JP6619096B2 - ファイアウォールクラスタ - Google Patents

ファイアウォールクラスタ Download PDF

Info

Publication number
JP6619096B2
JP6619096B2 JP2018521874A JP2018521874A JP6619096B2 JP 6619096 B2 JP6619096 B2 JP 6619096B2 JP 2018521874 A JP2018521874 A JP 2018521874A JP 2018521874 A JP2018521874 A JP 2018521874A JP 6619096 B2 JP6619096 B2 JP 6619096B2
Authority
JP
Japan
Prior art keywords
vfw
flow
node
vfw node
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018521874A
Other languages
English (en)
Other versions
JP2018536345A (ja
Inventor
トン シエ
トン シエ
シューファ コアン
シューファ コアン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Publication of JP2018536345A publication Critical patent/JP2018536345A/ja
Application granted granted Critical
Publication of JP6619096B2 publication Critical patent/JP6619096B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/80Responding to QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

ソフトウェア・デファインド・ネットワーク(Software Defined Network、SDN)は新しいネットワークアーキテクチャであり、そのコアテクノロジーであるオープンフロー(OpenFlow)は、ネットワーク装置のコントロールプレーンとデータプレーンとを分離することにより、ネットワークトラフィックへの柔軟な制御を実現する。
SDNコントローラは、ネットワークトポロジの収集、ルートの算出、フローテーブルの生成及び配信、ネットワークの管理及び制御などの機能を実現し、ネットワーク層の装置は、トラフィックの転送及びポリシーの実行を担う。
ネットワーク機能仮想化(Network Functions Virtualization、NFV)は欧州電気通信標準化機構(European Telecommunication Standards Institute、ETSI)の1つの業界仕様グループ(Industry Specification Group、ISG)である。NFV方式において、様々なネットワークエレメントは、独立したアプリケーションとなり、標準に従うサーバー、メモリ、スイッチにより構築されたプラットフォーム上に柔軟に配置されることが可能となる。
NFVの技術基盤は、クラウドコンピューティングと仮想化技術であり、汎用的な商用オフザシェルフ(Commercial Off−The−Shelf、COTS)としてのコンピューティング/ストレージ/ネットワークハードウェア装置は、仮想化技術によって複数種類の仮想リソースに分割されて上位層の様々なアプリケーションに使用されることが可能となる。また、仮想化技術によって、アプリケーションがハードウェアから切り離され、リソースの供給速度を大幅に向上させる。
ファイアウォールスタック技術は、スタック技術によって複数台の物理的なファイアウォール装置を積み重ねて、論理的に1台のファイアウォール装置を形成する技術である。
本願の実施例によるファイアウォールクラスタの実現方法のフローチャート。 本願の実施例による、ファイアウォールクラスタを配置する方法のフローチャート。 本願の実施例によるファイアウォールクラスタの模式図。 本願の実施例による、NATサービス無しかつVPNサービス無しのファイアウォールを実現する際におけるイントラネットからエクストラネットへのフローパケットの転送方法のフローチャート。 本願の実施例による、NATサービス無しかつVPNサービス無しのファイアウォールを実現する際におけるエクストラネットからイントラネットへのフローパケットの転送方法のフローチャート。 本願の実施例による、NATサービス有りかつVPNサービス有りのファイアウォールを実現する際におけるイントラネットからエクストラネットへのフローパケットの転送方法のフローチャート。 本願の実施例による、NATサービス有りかつVPNサービス有りのファイアウォールを実現する際におけるエクストラネットからイントラネットへのフローパケットの転送方法のフローチャート。 本願の実施例による、NATサービス無しかつVPNサービス無しのファイアウォールを実現する際のファイアウォールクラスタの拡張方法のフローチャート。 本願の実施例による、NATサービス無しかつVPNサービス無しのファイアウォールを実現する際のファイアウォールクラスタの縮小方法のフローチャート。 本願の実施例によるファイアウォールクラスタの実現装置の構成の模式図。 本願の実施例によるSDNコントローラのハードウェア構成の模式図。
スタック技術によって複数台の物理的なファイアウォール装置を積み重ねて論理的なファイアウォール装置を構築する場合、物理的なファイアウォール装置の台数及びこれらの物理的なファイアウォール装置を格納するマシンルームのスペースを事前に考慮する必要がある。そして、スタックメンバーを追加、削除する過程において、スタックポートの設定を変更する必要があり、例えば、スタックポートの設定を追加、削除する必要がある。
以下、図面を参照しながら、本願の実施例を説明する。
図1は、本願の実施例によるファイアウォールクラスタの実現方法のフローチャートである。図1に示すように、この方法のステップは以下の通りである。
ステップ101において、SDNコントローラは、ファイアウォールクラスタにおける各仮想ファイアウォール(Virtual FireWall、vFW)ノードの負荷をリアルタイムに監視する。ファイアウォールクラスタは、SDNコントローラと1つ以上のvFWノードとスイッチとを含み、各vFWノードは、前記スイッチの等コストネクストホップである。
ステップ102において、SDNコントローラは、1つ以上のvFWノードの負荷が予め設定された第1閾値よりも高いことを検出すると、新たなvFWノードを作成する。
ステップ103において、SDNコントローラは、監視されるvFWノードを流れるフローの中から移行対象の第1フローを選択し、第1フローに対応する第1フローエントリを更新し、更新後の第1フローエントリをスイッチに送信する。更新後の第1フローエントリは、第1フローを新たなvFWノードに送信するようにスイッチに指示するものである。
本願の実施例において、第1フローに対応する第1フローエントリを更新する前に、この方法はさらに以下のことを含む。
SDNコントローラは、第1フローの識別子及び新たなvFWノードの識別子を監視されるvFWノードに送信する。
SDNコントローラは、第1フローが流れるvFWノードから送信された第1通知メッセージを受信する。第1通知メッセージは、第1フローが流れるvFWノードが第1フローに対応するセッション情報を新たなvFWノードに同期させた後に送信したものである。
本願の実施例において、第1フローに対応する第1フローエントリを更新することは以下のことを含む。
第1フローエントリのネクストホップを新たなvFWノードに変更する。
本願の実施例において、SDNコントローラは、ファイアウォールクラスタにおける各vFWノードの負荷をリアルタイムに監視した後、この方法はさらに以下のことを含む。
SDNコントローラは、1つ以上のvFWノードの負荷が予め設定された第2閾値よりも低いことを検出すると、負荷が予め設定された第2閾値よりも低いvFWノードの中から除去対象のvFWノードを選択し、除去対象のvFWノードを流れる第2フローを移行対象のフローとして特定するとともに、第2フローの移行先vFWノードを特定する。
SDNコントローラは、第2フローに対応する第2フローエントリを更新し、更新後の第2フローエントリをスイッチに送信する。更新後の第2フローエントリは、第2フローを移行先vFWノードに送信するようにスイッチに指示するものである。
本願の実施例において、第2フローに対応する第2フローエントリを更新する前に、この方法はさらに以下のことを含む。
SDNコントローラは、第2フローの識別子及び移行先vFWノードの識別子を除去対象のvFWノードに送信する。
SDNコントローラは、除去対象のvFWノードから送信された第2通知メッセージを受信する。第2通知メッセージは、除去対象のvFWノードが第2フローに対応するセッション情報を移行先vFWノードに同期させた後に送信したものである。
本願の実施例において、第2フローに対応する第2フローエントリを更新することは以下のことを含む。
第2フローエントリのネクストホップを移行先vFWノードに更新する。
本願の実施例において、ファイアウォールクラスタにおける各vFWノードがネットワークアドレス変換(Network Address Translation、NAT)サービス及び仮想プライベートネットワーク(Virtual Private Network、VPN)サービスの機能を有しない場合、方法はさらに以下のことを含む。
スイッチから送信されたフローパケットを受信すると、SDNコントローラは、ハッシュアルゴリズムに従って複数のvFWノードの中から1つのvFWノードを選択するとともに、当該フローパケットを選択されたvFWノードに転送するようにスイッチに通知する。
本願の実施例において、ファイアウォールクラスタにおける各vFWノードがNATサービス及びVPNサービスの機能を有する場合、方法はさらに以下のことを含む。
SDNコントローラは、NATアドレスプールにおけるNATアドレスをvFWノードに割り当てる。
スイッチから送信されたフローパケットを受信すると、SDNコントローラは、フローパケットを解析してVPNパケットを取得し、VPNパケットの宛先アドレスに基づいて対応するvFWノードを検索するとともに、フローエントリを生成し、生成されたフローエントリをスイッチに送信する。ここで、宛先アドレスはNATアドレスであり、生成されたフローエントリは、VPNパケットを検索されたvFWノードに転送するようにスイッチに指示するものである。
図2は、本願の実施例による、ファイアウォールクラスタを配置する方法のフローチャートである。図2に示すように、この方法のステップは以下の通りである。
ステップ201において、ファイアウォールクラスタが設けられるネットワークにおいてSDNコントローラ(SDN Controller)を配置し、SDNコントローラは、フローマネージャ(Flow Manager)とNFVマネージャ(NFV Manager)の機能を有効にする。
ステップ202において、NFVマネージャは、設けられるファイアウォールクラスタの性能に応じて、NFV技術によって複数のvFWノードを作成する。各vFWノードのアップリンクポートとダウンリンクポートはいずれもスイッチにバインドされ、各vFWノードはスイッチの等コストネクストホップとなる。また、スイッチはSDNネットワーク装置の機能を有効にする。SDNネットワーク装置の機能は、オープンフロー転送機能を含む。
本願の実施例において、vFWノードの数はファイアウォールクラスタの性能により決められる。
図3は、本願の実施例によるファイアウォールクラスタの模式図である。図3に示すように、このファイアウォールクラスタは、SDNコントローラとn個のvFWノードとスイッチとを含み、ここでnは正の整数である。スイッチは、イントラネットとエクストラネットとを接続し、各vFWノードはスイッチの等コストネクストホップである。SDNコントローラはフローマネージャとNFVマネージャの機能を有効にする。
本願の実施例において、ファイアウォールクラスタにより提供されるサービスに従って、ファイアウォールクラスタにおけるファイアウォールは2つのタイプに分けられる。
第1のタイプは、NATサービス無しかつVPNサービス無しのファイアウォールである。
NATサービス無しかつVPNサービス無しのファイアウォールは、主にファイアウォール攻撃防御、ドメイン間ポリシーなどのサービスを処理する。また、スイッチは、同一のフローの双方向パケットをともに同一のvFWノードに転送することができる。
第2のタイプは、NATサービス有りかつVPNサービス有りのファイアウォールである。
NATサービス有りかつVPNサービス有りのファイアウォールは、NATサービス、VPNサービスを分割してvFWノードに割り当てる必要がある。
図4は、本願の実施例による、NATサービス無しかつVPNサービス無しのファイアウォールを実現する際におけるイントラネットからエクストラネットへのフローパケットの転送方法のフローチャートである。図4に示すように、この方法のステップは以下の通りである。
ステップ400において、ファイアウォールクラスタにおける各vFWノードは、等コスト・マルチパス・ルーティング(Equal−Cost Multi−Path routing、ECMP)技術によってその自体のアップリンク方向及びダウンリンク方向のルートをスイッチに送信する。スイッチは、各vFWノードから送信されたアップリンク方向及びダウンリンク方向のルートを受信し、各vFWノードが自スイッチのアップリンク方向及びダウンリンク方向の等コストネクストホップである旨の情報をSDNコントローラに送信する。
スイッチは、アップリンク方向のフローを受信したか、それともダウンリンク方向のフローを受信したかを問わず、当該フローを先ずファイアウォールクラスタに送信する必要がある。ファイアウォールクラスタにおける各vFWノードは、スイッチのアップリンク方向及びダウンリンク方向の等コストネクストホップである。
ステップ401において、スイッチは、イントラネットからの、ソースIPアドレスがIP_Aであり、宛先IPアドレスがIP_Bであるフローパケットを受信する。そして、スイッチは、フローパケットの宛先IPアドレスに基づいて、対応するフローエントリをローカルに検索し、検索されなかった場合、当該フローパケットをPacket inパケット中にカプセル化してSDNコントローラに送信する。
ここで、Packet inパケットのソースアドレスは、スイッチのアドレスであり、宛先アドレスはSDNコントローラのアドレスである。
ステップ402において、SDNコントローラは、当該Packet inパケットを受信し、当該Packet inパケットのソースアドレスがスイッチのアドレスであることを発見する。そして、ローカルに記録されている、ファイアウォールクラスタにおける各vFWノードが当該スイッチのアップリンク方向及びダウンリンク方向の等コストネクストホップである旨の情報に基づいて当該スイッチが等コストネクストホップを有することを確認すると、Packet inパケットを解析して元のフローパケットを取得し、予め設定されたハッシュアルゴリズムに従って「IP_A、IP_B、ファイアウォールクラスタにおけるvFWノードの数」に対してハッシュ演算を実行し、ハッシュ演算の結果をファイアウォールクラスタにおける1つのvFWノードにマッピングする。そして、当該vFWノードを当該フローパケットを転送するネクストホップとし、当該フローパケットのためにフローエントリを生成し、当該フローエントリをPacket outパケット中にカプセル化して当該スイッチに送信する。
本願の実施例において、ハッシュアルゴリズムにおける2つのキーパラメータであるIP_AとIP_Bが順番に記入される。
フローエントリの内容は、フローパケットの宛先IPアドレス(すなわち、IP_B)及びネクストホップ情報を含む。
ステップ403において、スイッチは、当該Packet outパケットを受信し、当該Packet outパケットを解析して、SDNコントローラから送信されたフローエントリを取得して格納し、当該フローエントリにおけるネクストホップに基づいて、上記フローパケットを当該ネクストホップに対応するvFWノードに送信する。
ステップ404において、vFWノードは、当該フローパケットを受信し、当該フローパケットに対してファイアウォールサービス処理を行い、当該フローパケットに対応するセッション情報を生成する。そして、当該フローパケットがフィルタリングされていなければ、当該フローパケットを当該スイッチに返す。
セッション情報は、フローパケットのソースIPアドレス、ソースIPポート番号、宛先IPアドレス、宛先IPポート番号、プロトコル番号、ステータスなどの情報を含む。
ステップ405において、スイッチは、vFWノードが返したフローパケットを受信し、当該フローパケットをエクストラネットに転送する。
図5は、本願の実施例による、NATサービス無しかつVPNサービス無しのファイアウォールを実現する際におけるエクストラネットからイントラネットへのフローパケットの転送方法のフローチャートである。図5に示すように、この方法のステップは以下の通りである。
ステップ500において、ファイアウォールクラスタにおける各vFWノードは、ECMP技術によってその自体のアップリンク方向及びダウンリンク方向のルートをスイッチに送信する。そして、スイッチは、各vFWノードから送信されたアップリンク方向及びダウンリンク方向のルートを受信し、各vFWノードが自スイッチのアップリンク方向及びダウンリンク方向の等コストネクストホップである旨の情報をSDNコントローラに送信する。
ステップ501において、スイッチは、エクストラネットからの、ソースIPアドレスがIP_Bであり、宛先IPアドレスがIP_Aであるフローパケットを受信する。そして、スイッチは、当該フローパケットの宛先IPアドレスに基づいて、対応するフローエントリをローカルに検索し、検索されなかった場合、当該フローパケットをPacket inパケット中にカプセル化してSDNコントローラに送信する。
ステップ502において、SDNコントローラは、当該Packet inパケットを受信し、当該Packet inパケットのソースアドレスがスイッチのアドレスであることを発見する。そして、ローカルに記録されている、ファイアウォールクラスタにおける各vFWノードが当該スイッチのアップリンク方向及びダウンリンク方向の等コストネクストホップである旨の情報に基づいて当該スイッチが等コストネクストホップを有することを確認すると、Packet inパケットを解析して元のフローパケットを取得し、予め設定されたハッシュアルゴリズムに従って「IP_A、IP_B、ファイアウォールクラスタにおけるvFWノードの数」に対してハッシュ演算を実行し、ハッシュ演算の結果をファイアウォールクラスタにおける1つのvFWノードにマッピングする。そして、当該vFWノードを当該フローパケットを転送するネクストホップとし、当該フローパケットのためにフローエントリを生成し、当該フローエントリをPacket outパケット中にカプセル化して当該スイッチに送信する。
本願の実施例において、ハッシュアルゴリズムにおける2つのキーパラメータであるIP_AとIP_Bが順番に記入される。
このステップ502におけるハッシュ演算とステップ402におけるハッシュ演算とは完全に同一であるため、この2つのステップにおけるハッシュ演算の結果は同一である。これにより、同一のフローの順方向パケット、逆方向パケットが同一のvFWノードに転送されることを確保できる。
ステップ503において、スイッチは、当該Packet outパケットを受信し、当該Packet outパケットを解析して、SDNコントローラから送信されたフローエントリを取得して格納し、当該フローエントリにおけるネクストホップに基づいて、上記フローパケットを当該ネクストホップに対応するvFWノードに送信する。
ステップ504において、vFWノードは、当該フローパケットを受信し、当該フローパケットに対してファイアウォールサービス処理を行い、当該フローパケットに対応するセッション情報を生成する。そして、当該フローパケットがフィルタリングされていなければ、当該フローパケットを当該スイッチに返す。
ステップ505において、スイッチは、vFWノードが返したフローパケットを受信し、当該フローパケットをイントラネットに転送する。
図6は、本願の実施例による、NATサービス有りかつVPNサービス有りのファイアウォールを実現する際におけるイントラネットからエクストラネットへのフローパケットの転送方法のフローチャートである。図6に示すように、この方法のステップは以下の通りである。
ステップ600において、ファイアウォールクラスタにおけるvFWノードと、当該vFWノードに対応するエクストラネットパートナーとの間にVPNトンネルを予め確立する。
パートナーとは、エクストラネットにおけるVPNをいう。
各vFWノードは1つ以上のパートナーとVPNトンネルを確立することができる。一般的に、vFWノードは、性能が高ければ高いほど、確立できるVPNトンネルが多くなる。1つのパートナーは1つのvFWノードのみとVPNトンネルを確立することができる。
ステップ601において、SDNコントローラにNATアドレスプールを予め配置し、SDNコントローラのNFVマネージャは、NATアドレスプール中のリソースを分割してファイアウォールクラスタにおける各vFWノードに割り当てる。そして、割り当てたNATアドレスプール中のリソースを対応するvFWノードに送信し、各vFWノードに割り当てられたNATアドレスプール中のリソースに基づいて、ポリシーベースルーティング(Policy Basic Routing、PBR)を配置する。
各vFWノードの性能に応じてNATアドレスプール中のリソースの分割及び割り当てを行うことができる。vFWノードは、性能が高ければ高いほど、割り当てられるNATアドレスプールにおけるNATアドレスが多くなる。
PBRは、NATアドレスと、当該NATアドレスに対応するネクストホップ情報とを含み、NATアドレスに対応するネクストホップは、当該NATアドレスが割り当てられたvFWノードである。
ステップ602において、スイッチは、イントラネットからの、ソースIPアドレスがIP_Aであり、宛先IPアドレスがIP_NAT_Bであるフローパケットを受信する。そして、スイッチは、パケットの宛先IPアドレスに基づいて、対応するフローエントリをローカルに検索し、検索されなかった場合、当該フローパケットをPacket inパケット中にカプセル化してSDNコントローラに送信する。
ここで、IP_NAT_Bは、IP_Bに対してNAT処理を行って得られるアドレスである。
ステップ603において、SDNコントローラのフローマネージャは、当該Packet inパケットを受信し、当該Packet inパケットを解析して元のフローパケットを取得する。そして、NFVマネージャへフローパケットの宛先IPアドレスIP_NAT_Bに対応するネクストホップを問い合わせ、当該フローパケットのためにフローエントリを生成し、当該フローエントリをPacket outパケット中にカプセル化してスイッチに送信する。
フローマネージャがNFVマネージャへフローパケットの宛先IPアドレスIP_NAT_Bに対応するネクストホップを問い合わせると、NFVマネージャは、ローカルに配置されているPBRの中からIP_NAT_Bに対応するネクストホップを検索し、当該ネクストホップは1つのvFWノードに向けられる。
ステップ604において、スイッチは、当該Packet outパケットを受信し、当該Packet outパケットを解析してフローエントリを取得して格納し、当該フローエントリにおけるネクストホップに基づいて、当該フローパケットを当該ネクストホップに対応するvFWノードに送信する。
ステップ605において、vFWノードは、当該フローパケットを受信し、その自体のNATアドレスプールに基づいてパケットに対してNAT処理を行い、かつ当該フローパケットに対してファイアウォール処理を行う。そして、当該フローパケットがフィルタリングされていなければ、当該フローパケットをVPNトンネルカプセル化し、カプセル化されたフローパケットをスイッチに返す。
ステップ606において、スイッチは、vFWノードが返したフローパケットを受信し、当該フローパケットをエクストラネットに転送する。
図7は、本願の実施例による、NATサービス有りかつVPNサービス有りのファイアウォールを実現する際におけるエクストラネットからイントラネットへのフローパケットの転送方法のフローチャートである。図7に示すように、この方法のステップは以下の通りである。
ステップ700において、ファイアウォールクラスタにおけるvFWノードと、当該vFWノードに対応するエクストラネットパートナーとの間にVPNトンネルを予め確立する。
パートナーとは、エクストラネットにおけるVPNをいう。
各vFWノードは1つ以上のパートナーとVPNトンネルを確立することができる。一般的に、vFWノードは、性能が高ければ高いほど、確立できるVPNトンネルが多くなる。1つのパートナーは1つのvFWノードのみとVPNトンネルを確立することができる。
ステップ701において、SDNコントローラにNATアドレスプールを予め配置し、SDNコントローラのNFVマネージャは、NATアドレスプール中のリソースを分割してファイアウォールクラスタにおける各vFWノードに割り当てる。そして、割り当てられたNATアドレスプール中のリソースを対応するvFWノードに送信し、各vFWノードに割り当てられたNATアドレスプール中のリソースに基づいて、PBRを配置する。
各vFWノードの性能に応じてNATアドレスプール中のリソースの分割及び割り当てを行うことができる。vFWノードは、性能が高ければ高いほど、割り当てられるNATアドレスプールにおけるNATアドレスが多くなる。
PBRは、NATアドレスと、当該NATアドレスに対応するネクストホップ情報とを含み、NATアドレスに対応するネクストホップは、当該NATアドレスが割り当てられたvFWノードである。
ステップ702において、エクストラネットのパートナーは、イントラネットにアクセスするための、ソースIPアドレスがIP_Bであり、宛先IPアドレスがIP_NAT_Aであるフローパケットを送信し、当該フローパケットはエクストラネットのVPNゲートウェイに到達する。VPNゲートウェイが当該フローパケットをVPNトンネルカプセル化した後、当該VPNトンネルカプセル化されたフローパケット(VPNパケットと略称する)はスイッチに到達する。スイッチは、当該VPNパケットの宛先IPアドレスに基づいて、対応するフローエントリをローカルに検索し、検索されなかった場合、当該VPNパケットをPacket inパケット中にカプセル化してSDNコントローラに送信する。
ここで、IP_NAT_Aは、NATアドレスであり、つまりIP_Aに対してNAT処理を行って得られるIPアドレスである。
ステップ703において、SDNコントローラのフローマネージャは、当該Packet inパケットを受信し、パケットを解析してVPNパケットを取得する。そして、NFVマネージャへ当該VPNパケットの宛先IPアドレスIP_NAT_Aに対応するネクストホップを問い合わせ、フローエントリを生成し、当該フローエントリをPacket outパケット中にカプセル化してスイッチに送信する。
ステップ704において、スイッチは、当該Packet outパケットを受信し、当該パケットを解析して当該フローエントリを取得して格納し、当該フローエントリにおけるネクストホップに基づいて、当該VPNパケットを当該ネクストホップに対応するvFWノードに送信する。
ステップ705において、vFWノードは、当該VPNパケットを受信し、当該VPNパケットをVPNトンネルデカプセル化して元のフローパケットを取得し、元のフローパケットに対してNAT処理を行い、かつ当該フローパケットに対してファイアウォール処理を行う。そして、当該フローパケットがフィルタリングされていなければ、当該フローパケットをスイッチに返す。
ステップ706において、スイッチは、当該フローパケットを受信し、当該フローパケットをイントラネットに転送する。
図8は、本願の実施例による、NATサービス無しかつVPNサービス無しのファイアウォールを実現する際のファイアウォールクラスタの拡張方法のフローチャートである。図8に示すように、この方法のステップは以下の通りである。
ステップ801において、SDNコントローラのNFVマネージャは、ファイアウォールクラスタにおける各vFWノードの負荷をリアルタイムに監視する。
本願の実施例において、SDNコントローラのNFVマネージャは、vFWノードのCPU、メモリ、帯域幅、接続数のいずれか1つまたは任意の組み合わせを監視することによってvFWノードの負荷を監視することができる。
ステップ802において、SDNコントローラのNFVマネージャは、1つ以上のvFWノードの負荷が予め設定された第1閾値よりも高いことを検出すると、NFV技術によって新たなvFWノードを作成し、新たなvFWノードをファイアウォールクラスタに追加する。
ステップ803において、SDNコントローラのフローマネージャは、予め設定されたフロー移行ルールに基づいて、ファイアウォールクラスタにおける監視されるvFWノードから新たなvFWノードへ移行するフロー(第1フローと称する)を特定し、移行すべき第1フローの識別子(例えば、ソースIPアドレスと宛先IPアドレス)及び新たなvFWノードの識別子をすべての監視されるvFWノードに通知する。
本願の実施例において、予め設定されたハッシュアルゴリズムに従って、監視されるvFWノードのフローの中から移行すべきフローを選択することができる。
ステップ804において、移行すべき第1フローが流れるvFWノードは、SDNコントローラから送信された第1フローの識別子に基づいて、第1フローに対応するセッション情報を新たなvFWノードに同期させ、同期が完了した後、セッション同期完了の通知メッセージ(第1通知メッセージと称する)をSDNコントローラに送信する。
ステップ805において、SDNコントローラのフローマネージャは、移行すべき第1フローが流れるvFWノードから送信された第1通知メッセージを受信し、移行すべき第1フローのフローエントリを更新し、更新後のフローエントリをスイッチに送信する。
本願の実施例において、移行すべき第1フローのフローエントリを更新するとは、移行すべき第1フローのフローエントリのネクストホップを新たなvFWノードに変更することである。これによって、スイッチは、移行すべき第1フローを受信すると、当該移行すべき第1フローを新たなvFWノードに送信することができる。
図9は、本願の実施例による、NATサービス無しかつVPNサービス無しのファイアウォールを実現する際のファイアウォールクラスタの縮小方法のフローチャートである。図9に示すように、この方法のステップは以下の通りである。
ステップ901において、SDNコントローラのNFVマネージャは、ファイアウォールクラスタにおける各vFWノードの負荷をリアルタイムに監視する。
本願の実施例において、SDNコントローラのNFVマネージャは、vFWノードのCPU、メモリ、帯域幅、接続数のいずれか1つまたは任意の組み合わせを監視することによってvFWノードの負荷を監視することができる。
ステップ902において、SDNコントローラのNFVマネージャは、1つ以上のvFWノードの負荷が予め設定された第2閾値よりも低いことを検出すると、負荷が予め設定された第2閾値よりも低いvFWノードの中から1つのvFWノードを除去対象のvFWノードとして選択する。
一般的に、負荷が最も低いvFWノードを除去対象のvFWノードとして選択する。
ステップ903において、SDNコントローラのフローマネージャは、除去対象のvFWノードのフロー(第2フローと称する)をファイアウォールクラスタにおけるその他のvFWノード(すなわち、移行先vFWノード)に移行させることを決定し、当該第2フローの識別子及び当該第2フローの移行先vFWノードの識別子を除去対象のvFWノードに送信する。
本願の実施例において、予め設定されたハッシュアルゴリズムに従って、ファイアウォールクラスタにおいて除去対象のvFWノード以外のvFWノードの中から上記移行先vFWノードを選択することができる。
ステップ904において、除去対象のvFWノードは、SDNコントローラから送信された当該第2フローの識別子及び当該第2フローの移行先vFWノードの識別子に基づいて、当該第2フローのセッション情報を移行先vFWノードに同期させ、同期が完了した後、セッション同期完了の通知メッセージ(第2通知メッセージと称する)をSDNコントローラに送信する。
ステップ905において、SDNコントローラのフローマネージャは、除去対象のvFWノードから送信された第2通知メッセージを受信し、移行すべき第2フローのフローエントリを更新し、更新後のフローエントリをスイッチに送信する。
本願の実施例において、移行すべき第2フローのフローエントリを更新するとは、移行すべき第2フローのフローエントリのネクストホップを第2フローの移行先vFWノードに変更することである。
本願の実施例において、NFV技術によって新たなvFWノードを作成することにより、ファイアウォールクラスタの自動配置を実現することができる。また、vFWノードのアップリンクポートとダウンリンクポートをいずれもSDNネットワーク装置にバインドすることにより、各vFWノードがSDNネットワーク装置のアップリンク方向及びダウンリンク方向の等コストネクストホップとなるようにする。これによって、アップリンクパケットとダウンリンクパケットはSDNネットワーク装置により各vFWノードに均一に転送されることが可能となる。
本願の実施例において、SDNコントローラは、ファイアウォールクラスタにおける各vFWノードの負荷をリアルタイムに監視し、1つ以上のvFWノードの負荷が予め設定された第1閾値よりも高いことを検出すると、新たなvFWノードを作成してファイアウォールクラスタに追加し、すべての監視されるvFWノードのフローの中から移行対象の第1フローを選択し、第1フローを新たなvFWノードに移行させる。これによって、ファイアウォールクラスタの自動拡張を実現することができる。1つ以上のvFWノードの負荷が予め設定された第2閾値よりも低いことを検出すると、1つのvFWノードを選択してファイアウォールクラスタから除去し、これによって、ファイアウォールクラスタの自動縮小を実現することができる。
図10は、本願の実施例によるファイアウォールクラスタの実現装置の構成の模式図である。この装置はSDNコントローラに位置される。SDNコントローラは1つ以上のvFWノード及びスイッチとともにファイアウォールクラスタを構成し、各vFWノードはスイッチの等コストネクストホップである。図10に示すように、当該装置は、主にNFV管理モジュール1001とフロー管理モジュール1002とを含む。
NFV管理モジュール1001は、ファイアウォールクラスタにおける各vFWノードの負荷をリアルタイムに監視し、1つ以上のvFWノードの負荷が予め設定された第1閾値よりも高いことを検出すると、新たなvFWノードを作成する。
フロー管理モジュール1002は、NFV管理モジュール1001が新たなvFWノードを作成すると、すべての監視されるvFWノードのフローの中から移行対象の第1フローを選択し、第1フローに対応する第1フローエントリを更新し、更新後の第1フローエントリをスイッチに送信する。更新後の第1フローエントリは、第1フローを新たなvFWノードに送信するようにスイッチに指示するものである。
本願の実施例において、フロー管理モジュール1002は、第1フローに対応する第1フローエントリを更新する前に、以下のことも行う。
第1フローの識別子及び新たなvFWノードの識別子をすべての監視されるvFWノードに送信し、第1フローが流れるvFWノードから送信された第1通知メッセージを受信する。第1通知メッセージは、第1フローが流れるvFWノードが第1フローに対応するセッション情報を新たなvFWノードに同期させた後に送信したものである。
本願の実施例において、フロー管理モジュール1002は、第1フローに対応する第1フローエントリを更新する際に、以下のことを行う。
第1フローエントリのネクストホップを新たなvFWノードに変更する。
本願の実施例において、NFV管理モジュール1001は、1つ以上のvFWノードの負荷が予め設定された第2閾値よりも低いことを検出すると、負荷が予め設定された第2閾値よりも低いvFWノードの中から除去対象のvFWノードを選択することも行う。
また、フロー管理モジュール1002は、NFV管理モジュール1001が除去対象のvFWノードを選択すると、除去対象のvFWノードの第2フローを移行対象のフローとして特定するとともに、第2フローの移行先vFWノードを特定する。また、フロー管理モジュール1002は、第2フローに対応する第2フローエントリを更新し、更新後の第2フローエントリをスイッチに送信する。更新後の第2フローエントリは、第2フローを移行先vFWノードに送信するようにスイッチに指示するものである。
本願の実施例において、フロー管理モジュール1002は、第2フローに対応する第2フローエントリを更新する前に、以下のことも行う。
第2フローの識別子及び移行先vFWノードの識別子を除去対象のvFWノードに送信し、除去対象のvFWノードから送信された第2通知メッセージを受信する。第2通知メッセージは、除去対象のvFWノードが第2フローに対応するセッション情報を移行先vFWノードに同期させた後に送信したものである。
本願の実施例において、フロー管理モジュール1002は、第2フローに対応する第2フローエントリを更新する際に、以下のことを行う。
第2フローエントリのネクストホップを移行先vFWノードに変更する。
本願の実施例において、ファイアウォールクラスタにおける各vFWノードがNATサービス及びVPNサービスを有しない場合、フロー管理モジュール1002は、以下のことも行う。
スイッチから送信されたフローパケットを受信すると、ハッシュアルゴリズムに従って複数のvFWノードの中から1つのvFWノードを選択するとともに、当該フローパケットを選択されたvFWノードに転送するようにスイッチに通知する。
本願の実施例において、ファイアウォールクラスタにおけるvFWノードがNATサービス及びVPNサービスを有する場合、NFV管理モジュール1001は、NATアドレスプールにおけるNATアドレスをvFWノードに割り当てることも行う。
フロー管理モジュール1002は、スイッチから送信されたフローパケットを受信すると、フローパケットを解析してVPNパケットを取得し、VPNパケットの宛先アドレスに基づいて対応するvFWノードを検索するとともに、対応するフローエントリを生成し、生成されたフローエントリをスイッチに送信することも行う。ここで、宛先アドレスはNATアドレスであり、生成されたフローエントリは、VPNパケットを検索されたvFWノードに転送するようにスイッチに指示するものである。
本願の実施例は、SDNコントローラのハードウェア構成をさらに提供する。図11は、本願の実施例によるSDNコントローラのハードウェア構成の模式図である。SDNコントローラは、1つ以上のvFWノード及びスイッチとともにファイアウォールクラスタを構成し、各vFWノードはスイッチの等コストネクストホップである。図11に示すように、当該SDNコントローラは、プロセッサー1101と、不揮発性メモリ1102と、ネットワークインタフェース1103と、内部バス1104と、を含む。不揮発性メモリ1102は、不揮発性機械可読記憶媒体であってもよい。
本願の実施例において、不揮発性メモリ1102は、ファイアウォールクラスタを実現するための、プロセッサー1101により実行可能な機械可読命令である論理的命令を記憶する。
本願の実施例において、プロセッサー1101は、機械可読命令を実行して以下の操作を実現する。
ファイアウォールクラスタにおける各vFWノードの負荷をリアルタイムに監視し、1つ以上のvFWノードの負荷が予め設定された第1閾値よりも高いことを検出すると、新たなvFWノードを作成する。
すべての監視されるvFWノードのフローの中から移行対象の第1フローを選択し、第1フローに対応する第1フローエントリを更新し、更新後の第1フローエントリをスイッチに送信する。更新後の第1フローエントリは、第1フローを新たなvFWノードに送信するようにスイッチに指示するものである。
本願の実施例において、第1フローに対応する第1フローエントリを更新する前に、プロセッサー1101は、機械可読命令を実行して以下の操作を実現する。
第1フローの識別子及び新たなvFWノードの識別子をすべての監視されるvFWノードに送信し、第1フローが流れるvFWノードから送信された第1通知メッセージを受信する。第1通知メッセージは、第1フローが流れるvFWノードが第1フローに対応するセッション情報を新たなvFWノードに同期させた後に送信したものである。
本願の実施例において、第1フローに対応する第1フローエントリを更新するために、プロセッサー1101は、機械可読命令を実行して以下の操作を実現する。
第1フローエントリのネクストホップを新たなvFWノードに変更する。
本願の実施例において、1つ以上のvFWノードの負荷が予め設定された第2閾値よりも低いことを検出すると、プロセッサー1101は、機械可読命令を実行して以下の操作を実現する。
負荷が予め設定された第2閾値よりも低いvFWノードの中から除去対象のvFWノードを選択する。
除去対象のvFWノードの第2フローを移行対象のフローとして特定するとともに、第2フローの移行先vFWノードを特定する。また、第2フローに対応する第2フローエントリを更新し、更新後の第2フローエントリをスイッチに送信する。更新後の第2フローエントリは、第2フローを移行先vFWノードに送信するようにスイッチに指示するものである。
本願の実施例において、第2フローに対応する第2フローエントリを更新する前に、プロセッサー1101は、機械可読命令を実行して以下の操作を実現する。
第2フローの識別子及び移行先vFWノードの識別子を除去対象のvFWノードに送信し、除去対象のvFWノードから送信された第2通知メッセージを受信する。第2通知メッセージは、除去対象のvFWノードが第2フローに対応するセッション情報を移行先vFWノードに同期させた後に送信したものである。
本願の実施例において、第2フローに対応する第2フローエントリを更新するために、プロセッサー1101は、機械可読命令を実行して以下の操作を実現する。
第2フローエントリのネクストホップを移行先vFWノードに更新する。
本願の実施例において、各vFWノードがNATサービス及びVPNサービスを有しない場合、プロセッサー1101は、機械可読命令を実行して以下の操作を実現する。
スイッチから送信されたフローパケットを受信すると、ハッシュアルゴリズムに従って複数のvFWノードの中から1つのvFWノードを選択するとともに、当該フローパケットを選択されたvFWノードに転送するようにスイッチに通知する。
本願の実施例において、各vFWノードがNATサービス及びVPNサービスを有する場合、プロセッサー1101は、機械可読命令を実行して以下の操作を実現する。
NATアドレスプールにおけるNATアドレスをvFWノードに割り当てる。
スイッチから送信されたフローパケットを受信すると、フローパケットを解析してVPNパケットを取得し、VPNパケットの宛先アドレスに基づいて対応するvFWノードを検索するとともに、フローエントリを生成し、生成されたフローエントリをスイッチに送信する。ここで、宛先アドレスはNATアドレスであり、生成されたフローエントリは、VPNパケットを検索されたvFWノードに転送するようにスイッチに指示するものである。
本願の実施例において、ネットワークインタフェース1103は、その他のハードウェア装置、例えばスイッチに接続するためのものである。内部バス1104は、プロセッサー1101、不揮発性メモリ1102及びネットワークインタフェース1103を接続するためのものである。
以上の説明は、本発明の好適な実施例にすぎず、本発明を限定するものではない。本発明の趣旨および原理を逸脱しない範囲内で行われる任意の変更、均等の置換、改善などはいずれも、本発明の権利範囲に含まれる。

Claims (10)

  1. ファイアウォールクラスターの実現方法であって、
    SDNコントローラーは、ファイアウォールクラスターにおける各仮想ファイアウォール(vFW)ノードの負荷をリアルタイムに監視し、
    前記SDNコントローラーは、1つ以上のvFWノードの負荷が予め設定された第1閾値よりも高いことを検出すると、新たなvFWノードを作成し、
    前記SDNコントローラーは、すべての監視されるvFWノードを流れるサービスフローの中から移行対象の第1サービスフローを選択し、前記第1サービスフローの識別子と前記新たなvFWノードの識別子を前記すべての監視されるvFWノードに通知し、第1通知メッセージを受信した後、前記第1サービスフローに対応する第1フローエントリを更新し、更新後の第1フローエントリをスイッチに送信し、前記第1通知メッセージは、前記第1サービスフローが流れるvFWノードが前記第1サービスフローのセッション情報を前記新たなvFWノードに同期させたことを示し、前記更新後の第1フローエントリは、受信した前記第1サービスフローを前記新たなvFWノードに送信するように前記スイッチに指示するものであることを含み、
    前記SDNコントローラーは、1つ以上のvFWノードの負荷が予め設定された第2閾値よりも低いことを検出すると、
    前記負荷が予め設定された第2閾値よりも低いvFWノードの中から除去対象のvFWノードを選択し、前記除去対象のvFWノードを流れる第2サービスフローを移行対象のサービスフローとして特定、前記第2サービスフローの移行先vFWノードを特定するとともに、前記第2サービスフローの識別子及び前記移行先vFWノードの識別子を前記除去対象のvFWノードに送信し
    前記SDNコントローラーは、第2通知メッセージを受信した後、前記第2サービスフローに対応する第2フローエントリを更新し、更新後の第2フローエントリを前記スイッチに送信し、前記第2通知メッセージは、前記除去対象のvFWノードが前記第2サービスフローのセッション情報を前記移行先vFWノードに同期させたことを示し、前記更新後の第2フローエントリは、受信した前記第2サービスフローを前記移行先vFWノードに送信するように前記スイッチに指示するものであることをさらに含むことを特徴とするファイアウォールクラスターの実現方法。
  2. 前記第1サービスフローに対応する第1フローエントリを更新することは、
    前記第1フローエントリのネクストホップを前記新たなvFWノードに更新することを含むことを特徴とする請求項1に記載の方法。
  3. 前記第2サービスフローに対応する第2フローエントリを更新することは、
    前記第2フローエントリのネクストホップを前記移行先vFWノードに更新することを含むことを特徴とする請求項1に記載の方法。
  4. ファイアウォールクラスターにおける各vFWノードがネットワークアドレス変換(NAT)サービス及び仮想プライベートネットワーク(VPN)サービスの機能を有しない場合、
    スイッチから送信されたサービスフローパケットを受信すると、前記SDNコントローラーは、ハッシュアルゴリズムに従って前記各vFWノードの中から1つのvFWノードを選択するとともに、当該サービスフローパケットを選択されたvFWノードに転送するように前記スイッチに通知することをさらに含むことを特徴とする請求項1に記載の方法。
  5. ファイアウォールクラスターにおける各vFWノードがネットワークアドレス変換(NAT)サービス及び仮想プライベートネットワーク(VPN)サービスの機能を有する場合、
    前記SDNコントローラーは、NATアドレスプールにおけるNATアドレスを各vFWノードに割り当て、
    スイッチから送信されたサービスフローパケットを受信すると、前記SDNコントローラーは、前記サービスフローパケットを解析してVPNパケットを取得し、前記VPNパケットの宛先アドレスに基づいて対応するvFWノードを検索するとともに、対応するフローエントリを生成して前記スイッチに送信し、前記宛先アドレスはNATアドレスであり、前記生成されたフローエントリは、前記VPNパケットを前記検索されたvFWノードに転送するように前記スイッチに指示するものであることをさらに含むことを特徴とする請求項1に記載の方法。
  6. SDNコントローラーであって、プロセッサーと不揮発性機械可読記憶媒体とを含むSDNコントローラーにおいて、前記不揮発性機械可読記憶媒体には前記プロセッサーにより実行される機械可読命令が記憶され、
    ファイアウォールクラスターにおける各仮想ファイアウォール(vFW)ノードの負荷をリアルタイムに監視し、1つ以上のvFWノードの負荷が予め設定された第1閾値よりも高いことを検出すると、新たなvFWノードを作成し、
    すべての監視されるvFWノードを流れるサービスフローの中から移行対象の第1サービスフローを選択し、前記第1サービスフローの識別子と前記新たなvFWノードの識別子を前記すべての監視されるvFWノードに通知し、第1通知メッセージを受信した後、前記第1サービスフローに対応する第1フローエントリを更新し、更新後の第1フローエントリをスイッチに送信し、前記第1通知メッセージは、前記第1サービスフローが流れるvFWノードが前記第1サービスフローのセッション情報を前記新たなvFWノードに同期させたことを示し、前記更新後の第1フローエントリは、受信した前記第1サービスフローを前記新たなvFWノードに送信するように前記スイッチに指示するものである操作を実現し、
    1つ以上のvFWノードの負荷が予め設定された第2閾値よりも低いことを検出すると、前記プロセッサーは、前記機械可読命令を実行して、
    前記負荷が予め設定された第2閾値よりも低いvFWノードの中から除去対象のvFWノードを選択し、
    前記除去対象のvFWノードを流れる第2サービスフローを移行対象のサービスフローとして特定、前記第2サービスフローの移行先vFWノードを特定するとともに、前記第2サービスフローの識別子及び前記移行先vFWノードの識別子を前記除去対象のvFWノードに送信し、第2通知メッセージを受信した後、前記第2サービスフローに対応する第2フローエントリを更新し、更新後の第2フローエントリを前記スイッチに送信し、前記第2通知メッセージは、前記除去対象のvFWノードが前記第2サービスフローのセッション情報を前記移行先vFWノードに同期させたことを示し、前記更新後の第2フローエントリは、受信した前記第2サービスフローを前記移行先vFWノードに送信するように前記スイッチに指示するものである操作を実現することを特徴とするSDNコントローラー。
  7. 前記第1サービスフローに対応する第1フローエントリを更新するために、前記プロセッサーは、前記機械可読命令を実行して、
    前記第1フローエントリのネクストホップを前記新たなvFWノードに更新する操作を実現することを特徴とする請求項に記載のSDNコントローラー。
  8. 前記第2サービスフローに対応する第2フローエントリを更新するために、前記プロセッサーは、前記機械可読命令を実行して、
    前記第2フローエントリのネクストホップを前記移行先vFWノードに更新する操作を実現することを特徴とする請求項に記載のSDNコントローラー。
  9. ファイアウォールクラスターにおける各vFWノードがネットワークアドレス変換(NAT)サービス及び仮想プライベートネットワーク(VPN)サービスの機能を有しない場合、前記プロセッサーは、前記機械可読命令を実行して、
    スイッチから送信されたサービスフローパケットを受信すると、ハッシュアルゴリズムに従って前記各vFWノードの中から1つのvFWノードを選択するとともに、当該サービスフローパケットを選択されたvFWノードに転送するように前記スイッチに通知する操作を実現することを特徴とする請求項に記載のSDNコントローラー。
  10. ファイアウォールクラスターにおける各vFWノードがネットワークアドレス変換(NAT)サービス及び仮想プライベートネットワーク(VPN)サービスの機能を有する場合、前記プロセッサーは、前記機械可読命令を実行して、
    NATアドレスプールにおけるNATアドレスを各vFWノードに割り当て、
    スイッチから送信されたサービスフローパケットを受信すると、前記サービスフローパケットを解析してVPNパケットを取得し、前記VPNパケットの宛先アドレスに基づいて対応するvFWノードを検索するとともに、対応するフローエントリを生成して前記スイッチに送信し、前記宛先アドレスはNATアドレスであり、前記生成されたフローエントリは、前記VPNパケットを前記検索されたvFWノードに転送するように前記スイッチに指示するものである操作を実現することを特徴とする請求項に記載のSDNコントローラー。
JP2018521874A 2015-10-28 2016-10-28 ファイアウォールクラスタ Active JP6619096B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510712149.7A CN106656905B (zh) 2015-10-28 2015-10-28 防火墙集群实现方法及装置
CN201510712149.7 2015-10-28
PCT/CN2016/103665 WO2017071624A1 (zh) 2015-10-28 2016-10-28 防火墙集群

Publications (2)

Publication Number Publication Date
JP2018536345A JP2018536345A (ja) 2018-12-06
JP6619096B2 true JP6619096B2 (ja) 2019-12-11

Family

ID=58631297

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018521874A Active JP6619096B2 (ja) 2015-10-28 2016-10-28 ファイアウォールクラスタ

Country Status (5)

Country Link
US (1) US10715490B2 (ja)
EP (1) EP3358807B1 (ja)
JP (1) JP6619096B2 (ja)
CN (1) CN106656905B (ja)
WO (1) WO2017071624A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107193638A (zh) * 2017-05-30 2017-09-22 南京邮电大学 一种基于多维环境感知的网络功能快速自适应迁移方法
CN107579963A (zh) * 2017-08-24 2018-01-12 南京南瑞集团公司 一种高性能的防火墙集群
CN107689992A (zh) * 2017-08-24 2018-02-13 南京南瑞集团公司 一种高性能的防火墙集群实现方法
CN107547551B (zh) * 2017-09-06 2020-09-25 新华三信息安全技术有限公司 报文过滤方法、装置、设备及存储介质
CN109525497B (zh) * 2017-09-18 2021-08-03 华为技术有限公司 一种流量分组方法、数据中心网络系统以及控制器
CN107733800A (zh) * 2017-11-29 2018-02-23 郑州云海信息技术有限公司 一种sdn网络报文传输方法及其装置
CN110324165B (zh) * 2018-03-30 2021-05-11 华为技术有限公司 网络设备的管理方法、装置及系统
US10999251B2 (en) * 2018-09-28 2021-05-04 Juniper Networks, Inc. Intent-based policy generation for virtual networks
CN111224821B (zh) * 2019-12-31 2022-12-09 北京山石网科信息技术有限公司 安全服务部署系统、方法及装置
CN112671669A (zh) * 2020-12-24 2021-04-16 浪潮云信息技术股份公司 一种基于OpenFlow虚拟化网络Qos的实现方法及系统
US20230123775A1 (en) 2021-10-04 2023-04-20 Juniper Networks, Inc. Cloud native software-defined network architecture

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011159247A (ja) * 2010-02-04 2011-08-18 Nec Corp ネットワークシステム、コントローラ、ネットワーク制御方法
JP2012037935A (ja) 2010-08-03 2012-02-23 Fujitsu Ltd 情報処理装置
US8776207B2 (en) * 2011-02-16 2014-07-08 Fortinet, Inc. Load balancing in a network with session information
JP5910811B2 (ja) * 2011-07-27 2016-04-27 日本電気株式会社 スイッチ装置の制御システム、その構成制御装置および構成制御方法
US9088584B2 (en) * 2011-12-16 2015-07-21 Cisco Technology, Inc. System and method for non-disruptive management of servers in a network environment
JP5682070B2 (ja) 2012-02-28 2015-03-11 日本電信電話株式会社 統合制御装置及び統合制御方法
US10333827B2 (en) * 2012-04-11 2019-06-25 Varmour Networks, Inc. Adaptive session forwarding following virtual machine migration detection
US9275004B2 (en) * 2012-12-11 2016-03-01 Telefonaktiebolaget Lm Ericsson (Publ) Hybrid firewall for data center security
WO2014166603A1 (en) * 2013-04-12 2014-10-16 Alcatel Lucent Flow migration between virtual network appliances in a cloud computing network
CN103491129B (zh) * 2013-07-05 2017-07-14 华为技术有限公司 一种业务节点配置方法、业务节点池注册器及系统
WO2015099036A1 (ja) * 2013-12-27 2015-07-02 株式会社Nttドコモ 管理システム、全体管理ノード及び管理方法
CN104869065B (zh) * 2014-02-26 2020-04-21 中兴通讯股份有限公司 数据报文处理方法及装置
US9882814B2 (en) * 2014-09-25 2018-01-30 Intel Corporation Technologies for bridging between coarse-grained and fine-grained load balancing
CN104378299B (zh) 2014-11-20 2017-10-17 新华三技术有限公司 流表项处理方法以及装置
JP6291085B2 (ja) * 2014-12-24 2018-03-14 エヌ・ティ・ティ・コミュニケーションズ株式会社 負荷分散装置、負荷分散方法及びプログラム
CN104468353A (zh) * 2014-12-26 2015-03-25 深圳市新格林耐特通信技术有限公司 基于sdn的数据中心网络流量管理方法
US9807016B1 (en) * 2015-09-29 2017-10-31 Juniper Networks, Inc. Reducing service disruption using multiple virtual IP addresses for a service load balancer

Also Published As

Publication number Publication date
EP3358807B1 (en) 2020-07-15
US20180302371A1 (en) 2018-10-18
EP3358807A4 (en) 2018-10-03
CN106656905B (zh) 2020-02-21
EP3358807A1 (en) 2018-08-08
CN106656905A (zh) 2017-05-10
JP2018536345A (ja) 2018-12-06
US10715490B2 (en) 2020-07-14
WO2017071624A1 (zh) 2017-05-04

Similar Documents

Publication Publication Date Title
JP6619096B2 (ja) ファイアウォールクラスタ
KR101989333B1 (ko) 소프트웨어 정의 네트워킹에서의 데이터 전달 방법, 기기 및 시스템
EP3509256A1 (en) Determining routing decisions in a software-defined wide area network
JP5991424B2 (ja) パケット書換装置、制御装置、通信システム、パケット送信方法及びプログラム
CN109660442B (zh) Overlay网络中组播复制的方法及装置
US20180077048A1 (en) Controller, control method and program
JP6437693B2 (ja) マルチキャストデータパケット転送
JP6365306B2 (ja) クラウド環境提供システム、サービス管理装置、経路制御方法及びプログラム
JP6206508B2 (ja) パケット転送装置、制御装置、通信システム、通信方法及びプログラム
JP6529660B2 (ja) マルチキャストデータパケット転送
JP6488426B2 (ja) マルチキャストデータパケット転送
JP2011160363A (ja) コンピュータシステム、コントローラ、スイッチ、及び通信方法
JP2018518925A (ja) パケット転送
KR20170134559A (ko) 제어기, 제어 방법 및 프로그램
WO2016049926A1 (zh) 一种数据包处理装置及方法
CN108400922B (zh) 虚拟局域网络配置系统与方法及其计算机可读存储介质
US11303701B2 (en) Handling failure at logical routers
JP5889813B2 (ja) 通信システムおよびプログラム
CN109688062B (zh) 一种路由方法和路由设备
JP6672127B2 (ja) 伝送経路変更システム、伝送経路変更方法、通信品質管理装置及びプログラム
WO2017169947A1 (ja) 運用装置、通信システムおよび更新方法
US20180109472A1 (en) Controller, control method and program
CN117792982A (zh) 报文转发方法、信息发布方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180608

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180608

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190709

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20191008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191024

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191105

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191113

R150 Certificate of patent or registration of utility model

Ref document number: 6619096

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250