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成23(2011)年5月26日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "OpenFlow Switch Specification"Version 1.1.0 Implemented (Wire Protocol 0x02)、[平成23(2011)年5月26日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
以下の分析は、本発明によって与えられたものである。特許文献1に記載のオープンフローコントローラは、新規フロー発生時にポリシーファイルを参照してパーミッションチェックを行い、その後に、経路を計算することによりアクセス制御を行っている(特許文献1の[0052])。
特許文献1の構成の場合、オープンフロースイッチ等の数十台〜数百台の転送ノードで構成される比較的規模の大きなネットワークに、数千のユーザ端末やサーバ、データベースが接続されていることを想定すると、これらのユーザ端末と各種資源との間の通信を実現する大量のフローエントリ(処理規則)が必要となる。このとき、一部の転送ノードに設定されるフローエントリ(処理規則)の数が、当該転送ノードの許容量を超えてしまう可能性がある。また、特許文献1の構成の場合、個々の転送ノードの処理負荷が高くなってしまい、ネットワークの稼働に支障をきたす可能性もある。
すなわち、特許文献1の構成では、フローエントリ(処理規則)の設定先の管理ができていないという問題点がある。また、ネットワーク管理者などが人手で、これら大量のフローエントリ(処理規則)を転送ノードへ設定することは、非常に時間がかかり困難である。
本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、個々の転送ノードに処理規則が過度に集中しないよう、適切な転送ノードにフローエントリ(処理規則)を設定する通信システム、方法、およびプログラムを提供することにある。
本発明の第1の視点によれば、設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと、前記複数の転送ノードのうちのいずれかに設定可能な処理規則を設定する際に、前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないよう、前記複数の転送ノードの中から、前記処理規則を設定する転送ノードを選択する制御装置と、を含む通信システムが提供される。
本発明の第2の視点によれば、設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと接続され、前記複数の転送ノードのうちのいずれかに設定可能な処理規則を設定する際に、前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないよう、前記複数の転送ノードの中から、前記処理規則を設定する転送ノードを選択する制御装置が提供される。
本発明の第3の視点によれば、設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと接続された制御装置が、前記複数の転送ノードのうちのいずれかに設定可能な処理規則を設定する際に、前記各転送ノードに設定されている処理規則の数を確認するステップと、前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないよう、前記複数の転送ノードの中から、前記処理規則を設定する転送ノードを選択し、該転送ノードに前記処理規則を設定するステップと、を含む処理規則設定方法が提供される。本方法は、転送ノードを制御する制御装置という、特定の機械に結びつけられている。
本発明の第4の視点によれば、設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと接続された制御装置を構成するコンピュータに、前記複数の転送ノードのうちのいずれかに設定可能な処理規則を設定する際に、前記各転送ノードに設定されている処理規則の数を確認する処理と、前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないよう、前記複数の転送ノードの中から、前記処理規則を設定する転送ノードを選択し、該転送ノードに前記処理規則を設定する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、複数の転送ノードのうちの特定の転送ノードに、処理規則が集中しないようにすることが可能となる。
本発明の一実施形態の概要を説明するための図である。 本発明の第1の実施形態の処理規則管理システムの構成を表した図である。 本発明の第1の実施形態の認証装置に保持される認証情報の一例である。 本発明の第1の実施形態の通信ポリシ記憶部に格納される通信ポリシ情報の一例である。 本発明の第1の実施形態のリソース情報記憶部に格納されるリソース情報の一例である。 本発明の第1の実施形態のポリシ管理装置から制御装置に通知される通信ポリシの一例である。 本発明の第1の実施形態の制御装置の詳細構成を表したブロック図である。 本発明の第1の実施形態の一連の動作を表したシーケンス図である。 本発明の第1の実施形態の制御装置による、処理規則の設定先の選択処理を説明するための図である。 図9の各転送ノードについて設定されたしきい値の例である。 本発明の第1の実施形態の制御装置による、処理規則の設定先の選択処理の流れを表わしたフローチャートである。 本発明の第2の実施形態の制御装置による処理規則の設定先転送ノードの選択処理を説明するための図である。 非特許文献2に記載のフローエントリの構成を表した図である。
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。本発明は、図1に示したように、制御装置400から設定された処理規則にしたがって、ユーザ端末100から送信されたパケットを処理する転送ノード群200と、通信ポリシを管理し、認証に成功したユーザに付与した通信ポリシを前記制御装置に通知するポリシ管理装置300と、前記ポリシ管理装置300から通知された通信ポリシに基づいて、ユーザ端末100とアクセス先の機器(ネットワーク資源500)までのアクセス可否を実現する処理規則を作成し、転送ノード群200に該処理規則を設定する制御装置400と、を含む構成にて実現できる。
より具体的には、制御装置400は、ポリシ管理装置300からの通信ポリシの受信をトリガとして、ユーザ端末100とアクセス先の機器(ネットワーク資源500)までのアクセス可否を実現する処理規則を作成する経路制御部410と、経路制御部410が作成した処理規則のうち、転送ノード群200の複数の転送ノードに設定可能な処理規則について、各転送ノードに設定されている処理規則の数に基づいて特定の転送ノードに処理規則が集中しないよう設定先とする転送ノードを選択し、該転送ノードに前記処理規則を設定する転送ノード選択部420とを備える。
例えば、制御装置400は、ポリシ管理装置300から通知された通信ポリシに基づいて、ユーザ端末100からネットワーク資源500へのアクセスを禁止する場合、転送ノードAと転送ノードDのうち設定されている処理規則が少ない方の転送ノードに、ユーザ端末100からネットワーク資源500宛てのパケットを破棄する処理規則を、設定する。
同様に例えば、制御装置400は、ポリシ管理装置300から通知された通信ポリシに基づいて、ユーザ端末100からネットワーク資源500へのアクセスを許可する場合、転送ノードBと転送ノードCのうち、設定されている処理規則が少ない方の転送ノードを経由するパケット転送経路を設定し、該経路上の転送ノードに、ユーザ端末100からネットワーク資源500宛てのパケットを転送させる処理規則を設定する。
以上により、処理規則の設定先が一箇所のノードに偏らないよう処理規則の設定することができる。
なお、図1の例では、制御装置400は、ポリシ管理装置300からの通信ポリシの受信を契機として、処理規則を設定しているが、ユーザ端末100からパケットを受信した転送ノードA201などからの処理規則の設定要求を契機として、処理規則の作成、設定を行うようにしてもよい。また、その際に、制御装置400が、ポリシ管理装置300に対し、該当ユーザの通信ポリシを要求する構成とすることも可能である。
また、処理規則には、有効期限を設け、転送ノード201〜204に設定されてから、または、最後に照合規則に適合するパケットを受信してから前記有効期限が経過した場合に、当該処理規則を削除するようにしてもよい。
[第1の実施形態]
続いて、本発明の第1の実施形態について、図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の処理規則管理システムの構成を表した図である。図2を参照すると、複数の転送ノード201〜204と、これら転送ノードに処理規則を設定する制御装置400と、制御装置400に通信ポリシを通知するポリシ管理装置300と、ポリシ管理装置300に認証結果を示す認証情報を提供する認証装置330と、を含んだ構成が示されている。
転送ノード201〜204は、受信パケットと照合する照合規則と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則にしたがって、受信パケットを処理するスイッチング装置である。このような転送ノード201〜204としては、図13に示すフローエントリを処理規則として用いて動作する非特許文献2のオープンフロースイッチを用いることもできる。
また、転送ノード204には、ネットワーク資源500A、500Bが接続されており、ユーザ端末100は、転送ノード201〜204を介して、ネットワーク資源500A、500Bと通信可能となっている。以下の実施形態では、ネットワーク資源500Aとネットワーク資源500Bとはそれぞれ異なるリソースグループに属し、それぞれリソースグループIDとしてresource_group_0001、resource_group_0002が付与されているものとする。
認証装置330は、パスワードや生体認証情報等を用いてユーザ端末100とユーザ認証手続を行なう認証サーバ等である。認証装置330は、ポリシ管理装置300にユーザ端末100とのユーザ認証手続の結果を示す認証情報を送信する。
図3は、本実施形態の認証装置330に保持される認証情報の一例である。例えば、ユーザIDがuser1であるユーザの認証に成功した場合、認証装置330は、ポリシ管理装置300に対し、user1、IPアドレス:192.168.100.1、MACアドレス:00−00−00−44−55−66という属性、ロールID:role_0001、role_0002というuser1のエントリを認証情報として送信する。同様に、ユーザIDがuser2であるユーザの認証に成功した場合、ポリシ管理装置300に対し、user2、IPアドレス:192.168.100.2、MACアドレス:00−00−00−77−88−99という属性、ロールID:role_0002というuser2のエントリを認証情報として送信する。
なお、前記認証情報は、ポリシ管理装置300が該当ユーザに付与されている通信ポリシを決定可能な情報であればよく、図3の例に限定するものではない。例えば、認証に成功したユーザのユーザIDや当該ユーザIDから導出したロールID、MACアドレス等のアクセスID、ユーザ端末100の位置情報、あるいは、これらの組み合わせを認証情報として用いることができる。また、認証装置330が、認証情報として、認証に失敗したユーザの情報をポリシ管理装置300に送信し、ポリシ管理装置300が当該ユーザからのアクセスを制限する通信ポリシを制御装置400に送信するようにしてもよい。
ポリシ管理装置300は、通信ポリシ記憶部310、リソース情報記憶部320と接続され、認証装置330から受信した認証情報に対応する通信ポリシを決定し、制御装置400に送信する装置である。
図4は、通信ポリシ記憶部310に格納される通信ポリシ情報の一例である。図4の例では、ロールIDにて識別されるロール毎に、リソースのグループに与えられたリソースグループIDと、アクセス権限を設定した通信ポリシ情報が示されている。例えば、ロールID:role_0001を持つユーザは、リソースグループID:resource_group_0001、resource_group_0002の双方へのアクセスが許可されている。他方、ロールID:role_0002のユーザは、リソースグループID:resource_group_0001へのアクセスは禁止され、resource_group_0002へのアクセスが許可されている。
図5は、リソース情報記憶部320に格納されるリソース情報の一例である。図5の例では、上記したリソースグループIDに属するリソースのリソースIDやその詳細属性を対応付けた内容となっている。例えば、リソースグループID:resource_group_0001で特定されるグループには、resource_0001、resource_0002、resource_0003を持つリソースが含まれ、それぞれのIPアドレスやMACアドレスやサービスに利用するポート番号などを特定できるようになっている。上記のような通信ポリシ情報およびリソース情報を参照して、ポリシ管理装置300は、認証装置330にて認証を受けたユーザの通信ポリシを決定し、制御装置400に通知する。例えば、ポリシ管理装置300は、認証装置330から受信した認証情報に含まれるロールIDにて、図4のポリシ情報から該当するロールIDに紐付けられたリソースグループIDとそのアクセス権限の内容を特定する。そして、ポリシ管理装置300は、図5のリソース情報からリソースグループIDに属するリソースの情報を用いて通信ポリシを作成する。
図6は、図3、図4、図5に示した情報から作成されるユーザID:user1を持つユーザの通信ポリシである。図6の送信元フィールドには、図3の認証情報のユーザID:user1の属性情報の値が設定されている。また、宛先フィールドには、図4のポリシ情報のロールID:role_0001の内容を元に図5のリソース情報から抽出したリソース属性が設定されている。また、アクセス権限フィールドには、図4のポリシ情報のロールID:role_0001のアクセス権限と同じ値が設定されている。また、条件(オプション)フィールドには、図5のリソース情報のリソース属性フィールドに設定されていたサービスとポート番号が設定されている。
制御装置400は、ポリシ管理装置300から送信される上記のような通信ポリシを用いて、ユーザに付与されたアクセス権限に対応するアクセス範囲を実現する処理規則を作成し、転送ノードに処理規則を設定する。
図7は、本実施形態の制御装置400の詳細構成を表したブロック図である。図7を参照すると、制御装置400は、転送ノード201〜204との通信を行うノード通信部11と、制御メッセージ処理部12と、処理規則管理部13と、処理規則記憶部14と、転送ノード管理部15と、経路・アクション計算部16と、トポロジ管理部17と、端末位置管理部18と、通信ポリシ管理部19と、通信ポリシ記憶部20と、を備えて構成される。これらはそれぞれ次のように動作する。
制御メッセージ処理部12は、転送ノードから受信した制御メッセージを解析して、制御装置400内の該当する処理手段に制御メッセージ情報を引き渡す。
処理規則管理部13は、どの転送ノードにどのような処理規則が設定されているかを管理する。具体的には、経路・アクション計算部16にて作成された処理規則を処理規則記憶部14に登録し、転送ノードに設定すると共に、転送ノードからの処理規則削除通知などにより、転送ノードにて設定された処理規則に変更が生じた場合にも対応して処理規則記憶部14の登録情報をアップデートする。
転送ノード管理部15は、制御装置400によって制御されている転送ノードの能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。また、転送ノード管理部15には、各転送ノード毎について設定された処理規則の設定先選択用しきい値が保持される。
経路・アクション計算部16は、上記した経路制御部410として動作し、通信ポリシ管理部19から通信ポリシを受信すると、まず、当該通信ポリシに従い、トポロジ管理部17に保持されているネットワークトポロジを参照し、当該ユーザがアクセス可能な範囲のネットワーク資源への経路を作成し、当該経路に従ったパケット転送を実現する処理規則を作成する。そして、経路・アクション計算部16は、処理規則管理部13を介して、前記作成した処理規則を、前記経路上の転送ノードに設定する。
具体的には、経路・アクション計算部16は、端末位置管理部18にて管理されているユーザ端末の位置情報とトポロジ管理部17にて構築されたネットワークトポロジ情報に基づいて、パケットの転送経路を計算する。次に、経路・アクション計算部16は、転送ノード管理部15から、前記転送経路上の転送ノードのポート情報等を取得して、前記計算した転送経路を実現するために経路上の転送ノードに実行させるアクションと、当該アクションを適用するフローを特定するための照合規則を求める。なお、前記照合規則は、図6の通信ポリシの送信元IPアドレス、宛先IPアドレス、条件(オプション)等を用いて作成することができる。従って、図6の通信ポリシの1番目のエントリの場合、送信元IPアドレス192.168.100.1から宛先IPアドレス192.168.0.1に宛てられたパケットを、次ホップとなる転送ノードやネットワーク資源500A、500Bが接続されたポートから転送させるアクションを定めた各処理規則が作成される。なお、上記処理規則の設定の前に、制御装置400への処理規則の設定要求を許可する処理規則だけを設定し、その後に、ユーザ端末がアクセス権を有しているリソースへのパケット転送を実現する処理規則を作成するようにしてもよい。
さらに、本実施形態の経路・アクション計算部16は、上記した転送ノード選択部420として動作し、前記作成した処理規則のうち特定の転送ノードに設定することを要しない処理規則、即ち、複数の転送ノードに設定可能な処理規則について、当該処理規則の設定先を選択する。具体的には、経路・アクション計算部16は、ユーザ端末との距離や各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないように、処理規則を設定する転送ノードを選択し、前記選択した転送ノードに、処理規則管理部13を介して前記処理規則を設定する。その具体例は、後に図9〜図11を参照して説明する。
トポロジ管理部17は、ノード通信部11を介して収集された転送ノード201〜204の接続関係に基づいてネットワークトポロジ情報を構築する。
端末位置管理部18は、通信システムに接続しているユーザ端末の位置を特定するための情報を管理する。本実施形態では、ユーザ端末を識別する情報としてIPアドレスを、ユーザ端末の位置を特定するための情報として、ユーザ端末が接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。もちろん、これらの情報に代えて、例えば、認証装置330からもたらされる情報等を用いて、端末とその位置を特定するものとしても良い。
通信ポリシ管理部19は、ポリシ管理装置300から通信ポリシ情報を受信すると、通信ポリシ記憶部20に格納するとともに、経路・アクション計算部16に送信する。
以上のような制御装置400は、非特許文献1、2のオープンフローコントローラをベースに、上記した通信ポリシの受信を契機とした処理規則(フローエントリ)の作成機能および処理規則の設定先(転送ノード)の選択機能を追加することでも実現できる。
なお、図7に示した制御装置400の各部(処理手段)は、制御装置400を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図8は、本実施形態の一連の動作を表したシーケンス図である。図8を参照すると、まず、ユーザ端末が、認証装置330にログイン要求すると、認証装置330へのパケット転送が行われる(図8のS101)。認証装置330はユーザ認証を行い(図8のS102)、ユーザ端末の認証情報をポリシ管理装置300へ送信する(図8のS103)。
ポリシ管理装置300は、受信した認証情報に基づいて通信ポリシ記憶部310と、リソース情報記憶部320とを参照して通信ポリシを決定し(図8のS104)、その結果を制御装置400へ送信する(図8のS105)。制御装置400は、ポリシ管理装置300から通知された、ユーザ端末の通信ポリシに基づいてユーザ端末とネットワーク資源との間の経路と処理規則を作成する(図8のS106)。
さらに、制御装置400は、前記生成した処理規則のうち、複数の転送ノードに設定可能なものについて、設定先の転送ノードを選択し(図8のS107)、該転送ノードへ処理規則を設定する(図8のS108)。
その後、ユーザ端末100が前記処理規則が設定された転送ノードへパケットを送出すると、各転送ノードは制御装置400によって設定された処理規則に従ってパケット転送の判定を行う。ネットワーク資源へのアクセスを許可する場合、転送ノードは該当するネットワーク資源へパケットを転送する。一方、転送ノードは設定された処理規則に従ってネットワーク資源へのアクセスを拒否する場合、該当するパケットを破棄する(図8には図示せず)。
ここで、上記ステップS107における処理規則の設定先の転送ノードの選択処理について図面を参照して詳細に説明する。また、以下の説明では、ポリシ管理装置300から通知された通信ポリシに基づいて、図9に示すように接続された転送ノードA〜転送ノードEの中から、ユーザ端末100からのパケットを破棄する処理規則の設定先を選択する例を挙げて説明する。
図10は、転送ノード管理部15に保持された各転送ノード毎の処理規則の設定先選択用しきい値の例である。図10を参照すると、転送ノードAには、しきい値として「10,000」が設定されている。この場合、転送ノードAが保持する処理規則の数が10000以上である場合、当該転送ノードAは、処理規則の設定先から除外される。また、前記各しきい値は、各転送ノードの仕様上の最大処理規則数や推奨される処理規則数を基準に設定してもよいし、転送ノードの負荷に応じて動的に変更されるようにしてもよい。さらに、前記各転送ノードに設定されるしきい値やその決定方法は、ユーザが任意のタイミングで自由に設定できる仕組みであってもよい。
続いて、転送ノード選択部420として動作する経路・アクション計算部16が、図9に示す転送ノードA〜転送ノードEの中から、処理規則の設定先を選択し、処理規則を選択するまでの処理の流れを説明する。
図11は、経路・アクション計算部16によって、あるユーザ端末100からあるネットワーク資源へのパケットを破棄する処理規則が設定されるまでの流れを示すフローチャートである。
図11を参照すると、経路・アクション計算部16は、あるユーザ端末100からあるネットワーク資源へのパケットを破棄する処理規則を生成すると、当該処理規則の設定先として、まず、当該ユーザ端末100から最も近い転送ノードを選択する(図11のS001)。例えば、図9の例では、転送ノードA〜転送ノードEの中から、ユーザ端末100から最も近い転送ノードAが選択される。ここで、「近い」とは、ユーザ端末100からその転送ノードへの距離が、他の転送ノードとの距離や所定のしきい値と比較して短い(ホップ数が少ない)ことを指すものとするが、その他、各リンクの帯域やトラヒック状態等を考慮するようにしてもよい。
次に、経路・アクション計算部16は、選択した転送ノードに現在設定されている処理規則の数が、当該転送ノードについて定められたしきい値以上であるか否かを確認する(図11のS002)。ここで、当該転送ノードに現在設定されている処理規則の数が前記しきい値未満である場合(図11のS002のいいえ)、当該転送ノードAに処理規則が設定される(図11のS006)。
一方、前記選択した転送ノードに現在設定されている処理規則の数が前記しきい値以上である場合(図11のS002のはい)、経路・アクション計算部16は、選択した転送ノードの次に、ユーザ端末100から近い転送ノードを検索し(図11のS003)、それらの転送ノードが2個以上あるか否かを確認する(図11のS004)。例えば、図9の例では、転送ノードAに現在設定されている処理規則の数は「15,000」であり、図10の転送ノードAのしきい値10,000以上である。この場合、ユーザ端末100から次に近い転送ノードとして転送ノードB〜Dが、次位の処理規則の設定先候補として抽出される。
前記検索にて抽出された転送ノードが1つであった場合、経路・アクション計算部16は、ステップS002に戻って、当該転送ノードに現在設定されている処理規則の数と、当該転送ノードのしきい値とを比較する(ステップS004のいいえ)。
一方、前記検索にて抽出された転送ノードが2以上ある場合(ステップS004のはい)、経路・アクション計算部16は、現在設定されている処理規則の数が少ない方の転送ノードを選択し(ステップS005)、ステップS002に戻って、当該転送ノードに現在設定されている処理規則の数と、当該転送ノードのしきい値とを比較する(ステップS002へ)。
例えば、図9の例では、転送ノードAの次に、ユーザ端末100から近い転送ノードとして転送ノードB〜Dが検索される。この中で、現在設定されている処理規則の数が最も少ない転送ノードは転送ノードBであるため、ステップS005において転送ノードBが選択される。そして、2回目のステップS002では、転送ノードBに現在設定されている処理規則の数6,000と、図10の転送ノードBのしきい値5,000との比較が行われる。
しかしながら、転送ノードBも、図10のしきい値以上の処理規則が設定されているため、ステップS003に進み、転送ノードBの次に、ユーザ端末100から近い転送ノードとして転送ノードC、Dが検索される。転送ノードC、Dのうち、現在設定されている処理規則の数が最も少ない転送ノードは転送ノードCであるため、ステップS005において転送ノードCが選択される。そして、3回目のステップS002では、転送ノードCに現在設定されている処理規則の数7,000と、図10の転送ノードCのしきい値8,000との比較が行われる。
前記比較の結果、転送ノードCに設定されている処理規則の数は、図10のしきい値未満であるため(ステップS002のいいえ)、転送ノードCが処理規則の設定先として選択され、ステップS006にて処理規則が設定される。
以上のように、経路・アクション計算部16は、各ユーザの通信ポリシが通知される度に、当該通信ポリシを実現する処理規則を作成し、そのうちの当該ユーザからのパケットを破棄する処理規則の設定先を選択する。これにより、例えば、図9のような複数の転送ノードの中から、ユーザ端末に最も近く、かつ、設定されている処理規則の数が所定のしきい値未満である転送ノード(例えば、図9の転送ノードC)に処理規則を配置することが可能となる。
このように本実施形態によれば、処理規則が特定の転送ノードに集中して設定されることを防ぐことができる。これによって、特定の転送ノードの処理負荷が過大となってしまうなどの問題も防ぐことができるようになる。
また、図11のフローチャートのステップS005では、設定されている処理規則の数が少ない方の転送ノードを選択するものとして説明したが、処理規則を設定できる余力が大きい転送ノードを選択するようにしてもよい。処理規則を設定できる余力は、例えば、当該転送ノードに設定可能な処理規則の数の最大値と、実際に設定されている処理規則の数の差から求めることができる。
[第2の実施形態]
続いて、各転送ノードに設定されている処理規則の数だけでなく、負荷も考慮して処理規則の設定先を選択するようにした本発明の第2の実施形態について説明する。以下、本発明の第2の実施形態は、上記した第1の実施形態と略同様の構成にて実現できるので、以下、その相違点を中心に説明する。
本実施形態の制御装置の転送ノード管理部15には、各転送ノードから報告された負荷状態が保持されており、経路・アクション計算部16は、これら各転送ノードの負荷状態も参照して、処理規則の設定先を選択する。なお、各転送ノードの負荷状態は、各転送ノードに、負荷状態計測部を設け、所定の時間間隔で報告させるようにしてもよいし、あるいは、制御装置400が、各転送ノードの能力や、各転送ノードに流れるトラヒック量などから、推定するようにしてもよい。
例えば、図12のように、転送ノードA〜Eに現在設定されている処理規則の数と、負荷状態(処理負荷率)とが得られている場合を考える。上記第1の実施形態では、経路・アクション計算部16は、転送ノードA、B、Cの順に選択していき、最終的に転送ノードCを処理規則の設定先として選択した。しかしながら、図12のように、転送ノードCの処理負荷率が90%と(所定のしきい値と比較して)高い場合、経路・アクション計算部16が、設定されている処理規則の数が図10のしきい値未満(9,000<しきい値10,000)であり、かつ、(所定のしきい値と比較して)処理負荷率の低い(30%)転送ノードDを処理規則の設定先として選択するようにしてもよい。
このようにすることで、単純に設定されている処理規則の数だけではなく、個々の転送ノードの負荷状態も考慮して、処理規則の設定先を選択することが可能となる。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した実施形態では、制御装置400、認証装置330、ポリシ管理装置300、通信ポリシ記憶部310、リソース情報記憶部320をそれぞれ独立して設けるものとして説明したが、これらを適宜統合した構成も採用可能である。
また、上記した実施形態では、図3〜図6を示してユーザにロールIDを付与してアクセス制御を行うものとして説明したが、ユーザ毎に付与されているユーザIDや、MACアドレス等のアクセスID、ユーザ端末100の位置情報などを用いてアクセス制御を行うことも可能である。
また、上記した実施形態では、ユーザ端末100が、転送ノード200を介して、認証装置330と認証手続を行うものとして説明したが、ユーザ端末100が直接認証装置330と通信し、認証手続を実施する構成も採用可能である。この場合、ユーザ端末100からパケットを受信した転送ノード201などからの処理規則の設定要求を契機として、処理規則の作成、設定を行うようにすればよい。また、その際に、制御装置400が、ポリシ管理装置300に対し、該当ユーザの通信ポリシを要求する構成とすることも可能である。
また、上記した各実施形態では、転送ノード管理部15に処理規則の設定先選択用しきい値が保持されているものとして説明したが、別の装置(例えば、設定情報記憶装置など)に、処理規則の設定先選択用しきい値を記憶させておき、制御装置400が、この設定情報記憶装置から前記処理規則の設定先選択用しきい値を受け取り、それに基づき転送先ノードを選択するように構成してもよい。
また、上記した各実施形態では、転送ノード毎にしきい値を設けるものとして説明したが、各転送ノードの能力のバラツキが小さいなどの事情があれば、すべての転送ノードに共通のしきい値を適用するものとしてもよい。
また、上記した各実施形態では、まず、制御装置400が、ユーザ端末100から最も近い転送ノードを優先して処理規則を設定するものとして説明したが、設定されている処理規則の数が最も少ない転送ノードを優先して処理規則の設定先とする設定先選択ルールや、負荷の最も少ない転送ノードを優先して処理規則の設定先とする設定先選択ルールを採用することもできる。例えば、図9の例では、処理規則数が最も少ない転送ノードEを処理規則の設定先に選択するようにしてもよい。同様に、図12の例において、処理負荷率が最も低い転送ノードEを処理規則の設定先に選択するようにしてもよい。また、転送ノードの処理負荷率は、刻一刻と変化するものであるため、制御装置400が、常時、各転送ノードの処理負荷率を監視し、処理規則の設定先の転送ノードの選択の必要が生じた時点で、最も低い処理負荷率の転送ノードに処理規則を設定してもよい。さらに、制御装置400が、処理規則数と処理負荷率の双方を考慮して処理規則の設定先を選択するようにしてもよい。
また、上記した実施形態では、前記選択した転送ノードに、あるユーザ端末100からあるネットワーク資源へのパケットを破棄する処理規則を設定するものとして説明したが、その他ユーザ端末100が接続する可能性のある転送ノードにも、同様の処理規則を設定してもよい。
また、制御装置400が各転送ノードに設定されている処理規則の数が平準化されるように処理規則の設定先を選択するような設定先選択ルールを採用してもよい。例えば、図9の例では、各転送ノードに設定されている処理規則数の平均値は、15,000+6,000+7,000+9,000+1,000/5≒7,600と算出される。処理規則の設定先として、前記平均値より少ない処理規則数が設定されている転送ノードB、Cまたは転送ノードEを選択するようにしてもよい。
また、制御装置400が、現在設定されている処理規則数が、前記平均値よりも多い転送ノードA、Dに登録されている処理規則の一部を転送ノードB、C、Eに移動させるようにしてもよい。これにより、各転送ノードに保持される処理規則の数を平準化させることができる。
また例えば、制御装置400が前記処理規則の設定先として、ユーザ端末とアクセス先の機器との間の最短経路上にある転送ノードを優先的に選択する設定先選択ルールを採用してもよい。例えば、図9の例では、ユーザ端末とネットワーク資源との間の最短経路は、「ユーザ端末→転送ノードA→転送ノードB→ネットワーク資源」であり、転送ノードAまたは転送ノードBのいずれかに対して、処理規則が優先的に設定されるようにする。
また、制御装置400が、上記最短経路上の転送ノードAと転送ノードBの両方に対してアクセスを拒否する処理規則(ユーザ端末からネットワーク資源へのパケットを廃棄する処理規則)を設定するようにしてもよい。このように、ユーザ端末とネットワーク資源との間で経由する複数の転送ノードに対してアクセスを拒否する処理規則を設定することで、より厳格なアクセス制御を実現できる。
また例えば、制御装置400が、ユーザの端末とネットワーク資源との間の最短経路上にあるいずれかの転送ノードから最も近く、かつ、設定されている処理規則の数が最も少ない転送ノードに処理規則を設定する設定先選択ルールを採用してもよい。例えば、図9の例では、ユーザ端末とネットワーク資源との間の最短経路は、「ユーザ端末→転送ノードA→転送ノードB→ネットワーク資源」であり、該最短経路のいずれかの転送ノードから最も近くに存在する転送ノードは、転送ノードCと転送ノードDである。そして、転送ノードCと転送ノードDのうち、設定されている処理規則数が最も少ない転送ノードは、転送ノードC(処理規則数は7,000)である。この場合、制御装置400は、転送ノードCに処理規則を設定する。このようにすることで、ユーザの端末とネットワーク資源との間の最短経路において何らかの障害が発生した場合、その迂回経路となる転送ノードにおいてもアクセスを拒否する制御が実現され、より強固なセキュリティ対策を実現できる。
また、ユーザが、上記の様々な処理規則の設定先選択ルールを自由に選択、または、組み合わせ、制御装置400に指示できるようにしてもよい。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
11 ノード通信部
12 制御メッセージ処理部
13 処理規則管理部
14 処理規則記憶部
15 転送ノード管理部
16 経路・アクション計算部
17 トポロジ管理部
18 端末位置管理部
19 通信ポリシ管理部
20 通信ポリシ記憶部
100 ユーザ端末
200、201、202、203、204 転送ノード
300 ポリシ管理装置
310 通信ポリシ記憶部
320 リソース情報記憶部
330 認証装置
400 制御装置
410 経路制御部
420 転送ノード選択部
500、500A、500B ネットワーク資源

Claims (16)

  1. 設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと、
    前記複数の転送ノードのうちのいずれかに設定可能な処理規則を設定する際に、前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないよう、前記複数の転送ノードの中から、前記処理規則を設定する転送ノードを選択する制御装置と、
    を含む通信システム。
  2. 前記制御装置は、前記ユーザ端末から近くに接続されている転送ノード、または、設定されている処理規則の数が最も少ない転送ノードを優先して前記処理規則の設定先に選択する請求項1の通信システム。
  3. 前記制御装置は、設定されている処理規則の数が所定のしきい値以上である転送ノードを、前記処理規則の設定先から除外する請求項1または2の通信システム。
  4. 前記転送ノード毎に、前記所定のしきい値を設定可能である請求項3の通信システム。
  5. 前記制御装置は、前記処理規則の設定先候補となる転送ノードが複数ある場合、前記複数の転送ノードのうち、処理規則を設定できる余力が最も大きい転送ノードに、前記処理規則を設定する請求項1から4いずれか一の通信システム。
  6. 前記制御装置は、前記ユーザ端末から近くに接続されている転送ノードのうち、設定されている処理規則の数が最も少ない転送ノードを優先して前記処理規則の設定先に選択する請求項1、3、4、5いずれか一の通信システム。
  7. 前記制御装置は、さらに、前記各転送ノードの負荷状況を把握する手段を備え、負荷の高い転送ノードを前記処理規則の設定先から除外する請求項1から6いずれか一の通信システム。
  8. 前記制御装置は、さらに、前記各転送ノードの負荷状況を把握する手段を備え、
    負荷が低い転送ノードを優先して前記処理規則の設定先に選択する請求項1から6いずれか一の通信システム。
  9. 前記制御装置は、さらに、前記各転送ノードに設定されている処理規則の数の平均値を算出し、該平均値より少ない処理規則の数が設定されている転送ノードを選択して処理規則を設定する請求項1から8いずれか一の通信システム。
  10. 前記制御装置は、さらに、前記各転送ノードに設定されている処理規則の数の平均値を算出し、該平均値より多い処理規則の数が設定されている転送ノードの処理規則を、該平均値より少ない処理規則の数が設定されている転送ノードへ移す請求項1から9いずれか一の通信システム。
  11. さらに、通信ポリシを管理し、制御装置に対して、認証に成功したユーザに対応する通信ポリシを通知するポリシ管理装置を含み、
    前記制御装置は、前記ポリシ管理装置から通知された通信ポリシに基づいて、
    前記ユーザの端末と前記ユーザがアクセス可能な資源との間の最短経路上のいずれかの転送ノード、前記最短経路上の複数の転送ノード、または、前記最短経路上のすべての転送ノードに処理規則を設定する請求項1から10いずれか一の通信システム。
  12. 前記制御装置は、さらに、前記最短経路上の転送ノードであって、前記ユーザの端末から最も近く、かつ、設定されている処理規則の数が所定のしきい値未満である転送ノードに、前記ユーザの端末から送出されたアクセス禁止先へのパケットを破棄する処理規則を設定する請求項11の通信システム。
  13. 前記制御装置は、ユーザから指定された前記処理規則の設定先の選択規則に基づいて、前記処理規則を設定する転送ノードを選択する請求項1から12いずれか一の通信システム。
  14. 設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと接続され、
    前記複数の転送ノードのうちのいずれかに設定可能な処理規則を設定する際に、前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないよう、前記複数の転送ノードの中から、前記処理規則を設定する転送ノードを選択する制御装置。
  15. 設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと接続された制御装置が、
    前記複数の転送ノードのうちのいずれかに設定可能な処理規則を設定する際に、前記各転送ノードに設定されている処理規則の数を確認するステップと、
    前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないよう、前記複数の転送ノードの中から、前記処理規則を設定する転送ノードを選択し、該転送ノードに前記処理規則を設定するステップと、
    を含む処理規則設定方法。
  16. 設定された処理規則に従って、ユーザの端末から送信されたパケットを処理する複数の転送ノードと接続された制御装置を構成するコンピュータに、
    前記複数の転送ノードのうちのいずれかに設定可能な処理規則を設定する際に、前記各転送ノードに設定されている処理規則の数を確認する処理と、
    前記各転送ノードに設定されている処理規則の数に基づいて、特定の転送ノードに処理規則が集中しないよう、前記複数の転送ノードの中から、前記処理規則を設定する転送ノードを選択し、該転送ノードに前記処理規則を設定する処理と、
    を実行させるプログラム。
JP2013555661A 2011-06-06 2012-06-01 通信システム、制御装置、処理規則設定方法およびプログラム Pending JP2014516215A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013555661A JP2014516215A (ja) 2011-06-06 2012-06-01 通信システム、制御装置、処理規則設定方法およびプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011125954 2011-06-06
JP2011125954 2011-06-06
PCT/JP2012/003632 WO2012169164A1 (en) 2011-06-06 2012-06-01 Communication system, control device, and processing rule setting method and program
JP2013555661A JP2014516215A (ja) 2011-06-06 2012-06-01 通信システム、制御装置、処理規則設定方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2014516215A true JP2014516215A (ja) 2014-07-07

Family

ID=47295749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013555661A Pending JP2014516215A (ja) 2011-06-06 2012-06-01 通信システム、制御装置、処理規則設定方法およびプログラム

Country Status (4)

Country Link
US (1) US20140098674A1 (ja)
EP (1) EP2719130A4 (ja)
JP (1) JP2014516215A (ja)
WO (1) WO2012169164A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016540445A (ja) * 2013-12-09 2016-12-22 ゼットティーイー コーポレーションZte Corporation ネットワーク経路算出方法及び装置

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012144203A1 (en) 2011-04-18 2012-10-26 Nec Corporation Terminal, control device, communication method, communication system, communication module,program, and information processing device
WO2014169251A1 (en) * 2013-04-12 2014-10-16 Huawei Technologies Co., Ltd. Service chain policy for distributed gateways in virtual overlay networks
US9461967B2 (en) * 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
CN103581018B (zh) * 2013-07-26 2017-08-11 北京华为数字技术有限公司 报文发送方法、路由器以及业务交换器
US9407568B2 (en) * 2013-11-18 2016-08-02 Avaya, Inc. Self-configuring dynamic contact center
US9967175B2 (en) * 2014-02-14 2018-05-08 Futurewei Technologies, Inc. Restoring service functions after changing a service chain instance path
US20150326425A1 (en) * 2014-05-12 2015-11-12 Ntt Innovation Institute, Inc. Recording, analyzing, and restoring network states in software-defined networks
WO2015196403A1 (zh) 2014-06-26 2015-12-30 华为技术有限公司 软件定义网络的服务质量控制方法及设备
US9680731B2 (en) * 2015-02-27 2017-06-13 International Business Machines Corporation Adaptive software defined networking controller
US10305798B2 (en) * 2016-06-21 2019-05-28 Telefonaktiebolaget Lm Ericsson (Publ) Dynamic lookup optimization for packet classification
US10412097B1 (en) * 2017-01-24 2019-09-10 Intuit Inc. Method and system for providing distributed authentication
JP7024290B2 (ja) * 2017-09-29 2022-02-24 日本電気株式会社 無線通信システム、基地局、無線通信方法、およびプログラム
US10904250B2 (en) * 2018-11-07 2021-01-26 Verizon Patent And Licensing Inc. Systems and methods for automated network-based rule generation and configuration of different network devices

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4183871B2 (ja) 2000-01-26 2008-11-19 株式会社日立製作所 負荷分散方法及び装置
US20080189769A1 (en) 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
US8571030B1 (en) * 2007-11-01 2013-10-29 Cisco Technology, Inc. System and method for computing cost metrics for wireless network links
JP5088100B2 (ja) * 2007-11-08 2012-12-05 日本電気株式会社 Ipネットワークシステム、そのアクセス制御方法、ipアドレス配布装置、及びipアドレス配布方法
JP5483149B2 (ja) * 2009-01-06 2014-05-07 日本電気株式会社 通信システム、管理計算機、スタックドスイッチ、フロー経路決定方法
CN102308534A (zh) * 2009-02-03 2012-01-04 日本电气株式会社 应用交换机系统和应用交换机方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016540445A (ja) * 2013-12-09 2016-12-22 ゼットティーイー コーポレーションZte Corporation ネットワーク経路算出方法及び装置

Also Published As

Publication number Publication date
US20140098674A1 (en) 2014-04-10
WO2012169164A1 (en) 2012-12-13
WO2012169164A9 (en) 2013-02-21
EP2719130A1 (en) 2014-04-16
EP2719130A4 (en) 2015-04-15

Similar Documents

Publication Publication Date Title
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
JP5594410B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
KR101685471B1 (ko) 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스
JP5943006B2 (ja) 通信システム、制御装置、通信方法およびプログラム
US20180191614A1 (en) Communication system, control apparatus, communication apparatus, communication control method, and program
JP5812108B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5440740B2 (ja) 通信システム、制御装置、通信方法及びプログラム
JP2015530763A (ja) アクセス制御システム、アクセス制御方法及びプログラム