JP2017017527A - ネットワークシステム及びスイッチ - Google Patents

ネットワークシステム及びスイッチ Download PDF

Info

Publication number
JP2017017527A
JP2017017527A JP2015132375A JP2015132375A JP2017017527A JP 2017017527 A JP2017017527 A JP 2017017527A JP 2015132375 A JP2015132375 A JP 2015132375A JP 2015132375 A JP2015132375 A JP 2015132375A JP 2017017527 A JP2017017527 A JP 2017017527A
Authority
JP
Japan
Prior art keywords
filter
data
packet
switch
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015132375A
Other languages
English (en)
Inventor
隆 宮崎
Takashi Miyazaki
隆 宮崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2015132375A priority Critical patent/JP2017017527A/ja
Publication of JP2017017527A publication Critical patent/JP2017017527A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークのトラフィック量を効果的に減らす。【解決手段】データを転送するネットワークシステムであって、複数の端末に接続される複数のポートと、データの転送を制御するフィルタの機能とを有する複数のスイッチと、前記複数のスイッチと上位ネットワークとの間に接続され、データの転送を制御するフィルタの機能を有する転送装置と、を備え、前記転送装置は、前記フィルタが前記端末から送信されたデータの転送を抑制した場合、当該データを送信した端末へ制御データを送信し、前記スイッチは、前記制御データを前記端末へ転送する際、転送が抑制されたデータの情報を前記制御データから取得し、前記取得した情報に基づいて、フィルタを設定し、前記設定されたフィルタによって、前記端末から送信されたデータの転送を制御する。【選択図】図1

Description

本発明は、ネットワークシステム及びスイッチに関する。
近年、ネットワーク技術の発達によりネットワークを利用したサービスが増加し、ネットワークに接続するユーザ端末の数が増加している。このため、各企業の拠点毎に拠点ネットワークを構築し、拠点間をコア網で接続する広域なイントラネットを自ら構築し運用するケースがある。また、自営ネットワークを構築し、更にキャリア網へ接続することによってインターネットへのアクセスを可能とすることもある。このような場合、例えば、拠点内では、L2(Layer 2)スイッチに複数のユーザ端末を収容し、IP(Internet Protocol)ルータに複数のL2スイッチを収容し、IPルータをキャリア網又はコア網へ接続する。
また、セキュリティを確保するため、ネットワークにおいて拠点又は構内ネットワークから外部へのアクセスをフィルタ技術によって制限することがある。多くのL2スイッチ及びIPルータはフィルタ機能を備えており、ネットワーク管理者が設定したフィルタを、IPルータおよび複数のL2スイッチに設定をする。
一方、ネットワーク全体やネットワーク機器が消費する電力の増加が問題視されている。このため、ネットワーク全体やネットワーク機器の電力消費を抑制する省エネルギー化が期待されている。
前述した様に、IPルータ及びL2スイッチによって多段化されたネットワークにおいて、フィルタ技術によりパケットを廃棄する場合、パケットの発信元であるユーザ端末に近い装置によるパケットの廃棄が、省電力効果のために重要である。
本技術の背景技術として、特開2008−535304号公報(特許文献1)、特開2005−039591号公報(特許文献2)がある。
特許文献1には、ルータを含み、このルータにローカルな発信側ユーザ・システムにアドレスされたリターン・メッセージを監視するための機構を有する。この機構は、指定された性質のリターン・メッセージを識別するためのメッセージ・チェッカと、発信側ユーザ・システムからの以降のメッセージを侵入検出センサに一時的にルーティングするためのリルータと、を含む、データ通信ネットワークに対する攻撃を検出するための装置が記載されている。
特許文献2には、外部のネットワークからUDP(User Datagram Protocol)パケットのICMP(Internet Control Message Protocol)を使用してサーバを攻撃してくる不正アクセスを防御する不正アクセス防御装置において、外部のネットワーク側及びサーバ側から入力されるパケットの種別を判定する第1のパケット判定手段と、サーバ側から入力されるパケットがICMPと判定された場合、当該パケットの送信元・送信先IPアドレスのもとにICMPエラー回数をカウントアップしていく登録手段と、判定手段によって外部ネットワーク側から入力されるパケットがUDPと判定された場合、前記UDPパケットの送信元・送信先IPアドレスをキーとし、前記ICMPエラー回数が予め定める閾値を超えたか否かを判定する第2の判定手段と、この第2の判定手段で閾値を超えていると判定された場合、外部ネットワーク側から入力されたパケットを破棄するパケット処理部と設けた不正アクセス防御装置が記載されている。
特表2008−535304号公報 特開2005−039591号公報
RFC792,"INTERNET CONTROL MESSAGE PROTOCOL",IETF,1981年9月 RFC1812,"Requirements for IP Version 4 Routers",IETF,1995年6月
前述したネットワークにおいて、IPルータに接続された複数のL2スイッチのそれぞれにサーバからフィルタ条件を設定することができる。しかし、フィルタ条件を設定するAPI(Application Programming Interface)及びプロトコルはベンダ独自であるため、ネットワークに接続する機器が限られ、ネットワークを構築の自由度が下がる問題がある。一方、近年ではOpenFlow技術やSDN(Software−Defined Network)技術の様に、コントローラを使用することでネットワーク経路を管理サーバから任意に構築可能な技術がある。しかし、このような技術に対応した装置は一般的ではなく、かつ通常のL2スイッチより高価であるため、小規模な拠点ネットワークへの導入は困難である。
このため、多くの場合、拠点ネットワークは装置毎の廃棄フィルタ情報をオペレータの手作業で管理し、手作業で設定している。しかし、多数の装置への異なる廃棄フィルタの設定は煩雑であり、また、誤って設定する可能性がある。
このため、拠点ネットワークなどにおいて1台のIPルータの配下に複数のL2スイッチを収容した中小規模なネットワークにおいても、省電力効果を維持したまま、かつ通常のパケット中継装置にも容易に実装可能である従来プロトコルなどを利用することで、比較的容易に実装可能なパケット中継装置に自動でフィルタを設定する技術が必要である。
しかし、特許文献1に記載された技術では、不正アクセスか否かを自動的に決定するため、自動的に決定されたフィルタ条件の自動的な解除が困難である。このため、ネットワークポリシーに従ってフィルタ条件を変更する場合がある拠点ネットワークにおけるフィルタの運用管理技術には適さない。
また、特許文献2に記載された技術では、特許文献1に記載された技術と併用することによって、IPルータがパケットの転送先経路を進入検知サーバへ変更する、又は不正パケットを所定時間だけ廃棄することができる。しかし、ルータはIPネットワークの境界に設けられるため、異なるサブネット又は同一のサブネット間でのみ制御される。このため、IPルータの配下にL2スイッチを設けたネットワークにおいて、特許文献1に記載された技術及び特許文献2に記載された技術を併用した場合でも、不正パケットの送信元であるユーザ端末からIPルータまでのL2スイッチ経路において、パケット送受信に要する電力の低減及びL2スイッチに対する廃棄フィルタの自動設定は困難となる。
本発明では、従来技術では困難だった、IPルータ及び複数のL2スイッチによって構成されたネットワークにおいて、不正パケットの送信元であるユーザ端末に近いL2スイッチにてパケットを廃棄することによりネットワークのトラフィック量を効果的に減らし、かつ、廃棄フィルタを複数のL2スイッチへ設定する際のミスを低減することができるネットワークシステムを提供することを目的とする。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、データを転送するネットワークシステムであって、複数の端末に接続される複数のポートと、データの転送を制御するフィルタの機能とを有する複数のスイッチと、前記複数のスイッチと上位ネットワークとの間に接続され、データの転送を制御するフィルタの機能を有する転送装置と、を備え、前記転送装置は、前記フィルタが前記端末から送信されたデータの転送を抑制した場合、当該データを送信した端末へ制御データを送信し、前記スイッチは、前記制御データを前記端末へ転送する際、転送が抑制されたデータの情報を前記制御データから取得し、前記取得した情報に基づいて、フィルタを設定し、前記設定されたフィルタによって、前記端末から送信されたデータの転送を制御する。
本発明の代表的な形態によれば、ネットワークのトラフィック量を効果的に減らすことができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
本発明の実施例のネットワークの構成を示す図である。 IPルータの構成を示す図である。 フィルタ管理テーブルの構成の例を示す図である。 L2スイッチの構成を示す図である。 自動生成フィルタ管理テーブルの構成例を示す図である。 ICMPメッセージの形式を示す図である。 ネットワーク全体の動作の概要を示すシーケンス図である。 ネットワーク全体の動作の概要を示すシーケンス図である。 IPルータが実行する運用準備処理のフローチャートである。 L2スイッチが実行する運用準備処理のフローチャートである。 IPルータが実行するパケット受信処理のフローチャートである。 L2スイッチが実行するICMPパケット受信処理のフローチャートである。 L2スイッチが実行するICMPパケット受信処理のフローチャートである。 L2スイッチが実行する自動生成フィルタ削除処理のフローチャートである。
本発明の実施例を、図面を参照して説明する。
図1は、本発明の実施例のネットワークの構成を示す図である。
遠隔地に置かれた複数の拠点ネットワーク108が、キャリア網又はコア網101を介して接続される。拠点ネットワーク108では、IPルータ102がコア側接続回線105を介してキャリア網又はコア網101に接続される。
IPルータ102の配下には、L2スイッチ収容回線106を介して複数のL2スイッチ103が接続される。L2スイッチ103は、ユーザ端末収容回線107によって複数のユーザ端末104を収容する。
IPルータ102は、異なるIPネットワーク間又は同一IPネットワーク内でデータを中継する。以下の説明では、データの具体的な形式としてパケットを用いるが、フレームであってもよい。
IPルータ102は、IPパケットをICMP及び各種経路制御プロトコルによってIPレイヤでパケットを中継する装置であり、少なくとも、ICMPパケットを送信する機能を有せばよい。具体的には、IPルータ102は、主要な構成として、フィルタリング情報を管理するフィルタ設定部222、ICMPパケットを送信するICMP送信部224及びフィルタによる廃棄又は通過を決定するフィルタ制御部231を有する。IPルータ102の構成は、図2を用いて後述する。
本実施例において、フィルタは、IPルータ102およびL2スイッチ103において、受信したパケットを識別し、フィルタ条件として設定されたパケットに関する情報と一致するパケットを通過し、又は、廃棄する機能(フィルタリング機能)である。また、本実施例において、フィルタのうちパケットの通過を許可するフィルタを許可フィルタと表記し、フィルタのうちパケットを廃棄するフィルタを廃棄フィルタと表記する。また、許可フィルタのフィルタ条件を許可フィルタ条件、廃棄フィルタのフィルタ条件を廃棄フィルタ条件とも表記することがある。なお、フィルタ条件に一致しないパケットは、フィルタリング機能の対象外であるので、IPルータ102およびL2スイッチ103において通過する。
また、ICMPは、RFC792及びRFC1812で規定された標準プロトコルであり、通常はIPパケットの送信元端末、宛先端末及びIPレイヤでパケットを中継するIPルータが認識するプロトコルであり、インターネット・プロトコルのデータグラム処理における誤りの通知や通信に関する情報の通知などに使用される。
なお、本実施例では、ICMPを例として記述するが、IPルータ102でパケットの中継が拒絶された(廃棄された)理由がIPルータ102の廃棄フィルタ条件に一致したことであることを通知する手段と、なおかつ廃棄フィルタ条件として使用できるオリジナルパケットのデータを同時に通知できるプロトコルであれば、ICMP以外のプロトコルでもよい。
L2スイッチ103は、同一IPネットワーク内をL2レイヤでパケット(又はフレーム)を中継する装置であり、通常はICMPパケットの内容には関知しないでパケットを転送する。L2スイッチは、MAC(Media Access Control)アドレス又はIPアドレスによってパケットを中継するスイッチの機能を有せばよい。具体的には、L2スイッチ103は、主要な構成として、廃棄フィルタを自動生成する自動生成フィルタ制御部322、フィルタによる廃棄又は通過を決定するフィルタ制御部331及びICMPパケットを検出するICMP検出部332を有する。L2スイッチ103の構成は、図4を用いて後述する。
図2は、IPルータ102の構成を示す図である。
IPルータ102は、プログラムを実行するプロセッサ(CPU(Central Processing Unit))220、プロセッサ220がアクセスするメモリ210、複数のL2スイッチ収容回線106及びコア側接続回線105を収容するポート241、243を有するパケット送受信部240、及び受信したパケットを転送するか廃棄するかを決定し、転送するパケットを出力するポートを決定するパケット転送部230を有する。通常、パケット送受信部240及びパケット転送部230は、ハードウェアで構成する。
IPルータ102には、IPルータ102の運用管理を操作するためにユーザが使用する制御端末201が接続される。
プロセッサ220は、制御端末201からの制御情報を受け付ける運用制御部221、フィルタリング情報を管理し及び設定するフィルタ設定部222、及びICMPパケットを送信するICMP送信部224を有する。これら各部は、メモリ210に格納されたプログラムをプロセッサ220が実行することによって実現される。
ICMP送信部224が生成するICMPパケットは、ICMP到達不能メッセージパケットであり、その構成は、図6を用いて後述する。
フィルタ設定部222は、パケット転送部230が受信パケットをフィルタリングによって廃棄した場合に、ICMPパケットを送信するかを決定し、ICMP送信部224にICMPパケットの送信を要求するICMP送信要求部223を有する。
メモリ210は、プロセッサ220が実行するプログラム(図示省略)、及び、設定されたフィルタリング情報を保持するフィルタ管理テーブル211を格納する。フィルタ管理テーブル211の構成は、図3を用いて後述する。
パケット転送部230は、フィルタによる廃棄又は通過を決定するフィルタ制御部231を有する。フィルタ制御部231は、CAM(Content Addressable Memory)を有し、パケットの解析結果に一致するフィルタ条件を見つけ出す。
運用制御部221は、制御端末201から受け付けた制御情報をフィルタ設定部222に送信する。フィルタ設定部222は、運用制御部221から受信した制御情報に従って、フィルタ管理テーブル211にフィルタリング情報を登録し、フィルタ制御部231に通知する。
ポート241がL2スイッチ収容回線106を介してパケットを受信すると、フィルタ制御部231は、受信パケットがフィルタ条件に一致するかを判定し、許可フィルタ条件に一致するパケットの転送先を判定し、転送先に対応するポート243からパケットを送信する。一方、フィルタ制御部231は、廃棄フィルタ条件に一致するパケットを廃棄した場合、廃棄したパケットの情報をICMP送信要求部223に送信する。ICMP送信要求部223は、フィルタによって廃棄されたパケットの情報を用いて、ICMPパケットを生成する。このICMPパケットの宛先は、廃棄されたパケットの送信元である。ICMP送信要求部223が生成したICMPパケットは、パケット転送部230を介して、ポート241から送信される。
図3は、フィルタ管理テーブル211の構成例を示す図である。
フィルタ管理テーブル211は、一つのフィルタリング情報を1エントリとし、IPルータ102が登録可能な最大数のエントリを有する。フィルタ管理テーブル211の各エントリは、有効/無効情報401、フィルタ番号402、対象インタフェース番号403、ICMP通知要否情報404、フィルタ条件405及びフィルタアクション406を含む。
有効/無効情報401は、当該エントリのフィルタが機能するか無効化されているかを制御する情報である。フィルタ番号402は、当該エントリ(フィルタ)を一意に識別する番号である。対象インタフェース番号403は、フィルタリングされるパケットが入出力されるポートの識別情報である。ICMP通知要否情報404は、当該エントリのフィルタによってパケットが廃棄された場合にICMP送信部224がICMPパケットを送信するかを制御する情報である。フィルタ条件405は、当該エントリのフィルタ条件である。フィルタアクション406は、フィルタ条件に一致した場合の動作(例えば、パケットが廃棄される”Reject”、パケットの通過が許可される”Pass”など)である。許可フィルタ条件か廃棄フィルタ条件かは、フィルタアクション406の値によって決まる。例えば、フィルタアクション406が”Reject”である場合、廃棄フィルタ条件であり、フィルタアクション406が”Pass”である場合、許可フィルタ条件である。
図4は、L2スイッチ103の構成を示す図である。
L2スイッチ103は、プログラムを実行するプロセッサ(CPU)320、プロセッサ220がアクセスするメモリ310、複数のユーザ端末収容回線107及びL2スイッチ収容回線106を収容するポート341、343を有するパケット送受信部340、及び受信したパケットを転送するか廃棄するかを決定し、転送すべきパケットを出力するポートを決定するパケット転送部330を有する。通常、パケット送受信部340及びパケット転送部330は、ハードウェアで構成する。
L2スイッチ103には、L2スイッチ103の運用管理を操作するためにユーザが使用する制御端末301が接続される。
プロセッサ320は、制御端末301からの制御情報を受け付ける運用制御部321、フィルタリング情報を管理し及び設定するフィルタ設定部323、及び廃棄フィルタを自動生成する自動生成フィルタ制御部322、及び自動生成したフィルタの削除時刻を監視するフィルタ削除監視部326を有する。これら各部は、メモリ310に格納されたプログラムをプロセッサ320が実行することによって実現される。
メモリ310は、プロセッサ320が実行するプログラム(図示省略)、フィルタの自動生成要否及び削除時間を管理するフィルタ自動生成要否及び削除時間情報311、及び、自動生成したフィルタの情報を保持する自動生成フィルタ管理テーブル312を格納する。自動生成フィルタ管理テーブル312の構成は、図5を用いて後述する。
パケット転送部330は、フィルタによる廃棄又は通過を決定するフィルタ制御部331、及び受信したICMPパケットを検出するICMP検出部332を有する。
運用制御部321は、制御端末301から受け付けた制御情報を自動生成フィルタ制御部322に送信する。自動生成フィルタ制御部322は、受け付けた制御情報に含まれるフィルタ自動生成要否及び削除時間をフィルタ自動生成要否及び削除時間情報311に登録する。また、運用制御部321は、制御端末301から受け付けた制御情報をフィルタ設定部323に送信する。
パケット転送部330では、ポート341がL2スイッチ収容回線106から受信したICMPパケットがICMP検出部332に入力される。ICMP検出部332は、受信パケットを解析し、受信パケットがフィルタリングによる到達不能を表すICMPパケットであれば、ICMPパケットの複製を自動生成フィルタ制御部322に送信する。また、ICMP検出部332は、ICMPパケットを宛先に対応するポート343から送信する。
自動生成フィルタ制御部322は、受信したICMPパケットを解析して、廃棄フィルタを生成し、フィルタ設定部323に送信する。フィルタ設定部323は、生成された廃棄フィルタのフィルタリング情報を自動生成フィルタ管理テーブル312に登録し、フィルタ制御部331に通知する。
フィルタ制御部331は、ポート343がユーザ端末収容回線107を介して受信したパケットに含まれる情報であるヘッダ情報がフィルタ条件に一致するかを判定し、許可フィルタ条件に一致するパケットの転送先を判定し、転送先に対応するポート341からパケットを送信する。一方、フィルタ制御部331は、フィルタ条件に一致し、フィルタアクションが”Reject”(廃棄)である廃棄フィルタ条件に一致するパケットを廃棄する。
自動生成フィルタ制御部322は、自動的に生成されたフィルタの削除時刻を、フィルタ削除監視部326に送信する。フィルタ削除監視部326では、タイマが動作しており、フィルタの削除時刻になると自動生成フィルタ制御部322に削除対象のフィルタを通知する。自動生成フィルタ制御部322は、削除対象のフィルタの情報をフィルタ設定部323に送信する。フィルタ設定部323は、削除すべきフィルタのフィルタリング情報を自動生成フィルタ管理テーブル312から削除し、フィルタ制御部331に通知する。
図5は、自動生成フィルタ管理テーブル312の構成例を示す図である。
自動生成フィルタ管理テーブル312は、一つのフィルタリング情報を1エントリとし、L2スイッチ103で登録可能な最大数のエントリを有する。自動生成フィルタ管理テーブル312の各エントリは、有効/無効情報501、フィルタ番号502、対象インタフェース番号503、削除時刻504 、フィルタ条件505及びフィルタアクション506を含む。
有効/無効情報501は、当該エントリのフィルタが機能するか無効化されているかを制御する情報である。フィルタ番号502は、当該エントリ(フィルタ)を一意に識別する番号である。対象インタフェース番号503は、フィルタリングされるパケットが入出力されるポートの識別情報である。削除時刻504は、当該エントリのフィルタが削除される時刻である。フィルタ条件505は、当該エントリのフィルタ条件である。フィルタアクション506は、フィルタ条件に一致した場合の動作(例えば、パケットが廃棄される”Reject”、パケットの通過が許可される”Pass”など)である。
なお、削除時刻504は、タイマによりカウントされてもよい。タイマによるカウントの場合、廃棄フィルタを設定して削除されるまでの時間を監視周期で除算した値をカウント値とし、監視周期毎にカウンタを1ずつデクリメントし、最終的にカウントが0になった場合にタイムアウトとみなしてもよいが、他の方法でもよい。
図6は、ICMPメッセージパケット1200の形式を示す図である。
ICMPメッセージパケット1200は、IPヘッダ1201と、1バイトのタイプ1202、1バイトのコード1203、2バイトのチェックサム1204、4バイトのオプション1205、及びオリジナルパケットのIPヘッダ+64bitのデータグラム1206の各フィールドとによって構成される。
ICMP到達不能メッセージパケット1200は、タイプ1202が”3”であり、Destination Unreachableを表し、コード1203が”13”であり、Communication administratively prohibited by filteringを表す。データグラム1206には、当該パケットをフィルタリングしたフィルタ条件が記載される。
L2スイッチ103は、タイプ1202が”3”で、コード1203が”13”であるICMPパケットのデータグラム1206に記載されたフィルタ条件によって、パケットが廃棄されたフィルタ条件を知ることができる。
次に、図7A〜図12を参照して本実施例のネットワークの動作を説明する。
図7A及び図7Bは、ネットワーク全体において、ユーザ端末104、L2スイッチ103、IPルータ102、キャリア網又はコア網101の動作の概要を示すシーケンス図である。
まず、ネットワーク構築時、IPルータ102及びL2スイッチ103では運用準備を行う(601、602)。具体的には、IPルータ102は、制御端末201から入力されたフィルタ情報を設定する。L2スイッチ103は、制御端末301から入力されたフィルタ自動生成の要否及び自動生成したフィルタの削除時間(解除間隔、削除時刻)を設定する。運用準備時のIPルータ102が実行する運用準備処理は図8、L2スイッチ103が実行する運用準備処理は図9を用いて後述する。
以上の運用準備に続いて、運用開始後にユーザ端末104からをIPパケットが送信された場合の動作を説明する。
まず、ユーザ端末104がL2スイッチ103に対しキャリア網又はコア網101(又は、それ以降)宛てのIPパケット611を送信する。
L2スイッチ103は送信されたIPパケット611を受信して、フィルタ条件を検索する。この時点では、L2スイッチ103は、当該IPパケットと一致する廃棄フィルタが設定されていないため、受信パケット611をIPルータ102へ中継する(612)。
IPルータ102は、L2スイッチ103が中継したIPパケット611を受信する。IPルータ102は、フィルタ条件を検索し、受信パケット611が廃棄フィルタ条件と一致する場合、受信パケット611を廃棄し、ICMPパケットを送信するかの判定結果に基づいて、ICMP到達不能メッセージパケット1200を作成し、パケット611の送信元のユーザ端末104に送信する(613)。IPルータ102がユーザパケットを受信して中継するパケット受信処理(613)は、図10を用いて後述する。
その後、L2スイッチ103は、IPルータ102が送信したICMP到達不能メッセージパケット1200を受信し、受信したICMP到達不能メッセージパケット1200を解析し、解析結果に基づいて廃棄フィルタを設定し、ICMP到達不能メッセージパケット1200を中継する(614)。L2スイッチ103がICMPパケットを受信して中継するパケット受信処理(614)は、図11A及び図11B用いて後述する。
その後、L2スイッチ103は、ユーザ端末104が送信したIPパケット611を受信すると、フィルタ条件を検索し、一致する廃棄フィルタ条件に従って受信パケット611を廃棄することで、削除時刻504までの間、ユーザ端末104が送信したIPパケット611を自動生成した廃棄フィルタによって廃棄する(615)。
L2スイッチ103のフィルタ削除監視部326が、削除時刻504の到来(タイムアウト)を検知したら、L2スイッチ103は自動生成した廃棄フィルタを削除する(616)。L2スイッチ103が自動生成した廃棄フィルタを削除する自動生成フィルタ削除処理(616)は、図12A及び図12B用いて後述する。
その後、ユーザ端末104が送信したIPパケット611は、L2スイッチ103でのフィルタ条件の検索の結果、フィルタ対象外となりIPルータ102へ中継される(612)。IPルータ102がフィルタによるIPパケット611の廃棄の設定を継続している場合、IPルータ102は、フィルタ条件の検索の結果、IPパケット611を廃棄し(613)、以後の処理を繰り返し実行する。
しかし、IPルータ102がフィルタによるIPパケット611の廃棄の設定を解除している場合(617)、L2スイッチ103での削除時刻504のタイムアウト以後、L2スイッチ103及びIPルータ102はフィルタによるIPパケット611の廃棄をせず、IPパケット611はキャリア網又はコア網101へ中継される。このように、自動生成フィルタが所定時間だけ有効となるように管理することによって、IPルータ102でのフィルタ条件の変更を、下位のL2スイッチ103にも反映することができる。
以上の処理によって、パケットの発信元であるユーザ端末104に近いL2スイッチにおいてパケットを廃棄して、IPルータ102へ流れ込むパケットの量を低減し、ネットワークのトラフィック量を効果的に減らし、ネットワーク全体の消費電力を低減することができる。また、IPルータ102にて廃棄フィルタを一元管理し、複数のL2スイッチ103に対して個別に廃棄フィルタを設定する必要がなく、廃棄フィルタの設定ミスを低減することができる。
図8は、IPルータ102が実行する運用準備処理(601)のフローチャートである。
まず、IPルータ102の運用制御部221は、設定すべきフィルタ情報を、接続された制御端末201から受信する(S701)、IPルータ102に設定すべきフィルタ情報は、図3のフィルタ管理テーブル211に登録されるフィルタ番号402、対象インタフェース番号403、ICMP通知要否情報404、フィルタ条件405及びフィルタアクション406である。
次に、運用制御部221は、受信したフィルタ情報をフィルタ設定部222に送信(通知)する(S702)。
フィルタ設定部222は、受信したフィルタ情報を、フィルタ番号402、対象インタフェース番号403、ICMP通知要否情報404、フィルタ条件405及びフィルタアクション406をフィルタ管理テーブル211に登録し、有効/無効情報401を有効に設定する(S703)。
また、フィルタ設定部222は、フィルタ情報である対象インタフェース番号403、ICMP通知要否情報404、フィルタ条件405及びフィルタアクション406を、フィルタ制御部231に送信する(S704)。
なお、S701からS704の処理は、IPルータ102に設定すべきフィルタ情報の数分だけ繰り返される。
図9は、L2スイッチ103が実行する運用準備処理(602)のフローチャートである。
まず、L2スイッチ103の運用制御部321は、接続された制御端末301から制御情報を受信する(S801)。L2スイッチ103に設定される制御情報は、フィルタ自動生成の要否及び自動生成したフィルタの削除時間である。
次に、運用制御部321は、受信した制御情報を自動生成フィルタ制御部322に送信する(S802)。
自動生成フィルタ制御部322は、受信した制御情報をフィルタ自動生成要否及び削除時間情報311に登録する(S803)。
また、運用制御部321は、受信した制御情報を、フィルタ設定部323に送信する(S804)。
図10は、IPルータ102が実行するパケット受信処理(613)のフローチャートである。
まず、IPルータ102のパケット送受信部240は、IPパケット611を受信し(S901)、受信パケット611をパケット転送部230のフィルタ制御部231へ転送する(S902)。
フィルタ制御部231は、フィルタ管理テーブル211を検索(S903)し、受信パケット611のヘッダ情報と設定されているフィルタ条件405とが一致するかを判定する(S904)。その結果、受信パケット611のヘッダ情報がフィルタ条件405に一致しない場合、受信パケット611を中継先へ中継する(S912)。
一方、受信パケット611のヘッダ情報がフィルタ条件に一致する場合、フィルタ制御部231は、フィルタアクション406を判定する(S905)。その結果、フィルタアクション406が”Pass”である場合、当該パケット611の通過が許可されるので、受信パケット611を中継先へ中継する(S912)。
一方、フィルタアクション406が”Reject”である場合、当該パケット611の通過が許可されないので、受信パケット611を廃棄し(S906)、廃棄したパケットの情報をICMP送信要求部223に送信する(S907)。
ICMP送信要求部223は、フィルタ管理テーブル211を参照し、S904にて受信パケット611のヘッダ情報と一致したフィルタ条件405のICMP通知要否情報404により、廃棄されたパケット611についてICMPパケットを送信するか、つまり、ICMP送信要否を判定する(S908)。
ICMP通知要否情報404が「通知否」、つまり、ICMPパケットの送信が不要である場合、パケット受信処理を終了する。一方、ICMP通知要否情報404が「通知要」、つまり、ICMPパケットの送信が必要である場合、ICMP送信要求部223がICMP送信部224にICMP到達不能メッセージパケットの作成を要求する(S909)。
ICMP送信部224は、廃棄されたパケット611のヘッダ情報に基づいて、ICMP到達不能メッセージパケットを作成し、廃棄されたパケット611の送信元への送信をパケット送受信部240に要求する(S910)。ICMP送信部224が作成するICMPパケットは、タイプに”3”が格納され、コードに”13”が格納されており、フィルタリングによってパケットが廃棄されたことを示す。
パケット送受信部240は、作成されたICMPパケットを、廃棄されたパケット611の送信元に対応付けられたポート、つまり、S904にて受信パケット611のヘッダ情報と一致したフィルタ条件405の対象インタフェース番号403に格納されたポートから送信する(S911)。
図11A、図11Bは、L2スイッチ103が実行するパケット受信処理(614)のフローチャートである。
まず、L2スイッチ103のパケット送受信部340は、パケットを受信し(S1001)、受信したパケットをパケット転送部330へ転送する(S1002)。
パケット転送部330では、受信したパケットがICMP検出部332に入力される。ICMP検出部332は、受信パケットを解析し、受信パケットがICMPパケットであるかをIPヘッダのプロトコル番号で判定する(S1003)。その結果、受信パケットのプロトコル番号が1でなければ、受信パケットはICMPパケットではないので、パケット転送部330は当該パケットに対して通常の転送処理を行い(S1007)、ICMPパケット受信処理を終了する。
一方、受信パケットがICMPパケットであれば、ICMP検出部332は、受信したICMPパケットのタイプを判定する(S1004)。その結果、タイプが”3”でなければ、受信したICMPパケットが到達不能メッセージではないので、パケット転送部330はICMPパケットに対して通常の転送処理を行い(S1007)、ICMPパケット受信処理を終了する。
一方、タイプが”3”であれば、受信したICMPパケットが到達不能メッセージであるので、ICMP検出部332は、受信したICMPパケットのコードを判定する(S1005)。その結果、コードが”13”でなければ、パケットの到達不能の原因がフィルタリングによるものではないので、パケット転送部330はICMPパケットに対して通常の転送処理を行い(S1007)、ICMPパケット受信処理を終了する。
一方、コードが”13”であれば、フィルタリングによりパケットが到達不能となっているので、ICMP検出部332は、受信したICMPパケットを複製し、複製されたICMPパケット及びICMPパケットを受信したインタフェースを識別する受信インタフェース番号をパケット送受信部340より取得し、自動生成フィルタ制御部322に送信する(S1006)。
パケット転送部330は、S1006の後、受信したICMPパケットに対して通常の転送処理を行う(S1016)。
その後、自動生成フィルタ制御部322は、フィルタ自動生成要否及び削除時間情報311を参照し、廃棄フィルタを自動的に生成するか、つまり、廃棄フィルタ自動生成要否を判定する(S1008)。廃棄フィルタを自動的に生成しない場合、ICMPパケット受信処理を終了する。
一方、廃棄フィルタを自動的に生成する場合、自動生成フィルタ制御部322は、受信したICMPパケットに含まれる情報から廃棄フィルタの情報を自動生成する(S1009)。具体的には、自動生成フィルタ制御部322は、ICMP到達不能メッセージパケット1200のデータグラム1206に基づいて、該データグラム1206が示すパケットが廃棄されるような廃棄フィルタの情報を生成する。
自動生成フィルタ制御部322は、生成した廃棄フィルタの情報を設定するように、フィルタ設定部323へ要求する(S1010)。
フィルタ設定部323は、要求を受けた廃棄フィルタの情報をパケット転送部330のフィルタ制御部331へ設定する(S1011)。
また、自動生成フィルタ制御部322は、削除時刻を計算する(S1012)。具体的には、自動生成フィルタ制御部322は、フィルタ自動生成要否及び削除時間情報311から読み出した削除時間を現在時刻に加算し、削除時刻を決定する(S1012)。
自動生成フィルタ制御部322は、自動生成フィルタ管理テーブル312の有効/無効情報501に無効が設定されているエントリ(すなわち、空きエントリ)を検索し、生成した廃棄フィルタの情報及び計算した削除時刻を空きエントリのフィルタ条件505及び削除時刻504にそれぞれ設定して登録し、有効/無効情報501を有効に設定する(S1013)。
自動生成フィルタ制御部322は、フィルタ削除監視部326に廃棄フィルタを削除する廃棄フィルタ削除の監視を要求する(S1014)。
フィルタ削除監視部326は、計算された削除時刻に従って、廃棄フィルタ削除の監視を開始する(S1015)。
図12は、L2スイッチ103が実行する自動生成フィルタ削除処理(616)のフローチャートである。
まず、フィルタ削除監視部326は、削除時刻504の到来(タイムアウト)を自動生成フィルタ制御部322に通知する(S1101)。
自動生成フィルタ制御部322は、自動生成フィルタ管理テーブル312を参照し、全エントリにステップS1103からS1107の処理を繰り返す(S1102)。
ループ内では、自動生成フィルタ制御部322が、自動生成フィルタ管理テーブル312を参照し、有効/無効情報501を判定する(S1103)。有効/無効情報501が”無効”に設定されていれば、当該エントリは既に削除されているので、ステップS1102に戻り、次のエントリを処理する。
一方、有効/無効情報501が”有効”に設定されていれば、現在時刻と削除時刻504とを比較する(S1104)。現在時刻が削除時刻504に達していなければ、当該エントリを削除するタイミングではないので、ステップS1102に戻り、次のエントリを処理する。
一方、現在時刻が削除時刻と同じ又は超過していれば、自動生成フィルタ制御部322は、当該廃棄フィルタの削除をフィルタ設定部323に要求する(S1105)。
フィルタ設定部323は、要求された廃棄フィルタをフィルタ制御部331から削除する(S1106)。
自動生成フィルタ制御部322は、自動生成フィルタ管理テーブル312の当該エントリの有効/無効情報501を”無効”に設定することによって、当該エントリを削除する(S1107)。
全エントリ分の繰り返しが終了した後、自動生成フィルタ制御部322は、自動生成フィルタ管理テーブル312を参照して、エントリ判定を行う(S1108)。具体的は、自動生成フィルタ制御部322は、有効/無効情報501が”有効”であるエントリが登録されているかによって、フィルタ削除監視部326による監視動作を継続するかを判定する(S1108)。
自動生成フィルタ制御部322は、自動生成フィルタ管理テーブル312の有効/無効情報501が”有効”であるエントリが登録されていなければ、自動生成フィルタ管理テーブル312の全てのエントリが削除されているので、フィルタ削除監視部326による監視動作を停止し(S1109)、自動生成フィルタ削除処理を終了する。
一方、自動生成フィルタ管理テーブル312の有効/無効情報501が”有効”であるエントリが登録されていれば、フィルタ削除監視部326による監視動作を継続する(S1110)。
以上に説明したように、本発明の実施例によると、IPルータ102は、ユーザ端末104から送信されたパケットの転送をフィルタが抑制した場合、当該パケットを送信した端末へ制御パケットを送信し、L2スイッチ103は、制御パケットをユーザ端末104へ転送する際に転送が抑制されたパケットの情報を制御パケットから取得し、取得した情報に基づいてフィルタを設定し、設定されたフィルタによって、ユーザ端末から送信されたパケットの転送を制御するので、IPルータ102へ流れ込むパケットの量を低減し、ネットワークのトラフィック量を効果的に減らし、ネットワークの消費電力を低減することができる。
また、IPルータ102は、端末から送信されたパケットのヘッダ情報の一部と前記フィルタの条件とが対応(一致)する場合、当該パケットを廃棄し、制御パケットに廃棄されたパケットの情報を含めて送信し、L2スイッチ103は、ユーザ端末104から送信されたパケットのヘッダ情報の一部と設定されたフィルタの条件とが対応する場合、当該パケットを廃棄するので、複数のL2スイッチ103に対して個別に廃棄フィルタを設定する必要がなく、廃棄フィルタの設定ミスを低減することができる。
また、制御パケットにICMPパケットを用いたので、独自プロトコルを設定することなく、既存のプロトコルを用いてL2スイッチ103にフィルタを設定することができる。
また、IPルータ102は、ネットワークの管理者が操作する制御端末201に接続されており、制御端末201からの指示に基づいて、フィルタの条件を設定するので、管理者が任意に設定したフィルタ条件を、IPルータ102で集約して管理し、下位のL2スイッチに設定することができる。また、ネットワーク運営コストを低減することができる。
また、L2スイッチ103は、制御パケットから取得した情報に基づいて設定されたフィルタを削除する時刻を保持し、削除する時刻を経過すると制御パケットから取得した情報に基づいて設定されたフィルタを削除するので、IPルータ102で削除されたフィルタの情報を、L2スイッチ103に的確に反映することができる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、ICカード、SDカード、DVD等の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
101 キャリア網又はコア網
102 IPルータ
103 L2スイッチ
104 ユーザ端末
105 コア側接続回線
106 L2スイッチ収容回線
107 ユーザ端末収容回線
108 拠点ネットワーク
201、301 制御端末
311 フィルタ自動生成要否及び削除時間情報
312 自動生成フィルタ管理テーブル
322 自動フィルタ制御部
323 フィルタ設定部
332 ICMP検出部

Claims (9)

  1. データを転送するネットワークシステムであって、
    複数の端末に接続される複数のポートと、データの転送を制御するフィルタの機能とを有する複数のスイッチと、
    前記複数のスイッチと上位ネットワークとの間に接続され、データの転送を制御するフィルタの機能を有する転送装置と、を備え、
    前記転送装置は、前記端末から送信されたデータの転送を前記フィルタが抑制した場合、当該データを送信した端末へ制御データを送信し、
    前記スイッチは、
    前記制御データを前記端末へ転送する際、転送が抑制されたデータの情報を前記制御データから取得し、
    前記取得した情報に基づいて、フィルタを設定し、
    前記設定されたフィルタによって、前記端末から送信されたデータの転送を制御するネットワークシステム。
  2. 請求項1に記載のネットワークシステムであって、
    前記転送装置は、
    前記端末から送信されたデータのヘッダ情報の一部と前記フィルタの条件とが対応する場合、当該データを廃棄し、
    前記制御データに前記廃棄されたデータの情報を含めて送信し、
    前記スイッチは、前記端末から送信されたデータのヘッダ情報の一部と前記設定されたフィルタの条件とが対応する場合、当該データを廃棄するネットワークシステム。
  3. 請求項2に記載のネットワークシステムであって、
    前記制御データは、Internet Control Message Protocol(ICMP)パケットであるネットワークシステム。
  4. 請求項1に記載のネットワークシステムであって、
    前記転送装置は、
    前記ネットワークシステムの管理者が操作する制御端末に接続されており、
    前記制御端末からの指示に基づいて、フィルタの条件を設定するネットワークシステム。
  5. 請求項1に記載のネットワークシステムであって、
    前記スイッチは、
    前記制御データから取得した情報に基づいて設定されたフィルタを削除する時刻を保持し、
    前記削除する時刻を経過すると前記制御データから取得した情報に基づいて設定されたフィルタを削除するネットワークシステム。
  6. データを転送するスイッチであって、
    複数の端末に接続される複数のポートと、
    上位ネットワークと該スイッチとの間に接続され、データの転送を制御するフィルタの機能を有する転送装置に接続されるポートと、
    データの転送を制御するフィルタの機能と、
    前記フィルタの設定を制御するフィルタ制御部と、を備え、
    前記転送装置は、前記端末から送信されたデータの転送を前記フィルタが抑制した場合、当該データを送信した端末へ制御データを送信し、
    前記スイッチは、前記制御データを前記端末へ転送する際、前記制御データから転送が抑制されたデータの情報を取得し、
    前記取得した情報に基づいて、フィルタを設定し、
    前記設定されたフィルタによって、前記端末から送信されたデータの転送を制御するスイッチ。
  7. 請求項6に記載のスイッチであって、
    前記転送装置は、前記端末が送信したデータのヘッダ情報の一部と前記転送装置の前記フィルタの条件とが対応する場合に、当該データを廃棄し、前記転送装置の前記フィルタの条件と対応するデータの情報を含む制御データを送信し、
    前記スイッチは、前記端末から送信されたデータのヘッダ情報の一部と前記設定されたフィルタの条件とが一致する場合、当該データを廃棄するスイッチ。
  8. 請求項7に記載のスイッチであって、
    前記制御データは、Internet Control Message Protocol(ICMP)パケットであるスイッチ。
  9. 請求項6に記載のスイッチであって、
    前記制御データから取得した情報に基づいて設定されたフィルタを削除する時刻を保持し、
    前記削除する時刻を経過すると前記制御データから取得した情報に基づいて設定されたフィルタを削除するスイッチ。
JP2015132375A 2015-07-01 2015-07-01 ネットワークシステム及びスイッチ Pending JP2017017527A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015132375A JP2017017527A (ja) 2015-07-01 2015-07-01 ネットワークシステム及びスイッチ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015132375A JP2017017527A (ja) 2015-07-01 2015-07-01 ネットワークシステム及びスイッチ

Publications (1)

Publication Number Publication Date
JP2017017527A true JP2017017527A (ja) 2017-01-19

Family

ID=57831129

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015132375A Pending JP2017017527A (ja) 2015-07-01 2015-07-01 ネットワークシステム及びスイッチ

Country Status (1)

Country Link
JP (1) JP2017017527A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6795130B1 (ja) * 2019-07-10 2020-12-02 住友電気工業株式会社 通信システム、通信装置および通信制御方法
JP2022522260A (ja) * 2019-02-28 2022-04-15 シスコ テクノロジー,インコーポレイテッド マルチクラウド環境におけるオンデマンドフローに基づくポリシー実施のためのシステムおよび方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002268961A (ja) * 2001-03-08 2002-09-20 Toshiba Corp 監視制御装置、監視制御方法及び監視制御プログラム
JP2003273936A (ja) * 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP2005051588A (ja) * 2003-07-30 2005-02-24 Matsushita Electric Ind Co Ltd 自動フィルタリング方法、および機器
JP2006295240A (ja) * 2005-04-05 2006-10-26 Mitsubishi Electric Corp 通信装置及びアドレス変換装置並びにプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002268961A (ja) * 2001-03-08 2002-09-20 Toshiba Corp 監視制御装置、監視制御方法及び監視制御プログラム
JP2003273936A (ja) * 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP2005051588A (ja) * 2003-07-30 2005-02-24 Matsushita Electric Ind Co Ltd 自動フィルタリング方法、および機器
JP2006295240A (ja) * 2005-04-05 2006-10-26 Mitsubishi Electric Corp 通信装置及びアドレス変換装置並びにプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022522260A (ja) * 2019-02-28 2022-04-15 シスコ テクノロジー,インコーポレイテッド マルチクラウド環境におけるオンデマンドフローに基づくポリシー実施のためのシステムおよび方法
JP7355830B2 (ja) 2019-02-28 2023-10-03 シスコ テクノロジー,インコーポレイテッド マルチクラウド環境におけるオンデマンドフローに基づくポリシー実施のためのシステムおよび方法
JP6795130B1 (ja) * 2019-07-10 2020-12-02 住友電気工業株式会社 通信システム、通信装置および通信制御方法

Similar Documents

Publication Publication Date Title
US11165869B2 (en) Method and apparatus for dynamic destination address control in a computer network
US9590923B2 (en) Reliable link layer for control links between network controllers and switches
US8634437B2 (en) Extended network protocols for communicating metadata with virtual machines
US8954957B2 (en) Network traffic processing according to network traffic rule criteria and transferring network traffic metadata in a network device that includes hosted virtual machines
US8572609B2 (en) Configuring bypass functionality of a network device based on the state of one or more hosted virtual machines
US8990433B2 (en) Defining network traffic processing flows between virtual machines
KR101574167B1 (ko) 네트워크 시스템 및 경로 제어 방법
RU2562438C2 (ru) Сетевая система и способ управления сетью
RU2526719C2 (ru) Сетевая система и способ избыточности сети
EP2688255A1 (en) Network system, and policy route configuration method
JP2006262193A (ja) 制御装置、パケット転送方法およびパケット処理装置
WO2015123988A1 (zh) 拥塞控制方法、装置及设备
JP5720340B2 (ja) 制御サーバ、通信システム、制御方法およびプログラム
US20110213893A1 (en) Methods, systems, and computer program products for detecting an idle tcp connection
JP2017118438A (ja) パケット送信プログラム、情報処理装置、および、障害検出方法
RU2602333C2 (ru) Сетевая система, способ обработки пакетов и носитель записи
JP2017017527A (ja) ネットワークシステム及びスイッチ
JP2005176161A (ja) 通信制御システム
JP4677501B2 (ja) 中継装置および中継方法
JP2019169775A (ja) ネットワークシステム、制御装置、通信経路特定方法及びプログラム
JP2006340182A (ja) 通信装置、通信制御方法
JP2016225836A (ja) スイッチ装置および中継システム
JP2016218827A (ja) セッション管理装置、セッション管理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171225

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181130

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190219