JP4279324B2 - ネットワーク制御方法 - Google Patents
ネットワーク制御方法 Download PDFInfo
- Publication number
- JP4279324B2 JP4279324B2 JP2007048246A JP2007048246A JP4279324B2 JP 4279324 B2 JP4279324 B2 JP 4279324B2 JP 2007048246 A JP2007048246 A JP 2007048246A JP 2007048246 A JP2007048246 A JP 2007048246A JP 4279324 B2 JP4279324 B2 JP 4279324B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- destination
- processing device
- packet processing
- subscriber user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、広域ネットワークにおいて、トラヒック変動をネットワークワイドに監視し、分析の必要がある場合のみ専用のパケット処理装置ヘトラヒックを転送して詳細分析を実施する際に、大規模な分析対象が発生した際でも、負荷分散を実施することで、ネットワーク内における不正アクセス監視および攻撃トラヒック防御を効率的に実施してセキュリティを低コストで向上するための技術である。
インターネットの普及に伴い、ネットワーク経由の不正アクセスによるデータなどの不正盗聴、DDoS(Distributed Denial of Services)攻撃などによるシステム攻撃などが多発している。
従来、これらの脅威に対処するために、ファイアウォール機能をルータ等のパケット転送装置に実装することで、ネットワークを流れるデータ内容やパケットヘッダ内容に応じて通信を制御するアクセス制御技術が用いられる。このパケット転送装置をネットワークの境界に設置することで、ユーザが設定したセキュリティポリシに従った必要最低限の通信のみを通過させることが可能である。
しかし、上記のファイアウォール機能では、セキュリティポリシに従った通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正侵入等の不正アクセスやDDoS攻撃を完全に阻止することは困難である。
この問題を解決するために、Anomaly Detectorなどの異常トラヒック検出装置とAnomaly Guardなどの異常トラヒック分析・制御装置を組み合わせて使用する方式が採用されている[特許文献1]。この方式では、Anomaly Detectorで異常トラヒックの可能性を検出すると、Anomaly Guardへ警告を送り、対象トラヒックをAnomaly Guardへ再ルーチングして分析するAnomaly Guardは、詳細な分析を実施した後、受信トラヒックを不正トラヒックと正常トラヒックに分類し、正常トラヒックは元の宛先に転送するとともに、不正なトラヒックは削除する。
この方式には、異常トラヒック分析・制御装置が、ネットワーク内のルーチング情報を変更して異常トラヒックの可能性があるフローの宛先アドレスの次ホップを自身とすることで、当該フローを自身へ誘導する方式[非特許文献2]と、ネットワーク内のエッジルータと異常トラヒック分析・制御装置間にトンネルと呼ばれる論理ポートを設定して異常トラヒックの可能性があるフローを異常トラヒック分析・制御装置へ転送する方式がある[非特許文献1]。後者の方式では、特定のルータと異常トラヒック分析・制御装置間に双方向の論理的なトンネルを設定するとともに、当該ルータに対してループを防止するためのアクセスコントロールリストを設定することで、特定トラヒックを異常トラヒック分析・制御装置へ誘導すると同時にループ発生を回避している。
しかし、これらの方式では、フローが誘導される異常トラヒック分析・制御装置は、宛先アドレス単位に予め決められている。このため、ある装置に対応づけられた宛先アドレスに対する大量の攻撃が発生した際に、異常トラヒック分析・制御装置に大量のトラヒックが流入して輻輳する可能性がある。このため、各異常トラヒック分析・制御装置は、対応づけられた宛先アドレスヘの攻撃トラヒックが最大になった際でも確実に分析・制御できるよう、通常時には過剰といえる処理性能を保有しなければならず、結果的に、装置が高コスト化する。
また、トラヒックエンジニアリングのような従来の負荷分散方式では、経路毎にしか負荷分散を実施することができないため、異常トラヒック分析・制御装置のような装置間での負荷分散を実施するためには、各経路上に設置されている全装置を負荷分散制御装置が管理する必要がある。このため、ネットワーク規模の大規模化に伴い、各経路上の全装置管理負荷が急増し、結果的に、負荷分散制御装置が高コスト化する。さらに、トラヒックエンジニアリングを使用した際は、同一のエッジルータ配下に攻撃者と被攻撃者が存在する場合、トラヒックを特定装置へ誘導することができない。このため、対応できない攻撃パターンが存在する。
本発明の目的は、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できるネットワーク制御技術を提供することにある。
本発明は、特定のトラヒックを分析・制御するために、エッジルータ相当の加入者ユーザ収容装置と、異常トラヒック分析・制御装置相当の複数のパケット処理装置間で、転送経路を動的に設定して対象トラヒックを転送するよう指示するネットワーク制御装置が設置されたネットワークにおいて、加入者ユーザ収容装置に対してループを防止するためのアクセスコントロールリストを設定することで、特定トラヒックを異常トラヒック分析・制御装置へ誘導すると同時にループ発生を回避する従来技術を利用するネットワーク制御において、宛先加入者ユーザ収容装置毎に、順位付けされた複数の迂回先パケット処理装置を規定するリストを作成し、パケット処理装置へトラヒックを迂回する際に、優先度が最も高いパケット処理装置の現在の転送データ量などの処理負荷をチェックし、処理負荷が予め定めた閾値以上であれば、次に優先度の高いパケット処理装置の現処理負荷をチェックし、処理負荷が閾値以下のパケット処理装置を検出した際に、当該パケット処理装置と当該宛先加入者ユーザ収容装置間に論理ポートを設定する。その後は、従来技術を適用し、加入者ユーザ収容装置に対してループを防止するためのアクセスコントロールリストを設定する。また、パケット処理装置へ誘導中のパケットフローの転送データ量が動的に増加した際も、当該パケット処理装置上の一部のパケットフローに対して次候補の誘導先パケット処理装置を特定して誘導先を動的に変更する。
これにより、パケット処理機能を通過させ制御を実施したいトラヒックを、複数のパケット処理装置間で負荷分散しつつ、かつ、従来技術を併用することでループを防止しつつ、送信できる。その際、パケット処理装置は、過剰な処理性能を保有する必要はなく、ネットワーク制御装置は、ネットワーク内の各経路上に設置されている全装置を管理する必要も無い。さらに、同一のエッジルータ配下に攻撃者と被攻撃者が存在する場合でも、パケット処理装置間で負荷分散しつつトラヒックをパケット処理装置へ誘導することができる。
これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
上述の課題を解決するために、本発明では、請求項1では、ネットワーク制御方法において、ネットワーク制御装置が、加入者ユーザ収容装置毎に、優先順位付けされた複数のパケット処理装置リストを管理するとともに、通知されたパケットフローの転送データ量と、通知に記述された宛先加入者ユーザ収容装置に対する第一優先パケット処理装置の転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、一定値を超過しない際は、当該加入者ユーザ収容装置と当該パケット処理装置間に論理ポートを設定し、一定値を超過する際は、優先度が高いパケット処理装置から上記処理を試行して、あるパケット処理装置と当該加入者ユーザ収容装置間に論理ポートを設定するよう試行するネットワーク制御方法を採用する。
さらに、請求項2では、請求項1のネットワーク制御方法において、パケット処理装置は、通過パケットフローの一定時間毎の転送データ量をカウントし、ネットワーク制御装置は、各パケット処理装置に転送されているパケットフローを送信元加入者ユーザ収容装置と宛先加入者ユーザ収容装置と共にフロー管理リストとして管理するとともに、パケット処理装置の一定時間毎の総転送データ量を参照し、転送データ量が予め定めた一定値を超過したパケット処理装置を検出した際に、当該パケット処理装置について、超過分以上の転送データが観測されている単数または複数のパケットフローを特定し、特定したパケットフローに対し、フロー管理リストから、当該パケットフローの宛先加入者ユーザ収容装置を特定し、当該宛先加入者ユーザ収容装置に対する第一優先パケット処理装置の転送データ量と、特定したパケットフローの転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、一定値を超過しない際は、当該パケット処理装置を新たなパケットフロー転送先とし、一定値を超過する際は、優先度が高いパケット処理装置から上記処理を試行して、あるパケット処理装置を新たなパケットフロー転送先と特定するよう試行するネットワーク制御方法を採用する。
さらに、請求項3では、請求項1または2のネットワーク制御方法において、ネットワーク制御装置が、アドレスから当該アドレスを収容する加入者ユーザ収容装置を特定する機能を保有し、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量で構成される制御情報の通知を受けた際に、宛先アドレスから宛先加入者ユーザ収容装置を特定し、送信元アドレスから送信元加入者ユーザ収容装置を特定し、特定した加入者ユーザ収容装置を、通知に記述された加入者ユーザ収容装置として用いるネットワーク制御方法を採用する。
さらに、請求項4では、請求項1ないし3のうちいずれか1項のネットワーク制御方法において、転送データ量の代わりに、転送データ量と転送パケット数および転送パケットフロー数から構成される転送負荷を用いるネットワーク制御方法を採用する。
さらに、請求項5では、請求項1ないし4のうちいずれか1項のネットワーク制御方法において、パケット処理装置のパケット通過制御機能において、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄するネットワーク制御方法を採用する。
さらに、請求項6では、請求項1ないし4のうちいずれか1項のネットワーク制御方法において、パケット処理装置のパケット通過制御機能において、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄するネットワーク制御方法を採用する。
本発明によれば、パケット処理装置間での負荷分散を実現するために、宛先加入者ユーザ収容装置毎に、順位付けされた複数の迂回先パケット処理装置を規定するリストを作成し、パケット処理装置ヘトラヒックを迂回する際に、優先度が最も高いパケット処理装置の現在の転送データ量などの処理負荷をチェックし、処理負荷が予め定めた閾値以上であれば、次に優先度の高いパケット処理装置の現処理負荷をチェックし、処理負荷が閾値以下のパケット処理装置を検出した際に、当該パケット処理装置と当該宛先加入者ユーザ収容装置間に論理ポートを設定する。その後は、従来技術を適用し、加入者ユーザ収容装置に対してループを防止するためのアクセスコントロールリストを設定する。また、パケット処理装置へ誘導中のパケットフローの転送データ量が動的に増加した際も、当該パケット処理装置上の一部のパケットフローに対して次候補の誘導先パケット処理装置を特定して誘導先を動的に変更する。
これにより、パケット処理機能 を通過させ制御を実施したいトラヒックを、複数のパケット処理装置間で負荷分散しつつ、かつ、従来技術を併用することでループを防止しつつ、送信できる。その際、パケット処理装置は、過剰な処理性能を保有する必要はなく、ネットワーク制御装置は、ネットワーク内の各経路上に設置されている全装置を管理する必要も無い。さらに、同一のエッジルータ配下に攻撃者と被攻撃者が存在する場合でも、パケット処理装置間で負荷分散しつつトラヒックをパケット処理装置へ誘導することができる。
これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。
次に、本発明の実施の形態について、図面を用いて説明する。
図1に、本発明を適用するネットワークのネットワークモデルの一例を示す。ネットワークは、加入者ユーザ収容装置1〜4、パケット転送装置5〜6、パケット処理装置7〜8およびそれらを制御するネットワーク制御装置9から構成され、ユーザ端末10から17は、各アクセス網18〜21を経由して、加入者ユーザ収容装置1〜4に収容されている。一般的には、加入者ユーザ収容装置1〜4はエッジノードまたはエッジルータ、パケット転送装置5〜6はコアノードまたはコアルータと呼ばれる。加入者ユーザ収容装置1〜4は、パケット転送装置5〜6によって接続されている。加入者ユーザ収容装置1〜4とパケット転送装置5〜6およびパケット処理装置7〜8からなるネットワークをコアネットワーク22とし、ユーザ端末で構成されるネットワークをユーザネットワーク23とする。
図1に、本発明を適用するネットワークのネットワークモデルの一例を示す。ネットワークは、加入者ユーザ収容装置1〜4、パケット転送装置5〜6、パケット処理装置7〜8およびそれらを制御するネットワーク制御装置9から構成され、ユーザ端末10から17は、各アクセス網18〜21を経由して、加入者ユーザ収容装置1〜4に収容されている。一般的には、加入者ユーザ収容装置1〜4はエッジノードまたはエッジルータ、パケット転送装置5〜6はコアノードまたはコアルータと呼ばれる。加入者ユーザ収容装置1〜4は、パケット転送装置5〜6によって接続されている。加入者ユーザ収容装置1〜4とパケット転送装置5〜6およびパケット処理装置7〜8からなるネットワークをコアネットワーク22とし、ユーザ端末で構成されるネットワークをユーザネットワーク23とする。
加入者ユーザ収容装置1には、装置を識別するためのアドレスとしてコア#1が付与されており、加入者ユーザ収容装置2には、装置を識別するためのアドレスとしてコア#2が付与されており、加入者ユーザ収容装置3には、装置を識別するためのアドレスとしてコア#3が付与されており、加入者ユーザ収容装置4には、装置を識別するためのアドレスとしてコア#4が付与されており、パケット転送装置5には、装置を識別するためのアドレスとしてコア#5が付与されており、パケット転送装置6には、装置を識別するためのアドレスとしてコア#6が付与されており、パケット処理装置7には、装置を識別するためのアドレスとしてコア#7が付与されており、パケット処理装置8には、装置を識別するためのアドレスとしてコア#8が付与されており、それぞれに到達するための経路はルーチングプロトコルにより管理されている。
コア#1〜コア#8は、コアネットワークがIPv4ネットワークであればIPv4アドレスとなり、その際のルーチングプロトコルとしてはOSPF(Open Shortest Path First:RFC2328)などが挙げられる。コアネットワークがIPv6ネットワークであればIPv6アドレスとなり、その際のルーチングプロトコルとしてはOSPFv6(Open Shortest Path First version6:RFC2740)などが挙げられる。また、コアネットワークがMPLS(Multi-Protocol Label Switching)ネットワーク(RFC3031)である場合、ルーチングプロトコルで経路を特定した後、RSVP−TE(Reservation Protocol with Traffic Engineering:RFC3209)やCR−LDP(Constrain−based Label Distribution Protocol:RFC3212)などのシグナリングプロトコルで送信元と宛先のパケット転送装置間にLSP(Label Switched Path)と呼ばれるパスを設定する。
同様に、ユーザ端末10は、アドレスIP#1で識別され、ユーザ端末11は、アドレスIP#2で識別され、ユーザ端末12は、アドレスIP#3で識別され、ユーザ端末13は、アドレスIP#4で識別され、ユーザ端末14は、アドレスIP#5で識別され、ユーザ端末15は、アドレスIP#6で識別され、ユーザ端末16は、アドレスIP#7で識別され、ユーザ端末17は、アドレスIP#8で識別される。
図2に、本発明を適用するネットワークの物理モデルの一例を示す。ネットワーク制御装置9は、ネットワーク内の各装置と接続されている。本実施例では、リンク108〜115により、各装置との接続性を確保している。加入者ユーザ収容装置1とパケット転送装置5はリンク101で接続され、加入者ユーザ収容装置2とパケット転送装置5はリンク102で接続され、加入者ユーザ収容装置3とパケット転送装置6はリンク103で接続され、加入者ユーザ収容装置4とパケット転送装置6はリンク104で接続され、パケット転送装置5とパケット転送装置6はリンク105で接続され、パケット転送装置5とパケット処理装置7はリンク106で接続され、パケット転送装置6とパケット処理装置8はリンク107で接続されている。リンクとしては、光ファイバや光波長のような光パスや、イーサネットケーブルのような物理ケーブルを示している。
図3に、本発明のネットワーク制御方法を実装する通信ネットワークに設置されるネットワーク制御装置の構成例を示す。ネットワーク制御装置は、制御フロー管理機能24および外部装置制御部25を有している。
制御フロー管理機能24は、誘導先管理リスト26と、誘導先トラヒック管理機能27と、フロー誘導先管理機能28を保有する。
誘導先管理リスト26は、加入者ユーザ収容装置毎に、トラヒック誘導先となる複数のパケット処理装置の候補を優先順位づけして管理する機能を有している。本リストは、加入者ユーザ収容装置と各パケット処理装置との位置関係や両装置間の中継路上のホップ数などに基づき、オペレータが静的に設定することを想定するが、ネットワーク制御装置が、両装置間の中継路上の装置のトラヒック負荷状況などから動的に設定してもよい。
誘導先トラヒック管理機能27は、各パケット処理装置の現在の転送データ量情報を収集して管理する機能と、各パケット処理装置の転送データ量の許容上限値を示す閾値を設定して管理する機能を保有する。ネットワーク制御装置は、パケット処理装置の保有するトラヒックカウンタやMIB情報を、コマンドラインインタフェースやSNMP(Simple Network Management Protocol)を用いて収集する。また、閾値は、各パケット処理装置の性能に応じてオペレータにより設定される。なお、誘導先トラヒック管理機能27が、転送データ量情報の代わりに、転送データ量と転送パケット数および転送パケットフロー数から構成される転送負荷情報を収集して管理し、これを用いるようにしてもよい。
フロー誘導先管理機能28は、現在各パケット処理装置へ誘導されているパケットフローの、宛先アドレスおよび送信元アドレスと、宛先加入者ユーザ収容装置のアドレスと、送信元加入者ユーザ収容装置のアドレスと、誘導先パケット処理装置と、転送データ量を管理するフロー管理リストを有している。また、パケット処理装置がパケットフローごとの転送データ量を収集できる場合、本機能で管理されている各パケットフローの転送データ量は、誘導先トラヒック管理機能27が転送データ量を収集する際に、当該装置上のパケットフローの転送データ量も収集することで定期的に更新される。
制御フロー管理機能24は、宛先加入者ユーザ収容装置のアドレスと、送信元加入者ユーザ収容装置のアドレスと、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および、当該パケットフローの転送データ量で構成される制御情報の通知を受信した際に、誘導先管理リストから、宛先加入者ユーザ収容装置に対して第一誘導先候補とされているパケット処理装置を特定する機能と、誘導先トラヒック管理機能27から、特定したパケット処理装置の現転送データ量に当該パケットフローの転送データ量を加算した際に当該パケット処理装置における閾値を超過するか否かを指定する機能と、閾値を超過しなかった際に、トラヒック誘導先を第一誘導先候補であるパケット処理装置へ迂回することを決定して後述の外部装置制御部25に対して宛先加入者ユーザ収容装置と当該パケット処理装置間へ論理ポートを設定するよう指示する機能と、閾値を超過した際に、誘導先管理リスト26から、宛先加入者ユーザ収容装置に対して第二誘導先候補とされているパケット処理装置を特定し、誘導先トラヒック管理機能27から、特定したパケット処理装置の現転送データ量に当該パケットフローの転送データ量を加算した際に当該パケット処理装置における閾値を超過するか否かを特定し、超過した際は制御を断念して制御が不可能な旨をユーザヘ通知し、閾値を超過しなかった際は宛先加入者ユーザ収容装置と当該パケット処理装置間へ論理ポートを設定するよう外部装置制御部25に依頼する機能と、ループを防止しつつ当該論理ポートに当該パケットフローを出力する経路設定を宛先加入者ユーザ収容装置に指示するよう外部装置制御部25に依頼する機能を有している。
また、この機能では、論理ポート設定を指示する前に、フロー誘導先管理機能28を参照し、当該装置間でパケットフローが誘導されているか否かを確認し、誘導されているパケットフローが存在する際は、既に論理ポートが設定されているとして論理ポート設定指示を出さない。また、この機能では、第二誘導先候補のパケット処理装置まで誘導を試行しているが、試行先台数を制限することも可能だが、基本的に誘導先管理リストに記載された全誘導先候補に対して制御を試行する。
なお、宛先加入者ユーザ収容装置のアドレスと、送信元加入者ユーザ収容装置のアドレスと、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および、当該パケットフローの転送データ量で構成される制御情報の通知を受信する代わりに、アドレスから当該アドレスを収容する加入者ユーザ収容装置を特定する機能を保有し、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量で構成される制御情報の通知を受信した際に、宛先アドレスから宛先加入者ユーザ収容装置を特定し、送信元アドレスから送信元加入者ユーザ収容装置を特定するようにしてもよい。
上記に加え、制御フロー管理機能24は、パケットフロー情報で構成される誘導解除を通知された際に、フロー誘導先管理機能28からトラヒック誘導先のパケット処理装置を特定し、当該パケットフローを論理ポートに出力している経路を削除するよう外部装置制御部25に依頼する機能と、宛先加入者ユーザ収容装置と当該パケット処理装置間に設定されている論理ポートを削除するよう外部装置制御部25に依頼する機能と、フロー誘導先管理機能28から当該パケットフロー情報を削除する機能を有している。
また、この機能では、論理ポート削除を指示する前に、フロー誘導先管理機能28を参照し、当該装置間でパケットフローが誘導されているか否かを確認し、誘導されているパケットフローが存在する際は、論理ポート削除指示を省略する。
上記に加え、制御フロー管理機能24は、誘導先トラヒック管理機能27が定期的に収集している各パケット処理装置の転送データ量が閾値を超過した際に、フロー誘導先管理機能28から、当該パケット処理装置へ誘導されているパケットフローを特定し、転送データ量を閾値以下に抑制するよう再誘導候補となる単数または複数のパケットフローを抽出し、抽出したパケットフローの宛先加入者ユーザ収容装置から、誘導先管理リストを検索し、他のパケット処理装置を再誘導先として特定する機能と、特定したパケット処理装置の現転送データ量に当該パケットフローの転送データ量を加算した際に当該パケット処理装置における閾値を超過するか否かを特定する機能と、閾値を超過しなかった際に、トラヒック誘導先を再誘導先候補であるパケット処理装置へ迂回することを決定して外部装置制御部25に対して宛先加入者ユーザ収容装置と当該パケット処理装置間へ論理ポートを設定するよう指示する機能と、閾値を超過した際に、誘導先管理リストから、宛先加入者ユーザ収容装置に対してさらに他の再誘導先候補のパケット処理装置を特定し、誘導先トラヒック管理機能27から、特定したパケット処理装置の現転送データ量に当該パケットフローの転送データ量を加算した際に当該パケット処理装置における閾値を超過するか否かを特定し、超過した際は制御を断念し、閾値を超過しなかった際は宛先加入者ユーザ収容装置と当該パケット処理装置間へ論理ポートを設定するよう外部装置制御部25に依頼する機能と、ループを防止しつつ当該論理ポートに当該パケットフローを出力する経路設定を宛先加入者ユーザ収容装置に指示するよう外部装置制御部25に依頼する機能を有している。また、これら機能では、再誘導先のパケット処理装置として、現誘導先以外のパケット処理装置であって、優先順位の高いパケット処理装置から、候補として試行する。
外部装置制御機能25は、論理ポート設定指示機能29、経路設定指示機能30を有している。
論理ポート設定指示機能29は、制御フロー管理機能24から論理ポートを設定するよう指示された加入者ユーザ収容装置とパケット処理装置に対し、加入者ユーザ収容装置に対しては、パケット処理装置を示すアドレス宛に論理ポートを設定して転送経路を生成するよう指示し、パケット処理装置に対しては、加入者ユーザ収容装置を示すアドレス宛に論理ポートを設定して転送経路を設定するよう指示する機能と、制御フロー管理機能24から論理ポートを削除するよう指示された加入者ユーザ収容装置とパケット処理装置に対し、加入者ユーザ収容装置に対しては、パケット処理装置を示すアドレス宛に設定していた論理ポートを削除して転送経路を削除するよう指示し、パケット処理装置に対しては、加入者ユーザ収容装置を示すアドレス宛に設定していた論理ポートを削除して転送経路を削除するよう指示する機能を有している。
経路設定指示機能30は、宛先加入者ユーザ収容装置とパケット処理装置間に設定された論理ポートに出力すべきパケットのヘッダ情報を通知情報もしくはフロー誘導先管理機能28から指定し、当該パケットヘッダ情報を保有するパケットを当該装置間に設定された論理ポート以外から受信した際に当該論理ポートヘ出力するようACL(Access Control List)ヘエントリ追加するよう指示する機能と、前記ACLエントリを削除するよう指示する機能を有している。
外部装置制御機能25は、各制御の完了通知を当該装置から受信したかを管理し、一定時間通知の受信が確認できない際に、再度上記設定を試行する機能と、各制御の完了通知を当該装置から受信した際に、制御フロー管理機能24に制御完了を通知する機能を有している。
これにより、各パケット処理装置の転送データ量に応じてパケットフローの誘導先を動的に設定でき、パケットヘッダ条件に基づき、特定の転送パケットをパケット処理装置へ送信できる。
これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を、複数のパケット処理装置で負荷分散して実施することが可能となり、異常トラヒック防御を低コストで実現できる。
図4に、本発明のネットワーク制御方法を実装する通信ネットワークに設置される加入者ユーザ収容装置の構成例を示す。加入者ユーザ収容装置は、パケット転送部31とサーバ接続部32で構成される。
パケット転送部31は、転送テーブル33と、アクセスコントロールリスト34と、論理ポート設定機能35を有している。
転送テーブル33は、入力パケットのヘッダ情報から出力ラベル値および出力リンクを導く機能を有している。請求項と比較すると、ラベル値が論理ポートを示している。本実施例では、ヘッダ情報例としてラベル値と宛先アドレスを記述している(転送テーブル33の具体例については図7、図9参照)。ここで、入力ラベル値としてデフォルトとしているものは、ラベルが付与されていないことを示している。従来、ラベルが付与されていないものはIPネットワークのようなコネクションレスネットワーク、ラベルが付与されているものはMPLSネットワークのようなコネクションオリエンテッドネットワークである。IPネットワークでは、ルーチングプロトコルにより出力先が特定され、MPLSネットワークではルーチングプロトコルとシグナリングプロトコルで出力先が特定される。このため、ラベル値の有無で転送テーブルを分割して管理してもよい。さらに、ヘッダ情報として、送信元アドレスを記述し、特定のユーザ間フローのみを別経路に出力するよう、オペレータが設定できるようにしてもよい。
また、本実施例では、転送テーブル33内に出力論理ポートと出力物理ポートを記述しているが、これらも別テーブルとして記述してもよい。この際は、入力ラベルがデフォルトであるエントリに対しては、宛先アドレスから出力物理ポートを導くテーブルに記述される。また、入力ラベル値が指定されているエントリに関しては、入力ラベル値から出力ラベル値を導くテーブルと、出力ラベル値から出力物理ポートを導くテーブルに記述される。
アクセスコントロールリスト34は、転送テーブル33より優先的に適用したい転送情報を管理する機能と、転送テーブル33を参照する前に本機能が保有する転送情報を適用する機能を有している。本実施例では、転送情報として、入力パケットのヘッダ情報と、出力ラベル値および、出力リンクが該当する。また、例えば、入力パケットのヘッダ情報が一部しか記述されていない場合、記述されている情報のみが適用条件となる。
論理ポート設定機能35は、特定のアドレスを保有する宛先との間に論理ポートを設定する機能と、特定のアドレスを保有する宛先との間の論理ポートを削除する機能を有している。例えば、コアネットワークがMPLSネットワークである際は、論理ポート設定機能35がシグナリングプロトコルを使用し、特定のアドレスを保有する宛先との間にLSPを設定する。
サーバ接続部32は、ネットワーク制御装置からの指示を受け付け、ネットワーク制御装置からの指示を各機能へ受け渡す機能と、ネットワーク制御装置からの指示に基づく制御が完了した際に、当該処理の完了通知をネットワーク制御装置に送信する機能を有している。
これにより、加入者ユーザ収容装置は、ネットワーク制御装置からの指示に基づきパケット処理装置間に論理ポートを設定するとともに、パケット処理装置へ送信したいパケットを抽出して当該パケットのみを前記論理ポートへ送信する。さらに、パケット処理装置から受信したパケットに関しては、パケット抽出の対象としない。
これにより、特定パケットのみをパケット処理装置へ送信するとともに、パケット処理装置へ送信するパケットのループ発生を防止する。
図5に、本発明のネットワーク制御方法を実装する通信ネットワークに設置されるパケット処理装置の構成例を示す。パケット処理装置は、転送データ量観測機能39と、パケット処理機能40と、パケット返送機能41およびサーバ接続部42で構成される。
転送データ量観測機能39は、宛先アドレスと送信元アドレスなどのパケットフローのヘッダ情報に対する一定時間毎の転送データ量や総転送データ量をカウントする機能と、ネットワーク制御装置からの転送データ量参照要求に対して現転送データ量を通知する機能を有している。
パケット処理機能40は、単一のパケット通過制御処理を実施する機能を有している。パケット通過制御処理としては、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄する制御や、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄する制御が挙げられる。これらの制御に際しては、宛先アドレスに対して転送パケット数をカウントする転送パケット数カウントテーブルや、宛先アドレスに対して転送データ量を累計する転送データ量カウントテーブルや、各テーブルのエントリを一定周期毎に保存してカウント値をリセットする機能や、上記保存値と閾値を比較する機能や、比較した際に閾値を超過したパケットを可変レートで廃棄する機能や、上記廃棄の継続判断を一定時間毎に実施する機能が必要となる。また、送受信データ量に基づき課金する機能、通過パケットのログを収集管理する機能などもパケット通過処理に含まれる。
パケット返送機能41は、返送経路設定機能43およびパケット返送テーブル44を有している。
返送経路設定機能43は、特定のアドレスを保有する宛先との間に論理ポートを設定する機能と、特定のアドレスを保有する宛先との間に設定された論理ポートを削除する機能を有している。例えば、コアネットワークがMPLSネットワークである際は、返送経路設定機能43がシグナリングプロトコルを使用し、特定のアドレスを保有する宛先との間にLSPを設定する。
パケット返送テーブル44は、受信パケットの入力論理ポートから、当該パケットの誘導元加入者ユーザ収容装置間に設定した出力論理ポートおよび出力物理ポートを導く機能を有しており、本実施例では、受信パケットのラベル値から、当該パケットの誘導元加入者ユーザ収容装置間に設定した論理ポートに割り当てられているラベルおよび出力リンクを導く機能を有している。また、出力論理ポートと出力物理ポートを特定する機能を二つのテーブルに分割してもよい。この際は、入力論理ポートから出力論理ポートを特定するテーブルと、出力論理ポートから出力物理ポートを特定するテーブルを保有することになる。
パケット返送機能41は、前述のネットワーク制御装置から、特定のアドレス間に論理ポートを設定する指示を受けた際に、返送経路設定機能43により、指定されたアドレス間に論理ポートを設定するとともに、指定されたアドレスから論理ポートを設定してきた際に、論理ポートが設定された際に決まる当該経路に対応するラベルから、自身が論理ポートを設定した際に決まる当該経路に対応するラベルを導くよう、パケット返送テーブル44に記述し、自身が論理ポートを設定した際に決まる当該経路の出力先を当該経路に割り当てられたラベルと対となるようパケット返送テーブル44に記述する機能を有している。
さらに、パケット返送機能41は、前述のネットワーク制御装置から、特定のアドレス間の論理ポートを解除する指示を受けた際に、返送経路設定機能43により、指定されたアドレス間の論理ポートを削除し、当該経路に対応するラベルに関するパケット返送テーブル44のエントリを削除する機能を有している。
サーバ接続部42は、ネットワーク制御装置からの指示を受け付け、ネットワーク制御装置からの指示を各機能へ受け渡す機能と、ネットワーク制御装置からの指示に基づく制御が完了した際に、当該処理の完了通知をネットワーク制御装置に送信する機能を有している。
これにより、パケット処理装置は、転送パケットフローの転送データ量を観測するとともに、ネットワーク制御装置からの指示に基づき加入者ユーザ収容装置間に論理ポートを設定し、加入者ユーザ収容装置から受信したパケットを、同加入者ユーザ収容装置へ返送する。
これにより、パケット処理装置は、トラヒックを受信し、分析し、制御しつつ加入者ユーザ収容装置へ返送しつつ、自身の転送データ量を観測してネットワーク制御装置に参照させることができる。
(動作の説明)
図6のネットワークモデルを用いて、本発明の動作例を示す。初期状態において、ユーザ#1からユーザ#5間で、加入者ユーザ収容装置1、リンク101、パケット転送装置5、リンク105、パケット転送装置6、リンク103、加入者ユーザ収容装置3経由でパケットを転送している。当該フローをパケット処理装置へ迂回させる制御を実施するとする。
図6のネットワークモデルを用いて、本発明の動作例を示す。初期状態において、ユーザ#1からユーザ#5間で、加入者ユーザ収容装置1、リンク101、パケット転送装置5、リンク105、パケット転送装置6、リンク103、加入者ユーザ収容装置3経由でパケットを転送している。当該フローをパケット処理装置へ迂回させる制御を実施するとする。
図7に、パケット処理装置への迂回制御前の加入者ユーザ収容装置3の動作例を示す。転送テーブル33は、前述のように、入力パケットのヘッダ情報から出力ラベル値および出力リンクを導く機能を有しており、本実施例では、図7に示すように、入力パケットのヘッダ情報として入力ラベル値と宛先アドレスを記述している。入力ラベル値としてデフォルトとしているものは、ラベルが付与されていないことを示している。
図7は、加入者ユーザ収容装置3が、送信元アドレスがユーザ#1で宛先アドレスがユーザ#5であるパケットをリンク103から受信した場合を示している。加入者ユーザ収容装置3は、パケットを受信した際に、パケット転送部31において、転送テーブル33を参照し、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーから出力リンク116を特定し、当該パケットをリンク116へ出力する。
図8に、パケット処理装置への迂回開始時のネットワーク制御装置9の動作例を示す。誘導先管理リスト26は、前述のように、加入者ユーザ収容装置毎に、トラヒック誘導先となる複数のパケット処理装置の候補を優先順位づけして管理する機能を有しており、図8の例では、例えば3行目はコア#3(加入者ユーザ収容収容装置3)のトラヒック誘導先の候補1がコア#8(パケット処理装置8)であり、候補2がコア#7(パケット処理装置7)であることを示している。誘導先トラヒック管理機能27は、前述のように、各パケット処理装置の現在の転送データ量情報を収集して管理する機能と、各パケット処理装置の転送データ量の許容上限値を示す閾値を設定して管理する機能を保有しており、図8の例では、例えば2行目に示すように、コア#8(パケット処理装置8)の現在の転送データ量は100Mb/s(byte per second)であり、転送データ量の許容上限値を示す閾値は500Mb/sである。
ネットワーク制御装置9は、制御対象とするパケットフローのヘッダ情報、当該パケットの送信元加入者ユーザ収容装置、宛先加入者ユーザ収容装置および当該パケットフローの転送データ量からなる制御情報(図8の例では、宛先アドレス:ユーザ#5、宛先加入者ユーザ収容装置:コア#3、送信元加入者ユーザ収容装置:コア#1、転送データ量:200Mb/s)を受信した際、宛先加入者ユーザ収容装置コア#3を検索キーとして誘導先管理リスト26を検索し誘導先候補1であるコア#8を特定し、誘導先トラヒック管理機能27を用いて、コア#8の現転送データ量100Mb/s(byte per second)に当該パケットフローの転送データ量200Mb/sを加えた際に閾値500Mb/sを下回ることを確認した後、当該パケットフローの誘導先パケット処理装置をコア#8に決定し、誘導先トラヒック管理機能27に当該パケットフロー情報を追加するとともに、下記の制御を実施する。
(a)論理ポート設定指示機能29を用い、当該宛先加入者ユーザ収容装置を示すアドレスコア#3に対し、迂回先のパケット処理装置を示すアドレスコア#8への論理ポート設定を指示する。
(b)論理ポート設定指示機能29を用い、当該パケット処理装置を示すアドレスコア#8に対し、迂回元の加入者ユーザ収容装置を示すアドレスコア#3への論理ポート設定を指示する。
(c)経路設定指示機能30を用い、当該加入者ユーザ収容装置を示すアドレスコア#3に対し、迂回先のパケット処理装置を示すアドレスコア#8への論理ポートに割り当てられたラベルを、宛先アドレスがユーザ#5であるパケットヘ付与するよう指示する。
この際、誘導先トラヒック管理機能27が複数のフローを管理しており、加入者ユーザ収容装置コア#3とパケット処理装置コア#8を保有する別エントリが存在する場合、(a)および(b)の処理は省略する。
(b)論理ポート設定指示機能29を用い、当該パケット処理装置を示すアドレスコア#8に対し、迂回元の加入者ユーザ収容装置を示すアドレスコア#3への論理ポート設定を指示する。
(c)経路設定指示機能30を用い、当該加入者ユーザ収容装置を示すアドレスコア#3に対し、迂回先のパケット処理装置を示すアドレスコア#8への論理ポートに割り当てられたラベルを、宛先アドレスがユーザ#5であるパケットヘ付与するよう指示する。
この際、誘導先トラヒック管理機能27が複数のフローを管理しており、加入者ユーザ収容装置コア#3とパケット処理装置コア#8を保有する別エントリが存在する場合、(a)および(b)の処理は省略する。
図9に、パケット処理装置への迂回開始時の加入者ユーザ収容装置3の動作例を示す。 加入者ユーザ収容装置3は、ネットワーク制御装置9からの指示(a)に対し、論理ポート設定機能35を用いて、パケット処理装置コア#8に対して論理ポートを設定する。この際、パケット処理装置コア#8からも、(b)に対応する論理ポートが設定される。加入者ユーザ収容装置3は、前記論理ポートに付与されたラベル#1および後記論理ポートに付与されたラベル#2を特定する。また、ネットワーク制御装置9からの指示(c)に対し、指定されたヘッダ条件である「宛先アドレスがユーザ#5であるパケット」に対して、前記論理ポートに割り当てたラベル#1およびラベル#1に対応する出力リンク103を特定するためのエントリをアクセスコントロールリスト34に追加する。ここで、入力ラベル値は、パケット処理装置コア#8間に設置した論理ポートに割り当てたラベル#2以外の任意値とし、デフォルトも含めた全ての入力ラベル値に対して当該エントリを有効とする。
この際、図7と同パケットを受信すると、アクセスコントロールリスト34にヒットし、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーから出力ラベル#1、出力リンク103を特定し、当該パケットをリンク103へ出力する。
このように、制御対象とするヘッダ情報、当該パケットの宛先加入者ユーザ収容装置、当該パケットを送信するパケット処理装置がネットワーク制御装置に入力された際に、当該パケットをパケット処理装置へ送信することが可能となる。
図10に、パケット処理装置への迂回開始時のパケット処理装置8の動作例を示す。
パケット処理装置8は、ネットワーク制御装置9からの指示(b)に対し、返送経路設定機能43を用いて、パケット転送装置コア#3に対して論理ポートを設定する。この際、加入者ユーザ収容装置コア#3からも(a)に対応する論理ポートが設定される。
パケット処理装置8は、ネットワーク制御装置9からの指示(b)に対し、返送経路設定機能43を用いて、パケット転送装置コア#3に対して論理ポートを設定する。この際、加入者ユーザ収容装置コア#3からも(a)に対応する論理ポートが設定される。
パケット処理装置8は、前記論理ポートに付与されたラベル#2および後記論理ポートに付与されたラベル#1を特定し、ラベル#1から返送用のラベル#2およびラベル#2に対する出力リンク107を特定するためのエントリをパケット返送テーブル44に設定する。パケット返送テーブル44は、受信パケットの入力論理ポートから当該パケットの誘導元加入者ユーザ収容装置間に設定した出力論理ポートおよび出力物理ポートを導くためのテーブルである。
この際、図9の加入者ユーザ収容装置3から転送されたパケットを受信すると、パケット処理機能40を中継し、制御後のパケットをパケット返送機能41へ転送する。パケット返送機能41では、パケット返送テーブル44を参照して、当該パケットのラベル#1から返送経路に出力するためのラベル#2および出力リンク107を特定し、ラベル#1を削除するとともにラベル#2で再カプセリングしてリンク107へ当該パケットを送信する。
また、パケット処理装置8は、転送データ量観測機能39により、受信パケットの送信元アドレスと宛先アドレスに対する転送データ量をカウントする。カウントデータは、一定周期毎に集計し、ネットワーク制御装置9が各パケット処理装置のカウントデータをSNMP参照要求で参照するか、各パケット処理装置がネットワーク制御装置9へSNMPトラップ通知で通知する。
このように、制御対象とするヘッダ情報、当該パケットの宛先加入者ユーザ収容装置、当該パケットを送信するパケット処理装置がネットワーク制御装置に入力された際に、当該パケットは、パケット処理装置へ送信され、パケット処理装置でヘッダ情報ごとの転送データ量を集計された後、分析され、正常なトラヒックに関わるパケットは、パケットが抽出された加入者ユーザ収容装置へ返送される。
これにより、パケット処理装置の転送データ量を観測しつつ、パケット処理装置への迂回経路設定および異常トラヒック分析・制御が可能となる。
図11に、パケット処理装置への迂回制御後の転送経路を示す。ユーザ#1からユーザ#5間で、加入者ユーザ収容装置1、リンク101、パケット転送装置5、リンク105、パケット転送装置6、リンク103、加入者ユーザ収容装置3、リンク103、パケット転送装置6、リンク107、パケット処理装置8、リンク107、パケット転送装置6、リンク103、加入者ユーザ収容装置3経由でパケットを転送している。
このように、本発明は、制御対象パケットフローが発生した際に、加入者ユーザ収容装置毎に決められている、優先順位された複数のパケット処理装置から、パケットフロー誘導先のパケット処理装置を特定し、加入者ユーザ処理装置3およびパケット処理装置8間でのループを防止しつつ、特定のパケットをパケット処理装置8へ迂回させることができる。
図12に、複数パケット処理装置間での負荷分散が必要となる、パケット処理装置への迂回開始時のネットワーク制御装置9の動作例を示す。
ネットワーク制御装置9は、制御対象とするパケットフローのヘッダ情報、当該パケットの送信元加入者ユーザ収容装置、宛先加入者ユーザ収容装置および当該パケットフローの転送データ量からなる制御情報(図12の例では、宛先アドレス:ユーザ#5、宛先加入者ユーザ収容装置:コア#3、送信元加入者ユーザ収容装置:コア#1、転送データ量:200Mb/s)を受信した際、宛先加入者ユーザ収容装置コア#3を検索キーとして誘導先管理リスト26を検索し誘導先候補1であるコア#8を特定し、コア#8の現転送データ量400Mb/s(byte per second)に当該パケットフローの転送データ量200Mb/sを加えた際に閾値500Mb/sを上回るため、誘導先候補2であるコア#7を特定し、コア#7の現転送データ量100Mb/s に当該パケットフローの転送データ量200Mb/sを加えた際に閾値400Mb/sを下回ることを確認し、当該パケットフローの誘導先パケット処理装置をコア#7に決定し、フロー誘導先管理機能に当該パケットフロー情報を追加するとともに、図8に記載した(a)以降の制御を実施する。
ネットワーク制御装置9は、制御対象とするパケットフローのヘッダ情報、当該パケットの送信元加入者ユーザ収容装置、宛先加入者ユーザ収容装置および当該パケットフローの転送データ量からなる制御情報(図12の例では、宛先アドレス:ユーザ#5、宛先加入者ユーザ収容装置:コア#3、送信元加入者ユーザ収容装置:コア#1、転送データ量:200Mb/s)を受信した際、宛先加入者ユーザ収容装置コア#3を検索キーとして誘導先管理リスト26を検索し誘導先候補1であるコア#8を特定し、コア#8の現転送データ量400Mb/s(byte per second)に当該パケットフローの転送データ量200Mb/sを加えた際に閾値500Mb/sを上回るため、誘導先候補2であるコア#7を特定し、コア#7の現転送データ量100Mb/s に当該パケットフローの転送データ量200Mb/sを加えた際に閾値400Mb/sを下回ることを確認し、当該パケットフローの誘導先パケット処理装置をコア#7に決定し、フロー誘導先管理機能に当該パケットフロー情報を追加するとともに、図8に記載した(a)以降の制御を実施する。
このように、本発明は、制御対象パケットフローが発生した際に、加入者ユーザ収容装置毎に決められている、優先順位された複数のパケット処理装置から、パケットフロー誘導先のパケット処理装置を特定するが、その際に、制御後に輻輳が発生する可能性があると判断された際、次候補のパケット処理装置を特定する。
これにより、複数のパケット処理装置間での負荷分散を実現し、異常トラヒック分析・制御を低コストで実現可能となる。
図13に、図12に記載の負荷分散を適用した制御後の転送経路を示す。図11の制御時と同じ制御情報を受信しているが、本図では、ユーザ#1からユーザ#5間で、加入者ユーザ収容装置1、リンク101、パケット転送装置5、リンク105、パケット転送装置6、リンク103、加入者ユーザ収容装置3、リンク103、パケット転送装置6、リンク105、パケット転送装置5、リンク106、パケット処理装置7、リンク106、パケット転送装置5、リンク105、パケット転送装置6、リンク103、加入者ユーザ収容装置3経由でパケットを転送している。
また、図14に、制御情報を受信した際以外に、複数のパケット処理装置間で動的負荷分散を実施する際のネットワーク制御装置の動作例を示す。フロー誘導先管理機能28は、誘導先パケット処理装置と、現在誘導先パケット処理装置へ誘導されているパケットフローの、宛先アドレスおよび送信元アドレスと、宛先加入者ユーザ収容装置のアドレスと、送信元加入者ユーザ収容装置のアドレスと、転送データ量を管理するフロー管理リストを有している。
ネットワーク制御装置9は、各パケット処理装置の転送データ量を定期的に収集する。この際に、収集時の転送データ量と誘導先トラヒック管理機能27が管理する閾値を比較する。ここで、パケット処理装置コア#8の総転送データ量が閾値を100Mb/s上回ったことを検出した場合(図14の例では、600Mb/s(コア#8の総転送データ量)−500Mb/s(コア#8の閾値)=100Mb/sだけコア#8の総転送データ量がコア#8の閾値を超過している)、当該パケット処理装置へ誘導されている単数または複数のパケットフローを、誘導先トラヒック管理機能27から特定し、閾値超過分の100Mb/s以上の転送データ量を保有する単数または複数のパケットフローを抽出する。本実施例では、単数の場合を例とするが、複数の場合は、単数の場合を複数回繰り返すことで対応できる。本実施例では、宛先ユーザアドレスがユーザ#5、送信元アドレスがユーザ#1のパケットフローが制御対象パケットフローとして特定される。
このパケットフローの宛先加入者ユーザ収容装置はコア#3であることから、コア#3を検索キーとして誘導先管理リスト26を検索し、候補1のパケット処理装置コア#8を特定するが、コア#8が現誘導先パケット処理装置であることから、候補2のパケット処理装置コア#7を新規誘導先として仮定する。また、候補1が現誘導先でない場合は、候補1を新規迂回先として仮定する。
ネットワーク制御装置9は、誘導先トラヒック管理機能27から、仮定したパケット処理装置コア#7の現転送データ量100Mb/sを特定し、制御対象パケットフローの転送データ量200Mb/sと加算した際に閾値400Mb/sを下回ることを確認した後、当該パケット処理装置コア#7を新規誘導先として決定する。また、閾値を上回ることが確認された際は、誘導先管理リスト26から次候補を特定する。パケット処理装置コア#7を新規誘導先として決定した後は、フロー誘導先管理機能の当該パケットフロー情報の誘導先パケット処理装置をコア#7に更新するとともに、下記の制御を実施する。
(a)論理ポート設定指示機能29を用い、当該宛先加入者ユーザ収容装置を示すアドレスコア#3に対し、迂回先のパケット処理装置を示すアドレスコア#7への論理ポート設定を指示する。
(b)論理ポート設定指示機能29を用い、当該パケット処理装置を示すアドレスコア#7に対し、迂回元の加入者ユーザ収容装置を示すアドレスコア#3への論理ポート設定を指示する。
(c)経路設定指示機能30を用い、当該加入者ユーザ収容装置を示すアドレスコア#3に対し、宛先アドレスがユーザ#5であるパケットヘ付与するラベルを、コア#8への論理ポートに割り当てられたラベルから、コア#7への論理ポートに割り当てられたラベルに変更するよう指示する。
この際、誘導先トラヒック管理機能27が複数のフローを管理しており、加入者ユーザ収容装置コア#3とパケット処理装置コア#7を保有する別エントリが存在する場合、(a)および(b)の処理は省略する。
(b)論理ポート設定指示機能29を用い、当該パケット処理装置を示すアドレスコア#7に対し、迂回元の加入者ユーザ収容装置を示すアドレスコア#3への論理ポート設定を指示する。
(c)経路設定指示機能30を用い、当該加入者ユーザ収容装置を示すアドレスコア#3に対し、宛先アドレスがユーザ#5であるパケットヘ付与するラベルを、コア#8への論理ポートに割り当てられたラベルから、コア#7への論理ポートに割り当てられたラベルに変更するよう指示する。
この際、誘導先トラヒック管理機能27が複数のフローを管理しており、加入者ユーザ収容装置コア#3とパケット処理装置コア#7を保有する別エントリが存在する場合、(a)および(b)の処理は省略する。
このように、本発明は、パケット処理装置へ誘導中のパケットフローの転送データ量が動的に増加してパケット処理装置で輻輳が発生する可能性がある場合でも、加入者ユーザ収容装置毎に決められている、優先順位付けされた複数のパケット処理装置から、制御後に輻輳が発生しない新規誘導先パケット処理装置を特定する。
これにより、複数のパケット処理装置間での動的な負荷分散を実現し、異常トラヒック分析・制御を低コストで実現可能となる。
以上説明した各装置は、その機能を実現するための手段を有しており、その手段はコンピュータと記憶装置に記憶されたプログラムで構成できる。また、そのプログラムの一部または全部に代えてハードウェアで構成することもできる。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
1〜4…加入者ユーザ収容装置、5〜6…パケット転送装置、7〜8…パケット処理装置、9…ネットワーク制御装置、10〜17…ユーザ端末、18〜21…アクセス網、22…コアネットワーク、23…ユーザネットワーク、24…制御フロー管理機能、25…外部装置制御部、26…接続先管理リスト、27…誘導先トラヒック管理機能、28…フロー接続先管理機能、29…論理ポート設定指示機能、30…経路設定指示機能、31…パケット転送部、32…サーバ接続部、33…転送テーブル、34…アクセスコントロールリスト、35…論理ポート設定機能、39…転送データ量観測機能、40…パケット処理機能、41…パケット返送機能、42…サーバ接続部、43…返送経路設定機能、44…パケット返送テーブル、101〜116…リンク
Claims (6)
- 論理ポートを設定可能な複数の加入者ユーザ収容装置と、論理ポートを設定可能であり、パケットの通過制御機能を搭載する複数のパケット処理装置と、宛先加入者ユーザ収容装置のアドレスと送信元加入者ユーザ収容装置のアドレスと宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量で構成される制御情報の通知を受けるネットワーク制御装置と、を有するパケット転送ネットワークにおけるネットワーク制御方法であって、
前記ネットワーク制御装置が、
前記加入者ユーザ収容装置毎に、優先順位付けされた複数のパケット処理装置リストを管理するとともに、
通知されたパケットフローの転送データ量と、通知に記述された宛先加入者ユーザ収容装置に対する第一優先パケット処理装置の転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、
一定値を超過しない際は、当該加入者ユーザ収容装置と当該パケット処理装置間に論理ポートを設定し、
一定値を超過する際は、優先度が高いパケット処理装置から上記処理を試行して、あるパケット処理装置と当該加入者ユーザ収容装置間に論理ポートを設定するよう試行する
ことを特徴とするネットワーク制御方法。 - 請求項1に記載のネットワーク制御方法において、
前記パケット処理装置は、
通過パケットフローの一定時間毎の転送データ量をカウントし、
前記ネットワーク制御装置は、
各パケット処理装置に転送されているパケットフローを送信元加入者ユーザ収容装置と宛先加入者ユーザ収容装置と共にフロー管理リストとして管理するとともに、
パケット処理装置の一定時間毎の総転送データ量を参照し、転送データ量が予め定めた一定値を超過したパケット処理装置を検出した際に、当該パケット処理装置について、超過分以上の転送データが観測されている単数または複数のパケットフローを特定し、特定したパケットフローに対し、前記フロー管理リストから、当該パケットフローの宛先加入者ユーザ収容装置を特定し、当該宛先加入者ユーザ収容装置に対する第一優先パケット処理装置の転送データ量と、特定したパケットフローの転送データ量を加算し、予め定めた一定値を超過するか否かを確認し、
一定値を超過しない際は、当該パケット処理装置を新たなパケットフロー転送先とし、
一定値を超過する際は、優先度が高いパケット処理装置から上記処理を試行して、あるパケット処理装置を新たなパケットフロー転送先と特定するよう試行する
ことを特徴とするネットワーク制御方法。 - 請求項1または2に記載のネットワーク制御方法において、
前記ネットワーク制御装置が、
宛先加入者ユーザ収容装置のアドレスと送信元加入者ユーザ収容装置のアドレスと宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量で構成される制御情報の通知を受ける代わりに、
アドレスから当該アドレスを収容する加入者ユーザ収容装置を特定する機能を保有し、宛先アドレスと送信元アドレスで構成されるパケットフロー情報および当該パケットフローの転送データ量で構成される制御情報の通知を受けた際に、宛先アドレスから宛先加入者ユーザ収容装置を特定し、送信元アドレスから送信元加入者ユーザ収容装置を特定し、特定した加入者ユーザ収容装置を、通知に記述された加入者ユーザ収容装置として用いることを特徴とするネットワーク制御方法。 - 請求項1ないし3のうちのいずれか1項に記載のネットワーク制御方法において、
転送データ量の代わりに、転送データ量と転送パケット数および転送パケットフロー数から構成される転送負荷を用いることを特徴とするネットワーク制御方法。 - 請求項1ないし4のうちのいずれか1項に記載のネットワーク制御方法において、
前記パケット処理装置が、
前記パケット通過制御機能のパケット通過処理として、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄することを特徴とするネットワーク制御方法。 - 請求項1ないし4のうちのいずれか1項に記載のネットワーク制御方法において、
前記パケット処理装置が、
前記パケット通過制御機能のパケット通過処理として、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄することを特徴とするネットワーク制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007048246A JP4279324B2 (ja) | 2007-02-28 | 2007-02-28 | ネットワーク制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007048246A JP4279324B2 (ja) | 2007-02-28 | 2007-02-28 | ネットワーク制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008211690A JP2008211690A (ja) | 2008-09-11 |
| JP4279324B2 true JP4279324B2 (ja) | 2009-06-17 |
Family
ID=39787606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007048246A Expired - Fee Related JP4279324B2 (ja) | 2007-02-28 | 2007-02-28 | ネットワーク制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4279324B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102712155B (zh) * | 2010-01-18 | 2015-03-04 | 株式会社普利司通 | 轮胎制造装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4592800B2 (ja) * | 2009-03-12 | 2010-12-08 | パナソニック株式会社 | 経路選択装置、経路選択方法、およびプログラム |
| CN102148751B (zh) * | 2010-12-16 | 2014-04-23 | 福建星网锐捷网络有限公司 | 逻辑接口管理方法、装置及网络设备 |
| JP2012130223A (ja) | 2010-12-17 | 2012-07-05 | Samsung Electronics Co Ltd | 同期モータ |
-
2007
- 2007-02-28 JP JP2007048246A patent/JP4279324B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102712155B (zh) * | 2010-01-18 | 2015-03-04 | 株式会社普利司通 | 轮胎制造装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008211690A (ja) | 2008-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
| Ioannidis et al. | Implementing pushback: Router-based defense against DDoS attacks | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| US20190297017A1 (en) | Managing network congestion using segment routing | |
| KR101900154B1 (ko) | DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치 | |
| JP4547340B2 (ja) | トラフィック制御方式、装置及びシステム | |
| US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
| US20070055789A1 (en) | Method and apparatus for managing routing of data elements | |
| US8339971B2 (en) | Network protection via embedded controls | |
| US10986018B2 (en) | Reducing traffic overload in software defined network | |
| JP4380710B2 (ja) | トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム | |
| JP6599819B2 (ja) | パケット中継装置 | |
| Afaq et al. | Large flows detection, marking, and mitigation based on sFlow standard in SDN | |
| CN113037731B (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
| Gkounis | Cross-domain DoS link-flooding attack detection and mitigation using SDN principles | |
| KR101352553B1 (ko) | 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템 | |
| JP4279324B2 (ja) | ネットワーク制御方法 | |
| JP6939726B2 (ja) | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 | |
| JP4260848B2 (ja) | ネットワーク制御方法 | |
| JP4244356B2 (ja) | トラヒック分析・制御システム | |
| JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| JP4516612B2 (ja) | ネットワーク制御方法およびネットワーク制御装置 | |
| JP2006050442A (ja) | トラヒック監視方法及びシステム | |
| US20190230115A1 (en) | Fatigue-based segment routing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090310 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090311 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120319 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4279324 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130319 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |