JP6200348B2 - アプリケーション識別システム - Google Patents

アプリケーション識別システム Download PDF

Info

Publication number
JP6200348B2
JP6200348B2 JP2014034742A JP2014034742A JP6200348B2 JP 6200348 B2 JP6200348 B2 JP 6200348B2 JP 2014034742 A JP2014034742 A JP 2014034742A JP 2014034742 A JP2014034742 A JP 2014034742A JP 6200348 B2 JP6200348 B2 JP 6200348B2
Authority
JP
Japan
Prior art keywords
application identification
packet
flow
packet header
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014034742A
Other languages
English (en)
Other versions
JP2015162693A (ja
Inventor
章子 久保庭
章子 久保庭
俊介 本間
俊介 本間
亜希 福岡
亜希 福岡
千晴 森岡
千晴 森岡
吉川 智之
智之 吉川
雄一郎 和田
雄一郎 和田
聡史 西山
聡史 西山
伸也 河野
伸也 河野
陽一 古田
陽一 古田
智則 江本
智則 江本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014034742A priority Critical patent/JP6200348B2/ja
Publication of JP2015162693A publication Critical patent/JP2015162693A/ja
Application granted granted Critical
Publication of JP6200348B2 publication Critical patent/JP6200348B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、IPネットワークにおけるデータパケットのアプリケーション識別を行うアプリケーション識別システムに関する。
近年では、アプリケーションを意識したサービスの提供や、プロビジョニングのための詳細なネットワーク状況把握を目的として、IPパケットのペイロード部を解析するDPI(Deep Packet Inspection)装置の導入が進んでいる。ネットワークを流れるフローをアプリケーション単位で制御するためには、DPI装置をインラインに設置する方法が一般的である。
図16は、比較例のDPI装置をインラインに設置したアプリケーション識別システム1Eの概略の構成図である。
比較例のアプリケーション識別システム1Eは、コア網9にポリシ管理装置4と、DPI装置2E−1,2E−2とが、それぞれ相互に通信可能に接続されている。
DPI装置2E−1は、L7(Layer 7)分析によりアプリケーション検知を実現するアプリケーション識別部3E−1と、5tupleベースのフロー制御を実現するパケットヘッダ識別制御部21−1の両方を備えている。5tupleとは、送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号・プロトコル番号のことをいう。
DPI装置2E−2は、同様なアプリケーション識別部3E−2と、パケットヘッダ識別制御部21−2とを備えている。DPI装置2E−1,2E−2は、ユーザ端末5−1,5−2をコア網9に接続するエッジルータである。
DPI装置2E−1,2E−2は、ポリシ管理装置4からの指示によってデータパケットのアプリケーション識別や制御を実施する。
3GPP、「3GPP TS 23.203: 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Policy and charging control architecture」、2013年9月、Release 12
しかし、L7分析は、5tuple識別と比較して高コストである。次世代ネットワークのような大規模ネットワークの全回線にDPI装置を設置すると、分割損が多量に発生して高コストになる虞がある。よって、大規模ネットワークの回線において、アプリケーション単位の制御を低コストで効率的に実現することが求められている。
本発明は、前記した問題を解決し、IPネットワークにおけるデータパケットのアプリケーション識別を効率的に行うアプリケーション識別システムを提供することを課題とする。
前記課題を解決するため、アプリケーション識別システムの発明は、入力フロー用インタフェースと出力フロー用インタフェースとを備え、フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、
各端末と接続されたコア網のエッジに設置されており、設定されたステアリングポリシに合致するフローをこのアプリケーション識別装置へ転送して、このアプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と
複数のパケットヘッダ識別制御部が転送したフローを、当該フローが前記端末から前記コア網への入力フローならば前記入力フロー用インタフェースに入力し、当該フローが前記コア網から前記端末への出力フローならば前記出力フロー用インタフェースに入力することにより、アプリケーション識別装置に中継する中継装置と、各パケットヘッダ識別制御部に対して、アプリケーション識別装置へ転送するステアリングポリシを設定するポリシ管理装置と、を備える。
前記アプリケーション識別装置は、前記入力フロー用インタフェースと前記出力フロー用インタフェースのうちいずれから入力されたフローであるかにより、当該フローの属性を判断して適用可能なアプリケーション識別ポリシを絞りこむ。
このようにすることで、アプリケーション識別システムは、アプリケーション識別装置を複数のパケットヘッダ識別制御部で共用し、アプリケーション単位の制御を効率的に実現可能である。
本発明によれば、IPネットワークにおけるデータパケットのアプリケーション識別を効率的に行うアプリケーション識別システムを提供することが可能となる。
ケース#1のパケットヘッダ識別制御部におけるフローを示す図である。 中継装置とアプリケーション識別装置との接続構成と動作とを示す図である。 ケース#1のパケットヘッダ識別制御部におけるフローを示す図である。 ケース#1のアプリケーション識別システムの構成とフローとを示す図である。 ケース#2の中継装置におけるフローを示す図である。 多重化したアプリケーション識別システムを示す概略の構成図である。 障害発生時の動作を示すシーケンス図である。 第1の実施形態におけるアプリケーション識別システムを示す概略の構成図である。 第1の実施形態におけるポリシテーブルを示す図である。 第1の実施形態におけるユーザ・サーバ間のフローを示すシーケンス図である。 第1の実施形態におけるユーザ間のフローを示すシーケンス図である。 第2の実施形態におけるアプリケーション識別システムを示す概略の構成図である。 第2の実施形態におけるポリシテーブルを示す図である。 第2の実施形態におけるユーザ・サーバ間のフローを示すシーケンス図である。 第2の実施形態におけるユーザ間のフローを示すシーケンス図である。 比較例のDPI装置をインラインに設置したアプリケーション識別システムの概略の構成図である。
次に、本発明を実施するための形態(「実施形態」という)について、適宜図面を参照しながら詳細に説明する。ここでは、アプリケーション識別機能を複数のパケットヘッダ識別制御機能で共有する構成を提案している。
図1は、パケットヘッダ識別制御部21におけるフローを示す図である。
アプリケーション識別システム1において、パケットヘッダ識別制御部21−1,21−2は、コア網9のエッジとしてインラインに設置される。これにより、パケットヘッダ識別制御部21−1,21−2は、自身に接続されるユーザ端末5などが転送したフローのみを監視すればよいので、自身が保持するステアリングポリシを自身に接続されるユーザ端末5などに限定して、効率的に処理することができる。ステアリングポリシとは、特定のフローをパケット識別制御部21−1,21−2からアプリケーション識別装置3へ転送するためのポリシである。以下、パケットヘッダ識別制御部21−1,21−2を特に区別しない場合には、単に「パケットヘッダ識別制御部21」と記載している場合がある。
パケットヘッダ識別制御部21−1,21−2は、自装置に設定されたステアリングポリシに合致するフローをアプリケーション識別装置3へ転送する。
中継装置6は、複数のパケットヘッダ識別制御部21−1,21−2が転送したフローをアプリケーション識別装置3に中継する。
アプリケーション識別装置3は、複数のパケットヘッダ識別制御部21で共用する装置として、中継装置6と共にコア網9のネットワーク上に設置される。アプリケーション識別装置3は、各パケットヘッダ識別制御部21に関するアプリケーション識別ポリシを保持するポリシテーブル33を備える。これにより、アプリケーション識別装置3は、フローを構成するパケットのデータ部分を識別することができる。
ポリシ管理装置4は、コア網9のネットワーク上に設置され、各パケットヘッダ識別制御部21に対して、特定のフローをアプリケーション識別装置3へ転送するためのステアリングポリシを設定する。ステアリングポリシは、転送するフローの5tuple情報(送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号・プロトコル番号)と、転送先のアプリケーション識別装置3を示す情報と、このフローの識別子との組み合わせとして定義している。
ここで転送先のアプリケーション識別装置3を示す情報とは、アプリケーション識別装置3のIPアドレス、または、パケットヘッダ識別制御部21のアプリケーション識別接続インタフェース213(図3参照)である。フローの識別子とは、このフローの転送元のパケットヘッダ識別制御部21およびこのフローの方向を識別する情報である。フローの方向とは、コア網9外からコア網9内への方向と、コア網9内からコア網9外への方向とである。フローの識別子は、アプリケーション識別装置3および中継装置6において、フローの転送元のパケットヘッダ識別制御部21およびフローの方向を識別するために用いられる。
ポリシ管理装置4は更に、アプリケーション識別装置3に、アプリケーション識別ボリシを設定する。アプリケーション識別ボリシとは、特定のフローをアプリケーション識別するためのポリシであり、パケットヘッダ識別制御部21に設定される各ステアリングポリシのうちいずれかに対応している。
図2(a),(b)は、中継装置6とアプリケーション識別装置3との接続構成と動作とを示す図である。
図2(a)は、コア網9への入力フローを転送する動作を示す図である。
アプリケーション識別装置3は、インタフェース31とインタフェース32とを備え、インタフェース31,32により中継装置6と直接接続する。パケットヘッダ識別制御部21は、特定のフローを、中継装置6を介してアプリケーション識別装置3へ転送する。
中継装置6は、パケットヘッダ識別制御部21から転送されたフローを、その識別子の各フローの方向を参照して、アプリケーション識別装置3のインタフェース31,32のうち対応するインタフェースに入力する。インタフェース31,32を区別するため、図面では、それぞれ「IF#1」、「IF#2」と記載している。
中継装置6は、転送されたフローがコア網9への入力フローならば、アプリケーション識別装置3のインタフェース31に入力する。
図2(b)は、コア網9からの出力フローを転送する動作を示す図である。
中継装置6は、転送されたフローがコア網9からの出力フローならば、アプリケーション識別装置3のインタフェース32に入力する。
このようにすることで、アプリケーション識別装置3は、フローを受信したインタフェースによって、このフローの属性を判断して適用可能なアプリケーション識別ポリシを絞りこみ、効率的に処理することができる。
(ケース#1)
このケース#1は、パケットヘッダ識別制御部21に対して設定するステアリングポリシをコア網入力フローとコア網出力フローの双方に適用する場合である。
図3は、ケース#1のパケットヘッダ識別制御部21におけるフローを示す図である。
コア網9からの出力フローF0は、パケットヘッダ識別制御部21のコア網内接続インタフェース211に入力される。このフローF0は、パケットヘッダ識別制御部21により識別子を付与され、かつカプセリングされて、アプリケーション識別接続インタフェース213から中継装置6に転送される。中継装置6は、パケットヘッダ識別制御部21のアプリケーション識別接続インタフェース213に直接に接続されており、転送されたフローをデカプセリングしてアプリケーション識別装置3に中継する。これにより、パケットヘッダ識別制御部21は、IPトンネルを構築することなく、効率的にフローをアプリケーション識別装置3へ転送することができる。
中継装置6は、フローF0をデカプセリングしたのち、VLAN_Tagまたは独自仕様プロトコルに識別子を付与して、アプリケーション識別装置3に中継する。
アプリケーション識別装置3は、受信したフローF0の識別子から送信元のパケットヘッダ識別制御部21を認識し、該当するパケットヘッダ識別制御部21に関するアプリケーション識別ポリシを適用する。アプリケーション識別装置3がアプリケーション識別ポリシを適用したフローF0は、中継装置6でカプセリングされ、元のパケットヘッダ識別制御部21に返送される。このフローF0は、パケットヘッダ識別制御部21でデカプセリングされたのち、宛先IPアドレスで指定される本来の宛先へと転送される。
コア網9への入力フローF1は、ユーザ端末5から、パケットヘッダ識別制御部21のコア網外接続インタフェース212とアプリケーション識別接続インタフェース213とを介して、中継装置6に転送される。
中継装置6は、フローF1を必要に応じてデカプセリングし、VLAN_Tagまたは独自仕様プロトコルに識別子を付与して、アプリケーション識別装置3に中継する。
アプリケーション識別装置3は、受信したフローF1の識別子から転送元のパケットヘッダ識別制御部21を認識し、該当するパケットヘッダ識別制御部21に関するアプリケーション識別ポリシを適用する。アプリケーション識別装置3がアプリケーション識別ポリシを適用したフローF1は、中継装置6を介して元のパケットヘッダ識別制御部21に返送される。
パケットヘッダ識別制御部21では、アプリケーション識別接続インタフェース213を介して返送されたフローF1について、識別子を削除し、宛先IPアドレスで指定される本来の宛先へ送信する。
図4は、ケース#1のアプリケーション識別システムにおけるフローと識別子とを示す図である。
各フローF1A,F1B,F2A,F2Bを構成するパケットには、パケットヘッダ識別制御部21にて、それぞれ識別子が付与されて転送される。転送されたパケットは、アプリケーション識別装置3で識別処理されたのち、再び中継装置6を経由して、パケットヘッダ識別制御部21に戻る。
パケットヘッダ識別制御部21は、フローF1Aを構成するパケットに、識別子「1A」を付与し、フローF1Bを構成するパケットに、識別子「1B」を付与する。
パケットヘッダ識別制御部21は、フローF2Aを構成するパケットに、識別子「2A」を付与し、フローF2Bを構成するパケットに、識別子「2B」を付与する。このようにすることで、アプリケーション識別装置3および中継装置6は、各フローを構成するパケットの識別子により、このフローの送信元のパケットヘッダ識別制御部21およびフローの方向を識別することができる。
各フローに対する識別子の付与は、以下のいずれかの方法で実現する。
第1の方法は、IPヘッダの未使用フィールドに設定する方法である。IPヘッダの未使用フィールドには、例えばIPv6(Internet Protocol Version 6)ヘッダのFlowLabelがある。
第2の方法は、パケットにVLAN_Tagを追加して転送し、VLAN_IDに識別子を設定する方法である。
第3の方法は、パケットにIPsec(Security Architecture for Internet Protocol)を使用して転送し、ESP(Encapsulated Security Payload)ヘッダのSPI(Security Parameters Index)値に識別子を設定する方法である。
第4の方法は、パケットをGRE(Generic Routing Encapsulation)を使用して転送し、GREヘッダのキーIDに識別子を設定する方法である。
第5の方法は、パケットに独自仕様プロトコルを使用し、プロトコルヘッダの特定の1フィールドに設定する。
なお、パケットヘッダ識別制御部21に対して設定するステアリングポリシは、コア網入力フローとコア網出力フローの双方向か、または、コア網入力フローのみに適用する。
(ケース#2)
このケース#2は、パケットヘッダ識別制御部21に対して設定するステアリングポリシをコア網入力フローのみに適用する場合である。
図5は、ケース#2の中継装置6Aにおけるフローを示す図である。
フローF1Aは、ユーザ端末5から、パケットヘッダ識別制御部21のコア網外接続インタフェース212とアプリケーション識別接続インタフェース213とを介して、中継装置6Aに転送される。
このフローF1Aは、中継装置6Aを経由してアプリケーション識別装置3で識別処理されたのち、中継装置6Aに返送される。
中継装置6Aは、アプリケーション識別装置3から返送されたフローF1Aについて、識別子を削除して、宛先IPアドレスで指定される本来の宛先へ転送する。
ケース#2によれば、中継装置6Aは、コア網入力フローをパケットヘッダ識別制御部21に返送せずに、本来の宛先へ転送するので、ケース#1と比べてアプリケーション識別を効率的に実施可能である。
また、ポリシ管理装置4は、アプリケーション識別装置3を監視し、アプリケーション識別装置3に故障が発生した場合は、パケットヘッダ識別制御部21に対して、転送先のアプリケーション識別装置3を変更するように、ステアリングポリシを設定してもよい。
図6は、アプリケーション識別装置3を多重化したアプリケーション識別システム1を示す概略の構成図である。
アプリケーション識別システム1において、アプリケーション識別装置3−1,3−2は、パケットヘッダ識別制御部21−1,21−2で共用する装置として、中継装置6と共にコア網9のネットワーク上に設置される。アプリケーション識別装置3−1,3−2は、各パケットヘッダ識別制御部21−1,21−2に関するアプリケーション識別ポリシを保持する。アプリケーション識別装置3−1は、通常時に動作する現用装置である。アプリケーション識別装置3−2は、現用装置の故障時に動作する予備装置である。各アプリケーション識別装置3−1,3−2を区別するため、図面に#1,#2の番号を付与している。
ポリシ管理装置4は、コア網9のネットワーク上に設置され、各パケットヘッダ識別制御部21−1,21−2に対して、特定のフローをアプリケーション識別装置3−1へ転送するためのステアリングポリシを設定する。ポリシ管理装置4は、現用のアプリケーション識別装置3−1の故障を検知すると、予備のアプリケーション識別装置3−2に切り替えるようにパケットヘッダ識別制御部21−1,21−2を制御する。
図7は、アプリケーション識別装置3を多重化したアプリケーション識別システム1の障害発生時の動作を示すシーケンス図である。
アプリケーション識別システム1が動作を開始すると、ポリシ管理装置4は、シーケンスQ10の処理を開始する。
シーケンスQ10において、ポリシ管理装置4は、各パケットヘッダ識別制御部21に対して、特定のフローをアプリケーション識別装置3−1へ転送させるためのステアリングポリシを設定する。
シーケンスQ11において、ポリシ管理装置4は、現用のアプリケーション識別装置3−1の故障を監視する。
シーケンスQ12において、ポリシ管理装置4は、予備のアプリケーション識別装置3−2の故障を監視する。以降、ポリシ管理装置4は、シーケンスQ11,Q12を繰り返し行う。
シーケンスQ20において、パケットヘッダ識別制御部21は、ステアリングポリシで指定された5tuple情報に合致するフローを検知すると、指定された識別子を付与して、指定されたアプリケーション識別装置3−1へ転送する。以降、パケットヘッダ識別制御部21は、同様なフロー転送処理を行う。
シーケンスQ30において、現用のアプリケーション識別装置3−1には、故障が発生する。
シーケンスQ31において、ポリシ管理装置4は、現用のアプリケーション識別装置3−1の故障を検知する。
シーケンスQ32において、ポリシ管理装置4は、各パケットヘッダ識別制御部21に対して、特定のフローをアプリケーション識別装置3−2へ転送させるためのステアリングポリシを設定する。これにより、アプリケーション識別装置3−2は、現用装置となる。
シーケンスQ33において、パケットヘッダ識別制御部21は、ステアリングポリシで指定された5tuple情報に合致するフローを検知すると、指定された識別子を付与して、指定されたアプリケーション識別装置3−2へ転送する。
これにより、アプリケーション識別システム1は、現用のアプリケーション識別装置3−1が故障した場合でも、予備のアプリケーション識別装置3−2に切り替えて動作を継続可能である。
<第1の実施形態>
図8は、第1の実施形態におけるアプリケーション識別システム1を示す概略の構成図である。
図8に示すように、アプリケーション識別システム1は、コア網9にアプリケーション識別装置3と、ポリシ管理装置4と、L2スイッチ6C(各図では「L2SW」と記載されている。)と、コアルータ91−1,91−2と、パケットヘッダ識別制御部21−1〜21−3とを備えている。アプリケーション識別装置3は、各パケットヘッダ識別制御部21のアプリケーション識別ポリシを保持するポリシテーブル33を備える。各パケットヘッダ識別制御部21−1〜21−3は、それぞれポリシテーブル22−1〜22−3を備えている。なお、各ポリシテーブル22−1〜22−3を特に区別しない場合には、単に「ポリシテーブル22」と記載している場合がある。各パケットヘッダ識別制御部21−1〜21−3を区別するため、図面に#1〜#3の番号を付与している。
ポリシ管理装置4と、コアルータ91−1,91−2と、パケットヘッダ識別制御部21−1〜21−3とは、相互に通信可能に接続されている。パケットヘッダ識別制御部21−1,21−2は、アプリケーション識別接続インタフェース213により、L2スイッチ6Cを介してアプリケーション識別装置3に接続される。
アプリケーション識別システム1は、パケットヘッダ識別制御部21−1を介してユーザAのユーザ端末5−1に接続され、パケットヘッダ識別制御部21−2を介してユーザBのユーザ端末5−2に接続され、パケットヘッダ識別制御部21−3を介してサーバ7(サーバX)に接続される。
ユーザAのユーザ端末5−1には、IPアドレス(1.1.1.1)が払い出されている。ユーザBのユーザ端末5−2には、IPアドレス(2.2.2.2)が払い出されている。サーバ7(サーバX)には、IPアドレス(3.3.3.3)が払い出されている。アプリケーション識別装置3には、IPアドレス(4.4.4.4)が払い出されている。
ユーザAのユーザ端末5−1は、サーバ7(サーバX)およびユーザBのユーザ端末5−2とユニキャストで通信可能である。
ポリシ管理装置4は、パケットヘッダ識別制御部21−1に対して、ユーザAのステアリングポリシを設定し、ユーザAのフローをアプリケーション識別装置3に転送させる。
パケットヘッダ識別制御部21−1は、設定されたステアリングポリシを、ポリシテーブル22−1に保持する。
ポリシ管理装置4は、アプリケーション識別装置3に対して、ユーザAのアプリケーション識別ポリシを設定し、転送されたユーザAのフローにアプリケーション識別ポリシを適用させる。
ユーザBのユーザ端末5−2は、ユーザAのユーザ端末5−1とユニキャストで通信する。
ポリシ管理装置4は、パケットヘッダ識別制御部21−2に対して、ユーザBのステアリングポリシを設定し、ユーザBのフローをアプリケーション識別装置3へ転送させる。
パケットヘッダ識別制御部21−2は、設定されたステアリングポリシを、ポリシテーブル22−2に保持する。ポリシ管理装置4は、アプリケーション識別装置3に対して、ユーザBのアプリケーション識別ポリシを設定し、転送されたユーザBのフローにアプリケーション識別ポリシを適用させる。
図9(a),(b)は、第1の実施形態におけるポリシテーブル22を示す図である。図9(a)は、パケットヘッダ識別制御部21−1(#1)が保持するポリシテーブル22−1を示す図である。
ルール名欄には、各ポリシルールの名称が格納される。
対象フロー欄には、このポリシルールとして、送信元IPアドレスと宛先IPアドレスの組合せが格納される。パケットヘッダ識別制御部21−1は、各フローの送信元IPアドレスと宛先IPアドレスとが、この対象フロー欄に格納された値と合致したならば、このルールに合致すると判断する。すなわち、この対象フロー欄には、転送するフローの5tuple情報が格納される。
VLAN_ID欄には、このルールに合致するフローに付与するVLAN_IDの値が格納される。第1の実施形態では、フローの識別子としてIEEE802.1Qで定義されるタグVLANを使用し、このVLAN_IDの値が設定される。このVLAN_IDにより、アプリケーション識別装置3は、このフローに適用するアプリケーション識別ポリシを特定することができる。
VLAN_IDの第1桁は、フローの方向を示している。VLAN_IDの第1桁(以下、1の位を第1桁とする。)が「1」の場合は、フローの方向がコア網への入力方向であることを示している。VLAN_IDの第1桁が「2」の場合は、フローの方向がコア網からの出力方向であることを示している。
VLAN_IDの第3桁は、フローの転送元を示している。VLAN_IDの第3桁が「1」の場合は、フローの転送元がパケットヘッダ識別制御部21−1であることを示している。VLAN_IDの第3桁が「2」の場合は、フローの転送元がパケットヘッダ識別制御部21−2であることを示している。
インタフェース欄には、このルールに合致するフローを出力するアプリケーション識別接続インタフェース213の番号が格納される。アプリケーション識別接続インタフェース213の番号でフローの出力先を指定することにより、アプリケーション識別装置3がIPアドレスを持たない場合であっても、フローを出力することが可能である。
パケットヘッダ識別制御部21−1は、ユーザAとサーバX間の通信のポリシルールと、ユーザA・ユーザB間の通信のポリシルールとを、自身のポリシテーブル22−1に保持している。
図9(b)は、パケットヘッダ識別制御部21−2(#2)が保持するポリシテーブル22−2を示す図である。パケットヘッダ識別制御部21−2は、ユーザA・ユーザB間の通信のポリシルールを、自身のポリシテーブル22−2に保持している。
なお、パケットヘッダ識別制御部21−3のポリシテーブル22−3には、ポリシルールが保持されていない。
図10は、第1の実施形態におけるユーザ・サーバ間のフローを示すシーケンス図である。以下の図面では、各パケットヘッダ識別制御部21のことを「PH識別制御部」と省略して記載している場合がある。
(ユーザAからサーバXへの通信)
シーケンスQ40〜Q48は、ユーザAからサーバXへの通信を示している。
シーケンスQ40において、ユーザ端末5−1(ユーザA)は、サーバ7(サーバX)を宛先とするパケットを、パケットヘッダ識別制御部21−1を介して送信する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、ポリシテーブル22−1(図9(a)参照)のエントリに合致するか確認し、ルール名「AtoX」に合致することを検知する。
シーケンスQ41において、パケットヘッダ識別制御部21−1は、ルール名「AtoX」に基づき、このパケットにVLAN_IDの「101」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ42において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網入力フローであることを認識し、アプリケーション識別装置3のインタフェース31へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシから、ユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ43において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ44において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ45において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、パケットをコアルータ91−1に転送する。
シーケンスQ46において、コアルータ91−1は、このパケットのルーティングに基づき、コアルータ91−2に転送する。
シーケンスQ47において、コアルータ91−2は、このパケットのルーティングに基づき、パケットヘッダ識別制御部21−3に転送する。
シーケンスQ48において、パケットヘッダ識別制御部21−3は、このパケットを受信すると、パケットがポリシテーブル22−3のエントリに合致するか確認し、いずれにも合致しないことを検知する。パケットヘッダ識別制御部21−3は、このパケットのルーティングに基づき、このパケットをサーバ7(サーバX)に転送する。
(サーバXからユーザAへの通信)
シーケンスQ50〜Q58は、サーバXからユーザAへの通信を示している。
シーケンスQ50において、サーバ7(サーバX)は、ユーザ端末5−1(ユーザA)を宛先とするパケットを、パケットヘッダ識別制御部21−3を介して送信する。パケットヘッダ識別制御部21−3は、このパケットを受信すると、パケットがポリシテーブル22−3のエントリに合致するか確認し、いずれにも合致しないことを検知する。
シーケンスQ51において、パケットヘッダ識別制御部21−3は、このパケットのルーティングに基づき、コアルータ91−2に転送する。
シーケンスQ52において、コアルータ91−2は、このパケットのルーティングに基づき、コアルータ91−1に転送する。
シーケンスQ53において、コアルータ91−1は、このパケットのルーティングに基づき、パケットヘッダ識別制御部21−1に転送する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図9(a)参照)のエントリに合致するか確認し、ルール名「XtoA」に合致することを検知する。
シーケンスQ54において、パケットヘッダ識別制御部21−1は、ルール名「XtoA」に基づき、このパケットにVLAN_IDの「102」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ55において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網出力フローであることを認識し、アプリケーション識別装置3のインタフェース32へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網からの出力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシからユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ56において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ57において、L2スイッチ6Cは、このパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ58において、パケットヘッダ識別制御部21−1は、このパケットをユーザ端末5−1(ユーザA)に転送する。
図11は、第1の実施形態におけるユーザ間のフローを示すシーケンス図である。
(ユーザAからユーザBへの通信)
シーケンスQ60〜Q71は、ユーザAからユーザBへの通信を示している。
シーケンスQ60において、ユーザ端末5−1(ユーザA)は、ユーザ端末5−2(ユーザB)を宛先とするパケットを、パケットヘッダ識別制御部21−1を介して送信する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図9(b)参照)のエントリに合致するか確認し、ルール名「AtoB」に合致することを検知する。
シーケンスQ61において、パケットヘッダ識別制御部21−1は、ルール名「AtoB」に基づき、このパケットにVLAN_IDの「101」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ62において、L2スイッチ6Cは、VLAN_IDに基づいてコア網入力フローであることを認識し、アプリケーション識別装置3のインタフェース31へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシからユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ63において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ64において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ65において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、パケットをコアルータ91−1に転送する。
シーケンスQ66において、コアルータ91−1は、このパケットのルーティングに基づき、パケットヘッダ識別制御部21−2に転送する。パケットヘッダ識別制御部21−2はパケットを受信すると、パケットがポリシテーブル22−2(図9(b)参照)のエントリに合致するか確認し、ルール名「AtoB」に合致することを検知する。
シーケンスQ67において、パケットヘッダ識別制御部21−2は、ルール名「AtoB」に基づき、このパケットにVLAN_IDの「202」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ68において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網出力フローであることを認識し、アプリケーション識別装置3のインタフェース32へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−2であること、および、このパケットが流れる方向がコア網からの出力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−2を転送元とするアプリケーション識別ポリシからユーザBに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ69において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ70において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−2に返送する。パケットヘッダ識別制御部21−2は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ71において、パケットヘッダ識別制御部21−2は、通常のルーティング処理を行い、このパケットをユーザ端末5−2(ユーザB)に転送する。
(ユーザBからユーザAへの通信)
シーケンスQ80〜Q91は、ユーザBからユーザAへの通信を示している。
シーケンスQ80において、ユーザ端末5−2(ユーザB)は、ユーザ端末5−1(ユーザA)を宛先とするパケットを、パケットヘッダ識別制御部21−2を介して送信する。パケットヘッダ識別制御部21−2は、このパケットを受信すると、パケットがポリシテーブル22−2(図9(b)参照)のエントリに合致するか確認し、ルール名「BtoA」に合致することを検知する。
シーケンスQ81において、パケットヘッダ識別制御部21−2は、ルール名「BtoA」に基づき、このパケットにVLAN_IDの「201」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ82において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網入力フローであることを認識し、アプリケーション識別装置3のインタフェース31へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−2であること、および、フローの方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−2に関する各アプリケーション識別ポリシからユーザBに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ83において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ84において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−2に返送する。パケットヘッダ識別制御部21−2は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ85において、パケットヘッダ識別制御部21−2は、通常のルーティング処理を行い、このパケットをコアルータ91−1に転送する。
シーケンスQ86において、コアルータ91−1は、このパケットのルーティングに基づき、パケットヘッダ識別制御部21−1に転送する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図9(a)参照)のエントリに合致するか確認し、ルール名「BtoA」に合致することを検知する。
シーケンスQ87において、パケットヘッダ識別制御部21−1は、ルール名「BtoA」に基づき、このパケットにVLAN_IDの「102」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ88において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網出力フローであることを認識し、アプリケーション識別装置3のインタフェース32へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網からの出力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシからユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ89において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ90において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ91において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをユーザ端末5−1(ユーザA)に転送する。
<第2の実施形態>
第2の実施形態では、パケットヘッダ識別制御部21と中継装置6間の識別子の転送にIPsecのSPI値を使用し、中継装置6でVLAN_Tagに付け替えている。このようにすることで、中継装置6の接続トポロジや設置位置の制約が少なくなる。
図12は、第2の実施形態におけるアプリケーション識別システム1Dを示す概略の構成図である。
図12に示すように、アプリケーション識別システム1Dは、コア網9にアプリケーション識別装置3と、ポリシ管理装置4と、トンネル終端部6D(中継装置)と、コアルータ91−1〜91−3と、パケットヘッダ識別制御部21−1〜21−3とを備えている。ポリシ管理装置4と、トンネル終端部6Dと、コアルータ91−1〜91−3と、パケットヘッダ識別制御部21−1〜21−3とは、相互に通信可能に接続されている。
パケットヘッダ識別制御部21−1,21−2は、IPトンネルとトンネル終端部6Dとを介してアプリケーション識別装置3に接続される。
アプリケーション識別システム1Dは、パケットヘッダ識別制御部21−1を介してユーザAのユーザ端末5−1に接続され、パケットヘッダ識別制御部21−2を介してユーザBのユーザ端末5−2に接続され、パケットヘッダ識別制御部21−3を介してサーバ7(サーバX)に接続される。各パケットヘッダ識別制御部21−1〜21−3を区別するため、図面に#1〜#3の番号を付与している。
ユーザAのユーザ端末5−1には、IPアドレス(1.1.1.1)が払い出されている。ユーザBのユーザ端末5−2には、IPアドレス(2.2.2.2)が払い出されている。サーバ7(サーバX)には、IPアドレス(3.3.3.3)が払い出されている。アプリケーション識別装置3には、IPアドレス(4.4.4.4)が払い出されている。
第2の実施形態のユーザ端末5−1(ユーザA)は、第1の実施形態と同様に、サーバ7(サーバX)およびユーザ端末5−2(ユーザB)とユニキャストで通信する。
図13(a),(b)は、第2の実施形態におけるポリシテーブル22を示す図である。
図13(a)は、パケットヘッダ識別制御部21−1(#1)が保持するポリシテーブル22−1を示す図である。
ルール名欄には、各ポリシルールの名称が格納される。
対象フロー欄には、このポリシルールとして、送信元IPアドレスと宛先IPアドレスの組合せが格納される。パケットヘッダ識別制御部21−1は、各フローの送信元IPアドレスと宛先IPアドレスとが、この対象フロー欄に格納された値と合致したならば、このルールに合致すると判断する。すなわち、この対象フロー欄には、転送するフローの5tuple情報が格納される。
SPI値欄には、このルールに合致するフローを転送するIPsecのSPI値が格納される。第2の実施形態では、フローの識別子としてIPsecのSPI値を使用する。中継装置6がIPsecのSPI値をVLAN_TagのVLAN_IDに付け変えることで、アプリケーション識別装置3は、このフローに適用するアプリケーション識別ポリシを特定することができる。
なお、中継装置6は、SPI値とVLAN_IDとの変換表を保持し、この変換表に基づきSPI値とVLAN_IDとを異なる値に付け変えるようにしてもよい。
SPIの第1桁は、フローの方向を示している。SPIの第1桁が「1」の場合は、フローの方向がコア網への入力方向であることを示している。SPI値の第1桁が「2」の場合は、フローの方向がコア網からの出力方向であることを示している。
SPIの第2〜4桁は、フローの転送元を示している。SPIの第2〜4桁が「123」の場合は、フローの転送元がパケットヘッダ識別制御部21−1であることを示している。SPIの第2〜4桁が「234」の場合は、フローの転送元がパケットヘッダ識別制御部21−2であることを示している。
転送先のアプリケーション識別装置欄には、このルールに合致するフローの転送先のアプリケーション識別装置3のIPアドレスが格納される。
各パケットヘッダ識別制御部21と、アプリケーション識別装置3に隣接するトンネル終端部6Dとは、SPI値欄と転送先のアプリケーション識別装置欄を参照して、コア網入力フロー用トンネルやコア網出力フロー用トンネルを確立する。
パケットヘッダ識別制御部21−1は、ユーザAとサーバX間の通信のポリシルールと、ユーザA・ユーザB間の通信のポリシルールとを、自身のポリシテーブル22−1に保持している。
図13(b)は、パケットヘッダ識別制御部21−2(#2)が保持するポリシテーブル22−2を示す図である。パケットヘッダ識別制御部21−2は、ユーザA・ユーザB間の通信のポリシルールを、自身のポリシテーブル22−2に保持している。
なお、パケットヘッダ識別制御部21−3のポリシテーブル22−3には、ポリシルールが保持されていない。
図14は、第2の実施形態におけるユーザ・サーバ間のフローを示すシーケンス図である。
(ユーザAからサーバXへの通信)
シーケンスQ140〜Q148は、ユーザAからサーバXへの通信を示している。
シーケンスQ140において、ユーザ端末5−1(ユーザA)は、サーバ7(サーバX)を宛先とするパケットを、パケットヘッダ識別制御部21−1を介して送信する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図13(a)参照)のエントリに合致するか確認し、ルール名「AtoX」に合致することを検知する。
シーケンスQ141において、パケットヘッダ識別制御部21−1は、このパケットをカプセリングし、ルール名「AtoX」に基づくSPI値の「1231」を設定し、コア網入力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ141は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、デカプセリングする。
シーケンスQ142において、トンネル終端部6Dは、デカプセリングしたパケットにVLAN_Tagを付与してVLAN_IDに「1231」を設定し、アプリケーション識別装置3のインタフェース31へ転送する。トンネル終端部6DがVLAN_IDに設定する値は、このパケットをカプセリングした際のSPI値である。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシから、ユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ143において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除しカプセリングする。
シーケンスQ144において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、パケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ145において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをコアルータ91−1に転送する。
シーケンスQ146において、コアルータ91−1は、このパケットをコアルータ91−2に転送する。
シーケンスQ147において、コアルータ91−2は、このパケットをパケットヘッダ識別制御部21−3に転送する。
シーケンスQ148において、パケットヘッダ識別制御部21−3は、このパケットを受信すると、ポリシテーブル22−3のエントリに合致するか確認し、いずれにも合致しないことを検知する。パケットヘッダ識別制御部21−3は、このパケットをサーバ7(サーバX)に転送する。
(サーバXからユーザAへの通信)
シーケンスQ150〜Q158は、サーバXからユーザAへの通信を示している。
シーケンスQ150において、サーバ7(サーバX)は、ユーザ端末5−1(ユーザA)を宛先とするパケットを、パケットヘッダ識別制御部21−3を介して送信する。パケットヘッダ識別制御部21−3は、このパケットを受信すると、ポリシテーブル22−3のエントリに合致するか確認し、いずれにも合致しないことを検知する。
シーケンスQ151において、パケットヘッダ識別制御部21−3は、このパケットをコアルータ91−2に転送する。
シーケンスQ152において、コアルータ91−2は、このパケットをコアルータ91−1に転送する。
シーケンスQ153において、コアルータ91−1は、このパケットをパケットヘッダ識別制御部21−1に転送する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、ポリシテーブル22−1(図13(a)参照)のエントリに合致するか確認し、ルール名「XtoA」に合致することを検知する。
シーケンスQ154において、パケットヘッダ識別制御部21−1は、パケットをカプセリングして、ルール名「XtoA」に基づきSPI値の「1232」を設定し、コア網出力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ154は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、デカプセリングする。
シーケンスQ155において、トンネル終端部6Dは、デカプセリングしたパケットにVLAN_Tagを付与してVLAN_IDに「1232」を設定し、アプリケーション識別装置3のインタフェース32へ転送する。トンネル終端部6DがVLAN_IDに設定する値は、このパケットをカプセリングした際のSPI値である。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網からの出力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシから、ユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ156において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除しカプセリングする。
シーケンスQ157において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、パケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ158において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをユーザ端末5−1(ユーザA)に転送する。
図15は、第2の実施形態におけるユーザ間のフローを示すシーケンス図である。
(ユーザAからユーザBへの通信)
シーケンスQ100〜Q112は、ユーザAからユーザBへの通信を示している。
シーケンスQ100において、ユーザ端末5−1(ユーザA)は、ユーザ端末5−2(ユーザB)を宛先とするパケットを、パケットヘッダ識別制御部21−1を介して送信する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図13(a)参照)のエントリに合致するか確認し、ルール名「AtoB」に合致することを検知する。
シーケンスQ101において、パケットヘッダ識別制御部21−1は、このパケットをカプセリングして、ルール名「AtoB」に基づくSPI値の「1231」を設定し、コア網入力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ101は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、デカプセリングする。
シーケンスQ102において、トンネル終端部6Dは、デカプセリングしたパケットにVLAN_Tagを付与してVLAN_IDに「1231」を設定し、アプリケーション識別装置3のインタフェース31へ転送する。トンネル終端部6DがVLAN_IDに設定する値は、このパケットをカプセリングした際のSPI値である。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットを受信したインタフェース31から、フローの方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシから、ユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ103において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除してカプセリングする。
シーケンスQ104において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ105において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをコアルータ91−1に転送する。
シーケンスQ106において、コアルータ91−1は、このパケットをコアルータ91−3に転送する。
シーケンスQ107において、コアルータ91−3は、このパケットをパケットヘッダ識別制御部21−2に転送する。パケットヘッダ識別制御部21−2は、このパケットを受信すると、パケットがポリシテーブル22−2(図13(b)参照)のエントリに合致するか確認し、ルール名「AtoB」に合致することを検知する。
シーケンスQ108において、パケットヘッダ識別制御部21−2は、このパケットをカプセリングし、ルール名「AtoB」に基づくSPI値の「2342」を設定し、コア網出力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ108は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、コア網出力フロー用トンネルのSPI値に基づき、コア網出力フローであることを認識してデカプセリングする。
シーケンスQ109において、トンネル終端部6Dは、デカプセリングしたパケットにVLAN_Tagを付与してVLAN_IDに「2342」を設定し、アプリケーション識別装置3のインタフェース32へ転送する。トンネル終端部6DがVLAN_IDに設定する値は、このパケットをカプセリングした際のSPI値である。アプリケーション識別装置3は、インタフェース32から、このバケットのフローの方向がコア網からの出力方向であることを識別し、VLAN_IDから転送元がパケットヘッダ識別制御部21−2であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−2に関する各アプリケーション識別ポリシから、ユーザBに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ110において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除しカプセリングする。
シーケンスQ111において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−2に返送する。パケットヘッダ識別制御部21−2は、このパケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ112において、パケットヘッダ識別制御部21−2は、通常のルーティング処理を行い、このパケットをユーザ端末5−2(ユーザB)に転送する。
(ユーザBからユーザAへの通信)
シーケンスQ120〜Q132は、ユーザBからユーザAへの通信を示している。
シーケンスQ120において、ユーザ端末5−2(ユーザB)は、ユーザ端末5−1(ユーザA)を宛先とするパケットを、パケットヘッダ識別制御部21−2を介して送信する。パケットヘッダ識別制御部21−2は、このパケットを受信すると、パケットがポリシテーブル22−2(図13(b)参照)のエントリに合致するか確認し、ルール名「BtoA」に合致することを検知する。
シーケンスQ121において、パケットヘッダ識別制御部21−2は、このパケットをカプセリングして、ルール名「BtoA」に基づくSPI値の「2341」を設定し、コア網入力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ121は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、IPトンネルのSPI値に基づきコア網入力フローであることを認識して、デカプセリングする。
シーケンスQ122において、トンネル終端部6Dは、デカプセリングしたパケットにVLAN_Tagを付与してVLAN_IDにSPI値の「2341」を設定し、アプリケーション識別装置3のインタフェース31へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−2であること、および、このパケットを受信したインタフェース31から、フローの方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−2に関する各アプリケーション識別ポリシから、ユーザBに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ123において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除しカプセリングする。
シーケンスQ124において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−2に返送する。パケットヘッダ識別制御部21−2は、このパケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ125において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをコアルータ91−3に転送する。
シーケンスQ126において、コアルータ91−3は、このパケットをコアルータ91−1に転送する。
シーケンスQ127において、コアルータ91−2は、このパケットをパケットヘッダ識別制御部21−1に転送する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、ポリシテーブル22−1(図13(a)参照)のエントリに合致するか確認し、ルール名「BtoA」に合致することを検知する。
シーケンスQ128において、パケットヘッダ識別制御部21−1は、パケットをカプセリングし、ルール名「BtoA」に基づくSPI値の「1232」を設定し、コア網出力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ128は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、コア網出力フロー用トンネルのSPI値に基づき、コア網出力フローであることを認識してデカプセリングする。
シーケンスQ129において、トンネル終端部6Dは、デカプセリングしたパケットにVLAN_Tagを付与してVLAN_IDに「1232」を設定し、アプリケーション識別装置3のインタフェース32へ転送する。トンネル終端部6DがVLAN_IDに設定する値は、このパケットをカプセリングした際のSPI値である。アプリケーション識別装置3は、このパケットを受信したインタフェース32から、フローの方向がコア網からの出力方向であることを識別し、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシから、ユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ130において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除してカプセリングする。
シーケンスQ131において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ132において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをユーザ端末5−1(ユーザA)に転送する。
ネットワークを流れるパケット(フロー)をアプリケーション単位で制御するためには、DPI装置をインラインに設置することが一般的である。しかし、NGN(Next Generation Network)のような大規模ネットワークの場合、DPI装置を全回線に設置すると高コストになる虞がある。そこで、本発明では、複数のパケットヘッダ識別制御部21がアプリケーション識別装置3を共有することとした。本発明では、ポリシ管理装置4がパケットヘッダ識別制御部21に対して特定フローをアプリケーション識別装置3へ転送するためのステアリングポリシを設定し、パケットヘッダ識別制御部21が識別子を付与してフローを転送する。この発明によれば、アプリケーション識別に必要なリソースを大幅に削減することが可能である。
本発明の装置は、コンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。
1,1D,1E アプリケーション識別システム
2E−1,2E−2 DPI装置
21,21−1,21−2,21−3 パケットヘッダ識別制御部
211 コア網内接続インタフェース
212 コア網外接続インタフェース
213 アプリケーション識別接続インタフェース
22−1,22−2,22−3 ポリシテーブル
3,3−1,3−2 アプリケーション識別装置
3E−1,3E−2 アプリケーション識別部
31,32 インタフェース
33 ポリシテーブル
4 ポリシ管理装置
5,5−1,5−2 ユーザ端末
6,6A 中継装置
6C L2スイッチ (中継装置の一例)
6D トンネル終端部 (中継装置の一例)
7 サーバ
9 コア網
91−1,91−2,91−3 コアルータ

Claims (7)

  1. 入力フロー用インタフェースと出力フロー用インタフェースとを備え、フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、
    各端末と接続されたコア網のエッジに設置されており、設定されたステアリングポリシに合致するフローを前記アプリケーション識別装置へ転送して、前記アプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と、
    複数の前記パケットヘッダ識別制御部が転送したフローを、当該フローが前記端末から前記コア網への入力フローならば前記入力フロー用インタフェースに入力し、当該フローが前記コア網から前記端末への出力フローならば前記出力フロー用インタフェースに入力することにより、前記アプリケーション識別装置に中継する中継装置と、
    各前記パケットヘッダ識別制御部に対して、前記アプリケーション識別装置へ転送するステアリングポリシを設定するポリシ管理装置と、
    を備え
    前記アプリケーション識別装置は、前記入力フロー用インタフェースと前記出力フロー用インタフェースのうちいずれから入力されたフローであるかにより、当該フローの属性を判断して適用可能なアプリケーション識別ポリシを絞りこむ、
    ことを特徴とするアプリケーション識別システム。
  2. 前記パケットヘッダ識別制御部は、前記フローを前記アプリケーション識別装置へ転送する前記ステアリングポリシを保持するポリシテーブルを備える、
    ことを特徴とする請求項1に記載のアプリケーション識別システム。
  3. 前記アプリケーション識別装置は、各アプリケーションを識別するアプリケーション識別ポリシを保持するポリシテープルを備える、
    ことを特徴とする請求項1に記載のアプリケーション識別システム。
  4. 前記パケットヘッダ識別制御部が保持するステアリングポリシは、転送するフローの5tuple情報と、転送先の前記アプリケーション識別装置を示す情報と、識別子との組み合わせを含み、
    前記識別子は、転送元の前記パケットヘッダ識別制御部の情報、および、転送するフローの方向情報を含む、
    ことを特徴とする請求項3に記載のアプリケーション識別システム。
  5. 前記中継装置は、複数の前記パケットヘッダ識別制御部との間で、IPトンネルを介してフローを転送する、
    ことを特徴とする請求項1に記載のアプリケーション識別システム。
  6. 前記アプリケーション識別装置を少なくとも2台以上備え、
    前記ポリシ管理装置は、一のアプリケーション識別装置を稼働させつつ当該一のアプリケーション識別装置を監視し、当該一のアプリケーション識別装置が故障した場合には、他のアプリケーション識別装置を稼働させ、各前記パケットヘッダ識別制御部に対して、当該他のアプリケーション識別装置を転送先とするステアリングポリシを設定する、
    ことを特徴とする請求項1に記載のアプリケーション識別システム。
  7. フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、
    各端末と接続されたコア網のエッジに設置されており、各前記端末から前記コア網への入力フローかつ当該フローが設定されたステアリングポリシに合致するならば、前記アプリケーション識別装置へ転送して、前記アプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と、
    複数の前記パケットヘッダ識別制御部が転送したフローを前記アプリケーション識別装置に中継する中継装置と、
    各前記パケットヘッダ識別制御部に対して、前記アプリケーション識別装置へ転送するステアリングポリシを設定するポリシ管理装置と、
    を備えることを特徴とするアプリケーション識別システム。
JP2014034742A 2014-02-25 2014-02-25 アプリケーション識別システム Active JP6200348B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014034742A JP6200348B2 (ja) 2014-02-25 2014-02-25 アプリケーション識別システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014034742A JP6200348B2 (ja) 2014-02-25 2014-02-25 アプリケーション識別システム

Publications (2)

Publication Number Publication Date
JP2015162693A JP2015162693A (ja) 2015-09-07
JP6200348B2 true JP6200348B2 (ja) 2017-09-20

Family

ID=54185551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014034742A Active JP6200348B2 (ja) 2014-02-25 2014-02-25 アプリケーション識別システム

Country Status (1)

Country Link
JP (1) JP6200348B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6499100B2 (ja) * 2016-02-26 2019-04-10 日本電信電話株式会社 通信システム、及びパケット転送方法
WO2023021635A1 (ja) * 2021-08-18 2023-02-23 日本電信電話株式会社 トラヒック識別装置、スイッチ、ルータ、トラヒック識別方法及びトラヒック識別プログラム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013168207A1 (en) * 2012-05-09 2013-11-14 Nec Corporation Communication system, communication method, and program

Also Published As

Publication number Publication date
JP2015162693A (ja) 2015-09-07

Similar Documents

Publication Publication Date Title
JP4886788B2 (ja) 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
US8804723B2 (en) Efficient control packet replication in data plane
CN107231307B (zh) 用于防止数据中心架构内子网间流量转接的方法、系统和装置
CN114073043B (zh) 以太网网桥端口管理的方法和装置
US10673737B2 (en) Multi-VRF universal device internet protocol address for fabric edge devices
EP1858205A1 (en) Tunneling device, tunnel frame sorting method used for the device, and its program
EP2548346B1 (en) Packet node for applying service path routing at the mac layer
CN110661714B (zh) 发送bgp消息的方法、接收bgp消息的方法以及设备
CN107547340B (zh) 一种报文转发方法和装置
JP2007104440A (ja) パケット伝送システム、トンネリング装置およびパケット伝送方法
CN112039920A (zh) 通信方法、装置、电子设备及存储介质
CN111835645B (zh) 用于跨网络内的多个接口代理子网内流量的方法、系统和装置
WO2014062629A1 (en) System and method for correlating security events with subscriber information in a mobile network environment
US20150319092A1 (en) CONTENT AWARE WI-FI QoS
CN113395212B (zh) 网络装置及其操作方法和非暂时性计算机可读介质
US20170222998A1 (en) Network service header used to relay authenticated session information
JP6200348B2 (ja) アプリケーション識別システム
CN112385194B (zh) 远程网络之间的状态分组传输
EP4248631A1 (en) Traffic flow based map-cache refresh to support devices and their dynamic policy updates
CN112217783A (zh) 用于在通信网络中的攻击识别的设备和方法
JP2016019031A (ja) フィルタリング装置およびフィルタリング方法
CN113556345B (zh) 一种报文处理方法、装置、设备及介质
WO2008083572A1 (en) A method for transfering the ip transmission session and the equipment whereto
Jeuk et al. Network segmentation in the cloud a novel architecture based on UCC and IID
JP5733473B2 (ja) インターワーク装置、方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170131

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170822

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170825

R150 Certificate of patent or registration of utility model

Ref document number: 6200348

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150