JP6979494B2 - 制御装置、制御方法、及びプログラム - Google Patents

制御装置、制御方法、及びプログラム Download PDF

Info

Publication number
JP6979494B2
JP6979494B2 JP2020155570A JP2020155570A JP6979494B2 JP 6979494 B2 JP6979494 B2 JP 6979494B2 JP 2020155570 A JP2020155570 A JP 2020155570A JP 2020155570 A JP2020155570 A JP 2020155570A JP 6979494 B2 JP6979494 B2 JP 6979494B2
Authority
JP
Japan
Prior art keywords
dns
proxy
application
packet
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020155570A
Other languages
English (en)
Other versions
JP2020198653A (ja
Inventor
文裕 沈
研二 新井
隆 可児島
毅郎 嵯峨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2018176630A external-priority patent/JP6766110B2/ja
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2020155570A priority Critical patent/JP6979494B2/ja
Publication of JP2020198653A publication Critical patent/JP2020198653A/ja
Application granted granted Critical
Publication of JP6979494B2 publication Critical patent/JP6979494B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ユーザ端末からネットワーク上のサーバなどへのアクセスを高速化する技術に関連するものである。
近年、Software−as−a−Service(SaaS)の利用が爆発的に普及してきた。一方、SaaSでは、元々LAN環境での利用を想定して設計されていたアプリケーションがCloud上で提供されるため、そのパフォーマンスはネットワークの遅延や品質に左右され、特に企業がグローバル展開するほどネットワークの遅延や品質の影響が大きくなる。
現状では、閉域網である企業ネットワークはSaaS利用に向けて設計されていない。例えば、多くの企業ネットワークではインターネットへの接続点は限られているので、インターネットを経由するSaaS接続が遠回りになってしまう。
また、企業ネットワーク内の通信である拠点間の通信とSaaS向けの通信とを同一回線に重畳する場合、拠点間などで回線の帯域が圧迫される。2020年ごろには半分以上の企業がネットワークに関連するSaaS利用上の問題を抱えるという予測もある。
北米の大手金融/流通/小売りなどの企業のIT責任者を中心に立ち上げたONUG(Open Networking User Group)という団体でSD−WAN(Software−defined WAN)の技術が提唱されてきた。現在のWANコストの削減、運用の簡略化、品質の向上などを狙い、多くの企業が市販のSD−WANソリューションを導入し始めた。SD−WANの利用において、一番有望視されているユースケースがSaaSアクセスを中心としたLocal Breakoutと言われている。
Local Breakoutとは、ブランチ拠点において、SaaSにアクセスする際に、特定のデータフローをDeep Packet Inspection(DPI)エンジンを用いて識別し、識別された該当データフローをブランチ拠点からインターネットに直接流すようにルーティングを制御する仕組みである。
SD−WAN Customer Premises Equipment(CPE)の利用により、Local Breakoutを実現し、SaaS向けのトラフィックをブランチ拠点からインターネットに直接流すことによって、上記の様々な問題の解決が期待されている。
特許第5832970号
しかし、従来のSD−WAN技術を用いたSaaSアクセス方法は実際の利用シーンに最適化されていない場合が多いため、ユーザ端末からSaaSサーバへのアクセスに遅延が生じるなどの課題がある。
本発明は上記の点に鑑みてなされたものであり、閉域網を介した通信を行うユーザ端末が、インターネット上の所定のサーバに高速にアクセスすることを可能とする技術を提供することを目的とする。
開示の技術によれば、複数の網に接続され、ユーザ端末から受信したパケットを当該複数の網のうちのいずれかの網に振り分ける制御装置であって、
前記ユーザ端末から送信されたDNS問い合わせパケットを受信し、当該DNS問い合わせパケットの問い合わせ対象と振り分け先とを対応付けて格納したデータベースを参照することにより、当該DNS問い合わせパケットを前記複数の網のうちのいずれかの網に振り分けるDNS制御部を備える制御装置であり、
前記制御装置は所定のプロキシ装置に接続されており、前記制御装置は、
受信したパケットのアクセス先のアプリケーションに基づいて、当該パケットを前記プロキシ装置に送信するか否かを決定するプロキシ制御部
を更に備える制御装置が提供される。
開示の技術によれば、閉域網を介した通信を行うユーザ端末が、インターネット上の所定のサーバに高速にアクセスすることを可能とする技術が提供される。
本発明の実施の形態におけるシステムの全体構成図である。 第1の実施の形態におけるアクセス装置100の機能構成図である。 アクセス装置100のハードウェア構成図である。 アプリケーション管理DBに格納される情報の例を示す図である。 アプリケーションキャッシュに格納される情報の例を示す図である。 DNS振り分けポリシー管理DBに格納される情報の例を示す図である。 IPルーティングポリシー管理DB及びアプリルーティングポリシー管理DBに格納される情報の例を示す図である。 第1の実施の形態におけるマネジメントフロー制御のフローチャートである。 第1の実施の形態におけるデータフロー制御のフローチャートである。 DNSの問い合わせの宛先を書き換える場合のDNS制御部の構成図である。 DNSの問い合わせの宛先を書き換える場合のアプリルーティングポリシー管理DBに格納される情報の例を示す図である。 DNSの問い合わせの宛先を書き換える場合におけるデータフロー制御のフローチャートである。 DNSの問い合わせ結果を用いてアプリケーションキャッシュを随時更新する場合のフローチャートである。 DNSの問い合わせ結果を用いてアプリケーションキャッシュを随時更新する場合のアプリケーションキャッシュを示す図である。 第2の実施の形態におけるアクセス装置100の機能構成図である。 IPルーティングポリシー管理DB及びアプリルーティングポリシー管理DBに格納される情報の例を示す図である。 プロキシ振り分けポリシー管理DBに格納される情報の例を示す図である。 第2の実施の形態におけるマネジメントフロー制御のフローチャートである。 第2の実施の形態におけるデータフロー制御のフローチャートである。 アプリケーションキャッシュを利用する場合におけるプロキシ振り分けポリシー管理DBに格納される情報の例を示す図である。 アプリケーション管理DBの定期的更新を説明するための図である。 アプリケーション管理DBの定期的更新のフローチャートである。 アプリケーションキャッシュに格納される情報の例を示す図である。
以下、図面を参照して本発明の実施形態を説明する。以下で説明する実施形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施形態に限られるわけではない。
(課題について)
まず、実施の形態で説明するアクセス装置100により解決される課題について説明する。なお、以下の3つの課題は例であり、アクセス装置100により解決される課題は下記の課題に限られない。
(1)DNSについての課題
多くのSaaSはどの地域のユーザにも最大限のパフォーマンスでサービスを提供するため、GeoDNS技術を採用している。GeoDNSの利用により、DNSサーバに問い合わせたクライアントの物理的な位置に応じて、最寄りのSaaSのサーバのIPアドレスを応答することができる。なお、DNSはDomain Name Systemの略である。
ただし、企業ユーザがデータセンタなどの主要拠点に内部DNSサーバを設置し、外部DNSサーバへの問い合わせを当該主要拠点からブレークアウトさせている設計が多い。そのため、SaaSアクセスに関するDNSトラフィックは、データセンタなどの主要拠点からインターネットに出るの対し、データフローはブランチ拠点(例:データセンタと異なる国に設置された拠点)からインターネットに出ることになり、両者の出口が合致していない。その結果、せっかくSaaSに関する特定のデータフローをブランチ拠点にてブレークアウトしているのに、主要拠点からDNS問い合わせをした結果、主要拠点の最寄りのSaaSサーバにアクセスしてしまい、期待されている遅延の改善効果が見られない場合がある。
(2)プロキシについての課題
ユーザ端末とSaaSサーバとの間にプロキシ(プロキシ装置、プロキシサーバなどと称してもよい)を設置して、プロキシを経由して通信を行うことが多い。しかし、SaaSの種類によって、利用時にTCPセッションを大量に消費する場合もあるため、セッション増によるプロキシの処理限界により、SaaSが快適に利用できないことがある。
そこで、既存のプロキシをバイパスし、処理負荷を軽減することが求められている。従来方式では、SaaSトラフィックに対して、プロキシをバイパスさせるために、SD−WAN装置とは別に、既存のプロキシにおいて、SaaS向けの通信の宛先を定期的にチェックしなければならず、その結果をプロキシ自動設定(PAC)ファイルに反映し、当該PACファイルをまたすべてのエンドユーザに配布しなければならない。従って、運用負荷が増加する場合がある。
(3)パケット識別遅延の課題
また、従来のSD−WAN装置のDPIエンジンにおいて、HTTP/HTTPsのハンドシェイクのやり取りを解析し、その中で抽出したSaaSのドメインネームを用いてアクセス先のSaaSを判別する方法が採用されている。しかし、この方法では最初に到着したパケット(First Packet)にてSaaSを識別することが困難であるため、該当SaaSの最初のフローが主要拠点から出てしまう場合がある。
以下、本発明の実施の形態として、上記課題を解決する技術について詳細に説明する。なお、本実施の形態では、アクセス装置100が閉域網20、及びインターネット30に接続されるが、この形態は一例に過ぎない。閉域網20及びインターネット30以外の2網間で同様の制御がされてもよい。また、アクセス装置100は3つ以上の複数の網に接続されて、パケットを当該複数の網のうちのいずれかの網に振り分けることとしてもよい。
(システム構成)
図1に本発明の実施の形態におけるシステムの全体構成を示す。図1に示すとおり、ユーザ端末10、閉域網20、及びインターネット30と接続されるアクセス装置100が備えられる。アクセス装置100は、ユーザ端末10からのアクセスを受けて、ユーザ端末10を、閉域網20上の装置、あるいは、インターネット30上の装置に接続させ、通信を行う装置である。なお、アクセス装置100を、SaaSアクセス高速化装置と称してもよい。また、アクセス装置100は、データフローに対する種々の制御を実施する装置なので、これを制御装置と称してもよい。
閉域網20は、例えば企業の複数拠点を接続する企業内の網である。アクセス装置100は、例えば、グローバル企業の企業ネットワークにおけるブランチ拠点毎に設置される装置である。
以下、アクセス装置100の構成と動作を詳細に説明する。以下では、アクセス装置100の基本的な構成を第1の実施の形態として説明し、第1の実施の形態のアクセス装置100にプロキシ制御部が追加された構成を第2の実施の形態として説明する。
(第1の実施の形態)
<装置構成>
図2に、第1の実施の形態におけるアクセス装置100の機能構成図を示す。図2に示すように、アクセス装置100は、指令受信部110、DNS制御部120、共通アプリケーション管理部130、SD−WANルーティング部140、複数のIF(インタフェース)を有する。
複数のIFの例として、図2には、閉域網に接続するための閉域網接続IF150、インターネットに接続するためのInternet接続IF160、LANに接続するためのLAN−IF170が示されている。閉域網接続IF150及びInternet接続IF160には図示のとおりにIPアドレスが割り当てられている。
図示のとおり、閉域網接続IF150には内部DNSサーバ210が接続され、Internet接続IF160には、外部DNSサーバ310及びSaaSサーバ320が接続され、LAN−IF170にはユーザ端末10が接続されている。また、各サーバには図示のとおりのIPアドレスが割り当てられている。本実施の形態におけるSaaSサーバ320に関して、IPアドレスは固定ではなく、随時IPアドレスが変わる。
なお、IFは、物理ポートに限らず、IPsecなどのトンネルを終端する論理ポートであってもよい。また、本実施の形態では、例として、共通アプリケーション管理部130を各アクセス装置に備えることとしているが、これに代えて、共通アプリケーション管理部130を、アクセス装置100の外部に備え、複数のアクセス装置が共通に利用可能なものとして設置してもよい。アクセス装置100の各部の詳細については後述する。
アクセス装置100は、複数のコンピュータ(通信装置なども含む)により構成されるシステムであってもよいし、1つのコンピュータで実現される装置であってもよい。また、当該コンピュータは物理マシンであってもよいし仮想マシンであってもよい。また、アクセス装置100が、本実施の形態で説明する処理を実行する専用ハードウェア回路で実現されてもよい。
アクセス装置100がコンピュータで実現される場合において、アクセス装置100は、コンピュータに内蔵されるCPUやメモリ等のハードウェア資源を用いて、アクセス装置100で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
図3は、上記コンピュータのハードウェア構成例を示す図である。図3のコンピュータは、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、及び入力装置1007等を有する。
当該コンピュータでの処理を実現するプログラムは、例えば、CD−ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、アクセス装置100に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられ、ネットワークを介した入力手段及び出力手段として機能する。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置157はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。
以下、アクセス装置100の各部の構成、動作を詳細に説明する。
<共通アプリケーション管理部130>
共通アプリケーション管理部130は、アプリケーション管理DBとアプリケーションキャッシュ(アプリケーションテーブルと称してもよい)を有する。図4に、アプリケーション管理DBに格納される情報の例を示し、図5に、アプリケーションキャッシュに格納される情報の例を示す。
アプリケーション管理DBは様々なSaaSの通信パターンを管理するDBであり、図4に示す例では、アプリケーション管理DBのカラムとして、アプリケーション名、FQDN、宛先IPアドレスなどを有する。図4は例であり、アプリケーション管理DBの構成は図4に示すものに限られない。例えば、図4のアプリケーション名、FQDN、宛先IPアドレスに加えて、宛先ポート番号を含めてもよい。また、SaaSアプリを特定するその他のパラメータを含めてもよい。
図4に示す情報は、アプリケーション名が「Example」のSaaSに関しては、宛先のFQDNがExample.comもしくは、Example365.comもしくは、宛先IPアドレスがB.B.B.B/Bの3種類の通信パターンがあることを示す。
アプリケーションキャッシュは、現時点においてアクセス装置100が把握しているSaaSの宛先サーバのIPアドレスを記録する。図5に示すように、アプリケーションキャッシュのカラムとしては、例えば、アプリケーション名と宛先IPアドレスを有するが、これに限られるわけではない。また、図5(a)は、アプリケーション名が「Example」の宛先IPアドレスがB.B.B.Bとして把握された場合を示している。図5(b)は、例えば、アプリケーション名が「Example」の宛先IPアドレスがB.B.B.Bとして把握された後、「Example」の宛先IPアドレスとしてA.A.A.Aが検知された場合を示している。
<DNS制御部120>
図2に示したように、DNS制御部120は、DNS振り分け部121とDNS振り分けポリシー管理部122を有する。
DNS振り分け部121は、DNS振り分けポリシー管理部122が管理するDNS振り分けポリシーに従って、DNS問い合わせ(DNS問い合わせパケットと称してもよい)を振り分ける。つまり、当該DNS振り分けポリシーに従って、DNS問い合わせの送信先を決定し、その送信先に向けてDNS問い合わせを送信する。
DNS振り分けポリシー管理部122は、図6に示すDNS振り分けポリシー管理DBを有する。DNS振り分けポリシー管理DBは、DNS問い合わせに対して、実行する動作を定義する情報を格納するDBである。図6に示す例では、Example.comあるいはExample365.comのFQDNが含まれるDNS問い合わせに対して、IPアドレスがY.Y.Y.Yの外部DNSサーバ310にForwardし、その他の問い合わせは、Defaultとして内部DNSサーバ210にForwardする動作を定義している。
<SD−WANルーティング部140>
図2に示したように、SD−WANルーティング部140は、アプリ検知部141、ルーティング制御部142、ルーティングポリシー管理部143を有する。
アプリ検知141は、SD−WANルーティング部140によりルーティングされるデータフロー(より詳細にはデータフローを構成するパケット)を調べることにより、そのデータフローの宛先あるいは送信元のアプリケーションを検知する。ルーティング制御部142は、ルーティングポリシー管理部143に管理されているルーティングポリシーに従ってパケットのルーティングを実行する。
ルーティングポリシー管理部143は、IPルーティングポリシー管理DBとアプリルーティングポリシー管理DBとを有する。図7(a)に、IPルーティングポリシー管理DBに格納される情報の例を示し、図7(b)に、アプリルーティングポリシー管理DBに格納される情報の例を示す。
IPルーティングポリシー管理DBは、通常のルータのルーティングテーブルに相当し、図7(a)に示すとおり、宛先IPアドレスとNext Hopを格納している。
アプリルーティングポリシー管理DBは対象アプリに対するルーティング制御方法を定義する情報を格納するDBである。図7(b)には、一例として対象アプリ「Example」のSaaSフローをローカルにあるNext hop(Internet接続IF(J.J.J.J))に転送するルーティング動作を定義する情報が示されている。
図7(a)はIPルーティングポリシー管理DBが宛先IPアドレスとNext hopのカラムを有することを示し、図7(b)はアプリルーティングポリシー管理DBが対象アプリと、Next hopのカラムを有することを示しているが、これらは一例である。IPルーティングポリシー管理DBとアプリルーティングポリシー管理DBのそれぞれにおいて、通信元のIPアドレスや、ポート番号などを含めてもよい。
以下、アクセス装置100の基本的な動作として、DBの設定/更新などのための動作(マネジメントフローの制御と呼ぶ)と、ユーザ端末10が通信を行う際の動作(データフローの制御と呼ぶ)について説明する。
<マネジメントフローの制御>
図8に示すフローチャートの手順に沿ってマネジメントフローの制御におけるアクセス装置100の動作について説明する。
S101)対象指定
指示受信部110は、ユーザからLocal breakoutさせる対象SaaSの指定を受信し、受信内容に基づいてDNS制御部120と、SD−WANルーティング部140にそれぞれ指示をする。
S102)DNS振り分けポリシー管理DB更新
DNS制御部120は、共通アプリケーション管理部130から、対象SaaSに対するLocal breakoutのために必要な情報を収集し、DNS振り分けポリシー管理DB(例:図6)を更新する。
対象SaaSに対するLocal breakoutのために必要な情報は、例えば、対象SaaSに対応する1つ又は複数のFQDN(FQDN一覧)である。DNS制御部120は、取得したFQDN一覧におけるFQDNを想定される動作と紐付け、DNS振り分けポリシー管理DBに格納する。
本実施の形態では、Local breakoutの際のNext−hopは事前に設定された外部DNSサーバ310のIPアドレス(Y.Y.Y.Y)を想定する。それ以外のFQDNに関する問い合わせは内部DNSサーバ210のIPアドレス(X.X.X.X)を想定する。
例えば、図6の最初のレコードには、DNS問い合わせにおける対象SaaSのFQDNがExample.comである場合において、当該DNS問い合わせをIPアドレス(Y.Y.Y.Y)にFowardする動作に対応する情報が記録される。
S103)アプリルーティングポリシー管理DB更新
SD−WANルーティング部140は、アプリルーティングポリシー管理DB(例:図7(b))を更新する。具体的には、図7(b)に示すように、対象SaaSと事前に定義されているNext hopアドレスとを紐付けた情報を記録する。
<データフローの制御例1>
次に、データフローの制御例1におけるアクセス装置100の動作について、図9のフローチャートの手順に沿って説明する。データフローの制御例1では、ユーザ端末10でのDNSサーバのアドレスがアクセス装置100のDNS制御部120(Z.Z.Z.Z)に設定されている。
S201)DNS問い合わせ受信/転送
ルーティング制御部142は、ユーザ端末10から送信されたDNS問い合わせを受信し、IPルーティングポリシー管理DB(例:図7(a))に従って、通常のルータと同様にして、該当問い合わせをDNS制御部120に転送する。DNS制御部120のDNS振り分け部121がDNS問い合わせを受信する。
S202)DNS問い合わせ再転送
DNS制御部120におけるDNS振り分け部121は、受信したDNS問い合わせをDNS振り分けポリシー管理DB(例:図6)に従って再転送する。
例えば、該当DNS問い合わせに含まれるFQDNが、対象SaaSのExample.comである場合において、DNS振り分け部121は、DNS振り分けポリシー管理DB(図6)に従って、当該DNS問い合わせを外部DNSサーバ310(Y.Y.Y.Y)に転送される。その他のDNS問い合わせはDefaultに従って、内部DNSサーバ210に転送される。なお、データフローの制御例1においても、後述する問い合わせ先変更部123を備えることで、DNS問い合わせの宛先を転送先のIPアドレスに変更してもよい。
その後、ユーザ端末10は、該当DNSサーバから送出されたIPアドレスを受信し、当該IPアドレスを宛先とするデータ通信を開始する。
S203)データフロー検知
DNSの問い合わせ実施後、ユーザ端末10によるデータ通信が開始されると、対象SaaSのデータフローがLAN−IF170により受信され、SD−WANルーティング部140に送信される。
SD−WANルーティング部140のアプリ検知部141は特定のSaaSのデータフローを検知し、該当フローの宛先IPアドレスを用いて、アプリケーションキャッシュ(例:図5)を更新する。アプリ検知部141によるSaaSデータフローの検知方法として、例えばHTTP/HTTPsのHeaderから抽出する方法があるが、それに限らない。
S204)ルーティング制御
ルーティング制御部142は、アプリルーティングポリシー管理DB(例:図7(b))と、アプリケーションキャッシュ(例:図5)を用いて、SaaSデータフローのルーティングを制御する。例えば、対象SaaSがExample.comの場合、アプリケーションキャッシュにExample.comに対する宛先アドレスとしてA.A.A.Aが記録された後、ルーティング制御部142は、宛先がA.A.A.Aであるパケットを受信すると、アプリケーションキャッシュを参照することで、対象SaaSがExampleであることを把握し、アプリルーティングポリシー管理DBを参照することで、当該パケットをInternet接続IF160(J.J.J.J)に転送する。
S205)ルーティング制御
その後、同じデータフローが発生した場合、アプリ検知部141を経由することなく、アプリケーションキャッシュを用いることでルーティングの制御を実行することが可能となる。
<データフローの制御例2>
次に、データフローの制御例2として、ユーザ端末10でのDNSサーバのアドレスが内部DNSサーバ210(X.X.X.X)と設定されるケースについて、データフローの制御例1と異なる点を説明する。
データフローの制御例2では、図10に示すように、DNS制御部120は、DNS振り分け部121とDNS振り分けポリシー管理部122に加えて、問い合わせ先変更部123を有する。
また、図11に示すように、アプリルーティングポリシー管理DBにDNS問い合わせに対するルーティングポリシーを新たに追加する。このルーティングポリシーは、ポート番号(例:53)でDNS問い合わせトラフィックを特定し、Next hopをDNS制御部120(Z.Z.Z.Z)とするポリシーである。
この場合のデータフローの制御を図12のフローチャートの手順に沿って説明する。
S301)DNS問い合わせ受信/転送
ルーティング制御部142は、DNS問い合わせを受信すると、アプリルーティングポリシー管理DB(図11)におけるDNSに関するポリシーに従って、当該DNS問い合わせをDNS制御部120(Z.Z.Z.Z)に転送する。
S302)DNS問い合わせ再転送
DNS制御部120におけるDNS振り分け部121は、受信したDNS問い合わせをDNS振り分けポリシー管理部122に従って再転送する。対象SaaS以外の問い合わせはDefaultに従って、内部DNSサーバ210(X.X.X.X)に再転送される。
S303)宛先アドレス変更
一方、対象SaaSのDNS問い合わせは、宛先を問い合わせ先変更部123によって変更した上で再転送する。変更先となるDNS問い合わせの宛先アドレスは事前に設定されるものとし、例として外部DNSサーバ310のIPアドレス(Y.Y.Y.Y)が変更先として設定される。以降の処理はデータフローの制御例1と同様である。
<DNSの問い合わせの結果を用いたアプリケーションキャッシュの更新>
上述した例では、アプリ検知部141がパケットを解析することにより当該パケットに係るデータフローに対応するSaaSアプリケーションを識別し、アプリケーションキャッシュ(例:図5)を更新していた。この方法に代えて(あるいはこの方法に加えて)、DNSの問い合わせ結果を用いてアプリケーションキャッシュを更新してもよい。
DNSの問い合わせの結果を用いて、アプリケーションキャッシュを随時更新する機能を持たせることで、First packetでSaaSアプリケーションの識別が可能となる。
この場合のアクセス装置100の動作を図13のフローチャートの手順に沿って説明する。
S401)アプリケーションキャッシュ更新
例えば、DNS問い合わせが外部DNSサーバ310に転送され、外部DNSサーバ310から送出される問い合わせ結果(FQDNに対応するIPアドレス)をルーティング制御部142が受信する。ルーティング制御部142は、当該問い合わせ結果を用いてアプリケーションキャッシュを更新する。
例えば、Example.comの問い合わせ結果がA.A.A.Aであり、Example365.comの問い合わせ結果がC.C.C.Cであるとし、ルーティング制御部142がそれぞれの問い合わせ結果を受信した場合、図14に示すように、アプリケーションキャッシュが更新される。つまり、A.A.A.Aのレコードと、C.C.C.Cのレコードが追加される。なお、本実施の形態におけるExample.comとExample365.comのアプリケーション名はいずれも「Example」として識別される。
S402)ルーティング制御
その後、ルーティング制御部142が、該当SaaSのデータフローを受信した場合、アプリルーティングポリシー管理DB(例:図7(b))と、アプリケーションキャッシュ(例:図14)を用いて、該当フローのルーティングを制御する。
具体的には、ルーティング制御部142は、データフローの宛先IPアドレスでアプリケーションキャッシュを検索し、ヒットするレコードがある場合、当該レコードのアプリケーション名(対象SaaS名)を用いてアプリルーティングポリシー管理DBで当該対象SaaSのNext hopを検索する。その結果、ルーティング制御部142はNext hopに記載されているIPアドレスに該当フローを転送する。
(第2の実施の形態)
次に、第2の実施の形態を説明する。ここでは、第1の実施の形態と異なる点を主に説明する。
<装置構成>
図15に、第2の実施の形態におけるアクセス装置100の機能構成図を示す。図15に示すように、第2の実施の形態におけるアクセス装置100は、第1の実施の形態におけるアクセス装置100に対してプロキシ制御部180が追加された構成である。また、図15には、内部プロキシサーバ220が示されている。図示するように、ここではプロキシ制御部180のIPアドレスはZ'.Z'.Z'.Z'であり、内部プロキシサーバ220のIPアドレスはZ1.Z1.Z1.Z1である。
図15に示すとおり、プロキシ制御部180は、プロキシ振り分け部181とプロキシ振り分けポリシー管理部182を有する。
第2の実施の形態では、プロキシ制御部180までトラフィックをルーティングさせるため、図16(a)に示すように、ルーティングポリシー管理部143におけるIPルーティングポリシー管理DBに新たにZ'.Z'.Z'.Z'に関するポリシーを追加する。
また、プロキシ振り分けポリシー管理部182はプロキシ振り分けポリシー管理DBを有する。図17に、プロキシ振り分けポリシー管理DBに格納される情報の例を示す。図17に示すように、プロキシ振り分けポリシー管理DBは、各FQDNと、IPアドレスに対するプロキシの制御動作を定義する情報を格納したDBである。
プロキシ振り分け部181は、プロキシ振り分けポリシー管理DBの情報に従って、トラフィックの振り分け制御を実行する。例えば、プロキシ振り分け部181は、宛先のFQDNがExample.comであるパケットを受信した場合、当該パケットをプロキシパススルーとさせる。Defaultの場合、内部プロキシ(Z1.Z1.Z1.Z1)とプロキシチェーニングを実施する。
<マネジメントフローの制御>
図18に示すフローチャートの手順に沿って、プロキシ制御部180の追加に伴って追加される制御フローについて説明する。
S501)対象指定
まず、指示受信部110は、ユーザからLocal breakoutさせる対象SaaSの指定を受信し、受信内容に基づいてプロキシ制御部180に指示をする。
S502)プロキシ振り分けポリシー管理DB更新
プロキシ制御部180は、共通アプリケーション管理部130のアプリケーション管理DBから、対象SaaSに対するLocal breakoutのために必要な情報を収集し、プロキシ振り分けポリシー管理DBを更新する。
対象SaaSに対するLocal breakoutのために必要な情報は、例えば、対象SaaSに対応する1つ又は複数のFQDN(FQDN一覧)と1つ又は複数のIPアドレス(IPアドレス一覧)である。プロキシ制御部180は、取得したFQDN一覧とIPアドレス一覧を、想定される動作と紐付け、プロキシ振り分けポリシー管理DBに格納する。
図17に示すように、パススルーしない場合(Defaultの場合)におけるNext−hopは、事前に設定されたプロキシチェーニングの先となる内部DNSサーバ220のIPアドレス(Z1.Z1.Z1.Z1)としている。
<データフローの制御>
次に、データフローの制御におけるアクセス装置100の動作について、図19のフローチャートの手順に沿って説明する。
S601)トラフィック受信/転送
ルーティング制御部142は、プロキシ制御部180向けのトラフィック(ここでは、SaaSアクセス要求とする)を受信し、ルーティングポリシー管理部143のIPルーティングポリシー管理DB(例:図16(a))に従って、トラフィックをプロキシ制御部180(Z'.Z'.Z'.Z')に転送する。プロキシ制御部180におけるプロキシ振り分け部181がトラフィック(SaaSアクセス要求)を受信する。
S602)トラフィック受信/転送
プロキシ振り分け部181は、受信したSaaSアクセス要求を一旦終端し、プロキシ振り分けポリシー管理DB(図17)に従って、該当SaaSにアクセスするためのプロキシ制御を行う。
一例として、Example.comにアクセスする要求に関して、図17の動作定義に従って、パススルーとさせる。パススルーの場合、プロキシ制御部180が起点となって、DNSの問い合わせを実施する。DNSの問い合わせ動作や、その後の一連の動作はこれまでの説明と同様である。なお、この場合のDNS問い合わせは、プロキシ制御部180からルーティング制御部142に送られ、ルーティング制御部140からDNS制御部120に送られる。
一方、対象SaaSアクセス以外のデータフローに関しては、Defaultに該当し、内部プロキシサーバ220とチェーニングさせるために、プロキシ制御部180は、内部プロキシサーバ220に該当データフローのアクセスを要求する。要求の中身の一例として以下の様式が考えられる。
[IP header(抜粋)]
Src IP:Z'.Z'.Z'.Z'
Dst IP:Z1.Z1.Z1.Z1
[TCP header(抜粋)]
Src port:26001
Dst port:443
[Http request(抜粋)]
GET https://www.example.com
上記の要求によって、該当のデータフローについては、内部プロキシサーバ220がユーザ端末10に対するプロキシとなって動作を行う。
<情報収集方法の他の例>
上記のマネジメントフローの例では、プロキシ制御部180が共通アプリケーション管理部130のアプリケーション管理DBから必要な情報を収集するとしたが、それに加えて(又はそれに代えて)、アプリケーションキャッシュから情報を収集することとしてもよい。図20に、アプリケーションキャッシュから収集した情報も利用して更新したプロキシ振り分けポリシー管理DB182の例を示す。
この場合、プロキシ制御部180は、アプリケーション管理DBから対象SaaSに対応するFQDN一覧とIPアドレスに加えて、アプリケーションキャッシュから既にキャッシングされているIPアドレスも収集し、それらのIPアドレスをプロキシ振り分けポリシー管理DBにおいて想定される動作と紐付ける。また、プロキシ振り分けポリシー管理部182は定期的に共通アプリケーション管理部130と同期し、常にアプリケーション管理DBと、アプリケーションキャッシュの最新情報を保持する。
SaaSサーバのIPアドレスが随時変更されることから、上記のようにアプリケーションキャッシュの最新情報を保持することで、正確なIPアドレスに基づいた動作を実行できる。
<アプリケーション管理DB、アプリケーションキャッシュの定期更新について>
第1の実施の形態と第2の実施の形態に共通の動作として、図21に示すように、外部アプリケーション管理サーバ400から情報を取得することにより、共通アプリケーション管理部130が、アプリケーション管理DBを定期的に更新することとしてもよい。この場合の動作を図22のフローチャートを参照して説明する。なお、外部アプリケーション管理サーバ400には最新の情報が格納されているものとする。
S701)ポーリング
共通アプリケーション管理部130は、定期的に外部アプリケーション管理サーバ400にDBのアップデートがあるかどうかの問い合わせ(ポーリング)を行う。
S702)更新
共通アプリケーション管理部130は、アップデートがあったことを検知すると、最新のデータを受信し、アプリケーション管理DBを更新する。
また、共通アプリケーション管理部130は、アプリケーションキャッシュを定期的に更新してもよい。この場合、図23に示すように、アプリケーションキャッシュはレコード毎にタイマー値を保持する。共通アプリケーション管理部130は、アプリケーションキャッシュを監視し、レコードのデータが設定された時点から更新されずにタイマー値の期間が経過した時点で当該レコードを自動的に削除する。
SaaSサーバのIPアドレスは固定されておらず、随時変更されることから、上記のように更新機構を設けることで、正確なIPアドレスに基づいた動作を実行できる。
(実施の形態の効果等)
以上説明したように、本発明の実施の形態に係るアクセス装置100においては、SD−WANルーティング部140に加えて、共通アプリケーション管理部130と、DNS制御部120と、プロキシ制御部180を設けることとした。
DNS制御部120は共通アプリケーション管理部130を参照しながら、特定SaaSのデータフローの制御に追随し、それに関するDNSトラフィックの最適出口を判断・制御する。同様に、プロキシ制御部180は、共通アプリケーション管理部130を参照しながら、特定SaaSのデータフロー対し、既存プロキシを迂回させるようにルーティング制御を行う。さらに、DNS制御部120を経由して行われたDNSの問い合わせ結果であるSaaSサーバのIPアドレスをアプリケーションキャッシュに随時反映し、アクセス先のSaaSサーバIPを用いて、特定SaaSを識別することができる。
上記のような構成を備えるアクセス装置100により、特定SaaSのデータフローをブランチ拠点から直接にブレークアウトさせる際に、該当SaaSアクセスに関するDNSトラフィックや、プロキシへのルーティングをそれに合わせて連動的に制御することが可能となり、該当SaaSへの最適アクセスが実現される。
すなわち、DNSフローとデータフローの出口を一致させることによって、ブランチ拠点の最寄りのSaaSサーバへアクセスすることが可能となる。また、既存プロキシをバイパスすることによって、該当SaaSアクセスに起因するプロキシ処理負荷を軽減することが期待できる。さらに、最新のDNSの問い合わせ結果を用いて、First Packetで特定SaaSを識別できる。
(実施の形態のまとめ)
以上、説明したとおり、本実施の形態により、少なくとも下記の制御装置、制御方法、及びプログラムが提供される。
(第1項)
複数の網に接続され、ユーザ端末から受信したパケットを当該複数の網のうちのいずれかの網に振り分ける制御装置であって、
前記ユーザ端末から送信されたDNS問い合わせパケットを受信し、当該DNS問い合わせパケットの問い合わせ対象に基づいて、当該DNS問い合わせパケットを前記複数の網のうちのいずれかの網に振り分けるDNS制御部と、
パケットを受信し、当該パケットの宛先アドレスに基づいて当該パケットの送信先を決定し、決定された送信先に当該パケットを送信するルーティング部と
を備える制御装置。
(第2項)
前記制御装置は、パケットの宛先アドレスと当該パケットの宛先のアプリケーションとを対応付けた情報を格納するアプリケーションテーブルを備え、
前記ルーティング部は、前記アプリケーションテーブルを参照することにより、受信したパケットの宛先アドレスに対応するアプリケーションを把握し、当該アプリケーションに対して予め定められたポリシーに従って当該パケットを前記複数の網のうちのいずれかの網に振り分ける
第1項に記載の制御装置。
(第3項)
前記ルーティング部は、前記DNS問い合わせパケットの問い合わせ対象と、問い合わせの応答として受信したアドレスとを用いて前記アプリケーションテーブルを更新する
第2項に記載の制御装置。
(第4項)
前記アプリケーションテーブルは、レコード毎にタイマー値を有し、当該タイマー値の期間が経過したレコードを削除する
第2項又は第3項の制御装置。
(第5項)
前記DNS制御部は、前記DNS問い合わせパケットの宛先アドレスを、当該DNS問い合わせパケットの振り分け先に応じて書き換える
第1項ないし第4項のうちいずれか1項に記載の制御装置。
(第6項)
前記制御装置は所定のプロキシ装置に接続されており、前記制御装置は、
受信したパケットのアクセス先のアプリケーションに基づいて、当該パケットを前記プロキシ装置に送信するか否かを決定するプロキシ制御部
を更に備える請求項1ないし5のうちいずれか1項に記載の制御装置。
(第7項)
前記プロキシ制御部は、
アプリケーション毎の宛先アドレスと動作とを記録したプロキシ振り分けテーブルを備え、当該プロキシ振り分けテーブルを参照することにより、パケットを前記プロキシ装置に送信するか否かの決定を行い、
前記アプリケーションテーブルを利用して前記プロキシ振り分けテーブルを更新する
第2項ないし第4項のうちいずれか1項に従属する第6項に記載の制御装置。
(第8項)
前記制御装置は、
アプリケーションの情報を管理するアプリケーション管理データベースと、
外部のアプリケーション管理サーバに定期的にアクセスすることにより、前記アプリケーション管理データベースを更新する管理部と
を備える第1項ないし第7項のうちいずれか1項に記載の制御装置。
(第9項)
複数の網に接続され、ユーザ端末から受信したパケットを当該複数の網のうちのいずれかの網に振り分ける制御装置が実行する制御方法であって、
前記ユーザ端末から送信されたDNS問い合わせパケットを受信し、当該DNS問い合わせパケットの問い合わせ対象に基づいて、当該DNS問い合わせパケットを前記複数の網のうちのいずれかの網に振り分けるステップと、
パケットを受信し、当該パケットの宛先アドレスに基づいて当該パケットの送信先を決定し、決定された送信先に当該パケットを送信するステップと
を備える制御方法。
(第10項)
コンピュータを、第1項ないし第8項のうちいずれか1項に記載の制御装置における各部として機能させるためのプログラム。
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10 ユーザ端末
20 閉域網
30 インターネット
100 アクセス装置
110 指令受信部
120 DNS制御部
121 DNS振り分け部
122 DNS振り分けポリシー管理部
123 問い合わせ先変更部
130 共通アプリケーション管理部
140 SD−WANルーティング部
141 アプリ検知部
142 ルーティング制御部
143 ルーティングポリシー管理部
150 閉域網接続IF
160 Internet接続IF
170 LAN−IF
180 プロキシ制御部
181 プロキシ振り分け部
182 プロキシ振り分けポリシー管理部
210 内部DNSサーバ
220 内部プロキシサーバ
310 外部DNSサーバ
320 SaaSサーバ
400 外部アプリケーション管理サーバ
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インターフェース装置
1006 表示装置
1007 入力装置

Claims (7)

  1. 複数の網に接続され、ユーザ端末から受信したパケットを当該複数の網のうちのいずれかの網に振り分ける制御装置であって、
    前記ユーザ端末から送信されたDNS問い合わせパケットを受信し、当該DNS問い合わせパケットの問い合わせ対象と振り分け先とを対応付けて格納したデータベースを参照することにより、当該DNS問い合わせパケットを前記複数の網のうちのいずれかの網に振り分けるDNS制御部を備える制御装置であり、
    前記制御装置は所定のプロキシ装置に接続されており、前記制御装置は、
    受信したパケットのアクセス先のアプリケーションに基づいて、当該パケットを前記プロキシ装置に送信するか否かを決定するプロキシ制御部
    を更に備える制御装置
  2. 前記DNS制御部は、前記DNS問い合わせパケットの宛先アドレスを、当該DNS問い合わせパケットの振り分け先に応じて書き換える
    請求項1に記載の制御装置。
  3. 前記プロキシ制御部は、
    アプリケーション毎の宛先アドレスと動作とを記録したプロキシ振り分けテーブルを備え、当該プロキシ振り分けテーブルを参照することにより、パケットを前記プロキシ装置に送信するか否かの決定を行う
    請求項1又は2に記載の制御装置。
  4. 複数の網に接続され、ユーザ端末から受信したパケットを当該複数の網のうちのいずれかの網に振り分ける制御装置であって、
    前記ユーザ端末から送信されたDNS問い合わせパケットを受信し、当該DNS問い合わせパケットの問い合わせ対象と振り分け先とを対応付けて格納したデータベースを参照することにより、当該DNS問い合わせパケットを前記複数の網のうちのいずれかの網に振り分けるDNS制御部と、
    アプリケーションの情報を管理するアプリケーション管理データベースと、
    外部のアプリケーション管理サーバに定期的にアクセスすることにより、前記アプリケーション管理データベースを更新する管理部と
    を備える制御装置。
  5. 複数の網に接続され、ユーザ端末から受信したパケットを当該複数の網のうちのいずれかの網に振り分ける制御装置が実行する制御方法であって、
    前記ユーザ端末から送信されたDNS問い合わせパケットを受信し、当該DNS問い合わせパケットの問い合わせ対象と振り分け先とを対応付けて格納したデータベースを参照することにより、当該DNS問い合わせパケットを前記複数の網のうちのいずれかの網に振り分けるステップを備える制御方法であり、
    前記制御装置は所定のプロキシ装置に接続されており、
    前記制御装置が、受信したパケットのアクセス先のアプリケーションに基づいて、当該パケットを前記プロキシ装置に送信するか否かを決定するステップ
    を更に備える制御方法
  6. 複数の網に接続され、ユーザ端末から受信したパケットを当該複数の網のうちのいずれかの網に振り分ける制御装置が実行する制御方法であって、前記制御装置はアプリケーションの情報を管理するアプリケーション管理データベースを備え、
    前記ユーザ端末から送信されたDNS問い合わせパケットを受信し、当該DNS問い合わせパケットの問い合わせ対象と振り分け先とを対応付けて格納したデータベースを参照することにより、当該DNS問い合わせパケットを前記複数の網のうちのいずれかの網に振り分けるステップと、
    外部のアプリケーション管理サーバに定期的にアクセスすることにより、前記アプリケーション管理データベースを更新するステップと
    を備える制御方法。
  7. コンピュータを、請求項1ないしのうちいずれか1項に記載の制御装置における各部として機能させるためのプログラム。
JP2020155570A 2018-09-20 2020-09-16 制御装置、制御方法、及びプログラム Active JP6979494B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020155570A JP6979494B2 (ja) 2018-09-20 2020-09-16 制御装置、制御方法、及びプログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018176630A JP6766110B2 (ja) 2018-09-20 2018-09-20 制御装置、制御方法、及びプログラム
JP2020155570A JP6979494B2 (ja) 2018-09-20 2020-09-16 制御装置、制御方法、及びプログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018176630A Division JP6766110B2 (ja) 2018-09-20 2018-09-20 制御装置、制御方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2020198653A JP2020198653A (ja) 2020-12-10
JP6979494B2 true JP6979494B2 (ja) 2021-12-15

Family

ID=78870769

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020155570A Active JP6979494B2 (ja) 2018-09-20 2020-09-16 制御装置、制御方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP6979494B2 (ja)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005184110A (ja) * 2003-12-16 2005-07-07 Matsushita Electric Ind Co Ltd パケット転送装置およびパケット転送方法
JP3864397B2 (ja) * 2004-09-03 2006-12-27 日本電信電話株式会社 ユーザエッジルータ、ゲートウェイルータ、マルチホーミング通信システム、マルチホーミング通信方法およびマルチホーミング通信プログラム
JP2006303588A (ja) * 2005-04-15 2006-11-02 Matsushita Electric Ind Co Ltd 暗号通信に用いられる通信機器、通信方法、及び方法プログラム
JP5521538B2 (ja) * 2009-12-25 2014-06-18 日本電気株式会社 基地局装置、基地局の制御方法、及びプログラム
US9407530B2 (en) * 2012-09-21 2016-08-02 Interdigital Patent Holdings, Inc. Systems and methods for providing DNS server selection using ANDSF in multi-interface hosts
EP3734474A3 (en) * 2013-11-11 2021-01-20 Microsoft Technology Licensing, LLC Cloud service security broker and proxy

Also Published As

Publication number Publication date
JP2020198653A (ja) 2020-12-10

Similar Documents

Publication Publication Date Title
JP6766110B2 (ja) 制御装置、制御方法、及びプログラム
JP3963690B2 (ja) パケット中継処理装置
EP3021534B1 (en) A network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device
JP7345059B2 (ja) ルーティング制御方法、装置、プログラム及びコンピュータ装置
US9998533B2 (en) P2P content caching system and method
US20040260769A1 (en) Method and apparatus for distributed cache control and network system
US7013333B1 (en) Network management system
JP4309359B2 (ja) パケット通信装置とその機能拡張方法
KR20090012308A (ko) 모바일 폰의 sim 카드와 같은 스토리지 디바이스용 분산로컬 웹서버 아키텍처
CA2430416A1 (en) A method and apparatus for discovering client proximity using multiple http redirects
JP2005539289A (ja) 区分アプリケーション・サービスのための透過的な要求の経路指定
JP2021516024A (ja) 通信ネットワークを介したネットワークトラフィックのトレーサビリティの決定
US20020138660A1 (en) Method and system for the redirection of client requests
WO2017177437A1 (zh) 一种域名解析方法、装置及系统
US8051176B2 (en) Method and system for predicting connections in a computer network
JP2006508465A (ja) ファイル共有アプリケーションに対するインデックス・サーバ・サポート
JP6979494B2 (ja) 制御装置、制御方法、及びプログラム
JP2014030099A (ja) 通信装置、プログラムおよびルーティング方法
JPH10154118A (ja) ネットワーク通信システム
JP3704134B2 (ja) パケット転送装置、ネットワーク制御サーバ、およびパケット通信ネットワーク
CN106254576B (zh) 一种报文转发方法及装置
US10958580B2 (en) System and method of performing load balancing over an overlay network
JP5229109B2 (ja) パケット中継処理装置
JP4013967B2 (ja) 名前解決サーバおよびパケット転送装置
US20070156862A1 (en) Computer system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200916

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210727

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210810

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211102

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211115

R150 Certificate of patent or registration of utility model

Ref document number: 6979494

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150