JP5382451B2 - フロントエンドシステム、フロントエンド処理方法 - Google Patents
フロントエンドシステム、フロントエンド処理方法 Download PDFInfo
- Publication number
- JP5382451B2 JP5382451B2 JP2010017960A JP2010017960A JP5382451B2 JP 5382451 B2 JP5382451 B2 JP 5382451B2 JP 2010017960 A JP2010017960 A JP 2010017960A JP 2010017960 A JP2010017960 A JP 2010017960A JP 5382451 B2 JP5382451 B2 JP 5382451B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- switch
- query
- controller
- flow table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/355—Application aware switches, e.g. for HTTP
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
以下に、本発明の実施形態について添付図面を参照して説明する。
図3に示すように、本発明のフロントエンドシステムは、スイッチ10と、コントローラ20と、フロントエンドプロセッサ(FEP:Front End Processor)30を備える。
スイッチ10、コントローラ20、及びフロントエンドプロセッサ(FEP)30は、それぞれ複数でも良い。また、スイッチ10、コントローラ20、及びフロントエンドプロセッサ(FEP)30の各々は、計算機上に構築された仮想マシン(Virtual Machine(VM))環境でも良い。
フロントエンドプロセッサ(FEP)30のディスパッチャ31は、スイッチ10からパケットを受信する。その後、ディスパッチャ31は、受信したパケットに基づいてクエリ(Query)パケットを生成し、生成されたクエリ(Query)パケットを、ファイアウォール(FW)32及びロードバランサ(LB)33のうち少なくとも一方に対して送信する。
当該クエリ(Query)パケットをファイアウォール(FW)22やロードバランサ(LB)23に送信して処理する。また、ロードバランサ(LB)23は、ファイアウォール(FW)22又はロードバランサ(LB)23での処理結果に応じて、ポート11のフローテーブル111と、ロードバランサ(LB)33のフローテーブル331と、ファイアウォール(FW)32のフローテーブル321に対して、当該クエリ(Query)パケットに関するフローを新たに登録する。例えば、ロードバランサ(LB)23は、各フローテーブルに当該クエリ(Query)パケットに関するフローを新たに登録する旨の制御命令を、スイッチ10やフロントエンドプロセッサ(FEP)30に送信する。なお、ロードバランサ(LB)23は、ファイアウォール(FW)32のフローテーブル321に対しては、直接的にフローを登録するのではなく、ロードバランサ(LB)33を介して間接的にフローを登録するようにしても良い。フローテーブル321とフローテーブル331が同一物であれば問題ない。更に、フロー登録の直後に(或いは同時に)、ロードバランサ(LB)23は、スイッチ10を介して、ロードバランサ(LB)23に当該クエリ(Query)パケットを返信する。
ファイアウォール機能(FW機能)とロードバランシング機能(LB機能)を個別に(並列処理で)使用する場合について説明する。この場合、ディスパッチャ31が、ファイアウォール(FW)32やロードバランサ(LB)23に対して、個別にクエリ(Query)パケットを送信し、それぞれから個別に結果を受け取る。そのため、クエリ(Query)パケットの経路は、「ディスパッチャ31→ファイアウォール(FW)32→ディスパッチャ31」と「ディスパッチャ31→ロードバランサ(LB)23(→コントローラ20→ロードバランサ(LB)33:不一致の場合)→ディスパッチャ31」の2系統となる。これら2系統の経路を通過する順番は、どちらが先でも良いし、同時でも良い。なお、ファイアウォール(FW)32がクエリ(Query)パケットを廃棄した場合は、「ファイアウォール(FW)32からの廃棄通知」、「ファイアウォール(FW)32から応答なし」等により、その旨をディスパッチャ31が把握し、それ以降の処理を行わない。
ファイアウォール機能(FW機能)とロードバランシング機能(LB機能)を連続して(直列処理で)使用する場合について説明する。この場合、ディスパッチャ31が、ファイアウォール(FW)32及びロードバランサ(LB)23のいずれか一方に対してクエリ(Query)パケットを送信し、受信した側が処理後にクエリ(Query)パケットを他方(残りの一方)に対して送信し、その他方(残りの一方)が処理後にクエリ(Query)パケットをディスパッチャ31に送信する。そのため、クエリ(Query)パケットの経路は、「ディスパッチャ31→ファイアウォール(FW)32→ロードバランサ(LB)23(→コントローラ20→ロードバランサ(LB)23:不一致の場合)→ディスパッチャ31」、又は「ディスパッチャ31→ロードバランサ(LB)23(→コントローラ20→ロードバランサ(LB)23:不一致の場合)→ファイアウォール(FW)32→ディスパッチャ31」となる。
なお、上記では、ディスパッチャ31は、クエリ(Query)パケットを生成した後、クエリ(Query)パケットを、ファイアウォール(FW)32及びロードバランサ(LB)23に送信し、応答を受信してからポリシーチェックを行い、宛先に送信する例について説明している。しかし、実際には、ディスパッチャ31は、クエリ(Query)パケットを生成した後、直ちにポリシーチェックを行い、その後にクエリ(Query)パケットをファイアウォール(FW)32及びロードバランサ(LB)23に送信するようにしても良い。この場合、ファイアウォール(FW)32及びロードバランサ(LB)23のいずれかが、クエリ(Query)パケットを宛先に送信する。
なお、スイッチ10の例として、ルータ(router)、スイッチングハブ(switching hub)、ゲートウェイ(gateway)、プロキシ(proxy)等の中継機器が考えられる。スイッチ10は、マルチレイヤスイッチ(multi−layer switch)でも良い。但し、実際には、これらの例に限定されない。
図4A〜図7Cを参照して、様々な環境における本発明の実施例について説明する。
図4A〜図4Cを参照して、FW(L4)、LB(L4)の場合について説明する。
ファイアウォール(FW)及びロードバランサ(LB)がいずれもL4(レイヤ4)レベルで稼動する場合、当該ファイアウォール(FW)及びロードバランサ(LB)は、スイッチ(コアSW)10−1上で稼動する。この場合、フロントエンドプロセッサ(FEP)へのパケット送信は不要である。
スイッチ(コアSW)10−1は、ネットワークを介して、クライアント100からパケットを受信した際、当該パケットが1stパケットであれば、スイッチ(内蔵SW)10−2を介して、パケットをコントローラ20に転送する。当該パケットは、宛先アドレス(dst:Destination Address)が仮想IPアドレス(VIP)であり、送信元アドレス(src:Source Address)がクライアント100のIPアドレス(cl IP)である。
コントローラ20は、スイッチ(コアSW)10−1からパケットを受信すると、ポリシーDB211を参照し、仮想IPアドレス(VIP)を基に、必要な処理(L7レベルの処理の必要性等)を決定し、フローテーブル111に書き込むフロー(ルール及びアクション)を作成する。そして、コントローラ20は、フローテーブル111に対して、当該パケットに関して作成されたフローを新たに登録する旨の制御命令を送信する。その後、又は同時に、コントローラ20は、スイッチ(内蔵SW)10−2を介してスイッチ(コアSW)10−1にパケットを返信する。
スイッチ(コアSW)10−1は、コントローラ20からの制御命令に応じて、フローテーブル111を更新する。また、スイッチ(コアSW)10−1は、フローテーブル111の更新後に、コントローラ20から返信されたパケット、又は当該パケットと同一ルールのパケットを受信すると、ファイアウォール(FW)12及びロードバランサ(LB)13にパケットを送る。ファイアウォール(FW)12は、L4レベルのプロトコルを認識し、当該パケットのIPヘッダ、TCPヘッダを参照して、通過可否を判断する。ロードバランサ(LB)13は、L4レベルのプロトコルを認識し、仮想IPアドレス(VIP)に基づいて、実IPアドレス(サーバ200のIPアドレス)を決定する。このとき、ロードバランサ(LB)13は、負荷状況を見て、仮想IPアドレス(VIP)に対応する実IPアドレス(サーバ200のIPアドレス)を決定しても良い。
スイッチ(コアSW)10−1は、パケットがファイアウォール(FW)12で破棄されず、ロードバランサ(LB)13でサーバ200宛に振り分けられた場合、スイッチ(エッジSW)10−3を介して、パケットをサーバ200へ送信する。このとき、スイッチ(コアSW)10−1とサーバ200は、3WHS(3−Way Hand Shake)の手順に従って、当該パケットを含めて、パケットの送受信を3回行い、接続(コネクション)を確立する。
その後、スイッチ(コアSW)10−1は、同一ルールのパケットを受信すると、スイッチ(内蔵SW)10−2とスイッチ(エッジSW)10−3を介して、パケットをサーバ200へ転送する。
図5A〜図5Cを参照して、FW(L7)、LB(L7)の場合について説明する。
ファイアウォール(FW)及びロードバランサ(LB)がいずれもL7(レイヤ7)レベルで稼動する場合、当該ファイアウォール(FW)及びロードバランサ(LB)は、コントローラ上で稼動する。この場合、フロントエンドプロセッサ(FEP)がTCPのセッションを終端する。また、フロントエンドプロセッサ(FEP)は、クライアント100側とサーバ200側の双方に接続(コネクション)を確立する。
スイッチ(コアSW)10−1は、ネットワークを介して、クライアント100からパケットを受信した際、当該パケットが1stパケットであれば、スイッチ(内蔵SW)10−2を介して、当該パケットをコントローラ20に転送する。当該パケットは、宛先アドレス(dst)が仮想IPアドレス(VIP)であり、送信元アドレス(src)がクライアント100のIPアドレス(cl IP)である。
コントローラ20は、スイッチ(コアSW)10−1からパケットを受信すると、ポリシーDB211を参照し、仮想IPアドレス(VIP)を基に、必要な処理(L7レベルの処理の必要性等)を決定し、フローテーブル111に書き込むフロー(ルール及びアクション)を作成する。そして、コントローラ20は、フローテーブル111に対して、当該パケットに関して作成されたフローを新たに登録する旨の制御命令を送信する。その後、又は同時に、コントローラ20は、スイッチ(内蔵SW)10−2を介してスイッチ(コアSW)10−1にパケットを返信する。
スイッチ(コアSW)10−1は、コントローラ20からの制御命令に応じて、フローテーブル111を更新する。また、スイッチ(コアSW)10−1は、スイッチ(内蔵SW)10−2を介して、返信されたパケットをフロントエンドプロセッサ(FEP)30へ転送する。以降、スイッチ(コアSW)10−1は、返信されたパケットと同一ルールのパケットを受信すると、返信されたパケットと同様に、スイッチ(内蔵SW)10−2を介して、パケットをフロントエンドプロセッサ(FEP)30へ転送する。このとき、スイッチ(コアSW)10−1とフロントエンドプロセッサ(FEP)30は、3WHS(3−Way Hand Shake)の手順に従って、パケットの送受信を3回行い、接続(コネクション)を確立する。
フロントエンドプロセッサ(FEP)30は、クライアント100とフロントエンドプロセッサ(FEP)30間の接続(コネクション)が確立した後に、TCPのセッションを終端し、パケットを受信する。
フロントエンドプロセッサ(FEP)30は、受信したパケットからクエリ(Query)パケットを生成する。このとき、フロントエンドプロセッサ(FEP)30は、生成されたクエリ(Query)パケットが最初のクエリ(1st Query)パケットである場合、当該クエリ(Query)パケットをコントローラ20に送信する。
コントローラ20は、クエリ(Query)パケットを受信すると、当該クエリ(Query)パケットをファイアウォール(FW)22及びロードバランサ(LB)23に送る。ファイアウォール(FW)22は、L7レベルのプロトコルを認識し、当該クエリ(Query)パケットのIPヘッダ、TCPヘッダを参照して、通過可否を判断する。ロードバランサ(LB)23は、L7レベルのプロトコルを認識し、仮想IPアドレス(VIP)に基づいて、実IPアドレス(サーバ200のIPアドレス)を決定する。このとき、ロードバランサ(LB)23は、負荷状況を見て、仮想IPアドレス(VIP)に対応する実IPアドレス(サーバ200のIPアドレス)を決定しても良い。
コントローラ20は、クエリ(Query)パケットがファイアウォール(FW)22で破棄されず、ロードバランサ(LB)23で仮想IPアドレス(VIP)に対応する宛先であるサーバ200宛に振り分けられた場合、クエリ(Query)パケットをフロントエンドプロセッサ(FEP)30へ返信する。このとき、コントローラ20は、フローテーブル321及びフローテーブル321に書き込むフロー(ルール及びアクション)を作成する。そして、コントローラ20は、フローテーブル321及びフローテーブル331に対して、当該クエリ(Query)パケットに関して作成されたフローを新たに登録する旨の制御命令を送信する。フロントエンドプロセッサ(FEP)30は、コントローラ20からの制御命令に応じて、フローテーブル321及びフローテーブル331を更新する。
また、フロントエンドプロセッサ(FEP)30は、返信されたクエリ(Query)パケットをスイッチ(内蔵SW)10−2とスイッチ(エッジSW)10−3を介して、クエリ(Query)パケットをサーバ200へ送信する。このとき、フロントエンドプロセッサ(FEP)30とサーバ200は、3WHS(3−Way Hand Shake)の手順に従って、クエリ(Query)パケットの送受信を3回行い、接続(コネクション)を確立する。
その後、フロントエンドプロセッサ(FEP)30は、同一ルールのクエリ(Query)パケットを生成すると、スイッチ(内蔵SW)10−2とスイッチ(エッジSW)10−3を介して、当該クエリ(Query)パケットをサーバ200へ転送する。
図6A〜図6Cを参照して、FW(L7)、LB(L4)の場合について説明する。
ファイアウォール(FW)がL7(レイヤ7)レベルで稼動し、ロードバランサ(LB)がL4(レイヤ4)レベルで稼動する場合、当該ファイアウォール(FW)は、コントローラ上で稼動し、このロードバランサ(LB)は、スイッチ(コアSW)10−1上で稼動する。この場合、フロントエンドプロセッサ(FEP)ではTCPのセッションを終端しない。また、クライアント100とサーバ200間で接続(コネクション)が確立されるが、パケットはフロントエンドプロセッサ(FEP)を経由する。
スイッチ(コアSW)10−1は、ネットワークを介して、クライアント100からパケットを受信した際、当該パケットが1stパケットであれば、スイッチ(内蔵SW)10−2を介して、当該パケットをコントローラ20に転送する。当該パケットは、宛先アドレス(dst)が仮想IPアドレス(VIP)であり、送信元アドレス(src)がクライアント100のIPアドレス(cl IP)である。
コントローラ20は、スイッチ(コアSW)10−1からパケットを受信すると、ポリシーDB211を参照し、仮想IPアドレス(VIP)を基に、必要な処理(L7レベルの処理の必要性等)を決定し、フローテーブル111に書き込むフロー(ルール及びアクション)を作成する。そして、コントローラ20は、フローテーブル111に対して、当該パケットに関して作成されたフローを新たに登録する旨の制御命令を送信する。その後、又は同時に、コントローラ20は、スイッチ(内蔵SW)10−2を介してスイッチ(コアSW)10−1にパケットを返信する。
スイッチ(コアSW)10−1は、コントローラ20からの制御命令に応じて、フローテーブル111を更新する。また、スイッチ(コアSW)10−1は、フローテーブル111の更新後に、コントローラ20から返信されたパケット、又は当該パケットと同一ルールのパケットを受信すると、ロードバランサ(LB)13にパケットを送る。ロードバランサ(LB)13は、L4レベルのプロトコルを認識し、仮想IPアドレス(VIP)に基づいて、実IPアドレス(サーバ200のIPアドレス)を決定し、パケットの経路をフロントエンドプロセッサ(FEP)30経由に切り替える。例えば、LB(L4)の場合、ユーザ設定により指定されたアルゴリズム(ラウンドロビン、最小応答時間、等)に基づき、分散対象のサーバ(複数あるうちの1つ)を決定し、クライアント−FEP間、及びFEP−サーバ間のパス(フローエントリ)を設定する。このとき、ロードバランサ(LB)13は、負荷状況を見て、仮想IPアドレス(VIP)に対応する実IPアドレス(サーバ200のIPアドレス)を決定しても良い。
スイッチ(コアSW)10−1は、スイッチ(内蔵SW)10−2、フロントエンドプロセッサ(FEP)30、及びスイッチ(エッジSW)10−3を介して、当該パケットをサーバ200へ送信し、サーバ200からの応答をクライアント100へ送信する。また、スイッチ(コアSW)10−1は、スイッチ(内蔵SW)10−2、フロントエンドプロセッサ(FEP)30、及びスイッチ(エッジSW)10−3を介して、同一ルールのパケットをサーバ200へ転送する。このとき、スイッチ(コアSW)10−1は、3WHS(3−Way Hand Shake)の手順に従ってパケットを中継し、1stパケットを含めて、クライアント100とサーバ200間のパケットの送受信が3回行い、クライアント100とサーバ200間の接続(コネクション)を確立する。
フロントエンドプロセッサ(FEP)30は、クライアント100とサーバ200間の接続(コネクション)を確立した場合、フロントエンドプロセッサ(FEP)30を経由するパケットを受信する。
フロントエンドプロセッサ(FEP)30は、受信したパケットからクエリ(Query)パケットを生成する。このとき、フロントエンドプロセッサ(FEP)30は、生成されたクエリ(Query)パケットが最初のクエリ(1st Query)パケットである場合、当該クエリ(Query)パケットをコントローラ20に送信する。
コントローラ20は、クエリ(Query)パケットを受信すると、当該クエリ(Query)パケットをファイアウォール(FW)22に送る。ファイアウォール(FW)22は、L7レベルのプロトコルを認識し、当該クエリ(Query)パケットのIPヘッダ、TCPヘッダを参照して、通過可否を判断する。
コントローラ20は、当該クエリ(Query)パケットがファイアウォール(FW)22で破棄されなかった場合、当該クエリ(Query)当該クエリ(Query)パケットをフロントエンドプロセッサ(FEP)30へ返信する。このとき、コントローラ20は、フローテーブル321及びフローテーブル321に書き込むフロー(ルール及びアクション)を作成する。そして、コントローラ20は、フローテーブル321及びフローテーブル331に対して、当該クエリ(Query)パケットに関して作成されたフローを新たに登録する旨の制御命令を送信する。フロントエンドプロセッサ(FEP)30は、コントローラ20からの制御命令に応じて、フローテーブル321及びフローテーブル331を更新する。
また、フロントエンドプロセッサ(FEP)30は、コントローラ20から返信されたクエリ(Query)パケット及び同一ルールのクエリ(Query)パケットを、スイッチ(内蔵SW)10−2とスイッチ(エッジSW)10−3を介して、サーバ200へ送信する。なお、サーバ200からの応答は、フロントエンドプロセッサ(FEP)30を経由しなくても良い。
図7A〜図7Cを参照して、FW(L4)、LB(L7)の場合について説明する。
ファイアウォール(FW)がL4(レイヤ4)レベルで稼動し、ロードバランサ(LB)がL7(レイヤ7)レベルで稼動する場合、当該ファイアウォール(FW)及びロードバランサ(LB)は、コントローラ上で稼動する。この場合、フロントエンドプロセッサ(FEP)がTCPのセッションを終端する。また、フロントエンドプロセッサ(FEP)は、クライアント100側とサーバ200側の双方に接続(コネクション)を確立する。なお、実際には、ファイアウォール(FW)は、スイッチ(コアSW)10−1上で稼動しても良い。この場合の動作は、実施例1におけるファイアウォール(FW)の動作と同じである。
スイッチ(コアSW)10−1は、ネットワークを介して、クライアント100からパケットを受信した際、当該パケットが1stパケットであれば、スイッチ(内蔵SW)10−2を介して、当該パケットをコントローラ20に転送する。当該パケットは、宛先アドレス(dst)が仮想IPアドレス(VIP)であり、送信元アドレス(src)がクライアント100のIPアドレス(cl IP)である。
コントローラ20は、スイッチ(コアSW)10−1からパケットを受信すると、当該パケットをファイアウォール(FW)22に送る。ファイアウォール(FW)22は、L4レベルのプロトコルを認識し、当該パケットのIPヘッダ、TCPヘッダを参照して、通過可否を判断する。
コントローラ20は、当該パケットがファイアウォール(FW)22で破棄されなかった場合、ポリシーDB211を参照し、仮想IPアドレス(VIP)を基に、必要な処理(L7レベルの処理の必要性等)を決定し、フローテーブル111に書き込むフロー(ルール及びアクション)を作成する。コントローラ20は、フローテーブル111に対して、当該パケットに関して作成されたフローを新たに登録する旨の制御命令を送信する。その後、又は同時に、コントローラ20は、スイッチ(内蔵SW)10−2を介してスイッチ(コアSW)10−1にパケットを返信する。また、コントローラ20は、当該パケットがファイアウォール(FW)22で破棄された場合、フローテーブル111に対して、当該パケットと同一ルールのパケットを破棄するフローを新たに登録する旨の制御命令を送信する。なお、フローテーブル111に対して、1stパケットと同一ルールのパケットを破棄するフローを登録した場合、スイッチ(コアSW)10−1は、以降の同一ルールのパケットを転送せずに全て廃棄する。すなわち、これ以降の処理を行わない。
スイッチ(コアSW)10−1は、コントローラ20からの制御命令に応じて、フローテーブル111を更新する。その後、スイッチ(コアSW)10−1は、スイッチ(内蔵SW)10−2及びコントローラ20を介して、返信されたパケットをフロントエンドプロセッサ(FEP)30へ転送し、フロントエンドプロセッサ(FEP)30からの応答をクライアント100に送信する。また、スイッチ(コアSW)10−1は、同一ルールのパケットを受信すると、同様に、スイッチ(内蔵SW)10−2を介して、フロントエンドプロセッサ(FEP)30へ転送する。このとき、スイッチ(コアSW)10−1とフロントエンドプロセッサ(FEP)30は、3WHS(3−Way Hand Shake)の手順に従って、パケットの送受信を3回行い、接続(コネクション)を確立する。
フロントエンドプロセッサ(FEP)30は、クライアント100とフロントエンドプロセッサ(FEP)30間の接続(コネクション)が確立した後に、TCPのセッションを終端し、パケットを受信する。
フロントエンドプロセッサ(FEP)30は、受信したパケットからクエリ(Query)パケットを生成し、クエリ(Query)パケットをコントローラ20に送信する。
コントローラ20は、クエリ(Query)パケットを受信すると、当該クエリ(Query)パケットをロードバランサ(LB)23に送る。ロードバランサ(LB)23は、L7レベルのプロトコルを認識し、仮想IPアドレス(VIP)に基づいて、実IPアドレス(サーバ200のIPアドレス)を決定する。このとき、ロードバランサ(LB)23は、負荷状況を見て、仮想IPアドレス(VIP)に対応する実IPアドレス(サーバ200のIPアドレス)を決定しても良い。コントローラ20は、クエリ(Query)パケットがロードバランサ(LB)で仮想IPアドレス(VIP)に対応する宛先であるサーバ200宛に振り分けられた場合、クエリ(Query)クエリ(Query)パケットをフロントエンドプロセッサ(FEP)30へ返信する。
このとき、コントローラ20は、フローテーブル321及びフローテーブル321に書き込むフロー(ルール及びアクション)を作成する。そして、コントローラ20は、フローテーブル321及びフローテーブル331に対して、当該クエリ(Query)パケットに関して作成されたフローを新たに登録する旨の制御命令を送信する。フロントエンドプロセッサ(FEP)30は、コントローラ20からの制御命令に応じて、フローテーブル321及びフローテーブル331を更新する。
また、フロントエンドプロセッサ(FEP)30は、返信されたクエリ(Query)パケットをフローテーブルに登録した後、返信されたクエリ(Query)パケットを、スイッチ(内蔵SW)10−2とスイッチ(エッジSW)10−3を介して、サーバ200へ送信する。このとき、フロントエンドプロセッサ(FEP)30とサーバ200は、3WHS(3−Way Hand Shake)の手順に従って、クエリ(Query)パケットの送受信を3回行い、接続(コネクション)を確立する。
その後、フロントエンドプロセッサ(FEP)30は、同一ルールのクエリ(Query)パケットを生成すると、スイッチ(内蔵SW)10−2とスイッチ(エッジSW)10−3を介して、当該クエリ(Query)パケットをサーバ200へ転送する。
図8を参照して、ファイアウォール(FW)機能とロードバランサ(LB)機能の組み合わせについて説明する。
以下に、本発明で使用されるデータのイメージについて説明する。
図9は、ポリシーDB211に格納されるトポロジー情報のイメージである。
図10は、フローテーブル111、フローテーブル321、及びフローテーブル331等のフローテーブルのイメージである。
図11は、クエリ(Query)パケットのイメージである。
以下に、本発明で実施されるロードバランシングのイメージについて説明する。
図12は、FEP−FEP間のロードバランシングのイメージである。
なお、上記の実施形態や各実施例において、コントローラ20に最初のクエリ(1st Query)パケットを送信したフロントエンドプロセッサ(FEP)30と、コントローラ20から応答を受信するフロントエンドプロセッサ(FEP)30は、必ずしも同一物とは限らない。コントローラ20のロードバランサ(LB)23により、以降使用されるFEPとして、送信元のFEPとは異なるFEPが選ばれる可能性もあるからである。
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
20… コントローラ
30… フロントエンドプロセッサ(FEP:Front End Processor)
11… ポート
12、22、32… ファイアウォール(FW:FireWall)
13、23、33… ロードバランサ(LB:Load Balancer(負荷分散装置))
21… オペレーティングシステム(OS:Operating System)
31… ディスパッチャ(dispatcher)
111、321、331… フローテーブル(Flow Table)
211… ポリシーDB(DataBase)
311… 適用ポリシー
332… サーバ情報
333… セッション維持情報
100… クライアント
200… サーバ
Claims (15)
- パケットを中継するスイッチであって、第1フローテーブルを備え、前記第1フローテーブルに従って動作するように構成された前記スイッチと、
前記スイッチを制御して通信新経路を決定するコントローラと、
前記スイッチを介して前記コントローラと接続するフロントエンドプロセッサであって、第2フローテーブルを備え、前記第2フローテーブルに従って動作するように構成された前記フロントエンドプロセッサと
を具備し、
前記コントローラは、前記通信新経路を決定するにあたって、前記パケットに対して行うべき処理の内容をフローエントリとして前記第1および前記第2フローテーブルにそれぞれ書き込み、
前記フロントエンドプロセッサは、
前記パケットを収集し、収集されたパケット群から必要な情報のみを抽出してレイヤ7レベルのプロトコルに対応したクエリパケットを生成し、前記クエリパケットに対して適用ポリシーに基づくポリシーチェックを行い、前記クエリパケットを宛先に送信するディスパッチャと、
レイヤ7レベルのプロトコルを認識するファイアウォールであって、前記クエリパケットの通過の許否を決定するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って動作する前記ファイアウォールと、
レイヤ7レベルのプロトコルを認識するロードバランサであって、ネットワークの負荷状況に応じて前記クエリパケットのロードバランシングを行い、前記クエリパケットが最初のクエリパケットである場合、前記スイッチを介して前記クエリパケットを前記コントローラに送信し、前記クエリパケットの経路を確認するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って動作する前記ロードバランサと
を具備する
フロントエンドシステム。 - 請求項1に記載のフロントエンドシステムであって、
前記ディスパッチャは、前記フロントエンドプロセッサを含む複数のフロントエンドプロセッサの各々のハードウェア単位の負荷状況を見て、最適なフロントエンドプロセッサ上で前記ファイアウォール及び前記ロードバランサを立ち上げる処理を行い、前記ファイアウォール及び前記ロードバランサに対して前記クエリパケットを送信する
フロントエンドシステム。 - 請求項1又は2に記載のフロントエンドシステムであって、
前記ロードバランサは、前記フロントエンドプロセッサから前記クエリパケットを受信し、前記フロントエンドプロセッサを含む複数のフロントエンドプロセッサの各々のハードウェア単位の負荷状況を見て、最適なフロントエンドプロセッサに対して前記クエリパケットを返信するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って動作する
フロントエンドシステム。 - 請求項1乃至3のいずれか一項に記載のフロントエンドシステムであって、
前記第1フローテーブルは、前記パケットに対するルール及びアクションで定義されたフローを含んでおり、
前記スイッチは、
前記パケットが最初のパケットである場合、前記パケットを前記コントローラに送信し、前記パケットに対するルール及びアクションを前記第1フローテーブルで確認し、前記パケットに対するルール及びアクションに応じて前記パケットを転送するポートと、
レイヤ4レベルのプロトコルを認識するL4ファイアウォールであって、前記パケットの通過の許否を決定するという処理のフローエントリが書き込まれた前記第1フローテーブルに従って動作する前記L4ファイアウォールと、
レイヤ4レベルのプロトコルを認識するL4ロードバランサであって、ネットワークの負荷状況に応じて前記パケットのロードバランシングを行うという処理のフローエントリが書き込まれた前記第1フローテーブルに従って動作する前記L4ロードバランサと
を具備し、
前記スイッチは、前記L4ファイアウォール及び前記L4ロードバランサを共に稼動させて、前記パケットの通過の許否を決定し、前記パケットのロードバランシングを行い、前記フロントエンドプロセッサへの前記パケットの転送を行わないという処理のフローエントリが書き込まれた前記第1フローテーブルに従って動作することで、前記フロントエンドプロセッサでの処理を不要とする
フロントエンドシステム。 - 請求項1乃至3のいずれか一項に記載のフロントエンドシステムであって、
前記フロントエンドプロセッサは、前記スイッチを経由するTCP(Transmission Control Protocol)のセッションを終端し、前記パケットを収集し、収集されたパケット群から必要な情報のみを抽出して前記クエリパケットを生成し、前記クエリパケットを前記コントローラに送信するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って動作し、
前記コントローラは、
前記スイッチから前記パケットを受信し、ネットワーク全体のトポロジー情報を参照して前記パケットに対するルール及びアクションを決定し、前記スイッチに通知するOSと、
レイヤ7レベルのプロトコルを認識し、前記クエリパケットの通過の許否を決定するL7ファイアウォールと、
レイヤ7レベルのプロトコルを認識し、ネットワークの負荷状況に応じて前記クエリパケットのロードバランシングを行うL7ロードバランサと
を具備する
フロントエンドシステム。 - 請求項1乃至3のいずれか一項に記載のフロントエンドシステムであって、
前記第1フローテーブルは、前記パケットに対するルール及びアクションで定義されたフローを含んでおり、
前記スイッチは、
前記パケットが最初のパケットである場合、前記パケットを前記コントローラに送信し、前記パケットに対するルール及びアクションを前記第1フローテーブルで確認し、前記パケットに対するルール及びアクションに応じて前記パケットを転送するポートと、
レイヤ4レベルのプロトコルを認識するL4ロードバランサであって、ネットワークの負荷状況に応じて前記パケットのロードバランシングを行うという処理のフローエントリが書き込まれた前記第1フローテーブルに従って動作するL4ロードバランサと
を具備し、
前記コントローラは、
前記スイッチから前記パケットを受信し、ネットワーク全体のトポロジー情報を参照して前記パケットに対するルール及びアクションを決定し、前記スイッチに通知するOSと、
レイヤ7レベルのプロトコルを認識し、前記クエリパケットの通過の許否を決定するL7ファイアウォールと
を具備し、
前記スイッチは、前記L4ロードバランサが稼動している場合、前記パケットの経路を前記フロントエンドプロセッサ経由に変更し、前記パケットを前記フロントエンドプロセッサに送信するという処理のフローエントリが書き込まれた前記第1フローテーブルに従って動作し、
前記コントローラは、前記フロントエンドプロセッサから前記クエリパケットを受信し、前記L7ファイアウォールを稼動させて、前記クエリパケットの通過の許否を決定する
フロントエンドシステム。 - 請求項1乃至3のいずれか一項に記載のフロントエンドシステムであって、
前記コントローラは、
レイヤ4レベルのプロトコルを認識し、前記スイッチから前記パケットを受信し、前記パケットの通過の許否を決定し、前記パケットの通過を制限する場合、前記パケットを廃棄し、前記スイッチに対し、前記パケットと同一ルールのパケットを廃棄する旨を通知するL4ファイアウォールと、
ネットワーク全体のトポロジー情報を参照し、前記L4ファイアウォールから前記パケットを受信し、前記スイッチから前記パケットを受信し、前記パケットに対するルール及びアクションを決定し、前記スイッチに通知するOSと、
レイヤ7レベルのプロトコルを認識し、前記フロントエンドプロセッサから前記クエリパケットを受信し、前記クエリパケットのロードバランシングを行うL7ロードバランサと
を具備し、
前記フロントエンドプロセッサは、前記スイッチを経由するTCP(Transmission Control Protocol)のセッションを終端し、前記パケットを収集し、収集されたパケット群から必要な情報のみを抽出して前記クエリパケットを生成し、前記クエリパケットを前記コントローラに送信するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って動作する
フロントエンドシステム。 - 請求項1乃至7のいずれか一項に記載のフロントエンドシステムであって、
前記第2フローテーブルは、前記パケットに対するルール及びアクションで定義されたフローを含む
フロントエンドシステム。 - フロントエンドシステムにおけるフロントエンド処理方法であって、
前記フロントエンドシステムは、
パケットを中継するスイッチであって、第1フローテーブルを備え、前記第1フローテーブルに従って動作するように構成された前記スイッチと、
前記スイッチを制御して通信新経路を決定するコントローラと、
前記スイッチを介して前記コントローラと接続されるフロントエンドプロセッサであって、第2フローテーブルを備え、前記第2フローテーブルに従って動作するように構成された前記フロントエンドプロセッサと
を具備し、
前記コントローラは、前記通信新経路を決定するにあたって、前記パケットに対して行うべき処理の内容をフローエントリとして前記第1および前記第2フローテーブルにそれぞれ書き込み、
前記フロントエンドプロセッサは、
ディスパッチャと、
レイヤ7レベルのプロトコルを認識するファイアウォールと、
レイヤ7レベルのプロトコルを認識するロードバランサと
を具備し、
前記フロントエンド処理方法は、
前記フロントエンドプロセッサが、前記スイッチを介して、前記コントローラと接続されることと、
前記フロントエンドプロセッサ上で、前記ディスパッチャが、前記パケットを収集し、収集されたパケット群から必要な情報のみを抽出してレイヤ7レベルのプロトコルに対応したクエリパケットを生成することと、
前記フロントエンドプロセッサ上で、前記クエリパケットの通過の許否を決定するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って前記ファイアウォールが動作することと、
前記フロントエンドプロセッサ上で、ネットワークの負荷状況に応じて前記クエリパケットのロードバランシングを行い、前記クエリパケットが最初のクエリパケットである場合、前記スイッチを介して前記クエリパケットを前記コントローラに送信し、前記クエリパケットの経路を確認するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って前記ロードバランサが動作することと、
前記フロントエンドプロセッサ上で、前記ディスパッチャが、前記クエリパケットに対して適用ポリシーに基づくポリシーチェックを行い、前記クエリパケットを宛先に送信することと、
を含む
フロントエンド処理方法。 - 請求項9に記載のフロントエンド処理方法であって、
