JP5610247B2 - ネットワークシステム、及びポリシー経路設定方法 - Google Patents
ネットワークシステム、及びポリシー経路設定方法 Download PDFInfo
- Publication number
- JP5610247B2 JP5610247B2 JP2013505831A JP2013505831A JP5610247B2 JP 5610247 B2 JP5610247 B2 JP 5610247B2 JP 2013505831 A JP2013505831 A JP 2013505831A JP 2013505831 A JP2013505831 A JP 2013505831A JP 5610247 B2 JP5610247 B2 JP 5610247B2
- Authority
- JP
- Japan
- Prior art keywords
- switch
- virtual
- policy
- network
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/036—Updating the topology between route computation elements, e.g. between OpenFlow controllers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークシステムに関し、特に仮想ネットワークにおけるポリシー経路設定方法に関する。
データセンター等の大規模で共用利用されるネットワーク環境においては、ネットワークの仮想化が注目されている。システム構成の変更に対して、ネットワーク機器の接続変更を行ってシステムを構築するのではなく、物理スイッチを仮想化管理しておき、システム構成変更に応じて、物理構成は変更せずに、仮想的なネットワークを柔軟に構成できるようになることが期待される。
関連する技術として、特許文献1(特開2007−213465号公報)には、計算機の制御方法、プログラム及び仮想計算機システムが開示されている。この関連技術では、計算機は、制御プログラムによって複数の論理区画が構築されている。複数の論理区画それぞれに設定された仮想インターフェース(interface(I/F))は、物理インターフェースを共有する。記憶部には、物理インターフェースと仮想インターフェースとの対応関係を示す管理情報が格納されている。制御部は、前記プログラムを実行する。これにより、仮想インターフェースによって受信された外部装置への通信データを取得し、管理情報を参照して、外部装置への通信に使用する物理インターフェースを選択する。通信経路に障害が発生した場合は、物理インターフェースと仮想インターフェースとの対応関係を変更する。
また、特許文献2(特開2010−233126号公報)には、経路選択方法及び経路選択システム並びにそれに用いるルータが開示されている。この経路選択方法では、複数ドメインを跨って仮想ネットワークのオーバーレイネットワークを形成するドメインの端末から他のドメインの端末への経路選択を行う。具体的には、複数のドメインの各々におけるルータにおいて、それぞれ形成された仮想ノードを用いてオーバーレイネットワークを形成する。オーバーレイネットワーク上において、あるドメインのエッジルータ(第一のルータ)から他のドメインのエッジルータ(第二のルータ)までトンネル接続をする。第二のルータにおいて、トンネルを経由して当該トンネルのトラフィック状態を計測して第一のルータへ通知する。第一のルータにおいて、この計測結果と複数ドメインからなるアンダーレイネットワークにより計測されるトラフィック状態とを用いて経路選択を行う。アンダーレイネットワークによる計測結果である、BGP(Broader Gateway Protocol)と称されるプロトコルで決定された経路のトラフィック状態(パラメータである利用帯域、遅延、パケットロス率)と、複数オーバーレイネットワーク上のトンネル(仮想リンク)経由で制御された経路のトラフィック状態とを、管理テーブルで管理する。各経路のトラフィック状態の管理テーブルによって、アンダーレイネットワークのBGPで選択されている経路が最適な経路かどうかを判断する。最適な経路ではない場合、そのプレフィックスへのトラフィック状態管理テーブルの中から、最適な経路を選択する。
[CU分離型ネットワークシステムの説明]
なお、ネットワークシステムの制御方式の1つとして、外部の制御装置(コントロールプレーン)からノード装置(ユーザプレーン)を制御するCU(C:コントロールプレーン/U:ユーザプレーン)分離型ネットワークシステムが提案されている。
なお、ネットワークシステムの制御方式の1つとして、外部の制御装置(コントロールプレーン)からノード装置(ユーザプレーン)を制御するCU(C:コントロールプレーン/U:ユーザプレーン)分離型ネットワークシステムが提案されている。
CU分離型ネットワークシステムの一例として、コントローラからスイッチを制御してネットワークシステムの経路制御を行うオープンフロー(OpenFlow)技術を利用したオープンフローネットワークシステムが挙げられる。オープンフロー技術の詳細については、非特許文献1、2に記載されている。なお、オープンフローネットワークシステムは一例に過ぎない。
[オープンフローネットワークシステムの説明]
オープンフローネットワークシステムでは、OFC(OpenFlow Controller)等のコントローラが、OFS(OpenFlow Switch)等のスイッチのフローテーブルを操作することによりスイッチの挙動を制御する。コントローラとスイッチの間は、コントローラがオープンフロープロトコルに準拠した制御メッセージを用いてスイッチを制御するためのセキュアチャネル(Secure Channel)により接続されている。
オープンフローネットワークシステムでは、OFC(OpenFlow Controller)等のコントローラが、OFS(OpenFlow Switch)等のスイッチのフローテーブルを操作することによりスイッチの挙動を制御する。コントローラとスイッチの間は、コントローラがオープンフロープロトコルに準拠した制御メッセージを用いてスイッチを制御するためのセキュアチャネル(Secure Channel)により接続されている。
オープンフローネットワークシステムにおけるスイッチとは、オープンフローネットワークを形成し、コントローラの制御下にあるエッジスイッチ及びコアスイッチのことである。オープンフローネットワークにおける入力側エッジスイッチでのパケット(packet)の受信から出力側エッジスイッチでの送信までのパケットの一連の流れをフロー(Flow)と呼ぶ。
パケットは、フレーム(frame)と読み替えても良い。パケットとフレームの違いは、プロトコルが扱うデータの単位(PDU:Protocol Data Unit)の違いに過ぎない。パケットは、「TCP/IP」(Transmission Control Protocol/Internet Protocol)のPDUである。一方、フレームは、「Ethernet」(登録商標)のPDUである。
フローテーブルとは、所定のマッチ条件(ルール)に適合するパケット(通信データ)に対して行うべき所定の動作(アクション)を定義したフローエントリ(Flow entry)が登録されたテーブルである。
フローエントリのルールは、パケットの各プロトコル階層のヘッダ領域に含まれる宛先アドレス(Destination Address)、送信元アドレス(Source Address)、宛先ポート(Destination Port)、送信元ポート(Source Port)のいずれか又は全てを用いた様々な組み合わせにより定義され、区別可能である。なお、上記のアドレスには、MACアドレス(Media Access Control Address)やIPアドレス(Internet Protocol Address)を含むものとする。また、上記に加えて、入口ポート(Ingress Port)の情報も、フローエントリのルールとして使用可能である。また、フローエントリのルールとして、フローを示すパケットのヘッダ領域の値の一部(又は全部)を、正規表現やワイルドカード「*」等で表現したものを設定することもできる。
フローエントリのアクションは、「特定のポートに出力する」、「廃棄する」、「ヘッダを書き換える」といった動作を示す。例えば、スイッチは、フローエントリのアクションに出力ポートの識別情報(出力ポート番号等)が示されていれば、これに該当するポートにパケットを出力し、出力ポートの識別情報が示されていなければ、パケットを破棄する。或いは、スイッチは、フローエントリのアクションにヘッダ情報が示されていれば、当該ヘッダ情報に基づいてパケットのヘッダを書き換える。
オープンフローネットワークシステムにおけるスイッチは、フローエントリのルールに適合するパケット群(パケット系列)に対して、フローエントリのアクションを実行する。
オープンフローネットワークシステムにおいて、スイッチは、受信パケットに該当するフローエントリがあった場合には、フローエントリに記載されたアクションに従って受信パケットの処理を行い、該当フローエントリがない場合には、オープンフロープロトコルにパケットの受信を通知する。
オープンフローネットワークシステムにおいて、物理ノードからのパケット受信をトリガ(trigger)として、仮想ネットワークの動作を解決して経路制御を実現する場合、入力パケット数が増大した時に、コントローラが高負荷になり、結果としてネットワークの動作が不安定になるという課題がある。
また、ファイアウォールやセキュリティ装置のようなネットワークの中間にステルス的に配備されてトラヒック(traffic:ネットワーク上を移動するデジタルデータ)を監視、検査する装置(中間装置)がある。ここでは、このような中間装置をミドルボックス(Middlebox)と呼ぶ。ミドルボックスは、高機能なために一般的には、高価であり、データセンターのような環境では、より多くのサービスに利用して利用効率を向上させることが望まれる。ネットワークを仮想化することで、物理的な接続関係とは、独立にネットワークを構成することができる。そこで、仮想ネットワークにおいて、ミドルボックスを柔軟に利用可能とするポリシー経路制御を行いつつ、コントローラが高負荷になるという問題を解決する方法が望まれる。
Nick McKeown他7名、"OpenFlow: Enabling Innovation in Camp us Networks"、[online]、[平成22年10月22日検索]、<URL:http://www.openflowswitch.org//documents/openflow−wp−latest.pdf>
OpenFlow Switch Specification, Version 1.0.0 <URL:http://www.openflowswitch.org/documents/openflow−spec−v1.0.0.pdf>
オープンフローネットワークシステムにおけるスイッチを使った仮想ネットワーク構成を実現しようとした場合、新規フローが大量に発生した時に、或いは、複数のスイッチから同時期に新規フローの問い合わせがあった時に、コントローラの処理が高負荷になり不安定になる可能性があった。
また、スイッチコントローラの負荷を低減する手法において、仮想ネットワーク内のポリシー経路制御を実現することが求められていた。
本発明の目的は、新規フロー発生時にコントローラにパケットを転送することなく、仮想ネットワーク構成内で定義した任意のポリシー経路制御を実現するネットワークシステムを提供することである。
本発明に係るネットワークシステムは、スイッチと、所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、該スイッチのフローテーブルに設定するコントローラとを含む。該コントローラは、仮想ノードにより形成された仮想ネットワークの構成を管理する機能部と、該仮想ネットワークの構成を基に、該所定のパケットの転送経路を決定し、該転送経路に基づくフローエントリを、該スイッチのフローテーブルに予め設定する機能部とを具備する。
本発明に係るコントローラは、仮想ノードにより形成された仮想ネットワークの構成を管理する機能部と、該仮想ネットワークの構成を基に、所定のパケットの転送経路を決定する機能部と、該転送経路に基づいて、該所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、該スイッチのフローテーブルに予め設定する機能部とを具備する。
本発明に係るポリシー経路設定方法は、計算機により実施されるポリシー経路設定方法であって、仮想ノードにより形成された仮想ネットワークの構成を管理することと、該仮想ネットワークの構成を基に、所定のパケットの転送経路を決定することと、該転送経路に基づいて、該所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、該スイッチのフローテーブルに予め設定することとを含む。
本発明に係るプログラムは、仮想ノードにより形成された仮想ネットワークの構成を管理するステップと、該仮想ネットワークの構成を基に、所定のパケットの転送経路を決定するステップと、該転送経路に基づいて、該所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、該スイッチのフローテーブルに予め設定するステップとを計算機に実行させるためのプログラムである。なお、本発明に係るプログラムは、記憶装置や記憶媒体に格納することが可能である。
物理ネットワーク構成に依存しない仮想ネットワークにおいて、ミドルボックスを任意に経由する柔軟な経路制御を、安定したネットワーク動作のもとで実現することが可能になる。
<実施形態>
以下に、本発明の実施形態について添付図面を参照して説明する。
以下に、本発明の実施形態について添付図面を参照して説明する。
本発明は、CU分離型ネットワークシステムを対象としている。ここでは、CU分離型ネットワークシステムの1つであるオープンフローネットワークシステムを例に説明する。但し、実際には、オープンフローネットワークシステムに限定されない。
[2つのフローエントリ登録方式]
オープンフローにおいて、スイッチのフローテーブルにフローエントリを登録する方式は、大きく「Proactive型」と、「Reactive型」の2つの方式に分けられる。
オープンフローにおいて、スイッチのフローテーブルにフローエントリを登録する方式は、大きく「Proactive型」と、「Reactive型」の2つの方式に分けられる。
「Proactive型」では、コントローラが「事前に(データ通信が始まる前に)」所定のパケット群(フロー)の経路(パス)を計算し、スイッチのフローテーブルにフローエントリを登録する。すなわち、ここでいう「Proactive型」とは、コントローラが自発的に行う「事前のフローエントリ登録」を指す。
「Reactive型」では、コントローラが「スイッチから1stパケット(該当フローエントリがない新規のパケット)についての問い合わせを受けた際に」当該パケット群(フロー)の経路を計算し、スイッチのフローテーブルにフローエントリを登録する。すなわち、ここでいう「Reactive型」とは、実際のデータ通信時に、コントローラがスイッチからの問い合わせに応じて行う「リアルタイムのフローエントリ登録」を指す。
オープンフローネットワークでは、基本的に、コントローラがスイッチから1stパケットについての問い合わせを受けた際に当該受信パケットに関するフローエントリを登録する「Reactive型」が中心となっている。
しかし、実際のハードウェア(HW)では、フローテーブルの処理頻度を軽減し性能の問題を解決するためには、「Proactive型」が好適であると考えられる。例えば、大量の1stパケットがコントローラに到着しても処理し切れるようにするためには、「Proactive型」の方が好適であると考えられる。但し、実際には、完全な「Proactive型」にするとフローエントリ数が膨大になると考えられるため、一部を「Reactive型」にすることにより、フローエントリ数の制約から逃れるといったことも考えられる。
また、「Proactive型」を用いれば、通信開始前にフローを定義できるため、Nimda等のウィルスによる大量フロー発生問題や、不明なパケットによる不正アクセス等が回避可能になると考えられる。
本発明は、オープンフローネットワークにおいて、「Proactive型」を実現するための具体的な方式の1つである。
[全体構成]
図1に示すように、本発明に係るネットワークシステムは、コントローラ10と、スイッチ20(20−i、i=1〜n:nは台数)と、ルータ30と、中間装置(ミドルボックス)40と、端末50(50−j、j=1〜m:mは台数)とを含む。
図1に示すように、本発明に係るネットワークシステムは、コントローラ10と、スイッチ20(20−i、i=1〜n:nは台数)と、ルータ30と、中間装置(ミドルボックス)40と、端末50(50−j、j=1〜m:mは台数)とを含む。
コントローラ10は、ネットワーク接続状態を示すトポロジ情報等に基づいて経路を計算し、当該経路に関連するスイッチのフローテーブルにフローエントリの登録を行う。
スイッチ20(20−i、i=1〜n)の各々は、受信したパケットを、自身のフローテーブルに登録されたフローエントリに従って転送する。スイッチ20(20−i、i=1〜n)の各々は、ネットワークを介して接続されている。
ルータ30は、スイッチ20(20−i、i=1〜n)により形成された内側(内部)のネットワークと、外側(外部)のネットワークとを接続する。
中間装置40は、ファイアウォール、ロードバランサ(負荷分散装置)、帯域制御装置、セキュリティ監視制御装置等のネットワークの中間に挿入される装置全般を指す。
端末50(50−j、j=1〜m)は、ユーザが利用する入出力装置であり、パケットを生成し、スイッチ20(20−i、i=1〜n)のうち、入力側エッジスイッチ(Ingress)に該当するスイッチに送信する。
コントローラ10とスイッチ20(20−i、i=1〜n)は、セキュアチャネル(Secure Channel)で接続されている。また、ルータ30、中間装置40、及び端末50(50−j、j=1〜m)は、それぞれスイッチ20(20−i、i=1〜n)に接続されている。
[ハードウェアの例示]
以下に、本発明に係るネットワークシステムを実現するための具体的なハードウェアの例について説明する。
以下に、本発明に係るネットワークシステムを実現するための具体的なハードウェアの例について説明する。
コントローラ10及び端末50(50−j、j=1〜m)の例として、PC(パソコン)、アプライアンス(appliance)、シンクライアントサーバ、ワークステーション、メインフレーム、スーパーコンピュータ等の計算機を想定している。また、コントローラ10及び端末50(50−j、j=1〜m)は、計算機に搭載される拡張ボードや、物理マシン上に構築された仮想マシン(VM:Virtual Machine)でも良い。他にも、コントローラ10及び端末50(50−j、j=1〜m)の例として、携帯電話機、スマートフォン、スマートブック、カーナビ(カーナビゲーションシステム)、携帯型ゲーム機、家庭用ゲーム機、携帯型音楽プレーヤー、ハンディターミナル、ガジェット(電子機器)、双方向テレビ、デジタルチューナー、デジタルレコーダー、情報家電(information home appliance)、OA(Office Automation)機器、店頭端末・高機能コピー機、デジタルサイネージ(Digital Signage:電子看板)等が考えられる。なお、コントローラ10及び端末50(50−j、j=1〜m)は、車両や船舶、航空機等の移動体に搭載されていても良い。
スイッチ20(20−i、i=1〜n)、ルータ30、及び中間装置40の例として、ネットワークスイッチ(network switch)、ルータ(router)、プロキシ(proxy)、ゲートウェイ(gateway)、ファイアウォール(firewall)、ロードバランサ(load balancer:負荷分散装置)、帯域制御装置(packet shaper)、セキュリティ監視制御装置(SCADA:Supervisory Control And Data Acquisition)、ゲートキーパー(gatekeeper)、基地局(base station)、アクセスポイント(AP:Access Point)、通信衛星(CS:Communication Satellite)、或いは、複数の通信ポートを有する計算機等が考えられる。また、スイッチ20(20−i、i=1〜n)は、物理マシン上に構築された仮想マシン(VM)により実現される仮想スイッチでも良い。
コントローラ10、スイッチ20(20−i、i=1〜n)、ルータ30、中間装置40、及び端末50(50−j、j=1〜m)は、プログラムに基づいて駆動し所定の処理を実行するプロセッサと、当該プログラムや各種データを記憶するメモリと、ネットワークに接続するための通信用インターフェース(interface(I/F))によって実現される。
上記のプロセッサの例として、CPU(Central Processing Unit)、ネットワークプロセッサ(NP:Network Processor)、マイクロプロセッサ(microprocessor)、マイクロコントローラ(microcontroller)、或いは、専用の機能を有する半導体集積回路(LSI:Large Scale Integration)等が考えられる。
上記のメモリの例として、RAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)やフラッシュメモリ等の半導体記憶装置、HDD(Hard Disk Drive)やSSD(Solid State Drive)等の補助記憶装置、又は、DVD(Digital Versatile Disk)等のリムーバブルディスクや、SDメモリカード(Secure Digital memory card)等の記憶媒体(メディア)等が考えられる。
なお、上記のプロセッサ及び上記のメモリは、一体化していても良い。例えば、近年では、マイコン等の1チップ化が進んでいる。したがって、計算機等に搭載される1チップマイコンが、プロセッサ及びメモリを備えている事例が考えられる。
上記の通信用インターフェースの例として、ネットワーク通信に対応した基板(マザーボード、I/Oボード)やチップ等の半導体集積回路、NIC(Network Interface Card)等のネットワークアダプタや同様の拡張カード、アンテナ等の通信装置、接続口(コネクタ)等の通信ポート等が考えられる。
また、ネットワークの例として、インターネット、LAN(Local Area Network)、無線LAN(Wireless LAN)、WAN(Wide Area Network)、バックボーン(Backbone)、ケーブルテレビ(CATV)回線、固定電話網、携帯電話網、WiMAX(IEEE 802.16a)、3G(3rd Generation)、専用線(lease line)、IrDA(Infrared Data Association)、Bluetooth(登録商標)、シリアル通信回線、データバス等が考えられる。
但し、実際には、これらの例に限定されない。
[物理ネットワーク]
図1に示した物理ネットワーク(実ネットワーク)について説明する。
図1に示した物理ネットワーク(実ネットワーク)について説明する。
ここでは、スイッチの台数を「3台」、端末の台数を「2台」とした場合を例に説明する。但し、実際には、これらの例に限定されない。
ルータ30のインターフェース「e1」とスイッチ20−1のインターフェース「p11」が接続されている。
中間装置40のインターフェース「A1」とスイッチ20−1のインターフェース「p12」が接続されている。
中間装置40のインターフェース「A2」とスイッチ20−2のインターフェース「p13」が接続されている。
端末50−1のインターフェース「e2」とスイッチ20−2のインターフェース「p21」が接続されている。
端末50−2のインターフェース「e3」とスイッチ20−2のインターフェース「p22」が接続されている。
また、コントローラ10は、内部の構成管理部において、以下に説明する論理ネットワークの構成(仮想構成)を管理する。なお、この構成管理部は、上記のプロセッサと上記のメモリにより実現されるものとする。
[論理ネットワーク]
図1に示した論理ネットワーク(仮想ネットワーク)について説明する。
図1に示した論理ネットワーク(仮想ネットワーク)について説明する。
図1に示した論理ネットワークでは、ルータ、中間装置、端末がそれぞれ仮想ノードとして定義され、仮想ブリッジと接続されて、論理的な仮想ネットワークを構成している。
ここでは、論理ネットワークは、仮想ブリッジ「vBR」120と、ルータ「R」130と、中間装置「M1」140と、端末「S1」150−1と、端末「S2」150−2を含む。
論理ネットワークのインターフェース(仮想インターフェース)と物理ネットワークのインターフェース(物理インターフェース)は、論理ネットワーク設計時のコンフィグ設定により対応付けられる。
仮想インターフェースと物理インターフェースの対応関係について説明する。
ルータ「R」130の仮想インターフェース「ve1」は、スイッチ20−1のインターフェース「p11」に対応付けられる。
端末「S1」150−1の仮想インターフェース「ve2」は、スイッチ20−2のインターフェース「p21」に対応付けられる。
端末「S2」150−2の仮想インターフェース「ve3」は、スイッチ20−2のインターフェース「p22」に対応付けられる。
中間装置「M1」140の仮想インターフェース「VA1」は、スイッチ20−1のインターフェース「p12」に対応付けられる。
中間装置「M1」140の仮想インターフェース「VA2」は、スイッチ20−1のインターフェース「p13」に対応付けられる。
ここで、仮想ブリッジ「vBR」120の仮想インターフェース「vp1」は、中間装置「M1」140の仮想インターフェース「VA2」と、ルータ「R」130の仮想インターフェース「ve1」に接続されている。
ここで、仮想ブリッジ「vBR」120の仮想インターフェース「vp1」には、リダイレクトポリシー(リダイレクト型のポリシー)として、「ポリシー1」が定義されている。「ポリシー1」には、「条件1」と「条件2」が設定されている。
「条件1」は、送信パケット(出力パケット)を中間装置「M1」140宛に送信するというルールになっている。
「条件2」は、送信パケットを仮想ルータ「R」130宛に送信するというルールになっている。
すなわち、仮想ブリッジ「vBR」120は、送信パケットが「条件1」に合致した場合、中間装置「M1」140の仮想インターフェース「VA2」宛に送信する。
また、仮想ブリッジ「vBR」120は、送信パケットが「条件2」に合致した場合、ルータ「R」130の仮想インターフェース「ve1」宛に送信する。
更に、中間装置「M1」140の仮想インターフェース「VA1」は、ルータ「R」130の仮想インターフェース「ve1」に接続されている。
また、仮想ブリッジ「vBR」120の仮想インターフェース「vp2」と端末「S1」150−1の仮想インターフェース「ve2」が接続されている。
また、仮想ブリッジ「vBR」120の仮想インターフェース「vp3」と端末「S2」150−2の仮想インターフェース「ve3」が接続されている。
図1に示すネットワークにおいて、論理ネットワークで定義されている接続関係や、データの流れを守ったまま、物理ネットワークの接続設定に反映させるため、仮想構成のリダイレクトポリシーを物理ネットワークに反映させる。
[仮想構成のリダイレクトポリシー]
図1の論理ネットワークの動作(期待される動作)について説明する。
図1の論理ネットワークの動作(期待される動作)について説明する。
端末「S1」150−1、或いは、端末「S2」150−2から、ルータ「R」130の外側に向かって送信されるトラヒック(traffic)は、仮想ブリッジ「vBR」120に送信された後、仮想インターフェース「vp1」から出力される。
ここで、仮想インターフェース「vp1」に対して「ポリシー1」が適用され、「ポリシー1」の条件に従って「条件1」に合致する場合、トラヒックは、仮想インターフェース「vp1」から中間装置「M1」140へ転送される。
そして、中間装置「M1」140のトラヒック監視、制御、セキュリティ等の機能を適用された後に、ルータ「R」130に出力される。
一方、「条件2」に合致する場合、中間装置「M1」140に送信されずに、そのままルータ「R」130に送信される。
論理ネットワークの動作に従うように、スイッチの転送設定に落とし込むために、任意の端末「A」、端末「B」があると仮定した場合における、端末「A」→端末「B」の経路設定について物理展開することが必要である。
端末「A」、端末「B」は、サーバやクライアントPC等の計算機、セキュリティ装置やロードバランサ等の中間装置、ルータやレイヤ3スイッチ、レイヤ2スイッチ等の中継装置のように、オープンフローネットワークシステムにおけるスイッチのポートに接続される、オープンフローネットワークシステムにおけるスイッチ以外の物理的な装置を指す。
図1の論理ネットワークでは、ルータ「R」130、端末「S1」150−1、端末「S2」150−2が、端末「A」又は端末「B」となる。したがって、「R」→「S1」、「R」→「S2」、「S1」→「S2」、「S1」→「R」、「S2」→「S1」、「S2」→「R」が、任意の端末「A」と端末「B」との間の通信(端末「A」→端末「B」)に相当する。
例えば、図1に示す論理ネットワークにおいて、ルータ「R」130からのARP(Address Resolution Protocol)等のパケットを受信すると、ルータ「R」130のMACアドレスを知ることができ、また、端末「S1」150−1からARP等のパケットを受信すると、端末「S1」150−1のMACアドレスを知ることができる。
このとき、予め(事前に)「Proactive型」でルータ「R」130と端末「S1」150−1間にスイッチの転送設定ができれば、オープンフローネットワークシステムにおけるスイッチにおいて、フローの最初のパケットがコントローラ10に上がってきて(最初のパケットの問い合わせを受けて)、コントローラ10で経路を解決するという、「Reactive型」の受動的な動作を削減することができ、データ転送トラヒックが入力する前に能動的にスイッチ設定を行うことができる。
[ポリシー経路設定]
以上の目的のため、図2を参照し、端末「A」と端末「B」との間の通信(端末「A」→端末「B」)の経路設定の動作について説明する。
以上の目的のため、図2を参照し、端末「A」と端末「B」との間の通信(端末「A」→端末「B」)の経路設定の動作について説明する。
(1)ステップS101
まず、コントローラ10は、仮想ネットワークにおいて、端末「A」と端末「B」との間の通信(端末「A」→端末「B」)にリダイレクトポリシーがあるかどうかを判断する。
まず、コントローラ10は、仮想ネットワークにおいて、端末「A」と端末「B」との間の通信(端末「A」→端末「B」)にリダイレクトポリシーがあるかどうかを判断する。
(2)ステップS102
このとき、コントローラ10は、端末「A」と端末「B」との間の通信(端末「A」→端末「B」)にリダイレクトポリシーがない場合には、端末「A」から端末「B」に向かって、端末「B」の宛先にマッチ(適合)するフローエントリを設定することで、転送フローを事前に設定する。
このとき、コントローラ10は、端末「A」と端末「B」との間の通信(端末「A」→端末「B」)にリダイレクトポリシーがない場合には、端末「A」から端末「B」に向かって、端末「B」の宛先にマッチ(適合)するフローエントリを設定することで、転送フローを事前に設定する。
(3)ステップS103
また、コントローラ10は、端末「A」と端末「B」との間の通信(端末「A」→端末「B」)にリダイレクトポリシーがある場合には、リダイレクトポリシーが設定されている仮想インターフェースとリダイレクト先の仮想インターフェースについてチェック(確認)する。
また、コントローラ10は、端末「A」と端末「B」との間の通信(端末「A」→端末「B」)にリダイレクトポリシーがある場合には、リダイレクトポリシーが設定されている仮想インターフェースとリダイレクト先の仮想インターフェースについてチェック(確認)する。
(4)ステップS104
コントローラ10は、それらの仮想インターフェースが、端末やルータ、中間装置等の物理ポートにマッピングされているかどうかを判断する。すなわち、コントローラ10は、仮想ネットワーク上のポリシーが実際の物理スイッチのポートに対応するルールかどうか判定する。
コントローラ10は、それらの仮想インターフェースが、端末やルータ、中間装置等の物理ポートにマッピングされているかどうかを判断する。すなわち、コントローラ10は、仮想ネットワーク上のポリシーが実際の物理スイッチのポートに対応するルールかどうか判定する。
(5)ステップS105
コントローラ10は、それらの仮想インターフェースが両方とも物理ポートにマッピングされている場合(仮想ネットワーク上のポリシーが実際の物理スイッチのポートに対応するルールである場合)には、その2つの物理ポート間において、フローエントリの設定位置(ポリシー設定を行うインターフェース)を、入力側のインターフェースにマッピングされているスイッチポート(入力物理ポート)とし、リダイレクト先を出力側のインターフェースにマッピングされているスイッチポート(宛先物理ポート)として、フローエントリのマッチ条件をポリシーのマッチ条件(ポリシー条件)とする。すなわち、コントローラ10は、ポリシー設定を行うインターフェースを「入力物理ポート」、リダイレクト先のインターフェースを「宛先物理ポート」とし、マッチ条件を「ポリシー条件」とする。このとき、コントローラ10は、端末「A」、端末「B」のアドレスに関係なく、リダイレクトポリシーに対応するフローエントリをスイッチに設定することが可能である。
コントローラ10は、それらの仮想インターフェースが両方とも物理ポートにマッピングされている場合(仮想ネットワーク上のポリシーが実際の物理スイッチのポートに対応するルールである場合)には、その2つの物理ポート間において、フローエントリの設定位置(ポリシー設定を行うインターフェース)を、入力側のインターフェースにマッピングされているスイッチポート(入力物理ポート)とし、リダイレクト先を出力側のインターフェースにマッピングされているスイッチポート(宛先物理ポート)として、フローエントリのマッチ条件をポリシーのマッチ条件(ポリシー条件)とする。すなわち、コントローラ10は、ポリシー設定を行うインターフェースを「入力物理ポート」、リダイレクト先のインターフェースを「宛先物理ポート」とし、マッチ条件を「ポリシー条件」とする。このとき、コントローラ10は、端末「A」、端末「B」のアドレスに関係なく、リダイレクトポリシーに対応するフローエントリをスイッチに設定することが可能である。
(6)ステップS106
また、コントローラ10は、それらの仮想インターフェースのいずれか、若しくは、両者が仮想ポートにのみマッピングされている場合(仮想ネットワーク上のポリシーが実際の物理スイッチのポートに対応するルールでない場合)には、フロー設定が可能なように、物理情報を解決する。まず、コントローラ10は、仮想ネットワークにおいて、宛先が仮想ポートにマッピングされている場合には、その仮想ノードから端末「B」宛まで辿り、宛先となる物理ポートを得る。例えば、仮想ノードが仮想ブリッジ「vBR」120で、その先に端末「B」が接続されている場合には、端末「B」が接続されているポートが「宛先物理ポート」になる。このとき、コントローラ10は、仮想ネットワークを辿る際に、端末「A」、端末「B」のネットワークアドレス情報が必要になるため、ステーション検知(端末の検知)の際に、端末「A」又は端末「B」がARP等のパケットを送出した時にMACアドレスを学習し、そのMACアドレスを利用してリダイレクトポリシーに対応するフローエントリをスイッチに設定する。
また、コントローラ10は、それらの仮想インターフェースのいずれか、若しくは、両者が仮想ポートにのみマッピングされている場合(仮想ネットワーク上のポリシーが実際の物理スイッチのポートに対応するルールでない場合)には、フロー設定が可能なように、物理情報を解決する。まず、コントローラ10は、仮想ネットワークにおいて、宛先が仮想ポートにマッピングされている場合には、その仮想ノードから端末「B」宛まで辿り、宛先となる物理ポートを得る。例えば、仮想ノードが仮想ブリッジ「vBR」120で、その先に端末「B」が接続されている場合には、端末「B」が接続されているポートが「宛先物理ポート」になる。このとき、コントローラ10は、仮想ネットワークを辿る際に、端末「A」、端末「B」のネットワークアドレス情報が必要になるため、ステーション検知(端末の検知)の際に、端末「A」又は端末「B」がARP等のパケットを送出した時にMACアドレスを学習し、そのMACアドレスを利用してリダイレクトポリシーに対応するフローエントリをスイッチに設定する。
(7)ステップS107
次に、コントローラ10は、リダイレクト元の入力ポートが仮想ポートである場合には、入力物理ポートが得られるまで仮想ネットワークを辿る。例えば、コントローラ10は、端末「A」から中間装置「M1」140を経由し、仮想ブリッジ「vBR」120を経由して端末「B」に接続されている場合には、仮想ブリッジ「vBR」120から端末「A」に向かって辿り、中間装置「M1」140の物理ポートが得られたら、その物理ポートを「入力物理ポート」とする。
次に、コントローラ10は、リダイレクト元の入力ポートが仮想ポートである場合には、入力物理ポートが得られるまで仮想ネットワークを辿る。例えば、コントローラ10は、端末「A」から中間装置「M1」140を経由し、仮想ブリッジ「vBR」120を経由して端末「B」に接続されている場合には、仮想ブリッジ「vBR」120から端末「A」に向かって辿り、中間装置「M1」140の物理ポートが得られたら、その物理ポートを「入力物理ポート」とする。
(8)ステップS108
また、コントローラ10は、リダイレクト先がMACアドレスを持たない中間装置「M1」140の場合には、中間装置「M1」140の先に接続される端末「B」のアドレスが宛先アドレスになるため、仮想ネットワークを辿って「最終的な宛先MACアドレス」を取得する。
また、コントローラ10は、リダイレクト先がMACアドレスを持たない中間装置「M1」140の場合には、中間装置「M1」140の先に接続される端末「B」のアドレスが宛先アドレスになるため、仮想ネットワークを辿って「最終的な宛先MACアドレス」を取得する。
(9)ステップS109
コントローラ10は、フローエントリの設定位置を中間装置「M1」140の物理ポートとし、リダイレクト先を端末「B」が接続されているポートとして、フローエントリのマッチ条件をポリシーのマッチ条件と宛先アドレス条件とする。すなわち、コントローラ10は、ポリシー設定を行うインターフェースを「入力物理ポート」、リダイレクト先のインターフェースを「宛先物理ポート」とし、マッチ条件を「ポリシー条件+宛先アドレス条件」とする。
コントローラ10は、フローエントリの設定位置を中間装置「M1」140の物理ポートとし、リダイレクト先を端末「B」が接続されているポートとして、フローエントリのマッチ条件をポリシーのマッチ条件と宛先アドレス条件とする。すなわち、コントローラ10は、ポリシー設定を行うインターフェースを「入力物理ポート」、リダイレクト先のインターフェースを「宛先物理ポート」とし、マッチ条件を「ポリシー条件+宛先アドレス条件」とする。
以上のように、コントローラ10は、ポリシーを設定するスイッチのポート位置、リダイレクト先、フローエントリのマッチ条件となる宛先アドレスを求めることで、仮想ネットワークで定義されたリダイレクト処理を、該当するスイッチ20(20−i、i=1〜n)の各々のフローエントリに設定することができる。
これにより、フロースイッチのパケット受信ではなく、端末の検知(ARP等)や管理システムからの端末の登録等をトリガ(trigger)にして、仮想ネットワークにて定義された、中間装置へとリダイレクトさせるようなポリシーを事前に設定することができる。
[フローエントリの設定の例]
次に、図1に示した構成例におけるフローエントリの設定について具体的に説明する。
次に、図1に示した構成例におけるフローエントリの設定について具体的に説明する。
ここでは、図1において、端末「S1」150−1からルータ「R」130宛のフロー設定をする場合を考える。
この経路上では、「ポリシー1」が適用されており、「条件1」の場合には中間装置「M1」140を経由し、「条件2」の場合には中間装置「M1」140を経由せずに、ルータ「R」130に送信される。条件1としては、例えばTCP(Transmission Control Protocol)通信で、TCPの宛先ポート番号が80番(HTTP)の時、条件2としては、条件1以外の場合、というように、パケットヘッダフィールドで識別できる条件が定義できる。
「ポリシー1」が適用されているインターフェースは、仮想ブリッジ「vBR」120の仮想インターフェース「vp1」であり、リダイレクト先のインターフェースは、中間装置「M1」140の仮想インターフェース「VA2」と、ルータ「R」130の出力ポート「ve1」である。
これらは、いずれも仮想ポートから物理ポートへの転送になる。
[中間装置「M1」を経由する場合]
まず、コントローラ10は、中間装置「M1」140を経由するポリシーについて求める。
まず、コントローラ10は、中間装置「M1」140を経由するポリシーについて求める。
図2のステップS106において、宛先ポートとして物理ポートを得る。中間装置「M1」140の仮想インターフェース「VA2」に対応する物理ポートは、中間装置40のインターフェース「A2」であるので、リダイレクト先のインターフェースは、中間装置40のインターフェース「A2」に接続されているスイッチ20−1のインターフェース「p13」になる。
また、ポリシーを設定するポートは、仮想ブリッジ「vBR」120を介して端末「S1」150−1まで辿ると、端末「S1」150−1の仮想インターフェース「ve2」である。端末「S1」150−1の仮想インターフェース「ve2」に対応する物理ポートは、端末50−1のインターフェース「e2」であるので、ポリシー設定を行うインターフェースは、端末50−1のインターフェース「e2」に接続されているスイッチ20−2のインターフェース「p21」になる。
更に、ルータ「R」130の出力ポート「ve1」に対応する物理ポートは、ルータ30のインターフェース「e1」であるので、この経路での宛先は、ルータ30のアドレス(「Mr」と記載)になる。
そこで、スイッチ20−2のインターフェース「p21」において、マッチ条件が「条件1」、宛先が「Mr」、リダイレクト先がインターフェース「p13」となるフローエントリを設定すれば良い。
なお、実際には、スイッチ20−2のインターフェース「p21」からスイッチ20−1のインターフェース「p13」までは、多段のスイッチ構成になっているため、各スイッチのフロー設定には自由度がある。
すなわち、宛先が「Mr」の場合にスイッチ20−3経由でスイッチ20−1に転送するフローエントリを設定し、スイッチ20−3からスイッチ20−1へ入力するポートにおいて、ポリシー1が「条件1」、宛先が「Mr」という条件で、インターフェース「p13」ポートへ転送するフローエントリを設定しても良い。
更に、中間装置からルータの経路については、リンクの両端が物理ポートにマッピングされるので、入力インターフェース「p12」から出力インターフェース「p11」となるフローエントリを設定する。
[中間装置「M1」を経由しない場合]
次に、「条件2」で、仮想ブリッジ「vBR」120の仮想インターフェース「vp1」から、ルータ「R」130の出力ポート「ve1」へ転送される場合の設定について説明する。
次に、「条件2」で、仮想ブリッジ「vBR」120の仮想インターフェース「vp1」から、ルータ「R」130の出力ポート「ve1」へ転送される場合の設定について説明する。
ルータ「R」130の出力ポート「ve1」に対応する物理ポートは、ルータ30のインターフェース「e1」であるので、リダイレクト先のインターフェースは、ルータ30のインターフェース「e1」に接続されているスイッチ20−1のインターフェース「p11」になる。
スイッチ20−1のインターフェース「p11」に対応する仮想インターフェースは、仮想ブリッジ「vBR」120の仮想インターフェース「vp1」であるので、仮想ブリッジ「vBR」120の仮想インターフェース「vp1」から論理ネットワークを辿った入力側の物理ポートは、端末「S1」150−1が接続されているインターフェース「p21」になる。
また、ルータ「R」130の出力ポート「ve1」に対応する物理ポートは、ルータ30のインターフェース「e1」であるので、この経路での宛先は、ルータ30のアドレスである「Mr」になる。
そこで、スイッチ20−2のインターフェース「p21」において、ポリシー1が「条件2」、宛先が「Mr」、リダイレクト先がインターフェース「p11」となるフローエントリを設定すれば良い。
これについても、先に説明したように、スイッチ20−2、スイッチ20−3、スイッチ20−1の各々について、フローエントリをどのように設定するかは自由度がある。
[コントローラの構成]
図3を参照して、コントローラ10の構成例について説明する。
図3を参照して、コントローラ10の構成例について説明する。
コントローラ10は、構成管理部11と、経路決定部12と、フローテーブル設定部13を備える。
構成管理部11は、仮想ノードにより形成された仮想ネットワークの構成及びリダイレクトポリシーを管理する。経路決定部12は、仮想ネットワークの構成及びリダイレクトポリシーを基に、所定のパケットの転送経路を決定する。フローテーブル設定部13は、転送経路に基づいて、所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、転送経路上のスイッチのフローテーブルに予め設定し、仮想ネットワークのリダイレクトポリシーを物理ネットワークに反映させる。
なお、経路決定部12は、リダイレクトポリシーがスイッチの物理インターフェースに対応するルールかどうか判定する。このとき、リダイレクトポリシーがスイッチのポートに対応するルールである場合、フローテーブル設定部13は、転送経路上のスイッチのフローテーブルに、リダイレクトポリシーに対応するフローエントリを設定する。反対に、リダイレクトポリシーがスイッチのポートに対応するルールでない場合、経路決定部12は、端末の検知時に取得した端末の情報を利用してスイッチのポートに対応するルールを解決する。フローテーブル設定部13は、転送経路上のスイッチのフローテーブルに、リダイレクトポリシーに対応するフローエントリを設定する。
また、経路決定部12は、仮想ノードの仮想インターフェース間のリダイレクトポリシーと、スイッチの物理インターフェースに関連付けられた仮想インターフェースの情報とを基に、仮想ノードの仮想インターフェースの転送先に関連付けられる物理インターフェースを特定する。フローテーブル設定部13は、スイッチ内のポリシーフィルタとして、スイッチの物理インターフェースにおける動作が定義されたフローエントリを、スイッチのフローテーブルに設定する。
[本発明の特徴]
以上のように、本発明では、仮想ネットワークの構成情報において、物理スイッチに関連付けられた仮想インターフェースと、仮想ノード上でのみ定義される仮想インターフェースの間にリダイレクトされるポリシー経路制御に関して、仮想インターフェースの転送先に関連付けられる物理インターフェースを特定して、物理スイッチ内のポリシーフィルタとしてスイッチ動作を設定することで、新規フロー発生時にコントローラにパケットを転送することなく、仮想ネットワーク構成内で定義した任意のポリシー経路制御を実現する。
以上のように、本発明では、仮想ネットワークの構成情報において、物理スイッチに関連付けられた仮想インターフェースと、仮想ノード上でのみ定義される仮想インターフェースの間にリダイレクトされるポリシー経路制御に関して、仮想インターフェースの転送先に関連付けられる物理インターフェースを特定して、物理スイッチ内のポリシーフィルタとしてスイッチ動作を設定することで、新規フロー発生時にコントローラにパケットを転送することなく、仮想ネットワーク構成内で定義した任意のポリシー経路制御を実現する。
また、本発明では、仮想ネットワークにおいてポリシーに基づいてリダイレクト転送する処理において、仮想ネットワーク上のポリシーが実際の物理スイッチのポートに対応するルールかどうか判定し、物理スイッチのポートに対応するルールである場合、端末の情報を利用せずにポリシーに対応する転送ルールを静的に解決し、ポリシーに対応するフローエントリをフローテーブルに設定する。また、物理スイッチのポートに対応するルールでない場合、端末の検知を契機として、端末の情報を利用して転送ルールを動的に解決すし、ポリシーに対応するフローエントリをフローテーブルに設定する。
[効果の説明]
本発明により、物理ネットワーク構成に依存しない仮想ネットワークにおいて、ミドルボックス(ファイアウォールやセキュリティ機能等の中間装置)を任意に経由する柔軟な経路制御を、安定したネットワーク動作の下で実現することが可能になる。
本発明により、物理ネットワーク構成に依存しない仮想ネットワークにおいて、ミドルボックス(ファイアウォールやセキュリティ機能等の中間装置)を任意に経由する柔軟な経路制御を、安定したネットワーク動作の下で実現することが可能になる。
そのため、高価なミドルボックスを仮想化環境において柔軟に利用することができ、マルチテナント環境での利用効率向上が可能になる。
<備考>
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
なお、本出願は、日本出願番号2011−060408に基づく優先権を主張するものであり、日本出願番号2011−060408における開示内容は引用により本出願に組み込まれる。
Claims (10)
- 端末と、
スイッチと、
所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、前記スイッチのフローテーブルに設定するコントローラと
を含み、
前記コントローラは、
仮想ノードにより形成された仮想ネットワークの構成を管理する手段と、
前記仮想ネットワークの構成、前記端末の検知時に取得した当該端末の情報、及び、前記仮想ネットワークに設定されたリダイレクトポリシーに基づいて、前記所定のパケットの転送経路を決定し、前記転送経路に基づくフローエントリを、前記スイッチのフローテーブルに予め設定し、前記仮想ネットワークのリダイレクトポリシーを物理ネットワークに反映させる手段と
を具備する
ネットワークシステム。 - 請求項1に記載のネットワークシステムであって、
前記コントローラは、
前記リダイレクトポリシーが前記スイッチの物理インターフェースに対応するルールかどうか判定する手段と、
前記リダイレクトポリシーが前記スイッチのポートに対応するルールである場合、前記スイッチのフローテーブルに、前記リダイレクトポリシーに対応するフローエントリを設定する手段と、
前記リダイレクトポリシーが前記スイッチのポートに対応するルールでない場合、前記端末の検知時に取得した前記端末の情報を利用して前記スイッチのポートに対応するルールを解決し、前記スイッチのフローテーブルに、前記リダイレクトポリシーに対応するフローエントリを設定する手段と
を更に具備する
ネットワークシステム。 - 請求項2に記載のネットワークシステムであって、
前記コントローラは、
前記仮想ノードの仮想インターフェース間のリダイレクトポリシーと、前記スイッチの物理インターフェースに関連付けられた仮想インターフェースの情報とを基に、前記仮想ノードの仮想インターフェースの転送先に関連付けられる物理インターフェースを特定する手段と、
前記スイッチ内のポリシーフィルタとして、前記スイッチの物理インターフェースにおける動作が定義されたフローエントリを、前記スイッチのフローテーブルに設定する手段と
を更に具備する
ネットワークシステム。 - 仮想ノードにより形成された仮想ネットワークの構成及びリダイレクトポリシーを管理する手段と、
前記仮想ネットワークの構成、端末の検知時に取得した前記端末の情報、及び、前記仮想ネットワークに設定されたリダイレクトポリシーに基づいて、所定のパケットの転送経路を決定する手段と、
前記転送経路に基づいて、前記所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、前記スイッチのフローテーブルに予め設定し、前記仮想ネットワークのリダイレクトポリシーを物理ネットワークに反映させる手段と
を具備する
コントローラ。 - 請求項4に記載のコントローラであって、
前記リダイレクトポリシーが前記スイッチの物理インターフェースに対応するルールかどうか判定する手段と、
前記リダイレクトポリシーが前記スイッチのポートに対応するルールである場合、前記スイッチのフローテーブルに、前記リダイレクトポリシーに対応するフローエントリを設定する手段と、
前記リダイレクトポリシーが前記スイッチのポートに対応するルールでない場合、前記端末の検知時に取得した前記端末の情報を利用して前記スイッチのポートに対応するルールを解決し、前記スイッチのフローテーブルに、前記リダイレクトポリシーに対応するフローエントリを設定する手段と
を更に具備する
コントローラ。 - 請求項5に記載のコントローラであって、
前記仮想ノードの仮想インターフェース間のリダイレクトポリシーと、前記スイッチの物理インターフェースに関連付けられた仮想インターフェースの情報とを基に、前記仮想ノードの仮想インターフェースの転送先に関連付けられる物理インターフェースを特定する手段と、
前記スイッチ内のポリシーフィルタとして、前記スイッチの物理インターフェースにおける動作が定義されたフローエントリを、前記スイッチのフローテーブルに設定する手段と
を更に具備する
コントローラ。 - 計算機により実施されるポリシー経路設定方法であって、
仮想ノードにより形成された仮想ネットワークの構成及びリダイレクトポリシーを管理することと、
前記仮想ネットワークの構成、端末の検知時に取得した前記端末の情報、及び、前記仮想ネットワークに設定されたリダイレクトポリシーに基づいて、所定のパケットの転送経路を決定することと、
前記転送経路に基づいて、前記所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、前記スイッチのフローテーブルに予め設定し、前記仮想ネットワークのリダイレクトポリシーを物理ネットワークに反映させることと
を含む
ポリシー経路設定方法。 - 仮想ノードにより形成された仮想ネットワークの構成及びリダイレクトポリシーを管理するステップと、
前記仮想ネットワークの構成、端末の検知時に取得した前記端末の情報、及び、前記仮想ネットワークに設定されたリダイレクトポリシーに基づいて、所定のパケットの転送経路を決定するステップと、
前記転送経路に基づいて、前記所定のパケットをフローとして一律に制御するためのルールと動作が定義されたフローエントリを、前記スイッチのフローテーブルに予め設定し、前記仮想ネットワークのリダイレクトポリシーを物理ネットワークに反映させるステップと
を計算機に実行させるためのプログラムを格納した
記憶媒体。 - 請求項8に記載の記憶媒体であって、
前記リダイレクトポリシーが前記スイッチの物理インターフェースに対応するルールかどうか判定するステップと、
前記リダイレクトポリシーが前記スイッチのポートに対応するルールである場合、前記スイッチのフローテーブルに、前記リダイレクトポリシーに対応するフローエントリを設定するステップと、
前記リダイレクトポリシーが前記スイッチのポートに対応するルールでない場合、前記端末の検知時に取得した前記端末の情報を利用して前記スイッチのポートに対応するルールを解決し、前記スイッチのフローテーブルに、前記リダイレクトポリシーに対応するフローエントリを設定するステップと
を更に計算機に実行させるためのプログラムを格納した
記憶媒体。 - 請求項9に記載の記憶媒体であって、
前記仮想ノードの仮想インターフェース間のリダイレクトポリシーと、前記スイッチの物理インターフェースに関連付けられた仮想インターフェースの情報とを基に、前記仮想ノードの仮想インターフェースの転送先に関連付けられる物理インターフェースを特定するステップと、
前記スイッチ内のポリシーフィルタとして、前記スイッチの物理インターフェースにおける動作が定義されたフローエントリを、前記スイッチのフローテーブルに設定するステップと
を更に計算機に実行させるためのプログラムを格納した
記憶媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013505831A JP5610247B2 (ja) | 2011-03-18 | 2012-01-06 | ネットワークシステム、及びポリシー経路設定方法 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011060408 | 2011-03-18 | ||
| JP2011060408 | 2011-03-18 | ||
| JP2013505831A JP5610247B2 (ja) | 2011-03-18 | 2012-01-06 | ネットワークシステム、及びポリシー経路設定方法 |
| PCT/JP2012/050132 WO2012127886A1 (ja) | 2011-03-18 | 2012-01-06 | ネットワークシステム、及びポリシー経路設定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2012127886A1 JPWO2012127886A1 (ja) | 2014-07-24 |
| JP5610247B2 true JP5610247B2 (ja) | 2014-10-22 |
Family
ID=46879056
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013505831A Expired - Fee Related JP5610247B2 (ja) | 2011-03-18 | 2012-01-06 | ネットワークシステム、及びポリシー経路設定方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20130346585A1 (ja) |
| EP (1) | EP2688255A4 (ja) |
| JP (1) | JP5610247B2 (ja) |
| CN (1) | CN103444143B (ja) |
| WO (1) | WO2012127886A1 (ja) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9184995B2 (en) * | 2012-04-11 | 2015-11-10 | Gigamon Inc. | Traffic visibility in an open networking environment |
| JP5882961B2 (ja) * | 2013-09-03 | 2016-03-09 | ビッグローブ株式会社 | コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム |
| CN103501282B (zh) * | 2013-10-09 | 2016-06-15 | 中国联合网络通信集团有限公司 | 网络报文发送控制方法、虚拟交换机和物理机 |
| US9344336B2 (en) * | 2013-10-15 | 2016-05-17 | Dell Products L.P. | System and method for managing virtual link state |
| CN105580330B (zh) * | 2013-12-05 | 2019-04-26 | 华为技术有限公司 | 一种数据传输的方法、设备和系统 |
| US10230581B2 (en) * | 2014-02-06 | 2019-03-12 | Nec Corporation | Network management method and apparatus |
| FR3017506A1 (fr) * | 2014-02-12 | 2015-08-14 | Orange | Procede de controle par anticipation des flux de donnees par un reseau sdn en cas de defaillance d'un routeur |
| US10250529B2 (en) * | 2014-07-21 | 2019-04-02 | Big Switch Networks, Inc. | Systems and methods for performing logical network forwarding using a controller |
| US9762489B2 (en) * | 2014-09-24 | 2017-09-12 | Cisco Technology, Inc. | Local packet switching at a satellite device |
| WO2016061188A1 (en) * | 2014-10-14 | 2016-04-21 | Midokura Sarl | System and method for distributed flow state p2p setup in virtual networks |
| CN104702518B (zh) * | 2015-03-05 | 2017-12-19 | 安徽清新互联信息科技有限公司 | 一种基于无线网络的多卡路由器装置及其数据传输方法 |
| JP6525256B2 (ja) * | 2015-05-29 | 2019-06-05 | Necプラットフォームズ株式会社 | 仮想ネットワークシステムおよび仮想ネットワーク経路設定方法 |
| US9934273B1 (en) * | 2015-06-10 | 2018-04-03 | Amazon Technologies, Inc. | Metadata synchronization in flow management systems |
| US10749808B1 (en) | 2015-06-10 | 2020-08-18 | Amazon Technologies, Inc. | Network flow management for isolated virtual networks |
| US10028128B2 (en) | 2016-04-29 | 2018-07-17 | Motorola Mobility Llc | Procedures to support network slicing in a wireless communication system |
| US10630576B2 (en) | 2016-08-05 | 2020-04-21 | Huawei Technologies Co., Ltd. | Virtual network routing to dynamic end point locations in support of service-based traffic forwarding |
| US10484302B2 (en) | 2016-08-27 | 2019-11-19 | Nicira, Inc. | Managed forwarding element executing in public cloud data compute node with different internal and external network addresses |
| US10567482B2 (en) | 2017-08-24 | 2020-02-18 | Nicira, Inc. | Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table |
| CN114584465A (zh) * | 2017-08-27 | 2022-06-03 | Nicira股份有限公司 | 在公共云中执行在线服务 |
| US11140020B1 (en) | 2018-03-01 | 2021-10-05 | Amazon Technologies, Inc. | Availability-enhancing gateways for network traffic in virtualized computing environments |
| CN108540339A (zh) * | 2018-03-12 | 2018-09-14 | 国网安徽省电力有限公司池州供电公司 | 一种交换机端口配置的检测系统及其检测方法 |
| US11343229B2 (en) | 2018-06-28 | 2022-05-24 | Vmware, Inc. | Managed forwarding element detecting invalid packet addresses |
| US11196591B2 (en) | 2018-08-24 | 2021-12-07 | Vmware, Inc. | Centralized overlay gateway in public cloud |
| US11374794B2 (en) | 2018-08-24 | 2022-06-28 | Vmware, Inc. | Transitive routing in public cloud |
| US10834044B2 (en) | 2018-09-19 | 2020-11-10 | Amazon Technologies, Inc. | Domain name system operations implemented using scalable virtual traffic hub |
| JP2019092233A (ja) * | 2019-03-26 | 2019-06-13 | Necプラットフォームズ株式会社 | 仮想ネットワークシステムおよび仮想ネットワーク経路設定方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7739445B1 (en) * | 2004-06-11 | 2010-06-15 | Srinivasan Venkatachary | Circuit, apparatus, and method for extracting multiple matching entries from a content addressable memory (CAM) device |
| JP4542514B2 (ja) | 2006-02-13 | 2010-09-15 | 株式会社日立製作所 | 計算機の制御方法、プログラム及び仮想計算機システム |
| US7802073B1 (en) * | 2006-03-29 | 2010-09-21 | Oracle America, Inc. | Virtual core management |
| US9660829B2 (en) * | 2007-06-04 | 2017-05-23 | Avaya Inc. | Secure VLANs |
| US8798056B2 (en) * | 2007-09-24 | 2014-08-05 | Intel Corporation | Method and system for virtual port communications |
| US8667146B2 (en) * | 2008-01-26 | 2014-03-04 | Citrix Systems, Inc. | Systems and methods for configuration driven rewrite of SSL VPN clientless sessions |
| US8391276B2 (en) * | 2008-10-03 | 2013-03-05 | At&T Intellectual Property I, Lp | Methods and apparatus to form secure cross-virtual private network communications sessions |
| JP5391777B2 (ja) | 2009-03-30 | 2014-01-15 | 日本電気株式会社 | 経路選択方法及び経路選択システム並びにそれに用いるルータ |
| CA3081255C (en) * | 2009-04-01 | 2023-08-22 | Nicira, Inc. | Method and apparatus for implementing and managing virtual switches |
| US8406089B2 (en) | 2009-09-04 | 2013-03-26 | Headway Technologies, Inc. | Heat-assisted magnetic recording head with laser diode fixed to slider |
| US20120099591A1 (en) * | 2010-10-26 | 2012-04-26 | Dell Products, Lp | System and Method for Scalable Flow Aware Network Architecture for Openflow Based Network Virtualization |
-
2012
- 2012-01-06 JP JP2013505831A patent/JP5610247B2/ja not_active Expired - Fee Related
- 2012-01-06 CN CN201280013945.6A patent/CN103444143B/zh not_active Expired - Fee Related
- 2012-01-06 US US14/004,115 patent/US20130346585A1/en not_active Abandoned
- 2012-01-06 WO PCT/JP2012/050132 patent/WO2012127886A1/ja active Application Filing
- 2012-01-06 EP EP12760686.1A patent/EP2688255A4/en not_active Withdrawn
Non-Patent Citations (3)
| Title |
|---|
| JPN6014019540; 上野洋史、他3名: 'データセンターネットワークにおけるネットワークアプライアンス機能配備の一検討' 信学技報CPSY2009-36 コンピュータシステム109(296), 20091113, pp.7-12, 社団法人電子情報通信学会 * |
| JPN6014019542; 下西英之、他1名: '統合制御プレーン向けネットワークOS の提案とそのOpenFlow コントローラへの適用' 信学技報NS2009-162 社団法人電子情報通信学会, 20100225, pp.1-6, ネットワークシステム109(448) * |
| JPN7014001928; 林 偉夫: '将来のクラウド基盤技術を支える研究開発' NEC技報 第63巻 第2号, 20100423, pp.124〜128 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2688255A1 (en) | 2014-01-22 |
| CN103444143A (zh) | 2013-12-11 |
| EP2688255A4 (en) | 2014-12-03 |
| JPWO2012127886A1 (ja) | 2014-07-24 |
| CN103444143B (zh) | 2016-04-20 |
| WO2012127886A1 (ja) | 2012-09-27 |
| US20130346585A1 (en) | 2013-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5610247B2 (ja) | ネットワークシステム、及びポリシー経路設定方法 | |
| JP5594552B2 (ja) | ネットワークシステム、及び経路制御方法 | |
| RU2583745C2 (ru) | Сетевая система, коммутатор и способ обнаружения подсоединенного терминала | |
| JP6445015B2 (ja) | ミドルウェアおよびアプリケーションの実行のためにエンジニアド・システムにおいてデータサービスを提供するためのシステムおよび方法 | |
| JP5811253B2 (ja) | ネットワークシステム、及びネットワーク管理方法 | |
| EP2562970B1 (en) | Switch, and flow table control method | |
| JP5641455B2 (ja) | ネットワークシステム、コントローラ、及びQoS制御方法 | |
| JP5565476B2 (ja) | ネットワークシステム、及びネットワークフロー追跡方法 | |
| JP5747993B2 (ja) | 負荷低減システム、及び負荷低減方法 | |
| EP3210347B1 (en) | Pre-built match-action tables | |
| JPWO2013115177A1 (ja) | ネットワークシステム、及びトポロジー管理方法 | |
| JPWO2012165446A1 (ja) | 通信経路制御システム、及び通信経路制御方法 | |
| JP5682846B2 (ja) | ネットワークシステム、パケット処理方法、及び記憶媒体 | |
| WO2012098779A1 (ja) | ネットワークシステム、コントローラ、及びQoS制御方法 | |
| JP2013115733A (ja) | ネットワークシステム、及びネットワーク制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140514 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140714 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140807 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140820 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5610247 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |