JP7485010B2 - パケット転送装置、パケット転送方法及びパケット転送プログラム - Google Patents
パケット転送装置、パケット転送方法及びパケット転送プログラム Download PDFInfo
- Publication number
- JP7485010B2 JP7485010B2 JP2022509810A JP2022509810A JP7485010B2 JP 7485010 B2 JP7485010 B2 JP 7485010B2 JP 2022509810 A JP2022509810 A JP 2022509810A JP 2022509810 A JP2022509810 A JP 2022509810A JP 7485010 B2 JP7485010 B2 JP 7485010B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- namespace
- openflow switch
- packet forwarding
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 30
- 230000008569 process Effects 0.000 claims description 15
- 238000012546 transfer Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims 4
- 238000012545 processing Methods 0.000 description 13
- 230000004044 response Effects 0.000 description 8
- 238000005538 encapsulation Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002301 combined effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000005316 response function Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/76—Routing in software-defined topologies, e.g. routing between virtual machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/56—Routing software
- H04L45/566—Routing instructions carried by the data packet, e.g. active networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本開示は、パケットを転送する装置、方法及びプログラムに関する。
パケットブローカーと呼ばれるネットワーク装置は、大量の端末から出力されたパケットを集約して受信し、パケットの選別、複製、書換、破棄、及び転送を行うものである。ローカルネットワーク内部でのログの収集に活用されている他、近年では、クラウド上の解析サーバへ暗号化通信路を介してログパケットを転送する機能も有する。
これをOpenFlow(以下、OFと表記する。)によって実現したシステムが存在し、5tuple(SIP:送信元IPアドレス、DIP:宛先IPアドレス、PR:IPプロトコルタイプ、SPT:送信元ポート番号、DPT:宛先ポート番号)に基づいたマッチとパケットに対するアクションによって、パケットブローカーとしての役割を果たす。OFスイッチにはできないARP(Address Resolution Protocol)解決や、暗号化やカプセル化等の高度な処理は、OFコントローラへのパケットインによってOFアプリケーションが実行する(例えば、特許文献1参照。)。
「OpenStack Docs:ネットワーク名前空間」、Apache 2.0 license.https://docs.openstack.org/mitaka/ja/networking-guide/intro-network-namespaces.html
パケットブローカーのように、OFスイッチが自身を宛先としてパケットを終端するシステムでは、次のようなパケットのバースト発生時にOFコントローラへのパケットインが大量に実行され、OFアプリケーションが負荷に耐え切れず異常終了する場合がある。
・ネットワーク障害発生からの復旧時などに端末から送信されるARPリクエスト
・暗号化(IPsec)やカプセル化(VXLAN)等、OFスイッチが処理できないパケット
・ネットワーク障害発生からの復旧時などに端末から送信されるARPリクエスト
・暗号化(IPsec)やカプセル化(VXLAN)等、OFスイッチが処理できないパケット
OFスイッチ自身が終端となるパケット転送システムの実現には、OFコントローラの並列化による負荷回避など、パケットインへの対策が必要不可欠である。そこで、本開示は、OFコントローラへのパケットインを削減し、OFコントローラの負荷を抑制することを目的とする。
上記目的を達成するために、本開示は、ソフトウェアOFスイッチシステムにおいて、OFコントローラへのパケットインをオフロードするシステム構成を提案する。具体的には、本開示は、ソフトウェアOFスイッチ装置において、軽量なプロトコル(C-plane)はNameSpaceに代理応答を実行させ、OF機能が非対応な処理(D-plane)はループバック仮想マシンに代理処理を実行させる。
本開示に係るパケット転送装置は、
OpenFlowスイッチが、
予め定められたプロトコルの第1のパケットを抽出し、
前記OpenFlowスイッチと仮想インターフェースで接続されているNameSpaceが、抽出された前記第1のパケットの応答を、前記OpenFlowスイッチに代わって行う。
OpenFlowスイッチが、
予め定められたプロトコルの第1のパケットを抽出し、
前記OpenFlowスイッチと仮想インターフェースで接続されているNameSpaceが、抽出された前記第1のパケットの応答を、前記OpenFlowスイッチに代わって行う。
本開示に係るパケット転送方法は、
OpenFlowスイッチが、
予め定められたプロトコルの第1のパケットを抽出し、
前記OpenFlowスイッチと仮想インターフェースで接続されているNameSpaceが、抽出された前記第1のパケットの応答を、前記OpenFlowスイッチに代わって行う。
OpenFlowスイッチが、
予め定められたプロトコルの第1のパケットを抽出し、
前記OpenFlowスイッチと仮想インターフェースで接続されているNameSpaceが、抽出された前記第1のパケットの応答を、前記OpenFlowスイッチに代わって行う。
本開示に係るパケット転送装置は、
OpenFlowスイッチが、
予め定められた規則に従って第2のパケットを抽出し、
前記OpenFlowスイッチと仮想インターフェースで接続されている仮想マシンが、抽出された前記第2のパケットの処理を、前記OpenFlowスイッチに代わって行う。
OpenFlowスイッチが、
予め定められた規則に従って第2のパケットを抽出し、
前記OpenFlowスイッチと仮想インターフェースで接続されている仮想マシンが、抽出された前記第2のパケットの処理を、前記OpenFlowスイッチに代わって行う。
本開示に係るパケット転送方法は、
OpenFlowスイッチが、
予め定められた規則に従って第2のパケットを抽出し、
前記OpenFlowスイッチと仮想インターフェースで接続されている仮想マシンが、抽出された前記第2のパケットの処理を、前記OpenFlowスイッチに代わって行う。
OpenFlowスイッチが、
予め定められた規則に従って第2のパケットを抽出し、
前記OpenFlowスイッチと仮想インターフェースで接続されている仮想マシンが、抽出された前記第2のパケットの処理を、前記OpenFlowスイッチに代わって行う。
本開示に係るパケット転送プログラムは、本開示に係るパケット転送装置に備わる各機能をコンピュータに実現させるためのプログラムであり、本開示に係るパケット転送方法に備わる各ステップをコンピュータに実行させるためのプログラムである。
本開示によれば、OFコントローラへのパケットインを削減し、OFコントローラの負荷を抑制することができる。
以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。
図1に、本開示に係るサーバの構成の一例を示す。サーバ91は、ソフトウェアOFスイッチ10、NameSpace30及び仮想マシン40、を備える。サーバ91は、本開示に係るパケット転送装置として機能する。本開示の装置はコンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。
ソフトウェアOFスイッチ10は、
パケットを受信する物理インターフェース11-1と、
パケットの宛先アドレスが自宛かを判定するアドレス判定部12と、
ARP又はICMP(Internet Control Message Protocol)などの軽量なプロトコルであるかを判定するプロトコル判定部13と、
特定のルールと一致するパケットであるかを判定するルール判定部14と、
パケットの送信処理を行う送信部15と、
パケットを送信する物理インターフェース11-2と、
を備える。
パケットを受信する物理インターフェース11-1と、
パケットの宛先アドレスが自宛かを判定するアドレス判定部12と、
ARP又はICMP(Internet Control Message Protocol)などの軽量なプロトコルであるかを判定するプロトコル判定部13と、
特定のルールと一致するパケットであるかを判定するルール判定部14と、
パケットの送信処理を行う送信部15と、
パケットを送信する物理インターフェース11-2と、
を備える。
NameSpace30は、仮想インターフェース31でソフトウェアOFスイッチ10と接続されている。NameSpace30は、軽量なプロトコルのパケットの処理を行う。
仮想マシン40は、仮想インターフェース41及び42でソフトウェアOFスイッチ10と接続されている。仮想マシン40は、前記特定のルールと一致するパケットの処理を行う。本開示においては、仮想マシンをVM(Virtual Machine)と記載することがある。
(NameSpaceについて)
NameSpace(名前空間)とは、Linux環境(Linuxは登録商標)におけるリソースを分離するために、Linuxカーネルで提供されている機能のことである(例えば、非特許文献1参照。)。具体的には、mount、UTS(Unix Time-sharing System)、IPC(Inter-Process Communication)、PID(プロセスID)、network、userのリソースが分離できる。本開示では、Network NameSpace(netns)を利用する。
NameSpace(名前空間)とは、Linux環境(Linuxは登録商標)におけるリソースを分離するために、Linuxカーネルで提供されている機能のことである(例えば、非特許文献1参照。)。具体的には、mount、UTS(Unix Time-sharing System)、IPC(Inter-Process Communication)、PID(プロセスID)、network、userのリソースが分離できる。本開示では、Network NameSpace(netns)を利用する。
Network NameSpace(netns)とは、LinuxのNetworkに関する機能を複数の実行環境があるかのように分離する機能のことである。netnsで分離された環境は、それぞれ独立したルーティングテーブル、ARPテーブルを持つことができ、netnsに割り振られたインターフェースに到着したパケットは、各netnsのテーブルに従って転送される。netnsを用いることで、OFで迎え入れた自宛パケットを、専用のルーティングエンジンで終端することが可能となる。
一方、netnsを用いずに、ホストのLinuxシステムに直接接続した場合、ホストのルーティングテーブルやiptablesフィルタリングの影響を受けるため、予期せぬ動作を起こす可能性があり、networkリソースの分離が求められる。
(1)NameSpaceによるC-plane代理応答システム構成
NameSpace30は、ARPやICMPなどのLinuxカーネルが応答可能な軽量なプロトコルを対象に、パケットの処理を行う。namespaceには元々ARPやICMPの応答機能が備わっている。
NameSpace30は、ARPやICMPなどのLinuxカーネルが応答可能な軽量なプロトコルを対象に、パケットの処理を行う。namespaceには元々ARPやICMPの応答機能が備わっている。
・主要素
1.Linuxカーネルで作成したNameSpace30と、ソフトウェアOFスイッチ10のポートである物理インターフェース11-1とを、仮想インターフェース31によって接続する。
2.NameSpace30内の仮想インターフェース31には、L3終端のためのIPアドレスが設定される。L3は、OSI(Open Systems Interconnection)参照モデルのネットワーク層である。
3.L3終端IPアドレス宛のC-planeパケットが該当するNameSpace30に流れるよう、ソフトウェアOFスイッチ10のフローテーブルを設定する。プロトコル判定部13は、当該フローテーブルに従い、仮想インターフェース31に転送する。
4.L3終端IPアドレスが複数ある場合は、各IPアドレスと仮想インターフェース31のセットを作成する。
1.Linuxカーネルで作成したNameSpace30と、ソフトウェアOFスイッチ10のポートである物理インターフェース11-1とを、仮想インターフェース31によって接続する。
2.NameSpace30内の仮想インターフェース31には、L3終端のためのIPアドレスが設定される。L3は、OSI(Open Systems Interconnection)参照モデルのネットワーク層である。
3.L3終端IPアドレス宛のC-planeパケットが該当するNameSpace30に流れるよう、ソフトウェアOFスイッチ10のフローテーブルを設定する。プロトコル判定部13は、当該フローテーブルに従い、仮想インターフェース31に転送する。
4.L3終端IPアドレスが複数ある場合は、各IPアドレスと仮想インターフェース31のセットを作成する。
図2に、veth-pairを用いたNameSpaceによる代理応答の一例を示す。Linux上で仮想インターフェース31a及び31bのペアを作成し、片方の仮想インターフェース31aをOFスイッチソフトウェア10へ、もう片方仮想インターフェース31bをNameSpace30にそれぞれ割り当てる。
図3に、TAPインターフェースを用いたNameSpaceによる代理応答の一例を示す。ソフトウェアOFスイッチ10の起動時にTAPインターフェース32を作成し、それをNameSpace30に割り当てる。ソフトウェアOFスイッチ10がDPDK(DataPlane Development Kit)を使用している場合、ソフトウェアOFスイッチ10の起動時に仮想インターフェース31としてDPDK tapデバイスを作成し、tapデバイスごとNameSpace30に所属させることで実現する。
(2)ループバック仮想マシンによるD-plane代理処理システム構成
図1に示す仮想マシン40は、IPsec等の暗号化やVXLAN(Virtual eXtensible Local Area Network)等のカプセル化など、D-planeの処理でありながらソフトウェアOFスイッチ10が非対応のプロトコルを対象に、パケットの処理を行う。
図1に示す仮想マシン40は、IPsec等の暗号化やVXLAN(Virtual eXtensible Local Area Network)等のカプセル化など、D-planeの処理でありながらソフトウェアOFスイッチ10が非対応のプロトコルを対象に、パケットの処理を行う。
・主要素
1.ホストサーバ上で作成した仮想マシン40と、ソフトウェアOFスイッチ10のポートである物理インターフェース11-2とを、仮想インターフェース42によって接続する。
2.ソフトウェアOFスイッチ10は、処理対象のパケットを仮想マシン40と接続した仮想インターフェース41に流すよう、フローテーブルを設定する。ルール判定部14は、フローテーブルに従い、処理対象のパケットを仮想インターフェース41に転送する。
3.仮想マシン40は仮想インターフェース41から受信したパケットに対してソフトウェア処理を実行し、ソフトウェアOFスイッチ10へループバックする。
1.ホストサーバ上で作成した仮想マシン40と、ソフトウェアOFスイッチ10のポートである物理インターフェース11-2とを、仮想インターフェース42によって接続する。
2.ソフトウェアOFスイッチ10は、処理対象のパケットを仮想マシン40と接続した仮想インターフェース41に流すよう、フローテーブルを設定する。ルール判定部14は、フローテーブルに従い、処理対象のパケットを仮想インターフェース41に転送する。
3.仮想マシン40は仮想インターフェース41から受信したパケットに対してソフトウェア処理を実行し、ソフトウェアOFスイッチ10へループバックする。
ポート終端方式:ソフトウェアOFスイッチ10は、L3終端せず、パケットをそのまま仮想マシン40へ送信する。
IP終端方式:仮想マシン40の受信ポートでL3終端する。仮想インターフェース41は、パケットを終端する受信ポートとして機能する。ソフトウェアOFスイッチ10はパケットの宛先MACアドレスを仮想マシン40の受信ポートのMACアドレスに書き換えることでIP到達性を担保する。
IP終端方式:仮想マシン40の受信ポートでL3終端する。仮想インターフェース41は、パケットを終端する受信ポートとして機能する。ソフトウェアOFスイッチ10はパケットの宛先MACアドレスを仮想マシン40の受信ポートのMACアドレスに書き換えることでIP到達性を担保する。
図4に、仮想インターフェース1つによる折り返し方式を用いたループバック仮想マシンによる代理処理の一例を示す。CDN(Content Delivery Network)等のサーバモデルのサービスでは、単一のインターフェースでパケットを折り返すことが多い。
図5に、仮想インターフェース2つによるインライン処理方式を用いたループバック仮想マシンによる代理処理の一例を示す。IPS(Intrusion Prevention Services)等のネットワークのインラインでセキュリティ対策を行うサービスでは、明示的に行きと帰りのインターフェースを設定することが多い。
ソフトウェアOFスイッチ10は、特定のルールにマッチしたパケットをループバック用の仮想マシン40にフォワーディングする。ループバック用の仮想マシン40では、サービスに必要なアプリケーションをビルドしておき、パケットを処理してソフトウェアOFスイッチ10へ戻す。ソフトウェアOFスイッチ10は、処理済のパケットを更にフォワーディングする。
(IPsecGW機能)
ループバック用の仮想マシン40が、ソフトウェアIPsecGWルータの機能を実行してもよい。特定の宛先IPアドレスのパケットのみ、ソフトウェアOFスイッチ10が宛先MACアドレスを書き換えてループバック用の仮想マシン40へ誘導する。ソフトウェアOFスイッチ10は、IPsec暗号化されたパケットを仮想マシン40から受信し、外部へ転送する。
ループバック用の仮想マシン40が、ソフトウェアIPsecGWルータの機能を実行してもよい。特定の宛先IPアドレスのパケットのみ、ソフトウェアOFスイッチ10が宛先MACアドレスを書き換えてループバック用の仮想マシン40へ誘導する。ソフトウェアOFスイッチ10は、IPsec暗号化されたパケットを仮想マシン40から受信し、外部へ転送する。
図6に、ループバック仮想マシンを用いたIPsecGWの構成例を示す。ソフトウェアOFスイッチ10がIPsecGWを経由してクラウド環境へパケットをセキュアに転送するために使用される。ソフトウェアOFスイッチ10と仮想マシン40とは仮想インターフェース41a及び41b、42a及び42bで接続されている。ソフトウェアOFスイッチ10がパケットをIPsecで暗号化する際には、宛先MACアドレスを仮想インターフェース41bに書き換えて、仮想インターフェース41aに対してフォワーディングする。
仮想マシン40内のソフトウェアIPsecルータとクラウド側のIPsecGWが相互接続するよう、ソフトウェアOFスイッチ10の物理インターフェース11-2ポートと仮想インターフェース42aポートは次のように接続する。
・仮想インターフェース42aから受信したパケットは物理インターフェース11-2から送信する。
・物理インターフェース11-2から受信したパケットの宛先IPアドレスが仮想インターフェース42b又はソフトウェアIPsecルータのIPsec終端IPである場合、仮想インターフェース42aへ送信する。
・仮想インターフェース42aから受信したパケットは物理インターフェース11-2から送信する。
・物理インターフェース11-2から受信したパケットの宛先IPアドレスが仮想インターフェース42b又はソフトウェアIPsecルータのIPsec終端IPである場合、仮想インターフェース42aへ送信する。
(発明によって生じる効果)
(1)NameSpaceによるC-plane代理応答システム構成
ホストサーバのNameSpaceが代理応答することで、OFコントローラへのパケットインを削減し、OFコントローラの負荷を軽減できる。
Linuxカーネルは、OFで規定されたC-planeプロトコルより多くのプロトコルに対応しているため、従来より多くのC-planeパケットに応答できる。
(2)ループバック仮想マシンによるD-plane代理処理システム構成
ホストサーバのループバック仮想マシンが代理処理することで、OFコントローラへのパケットインを削減し、OFコントローラの負荷を軽減できる。
仮想マシン上では、パケットのカプセル化や暗号化、キャッシュ等のOF機能に限定されない様々なソフトウェア処理を配置可能であり、OFによるパケット転送システムを拡張できる。
(1)NameSpaceによるC-plane代理応答システム構成
ホストサーバのNameSpaceが代理応答することで、OFコントローラへのパケットインを削減し、OFコントローラの負荷を軽減できる。
Linuxカーネルは、OFで規定されたC-planeプロトコルより多くのプロトコルに対応しているため、従来より多くのC-planeパケットに応答できる。
(2)ループバック仮想マシンによるD-plane代理処理システム構成
ホストサーバのループバック仮想マシンが代理処理することで、OFコントローラへのパケットインを削減し、OFコントローラの負荷を軽減できる。
仮想マシン上では、パケットのカプセル化や暗号化、キャッシュ等のOF機能に限定されない様々なソフトウェア処理を配置可能であり、OFによるパケット転送システムを拡張できる。
(1)及び(2)を合わせた効果
パケットブローカーのような、OFスイッチが終端となるパケット転送システムでは、C-plane, D-planeを問わず膨大なパケットがOFコントローラへパケットインされる可能性がある。パケットインを削減し、OFコントローラの負荷を抑制することは、OFによるパケット転送システムの耐障害性の向上、サービス時間の伸長に寄与する。
パケットブローカーのような、OFスイッチが終端となるパケット転送システムでは、C-plane, D-planeを問わず膨大なパケットがOFコントローラへパケットインされる可能性がある。パケットインを削減し、OFコントローラの負荷を抑制することは、OFによるパケット転送システムの耐障害性の向上、サービス時間の伸長に寄与する。
(発明のポイント)
・従来のOFスイッチ及びOFコントローラの構成で問題となっていた、パケットインの負荷増大に対するシステムの脆弱性に対応する。
・軽量なプロトコルはNameSpace、OFが非対応なD-planeの処理は仮想マシンへオフロードすることにより、高負荷なネットワーク環境でもシステムダウンを回避し、OFスイッチとして動作する。NameSpaceによる代理応答には、仮想インターフェースの作り方で2つの方式が存在する。ループバック仮想マシンによる代理処理では、IPを終端するかどうかで2つの方式が存在する。
・高負荷環境でも暗号化処理やカプセル化処理が可能になったことで、IPsecGW機能付きOFスイッチや、VXLANオーバレイ機能付きOFスイッチなどの高機能化OFスイッチの構成も実現可能である。
・従来のOFスイッチ及びOFコントローラの構成で問題となっていた、パケットインの負荷増大に対するシステムの脆弱性に対応する。
・軽量なプロトコルはNameSpace、OFが非対応なD-planeの処理は仮想マシンへオフロードすることにより、高負荷なネットワーク環境でもシステムダウンを回避し、OFスイッチとして動作する。NameSpaceによる代理応答には、仮想インターフェースの作り方で2つの方式が存在する。ループバック仮想マシンによる代理処理では、IPを終端するかどうかで2つの方式が存在する。
・高負荷環境でも暗号化処理やカプセル化処理が可能になったことで、IPsecGW機能付きOFスイッチや、VXLANオーバレイ機能付きOFスイッチなどの高機能化OFスイッチの構成も実現可能である。
本開示は情報通信産業に適用することができる。
10:ソフトウェアOFスイッチ
11-1、11-2:物理インターフェース
12:アドレス判定部
13:プロトコル判定部
14:ルール判定部
15:送信部
20:OFコントローラ
21、22:処理部
30:NameSpace
31、31a、31b:仮想インターフェース
40:仮想マシン
41、41a、41b、42、42a、42b:仮想インターフェース
91:サーバ
11-1、11-2:物理インターフェース
12:アドレス判定部
13:プロトコル判定部
14:ルール判定部
15:送信部
20:OFコントローラ
21、22:処理部
30:NameSpace
31、31a、31b:仮想インターフェース
40:仮想マシン
41、41a、41b、42、42a、42b:仮想インターフェース
91:サーバ
Claims (8)
- NameSpace及びOpenFlowスイッチを備えるパケット転送装置であって、
前記NameSpaceは、
Linux(登録商標)環境に応じてリソースが分離されており、
分離された環境ごとに、独立したルーティングテーブルを備え、
前記OpenFlowスイッチが、Linux(登録商標)カーネルが応答可能なプロトコルの第1のパケットを抽出し、
前記NameSpaceが、前記OpenFlowスイッチに代わって、抽出された前記第1のパケットの終端を、Linux(登録商標)環境に応じたルーティングエンジンで行う、
パケット転送装置。 - 前記NameSpaceは、Network NameSpace(netns)であり、
前記NameSpaceのリソースが、mount、UTS(Unix Time-sharing System)、IPC(Inter-Process Communication)、PID(プロセスID)、network、userの少なくともいずれかで分離されている、
請求項1に記載のパケット転送装置。 - 前記NameSpaceに備わる仮想インターフェースは、IPアドレスが設定され、
前記OpenFlowスイッチは、Linux(登録商標)カーネルが応答可能なプロトコルでありかつ自装置宛のパケットの場合、前記第1のパケットを前記NameSpaceに備わる仮想インターフェースに転送し、
前記NameSpaceに備わる仮想インターフェースは、前記OpenFlowスイッチから転送されたパケットの終端を行う、
請求項1に記載のパケット転送装置。 - 前記OpenFlowスイッチと仮想インターフェースで接続されている仮想マシンをさらに備え、
前記OpenFlowスイッチが、予め定められた規則に従って第2のパケットを抽出し、
前記仮想マシンが、前記OpenFlowスイッチ及び前記NameSpaceに代わって、前記第2のパケットの処理を行う、
請求項1に記載のパケット転送装置。 - 前記仮想マシンに備わる仮想インターフェースは、MACアドレスが設定され、
前記OpenFlowスイッチは、前記OpenFlowスイッチが非対応なプロトコルでありかつ自装置宛のパケットの場合、パケットの宛先MACアドレスを前記仮想マシンに備わる仮想インターフェースのMACアドレスに書き換え、前記第2のパケットを前記仮想マシンに備わる仮想インターフェースに転送し、
前記仮想マシンに備わる仮想インターフェースは、前記OpenFlowスイッチから転送されたパケットの終端を行う、
請求項4に記載のパケット転送装置。 - NameSpace及びOpenFlowスイッチを備えるパケット転送装置が実行するパケット転送方法であって、
前記NameSpaceは、
Linux(登録商標)環境に応じてリソースが分離されており、
分離された環境ごとに、独立したルーティングテーブルを備え、
前記OpenFlowスイッチが、Linux(登録商標)カーネルが応答可能なプロトコルの第1のパケットを抽出し、
前記NameSpaceが、前記OpenFlowスイッチに代わって、抽出された前記第1のパケットの終端を、Linux(登録商標)環境に応じたルーティングエンジンで行う、
パケット転送方法。 - 前記パケット転送装置は、前記OpenFlowスイッチと仮想インターフェースで接続されている仮想マシンをさらに備え、
前記OpenFlowスイッチが、予め定められた規則に従って第2のパケットを抽出し、
前記仮想マシンが、前記OpenFlowスイッチ及び前記NameSpaceに代わって、前記第2のパケットの処理を行う、
請求項6に記載のパケット転送方法。 - 請求項1から5のいずれかに記載のパケット転送装置に備わる各機能をコンピュータに実現させるためのパケット転送プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/012927 WO2021192008A1 (ja) | 2020-03-24 | 2020-03-24 | パケット転送装置、パケット転送方法及びパケット転送プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021192008A1 JPWO2021192008A1 (ja) | 2021-09-30 |
| JP7485010B2 true JP7485010B2 (ja) | 2024-05-16 |
Family
ID=77891636
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022509810A Active JP7485010B2 (ja) | 2020-03-24 | 2020-03-24 | パケット転送装置、パケット転送方法及びパケット転送プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230146378A1 (ja) |
| JP (1) | JP7485010B2 (ja) |
| WO (1) | WO2021192008A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015002438A (ja) | 2013-06-14 | 2015-01-05 | 日本電信電話株式会社 | 通信システム、管理装置、管理方法および管理プログラム |
| JP2017215745A (ja) | 2016-05-31 | 2017-12-07 | 株式会社東芝 | データ処理装置、データ処理方法およびプログラム |
| JP2018064174A (ja) | 2016-10-12 | 2018-04-19 | 日本電気株式会社 | 制御装置、通信システム、通信方法、および、プログラム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8949830B2 (en) * | 2012-03-29 | 2015-02-03 | International Business Machines Corporation | Emulating a data center network on a single physical host with support for virtual machine mobility |
| CN104885431B (zh) * | 2012-12-13 | 2018-11-20 | 华为技术有限公司 | 软件定义信息中心网络中基于内容的流量工程的方法及装置 |
| US9935841B2 (en) * | 2013-01-28 | 2018-04-03 | Intel Corporation | Traffic forwarding for processing in network environment |
| US9264362B2 (en) * | 2013-10-17 | 2016-02-16 | Cisco Technology, Inc. | Proxy address resolution protocol on a controller device |
| US11283717B2 (en) * | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
-
2020
- 2020-03-24 US US17/912,546 patent/US20230146378A1/en active Pending
- 2020-03-24 JP JP2022509810A patent/JP7485010B2/ja active Active
- 2020-03-24 WO PCT/JP2020/012927 patent/WO2021192008A1/ja active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015002438A (ja) | 2013-06-14 | 2015-01-05 | 日本電信電話株式会社 | 通信システム、管理装置、管理方法および管理プログラム |
| JP2017215745A (ja) | 2016-05-31 | 2017-12-07 | 株式会社東芝 | データ処理装置、データ処理方法およびプログラム |
| JP2018064174A (ja) | 2016-10-12 | 2018-04-19 | 日本電気株式会社 | 制御装置、通信システム、通信方法、および、プログラム |
Non-Patent Citations (2)
| Title |
|---|
| NTTサービス創造に向けての将来ネットワークを追求するNTT未来ねっと研究所,BUSINESS COMMUNICATION 第54巻 第6号 ,日本,株式会社ビジネスコミュニケーション社,2017年06月01日,pp.16-17 |
| SDNソフトウェアスイッチ/ルータ Lagopus,NTT R&Dフォーラム2018(秋) NTT R & D FORUM 2018 AUTUMN,日本,2018年11月29日 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021192008A1 (ja) | 2021-09-30 |
| US20230146378A1 (en) | 2023-05-11 |
| JPWO2021192008A1 (ja) | 2021-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106375493B (zh) | 一种跨网络通信的方法以及代理服务器 | |
| US8634437B2 (en) | Extended network protocols for communicating metadata with virtual machines | |
| US8954957B2 (en) | Network traffic processing according to network traffic rule criteria and transferring network traffic metadata in a network device that includes hosted virtual machines | |
| US8990433B2 (en) | Defining network traffic processing flows between virtual machines | |
| US8938553B2 (en) | Cooperative proxy auto-discovery and connection interception through network address translation | |
| US11882199B2 (en) | Virtual private network (VPN) whose traffic is intelligently routed | |
| US8572609B2 (en) | Configuring bypass functionality of a network device based on the state of one or more hosted virtual machines | |
| US20020099827A1 (en) | Filtering calls in system area networks | |
| JP5467541B2 (ja) | 通信制御システム、スイッチングノード、通信制御方法、及び通信制御用プログラム | |
| US11936613B2 (en) | Port and loopback IP addresses allocation scheme for full-mesh communications with transparent TLS tunnels | |
| WO2016086064A1 (en) | Source ip address transparency systems and methods | |
| WO2023114184A1 (en) | Encrypted data packet forwarding | |
| JP2003131961A (ja) | ネットワークシステム及び負荷分散方法 | |
| JP7485010B2 (ja) | パケット転送装置、パケット転送方法及びパケット転送プログラム | |
| EP1702054A2 (en) | Method and system for unified session control of multiple management servers on network appliances | |
| WO2023116165A1 (zh) | 网络负载均衡方法、装置、电子设备、介质和程序产品 | |
| US20220385631A1 (en) | Distributed traffic steering and enforcement for security solutions | |
| US20070147376A1 (en) | Router-assisted DDoS protection by tunneling replicas | |
| Cisco | Configuring SLIP and PPP | |
| CN116436731B (zh) | 一种多内网二层数据流通信方法 | |
| JP7241620B2 (ja) | 認証スイッチ、ネットワークシステムおよびネットワーク装置 | |
| Takai et al. | Quick Blocking Operation of IDS/SDN Cooperative Firewall Systems by Reducing Communication Overhead | |
| WO2024113776A1 (zh) | 数据传输方法以及相关设备 | |
| WO2023162146A1 (ja) | 通信装置、通信方法、及びプログラム | |
| Kim et al. | Offloading Socket Processing for Ubiquitous Services. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220825 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231003 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20231130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240129 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240402 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240415 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7485010 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |