JP5861424B2 - COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM - Google Patents

COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM Download PDF

Info

Publication number
JP5861424B2
JP5861424B2 JP2011266872A JP2011266872A JP5861424B2 JP 5861424 B2 JP5861424 B2 JP 5861424B2 JP 2011266872 A JP2011266872 A JP 2011266872A JP 2011266872 A JP2011266872 A JP 2011266872A JP 5861424 B2 JP5861424 B2 JP 5861424B2
Authority
JP
Japan
Prior art keywords
address
communication
node
request message
address resolution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011266872A
Other languages
Japanese (ja)
Other versions
JP2013120982A (en
Inventor
大和 純一
純一 大和
鈴木 一哉
一哉 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011266872A priority Critical patent/JP5861424B2/en
Publication of JP2013120982A publication Critical patent/JP2013120982A/en
Application granted granted Critical
Publication of JP5861424B2 publication Critical patent/JP5861424B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、通信システム、制御装置、通信方法およびプログラムに関し、特に、スイッチ等の通信ノードを集中制御する制御装置を含む通信システム、制御装置、通信方法およびプログラムに関する。   The present invention relates to a communication system, a control device, a communication method, and a program, and more particularly, to a communication system, a control device, a communication method, and a program including a control device that centrally controls communication nodes such as switches.

近年、オープンフロー(OpenFlow)という技術が提案されている(特許文献1、非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合する内容が定められたマッチフィールド(Match Fields)と、フロー統計情報(Counters)と、処理内容を定義したインストラクション(Instructions)と、の組が定義される(図16参照)。   In recent years, a technique called OpenFlow has been proposed (see Patent Document 1, Non-Patent Documents 1 and 2). OpenFlow captures communication as an end-to-end flow and performs path control, failure recovery, load balancing, and optimization on a per-flow basis. The OpenFlow switch specified in Non-Patent Document 2 includes a secure channel for communication with the OpenFlow controller, and operates according to a flow table that is appropriately added or rewritten from the OpenFlow controller. The flow table defines, for each flow, a set of a match field (Match Fields) in which contents to be matched with the packet header are defined, flow statistical information (Counters), and instructions (Instructions) that define processing contents. (See FIG. 16).

例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチフィールド(図16参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットの処理内容の決定の要求を送信する。オープンフロースイッチは、要求に対応するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行う。   For example, when the OpenFlow switch receives a packet, the OpenFlow switch searches the flow table for an entry having a match field (see FIG. 16) that matches the header information of the received packet. If an entry that matches the received packet is found as a result of the search, the OpenFlow switch updates the flow statistical information (counter) and processes the processing (designated) in the instruction field of the entry for the received packet. Perform packet transmission, flooding, discard, etc. from the port. On the other hand, if no entry that matches the received packet is found as a result of the search, the OpenFlow switch requests the OpenFlow controller to set an entry, that is, determines the processing content of the received packet, via the secure channel. Send a request. The OpenFlow switch receives the flow entry corresponding to the request and updates the flow table. In this way, the OpenFlow switch performs packet transfer using the entry stored in the flow table as a processing rule.

また、非特許文献3には、上記したオープンフローを使用したシステムにおいてユーザ認証を用いてアクセスを制限する方法が提案されている。   Non-Patent Document 3 proposes a method for restricting access using user authentication in a system using the above-described OpenFlow.

特許文献2には、アクセスポリシーに基づき情報処理端末間の通信の可否を制御するネットワークセキュリティ監視システムが開示されている。同公報によると、ネットワークセキュリティ監視システムは、ネットワーク上に接続された情報処理端末間の通信許可/不許可をアクセスポリシーに基づき判断し、不許可と判断された情報処理端末のアクセスポリシーが不許可から許可に更新されるまで、不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することで、前記アクセスポリシーで不許可と定義された情報処理端末間の通信を迅速かつ確実に遮断し、許可と定義された情報処理端末間の通信可能状態を保持する、記載されている。   Patent Document 2 discloses a network security monitoring system that controls whether communication between information processing terminals is possible based on an access policy. According to the publication, the network security monitoring system determines whether communication between information processing terminals connected on the network is permitted or not based on the access policy, and the access policy of the information processing terminal determined to be disapproved is not permitted. Information that is defined as non-permitted in the access policy by repeatedly transmitting information for interrupting communication between information processing terminals determined to be non-permitted at regular time intervals until updated to perm It is described that communication between processing terminals is quickly and surely cut off, and a communicable state between information processing terminals defined as permission is maintained.

国際公開第2008/095010号International Publication No. 2008/095010 再表2009/031453号公報No. 2009/031453

Nick McKeownほか7名、“OpenFlow: Enabling Innovation in Campus Networks”、[online]、[平成23(2011)年9月1日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉Nick McKeown and 7 others, “OpenFlow: Enabling Innovation in Campus Networks”, [online], [searched on September 1, 2011], Internet <URL: http://www.openflow.org/documents/ openflow-wp-latest.pdf> “OpenFlow Switch Specification” Version 1.1.0 Implemented (Wire Protocol 0x02)、[online]、[平成23(2011)年9月1日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉“OpenFlow Switch Specification” Version 1.1.0 Implemented (Wire Protocol 0x02), [online], [searched on September 1, 2011], Internet <URL: http://www.openflow.org/ documents / openflow-spec-v1.1.0.pdf> 山崎康広、大和純一、宮本善則、後藤英昭、曽根秀昭、“OpenFlowによるCampus VLANシステム”、信学技報、電子情報通信学会、2011年7月、信学技報 CQ2011−26、43〜48頁Yasuhiro Yamazaki, Junichi Yamato, Yoshinori Miyamoto, Hideaki Goto, Hideaki Sone, “Campus VLAN System by OpenFlow”, IEICE Technical Report, IEICE, July 2011, IEICE Technical Report CQ2011-26, pp.43-48

以下の分析は、本発明によって与えられたものである。ある相手と通信を行う際に、当該通信相手に対するフレームやパケットを正しい相手に転送するため、下位レイヤのアドレスを解決しておく必要がある。このために、例えば、IPv4(Internet Protocol Version 4)では、ARP(Address Resolution Protocol)が用意され、IPv6(Internet Protocol Version 6)では、NDP(Neighbor Discovery Protocol)が用意されている。以下、ARPやNDPにおいて、上位アドレスに対応するMAC(Media Access Control)アドレス等のアドレスの解決を要求するメッセージを、「アドレス解決要求メッセージ」という。   The following analysis is given by the present invention. When communicating with a certain partner, it is necessary to resolve the address of the lower layer in order to transfer a frame or packet for the partner to the correct partner. For this purpose, for example, ARP (Address Resolution Protocol) is prepared in IPv4 (Internet Protocol Version 4), and NDP (Neighbor Discovery Protocol) is prepared in IPv6 (Internet Protocol Version 6). Hereinafter, in ARP and NDP, a message requesting resolution of an address such as a MAC (Media Access Control) address corresponding to an upper address is referred to as an “address resolution request message”.

上記したオープンフローに代表される集中制御型の通信システムにおいては、外部ノードから新規のアドレス解決要求メッセージを受信すると、通信ノード(特許文献1、非特許文献1、2の「オープンフロースイッチ」に相当。)は、制御装置(特許文献1、非特許文献1、2の「オープンフローコントローラ」に相当。)に対し、アドレス解決要求メッセージに対する処理を問い合わせてしまう。これを受けた制御装置は、必要に応じてアドレス解決要求メッセージの転送経路を決定し、宛先の外部ノードにアドレス解決要求メッセージを送信する制御を行ってしまう。また、前記宛先の外部ノードから応答があった場合も同様の手順で、送信元の外部ノードに対し、アドレスを含んだ応答メッセージを送信する制御が行われる。   In the above-described centralized control communication system represented by OpenFlow, when a new address resolution request message is received from an external node, the communication node (Patent Document 1, Non-Patent Documents 1 and 2, “OpenFlow Switch”). Corresponds to the control device (corresponding to “Open Flow Controller” in Patent Document 1, Non-Patent Documents 1 and 2), and inquires about processing for the address resolution request message. In response to this, the control device determines the transfer path of the address resolution request message as necessary, and performs control to transmit the address resolution request message to the destination external node. Also, when there is a response from the destination external node, control is performed in the same procedure to transmit a response message including an address to the source external node.

前記応答メッセージには、当該外部ノードの下位アドレスが含まれている。このため、集中制御型の通信システムにおいても、アドレス解決要求メッセージを利用して、本来アクセスが許可されていない相手の下位アドレスを入手できてしまうという問題点がある。また、外部ノード同士が本来アクセスが許可されていない関係にある場合、上記したアドレス解決要求メッセージとその応答メッセージの転送は結果的に不必要なトラヒックを発生させていることになる。   The response message includes the lower address of the external node. For this reason, even in the centralized control type communication system, there is a problem in that it is possible to obtain the lower address of the other party to which access is originally not permitted by using the address resolution request message. Further, when the external nodes are originally not permitted to access, the transfer of the address resolution request message and the response message described above results in unnecessary traffic.

なお、特許文献2のネットワークセキュリティ監視システムは、特許文献1、非特許文献1、2のような集中制御型の通信システムではない。このため、各情報処理端末同士は必要に応じてARP要求パケットとその応答を授受してしまう。そこで、ネットワークセキュリティ監視システムは、ARP要求パケットを傍受して、通信許可/不許可を判断し、通信不許可と判断した端末間の通信を遮断するための情報を一定時間繰り返して送信する処理を行っている。   Note that the network security monitoring system of Patent Document 2 is not a centralized control communication system such as Patent Document 1 and Non-Patent Documents 1 and 2. For this reason, each information processing terminal exchanges an ARP request packet and its response as needed. Therefore, the network security monitoring system intercepts the ARP request packet, determines whether communication is permitted / not permitted, and repeatedly transmits information for blocking communication between terminals determined to be not permitted communication for a certain period of time. Is going.

本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、上記したオープンフローに代表される集中制御型の通信システムにおいて、禁止すべきあるいは不必要なアドレス解決要求メッセージとその応答メッセージの授受を抑制することのできる通信システム、制御装置、通信方法およびプログラムを提供することにある。   The present invention has been made in view of the above-described circumstances, and the object of the present invention is to provide an address resolution request that should be prohibited or unnecessary in a centralized control communication system represented by the above-described OpenFlow. It is an object of the present invention to provide a communication system, a control device, a communication method, and a program that can suppress exchange of a message and its response message.

本発明の第1の視点によれば、少なくとも1つ以上の通信ノードと、前記通信ノードを制御し、複数の外部ノード間の通信を制御する制御装置と、前記複数の外部ノード間の通信可否を定義した通信可否情報を記憶する通信可否記憶装置と、を含み、前記制御装置は、前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージでない場合、前記アドレス解決応答メッセージの転送を抑止するよう前記通信ノードを制御することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する通信システムが提供される。 According to the first aspect of the present invention, at least one or more communication nodes, a control device that controls the communication nodes and controls communication between a plurality of external nodes, and communication availability between the plurality of external nodes A communication enable / disable storage device that stores communication enable / disable information that defines an address resolution request message received via the communication node is permitted to communicate with the external node from one external node. If it is not an address resolution request message requesting resolution of the address of another external node, the communication node is controlled to suppress forwarding of the address resolution response message to the source of the address resolution request message. A communication system for suppressing address responses is provided.

本発明の第2の視点によれば、複数の外部ノード間に配置された少なくとも1つ以上の通信ノードと、前記複数の外部ノード間の通信可否を定義した通信可否情報を記憶する通信可否記憶装置と、に接続され、前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージでない場合、前記アドレス解決応答メッセージの転送を抑止するよう前記通信ノードを制御することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する制御装置が提供される。 According to the second aspect of the present invention, at least one communication node arranged between a plurality of external nodes, and communication enable / disable storage for storing communication enable / disable information defining whether communication is possible between the plurality of external nodes. An address resolution request message that is connected to a device and received via the communication node requests the resolution of an address of another external node that is permitted to communicate with the external node from one external node. If it is not a message, a control device is provided that controls the communication node to suppress the forwarding of the address resolution response message, thereby suppressing the response of the address to the transmission source of the address resolution request message.

本発明の第3の視点によれば、少なくとも1つ以上の通信ノードと、前記通信ノードを制御し、複数の外部ノード間の通信を制御する制御装置と、前記複数の外部ノード間の通信可否を定義した通信可否情報を記憶する通信可否記憶装置と、を含む通信システムにおいて、前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージであるか否かを確認するステップと、前記アドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージでない場合、前記アドレス解決応答メッセージの転送を抑止するよう前記通信ノードを制御することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止するステップとを含む通信方法が提供される。本方法は、通信ノードを制御する制御装置という、特定の機械に結びつけられている。
According to the third aspect of the present invention, at least one or more communication nodes, a control device that controls the communication nodes and controls communication between a plurality of external nodes, and whether communication between the plurality of external nodes is possible or not In a communication system including a communication availability storage device that stores communication availability information that defines an address, an address resolution request message received via the communication node is permitted to communicate with the external node from one external node. Confirming whether the address resolution request message is a request for resolving an address of another external node, and the address resolution request message is transmitted from one external node to another external node that is permitted to communicate with the external node. If not address resolution request message requesting the address resolution external nodes, suppresses the transfer of the address resolution response message By controlling so that the communication node, the communication method comprising the steps of inhibiting a response address to the source of the address resolution request message is provided. This method is associated with a specific machine called a control device that controls a communication node.

本発明の第4の視点によれば、少なくとも1つ以上の通信ノードと、前記通信ノードを制御し、複数の外部ノード間の通信を制御する制御装置と、前記複数の外部ノード間の通信可否を定義した通信可否情報を記憶する通信可否記憶装置と、を含む通信システムにおいて、前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと接続が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージであるか否かを確認する処理と、前記アドレス解決要求メッセージが、一の外部ノードから当該外部ノードと接続が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージでない場合、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する処理とを、前記制御装置を構成するコンピュータに実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。   According to a fourth aspect of the present invention, at least one or more communication nodes, a control device that controls the communication nodes and controls communication between a plurality of external nodes, and whether communication between the plurality of external nodes is possible or not In the communication system including the communication availability storage device that stores the communication availability information that defines the communication address, the address resolution request message received via the communication node is permitted to be connected to the external node from one external node. A process for confirming whether or not the address resolution request message is a request for resolving the address of another external node, and the address resolution request message is sent to another external node that is permitted to connect to the external node. If it is not an address resolution request message requesting resolution of an external node address, an address to the sender of the address resolution request message is sent. And processing for suppressing the response of the scan, the program to be executed by a computer constituting the control device is provided. This program can be recorded on a computer-readable storage medium. That is, the present invention can be embodied as a computer program product.

本発明によれば、集中制御型の通信システムにおいて、禁止すべきあるいは不必要なアドレス解決要求メッセージとその応答メッセージの授受を抑制することが可能となる。   According to the present invention, in a centralized control type communication system, it is possible to suppress exchange of an address resolution request message and a response message that should be prohibited or unnecessary.

本発明の一実施形態の構成を表わした図である。It is a figure showing the structure of one Embodiment of this invention. 本発明の一実施形態の動作概要を説明するための図である。It is a figure for demonstrating the operation | movement outline | summary of one Embodiment of this invention. 本発明の一実施形態の動作概要を説明するための別の図である。It is another figure for demonstrating the operation | movement outline | summary of one Embodiment of this invention. 本発明の第1の実施形態の構成を表わした図である。It is a figure showing the structure of the 1st Embodiment of this invention. 本発明の第1の実施形態のOFCおよびOFSの詳細構成を表した図である。It is a figure showing the detailed structure of OFC and OFS of the 1st Embodiment of this invention. ARPテーブルのエントリの例である。It is an example of the entry of an ARP table. ARP要求パケットに含まれる情報を説明するための図である。It is a figure for demonstrating the information contained in an ARP request packet. ARP応答パケットに含まれる情報を説明するための図である。It is a figure for demonstrating the information contained in an ARP response packet. 本発明の第1の実施形態のOFCのアクセス制御DBに保持されるエントリの例である。It is an example of the entry hold | maintained in OFC access control DB of the 1st Embodiment of this invention. 本発明の第1の実施形態のOFCの動作を表したフローチャートである。It is a flowchart showing operation | movement of OFC of the 1st Embodiment of this invention. 本発明の第1の実施形態の動作(アクセス可判定時)を表したシーケンス図である。It is a sequence diagram showing operation | movement (at the time of access permission determination) of the 1st Embodiment of this invention. 本発明の第1の実施形態の動作(アクセス不可判定時)を表したシーケンス図である。It is a sequence diagram showing operation | movement (at the time of access impossibility determination) of the 1st Embodiment of this invention. 本発明の第2の実施形態の構成を表わした図である。It is a figure showing the structure of the 2nd Embodiment of this invention. 本発明の第3の実施形態の構成を表わした図である。It is a figure showing the structure of the 3rd Embodiment of this invention. 本発明の第4の実施形態のアクセス制御DBに保持されるエントリの例である。It is an example of the entry hold | maintained at access control DB of the 4th Embodiment of this invention. 非特許文献2に記載のフローエントリの構成を表した図である。It is a figure showing the structure of the flow entry of a nonpatent literature 2. FIG.

はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。   First, an outline of an embodiment of the present invention will be described with reference to the drawings. Note that the reference numerals of the drawings attached to this summary are attached to the respective elements for convenience as an example for facilitating understanding, and are not intended to limit the present invention to the illustrated embodiment.

本発明は、図1に示すように、その一実施形態において、少なくとも1つ以上の通信ノード200と、通信ノード200を制御し、複数の外部ノード間の通信を制御する制御装置100と、通信可否記憶装置300と、を含む構成にて実現できる。通信可否記憶装置300は、前記複数の外部ノード間の接続可否を定義した接続可否情報を記憶する。例えば、図1の例では、外部ノードA−外部ノードB間および外部ノードB−外部ノードC間は接続可(OK)であるが、外部ノードA−外部ノードC間は接続不可(NG)との接続可否情報が設定されているものとする。   As shown in FIG. 1, the present invention, in one embodiment, at least one or more communication nodes 200, a control device 100 that controls the communication nodes 200 and controls communication between a plurality of external nodes, and communication This can be realized by a configuration including the availability storage device 300. The communication availability storage device 300 stores connection availability information defining whether or not the plurality of external nodes can be connected. For example, in the example of FIG. 1, the connection between the external node A and the external node B and the connection between the external node B and the external node C are possible (OK), but the connection between the external node A and the external node C is not possible (NG). It is assumed that the connection availability information is set.

制御装置100は、通信ノード200を介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと接続が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージでない場合、即ち、接続が禁止されている外部ノード間のアドレスを解決を要求するメッセージである場合、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する。   In the control device 100, the address resolution request message received via the communication node 200 is not an address resolution request message for requesting resolution of an address of another external node permitted to connect to the external node from one external node. If the message is a message requesting resolution of an address between external nodes for which connection is prohibited, the response of the address to the transmission source of the address resolution request message is suppressed.

例えば、図1の外部ノードAと外部ノードBとの通信に先立って、外部ノードAは外部ノードBのアドレスを解決する必要がある。そこで、外部ノードAは、外部ノードB宛てのアドレス解決要求メッセージを送信する(図2の「外部ノードBのアドレス解決要求メッセージ」)。   For example, prior to communication between the external node A and the external node B in FIG. 1, the external node A needs to resolve the address of the external node B. Therefore, the external node A transmits an address resolution request message addressed to the external node B (“external node B address resolution request message” in FIG. 2).

前記アドレス解決メッセージを受信した通信ノード200は、制御装置100に対し、アドレス解決要求メッセージを受信したことを報告する(図2の「アドレス解決要求メッセージ受信報告」)。制御装置100は、通信可否記憶装置300に保持されている接続可否情報を参照して、外部ノードA−外部ノードB間が接続可であることを確認する。この場合、制御装置100は、通信ノード200に対し、前記アドレス解決要求メッセージを外部ノードBに送信するよう指示する(図2の「アドレス解決要求メッセージの処理内容指示」)。   The communication node 200 that has received the address resolution message reports to the control device 100 that it has received the address resolution request message (“address resolution request message reception report” in FIG. 2). The control device 100 refers to the connection availability information held in the communication availability storage device 300 and confirms that the connection between the external node A and the external node B is possible. In this case, the control device 100 instructs the communication node 200 to transmit the address resolution request message to the external node B (“address resolution request message processing content instruction” in FIG. 2).

通信ノード200は、外部ノードBに、アドレス解決要求メッセージを転送する。その後、図3に示すように、外部ノードBからアドレス解決要求メッセージに対する応答(アドレス解決応答メッセージ)が送信されると、通信ノード200は、制御装置100に対し、アドレス解決応答メッセージを受信したことを報告する(図3の「アドレス解決応答メッセージ受信報告」)。   The communication node 200 transfers the address resolution request message to the external node B. After that, as shown in FIG. 3, when a response to the address resolution request message (address resolution response message) is transmitted from the external node B, the communication node 200 has received the address resolution response message to the control device 100. ("Address resolution response message reception report" in FIG. 3).

制御装置100は、通信可否記憶装置300に保持されている接続可否情報を参照して、外部ノードA−外部ノードB間が接続可であることを確認する。この場合、制御装置100は、通信ノード200に対し、前記アドレス解決応答メッセージを外部ノードAに送信するよう指示する(図3の「アドレス解決応答メッセージの処理内容指示」)。   The control device 100 refers to the connection availability information held in the communication availability storage device 300 and confirms that the connection between the external node A and the external node B is possible. In this case, the control apparatus 100 instructs the communication node 200 to transmit the address resolution response message to the external node A (“address resolution response message processing content instruction” in FIG. 3).

通信ノード200は、外部ノードBに、アドレス解決応答メッセージを転送する(図3の「外部ノードBのアドレス解決メッセージ」)。これにより、外部ノードAに外部ノードBのアドレスが通知される。その後、外部ノードAは、通知された外部ノードBのアドレスを用いて外部ノードBとの通信を開始する。   The communication node 200 transfers the address resolution response message to the external node B (“external node B address resolution message” in FIG. 3). As a result, the external node A is notified of the address of the external node B. Thereafter, the external node A starts communication with the external node B using the notified address of the external node B.

一方、外部ノードAが外部ノードCのアドレス解決要求メッセージを送信した場合、制御装置100は、次のように動作する。外部ノードAから外部ノードC宛てのアドレス解決メッセージを受信した通信ノード200は、制御装置100に対し、アドレス解決要求メッセージを受信したことを報告する(図2の「アドレス解決要求メッセージ受信報告」)。制御装置100は、通信可否記憶装置300に保持されている接続可否情報を参照して、外部ノードA−外部ノードC間が接続不可であることを確認する。この場合、制御装置100は、通信ノード200に対し、前記アドレス解決要求メッセージを破棄するよう指示する(図2の「アドレス解決要求メッセージの処理内容指示」)。   On the other hand, when the external node A transmits the address resolution request message of the external node C, the control device 100 operates as follows. The communication node 200 that has received the address resolution message addressed to the external node C from the external node A reports to the control device 100 that it has received the address resolution request message (“address resolution request message reception report” in FIG. 2). . The control device 100 refers to the connection availability information held in the communication availability storage device 300 and confirms that the connection between the external node A and the external node C is not possible. In this case, the control device 100 instructs the communication node 200 to discard the address resolution request message (“address resolution request message processing content instruction” in FIG. 2).

この結果、禁止すべきあるいは不必要なアドレス解決要求メッセージとその応答メッセージの授受が抑制される。なお、通信ノード200が複数ある場合には、制御装置100は、通信ノード200によって構成されるネットワークトポロジーを参照して、アドレス解決要求メッセージが最短経路で転送されるよう経路の計算等を行うようにしてもよい。   As a result, the exchange of the address resolution request message and the response message that should be prohibited or unnecessary is suppressed. When there are a plurality of communication nodes 200, the control device 100 refers to the network topology configured by the communication nodes 200 and calculates a route so that the address resolution request message is transferred through the shortest route. It may be.

なお、図2の例では、アドレス解決要求メッセージを破棄することによって、アドレス解決要求メッセージの送信元(外部ノードA)へのアドレスの応答を抑止するものとしたが、前記アドレスの応答を抑止する態様としては、種々の態様を採ることができる。例えば、上記したアドレス解決要求メッセージを応答ノード(外部ノードや制御装置)に送信しないようにする方法のほか、応答ノードでアドレス解決要求メッセージを破棄する方法、図3に示すように、アドレス解決要求メッセージの送信元に応答ノード(外部ノードC)からの応答を送信しないように制御する方法等が考えられる。   In the example of FIG. 2, the address response to the address resolution request message transmission source (foreign node A) is suppressed by discarding the address resolution request message. However, the address response is suppressed. Various modes can be adopted as modes. For example, in addition to the method of not sending the above address resolution request message to the response node (external node or control device), the method of discarding the address resolution request message at the response node, as shown in FIG. A method of controlling so that a response from the response node (external node C) is not transmitted to the message transmission source can be considered.

また、制御装置100に、アドレス解決要求メッセージまたはアドレス解決応答メッセージに基づいて、各外部ノードのアドレスを記憶するアドレスキャッシュ部を備えておき、制御装置100が、アドレス解決要求メッセージの転送を行う前に、前記アドレスキャッシュ部を参照して、前記アドレス解決要求メッセージの送信元へアドレスを応答するようにしてもよい。   Further, the control device 100 is provided with an address cache unit that stores the address of each external node based on the address resolution request message or the address resolution response message, and before the control device 100 transfers the address resolution request message. In addition, the address may be returned to the source of the address resolution request message with reference to the address cache unit.

[第1の実施形態]
続いて、上記した制御装置に相当するOFC(オープンフローコントローラ)にアドレス解決機能を持たせた本発明の第1の実施形態について図面を参照して詳細に説明する。 [First Embodiment]
Next, a first embodiment of the present invention in which an address resolution function is provided in an OFC (Open Flow Controller) corresponding to the control device described above will be described in detail with reference to the drawings.

図4は、本発明の第1の実施形態の構成を表わした図である。図4を参照すると、OFC10と、OFC10によって制御されるk台のOFS(オープンフロースイッチ)20a〜20kと、OFS20aに接続するm台の外部ノード9a1〜9amと、OFS20kに接続するn台の外部ノード9k1〜9knと、を含む構成が示されている。なお、図4に示したネットワークトポロジーは、本発明の理解を助けるために作成した一例であり、実際には種々の変形を加えることができる。   FIG. 4 is a diagram showing the configuration of the first exemplary embodiment of the present invention. Referring to FIG. 4, OFC 10, k OFS (open flow switches) 20a-20k controlled by OFC 10, m external nodes 9a1-9am connected to OFS 20a, and n externals connected to OFS 20k. A configuration including nodes 9k1 to 9kn is shown. Note that the network topology shown in FIG. 4 is an example created to help the understanding of the present invention, and various modifications can be made in practice.

OFC10は、OFS20a〜20k(以下、OFSを特に区別しない場合、「OFS20」と記す。)を制御するコンピュータであり、上述した制御装置に相当する。OFC10は、OFS20とセキュアチャネルで接続され、非特許文献2のオープンフロープロトコルを用いてOFS20と必要な通信を行う。なお、図4の例では、1台をOFCを示しているが、複数のOFCからクラスタを構成してもよい。このようにすることで処理可能なOFS20の数を増大させるとともに、耐障害性を向上させることができる。   The OFC 10 is a computer that controls the OFSs 20a to 20k (hereinafter referred to as “OFS20” when OFS is not particularly distinguished), and corresponds to the above-described control device. The OFC 10 is connected to the OFS 20 via a secure channel, and performs necessary communication with the OFS 20 using the OpenFlow protocol of Non-Patent Document 2. In the example of FIG. 4, one unit is shown as an OFC, but a cluster may be composed of a plurality of OFCs. In this way, the number of OFSs 20 that can be processed can be increased and the fault tolerance can be improved.

OFS20は、上記した通信ノード200に相当するパケットを処理する通信装置である。外部ノード9a1〜9am、9k1〜9kn(以下、外部ノードを特に区別しない場合、「外部ノード900」と記す。)は、ユーザが使用する各種のホスト装置やサーバ装置である。このほか、外部ノードとして、携帯端末等と無線接続する無線基地局装置等が含まれていてもよい。   The OFS 20 is a communication device that processes a packet corresponding to the communication node 200 described above. The external nodes 9a1 to 9am and 9k1 to 9kn (hereinafter referred to as “external node 900” when the external nodes are not particularly distinguished) are various host devices and server devices used by the user. In addition, a wireless base station device that is wirelessly connected to a mobile terminal or the like may be included as an external node.

図5は、本発明の第1の実施形態のOFCおよびOFSの詳細構成を表した図である。図5を参照すると、OFC10と、OFS20とが示されている。はじめに、OFC10の構成について説明する。OFC10は、ARP処理部11と、アクセス制御データベース(アクセス制御DB)12とを備えている。OFC10は、その他経路計算機能やOFS管理機能、フローエントリの設定機能等を備えているが、これらの処理ブロックは省略している。   FIG. 5 is a diagram illustrating a detailed configuration of the OFC and OFS according to the first embodiment of this invention. Referring to FIG. 5, the OFC 10 and the OFS 20 are shown. First, the configuration of the OFC 10 will be described. The OFC 10 includes an ARP processing unit 11 and an access control database (access control DB) 12. The OFC 10 includes other path calculation functions, OFS management functions, flow entry setting functions, and the like, but these processing blocks are omitted.

ARP処理部11は、図6に示すようなIPアドレスとMACアドレスとを対応付けたエントリを格納したARP(Address Resolution Protocol)テーブル(アドレス記憶部として機能する。)を保持している。ARPテーブルのエントリの登録はユーザ(ネットワーク管理者)が行うこととしてもよいし、OFC10が、受信したパケットからIPアドレスとMACアドレスの組合せを取得してARPテーブルに登録し、アドレスキャッシュ部として機能するようにしてもよい。   The ARP processing unit 11 holds an ARP (Address Resolution Protocol) table (functioning as an address storage unit) that stores entries in which IP addresses and MAC addresses are associated with each other as shown in FIG. Registration of an entry in the ARP table may be performed by a user (network administrator), or the OFC 10 acquires a combination of an IP address and a MAC address from the received packet, registers the combination in the ARP table, and functions as an address cache unit You may make it do.

ARP処理部11は、OFS20を介してARP要求パケットを受信すると、アクセス制御DB12にアクセスして、ARP要求パケットの送信元のIPアドレスと宛先(ARP要求先)IPアドレスの組合せが、通信が許可されている外部のノードの組合せであるか否かを確認する。前記確認の結果、通信が許可されている外部ノード同士の通信に先立って行われるMACアドレスの解決であることが判明した場合、ARP処理部11は、ARPテーブルから、ARP要求パケットにて指定されたIPアドレスに対応するMACアドレスを検索し、その結果を用いてARP応答パケットを生成する。さらに、ARP処理部11は、OFS20を制御して、ARP要求パケットの送信元に前記生成したARP応答パケットを転送させる。一方、前記確認の結果、通信が許可されていない外部ノード同士の通信に先立って行われるMACアドレスの解決であることが判明した場合、ARP処理部11は、ARP要求パケットを破棄する。   When the ARP processing unit 11 receives the ARP request packet via the OFS 20, the ARP processing unit 11 accesses the access control DB 12, and communication is permitted for the combination of the source IP address and the destination (ARP request destination) IP address of the ARP request packet. It is confirmed whether or not it is a combination of external nodes. As a result of the confirmation, if it is found that the MAC address is resolved prior to communication between external nodes that are permitted to communicate, the ARP processing unit 11 is designated by the ARP request packet from the ARP table. The MAC address corresponding to the IP address is retrieved, and an ARP response packet is generated using the result. Further, the ARP processing unit 11 controls the OFS 20 to transfer the generated ARP response packet to the transmission source of the ARP request packet. On the other hand, as a result of the confirmation, when it is determined that the MAC address is resolved prior to communication between external nodes that are not permitted to communicate, the ARP processing unit 11 discards the ARP request packet.

図7は、ARP要求パケットのヘッダ情報に含まれる情報を説明するための図である。上述した外部ノード同士の通信が許可されているか否かは、アクセス制御DB12からARP要求パケットの発信元/宛先IPアドレスの組合せを持つエントリの通信可否フラグ(図9参照)を読み出すことで判別できる。通信可否フラグが肯定的な値であった場合、ARP処理部11は、図6に示すエントリを格納するARPテーブルから、ARP要求パケットの宛先(ARP要求先)IPアドレスに適合するIPアドレスを持つエントリのMACアドレスを検索する。なお、この時点では、宛先(ARP要求先)MACアドレスは不知であるので、MACアドレスフィールドには0値が設定される。   FIG. 7 is a diagram for explaining information included in header information of an ARP request packet. Whether or not communication between external nodes described above is permitted can be determined by reading the communication enable / disable flag (see FIG. 9) of the entry having the combination of the source / destination IP address of the ARP request packet from the access control DB 12. . If the communication enable / disable flag is a positive value, the ARP processing unit 11 has an IP address that matches the destination (ARP request destination) IP address of the ARP request packet from the ARP table storing the entries shown in FIG. Search the MAC address of the entry. At this time, since the destination (ARP request destination) MAC address is unknown, a 0 value is set in the MAC address field.

図8は、ARP応答パケットのヘッダ情報に含まれる情報を説明するための図である。ARP処理部11は、図6に示すエントリを格納するARPテーブルから、ARP要求パケットの宛先(ARP要求先)IPアドレスに適合するIPアドレスを持つエントリが見つかった場合、図8の検索結果(ARP要求受信側情報)のMACフィールドに当該エントリのMACアドレスを格納したARP応答パケットを生成する。   FIG. 8 is a diagram for explaining information included in the header information of the ARP response packet. When the ARP processing unit 11 finds an entry having an IP address that matches the destination (ARP request destination) IP address of the ARP request packet from the ARP table storing the entries shown in FIG. 6, the search result (ARP An ARP response packet in which the MAC address of the entry is stored in the MAC field of the request receiving side information) is generated.

アクセス制御DB12は、上述した通信可否記憶装置300に相当し、外部ノードにそれぞれ付与されたIPアドレスを用いて外部ノード同士の通信可否情報を定義したエントリを保持する。図9は、アクセス制御DB12に保持されるエントリの例である。なお、図9の例では、通信可否フラグフィールドを設け、各エントリ毎に通信可否状態を定義可能となっているが、通信が許可されている組合せのみをエントリとして保持し、該当する組合せが見つからなければ、通信が禁止されていると判定する構成も採用可能である。同様に、通信が禁止されている組合せのみをエントリとして保持し、該当する組合せが見つからなければ、通信が許可されていると判定する構成も採用可能である。また、図9のようにIPアドレスを用いる場合、ネットマスクと組み合わせることでアドレスの範囲として扱うことが可能である。   The access control DB 12 corresponds to the communication availability storage device 300 described above, and holds entries defining communication availability information between external nodes using IP addresses assigned to the external nodes. FIG. 9 is an example of entries held in the access control DB 12. In the example of FIG. 9, a communication enable / disable flag field is provided, and a communication enable / disable state can be defined for each entry. However, only combinations that allow communication are stored as entries, and the corresponding combinations are found. Otherwise, it is possible to adopt a configuration for determining that communication is prohibited. Similarly, it is also possible to employ a configuration in which only combinations for which communication is prohibited are stored as entries, and if the corresponding combination is not found, it is determined that communication is permitted. Further, when an IP address is used as shown in FIG. 9, it can be handled as a range of addresses by combining it with a netmask.

続いて、図5のOFS20の構成について説明する。OFS20は、パケット処理部21と、フローエントリ記憶部22とを備えている。このようなOFS20としては、非特許文献1、2に記載のオープンフロースイッチを用いることができる。   Next, the configuration of the OFS 20 in FIG. 5 will be described. The OFS 20 includes a packet processing unit 21 and a flow entry storage unit 22. As such OFS 20, the open flow switch described in Non-Patent Documents 1 and 2 can be used.

フローエントリ記憶部22は、テーブル等を用いて図16に示すようなフローエントリを記憶している。   The flow entry storage unit 22 stores a flow entry as shown in FIG. 16 using a table or the like.

パケット処理部21は、外部ノード900からパケットを受信すると、フローエントリ記憶部22から、そのパケットヘッダ等の受信パケットの特徴に適合するマッチフィールドを持つエントリを検索する。前記検索の結果、受信パケットの特徴に適合するマッチフィールドを持つエントリが見つかった場合、パケット処理部21は、当該エントリのインストラクションフィールドの記述された処理内容を実行する。一方、前記検索の結果、受信パケットの特徴に適合するマッチフィールドを持つエントリが見つからなかった場合、パケット処理部21は、OFC10に対して、受信パケットまたは受信パケットに含まれる情報を送信し、フローエントリの設定を要求する。   When receiving a packet from the external node 900, the packet processing unit 21 searches the flow entry storage unit 22 for an entry having a match field that matches the characteristics of the received packet such as the packet header. As a result of the search, when an entry having a match field that matches the characteristics of the received packet is found, the packet processing unit 21 executes the processing content described in the instruction field of the entry. On the other hand, if no entry having a match field that matches the characteristics of the received packet is found as a result of the search, the packet processing unit 21 transmits the received packet or the information contained in the received packet to the OFC 10, and the flow Request entry settings.

OFC10は、ARP要求パケットに対応するフローエントリを作成しないため、フローエントリ記憶部22には、ARP要求パケットに対応するフローエントリは存在しない。このため、OFS20は、ARP要求パケットを受信すると、OFC10に対して、ARP要求パケットまたはARP要求パケットに含まれる情報を送信し、フローエントリの設定を要求する。本実施形態では、この仕組みを用いて、OFS20からOFC10へのARP要求パケットの送信を実現している。   Since the OFC 10 does not create a flow entry corresponding to the ARP request packet, there is no flow entry corresponding to the ARP request packet in the flow entry storage unit 22. Therefore, when the OFS 20 receives the ARP request packet, the OFS 20 transmits the ARP request packet or information included in the ARP request packet to the OFC 10 to request setting of the flow entry. In this embodiment, transmission of the ARP request packet from the OFS 20 to the OFC 10 is realized using this mechanism.

なお、図5に示したOFC10の各部(処理手段)は、OFC10を構成するコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。   Note that each unit (processing unit) of the OFC 10 illustrated in FIG. 5 can also be realized by a computer program that causes a computer that configures the OFC 10 to execute the above-described processes using its hardware.

続いて、本実施形態の動作について図面を参照して詳細に説明する。図10は、本発明の第1の実施形態のOFCの動作を表したフローチャートである。図10を参照すると、まず、OFC10は、OFS20からのパケット(またはパケットに含まれる情報)の受信を待ち(ステップS001)、OFS20からパケット(またはパケットに含まれる情報)を受信すると、OFS20が受信したパケットがARP要求パケットであるか否かを判別する(ステップS002)。   Next, the operation of this embodiment will be described in detail with reference to the drawings. FIG. 10 is a flowchart showing the operation of the OFC according to the first embodiment of this invention. Referring to FIG. 10, first, the OFC 10 waits for reception of a packet (or information included in the packet) from the OFS 20 (step S001). When the OFS 20 receives the packet (or information included in the packet) from the OFS 20, the OFS 20 receives the packet. It is determined whether or not the received packet is an ARP request packet (step S002).

OFS20がARP要求パケットを受信したか否かは、例えば、イーサネット(登録商標)フレームのタイプフィールドに0x0806が設定されているか否かにより判別することができる。ここで、ユーザパケット等のARP要求パケット以外のパケットであると判断された場合(ステップS002のNo)、OFC10は、OFS20にて構成されるネットワークトポロジーを参照して、当該パケット(またはパケットに含まれる情報)の送信元のOFSから出口側のOFSまでのパケットの転送経路を計算し、計算した経路に沿ってパケットを転送するよう各OFSにフローエントリを設定する(ステップS007)。   Whether the OFS 20 has received the ARP request packet can be determined, for example, by determining whether 0x0806 is set in the type field of the Ethernet (registered trademark) frame. Here, when it is determined that the packet is a packet other than the ARP request packet such as a user packet (No in step S002), the OFC 10 refers to the network topology configured by the OFS 20 and includes the packet (or the packet included in the packet). Information) is calculated from the source OFS to the egress OFS, and a flow entry is set in each OFS so as to transfer the packet along the calculated path (step S007).

一方、ステップS002で、OFS20がARP要求パケットを受信したと判定した場合(ステップS002のYes)、OFC10は、アクセス制御DB12にアクセスし、OFS20から受信したパケット(またはパケットに含まれる情報)に含まれる送信元IPアドレスおよび送信先(宛先)IPアドレスに対応するエントリを検索する(ステップS003)。前記検索の結果、通信可否フラグフィールドに通信可のフラグが設定されているエントリが見つからなかった場合、OFC10は、ARP要求パケットへの応答を行うことなく処理を終了する(ステップS004のNo)。   On the other hand, when it is determined in step S002 that the OFS 20 has received the ARP request packet (Yes in step S002), the OFC 10 accesses the access control DB 12 and is included in the packet (or information included in the packet) received from the OFS 20. The entry corresponding to the transmission source IP address and the transmission destination (destination) IP address is searched (step S003). As a result of the search, if no entry is found in which the communication enable flag is set in the communication enable / disable flag field, the OFC 10 ends the process without performing a response to the ARP request packet (No in step S004).

一方、前記検索の結果、通信可否フラグフィールドに通信可のフラグが設定されているエントリが見つかった場合、OFC10は、図6に示すエントリ群を格納したARPテーブルから、ARP要求パケットにて照会を受けたIPアドレスに対応するMACアドレスを検索する(ステップS005)。そして、OFC10は、前記検索されたMACアドレスを用いて、ARP応答パケットを生成し、OFS20に送信する(ステップS006)。さらに、OFC10は、OFS20に対し、ARP要求パケットの送信元の外部ノードに前記ARP応答パケットを転送するようOFSを制御する。このARP応答パケットの転送指示には、非特許文献2のオープンフロープロトコルのPacket−Outメッセージを用いることができる。   On the other hand, as a result of the search, if an entry having a communication enable flag set in the communication enable / disable flag field is found, the OFC 10 makes an inquiry using an ARP request packet from the ARP table storing the entries shown in FIG. The MAC address corresponding to the received IP address is searched (step S005). Then, the OFC 10 generates an ARP response packet by using the searched MAC address and transmits it to the OFS 20 (step S006). Further, the OFC 10 controls the OFS 20 to transfer the ARP response packet to the external node that is the transmission source of the ARP request packet. For the transfer instruction of the ARP response packet, a packet-out message of the open flow protocol of Non-Patent Document 2 can be used.

続いて、外部ノード900からARP要求パケットが送信された場合の全体の動作について図11、図12を用いて説明する。   Next, the overall operation when an ARP request packet is transmitted from the external node 900 will be described with reference to FIGS.

外部ノード900が、ARP要求パケットを送信すると(図11、図12のS101)、OFS20は、OFC10にARP要求パケット(またはARP要求パケットに含まれる情報)を転送する(図11、図12のS102)。   When the external node 900 transmits an ARP request packet (S101 in FIGS. 11 and 12), the OFS 20 transfers the ARP request packet (or information included in the ARP request packet) to the OFC 10 (S102 in FIGS. 11 and 12). ).

OFC10は、OFS20から受信したARP要求パケット(またはARP要求パケットに含まれる情報)を元に、アクセス制御DB12を参照し、ARP要求パケットの送信元の外部ノードと、アドレス解決を要求されている外部ノードとが、通信可能であるか否かを確認する(図11、図12のS103、S104)。   The OFC 10 refers to the access control DB 12 based on the ARP request packet (or information included in the ARP request packet) received from the OFS 20, and the external node that is the transmission source of the ARP request packet and the external where the address resolution is requested. It is confirmed whether or not communication with the node is possible (S103 and S104 in FIGS. 11 and 12).

前記確認の結果、ARP要求パケットの送信元の外部ノードと、アドレス解決を要求されている外部ノードとが、通信不可であることが判明した場合、OFC10は、以後の処理を終了する(図12参照)。   As a result of the confirmation, if it is found that the external node that is the source of the ARP request packet and the external node for which address resolution is requested cannot be communicated, the OFC 10 ends the subsequent processing (FIG. 12). reference).

一方、前記確認の結果、ARP要求パケットの送信元の外部ノードと、アドレス解決を要求されている外部ノードとが、通信可であることが判明した場合、OFC10は、図6に示すエントリが格納されたARPテーブルから、アドレス解決を要求されている外部ノードのIPアドレスに対応するMACアドレスを検索する(図11のS105、S106)。   On the other hand, if it is determined as a result of the confirmation that communication is possible between the external node that is the source of the ARP request packet and the external node that is requested to resolve the address, the OFC 10 stores the entry shown in FIG. The MAC address corresponding to the IP address of the external node for which address resolution is requested is searched from the ARP table (S105 and S106 in FIG. 11).

前記検索の結果、アドレス解決を要求されている外部ノードのIPアドレスに対応するMACアドレスが見つかった場合、OFC10は、発見されたMACアドレスを含んだARP応答パケットを生成し、OFS20に送信するとともに、ARP要求パケットの送信元の外部ノード900への前記ARP応答パケットの転送を指示する(図11のS107)。   If the MAC address corresponding to the IP address of the external node for which address resolution is requested is found as a result of the search, the OFC 10 generates an ARP response packet including the found MAC address, and transmits it to the OFS 20. The ARP response packet is instructed to be transferred to the external node 900 that is the transmission source of the ARP request packet (S107 in FIG. 11).

OFS20は、OFC10からの指示に従い、外部ノード900に対し、ARP応答パケットを転送する(図11のS108)。なお、図11のS105、S106の検索の結果、MACアドレスが見つからなかった場合、OFC10が自らARP要求パケットを転送してMACアドレスを解決してもよいし、あるいは、OFS20のARP要求パケットの転送を指示してもよい。   The OFS 20 transfers the ARP response packet to the external node 900 in accordance with the instruction from the OFC 10 (S108 in FIG. 11). If the MAC address is not found as a result of the search in S105 and S106 in FIG. 11, the OFC 10 may resolve the MAC address by transferring the ARP request packet itself, or transfer of the ARP request packet of the OFS 20 May be indicated.

以上のようにすることで、ある外部ノードから見て通信が禁止されている外部ノードにMACアドレスが知られることを防止することが可能となる。このようなMACアドレスの秘匿化はセキュリティの向上にも役立っている。   By doing as described above, it is possible to prevent the MAC address from being known to an external node whose communication is prohibited when viewed from a certain external node. Such concealment of the MAC address also helps to improve security.

また、本実施形態では、上記通信可否の確認によるMACアドレスの払い出し制御に加えて、ARP要求パケットのブロードキャストをしないようにしているため、MACアドレスの解決のための不必要なトラヒックも大幅に低減される。このようにネットワークを流れるパケット量を減少させることができるため、ネットワークの利用効率も向上する。   Further, in this embodiment, in addition to the MAC address delivery control based on the confirmation of the communication availability, the ARP request packet is not broadcasted, so unnecessary traffic for MAC address resolution is greatly reduced. Is done. Since the amount of packets flowing through the network can be reduced in this way, network utilization efficiency is also improved.

[第2の実施形態]
続いて、上記した第1の実施形態に変更を加えた本発明の第2の実施形態について説明する。本実施形態は、第1の実施形態の構成に変更を加えたものであるが、機能および動作はほぼ同様であるので、以下その相違点を中心に説明する。 [Second Embodiment]
Subsequently, a second embodiment of the present invention in which a change is made to the above-described first embodiment will be described. The present embodiment is a modification of the configuration of the first embodiment, but the functions and operations are almost the same, and therefore the differences will be mainly described below.

図13は、本発明の第2の実施形態の構成を表わした図である。図5に示した第1の実施形態との相違点は、OFC10Bが、外部のアクセス制御DB12にアクセスして外部ノード900から送信されたARP要求パケットに応答するか否かを判断する点である。   FIG. 13 is a diagram showing the configuration of the second exemplary embodiment of the present invention. The difference from the first embodiment shown in FIG. 5 is that the OFC 10B accesses the external access control DB 12 to determine whether to respond to the ARP request packet transmitted from the external node 900. .

このようなアクセス制御DB12としては、ACL(Access Control List)を管理するポリシーサーバ等と呼ばれるサーバと同等の装置等を用いることができる。   As such an access control DB 12, a device equivalent to a server called a policy server that manages ACL (Access Control List) can be used.

従って、本実施形態によれば、第1の実施形態の効果に加えて、アクセス制御DB12の設置コスト及び管理コストを低減することが可能となる。   Therefore, according to the present embodiment, in addition to the effects of the first embodiment, the installation cost and management cost of the access control DB 12 can be reduced.

[第3の実施形態]
続いて、上記した第2の実施形態に変更を加えた本発明の第3の実施形態について説明する。本実施形態は、第1、第2の実施形態の構成に変更を加えたものであるが、機能および動作はほぼ同様であるので、以下その相違点を中心に説明する。 [Third Embodiment]
Next, a third embodiment of the present invention in which a change is made to the above-described second embodiment will be described. The present embodiment is a modification of the configuration of the first and second embodiments, but the functions and operations are substantially the same, and therefore the differences will be mainly described below.

図14は、本発明の第3の実施形態の構成を表わした図である。図13に示した第2の実施形態との相違点は、OFC10BのARP処理部11が省略され、代わりに、外部のARP処理装置13を用いてアドレス解決を行う点である。   FIG. 14 is a diagram showing the configuration of the third exemplary embodiment of the present invention. The difference from the second embodiment shown in FIG. 13 is that the ARP processing unit 11 of the OFC 10B is omitted, and address resolution is performed using an external ARP processing device 13 instead.

ARP処理装置13は、第1、第2の実施形態のARP処理部11と同様に、ARPテーブル(アドレス記憶部)を保持し、ARP要求パケットに対して、ARP応答パケットを生成するアドレス記憶装置として機能する装置である。   Similar to the ARP processing unit 11 of the first and second embodiments, the ARP processing device 13 holds an ARP table (address storage unit) and generates an ARP response packet for the ARP request packet. It functions as a device.

本実施形態では、OFC10Cは、ARP要求パケットの送信元の外部ノードと、アドレス解決を要求されている外部ノードとが、通信可能であると判断すると、OFS20経由でARP要求パケットをARP処理装置13に転送する。また、OFC10は、OFS20に、ARP要求パケットの送信元の外部ノード900に、ARP処理装置13から出力されるARP応答パケットを転送させるフローエントリを設定する。   In the present embodiment, when the OFC 10C determines that communication is possible between the external node that is the source of the ARP request packet and the external node that is requested to resolve the address, the OFC 10C sends the ARP request packet to the ARP processing device 13 via the OFS 20. Forward to. Further, the OFC 10 sets a flow entry in the OFS 20 for transferring the ARP response packet output from the ARP processing device 13 to the external node 900 that is the transmission source of the ARP request packet.

以上により、ARP処理装置13から出力されたARP応答パケットは、ARP要求パケットの送信元の外部ノード900に転送される。   As described above, the ARP response packet output from the ARP processing device 13 is transferred to the external node 900 that is the transmission source of the ARP request packet.

以上のように本実施形態によれば、第1、第2の実施形態の効果に加えて、OFC10の負荷を低減することができる。その理由は、外部のリソースを用いてARP応答処理を行うよう構成したことにある。   As described above, according to the present embodiment, in addition to the effects of the first and second embodiments, the load on the OFC 10 can be reduced. The reason is that the ARP response process is performed using an external resource.

また、上記した実施形態では、ARP要求パケットをARP処理装置13に転送するか否かで制御を行うものとして説明したが、原則としてARP処理装置13にARP要求パケットを転送することとし、ARP処理装置13からのARP応答パケットを転送するか否かにより制御を行ってもよい。   In the above-described embodiment, the control is performed based on whether or not the ARP request packet is transferred to the ARP processing device 13. However, in principle, the ARP request packet is transferred to the ARP processing device 13 and the ARP processing is performed. Control may be performed according to whether or not the ARP response packet from the device 13 is transferred.

[第4の実施形態]
続いて、上記した第1〜第3の実施形態のアクセス制御DB12に変更を加えた本発明の第4の実施形態について説明する。本実施形態は、第1〜第3の実施形態のアクセス制御DB12のエントリに変更を加えたものであり、構成、機能および動作はほぼ同様であるので、以下その相違点を中心に説明する。 [Fourth Embodiment]
Next, a description will be given of a fourth embodiment of the present invention in which a change is made to the access control DB 12 of the first to third embodiments described above. In the present embodiment, the entries in the access control DB 12 of the first to third embodiments are modified, and the configuration, function, and operation are almost the same. Therefore, the differences will be mainly described below.

図15は、本発明の第4の実施形態のアクセス制御DBに保持されるエントリの例である。図9に示したエントリとの相違点は、プロトコルフィールド、発信元と、宛先にそれぞれポート番号フィールドが追加されている点である。   FIG. 15 is an example of entries held in the access control DB according to the fourth embodiment of this invention. The difference from the entry shown in FIG. 9 is that a port number field is added to each of the protocol field, the source, and the destination.

プロトコルフィールドは、TCP/UDP等のプロトコルを指定する値が設定されるフィールドである。ポート番号フィールドは、TCP/UDPの発信元ポート番号と、TCP/UDPの宛先ポート番号が設定される。   The protocol field is a field in which a value specifying a protocol such as TCP / UDP is set. In the port number field, a TCP / UDP source port number and a TCP / UDP destination port number are set.

なお、プロトコル、ポート番号に、ANYを示す値を登録することでポート番号やプロトコルの指定を外すことも可能である。また、ポート番号については、特定の番号だけでなく、任意の範囲を指定できるようにしてもよい。また、IPアドレスは、ネットマスクと組み合わせることでアドレスの範囲として扱うことも可能である。   It is possible to remove the designation of the port number or protocol by registering a value indicating ANY in the protocol and port number. Further, as for the port number, not only a specific number but also an arbitrary range may be designated. An IP address can also be handled as a range of addresses by combining with an net mask.

以上のように、本実施形態によれば、ポート番号単位でアクセスの可否、即ち、ARP応答の要否を制御することが可能となる。もちろん、本実施形態においても、通信が許可されている組合せのみをエントリとして保持し、該当する組合せが見つからなければ、通信が禁止されていると判定する構成としてもよい。同様に、通信が禁止されている組合せのみをエントリとして保持し、該当する組合せが見つからなければ、通信が許可されていると判定する構成とすることもできる。   As described above, according to the present embodiment, it is possible to control whether or not access is possible in units of port numbers, that is, whether or not an ARP response is necessary. Of course, in this embodiment as well, only a combination for which communication is permitted may be held as an entry, and if a corresponding combination is not found, it may be determined that communication is prohibited. Similarly, only a combination for which communication is prohibited may be held as an entry, and if a corresponding combination is not found, it may be determined that communication is permitted.

以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した実施形態の説明で例示したOFC、OFS、外部ノードの数やそのトポロジー構成は、本発明の理解を助けるために簡略化したものであり、より多くの要素で構成された複雑なネットワークにも適用することが可能である。   Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments, and further modifications, substitutions, and adjustments are possible without departing from the basic technical idea of the present invention. Can be added. For example, the number of OFCs, OFSs, external nodes, and their topology configurations exemplified in the above description of the embodiment are simplified to help understanding of the present invention, and are complicated and configured with more elements. It can also be applied to networks.

また、上記した各実施形態では、アドレス解決要求メッセージとしてARP要求パケットを用いた例を挙げて説明したが、本発明は、IPv6のNDPにおける近隣者要請(Neighbor Solicitation)メッセージとその応答の授受にも適用可能である。   In each of the above-described embodiments, an example in which an ARP request packet is used as an address resolution request message has been described. However, in the present invention, a Neighbor Solicitation message in IPv6 NDP and its response are exchanged. Is also applicable.

また、上記した各実施形態では、ARP要求パケットに対してOFCまたはARP処理装置が応答するものとして説明したが、OFCがOFSを制御して、宛先の外部ノードにARP要求パケットを転送し、その応答を返させるようにしてもよい。また、この場合において、OFCが、ARP要求パケットの転送経路を計算してユニキャストを行ってもよいし、転送経路の計算は行わずブロードキャストするようにしてもよい。   In each of the above-described embodiments, the OFC or the ARP processing device responds to the ARP request packet. However, the OFC controls the OFS and transfers the ARP request packet to the destination external node. A response may be returned. In this case, the OFC may perform unicast by calculating the transfer route of the ARP request packet, or may broadcast without calculating the transfer route.

最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による通信システム参照)
[第2の形態]
第1の形態の通信システムにおいて、
前記アドレス解決要求メッセージまたはアドレス解決応答メッセージの転送を抑止するよう前記通信ノードを制御することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する通信システム。
[第3の形態]
第1または第2の形態の通信システムにおいて、
前記制御装置は、前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージである場合、前記アドレス解決要求メッセージのユニキャストまたはブロードキャストを行うよう前記通信ノードを制御する通信システム。
[第4の形態]
第3の形態の通信システムにおいて、
前記制御装置は、前記通信ノードによって構成されるネットワークトポロジを参照して、前記アドレス解決要求メッセージが最短経路で転送されるよう前記通信ノードを制御する通信システム。
[第5の形態]
第1〜第4いずれか一の形態の通信システムにおいて、
前記制御装置は、さらに、前記アドレス解決要求メッセージまたはアドレス解決応答メッセージに基づいて、各外部ノードのアドレスを記憶するアドレスキャッシュ部を備え、
前記アドレスキャッシュ部を参照して、前記アドレス解決要求メッセージの送信元へアドレスを応答する通信システム。
[第6の形態]
第1の形態の通信システムにおいて、
前記制御装置は、さらに、各外部ノードのアドレスを記憶するアドレス記憶部を備え、
前記アドレス記憶部を参照して、前記アドレス解決要求メッセージの送信元へアドレスを応答する通信システム。
[第7の形態]
第1の形態の通信システムにおいて、
前記制御装置は、さらに、各外部ノードのアドレスを記憶するアドレス記憶装置と接続され、
前記アドレス記憶装置へのアドレス解決要求メッセージの転送または前記アドレス記憶装置からのアドレス解決応答メッセージの転送を抑止することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する通信システム。
[第8の形態]
第1〜第7いずれか一の形態の通信システムにおいて、
前記通信可否記憶装置には、前記外部ノードの前記アドレスよりも上位のアドレスを用いて前記外部ノード間の通信可否が定義されており、
前記制御装置は、アドレス解決要求メッセージに含まれる前記上位のアドレスの組を用いて、通信可否を判定する通信システム。
[第9の形態]
第1〜第8いずれか一の形態の通信システムにおいて、
前記アドレスはMACアドレスであり、
前記アドレス解決要求メッセージは、IPv4またはIPv6のアドレス解決メッセージである通信システム。
[第10の形態]
(上記第2の視点による制御装置参照)
[第11の形態]
(上記第3の視点による通信方法参照)
[第12の形態]
(上記第4の視点によるプログラム参照) Finally, a preferred form of the invention is summarized.
[First embodiment]
(Refer to the communication system according to the first viewpoint)
[Second form]
In the communication system of the first form,
A communication system for suppressing an address response to a transmission source of the address resolution request message by controlling the communication node to suppress transfer of the address resolution request message or the address resolution response message.
[Third embodiment]
In the communication system of the first or second form,
The control device receives an address resolution request message received via the communication node as an address resolution request message for requesting resolution of an address of another external node permitted to communicate with the external node from one external node. If there is, a communication system for controlling the communication node to perform unicast or broadcast of the address resolution request message.
[Fourth form]
In the communication system of the third form,
The communication device controls the communication node so that the address resolution request message is transferred through the shortest path with reference to a network topology constituted by the communication node.
[Fifth embodiment]
In the communication system according to any one of the first to fourth aspects,
The control device further includes an address cache unit that stores the address of each external node based on the address resolution request message or the address resolution response message,
A communication system that refers to the address cache unit and responds an address to a transmission source of the address resolution request message.
[Sixth embodiment]
In the communication system of the first form,
The control device further includes an address storage unit that stores an address of each external node,
A communication system that refers to the address storage unit and responds an address to a transmission source of the address resolution request message.
[Seventh form]
In the communication system of the first form,
The control device is further connected to an address storage device that stores an address of each external node,
A communication system for suppressing an address response to a transmission source of the address resolution request message by suppressing transfer of an address resolution request message to the address storage device or transfer of an address resolution response message from the address storage device.
[Eighth form]
In the communication system according to any one of the first to seventh aspects,
In the communication availability storage device, communication availability between the external nodes is defined using an address higher than the address of the external node,
The control device is a communication system for determining whether or not communication is possible by using the upper address set included in the address resolution request message.
[Ninth Embodiment]
In the communication system according to any one of the first to eighth aspects,
The address is a MAC address;
The communication system wherein the address resolution request message is an IPv4 or IPv6 address resolution message.
[Tenth embodiment]
(Refer to the control device according to the second viewpoint)
[Eleventh form]
(Refer to the communication method according to the third viewpoint)
[Twelfth embodiment]
(Refer to the program from the fourth viewpoint above.)

本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。   Within the scope of the entire disclosure (including claims) of the present invention, the embodiments and examples can be changed and adjusted based on the basic technical concept. Further, various combinations or selections of various disclosed elements (including each element of each claim, each element of each embodiment, each element of each drawing, etc.) are possible within the scope of the claims of the present invention. It is. That is, the present invention of course includes various variations and modifications that could be made by those skilled in the art according to the entire disclosure including the claims and the technical idea.

10、10B、10C OFC
11 ARP処理部
12、12B アクセス制御データベース(アクセス制御DB)
13 ARP処理装置
20、20a〜20k OFS
21 パケット処理部
22 フローエントリ記憶部
100 制御装置
200 通信ノード
300 通信可否記憶装置
9a1〜9am、9k1〜9kn、900 外部ノード 10, 10B, 10C OFC
11 ARP processing unit 12, 12B Access control database (access control DB)
13 ARP processing device 20, 20a-20k OFS
21 packet processing unit 22 flow entry storage unit 100 control device 200 communication node 300 communication availability storage device 9a1 to 9am, 9k1 to 9kn, 900 external node

Claims (10)

少なくとも1つ以上の通信ノードと、
前記通信ノードを制御し、複数の外部ノード間の通信を制御する制御装置と、
前記複数の外部ノード間の通信可否を定義した通信可否情報を記憶する通信可否記憶装置と、を含み、
前記制御装置は、前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージでない場合、前記アドレス解決応答メッセージの転送を抑止するよう前記通信ノードを制御することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する通信システム。 At least one communication node;
A control device for controlling the communication node and controlling communication between a plurality of external nodes;
A communication enable / disable storage device that stores communication enable / disable information defining communication enable / disable between the plurality of external nodes, and
In the control apparatus, the address resolution request message received via the communication node is not an address resolution request message for requesting resolution of an address of another external node permitted to communicate with the external node from one external node. A communication system that suppresses an address response to a transmission source of the address resolution request message by controlling the communication node to suppress transfer of the address resolution response message . 前記アドレス解決要求メッセージの転送を抑止するよう前記通信ノードを制御することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する請求項1の通信システム。 The address resolution request message by controlling the communication nodes to inhibit the transfer of di, communication system according to claim 1 for inhibiting a response address to the source of the address resolution request message. 前記制御装置は、前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージである場合、前記アドレス解決要求メッセージのユニキャストまたはブロードキャストを行うよう前記通信ノードを制御する請求項1または2の通信システム。   The control device receives an address resolution request message received via the communication node as an address resolution request message for requesting resolution of an address of another external node permitted to communicate with the external node from one external node. 3. The communication system according to claim 1, wherein the communication node is controlled to perform unicast or broadcast of the address resolution request message. 前記制御装置は、前記通信ノードによって構成されるネットワークトポロジを参照して、前記アドレス解決要求メッセージが最短経路で転送されるよう前記通信ノードを制御する請求項3の通信システム。   The communication system according to claim 3, wherein the control device controls the communication node so that the address resolution request message is transferred through the shortest path with reference to a network topology configured by the communication node. 前記制御装置は、さらに、前記アドレス解決要求メッセージまたはアドレス解決応答メッセージに基づいて、各外部ノードのアドレスを記憶するアドレスキャッシュ部を備え、
前記アドレスキャッシュ部を参照して、前記アドレス解決要求メッセージの送信元へアドレスを応答する請求項1から4いずれか一の通信システム。 The control device further includes an address cache unit that stores the address of each external node based on the address resolution request message or the address resolution response message,
The communication system according to any one of claims 1 to 4, wherein an address is returned to a transmission source of the address resolution request message with reference to the address cache unit. 前記制御装置は、さらに、各外部ノードのアドレスを記憶するアドレス記憶部を備え、
前記アドレス記憶部を参照して、前記アドレス解決要求メッセージの送信元へアドレスを応答する請求項1の通信システム。 The control device further includes an address storage unit that stores an address of each external node,
The communication system according to claim 1, wherein an address is returned to a transmission source of the address resolution request message with reference to the address storage unit. 前記通信可否記憶装置には、前記外部ノードの前記アドレスよりも上位のアドレスを用いて前記外部ノード間の通信可否が定義されており、
前記制御装置は、アドレス解決要求メッセージに含まれる前記上位のアドレスの組を用いて、通信可否を判定する請求項1から6いずれか一の通信システム。 In the communication availability storage device, communication availability between the external nodes is defined using an address higher than the address of the external node,
The communication system according to any one of claims 1 to 6, wherein the control device determines whether or not communication is possible by using the upper address set included in the address resolution request message. 前記アドレスはMACアドレスであり、
前記アドレス解決要求メッセージは、IPv4またはIPv6のアドレス解決メッセージである請求項1から7いずれか一の通信システム。 The address is a MAC address;
The communication system according to any one of claims 1 to 7, wherein the address resolution request message is an IPv4 or IPv6 address resolution message. 複数の外部ノード間に配置された少なくとも1つ以上の通信ノードと、
前記複数の外部ノード間の通信可否を定義した通信可否情報を記憶する通信可否記憶装置と、に接続され、
前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージでない場合、前記アドレス解決応答メッセージの転送を抑止するよう前記通信ノードを制御することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止する制御装置。 At least one communication node disposed between a plurality of external nodes;
Connected to a communication availability storage device for storing communication availability information defining communication availability between the plurality of external nodes,
If the address resolution request message received via the communication node is not an address resolution request message for requesting resolution of an address of another external node that is permitted to communicate with the external node from one external node, the address resolution A control device that suppresses response of an address to a transmission source of the address resolution request message by controlling the communication node to suppress transfer of a response message . 少なくとも1つ以上の通信ノードと、
前記通信ノードを制御し、複数の外部ノード間の通信を制御する制御装置と、
前記複数の外部ノード間の通信可否を定義した通信可否情報を記憶する通信可否記憶装置と、を含む通信システムにおいて、
前記通信ノードを介して受信したアドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージであるか否かを確認するステップと、
前記アドレス解決要求メッセージが、一の外部ノードから当該外部ノードと通信が許可されている他の外部ノードのアドレスの解決を要求するアドレス解決要求メッセージでない場合、前記アドレス解決応答メッセージの転送を抑止するよう前記通信ノードを制御することにより、前記アドレス解決要求メッセージの送信元へのアドレスの応答を抑止するステップとを含む通信方法。 At least one communication node;
A control device for controlling the communication node and controlling communication between a plurality of external nodes;
In a communication system including a communication availability storage device that stores communication availability information defining communication availability between the plurality of external nodes,
Whether the address resolution request message received via the communication node is an address resolution request message for requesting resolution of the address of another external node that is permitted to communicate with the external node from one external node. Steps to check,
If the address resolution request message is not an address resolution request message requesting resolution of an address of another external node that is permitted to communicate with the external node from one external node , forwarding of the address resolution response message is suppressed. And controlling the communication node to suppress an address response to the source of the address resolution request message.
JP2011266872A 2011-12-06 2011-12-06 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM Active JP5861424B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011266872A JP5861424B2 (en) 2011-12-06 2011-12-06 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011266872A JP5861424B2 (en) 2011-12-06 2011-12-06 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM

Publications (2)

Publication Number Publication Date
JP2013120982A JP2013120982A (en) 2013-06-17
JP5861424B2 true JP5861424B2 (en) 2016-02-16

Family

ID=48773451

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011266872A Active JP5861424B2 (en) 2011-12-06 2011-12-06 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP5861424B2 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0106919D0 (en) * 2001-03-20 2001-05-09 Marconi Comm Ltd Access networks
JP5614410B2 (en) * 2009-11-27 2014-10-29 日本電気株式会社 Flow control apparatus, network system, network control method and program

Also Published As

Publication number Publication date
JP2013120982A (en) 2013-06-17

Similar Documents

Publication Publication Date Title
JP6508256B2 (en) Communication system, communication device, control device, control method and program of packet flow transfer route
JP5716741B2 (en) COMMUNICATION SYSTEM, LOGICAL CHANNEL CONTROL DEVICE, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
US8837286B2 (en) Communication system, flow control device, flow table updating method, and program
JP5994851B2 (en) Transfer device control device, transfer device control method, communication system, and program
JP5825351B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
WO2013128513A1 (en) Communication system, gateway control apparatus, path control apparatus, communication method and program
US9060322B2 (en) Method and system for preventing loops in mesh networks
JP2014504811A (en) Communication system, forwarding node, received packet processing method and program
JP5858141B2 (en) Control device, communication device, communication system, communication method, and program
JP2014504812A (en) Mapping server device, network system, packet transfer method and program
JP2014516215A (en) Communication system, control device, processing rule setting method and program
JP5939298B2 (en) Communication terminal, communication method, and communication system
US20150256455A1 (en) Communication system, path information exchange apparatus, communication node, forwarding method for path information and program
JP2013070325A (en) Communication system, communication apparatus, server, and communication method
JP5991427B2 (en) Control device, communication system, control information transmission method and program
JP5861424B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
WO2014119602A1 (en) Control apparatus, switch, communication system, switch control method and program
JP6314970B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP5768600B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, PACKET TRANSFER METHOD, AND PROGRAM
JP6213028B2 (en) Communication system, communication method, communication program, and communication apparatus
WO2015087947A1 (en) Communication system, communication node, control device, communication control method, and program
JP2011151718A (en) Network system, communication method, apparatus and program
JP2016139908A (en) Communication system, communication node, control device, communication control method and program
JP2015128213A (en) Communication node, controller, communication system, communication method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150702

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150714

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150914

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151207

R150 Certificate of patent or registration of utility model

Ref document number: 5861424

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150