JP2015162692A - Transfer reduction method of application identification system, application identification device, and application identification program - Google Patents

Transfer reduction method of application identification system, application identification device, and application identification program Download PDF

Info

Publication number
JP2015162692A
JP2015162692A JP2014034741A JP2014034741A JP2015162692A JP 2015162692 A JP2015162692 A JP 2015162692A JP 2014034741 A JP2014034741 A JP 2014034741A JP 2014034741 A JP2014034741 A JP 2014034741A JP 2015162692 A JP2015162692 A JP 2015162692A
Authority
JP
Japan
Prior art keywords
flow
policy
application identification
destination
packet header
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014034741A
Other languages
Japanese (ja)
Other versions
JP6069236B2 (en
Inventor
章子 久保庭
Akiko Kuboniwa
章子 久保庭
亜希 福岡
Aki Fukuoka
亜希 福岡
千晴 森岡
Chiharu Morioka
千晴 森岡
吉川 智之
Tomoyuki Yoshikawa
智之 吉川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014034741A priority Critical patent/JP6069236B2/en
Publication of JP2015162692A publication Critical patent/JP2015162692A/en
Application granted granted Critical
Publication of JP6069236B2 publication Critical patent/JP6069236B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To efficiently identify flow applications in an IP network.SOLUTION: An application identification system 1 comprises an application identification device 3 which identifies data portions of packets constituting a flow, and a plurality of packet header identification control units 21 which transfer a flow matching a set policy to the application identification device 3 and share the application identification device 3. When the policy matching the flow destination is applied to the flow, the application identification device 3 attaches the tag indicating completed application of a destination policy to the packets. When the tag is applied to the packets constituting the flow, the packet header identification control unit 21 deletes the tag indicating completed application of the destination policy and transfers the flow on the basis of a routing. When the tag is not applied to the packets constituting the flow, the packet header identification control unit 21 determines whether the flow matches the set policy. When the flow matches the set policy, the packet header identification control unit 21 transfers the flow to the application identification device 3.

Description

本発明は、IPネットワークにおけるデータパケットのアプリケーション識別を行うアプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラムに関する。   The present invention relates to a transfer reduction method, an application identification apparatus, and an application identification program for an application identification system that performs application identification of data packets in an IP network.

近年では、アプリケーションを意識したサービスの提供や、プロビジョニングのための詳細なネットワーク状況把握を目的として、IPパケットのペイロード部を解析するDPI(Deep Packet Inspection)装置の導入が進んでいる。DPI装置は、フローの高次レイヤ分析によりアプリケーション識別を実現するアプリケーション識別機能と、5tupleベースのフロー制御を実現するパケットヘッダ識別制御機能の両方を具備している。DPI装置は、ポリシ管理機能からの指示によって識別や制御を実施する。   In recent years, the introduction of DPI (Deep Packet Inspection) devices that analyze the payload portion of IP packets has been advancing for the purpose of providing services in consideration of applications and grasping detailed network conditions for provisioning. The DPI device has both an application identification function that realizes application identification by high-order layer analysis of flows and a packet header identification control function that realizes 5-tuple-based flow control. The DPI device performs identification and control according to an instruction from the policy management function.

図8は、第1比較例のDPI装置をインラインに設置したアプリケーション識別システム1Eの概略の構成図である。
第1比較例のアプリケーション識別システム1Eは、コア網9にポリシ管理装置4と、DPI装置2E−1,2E−2とが、それぞれ相互に通信可能に接続されている。 FIG. 8 is a schematic configuration diagram of an application identification system 1E in which the DPI device of the first comparative example is installed inline.
In the application identification system 1E of the first comparative example, a policy management device 4 and DPI devices 2E-1 and 2E-2 are connected to a core network 9 so that they can communicate with each other.

DPI装置2E−1は、L7(Layer 7)分析によりアプリケーション識別を実現するアプリケーション識別部3E−1と、5tupleベースのフロー制御を実現するパケットヘッダ識別制御部21−1の両方を備えている。5tupleとは、送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号・プロトコル番号のことをいう。   The DPI device 2E-1 includes both an application identification unit 3E-1 that realizes application identification by L7 (Layer 7) analysis and a packet header identification control unit 21-1 that realizes 5-tuple-based flow control. “5tuple” means a source IP address, a destination IP address, a source port number, a destination port number, and a protocol number.

DPI装置2E−2は、同様なアプリケーション識別部3E−2と、パケットヘッダ識別制御部21−2とを備えている。DPI装置2E−1,2E−2は、それぞれユーザ端末5−1,5−2をコア網9に接続するエッジルータである。
DPI装置2E−1,2E−2は、ポリシ管理装置4からの指示によってデータパケットのアプリケーション識別や制御を実施する。 The DPI device 2E-2 includes a similar application identification unit 3E-2 and a packet header identification control unit 21-2. The DPI devices 2E-1 and 2E-2 are edge routers that connect the user terminals 5-1 and 5-2 to the core network 9, respectively.
The DPI devices 2E-1 and 2E-2 perform application identification and control of data packets according to instructions from the policy management device 4.

3GPP、「3GPP TS 23.203: 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Policy and charging control architecture」、2013年9月、Release 123GPP, “3GPP TS 23.203: 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Policy and charging control architecture”, September 2013, Release 12

第1比較例に示す、フローのL7(Layer 7)分析などの高次レイヤ分析は、5tuple識別と比較して高コストである。次世代ネットワーク(NGN)のような大規模ネットワークの全回線にDPI装置を設置すると、分割損が多量に発生して高コストになる虞がある。よって、大規模ネットワークの回線において、アプリケーション単位の制御を低コストで効率的に実現することが求められている。   Higher layer analysis such as L7 (Layer 7) analysis of flows shown in the first comparative example is more expensive than 5 tuple identification. If DPI devices are installed on all the lines of a large-scale network such as the next generation network (NGN), a large amount of division loss may occur and the cost may increase. Therefore, it is required to efficiently implement control for each application at a low cost in a large-scale network line.

本発明は、前記した問題を解決し、IPネットワークにおけるフローのアプリケーション識別を効率的に行うことを課題とする。   An object of the present invention is to solve the above-described problem and efficiently perform application identification of a flow in an IP network.

前記課題を解決するため、フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、設定されたポリシに合致するフローをこのアプリケーション識別装置へ転送して共用する複数のパケットヘッダ識別制御部とを備えるアプリケーション識別システムの転送削減方法の発明とした。アプリケーション識別装置は、フローの宛先に合致するポリシをフローに適用したならば、このフローに宛先ポリシ適用済みタグを付与する。パケットヘッダ識別制御部は、フローを構成するパケットに宛先ポリシ適用済みタグが付与されていたならば、この宛先ポリシ適用済みタグを削除して、このフローをルーティングに基づき転送し、フローを構成するパケットにこの宛先ポリシ適用済みタグが付与されていなかったならば、このフローが設定されたポリシに合致するか否かを判断し、設定されたポリシに合致するならば、このアプリケーション識別装置へ転送する。   In order to solve the above problems, an application identification device that identifies a data portion of a packet that constitutes a flow, and a plurality of packet header identification control units that transfer and share a flow that matches a set policy to the application identification device An invention of a transfer reduction method for an application identification system comprising: If the policy that matches the destination of the flow is applied to the flow, the application identification apparatus gives a destination policy applied tag to the flow. The packet header identification control unit deletes the destination policy applied tag if the destination policy applied tag is attached to the packet constituting the flow, and transfers the flow based on the routing to configure the flow. If the destination policy applied tag is not attached to the packet, it is determined whether or not this flow matches the set policy. If it matches the set policy, the packet is transferred to this application identification device. To do.

アプリケーション識別装置では、パケットヘッダ識別制御部から転送されるフローを受信し、このパケットヘッダ識別制御部にフローを転送する通信部と、このフローの送信元に関するポリシが設定されていたならば、このポリシをこのフローに適用し、このフローの宛元に関するポリシが設定されていたならば、このポリシをこのフローに適用するポリシ適用処理部と、宛元に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与するタグ付与部と、各ポリシを格納する記憶部とを備える。   The application identification device receives a flow transferred from the packet header identification control unit, and if a communication unit that transfers the flow to the packet header identification control unit and a policy regarding the transmission source of this flow are set, If a policy is applied to this flow and a policy related to the destination of this flow is set, the policy application processing unit that applies this policy to this flow and the destination policy applied to the flow that applies the policy related to the destination A tag assigning unit for assigning a completed tag and a storage unit for storing each policy.

アプリケーション識別プログラムの発明では、パケットヘッダ識別制御部から転送されるフローを受信し、このフローの送信元に関するポリシが設定されていたならば、このポリシをこのフローに適用し、このフローの宛先に関するポリシが設定されていたならば、このポリシをこのフローに適用して宛先ポリシ適用済みタグを付与し、このフローをこのパケットヘッダ識別制御部に転送する処理をアプリケーション識別装置に実行させることとした。   In the invention of the application identification program, if a flow transferred from the packet header identification control unit is received and a policy related to the transmission source of this flow is set, this policy is applied to this flow, and the flow related to the destination of this flow If a policy has been set, this policy is applied to this flow to assign a destination policy applied tag, and the application identification device is caused to execute processing to transfer this flow to this packet header identification control unit. .

このようにすることで、パケットヘッダ識別制御部がアプリケーション識別装置を共用し、かつ、このアプリケーション識別装置への転送を一度で済ませることができる。これにより、IPネットワークにおけるフローのアプリケーション識別を効率的に行うことができる。   In this way, the packet header identification control unit can share the application identification device, and transfer to the application identification device can be completed only once. Thereby, the application identification of the flow in an IP network can be performed efficiently.

本発明によれば、IPネットワークにおけるデータパケットのアプリケーション識別を効率的に行うことが可能となる。   According to the present invention, application identification of data packets in an IP network can be performed efficiently.

第1の実施形態におけるアプリケーション識別システムを示す概略の構成図である。It is a schematic block diagram which shows the application identification system in 1st Embodiment. 第1の実施形態におけるアプリケーション識別システムのフローの転送経路例を示す図である。It is a figure which shows the example of the transfer path | route of the flow of the application identification system in 1st Embodiment. 第1の実施形態におけるパケットヘッダ識別制御部の処理を示すフローチャートである。It is a flowchart which shows the process of the packet header identification control part in 1st Embodiment. 第1の実施形態におけるアプリケーション識別装置の処理を示すフローチャートである。It is a flowchart which shows the process of the application identification apparatus in 1st Embodiment. 第2の実施形態におけるアプリケーション識別装置の処理を示すフローチャートである。It is a flowchart which shows the process of the application identification device in 2nd Embodiment. 第3の実施形態におけるアプリケーション識別システムを示す概略の構成図である。It is a schematic block diagram which shows the application identification system in 3rd Embodiment. 第3の実施形態におけるポリシ管理装置の処理を示すフローチャートである。It is a flowchart which shows the process of the policy management apparatus in 3rd Embodiment. 第1比較例のDPI装置をインラインに設置したアプリケーション識別システムの概略の構成図である。It is a schematic block diagram of the application identification system which installed the DPI apparatus of the 1st comparative example in-line. 第2比較例のアプリケーション識別システムを示す概略の構成図である。It is a schematic block diagram which shows the application identification system of a 2nd comparative example. 第2比較例の送信元と宛先のパケットヘッダ識別制御部にポリシ設定した例を示す図である。It is a figure which shows the example which set the policy to the packet header identification control part of the transmission source of the 2nd comparative example, and a destination.

次に、第2比較例と本発明を実施するための形態(「実施形態」という)とについて、適宜図面を参照しながら詳細に説明する。
<第2比較例>
図9は、第2比較例のアプリケーション識別システム1Cを示す概略の構成図である。
アプリケーション識別システム1Cは、アプリケーション識別装置3Cを、複数のパケットヘッダ識別制御部21C−1〜21C−3で共用するように、ネットワーク上に配置している。これによりアプリケーション識別システム1Cは、アプリケーション識別装置3Cの利用効率を向上させることが可能である。
アプリケーション識別装置3Cは、フローを構成するパケットのデータ部分を識別する。 Next, a second comparative example and a mode for carrying out the present invention (referred to as “embodiment”) will be described in detail with reference to the drawings as appropriate.
<Second Comparative Example>
FIG. 9 is a schematic configuration diagram showing an application identification system 1C of the second comparative example.
In the application identification system 1C, the application identification device 3C is arranged on the network so as to be shared by the plurality of packet header identification control units 21C-1 to 21C-3. Thereby, the application identification system 1C can improve the utilization efficiency of the application identification apparatus 3C.
The application identification device 3C identifies the data portion of the packet that constitutes the flow.

アプリケーション識別システム1Cにおいて、パケットヘッダ識別制御部21C−1〜21C−3は、コア網9のエッジとしてインラインに設置される。パケットヘッダ識別制御部21C−1〜21C−3は、設定されたポリシに合致するフローをアプリケーション識別装置3Cへ転送して、アプリケーション識別装置3Cを共用する。以下、パケットヘッダ識別制御部21C−1〜21−3を特に区別しない場合には、単に「パケットヘッダ識別制御部21C」と記載している場合がある。   In the application identification system 1 </ b> C, the packet header identification control units 21 </ b> C- 1 to 21 </ b> C- 3 are installed inline as the edge of the core network 9. The packet header identification control units 21C-1 to 21C-3 transfer the flow that matches the set policy to the application identification device 3C, and share the application identification device 3C. Hereinafter, when the packet header identification control units 21C-1 to 21-3 are not particularly distinguished, they may be simply described as “packet header identification control unit 21C”.

図10は、第2比較例の送信元と宛先のパケットヘッダ識別制御部21Cにポリシ設定した例を示す図である。
大規模ネットワークでは、コア網9内の全ての装置に、このコア網9内で使用する全てのポリシを適用することは困難である。そのため、ポリシ管理装置4は、パケットヘッダ識別制御部21Cに対して、このパケットヘッダ識別制御部21Cが直接接続する外部ネットワークに関するポリシを設定することが一般的である。 FIG. 10 is a diagram illustrating an example in which a policy is set in the source and destination packet header identification control unit 21C of the second comparative example.
In a large-scale network, it is difficult to apply all policies used in the core network 9 to all devices in the core network 9. For this reason, the policy management apparatus 4 generally sets a policy relating to the external network to which the packet header identification control unit 21C is directly connected to the packet header identification control unit 21C.

例えば、ユーザ端末5−1(ユーザA)に接続するパケットヘッダ識別制御部21C−1には、ユーザAをキーとするポリシAが設定される。
ユーザ端末5−2(ユーザB)に接続するパケットヘッダ識別制御部21C−2には、ユーザBをキーとするポリシBが設定される。
サーバ7(サーバX)に接続するパケットヘッダ識別制御部21C−4には、サーバXをキーとするポリシXが設定される。
フローF20は、サーバ7(サーバX)が送信元であり、ユーザ端末5−1(ユーザA)が宛先である。 For example, the policy A using the user A as a key is set in the packet header identification control unit 21C-1 connected to the user terminal 5-1 (user A).
Policy B with user B as a key is set in the packet header identification control unit 21C-2 connected to the user terminal 5-2 (user B).
In the packet header identification control unit 21C-4 connected to the server 7 (server X), a policy X using the server X as a key is set.
In the flow F20, the server 7 (server X) is the transmission source, and the user terminal 5-1 (user A) is the destination.

パケットヘッダ識別制御部21C−4は、コア網9外からコア網9内への入力のフローF20を受信すると、その送信元IPアドレスにより、送信元がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−4は、フローF20の送信元がサーバ7(サーバX)であり、アプリケーション識別対象の装置なので、このフローF20をアプリケーション識別装置3Cへ転送する。このフローF20は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−4に返送される。
パケットヘッダ識別制御部21C−4は、アプリケーション識別装置3Cから返送されたフローF20を受信すると、通常のルーティング処理を行う。このフローF20は、パケットヘッダ識別制御部21C−1にルーティングされる。 When the packet header identification control unit 21C-4 receives an input flow F20 from outside the core network 9 into the core network 9, the packet header identification control unit 21C-4 determines whether or not the transmission source is an application identification target device based on the transmission source IP address. judge. Since the transmission source of the flow F20 is the server 7 (server X) and the device is an application identification target device, the packet header identification control unit 21C-4 transfers this flow F20 to the application identification device 3C. When this flow F20 is processed by the application identification device 3C, it is returned to the packet header identification control unit 21C-4.
When receiving the flow F20 returned from the application identification device 3C, the packet header identification control unit 21C-4 performs normal routing processing. This flow F20 is routed to the packet header identification control unit 21C-1.

パケットヘッダ識別制御部21C−1は、コア網9内からコア網9外への出力のフローF20を受信すると、その宛先IPアドレスにより、宛先がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−1は、出力フローF20の宛先がユーザ端末5−1(ユーザA)であり、アプリケーション識別対象の装置なので、このフローF20をアプリケーション識別装置3Cへ転送する。このフローF20は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−1に返送される。
パケットヘッダ識別制御部21C−1は、アプリケーション識別装置3Cから返送されたフローF20を受信すると、通常のルーティング処理を行う。このフローF20は、ユーザ端末5−1(ユーザA)にルーティングされる。 When the packet header identification control unit 21C-1 receives the output flow F20 from the core network 9 to the outside of the core network 9, the packet header identification control unit 21C-1 determines whether or not the destination is a device to be identified by the application based on the destination IP address. . Since the destination of the output flow F20 is the user terminal 5-1 (user A) and the device is an application identification target, the packet header identification control unit 21C-1 transfers this flow F20 to the application identification device 3C. When this flow F20 is processed by the application identification device 3C, it is returned to the packet header identification control unit 21C-1.
When the packet header identification control unit 21C-1 receives the flow F20 returned from the application identification device 3C, it performs normal routing processing. This flow F20 is routed to the user terminal 5-1 (user A).

フローF21は、ユーザ端末5−1(ユーザA)が送信元であり、ユーザ端末5−2(ユーザB)が宛先である。
パケットヘッダ識別制御部21C−1は、コア網9外からコア網9内への入力のフローF21を受信すると、その送信元IPアドレスにより、送信元がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−1は、フローF21の送信元がユーザ端末5−1(ユーザA)であり、アプリケーション識別対象の装置なので、このフローF21をアプリケーション識別装置3Cへ転送する。このフローF21は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−1に返送される。
パケットヘッダ識別制御部21C−1は、アプリケーション識別装置3Cから返送されたフローF21を受信すると、通常のルーティング処理を行う。このフローF21は、パケットヘッダ識別制御部21C−2にルーティングされる。 In the flow F21, the user terminal 5-1 (user A) is the transmission source, and the user terminal 5-2 (user B) is the destination.
When the packet header identification control unit 21C-1 receives an input flow F21 from the outside of the core network 9 into the core network 9, the packet header identification control unit 21C-1 determines whether or not the transmission source is a device to be identified by the transmission source IP address. judge. Since the transmission source of the flow F21 is the user terminal 5-1 (user A) and the application identification target device, the packet header identification control unit 21C-1 transfers this flow F21 to the application identification device 3C. When this flow F21 is processed by the application identification device 3C, it is returned to the packet header identification control unit 21C-1.
When the packet header identification control unit 21C-1 receives the flow F21 returned from the application identification device 3C, the packet header identification control unit 21C-1 performs normal routing processing. This flow F21 is routed to the packet header identification control unit 21C-2.

パケットヘッダ識別制御部21C−2は、コア網9内からコア網9外への出力のフローF21を受信すると、その宛先IPアドレスにより、宛先がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−2は、出力フローF21の宛先がユーザ端末5−2(ユーザB)であり、アプリケーション識別対象の装置なので、このフローF21をアプリケーション識別装置3Cへ転送する。このフローF21は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−2に返送される。
パケットヘッダ識別制御部21C−2は、アプリケーション識別装置3Cから返送されたフローF21を受信すると、通常のルーティング処理を行う。このフローF21は、ユーザ端末5−2(ユーザB)にルーティングされる。 When the packet header identification control unit 21C-2 receives the output flow F21 from the inside of the core network 9 to the outside of the core network 9, the packet header identification control unit 21C-2 determines whether the destination is a device to be identified by the application based on the destination IP address. . Since the destination of the output flow F21 is the user terminal 5-2 (user B) and the application identification target device, the packet header identification control unit 21C-2 transfers this flow F21 to the application identification device 3C. When this flow F21 is processed by the application identification device 3C, it is returned to the packet header identification control unit 21C-2.
When the packet header identification control unit 21C-2 receives the flow F21 returned from the application identification device 3C, the packet header identification control unit 21C-2 performs normal routing processing. This flow F21 is routed to the user terminal 5-2 (user B).

第2比較例のように、ネットワークを流れるフローをアプリケーション単位で制御する場合に、パケットヘッダ識別制御部21C−1,21C−2,21C−4において、アプリケーション識別装置3Cに転送するフローを絞り込むことで、アプリケーション識別リソースを削減する方式が検討されている。   When the flow that flows through the network is controlled in units of applications as in the second comparative example, the packet header identification control units 21C-1, 21C-2, and 21C-4 narrow down the flows that are transferred to the application identification device 3C. Therefore, a method for reducing application identification resources is being studied.

第2比較例では、パケットヘッダ識別制御部21が直接接続する外部ネットワークに関するポリシを設定する構成である。フローF20,F21のように、送信元と宛先の双方がアプリケーション識別対象の装置であった場合、フローは、アプリケーション識別装置3Cへ2度転送される。よって、通信品質の低下やアプリケーション識別装置3Cのリソースの2重消費が発生し、効率が低下する。   The second comparative example is configured to set a policy regarding an external network to which the packet header identification control unit 21 is directly connected. As in the flows F20 and F21, when both the transmission source and the destination are devices for application identification, the flow is transferred twice to the application identification device 3C. Therefore, the communication quality is deteriorated and the resource of the application identification device 3C is double consumed, and the efficiency is lowered.

第1の実施形態のアプリケーション識別装置3は、送信元と宛先の処理を一度に行い、宛先ポリシ適用済みタグを付与する。アプリケーション識別装置3がタグを付与することで、1つのフローがアプリケーション識別装置3に2度転送されることを防止する。これにより、アプリケーション識別処理に必要なリソースを大幅に削減することが可能である。   The application identification device 3 according to the first embodiment performs processing of a transmission source and a destination at a time and assigns a destination policy applied tag. The application identification device 3 adds a tag to prevent one flow from being transferred to the application identification device 3 twice. As a result, it is possible to significantly reduce the resources required for the application identification process.

<第1の実施形態>
図1は、第1の実施形態におけるアプリケーション識別システム1を示す概略の構成図である。
図1に示すように、アプリケーション識別システム1は、コア網9に、アプリケーション識別装置3と、ポリシ管理装置4と、パケットヘッダ識別制御部21−1,21−2とを備えている。パケットヘッダ識別制御部21−1,21−2は、コア網9のエッジとしてインラインに設置される。 <First Embodiment>
FIG. 1 is a schematic configuration diagram showing an application identification system 1 according to the first embodiment.
As shown in FIG. 1, the application identification system 1 includes an application identification device 3, a policy management device 4, and packet header identification control units 21-1 and 21-2 in a core network 9. The packet header identification control units 21-1 and 21-2 are installed inline as the edge of the core network 9.

アプリケーション識別装置3は、通信部31と、ポリシ適用処理部32と、タグ付与部33と、記憶部34とを備える。アプリケーション識別装置3は、パケットヘッダ識別制御部21からフローを受信すると、フローの宛先に合致するポリシを検索して適用し、フローを構成するパケットのデータ部分を識別する。
通信部31は、各パケットヘッダ識別制御部21から転送されるフローを受信し、このフローをパケットヘッダ識別制御部21に返送する。 The application identification device 3 includes a communication unit 31, a policy application processing unit 32, a tag addition unit 33, and a storage unit 34. When receiving the flow from the packet header identification control unit 21, the application identification device 3 searches for and applies a policy that matches the destination of the flow, and identifies the data portion of the packet that constitutes the flow.
The communication unit 31 receives a flow transferred from each packet header identification control unit 21 and returns this flow to the packet header identification control unit 21.

記憶部34は、各パケットヘッダ識別制御部21と同様なアプリケーション識別ポリシを保持する。記憶部34には、ユーザ端末5−1(ユーザA)に係るポリシAと、ユーザ端末5−3(ユーザC)に係るポリシCと、ユーザ端末5−4(ユーザD)に係るポリシDとが格納される。なお、記憶部34には、ユーザ端末5−2(ユーザB)に係るポリシAは格納されていない。
ポリシ適用処理部32は、フローを構成するパケットに、各アプリケーション識別ポリシを適用する。ポリシ適用処理部32は、このフローの送信元に関するポリシが自身に設定されていたならば、このポリシをこのフローに適用し、このフローの宛先に関するポリシが自身に設定されていたならば、このポリシをこのフローに適用する。ポリシ適用処理部32は、フローを構成するパケットのデータ部分を識別することにより、該当するアプリケーション識別ポリシを適用する。
タグ付与部33は、宛先に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与する。 The storage unit 34 holds an application identification policy similar to that of each packet header identification control unit 21. The storage unit 34 includes a policy A relating to the user terminal 5-1 (user A), a policy C relating to the user terminal 5-3 (user C), and a policy D relating to the user terminal 5-4 (user D). Is stored. The storage unit 34 does not store the policy A relating to the user terminal 5-2 (user B).
The policy application processing unit 32 applies each application identification policy to the packets constituting the flow. The policy application processing unit 32 applies this policy to this flow if the policy related to the transmission source of this flow is set to itself, and if the policy related to the destination of this flow is set to itself, this policy application processing unit 32 Apply policy to this flow. The policy application processing unit 32 applies the corresponding application identification policy by identifying the data portion of the packet constituting the flow.
The tag assigning unit 33 assigns a destination policy applied tag to a flow to which a policy related to the destination is applied.

ポリシ管理装置4と、パケットヘッダ識別制御部21−1,21−2と、アプリケーション識別装置3とは、相互に通信可能に接続されている。ポリシ管理装置4は、アプリケーション識別装置3に対して、ユーザAのアプリケーション識別を実施するポリシAと、ユーザCのアプリケーション識別を実施するポリシCと、ユーザDのアプリケーション識別を実施するポリシDとを設定している。   The policy management device 4, the packet header identification control units 21-1, 21-2, and the application identification device 3 are connected to be communicable with each other. The policy management device 4 provides the application identification device 3 with a policy A for performing application identification of the user A, a policy C for performing application identification of the user C, and a policy D for performing application identification of the user D. It is set.

アプリケーション識別システム1は、パケットヘッダ識別制御部21−1を介してユーザ端末5−1,5−2に接続され、更にパケットヘッダ識別制御部21−2を介してユーザ端末5−3,5−4に接続される。すなわち、ユーザ端末5−1(ユーザA)とユーザ端末5−2(ユーザB)とは、パケットヘッダ識別制御部21−1を介してコア網9に接続している。ユーザ端末5−3(ユーザC)とユーザ端末5−4(ユーザD)とは、パケットヘッダ識別制御部21−2を介してコア網9に接続している。
パケットヘッダ識別制御部21−1,21−2には、何らポリシが設定されていない。 The application identification system 1 is connected to the user terminals 5-1 and 5-2 via the packet header identification control unit 21-1, and is further connected to the user terminals 5-3 and 5- via the packet header identification control unit 21-2. 4 is connected. That is, the user terminal 5-1 (user A) and the user terminal 5-2 (user B) are connected to the core network 9 via the packet header identification control unit 21-1. The user terminal 5-3 (user C) and the user terminal 5-4 (user D) are connected to the core network 9 via the packet header identification control unit 21-2.
No policy is set in the packet header identification control units 21-1, 21-2.

ユーザAとユーザCは、フローF0によりユニキャストで通信している。フローF0は、ユーザ端末5−1からパケットヘッダ識別制御部21−1とコア網9とパケットヘッダ識別制御部21−2とを介してユーザ端末5−3に至るフローと、その逆のフローとである。   User A and user C are communicating by unicast by flow F0. The flow F0 includes a flow from the user terminal 5-1 to the user terminal 5-3 via the packet header identification control unit 21-1, the core network 9, and the packet header identification control unit 21-2, and vice versa. It is.

ユーザBとユーザDは、フローF1によりユニキャストで通信している。フローF1は、ユーザ端末5−2からパケットヘッダ識別制御部21−1とコア網9とパケットヘッダ識別制御部21−2とを介してユーザ端末5−4に至るフローと、その逆のフローとである。   User B and user D are communicating by unicast by flow F1. The flow F1 includes a flow from the user terminal 5-2 to the user terminal 5-4 via the packet header identification control unit 21-1, the core network 9, and the packet header identification control unit 21-2, and vice versa. It is.

図2は、第1の実施形態におけるアプリケーション識別システム1のフローの転送経路例を示す図である。
図1で示した状態の後、ポリシ管理装置4は、フローをアプリケーション識別装置3に転送するために、パケットヘッダ識別制御部21−1に、ユーザ端末5−1(ユーザA)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシAを設定する。
ポリシ管理装置4は、パケットヘッダ識別制御部21−2に、ユーザ端末5−3(ユーザC)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシCを設定する。ポリシ管理装置4は、パケットヘッダ識別制御部21−2に、ユーザ端末5−4(ユーザD)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシDを設定する。
パケットヘッダ識別制御部21−1には、ポリシAが設定される。パケットヘッダ識別制御部21−2には、ポリシC・ポリシDが設定される。
なお、各ポリシは、該当する装置が送信元のみであるフローや、該当する装置が宛先のみであるフローに対するポリシであってもよい。 FIG. 2 is a diagram illustrating an example of a transfer route of a flow of the application identification system 1 in the first embodiment.
After the state shown in FIG. 1, the policy management device 4 sends the packet header identification control unit 21-1 to the user terminal 5-1 (user A) as the transmission source or the destination in order to transfer the flow to the application identification device 3. Policy A for transferring the destination flow to the application identification device 3 is set.
The policy management apparatus 4 sets the policy C that causes the user terminal 5-3 (user C) to transfer the flow of the transmission source or destination to the application identification apparatus 3 in the packet header identification control unit 21-2. The policy management device 4 sets the policy D that causes the user terminal 5-4 (user D) to transfer the flow of the transmission source or destination to the application identification device 3 in the packet header identification control unit 21-2.
Policy A is set in the packet header identification control unit 21-1. Policy C and policy D are set in the packet header identification control unit 21-2.
Each policy may be a policy for a flow in which the corresponding device is only a transmission source or a flow in which the corresponding device is only a destination.

フローF2は、ユーザAからユーザCへ通信するフローである。
ユーザ端末5−1(ユーザA)は、ユーザ端末5−3(ユーザC)を宛先とするフローF2を、パケットヘッダ識別制御部21−1を介して送信する。 The flow F2 is a flow for communicating from the user A to the user C.
The user terminal 5-1 (user A) transmits the flow F2 destined for the user terminal 5-3 (user C) via the packet header identification control unit 21-1.

パケットヘッダ識別制御部21−1は、ユーザ端末5−1(ユーザA)からフローF2を受信すると、自身に設定されたポリシAに基づき、このフローF2をアプリケーション識別装置3へ転送する。   When the packet header identification control unit 21-1 receives the flow F 2 from the user terminal 5-1 (user A), the packet header identification control unit 21-1 transfers this flow F 2 to the application identification device 3 based on the policy A set for itself.

アプリケーション識別装置3は、受信したフローF2に合致するポリシを検索する。アプリケーション識別装置3は、ポリシAおよびポリシCを適用する。アプリケーション識別装置3は、フローF2の宛先であるユーザ端末5−3(ユーザC)のポリシCを適用したため、フローF2に宛先ポリシ適用済みタグを付与する。アプリケーション識別装置3は、このフローF2をパケットヘッダ識別制御部21−1へ返送する。パケットヘッダ識別制御部21−1は、返送されたフローF2に通常のルーティング処理を行う。このフローF2は、パケットヘッダ識別制御部21−2にルーティングされる。   The application identification device 3 searches for a policy that matches the received flow F2. The application identification device 3 applies policy A and policy C. Since the application identification device 3 applies the policy C of the user terminal 5-3 (user C) that is the destination of the flow F2, the application identification device 3 gives the destination policy applied tag to the flow F2. The application identification device 3 returns this flow F2 to the packet header identification control unit 21-1. The packet header identification control unit 21-1 performs normal routing processing on the returned flow F2. This flow F2 is routed to the packet header identification control unit 21-2.

パケットヘッダ識別制御部21−2は、受信したフローF2に宛先ポリシ適用済みタグが付与されていることから、宛先のユーザ端末5−3(ユーザC)に関するポリシCが適用済みであることを検知する。パケットヘッダ識別制御部21−2は、このフローF2をアプリケーション識別装置3へ転送せず、通常のルーティング処理を行う。このフローF2は、ユーザ端末5−3(ユーザC)にルーティングされる。   The packet header identification control unit 21-2 detects that the policy C related to the destination user terminal 5-3 (user C) has been applied since the destination policy applied tag is assigned to the received flow F2. To do. The packet header identification control unit 21-2 does not transfer this flow F2 to the application identification device 3, but performs normal routing processing. This flow F2 is routed to the user terminal 5-3 (user C).

フローF3は、ユーザCからユーザAへ通信するフローである。
ユーザ端末5−3(ユーザC)は、ユーザ端末5−1(ユーザA)を宛先とするフローF3を、パケットヘッダ識別制御部21−2を介して送信する。
パケットヘッダ識別制御部21−2は、ユーザ端末5−3(ユーザC)からフローF3を受信すると、自身に設定されたポリシCに基づき、このフローF3をアプリケーション識別装置3へ転送する。 The flow F3 is a flow for communicating from the user C to the user A.
The user terminal 5-3 (user C) transmits the flow F3 destined for the user terminal 5-1 (user A) via the packet header identification control unit 21-2.
When the packet header identification control unit 21-2 receives the flow F3 from the user terminal 5-3 (user C), the packet header identification control unit 21-2 transfers the flow F3 to the application identification device 3 based on the policy C set in itself.

アプリケーション識別装置3は、受信したフローF3に合致するポリシを検索し、ポリシCおよびポリシAを適用する。アプリケーション識別装置3は、フローF3の宛先であるユーザ端末5−1(ユーザA)のポリシAを適用したため、フローF3に宛先ポリシ適用済みタグを付与する。アプリケーション識別装置3は、このフローF3をパケットヘッダ識別制御部21−2へ返送する。パケットヘッダ識別制御部21−2は、返送されたフローF3に通常のルーティング処理を行う。このフローF3は、パケットヘッダ識別制御部21−1にルーティングされる。   The application identification device 3 searches for a policy that matches the received flow F3 and applies policy C and policy A. Since the application identification device 3 applies the policy A of the user terminal 5-1 (user A) that is the destination of the flow F3, the application identification device 3 assigns a destination policy applied tag to the flow F3. The application identification device 3 returns this flow F3 to the packet header identification control unit 21-2. The packet header identification control unit 21-2 performs normal routing processing on the returned flow F3. This flow F3 is routed to the packet header identification control unit 21-1.

パケットヘッダ識別制御部21−1は、受信したフローF3に宛先ポリシ適用済みタグが付与されていることから、宛先のユーザ端末5−1(ユーザA)に関するポリシが適用済みであることを検知する。パケットヘッダ識別制御部21−1は、このフローF3を、アプリケーション識別装置3へ転送せずに通常のルーティング処理を行う。このフローF3は、ユーザ端末5−1(ユーザA)にルーティングされる。   The packet header identification control unit 21-1 detects that the policy relating to the destination user terminal 5-1 (user A) has been applied since the destination policy applied tag is assigned to the received flow F3. . The packet header identification control unit 21-1 performs normal routing processing without transferring the flow F3 to the application identification device 3. This flow F3 is routed to the user terminal 5-1 (user A).

フローF4は、ユーザBからユーザDへ通信するフローである。
ユーザ端末5−2(ユーザB)は、ユーザ端末5−4(ユーザD)を宛先とするフローF4を、パケットヘッダ識別制御部21−1を介して送信する。 The flow F4 is a flow for communicating from the user B to the user D.
The user terminal 5-2 (user B) transmits the flow F4 destined for the user terminal 5-4 (user D) via the packet header identification control unit 21-1.

パケットヘッダ識別制御部21−1は、ユーザ端末5−2(ユーザB)からフローF4を受信すると、ユーザ端末5−2(ユーザB)に関するポリシが無いことを確認し、このフローF4に通常のルーティング処理を行う。このフローF4は、パケットヘッダ識別制御部21−2にルーティングされる。   When the packet header identification control unit 21-1 receives the flow F4 from the user terminal 5-2 (user B), the packet header identification control unit 21-1 confirms that there is no policy regarding the user terminal 5-2 (user B). Perform routing processing. This flow F4 is routed to the packet header identification control unit 21-2.

パケットヘッダ識別制御部21−2は、受信したフローF4に宛先ポリシ適用済みタグが付与されていないことから、自身に設定されたポリシDに基づき、このフローF4をアプリケーション識別装置3へ転送する。   The packet header identification control unit 21-2 transfers the flow F4 to the application identification device 3 based on the policy D set in itself because the destination policy applied tag is not attached to the received flow F4.

アプリケーション識別装置3は、受信したフローF4に合致するポリシを検索し、ポリシDを適用する。アプリケーション識別装置3は、フローF4をパケットヘッダ識別制御部21−2へ返送する。
パケットヘッダ識別制御部21−2は、返送されたフローF4に通常のルーティング処理を行う。このフローF4は、ユーザ端末5−4(ユーザD)にルーティングされる。 The application identification device 3 searches for a policy that matches the received flow F4 and applies the policy D. The application identification device 3 returns the flow F4 to the packet header identification control unit 21-2.
The packet header identification control unit 21-2 performs normal routing processing on the returned flow F4. This flow F4 is routed to the user terminal 5-4 (user D).

フローF5は、ユーザDからユーザBへ通信するフローである。
ユーザ端末5−4(ユーザD)は、ユーザ端末5−2(ユーザB)を宛先とするフローF5を、パケットヘッダ識別制御部21−2を介して送信する。
パケットヘッダ識別制御部21−2は、ユーザ端末5−4(ユーザD)からフローF5を受信すると、自身に設定されたポリシDに基づき、このフローF5をアプリケーション識別装置3へ転送する。 The flow F5 is a flow for communicating from the user D to the user B.
The user terminal 5-4 (user D) transmits the flow F5 destined for the user terminal 5-2 (user B) via the packet header identification control unit 21-2.
When receiving the flow F5 from the user terminal 5-4 (user D), the packet header identification control unit 21-2 transfers the flow F5 to the application identification device 3 based on the policy D set in itself.

アプリケーション識別装置3は、受信したフローF5に合致するポリシを検索し、ポリシDを適用する。アプリケーション識別装置3は、このフローF5をパケットヘッダ識別制御部21−2へ返送する。パケットヘッダ識別制御部21−2は、返送されたフローF5に通常のルーティング処理を行う。このフローF5は、パケットヘッダ識別制御部21−1にルーティングされる。   The application identification device 3 searches for a policy that matches the received flow F5 and applies the policy D. The application identification device 3 returns this flow F5 to the packet header identification control unit 21-2. The packet header identification control unit 21-2 performs normal routing processing on the returned flow F5. This flow F5 is routed to the packet header identification control unit 21-1.

パケットヘッダ識別制御部21−1は、受信したフローF5に宛先ポリシ適用済みタグが付与されていないことから、自身に設定されたポリシを確認し、ポリシBが無いことを確認する。パケットヘッダ識別制御部21−1は、このフローF5をアプリケーション識別装置3へ転送せずに、通常のルーティング処理を行う。このフローF5は、ユーザ端末5−2(ユーザB)にルーティングされる。   The packet header identification control unit 21-1 confirms the policy set for itself and confirms that there is no policy B because the destination policy applied tag is not attached to the received flow F5. The packet header identification control unit 21-1 performs normal routing processing without transferring the flow F5 to the application identification device 3. This flow F5 is routed to the user terminal 5-2 (user B).

図3は、第1の実施形態におけるパケットヘッダ識別制御部21の処理を示すフローチャートである。
パケットヘッダ識別制御部21に、コア網9内からフローが到着すると、図3の処理が開始する。
ステップS10において、パケットヘッダ識別制御部21は、コア網9内から到着したフローを受信する。 FIG. 3 is a flowchart showing the processing of the packet header identification control unit 21 in the first embodiment.
When a flow arrives at the packet header identification control unit 21 from within the core network 9, the process of FIG.
In step S <b> 10, the packet header identification control unit 21 receives a flow that has arrived from within the core network 9.

ステップS11において、パケットヘッダ識別制御部21は、このフローが宛先ポリシ適用済みタグ付きであるか否かを判断する。パケットヘッダ識別制御部21は、このフローが宛先ポリシ適用済みタグ付きであったならば(Yes)、ステップS12の処理を行い、このフローが宛先ポリシ適用済みタグ付きではなかったならば(No)、ステップS13の処理を行う。
ステップS12において、パケットヘッダ識別制御部21は、このフローから宛先ポリシ適用済みタグを削除して、ステップS16の処理を行う。 In step S11, the packet header identification control unit 21 determines whether or not this flow has a destination policy applied tag. The packet header identification control unit 21 performs the processing of step S12 if this flow has a destination policy applied tag (Yes), and if this flow does not have a destination policy applied tag (No). The process of step S13 is performed.
In step S12, the packet header identification control unit 21 deletes the destination policy applied tag from this flow, and performs the process of step S16.

ステップS13において、パケットヘッダ識別制御部21は、このフローがアプリケーション識別対象のフローであるか否かを判断する。パケットヘッダ識別制御部21は、このフローがアプリケーション識別対象のフローであったならば(Yes)、ステップS14の処理を行い、このフローがアプリケーション識別対象のフローではなかったならば(No)、ステップS16の処理を行う。
ステップS14において、パケットヘッダ識別制御部21は、このフローを、アプリケーション識別装置3へ転送する。
ステップS15において、パケットヘッダ識別制御部21は、アプリケーション識別装置3からフローが返送されるまで待ち、このフローを受信する。
ステップS16において、パケットヘッダ識別制御部21は、このフローを通常のルーティングに基づいて転送し、図3の処理を終了する。 In step S13, the packet header identification control unit 21 determines whether or not this flow is an application identification target flow. The packet header identification control unit 21 performs the process of step S14 if this flow is an application identification target flow (Yes), and if this flow is not an application identification target flow (No), the step The process of S16 is performed.
In step S <b> 14, the packet header identification control unit 21 transfers this flow to the application identification device 3.
In step S15, the packet header identification control unit 21 waits until a flow is returned from the application identification device 3, and receives this flow.
In step S16, the packet header identification control unit 21 transfers this flow based on normal routing, and ends the process of FIG.

このようにすることで、パケットヘッダ識別制御部21は、フローをアプリケーション識別装置3に転送する回数を1回とすることができるので、アプリケーション識別処理を効率化することができる。   By doing in this way, the packet header identification control part 21 can make the frequency | count which transfers a flow to the application identification apparatus 3 once, Therefore An application identification process can be made efficient.

図4は、第1の実施形態におけるアプリケーション識別装置3の処理を示すフローチャートである。
アプリケーション識別装置3に、パケットヘッダ識別制御部21が転送したフローが到着すると、図4の処理が開始する。
ステップS20において、アプリケーション識別装置3は、パケットヘッダ識別制御部21から到着したフローを受信する。アプリケーション識別装置3は、このフローの送信元ポリシを格納している。
ステップS21において、アプリケーション識別装置3は、送信元ポリシのアプリケーション識別処理を行う。 FIG. 4 is a flowchart showing processing of the application identification device 3 in the first embodiment.
When the flow transferred by the packet header identification control unit 21 arrives at the application identification device 3, the process of FIG.
In step S <b> 20, the application identification device 3 receives the flow that has arrived from the packet header identification control unit 21. The application identification device 3 stores the transmission source policy of this flow.
In step S21, the application identification device 3 performs an application identification process of the transmission source policy.

ステップS22において、アプリケーション識別装置3は、このフローの宛先ポリシを格納しているか否かを判断する。アプリケーション識別装置3は、このフローの宛先ポリシを格納していたならば(Yes)、ステップS23の処理を行い、このフローの宛先ポリシを格納していなかったならば(No)、ステップS25の処理を行う。
ステップS23において、アプリケーション識別装置3は、宛先ポリシのアプリケーション識別処理を行う。
ステップS24において、アプリケーション識別装置3は、このフローを構成するパケットに、宛先ポリシ適用済みタグを付与する。
ステップS25において、アプリケーション識別装置3は、このフローをパケットヘッダ識別制御部21へ返送し、図4の処理を終了する。 In step S22, the application identification device 3 determines whether or not the destination policy of this flow is stored. If the destination policy of this flow has been stored (Yes), the application identification device 3 performs the process of step S23. If the destination policy of this flow has not been stored (No), the process of step S25 is performed. I do.
In step S23, the application identification device 3 performs an application identification process for the destination policy.
In step S <b> 24, the application identification device 3 gives a destination policy applied tag to the packets constituting this flow.
In step S25, the application identification device 3 returns this flow to the packet header identification control unit 21, and ends the process of FIG.

アプリケーション識別装置3は、一度のフローの転送で、送信元ポリシと宛先ポリシの両方を適用するので、フローのアプリケーション識別を効率的に行うことができる。   Since the application identification device 3 applies both the transmission source policy and the destination policy in one flow transfer, the application identification of the flow can be performed efficiently.

<第2の実施形態>
図5は、第2の実施形態におけるアプリケーション識別装置3の処理を示すフローチャートである。
ステップS30において、アプリケーション識別装置3は、パケットヘッダ識別制御部21から到着したフローを受信する。アプリケーション識別装置3は、このフローの送信元ポリシを格納している。 <Second Embodiment>
FIG. 5 is a flowchart showing the processing of the application identification device 3 in the second embodiment.
In step S <b> 30, the application identification device 3 receives the flow that has arrived from the packet header identification control unit 21. The application identification device 3 stores the transmission source policy of this flow.

ステップS31において、アプリケーション識別装置3は、このフローの宛先ポリシを格納しているか否かを判断する。アプリケーション識別装置3は、このフローの宛先ポリシを格納していたならば(Yes)、ステップS32の処理を行い、このフローの宛先ポリシを格納していなかったならば(No)、ステップS35の処理を行う。
ステップS32において、アプリケーション識別装置3は、送信元ポリシと宛先ポリシとをマージする。ここで、ポリシのマージとは、例えば両ポリシに共通する処理を1回の処理に纏めることをいう。
ステップS33において、アプリケーション識別装置3は、マージしたポリシのアプリケーション識別処理を行う。 In step S31, the application identification device 3 determines whether or not the destination policy of this flow is stored. If the destination policy of this flow has been stored (Yes), the application identifying apparatus 3 performs the process of step S32. If the destination policy of this flow has not been stored (No), the process of step S35 is performed. I do.
In step S32, the application identification device 3 merges the transmission source policy and the destination policy. Here, the policy merging refers to, for example, combining processes common to both policies into one process.
In step S33, the application identification device 3 performs application identification processing of the merged policy.

ステップS34において、アプリケーション識別装置3は、このフローを構成するパケットに、宛先ポリシ適用済みタグを付与し、ステップS36の処理を行う。
ステップS35において、アプリケーション識別装置3は、送信元ポリシのアプリケーション識別処理を行う。
ステップS36において、アプリケーション識別装置3は、このフローをパケットヘッダ識別制御部21へ返送し、図5の処理を終了する。 In step S34, the application identification device 3 assigns a destination policy applied tag to the packets constituting this flow, and performs the process of step S36.
In step S35, the application identification device 3 performs an application identification process of the transmission source policy.
In step S36, the application identification device 3 returns this flow to the packet header identification control unit 21, and ends the process of FIG.

第2の実施形態のアプリケーション識別装置3は、送信元に関するポリシと宛先に関するポリシとをマージして適用し、宛先ポリシ適用済みタグを付与する。例えば、送信元ポリシと宛先ポリシの両方に、ウイルスチェックの処理が含まれていたならば、2回のウイルスチェックの処理をマージして1回に纏める。これにより、フローのアプリケーション識別を、更に効率的に行うことができる。   The application identification device 3 according to the second embodiment merges and applies the policy relating to the transmission source and the policy relating to the destination, and assigns a destination policy applied tag. For example, if virus check processing is included in both the transmission source policy and the destination policy, two virus check processings are merged into one. Thereby, application identification of a flow can be performed more efficiently.

<第3の実施形態>
図6は、第3の実施形態におけるアプリケーション識別システム1Bを示す概略の構成図である。図1に示す第1の実施形態のアプリケーション識別システム1と同一の要素には同一の符号を付与している。
アプリケーション識別システム1Bは、第1の実施形態とは異なるアプリケーション識別装置3Bと、ポリシ管理装置4Bとを備えている。アプリケーション識別装置3Bは、第1の実施形態とは異なるポリシ適用処理部32Bを備えている。 <Third Embodiment>
FIG. 6 is a schematic configuration diagram showing an application identification system 1B in the third embodiment. Elements identical to those in the application identification system 1 of the first embodiment shown in FIG.
The application identification system 1B includes an application identification device 3B and a policy management device 4B, which are different from the first embodiment. The application identification device 3B includes a policy application processing unit 32B that is different from the first embodiment.

アプリケーション識別装置3Bの記憶部34には、ポリシA・ポリシC・ポリシDに加えて、ポリシAとポリシCとがマージされたポリシACと、ポリシAとポリシDとがマージされたポリシADと、ポリシCとポリシDとがマージされたポリシCDとが格納されている。
ポリシ適用処理部32Bは、パケットの送信元ポリシと、パケットの宛先ポリシとを適用することに加えて、パケットの送信元と宛先とをマージしたポリシを適用する機能を有している。ポリシ適用処理部32Bは、フローの宛先に関するポリシおよびこのフローの送信元に関するポリシが設定されていたならば、これらをマージしたポリシをこのフローに適用する。
ポリシ管理装置4は、送信元と宛先のポリシをマージしてアプリケーション識別装置3Bに設定する。アプリケーション識別装置3Bは、ポリシ適用処理部32Bにより、マージされたポリシを適用することができる。 In addition to policy A, policy C, and policy D, the storage unit 34 of the application identification device 3B includes a policy AC in which policy A and policy C are merged, and a policy AD in which policy A and policy D are merged. The policy CD in which the policy C and the policy D are merged is stored.
The policy application processing unit 32B has a function of applying a policy obtained by merging a packet transmission source and a destination in addition to applying a packet transmission source policy and a packet destination policy. If the policy relating to the flow destination and the policy relating to the transmission source of this flow are set, the policy application processing unit 32B applies the policy obtained by merging them to this flow.
The policy management device 4 merges the transmission source and destination policies and sets them in the application identification device 3B. The application identification device 3B can apply the merged policy by the policy application processing unit 32B.

図7は、第3の実施形態におけるポリシ管理装置4Bの処理を示すフローチャートである。
ステップS40において、ポリシ管理装置4Bは、設定する各ポリシをアプリケーション識別装置3Bに設定する。ここでポリシ管理装置4Bが設定するのは、送信元ポリシと宛先ポリシとである。
ステップS41において、ポリシ管理装置4Bは、設定する各ポリシのうち2個の組合せを抽出する。例えば図6の例で、ポリシ管理装置4Bは、ポリシAとポリシCの組合せ、ポリシCとポリシDの組合せ、ポリシCとポリシDの組合せの3個を抽出する。
ステップS42において、ポリシ管理装置4Bは、抽出した2個のポリシをマージする。
ステップS43において、ポリシ管理装置4Bは、マージした各ポリシを、アプリケーション識別装置3Bに設定する。 FIG. 7 is a flowchart showing the processing of the policy management device 4B in the third embodiment.
In step S40, the policy management device 4B sets each policy to be set in the application identification device 3B. Here, the policy management apparatus 4B sets the transmission source policy and the destination policy.
In step S41, the policy management apparatus 4B extracts two combinations from each set policy. For example, in the example of FIG. 6, the policy management device 4B extracts three combinations: a combination of policy A and policy C, a combination of policy C and policy D, and a combination of policy C and policy D.
In step S42, the policy management device 4B merges the two extracted policies.
In step S43, the policy management apparatus 4B sets the merged policies in the application identification apparatus 3B.

ステップS44において、ポリシ管理装置4Bは、2個の組合せを全て抽出したかを判断する。ポリシ管理装置4Bは、2個の組合せを全て抽出していなかったならば、ステップS41に戻り、ポリシ管理装置4Bは、2個の組合せを全て抽出していたならば、図7の処理を終了する。   In step S44, the policy management apparatus 4B determines whether all the two combinations have been extracted. If the policy management apparatus 4B has not extracted all the two combinations, the process returns to step S41. If the policy management apparatus 4B has extracted all the two combinations, the process of FIG. 7 ends. To do.

ユーザ端末5は、一般的に同一のポリシを選択することが多い。つまり、フローの送信元ポリシと宛先ポリシとが同一である頻度は高い。第3の実施形態のアプリケーション識別装置3Bは、同一のポリシの多重適用を予め抑止して、アプリケーション識別を効率的に行うことができる。   In general, the user terminal 5 generally selects the same policy. That is, the frequency at which the flow source policy and the destination policy are the same is high. The application identification apparatus 3B of the third embodiment can efficiently perform application identification by previously preventing multiple applications of the same policy.

本発明の各装置は、コンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。   Each apparatus of the present invention can be realized by a computer and a program, and the program can be recorded on a recording medium or provided through a network.

1,1B,1C,1E アプリケーション識別システム
2E−1,2E−2 DPI装置
21−1,21−2,21C−1,21C−2,21C-3,21C−4 パケットヘッダ識別制御部
3,3B,3C アプリケーション識別装置
3E−1,3E−2 アプリケーション識別部
31 通信部
32,32B ポリシ適用処理部
33 タグ付与部
34 記憶部
4,4B ポリシ管理装置
5−1,5−2,5−3,5−4 ユーザ端末
7 サーバ
9 コア網 1, 1B, 1C, 1E Application identification system 2E-1, 2E-2 DPI device 21-1, 21-2, 21C-1, 21C-2, 21C-3, 21C-4 Packet header identification control unit 3, 3B , 3C Application identification device 3E-1, 3E-2 Application identification unit 31 Communication unit 32, 32B Policy application processing unit 33 Tag assignment unit 34 Storage unit 4, 4B Policy management device 5-1, 5-2, 5-3 5-4 User terminal 7 Server 9 Core network

Claims (6)

フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、
設定されたポリシに合致するフローを前記アプリケーション識別装置へ転送して、前記アプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と、
を備えるアプリケーション識別システムの転送削減方法であって、
前記アプリケーション識別装置は、
フローの宛先に合致するポリシを当該フローに適用したならば、当該フローに宛先ポリシ適用済みタグを付与し、
前記パケットヘッダ識別制御部は、
フローを構成するパケットに前記宛先ポリシ適用済みタグが付与されていたならば、当該宛先ポリシ適用済みタグを削除して、当該フローをルーティングに基づき転送し、
フローを構成するパケットに前記宛先ポリシ適用済みタグが付与されていなかったならば、当該フローが設定されたポリシに合致するか否かを判断し、設定されたポリシに合致するならば、前記アプリケーション識別装置へ転送する、
ことを特徴とするアプリケーション識別システムの転送削減方法。 An application identification device for identifying a data portion of a packet constituting a flow;
A plurality of packet header identification control units sharing the application identification device by transferring a flow that matches the set policy to the application identification device;
A transfer reduction method for an application identification system comprising:
The application identification device is
If a policy that matches the destination of the flow is applied to the flow, the destination policy applied tag is attached to the flow,
The packet header identification control unit
If the destination policy applied tag is attached to the packet constituting the flow, the destination policy applied tag is deleted, and the flow is forwarded based on routing.
If the destination policy applied tag is not attached to the packet constituting the flow, it is determined whether or not the flow matches the set policy, and if the flow matches the set policy, the application Transfer to the identification device,
A method for reducing the transfer of an application identification system. 前記アプリケーション識別装置は、
送信元に関するポリシと宛先に関するポリシとをマージして適用する、
ことを特徴とする請求項1に記載のアプリケーション識別システムの転送削減方法。 The application identification device is
Merge and apply source policy and destination policy,
The transfer reduction method of the application identification system according to claim 1. 前記アプリケーション識別システムは、送信元に関するポリシと宛先に関するポリシとを予めマージして、前記アプリケーション識別装置に設定するポリシ管理装置を備えており、
前記アプリケーション識別装置は、予めマージされたポリシをフローに適用する、
ことを特徴とする請求項1に記載のアプリケーション識別システムの転送削減方法。 The application identification system includes a policy management device that merges a policy related to a transmission source and a policy related to a destination in advance and sets the policy in the application identification device.
The application identification device applies a pre-merged policy to the flow;
The transfer reduction method of the application identification system according to claim 1. パケットヘッダ識別制御部から転送されるフローを受信し、前記パケットヘッダ識別制御部にフローを転送する通信部と、
当該フローの送信元に関するポリシが設定されていたならば、このポリシを当該フローに適用し、当該フローの宛先に関するポリシが設定されていたならば、このポリシを当該フローに適用するポリシ適用処理部と、
宛先に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与するタグ付与部と、
各ポリシを格納する記憶部と、
を備えるアプリケーション識別装置。 A communication unit that receives a flow transferred from the packet header identification control unit and transfers the flow to the packet header identification control unit;
If a policy related to the transmission source of the flow is set, this policy is applied to the flow. If a policy related to the destination of the flow is set, a policy application processing unit applies the policy to the flow. When,
A tag assignment unit for assigning a destination policy applied tag to a flow to which a policy related to a destination is applied;
A storage unit for storing each policy;
An application identification device comprising: 前記ポリシ適用処理部は、
前記フローの宛先に関するポリシおよび当該フローの送信元に関するポリシが設定されていたならば、これらをマージしたポリシを当該フローに適用する、
ことを特徴とする請求項4に記載のアプリケーション識別装置。 The policy application processing unit
If a policy related to the destination of the flow and a policy related to the transmission source of the flow are set, a policy in which these are merged is applied to the flow.
The application identification device according to claim 4. パケットヘッダ識別制御部から転送されるフローを受信し、
当該フローの送信元に関するポリシが設定されていたならば、このポリシを当該フローに適用し、当該フローの宛先に関するポリシが設定されていたならば、このポリシを当該フローに適用して宛先ポリシ適用済みタグを付与し、
当該フローを前記パケットヘッダ識別制御部に転送する処理を、
アプリケーション識別装置に実行させるためのアプリケーション識別プログラム。 Receives the flow transferred from the packet header identification control unit,
If a policy related to the flow source is set, apply this policy to the flow. If a policy related to the flow destination is set, apply this policy to the flow and apply the destination policy. End tag,
The process of transferring the flow to the packet header identification control unit,
An application identification program for causing an application identification device to execute.
JP2014034741A 2014-02-25 2014-02-25 Application identification system transfer reduction method, application identification apparatus, and application identification program Active JP6069236B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014034741A JP6069236B2 (en) 2014-02-25 2014-02-25 Application identification system transfer reduction method, application identification apparatus, and application identification program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014034741A JP6069236B2 (en) 2014-02-25 2014-02-25 Application identification system transfer reduction method, application identification apparatus, and application identification program

Publications (2)

Publication Number Publication Date
JP2015162692A true JP2015162692A (en) 2015-09-07
JP6069236B2 JP6069236B2 (en) 2017-02-01

Family

ID=54185550

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014034741A Active JP6069236B2 (en) 2014-02-25 2014-02-25 Application identification system transfer reduction method, application identification apparatus, and application identification program

Country Status (1)

Country Link
JP (1) JP6069236B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003107611A1 (en) * 2002-06-18 2003-12-24 株式会社エヌ・ティ・ティ・ドコモ Gateway apparatus, and method for processing signals in the gateway apparatus
JP2008011536A (en) * 2006-06-26 2008-01-17 Gemini Mobile Technologies Inc Method for on line game in wireless network, client device, and relay node
JP2009506618A (en) * 2005-08-23 2009-02-12 ネトロノーム システムズ インク System and method for processing and transferring transmission information
JP2009217841A (en) * 2001-03-27 2009-09-24 Fujitsu Ltd Packet relay processor
JP2011501543A (en) * 2007-10-19 2011-01-06 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Establishing a multimedia communication session

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009217841A (en) * 2001-03-27 2009-09-24 Fujitsu Ltd Packet relay processor
WO2003107611A1 (en) * 2002-06-18 2003-12-24 株式会社エヌ・ティ・ティ・ドコモ Gateway apparatus, and method for processing signals in the gateway apparatus
JP2009506618A (en) * 2005-08-23 2009-02-12 ネトロノーム システムズ インク System and method for processing and transferring transmission information
JP2008011536A (en) * 2006-06-26 2008-01-17 Gemini Mobile Technologies Inc Method for on line game in wireless network, client device, and relay node
JP2011501543A (en) * 2007-10-19 2011-01-06 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Establishing a multimedia communication session

Also Published As

Publication number Publication date
JP6069236B2 (en) 2017-02-01

Similar Documents

Publication Publication Date Title
US10750387B2 (en) Configuration of rules in a network visibility system
US10057126B2 (en) Configuration of a network visibility system
US20210160181A1 (en) Architecture for a network visibility system
US10091102B2 (en) Tunnel sub-interface using IP header field
US20160182385A1 (en) Shortening of service paths in service chains in a communications network
US10530688B2 (en) Configuration of load-sharing components of a network visibility router in a network visibility system
CN102291455B (en) Distributed cluster processing system and message processing method thereof
JP2017529011A (en) Chaining network service functions in communication networks
EP3099032A1 (en) A load balancing method, device, system and computer storage medium
JP6752141B2 (en) Methods and forwarders for processing packets
JP5861772B2 (en) Network appliance redundancy system, control device, network appliance redundancy method and program
US9479596B2 (en) Pairing internal network identifier with external network identifier
WO2016050109A1 (en) Communication method, cloud management server and virtual switch
US20220311701A1 (en) Methods and systems for sending packets through a plurality of tunnels
CN105207909B (en) A kind of method and network equipment sending information
CN103685032B (en) Message forwarding method and network address translation services device
JP6070700B2 (en) Packet transfer system, control device, packet transfer method and program
CN113395212B (en) Network device, method of operating the same, and non-transitory computer readable medium
CN110391961A (en) A kind of tunnel binding method, equipment and system
CN106209634B (en) Learning method and device of address mapping relation
US20180109401A1 (en) Data transfer system, data transfer server, data transfer method, and program recording medium
JP6181577B2 (en) Policy control system and policy control program
JPWO2019240158A1 (en) Communication system and communication method
JP6069236B2 (en) Application identification system transfer reduction method, application identification apparatus, and application identification program
US20200044954A1 (en) Unified control plane over mpls and internet interfaces through bgp

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161226

R150 Certificate of patent or registration of utility model

Ref document number: 6069236

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150