JP4244356B2 - トラヒック分析・制御システム - Google Patents

トラヒック分析・制御システム Download PDF

Info

Publication number
JP4244356B2
JP4244356B2 JP2006234736A JP2006234736A JP4244356B2 JP 4244356 B2 JP4244356 B2 JP 4244356B2 JP 2006234736 A JP2006234736 A JP 2006234736A JP 2006234736 A JP2006234736 A JP 2006234736A JP 4244356 B2 JP4244356 B2 JP 4244356B2
Authority
JP
Japan
Prior art keywords
packet
transfer
logical port
output
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006234736A
Other languages
English (en)
Other versions
JP2008060865A (ja
Inventor
毅 八木
一浩 大倉
正雄 田邉
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006234736A priority Critical patent/JP4244356B2/ja
Publication of JP2008060865A publication Critical patent/JP2008060865A/ja
Application granted granted Critical
Publication of JP4244356B2 publication Critical patent/JP4244356B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、広域ネットワークにおいて、トラヒック変動をネットワークワイドに監視し、分析の必要がある場合のみ専用のパケット処理装置へトラヒックを転送して詳細分析を実施することで、ネットワーク内における不正アクセス監視および攻撃トラヒック防御を効率的に実施してセキュリティを低コストで向上するための技術である。
インターネットの普及に伴い、ネットワーク経由の不正アクセスによるデータなどの不正盗聴、DDoS(Distributed Denial of Services)攻撃などによるシステム攻撃などが多発している。
従来、これらの脅威に対処するために、ファイアウォール機能をルータ等のパケット転送装置に実装することで、ネットワークを流れるデータ内容やパケットヘッダ内容に応じて通信を制御するアクセス制御技術が用いられる。このパケット転送装置をネットワークの境界に設置することで、ユーザが設定したセキュリティポリシに従った必要最低限の通信のみを通過させることが可能である。
しかし、上記のファイアウォール機能では、セキュリティポリシに従った通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正侵入等の不正アクセスやDDoS攻撃を完全に阻止することは困難である。
この問題を解決するために、Anomaly Detectorなどの異常トラヒック検出装置とAnomaly Guardなどの異常トラヒック分析・制御装置を組み合わせて使用する方式が採用されている(例えば、特許文献1参照)。この方式では、Anomaly Detectorで異常トラヒックの可能性を検出すると、Anomaly Guardヘ警告を送り、対象トラヒックをAnomaly Guardへ再ルーチングして分析する。Anomaly Guardは、詳細な分析を実施した後、受信トラヒックを不正トラヒックと正常トラヒックに分類し、正常トラヒックは元の宛先に転送するとともに、不正なトラヒックは削除する。
特開2005−5927号公報(ネットワークシステムと不正アクセス制御方法およびプログラム)
しかし、この方式では、異常トラヒック分析・制御装置は、分析対象トラヒックを自身へ再ルーチングするため、異常トラヒック分析・制御装置がルーチング制御機能を保有し、トラヒック制御を実施する度に当該装置がネットワーク全体のルーチング情報を変更する必要がある。このため、異常トラヒック分析・制御装置は、ルーチング制御機能の保有、且つ、装置故障に対する高い信頼性が要求され、当該装置が高コスト化する。さらに、この方式では、正常トラヒックを元の宛先に転送する際に、ループ発生を回避するために、ユーザネットワークまでトンネリング(VLANやLabel Switch PathやIP in IPなど、自装置と宛先装置間でパスやVPNを設定して転送する一般的な技術)してパケットを転送する必要がある。このため、異常トラヒック分析・制御装置は全ユーザネットワークへのトンネル情報を管理し、さらに、ネットワークは異常トラヒック分析・制御装置と全ユーザネットワーク間にトンネルを設定し管理することになる。ネットワーク内に設定可能なトンネル数はトンネリングの際に付与するヘッダ領域により制限される(VLANやLabel Switch Pathでは最大4096)ため、他の用途で設定されるトンネル数が制限される。
また、ルーチング情報を変更せずに当方式を適用するためには、各ルータに異常トラヒック分析・制御装置を付与する必要がある。この際は、異常トラヒック分析・制御装置がルータ台数相当必要となり、ネットワークが高コスト化する。
本発明は、特定のトラヒックを分析・制御するために、ルータ相当のパケット転送装置と異常トラヒック分析・制御装置相当のパケット処理装置間で転送経路を動的に設定して対象トラヒックを転送するよう指示する、ネットワーク制御装置を設置するとともに、パケット処理装置に、パケット転送装置への折り返し転送機能を搭載し、パケット転送装置に、入出力論理ポートを比較して複数の転送テーブルから参照すべき転送テーブルを決定する機能を搭載する。
これにより、パケット処理機能を通過させ制御を実施したいトラヒックを、パケット処理装置へ、ループを防止しつつ送信できる。その際、パケット処理装置がルーチング制御機能を保有してネットワーク全体のルーチング情報を変更する必要は無く、且つ、パケット転送装置がパケット処理装置を保有する必要も無い。また、正常トラヒックを元の宛先に転送する際に、ユーザネットワークまでトンネリングする必要も無い。
これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。
上述の課題を解決するために、第1の発明では、ネットワーク制御装置とパケット処理装置とパケット転送装置とを有するトラヒック分析・制御システムであって、前記ネットワーク制御装置は、パケット転送装置の識別子と、宛先アドレスと送信元アドレスを含むパケットフロー情報と、で構成される制御情報の通知を受ける手段と、前記パケット転送装置の識別子に該当するパケット転送装置に対して、前記パケット処理装置への転送経路設定を指示する手段と、前記パケット処理装置に対して、前記パケット転送装置への転送経路設定を指示する手段と、前記パケット転送装置に対して、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を、前記パケットフロー情報の宛先アドレス宛のパケットへ付与するよう指示する手段と、を備え、前記パケット処理装置は、前記ネットワーク制御装置から指示されたパケット転送装置への転送経路を設定する手段と、パケット通過制御処理を実施する手段と、前記パケット転送装置から受信したパケットに対してパケット通過制御処理を実施した後、前記パケットに前記パケット転送装置への転送経路に割り当てた論理ポートの識別子を付与し、前記パケット転送装置に返送する手段と、を備え、前記パケット転送装置は、前記ネットワーク制御装置から指示されたパケット処理装置への転送経路を設定する手段と、パケットのヘッダ情報と、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を登録する第一の転送テーブルと、パケットのヘッダ情報と、前記パケット処理装置への転送経路以外のパケットを出力する転送経路を登録する第二の転送テーブルと、前記パケット処理装置からの転送経路からパケットが入力される論理ポートの識別子と、前記パケット処理装置への転送経路へパケットを出力する論理ポートの識別子の対を比較する入出力論理ポート比較手段と、を備え、前記パケット転送装置は、パケットが入力されると、前記第一の転送テーブルを参照して、前記パケットを出力すべき論理ポートの識別子を探索し、論理ポートの識別子が特定できた場合には、前記入出力論理ポート比較手段により、前記パケットに付与された論理ポートの識別子と前記パケットを出力すべき論理ポートの識別子が対を成さないか否かを判定し、対を成さないと判定された場合には、前記第一の転送テーブルにより特定された論理ポートに、前記パケットに前記論理ポートの識別子を付与して、出力し、対を成すと判定された場合と、前記第一の転送テーブルによりパケットを出力すべき論理ポートが特定できなかった場合には、前記第二の転送テーブルを参照して、前記パケットを出力すべき転送経路を特定して、前記第二の転送テーブルにより特定された転送経路に前記パケットを出力することを特徴とする。

また、第2の発明は、前記第1の発明において、前記パケット処理装置のパケット通過制御処理を実施する手段は、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄することを特徴とする。
また、第3の発明は、前記第1の発明において、前記パケット処理装置のパケット通過制御処理を実施する手段は、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄することを特徴とする。
上述のように、本発明によれば、特定のトラヒックをパケット処理機能によって分析・制御するために、パケット転送装置とパケット処理装置間で転送経路を動的に設定して対象トラヒックを転送するよう指示するネットワーク制御装置を設置するとともに、パケット処理装置に、パケット転送装置への折り返し転送機能を搭載し、パケット転送装置に、入出力論理ポートを比較して複数の転送テーブルから参照すべき転送テーブルを決定する機能を搭載する。
これにより、パケット処理機能を通過させ制御を実施したいトラヒックを、パケット処理装置へ、ループを防止しつつ送信できる。その際、パケット処理装置がルーチング制御機能を保有してネットワーク全体のルーチング情報を変更する必要は無く、且つ、パケット転送装置がパケット処理装置を保有する必要も無い。
従って、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。
次に、本発明の実施の形態について、図面を用いて説明する。
図1に、本発明を適用するネットワークのネットワークモデルの一例を示す。本発明の実施例のトラヒック分析・制御システムは、パケット転送装置1〜6、パケット処理装置7およびそれらを制御するネットワーク制御装置8から構成される。ユーザ端末9から16は、各アクセス網17〜20を経由して、パケット転送装置1〜4に収容されている。一般的には、パケット転送装置1〜4はエッジノードまたはエッジルータ、パケット転送装置5から6はコアノードまたはコアルータと呼ばれる。パケット転送装置1〜4は、パケット転送装置5〜6によって接続されている。パケット転送装置1〜6およびパケット処理装置からなるネットワークをコアネットワーク21とし、ユーザ端末で構成されるネットワークをユーザネットワーク22とする。
パケット転送装置1には、装置を識別するためのアドレスとしてコア#1が付与されており、パケット転送装置2には、装置を識別するためのアドレスとしてコア#2が付与されており、パケット転送装置3には、装置を識別するためのアドレスとしてコア#3が付与されており、パケット転送装置4には、装置を識別するためのアドレスとしてコア♯4が付与されており、パケット転送装置5には、装置を識別するためのアドレスとしてコア#5が付与されており、パケット転送装置6には、装置を識別するためのアドレスとしてコア#6が付与されており、パケット処理装置7には、装置を識別するためのアドレスとしてコア#7が付与されており、それぞれに到達するための経路はルーチングプロトコルにより管理されている。
コア#1〜コア#7は、コアネットワークがIPv4ネットワークであればIPv4アドレスとなり、その際のルーチングプロトコルとしてはOSPF(Open Shortest Path First:RFC2328)などが挙げられる。コアネットワークがIPv6ネットワークであればIPv6アドレスとなり、その際のルーチングプロトコルとしてはOSPFv6(Open Shortest Path First version 6:RFC2740)などが挙げられる。また、コアネットワークがMPLS(Multi-Protocol Label Switching)ネットワーク(RFC3031)である場合、ルーチングプロトコルで経路を特定した後、RSVP−TE(ReSerVation Protocol with Traffic Engineering:RFC3209)やCR−LDP(Constrain-based Label Distribution Protocol:RFC3212)などのシグナリングプロトコルで送信元と宛先のパケット転送装置間にLSP(Label Switched Path)と呼ばれるパスを設定する。
同様に、ユーザ端末9は、アドレスIP#1で識別され、ユーザ端末10は、アドレスIP#2で識別され、ユーザ端末11は、アドレスIP#3で識別され、ユーザ端末12は、アドレスIP#4で識別され、ユーザ端末13は、アドレスIP#5で識別され、ユーザ端末14は、アドレスIP#6で識別され、ユーザ端末15は、アドレスIP#7で識別され、ユーザ端末16は、アドレスIP#8で識別される。
図2に、本発明を適用するネットワークの物理モデルの一例を示す。ネットワーク制御装置8は、ネットワーク内の各装置と接続されている。本実施例では、リンク108〜114により、各装置との接続性を確保している。パケット転送装置1とパケット転送装置5はリンク101で接続され、パケット転送装置2とパケット転送装置5はリンク102で接続され、パケット転送装置3とパケット転送装置6はリンク103で接続され、パケット転送装置4とパケット転送装置6はリンク104で接続され、パケット転送装置5とパケット転送装置6はリンク105で接続され、パケット転送装置5とパケット処理装置7はリンク106で接続され、パケット処理装置7と明示されていないパケット転送装置間がリンク107で接続されている。リンクとしては、光ファイバや光波長のような光パスや、イーサネットケーブルのような物理ケーブルを用いることができる。
本実施例では、論理ポートをラベルで識別しており、以下の説明における入力ラベル、出力ラベルは、一般的には、それぞれ、入力論理ポートの識別子、出力論理ポートの識別子ということができる。
図3に、本発明のパケット転送装置の構成例を示す。パケット転送装置は、第一転送機能23、入出力論理ポート比較機能24、第二転送機能25、サーバ接続部26で構成される。なお、図3に示されたものはパケット転送装置5の構成例であり、リンク101、102、105、106が接続されているが、他のパケット転送装置でも接続されるリンクが異なるだけで内部の構成は同様である。
第一転送機能23は、第一転送テーブル27および論理ポート設定機能28を有している。
第一転送テーブル27は、入力パケットのヘッダ情報から出力ラベル値および出力リンクを導く機能を有している。本実施例の第一転送テーブル27は、図7に示すように、入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)の欄を有する。入力ラベル値が入力論理ポート、出力ラベル値が出力論理ポートを示している。本実施例では、ヘッダ情報例としてラベル値と宛先アドレスを記述している。ここで、入力ラベル値としてデフォルトとしているものは、ラベルが付与されていないことを示している。従来、ラベルが付与されていないものはIPネットワークのようなコネクションレスネットワーク、ラベルが付与されているものはMPLSネットワークのようなコネクションオリエンテッドネットワークである。IPネットワークでは、ルーチングプロトコルにより出力先が特定され、MPLSネットワークではルーチングプロトコルとシグナリングプロトコルで出力先が特定される。このため、ラベル値の有無で転送テーブルを分割して管理してもよい。さらに、ヘッダ情報として、送信元アドレスを記述し、特定のユーザ間フローのみを別経路に出力するよう、オペレータが設定できるようにしてもよい。
また、本実施例では、第一転送テーブル27内に出力論理ポートの識別子(出力ラベル)と出力物理ポート(Output)を記述しているが、これらも別テーブルとして記述してもよい。この際は、入力ラベルがデフォルトであるエントリに対しては、宛先アドレスから出力物理ポートを導くテーブルに記述される。また、入力ラベル値が指定されているエントリに関しては、入力ラベル値から出力ラベル値を導くテーブルと、出力ラベル値から出力物理ポートを導くテーブルに記述される。
論理ポート設定機能28は、特定のアドレスを保有する宛先との間に転送経路を設定する機能と、特定のアドレスを保有する宛先との間の転送経路を削除する機能を有している。例えば、コアネットワークがMPLSネットワークである際は、論理ポート設定機能28がシグナリングプロトコルを使用し、特定のアドレスを保有する宛先との間にLSPを設定する。
第一転送機能23は、パケットを受信した際に、第一転送テーブル27を参照し、パケットに記述されているヘッダ情報から出力論理ポートおよび出力リンクを特定して後述の入出力論理ポート比較機能24へ通知する機能と、第一転送テーブル27を参照し、パケットに記述されているヘッダ情報から出力論理ポートおよび出力リンクを特定できなかった際に、当該パケットを後述の第二転送機能25へ転送する機能と、後述のネットワーク制御装置から、特定のアドレス間に転送経路を設定して特定のパケットヘッダ情報を有するパケットを特定のアドレスあてに送信する指示を受けた際に、論理ポート設定機能28により、指定されたアドレス間に転送経路を設定し、転送経路を設定した際に決まる当該経路に対応するラベルおよび当該経路の出力リンクを、前記特定のパケットヘッダ情報から導けるよう第一転送テーブル27に新エントリを追加する機能と、設定した転送経路に対応するラベルと、指定されたアドレスから設定してきた転送経路に割り当てられたラベルを、後述の入出力論理ポート比較機能24へ通知する機能を有している。
さらに、第一転送機能23は、後述のネットワーク制御装置から、特定のアドレス間に転送経路を設定して特定のパケットヘッダ情報を有するパケットを特定のアドレス宛に送信している状況を解除する指示を受けた際に、論理ポート設定機能28により、指定されたアドレス間の転送経路を削除し、当該経路に対応するラベルに関する第一転送テーブル27のエントリを削除する機能と、後述の入出力論理ポート比較機能24に当該経路に対応するラベルに関する情報の削除を通知する機能を有している。
入出力論理ポート比較機能24は、入出力論理ポート管理テーブル29を有している。
入出力論理ポート管理テーブル29は、各対向パケット転送装置間に設定された入力論理ポートと出力論理ポートの対を記述する機能を有している。本実施例では、入力ラベル値と出力ラベル値の対を記述する。すなわち、本実施例の入出力論理ポート管理テーブル29は、図7に示すように、入力ラベル、出力ラベルの欄を有している。例えば、VLANなどで双方向論理ポートを設定する場合は、入力論理ポートと出力論理ポートは同一となる。例えば、MPLSネットワークでは、LSPは基本的に片方向通信であるため、各対向パケット装置間に設定される入力LSPと出力LSPは基本的に異なる。
入出力論理ポート比較機能24は、第一転送機能23により出力論理ポートが特定された際に、入出力論理ポート管理テーブル29を用い、パケットを受信した際の入力論理ポートから対となる出力論理ポートを特定し、第一転送機能23から通知された出力論理ポートと比較し、異なる際は第一転送機能23が特定した出力情報を採用してパケットを転送し、同一の際は第一転送機能23が特定した出力情報を無効とし、入力論理ポートも無効とした後、後述の第二転送機能25へパケットを転送する機能を有している。前述の通り、本実施例では、論理ポートをラベル値で識別している。上記異なる際とは、入出力論理ポート管理テーブル29を用いた際に、パケットを受信した際の入力論理ポートから特定した出力論理ポートと第一転送機能23が特定した出力論理ポートが異なる場合と、パケットを受信した際の入力論理ポートが入出力論理ポート管理テーブル29に記述されていない際を示している。
さらに、入出力論理ポート比較機能24は、第一転送機能23から、設定した転送経路に対応するラベルと指定されたアドレスから設定してきた転送経路に割り当てられたラベルを通知された際に、両ラベル値を対として入出力論理ポート管理テーブル29に登録する機能と、後述のネットワーク制御装置から、特定のアドレス間に転送経路を設定して特定のパケットヘッダ情報を有するパケットを特定のアドレス宛に送信している状況を解除するよう指示された際に、当該経路に対応するラベルに関する情報の削除を第一転送機能23から通知された際に、当該情報を保有するエントリを削除する機能を有している。
第二転送機能25は、第二転送テーブル30を有している。
第二転送テーブル30は、入力パケットのヘッダ情報から、出力ラベル値および出力リンクを導く機能を有している。本テーブルの構成は第一転送テーブル27と同じであり、本実施例の第二転送テーブル30は、図7に示すように、入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)の欄を有する。
第二転送テーブル30は、ルーチングプロトコルやシグナリングプロトコルによってエントリを追加および削除されるが、第一転送テーブル27は後述のネットワーク制御装置によってエントリを追加および削除される。この際、第二転送テーブル30は後述のネットワーク制御装置からの制御の対象にはならない。また、本実施例とは異なり、第一転送テーブル27のエントリをルーチングプロトコルやシグナリングプロトコルによって追加および削除する実施例も考えられるが、その際でもネットワーク制御装置によるエントリ追加およびエントリ削除が優先される。
第二転送機能25は、入出力論理ポート比較機能24からパケットを受信した際に、第二転送テーブル30を参照し、パケットに記述されているヘッダ情報から出力論理ポートおよび出力リンクを特定してパケットを送信する機能を有している。
サーバ接続部26は、ネットワーク制御装置からの指示を受け付け、ネットワーク制御装置からの指示を各機能へ受け渡す機能と、ネットワーク制御装置からの指示に基づく制御が完了した際に、当該処理の完了通知をネットワーク制御装置に送信する機能を有している。これにより、パケット転送装置は、ネットワーク制御装置からの指示に基づきパケット処理装置間に転送経路を設定するとともに、パケット処理装置へ送信したいパケットを抽出して当該パケットのみを前記転送経路へ送信する。さらに、パケット転送装置は、パケット処理装置から受信したパケットに関しては、パケット抽出の対象としない。これにより、特定パケットのみをパケット処理装置へ送信するとともに、パケット処理装置へ送信するパケットのループ発生を防止する。
図4に、本発明のパケット処理装置の構成例を示す。パケット処理装置は、パケット処理機能31、パケット返送機能32およびサーバ接続部33から構成される。
パケット処理機能31は、パケット通過制御処理を実施する機能を有している。パケット通過制御処理としては、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄する制御や、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄する制御が挙げられる。これらの制御に際しては、宛先アドレスに対して転送パケット数をカウントする転送パケット数カウントテーブルや、宛先アドレスに対して転送データ量を累計する転送データ量カウントテーブルや、各テーブルのエントリを一定周期毎に保存してカウント値をリセットする機能や、上位保存値と閾値を比較する機能や、比較した際に閾値を超過したパケットを可変レートで廃棄する機能や、上記廃棄の継続判断を一定時間毎に実施する機能が必要となる。
パケット返送機能32は、返送経路設定機能34およびパケット返送テーブル35を有している。
返送経路設定機能34は、特定のアドレスを保有する宛先との間に転送経路を設定する機能と、特定のアドレスを保有する宛先との間に設定された転送経路を削除する機能を有している。例えば、コアネットワークがMPLSネットワークである際は、返送経路設定機能34がシグナリングプロトコルを使用し、特定のアドレスを保有する宛先との間にLSPを設定する。
パケット返送テーブル35は、受信パケットの入力論理ポートから、当該パケットの送信元パケット転送装置間に設定した転送経路に相当する出力論理ポートおよび出力物理ポートを導く機能を有しており、本実施例では、パケット返送テーブル35は、図10に示すように、受信ラベル、送信ラベル、出力リンク(Output)の欄を有しており、受信パケットのラベル値から、当該パケットの送信元パケット転送装置間に設定した転送経路に割り当てられているラベルおよび出力リンクを導く機能を有している。また、出力論理ポートと出力物理ポートを特定する機能を二つのテーブルに分割してもよい。この際は、入力論理ポートから出力論理ポートを特定するテーブルと、出力論理ポートから出力物理ポートを特定するテーブルを保有することになる。
パケット返送機能32は、後述のネットワーク制御装置から、特定のアドレス間に転送経路を設定する指示を受けた際に、返送経路設定機能34により、指定されたアドレス間に転送経路を設定するとともに、指定されたアドレスから転送経路を設定してきた際に、転送経路が設定された際に決まる当該経路に対応するラベルから、自身が転送経路を設定した際に決まる当該経路に対応するラベルを導くよう、パケット返送テーブル35に記述し、自身が転送経路を設定した際に決まる当該経路の出力先を当該経路に割り当てられたラベルと対となるようパケット返送テーブル35に記述する機能を有している。さらに、パケット返送機能32は、後述のネットワーク制御装置から、特定のアドレス間の転送経路を解除する指示を受けた際に、返送経路設定機能34により、指定されたアドレス間の転送経路を削除し、当該経路に対応するラベルに関するパケット返送テーブル36のエントリを削除する機能を有している。
サーバ接続部33は、ネットワーク制御装置からの指示を受け付け、ネットワーク制御装置からの指示を各機能へ受け渡す機能と、ネットワーク制御装置からの指示に基づく制御が完了した際に、当該処理の完了通知をネットワーク制御装置に送信する機能を有している。
これにより、パケット処理装置は、ネットワーク制御装置からの指示に基づきパケット転送装置間に転送経路を設定するとともに、パケット転送装置から受信したパケットを、同パケット転送装置へ返送する。
また、図3で示したとおり、パケット転送装置において当該パケットのループ発生を防止する。これにより、パケット処理装置は、ルーチング制御機能を保有してネットワーク全体のルーチング情報を変更すること無くトラヒックを受信し、分析し、制御しつつパケット転送装置へ返送することができる。
図5に、本発明のネットワーク制御装置の構成例を示す。ネットワーク制御装置は、制御フロー管理機能36および外部装置制御部37を有している。
制御フロー管理機能36は、特定のパケットヘッダ情報を有するパケットに対する、当該パケットをパケット処理装置へ送信するパケット転送装置のアドレスと、当該パケット処理装置のアドレスを管理する機能と、新たに上記情報が追加になった際は、当該情報に関する制御の開始を外部装置制御部37に通知する機能と、上記情報を削除する際は、当該情報に関する制御の終了を外部装置制御部37に通知するとともに、外部装置制御部37から制御の完了通知を受信した隙に当該情報を削除する機能を有している。また、複数の種類のパケットヘッダ情報に対して同一のパケット処理装置とパケット転送装置の対を指定する場合、情報の追加の際には、同一のパケット処理装置とパケット転送装置の対に経路が設定されているかどうかを自身の保有する情報から特定し、経路を設定済みである際は、経路設定が不要であることを外部装置制御部37へ通知する。また、複数の種類のパケットヘッダ情報に対して同一のパケット処理装置とパケット転送装置の対を指定する場合、情報の削除の際には、同一のパケット処理装置とパケット転送装置間の経路を他のパケットヘッダ情報と共有しているかどうかを自身の保有する情報から特定し、経路を共有している際は、経路削除が不要であることを外部装置制御部37へ通知する。
外部装置制御部37は、トンネル設定指示機能38、経路設定指示機能39を有している。
トンネル設定指示機能38は、制御フロー管理機能36から制御の開始を通知されたパケット転送装置とパケット処理装置に対し、パケット転送装置に対しては、パケット処理装置を示すアドレス宛に転送経路を設定するよう指示し、パケット処理装置に対しては、パケット転送装置を示すアドレス宛に転送経路を設定するよう指示する機能と、制御フロー管理機能36から制御の終了を通知されたパケット転送装置とパケット処理装置に対し、パケット転送装置に対しては、パケット処理装置を示すアドレス宛の転送経路を削除するよう指示し、パケット処理装置に対しては、パケット転送装置を示すアドレス宛の転送経路を削除するよう指示する機能を有している。
経路設定指示機能39は、当該パケット転送装置と当該パケット処理装置間にされた転送経路に出力すべきパケットのヘッダ情報を制御フロー管理機能36から特定し、当該パケットヘッダ情報を保有するパケットを当該転送経路へ出力するエントリを第一転送テーブルへ追加するよう指示する機能と、特定のパケットヘッダ情報に関する第一転送テーブルのエントリを削除するようパケット転送装置へ指示する機能を有している。
外部装置制御部37は、制御フロー管理機能36から、特定のパケットヘッダ情報を有するパケットに対する、当該パケットをパケット処理装置へ送信するパケット転送装置のアドレスと、当該パケット処理装置のアドレスを通知された際に、トンネル設定指示機能38により、当該装置間に転送経路を設定するよう当該装置に指示し、経路設定指示機能39により、当該パケット転送装置に対して、当該パケットヘッダ情報を有するパケットを新設した転送経路へ出力するためのエントリを第一転送テーブルヘ追加するよう指示する機能と、各制御の完了通知を当該装置から受信したかを管理し、一定時間通知の受信が確認できない際に、再度上記設定を試行する機能と、制御フロー管理機能36から、情報を削除する指示を受信した際に、トンネル設定指示機能38により、当該装置間の転送経路を削除するよう当該装置に指示し、経路設定指示機能39により、当該装置間の転送経路ヘパケットを出力するための第一転送テーブルエントリを削除するよう当該パケット転送装置に指示する機能と、各制御の完了通知を当該装置から受信したかを管理し、一定時間通知の受信が確認できない際に、再度上記設定を試行する機能と、各制御の完了通知を当該装置から受信した際に、制御フロー管理機能36に制御完了を通知する機能を有している。また、制御フロー管理機能36から新規の転送経路設定が不要であることを通知された際は、トンネル設定指示機能38による動作を省略する。また、制御フロー管理機能36から経路削除が不要であることを通知された際は、トンネル設定指示機能38による動作を省略する。
これにより、パケット転送装置とパケット処理装置間に動的に転送経路を設定し、パケットヘッダ条件に基づき、特定の転送パケットをパケット処理装置へ送信できる。
これにより、広域ネットワークにおける異常トラヒック検出・分析および制御を、パケット処理装置で集中的に実施することが可能となり、異常トラヒック防御を低コストで実現できる。
次に、図6のネットワークモデルを用いて、本発明の動作例を示す。初期状態において、ユーザ#1からユーザ#5間で、パケット転送装置1、リンク101、パケット転送装置5、リンク105、パケット転送装置6、リンク103、パケット転送装置3経由でパケットを転送している。当該フローをパケット処理装置7へ迂回させる制御を実施するとする。
図7に、パケット処理装置への迂回制御前のパケット転送装置5の動作例を示す。
図7に示すように、第一転送機能23が有する第一転送テーブル27は入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)の欄を有しており、入出力論理ポート比較機能24が有する入出力論理ポート管理テーブル29は入力ラベル、出力ラベルの欄を有しており、第二転送機能25が有する第二転送テーブル30は入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)の欄を有している。この時点では、第一転送テーブル27および入出力論理ポート管理テーブル29には何も登録されていないが、第二転送テーブル30には図7に示すように入力ラベル、宛先アドレス(宛先)、出力ラベル、出力リンク(Output)が登録されているとする。
パケット転送装置5は、図7に示すように宛先アドレス(Dst)がユーザ#5であり送信元アドレス(Src)がユーザ#1であるパケットを受信した際に、第一転送機能23において、第一転送テーブルを参照し、出力先が特定できないため、第二転送機能25へパケットを転送し、第二転送機能25において、第二転送テーブルを参照し、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーから出力リンク105を特定し、当該パケットをリンク105へ出力する。リンク105に出力されたパケットは図6に示すようにパケット転送装置6、パケット転送装置3を経由して、ユーザ#5に転送される。
図8に、パケット処理装置への迂回開始時のネットワーク制御装置の動作例を示す。
ネットワーク制御装置8は、制御対象とするヘッダ情報(宛先アドレスと送信元アドレスを含むパケットフロー情報)、当該パケットを抽出するパケット転送装置の識別子(例えばアドレス)、当該パケットを送信するパケット処理装置の識別子(例えばアドレス)が入力された際(通知を受けた際)に、当該情報を制御フロー管理機能36に保存する。すなわち、図8に示すように、制御フロー管理機能36には、宛先アドレス(Dst):ユーザ#5、パケット転送装置のアドレス:コア#5(パケット転送装置5のアドレス)、パケット処理装置のアドレス:コア#7(パケット処理装置7のアドレス)が保存される。なお、ネットワーク制御装置へのヘッダ情報、パケット転送装置の識別子、パケット処理装置の識別子の入力は、例えば、オペレータが怪しいトラヒックを検出した際に手入力で入力することができる。また、情報転送処理装置やAnomaly Detectorなどの異常トラヒック検出装置が異常トラヒックを検出した際に、通知を送信して入力することもできる。
さらに、下記の制御を実施する。
(a)トンネル設定指示機能38を用い、当該パケット転送装置を示すアドレスコア#5に対し、迂回先のパケット処理装置を示すアドレスコア#7への転送経路設定を指示する。
(b)トンネル設定指示機能38を用い、当該パケット処理装置を示すアドレスコア#7に対し、迂回元のパケット転送装置を示すアドレスコア#5への転送経路設定を指示する。
(c)経路設定指示機能39を用い、当該パケット転送装置を示すアドレスコア#5(パケット転送装置5)に対し、迂回先のパケット処理装置を示すアドレスコア#7(パケット処理装置7)への転送経路に割り当てられたラベルを、宛先アドレスがユーザ#5であるパケットへ付与するよう指示する。
この際、制御フロー管理機能36が複数のフローを管理しており、パケット転送装置コア#5とパケット処理装置コア#7を保有する別エントリが存在する場合、(a)および(b)の処理は省略する。
図9に、パケット処理装置への迂回開始時のパケット転送装置5の動作例を示す。
パケット転送装置5は、ネットワーク制御装置8からの指示(a)に対し、論理ポート設定機能28を用いて、パケット処理装置コア#7に対して転送経路を設定し、ラベル#1を付与する。この際、パケット処理装置コア#7からも、(b)に対応する転送経路が設定される。パケット転送装置5は、第一転送機能23を用いて、前者の転送経路に付与されたラベル#1および後者の転送経路に付与されたラベル#2を特定し、入力ラベルをラベル#2、出力ラベルをラベル#1として入出力論理ポート管理テーブル29へ登録する。また、ネットワーク制御装置からの指示(c)に対し、指定されたヘッダ条件である「宛先アドレスがユーザ#5であるパケット」に対して、前記転送経路に割り当てたラベル#1およびラベル#1に対応する出力リンク106を特定するためのエントリを第一転送テーブル27に追加する。ここで、入力ラベル値は任意値とし、デフォルトも含めた全ての入力ラベル値に対して当該エントリを有効とする。これにより、図9に示すように、第一転送テーブル27には、入力ラベル:all、宛先アドレス:ユーザ#5、出力ラベル:ラベル#1、出力リンク(Output):106と登録され、入出力論理ポート管理テーブル29には、入力ラベル:ラベル#2、出力ラベル:ラベル#1と登録される。
この際、図7と同パケットを受信すると、第一転送機能23において、第一転送テーブルを参照し、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーから出力ラベル#1、出力リンク106を特定し、入出力論理ポート比較機能24において、入力ラベル値がデフォルトであるため、第一転送機能23で特定した出力先を採用し、当該パケットにラベル#1を付与してリンク106へ出力する。
このように、制御対象とするヘッダ情報、当該パケットを抽出するパケット転送装置の識別子(例えばアドレス)、当該パケットを送信するパケット処理装置の識別子(例えばアドレス)がネットワーク制御装置に入力された際に、当該パケットをパケット処理装置へ送信することが可能となる。
図10に、パケット処理装置への迂回開始時のパケット処理装置7の動作例を示す。
パケット処理装置7は、ネットワーク制御装置からの指示(b)に対し、返送経路設定機能34を用いて、パケット転送装置コア#5に対して転送経路を設定し、ラベル#2を付与する。この際、パケット転送装置コア#5からも(a)に対応する転送経路が設定される。パケット処理装置は、パケット返送機能32を用いて、前者の転送経路に付与されたラベル#2および後者の転送経路に付与されたラベル#1を特定し、ラベル#1から返送用のラベル#2およびラベル#2に対する出力リンク106を特定するためのエントリをパケット返送テーブル35に設定する。これにより、図10に示すように、パケット返送テーブル35には、受信ラベル:ラベル#1、送信ラベル:ラベル#2、出力リンク(Output):106と登録される。
この際、図9のパケット転送装置5から転送されたラベル#1が付与されたパケットを受信すると、パケット処理機能31を中継し、制御対象とならなかったパケットをパケット返送機能32へ転送する。パケット返送機能32では、当該パケットのラベル#1から返送経路に出力するためのラベル#2および出力リンク106を特定し、ラベル#1を削除するとともにラベル#2で再カプセリングしてリンク106へ当該パケットを送信する。
このように、制御対象とするヘッダ情報、当該パケットを抽出するパケット転送装置の識別子(例えばアドレス)、当該パケットを送信するパケット処理装置の識別子(例えばアドレス)がネットワーク制御装置に入力された際に、当該パケットは、パケット処理装置へ送信され、パケット処理装置で分析された後、正常なトラヒックに関わるパケットは、パケットが抽出されたパケット転送装置へ返送される。
これにより、パケット処理装置への迂回経路設定および異常トラヒック分析・制御が可能となる。
図11に、パケット処理装置への迂回制御後のパケット転送装置5の動作例を示す。
パケット転送装置5は、図10のパケット処理装置7から転送されたラベル#2が付与されたパケットを受信すると、第一転送機能23において、入力ラベル値がラベル#2、宛先アドレスがユーザ#5という検索キーを用いて第一転送テーブルを検索し、入力ラベル値任意、宛先アドレスがユーザ#5というエントリから、出力ラベル#1、出力リンク106を特定し、入出力論理ポート比較機能24において、入力ラベル#2から、対となるラベル#1を特定する。
この際、入出力論理ポート比較機能24で特定した出力ラベル値と第一転送機能23で特定した出力ラベル値が同一であるため、入力ラベル値ラベル#2を無効とした後、第二転送機能25へパケットを転送し、第二転送機能25において、入力ラベル値がデフォルト、宛先アドレスがユーザ#5という検索キーを用いて第二転送テーブルを検索し、出力リンク105を特定し、当該パケットをリンク105へ出力する。
このように、パケット転送装置では、パケット処理装置から受信したパケットに関しては、当該パケットをパケット処理装置へ送信する際に適用した第一転送機能ではなく、通常時の転送情報を保有する第二転送機能を適用する。これにより、当該パケットが当該パケット転送装置とパケット処理装置との間でループすることを防止する。
図12に、パケット処理装置への迂回制御後の転送経路を示す。ユーザ#1からユーザ#5間で、パケット転送装置1、リンク101、パケット転送装置5、リンク106、パケット処理装置7、リンク106、パケット転送装置5、リンク105、パケット転送装置6、リンク103、パケット転送装置3経由でパケットを転送している。
このように、本発明は、パケット転送装置5およびパケット処理装置7間でのループを防止しつつ、特定のパケットをパケット処理装置7へ迂回させることができる。
以上説明したパケット転送装置、パケット処理装置、ネットワーク制御装置は、その機能を実現する手段を有しており、その手段はコンピュータとプログラムを用いて構成できる。また、そのプログラムの一部または全部に換えてハードウェアを用いてもよい。
以上、実施例により詳細に説明したが、本実施例のトラヒック分析・制御システムを構成するネットワーク制御装置とパケット処理装置とパケット転送装置はそれぞれ次の特徴を有する。
ネットワーク制御装置は、パケット転送装置の識別子と、宛先アドレスと送信元アドレスを含むパケットフロー情報と、で構成される制御情報の通知を受ける手段と、前記パケット転送装置の識別子に該当するパケット転送装置に対して、パケット処理装置への転送経路設定を指示する手段と、前記パケット処理装置に対して、前記パケット転送装置への転送経路設定を指示する手段と、前記パケット転送装置に対して、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を、前記パケットフロー情報の宛先アドレス宛のパケットへ付与するよう指示する手段と、を備える。
パケット処理装置は、前記ネットワーク制御装置から指示されたパケット転送装置への転送経路を設定する手段と、パケット通過制御処理を実施する手段と、前記パケット転送装置から受信したパケットに対してパケット通過制御処理を実施した後、前記パケットに前記パケット転送装置への転送経路に割り当てた論理ポートの識別子を付与し、前記パケット転送装置に返送する手段と、を備える。
パケット転送装置は、前記ネットワーク制御装置から指示されたパケット処理装置への転送経路を設定する手段と、パケットのヘッダ情報と、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を登録する第一の転送テーブルと、パケットのヘッダ情報と、前記パケット処理装置への転送経路以外のパケットを出力する転送経路を登録する第二の転送テーブルと、前記パケット処理装置からの転送経路からパケットが入力される論理ポートの識別子と、前記パケット処理装置への転送経路へパケットを出力する論理ポートの識別子の対を比較する入出力論理ポート比較手段と、を備える。そして、パケットが入力されると、前記第一の転送テーブルを参照して、前記パケットを出力すべき論理ポートの識別子を探索し、論理ポートの識別子が特定できた場合には、前記入出力論理ポート比較手段により、前記パケットに付与された論理ポートの識別子と前記パケットを出力すべき論理ポートの識別子が対を成さないか否かを判定し、対を成さないと判定された場合には、前記第一の転送テーブルにより特定された論理ポートに、前記パケットに前記論理ポートの識別子を付与して、出力し、対を成すと判定された場合と、前記第一の転送テーブルによりパケットを出力すべき論理ポートが特定できなかった場合には、前記第二の転送テーブルを参照して、前記パケットを出力すべき転送経路を特定して、前記第二の転送テーブルにより特定された転送経路に前記パケットを出力する。
これにより、パケット通過制御処理を実施したいトラヒックを、パケット処理装置へループを防止しつつ送信でき、その際、パケット処理装置がルーチング制御機能を保有してネットワーク全体のルーチング情報を変更する必要は無く、且つ、パケット転送装置がパケット処理装置を保有する必要も無い。従って、広域ネットワークにおける異常トラヒック検出・分析および制御を低コストで実現できる。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明を適用するネットワークのネットワークモデルの一例を示している。 本発明を適用するネットワークの物理モデルの一例を示している。 本発明のパケット転送装置の構成例を示している。 本発明のパケット処理装置の構成例を示している。 本発明のネットワーク制御装置の構成例を示している。 パケット処理装置への迂回制御前の転送経路例を示している。 パケット処理装置への迂回制御前のパケット転送装置5の動作例を示している。 パケット処理装置への迂回制御開始時のネットワーク制御装置の動作例を示している。 パケット処理装置への迂回制御開始時のパケット転送装置5の動作例を示している。 パケット処理装置への迂回制御開始時のパケット処理装置7の動作例を示している。 パケット処理装置への迂回制御後のパケット転送装置5の動作例を示している。 パケット処理装置への迂回制御後の転送経路例を示している。
符号の説明
1〜6…パケット転送装置、7…パケット処理装置、8…ネットワーク制御装置、9〜16…ユーザ端末、17〜20…アクセス網、21…コアネットワーク、22…ユーザネットワーク、23…第一転送機能、24…入出力論理ポート比較機能、25…第二転送機能、26…サーバ接続部、27…第一転送テーブル、28…論理ポート設定機能、29…入出力論理ポート管理テーブル、30…第二転送テーブル、31…パケット処理機能、32…パケット返送機能、33…サーバ接続部、34…返送経路設定機能、35…パケット返送テーブル、36…制御フロー管理機能、37…外部装置制御部、38…トンネル設定指示機能、39…経路設定指示機能、101〜114…リンク

Claims (3)

  1. ネットワーク制御装置とパケット処理装置とパケット転送装置とを有するトラヒック分析・制御システムであって、
    前記ネットワーク制御装置は、
    パケット転送装置の識別子と、宛先アドレスと送信元アドレスを含むパケットフロー情報と、で構成される制御情報の通知を受ける手段と、
    前記パケット転送装置の識別子に該当するパケット転送装置に対して、前記パケット処理装置への転送経路設定を指示する手段と、
    前記パケット処理装置に対して、前記パケット転送装置への転送経路設定を指示する手段と、
    前記パケット転送装置に対して、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を、前記パケットフロー情報の宛先アドレス宛のパケットへ付与するよう指示する手段と、
    を備え、
    前記パケット処理装置は、
    前記ネットワーク制御装置から指示されたパケット転送装置への転送経路を設定する手段と、
    パケット通過制御処理を実施する手段と、
    前記パケット転送装置から受信したパケットに対してパケット通過制御処理を実施した後、前記パケットに前記パケット転送装置への転送経路に割り当てた論理ポートの識別子を付与し、前記パケット転送装置に返送する手段と、
    を備え、
    前記パケット転送装置は、
    前記ネットワーク制御装置から指示されたパケット処理装置への転送経路を設定する手段と、
    パケットのヘッダ情報と、前記パケット処理装置への転送経路に割り当てた論理ポートの識別子を登録する第一の転送テーブルと、
    パケットのヘッダ情報と、前記パケット処理装置への転送経路以外のパケットを出力する転送経路を登録する第二の転送テーブルと、
    前記パケット処理装置からの転送経路からパケットが入力される論理ポートの識別子と、前記パケット処理装置への転送経路へパケットを出力する論理ポートの識別子の対を比較する入出力論理ポート比較手段と、
    を備え、
    前記パケット転送装置は、
    パケットが入力されると、前記第一の転送テーブルを参照して、前記パケットを出力すべき論理ポートの識別子を探索し、論理ポートの識別子が特定できた場合には、前記入出力論理ポート比較手段により、前記パケットに付与された論理ポートの識別子と前記パケットを出力すべき論理ポートの識別子が対を成さないか否かを判定し、
    対を成さないと判定された場合には、前記第一の転送テーブルにより特定された論理ポートに、前記パケットに前記論理ポートの識別子を付与して、出力し、
    対を成すと判定された場合と、前記第一の転送テーブルによりパケットを出力すべき論理ポートが特定できなかった場合には、前記第二の転送テーブルを参照して、前記パケットを出力すべき転送経路を特定して、前記第二の転送テーブルにより特定された転送経路に前記パケットを出力する
    ことを特徴とするトラヒック分析・制御システム。
  2. 請求項1に記載のトラヒック分析・制御システムであって、
    前記パケット処理装置のパケット通過制御処理を実施する手段は、転送パケットの宛先アドレス毎の転送データ量の累計値を一定周期毎に計測し、ある宛先アドレスの転送データ量の累計値が予め定めた閾値以上となった際は、当該宛先アドレスを保有するパケットに関して、次周期では閾値超過量に相当するパケットを廃棄することを特徴とするトラヒック分析・制御システム。
  3. 請求項1に記載のトラヒック分析・制御システムであって、
    前記パケット処理装置のパケット通過制御処理を実施する手段は、受信パケットのヘッダ情報毎の転送パケット数および転送データ量の累計値を一定周期毎に観測し、あるヘッダ情報の転送パケット数および転送データ量の累計値の増加値が予め定めた閾値以上となった際は、次周期から当該ヘッダ情報を保有するパケットを廃棄することを特徴とするトラヒック分析・制御システム。
JP2006234736A 2006-08-31 2006-08-31 トラヒック分析・制御システム Expired - Fee Related JP4244356B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006234736A JP4244356B2 (ja) 2006-08-31 2006-08-31 トラヒック分析・制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006234736A JP4244356B2 (ja) 2006-08-31 2006-08-31 トラヒック分析・制御システム

Publications (2)

Publication Number Publication Date
JP2008060865A JP2008060865A (ja) 2008-03-13
JP4244356B2 true JP4244356B2 (ja) 2009-03-25

Family

ID=39243123

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006234736A Expired - Fee Related JP4244356B2 (ja) 2006-08-31 2006-08-31 トラヒック分析・制御システム

Country Status (1)

Country Link
JP (1) JP4244356B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5207082B2 (ja) * 2010-01-15 2013-06-12 日本電気株式会社 コンピュータシステム、及びコンピュータシステムの監視方法
EP3678326B1 (en) * 2010-12-01 2023-01-04 Nec Corporation Communication system, control device and communication method
JP5670279B2 (ja) * 2011-08-10 2015-02-18 エヌ・ティ・ティ・コミュニケーションズ株式会社 仮想ネットワーク制御装置、仮想ネットワーク制御方法、仮想ネットワーク制御システム、及びプログラム
CN110392034B (zh) * 2018-09-28 2020-10-13 新华三信息安全技术有限公司 一种报文处理方法及装置

Also Published As

Publication number Publication date
JP2008060865A (ja) 2008-03-13

Similar Documents

Publication Publication Date Title
JP4547340B2 (ja) トラフィック制御方式、装置及びシステム
US20190297017A1 (en) Managing network congestion using segment routing
EP1433287B1 (en) Protection switching in a communications network employing label switching
CN107547383B (zh) 路径检测方法及装置
JP5411134B2 (ja) ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム
EP2992643B1 (en) Technique of operating a network node for load balancing
EP3366020B1 (en) Sdn controller assisted intrusion prevention systems
US20070153763A1 (en) Route change monitor for communication networks
US9813448B2 (en) Secured network arrangement and methods thereof
WO2017089933A1 (en) A method and apparatus for autonomously relaying statistics to a network controller in a software-defined networking network
US20130266017A1 (en) Communication system, control apparatus, communication method, and program
US9083602B2 (en) Communication system and communication device
WO2011076029A1 (zh) 一种实现快速重路由的方法及装置
CN113037731B (zh) 基于sdn架构和蜜网的网络流量控制方法及***
JP4244356B2 (ja) トラヒック分析・制御システム
JP4279324B2 (ja) ネットワーク制御方法
JP4260848B2 (ja) ネットワーク制御方法
US10374922B2 (en) In-band, health-based assessments of service function paths
JP4516612B2 (ja) ネットワーク制御方法およびネットワーク制御装置
KR20110009813A (ko) 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법
CN108092866B (zh) 一种隧道切换的方法、设备和***
US20190230115A1 (en) Fatigue-based segment routing
JP2005260618A (ja) ネットワークシステム
KR101394383B1 (ko) 디도스 방어를 위한 에이에스 내부 라우팅 배치 시스템 및 그 방법
JP2006165910A (ja) 不正侵入検知システム、不正侵入検知装置および管理装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081001

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081007

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081224

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081226

R150 Certificate of patent or registration of utility model

Ref document number: 4244356

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120116

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130116

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees