JPWO2013164988A1 - 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム - Google Patents

通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム Download PDF

Info

Publication number
JPWO2013164988A1
JPWO2013164988A1 JP2014513372A JP2014513372A JPWO2013164988A1 JP WO2013164988 A1 JPWO2013164988 A1 JP WO2013164988A1 JP 2014513372 A JP2014513372 A JP 2014513372A JP 2014513372 A JP2014513372 A JP 2014513372A JP WO2013164988 A1 JPWO2013164988 A1 JP WO2013164988A1
Authority
JP
Japan
Prior art keywords
control information
packet
control device
control
forwarding node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014513372A
Other languages
English (en)
Other versions
JP6248929B2 (ja
Inventor
山形 昌也
昌也 山形
陽一郎 森田
陽一郎 森田
貴之 佐々木
貴之 佐々木
中江 政行
政行 中江
健太郎 園田
健太郎 園田
洋一 波多野
洋一 波多野
英之 下西
英之 下西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2014513372A priority Critical patent/JP6248929B2/ja
Publication of JPWO2013164988A1 publication Critical patent/JPWO2013164988A1/ja
Application granted granted Critical
Publication of JP6248929B2 publication Critical patent/JP6248929B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/50Allocation or scheduling criteria for wireless resources
    • H04W72/52Allocation or scheduling criteria for wireless resources based on load
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/02Arrangements for optimising operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/12Communication route or path selection, e.g. power-based or shortest path routing based on transmission quality or channel quality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/02Selection of wireless resources by user or terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/04Wireless resource allocation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明は、集中制御型の通信システムにおいて大量のパケット通信や細粒度のアクセス制御に好適な構成を提供する。通信システムは、転送ノードに制御情報を設定する制御装置と、転送ノードと、アクセス制御装置と、を含む。前記転送ノードは、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する。前記アクセス制御装置は、前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備える。

Description

(関連出願についての記載)
本発明は、日本国特許出願:特願2012−104664号(2012年5月1日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラムに関し、特に、スイッチを集中制御するコントローラを有する通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラムに関する。
近年、オープンフロー(OpenFlow)というネットワークが注目を浴びている(特許文献1、非特許文献1、2参照)。オープンフローは、オープンフローコントローラと呼ばれる制御装置が、オープンフロースイッチと呼ばれるスイッチの振る舞いを制御する集中制御型のネットワークアーキテクチャを採用している。より具体的には、オープンフローコントローラは、オープンフロースイッチに、入力ポート、レイヤ2〜レイヤ4のヘッダを指定したマッチ条件と処理内容を規定したフローエントリを設定することにより、きめ細かな経路制御を行うことが可能となっている。
その他、ネットワークシステムにおいて、セキュリティやサービス品質などを一元管理するために、ネットワーク管理システム(NMS)やポリシーサーバが用いられている。
特許文献1には、ネットワークマネージャによって集中管理されるネットワークにおける管理方法が開示されている。同文献の段落0031〜0032には、ネットワーク内のスイッチが上記したオープンフローのスイッチと同様に動作することが記載されている。また、同段落末文には、多数のフローヘッダエントリとマッチしているパケットが最も高いプライオリティのフローエントリに割り当てられる、即ち、ロンゲストマッチのようなルールを用いうることが記載されている。
特表2010−541426号公報
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成24(2012)年3月14日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "OpenFlow Switch Specification" Version 1.1.0 Implemented (Wire Protocol 0x02)、[online]、[平成24(2012)年3月14日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
以下の分析は、本発明によって与えられたものである。非特許文献1、2のオープンフローに代表される集中制御型の通信システムでは、大量のパケット通信や細粒度のアクセス制御を行う場合、機器を集中制御する制御装置(非特許文献1、2のオープンフローコントローラに相当)への問い合わせが増え、負荷が増大してしまうという問題点がある。また、制御装置によって制御される転送ノード(非特許文献1、2のオープンフロースイッチや特許文献1のネットワークエレメントに相当)の方も、保持可能なフローエントリの数やCPU(Central Processing Unit)の処理性能に制約がある。加えて、受信したパケットに適合するフローエントリが無い場合、制御装置との通信を行う必要があるため、大量のパケット受信や細粒度のアクセス制御を行うと本来の性能を発揮できない状況が起こりうる。
とりわけ、スイッチと制御装置間のセキュアチャネルに、TLS/SSL(Transport Layer Security/Secure Sockets Layer)を用いると、上記傾向は顕著となり、パケット遅延等も起こりうる。
これらの対策としては、制御装置を複数用意することによる負荷分散等が検討されている。しかしながら、制御対象の転送ノードの数、これらの転送ノードに接続する端末数、各端末が取り扱うサービスの種類が増えれば、これらの大量の処理対象パケットに対応するフローエントリが必要となり、制御装置への問い合わせが飛躍的に増加することは避けられない。このため、根本的な対策が望まれている。
本発明は、大量のパケット通信や細粒度のアクセス制御を行う場合であっても、制御装置やスイッチの負荷増大を抑え、その本来の性能を発揮できるようにすることのできる通信システム、アクセス制御装置、転送ノード、ネットワーク制御方法及びプログラムを提供することを目的とする。
第1の視点によれば、転送ノードに制御情報を設定する制御装置と、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備えたアクセス制御装置と、を含む通信システムが提供される。
第2の視点によれば、転送ノードに制御情報を設定する制御装置と、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、を含む通信システムに配置され、前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備えたアクセス制御装置が提供される。
第3の視点によれば、転送ノードに制御情報を設定する制御装置と、接続され、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とが設定され、前記第2の制御情報のマッチ条件に適合するパケットを受信した場合、所定のヘッダを付加してからパケットを転送する転送ノードが提供される。
第4の視点によれば、制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードから、前記第2の制御情報によって転送されたパケットについて制御情報の生成要否を判定するステップと、前記判定結果に基づいて、前記制御装置に対し、制御情報の生成を要求するステップと、を含むネットワーク制御方法が提供される。本方法は、転送ノードからのパケットを受信して制御情報の生成要否を判断するコンピュータという、特定の機械に結びつけられている。
第5の視点によれば、転送ノードに制御情報を設定する制御装置と、前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、を含む通信システムに配置されたコンピュータに、前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定する処理と、前記判定結果に基づいて、前記制御装置に対し、制御情報の生成を要求する処理とを実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジエントな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、大量のパケット通信や細粒度のアクセス制御を行う場合であっても、制御装置やスイッチの負荷増大を抑え、その本来の性能を発揮できるようにすることが可能となる。
本発明の一実施形態の構成を示す図である。 本発明の第1の実施形態の通信システムの構成を示す図である。 本発明の第1の実施形態のスイッチの構成を示す図である。 本発明の第1の実施形態のスイッチに設定されているフローエントリ(第2の制御情報)の例である。 本発明の第1の実施形態のコントローラが保持するアクセスポリシの一例である。 本発明の第1の実施形態の動作を表したシーケンス図である。 図6のステップS08の時点で、本発明の第1の実施形態のスイッチに設定されているフローエントリの例である。 図2にパケット転送経路を追記した図である。 本発明の第2の実施形態の通信システムの構成を示す図である。 本発明の第2の実施形態のスイッチに設定されているフローエントリ(第2の制御情報)の例である。 本発明の第3の実施形態の通信システムの構成を示す図である。 本発明の第3の実施形態のスイッチの構成を示す図である。 本発明の第4の実施形態の通信システムの構成を示す図である。
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
本発明は、その一実施形態において、図1に示すように、転送ノード10に制御情報を設定する制御装置30と、この制御装置30から設定された制御情報を用いてパケットを転送する1または複数の転送ノード10と、アクセス制御装置20と、を含む構成にて実現できる。
より具体的には、制御装置30は、転送ノード10に、所定の外部ノード間(例えば、図1のクライアント−サーバ間)のパケットを転送する第1の制御情報と、前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを設定する。そして、転送ノード10は、前記第1、第2の制御情報を用いて受信パケットの転送を行う。
アクセス制御装置20は、転送ノード10の所定ポートから受信したパケット(第2の制御情報により転送されたパケット)について制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部22を備える。ここで、制御情報の生成を要求の対象とならなかったパケットは、判定部22にて廃棄される。
以上のように、所定の外部ノード間(例えば、図1のクライアント−サーバ間)のパケットを転送する第1の制御情報による転送の対象とならなかったパケットは、アクセス制御装置20に送信される(図1の太矢線参照)。そして、アクセス制御装置20では、判定部22を介して、制御情報の生成要求の対象とならないパケットは廃棄される。この結果、必要な制御情報だけが制御装置30にて生成され、転送ノード10に設定される。
従って、大量のパケットが転送ノード10に流れ込むようなケースや、多数の転送ノード10において細粒度のアクセス制御を行う場合であっても、制御装置30や転送ノード10の負荷増大を抑えることが可能となる。
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の通信システムの構成を示す図である。図2を参照すると、ネットワークに配置された複数のスイッチ11と、これらスイッチ11を制御するコントローラ60と、スイッチ11が配置されたネットワークに接続されたクライアント41、42、サーバ50とが示されている。
スイッチ11は、コントローラ60から設定されたフローエントリに従ってパケットを処理する。
図3は、本発明の第1の実施形態のスイッチの構成を示す図である。図3を参照すると、本実施形態のスイッチ11は、制御メッセージ処理部111と、パケット処理部112と、フローテーブル113とを備えた構成が示されている。また、図3のポートP1〜Pxは、他のスイッチやサーバ50と接続されたポートであり、ポートPPは、コントローラ60の制御対象パケット抽出部61に接続されたポートであるものとする。
フローテーブル113は、コントローラ60から設定されたフローエントリを格納するためのテーブルである。フローエントリは、受信パケットと照合するマッチ条件(Match Fields)と、処理内容(Instructions)とを対応付けたエントリによって構成される。
パケット処理部112は、パケットを受信すると、フローテーブル113から、受信パケットに適合するマッチ条件を持つフローエントリを検索する。前記検索の結果、受信パケットに適合するマッチ条件を持つフローエントリが見つかった場合、パケット処理部112は、当該フローエントリに設定された処理内容(Instructions)を実行する。
制御メッセージ処理部111は、コントローラ60と制御メッセージを授受する。例えば、コントローラ60から、フローテーブル113へのフローエントリの追加、変更、削除等を実行する。
図4は、初期状態において、スイッチ11に設定されているフローエントリ(第2の制御情報)を示す図である。図4の例では、マッチ条件として、送信元IPアドレス(Src IP)、宛先IPアドレス(Dst IP)、TCP/UDP(Transmission Control Protcol/User Datagram Protocol)宛先ポート(dst port)等の各フィールドにワイルドカード(ANY)が設定され、コントローラ60の制御対象パケット抽出部61に転送するとの処理内容(Instructions)が設定されたフローエントリが示されている。従って、図4のフローエントリだけが設定された状態では、受信パケットはすべてコントローラ60の制御対象パケット抽出部61に転送されることになる。
また、図4の例では、フローエントリには、統計情報(Counters)フィールドが設けられており、フローエントリ毎に統計情報を記録できるようになっている。これらの統計情報は、制御メッセージ処理部111を介して、コントローラ60に提供することも可能であり、例えば、異常トラヒックの特定などに利用できる。
なお、図4のようなフローエントリは、予めスイッチ11に設定されていてもよいし、スイッチ11のネットワーク接続時に、コントローラ60が設定するものとしてもよい。
上記のようなスイッチ11としては、非特許文献1、2のオープンフロースイッチを用いることができる。また、上記したパケット処理部112及びフローテーブルは、ASIC(Application Specific Integrated Circuit)を用いたハードウェア構成とすることができ、フローエントリのサーチや各種処理を高速に実行することが可能となる。
また、以下の説明では、クライアント41、42とサーバ50とが通信するものとして説明するが、その他の通信機器が含まれていてもよい。また、例えば、クライアント41、42として使用する機器に、上記スイッチ11相当の機能が内蔵されていて、内蔵アプリケーションから出力されたパケットについて、スイッチ11と同様の動作を行うものとしてもよい。
コントローラ60は、制御対象パケット抽出部61と、判定部62と、フローエントリ生成部63と、スイッチ制御部64とを備えている。
制御対象パケット抽出部61は、上記のようにスイッチ11から、ネットワークカードにおけるプロミスキャスモード(promiscuous mode)と同様に動作し、初期設定されているフローエントリ(第2の制御情報)に基づいて転送されたパケットすべてを受信する。そして、制御対象パケット抽出部61は、受信したパケットのヘッダ情報を参照して、制御対象パケットを抽出して判定部62に出力する。制御対象パケットの選択基準は、想定されるトラヒックの内容や、コントローラ60の能力に応じて決定される。例えば、VLAD IDの値が所定の範囲にあるパケットだけを判定部62に転送するものとしてもよいし、あるいは、異常トラヒックや不正アクセスが疑われる特徴のあるパケット以外を判定部62送信するものとしてもよい。
判定部62は、所定のアクセスポリシ等に基づいて、制御対象パケット抽出部61から転送されたパケットに対応するフローエントリの生成要否を判定する。前記判定の結果、フローエントリの生成が必要と判定した場合、判定部62は、フローエントリ生成部63に、受信パケットまたは受信パケットから抽出した情報を送信し、フローエントリの生成を依頼する。一方、前記判定の結果、フローエントリの生成が不要と判定した場合、判定部62は、受信パケットを廃棄する。
図5は、判定部62が、フローエントリの生成要否を判定するために参照するアクセスポリシの一例である。図5の例では、送信元IPアドレスが192.168.100.1であり、宛先IPアドレスが192.168.0.1であるパケットは、アクセス権限が「allow」であるので、フローエントリの生成要と判定される。一方、送信元IPアドレスが192.168.100.2であり、宛先IPアドレスが192.168.0.1であるパケットは、アクセス権限が「deny」であるので、フローエントリの生成不可と判定される。なお、図5の例では、IPアドレスだけを用いて判定を行っているが、その他、レイヤ2、レイヤ4のヘッダ情報やプロトコル情報などを用いて判定を行ってもよい。
フローエントリ生成部63は、判定部62からフローエントリの生成要求を受けると、スイッチ11によって構成されるネットワークトポロジを参照して、受信パケットを送信元から宛先まで転送する経路を計算し、スイッチ11に該経路に沿ったパケット転送を行わせるフローエントリを生成する。例えば、図1のクライアント42からサーバ50宛てのパケットについてフローエントリの生成要求を受けた場合、フローエントリ生成部63は、スイッチ11に、クライアント42からサーバ50宛てのパケットを、転送経路上の次ホップに転送させるフローエントリを生成する。
スイッチ制御部64は、フローエントリ生成部63にて生成されたフローエントリを該当するスイッチ11に設定する動作を行う。なお、スイッチ制御部64に、各スイッチ11の設定されているフローエントリを管理するフローエントリデータベース等を保持させて、フローエントリ生成部63にて生成されたフローエントリの設定要否を行わせてもよい。
上記のようなコントローラ60は、非特許文献1、2のオープンフローコントローラをベースに、上記制御対象パケット抽出部61及び判定部62に相当する機能を追加ことで実現することが可能である。
なお、図1〜図3に示したアクセス制御装置、コントローラ、スイッチの各部(処理手段)は、これらの装置に搭載されたコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
続いて、本実施形態の動作について図面を参照して詳細に説明する。図6は、本発明の第1の実施形態の動作を表したシーケンス図である。以下、クライアント42がサーバ50宛てのパケットを送信するものとして一連の動作を説明する。
図6を参照すると、まず、クライアント42がサーバ50宛てのパケットを送信すると(ステップS01)、スイッチ11は、フローテーブル113を参照して、受信パケットに適合するフローエントリに従いパケットを処理する(ステップS02)。ここでは、図4に示すフローエントリ(第2の制御情報)がヒットする。スイッチ11は、フローエントリ(第2の制御情報)の内容に従って、コントローラ60の制御対象パケット抽出部61に対して、前記パケットを転送する。
コントローラ60の制御対象パケット抽出部61は、前記パケットを受信すると、制御対象パケットであるか否かを判断する(ステップS03)。ここでは、クライアント42からサーバ50宛てのパケットは制御対象パケットであると判定されたものとする。従って、クライアント42からサーバ50宛てのパケットは、判定部62に送信される(ステップS03のYes)。なお、ステップS03で制御対象パケットでないと判断された場合(ステップS03のNo)、当該パケットは廃棄される(ステップS04)。
次に、コントローラ60の判定部62は、制御対象パケットを受信すると、フローエントリの生成を行うか否かを判断する(ステップS05)。ここでは、クライアント42からサーバ50宛てのパケットは、図5のアクセスポリシに従い、フローエントリ生成要と判定されたものとする。従って、コントローラ60の判定部62は、フローエントリ生成部63に対して、フローエントリの生成を要求する(ステップS05のYes)。なお、ステップS05でフローエントリ生成不要と判断された場合(ステップS05のNo)、当該パケットは廃棄される(ステップS06)。
次に、コントローラ60のフローエントリ生成部63は、フローエントリの生成要求を受けると、パケットの転送経路を計算し、スイッチ11を含むその転送経路上のスイッチに設定するフローエントリを生成し、スイッチ制御部64に送る(ステップS07)。
次に、コントローラ60のスイッチ制御部64は、前記生成されたフローエントリをその転送経路上のスイッチに設定する(ステップS08)。また、スイッチ制御部64は、スイッチ11に対して、今回受信したパケットの次ホップへの送信またはフローテーブルの再検索を指示する。これにより、ステップS01で受信したパケットが次ホップに転送される。
図7は、上記ステップS08で設定されたフローエントリ(第1の制御情報)の例である。図3に示したフローエントリ(第2の制御情報)よりも高優先となる位置に、クライアント42(IPアドレス=192.168.100.1とする)からサーバ50(IPアドレス=192.168.0.1とする)宛てのパケットを次ホップに転送するフローエントリが設定されている。即ち、スイッチ11は、フローテーブル113を上位エントリから順番にサーチし、受信パケットに適合するマッチ条件が見つかったら、そのフローエントリを採択する。なお、図7の例では、上位に位置するフローエントリ程、優先度が高いものとして説明したが、フローエントリに優先度情報フィールドを設けて、受信パケットに適合するマッチ条件を持つフローエントリの優先度を順次比較して最優先のフローエントリを選択する方式も採用可能である。
その後、クライアント42が後続パケットを送信すると(ステップS11)、スイッチ11は、ステップS08で設定されたフローエントリ(第1の制御情報)に基づいてパケットを転送する。以降は、アクセス制御装置20やコントローラ60を介さずに高速な転送が行われる。また、サーバ50からクライアント42への応答パケットも上記と同様の手順により、通信を許可するフローエントリが設定される。
一方、図1のクライアント41がサーバ50宛てのパケットを送信した場合、上記の流れと同様に、スイッチ11は、アクセス制御装置20に、前記パケットを転送する。この場合、アクセス制御装置20は、前記制御対象パケット抽出部61または判定部62にてパケット廃棄動作を行うことになる(制御対象パケット抽出部61における制御対象外判定、または、判定部62におけるフローエントリ生成不要判定)。この場合は、コントローラ60のフローエントリ生成部63にフローエントリの生成要求は発行されないので、コントローラのフローエントリ生成部63に負荷が掛かることはない。
図8は、上記フローエントリの設定手順により実現されるパケット転送経路を示す図である。クライアント42とサーバ50間のパケットは、図7に示したフローエントリ(第1の制御情報;サーバ50からクライアント42へのパケット転送用のフローエントリは省略)に従って、図8の太い矢線で示す経路で転送される。一方、クライアント41からのパケットは、図4、図7の下段に示したフローエントリ(第2の制御情報)に従って、図8の細い矢線で示すように制御対象パケット抽出部61、判定部62に転送され、廃棄される。
従って、クライアント41からスイッチ11に大量のパケットを送信されたとしても、コントローラ60の負荷が過大となることはない。また、クライアントやスイッチの数が増えたとしても、それぞれ制御対象パケット抽出部61、判定部62にて、選別が行われるため、コントローラ60の負荷を抑えることが可能となる。
なお、上記した第1の実施形態では、コントローラ60に、制御対象パケット抽出部61、判定部62が内蔵された例を挙げて説明したが、図1に示すように、コントローラ(制御装置)とは別の情報処理装置(アクセス制御装置)に、制御対象パケット抽出部61及び判定部62を配置した構成も採用可能である。また、この場合には、情報処理装置(アクセス制御装置)の台数を増やすことで負荷を分散することも可能である。
[第2の実施形態]
続いて、情報処理装置(アクセス制御装置)を複数配置して負荷分散を行うようにした第2の実施形態について説明する。
図9は、本発明の第2の実施形態の通信システムの構成を示す図である。図1、図2に示した実施形態との相違点は、制御対象パケット抽出部61及び判定部62を備えてスイッチ11からのパケットを受信するアクセス制御装置20A〜20Cが複数配置されている点である。その他、アクセス制御装置20A〜20Cの個々の動作は、上記した第1の実施形態のコントローラ60の制御対象パケット抽出部61及び判定部62の動作と同じであるので説明を省略する。
図10は、本実施形態のスイッチ11に設定されているフローエントリ(第2の制御情報)の例である。図4に示したフローエントリ(第2の制御情報)との相違点は、受信パケットの特徴に応じて、送信先のアクセス制御装置を切り替えるフローエントリ(第2の制御情報)が複数設定されている点である。図10の例では、クライアント42においてアクセス制御装置への転送を指示するフローエントリ(第2の制御情報)にヒットしたパケット(第1の制御情報未設定パケット)は、アクセス制御装置20Aに転送される。また、その他のクライアントにおいてアクセス制御装置への転送を指示するフローエントリ(第2の制御情報)にヒットしたパケット(第1の制御情報未設定パケット)は、アクセス制御装置20Bに転送される。
以上のように、本実施形態によれば、図9に示すように、スイッチ11から転送される大量のパケット(第1の制御情報未設定パケット)の処理を複数のアクセス制御装置20A〜20Cに分散させることができる。なお、図9の例では、スイッチ11とアクセス制御装置20A〜20C間は、単一のリンクで接続されているが、スイッチ11とアクセス制御装置20A間を複数のリンクをまとめたリングアグリゲーションで接続することもできる。例えば、大量のパケットの処理が想定されるフローについては、リングアグリゲーションで接続された高性能のアクセス制御装置に処理させるようにしてもよい。
[第3の実施形態]
続いて、スイッチ11とアクセス制御装置間が別のネットワークを介して接続されている場合にも、アクセス制御装置へパケット(第1の制御情報未設定パケット)を転送できるようにした第3の実施形態について説明する。
図11は、本発明の第3の実施形態の通信システムの構成を示す図である。図11に示すように、スイッチ11Aとアクセス制御装置20Dとが離れて設置されている場合、例えば、サーバ50宛てとなっているパケット(第1の制御情報未設定パケット)をアクセス制御装置に転送する仕組みが必要になる。そこで、本実施形態では、スイッチに変更を加えている。
図12は、本発明の第3の実施形態のスイッチ11Aの構成を示す図である。図3に示した第1の実施形態のスイッチ11との相違点は、アクセス制御装置20Dに送信するパケットに付加ヘッダを追加するヘッダ付加処理部114が追加されている点である。
ヘッダ付加処理部114は、パケット処理部112から転送されたパケットに、データパスID(DPID;スイッチ11Aの識別子)と、アクセス制御装置20Dのアドレス情報を含んだヘッダを付加してからポートPPに出力する。
以上のように、本実施形態によれば、図11に示すように、スイッチ11Aとアクセス制御装置20Dとが離れて設置されている場合であっても、パケット(第1の制御情報未設定パケット)をアクセス制御装置に転送することが可能となる。
また、本実施形態では、付加ヘッダ中に、データパスID(DPID;スイッチ11Aの識別子)を含めるようにしてあるので、アクセス制御装置20Dが、パケット(第1の制御情報未設定パケット)の送信元のスイッチを把握することが可能となっている。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した実施形態で用いたネットワーク構成やスイッチ、アクセス制御装置、コントローラの数に制約は無い。
また、上記した第1〜第3の実施形態では、制御対象パケット抽出部は、アクセス制御装置20またはコントローラに内蔵されているものとして説明したが、図13に示すように、制御対象パケット抽出部を非特許文献1、2のオープンフロースイッチ等の転送ノード(第2の転送ノード)12により構成することもできる(第4の実施形態)。この場合、制御装置またはコントローラが、転送ノード(第2の転送ノード)に、前記制御対象パケットを抽出する制御情報(フローエントリ)を設定することで、転送ノード(第2の転送ノード)12を制御対象パケット抽出部として機能させることが可能になる。
また、上記した第1の実施形態では、スイッチと制御対象パケット抽出部61、スイッチとスイッチ制御部64間に、別々のチャネルが設けられるものとして説明したが、1つのチャネルで、パケット(第1の制御情報未設定パケット)と、スイッチとコントローラ間の制御メッセージとを送信するようにしてもよい。例えば、非特許文献1、2においてオープンフロースイッチ、オープンフローコントローラ間に設けられるセキュアチャネルを共用して用いる構成も採用可能である。
また、上記した実施形態では判定部62がアクセスポリシに基づいてフローエントリの生成要否を判定するものとして説明したが、前記判定部62に、パケット分析機能を追加してもよい。例えば、前記制御対象パケット抽出部61から転送されたパケットの分析の結果、所定期間に所定のしきい値(N回)以上同一送信元IPアドレスのパケットが転送されている場合、判定部62は、DDoS攻撃(Distributed Denial of Service attack)等の不正パケットと判断する。そして、判定部62は、フローエントリ生成部63に対し、受信パケットまたは受信パケットから抽出した情報を送信し、同一の送信元IPアドレスのパケットを破棄させるフローエントリの生成を依頼する。このようにすることで、制御対象パケット抽出部61の転送対象とするパケットを間引くことも可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
10 転送ノード
11、11A スイッチ
12 第2の転送ノード
20、20A〜20E アクセス制御装置
21、61、121 制御対象パケット抽出部
22、62 判定部
30 制御装置
41、42 クライアント
50 サーバ
60 コントローラ
63 フローエントリ生成部
64 スイッチ制御部
111 制御メッセージ処理部
112 パケット処理部
113 フローテーブル
114 ヘッダ付加処理部
P1〜Px、PP ポート
図7は、上記ステップS08で設定されたフローエントリ(第1の制御情報)の例である。図に示したフローエントリ(第2の制御情報)よりも高優先となる位置に、クライアント42(IPアドレス=192.168.100.1とする)からサーバ50(IPアドレス=192.168.0.1とする)宛てのパケットを次ホップに転送するフローエントリが設定されている。即ち、スイッチ11は、フローテーブル113を上位エントリから順番にサーチし、受信パケットに適合するマッチ条件が見つかったら、そのフローエントリを採択する。なお、図7の例では、上位に位置するフローエントリ程、優先度が高いものとして説明したが、フローエントリに優先度情報フィールドを設けて、受信パケットに適合するマッチ条件を持つフローエントリの優先度を順次比較して最優先のフローエントリを選択する方式も採用可能である。
以上のように、本実施形態によれば、図9に示すように、スイッチ11から転送される大量のパケット(第1の制御情報未設定パケット)の処理を複数のアクセス制御装置20A〜20Cに分散させることができる。なお、図9の例では、スイッチ11とアクセス制御装置20A〜20C間は、単一のリンクで接続されているが、スイッチ11とアクセス制御装置20A間を複数のリンクをまとめたリングアグリゲーションで接続することもできる。例えば、大量のパケットの処理が想定されるフローについては、リングアグリゲーションで接続された高性能のアクセス制御装置に処理させるようにしてもよい。

Claims (11)

  1. 転送ノードに制御情報を設定する制御装置と、
    前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、
    前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備えたアクセス制御装置と、
    を含む通信システム。
  2. 前記アクセス制御装置は、さらに、
    前記転送ノードの前記所定のポートから転送されたパケットから、前記判定部に送信する制御対象パケットを抽出する制御対象パケット抽出部を備える請求項1の通信システム。
  3. 前記転送ノードは、さらに、
    前記所定のポートから転送するパケットに、前記アクセス制御装置への転送用のヘッダを付加するヘッダ付加処理部を備える請求項1又は2の通信システム。
  4. 前記アクセス制御装置が複数配置され、
    前記第2の制御情報として、前記複数のアクセス制御装置への振り分けを行う複数の制御情報が設定されている請求項1から3いずれか一の通信システム。
  5. 前記判定部は、所定のアクセスポリシに基づいて、制御情報の生成要否を判定する請求項1から4いずれか一の通信システム。
  6. 前記判定部は、前記転送ノードの前記所定のポートから転送されたパケットが所定の特徴を有する場合、前記制御装置に対し、前記転送ノードに前記特徴を有するパケットの破棄を実行させる制御情報の生成を要求する請求項1から6いずれか一の通信システム。
  7. 前記制御対象パケット抽出部が、前記制御装置から制御される第2の転送ノードで構成されている請求項2から6いずれか一の通信システム。
  8. 転送ノードに制御情報を設定する制御装置と、
    前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、を含む通信システムに配置され、
    前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定し、前記制御装置に対し、制御情報の生成を要求する判定部を備えたアクセス制御装置。
  9. 転送ノードに制御情報を設定する制御装置と、接続され、
    前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とが設定され、
    前記第2の制御情報のマッチ条件に適合するパケットを受信した場合、所定のヘッダを付加してからパケットを転送する転送ノード。
  10. 制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードから、前記第2の制御情報によって転送されたパケットについて制御情報の生成要否を判定するステップと、
    前記判定結果に基づいて、前記制御装置に対し、制御情報の生成を要求するステップと、を含むネットワーク制御方法。
  11. 転送ノードに制御情報を設定する制御装置と、
    前記制御装置から設定された第1の制御情報と、前記制御装置から設定された前記第1の制御情報のマッチ条件に適合しないパケットを所定のポートから転送する第2の制御情報とを用いてパケットを転送する転送ノードと、を含む通信システムに配置されたコンピュータに、
    前記転送ノードの前記所定のポートから転送されたパケットについて制御情報の生成要否を判定する処理と、
    前記判定結果に基づいて、前記制御装置に対し、制御情報の生成を要求する処理とを実行させるプログラム。
JP2014513372A 2012-05-01 2013-04-26 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム Active JP6248929B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014513372A JP6248929B2 (ja) 2012-05-01 2013-04-26 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2012104664 2012-05-01
JP2012104664 2012-05-01
JP2014513372A JP6248929B2 (ja) 2012-05-01 2013-04-26 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
PCT/JP2013/062462 WO2013164988A1 (ja) 2012-05-01 2013-04-26 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2013164988A1 true JPWO2013164988A1 (ja) 2015-12-24
JP6248929B2 JP6248929B2 (ja) 2017-12-20

Family

ID=49514387

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014513372A Active JP6248929B2 (ja) 2012-05-01 2013-04-26 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム

Country Status (4)

Country Link
US (2) US20150124595A1 (ja)
JP (1) JP6248929B2 (ja)
CN (1) CN104272676A (ja)
WO (1) WO2013164988A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108667853B (zh) 2013-11-22 2021-06-01 华为技术有限公司 恶意攻击的检测方法和装置
JP6291834B2 (ja) * 2013-12-20 2018-03-14 株式会社リコー 通信装置、通信方法および通信システム
WO2015157935A1 (zh) * 2014-04-16 2015-10-22 华为技术有限公司 一种流表项管理方法及设备
JP6364255B2 (ja) * 2014-06-17 2018-07-25 株式会社エヌ・ティ・ティ・データ 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム
JP6435695B2 (ja) * 2014-08-04 2018-12-12 富士通株式会社 コントローラ,及びその攻撃者検知方法
US20160294871A1 (en) * 2015-03-31 2016-10-06 Arbor Networks, Inc. System and method for mitigating against denial of service attacks
US9930010B2 (en) * 2015-04-06 2018-03-27 Nicira, Inc. Security agent for distributed network security system
CN106713182B (zh) * 2015-08-10 2020-10-09 华为技术有限公司 一种处理流表的方法及装置
CN105306390B (zh) * 2015-09-30 2019-10-25 上海斐讯数据通信技术有限公司 一种数据报文转发控制方法及系统
CN108965215B (zh) * 2017-05-26 2019-12-24 中国科学院沈阳自动化研究所 一种多融合联动响应的动态安全方法与系统
JP6993580B2 (ja) * 2018-08-03 2022-01-13 日本電信電話株式会社 制御システム及び制御方法
JP2020072427A (ja) * 2018-11-01 2020-05-07 日本電気株式会社 ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
WO2011081104A1 (ja) * 2010-01-04 2011-07-07 日本電気株式会社 通信システム、認証装置、制御サーバ、通信方法およびプログラム
WO2012049960A1 (ja) * 2010-10-15 2012-04-19 日本電気株式会社 スイッチシステム、モニタリング集中管理方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007104160A (ja) * 2005-10-03 2007-04-19 Sony Corp 通信システム、通信装置および方法、並びにプログラム
US20080189769A1 (en) * 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
EP2193630B1 (en) 2007-09-26 2015-08-26 Nicira, Inc. Network operating system for managing and securing networks
AU2008343847B2 (en) * 2008-01-02 2015-01-22 Nestec S.A. Edible compositions
EP3720062A1 (en) 2009-10-07 2020-10-07 NEC Corporation Information system, control server, virtual network management method, and program
US8893300B2 (en) * 2010-09-20 2014-11-18 Georgia Tech Research Corporation Security systems and methods to reduce data leaks in enterprise networks
KR101634745B1 (ko) * 2011-12-30 2016-06-30 삼성전자 주식회사 전자장치, 이를 제어할 수 있는 사용자 입력장치 및 그 제어방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
WO2011081104A1 (ja) * 2010-01-04 2011-07-07 日本電気株式会社 通信システム、認証装置、制御サーバ、通信方法およびプログラム
WO2012049960A1 (ja) * 2010-10-15 2012-04-19 日本電気株式会社 スイッチシステム、モニタリング集中管理方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
宮坂 武志: "ATCAベースのオープンアーキテクチャルータ構成法と実現法の検討", 電子情報通信学会技術研究報告, vol. 第104巻、第659号, JPN6013037569, 11 February 2005 (2005-02-11), JP, pages 23 - 28, ISSN: 0003523272 *
山崎 康広: "OpenFlowによるCampus VLANシステム", 電子情報通信学会技術研究報告, vol. 第111巻、第132号, JPN6013037568, 7 July 2011 (2011-07-07), JP, pages 43 - 48, ISSN: 0003523271 *

Also Published As

Publication number Publication date
WO2013164988A1 (ja) 2013-11-07
US20150124595A1 (en) 2015-05-07
US10244537B2 (en) 2019-03-26
JP6248929B2 (ja) 2017-12-20
CN104272676A (zh) 2015-01-07
US20160234848A1 (en) 2016-08-11

Similar Documents

Publication Publication Date Title
JP6248929B2 (ja) 通信システム、アクセス制御装置、スイッチ、ネットワーク制御方法及びプログラム
US9806944B2 (en) Network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
KR101866174B1 (ko) 강화된 흐름 라우팅, 확장성 및 보안성을 가진 자율 시스템들 내에서 그리고 이 자율 시스템들 사이에서 트래픽의 소프트웨어 정의 라우팅을 위한 시스템 및 방법
JP5382451B2 (ja) フロントエンドシステム、フロントエンド処理方法
EP2693696A1 (en) Computer system, and communication method
US9807016B1 (en) Reducing service disruption using multiple virtual IP addresses for a service load balancer
JP5858141B2 (ja) 制御装置、通信装置、通信システム、通信方法及びプログラム
WO2013039083A1 (ja) 通信システム、制御装置および通信方法
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
US20160380899A1 (en) Method and apparatus for dynamic traffic control in sdn environment
JPWO2014112616A1 (ja) 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム
JP5725236B2 (ja) 通信システム、ノード、パケット転送方法およびプログラム
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
US20150063118A1 (en) Device for multipath routing of packets in computer networking and the method for its use
US20180262473A1 (en) Encrypted data packet
JPWO2014157241A1 (ja) 制御装置、通信システム、制御情報の送信方法及びプログラム
US20150236953A1 (en) Control device, communication system, communication method and storage medium
Wu et al. OpenFlow-Based Global Load Balancing in Fat-Tree Networks
JP6314970B2 (ja) 通信システム、制御装置、通信方法およびプログラム
JP6365663B2 (ja) 通信装置、制御装置、通信システム、受信パケットの処理方法、通信装置の制御方法及びプログラム
JP2015523749A (ja) 通信システム、制御装置、通信方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160303

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170328

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171024

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171106

R150 Certificate of patent or registration of utility model

Ref document number: 6248929

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150