CN105391628A - 数据传送***、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质 - Google Patents
数据传送***、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质 Download PDFInfo
- Publication number
- CN105391628A CN105391628A CN201510514811.8A CN201510514811A CN105391628A CN 105391628 A CN105391628 A CN 105391628A CN 201510514811 A CN201510514811 A CN 201510514811A CN 105391628 A CN105391628 A CN 105391628A
- Authority
- CN
- China
- Prior art keywords
- information
- data
- switch
- condition
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/253—Routing or path finding in a switch fabric using establishment or release of connections between ports
- H04L49/254—Centralised controller, i.e. arbitration or scheduling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/34—Signalling channels for network management communication
- H04L41/342—Signalling channels for network management communication between virtual entities, e.g. orchestrators, SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/021—Ensuring consistency of routing table updates, e.g. by using epoch numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
数据传送装置具备交换机和控制装置。所述交换机参照使得表示针对接收的数据的条件的第1信息、和表示符合该条件的情况下应当实施的处理的第2信息相关联的表,从发送源向发送目标传送数据。所述控制装置具备:设定部,其将临时表设定于所述交换机,其中,该临时表对用于将符合由所述第1信息表示的条件的数据输出至控制装置的所述第2信息进行存储;获取部,其获取表示所述发送源和所述发送目标之间的路径的路径信息;以及更新部,其将所述临时表更新为基于所述路径信息而对符合由所述第1信息表示的条件的数据的输出目标进行了变更的表。
Description
技术领域
本发明涉及数据传送***、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质。
本申请主张2014年8月27日申请的日本专利申请第2014-173153号的优先权,在这里引用其内容。
背景技术
通常,构成网络的网络设备(例如交换机)具备访问控制列表(ACL:AccessControlList),参照该访问控制列表的内容进行数据的传送控制。在上述访问控制列表中,无论网络的具体结构如何,都能够设定抽象内容(例如,发送目标的地址、软件的端口编号等)。这种访问控制列表的内容能够通过例如Linux(注册商标)的命令“iptables”进行设定。
近年来,为了能够实现复杂的传送控制、灵活的网络结构的变更,使用了被称为开放流(OpenFlow)的技术。开放流是基于通过编程来控制网络的“Software-DefinedNetwork”这样的理念而开发的技术。对于该开放流而言,使构成网络的网络设备分离为路径控制设备(OFC:OpenFlowController)和数据传送设备(OFS:OpenFlowSwitch),路径控制设备集中管理设置于数据传送设备的流表(FlowTable),由此进行传送控制。
这里,上述开放流中使用的流表能够对前述的访问控制列表进行记述。流表是对将进行传送控制的条件(match)、符合条件的情况下应当实施的处理(Action)等相关联的信息进行存储的表。日本特开2007-74383号公报中公开有参照访问控制列表进行传送控制的现有技术的一个例子。
但是,在车间(plant)这样的被称为关键基础设施的环境中,为了确保安全性,存在要严密地控制经由网络而进行的通信的要求。例如,要求使用白名单(whitelist)的控制。在使用该白名单的控制中,基本上拒绝所有通信,仅容许明确指示的特定设备之间的特定应用的通信。
这里,如前所述,使用访问控制列表进行传送控制的网络设备(以下,称为“现有的网络设备”),能够将发送目标的地址等抽象内容设定于访问控制列表中。因此,即使网络管理者未掌握网络的具体结构,也能够将访问控制列表制作成白名单而进行严密的传送控制。
但是,现有的网络设备中的访问控制列表的设定,必须使用依赖于网络设备的供应商、机种的命令而进行。因此,在由各种各样的供应商提供的网络设备混用的网络中,必须使用与设定对象的网络设备相适应的命令而进行访问控制列表的设定。因此,存在如下问题,即,需要繁琐的管理,难以适时地进行严密的传送控制。
对此,依据前述的开放流标准的网络设备,能够利用统一的协议进行流表的设定。因此,可以认为,无需使用依赖于网络设备的机种的命令,使管理简单化,因此,即使是由各种各样的供应商提供的网络设备混用的网络,也能够适时地进行严密的传送控制。
但是,流表必须基于网络的具体结构来记述。例如,在符合传送控制的条件的情况下应当实施的处理(Action)是数据的发送(输出)的情况下,需要在流表中对输出该数据的数据传送设备的物理端口进行记述。因此,存在如下问题,即,如果网络管理者未预先掌握网络的具体结构(具体的连接状况),则无法制作流表。
在此基础上,在针对由现有的网络设备构成的网络而将依据开放流标准的网络设备引入的情况下,能够想到现有的网络设备和依据开放流标准的网络设备混用的状况。
在这种状况下,针对每一个网络设备分别需要不同的管理,因此存在管理变得更加繁琐的问题。
发明内容
一种数据传送***,具备:交换机,其参照使得表示针对接收的数据的条件的第1信息、和表示符合该条件的情况下应当实施的处理的第2信息相关联的表,从发送源向发送目标传送数据;以及控制装置,其将临时表设定于所述交换机中,该临时表存储有用于将符合由所述第1信息表示的条件的数据输出至控制装置的所述第2信息,获取表示所述发送源和所述发送目标之间的路径的路径信息,将所述临时表更新为基于所述路径信息而对符合由所述第1信息表示的条件的数据的输出目的地进行了变更的表。
附图说明
图1是表示本发明的第1实施方式所涉及的数据传送***的要部结构的框图。
图2是表示在本发明的第1实施方式中使用的临时的流表的一个例子的图。
图3是表示在本发明的第1实施方式中使用的流表的一个例子的图。
图4是表示本发明的第1实施方式所涉及的数据传送***的动作的一个例子的时序图。
图5是对应用了本发明的第1实施方式所涉及的数据传送***的过程控制***进行说明的图。
图6是表示本发明的第2实施方式所涉及的数据传送***的要部结构的框图。
图7是表示本发明的第2实施方式所涉及的由转换器执行的流表以及访问控制列表的制作处理的图。
图8是表示在本发明的第3实施方式所涉及的数据传送***中使用的OFS的要部结构的框图。
图9是表示在本发明的实施方式所涉及的数据传送***中使用的OFS的变形例的图。
具体实施方式
