JP2017147525A - 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 - Google Patents
転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 Download PDFInfo
- Publication number
- JP2017147525A JP2017147525A JP2016026488A JP2016026488A JP2017147525A JP 2017147525 A JP2017147525 A JP 2017147525A JP 2016026488 A JP2016026488 A JP 2016026488A JP 2016026488 A JP2016026488 A JP 2016026488A JP 2017147525 A JP2017147525 A JP 2017147525A
- Authority
- JP
- Japan
- Prior art keywords
- control device
- transfer
- packet
- application analysis
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置は、前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部とを有する。
【選択図】図1
Description
ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置であって、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有することを特徴とする。
ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムであって、
前記アプリケーション分析制御装置は、
ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定する分析部と、
前記分析部における制御対象フローであるか否かを示す制御対象結果を前記転送制御装置に通知する分析結果通知部と、
を有し、
前記転送制御装置は、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有することを特徴とする。
アプリケーション分析制御装置に設定するユーザポリシ及び転送制御装置に設定する転送ポリシを管理する管理装置と、前記管理装置により設定されたユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、前記管理装置により設定された転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムであって、
前記アプリケーション分析制御装置は、
ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定する分析部と、
前記分析部における制御対象フローであるか否かを示す制御対象結果を前記管理装置に通知する分析結果通知部と、
を有し、
前記管理装置は、
前記アプリケーション分析制御装置から制御対象結果を受信し、受信した制御対象結果を前記転送制御装置に転送する分析結果転送部を有し、
前記転送制御装置は、
前記管理装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記管理装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有することを特徴とする。
ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置における転送制御方法であって、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記アプリケーション分析制御装置から制御対象結果が受信されるまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
を有することを特徴とする。
ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおけるアプリケーション分析制御方法であって、
前記アプリケーション分析制御装置が、ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定するステップと、
前記アプリケーション分析制御装置が、制御対象フローであるか否かを示す制御対象結果を前記転送制御装置に通知するステップと、
前記転送制御装置が、前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記転送制御装置が、前記アプリケーション分析制御装置から制御対象結果が受信されるまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記転送制御装置が、前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
を有することを特徴とする。
アプリケーション分析制御装置に設定するユーザポリシ及び転送制御装置に設定する転送ポリシを管理する管理装置と、前記管理装置により設定されたユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、前記管理装置により設定された転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおけるアプリケーション分析制御方法であって、
前記アプリケーション分析制御装置が、ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定するステップと、
前記アプリケーション分析制御装置が、制御対象フローであるか否かを示す制御対象結果を前記管理装置に通知するステップと、
前記管理装置が、前記アプリケーション分析制御装置から制御対象結果を受信し、受信した制御対象結果を前記転送制御装置に転送するステップと、
前記転送制御装置が、前記管理装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記転送制御装置が、前記管理装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記転送制御装置が、前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
を有することを特徴とする。
図1に、本発明の実施例1に係るアプリケーション分析制御システムの構成例を示す。図1には、管理装置がない場合のネットワーク構成が示されている。アプリケーション分析制御システムは、転送制御装置10と、アプリケーション分析制御装置20とを有する。
次に、装置間の処理フローについて説明する。図6に、本発明の実施例1に係るアプリケーション分析制御方法のシーケンス図を示す。本実施例では、同一の転送制御装置10から上り方向及び下り方向のトラヒックをアプリケーション分析制御装置20へ転送する。
図7に、本発明の実施例2に係るアプリケーション分析制御システムの構成例を示す。図7には、管理装置がある場合のネットワーク構成が示されている。アプリケーション分析制御システムは、転送制御装置10と、アプリケーション分析制御装置20と、管理装置30とを有する。
図12に、本発明の実施例3に係るアプリケーション分析制御システムの構成例を示す。図12には、管理装置があり、かつ中継装置がある場合のネットワーク構成が示されている。アプリケーション分析制御システムは、転送制御装置10と、アプリケーション分析制御装置20と、管理装置30と、中継装置40とを有する。
図16に、本発明の実施例3に係る中継装置40の機能ブロック図を示す。中継装置40は、パケットヘッダ識別部401を具備している。アプリケーション分析制御装置20からパケットヘッダ識別部401へフローが入力されると、パケットヘッダ識別部401は、中継転送ポリシに基づき、転送先の転送制御装置へ送信する。転送制御装置10から入力されるフローは透過し、アプリケーション分析制御装置20へ送信する。
以上のように、本発明の実施例では、制御対象フローか否かを判定後は、転送制御装置から制御対象フローのみをアプリケーション分析制御装置へ転送して制御し、制御対象外フローはアプリケーション分析制御装置を経由せず転送制御装置から本来の宛先へ転送することにより、アプリケーション分析制御装置のフロー識別処理及び転送処理を削減することができる。
101 パケットヘッダ識別機能部
103 宛先制御機能部
105 分析結果受信部
111 パケットヘッダ識別部
113 パケットコピー部
20 アプリケーション分析制御装置
201 分析制御機能部
211 フロー識別部
213 分析部
215 分析結果通知部
217 制御部
30 管理装置
301 管理機能部
311 ポリシ設定部
313 分析結果転送部
40 中継装置
401 パケットヘッダ識別部
Claims (8)
- ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置であって、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有する転送制御装置。 - 前記パケットヘッダ識別機能部は、前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信した場合、制御対象フローに対応するパケットを前記アプリケーション分析制御装置に転送し、制御対象外フローに対応するパケットを前記宛先制御機能部に転送する、請求項1に記載の転送制御装置。
- ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムであって、
前記アプリケーション分析制御装置は、
ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定する分析部と、
前記分析部における制御対象フローであるか否かを示す制御対象結果を前記転送制御装置に通知する分析結果通知部と、
を有し、
前記転送制御装置は、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記アプリケーション分析制御装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有するアプリケーション分析制御システム。 - アプリケーション分析制御装置に設定するユーザポリシ及び転送制御装置に設定する転送ポリシを管理する管理装置と、前記管理装置により設定されたユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、前記管理装置により設定された転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムであって、
前記アプリケーション分析制御装置は、
ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定する分析部と、
前記分析部における制御対象フローであるか否かを示す制御対象結果を前記管理装置に通知する分析結果通知部と、
を有し、
前記管理装置は、
前記アプリケーション分析制御装置から制御対象結果を受信し、受信した制御対象結果を前記転送制御装置に転送する分析結果転送部を有し、
前記転送制御装置は、
前記管理装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信する分析結果受信部と、
前記分析結果受信部が前記管理装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するパケットヘッダ識別機能部と、
前記パケットの宛先アドレスに基づいて前記パケットを転送する宛先制御機能部と、
を有するアプリケーション分析制御システム。 - 前記管理装置は、ネットワークトポロジ情報と、中継装置に設定する中継転送ポリシとを更に管理し、
前記管理装置の前記分析結果転送部は、前記ネットワークトポロジ情報を参照して、制御対象結果の制御対象フローが経由する中継装置に中継転送ポリシの設定を更に指示する、請求項4に記載のアプリケーション分析制御システム。 - ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置に、転送ポリシに従って、受信したパケットを転送する転送制御装置における転送制御方法であって、
前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記アプリケーション分析制御装置から制御対象結果が受信されるまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
を有する転送制御方法。 - ユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおけるアプリケーション分析制御方法であって、
前記アプリケーション分析制御装置が、ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定するステップと、
前記アプリケーション分析制御装置が、制御対象フローであるか否かを示す制御対象結果を前記転送制御装置に通知するステップと、
前記転送制御装置が、前記アプリケーション分析制御装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記転送制御装置が、前記アプリケーション分析制御装置から制御対象結果が受信されるまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記転送制御装置が、前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
を有するアプリケーション分析制御方法。 - アプリケーション分析制御装置に設定するユーザポリシ及び転送制御装置に設定する転送ポリシを管理する管理装置と、前記管理装置により設定されたユーザポリシに基づき制御対象フローに対して制御を行うアプリケーション分析制御装置と、前記管理装置により設定された転送ポリシに従って、受信したパケットをアプリケーション分析制御装置に転送する転送制御装置とを有するアプリケーション分析制御システムにおけるアプリケーション分析制御方法であって、
前記アプリケーション分析制御装置が、ユーザポリシに基づき、転送制御装置から転送されたパケットのフローが制御対象フローであるか否かを判定するステップと、
前記アプリケーション分析制御装置が、制御対象フローであるか否かを示す制御対象結果を前記管理装置に通知するステップと、
前記管理装置が、前記アプリケーション分析制御装置から制御対象結果を受信し、受信した制御対象結果を前記転送制御装置に転送するステップと、
前記転送制御装置が、前記管理装置から、受信したパケットのフローが制御対象フローであるか否かを示す制御対象結果を受信するステップと、
前記転送制御装置が、前記管理装置から制御対象結果を受信するまで、前記パケットをコピーし、転送ポリシに従って、コピーされたパケットを前記アプリケーション分析制御装置に転送するステップと、
前記転送制御装置が、前記パケットの宛先アドレスに基づいて前記パケットを転送するステップと、
を有するアプリケーション分析制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016026488A JP6499098B2 (ja) | 2016-02-16 | 2016-02-16 | 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016026488A JP6499098B2 (ja) | 2016-02-16 | 2016-02-16 | 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017147525A true JP2017147525A (ja) | 2017-08-24 |
JP6499098B2 JP6499098B2 (ja) | 2019-04-10 |
Family
ID=59683307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016026488A Active JP6499098B2 (ja) | 2016-02-16 | 2016-02-16 | 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6499098B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024171255A1 (ja) * | 2023-02-13 | 2024-08-22 | 三菱電機株式会社 | 中継装置、通信システム、制御回路、記憶媒体および中継方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006164038A (ja) * | 2004-12-09 | 2006-06-22 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置 |
JP2010283516A (ja) * | 2009-06-03 | 2010-12-16 | Nec Infrontia Corp | サービス停止攻撃検出システム、ネットワーク中継装置、サービス停止攻撃防御方法 |
JP2011188276A (ja) * | 2010-03-09 | 2011-09-22 | Hitachi Ltd | トラヒック観測システム |
WO2015194604A1 (ja) * | 2014-06-18 | 2015-12-23 | 日本電信電話株式会社 | ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム |
-
2016
- 2016-02-16 JP JP2016026488A patent/JP6499098B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006164038A (ja) * | 2004-12-09 | 2006-06-22 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置 |
JP2010283516A (ja) * | 2009-06-03 | 2010-12-16 | Nec Infrontia Corp | サービス停止攻撃検出システム、ネットワーク中継装置、サービス停止攻撃防御方法 |
JP2011188276A (ja) * | 2010-03-09 | 2011-09-22 | Hitachi Ltd | トラヒック観測システム |
WO2015194604A1 (ja) * | 2014-06-18 | 2015-12-23 | 日本電信電話株式会社 | ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024171255A1 (ja) * | 2023-02-13 | 2024-08-22 | 三菱電機株式会社 | 中継装置、通信システム、制御回路、記憶媒体および中継方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6499098B2 (ja) | 2019-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10284669B2 (en) | Transparent middlebox graceful entry and exit | |
CN107241186B (zh) | 网络设备和用于网络通信的方法 | |
US9264400B1 (en) | Software defined networking pipe for network traffic inspection | |
EP3193477B1 (en) | Data plane learning of bi-directional service chains | |
US20230179523A1 (en) | Packet processing method and apparatus, and related device | |
US7990847B1 (en) | Method and system for managing servers in a server cluster | |
EP2944065B1 (en) | Rule swapping in a packet network | |
US20190075049A1 (en) | Determining Direction of Network Sessions | |
CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
JP2007184799A (ja) | パケット通信装置 | |
KR20160042441A (ko) | 애플리케이션-인식 네트워크 관리 | |
CN113364804B (zh) | 一种流量数据的处理方法和装置 | |
CN102065017B (zh) | 一种报文处理方法及装置 | |
CN107566298B (zh) | 一种生成表项的方法和设备 | |
JP6499098B2 (ja) | 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 | |
US9847927B2 (en) | Information processing device, method, and medium | |
JP2017046022A (ja) | 通信制御方法、通信システム及び制御装置 | |
US20170322862A1 (en) | Information processing apparatus, method, and medium | |
JP2020017826A (ja) | 振分装置、通信システムおよび振分方法 | |
JP4677501B2 (ja) | 中継装置および中継方法 | |
JP6623702B2 (ja) | ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。 | |
JP2015162691A (ja) | ポリシー制御システム、および、ポリシー制御プログラム | |
WO2016047088A1 (ja) | ゲートウェイ装置、セッション管理方法、およびセッション管理プログラム記録媒体 | |
JP6184381B2 (ja) | 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段 | |
US8660143B2 (en) | Data packet interception system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171218 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181022 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181030 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190312 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190314 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6499098 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |