JP4244356B2 - Traffic analysis and control system - Google Patents

Traffic analysis and control system Download PDF

Info

Publication number
JP4244356B2
JP4244356B2 JP2006234736A JP2006234736A JP4244356B2 JP 4244356 B2 JP4244356 B2 JP 4244356B2 JP 2006234736 A JP2006234736 A JP 2006234736A JP 2006234736 A JP2006234736 A JP 2006234736A JP 4244356 B2 JP4244356 B2 JP 4244356B2
Authority
JP
Japan
Prior art keywords
packet
transfer
logical port
output
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006234736A
Other languages
Japanese (ja)
Other versions
JP2008060865A (en
Inventor
毅 八木
一浩 大倉
正雄 田邉
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006234736A priority Critical patent/JP4244356B2/en
Publication of JP2008060865A publication Critical patent/JP2008060865A/en
Application granted granted Critical
Publication of JP4244356B2 publication Critical patent/JP4244356B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、広域ネットワークにおいて、トラヒック変動をネットワークワイドに監視し、分析の必要がある場合のみ専用のパケット処理装置へトラヒックを転送して詳細分析を実施することで、ネットワーク内における不正アクセス監視および攻撃トラヒック防御を効率的に実施してセキュリティを低コストで向上するための技術である。   In the wide area network, the present invention monitors traffic fluctuations on a network wide basis and transfers traffic to a dedicated packet processing apparatus only when analysis is necessary, and performs detailed analysis to monitor unauthorized access in the network. This is a technology for efficiently implementing attack traffic defense and improving security at a low cost.

インターネットの普及に伴い、ネットワーク経由の不正アクセスによるデータなどの不正盗聴、DDoS(Distributed Denial of Services)攻撃などによるシステム攻撃などが多発している。   With the spread of the Internet, illegal eavesdropping of data and the like due to unauthorized access via a network, system attacks such as DDoS (Distributed Denial of Services) attacks, etc. are frequently occurring.

従来、これらの脅威に対処するために、ファイアウォール機能をルータ等のパケット転送装置に実装することで、ネットワークを流れるデータ内容やパケットヘッダ内容に応じて通信を制御するアクセス制御技術が用いられる。このパケット転送装置をネットワークの境界に設置することで、ユーザが設定したセキュリティポリシに従った必要最低限の通信のみを通過させることが可能である。   Conventionally, in order to cope with these threats, an access control technique is used in which a firewall function is installed in a packet transfer device such as a router to control communication according to data contents flowing through a network and packet header contents. By installing this packet transfer device at the boundary of the network, it is possible to pass only the minimum necessary communication in accordance with the security policy set by the user.

しかし、上記のファイアウォール機能では、セキュリティポリシに従った通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正侵入等の不正アクセスやDDoS攻撃を完全に阻止することは困難である。   However, since the firewall function allows communication according to the security policy to pass through the network, it is difficult to completely prevent unauthorized access such as unauthorized intrusion or DDoS attack using this allowed communication service. It is.

この問題を解決するために、Anomaly Detectorなどの異常トラヒック検出装置とAnomaly Guardなどの異常トラヒック分析・制御装置を組み合わせて使用する方式が採用されている(例えば、特許文献1参照)。この方式では、Anomaly Detectorで異常トラヒックの可能性を検出すると、Anomaly Guardヘ警告を送り、対象トラヒックをAnomaly Guardへ再ルーチングして分析する。Anomaly Guardは、詳細な分析を実施した後、受信トラヒックを不正トラヒックと正常トラヒックに分類し、正常トラヒックは元の宛先に転送するとともに、不正なトラヒックは削除する。   In order to solve this problem, a method of using an abnormal traffic detection device such as Anomaly Detector in combination with an abnormal traffic analysis / control device such as Anomaly Guard is adopted (for example, see Patent Document 1). In this method, when the possibility of abnormal traffic is detected by the Anomaly Detector, a warning is sent to the Anomaly Guard, and the target traffic is rerouted to the Anomaly Guard for analysis. After the detailed analysis, Anomaly Guard classifies the received traffic into illegal traffic and normal traffic, forwards normal traffic to the original destination, and deletes illegal traffic.

特開2005−5927号公報(ネットワークシステムと不正アクセス制御方法およびプログラム)JP 2005-5927 A (Network system and unauthorized access control method and program)

しかし、この方式では、異常トラヒック分析・制御装置は、分析対象トラヒックを自身へ再ルーチングするため、異常トラヒック分析・制御装置がルーチング制御機能を保有し、トラヒック制御を実施する度に当該装置がネットワーク全体のルーチング情報を変更する必要がある。このため、異常トラヒック分析・制御装置は、ルーチング制御機能の保有、且つ、装置故障に対する高い信頼性が要求され、当該装置が高コスト化する。さらに、この方式では、正常トラヒックを元の宛先に転送する際に、ループ発生を回避するために、ユーザネットワークまでトンネリング(VLANやLabel Switch PathやIP in IPなど、自装置と宛先装置間でパスやVPNを設定して転送する一般的な技術)してパケットを転送する必要がある。このため、異常トラヒック分析・制御装置は全ユーザネットワークへのトンネル情報を管理し、さらに、ネットワークは異常トラヒック分析・制御装置と全ユーザネットワーク間にトンネルを設定し管理することになる。ネットワーク内に設定可能なトンネル数はトンネリングの際に付与するヘッダ領域により制限される(VLANやLabel Switch Pathでは最大4096)ため、他の用途で設定されるトンネル数が制限される。   However, in this method, the abnormal traffic analysis / control device reroutes the traffic to be analyzed to itself, so that the abnormal traffic analysis / control device has the routing control function, and the device performs network control every time the traffic control is performed. It is necessary to change the entire routing information. For this reason, the abnormal traffic analysis / control apparatus is required to have a routing control function and to have high reliability against a device failure, and the cost of the device increases. Furthermore, in this method, when normal traffic is transferred to the original destination, tunneling to the user network (such as VLAN, Label Switch Path, IP in IP, etc.) Or a general technique for setting and transferring a VPN) and transferring a packet. For this reason, the abnormal traffic analysis / control apparatus manages tunnel information to all user networks, and the network sets and manages a tunnel between the abnormal traffic analysis / control apparatus and all user networks. The number of tunnels that can be set in the network is limited by the header area that is assigned during tunneling (maximum of 4096 for VLAN and Label Switch Path), so the number of tunnels set for other purposes is limited.

また、ルーチング情報を変更せずに当方式を適用するためには、各ルータに異常トラヒック分析・制御装置を付与する必要がある。この際は、異常トラヒック分析・制御装置がルータ台数相当必要となり、ネットワークが高コスト化する。   Also, in order to apply this method without changing the routing information, it is necessary to attach an abnormal traffic analysis / control device to each router. In this case, an abnormal traffic analysis / control device is required corresponding to the number of routers, which increases the cost of the network.

本発明は、特定のトラヒックを分析・制御するために、ルータ相当のパケット転送装置と異常トラヒック分析・制御装置相当のパケット処理装置間で転送経路を動的に設定して対象トラヒックを転送するよう指示する、ネットワーク制御装置を設置するとともに、パケット処理装置に、パケット転送装置への折り返し転送機能を搭載し、パケット転送装置に、入出力論理ポートを比較して複数の転送テーブルから参照すべき転送テーブルを決定する機能を搭載する。   According to the present invention, in order to analyze and control specific traffic, a transfer route is dynamically set between a packet transfer device equivalent to a router and a packet processing device equivalent to an abnormal traffic analysis / control device to transfer the target traffic. In addition to installing a network control device, the packet processing device is equipped with a return transfer function to the packet transfer device, and the packet transfer device compares the input / output logical ports and should be referred to from multiple transfer tables. Equipped with a function to determine the table.

これにより、パケット処理機能を通過させ制御を実施したいトラヒックを、パケット処理装置へ、ループを防止しつつ送信できる。その際、パケット処理装置がルーチング制御機能を保有してネットワーク全体のルーチング情報を変更する必要は無く、且つ、パケット転送装置がパケット処理装置を保有する必要も無い。また、正常トラヒックを元の宛先に転送する際に、ユーザネットワークまでトンネリングする必要も無い。   As a result, it is possible to transmit traffic to be passed through the packet processing function and to be controlled to the packet processing apparatus while preventing a loop. At this time, it is not necessary for the packet processing device to have the routing control function to change the routing information of the entire network, and it is not necessary for the packet transfer device to have the packet processing device. In addition, when normal traffic is transferred to the original destination, there is no need to tunnel to the user network.

これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。   This makes it possible to detect and analyze abnormal traffic and control in a wide area network at a low cost.

上述の課題を解決するために、第1の発明では、ネットワーク制御装置とパケット処理装置とパケット転送装置とを有するトラヒック分析・制御システムであって、前記ネットワーク制御装置は、パケット転送装置の識別子と、宛先アドレスと送信元アドレスを含むパケットフロー情報と、で構成される制御情報の通知を受ける手段と、前記パケット転送装置の識別子に該当するパケット転送装置に対して、前記パケット処理装置への転送経路設定を指示する手段と、前記パケット処理装置に対して、前記パケット転送装置への転送経路設定を指示する手段と、前記パケット転送装置に対して、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を、前記パケットフロー情報の宛先アドレス宛のパケットへ付与するよう指示する手段と、を備え、前記パケット処理装置は、前記ネットワーク制御装置から指示されたパケット転送装置への転送経路を設定する手段と、パケット通過制御処理を実施する手段と、前記パケット転送装置から受信したパケットに対してパケット通過制御処理を実施した後、前記パケットに前記パケット転送装置への転送経路に割り当てた論理ポートの識別子を付与し、前記パケット転送装置に返送する手段と、を備え、前記パケット転送装置は、前記ネットワーク制御装置から指示されたパケット処理装置への転送経路を設定する手段と、パケットのヘッダ情報と、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を登録する第一の転送テーブルと、パケットのヘッダ情報と、前記パケット処理装置への転送経路以外のパケットを出力する転送経路を登録する第二の転送テーブルと、前記パケット処理装置からの転送経路からパケットが入力される論理ポートの識別子と、前記パケット処理装置への転送経路へパケットを出力する論理ポートの識別子の対を比較する入出力論理ポート比較手段と、を備え、前記パケット転送装置は、パケットが入力されると、前記第一の転送テーブルを参照して、前記パケットを出力すべき論理ポートの識別子を探索し、論理ポートの識別子が特定できた場合には、前記入出力論理ポート比較手段により、前記パケットに付与された論理ポートの識別子と前記パケットを出力すべき論理ポートの識別子が対を成さないか否かを判定し、対を成さないと判定された場合には、前記第一の転送テーブルにより特定された論理ポートに、前記パケットに前記論理ポートの識別子を付与して、出力し、対を成すと判定された場合と、前記第一の転送テーブルによりパケットを出力すべき論理ポートが特定できなかった場合には、前記第二の転送テーブルを参照して、前記パケットを出力すべき転送経路を特定して、前記第二の転送テーブルにより特定された転送経路に前記パケットを出力することを特徴とする。

In order to solve the above-described problem, in the first invention, a traffic analysis / control system having a network control device, a packet processing device, and a packet transfer device, wherein the network control device includes an identifier of the packet transfer device, Means for receiving notification of control information consisting of packet flow information including a destination address and a source address, and forwarding to the packet processing device for a packet forwarding device corresponding to the identifier of the packet forwarding device Means for instructing route setting, means for instructing the packet processing device to set a transfer route to the packet transfer device, and assigning the packet transfer device to a transfer route to the packet processing device. An instruction to assign a logical port identifier to a packet addressed to the destination address of the packet flow information. Means for setting the transfer path to the packet transfer apparatus instructed by the network control apparatus, means for performing packet passage control processing, and receiving from the packet transfer apparatus. Means for assigning a logical port identifier assigned to a transfer path to the packet transfer apparatus and returning the packet to the packet transfer apparatus after performing packet passage control processing on the packet, The packet transfer apparatus registers a means for setting a transfer path to the packet processing apparatus instructed by the network control apparatus, packet header information, and an identifier of a logical port assigned to the transfer path to the packet processing apparatus. Other than the first forwarding table, packet header information, and the forwarding route to the packet processing device A second transfer table for registering a transfer route for outputting a packet, an identifier of a logical port to which the packet is input from the transfer route from the packet processing device, and a logic for outputting the packet to the transfer route to the packet processing device Input / output logical port comparison means for comparing a pair of port identifiers, and when the packet is input , the packet transfer device refers to the first transfer table and outputs the logic of the packet When the identifier of the logical port can be identified by searching for the identifier of the port, the identifier of the logical port assigned to the packet and the identifier of the logical port to which the packet is to be output are determined by the input / output logical port comparing means. It is determined whether or not a pair is formed. When it is determined that a pair is not formed, the logical port specified by the first forwarding table is determined. When the logical port identifier is assigned to the packet and output, and it is determined that the packet is paired, or when the logical port to which the packet is to be output cannot be specified by the first forwarding table. , Referring to the second transfer table, specifying a transfer path for outputting the packet, and outputting the packet to the transfer path specified by the second transfer table.

また、第2の発明は、前記第1の発明において、前記パケット処理装置のパケット通過制御処理を実施する手段は、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄することを特徴とする。   In a second aspect based on the first aspect, the means for performing packet passage control processing of the packet processing device measures a cumulative value of the amount of transfer data for each destination address of the transfer packet at regular intervals. When the cumulative value of the transfer data amount of a certain destination address exceeds a predetermined threshold, the packet corresponding to the threshold excess amount is discarded in the next period with respect to the packet having the destination address. .

また、第3の発明は、前記第1の発明において、前記パケット処理装置のパケット通過制御処理を実施する手段は、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄することを特徴とする。   According to a third aspect, in the first aspect, the means for performing the packet passage control process of the packet processing device calculates the total number of transfer packets and the total amount of transfer data for each header information of the received packet at a constant cycle. It is observed every time, and when the increase value of the total number of transfer packets and transfer data amount of certain header information exceeds a predetermined threshold value, the packet holding the header information is discarded from the next period And

上述のように、本発明によれば、特定のトラヒックをパケット処理機能によって分析・制御するために、パケット転送装置とパケット処理装置間で転送経路を動的に設定して対象トラヒックを転送するよう指示するネットワーク制御装置を設置するとともに、パケット処理装置に、パケット転送装置への折り返し転送機能を搭載し、パケット転送装置に、入出力論理ポートを比較して複数の転送テーブルから参照すべき転送テーブルを決定する機能を搭載する。   As described above, according to the present invention, in order to analyze and control specific traffic using the packet processing function, the transfer traffic is dynamically set between the packet transfer device and the packet processing device to transfer the target traffic. In addition to installing an instructing network control device, the packet processing device is equipped with a return transfer function to the packet transfer device, and the packet transfer device should compare the input / output logical ports and refer to the transfer table from a plurality of transfer tables Equipped with a function to determine.

これにより、パケット処理機能を通過させ制御を実施したいトラヒックを、パケット処理装置へ、ループを防止しつつ送信できる。その際、パケット処理装置がルーチング制御機能を保有してネットワーク全体のルーチング情報を変更する必要は無く、且つ、パケット転送装置がパケット処理装置を保有する必要も無い。   As a result, it is possible to transmit traffic to be passed through the packet processing function and to be controlled to the packet processing apparatus while preventing a loop. At this time, it is not necessary for the packet processing device to have the routing control function to change the routing information of the entire network, and it is not necessary for the packet transfer device to have the packet processing device.

従って、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。   Therefore, the abnormal traffic detection / analysis and control in the wide area network can be realized at low cost.

次に、本発明の実施の形態について、図面を用いて説明する。
図1に、本発明を適用するネットワークのネットワークモデルの一例を示す。本発明の実施例のトラヒック分析・制御システムは、パケット転送装置1〜6、パケット処理装置7およびそれらを制御するネットワーク制御装置8から構成される。ユーザ端末9から16は、各アクセス網17〜20を経由して、パケット転送装置1〜4に収容されている。一般的には、パケット転送装置1〜4はエッジノードまたはエッジルータ、パケット転送装置5から6はコアノードまたはコアルータと呼ばれる。パケット転送装置1〜4は、パケット転送装置5〜6によって接続されている。パケット転送装置1〜6およびパケット処理装置からなるネットワークをコアネットワーク21とし、ユーザ端末で構成されるネットワークをユーザネットワーク22とする。 Next, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows an example of a network model of a network to which the present invention is applied. The traffic analysis / control system according to the embodiment of the present invention includes packet transfer apparatuses 1 to 6, a packet processing apparatus 7, and a network control apparatus 8 for controlling them. The user terminals 9 to 16 are accommodated in the packet transfer apparatuses 1 to 4 via the access networks 17 to 20. In general, the packet transfer apparatuses 1 to 4 are called edge nodes or edge routers, and the packet transfer apparatuses 5 to 6 are called core nodes or core routers. The packet transfer apparatuses 1 to 4 are connected by packet transfer apparatuses 5 to 6. A network including the packet transfer apparatuses 1 to 6 and the packet processing apparatus is referred to as a core network 21, and a network including user terminals is referred to as a user network 22.

パケット転送装置1には、装置を識別するためのアドレスとしてコア#1が付与されており、パケット転送装置2には、装置を識別するためのアドレスとしてコア#2が付与されており、パケット転送装置3には、装置を識別するためのアドレスとしてコア#3が付与されており、パケット転送装置4には、装置を識別するためのアドレスとしてコア♯4が付与されており、パケット転送装置5には、装置を識別するためのアドレスとしてコア#5が付与されており、パケット転送装置6には、装置を識別するためのアドレスとしてコア#6が付与されており、パケット処理装置7には、装置を識別するためのアドレスとしてコア#7が付与されており、それぞれに到達するための経路はルーチングプロトコルにより管理されている。   The packet transfer apparatus 1 is provided with core # 1 as an address for identifying the apparatus, and the packet transfer apparatus 2 is provided with core # 2 as an address for identifying the apparatus. The device 3 is provided with a core # 3 as an address for identifying the device, and the packet transfer device 4 is provided with a core # 4 as an address for identifying the device. Is assigned a core # 5 as an address for identifying a device, the packet transfer device 6 is assigned a core # 6 as an address for identifying a device, and the packet processing device 7 The core # 7 is assigned as an address for identifying the device, and the route for reaching each is managed by the routing protocol.

コア#1〜コア#7は、コアネットワークがIPv4ネットワークであればIPv4アドレスとなり、その際のルーチングプロトコルとしてはOSPF(Open Shortest Path First:RFC2328)などが挙げられる。コアネットワークがIPv6ネットワークであればIPv6アドレスとなり、その際のルーチングプロトコルとしてはOSPFv6(Open Shortest Path First version 6:RFC2740)などが挙げられる。また、コアネットワークがMPLS(Multi-Protocol Label Switching)ネットワーク(RFC3031)である場合、ルーチングプロトコルで経路を特定した後、RSVP−TE(ReSerVation Protocol with Traffic Engineering:RFC3209)やCR−LDP(Constrain-based Label Distribution Protocol:RFC3212)などのシグナリングプロトコルで送信元と宛先のパケット転送装置間にLSP(Label Switched Path)と呼ばれるパスを設定する。   The core # 1 to core # 7 have IPv4 addresses if the core network is an IPv4 network, and OSPF (Open Shortest Path First: RFC2328) or the like is exemplified as a routing protocol at that time. If the core network is an IPv6 network, it becomes an IPv6 address. As a routing protocol at that time, OSPFv6 (Open Shortest Path First version 6: RFC2740) or the like can be cited. Further, when the core network is an MPLS (Multi-Protocol Label Switching) network (RFC3031), after specifying a route by a routing protocol, RSVP-TE (ReSerVation Protocol with Traffic Engineering: RFC3209) or CR-LDP (Constrain-based). A path called LSP (Label Switched Path) is set between the source and destination packet transfer apparatuses using a signaling protocol such as Label Distribution Protocol (RFC3212).

同様に、ユーザ端末9は、アドレスIP#1で識別され、ユーザ端末10は、アドレスIP#2で識別され、ユーザ端末11は、アドレスIP#3で識別され、ユーザ端末12は、アドレスIP#4で識別され、ユーザ端末13は、アドレスIP#5で識別され、ユーザ端末14は、アドレスIP#6で識別され、ユーザ端末15は、アドレスIP#7で識別され、ユーザ端末16は、アドレスIP#8で識別される。   Similarly, user terminal 9 is identified by address IP # 1, user terminal 10 is identified by address IP # 2, user terminal 11 is identified by address IP # 3, and user terminal 12 is identified by address IP # 2. 4, user terminal 13 is identified by address IP # 5, user terminal 14 is identified by address IP # 6, user terminal 15 is identified by address IP # 7, and user terminal 16 is addressed by address IP # 6. It is identified by IP # 8.

図2に、本発明を適用するネットワークの物理モデルの一例を示す。ネットワーク制御装置8は、ネットワーク内の各装置と接続されている。本実施例では、リンク108〜114により、各装置との接続性を確保している。パケット転送装置1とパケット転送装置5はリンク101で接続され、パケット転送装置2とパケット転送装置5はリンク102で接続され、パケット転送装置3とパケット転送装置6はリンク103で接続され、パケット転送装置4とパケット転送装置6はリンク104で接続され、パケット転送装置5とパケット転送装置6はリンク105で接続され、パケット転送装置5とパケット処理装置7はリンク106で接続され、パケット処理装置7と明示されていないパケット転送装置間がリンク107で接続されている。リンクとしては、光ファイバや光波長のような光パスや、イーサネットケーブルのような物理ケーブルを用いることができる。   FIG. 2 shows an example of a physical model of a network to which the present invention is applied. The network control device 8 is connected to each device in the network. In this embodiment, the links 108 to 114 ensure connectivity with each device. The packet transfer apparatus 1 and the packet transfer apparatus 5 are connected by a link 101, the packet transfer apparatus 2 and the packet transfer apparatus 5 are connected by a link 102, the packet transfer apparatus 3 and the packet transfer apparatus 6 are connected by a link 103, and packet transfer The device 4 and the packet transfer device 6 are connected by a link 104, the packet transfer device 5 and the packet transfer device 6 are connected by a link 105, the packet transfer device 5 and the packet processing device 7 are connected by a link 106, and the packet processing device 7 The packet transfer apparatuses not explicitly indicated as are connected by a link 107. As the link, an optical path such as an optical fiber or an optical wavelength, or a physical cable such as an Ethernet cable can be used.

本実施例では、論理ポートをラベルで識別しており、以下の説明における入力ラベル、出力ラベルは、一般的には、それぞれ、入力論理ポートの識別子、出力論理ポートの識別子ということができる。   In this embodiment, logical ports are identified by labels, and input labels and output labels in the following description can be generally referred to as input logical port identifiers and output logical port identifiers, respectively.

図3に、本発明のパケット転送装置の構成例を示す。パケット転送装置は、第一転送機能23、入出力論理ポート比較機能24、第二転送機能25、サーバ接続部26で構成される。なお、図3に示されたものはパケット転送装置5の構成例であり、リンク101、102、105、106が接続されているが、他のパケット転送装置でも接続されるリンクが異なるだけで内部の構成は同様である。   FIG. 3 shows a configuration example of the packet transfer apparatus of the present invention. The packet transfer apparatus includes a first transfer function 23, an input / output logical port comparison function 24, a second transfer function 25, and a server connection unit 26. 3 shows an example of the configuration of the packet transfer apparatus 5, and the links 101, 102, 105, and 106 are connected. However, the other packet transfer apparatuses are different only in the connected links, The configuration of is the same.

第一転送機能23は、第一転送テーブル27および論理ポート設定機能28を有している。
第一転送テーブル27は、入力パケットのヘッダ情報から出力ラベル値および出力リンクを導く機能を有している。本実施例の第一転送テーブル27は、図7に示すように、入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)の欄を有する。入力ラベル値が入力論理ポート、出力ラベル値が出力論理ポートを示している。本実施例では、ヘッダ情報例としてラベル値と宛先アドレスを記述している。ここで、入力ラベル値としてデフォルトとしているものは、ラベルが付与されていないことを示している。従来、ラベルが付与されていないものはIPネットワークのようなコネクションレスネットワーク、ラベルが付与されているものはMPLSネットワークのようなコネクションオリエンテッドネットワークである。IPネットワークでは、ルーチングプロトコルにより出力先が特定され、MPLSネットワークではルーチングプロトコルとシグナリングプロトコルで出力先が特定される。このため、ラベル値の有無で転送テーブルを分割して管理してもよい。さらに、ヘッダ情報として、送信元アドレスを記述し、特定のユーザ間フローのみを別経路に出力するよう、オペレータが設定できるようにしてもよい。 The first transfer function 23 has a first transfer table 27 and a logical port setting function 28.
The first transfer table 27 has a function of deriving an output label value and an output link from header information of the input packet. As shown in FIG. 7, the first transfer table 27 of the present embodiment has columns of input label, destination address (destination), output label, and output link (Output). The input label value indicates the input logical port, and the output label value indicates the output logical port. In this embodiment, a label value and a destination address are described as header information examples. Here, the default input label value indicates that no label is given. Conventionally, a network without a label is a connectionless network such as an IP network, and a network with a label is a connection-oriented network such as an MPLS network. In an IP network, an output destination is specified by a routing protocol, and in an MPLS network, an output destination is specified by a routing protocol and a signaling protocol. For this reason, the transfer table may be divided and managed based on the presence or absence of a label value. Furthermore, a transmission source address may be described as header information, and the operator may be set to output only a specific inter-user flow to another route.

また、本実施例では、第一転送テーブル27内に出力論理ポートの識別子(出力ラベル)と出力物理ポート(Output)を記述しているが、これらも別テーブルとして記述してもよい。この際は、入力ラベルがデフォルトであるエントリに対しては、宛先アドレスから出力物理ポートを導くテーブルに記述される。また、入力ラベル値が指定されているエントリに関しては、入力ラベル値から出力ラベル値を導くテーブルと、出力ラベル値から出力物理ポートを導くテーブルに記述される。   In this embodiment, the identifier (output label) of the output logical port and the output physical port (Output) are described in the first transfer table 27, but these may be described as separate tables. In this case, the entry whose input label is default is described in a table for deriving the output physical port from the destination address. In addition, entries for which input label values are specified are described in a table for deriving output label values from input label values and a table for deriving output physical ports from output label values.

論理ポート設定機能28は、特定のアドレスを保有する宛先との間に転送経路を設定する機能と、特定のアドレスを保有する宛先との間の転送経路を削除する機能を有している。例えば、コアネットワークがMPLSネットワークである際は、論理ポート設定機能28がシグナリングプロトコルを使用し、特定のアドレスを保有する宛先との間にLSPを設定する。   The logical port setting function 28 has a function of setting a transfer path between a destination having a specific address and a function of deleting a transfer path between the destination having a specific address. For example, when the core network is an MPLS network, the logical port setting function 28 uses a signaling protocol to set an LSP with a destination having a specific address.

第一転送機能23は、パケットを受信した際に、第一転送テーブル27を参照し、パケットに記述されているヘッダ情報から出力論理ポートおよび出力リンクを特定して後述の入出力論理ポート比較機能24へ通知する機能と、第一転送テーブル27を参照し、パケットに記述されているヘッダ情報から出力論理ポートおよび出力リンクを特定できなかった際に、当該パケットを後述の第二転送機能25へ転送する機能と、後述のネットワーク制御装置から、特定のアドレス間に転送経路を設定して特定のパケットヘッダ情報を有するパケットを特定のアドレスあてに送信する指示を受けた際に、論理ポート設定機能28により、指定されたアドレス間に転送経路を設定し、転送経路を設定した際に決まる当該経路に対応するラベルおよび当該経路の出力リンクを、前記特定のパケットヘッダ情報から導けるよう第一転送テーブル27に新エントリを追加する機能と、設定した転送経路に対応するラベルと、指定されたアドレスから設定してきた転送経路に割り当てられたラベルを、後述の入出力論理ポート比較機能24へ通知する機能を有している。   When receiving the packet, the first transfer function 23 refers to the first transfer table 27, specifies the output logical port and the output link from the header information described in the packet, and the input / output logical port comparison function described later. When the output logical port and the output link cannot be identified from the header information described in the packet with reference to the function for notifying to 24 and the first transfer table 27, the packet is sent to the second transfer function 25 described later. A function for forwarding and a logical port setting function when receiving an instruction from a network control device, which will be described later, to set a transfer path between specific addresses and send a packet having specific packet header information to a specific address 28, a transfer route is set between the specified addresses, the label corresponding to the route determined when the transfer route is set, and the corresponding route. A function of adding a new entry to the first transfer table 27 so that an output link of the route can be derived from the specific packet header information, a label corresponding to the set transfer route, and a transfer route set from a specified address It has a function of notifying an assigned label to an input / output logical port comparison function 24 described later.

さらに、第一転送機能23は、後述のネットワーク制御装置から、特定のアドレス間に転送経路を設定して特定のパケットヘッダ情報を有するパケットを特定のアドレス宛に送信している状況を解除する指示を受けた際に、論理ポート設定機能28により、指定されたアドレス間の転送経路を削除し、当該経路に対応するラベルに関する第一転送テーブル27のエントリを削除する機能と、後述の入出力論理ポート比較機能24に当該経路に対応するラベルに関する情報の削除を通知する機能を有している。   Further, the first transfer function 23 instructs the network control device described later to cancel a situation in which a transfer path is set between specific addresses and a packet having specific packet header information is transmitted to a specific address. The logical port setting function 28 deletes the transfer path between the specified addresses, deletes the entry in the first transfer table 27 relating to the label corresponding to the path, and the input / output logic described later. The port comparison function 24 has a function of notifying deletion of information relating to the label corresponding to the route.

入出力論理ポート比較機能24は、入出力論理ポート管理テーブル29を有している。
入出力論理ポート管理テーブル29は、各対向パケット転送装置間に設定された入力論理ポートと出力論理ポートの対を記述する機能を有している。本実施例では、入力ラベル値と出力ラベル値の対を記述する。すなわち、本実施例の入出力論理ポート管理テーブル29は、図7に示すように、入力ラベル、出力ラベルの欄を有している。例えば、VLANなどで双方向論理ポートを設定する場合は、入力論理ポートと出力論理ポートは同一となる。例えば、MPLSネットワークでは、LSPは基本的に片方向通信であるため、各対向パケット装置間に設定される入力LSPと出力LSPは基本的に異なる。 The input / output logical port comparison function 24 has an input / output logical port management table 29.
The input / output logical port management table 29 has a function of describing a pair of an input logical port and an output logical port set between the opposing packet transfer apparatuses. In this embodiment, a pair of an input label value and an output label value is described. That is, the input / output logical port management table 29 of this embodiment has columns for input labels and output labels as shown in FIG. For example, when a bidirectional logical port is set in a VLAN or the like, the input logical port and the output logical port are the same. For example, in an MPLS network, since the LSP is basically one-way communication, the input LSP and the output LSP that are set between the opposing packet devices are basically different.

入出力論理ポート比較機能24は、第一転送機能23により出力論理ポートが特定された際に、入出力論理ポート管理テーブル29を用い、パケットを受信した際の入力論理ポートから対となる出力論理ポートを特定し、第一転送機能23から通知された出力論理ポートと比較し、異なる際は第一転送機能23が特定した出力情報を採用してパケットを転送し、同一の際は第一転送機能23が特定した出力情報を無効とし、入力論理ポートも無効とした後、後述の第二転送機能25へパケットを転送する機能を有している。前述の通り、本実施例では、論理ポートをラベル値で識別している。上記異なる際とは、入出力論理ポート管理テーブル29を用いた際に、パケットを受信した際の入力論理ポートから特定した出力論理ポートと第一転送機能23が特定した出力論理ポートが異なる場合と、パケットを受信した際の入力論理ポートが入出力論理ポート管理テーブル29に記述されていない際を示している。   The input / output logical port comparison function 24 uses the input / output logical port management table 29 when an output logical port is specified by the first transfer function 23, and uses a pair of output logical ports from the input logical port when the packet is received. The port is specified and compared with the output logical port notified from the first transfer function 23. When the port is different, the output information specified by the first transfer function 23 is adopted and the packet is transferred. After the output information specified by the function 23 is invalidated and the input logical port is invalidated, the packet is transferred to the second transfer function 25 described later. As described above, in this embodiment, the logical port is identified by the label value. When the input / output logical port management table 29 is used, the difference is when the output logical port specified from the input logical port when the packet is received is different from the output logical port specified by the first transfer function 23. The input logical port when the packet is received is not described in the input / output logical port management table 29.

さらに、入出力論理ポート比較機能24は、第一転送機能23から、設定した転送経路に対応するラベルと指定されたアドレスから設定してきた転送経路に割り当てられたラベルを通知された際に、両ラベル値を対として入出力論理ポート管理テーブル29に登録する機能と、後述のネットワーク制御装置から、特定のアドレス間に転送経路を設定して特定のパケットヘッダ情報を有するパケットを特定のアドレス宛に送信している状況を解除するよう指示された際に、当該経路に対応するラベルに関する情報の削除を第一転送機能23から通知された際に、当該情報を保有するエントリを削除する機能を有している。   Further, when the input / output logical port comparison function 24 is notified of the label corresponding to the set transfer route and the label assigned to the transfer route set from the designated address by the first transfer function 23, both of them are notified. A function of registering a label value as a pair in the input / output logical port management table 29 and a network control device to be described later set a transfer path between specific addresses to direct a packet having specific packet header information to a specific address When the first transfer function 23 is notified of the deletion of the information related to the label corresponding to the route when an instruction to cancel the transmission status is given, the entry having the information is deleted. is doing.

第二転送機能25は、第二転送テーブル30を有している。
第二転送テーブル30は、入力パケットのヘッダ情報から、出力ラベル値および出力リンクを導く機能を有している。本テーブルの構成は第一転送テーブル27と同じであり、本実施例の第二転送テーブル30は、図7に示すように、入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)の欄を有する。 The second transfer function 25 has a second transfer table 30.
The second forwarding table 30 has a function of deriving an output label value and an output link from the header information of the input packet. The configuration of this table is the same as that of the first transfer table 27. As shown in FIG. 7, the second transfer table 30 of this embodiment has an input label, a destination address (destination), an output label, and an output link (Output). Column.

第二転送テーブル30は、ルーチングプロトコルやシグナリングプロトコルによってエントリを追加および削除されるが、第一転送テーブル27は後述のネットワーク制御装置によってエントリを追加および削除される。この際、第二転送テーブル30は後述のネットワーク制御装置からの制御の対象にはならない。また、本実施例とは異なり、第一転送テーブル27のエントリをルーチングプロトコルやシグナリングプロトコルによって追加および削除する実施例も考えられるが、その際でもネットワーク制御装置によるエントリ追加およびエントリ削除が優先される。   Entries are added and deleted from the second transfer table 30 by a routing protocol and a signaling protocol, while entries are added and deleted from the first transfer table 27 by a network control device described later. At this time, the second transfer table 30 is not a target of control from a network control device described later. In addition, unlike the present embodiment, there may be an embodiment in which entries in the first transfer table 27 are added and deleted by a routing protocol or a signaling protocol, but even in this case, priority is given to entry addition and entry deletion by the network control device. .

第二転送機能25は、入出力論理ポート比較機能24からパケットを受信した際に、第二転送テーブル30を参照し、パケットに記述されているヘッダ情報から出力論理ポートおよび出力リンクを特定してパケットを送信する機能を有している。   When the second transfer function 25 receives the packet from the input / output logical port comparison function 24, the second transfer function 25 refers to the second transfer table 30 and identifies the output logical port and the output link from the header information described in the packet. It has a function to transmit packets.

サーバ接続部26は、ネットワーク制御装置からの指示を受け付け、ネットワーク制御装置からの指示を各機能へ受け渡す機能と、ネットワーク制御装置からの指示に基づく制御が完了した際に、当該処理の完了通知をネットワーク制御装置に送信する機能を有している。これにより、パケット転送装置は、ネットワーク制御装置からの指示に基づきパケット処理装置間に転送経路を設定するとともに、パケット処理装置へ送信したいパケットを抽出して当該パケットのみを前記転送経路へ送信する。さらに、パケット転送装置は、パケット処理装置から受信したパケットに関しては、パケット抽出の対象としない。これにより、特定パケットのみをパケット処理装置へ送信するとともに、パケット処理装置へ送信するパケットのループ発生を防止する。   The server connection unit 26 receives an instruction from the network control device, and when the control based on the instruction from the network control device and the function to transfer the instruction from the network control device to each function is completed, the server connection unit 26 notifies the completion of the processing. Is transmitted to the network control device. Thus, the packet transfer apparatus sets a transfer path between the packet processing apparatuses based on an instruction from the network control apparatus, extracts a packet to be transmitted to the packet processing apparatus, and transmits only the packet to the transfer path. Further, the packet transfer apparatus does not extract the packet received from the packet processing apparatus. Thus, only a specific packet is transmitted to the packet processing device, and a loop of a packet transmitted to the packet processing device is prevented.

図4に、本発明のパケット処理装置の構成例を示す。パケット処理装置は、パケット処理機能31、パケット返送機能32およびサーバ接続部33から構成される。   FIG. 4 shows a configuration example of the packet processing apparatus of the present invention. The packet processing apparatus includes a packet processing function 31, a packet return function 32, and a server connection unit 33.

パケット処理機能31は、パケット通過制御処理を実施する機能を有している。パケット通過制御処理としては、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄する制御や、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄する制御が挙げられる。これらの制御に際しては、宛先アドレスに対して転送パケット数をカウントする転送パケット数カウントテーブルや、宛先アドレスに対して転送データ量を累計する転送データ量カウントテーブルや、各テーブルのエントリを一定周期毎に保存してカウント値をリセットする機能や、上位保存値と閾値を比較する機能や、比較した際に閾値を超過したパケットを可変レートで廃棄する機能や、上記廃棄の継続判断を一定時間毎に実施する機能が必要となる。   The packet processing function 31 has a function of performing packet passage control processing. As the packet passing control process, the cumulative value of the transfer data amount for each destination address of the transfer packet is measured at regular intervals, and when the cumulative value of the transfer data amount of a certain destination address is equal to or greater than a predetermined threshold, Regarding the packet having the destination address, in the next cycle, the control corresponding to the threshold excess amount is discarded, the total number of transfer packets and the transfer data amount for each header information of the received packet are observed at regular intervals, When the increase value of the number of transfer packets of certain header information and the cumulative value of the transfer data amount exceeds a predetermined threshold value, a control for discarding the packet holding the header information from the next period is given. In these controls, a transfer packet count table that counts the number of transfer packets with respect to the destination address, a transfer data amount count table that accumulates the transfer data amount with respect to the destination address, and an entry in each table at regular intervals. A function that saves the count value and saves the count value, compares the upper stored value with the threshold value, discards packets that exceed the threshold value at the time of comparison, and determines whether or not to continue discarding at regular intervals. It is necessary to have a function to be implemented.

パケット返送機能32は、返送経路設定機能34およびパケット返送テーブル35を有している。
返送経路設定機能34は、特定のアドレスを保有する宛先との間に転送経路を設定する機能と、特定のアドレスを保有する宛先との間に設定された転送経路を削除する機能を有している。例えば、コアネットワークがMPLSネットワークである際は、返送経路設定機能34がシグナリングプロトコルを使用し、特定のアドレスを保有する宛先との間にLSPを設定する。 The packet return function 32 has a return route setting function 34 and a packet return table 35.
The return route setting function 34 has a function of setting a transfer route with a destination having a specific address and a function of deleting a transfer route set between a destination having a specific address. Yes. For example, when the core network is an MPLS network, the return path setting function 34 uses a signaling protocol to set an LSP with a destination having a specific address.

パケット返送テーブル35は、受信パケットの入力論理ポートから、当該パケットの送信元パケット転送装置間に設定した転送経路に相当する出力論理ポートおよび出力物理ポートを導く機能を有しており、本実施例では、パケット返送テーブル35は、図10に示すように、受信ラベル、送信ラベル、出力リンク(Output)の欄を有しており、受信パケットのラベル値から、当該パケットの送信元パケット転送装置間に設定した転送経路に割り当てられているラベルおよび出力リンクを導く機能を有している。また、出力論理ポートと出力物理ポートを特定する機能を二つのテーブルに分割してもよい。この際は、入力論理ポートから出力論理ポートを特定するテーブルと、出力論理ポートから出力物理ポートを特定するテーブルを保有することになる。   The packet return table 35 has a function of deriving from the input logical port of the received packet an output logical port and an output physical port corresponding to the transfer path set between the transmission source packet transfer apparatuses of the packet. Then, as shown in FIG. 10, the packet return table 35 has columns of a reception label, a transmission label, and an output link (Output). From the label value of the received packet, the packet return table 35 transmits the packet between the transmission source packet transfer apparatuses. And a function for deriving the label and output link assigned to the transfer path set in (1). The function for specifying the output logical port and the output physical port may be divided into two tables. In this case, a table for specifying the output logical port from the input logical port and a table for specifying the output physical port from the output logical port are held.

パケット返送機能32は、後述のネットワーク制御装置から、特定のアドレス間に転送経路を設定する指示を受けた際に、返送経路設定機能34により、指定されたアドレス間に転送経路を設定するとともに、指定されたアドレスから転送経路を設定してきた際に、転送経路が設定された際に決まる当該経路に対応するラベルから、自身が転送経路を設定した際に決まる当該経路に対応するラベルを導くよう、パケット返送テーブル35に記述し、自身が転送経路を設定した際に決まる当該経路の出力先を当該経路に割り当てられたラベルと対となるようパケット返送テーブル35に記述する機能を有している。さらに、パケット返送機能32は、後述のネットワーク制御装置から、特定のアドレス間の転送経路を解除する指示を受けた際に、返送経路設定機能34により、指定されたアドレス間の転送経路を削除し、当該経路に対応するラベルに関するパケット返送テーブル36のエントリを削除する機能を有している。   When a packet return function 32 receives an instruction to set a transfer path between specific addresses from a network control device, which will be described later, the return path setting function 34 sets a transfer path between specified addresses, When the transfer route is set from the specified address, the label corresponding to the route determined when the transfer route is set is derived from the label corresponding to the route determined when the transfer route is set. The packet return table 35 has a function of describing in the packet return table 35 such that the output destination of the route determined when the transfer route is set by itself is paired with the label assigned to the route. . Further, the packet return function 32 deletes the transfer path between the designated addresses by the return path setting function 34 when receiving an instruction to release the transfer path between specific addresses from the network control device described later. The function of deleting the entry of the packet return table 36 relating to the label corresponding to the route.

サーバ接続部33は、ネットワーク制御装置からの指示を受け付け、ネットワーク制御装置からの指示を各機能へ受け渡す機能と、ネットワーク制御装置からの指示に基づく制御が完了した際に、当該処理の完了通知をネットワーク制御装置に送信する機能を有している。   When the server connection unit 33 receives an instruction from the network control device, passes the instruction from the network control device to each function, and completes the control based on the instruction from the network control device, the server connection unit 33 notifies the completion of the processing. Is transmitted to the network control device.

これにより、パケット処理装置は、ネットワーク制御装置からの指示に基づきパケット転送装置間に転送経路を設定するとともに、パケット転送装置から受信したパケットを、同パケット転送装置へ返送する。   Thereby, the packet processing device sets a transfer path between the packet transfer devices based on an instruction from the network control device, and returns a packet received from the packet transfer device to the packet transfer device.

また、図3で示したとおり、パケット転送装置において当該パケットのループ発生を防止する。これにより、パケット処理装置は、ルーチング制御機能を保有してネットワーク全体のルーチング情報を変更すること無くトラヒックを受信し、分析し、制御しつつパケット転送装置へ返送することができる。   Further, as shown in FIG. 3, the packet forwarding apparatus prevents the packet from being looped. Thus, the packet processing apparatus has a routing control function, and can receive, analyze, and return the traffic to the packet transfer apparatus without changing the routing information of the entire network.

図5に、本発明のネットワーク制御装置の構成例を示す。ネットワーク制御装置は、制御フロー管理機能36および外部装置制御部37を有している。
制御フロー管理機能36は、特定のパケットヘッダ情報を有するパケットに対する、当該パケットをパケット処理装置へ送信するパケット転送装置のアドレスと、当該パケット処理装置のアドレスを管理する機能と、新たに上記情報が追加になった際は、当該情報に関する制御の開始を外部装置制御部37に通知する機能と、上記情報を削除する際は、当該情報に関する制御の終了を外部装置制御部37に通知するとともに、外部装置制御部37から制御の完了通知を受信した隙に当該情報を削除する機能を有している。また、複数の種類のパケットヘッダ情報に対して同一のパケット処理装置とパケット転送装置の対を指定する場合、情報の追加の際には、同一のパケット処理装置とパケット転送装置の対に経路が設定されているかどうかを自身の保有する情報から特定し、経路を設定済みである際は、経路設定が不要であることを外部装置制御部37へ通知する。また、複数の種類のパケットヘッダ情報に対して同一のパケット処理装置とパケット転送装置の対を指定する場合、情報の削除の際には、同一のパケット処理装置とパケット転送装置間の経路を他のパケットヘッダ情報と共有しているかどうかを自身の保有する情報から特定し、経路を共有している際は、経路削除が不要であることを外部装置制御部37へ通知する。 FIG. 5 shows a configuration example of the network control apparatus of the present invention. The network control device has a control flow management function 36 and an external device control unit 37.
The control flow management function 36 includes a packet transfer device address for transmitting the packet to the packet processing device, a function for managing the address of the packet processing device, and the above information for a packet having specific packet header information. When added, a function for notifying the external device control unit 37 of the start of control related to the information and when deleting the information, the external device control unit 37 is notified of the end of control related to the information, It has a function of deleting the information when a control completion notification is received from the external device control unit 37. In addition, when the same packet processing device and packet transfer device pair is specified for a plurality of types of packet header information, when the information is added, there is a route to the same packet processing device and packet transfer device pair. Whether or not it is set is identified from the information held by itself, and when the route has been set, the external device control unit 37 is notified that the route setting is unnecessary. Also, when the same packet processing device and packet forwarding device pair is specified for multiple types of packet header information, when deleting the information, the route between the same packet processing device and the packet forwarding device is different. Whether or not the packet header information is shared is determined from the information held by itself, and when the route is shared, the external device control unit 37 is notified that the route deletion is unnecessary.

外部装置制御部37は、トンネル設定指示機能38、経路設定指示機能39を有している。
トンネル設定指示機能38は、制御フロー管理機能36から制御の開始を通知されたパケット転送装置とパケット処理装置に対し、パケット転送装置に対しては、パケット処理装置を示すアドレス宛に転送経路を設定するよう指示し、パケット処理装置に対しては、パケット転送装置を示すアドレス宛に転送経路を設定するよう指示する機能と、制御フロー管理機能36から制御の終了を通知されたパケット転送装置とパケット処理装置に対し、パケット転送装置に対しては、パケット処理装置を示すアドレス宛の転送経路を削除するよう指示し、パケット処理装置に対しては、パケット転送装置を示すアドレス宛の転送経路を削除するよう指示する機能を有している。 The external device control unit 37 has a tunnel setting instruction function 38 and a route setting instruction function 39.
The tunnel setting instruction function 38 sets a transfer path to the address indicating the packet processing device for the packet transfer device and the packet processing device notified of the start of control by the control flow management function 36. A function for instructing the packet processing device to set a transfer path addressed to the address indicating the packet transfer device, and the packet transfer device and packet notified of the end of control by the control flow management function 36 Instructs the processing device to delete the transfer path addressed to the address indicating the packet processing device to the packet transfer device, and deletes the transfer route addressed to the address indicating the packet transfer device to the packet processing device It has a function to instruct to do so.

経路設定指示機能39は、当該パケット転送装置と当該パケット処理装置間にされた転送経路に出力すべきパケットのヘッダ情報を制御フロー管理機能36から特定し、当該パケットヘッダ情報を保有するパケットを当該転送経路へ出力するエントリを第一転送テーブルへ追加するよう指示する機能と、特定のパケットヘッダ情報に関する第一転送テーブルのエントリを削除するようパケット転送装置へ指示する機能を有している。   The path setting instruction function 39 specifies the header information of the packet to be output to the transfer path between the packet transfer apparatus and the packet processing apparatus from the control flow management function 36, and the packet having the packet header information is It has a function of instructing to add an entry to be output to the transfer path to the first transfer table and a function of instructing the packet transfer apparatus to delete the entry of the first transfer table related to specific packet header information.

外部装置制御部37は、制御フロー管理機能36から、特定のパケットヘッダ情報を有するパケットに対する、当該パケットをパケット処理装置へ送信するパケット転送装置のアドレスと、当該パケット処理装置のアドレスを通知された際に、トンネル設定指示機能38により、当該装置間に転送経路を設定するよう当該装置に指示し、経路設定指示機能39により、当該パケット転送装置に対して、当該パケットヘッダ情報を有するパケットを新設した転送経路へ出力するためのエントリを第一転送テーブルヘ追加するよう指示する機能と、各制御の完了通知を当該装置から受信したかを管理し、一定時間通知の受信が確認できない際に、再度上記設定を試行する機能と、制御フロー管理機能36から、情報を削除する指示を受信した際に、トンネル設定指示機能38により、当該装置間の転送経路を削除するよう当該装置に指示し、経路設定指示機能39により、当該装置間の転送経路ヘパケットを出力するための第一転送テーブルエントリを削除するよう当該パケット転送装置に指示する機能と、各制御の完了通知を当該装置から受信したかを管理し、一定時間通知の受信が確認できない際に、再度上記設定を試行する機能と、各制御の完了通知を当該装置から受信した際に、制御フロー管理機能36に制御完了を通知する機能を有している。また、制御フロー管理機能36から新規の転送経路設定が不要であることを通知された際は、トンネル設定指示機能38による動作を省略する。また、制御フロー管理機能36から経路削除が不要であることを通知された際は、トンネル設定指示機能38による動作を省略する。   The external device control unit 37 is notified of the address of the packet transfer device that transmits the packet to the packet processing device and the address of the packet processing device for the packet having specific packet header information from the control flow management function 36. At this time, the tunnel setting instruction function 38 instructs the apparatus to set a transfer path between the apparatuses, and the route setting instruction function 39 newly sets a packet having the packet header information to the packet transfer apparatus. The function to instruct to add the entry for output to the transfer path to the first transfer table and whether the completion notification of each control has been received from the relevant device. When the instruction to delete the information is received from the function to try the above setting and the control flow management function 36 The tunnel setting instruction function 38 instructs the apparatus to delete the transfer path between the apparatuses, and the path setting instruction function 39 deletes the first transfer table entry for outputting a packet to the transfer path between the apparatuses. A function for instructing the packet transfer apparatus, a function for managing whether a notification of completion of each control is received from the apparatus, a function for trying the above setting again when reception of the notification for a certain time cannot be confirmed, and a function for each control When the completion notification is received from the device, the control flow management function 36 is notified of the completion of control. When notified from the control flow management function 36 that a new transfer path setting is unnecessary, the operation by the tunnel setting instruction function 38 is omitted. Further, when notified from the control flow management function 36 that route deletion is unnecessary, the operation by the tunnel setting instruction function 38 is omitted.

これにより、パケット転送装置とパケット処理装置間に動的に転送経路を設定し、パケットヘッダ条件に基づき、特定の転送パケットをパケット処理装置へ送信できる。   Thereby, a transfer path is dynamically set between the packet transfer device and the packet processing device, and a specific transfer packet can be transmitted to the packet processing device based on the packet header condition.

これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を、パケット処理装置で集中的に実施することが可能となり、異常トラヒック防御を低コストで実現できる。   As a result, abnormal traffic detection / analysis and control in the wide area network can be performed centrally by the packet processing device, and abnormal traffic protection can be realized at low cost.

次に、図6のネットワークモデルを用いて、本発明の動作例を示す。初期状態において、ユーザ#1からユーザ#5間で、パケット転送装置1、リンク101、パケット転送装置5、リンク105、パケット転送装置6、リンク103、パケット転送装置3経由でパケットを転送している。当該フローをパケット処理装置7へ迂回させる制御を実施するとする。   Next, an operation example of the present invention will be described using the network model of FIG. In the initial state, a packet is transferred between the user # 1 and the user # 5 via the packet transfer device 1, the link 101, the packet transfer device 5, the link 105, the packet transfer device 6, the link 103, and the packet transfer device 3. . It is assumed that control for detouring the flow to the packet processing device 7 is performed.

図7に、パケット処理装置への迂回制御前のパケット転送装置5の動作例を示す。
図7に示すように、第一転送機能23が有する第一転送テーブル27は入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)の欄を有しており、入出力論理ポート比較機能24が有する入出力論理ポート管理テーブル29は入力ラベル、出力ラベルの欄を有しており、第二転送機能25が有する第二転送テーブル30は入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)の欄を有している。この時点では、第一転送テーブル27および入出力論理ポート管理テーブル29には何も登録されていないが、第二転送テーブル30には図7に示すように入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)が登録されているとする。 FIG. 7 shows an operation example of the packet transfer apparatus 5 before the detour control to the packet processing apparatus.
As shown in FIG. 7, the first transfer table 27 included in the first transfer function 23 has columns of input label, destination address (destination), output label, and output link (Output). The input / output logical port management table 29 included in the function 24 has input label and output label fields, and the second transfer table 30 included in the second transfer function 25 includes an input label, a destination address (destination), an output label, It has a column for output link (Output). At this point, nothing is registered in the first transfer table 27 and the input / output logical port management table 29, but the second transfer table 30 has an input label, a destination address (destination), and an output as shown in FIG. Assume that a label and an output link (Output) are registered.

パケット転送装置5は、図7に示すように宛先アドレス(Dst)がユーザ#5であり送信元アドレス(Src)がユーザ#1であるパケットを受信した際に、第一転送機能23において、第一転送テーブルを参照し、出力先が特定できないため、第二転送機能25へパケットを転送し、第二転送機能25において、第二転送テーブルを参照し、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーから出力リンク105を特定し、当該パケットをリンク105へ出力する。リンク105に出力されたパケットは図6に示すようにパケット転送装置6、パケット転送装置3を経由して、ユーザ#5に転送される。   As shown in FIG. 7, when the packet transfer apparatus 5 receives a packet whose destination address (Dst) is user # 5 and whose source address (Src) is user # 1, in the first transfer function 23, Since the output destination cannot be specified by referring to one transfer table, the packet is transferred to the second transfer function 25. In the second transfer function 25, the second transfer table is referenced, the input label value is default, and the destination address is user. The output link 105 is specified from the search key # 5, and the packet is output to the link 105. The packet output to the link 105 is transferred to the user # 5 via the packet transfer device 6 and the packet transfer device 3 as shown in FIG.

図8に、パケット処理装置への迂回開始時のネットワーク制御装置の動作例を示す。
ネットワーク制御装置8は、制御対象とするヘッダ情報(宛先アドレスと送信元アドレスを含むパケットフロー情報)、当該パケットを抽出するパケット転送装置の識別子(例えばアドレス)、当該パケットを送信するパケット処理装置の識別子(例えばアドレス)が入力された際(通知を受けた際)に、当該情報を制御フロー管理機能36に保存する。すなわち、図8に示すように、制御フロー管理機能36には、宛先アドレス(Dst):ユーザ#5、パケット転送装置のアドレス:コア#5(パケット転送装置5のアドレス)、パケット処理装置のアドレス:コア#7(パケット処理装置7のアドレス)が保存される。なお、ネットワーク制御装置へのヘッダ情報、パケット転送装置の識別子、パケット処理装置の識別子の入力は、例えば、オペレータが怪しいトラヒックを検出した際に手入力で入力することができる。また、情報転送処理装置やAnomaly Detectorなどの異常トラヒック検出装置が異常トラヒックを検出した際に、通知を送信して入力することもできる。
さらに、下記の制御を実施する。
(a)トンネル設定指示機能38を用い、当該パケット転送装置を示すアドレスコア#5に対し、迂回先のパケット処理装置を示すアドレスコア#7への転送経路設定を指示する。
(b)トンネル設定指示機能38を用い、当該パケット処理装置を示すアドレスコア#7に対し、迂回元のパケット転送装置を示すアドレスコア#5への転送経路設定を指示する。
(c)経路設定指示機能39を用い、当該パケット転送装置を示すアドレスコア#5(パケット転送装置5)に対し、迂回先のパケット処理装置を示すアドレスコア#7(パケット処理装置7)への転送経路に割り当てられたラベルを、宛先アドレスがユーザ#5であるパケットへ付与するよう指示する。 FIG. 8 shows an operation example of the network control device at the start of detouring to the packet processing device.
The network control device 8 includes header information (packet flow information including a destination address and a source address) to be controlled, an identifier (for example, an address) of a packet transfer device that extracts the packet, and a packet processing device that transmits the packet. When an identifier (for example, an address) is input (when a notification is received), the information is stored in the control flow management function 36. That is, as shown in FIG. 8, the control flow management function 36 includes a destination address (Dst): user # 5, a packet transfer device address: core # 5 (packet transfer device 5 address), and a packet processing device address. : Core # 7 (address of packet processing device 7) is stored. The header information, the packet transfer device identifier, and the packet processing device identifier can be manually input when the operator detects suspicious traffic, for example. In addition, when an abnormal traffic detecting device such as an information transfer processing device or Anomaly Detector detects abnormal traffic, a notification can be transmitted and input.
Further, the following control is performed.
(A) The tunnel setting instruction function 38 is used to instruct the address core # 5 indicating the packet transfer apparatus to set the transfer path to the address core # 7 indicating the detour destination packet processing apparatus.
(B) The tunnel setting instruction function 38 is used to instruct the address core # 7 indicating the packet processing apparatus to set the transfer path to the address core # 5 indicating the detour packet transfer apparatus.
(C) Using the route setting instruction function 39, the address core # 5 (packet transfer device 5) indicating the packet transfer device is transferred to the address core # 7 (packet processing device 7) indicating the detour destination packet processing device. An instruction is given to assign the label assigned to the transfer path to the packet whose destination address is user # 5.

この際、制御フロー管理機能36が複数のフローを管理しており、パケット転送装置コア#5とパケット処理装置コア#7を保有する別エントリが存在する場合、(a)および(b)の処理は省略する。   At this time, when the control flow management function 36 manages a plurality of flows and there is another entry having the packet transfer device core # 5 and the packet processing device core # 7, the processing of (a) and (b) Is omitted.

図9に、パケット処理装置への迂回開始時のパケット転送装置5の動作例を示す。
パケット転送装置5は、ネットワーク制御装置8からの指示(a)に対し、論理ポート設定機能28を用いて、パケット処理装置コア#7に対して転送経路を設定し、ラベル#1を付与する。この際、パケット処理装置コア#7からも、(b)に対応する転送経路が設定される。パケット転送装置5は、第一転送機能23を用いて、前者の転送経路に付与されたラベル#1および後者の転送経路に付与されたラベル#2を特定し、入力ラベルをラベル#2、出力ラベルをラベル#1として入出力論理ポート管理テーブル29へ登録する。また、ネットワーク制御装置からの指示(c)に対し、指定されたヘッダ条件である「宛先アドレスがユーザ#5であるパケット」に対して、前記転送経路に割り当てたラベル#1およびラベル#1に対応する出力リンク106を特定するためのエントリを第一転送テーブル27に追加する。ここで、入力ラベル値は任意値とし、デフォルトも含めた全ての入力ラベル値に対して当該エントリを有効とする。これにより、図9に示すように、第一転送テーブル27には、入力ラベル:all、宛先アドレス:ユーザ#5、出力ラベル:ラベル#1、出力リンク(Output):106と登録され、入出力論理ポート管理テーブル29には、入力ラベル:ラベル#2、出力ラベル:ラベル#1と登録される。 FIG. 9 shows an operation example of the packet transfer device 5 at the start of detouring to the packet processing device.
In response to the instruction (a) from the network control device 8, the packet transfer device 5 uses the logical port setting function 28 to set a transfer path to the packet processing device core # 7 and assigns the label # 1. At this time, the transfer path corresponding to (b) is also set from the packet processing device core # 7. The packet transfer device 5 uses the first transfer function 23 to identify the label # 1 assigned to the former transfer route and the label # 2 assigned to the latter transfer route, label the input label as label # 2, and output The label is registered in the input / output logical port management table 29 as label # 1. Further, in response to the instruction (c) from the network control apparatus, the label # 1 and label # 1 assigned to the transfer path are assigned to the designated header condition “packet whose destination address is user # 5”. An entry for specifying the corresponding output link 106 is added to the first transfer table 27. Here, the input label value is an arbitrary value, and the entry is valid for all input label values including the default. As a result, as shown in FIG. 9, in the first transfer table 27, input label: all, destination address: user # 5, output label: label # 1, output link (Output): 106 are registered and input / output is performed. In the logical port management table 29, input label: label # 2 and output label: label # 1 are registered.

この際、図7と同パケットを受信すると、第一転送機能23において、第一転送テーブルを参照し、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーから出力ラベル#1、出力リンク106を特定し、入出力論理ポート比較機能24において、入力ラベル値がデフォルトであるため、第一転送機能23で特定した出力先を採用し、当該パケットにラベル#1を付与してリンク106へ出力する。   At this time, when the same packet as in FIG. 7 is received, the first transfer function 23 refers to the first transfer table, and from the search key that the input label value is the default and the destination address is the user # 5, the output label # 1, the output link Since the input label value is default in the input / output logical port comparison function 24, the output destination specified by the first transfer function 23 is adopted, the label # 1 is given to the packet, and the link 106 is specified. Output.

このように、制御対象とするヘッダ情報、当該パケットを抽出するパケット転送装置の識別子(例えばアドレス)、当該パケットを送信するパケット処理装置の識別子(例えばアドレス)がネットワーク制御装置に入力された際に、当該パケットをパケット処理装置へ送信することが可能となる。   As described above, when header information to be controlled, an identifier (for example, an address) of a packet transfer device that extracts the packet, and an identifier (for example, an address) of a packet processing device that transmits the packet are input to the network control device. The packet can be transmitted to the packet processing device.

図10に、パケット処理装置への迂回開始時のパケット処理装置7の動作例を示す。
パケット処理装置7は、ネットワーク制御装置からの指示(b)に対し、返送経路設定機能34を用いて、パケット転送装置コア#5に対して転送経路を設定し、ラベル#2を付与する。この際、パケット転送装置コア#5からも(a)に対応する転送経路が設定される。パケット処理装置は、パケット返送機能32を用いて、前者の転送経路に付与されたラベル#2および後者の転送経路に付与されたラベル#1を特定し、ラベル#1から返送用のラベル#2およびラベル#2に対する出力リンク106を特定するためのエントリをパケット返送テーブル35に設定する。これにより、図10に示すように、パケット返送テーブル35には、受信ラベル:ラベル#1、送信ラベル:ラベル#2、出力リンク(Output):106と登録される。 FIG. 10 shows an operation example of the packet processing device 7 at the start of detouring to the packet processing device.
In response to the instruction (b) from the network control device, the packet processing device 7 uses the return route setting function 34 to set a transfer route for the packet transfer device core # 5 and assigns label # 2. At this time, the transfer path corresponding to (a) is also set from the packet transfer apparatus core # 5. The packet processing device uses the packet return function 32 to identify label # 2 assigned to the former transfer path and label # 1 assigned to the latter transfer path, and return label # 2 from label # 1. An entry for specifying the output link 106 for label # 2 is set in the packet return table 35. As a result, as shown in FIG. 10, the packet return table 35 is registered with reception label: label # 1, transmission label: label # 2, and output link (Output): 106.

この際、図9のパケット転送装置5から転送されたラベル#1が付与されたパケットを受信すると、パケット処理機能31を中継し、制御対象とならなかったパケットをパケット返送機能32へ転送する。パケット返送機能32では、当該パケットのラベル#1から返送経路に出力するためのラベル#2および出力リンク106を特定し、ラベル#1を削除するとともにラベル#2で再カプセリングしてリンク106へ当該パケットを送信する。   At this time, when the packet with label # 1 transferred from the packet transfer apparatus 5 of FIG. 9 is received, the packet processing function 31 is relayed, and the packet that is not the control target is transferred to the packet return function 32. The packet return function 32 specifies the label # 2 and the output link 106 to be output from the label # 1 of the packet to the return path, deletes the label # 1, and re-encapsulates the label # 2 to the link 106. Send the packet.

このように、制御対象とするヘッダ情報、当該パケットを抽出するパケット転送装置の識別子(例えばアドレス)、当該パケットを送信するパケット処理装置の識別子(例えばアドレス)がネットワーク制御装置に入力された際に、当該パケットは、パケット処理装置へ送信され、パケット処理装置で分析された後、正常なトラヒックに関わるパケットは、パケットが抽出されたパケット転送装置へ返送される。   As described above, when header information to be controlled, an identifier (for example, an address) of a packet transfer device that extracts the packet, and an identifier (for example, an address) of a packet processing device that transmits the packet are input to the network control device. The packet is transmitted to the packet processing device, analyzed by the packet processing device, and then the packet related to normal traffic is returned to the packet transfer device from which the packet is extracted.

これにより、パケット処理装置への迂回経路設定および異常トラヒック分析・制御が可能となる。   This makes it possible to set a detour route to the packet processing device and to analyze and control abnormal traffic.

図11に、パケット処理装置への迂回制御後のパケット転送装置5の動作例を示す。
パケット転送装置5は、図10のパケット処理装置7から転送されたラベル#2が付与されたパケットを受信すると、第一転送機能23において、入力ラベル値がラベル#2、宛先アドレスがユーザ#5という検索キーを用いて第一転送テーブルを検索し、入力ラベル値任意、宛先アドレスがユーザ#5というエントリから、出力ラベル#1、出力リンク106を特定し、入出力論理ポート比較機能24において、入力ラベル#2から、対となるラベル#1を特定する。 FIG. 11 shows an operation example of the packet transfer apparatus 5 after the detour control to the packet processing apparatus.
When the packet transfer apparatus 5 receives the packet with label # 2 transferred from the packet processing apparatus 7 of FIG. 10, in the first transfer function 23, the input label value is label # 2 and the destination address is user # 5. In the input / output logical port comparison function 24, the output label # 1 and the output link 106 are specified from the entry whose input label value is arbitrary and the destination address is user # 5. A pair of label # 1 is specified from input label # 2.

この際、入出力論理ポート比較機能24で特定した出力ラベル値と第一転送機能23で特定した出力ラベル値が同一であるため、入力ラベル値ラベル#2を無効とした後、第二転送機能25へパケットを転送し、第二転送機能25において、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーを用いて第二転送テーブルを検索し、出力リンク105を特定し、当該パケットをリンク105へ出力する。   At this time, since the output label value specified by the input / output logical port comparison function 24 and the output label value specified by the first transfer function 23 are the same, after the input label value label # 2 is invalidated, the second transfer function The second transfer function 25 searches the second transfer table using a search key whose input label value is default and destination address is user # 5 in the second transfer function 25, specifies the output link 105, Output to the link 105.

このように、パケット転送装置では、パケット処理装置から受信したパケットに関しては、当該パケットをパケット処理装置へ送信する際に適用した第一転送機能ではなく、通常時の転送情報を保有する第二転送機能を適用する。これにより、当該パケットが当該パケット転送装置とパケット処理装置との間でループすることを防止する。   As described above, in the packet transfer apparatus, the second transfer that holds the normal transfer information, not the first transfer function applied when transmitting the packet to the packet processing apparatus, with respect to the packet received from the packet processing apparatus. Apply function. This prevents the packet from looping between the packet transfer device and the packet processing device.

図12に、パケット処理装置への迂回制御後の転送経路を示す。ユーザ#1からユーザ#5間で、パケット転送装置1、リンク101、パケット転送装置5、リンク106、パケット処理装置7、リンク106、パケット転送装置5、リンク105、パケット転送装置6、リンク103、パケット転送装置3経由でパケットを転送している。   FIG. 12 shows a transfer path after detour control to the packet processing device. Between user # 1 and user # 5, packet transfer device 1, link 101, packet transfer device 5, link 106, packet processing device 7, link 106, packet transfer device 5, link 105, packet transfer device 6, link 103, Packets are transferred via the packet transfer device 3.

このように、本発明は、パケット転送装置5およびパケット処理装置7間でのループを防止しつつ、特定のパケットをパケット処理装置7へ迂回させることができる。   Thus, the present invention can bypass a specific packet to the packet processing device 7 while preventing a loop between the packet transfer device 5 and the packet processing device 7.

以上説明したパケット転送装置、パケット処理装置、ネットワーク制御装置は、その機能を実現する手段を有しており、その手段はコンピュータとプログラムを用いて構成できる。また、そのプログラムの一部または全部に換えてハードウェアを用いてもよい。   The packet transfer device, the packet processing device, and the network control device described above have means for realizing the functions, and the means can be configured using a computer and a program. Further, hardware may be used in place of part or all of the program.

以上、実施例により詳細に説明したが、本実施例のトラヒック分析・制御システムを構成するネットワーク制御装置とパケット処理装置とパケット転送装置はそれぞれ次の特徴を有する。   As described above in detail with reference to the embodiments, the network control device, the packet processing device, and the packet transfer device that constitute the traffic analysis / control system of the present embodiment have the following characteristics.

ネットワーク制御装置は、パケット転送装置の識別子と、宛先アドレスと送信元アドレスを含むパケットフロー情報と、で構成される制御情報の通知を受ける手段と、前記パケット転送装置の識別子に該当するパケット転送装置に対して、パケット処理装置への転送経路設定を指示する手段と、前記パケット処理装置に対して、前記パケット転送装置への転送経路設定を指示する手段と、前記パケット転送装置に対して、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を、前記パケットフロー情報の宛先アドレス宛のパケットへ付与するよう指示する手段と、を備える。   A network control device for receiving notification of control information including an identifier of a packet transfer device, packet flow information including a destination address and a source address, and a packet transfer device corresponding to the identifier of the packet transfer device Means for instructing transfer path setting to the packet processing device, means for instructing the packet processing device to set transfer route to the packet transfer device, and Means for instructing to assign an identifier of the logical port assigned to the transfer path to the packet processing device to the packet addressed to the destination address of the packet flow information.

パケット処理装置は、前記ネットワーク制御装置から指示されたパケット転送装置への転送経路を設定する手段と、パケット通過制御処理を実施する手段と、前記パケット転送装置から受信したパケットに対してパケット通過制御処理を実施した後、前記パケットに前記パケット転送装置への転送経路に割り当てた論理ポートの識別子を付与し、前記パケット転送装置に返送する手段と、を備える。   The packet processing device includes: means for setting a transfer path to the packet transfer device designated by the network control device; means for performing packet pass control processing; and packet pass control for the packet received from the packet transfer device. Means for assigning a logical port identifier assigned to a transfer path to the packet transfer apparatus to the packet and returning the packet to the packet transfer apparatus after processing.

パケット転送装置は、前記ネットワーク制御装置から指示されたパケット処理装置への転送経路を設定する手段と、パケットのヘッダ情報と、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を登録する第一の転送テーブルと、パケットのヘッダ情報と、前記パケット処理装置への転送経路以外のパケットを出力する転送経路を登録する第二の転送テーブルと、前記パケット処理装置からの転送経路からパケットが入力される論理ポートの識別子と、前記パケット処理装置への転送経路へパケットを出力する論理ポートの識別子の対を比較する入出力論理ポート比較手段と、を備える。そして、パケットが入力されると、前記第一の転送テーブルを参照して、前記パケットを出力すべき論理ポートの識別子を探索し、論理ポートの識別子が特定できた場合には、前記入出力論理ポート比較手段により、前記パケットに付与された論理ポートの識別子と前記パケットを出力すべき論理ポートの識別子が対を成さないか否かを判定し、対を成さないと判定された場合には、前記第一の転送テーブルにより特定された論理ポートに、前記パケットに前記論理ポートの識別子を付与して、出力し、対を成すと判定された場合と、前記第一の転送テーブルによりパケットを出力すべき論理ポートが特定できなかった場合には、前記第二の転送テーブルを参照して、前記パケットを出力すべき転送経路を特定して、前記第二の転送テーブルにより特定された転送経路に前記パケットを出力する。   The packet transfer apparatus registers a means for setting a transfer path to the packet processing apparatus instructed by the network control apparatus, packet header information, and an identifier of a logical port assigned to the transfer path to the packet processing apparatus. Packets are sent from the first forwarding table, the packet header information, the second forwarding table for registering the forwarding route for outputting packets other than the forwarding route to the packet processing device, and the forwarding route from the packet processing device. Input / output logical port comparison means for comparing the input logical port identifier and the logical port identifier pair that outputs the packet to the transfer path to the packet processing device. When a packet is input, the identifier of the logical port to which the packet is to be output is searched with reference to the first forwarding table, and when the identifier of the logical port can be specified, the input / output logic When it is determined by the port comparison means whether or not the logical port identifier assigned to the packet and the logical port identifier to which the packet is to be output do not form a pair, When the logical port specified by the first forwarding table is assigned with the logical port identifier to the packet, and is output, and the packet is judged by the first forwarding table If the logical port to which the packet is to be output cannot be identified, the second forwarding table is identified by referring to the second forwarding table to identify the forwarding route to which the packet is to be outputted. Outputting the packet to a more particular transfer path.

これにより、パケット通過制御処理を実施したいトラヒックを、パケット処理装置へループを防止しつつ送信でき、その際、パケット処理装置がルーチング制御機能を保有してネットワーク全体のルーチング情報を変更する必要は無く、且つ、パケット転送装置がパケット処理装置を保有する必要も無い。従って、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。   As a result, it is possible to transmit the traffic to be subjected to the packet passing control process to the packet processing apparatus while preventing a loop, and at that time, the packet processing apparatus does not need to have the routing control function and change the routing information of the entire network. In addition, there is no need for the packet transfer device to have a packet processing device. Therefore, the abnormal traffic detection / analysis and control in the wide area network can be realized at low cost.

以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。   As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Of course.

本発明を適用するネットワークのネットワークモデルの一例を示している。2 shows an example of a network model of a network to which the present invention is applied. 本発明を適用するネットワークの物理モデルの一例を示している。2 shows an example of a physical model of a network to which the present invention is applied. 本発明のパケット転送装置の構成例を示している。1 shows a configuration example of a packet transfer apparatus according to the present invention. 本発明のパケット処理装置の構成例を示している。1 shows a configuration example of a packet processing apparatus according to the present invention. 本発明のネットワーク制御装置の構成例を示している。2 shows a configuration example of a network control device of the present invention. パケット処理装置への迂回制御前の転送経路例を示している。The transfer path example before the detour control to the packet processing device is shown. パケット処理装置への迂回制御前のパケット転送装置5の動作例を示している。The operation example of the packet transfer apparatus 5 before the detour control to a packet processing apparatus is shown. パケット処理装置への迂回制御開始時のネットワーク制御装置の動作例を示している。An example of the operation of the network control device when starting detour control to the packet processing device is shown. パケット処理装置への迂回制御開始時のパケット転送装置5の動作例を示している。The operation example of the packet transfer apparatus 5 at the time of the start of the detour control to a packet processing apparatus is shown. パケット処理装置への迂回制御開始時のパケット処理装置7の動作例を示している。An operation example of the packet processing device 7 at the time of starting detour control to the packet processing device is shown. パケット処理装置への迂回制御後のパケット転送装置5の動作例を示している。The operation example of the packet transfer apparatus 5 after the detour control to a packet processing apparatus is shown. パケット処理装置への迂回制御後の転送経路例を示している。The transfer path example after the detour control to the packet processing device is shown.

符号の説明Explanation of symbols

1〜6…パケット転送装置、7…パケット処理装置、8…ネットワーク制御装置、9〜16…ユーザ端末、17〜20…アクセス網、21…コアネットワーク、22…ユーザネットワーク、23…第一転送機能、24…入出力論理ポート比較機能、25…第二転送機能、26…サーバ接続部、27…第一転送テーブル、28…論理ポート設定機能、29…入出力論理ポート管理テーブル、30…第二転送テーブル、31…パケット処理機能、32…パケット返送機能、33…サーバ接続部、34…返送経路設定機能、35…パケット返送テーブル、36…制御フロー管理機能、37…外部装置制御部、38…トンネル設定指示機能、39…経路設定指示機能、101〜114…リンク DESCRIPTION OF SYMBOLS 1-6 ... Packet transfer apparatus, 7 ... Packet processing apparatus, 8 ... Network control apparatus, 9-16 ... User terminal, 17-20 ... Access network, 21 ... Core network, 22 ... User network, 23 ... First transfer function 24 ... Input / output logical port comparison function, 25 ... Second transfer function, 26 ... Server connection unit, 27 ... First transfer table, 28 ... Logical port setting function, 29 ... Input / output logical port management table, 30 ... Second Transfer table 31 ... Packet processing function 32 ... Packet return function 33 ... Server connection unit 34 ... Return path setting function 35 ... Packet return table 36 ... Control flow management function 37 ... External device control unit 38 ... Tunnel setting instruction function, 39 ... route setting instruction function, 101 to 114 ... link

Claims (3)

ネットワーク制御装置とパケット処理装置とパケット転送装置とを有するトラヒック分析・制御システムであって、
前記ネットワーク制御装置は、
パケット転送装置の識別子と、宛先アドレスと送信元アドレスを含むパケットフロー情報と、で構成される制御情報の通知を受ける手段と、
前記パケット転送装置の識別子に該当するパケット転送装置に対して、前記パケット処理装置への転送経路設定を指示する手段と、
前記パケット処理装置に対して、前記パケット転送装置への転送経路設定を指示する手段と、
前記パケット転送装置に対して、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を、前記パケットフロー情報の宛先アドレス宛のパケットへ付与するよう指示する手段と、
を備え、
前記パケット処理装置は、
前記ネットワーク制御装置から指示されたパケット転送装置への転送経路を設定する手段と、
パケット通過制御処理を実施する手段と、
前記パケット転送装置から受信したパケットに対してパケット通過制御処理を実施した後、前記パケットに前記パケット転送装置への転送経路に割り当てた論理ポートの識別子を付与し、前記パケット転送装置に返送する手段と、
を備え、
前記パケット転送装置は、
前記ネットワーク制御装置から指示されたパケット処理装置への転送経路を設定する手段と、
パケットのヘッダ情報と、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を登録する第一の転送テーブルと、
パケットのヘッダ情報と、前記パケット処理装置への転送経路以外のパケットを出力する転送経路を登録する第二の転送テーブルと、
前記パケット処理装置からの転送経路からパケットが入力される論理ポートの識別子と、前記パケット処理装置への転送経路へパケットを出力する論理ポートの識別子の対を比較する入出力論理ポート比較手段と、
を備え、
前記パケット転送装置は、
パケットが入力されると、前記第一の転送テーブルを参照して、前記パケットを出力すべき論理ポートの識別子を探索し、論理ポートの識別子が特定できた場合には、前記入出力論理ポート比較手段により、前記パケットに付与された論理ポートの識別子と前記パケットを出力すべき論理ポートの識別子が対を成さないか否かを判定し、
対を成さないと判定された場合には、前記第一の転送テーブルにより特定された論理ポートに、前記パケットに前記論理ポートの識別子を付与して、出力し、
対を成すと判定された場合と、前記第一の転送テーブルによりパケットを出力すべき論理ポートが特定できなかった場合には、前記第二の転送テーブルを参照して、前記パケットを出力すべき転送経路を特定して、前記第二の転送テーブルにより特定された転送経路に前記パケットを出力する
ことを特徴とするトラヒック分析・制御システム。 A traffic analysis / control system having a network control device, a packet processing device, and a packet transfer device,
The network controller is
Means for receiving notification of control information comprising an identifier of a packet transfer device, and packet flow information including a destination address and a source address;
Means for instructing a packet transfer device corresponding to the identifier of the packet transfer device to set a transfer route to the packet processing device;
Means for instructing the packet processing device to set a transfer route to the packet transfer device;
Means for instructing the packet transfer apparatus to assign an identifier of a logical port assigned to a transfer path to the packet processing apparatus to a packet addressed to a destination address of the packet flow information;
With
The packet processing device
Means for setting a transfer path to the packet transfer apparatus instructed from the network control apparatus;
Means for performing packet passing control processing;
Means for assigning a logical port identifier assigned to a transfer path to the packet transfer apparatus and returning the packet to the packet transfer apparatus after performing packet passage control processing on the packet received from the packet transfer apparatus When,
With
The packet transfer device includes:
Means for setting a transfer path to the packet processing device instructed by the network control device;
A first transfer table for registering packet header information, and an identifier of a logical port assigned to a transfer path to the packet processing device;
Packet transfer header information, a second transfer table for registering a transfer route for outputting a packet other than the transfer route to the packet processing device, and
An input / output logical port comparing means for comparing a pair of logical port identifiers to which packets are input from a transfer path from the packet processing device and a logical port identifier for outputting packets to the transfer route to the packet processing device;
With
The packet transfer device includes:
When a packet is input, the identifier of the logical port to which the packet is to be output is searched with reference to the first forwarding table, and when the logical port identifier can be specified, the input / output logical port comparison is performed. Means for determining whether the identifier of the logical port assigned to the packet and the identifier of the logical port to which the packet is to be output do not form a pair;
If it is determined that the pair is not formed, the logical port identified by the first forwarding table is assigned the logical port identifier to the packet and output,
When it is determined that a pair is formed, and when the logical port to which a packet is to be output cannot be specified by the first transfer table, the packet should be output with reference to the second transfer table. A traffic analysis / control system characterized by specifying a transfer route and outputting the packet to a transfer route specified by the second transfer table. 請求項1に記載のトラヒック分析・制御システムであって、
前記パケット処理装置のパケット通過制御処理を実施する手段は、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄することを特徴とするトラヒック分析・制御システム。 The traffic analysis / control system according to claim 1,
The means for performing the packet passing control process of the packet processing device measures the cumulative value of the transfer data amount for each destination address of the transfer packet at regular intervals, and the cumulative value of the transfer data amount of a certain destination address is predetermined. A traffic analysis / control system characterized by discarding a packet corresponding to a threshold excess amount in the next period for a packet having the destination address when the threshold value is exceeded. 請求項1に記載のトラヒック分析・制御システムであって、
前記パケット処理装置のパケット通過制御処理を実施する手段は、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄することを特徴とするトラヒック分析・制御システム。 The traffic analysis / control system according to claim 1,
The means for carrying out the packet passage control processing of the packet processing device observes the total number of transfer packets and transfer data amount for each header information of the received packet at regular intervals, and transfers the number of transfer packets and transfer data of certain header information. A traffic analysis / control system characterized by discarding a packet having the header information from the next period when an increase value of a cumulative value of a quantity exceeds a predetermined threshold value.
JP2006234736A 2006-08-31 2006-08-31 Traffic analysis and control system Expired - Fee Related JP4244356B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006234736A JP4244356B2 (en) 2006-08-31 2006-08-31 Traffic analysis and control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006234736A JP4244356B2 (en) 2006-08-31 2006-08-31 Traffic analysis and control system

Publications (2)

Publication Number Publication Date
JP2008060865A JP2008060865A (en) 2008-03-13
JP4244356B2 true JP4244356B2 (en) 2009-03-25

Family

ID=39243123

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006234736A Expired - Fee Related JP4244356B2 (en) 2006-08-31 2006-08-31 Traffic analysis and control system

Country Status (1)

Country Link
JP (1) JP4244356B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5207082B2 (en) * 2010-01-15 2013-06-12 日本電気株式会社 Computer system and computer system monitoring method
US20120320920A1 (en) * 2010-12-01 2012-12-20 Ippei Akiyoshi Communication system, control device, communication method, and program
JP5670279B2 (en) * 2011-08-10 2015-02-18 エヌ・ティ・ティ・コミュニケーションズ株式会社 Virtual network control device, virtual network control method, virtual network control system, and program
CN110392034B (en) * 2018-09-28 2020-10-13 新华三信息安全技术有限公司 Message processing method and device

Also Published As

Publication number Publication date
JP2008060865A (en) 2008-03-13

Similar Documents

Publication Publication Date Title
JP4547340B2 (en) Traffic control method, apparatus and system
US20190297017A1 (en) Managing network congestion using segment routing
EP1433287B1 (en) Protection switching in a communications network employing label switching
CN107547383B (en) Path detection method and device
JP5411134B2 (en) Method and mechanism for port redirection in a network switch
EP2992643B1 (en) Technique of operating a network node for load balancing
EP3366020B1 (en) Sdn controller assisted intrusion prevention systems
US20070153763A1 (en) Route change monitor for communication networks
US9813448B2 (en) Secured network arrangement and methods thereof
US20130266017A1 (en) Communication system, control apparatus, communication method, and program
US9083602B2 (en) Communication system and communication device
EP3783837B1 (en) Service fault locating method and apparatus
WO2011076029A1 (en) Method and apparatus for implementing fast reroute
CN113037731B (en) Network flow control method and system based on SDN architecture and honey network
JP4244356B2 (en) Traffic analysis and control system
Agarwal et al. DDoS mitigation via regional cleaning centers
US10374922B2 (en) In-band, health-based assessments of service function paths
JP4279324B2 (en) Network control method
JP4260848B2 (en) Network control method
JP4516612B2 (en) Network control method and network control device
KR20110009813A (en) Attack monitoring and tracing system and method in all ip network environment
CN108092866B (en) Method, equipment and system for switching tunnel
JP2005260618A (en) Network system
KR101394383B1 (en) Router deploying system in the AS for DDoS Attack defense
JP2006165910A (en) Illegal intrusion detection system, illegal intrusion detection device and management device

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081001

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081007

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081224

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081226

R150 Certificate of patent or registration of utility model

Ref document number: 4244356

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120116

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130116

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees