JP5952235B2 - ネットワークサービスシステム及びそのトラヒック振分け方法 - Google Patents

ネットワークサービスシステム及びそのトラヒック振分け方法 Download PDF

Info

Publication number
JP5952235B2
JP5952235B2 JP2013167434A JP2013167434A JP5952235B2 JP 5952235 B2 JP5952235 B2 JP 5952235B2 JP 2013167434 A JP2013167434 A JP 2013167434A JP 2013167434 A JP2013167434 A JP 2013167434A JP 5952235 B2 JP5952235 B2 JP 5952235B2
Authority
JP
Japan
Prior art keywords
network service
service device
distribution
interface
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013167434A
Other languages
English (en)
Other versions
JP2015037203A (ja
Inventor
亜希 福岡
亜希 福岡
斉 金子
斉 金子
健一 樋口
健一 樋口
三澤 明
明 三澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013167434A priority Critical patent/JP5952235B2/ja
Publication of JP2015037203A publication Critical patent/JP2015037203A/ja
Application granted granted Critical
Publication of JP5952235B2 publication Critical patent/JP5952235B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、IP(インターネットプロトコル(Internet Protocol))ネットワーク内に実装されて各種のサービスを提供するネットワークサービス装置を備えるネットワークサービスシステムに関し、特に、複数のネットワークサービス装置を備えてこれらのネットワークサービス装置にトラヒックが振り分けられるとともに新規サービスの追加やネットワークサービス装置に増設に対応できるネットワークサービスシステムと、そのようなネットワークサービスシステムにおけるトラヒック振分け方法とに関する。
IPネットワークでは、そのネットワーク内を通過するパケットを対象とする各種のサービス機能が実装されるようになってきている。そのようなサービス機能としては、例えば、データやアドレスの変換機能、トラヒックのモニタ機能、パケットフィルタリング機能やファイアウォール機能などが挙げられる。これらのサービス機能は、ネットワーク内に設けられたネットワークサービス装置によって実現される。ネットワークサービス装置は、例えば、ネットワークに接続される単体のハードウェア(例えばサーバ)として設けられても、あるいは仮想マシンによって実現されてもよい。
最近では、IPネットワークに実装されたサービス機能に関し、需要に応じた柔軟な設備設計、コスト削減を目的として、サービスの集約化やクラウド化が検討されている。サービスの集約化やクラウド化を実現するためには、新規のサービス追加やネットワークサービス装置の増設などを容易に実現できるようにする必要があり、そのためには、新規サービスの追加や増設に柔軟に対応して複数のネットワークサービス装置間でトラヒックを振り分ける仕組みが必要となる。以下の説明において、ネットワークサービス装置とこれらのネットワークサービス装置に対してトラヒックを振り分けるための仕組みとからなるシステムをネットワークサービスシステムと呼ぶ。
トラヒックを複数のネットワークサービス装置(例えばサーバ)に振り分けるためのハードウェアとして、従来より、トランスポート層(TCP(トランスミッションコントロールプロトコル(Transmission Control Protocol))及びUDP(ユーザデータグラムプロトコル(User Datagram Protocol))までの情報を用いて振分けを行うL4スイッチ(例えば非特許文献1参照)や、アプリケーション層までの情報を用いて振分けを行うL7スイッチがある。図1は、IPネットワーク内を通過するパケットに対する処理を実行する従来のネットワークサービスシステムの構成の一例を示すブロック図である。
図1に示すネットワークサービスシステムは、それぞれサービス機能を有する複数のネットワークサービス装置71と、トラヒックをモニタする機能を有するトラヒックモニタ72と、到来するトラヒックをネットワークサービス装置71やトラヒックモニタ72に振り分ける前段の振分け装置73と、前段の振分け装置73と対をなして設けられる後段の振分け装置74と、を備えている。トラヒックモニタ72もネットワークサービス装置の一種であるが、トラヒックをモニタするという特定のサービス機能を有するのでここでは他のネットワークサービス装置71とは別に示されている。ネットワークサービス装置71が有するサービス機能としては、例えば、パケットフィルタリング機能やファイアウォール機能が挙げられる。前段の振分け装置73と後段の振分け装置74の間に、複数のネットワークサービス装置71及びトラヒックモニタ72が、並列に設けられている。
このネットワークサービスシステムは、ネットワークサービス装置71によってこのシステムを通過するトラヒック(IPパケット)に対する処理を行うものであるから、図示左から右に流れるパケットに関し、前段の振分け装置73が複数のネットワークサービス装置71のいずれかへの振分けを行い、後段の振分け装置74は、振り分けられネットワークサービス処理装置71によって処理されたパケットを受け取って、そのパケットの本来の宛て先へとそのパケットを転送する。同様に、図示右から左に流れるパケットに関し、後段の振分け装置74が複数のネットワークサービス装置71のいずれかへの振分けを行い、前段の振分け装置73は、振り分けられネットワークサービス処理装置71によって処理されたパケットを受け取って、そのパケットの本来の宛て先へとそのパケットを転送する。
各振分け装置73,74には、このようなトラヒックの振分け(すなわちパケットの振分け)を行う振分け転送処理部75が設けられており、振分け転送処理部75は、その内蔵するセッション管理テーブル76に基づいて、パケットの振分け先となるネットワークサービス装置71(及びトラヒックモニタ72)を決定する。セッション管理テーブル76は、送信元IPアドレス(SA)、宛て先IPアドレス(DA)、送信元ポート番号(SP)及び宛て先ポート番号(DP)の組み合わせ(4タプル(4-tuple)とも呼ぶ)によって特定されるパケットごとに、そのパケットをどのネットワークサービス装置71(あるいはトラヒックモニタ72)に振り分けるかを、ネットワークサービス装置71のMAC(媒体アクセス制御(Media Access Control))アドレスによって特定するかを記述するものであり、後述するセッションのステート(状態(state))に関する情報も含まれていてよいものである。4タプルはセッションを識別するために用いられる。ネットワークサービス装置71には、前段の振分け装置73に接続するインタフェースと後段の振分け装置74に接続するインタフェースが設けられるが、前段の振分け装置73のセッション管理テーブル76に記載されるMACアドレスは、ネットワークサービス装置71での前段の振分け装置73側のインタフェースのMACアドレスであり、後段の振分け装置74のセッション管理テーブル76に記載されるMACアドレスは、ネットワークサービス装置71での後段の振分け装置74側のインタフェースのMACアドレスである。各振分け装置73,74は、パケットを受け取ったときに、そのパケットの4タプルに基づいてセッション管理テーブル76を検索し、得られたMACアドレスによってそのパケットのMACアドレスを書き換えることにより、そのパケットが振分け先のネットワークサービス装置71に送られるようにする。
ところで、トラヒックがTCPセグメントに関するものであってそのトラヒックに対してネットワークサービス装置によって処理を行う場合、処理の前後でTCPセッションが維持されなければならず、同一のTCPセッションに属するトラヒックは、いずれの方向に流れるパケットであっても同一のネットワークサービス装置に振り分けられる必要がある。図2は、ネットワークサービス装置によって提供されるサービス機能がTCPフルステートファイアウォールである場合に、セッションを維持して同一のネットワークサービス装置で処理される必要があることを示す図である。
図2は、クライアントとサーバとの間でTCPセッションを開始するときのいわゆる3ウェイハンドシェークの流れを示しており、クライアントとサーバの間にTCPフルステートファイアウォールが設けられているものとしている。TCPフルステートファイアウォールは、各パケットの信号に基づいてステートを保持し、到来したパケットについてシーケンスに基づく検査を実行する。したがって、セッションの開始時にクライアントがSYN以外のパケットを送った場合にはそのパケットはファイアウォールで廃棄され、サーバ側には届かない。SYNパケットが送られてきたときは、ファイアウォールはSYNパケットをサーバに向けて通過させるとともに、ステートとして[SYN]を保持する。次に、サーバは、SYN+ACKパケットをクライアント側に送信し、ファイアウォールはこのパケットをクライアント側に通過させるとともに、ステートとして[SYN+ACK]を保持する。このとき、サーバがSYN+ACK以外のパケットをクライアント側に送ったとすると、そのパケットはファイアウォールで廃棄される。ここで負荷分散等のために2台のTCPフルステートファイアウォールが設けられているときを考えると、クライアント側からのSYNパケットとサーバ側からのSYN+ACKパケットが異なるファイアウォールに振り分けられた場合、サーバ側からのSYN+ACKパケットは、ファイアウォールに保持されているステートが[SYN]でないので、廃棄されることになる。したがって、同一セッションのパケットは同一のネットワークサービス装置(ここではファイアウォール)に振り分けられなければならないことになる。
このように同一のTCPセッションのトラヒックは同一のネットワークサービス装置に振り分けられなければならないから、図1に示したようなネットワークサービスシステムにおいては、前段及び後段の振分け装置73,74のセッション管理テーブル76も、同一セッションのパケットが同一のネットワークサービス装置71に振り分けられるように記述される必要がある。このため従来は、保守管理者が、両方の振分け装置73,74の間で不整合が生じないように各振分け装置73,74のセッション管理テーブル76に4タプルとネットワークサービス装置のMACアドレスとを静的に設定(いわゆるコンフィグ設定)していた。しかしながら、保守管理者による設定では、設定誤りが生じやすい上に、新規サービスの追加やネットワークサービス装置の増設を行うごとに、両方の振分け装置73,74のセッション管理テーブル76の設定作業を同時に行う必要があり、管理に手間がかかるという問題も生じる。また、セッション管理テーブル76を静的に設定するのでは、各ネットワークサービス装置の現在の負荷に応じて負荷分散を図るように動的にトラヒックの振分けを行うことができず、効果的な負荷分散を達成できず、その分、ネットワークサービス装置を多めに用意する必要があって、装置コストの増加などにもつながる。
"レイヤ4スイッチ"、[Online][2013年7月25日検索]、インターネット〈URL:http://ja.wikipedia.org/wiki/レイヤ4スイッチ〉
同一セッションのパケットが同一のネットワークサービス装置に振り分けられるように双方向のトラヒックを振り分ける従来のネットワークサービスシステムでは、1対の振分け装置の各々に設けられるセッション管理テーブルの設定に手間がかかり、新規サービスの追加やネットワークサービス装置の増設に柔軟に対応できない、という課題がある。
本発明の目的は、新規サービス追加やネットワークサービス装置の増設に際して振分け装置のセッション管理テーブルの設定を自動的に行うことができるネットワークサービスシステムを提供することにある。
本発明の別の目的は、ネットワークサービスシステムにおいて、新規サービス追加やネットワークサービス装置の増設に際して振分け装置のセッション管理テーブルの設定を自動的に行うトラヒック振分け方法を提供することにある。
本発明のネットワークサービスシステムは、ネットワーク内に設けられてネットワーク内を流れるパケットに対するサービスを提供するネットワークサービスシステムであって、第1のインタフェースと第2のインタフェースとを備え、第1及び第2のインタフェース間を流れるパケットに対するサービス機能を有する、1以上のネットワークサービス装置と、各ネットワークサービス装置の第1のインタフェースに接続し、セッションを特定する情報と第1のインタフェースのアドレスとを保持する第1のセッション管理テーブルを備え、第1のセッション管理テーブルを参照して各ネットワークサービス装置に対するトラヒック振分けを行う第1の振分け装置と、各ネットワークサービス装置の第2のインタフェースに接続し、セッションを特定する情報と第2のインタフェースのアドレスとを保持する第2のセッション管理テーブルを備え、第2のセッション管理テーブルを参照して各ネットワークサービス装置に対するトラヒック振分けを行う第2の振分け装置と、第1及び第2の振分け装置に接続し、各ネットワークサービス装置ごとにそのネットワークサービス装置が有するサービス機能に関する情報とそのネットワークサービス装置の第1及び第2のインタフェースのアドレスとを保持するサービス情報テーブルを備える制御装置と、を有し、各ネットワークサービス装置は、そのネットワークサービス装置を新たに第1及び第2の振分け装置に接続するときに、そのネットワークサービス装置が提供するサービスに関する情報とそのネットワークサービス装置の第1のインタフェースのアドレスとを含むARPパケットを第1のインタフェースを介して第1の振分け装置に送信し、そのネットワークサービス装置が提供するサービスに関する情報とそのネットワークサービス装置の第2のインタフェースのアドレスとを含むARPパケットを第2のインタフェースを介して第2の振分け装置に送信する拡張G−ARP制御部を備え、各ARPパケットの内容に基づいてサービス情報テーブルが更新され、サービス情報テーブルの内容に基づいて第1及び第2のセッション管理テーブルが設定されて、セッションを保持したまま同一セッションのトラヒックが同一のネットワークサービス装置に振り分けられる。
本発明のトラヒック振分け方法は、ネットワーク内において、第1のインタフェースと第2のインタフェースとを備えて第1及び第2のインタフェース間を流れるパケットに対するサービス機能を有する1以上のネットワークサービス装置に対し、セッションを特定する情報と第1のインタフェースのアドレスとを保持する第1のセッション管理テーブルに基づいて、第1のインタフェース側でのトラヒックの振分けを行い、セッションを特定する情報と第2のインタフェースのアドレスとを保持する第2のセッション管理テーブルに基づいて、第2のインタフェース側でのトラヒックの振分けを行うトラヒック振分け方法であって、新たにネットワークサービス装置を接続するときに、そのネットワークサービス装置が提供するサービスに関する情報とそのネットワークサービス装置の第1のインタフェースのアドレスとを含むARPパケットを第1のインタフェースを介してネットワークに送信し、そのネットワークサービス装置が提供するサービスに関する情報とそのネットワークサービス装置の第2のインタフェースのアドレスとを含むARPパケットを第2のインタフェースを介してネットワークに送信することと、ネットワーク内に設けられ、各ネットワークサービス装置ごとにそのネットワークサービス装置が有するサービス機能に関する情報とそのネットワークサービス装置の第1及び第2のインタフェースのアドレスとを保持するサービス情報テーブルをARPパケットの内容に基づいて更新することと、サービス情報テーブルの内容に基づいて第1及び第2のセッション管理テーブルが設定することと、を有し、セッションを保持したまま同一セッションのトラヒックを同一のネットワークサービス装置に振り分ける。
本発明によれば、各ネットワークサービス装置ごとにそのネットワークサービス装置が有するサービス機能に関する情報とそのネットワークサービス装置の第1及び第2のインタフェースのアドレスとを保持するサービス情報テーブルを備え、新規にネットワークサービス装置を追加したときにG−ARP(Gratuitous ARP)を拡張した仕組みを用いてサービス情報テーブルが更新されるようにし、かつ、サービス情報テーブルの内容に基づいて、同一セッションのトラヒックが同一ネットワークサービス装置に振り分けられるように各振分け装置のセッション管理テーブルが設定されるようにすることにより、新規サービス追加やサービス装置の増設処理のたびに振分け装置に対してセッション識別子(上記の4タプル)やネットワークサービス装置のMACアドレスの設定作業を人手によって行うことが不要となり、新規装置を接続するだけで新規サービス追加や増設処理が可能となる、という効果が得られる。
(a)は従来のネットワークサービスシステムの構成を示すブロック図であり、(b)はセッション管理テーブルの構成の一例を示す図である。 TCPステートフルファイアウォールの動作を示すシーケンス図である。 本発明の実施の一形態のネットワークサービスシステムの構成を示すブロック図である。 拡張G−ARPにおいて用いられるARPパケットの構成を示す図である。 ネットワークサービス装置としてステートフルファイアウォールを追加する場合の例を示すブロック図である。 制御装置において収容フロー数を保持するように構成したネットワークサービスシステムの構成を示すブロック図である。
次に、本発明の好ましい実施形態について、図面を参照して説明する。
図3に示す本発明の実施の一形態のネットワークサービスシステムは、図1に示した従来のネットワークサービスシステムと同様に、トラヒックの振分けを行う前段の振分け装置13と後段の振分け装置14を備え、これらの振分け装置13,14の間に複数のネットワークサービス装置11とトラヒックモニタ12とが並列に設けられている。さらに、このネットワークサービスシステムには、両方の振分け装置13,14と接続する制御装置20が設けられている。振分け装置13,14は図1に示した振分け装置73,74と同様のものであって、振分け転送処理部15とセッション管理テーブル16を備えており、特に、セッション管理テーブル16のテーブル構成は、図1に示したセッション管理テーブル76と同一である。ネットワークサービス装置11及びトラヒックモニタ12は、それぞれ、図1に示されたネットワークサービス装置71及びトラヒックモニタ72と同様のものであるが、いずれも拡張G−ARP制御部23を備えている点で、図1に示されたものと異なっている。拡張G−ARP制御部23は、後述する拡張G−ARPに基づくARP(アドレス解決プロトコル(Address Resolustion Protocol))パケットを生成し、振分け装置13,14に送信する機能を有する。
制御装置20は、サービス情報テーブル21を備えており、振分け装置13,14に対してネットワークサービス装置11やトラヒックモニタ12のMACアドレスの設定を自動的に行う機能を有している。サービス情報テーブル21は、複数のネットワークサービス装置11及びトラヒックモニタ12の各々について、そのMACアドレスとその提供するサービスの種別に関する情報(サービス情報)とを保持するものである。各ネットワークサービス装置11及びトラヒックモニタ12は、いずれも、前段の振分け装置13と後段の振分け装置14とに対して異なるネットワークインタフェースで接続するものであり、一般にネットワークインタフェースごとにユニークなMACアドレスが付与されていることから、1つのネットワークサービス装置11(あるいはトラヒックモニタ12)ごとに、前段の振分け装置13との接続に用いられるインタフェースのMACアドレス(振分け装置(前段)側のMACアドレス)と後段の振分け装置14との接続に用いられるインタフェースのMACアドレス(振分け装置(後段)側のMACアドレス)とがサービス情報テーブル21に登録されることになる。
このような制御装置20は、振分け装置13,14との接続関係を維持できるのであれば、ネットワーク内の任意の場所に設けることができる。また、仮想マシンとしてネットワークサービス装置が実現される場合に、仮想マシン管理装置内に制御装置20が実装されるようにしてもよい。
ところでIPネットワークでは、ネットワーク機器を新たにネットワークに接続するときにIPアドレスの重複を確認するために、また、ネットワーク機器のARPキャッシュの更新を行わせるために、Gratuitous ARP(G−ARP)が用いられている。本実施形態では、G−ARPの仕組みを拡張し(以下、拡張G−ARPとも呼ぶ)、新規サービスの追加や設備増設のために新たにネットワークサービス装置を追加する際に、その追加されるネットワークサービス装置のサービス情報やMACアドレスをサービス情報テーブル21に登録し、その登録された情報に基づいて、各振分け装置13,14のセッション管理テーブル16においてその追加されたネットワークサービス装置についての設定が自動的になされるようにしている。具体的には、通常のネットワーク機器がネットワークに接続されるときと同様に、追加されるネットワークサービス装置は、振分け装置13,14に接続されるタイミングで、振分け装置13,14の各々に対して、拡張G−ARPによるARPパケットを送信する。このとき、前段の振分け装置13に送られるARPパケットには、ネットワークサービス装置における前段の振分け装置13側のインタフェースのMACアドレスとそのネットワークサービス装置のサービス情報とが含まれる。同様に後段の振分け装置14に送られるARPパケットには、後段の振分け装置14側のインタフェースのMACアドレスとそのネットワークサービス装置のサービス情報とが含まれる。
拡張G−ARPによるARPパケットを受け取った振分け装置13,14の各々は、受け取ったARPパケットに含まれるサービス情報とMACアドレスの情報とを制御装置20に送信し、これを受信した制御装置20は、受け取ったサービス情報とMACアドレスとをサービス情報テーブル21に追加する。
トラヒック振分けを動的に行わない場合には、この段階で、サービス情報テーブル21の記述内容に基づいて振分け措置13,14のセッション管理テーブル16を静的に設定すればよい。
一方、動的なトラヒック振分けを行う場合には、振分け装置13,14におけるセッション管理テーブル16の動的変更を実行する。図3に示したネットワークサービスシステムでは、セッションの最初のパケットは、外部から振分け装置13,14のどちらに到着してもよいが、ここでは説明を簡単にするため、振分け装置13に到着するものとする。
振分け装置13は、パケットを受信すると、そのパケットの4タプルに基づいてセッション管理テーブル16を参照し、セッション管理テーブル16に該当する4タプルが存在するか否かを判定する。存在しない場合には、そのパケットはセッションに関する最初のパケットということになるので、そのパケットのコピーを制御装置20へ送信する。制御装置20は、パケットを解析し、要求されているサービスの種別などを判定してどのネットワークサービス装置に振り分けるべきかを決定し、振分け装置13に、決定したネットワークサービス装置の振分け装置13側のMACアドレスを通知する。同時に制御装置20は、対向側の振分け装置14にも、決定したネットワークサービス装置の振分け装置14側のMACアドレスとパケットの4タプルとを通知する。振分け装置13は、制御装置20からMACアドレスが送られてくると、パケットの4タプルとともにそのMACアドレスをセッション管理テーブル16に追加し、さらにパケットの宛て先MACアドレスを制御装置20から送られてきたMACアドレスに書き換えてネットワークサービス装置11に送信する。これによりパケットは、制御装置20で決定されたネットワークサービス装置に送られることになる。一方、振分け装置14では、制御装置20から送られてきたMACアドレスと4タプルとをセッション管理テーブル16に登録する。このとき、4タプルに関し、振分け装置13のセッション管理テーブル16に登録されたものとは、送信元と宛て先とが入れ替えられたものとする。これにより、同一セッションのパケットは同一のネットワークサービス装置に振り分けられるように、振分け装置13,14のセッション管理テーブル16が動的に設定されたことになる。
振分け装置13(あるいは14)でパケットを受信した際にそのパケットの4タプルが既にセッション管理テーブル16に登録されていれば、そのパケットは既存のセッションのパケットである。既存のセッションのパケットを受信した振分け装置13,14は、そのセッション管理テーブル16によって指定されるMACアドレスによってそのパケットの宛て先MACアドレスを書き換え、パケットをネットワークサービス装置に送信する。
このとき、同一セッションに属するパケットは、セッションを維持したまま、同一のネットワークサービス装置に振り分けられることが保証される。
次に、本実施形態での拡張G−ARPにおいて使用されるARPパケットについて説明する。G−ARPで用いられるパケットは、通常のARPで用いられるARPパケットそのものであり、RFC826において規定されるフォーマットを有する。本実施形態の拡張G−ARPで用いられるパケットも、図4に示すように、RFC826に定められるフォーマットに準拠したものである。ただし、6バイト長の送信元MACアドレスのフィールドと4バイト長の送信元IPアドレスフィールドの間に2バイト(すなわち16ビット)のフィールドを確保し、同様に6バイト長の宛て先MACアドレスのフィールドと4バイト長の宛て先IPアドレスフィールドの間に2バイトのフィールドを確保し、このように確保したフィールドを使用して、サービス種別や、処理可能数、OS名など、サービスに必要な情報をサービス情報として格納している。図示したものでは、送信元MACアドレスに引き続く2バイトにサービス情報を格納している。2種類のファイアウォール機能があってそれらをTCPステートフルファイアウォール機能AとTCPステートフルファイアウォール機能Bとするとき、これらのファイアウォール機能を区別するために例えば前者にはサービス種別番号として“1”を後者には“2”を割り当て、このように割り当てられたサービス種別番号をサービス情報のフィールド内に格納する。
拡張G−ARPに基づくARPパケット以外に通常のG−ARPあるいはARPに基づくパケットがネットワーク内に流れる場合にこれらの間の混同を防止するためには、通常のARPパケットでは16進値で0x06が格納されているHLENフィールドの値を0x08にすればよい。
図5は、ネットワークサービス装置として、トラヒックモニタ12と、URL(Uniform Resource Locator)に基づくフィルタリング処理を実行するURLフィルタリング装置17と、TCPステートフルファイアウォール18とが用意されるとしたときの本実施形態の構成例を示している。ここでネットワークサービス装置としてのトラヒックモニタ12は、上述した制御G−ARP制御部23と、トラヒックモニタ部24と、2つの振分け装置13,14への接続にそれぞれ用いられるインタフェース25,26とを備えている。インタフェース25,26には異なるMACアドレスが付与されている。トラヒックモニタ部24は、インタフェース25,26間を通過するパケットを検査してトラヒックを監視する処理を実行する。
図5に示すように、振分け装置13,14に接続されることによって既に1台のトラヒックモニタ12とURLフィルタリング装置17とTCPステートフルファイアウォール18とがネットワークサービスシステムを構成しているとして、新たに、もう1台のトラヒックモニタ12をネットワークサービス装置として追加した場合を考える。このとき、新たに追加されたトラヒックモニタ12において、制御G−ARP制御部23により、インタフェース25,26から拡張G−ARPのARPパケットが振分け装置13,14に送られ、さらにこのトラヒックモニタ12のサービス情報とMACアドレスの情報が各振分け装置13,14から制御装置に送られ、その結果、サービス情報テーブル21に、新たに追加されたトラヒックモニタ12のサービス情報とMACアドレスとが登録されることになる。その後は、上述と同様に、動的にあるいは静的に振分け装置13,14のセッション管理テーブル16の設定がなされることになる。
以上説明したように本実施形態のネットワークサービスシステムでは、ネットワークサービス装置のサービス情報とMACアドレスとを管理するサービス情報テーブルを備える制御装置を設け、G−ARPを拡張した拡張G−ARPを使用し、ネットワークサービス装置を追加する際に拡張G−ARPを利用してそのネットワークサービス装置のサービス情報やMACアドレスを制御装置に伝えてサービス情報テーブルを更新するようにしている。そして、サービス情報テーブルの内容に応じて各振分け装置のセッション管理テーブルが動的にあるいは静的に設定できるようにしている。これにより、新規サービスの追加やネットワークサービス装置の増設のたびに前段及び後段の振分け装置に対して保守管理者がセッション管理テーブルを同時に設定する作業を行う必要がなくなり、新たにネットワークサービス装置を接続するだけで、少ない作業量で迅速かつ確実に新規サービス追加や増設の作業を完了させることができる。これはネットワークサービス装置をいわゆるプラグインとして取り扱うことを可能とするものである。また、各振分け装置におけるセッション管理テーブルを動的に設定、更新できるため、例えば、個々のネットワークサービス装置の能力や実際の負荷量に応じて適切なトラヒック振分けを行うことが可能となる。
拡張G−ARPのARPパケットのサービス情報のフィールドに格納できる項目は、上述したサービス種別に限定されるものではない。例えば、個々のネットワークサービス装置の性能や各種の制約条件なども記述することができる。図6は、サービス種別とそのネットワークサービス装置の収容可能フロー数とをサービス情報に格納する場合のネットワークサービスシステムを示している。
図6に示したものの場合、制御装置20には、サービス情報テーブル21の代わりに、ネットワークサービス装置ごとの収容可能フロー数も格納するサービス情報/MACアドレステーブル22が設けられる。サービス情報/MACアドレステーブル22は広義のサービス情報テーブルに含まれる。ネットワークサービス装置が追加されたとき、その追加されたネットワークサービス装置から振分け装置13,14に送られる拡張G−ARPのARPパケットには、サービス種別、収容可能フロー数及びMACアドレスが含まれており、これらの情報は振分け装置13,14から制御装置20に送られ、制御装置20では、これらの情報に基づいてサービス情報/MACアドレステーブル22が更新される。また制御装置20は、セッションの最初のパケットを振分け装置13,14から受け取った場合、同一のサービス種別に対して複数のネットワークサービス装置がある場合には、サービス情報/MACアドレステーブル22に記述された収容可能フロー数にしたがった重み付けで各ネットワークサービス装置にトラヒックが振り分けられるように、そのセッションを処理すべきネットワークサービス装置を決定して振分け装置13,14に対して振分けの設定を行う。具体的には、同一サービス種別で収容可能フロー数が1000であるネットワークサービス装置と収容可能フロー数が2000であるネットワークサービス装置がある場合、制御装置20は。これらのネットワークサービス装置に対して1:2の割合でトラヒックが振り分けられるように、振分け装置13,14に対する設定を行う。
11,71 ネットワークサービス装置
12,72 トラヒックモニタ
13,14,73,74 振分け装置
15,75 振分け転送処理部
16,76 セッション管理テーブル
17 URLフィルタリング装置
18TCPステートフルファイアウォール
20 制御装置
21 サービス情報テーブル
22 サービス情報/MACアドレステーブル
23 拡張G−ARP制御部
24 トラヒックモニタ部
25,26 インタフェース

Claims (6)

  1. ネットワーク内に設けられて前記ネットワーク内を流れるパケットに対するサービスを提供するネットワークサービスシステムであって、
    第1のインタフェースと第2のインタフェースとを備え、前記第1及び第2のインタフェース間を流れるパケットに対するサービス機能を有する、1以上のネットワークサービス装置と、
    前記各ネットワークサービス装置の前記第1のインタフェースに接続し、セッションを特定する情報と前記第1のインタフェースのアドレスとを保持する第1のセッション管理テーブルを備え、前記第1のセッション管理テーブルを参照して前記各ネットワークサービス装置に対するトラヒック振分けを行う第1の振分け装置と、
    前記各ネットワークサービス装置の前記第2のインタフェースに接続し、セッションを特定する情報と前記第2のインタフェースのアドレスとを保持する第2のセッション管理テーブルを備え、前記第2のセッション管理テーブルを参照して前記各ネットワークサービス装置に対するトラヒック振分けを行う第2の振分け装置と、
    前記第1及び第2の振分け装置に接続し、前記各ネットワークサービス装置ごとに当該ネットワークサービス装置が有するサービス機能に関する情報と当該ネットワークサービス装置の第1及び第2のインタフェースのアドレスとを保持するサービス情報テーブルを備える制御装置と、
    を有し、
    前記各ネットワークサービス装置は、当該ネットワークサービス装置を新たに前記第1及び第2の振分け装置に接続するときに、当該ネットワークサービス装置が提供するサービスに関する情報と当該ネットワークサービス装置の前記第1のインタフェースのアドレスとを含むARPパケットを前記第1のインタフェースを介して前記第1の振分け装置に送信し、当該ネットワークサービス装置が提供するサービスに関する情報と当該ネットワークサービス装置の前記第2のインタフェースのアドレスとを含むARPパケットを前記第2のインタフェースを介して前記第2の振分け装置に送信する拡張G−ARP制御部を備え、
    前記各ARPパケットの内容に基づいて前記サービス情報テーブルが更新され、
    前記サービス情報テーブルの内容に基づいて前記第1及び第2のセッション管理テーブルが設定されて、セッションを保持したまま同一セッションのトラヒックが同一のネットワークサービス装置に振り分けられる、ネットワークサービスシステム。
  2. 前記第1及び第2の振分け装置はセッションの最初のパケットが到着したと判断したときに当該パケットを前記制御装置に送り、前記制御装置は、前記サービス情報テーブルを参照し当該パケットを解析して振分け先となるネットワークサービス装置を決定して当該ネットワークサービス装置のアドレスを当該パケットが到着した前記振分け装置に通知するとともに、他方の前記振分け装置に当該ネットワークサービス装置のアドレスと前記セッションを識別する情報とを通知し、前記制御装置からの前記通知に基づいて前記第1及び第2のセッション管理テーブルが設定される、請求項1に記載のネットワークサービスシステム。
  3. 前記サービス情報テーブルは前記各ネットワークサービス装置の収容可能トラヒック数に関する情報を格納し、前記制御装置は、前記収容可能トラヒック数に応じて前記各ネットワークサービス装置にトラヒックが分散するように、前記振分け先となるネットワークサービス装置を決定する、請求項2に記載のネットワークサービスシステム。
  4. ネットワーク内において、第1のインタフェースと第2のインタフェースとを備えて前記第1及び第2のインタフェース間を流れるパケットに対するサービス機能を有する1以上のネットワークサービス装置に対し、セッションを特定する情報と前記第1のインタフェースのアドレスとを保持する第1のセッション管理テーブルに基づいて、前記第1のインタフェース側でのトラヒックの振分けを行い、セッションを特定する情報と前記第2のインタフェースのアドレスとを保持する第2のセッション管理テーブルに基づいて、前記第2のインタフェース側でのトラヒックの振分けを行うトラヒック振分け方法であって、
    新たにネットワークサービス装置を接続するときに、当該ネットワークサービス装置が提供するサービスに関する情報と当該ネットワークサービス装置の前記第1のインタフェースのアドレスとを含むARPパケットを前記第1のインタフェースを介して前記ネットワークに送信し、当該ネットワークサービス装置が提供するサービスに関する情報と当該ネットワークサービス装置の前記第2のインタフェースのアドレスとを含むARPパケットを前記第2のインタフェースを介して前記ネットワークに送信することと、
    前記ネットワーク内に設けられ、前記各ネットワークサービス装置ごとに当該ネットワークサービス装置が有するサービス機能に関する情報と当該ネットワークサービス装置の第1及び第2のインタフェースのアドレスとを保持するサービス情報テーブルを前記ARPパケットの内容に基づいて更新することと、
    前記サービス情報テーブルの内容に基づいて前記第1及び第2のセッション管理テーブルが設定することと、
    を有し、セッションを保持したまま同一セッションのトラヒックを同一のネットワークサービス装置に振り分ける、トラヒック振分け方法。
  5. セッションの最初のパケットが到着したと判断したときに前記サービス情報テーブルを参照し当該パケットを解析して振分け先となるネットワークサービス装置を決定することと、
    前記決定されたネットワークサービス装置に基づいて前記第1及び第2のセッション管理テーブルを設定することと、
    をさらに有する、請求項4に記載のトラヒック振分け方法。
  6. 前記サービス情報テーブルは前記各ネットワークサービス装置の収容可能トラヒック数に関する情報を格納し、前記収容可能トラヒック数に応じて前記各ネットワークサービス装置にトラヒックが分散するように、前記振分け先となるネットワークサービス装置が決定される、請求項5に記載のトラヒック振分け方法。
JP2013167434A 2013-08-12 2013-08-12 ネットワークサービスシステム及びそのトラヒック振分け方法 Expired - Fee Related JP5952235B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013167434A JP5952235B2 (ja) 2013-08-12 2013-08-12 ネットワークサービスシステム及びそのトラヒック振分け方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013167434A JP5952235B2 (ja) 2013-08-12 2013-08-12 ネットワークサービスシステム及びそのトラヒック振分け方法

Publications (2)

Publication Number Publication Date
JP2015037203A JP2015037203A (ja) 2015-02-23
JP5952235B2 true JP5952235B2 (ja) 2016-07-13

Family

ID=52687527

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013167434A Expired - Fee Related JP5952235B2 (ja) 2013-08-12 2013-08-12 ネットワークサービスシステム及びそのトラヒック振分け方法

Country Status (1)

Country Link
JP (1) JP5952235B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5405415B2 (ja) * 2010-08-18 2014-02-05 日本電信電話株式会社 サービス振分方法およびサービス振分装置
JP2013132021A (ja) * 2011-12-22 2013-07-04 Fujitsu Ltd 負荷分散装置、負荷分散方法、プログラム、およびシステム
JP2013157748A (ja) * 2012-01-27 2013-08-15 Fujitsu Ltd サービスバスシステム、サービスバス装置及び接続一意性保証方法
JP5926164B2 (ja) * 2012-11-02 2016-05-25 日本電信電話株式会社 セッションボーダーコントローラに対する高速振り分け方法及び接続システム

Also Published As

Publication number Publication date
JP2015037203A (ja) 2015-02-23

Similar Documents

Publication Publication Date Title
US10565001B2 (en) Distributed virtual network controller
JP5648926B2 (ja) ネットワークシステム、コントローラ、ネットワーク制御方法
US10375193B2 (en) Source IP address transparency systems and methods
US9419940B2 (en) IPv4 data center support for IPv4 and IPv6 visitors
US20110252281A1 (en) Transparent auto-discovery of network devices logically located between a client and server
JP2015122640A (ja) 中継システムおよびスイッチ装置
WO2013097484A1 (zh) 虚拟机集群的负载均衡方法、服务器及系统
US20160191385A1 (en) Ccn fragmentation gateway
US9882813B2 (en) Apparatus and method for flow control
US9590905B2 (en) Control apparatus and a communication method, apparatus, and system to perform path control of a network
JP2006262193A (ja) 制御装置、パケット転送方法およびパケット処理装置
JP5861772B2 (ja) ネットワークアプライアンス冗長化システム、制御装置、ネットワークアプライアンス冗長化方法及びプログラム
JP2008225644A (ja) ゲートウェイ装置、ゲートウェイ装置の負荷分散方法及びゲートウェイ装置の負荷分散プログラム
JP5018969B2 (ja) 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法
WO2014142278A1 (ja) 制御装置、通信システム、通信方法及びプログラム
WO2015150975A1 (en) Remote asymmetric tcp connection offload over rdma
JP5952235B2 (ja) ネットワークサービスシステム及びそのトラヒック振分け方法
US10361997B2 (en) Auto discovery between proxies in an IPv6 network
US10805149B2 (en) Method for automatically renovating correspondence failure of actual and virtual addresses of network equipment
CN105847458B (zh) 基于dns的p2p缓存引导系统及方法
US20160094357A1 (en) Control apparatus, computer system, communication control method, and program
WO2015184979A1 (zh) 处理报文、发送信息、接收信息的方法及装置
JP5992348B2 (ja) 負荷分散システム、負荷分散方法
EP2891298B1 (en) Method and node for automatically exchanging network service provider information
WO2016062085A1 (zh) 虚拟网络实现的方法、nve、nva装置及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150701

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160609

R150 Certificate of patent or registration of utility model

Ref document number: 5952235

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees