[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JPWO2014112616A1 - 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム - Google Patents

制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム Download PDF

Info

Publication number
JPWO2014112616A1
JPWO2014112616A1 JP2014557526A JP2014557526A JPWO2014112616A1 JP WO2014112616 A1 JPWO2014112616 A1 JP WO2014112616A1 JP 2014557526 A JP2014557526 A JP 2014557526A JP 2014557526 A JP2014557526 A JP 2014557526A JP WO2014112616 A1 JPWO2014112616 A1 JP WO2014112616A1
Authority
JP
Japan
Prior art keywords
entry
packet
switch
condition
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014557526A
Other languages
English (en)
Inventor
靖伸 千葉
靖伸 千葉
一志 須尭
一志 須尭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2014112616A1 publication Critical patent/JPWO2014112616A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

集中制御型のネットワークにおけるスイッチに設定するフローエントリの管理負担を軽減する。制御装置は、スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定し、前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定する。

Description

[関連出願についての記載]
本発明は、日本国特許出願:特願2013−008835号(2013年 1月21日出願)に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、制御装置、通信装置、通信システム、スイッチの制御方法及びプログラムに関し、特に、ネットワークに配置されたスイッチを集中制御する制御装置、通信システム、スイッチの制御方法及びプログラムに関する。
近年、オープンフロー(OpenFlow)という技術が提案されている(非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチ条件(Match Fields)と、フロー統計情報(Counters)と、処理内容を定義したインストラクション(Instructions)と、の組が定義される(非特許文献2の「4.1 Flow Table」の項参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチ条件(非特許文献2の「4.3 Match Fields」参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットの処理内容の決定の要求(Packet−Inメッセージ)を送信する。オープンフロースイッチは、処理内容が定められたフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行う。
非特許文献2のOpenFlow Switch Specification Version 1.1.0では、さらに、処理内容(Instruction)として、他のフローテーブルへの遷移を指示する命令(Go−to Table)を設定することにより、複数のフローテーブルを使って複数の処理内容を実行するパイプライン処理を実施することもできる(非特許文献2の「4.1.1 Pipeline Processing」参照)。
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成24(2012)年11月22日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "OpenFlow Switch Specification" Version 1.1.0 Implemented (Wire Protocol 0x02)、[online]、[平成24(2012)年11月22日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
以下の分析は、本発明によって与えられたものである。非特許文献2には、上述の通り、複数のフローテーブルを用いてパケットの処理を行うことが記載されている。しかしながら、上述したように、パイプライン処理を用いて、あるフローテーブルのエントリでパケットのヘッダを書き換えた後、次のフローテーブルでは前記書き換え後のヘッダにて該当するエントリを検索するといった用法が記載されるに止まっており、複数のフローテーブルの具体的用法については記載されていない。
非特許文献1には、上述の通り、オープンフロースイッチに関する記載が開示されているが、スイッチがフローテーブルを複数有することに関しては記載されていない。
本発明は、集中制御型のネットワークのスイッチに設定するエントリの管理負担の軽減に貢献できる制御装置、通信装置、通信システム、スイッチの制御方法及びプログラムを提供することを目的とする。
第1の視点によればパケットを処理するための規則を含むエントリをスイッチに設定する制御装置であって、前記スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定し、前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定する制御装置が提供される。
第2の視点によれば、パケットを処理するための規則を含むエントリを制御装置から受信し、当該エントリに従って前記パケットを処理する通信装置であって、前記通信装置の受信パケットをフィルタリングするための第1のエントリを格納するための第1のテーブルと、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを格納するための第2のテーブルと、を備える通信装置が提供される。
第3の視点によれば、受信パケットをフィルタリングするための第1のエントリを格納するための第1のテーブルと、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを格納するための第2のテーブルと、を備え、前記第1、第2のテーブルに格納するエントリを制御装置から受信し、当該エントリに従って前記パケットを処理する通信装置と、前記スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定し、前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定する制御装置と、を含む通信システムが提供される。
第4の視点によれば、パケットを処理するための規則を含むエントリをスイッチに設定する制御装置が、前記スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定するステップと、前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定するステップと、を含むスイッチの制御方法が提供される。本方法は、スイッチを制御する制御装置という、特定の機械に結びつけられている。
第5の視点によれば、パケットを処理するための規則を含むエントリをスイッチに設定するコンピュータに、前記スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定する処理と、前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジエントな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、複数のテーブルを用いて、スイッチが受信するパケットに対するフィルタリングを行うことが可能となる。
本発明の第1の実施形態の構成を示す図である。 本発明の第1の実施形態の動作を説明するための図である。 本発明の第1の実施形態の通信システムの構成を示す図である。 本発明の第1の実施形態のスイッチの構成を表した図である。 本発明の第1の実施形態のテーブルの例を示した図である。 本発明の第1の実施形態の制御装置の構成を表した図である。 本発明の第1の実施形態の制御装置の変形構成を表した図である。 本発明の第1の実施形態のテーブルの別の例を示した図である。 本発明の第1の実施形態の通信システムの構成を示す図である。 本発明の第1の実施形態のスイッチにおいて、テーブルを1つ用いる場合のエントリの設定例を示した図である。 本発明の第1の実施形態のテーブルの例を示した図である。 本発明の第2の実施形態の通信システムの構成を表した図である。 本発明の第2の実施形態のスイッチの詳細構成を示す図である。 本発明の第2の実施形態の制御装置の詳細構成を示す機能ブロック図である。 本発明の第2の実施形態の制御装置の仮想ネットワーク構成管理部に保持される仮想ネットワーク構成情報の一例である。 本発明の第2の実施形態の制御装置によってスイッチに設定される第1のテーブルのエントリの例である。 本発明の第2の実施形態の制御装置によってスイッチに設定される第2のテーブルのエントリの例である。 本発明の第2の実施形態の制御装置によってスイッチに設定される第3のテーブルのエントリの例である。 本発明の第2の実施形態の制御装置のアクセスポリシ管理部に保持されるアクセスポリシの一例である。 図19のアクセスポリシによる第2のテーブルの操作内容を説明するための図である。 図12のスイッチ200Bの接続により更新された仮想ネットワーク構成情報の一例である。 図12のスイッチ200Bの接続による第1のテーブルの操作内容を説明するための図である。 図12のスイッチ200Bの接続による第3のテーブルの操作内容を説明するための図である。 本発明の第1の実施形態のスイッチの動作を説明するための図である。 図22、図23のテーブルに設定されたエントリにより実現されるパケット転送経路を示す図である。 本発明の第3の実施形態の制御装置によってスイッチに設定される第1のテーブルのエントリの例である。 本発明の第3の実施形態の制御装置によってスイッチに設定される第2のテーブルのエントリの例である。 本発明の第3の実施形態の制御装置によってスイッチに設定される第3のテーブルのエントリの例である。 図12のスイッチ200Bの接続による第1のテーブルの操作内容を説明するための図である。 図12のスイッチ200Bの接続による第2のテーブルの操作内容を説明するための図である。 図12のスイッチ200Bの接続による第3のテーブルの操作内容を説明するための図である。 本発明の第3の実施形態のスイッチの動作を説明するための図である。
[第1の実施形態]
はじめに本発明の第1の実施形態について図面を参照して説明する。なお、以下の実施形態に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
第1の実施形態は、図1に示すように、複数のテーブルを参照して受信パケットを処理するスイッチ20に、受信パケットをフィルタリングする第1のテーブル23−1と、第1のテーブル23−1によって選別されたパケットを処理する第2のテーブル23−2と、を保持させるスイッチ制御部を備える制御装置を有する通信システムに適用できる。スイッチ20は、それぞれ物理的なスイッチでもよいが、サーバ等の装置上で動作する仮想スイッチであってもよい。また、スイッチ20は、携帯電話やスマートフォン等の端末上で仮想的に動作する仮想スイッチであってもよい。
例えば、第1のテーブル23−1には、フィルタリング対象のパケットを特定するためのマッチ条件と、廃棄等の処理内容とを対応付けたエントリと、その他のパケットを特定するマッチ条件と、第2のテーブル23−2を参照して処理するよう指示する処理内容とを対応付けたエントリとが設定される。上記構成によれば、図2に示すように、スイッチ20は、第1のテーブル23−1を参照して、例えば、第2のテーブル23−2を参照した処理決定の対象となるパケットと、それ以外のパケットとを選別する動作を行う。そして、スイッチ20は、第2のテーブル23−2を参照して、前記選別されたパケットについて適用する処理を求め、転送処理等を実行する。なお、第1のテーブル23−1を用いて行われるフィルタリングの例としては、例えば、ループを発生させるパケットや異常パケット等を廃棄することや、ある特定のホスト間の通信や特定のパケット等に対するアクセス制御を行うこと等が挙げられる。また、これらのパケットに適用する処理としては、廃棄のほか、所定の宛先へのリダイレクトなどを行ってもよい。また、図2の例では、第1のテーブル23−1が一つである例を示しているが、第1のテーブル23−1に相当するテーブルを複数用意し、それぞれのテーブルを用いて、異なる観点でフィルタリングを行うようにしてもよい。
図3は、第1の実施形態の通信システムの構成を示す図である。本発明は、第1の実施形態において、複数のスイッチ20A、20Bを制御して端末とサーバ間の通信を実現する制御装置にて実現できる。
図4は、スイッチ20A、20B(以下、スイッチ20A、20Bを特に区別しない場合「スイッチ20」と記す。)の詳細構成を示す図である。図4を参照すると、制御メッセージ送受信部21と、パケット処理部22と、テーブル23とを備えた構成が示されている。なお、以下では、第1のテーブルと第2のテーブルとを区別しない場合「テーブル23」とも記す。
制御メッセージ送受信部21は、制御装置100からテーブルの操作に関する制御メッセージを受信し、テーブルの更新を行う。また、制御メッセージ送受信部21は、制御装置100に対するテーブル23に登録するエントリの送信要求や、制御装置100からのパケット出力指示に応じた動作を実行する。
パケット処理部22は、パケットを受信すると、テーブル23を参照し、受信パケットに適合するマッチ条件を持つエントリを検索し、該当するエントリに定められた動作を実行する。
テーブル23は、上述の通り、第1のテーブルと、第2のテーブルとを含む。
図5は、テーブル23の構成例を示している。図5の例では、マッチ条件が「A」というパケットに対しては通信を許容し、マッチ条件が「B」というパケットに対しては、フィルタリングを行うというポリシを適用している。
第1のテーブルの1番目のエントリには、「A」というマッチ条件のパケットに対しては、第2のテーブルを参照させるという処理が設定されている。また、第1のテーブルの2番目のエントリには、「B」というマッチ条件のパケットに対して、そのパケットを廃棄するという処理が設定されている。
また、第2のテーブルの1番目のエントリには、マッチ条件「A」というパケットに対して、そのパケットをポート#2から転送させるという処理が設定されている。
図6は、第1の実施形態の制御装置100Cの構成を表した図である。制御装置100Cは、フィルタリングポリシ管理部111と、処理決定部113と、2つのテーブル操作部114、115と、スイッチ通信部107とを備えて、スイッチ20を制御する構成が示されている。なお、図6の例では、テーブル操作部は2つ設けられているが、複数ではなく、制御装置100C内に1つ設けられていてもよい。
より具体的には、フィルタリングポリシ管理部111は、スイッチが受信するパケットをフィルタリングするためのポリシを管理する。前記ポリシ(フィルタリングポリシ)の例としては、ホストからのループパケット等、異常なパケットを廃棄するためのポリシや、ある特定のホストからのパケットを廃棄するようなアクセス制御のためのポリシ等が挙げられる。
そして、テーブル操作部114は、フィルタリングポリシ管理部111に管理されているポリシを参照して、スイッチ20の第1のテーブル23−1に設定するエントリを作成し、スイッチ通信部107経由でスイッチ20に送信する。
処理決定部113は、前記テーブル操作部114が生成するフィルタリング用のエントリによって選別されたパケットについて適用する処理を決定する。
そして、もう一方のテーブル操作部115は、スイッチ20に、処理決定部113にて決定された処理を実行させるための第2のテーブル23−2のエントリを作成し、スイッチ通信部107経由でスイッチ20に送信する。
図6のスイッチ20は、図4に示した構成を有し、制御装置100からテーブルの操作に関する制御メッセージを受信し、テーブル23−1、23−2の更新を行う。また、スイッチ20は、制御装置100に対するテーブル23−1、23−2に登録するエントリの送信要求や、制御装置100からのパケット出力指示に応じた動作を実行する。そして、スイッチ20は、パケットを受信すると、テーブル23−1、23−2を参照し、受信パケットに適合するマッチ条件を持つエントリを検索し、該当するエントリに定められた動作を実行する。例えば、スイッチ20は、「A」というマッチ条件に適合するパケットを受信した場合、第2のテーブルを参照し、処理を決定する。また例えば、スイッチ20は、「B」というマッチ条件に適合するパケットを受信した場合、そのパケットを廃棄する動作を行う。
また、スイッチ20に、フィルタリングを行うためのテーブルを複数設けて、それぞれのテーブルを用いて、異なる観点でフィルタリングを行うようにすることもできる。この場合の構成について、以下説明する。図7は、制御装置100Dの構成を表した図である。制御装置100Dは、第1のフィルタリングポリシ管理部121と、第2のフィルタリングポリシ管理部122と、処理決定部113と、3つのテーブル操作部124、125、126と、スイッチ通信部107とを備えて、スイッチ20を制御する構成が示されている。また、スイッチ20は、第1のテーブル23−1、第2のテーブル23−2、第3のテーブル23−3の3つのテーブルを備える。
図6に示した構成との相違点は、スイッチ20が、フィルタリングを行うためのテーブルを複数有する点にある。図6の例では、第1のテーブル23−1を、受信パケットをフィルタリングするために用いていたが、フィルタリングを行うためのテーブルを複数設けることができる。例えば、第1のテーブル23−1と、第2のテーブル23−2を、それぞれ異なる観点でフィルタリングを行うためのテーブルとして用いる。図7の例では、例えば、第1のテーブル23−1には、第1フィルタリングポリシ管理部121によって定められるフィルタリングポリシを設定する。また、第2のテーブル23−2には、第2フィルタリングポリシ管理部122によって定められる第2のフィルタリングポリシを設定する。ここで、第1のフィルタリングポリシと、第2のフィルタリングポリシは、異なる観点によるフィルタリングポリシであってもよい。
図8を用いて、第1のテーブル、第2のテーブル、第3のテーブルの設定方法について説明する。第1のテーブルには、マッチ条件が「C」のパケットを廃棄するためのポリシが設定されている。また、マッチ条件が「A」と「B」のパケットに対しては、第2のテーブルを参照させるという処理内容が対応づけられたエントリが設定されている。同様に、第2のテーブルには、マッチ条件が「B」となるパケットを廃棄するためのポリシが設定されている。第3のテーブルには、第1のテーブルおよび第2のテーブルにおいて廃棄されなかったマッチ条件が「A」のパケットについて、ポート#2から転送させるという処理内容を対応付けたエントリが設定されている。
以下、制御装置100Dの構成について、図7を用いて説明する。図6に示した構成と比較して、図6のフィルタリングポリシ管理部111に対応する第1のフィルタリングポリシ管理部121と、第2のフィルタリングポリシ管理部122との2つを備える。第1のフィルタリングポリシ管理部121は、例えば、スイッチ20の第1のテーブル23−1に設定するエントリを作成するためのフィルタリングポリシを管理する。第2のフィルタリングポリシ管理部122は、例えば、スイッチ20の第2のテーブル23−2に設定するエントリを作成するためのフィルタリングポリシを管理する。上述の通り、第1のテーブル23−1に設定されるフィルタリングポリシと、第2のテーブル23−2に設定されるフィルタリングポリシとは、異なる観点によるものであっても良い。なお、処理決定部113は、図6と同様に、前記テーブル操作部114、115が生成するフィルタリング用のエントリによって選別されたパケットについて適用する処理を決定する。また、図6のテーブル操作部114、115と同様に、図7の制御装置100Dが有するテーブル操作部は、3つでなくても良い。
以上のように、本実施形態によれば、スイッチに、受信パケットのフィルタリングを行うためのテーブルと、フィルタリングを行った後にパケットの処理を行うためのテーブルとを設けている。したがって、複数のテーブルを用いて、スイッチが受信するパケットに対するフィルタリングを行うことが可能となる。
さらに、本実施形態によれば、1つのテーブルで、受信パケットのフィルタリングと、受信パケットに対する処理との双方を行う場合に比べて、スイッチに設定するエントリ数を削減することができる。
以下、図9に示すシステムを例に挙げて説明する。図9のシステムは、スイッチ20Aに、端末#1−1、端末#1−2、端末#1−3が接続している構成を示している。ここで、端末#1−1、#1−2、#1−3は、端末グループ「A」に属するものとする。端末グループAは、例えば、各端末のIPアドレスの一部が共通であるとする。また、端末#1−1はスイッチ20Aのポート#1に、端末#1−2はポート#2に、端末#1−3はポート#3に、それぞれ接続している。
以下では、スイッチ20Aにおいて、端末#1−1および端末#1−3からの通信だけを許容し、端末#1−2からの通信は制限する(拒否する)というフィルタリングポリシを適用する場合を例に挙げて説明する。
図10は、上述のフィルタリングポリシを、1つのテーブルで適用する場合の、テーブルの構成例を示している。例えば、端末#1−1に関しては、2番目、3番目のエントリのように、候補となる宛先#1−2、#1−3に対して、それぞれ対応するポートからパケットを転送するような処理内容が対応づけられている。また、例えば、1番目のエントリのように、送信元と宛先が一致する場合には、ループが発生してしまうため、パケットを廃棄する処理内容が設定されている。
また、通信を制限する端末#1−2を送信元とするパケットに対しては、宛先がどこであっても廃棄するという処理内容が対応づけられている。なお、図中の「*」はワイルドカードを示している。例えば、図10の4番目のエントリのマッチ条件であれば、端末#1−2を送信元とするアドレスがマッチ条件となり、宛先アドレスに特定の値は指定されない。つまり、受信パケットの送信元のアドレスが端末#1−2のアドレスであれば、宛先がいかなる値であっても、受信パケットは当該エントリにマッチする。
一方、図11は、上述のフィルタリングポリシを、2つのテーブルを用いて適用する場合の、各テーブルの構成例を示している。まず、第1のテーブルの1番目と2番目のエントリは、上述したようなループを発生させるパケットを廃棄するためのエントリである。また、3番目と4番目のエントリでは、通信を許容する端末#1−1および#1−3を送信元とするパケットに対して、第2のテーブルを参照させるという処理内容が対応付けられている。また、第1のテーブルの5番目のエントリは、端末#1−1〜#1−3を含むグループAのいずれかを送信元とするパケットを廃棄するという処理内容が記載されている。なお、このエントリのマッチ条件は、通信を許容する端末#1−1と#1−3を含むが、送信元アドレスが#1−1、#1−3に対応するパケットは、第1のテーブルの1番目から4番目のいずれかのエントリのマッチ条件に適合し、処理される。よって、端末#1−1、#1−3を送信元とするパケットは、5番目のエントリで廃棄されることはない。
また、図11の第2のテーブルには、宛先アドレスに応じて、それぞれ対応するポートからパケットを転送するという処理内容が記載されている。第2のテーブルの各々のエントリには、送信元がいずれであるかに拘らず、パケットの宛先アドレスに応じたポートからパケットを転送させるという処理が設定されている。
ここで、図11のように、第1のテーブルでフィルタリングを行うようにすることで、第2のテーブルでは、送信元に依存せず、宛先のみを考慮して処理内容を設定することができる。
まず、第1のテーブルでは、特定の端末を送信元とするパケットに対して、フィルタリングを行っており、各々のパケットの宛先がどこであるかについては考慮していない。つまり、マッチ条件のうち、宛先アドレスのフィールドは、ワイルドカードで設定される。第1のテーブルでフィルタリングを行うため、第2のテーブルで処理されるパケットは、既にフィルタリングされた後のパケットである。上述の例でいえば、アクセスを拒否したい端末#1−2からのパケットは、第2のテーブルで処理されない。
第1のテーブルにおいて、特定の端末を送信元とするパケットに対するフィルタリングが実行されているので、第2のテーブルでは、送信元を考慮する必要がなくなる。したがって、第2のテーブルでは、送信元アドレスを特定せずに、宛先アドレスのみをマッチ条件として、処理内容を記載することができる。具体的には、図11の例のように、送信元アドレスを「*」に設定でき、例えば宛先アドレスが同一で送信元アドレスが異なる場合に、送信元アドレスの数だけ設定されていたエントリを1つのエントリに圧縮できる。例えば、図10では、2番目と6番目のエントリのマッチ条件は、いずれも宛先アドレスが#1−2であるが、送信元アドレスは異なる。これらのエントリは、図11の第2のテーブルでは、2番目のエントリ1つに圧縮することができる。よって、本発明のように複数のテーブルでフィルタリングを行うことで、エントリ数を削減することが可能となる。
以上のことから、本実施形態におけるテーブルに設定すべきエントリ数は、1つのテーブルを用いた場合と比較して削減される。また、端末数が増えるほど、送信元と宛先との組み合わせが増加するため、本実施形態によるエントリ数削減の効果はより顕著になる。
さらに、本実施形態によれば、制御装置からスイッチのテーブルに対して設定するエントリ数を削減することができるので、制御装置からスイッチに対してエントリを設定するための通信量も削減することが可能となる。従って、本実施形態によれば、制御装置の負荷を削減することも可能となる。
[第2の実施形態]
続いて、本発明の第2の実施形態について図面を参照して詳細に説明する。図12は、本発明の第2の実施形態の通信システムの構成を示す図である。図12を参照すると、ネットワーク(NW)及びスイッチ200A、200Bを制御する制御装置100と、スイッチ200A、200Bを介して通信する仮想マシン(以下、「VM」と記す。)#1−1、#1−2、#2−1と、ネットワーク(NW)に構成された仮想トンネルのエンドポイント(以下、「TEP」と記す。)400とが示されている。なお、仮想トンネルとは、ネットワーク上において仮想的、あるいは論理的に構築されたパスである。
図12の例では、スイッチ200Aは、#1〜#3の3つのポートを持ち、ポート#1には、VM#1−1が接続され、ポート#2には、VM#1−2が接続されている。また、スイッチ200Aのポート#3はTEP400と接続され、VM#1−1、VM#1−2から受信したパケットを、仮想トンネルを介してスイッチ200Bに送信可能となっている。スイッチ200Bは、#1、#2の2つのポートを持ち、ポート#1には、VM#2−1が接続され、ポート#2には、TEP400が接続されている。また、スイッチ200A、200Bは、それぞれ物理的なスイッチでもよいが、VM#1−1、#1−2、#2−1が動作する仮想化サーバ上で動作する仮想スイッチであってもよい。また、スイッチ200A、200Bは、携帯電話やスマートフォン等の端末上で仮想的に動作する仮想スイッチであってもよい。
図13は、スイッチ200A、200B(以下、スイッチ200A、200Bを特に区別しない場合「スイッチ200」と記す。)の詳細構成を示す図である。図13を参照すると、制御メッセージ送受信部21と、パケット処理部22と、テーブル23とを備えた構成が示されている。
制御メッセージ送受信部21は、制御装置100からテーブル23の操作に関する制御メッセージを受信し、テーブル23の更新を行う。また、制御メッセージ送受信部21は、制御装置100に対するテーブル23に登録するエントリの送信要求や、制御装置100からのパケット出力指示に応じた動作を実行する。
パケット処理部22は、パケットを受信すると、テーブル23を参照し、受信パケットに適合するマッチ条件を持つエントリを検索し、該当するエントリに定められた動作(アクション)を実行する。
テーブル23は、参照順序として機能する#0〜#Nまでの番号が付与されたN個のテーブルによって構成されている。以下、本実施形態では、スイッチ200は、#0〜#2の3つのテーブルを持つものとして説明するが、テーブル数に制約はない。例えば、後記する第1〜第3テーブルがそれぞれ複数枚設けられている構成も採用可能である。
例えば、パケット処理部22は、パケットを受信すると、テーブル#0から順番に受信パケットに適合するマッチ条件を持つエントリを検索する。検索の結果、すべてのテーブルに受信パケットに適合するマッチ条件を持つエントリがない場合、パケット処理部22は、制御メッセージ送受信部21に対し、制御装置100へのエントリ送信要求の送信を依頼する。なお、テーブル23に、制御装置100への問い合わせを規定した動作(アクション)を有するエントリを設定することも可能である。一方、いずれかのテーブル#0に、受信パケットに適合するマッチ条件を持つエントリがある場合、パケット処理部22は、該当するエントリに定められた動作(アクション)を実行する。個々のエントリの動作(アクション)として、例えば、指定した番号のテーブルへの参照を指示することも可能となっている(但し、ループを避けるため、現在参照しているテーブルよりも若い番号のテーブルを指定することはできない。)。このようなスイッチは、例えば、非特許文献2の仕様に準拠したオープンフロースイッチにて実現できる。
TEP400は、所定のトンネルプロトコルに従い、送受信するパケットのカプセル化、デカプセル化を実行する機器である。例えば、制御装置100から制御可能なスイッチによりTEP400を構成することもできる。なお、所定のトンネルプロトコルとしては、例えば、GRE(Generic Routing Encapsulation)や、NVGRE(Network Virtualization using GRE)、IPsec(Security Architecture for Internet Protocol)が挙げられる。
図14は、制御装置100の詳細構成を示す図である。図14を参照すると、仮想ネットワークの構成を保持する仮想ネットワーク構成管理部101と、アクセス制御を実施する通信の特徴と通信可否とを対応付けたアクセスポリシを保持するアクセスポリシ管理部102と、スイッチ200A、200Bに実行させる処理を決定する処理決定部103と、第1〜第3テーブル操作部104〜106とを備えた構成が示されている。なお、図14の破線で示した部分109が、図1のスイッチ制御部19に相当する。
図15は、制御装置100の仮想ネットワーク構成管理部101に保持される仮想ネットワーク構成情報の一例である。図15を参照すると、それぞれの仮想ネットワークにおいて、スイッチと、そのポート番号と、各ポートに付与されたMAC(Media Access Control)アドレスとを対応付けたエントリが示されている。なお、図15の2つのエントリは、図12において、スイッチ200Aのポート#1、#2が仮想ネットワークID=1の仮想ネットワークに属していることを示している。なお、図15においては、図12のスイッチ200Bのポート情報は登録されていない。これについては、後に図21を用いて説明する。なお、仮想ネットワーク構成管理部101には、図15に示した内容に限らず、その他の情報を格納してもよい。
第1テーブル操作部104は、仮想ネットワーク構成管理部101に保持される仮想ネットワーク構成情報から、スイッチ200の第2のテーブル(テーブル#1)以降のテーブルを参照した処理決定の対象となるパケットを選別するエントリを生成する。例えば、第1テーブル操作部104は、仮想ネットワークに含まれる特定のホストから、同じホストを宛先とするループを発生させるパケットを廃棄するためのエントリを生成する。より具体的には、ポート#1又は#2から、そのポートのMACアドレスを宛先とするパケット(すなわち、自身のアドレスを宛先とする異常パケット)を受信した場合に、当該パケットを廃棄(Drop)することを指示するエントリを生成する。その後、第1テーブル操作部104は、スイッチ200に対して、スイッチ200の第1のテーブル(テーブル#0)に格納することを指示する制御メッセージとともに送信する。
図16は、第1テーブル操作部104によって図15に示す仮想ネットワーク構成情報から生成されて、図12のスイッチ200Aの第1のテーブル(テーブル#0)に設定されるエントリの例である。図16の上から1、2番目のエントリは、ポート#1又は#2から、そのポートのMACアドレスを宛先とするパケット(すなわち、自身のアドレスを宛先とする異常パケット)を受信した場合に、当該パケットを廃棄(Drop)することを指示するエントリである。図16の上から3番目のエントリは、上記1、2番目のエントリ以外のパケットを受信した場合に、ヒットと判定し、テーブル#1へのジャンプ(Go to)を指示するエントリである(なお、以下、テーブル中の記号「*」は、ワイルドカードを示す。)。なお、図16の優先度フィールドは、各エントリの優先度を示し、例えば、あるパケットに複数のエントリのマッチ条件に適合する場合に、適用するエントリを選択する際に参照される。また、図16の例では、マッチ条件に入力ポートと宛先MACアドレスを用いているが、その他のヘッダ情報を用いてもよい。なお、図16に示したエントリは、あくまで一例であり、例えば、パケットヘッダの情報が明らかに異常な値を示しているパケットや、DoS(Deny of Service)攻撃に使用されている可能性があるパケットなどを捕捉して破棄するエントリを設定してもよい。
第2テーブル操作部105は、アクセスポリシ管理部102に保持されるアクセスポリシに基づいて、仮想ネットワークを流れるパケットについてフィルタリングを実施するエントリを生成する。そして、第2テーブル操作部105は、スイッチ200に対して、前記生成したエントリを、スイッチ200の第2のテーブル(テーブル#1)に格納することを指示する制御メッセージとともに送信する。
図17は、初期状態において、第2テーブル操作部105によって図12のスイッチ200Aの第2のテーブル(テーブル#1)に設定されるエントリの例である。図17の上から1番目のエントリは、ポート#1からの送信元MACアドレスが00:00:00:01:00:01からの宛先MACアドレスがAA:AA:AA:AA:AA:AAを宛先とするパケットを受信した場合に、当該パケットを廃棄(Drop)することを指示するエントリである。このようなエントリは、MACアドレスが00:00:00:01:00:01であるVMからMACアドレスがAA:AA:AA:AA:AA:AAであるVMへのアクセスを禁止するといったアクセスポリシに基づいて生成される。図17の上から2番目のエントリは、マッチ条件中のすべてのフィールドにワイルドカード「*」が設定されている。このため、先の第1のテーブルの3番目又は4番目のエントリにヒットした場合、第2のテーブル(テーブル#1)においてもヒットと判定されて、テーブル#2にジャンプ(Go to)することになる。
処理決定部103は、スイッチ200A、200Bを含む仮想ネットワークのトポロジに基づいたエンドツーエンドの経路を計算する。また、処理決定部103は、必要に応じて、ヘッダの書き換え等のスイッチ200A、200Bに実行させるべき処理を決定する。
第3テーブル操作部106は、処理決定部103から得られた経路情報に基づいて、スイッチ200に、受信パケットの転送やヘッダ変換を実行させるエントリを生成し、スイッチ200に対して、スイッチ200の第3のテーブル(テーブル#2)に格納することを指示する制御メッセージとともに送信する。
図18は、第3テーブル操作部106によって図12のスイッチ200Aの第3のテーブル(テーブル#2)に設定されるエントリの例である。図18の上から1番目のエントリは、宛先アドレスとしてVM#1−2が接続されているポート#2のMACアドレスが設定されているパケットを、ポート#2から出力することを指示している。同様に、図18の上から2番目のエントリは、宛先MACアドレスとしてVM#1−1に接続されたポート#1のMACアドレスが設定されているパケットをポート#1から出力することを指示している。以上、2つのエントリにより、スイッチ200Aを介したVM#1−1、#1−2間の通信が可能となる。図18の上から3番目、4番目のエントリは、上記第1のテーブルにて第2のテーブル(テーブル#1)以降のテーブルを参照した処理決定の対象となると判定されたパケットであるが、上記2つのエントリに適合しないパケットを、該当仮想ネットワークの受信ポート以外のポートから送信するフラッディングを実施することを指示するエントリである。
なお、図14の例では説明のため、第1テーブル操作部104〜第3テーブル操作部106をそれぞれ独立した処理ユニットとして記載しているが、フィルタリング用のテーブル(上記第1のテーブル(テーブル#0)、第2のテーブル(テーブル#1)に相当)と、パケットに適用する処理を決定するためのテーブル(上記第3のテーブル(テーブル#2)に相当)とをそれぞれ更新可能な構成であればよく、第1テーブル操作部104〜第3テーブル操作部106は適宜統合することが可能である。例えば、第1テーブル操作部104〜第3テーブル操作部106に変えて、第1テーブル操作部104〜第3テーブル操作部106のすべての処理を実行する単体のテーブル操作部を設けてもよい。
なお、図14に示した制御装置の各部(処理手段)は、制御装置を構成するコンピュータに搭載された記憶手段と、そのハードウェアを用いて上記した各処理を実行させるコンピュータプログラムとにより実現することもできる。
続いて、制御装置100の動作について図面を参照して説明する。はじめに、アクセスポリシ管理部102に、アクセスポリシが追加された場合の動作について説明する。
図19は、制御装置100のアクセスポリシ管理部102に追加されたアクセスポリシの一例である。図19の例では、接続ポートのMACアドレスにて指定されたVM#1−1からVM#1−2へのIPv6(タイプ=0x86dd)による通信を遮断するというアクセスポリシが設定されている。なお、図19の例は、あくまで一例であり、例えば、特定のVMから特定のVM宛のパケットだけを通過させるアクセスポリシや特定のサービスに関するパケットのみ通過させるアクセスポリシ等を設定することができる。
第2テーブル操作部105は、上記アクセスポリシに基づき、仮想ネットワークを流れるパケットについてフィルタリングを実施するエントリを生成し、スイッチ200に対して、スイッチ200の第2のテーブル(テーブル#1)に格納することを指示する制御メッセージとともに送信する。
図20は、第2テーブル操作部105によって図19に示すアクセスポリシから生成されて、図12のスイッチ200Aの第2のテーブル(テーブル#1)に追加されるエントリの例である。図20の例では、上記第1のテーブルにてスイッチ200の第2のテーブル(テーブル#1)以降のテーブルを参照した処理決定の対象となると判定されたパケットのうち、ポート#1から、VM#1−1の接続ポートを送信元MACアドレスとし、VM#1−2の接続ポートを宛先MACアドレスとし、かつ、上位プロトコルがIPv6であるパケットを受信した場合に、当該パケットを廃棄(Drop)することを指示するエントリが追加されている。なお、図20の例では、アクションとして廃棄(Drop)を指定しているが、アクセスポリシに応じて、例えば、ヘッダの書き換えを行ったり、特定の宛先へのリダイレクトを指示するエントリを設定してもよい。
続いて、仮想ネットワーク構成情報の更新が行われた場合の制御装置の動作について説明する。以下、図12のVM#2−1が立ち上げられて、スイッチ200Bを介して、VM#1−1、#1−2と同一の仮想ネットワークに接続した場合の動作を例に説明する。
図21は、スイッチ200Bのポート#1が追加された後の仮想ネットワーク構成情報を示している。図21を参照すると、3番目のエントリとして、スイッチ200BのIDと、VM#2−1が接続されているポート番号#1と、そのポートに付与されたMACアドレスとを対応付けたエントリが追加されている。
上記仮想ネットワーク構成情報の変化を検出すると、第1テーブル操作部104は、変更後の仮想ネットワーク構成情報に基づいて、スイッチ200の第1のテーブル(テーブル#0)の操作を開始する。
図22は、図21に示す仮想ネットワーク構成情報に基づき、第1テーブル操作部104によって操作されるスイッチ200Aの第1のテーブル(テーブル#0)の内容を示す図である。図22の例では、スイッチ200Aのポート番号#3について、そのポートのMACアドレスを宛先とするパケット(すなわち、自身のアドレスを宛先とする異常パケット)を受信した場合に、当該パケットを廃棄(Drop)することを指示するエントリが追加されている(図22の上から3番目のエントリ参照)。
図23は、図21に示す仮想ネットワーク構成情報に基づき、第3テーブル操作部106によって操作されるスイッチ200Aの第3のテーブル(テーブル#2)の内容を示す図である。図23の例では、上記第1、第2のテーブルにてスイッチ200の第3のテーブル(テーブル#2)以降のテーブルを参照した処理決定の対象となると判定されたパケットのうち、宛先アドレスとしてスイッチ200BのVM#2−1が接続されているポート#1のMACアドレスが設定されているパケットをポート#3から出力することを指示するエントリが追加されている(図23の上から3番目のエントリ参照)。以上により、VM#1−1、#1−2からVM#2−1へのパケット送信が可能となる。また、図23の例では、上記3つのエントリに適合しないパケットを受信ポート以外のポートから送信するフラッディングを実施することを指示するエントリが追加されている(図23の上から6番目のエントリ参照)。
なお、スイッチ200Bにも、同様にして異常パケット等をフィルタリングした上で、その宛先MACアドレスに応じスイッチ200A側にパケットを転送するエントリが設定される。
以上の結果、スイッチ200には、図24に示すように、第1のテーブル(Table#0)〜第3のテーブル(Table#2)が設定されることになる。スイッチ200は、適正なパケットを受信すると、スイッチ200は、第1のテーブル(Table#0)230−0の次に、第2のテーブル(Table#1)230−1を検索する。第2のテーブル(Table#1)230−1の検索の結果、所定のアクセスポリシを具現したエントリにヒットした場合、スイッチ200は、その内容に応じたアクセス制御(ヒットならDrop等)を行う。さらに、スイッチ200は、第3のテーブル(Table#2)230−2を検索して、最終的に、当該パケットを該当仮想ネットワークに接続されたポートから出力する(図25参照)。
スイッチ200の基本動作として、受信パケットに適合するマッチ条件を持つエントリを保持していない場合、制御装置100に対して、当該受信パケットに対応するエントリの送信を要求する場合がある。また、スイッチ200には、制御装置100に対するエントリの送信要求を実行させるエントリが低優先度で設定されている場合もあり得る。この場合、スイッチ200は、受信パケットのうち、異常パケットについては第1のテーブル(Table#0)の優先度が上位のエントリに従い廃棄を行ない、残る受信パケットのうち、第2のテーブル(Table#1)、第3のテーブル(Table#2)のエントリのいずれにもヒットしなかったパケットのみ制御装置100にエントリの送信要求を送信することになる。よって、スイッチ200が異常パケットを処理するためのエントリの送信要求を送信し、制御装置100がこれに応じる必要が無くなる。このため、スイッチ200からのエントリ送信要求や、要求に対する制御装置100からの応答等、スイッチ200と制御装置100との間で行われる通信量が削減されるので、制御装置100及びスイッチ200の負荷が軽減される。
以上のように、本実施形態によれば、スイッチに、受信パケットのフィルタリングを行うためのテーブルと、フィルタリングを行った後にパケットの処理を行うためのテーブルとを設けている。したがって、第1の実施形態と同様に、複数のテーブルを用いて、スイッチが受信するパケットに対するフィルタリングを行うことが可能となる。
さらに、本実施形態によれば、第1の実施形態と同様に、1つのテーブルで、受信パケットのフィルタリングと、受信パケットに対する処理との双方を行う場合に比べて、スイッチに設定するエントリ数を削減することができる。
なお、本実施形態では、スイッチ200側の第1のテーブル(Table#0)230−0〜第3のテーブル(Table#2)230−2の3つのテーブルを用い、そのうちの2つのテーブル(第1のテーブル(Table#0)230−0、第2のテーブル(Table#1)230−1)でフィルタリングを行うものとして説明したが、テーブル数は複数であれば制限は無い。例えば、第1テーブル操作部104及び第2テーブル操作部105がスイッチ200側の一のテーブル(フィルタリング用)のテーブルを操作し、第3テーブル操作部106がスイッチ200側の別のテーブル(処理決定用)を操作する構成とすることができる。同様に、例えば、第1テーブル操作部104〜第3テーブル操作部106が、スイッチ200の複数のテーブルをそれぞれ操作する構成とすることもできる。
[第3の実施形態]
続いて、第3の実施形態について説明する。第3の実施形態では、複数のテーブルのうち、前段のテーブルにおいて、受信パケットのフィルタリングに加えて、特定のホスト(VM)に行わせたい処理を設定することが可能である。例えば、VM#1−1に対して仮想ネットワークID「1」を付与したい場合、前段のテーブルにおいて、VM#1−1に対して次段のテーブルを参照させる処理とともに、仮想ネットワークID「1」を付与する処理を設定することができる。以下では、前段のテーブルにて、仮想ネットワークへの属否を判定し、その情報をマッチングに用いるようにした例について説明する。なお、本発明の第3の実施形態は、上記本発明の第2の実施形態と、略同一の構成にて実施可能であるため、第2の実施形態との相違点を中心に説明する。
図26は、本発明の第3の実施形態の第1テーブル操作部104によって図15に示す仮想ネットワーク構成情報から生成されて、図12のスイッチ200Aの第1のテーブル(テーブル#0)に設定されるエントリの例である。第1の実施形態および第2の実施形態と異なる点は、第1のテーブル(テーブル#0)において、受信したパケットが属する仮想ネットワークのIDを設定した上で、次のテーブル#1を参照させることを指示する処理内容が設定されている点である。例えば、図26の上から1、2番目のエントリには、入力ポートが#1又は#2であるパケットを受信した場合に、仮想ネットワークIDの記憶領域として用いるメタ情報格納レジスタ(reg0)に、仮想ネットワークID“1”をセットした上で、テーブル#1にジャンプ(Go to)することを指示するアクションが設定されている。図26の上から3番目のエントリはそれ以外のパケット(すなわち、いずれの仮想ネットワークにも属さないパケット)を受信した場合に、当該パケットを廃棄(Drop)することを指示するエントリである。パケット処理部22が、各テーブルを参照してパケットを処理する際、メタ情報格納レジスタの内容を参照すれば、処理中のパケットが属する仮想ネットワークIDを認識することができる。
図27は、本発明の第3の実施形態の第2テーブル操作部105によって図12のスイッチ200Aの第2のテーブル(テーブル#1)に設定されるエントリの例である。図17に示したエントリと相違するのは、マッチ条件中に上記メタ情報格納レジスタ(reg0)が設定可能となっている点である。
図28は、本発明の第3の実施形態の第3テーブル操作部106によって図12のスイッチ200Aの第3のテーブル(テーブル#2)に設定されるエントリの例である。図18に示したエントリと相違するのは、上記メタ情報格納レジスタ(reg0)がマッチ条件に使用されている点である。具体的には、図28の上から1番目のエントリは、上記第1のテーブルにて仮想ネットワークID=“1”に属すると判断されたパケット(reg0=1)のうち、宛先アドレスとしてVM#1−2が接続されているポート#2のMACアドレスが設定されているパケットを、ポート#2から出力することを指示している。同様に、図28の上から2番目のエントリは、上記第1のテーブルにて仮想ネットワークID=“1”に属すると判定されたパケット(reg0=1)のうち、宛先MACアドレスとしてVM#1−1に接続されたポート#1のMACアドレスが設定されているパケットをポート#1から出力することを指示している。以上、2つのエントリにより、スイッチ200Aを介したVM#1−1、#1−2間の通信が可能となる。図28の上から3番目、4番目のエントリは、上記第1のテーブルにて仮想ネットワークID=“1”に属すると判定されたパケット(reg0=1)であるが、上記2つのエントリに適合しないパケットを、該当仮想ネットワークの受信ポート以外のポートから送信するフラッディングを実施することを指示するエントリである。
図29は、図21に示す仮想ネットワーク構成情報に基づき、第1テーブル操作部104によって操作されるスイッチ200Aの第1のテーブル(テーブル#0)の内容を示す図である。図29の例では、入力ポートが#3であるパケットを受信した場合に、メタ情報格納レジスタ(reg0)に、仮想ネットワークID“1”をセットした上で、テーブル#1にジャンプ(Go to)することを指示するアクションを設定したエントリが追加されている(図29の上から3番目のエントリ参照)。
図30は、図19に示すアクセスポリシから生成されて、図12のスイッチ200Aの第2のテーブル(テーブル#1)に追加されるエントリの例である。図11に示したエントリと相違するのは、マッチ条件中に上記メタ情報格納レジスタ(reg0=1)が設定されている点である。
図31は、図21に示す仮想ネットワーク構成情報に基づき、第3テーブル操作部106によって操作されるスイッチ200Aの第3のテーブル(テーブル#2)の内容を示す図である。図23に示したエントリと相違するのは、マッチ条件中に上記メタ情報格納レジスタ(reg0=1)が設定されている点である。
以上の結果、スイッチ200には、図32に示すように、第1のテーブル(Table#0)〜第3のテーブル(Table#2)が設定されることになる。スイッチ200は、適正な仮想ネットワークに属するパケットを受信すると、第1のテーブル(Table#0)230−0の該当エントリに従い、メタデータ(reg0)に仮想ネットワークのIDをセットして、第2のテーブル(Table#1)230−1、第3のテーブル(Table#2)230−2と検索する。最終的に、スイッチ200は、第2の実施形態と同様に、当該パケットを該当仮想ネットワークに接続されたポートから出力する(図32参照)。
以上のように、本実施形態によれば、スイッチに、受信パケットのフィルタリングを行うためのテーブルと、フィルタリングを行った後にパケットの処理を行うためのテーブルとを設けている。したがって、第1の実施形態、第2の実施形態と同様に、複数のテーブルを用いて、スイッチが受信するパケットに対するフィルタリングを行うことが可能となる。
さらに、本実施形態によれば、第1の実施形態、第2の実施形態と同様に、1つのテーブルで、受信パケットのフィルタリングと、受信パケットに対する処理との双方を行う場合に比べて、スイッチに設定するエントリ数を削減することができる。
加えて、第3の実施形態では、複数のテーブルのうち、前段のテーブルにおいて、受信パケットのフィルタリングに加えて、特定のホスト(VM)に行わせたい処理を設定することが可能である。
また、本実施形態では、第1のテーブル(Table#0)で仮想ネットワークへの属否を判定した際に、仮想ネットワークID“1”を割り当てる例を挙げて説明したが、他の仮想ネットワークに属する通信には、他の仮想ネットワークID(例えば、メタ情報格納レジスタ(reg0=2)を割り当てることができる。そして、第2のテーブル(Table#1)、第3のテーブル(Table#2)で、この仮想ネットワークIDをマッチ条件として用いて、仮想ネットワーク毎に異なる処理を適用することができる。例えば、第2のテーブル(Table#1)を用いて、仮想ネットワークID毎に、異なるアクセスポリシを適用したり、さらなるフィルタリングをかけることも可能である。同様に、第3のテーブル(Table#2)を用いて、仮想ネットワークIDの構成に応じた経路でパケットを転送させることが可能となる。
以上、本発明の実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した実施形態で用いたネットワーク構成や、要素の数に制約は無い。
また例えば、図6、図7、図14の例では、制御装置100、100C、100Dが処理決定部103を備えているが、処理決定部103は他の装置に備えられていても良い。また、処理決定部103に代えて、予め計算した経路情報やスイッチに設定するエントリを記憶する記憶部を設けた構成でもよい。
また、上記した第3の実施形態では、マッチ条件に適合するパケットが属する仮想ネットワークを識別するための情報(仮想ネットワークID)を記録する領域として、非特許文献2のメタデータ(reg0)を用いるものとして説明したが、パケットヘッダの所定の領域(例えば、VLAN ID)に、前記判定した仮想ネットワークIDを書き込む構成も採用可能である。
また、上記した実施形態では、処理決定部103は、トポロジ情報に基づいてエンドツーエンドの経路を計算するとのみ説明したが、処理決定部103が、仮想ネットワーク構成情報やアクセスポリシを考慮した経路計算を行ってもよい。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による制御装置参照)
[第2の形態]
第1の形態において、
前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記スイッチに設定し、
前記第1および第2のエントリの少なくとも1つは、複数の受信パケットをグループとして比較するための条件を含む制御装置。
[第3の形態]
第1又は第2の形態において、
前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記スイッチに設定し、
前記第1および第2のエントリの少なくとも1つは、ワイルドカードとして設定された条件を含む制御装置。
[第4の形態]
第1から第3いずれか一の形態において、
前記第2のエントリは、前記受信パケットの送信元アドレスに対応する情報がワイルドカードとして設定された条件を含む制御装置。
[第5の形態]
第1から第4いずれか一の形態において、
前記第1のテーブルに、第2のテーブルを参照した処理決定の対象となるパケットと、前記第2のテーブルを参照した処理決定の対象外となるパケットと、を選別するエントリを設定する第1のテーブル操作部と、
前記第2のテーブルに、前記第1のテーブルによって選別されたパケットに基づいて、前記選別されたパケットについて適用する処理を定めたエントリを設定する第2のテーブル操作部と、を備えた制御装置。
[第6の形態]
第5の形態において、
前記第1のテーブル操作部は、前記第1のテーブルに、前記スイッチを含んで構成される仮想ネットワークの構成情報に基づいて、前記仮想ネットワークに属するパケットを選別するエントリを設定し、
前記第2のテーブル操作部は、前記第2のテーブルに、前記仮想ネットワークに属するパケットについて適用する処理を定めたエントリを設定する制御装置。
[第7の形態]
第5又は第6の形態において、
前記第1のテーブル操作部は、前記スイッチの前記第1のテーブルに、仮想ネットワークへの属否を判定するためのマッチ条件と、パケットヘッダ又は前記第2のテーブルのマッチ条件として使用可能なメタデータに、前記マッチ条件に適合するパケットが属する仮想ネットワークを識別するための情報を記録する処理内容とを設定したエントリを設定する制御装置。
[第8の形態]
第5から第7いずれか一の形態において、
前記第2のテーブル操作部は、前記第2のテーブルに、前記仮想ネットワークを識別するための情報をマッチ条件とするエントリを設定する制御装置。
[第9の形態]
第5から第8いずれか一の形態において、
前記第1のテーブル操作部は、前記スイッチの前記第1のテーブルに、前記第2のテーブルを参照した処理決定の対象外となるパケットについて、破棄又は所定の宛先へのリダイレクトを実行させるエントリを設定する制御装置。
[第10の形態]
第5から第9いずれか一の形態において、
さらに、第3のテーブルに、前記第1のテーブルによって選別されたパケットが所定のアクセスポリシに適合するか否かを確認するエントリを設定する第3のテーブル操作部を備え、
前記第1のテーブル操作部は、前記第1のテーブルのエントリに、前記第3のテーブルを参照させるアクションを設定する制御装置。
[第11の形態]
第5から第10いずれか一の形態において、
仮想ネットワークに属する仮想マシン間の通信に用いる仮想トンネルの終端ポイントとして機能するトンネルエンドポイント又は仮想マシンとトンネルエンドポイントの間に配置されたスイッチを対象に、前記第1、第2のテーブルのエントリを設定する制御装置。
[第12の形態]
(上記第2の視点による通信装置参照)
[第13の形態]
(上記第3の視点による通信システム参照)
[第14の形態]
(上記第4の視点によるスイッチの制御方法参照)
[第15の形態]
(上記第5の視点によるプログラム参照)
なお、上記第12〜第15の形態は、第1の形態と同様に、第2〜第11の形態に展開することが可能である。
なお、上記の非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
10A、100、100C、100D 制御装置
19、109 スイッチ制御部
20、20A、20B、200、200A、200B スイッチ
21 制御メッセージ送受信部
22 パケット処理部
23、23−1、23−2、23−3、230−0〜230−2 テーブル
30、31 ホスト
101 仮想ネットワーク構成管理部
102 アクセスポリシ管理部
103、113 処理決定部
104、124 第1テーブル操作部
105、125 第2テーブル操作部
106、126 第3テーブル操作部
107 スイッチ通信部
111 フィルタリングポリシ管理部
114、115 テーブル操作部
121 第1フィルタリングポリシ管理部
122 第2フィルタリングポリシ管理部
311、321 VM(仮想マシン)
400 トンネルエンドポイント(TEP)

Claims (28)

  1. パケットを処理するための規則を含むエントリをスイッチに設定する制御装置であって、
    前記スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定し、
    前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定する
    ことを特徴とする制御装置。
  2. 前記制御装置は、
    前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記スイッチに設定し、
    前記第1および第2のエントリの少なくとも1つは、複数の受信パケットをグループとして比較するための条件を含む
    ことを特徴とする請求項1の制御装置。
  3. 前記制御装置は、
    前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記スイッチに設定し、
    前記第1および第2のエントリの少なくとも1つは、ワイルドカードとして設定された条件を含む
    ことを特徴とする請求項1又は2の制御装置。
  4. 前記第2のエントリは、前記受信パケットの送信元アドレスに対応する情報がワイルドカードとして設定された条件を含む
    ことを特徴とする請求項1から3いずれか一の制御装置。
  5. 前記第1のテーブルに、第2のテーブルを参照した処理決定の対象となるパケットと、前記第2のテーブルを参照した処理決定の対象外となるパケットと、を選別するエントリを設定する第1のテーブル操作部と、
    前記第2のテーブルに、前記第1のテーブルによって選別されたパケットに基づいて、前記選別されたパケットについて適用する処理を定めたエントリを設定する第2のテーブル操作部と、を備えた請求項1から4いずれか一の制御装置。
  6. 前記第1のテーブル操作部は、前記第1のテーブルに、前記スイッチを含んで構成される仮想ネットワークの構成情報に基づいて、前記仮想ネットワークに属するパケットを選別するエントリを設定し、
    前記第2のテーブル操作部は、前記第2のテーブルに、前記仮想ネットワークに属するパケットについて適用する処理を定めたエントリを設定する請求項5の制御装置。
  7. 前記第1のテーブル操作部は、前記スイッチの前記第1のテーブルに、仮想ネットワークへの属否を判定するためのマッチ条件と、パケットヘッダ又は前記第2のテーブルのマッチ条件として使用可能なメタデータに、前記マッチ条件に適合するパケットが属する仮想ネットワークを識別するための情報を記録する処理内容とを設定したエントリを設定する請求項5又は6の制御装置。
  8. 前記第2のテーブル操作部は、前記第2のテーブルに、前記仮想ネットワークを識別するための情報をマッチ条件とするエントリを設定する請求項5から7いずれか一の制御装置。
  9. 前記第1のテーブル操作部は、前記スイッチの前記第1のテーブルに、前記第2のテーブルを参照した処理決定の対象外となるパケットについて、破棄又は所定の宛先へのリダイレクトを実行させるエントリを設定する請求項5から8いずれか一の制御装置。
  10. さらに、第3のテーブルに、前記第1のテーブルによって選別されたパケットが所定のアクセスポリシに適合するか否かを確認するエントリを設定する第3のテーブル操作部を備え、
    前記第1のテーブル操作部は、前記第1のテーブルのエントリに、前記第3のテーブルを参照させるアクションを設定する請求項5から9いずれか一の制御装置。
  11. 仮想ネットワークに属する仮想マシン間の通信に用いる仮想トンネルの終端ポイントとして機能するトンネルエンドポイント又は仮想マシンとトンネルエンドポイントの間に配置されたスイッチを対象に、前記第1、第2のテーブルのエントリを設定する請求項5から10いずれか一の制御装置。
  12. パケットを処理するための規則を含むエントリを制御装置から受信し、当該エントリに従って前記パケットを処理する通信装置であって、
    前記通信装置の受信パケットをフィルタリングするための第1のエントリを格納するための第1のテーブルと、
    前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを格納するための第2のテーブルと、
    を備えることを特徴とする通信装置。
  13. 前記通信装置は、
    前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記制御装置から受信し、
    前記第1および第2のエントリの少なくとも1つは、複数の受信パケットをグループとして比較するための条件を含む
    ことを特徴とする請求項12の通信装置。
  14. 前記通信装置は、
    前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記制御装置から受信し、
    前記第1および第2のエントリの少なくとも1つは、ワイルドカードとして設定された条件を含む
    ことを特徴とする請求項12又は13の通信装置。
  15. 前記第2のエントリは、前記受信パケットの送信元アドレスに対応する情報がワイルドカードとして設定された条件を含む
    ことを特徴とする請求項12から14いずれか一の通信装置。
  16. 受信パケットをフィルタリングするための第1のエントリを格納するための第1のテーブルと、
    前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを格納するための第2のテーブルと、
    を備え、
    前記第1、第2のテーブルに格納するエントリを制御装置から受信し、当該エントリに従って前記パケットを処理する通信装置と、
    前記スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定し、
    前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定する制御装置と、
    を含む通信システム。
  17. 前記制御装置は、
    前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記スイッチに設定し、
    前記第1および第2のエントリの少なくとも1つは、複数の受信パケットをグループとして比較するための条件を含む
    ことを特徴とする請求項16の通信システム。
  18. 前記制御装置は、
    前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記スイッチに設定し、
    前記第1および第2のエントリの少なくとも1つは、ワイルドカードとして設定された条件を含む
    ことを特徴とする請求項16又は17の通信システム。
  19. 前記第2のエントリは、前記受信パケットの送信元アドレスに対応する情報がワイルドカードとして設定された条件を含む
    ことを特徴とする請求項16から18いずれか一の通信システム。
  20. 前記制御装置は、
    前記第1のテーブルに、第2のテーブルを参照した処理決定の対象となるパケットと、前記第2のテーブルを参照した処理決定の対象外となるパケットと、を選別するエントリを設定する第1のテーブル操作部と、
    前記第2のテーブルに、前記第1のテーブルによって選別されたパケットに基づいて、前記選別されたパケットについて適用する処理を定めたエントリを設定する第2のテーブル操作部と、を備える請求項16から19いずれか一の通信システム。
  21. 前記スイッチの第1のテーブル操作部は、前記第1のテーブルに、前記スイッチを含んで構成される仮想ネットワークの構成情報に基づいて、前記仮想ネットワークに属するパケットを選別するエントリを設定し、
    前記第2のテーブル操作部は、前記第2のテーブルに、前記仮想ネットワークに属するパケットについて適用する処理を定めたエントリを設定する請求項20の通信システム。
  22. パケットを処理するための規則を含むエントリをスイッチに設定する制御装置が、
    前記スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定するステップと、
    前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定するステップと、
    を含むスイッチの制御方法。
  23. 前記制御装置は、
    前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記スイッチに設定し、
    前記第1および第2のエントリの少なくとも1つは、複数の受信パケットをグループとして比較するための条件を含む
    を含む請求項22のスイッチの制御方法。
  24. 前記制御装置は、
    前記受信パケットと比較するための条件を含む前記第1および前記第2のエントリの少なくとも1つを前記スイッチに設定し、
    前記第1および第2のエントリの少なくとも1つは、ワイルドカードとして設定された条件を含む
    ことを特徴とする請求項22又は23のスイッチの制御方法。
  25. 前記第2のエントリは、前記受信パケットの送信元アドレスに対応する情報がワイルドカードとして設定された条件を含む
    ことを特徴とする請求項22から24いずれか一のスイッチの制御方法。
  26. 前記第1のテーブルに、第2のテーブルを参照した処理決定の対象となるパケットと、前記第2のテーブルを参照した処理決定の対象外となるパケットと、を選別するエントリを設定し、
    前記第2のテーブルに、前記第1のテーブルによって選別されたパケットに基づいて、前記選別されたパケットについて適用する処理を定めたエントリを設定する請求項22から25いずれか一のスイッチの制御方法。
  27. 前記第1のテーブルに設定するエントリは、前記スイッチを含んで構成される仮想ネットワークの構成情報に基づいて、前記仮想ネットワークに属するパケットを選別するエントリであり、
    前記第2のテーブルに設定するエントリは、前記仮想ネットワークに属するパケットについて適用する処理を定めたエントリである請求項26のスイッチの制御方法。
  28. パケットを処理するための規則を含むエントリをスイッチに設定するコンピュータに、
    前記スイッチが備える第1のテーブルに、前記スイッチの受信パケットをフィルタリングするための第1のエントリを設定する処理と、
    前記スイッチが備える第2のテーブルに、前記受信パケットのうち、前記第1のエントリにより選別されたパケットを処理するための規則を含む第2のエントリを設定する処理と、
    を実行させるプログラム。
JP2014557526A 2013-01-21 2014-01-20 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム Pending JPWO2014112616A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013008835 2013-01-21
JP2013008835 2013-01-21
PCT/JP2014/050923 WO2014112616A1 (ja) 2013-01-21 2014-01-20 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム

Publications (1)

Publication Number Publication Date
JPWO2014112616A1 true JPWO2014112616A1 (ja) 2017-01-19

Family

ID=51209702

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014557526A Pending JPWO2014112616A1 (ja) 2013-01-21 2014-01-20 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム

Country Status (5)

Country Link
US (1) US20150341267A1 (ja)
EP (1) EP2947826A4 (ja)
JP (1) JPWO2014112616A1 (ja)
CN (1) CN105009525A (ja)
WO (1) WO2014112616A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103188109B (zh) * 2013-03-28 2018-08-10 南京中兴新软件有限责任公司 家庭网关的端口配置方法及装置
US11455181B1 (en) * 2014-09-19 2022-09-27 Amazon Technologies, Inc. Cross-network connector appliances
US10129162B1 (en) * 2014-10-09 2018-11-13 Cavium, Llc Systems and methods for defining storage
WO2017110712A1 (ja) * 2015-12-22 2017-06-29 日本電気株式会社 コントローラ、スイッチ、通信システム、フローエントリ設定方法、パケット処理方法およびプログラム
US10182017B2 (en) * 2016-06-30 2019-01-15 Mellanox Technologies Tlv Ltd. Estimating multiple distinct-flow counts in parallel
US10218642B2 (en) 2017-03-27 2019-02-26 Mellanox Technologies Tlv Ltd. Switch arbitration based on distinct-flow counts
JP7156310B2 (ja) * 2017-12-18 2022-10-19 日本電気株式会社 通信装置、通信システム、通信制御方法、プログラム
WO2020027182A1 (ja) * 2018-08-01 2020-02-06 日本電気株式会社 スイッチ、制御装置、通信システム、通信制御方法及びプログラム
JP7105728B2 (ja) * 2019-05-24 2022-07-25 古河電気工業株式会社 通信システム、通信システムの制御方法、および、通信装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011043379A1 (ja) * 2009-10-06 2011-04-14 日本電気株式会社 ネットワークシステムとコントローラと方法とプログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7376125B1 (en) * 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US20040221123A1 (en) * 2003-05-02 2004-11-04 Lam Wai Tung Virtual data switch and method of use
CN102210126B (zh) * 2008-11-07 2014-12-10 爱立信电话股份有限公司 使用聚集路由器密钥转发数据分组的方法和设备
US8054832B1 (en) * 2008-12-30 2011-11-08 Juniper Networks, Inc. Methods and apparatus for routing between virtual resources based on a routing location policy
US20100192225A1 (en) * 2009-01-28 2010-07-29 Juniper Networks, Inc. Efficient application identification with network devices
US8442048B2 (en) * 2009-11-04 2013-05-14 Juniper Networks, Inc. Methods and apparatus for configuring a virtual network switch
US8503307B2 (en) * 2010-05-10 2013-08-06 Hewlett-Packard Development Company, L.P. Distributing decision making in a centralized flow routing system
US8787377B2 (en) * 2011-03-21 2014-07-22 Avaya, Inc. Usage of masked BMAC addresses in a provider backbone bridged (PBB) network
EP2712128B1 (en) * 2011-07-06 2016-01-13 Huawei Technologies Co., Ltd. Message processing method and related device thereof
US8560663B2 (en) * 2011-09-30 2013-10-15 Telefonaktiebolaget L M Ericsson (Publ) Using MPLS for virtual private cloud network isolation in openflow-enabled cloud computing
CN102594697B (zh) * 2012-02-21 2015-07-22 华为技术有限公司 负载均衡方法及负载均衡装置
US8705536B2 (en) * 2012-03-05 2014-04-22 Telefonaktiebolaget L M Ericsson (Publ) Methods of operating forwarding elements including shadow tables and related forwarding elements
US9225549B2 (en) * 2012-08-06 2015-12-29 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Multi-chassis link aggregation in a distributed virtual bridge
CN102843299A (zh) * 2012-09-12 2012-12-26 盛科网络(苏州)有限公司 基于TCAM实现Openflow多级流表的方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011043379A1 (ja) * 2009-10-06 2011-04-14 日本電気株式会社 ネットワークシステムとコントローラと方法とプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
NICK MCKEOWN,他7名: "OpenFlow: Enabling Innovation in Campus Networks", ACM SIGCOMM COMPUTER COMMUNICATION REVIEW, vol. Volume 38 Issue 2, JPN6017043252, April 2008 (2008-04-01), pages 69 - 74, ISSN: 0003679720 *
前田 繁章: "OpenFlow ver1.1およびver1.2の追加機能と活用例", THINK IT, JPN6017030634, 23 February 2012 (2012-02-23), ISSN: 0003679719 *

Also Published As

Publication number Publication date
EP2947826A4 (en) 2016-09-21
CN105009525A (zh) 2015-10-28
US20150341267A1 (en) 2015-11-26
EP2947826A1 (en) 2015-11-25
WO2014112616A1 (ja) 2014-07-24

Similar Documents

Publication Publication Date Title
WO2014112616A1 (ja) 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム
JP5850068B2 (ja) 制御装置、通信システム、通信方法およびプログラム
KR101755138B1 (ko) 통신 시스템, 제어 장치, 및 네트워크 토폴로지 관리 방법
JP5585660B2 (ja) 通信システム、制御装置、処理規則の設定方法およびプログラム
EP2652922B1 (en) Communication system, control apparatus, communication method, and program
RU2612599C1 (ru) Устройство управления, система связи, способ управления коммутаторами и программа
US10645006B2 (en) Information system, control apparatus, communication method, and program
JP2014533001A (ja) 転送装置の制御装置、転送装置の制御方法、通信システムおよびプログラム
WO2013039083A1 (ja) 通信システム、制御装置および通信方法
US20150256407A1 (en) Control apparatus, control method thereof, and program
JP5725236B2 (ja) 通信システム、ノード、パケット転送方法およびプログラム
US9832114B2 (en) Packet forwarding system, control apparatus, packet forwarding method, and program
US20150288595A1 (en) Control apparatus, communication system, control information creation method, and program
US20190007279A1 (en) Control apparatus, communication system, virtual network management method, and program
JP2013223191A (ja) 通信システム、制御装置、パケット採取方法及びプログラム
JPWO2014084198A1 (ja) ストレージエリアネットワークシステム、制御装置、アクセス制御方法及びプログラム
US20150256455A1 (en) Communication system, path information exchange apparatus, communication node, forwarding method for path information and program
KR101812856B1 (ko) 스위치 장치, vlan 설정 관리 방법, 및 컴퓨터 판독가능 저장매체
US20150381775A1 (en) Communication system, communication method, control apparatus, control apparatus control method, and program
WO2014020902A1 (en) Communication system, control apparatus, communication method, and program
JP6175766B2 (ja) 通信ノード、制御装置、通信システム、エントリ集約方法及びプログラム
US9860178B2 (en) Control message relay apparatus, control message relay method, and program
WO2014142081A1 (ja) 転送ノード、制御装置、通信システム、パケット処理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171023

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171114