参照附图并根据以下所述的实施方式的详细说明,使得本发明的其他特征及方式变得更加明朗。
参照优选的实施方式对本发明的实施方式进行说明。本领域技术人员能够利用本发明的教导而实现本实施方式的多种替代手段,本发明不限定于这里说明的优选的本实施方式。
本发明的方式提供即使网络管理者未预先掌握网络的具体结构、或者在运用过程中更换了具体的构成设备,也能够适时地进行严密的传送控制的数据传送***、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质。
以下,参照附图对本发明的实施方式所涉及的数据传送***及方法进行详细说明。
[第1实施方式]
图1是表示本发明的第1实施方式所涉及的数据传送***的要部结构的框图。如图1所示,本实施方式的数据传送***1具备OFS(OpenFlowSwitch:传送装置)11、12、以及OFC(OpenFlowController:控制装置)20。OFC20具备设定部21、获取部22、更新部23。在OFC20的控制下,OFS11、12将从发送源发送来的数据向发送目标传送。在图1中,为了易于理解,示出了具备2个OFS11、12的数据传送***1,但设置于数据传送***1中的OFS的数量是任意的。
下面,为了易于理解,将主机H1设为数据的发送源,将主机H2设为数据的发送目标。主机H1是被分配了“10.0.0.9”的IP(InternetProtocol)地址的DNS(DomainNameSystem)客户端。主机H2是被分配了“10.0.0.1”的IP地址的DNS服务器。这些主机H1、H2例如由笔记本式计算机、台式计算机、平板式计算机、其他计算机而实现。
OFS11、12具备多个物理端口P1~P12。OFS11及OFS12在OFC20的控制下进行接收到的数据的传送处理。具体而言,OFS11、12将利用OFC20集中管理的流表(FlowTable)TB1、TB2(表:参照图2、图3)存储于存储器(未图示)。OFS11及OFS12参照流表TB1、TB2并利用传送部(未图示)进行数据的传送。在后文中对流表TB1、TB2进行详细叙述。
如图1所示,主机H1与OFS11的物理端口P1连接,主机H2与OFS12的物理端口P6连接,OFS11的物理端口P12和OFS12的物理端口P7互相连接。由此,在主机H1和主机H2之间构建成数据传送用的网络N1。OFS11、12经由不同于物理端口P1~P12的控制端口(省略图示)而与OFC20连接。由此,构建成开放流控制用的网络N2。设置于OFS11、12上的物理端口的数量是任意的。
OFC20集中管理在OFS11、12中使用的流表TB1、TB2,由此进行经由网络N1而传送的数据的传送控制。具体而言,在主机H1、H2之间的路径不明的情况下,OFC20的设定部21将存储于存储器(未图示)的临时的流表TB0(临时表:参照图2)作为流表TB1、TB2而分别设定于OFS11、12中,并利用控制部(未图示)进行数据的传送控制。在OFC20的获取部22获得了表示主机H1、H2之间的路径的路径信息的情况下,OFC20的更新部23将临时的流表TB0更新为基于该路径信息而对内容进行了更新的流表TB1、TB2(参照图3),由此进行数据的传送控制。OFC20以该方式进行临时的流表TB0的设定及更新的理由在于,即使网络管理者未预先掌握网络N1的具体结构,OFC20也适时地进行白名单式的严密的传送控制。
下面,对由OFC20管理的流表进行说明。图2是表示在本发明的第1实施方式中使用的临时的流表的一个例子的图。图3是表示在本发明的第1实施方式中使用的流表的一个例子的图。如图2、图3所示,在临时的流表TB0以及流表TB1、TB2中,针对每一个由条目编号(ID)确定的条目,设置有存储优先级(Priority)的字段、存储进行传送控制的条件(match:第1信息)的字段、以及存储符合条件的情况下应当实施的处理(Action:第2信息)的字段。上述的优先级用于设定条目的优先级。越是存储了值较大的优先级的条目,越优先处理。
在图2所例示的临时的流表TB0中,设置有优先级设定为“1000”的2个条目。在ID为“1”的条目中,作为条件及处理而分别存储有以下信息。
[条件]
·发送源地址(SADDR)=“any(任意)”
·发送目标地址(DADDR)=“10.0.0.1”
·协议(PROTOCOL)=“UDP(UserDatagramProtocol)”
·发送源的端口编号(SPORT)=“any”
·发送目标的端口编号(DPORT)=“53(DNS中使用的端口编号)”
[处理]
·output
·物理端口(Port)=“Ctrl”
在ID为“2”的条目中,作为条件及处理而分别存储有以下信息。
[条件]
·发送源地址(SADDR)=“10.0.0.1”
·发送目标地址(DADDR)=“any”
·协议(PROTOCOL)=“UDP”
·发送源的端口编号(SPORT)=“53”
·发送目标的端口编号(DPORT)=“any”
[处理]
·output
·物理端口(Port)=“Ctrl”
即,在ID为“1”的条目中,作为条件而存储有“发送目标为主机H2的53号端口的UDP数据(数据报)”的信息,作为处理而存储有“输出至未图示的控制端口(Ctrl)”的信息。在ID为“2”的条目中,作为条件而存储有“发送源为主机H2的53号端口的UDP数据(数据报)”的信息,作为处理而存储有“输出至未图示的控制端口”的信息。即,在临时的流表TB0中存储有表示如下主旨的信息,即,应当将符合条件的数据输出至与设置于OFS11、12上的未图示的控制端口连接的OFC20。
在图3所例示的流表TB1、TB2中,分别设置有优先级设定为“1000”的2个条目、和优先级设定为“2000”的2个条目。在流表TB1、TB2中的优先级设定为“1000”的2个条目(ID为“1”、“2”的条目)中,分别存储有与临时的流表TB0中的2个条目(ID为“1”、“2”的条目)相同的信息。
在流表TB1中的优先级设定为“2000”的1个条目(ID为“3”的条目)中,作为条件及处理而分别存储有以下信息。
[条件]
·发送源地址(SADDR)=“10.0.0.9”
·发送目标地址(DADDR)=“10.0.0.1”
·协议(PROTOCOL)=“UDP”
·发送源的端口编号(SPORT)=“any”
·发送目标的端口编号(DPORT)=“53”
[处理]
·output
·物理端口(Port)=“12”
在流表TB1中的优先级设定为“2000”的另1个条目(ID为“4”的条目)中,作为条件及处理而分别存储有以下信息。
[条件]
·发送源地址(SADDR)=“10.0.0.1”
·发送目标地址(DADDR)=“10.0.0.9”
·协议(PROTOCOL)=“UDP”
·发送源的端口编号(SPORT)=“53”
·发送目标的端口编号(DPORT)=“any”
[处理]
·output
·物理端口(Port)=“1”
即,在流表TB1中的ID为“3”的条目中,作为条件而存储有“发送源为主机H1、且发送目标为主机H2的53号端口的UDP数据(数据报)”的信息,作为处理而存储有“输出至物理端口P12”的信息。在流表TB1中的ID为“4”的条目中,作为条件而存储有“发送源为主机H2的53号端口、且发送目标为主机H1的UDP数据(数据报)”的信息,作为处理而存储有“输出至物理端口P1”的信息。即,在流表TB1中存储有表示设置于OFS11的多个物理端口P1~P12中的、应当按照主机H1、H2之间的实际路径而将数据输出的物理端口的信息。
与流表TB1相同地,在流表TB2中的ID为“3”的条目中,作为条件而存储有“发送源为主机H1、且发送目标为主机H2的53号端口的UDP数据(数据报)”的信息,作为处理而存储有“输出至物理端口P6”的信息。在流表TB2中的ID为“4”的条目中,作为条件而存储有“发送源为主机H2的53号端口、且发送目标为主机H1的UDP数据(数据报)”的信息,作为处理而存储有“输出至物理端口P7”的信息。即,在流表TB2中存储有表示设置于OFS12的多个物理端口P1~P12中的、应当按照主机H1、H2之间的实际路径而将数据输出的物理端口的信息。
在图3所例示的流表TB1、TB2中,与优先级设定为“1000”的2个条目(ID为“1”、“2”的条目)相比,优先处理优先级设定为“2000”的2个条目(ID为“3”、“4”的条目)。因此,在使用图3所例示的流表TB1、TB2的情况下,进行按照主机H1、H2之间的实际路径的数据的传送处理。
下面,对上述结构的数据传送***1的动作进行说明。图4是表示本发明的第1实施方式所涉及的数据传送***的动作的一个例子的时序图。例如在新构建成网络N1的情况、进行了网络N1的变更的情况、或者存在来自网络N1的管理者的指示的情况等下,开始进行图4所示的处理。
如果开始进行处理,则首先OFC20经由网络N2将报文(Flow_Mod报文)发送至OFS11、12,对许可经由网络N1的通信的条件即白名单进行登记(步骤S10)。具体而言,OFC20将图2所示的临时的流表TB0(存储有表示应当将符合条件的数据输出至OFC20的主旨的信息的表)作为流表TB1、TB2而分别设定于OFS11、12中。
如果以上处理完毕,则为了获得作为DNS服务器的主机H2的MAC(MediaAccessControl)地址,作为DNS客户端的主机H1播发Arp(AddressResolutionProtocol)请求(步骤S11)。由主机H1播发的Arp请求在由OFS11接收之后按照预先规定的规则被输出至未图示的控制端口(Ctrl),经由网络N2并作为报文(Packet_In报文)而被发送至OFC20(步骤S12)。
在从OFS11发送来的报文(Packet_In报文)中,包含确定与播发Arp请求的主机H1连接的OFS以及端口的信息。因此,OFC20对表示主机H1的连接位置的信息(表示主机H1与OFS11的物理端口P1连接的主旨的信息)进行记录(步骤S13)。
如果接收到来自OFS11的报文(Packet_In报文),则OFC20经由网络N2而将报文(表示应当播发Arp请求的主旨的Flood报文)发送至OFS11、12(步骤S14)。Arp请求的发送目标即主机H2与OFS11、12中的哪一个连接并不明确,因此进行该处理。由此,OFS11、12从连接关系不明的所有物理端口(OFS11的物理端口P2~P11以及OFS12的物理端口P1~P6、P8~P12)播发Arp请求(步骤S15)。
如果进行以上处理,则利用与OFS12的物理端口P6连接的主机H2接收来自主机H1的Arp请求。由此,主机H2将作为针对Arp请求的回复的Arp答复发送至OFS12(步骤S16)。在接收到从主机H2发送的Arp答复之后,OFS12经由网络N2而将报文(Packet_In报文)发送至OFC20(步骤S17)。
在从OFS12发送来的报文(Packet_In报文)中,包含有确定与发送Arp答复的主机H2连接的OFS以及端口的信息。因此,OFC20对表示主机H2的连接位置的信息(表示主机H2与OFS12的物理端口P6连接的主旨的信息)进行记录(步骤S18)。
如果接收到来自OFS12的报文(Packet_In报文),则OFC20经由网络N2而将报文(Packet_Out报文)发送至OFS11(步骤S19)。在步骤S13的处理中,Arp答复的发送目标即主机H1与OFS11的物理端口P1连接是已知的,因此进行该处理。
如果OFS11接收到从OFC20发送的报文(Packet_Out报文),则OFS11从物理端口P1输出Arp答复(步骤S20)。由此,利用与OFS11的物理端口P1连接的主机H1接收来自主机H2的Arp答复,利用主机H1获得作为DNS服务器的主机H2的MAC地址。
如果以上处理完毕,则从作为DNS客户端的主机H1对作为DNS服务器的主机H2发送数据包(DNS查询)(步骤S21)。主机H1例如为了查询与网络N1连接的其他主机(省略图示)的IP地址而进行该处理。
如果接收到来自主机H1的DNS查询,则OFS11进行参照流表TB1(图2所示的临时的流表TB0)的传送处理。从主机H1发送的DNS查询是“发送目标为主机H2的53号端口的UDP数据(数据报)”,符合在图2所示的临时的流表TB0中的ID为“1”的条目中所存储的条件。因此,OFS11根据在图2所示的临时的流表TB0中的ID为“1”的条目中所存储的处理,将来自主机H1的DNS查询作为报文(Packet_In报文)从未图示的控制端口(Ctrl)输出。
从OFS11的未图示的控制端口输出的报文(Packet_In报文)经由网络N2而发送至OFC20(步骤S22)。如果接收到来自OFS11的报文(Packet_In报文),则OFC20进行求出从主机H1向主机H2的路径的处理。OFC20通过步骤S13、S18的处理而掌握主机H1、H2的连接位置,但并未掌握该连接位置之间的路径,因此进行该处理。
如果求出从主机H1向主机H2的路径,则OFC20经由网络N2而将报文(Flow_Mod报文)发送至OFS11、12。然后,OFC20对反映从主机H1向主机H2的路径的流表进行登记(步骤S23)。具体而言,OFC20将作为流表TB1、TB2而设定于OFS11、12中的临时的流表TB0(参照图2),分别更新为图3所示的追加有ID为“3”的条目的流表TB1、TB2。
与原来的条目(ID为“1”、“2”的条目)相比,图3所示的流表TB1、TB2中新追加的条目(ID为“3”的条目)被设定了更高的优先级。因此,在OFC20更新了临时的流表TB0之后,OFS11、12针对流表TB1、TB2中新追加的条目(ID为“3”的条目)优先进行数据的传送处理。
如果接收到来自OFS11的报文(Packet_In报文),则OFC20经由网络N2而将报文(Packet_Out报文)发送至OFS11(步骤S24)。在步骤S23的处理中,临时的流表TB0被更新为反映了从主机H1向主机H2的路径的流表TB1、TB2,因此,为了将来自主机H1的DNS查询向主机H2传送而对OFS11进行该处理。
如果接收到来自OFC20的报文(Packet_Out报文),则OFS11进行参照流表TB1的传送处理。来自OFC20的报文中所包含的DNS查询是“发送源为主机H1、且发送目标为主机H2的53号端口的UDP数据(数据报)”,符合在图3所示的流表TB1中的ID为“3”的条目中所存储的条件。因此,OFS11根据在图3所示的流表TB1中的ID为“3”的条目中所存储的处理,将DNS查询输出至物理端口P12(步骤S25)。
从OFS11输出的DNS查询被输入至OFS12的物理端口P7而由OFS12接收。如果接收到来自OFS11的DNS查询,则OFS12进行参照流表TB2的传送处理。来自OFS12的报文中所包含的DNS查询符合在图3所示的流表TB2中的ID为“3”的条目中所存储的条件。因此,OFS12根据在图3所示的流表TB2中的ID为“3”的条目中所存储的处理,将DNS查询输出至物理端口P6(步骤S26)。由此,利用与OFS12的物理端口P6连接的主机H2接收来自主机H1的DNS查询。
通过上述步骤S23的处理,OFS11、12中分别设定有反映了从主机H1向主机H2的路径的流表TB1、TB2。因此,如果主机H1此后发送DNS查询,则不进行针对OFC20的报文的发送,而由OFS11、12分别进行参照流表TB1、TB2的传送处理。由此,来自主机H1的DNS查询经由网络N1而传送至主机H2(步骤S27~S29)。
图4中省略了图示,但是在主机H2接收到来自主机H1的DNS查询的情况下,从主机H2向主机H1发送DNS应答。在发送该DNS应答时,进行和图4中示出的步骤S11~S26同样的处理。但是,需要将图4中的主机H1、H2调换,将OFS11、12调换,并将图4中的“DNSQuery”替换为“DNSResponse”。在主机H2接收到来自主机H1的Arp请求的情况下,只要主机H2获得了主机H1的MAC地址,就能够将与步骤S11~S20相当的处理省略。
在从主机H2发送DNS应答时,进行与图4中示出的步骤S23相当的处理,由此将图3中示出的ID为“4”的条目追加至设定于OFS11、12的流表TB1、TB2中。由此,OFS12基于流表TB2而将来自主机H2的DNS应答输出至物理端口P7。另一方面,OFS11基于流表TB1而将来自OFS12的DNS应答输出至物理端口P1。这样,经由网络N1而将来自主机H2的DNS应答传送至主机H1。
如果主机H1、H2从网络N1脱离,则从OFS11、12经由网络N2而将表示主机H1、H2从网络N1脱离的信息发送至OFC20。在OFC20接收到这种信息的情况下,OFC20经由网络N2而将控制信号发送至OFS11、12。该控制信号是用于将与从网络N1脱离的主机H1、H2相关联的信息删除的信号。
如上所示,在本实施方式中,在主机H1、H2之间的路径不明的情况下,OFC20将临时的流表TB0设定于OFS11、12中。另外,在获得了表示主机H1、H2之间的路径的路径信息的情况下,OFC20将临时的流表TB0更新为基于该路径信息而更新了内容的流表TB1、TB2,由此进行数据的传送控制。
上述的临时的流表TB0是规定了针对接收的数据的条件、和将符合该条件的数据输出至OFC20的处理的流表。
因此,在本实施方式中,即使网络管理者未预先掌握网络N1的具体结构,也能够适时地进行白名单式的严密的传送控制。
还能够想到如下方法,即,不使用上述的临时的流表TB0,OFS11、12向OFC20询问不符合条件的数据的处理规则。但是,在这种方法中,能够想到如下可能性,即,在存有恶意的人员大量地发送不符合条件的数据的情况下,有可能产生对数据传送***1的障碍。本实施方式在临时的流表TB0中规定有针对接收的数据的条件、和将符合该条件的数据输出至OFC20的处理。因此,能够防止上述障碍的产生,能够提高安全性。
在上述实施方式中形成为,在从主机H1对主机H2发送DNS查询的定时,更新部23对临时的流表TB0进行更新(参照步骤S23)。但是,进行更新临时的流表TB0的处理的定时,可以是获得表示主机H1和主机H2之间的路径(可以是一部分路径)的路径信息的定时,或者可以是在获得上述路径信息之后最早从主机H1对主机H2发送某数据的定时。
例如,在图4所示的例子中,只要进行步骤S11~S18的处理,就能够求出表示主机H1、H2之间的路径的路径信息。因此,可以进行如下处理(与步骤S23的处理相当的处理),即,OFC20在步骤S18的处理结束的定时求出表示主机H1、H2之间的路径的路径信息,并对临时的流表TB0进行更新。在图4中,示出了以单播传送的方式进行主机H1、H2之间的数据的发送接收的例子,但也可以以多播传送的方式进行主机H1、H2之间的数据的发送接收。但是,并不传送Arp,因此需要利用IGRP(InteriorGatewayRoutingProtocol)等报文而获知主机H1、H2的连接端口。
在上述实施方式中,在进行了更新临时的流表TB0的处理(步骤S23的处理)之后,从OFC20将报文(Packet_Out报文)发送至OFS11(步骤S24),通过OFS11、12的传送处理而将来自主机H1的DNS查询传送至主机H2。但是,也可以取代OFS11而将报文(Packet_Out报文)发送至OFS12,并仅通过OFS12的传送处理而将来自主机H1的DNS查询传送至主机H2。由此,能够省略利用OFS11的传送处理,能够缩短数据传送所需的时间。
或者可以形成为,在OFS11具有临时存储来自主机H1的数据的存储器的情况下,在接收到来自主机H1的DNS查询时,将接收到的DNS查询临时存储于存储器,通过步骤S22的处理而将表示将DNS查询存储于存储器的主旨的信息发送至OFC20。在这种情况下,只要在进行了更新临时的流表TB0的处理(步骤S23)之后,OFS11基于来自OFC20的指示并参照流表TB1而进行临时存储于存储器的DNS查询的传送处理即可。
下面,对将以上说明的数据传送***1应用于在车间构建的过程控制***的例子进行说明。作为上述车间,除了化学等的工业车间以外,还存在对气田、油田等的井场及其周围进行管理控制的车间、对水力·火力·原子能等的发电进行管理控制的车间、对阳光、风力等的环境能源发电进行管理控制的车间、对给排水、堤坝等进行管理控制的车间等。
图5A及图5B是对应用了本发明的第1实施方式所涉及的数据传送***的过程控制***进行说明的图。图5A是对过程控制***的层级构造进行说明的图。图5B是举例示出应用了数据传送***的过程控制***的图。如图5A所示,在车间构建的过程控制***形成为由多个层级(等级为0~4的层级)构成的层级构造。例如由国际标准规格IEC/ISO62264对这种层级构造进行了规定。
等级4的层级是进行企业的经营、营业等业务的层级。在等级4的层级构建有被称为基干业务***(ERP:EnterpriseResourcePlanning)、PAM(PlantAssetManagement)的综合设备管理***等。与此相对,等级0~3的层级是被称为产业控制***(ICS:IndustrialControlSystem)的层级。等级3的层级是进行产品的制造等的层级。在该等级0~3的层级中,进行与产品相关的控制。但是,有时还处理危险品,因此要求高度的安全性。
具体而言,在等级3的层级构建有制造执行***(MES:ManufacturingExecutionSystem)、车间信息管理***(PIMS:PlantInformationManagementSystem)等。在等级1、2的层级构建有具备设置于车间的现场设备、对这些现场设备进行控制的FCS(FieldControlStation)的分散控制***(DCS:DistributedControlSystem)等。
如上所述,进行车间的控制的等级0~3的层级要求高度的安全性,因此,基本上将以等级0~3构建的网络从以等级4构建的网络断开。根据保护控制用通信的通信量的观点,基本上使在等级1、2的层级构建的网络从在等级3的层级构建的网络分离。
如图5B所示,数据传送***1例如应用于等级3的层级,OFS11作为设置于等级2的层级和等级3的层级之间的交换机SW1而使用,OFS12作为设置于等级3的层级和等级4的层级之间的交换机SW2而使用。构成数据传送***1的OFS11、12还能够作为构成在等级3的层级所构建的网络的交换机SW3而使用。在图5B所示的例子中,理论上将在等级3的层级所构建的网络分为2个通信组G1、G2。
如图5B所示,通过将数据传送***1应用于过程控制***,在等级3的层级所构建的网络中,能够适时地进行白名单式的严密的传送控制。由此,不仅能够对与其他等级(等级2、4)的层级之间交换的数据进行严密的管理,还能够对在相同的等级3的层级内交换的数据进行严密的管理。即使在交换机SW1~SW3由各不相同的供应商提供的情况(或者,交换机SW1~SW3的种类互不相同的情况)下,或者在网络管理者未预先掌握在等级3的层级所构建的网络的具体结构的情况下,也能够进行这种管理。
[第2实施方式]
图6是表示本发明的第2实施方式所涉及的数据传送***的要部结构的框图。如图6所示,本实施方式的数据传送***2具备OFC40、依据开放流标准的OFS31、以及不依据开放流标准的交换机32、33。在OFC40的控制下,OFS31以及交换机32、33将从发送源发送来的数据向发送目标传送。
即,在本实施方式的数据传送***2中,依据开放流标准的OFS31和不依据开放流标准的交换机32、33在网络中混用。OFC40集中控制这些OFS31以及交换机32、33。在图6中,为了易于理解,示出了具备依据开放流标准的1个OFS31、和不依据开放流标准的2个交换机32、33的数据传送***2,但是数据传送***2中所设置的OFS以及交换机的数量是任意的。
OFS31与图1中示出的OFS11、12相同。OFS31参照由OFC40管理的流表(与图2、图3中示出的流表TB1、TB2相同的流表)而进行数据的传送处理。交换机32、33分别具备未图示的访问控制列表(ACL)。交换机32、33参照该访问控制列表的内容而进行数据的传送处理。交换机32是与Netconf(NetworkConfigurationProtocol)对应的交换机,通过进行依据Netconf的通信而进行访问控制列表的设定。交换机33是与SNMP(SimpleNetworkManagementProtocol)相对应的交换机,通过进行依据SNMP的通信而进行访问控制列表的设定。
OFC40与图1中示出的OFC20相同地,通过管理OFS31中使用的流表而进行经由网络(由OFS31以及交换机32、33等构成的未图示的网络)传送的数据的传送控制。但是,除了在OFS31中使用的流表以外,还对交换机32、33中使用的访问控制列表进行管理,OFC40在这一点上与图1中示出的OFC20不同。
如图6所示,OFC40具备转换器41(生成部)以及通信部42~44。OFC40基于存储于未图示的存储器中的白名单WL(条件列表)以及设备列表DL,而生成OFS31中使用的流表(和图2中示出的临时的流表TB0相同的表)以及交换机32、33中使用的访问控制列表。OFC40将生成的流表以及访问控制列表分别设定于OFS31以及交换机32、33中。
上述白名单WL是对经由网络的数据的传送控制的条件进行规定的列表。例如如图2、图3中示出的流表TB1、TB2中的条件那样,无论网络的具体结构如何,都在该白名单WL中对抽象内容(例如,发送源以及发送目标的地址、发送源以及发送目标的端口编号等)进行规定。上述设备列表DL是针对与网络连接的每个设备,使得确定设备的识别信息、表示设备是否依据开放流标准的信息、以及表示设备所使用的协议的信息等相关联的列表。上述白名单WL以及设备列表DL例如由网络管理者制作。
转换器41从存储器读取白名单WL以及设备列表DL。转换器41根据白名单WL以及设备列表DL的内容而分别生成适合于OFS31的流表以及适合于交换机32、33的访问控制列表。具体而言,转换器41生成OFS31用的临时的流表TB0(参照图2)。在临时的流表TB0中,作为条件而规定白名单WL的内容,作为处理而规定在符合该条件的情况下用于将数据输出至OFC40的信息。转换器41分别生成交换机32、33用的适合于依据Netconf的通信的访问控制列表、以及适合于依据SNMP的通信的访问控制列表。
图7是表示本发明的第2实施方式所涉及的由转换器执行的流表以及访问控制列表的制作处理的图。转换器41从存储器读取白名单WL以及设备列表DL(步骤S30)。然后,转换器41判断是否针对所有设备(所有的OFS以及交换机)都制作了流表或者访问控制列表(步骤S31)。在针对所有设备(所有的OFS以及交换机)制作了流表或者访问控制列表的情况下,转换器41使本流程图的处理结束。
另一方面,在未对所有设备(所有的OFS以及交换机)制作流表或者访问控制列表的情况下,转换器41对未制作流表或者访问控制列表的设备的种类进行判别(步骤S32)。在设备的种类对应于开放流的情况下,转换器41制作对应于开放流的设备用的流表(步骤S33)。在设备的种类对应于Netconf的情况下,转换器41制作对应于Netconf的设备用的访问控制列表(步骤S34)。在设备的种类对应于SNMP的情况下,转换器41制作对应于SNMP的设备用的访问控制列表(步骤S35)。直至针对所有设备制作了流表或者访问控制列表为止,转换器41反复进行步骤S31~步骤S35的处理。
通信部42与开放流用的协议相对应。通信部42在与OFS31之间进行通信,将利用转换器41所生成的临时的流表TB0设定于OFS31。通信部43与Netconf相对应。通信部43在与交换机32之间进行依据Netconf的通信,将利用转换器41所生成的访问控制列表设定于交换机32。通信部44与SNMP相对应。通信部44在与交换机33之间进行依据SNMP的通信,将利用转换器41所生成的访问控制列表设定于交换机33。在图6中,为了易于理解,分别示出了与上述各协议相对应的通信部42~44,但是这些通信部42~44也可以合并为1个。
在上述结构的数据传送***2中,首先由网络管理者制作白名单WL以及设备列表DL。然后,如果存在来自网络管理者的指示,则转换器41从存储器读取白名单WL以及设备列表DL,分别生成适合于OFS31的流表以及适合于交换机32、33的访问控制列表。接着,通信部42和OFS31之间进行通信,将利用转换器41生成的流表设定于OFS31中。另一方面,通信部43、44分别和交换机32、33之间进行通信,将利用转换器41生成的访问控制列表分别设定于交换机32、33中。
如上,在本实施方式中,基于白名单WL以及设备列表DL,自动地制作适合于OFS31的流表和适合于交换机32、33的访问控制列表。由此,即使依据开放流标准的OFS31、和不依据开放流标准的交换机32、33在网络中混用,网络管理者也可以仅对白名单WL以及设备列表DL进行管理,管理不会变得繁琐。
网络管理者应当管理的白名单WL,对发送源以及发送目标的地址等的不依赖于网络的具体结构的抽象内容进行规定。
因此,与第1实施方式相同地,即使网络管理者未预先掌握网络的具体结构,也能够适时地进行白名单式的严密的传送控制。
[第3实施方式]
图8是表示在本发明的第3实施方式所涉及的数据传送***中使用的OFS的要部结构的框图。本实施方式的数据传送***中使用的OFS50,能够进行基于流表TB的数据的传送处理、和基于访问控制列表ACL的数据的过滤处理(所谓的混合型的结构)。在本实施方式的数据传送***中,与图6中示出的OFC40相同地,OFC能够基于白名单WL等而制作流表TB以及访问控制列表ACL。
如图8所示,OFS50具备过滤部51、传送部52、过滤部53、存储器54、通信部55以及通信部56。过滤部51设置于传送部52的前段。过滤部51参照存储于存储器54的访问控制列表ACL,进行输入至传送部52的数据的过滤处理。传送部52参照存储于存储器54的流表TB,进行经由过滤部51的数据的传送处理。过滤部53设置于传送部52的后段。过滤部53参照存储于存储器54的访问控制列表ACL,进行从传送部52输出的数据的过滤处理。可以省略过滤部51、53中的任一者。
存储器54对过滤部51、53所参照的访问控制列表ACL以及传送部52所参照的流表TB进行存储。存储于存储器54的访问控制列表ACL与适合于第2实施方式的交换机32的访问控制列表相同地,存储于存储器54的流表TB与适合于第2实施方式的OFS31的流表相同(参照图6)。
通信部55与开放流用的协议相对应。通信部55在与未图示的OFC之间进行通信,将利用OFC生成的流表TB(图2所示的临时的流表TB0)存储于存储器54。通信部56与Netconf、SNMP相对应。通信部56在与未图示的OFC之间进行通信,将利用OFC生成的访问控制列表ACL存储于存储器54。与第2实施方式相同地,这些通信部55、56可以合并为1个。
在本实施方式中,也与第2实施方式相同地,首先由网络管理者制作白名单WL等。如果存在从网络管理者针对未图示的OFC的指示,则基于白名单WL等而分别生成上述的流表TB以及访问控制列表ACL。然后,在OFS50的通信部55、56和未图示的OFC之间进行通信,将利用未图示的OFC生成的流表TB以及访问控制列表ACL存储于OFS50的存储器54。并且,OFS50的过滤部51、53参照存储于存储器54的访问控制列表ACL而进行数据的过滤处理。另一方面,OFS50的传送部52参照存储于存储器54的流表TB而进行数据的传送处理。
如上所示,在本实施方式中,OFS50的传送部52进行基于流表TB的传送处理,其中,该流表TB基于白名单WL等而制作。另外,OFS50的过滤部51、53进行基于访问控制列表ACL的过滤处理,其中,该访问控制列表ACL基于白名单WL等而制作。由此,即使混合型的OFS50与网络连接,网络管理者也可以仅对白名单WL以及设备列表DL进行管理,管理不会变得繁琐。OFS50能够通过使用过滤部51、传送部52以及过滤部53中的任1个而进行访问控制。
在本实施方式中,网络管理者应当管理的白名单WL也对发送源以及发送目标的地址等的不依赖于网络的具体结构的抽象内容进行规定。因此,与第2实施方式相同地,即使网络管理者未预先掌握网络的具体结构,也能够适时地进行白名单式的严密的传送控制。
[变形例]
<第1变形例>
通常,依据开放流标准的流表具有能够使用的期间即使用期(寿命)。对于在前述的第1~第3实施方式中使用的临时的流表TB0及流表TB1、TB2,OFC20、40可以设定有限的使用期,也可以设定无限的使用期。
在OFC20、40设定了有限的使用期的情况下,如果使用期届满,则OFC20、40自动地删除流表。因此,能够防止例如网络管理者忘记删除超过了使用期的流表这样的事态,因此能够提高安全性。与此相对,在OFC20、40设定了无限的使用期的情况下,只要不存在网络管理者的删除指示就不删除流表。因此,能够防止在网络管理者不知晓的期间将流表删除这样的事态,因此能够按照网络管理者的意图而明确地进行流表的管理。
<第2变形例>
在前述的第1~第3实施方式中,可以在OFC20、40等中设置计时器,根据预先规定的计划表而针对OFS11、12、31、50等自动地进行设定临时的流表TB0的处理(图4中的步骤S10的处理)、或者将设定的临时的流表TB0删除的处理。由此,仅能够在特定的期间内进行经由网络的通信,或者能够临时进行经由网络的通信,因此能够提高安全性。
<第3变形例>
图9是表示在本发明的实施方式所涉及的数据传送***中使用的OFS的变形例的图。如图9所示,OFS60具备传送部61以及多个物理端口P1、P2。OFS60参照存储于未图示的存储器中的流表而进行数据的传送处理。传送部61与图8中示出的传送部52相同。在图9中,示出了具备2个物理端口P1、P2的OFS60,但是设置于OFS60的物理端口的数量是任意的。
在OFS60的物理端口P1、P2中设置有多个队列Q1~Q3。能够对队列Q1~Q3中的每一个分别分配互不相同的带宽。
为了对特定的数据流(flow)分配队列,需要确定输出数据流的物理端口,并指定设置于特定的物理端口的多个队列中的应当分配的队列。
在前述的实施方式中,如利用图4说明的那样,在获得了表示网络的路径的路径信息的情况下,将未指定物理端口的临时的流表TB0(参照图2)更新为确定了物理端口的流表TB1、TB2(参照图3)。因此,在本变形例中,只要预先在OFC的白名单WL等中指定了要进行频带的分配的每个数据流的频带,在获得了表示网络的路径的路径信息而对临时的流表TB0进行更新时,就确定物理端口并选择队列。
在进行能够实现数据流、频带的利用的设定的情况下,优选对该设定是否适合于网络运用方面的方针进行检验。例如,在进行图4中示出的步骤S10的处理(OFC20将临时的流表TB0设定于OFS11、12的处理)的情况下,优选网络管理者对利用临时的流表TB0的用户是否具有利用权限进行检验。因此,在进行图4中示出的步骤S10的处理的情况下,优选向具有AAA功能(Authentication(认证)、Authorization(认可)、Accounting(授权))的服务器咨询。由此,能够进行设定者、设备的认证、权限的管理、收费信息的记录等。
上述实施方式所涉及的OFC20以及OFC40在内部具有计算机***。并且,上述的OFC20以及OFC40的各处理的过程,以大于或等于1个的程序的形式而存储于非临时性计算机可读存储介质。通过计算机读取并执行该大于或等于1个的程序而进行上述各种处理。非临时性计算机可读存储介质是指磁盘、光磁盘、CD-ROM、DVD-ROM、半导体存储器等。另外,可以利用通信线路而将该大于或等于1个的程序配置于计算机中,接受了该配置的计算机可以执行该大于或等于1个的程序。
以上对本发明的实施方式所涉及的数据传送***、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质进行了说明,但本发明并不受到上述实施方式的限制,在本发明的范围内能够自由地变更。
例如,在前述的第1实施方式中,对以图1所示的网络N1是使用IPv4协议的网络为前提,利用ARP获得表示主机H1、H2之间的路径的路径信息的例子进行了说明。但是,本发明还能够应用于网络N2是使用IPv6协议的网络的情况。在这种网络中,能够利用邻居发现(NeighborDiscovery)协议获得表示主机H1、H2之间的路径的路径信息。在上述实施方式中,举出依据开放流标准的情况为例进行了说明,但是,在实现SDN(Software-DefinedNetwork)的其他设备中存在与开放流相同的限制的情况下,也能够利用本发明。
在本说明书中,“前、后、上、下、垂直、水平、下、横、行以及列”等的表示方向的词语,是指本发明的装置中的这些方向。因此,本发明的说明书中的这些词语应当在本发明的装置中相对地进行解释。
“构成”这样的词语是指为了执行本发明的功能而构成,或者用于表示装置的结构、要素、部分。
并且,在技术方案中表述为“手段加功能”的词语,应当包含能够用于执行本发明中所含有的功能的所有构造。
“单元”这样的词语,用于表示结构要素、单元、硬件、为了执行期望的功能而编程得到的软件的一部分。硬件的典型例子为装置、电路,但不限定于此。
以上对本发明的优选实施例进行了说明,但本发明不限定于这些实施例。在不脱离本发明的主旨的范围内,能够进行结构的追加、省略、置换以及其他变更。本发明不限定于前述的说明,而仅由附件的权利要求书来限定。
Claims (20)
1.一种数据传送***,其具备:
交换机,其参照使第1信息与第2信息相关联的表,从发送源向发送目标传送数据,该第1信息表示针对接收到的数据的条件,该第2信息表示在符合该条件的情况下应当实施的处理;以及
控制装置,其具备设定部、获取部以及更新部,
该设定部将临时表设定在所述交换机中,该临时表存储用于将符合由所述第1信息表示的条件的数据向控制装置输出的所述第2信息,
该获取部获取表示所述发送源和所述发送目标之间的路径的路径信息,
该更新部将所述临时表更新为基于所述路径信息而对符合由所述第1信息表示的条件的数据的输出目标进行了变更的表。
2.根据权利要求1所述的数据传送***,其中,
在所述获取部获得了所述路径信息的定时、或者所述发送源在所述获取部获得了所述路径信息之后最早向所述发送目标发送数据的定时,所述更新部进行所述临时表的更新。
3.根据权利要求1所述的数据传送***,其中,
所述设定部针对设定于所述交换机的所述表设定优先级,
所述更新部将所述临时表更新为被设定了比针对所述临时表而设定的优先级高的优先级的表。
4.根据权利要求1所述的数据传送***,其中,
所述设定部针对所述交换机中使用的所述表或者所述临时表,设定有限的寿命或者无限的寿命。
5.根据权利要求1所述的数据传送***,其中,
所述设定部按照预先规定的计划表,进行相对于所述交换机的所述临时表的设定以及所述临时表的删除中的至少一方。
6.根据权利要求1所述的数据传送***,其中,
所述交换机在每个端口具有频带不同的多个队列,
在更新了所述临时表的情况下,所述交换机针对每个所述端口而选择所述队列。
7.根据权利要求1所述的数据传送***,其中,
所述交换机以及所述控制装置依据开放流标准、或者与开放流标准类似的其他标准,
所述控制装置具备:
条件列表,其对从发送源向发送目标的数据的传送控制的条件进行规定;以及
生成部,其利用所述条件列表,生成在依据开放流标准的所述交换机中设定的所述临时表、和在不依据开放流标准的非标准交换机中使用的地址控制列表。
8.一种数据传送方法,其中,
利用设定部,将临时表设定于从发送源向发送目标传送数据的交换机中,该临时表使第1信息与第2信息相关联,该第1信息表示针对接收到的数据的条件的第1信息,该第2信息用于将符合该条件的数据输出至具有所述设定部的控制装置,
利用获取部,获取表示所述发送源和所述发送目标之间的路径的路径信息,
利用更新部,将所述临时表更新为基于所述路径信息而对符合由所述第1信息表示的条件的数据的输出目标进行了变更的表。
9.根据权利要求8所述的数据传送方法,其中,
在获得了所述路径信息的定时、或者在获得了所述路径信息之后最早从所述发送源向所述发送目标发送数据的定时,利用所述更新部进行所述第2步骤。
10.根据权利要求8所述的数据传送方法,其中,
利用所述设定部,针对设定于所述交换机的所述表设定优先级,
利用所述更新部,将所述临时表更新为被设定了比针对所述临时表而设定的优先级高的优先级的表。
11.根据权利要求8所述的数据传送方法,其中,
利用所述设定部,针对所述交换机中使用的所述表或者所述临时表,设定有限的寿命或者无限的寿命。
12.一种控制装置,其具备:
设定部,其在具有用于传送数据的多个端口的交换机中,对第1表进行设定,该第1表使包含发送源的信息和发送目标的信息在内的条件、和表示与控制装置连接的所述多个端口中的1个端口的信息的处理相关联;
获取部,其获取表示所述发送源和所述发送目标之间的路径的路径信息;以及
更新部,其基于所述路径信息而将所述第1表更新为第2表。
13.根据权利要求12所述的控制装置,其中,
所述更新部基于所述路径信息而对由所述处理表示的所述端口的信息进行变更,由此将所述第1表更新为所述第2表。
14.根据权利要求12所述的控制装置,其中,
在所述获取部获得了所述路径信息的定时、或者所述发送源在所述获取部获得了所述路径信息之后最早向所述发送目标发送数据的定时,所述更新部对所述第1表进行更新。
15.根据权利要求12所述的控制装置,其中,
所述设定部针对设定于所述交换机的所述第1表以及第2表设定优先级,
所述更新部将所述第1表更新为被设定了比针对所述第1表而设定的优先级高的优先级的所述第2表。
16.根据权利要求12所述的控制装置,其中,
所述设定部针对所述交换机中使用的所述第1表以及所述第2表中的至少1个,设定有限的寿命或者无限的寿命。
17.根据权利要求12所述的控制装置,其中,
所述设定部按照预先规定的计划表,进行所述第1表的设定以及所述第1表的删除。
18.根据权利要求12所述的控制装置,其中,
还具备生成部,该生成部利用所述条件列表,生成在依据开放流标准的所述交换机中设定的所述第1表、和在不依据开放流标准的非标准交换机中设定的地址控制列表。
19.一种控制方法,其中,
利用设定部,在具有用于传送数据的多个端口的交换机中,对第1表进行设定,该第1表使包含发送源的信息和发送目标的信息在内的条件、和表示与控制装置连接的所述多个端口中的1个端口的信息的处理相关联,
利用获取部,获取表示所述发送源和所述发送目标之间的路径的路径信息,
利用更新部,基于所述路径信息而将所述第1表更新为第2表。
20.一种非临时性计算机可读存储介质,其对由计算机执行的大于或等于1个的程序进行存储,其中,
所述大于或等于1个的程序具有以下指示:
利用所述计算机,在具有用于传送数据的多个端口的交换机中,对第1表进行设定,该第1表使包含发送源的信息和发送目标的信息在内的条件、和表示与控制装置连接的所述多个端口中的1个端口的信息的处理相关联,
利用所述计算机,获取表示所述发送源和所述发送目标之间的路径的路径信息,
利用所述计算机,基于所述路径信息而将所述第1表更新为第2表。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014173153A JP2016048854A (ja) | 2014-08-27 | 2014-08-27 | データ転送システム及び方法 |
| JP2014-173153 | 2014-08-27 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105391628A true CN105391628A (zh) | 2016-03-09 |
| CN105391628B CN105391628B (zh) | 2018-11-27 |
Family
ID=53900735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510514811.8A Active CN105391628B (zh) | 2014-08-27 | 2015-08-20 | 数据传送***及数据传送方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10104014B2 (zh) |
| EP (1) | EP2991272B1 (zh) |
| JP (1) | JP2016048854A (zh) |
| CN (1) | CN105391628B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113014411A (zh) * | 2019-12-20 | 2021-06-22 | 华为技术有限公司 | 管理网络设备的方法、设备和*** |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112017012218A2 (pt) | 2014-12-09 | 2017-12-26 | Huawei Tech Co Ltd | método e aparelho para processamento de tabela de fluxo adaptativo |
| US10484428B2 (en) | 2016-06-09 | 2019-11-19 | LGS Innovations LLC | Methods and systems for securing VPN cloud servers |
| US10637890B2 (en) * | 2016-06-09 | 2020-04-28 | LGS Innovations LLC | Methods and systems for establishment of VPN security policy by SDN application |
| US10425419B2 (en) | 2016-07-21 | 2019-09-24 | At&T Intellectual Property I, L.P. | Systems and methods for providing software defined network based dynamic access control in a cloud |
| CN107666428B (zh) * | 2016-07-28 | 2020-03-06 | 新华三技术有限公司 | 静默设备探测方法以及装置 |
| KR102342734B1 (ko) * | 2017-04-04 | 2021-12-23 | 삼성전자주식회사 | Sdn 제어 장치 및 이의 데이터 패킷의 전송 룰 설정 방법 |
| CN110505176B9 (zh) * | 2018-05-16 | 2023-04-11 | 中兴通讯股份有限公司 | 报文优先级的确定、发送方法及装置、路由*** |
| CN110401733A (zh) * | 2019-08-22 | 2019-11-01 | 中国科学院声学研究所 | 一种sdn网络的arp协议实现方法、***及控制器 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100070062A1 (en) * | 2008-09-18 | 2010-03-18 | Siemens Aktiengesellschaft | Method for modelling a manufacturing process |
| US20130283398A1 (en) * | 2012-04-24 | 2013-10-24 | Jianqing Wu | Versatile Log System |
| US20140019639A1 (en) * | 2011-03-31 | 2014-01-16 | Hiroshi Ueno | Computer system and communication method |
| US20140098669A1 (en) * | 2012-10-08 | 2014-04-10 | Vipin Garg | Method and apparatus for accelerating forwarding in software-defined networks |
| CN103974380A (zh) * | 2013-01-24 | 2014-08-06 | 杭州华三通信技术有限公司 | 一种终端接入位置保活的方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007074383A (ja) | 2005-09-07 | 2007-03-22 | Yokogawa Electric Corp | 情報システム |
| CN103119900B (zh) * | 2010-06-23 | 2016-01-27 | 日本电气株式会社 | 通信***、控制设备、节点控制方法和节点控制程序 |
| JP2012049674A (ja) * | 2010-08-25 | 2012-03-08 | Nec Corp | 通信装置、通信システム、通信方法、および通信プログラム |
| CN105144652A (zh) * | 2013-01-24 | 2015-12-09 | 惠普发展公司,有限责任合伙企业 | 软件定义的网络中的地址解析 |
-
2014
- 2014-08-27 JP JP2014173153A patent/JP2016048854A/ja active Pending
-
2015
- 2015-07-31 US US14/814,665 patent/US10104014B2/en active Active
- 2015-08-03 EP EP15179552.3A patent/EP2991272B1/en active Active
- 2015-08-20 CN CN201510514811.8A patent/CN105391628B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100070062A1 (en) * | 2008-09-18 | 2010-03-18 | Siemens Aktiengesellschaft | Method for modelling a manufacturing process |
| US20140019639A1 (en) * | 2011-03-31 | 2014-01-16 | Hiroshi Ueno | Computer system and communication method |
| US20130283398A1 (en) * | 2012-04-24 | 2013-10-24 | Jianqing Wu | Versatile Log System |
| US20140098669A1 (en) * | 2012-10-08 | 2014-04-10 | Vipin Garg | Method and apparatus for accelerating forwarding in software-defined networks |
| CN103974380A (zh) * | 2013-01-24 | 2014-08-06 | 杭州华三通信技术有限公司 | 一种终端接入位置保活的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| ONF: ""openflow switch specification v1.4.0"", 《OPEN NETWORKING FOUNDATION》 * |
| 纳多,格雷: "《软件定义网络:SDN与OpenFlow解析》", 31 May 2014 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113014411A (zh) * | 2019-12-20 | 2021-06-22 | 华为技术有限公司 | 管理网络设备的方法、设备和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2991272B1 (en) | 2018-09-26 |
| US20160065501A1 (en) | 2016-03-03 |
| EP2991272A1 (en) | 2016-03-02 |
| CN105391628B (zh) | 2018-11-27 |
| JP2016048854A (ja) | 2016-04-07 |
| US10104014B2 (en) | 2018-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105391628A (zh) | 数据传送***、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质 | |
| CN109379206B (zh) | 网络功能信息的管理方法及相关设备 | |
| CN108449197B (zh) | 一种基于软件定义网络的多云环境网络构建方法 | |
| CN103404093B (zh) | 通信***、数据库、控制装置、通信方法 | |
| CN104202266B (zh) | 一种通信方法、交换机、控制器及通信*** | |
| US9450862B2 (en) | Virtual private network migration and management in centrally controlled networks | |
| CN103731307B (zh) | 一种针对多业务的标准化数据面动态重构方法 | |
| US8767564B2 (en) | Field communication system and field communication method | |
| CN106452857A (zh) | 生成配置信息的方法和网络控制单元 | |
| CN102355479B (zh) | 一种多nat网关流量转发的方法和设备 | |
| US11190452B2 (en) | Virtual customer premises equipment, policy management server and service providing method | |
| JP2009500759A (ja) | シンプルネットワーク管理プロトコルに基づいたデータ管理のための方法及びシステム | |
| WO2018076276A1 (en) | Multi-connection access point | |
| CN108965036A (zh) | 配置跨公网设备互访方法、***、服务器及存储介质 | |
| US10764949B2 (en) | Multi-connection access point | |
| CN103873372A (zh) | 基于域名的策略路由***及设置方法 | |
| CN103797762A (zh) | 通信终端、通信方法和通信*** | |
| CN106105129A (zh) | Openflow网络跨传统IP网络的拓扑学习方法和装置 | |
| US9609572B2 (en) | Method and system for supporting mobility of a mobile terminal in a software-defined network | |
| JP7028025B2 (ja) | 情報処理システム、エッジ装置、および情報処理方法 | |
| CN105430066A (zh) | 一种基于p2p技术的税控设备互联方法 | |
| JP6332497B2 (ja) | プロセス制御システム及びデータ転送方法 | |
| EP2564552B1 (en) | Network management in a communications network | |
| CN108023801B (zh) | 异构网络的资源调度方法及*** | |
| CN108259292B (zh) | 建立隧道的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |