JP2018142796A - Routing control system and routing control method - Google Patents
Routing control system and routing control method Download PDFInfo
- Publication number
- JP2018142796A JP2018142796A JP2017034910A JP2017034910A JP2018142796A JP 2018142796 A JP2018142796 A JP 2018142796A JP 2017034910 A JP2017034910 A JP 2017034910A JP 2017034910 A JP2017034910 A JP 2017034910A JP 2018142796 A JP2018142796 A JP 2018142796A
- Authority
- JP
- Japan
- Prior art keywords
- control device
- transfer
- application identification
- packet
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、経路制御システム及び経路制御方法に関する。 The present invention relates to a path control system and a path control method.
アプリケーションを意識したサービスの提供や、プロビジョニングの為の詳細なネットワーク状況の把握を目的として、IPパケットのパケットヘッダ及びペイロード部分を分析してパケットフローのアプリケーションを識別し、フロー制御を行うアプリケーション識別制御装置の導入が進んでいる。アプリケーション識別制御装置として、例えば、L7分析によりアプリケーション検知を実現するアプリケーション識別機能と、5tupleベースのフロー制御を実現するパケットヘッダ識別制御機能の両方を具備するDPI(Deep Packet Inspection)装置等がある。アプリケーションの識別は、双方向のフロー情報から行われるため、アプリケーション識別制御装置には、双方向のフローが入力される必要がある。 Application identification control that performs flow control by identifying packet flow applications by analyzing the packet header and payload part of IP packets for the purpose of providing application-aware services and grasping detailed network conditions for provisioning The introduction of equipment is progressing. Examples of the application identification control device include a DPI (Deep Packet Inspection) device having both an application identification function that realizes application detection by L7 analysis and a packet header identification control function that realizes 5-tuple-based flow control. Since application identification is performed from bidirectional flow information, a bidirectional flow needs to be input to the application identification control device.
アプリケーション識別制御装置は、管理装置から指示されたユーザポリシに基づいて、入力されたフローに対してアプリケーション及び5tuple情報で識別を行い、ユーザポリシの条件に合致したフローに対して制御を行い、条件に合致しないフローに対しては制御を行わない。制御の内容としては、パケット単位またはバイト単位のカウント、遮断、最大帯域制限、QoSクラスリマーク等が挙げられる。 Based on the user policy instructed from the management device, the application identification control device identifies the input flow with the application and 5 tuple information, controls the flow that matches the user policy conditions, Control is not performed for flows that do not match. The contents of the control include packet unit or byte unit count, blocking, maximum bandwidth limitation, QoS class remark, and the like.
図1に示されるように、アプリケーション識別制御装置は、エッジルータ(転送制御装置)とゲートウェイルータ(GWR)との間のキャリア網にインラインに配置されるのが一般的である。しかし、アプリケーション識別制御装置によるL7分析は、5tuple識別と比較して高コストであることから、NGN(Next Generation Network)のような大規模ネットワークの場合に、全ての回線にアプリケーション識別制御装置を設置すると、高コストになってしまう。 As shown in FIG. 1, the application identification control device is generally arranged inline in a carrier network between an edge router (transfer control device) and a gateway router (GWR). However, since the L7 analysis by the application identification control device is more expensive than the 5-tuple identification, the application identification control device is installed on all lines in the case of a large-scale network such as NGN (Next Generation Network). Then, it becomes high cost.
また、インラインで配置されると、アプリケーション識別制御装置を利用する所定のサービス(例えば、特定の動画配信サービスやSNS(Social Networking Service)等)を契約しているユーザのフローだけでなく、契約ユーザ以外のフローについても、アプリケーション識別制御装置へ転送される。そのため、アプリケーション識別制御装置では、全てのフローに対し、契約ユーザのフローであるかどうか識別する処理が必要となり、アプリケーション識別制御装置の処理負荷が増大してしまう。 In addition, when arranged inline, not only the flow of a user who subscribes to a predetermined service (for example, a specific video distribution service or SNS (Social Networking Service)) using the application identification control device, but also a contracted user Other flows are also transferred to the application identification control device. Therefore, in the application identification control device, it is necessary to perform processing for identifying whether or not the flow is a contract user flow for all flows, and the processing load on the application identification control device increases.
本発明は、上記の点に鑑みてなされたものであって、パケットに関する制御を効率化することを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to improve the efficiency of control regarding packets.
そこで上記課題を解決するため、複数の転送制御装置と、前記転送制御装置によって転送されるパケットについて所定の制御を行うアプリケーション識別制御装置とを含む経路制御システムにおいて、前記転送制御装置は、受信パケットのうち、設定された条件に合致するパケットを、前記複数の転送制御装置に対して共通の前記アプリケーション識別制御装置へ転送する。 Therefore, in order to solve the above problem, in a routing control system including a plurality of transfer control devices and an application identification control device that performs predetermined control on the packets transferred by the transfer control device, the transfer control device is configured to receive packets Among them, the packet that matches the set condition is transferred to the application identification control device common to the plurality of transfer control devices.
パケットに関する制御を効率化することができる。 The control regarding the packet can be made efficient.
以下、図面に基づいて本発明の実施の形態を説明する。図2は、第1の実施の形態における経路制御システムの構成例を示す図である。図2において、キャリア網N1は、転送制御装置10a及び10b等の複数の転送制御装置10、1以上のGWR20、1以上のアプリケーション識別制御装置30、及び管理装置40等を含む。なお、図中において、アプリケーション識別制御装置30及びGRW20は、それぞれ1つしか示されていないが、複数のアプリケーション識別制御装置30及びGRW20キャリア網N1に配置されてもよい。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 2 is a diagram illustrating a configuration example of the path control system according to the first embodiment. 2, the carrier network N1 includes a plurality of
各転送制御装置10は、いずれかのアプリケーション識別制御装置30とトンネルで接続される。図2において、転送制御装置10a及び10bは、共通のアプリケーション識別制御装置30に接続される。すなわち、本実施の形態において、1つのアプリケーション識別制御装置30は、複数の転送制御装置10によって共用される。GWR20は、1つ以上のアプリケーション識別制御装置30とトンネルで接続される。
Each
転送制御装置10は、ユーザ端末を収容するエッジルータである。転送制御装置10は、管理装置40から設定される転送ポリシに基づいて、契約ユーザの上り方向フロー(ユーザ端末からサーバXへ転送されるフロー)のみを、転送制御装置10からアプリケーション識別制御装置30へトンネルで転送する。すなわち、本実施の形態において、ユーザ端末のユーザは、契約ユーザと非契約ユーザとに分類される。契約ユーザとは、アプリケーション識別制御装置を利用する所定のサービスを契約しているユーザをいう。非契約ユーザは、契約ユーザに該当しないユーザをいう。
The
GWR20は、ISP網N2に接続されるゲートウェイルータである。GWR20は、管理装置40から設定される転送ポリシに基づいて、契約ユーザの下り方向フロー(サーバXからユーザ端末へ転送されるフロー)のみを、アプリケーション識別制御装置30へトンネルで転送する。
The GWR 20 is a gateway router connected to the ISP network N2. Based on the transfer policy set by the
アプリケーション識別制御装置30は、ユーザポリシに基づいて、入力されたフローの識別及び制御を行い、双方向フローからアプリケーション識別を行う。その後、パケットヘッダの宛先アドレスに基づいて、本来の宛先へパケットを転送する。
The application
図3は、第1の実施の形態における各装置のハードウェア構成例を示す図である。図2の各装置(転送制御装置10、GWR20、アプリケーション識別制御装置30、管理装置40)は、それぞれバスBで相互に接続されている補助記憶装置701、メモリ装置702、CPU703、及びインタフェース装置704等を有する。
FIG. 3 is a diagram illustrating a hardware configuration example of each apparatus according to the first embodiment. Each of the devices (
各装置での処理を実現するプログラムは、補助記憶装置701にインストールされる。補助記憶装置701は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。メモリ装置702は、プログラムの起動指示があった場合に、補助記憶装置701からプログラムを読み出して格納する。CPU703は、メモリ装置702に格納されたプログラムに従って各装置に係る機能を実行する。インタフェース装置704は、ネットワークに接続するためのインタフェースとして用いられる。
A program for realizing processing in each device is installed in the
図4は、第1の実施の形態における管理装置40の機能構成例を示す図である。図4において、管理装置40は、入出力部41及び制御部42等を有する。これら各部は、管理装置40にインストールされた1以上のプログラムが、管理装置40のCPUに実行させる処理により実現される。管理装置40は、また、記憶部43を利用する。記憶部43は、例えば、管理装置40の補助記憶装置等を用いて実現可能である。
FIG. 4 is a diagram illustrating a functional configuration example of the
入出力部41は、転送制御装置10、アプリケーション識別制御装置30、GWR20との間での各種データの送受信を行う。
The input / output unit 41 transmits / receives various data to / from the
記憶部43には、契約ユーザ毎に、ユーザ識別情報、ユーザポリシ、転送制御装置10に設定する転送ポリシ(以下、「転送制御装置用転送ポリシ」という。)、GWR20に設定する転送ポリシ(以下、「GWR用転送ポリシ」という。)が予め記憶されている。転送ポリシは、アプリケーション識別制御装置30への転送対象とされるパケットの5tuple情報と転送先のアプリケーション識別制御装置30の識別情報(アプリケーション識別制御装置情報)を有しており、転送制御装置用転送ポリシやGWR用転送ポリシは双方向フローを同一のアプリケーション識別制御装置30へ転送するために、同一のアプリケーション識別制御装置情報が登録されている。
The
記憶部43には、また、装置対応情報テーブル、アドレス空間テーブル及びISP−GWR情報対応テーブルが予め記憶されている。装置対応情報テーブルには、トンネル接続されている転送制御装置10とアプリケーション識別制御装置30との対応情報が登録されている。アドレス空間テーブルには、ユーザ端末に払い出されるアドレス帯ごとに、対応するISP情報(各ISPに対応するGWR20の識別情報(以下、「GWR情報」という。))が登録されている。ISP−GWR情報対応テーブルには、各ISPへ転送されるトラヒックが通過するGWR情報が記憶されている。1つのISPに対応するGWR20は1つ以上である。
The
制御部42は、転送制御装置10から送信される、いずれかのユーザ端末の通信開始情報が入出力部41によって受信されると、当該ユーザ端末を収容する(通信開始情報の送信元の)転送制御装置10に対して転送制御装置用転送ポリシを、GWR20に対してGWR用転送ポリシを、アプリケーション識別制御装置30に対してユーザポリシの設定を指示する。具体的には、制御部42は、装置対応情報テーブルを参照して、通信開始情報の送信元の転送制御装置10の識別情報である転送制御装置情報に基づいて、当該転送制御装置10のトンネル接続先のアプリケーション識別制御装置30のアプリケーション識別制御装置情報を取得する。また、制御部42は、通信開始情報に含まれているユーザ識別情報に対応する転送制御装置用転送ポリシ、GWR用転送ポリシ及びユーザポリシを記憶部43から取得する。また、制御部42は、アドレス空間テーブルを参照し、通信開始情報に含まれているユーザ端末のIPアドレスからユーザが契約しているISP情報を取得する。制御部42は、取得した契約ISP情報から、ISP−GWR情報対応テーブルを参照し、GWR情報を取得する。制御部42は、通信開始情報の送信元の転送制御装置10に対して、当該ユーザに対応する転送制御装置用転送ポリシの設定指示を行い、取得されたGWR情報に係るGWR20に対して当該ユーザに対応するGWR用転送ポリシの設定指示を行う。制御部42は、また、取得されたアプリケーション識別制御装置情報に係るアプリケーション識別制御装置30に対して、当該ユーザに対応するユーザポリシの設定指示を行う。
When the communication start information of any user terminal transmitted from the
図5は、第1の実施の形態における転送制御装置10の機能構成例を示す図である。図5において、転送制御装置10は、入出力部11、制御部12、パケットヘッダ識別部13及び宛先制御部14等を有する。これら各部は、転送制御装置10にインストールされた1以上のプログラムが、転送制御装置10のCPUに実行させる処理により実現される。転送制御装置10は、また、記憶部15を利用する。記憶部15は、例えば、転送制御装置10の補助記憶装置を用いて実現可能である。
FIG. 5 is a diagram illustrating a functional configuration example of the
入出力部11は、ユーザ端末、GWR20、及び管理装置40との間での各種データの送受信を行う。
The input /
記憶部15には、フローテーブル及びルーティングテーブルが記憶される。フローテーブルは、転送ポリシに基づいた転送対象フローの5tuple情報、転送先アプリケーション識別制御情報との組からなる。ルーティングテーブルは、宛先制御部14が通常のルーティングを行う際に参照される情報である。
The
制御部12は、入出力部11を介して、ユーザ端末がネットワークに接続して通信を開始したことを検知すると、管理装置40へ通信開始情報を送信する。通信開始情報には、ユーザ端末のIPアドレス及びユーザ識別情報等が含まれる。ユーザ識別情報は、例えば、VLAN情報、端末識別情報、IMSI番号、回線情報、当該転送制御装置情報である。制御部12は、管理装置40から、転送制御装置用転送ポリシの設定指示について、入出力部11を介して受信すると、当該転送制御装置用転送ポリシを記憶部15に記憶されているフローテーブルへ新規エントリとして追加する。
When the
パケットヘッダ識別部13は、入出力部11によってパケットが受信されると、フローテーブルを参照し、当該パケットが転送対象フローに合致した場合は、当該パケットをカプセル化し、フローテーブルに登録されているアプリケーション識別制御装置30へ転送する。転送対象フローに合致しないパケットは、宛先制御部14によって本来の宛先に転送される。
When a packet is received by the input /
宛先制御部14は、従来のルータ機能であり、記憶部15に記憶されているルーティングテーブルを参照し、パケットヘッダの宛先アドレスに基づいてパケットを転送する。
The
図6は、第1の実施の形態におけるアプリケーション識別制御装置30の機能構成例を示す図である。図6において、アプリケーション識別制御装置30は、入出力部31、制御部32、デカプセル化部33、アプリケーション識別制御部34及び宛先制御部35等を有する。これら各部は、アプリケーション識別制御装置30にインストールされた1以上のプログラムが、アプリケーション識別制御装置30のCPUに実行させる処理により実現される。アプリケーション識別制御装置30は、また、記憶部36を利用する。記憶部36は、例えば、アプリケーション識別制御装置30の補助記憶装置を用いて実現可能である。
FIG. 6 is a diagram illustrating a functional configuration example of the application
入出力部31は、転送制御装置10、GWR20、管理装置40との間で各種データの送受信を行う。
The input /
記憶部36には、ユーザポリシ及びルーティングテーブルが記憶される。
The
制御部32は、ユーザポリシの設定指示について、入出力部31を介して管理装置40から受信すると、当該ユーザポリシを記憶部36に記憶する。
When receiving a user policy setting instruction from the
デカプセル化部33は、入出力部31によって受信されたパケットについてデカプセル化を行う。
The
アプリケーション識別制御部34は、記憶部36に記憶されているユーザポリシに基づいて、デカプセル化されたパケットに対してアプリケーション及び5tuple情報で識別を行い、ユーザポリシの条件に合致したフローを検出すると制御を行う。アプリケーション識別制御部34は、条件に合致しないパケットに対しては制御を行わない。
Based on the user policy stored in the
宛先制御部35は、パケットヘッダの宛先アドレスに基づいて、本来の宛先にパケットを転送する。
The
図7は、第1の実施の形態におけるGWR20の機能構成例を示す図である。図7において、GWR20は、入出力部21、制御部22、パケットヘッダ識別部23及び宛先制御部24等を有する。これら各部は、GWR20にインストールされた1以上のプログラムが、GWR20のCPUに実行させる処理により実現される。GWR20は、また、記憶部25を利用する。記憶部25は、例えば、GWR20の補助記憶装置を用いて実現可能である。
FIG. 7 is a diagram illustrating a functional configuration example of the
入出力部21は、アプリケーション識別制御装置30、管理装置40との間での各種データの送受信を行う。
The input /
記憶部25には、フローテーブル、ルーティングテーブルが記憶される。フローテーブルは、転送ポリシに基づいた転送対象フローの5tuple情報、転送先アプリケーション識別制御装置情報との組からなる。
The
制御部22は、GWR用転送ポリシの設定指示を管理装置40から入出力部21を介して受信すると、当該GWR用転送ポリシを、新規エントリとしてフローテーブルへ追加する。
When receiving the GWR transfer policy setting instruction from the
パケットヘッダ識別部23は、ISP網から送信されたパケットが、入出力部21によって受信されると、フローテーブルを参照し、当該パケットが転送対象フローに合致した場合は、当該パケットをカプセル化し、フローテーブルに登録されているアプリケーション識別制御装置30へ転送する。転送対象フローに合致しないパケットは、宛先制御部24によって、本来の宛先に転送される。
When a packet transmitted from the ISP network is received by the input /
宛先制御部24は、転送対象フローに合致しないパケット、又はISP網内から送信されたパケットについて、記憶部25が保持するルーティングテーブルを参照し、パケットヘッダの宛先アドレスに基づいて転送を行う。
The
以下、第1の実施の形態において実行される処理手順について説明する。図8は、第1の実施の形態において管理装置40が実行する処理手順の一例を説明するためのフローチャートである。
Hereinafter, a processing procedure executed in the first embodiment will be described. FIG. 8 is a flowchart for explaining an example of a processing procedure executed by the
ユーザ端末の通信の開始を検知したいずれかの転送制御装置10から送信される、当該ユーザ端末に係るIPアドレス及びユーザ識別情報等を含む通信開始情報が、入出力部41によって受信されると(S101でYes)、制御部42は、当該通信開始情報の送信元の転送制御装置情報に対応付けられて装置対応情報テーブルに記憶されているアプリケーション識別制御装置情報を取得する(S102)。
When the input / output unit 41 receives communication start information transmitted from any of the
図9は、装置対応情報テーブルの構成例を示す図である。図9に示されるように、装置対応情報テーブルには、転送制御装置10の転送制御装置情報と、当該転送制御装置10と相互にトンネル接続されるアプリケーション識別制御装置30のアプリケーション識別制御装置情報とが対応付けられて記憶されている。なお、本実施の形態では、1つのアプリケーション識別制御装置30に対して複数の転送制御装置10がトンネル接続可能である。したがって、装置対応情報テーブルでは、1つのアプリケーション識別制御装置情報に対して複数の転送制御装置情報が対応付けられている。
FIG. 9 is a diagram illustrating a configuration example of the device correspondence information table. As shown in FIG. 9, the device correspondence information table includes the transfer control device information of the
続いて、制御部42は、記憶部43に契約ユーザごとに記憶されている転送制御装置用転送ポリシ、GWR用転送ポリシ及びユーザポリシの中から、通信開始情報のユーザ識別情報に対応付けられている転送制御装置用転送ポリシ、GWR用転送ポリシ及びユーザポリシを取得する(S103)。
Subsequently, the
転送制御装置用転送ポリシ、GWR用転送ポリシ及びユーザポリシが取得されない場合(S104でNo)、ステップS105以降は実行されない。なお、転送制御装置用転送ポリシ、GWR用転送ポリシ及びユーザポリシは、契約ユーザに関してのみ記憶されている。したがって、通信開始情報に係るユーザが非契約ユーザの場合、転送制御装置用転送ポリシ、GWR用転送ポリシ及びユーザポリシは、取得されない。 When the transfer control device transfer policy, the GWR transfer policy, and the user policy are not acquired (No in S104), Step S105 and the subsequent steps are not executed. The transfer control device transfer policy, the GWR transfer policy, and the user policy are stored only for contract users. Therefore, when the user related to the communication start information is a non-contract user, the transfer control device transfer policy, the GWR transfer policy, and the user policy are not acquired.
転送制御装置用転送ポリシ、GWR用転送ポリシ及びユーザポリシが取得された場合(S104でYes)、制御部42は、通信開始情報に含まれているIPアドレスに対応付けられてアドレス空間テーブルに記憶されているGWR情報を取得する(S105)。
When the transfer policy for transfer control device, the transfer policy for GWR, and the user policy are acquired (Yes in S104), the
図10は、アドレス空間テーブルの構成例を示す図である。図10に示されるように、アドレス空間テーブルには、ユーザ端末に払いだされるアドレス帯を示すアドレス空間情報ごとに、GWR情報が記憶されている。したがって、ステップS105では、通信開始情報に含まれているIPアドレスを含むアドレス空間情報に対応するGWR情報が取得される。 FIG. 10 is a diagram illustrating a configuration example of the address space table. As shown in FIG. 10, GWR information is stored in the address space table for each address space information indicating an address band paid out to the user terminal. Accordingly, in step S105, GWR information corresponding to address space information including the IP address included in the communication start information is acquired.
なお、記憶部43には、契約ISP情報がユーザ毎に予め記憶されていてもよい。この場合には、制御部42は、アドレス空間テーブルの代わりに、図11に示されるようなISP−GWR情報対応テーブルを参照して、ユーザの契約ISP情報に対応するGWR情報を取得してもよい。
Note that the contract ISP information may be stored in advance in the
続いて、制御部42は、通信開始情報の送信元の転送制御装置10に対し、ステップS103において取得された転送制御装置用転送ポリシの設定指示を送信する(S106)。
Subsequently, the
続いて、制御部42は、ステップS105において取得されたGWR情報に係るGWR20に対し、ステップS103において取得されたGWR用転送ポリシの設定指示を送信する(S107)。
Subsequently, the
続いて、制御部42は、ステップS102において取得されたアプリケーション識別制御装置情報に係るアプリケーション識別制御装置30に対し、ステップS103において取得されたユーザポリシの設定指示を送信する(S108)。
Subsequently, the
図12は、第1の実施の形態において転送制御装置10が実行する処理手順の一例を説明するためのフローチャートである。
FIG. 12 is a flowchart for explaining an example of a processing procedure executed by the
制御部12は、ユーザ端末がネットワークに接続して通信を開始したことについて、入出力部11を介して検知すると(S201でYes)、当該ユーザ端末のIPアドレスと、当該ユーザ端末に係るユーザ識別情報とを含む通信開始情報を管理装置40へ送信する(S202)。なお、通信開始情報は、契約ユーザ又は非契約ユーザを問わず送信される。
When the
又は、管理装置40からの転送制御装置用転送ポリシの設定指示が入出力部11によって受信されると(S203でYes)、制御部12は、当該転送制御装置用転送ポリシを記憶部15に記憶されているフローテーブルへ新規エントリとして追加する(S204)。
Alternatively, when the transfer control device transfer policy setting instruction from the
又は、入出力部11によってパケットが受信され(S205でYes)、当該パケットがユーザ端末からのパケット(すなわち、上りのパケット)である場合(S206でYes)、パケットヘッダ識別部13は、フローテーブルを参照し、当該パケットが転送対象フローに合致するか否かを判定する(S207)。
Alternatively, when a packet is received by the input / output unit 11 (Yes in S205) and the packet is a packet from the user terminal (that is, an uplink packet) (Yes in S206), the packet
図13は、フローテーブルの構成例を示す図である。図13には、フローテーブルの一つのエントリの例が示されている。図13に示されるように、フローテーブルには、転送対象フローの5tuple情報と、転送対象フローに合致するパケットの転送先のアプリケーション識別制御装置30のアプリケーション識別制御装置情報とが対応付けられて記憶されている。なお、転送対象フローの5tuple情報が、転送対象フローの条件の一例である。
FIG. 13 is a diagram illustrating a configuration example of a flow table. FIG. 13 shows an example of one entry in the flow table. As shown in FIG. 13, the flow table stores the 5 tuple information of the transfer target flow and the application identification control device information of the application
当該パケットがいずれかの転送対象フローの5tuple情報に合致する場合(S207でYes)、パケットヘッダ識別部13は、当該パケットをカプセル化し(S208)、当該5tuple情報に対応付けられてフローテーブルに記憶されている転送先アプリケーション識別制御装置情報に係るアプリケーション識別制御装置30へカプセル化されたパケットを転送する(S209)。なお、フローテーブルのエントリとして登録される転送制御装置用転送ポリシは、契約ユーザについてのみ設定されている。したがって、アプリケーション識別制御装置30へ転送されるパケットは、契約ユーザに係るパケットに限定される。
When the packet matches the 5 tuple information of any transfer target flow (Yes in S207), the packet
一方、受信パケットが、ユーザ端末からのパケットではない場合(すなわち、アプリケーション識別制御装置30又はGWR20からの下りのパケットである場合)(S206でNo)、又は受信パケットが転送対象フローに合致しない場合(S207でNo)、宛先制御部14は、記憶部15に記憶されているルーティングテーブルを参照し、パケットヘッダの宛先アドレスに基づいて当該パケットを転送する(S110)。通常、当該パケットは、ユーザ端末へ転送される。
On the other hand, when the received packet is not a packet from the user terminal (that is, when it is a downstream packet from the application
図14は、第1の実施の形態においてアプリケーション識別制御装置30が実行する処理手順の一例を説明するためのフローチャートである。
FIG. 14 is a flowchart for explaining an example of a processing procedure executed by the application
管理装置40からのユーザポリシの設定指示が入出力部31によって受信されると(S301でYes)、制御部32は、当該ユーザポリシを記憶部36に記憶する(S302)。
When the user policy setting instruction from the
又は、転送制御装置10からの転送された上りのパケット、若しくはGWR20から転送された下りのパケットが入出力部31によって受信されると(S303でYes)、デカプセル化部33は、当該パケットについてデカプセル化処理を行う(S304)。続いて、アプリケーション識別制御部34は、記憶部36に記憶されているユーザポリシに基づいて、デカプセル化されたパケットに対してアプリケーション及び5tuple情報で識別を行い、ユーザポリシの条件に合致したパケットを検出すると、当該パケットについて制御を行う(S305)。
Alternatively, when the uplink packet transferred from the
続いて、宛先制御部35は、当該パケットのパケットヘッダの宛先アドレスに基づいて、本来の宛先にパケットを転送する(S306)。当該パケットが上りのパケットであれば、当該パケットはGWR20を経由してISP網N2へ転送される。当該パケットが下りのパケットであれば、当該パケットは転送制御装置10を経由してユーザ端末へ転送される。
Subsequently, the
図15は、第1の実施の形態においてGWR20が実行する処理手順の一例を説明するためのフローチャートである。
FIG. 15 is a flowchart for explaining an example of a processing procedure executed by the
管理装置40からのGWR用転送ポリシの設定指示が入出力部41によって受信されると(S401でYes)、制御部22は、当該GWR用転送ポリシを記憶部25に記憶されているフローテーブルへ新規エントリとして追加する(S402)。
When the input / output unit 41 receives an instruction to set the GWR transfer policy from the management device 40 (Yes in S401), the
又は、入出力部21によってパケットが受信され(S403でYes)、当該パケットがISP網N2からのパケット(すなわち、下りのパケット)である場合(S403でYes)、パケットヘッダ識別部23は、フローテーブルを参照し、当該パケットが転送対象フローに合致するか否かを判定する(S405)。
Alternatively, when a packet is received by the input / output unit 21 (Yes in S403) and the packet is a packet from the ISP network N2 (ie, a downstream packet) (Yes in S403), the packet
当該パケットがいずれかの転送対象フローの5tuple情報に合致する場合(S405でYes)、パケットヘッダ識別部23は、当該パケットをカプセル化し(S406)、当該5tuple情報に対応付けられてフローテーブルに記憶されている転送先アプリケーション識別制御装置情報に係るアプリケーション識別制御装置30へカプセル化されたパケットを転送する(S407)。なお、フローテーブルのエントリとして登録されるGWR用転送ポリシは、契約ユーザについてのみ設定されている。したがって、アプリケーション識別制御装置30へ転送されるパケットは、契約ユーザに係るパケットに限定される。
When the packet matches the 5 tuple information of any transfer target flow (Yes in S405), the packet
一方、受信パケットが、ISP網N2からのパケットではない場合(すなわち、アプリケーション識別制御装置30又は転送制御装置10からの上りのパケットである場合)(S403でNo)、又は受信パケットが転送対象フローに合致しない場合(S405でNo)、宛先制御部24は、記憶部25に記憶されているルーティングテーブルを参照し、パケットヘッダの宛先アドレスに基づいて当該パケットを転送する(S407)。通常、当該パケットは、ISP網N2へ転送される。
On the other hand, when the received packet is not a packet from the ISP network N2 (that is, when it is an upstream packet from the application
上述したように、第1の実施の形態によれば、アプリケーション識別制御装置30を複数の転送制御装置10で共用し、契約ユーザのフローのみがアプリケーション識別制御装置30へ転送される。したがって、アプリケーション識別制御装置30の処理負荷を軽減することができる。すなわち、パケットに関する制御を効率化することができる。
As described above, according to the first embodiment, the application
また、アプリケーション識別機能をネットワーク全体で共用することが可能となり、大規模ネットワークにおけるアプリケーション単位の制御を低コストで実現可能とすることができる。 In addition, the application identification function can be shared across the entire network, and application unit control in a large-scale network can be realized at low cost.
次に、第2の実施の形態について説明する。第2の実施の形態において特に言及されない点については、第1の実施の形態と同様でもよい。 Next, a second embodiment will be described. Points that are not particularly mentioned in the second embodiment may be the same as those in the first embodiment.
図16は、第2の実施の形態における経路制御システムの構成例を示す図である。図16において、転送制御装置10と所定のアプリケーション識別制御装置30は、トンネルで接続されている。
FIG. 16 is a diagram illustrating a configuration example of a route control system according to the second embodiment. In FIG. 16, the
転送制御装置10は、管理装置40から設定される転送ポリシに基づいて、契約ユーザの上り方向フロー(ユーザ端末からサーバへ転送されるフロー)のみを、転送制御装置10からアプリケーション識別制御装置30へトンネルで転送する。
Based on the transfer policy set by the
GWR20は、下りフローの宛先アドレスである変換アドレスに従い、当該フローをアプリケーション識別制御装置30へ転送する。
The
アプリケーション識別制御装置30は、ユーザポリシに基づいて入力されたフローの識別・制御を行い、双方向フローからアプリケーション識別を行う。その後、パケットヘッダの宛先アドレスに基づいて、本来の宛先へパケットを転送する。
The application
管理装置40は、変換用アドレス空間を予め有し、アプリケーション識別制御装置30からユーザポリシ要求を受信すると、契約ユーザの場合は変換アドレスを払い出し、アプリケーション識別制御装置30へ通知する。アプリケーション識別制御装置30は通知された情報を、予め有するNATテーブル(ユーザアドレス、変換アドレス)に設定する。アプリケーション識別制御装置30はNATテーブルに基づきアドレス変換処理(以下、「NAT処理」という。)を行う機能を有し、GWR20から入力されるフローとGWR20へ転送するフローに対してNAT処理を行う。
When the
GWR20は、下りフローの宛先アドレスである変換アドレスに従い、当該フローをアプリケーション識別制御装置30へ転送する。
The
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to such specific embodiment, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.
10 転送制御装置
11 入出力部
12 制御部
13 パケットヘッダ識別部
14 宛先制御部
15 記憶部
20 GWR
21 入出力部
22 制御部
23 パケットヘッダ識別部
24 宛先制御部
25 記憶部
30 アプリケーション識別制御装置
31 入出力部
32 制御部
33 デカプセル化部
34 アプリケーション識別制御部
35 宛先制御部
36 記憶部
40 管理装置
41 入出力部
42 制御部
43 記憶部
701 補助記憶装置
702 メモリ装置
703 CPU
704 インタフェース装置
B バス
N1 キャリア網
N2 ISP網
DESCRIPTION OF
21 Input /
704 Interface device B Bus N1 Carrier network N2 ISP network
Claims (4)
前記転送制御装置は、受信パケットのうち、設定された条件に合致するパケットを、前記複数の転送制御装置に対して共通の前記アプリケーション識別制御装置へ転送する、
ことを特徴とする経路制御システム。 A routing control system including a plurality of transfer control devices and an application identification control device that performs predetermined control on packets transferred by the transfer control device,
The transfer control device transfers a packet that matches a set condition among the received packets to the application identification control device common to the plurality of transfer control devices.
A routing system characterized by that.
ことを特徴とする請求項1記載の経路制御システム。 The transfer control device transfers, among the received packets, a packet whose transmission source is a specific terminal to the application identification control device common to the plurality of transfer control devices.
The route control system according to claim 1.
前記複数の転送制御装置のそれぞれが、受信パケットのうち、設定された条件に合致するパケットを、前記複数の転送制御装置に対して共通の前記アプリケーション識別制御装置へ転送する、
ことを特徴とする経路制御方法。 A path control method executed by a plurality of transfer control devices connected to an application identification control device that performs predetermined control on a packet transferred by the transfer control device,
Each of the plurality of transfer control devices transfers a packet that matches a set condition among the received packets to the application identification control device common to the plurality of transfer control devices.
A path control method characterized by the above.
ことを特徴とする請求項3記載の経路制御方法。 Each of the plurality of transfer control devices transfers, among the received packets, a packet whose transmission source is a specific terminal to the application identification control device common to the plurality of transfer control devices.
The route control method according to claim 3, wherein:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017034910A JP2018142796A (en) | 2017-02-27 | 2017-02-27 | Routing control system and routing control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017034910A JP2018142796A (en) | 2017-02-27 | 2017-02-27 | Routing control system and routing control method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018142796A true JP2018142796A (en) | 2018-09-13 |
Family
ID=63528375
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017034910A Pending JP2018142796A (en) | 2017-02-27 | 2017-02-27 | Routing control system and routing control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018142796A (en) |
-
2017
- 2017-02-27 JP JP2017034910A patent/JP2018142796A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9497661B2 (en) | Implementing EPC in a cloud computer with openflow data plane | |
EP2831733B1 (en) | Implementing epc in a cloud computer with openflow data plane | |
EP3611962B1 (en) | Quality of service control method and device | |
CN105357180B (en) | Network system, the hold-up interception method of attack message, device and equipment | |
EP2996282B1 (en) | Handling network traffic via a fixed access | |
WO2018149338A1 (en) | Sdn-based remote stream mirroring control method, implementation method, and related device | |
EP3487150B1 (en) | Packet processing method and device | |
WO2013039083A1 (en) | Communication system, control devices, and communication method | |
JP2012517722A (en) | Multiple access system | |
EP3723411A1 (en) | Quality-of-service control method and related apparatus | |
EP4152808A1 (en) | Quality of service control method, device, and system | |
JP2017533643A (en) | Computer program, apparatus and storage medium | |
JPWO2013176262A1 (en) | Packet transfer system, control device, packet transfer method and program | |
US10595258B2 (en) | Wireless communication control based on border gateway protocol | |
KR101929804B1 (en) | Method and Apparatus for Managing Session Resource | |
EP3324587B1 (en) | Multicast method, multicast relay device and system | |
JP2018142796A (en) | Routing control system and routing control method | |
US11388095B2 (en) | Service processing method, apparatus, and system | |
US20240314077A1 (en) | Apparatuses, methods and non-transitory computer-readable storage mediums for network access | |
CN112714071B (en) | Data transmission method and device | |
JP2016058850A (en) | Packet header identification control apparatus, control method and control program | |
JP6069236B2 (en) | Application identification system transfer reduction method, application identification apparatus, and application identification program | |
JP2014154958A (en) | Communication device, control device, communication system, and control message transmitting method |