前記フロントエンドプロセッサ上で、前記ディスパッチャが、前記フロントエンドプロセッサを含む複数のフロントエンドプロセッサの各々のハードウェア単位の負荷状況を見て、最適なフロントエンドプロセッサ上で前記ファイアウォール及び前記ロードバランサを立ち上げる処理を行い、前記ファイアウォール及び前記ロードバランサに対して前記クエリパケットを送信すること
を更に含む
フロントエンド処理方法。 - 請求項9又は10に記載のフロントエンド処理方法であって、
前記ロードバランサが、前記フロントエンドプロセッサから前記クエリパケットを受信し、前記フロントエンドプロセッサを含む複数のフロントエンドプロセッサの各々のハードウェア単位の負荷状況を見て、最適なフロントエンドプロセッサに対して前記クエリパケットを返信するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って動作すること
を更に含む
フロントエンド処理方法。 - 請求項9乃至11のいずれか一項に記載のフロントエンド処理方法であって、
前記第1フローテーブルは、前記パケットに対するルール及びアクションで定義されたフローを含んでおり、
前記スイッチは、
レイヤ4レベルのプロトコルを認識するL4ファイアウォールと、
レイヤ4レベルのプロトコルを認識するL4ロードバランサと
を具備し、
前記フロントエンド処理方法は、
前記パケットが最初のパケットである場合、前記スイッチが、前記パケットを前記コントローラに送信し、前記パケットに対するルール及びアクションを前記第1フローテーブルで確認し、前記パケットに対するルール及びアクションに応じて前記パケットを転送することと、
前記スイッチ上で、前記パケットの通過の許否を決定するという処理のフローエントリが書き込まれた前記第1フローテーブルに従って前記L4ファイアウォールが動作することと、
ネットワークの負荷状況に応じて前記パケットのロードバランシングを行うという処理のフローエントリが書き込まれた前記第1フローテーブルに従って前記L4ロードバランサが動作することと、
前記スイッチが、前記L4ファイアウォール及び前記L4ロードバランサを共に稼動させて、前記パケットの通過の許否を決定し、前記パケットのロードバランシングを行い、前記フロントエンドプロセッサへの前記パケットの転送を行わないという処理のフローエントリが書き込まれた前記第1フローテーブルに従って前記スイッチが動作することで、前記フロントエンドプロセッサでの処理を不要とすることと
を更に含む
フロントエンド処理方法。 - 請求項9乃至11のいずれか一項に記載のフロントエンド処理方法であって、
前記コントローラは、
OSと、
レイヤ7レベルのプロトコルを認識するL7ファイアウォールと、
レイヤ7レベルのプロトコルを認識するL7ロードバランサと、
を具備し、
前記フロントエンド処理方法は、
前記コントローラ上で、前記OSが、前記スイッチから前記パケットを受信し、ネットワーク全体のトポロジー情報を参照して前記パケットに対するルール及びアクションを決定し、前記スイッチに通知することと、
前記フロントエンドプロセッサが、前記スイッチを経由するTCP(Transmission Control Protocol)のセッションを終端し、前記パケットを収集し、収集されたパケット群から必要な情報のみを抽出して前記クエリパケットを生成し、前記クエリパケットを前記コントローラに送信するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って動作することと、
前記コントローラ上で、前記L7ファイアウォールが、前記クエリパケットの通過の許否を決定することと、
前記コントローラ上で、前記L7ロードバランサが、ネットワークの負荷状況に応じて前記クエリパケットのロードバランシングを行うことと
を具備する
フロントエンド処理方法。 - 請求項9乃至11のいずれか一項に記載のフロントエンド処理方法であって、
前記第1フローテーブルは、前記パケットに対するルール及びアクションで定義されたフローを含んでおり、
前記スイッチは、
レイヤ4レベルのプロトコルを認識するL4ロードバランサ
を具備し、
前記コントローラは、
OSと、
レイヤ7レベルのプロトコルを認識するL7ファイアウォールと
を具備し、
前記フロントエンド処理方法は、
前記パケットが最初のパケットである場合、前記パケットを前記コントローラに送信し、前記パケットに対するルール及びアクションを前記第1フローテーブルで確認し、前記パケットに対するルール及びアクションに応じて前記パケットを転送することと、
前記コントローラ上で、前記OSが、前記スイッチから前記パケットを受信し、ネットワーク全体のトポロジー情報を参照して前記パケットに対するルール及びアクションを決定し、前記スイッチに通知することと、
前記スイッチ上で、ネットワークの負荷状況に応じて前記パケットのロードバランシングを行うという処理のフローエントリが書き込まれた前記第1フローテーブルに従って前記L4ロードバランサが動作することと、
前記L4ロードバランサが稼動している場合、前記パケットの経路を前記フロントエンドプロセッサ経由に変更し、前記パケットを前記フロントエンドプロセッサに送信するという処理のフローエントリが書き込まれた前記第1フローテーブルに従って前記スイッチが動作することと、
前記コントローラが、前記フロントエンドプロセッサから前記クエリパケットを受信することと、
前記コントローラ上で、前記L7ファイアウォールが、前記クエリパケットの通過の許否を決定することと
を更に含む
フロントエンド処理方法。 - 請求項9乃至11のいずれか一項に記載のフロントエンド処理方法であって、
前記コントローラは、
レイヤ4レベルのプロトコルを認識するL4ファイアウォールと、
OSと、
レイヤ7レベルのプロトコルを認識するL7ロードバランサと
を具備し、
前記フロントエンド処理方法は、
前記コントローラ上で、前記L4ファイアウォールが、前記スイッチから前記パケットを受信し、前記パケットの通過の許否を決定し、前記パケットの通過を制限する場合、前記パケットを廃棄し、前記スイッチに対し、前記パケットと同一ルールのパケットを廃棄する旨を通知することと、
前記コントローラ上で、前記OSが、ネットワーク全体のトポロジー情報を参照し、前記L4ファイアウォールから前記パケットを受信し、前記スイッチから前記パケットを受信し、前記パケットに対するルール及びアクションを決定し、前記スイッチに通知することと、
前記フロントエンドプロセッサが、前記スイッチを経由するTCP(Transmission Control Protocol)のセッションを終端し、前記パケットを収集し、収集されたパケット群から必要な情報のみを抽出して前記クエリパケットを生成し、前記クエリパケットを前記コントローラに送信するという処理のフローエントリが書き込まれた前記第2フローテーブルに従って動作することと、
前記コントローラ上で、前記L7ロードバランサが、前記フロントエンドプロセッサから前記クエリパケットを受信し、前記クエリパケットのロードバランシングを行うことと
を更に含む
フロントエンド処理方法。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010017960A JP5382451B2 (ja) | 2010-01-29 | 2010-01-29 | フロントエンドシステム、フロントエンド処理方法 |
EP11736941A EP2530886A1 (en) | 2010-01-29 | 2011-01-21 | Front end system and front end processing method |
US13/575,919 US8863269B2 (en) | 2010-01-29 | 2011-01-21 | Frontend system and frontend processing method |
CN201180007734.7A CN102763382B (zh) | 2010-01-29 | 2011-01-21 | 前端系统和前端处理方法 |
PCT/JP2011/051135 WO2011093228A1 (ja) | 2010-01-29 | 2011-01-21 | フロントエンドシステム、フロントエンド処理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010017960A JP5382451B2 (ja) | 2010-01-29 | 2010-01-29 | フロントエンドシステム、フロントエンド処理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011160041A JP2011160041A (ja) | 2011-08-18 |
JP5382451B2 true JP5382451B2 (ja) | 2014-01-08 |
Family
ID=44319216
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010017960A Expired - Fee Related JP5382451B2 (ja) | 2010-01-29 | 2010-01-29 | フロントエンドシステム、フロントエンド処理方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8863269B2 (ja) |
EP (1) | EP2530886A1 (ja) |
JP (1) | JP5382451B2 (ja) |
CN (1) | CN102763382B (ja) |
WO (1) | WO2011093228A1 (ja) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8996614B2 (en) * | 2011-02-09 | 2015-03-31 | Citrix Systems, Inc. | Systems and methods for nTier cache redirection |
EP3605969B1 (en) * | 2011-08-17 | 2021-05-26 | Nicira Inc. | Distributed logical l3 routing |
WO2013047705A1 (ja) | 2011-09-27 | 2013-04-04 | 日本電気株式会社 | ネットワークシステム、フロントエンド装置、制御メッセージ送信レート低減方法 |
US10454805B2 (en) | 2012-03-28 | 2019-10-22 | Nec Corporation | Communication system, communication apparatus, control apparatus, communication apparatus control method and program |
US9515926B2 (en) | 2012-03-28 | 2016-12-06 | Nec Corporation | Communication system, upper layer switch, control apparatus, switch control method, and program |
US9178715B2 (en) | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
CN103051557B (zh) * | 2012-12-27 | 2016-07-06 | 华为技术有限公司 | 数据流处理方法及系统、控制器、交换设备 |
WO2014107860A1 (zh) * | 2013-01-10 | 2014-07-17 | 北京华为数字技术有限公司 | 报文处理方法、装置及系统 |
CN104348819A (zh) * | 2013-08-07 | 2015-02-11 | 上海宽带技术及应用工程研究中心 | 一种软件定义网络中的防火墙系统及其实现方法 |
CN104639504B (zh) * | 2013-11-12 | 2018-09-21 | 华为技术有限公司 | 网络协同防御方法、装置和系统 |
CN104734988B (zh) * | 2013-12-23 | 2018-10-30 | 杭州华为数字技术有限公司 | 软件定义网络中路由控制的方法和开放流控制器 |
WO2016082167A1 (zh) * | 2014-11-28 | 2016-06-02 | 华为技术有限公司 | 业务处理装置及方法 |
WO2016086955A1 (en) * | 2014-12-01 | 2016-06-09 | Nokia Solutions And Networks Oy | Methods and computing devices to regulate packets in a software defined network |
US10880198B2 (en) * | 2015-05-08 | 2020-12-29 | Qualcomm Incorporated | Aggregating targeted and exploration queries |
WO2017000097A1 (zh) * | 2015-06-27 | 2017-01-05 | 华为技术有限公司 | 一种数据转发的方法、装置和系统 |
JP6503988B2 (ja) * | 2015-09-02 | 2019-04-24 | 富士通株式会社 | セッション制御方法およびセッション制御プログラム |
NO20160593A1 (en) | 2016-04-12 | 2017-10-13 | Pexip AS | Improvements in multimedia conferencing |
US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
US10581962B2 (en) * | 2017-11-01 | 2020-03-03 | Alibaba Group Holding Limited | Direct communication between physical server and storage service |
JP6977621B2 (ja) | 2018-03-02 | 2021-12-08 | 日本電信電話株式会社 | 制御装置、及び制御方法 |
CN108989352B (zh) * | 2018-09-03 | 2022-11-11 | 平安科技(深圳)有限公司 | 防火墙实现方法、装置、计算机设备及存储介质 |
CN110661904B (zh) * | 2019-10-25 | 2022-06-14 | 浪潮云信息技术股份公司 | 一种实现源网络地址转换网关水平扩展的方法 |
CN110868278B (zh) * | 2019-11-15 | 2022-07-08 | 上海电科智能系统股份有限公司 | 一种轨道交通综合监控系统通信前置机双机冗余的方法 |
CN111901192B (zh) * | 2020-07-15 | 2023-09-12 | 腾讯科技(深圳)有限公司 | 一种页面访问数据的统计方法及装置 |
US11831605B2 (en) * | 2021-03-29 | 2023-11-28 | Nokia Solutions And Networks Oy | Router firewall |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3963690B2 (ja) * | 2001-03-27 | 2007-08-22 | 富士通株式会社 | パケット中継処理装置 |
JP4365397B2 (ja) * | 2001-03-27 | 2009-11-18 | 富士通株式会社 | パケット中継処理装置 |
US7689710B2 (en) * | 2001-06-12 | 2010-03-30 | Hewlett-Packard Development Company, L.P. | Method and system for a front-end modular transmission control protocol (TCP) handoff design in a streams based transmission control protocol/internet protocol (TCP/IP) implementation |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7958199B2 (en) * | 2001-11-02 | 2011-06-07 | Oracle America, Inc. | Switching systems and methods for storage management in digital networks |
JP2007150641A (ja) * | 2005-11-28 | 2007-06-14 | Hitachi Ltd | パケット通信装置及びネットワークシステム |
JP5315823B2 (ja) | 2008-07-11 | 2013-10-16 | 岩崎電気株式会社 | 紫外線照射器 |
-
2010
- 2010-01-29 JP JP2010017960A patent/JP5382451B2/ja not_active Expired - Fee Related
-
2011
- 2011-01-21 EP EP11736941A patent/EP2530886A1/en not_active Withdrawn
- 2011-01-21 WO PCT/JP2011/051135 patent/WO2011093228A1/ja active Application Filing
- 2011-01-21 US US13/575,919 patent/US8863269B2/en not_active Expired - Fee Related
- 2011-01-21 CN CN201180007734.7A patent/CN102763382B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
WO2011093228A1 (ja) | 2011-08-04 |
US8863269B2 (en) | 2014-10-14 |
JP2011160041A (ja) | 2011-08-18 |
CN102763382B (zh) | 2015-09-02 |
US20130042317A1 (en) | 2013-02-14 |
EP2530886A1 (en) | 2012-12-05 |
CN102763382A (zh) | 2012-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5382451B2 (ja) | フロントエンドシステム、フロントエンド処理方法 | |
US10084751B2 (en) | Load balancing among a cluster of firewall security devices | |
US10200264B2 (en) | Link status monitoring based on packet loss detection | |
US12040968B2 (en) | Flow modification including shared context | |
US9288183B2 (en) | Load balancing among a cluster of firewall security devices | |
EP1624644B1 (en) | Privileged network routing | |
JP5880560B2 (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
KR20160134790A (ko) | 강화된 흐름 라우팅, 확장성 및 보안성을 가진 자율 시스템들 내에서 그리고 이 자율 시스템들 사이에서 트래픽의 소프트웨어 정의 라우팅을 위한 시스템 및 방법 | |
JP6248929B2 (ja) | 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム | |
JP5858141B2 (ja) | 制御装置、通信装置、通信システム、通信方法及びプログラム | |
CN104205749B (zh) | 一种通信系统、上层交换机、控制装置及交换机控制方法 | |
WO2016108140A1 (en) | Ccn fragmentation gateway | |
WO2013039083A1 (ja) | 通信システム、制御装置および通信方法 | |
US20180343196A1 (en) | Packet Redirecting Router | |
EP2916497A1 (en) | Communication system, path information exchange device, communication node, transfer method for path information and program | |
WO2012081721A1 (ja) | 通信システム、ノード、パケット転送方法およびプログラム | |
JP5966488B2 (ja) | ネットワークシステム、スイッチ、及び通信遅延短縮方法 | |
EP3373556A1 (en) | Method to be implemented at a network element for managing instances of network functions, and corresponding network element | |
JP2017182138A (ja) | 負荷分散システム | |
KR101538667B1 (ko) | 네트워크 시스템 및 네트워크 제어 방법 | |
US9531716B1 (en) | Service enabled network | |
WO2017138851A1 (en) | Methods and devices for providing a secure end-to-end communication | |
KR20030018018A (ko) | 패킷 컨트롤 시스템과 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120605 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130522 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130719 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130905 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130918 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |