JP2016146516A - Flow control system and flow control method - Google Patents

Flow control system and flow control method Download PDF

Info

Publication number
JP2016146516A
JP2016146516A JP2015021824A JP2015021824A JP2016146516A JP 2016146516 A JP2016146516 A JP 2016146516A JP 2015021824 A JP2015021824 A JP 2015021824A JP 2015021824 A JP2015021824 A JP 2015021824A JP 2016146516 A JP2016146516 A JP 2016146516A
Authority
JP
Japan
Prior art keywords
terminal
policy
address
control
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015021824A
Other languages
Japanese (ja)
Other versions
JP6243859B2 (en
Inventor
章子 久保庭
Akiko Kuboniwa
章子 久保庭
千晴 森岡
Chiharu Morioka
千晴 森岡
貴之 藤原
Takayuki Fujiwara
貴之 藤原
智也 柿添
Tomoya Kakizoe
智也 柿添
雄三 橘
Yuzo Tachibana
雄三 橘
崇 栗本
Takashi Kurimoto
崇 栗本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015021824A priority Critical patent/JP6243859B2/en
Publication of JP2016146516A publication Critical patent/JP2016146516A/en
Application granted granted Critical
Publication of JP6243859B2 publication Critical patent/JP6243859B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To make an application identification device perform flow control in units of terminals, in a system in which the application identification device is shared by a plurality of packet header identification control devices.SOLUTION: A packet header identification control device 20, when having received a connection request from a terminal 10, transmits a policy request including the terminal 10's MAC address and IP address to a policy management device 40. The policy management device 40 identifies the terminal 10 on the basis of the terminal 10's MAC address included in the policy request; associates the terminal 10's IP address with the terminal 10's control policy; and sets the terminal 10's control policy for which the terminal 10's IP address is designated, to the application identification device 30. The application identification device 30 performs, on each terminal 10, flow control on the basis of an IP address received from the terminal 10 and the control policy 33.SELECTED DRAWING: Figure 2

Description

本発明は、フロー制御システムおよびフロー制御方法に関する。   The present invention relates to a flow control system and a flow control method.

アプリケーションを意識したサービスの提供やプロビジョニングの為、パケットのペイロード部を解析するDPI(Deep Packet Inspection)装置の導入が進んでいる。   The introduction of DPI (Deep Packet Inspection) devices that analyze the payload portion of a packet has been in progress for the provision and provisioning of services that are application-aware.

DPI装置は、L7(レイヤ7)分析により、パケットがどのアプリケーションに関するパケットかを識別するアプリケーション識別機能と、受信したパケットの5tuple(送信元IPアドレス、宛先IPアドレス、IPプロトコルタイプ、送信元ポート番号、宛先ポート番号)ベースでフロー制御を行うパケットヘッダ識別制御機能とを備える。このDPI装置は、ポリシー管理機能からの指示によってアプリケーションの識別やフロー制御を行う。   The DPI device uses an L7 (layer 7) analysis to identify an application for which the packet is a packet, and 5 tuple of the received packet (source IP address, destination IP address, IP protocol type, source port number) A packet header identification control function for performing flow control on the basis of a destination port number). This DPI device performs application identification and flow control according to an instruction from the policy management function.

また、大規模ネットワークにおいて、アプリケーション単位の制御を低コストで実現するため、例えば、図8に示すように、複数のパケットヘッダ識別制御機能がレイヤ3ネットワーク上のアプリケーション識別機能を共用するシステムが提案されている。本システムにおいて、パケットヘッダ識別機能はそれぞれ、5tupleベースでのフロー識別を行い、特定のフローについてアプリケーション識別機能を経由させるよう制御する。   Also, in order to realize control at a low cost in a large-scale network, for example, as shown in FIG. 8, a system in which a plurality of packet header identification control functions share an application identification function on a layer 3 network is proposed. Has been. In this system, each packet header identification function performs flow identification on a 5-tuple basis, and controls a specific flow to pass through the application identification function.

ここで、端末の多様化やBYOD(Bring Your Own Device)の普及等に伴い、端末ごとに異なるポリシーに基づきフロー制御を行うニーズが生じている。フローに付与される情報のうち、端末識別子として用いることができる情報としては、端末のMACアドレス(Media Access Control address)やIPアドレスがある。   Here, with the diversification of terminals and the spread of BYOD (Bring Your Own Device), there is a need to perform flow control based on different policies for each terminal. Among information given to the flow, information that can be used as a terminal identifier includes a terminal MAC address (Media Access Control address) and an IP address.

3GPP TS 23.203、「3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Policy and charging control architecture」、2013-033GPP TS 23.203, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Policy and charging control architecture, 2013-03 EUI-64、[online]、[平成27年1月22日検索]、インターネット<URL:http://standards.ieee.org/develop/regauth/tut/eui64.pdf>EUI-64, [online], [Search January 22, 2015], Internet <URL: http: //standards.ieee.org/develop/regauth/tut/eui64.pdf> NAPT、RFC 2663、[平成27年1月22日検索]、インターネット<URL:https://tools.ietf.org/html/rfc2663>NAPT, RFC 2663, [Search January 22, 2015], Internet <URL: https://tools.ietf.org/html/rfc2663>

しかし、MACアドレスはレイヤ3ネットワークでは保持されないため、上記のシステムのようにアプリケーション識別機能がレイヤ3ネットワークに設置される場合、アプリケーション識別機能はMACアドレスを端末識別子として用いることができない。また、IPアドレスを端末識別子として用いることも考えられるが、端末が再接続した場合や異なる場所に移動した場合、端末のIPアドレスが変更される可能性がある。そのため、IPアドレスを端末識別子として用いることも難しい。   However, since the MAC address is not held in the layer 3 network, when the application identification function is installed in the layer 3 network as in the above system, the application identification function cannot use the MAC address as a terminal identifier. Although it is conceivable to use an IP address as a terminal identifier, when the terminal is reconnected or moved to a different location, the IP address of the terminal may be changed. Therefore, it is difficult to use an IP address as a terminal identifier.

そこで本発明は、上記の問題を解決し、複数のパケットヘッダ識別制御機能がアプリケーション識別機能を共用するシステムにおいて、アプリケーション識別機能が端末ごとに異なるポリシーに基づきフロー制御を行うことを課題とする。   SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to solve the above problems and to perform flow control based on a policy in which an application identification function is different for each terminal in a system in which a plurality of packet header identification control functions share an application identification function.

前記した課題を解決するため、本発明は、端末から受信したフローのパケットのヘッダ情報によりアプリケーション識別装置へ転送するフローを識別するパケットヘッダ識別制御装置と、前記端末のMACアドレスごとに、当該MACアドレスの端末のフローの制御ポリシーを示した制御ポリシー情報を記憶するポリシー管理装置と、前記ポリシー管理装置により設定された制御ポリシーに従い、前記端末のフローの制御を行う前記アプリケーション識別装置とを備えるフロー制御システムであって、前記パケットヘッダ識別制御装置は、前記端末の接続要求を受信したとき、前記接続要求に含まれる前記端末のMACアドレスまたはMACアドレス相当の情報と前記端末のIPアドレスとを含むポリシー要求を前記ポリシー管理装置へ送信する要求処理部を備え、前記ポリシー管理装置は、前記端末のポリシー要求を受信したとき、前記ポリシー要求に含まれるMACアドレスまたはMACアドレス相当の情報により当該端末を識別する端末識別部と、前記制御ポリシー情報における当該端末のフローの制御ポリシーに、当該端末のIPアドレスを対応付ける制御ポリシー情報管理部と、前記端末のIPアドレスを指定した制御ポリシーを前記アプリケーション識別装置に設定する制御ポリシー設定部とを備え、前記アプリケーション識別装置は、前記端末から受信したフローのIPアドレスが、前記制御ポリシーに設定されるIPアドレスであるとき、前記IPアドレスおよび前記制御ポリシーに基づきフローの制御を行う制御実行部を備えることを特徴とする。   In order to solve the above-described problem, the present invention provides a packet header identification control device for identifying a flow to be transferred to an application identification device based on header information of a packet of a flow received from a terminal, and the MAC address for each MAC address of the terminal. A flow comprising: a policy management device for storing control policy information indicating a flow control policy for a terminal at an address; and the application identification device for controlling the flow of the terminal according to a control policy set by the policy management device. In the control system, when the packet header identification control device receives the connection request of the terminal, the packet header identification control device includes the MAC address of the terminal included in the connection request or information equivalent to the MAC address and the IP address of the terminal Send policy request to the policy management device A request processing unit, and when the policy management device receives a policy request of the terminal, a terminal identification unit that identifies the terminal by a MAC address included in the policy request or information corresponding to the MAC address, and the control A control policy information management unit that associates the IP address of the terminal with the control policy of the flow of the terminal in the policy information; and a control policy setting unit that sets a control policy that specifies the IP address of the terminal in the application identification device. The application identification device includes a control execution unit that controls a flow based on the IP address and the control policy when the IP address of the flow received from the terminal is an IP address set in the control policy. It is characterized by providing.

本発明によれば、複数のパケットヘッダ識別制御機能がアプリケーション識別機能を共用するシステムにおいて、アプリケーション識別機能が端末単位でフロー制御を行うことができる。   According to the present invention, in a system in which a plurality of packet header identification control functions share an application identification function, the application identification function can perform flow control on a terminal basis.

図1は、第1の実施形態のシステムの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a system according to the first embodiment. 図2は、第1の実施形態のシステムの構成および動作を説明する図である。FIG. 2 is a diagram illustrating the configuration and operation of the system according to the first embodiment. 図3は、第2の実施形態のシステムの構成および動作を説明する図である。FIG. 3 is a diagram for explaining the configuration and operation of the system of the second embodiment. 図4は、第3の実施形態のシステムの構成および動作を説明する図である。FIG. 4 is a diagram illustrating the configuration and operation of the system according to the third embodiment. 図5は、システムの構成例を示す図である。FIG. 5 is a diagram illustrating a configuration example of the system. 図6は、図5のシステムのPCRFが保持する制御ポリシー情報の例を示す図である。FIG. 6 is a diagram showing an example of control policy information held by the PCRF of the system of FIG. 図7は、制御プログラムを実行するコンピュータを示す図である。FIG. 7 is a diagram illustrating a computer that executes a control program. 図8は、複数のパケットヘッダ識別制御機能がアプリケーション識別機能を共用するシステムの構成例を示す図である。FIG. 8 is a diagram illustrating a configuration example of a system in which a plurality of packet header identification control functions share an application identification function.

以下、図面を参照しながら、本発明を実施するための形態(実施形態)を第1の実施形態から第3の実施形態に分けて説明する。なお、本発明は各実施形態に限定されない。   DESCRIPTION OF EMBODIMENTS Hereinafter, embodiments (embodiments) for carrying out the present invention will be described by dividing them from a first embodiment to a third embodiment with reference to the drawings. The present invention is not limited to each embodiment.

(第1の実施形態)
第1の実施形態のフロー制御システム(システム)は、図1に示すように、端末10と、パケットヘッダ識別制御装置20と、アプリケーション識別装置30と、ポリシー管理装置40とを備える。 (First embodiment)
As shown in FIG. 1, the flow control system (system) of the first embodiment includes a terminal 10, a packet header identification control device 20, an application identification device 30, and a policy management device 40.

端末10は、パーソナルコンピュータやスマートフォン等であり、パケットヘッダ識別制御装置20経由で、パケット(フロー)の送受信を行う。   The terminal 10 is a personal computer, a smartphone, or the like, and transmits and receives packets (flows) via the packet header identification control device 20.

パケットヘッダ識別制御装置20は、端末10からのフローまたは端末10へのフローについて5tupleベースでの制御を行う。具体的には、パケットヘッダ識別制御装置20は、フローを構成するパケットの5tupleを見て、ポリシー情報23(後記)に示される条件に合致するフローについてはアプリケーション識別装置30を経由させる。   The packet header identification control device 20 performs control on a 5-tuple basis for the flow from the terminal 10 or the flow to the terminal 10. Specifically, the packet header identification control device 20 looks at 5 tuples of the packets constituting the flow, and causes the flow that matches the conditions shown in the policy information 23 (described later) to pass through the application identification device 30.

アプリケーション識別装置30は、ポリシー管理装置40から設定された制御ポリシーに基づき、各端末10のフローの制御を行う。なお、アプリケーション識別装置30は、レイヤ3ネットワークに設置され、パケットヘッダ識別制御装置20から転送されるフローの制御を行う。つまり、アプリケーション識別装置30は、複数のパケットヘッダ識別制御装置20に共用される。   The application identification device 30 controls the flow of each terminal 10 based on the control policy set by the policy management device 40. The application identification device 30 is installed in the layer 3 network and controls the flow transferred from the packet header identification control device 20. That is, the application identification device 30 is shared by a plurality of packet header identification control devices 20.

ポリシー管理装置40は、パケットヘッダ識別制御装置20から端末10のポリシー要求(詳細は後記)を受け付けると、これに基づきアプリケーション識別装置30に対し当該端末10の制御ポリシーを設定する。   When the policy management device 40 receives a policy request (details will be described later) of the terminal 10 from the packet header identification control device 20, the policy management device 40 sets the control policy of the terminal 10 for the application identification device 30 based on this.

(構成および動作)
次に、図2を用いてシステムの構成および動作を説明する。 (Configuration and operation)
Next, the configuration and operation of the system will be described with reference to FIG.

(パケットヘッダ識別制御装置)
パケットヘッダ識別制御装置20は、要求処理部21と、パケット制御部22と、ポリシー情報23とを備える。 (Packet header identification control device)
The packet header identification control device 20 includes a request processing unit 21, a packet control unit 22, and policy information 23.

要求処理部21は、端末10から、当該端末10のMACアドレスとIPアドレスとを含む接続要求を受け付けると、当該端末10のMACアドレスとIPアドレスとを含むポリシー要求をポリシー管理装置40へ送信する。その後、ポリシー管理装置40からポリシー要求に対する応答(ポリシー要求応答)を受信すると、これに基づき当該端末10のポリシーをポリシー情報23に設定する。   Upon receiving a connection request including the MAC address and IP address of the terminal 10 from the terminal 10, the request processing unit 21 transmits a policy request including the MAC address and IP address of the terminal 10 to the policy management apparatus 40. . Thereafter, when a response to the policy request (policy request response) is received from the policy management device 40, the policy of the terminal 10 is set in the policy information 23 based on the response.

パケット制御部22は、端末10からのパケット(フロー)を受信すると、受信したフローの5tupleとポリシー情報23とを参照して、所定のフローをアプリケーション識別装置30へ転送する。   When the packet control unit 22 receives a packet (flow) from the terminal 10, the packet control unit 22 refers to the 5 tuples of the received flow and the policy information 23 and transfers the predetermined flow to the application identification device 30.

ポリシー情報23は、どのようなフローについてアプリケーション識別装置30へ転送するかをフローの5tupleにより定義した情報である。このポリシー情報23はパケットヘッダ識別制御装置20の記憶部(図示省略)の所定領域に記憶される。   The policy information 23 is information that defines what kind of flow is transferred to the application identification device 30 by 5 tuples of the flow. This policy information 23 is stored in a predetermined area of a storage unit (not shown) of the packet header identification control device 20.

(ポリシー管理装置)
ポリシー管理装置40は、制御ポリシー情報管理部41と、制御ポリシー設定部42と、制御ポリシー情報43と、端末識別部44とを備える。 (Policy management device)
The policy management device 40 includes a control policy information management unit 41, a control policy setting unit 42, control policy information 43, and a terminal identification unit 44.

制御ポリシー情報管理部41は、パケットヘッダ識別制御装置20から端末10のMACアドレスおよびIPアドレスを含むポリシー要求を受信すると、制御ポリシー情報43における当該MACアドレスの端末10の制御ポリシー(例えば、制御対象アプリケーションと当該アプリケーションに関するフローの制御内容)に当該IPアドレスを対応付ける。   When receiving a policy request including the MAC address and IP address of the terminal 10 from the packet header identification control device 20, the control policy information management unit 41 receives the control policy (for example, control target) of the terminal 10 of the MAC address in the control policy information 43. The IP address is associated with the application and the flow control content related to the application).

例えば、制御ポリシー情報管理部41が、パケットヘッダ識別制御装置20から端末10のMACアドレス(a)とIPアドレス(A)と含むポリシー要求を受信すると、制御ポリシー情報43における当該MACアドレス(a)の端末10(10a)の制御ポリシー(アプリケーションXのフローについて、5Mbpsのシェーピングを実行する)に当該IPアドレス(A)を対応付ける(図2の符号431)。   For example, when the control policy information management unit 41 receives a policy request including the MAC address (a) and the IP address (A) of the terminal 10 from the packet header identification control device 20, the MAC address (a) in the control policy information 43 is received. The IP address (A) is associated with the control policy (execution of 5 Mbps shaping for the application X flow) of the terminal 10 (10a) (reference numeral 431 in FIG. 2).

制御ポリシー設定部42は、端末10のIPアドレスを指定した当該端末10の制御ポリシーをアプリケーション識別装置30へ設定する。例えば、制御ポリシー情報管理部41が、制御ポリシー情報43における当該MACアドレス(a)の端末10(10a)の制御ポリシーに当該IPアドレス(A)を対応付けると、制御ポリシー設定部42は、アプリケーション識別装置30に対し、当該端末10のIPアドレス(A)を指定した当該端末10の制御ポリシーをアプリケーション識別装置30へ設定する。   The control policy setting unit 42 sets the control policy of the terminal 10 that specifies the IP address of the terminal 10 in the application identification device 30. For example, when the control policy information management unit 41 associates the IP address (A) with the control policy of the terminal 10 (10a) of the MAC address (a) in the control policy information 43, the control policy setting unit 42 sets the application identification For the device 30, the control policy of the terminal 10 that specifies the IP address (A) of the terminal 10 is set in the application identification device 30.

制御ポリシー情報43は、端末10のMACアドレスごとに、当該MACアドレスの端末10のフローの制御ポリシーを示した情報である。この制御ポリシー情報は、ポリシー管理装置40の記憶部(図示省略)の所定領域に記憶される。   The control policy information 43 is information indicating a flow control policy of the terminal 10 having the MAC address for each MAC address of the terminal 10. The control policy information is stored in a predetermined area of a storage unit (not shown) of the policy management device 40.

この制御ポリシー情報43は、制御ポリシー情報管理部41が端末10のポリシー要求を受信するたびに更新される。つまり、端末10の再接続等により、再度端末10のポリシー要求が送信された場合、再接続時における当該端末10のIPアドレスが制御ポリシー情報43に反映される。これにより端末10の再接続等により端末10のIPアドレスが変更された場合でも、制御ポリシー情報管理部41は、これを制御ポリシー情報43に反映させることができる。   The control policy information 43 is updated every time the control policy information management unit 41 receives a policy request from the terminal 10. That is, when the policy request of the terminal 10 is transmitted again due to reconnection of the terminal 10 or the like, the IP address of the terminal 10 at the time of reconnection is reflected in the control policy information 43. Thereby, even when the IP address of the terminal 10 is changed due to reconnection of the terminal 10 or the like, the control policy information management unit 41 can reflect this in the control policy information 43.

端末識別部44は、パケットヘッダ識別制御装置20から受信したポリシー要求に含まれる端末10のMACアドレスにより端末10を識別する。   The terminal identification unit 44 identifies the terminal 10 based on the MAC address of the terminal 10 included in the policy request received from the packet header identification control device 20.

(アプリケーション識別装置)
アプリケーション識別装置30は、制御ポリシー管理部31と、制御実行部32と制御ポリシー33とを備える。 (Application identification device)
The application identification device 30 includes a control policy management unit 31, a control execution unit 32, and a control policy 33.

制御ポリシー管理部31は、ポリシー管理装置40から送信されたポリシー設定を制御ポリシー33に反映させる。ポリシー設定には、制御対象の端末10のIPアドレスおよび制御ポリシーを含む。   The control policy management unit 31 reflects the policy setting transmitted from the policy management apparatus 40 in the control policy 33. The policy setting includes the IP address of the terminal 10 to be controlled and the control policy.

例えば、制御ポリシー管理部31は、ポリシー管理装置40からIPアドレス「A」の端末10(10a)のフローのうち、アプリケーション「X」のフローについて、「5Mbps」の「シェーピング」を実行する旨のポリシー設定を受け付けたとき、このポリシー設定を制御ポリシー33に反映させる(図2の符号331参照)。   For example, the control policy management unit 31 executes “shaping” of “5 Mbps” on the flow of the application “X” among the flows of the terminal 10 (10a) with the IP address “A” from the policy management device 40. When the policy setting is accepted, the policy setting is reflected in the control policy 33 (see reference numeral 331 in FIG. 2).

制御ポリシー33は、ポリシー管理装置40から設定された端末10ごとの制御ポリシーを示した情報である。制御ポリシー33には、例えば、図2に示すように、端末10のIPアドレスごとに、当該IPアドレスの端末10のフローに関する制御ポリシー(制御対象アプリケーション、当該アプリケーションに関するフローの制御内容)が記載される。この制御ポリシー33は、アプリケーション識別装置30の記憶部(図示省略)の所定領域に記憶される。   The control policy 33 is information indicating a control policy for each terminal 10 set from the policy management device 40. For example, as shown in FIG. 2, the control policy 33 describes, for each IP address of the terminal 10, a control policy related to the flow of the terminal 10 of the IP address (control target application, flow control content related to the application). The The control policy 33 is stored in a predetermined area of a storage unit (not shown) of the application identification device 30.

制御実行部32は、制御ポリシー33に基づきフロー制御を実行する。例えば、制御ポリシー33に、IPアドレス「A」の端末10(10a)のフローのうち、アプリケーションXのフローについて、5Mbpsのシェーピングを実行するという内容が記載されていれば、制御実行部32はこれに基づき、IPアドレス「A」の端末10(10a)のフローのうち、アプリケーションXのフローについて、5Mbpsのシェーピングを実行する。つまり、制御実行部32は、端末10からのフローを受信すると、フローに含まれる端末10のIPアドレスと制御ポリシー33に示される当該端末10のIPアドレスに対応付けられた制御ポリシーとに基づき、当該端末10のフローに対し行うべき制御を判断し、実行する。   The control execution unit 32 executes flow control based on the control policy 33. For example, if the control policy 33 describes that execution of 5 Mbps shaping is performed on the flow of the application X among the flows of the terminal 10 (10a) having the IP address “A”, the control execution unit 32 may execute this. Based on the above, 5 Mbps shaping is executed for the flow of the application X among the flows of the terminal 10 (10a) having the IP address “A”. That is, when the control execution unit 32 receives a flow from the terminal 10, based on the IP address of the terminal 10 included in the flow and the control policy associated with the IP address of the terminal 10 indicated in the control policy 33, The control to be performed on the flow of the terminal 10 is determined and executed.

(動作)
引き続き、図2を用いて、システムの動作を説明する。まず、パケットヘッダ識別制御装置20の要求処理部21が端末10からMACアドレスとIPアドレスとを含む接続要求を受け付けると(S1:接続要求(MAC+IP))、ポリシー管理装置40へこの端末10のMACアドレスとIPアドレスとを含むポリシー要求を送信する(S2:ポリシー要求(MAC+IP))。 (Operation)
Next, the operation of the system will be described with reference to FIG. First, when the request processing unit 21 of the packet header identification control device 20 receives a connection request including a MAC address and an IP address from the terminal 10 (S1: connection request (MAC + IP)), the MAC of the terminal 10 is sent to the policy management device 40. A policy request including an address and an IP address is transmitted (S2: policy request (MAC + IP)).

ポリシー管理装置40の制御ポリシー情報管理部41は、S2で送信されたポリシー要求に含まれるMACアドレスとIPアドレスを読み出し、制御ポリシー情報43における当該MACアドレスの端末10の制御ポリシーに当該端末10のIPアドレスを対応付ける。そして、制御ポリシー情報管理部41は、パケットヘッダ識別制御装置20に対しポリシー要求の応答を返す(S3:ポリシー要求応答)。   The control policy information management unit 41 of the policy management device 40 reads the MAC address and IP address included in the policy request transmitted in S2, and sets the control policy of the terminal 10 of the terminal 10 to the control policy of the terminal 10 of the MAC address in the control policy information 43. Associate IP addresses. Then, the control policy information management unit 41 returns a policy request response to the packet header identification control device 20 (S3: policy request response).

その後、ポリシー管理装置40の制御ポリシー設定部42は、S2で送信されたポリシー要求に含まれる端末10のIPアドレスを指定した当該端末10の制御ポリシーをアプリケーション識別装置30へ設定する(S4:ポリシー設定(IP))。そして、アプリケーション識別装置30の制御ポリシー管理部31は、ポリシー管理装置40からのポリシー設定に基づき、当該端末10のIPアドレスおよび制御ポリシーを制御ポリシー33に反映させると、ポリシー管理装置40へポリシー設定の応答を返す(S5:ポリシー設定応答)。   Thereafter, the control policy setting unit 42 of the policy management device 40 sets the control policy of the terminal 10 that specifies the IP address of the terminal 10 included in the policy request transmitted in S2 to the application identification device 30 (S4: policy). Setting (IP)). Then, when the control policy management unit 31 of the application identification device 30 reflects the IP address and control policy of the terminal 10 in the control policy 33 based on the policy setting from the policy management device 40, the policy setting to the policy management device 40 is set. (S5: Policy setting response).

このようなポリシー設定の後、パケットヘッダ識別制御装置20が端末10からのフローを受け付け、当該フローがアプリケーション識別装置30へ転送するフローである場合、当該フローをアプリケーション識別装置30へ転送する。そして、アプリケーション識別装置30は、受信したフローに含まれる端末10のIPアドレスと制御ポリシー33とに基づき、当該端末10のフローに対し行うべき制御を判断し、実行する。このようにすることで、アプリケーション識別装置30は端末10ごとに異なるポリシーに基づきフロー制御を実行することができる。   After such policy setting, the packet header identification control device 20 receives a flow from the terminal 10, and when the flow is a flow to be transferred to the application identification device 30, the flow is transferred to the application identification device 30. Then, the application identification device 30 determines and executes control to be performed on the flow of the terminal 10 based on the IP address of the terminal 10 and the control policy 33 included in the received flow. By doing in this way, the application identification apparatus 30 can perform flow control based on a different policy for each terminal 10.

(第2の実施形態)
次に、図3を用いて第2の実施形態のシステムの構成および動作を説明する。前記した実施形態と同じ構成は、同じ符号を付して説明を省略する。第2の実施形態のシステムは、端末10がIPv6(Internet Protocol Version 6)のIPアドレスを用いて通信を行う場合において、端末10ごとのフロー制御を行うことを特徴とする。 (Second Embodiment)
Next, the configuration and operation of the system of the second embodiment will be described with reference to FIG. The same configurations as those of the above-described embodiment are denoted by the same reference numerals and description thereof is omitted. The system of the second embodiment is characterized by performing flow control for each terminal 10 when the terminal 10 performs communication using an IP address of IPv6 (Internet Protocol Version 6).

本システムは、端末10へのIPv6のIPアドレスの割り当てを行うHGW(ホームゲートウェイ)50を備える。このHGW50は、端末10のIPv6のIPアドレスの割り当てにあたり、当該端末10のMACアドレスを使用し、EUI−64(非特許文献2参照)に基づき、IPv6のIPアドレスのインタフェースIDを生成する。そして、生成したインタフェースIDを組み込んだIPv6のIPアドレスを当該端末10に割り当てる。   This system includes an HGW (home gateway) 50 that assigns an IPv6 IP address to the terminal 10. The HGW 50 uses the MAC address of the terminal 10 when assigning the IPv6 IP address of the terminal 10 and generates an interface ID of the IPv6 IP address based on EUI-64 (see Non-Patent Document 2). Then, an IPv6 IP address in which the generated interface ID is incorporated is assigned to the terminal 10.

また、本システムにおけるポリシー管理装置40aは、端末識別部44aを備える。この端末識別部44aは、パケットヘッダ識別制御装置20から送信されたポリシー要求に含まれるIPv6のIPアドレスから端末10のMACアドレスを特定する。具体的には、端末識別部44aは、IPv6のIPアドレスのインタフェースIDから端末10のMACアドレスを特定し、これにより端末10の識別を行う。なお、制御ポリシー情報43および制御ポリシー33における端末10のIPアドレスの欄にはIPv6のIPアドレスが記載される。   Further, the policy management device 40a in this system includes a terminal identification unit 44a. The terminal identification unit 44 a identifies the MAC address of the terminal 10 from the IPv6 IP address included in the policy request transmitted from the packet header identification control device 20. Specifically, the terminal identification unit 44a identifies the MAC address of the terminal 10 from the interface ID of the IPv6 IP address, and thereby identifies the terminal 10. In the control policy information 43 and the control policy 33, the IP address column of the terminal 10 describes an IPv6 IP address.

(動作)
引き続き、図3を用いてシステムの動作を説明する。まず、HGW50は端末10から当該端末10のMACアドレスを含むIPv6のIPアドレスの割り当て要求を受けると(S10:アドレス割り当て要求(MAC))、当該端末10に対しIPv6のIPアドレスの割り当てを行う。つまり、HGW50は、当該端末10のMACアドレスを使用し、EUI−64に基づき、IPv6のIPアドレスのインタフェースIDを生成し、生成したインタフェースIDを込み込んだIPv6のIPアドレスを当該端末10に割り当てる。 (Operation)
Subsequently, the operation of the system will be described with reference to FIG. First, upon receiving an IPv6 IP address assignment request including the MAC address of the terminal 10 from the terminal 10 (S10: Address assignment request (MAC)), the HGW 50 assigns an IPv6 IP address to the terminal 10. In other words, the HGW 50 uses the MAC address of the terminal 10, generates an interface ID of the IPv6 IP address based on EUI-64, and assigns the IPv6 IP address including the generated interface ID to the terminal 10. .

そして、パケットヘッダ識別制御装置20の要求処理部21がHGW50から端末10のIPv6のIPアドレスを含む接続要求を受け付けると(S11:接続要求(IPv6))、ポリシー管理装置40aへ当該端末10のIPv6のIPアドレスを含むポリシー要求を送信する(S12:ポリシー要求(IPv6))。   When the request processing unit 21 of the packet header identification control device 20 receives a connection request including the IPv6 IP address of the terminal 10 from the HGW 50 (S11: connection request (IPv6)), the policy management device 40a receives the IPv6 of the terminal 10. A policy request including the IP address of the server is transmitted (S12: Policy request (IPv6)).

ポリシー管理装置40aの端末識別部44aは、S12で送信されたポリシー要求に含まれる端末10のIPv6のIPアドレスのインタフェースIDから当該端末10のMACアドレスを識別すると(S13)、制御ポリシー情報管理部41は、制御ポリシー情報43における当該MACアドレスの端末10に関する制御ポリシーに当該端末10のIPv6のIPアドレスを対応付ける。そして、制御ポリシー情報管理部41は、パケットヘッダ識別制御装置20に対しポリシー要求の応答を返す(S14:ポリシー要求応答)。   When the terminal identification unit 44a of the policy management device 40a identifies the MAC address of the terminal 10 from the interface ID of the IPv6 IP address of the terminal 10 included in the policy request transmitted in S12 (S13), the control policy information management unit 41 associates the IPv6 IP address of the terminal 10 with the control policy related to the terminal 10 of the MAC address in the control policy information 43. Then, the control policy information management unit 41 returns a policy request response to the packet header identification control device 20 (S14: policy request response).

その後、ポリシー管理装置40aの制御ポリシー設定部42は、S12で送信されたポリシー要求に含まれる端末10のIPv6のIPアドレスを指定した当該端末10の制御ポリシーをアプリケーション識別装置30へ設定する(S15:ポリシー設定(IPv6))。そして、アプリケーション識別装置30の制御ポリシー管理部31は、ポリシー管理装置40aからのポリシー設定に基づき、当該端末10のIPv6のIPアドレスおよび制御ポリシーを制御ポリシー33に反映させると、ポリシー管理装置40aへポリシー設定の応答を返す(S16:ポリシー設定応答)。   Thereafter, the control policy setting unit 42 of the policy management device 40a sets the control policy of the terminal 10 that specifies the IPv6 IP address of the terminal 10 included in the policy request transmitted in S12 to the application identification device 30 (S15). : Policy setting (IPv6). When the control policy management unit 31 of the application identification device 30 reflects the IPv6 IP address and control policy of the terminal 10 in the control policy 33 based on the policy setting from the policy management device 40a, the control policy management unit 31 returns to the policy management device 40a. A policy setting response is returned (S16: policy setting response).

このようなポリシー設定の後、例えば、パケットヘッダ識別制御装置20がHGW50経由で端末10からのフローを受け付け、当該フローがアプリケーション識別装置30へ転送するフローである場合、当該フローをアプリケーション識別装置30へ転送する。そして、アプリケーション識別装置30は、受信したフローに含まれる端末10のIPv6のIPアドレスと制御ポリシー33とに基づき、当該端末10のフローに対し行うべき制御を判断し、実行する。このようにすることで、端末10がIPv6のIPアドレスを用いて通信を行う場合においても、アプリケーション識別装置30は端末10ごとのフロー制御を実行することができる。   After such policy setting, for example, when the packet header identification control device 20 receives a flow from the terminal 10 via the HGW 50 and the flow is a flow to be transferred to the application identification device 30, the flow is designated as the application identification device 30. Forward to. Then, the application identification device 30 determines and executes control to be performed on the flow of the terminal 10 based on the IPv6 IP address of the terminal 10 and the control policy 33 included in the received flow. By doing in this way, even when the terminal 10 performs communication using an IPv6 IP address, the application identification device 30 can execute flow control for each terminal 10.

(第3の実施形態)
次に、図4を用いて第3の実施形態のシステムの構成および動作を説明する。前記した実施形態と同じ構成は、同じ符号を付して説明を省略する。第3の実施形態のシステムは、端末10がNAPT(Network Address Port Translation)により変換されたIPアドレス+ポート番号により通信を行う場合において、端末10ごとのフロー制御を行うことを特徴とする。 (Third embodiment)
Next, the configuration and operation of the system of the third embodiment will be described with reference to FIG. The same configurations as those of the above-described embodiment are denoted by the same reference numerals and description thereof is omitted. The system of the third embodiment is characterized by performing flow control for each terminal 10 when the terminal 10 performs communication using an IP address + port number converted by NAPT (Network Address Port Translation).

本システムは、HGW50aを備える。このHGW50aは、NAPTに用いるポート番号として、端末10のMACアドレスにハッシュをかけた値を用いる。このHGW50aは、NAPT処理部51とハッシュ処理部52とを備える。NAPT処理部51は、端末10からMACアドレスを含む接続要求を受信すると、ハッシュ処理部52に当該端末10のMACアドレスのハッシュ値を計算させ、計算されたハッシュ値をポート番号として設定する。ハッシュ処理部52は、与えられたMACアドレスに対しハッシュ関数を用いてハッシュ値を計算する。なお、ハッシュ関数は、例えば、ハッシュ値が20000〜60000の範囲になるよう設定しておく。   This system includes an HGW 50a. The HGW 50a uses a value obtained by hashing the MAC address of the terminal 10 as a port number used for NAPT. The HGW 50 a includes a NAPT processing unit 51 and a hash processing unit 52. Upon receiving a connection request including a MAC address from the terminal 10, the NAPT processing unit 51 causes the hash processing unit 52 to calculate the hash value of the MAC address of the terminal 10 and sets the calculated hash value as a port number. The hash processing unit 52 calculates a hash value for the given MAC address using a hash function. The hash function is set so that the hash value is in the range of 20000 to 60000, for example.

また、本システムにおけるポリシー管理装置40bは、端末識別部44bを備える。この端末識別部44bは、制御ポリシー情報に含まれる各端末10のMACアドレスのハッシュ値を計算し、パケットヘッダ識別制御装置20から送信されたポリシー要求に含まれる端末10のポート番号と各端末10のハッシュ値とを照合することにより、当該端末10を識別する。つまり、端末識別部44bは、端末10のポート番号を用いて端末10の識別を行う。   Further, the policy management apparatus 40b in this system includes a terminal identification unit 44b. The terminal identification unit 44b calculates the hash value of the MAC address of each terminal 10 included in the control policy information, and the port number of the terminal 10 included in the policy request transmitted from the packet header identification control device 20 and each terminal 10 The terminal 10 is identified by checking with the hash value. That is, the terminal identification unit 44b identifies the terminal 10 using the port number of the terminal 10.

また、ポリシー管理装置40bの制御ポリシー設定部42は、端末10のIPアドレス+ポート番号を指定した当該端末10の制御ポリシーをアプリケーション識別装置30に設定する。例えば、制御ポリシー情報管理部41が、制御ポリシー情報43aにおける当該MACアドレス(a)の端末10(10a)の制御ポリシーに当該IPアドレス(A)+ポート番号(x)を対応付けると、制御ポリシー設定部42は、アプリケーション識別装置30に対し、当該端末10のIPアドレス(A)+ポート番号(x)を指定した当該端末10の制御ポリシーをアプリケーション識別装置30へ設定する。   In addition, the control policy setting unit 42 of the policy management device 40 b sets the control policy of the terminal 10 that specifies the IP address + port number of the terminal 10 in the application identification device 30. For example, when the control policy information management unit 41 associates the IP address (A) + port number (x) with the control policy of the terminal 10 (10a) of the MAC address (a) in the control policy information 43a, the control policy setting The unit 42 sets the control policy of the terminal 10 specifying the IP address (A) + port number (x) of the terminal 10 to the application identification apparatus 30 for the application identification apparatus 30.

なお、ポリシー管理装置40bの制御ポリシー情報43aには、端末10のIPアドレスに代えて、端末10のIPアドレス+ポート番号が記載される。また、制御ポリシー33aにも制御ポリシー33の端末10のIPアドレスに代えて、端末10のIPアドレス+ポート番号が記載される。   The control policy information 43a of the policy management apparatus 40b describes the IP address of the terminal 10 + the port number instead of the IP address of the terminal 10. In addition, instead of the IP address of the terminal 10 of the control policy 33, the IP address + port number of the terminal 10 is also described in the control policy 33a.

さらに、アプリケーション識別装置30の制御実行部32は、端末10からのフローを受信すると、フローに含まれる端末10のIPアドレス+ポート番号と制御ポリシー33aとに基づき、当該端末10のフローに対し行うべき制御を判断し、実行する。   Further, when receiving the flow from the terminal 10, the control execution unit 32 of the application identification device 30 performs the flow of the terminal 10 based on the IP address + port number of the terminal 10 included in the flow and the control policy 33a. Determine and execute the control.

(動作)
引き続き、図4を用いて、システムの動作を説明する。まず、HGW50aのNAPT処理部51は、端末10のMACアドレスを含む接続要求を受け付けると(S20:接続要求(MAC))、ハッシュ処理部52に対し端末10のMACアドレスのハッシュ値を計算させ、NAPT処理部51は、この計算されたハッシュ値を、当該端末10のポート番号とする。そして、NAPT処理部51は、当該端末10のIPアドレスおよびポート番号を含む接続要求をパケットヘッダ識別制御装置20へ送信する。 (Operation)
Subsequently, the operation of the system will be described with reference to FIG. First, when receiving a connection request including the MAC address of the terminal 10 (S20: connection request (MAC)), the NAPT processing unit 51 of the HGW 50a causes the hash processing unit 52 to calculate the hash value of the MAC address of the terminal 10, The NAPT processing unit 51 uses the calculated hash value as the port number of the terminal 10. Then, the NAPT processing unit 51 transmits a connection request including the IP address and port number of the terminal 10 to the packet header identification control device 20.

そして、パケットヘッダ識別制御装置20の要求処理部21がHGW50aから端末10のIPアドレスおよびポート番号を含む接続要求を受け付けると(S21:接続要求(IP+port))、ポリシー管理装置40bへ当該端末10のIPアドレスおよびポート番号を含むポリシー要求を送信する(S22:ポリシー要求(IP+port))。   When the request processing unit 21 of the packet header identification control device 20 receives a connection request including the IP address and port number of the terminal 10 from the HGW 50a (S21: connection request (IP + port)), the policy management device 40b receives the connection of the terminal 10 from the HGW 50a. A policy request including an IP address and a port number is transmitted (S22: Policy request (IP + port)).

ポリシー管理装置40bの端末識別部44bは、S22で送信されたポリシー要求に含まれるポート番号を用いて、端末10を識別すると(S23)、制御ポリシー情報管理部41は制御ポリシー情報43aにおける当該端末10の制御ポリシーに当該端末10のIPアドレス+ポート番号を対応付ける。そして、制御ポリシー情報管理部41は、パケットヘッダ識別制御装置20に対しポリシー要求の応答を返す(S24:ポリシー要求応答)。   When the terminal identification unit 44b of the policy management apparatus 40b identifies the terminal 10 using the port number included in the policy request transmitted in S22 (S23), the control policy information management unit 41 identifies the terminal in the control policy information 43a. The control policy of 10 is associated with the IP address + port number of the terminal 10. Then, the control policy information management unit 41 returns a policy request response to the packet header identification control device 20 (S24: policy request response).

その後、ポリシー管理装置40bの制御ポリシー設定部42は、S22で送信されたポリシー要求に含まれる端末10のIPアドレスおよびポート番号を指定した当該端末10の制御ポリシーをアプリケーション識別装置30に設定する(S25:ポリシー設定(IP+port))。そして、アプリケーション識別装置30の制御ポリシー管理部31は、ポリシー管理装置40bからのポリシー設定に基づき、当該端末10のIPアドレスおよびポート番号と制御ポリシーとを制御ポリシー33aに反映させると、ポリシー管理装置40bへポリシー設定の応答を返す(S26:ポリシー設定応答)。   Thereafter, the control policy setting unit 42 of the policy management apparatus 40b sets the control policy of the terminal 10 that specifies the IP address and port number of the terminal 10 included in the policy request transmitted in S22 in the application identification apparatus 30 ( S25: Policy setting (IP + port)). Then, the control policy management unit 31 of the application identification device 30 reflects the IP address and port number of the terminal 10 and the control policy in the control policy 33a based on the policy setting from the policy management device 40b. A policy setting response is returned to 40b (S26: policy setting response).

このようなポリシー設定の後、パケットヘッダ識別制御装置20がHGW50a経由で端末10からのフローを受け付け、当該フローがアプリケーション識別装置30へ転送するフローである場合、当該フローをアプリケーション識別装置30へ転送する。そして、アプリケーション識別装置30は、受信したフローに含まれる端末10のIPアドレスおよびポート番号と制御ポリシー33aとに基づき、当該端末10のフローに対し行うべき制御を判断し、実行する。   After such policy setting, when the packet header identification control device 20 receives a flow from the terminal 10 via the HGW 50a and the flow is a flow to be transferred to the application identification device 30, the flow is transferred to the application identification device 30. To do. Then, the application identification device 30 determines and executes control to be performed on the flow of the terminal 10 based on the IP address and port number of the terminal 10 included in the received flow and the control policy 33a.

このようにすることで、端末10がHGW50a経由でNAPTにより変換されたIPアドレス+ポート番号を用いて通信を行う場合でも、アプリケーション識別装置30は端末10ごとのフロー制御を実行することができる。   By doing in this way, even when the terminal 10 performs communication using the IP address + port number converted by the NAPT via the HGW 50a, the application identification device 30 can execute the flow control for each terminal 10.

以上説明した各実施形態のシステムは、端末10のMACアドレスや、MACアドレス相当の情報(例えば、IPv6のIPアドレスのインタフェースIDやMACアドレスに基づき生成されたポート番号)により端末10を識別し、アプリケーション識別装置30に端末10それぞれのIPアドレスやIPアドレス+ポート番号を指定した制御ポリシーを設定する。その結果、システム内のレイヤ3ネットワークに設置されたアプリケーション識別装置30は端末10のIPアドレスやIPアドレス+ポート番号に基づき、各端末10のフロー制御を行うことができる。   The system of each embodiment described above identifies the terminal 10 based on the MAC address of the terminal 10 or information corresponding to the MAC address (for example, the interface ID of the IPv6 IP address or the port number generated based on the MAC address), A control policy specifying the IP address or IP address + port number of each terminal 10 is set in the application identification device 30. As a result, the application identification device 30 installed in the layer 3 network in the system can control the flow of each terminal 10 based on the IP address or IP address + port number of the terminal 10.

(実施形態の適用例)
なお、前記した第2の実施形態のシステムは、例えば、図5に示すような、PCEF(Policy and Charging Enforcement Function)60、TDF(Traffic Detection Function)70、PCRF(Policy and Charging Rules Function)80、端末A,BおよびHGW50を備えるシステムに適用可能である。なお、端末A,BはHGW50経由でIPv6による通信を行う端末である。 (Application example of embodiment)
The system of the second embodiment described above includes, for example, a PCEF (Policy and Charging Enforcement Function) 60, a TDF (Traffic Detection Function) 70, a PCRF (Policy and Charging Rules Function) 80, as shown in FIG. The present invention is applicable to a system including terminals A and B and HGW 50. Terminals A and B are terminals that perform IPv6 communication via the HGW 50.

この場合、PCEF60にはパケットヘッダ識別制御装置20の機能を装備し、TDF70にはアプリケーション識別装置30の機能を装備し、PCRF80にはポリシー管理装置40aの機能を装備する。PCRF80は制御ポリシー情報43aとして、例えば、図6に示すような端末A,Bそれぞれの、MACアドレス、EUI−64で生成したインタフェースID、および、制御ポリシー(制御対象アプリケーション、制御内容)を対応付けた情報を保持する。   In this case, the PCEF 60 is equipped with the function of the packet header identification control device 20, the TDF 70 is equipped with the function of the application identification device 30, and the PCRF 80 is equipped with the function of the policy management device 40a. As the control policy information 43a, the PCRF 80 associates, for example, the MAC addresses of the terminals A and B as shown in FIG. 6, the interface ID generated by the EUI-64, and the control policy (control target application, control content). Hold information.

そして、端末AはHGW50に対してアドレスの割り当て要求を送信すると、HGW50は端末AのMACアドレス(a)からEUI−64により生成した(a’)をインタフェースIDとするIPv6のIPアドレスを端末Aに割り当てる。次に、端末AはHGW50から割り当てられたIPv6のIPアドレスを含む接続要求をPCEF60に送信する。これを受けたPCEF60は、PCRF80に対して端末Aのポリシー要求を送信する。このポリシー要求には、ポリシー設定対象である端末AのIPv6のIPアドレスを含める。PCRF80はPCEF60から受信したポリシー要求のIPv6のIPアドレスのインタフェースIDが「a’」であることから、ポリシー設定対象が端末Aであることを識別し、TDF70に対して端末AのIPv6のIPアドレスを指定した制御ポリシーを設定する。   When the terminal A transmits an address assignment request to the HGW 50, the HGW 50 sets an IPv6 IP address having the interface ID of (a ′) generated from the MAC address (a) of the terminal A by EUI-64. Assign to. Next, the terminal A transmits a connection request including the IPv6 IP address assigned from the HGW 50 to the PCEF 60. Receiving this, the PCEF 60 transmits a policy request of the terminal A to the PCRF 80. This policy request includes the IPv6 IP address of the terminal A that is the policy setting target. Since the interface ID of the IPv6 address of the policy request received from the PCEF 60 is “a ′”, the PCRF 80 identifies that the policy setting target is the terminal A, and the IPv6 IP address of the terminal A with respect to the TDF 70 Set a control policy that specifies.

このような制御ポリシーの設定の後、端末A,Bが通信を開始し、TDF70にフローが到達すると、TDF70はPCRF80により設定されたIPv6のIPアドレスに合致するフローについて、制御ポリシーで指定された制御対象アプリケーションに合致するか識別し、合致した場合は制御内容を実施する。   After setting the control policy, when the terminals A and B start communication and the flow reaches the TDF 70, the TDF 70 is designated in the control policy for the flow that matches the IPv6 IP address set by the PCRF 80. Whether it matches the control target application is identified, and if it matches, the control content is executed.

なお、PCEF60、TDF70、PCRF80、および、IPv4により通信を行う端末を備えるシステムにおいて上記のように端末ごとのフロー制御を行う場合、第1の実施形態のシステムを適用すればよく、また、PCEF60、TDF70、PCRF80、および、HGW50aを用いてNAPTにより通信を行う端末を備えるシステムにおいて端末ごとのフロー制御を行う場合、第3の実施形態のシステムを適用すればよい。   In the case of performing flow control for each terminal as described above in a system including a PCEF 60, a TDF 70, a PCRF 80, and a terminal that performs communication using IPv4, the system of the first embodiment may be applied, and the PCEF 60, In the case of performing flow control for each terminal in a system including a terminal that performs communication by NAPT using the TDF 70, the PCRF 80, and the HGW 50a, the system of the third embodiment may be applied.

(その他の実施形態)
なお、第2の実施形態のシステムにおけるポリシー管理装置40aは、予め、各端末10のMACアドレスごとに、当該MACアドレスを使用してEUI−64に基づき生成したIPv6のIPアドレスのインタフェースIDを示した情報(MACアドレス毎インタフェースID情報)を用意しておき、これを記憶部(図示省略)等に保持してもよい。そして、ポリシー管理装置40aの端末識別部44aがIPv6のIPアドレスのインタフェースIDから端末10のMACアドレスを特定する際には、このMACアドレス毎インタフェースID情報を参照して、端末10のMACアドレスを特定する。このようにすることで、端末識別部44aは、端末10のMACアドレスの特定を迅速に行うことができる。 (Other embodiments)
The policy management device 40a in the system of the second embodiment indicates the interface ID of the IPv6 IP address generated based on EUI-64 using the MAC address in advance for each MAC address of each terminal 10. Information (interface ID information for each MAC address) may be prepared and stored in a storage unit (not shown) or the like. When the terminal identification unit 44a of the policy management apparatus 40a identifies the MAC address of the terminal 10 from the interface ID of the IPv6 IP address, the MAC address of the terminal 10 is determined by referring to the interface ID information for each MAC address. Identify. In this way, the terminal identification unit 44a can quickly identify the MAC address of the terminal 10.

さらに、第3の実施形態のシステムにおけるポリシー管理装置40bは、予め、各端末10のMACアドレスごとに、当該MACアドレスに対するハッシュ値(MACアドレス毎ハッシュ値情報)を用意しておき、これを記憶部(図示省略)等に保持してもよい。そして、ポリシー管理装置40bの端末識別部44bがポリシー要求に含まれるポート番号から端末10のMACアドレスを特定する際には、このMACアドレス毎ハッシュ値情報を参照して、端末10のMACアドレスを特定する。このようにすることで、端末識別部44bは、端末10のMACアドレスの特定を迅速に行うことができる。   Further, the policy management device 40b in the system of the third embodiment prepares a hash value (hash value information for each MAC address) for the MAC address in advance for each MAC address of each terminal 10, and stores this. A part (not shown) or the like may be held. When the terminal identification unit 44b of the policy management device 40b specifies the MAC address of the terminal 10 from the port number included in the policy request, the MAC address of the terminal 10 is determined by referring to the hash value information for each MAC address. Identify. By doing in this way, the terminal identification part 44b can identify the MAC address of the terminal 10 rapidly.

また、第3の実施形態のシステムにおいて、端末10のMACアドレスとポート番号とはハッシュ関数により対応付けを行うこととしたが、MACアドレスから計算された値が一意となるような関数であればこれに限定されない。   Further, in the system of the third embodiment, the MAC address and the port number of the terminal 10 are associated with each other using a hash function. However, if the function is such that the value calculated from the MAC address is unique. It is not limited to this.

(プログラム)
また、上記実施形態に係る各装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、各装置と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。 (program)
It is also possible to create and execute a program in which processing executed by each device according to the above-described embodiment is described in a language that can be executed by a computer. In this case, the same effect as the above-described embodiment can be obtained by the computer executing the program. Further, such a program may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read by the computer and executed to execute the same processing as in the above embodiment. Hereinafter, an example of a computer that executes a control program that realizes the same function as each device will be described.

図7は、制御プログラムを実行するコンピュータを示す図である。図7に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。   FIG. 7 is a diagram illustrating a computer that executes a control program. As shown in FIG. 7, the computer 1000 includes, for example, a memory 1010, a CPU (Central Processing Unit) 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, a network, and the like. Interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. A removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100, for example. For example, a mouse 1110 and a keyboard 1120 are connected to the serial port interface 1050. For example, a display 1130 is connected to the video adapter 1060.

ここで、図7に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。   Here, as shown in FIG. 7, the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Each piece of information described in the above embodiment is stored in, for example, the hard disk drive 1090 or the memory 1010.

また、制御プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した各装置が実行する処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。   Further, the control program is stored in the hard disk drive 1090 as a program module in which a command executed by the computer 1000 is described, for example. Specifically, a program module describing processing executed by each device described in the above embodiment is stored in the hard disk drive 1090.

また、制御プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。   Data used for information processing by the control program is stored as program data in, for example, the hard disk drive 1090. Then, the CPU 1020 reads out the program module 1093 and the program data 1094 stored in the hard disk drive 1090 to the RAM 1012 as necessary, and executes the above-described procedures.

なお、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 related to the control program are not limited to being stored in the hard disk drive 1090. For example, the program module 1093 and the program data 1094 are stored in a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. May be. Alternatively, the program module 1093 and the program data 1094 related to the control program are stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network), and are transmitted via the network interface 1070. It may be read by the CPU 1020.

10 端末
20 パケットヘッダ識別制御装置
21 要求処理部
22 パケット制御部
23 ポリシー情報
30 アプリケーション識別装置
31 制御ポリシー管理部
32 制御実行部
33,33a 制御ポリシー
40,40a,40b ポリシー管理装置
41 制御ポリシー情報管理部
42 制御ポリシー設定部
43,43a 制御ポリシー情報
44,44a,44b 端末識別部
50,50a HGW
51 NAPT処理部
52 ハッシュ処理部 DESCRIPTION OF SYMBOLS 10 Terminal 20 Packet header identification control apparatus 21 Request processing part 22 Packet control part 23 Policy information 30 Application identification apparatus 31 Control policy management part 32 Control execution part 33, 33a Control policy 40, 40a, 40b Policy management apparatus 41 Control policy information management Unit 42 Control policy setting unit 43, 43a Control policy information 44, 44a, 44b Terminal identification unit 50, 50a HGW
51 NAPT processing unit 52 Hash processing unit

Claims (5)

端末から受信したフローのパケットのヘッダ情報によりアプリケーション識別装置へ転送するフローを識別するパケットヘッダ識別制御装置と、前記端末のMACアドレスごとに、当該MACアドレスの端末のフローの制御ポリシーを示した制御ポリシー情報を記憶するポリシー管理装置と、前記ポリシー管理装置により設定された制御ポリシーに従い、前記端末のフローの制御を行う前記アプリケーション識別装置とを備えるフロー制御システムであって、
前記パケットヘッダ識別制御装置は、
前記端末の接続要求を受信したとき、前記接続要求に含まれる前記端末のMACアドレスまたはMACアドレス相当の情報と前記端末のIPアドレスとを含むポリシー要求を前記ポリシー管理装置へ送信する要求処理部を備え、
前記ポリシー管理装置は、
前記端末のポリシー要求を受信したとき、前記ポリシー要求に含まれるMACアドレスまたはMACアドレス相当の情報により当該端末を識別する端末識別部と、
前記制御ポリシー情報における当該端末のフローの制御ポリシーに、当該端末のIPアドレスを対応付ける制御ポリシー情報管理部と、
前記端末のIPアドレスを指定した制御ポリシーを前記アプリケーション識別装置に設定する制御ポリシー設定部とを備え、
前記アプリケーション識別装置は、
前記端末から受信したフローのIPアドレスが、前記制御ポリシーに設定されるIPアドレスであるとき、前記IPアドレスおよび前記制御ポリシーに基づきフローの制御を行う制御実行部を備えることを特徴とするフロー制御システム。 A packet header identification control device for identifying a flow to be transferred to an application identification device based on header information of a flow packet received from a terminal, and a control indicating a flow control policy for the terminal of the MAC address for each MAC address of the terminal A flow control system comprising: a policy management device that stores policy information; and the application identification device that controls the flow of the terminal according to a control policy set by the policy management device,
The packet header identification control device,
A request processing unit that, when receiving a connection request for the terminal, transmits a policy request including the MAC address of the terminal included in the connection request or information corresponding to the MAC address and the IP address of the terminal to the policy management apparatus; Prepared,
The policy management device includes:
When receiving the policy request of the terminal, a terminal identification unit for identifying the terminal by the MAC address included in the policy request or information corresponding to the MAC address;
A control policy information management unit for associating the IP address of the terminal with the control policy of the flow of the terminal in the control policy information;
A control policy setting unit that sets a control policy specifying the IP address of the terminal in the application identification device;
The application identification device is
When the IP address of the flow received from the terminal is an IP address set in the control policy, the flow control includes a control execution unit that controls the flow based on the IP address and the control policy system. 前記IPアドレスは、IPv6(Internet Protocol Version 6)のIPアドレスであり、
前記端末識別部は、
前記端末のポリシー要求を受信したとき、前記ポリシー要求に含まれる当該端末のIPv6のIPアドレスのインタフェースIDから当該端末のMACアドレスを特定することにより当該端末を識別することを特徴とする請求項1に記載のフロー制御システム。 The IP address is an IPv6 (Internet Protocol Version 6) IP address,
The terminal identification unit is
The terminal is identified by specifying the MAC address of the terminal from the interface ID of the IPv6 IP address of the terminal included in the policy request when the policy request of the terminal is received. The flow control system described in. 前記端末は、NAPT(Network Address Port Translation)により当該端末のMACアドレスに対応付けられたポート番号とIPアドレスとを用いて通信を行う端末であり、
前記端末識別部は、
前記端末のポリシー要求を受信したとき、前記ポリシー要求に含まれる当該端末のポート番号から当該端末のMACアドレスを特定することにより当該端末を識別し、
前記制御ポリシー情報管理部は、
前記制御ポリシー情報における当該端末のフローの制御ポリシーに、当該端末のIPアドレスおよびポート番号を対応付け、
前記制御ポリシー設定部は、
前記端末のIPアドレスおよびポート番号を指定した制御ポリシーを前記アプリケーション識別装置に設定し、
前記制御実行部は、
前記端末から受信したフローのIPアドレスおよびポート番号が、前記制御ポリシーに設定されるIPアドレスおよびポート番号であるとき、前記IPアドレスおよびポート番号と前記制御ポリシーとに基づきフローの制御を行うことを特徴とする請求項1に記載のフロー制御システム。 The terminal is a terminal that performs communication using a port number and an IP address associated with the MAC address of the terminal by NAPT (Network Address Port Translation),
The terminal identification unit is
When the policy request of the terminal is received, the terminal is identified by specifying the MAC address of the terminal from the port number of the terminal included in the policy request,
The control policy information management unit
Corresponding the IP address and port number of the terminal to the flow control policy of the terminal in the control policy information,
The control policy setting unit
Set a control policy specifying the IP address and port number of the terminal in the application identification device,
The control execution unit
When the IP address and port number of the flow received from the terminal are the IP address and port number set in the control policy, the flow is controlled based on the IP address and port number and the control policy. The flow control system according to claim 1, wherein 前記ポート番号は、
前記端末のMACアドレスにハッシュ関数を適用して計算されたハッシュ値であり、
前記端末識別部は、
前記制御ポリシー情報における端末それぞれのMACアドレスに対し前記ハッシュ関数を適用して計算したハッシュ値と、前記端末のポート番号とを照合することにより当該端末を識別する
ことを特徴とする請求項3に記載のフロー制御システム。 The port number is
A hash value calculated by applying a hash function to the MAC address of the terminal;
The terminal identification unit is
The terminal is identified by comparing the hash value calculated by applying the hash function to the MAC address of each terminal in the control policy information and the port number of the terminal. The flow control system described. 端末から受信したフローのパケットのヘッダ情報によりアプリケーション識別装置へ転送するフローを識別するパケットヘッダ識別制御装置と、前記端末のMACアドレスごとに、当該MACアドレスの端末のフローの制御ポリシーを示した制御ポリシー情報を記憶するポリシー管理装置と、前記ポリシー管理装置により設定された制御ポリシーに従い、前記端末のフローの制御を行う前記アプリケーション識別装置とを備えるフロー制御システムを用いたフロー制御方法であって、
前記パケットヘッダ識別制御装置が、
前記端末の接続要求を受信したとき、前記接続要求に含まれる前記端末のMACアドレスまたはMACアドレス相当の情報と前記端末のIPアドレスとを含むポリシー要求を前記ポリシー管理装置へ送信するステップと、
前記ポリシー管理装置が、
前記端末のポリシー要求を受信したとき、前記ポリシー要求に含まれるMACアドレスまたはMACアドレス相当の情報から当該端末を識別するステップと、
前記制御ポリシー情報における当該端末のフローの制御ポリシーに、当該端末のIPアドレスを対応付けるステップと、
前記端末のIPアドレスを指定した制御ポリシーを前記アプリケーション識別装置に設定するステップと、
前記アプリケーション識別装置が、
前記端末から受信したフローのIPアドレスが、前記制御ポリシーに設定されるIPアドレスであるとき、前記IPアドレスおよび前記制御ポリシーに基づきフローの制御を行うステップと
を含んだことを特徴とするフロー制御方法。 A packet header identification control device for identifying a flow to be transferred to an application identification device based on header information of a flow packet received from a terminal, and a control indicating a flow control policy for the terminal of the MAC address for each MAC address of the terminal A flow control method using a flow control system comprising: a policy management device that stores policy information; and the application identification device that controls the flow of the terminal according to a control policy set by the policy management device,
The packet header identification control device,
When receiving the connection request of the terminal, transmitting a policy request including the MAC address of the terminal or information corresponding to the MAC address included in the connection request and the IP address of the terminal to the policy management device;
The policy management device is
When receiving the policy request of the terminal, identifying the terminal from the MAC address included in the policy request or information corresponding to the MAC address;
Associating the IP address of the terminal with the control policy of the flow of the terminal in the control policy information;
Setting a control policy specifying the IP address of the terminal in the application identification device;
The application identification device is
And a flow control based on the IP address and the control policy when the IP address of the flow received from the terminal is an IP address set in the control policy. Method.
JP2015021824A 2015-02-06 2015-02-06 Flow control system and flow control method Active JP6243859B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015021824A JP6243859B2 (en) 2015-02-06 2015-02-06 Flow control system and flow control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015021824A JP6243859B2 (en) 2015-02-06 2015-02-06 Flow control system and flow control method

Publications (2)

Publication Number Publication Date
JP2016146516A true JP2016146516A (en) 2016-08-12
JP6243859B2 JP6243859B2 (en) 2017-12-06

Family

ID=56686542

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015021824A Active JP6243859B2 (en) 2015-02-06 2015-02-06 Flow control system and flow control method

Country Status (1)

Country Link
JP (1) JP6243859B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108011839A (en) * 2017-12-15 2018-05-08 盛科网络(苏州)有限公司 The implementation method of policy tag based on IPv4
WO2020090412A1 (en) * 2018-10-31 2020-05-07 日本電信電話株式会社 Communication system and policy control apparatus
JP2020072380A (en) * 2018-10-31 2020-05-07 日本電信電話株式会社 Communication system and policy control device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020040396A1 (en) * 2000-09-29 2002-04-04 Kddi Corporation Management device and managed device in policy based management system
JP2002374286A (en) * 2001-06-13 2002-12-26 Hitachi Ltd Communication quality control system and communication quality control method
JP2014155096A (en) * 2013-02-12 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> System and method for dynamically changing communication policy rule
JP2016058850A (en) * 2014-09-08 2016-04-21 日本電信電話株式会社 Packet header identification control apparatus, control method and control program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020040396A1 (en) * 2000-09-29 2002-04-04 Kddi Corporation Management device and managed device in policy based management system
JP2002374286A (en) * 2001-06-13 2002-12-26 Hitachi Ltd Communication quality control system and communication quality control method
JP2014155096A (en) * 2013-02-12 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> System and method for dynamically changing communication policy rule
JP2016058850A (en) * 2014-09-08 2016-04-21 日本電信電話株式会社 Packet header identification control apparatus, control method and control program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
森岡 千晴 CHIHARU MORIOKA: "キャリア名におけるポリシー適用方式の検討", 電子情報通信学会2014年総合大会講演論文集 通信2 PROCEEDINGS OF THE 2014 IEICE GENERAL CONFEREN, JPN6017041871, 4 March 2014 (2014-03-04), pages 第146頁 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108011839A (en) * 2017-12-15 2018-05-08 盛科网络(苏州)有限公司 The implementation method of policy tag based on IPv4
WO2020090412A1 (en) * 2018-10-31 2020-05-07 日本電信電話株式会社 Communication system and policy control apparatus
JP2020072380A (en) * 2018-10-31 2020-05-07 日本電信電話株式会社 Communication system and policy control device
JP2020072381A (en) * 2018-10-31 2020-05-07 日本電信電話株式会社 Communication system and policy control device
WO2020090407A1 (en) * 2018-10-31 2020-05-07 日本電信電話株式会社 Communication system and policy control device
JP7020373B2 (en) 2018-10-31 2022-02-16 日本電信電話株式会社 Communication system and policy controller
JP7020374B2 (en) 2018-10-31 2022-02-16 日本電信電話株式会社 Communication system and policy controller
US11515929B2 (en) 2018-10-31 2022-11-29 Nippon Telegraph And Telephone Corporation Communication system and policy control apparatus
US11576032B2 (en) 2018-10-31 2023-02-07 Nippon Telegraph And Telephone Corporation Communication system and policy control device

Also Published As

Publication number Publication date
JP6243859B2 (en) 2017-12-06

Similar Documents

Publication Publication Date Title
US11838203B2 (en) Multipath data transmission method and device
JP5711754B2 (en) Smart client routing
US10771475B2 (en) Techniques for exchanging control and configuration information in a network visibility system
US10931580B2 (en) Packet processing method and network device
US9350703B2 (en) Enforcement of network-wide context aware policies
US9007899B2 (en) Quality of service treatement for applications with multiple traffic classes
US20140211714A1 (en) Method and apparatus for performing policy control on data packet
US8976813B2 (en) Secure quality of service
WO2017114362A1 (en) Packet forwarding method, device and system
US20160308904A1 (en) Integrative network management method and apparatus for supplying connection between networks based on policy
JP2016522627A (en) Packet processing method and apparatus
US10348687B2 (en) Method and apparatus for using software defined networking and network function virtualization to secure residential networks
JP6243859B2 (en) Flow control system and flow control method
US20150256459A1 (en) Packet processing method and apparatus
WO2014142258A1 (en) Communication system, control device, address allocation method, and program
EP3104580A1 (en) Ipv6 address assignment method and device
US9954767B2 (en) Internet control message protocol for completing a secondary protocol transaction
WO2023116355A1 (en) Communication method and apparatus, and related devices and storage medium
CN106254576B (en) Message forwarding method and device
JP2018038002A (en) Policy management system, policy management method, and policy management device
JP6153903B2 (en) Service chaining system, service chaining policy control apparatus, and service chaining method
EP3185510B1 (en) Method for data packet inspection, related device and computer-program product
WO2018161684A1 (en) Data sending method and apparatus, and router
WO2023056784A1 (en) Data collection method, communication apparatus and communication system
JP7211409B2 (en) NODE, CONTROL SYSTEM, COMMUNICATION CONTROL METHOD AND PROGRAM

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171110

R150 Certificate of patent or registration of utility model

Ref document number: 6243859

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150