JP6441721B2 - 制御装置、制御方法及びプログラム - Google Patents
制御装置、制御方法及びプログラム Download PDFInfo
- Publication number
- JP6441721B2 JP6441721B2 JP2015060996A JP2015060996A JP6441721B2 JP 6441721 B2 JP6441721 B2 JP 6441721B2 JP 2015060996 A JP2015060996 A JP 2015060996A JP 2015060996 A JP2015060996 A JP 2015060996A JP 6441721 B2 JP6441721 B2 JP 6441721B2
- Authority
- JP
- Japan
- Prior art keywords
- field
- packet
- value
- destination
- ofs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
1−1.通信システム100の構成
図1は、本発明の一実施形態に係る通信システム100の構成の一例を示す図である。通信システム100は、同図に示されるように、SDN(Software-Defined Networking)ネットワーク10と、Proxy(プロキシ)サーバ1と、管理サーバ2と、制御サーバ3とにより構成される。SDNネットワーク10は、OpenFlow仕様に準拠したネットワークであり、複数のOpenFlowスイッチ(以下、「OFS」という。)4A〜4D(以下、特に区別する必要がない場合には「OFS4」と総称する。)と、複数の端末5A〜5C(以下、特に区別する必要がない場合には「端末5」と総称する。)と、複数のIPS(Intrusion Prevention System、侵入防止システム)6A及び6B(以下、特に区別する必要がない場合には「IPS6」と総称する。)と、WAF(Web Application Firewall)7と、Capture(キャプチャ)ツール8とにより構成される。
OFS4は、OpenFlow仕様に準拠した伝送装置(又は中継装置、転送装置)であって、ハードウェアで行われるパケット伝送処理を行う伝送装置である。ここで、OpenFlowとは、通信ネットワークを構成するネットワーク機器を1つの制御装置で集中管理し、複雑な転送制御を行ったり柔軟にネットワーク構成を変更したりすることができる技術である。OpenFlowは、SDNを実現するプロトコルの1つである。なおここで、SDNとは、コンピュータネットワークを構成する通信機器を単一のソフトウェアによって集中的に制御し、ネットワークの構造や構成、設定などを柔軟かつ動的に変更することを可能とする技術の総称、または、そのような技術によって構築されたネットワークのことである。
以上が、パケットの転送処理に係る機能構成についての説明である。
端末5は、OFS4を介して互いに通信を行うコンピュータ装置である。端末5は、例えば、CPU(Central Processing Unit)等の演算装置と、HDD(Hard Disk Drive)等の記憶装置と、キーボードやマウス等の入力装置と、液晶ディスプレイ等の表示装置と、ネットワークカード等の通信インタフェースを備える。
IPS6は、SDNネットワーク10への不正侵入を防止するセキュリティ機器である。IPS6は、侵入検知時には通信の遮断などの防御をリアルタイムに行い、管理者への通知やログの記録を行う。
WAF7は、SDNネットワーク10への不正アクセスを防止するためのファイアウォールである。WAF7は特に、Webアプリケーションのやり取りを把握、管理することによって不正侵入を防止する。
Captureツール8は、パケットキャプチャツールである。Captureツール8は、SDNネットワーク10を流れるパケットを捕獲して中身を表示したり解析、集計などを行う。
Proxyサーバ1は、SDNネットワーク10内の端末5による外部ネットワークへのアクセスを中継する装置であって、そのアクセスログを記録する。
図3は、管理サーバ2の機能構成の一例を示す図である。管理サーバ2は、同図に示されるように、収集部21と、判断部22と、実行部23という機能を備える。これらの機能は、例えば、CPU等の演算装置によりプログラムが実行されることにより実現される。
[「何れかの端末」から「検出対象の何れかのログ」が「60分以内」に「5回以上」検出されたら]、[「端末状態をグレー」とする]
(2)複数ログ組み合せを用いた条件
[「何れかの端末」から「60分以内」で「装置Aのログ1」と「装置Bのログ2」と「装置Cのログ3」が検出されたら]、[「端末状態をブラック」とする]
(3)端末状態を用いた条件
[「端末状態=グレーの端末」から「検出対象の何れかのログ」が検出されたら]、[「端末状態をブラック」とする]
(4)日付を用いた条件
[「何れかの端末」から「営業時間外19:00〜翌8:00」に「装置Aのログ4」が検出されたら]、[「端末状態をグレー」とする]
(5)特定端末を用いた条件
[「端末1」から「装置Aのログ3」が検出されたら]、[「端末状態をグレー」とする]
制御サーバ3は、OpenFlowコントローラである。より具体的には、OpenFlow仕様に準拠した制御装置であって、複数のOFS4の振る舞いを一括して管理する制御装置である。制御サーバ3は、SDNネットワーク10におけるデータ転送の経路計算を行って、計算した経路に沿ってデータ転送が行われるように各OFS4を制御する。
以上が、制御サーバ3の機能構成についての説明である。
以上が、フローエントリ更新の第1の例についての説明である。
以上が、フローエントリ更新の第2の例についての説明である。
以上が、フローエントリ更新の第3の例についての説明である。
上記の実施形態は、以下に示すように変形してもよい。また、以下の変形例は互いに組み合わせてもよい。
上記の実施形態において、制御サーバ3は、OFS4間のトラフィックをリアルタイムで収集し、所定の閾値を超えた場合に経路制御を行うようにしてもよい。例えば、SDNネットワーク10の各パスについて以下のように閾値を設定し、閾値未満である場合には最短経路パスに基づく経路制御を行い、閾値以上である場合には、送信元端末5に紐付いて経路制御を行うようにしてもよい。
(2)OFS4A ⇔ OFS4C ≦ 800Mbps
(3)OFS4B ⇔ OFS4D ≦ 800Mbps
(4)OFS4C ⇔ OFS4D ≦ 900Mbps
以上が、トラフィックに基づく経路制御についての説明である。
上記の実施形態では、パケットのTos値として「000000」と「000001」が使用される例について説明したが、以下ではTos値として「000010」が使用される例について説明する。具体的には、Tos値を「000010」とするパケットを、上記の実施形態で説明したトポロジ検出又はリンク生死確認用のパケット(以下、「管理用パケット」という。)として利用する例について説明する。
以上が、管理用パケットの利用例についての説明である。
上記の実施形態に係る管理サーバ2の機能は、制御サーバ3が備えてもよい。この場合、制御サーバ3の経路制御計算部36は、パケットが中継される通信のリスクの度合いに基づいて、パケットを転送すべきアプライアンスを決定してもよい。
上記の実施形態ではアプライアンスとしてセキュリティ機器のみが想定されているが、通常のPC等のその他の機器もアプライアンスとして採用されてもよい。
上記の実施形態に係るSDNネットワーク10及び制御サーバ3は、OpenFlow仕様に準拠するものとなっているが、SDNを実現するものであれば他のプロトコルに準拠するものであってもよい。
上記の実施形態又は変形例においてOFS4又は制御サーバ3において実行されるプログラムは、コンピュータ装置が読み取り可能な記録媒体を介して提供されてもよい。ここで、記録媒体とは、例えば、磁気テープや磁気ディスクなどの磁気記録媒体や、光ディスクなどの光記録媒体や、光磁気記録媒体や、半導体メモリ等である。また、このプログラムは、インターネット等のネットワークを介して提供されてもよい。
Claims (7)
- 複数の装置の間でパケットを中継する複数の中継装置を制御する制御装置であって、
前記複数の中継装置の各々は、
第1送信先を識別する第1送信先情報が記述される第1フィールドと、第2送信先を識別する第2送信先情報が記述される第2フィールドと、前記第1フィールドと前記第2フィールドのうち送信先を特定するために参照すべきフィールドを決定する値が記述される第3フィールドとを有するパケットを受信する受信部と、
前記受信されたパケットの前記第3フィールドに記述されている値に基づいて、前記第1及び第2フィールドのうち、当該パケットの送信先を特定するために参照すべきフィールドを特定するフィールド特定部と、
前記特定されたフィールドに記述されている送信先情報に対応する動作指示を経路制御テーブルにおいて特定する動作指示特定部と、
前記特定された動作指示に従って前記パケットに対する処理を実行する処理実行部と
を備え、
前記制御装置は、
前記複数の中継装置のうちの少なくとも一の中継装置が、前記第1送信先情報が記述されているパケットを受信し、当該パケットの第2フィールドに第2送信先情報を書き込み、かつ、前記第3フィールドの値を、前記第1フィールドを指定する値から前記第2フィールドを指定する値に変更することで、当該パケットの送信先を前記第1送信先から前記第2送信先に変更させるように当該一の中継装置を制御する経路制御部を
備えることを特徴とする制御装置。 - 所定の判断基準に基づいて、前記パケットが中継される経路を決定する経路決定部をさらに備え、
前記経路制御部は、前記決定された経路上を前記パケットが中継されるように前記制御を行うことを特徴とする請求項1に記載の制御装置。 - 前記経路決定部は、前記経路上で前記パケットが転送される機器を決定することを特徴とする請求項2に記載の制御装置。
- 前記所定の判断基準は、前記複数の中継装置の間のトラフィックであり、
前記経路決定部は、前記パケットが転送されるべき同種の機器が複数存在する場合には、当該複数の機器の中からトラフィックに基づいて一の機器を決定する
ことを特徴とする請求項3に記載の制御装置。 - 第1送信先を識別する第1送信先情報が記述される第1フィールドと、第2送信先を識別する第2送信先情報が記述される第2フィールドと、前記第1フィールドと前記第2フィールドのうち送信先を特定するために参照すべきフィールドを決定する値が記述される第3フィールドとを有するパケットを受信する受信部と、
前記受信されたパケットの前記第3フィールドに記述されている値に基づいて、前記第1及び第2フィールドのうち、当該パケットの送信先を特定するために参照すべきフィールドを特定するフィールド特定部と、
前記特定されたフィールドに記述されている送信先情報に対応する動作指示を経路制御テーブルにおいて特定する動作指示特定部と、
前記特定された動作指示に従って前記パケットに対する処理を実行する処理実行部と
を備える中継装置。 - 複数の装置の間でパケットを中継する複数の中継装置を制御する制御装置によって実行される制御方法であって、
前記複数の中継装置の各々は、
第1送信先を識別する第1送信先情報が記述される第1フィールドと、第2送信先を識別する第2送信先情報が記述される第2フィールドと、前記第1フィールドと前記第2フィールドのうち送信先を特定するために参照すべきフィールドを決定する値が記述される第3フィールドとを有するパケットを受信する受信部と、
前記受信されたパケットの前記第3フィールドに記述されている値に基づいて、前記第1及び第2フィールドのうち、当該パケットの送信先を特定するために参照すべきフィールドを特定するフィールド特定部と、
前記特定されたフィールドに記述されている送信先情報に対応する動作指示を経路制御テーブルにおいて特定する動作指示特定部と、
前記特定された動作指示に従って前記パケットに対する処理を実行する処理実行部と
を備え、
当該制御方法は、
前記複数の中継装置のうちの少なくとも一の中継装置が、前記第1送信先情報が記述されているパケットを受信し、当該パケットの第2フィールドに第2送信先情報を書き込み、かつ、前記第3フィールドの値を、前記第1フィールドを指定する値から前記第2フィールドを指定する値に変更することで、当該パケットの送信先を前記第1送信先から前記第2送信先に変更させるように当該一の中継装置を制御するステップを
備えることを特徴とする制御方法。 - 複数の装置の間でパケットを中継する複数の中継装置を制御するコンピュータであって、
前記複数の中継装置の各々は、
第1送信先を識別する第1送信先情報が記述される第1フィールドと、第2送信先を識別する第2送信先情報が記述される第2フィールドと、前記第1フィールドと前記第2フィールドのうち送信先を特定するために参照すべきフィールドを決定する値が記述される第3フィールドとを有するパケットを受信する受信部と、
前記受信されたパケットの前記第3フィールドに記述されている値に基づいて、前記第1及び第2フィールドのうち、当該パケットの送信先を特定するために参照すべきフィールドを特定するフィールド特定部と、
前記特定されたフィールドに記述されている送信先情報に対応する動作指示を経路制御テーブルにおいて特定する動作指示特定部と、
前記特定された動作指示に従って前記パケットに対する処理を実行する処理実行部と
を備え、
前記コンピュータを、
前記複数の中継装置のうちの少なくとも一の中継装置が、前記第1送信先情報が記述されているパケットを受信し、当該パケットの第2フィールドに第2送信先情報を書き込み、かつ、前記第3フィールドの値を、前記第1フィールドを指定する値から前記第2フィールドを指定する値に変更することで、当該パケットの送信先を前記第1送信先から前記第2送信先に変更させるように当該一の中継装置を制御する経路制御部
として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015060996A JP6441721B2 (ja) | 2015-03-24 | 2015-03-24 | 制御装置、制御方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015060996A JP6441721B2 (ja) | 2015-03-24 | 2015-03-24 | 制御装置、制御方法及びプログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018219234A Division JP2019024272A (ja) | 2018-11-22 | 2018-11-22 | 制御装置、制御方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016181802A JP2016181802A (ja) | 2016-10-13 |
JP6441721B2 true JP6441721B2 (ja) | 2018-12-19 |
Family
ID=57131938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015060996A Active JP6441721B2 (ja) | 2015-03-24 | 2015-03-24 | 制御装置、制御方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6441721B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6938205B2 (ja) * | 2017-05-02 | 2021-09-22 | アライドテレシスホールディングス株式会社 | アクセス制御システム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3666474B2 (ja) * | 2002-06-21 | 2005-06-29 | 日本電気株式会社 | 折り返しポートを備えるスイッチ装置およびカプセル化パケットスイッチング方法 |
JP2004088658A (ja) * | 2002-08-28 | 2004-03-18 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送装置及びパケット処理方法 |
US9083612B2 (en) * | 2010-08-20 | 2015-07-14 | Nec Corporation | Communication system, control apparatus, communication method, and program |
JP5776161B2 (ja) * | 2010-10-04 | 2015-09-09 | ソニー株式会社 | 通信装置、通信制御方法及び通信システム |
US9178715B2 (en) * | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
-
2015
- 2015-03-24 JP JP2015060996A patent/JP6441721B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016181802A (ja) | 2016-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6453976B2 (ja) | ネットワークシステム、制御装置、通信制御方法および通信制御プログラム | |
CN107667505B (zh) | 用于监控和管理数据中心的系统及方法 | |
Kamisiński et al. | Flowmon: Detecting malicious switches in software-defined networks | |
JP4128974B2 (ja) | レイヤ2ループ検知システム | |
US11546266B2 (en) | Correlating discarded network traffic with network policy events through augmented flow | |
US9813448B2 (en) | Secured network arrangement and methods thereof | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
US9060013B2 (en) | Network system, network relay method, and network relay device | |
US9544194B2 (en) | Network management service system, control apparatus, method, and program | |
JP6387195B2 (ja) | 通信装置及びシステム及び方法 | |
CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
JP6433865B2 (ja) | 通信装置 | |
JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
US20130246655A1 (en) | Communication path control system, path control device, communication path control method, and path control program | |
US20130121170A1 (en) | Communication system, node, statistical information collection device, statistical information collection method and program | |
US20130250797A1 (en) | Communication control system, control device, communication control method, and communication control program | |
CN113037731B (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
JP4398316B2 (ja) | ネットワーク管理装置、ネットワーク管理方法、およびプログラム | |
JP2013223191A (ja) | 通信システム、制御装置、パケット採取方法及びプログラム | |
JP6441721B2 (ja) | 制御装置、制御方法及びプログラム | |
JP7060800B2 (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
JP2019024272A (ja) | 制御装置、制御方法及びプログラム | |
CN115885502A (zh) | 对中间网络节点进行诊断 | |
JP2006050442A (ja) | トラヒック監視方法及びシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171220 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181016 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181023 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6441721 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |