JP5229109B2 - Packet relay processing unit - Google Patents

Packet relay processing unit Download PDF

Info

Publication number
JP5229109B2
JP5229109B2 JP2009123037A JP2009123037A JP5229109B2 JP 5229109 B2 JP5229109 B2 JP 5229109B2 JP 2009123037 A JP2009123037 A JP 2009123037A JP 2009123037 A JP2009123037 A JP 2009123037A JP 5229109 B2 JP5229109 B2 JP 5229109B2
Authority
JP
Grant status
Grant
Patent type
Prior art keywords
session
packet
server
unit
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009123037A
Other languages
Japanese (ja)
Other versions
JP2009217841A (en )
Inventor
邦昭 嶋田
乾 横山
敏彦 栗田
恒男 勝山
健 川崎
浩一 高場
博靖 ▲蔭▼山
Original Assignee
富士通株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Grant date

Links

Images

Description

本発明は、パケット中継処理装置に関する。 The present invention relates to a packet relay apparatus.

現在、WWW(World Wide Web)やE−mail、携帯電話におけるパケット通信サービスの普及により、インターネットが急速に大規模化している。 Currently, WWW (World Wide Web) and E-mail, with the spread of the packet communication service for mobile phones, the Internet is rapidly on a large scale. それに伴い、ネットワークのさらなる高速化や、セキュリティ等の高機能化の要求が高まって来ている。 Along with that, and further speeding up of the network, it has come an increasing demand for higher functions of security, and the like. 現状のネットワークサービスの実行形態は、サーバと、NIC(Network Interface Card)等のネットワーク接続装置という構成が一般的である。 Implementation for current network service, a server, configured as a network connecting device such as a NIC (Network Interface Card) are common. 昨今のネットワークサービスは複雑化してきており、様々な、そして新しい要求に対し柔軟に対応できるという点で、サーバというプラットホームが適している。 Recent network service has been complicated in that different, and a new request to flexibly cope, the platform that the server is suitable.

図39に従来のパケット中継処理装置の構成を示す。 It shows the configuration of a conventional packet relay processing apparatus in FIG. 39. 同図はサーバとネットワーク接続装置がネットワーク上で、サービスを実現する一般的な構成を示しており、矢印は制御情報の流れ、太い矢印はパケット情報を示す。 The figure on the network server and the network connection device shows a general configuration for realizing the service, arrow the flow of control information, and a thick arrow indicates a packet information.

同図において、100はサーバであり、パケット処理部101と、サービス1処理部〜サービスn処理部102と、サービス1制御部〜サービスn制御部103を備える。 In the figure, 100 is a server, comprises a packet processing unit 101, a service 1 processor-service n processing unit 102, a service 1 controller-service n controller 103.
サービス1処理部〜サービスn処理部102は、サービス1制御部〜サービスn制御部103で定めるポリシーに従い、セッション管理やルーティングを行うとともに、フィルタリングや負荷分散等のサービス処理を行う。 Service 1 processor-service n processing unit 102 in accordance with policies defined by the service 1 controller-service n controller 103, performs session management and routing, perform service processing filtering and load balancing, and the like.

104はネットワーク接続装置であり、ネットワーク接続部を介してネットワークから入力されたパケットは、ネットワーク接続装置104、パケット通信部105を介してサーバ100のパケット処理部101に送られ、パケットが処理される。 104 is a network connection device, a packet input from the network via the network connection unit, a network connection device 104, via the packet communication unit 105 is sent to the packet processing unit 101 of the server 100, the packet is processed .

特開2000−349851号公報 JP 2000-349851 JP 特開平11−4261号公報 JP 11-4261 discloses 特開2001−16254号公報 JP 2001-16254 JP

最近の急激なインターネットの大規模化のため、ネットワークを流れるパケットの量は指数関数的な伸びを示している。 For the scale of the recent rapid Internet, the amount of packets flowing network shows an exponential growth. このため、従来のサーバでは、要求される処理速度に応えきれなくなってきており、サーバを高速化する技術が求められている。 Therefore, in the conventional server, it has become not fully meet the processing speed required, techniques for speeding up the server are required. また、新しいプラットホームを作る上で、サーバの多くのサービスを統合することができるという点は、できる限り損なわないようにしたい。 Further, in making a new platform that can integrate many services servers, we want to prevent impaired as possible.

本発明は上記問題を解決するためになされたものであって、多くのネットワークサービスで使用している共通処理を、ネットワーク接続装置に配置することにより、サーバのサービス処理を高速化することを目的とする。 The present invention was made to solve the above problems, a common process that is used in many network services, by placing the network connection device, intended to speed up the service processing server to.

パケット処理方法において、ネットワーク接続装置は、受信したパケットのセッション毎に、該パケットに適用すべき処理とサーバへのパケット転送の要又は不要を示す情報を記憶し、前記受信したパケットのセッションに対応して記憶された情報のうち、前記サーバへのパケット転送の要又は不要を示す情報が要である場合に、該受信したパケットを前記サーバに転送し、前記サーバは、転送された前記パケットに対して所定の処理を行い、前記セッションについて、以降の受信パケットについて該サーバでの処理が不要である場合に、前記セッションに対応して記憶された情報のうち、該サーバへのパケット転送の要の情報を不要に変更し、前記サーバは、 受信したパケットに含まれる種別情報に基づいて該サーバの負荷を分散させる処 In the packet processing method, a network connection device, each of the received packet session, stores the essential or information indicating the unnecessary packet transfer to the process and the server to be applied to the packet, corresponding to said received packet session of to information stored, when the information indicating the essential or unnecessary packet transfer to the server is needed, and forwards the received packets to the server, the transferred the packet It performs predetermined processing for, for the session, if the processing in the server is not required for the subsequent received packet, among the information stored in correspondence with the session, a main packet forwarding to the server change the information unnecessarily, the server processing to distribute the load of the server based on the type information contained in the received packet を行うと判定した場合、 前記パケットに含まれるURL(Uniform Resource Locator)を用いて、URLと該負荷の振分先となる振分先サーバとが関係づけられた情報を参照して該負荷の振分先となる振分先サーバが決定されるまで、該振分先サーバに代わって応答することを特徴とする If it is determined that performing, by using a URL (Uniform Resource Locator) contained in the packet, the URL and the load distribution destination to become distribution destination server and referring to the information associated relationship of the load until distribution destination server to which the distribution destination is determined, characterized in that it responds on behalf of the shake amount destination server.

本発明によれば、従来サーバ上に配置していた機能をネットワーク接続装置で行っているので、サーバのCPU使用率を下げることができる。 According to the present invention, a conventional function which has been placed on the server because it performed in the network connection device, it can reduce the CPU utilization of the server.

本発明の1つの態様の構成および動作を説明する図である。 It is a diagram for explaining the configuration and operation of one embodiment of the present invention. 本発明の第1の実施例のパケット中継処理装置の構成を示す図である。 It is a diagram showing the configuration of a packet relay processing apparatus of the first embodiment of the present invention. 転送パケットのフレーム構成を示す図である。 It is a diagram illustrating a frame structure of a transfer packet. パケット処理部の処理フローを示す図である。 It is a diagram depicting a processing flow of the packet processing unit. セッション管理部の処理フローを示す図である。 It is a diagram depicting a processing flow of a session management unit. セッションテーブルの構成例を示す図である。 It is a diagram illustrating a configuration example of a session table. TCPの状態遷移を示す図である。 It is a diagram showing a TCP state transition. TCPのセッション開始からセッション終了までの状態遷移を説明する図である。 From the TCP session initiation is a diagram for explaining a state transition to the end of the session. UDPの状態遷移を示す図である。 It is a diagram showing a UDP state transition. 本発明の第2の実施例のパケット中継処理装置の構成を示す図である。 Is a diagram showing the configuration of a packet relay processing apparatus according to a second embodiment of the present invention. 第2の実施例のセッション管理部、外部セッション管理部における処理フローを示す図である。 Session management module of the second embodiment, and shows a processing flow in the external session managing unit. 本発明の第3の実施例のパケット中継処理装置の構成を示す図である。 It is a diagram showing the configuration of a third embodiment of the packet relay processing apparatus of the present invention. 第3実施例に係わるセッションテーブルの構成例を示す図である。 It is a diagram illustrating a configuration example of a session table according to the third embodiment. 第3実施例にかかわるポリシーテーブルの構成例を示す図である。 It is a diagram illustrating a configuration example of a policy table according to the third embodiment. 本発明の第3の実施例のセッション管理部の処理フローを示す図である。 It is a diagram depicting a processing flow of the session management portion of the third embodiment of the present invention. 第3の実施例の処理振分部及びサービス処理部における処理フローを示す図である。 It is a diagram illustrating a processing flow in the processing assignment unit and the service processing unit of the third embodiment. 第3実施例におけるポリシー検索終了後の負荷分散サービスでのパケッフローを示す図である。 It is a diagram illustrating a Pakeffuro in load balancing service after policy search completion in the third embodiment. 本発明の第4の実施例のパケット中継処理装置の構成を示す図である。 It is a diagram showing a configuration of a fourth embodiment of a packet relay processing apparatus of the present invention. 第4の実施例に係わる処理振分部、サービス処理部及び外部サービス処理部における処理の手順を示すフローチャートである。 Processing assignment unit according to the fourth embodiment, is a flowchart illustrating a procedure of processing in the service processing unit and the external service processing unit. 本発明の第5の実施例のパケット中継処理装置の構成を示す図である。 Is a diagram showing the configuration of a packet relay processing apparatus according to the fifth embodiment of the present invention. 第5実施例に係わるセッションテーブルの一例を示す図(その1)である。 It illustrates an example of a session table according to the fifth embodiment; FIG. 第5実施例に係わるセッションテーブルの一例を示す図(その2)である。 It illustrates an example of a session table according to the fifth embodiment; FIG. 第5実施例におけるパケット詳細解析終了後のセッションテーブルの一例を示す図(その1)である。 It illustrates an example of a session table after packet details analyzing finished in the fifth embodiment; FIG. 第5実施例におけるパケット詳細解析終了後のセッションテーブルの一例を示す図(その2)である。 It illustrates an example of a session table after packet details analyzing finished in the fifth embodiment; FIG. 詳細解析用セッションテーブルの構成例を示す図である。 It is a diagram illustrating a configuration example of a detailed analysis session table. 詳細解析用ポリシーテーブルの構成例を示す図である。 It is a diagram illustrating a configuration example of a detailed analysis policy table. 第5実施例に係わるパケット中継処理装置の動作概念を示す図である。 Is a diagram illustrating an operation concept of the packet relay apparatus according to the fifth embodiment. 第5の実施例に係わる処理振分部、サービス処理部及びパケット詳細解析部における処理の手順を示すフローチャートである。 Processing assignment unit according to the fifth embodiment, is a flowchart illustrating a procedure of processing in the service processing unit and the packet details analyzing unit. パケット詳細解析部における処理の手順を示すフローチャートである。 It is a flowchart illustrating a procedure of processing in the packet details analyzing unit. URLフィルタリングの動作を説明する図である。 It is a diagram for explaining the operation of the URL filtering. URL負荷分散サービスの動作を説明する図である。 It is a diagram for explaining the operation of the URL load balancing service. FTPフィルタリングの動作を説明する図である。 It is a diagram for explaining the operation of the FTP filtering. 第5実施例における詳細解析前のURL負荷分散サービスでのパケットフローを示す図である。 Is a diagram illustrating the packet flow of the detailed analysis before URL load balancing service in the fifth embodiment. 第5実施例における詳細解析後のURL負荷分散サービスでのパケットフローを示す図である。 It is a diagram illustrating the packet flow of a URL load balancing service after detailed analysis of the fifth embodiment. フラグテーブルのデータ構造の一例を示す図である。 Is a diagram illustrating an example of the data structure of the flag table. コンピュータの構成図である。 It is a block diagram of a computer. コンピュータにプログラムやデータを供給する記録媒体や伝送信号を説明する図である。 Programs and data into the computer is a diagram for explaining a recording medium or a transmission signal supplying. サーバ及びネットワーク接続装置へのプログラムやデータのローディングを説明する図である。 Is a diagram illustrating the loading of programs or data to the server and the network connection device. 従来のパケット中継処理装置の構成を示す図である。 It is a diagram showing a configuration of a conventional packet relay processing unit.

図1は、本発明の1つの態様の構成および動作を説明する図である。 Figure 1 is a diagram illustrating the construction and operation of one embodiment of the present invention. 同図において、1はサーバ、2はネットワーク接続装置である。 In the figure, 1 is the server, 2 is a network connection device. 本発明においては、ネットワーク接続装置を統合し、従来サーバ上に配置していたパケット処理部とセッション管理部をネットワーク接続装置2上に配置してパケット中継処理部を構成し、該パケット中継処理部により、ネットワーク接続装置2上でセッション管理に基づくパケット中継処理を行う。 In the present invention, by integrating a network connection device, a conventional packet processing unit has been placed on the server and the session management unit arranged on the network connecting device 2 constitute a packet relay processing unit, the packet relay processing unit Accordingly, a packet relaying process based on the session management on the network connecting device 2.

また、ネットワーク接続装置2上に、処理振分部2cと複数のサービス処理部2dを設け、サーバ1により設定されるポリシーに従って、処理振分部2cにより、複数のサービス処理部2dへのセッション管理に基づく振り分けを行う。 Further, on the network connecting device 2, the processing assignment unit 2c and a plurality of service processing unit 2d is provided, in accordance with policies set by the server 1, the processing assignment unit 2c, session management to multiple service processing unit 2d the distribution based on the do.

さらに、サーバ1に外部セッション管理機能を設け、セッション数がネットワーク接続装置2のセッションテーブル登録数を上回った場合等に、サーバ1によりセッション管理を行うようにすることもできる。 Furthermore, the external session management function provided in the server 1, such as when the number of sessions exceeds the number of registration session table network connecting device 2, it is also possible to perform the session management by the server 1.

また、サーバ1に外部サービス処理部を設け、上記処理振分部2cが、パケットを上記サーバ1に転送し、サーバ1の外部サービス処理部でサービス処理を実行させるようにしたり、サーバ1にパケット詳細解析部を設け、サーバ1がパケットを解析してサービスを決定し、決定したサービス内容をネットワーク接続装置2に設定し、ネットワーク接続装置2は、以後同じセッションに対して上記決定されたサービス内容に基づき中継処理を行うようにすることもできる。 Further, the external service processing unit provided in the server 1, the processing assignment unit 2c forwards the packet to the server 1, or so as to execute a service process with external service processing unit of the server 1, the packet to the server 1 the detailed analysis section provided, the server 1 analyzes the packet to determine the service, sets the determined service content to the network connecting device 2, the network connecting device 2, the service content determined above for the same session thereafter it is also possible to perform the relay process on the basis of.

以上のように本発明においては、次のようにして前記課題を解決する。 In the present invention, as described above, to solve the problems as follows.
(1)上記ネットワーク接続装置2に、パケット処理部2aとセッション管理部2bからなる、セッション管理に基づくパケット中継処理部を設け、ネットワーク接続装置2により、セッション管理に基づく中継処理を行う。 (1) to the network connection device 2 and a packet processing unit 2a and the session management unit 2b, provided a packet relay processing unit based on the session management, the network connecting device 2, performs the relay process based on session management.

上記のように、従来サーバ上に配置していた機能をネットワーク接続装置2で行っているので、サーバ1のCPU使用率を下げることができる。 As described above, the conventional function which has been placed on the server because it performed in the network connection device 2, it is possible to lower the CPU utilization of the server 1. また、ネットワーク接続装置2でセッション管理を行い、セッション開始時にセッションテーブルに出力先を登録しているので、セッションの途中でルーティングテーブルが変更されても、現在継続中のセッションについては、一貫性を保持できる。 Further, performs session management network connecting device 2, since the registered destination in the session table at the beginning of a session, be modified routing table in the middle of a session, for the ongoing session, consistency It can be held.
(2)上記(1)において、パケット中継処理装置のサーバ1に外部セッション管理機能を設け、ネットワーク接続装置2が、与えられた条件に応じてセッション情報を上記サーバ1に転送し、サーバ1によりセッション管理を行う。 In (2) above (1), the external session management function provided in the server 1 of the packet relay apparatus, a network connecting device 2 forwards the session information to the server 1 in accordance with the given conditions, by the server 1 perform the session management.

これにより、セッション数がネットワーク接続装置2のセッションテーブル登録数を上回った場合でも、ネットワーク接続装置2で溢れた分をサーバ1で管理することができる。 Thus, the number of sessions, even if it exceeds the number of sessions table registration network connecting device 2, it is possible to manage the amount that overflows in the network connecting device 2 at the server 1.
(3)上記(1〉において、ネットワーク接続装置2に処理振分部2cと複数のサービス処理部2dを設け、処理振分部2cが、上記複数のサービス処理部2dへのパケットの振分を行いサービス処理を実行させる。 In (3) above (1>, the processing assignment unit 2c to the network connection device 2 and a plurality of service processing unit 2d is provided, processing assignment unit 2c is, the sorting of packets to the plurality of service processing unit 2d to execute the do service processing.

上記のように、処理振分部2cと複数のサービス処理部2dをサーバ1より高速に処理できるネットワーク接続装置2に配置することにより、サーバ1のCPUの使用率を小さくすることができるとともに、サービス処理を高速化することができる。 As described above, by arranging the processing assignment unit 2c and a plurality of service processing unit 2d to the network connecting device 2 that can be handled from the server 1 at a high speed, it is possible to reduce the utilization of the server 1 of the CPU, a service process can be speeded up.
(4)上記(3)において、サーバ1に外部サービス処理部を設け、処理振分部2cが、与えられた条件によって、パケットの振分を行いサーバ1の外部サービス処理部でサービス処理を実行させる。 (4) In the above (3), the external service processing unit provided in the server 1, the execution processing assignment unit 2c is, by a given condition, the service processing with the external service processing unit of the server 1 performs the sorting of packets make.

上記のようにサービス処理を、ネットワーク接続装置2とサーバ1の両方で実行できるようにすることにより、ネットワーク接続装置2上で実現するのは困難なサービス処理をサーバ1で行うことができ、ネットワークサービスが複雑な処理を必要とする場合でも対応することができる。 The service processing as described above, by allowing run on both the network connecting device 2 and the server 1, to achieve over the network connection device 2 can perform difficult service processing by the server 1, network services can correspond even if that requires complex processing.
(5)上記(1)において、ネットワーク接続装置2に振分処理部2cとサービス処理部2dを設け、また、サーバ1にパケット詳細解析部(不図示)を設け、処理振分部2cが、与えられた条件によってパケットをサーバ1に転送し、サーバ1がパケットを解析してサービスを決定し、決定したサービス内容をネットワーク接続装置2に設定し、ネットワーク接続装置2は、以後同じセッションに対して上記設定されたサービス内容に基づき中継処理を行う。 In (5) above (1), the distribution processing section 2c and the service processing unit 2d provided in the network connecting device 2, also packet details analyzing unit (not shown) provided in the server 1, processing assignment unit 2c is, forwards the packet by a given condition in the server 1, server 1 analyzes the packet to determine the service, sets the determined service content to the network connecting device 2, the network connecting device 2, for the same session thereafter It performs relay processing on the basis of the service contents is the set Te.

上記のように、サーバ1においてパケットを解析してサービスを決定し、決定したサービス内容をネットワーク接続装置2に設定し、以後同じセッションに対してネットワーク接続装置2が上記決定されたサービス内容に基づき中継処理を行うようにすることにより、サーバ1で全ての処理を行う場合に比べ、サービス処理を高速に実現することが可能となる。 As described above, to determine the service by analyzing the packets in the server 1, and set the determined service content to the network connection device 2, based on the services the network connection device 2 is determined above for the same session thereafter by to perform relay processing, compared with the case of performing all the processing in the server 1, it is possible to realize a high-speed service process.

図2は本発明の第1の実施例のパケット中継処理装置の構成を示す図である。 Figure 2 is a diagram showing a configuration of a first embodiment of a packet relay processing apparatus of the present invention.
同図において、11はサーバであり、ネットワーク制御部12を備えており、ネットワーク制御部12は、管理者が入力したルーティング情報を制御情報通信部31を通して、ネットワーク接続装置20のルーティングテーブル23aに書き込む。 In the figure, 11 is a server, and a network controller 12, network controller 12 writes the routing information input by the administrator through the control information communication unit 31, the routing table 23a of the network connection device 20 . 制御情報通信部31は、例えばPCI(Peripheral Components Interconnect)バスやシリアルインターフエースである。 Control information communication unit 31, for example, PCI (Peripheral Components Interconnect) is a bus or a serial INTERFACE.

20はネットワーク接続装置であり、本実施例のネットワーク接続装置20は、図39に示した複数のネットワーク接続装置104を統合したものであり、パケット処理部21、セッション管理部22、セッションテーブル22a、ルーティング処理部23、ルーティングテーブル23aを備え、前記図38のサーバが行っていた、パケット処理、セッション管理、ルーティング処理等は、ネットワーク接続装置20で行われる。 20 is a network connection device, network connection device 20 of the present embodiment is obtained by integrating a plurality of network connection devices 104 shown in FIG. 39, the packet processing unit 21, the session management unit 22, the session table 22a, routing processing unit 23 includes a routing table 23a, the server of FIG 38 was going, packet processing, session management, routing, etc. is performed in the network connection device 20.

図2において、ネットワークから入力された図3に示すパケットは、ネットワーク接続部30を通してネットワーク接続装置20のパケット処理部21に送られる。 2, the packet shown in FIG. 3 input from the network is sent through the network connection unit 30 to the packet processing unit 21 of the network connection device 20. ネットワーク接続部30は、例えばイーサネットコントローラである。 The network connection unit 30 is, for example, an Ethernet controller.

パケット処理部21では、後述する図4のフローチャートに示す処理を行い、パケットをセッション管理部22に送る。 The packet processing unit 21 performs the processing shown in the flowchart of FIG. 4 to be described later, and sends the packet to the session management unit 22. セッション管理部22では、後述する図5のフローチャートに示すようにセッション管理を行い、パケットをパケット処理部21に渡す。 The session managing unit 22 performs session management, as shown in the flowchart of FIG. 5 to be described later, and passes the packet to the packet processing unit 21.

パケット処理部21は、後述する図4に示すようにパケットの処理を行い、パケットをネットワーク接続部30を介して、ネットワークに出力する。 Packet processing unit 21 performs the processing of the packet as shown in FIG. 4 to be described later, the packet through the network connection unit 30, and outputs to the network.
図4に上記パケット処理部の処理フローを示す。 Figure 4 shows a process flow of the packet processing unit.

同図に示すように、パケット処理部21は、ネットワークから入力されたパケットのバッファリングを行い(ステップS1)、チェックサムのチェックを行う(ステップS2)。 As shown in the figure, the packet processing unit 21 performs buffering of the input packet from the network (step S1), and checks a checksum (Step S2). ついで、パケット処理部21は、パケットのデフラグメンテーションを行い(ステップS3)、パケットをセッション管理部22へ送る(ステップS4)。 Then, the packet processing unit 21 performs de-fragmentation of the packet (step S3), and sends the packet to the session management section 22 (step S4).

そして、パケット処理部21は、セッション管理部22から送られてくるパケットのフラグメンテーション(ステップS5)、チェックサム再計算を行い(ステップS6)、パケットをネットワークに出力する。 Then, the packet processing unit 21, fragmentation (step S5) packets sent from the session management unit 22 performs a checksum recalculation (step S6), and outputs the packet to the network. なお、パケット処理部21における処理は従来のパケット処理部における処理と同じである。 The processing in the packet processing unit 21 is the same as the process in the conventional packet processing unit.

図5に上記セッション管理部22の処理フローを示す。 Figure 5 shows a process flow of the session management unit 22.
同図に示すように、セッション管理部22にパケットが送られてくると、セッション管理部22では、そのパケットに対応するセッションデータをセッションテーブル22aから検索する(ステップS11)。 As shown in the figure, when the packet to the session management unit 22 is sent, the session managing unit 22 searches the session data corresponding to the packet from the session table 22a (step S11). セッションテーブル22aは、セッションを管理するためのセッションデータを格納するテーブルである。 Session table 22a is a table for storing the session data for managing the session. 図6にセッションテーブル22aの構成例を示す。 It shows a configuration example of a session table 22a in FIG. 図6に示すように、セッションデータは、セッションを識別するセッションID(IDentifier)、セッションを一意に決定するためのセッション検索キー(宛先/送信元アドレス、宛先/送信元ポート、プロトコル)、セッションの状態、および出力先などを項目として持つ。 As shown in FIG. 6, the session data, a session ID for identifying the session (IDentifier), a session search key for uniquely determining a session (destination / source address, destination / source port, protocol), the session state, and with the output destination and as an item.

ステップS11において、セッション管理部22は、パケットのIPヘッダ内の送信元/宛先IPアドレス、及びTCPヘッダ内のプロトコル、送信元/宛先ポート等の情報をキーにしてセッションテーブル22aを検索する。 In step S11, the session management unit 22 searches the source / destination IP address in the IP header of the packet, and TCP header of a protocol, a session table 22a by the information such as source / destination port as a key.

セッション管理部22に送られてきたパケットのヘッダ内の情報とセッション検索キーが一致するセッションデータが、セッションテーブル22aに登録されていない場合には(ステップS12:No)、その送られてきたパケットは、あるセッションの最初のパケットであるので、セッション管理部22は、セッションテーブル22aにそのセッションに関するセッションデータを登録する(ステップS13)。 Session data information and the session retrieval key in the header of the packet sent to the session management unit 22 matches, if not registered in the session table 22a (step S12: No), sent the packet since it is the first packet of a session, the session management unit 22 registers the session data for the session in the session table 22a (step S13). すなわち、ステップS13において、セッション管理部22は、送られてきたパケットのヘッダ内の情報に基づいて、図6に示すセッションテーブル22aにセッション検索キー(宛先/送信元アドレス、宛先/送信元ポート、プロトコル)や、セッションの状態を書き込む。 That is, in step S13, the session management unit 22, based on information in the header of the packet transmitted, the session search key (destination / source address in the session table 22a shown in FIG. 6, the destination / source port, protocol) and writes the state of the session.

ついで、ルーティング処理部23でルーティングテーブル23aの検索を行い、検索の結果として得られた出力先をセッションテーブル22aに書き込む(ステップS14)。 Then, to search the routing table 23a in the routing processing unit 23, and writes the resulting output destination as a result of the search in the session table 22a (step S14).
一方、セッションテーブル22aにそのパケットのヘッダ内の情報とセッション検索キーが一致するセッションデータが登録されている場合には(ステップS12:Yes)、セッション管理部22は、そのセッションの状態を検査して、状態が遷移するかどうかを判定する(ステップS15)。 On the other hand, if the session data information and the session retrieval key in the header of the packet to the session table 22a is coincident is registered (step S12: Yes), the session management unit 22 examines the state of the session Te, it determines whether the state is changed (step S15). そして、状態が遷移する場合には(ステップS15:Yes)、セッション管理部22は、セッションテーブル22a内のセッション状態を書き換える(ステップS16)。 Then, when the state makes a transition (step S15: Yes), the session managing unit 22 rewrites the session state in the session table 22a (step S16).

そして、セッション管理部22は、セッションの状態遷移が終わりセッションクローズの場合、すなわちセッション状態がTIME_WAIT及びCLOSEDになっている場合には(ステップS17:Yes)、そのセッションに関するセッション検索キー、セッション状態および出力先等をセッションテーブル22aのエントリから削除する(ステップS18)。 Then, the session managing unit 22, if the session close end state transition of the session, that is, if the session status is in TIME_WAIT and CLOSED (step S17: Yes), the session search key for that session, session state and remove output destination such as the entry of session table 22a (step S18). そして、処理が終わったパケットは出力先に送られる。 Then, the packet processing is finished is sent to the output destination. セッションの状態がセッションクローズになっていない場合は(ステップS17:No)、セッション管理部22はステップS18を行わず、処理が終わったパケットは出力先に送られる。 If the state of the session is not in session close (Step S17: No), the session management unit 22 does not perform step S18, the packet processing is finished is sent to the output destination.

上記状態遷移は、TCPとその他のプロトコルではその判断が異なる。 The state transition is the determination differs in TCP and other protocols. 以下、TCPとその他のプロトコルを分けて説明する。 Below, it will be described separately TCP and other protocols.
図7にTCPの場合のセッション状態を示す。 Figure 7 shows a session state when the TCP. TCPの場合、セッション状態には、図7に示すように、CLOSED、SYN_RECV、ESTAB、FIN_RECV、FIN_SENT、TIME_WAITの6つの状態を設定する。 For TCP, the session state, as shown in FIG. 7, sets CLOSED, SYN_RECV, ESTAB, FIN_RECV, FIN_SENT, six states of TIME_WAIT.

セッションテーブル22aのセッション状態には、図6に示すようにCLOSEDを除く上記5つの状態のうち、どの状態であるかが書き込まれている。 The session state of the session table 22a, among the five state except CLOSED 6, whether any state is written.
セッションが登録されていない時には状態がCLOSEDになっており、この状態でSYNパケットが到着した場合、セッション状態はSYN_RECVに状態遷移する。 Session has become the CLOSED state when not registered, if the SYN packet arrives in this state, session state in state transition to SYN_RECV. その際、セッション管理部22は、セッションテーブル22aの「セッション状態」をSYN_RECVに書き換える。 At that time, the session management unit 22 rewrites the "session state" of the session table 22a in SYN_RECV. ついで、セッション状態は、ESTAB〈Established〉状態に遷移し、パケットが送受信される。 Then, session state transitions to ESTAB <the Established> state, packets are transmitted and received. そして、FINパケットによりセッションは終了する。 Then, the session is terminated by the FIN packet. 以下同様にして、SYNパケットとFINパケットの到着を検知することにより、セッション管理部22は、セッションの開始と終了を検知することができる。 In the same way, by detecting the arrival of SYN packets and FIN packets, the session management unit 22 can detect the start and end of a session.

図8にTCPの場合のセッション開始からセッション終了までの状態遷移の様子の一例を示す。 It shows an example of a state of the state transition from the session initiation in the case of TCP before the session ends in FIG.
同図に示すように、クライアントとサーバ間で通信を行う場合、まずクライアントからSYNパケットを送信する。 As shown in the figure, when communication is performed between the client and the server, first sends a SYN packet from the client. ついで、サーバからSYN_ACKパケットを返し、これに応答してクライアントからサーバにACKパケットを送信する。 Then, return the SYN_ACK packet from the server, and transmits an ACK packet from the client to the server in response thereto. これにより、セッション状態は、SYN状態からESTAB(Established)状態に遷移し、以後、クライアントとサーバは、相互にパケットを送受信する。 Thereby, the session state transitions from SYN state in ESTAB (the Established) state, thereafter, the client and server, sending and receiving packets to each other. そして、セッションを終了する際、例えばクライアントからFINパケットをサーバに送信し、サーバがFIN_ACKパケットをクライアントに送信し、これに応答してクライアントからACKパケットをサーバに送信することによりセッションが終了する(CLOSED状態となる)。 Then, when to terminate the session, sending, for example, from a client a FIN packet to the server, the server sends a FIN_ACK packet to the client, the session is terminated by transmitting a response client an ACK packet to the server to ( the CLOSED state).

これに対し、TCP以外では、パケットにSYNやFINのフラグが存在しない。 In contrast, in non-TCP, the flag of the SYN and FIN are not present in the packet. 図9に一例としてUDPの場合の状態遷移を示す。 Figure 9 shows the state transition in the case of UDP as an example. 図9に示すようにセッションテーブル22aに登録されていないセッションに属するパケットが届いた場合には、セッション管理部22は、そのセッションの状態をESTABとする。 If the packet belongs to was received session that is not registered in the session table 22a as shown in FIG. 9, the session management unit 22, the state of the session and ESTAB. セッションの終了は検知することができないので、セッション管理部22は、タイマーによって一定時間パケットの通過が無い場合にはそのセッションをセッションテーブル22aから削除することによって対応する。 Since the end of the session can not be detected, the session managing unit 22, when there is no passage of a predetermined time packets by the timer corresponds by deleting the session from the session table 22a.

以上説明したように、本実施例においては、ネットワーク接続装置20にセッション管理に基づくパケット中継処理機能を設け、従来サーバ11上に配置していた機能をネットワーク接続装置20が果たすようにしたので、サーバ11のCPUの使用率を下げることができる。 As described above, in this embodiment, is provided a packet relay processing function based on the session management network connecting device 20, since such a conventional server function that was placed on the 11 network connection device 20 plays, it can be lowered CPU utilization of the server 11.

また、ネットワーク接続装置20にセッション管理部22を設け、セッション開始時にセッションテーブル22aに出力先を登録しているので、セッションの途中でルーティングテーブル23aのエントリが変更されても、現在継続中のセッションについては、一貫性を保持できる。 Furthermore, the session managing unit 22 provided in the network connection device 20, since the registered destination to the session table 22a at the beginning of a session, be changed entries in the routing table 23a in the middle of a session, the ongoing session for it can maintain consistency.

図10は本発明の第2の実施例のパケット中継処理装置の構成を示す図である。 Figure 10 is a diagram showing the configuration of a packet relay processing apparatus according to a second embodiment of the present invention. 本実施例は、前記図2に示した第1の実施例のパケット中継処理装置において、セッション情報をサーバ11に転送するサーバ転送部24、セッション情報の通信を行うセッション情報通信部32、外部セッション管理部13、外部セッションテーブル13aを設けたものである。 This embodiment, in the packet relay processing apparatus of the first embodiment shown in FIG 2, the server transfer unit 24 transfers the session information to the server 11, the session information communication unit 32 performs communication session information, the external session management unit 13, is provided with a external session table 13a. そして、ネットワーク接続装置20のセッションテーブル22aが一杯になったとき、サーバ11に設けた外部セッション管理部13によりセッション管理を行う。 When the session table 22a of the network connection device 20 is full, performing session management by an external session managing unit 13 provided in the server 11. その他の動作は第1の実施例と同様である。 Other operations are the same as in the first embodiment.

図11に本実施例におけるセッション管理部、外部セッション管理部における処理フローを示す。 Session management unit in the embodiment in FIG. 11 shows a processing flow in the external session managing unit.
同図に示すように、セッション管理部22にパケットが送られてくると、セッション管理部22、外部セッション管理部13では、パケットのヘッダに格納された情報を検索キーとしてセッションテーブル22a、外部セッションテーブル13aを検索する(ステップS21)。 As shown in the figure, when the packet to the session management unit 22 is sent, the session management unit 22, the external session managing unit 13, session table 22a the information stored in the header of the packet as a search key, the external session searching a table 13a (step S21). セッションテーブル22a、13aは前記図6で説明したセッションを管理するための情報を格納したテーブルである。 Session table 22a, 13a is a table storing information for managing the session as described in FIG. 6.

セッション管理部22に送られてきたパケットのヘッダ内の情報とセッション検索キーが一致するセッションデータがセッションテーブル22a及び外部セッションテーブル13aに登録されていない場合には(ステップS22:No)、そのパケットは、あるセッションの最初のパケットであるので、まず、セッション管理部22は、セッションテーブル22aが一杯かを調べる(ステップS23)。 If the session data information and the session retrieval key in the header of the packet that has been sent to the session management unit 22 matches is not registered in the session table 22a, and an external session table 13a (step S22: No), the packet since it is the first packet of a session, firstly, the session managing unit 22, session table 22a is checked whether full (step S23).

セッションテーブル22aが一杯でない場合には(ステップS23:No)、セッション管理部22は、前記したようにセッションテーブル22aにそのセッションのセッションデータの登録を行う(ステップS24)。 If the session table 22a is not full (step S23: No), the session management unit 22 performs session registration data for the session in the session table 22a as described above (step S24). ついで、ルーティング処理部23でルーティングテーブル23aの検索を行い、結果をセッションテーブル22aに出力先を書き込む(ステップS25)。 Then, to search the routing table 23a in the routing processing unit 23, the result to the session table 22a writes the output destination (step S25).

また、セッションテーブル22aに、パケットのヘッダ内の情報とセッション検索キーが一致するセッションデータが登録されている場合には(ステップS22:Yes)、セッション管理部22はセッション状態を検査して、状態が遷移するかどうかを判定する(ステップS26)。 Also, in the session table 22a, if the session data information and the session retrieval key in the header of the packet matches has been registered (step S22: Yes), the session management unit 22 examines the session state, the state There is judged whether the transition (step S26). そして、状態が遷移する場合には(ステップS26:Yes)、セッション管理部22は、セッションテーブル22aに格納されたセッションデータのセッション状態を書き換える(ステップS27)。 Then, when the state makes a transition (step S26: Yes), the session managing unit 22 rewrites the session state of the session data stored in the session table 22a (step S27).

そして、セッションの状態遷移が終わった後、セッションクローズの場合には(ステップS28:Yes)、セッション管理部22は、セッションテーブル22aのエントリからそのセッションデータを削除する(ステップS29)。 Then, after completion of the state transition of the session, if a session closing (Step S28: Yes), the session management section 22 deletes the session data from the entry of the session table 22a (step S29). 処理が終わったパケットは出力先に送られる。 Packet processing is finished is sent to the output destination.

一方、セッションの最初のパケットを登録する際、セッションテーブル22aが一杯の場合には(ステップS23:Yes)、サーバ11の外部セッション管理部13で上記と同様の処理を行う。 Meanwhile, when registering the first packet of a session, when the session table 22a is full (step S23: Yes), performs the same processing as described above with the external session managing unit 13 of the server 11.

すなわち、前記ステップS24およびステップS25で説明したようにして、外部セッション管理部13は、外部セッションテーブル13aにそのパケットのセッションのセッションデータを登録し(ステップS30)、ルーティング処理部23は、ルーティングテーブルの検索を行って、結果を外部セッションテーブル13aに出力先を書き込む(ステップS31)。 That is, as described in the step S24 and step S25, the external session managing unit 13 registers the session data session of the packet to the external session table 13a (step S30), the routing processor 23, the routing table performing a search, the results to the external session table 13a writes the output destination (step S31).

また、外部セッションテーブル13aにそのパケットのヘッダ内の情報とセッション検索キーが一致するセッションデータが登録されている場合には(ステップS22:Yes)、外部セッション管理部13は、外部セッションテーブル13aのセッション状態を検査して、セッション状態が遷移するかどうかを判定する(ステップS26)。 Further, if the session data information and the session retrieval key in the header of the packet to the external session table 13a is coincident is registered (step S22: Yes), the external session managing unit 13, the external session table 13a Check the session state to determine whether session state transition (step S26). 状態が遷移する場合には、外部セッション管理部13は、外部セッションテーブル13aの「セッション状態」を書き換える(ステップS27)。 When the state is changed, the external session managing unit 13 rewrites the "session state" of the external session table 13a (step S27). そして、セッションの状態遷移が終わった後、セッションクローズの場合には(ステップS28:Yes)、外部セッション管理部13は、セッションテーブル13aのエントリからそのセッションデータを削除する(ステップS29)。 Then, after completion of the state transition of the session, if a session closing (Step S28: Yes), the external session managing unit 13 deletes the session data from the entry of the session table 13a (step S29).

以上のように、本実施例においては、ネットワーク接続装置20にセッション管理に基づくパケット中継処理機能を設け、従来サーバ11上に配置していた機能をネットワーク接続装置20が果たすようにしたので、第1の実施例と同様、サーバ11のCPUの使用率を下げることができる。 As described above, in this embodiment, is provided a packet relay processing function based on the session management network connecting device 20, since such a conventional server function that was placed on the 11 network connection device 20 performs, first as with the first embodiment, it is possible to reduce the usage of the CPU of the server 11. また、第1の実施例と同様、セッションの途中でルーティングテーブルが変更されても、現在継続中のセッションについては、一貫性を保持できる。 Also, as in the first embodiment, be modified routing table in the middle of a session, the ongoing session can maintain consistency.

さらに、セッション数がネットワーク接続装置20のセッションテーブルに登録できる数を上回った場合、サーバ11に設けた外部セッション管理部13でセッション管理を行っているので、ネットワーク接続装置20で溢れた分をサーバ11で管理することが可能となる。 Further, if it exceeds the number of number of sessions can be registered in the session table of the network connection device 20, since performing a session managed by an external session managing unit 13 provided in the server 11, server minute overflowed the network connection device 20 it is possible to manage with 11.

なお、上記説明ではサーバ11に外部セッション管理部13を設けてサーバ11でセッション管理を行っているが、サーバ11に外部セッションテーブル13aのみを設け、セッション管理はネットワーク接続装置20のセッション管理部22で行い、セッションテーブル22aで溢れたセッションを上記外部セッションテーブル13aに登録するようにしてもよい。 Incidentally, in the above description is performed session management server 11 provided outside the session management unit 13 to the server 11, but only the external session table 13a provided in the server 11, the session management of the network connecting device 20 the session management section 22 in performed, the session overflowing in session table 22a may be registered in the external session table 13a.

図12は本発明の第3の実施例のパケット中継処理装置の構成を示す図である。 Figure 12 is a diagram showing the configuration of a third embodiment of the packet relay processing apparatus of the present invention. 本実施例によれば、ネットワーク接続装置20に処理振分部26とサービス処理部27とポリシーテーブル25を設け、サーバ11により設定されるポリシーに従って、ネットワーク接続装置20がフィルタリング、負荷分散、NAT等のサービス処理を実行する。 According to this embodiment, the network connection device 20 to the processing assignment unit 26 and a service processing unit 27 and the policy table 25 is provided, in accordance with policies set by the server 11, the network connecting device 20 is filtering, load balancing, NAT, etc. to perform the service processing.

同図において、11はサーバであり、サーバ11はサービス制御部14を備えており、サービス制御部14は、制御情報通信部31を通して、ネットワーク接続装置20のポリシーテーブル25にポリシーを書き込む。 In the figure, 11 is a server, the server 11 includes a service control unit 14, the service control unit 14, via the control information communication unit 31, and writes the policy in the policy table 25 of the network connection device 20. ここで、ポリシーとは、フィルタリング、負荷分散等のサービスを実行するためのルールである。 Here, the policy is a rule for performing filtering, the service load balancing, and the like. 例えば、フィルタリングの場合には、ポリシーに基づいて、ポリシー検索キーの範囲でパケットを廃棄するか通過させるかが設定される。 For example, in the case of filtering, based on policy, either passes or drop packets in a range of policy search key it is set. 負荷分散の場合には、ポリシーに基づいて、仮想(代表)IPアドレス:ポート番号と、振分先全てのサーバのIPアドレス:ポート番号が設定される。 If load balancing is based on the policy, the virtual (typical) IP address of port number and, distribution destination IP addresses of all servers: port number is set. NATの場合には、ポリシーに基づいて、変換後IPアドレス:ポート番号が設定される。 In the case of NAT, based on the policy, the post-conversion IP address: port number is set.

20はネットワーク接続装置であり、本実施例のネットワーク接続装置20は、第1の実施例と同様、パケット処理部21、セッション管理部22、セッションテーブル22a'を備え、さらに、上記ポリシーテーブル25、処理振分部26及び複数のサービス処理部27を備える。 20 is a network connection device, network connection device 20 of this embodiment, as in the first embodiment, includes a packet processing section 21, the session management unit 22, the session table 22a ', further, the policy table 25, processing comprises distributing unit 26 and a plurality of service processing unit 27. サービス処理部27は、パケットに適用されるサービスのタイプに応じて複数備えられる。 The service processing unit 27 is provided with a plurality, depending on the type of service to be applied to the packet.

本実施例によれば、セッション管理部22は、パケットを受信した場合、受信したパケットのヘッダ内の情報を用いて、セッションテーブル22a'からセッションデータを検索する。 According to this embodiment, the session managing unit 22, when receiving a packet, by using the information in the header of the received packet, searches the session data from the session table 22a '. そして、そのパケットのヘッダ内の情報が示すセッションデータがセッションテーブル22a'に登録されている場合、上記とほぼ同様な処理が行われる。 When the session data indicated by the information in the header of the packet is registered in the session table 22a ', substantially the same processing as described above is performed.

一方、そのパケットのヘッダ内の情報によって示されるセッションデータがセッションテーブル22a'に登録されていない場合、セッション管理部22は、ポリシーテーブル25を参照し、そのパケットに適用されるべきポリシーに基づいて、セッションデータを作成し、作成したセッションデータをセッションテーブル22a'に格納する。 On the other hand, if the session data indicated by the information in the header of the packet is not registered in the session table 22a ', the session management section 22 refers to the policy table 25, based on the policy to be applied to the packet It creates a session data, and stores the session data created in the session table 22a '.

処理振分部26は、パケットに対する適用サービスをセッションテーブル22a'に格納されたセッションデータに基づいて判別し、判別された適用サービスに対応するサービス処理部27に処理を振り分ける。 Processing assignment unit 26 discriminates on the basis of the application service for the packet to the session data stored in the session table 22a ', it distributes the processing to the service processing unit 27 corresponding to the determined application service. 複数のサービス処理部27は、各サービスに必要な処理を行う。 A plurality of service processing unit 27 performs processing necessary for each service.

以下、図13及び図14を用いて、本実施例に係わるセッションテーブル22a'及びポリシーテーブル25について説明する。 Hereinafter, with reference to FIGS. 13 and 14, will be described session table 22a 'and the policy table 25 according to this embodiment. 図13に、本実施例に係わるセッションテーブル22a'の構造例を示す。 13 shows a structural example of a session table 22a 'according to this embodiment. セッションテーブル22a'は、前記したようにセッションを管理するセッションデータを格納するテーブルである。 Session table 22a 'is a table for storing the session data for managing the session as described above. セッションデータは、セッションID、セッション検索キー(宛先/送信元アドレスおよびポート、プロトコル等)や、セッションの状態、および出力先等を項目として含む。 Session data includes session ID, the session search key (destination / source address and port, protocol, etc.) and, session state, and an output destination such as an item. 本実施例においては、図13に示すように、セッションデータは、上記情報に加えて、さらに、適用サービスタイプ(フィルタリングや負荷分散など)、そのサービス固有情報(振分先アドレスなど)、一貫性保持時間、イベントフラグ等を項目として含む。 In the present embodiment, as shown in FIG. 13, the session data, in addition to the above information, further, applied service type (such as filtering and load balancing), (such as distribution destination address) the service-specific information, consistent retention time, including an event flag or the like as an item. 適用サービスタイプは、パケットに適用するべきサービスを示す。 Application service type indicates a service to be applied to the packet. サービス固有情報は、適用するべきサービスに固有な情報を示す。 Service-specific information indicates information specific to the service should be applied. 例えば、適用サービスタイプが負荷分散である場合、サービス固有情報として振分先のアドレスが考えられる。 For example, if the application service type is load balancing, assignment destination address is considered as the service-specific information. 一貫性保持時間は、セッションが終了してからセッションデータを保持すべき時間を示す。 Consistency retention time indicates a time to be holding the session data from the session is finished. つまり、一貫性保持時間が経過するまで、セッションが終了してもセッションデータはセッションテーブル22a'から削除されない。 That is, until the consistency retention time has elapsed, the session data is also session has ended can not be removed from the session table 22a '. イベントフラグは、そのパケットまたはパケットのヘッダのログを採取するべきか否かを示す。 Event flag indicates whether to collect the header of the log of the packet or packets. イベントフラグが「オン」である場合、そのパケットまたはパケットのヘッダは、サーバに転送され、サーバによってログが採取される。 If the event flag is "ON", the header of the packet or packets are transferred to the server, the log by the server is taken.

図14に、ポリシーテーブルの構成例を示す。 Figure 14 shows a configuration example of a policy table. ポリシーテーブルは、パケットに対してサービスを実行するためのルールであるポリシーを格納する。 Policy table stores the policy is a rule for executing a service for the packet. 図14に示すようにポリシーは、ポリシーID、ポリシー検索キー、適用サービスタイプ、サービス固有情報、優先度、グループID、イベントフラグ、一貫性保持時間及びポリシーヒット数を含む。 Policy as shown in FIG. 14 includes a policy ID, policy search key, application service type, service-specific information, the priority, the group ID, event flags, consistent retention times and the policy number of hits.

ポリシーIDは、ポリシーを識別する情報である。 Policy ID is information for identifying the policy. ポリシー検索キーは、パケットに適用するべきポリシーを決定するための情報である。 Policy search key is information for determining the policy to be applied to the packet. 適用サービスタイプは、ポリシーに基づいてパケットに適用されるサービスを示す。 Application service type indicates a service to be applied to the packet based on the policy. サービス固有情報は、セッションデータと同様に、適用サービスに固有な情報を示す。 Service-specific information, like the session data indicate information specific to apply services. 優先度は、ポリシーの優先順位を示す数値である。 Priority is a numerical value indicating the priority of the policy. 優先度の値が低いほど、そのポリシーは優先される。 The higher the value of the priority is low, the policy is priority. 優先度は、パケットのヘッダ内の情報が、複数のポリシーのポリシー検索キーに一致した場合、どのポリシーを優先すべきか決定する際に用いられる。 Priority information in the header of the packet, if they match the policy search key of a plurality of policies used in determining whether to prioritize which policy. グループIDは、ポリシーが属するグループを識別する情報である。 The group ID is information for identifying the group to which the policy belongs. イベントフラグ及び一貫性保持時間は、セッションデータと同様である。 Event flag and consistency retention time is the same as the session data. ポリシーヒット数は、そのポリシーに該当したセッションのカウント値を格納する。 Policy hits stores the count value of the session that corresponds to that policy.

イベントフラグ、一貫性保持時間、グループID及びポリシーヒット数を用いた処理についての説明は、各変形例の変形例として後述する。 Event flag, consistent retention time, a description of the process using the number of hits group ID and policy will be described later as a modification of the modifications.
以下、図12に示す第3実施例にかかわるパケット中継処理装置の動作について図15から図19を用いて説明する。 Hereinafter will be described with reference to FIGS. 15 to 19, the operation of the packet relay apparatus according to the third embodiment shown in FIG. 12.

まず、図12に示すパケット中継処理装置において、ネットワークから入力されたパケットは、ネットワーク接続部30を通り、パケット処理部21に送られる。 First, in the packet relay processing apparatus shown in FIG. 12, the packet input from the network through the network connection unit 30, and sent to the packet processing unit 21.
パケット処理部21は、前記した図4の処理フローに示したように、入力したパケットのバッファリングとチェックサムのチェック、デフラグメンテーションを行った後、そのパケットをセッション管理部22へ送る。 Packet processing unit 21, as shown in the processing flow of FIG. 4 mentioned above, buffering and checksum of the entered packet, after defragmentation, and sends the packet to the session management unit 22. そして、パケット処理部21は、セッション管理部22から送られてきたパケットに対して、フラグメントとチェックサム再計算を行い、ネットワーク接続装置30を介して、ネットワークに出力する。 Then, the packet processing section 21, to the packet sent from the session management unit 22 performs a fragment checksum recalculation, via the network connection device 30, and outputs to the network.

本実施例のセッション管理部22の処理フローを図15に示す。 The processing flow of the session management unit 22 of this embodiment is shown in FIG. 15.
同図に示すように、パケットがセッション管理部22に送られてくると、セッション管理部22は、そのパケットのヘッダ内の情報を用いて図13に示すセッションテーブル22a'からセッションデータを検索する(ステップS41)。 As shown in the figure, when a packet is sent to the session management unit 22, the session management section 22 searches the session data from the session table 22a 'shown in FIG. 13 by using the information in the header of the packet (step S41).

セッションテーブルの検索は、第1の実施例と同様、パケットのIPヘッダ内の送信元/宛先IPアドレス、及びTCPヘッダ内のプロトコル、送信元/宛先ポートの情報をキーにして行われる。 Search session table, as in the first embodiment, the source / destination IP address in the IP header of the packet, and TCP header of the protocol is performed in the key information source / destination port.

パケットのヘッダ内の情報とセッション検索キーが一致するセッションデータがセッションテーブル22a'に登録されていない場合(ステップS42:No)、セッションの最初のパケットであるので、セッション管理部22は、そのセッションに対する適用サービスを判定するため、パケットのヘッダ内の情報を用いて、図14に示すポリシーテーブル25からポリシーを検索する(ステップS43)。 If the session data packet information and the session retrieval key in the header of the match is not registered in the session table 22a '(Step S42: No), since it is the first packet of a session, the session managing unit 22, the session to determine the application service for, using the information in the header of the packet, it retrieves the policy from the policy table 25 shown in FIG. 14 (step S43).

ポリシーテーブル25は、ルーティング情報を持つとともに、サービスを適用する範囲を指定するポリシー検索キー(宛先/送信元アドレスおよびポート、プロトコル。任意や範囲指定でもよい)や適用サービスタイプ(フィルタリング廃棄や負荷分散など)、そのサービス固有の情報(全ての振り分け先アドレスなど)、および、優先度を持つ。 Policy table 25, along with routing information, policy search key for designating a range to apply the service (destination / source address and port, protocol. May be any and range specification) and application service type (filtering waste and load balancing etc.), the service-specific information (such as all of the distribution destination address), and, with a priority.

検索の結果、ポリシーテーブル25のエントリとパケットのヘッダ内の情報がマッチした場合、そのポリシーをセッションテーブル22a'の適用サービスタイプの欄に書き込む。 As a result of the search, when the information in the header of the entry packet of the policy table 25 matches, and writes the policy to apply service type field of the session table 22a '. つまり、セッション管理部22は、パケットのヘッダに格納された情報と適合するポリシー検索キーを持つポリシーをポリシーテーブル25から取得する。 In other words, the session management unit 22 acquires the policy with the policy retrieval key matching information stored in the header of the packet from the policy table 25. 続いて、セッション管理部22は、パケットのヘッダ内の情報をセッション検索キーとするセッションデータを作成し、セッションテーブル22a'に登録する。 Then, the session management unit 22 creates a session data information in the header of the packet and session search key, is registered in the session table 22a '. さらに、セッション管理部22は、ポリシーに含まれる適用サービスタイプ及びサービス固有情報を、それぞれ登録したセッションデータの適用サービスタイプ欄及びサービス固有情報欄に書き込む(ステップS44)。 Furthermore, the session managing unit 22, the application service type, and service-specific information included in the policy is written in the application service type field and the service-specific information field of the session data registered respectively (step S44).

ただし、複数のポリシーにマッチした場合には、ポリシーテーブル25の優先度が高い順に処理する。 However, in the case of matches to more than one policy, the priority of the policy table 25 is processed in descending order. また、同一サービスが複数マッチした場合には、優先度が最も高いものを採用し、残りを無効とする。 Also, if the same service is more match, it adopted what the highest priority, and disable the rest.

以下、ポリシーテーブル25を検索した際、パケットのヘッダに格納された情報と適合するポリシー検索キーを持つポリシーが複数存在した場合の処理について、より具体的に説明する。 Hereinafter, when the search policy table 25, processing when the policy with the policy search key compatible with the information stored in the header of the packet there are a plurality will be described more specifically.

まず、取得した複数のポリシーに含まれる適用サービスタイプが互いに競合しない場合、セッション管理部22は、ポリシーの優先度の値が低い順に(つまり、優先順位が高い順に)、複数の適用サービスタイプをセッションデータの適用サービスタイプの欄に書き込む。 First, if the application service type included in the plurality of policies acquired do not conflict with each other, the session managing unit 22, the order value of a low priority policy (that is, the higher priority order), a plurality of application service types write to the application service type of field of the session data. これにより、そのパケットは、優先順位が高い順に複数の適用サービスをうけることになる。 Thus, the packet will be subjected to multiple application services to a higher priority order.

また、取得した複数のポリシーに含まれる適用サービスタイプが互いに競合する場合、セッション管理部22は、複数のポリシーのうち、ポリシーの優先度の値が最も低いポリシーの適用サービスタイプのみをセッションデータの適用サービスタイプの欄に書き込む。 Also, if the application service type included in the plurality of policies acquired compete with each other, the session managing unit 22, among the plurality of policies, only application service type of the lowest policy value of priority of the policy session data write to the application service type of column. これにより、そのパケットは、最も優先順位が高い適用サービスのみを受けることとなる。 Thus, the packet will be subjected to only the highest priority application service.

以下、具体例を挙げて説明する。 Hereinafter will be described with a specific example. あるパケットのヘッダに格納された情報と適合するポリシー検索キーを持つポリシーとして、以下の6ポリシーが取得されたとする。 As the policy with the policy retrieval key matching information stored in the header of a packet, the following 6 policy is to have been acquired.
ポリシー1:適用サービス=フィルタ通過、優先度=10 Policy 1: Application Service = passing through the filter, priority = 10
ポリシー2:適用サービス=フィルタ通過、優先度=100 Policy 2: Application Service = passing through the filter, priority = 100
ポリシー3:適用サービス=フィルタ通過、優先度=200 Policy 3: Application Service = passing through the filter, priority = 200
ポリシー4:適用サービス=負荷分散、優先度=1000 Policy 4: Application Service = load balancing, priority = 1000
ポリシー5:適用サービス=負荷分散、優先度=2000 Policy 5: Application Service = load balancing, priority = 2000
ポリシー6:適用サービス=負荷分散、優先度=3000 Policy 6: Application Service = load balancing, priority = 3000
この場合、フィルタ通過と負荷分散は、互いに競合しない適用サービスタイプである。 In this case, the filter passes and load balancing is applied service type that do not conflict with each other. また、ポリシー1からポリシー3までの適用サービスタイプは全てフィルタ通過であるため、互いに競合する。 Moreover, since all the applications service type from the policy 1 to policy 3 is a filter pass, compete with each other. 同様に、ポリシー4からポリシー6までの適用サービスタイプは全て負荷分散であるため、互いに競合する。 Similarly, since all applications service type from the policy 4 until the policy 6 is a load distribution, compete with each other. セッション管理部22は、適用サービスタイプがフィルタ通過であるポリシーのうち、最も優先度の値が低いポリシー1及び、適用サービスタイプがフィルタ通過であるポリシーのうち、最も優先度の値が低いポリシー4を採用する。 Session management unit 22, the application of the service type is a filter pass policy, highest priority value and low policy 1, among the policy enforcement service type is a filter pass, highest priority value is low policy 4 the adopted. 続いて、ポリシー1のフィルタ通過の優先度は、ポリシー4の負荷分散の優先度よりも低いため、セッション管理部22は、セッションデータの適用サービスタイプの欄に、フィルタ通過を先にして、フィルタ通過及び負荷分散を書き込む。 Then, the priority of the filter pass policy 1 is lower than the priority of the load balancing policy 4, the session managing unit 22, the application service type field of the session data, and the filter pass first filter writing pass and load distribution. これにより、そのパケットは、フィルタ通過の後に負荷分散サービスを受けることになる。 Thus, the packet will be subject to load balancing service after passing through the filter.

ステップS42でYesであった場合に行われるステップS45からステップS48までのセッション状態遷移に関する処理は、第1の実施例で説明したのと同様である。 Process relating to session state transition from step S45 performed when is Yes in step S42 to step S48 are the same as described in the first embodiment. すなわち、セッションテーブル22a'にセッションデータの登録がある場合には、セッション管理部22は、セッションテーブル22a'のセッション状態を検査して、状態が遷移するかどうかを判定する(ステップS45)。 That is, the session table 22a 'when there is a registration session data to the session management unit 22, the session table 22a' by examining the session state, determines whether the state is changed (step S45). そして、セッションの状態が遷移する場合には(ステップS45:Yes)、セッション管理部22は、セッションテーブル22a'の状態を書き換える(ステップS46)。 In a case where the state of the session is changed (step S45: Yes), the session managing unit 22 rewrites the status of the session table 22a '(Step S46). そして、セッションの状態遷移が終わった後、セッション管理部22は、そのセッションのセッションデータをセッションテーブル22a'のエントリから削除する(ステップS48)。 Then, after completion of the state transition of the session, the session management section 22 deletes the session data for the session from the entry of the session table 22a '(Step S48). 処理が終わったパケットは、処理振分部26に送られる(ステップS49)。 Packet processing is finished is sent to the processing assignment unit 26 (step S49).

処理振分部26/サービス処理部27の処理フローを図16に示す。 The processing flow of the processing assignment unit 26 / the service processing unit 27 shown in FIG. 16.
処理振分部26/サービス処理部27では、パケットに対して適用サービスを判別し、各サービスに必要な処理を行う。 In the processing assignment unit 26 / the service processing unit 27, to determine the application service to the packet, performs the processing required for each service.

図16において、パケットが処理振分部26に入力されると、処理振分部26は、そのパケットのヘッダ内の情報を用いてセッションテーブル22a'から、入力したパケットに対応するセッションデータを検索する。 16, the search when a packet is input to the processing assignment unit 26, processing assignment unit 26, from the session table 22a 'using the information in the header of the packet, the session data corresponding to the input packet to. 検索の結果、得られたセッションデータで示される適用サービスタイプが、ルーティング処理である場合(ステップS51)、処理振分部26は、ルーティング処理を行うサービス処理部27に処理を振り分ける。 Search results, application service type indicated by the obtained session data, if a routing process (step S51), processing assignment unit 26 distributes the processing to the service processing unit 27 for performing routing processing.

入力パケットに対応するセッションテーブル22a'に、ルーティング先が書き込まれていない場合、ポリシーテーブル25のルーティングテーブル(不図示)を引き、出力先インターフェースと宛先MACアドレスをセッションテーブル22a'に書き込む。 Session table 22a corresponding to the input packet 'to, if not routing destination is written, pull the routing table policy table 25 (not shown), the destination interface and the destination MAC address session table 22a' is written to.

より具体的に説明すると、処理振分部26は、そのセッションデータにルーティング先が含まれているか否か判定する(ステップS51)。 To be more specific, the processing assignment unit 26 determines whether or not included routing destination to the session data (step S51). セッションデータにルーティング先が含まれていない場合(ステップS51:Yes)、処理を振り分けられたサービス処理部27は、そのセッションデータに含まれる宛先IPアドレスを用いてルーティングテーブル(図12では不図示)を検索し、検索の結果得られた出力先インターフェースと宛先MACアドレスをルーティング先として決定し(ステップS52)、決定されたルーティング先をそのセッションデータに書き込む(ステップS53)。 If the session data does not include the routing destination (step S51: Yes), the service processing unit 27 is distributed to the process, (not shown in FIG. 12) the routing table by using the destination IP address included in the session data searching to determine the resulting output destination interface and the destination MAC address of the search as the routing destination (step S52), and writes the determined routing destination to the session data (step S53). 以後、そのセッションデータに対応するセッションのパケットは、決定されたルーティング先に転送される。 Thereafter, packets of a session corresponding to the session data is transferred to the routing destination determined. 続いて、サービス処理部27は、ステップS56へ進む。 Subsequently, the service processing unit 27, the process proceeds to step S56.

また、処理振分部26が、セッションテーブル22a'を検索した結果得られたセッションデータの適用サービスタイプ欄を参照し、入力パケットが、負荷分散サービスを受けるべきパケットであり、且つ セッションデータに振分先サーバが含まれていない、つまり、振分先サーバがまだ決定していないと判定した場合と判定した場合(ステップS56:Yes)、処理振分部26は、負荷分散処理を行うサービス処理部27に処理を振り分ける。 Also, processing assignment unit 26 refers to the applicable service type field of the session data obtained as a result of searching the session table 22a ', the input packet is a packet to receive a load balancing service, and vibration in the session data min destination server is not included, that is, if the distribution destination server is determined that if it is determined not yet determined (step S56: Yes), processing assignment unit 26, the service processing for load distribution processing It distributes the processing to the part 27. 処理を振り分けられたサービス処理部27は、振分先サーバを決定し(ステップS57)、決定された振分先のアドレスを対応するセッションテーブル22a'のサービス固有情報欄に書き込み(ステップS58)、ステップS61に進む。 The service processing unit 27 is distributed processing determines the distribution destination server (step S57), it writes the determined distribution destination address to the service-specific information field of the corresponding session table 22a '(Step S58), the process proceeds to step S61.

また、処理振分部26が、セッションテーブル22a'を検索した結果得られたセッションデータの適用サービスタイプ欄を参照し、入力パケットがフィルタリング廃棄サービスを受けるべきパケットであると判定したならば(ステップS61:Yes)、処理振分部26は、パケット廃棄処理を行うサービス処理部27に処理を振り分ける。 Also, processing assignment unit 26 refers to the applicable service type field of the session data obtained as a result of searching the session table 22a ', if the input packet is judged as a packet should receive filtering waste services (step S61: Yes), processing assignment unit 26 distributes the processing to the service processing unit 27 that performs packet discarding process. 処理を振り分けられたサービス処理部27は、そのパケットを廃棄し(ステップS62)、処理を終了する。 The service processing unit 27 is distributed to the process, and discards the packet (step S62), the process ends. ステップS61の判定でNoである場合、ステップS63に進む。 If No is determined in step S61, the process proceeds to step S63.

処理振分部26が、セッションテーブル22a'を検索した結果得られたセッションデータの適用サービスタイプ欄を参照し、入力パケットが、負荷分散もしくはNATサービスを実行するパケットならば、その入力パケットはヘッダ書換を受けるべきパケットであると判定する(ステップS63:Yes)。 Processing assignment unit 26 refers to the applicable service type field of the session data obtained as a result of searching the session table 22a ', the input packet, if a packet to perform load balancing or NAT service, its input packet header It determines that the packet should receive rewritten (step S63: Yes). 処理振分部26は、ヘッダ書換処理を行うサービス処理部27に処理を振り分ける。 Processing assignment unit 26 distributes the processing to the service processing unit 27 which performs a header rewrite process. 処理を振り分けられたサービス処理部27は、そのパケットのIPヘッダとTCPヘッダ上の送信元/宛先IPアドレス、送信元/宛先ポート等を、セッションテーブル22a'に格納されたセッションデータに従って書き換え、(ステップS64)処理を終了する。 The service processing unit 27 is distributed to the process, source / destination IP address on the IP header and the TCP header of the packet, the source / destination port, etc., rewritten according to the session data stored in the session table 22a ', ( step S64) and the process ends. なお、セッションデータに複数の適用サービスが格納されている場合、格納されている順に、入力パケットに該複数の適用サービスを実行する。 When a plurality of application services to the session data is stored, in the order in which they are stored, and executes the application service of the plurality of the input packet.

以上のように、本実施例においては、第1の実施例と同様、サーバ11のCPUの使用率を下げることができ、また、セッションの途中でルーティングテーブルが変更されても、現在継続中のセッションについては、一貫性を保持できる。 As described above, in this embodiment, as in the first embodiment, it can reduce the usage of the CPU of the server 11, also in the middle of a session be modified routing table, ongoing for the session, it can maintain consistency.

さらに、処理振分部26と複数のサービスに対応した複数のサービス処理部27を、サーバ11より高速に処理できるネットワーク接続装置20に配置したので、サーバのCPUの使用率を小さくすることができるとともに、サービス処理を高速化することができる。 Further, a plurality of service processing unit 27 corresponding to the processing assignment unit 26 and a plurality of services, since the arrangement to the network connection device 20 that can be handled from the server 11 at a high speed, it is possible to reduce the utilization of the server's CPU together, it is possible to speed up the service process.

さらに、また、本実施例によれば、サービスに応じて複数のサービス処理部27をネットワーク接続装置20に備えることとしている。 Furthermore, also according to this embodiment, is set to be in accordance with the service comprises a plurality of service processing unit 27 to the network connection device 20. これにより、新たなサービスが必要になった場合、必要となったサービスに対応する新たなサービス処理部27をネットワーク接続装置20に追加することにより、容易に対応することが可能な柔軟な構成を実現する。 Thus, when a new service is required, by adding new service processing unit 27 corresponding to the service it is required to the network connection device 20, a readily flexible structure capable of corresponding to achieve. 例えば、新たに、VPN(Virtual Private Network )暗号化サービスや復号化サービスが必要になった場合、新たに、VPN暗号化サービスを行うサービス処理部27及び復号化サービスを行うサービス処理部27を追加することにより対応することが可能である。 For example, new, VPN (Virtual Private Network) if the encryption services and decryption services is required, new, add a service processing unit 27 which performs the service processing unit 27 and the decryption service for VPN encryption services it is possible to correspond by.

以下、図17を用いて、より詳しくヘッダ書換処理について説明する。 Hereinafter, with reference to FIG. 17, described in more detail header rewrite process. 図17に、本実施例においてネットワーク接続装置20が負荷分散サービスを行う場合のパケットフローを示す。 17 shows a packet flow in the case where the network connection device 20 performs load balancing service in this embodiment. なお、図17に示すパケットフローは、図13に示すセッションテーブル22a'内のセッションIDが2及び3であるセッションデータに対応している。 The packet flow shown in FIG. 17, the session ID in the session table 22a 'shown in FIG. 13 corresponds to the session data is 2, and 3. また、矢印の方向は、パケットの送信される方向を示す。 Further, the direction of the arrow indicates the direction in which the transmission of the packet.

アドレスが10.25.1.230 であるクライアントからアドレスが192.168.100.75であるサーバへパケットが送信される場合、まず、矢印A1に示すように、クライアントからネットワーク接続装置20へ「宛先アドレス:192.168.100.75、送信元アドレス:10.25.1.230 」をヘッダに格納したパケットP1が送信される。 If the address is the address from the client is 10.25.1.230 packet is transmitted to a server is 192.168.100.75, first, as shown by the arrow A1, "the destination address from the client to the network connection device 20: 192.168.100.75, transmission source address: 10.25.1.230 "packet P1 stored in the header is transmitted. ネットワーク接続装置20のセッション管理部22は、パケットP1に含まれる送信元アドレス10.25.1.230 及び宛先アドレス192.168.100.75等をキーとして図13に示すセッションテーブル22a'を参照し、セッションID=3であるセッションデータを取得する。 Session managing unit 22 of the network connection device 20 refers to the session table 22a 'shown in FIG. 13 the source address 10.25.1.230 and destination address 192.168.100.75 like included in the packet P1 as a key, is a session ID = 3 to get the session data.

取得されたセッションデータ内の適用サービスタイプは「ヘッダ書換」であるため、ネットワーク接続装置20内の処理振分部26は、ヘッダ書換処理を行うサービス処理部27に処理を振り分ける。 For application service type acquired in the session data is a "header rewrite" the process distributing unit 26 in the network connection device 20 distributes the processing to the service processing unit 27 which performs a header rewrite process. そのセッションデータ内の固有情報は「宛先アドレス:192.168.100.100 」であるため、処理を振り分けられたサービス処理部27は、パケットP1内の宛先アドレスを「192.168.100.75」から「192.168.100.100 」に書き換える。 The session data specific information "destination address: 192.168.100.100" in order to be, the service processing unit 27 is distributed to the process, a destination address in the packet P1 from the "192.168.100.75" to "192.168.100.100" rewrite. この結果、矢印A2に示すように、ネットワーク接続装置20からアドレスが192.168.100.100である振分先サーバへ「宛先アドレス:192.168.100.100 、送信元アドレス:10.25.1.230」をヘッダに格納したパケットP2が送信される。 As a result, as shown by an arrow A2, the network connection device 20 address to the distribution destination server is 192.168.100.100 "Destination address: 192.168.100.100, source address: 10.25.1.230" packet P2 that was stored in the header There are transmitted.

逆に、アドレスが192.168.100.100 である振分先サーバからアドレスが10.25.1.230 であるクライアントへパケットが送信される場合、まず、矢印A3に示すように、振分先サーバからネットワーク接続装置20へ「宛先アドレス:10.25.1.230 、送信元アドレス:192.168.100.100 」をヘッダに格納したパケットP3が送信される。 Conversely, if the address packet is transmitted from the distribution destination server is 192.168.100.100 to address is 10.25.1.230 client, first, as shown by arrow A3, the distribution destination server to a network connection device 20 "destination address: 10.25.1.230, source address: 192.168.100.100" packet P3 stored in the header is transmitted. ネットワーク接続装置20のセッション管理部22は、パケットP3に含まれる送信元アドレス及び宛先アドレスをキーとして図13に示すセッションテーブル22a'を参照し、セッションID=2であるセッションデータを取得する。 Session managing unit 22 of the network connection device 20 refers to the session table 22a 'shown in FIG. 13 the source address and destination address included in the packet P3 as a key, and acquires the session data is a session ID = 2.

取得されたセッションデータ内の適用サービスタイプ欄のエントリは「ヘッダ書換」であるため、ネットワーク接続装置20内の処理振分部26は、ヘッダ書換処理を行うサービス処理部27に処理を振り分ける。 For entry application service type field of the acquired in the session data is a "header rewrite" the process distributing unit 26 in the network connection device 20 distributes the processing to the service processing unit 27 which performs a header rewrite process. 処理を振り分けられたサービス処理部27は、そのセッションデータ内の固有情報に基づいて、パケット内の送信元アドレスを「192.168.100.100」から「192.168.100.75」に書き換える。 The service processing unit 27 is distributed to the process, based on the unique information in the session data, it rewrites the source address in the packet to the "192.168.100.100", "192.168.100.75". この結果、矢印A4に示すように、ネットワーク接続装置20からアドレスが10.25.1.230であるクライアントへ「宛先アドレス:10.25.1.230、送信元アドレス:192.168.100.75」をヘッダに格納したパケットP4が送信される。 As a result, as shown by the arrow A4, the address from the network connection device 20 to the client is 10.25.1.230 "Destination Address: 10.25.1.230, source address: 192.168.100.75" packets P4 stored in the header is transmitted that. このようにして、ネットワーク接続装置20は、パケットのヘッダを書き換える事により、パケットの宛先サーバの負荷を分散させることができる。 In this way, the network connection device 20, by rewriting the header of the packet, it is possible to distribute the load of the destination server of the packet.

図18は本発明の第4の実施例のパケット中継処理装置の構成を示す図である。 Figure 18 is a diagram showing the configuration of a fourth embodiment of a packet relay processing apparatus of the present invention. 本実施例は、上記第3の実施例のパケット中継処理装置において、処理振分部26にサーバ転送機能を設けるとともに、サーバ11に外部サービス処理部15を設け、サービス処理を、ネットワーク接続装置20とサーバ11の両方で実行できるようにしたものである。 This embodiment, in the packet relay processing apparatus of the third embodiment, provided with a server transfer function processing assignment unit 26, the external service processing unit 15 provided in the server 11, the service processing, the network connecting device 20 and it is obtained to be able to run on both the server 11. 本実施例において、サービス処理をサーバ11で実行する場合には、ポリシーテーブル25にサービスの内容だけでなく、サーバ11に転送することを設定しておく。 In the present embodiment, when executing a service process in the server 11 is not in the policy table 25 only the contents of the services, is set to be transferred to the server 11. その他の動作は第3の実施例と同様である。 Other operations are the same as those in the third embodiment.

図18に示すように、外部サービス処理部15は、第3実施例に係わるサービス処理部27と同様に、適用サービスタイプに応じて複数の外部サービス処理部15をサーバ11に備えられる。 As shown in FIG. 18, the external service processing unit 15, similarly to the service processing unit 27 according to the third embodiment, provided with a plurality of external service processing unit 15 to the server 11 in accordance with the applicable service type. 従って、第3実施例におけるサービス処理部27と同様に、新たなサービスタイプが必要になった場合、新たなサービスタイプに対応する新たな外部サービス処理部15をサーバ11に追加することにより、容易に対応することが可能である。 Therefore, similarly to the service processing unit 27 in the third embodiment, when a new service type is needed, by adding a new external service processing unit 15 corresponding to the new service type to the server 11, facilitating it is possible to correspond to.

本実施例にかかわるセッションテーブル22a'及びポリシーテーブル25の構成は、第3実施例とほぼ同様であるため、詳しい説明は省略する。 Configuration of session table 22a 'and the policy table 25 according to this embodiment is substantially the same as the third embodiment, detailed description will be omitted. 異なる点は、第4実施例によれば、サービス処理部27で行うサービスの内容に加えて、サーバ11に転送して外部サービス処理部15で行うサービスの内容をセッションテーブル22a'及びポリシーテーブル25に設定することができることである。 The difference, according to the fourth embodiment, in addition to the content of the service performed by the service processing unit 27, the external service processing unit session table 22a the contents of the service performed in 15 'and the policy table 25 and transferred to the server 11 it is that it can be set to.

以下、本実施例の処理振分部26、サービス処理部27及び外部サービス処理部15における処理の手順を図19に示す。 Hereinafter, processing assignment unit 26 of the present embodiment, a procedure of processing in the service processing unit 27 and the external service processing unit 15 shown in FIG. 19. 図19において、ステップS51からステップS64までの処理は図16と同じである。 19, processing from step S51 to step S64 are the same as FIG. 16. 例えば、入力パケットに対応するセッションテーブル22a'内のセッションデータで、適用サービスタイプが「ルーティング」が書き込まれ、且つ、ルーティング先が書き込まれていない場合、サービス処理部27は、ポリシーテーブル25のルーティングテーブルを引き、出力先インターフェースと宛先MACアドレスをセッションテーブル22a'内のセッションデータに書き込む。 For example, the session data in the session table 22a 'corresponding to the input packet, apply the service type is "Routing" is written, and, if the routing destination is not written, the service processing unit 27, routing policy table 25 pull the table, and writes the destination interface and the destination MAC address in the session data in the session table 22a '.

このように、セッションテーブル22a'の適用サービスタイプを参照し、適用サービスタイプにサーバ転送が設定されていない場合には、前記図16で説明したように、適用サービスタイプに応じた処理を行い、ヘッダ書換えパケットの場合、ヘッダの書換処理を行う。 Thus, with reference to the application service type of session table 22a ', if the server transfer is not set in the application service type, as described above with reference to FIG 16, performs processing according to application service type, If the header rewriting packet, it performs rewriting processing of the header.

さらに、本実施例によれば、サービスの一部をサーバ11内の外部サービス処理部15が行う。 Further, according to this embodiment, some of the services external service processing unit 15 in the server 11 is performed. そのために、処理振分部26は、図16のステップS51からステップS64の処理に加えて、以下の手順を行う。 Therefore, processing assignment unit 26, in addition to the processing of step S64 from step S51 in FIG. 16, the following steps.

すなわち、処理振分部26は、セッションテーブル22a'を検索して得られたセッションデータの適用サービスタイプ欄を参照し、入力パケットが、サーバ11へ転送されるべきパケットであるか否かを判定する(ステップS71)。 That is, the processing assignment unit 26 refers to the applicable service type field of the session data obtained by searching the session table 22a ', the input packet, determines whether a packet to be transferred to the server 11 (step S71). セッションデータの適用サービスタイプ欄に「サーバ転送:ON」及び適用サービスタイプが設定されている場合には(ステップS71:Yes)、処理振分部26は、パケットに転送用ヘッダを付す処理を行うサービス処理部27に処理を振り分ける。 Application session data to the service type field "server transfer: ON" if and application service type is set (step S71: Yes), processing assignment unit 26 performs a process of subjecting the header for forwarding the packet It distributes the processing to the service processing unit 27. 処理を振り分けられたサービス処理部27は、そのパケットに転送用ヘッダを付す。 The service processing unit 27 is distributed to the process, given the header for forwarding the packet. 転送用ヘッダの内容は、例えば、適用サービスタイプ、そのパケットのセッションデータのセッションID及び入力インターフェースである。 The contents of the transfer header, for example, application service type, a session ID and an input interface of the session data of the packet. 続いて、サービス処理部27は、パケット通信部33を介してパケットをサーバ11の外部サービス処理部15に転送する(ステップS72)。 Then, the service processor 27 transfers the packet via the packet communication unit 33 to the external service processing unit 15 of the server 11 (step S72). 適用サービスタイプに対応する外部サービス処理部15は、受信したパケットを処理する(ステップS73)。 External service processing unit 15 corresponding to the application service type, processes the received packet (step S73).

外部サービス処理部15の処理フローは前記した図16と同様である。 Process flow of the external service processing unit 15 is similar to that of FIG. 16 described above. 例えば、セッションデータ内でルーティング先が未決定の場合、外部サービス処理部15は、ルーティング先を決定し、出力先インターフェースと宛先MACアドレスをセッションテーブル22a'に書き込む。 For example, if the routing destination is undetermined in the session data, the external service processing unit 15 determines the routing destination, writes the destination interface and the destination MAC address in the session table 22a '.

また、入力パケットが、負荷分散サービスをうけるべきパケットであり、セッションデータ内で振分先がまだ決定していない場合、外部サービス処理部15は、振分先サーバを決定し、対応するセッションテーブル22a'内のセッションデータのサービス固有情報欄に書き込む。 Further, the input packet is a packet to receive a load balancing service, if the distribution destination in the session data are not yet decided, the external service processing unit 15 determines a distribution destination server, the corresponding session table It is written in the service-specific information field of the session data in 22a '. 入力パケットがフィルタリング廃棄サービスを受けるべきパケットならば、外部サービス処理部15は、パケットを廃棄する。 If a packet to the input packet is subjected to filtering waste service, external service processing unit 15 discards the packet.

そして、入力パケットが、負荷分散もしくはNATサービスを受けるべきパケットならば、外部サービス処理部15は、そのパケットのIPヘッダとTCPヘッダ上の送信元/宛先IPアドレス、送信元/宛先ポート等を、セッションテーブル22a'内のセッションデータに従って書き換える。 Then, the input packet, if a packet should receive load balancing or NAT service, external service processing unit 15, source / destination IP address on the IP header and the TCP header of the packet, the source / destination port, or the like, rewritten according to the session data in the session table 22a '.

なお、以上では、外部サービス処理部15が、ネットワーク接続装置20におけるサービス内容と同じサービスを行う場合について説明したが、外部サービス処理部15で、例えば、暗号化、復号化、プロキシ、コンテンツ変換、プロトコル変換等のネットワーク接続装置20上で行わないサービス処理を行うようにしてもよい。 In the above, the external service processing unit 15, there has been described a case where the same services as service contents in the network connecting device 20, the external service processing unit 15, for example, encryption, decryption, proxy, content conversion, may perform service processing is not performed on the network connection device 20 of the protocol conversion and the like.

以上のように本実施例においては、ネットワーク接続装置20にセッション管理に基づくパケット中継処理機能を設け、従来サーバ上に配置していた機能をネットワーク接続装置20が果たすようにする。 Or more in the present embodiment as described above, provided the packet relay processing function based on the session management network connecting device 20, so that the conventional features that were placed on the server network connection device 20 performs. これにより、第1の実施例と同様、サーバのCPUの使用率を下げることができる。 Thus, as in the first embodiment, it is possible to reduce the usage of server CPU. また、第1の実施例と同様、セッションの途中でルーティングテーブルが変更されても、現在継続中のセッションについては、一貫性を保持できる。 Also, as in the first embodiment, be modified routing table in the middle of a session, the ongoing session can maintain consistency. さらに、処理振分部26にパケットをサーバへ転送する機能を設けるとともに、サーバ11に外部サービス処理部15を設け、サービス処理を、ネットワーク接続装置20とサーバ11の両方で実行できるようにしたので、ネットワーク接続装置20上で実現するのは困難なサービス処理をサーバ11で行うことができ、ネットワークサービスが複雑な処理を必要とする場合でも対応することができる。 Further, provided with a function of transferring the packet to the processing assignment unit 26 to the server, the external service processing unit 15 provided in the server 11, a service process, since to be able to run on both the network connection device 20 and the server 11 , to achieve over the network connection device 20 can perform difficult service processing server 11, it is possible to cope with even if the network service requires a complicated process.

次に、第5実施例について説明する。 Next, a fifth embodiment will be described. 図20は本発明の第5の実施例のパケット中継処理装置の構成を示す図である。 Figure 20 is a diagram showing the configuration of a packet relay processing apparatus according to the fifth embodiment of the present invention. 図21に示すように、本実施例に係わるパケット中継処理装置は、第3実施例に係わるパケット中継処理装置を構成するサーバ11にパケット詳細解析部16を更に備える。 As shown in FIG. 21, the packet relay processing apparatus according to this embodiment further comprises a packet details analyzing unit 16 to the server 11 constituting the packet relay processing apparatus according to the third embodiment. このように構成することにより、ネットワーク接続装置20の処理振分部26が、与えられた条件によってパケットをサーバ11に転送し、サーバ11内のパケット詳細解析部16がパケットを解析してサービスを決定し、決定したサービス内容をネットワーク接続装置20に設定する。 With this configuration, processing assignment unit 26 of the network connection device 20 forwards the packet to the server 11 by a given condition, a service packet details analyzing unit 16 in the server 11 analyzes the packet determined, it sets the determined service content to the network connection device 20. そして、設定以後同じセッションに対して、ネットワーク接続装置20は、上記決定されたサービス内容に基づき中継処理を行うようにしたものである。 Then, set after the same session, the network connecting device 20 is formed so as to perform relay processing based on service contents determined above.

図20において、11はサーバであり、サーバ11は前記第3、第4の実施例と同様、サービス制御部14を備えており、サービス制御部14は、前記したように制御情報通信部31を通して、ネットワーク接統装置20のポリシーテーブル25にポリシーを書き込む。 In Figure 20, 11 is a server, the server 11 the third, as in the fourth embodiment includes a service control unit 14, the service control unit 14, via the control information communication unit 31 as described above writes the policy in the policy table 25 of the network SeMMitsuru device 20. 更に、サービス制御部14は、サーバ11が備える詳細解析用ポリシーテーブル(図20では不図示)にもポリシーを書き込む。 Furthermore, the service control unit 14 writes the policy in the policy table for details analysis server 11 is provided (in FIG. 20 not shown).

また、サーバ11はパケット詳細解析部16を備えており、パケット詳細解析部16は、不図示のパケット詳細解析用のセッションテーブル及びポリシーテーブルに基づいて、パケットを解析してそのパケットを含むセッションに対するサービスを決定し、決定したサービス内容をネットワーク接続装置20のセッションテーブル22a'のセッションデータを設定しなおす。 The server 11 includes a packet details analyzing unit 16, the packet details analyzing unit 16, based on the session table and the policy table for packet detailed analysis (not shown), for a session that includes the packet by analyzing the packet determine the service, the determined service content resets the session data session table 22a 'of the network connection device 20. 再設定後、ネットワーク接続装置20は上記サービス内容に基づき中継処理を行う。 After reconfiguration, the network connection device 20 performs relay processing on the basis of the service content. 詳細解析用のセッションテーブル及びポリシーテーブルのデータ構成については後述する。 It will be described later the data structure of the session table and the policy table for detailed analysis.

第3及び第4実施例のサービス処理部27や外部サービス処理部15と同様に、パケット詳細解析部16も、適用サービスタイプに応じてサーバ11に複数備えられる。 Like the service processing unit 27 and the external service processing unit 15 of the third and fourth embodiments, the packet details analyzing unit 16 is also provided plurality in the server 11 in accordance with the applicable service type. 従って、新たなサービスタイプが必要になった場合、新たなサービスタイプに対応する新たなパケット詳細解析部16をサーバ11に追加することにより、容易に対応することが可能である。 Therefore, when a new service type is needed, it is possible by adding a new packet details analyzing unit 16 corresponding to the new service type to the server 11, to easily correspond.

20はネットワーク接続装置であり、本実施例のネットワーク接続装置20は、第3の実施例と同様、パケット処理部21、セッション管理部22、セッションテーブル22a'、ポリシーテーブル25、処理振分部26、サービス処理部27を備えており、さらに処理振分部26はパケットをサーバへ転送する機能を備えている。 20 is a network connection device, network connection device 20 of this embodiment, as in the third embodiment, the packet processing unit 21, the session management unit 22, the session table 22a ', policy table 25, processing assignment unit 26 It includes a service processing unit 27, further processing assignment unit 26 has a function of transferring a packet to the server.

上記パケット処理部21、セッション管理部22、処理振分部26、サービス処理部27の動作は前記第3の実施例と同様である。 The packet processing unit 21, the session management unit 22, processing assignment unit 26, the operation of the service processing unit 27 is the same as the third embodiment. 本実施例に係わるポリシーテーブル25のデータ構成は第3実施例と同様であるため、説明は省略する。 Since the data structure of the policy table 25 according to this embodiment is the same as the third embodiment, description thereof will be omitted. 本実施例にかかわるセッションテーブル22a'のデータ構成については、後述する。 The data structure of the session table 22a 'according to this embodiment will be described later.

また、本実施例においては、予めサーバ11によりポリシーテーブル25の適用サービスの欄に、上記パケット詳細解析部16に転送するパケットと適用サービスの適用範囲(例えばhttpはURLフィルタリング適用対象のパケットである等)を設定する。 In the present embodiment, in the column of application service policy table 25 in advance by the server 11, the application range (e.g. http packets and apply services to be transferred to the packet details analyzing unit 16 is the packet URL filtering Applies to set etc.). 処理振分部26は、前記第4の実施例で説明したのと同様に、ポリシーテーブル25を参照してサーバ11に転送するパケットを判断し、該当パケットのヘッダに適用サービスタイプの種類を付した後、そのパケットをパケット通信路33を介してサーバ11のパケット詳細解析部16に転送する。 Processing assignment unit 26, in the same manner as described in the fourth embodiment, with reference to the policy table 25 to determine a packet to be transferred to the server 11, with the type of application service type in the header of the packet after, it forwards the packet to the packet details analyzing unit 16 of the server 11 via the packet communication path 33.

以下、図21から図26を用いて、本実施例にかかわる各テーブルのデータ構成について説明する。 Hereinafter, with reference to FIG. 26 from FIG. 21, a description will be given of the data structure of each table according to the present embodiment. まず、図21から図24を用いて本実施例にかかわるセッションテーブル22a'について説明する。 First, the session table 22a 'will be described according to the present embodiment with reference to FIG. 24 from FIG. 21. 図21から図24に示すように、セッションテーブル22a'に格納されるセッションデータに含まれる項目は、図13に示すセッションテーブル22a'と同様である。 From Figure 21, as shown in FIG. 24, the session table 22a 'items included in the session data stored in the session table 22a shown in FIG. 13' is similar to. しかし、本実施例によれば、セッションデータがセッションテーブル22a'に登録された後、パケット詳細解析部16が、パケットを解析し、解析結果に基づいてセッションテーブル22a'のセッションデータを再設定する。 However, according to the present embodiment, session data session table 22a 'after being registered in the packet details analyzing unit 16 analyzes the packet, session table 22a based on the analysis result' resets the session data .

図21及び図22に、セッション管理部22が、ポリシーテーブル25に基づいてセッションデータを登録した際のセッションテーブル22a'の一例を示す。 21 and 22, the session management unit 22, an example of a session table 22a 'at the time of registering the session data based on the policy table 25. 図21から図22に示すように、まだパケット詳細解析部16による解析が行われていないため、各セッションデータの適用サービスタイプの欄において、「サーバ転送:ON」となっている。 As shown in Figures 21 to 22, since no yet been analyzed by the packet details analyzing unit 16, the application service type field of the session data, "server transfer: ON" has become. 従って、セッションデータに対応するセッションのパケットは、サーバ11に転送される。 Accordingly, packets of a session corresponding to the session data is transferred to the server 11.

図23及び図24に、パケット詳細解析部16が、パケットの解析結果に基づいてセッションデータを再設定した後のセッションテーブル22a'の一例を示す。 23 and 24, the packet details analyzing unit 16, an example of a session table 22a 'after resetting the session data based on the analysis result of the packet. 図23及び図24に示すように、パケット詳細解析部16による解析が行われたため、各セッションデータの適用サービスタイプの欄において、「サーバ転送:OFF」となっている。 As shown in FIGS. 23 and 24, since the analysis by the packet details analyzing unit 16 has been performed, the application service type field of the session data, "server transfer: OFF" has become. 従って、以後、各セッションデータに対応するセッションのパケットは、サーバ11に転送されない事となる。 Accordingly, hereafter, packets of a session corresponding to each session data becomes possible not transferred to the server 11.

また、パケット詳細解析部16によってセッションデータが再設定された結果、図21及び図22に示すセッションテーブル22a'と、図23及び図24に示すセッションテーブル22a'とは、さらに、以下の点が異なる。 As a result of the packet details analyzing unit 16 the session data has been re-set, the session table 22a shown in FIG. 21 and FIG. 22 is a 'and a session table 22a shown in FIGS. 23 and 24', furthermore, the following points different.

・図21に示すようにセッションID=0及び1であるセッションデータの適用サービスタイプの欄に「URLフィルタリング」が格納されている。 - the application service type field of the session data is a session ID = 0 and 1 as shown in FIG. 21, "URL filtering" is stored. 一方、パケット詳細解析部16によるパケット解析の結果、パケットを通過させることが決定されたため、図23に示す同じセッションIDのセッションデータの同欄には、「フィルタリング通過」が格納されている。 On the other hand, the results of the packet analysis by the packet details analyzing unit 16, for passing a packet is determined, in the same column of the session data for the same session ID as shown in FIG. 23, "Filtering pass" is stored.

・図21に示すように、セッションID=2から5であるセッションデータの適用サービスタイプの欄に「URL負荷分散」が格納されているが、固有情報の欄に振分先サーバに関する情報は格納されていない。 · As shown in FIG. 21, although the application service type field of the session data is a 5 from the session ID = 2 "URL load balancing" is stored, the information regarding the distribution destination server in a column of the unique information storage It has not been. 一方、パケット詳細解析部16によるパケット解析の結果、振分先サーバが決定されたため、図23に示すように、セッションID=3及び4であるセッションデータは削除され、セッションID=2及び5であるセッションデータの適用サービスタイプの欄に「ヘッダ書換」が格納され、固有情報の欄に振分先サーバに関する情報が格納されている。 On the other hand, the results of the packet analysis by the packet details analyzing unit 16, since the distribution destination server is determined, as shown in FIG. 23, the session ID = 3 and the session data is 4 is removed, the session ID = 2 and 5 stores "header rewrite" the application service type column of a certain session data, information about the distribution destination server is stored in the column of specific information.

・図22に示すように、セッションID=6及び7であるセッションデータの適用サービスタイプの欄に「FTP(File Transfer Protocol)フィルタリング」が格納されている。 · As shown in FIG. 22, "FTP (File Transfer Protocol) filtering" is stored in the application service type field of the session data is a session ID = 6 and 7. その後パケット詳細解析部16によるパケット解析の結果、そのセッションのパケットを通過させると決定されたため、図24に示すように、セッションID=6及び7である制御コネクションのためのセッションデータに加えて、新たにセッションID=8及び9であるデータコネクションのためのセッションデータが登録され、そのセッションデータの適用サービスタイプの欄に「フィルタリング通過」が格納されている。 Result of subsequent packet analysis by the packet details analyzing unit 16, since it is determined that the packet is passed to the session, as shown in FIG. 24, in addition to the session data for the control connection is a session ID = 6 and 7, new session data for the data connection is a session ID = 8 and 9 are registered, "filtering pass" is stored in the column of application service type of the session data.

次に、図25及び図26を用いて、パケット詳細解析部16が備えるテーブルについて説明する。 Next, with reference to FIGS. 25 and 26, it will be described a table provided in the packet details analyzing unit 16. パケット詳細解析部16は、パケットを解析するために、詳細解析用セッションテーブル及び詳細解析用ポリシーテーブルを備える。 Packet details analyzing unit 16 to analyze the packet includes the session table and detailed policy table for analyzing detailed analysis.

図25に、詳細解析用セッションテーブルの構成例を示す。 Figure 25 shows a configuration example of a detailed analysis session table. 図25に示す詳細解析用セッションテーブルは、図21及び図22に示すセッションテーブル22a'に対応する。 More analysis session table shown in FIG. 25 corresponds to the session table 22a 'shown in FIGS. 21 and 22. 図25に示すように、詳細解析用セッションテーブルに格納されるセッションデータは、セッションID、セッション検索キー、セッション状態、関連セッション及び適用サービスタイプを項目として含む。 As shown in FIG. 25, the session data stored in the session table for detailed analysis includes session ID, the session search key, session state, the associated session and application service types as items. 関連セッション以外の項目は、セッションテーブル22a'に格納されるセッションデータと同様である。 Items other than related session is the same as the session data stored in the session table 22a '. 関連セッションは、パケット詳細解析部16がパケットを解析した結果、関連すると判定されたセッションのセッションIDである。 Related session result packet details analyzing unit 16 analyzes the packet, a session ID of a session that has been determined to relevant. 詳細解析用セッションテーブル内のセッションデータは、セッションテーブル22a'に格納されるセッションデータに基づいて、詳細解析を行う際にパケット詳細解析部16によって登録され、詳細解析が終了するとパケット詳細解析部16によって削除される。 Session data in the detailed analysis session table, based on the session data stored in the session table 22a ', registered by the packet details analyzing unit 16 in performing the detailed analysis, the detailed analysis is finished packet details analyzing unit 16 It is deleted by.

図26に、詳細解析用ポリシーテーブルの構成例を示す。 Figure 26 shows a configuration example of a detailed analysis policy table. 図26に示す詳細解析用ポリシーテーブルは、図14に示すポリシーテーブル25よりも詳しいポリシーを格納する。 More analysis policy table shown in FIG. 26 stores detailed policy than the policy table 25 shown in FIG. 14. 例えば、URLフィルタリングについては、URL毎にパケットを廃棄するか否かを示すURLフィルタリング用URLテーブルが詳細解析用ポリシーテーブルに備えられる。 For example, the URL filtering, URL filtering URL table which indicates whether to discard the packet for each URL is provided to the policy table for detailed analysis. また、例えばFTPフィルタリングについては、IPアドレス及びポート番号ごとに、パケットを通過させるべきか廃棄させるべきかを示すFTPフィルタリング用テーブルが備えられる。 Further, for example, for FTP filtering, for each IP address and port number, a table for FTP filtering provided indicating which should be discarded or should pass the packet. 更にまた、例えば、URL負荷分散については、URL毎に振分先サーバの候補のIPアドレス及び振分方法を示すURL負荷分散用テーブル等が備えられる。 Furthermore, for example, for the URL load balancing, URL load distribution table or the like for each URL showing the IP address and the sorting method of the candidates for the distribution destination server is provided. なお、図25に示す詳細解析用セッションテーブルは、図21から図24に示すセッションテーブル22a'に対応している。 Incidentally, the session table for detailed analysis shown in FIG. 25 corresponds to the session table 22a 'shown in FIG. 24 from FIG. 21.

以下、図27を用いて第5実施例に係わるパケット中継処理装置の動作概念について説明する。 Hereinafter, the operation concept of the packet relay processing apparatus according to a fifth embodiment will be described with reference to FIG. 27. 図27において、実線の矢印は、パケットの進む方向を示し、破線の矢印は、テーブル内のデータの読み込み及びテーブルへのデータ書き込みを示す。 27, solid arrows indicate the direction of travel of packets, dashed arrows indicate the data writing to reading and table data in the table.

まず、サーバ11内のサービス制御部14は、制御情報通信部31を介して、ネットワーク接統装置20のポリシーテーブル25及びパケット詳細解析部16内の詳細解析用ポリシーテーブルにポリシーを書き込む(矢印A11)。 First, the service control unit 14 in the server 11 via the control information communication unit 31, a policy table for detailed analysis of the policy table 25 and the packet details in analyzing unit 16 of the network SeMMitsuru device 20 writes the policy (arrow A11 ).

続いて、ネットワーク接続装置20にパケットが入力されると、セッション管理部22は、パケットのヘッダに格納された情報を用いてポリシーテーブル25を参照し、ヘッダ内の情報とポリシー検索キーがマッチするポリシーを取得し、そのポリシーに基づいてセッションデータを作成し、セッションテーブル22a'に格納する(矢印A12)。 Subsequently, when a packet on the network connection device 20 is inputted, the session management section 22 refers to the policy table 25 by using the information stored in the header of the packet, information and policy search key in the header matches It gets the policy to create a session data based on the policy, and stores the session table 22a '(arrow A12).

そのセッションデータの適用サービスタイプの欄に「サーバ転送:ON」が格納されている場合、処理振分部26は、パケット通信部33を介してそのパケットをパケット詳細解析部16に転送する。 As session data applied to a service type field "server transfer: ON" if it has been stored, processing assignment unit 26 transfers the packet to the packet details analyzing unit 16 via a packet communication unit 33. パケット詳細解析16は、詳細解析用ポリシーテーブル及び詳細解析用セッションテーブルを用いてそのパケットを解析する(矢印A13)。 Packet detailed analysis 16 analyzes the packet using a policy table and detailed analysis session table for detailed analysis (arrow A13). パケット詳細解析部16は、パケットの解析結果に基づいて、ネットワーク接続装置20内のセッションテーブル22a'に格納されたセッションデータを再設定する(矢印A14)。 Packet details analyzing unit 16, based on the analysis result of the packet, resets the session data stored in the session table 22a 'in the network connection device 20 (arrow A14). パケットの解析後は、ネットワーク接続装置20に入力したパケットは、パケット詳細解析部16によって解析されることなく、サービス処理部27によって処理され、ネットワーク接続装置20から出力される(矢印A15)。 After analysis of the packets, packet input to the network connection device 20, without being analyzed by the packet details analyzing unit 16, is processed by the service processing unit 27, it is outputted from the network connection device 20 (arrow A15).

以下、第5実施例に係わるパケット中継処理装置の動作について説明する。 Hereinafter, the operation of the packet relay apparatus according to the fifth embodiment. パケット処理部21及びセッション管理部22による処理の手順は、第1から第4実施例と同様であるため、説明を省略する。 Procedure of the processing by the packet processing unit 21 and the session management unit 22, since the first is the same as that of the fourth embodiment, the description thereof is omitted. 以下、処理振分部26、サービス処理部27及びパケット詳細解析部16による処理の手順に重点をおいて説明する。 Hereinafter, processing assignment unit 26, with emphasis described procedure of processing by the service processing unit 27 and the packet details analyzing unit 16.

図28は処理振分部26及びサービス処理部27の処理フローを示す図である。 Figure 28 is a diagram depicting a processing flow of the processing assignment unit 26 and the service processing unit 27. 図28に示す処理のうち、ヘッダ書換処理(ステップS64)までの処理は図19と同じである。 Of the processes shown in FIG. 28, processing up to the header rewriting process (step S64) is the same as FIG. 19. さらに、第5実施例によれば、処理振分部26は、セッションデータに含まれる適用サービスタイプに基づいて、入力パケットがサーバ11に転送するべき該当パケットであるか否かを判断する(ステップS81)。 Further, according to the fifth embodiment, processing assignment unit 26 based on the application service type included in the session data, the input packet to determine whether the corresponding packet to be transferred to the server 11 (step S81). 適用サービスタイプに「サーバ転送:ON」及び適用サービスタイプが設定されている場合には、振分処理部26は、そのパケットをサーバ11に転送するべきパケットであると判断し(ステップS81:Yes)、パケットに転送用ヘッダを付す処理を行うサービス処理部27に、処理を振り分ける。 Applicable service type to "server transfer: ON" when and application service type is set, the distribution processor 26 determines that the packet should forward the packet to the server 11 (step S81: Yes ), the service processing unit 27 for processing subjecting the header for forwarding a packet, distributes the process. 処理を振り分けられたサービス処理部27は、そのパケットに転送用ヘッダを付す。 The service processing unit 27 is distributed to the process, given the header for forwarding the packet. 転送用ヘッダの内容は第4実施例と同様である。 The contents of the transfer header is the same as that of the fourth embodiment. 転送用ヘッダを付されたパケットは、パケット通信部33を介して、サーバ11のパケット詳細解析部16に転送される(ステップS82)。 Attached to transfer header packet through the packet communication unit 33, it is transferred to the packet details analyzing unit 16 of the server 11 (step S82). パケット詳細解析部16は、受信したパケットを解析し、解析結果に基づいて、制御情報通信部31を介して、セッションテーブル22a'に格納されたセッションデータを再設定する(ステップS83)。 Packet details analyzing unit 16 analyzes the received packet, based on the analysis result, via the control information communication unit 31 resets the session data stored in the session table 22a '(Step S83).

図29は、パケット詳細解析部16の処理の手順を示すフローチャートである。 Figure 29 is a flowchart showing a procedure of processing the packet details analyzing unit 16. 図29に示す処理は、図28のステップS83に相当する。 The process shown in FIG. 29 corresponds to step S83 of FIG. 28. 本実施例においては、例として、URLフィルタリング、URL負荷分散、及びFTPフィルタリングサービスをパケット詳細解析部16を用いて提供する場合について説明する。 In this embodiment, as an example, URL filtering, URL load balancing, and will be described provided using packet details analyzing unit 16 a FTP filtering service.

まず、URLフィルタリングサービスについて説明する。 First, a description will be given of URL filtering service.
予めサーバ11のサービス制御部14が、「パケット詳細解析部16へパケットを転送しURLフィルタリングを行う」というポリシーを、制御通信情報部31を介してポリシーテーブル25に設定する。 Advance the service control unit 14 of the server 11, a policy of "packet transfers to URL filtering packets to detailed analysis section 16", set in the policy table 25 via the control communication data unit 31.

設定された条件から、ネットワーク接続装置20の処理振分部26が、該当パケットをパケット詳細解析部16に転送する。 From the set condition, processing assignment unit 26 of the network connection device 20, transfers the corresponding packet to the packet details analyzing unit 16.
パケット詳細解析部16では、受信したパケットの転送用ヘッダ内に含まれる適用サービスタイプ「URLフィルタリング」に基づいて、そのパケットがURLフィルタリングサービスを受けるべきパケットであることを判定する。 The packet details analyzing unit 16 determines that based on the application service type "URL filtering" included in transfer within the header of the received packet, the packet is a packet to receive the URL filtering service. パケット詳細解析部16は、受信したパケットに含まれる情報に基づいてセッションデータを作成し、詳細解析用セッションテーブルに格納する(ステップS91:Yes)。 Packet details analyzing unit 16 creates a session data based on the information included in the received packet is stored in the session table for detailed analysis (step S91: Yes). 以後、パケット詳細解析部16は、そのセッションの状態を管理し、HTTPのGETリクエストを受信するまで、受信したパケットをそのままネットワークへ出力させる。 Thereafter, the packet details analyzing unit 16 manages the state of the session, until it receives a GET request For HTTP, it is output to the network the received packet.

セッション状態がESTABとなった後、HTTPのGETリクエストを受信した場合(ステップS92:Yes)、パケット詳細解析部16は、URLを判定し、パケットの通過/廃棄を決定する。 After the session state becomes ESTAB, when receiving the GET request HTTP (step S92: Yes), the packet details analyzing unit 16 determines the URL, and determines a pass / discard packet. すなわち、パケット詳細解析部16は、そのパケットに含まれるURLを用いて、予め設定された詳細解析用ポリシーテーブルに含まれるURLフィルタリング用URLテーブルを参照することにより、そのパケットの通過/廃棄を判定する(ステップS93)。 That is, the packet details analyzing unit 16, using the URL included in the packet, by referring to the URL table for URL filtering in the policy table for preset detailed analysis, determining passage / discard of the packet (step S93).

パケットを廃棄すると判定した場合には(ステップS93:Yes)、パケット詳細解析部16は、そのセッションのパケットを廃棄する(ステップS103)。 When it is determined that the packet is discarded (step S93: Yes), the packet details analyzing unit 16 discards the packet of the session (step S103). 更に、パケット詳細解析部16は、パケットに含まれるセッションIDを用いてセッションテーブル22a'を参照し、セッションIDに対応するセッションデータの適用サービスタイプの欄を、「サーバ転送:ON・URLフィルタリング」から「廃棄」に書き換える(不図示)。 Furthermore, the packet details analyzing unit 16 refers to the session table 22a 'using the session ID included in the packet, the column of the application service type of session data corresponding to the session ID, "server transfer: ON · URL filtering" rewritten to "waste" from (not shown).

また、パケットを通過させると判定した場合には(ステップS93:No)、パケット詳細解析部16は、セッションテーブル22a'を参照し、パケットに含まれるセッションIDに対応するセッションデータの適用サービスタイプの欄を「サーバ転送:ON・URLフィルタリング」から「フィルタリング通過」に書き換える(ステップS94)。 Further, when it is determined that the packet is passed (step S93: No), the packet details analyzing unit 16 refers to the session table 22a ', the application service type of session data corresponding to the session ID included in the packet the column "server transfer: oN · URL filtering" is rewritten from the "filtering pass" (step S94). 図21及び図23に示すセッションテーブル22a'においてセッションID=0及び1であるセッションデータは、それぞれ、URLフィルタリングの場合の、パケット解析前後のセッションデータの一例である。 Session data is a session ID = 0 and 1 in the session table 22a 'shown in FIGS. 21 and 23, respectively, in the case of URL filtering, which is an example of session data before and after the packet analysis.

セッションテーブル22a'内のセッションデータを再設定した後、パケット詳細解析部16は、詳細解析用セッションテーブルから、そのセッションIDに対応するセッションデータを削除する(不図示)。 After resetting the session data in the session table 22a ', the packet details analyzing unit 16, the session table for detailed analysis, deletes the session data corresponding to the session ID (not shown).

上記のように、パケット詳細解析部16が、ネットワーク接続装置20のセッションテーブル22a'内のセッションデータの適用サービスタイプを、「サーバ転送:ON」から「フィルタリング通過」または「廃棄」に設定し直すと、ネットワーク接続装置20は上記通過条件に従い、以後のパケットを処理する。 As described above, the packet details analyzing unit 16, the application service type of session data in the session table 22a of the network connection device 20 ', "server transfer: ON" reset from the "filtering pass" or "discard" When the network connecting device 20 in accordance with the passage condition, to process subsequent packets. すなわち、ネットワーク接続装置20は、サーバ11のパケット詳細解析部16にパケットを転送することなく、パケットを通過させたり、廃棄する。 That is, the network connection device 20, without transferring the packet to the packet details analyzing unit 16 of the server 11, or passed through a packet is discarded.

図30は、上記URLフィルタリングの動作を説明する図である。 Figure 30 is a diagram for explaining the operation of the URL filtering.
クライアント、サーバ間で、SYN、SYN_ACK、ACKパケットを交換する。 Client, between servers, exchanging SYN, SYN_ACK, an ACK packet. そのセッションがESTABの状態に遷移するまでは、ネットワーク接続装置20から上記パケット詳細解析部16にそれらパケットが転送され、パケット詳細解析部16は、そのセッションの状態を管理する。 Until the session is transitioned to the state of the ESTAB, they packet is forwarded from the network connection device 20 to the packet details analyzing unit 16, the packet details analyzing unit 16 manages the state of the session. つまり、「ネットワーク接続装置20」及び「サーバ11」で処理が行われる。 That is, the process in the "network connecting device 20" and the "server 11" is performed.

セッションがESTAB状態に遷移し、HTTPのGETリクエスト(GET”http://www.xxx.co.jp”のようにURLが付されている)を受信すると、サーバ11のパケット詳細解析部16は、詳細解析用ポリシーに含まれるURLフィルタリング用URLテーブルを参照して上記URLのパケットが廃棄するべきパケットであるか通過させるべきパケットであるかを判定し、判定結果に基づいてセッションテーブル22a'の適用サービスタイプの欄のエントリを「廃棄」または「通過」に書き換える。 Session transitions to ESTAB state, upon receiving the (URL is attached as GET "http://www.xxx.co.jp") HTTP GET request, the packet details analyzing unit 16 of the server 11 , by referring to the URL table for URL filtering are included in the detailed analysis policy determines whether the packet should pass or a packet to the packet of the URL is discarded, the decision result in the session table 22a 'based It rewrites the entry application service type field to "waste" or "pass".

以後、ネットワーク接続装置20は、セッションテーブル22a'に設定された適用サービスタイプに応じて、そのセッションが終了するまで、パケットを廃棄または通過させる。 Thereafter, the network connection device 20, depending on the application service type set in the session table 22a ', until the session ends, to discard or pass a packet. つまり、「ネットワーク接続装置20」で処理が行われる。 That is, the process in the "network connecting device 20" is performed.

次に、図29に戻って、URL負荷分散サービスについて説明する。 Next, returning to FIG. 29, a description will be given URL load balancing service.
URL負荷分散において、例えば、クライアントがある代表サーバにアクセスした後に、URLに基づいて代表サーバに接続された他のサーバを振分先サーバとして決定し、その振分先サーバにセッションを振り分けることにより、負荷を複数の振分先サーバに分散させることができる。 In URL load balancing, for example, after accessing the representative server with the client to determine the other server connected to the representative server based on URL as distribution destination server, by distributing a session to the distribution destination server , it is possible to distribute the load to a plurality of distribution destination server.

URL負荷分散を行う際、まずサーバ11のサービス制御部14が、「パケット詳細解析部16へパケットを転送しURL負荷分散を行う」というポリシーを、制御通信情報部31を介してポリシーテーブル25の適用サービスタイプ欄に設定する。 When performing the URL load balancing, first service control unit 14 of the server 11, "packet details forwards the packet to the analysis unit 16 performs URL load balancing" a policy that, the policy table 25 via the control communication data unit 31 to configure the application service type column.

設定された条件から、ネットワーク接続装置20の処理振分部26が該当パケットをサーバ11のパケット詳細解析部16に転送する。 From the set condition, processing assignment unit 26 of the network connection device 20 transfers the corresponding packet to the packet details analyzing unit 16 of the server 11.
パケット詳細解析部16では、受信したパケットに含まれる適用サービスタイプ「URL負荷分散」に基づいて、そのパケットがURL負荷分散サービスを受けるべきパケットであることを判定する。 The packet details analyzing unit 16 determines that based on the application service type included in the received packet "URL load balancing", the packet is a packet to receive a URL load balancing service. パケット詳細解析部16は、URLフィルタリングの場合と同様にして、受信したパケットに含まれる情報に基づいてセッションデータを作成し、詳細解析用セッションテーブルに格納する。 Packet details analyzing unit 16, as in the case of URL filtering, to create the session data based on the information included in the received packet is stored in the session table for detailed analysis. さらに、パケット詳細解析部16は、パケットのヘッダに含まれる送信元アドレス、宛先アドレス及びポート番号等に基づいて代理応答を行い、相互に関連するセッションデータを登録し、セッションデータの関連セッションの欄に、関連するセッションデータのセッションIDを格納する(ステップS95:Yes)。 Furthermore, the packet details analyzing unit 16, the source address included in the header of the packet, performs proxy response based on the destination address and port number and the like, and registers the session data associated with each other, the column of related session session data in stores the session ID of the associated session data (step S95: Yes).

図25に示す詳細解析用セッションテーブルにおいて、セッションID=2から5であるセッションデータは、URL負荷分散の場合のセッションデータの一例である。 In detailed analysis session table shown in FIG. 25, the session data is a 5 from the session ID = 2 is an example of session data when the URL load balancing. 図25において、セッションID=2であるセッションデータは、セッションID=4であるセッションデータと相互に関連し、セッションID=3であるセッションデータは、セッションID=5であるセッションデータと相互に関連している事がわかる。 In Figure 25, the session data is a session ID = 2 is correlated with the session data is a session ID = 4, the session data is a session ID = 3 is correlated with the session data is a session ID = 5 that it is can be seen.

パケット詳細解析部16では、クライアントとサーバ11の間にコネクションを確立し、以後、セッションの状態を管理する。 The packet details analyzing unit 16 establishes a connection between the client and the server 11, thereafter manages session state. また、パケット詳細解析部16は、TCP(Transmission Control Protocol )を終端する機能を有し、振分先サーバが決定するまで、パケット詳細解析部16は、振分先サーバの変わりにクライアントに対する応答を行う。 The packet details analyzing unit 16 has a function of terminating the TCP (Transmission Control Protocol), to distribution destination server is determined, the packet details analyzing unit 16, a response to the client instead of the distribution destination server do. パケット詳細解析部16は、セッションの状態がESTABとなった後、HTTPのGETリクエストを受信した場合(ステップS96:Yes)、パケット詳細解析部16は、パケットに含まれるURLを用いて、予め設定された詳細解析用ポリシーテーブルに含まれるURL負荷分散用テーブルを参照して、振分先サーバを決定する(ステップS97)。 Packet details analyzing unit 16, after the state of the session is the ESTAB, when receiving the GET request HTTP (step S96: Yes), the packet details analyzing unit 16, using the URL included in the packet, preset Referring to URL load distribution table included in the detailed analysis policy table to determine the distribution destination server (step S97). その後、サーバ11は、SYN、SYN_ACK、ACKパケットを交換することにより、振分先サーバとコネクションを確立する。 Thereafter, the server 11, SYN, SYN_ACK, by exchanging ACK packet, to establish a distribution destination server and connection.

さらに、パケット詳細解析部16は、ネットワーク接続装置20のセッションデータ22a'を参照し、パケットに含まれるセッションIDに対応するセッションデータを取得する。 Furthermore, the packet details analyzing unit 16 refers to the session data 22a of a network connection device 20 'obtains the session data corresponding to the session ID included in the packet. そして、パケット詳細解析部16は、取得したセッションデータに含まれる適用サービスタイプを「サーバ転送:ON・URL負荷分散」から「サーバ転送:OFF・ヘッダ書換」に書き換える。 Then, the packet details analyzing unit 16, the acquired application is included in the session data service type to "server transfer: ON · URL load balancing" from: rewritten to "server transfer OFF · header rewrite". さらに、パケット詳細解析部16は、セッションデータの固有情報の欄に、決定された振分先サーバのIPアドレス等に従って、IPアドレス:ポート番号、およびシーケンス番号/ACK番号差分を設定する(ステップS98)。 Furthermore, the packet details analyzing unit 16, the column of the specific information of the session data, according to the IP address of the determined distribution destination server, IP address: set the port number, and the sequence number / ACK number difference (step S98 ). これにより、相互に関連していると判定された2つのセッションデータを1つのセッションデータにまとめることになるため、2つのコネクションを1つのコネクションとして扱うことが可能となる。 Accordingly, since that would summarize the two sessions data determined to be related to each other in a single session data, it is possible to handle the two connections as a single connection. さらに、パケット詳細解析部16は、4つのセッションデータのうち、不要になった残りの2つのデータを、セッションテーブル22a'から削除する。 Furthermore, the packet details analyzing unit 16, among the four session data, the remaining two data that are no longer needed, be removed from the session table 22a '.

セッションテーブル22a'内のセッションデータを再設定した後、パケット詳細解析部16は、詳細解析用セッションテーブルから、そのセッションIDに対応するセッションデータを削除する(不図示)。 After resetting the session data in the session table 22a ', the packet details analyzing unit 16, the session table for detailed analysis, deletes the session data corresponding to the session ID (not shown). そして、サーバ11は、振分先サーバにHTTPのGETリクエストを送出する。 Then, the server 11 sends an HTTP GET request to the distribution destination server.

図21及び図23に示すセッションテーブル22a'内のセッションID=2から5であるセッションデータは、それぞれ、URL負荷分散の場合のパケット解析前後のセッションデータの一例である。 Session data from the session ID = 2 in the session table 22a 'shown in FIGS. 21 and 23 is 5, each an example of session data before and after the analysis of the packet if the URL load balancing. 図21におけるセッションID=2及び4である2つのセッションデータによって示される2つのコネクションは、図23において、セッションID=2であるセッションデータで示される1つのコネクションにまとめられている。 Two connections indicated by the two sessions data is the session ID = 2 and 4 in FIG. 21, 23, are summarized in one connection indicated by the session data is a session ID = 2. 同様に、図21におけるセッションID=3及び5である2つのセッションデータによって示される2つのコネクションは、図23において、セッションID=5であるセッションデータで示される1つのコネクションにまとめられている。 Similarly, two connections indicated by the two sessions data is the session ID = 3 and 5 in FIG. 21, 23, are summarized in one connection indicated by the session data is a session ID = 5.

パケットの解析後、パケットは、パケット詳細解析部16に送られない。 After analysis of the packet, the packet is not sent to the packet details analyzing unit 16. ネットワーク接続装置20のヘッダ書換処理を行うサービス処理部27は、セッションテーブル22a'に格納されたセッションデータ内の固有情報に基づいて、パケット内のIPアドレス:ポート番号、シーケンス番号、ACK番号を書き換えた後、そのパケットをネットワークに出力させる。 The service processing unit 27 which performs header rewriting process of the network connection device 20, based on the unique information in the stored session data in the session table 22a ', IP address in the packet port number, sequence number, rewrites the ACK number after, and it outputs the packet to the network.

図31は、上記URL負荷分散サービスの動作を説明する図である。 Figure 31 is a diagram for explaining the operation of the URL load balancing service.
図31に示すように、クライアントとパケット中継処理装置の間でSYN、SYN_ACK、ACKパケットを交換する。 As shown in FIG. 31, replacing SYN, SYN_ACK, the ACK packets between the client and the packet relay apparatus. セッションがESTAB状態に遷移し、HTTPのGETリクエストを受信すると、パケット詳細解析部16は、GETリクエストのURLを判定し、振分先サーバを決定する。 Session transitions to ESTAB state, upon receiving the GET request For HTTP, the packet details analyzing unit 16 determines the URL of the GET request, determines a distribution destination server.

ついで、上記と同様に、パケット中継処理装置と振分先サーバの間でSYN、SYN_ACK、ACKパケットを交換し、振分先サーバにHTTPのGETリクエストを送出する。 Then, in the same manner as described above, replace SYN, SYN_ACK, an ACK packet between the packet relay processing unit and a distribution destination server sends an HTTP GET request to the distribution destination server. ここまでは、「ネットワーク接続装置20」+「サーバ11」で処理が行われる。 So far, treatment with "network connecting device 20" + "server 11" is performed.

パケット中継処理装置から振分先サーバにHTTPのGETリクエストを送出した後、セッションが終了するまで、ネットワーク接続装置20が、セッションテーブル22a'に格納されたセッションデータに基づいて、クライアントと振分先サーバとの間の中継処理を行う。 After sending an HTTP GET request to the distribution destination server from the packet relay processing unit, until the session ends, the network connection device 20, based on the session data stored in the session table 22a ', the client and the distribution destination It performs relay processing between the server.

次に、図29に戻って、FTPフィルタリングサービスについて説明する。 Next, returning to FIG. 29, a description will be given FTP filtering service. FTPは、制御用の制御コネクションと、1以上のデータ転送用のデータコネクションとの複数のTCPコネクションからなる。 FTP, a control connection for control, comprising a plurality of TCP connections with one or more data connection for data transfer.

予めサーバ11のサービス制御部14が、「パケット詳細解析部16へパケットを転送しFTPフィルタリングを行う」というポリシーを、制御通信情報部を介してポリシーテーブル25に設定する。 Advance the service control unit 14 of the server 11, a policy of "forward the packet to the packet details analyzing unit 16 performs FTP filtering", set in the policy table 25 via the control communication data unit.

設定された条件から、ネットワーク接続装置20の処理振分部26が該当パケットを詳細解析部16に転送する。 From the set condition, processing assignment unit 26 of the network connection device 20 transfers the corresponding packet to the detailed analysis section 16. URLフィルタリングの場合と同様に、パケット詳細解析部16は、受信したパケットに含まれる適用サービスタイプに基づいて、そのパケットがFTPフィルタリングサービスを受けるべきパケットであることを判定し、パケット詳細解析部16は、詳細解析用セッションテーブルにセッションデータを格納する(ステップS99:Yes)。 As with the URL filtering, packet details analyzing unit 16, based on the application service type included in the received packet, determines that the packet is a packet to receive the FTP filtering service, packet details analyzing unit 16 stores the session data in the session table for detailed analysis (step S99: Yes). 続いて、パケット詳細解析部16は、セッション状態を管理し、受信パケットをそのままネットワークへ出力させる。 Subsequently, the packet details analyzing unit 16 manages the session state, to output the received packet directly to the network.

セッション状態がESTABとなった後、図32に示すように、FTPのPORT命令もしくは、PASV命令のACKパケットを受信すると(ステップS100:Yes)、パケット詳細解析部16は、そのパケットに含まれるIPアドレスとポート番号を判定し、判定結果に基づいて、そのセッションのパケットを通過するか廃棄するかを決定する(ステップS101)。 After the session state becomes ESTAB, as shown in FIG. 32, FTP the PORT instructions or receives the ACK packet PASV command (step S100: Yes), the packet details analyzing unit 16, IP included in the packet determining the address and port number, based on the determination result, it determines whether to discard or pass a packet of the session (step S101).

すなわち、パケット詳細解析部16は、IPアドレスとポート番号を用いて予め設定された詳細解析用ポリシーテーブル内のFTPフィルタリング用テーブルを参照して、そのセッションのパケットを通過させるか廃棄するかを決定する。 That is, the packet details analyzing unit 16 determines by referring to the FTP filtering table of preset detailed analysis in the policy table using the IP address and port number, or discarded to pass packets of the session to. パケットを廃棄すると決定した場合には(ステップS101:Yes)、パケット詳細解析部16は、セッションテーブル22a'からパケットの転送用ヘッダに含まれるセッションIDに対応するセッションデータを取得し、そのセッションデータの適用サービスタイプの欄に「廃棄」を設定し、そのパケットを廃棄する(ステップS103)。 If it is determined that the packet is discarded (step S101: Yes), the packet details analyzing unit 16 obtains the session data corresponding to the session ID included from the session table 22a 'to transfer header of the packet, the session data set to "discard" the application service type column, it discards the packet (step S103).

また、そのパケットを通過させると決定した場合には(ステップS101:No)、パケット詳細解析部16は、先のPORT命令もしくはPASV命令のACKパケットのデータ部分に記述されているIPアドレスとポート番号に基づいて、データコネクションについてのセッションデータをセッションテーブル22a'に登録し、そのセッションデータの適用サービスタイプの欄に「フィルタリング通過」を設定する(ステップS102)。 Further, if it is determined to have passed the packet (step S101: No), the packet details analyzing unit 16, IP address, and port number described in the data portion of the ACK packet of the previous PORT command or PASV command based on, registers the session data for the data connection in the session table 22a ', sets "filtering pass" in the column of the application service type of the session data (step S102).

上記のようにパケット詳細解析部16が、セッションテーブル22a'内のセッションデータを再設定すると、ネットワーク接続装置20は上記通過条件に従い、以後のデータコネクションに関するパケットを処理する。 Packet details analyzing unit 16 as described above, when resetting the session data in the session table 22a ', a network connection device 20 in accordance with the passage condition, to process packets for subsequent data connection. すなわち、サーバ11のパケット詳細解析部16にパケットを転送することなく、パケットを通過させたり、廃棄させたりする。 Namely, without transferring the packet to the packet details analyzing unit 16 of the server 11, or the packet is passed through, or to be discarded.

図32は、上記FTPフィルタリングの動作を説明する図である。 Figure 32 is a diagram for explaining the operation of the FTP filtering. クライアント、サーバ11間で、SYN、SYN_ACK、ACKパケットを交換し、ESTABの状態に遷移するまでは、上記パケット詳細解析部16にパケットが転送され、「ネットワーク接続装置20」+「サーバ11」で処理が行われる。 Client, between the server 11, SYN, SYN_ACK, exchanging ACK packet, until a transition to a state of ESTAB, packet to the packet details analyzing unit 16 is transferred in a "network connecting device 20" + "server 11" processing is carried out.

セッションの状態がESTAB状態に遷移し、FTPのPORT命令またはPASV命令のACK(IPアドレスとポート番号が付されている)を受信すると、パケット詳細解析部16は、パケットに含まれるIPアドレスとポート番号を用いて詳細解析用ポリシーテーブルを参照し、そのパケットを廃棄すべきか、通過させるべきかを決定する。 Session state transitions to ESTAB state, IP address, and port upon receiving the ACK of the FTP PORT command or PASV instruction (IP address and port number are assigned), packet details analyzing unit 16, included in the packet refers to the policy table for detailed analysis using number, should be discarded the packet to determine whether to pass. そのパケットを廃棄すると決定する場合には、パケット詳細解析部16は、セッションテーブル22a'のセッションデータにパケットを廃棄する旨を設定する。 When deciding to discard the packet, the packet details analyzing unit 16 sets an instruction to discard the packet to the session data of the session table 22a '. そのパケットを通過させると決定する場合には、パケット詳細解析部16は、セッションテーブル22a'にデータコネクションについてのセッションデータを登録し、適用サービスタイプ欄に「通過」を設定し直す。 In determining the pass the packet, the packet details analyzing unit 16 registers the session data for the data connection in the session table 22a ', reset to "pass" the application service type field. 以後、ネットワーク接続装置20は、パケットの廃棄処理又はデータコネクションのパケットの通過処理を行う。 Thereafter, the network connection device 20 performs the passing process of the packet disposal or data connection packet.

最後に、パケット中継処理装置がクライアントから制御コネクションのFINパケットを受信すると、ネットワーク接続装置20からパケット通信部33を介して、サーバ11のセッション詳細解析部16にそのパケットが転送される。 Finally, the packet relay processing unit receives a FIN packet control connection from the client, from the network connection device 20 via the packet communication unit 33, the packet is forwarded to the session details analyzing unit 16 of the server 11. サーバ11は、セッション詳細解析部16を介してそのセッションのクローズ処理を行う。 Server 11 performs close processing of the session through the session details analyzing unit 16. さらに、セッション詳細解析部16は、パケットの転送用ヘッダに含まれるセッションIDに基づいて、クローズされるセッションに関するセッションデータを削除する。 Furthermore, the session details analyzing unit 16, based on the session ID included in the transfer header of the packet, it deletes the session data for the session to be closed.

以下、図33及び図34を用いて、第5実施例におけるパケットのフローについて、URL負荷分散サービスの場合を例にとって説明する。 Hereinafter, with reference to FIGS. 33 and 34, the flow of the packet in the fifth embodiment, the case of URL load balancing service as an example. なお、各図は、図21、図23、図25に示すセッションテーブルに格納されたセッションID=2から5のセッションデータに対応する。 Each figure 21, Figure 23, corresponding to the session data of the session ID = 2 to 5 stored in the session table shown in FIG. 25. 図33に、パケット詳細解析部16によってセッションデータが再設定される前のパケットフローを示す。 Figure 33 shows a packet flow before the session data is reset by the packet details analyzing unit 16.

セッションデータが再設定される前において、矢印A21に示すように、アドレス:ポート番号が192.168.30.30:11950 であるクライアントからネットワーク接続装置20へ「宛先アドレス:ポート番号=192.168.200.1:http、送信元アドレス:ポート番号=192.168.30.30:11950 」をヘッダに格納したパケットP11が送信される。 Before the session data is reset, as indicated by an arrow A21, the address: port number "destination address from the client is 192.168.30.30:11950 to the network connecting device 20: Port Number = 192.168.200.1: http, transmission source address: port number = 192.168.30.30: 11950 "packets P11 stored in the header is transmitted. ネットワーク接続装置20のセッション管理部22は、ポリシーテーブル25を参照し、ヘッダ内の情報とポリシー検索キーがマッチするポリシーを取得し、そのポリシーに基づいてセッションID=2であるセッションデータを作成し、セッションテーブル22a'に格納する。 Session managing unit 22 of the network connection device 20 refers to the policy table 25, obtains the policy information and policy search key in the header matches, to create the session data is a session ID = 2 based on the policy It is stored in the session table 22a '.

セッションデータ内の適用サービスタイプは「サーバ転送:ON・URL負荷分散」であるため、ネットワーク接続装置20内の処理振分部26は、サーバ転送処理を行うサービス処理部27に処理を振り分ける。 Application service type in the session data: for a "server transfer ON · URL load balancing", processing assignment unit 26 in the network connection device 20 distributes the processing to the service processing unit 27 for performing server transfer process. 処理を振り分けられたサービス処理部27がそのパケットに転送用ヘッダを付したのち、矢印A22に示すようにパケットはサーバ11に転送される。 After the service processing unit 27 is distributed processing is denoted by the header for forwarding a packet, the packet as indicated by an arrow A22 is transferred to the server 11. サーバ11のパケット詳細解析部16は、転送されたパケットに含まれる情報に基づいて、詳細解析用セッションテーブルにセッションデータを登録する。 Packet details analyzing unit 16 of the server 11, based on the information contained in the transferred packet, registers the session data in the session table for detailed analysis.

同様にして、サーバ11からクライアントへ矢印A23からA28に示すような経路を経てパケットP12、P13及びP14が出力される際に、それぞれ、セッションID=3、4及び5であるセッションデータが、セッションテーブル22a'にセッション管理部22によって格納され、対応するセッションデータが、詳細解析用セッションテーブルにパケット詳細解析部16によって格納される。 Similarly, when the packets P12, P13 and P14 via path indicated from the server 11 to the client from the arrow A23 A28 are output, respectively, the session data is a session ID = 3, 4 and 5, the session stored by the session management unit 22 to the table 22a ', the corresponding session data is stored by the packet details analyzing unit 16 in the session table for detailed analysis.

セッションデータを各セッションテーブルに登録した後、HTTPのGETリクエストを受信するまで、パケット詳細解析部16は、各セッションの状態を管理し、図33に示すパケットフローに基づいて、受信したパケットをネットワークへ出力する。 After registering the session data in the session table, until it receives a GET request For HTTP, the packet details analyzing unit 16 manages the state of each session, based on the packet flow shown in FIG. 33, the network and the received packet to output to.

その後、セッション状態がESTABとなった後、HTTPのGETリクエストを受信すると、パケット詳細解析部16は、パケットを解析し、解析結果に基づいて、セッションテーブル22a'に格納されたセッションデータを設定しなおす。 Then, after the session state becomes ESTAB, upon receiving the GET request For HTTP, the packet details analyzing unit 16 analyzes the packet, based on the analysis result, set the session data stored in the session table 22a ' fix. 再設定後のセッションデータは、図23に示す通りである。 Session data after reconfiguration is as shown in FIG. 23.

図34に、パケット詳細解析部16によってセッションデータが再設定された後のパケットフローを示す。 Figure 34 shows a packet flow after the session data is reset by the packet details analyzing unit 16. セッションデータが再設定された後において、矢印A31に示すように、振分先サーバからネットワーク接続装置20へ「宛先アドレス:ポート番号として192.168.200.1:3333、送信元アドレス:ポート番号として192.168.200.10:8080」をヘッダに格納したパケットP14が送信されると、ネットワーク接続装置20の処理振分部26は、パケットのヘッダに含まれる情報を用いて、セッションテーブル22a'を参照し、セッションID=5であるセッションデータを取得し、セッションデータに基づいて、ヘッダ書換処理を行うサービス処理部27に処理を振り分ける。 After the session data is reset, as indicated by an arrow A31, "the destination address from the distribution destination server to a network connecting device 20: 192.168.200.1:3333 as a port number, source address: the port number 192.168.200.10 : When a packet P14 storing 8080 "to the header is sent, processing assignment unit 26 of the network connection device 20, by using the information contained in the header of the packet, refers to the session table 22a ', the session ID = 5 is to obtain the session data, based on the session data, it distributes the processing to the service processing unit 27 which performs a header rewrite process. サービス処理部27は、そのセッションデータに基づいて、そのパケットのヘッダ内の宛先アドレス及びポート番号を「192.168.30.30:11950 」に、クライアントのアドレス及びポート番号を「192.168.200.1:http 」に書き換えることにより、パケットP12を作成する。 The service processing unit 27, based on the session data, the destination address and port number in the header of the packet to "192.168.30.30:11950", rewrites the client address and port number to "192.168.200.1:http" it allows to create a packet P12. その後、矢印A32に示すように、ネットワーク接続装置20は、パケットP12を振分先サーバへそのパケットを出力する。 Thereafter, as indicated by an arrow A32, a network connection device 20 outputs the packet to the packet P12 to the distribution destination server.

同様に、矢印A33に示すように、アドレス:ポート番号が192.168.30.30:11950 であるクライアントからネットワーク接続装置20へ「宛先アドレス:ポート番号=192.168.200.1:http、送信元アドレス:ポート番号=192.168.30.30:11950 」をヘッダに格納したパケットP11が送信される。 Similarly, as indicated by an arrow A33, the address: "Destination address from the port number is 192.168.30.30:11950 client to a network connecting device 20: Port Number = 192.168.200.1: http, source address: port number = 192.168 .30.30: 11950 "packets P11 stored in the header is sent to. ネットワーク接続装置20の処理振分部26は、パケットのヘッダに含まれる情報を用いて、セッションテーブル22a'を参照し、セッションID=2であるセッションデータを取得する。 Processing assignment unit 26 of the network connection device 20, by using the information contained in the header of the packet, refers to the session table 22a ', obtains the session data is a session ID = 2. この例の場合、取得したセッションデータの適用サービスタイプの欄に「サーバ転送:OFF/ヘッダ書換」が格納されているため、処理振分部26は、ヘッダ書換処理を行うサービス処理部27に処理を振り分ける。 In this example, in the column of application service type of session data obtained: Since "server transfer OFF / header rewriting" is stored, processing assignment unit 26, processed in the service processing unit 27 which performs a header rewrite process the distributed. サービス処理部27は、そのセッションデータに基づいて、そのパケットのヘッダ内の宛先アドレス及びポート番号を振分先サーバのアドレス及びポート番号を「192.168.200.10:8080」に書き換えることにより、パケットP13を作成する。 The service processing unit 27, based on the session data, by rewriting the destination address and port number in the header of the packet address and port number of the distribution destination server to "192.168.200.10:8080", the packet P13 create. その後、ネットワーク接続装置20は、矢印A34に示すように、パケットP13を振分先サーバへそのパケットを出力する。 Then, the network connection device 20, as indicated by an arrow A34, and outputs the packet to the packet P13 to the distribution destination server.

このように、セッション詳細解析部16がパケットの解析結果に基づいてセッションデータを書き換えた後は、サーバ11を介さずに、ネットワーク接続装置20によってパケットの中継処理が行われる。 Thus, the session details analyzing unit 16 after rewriting the session data based on the analysis result of the packet, without using the server 11, the relay processing of the packet by the network connecting device 20 is made.

以上のように、本実施例においては、ネットワーク接続装置20にセッション管理に基づくパケット中継処理機能を設け、従来サーバ上に配置していた機能をネットワーク接続装置20が果たすようにしたので、第1の実施例と同様、サーバ11のCPUの使用率を下げることができる。 As described above, in this embodiment, the network connecting device 20 is provided a packet relay processing functions based on session management. Thus the conventional features that were placed on the server network connection device 20 performs, first similar to the embodiment, it is possible to reduce the usage of the CPU of the server 11. また、第1の実施例と同様、セッションの途中でルーティングテーブルが変更されても、現在継続中のセッションについては、一貫性を保持できる。 Also, as in the first embodiment, be modified routing table in the middle of a session, the ongoing session can maintain consistency.

さらに、第5実施例によれば、サーバ11のパケット詳細解析部16においてパケットを解析してサービスを決定し、決定したサービス内容をネットワーク接続装置20に設定し、以後同じセッションに対してネットワーク接続装置20が上記決定されたサービス内容に基づき中継処理を行うようにする。 Further, according to the fifth embodiment, by analyzing the packets in the packet details analyzing unit 16 of the server 11 determines the service, it sets the determined service content to the network connection device 20, a network connection to the same session later device 20 to perform relay processing on the basis of the service contents determined above. 従って、サーバ11で全ての処理を行う場合に比べ、サービス処理を高速に実現することができる。 Therefore, compared with the case of performing all the processing by the server 11, it is possible to realize the service processing at a high speed.

以下、各実施例の変形例について説明する。 Hereinafter, a description will be given of variations of the embodiment. まず、第1の変形例について説明する。 First, a description will be given of a first modification. 第1実施例から第5実施例において、第1の変形例を適用することにより、セッションが終了した後すぐにセッションデータを削除するのではなく、一定時間経過した後にセッションデータをセッションテーブル22a'することとしてもよい。 In the fifth embodiment from the first embodiment, by applying the first modification, instead of deleting the immediate session data after the session terminates, the session table 22a the session data after a certain time ' it is also possible to be.

そのために、第1の変形例によれば、図13及び図14、図21から図24に示すように、ポリシーテーブル25及びセッションテーブル22a'のエントリに、さらに一貫性保持時間を含む。 Therefore, according to the first modification, as shown in FIG. 24 from FIG. 13 and FIG. 14, FIG. 21, the entry in the policy table 25 and session table 22a ', further comprising consistency retention time. 以下、第1の変形例に係わるパケット中継処理装置が行う処理について説明する。 Hereinafter, a description will be given of a process the packet relay processing apparatus according to the first modification is performed. 第1の変形例では、セッション管理部22が行う処理の一部が第1から第5実施例と異なる。 In the first modification, a part of the processing session managing unit 22 performs differs from the fifth embodiment from the first. 第1の変形例を適用した場合のセッション管理部22が行う処理について、図5を用いて説明する。 Processing the session management unit 22 in the case of applying the first modification will be described below with reference to FIG.

図5のステップS17において、セッション管理部22が、あるセッションがクローズしたと判定した場合(ステップS17:Yes)、セッション管理部22はタイマーを設定する。 In step S17 of FIG. 5, the session management unit 22, when it is determined that a session has been closed (step S17: Yes), the session managing unit 22 sets the timer. セッション管理部22は、セッションデータに含まれる一貫性保持時間だけ待機した後に、図5のステップS18に進み、そのセッションデータをセッションテーブル22a'から削除する。 The session managing unit 22, after waiting for a consistent retention time included in the session data, the process proceeds to step S18 of FIG. 5, and deletes the session data from the session table 22a '.

これにより、セッションが終了した後で、一貫性保持時間が経過するまでの間に、そのセッションが再度確立された場合、セッション検索キーに変更がなければ、セッション管理部22は、そのセッションを先に終了したセッションと同じセッションとして扱う事ができるようになる。 Thus, after the session has ended, until consistent retention time elapses, if the session is re-established, if there is no change in the session retrieval key, the session managing unit 22, previously the session It will be able to be treated as the same session to have ended session to. 例えば、負荷分散サービスにおいて、一度終了したセッションと再度確立されたセッションとで同じ振分先サーバにパケットを振り分けることが可能となる。 For example, the load balancing service, it is possible to distribute the packet to the same distribution destination server by the session established again once completed session. 延いては、セッション管理部22によるポリシーテーブル25の検索や処理振分部26によるパケットのサーバ11への転送を省略する事ができるため、高速にパケットを処理することが可能となる。 By extension, since it is possible to omit the transmission to the server 11 of the packet by searching and processing assignment unit 26 of the policy table 25 by the session management unit 22, it is possible to process packets at high speed.

次に、第2の変形例について説明する。 Next, a description will be given of a second modification. 第3実施例から第5実施例において、第2の変形例を適用することにより、セッションに適用するポリシーの切り換えが容易にできるようにすることとしてもよい。 In the fifth embodiment from the third embodiment, by applying the second modification, it is also possible that switching of the policy for the session to be able easily. そのために、第2の変形例によれば、複数のポリシーをいくつかのグループに分ける。 Therefore, according to the second modified example, divide the plurality of policies into several groups. さらに、図14に示すように、ポリシーテーブル25に格納されるポリシーは更に項目として、そのポリシーが属するグループを識別するグループIDを含み、ネットワーク接続装置20は、更に図35に示すフラグテーブルを備える。 Furthermore, as shown in FIG. 14, as further items are stored policies in the policy table 25 includes a group ID for identifying a group to which the policy belongs, the network connecting device 20 is provided with a further flag table shown in FIG. 35 .

以下、図35を用いて、フラグテーブルのデータ構造について説明する。 Hereinafter, with reference to FIG. 35, a description will be given of the data structure of the flag table. 図35に示すように、フラグテーブルは、グループIDに対応して、ポリシーの有効・無効を示すフラグを格納する。 As shown in FIG. 35, the flag table, corresponding to the group ID, and stores a flag indicating valid or invalid policy. 図35において、例として、フラグが「オフ(0)」である場合にポリシーは無効であり、フラグが「オン(1)」である場合にポリシーは有効である。 In Figure 35, as an example, the flag is policy invalid if "OFF (0)", when the flag is "ON (1)" policy is enabled.

以下、第2の変形例に係わるパケット中継処理装置が行う処理について説明する。 Hereinafter, a description will be given of a process the packet relay processing apparatus according to the second modification is performed. 第2の変形例では、セッション管理部22が行う処理の一部が第3から第5実施例と異なる。 In the second modification, part of the processing session managing unit 22 performs differs from the third and fifth embodiments. 例として、第3実施例に係わるセッション管理部22が行う処理を示す図15を参照しながら、第2の変形例を各実施例に適用することにより、セッション管理部22が行う処理が変化する点について詳しく説明する。 As an example, with reference to FIG. 15 showing a process of session management unit 22 according to the third embodiment is carried out by applying a second modification to the embodiment, the processing is changed to the session managing unit 22 performs It will be described in detail point.

第2の変形例において、セッション管理部22は、図15のステップS43からステップS44の間でさらに、以下の処理を行う。 In a second variant, the session management unit 22 is further in between the step S43 in FIG. 15 in step S44, the following processing is performed. まず、ステップS43で、セッション管理部22は、ポリシーテーブル25を検索し、パケットのヘッダに格納された情報と適合するポリシー検索キーを持つポリシーを取得する。 First, in step S43, the session management section 22 searches the policy table 25, obtains the policy with the policy search key compatible with the information stored in the header of the packet. セッション管理部22は、得られたポリシーに含まれるグループIDを用いてフラグテーブルを参照し、そのグループIDに対応するフラグがオンであるかオフであるか判定する。 Session management unit 22 determines whether refers to the flag table using the group ID included in the obtained policies corresponding to the group ID flag is ON or OFF.

判定の結果、フラグがオフである場合、セッション管理部22はそのポリシーを採用しない。 As a result of the determination, if the flag is off, the session management unit 22 does not adopt the policy. 一方、フラグがオンである場合、セッション管理部22は、そのポリシーを採用する。 On the other hand, if the flag is on, the session management unit 22 adopts the policy. セッション管理部22は、ステップS44で、そのポリシーに基づいてセッションデータを作成し、セッションテーブル22a'に格納する。 The session managing unit 22, in step S44, to create a session data based on the policy is stored in the session table 22a '. これにより、採用するべきポリシーをグループ毎に切り換えることができるようになる。 Thus, it is possible to switch the policy to be adopted for each group.

例えば、複数の通常用のポリシーと複数の非常用のポリシーとを作成した場合、第2の変形例によれば、予め通常用のポリシーからなる通常用グループと、非常用のポリシーからなる非常用グループを定義し、ポリシーテーブル25には、通常用のポリシーも非常用のポリシーも両方登録する。 For example, if you create a plurality of policies and a plurality of emergency policy for normal, according to the second modification, a normal group for consisting advance usual for policy, emergency consisting emergency policy defines a group, the policy table 25, the policy for the policy is also of emergency usually also both registered. また、フラグテーブルにパケット中継処理装置のユーザが有効にしておきたいグループ、つまり、通常用と非常用いずれかのグループに対応するフラグをオンにする。 Further, the group to which the user want to enable the packet relay processing unit in the flag table, that is, to turn on the flag corresponding to the normal one of the groups emergency and for. これにより、通常用のポリシーと非常用のポリシーを、グループ毎に容易に切り換える事が可能となる。 As a result, the policy and the policy of emergency for normal, it is possible to easily switch it to each group.

次に、第3の変形例について説明する。 Next, a third modified example is described. 第3実施例から第5実施例において、第3の変形例を適用することにより、パケットのログを採取できるようにすることとしてもよい。 In the fifth embodiment from the third embodiment, by applying the third modification, it is also possible to make a log of packet can be collected. そのために、第3の変形例によれば、図13及び図14並びに図21から図24に示すポリシーテーブル25及びセッションテーブル22a'に格納されるセッションデータ及びポリシーは、更に項目としてイベントフラグを含む。 Therefore, according to the third modified example, the session data and the policy stored in the policy table 25 and session table 22a 'shown in FIG. 24 from 13 and 14 and 21, further comprising an event flag as item .

イベントフラグには、パケットに関するイベントフラグと、ヘッダに関するイベントフラグとがある。 The event flag is an event flag for a packet, and an event flag for header. パケットに関するイベントフラグが「オン(1)」である場合、ログ(履歴)を採取するために、そのパケットがサーバ11に転送される。 If the event flag for the packet is "on (1)", in order to collect the log (history), the packet is forwarded to the server 11. ヘッダに関するイベントフラグがオンである場合、ログを採取するために、そのパケットのヘッダがサーバ11に転送される。 If the event flag for header is ON, in order to collect the log, the header of the packet is transferred to the server 11. サーバ11は、転送されたパケット又はパケットのヘッダを解析し、ログを採取する。 Server 11 analyzes the header of the transferred packet or packets, to collect logs. これにより、例えば、システムに障害が生じたときに、ネットワーク管理ソフトを用いて、採取したログを解析する事により、障害から復旧するために役に立つ情報を得ることが可能となる。 Thus, for example, when a system failure occurs, by using the network management software, by analyzing the collected logs, it is possible to obtain useful information in order to recover from a failure.

次に、第4の変形例について説明する。 Next, a description will be given of a fourth modified example. 第4の変形例によれば、第1実施例から第5実施例に係わるネットワーク接続装置20は、パケットに関する統計情報を取得するために、更にカウンタ(不図示)を備える。 According to the fourth modified example, the network connection device 20 from the first embodiment according to the fifth embodiment, in order to obtain statistical information about the packet, further comprising a counter (not shown). 上記サーバ11のネットワーク制御部12又はサービス制御部14は、カウンタの値を参照する。 Network controller 12 or the service control unit 14 of the server 11 refers to the value of the counter. 統計情報として、例えば、インターフェースごとのパケット入力数と出力数が考えられる。 As statistical information, for example, the number of output and the number of packets input per interface are considered. この統計情報は、クライアント等に課金を行う際等において使用することができる。 The statistics can be used in such case for charging the client or the like.

また、第3実施例から第5実施例に対しては、更に、統計情報として、ポリシーテーブル25に格納されたポリシー毎に、そのポリシーが適用されたセッションの数、つまり、ポリシーがヒットした回数であるポリシーヒット数を得る事としても良い。 Number also for the fifth embodiment from the third embodiment, further, as statistical information, each policy stored in the policy table 25, the number of sessions in which the policy is applied, that is, the policy is hit it may be possible to obtain the policy number of hits is.

そのために、第4の変形例によれば、図14に示すように、ポリシーテーブル25に格納されるポリシーは、更に項目としてポリシーヒット数を含む。 Therefore, according to the fourth modification, as shown in FIG. 14, the policy stored in the policy table 25 further includes a number of policy hits as items. そして、セッション管理部22が、新たなセッションに関するセッションデータをセッションテーブル22a'に登録するために、ポリシーテーブル25を参照して適用するべきポリシーを取得すると、カウンタは、取得されたポリシーのポリシーヒット数をインクリメントする。 Then, the session management unit 22, in order to register the session data related to a new session in the session table 22a ', acquires the policy to be applied with reference to the policy table 25, the counter, the policy hit acquired policy to increment the number. これにより、ネットワーク管理者は、ポリシーが有効に利用されているか否かを判断するための情報を得る事が可能となる。 Thus, a network administrator, it is possible to obtain information for determining whether the policy has been effectively used.

また、第3実施例から第5実施例に対しては、更に、統計情報として、負荷分散サービスにおける振分先サーバ毎に、セッションが振り分けられた回数を示す振分先ヒット数を得る事としても良い。 Further, with respect to the fifth embodiment from the third embodiment, further, as statistical information, the distribution destination for each server in the load balancing service, as to obtain a distribution destination hits indicating the number of times the session has been distributed it may be.

そのために、図14に示すポリシーテーブル25又は、図26に示す詳細解析用ポリシーテーブルに格納された負荷分散サービスにかかわるポリシーは、更に項目として、振分先サーバアドレスごとの振分先ヒット数を含む。 Therefore, the policy table 25 or 14, policies relating to load balancing service stored in the policy table for detailed analysis shown in FIG. 26, as further items, the distribution destination hits per distribution destination server address including. そして、サービス処理部27又はパケット詳細解析部16が、セッションの振分先サーバを決定する処理を行うごとに、カウンタは、振分先サーバとして決定されたサーバに対応する振分先ヒット数をインクリメントする。 Then, the service processor 27 or the packet details analyzing unit 16, each time the processing for determining a distribution destination server session, counters, the distribution destination hits for the server determined as the distribution destination server increments. これにより、ネットワーク管理者は、負荷分散の振分方式が有効に動作しているか否かを判断するための情報を得ることが可能となる。 Thus, a network administrator, it is possible to obtain information for determining whether load balancing allocation scheme is operating effectively.

本実施形態において説明したネットワーク接続装置20を構成する各部及びサーバ11を構成する各部が行う処理を示すプログラムは、それぞれRAM(Random Access Memory)やROM(Read Only Memory)等のメモリに記録され、パケット中継処理装置にハードウェア或いはソフトウェアとして備えられても良い。 Programs showing the process of each unit performed to configure each unit and the server 11 constituting the network connection device 20 described in this embodiment is recorded in a memory such as RAM (Random Access Memory) and ROM (Read Only Memory), respectively, the packet relay processing unit may be provided as hardware or software. 以下、この場合について説明する。 It will be described below in this case.

図36にコンピュータ(情報処理装置)の構成を示す。 It shows the configuration of a computer (information processing apparatus) in FIG. 36. 図36に示すように、コンピュータ40は、少なくともCPU41、メモリ42を備える。 As shown in FIG. 36, the computer 40 includes at least CPU 41, a memory 42. さらに、コンピュータ40は、入力装置43、出力装置44、外部記憶装置45、媒体駆動装置46、及びネットワークインターフェース47を備えることとしても良い。 Further, the computer 40 includes an input device 43, output device 44, an external storage device 45, may be provided with a medium driving device 46 and a network interface 47,. 各装置はバス48により互いに接続されている。 Each unit is connected to each other by a bus 48.

メモリ42は、例えば、ROM、RAM等を含み、処理に用いられるプログラムとデータを格納する。 Memory 42 is, for example, ROM, includes a RAM, and stores a program and data used for processing. CPU41は、メモリ42を利用してプログラムを実行することにより、必要な処理を行う。 CPU41 executes the program using the memory 42, performs necessary processing.

2以上のコンピュータ40に、パケット中継処理装置を構成するサーバ11及びネットワーク接続装置20に相当する機能を実現させる場合、まず、図2、10、12、18、20に示すパケット中継処理装置を構成する各部によって行われる処理を示すプログラムを用意する。 Two or more computers 40, when to realize the functions corresponding to the server 11 and a network connection device 20 constituting the packet relay processing unit, firstly, constitute a packet relay processing apparatus shown in FIG 2,10,12,18,20 providing a program showing the processing performed by each unit. そして、サーバ11に備えられる各部によって行われる処理を示すプログラム(以下、サーバ11用のプログラムという)をサーバ11を実現すべきコンピュータ内のメモリ42の特定のプログラムコードセグメントに格納する。 Then, the program showing the processing performed by each unit provided in the server 11 (hereinafter, referred to as a program for the server 11) stores the specific program code segment of the memory 42 within the computer that should allow server 11.

また、ネットワーク接続装置20に備えられる各部によって行われる処理を示すプログラム(以下、ネットワーク接続装置20用のプログラムという)を、ネットワーク接続装置20を実現すべきコンピュータ内のメモリ42の特定のプログラムコードセグメントに格納する。 The program showing the processing performed by each unit provided in the network connecting device 20 (hereinafter, referred to as a program for a network connection device 20) specific program code segment of the memory 42 and the computer should achieve a network connection device 20 and stores it in. ここで、ネットワーク接続装置20を実現すべきコンピュータのCPUは、例えば、ネットワークプロセッサである。 Here, the CPU of the computer to be implemented the network connection device 20 is, for example, a network processor. なお、上述の各部によって行われる処理は、上記において、各フローチャートを用いて説明されている。 The processing performed by each unit described above, in the above, it is described with reference to the flowcharts.

入力装置43は、例えば、キーボード、ポインティングデバイス、タッチパネル等であり、ユーザからの指示や情報の入力に用いられる。 Input device 43, for example, a keyboard, a pointing device, a touch panel, etc., and is used in inputting an instruction and information from a user. 出力装置44は、例えば、ディスプレイやプリンタ等であり、コンピュータ40の利用者への問い合わせ、処理結果等の出力に用いられる。 The output device 44 is, for example, a display, a printer, etc., inquiry to a user of the computer 40, and is used to output the processing result.

外部記憶装置45は、例えば、磁気ディスク装置、光ディスク装置、光磁気ディスク装置等である。 The external storage device 45 is, for example, a magnetic disk device, optical disk device, a magneto-optical disk device or the like. この外部記憶装置45に上述のプログラムとデータを保存しておき、必要に応じて、それらをメモリ42にロードして使用することもできる。 The external storage device 45 stores the above mentioned program and data, if necessary, they can also be used by being loaded into memory 42.

媒体駆動装置46は、可搬記録媒体49を駆動し、その記録内容にアクセスする。 Medium driving device 46 drives a portable recording medium 49, and accesses its recorded contents. 可搬記録媒体49としては、メモリカード、メモリスティック、フレキシブルディスク、CD−ROM(Compact Disc Read Only Memory)、光ディスク、光磁気ディスク、DVD(Digital Versatile Disk)等、任意のコンピュータで読み取り可能な記録媒体が用いられる。 The portable storage medium 49, a memory card, a memory stick, a flexible disk, CD-ROM (Compact Disc Read Only Memory), an optical disk, a magneto-optical disk, DVD (Digital Versatile Disk), etc., readable recording on any computer the medium is used. この可搬記録媒体49に上述のプログラムとデータを格納しておき、必要に応じて、それらをメモリ42にロードして使用することもできる。 This portable storage medium 49 stores the above described program and data, if necessary, they can also be used by being loaded into memory 42.

ネットワークインターフェース47は、LAN、WAN等の任意のネットワーク(回線)を介して外部の装置を通信し、通信に伴なうデータ変換を行う。 Network interface 47, LAN, communicates with an external device through any network WAN, etc. (line), performs accompanying data conversion for communications. また、必要に応じて、上述のプログラムとデータを外部の装置から受け取り、それらをメモリ42にロードして使用することもできる。 Further, if necessary, receive the above-mentioned program and data from an external device, they can also be used by being loaded into memory 42.

図37は、図36のコンピュータにプログラムとデータを供給することができる、コンピュータで読み取り可能な記録媒体及び伝送信号を説明する図である。 Figure 37 is capable of providing a program and data for the computer shown in FIG. 36 is a diagram for explaining a readable recording media, and transmission signals in the computer.
記録媒体を用いて、上述のプログラムや各テーブルに格納されるデータを、サーバ11を実現すべきコンピュータ及びネットワーク接続装置20を実現すべきコンピュータに供給することにより、2以上のコンピュータにパケット中継処理装置に相当する機能を行なわせることも可能である。 Using a recording medium, the data stored in the above program and various tables, by supplying to the computer to be realized computer and a network connection device 20 that should allow server 11, the packet relay process in two or more computers it is also possible to perform a function corresponding to the device.

そのためには、上述のプログラムやデータを、コンピュータで読み取り可能な記録媒体49に予め記憶させておく。 For this purpose, the above-mentioned programs and data, previously stored in advance in the readable recording medium 49 a computer. そして、図37に示すように、媒体駆動装置46を用いて、記録媒体49からサーバ11用のプログラム等をサーバ11を実現すべきコンピュータに読み出させて、そのコンピュータ(サーバ11)のメモリ42や外部記憶装置45に一旦格納させ、そのコンピュータ(サーバ11)の有するCPU41にこの格納されたプログラムを読み出させて実行させる。 Then, as shown in FIG. 37, using a medium driving device 46, a memory 42 from the recording medium 49 to read the program of the server 11 to the computer that should allow server 11, the computer (server 11) and temporarily stored in the external storage device 45, the computer is executed to read a program that is the stored in the CPU41 included in the (server 11).

同様に、記録媒体49からネットワーク接続装置20用のプログラム等をネットワーク接続装置20を実現すべきコンピュータのメモリ42等に一旦格納させ、そのコンピュータ(ネットワーク接続装置20)の有するCPU41に格納されたプログラムを読み出させて実行させる。 Similarly, temporarily stored from the recording medium 49 a program for a network connection device 20 such as a network connection device 20 memory 42 of the computer to be realized and the like, stored in the CPU41 possessed by the computer (network connection device 20) Program the so read out to be executed.

また、記録媒体49からプログラム等を、サーバ11を実現すべきコンピュータ及びネットワーク接続装置20を実現すべきコンピュータに読み出させる代わりに、プログラム(データ)提供者が有するDB50から、通信回線(ネットワーク)51を介して、プログラムをそれぞれのコンピュータにダウンロードすることとしてもよい。 Also, a program or the like from a recording medium 49, instead of read to the computer that should allow a computer and a network connection device 20 that should allow server 11, from DB50 having program (data) provider, communication lines (network) 51 through, it is also possible to download the program on each computer. この場合、例えば、DB50を有しプログラムを送信するコンピュータでは、上記プログラムを表現するプログラム・データをプログラム・データ・シグナルに変換し、変換されたプログラム・データ・シグナルをモデムを用いて変調することにより伝送信号を得て、得られた伝送信号を通信回線51(伝送媒体)に出力する。 In this case, for example, a computer for transmitting a program having a DB 50, that converts the program data representing the program on the program data signal is modulated using a modem the converted program data signal obtaining a transmission signal by, and outputs transmission signal obtained to the communication line 51 (transmission medium). プログラムを受信するコンピュータでは、受信した伝送信号をモデムを用いて復調することにより、プログラム・データ・シグナルを得て、得られたプログラム・データ・シグナルを変換することにより、プログラム・データを得る。 The computer receiving the program by demodulating using a modem transmission signal received, with the program data signal by converting the obtained program data signal to obtain program data.

次に、図38を用いて、サーバ11を実現すべきコンピュータ及びネットワーク接続装置20を実現すべきコンピュータへのプログラムやデータのローディングについて、例を挙げてより詳しく説明する。 Next, with reference to FIG. 38, for loading programs and data to the computer to be realized computer and a network connection device 20 that should allow server 11 will be described in more detail by way of examples.

図38に示すように、サーバ11及びネットワーク接続装置20を実現すべきコンピュータは、各々CPU及びメモリを備え、上述の制御情報通信部31を介して接続されている。 As shown in FIG. 38, the computer should achieve a server 11 and a network connection device 20, each provided with a CPU and a memory are connected via a control information communication unit 31 described above. また、例えば、制御情報通信部31がPCIバスである場合、ネットワーク接続装置20をPCI用のNIC(Network Interface Card)として実現しても良い。 For example, when the control information communication unit 31 is a PCI bus, it may provide network connection device 20 as a NIC (Network Interface Card) for PCI.

例えば、サーバ11用のプログラム等及びネットワーク接続装置20用のプログラム等(ファームウェア)を記録した記録媒体がある場合、まず、サーバ11を実現すべきコンピュータに備えられた不図示の媒体駆動装置を用いて記録媒体からサーバ11用のプログラム等及びネットワーク接続装置20用のプログラム等をサーバ11のメモリにロードする(矢印A41)。 For example, if there is a recording medium which records programs for the server 11 and the programs for the network connection device 20 (firmware), first, using a medium drive device (not shown) provided in the computer to be realized server 11 Te be loaded from a recording medium storing a program or the like for programs and a network connection device 20 of the server 11 in the memory of the server 11 (arrow A41). 続いて、サーバ11のメモリに格納されたネットワーク接続装置20用のプログラム等を、制御情報通信部31を介してネットワーク接続装置20のメモリにロードする(矢印42)。 Subsequently, a program or the like for the network connection device 20 stored in the memory of the server 11, is loaded into the memory of the network connection device 20 via the control information communication unit 31 (arrow 42). このようにして、サーバ11を実現すべきコンピュータ及びネットワーク接続装置20を実現すべきコンピュータに、それぞれに必要なプログラム等を供給することができる。 In this way, it is possible in a computer to be realized computer and a network connection device 20 that should allow server 11, supplying the program or the like required for each. サーバ11のCPUは、サーバ11のメモリにロードされたサーバ11用のプログラムを実行し、ネットワーク接続装置20のCPUは、ネットワーク接続装置20のメモリにロードされたネットワーク接続装置20用のプログラムを実行する。 CPU of the server 11 executes a program for the server 11, which is loaded into the memory of the server 11, the CPU of the network connection device 20, executes a program for a network connection device 20 which is loaded into the memory of the network connection device 20 to.

また、上述のようにプログラム等を記録媒体からロードする代わりに、予めROM等に記録しておくこととしても良い事は言うまでもない。 Further, instead of loading the programs from the recording medium as described above, it may also be a matter of course as be recorded in advance in ROM or the like. また、記録媒体のかわりに伝送信号を用いてプログラム等をサーバ11を実現すべきコンピュータに供給する事としても良い。 Further, it may be possible to supply the program to a computer to be realized server 11 using the transmission signal in place of the recording medium.

また、ネットワーク接続装置20において、CPUの代わりにASIC(Application Specific Integrated Circuit)を用いて、ネットワーク接続装置20を構成する各部をハードウェアで構成する事としても良い。 Further, in the network connection device 20, instead of the CPU using a ASIC (Application Specific Integrated Circuit), the components constituting the network connecting device 20 may be constituted by hardware.

以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限定されるものではなく、他の様々な変更が可能である。 Having described embodiments of the present invention, the present invention is not limited to the embodiments described above are possible various other changes.
以上説明したように、本発明においては、以下の効果を得ることができる。 As described above, in the present invention, it is possible to obtain the following effects.
(1)上記ネットワーク接続装置にセッション管理に基づくパケット中継処理部を設け、ネットワーク接続装置により、セッション管理に基づく中継処理を行うようにする。 (1) The network connection device a packet relay processing unit based on the session management provided by the network connection device, to perform the relay process based on session management. これにより、サーバのCPU使用率を下げることができる。 Thus, it is possible to lower the CPU utilization of the server. また、ネットワーク接続装置上でセッション管理を行い、セッション開始時にセッションテーブルに出力先を登録することにより、セッションの途中でルーティングテーブルが変更されても、現在継続中のセッションについては、一貫性を保持できる。 The holding performs session management on a network connection apparatus, by registering the destination in the session table at the beginning of a session, be modified routing table in the middle of a session, for the ongoing session, consistency it can.
(2)パケット中継処理装置のサーバに外部セッション管理機能を設け、ネットワーク接続装置からセッション情報を上記サーバに転送し、サーバによりセッション管理を行うことにより、セッション数がネットワーク接続装置のセッションテーブル登録数を上回った場合でも、ネットワーク接続装置で溢れた分をサーバで管理することができる。 (2) an external session management function provided in the server of the packet relay processing apparatus, the session information from the network connection device is transferred to the server, by performing session management by a server, the session table registration number of visits a network connection device even when exceeded, it makes it possible to manage the amount of overflow in the network connection device in the server.
〈3〉処理振分部と複数のサービス処理部をサーバに比べ高速に処理できるネットワーク接続装置に配置することにより、サーバのCPUの使用率を小さくすることができるとともに、サービス処理を高速化することができる。 <3> By the processing assignment unit and a plurality of service processing unit arranged in the network connection device that can be processed faster than the server, it is possible to reduce the utilization of the server's CPU, and speed up the service process be able to.
(4)サーバに外部サービス処理部を設け、サービス処理を、ネットワーク接続装置とサーバの両方で実行できるようにすることにより、ネットワーク接続装置2上で実現するのは困難なサービス処理をサーバで行うことができ、ネットワーク接続装置が上記決定されたサービス内容に基づき中継処理を行うようにすることにより、サーバで全ての処理を行う場合に比べ、サービス処理を高速に実現することが可能となる。 (4) the external service processing unit provided in the server, a service process, by allowing run on both the network connection device and the server, performs the difficult service processing to implement on the network connecting device 2 at the server it can, the network connection apparatus by to perform relay processing on the basis of the service contents determined above, compared with the case where all the processing in the server, it is possible to realize a high-speed service process.

(付記1) (Note 1)
ネットワーク接続装置を有するパケット中継処理装置であって、 The packet relay processor having a network connection device,
上記ネットワーク接続装置がセッションを管理するセッション管理部と、 A session management unit which the network connection device manages the session,
上記セッション管理部によるセッション管理に基づいてパケットを中継するパケット処理部を備えていることを特徴とするパケット中継処理装置。 Packet relay processing apparatus characterized by comprising a packet processing unit for relaying the packet based on the session management by the session management unit.
(付記2) (Note 2)
上記ネットワーク接続装置は、更に、上記パケットのルーティング先に関するルーティング情報を格納するルーティングテーブルと、 The network connection apparatus further includes a routing table for storing routing information on the routing destination of the packet,
上記セッションの開始時に、上記ルーティング情報に基づいて上記パケットのルーティング先を決定するルーティング処理部を更に備え、 At the beginning of the session, further comprising a routing processor for determining a routing destination of the packet based on the routing information,
上記パケット処理部は、上記パケットを上記ルーティング先に出力する、 The packet processing unit outputs the packet to the routing destination,
ことを特徴とする付記1に記載のパケット中継処理装置。 Packet relay apparatus according to note 1, wherein the.
(付記3) (Note 3)
上記パケット中継処理装置は、更に、サーバを備え、 The packet relay processing apparatus further comprises a server,
上記サーバは、上記ルーティングテーブルに上記ルーティング情報を書き込むネットワーク制御部を備える、 The server includes a network control unit for writing the routing information to the routing table,
ことを特徴とする付記1に記載のパケット中継処理装置。 Packet relay apparatus according to note 1, wherein the.
(付記4) (Note 4)
上記パケット中継処理装置は、さらに、サーバを備え、 The packet relay processing apparatus further includes a server,
上記サーバは、上記セッションを管理する外部セッション管理部を備え、 The server comprises an external session managing unit for managing the session,
上記セッション管理部は、与えられた条件に応じて上記セッションに関するセッション情報を上記サーバに転送し、 The session management unit, the session information for the session and forwards to the server in response to a given condition,
上記外部セッション管理部は、受信した上記セッション情報に基づいて上記セッションを管理する、 The external session managing unit manages the session based on said received session information,
ことを特徴とする付記1に記載のパケット中継処理装置。 Packet relay apparatus according to note 1, wherein the.
(付記5) (Note 5)
上記ネットワーク接続装置は、更に処理振分部と複数のサービス処理部を備え、 The network connection apparatus further includes a processing assignment unit and a plurality of service processing unit,
上記処理振分部は、上記パケットに対するサービスの内容に基づいて、上記複数のサービス処理部のうち少なくとも1つに上記パケットを振り分け、 The processing assignment unit is based on the contents of service to the packet, it distributes the packet to at least one of the plurality of service processing unit,
上記パケットを振り分けられたサービス処理部は、上記パケットに対するサービス処理を実行する、 Service processing unit apportioned the packet performs the service process of the packet,
ことを特徴とする付記1に記載のパケット中継処理装置。 Packet relay apparatus according to note 1, wherein the.
(付記6) (Note 6)
上記パケット中継処理装置は、更にサーバを備え、 The packet relay processing apparatus may further include a server,
上記サーバは、外部サービス処理部を備え、 The server comprises an external service processing unit,
上記処理振分部は、与えられた条件によって、上記パケットを上記サーバに転送し、 The processing assignment unit is the given condition, and transfers the packet to the server,
上記外部サービス処理部は、受信したパケットに対するサービスを実行する、 The external service processing unit performs service for the received packet,
ことを特徴とする付記5のパケット中継処理装置。 Packet relay processing unit according to Supplementary Note 5, characterized in that.
(付記7) (Note 7)
上記パケット中継処理装置は、サーバを更に備え、 The packet relay processing apparatus may further include a server,
上記サーバは、パケット詳細解析部を備え、 The server comprises a packet details analyzing unit,
上記ネットワーク接続装置は、更に処理振分部とサービス処理部を備え、 The network connection apparatus further includes a processing assignment unit and the service processing unit,
上記処理振分部が、与えられた条件によって上記パケットを上記パケット詳細解析部に転送し、 The processing assignment unit, the packet is transferred to the packet details analyzing unit by a given condition,
上記パケット詳細解析部は、上記パケットを解析することにより上記パケットに対するサービス内容を決定し、決定した上記サービス内容を上記ネットワーク接続装置に設定し、 The packet details analyzing unit, by analyzing the packet determines the service content for the packet, the determined the services set to the network connection device,
上記設定後、上記ネットワーク接続装置は、上記決定されたサービス内容に基づいて上記パケットを処理する、 After the setting, the network connection device processes the packet based on the service contents determined above,
ことを特徴とする付記1に記載のパケット中継処理装置。 Packet relay apparatus according to note 1, wherein the.
(付記8) (Note 8)
上記サービス処理部として、上記パケットのヘッダを書き換える機能を持つことを特徴とする付記5に記載のパケット中継処理装置。 As the service processing unit, the packet relay apparatus according to note 5, characterized in that having a function of rewriting the header of the packet.
(付記9) (Note 9)
上記サービス処理部として、パケットを廃棄する機能を持つことを特徴とする付記5に記載のパケット中継処理装置。 As the service processing unit, the packet relay apparatus according to note 5, characterized in that has a function to discard the packet.
(付記10) (Note 10)
上記サービス処理部は、上記サーバの負荷分散のために、負荷の振分先を決定する機能を持つことを特徴とする付記5に記載のパケット中継処理装置。 The service processing unit, for load balancing of the server, the packet relay apparatus according to note 5, characterized in that has a function of determining the distribution destination of the load.
(付記11) (Note 11)
上記ネットワーク接続装置は、上記セッションに関するセッション情報を格納するセッションテーブルと、上記パケットに対するサービスを実行するための規則を記述するポリシーを格納するポリシーテーブルを備え、 The network connection device includes a session table for storing session information on the session, a policy table for storing policy describing the rules for performing services for the packet,
上記セッション管理部は、上記パケットを受信した場合、上記パケットに含まれる情報を検索キーとして用いてセッションテーブルを検索し、 The session management unit, when receiving the packet, searches the session table by using the information contained in the packet as a search key,
上記検索の結果、該当するセッション情報が上記セッションテーブルに登録されていない場合には、上記セッション管理部は、さらに上記パケットに含まれる情報を検索キーに基づいて、上記ポリシーテーブルから上記ポリシーを取得し、上記取得したポリシーに基づいて、上記セッション情報を上記セッションテーブルに書き込み、 Results of the search, when the corresponding session information is not registered in the session table, said session management unit, based further on the information contained in the packet as a search key, obtains the policy from the policy table and, based on the policy that the obtained, writes the session information in the session table,
上記検索の結果、該当するセッション情報が上記セッションテーブルに登録されている場合には、上記セッション管理部は、上記セッションの状態に基づいて、上記セッションテーブルに格納されたセッション情報を管理することを特徴とする付記5に記載のパケット中継処理装置。 Results of the search, when the corresponding session information is registered in the session table, said session management unit, based on the state of the session, to manage the session information stored in the session table packet relay apparatus according to note 5, wherein.
(付記12) (Note 12)
上記パケット中継処理装置はサーバを備え、 The packet relay processing device comprises a server,
上記サーバは、上記ポリシーを上記ポリシーテーブルに書き込むサービス制御部を備える、 It said server comprises a service control unit that writes the policy to the policy table,
ことを特徴とする付記11に記載のパケット中継処理装置。 Packet relay apparatus according to note 11, wherein the.
(付記13) (Supplementary Note 13)
上記セッションテーブルを検索する際の上記検索キーが、IPパケットの宛先及び送信元IPアドレス、プロトコル、宛先及び送信元ポート番号、入力インタフェースを含むことを特徴とする付記11に記載のパケット中継処理装置。 The search key when searching for the session table, destination and source IP address of the IP packet, protocol, destination and source port number, the packet relay apparatus according to note 11, which comprises an input interface .
(付記14) (Note 14)
上記セッションテーブルが、上記検索キー、上記セッションの状態、適用サービス及び上記適用サービスに固有な情報をエントリとしてを持つことを特徴とする付記11に記載のパケット中継処理装置。 The session table, the search key, the session state, the packet relay apparatus according to note 11, characterized in that with the entry information specific to the application service and the application service.
(付記15) (Note 15)
上記ポリシーテーブルが、IPパケットの宛先及び送信元IPアドレス、プロトコル、宛先及び送信元ポート番号、適用サービスと上記適用サービスに固有な情報、優先度をエントリとして持つことを特徴とする付記11に記載のパケット中継処理装置。 According to Note 11, the policy table, characterized by having the destination and source IP address of the IP packet, protocol, destination and source port number, application services and the application-specific information to the service, the priority as the entry packet relay processing apparatus.
(付記16) (Supplementary Note 16)
上記セッション管理部は、更に、上記セッションが終了してから所定時間経過した後に、上記終了したセッションに関するセッション情報を上記セッションテーブルから削除することを特徴とする付記1に記載のパケット中継処理装置。 The session management unit further, after the said session has passed a predetermined time period from the completion, the packet relay processing unit according to session information for sessions that the ends in appendix 1, characterized in that to remove from the session table.
(付記17) (Note 17)
上記ネットワーク接続装置は、更に、パケットに関する統計情報を取得するためのカウンタを備えることを特徴とする付記1に記載のパケット中継処理装置。 The network connection apparatus further packet relay apparatus according to note 1, characterized in that it comprises a counter to obtain statistical information about the packet.
(付記18) (Note 18)
複数のポリシーは複数のグループに分けられ、 Multiple policies are divided into a plurality of groups,
上記ネットワーク接続装置は、更に、上記グループ毎に各ポリシーが有効であるか否かを設定することを特徴とする付記11に記載のパケット中継処理装置。 The network connection apparatus further packet relay apparatus according to note 11, characterized in that each policy in each said group is set whether or not effective.
(付記19) (Note 19)
上記ネットワーク接続装置は、更に、上記パケットのログを採取するために、上記パケットの少なくとも一部を上記サーバに転送することを特徴とする付記12に記載のパケット中継処理装置。 The network connection device further for collecting logs of the packet, the packet relay apparatus according to at least a portion of the packet to appendix 12, wherein the transfer to the server.
(付記20) (Note 20)
上記パケットの一部は、上記パケットのヘッダであることを特徴とする付記18に記載のパケット中継処理装置。 Some of the packet, the packet relay apparatus according to note 18, which is a header of the packet.
(付記21) (Supplementary Note 21)
上記セッション情報は、上記サーバに上記パケットを転送するべきか否かを示すサーバ転送指示情報を含み、上記処理振分部は、上記サーバ転送指示情報に基づいて、上記パケットを上記サーバへの転送を行うか否かを決定する事を特徴とする付記12に記載のパケット中継処理装置。 The session information includes server transfer instruction information indicating whether or not to forward the packet to the server, the processing assignment unit is based on the server transfer instruction information, it forwards the packet to the server packet relay apparatus according to note 12, wherein the determining whether to perform.
(付記22) (Note 22)
上記パケット詳細解析部は、更に、上記サーバに転送された上記パケットがHTTPプロトコルのGETパケットである場合、上記パケットに含まれるURL(Uniform Resource Locator)に基づいて、上記パケットに対するサービスを決定する、 The packet details analyzing unit further when the packet is forwarded to the server is a GET packet of the HTTP protocol, on the basis of the URL contained in the packet (Uniform Resource Locator), determines the service to the packet,
ことを特徴とする付記7に記載のパケット中継処理装置。 Packet relay apparatus according to note 7, characterized in that.
(付記23) (Note 23)
上記パケット詳細解析部は、更に、上記サーバに転送された上記パケットがFTPプロトコルのPORT命令、或いはPASV命令のACKである場合、上記セッションのデータコネクションのIPアドレスとポート番号に基づいて、上記パケットに対するサービスを決定する、 The packet details analyzing unit further, PORT command of the packets forwarded to the server FTP protocol, or if an ACK of PASV command, based on the IP address and port number of the data connection of the session, the packet to determine the services to,
ことを特徴とする付記7に記載のパケット中継処理装置。 Packet relay apparatus according to note 7, characterized in that.
(付記24) (Note 24)
上記パケット詳細解析部は、上記サーバの負荷を分散させる処理を行う場合、上記負荷の振分先となる振分先サーバが決定されるまで、上記振分先サーバに代わって応答することを特徴とする付記7に記載のパケット中継処理装置。 The packet details analyzing unit, when performing the processing to distribute the load of the server, characterized in that the distribution destination server to which the distribution destination of the load until it is determined, to respond on behalf of the distribution destination server packet relay apparatus according to note 7,.
(付記25) (Note 25)
上記パケット詳細解析部は、上記パケットを解析することにより、上記セッションテーブルに、上記パケットに対するサービスの種類、変換用IPアドレス及びポート番号、シーケンス番号及びACK番号差分を書き込む、 The packet details analyzing unit, by analyzing the packet is written in the session table, the type of service to the packet, the conversion IP address and port number, the sequence number and ACK number differential,
ことを特徴とする付記21に記載のパケット中継処理装置。 Packet relay apparatus according to note 21, wherein the.
(付記26) (Note 26)
パケット中継処理装置におけるネットワーク接続装置であって、 A network connection device in the packet relay processing unit,
上記ネットワーク接続装置がセッションを管理するセッション管理部と、 A session management unit which the network connection device manages the session,
上記セッション管理部によるセッション管理に基づいてパケットを中継するパケット処理部を備えていることを特徴とするネットワーク接続装置。 Network connection apparatus characterized by comprising a packet processing unit for relaying the packet based on the session management by the session management unit.
(付記27) (Note 27)
上記ネットワーク接続装置は、与えられた条件に応じて上記セッションに関するセッション情報を上記パケット中継処理装置に備えられたサーバに転送するサーバ転送部を備え、 The network connection device includes a server transfer unit for transferring the session information on the session server provided in the packet relay processing apparatus in response to a given condition,
上記サーバは転送された上記セッション情報により上記セッションの管理を行うことを特徴とする付記26のネットワーク接続装置。 It said server is a network connection apparatus according to Supplementary Note 26, characterized in that for managing the session by the session information transferred.
(付記28) (Note 28)
上記ネットワーク接続装置は処理振分部と複数のサービス処理部を更に備え、 The network connection device further comprises a plurality of service processing unit processing assignment unit,
上記処理振分部は、上記パケットに対するサービスの内容に基づいて、上記複数のサービス処理部のうち少なくとも1つに上記パケットを振り分け、 The processing assignment unit is based on the contents of service to the packet, it distributes the packet to at least one of the plurality of service processing unit,
上記パケットを振り分けられたサービス処理部は、上記パケットに対するサービス処理を実行する、 Service processing unit apportioned the packet performs the service process of the packet,
ことを特徴とする付記26のネットワーク接続装置。 Network connection device according to Note 26, wherein the.
(付記29) (Note 29)
上記処理振分部は、与えられた条件によって、上記パケットを上記パケット中継処理装置に備えられたサーバに転送し、上記サーバに上記パケットに対するサービス処理を実行させることを特徴とする付記26のネットワーク接続装置。 The processing assignment unit is the given condition, the packet is forwarded to the server provided in the packet relay processing unit, a network of Appendix 26, characterized in that to execute a service process on the packet to the server connecting device.
(付記30) (Note 30)
上記ネットワーク接続装置が処理振分部とサービス処理部を更に備え、 Further comprising the network connection device processing assignment unit and the service processing unit,
上記処理振分部は、与えられた条件によって上記パケットをパケット中継処理装置に備えられたサーバに、上記パケットに対するサービスを決定するために転送し、 The processing assignment unit, the given condition provided the packet to the packet relay processing unit server transfers to determine a service for the packet,
上記サービス処理部は、上記サーバによるサービスの決定以後、上記サーバで決定したサービス内容に基づいて上記セッションのパケットを処理することを特徴とする付記26のネットワーク接続装置。 The service processing unit, determining after the service by the server, the network connection apparatus according to Supplementary Note 26, wherein the processing packets of the session based on the service content determined by the server.
(付記31) (Note 31)
パケットを中継する制御を、ネットワーク接続装置に備えられたコンピュータに実行させるプログラムであって、 A control for relaying a packet, a program to be executed by a computer provided in the network connection device,
セッションを管理し、 To manage the session,
上記セッション管理に基づいて上記パケットを中継する ことを含む処理を上記コンピュータに実行させることを特徴とするプログラム。 A program characterized by allowing the implementation of the process comprises relaying the packet based on the session management to the computer.
(付記32) (Supplementary Note 32)
与えられた条件に応じて上記セッションに関するセッション情報を上記ネットワーク接続装置に接続されたサーバに、上記サーバに上記セッションの管理を行わせるために転送する、 The session information on the session in accordance with the given condition connected to said network connecting device server, and transfers in order to perform the management of the session to the server,
ことを更に含む処理を上記コンピュータに実行させることを特徴とする付記31に記載のプログラム。 Program of statement 31, wherein the to be executed by the computer further comprises processing the.
(付記33) (Note 33)
上記パケットに対するサービスの内容に基づいて、上記サービスに対応する処理を行う装置又はプログラムセグメントに、上記パケットを振り分ける、 Based on the contents of service to the packet, the device or program segment performs processing corresponding to the service distributes the packet,
ことを更に含む処理を上記コンピュータに実行させることを特徴とする付記31に記載のプログラム。 Program of statement 31, wherein the to be executed by the computer further comprises processing the.
(付記34) (Supplementary Note 34)
与えられた条件に応じて上記パケットを上記ネットワーク接続装置に接続されたサーバに、上記サーバに上記パケットに対するサービスを実行させるために転送する、 The packet to the server connected to the network connection device in accordance with the given condition, and transfers in order to perform a service for the packet to the server,
ことを更に含む処理を上記コンピュータに実行させることを特徴とする付記33に記載のプログラム。 Program of statement 33, wherein the to be executed by the computer further comprises processing the.
(付記35) (Note 35)
与えられた条件に応じて、上記ネットワーク接続装置に接続されたサーバへ、上記パケットに対するサービスを決定するために上記パケットを転送し、 Depending on the given conditions, to a server connected to said network connecting device, and forwards the packet to determine a service for the packet,
上記サーバによる上記パケットに対するサービスの決定以後、上記決定されたサービス内容に基づきパケットを処理することを含む処理を上記コンピュータに実行させること特徴とする付記31に記載のプログラム。 Service Determination after with respect to the packet by the server, the program of statement 31, wherein be executed by the computer processing including processing the packet based on the service contents determined above.
(付記36) (Note 36)
パケットを中継する機能を有するネットワーク接続装置に接続されたサーバに実行させるプログラムであって、 Packet A program executed by a server connected to a network connection device having the function of relaying,
上記ネットワーク接続装置が上記パケットを処理するために、上記パケットに対するサービスを実行するための規則を記述するポリシーを上記ネットワーク接続装置に設定する、 For the network connection device processes the packet and sets the policy described above the network connection device a rule for executing a service for the packet,
ことを含む処理を上記サーバに実行させることを特徴とするプログラム。 A program characterized by causing execute the server process that involves.
(付記37) (Note 37)
上記ネットワーク接続装置から転送された上記パケットを受信し、受信した上記パケットに対するサービスを実行する、 Receiving the packet transferred from the network connection device, it performs a service for said received packet,
ことを含む処理を上記サーバに実行させることを特徴とする付記36に記載のプログラム。 Program of statement 36, wherein the to be executed by the server process that involves.
(付記38) (Note 38)
パケットを中継する機能を有するネットワーク接続装置に接続されたサーバに実行させるプログラムであって、 Packet A program executed by a server connected to a network connection device having the function of relaying,
上記ネットワーク接続装置から転送された上記パケットを受信し、 Receiving the packet transferred from the network connection device,
上記パケットを解析することにより、上記パケットに対するサービスの内容を決定し、 By analyzing the packet to determine the contents of the service to the packet,
上記決定されたサービス内容に基づいて上記ネットワーク接続装置に上記パケットを処理させるために、該決定されたサービスの内容を上記ネットワーク接続装置に設定する、 To process the packet to the network interface apparatus on the basis of the service contents determined above, to set the contents of the service that is the determined to the network connection device,
ことを含む処理を上記サーバに実行させることを特徴とするプログラム。 A program characterized by causing execute the server process that involves.
(付記39) (Note 39)
パケットを中継する制御を、ネットワーク接続装置に備えられたコンピュータに実行させるプログラムを記録した記録媒体であって、 A control for relaying a packet, a recording medium recording a program to be executed by a computer provided in the network connection device,
セッションを管理し、 To manage the session,
上記セッション管理に基づいて上記パケットを中継する ことを含む処理を上記コンピュータに実行させるプログラムを記録した記録媒体。 Recording medium where the treatment comprises relaying the packet based on the session management records a program to be executed by the computer.
(付記40) (Note 40)
与えられた条件に応じて上記セッションに関するセッション情報を上記ネットワーク接続装置に接続されたサーバに、上記サーバに上記セッションの管理を行わせるために転送する、 The session information on the session in accordance with the given condition connected to said network connecting device server, and transfers in order to perform the management of the session to the server,
ことを更に含む処理を上記コンピュータに実行させるプログラムを記録した付記39に記載の記録媒体。 Recording medium according to Note 39 for recording a program to be executed by the computer further comprises processing the.
(付記41) (Supplementary Note 41)
上記パケットに対するサービスの内容に基づいて、上記サービスに対応する処理を行う装置又はプログラムセグメントに、上記パケットを振り分ける、 Based on the contents of service to the packet, the device or program segment performs processing corresponding to the service distributes the packet,
ことを更に含む処理を上記コンピュータに実行させるプログラムを記録した付記39に記載の記録媒体。 Recording medium according to Note 39 for recording a program to be executed by the computer further comprises processing the.
(付記42) (Note 42)
与えられた条件に応じて上記パケットを上記ネットワーク接続装置に接続されたサーバに、上記サーバに上記パケットに対するサービスを実行させるために転送する、 The packet to the server connected to the network connection device in accordance with the given condition, and transfers in order to perform a service for the packet to the server,
ことを更に含む処理を上記コンピュータに実行させるプログラムを記録した付記39に記載の記録媒体。 Recording medium according to Note 39 for recording a program to be executed by the computer further comprises processing the.
(付記43) (Note 43)
与えられた条件に応じて、上記ネットワーク接続装置に接続されたサーバへ、上記パケットに対するサービスを決定するために上記パケットを転送し、 Depending on the given conditions, to a server connected to said network connecting device, and forwards the packet to determine a service for the packet,
上記サーバによる上記パケットに対するサービスの決定以後、上記決定されたサービス内容に基づきパケットを処理することを更に含む処理を上記コンピュータに実行させるプログラムを記録した付記39に記載の記録媒体。 Service Determination after with respect to the packet by the server, recording medium according to Supplementary Note 39 further comprising processing to process the packet based on the service contents is the determined recording a program to be executed by the computer.
(付記44) (Supplementary Note 44)
パケットを中継する機能を有するネットワーク接続装置に接続されたサーバに実行させるプログラムを記録した記録媒体であって、 A recording medium recording a program to be executed by a server connected to a network connection device having a function of relaying a packet,
上記ネットワーク接続装置が上記パケットを処理するために、上記パケットに対するサービスを実行するための規則を記述するポリシーを上記ネットワーク接続装置に設定する、 For the network connection device processes the packet and sets the policy described above the network connection device a rule for executing a service for the packet,
ことを含む処理を上記サーバに実行させるプログラムを記録した記録媒体。 Recording medium for recording a program to be executed by the server process that involves.
(付記45) (Note 45)
上記ネットワーク接続装置から転送された上記パケットを受信し、受信した上記パケットに対するサービスを実行する、 Receiving the packet transferred from the network connection device, it performs a service for said received packet,
ことを更に含む処理を上記サーバに実行させるプログラムを記録した付記44に記載の記録媒体。 Recording medium according to Note 44 for recording a program to be executed by said server further comprises processing the.
(付記46) (Note 46)
パケットを中継する機能を有するネットワーク接続装置に接続されたサーバに実行させるプログラムを記録した記録媒体であって、 A recording medium recording a program to be executed by a server connected to a network connection device having a function of relaying a packet,
上記ネットワーク接続装置から転送された上記パケットを受信し、 Receiving the packet transferred from the network connection device,
上記パケットを解析することにより、上記パケットに対するサービスの内容を決定し、 By analyzing the packet to determine the contents of the service to the packet,
上記決定されたサービス内容に基づいて上記ネットワーク接続装置に上記パケットを処理させるために、該決定されたサービスの内容を上記ネットワーク接続装置に設定する、 To process the packet to the network interface apparatus on the basis of the service contents determined above, to set the contents of the service that is the determined to the network connection device,
ことを含む処理を上記サーバに実行させるプログラムを記録した記録媒体。 Recording medium for recording a program to be executed by the server process that involves.

1 サーバ2 ネットワーク接続装置11 サーバ12 ネットワーク制御部13 外部セッション管理部13a 外部セッションテーブル14 サービス制御部15 外部サービス処理部16 パケット詳細解析部20 ネットワーク接続装置21 パケット処理部22 セッション管理部22a セッションテーブル22a' セッションテーブル23 ルーティング処理部23a ルーティングテーブル24 サーバ転送部25 ポリシーテーブル26 処理振分部27 サービス処理部30 ネットワーク接続部31 制御情報通信部32 セッション情報通信部33 パケット通信路40 コンピュータ41 CPU 1 Server 2 network connection device 11 server 12 network control unit 13 external session managing unit 13a external session table 14 the service control unit 15 external service processing unit 16 packet details analyzing unit 20 network connection device 21 packet processing unit 22 the session management unit 22a session table 22a 'session table 23 the routing processor 23a routing table 24 server transfer unit 25 policy table 26 processing assignment unit 27 the service processor 30 the network connection unit 31 control information communication unit 32 session information communication unit 33 packet communication path 40 computer 41 CPU
42 メモリ43 入力装置44 出力装置45 外部記憶装置46 媒体駆動装置47 ネットワークインターフェース48 バス49 可搬記録媒体50 データベース51 回線A 矢印P パケットS ステップ 42 memory 43 input device 44 output device 45 an external storage device 46 medium drive 47 network interface 48 bus 49 portable recording medium 50 database 51 Line A arrow P packet S Step

Claims (1)

  1. パケット処理方法であって、 A packet processing method,
    ネットワーク接続装置は、 Network connection device,
    受信したパケットのセッション毎に、該パケットに適用すべき処理とサーバへのパケット転送の要又は不要を示す情報を記憶し、 For each of the received packet session, it stores the essential or information indicating the unnecessary packet transfer to the process and the server to be applied to the packet,
    前記受信したパケットのセッションに対応して記憶された情報のうち、前記サーバへのパケット転送の要又は不要を示す情報が要である場合に、該受信したパケットを前記サーバに転送し、 Of the information stored in correspondence with said received packet session, if needed or information indicating the unnecessary packet transfer to the server is needed, and forwards the received packets to the server,
    前記サーバは、 The server,
    転送された前記パケットに対して所定の処理を行い、 It performs predetermined processing on the transferred the packet,
    前記セッションについて、以降の受信パケットについて該サーバでの処理が不要である場合に、前記セッションに対応して記憶された情報のうち、該サーバへのパケット転送の要の情報を不要に変更し、 For the session, when the processing in the server is not required for the subsequent received packet, among the information stored in correspondence with the session, and unnecessarily change the information of a main packet forwarding to the server,
    前記サーバは、 受信したパケットに含まれる種別情報に基づいて該サーバの負荷を分散させる処理を行うと判定した場合、 前記パケットに含まれるURL(Uniform Resource Locator)を用いて、URLと該負荷の振分先となる振分先サーバとが関係づけられた情報を参照して該負荷の振分先となる振分先サーバが決定されるまで、該振分先サーバに代わって応答する ことを特徴とするパケット処理方法。 The server, when judging that performs processing to distribute the load of the server based on the type information contained in the received packet, using a URL (Uniform Resource Locator) contained in the packet, URL and the load until distribution destination server to which the distribution destination of the reference to the load information and the distribution destination server to which the distribution destination is implicated is determined, to respond on behalf of the shake amount destination server features and be Rupa packet processing method.
JP2009123037A 2001-03-27 2009-05-21 Packet relay processing unit Expired - Fee Related JP5229109B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2001090122 2001-03-27
JP2001090122 2001-03-27
JP2009123037A JP5229109B2 (en) 2001-03-27 2009-05-21 Packet relay processing unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009123037A JP5229109B2 (en) 2001-03-27 2009-05-21 Packet relay processing unit

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2006297354 Division 2001-10-04

Publications (2)

Publication Number Publication Date
JP2009217841A true JP2009217841A (en) 2009-09-24
JP5229109B2 true JP5229109B2 (en) 2013-07-03

Family

ID=41189545

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009123037A Expired - Fee Related JP5229109B2 (en) 2001-03-27 2009-05-21 Packet relay processing unit

Country Status (1)

Country Link
JP (1) JP5229109B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6069236B2 (en) * 2014-02-25 2017-02-01 日本電信電話株式会社 Transfer reduction method of application identification system, application identification device and application identification program
JP6181577B2 (en) * 2014-02-25 2017-08-16 日本電信電話株式会社 Policy control system, and, policy control program
JP2016163085A (en) * 2015-02-27 2016-09-05 アラクサラネットワークス株式会社 Communication device

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6411986B1 (en) * 1998-11-10 2002-06-25 Netscaler, Inc. Internet client-server multiplexer
JP3469501B2 (en) * 1999-03-31 2003-11-25 富士通株式会社 Network device control apparatus and communication system
JP2000295274A (en) * 1999-04-05 2000-10-20 Nec Corp Packet exchange
JP3403971B2 (en) * 1999-06-02 2003-05-06 富士通株式会社 Packet transfer device
WO2001024460A1 (en) * 1999-09-13 2001-04-05 Nokia Corporation Intelligent data network router

Also Published As

Publication number Publication date Type
JP2009217841A (en) 2009-09-24 application

Similar Documents

Publication Publication Date Title
US7143195B2 (en) HTTP redirector
US6308238B1 (en) System and method for managing connections between clients and a server with independent connection and data buffers
US7213071B2 (en) Quality of service improvements for network transactions
US7039721B1 (en) System and method for protecting internet protocol addresses
Hunt et al. Network dispatcher: A connection router for scalable internet services
US6189033B1 (en) Method and system for providing performance guarantees for a data service system of a data access network system
US7840699B2 (en) Name resolution server and packet transfer device
US20050080890A1 (en) Server load balancing apparatus and method using MPLS session
US20080244744A1 (en) Method for tracking machines on a network using multivariable fingerprinting of passively available information
US20080243634A1 (en) Providing website hosting overage protection by transference to an overflow server
US6154776A (en) Quality of service allocation on a network
US7114180B1 (en) Method and system for authenticating and authorizing requestors interacting with content servers
US20100067413A1 (en) Routing and quality decision in mobile ip networks
US7720997B1 (en) Path selection system
US20030023767A1 (en) Methods, systems and computer program products for kernel based transaction processing
US20030182423A1 (en) Virtual host acceleration system
US6877036B1 (en) System and method for managing connections between a client and a server
US8204082B2 (en) Transparent provisioning of services over a network
Fayazbakhsh et al. Less pain, most of the gain: Incrementally deployable icn
US20040243682A1 (en) System and method for user notification
US20030079144A1 (en) Service control network, server, network device, service information distribution method, and service information distribution program
US20050246450A1 (en) Network protocol processing device
US20100325588A1 (en) Systems and methods for providing a visualizer for rules of an application firewall
US7990847B1 (en) Method and system for managing servers in a server cluster
US6535509B2 (en) Tagging for demultiplexing in a network traffic server

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110524

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120404

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120911

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121211

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20121218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130304

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160329

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees