JP6200348B2 - アプリケーション識別システム - Google Patents
アプリケーション識別システム Download PDFInfo
- Publication number
- JP6200348B2 JP6200348B2 JP2014034742A JP2014034742A JP6200348B2 JP 6200348 B2 JP6200348 B2 JP 6200348B2 JP 2014034742 A JP2014034742 A JP 2014034742A JP 2014034742 A JP2014034742 A JP 2014034742A JP 6200348 B2 JP6200348 B2 JP 6200348B2
- Authority
- JP
- Japan
- Prior art keywords
- application identification
- packet
- flow
- packet header
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
比較例のアプリケーション識別システム1Eは、コア網9にポリシ管理装置4と、DPI装置2E−1,2E−2とが、それぞれ相互に通信可能に接続されている。
DPI装置2E−2は、同様なアプリケーション識別部3E−2と、パケットヘッダ識別制御部21−2とを備えている。DPI装置2E−1,2E−2は、ユーザ端末5−1,5−2をコア網9に接続するエッジルータである。
DPI装置2E−1,2E−2は、ポリシ管理装置4からの指示によってデータパケットのアプリケーション識別や制御を実施する。
各端末と接続されたコア網のエッジに設置されており、設定されたステアリングポリシに合致するフローをこのアプリケーション識別装置へ転送して、このアプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と、
複数のパケットヘッダ識別制御部が転送したフローを、当該フローが前記端末から前記コア網への入力フローならば前記入力フロー用インタフェースに入力し、当該フローが前記コア網から前記端末への出力フローならば前記出力フロー用インタフェースに入力することにより、アプリケーション識別装置に中継する中継装置と、各パケットヘッダ識別制御部に対して、アプリケーション識別装置へ転送するステアリングポリシを設定するポリシ管理装置と、を備える。
前記アプリケーション識別装置は、前記入力フロー用インタフェースと前記出力フロー用インタフェースのうちいずれから入力されたフローであるかにより、当該フローの属性を判断して適用可能なアプリケーション識別ポリシを絞りこむ。
図1は、パケットヘッダ識別制御部21におけるフローを示す図である。
アプリケーション識別システム1において、パケットヘッダ識別制御部21−1,21−2は、コア網9のエッジとしてインラインに設置される。これにより、パケットヘッダ識別制御部21−1,21−2は、自身に接続されるユーザ端末5などが転送したフローのみを監視すればよいので、自身が保持するステアリングポリシを自身に接続されるユーザ端末5などに限定して、効率的に処理することができる。ステアリングポリシとは、特定のフローをパケット識別制御部21−1,21−2からアプリケーション識別装置3へ転送するためのポリシである。以下、パケットヘッダ識別制御部21−1,21−2を特に区別しない場合には、単に「パケットヘッダ識別制御部21」と記載している場合がある。
中継装置6は、複数のパケットヘッダ識別制御部21−1,21−2が転送したフローをアプリケーション識別装置3に中継する。
アプリケーション識別装置3は、複数のパケットヘッダ識別制御部21で共用する装置として、中継装置6と共にコア網9のネットワーク上に設置される。アプリケーション識別装置3は、各パケットヘッダ識別制御部21に関するアプリケーション識別ポリシを保持するポリシテーブル33を備える。これにより、アプリケーション識別装置3は、フローを構成するパケットのデータ部分を識別することができる。
ここで転送先のアプリケーション識別装置3を示す情報とは、アプリケーション識別装置3のIPアドレス、または、パケットヘッダ識別制御部21のアプリケーション識別接続インタフェース213(図3参照)である。フローの識別子とは、このフローの転送元のパケットヘッダ識別制御部21およびこのフローの方向を識別する情報である。フローの方向とは、コア網9外からコア網9内への方向と、コア網9内からコア網9外への方向とである。フローの識別子は、アプリケーション識別装置3および中継装置6において、フローの転送元のパケットヘッダ識別制御部21およびフローの方向を識別するために用いられる。
ポリシ管理装置4は更に、アプリケーション識別装置3に、アプリケーション識別ボリシを設定する。アプリケーション識別ボリシとは、特定のフローをアプリケーション識別するためのポリシであり、パケットヘッダ識別制御部21に設定される各ステアリングポリシのうちいずれかに対応している。
図2(a)は、コア網9への入力フローを転送する動作を示す図である。
アプリケーション識別装置3は、インタフェース31とインタフェース32とを備え、インタフェース31,32により中継装置6と直接接続する。パケットヘッダ識別制御部21は、特定のフローを、中継装置6を介してアプリケーション識別装置3へ転送する。
中継装置6は、パケットヘッダ識別制御部21から転送されたフローを、その識別子の各フローの方向を参照して、アプリケーション識別装置3のインタフェース31,32のうち対応するインタフェースに入力する。インタフェース31,32を区別するため、図面では、それぞれ「IF#1」、「IF#2」と記載している。
中継装置6は、転送されたフローがコア網9への入力フローならば、アプリケーション識別装置3のインタフェース31に入力する。
図2(b)は、コア網9からの出力フローを転送する動作を示す図である。
中継装置6は、転送されたフローがコア網9からの出力フローならば、アプリケーション識別装置3のインタフェース32に入力する。
このようにすることで、アプリケーション識別装置3は、フローを受信したインタフェースによって、このフローの属性を判断して適用可能なアプリケーション識別ポリシを絞りこみ、効率的に処理することができる。
このケース#1は、パケットヘッダ識別制御部21に対して設定するステアリングポリシをコア網入力フローとコア網出力フローの双方に適用する場合である。
図3は、ケース#1のパケットヘッダ識別制御部21におけるフローを示す図である。
コア網9からの出力フローF0は、パケットヘッダ識別制御部21のコア網内接続インタフェース211に入力される。このフローF0は、パケットヘッダ識別制御部21により識別子を付与され、かつカプセリングされて、アプリケーション識別接続インタフェース213から中継装置6に転送される。中継装置6は、パケットヘッダ識別制御部21のアプリケーション識別接続インタフェース213に直接に接続されており、転送されたフローをデカプセリングしてアプリケーション識別装置3に中継する。これにより、パケットヘッダ識別制御部21は、IPトンネルを構築することなく、効率的にフローをアプリケーション識別装置3へ転送することができる。
アプリケーション識別装置3は、受信したフローF0の識別子から送信元のパケットヘッダ識別制御部21を認識し、該当するパケットヘッダ識別制御部21に関するアプリケーション識別ポリシを適用する。アプリケーション識別装置3がアプリケーション識別ポリシを適用したフローF0は、中継装置6でカプセリングされ、元のパケットヘッダ識別制御部21に返送される。このフローF0は、パケットヘッダ識別制御部21でデカプセリングされたのち、宛先IPアドレスで指定される本来の宛先へと転送される。
中継装置6は、フローF1を必要に応じてデカプセリングし、VLAN_Tagまたは独自仕様プロトコルに識別子を付与して、アプリケーション識別装置3に中継する。
アプリケーション識別装置3は、受信したフローF1の識別子から転送元のパケットヘッダ識別制御部21を認識し、該当するパケットヘッダ識別制御部21に関するアプリケーション識別ポリシを適用する。アプリケーション識別装置3がアプリケーション識別ポリシを適用したフローF1は、中継装置6を介して元のパケットヘッダ識別制御部21に返送される。
パケットヘッダ識別制御部21では、アプリケーション識別接続インタフェース213を介して返送されたフローF1について、識別子を削除し、宛先IPアドレスで指定される本来の宛先へ送信する。
各フローF1A,F1B,F2A,F2Bを構成するパケットには、パケットヘッダ識別制御部21にて、それぞれ識別子が付与されて転送される。転送されたパケットは、アプリケーション識別装置3で識別処理されたのち、再び中継装置6を経由して、パケットヘッダ識別制御部21に戻る。
パケットヘッダ識別制御部21は、フローF2Aを構成するパケットに、識別子「2A」を付与し、フローF2Bを構成するパケットに、識別子「2B」を付与する。このようにすることで、アプリケーション識別装置3および中継装置6は、各フローを構成するパケットの識別子により、このフローの送信元のパケットヘッダ識別制御部21およびフローの方向を識別することができる。
第1の方法は、IPヘッダの未使用フィールドに設定する方法である。IPヘッダの未使用フィールドには、例えばIPv6(Internet Protocol Version 6)ヘッダのFlowLabelがある。
第2の方法は、パケットにVLAN_Tagを追加して転送し、VLAN_IDに識別子を設定する方法である。
第3の方法は、パケットにIPsec(Security Architecture for Internet Protocol)を使用して転送し、ESP(Encapsulated Security Payload)ヘッダのSPI(Security Parameters Index)値に識別子を設定する方法である。
第4の方法は、パケットをGRE(Generic Routing Encapsulation)を使用して転送し、GREヘッダのキーIDに識別子を設定する方法である。
第5の方法は、パケットに独自仕様プロトコルを使用し、プロトコルヘッダの特定の1フィールドに設定する。
なお、パケットヘッダ識別制御部21に対して設定するステアリングポリシは、コア網入力フローとコア網出力フローの双方向か、または、コア網入力フローのみに適用する。
このケース#2は、パケットヘッダ識別制御部21に対して設定するステアリングポリシをコア網入力フローのみに適用する場合である。
図5は、ケース#2の中継装置6Aにおけるフローを示す図である。
フローF1Aは、ユーザ端末5から、パケットヘッダ識別制御部21のコア網外接続インタフェース212とアプリケーション識別接続インタフェース213とを介して、中継装置6Aに転送される。
このフローF1Aは、中継装置6Aを経由してアプリケーション識別装置3で識別処理されたのち、中継装置6Aに返送される。
中継装置6Aは、アプリケーション識別装置3から返送されたフローF1Aについて、識別子を削除して、宛先IPアドレスで指定される本来の宛先へ転送する。
ケース#2によれば、中継装置6Aは、コア網入力フローをパケットヘッダ識別制御部21に返送せずに、本来の宛先へ転送するので、ケース#1と比べてアプリケーション識別を効率的に実施可能である。
アプリケーション識別システム1において、アプリケーション識別装置3−1,3−2は、パケットヘッダ識別制御部21−1,21−2で共用する装置として、中継装置6と共にコア網9のネットワーク上に設置される。アプリケーション識別装置3−1,3−2は、各パケットヘッダ識別制御部21−1,21−2に関するアプリケーション識別ポリシを保持する。アプリケーション識別装置3−1は、通常時に動作する現用装置である。アプリケーション識別装置3−2は、現用装置の故障時に動作する予備装置である。各アプリケーション識別装置3−1,3−2を区別するため、図面に#1,#2の番号を付与している。
アプリケーション識別システム1が動作を開始すると、ポリシ管理装置4は、シーケンスQ10の処理を開始する。
シーケンスQ10において、ポリシ管理装置4は、各パケットヘッダ識別制御部21に対して、特定のフローをアプリケーション識別装置3−1へ転送させるためのステアリングポリシを設定する。
シーケンスQ12において、ポリシ管理装置4は、予備のアプリケーション識別装置3−2の故障を監視する。以降、ポリシ管理装置4は、シーケンスQ11,Q12を繰り返し行う。
シーケンスQ20において、パケットヘッダ識別制御部21は、ステアリングポリシで指定された5tuple情報に合致するフローを検知すると、指定された識別子を付与して、指定されたアプリケーション識別装置3−1へ転送する。以降、パケットヘッダ識別制御部21は、同様なフロー転送処理を行う。
シーケンスQ31において、ポリシ管理装置4は、現用のアプリケーション識別装置3−1の故障を検知する。
シーケンスQ32において、ポリシ管理装置4は、各パケットヘッダ識別制御部21に対して、特定のフローをアプリケーション識別装置3−2へ転送させるためのステアリングポリシを設定する。これにより、アプリケーション識別装置3−2は、現用装置となる。
シーケンスQ33において、パケットヘッダ識別制御部21は、ステアリングポリシで指定された5tuple情報に合致するフローを検知すると、指定された識別子を付与して、指定されたアプリケーション識別装置3−2へ転送する。
これにより、アプリケーション識別システム1は、現用のアプリケーション識別装置3−1が故障した場合でも、予備のアプリケーション識別装置3−2に切り替えて動作を継続可能である。
図8は、第1の実施形態におけるアプリケーション識別システム1を示す概略の構成図である。
図8に示すように、アプリケーション識別システム1は、コア網9にアプリケーション識別装置3と、ポリシ管理装置4と、L2スイッチ6C(各図では「L2SW」と記載されている。)と、コアルータ91−1,91−2と、パケットヘッダ識別制御部21−1〜21−3とを備えている。アプリケーション識別装置3は、各パケットヘッダ識別制御部21のアプリケーション識別ポリシを保持するポリシテーブル33を備える。各パケットヘッダ識別制御部21−1〜21−3は、それぞれポリシテーブル22−1〜22−3を備えている。なお、各ポリシテーブル22−1〜22−3を特に区別しない場合には、単に「ポリシテーブル22」と記載している場合がある。各パケットヘッダ識別制御部21−1〜21−3を区別するため、図面に#1〜#3の番号を付与している。
アプリケーション識別システム1は、パケットヘッダ識別制御部21−1を介してユーザAのユーザ端末5−1に接続され、パケットヘッダ識別制御部21−2を介してユーザBのユーザ端末5−2に接続され、パケットヘッダ識別制御部21−3を介してサーバ7(サーバX)に接続される。
ユーザAのユーザ端末5−1には、IPアドレス(1.1.1.1)が払い出されている。ユーザBのユーザ端末5−2には、IPアドレス(2.2.2.2)が払い出されている。サーバ7(サーバX)には、IPアドレス(3.3.3.3)が払い出されている。アプリケーション識別装置3には、IPアドレス(4.4.4.4)が払い出されている。
ポリシ管理装置4は、パケットヘッダ識別制御部21−1に対して、ユーザAのステアリングポリシを設定し、ユーザAのフローをアプリケーション識別装置3に転送させる。
パケットヘッダ識別制御部21−1は、設定されたステアリングポリシを、ポリシテーブル22−1に保持する。
ポリシ管理装置4は、アプリケーション識別装置3に対して、ユーザAのアプリケーション識別ポリシを設定し、転送されたユーザAのフローにアプリケーション識別ポリシを適用させる。
ポリシ管理装置4は、パケットヘッダ識別制御部21−2に対して、ユーザBのステアリングポリシを設定し、ユーザBのフローをアプリケーション識別装置3へ転送させる。
パケットヘッダ識別制御部21−2は、設定されたステアリングポリシを、ポリシテーブル22−2に保持する。ポリシ管理装置4は、アプリケーション識別装置3に対して、ユーザBのアプリケーション識別ポリシを設定し、転送されたユーザBのフローにアプリケーション識別ポリシを適用させる。
ルール名欄には、各ポリシルールの名称が格納される。
対象フロー欄には、このポリシルールとして、送信元IPアドレスと宛先IPアドレスの組合せが格納される。パケットヘッダ識別制御部21−1は、各フローの送信元IPアドレスと宛先IPアドレスとが、この対象フロー欄に格納された値と合致したならば、このルールに合致すると判断する。すなわち、この対象フロー欄には、転送するフローの5tuple情報が格納される。
VLAN_IDの第1桁は、フローの方向を示している。VLAN_IDの第1桁(以下、1の位を第1桁とする。)が「1」の場合は、フローの方向がコア網への入力方向であることを示している。VLAN_IDの第1桁が「2」の場合は、フローの方向がコア網からの出力方向であることを示している。
VLAN_IDの第3桁は、フローの転送元を示している。VLAN_IDの第3桁が「1」の場合は、フローの転送元がパケットヘッダ識別制御部21−1であることを示している。VLAN_IDの第3桁が「2」の場合は、フローの転送元がパケットヘッダ識別制御部21−2であることを示している。
パケットヘッダ識別制御部21−1は、ユーザAとサーバX間の通信のポリシルールと、ユーザA・ユーザB間の通信のポリシルールとを、自身のポリシテーブル22−1に保持している。
図9(b)は、パケットヘッダ識別制御部21−2(#2)が保持するポリシテーブル22−2を示す図である。パケットヘッダ識別制御部21−2は、ユーザA・ユーザB間の通信のポリシルールを、自身のポリシテーブル22−2に保持している。
なお、パケットヘッダ識別制御部21−3のポリシテーブル22−3には、ポリシルールが保持されていない。
シーケンスQ40〜Q48は、ユーザAからサーバXへの通信を示している。
シーケンスQ40において、ユーザ端末5−1(ユーザA)は、サーバ7(サーバX)を宛先とするパケットを、パケットヘッダ識別制御部21−1を介して送信する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、ポリシテーブル22−1(図9(a)参照)のエントリに合致するか確認し、ルール名「AtoX」に合致することを検知する。
シーケンスQ41において、パケットヘッダ識別制御部21−1は、ルール名「AtoX」に基づき、このパケットにVLAN_IDの「101」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ42において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網入力フローであることを認識し、アプリケーション識別装置3のインタフェース31へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシから、ユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ44において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ45において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、パケットをコアルータ91−1に転送する。
シーケンスQ46において、コアルータ91−1は、このパケットのルーティングに基づき、コアルータ91−2に転送する。
シーケンスQ47において、コアルータ91−2は、このパケットのルーティングに基づき、パケットヘッダ識別制御部21−3に転送する。
シーケンスQ48において、パケットヘッダ識別制御部21−3は、このパケットを受信すると、パケットがポリシテーブル22−3のエントリに合致するか確認し、いずれにも合致しないことを検知する。パケットヘッダ識別制御部21−3は、このパケットのルーティングに基づき、このパケットをサーバ7(サーバX)に転送する。
シーケンスQ50〜Q58は、サーバXからユーザAへの通信を示している。
シーケンスQ50において、サーバ7(サーバX)は、ユーザ端末5−1(ユーザA)を宛先とするパケットを、パケットヘッダ識別制御部21−3を介して送信する。パケットヘッダ識別制御部21−3は、このパケットを受信すると、パケットがポリシテーブル22−3のエントリに合致するか確認し、いずれにも合致しないことを検知する。
シーケンスQ51において、パケットヘッダ識別制御部21−3は、このパケットのルーティングに基づき、コアルータ91−2に転送する。
シーケンスQ52において、コアルータ91−2は、このパケットのルーティングに基づき、コアルータ91−1に転送する。
シーケンスQ54において、パケットヘッダ識別制御部21−1は、ルール名「XtoA」に基づき、このパケットにVLAN_IDの「102」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ55において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網出力フローであることを認識し、アプリケーション識別装置3のインタフェース32へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網からの出力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシからユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ57において、L2スイッチ6Cは、このパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ58において、パケットヘッダ識別制御部21−1は、このパケットをユーザ端末5−1(ユーザA)に転送する。
(ユーザAからユーザBへの通信)
シーケンスQ60〜Q71は、ユーザAからユーザBへの通信を示している。
シーケンスQ60において、ユーザ端末5−1(ユーザA)は、ユーザ端末5−2(ユーザB)を宛先とするパケットを、パケットヘッダ識別制御部21−1を介して送信する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図9(b)参照)のエントリに合致するか確認し、ルール名「AtoB」に合致することを検知する。
シーケンスQ61において、パケットヘッダ識別制御部21−1は、ルール名「AtoB」に基づき、このパケットにVLAN_IDの「101」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ63において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ65において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、パケットをコアルータ91−1に転送する。
シーケンスQ66において、コアルータ91−1は、このパケットのルーティングに基づき、パケットヘッダ識別制御部21−2に転送する。パケットヘッダ識別制御部21−2はパケットを受信すると、パケットがポリシテーブル22−2(図9(b)参照)のエントリに合致するか確認し、ルール名「AtoB」に合致することを検知する。
シーケンスQ67において、パケットヘッダ識別制御部21−2は、ルール名「AtoB」に基づき、このパケットにVLAN_IDの「202」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ69において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ70において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−2に返送する。パケットヘッダ識別制御部21−2は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ71において、パケットヘッダ識別制御部21−2は、通常のルーティング処理を行い、このパケットをユーザ端末5−2(ユーザB)に転送する。
シーケンスQ80〜Q91は、ユーザBからユーザAへの通信を示している。
シーケンスQ80において、ユーザ端末5−2(ユーザB)は、ユーザ端末5−1(ユーザA)を宛先とするパケットを、パケットヘッダ識別制御部21−2を介して送信する。パケットヘッダ識別制御部21−2は、このパケットを受信すると、パケットがポリシテーブル22−2(図9(b)参照)のエントリに合致するか確認し、ルール名「BtoA」に合致することを検知する。
シーケンスQ81において、パケットヘッダ識別制御部21−2は、ルール名「BtoA」に基づき、このパケットにVLAN_IDの「201」を付与し、アプリケーション識別接続インタフェース213から出力する。L2スイッチ6Cは、このパケットを受信する。
シーケンスQ82において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網入力フローであることを認識し、アプリケーション識別装置3のインタフェース31へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−2であること、および、フローの方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−2に関する各アプリケーション識別ポリシからユーザBに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ84において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−2に返送する。パケットヘッダ識別制御部21−2は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ85において、パケットヘッダ識別制御部21−2は、通常のルーティング処理を行い、このパケットをコアルータ91−1に転送する。
シーケンスQ86において、コアルータ91−1は、このパケットのルーティングに基づき、パケットヘッダ識別制御部21−1に転送する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図9(a)参照)のエントリに合致するか確認し、ルール名「BtoA」に合致することを検知する。
シーケンスQ88において、L2スイッチ6Cは、このパケットに付与されたVLAN_IDに基づきコア網出力フローであることを認識し、アプリケーション識別装置3のインタフェース32へ転送する。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網からの出力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシからユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ89において、アプリケーション識別装置3は、処理したパケットを、L2スイッチ6Cに返送する。
シーケンスQ90において、L2スイッチ6Cは、このパケットを、パケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットからVLANタグを取り除く。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ91において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをユーザ端末5−1(ユーザA)に転送する。
第2の実施形態では、パケットヘッダ識別制御部21と中継装置6間の識別子の転送にIPsecのSPI値を使用し、中継装置6でVLAN_Tagに付け替えている。このようにすることで、中継装置6の接続トポロジや設置位置の制約が少なくなる。
図12に示すように、アプリケーション識別システム1Dは、コア網9にアプリケーション識別装置3と、ポリシ管理装置4と、トンネル終端部6D(中継装置)と、コアルータ91−1〜91−3と、パケットヘッダ識別制御部21−1〜21−3とを備えている。ポリシ管理装置4と、トンネル終端部6Dと、コアルータ91−1〜91−3と、パケットヘッダ識別制御部21−1〜21−3とは、相互に通信可能に接続されている。
パケットヘッダ識別制御部21−1,21−2は、IPトンネルとトンネル終端部6Dとを介してアプリケーション識別装置3に接続される。
アプリケーション識別システム1Dは、パケットヘッダ識別制御部21−1を介してユーザAのユーザ端末5−1に接続され、パケットヘッダ識別制御部21−2を介してユーザBのユーザ端末5−2に接続され、パケットヘッダ識別制御部21−3を介してサーバ7(サーバX)に接続される。各パケットヘッダ識別制御部21−1〜21−3を区別するため、図面に#1〜#3の番号を付与している。
第2の実施形態のユーザ端末5−1(ユーザA)は、第1の実施形態と同様に、サーバ7(サーバX)およびユーザ端末5−2(ユーザB)とユニキャストで通信する。
図13(a)は、パケットヘッダ識別制御部21−1(#1)が保持するポリシテーブル22−1を示す図である。
ルール名欄には、各ポリシルールの名称が格納される。
対象フロー欄には、このポリシルールとして、送信元IPアドレスと宛先IPアドレスの組合せが格納される。パケットヘッダ識別制御部21−1は、各フローの送信元IPアドレスと宛先IPアドレスとが、この対象フロー欄に格納された値と合致したならば、このルールに合致すると判断する。すなわち、この対象フロー欄には、転送するフローの5tuple情報が格納される。
SPI値欄には、このルールに合致するフローを転送するIPsecのSPI値が格納される。第2の実施形態では、フローの識別子としてIPsecのSPI値を使用する。中継装置6がIPsecのSPI値をVLAN_TagのVLAN_IDに付け変えることで、アプリケーション識別装置3は、このフローに適用するアプリケーション識別ポリシを特定することができる。
なお、中継装置6は、SPI値とVLAN_IDとの変換表を保持し、この変換表に基づきSPI値とVLAN_IDとを異なる値に付け変えるようにしてもよい。
SPIの第2〜4桁は、フローの転送元を示している。SPIの第2〜4桁が「123」の場合は、フローの転送元がパケットヘッダ識別制御部21−1であることを示している。SPIの第2〜4桁が「234」の場合は、フローの転送元がパケットヘッダ識別制御部21−2であることを示している。
各パケットヘッダ識別制御部21と、アプリケーション識別装置3に隣接するトンネル終端部6Dとは、SPI値欄と転送先のアプリケーション識別装置欄を参照して、コア網入力フロー用トンネルやコア網出力フロー用トンネルを確立する。
パケットヘッダ識別制御部21−1は、ユーザAとサーバX間の通信のポリシルールと、ユーザA・ユーザB間の通信のポリシルールとを、自身のポリシテーブル22−1に保持している。
なお、パケットヘッダ識別制御部21−3のポリシテーブル22−3には、ポリシルールが保持されていない。
(ユーザAからサーバXへの通信)
シーケンスQ140〜Q148は、ユーザAからサーバXへの通信を示している。
シーケンスQ140において、ユーザ端末5−1(ユーザA)は、サーバ7(サーバX)を宛先とするパケットを、パケットヘッダ識別制御部21−1を介して送信する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図13(a)参照)のエントリに合致するか確認し、ルール名「AtoX」に合致することを検知する。
シーケンスQ142において、トンネル終端部6Dは、デカプセリングしたパケットにVLAN_Tagを付与してVLAN_IDに「1231」を設定し、アプリケーション識別装置3のインタフェース31へ転送する。トンネル終端部6DがVLAN_IDに設定する値は、このパケットをカプセリングした際のSPI値である。アプリケーション識別装置3は、VLAN_IDから転送元がパケットヘッダ識別制御部21−1であること、および、このパケットが流れる方向がコア網への入力方向であることを識別する。アプリケーション識別装置3は、パケットヘッダ識別制御部21−1に関する各アプリケーション識別ポリシから、ユーザAに関するアプリケーション識別ポリシを選択して適用する。
シーケンスQ144において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、パケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ145において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをコアルータ91−1に転送する。
シーケンスQ146において、コアルータ91−1は、このパケットをコアルータ91−2に転送する。
シーケンスQ148において、パケットヘッダ識別制御部21−3は、このパケットを受信すると、ポリシテーブル22−3のエントリに合致するか確認し、いずれにも合致しないことを検知する。パケットヘッダ識別制御部21−3は、このパケットをサーバ7(サーバX)に転送する。
シーケンスQ150〜Q158は、サーバXからユーザAへの通信を示している。
シーケンスQ150において、サーバ7(サーバX)は、ユーザ端末5−1(ユーザA)を宛先とするパケットを、パケットヘッダ識別制御部21−3を介して送信する。パケットヘッダ識別制御部21−3は、このパケットを受信すると、ポリシテーブル22−3のエントリに合致するか確認し、いずれにも合致しないことを検知する。
シーケンスQ151において、パケットヘッダ識別制御部21−3は、このパケットをコアルータ91−2に転送する。
シーケンスQ152において、コアルータ91−2は、このパケットをコアルータ91−1に転送する。
シーケンスQ154において、パケットヘッダ識別制御部21−1は、パケットをカプセリングして、ルール名「XtoA」に基づきSPI値の「1232」を設定し、コア網出力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ154は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、デカプセリングする。
シーケンスQ157において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、パケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ158において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをユーザ端末5−1(ユーザA)に転送する。
(ユーザAからユーザBへの通信)
シーケンスQ100〜Q112は、ユーザAからユーザBへの通信を示している。
シーケンスQ100において、ユーザ端末5−1(ユーザA)は、ユーザ端末5−2(ユーザB)を宛先とするパケットを、パケットヘッダ識別制御部21−1を介して送信する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、パケットがポリシテーブル22−1(図13(a)参照)のエントリに合致するか確認し、ルール名「AtoB」に合致することを検知する。
シーケンスQ101において、パケットヘッダ識別制御部21−1は、このパケットをカプセリングして、ルール名「AtoB」に基づくSPI値の「1231」を設定し、コア網入力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ101は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、デカプセリングする。
シーケンスQ103において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除してカプセリングする。
シーケンスQ104において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−1に返送する。パケットヘッダ識別制御部21−1は、このパケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ106において、コアルータ91−1は、このパケットをコアルータ91−3に転送する。
シーケンスQ107において、コアルータ91−3は、このパケットをパケットヘッダ識別制御部21−2に転送する。パケットヘッダ識別制御部21−2は、このパケットを受信すると、パケットがポリシテーブル22−2(図13(b)参照)のエントリに合致するか確認し、ルール名「AtoB」に合致することを検知する。
シーケンスQ108において、パケットヘッダ識別制御部21−2は、このパケットをカプセリングし、ルール名「AtoB」に基づくSPI値の「2342」を設定し、コア網出力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ108は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、コア網出力フロー用トンネルのSPI値に基づき、コア網出力フローであることを認識してデカプセリングする。
シーケンスQ110において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除しカプセリングする。
シーケンスQ112において、パケットヘッダ識別制御部21−2は、通常のルーティング処理を行い、このパケットをユーザ端末5−2(ユーザB)に転送する。
シーケンスQ120〜Q132は、ユーザBからユーザAへの通信を示している。
シーケンスQ120において、ユーザ端末5−2(ユーザB)は、ユーザ端末5−1(ユーザA)を宛先とするパケットを、パケットヘッダ識別制御部21−2を介して送信する。パケットヘッダ識別制御部21−2は、このパケットを受信すると、パケットがポリシテーブル22−2(図13(b)参照)のエントリに合致するか確認し、ルール名「BtoA」に合致することを検知する。
シーケンスQ121において、パケットヘッダ識別制御部21−2は、このパケットをカプセリングして、ルール名「BtoA」に基づくSPI値の「2341」を設定し、コア網入力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ121は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、IPトンネルのSPI値に基づきコア網入力フローであることを認識して、デカプセリングする。
シーケンスQ123において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除しカプセリングする。
シーケンスQ124において、トンネル終端部6Dは、IPトンネルを介してパケットをパケットヘッダ識別制御部21−2に返送する。パケットヘッダ識別制御部21−2は、このパケットをデカプセリングする。以降このパケットは、通常のルーティング処理が行われる。
シーケンスQ126において、コアルータ91−3は、このパケットをコアルータ91−1に転送する。
シーケンスQ127において、コアルータ91−2は、このパケットをパケットヘッダ識別制御部21−1に転送する。パケットヘッダ識別制御部21−1は、このパケットを受信すると、ポリシテーブル22−1(図13(a)参照)のエントリに合致するか確認し、ルール名「BtoA」に合致することを検知する。
シーケンスQ128において、パケットヘッダ識別制御部21−1は、パケットをカプセリングし、ルール名「BtoA」に基づくSPI値の「1232」を設定し、コア網出力フロー用トンネルを介してトンネル終端部6Dに転送する。シーケンスQ128は、IPトンネルを介していることを示すため、破線矢印で示されている。トンネル終端部6Dは、このパケットを受信すると、コア網出力フロー用トンネルのSPI値に基づき、コア網出力フローであることを認識してデカプセリングする。
シーケンスQ130において、アプリケーション識別装置3は、処理したパケットを、トンネル終端部6Dに返送する。トンネル終端部6Dは、返送されたパケットのVLAN_Tagを削除してカプセリングする。
シーケンスQ132において、パケットヘッダ識別制御部21−1は、通常のルーティング処理を行い、このパケットをユーザ端末5−1(ユーザA)に転送する。
2E−1,2E−2 DPI装置
21,21−1,21−2,21−3 パケットヘッダ識別制御部
211 コア網内接続インタフェース
212 コア網外接続インタフェース
213 アプリケーション識別接続インタフェース
22−1,22−2,22−3 ポリシテーブル
3,3−1,3−2 アプリケーション識別装置
3E−1,3E−2 アプリケーション識別部
31,32 インタフェース
33 ポリシテーブル
4 ポリシ管理装置
5,5−1,5−2 ユーザ端末
6,6A 中継装置
6C L2スイッチ (中継装置の一例)
6D トンネル終端部 (中継装置の一例)
7 サーバ
9 コア網
91−1,91−2,91−3 コアルータ
Claims (7)
- 入力フロー用インタフェースと出力フロー用インタフェースとを備え、フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、
各端末と接続されたコア網のエッジに設置されており、設定されたステアリングポリシに合致するフローを前記アプリケーション識別装置へ転送して、前記アプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と、
複数の前記パケットヘッダ識別制御部が転送したフローを、当該フローが前記端末から前記コア網への入力フローならば前記入力フロー用インタフェースに入力し、当該フローが前記コア網から前記端末への出力フローならば前記出力フロー用インタフェースに入力することにより、前記アプリケーション識別装置に中継する中継装置と、
各前記パケットヘッダ識別制御部に対して、前記アプリケーション識別装置へ転送するステアリングポリシを設定するポリシ管理装置と、
を備え、
前記アプリケーション識別装置は、前記入力フロー用インタフェースと前記出力フロー用インタフェースのうちいずれから入力されたフローであるかにより、当該フローの属性を判断して適用可能なアプリケーション識別ポリシを絞りこむ、
ことを特徴とするアプリケーション識別システム。 - 前記パケットヘッダ識別制御部は、前記フローを前記アプリケーション識別装置へ転送する前記ステアリングポリシを保持するポリシテーブルを備える、
ことを特徴とする請求項1に記載のアプリケーション識別システム。 - 前記アプリケーション識別装置は、各アプリケーションを識別するアプリケーション識別ポリシを保持するポリシテープルを備える、
ことを特徴とする請求項1に記載のアプリケーション識別システム。 - 前記パケットヘッダ識別制御部が保持するステアリングポリシは、転送するフローの5tuple情報と、転送先の前記アプリケーション識別装置を示す情報と、識別子との組み合わせを含み、
前記識別子は、転送元の前記パケットヘッダ識別制御部の情報、および、転送するフローの方向情報を含む、
ことを特徴とする請求項3に記載のアプリケーション識別システム。 - 前記中継装置は、複数の前記パケットヘッダ識別制御部との間で、IPトンネルを介してフローを転送する、
ことを特徴とする請求項1に記載のアプリケーション識別システム。 - 前記アプリケーション識別装置を少なくとも2台以上備え、
前記ポリシ管理装置は、一のアプリケーション識別装置を稼働させつつ当該一のアプリケーション識別装置を監視し、当該一のアプリケーション識別装置が故障した場合には、他のアプリケーション識別装置を稼働させ、各前記パケットヘッダ識別制御部に対して、当該他のアプリケーション識別装置を転送先とするステアリングポリシを設定する、
ことを特徴とする請求項1に記載のアプリケーション識別システム。 - フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、
各端末と接続されたコア網のエッジに設置されており、各前記端末から前記コア網への入力フローかつ当該フローが設定されたステアリングポリシに合致するならば、前記アプリケーション識別装置へ転送して、前記アプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と、
複数の前記パケットヘッダ識別制御部が転送したフローを前記アプリケーション識別装置に中継する中継装置と、
各前記パケットヘッダ識別制御部に対して、前記アプリケーション識別装置へ転送するステアリングポリシを設定するポリシ管理装置と、
を備えることを特徴とするアプリケーション識別システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014034742A JP6200348B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014034742A JP6200348B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015162693A JP2015162693A (ja) | 2015-09-07 |
JP6200348B2 true JP6200348B2 (ja) | 2017-09-20 |
Family
ID=54185551
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014034742A Active JP6200348B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6200348B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6499100B2 (ja) * | 2016-02-26 | 2019-04-10 | 日本電信電話株式会社 | 通信システム、及びパケット転送方法 |
WO2023021635A1 (ja) * | 2021-08-18 | 2023-02-23 | 日本電信電話株式会社 | トラヒック識別装置、スイッチ、ルータ、トラヒック識別方法及びトラヒック識別プログラム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013168207A1 (en) * | 2012-05-09 | 2013-11-14 | Nec Corporation | Communication system, communication method, and program |
-
2014
- 2014-02-25 JP JP2014034742A patent/JP6200348B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015162693A (ja) | 2015-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4886788B2 (ja) | 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法 | |
US8804723B2 (en) | Efficient control packet replication in data plane | |
CN107231307B (zh) | 用于防止数据中心架构内子网间流量转接的方法、系统和装置 | |
CN114073043B (zh) | 以太网网桥端口管理的方法和装置 | |
US10673737B2 (en) | Multi-VRF universal device internet protocol address for fabric edge devices | |
EP1858205A1 (en) | Tunneling device, tunnel frame sorting method used for the device, and its program | |
EP2548346B1 (en) | Packet node for applying service path routing at the mac layer | |
CN110661714B (zh) | 发送bgp消息的方法、接收bgp消息的方法以及设备 | |
CN107547340B (zh) | 一种报文转发方法和装置 | |
JP2007104440A (ja) | パケット伝送システム、トンネリング装置およびパケット伝送方法 | |
CN112039920A (zh) | 通信方法、装置、电子设备及存储介质 | |
CN111835645B (zh) | 用于跨网络内的多个接口代理子网内流量的方法、系统和装置 | |
WO2014062629A1 (en) | System and method for correlating security events with subscriber information in a mobile network environment | |
US20150319092A1 (en) | CONTENT AWARE WI-FI QoS | |
CN113395212B (zh) | 网络装置及其操作方法和非暂时性计算机可读介质 | |
US20170222998A1 (en) | Network service header used to relay authenticated session information | |
JP6200348B2 (ja) | アプリケーション識別システム | |
CN112385194B (zh) | 远程网络之间的状态分组传输 | |
EP4248631A1 (en) | Traffic flow based map-cache refresh to support devices and their dynamic policy updates | |
CN112217783A (zh) | 用于在通信网络中的攻击识别的设备和方法 | |
JP2016019031A (ja) | フィルタリング装置およびフィルタリング方法 | |
CN113556345B (zh) | 一种报文处理方法、装置、设备及介质 | |
WO2008083572A1 (en) | A method for transfering the ip transmission session and the equipment whereto | |
Jeuk et al. | Network segmentation in the cloud a novel architecture based on UCC and IID | |
JP5733473B2 (ja) | インターワーク装置、方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160226 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170131 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170323 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170822 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170825 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6200348 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |