JP2014526809A - ネットワーク管理サービスシステム、制御装置、方法およびプログラム - Google Patents

ネットワーク管理サービスシステム、制御装置、方法およびプログラム Download PDF

Info

Publication number
JP2014526809A
JP2014526809A JP2014511355A JP2014511355A JP2014526809A JP 2014526809 A JP2014526809 A JP 2014526809A JP 2014511355 A JP2014511355 A JP 2014511355A JP 2014511355 A JP2014511355 A JP 2014511355A JP 2014526809 A JP2014526809 A JP 2014526809A
Authority
JP
Japan
Prior art keywords
policy
user
control device
communication
processing rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014511355A
Other languages
English (en)
Other versions
JP6036815B2 (ja
Inventor
健太郎 園田
英之 下西
俊夫 小出
洋一 波多野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2014511355A priority Critical patent/JP6036815B2/ja
Publication of JP2014526809A publication Critical patent/JP2014526809A/ja
Application granted granted Critical
Publication of JP6036815B2 publication Critical patent/JP6036815B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5061Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
    • H04L41/5064Customer relationship management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management

Landscapes

  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】集中制御型のネットワークにおける遠隔地からのネットワーク保守・管理機能の提供。
【解決手段】ネットワーク管理サービスシステムは、ユーザから通信ポリシの更新を受け付け、ユーザ毎に通信ポリシを管理するポリシ管理装置と、前記ユーザからの要求に応じて、当該ユーザの通信ポリシに対応するパケットの処理規則を生成し、転送ノードに設定する制御装置と、前記制御装置が生成した処理規則を用いてパケットを処理する転送ノードと、を含む。
【選択図】図1

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2011−197518号(2011年9月9日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、ネットワーク管理サービスシステム、制御装置、方法およびプログラムに関し、特に、転送ノードと、転送ノードを集中制御する制御装置およびこの制御装置を含むネットワーク管理サービスシステム、方法およびプログラムに関する。
近年、オープンフロー(OpenFlow)という技術が提案されている(特許文献1、非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合する内容が定められたマッチフィールド(Match Fields)と、フロー統計情報(Counters)と、処理内容を定義したインストラクション(Instructions)と、の組が定義される(図18参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチフィールド(図18参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットの処理内容の決定の要求を送信する。オープンフロースイッチは、要求に対応するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行う。
特許文献1の[0052]には、オープンフローコントローラが、新規フロー発生時にポリシーファイルを参照してパーミッションチェックを行い、その後に、経路を計算することによりアクセス制御を行っていると記載されている。
特許文献2に、複数の端局装置及び中央端局装置を監視制御するネットワーク監視制御装置とを有し、ネットワーク監視制御装置のメモリ部に、端局装置及び中央端局装置の監視情報を記憶するネットワーク監視制御システムであって、ネットワーク監視制御システムは、一の端局装置に接続する遠隔監視制御装置を有し、遠隔監視制御装置は、端局装置を通じて、ネットワーク監視制御装置のメモリ部にアクセス可能とし、メモリ部に記憶した監視情報を表示出力するマンマシンインタフェース部を有し、メモリ部に記憶した監視情報に基づいて、端局装置及び中央端局装置を監視制御するようにしたネットワーク監視制御システムが開示されている。特許文献2のネットワーク監視制御システムは、このような遠隔監視制御装置を設ける構成により、ネットワーク監視制御装置のない遠隔地からの中央端局装置及び各端局装置の監視制御を実現している。
国際公開第2008/095010号 特開2002−051040号公報
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成23(2011)年9月1日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "OpenFlow Switch Specification" Version 1.1.0 Implemented (Wire Protocol 0x02)[online][平成23(2011)年9月1日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明によって与えられたものである。
特許文献2に記載されているような技術を用いて、遠隔地からのネットワーク機器の保守サービスや管理・監視サービスなどの事業を展開している企業がある。特許文献1および非特許文献1、2に記載のオープンフローを用いたネットワークにおいても、ネットワークの利用者が位置する遠隔地から前記ポリシーファイル等の内容を変更して即座にその変更内容に応じたアクセス制御を適用したいという要請がある。
特許文献2では省略されているが、特許文献2の技術では、遠隔監視制御装置を端局装置とを接続するだけでは足りず、遠隔監視制御装置とネットワーク監視制御装置との間の通信を可能にするための様々な設定作業が必要となる。また、このような設定作業は、ネットワークの保守担当者が、各遠隔地の現場に赴き、人手でその設定作業を行っているのが実情である。
特許文献1および非特許文献1、2に記載のオープンフローを用いたネットワークにおいても、特許文献2と事情は変わらず、変更後のポリシーに従って、人手で利用者側の装置と所望のリソース間の通信を実現するための設定作業をしなければならない、という問題点がある。
本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、特許文献1および非特許文献1、2に記載のオープンフローを用いたネットワークの利用者に対し、遠隔地からのネットワーク保守・管理機能を提供することのできるネットワーク管理サービスシステム、方法およびプログラムを提供することにある。
本発明の第1の視点によれば、ユーザ毎に通信ポリシを管理し、前記ユーザから通信ポリシの更新を受け付けるポリシ管理装置と、前記ユーザからの要求に応じて、前記ユーザに対する通信ポリシに対応するパケットの処理規則を生成し、転送ノードに設定する制御装置と、前記制御装置が生成した処理規則を用いてパケットを処理する転送ノードと、
を含むネットワーク管理サービスシステムが提供される。
本発明の第2の視点によれば、ユーザ毎に通信ポリシを管理し、前記ユーザから通信ポリシの更新を受け付けるポリシ管理装置と、設定された処理規則を用いてパケットを処理する転送ノードと、に接続され、前記ユーザからの要求に応じて、前記ユーザに対する通信ポリシに対応するパケットの処理規則を生成し、前記転送ノードに設定する制御装置が提供される。
本発明の第3の視点によれば、ユーザから通信ポリシの更新内容を受け付けて、ユーザ毎に通信ポリシを管理するステップと、前記ユーザからの要求に応じて、前記ユーザに対する通信ポリシに対応するパケットの処理規則を生成し、転送ノードに設定するステップと、前記設定された処理規則を用いて、パケットを処理するステップと、を含むネットワーク管理サービス方法が提供される。本方法は、処理規則によって前記転送ノードを制御するコンピュータという、特定の機械に結びつけられている。
本発明の第4の視点によれば、ユーザから通信ポリシの更新内容を受け付けて、ユーザ毎に通信ポリシを管理する処理と、前記ユーザからの要求に応じて、前記ユーザに対する通信ポリシに対応するパケットの処理規則を生成し、転送ノードに設定する処理と、前記制御装置を構成するコンピュータに実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、オープンフローに代表される集中制御型のネットワークにおける遠隔地からのネットワーク保守・管理機能を提供することが可能になる。
本発明の第1の実施形態のネットワーク管理サービスシステムの構成を表した図である。 本実施形態における認証装置に保持される認証情報の一例である。 本実施形態の通信ポリシ記憶部が記憶する通信ポリシ情報の一例である。 本実施形態の通信ポリシ記憶部が記憶するリソース情報の一例である。 本実施形態のポリシ管理装置が図2、図3、図4に示した情報から作成されるユーザID:user1を持つユーザの通信ポリシである。 本実施形態において、ユーザがポリシ制御部においてポリシを作成するアプリケーションの画面例である。 本実施形態の制御装置100の詳細構成を表したブロック図である。 本実施形態の一連の動作を表したシーケンス図である。 本実施形態のパケットの転送処理の一連の動作を表したシーケンス図である。 本実施形態のポリシ管理システムの一連の動作を表したシーケンス図である。 第2の実施形態のネットワーク管理サービスシステムの構成を表した図である。 第2の実施形態のローカル制御装置と、ローカルポリシ管理装置とが、ネットワーク管理サービスシステムにある制御装置と、ポリシ管理装置と同期する処理の一連の動作を表したシーケンス図である。 第3の実施形態のネットワーク管理サービスシステムの構成を表した図である。 第4の実施形態のネットワーク管理サービスシステムの構成を表した図である。 第4の実施形態のネットワーク管理サービスシステムの一連の動作を表したシーケンス図である。 第5の実施形態のネットワーク管理サービスシステムの構成を表した図である。 第5の実施形態のネットワーク管理サービスシステムの一連の動作を表したシーケンス図である。 非特許文献2に記載のフローエントリの構成を表した図である。
はじめに本発明の概要について図面を参照して説明する。本発明は、図1に示すように、制御装置100から設定された処理規則にしたがって、パケットを処理する転送ノード210、220、230と、前記転送ノードに接続されるユーザ端末400の処理規則を決定するためのポリシを管理するポリシ管理装置300と、前記ポリシ管理装置300が管理するユーザ毎のポリシに基づいて、前記転送ノードに接続されるユーザの端末の処理規則を生成し、前記転送ノードに設定する制御装置100と、により実現できる。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
より具体的には、ポリシ管理装置300は、通信ポリシとして各ユーザに付与されているアクセス権限を記憶する通信ポリシ記憶部310と、前記通信ポリシ記憶部310に記憶される各ユーザの通信ポリシに対して、ユーザからの作成や設定変更などを受け付け、その結果を通信ポリシ記憶部310や制御装置100に提供するポリシ制御部320とを備える。前記ポリシ制御部320は、ユーザ認証の結果に基づき、認証に成功したユーザのアクセス権限に関する情報を制御装置100に提供する。制御装置100は、前記ポリシ管理装置300から受信したアクセス権限に関する情報に基づいて、前記認証に成功したユーザ端末400とユーザがアクセス可能なリソース500との間の経路を作成し、該経路上の転送ノードに処理規則を設定する。
以上により、ユーザに与えられたアクセス権限に応じ、アクセス可能なリソース500を判別し、さらに、フロー毎に経路を設定してアクセスを行わせ、さらに、転送ノードにおけるパケットの転送を実行することが可能になる。さらに、図1の構成によれば、ユーザからのポリシの作成や設定変更を受け付け、その結果に基づいて自動的に処理規則の作成や修正を行い、設定変更が必要となる転送ノードに自動的に再設定することが可能になる。なお、処理規則には、有効期限を設け、転送ノード210、220および230に設定されてから、または、最後に照合規則に適合するパケットを受信してから、前記有効期限が経過した場合に、当該処理規則を削除するようにしてもよい。
[第1の実施形態]
続いて、本発明の第1の実施形態について、詳細に説明する。本発明の第1の実施形態のネットワーク管理サービスシステムは、図1に示した通り、複数の転送ノード210〜230で構成される企業などのネットワークと、これら転送ノードに処理規則を設定する制御装置100と、制御装置100に通信ポリシを通知するポリシ管理装置300と、を含んだ構成となっている。
なお、図1においては省略されているが、本実施形態では、ユーザの認証処理と、その認証結果を示す認証情報を提供する認証装置が含まれているものとする。認証装置は、例えば、パスワードや生体認証情報等を用いてユーザ端末400とユーザ認証手続きを行う認証サーバ等であり、ユーザ端末400からアクセス可能な位置に配設される。認証装置は、ポリシ管理装置300に対し、ユーザ端末400とのユーザ認証手続きの結果を示す認証情報を送信する。
図2は、認証装置に保持される認証情報の一例である。例えば、ユーザIDがuser1であるユーザの認証に成功した場合、認証装置は、ポリシ管理装置300に対し、user1、IPアドレス:192.168.100.1、MACアドレス:00−00−00−44−55−66という属性、ロールID:role_0001、role_0002というuser1のエントリを認証情報として送信する。同様に、ユーザIDがuser2であるユーザの認証に成功した場合、ポリシ管理装置300に対し、user2、IPアドレス:192.168.100.2、MACアドレス:00−00−00−77−88−99という属性、ロールID:role_0002というuser2のエントリを認証情報として送信する。
なお、前記認証情報は、ポリシ管理装置300が該当ユーザに付与されている通信ポリシを決定可能な情報であればよく、図2の例に限定するものではない。例えば、認証に成功したユーザのユーザIDや当該ユーザIDから導出したロールID、MACアドレス等のアクセスID、ユーザ端末400の位置情報、あるいは、これらの組み合わせを認証情報として用いることができる。もちろん、認証情報として、認証に失敗したユーザの情報をポリシ管理装置300に送信し、ポリシ管理装置300が当該ユーザからのアクセスを制限する通信ポリシを制御装置100に送信するようにしてもよい。さらには、認証情報に代えて、単にユーザID、ロールIDまたはユーザ端末400の位置情報を用いることもできる。
転送ノード210〜230は、受信パケットと照合する照合規則(図18のマッチフィールド参照)と前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理するスイッチング装置である。このような転送ノード210〜230としては、図18に示すフローエントリを処理規則として動作する非特許文献2のオープンフロースイッチを用いることもできる。また、図1の転送ノード210には、リソース500が接続されており、ユーザ端末400は、転送ノード210〜230を介して、リソース500と通信可能となっている。
ポリシ管理装置300は、通信ポリシ記憶部310と、ポリシ制御部320とを備えて構成される。ポリシ管理装置300は、認証装置からの認証情報の受信、ユーザ端末400からのユーザID等の受信、制御装置100からの通信ポリシの送信要求等のタイミングで、該当するユーザの通信ポリシを決定し、制御装置100に対して送信する。
図3は、通信ポリシ記憶部310が記憶する通信ポリシ情報の一例である。図3の例では、ロールIDにて識別されるロール毎に、リソースのグループに与えられたリソースグループIDと、アクセス権限を設定した通信ポリシ情報が示されている。例えば、ロールID:role_0001を持つユーザは、リソースグループID:resource_group_0001、resource_group_0002の双方へのアクセスが許可されている。他方、ロールID:role_0002のユーザは、リソースグループID:resource_group_0001へのアクセスは禁止され、resource_group_0002へのアクセスが許可されている。
また、図4は、通信ポリシ記憶部310が記憶するリソース情報の一例である。図4の例では、上記したリソースグループIDに属するリソースのリソースIDやその詳細属性を対応付けた内容となっている。例えば、リソースグループID:resource_group_0001で特定されるグループには、resource_0001、resource_0002、resource_0003を持つリソースが含まれ、それぞれのIPアドレスやMACアドレスやサービスに利用するポート番号などを特定できるようになっている。
ポリシ管理装置300は、上記のような通信ポリシ情報およびリソース情報を参照して、認証装置にて認証を受けたユーザの通信ポリシを決定し、制御装置100に通知する。例えば、認証装置から受信した認証情報に含まれるロールIDにて、図3のポリシ情報から該当するロールIDに紐付けられたリソースグループIDとそのアクセス権限の内容を特定することができる。そして、図4のリソース情報からリソースグループIDに属するリソースの情報を用いて通信ポリシを作成する。
図5は、図2、図3、図4に示した情報から作成され、制御装置100に提供されるユーザID:user1を持つユーザの通信ポリシである。図5の送信元フィールドには、図2の認証情報のユーザID:user1の属性情報の値が設定されている。また、宛先フィールドには、図3のポリシ情報のロールID:role_0001の内容を元に図4のリソース情報から抽出したリソース属性が設定されている。また、アクセス権限フィールドには、図3のポリシ情報のロールID:role_0001のアクセス権限と同じ値が設定されている。また、条件(オプション)フィールドには、図4のリソース情報のリソース属性フィールドに設定されていたサービスとポート番号が設定されている。
また、ポリシ管理装置300のポリシ制御部320は、ユーザからの通信ポリシの作成や設定変更等を受け付け、その結果を制御装置100へ提供する仕組み(通信ポリシ編集機能)も持つ。図6は、通信ポリシの編集機能を実現するWebベースのアプリケーションプログラム(ポリシ管理システム)の画面例である。図6の例では、ポリシ一覧タブが表示されており、図3で示したような通信ポリシ情報が表示される。ユーザは、作成または削除したいポリシにマウスカーソルを当てることで、編集対象の項目を選択し、その内容を自由に変更することができる。また、ユーザはテキスト入力欄(図6では、「ここに新しいポリシを入力してください。」と示す。)から新しいポリシを作成することもできる。ユーザは、すべてのポリシ管理作業を終えた時点で「保存」ボタンをクリックすることで、一連のポリシに関する更新情報がポリシ制御部320に保存される。ポリシ制御部320は、更新された通信ポリシ情報を通信ポリシ記憶部310に記録するとともに、更新された通信ポリシ情報およびリソース情報に基づいてユーザの通信ポリシを作成し、制御装置100に送信する。
図6の例では、ポリシ一覧タブの他にルール一覧タブやユーザ管理タブがある。ルール一覧タブは、各ポリシに基づいて作成された処理規則(ルール)を一覧表示し、任意に作成、修正、削除等の管理作業を行うことができる機能である。また、ユーザ管理タブは、図6のポリシ管理システム(ポリシ制御部320の通信ポリシ編集機能)に対してアクセス権のあるユーザの情報を一覧表示し、任意に作成、修正、削除等の管理作業を行うことができる機能である。図6のポリシ管理システムでは、これらの他にどのような管理機能があってもよい。また、市販製品のような他のポリシ管理システムと、本ポリシ管理システムが連携して、他のポリシ管理システムの機能を本ポリシ管理システムが使えるような仕組みであってもよい。
このように、本実施形態のポリシ制御部320は、ユーザに自由にポリシの作成や修正、削除等の管理業務を行えるようになっている。このようなポリシ管理の仕組み(ポリシ管理システム)は、上記したようなWebベースのシステムとしてユーザに提供してもよいし、独立したPC上で動くアプリケーションとして提供してもよいし、GUI(Graphical User Interface)を用いたアプリケーションではなく、CLI(Command Line Interface)を提供してもよいし、どのような形態であってもよい。
制御装置100は、ポリシ制御部320から上記した通信ポリシを受信すると、まず、当該通信ポリシの適用対象となるユーザからのパケットについての処理規則の設定要求を送信させる処理規則を作成し、転送ノード210〜230から選択した転送ノードに設定する。また、制御装置100は、前記処理規則により、処理規則の設定要求を受けた場合、当該処理規則の設定要求に含まれるパケット情報に基づいて、パケットの転送経路および該転送経路を実現する処理規則を作成し、当該パケット転送経路上の転送ノードに設定する。
図7は、本実施形態の制御装置100の詳細構成を表したブロック図である。図7を参照すると、制御装置100は、転送ノード210〜230との通信を行うノード通信部11と、制御メッセージ処理部12と、処理規則管理部13と、処理規則記憶部14と、転送ノード管理部15と、経路・アクション計算部16と、トポロジ管理部17と、端末位置管理部18と、通信ポリシ管理部19と、通信ポリシ記憶部20と、を備えて構成される。これらはそれぞれ次のように動作する。
制御メッセージ処理部12は、転送ノードから受信した制御メッセージを解析して、制御装置100内の該当する処理手段に制御メッセージ情報を引き渡す。
処理規則管理部13は、どの転送ノードにどのような処理規則が設定されているかを管理する。具体的には、経路・アクション計算部16にて作成された処理規則を処理規則記憶部14に登録し、転送ノードに設定すると共に、転送ノードからの処理規則削除通知などにより、転送ノードにて設定された処理規則に変更が生じた場合にも対応して処理規則記憶部14の登録情報をアップデートする。
転送ノード管理部15は、制御装置100によって制御されている転送ノードの能力(例えば、ポートの数や種類、サポートするアクションの種類など)を管理する。
経路・アクション計算部16は、通信ポリシ管理部19から通信ポリシを受信すると、まず、当該通信ポリシに従い、トポロジ管理部17に保持されているネットワークトポロジを参照し、当該ユーザからのパケットについての処理規則の設定要求を実行させる処理規則を作成する。なお、処理規則の設定先とする転送ノードは、ユーザ端末400が接続する可能性のあるすべての転送ノードでもよいし、あるいは、通信ポリシに含まれる送信元情報に基づいて端末位置管理部18から転送ノード(例えば、図1の転送ノード210)を選択してもよい。
また、経路・アクション計算部16は、上記した処理規則に基づき、処理規則の設定要求を受けると、処理規則の設定要求に含まれるパケット情報に基づいて、当該パケットの転送経路および該転送経路を実現する処理規則を作成する。
具体的には、経路・アクション計算部16は、端末位置管理部18にて管理されている通信端末の位置情報とトポロジ管理部17にて構築されたネットワークトポロジ情報に基づいて、パケットの転送経路を計算する。次に、経路・アクション計算部16は、転送ノード管理部15から、前記転送経路上の転送ノードのポート情報等を取得して、前記計算した転送経路を実現するために経路上の転送ノードに実行させるアクションと、当該アクションを適用するフローを特定するための照合規則を求める。なお、前記照合規則は、図5の通信ポリシの送信元IPアドレス、宛先IPアドレス、条件(オプション)等を用いて作成することができる。従って、図5の通信ポリシの1番目のエントリの場合、送信元IPアドレス192.168.100.1から宛先IPアドレス192.168.0.1に宛てられたパケットを、次ホップとなる転送ノードやリソース500が接続されたポートから転送させるアクションを定めた各処理規則が作成される。なお、上記処理規則の設定の際に、処理規則の設定要求を受けたパケットだけでなく、ユーザ端末がアクセス権を有しているリソースへのパケット転送を実現する処理規則を作成するようにしてしまってもよい。
トポロジ管理部17は、ノード通信部11を介して収集された転送ノード210〜230の接続関係に基づいてネットワークトポロジ情報を構築する。
端末位置管理部18は、通信システムに接続しているユーザ端末の位置を特定するための情報を管理する。本実施形態では、ユーザ端末を識別する情報としてIPアドレスを用い、ユーザ端末の位置を特定するための情報として、ユーザ端末が接続している転送ノードの転送ノード識別子とそのポートの情報を使用するものとして説明する。もちろん、これらの情報に代えて、例えば、認証装置からもたらされる情報等を用いて、端末とその位置を特定するものとしても良い。
通信ポリシ管理部19は、ポリシ管理装置300から通信ポリシ情報を受信すると、通信ポリシ記憶部20に格納するとともに、経路・アクション計算部16に送信する。
以上のような制御装置100は、非特許文献1、2のオープンフローコントローラをベースに、上記した通信ポリシの受信を契機とした処理規則(フローエントリ)の作成機能を追加することでも実現できる。
図7に示した制御装置100の各部(処理手段)は、制御装置100を構成するコンピュータに、そのハードウェアを用いて、上記した各情報を記憶し、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図8と、図9とは、本実施形態の一連の動作を表したシーケンス図である。図8を参照すると、まず、ユーザ端末400が、認証装置にログイン要求すると、認証装置へのパケット転送が行われる(図8のS001)。
認証装置がユーザ認証を行って(図8のS002)、ポリシ管理装置300に認証情報を送信すると(図8のS003)、ポリシ管理装置300は、受信した認証情報に基づいて通信ポリシ記憶部310を参照し、通信ポリシを決定し(図8のS004)、制御装置100に送信する(図8のS005)。
制御装置100は、前記通信ポリシを受信すると、ユーザ端末からのパケットについての処理規則の設定要求を行わせる処理規則を作成し(図8のS006)、前記処理規則を転送ノード210〜230に送信する(図8のS007)。転送ノード210〜230は、制御装置100から送信される処理規則を設定して(図8のS008)、一連の処理を終了する。
以上の動作を前提動作として、その後、ユーザ端末からパケットが送信される場合の処理の動作について、図9を用いて説明する。
図9は、パケットの転送処理の一連の動作を表したシーケンス図である。図9を参照すると、まず、ユーザ端末400が、リソース500宛のパケットを送信する(図9のS101)。ユーザ端末400から送信されたパケットは、転送ノード210〜230へ届く。転送ノードは、ユーザ端末400から送信されたパケットを受け取り、制御装置100によって設定された処理規則にしたがってパケットの転送を判定し(図9のS102)、パケットを転送する(図9のS103)。以上のようにして、ユーザ端末400とリソース500間の通信が可能となる。
次に、ユーザが図6で説明した通信ポリシ編集機能を使用して、ポリシの作成や変更を行う場合の一連の動作を説明する。図10は、通信ポリシ情報の更新が行われる場合の一連の動作を表したシーケンス図である。図10を参照すると、まず、ユーザ(ユーザ端末400を使用するユーザ)は、ポリシ管理装置300のポリシ制御部320にアクセスし、通信ポリシ編集機能の利用を要求する。本説明では、通信ポリシ編集機能を利用する際には、認証装置がユーザ認証を行うことを想定して説明する(図10のS201)。
認証装置は、ユーザ認証を行い(図10のS202)、ユーザの認証情報をポリシ管理装置300のポリシ制御部320へ送信する(図10のS203)。
ポリシ制御部320は、ユーザの認証情報を受け取ると、ポリシ管理装置300の通信ポリシ記憶部310から、該当ユーザに関連する全ポリシを検索し(図10のS204)、その検索結果をユーザへ表示する(図10のS205;図6参照)。ユーザは、例えば、図6のポリシ編集機能を利用して、任意のポリシの変更、ポリシの削除、新規ポリシの作成等を行った後、ポリシ制御部320に対して、ポリシの更新依頼を行う(図10のS206)。ポリシの更新依頼とは、具体的には、例えば、図6の画面上のポリシ変更ボタンをユーザがクリックする、といった動作によって実現される。
前記ポリシの更新依頼を受け取ったポリシ制御部320は、通信ポリシ情報を更新し(図10のS207)、その結果を通信ポリシ記憶部310へ記録する。さらに、ポリシ制御部320は、制御装置100に対し、更新したポリシに関連する処理規則の更新依頼を送信する(図10のS208)。なお、図10の例では、通信ポリシ記憶部310への記録を先に行っているが、制御装置100への更新依頼を送信を先に行っても良い。即ち、更新された通信ポリシ情報を通信ポリシ記憶部310へ記録するタイミングは、ポリシ管理装置300が制御装置100に対し更新依頼を送信する前であってもよいし、後であってもよいし、同時であってもよい。
制御装置100は、ポリシ管理装置300から処理規則の更新依頼を受け取ると、更新された通信ポリシに用いて処理規則を再作成し(図10のS209)、転送ノード210〜230へ送信する(図10のS210)。
転送ノード210〜230は、制御装置100から送信される処理規則を設定して(図10のS211)、一連の処理を終了する。
以上のようにして、ユーザは、ポリシ管理装置300のポリシ制御部320が提供するポリシ編集機能を利用することで、ポリシの作成、修正、削除といった管理作業をWebベースで実行することが可能となる。また、前記ポリシの作成、修正、削除の内容は、制御装置100を通じて、各転送ノードに設定されている処理規則に自動的に反映される。例えば、前記ポリシ編集機能を利用して、あるロールについて、アクセス権限をアクセス可(allow)から、アクセス不可(deny)に変更すると、その内容を実現するように、転送ノード210〜230に、当該ユーザからのパケットの廃棄等を実行させる処理規則が自動的に設定される。
以上のように、本実施形態によれば、ネットワークの有識者が現地に赴き、人手で当該ネットワーク機器の設定を行う作業を不要にし、ネットワークの管理業務を削減することが可能となる。
[第2の実施形態]
続いて、本発明の第2の実施形態について説明する。図11は、本発明の第2の実施形態のネットワーク管理サービスシステムの構成を表した図である。以下、上記した第1の実施形態の構成および動作の相違点を中心に説明する。
図11を参照すると、本発明の第2の実施形態のネットワーク管理サービスシステムの構成が示されている。複数の転送ノード210〜230と、これら転送ノードに処理規則を設定する制御装置100Aと、制御装置100Aに通信ポリシを通知するポリシ管理装置300Aと、を含む構成は、本発明の第1の実施形態と同様である。第2の実施形態では、第1の実施形態の構成と比較して、転送ノード210〜230で構成される企業等のネットワーク上に、これら転送ノードに設定される処理規則を設定するローカル制御装置101と、ローカル制御装置101に通信ポリシを通知するローカルポリシ管理装置301とが追加されている。
ローカル制御装置101は、ネットワーク管理サービスシステムの制御装置100Aと同期し、転送ノード210〜230に設定される処理規則を管理する。また、ローカルポリシ管理装置301は、ネットワーク管理サービスシステムのポリシ管理装置300Aと同期し、ユーザの通信ポリシを管理する。
以下本実施形態では、ローカル制御装置101とローカルポリシ管理装置301とが、制御装置100Aとポリシ管理装置300Aと同期しながら動作するものとして説明するが、ローカル制御装置101およびローカルポリシ管理装置301は、企業等のネットワーク上で制御装置100Aやポリシ管理装置300Aとは独立して動作することも可能である。ローカル制御装置101およびローカルポリシ管理装置301がどちらの形態で動作するかをユーザが自由に選択できるようにしてもよい。
以下、第2の実施形態における動作の詳細を説明する。図12は、ローカル制御装置101と、ローカルポリシ管理装置301とが、制御装置100Aと、ポリシ管理装置300Aと同期する処理の一連の動作を表したシーケンス図である。ユーザ認証の処理手順については、第1の実施形態と同様であるため、説明を省略する。
まず、ユーザは、ローカルポリシ管理装置301が持つポリシ編集機能を通じて、ポリシの更新依頼を行う(図12のS301)。ローカルポリシ管理装置301は、ユーザからのポリシ更新依頼を受けて、通信ポリシ情報を更新する(図12のS302)。
さらに、ローカルポリシ管理装置301は、ローカル制御装置101に対し、更新したポリシに関連する処理規則の更新依頼を送信する(図12のS303)。
ローカル制御装置101は、ローカルポリシ管理装置301から処理規則の更新依頼を受け取ると、更新された通信ポリシに用いて処理規則を作成する(図12のS304)。
ローカルポリシ管理装置301は、ローカル制御装置101へ処理規則の変更依頼を送信した後、ポリシ管理装置300Aに対し、変更のあった通信ポリシ情報を送信する(図12のS305)。
ポリシ管理装置300Aのポリシ制御部320Aは、通信ポリシ記憶部310に、ローカルポリシ管理装置301から受信した通信ポリシ情報を登録する(図12のS306)。
また、ローカル制御装置101は、制御装置100Aに対し、処理規則の更新を完了した後、変更のあった処理規則を送信する(図12のS307)。
制御装置100Aは、ローカル制御装置101から受け取った処理規則を、転送ノード210〜230へ設定する。なお、転送ノード210〜230への処理規則の設定は、ローカル制御装置101が処理規則の更新(図12のS304)の後に行ってもよいし、上述のように、制御装置100Aが行ってもよい。
また、ユーザからのポリシ変更の受け付けは、ポリシ管理装置300Aが行い、制御装置100Aの処理結果を、ローカルポリシ管理装置301と、ローカル制御装置101とが受け取るという同期方法であってもよい。
以上のようにして、例えば、制御装置100Aやポリシ管理装置300Aが故障等により使用不可になった場合や、制御装置100Aと転送ノード210〜230間のネットワークに障害が発生した場合においても、いずれか一方が他方に業務の継続依頼を発行することによって、ユーザにネットワーク管理業務を継続させることが可能となる。その理由は、制御装置100Aとポリシ管理装置300Aとそれぞれ同期して動作するローカル制御装置101とローカルポリシ管理装置301をユーザ側のネットワーク上に配置したことにある。また、ユーザから見てインターネットや広域ネットワークを利用しないで済むため、ポリシの作成や処理規則の作成等の処理速度を大幅に向上することも可能となる。また本実施形態では、これらによって、ネットワーク管理サービスシステム全体の信頼性の向上も達成されている。
[第3の実施形態]
続いて、本発明の第3の実施形態について説明する。図13は、本発明の第3の実施形態のネットワーク管理サービスシステムの構成を表した図である。以下、上記した第1の実施形態の構成および動作の相違点を中心に説明する。
図13に示すとおり、複数の転送ノード210〜230と、これら転送ノードに処理規則を設定する制御装置100Bと、制御装置100Bに通信ポリシを通知するポリシ管理装置300Bと、を含む構成は、本発明の第1の実施形態と同様である。第3の実施形態では、第1の実施形態の構成と比較して、制御装置100B側に、転送ノード(補助転送ノード)240と、リソース(補助リソース)510とが追加されている。
転送ノード240は、転送ノード210〜230と同様の装置であり、リソース510は、リソース500と同様のサーバやデータベース等のシステムリソースである。
なお、制御装置100Bと、ポリシ管理装置300Bとの動作は、転送ノード240とリソース510とを利用可能である点を除き、第1の実施形態と同様であるため、説明を省略する。
このような第3の実施形態の構成によって、例えば、転送ノード210〜230と、リソース500とが提供するサービスと、転送ノード240と、リソース510とが提供するサービスとをひとつの制御装置100Bとポリシ管理装置300Bとで管理することが可能になる。
これらの転送ノードとリソースは、それぞれ物理的に異なる場所に配置されるが、ユーザから見てあたかもひとつの場所へアクセスしているようになる。これによって、例えば、転送ノードやリソースに高負荷や障害が発生し、ユーザへサービスが提供できなくなるような事態が起こった場合でも、転送ノードとリソースのユーザからのアクセス先を変更することで、シームレスにサービスを提供し続けることが可能になる。
[第4の実施形態]
続いて、本発明の第4の実施形態について説明する。図14は、本発明の第4の実施形態のネットワーク管理サービスシステムの構成を表した図である。以下、上記した第1の実施形態の構成および動作の相違点を中心に説明する。
図14に示すとおり、複数の転送ノード210〜230と、これら転送ノードに処理規則を設定する制御装置100と、制御装置100に通信ポリシを通知するポリシ管理装置300Cと、を含む構成は、本発明の第1の実施形態と同様である。
第4の実施形態では、第1の実施形態の構成と比較して、ポリシ管理装置300Cが保有するユーザ毎の通信ポリシ情報を元にして、リソースのアクセス権を作成するリソース処理規則生成部600が追加されている。
リソース処理規則生成部600は、ポリシ管理装置300Cの通信ポリシ記憶部310から、ユーザ毎の通信ポリシ情報を受け取り、それら通信ポリシ情報を元にしてリソースに対するアクセス可否をリソースに対するアクセス権として、リソース用処理規則を作成し、それらをリソース500Cに設定する。
例えば、リソース処理規則生成部600は、図5に示した通信ポリシの例を元にして、リソース用処理規則を生成する。図5の2行目「送信元が192.168.100.1で、宛先が192.168.0.1で、アクセス権限がallowで、条件(オプション)が80/tcp」である通信ポリシを元にして、IPアドレスが「192.168.0.1」を持つリソースに対して、送信元が「192.168.100.1」で条件(オプション)が「80/tcp」の場合にアクセスを許可するリソース用処理規則を作成し、その処理規則を該当するリソースへ送信し設定する。
ここで、リソース用処理規則の作成は、ポリシ管理装置300Cが保有する通信ポリシ情報に基づいて作成してもよいし、制御装置100が生成した処理規則に基づいて作成してもよい。
ここで、リソース側では、例えば、リソースがサーバの場合、iptablesなどのパケットフィルタリング機能を用いて、その機能に上記リソース用処理規則を設定してもよいし、市販のアクセス権管理システムに上記リソース用処理規則を送信し、そのアクセス権管理システムが各種リソースのアクセス権を設定するような仕組みであってもよい。
また、リソース処理規則生成部600は、制御装置100またはポリシ管理装置300Cの一機能として実現することも可能である。
以下、第4の実施形態における動作の詳細を説明する。図15は、第4の実施形態のネットワーク管理サービスシステムの一連の動作を表したシーケンス図である。図15を参照すると、ユーザが認証装置を通じてユーザ認証を行いその結果をポリシ管理装置300Cへ送信し、ポリシ管理装置300Cが該当ユーザの通信ポリシを決定しその結果を制御装置100に送信し、制御装置100が該当ユーザの通信ポリシを用いて処理規則を生成し、その結果を転送ノード210〜230に設定するまで処理(図15のS401からS408まで)は、第1の実施形態と同様であるため、説明を省略する。
ポリシ管理装置300Cのポリシ制御部320Cは、ユーザ認証に成功した該当ユーザの通信ポリシをリソース処理規則生成部600へ送信する(図15のS409)。
リソース処理規則生成部600は、ポリシ管理装置300Cから受け取った該当ユーザの通信ポリシに基づいて、リソース用の処理規則を生成し(図15のS410)、そのリソース用処理規則をリソース500Cへ送信する(図15のS411)。
リソース500Cは、リソース処理規則生成部600から受け取った該当ユーザのリソース用処理規則を設定して(図15のS412)、一連の処理を終了する。ここで、ポリシ管理装置300Cが通信ポリシをリソース処理規則生成部600へ送信するタイミングは、ポリシ管理装置300Cが転送ノードに設定する処理規則を制御装置100に送信するタイミングの後であってもよいし、先であってもよいし、同時であってもよい。
以上のように、本実施形態によれば、リソース処理規則生成部600がリソース500Cにおけるアクセス権であるリソース用処理規則を生成して、リソース500Cへ直接設定することで、転送ノード210〜230におけるパケット処理の一部をリソース(サーバ)側で任意に負担されることができ、リソースを含めたネットワーク全体のパケット処理の分散を行うことが可能となる。
また、本実施形態によれば、転送ノード210〜230において、特定のユーザ端末からリソースに対するアクセスを拒否する処理規則がある場合、その処理規則と同等のアクセスを拒否する処理規則をリソース側にも設定することで、二重のアクセス拒否の対策を実施することができ、セキュリティや信頼性を高めることが可能となる。
[第5の実施形態]
続いて、本発明の第5の実施形態について説明する。図16は、本発明の第5の実施形態のネットワーク管理サービスシステムの構成を表した図である。以下、上記した第1の実施形態の構成および動作の相違点を中心に説明する。
図16に示すように、複数の転送ノード210〜230と、これら転送ノードに処理規則を設定する制御装置100Dと、制御装置100Dに通信ポリシを通知するポリシ管理装置300と、を含む構成は、本発明の第1の実施形態と同様である。第5の実施形態では、第1の実施形態の構成と比較して、転送ノード210〜230の稼働状況やネットワークトポロジの変更等を監視する監視装置700が追加されている。
監視装置700は、転送ノード210〜230の稼働状況(故障)や転送ノードの追加や削除等による物理的なネットワークトポロジの変更等を常時監視し、上記のような変化が生じた場合に、制御装置100Dに対し、その内容を通知する。
制御装置100Dは、監視装置700から前記通知を受信すると、ポリシ管理装置300の通信ポリシ記憶部310に記憶される通信ポリシにしたがって、処理規則を再生成し、転送ノード210〜230、または新しく追加された転送ノードに、前記再生成した処理規則を設定する。
監視装置700は、ポリシ管理装置300や制御装置100Dと連動して動作してもよいし、ポリシ管理装置300や制御装置100Dとは独立して動作してもよい。また、監視装置700は、ポリシ管理装置300や制御装置100Dの一機能として含めて動作させてもよい。
以下、第5の実施形態における動作の詳細を説明する。図17は、第5の実施形態のネットワーク管理サービスシステムの一連の動作を表したシーケンス図である。ここでは、監視装置700が転送ノード210〜230を監視しており、転送ノード210が故障したことを監視装置700が検知して、それに応じて処理規則を再設定するまでの一連の処理の流れを説明する。
まず、監視装置700は、転送ノード210〜230を常時監視している(図17のS501)。監視の方法は、転送ノード210〜230からLLDP(LinkLayerDiscoveryProtocol)を受信する仕組みを用いてもよいし、市販されているネットワーク管理システム等の転送ノード監視機能と連動してもよいし、どのような仕組みであってもよい。
監視装置700は、転送ノード210〜230を監視中に、転送ノード220で故障が発生したことを検知すると(図17のS502)、制御装置100Dに対し、転送ノード220に故障が発生したことを通知する(図17のS503)。
制御装置100Dは、監視装置700から転送ノード220の故障の通知を受け取ると、制御装置100Dの内部で管理しているネットワークトポロジの構成を更新する(図17のS504)。
さらに、制御装置100Dは、更新したネットワークトポロジに応じた処理規則を再生成するため、ポリシ管理装置300に通信ポリシの確認依頼を送信する(図17のS505)。
ポリシ管理装置300は、制御装置100Dから通信ポリシの確認依頼を受け取ると、通信ポリシ記憶部310に記憶される通信ポリシに変更がないか否かを確認し(図17のS506)、その結果を制御装置100Dに送信する(図17のS507)。
通信ポリシの結果を送信する際、通信ポリシ記憶部310の通信ポリシに変更があった場合、ポリシ管理装置300は、制御装置100Dに対し、確認結果とともに、その変更のあった通信ポリシを送信する。
制御装置100Dは、ポリシ管理装置300から通信ポリシの通知を受け取ると、その通信ポリシにしたがって、処理規則を再生成し(図17のS508)、再生成した処理規則を転送ノード210、230に送信する(図17のS509)。
転送ノード210、230は、制御装置100Dから受け取った処理規則を再設定して(図17のS510)、一連の処理を終了する。
以上のようにして、監視装置700が転送ノード210〜230の稼働状態やネットワークトポロジの変更、転送ノードの追加や削除等を常時監視し、前記故障等の異常を検知した場合、制御装置100Dへ転送ノードの異常の通知が行われる。
制御装置100Dおよびポリシ管理装置300は、その通知を受けて動的に処理規則を再生成して転送ノードに再設定することが可能となる。これにより、転送ノードで構成されるネットワークの異常をユーザからのクレーム等による通知を受けてから対処するのではなく、転送ノードの異常が発生すると同時に動的にネットワーク管理サービスシステムが対応することで、ネットワークの信頼性を高めることが可能となる。
また、前記転送ノードの異常を検知した場合、制御装置100Dが、ポリシ管理装置300に対し、異常発生直後の通信ポリシの再確認を依頼するようにしてもよい。この場合、前記ポリシ管理装置は、前記依頼に基づいて、通信ポリシの内容を確認し、前記異常発生直後の通信ポリシの内容が転送ノードの異常発生直前の通信ポリシの内容と異なる場合、その相違部分となる通信ポリシを前記制御装置に送信する。制御装置100Dは、前記ポリシ管理装置300から受け取った通信ポリシに基づき処理規則を生成し、前記転送ノードに設定する。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した各実施形態では、制御装置100と、ポリシ管理装置300と、通信ポリシ記憶部310と、ポリシ制御部320と、ローカル制御装置101と、ローカルポリシ管理装置301と、リソース処理規則生成部600と、監視装置700とをそれぞれ独立して設けるものとして説明したが、これらを適宜統合した構成も採用可能である。
また、上記した実施形態では、図2〜図5を示してユーザにロールIDを付与してアクセス制御を行うものとして説明したが、ユーザ毎に付与されているユーザIDや、MACアドレス等のアクセスID、ユーザ端末400の位置情報などを用いてアクセス制御を行うことも可能である。
また、上記した実施形態では、ユーザ端末400が、転送ノード210〜230を介して認証装置と認証手続きを行うものとして説明したが、ユーザ端末400が直接認証装置と通信し、認証手続きを実施する構成も採用可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである
11 ノード通信部
12 制御メッセージ処理部
13 処理規則管理部
14 処理規則記憶部
15 転送ノード管理部
16 経路・アクション計算部
17 トポロジ管理部
18 端末位置管理部
19 通信ポリシ管理部
20 通信ポリシ記憶部
100、100A、100B、100D 制御装置
101 ローカル制御装置
210、220、230、240 転送ノード
300、300A、300B、300C ポリシ管理装置
301 ローカルポリシ管理装置
310 通信ポリシ記憶部
320、320A、320C ポリシ制御部
400 ユーザ端末
500、500C、510 リソース
600 リソース処理規則生成部
700 監視装置

Claims (18)

  1. ユーザから通信ポリシの更新を受け付け、ユーザ毎に通信ポリシを管理するポリシ管理装置と、
    前記ユーザからの要求に応じて、当該ユーザの通信ポリシに対応するパケットの処理規則を生成し、転送ノードに設定する制御装置と、
    前記制御装置が生成した処理規則を用いてパケットを処理する転送ノードと、
    を含むネットワーク管理サービスシステム。
  2. 前記制御装置は、インターネットを介して前記ユーザからの前記処理規則の生成要求を受け付け、前記ユーザの通信ポリシに対応するパケットの処理規則を生成し、前記転送ノードに設定する請求項1のネットワーク管理サービスシステム。
  3. 前記制御装置は、各ユーザに付与されたロール情報と、ロール毎のリソースへのアクセス権限とを用いて、ユーザの通信ポリシを生成し、該通信ポリシに対応するパケットの処理規則を生成する請求項1または2のネットワーク管理サービスシステム。
  4. さらに、
    前記転送ノードが物理的に存在する場所と同じ場所に、
    前記制御装置と同じ処理を実行可能なローカル制御装置と、
    前記ポリシ管理装置と同じ処理を実行可能なローカルポリシ管理装置と、
    を備えることを特徴とする請求項1から3いずれか一のネットワーク管理サービスシステム。
  5. 前記ローカル制御装置は、前記ユーザからの要求に応じて、前記ユーザの通信ポリシに対応するパケットの処理規則を生成し、転送ノードに設定するとともに、当該処理規則を前記制御装置へ送信して、前記制御装置と、前記ローカル制御装置との間で処理規則を同期すること、
    を特徴とする請求項4のネットワーク管理サービスシステム。
  6. 前記ローカルポリシ管理装置は、ユーザ毎の通信ポリシを前記ポリシ管理装置へ送信して、前記ポリシ管理装置と、前記ローカルポリシ管理装置との間で通信ポリシを同期すること、
    を特徴とする請求項4または5のネットワーク管理サービスシステム。
  7. 前記ローカル制御装置と、前記ローカルポリシ管理装置とは、どちらか一方、または、両方で異常が発生した場合、前記制御装置と、前記ポリシ管理装置とに、ユーザ毎の通信ポリシの管理と、前記通信ポリシに応じた処理規則の生成処理とを依頼すること、
    を特徴とする請求項4から6いずれか一のネットワーク管理サービスシステム。
  8. 前記制御装置と、前記ポリシ管理装置とは、どちらか一方、または、両方で障害が発生した場合、前記ローカル制御装置と、前記ローカルポリシ管理装置とに、ユーザ毎の通信ポリシの管理と、前記通信ポリシに応じた処理規則の生成処理とを依頼すること、
    を特徴とする請求項4から7いずれか一のネットワーク管理サービスシステム。
  9. さらに、前記制御装置および前記ポリシ管理装置が物理的に存在する場所と同じ場所に、前記制御装置が生成した処理規則を受けて、パケットを処理する補助転送ノードと、
    前記転送ノードに接続される補助リソースと、
    を備えることを特徴とする請求項1から8いずれか一のネットワーク管理サービスシステム。
  10. さらに、前記転送ノード、および、リソースに異常が発生した場合、前記制御装置は、前記補助転送ノードに前記補助リソースまでの通信を実現する処理規則を設定し、ユーザ端末から前記補助リソースへの通信を許可すること、
    を特徴とする請求項9のネットワーク管理サービスシステム。
  11. さらに、前記ポリシ管理装置が保有するユーザ毎の通信ポリシを用いて、リソースに対するアクセス権を表す処理規則を生成し、前記リソースに前記処理規則に従ったアクセス制御を行わせるリソース処理規則生成部を備えること、
    を特徴とする請求項1から10いずれか一のネットワーク管理サービスシステム。
  12. さらに、前記転送ノードの稼働状態、および、前記転送ノードのネットワーク構成を監視する監視装置を備えることを特徴とする請求項1から11いずれか一のネットワーク管理サービスシステム。
  13. 前記監視装置は、前記転送ノードの異常を検知した場合、前記ポリシ管理装置に対し、異常発生直後の通信ポリシの再確認を依頼し、
    前記ポリシ管理装置は、前記依頼に基づいて、通信ポリシの内容を確認し、前記異常発生直後の通信ポリシの内容が前記転送ノードの異常発生直前の通信ポリシの内容と異なる場合、その相違部分となる通信ポリシを前記制御装置に送信し、
    前記制御装置は、前記ポリシ管理装置から通信ポリシを受けて、当該通信ポリシに基づき処理規則を生成し、前記転送ノードに設定すること、
    を特徴とする請求項12のネットワーク管理サービスシステム。
  14. 前記監視装置は、さらに、前記転送ノードの異常を検知した場合、前記制御装置に対し、前記転送ノードの異常発生を通知し、
    前記制御装置は、前記監視装置からの通知に基づいて、前記制御装置が保有する前記転送ノードのネットワーク構成情報の再確認を行い、前記保有するネットワーク構成情報の更新を動的に行うこと、
    を特徴とする請求項12または13のネットワーク管理サービスシステム。
  15. 前記ポリシ管理装置と、前記制御装置とが第1の場所に配置され、
    前記転送ノードが前記第1の場所とは異なる第2の場所に配置され、
    ユーザ端末とユーザ認証を行う認証装置および前記ポリシ管理装置との間をインターネットを介して接続し、前記制御装置と前記転送ノードとの間を広域ネットワークを介して接続すること、
    を特徴とする請求項1から14いずれか一のネットワーク管理サービスシステム。
  16. ユーザから通信ポリシの更新を受け付け、ユーザ毎に通信ポリシを管理するポリシ管理装置と、設定された処理規則を用いてパケットを処理する転送ノードと、に接続され、
    前記ユーザからの要求に応じて、当該ユーザの通信ポリシに対応するパケットの処理規則を生成し、前記転送ノードに設定する制御装置。
  17. ユーザから通信ポリシの更新内容を受け付けて、ユーザ毎に通信ポリシを管理するステップと、
    前記ユーザからの要求に応じて、当該ユーザの通信ポリシに対応するパケットの処理規則を生成し、転送ノードに設定するステップと、
    前記設定された処理規則を用いて、パケットを処理するステップと、
    を含むネットワーク管理サービス方法。
  18. ユーザから通信ポリシの更新内容を受け付けて、ユーザ毎に通信ポリシを管理する処理と、
    前記ユーザからの要求に応じて、当該ユーザの通信ポリシに対応するパケットの処理規則を生成し、転送ノードに設定する処理と、
    前記制御装置を構成するコンピュータに実行させるプログラム。
JP2014511355A 2011-09-09 2012-09-07 ネットワーク管理サービスシステム、制御装置、方法およびプログラム Active JP6036815B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014511355A JP6036815B2 (ja) 2011-09-09 2012-09-07 ネットワーク管理サービスシステム、制御装置、方法およびプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011197518 2011-09-09
JP2011197518 2011-09-09
JP2014511355A JP6036815B2 (ja) 2011-09-09 2012-09-07 ネットワーク管理サービスシステム、制御装置、方法およびプログラム
PCT/JP2012/005691 WO2013035342A1 (en) 2011-09-09 2012-09-07 Network management service system, control apparatus, method, and program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2016215089A Division JP6337947B2 (ja) 2011-09-09 2016-11-02 ネットワーク管理サービスシステム、制御装置、方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2014526809A true JP2014526809A (ja) 2014-10-06
JP6036815B2 JP6036815B2 (ja) 2016-11-30

Family

ID=47831811

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014511355A Active JP6036815B2 (ja) 2011-09-09 2012-09-07 ネットワーク管理サービスシステム、制御装置、方法およびプログラム
JP2016215089A Active JP6337947B2 (ja) 2011-09-09 2016-11-02 ネットワーク管理サービスシステム、制御装置、方法およびプログラム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2016215089A Active JP6337947B2 (ja) 2011-09-09 2016-11-02 ネットワーク管理サービスシステム、制御装置、方法およびプログラム

Country Status (3)

Country Link
US (1) US9544194B2 (ja)
JP (2) JP6036815B2 (ja)
WO (1) WO2013035342A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017536766A (ja) * 2014-11-19 2017-12-07 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences 制御プレーン及びデータプレーンからスイッチの外部メモリへアクセスする方法

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2896166A4 (en) * 2012-09-13 2016-05-11 Nec Corp INFORMATION PROCESSING DEVICE, CONFIGURATION PROCEDURE, COMMUNICATION SYSTEM AND PROGRAM
FI20126105L (fi) * 2012-10-25 2014-04-26 Tellabs Oy Menetelmä ja ohjauslaite ohjelmallisesti määriteltävän verkon konfiguroimiseksi
US9762561B2 (en) * 2012-10-31 2017-09-12 Dell Products, Lp System and method for tunneling of management traffic
CN103067277B (zh) * 2013-01-06 2016-06-22 华为技术有限公司 建立控制通道的方法、转发设备和控制设备
JP6076807B2 (ja) * 2013-04-09 2017-02-08 京セラ株式会社 情報機器、制御装置、制御システム及び制御方法
CN104980374B (zh) * 2014-04-04 2018-07-03 华为技术有限公司 一种业务路由报文的封装方法、业务转发实体及控制平面
US10164829B1 (en) * 2017-03-20 2018-12-25 Barefoot Networks, Inc. Incremental update of the data plane of a hardware forwarding element
JP6859794B2 (ja) * 2017-03-28 2021-04-14 日本電気株式会社 通信システム設定方法、通信システム設定装置および通信システム設定プログラム
CN112202673B (zh) * 2017-11-21 2022-01-04 华为技术有限公司 一种配置方法及装置
AU2018427247B2 (en) 2018-12-29 2021-09-23 Huawei Technologies Co., Ltd. Optical splitting apparatus
US11831512B2 (en) 2019-09-04 2023-11-28 Nec Corporation Setting system with traffic control rule and traffic control system
US20230336470A1 (en) * 2022-04-14 2023-10-19 Ali Munir Methods and systems for predicting sudden changes in datacenter networks

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
WO2011081104A1 (ja) * 2010-01-04 2011-07-07 日本電気株式会社 通信システム、認証装置、制御サーバ、通信方法およびプログラム
WO2011083786A1 (ja) * 2010-01-06 2011-07-14 日本電気株式会社 通信制御システム、及び通信制御方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110286331A1 (en) * 1999-08-24 2011-11-24 Gogo Llc Differentiated Services Code Point Mirroring For Wireless Communications
US6880089B1 (en) * 2000-03-31 2005-04-12 Avaya Technology Corp. Firewall clustering for multiple network servers
US6993587B1 (en) * 2000-04-07 2006-01-31 Network Appliance Inc. Method and apparatus for election of group leaders in a distributed network
JP2002051040A (ja) 2000-08-02 2002-02-15 Matsushita Electric Ind Co Ltd ネットワーク監視制御システム
JP4346815B2 (ja) * 2000-12-28 2009-10-21 三菱電機株式会社 ネットワーク設定管理装置及びネットワークシステム並びにネットワーク設定管理方法
JP2004214762A (ja) * 2002-12-27 2004-07-29 Mitsubishi Electric Corp 制御装置及び管理システム及び管理方法及び管理プログラム及び管理プログラムを記録したコンピュータ読み取り可能な記録媒体
US7933247B2 (en) * 2004-11-18 2011-04-26 Sanjay M. Gidwani Real-time scalable wireless switching network
US7787416B2 (en) * 2004-11-18 2010-08-31 Gidwani Sanjay M Wireless network having real-time channel allocation
US20080189769A1 (en) 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
US20090132534A1 (en) * 2007-11-21 2009-05-21 Inventec Corporation Remote replication synchronizing/accessing system and method thereof
US9054923B2 (en) * 2008-12-26 2015-06-09 Panasonic Intellectual Property Management Co., Ltd. Communication terminal, communication method, and program
WO2011102312A1 (ja) * 2010-02-16 2011-08-25 日本電気株式会社 パケット転送装置、通信システム、処理規則の更新方法およびプログラム
CN103229161B (zh) * 2010-08-24 2016-01-20 科派恩股份有限公司 连续接入网关和去重数据缓存服务器
US8743885B2 (en) * 2011-05-03 2014-06-03 Cisco Technology, Inc. Mobile service routing in a network environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
WO2011081104A1 (ja) * 2010-01-04 2011-07-07 日本電気株式会社 通信システム、認証装置、制御サーバ、通信方法およびプログラム
WO2011083786A1 (ja) * 2010-01-06 2011-07-14 日本電気株式会社 通信制御システム、及び通信制御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6016026714; 下江達二: 'アイデンティティ管理関連技術の進展と変遷' 人工知能学会誌 第24巻 第4号, 200907, pp.504-511 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017536766A (ja) * 2014-11-19 2017-12-07 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences 制御プレーン及びデータプレーンからスイッチの外部メモリへアクセスする方法

Also Published As

Publication number Publication date
JP2017022788A (ja) 2017-01-26
US20140247751A1 (en) 2014-09-04
JP6036815B2 (ja) 2016-11-30
WO2013035342A1 (en) 2013-03-14
JP6337947B2 (ja) 2018-06-06
US9544194B2 (en) 2017-01-10

Similar Documents

Publication Publication Date Title
JP6337947B2 (ja) ネットワーク管理サービスシステム、制御装置、方法およびプログラム
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP6327371B2 (ja) 通信システム、制御装置、通信制御方法およびプログラム
JP5370592B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP6028736B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5288081B1 (ja) 通信システム、ポリシー管理装置、通信方法およびプログラム
JP5812108B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP6424820B2 (ja) 機器管理システム、機器管理方法及びプログラム
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
KR101453334B1 (ko) 네트워크 정보 처리 시스템, 네트워크 정보 처리 장치, 및 정보 처리 방법
JP7056740B2 (ja) ブロックチェーンシステム、ブロックチェーン管理装置、ネットワーク制御装置、方法及びプログラム
JP2015530763A (ja) アクセス制御システム、アクセス制御方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150805

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161017

R150 Certificate of patent or registration of utility model

Ref document number: 6036815

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150