WO2014098108A1

WO2014098108A1 - 通信ノード、制御装置、通信システム、パケット処理方法、通信ノードの制御方法及びプログラム

Info

Publication number: WO2014098108A1
Application number: PCT/JP2013/083843
Authority: WO
Inventors: 衞高城
Original assignee: 日本電気株式会社
Priority date: 2012-12-19
Filing date: 2013-12-18
Publication date: 2014-06-26
Also published as: US9906438B2; RU2621619C2; RU2015129562A; JP5967221B2; CA2895685A1; US20150312143A1; KR20150097662A; JPWO2014098108A1; EP2938027A4; BR112015013943A2; CN104871500A; KR101742894B1; EP2938027A1

Abstract

　本発明は、パケットの受信を契機とした制御情報エントリの設定要求の送信から派生する諸問題の解決に貢献する。通信ノードは、受信パケットに適用する処理を定めた制御情報エントリを保持可能なエントリ記憶部と、前記エントリ記憶部を参照して、受信パケットを処理するパケット処理部と、パケットの受信を契機として、所定の制御装置に対して制御情報エントリの設定を要求した後、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットについて、制御情報エントリの設定の要求を所定期間抑止する要求抑止部と、を備える。

Description

通信ノード、制御装置、通信システム、パケット処理方法、通信ノードの制御方法及びプログラム

　（関連出願についての記載）
　本発明は、日本国特許出願：特願２０１２－２７６７３３号（２０１２年１２月１９日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
　本発明は、通信ノード、制御装置、通信システム、パケット処理方法、通信ノードの制御方法及びプログラムに関し、特に、制御装置に問い合わせた内容に従ってパケットを処理する通信ノード、制御装置、通信システム、パケット処理方法、通信ノードの制御方法及びプログラムに関する。

　特許文献１～３、非特許文献１、２に、オープンフローという技術が提案されている。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献２に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチ条件（Ｍａｔｃｈ　Ｆｉｅｌｄｓ）と、フロー統計情報（Ｃｏｕｎｔｅｒｓ）と、処理内容を定義したインストラクション（Ｉｎｓｔｒｕｃｔｉｏｎｓ）と、の組が定義される（非特許文献２の「５．２　Ｆｌｏｗ　Ｔａｂｌｅ」の項参照）。

　例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチ条件（非特許文献２の「５．３　Ｍａｔｃｈｉｎｇ」参照）を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報（カウンタ）を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容（指定ポートからのパケット送信、フラッディング、廃棄等）を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットを処理するための制御情報の送信要求（Ｐａｃｋｅｔ－Ｉｎメッセージ）を送信する。オープンフロースイッチは、処理内容が定められたフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを制御情報として用いてパケット転送を行う。

再特ＷＯ２０１０／１０３９０９号公報特開２０１１－１６６３８４号公報特開２０１１－１４６９８２号公報

Ｎｉｃｋ　ＭｃＫｅｏｗｎほか７名、"ＯｐｅｎＦｌｏｗ：　Ｅｎａｂｌｉｎｇ　Ｉｎｎｏｖａｔｉｏｎ　ｉｎ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋｓ"、［ｏｎｌｉｎｅ］、［平成２４（２０１２）年１１月２４日検索］、インターネット〈URL:http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "ＯｐｅｎＦｌｏｗ　Ｓｗｉｔｃｈ　Ｓｐｅｃｉｆｉｃａｔｉｏｎ"　Ｖｅｒｓｉｏｎ　１．３．１　（Ｗｉｒｅ　Ｐｒｏｔｏｃｏｌ　０ｘ０４）、［ｏｎｌｉｎｅ］、［平成２４（２０１２）年１２月１１日検索］、インターネット〈URL:https://www.opennetworking.org/images/stories/downloads/specification/openflow-spec-v1.3.1.pdf〉

　以下の分析は、本発明によって与えられたものである。特許文献１～３、非特許文献１、２に示すように、オープンフロースイッチは、フローテーブルに、受信パケットのヘッダ情報に適合するマッチ条件を持つエントリが無い場合に、オープンフローコントローラと呼ばれる制御装置に対して、フローエントリの設定を要求（制御情報の送信要求（Ｐａｃｋｅｔ－Ｉｎメッセージ））する。また、オープンフロースイッチは、フローテーブルの検索の結果、見つかったエントリにおいて、オープンフローコントローラに対するフローエントリの設定を要求することが指示されていた場合も、オープンフローコントローラに対するフローエントリの設定要求を行う。

　このため、上記フローエントリの設定要求を行う条件に合致するパケットを大量に受信すると、オープンフロースイッチは、その都度、オープンフローコントローラに対するフローエントリの設定要求を行うことになる。この結果、オープンフロースイッチとオープンフローコントローラ間に設定されるセキュアチャネルの帯域を圧迫するなどの問題が起こりうる。加えて、オープンフローコントローラが多数のオープンフロースイッチを収容している場合には、オープンフローコントローラの負荷が大きくなり、例えば、応答性能が低下するといった問題も起こりうる。なお、前記セキュアチャネルは、非特許文献２の「６　Ｏｐｅｎｆｌｏｗ　Ｃｈａｎｎｅｌ」の記載によれば、ＴＬＳ　ｏｖｅｒ　ＴＣＰ（Ｔｒａｎｓｐｏｒｔ　Ｌａｙｅｒ　Ｓｅｃｕｒｉｔｙ　ｏｖｅｒ　Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）を利用すると記載されている。

　本発明は、上記オープンフローに代表される所定のパケットの受信を契機とした制御情報エントリの設定要求の送信から派生する諸問題の解決に貢献しうる通信ノード、制御装置、通信システム、パケット処理方法、通信ノードの制御方法及びプログラムを提供することを目的とする。

　第１の視点によれば、受信パケットに適用する処理を定めた制御情報エントリを保持可能なエントリ記憶部と、前記エントリ記憶部を参照して、受信パケットを処理するパケット処理部と、パケットの受信を契機として、所定の制御装置に対して制御情報エントリの設定を要求した後、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットについて、制御情報エントリの設定の要求を所定期間抑止する要求抑止部と、を備えた通信ノードが提供される。

　第２の視点によれば、受信パケットに適用する処理を定めた制御情報エントリを保持可能なエントリ記憶部と、前記エントリ記憶部を参照して、受信パケットを処理するパケット処理部と、を備えた通信ノードを制御する制御装置であって、前記通信ノードから制御情報エントリの設定要求を受けたパケットと共通する特徴を持つパケットについて、前記通信ノードの制御部による制御情報エントリの設定の要求を所定期間抑止させる要求抑止部を備える制御装置が提供される。

　第３の視点によれば、通信ノードからの制御情報エントリの設定要求に応じて、該当する通信ノードに制御情報エントリを設定する制御装置と、受信パケットに適用する処理を定めた制御情報エントリを保持可能なエントリ記憶部と、前記エントリ記憶部を参照して、受信パケットを処理するパケット処理部と、パケットの受信を契機として、所定の制御装置に対して制御情報エントリの設定を要求した後、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットについて、制御情報エントリの設定の要求を所定期間抑止する要求抑止部と、を備えた通信ノードと、を含む通信システムが提供される。

　第４の視点によれば、所定の制御装置に対し制御情報エントリの設定を要求すべき第１のパケットの受信に応じて、前記所定の制御装置に対して、制御情報エントリの設定を要求するステップと、前記第１のパケットの受信後所定期間内に受信した第２のパケットが、前記第１のパケットと共通する特徴を持つ場合、前記第２のパケットを破棄するステップと、を含むパケット処理方法が提供される。本方法は、制御情報エントリを参照してパケットを処理する通信ノードという、特定の機械に結びつけられている。

　第５の視点によれば、通信ノードを制御する制御装置が、通信ノードからの制御情報エントリの設定要求に応じて、該当する通信ノードに制御情報エントリを設定するステップと、前記制御情報エントリの設定要求を受けたパケットと共通する特徴を持つパケットについて、所定期間制御情報エントリの設定の要求を抑止するよう前記通信ノードを制御するステップと、を含む通信ノードの制御方法が提供される。本方法は、通信ノードを制御する制御装置という、特定の機械に結びつけられている。

　第６の視点によれば、上記した通信ノード又は制御装置の各機能を実現するためのプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な（非トランジエントな）記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、所定のパケットの受信を契機とした制御情報エントリの設定要求の送信から派生する諸問題の解決に貢献することが可能となる。

本発明の一実施形態の構成を示す図である。本発明の一実施形態の動作を説明するための図である。本発明の第１の実施形態の構成を示す図である。本発明の第１の実施形態の通信ノードのフローテーブルに保持されるフローエントリの一例を示す図である。本発明の第１の実施形態の通信ノードの動作を表したフローチャートである。本発明の第１の実施形態の通信ノードの制御部によってフローテーブルに追加されるフローエントリの一例を示す図である。本発明の第１の実施形態の全体的な動作を表したシーケンス図である。本発明の第２の実施形態の構成を示す図である。本発明の第２の実施形態の通信ノードの抑止キャッシュの構成例を示す図である。本発明の第３の実施形態の構成を示す図である。本発明の第４の実施形態の構成を示す図である。本発明の第４の実施形態の変形構成を示す図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。

　本発明は、その一実施形態において、図１に示すように、通信ノード２０Ａからのフローエントリ（制御情報エントリ）の設定要求に応じて、該当する通信ノードに、受信パケットに適用する処理を定めたフローエントリを設定する制御装置１０と、制御装置１０から設定されたフローエントリを参照してパケットを処理する通信ノード２０Ａとを含む構成にて実現できる。

　より具体的には、通信ノード２０Ａは、フローエントリを保持可能なエントリ記憶部２１Ａと、前記エントリ記憶部２１Ａを参照して、受信パケットを処理するパケット処理部２２Ａと、パケットの受信を契機として所定の制御装置に対してフローエントリの設定を要求した後、前記所定の制御装置に対してフローエントリの設定を要求したパケットと共通する特徴を持つパケットについて、フローエントリの設定の要求を所定期間抑止する要求抑止部２３Ａと、を備える。

　前記要求抑止部２３Ａによるフローエントリの設定要求を抑止させる方法としては、例えば、図２に示すように、エントリ記憶部２１Ａに、制御装置１０に対してフローエントリの設定を要求したパケットと同一又は共通する特徴を持つパケットを捕捉するマッチ条件（例えば、サーバＡ宛てのパケットについてフローエントリの設定を要求済みである場合、宛先ＩＰアドレス＝サーバＡのＩＰアドレス）と、このマッチ条件に適合するパケットの破棄（Ｄｒｏｐ）を指示する命令（インストラクション）とを対応付けたフローエントリ（第２の制御情報エントリ）を設定することで実現できる。また、所定時間経過後に、フローエントリの設定要求の抑止を終了させる仕組みとしては、例えば、図２に示すフローエントリについてそれぞれ設定してからの経過時間を計測しておき、所定期間経過後に、当該フローエントリを削除するようにすればよい。

　また、前記フローエントリを設定することに代えて、パケット処理部２２Ａから送信されたフローエントリの設定要求を要求抑止部２３Ａがフィルタする構成や後記フローエントリの設定要求済みのパケットの特徴を保持するキャッシュを設けて、フローエントリの設定要求を抑止させる構成なども採用可能である。

［第１の実施形態］
　続いて、本発明の第１の実施形態について図面を参照して詳細に説明する。図３は、本発明の第１の実施形態の構成を示す図である。図３を参照すると、通信ノードＢ、通信ノードＣと接続された通信ノード２０と、セキュアチャネル（図３の破線）を介して、これら通信ノード２０を制御する制御装置１０とが示されている。

　制御装置１０は、通信ノード２０のフローテーブルにフローエントリを設定することにより通信ノードを制御する装置である。このような制御装置としては、例えば、非特許文献１、２に記載のオープンフローコントローラを用いることができる。

　通信ノード２０は、フローテーブル２１と、パケット処理部２２と、制御部２３と、セキュアチャネル接続部２５とを備えて構成されている。このような通信ノード２０としては、非特許文献１、２のオープンフロースイッチのほか、例えば、上位のアプリケーション層から入出力されるパケットを処理するスイッチ機能を備えたパーソナルコンピュータやスマートフォンなども含まれる。

　フローテーブル２１は、処理対象となるパケットを特定するためのマッチ条件と、このマッチ条件に適合するパケットとを対応付けたフローエントリを格納するテーブルである。

　図４は、フローテーブル２１に保持されるフローエントリの一例を示す図である。図４の例では、フローエントリは、優先度と、マッチ条件と、処理内容であるインストラクションとを対応付けたものとなっている。「優先度」は、受信パケットに複数のフローエントリのマッチ条件が適合する場合に、フローエントリを選択する際に参照される。例えば、図４の例では、通信ノード２０が、送信元ＩＰアドレスがサーバＢのＩＰアドレスであるサーバＢ宛てのパケットを受信した場合、検索の結果、最上段に設定された「高優先」のフローエントリと、最下段のフローエントリ（マッチ条件＝Ａｌｌ　Ａｎｙ）とが候補として選択される。この場合、両者の優先度を比較して「高優先」の最上段のフローエントリが選択されることになる。一方、通信ノード２０が、サーバＡ宛てのパケットを受信した場合、図４のフローテーブル２１の最下段のフローエントリが選択され、制御装置１０へのフローエントリの設定要求（Ｏｕｔｐｕｔ　ＯＦＣ（＝オープンフローコントローラ））が行われる。

　パケット処理部２２は、上記のようなフローエントリが格納されたフローテーブル２１を参照して受信パケットを処理する。

　制御部２３は、パケット処理部２２により、セキュアチャネル接続部２５を介して、制御装置１０へのフローエントリの設定要求が所定回数行われた場合、フローテーブル２１に、少なくとも制御装置１０へのフローエントリの設定要求を行わせるフローエントリ（図６の最下段の「低優先度」のフローエントリ）よりも高い優先度を持ち、制御装置１０へのフローエントリの設定要求を行ったパケットと同一のヘッダ情報を持つパケットを破棄させるフローエントリを設定する。また、このフローエントリにはタイムアウト値が設定されており、所定期間経過後に自動的に削除される。

　セキュアチャネル接続部２５は、制御装置１０に対するフローエントリの設定要求の送信や制御装置１０からのフローエントリの設定メッセージを受信して制御部２３に引き渡す処理を行う。なお、通信ノード２０と制御装置１０間のこれら制御メッセージの授受には、非特許文献２のオープンフロープロトコルを用いることができる。

　なお、図３では、通信ノードＢ、通信ノードＣの詳細構成は省略されているが、通信ノードＢ、通信ノードＣについても通信ノード２０と同一の構成とすることができる。

　続いて、本実施形態の動作について図面を参照して詳細に説明する。図５は、本発明の第１の実施形態の通信ノード２０におけるパケット受信時の動作を表したフローチャートである。図５を参照すると、まず、通信ノード２０は、フローテーブル２１を参照して受信パケットに適合するマッチ条件を持つ上位（高優先度）のフローエントリを検索する（ステップＳ００１）。ここで、上位（高優先度）のフローエントリが見つかった場合、通信ノードは、そのフローエントリのインストラクションフィールドに記述された処理内容（指定ポートからの転送、ヘッダ書換え等）を実行する（ステップＳ００２）。

　一方、フローテーブル２１の検索の結果、上位（高優先度）のフローエントリが見つからなかった場合、通信ノード２０は、例えば、制御部２３に設けられているカウンタを加算する（ステップＳ００３）。

　次に、通信ノード２０は、前記カウンタの値が所定値を超えているか否かを判定する（ステップＳ００４）。ここで、前記カウンタの値が所定値以下である場合（ステップＳ００４のＮｏ）、通信ノード２０は、制御装置１０に対して、受信したパケットを送信し、フローエントリの設定を要求する（ステップＳ００５）。

　一方、前記カウンタの値が所定値を超えている場合（ステップＳ００４のＹｅｓ）通信ノード２０は、フローテーブル２１にフローエントリ設定要求抑止用のフローエントリを登録する（ステップＳ００６）。なお、前記カウンタの値は、所定時間の経過や、フローエントリの設定要求が行われない状態が所定時間継続した等の条件にてクリアされる。

　図６は、本発明の第１の実施形態の通信ノードの制御部によってフローテーブルに登録される設定要求抑止用のフローエントリの一例（破線部）を示す図である。例えば、サーバＡから受信したパケットに適合するマッチ条件を持つ上位フローエントリがフローテーブル２１に設定されていない場合、通信ノード２０は、カウンタを加算した後で、制御装置１０に対して、フローエントリの設定を要求する。その後、制御装置１０からサーバＡから受信したパケットを処理するためのフローエントリが送られてくる前に、サーバＡから受信したパケットを所定回数受信した場合、通信ノード２０は、図６の上から２段目のフローエントリに示すように、送信元ＩＰアドレスがサーバＡであるパケットの破棄を指示するフローエントリ（設定要求抑止用フローエントリ）を設定する。これにより、送信元ＩＰアドレスがサーバＡのＩＰアドレスであるパケットについては所定期間廃棄する処理が実行される。もちろん、その間も、別フローのパケット、例えば、送信元ＩＰアドレスがサーバＢであるパケットについては、図６の最上段のフローエントリに従ってパケット転送が行われる。また例えば、送信元ＩＰアドレスがサーバＣである未知のパケットについては、カウンタがクリアされるまで、設定要求抑止用フローエントリの設定対象となり、破棄されることになる。

　図７は、本発明の第１の実施形態の全体的な動作を表したシーケンス図である。例えば、送信元装置（他の通信ノード、端末、サーバ等）から、フローテーブル２１に対応するフローエントリの無い新規パケットを受信すると、通信ノード２０は、制御装置１０に対して、フローエントリの設定を要求する（図７のＰａｃｋｅｔ－Ｉｎ）。

　その後、カウンタが所定値を超えると、通信ノード２０は、フローテーブル２１に、これら制御装置１０に対してフローエントリの設定を要求したパケットを破棄するフローエントリ（設定要求抑止用フローエントリ）をフローテーブル２１に登録する。その後、通信ノード２０は、フローエントリの設定要求済みのパケットを受信しても、設定要求抑止用フローエントリに基づいてこれらのパケットを破棄する。この結果、所定期間のフローエントリの設置要求が抑止されることになる。その後、制御装置１０からフローエントリの設定メッセージが送られてくると、通信ノード２０は、フローテーブル２１のフローエントリを設定する。その後は、制御装置１０からフローエントリに従ってパケットが処理され、宛先装置に転送される。

　以上のように本実施形態によれば、制御装置１０に対するフローエントリの設定要求が発行される頻度を低減し、セキュアチャネルが圧迫されないようにすることができる。また、通信ノード１台当たりの制御装置１０の負荷を抑えることも可能となるため、制御装置１０が収容する通信ノードの数を増やすこともできる。

　また、上記した第１の実施形態では、カウンタを用いて所定回数のフローエントリの設定要求を許容していることとしているため、何らかの理由でフローエントリの設定要求が制御装置１０に届かなかった場合にも、２回目、３回目のフローエントリの設定要求で制御装置１０に到達させることができる。またこのようにすることで、複数でセットになったパケットについて制御装置１０に対応するフローエントリを設定させることが可能になっている。

　もちろん、上記のような配慮が必要ない場合には、カウンタと比較する値を１（カウントの初期値が０の場合）とすることもできる。この場合、一度フローエントリの設定要求を行ったパケットについては、次回から破棄されることになるため、制御装置１０の負荷をより大きく低減させることが可能になる。

［第２の実施形態］
　続いて、上記第１の実施形態に変更を加えた第２の実施形態について図面を参照して説明する。本発明の第２の実施形態は、フローテーブル２１への設定要求抑止用フローエントリの登録ではなく、別途フローエントリ設定要求の対象のパケットであるか否かを判別するための専用キャッシュを設けたものである。その他の構成は第１の実施形態と同様であるので、以下、その相違点を中心に説明する。

　図８は、本発明の第２の実施形態の構成を示す図である。図３に示した第１の実施形態との相違は、制御部２３Ｂに接続する抑止キャッシュ２３２が追加されている点と、これに伴う制御部２３Ｂの動作が異なっている点である。

　抑止キャッシュ２３２は、例えば、図９に示すように、フローエントリの設定要求を行ったパケットのヘッダ情報等を用いて、フローエントリの設定要求を行ったパケットを識別するためのマッチ条件と、その条件による抑止処理を開始してからの経過時間を計測するタイマフィールドとを対応付けたエントリを所定期間保持可能なメモリ等によって構成されている。

　本実施形態の制御部２３Ｂは、第１の実施形態のフローテーブル２１への設定要求抑止用フローエントリの設定に代えて、抑止キャッシュ２３２を参照したフローエントリの設定要求の抑止処理を実行する。具体的には、制御部２３Ｂは、制御装置１０に対し、受信パケットに対応するフローエントリの設定要求を行う前に、受信パケットが抑止キャッシュ２３２に登録されているマッチ条件に適合するか否かを判定し、抑止キャッシュ２３２に登録されているマッチ条件に適合するパケットである場合、そのパケットを破棄する動作を行う。

　また、本実施形態の制御部２３Ｂは、抑止キャッシュ２３２に保持されたエントリのうち、タイマフィールドの値が所定時間を経過しているエントリを削除する処理を行う。これにより、個々のフローについてフローエントリの設定要求の抑止継続時間が制御される。

　本実施形態においても、第１の実施形態と同様に、セキュアチャネルの圧迫や制御装置１０の収容する通信ノードの数の制限といった問題を解決することができる。さらに、本実施形態では、フローテーブル２１に、設定要求抑止用フローエントリを登録せずに済むため、通信ノード２０が保持するフローテーブルを本来の転送制御用に有効に活用することができる。

　なお、図９の例では、個々のエントリにタイマフィールドを設ける構成としたが、所定時間の経過により、抑止キャッシュ全体をクリアする方法も採用可能である。

［第３の実施形態］
　続いて、上記第１、第２の実施形態と組み合わせた第３の実施形態について図面を参照して説明する。本発明の第３の実施形態は、上記第１の実施形態のフローテーブル２１への設定要求抑止用フローエントリの登録と、第２の実施形態の抑止キャッシュ２３２を用いたフローエントリの設定要求の抑止とを、より望ましい形態で組み合わせたものである。その他の構成及び動作は第１、第２の実施形態と同様であるので、以下、その相違点を中心に説明する。

　図１０は、本発明の第３の実施形態の構成を示す図である。図８に示した第２の実施形態との相違は、制御部２３Ｃ内にエントリ設定部２３１が設けられ、抑止キャッシュ２３２が一杯になると、フローテーブル２１への設定要求抑止用フローエントリの登録を開始するようにした点である。即ち、本実施形態の通信ノード２０Ｃは、設定要求抑止用エントリの登録よりも、抑止キャッシュ２３２によるフローエントリの設定要求の抑止を優先して実行する。

　本実施形態によれば、例えば、ハードウェア上の制約で、抑止キャッシュ２３２に保持可能なエントリ数が少ない場合にも、設定要求抑止用フローエントリの設定でカバーすることが可能となる。また、本実施形態によれば、抑止キャッシュ２３２が設けられているため、設定要求抑止用フローエントリの削除が行われるタイムアウト値を第１の実施形態よりも短くすることができる。これにより、フローエントリの設定要求抑止の条件が成立してもフローテーブル２１に、設定要求抑止用フローエントリが登録されている期間を短くすることができる。

［第４の実施形態］
　続いて、制御装置側に、フローエントリの設定要求の抑止機能を配置した第４の実施形態について図面を参照して説明する。

　図１１は、本発明の第４の実施形態の構成を示す図である。図３に示した第１の実施形態との相違は、制御装置１０Ｂ側に、通信ノード２０からフローエントリの設定要求を受けたパケットを元に、通信ノード２０のフローテーブル２１に設定要求抑止用フローエントリを設定する要求抑止部１３１が設けられている点である。

　本実施形態によれば、通信ノード２０側に、設定要求抑止用フローエントリの登録機能や抑止キャッシュ２３２を設けずとも、フローエントリの設定要求を抑止することができるという利点がある。また、本実施形態では、制御装置１０Ｂ側でシステム全体を考慮して設定要求抑止用フローエントリの設定を行うことができるという利点がある。例えば、通信ノード２０からフローエントリの設定要求を受けたパケットのみならず、今後、その通信ノード２０が受信することが予想されるパケットについてもフローエントリの設定要求を抑止できるような設定要求抑止用フローエントリを設定することができる。この場合において、制御装置１０Ｂは、設定要求抑止用フローエントリのマッチ条件として、ワイルドカードを用いて設定する設定要求抑止用フローエントリを集約することもできる。

　また、本実施形態によれば、制御装置１０Ｂは、自身やシステムの制御に必要な通信を判別できるため、通信ノード２０からフローエントリの設定要求を受けたパケットについて一律にフローエントリの設定要求抑止の対象とするのではなく、必要な通信についてはフローエントリの設定要求抑止の対象から除外することもできる。

　また、本実施形態においても第１の実施形態と同様に、要求抑止部１３１がカウンタを備え、通信ノード２０からフローエントリの設定要求を受けたパケットの数が所定の数に達してから、設定要求抑止用フローエントリの設定を開始するようにしてもよい。

　図１２は、本発明の第４の実施形態の変形構成を示す図である。図１１に示した構成との相違点は、通信ノード２０Ｂに抑止キャッシュ２３２が備えられている点である。図１２のような構成によれば、第３の実施形態で説明したように、ハードウェア上の制約から抑止キャッシュ２３２に保持可能なエントリ数が少ない場合にも、設定要求抑止用フローエントリの設定でカバーするといった運用を行うことで、他の実施形態と同様の効果を得ることができる。

　また図１２の構成によれば、制御装置１０Ｂ側でシステム全体の視点から必要な設定要求抑止用フローエントリを作成、設定し、短期間で種々変動する個別の通信については、通信ノード２０Ｂ側の抑止キャッシュ２３２でフローエントリの設定要求を抑止するといった、弾力的な運用を行うこともできる。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成や要素の構成は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。

　また例えば、上記した実施形態では、通信ノード２０、２０Ａ、２０Ｂ、２０Ｃが制御装置１０に対してフローエントリの設定要求を行ったパケットを元に、設定要求抑止用フローエントリのマッチ条件を作成するものとして説明したが、通信ノード２０、２０Ａ、２０Ｂ、２０Ｃ又は制御装置１０Ｂに、マッチ条件にワイルドカードやマスクを用いることにより、設定要求抑止用フローエントリを集約する集約機能を追加してもよい。例えば、特定のＩＰアドレスのパケットや、明らかに不正なパケットをまとめてフローエントリの設定要求の対象から外すような設定要求抑止用フローエントリを設定することもできる。

　なお、図３、図８、図１０～図１２に示した制御装置及び通信ノードの各部（処理手段）は、これらの装置を構成するコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
　（上記第１の視点による通信ノード参照）
［第２の形態］
　第１の形態の通信ノードにおいて、
　前記要求抑止部は、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットの廃棄を実行させる第２の制御情報エントリを、前記エントリ記憶部に設定することにより、制御情報エントリの設定の要求を所定期間抑止する通信ノード。
［第３の形態］
　第１又は第２の形態の通信ノードにおいて、
　さらに、前記前記所定の制御装置に対して制御情報エントリの設定を要求したパケットの情報を保持する抑止キャッシュを備え、
　前記要求抑止部は、前記抑止キャッシュを参照して、前記所定の制御装置に対する制御情報エントリの設定要求を抑止する通信ノード。
［第４の形態］
　第３の形態の通信ノードにおいて、
　前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットの廃棄を実行させる第２の制御情報エントリを前記エントリ記憶部に設定することによる制御情報エントリの設定要求の抑止よりも、前記抑止キャッシュによる制御情報エントリの設定要求の抑止を優先して実行する通信ノード。
［第５の形態］
　第１～第４いずれか一の形態の通信ノードにおいて、
　前記要求抑止部は、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットの数が所定の数に達してから、前記制御情報エントリの設定の抑止動作を開始する通信ノード。
［第６の形態］
　第１～第５いずれか一の形態の通信ノードにおいて、
　前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットの廃棄を実行させる前記第２の制御情報エントリのマッチ条件にワイルドカードを用いて、制御情報エントリの設定要求の契機となったパケット以外のパケットも所定期間廃棄する通信ノード。
［第７の形態］
　（上記第２の視点による制御装置参照）
［第８の形態］
　第７の形態の制御装置において、
　前記要求抑止部は、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットの廃棄を実行させる第２の制御情報エントリを、前記通信ノードのエントリ記憶部に設定することにより、制御情報エントリの設定の要求を所定期間抑止させる制御装置。
［第９の形態］
　第７又は第８の形態の制御装置において、
　前記要求抑止部は、前記通信ノードから制御情報エントリの設定要求を受けたパケットの数が所定の数に達してから、前記制御情報エントリの設定の抑止動作を開始する制御装置。
［第１０の形態］
　第７～第９いずれか一の形態の制御装置において、
　前記制御情報エントリの設定要求を受けたパケットと共通する特徴を持つパケットの廃棄を実行させる第２の制御情報エントリのマッチ条件にワイルドカードを用いて、制御情報エントリの設定要求を受けたパケット以外も所定期間廃棄させる制御装置。
［第１１の形態］
　（上記第３の視点による通信システム参照）
［第１２の形態］
　（上記第４の視点によるパケット処理方法参照）
［第１３の形態］
　（上記第５の視点による通信ノード制御方法参照）
［第１４の形態］
　（上記第６の視点によるプログラム参照）
　なお、上記第１１～第１４の形態は、第１の形態と同様に、第２～第６の形態に展開することが可能である。

　なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　１０、１０Ｂ　制御装置
　２０、２０Ａ、２０Ｂ、２０Ｃ　通信ノード
　２１　フローテーブル
　２１Ａ　エントリ記憶部
　２２、２２Ａ　パケット処理部
　２３、２３Ｂ、２３Ｃ　制御部
　２３Ａ、１３１　要求抑止部
　２５　セキュアチャネル接続部
　２３１　エントリ設定部
　２３２　抑止キャッシュ

Claims

　受信パケットに適用する処理を定めた制御情報エントリを保持可能なエントリ記憶部と、
　前記エントリ記憶部を参照して、受信パケットを処理するパケット処理部と、
　パケットの受信を契機として、所定の制御装置に対して制御情報エントリの設定を要求した後、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットについて、制御情報エントリの設定の要求を所定期間抑止する要求抑止部と、
　を備えたこと、を特徴とする通信ノード。
　前記要求抑止部は、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットの廃棄を実行させる第２の制御情報エントリを、前記エントリ記憶部に設定することにより、制御情報エントリの設定の要求を所定期間抑止する請求項１の通信ノード。
　さらに、前記前記所定の制御装置に対して制御情報エントリの設定を要求したパケットの情報を保持する抑止キャッシュを備え、
　前記要求抑止部は、前記抑止キャッシュを参照して、前記所定の制御装置に対する制御情報エントリの設定要求を抑止する請求項１又は２の通信ノード。
　前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットの廃棄を実行させるエントリを前記エントリ記憶部に設定することによる制御情報エントリの設定要求の抑止よりも、前記抑止キャッシュによる制御情報エントリの設定要求の抑止を優先して実行する請求項３の通信ノード。
　前記要求抑止部は、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットの数が所定の数に達してから、前記制御情報エントリの設定の抑止動作を開始する請求項１から４いずれか一の通信ノード。
　前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットの廃棄を実行させる前記第２の制御情報エントリのマッチ条件にワイルドカードを用いて、前記制御情報エントリの設定要求の契機となったパケット以外のパケットも所定期間廃棄する請求項１から５いずれか一の通信ノード。
　受信パケットに適用する処理を定めた制御情報エントリを保持可能なエントリ記憶部と、前記エントリ記憶部を参照して、受信パケットを処理するパケット処理部と、を備えた通信ノードを制御する制御装置であって、
　前記通信ノードから制御情報エントリの設定要求を受けたパケットと共通する特徴を持つパケットについて、前記通信ノードの制御部による制御情報エントリの設定の要求を所定期間抑止させる要求抑止部と、を備える制御装置。
　前記要求抑止部は、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットの廃棄を実行させる第２の制御情報エントリを、前記通信ノードのエントリ記憶部に設定することにより、制御情報エントリの設定の要求を所定期間抑止させる請求項７の制御装置。
　前記要求抑止部は、前記通信ノードから制御情報エントリの設定要求を受けたパケットの数が所定の数に達してから、前記制御情報エントリの設定の抑止動作を開始する請求項７又は８の制御装置。
　前記制御情報エントリの設定要求を受けたパケットと共通する特徴を持つパケットの廃棄を実行させる前記第２の制御情報エントリのマッチ条件にワイルドカードを用いて、制御情報エントリの設定要求を受けたパケット以外も所定期間廃棄させる請求項７から９いずれか一の制御装置。
　通信ノードからの制御情報エントリの設定要求に応じて、該当する通信ノードに制御情報エントリを設定する制御装置と、
　受信パケットに適用する処理を定めた制御情報エントリを保持可能なエントリ記憶部と、
　前記エントリ記憶部を参照して、受信パケットを処理するパケット処理部と、パケットの受信を契機として、所定の制御装置に対して制御情報エントリの設定を要求した後、前記所定の制御装置に対して制御情報エントリの設定を要求したパケットと共通する特徴を持つパケットについて、制御情報エントリの設定の要求を所定期間抑止する要求抑止部と、を備えた通信ノードと、
　を含む通信システム。
　所定の制御装置に対し制御情報エントリの設定を要求すべき第１のパケットの受信に応じて、前記所定の制御装置に対して、制御情報エントリの設定を要求するステップと、
　前記第１のパケットの受信後所定期間内に受信した第２のパケットが、前記第１のパケットと共通する特徴を持つ場合、前記第２のパケットを破棄するステップと、を含むパケット処理方法。
　通信ノードを制御する制御装置が、
　通信ノードからの制御情報エントリの設定要求に応じて、該当する通信ノードに制御情報エントリを設定するステップと、
　前記制御情報エントリの設定要求を受けたパケットと共通する特徴を持つパケットについて、所定期間制御情報エントリの設定の要求を抑止するよう前記通信ノードを制御するステップと、を含む通信ノードの制御方法。
　通信ノードに搭載されたコンピュータに、
　所定の制御装置に対し制御情報エントリの設定を要求すべき第１のパケットの受信に応じて、前記所定の制御装置に対して、制御情報エントリの設定を要求する処理と、
　前記第１のパケットの受信後所定期間内に受信した第２のパケットが、前記第１のパケットと共通する特徴を持つ場合、前記第２のパケットを破棄する処理と、
　を実行させるプログラム。
　制御装置に搭載されたコンピュータに、
　通信ノードからの制御情報エントリの設定要求に応じて、該当する通信ノードに制御情報エントリを設定する処理と、
　前記制御情報エントリの設定要求を受けたパケットと共通する特徴を持つパケットについて、所定期間制御情報エントリの設定の要求を抑止するよう前記通信ノードを制御する処理と、
　を実行させるプログラム。