JP6637196B2 - ネットワークにおいてパケットフロー群を転送する方法及びネットワークシステム - Google Patents

ネットワークにおいてパケットフロー群を転送する方法及びネットワークシステム Download PDF

Info

Publication number
JP6637196B2
JP6637196B2 JP2018550586A JP2018550586A JP6637196B2 JP 6637196 B2 JP6637196 B2 JP 6637196B2 JP 2018550586 A JP2018550586 A JP 2018550586A JP 2018550586 A JP2018550586 A JP 2018550586A JP 6637196 B2 JP6637196 B2 JP 6637196B2
Authority
JP
Japan
Prior art keywords
packet
switch
flow
door opener
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2018550586A
Other languages
English (en)
Other versions
JP2019510424A (ja
Inventor
ヨハネス レスマン
ヨハネス レスマン
ロベルト ビフルコ
ロベルト ビフルコ
Original Assignee
エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー
エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー, エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー filed Critical エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー
Publication of JP2019510424A publication Critical patent/JP2019510424A/ja
Application granted granted Critical
Publication of JP6637196B2 publication Critical patent/JP6637196B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、概して、ネットワークにおいてパケットフロー群を転送する方法に関わる。本発明は更に、対応するネットワークシステムに関わる。
本発明の実施形態の用途の技術分野は、例えば、非常に多数のスマートメーターなどのセンサーがネットワークインフラストラクチャーに接続された、いわゆる「スマートシティ」及びそれと同等のシナリオである。このようなセンサーの多くは、非常に少ない頻度で、例えば、1時間に1回、又は1日に1回、データをIoT(物のインターネット)データベース又はサーバに送信する場合がある。センサーは事前にこのデータを中央のIoTサーバに送り込む、又は後者が一定の間隔で又はオンデマンドでセンサーをポーリングする。
恒常的なフロールールをネットワークの各センサーに設定した場合、ネットワークのスイッチ、特にIoTサーバにより近いスイッチのフローテーブルが直ぐにオーバーロードしてしまう。アップリンク方向では、(すなわち、センサーからサーバへの方向)送信先IPアドレスに基づくアグリゲート転送によってこの問題の多くは軽減されるが、より粒状のフロールールを必要とするダウンリンク方向ではこの問題は避けられない。
現在、センサーからIoTサーバ又は他のシンクへパケットを伝送するネットワークインフラストラクチャーのフローベースのプログラマブルネットワーク装置(例えば、SDNスイッチ)に事後的にフロールールを設定することは可能である。この場合、センサー(又はそのIoTゲートウェイ)はそのデータパケットをイングレススイッチに送信する。ここで、イングレススイッチは、SDNネットワークを想定しかつマッチングルールがないと想定した場合、SDNコントローラーに照会してオンデマンドでフロールールを取得する。このルールは関連するタイムアウト値を有していてもよく、それによりしばらくして消滅する。この方法は(“スマートシティ”ネットワークなどの異種システムにおける合理的な前提と思われる、各センサーは全てのデータパケットを同時に送信しないという前提で)時間とともにフロールールのエントリーを分散するので、フロールールのオーバーロード問題が軽減される。しかしながら、そのためにスイッチとSDNコントローラー間のシグナリング負荷が増大する。数百万のセンサーが一定間隔で転送経路に沿って数百万のメッセージ交換を行うことになる。これは本質的に問題とみなされてもよい。
代替的な方法として、フローテーブルの「拡張」の実装があげられる(例えば、Roberto Bifulco and Anton Matsiuk: “Towards Scalable SDN Switches: Enabling Faster Flow Table Entries Installation”, in Proceedings of the 2015 ACM Conference on Special Interest Group on Data Communication (SIGCOMM’15). ACM, New York, NY, USA, 343-344, DOI=http://dx.doi.org/10.1145/2785956.2790008又はNaga Katta, Omid Alipourfard, Jennifer Rexford, and David Walker: “Infinite CacheFlow in software-defined networks”, in Proceedings of the third workshop on Hot topics in software defined networking (HotSDN ’14). ACM, New York, NY, USA, 175-180, DOI=http://dx.doi.org/10.1145/2620728.2620734)に記載されるもの)。例えば、スイッチのCPUを用いて多数のエントリーを保持することが可能なソフトウェアフローテーブルを実装してもよい。しかしその場合、データプレーントラフィックの処理に関する転送処理量及びスケーラビリティが限定されてしまう。
従って、本発明の目的は、関係するフローテーブルやコントロールプレーンをオーバーロードすることなく、転送ソリューションが多数の(例えば、数百万の範囲の)IoTセンサーなどのエンドホスト送信データにスケールされるようにネットワークにおいてパケットフローを転送する方法及びネットワークシステムを改良及び発展させることである。
本発明によれば、上記の目的は、ネットワークにおいてパケットフロー群を転送する方法であって、前記パケットフロー群は前記ネットワークにおける複数のエンドホストから発信され、前記パケットフロー群は所定のルーティング経路群を介して前記複数のエンドホストのそれぞれからシンクノードへ送信され、エンドホストのパケットフロー群のルーティング経路はSDNコントローラーの制御下にある1つ又は複数のSDNスイッチを含み、前記1つ又は複数のスイッチは前記エンドホストに接続された少なくとも1つのポートを有するエッジスイッチを含み、前記各エッジスイッチによる前記複数のエンドホストのうちの特定のエンドホストからのパケットフローの転送は、ドアオープナーパケットと呼ばれる専用パケットにより可能にされ、前記ドアオープナーパケットは前記各スイッチにより処理されると、前記パケットフローをそのルーティング経路に沿って次のスイッチへ転送するために前記各スイッチ内での転送ルールの稼働又は設定を実現する、方法により達成される。
更に、上記の目的は、ネットワークシステムであって、SDNコントローラーと、前記SDNコントローラーの制御下にあるいくつかのSDNスイッチと、複数のエンドホストと、シンクノードと、前記エンドホスト群から発信されるパケットフロー群の前記シンクノードへの送信を可能にする所定のルーティング経路群とを含み、エンドホストのパケットフロー群のためのルーティング経路は前記SDNスイッチ群の1つ又は複数を含み、前記1つ又は複数のSDNスイッチ群は前記エンドホストに接続された少なくとも1つのポートを有するエッジスイッチを含み、前記スイッチ群はドアオープナーパケットと呼ばれる専用パケットにより前記複数のエンドホストのうちの特定のエンドホストからのパケットフローの転送を可能にし、前記ドアオープナーパケットは前記各スイッチにより処理されると、前記パケットフローをそのルーティング経路に沿って次のスイッチへ転送するために前記各スイッチ内での転送ルールの稼働又は設定を実現する、ネットワークシステムにより達成される。
本発明によれば、上記の目的はイベントベースのやり方で、すなわち、(エンドホストからのパケットフローの送信である)イベントが発生する前にジャストインタイムでフロールールの設定を実現することにより達成可能であることが認識された。本発明の実施形態は、ステートフルなパケット処理を可能にしSDNコントローラーなどのコントロール実体によりプログラマブルだが毎回コントローラーを参照する必要のないSDNスイッチなどのフローベースのプログラマブルネットワーク装置の定義に基づいて構築される。特に、このようなスイッチはネットワークイベントの観察に基づいてその内部状態を更新できる(またそれにより内部アクションを起動することができる)。本発明の実施形態の背後にある概念は、各スイッチが、センサーなどの許可されたエンドホストのニーズについての知識を取得し、通信フローを開始し、この情報を用いてこのセンサーのトラフィックシンク(例えば、IoTサーバ)への転送動作を統治するフロールールを自立的に「設定する」又は「稼働させる」ことである。
コントロールプレーンに負荷を与える事後的なルール設定の代わりに、本発明の実施形態はジャストインタイムでのフロールール設定を実現する。事後的な場合と同様、この方法は(例えば、Dusi, M.; Bifulco, R.; Gringoli, F.; Schneider, F.: “Reactive logic in software-defined networking: Measuring flow-table requirements”, in Wireless Communications and Mobile Computing Conference (IWCMC), 2014 International, vol., no., pp.340-345, 4-8 Aug. 2014に記載されるように)経時的にフローテーブルのエントリーの分散を可能にし、その一方でコントローラーとの対話の回避を可能にする。
より詳細には、本発明の実施形態によれば、ドアオープナーパケットと呼ぶ専用パケットが、エンドホストからのパケットフローのためのイングレススイッチであるエッジスイッチに設定される。そのようなパケットがエッジスイッチで処理されると、各パケットフローを次のスイッチへそのルーティング経路に沿って転送する又は最終的な宛先へ転送するための転送ルールが当該エッジスイッチ内で稼働又は設定される。そのような設定が一度なされると、各スイッチは、エンドホストによる実際のデータパケット送信(又はセンサーからデータをポーリングするためのサーバからの各要求)の前にジャストインタイムで、コントローラーとの対話なしに自立的に該当するフロールールを稼働させる(及び非稼働にする)ことができる。ここで「ジャストインタイムで」とは、センサーからのデータの転送が実際の送信に近い設定可能な長さの時間窓の間可能になることを意味する。それぞれのコントローラーとの対話なしに各スイッチへの転送フロールールの時間決めされた又はジャストインタイムの生成又は設定を起動するそのような方法又はシステムを提供することにより、各スイッチにおける高粒度のトラフィック転送ルールの数がスケールされる、すなわち、フロールールのスケーラビリティが達成される。上記のフローテーブルの「拡張」と比べ、本ソリューションはデータプレーントラフィックの処理に関してよりスケーラブルである。これは、本ソリューションが高速スイッチのASIC(Application Specific Integrated Circuit:特定用途向け集積回路)だけを必要とするからである。また、各スイッチのCPUが既にオーバーロードしているシナリオでは、ソフトウェアフローテーブル実装を用いることができない。更に、ジャストインタイムのルール設定のセキュリティ関連の利点はソフトウェアフローテーブルを用いる方法により無効化されてしまう。これは、この場合、フロールールが常に利用可能になってしまうからである。
要約すると、本発明の実施形態は、経時的にフローエントリーを配信するジャストインタイムでのステートフルSDN装置への高粒度の転送ルールの設定を可能し、それにより低頻度でのみ通信を行う多数の装置のスケーラビリティの向上を可能にする。これは、SDNコントローラーとの対話なしに、すなわち、スイッチにより自立的に、又は経路上シグナリングを介して行うことができる。
本発明の一実施形態によれば、各スイッチでのドアオープナーパケットの処理をスイッチのデータプレーンでのみ実行してもよい。
本発明の一実施形態によれば、スイッチの状態テーブル及びフローテーブルを、前記スイッチでの前記ドアオープナーパケットの処理が前記各パケットフローについての新しい又は変更されたエントリーで前記状態テーブルの更新を引き起こすように設定してもよい。これにより、特定のパケットフロー、すなわち、ネットワーク内の特定のエンドホストからのパケットフローのための転送ルールの稼働は、前記特定のパケットフローについての新しい又は変更された状態エントリーを用いて適時に行われた前記状態テーブルの更新により起動される。一実施形態によれば、状態テーブルの更新は、前記フローテーブルの転送ルールに含まれる状態遷移アクションにより実行してもよい。具体的に、前記ドアーオープナーは、パケットを送信する際そのフローが可能にされなくてはならない情報を保持してもよい。フローテーブルのエントリーは、前記ドアーオープナーにマッチした場合、それに応じて状態テーブルのエントリーを設定してドアーオープナーに含まれるフローについての状態エントリーを構成してもよい。
一実施形態によれば、前記新しい又は変更された状態エントリーは、その設定以来特定の時間が経過後その削除を起動するタイムアウトを用いて構成されてもよい。これにより、パケットフローの実際の送信時に近い(実装されたタイムアウト値によって設定可能な長さの)短い時間のみエンドホストのために可能な「送信窓」を開けることができる。これにより潜在的なアタッカーによるエンドホストのデータ、例えば、センサーデータの遮断又は操作が困難になるため、ネットワークの安全が大幅に向上する。タイムアウトを用いる代わりに、最後のパケットの転送後にルールの除去が可能である場合に多くのアプリケーションシナリオ(例えば、スマートグリッド)において所定の(及び公知の)数の連続するパケット(多くの場合、1つのみ)が個々のセンサーにより送信されるという事実を活用してフロールールの設定を自動的に解除してもよい。
一実施形態によれば、前記SDNコントローラーはドアオープナーパケットをコントロールプレーンメッセージとしてスイッチへ送ることにより前記ドアオープナーパケットの前記スイッチへの供給を起動してもよい。その代わりに、前記SDNコントローラーが各スイッチにサポートされる場合、前記SDNコントローラーは時間により起動されるパケット生成をスイッチ自体に設定することによりドアオープナーパケットの当該スイッチへの供給を起動してもよい。そのために、両ケースの前提条件として、前記コントローラーは特定のエンドホストとの通信を有効にする必要性についての知識を取得してもよい。これは、ひとたび新しいエンドホストがネットワークシステムに接続されたときに静的及び/又は手動の構成を介して、又はエンドホストがこのために備える場合があるAPI(Application Programming Interface:アプリケーションプログラミングインタフェース)を検索することを通じて、又は機械学習手法を介して行ってもよい。いずれの場合でも、コントローラーはこの知識を用いてドアオープナーパケットの生成を設定することになる。
一実施形態によれば、エンドホストから前記シンクノードへのデータの転送は、固定された時点でのみデータ送信を有効にする代わりにオンデマンドで実行してもよい。この場合、前記エッジスイッチは前記SDNコントローラーにオンデマンドでドアーオープナーパケットの供給を要求してもよい。
一実施形態によれば、前記ドアオープナーパケット群は、それらが関連付けられた前記各パケットフローと同じルーティング経路を介して前記シンクノード(8)へ送られてもよい。これにより、特定のエンドホストからのパケットフローのルーティング経路上の他の全てのスイッチは、前記エンドホストの実際のパケットフローが各スイッチに到着する前にジャストインタイムで自動的に、すなわち、コントローラーとの対話なしに必要な転送ルールを設定する。各パケットフローと同じルーティング経路に沿った前記ドアーオープナーパケットの転送は、ドアーオープナーパケットのヘッダーへ組み込まれる場合があるパケットフローのIP宛先アドレスに基づいて転送を実行することにより行ってもよい。
一実施形態によれば、ドアーオープナーパケット群は、それらのヘッダーが当該パケット群を専用ドアオープナーパケット群として特定するタグを含むように生成されてもよい。このようなタグを用いることにより、前記エッジスイッチだけでなく下流側スイッチも、適切な状態テーブルエントリーを設定する又は稼働する必要性について知らされることになる。
ドアーオープナーはパケットフロー毎に生成される、すなわち、各パケットフローはそれ自体のドアーオープナーパケットを有する。一実施形態によれば、特定のドアーオープナーパケットが関連付けられている各パケットフローの識別が各ドアーオープナーパケットのヘッダーに組み込まれてもよい。これらのフロー識別データは、各スイッチにドアーオープナーに含まれるパケットフローのためにまさに適切な状態エントリーを構成できるようにする。
一実施形態によれば、前記ネットワークシステムはドアーオープナーが信用されるソースによってのみ生成可能であることを保証してもよい。これは、前記エッジスイッチのエッジポート、すなわち、制御された前記ネットワークの一部ではない装置に接続されたポートから受信されたいずれのドアーオープナーパケットもドロップする構成により実現されてもよい。
本発明の実施形態によれば、前記コントローラーがエンドホスト毎のパケット生成の時間及び間隔に関する知識を取得できるように、これらのエンドホストはそこから前記コントローラーが必要な情報を照会することが可能なAPI(Application Programming Interface:アプリケーションプログラミングインターフェース)を含んでもよい。本発明の主要な用途シナリオによれば、前記エンドホスト群はセンサー群及び/又はスマートグリッドのスマートメーター群を含んでもよい。一般に、これらのホストのパケット送信の時間及び間隔についての知識は、一度新しいホスト/センサーが接続されると静的又は手動の構成を介して、又は機械学習方法を介して取得できる。
本発明の内容を有利なやり方で設計し発展させる方法がいくつもある。このため、従属する請求項、及び図示された、例としての本発明の好適な実施形態についての以下の説明を参照されたい。図に補助された本発明の好適な実施形態の説明と関連して、本発明の内容の一般的に好適な実施形態及び更なる進展が説明されよう。
図1は、本発明の実施形態が適用可能なネットワークの一般的概念を代表的に示す概略図である。 図2は、本発明の実施形態による状態テーブルとフローテーブルを備えたネットワークスイッチを示す概略図である。 図3は、本発明の実施形態によるドアオープナーソリューションを示す概略図である。 図4は、本発明の実施形態によるドアオープナーが実装されたステートフルSDNネットワークスイッチを示す概略図である。
以下に詳細に説明するように、本発明の実施形態は、コントロールインターフェース3を露出するいくつかのフローベースのプログラマブルネットワーク装置(例えば、SDNスイッチ2)を含むネットワークシステム1を想定しており、コントロールインターフェース3はフローベースのプログラマブルネットワーク装置を構成又は設定するために用いることができる。また、一般性を失うことなく、簡素化のために、各装置は論理的に中央のコントローラー実体4(例えば、SDNコントローラー4)により制御されるものとする。しかし、当業者には理解されるように、本発明は、フローベースの各ネットワーク装置が異なるコントローラーにより制御される場合にも、それらのコントローラーが互いにメッセージを交換できるのであれば適用可能である。コントローラー4は、コントロールチャネルによってネットワークシステム1における装置(以後、相互交換可能に「フローベースのプログラマブルネットワーク装置」若しくは短く「スイッチ」又は「SDNスイッチ2」と呼ぶ)のそれぞれに接続されている。各スイッチ2は、本発明の実施形態が適用可能なネットワークシステム1の一般的概念を示す図1に典型的に示されるように、他のスイッチ2又はエンドホストに接続可能な一組のポート5(インプットポート5a及びアウトプットポート5b)を有する。エンドホストに接続されたポート5は「エッジポート」と呼ばれる。1つ又は複数のポートを有するスイッチ2は「エッジスイッチ7」と呼ばれる。
また、図1に示されるように、各スイッチ2は更にフローテーブル(FT)10を備える。フローテーブル10にはフローテーブルエントリー(FTE)が含まれる。FTEは、FTEが適用されるネットワークパケットをパケットのヘッダーフィールドの値を指定することにより特定するマッチ部と、マッチされたパケットに適用されるアクションを指定するアクション部と、当該FTEがどのパケットにもマッチしない場合その時間の経過後に当該FTEを削除しなければならない時間を指定するアイドルタイムアウトとからなる。各スイッチ2のFT10内のFTEの組は、そのスイッチ2がどのようにネットワークパケットを転送するかを規定する。FTEのアクションにコントロールチャネルを介したコントローラー4へのパケットの送信が含まれていてもよい。本発明の文脈において、スイッチ2からコントローラー4へのネットワークパケットの移転を「packet_in」と呼ぶ。packet_inには以下の情報が含まれる:それを生成したネットワークパケット、そこからそれが送信されるスイッチの識別子、及びパケットが受信されたスイッチ2のインプットポート5aの識別子。スイッチ2はFTEが削除されるたびにコントローラー4に通知するように構成されてもよい。
加えて、図2に示されるように、各スイッチ2は状態テーブル9を備えてもよい。状態テーブルのエントリーは所定のネットワークフローの状態を示す。例えば、(センサーやスマートメーターなどの)ネットワーク内のエンドホスト6により生成されたパケットがスイッチ2に入り、状態テーブル9内のエントリーの1つにマッチした場合、スイッチ2内でそのような状態情報を保持するメタデータにより当該パケットの質が改善される。また、各FTEがこの状態情報にマッチしてもよい。更に、FTEのアクションに所定のフローのアクションset_stateが含まれていてもよい。そのようなアクションset_stateは、所定の状態テーブルのエントリーについて、状態テーブル9に含まれる状態情報を修正する。これにより、ネットワークパケットを受信次第、フローテーブル8を用いて所定のフローの状態遷移を実行することができる。状態テーブルのエントリーもFTEもアイドルとハードのタイムアウトの両方に関連付けられている。この種のスイッチのそれ以外の又は類似した特性/能力に関する詳細は、Giuseppe Bianchi et al.: “OpenState: Programming Platform-independent Stateful OpenFlow Applications inside the Switch”, SIGCOMM Comput.Commun.Rev.44, 2 (April 2014), 44-51から得ることができる。
本発明の実施形態の以下の記述との関連において、SDNネットワーク、例えば、OpenFlow技術に基づくSDNネットワークがそれらの実施形態が適用されるネットワークシステムとして想定される。実際、SDNネットワークは上記の全ての特性を示す。ただし、当業者には理解されるように、本発明はそのような特性を示す他のいずれのネットワークにも適用可能である。以下、「フロールール」、「転送ルール」、及び「FTE」という用語は折々に交換可能に用いられる。
図3は、イベントベースのフロールール設定を専用パケット(以後「ドアオープナーパケット」と呼ぶ)を用いることにより実行する本発明の一実施形態を示す。本実施形態は、概して、フロー識別データを運搬し実際のフローのパケットが転送される前にフローの経路を横切るデータプレーンパケットを用いてネットワークスイッチへの転送ルールの設定を起動するシステムに関する。
具体的に、図3は図示しないSDNコントローラーの制御下にあるいくつかのSDNスイッチ2を有するネットワークシステム1のセグメントを示す。スイッチ2の1つ(図3の中で左手のもの)は、複数のエンドホスト6に接続されたエッジスイッチ7として機能する。これらのエンドホスト6は、随時(少量の)データを所定のルーティング経路を介してIoTサーバなどのシンクノード8に送信するセンサーなどの装置であってもよい。図示された実施形態の以後の説明の文脈において、エンドホスト6からシンクノード8までのルーティング経路には(送信データのためのイングレススイッチとしての)エッジスイッチ7に加えて(図3においてコアスイッチとして示される)更に3つのスイッチ2が含まれると仮定する。
図示された実施形態において、コントローラー4はエンドホスト6との通信を可能にする必要性についての知識を保有すると仮定する。例えば、コントローラー4は特定のエンドホスト6がデータを定期的に、例えば、毎日9:00に、又は毎月最初の日の12:00に送信することを知っている。いずれの場合でも、以下に詳細に説明されるように、コントローラー4はこの知識を用いてドアオープナーパケットの生成を設定することになる。
ドアオープナーパケットの生成が、所定ネットワークフローの経路上の第1のスイッチで、すなわち、図3の実施形態におけるエッジスイッチ7で起動される。ドアオープナーの生成は様々なやり方で起動できる。例えば、コントローラー4は、図4に示すように、コントロールプレーンメッセージをエッジスイッチ7に送ることによりドアオープナーの生成を起動してもよい。或いは、エッジスイッチ7がそのような機能をサポートするという条件で、コントローラー4が時間で起動されるパケット生成をエッジスイッチ7自体に設定してもよい。
ドアオープナーパケットがステートフルSDNスイッチであるエッジスイッチ7の入力ポート5aで受信されたとき起きることが図4に示されている。ドアオープナーパケットのヘッダーには、パケットを専用ドアオープナーパケットとして特定する一個の情報が含まれる。また、ドアオープナーパケットはフローに固有のドアオープナーパケットである、すなわち、各フローはそれ自身のドアオープナーパケットを有することに留意することが重要である。これは、その受信トラフィックがドアオープナーを起動したエンドホスト6を特定する情報を含むドアオープナーパケットにより達成されてもよい。図4に示される実施形態では、ドアオープナーパケットは「フローA」として示される特定のフローと関連付けられている。
図示の実施形態において、(センサーなどのエンドホスト6からのデータ送信の期限を過ぎたことによる)イベントの起動はFTEにより実行される。当初、すなわち、エンドホストからのデータ送信の発生が予定されていない期間、エッジスイッチ7の状態テーブル10はフローAに状態「DEFAULT」を割り当てる(ID 1を持つ)エントリーを含んでいる。これにより、フローAはその後エッジスイッチ7のフローテーブル9により処理されると、ID 3を持つFTEにマッチする、すなわち、フローAはドロップされる。(以後「D」で示す)ドアオープナーパケットがエッジスイッチ7に到着すると、このパケットはID Dを持つ状態テーブル10のエントリーにマッチし、それにより状態「DEFAULT」を割り当てられる。そのため、ドアオープナーパケットDがエッジスイッチ7のフローテーブル9により処理されると、このパケットはID 1を持つFTEにマッチする。
このID 1を持つFTEは、状態テーブル10の一部のエントリー(例えば、その通信を有効にする必要のあるエンドホスト6に関係するエントリー)の状態を設定するset_action stateを用いて構成される。具体的に、図示の実施形態によれば、(エンドホスト6のうちの特定の1つからの特定のフローAに関連するスイッチ2においてフロールールを有効にするためにスイッチ2に提供される)ドアオープナーパケットDは、スイッチ2のフローテーブル9のFTE ID 1とのマッチングにより、このドアオープナーパケットに示されたフロー、すなわち、フローAに対して状態エントリー「OK」の設定を実行する、すなわち、ドアオープナーパケットDは、図4に示すように、フローAを状態「OK」へ状態遷移させる。その結果、フローAはスイッチ2に到着すると、状態テーブル9のFTE ID 2にマッチして転送される。この状態エントリーは10秒のタイムアウトが満了した後消滅する。換言すれば、10秒のタイムアウトの後、状態エントリーは削除され「転送窓」は閉められる。すなわち、このエンドホスト6から送信されたデータはもはや転送されない。
イングレス、すなわち、エッジスイッチ7は、例えば、コントローラーにより生成された起動メッセージに応答して、又は時間で起動されるパケット生成により、上記のように所定のエンドホスト6のためのドアオープナーを生成する。その後、エッジスイッチ7はドアオープナーパケットを生成し、それをエンドホスト6により送信されるパケットフローによっても使われる同じアウトポート5b、すなわち、当該フローのシンクノード8への経路上の次の下流側スイッチ2へ送る。当該フローの経路に沿った各スイッチ2において、ドアオープナーはエッジスイッチ7で行ったのと同じやり方でフロー固有の転送ルールの設定を起動する。エンドホスト6の実際のデータパケットは、ドアオープナーが伝達された後に初めて転送される。その結果、ジャストインタイムのフロールール設定がフロー経路全体に沿って実現される。
特定の実施形態によれば、ドアオープナーパケットは、その受信トラフィックがドアオープナーを起動したエンドホスト6(例えば、センサー)を特定する情報を含む。下流側スイッチ2は、ドアオープナーパケットを受信次第、エンドホスト6のIDを抽出し、当該フローのために新しい状態テーブルエントリーを生成する。この方法の利点は、イングレススイッチだけがドアオープナーの生成に関わる必要があり、一方、ネットワーク1の他の全てのスイッチ2はドアオープナーが受信されたときパケットの転送のために自動的に構成されることである。実際、経路上の他のすべてのスイッチ2が、装置データが到着する直前にオンデマンドで必要なルールを設定する。これらは全てコントローラー4との対話なしに行われる。
再度、ドアオープナーパケットがエッジスイッチ7により生成されること、及びドアオープナーはフロー固有のドアオープナーである、すなわち、各フローはそれ自体のドアオープナーパケットを有することに留意されたい。そのため、ドアオープナー実装の一実施形態によれば、単にエンドホスト6のパケットにタグを付けて下流側スイッチ2に対して状態テーブル10に新しいエントリーを設定する必要性について知らせてもよい。
スケーラビリティと低いオーバーヘッドという利点に加えて、上記の実施形態はセキュリティ関連の利点も有する。第1に、実際のデータ送信に近い非常に短い時間だけ「有効な」フロールールを有することにより、ネットワーク内のアタッカーがセンサー6に侵入する又はホストのデータを取得することが困難になる。上記時間以外ではエンドホスト6に向けられたパケットは転送できず、またエンドホスト6は基本的に不可視である。第2に、イベントで起動されるフロールール設定により、接続されたエンドホスト6のためのトラフィック生成及び転送の機会は基本的に制限される。“スマートシティ”などの文脈では、非常に異種のソースからの(センサーという形態の)エンドホスト6が多数存在することになる。その場合でも、(データシート又は任意の情報源によって)1期間に1回のみデータを生成すると期待されるエンドホスト6はそれ以上の頻度でネットワークにデータを送り込むことはできないだろう。これは、イングレススイッチ7は事前に設定された時間の外で該当するフロールールを持つことがないからである。
シンクノード8(例えば、IoTサーバ)からのエンドホスト6データへの(定期アクセスではなく)オンデマンドアクセスもまたこの方法により可能であることに留意されたい。ただし、この場合、イングレススイッチ7は事後モードを用いてコントローラー4に対して対応するドアオープナーを要求する必要がある。コントローラー4はその後、予め構成されたフロールールを検索して各エンドホスト6に設定し場合によってはドアオープナーを各フローの転送経路に沿って次の下流側スイッチ2に送るとイングレススイッチ7によって解釈されるメッセージを送り返すことになる。この場合、イングレススイッチ7にとってはコントローラーとの1往復の通信が必要であるが、転送経路上の他の全てのスイッチ2はオンデマンドで再度必要なフロールールを稼働及び設定することができる。
最後に、本発明の意味においてドアオープナーを用いるネットワークは当該ネットワークの外で生成されたいずれのドアオープナーパケットもドロップされるようにすべきであることに留意されたい。これは、事実上、ネットワーク1の全てのイングレススイッチ7に、スイッチ7のエッジポート、すなわち、制御されたネットワーク1の一部ではない装置に接続されたエッジポートから来るどのマッチするドアオープナーパケットもドロップするドロップルールを設定することに相当する。
ここで説明した本発明の変形例や他の実施形態が、本発明が関係し上記の説明や添付の図面に示された内容の恩恵を受ける当業者により想到されよう。従って、本発明は開示された特定の実施形態に限定されるべきではなく、変形例や他の実施形態が添付の特許請求の範囲に含まれることが意図されていると理解すべきである。ここでは特定の用語が使われているが、それらは限定する目的ではなく一般的及び説明的意味で使われている。
1 ネットワークシステム
2 SDNスイッチ
3 コントロールインターフェース
4 SDNコントローラー
5 ポート
6 エンドホスト
7 エッジスイッチ
8 シンクノード
9 フローテーブル
10 状態テーブル
11 データ送信装置/センサー

Claims (13)

  1. ネットワークにおいてパケットフロー群を転送する方法であって、
    前記パケットフロー群は前記ネットワークにおける複数のエンドホスト(6)から発信され、前記パケットフロー群は所定のルーティング経路群を介して前記複数のエンドホスト(6)のそれぞれからシンクノード(8)へ送信され、
    エンドホスト(6)のパケットフロー群のルーティング経路はSDNコントローラー(4)の制御下にある1つ又は複数のSDNスイッチを含み、前記1つ又は複数のSDNスイッチ(2)は前記エンドホスト(6)に接続された少なくとも1つのポートを有するエッジスイッチ(7)を含み、
    前記各エッジスイッチ(7)による前記複数のエンドホスト(6)のうちの特定のエンドホストからのパケットフローの転送は、ドアオープナーパケットと呼ばれる専用パケットにより可能にされ、前記ドアオープナーパケットはフロー識別情報を運搬し実際のフローのパケットが転送される前にフローのルーティング経路を横切り、また前記ドアオープナーパケットは前記各スイッチ(2、7)により処理されると、前記パケットフローをそのルーティング経路に沿って次のスイッチ(2)へ転送するために前記各スイッチ(2、7)内での転送ルールの稼働又は設定を実現し、
    前記ドアオープナーパケットの生成は、前記SDNコントローラー(4)がコントロールプレーンメッセージを前記エッジスイッチ(7)に送信することによって、または前記SDNコントローラー(4)が前記エッジスイッチ(7)に時間により起動されるパケット生成をプログラミングすることによって、前記エッジスイッチ(7)にて起動される
    方法。
  2. 前記各スイッチ(2、7)での前記ドアオープナーパケットの処理は前記各スイッチ(2、7)のデータプレーンにおいてのみ実行される、請求項1に記載の方法。
  3. スイッチ(2、7)の状態テーブル(10)及びフローテーブル(9)は、前記スイッチ(2、7)での前記ドアオープナーパケットの処理が前記各パケットフローについての新しい又は変更されたエントリーで前記状態テーブル(10)の更新を引き起こすように設定される、請求項1に記載の方法。
  4. 前記新しい又は変更された状態エントリーは、その設定以来特定の時間が経過後その削除を起動するタイムアウトを用いて構成される、請求項3に記載の方法。
  5. エッジスイッチ(7)は、前記SDNコントローラー(4)にオンデマンドでドアオープナーパケットの供給を求める、請求項1〜のいずれかに記載の方法。
  6. 前記ドアオープナーパケット群は、それらが関連付けられた前記各パケットフローと同じルーティング経路を介して前記シンクノード(8)へ送られる、請求項1〜のいずれかに記載の方法。
  7. 前記ドアオープナーパケット群のヘッダーは前記パケット群を専用ドアオープナーパケット群として特定するタグを含み、及び/又は前記ドアオープナーパケット群のヘッダーはそれらが関連付けられている前記各パケットフローの識別を含む、請求項1〜のいずれかに記載の方法。
  8. エッジスイッチ(7)は、前記エッジスイッチ(7)のエッジポートを介して受信されるいずれのドアオープナーパケットもドロップする、請求項の1〜のいずれかに記載の方法。
  9. 求項1〜のいずれかに記載の方法を実行するためのネットワークシステムであって、
    SDNコントローラー(4)と、
    前記SDNコントローラー(4)の制御下にあるいくつかのSDNスイッチ(2)と、
    複数のエンドホスト(6)と、
    シンクノード(8)と、
    前記エンドホスト群(6)から発信されるパケットフロー群の前記シンクノード(8)への送信を可能にする所定のルーティング経路群とを含み、
    エンドホスト(6)のパケットフロー群のためのルーティング経路は、前記SDNスイッチ群(2)の1つ又は複数を含み、前記1つ又は複数のSDNスイッチ群(2)は前記エンドホスト(6)に接続された少なくとも1つのポート(5)を有するエッジスイッチ(7)を含み、
    前記スイッチ群(2、7)は、ドアオープナーパケットと呼ばれる専用パケットにより前記複数のエンドホスト(6)のうちの特定のエンドホストからのパケットフローの転送を可能にし、前記ドアオープナーパケットは前記各スイッチ(2、7)により処理されると、前記パケットフローをそのルーティング経路に沿って次のスイッチ(2)へ転送するために前記各スイッチ(2、7)内での転送ルールの稼働又は設定を実現する、ネットワークシステム。
  10. 前記エンドホスト群(6)は、そこから前記SDNコントローラー(4)が前記データ送信装置(6)のパケットフロー送信の時間及び間隔を照会できるAPIを含む、請求項に記載のシステム。
  11. 前記エンドホスト群(6)はセンサー群及び/又はスマートグリッドのスマートメーター群を含む、請求項9又は10に記載のシステム。
  12. 請求項1〜11のいずれかに記載の方法及び/又はシステムにおいて採用されるように構成されたフローベースのプログラマブルネットワーク装置。
  13. 請求項1〜11のいずれかに記載の方法及び/又はシステムにおいて採用されるように構成されたコントローラー。
JP2018550586A 2016-03-30 2016-03-30 ネットワークにおいてパケットフロー群を転送する方法及びネットワークシステム Expired - Fee Related JP6637196B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2016/056929 WO2017167359A1 (en) 2016-03-30 2016-03-30 Method of forwarding packet flows in a network and network system

Publications (2)

Publication Number Publication Date
JP2019510424A JP2019510424A (ja) 2019-04-11
JP6637196B2 true JP6637196B2 (ja) 2020-01-29

Family

ID=55802331

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018550586A Expired - Fee Related JP6637196B2 (ja) 2016-03-30 2016-03-30 ネットワークにおいてパケットフロー群を転送する方法及びネットワークシステム

Country Status (3)

Country Link
US (1) US10735315B2 (ja)
JP (1) JP6637196B2 (ja)
WO (1) WO2017167359A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2016137133A (ru) * 2014-02-19 2018-03-22 Нек Корпорейшн Способ управления сетью, сетевая система, устройство и программа
EP3710929B1 (en) * 2017-11-17 2023-10-04 Telefonaktiebolaget LM Ericsson (Publ) Optimized reconciliation in a controller switch network
US10924480B2 (en) 2018-02-28 2021-02-16 Cisco Technology, Inc. Extended trust for onboarding
US11429725B1 (en) * 2018-04-26 2022-08-30 Citicorp Credit Services, Inc. (Usa) Automated security risk assessment systems and methods
US11522815B2 (en) 2018-08-01 2022-12-06 Nec Corporation Switch, control apparatus, communication system, communication control method and program
KR102235150B1 (ko) * 2019-10-21 2021-04-02 한국과학기술원 소프트웨어 정의 네트워킹 기술을 이용한 스마트 그리드 네트워크 시스템 및 그 동작 방법

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9306840B2 (en) * 2012-09-26 2016-04-05 Alcatel Lucent Securing software defined networks via flow deflection
ES2681393T3 (es) * 2013-09-03 2018-09-12 Huawei Technologies Co., Ltd. Método, controlador, dispositivo y sistema de protección de una ruta de servicio
US10291503B2 (en) * 2013-09-26 2019-05-14 Taiwan Semiconductor Manufacturing Co., Ltd. File block placement in a distributed network
CN107079353B (zh) * 2014-08-22 2021-02-09 诺基亚通信公司 新服务区中的低等待时间服务连接设立
US20170250869A1 (en) * 2014-09-12 2017-08-31 Andreas Richard Voellmy Managing network forwarding configurations using algorithmic policies
US20160234234A1 (en) * 2015-02-05 2016-08-11 Cisco Technology, Inc. Orchestrating the Use of Network Resources in Software Defined Networking Applications
US10530697B2 (en) * 2015-02-17 2020-01-07 Futurewei Technologies, Inc. Intent based network configuration
EP3281377B1 (en) * 2015-04-10 2020-09-09 Telefonaktiebolaget LM Ericsson (publ) Methods and devices for access control of data flows in software defined networking system
US9749243B2 (en) * 2015-09-25 2017-08-29 University Of Vigo Systems and methods for optimizing network traffic

Also Published As

Publication number Publication date
WO2017167359A1 (en) 2017-10-05
JP2019510424A (ja) 2019-04-11
US20190297007A1 (en) 2019-09-26
US10735315B2 (en) 2020-08-04

Similar Documents

Publication Publication Date Title
JP6637196B2 (ja) ネットワークにおいてパケットフロー群を転送する方法及びネットワークシステム
US11134012B2 (en) Communication system, communication device, controller, and method and program for controlling forwarding path of packet flow
US9407560B2 (en) Software defined network-based load balancing for physical and virtual networks
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
WO2019184752A1 (zh) 网络设备的管理方法、装置及系统
JP6248929B2 (ja) 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
US20140241349A1 (en) Openflow switch and packet processing method thereof
EP3313031B1 (en) Sdn-based arp realization method and apparatus
JP6857188B2 (ja) 時間で保護されたフロールールの設定
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
KR101746105B1 (ko) 서비스 체이닝이 가능한 오픈플로우 스위치
EP2003821B1 (en) A strategic routing device and method
JP6963086B2 (ja) 時間で保護されたフロールールの設定
KR101739097B1 (ko) 오픈플로우 스위치의 서비스 체이닝 방법
JP2016092756A (ja) 制御装置、通信システム、ループ抑止方法及びプログラム
JP6314970B2 (ja) 通信システム、制御装置、通信方法およびプログラム
KR20160128248A (ko) Sdn 환경에서 테이블 미스 관리를 통한 패킷 처리 방법 및 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190702

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190930

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191219

R150 Certificate of patent or registration of utility model

Ref document number: 6637196

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees