JP2011211502A - ネットワークシステム及びその運用方法 - Google Patents
ネットワークシステム及びその運用方法 Download PDFInfo
- Publication number
- JP2011211502A JP2011211502A JP2010077485A JP2010077485A JP2011211502A JP 2011211502 A JP2011211502 A JP 2011211502A JP 2010077485 A JP2010077485 A JP 2010077485A JP 2010077485 A JP2010077485 A JP 2010077485A JP 2011211502 A JP2011211502 A JP 2011211502A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- identification information
- entry
- appliance
- conversion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】複数の仮想ネットワークが収容されるネットワークシステムにおいて、それら複数の仮想ネットワーク間でアプライアンスを共有すること。
【解決手段】ネットワークシステムは、アプライアンス、スイッチ、及び管理計算機を備える。管理計算機は変換ポリシーテーブルを備え、各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示す。変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含む。変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定される。アプライアンスは処理ルールテーブルを備える。スイッチは、転送テーブルを備える。管理計算機は、変換前パケット識別情報にマッチする受信パケットのパケット識別情報が変換後パケット識別情報に書き換わるように、スイッチの転送テーブルを設定する。また、管理計算機は、アプライアンスの処理ルールテーブルのマッチ条件を、変換後パケット識別情報に設定する。
【選択図】図1
【解決手段】ネットワークシステムは、アプライアンス、スイッチ、及び管理計算機を備える。管理計算機は変換ポリシーテーブルを備え、各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示す。変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含む。変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定される。アプライアンスは処理ルールテーブルを備える。スイッチは、転送テーブルを備える。管理計算機は、変換前パケット識別情報にマッチする受信パケットのパケット識別情報が変換後パケット識別情報に書き換わるように、スイッチの転送テーブルを設定する。また、管理計算機は、アプライアンスの処理ルールテーブルのマッチ条件を、変換後パケット識別情報に設定する。
【選択図】図1
Description
本発明は、仮想ネットワークが導入されたネットワークシステムであって、アプライアンスを備えるネットワークシステムに関する。
ネットワークを仮想化するための技術として、VLAN(IEEE 802.1Q)やVRF(Virtual Routing and Forwarding)などが知られており、それらはエンタープライズやデータセンターのネットワークにおいて広く用いられている。
また、特定の機能に特化した「アプライアンス(ネットワークアプライアンス)」が知られている。アプライアンスの例としては、侵入検知/進入防御システム(IDS/IPS)、セッション負荷分散装置、SSLアクセラレータ、WAN高速化装置などが挙げられる。アプライアンスは、汎用サーバ上のソフトウェアで同等機能が実現された場合と比較して性能面で有利であり、高い処理能力(トラフィックのスループットなど)が求められる場面ではアプライアンスが利用されることが多い。
但し、ネットワークの仮想化に対応していないアプライアンスも少なくない。ネットワークの仮想化の対応していないアプライアンスを、仮想ネットワークが導入された環境で利用するためには、アプライアンスを仮想ネットワーク単位に用意する必要がある。つまり、仮想ネットワークの数だけアプライアンスが必要となる。しかし、アプライアンスは一般に高価であり、仮想ネットワークの数だけアプライアンスを用意することは現実的ではない。
文献(Nortel Virtual Services Switch 5000,Nortel Networks,2008年9月12日,http://www.nortel.com/products/01/vss/nn123974.pdf)によれば、従来アプライアンス装置により実現されていた機能が、ソフトウェアモジュールにより実装される。そのソフトウェアモジュールは仮想化したソフトウェア実行環境上で実行され、それにより、アプライアンスと同等の機能が仮想ネットワーク単位で実現される。しかしながら、機能がソフトウェアにより実現されるため、それがアプライアンス装置により実現される場合と比較して、処理性能が劣ることが多い。
特許文献1(特開2005−151509号公報)には、VLANサーバが開示されている。このVLANサーバは、複数のVLANと接続され、VLAN毎のアプリケーションサービスを提供する。このVLANサーバは、外部向けのIPアドレスと内部向けのIPアドレスとの間のアドレス変換を行うことにより、複数のVLANに対応する。内部向けのIPアドレスとしては、VLAN単位に起動されるサーバプロセス毎に独立したアドレスが付与される。この内部向けのIPアドレスは、外部向けのVLANタグ番号と外部向けのIPアドレスの組と1対1に対応させておく必要がある。この対応関係(アドレス変換ルール)は固定されている。対応可能な仮想ネットワークの数を増やしたい場合には、VLANサーバ自体の機能拡張を行う必要がある。
特許文献2(特開2004−30309号公報)には、共有キャッシュサーバが開示されている。この共有キャッシュサーバも、上記特許文献1のVLANサーバと同様のアドレス変換を行う。
上述の通り、ネットワークの仮想化の対応していないアプライアンスを、仮想ネットワークが導入された環境で利用するためには、アプライアンスを仮想ネットワーク単位に用意する必要がある。つまり、仮想ネットワークの数だけアプライアンスが必要となる。しかし、アプライアンスは一般に高価であり、仮想ネットワークの数だけアプライアンスを用意することは現実的ではない。
本発明の1つの目的は、複数の仮想ネットワークが収容されるネットワークシステムにおいて、それら複数の仮想ネットワーク間でアプライアンスを共有することができる技術を提供することにある。
本発明の1つの観点において、ネットワークシステムが提供される。ネットワークシステムは、アプライアンスと、ネットワークを介してアプライアンスに接続されたスイッチと、アプライアンス及びスイッチに接続された管理計算機と、を備える。
管理計算機は、変換ポリシーテーブルを備える。変換ポリシーテーブルの各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示す。変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含むパケット識別情報である。変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定されるパケット識別情報である。
アプライアンスは、処理ルールテーブルを備える。処理ルールテーブルの各ルールエントリは、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を指定する。アプライアンスは、パケットを受け取ると処理ルールテーブルを参照し、受け取ったパケットにマッチするルールエントリで指定されたアプライアンス処理を実行する。
スイッチは、転送テーブルを備える。転送テーブルの各転送エントリは、マッチ条件にマッチするパケットに対して行われるアクションを指定する。スイッチは、受信パケットを受け取ると転送テーブルを参照し、受信パケットにマッチする転送エントリで指定されるアクションを受信パケットに対して行う。
管理計算機は、スイッチが変換前パケット識別情報にマッチする受信パケットのパケット識別情報を変換後パケット識別情報に書き換えるように、スイッチの転送テーブルを設定する。また、管理計算機は、アプライアンスの処理ルールテーブルのマッチ条件を、変換後パケット識別情報に設定する。
本発明の他の観点において、ネットワークシステムの運用方法が提供される。その運用方法は、(A)管理計算機によって、スイッチが変換前パケット識別情報にマッチする受信パケットのパケット識別情報を変換後パケット識別情報に書き換えるように、スイッチの転送テーブルを設定することと、(B)管理計算機によって、アプライアンスの処理ルールテーブルのマッチ条件を、変換後パケット識別情報に設定することと、を含む。
本発明によれば、複数の仮想ネットワークが収容されるネットワークシステムにおいて、それら複数の仮想ネットワーク間でアプライアンスを共有することが可能となる。
添付図面を参照して、本発明の実施の形態を説明する。
1.概要
図1は、本実施の形態に係るネットワークシステム1を概略的に示すブロック図である。ネットワークシステム1は、拡張スイッチ11、アプライアンス14、及び管理ホスト(管理計算機)15を備えている。拡張スイッチ11とアプライアンス14は、ネットワークを介して互いに通信可能に接続されている。管理ホスト15は、制御回線を介して、拡張スイッチ11とアプライアンス14のそれぞれに接続されている。管理ホスト15は、拡張スイッチ11やアプライアンス14を含むネットワークを集中管理する管理計算機であり、ネットワークの接続情報等を有している。
図1は、本実施の形態に係るネットワークシステム1を概略的に示すブロック図である。ネットワークシステム1は、拡張スイッチ11、アプライアンス14、及び管理ホスト(管理計算機)15を備えている。拡張スイッチ11とアプライアンス14は、ネットワークを介して互いに通信可能に接続されている。管理ホスト15は、制御回線を介して、拡張スイッチ11とアプライアンス14のそれぞれに接続されている。管理ホスト15は、拡張スイッチ11やアプライアンス14を含むネットワークを集中管理する管理計算機であり、ネットワークの接続情報等を有している。
このネットワークシステム1には、複数の仮想ネットワークが収容される。但し、アプライアンス14は、ネットワークの仮想化に対応していなくてもよい。また、アプライアンス14は、ネットワークの仮想化に対応しているが、サポートしている仮想ネットワークの数が十分でなくてもよい。
拡張スイッチ11は、転送テーブル25を備えている。転送テーブル25は、記憶装置に格納されている。転送テーブル25は、0以上の転送エントリを有する。各転送エントリは、「マッチ条件」と「アクション」との対応関係を示す。「マッチ条件」は、パケットを識別するためのパケット識別情報を含む。例えば、パケット識別情報は、パケットの入力ポート、VLAN−ID、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号などのパラメータのうち1つ又は複数の組み合わせで構成される。「アクション」は、マッチ条件にマッチするパケットに対して行われる処理(ヘッダ書き換え、ポート出力等)を示す。つまり、各転送エントリは、マッチ条件にマッチするパケットに対して行われるアクションを指定する。拡張スイッチ11は、ネットワークからパケットを受信すると、転送テーブル25を参照し、当該受信パケットにマッチする転送エントリを検索する。そして、拡張スイッチ11は、マッチする転送エントリ(ヒットエントリ)で指定されるアクションを、当該受信パケットに対して行う。
アプライアンス14は、処理ルールテーブル33を備えている。処理ルールテーブル33は、記憶装置に格納されている。処理ルールテーブル33は、0以上のルールエントリを有する。各ルールエントリは、「マッチ条件」と「処理ルール」との対応関係を示す。「マッチ条件」は、パケットを識別するためのパケット識別情報を含む。例えば、パケット識別情報は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号などのパラメータのうち1つ又は複数の組み合わせで構成される。「処理ルール」は、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を示す。つまり、各ルールエントリは、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を指定する。アプライアンス14は、パケットを受け取ると、処理ルールテーブル33を参照し、当該受け取ったパケットにマッチするルールエントリを検索する。そして、アプライアンス14は、マッチするルールエントリ(ヒットエントリ)で指定されるアプライアンス処理を実行する。
管理ホスト15には、登録ルール46が入力される。この登録ルール46は、各仮想ネットワークに属するパケットに対してアプライアンス14によって実行されるアプライアンス処理を規定する情報である。より詳細には、登録ルール46は、パケット識別情報と処理ルールとの対応関係を示している。登録ルール46中のパケット識別情報は、パケットが属する仮想ネットワークの識別子を含む。登録ルール46中の処理ルールは、パケット識別情報にマッチするパケットに対してアプライアンス14が実行するアプライアンス処理を示す。図1の例において、処理ルールXは、パケット識別情報PAにマッチするパケットに対してアプライアンス14が実行するアプライアンス処理である。
管理ホスト15は、登録ルール46を受け取ると、「登録処理」を行う。登録処理において、管理ホスト15は、受け取った登録ルール46をアプライアンス14に登録する。但し、登録ルール46中のパケット識別情報は、仮想ネットワークの識別子を含んでおり、アプライアンス14が解釈できない可能性がある。そこで、管理ホスト15は、仮想ネットワークの識別子を含まないパケット識別情報、すなわち、アプライアンス14が解釈可能なパケット識別情報を生成する。このパケット識別情報は、以下「変換後パケット識別情報」と参照される。一方、登録ルール46で示されるパケット識別情報は、以下「変換前パケット識別情報」と参照される。
このように、管理ホスト15は、登録ルール46で示される「変換前パケット識別情報」に対応する「変換後パケット識別情報」を生成する。この変換後パケット識別情報は、仮想ネットワークの識別子を含まないが、異なる仮想ネットワーク間で重複しないように決定される。すなわち、管理ホスト15は、仮想ネットワーク毎に異なる変換後パケット識別情報を決定する。図1の例において、変換前パケット識別情報PAに対応する変換後パケット識別情報PBが決定される。
登録処理において、管理ホスト15は、アプライアンス14の処理ルールテーブル33に新たなルールエントリを追加する。このとき、管理ホスト15は、新たなルールエントリの「マッチ条件」を、上記登録処理で得られた変換後パケット識別情報に設定する。また、管理ホスト15は、新たなルールエントリの「処理ルール」を、登録ルール46で示されるものに設定する。すなわち、追加される新たなルールエントリは、登録処理で得られた変換後パケット識別情報と、登録ルール46で示される処理ルール(アプライアンス処理)との対応関係を示す。図1の例において、処理ルールテーブル33の第1ルールエントリER1は、変換後パケット識別情報PBと処理ルールXとの対応関係を示している。
また、図1に示されるように、管理ホスト15は、変換ポリシーテーブル44を備えている。変換ポリシーテーブル44は、記憶装置に格納されている。変換ポリシーテーブル44は、0以上の変換エントリを有する。各変換エントリは、登録ルール46で示される変換前パケット識別情報と、上記登録処理により決定された変換後パケット識別情報との対応関係を示す。管理ホスト15は、登録ルール46が入力されるたびに、新たな変換エントリを変換ポリシーテーブル44に追加する。図1の例において、変換ポリシーテーブル44の第1変換エントリEP1は、変換前パケット識別情報PAと変換後パケット識別情報PBとの対応関係を示している。
以上に説明された状況で拡張スイッチ11がネットワークから第1パケットPKT1を受信した場合を考える。第1パケットPKT1のパケット識別情報は、第1パケット識別情報P1である。このとき、第1パケットPKT1にマッチする転送エントリは未だ転送テーブル25に設定されていないとする。この場合、拡張スイッチ11は、第1パケット識別情報P1を管理ホスト15に通知する。拡張スイッチ11は、第1パケットPKT1そのものを管理ホスト15に送ってもよい。
管理ホスト15は、第1パケット識別情報P1を取得する。すると、管理ホスト15は、第1パケット識別情報P1にマッチする変換前パケット識別情報を有する変換エントリを、変換ポリシーテーブル44の中から検索する。言い換えれば、管理ホスト15は、第1パケット識別情報P1を検索キーとして用いることによって、変換ポリシーテーブル44の検索を行う。本例において、第1パケット識別情報P1は、上述の第1変換エントリEP1の変換前パケット識別情報PAにマッチするとする。この第1変換エントリEP1の変換後パケット識別情報PBは、以下、「第1変換後パケット識別情報PB」と参照される。
続いて、管理ホスト15は、取得した第1パケット識別情報P1及び検索した第1変換エントリEP1に基いて、拡張スイッチ11の転送テーブル25の設定を行う。具体的には、管理ホスト15は、パケット識別情報(パケットヘッダ)の書き換えを行う転送エントリを転送テーブル25に追加する。本例において追加される転送エントリは、第1転送エントリET1及び第2転送エントリET2である。
第1転送エントリET1の「マッチ条件」は、第1パケットPKT1の第1パケット識別情報P1にマッチする。第1転送エントリET1の「アクション」は、受信パケットに含まれる第1パケット識別情報P1を第1変換後パケット識別情報PBに書き換え、且つ、当該書き換えにより得られるパケットをアプライアンス14に向けて送信(転送)することである。
一方、第2転送エントリET2の「マッチ条件」は、第1変換後パケット識別情報PBにマッチする。第2転送エントリET2の「アクション」は、受信パケットに含まれる第1変換後パケット識別情報PBを第1パケット識別情報P1に書き換え、且つ、当該書き換えにより得られるパケットを第1パケットPKT1の宛先に向けて送信(転送)することである。
管理ホスト15は、このような第1転送エントリET1及び第2転送エントリET2を設定するための「転送テーブル設定データ」を作成する。そして、管理ホスト15は、その転送テーブル設定データを拡張スイッチ11に送信する。拡張スイッチ11は、管理ホスト15から転送テーブル設定データを受け取る。拡張スイッチ11は、その転送テーブル設定データに従って、第1転送エントリET1及び第2転送エントリET2を転送テーブル25に設定する。
このようにして、拡張スイッチ11の転送テーブル25は、第1転送エントリET1及び第2転送エントリET2を有するようになる。この場合、拡張スイッチ11が受信する第1パケットPKT1は、第1転送エントリET1のマッチ条件(P1)にマッチする。従って、拡張スイッチ11は、第1転送エントリET1に従ってパケット処理を行う。具体的には、拡張スイッチ11は、第1パケットPKT1の第1パケット識別情報P1を第1変換後パケット識別情報PBに書き換え、それにより第1変換後パケットPKTBを生成する。更に、拡張スイッチ11は、得られた第1変換後パケットPKTBを、アプライアンス14に向けて送信(転送)する。
アプライアンス14は、第1変換後パケットPKTBを受け取る。その第1変換後パケットPKTBは、処理ルールテーブル33の第1ルールエントリER1のマッチ条件(PB)にマッチする。従って、アプライアンス14は、第1ルールエントリER1に従って、第1変換後パケットPKTBに対してアプライアンス処理Xを実行する。その後、アプライアンス14は、第1変換後パケットPKTBを拡張スイッチ11に返送する。
拡張スイッチ11は、第1変換後パケットPKTBを受信する。その第1変換後パケットPKTBは、第2転送エントリET2のマッチ条件(PB)にマッチする。従って、拡張スイッチ11は、第2転送エントリET2に従ってパケット処理を行う。具体的には、拡張スイッチ11は、第1変換後パケットPKTBの第1変換後パケット識別情報PBを第1パケット識別情報P1に書き換え、それにより第1再生パケットPKT1’を生成する。この第1再生パケットPKT1’は、第1パケットPKT1と実質的に同じである。更に、拡張スイッチ11は、得られた第1再生パケットPKT1’を、第1パケットPKT1の宛先に向けて送信(転送)する。
以上に説明されたように、本実施の形態によれば、アプライアンス14の処理ルールテーブル33では、異なる仮想ネットワーク間で重複しないように決定された「変換後パケット識別情報」が用いられる。「変換前パケット識別情報」と「変換後パケット識別情報」との間の変換処理は、転送テーブル25中の転送エントリ(ET1、ET2)に組み込まれ、拡張スイッチ11によって実行される。これにより、複数の仮想ネットワーク間でアプライアンス14を共有することが可能となる。アプライアンス14自体は、ネットワークの仮想化に対応していなくてもよい。また、アプライアンス14は、ネットワークの仮想化に対応しているが、サポートしている仮想ネットワークの数が十分でなくてもよい。
また、アプライアンス14は、一般的に、装置ベンダー独自のハードウェアプラットフォーム及びソフトウェア環境上で実現される。従って、アプライアンス14のハードウェアやソフトウェアをユーザが変更することは一般的に不可能である。本実施の形態によれば、アプライアンス14のハードウェア及びソフトウェアに変更を一切加える必要はない。変更を加えることなく、所望の数の仮想ネットワーク間でアプライアンス14を共有することが可能である。
以下、本実施の形態を更に詳しく説明する。
2.構成例
2−1.全体構成
図2は、本実施の形態に係るネットワークシステム1の構成例を示している。ネットワークシステム1は、拡張スイッチ11、アプライアンス14、管理ホスト15、ユーザ群171〜173、サーバ群181〜183、及びスイッチ161〜163を備えている。
2−1.全体構成
図2は、本実施の形態に係るネットワークシステム1の構成例を示している。ネットワークシステム1は、拡張スイッチ11、アプライアンス14、管理ホスト15、ユーザ群171〜173、サーバ群181〜183、及びスイッチ161〜163を備えている。
ユーザ群171〜173の各々は、1つ以上のユーザ端末を含んでいる。図2では、各ユーザ群(171〜173)に関して、代表の1つのユーザ端末(131〜133)が示されている。また、サーバ群181〜183の各々は、1つ以上のサーバを含んでいる。図2では、各サーバ群(181〜183)に関して、代表の1つのサーバ(121〜123)が示されている。
ユーザ群171とサーバ群181は、仮想ネットワークAに属している。ユーザ群172とサーバ群182は、仮想ネットワークBに属している。ユーザ群173とサーバ群183は、仮想ネットワークCに属している。異なる仮想ネットワーク間では、パケット識別情報(IPアドレス等)が重複していてもよい。
スイッチ161〜163の各々は、既存のレイヤー2スイッチもしくはレイヤー3スイッチである。スイッチ161〜163の各々は、1台の物理的なスイッチである必要はなく、複数の物理的なスイッチから構成されるスイッチ群であってもよい。
2−2.拡張スイッチ11
図3は、拡張スイッチ11の構成例を示している。拡張スイッチ11は、ネットワークインタフェース部221〜223、転送部21、ホスト通信部23、テーブル書き換え部24、及び転送テーブル25を備えている。ネットワークインタフェース部221〜223は、それぞれ、スイッチ161〜163に接続されており、スイッチ161〜163とのパケット送受信に使用される。ネットワークインタフェース部221、222、223には、それぞれ、ポート番号1、2、3が割り当てられているとする。
図3は、拡張スイッチ11の構成例を示している。拡張スイッチ11は、ネットワークインタフェース部221〜223、転送部21、ホスト通信部23、テーブル書き換え部24、及び転送テーブル25を備えている。ネットワークインタフェース部221〜223は、それぞれ、スイッチ161〜163に接続されており、スイッチ161〜163とのパケット送受信に使用される。ネットワークインタフェース部221、222、223には、それぞれ、ポート番号1、2、3が割り当てられているとする。
ネットワークインタフェース部によって受信されたパケットは、転送部21に送られる。転送部21は、受信パケットのパケット識別情報を検索キーとして用い、転送テーブル25の検索を行う。検索キーにマッチする転送エントリが見つかった場合、転送部21は、当該ヒットエントリに従って、パケットヘッダの書き換え及び指定された出力ポートへの出力を行う。一方、検索キーにマッチする転送エントリが見つからなかった場合、転送部21は、ホスト通信部23を介して、管理ホスト15にパケット識別情報を送信する。
ホスト通信部23は、管理ホスト15とのデータ送受信を行う。管理ホスト15から受信したデータに転送テーブル設定データが含まれている場合、ホスト通信部23は、テーブル書き換え部24に転送テーブル25に登録すべきデータを渡す。テーブル書き換え部24は、ホスト通信部23からの指示に従って、転送テーブル25の内容を更新する。また、管理ホスト15から受信したデータにパケット送信指示が含まれている場合、ホスト通信部23は、そのパケット情報を転送部21に通知する。その場合、転送部21は、ネットワークインタフェース部からパケットを受信した場合と同じ処理を行う。
図4は、転送テーブル25の一例を示している。受信パケット情報を構成する各フィールドは、ネットワークシステム1において仮想ネットワークを識別するに足るフィールドの組み合わせであれば、任意の組み合わせを取ることが可能である。本実施の形態の説明では、受信パケット情報は、拡張スイッチ11の受信ポート番号、VLAN−ID、SrcIP(送信元IPアドレス)、DstIP(宛先IPアドレス)、SrcPort(送信元TCP/UDPポート)、DstPort(宛先TCP/UDPポート)の組み合わせで表現されるものとする。「マッチ条件」として、図4で示されているもの以外にも、データリンク層のパケットヘッダ(送信元MACアドレス、宛先MACアドレス)、IPヘッダのIPプロトコル番号等を利用してもよい。ヘッダ書き換えルールについても、図4で示されているものに限られない。出力ポート番号は、拡張スイッチ11のネットワークインタフェース部221〜223に割り当てられたポート番号である。ヘッダ書き換えルールと出力ポート番号は、上述の「アクション」に相当する。
2−3.アプライアンス14
アプライアンス14は、ネットワークからパケットを受信すると、受信パケットのトランスポート層以下のパケット識別情報に基づいて、アプライアンス処理を行う。また、アプライアンス14は、受信パケットの「5タプル情報(送信元IPアドレス、宛先IPアドレス、送信元TCP/UDPポート番号、宛先TCP/UDPポート番号、IPプロトコル番号)」を変更せずに、当該パケットをネットワークに送出する。本例におけるアプライアンス14は、仮想ネットワークに対応していない。ここで「仮想ネットワークに対応していない」とは、仮想ネットワーク毎に独立したアプライアンス処理を指定できないことを意味する。アプライアンス14の具体例としては、侵入検知防止システム(IDPS:Intrusion Detection & Protection System)やWAN(Wide Area Network)高速化装置などが挙げられる。
アプライアンス14は、ネットワークからパケットを受信すると、受信パケットのトランスポート層以下のパケット識別情報に基づいて、アプライアンス処理を行う。また、アプライアンス14は、受信パケットの「5タプル情報(送信元IPアドレス、宛先IPアドレス、送信元TCP/UDPポート番号、宛先TCP/UDPポート番号、IPプロトコル番号)」を変更せずに、当該パケットをネットワークに送出する。本例におけるアプライアンス14は、仮想ネットワークに対応していない。ここで「仮想ネットワークに対応していない」とは、仮想ネットワーク毎に独立したアプライアンス処理を指定できないことを意味する。アプライアンス14の具体例としては、侵入検知防止システム(IDPS:Intrusion Detection & Protection System)やWAN(Wide Area Network)高速化装置などが挙げられる。
図5は、アプライアンス14の構成例を示している。アプライアンス14は、ネットワークインタフェース部31、アプライアンス処理部32、処理ルールテーブル33、及びホスト通信部34を備えている。ネットワークインタフェース部31は、スイッチ163経由で拡張スイッチ11に接続されている。ネットワークインタフェース部31により受信されたパケットは、アプライアンス処理部32に送られる。
アプライアンス処理部32は、アプライアンス14が提供する機能(前述のIDPSやWAN高速化装置の機能)に応じたアプライアンス処理を行う。このアプライアンス処理部32は、必要に応じて、受信パケットのパケット識別情報を検索キーとして用い、処理ルールテーブル33の参照を行う。例えばIDPSの場合、アプライアンス処理部32は、受信パケットのヘッダ情報に基づき、検査すべきシグネチャを取得する。WAN高速化装置の場合、アプライアンス処理部32は、受信パケットのヘッダ情報に基づき、受信パケットが属するフローのパラメータを取得したり、フロー状態を取得・更新したりする。
ホスト通信部34は、管理ホスト15に接続されている。ホスト通信部34は、管理ホスト15から登録すべきルールエントリを受信すると、受信したルールエントリを処理ルールテーブル33に登録する。
図6A〜図6Cは、処理ルールテーブル33の例を示している。図6A〜図6Cの例では、各ルールエントリの「マッチ条件」として、SrcIP、DstIP、SrcPort、及びDstPortの組み合わせが用いられている。但し、マッチ条件はそれに限られず、5タプル情報、データリンク層のヘッダや任意のパケットヘッダなどが用いられてもよい。尚、「固定フィールド」及び「可変フィールド」については、後に詳しく説明される。
2−4.管理ホスト15
図7は、管理ホスト15の構成例を示している。管理ホスト15は、スイッチ通信部41、フロー判定部42、可変フィールド割り当てブロック43、変換ポリシーテーブル44、ルール設定部45、アプライアンス通信部47、登録ルールテーブル48、及び固定フィールド割り当てブロック49を備えている。
図7は、管理ホスト15の構成例を示している。管理ホスト15は、スイッチ通信部41、フロー判定部42、可変フィールド割り当てブロック43、変換ポリシーテーブル44、ルール設定部45、アプライアンス通信部47、登録ルールテーブル48、及び固定フィールド割り当てブロック49を備えている。
管理ホスト15は、アプライアンス14の処理ルールテーブル33へのルール登録処理を行う。具体的には、ルール設定部45は、各々の仮想ネットワークに関する登録ルール46を受け取る。登録ルール46は、例えば、キーボード等の入力デバイスにより入力される。また、登録ルール46が記述された電子ファイルが、ディスクから読み込まれたり、ネットワーク経由で提供されてもよい。
図8は、登録ルール46の例を示している。図8の例において、パケット識別情報は、仮想ネットワーク番号、SrcIP、DstIP、SrcPort、及びDstPortを含んでいる。仮想ネットワーク番号は、どの仮想ネットワークからの登録ルール46であるかを示す。処理ルールは、アプライアンス14に指定可能なアプライアンス処理であり、その内容はアプライアンス14の機能に依存する。
ルール設定部45は、受け取った登録ルール46に基いて、仮想ネットワークに対応していないアプライアンス14が解釈可能な処理ルールテーブル33のルールエントリ(変換後パケット識別情報)を生成する。ルールエントリは、仮想ネットワークの区別も含めて、一意に識別される必要がある。ルールエントリの処理ルールは、上記登録ルール46で指定された処理ルールと同じである。
本実施の形態では、ルールエントリのマッチ条件の構成要素は、「固定フィールド」と「可変フィールド」とに分類される。固定フィールドは、1以上の構成要素から成り、可変フィールドは、その他の構成要素から成る。図6A〜図6Cで示された例では、DstIP、SrcPort、DstPortの3つのフィールドが固定フィールドであり、SrcIPが可変フィールドである。このような固定フィールドと可変フィールドの分類は、管理ホスト15の動作開始時に決定され、管理ホスト15の動作中は変更されることはない。尚、構成要素の1つがビット単位で分割され、当該1つの構成要素が固定フィールドと可変フィールドに分割されてもよい。例えば、DstIPの上位24ビットを固定フィールド、下位8ビットを可変フィールドに割り当てることもできる(DstIPがIPv4のIPアドレスの場合)。
固定フィールドの値は、ルール設定部45に登録ルール46が入力された際に決定される。この固定フィールドには、仮想ネットワークの区別も含めて一意な値が割り当てる。つまり、固定フィールドには、異なる仮想ネットワーク間で重複しない値が割り当てられる。この割り当て処理を行うのが、固定フィールド割り当てブロック49である。固定フィールド割り当てブロック49は、他のルールエントリと重複しない一意な値を固定フィールドに割り当てる。一方、ルール設定部45は、可変フィールドを、任意の値とマッチする“Any”に設定する。
このようにして、ルール設定部45は、他と重複しない一意なルールエントリを、入力された登録ルール46に対応するルールエントリとして決定する。そして、ルール設定部45は、決定したルールエントリを、アプライアンス通信部47を介してアプライアンス14に送信し、それにより、当該ルールエントリをアプライアンス14の処理ルールテーブル33に登録する。更に、ルール設定部45は、登録ルール46のパケット識別情報(変換前パケット識別情報)と決定したルールエントリのマッチ条件(変換後パケット識別情報)との対応関係を、変換ポリシーテーブル44に登録する。
図9A〜図9Cは、変換ポリシーテーブル44の例を示している。変換ポリシーテーブル44の各変換エントリは、変換前パケット識別情報、変換後パケット識別情報、登録ルール番号(登録ルールテーブル48(後述される)に登録されたエントリの番号)、及び処理ルールエントリ番号(アプライアンス14の処理ルールテーブル33に登録されたルールエントリの番号)を含んでいる。
変換ポリシーテーブル44の検索では、変換前パケット識別情報が検索キーとして用いられ、検索結果として変換後パケット情報が得られる。仮想ネットワーク番号は、スイッチ通信部41が受信するパケット識別情報から決定することができる。例えば、タグ付きVLANで仮想ネットワークが識別されている場合には、VLAN−IDを用いて仮想ネットワーク番号を決定することができる。また、パケット識別情報と仮想ネットワーク番号との対応テーブルが別途用意され、参照されてもよい。この変換ポリシーテーブル44の検索では、優先度が設けられている。具体的には、図9A〜図9Cにおいて上位のエントリから順にマッチングが行われ、最初に一致するエントリが見つかった場合に検索を終了する。
更に、ルール設定部45は、入力された登録ルール46を登録ルールテーブル48に追加登録する。図10A〜図10Cは、登録ルールテーブル48の例を示している。登録ルールテーブル48の各エントリは、ルール設定部45に入力された登録ルール46そのものと、上記変換ポリシーテーブル44に登録された対応する変換エントリの番号とを含んでいる。
また、管理ホスト15は、拡張スイッチ11からの要求に応答して、拡張スイッチ11の転送テーブル25の設定を行う。具体的には次の通りである。
スイッチ通信部41は、拡張スイッチ11と接続されており、拡張スイッチ11との間でデータ送受信を行う。スイッチ通信部41は、拡張スイッチ11から、受信パケットのパケット識別情報を受け取り、そのパケット識別情報をフロー判定部42に渡す。
フロー判定部42は、受け取ったパケット識別情報を検索キーとして用いることにより、上述の変換ポリシーテーブル44の検索を行う。それにより、フロー判定部42は、パケット識別情報に対応した「変換後パケット識別情報」を取得する。上述の通り、変換後パケット識別情報には、可変フィールド(Any)が含まれている。この段階で、可変フィールドには、割り当て済みの値と重複しない一意な値が割り当てられる。この割り当て処理を行うのが、可変フィールド割り当てブロック43である。
可変フィールド割り当てブロック43は、各仮想ネットワークに関して割り当て済みの可変フィールドの値を管理する。そして、可変フィールド割り当てブロック43は、フロー判定部42からの要求に応じて、同一仮想ネットワーク内で他と重複しない値を可変フィールドに割り当てる。本例では、可変フィールドはSrcIPであり、可変フィールド割り当てブロック43は、仮想ネットワーク内で他と重複しない値をSrcIPに割り当てられる。
フロー判定部42は、このようにして得られた変換後パケット識別情報に基いて、拡張スイッチ11の転送テーブル25に登録する転送エントリを生成する。その転送エントリは、受信パケットのパケット識別情報を変換後パケット識別情報に書き換えること、あるいは、その逆を指示する。そして、フロー判定部42は、転送エントリの設定を指示する転送エントリ設定データを生成する。フロー判定部42は、転送エントリ設定データとパケット送出指示を、スイッチ通信部41を通して拡張スイッチ11に送信する。
このように、本実施の形態によれば、管理ホスト15がアプライアンス14及び拡張スイッチ11のテーブル設定を行う。それにより、複数の仮想ネットワークが収容されるネットワーク環境において、ネットワークの仮想化の対応していないアプライアンスであっても、複数の仮想ネットワークで共有することが可能となる。
3.処理フロー
以上に説明された構成例の場合の処理の一例を説明する。本例では、図11に示されるように、各仮想ネットワークのユーザ群からサーバ群に向かう方向のパケット列に対して、アプライアンス14によるアプライアンス処理が適用され、逆方向のパケット列に対しては、アプライアンス処理が適用されないとする。
以上に説明された構成例の場合の処理の一例を説明する。本例では、図11に示されるように、各仮想ネットワークのユーザ群からサーバ群に向かう方向のパケット列に対して、アプライアンス14によるアプライアンス処理が適用され、逆方向のパケット列に対しては、アプライアンス処理が適用されないとする。
異なる仮想ネットワーク間では、IPアドレス等、ネットワーク層の端末識別情報が重複していてもよい。本例では、仮想ネットワークA〜Cのそれぞれに属するユーザ端末131〜133はいずれも同じIPアドレス192.168.0.1を持っている。同様に、仮想ネットワークA〜Cのそれぞれに属するサーバ121〜123はいずれも同じIPアドレス172.16.1.1を持っている。また、仮想ネットワークの識別はVLAN−IDで行われ、仮想ネットワークA、B、CのそれぞれにVLAN−IDとして1、2、3が割り当てられている。
3−1.ルール登録
以下、管理ホスト15によるルール登録処理を説明する。初期状態では、管理ホスト15の登録ルールテーブル48と変換ポリシーテーブル44、アプライアンス14の処理ルールテーブル33、及び拡張スイッチ11の転送テーブル25のいずれにもエントリは登録されていない。図12A及び図12Bは、登録ルール46が管理ホスト15に入力された場合の処理フローを示している。
以下、管理ホスト15によるルール登録処理を説明する。初期状態では、管理ホスト15の登録ルールテーブル48と変換ポリシーテーブル44、アプライアンス14の処理ルールテーブル33、及び拡張スイッチ11の転送テーブル25のいずれにもエントリは登録されていない。図12A及び図12Bは、登録ルール46が管理ホスト15に入力された場合の処理フローを示している。
<登録エントリ461>
まず、図8中に示される「仮想ネットワークAに関する登録エントリ461」が管理ホスト15に入力された場合を説明する。
まず、図8中に示される「仮想ネットワークAに関する登録エントリ461」が管理ホスト15に入力された場合を説明する。
ルール設定部45は、登録エントリ461を受け取る(ステップS801)。ルール設定部45は、受け取った登録エントリ461を、登録ルールテーブル48に登録する(ステップS802)。ここでは、図10A中のエントリ481が登録される。但しこの段階では、エントリ481の変換ポリシーテーブルエントリ番号はまだ確定していない。
次に、ルール設定部45は、登録ルールテーブル48を参照して、登録エントリ461と登録済みの既存エントリとの間で検索キー(パケット識別情報)の重なりがあるか否かを判定する(ステップS803)。ここでは、仮想ネットワーク番号も比較対象とする。登録エントリ461の登録時には既存エントリはまだ無いため、判定結果はNOとなる(ステップS803;NO)。この場合、ルール設定部45は、登録エントリ461を登録対象ルールリストに追加する(ステップS808)。また、ルール設定部45は、削除対象ルールリストを空に設定する(ステップS809)。その後、処理は、登録フロー(ステップS81)に進む。
図13A及び図13Bは、登録フロー(ステップS81)を示している。登録フローでは、登録対象ルールリストに含まれる全てのエントリの各々に関して、処理ルールテーブル33のエントリ生成、変換ポリシーテーブル44のエントリ生成、及び登録ルールテーブル48の更新が行われる。
ルール設定部45は、登録対象ルールリストの先頭エントリを取り出す(ステップS810)。本例では、登録エントリ461が対象エントリとなる。ステップS811〜S814において、ルール設定部45は、登録エントリ461に対応するルールエントリを生成し、そのルールエントリをアプライアンス14の処理ルールテーブル33に設定する。ここでは、図6Aに示されるルールエントリ331が設定される。登録エントリ461の処理ルール(X)が、ルールエントリ331の処理ルールにそのままコピーされている(ステップS811)。固定フィールド(DstIP、SrcPort、DstPort)には、固定フィールド割り当てブロック49によって、(10.0.1.1,10000,80)が割り当てられている(ステップS812)。可変フィールド(SrcIP)は、Anyに設定されている(ステップS813)。このようにして決定されたルールエントリ331が、アプライアンス14の処理テーブル33に設定される(ステップS814)。
ステップS815〜S819において、ルール設定部45は、変換ポリシーテーブル44に新たな変換エントリを登録する。ここでは、図9Aに示される変換エントリ441が登録される。登録ルール番号は、登録ルールテーブル48に登録されたエントリ番号481に設定されている(ステップS815)。登録エントリ461のパケット識別情報が、変換前フィールドにコピーされている(ステップS816)。上記ステップS811〜S814で決定されたルールエントリ331の検索キー(マッチ条件)が、変換後フィールドにコピーされている(ステップS817)。また、そのルールエントリの番号331が、処理ルールエントリ番号に設定されている(ステップS818)。このようにして決定された変換エントリ441が、エントリを変換ポリシーテーブル44に登録される(ステップS819)。
更に、ルール設定部45は、登録ルールテーブル48中のエントリ481の変換ポリシーテーブルエントリ番号を、ステップS819で登録された変換エントリの番号441に設定する(ステップS820)。
再度図12Bを参照して、登録対象ルールリストに他の登録エントリは含まれていない(ステップS821;No)。従って、登録フローは完了し、処理はステップS822に進む。この時点では、削除対象ルールリストは空である(ステップS822;No)。従って、処理は終了する。
<登録エントリ462、463>
次に、図8中に示される「仮想ネットワークBに関する登録エントリ462」が管理ホスト15に入力される。このとき、上述の登録エントリ461の場合と同様に、ルール登録処理が行われる。続いて、図8中に示される「仮想ネットワークCに関する登録エントリ463」が管理ホスト15に入力される。このときも、上述の登録エントリ461の場合と同様に、ルール登録処理が行われる。結果として、アプライアンス14の処理ルールテーブル33の内容は、図6Aで示されるようになる。管理ホスト15の変換ポリシーテーブル44及び登録ルールテーブル48の内容は、それぞれ図9A及び図10Aに示されるようになる。
次に、図8中に示される「仮想ネットワークBに関する登録エントリ462」が管理ホスト15に入力される。このとき、上述の登録エントリ461の場合と同様に、ルール登録処理が行われる。続いて、図8中に示される「仮想ネットワークCに関する登録エントリ463」が管理ホスト15に入力される。このときも、上述の登録エントリ461の場合と同様に、ルール登録処理が行われる。結果として、アプライアンス14の処理ルールテーブル33の内容は、図6Aで示されるようになる。管理ホスト15の変換ポリシーテーブル44及び登録ルールテーブル48の内容は、それぞれ図9A及び図10Aに示されるようになる。
<登録エントリ464>
次に、図8中に示される「仮想ネットワークAに関する登録エントリ464」が管理ホスト15に入力される。ステップS802において、登録エントリ464に対応するエントリ484(図10B参照)が登録ルールテーブル48に登録される。
次に、図8中に示される「仮想ネットワークAに関する登録エントリ464」が管理ホスト15に入力される。ステップS802において、登録エントリ464に対応するエントリ484(図10B参照)が登録ルールテーブル48に登録される。
ルール設定部45は、登録ルールテーブル48を参照して、登録エントリ464と登録済みの既存エントリ481〜483との間で検索キー(パケット識別情報)の重なりがあるか否かを判定する(ステップS803)。このとき、検索キーのN個の構成要素からなるN次元空間における重なりが判定される。本例では、仮想ネットワーク番号、SrcIP、DstIP、SrcPort、DstPortの5次元空間における重なりが判定される。本例では、登録エントリ464と既存エントリ481とは、重複空間「仮想NW番号=A、SrcIP=192.168.0.0/24、DstIP=172.16.1.2、SrcPort=Any、DstPort=80」において重なっている(ステップS803;Yes)。この場合、処理はステップS804に進む。
ルール設定部45は、重複関係にある登録エントリ464と既存エントリ481に関して、分解処理を行う(ステップS804)。具体的には、登録エントリ464及び既存エントリ481の検索キーの空間が、重複空間と非重複空間に分割される。本例の場合、分解処理の結果は次の通りである。
(1)登録エントリ464と既存エントリ481の重複空間=「仮想NW番号=A、SrcIP=192.168.0.0/24、DstIP=172.16.1.2、SrcPort=Any、DstPort=80」
(2)登録エントリ464の非重複空間=「仮想NW番号=A、SrcIP=192.168.0.0/24、DstIP=172.16.1.2以外の172.16.1.0/24、SrcPort=Any、DstPort=80」
(3)既存エントリ481の非重複空間=「仮想NW番号=A、SrcIP=192.168.0.0/24以外のAny、DstIP=172.16.1.2、SrcPort=Any、DstPort=80」
(2)登録エントリ464の非重複空間=「仮想NW番号=A、SrcIP=192.168.0.0/24、DstIP=172.16.1.2以外の172.16.1.0/24、SrcPort=Any、DstPort=80」
(3)既存エントリ481の非重複空間=「仮想NW番号=A、SrcIP=192.168.0.0/24以外のAny、DstIP=172.16.1.2、SrcPort=Any、DstPort=80」
ルール設定部45は、上記分解処理により得られた3つの空間(1)〜(3)のそれぞれに対応する分解エントリ<1>〜<3>を生成する。それら分解エントリ<1>〜<3>は、次の通りである。
<1>「仮想NW番号=A、SrcIP=192.168.0.0/24、DstIP=172.16.1.2、SrcPort=Any、DstPort=80、処理ルール=X,X2、登録ルール番号=481、484」
<2>「仮想NW番号=A、SrcIP=192.168.0.0/24、DstIP=172.16.1.2以外の172.16.1.0/24、SrcPort=Any、DstPort=80、処理ルール=X2、登録ルール番号=484」
<3>「仮想NW番号=A、SrcIP=192.168.0.0/24以外のAny、DstIP=172.16.1.2、SrcPort=Any、DstPort=80、処理ルール=X、登録ルール番号=481」
<2>「仮想NW番号=A、SrcIP=192.168.0.0/24、DstIP=172.16.1.2以外の172.16.1.0/24、SrcPort=Any、DstPort=80、処理ルール=X2、登録ルール番号=484」
<3>「仮想NW番号=A、SrcIP=192.168.0.0/24以外のAny、DstIP=172.16.1.2、SrcPort=Any、DstPort=80、処理ルール=X、登録ルール番号=481」
ルール設定部45は、これら分解エントリ<1>〜<3>を登録対象ルールリストに追加する(ステップS806)。また、ルール設定部45は、重複空間を有していた既存エントリ481を、削除対象ルールリストに追加する(ステップS807)。その後、処理は、登録フロー(ステップS81)に進む。
ステップS81において、分解エントリ<1>〜<3>の各々に対して、図13A及び図13Bで示された登録処理が実施される。その結果、アプライアンス14の処理ルールテーブル33には、図6Bに示されるようなルールエントリ334〜336が登録される。また、変換ポリシーテーブル44には、図9Bに示されるような変換エントリ444〜446が登録される。
その後、処理はステップS822に進む。今回は、削除対象ルールリストに対象エントリ481が含まれている(ステップS822;Yes)。この場合、処理は、削除フロー(ステップS82)に進む。削除フローでは、削除対象ルールリストに含まれる全てのエントリの各々に関して、次の処理が実施される。
図14は、削除フロー(ステップS82)を示している。ルール設定部45は、削除対象ルールリストの先頭エントリを取り出す(ステップS823)。本例では、既存エントリ481が対象エントリとなる。登録ルールテーブル48に示されるように、この対象エントリ481に対応する変換エントリは、変換エントリ441である。ルール設定部45は、この変換エントリ441を変換ポリシーテーブル44から削除する(ステップS824)。削除された変換エントリ441の固定フィールドの値は、固定フィールド割り当てブロック49に通知され、未使用に戻される。
ステップS825では、ルール設定部45は、拡張スイッチ11に対して、転送テーブル25中の対応する転送エントリを削除するよう指示する。具体的には、ルール設定部45は、削除された変換エントリ441の変換前パケット識別情報及び変換後パケット識別情報にマッチする転送エントリを削除するよう指示する。
ステップS826では、ルール設定部45は、アプライアンス14に対して、処理ルールテーブル33中の対応するルールエントリを削除するよう指示する。図9Aに示されるように、削除された変換エントリ441に対応するルールエントリは、ルールエントリ331である。従って、ルール設定部45は、アプライアンス14に対してルールエントリ331を削除するよう指示する。
対象エントリ481に関する削除処理が完了すると、削除対象ルールリストは空になる(ステップS822;No)。従って、処理は終了する。結果として、アプライアンス14の処理ルールテーブル33の内容は、図6Bで示されるようになる。管理ホスト15の変換ポリシーテーブル44及び登録ルールテーブル48の内容は、それぞれ図9B及び図10Bで示されるようになる。
<登録エントリ465>
最後に、図8中に示される「仮想ネットワークAに関する登録エントリ465」が管理ホスト15に入力される。このとき、上述の登録エントリ461の場合と同様に、ルール登録処理が行われる。結果として、アプライアンス14の処理ルールテーブル33の内容は、図6Cで示されるようになる。管理ホスト15の変換ポリシーテーブル44及び登録ルールテーブル48の内容は、それぞれ図9C及び図10Cに示されるようになる。
最後に、図8中に示される「仮想ネットワークAに関する登録エントリ465」が管理ホスト15に入力される。このとき、上述の登録エントリ461の場合と同様に、ルール登録処理が行われる。結果として、アプライアンス14の処理ルールテーブル33の内容は、図6Cで示されるようになる。管理ホスト15の変換ポリシーテーブル44及び登録ルールテーブル48の内容は、それぞれ図9C及び図10Cに示されるようになる。
3−2.パケット処理
次に、パケット処理を説明する。例として、仮想ネットワークBにおいて、ユーザ端末132がサーバ122へパケットを送信する場合を考える。この時点で、拡張スイッチ11の転送テーブル25には転送エントリが登録されていないとする。また、処理ルールテーブル33、変換ポリシーテーブル44、及び登録ルールテーブル48は、それぞれ図6C、図9C、及び図10Cで示されるようになっているとする。
次に、パケット処理を説明する。例として、仮想ネットワークBにおいて、ユーザ端末132がサーバ122へパケットを送信する場合を考える。この時点で、拡張スイッチ11の転送テーブル25には転送エントリが登録されていないとする。また、処理ルールテーブル33、変換ポリシーテーブル44、及び登録ルールテーブル48は、それぞれ図6C、図9C、及び図10Cで示されるようになっているとする。
ユーザ端末132からサーバ122に向けて送信されたパケットのヘッダは、「VLAN−ID=2、SrcIP=192.168.0.1、DstIP=172.16.1.1、SrcPort=23456、DstPort=80」である。このパケットが、ユーザ端末132からスイッチ161を経由し、拡張スイッチ11のポート1に到着する。
図15は、拡張スイッチ11によるパケット転送処理を示すフローチャートである。拡張スイッチ11の転送部21は、ネットワークインタフェース部221(ポート1)からパケットを受信する。転送部21は、受信パケット情報を検索キーとして用いることにより、転送テーブル25の検索を行う(ステップS51)。ここでの検索キーは、「受信ポート=1、VLAN−ID=2、SrcIP=192.168.0.1、DstIP=172.16.1.1、SrcPort=23456、DstPort=80」である。最初の段階では、ヒットエントリは存在しない(ステップS52;No)。この場合、処理はステップS56に進む。ステップS56において、転送部21は、受信パケット情報を、ホスト通信部23を介して管理ホスト15に送信する。
図16は、管理ホスト15による転送テーブル設定指示処理を示すフローチャートである。管理ホスト15のフロー判定部42は、スイッチ通信部41を通して受信パケット情報を受け取る(ステップS70)。フロー判定部42は、最初に受信パケット情報に含まれるパケット識別情報を元に仮想ネットワーク番号を決定する(ステップS71)。ここでは、受信パケット情報に含まれるVLAN−IDと仮想ネットワーク番号の対応付けを保持したテーブルがあらかじめ用意されているものとし、このテーブルを参照すると、受信パケット情報に含まれるVLAN−IDが1であれば仮想ネットワーク番号としてAが、2であればBが、3であればCが得られるものとする。但し、受信パケット情報に含まれるパケット識別情報から仮想ネットワーク番号を決定するための方法は、これに限定されない。
次に、フロー判定部42は、受信パケット情報を検索キーとして用いることにより、変換ポリシーテーブル44(図9C参照)の検索を行う(ステップS72)。ここでの検索キーは、「仮想ネットワーク番号=B、SrcIP=192.168.0.1、DstIP=172.16.1.1、SrcPort=23456、DstPort=80」である。本例では、変換エントリ442がヒットする(ステップS73;Yes)。この場合、処理はステップS75に進む。
ヒットした変換エントリ442の変換後パケット識別情報は、可変フィールド(SrcIP=Any)と固定フィールド(DstIP=10.0.2.1、SrcPort=20000、DstPort=80)を有している。ステップS75において、フロー判定部42は、可変フィールド割り当てブロック43に対して、可変フィールドに一意の値を割り当てるよう要求する。本例では、「SrcIP=1.2.3.4」が可変フィールドに割り当てられたとする。この段階で、変換後パケット識別情報は、「SrcIP=1.2.3.4、DstIP=10.0.2.1、SrcPort=20000、DstPort=80」となる。
次に、ステップS76において、フロー判定部42は、拡張スイッチ11の転送テーブル25に設定すべき転送エントリの情報を作成する。このとき、既出の図1で示されたように、第1転送エントリET1(順方向エントリ)と第2転送エントリET2(逆方向エントリ)が作成される。本例の場合、図4中の転送エントリ2521が第1転送エントリET1であり、転送エントリ2522が第2転送エントリET2である。
第1転送エントリET1としての転送エントリ2521は、次の通りである。マッチ条件には、拡張スイッチ11から送られてきた受信パケット情報がコピーされている。ヘッダ書き換えルールには、ステップS75で決定された変換後パケット情報がコピーされている。出力ポート番号は、アプライアンス14に向かうポート3に設定されている。
第2転送エントリET2としての転送エントリ2522は、次の通りである。受信ポートは、アプライアンス14に向かうポート3に設定されている。仮想ネットワーク番号は“Any(Don’t Care)”に設定されている。その他のマッチ条件は、ステップS75で決定された変換後パケット情報に設定されている。ヘッダ書き換えルールには、拡張スイッチ11から送られてきた受信パケット情報がコピーされている。出力ポート番号は、宛先サーバ122に向かうポート2に設定されている。
フロー判定部42は、このような転送エントリ2521、2522の設定を指示する転送テーブル設定データを作成する(ステップS76)。そして、フロー判定部42は、転送テーブル設定データ及びパケット送信指示を、スイッチ通信部41を通して拡張スイッチ11に送信する(ステップS78)。パケット送信指示は、拡張スイッチ11から受信したパケット情報に対応するパケットを送出することを指示する。
図17は、拡張スイッチ11による転送テーブル設定処理を示すフローチャートである。拡張スイッチ11のホスト通信部23は、管理ホスト15からデータを受け取る。管理ホスト15から受け取ったデータには、転送テーブル設定データが含まれている(ステップS61;Yes)。従って、テーブル書き換え部24は、その転送テーブル設定データに従って、転送エントリ2521、2522を転送テーブル25に登録する(ステップS62)。また、管理ホスト15から受け取ったデータには、パケット送信指示が含まれている(ステップS63;Yes)。従って、転送部21は、そのパケット送信指示に従って、パケット送信処理を行う(ステップS64)。
パケット送信処理(ステップS64)は、既出の図15で示されたフローに従って実行される。この段階では、検索キー「受信ポート=1、VLAN−ID=2、SrcIP=192.168.0.1、DstIP=172.16.1.1、SrcPort=23456、DstPort=80」にマッチする転送エントリ2521が、転送テーブル25中に存在する。すなわち、転送エントリ2521がヒットする(ステップS52;Yes)。この場合、処理はステップS53に進む。
ステップS53において、転送部21は、ヒットエントリ2521で指定されたヘッダ書き換えを行う。ヒットエントリ2521に従って、書き換え後のヘッダは、「VLAN−ID=2、SrcIP=1.2.3.4、DstIP=10.0.2.1、SrcPort=20000、DstPort=80」となる。また、ステップS54において、転送部21は、ヒットエントリ2521で指定された出力ポート番号=3を取得する。そして、ステップS55において、転送部21は、ヘッダ書き換え後のパケット(図1中の第1変換後パケットPKTBに相当)を、ポート3(ネットワークインタフェース部223)から送信する。
アプライアンス14のネットワークインタフェース部31は、拡張スイッチ11から転送されたパケットを受け取る。アプライアンス処理部32は、受け取ったパケットのヘッダを検索キーとして用いることにより、処理ルールテーブル33の検索を行う。ここでの検索キーは、「SrcIP=1.2.3.4、DstIP=10.0.2.1、SrcPort=20000、DstPort=80」である。従って、図6C中のルールエントリ332がヒットする。アプライアンス処理部32は、ルールエントリ332で指定された処理ルールYに基づき、アプライアンス処理を実行する。その後、アプライアンス処理部32は、ネットワークインタフェース部31を通してパケットをネットワークに送出する。このとき、5タプル情報(送信元IPアドレス、宛先IPアドレス、送信元TCP/UDPポート番号、宛先TCP/UDPポート番号、IPプロトコル番号)は変更されない。
アプライアンス14から送出されたパケットは、スイッチ163を経由して、拡張スイッチ11のポート3に到達する。拡張スイッチ11の転送部21は、ネットワークインタフェース部223(ポート3)からパケットを受信する。転送部21は、受信パケット情報を検索キーとして用いることにより、転送テーブル25の検索を行う(ステップS51)。ここでの検索キーは、「受信ポート=3、VLAN−ID=2、SrcIP=1.2.3.4、DstIP=10.0.2.1、SrcPort=20000、DstPort=80」である。この場合、転送エントリ2522(逆方向エントリ)がヒットする(ステップS52;Yes)。従って、処理はステップS53に進む。
ステップS53において、転送部21は、ヒットエントリ2522で指定されたヘッダ書き換えを行う。ヒットエントリ2522に従って、書き換え後のヘッダは、「VLAN−ID=2、SrcIP=192.168.0.1、DstIP=172.16.1.1、SrcPort=23456、DstPort=80」となる。また、ステップS54において、転送部21は、ヒットエントリ2522で指定された出力ポート番号=2を取得する。そして、ステップS55において、転送部21は、ヘッダ書き換え後のパケット(図1中の第1再生パケットPKT1’に相当)を、ポート2(ネットワークインタフェース部222)から送信する。そのパケットは、スイッチ162を経由して宛先サーバ122に到達する。
仮想ネットワークAや仮想ネットワークCの場合の処理も、基本的には同様である。但し、変換後パケット情報は他と重複しないように一意に決定される。異なる仮想ネットワーク間で端末やサーバのIPアドレスが同じであっても、拡張スイッチ11におけるヘッダ書き換え処理により、アプライアンス14に到達するパケットではIPアドレスが仮想ネットワーク毎に異なっている。従って、仮想ネットワークに対応していないアプライアンス14を、複数の仮想ネットワークで共有することが可能となる。このとき、アプライアンス14に対して変更を加える必要は一切ない。
尚、通常のNAT(Network Address Translation)装置やNAPT(Network Address Port Translation)装置では、外部からアドレス変換ルールを設定することができない。そのため、本実施の形態のように管理ホスト15においてアプライアンス14に応じたアドレス変換ルール(変換ポリシーテーブル44)を生成し、そのアドレス変換ルールに基づいて拡張スイッチ11においてアドレス変換を行うことができない。
また、上記実施の形態では、アプライアンス14が仮想ネットワークに対応していない場合を例として説明を行ったが、アプライアンス14が仮想ネットワークには対応している場合には、次のように拡張することで、上記実施の形態を適用することが可能である。アプライアンス14において、パケットヘッダ内に含まれるVLAN−IDなどの仮想ネットワーク識別用に専用に用意された仮想ネットワーク識別子により仮想ネットワークが識別される場合は、一般に処理ルールテーブル33(図6A〜6C)の検索キーとして仮想ネットワーク識別子を指定することができる。処理ルールテーブル33の検索キーとして仮想ネットワーク識別子としてVLAN−IDを追加で用いる場合には、管理ホスト15の変換ポリシーテーブル44の変換後フィールドおよび拡張スイッチ11のヘッダ書き換えルールにVLAN−IDフィールドを追加する。なお、管理ホスト15の変換ポリシーテーブル44の変換後フィールドに追加したVLAN−IDフィールドは、可変フィールド、固定フィールドのいずれに含めてもよい。また、アプライアンス14が、パケットヘッダ内に含まれるVLAN−IDなどの仮想ネットワーク識別用に専用に用意された仮想ネットワーク識別子による仮想ネットワークの識別を行わない場合は、上記の実施の形態を変更することなく適用することが可能である。前記の拡張を行うことで、アプライアンス14が仮想ネットワークに対応していない場合だけでなく、仮想ネットワークに対応しているが対応する仮想ネットワーク数が十分でない場合についても本発明を適用することが可能となる。
以上、本発明の実施の形態が添付の図面を参照することにより説明された。但し、本発明は、上述の実施の形態に限定されず、要旨を逸脱しない範囲で当業者により適宜変更され得る。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
アプライアンスと、
ネットワークを介して前記アプライアンスに接続されたスイッチと、
前記アプライアンス及び前記スイッチに接続された管理計算機と
を備え、
パケット識別情報は、パケットを識別するための情報であり、
前記管理計算機は、変換ポリシーテーブルを備え、
前記変換ポリシーテーブルの各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示し、
前記変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含む前記パケット識別情報であり、
前記変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定される前記パケット識別情報であり、
前記アプライアンスは、処理ルールテーブルを備え、
前記処理ルールテーブルの各ルールエントリは、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を指定し、
前記アプライアンスは、パケットを受け取ると前記処理ルールテーブルを参照し、前記受け取ったパケットにマッチするルールエントリで指定された前記アプライアンス処理を実行し、
前記スイッチは、転送テーブルを備え、
前記転送テーブルの各転送エントリは、マッチ条件にマッチするパケットに対して行われるアクションを指定し、
前記スイッチは、受信パケットを受け取ると前記転送テーブルを参照し、前記受信パケットにマッチする転送エントリで指定される前記アクションを前記受信パケットに対して行い、
前記管理計算機は、前記スイッチが前記変換前パケット識別情報にマッチする前記受信パケットの前記パケット識別情報を前記変換後パケット識別情報に書き換えるように、前記スイッチの前記転送テーブルを設定し、
前記管理計算機は、前記アプライアンスの前記処理ルールテーブルの前記マッチ条件を、前記変換後パケット識別情報に設定する
ネットワークシステム。
アプライアンスと、
ネットワークを介して前記アプライアンスに接続されたスイッチと、
前記アプライアンス及び前記スイッチに接続された管理計算機と
を備え、
パケット識別情報は、パケットを識別するための情報であり、
前記管理計算機は、変換ポリシーテーブルを備え、
前記変換ポリシーテーブルの各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示し、
前記変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含む前記パケット識別情報であり、
前記変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定される前記パケット識別情報であり、
前記アプライアンスは、処理ルールテーブルを備え、
前記処理ルールテーブルの各ルールエントリは、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を指定し、
前記アプライアンスは、パケットを受け取ると前記処理ルールテーブルを参照し、前記受け取ったパケットにマッチするルールエントリで指定された前記アプライアンス処理を実行し、
前記スイッチは、転送テーブルを備え、
前記転送テーブルの各転送エントリは、マッチ条件にマッチするパケットに対して行われるアクションを指定し、
前記スイッチは、受信パケットを受け取ると前記転送テーブルを参照し、前記受信パケットにマッチする転送エントリで指定される前記アクションを前記受信パケットに対して行い、
前記管理計算機は、前記スイッチが前記変換前パケット識別情報にマッチする前記受信パケットの前記パケット識別情報を前記変換後パケット識別情報に書き換えるように、前記スイッチの前記転送テーブルを設定し、
前記管理計算機は、前記アプライアンスの前記処理ルールテーブルの前記マッチ条件を、前記変換後パケット識別情報に設定する
ネットワークシステム。
(付記2)
付記1に記載のネットワークシステムであって、
前記管理計算機は、前記変換前パケット識別情報と前記アプライアンス処理との対応関係を示す登録ルールを受け取ると登録処理を行い、
前記登録処理は、
前記登録ルールで示される前記変換前パケット識別情報に対応する前記変換後パケット識別情報を決定することと、
前記登録ルールで示される前記変換前パケット識別情報と前記決定された変換後パケット識別情報との対応関係を示す新たな変換エントリを、前記変換ポリシーテーブルに追加することと、
前記決定された変換後パケット識別情報と前記登録ルールで示される前記アプライアンス処理との対応関係を示す新たなルールエントリを、前記アプライアンスの前記処理ルールテーブルに追加することと
を含む
ネットワークシステム。
付記1に記載のネットワークシステムであって、
前記管理計算機は、前記変換前パケット識別情報と前記アプライアンス処理との対応関係を示す登録ルールを受け取ると登録処理を行い、
前記登録処理は、
前記登録ルールで示される前記変換前パケット識別情報に対応する前記変換後パケット識別情報を決定することと、
前記登録ルールで示される前記変換前パケット識別情報と前記決定された変換後パケット識別情報との対応関係を示す新たな変換エントリを、前記変換ポリシーテーブルに追加することと、
前記決定された変換後パケット識別情報と前記登録ルールで示される前記アプライアンス処理との対応関係を示す新たなルールエントリを、前記アプライアンスの前記処理ルールテーブルに追加することと
を含む
ネットワークシステム。
(付記3)
付記2に記載のネットワークシステムであって、
第1パケットの前記パケット識別情報は、第1パケット識別情報であり、
前記第1パケット識別情報は、前記変換ポリシーテーブルの第1変換エントリの前記変換前パケット識別情報にマッチし、
前記第1変換エントリの前記変換後パケット識別情報は、第1変換後パケット識別情報であり、
前記処理ルールテーブルは、第1ルールエントリを有し、
前記第1ルールエントリの前記マッチ条件は、前記第1変換後パケット識別情報にマッチし、
前記転送テーブルは、第1転送エントリを有し、
前記第1転送エントリの前記マッチ条件は、前記第1パケット識別情報にマッチし、
前記第1転送エントリの前記アクションは、前記受信パケットに含まれる前記第1パケット識別情報を前記第1変換後パケット識別情報に書き換え、且つ、当該書き換えにより得られる第1変換後パケットを前記アプライアンスに向けて送信することであり、
前記スイッチは、前記第1パケットを受け取ると、前記第1転送エントリに従って前記第1パケットを処理し、前記第1変換後パケットを前記アプライアンスに向けて送信し、
前記アプライアンスは、前記第1変換後パケットを受け取ると、前記第1ルールエントリに従って、前記第1変換後パケットに対して前記アプライアンス処理を実行する
ネットワークシステム。
付記2に記載のネットワークシステムであって、
第1パケットの前記パケット識別情報は、第1パケット識別情報であり、
前記第1パケット識別情報は、前記変換ポリシーテーブルの第1変換エントリの前記変換前パケット識別情報にマッチし、
前記第1変換エントリの前記変換後パケット識別情報は、第1変換後パケット識別情報であり、
前記処理ルールテーブルは、第1ルールエントリを有し、
前記第1ルールエントリの前記マッチ条件は、前記第1変換後パケット識別情報にマッチし、
前記転送テーブルは、第1転送エントリを有し、
前記第1転送エントリの前記マッチ条件は、前記第1パケット識別情報にマッチし、
前記第1転送エントリの前記アクションは、前記受信パケットに含まれる前記第1パケット識別情報を前記第1変換後パケット識別情報に書き換え、且つ、当該書き換えにより得られる第1変換後パケットを前記アプライアンスに向けて送信することであり、
前記スイッチは、前記第1パケットを受け取ると、前記第1転送エントリに従って前記第1パケットを処理し、前記第1変換後パケットを前記アプライアンスに向けて送信し、
前記アプライアンスは、前記第1変換後パケットを受け取ると、前記第1ルールエントリに従って、前記第1変換後パケットに対して前記アプライアンス処理を実行する
ネットワークシステム。
(付記4)
付記3に記載のネットワークシステムであって、
前記転送テーブルは更に、第2転送エントリを有し、
前記第2転送エントリの前記マッチ条件は、前記第1変換後パケット識別情報にマッチし、
前記第2転送エントリの前記アクションは、前記受信パケットに含まれる前記第1変換後パケット識別情報を前記第1パケット識別情報に書き換え、且つ、当該書き換えにより得られる第1再生パケットを前記第1パケットの宛先に向けて送信することであり、
前記アプライアンスは、前記第1変換後パケットに対する前記アプライアンス処理の後、前記第1変換後パケットを前記スイッチに送信し、
前記スイッチは、前記第1変換後パケットを受け取ると、前記第2転送エントリに従って前記第1変換後パケットを処理し、前記第1再生パケットを前記宛先に向けて送信する
ネットワークシステム。
付記3に記載のネットワークシステムであって、
前記転送テーブルは更に、第2転送エントリを有し、
前記第2転送エントリの前記マッチ条件は、前記第1変換後パケット識別情報にマッチし、
前記第2転送エントリの前記アクションは、前記受信パケットに含まれる前記第1変換後パケット識別情報を前記第1パケット識別情報に書き換え、且つ、当該書き換えにより得られる第1再生パケットを前記第1パケットの宛先に向けて送信することであり、
前記アプライアンスは、前記第1変換後パケットに対する前記アプライアンス処理の後、前記第1変換後パケットを前記スイッチに送信し、
前記スイッチは、前記第1変換後パケットを受け取ると、前記第2転送エントリに従って前記第1変換後パケットを処理し、前記第1再生パケットを前記宛先に向けて送信する
ネットワークシステム。
(付記5)
付記4に記載のネットワークシステムであって、
前記第1転送エントリ及び前記第2転送エントリが前記転送テーブルに未設定である状況で、前記スイッチが前記第1パケットを受け取った場合、前記スイッチは、前記第1パケット識別情報を前記管理計算機に通知し、
前記管理計算機は、前記第1パケット識別情報を検索キーとして用いることによって、前記変換ポリシーテーブルの中から前記第1変換エントリを検索し、
前記管理計算機は、前記第1パケット識別情報及び前記第1変換エントリに基いて、前記第1転送エントリ及び前記第2転送エントリを設定するための転送テーブル設定データを作成し、
前記管理計算機は、前記転送テーブル設定データを前記スイッチに送信し、
前記スイッチは、前記転送テーブル設定データに従って、前記第1転送エントリ及び前記第2転送エントリを前記転送テーブルに設定する
ネットワークシステム。
付記4に記載のネットワークシステムであって、
前記第1転送エントリ及び前記第2転送エントリが前記転送テーブルに未設定である状況で、前記スイッチが前記第1パケットを受け取った場合、前記スイッチは、前記第1パケット識別情報を前記管理計算機に通知し、
前記管理計算機は、前記第1パケット識別情報を検索キーとして用いることによって、前記変換ポリシーテーブルの中から前記第1変換エントリを検索し、
前記管理計算機は、前記第1パケット識別情報及び前記第1変換エントリに基いて、前記第1転送エントリ及び前記第2転送エントリを設定するための転送テーブル設定データを作成し、
前記管理計算機は、前記転送テーブル設定データを前記スイッチに送信し、
前記スイッチは、前記転送テーブル設定データに従って、前記第1転送エントリ及び前記第2転送エントリを前記転送テーブルに設定する
ネットワークシステム。
(付記6)
付記2乃至5のいずれか一項に記載のネットワークシステムであって、
前記変換後パケット識別情報は、固定フィールド及び可変フィールドを含み、
前記登録処理において、前記管理計算機は、異なる仮想ネットワーク間で重複しない値を前記固定フィールドに割り当て、一方、前記可変フィールドを任意の値とマッチする値に設定する
ネットワークシステム。
付記2乃至5のいずれか一項に記載のネットワークシステムであって、
前記変換後パケット識別情報は、固定フィールド及び可変フィールドを含み、
前記登録処理において、前記管理計算機は、異なる仮想ネットワーク間で重複しない値を前記固定フィールドに割り当て、一方、前記可変フィールドを任意の値とマッチする値に設定する
ネットワークシステム。
(付記7)
付記5に記載のネットワークシステムであって、
前記変換後パケット識別情報は、固定フィールド及び可変フィールドを含み、
前記登録処理において、前記管理計算機は、異なる仮想ネットワーク間で重複しない値を前記固定フィールドに割り当て、一方、前記可変フィールドを任意の値とマッチする値に設定し、
前記転送エントリ設定データを作成する際、前記管理計算機は、割り当て済みの値と異なる値を前記可変フィールドに割り当てる
ネットワークシステム。
付記5に記載のネットワークシステムであって、
前記変換後パケット識別情報は、固定フィールド及び可変フィールドを含み、
前記登録処理において、前記管理計算機は、異なる仮想ネットワーク間で重複しない値を前記固定フィールドに割り当て、一方、前記可変フィールドを任意の値とマッチする値に設定し、
前記転送エントリ設定データを作成する際、前記管理計算機は、割り当て済みの値と異なる値を前記可変フィールドに割り当てる
ネットワークシステム。
(付記8)
ネットワークシステムの運用方法であって、
前記ネットワークシステムは、
アプライアンスと、
ネットワークを介して前記アプライアンスに接続されたスイッチと、
前記アプライアンス及び前記スイッチに接続された管理計算機と
を備え、
パケット識別情報は、パケットを識別するための情報であり、
前記管理計算機は、変換ポリシーテーブルを備え、
前記変換ポリシーテーブルの各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示し、
前記変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含む前記パケット識別情報であり、
前記変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定される前記パケット識別情報であり、
前記アプライアンスは、処理ルールテーブルを備え、
前記処理ルールテーブルの各ルールエントリは、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を指定し、
前記アプライアンスは、パケットを受け取ると前記処理ルールテーブルを参照し、前記受け取ったパケットにマッチするルールエントリで指定された前記アプライアンス処理を実行し、
前記スイッチは、転送テーブルを備え、
前記転送テーブルの各転送エントリは、マッチ条件にマッチするパケットに対して行われるアクションを指定し、
前記スイッチは、受信パケットを受け取ると前記転送テーブルを参照し、前記受信パケットにマッチする転送エントリで指定される前記アクションを前記受信パケットに対して行い、
前記運用方法は、
前記管理計算機によって、前記スイッチが前記変換前パケット識別情報にマッチする前記受信パケットの前記パケット識別情報を前記変換後パケット識別情報に書き換えるように、前記スイッチの前記転送テーブルを設定することと、
前記管理計算機によって、前記アプライアンスの前記処理ルールテーブルの前記マッチ条件を、前記変換後パケット識別情報に設定することと
を含む
ネットワークシステムの運用方法。
ネットワークシステムの運用方法であって、
前記ネットワークシステムは、
アプライアンスと、
ネットワークを介して前記アプライアンスに接続されたスイッチと、
前記アプライアンス及び前記スイッチに接続された管理計算機と
を備え、
パケット識別情報は、パケットを識別するための情報であり、
前記管理計算機は、変換ポリシーテーブルを備え、
前記変換ポリシーテーブルの各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示し、
前記変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含む前記パケット識別情報であり、
前記変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定される前記パケット識別情報であり、
前記アプライアンスは、処理ルールテーブルを備え、
前記処理ルールテーブルの各ルールエントリは、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を指定し、
前記アプライアンスは、パケットを受け取ると前記処理ルールテーブルを参照し、前記受け取ったパケットにマッチするルールエントリで指定された前記アプライアンス処理を実行し、
前記スイッチは、転送テーブルを備え、
前記転送テーブルの各転送エントリは、マッチ条件にマッチするパケットに対して行われるアクションを指定し、
前記スイッチは、受信パケットを受け取ると前記転送テーブルを参照し、前記受信パケットにマッチする転送エントリで指定される前記アクションを前記受信パケットに対して行い、
前記運用方法は、
前記管理計算機によって、前記スイッチが前記変換前パケット識別情報にマッチする前記受信パケットの前記パケット識別情報を前記変換後パケット識別情報に書き換えるように、前記スイッチの前記転送テーブルを設定することと、
前記管理計算機によって、前記アプライアンスの前記処理ルールテーブルの前記マッチ条件を、前記変換後パケット識別情報に設定することと
を含む
ネットワークシステムの運用方法。
1 ネットワークシステム
11 拡張スイッチ
14 アプライアンス
15 管理ホスト
121〜123 サーバ
131〜133 ユーザ端末
161〜163 スイッチ
171〜173 ユーザ群
181〜183 サーバ群
21 転送部
221〜223 ネットワークインタフェース部
23 ホスト通信部
24 テーブル書き換え部
25 転送テーブル
31 ネットワークインタフェース部
32 アプライアンス処理部
33 処理ルールテーブル
34 ホスト通信部
41 スイッチ通信部
42 フロー判定部
43 可変フィールド割り当てブロック
44 変換ポリシーテーブル
45 ルール設定部
46 登録ルール
47 アプライアンス通信部
48 登録ルールテーブル
49 固定フィールド割り当てブロック
11 拡張スイッチ
14 アプライアンス
15 管理ホスト
121〜123 サーバ
131〜133 ユーザ端末
161〜163 スイッチ
171〜173 ユーザ群
181〜183 サーバ群
21 転送部
221〜223 ネットワークインタフェース部
23 ホスト通信部
24 テーブル書き換え部
25 転送テーブル
31 ネットワークインタフェース部
32 アプライアンス処理部
33 処理ルールテーブル
34 ホスト通信部
41 スイッチ通信部
42 フロー判定部
43 可変フィールド割り当てブロック
44 変換ポリシーテーブル
45 ルール設定部
46 登録ルール
47 アプライアンス通信部
48 登録ルールテーブル
49 固定フィールド割り当てブロック
Claims (8)
- アプライアンスと、
ネットワークを介して前記アプライアンスに接続されたスイッチと、
前記アプライアンス及び前記スイッチに接続された管理計算機と
を備え、
パケット識別情報は、パケットを識別するための情報であり、
前記管理計算機は、変換ポリシーテーブルを備え、
前記変換ポリシーテーブルの各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示し、
前記変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含む前記パケット識別情報であり、
前記変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定される前記パケット識別情報であり、
前記アプライアンスは、処理ルールテーブルを備え、
前記処理ルールテーブルの各ルールエントリは、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を指定し、
前記アプライアンスは、パケットを受け取ると前記処理ルールテーブルを参照し、前記受け取ったパケットにマッチするルールエントリで指定された前記アプライアンス処理を実行し、
前記スイッチは、転送テーブルを備え、
前記転送テーブルの各転送エントリは、マッチ条件にマッチするパケットに対して行われるアクションを指定し、
前記スイッチは、受信パケットを受け取ると前記転送テーブルを参照し、前記受信パケットにマッチする転送エントリで指定される前記アクションを前記受信パケットに対して行い、
前記管理計算機は、前記スイッチが前記変換前パケット識別情報にマッチする前記受信パケットの前記パケット識別情報を前記変換後パケット識別情報に書き換えるように、前記スイッチの前記転送テーブルを設定し、
前記管理計算機は、前記アプライアンスの前記処理ルールテーブルの前記マッチ条件を、前記変換後パケット識別情報に設定する
ネットワークシステム。 - 請求項1に記載のネットワークシステムであって、
前記管理計算機は、前記変換前パケット識別情報と前記アプライアンス処理との対応関係を示す登録ルールを受け取ると登録処理を行い、
前記登録処理は、
前記登録ルールで示される前記変換前パケット識別情報に対応する前記変換後パケット識別情報を決定することと、
前記登録ルールで示される前記変換前パケット識別情報と前記決定された変換後パケット識別情報との対応関係を示す新たな変換エントリを、前記変換ポリシーテーブルに追加することと、
前記決定された変換後パケット識別情報と前記登録ルールで示される前記アプライアンス処理との対応関係を示す新たなルールエントリを、前記アプライアンスの前記処理ルールテーブルに追加することと
を含む
ネットワークシステム。 - 請求項2に記載のネットワークシステムであって、
第1パケットの前記パケット識別情報は、第1パケット識別情報であり、
前記第1パケット識別情報は、前記変換ポリシーテーブルの第1変換エントリの前記変換前パケット識別情報にマッチし、
前記第1変換エントリの前記変換後パケット識別情報は、第1変換後パケット識別情報であり、
前記処理ルールテーブルは、第1ルールエントリを有し、
前記第1ルールエントリの前記マッチ条件は、前記第1変換後パケット識別情報にマッチし、
前記転送テーブルは、第1転送エントリを有し、
前記第1転送エントリの前記マッチ条件は、前記第1パケット識別情報にマッチし、
前記第1転送エントリの前記アクションは、前記受信パケットに含まれる前記第1パケット識別情報を前記第1変換後パケット識別情報に書き換え、且つ、当該書き換えにより得られる第1変換後パケットを前記アプライアンスに向けて送信することであり、
前記スイッチは、前記第1パケットを受け取ると、前記第1転送エントリに従って前記第1パケットを処理し、前記第1変換後パケットを前記アプライアンスに向けて送信し、
前記アプライアンスは、前記第1変換後パケットを受け取ると、前記第1ルールエントリに従って、前記第1変換後パケットに対して前記アプライアンス処理を実行する
ネットワークシステム。 - 請求項3に記載のネットワークシステムであって、
前記転送テーブルは更に、第2転送エントリを有し、
前記第2転送エントリの前記マッチ条件は、前記第1変換後パケット識別情報にマッチし、
前記第2転送エントリの前記アクションは、前記受信パケットに含まれる前記第1変換後パケット識別情報を前記第1パケット識別情報に書き換え、且つ、当該書き換えにより得られる第1再生パケットを前記第1パケットの宛先に向けて送信することであり、
前記アプライアンスは、前記第1変換後パケットに対する前記アプライアンス処理の後、前記第1変換後パケットを前記スイッチに送信し、
前記スイッチは、前記第1変換後パケットを受け取ると、前記第2転送エントリに従って前記第1変換後パケットを処理し、前記第1再生パケットを前記宛先に向けて送信する
ネットワークシステム。 - 請求項4に記載のネットワークシステムであって、
前記第1転送エントリ及び前記第2転送エントリが前記転送テーブルに未設定である状況で、前記スイッチが前記第1パケットを受け取った場合、前記スイッチは、前記第1パケット識別情報を前記管理計算機に通知し、
前記管理計算機は、前記第1パケット識別情報を検索キーとして用いることによって、前記変換ポリシーテーブルの中から前記第1変換エントリを検索し、
前記管理計算機は、前記第1パケット識別情報及び前記第1変換エントリに基いて、前記第1転送エントリ及び前記第2転送エントリを設定するための転送テーブル設定データを作成し、
前記管理計算機は、前記転送テーブル設定データを前記スイッチに送信し、
前記スイッチは、前記転送テーブル設定データに従って、前記第1転送エントリ及び前記第2転送エントリを前記転送テーブルに設定する
ネットワークシステム。 - 請求項2乃至5のいずれか一項に記載のネットワークシステムであって、
前記変換後パケット識別情報は、固定フィールド及び可変フィールドを含み、
前記登録処理において、前記管理計算機は、異なる仮想ネットワーク間で重複しない値を前記固定フィールドに割り当て、一方、前記可変フィールドを任意の値とマッチする値に設定する
ネットワークシステム。 - 請求項5に記載のネットワークシステムであって、
前記変換後パケット識別情報は、固定フィールド及び可変フィールドを含み、
前記登録処理において、前記管理計算機は、異なる仮想ネットワーク間で重複しない値を前記固定フィールドに割り当て、一方、前記可変フィールドを任意の値とマッチする値に設定し、
前記転送エントリ設定データを作成する際、前記管理計算機は、割り当て済みの値と異なる値を前記可変フィールドに割り当てる
ネットワークシステム。 - ネットワークシステムの運用方法であって、
前記ネットワークシステムは、
アプライアンスと、
ネットワークを介して前記アプライアンスに接続されたスイッチと、
前記アプライアンス及び前記スイッチに接続された管理計算機と
を備え、
パケット識別情報は、パケットを識別するための情報であり、
前記管理計算機は、変換ポリシーテーブルを備え、
前記変換ポリシーテーブルの各変換エントリは、変換前パケット識別情報と変換後パケット識別情報との対応関係を示し、
前記変換前パケット識別情報は、パケットが属する仮想ネットワークの識別子を含む前記パケット識別情報であり、
前記変換後パケット識別情報は、異なる仮想ネットワーク間で重複しないように設定される前記パケット識別情報であり、
前記アプライアンスは、処理ルールテーブルを備え、
前記処理ルールテーブルの各ルールエントリは、マッチ条件にマッチするパケットに対して行われるアプライアンス処理を指定し、
前記アプライアンスは、パケットを受け取ると前記処理ルールテーブルを参照し、前記受け取ったパケットにマッチするルールエントリで指定された前記アプライアンス処理を実行し、
前記スイッチは、転送テーブルを備え、
前記転送テーブルの各転送エントリは、マッチ条件にマッチするパケットに対して行われるアクションを指定し、
前記スイッチは、受信パケットを受け取ると前記転送テーブルを参照し、前記受信パケットにマッチする転送エントリで指定される前記アクションを前記受信パケットに対して行い、
前記運用方法は、
前記管理計算機によって、前記スイッチが前記変換前パケット識別情報にマッチする前記受信パケットの前記パケット識別情報を前記変換後パケット識別情報に書き換えるように、前記スイッチの前記転送テーブルを設定することと、
前記管理計算機によって、前記アプライアンスの前記処理ルールテーブルの前記マッチ条件を、前記変換後パケット識別情報に設定することと
を含む
ネットワークシステムの運用方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010077485A JP5505707B2 (ja) | 2010-03-30 | 2010-03-30 | ネットワークシステム及びその運用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010077485A JP5505707B2 (ja) | 2010-03-30 | 2010-03-30 | ネットワークシステム及びその運用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011211502A true JP2011211502A (ja) | 2011-10-20 |
| JP5505707B2 JP5505707B2 (ja) | 2014-05-28 |
Family
ID=44942096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010077485A Expired - Fee Related JP5505707B2 (ja) | 2010-03-30 | 2010-03-30 | ネットワークシステム及びその運用方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5505707B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9407459B2 (en) | 2012-07-05 | 2016-08-02 | Hitachi, Ltd. | Communication apparatus, communication system, and communication method to transmit and receive Ethernet frames |
| JP2016146644A (ja) * | 2011-11-15 | 2016-08-12 | ニシラ, インコーポレイテッド | ミドルボックスを構成設定するネットワーク制御システム |
| CN106789469A (zh) * | 2016-12-23 | 2017-05-31 | 广州大学 | 一种家电的损坏情况反馈***及其反馈方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004030309A (ja) * | 2002-06-26 | 2004-01-29 | Nec Corp | 共有キャッシュサーバ |
| JP2009147695A (ja) * | 2007-12-14 | 2009-07-02 | Kddi Corp | 通信制御方法およびシステム |
-
2010
- 2010-03-30 JP JP2010077485A patent/JP5505707B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004030309A (ja) * | 2002-06-26 | 2004-01-29 | Nec Corp | 共有キャッシュサーバ |
| JP2009147695A (ja) * | 2007-12-14 | 2009-07-02 | Kddi Corp | 通信制御方法およびシステム |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10310886B2 (en) | 2011-11-15 | 2019-06-04 | Nicira, Inc. | Network control system for configuring middleboxes |
| US9697033B2 (en) | 2011-11-15 | 2017-07-04 | Nicira, Inc. | Architecture of networks with middleboxes |
| US11740923B2 (en) | 2011-11-15 | 2023-08-29 | Nicira, Inc. | Architecture of networks with middleboxes |
| US9697030B2 (en) | 2011-11-15 | 2017-07-04 | Nicira, Inc. | Connection identifier assignment and source network address translation |
| US10514941B2 (en) | 2011-11-15 | 2019-12-24 | Nicira, Inc. | Load balancing and destination network address translation middleboxes |
| US10089127B2 (en) | 2011-11-15 | 2018-10-02 | Nicira, Inc. | Control plane interface for logical middlebox services |
| US10191763B2 (en) | 2011-11-15 | 2019-01-29 | Nicira, Inc. | Architecture of networks with middleboxes |
| US10884780B2 (en) | 2011-11-15 | 2021-01-05 | Nicira, Inc. | Architecture of networks with middleboxes |
| US11593148B2 (en) | 2011-11-15 | 2023-02-28 | Nicira, Inc. | Network control system for configuring middleboxes |
| JP2016146644A (ja) * | 2011-11-15 | 2016-08-12 | ニシラ, インコーポレイテッド | ミドルボックスを構成設定するネットワーク制御システム |
| US10235199B2 (en) | 2011-11-15 | 2019-03-19 | Nicira, Inc. | Migrating middlebox state for distributed middleboxes |
| US10922124B2 (en) | 2011-11-15 | 2021-02-16 | Nicira, Inc. | Network control system for configuring middleboxes |
| US10949248B2 (en) | 2011-11-15 | 2021-03-16 | Nicira, Inc. | Load balancing and destination network address translation middleboxes |
| US10977067B2 (en) | 2011-11-15 | 2021-04-13 | Nicira, Inc. | Control plane interface for logical middlebox services |
| US11372671B2 (en) | 2011-11-15 | 2022-06-28 | Nicira, Inc. | Architecture of networks with middleboxes |
| US9407459B2 (en) | 2012-07-05 | 2016-08-02 | Hitachi, Ltd. | Communication apparatus, communication system, and communication method to transmit and receive Ethernet frames |
| CN106789469A (zh) * | 2016-12-23 | 2017-05-31 | 广州大学 | 一种家电的损坏情况反馈***及其反馈方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5505707B2 (ja) | 2014-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11870644B2 (en) | Exchange of routing information to support virtual computer networks hosted on telecommunications infrastructure network | |
| US11171836B2 (en) | Providing virtual networking functionality for managed computer networks | |
| EP3254417B1 (en) | Method and system for supporting port ranging in a software-defined networking (sdn) system | |
| EP2745474B1 (en) | Virtualization gateway between virtualized and non-virtualized networks | |
| JP5610247B2 (ja) | ネットワークシステム、及びポリシー経路設定方法 | |
| US9210041B1 (en) | Using virtual networking devices to manage network configuration | |
| US10715419B1 (en) | Software defined networking between virtualized entities of a data center and external entities | |
| US20150172156A1 (en) | Detecting end hosts in a distributed network environment | |
| EP3225014B1 (en) | Source ip address transparency systems and methods | |
| US20150372840A1 (en) | Servicing packets in a virtual network and a software-defined network (sdn) | |
| CN105453492A (zh) | 具有第三层分布式路由器功能的交换机集群 | |
| JP6574054B2 (ja) | パケット転送 | |
| US9954772B2 (en) | Source imposition of network routes in computing networks | |
| JP6529660B2 (ja) | マルチキャストデータパケット転送 | |
| JP5993817B2 (ja) | キャリア網における経路制御システム及び方法 | |
| JP2018515050A (ja) | パケット転送 | |
| JP5505707B2 (ja) | ネットワークシステム及びその運用方法 | |
| CN109246016B (zh) | 跨vxlan的报文处理方法和装置 | |
| JP2017041846A (ja) | 管理装置、制御装置、および、通信システム | |
| EP3262802B1 (en) | Automatic discovery and provisioning of multi-chassis etherchannel peers | |
| Ranjbar et al. | Domain isolation in a multi-tenant software-defined network | |
| JP2016092530A (ja) | 管理サーバの経路制御方法、および管理サーバ | |
| JPWO2014142278A1 (ja) | 制御装置、通信システム、通信方法及びプログラム | |
| US9749290B2 (en) | Distributing and virtualizing a network address translation (NAT) | |
| WO2016035306A1 (ja) | 制御システム、通信システム、通信方法および記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130207 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131122 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131204 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140220 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140305 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5505707 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |