JP6069236B2 - アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム - Google Patents
アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム Download PDFInfo
- Publication number
- JP6069236B2 JP6069236B2 JP2014034741A JP2014034741A JP6069236B2 JP 6069236 B2 JP6069236 B2 JP 6069236B2 JP 2014034741 A JP2014034741 A JP 2014034741A JP 2014034741 A JP2014034741 A JP 2014034741A JP 6069236 B2 JP6069236 B2 JP 6069236B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- flow
- application identification
- destination
- packet header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、IPネットワークにおけるデータパケットのアプリケーション識別を行うアプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラムに関する。
近年では、アプリケーションを意識したサービスの提供や、プロビジョニングのための詳細なネットワーク状況把握を目的として、IPパケットのペイロード部を解析するDPI(Deep Packet Inspection)装置の導入が進んでいる。DPI装置は、フローの高次レイヤ分析によりアプリケーション識別を実現するアプリケーション識別機能と、5tupleベースのフロー制御を実現するパケットヘッダ識別制御機能の両方を具備している。DPI装置は、ポリシ管理機能からの指示によって識別や制御を実施する。
図8は、第1比較例のDPI装置をインラインに設置したアプリケーション識別システム1Eの概略の構成図である。
第1比較例のアプリケーション識別システム1Eは、コア網9にポリシ管理装置4と、DPI装置2E−1,2E−2とが、それぞれ相互に通信可能に接続されている。
第1比較例のアプリケーション識別システム1Eは、コア網9にポリシ管理装置4と、DPI装置2E−1,2E−2とが、それぞれ相互に通信可能に接続されている。
DPI装置2E−1は、L7(Layer 7)分析によりアプリケーション識別を実現するアプリケーション識別部3E−1と、5tupleベースのフロー制御を実現するパケットヘッダ識別制御部21−1の両方を備えている。5tupleとは、送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号・プロトコル番号のことをいう。
DPI装置2E−2は、同様なアプリケーション識別部3E−2と、パケットヘッダ識別制御部21−2とを備えている。DPI装置2E−1,2E−2は、それぞれユーザ端末5−1,5−2をコア網9に接続するエッジルータである。
DPI装置2E−1,2E−2は、ポリシ管理装置4からの指示によってデータパケットのアプリケーション識別や制御を実施する。
DPI装置2E−1,2E−2は、ポリシ管理装置4からの指示によってデータパケットのアプリケーション識別や制御を実施する。
3GPP、「3GPP TS 23.203: 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Policy and charging control architecture」、2013年9月、Release 12
第1比較例に示す、フローのL7(Layer 7)分析などの高次レイヤ分析は、5tuple識別と比較して高コストである。次世代ネットワーク(NGN)のような大規模ネットワークの全回線にDPI装置を設置すると、分割損が多量に発生して高コストになる虞がある。よって、大規模ネットワークの回線において、アプリケーション単位の制御を低コストで効率的に実現することが求められている。
本発明は、前記した問題を解決し、IPネットワークにおけるフローのアプリケーション識別を効率的に行うことを課題とする。
前記課題を解決するため、フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、設定されたポリシに合致するフローをこのアプリケーション識別装置へ転送して共用する複数のパケットヘッダ識別制御部とを備えるアプリケーション識別システムの転送削減方法の発明とした。アプリケーション識別装置は、フローの宛先に合致するポリシをフローに適用したならば、このフローに宛先ポリシ適用済みタグを付与する。パケットヘッダ識別制御部は、フローを構成するパケットに宛先ポリシ適用済みタグが付与されていたならば、この宛先ポリシ適用済みタグを削除して、このフローをルーティングに基づき転送し、フローを構成するパケットにこの宛先ポリシ適用済みタグが付与されていなかったならば、このフローが設定されたポリシに合致するか否かを判断し、設定されたポリシに合致するならば、このアプリケーション識別装置へ転送する。
アプリケーション識別装置では、パケットヘッダ識別制御部から転送されるフローを受信し、このパケットヘッダ識別制御部にフローを転送する通信部と、このフローの送信元に関するポリシが設定されていたならば、このポリシをこのフローに適用し、このフローの宛元に関するポリシが設定されていたならば、このポリシをこのフローに適用するポリシ適用処理部と、宛元に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与するタグ付与部と、各ポリシを格納する記憶部とを備える。
アプリケーション識別プログラムの発明では、パケットヘッダ識別制御部から転送されるフローを受信し、このフローの送信元に関するポリシが設定されていたならば、このポリシをこのフローに適用し、このフローの宛先に関するポリシが設定されていたならば、このポリシをこのフローに適用して宛先ポリシ適用済みタグを付与し、このフローをこのパケットヘッダ識別制御部に転送する処理をアプリケーション識別装置に実行させることとした。
このようにすることで、パケットヘッダ識別制御部がアプリケーション識別装置を共用し、かつ、このアプリケーション識別装置への転送を一度で済ませることができる。これにより、IPネットワークにおけるフローのアプリケーション識別を効率的に行うことができる。
本発明によれば、IPネットワークにおけるデータパケットのアプリケーション識別を効率的に行うことが可能となる。
次に、第2比較例と本発明を実施するための形態(「実施形態」という)とについて、適宜図面を参照しながら詳細に説明する。
<第2比較例>
図9は、第2比較例のアプリケーション識別システム1Cを示す概略の構成図である。
アプリケーション識別システム1Cは、アプリケーション識別装置3Cを、複数のパケットヘッダ識別制御部21C−1〜21C−3で共用するように、ネットワーク上に配置している。これによりアプリケーション識別システム1Cは、アプリケーション識別装置3Cの利用効率を向上させることが可能である。
アプリケーション識別装置3Cは、フローを構成するパケットのデータ部分を識別する。
<第2比較例>
図9は、第2比較例のアプリケーション識別システム1Cを示す概略の構成図である。
アプリケーション識別システム1Cは、アプリケーション識別装置3Cを、複数のパケットヘッダ識別制御部21C−1〜21C−3で共用するように、ネットワーク上に配置している。これによりアプリケーション識別システム1Cは、アプリケーション識別装置3Cの利用効率を向上させることが可能である。
アプリケーション識別装置3Cは、フローを構成するパケットのデータ部分を識別する。
アプリケーション識別システム1Cにおいて、パケットヘッダ識別制御部21C−1〜21C−3は、コア網9のエッジとしてインラインに設置される。パケットヘッダ識別制御部21C−1〜21C−3は、設定されたポリシに合致するフローをアプリケーション識別装置3Cへ転送して、アプリケーション識別装置3Cを共用する。以下、パケットヘッダ識別制御部21C−1〜21−3を特に区別しない場合には、単に「パケットヘッダ識別制御部21C」と記載している場合がある。
図10は、第2比較例の送信元と宛先のパケットヘッダ識別制御部21Cにポリシ設定した例を示す図である。
大規模ネットワークでは、コア網9内の全ての装置に、このコア網9内で使用する全てのポリシを適用することは困難である。そのため、ポリシ管理装置4は、パケットヘッダ識別制御部21Cに対して、このパケットヘッダ識別制御部21Cが直接接続する外部ネットワークに関するポリシを設定することが一般的である。
大規模ネットワークでは、コア網9内の全ての装置に、このコア網9内で使用する全てのポリシを適用することは困難である。そのため、ポリシ管理装置4は、パケットヘッダ識別制御部21Cに対して、このパケットヘッダ識別制御部21Cが直接接続する外部ネットワークに関するポリシを設定することが一般的である。
例えば、ユーザ端末5−1(ユーザA)に接続するパケットヘッダ識別制御部21C−1には、ユーザAをキーとするポリシAが設定される。
ユーザ端末5−2(ユーザB)に接続するパケットヘッダ識別制御部21C−2には、ユーザBをキーとするポリシBが設定される。
サーバ7(サーバX)に接続するパケットヘッダ識別制御部21C−4には、サーバXをキーとするポリシXが設定される。
フローF20は、サーバ7(サーバX)が送信元であり、ユーザ端末5−1(ユーザA)が宛先である。
ユーザ端末5−2(ユーザB)に接続するパケットヘッダ識別制御部21C−2には、ユーザBをキーとするポリシBが設定される。
サーバ7(サーバX)に接続するパケットヘッダ識別制御部21C−4には、サーバXをキーとするポリシXが設定される。
フローF20は、サーバ7(サーバX)が送信元であり、ユーザ端末5−1(ユーザA)が宛先である。
パケットヘッダ識別制御部21C−4は、コア網9外からコア網9内への入力のフローF20を受信すると、その送信元IPアドレスにより、送信元がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−4は、フローF20の送信元がサーバ7(サーバX)であり、アプリケーション識別対象の装置なので、このフローF20をアプリケーション識別装置3Cへ転送する。このフローF20は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−4に返送される。
パケットヘッダ識別制御部21C−4は、アプリケーション識別装置3Cから返送されたフローF20を受信すると、通常のルーティング処理を行う。このフローF20は、パケットヘッダ識別制御部21C−1にルーティングされる。
パケットヘッダ識別制御部21C−4は、アプリケーション識別装置3Cから返送されたフローF20を受信すると、通常のルーティング処理を行う。このフローF20は、パケットヘッダ識別制御部21C−1にルーティングされる。
パケットヘッダ識別制御部21C−1は、コア網9内からコア網9外への出力のフローF20を受信すると、その宛先IPアドレスにより、宛先がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−1は、出力フローF20の宛先がユーザ端末5−1(ユーザA)であり、アプリケーション識別対象の装置なので、このフローF20をアプリケーション識別装置3Cへ転送する。このフローF20は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−1に返送される。
パケットヘッダ識別制御部21C−1は、アプリケーション識別装置3Cから返送されたフローF20を受信すると、通常のルーティング処理を行う。このフローF20は、ユーザ端末5−1(ユーザA)にルーティングされる。
パケットヘッダ識別制御部21C−1は、アプリケーション識別装置3Cから返送されたフローF20を受信すると、通常のルーティング処理を行う。このフローF20は、ユーザ端末5−1(ユーザA)にルーティングされる。
フローF21は、ユーザ端末5−1(ユーザA)が送信元であり、ユーザ端末5−2(ユーザB)が宛先である。
パケットヘッダ識別制御部21C−1は、コア網9外からコア網9内への入力のフローF21を受信すると、その送信元IPアドレスにより、送信元がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−1は、フローF21の送信元がユーザ端末5−1(ユーザA)であり、アプリケーション識別対象の装置なので、このフローF21をアプリケーション識別装置3Cへ転送する。このフローF21は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−1に返送される。
パケットヘッダ識別制御部21C−1は、アプリケーション識別装置3Cから返送されたフローF21を受信すると、通常のルーティング処理を行う。このフローF21は、パケットヘッダ識別制御部21C−2にルーティングされる。
パケットヘッダ識別制御部21C−1は、コア網9外からコア網9内への入力のフローF21を受信すると、その送信元IPアドレスにより、送信元がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−1は、フローF21の送信元がユーザ端末5−1(ユーザA)であり、アプリケーション識別対象の装置なので、このフローF21をアプリケーション識別装置3Cへ転送する。このフローF21は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−1に返送される。
パケットヘッダ識別制御部21C−1は、アプリケーション識別装置3Cから返送されたフローF21を受信すると、通常のルーティング処理を行う。このフローF21は、パケットヘッダ識別制御部21C−2にルーティングされる。
パケットヘッダ識別制御部21C−2は、コア網9内からコア網9外への出力のフローF21を受信すると、その宛先IPアドレスにより、宛先がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−2は、出力フローF21の宛先がユーザ端末5−2(ユーザB)であり、アプリケーション識別対象の装置なので、このフローF21をアプリケーション識別装置3Cへ転送する。このフローF21は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−2に返送される。
パケットヘッダ識別制御部21C−2は、アプリケーション識別装置3Cから返送されたフローF21を受信すると、通常のルーティング処理を行う。このフローF21は、ユーザ端末5−2(ユーザB)にルーティングされる。
パケットヘッダ識別制御部21C−2は、アプリケーション識別装置3Cから返送されたフローF21を受信すると、通常のルーティング処理を行う。このフローF21は、ユーザ端末5−2(ユーザB)にルーティングされる。
第2比較例のように、ネットワークを流れるフローをアプリケーション単位で制御する場合に、パケットヘッダ識別制御部21C−1,21C−2,21C−4において、アプリケーション識別装置3Cに転送するフローを絞り込むことで、アプリケーション識別リソースを削減する方式が検討されている。
第2比較例では、パケットヘッダ識別制御部21が直接接続する外部ネットワークに関するポリシを設定する構成である。フローF20,F21のように、送信元と宛先の双方がアプリケーション識別対象の装置であった場合、フローは、アプリケーション識別装置3Cへ2度転送される。よって、通信品質の低下やアプリケーション識別装置3Cのリソースの2重消費が発生し、効率が低下する。
第1の実施形態のアプリケーション識別装置3は、送信元と宛先の処理を一度に行い、宛先ポリシ適用済みタグを付与する。アプリケーション識別装置3がタグを付与することで、1つのフローがアプリケーション識別装置3に2度転送されることを防止する。これにより、アプリケーション識別処理に必要なリソースを大幅に削減することが可能である。
<第1の実施形態>
図1は、第1の実施形態におけるアプリケーション識別システム1を示す概略の構成図である。
図1に示すように、アプリケーション識別システム1は、コア網9に、アプリケーション識別装置3と、ポリシ管理装置4と、パケットヘッダ識別制御部21−1,21−2とを備えている。パケットヘッダ識別制御部21−1,21−2は、コア網9のエッジとしてインラインに設置される。
図1は、第1の実施形態におけるアプリケーション識別システム1を示す概略の構成図である。
図1に示すように、アプリケーション識別システム1は、コア網9に、アプリケーション識別装置3と、ポリシ管理装置4と、パケットヘッダ識別制御部21−1,21−2とを備えている。パケットヘッダ識別制御部21−1,21−2は、コア網9のエッジとしてインラインに設置される。
アプリケーション識別装置3は、通信部31と、ポリシ適用処理部32と、タグ付与部33と、記憶部34とを備える。アプリケーション識別装置3は、パケットヘッダ識別制御部21からフローを受信すると、フローの宛先に合致するポリシを検索して適用し、フローを構成するパケットのデータ部分を識別する。
通信部31は、各パケットヘッダ識別制御部21から転送されるフローを受信し、このフローをパケットヘッダ識別制御部21に返送する。
通信部31は、各パケットヘッダ識別制御部21から転送されるフローを受信し、このフローをパケットヘッダ識別制御部21に返送する。
記憶部34は、各パケットヘッダ識別制御部21と同様なアプリケーション識別ポリシを保持する。記憶部34には、ユーザ端末5−1(ユーザA)に係るポリシAと、ユーザ端末5−3(ユーザC)に係るポリシCと、ユーザ端末5−4(ユーザD)に係るポリシDとが格納される。なお、記憶部34には、ユーザ端末5−2(ユーザB)に係るポリシAは格納されていない。
ポリシ適用処理部32は、フローを構成するパケットに、各アプリケーション識別ポリシを適用する。ポリシ適用処理部32は、このフローの送信元に関するポリシが自身に設定されていたならば、このポリシをこのフローに適用し、このフローの宛先に関するポリシが自身に設定されていたならば、このポリシをこのフローに適用する。ポリシ適用処理部32は、フローを構成するパケットのデータ部分を識別することにより、該当するアプリケーション識別ポリシを適用する。
タグ付与部33は、宛先に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与する。
ポリシ適用処理部32は、フローを構成するパケットに、各アプリケーション識別ポリシを適用する。ポリシ適用処理部32は、このフローの送信元に関するポリシが自身に設定されていたならば、このポリシをこのフローに適用し、このフローの宛先に関するポリシが自身に設定されていたならば、このポリシをこのフローに適用する。ポリシ適用処理部32は、フローを構成するパケットのデータ部分を識別することにより、該当するアプリケーション識別ポリシを適用する。
タグ付与部33は、宛先に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与する。
ポリシ管理装置4と、パケットヘッダ識別制御部21−1,21−2と、アプリケーション識別装置3とは、相互に通信可能に接続されている。ポリシ管理装置4は、アプリケーション識別装置3に対して、ユーザAのアプリケーション識別を実施するポリシAと、ユーザCのアプリケーション識別を実施するポリシCと、ユーザDのアプリケーション識別を実施するポリシDとを設定している。
アプリケーション識別システム1は、パケットヘッダ識別制御部21−1を介してユーザ端末5−1,5−2に接続され、更にパケットヘッダ識別制御部21−2を介してユーザ端末5−3,5−4に接続される。すなわち、ユーザ端末5−1(ユーザA)とユーザ端末5−2(ユーザB)とは、パケットヘッダ識別制御部21−1を介してコア網9に接続している。ユーザ端末5−3(ユーザC)とユーザ端末5−4(ユーザD)とは、パケットヘッダ識別制御部21−2を介してコア網9に接続している。
パケットヘッダ識別制御部21−1,21−2には、何らポリシが設定されていない。
パケットヘッダ識別制御部21−1,21−2には、何らポリシが設定されていない。
ユーザAとユーザCは、フローF0によりユニキャストで通信している。フローF0は、ユーザ端末5−1からパケットヘッダ識別制御部21−1とコア網9とパケットヘッダ識別制御部21−2とを介してユーザ端末5−3に至るフローと、その逆のフローとである。
ユーザBとユーザDは、フローF1によりユニキャストで通信している。フローF1は、ユーザ端末5−2からパケットヘッダ識別制御部21−1とコア網9とパケットヘッダ識別制御部21−2とを介してユーザ端末5−4に至るフローと、その逆のフローとである。
図2は、第1の実施形態におけるアプリケーション識別システム1のフローの転送経路例を示す図である。
図1で示した状態の後、ポリシ管理装置4は、フローをアプリケーション識別装置3に転送するために、パケットヘッダ識別制御部21−1に、ユーザ端末5−1(ユーザA)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシAを設定する。
ポリシ管理装置4は、パケットヘッダ識別制御部21−2に、ユーザ端末5−3(ユーザC)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシCを設定する。ポリシ管理装置4は、パケットヘッダ識別制御部21−2に、ユーザ端末5−4(ユーザD)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシDを設定する。
パケットヘッダ識別制御部21−1には、ポリシAが設定される。パケットヘッダ識別制御部21−2には、ポリシC・ポリシDが設定される。
なお、各ポリシは、該当する装置が送信元のみであるフローや、該当する装置が宛先のみであるフローに対するポリシであってもよい。
図1で示した状態の後、ポリシ管理装置4は、フローをアプリケーション識別装置3に転送するために、パケットヘッダ識別制御部21−1に、ユーザ端末5−1(ユーザA)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシAを設定する。
ポリシ管理装置4は、パケットヘッダ識別制御部21−2に、ユーザ端末5−3(ユーザC)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシCを設定する。ポリシ管理装置4は、パケットヘッダ識別制御部21−2に、ユーザ端末5−4(ユーザD)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシDを設定する。
パケットヘッダ識別制御部21−1には、ポリシAが設定される。パケットヘッダ識別制御部21−2には、ポリシC・ポリシDが設定される。
なお、各ポリシは、該当する装置が送信元のみであるフローや、該当する装置が宛先のみであるフローに対するポリシであってもよい。
フローF2は、ユーザAからユーザCへ通信するフローである。
ユーザ端末5−1(ユーザA)は、ユーザ端末5−3(ユーザC)を宛先とするフローF2を、パケットヘッダ識別制御部21−1を介して送信する。
ユーザ端末5−1(ユーザA)は、ユーザ端末5−3(ユーザC)を宛先とするフローF2を、パケットヘッダ識別制御部21−1を介して送信する。
パケットヘッダ識別制御部21−1は、ユーザ端末5−1(ユーザA)からフローF2を受信すると、自身に設定されたポリシAに基づき、このフローF2をアプリケーション識別装置3へ転送する。
アプリケーション識別装置3は、受信したフローF2に合致するポリシを検索する。アプリケーション識別装置3は、ポリシAおよびポリシCを適用する。アプリケーション識別装置3は、フローF2の宛先であるユーザ端末5−3(ユーザC)のポリシCを適用したため、フローF2に宛先ポリシ適用済みタグを付与する。アプリケーション識別装置3は、このフローF2をパケットヘッダ識別制御部21−1へ返送する。パケットヘッダ識別制御部21−1は、返送されたフローF2に通常のルーティング処理を行う。このフローF2は、パケットヘッダ識別制御部21−2にルーティングされる。
パケットヘッダ識別制御部21−2は、受信したフローF2に宛先ポリシ適用済みタグが付与されていることから、宛先のユーザ端末5−3(ユーザC)に関するポリシCが適用済みであることを検知する。パケットヘッダ識別制御部21−2は、このフローF2をアプリケーション識別装置3へ転送せず、通常のルーティング処理を行う。このフローF2は、ユーザ端末5−3(ユーザC)にルーティングされる。
フローF3は、ユーザCからユーザAへ通信するフローである。
ユーザ端末5−3(ユーザC)は、ユーザ端末5−1(ユーザA)を宛先とするフローF3を、パケットヘッダ識別制御部21−2を介して送信する。
パケットヘッダ識別制御部21−2は、ユーザ端末5−3(ユーザC)からフローF3を受信すると、自身に設定されたポリシCに基づき、このフローF3をアプリケーション識別装置3へ転送する。
ユーザ端末5−3(ユーザC)は、ユーザ端末5−1(ユーザA)を宛先とするフローF3を、パケットヘッダ識別制御部21−2を介して送信する。
パケットヘッダ識別制御部21−2は、ユーザ端末5−3(ユーザC)からフローF3を受信すると、自身に設定されたポリシCに基づき、このフローF3をアプリケーション識別装置3へ転送する。
アプリケーション識別装置3は、受信したフローF3に合致するポリシを検索し、ポリシCおよびポリシAを適用する。アプリケーション識別装置3は、フローF3の宛先であるユーザ端末5−1(ユーザA)のポリシAを適用したため、フローF3に宛先ポリシ適用済みタグを付与する。アプリケーション識別装置3は、このフローF3をパケットヘッダ識別制御部21−2へ返送する。パケットヘッダ識別制御部21−2は、返送されたフローF3に通常のルーティング処理を行う。このフローF3は、パケットヘッダ識別制御部21−1にルーティングされる。
パケットヘッダ識別制御部21−1は、受信したフローF3に宛先ポリシ適用済みタグが付与されていることから、宛先のユーザ端末5−1(ユーザA)に関するポリシが適用済みであることを検知する。パケットヘッダ識別制御部21−1は、このフローF3を、アプリケーション識別装置3へ転送せずに通常のルーティング処理を行う。このフローF3は、ユーザ端末5−1(ユーザA)にルーティングされる。
フローF4は、ユーザBからユーザDへ通信するフローである。
ユーザ端末5−2(ユーザB)は、ユーザ端末5−4(ユーザD)を宛先とするフローF4を、パケットヘッダ識別制御部21−1を介して送信する。
ユーザ端末5−2(ユーザB)は、ユーザ端末5−4(ユーザD)を宛先とするフローF4を、パケットヘッダ識別制御部21−1を介して送信する。
パケットヘッダ識別制御部21−1は、ユーザ端末5−2(ユーザB)からフローF4を受信すると、ユーザ端末5−2(ユーザB)に関するポリシが無いことを確認し、このフローF4に通常のルーティング処理を行う。このフローF4は、パケットヘッダ識別制御部21−2にルーティングされる。
パケットヘッダ識別制御部21−2は、受信したフローF4に宛先ポリシ適用済みタグが付与されていないことから、自身に設定されたポリシDに基づき、このフローF4をアプリケーション識別装置3へ転送する。
アプリケーション識別装置3は、受信したフローF4に合致するポリシを検索し、ポリシDを適用する。アプリケーション識別装置3は、フローF4をパケットヘッダ識別制御部21−2へ返送する。
パケットヘッダ識別制御部21−2は、返送されたフローF4に通常のルーティング処理を行う。このフローF4は、ユーザ端末5−4(ユーザD)にルーティングされる。
パケットヘッダ識別制御部21−2は、返送されたフローF4に通常のルーティング処理を行う。このフローF4は、ユーザ端末5−4(ユーザD)にルーティングされる。
フローF5は、ユーザDからユーザBへ通信するフローである。
ユーザ端末5−4(ユーザD)は、ユーザ端末5−2(ユーザB)を宛先とするフローF5を、パケットヘッダ識別制御部21−2を介して送信する。
パケットヘッダ識別制御部21−2は、ユーザ端末5−4(ユーザD)からフローF5を受信すると、自身に設定されたポリシDに基づき、このフローF5をアプリケーション識別装置3へ転送する。
ユーザ端末5−4(ユーザD)は、ユーザ端末5−2(ユーザB)を宛先とするフローF5を、パケットヘッダ識別制御部21−2を介して送信する。
パケットヘッダ識別制御部21−2は、ユーザ端末5−4(ユーザD)からフローF5を受信すると、自身に設定されたポリシDに基づき、このフローF5をアプリケーション識別装置3へ転送する。
アプリケーション識別装置3は、受信したフローF5に合致するポリシを検索し、ポリシDを適用する。アプリケーション識別装置3は、このフローF5をパケットヘッダ識別制御部21−2へ返送する。パケットヘッダ識別制御部21−2は、返送されたフローF5に通常のルーティング処理を行う。このフローF5は、パケットヘッダ識別制御部21−1にルーティングされる。
パケットヘッダ識別制御部21−1は、受信したフローF5に宛先ポリシ適用済みタグが付与されていないことから、自身に設定されたポリシを確認し、ポリシBが無いことを確認する。パケットヘッダ識別制御部21−1は、このフローF5をアプリケーション識別装置3へ転送せずに、通常のルーティング処理を行う。このフローF5は、ユーザ端末5−2(ユーザB)にルーティングされる。
図3は、第1の実施形態におけるパケットヘッダ識別制御部21の処理を示すフローチャートである。
パケットヘッダ識別制御部21に、コア網9内からフローが到着すると、図3の処理が開始する。
ステップS10において、パケットヘッダ識別制御部21は、コア網9内から到着したフローを受信する。
パケットヘッダ識別制御部21に、コア網9内からフローが到着すると、図3の処理が開始する。
ステップS10において、パケットヘッダ識別制御部21は、コア網9内から到着したフローを受信する。
ステップS11において、パケットヘッダ識別制御部21は、このフローが宛先ポリシ適用済みタグ付きであるか否かを判断する。パケットヘッダ識別制御部21は、このフローが宛先ポリシ適用済みタグ付きであったならば(Yes)、ステップS12の処理を行い、このフローが宛先ポリシ適用済みタグ付きではなかったならば(No)、ステップS13の処理を行う。
ステップS12において、パケットヘッダ識別制御部21は、このフローから宛先ポリシ適用済みタグを削除して、ステップS16の処理を行う。
ステップS12において、パケットヘッダ識別制御部21は、このフローから宛先ポリシ適用済みタグを削除して、ステップS16の処理を行う。
ステップS13において、パケットヘッダ識別制御部21は、このフローがアプリケーション識別対象のフローであるか否かを判断する。パケットヘッダ識別制御部21は、このフローがアプリケーション識別対象のフローであったならば(Yes)、ステップS14の処理を行い、このフローがアプリケーション識別対象のフローではなかったならば(No)、ステップS16の処理を行う。
ステップS14において、パケットヘッダ識別制御部21は、このフローを、アプリケーション識別装置3へ転送する。
ステップS15において、パケットヘッダ識別制御部21は、アプリケーション識別装置3からフローが返送されるまで待ち、このフローを受信する。
ステップS16において、パケットヘッダ識別制御部21は、このフローを通常のルーティングに基づいて転送し、図3の処理を終了する。
ステップS14において、パケットヘッダ識別制御部21は、このフローを、アプリケーション識別装置3へ転送する。
ステップS15において、パケットヘッダ識別制御部21は、アプリケーション識別装置3からフローが返送されるまで待ち、このフローを受信する。
ステップS16において、パケットヘッダ識別制御部21は、このフローを通常のルーティングに基づいて転送し、図3の処理を終了する。
このようにすることで、パケットヘッダ識別制御部21は、フローをアプリケーション識別装置3に転送する回数を1回とすることができるので、アプリケーション識別処理を効率化することができる。
図4は、第1の実施形態におけるアプリケーション識別装置3の処理を示すフローチャートである。
アプリケーション識別装置3に、パケットヘッダ識別制御部21が転送したフローが到着すると、図4の処理が開始する。
ステップS20において、アプリケーション識別装置3は、パケットヘッダ識別制御部21から到着したフローを受信する。アプリケーション識別装置3は、このフローの送信元ポリシを格納している。
ステップS21において、アプリケーション識別装置3は、送信元ポリシのアプリケーション識別処理を行う。
アプリケーション識別装置3に、パケットヘッダ識別制御部21が転送したフローが到着すると、図4の処理が開始する。
ステップS20において、アプリケーション識別装置3は、パケットヘッダ識別制御部21から到着したフローを受信する。アプリケーション識別装置3は、このフローの送信元ポリシを格納している。
ステップS21において、アプリケーション識別装置3は、送信元ポリシのアプリケーション識別処理を行う。
ステップS22において、アプリケーション識別装置3は、このフローの宛先ポリシを格納しているか否かを判断する。アプリケーション識別装置3は、このフローの宛先ポリシを格納していたならば(Yes)、ステップS23の処理を行い、このフローの宛先ポリシを格納していなかったならば(No)、ステップS25の処理を行う。
ステップS23において、アプリケーション識別装置3は、宛先ポリシのアプリケーション識別処理を行う。
ステップS24において、アプリケーション識別装置3は、このフローを構成するパケットに、宛先ポリシ適用済みタグを付与する。
ステップS25において、アプリケーション識別装置3は、このフローをパケットヘッダ識別制御部21へ返送し、図4の処理を終了する。
ステップS23において、アプリケーション識別装置3は、宛先ポリシのアプリケーション識別処理を行う。
ステップS24において、アプリケーション識別装置3は、このフローを構成するパケットに、宛先ポリシ適用済みタグを付与する。
ステップS25において、アプリケーション識別装置3は、このフローをパケットヘッダ識別制御部21へ返送し、図4の処理を終了する。
アプリケーション識別装置3は、一度のフローの転送で、送信元ポリシと宛先ポリシの両方を適用するので、フローのアプリケーション識別を効率的に行うことができる。
<第2の実施形態>
図5は、第2の実施形態におけるアプリケーション識別装置3の処理を示すフローチャートである。
ステップS30において、アプリケーション識別装置3は、パケットヘッダ識別制御部21から到着したフローを受信する。アプリケーション識別装置3は、このフローの送信元ポリシを格納している。
図5は、第2の実施形態におけるアプリケーション識別装置3の処理を示すフローチャートである。
ステップS30において、アプリケーション識別装置3は、パケットヘッダ識別制御部21から到着したフローを受信する。アプリケーション識別装置3は、このフローの送信元ポリシを格納している。
ステップS31において、アプリケーション識別装置3は、このフローの宛先ポリシを格納しているか否かを判断する。アプリケーション識別装置3は、このフローの宛先ポリシを格納していたならば(Yes)、ステップS32の処理を行い、このフローの宛先ポリシを格納していなかったならば(No)、ステップS35の処理を行う。
ステップS32において、アプリケーション識別装置3は、送信元ポリシと宛先ポリシとをマージする。ここで、ポリシのマージとは、例えば両ポリシに共通する処理を1回の処理に纏めることをいう。
ステップS33において、アプリケーション識別装置3は、マージしたポリシのアプリケーション識別処理を行う。
ステップS32において、アプリケーション識別装置3は、送信元ポリシと宛先ポリシとをマージする。ここで、ポリシのマージとは、例えば両ポリシに共通する処理を1回の処理に纏めることをいう。
ステップS33において、アプリケーション識別装置3は、マージしたポリシのアプリケーション識別処理を行う。
ステップS34において、アプリケーション識別装置3は、このフローを構成するパケットに、宛先ポリシ適用済みタグを付与し、ステップS36の処理を行う。
ステップS35において、アプリケーション識別装置3は、送信元ポリシのアプリケーション識別処理を行う。
ステップS36において、アプリケーション識別装置3は、このフローをパケットヘッダ識別制御部21へ返送し、図5の処理を終了する。
ステップS35において、アプリケーション識別装置3は、送信元ポリシのアプリケーション識別処理を行う。
ステップS36において、アプリケーション識別装置3は、このフローをパケットヘッダ識別制御部21へ返送し、図5の処理を終了する。
第2の実施形態のアプリケーション識別装置3は、送信元に関するポリシと宛先に関するポリシとをマージして適用し、宛先ポリシ適用済みタグを付与する。例えば、送信元ポリシと宛先ポリシの両方に、ウイルスチェックの処理が含まれていたならば、2回のウイルスチェックの処理をマージして1回に纏める。これにより、フローのアプリケーション識別を、更に効率的に行うことができる。
<第3の実施形態>
図6は、第3の実施形態におけるアプリケーション識別システム1Bを示す概略の構成図である。図1に示す第1の実施形態のアプリケーション識別システム1と同一の要素には同一の符号を付与している。
アプリケーション識別システム1Bは、第1の実施形態とは異なるアプリケーション識別装置3Bと、ポリシ管理装置4Bとを備えている。アプリケーション識別装置3Bは、第1の実施形態とは異なるポリシ適用処理部32Bを備えている。
図6は、第3の実施形態におけるアプリケーション識別システム1Bを示す概略の構成図である。図1に示す第1の実施形態のアプリケーション識別システム1と同一の要素には同一の符号を付与している。
アプリケーション識別システム1Bは、第1の実施形態とは異なるアプリケーション識別装置3Bと、ポリシ管理装置4Bとを備えている。アプリケーション識別装置3Bは、第1の実施形態とは異なるポリシ適用処理部32Bを備えている。
アプリケーション識別装置3Bの記憶部34には、ポリシA・ポリシC・ポリシDに加えて、ポリシAとポリシCとがマージされたポリシACと、ポリシAとポリシDとがマージされたポリシADと、ポリシCとポリシDとがマージされたポリシCDとが格納されている。
ポリシ適用処理部32Bは、パケットの送信元ポリシと、パケットの宛先ポリシとを適用することに加えて、パケットの送信元と宛先とをマージしたポリシを適用する機能を有している。ポリシ適用処理部32Bは、フローの宛先に関するポリシおよびこのフローの送信元に関するポリシが設定されていたならば、これらをマージしたポリシをこのフローに適用する。
ポリシ管理装置4は、送信元と宛先のポリシをマージしてアプリケーション識別装置3Bに設定する。アプリケーション識別装置3Bは、ポリシ適用処理部32Bにより、マージされたポリシを適用することができる。
ポリシ適用処理部32Bは、パケットの送信元ポリシと、パケットの宛先ポリシとを適用することに加えて、パケットの送信元と宛先とをマージしたポリシを適用する機能を有している。ポリシ適用処理部32Bは、フローの宛先に関するポリシおよびこのフローの送信元に関するポリシが設定されていたならば、これらをマージしたポリシをこのフローに適用する。
ポリシ管理装置4は、送信元と宛先のポリシをマージしてアプリケーション識別装置3Bに設定する。アプリケーション識別装置3Bは、ポリシ適用処理部32Bにより、マージされたポリシを適用することができる。
図7は、第3の実施形態におけるポリシ管理装置4Bの処理を示すフローチャートである。
ステップS40において、ポリシ管理装置4Bは、設定する各ポリシをアプリケーション識別装置3Bに設定する。ここでポリシ管理装置4Bが設定するのは、送信元ポリシと宛先ポリシとである。
ステップS41において、ポリシ管理装置4Bは、設定する各ポリシのうち2個の組合せを抽出する。例えば図6の例で、ポリシ管理装置4Bは、ポリシAとポリシCの組合せ、ポリシCとポリシDの組合せ、ポリシCとポリシDの組合せの3個を抽出する。
ステップS42において、ポリシ管理装置4Bは、抽出した2個のポリシをマージする。
ステップS43において、ポリシ管理装置4Bは、マージした各ポリシを、アプリケーション識別装置3Bに設定する。
ステップS40において、ポリシ管理装置4Bは、設定する各ポリシをアプリケーション識別装置3Bに設定する。ここでポリシ管理装置4Bが設定するのは、送信元ポリシと宛先ポリシとである。
ステップS41において、ポリシ管理装置4Bは、設定する各ポリシのうち2個の組合せを抽出する。例えば図6の例で、ポリシ管理装置4Bは、ポリシAとポリシCの組合せ、ポリシCとポリシDの組合せ、ポリシCとポリシDの組合せの3個を抽出する。
ステップS42において、ポリシ管理装置4Bは、抽出した2個のポリシをマージする。
ステップS43において、ポリシ管理装置4Bは、マージした各ポリシを、アプリケーション識別装置3Bに設定する。
ステップS44において、ポリシ管理装置4Bは、2個の組合せを全て抽出したかを判断する。ポリシ管理装置4Bは、2個の組合せを全て抽出していなかったならば、ステップS41に戻り、ポリシ管理装置4Bは、2個の組合せを全て抽出していたならば、図7の処理を終了する。
ユーザ端末5は、一般的に同一のポリシを選択することが多い。つまり、フローの送信元ポリシと宛先ポリシとが同一である頻度は高い。第3の実施形態のアプリケーション識別装置3Bは、同一のポリシの多重適用を予め抑止して、アプリケーション識別を効率的に行うことができる。
本発明の各装置は、コンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。
1,1B,1C,1E アプリケーション識別システム
2E−1,2E−2 DPI装置
21−1,21−2,21C−1,21C−2,21C-3,21C−4 パケットヘッダ識別制御部
3,3B,3C アプリケーション識別装置
3E−1,3E−2 アプリケーション識別部
31 通信部
32,32B ポリシ適用処理部
33 タグ付与部
34 記憶部
4,4B ポリシ管理装置
5−1,5−2,5−3,5−4 ユーザ端末
7 サーバ
9 コア網
2E−1,2E−2 DPI装置
21−1,21−2,21C−1,21C−2,21C-3,21C−4 パケットヘッダ識別制御部
3,3B,3C アプリケーション識別装置
3E−1,3E−2 アプリケーション識別部
31 通信部
32,32B ポリシ適用処理部
33 タグ付与部
34 記憶部
4,4B ポリシ管理装置
5−1,5−2,5−3,5−4 ユーザ端末
7 サーバ
9 コア網
Claims (6)
- フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、
設定されたポリシに合致するフローを前記アプリケーション識別装置へ転送して、前記アプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と、
を備えるアプリケーション識別システムの転送削減方法であって、
前記アプリケーション識別装置は、
フローの宛先に合致するポリシを当該フローに適用したならば、当該フローに宛先ポリシ適用済みタグを付与し、
前記パケットヘッダ識別制御部は、
フローを構成するパケットに前記宛先ポリシ適用済みタグが付与されていたならば、当該宛先ポリシ適用済みタグを削除して、当該フローをルーティングに基づき転送し、
フローを構成するパケットに前記宛先ポリシ適用済みタグが付与されていなかったならば、当該フローが設定されたポリシに合致するか否かを判断し、設定されたポリシに合致するならば、前記アプリケーション識別装置へ転送する、
ことを特徴とするアプリケーション識別システムの転送削減方法。 - 前記アプリケーション識別装置は、
送信元に関するポリシと宛先に関するポリシとをマージして適用する、
ことを特徴とする請求項1に記載のアプリケーション識別システムの転送削減方法。 - 前記アプリケーション識別システムは、送信元に関するポリシと宛先に関するポリシとを予めマージして、前記アプリケーション識別装置に設定するポリシ管理装置を備えており、
前記アプリケーション識別装置は、予めマージされたポリシをフローに適用する、
ことを特徴とする請求項1に記載のアプリケーション識別システムの転送削減方法。 - パケットヘッダ識別制御部から転送されるフローを受信し、前記パケットヘッダ識別制御部にフローを転送する通信部と、
当該フローの送信元に関するポリシが設定されていたならば、このポリシを当該フローに適用し、当該フローの宛先に関するポリシが設定されていたならば、このポリシを当該フローに適用するポリシ適用処理部と、
宛先に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与するタグ付与部と、
各ポリシを格納する記憶部と、
を備えるアプリケーション識別装置。 - 前記ポリシ適用処理部は、
前記フローの宛先に関するポリシおよび当該フローの送信元に関するポリシが設定されていたならば、これらをマージしたポリシを当該フローに適用する、
ことを特徴とする請求項4に記載のアプリケーション識別装置。 - パケットヘッダ識別制御部から転送されるフローを受信し、
当該フローの送信元に関するポリシが設定されていたならば、このポリシを当該フローに適用し、当該フローの宛先に関するポリシが設定されていたならば、このポリシを当該フローに適用して宛先ポリシ適用済みタグを付与し、
当該フローを前記パケットヘッダ識別制御部に転送する処理を、
アプリケーション識別装置に実行させるためのアプリケーション識別プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014034741A JP6069236B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014034741A JP6069236B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015162692A JP2015162692A (ja) | 2015-09-07 |
| JP6069236B2 true JP6069236B2 (ja) | 2017-02-01 |
Family
ID=54185550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014034741A Active JP6069236B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6069236B2 (ja) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5229109B2 (ja) * | 2001-03-27 | 2013-07-03 | 富士通株式会社 | パケット中継処理装置 |
| JP3878193B2 (ja) * | 2002-06-18 | 2007-02-07 | 株式会社エヌ・ティ・ティ・ドコモ | ゲートウェイ装置及び当該ゲートウェイ装置における信号処理方法 |
| GB0517304D0 (en) * | 2005-08-23 | 2005-10-05 | Netronome Systems Inc | A system and method for processing and forwarding transmitted information |
| JP2008011536A (ja) * | 2006-06-26 | 2008-01-17 | Gemini Mobile Technologies Inc | 無線ネットワークにおけるオンライン・ゲームのための方法、クライアント・デバイス、および中継ノード |
| WO2009049685A1 (en) * | 2007-10-19 | 2009-04-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Establishing a multimedia communications session |
-
2014
- 2014-02-25 JP JP2014034741A patent/JP6069236B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015162692A (ja) | 2015-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3069484B1 (en) | Shortening of service paths in service chains in a communications network | |
| US20190082342A1 (en) | Configuration of rules in a network visibility system | |
| US10091102B2 (en) | Tunnel sub-interface using IP header field | |
| US10057126B2 (en) | Configuration of a network visibility system | |
| US20210160181A1 (en) | Architecture for a network visibility system | |
| Qi et al. | Assessing container network interface plugins: Functionality, performance, and scalability | |
| US10530688B2 (en) | Configuration of load-sharing components of a network visibility router in a network visibility system | |
| CN102291455B (zh) | 分布式集群处理系统及其报文处理方法 | |
| KR20150016309A (ko) | 팻-트리 라우팅에 기반하여 별개의 인피니밴드 서브넷들 사이에서 트래픽을 라우팅하기 위한 시스템 및 방법 | |
| EP3099032A1 (en) | A load balancing method, device, system and computer storage medium | |
| JP5861772B2 (ja) | ネットワークアプライアンス冗長化システム、制御装置、ネットワークアプライアンス冗長化方法及びプログラム | |
| JP6752141B2 (ja) | パケットを処理するための方法およびフォワーダ | |
| US9479596B2 (en) | Pairing internal network identifier with external network identifier | |
| WO2016050109A1 (zh) | 一种通信方法、云管理服务器及虚拟交换机 | |
| US20220311701A1 (en) | Methods and systems for sending packets through a plurality of tunnels | |
| JP6070700B2 (ja) | パケット転送システム、制御装置、パケット転送方法及びプログラム | |
| CN113395212B (zh) | 网络装置及其操作方法和非暂时性计算机可读介质 | |
| CN103685032B (zh) | 报文转发方法及网络地址转换服务器 | |
| US9100342B1 (en) | External service plane | |
| CN110391961A (zh) | 一种隧道绑定方法、设备及系统 | |
| US10177935B2 (en) | Data transfer system, data transfer server, data transfer method, and program recording medium | |
| CN106209634B (zh) | 地址映射关系的学习方法及装置 | |
| WO2019240158A1 (ja) | 通信システム及び通信方法 | |
| JP6069236B2 (ja) | アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム | |
| JP5757540B2 (ja) | 通信システム、ネットワーク制御装置およびそのプログラム、並びに通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160226 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161128 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161220 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6069236 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |