JP5440740B2 - 通信システム、制御装置、通信方法及びプログラム - Google Patents

通信システム、制御装置、通信方法及びプログラム Download PDF

Info

Publication number
JP5440740B2
JP5440740B2 JP2013511045A JP2013511045A JP5440740B2 JP 5440740 B2 JP5440740 B2 JP 5440740B2 JP 2013511045 A JP2013511045 A JP 2013511045A JP 2013511045 A JP2013511045 A JP 2013511045A JP 5440740 B2 JP5440740 B2 JP 5440740B2
Authority
JP
Japan
Prior art keywords
address
host
management device
packet
processing rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013511045A
Other languages
English (en)
Other versions
JPWO2012144583A1 (ja
Inventor
陽一郎 森田
政行 中江
昌也 山形
英之 下西
健太郎 園田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2013511045A priority Critical patent/JP5440740B2/ja
Application granted granted Critical
Publication of JP5440740B2 publication Critical patent/JP5440740B2/ja
Publication of JPWO2012144583A1 publication Critical patent/JPWO2012144583A1/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/42Centralised routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

[関連出願についての記載]
本発明は、日本国特許出願:特願2011−095134号(2011年 4月21日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、通信システム、制御装置、通信方法及びプログラムに関し、特に、ネットワークに配置された転送ノードによりパケットを転送して通信を実現する通信システム、制御装置、通信方法及びプログラムに関する。
近年、オープンフロー(OpenFlow)という技術が提案されている(特許文献1、非特許文献1、2参照)。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献2に仕様化されているオープンフロースイッチは、制御装置と位置付けられるオープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール(ヘッダフィールド)と、フロー統計情報(Counters)と、処理内容を定義したアクション(Actions)と、の組が定義される(図5参照)。
例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール(図5のヘッダフィールド参照)を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報(カウンタ)を更新するとともに、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容(指定ポートからのパケット送信、フラッディング、廃棄等)を実施する。一方、前記検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送し、受信パケットの送信元・送信先に基づいたパケットの経路の決定を依頼し、これを実現するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行っている。
国際公開第2008/095010号
Nick McKeownほか7名、"OpenFlow: Enabling Innovation in Campus Networks"、[online]、[平成23年4月4日検索]、インターネット〈URL:http://www.openflowswitch.org//documents/openflow-wp-latest.pdf〉 "OpenFlow Switch Specification" Version 1.0.0. (Wire Protocol 0x01) [平成23年4月4日検索] 、インターネット〈URL:http://www.openflowswitch.org/documents/openflow-spec-v1.0.0.pdf〉
以下の分析は、本発明によって与えられたものである。
特許文献1のオープンフローコントローラ、つまりオープンフローの制御装置は、新規フロー発生時にアクセス制御ルールを参照してパーミッションチェックを行ない、その後に、経路を計算することによりアクセス制御を行っている(特許文献1の[0052]参照)。
ところで、大規模なネットワークを管理する場合、ネットワーク全体の管理者が、個々の拠点等のネットワークに割り当てるネットワーク帯の定義などの大きな枠組みのみを管理し、個々の拠点や部門で使用する各機器のアドレス管理などの詳細な管理内容については、これら拠点や部門等毎の管理者や管理システムに任せる、といった階層的な管理手法が採用されている。
上記のような管理手法を行うに当たっては、これら拠点や部門毎にネットワークを分割し、ユーザ端末等とネットワーク資源が配置されたネットワークの間を、ネットワークスイッチつまり転送ノードによって接続する形態が考えられる。また、これら分割したネットワーク毎にアドレス管理装置等を配置することで、アドレス管理等を行うことができる。
上記のような運用は、一般的なDHCP(Dynamic Host Configuration Protocol)などによる管理が同一のネットワークセグメント(サブネット)に限定されること、単一のネットワークセグメントのサイズが巨大すぎると輻輳などの問題が発生しやすくなることからも理に適っている。
しかしながら、上記のような拠点、部門等毎のアドレス管理装置におけるアドレス等の管理は、ネットワーク全体の管理とは異なり、当該拠点や組織・部門の管理者やシステムに閉じていることが多い。
これは、拠点・部門等においてアドレスを管理すべきユーザ端末、周辺機器やネットワーク資源が、組織・部門の要求に従って、しばしば追加・削減やリプレースされたり、ネットワーク構成の見直しが行われ、頻繁に接続・切断されるものであり、大規模なネットワークを管理するネットワーク全体の管理者が、そのすべてを管理することは困難なためでもある。
上記のようなネットワーク全体に、特許文献1のオープンフローコントローラのような集中制御型の制御装置を用いて、個々の拠点や部門等を跨ったネットワーク全体の経路制御を行う場合、当該制御装置が、アドレス管理装置で割り当てられる予定のアドレス等を知る方法が無く、適切なフローエントリ(処理規則)を設定することができないという問題点がある。
ネットワークの間に配置された転送ノードのIDや、MAC(Media Accesss Control)アドレスを照合規則として用いたフローエントリ(処理規則)でも、一定の範囲でアクセス制御を行うことが可能であるが、上記のとおりホストやネットワーク資源が追加・削減やリプレースされたり、他の拠点や部門に移動したりするケースを考えると、適切なフローエントリ(処理規則)を設定できていないということも充分に考えられる。
さらに、上記制御装置は、アドレス管理装置によってアドレスが付与される前のホストが、アドレス管理装置からアドレスを取得できるようにする必要もある。
本発明は、上記のようにアドレス管理を行うアドレス管理装置を有するネットワークにおいて、各ホストからのアドレス管理装置への通信と、集中制御型の経路制御とを両立することができる通信システム、制御装置、ポリシー管理装置、通信方法およびプログラムを提供することを目的とする。
本発明の第1の視点によれば、処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ホストに対しアドレスを付与するアドレス管理装置と、前記ホストと接続した前記転送ノードの接続ポートに、前記ホストの仮のアドレスを付与した後、前記ホストと前記アドレス管理装置間の転送ノードに、前記仮のアドレスが付与された前記ホストと前記アドレス管理装置間の通信を実現する第1の処理規則を設定した後、前記アドレス管理装置により付与された前記ホストの真のアドレスを、前記ホストと前記アドレス管理装置間の通信から取得し、前記アドレス管理装置により前記真のアドレスが付与されたホストと所定のネットワーク資源間の通信を実現する第2の処理規則を設定する制御装置と、を含む通信システムが提供される。
本発明の第2の視点によれば、処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ホストに対しアドレスを付与するアドレス管理装置と、接続され、前記ホストと接続した前記転送ノードの接続ポートに、前記ホストの仮のアドレスを付与した後、前記ホストと前記アドレス管理装置間の転送ノードに、前記仮のアドレスが付与された前記ホストと前記アドレス管理装置間の通信を実現する第1の処理規則を設定した後、前記アドレス管理装置により付与された前記ホストの真のアドレスを、前記ホストと前記アドレス管理装置間の通信から取得し、前記アドレス管理装置により前記真のアドレスが付与されたホストと所定のネットワーク資源間の通信を実現する第2の処理規則を設定する制御装置が提供される。
本発明の第3の視点によれば、処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ホストに対しアドレスを付与するアドレス管理装置と、接続された制御装置が、前記ホストと接続した前記転送ノードの接続ポートに、前記ホストの仮のアドレスを付与した後、前記ホストと前記アドレス管理装置間の転送ノードに、前記仮のアドレスが付与された前記ホストと前記アドレス管理装置間の通信を実現する第1の処理規則を設定するステップと、前記アドレス管理装置により付与された前記ホストの真のアドレスを、前記ホストと前記アドレス管理装置間の通信から取得し、前記アドレス管理装置により前記真のアドレスが付与されたホストと所定のネットワーク資源間の通信を実現する第2の処理規則を設定するステップと、を含む通信方法が提供される。本方法は、受信パケットを処理する複数の転送ノードを制御する制御装置という、特定の機械に結びつけられている。
本発明の第4の視点によれば、処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ホストに対しアドレスを付与するアドレス管理装置と、接続された制御装置に実行させるプログラムであって、前記ホストと接続した前記転送ノードの接続ポートに、前記ホストの仮のアドレスを付与した後、前記ホストと前記アドレス管理装置間の転送ノードに、前記仮のアドレスが付与された前記ホストと前記アドレス管理装置間の通信を実現する第1の処理規則を設定する処理と、前記アドレス管理装置により付与された前記ホストの真のアドレスを、前記ホストと前記アドレス管理装置間の通信から取得し、前記アドレス管理装置により前記真のアドレスが付与されたホストと所定のネットワーク資源間の通信を実現する第2の処理規則を設定する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、アドレス管理を行うアドレス管理装置を有するネットワークにおいて、各ホストからのアドレス管理装置への通信と、集中制御型の経路制御とを両立することが可能となる。
本発明の概要を説明するための図である。 本発明の第1の実施形態の通信システムの構成を表した図である。 本発明の第1の実施形態の制御装置の構成を表した図である。 本発明の第1の実施形態の動作を表したシーケンス図である。 非特許文献2に記載のフローエントリの構成を表した図である。
はじめに、本発明の一実施形態の概要について図面を参照して説明する。以下、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
本発明は、その一実施形態において、図1に示すように、処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノード200と、ホスト100に対しアドレスを付与するアドレス管理装置310と、転送ノード200に処理規則を設定する制御装置300と、を含む通信システムにより実現できる。
具体的には、制御装置300は、まず、ホスト100とアドレス管理装置310間の転送ノード200に、ホスト100とアドレス管理装置310間の通信(図1の破線の両矢線参照)を実現する第1の処理規則を設定する。ホスト100がアドレス管理装置からアドレスを付与された後、制御装置300は、前記アドレスが付与されたホスト100と所定のネットワーク資源600間の通信(図1の実線の両矢線参照)を実現する第2の処理規則を設定する。なお、制御装置300は、転送ノード200からの処理規則の設定要求などから、ホスト100に付与されたアドレスを取得することができる(図1の一点鎖線の矢線参照)。
転送ノード200は、制御装置300から設定された処理規則に従ってパケットを処理するため、制御装置300が関与しない通信は遮断される。この結果、アドレス管理を行うアドレス管理装置を有するネットワークにおいて、各ホストからアドレス管理装置へのアクセス性を確保しつつ、各ホストに付与されたアドレスを用いたきめ細かい経路制御を行うことが可能となる。
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。はじめに、以下の説明において用いる用語について説明する。
「アドレス管理装置」は、DHCPなどのアドレス振出機能(アドレス割当機能)を持った装置である。また、本実施形態では「アドレス管理装置」は、ホストのMACアドレスによる認証機能も備えているものとする。本実施形態では、アドレス管理装置の利用するプロトコルとして、簡便のため、一般的なDHCPを想定して説明するが、その他のプロトコルを用いることも可能である。本実施形態の本質の一つは、制御装置が、ホストとアドレス管理装置の間の通信を限定的に許可しながら、その通信内容から振り出されるアドレス情報を取得することであり、DHCP以外のプロトコルであってもよい。
「ネットワーク資源」は、ネットワーク経由で利用するアプリケーションサーバなどが含まれる。その他「ネットワーク資源」には、アドレス管理装置によるアドレス振出後でなければ利用できないプロトコルや、アドレス管理装置によるアドレス振出後でなければアクセス制御ルールで定義できないフローを利用するような、前記アドレス管理装置以外の認証装置が含まれていてもよい。
「ホスト」は、拠点、部門等のネットワークに接続して使用する、ユーザの端末となるコンピュータや、ネットワークに接続して使用するプリンタやストレージなどの周辺機器である。新規に接続されたネットワーク資源も「ホスト」として扱うことができる。
「アクセス制御ポリシー」は、各ホストに付与されるアクセス制御内容を抽象的に記述した情報である。本実施形態では、「アクセス制御ポリシー」は、ポリシー管理装置のアクセス制御ポリシー記憶部に格納されて、管理される。また、ポリシー管理装置は、「アクセス制御ポリシー」と後記「リソース情報」を参照してACL(アクセスコントロールリスト)情報を生成し、制御装置に送信する。本実施形態では、簡便のため、最も基本的なアクセス制御ポリシーとして、「認証済みホストのみネットワーク資源との通信を許可」という内容が設定されているものとする。
「ホスト接続通知」は、制御装置からポリシー管理装置に受け渡される、認証済みホストのアドレス振出結果を含む情報である。本実施形態では、例えば、ホストのMACアドレスとIPアドレスとの組を含む。
「リソース情報」は、ホストやネットワーク資源の情報であり、ポリシー管理装置のリソース情報記憶部に格納されて、管理される。「リソース情報」は、ポリシー管理装置が、アクセス制御ポリシーからACL情報を生成する際に参照される。本実施形態では、「リソース情報」には、認証済みホストやネットワーク資源のMACアドレスとIPアドレスとの組が含まれるものとする。
「ACL情報」は、ポリシー管理装置から制御装置に受け渡されるアクセス制御内容を記述した情報である。例えば、「認証済みホストのみネットワーク資源との通信を許可」という内容のアクセス制御ポリシーと、MACアドレスとIPアドレスとの組を含むリソース情報とから、送信元ホストのMACアドレスとIPアドレスとの組、送信先ネットワーク資源のMACアドレスとIPアドレスとの組を含んだACL情報を作成することができる。その他ACL情報には、送信元と送信先の通信内容や方向とその可否等を含めることができる。
「ホスト管理情報」は、転送ノードに接続されているホスト(ネットワーク資源を含む)の情報であり、制御装置にて管理、更新される。本実施形態では、ホスト管理情報は、ホストのMACアドレスと、ホストのIPアドレスと、ホストが接続されている転送ノードの識別子と、ホストが接続されている転送ノードのコネクタの識別子との組を含む。
「アクセス制御ルール」は、制御装置が、フローの通信可否判定に使用する情報であり、ACL情報に基づいて更新される。例えば、フローを定義する、送信元のホスト管理情報と、送信先(ネットワーク資源)のホスト管理情報との間の通信内容や方向に対する通信可否が定義される。
「経路」は、複数の転送ノードが接続されたネットワークにおいて、制御装置によって算出される、フローの送信元ホストから送信先ネットワーク資源に到達する間に経由する、転送ノードの辿り方を示す情報である。
「コネクタアドレス」は、フローの起点となるホストが接続されている転送ノードのコネクタに対して紐づける、当該ホストのアドレスである。本実施形態では、コネクタアドレスという場合、ホストのMACアドレスとIPアドレスの組を含むものとする。このようなコネクタアドレスは、処理規則で対象となるフローを特定するために利用され、処理規則で指定された処理を実施する際に使用する。逆に言えば、コネクタアドレスの設定がされない限り、そのポートに接続されたホストからのフローに適合する処理規則は設定されないため、すべて破棄される。
「処理規則」は、制御装置から転送ノードに受け渡される情報であり、転送ノードが、あるフローのパケットを受け取ったとき、それをどのように処理するかを定義した情報である。転送ノードにおける処理の対象となるフローの指定は、転送ノードが行った処理規則設定要求において指定された転送ノードおよびコネクタの識別子に対し、制御装置がコネクタアドレスを紐づけて指定することで行われる。このような処理規則として、上記した転送ノードおよびコネクタの識別子やコネクタアドレス等をマッチングキー(照合規則)として設定できる非特許文献1のフローエントリを用いることもできる。
「処理規則設定要求」は、転送ノードから制御装置に受け渡される情報であり、転送ノードに到達した未認証パケットの処理を定義する処理規則を、制御装置に対して要求するために使用される。本実施形態では、処理規則設定要求に、パケットを受け取った転送ノードおよびコネクタの識別子と、パケットのヘッダ情報を切り出して含めるものとする。「処理規則設定要求」にパケットそのものを含めるものとしてもよい。
図2は、本発明の第1の実施形態の通信システムの構成を表した図である。図2を参照すると、ポリシー管理装置320と、制御装置300と、拠点A〜拠点Cを接続した構成が示されている。
それぞれの拠点A〜拠点Cには、転送ノード群200A〜200Cと、アドレス管理装置310A〜310Cと、ネットワーク資源600A〜600Cが配置されている。なお、ポリシー管理装置320、制御装置300および各拠点に配置されている転送ノード等は、それぞれ別個のコンピュータシステムで構築されていてもよいし、一部または全部が同一のコンピュータシステムで実現されていてもよい。
ホスト100A〜100Cは、例えば、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、アドレス管理装置とネットワーク資源と通信を行うための通信インタフェースによって実現される。また、ホスト100A〜100Cは、図2に示されたように、他の拠点に移動し、転送ノードに接続可能となっている。
ホスト100A〜100Cは、アドレス管理装置310A〜310Cに対してパケットを送出し、アドレス管理装置310A〜310Cからの応答に基づき、自身に対するアドレス振出を受け、ネットワーク設定を行う。ネットワーク設定済みのホスト100A〜100Cは、ネットワーク資源600A〜600Cを利用するためにアクセスパケットを送出し、ネットワーク資源600A〜600Cからの応答に基づき、通信を開始する。
アドレス管理装置310A〜310Cは、ホスト100A〜100Cからの要求を受けて、アドレス振出によるホストの認証を行う装置である。アドレス管理装置310A〜310Cは、例えば、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、ホスト100A〜100Cと通信を行うための通信インタフェースによって実現される。
ネットワーク資源600A〜600Cは、ホスト100A〜100Cからの要求を受けて、サービス利用のための通信を開始する。ネットワーク資源600A〜600Cは、例えば、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、ホスト100A〜100Cと通信を行うための通信インタフェースによって実現される。なお、すべての拠点にネットワーク資源600A〜600Cを配置する必要は無く、ネットワーク資源が配置されていない拠点があってもよい。
転送ノード200A〜200Cは、ホスト、アドレス管理装置310A〜310Cおよびネットワーク資源600A〜600Cが送出したパケットを受信すると、当該パケットに適合する照合規則(マッチングルール)を持つ処理規則に従ってパケットを処理する装置である。このような転送ノード200A〜200Cは、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、制御装置300と通信を行うための通信インタフェースと、ホスト100A〜100Cとアドレス管理装置310A〜310Cとネットワーク資源600A〜600Cとの間の通信内容を取得するための通信インタフェースとを含んだ構成によって実現される。
制御装置300は、転送ノード200A〜200Cからの処理規則設定要求に応じて、処理規則を作成、送信する装置であり、例えば、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、ポリシー管理装置320と転送ノード200A〜200Cと通信を行うための通信インタフェースによって実現される。
具体的には、制御装置300は、転送ノード200A〜200Cから受信した処理規則設定要求に記載されたパケットの情報が、ホストがアドレス管理装置を探索するパケット(DHCP Discover)である場合、処理規則設定要求に記載された転送ノードおよびコネクタに対し、正式なコネクタアドレスが決まるまでの仮のコネクタアドレス(暫定コネクタアドレス)を設定し、アクセス制御ルールの確認と経路計算を行う。さらに、制御装置300は、前記アクセス制御ルールの確認と経路計算の結果に基づいて、ホストから当該アドレス管理装置への当該パケットによる通信を許可する処理規則(第1の処理規則の1)を生成し、前記計算した経路上の転送ノードに受け渡す。
また、制御装置300は、転送ノード200A〜200Cから受信した処理規則設定要求に記載されたパケットの情報が、アドレス管理装置がホストにアドレス振出を案内するパケット(DHCP Offer)である場合、アクセス制御ルールの確認と経路計算を行う。さらに、制御装置300は、前記アクセス制御ルールの確認と経路計算の結果に基づいて、当該アドレス管理装置からホストへの当該パケットによる通信と、ホストからアドレス管理装置へのアドレス振出を要求するパケット(DHCP Request)による通信を許可する処理規則(第1の処理規則の2、3)を生成し、前記計算した経路上の転送ノードに受け渡す。
また、制御装置300は、転送ノード200A〜200Cから受信した処理規則設定要求に記載されたパケットの情報が、アドレス管理装置がホストにアドレス振出を実施するパケット(DHCP Ack)である場合、前記暫定コネクタアドレスを削除し、振り出されたアドレスを取得して、コネクタアドレスを設定し、ホスト接続通知を作成してポリシー管理装置320に送信する。ポリシー管理装置320からACL情報を受け取ると、制御装置300は、アクセス制御ルールを更新し、アクセス制御ルールの確認と経路計算を行い、当該アドレス管理装置からホストへの当該パケットによる通信を許可する処理規則(第1の処理規則の4)を生成し、前記計算した経路上の転送ノードに受け渡す。
さらに、制御装置300は、転送ノード200A〜200Cから受信した処理規則設定要求に記載されたパケットの情報が、ホスト100A〜100Cのいずれかがネットワーク資源600A〜600Cにアクセスするパケットである場合、アクセス制御ルールの確認と経路計算を行う。さらに、制御装置300は、前記アクセス制御ルールの確認と経路計算の結果に基づいて、該当ホストからネットワーク資源600A〜600Cへのパケットによる通信を許可する処理規則(第2の処理規則)を生成し、前記計算した経路上の転送ノードに受け渡す。
ポリシー管理装置320は、制御装置300から受け渡されたホスト接続通知について、通知に記載された認証済みホストの情報を用いてリソース情報記憶部322に対する更新を行い、アクセス制御ポリシー記憶部321のアクセス制御ポリシー(本実施形態では「認証済みホストのみネットワーク資源との通信を許可」というポリシーが格納されている)に基づいてACL情報を生成し、制御装置300に受け渡す。
ポリシー管理装置320は、制御装置300からホスト接続通知に応じて当該ホストに適用するACL情報を返す装置であり、具体的には、プログラムに従って動作する情報処理装置のCPUと、RAM等の記憶媒体と、制御装置300と通信を行うための通信インタフェースと、RAMやハードディスク等の記憶媒体によって実現される。
上記したホスト、アドレス管理装置、ネットワーク資源は、一般的なネットワークにおいてホスト、アドレス管理装置、ネットワーク資源と呼ばれている機器と同じものを用いることができる。また、転送ノードおよび制御装置としては、非特許文献1、2のオープンフローのオープンフロースイッチと、オープンフローコントローラと同等の構成のものを用いることができる。
図3は、上記制御装置の構成例を表したブロック図である。図3を参照すると、経路計算部301と、処理規則設定要求処理部302と、ホスト接続通知部303と、アクセス制御ルールを記憶するアクセス制御ルール記憶部304と、転送ノードによって構成されたネットワークトポロジーを記憶するネットワークトポロジー記憶部305と、コネクタアドレス振出規則を記憶するコネクタアドレス振出規則記憶部306と、ホスト管理情報を記憶するホスト管理情報記憶部307と、を備え、セキュアチャネル308を介して転送ノードと通信する構成が示されている。
経路計算部301は、ネットワークトポロジー記憶部305に記憶されたネットワークトポロジーと、アクセス制御ルール記憶部304に記憶されたアクセス制御ルールとを参照して、ホストとアドレス管理装置、あるいは、ホストとネットワーク資源との間の経路を計算する。
処理規則設定要求処理部302は、転送ノード200A〜200Cから受信した処理規則設定要求に基づいて、経路計算部301やホスト接続通知部303に必要な指示を行い、その結果に基づいて処理規則を生成し、転送ノードに設定する。また、処理規則設定要求処理部302は、転送ノード200A〜200Cから受信した処理規則設定要求に記載されたパケットの情報が、ホストがアドレス管理装置を探索するパケット(DHCP Discover)である場合、仮のコネクタアドレス(暫定コネクタアドレス)を設定する。また、処理規則設定要求処理部302は、仮のコネクタアドレス(暫定コネクタアドレス)を設定した場合や、正規のコネクタアドレスを受信した場合、ホスト管理情報記憶部307に記憶されているホスト管理情報を更新する。
ホスト接続通知部303は、正規のコネクタアドレスを受信したことを契機に、ポリシー管理装置320に対し、ホスト管理情報を含んだホスト接続通知を行う。ホスト接続通知部303は、ポリシー管理装置320からACL情報を受信すると、その内容に基づいて、アクセス制御ルール記憶部304に記憶されたアクセス制御ルールを更新する。
なお、上記した制御装置300の経路計算部301、処理規則設定要求処理部302やホスト接続通知部303は、制御装置を構成するコンピュータに、そのハードウェアを用いて、上記した制御装置300の各処理を実行させるコンピュータプログラムにより実現することもできる。
続いて、本実施形態の動作について、図面を参照して詳細に説明する。以下、本実施形態では、図4のシーケンス図を参照して、拠点等Aにおいて、ホスト100Aが接続され、ネットワーク資源600Aとの通信を開始するまでの処理について説明する。
(1)ステップS001
まず、制御装置300において、コネクタアドレスの振出規則が設定される。コネクタアドレスの振出規則は、ステップS004で、IPアドレスが未振出である、DHCP Discoverパケットの処理規則を生成するにあたり、暫定コネクタアドレスを振り出す際に使用される。
また、制御装置300において、アクセス制御ルールが登録される。ここでのアクセス制御ルールは、ステップS004で、IPアドレスが未振出であるDHCP Discoverの処理規則を生成するにあたり、どの転送ノードおよびコネクタに接続されたホストを、どのアドレス管理装置と通信させるかを決定する目的に使用される。
例えば、図2の拠点等Aの転送ノード200Aに接続されたホスト100Aについては、アドレス管理装置310Aと通信させるアクセス制御ルールが設定される。
(2)ステップS002
次に、ホスト100Aは、DHCP Discoverパケットを作成・送出する。
(3)ステップS003
次に、転送ノード200Aは、ステップS002で送出されたパケットをフックし、当該パケットと、パケットが到達した転送ノードおよびコネクタの識別子から、処理規則設定要求を作成し、制御装置300に受け渡す。
(4)ステップS004
次に、制御装置300は、ステップS003で受け渡された処理規則設定要求に基づき、アクセス制御ルールを確認し、当該パケットの送信元のホストと、当該ホストに対応付けられたアドレス管理装置間の経路計算を行って、処理規則(第1の処理規則の1)を作成する。
この際、ステップS003で受け渡された処理規則設定要求は、DHCP Discoverパケットの処理規則設定要求であることから、制御装置300は、暫定コネクタアドレスが必要と判断し、ステップS001で設定したコネクタアドレスの振出規則を参照して暫定コネクタアドレスを振り出す。
つまり、当該処理規則設定要求には、ホスト100AのIPアドレスは記載されておらず、ステップS024でホスト100Aに設定されるIPアドレスも不明であるため、制御装置300の生成する処理規則においてフローの定義に必要な送信元IPアドレスとして、ステップS024で設定されるIPアドレスとは別に、便宜上フローの識別に使用する仮のアドレスを暫定コネクタアドレスとして設定する。
ステップS001において転送ノード200Aに接続されたホスト100Aとアドレス管理装置310Aとの間の通信を許可するアクセス制御ルールが設定されているため、経路計算では、ホスト100Aが接続されている転送ノードおよびコネクタと、アドレス管理装置310Aが接続されている転送ノードおよびコネクタとを繋ぐ、転送ノードおよびコネクタを特定する。
また、この処理規則(第1の処理規則の1)には、DHCP Discoverパケットのみを許可する照合規則が設定される。
以上により、転送ノードが、ホスト100Aの送出したパケットを識別し、アドレス管理装置まで転送することができるようになる。また、ステップS007においてアドレス管理装置310Aによるホスト100Aの認証結果として、アドレス振出が実施されなかった場合、以降の通信を拒否することも可能となる。
(5)ステップS005
次に、制御装置300は、ステップS004で作成した処理規則を転送ノード200Aに受け渡す。
(6)ステップS006
次に、転送ノード200Aは、ステップS005で受け渡された処理規則にしたがって、ステップS003でフックしたパケットを、アドレス管理装置310Aに転送する。
(7)ステップS007
次に、アドレス管理装置310Aは、ステップS002で送出され、ステップS006で転送されたDHCP Discoverパケットを受け取り、その内容に基づいて、ホスト100Aに対してIPアドレスを振り出し、DHCP Offerパケットを作成する。
もし、ホスト100Aが、アドレスを振り出すべきではないホストの場合、アドレス管理装置310Aは、これを破棄する。
(8)ステップS008
次に、アドレス管理装置310Aは、ステップS007で作成したDHCP Offerパケットを送出する。
(9)ステップS009
次に、転送ノード200Aは、ステップS008で送出されたパケットをフックし、当該パケットと、パケットが到達した転送ノードおよびコネクタの識別子から、処理規則設定要求を生成し、制御装置300に受け渡す。
(10)ステップS010
次に、制御装置300は、ステップS009で受け渡された処理規則設定要求に基づき、アクセス制御ルールを確認し、経路計算を行って、処理規則(第1の処理規則の2、3)を作成する。
この際、ステップS009で受け渡された処理規則設定要求は、DHCP Offerパケットの処理規則設定要求であることから、制御装置300は、ステップS007においてアドレス管理装置による認証結果としてアドレス振出が実施されたと判断し、アドレス管理装置310Aからホスト100AへのDHCP Offerパケットと、ホスト100Aからアドレス管理装置310AへのDHCP Requestパケットの通信を許可する処理規則(第1の処理規則の2、3)を作成する。
ここで、DHCP Ackを許可する処理規則(第1の処理規則の4)を作成しないのは、ステップS016において、DHCP Ackパケットの処理規則設定要求を発生させることで、ステップS017において、DHCP Ackパケットからホスト100Aに振り出された本物のIPアドレスを取得するためである。例えば、転送ノード側にDHCP Ackパケットの自動通知機能が備えられている場合には、ここで、DHCP Ackを許可する処理規則を作成し、受け渡してしまってもよい。
(11)ステップS011
次に、制御装置300は、ステップS010で作成した処理規則を転送ノード200Aに受け渡す。
(12)ステップS012
次に、転送ノード200Aは、ステップS011で受け渡された処理規則にしたがって、ステップS009でフックしたパケットを、ホスト100Aに転送する。
(13)ステップS013
次に、ホスト100Aは、ステップS008で送出され、ステップS012で転送されたDHCP Offerパケットを受け取り、その内容に基づいて、DHCP Requestパケットを作成・送出する。
(14)ステップS014
次に、アドレス管理装置310Aは、ステップS013で送出されたDHCP Requestパケットを受け取り、その内容に基づいて、DHCP Ackパケットを作成する。
(15)ステップS015
次に、アドレス管理装置310Aは、ステップS014で作成したDHCP Ackパケットを送出する。
(16)ステップS016
次に、転送ノード200Aは、ステップS015で送出されたパケットをフックし、当該パケットと、パケットが到達した転送ノードおよびコネクタの識別子から、処理規則設定要求を生成し、制御装置300に受け渡す。
(17)ステップS017
ステップS016で受け渡された処理規則設定要求は、DHCP Ackパケットの処理規則設定要求であることから、制御装置300は、本物のコネクタアドレスの振出に必要な、ホスト100Aの本物のIPアドレスが取得できると判断し、ホスト管理情報記憶部から、当該ホストのホスト管理情報として登録されていた暫定コネクタアドレスを削除し、DHCP Ackパケットから取得した本物のIPアドレスに更新する。
次に、制御装置300は、ホスト接続通知を作成する。上記ホスト管理情報の更新と同時に、この本物のコネクタアドレスで定義されたフローに関するアクセス制御ルールの更新を実施するため、制御装置300は、認証済みホスト100Aのホスト管理情報をポリシー管理装置320に伝達する目的で、ホスト接続通知を作成する。
(18)ステップS018
次に、制御装置300は、ステップS017で作成されたホスト接続通知を、ポリシー管理装置320に受け渡す。
(19)ステップS019
次に、ポリシー管理装置320は、ステップS018で受け渡されたホスト接続通知を受け取り、その内容に基づいてリソース情報記憶部を更新し、その更新結果とポリシー記憶部に格納されたアクセス制御ポリシー(「認証済みホストのみネットワーク資源との通信を許可」というポリシー)に基づいて、ACL情報を作成する。
このACL情報には、ステップS017で作成されたホスト接続通知に記載された認証済みホスト100Aに関するアクセス制御内容が記載されている。
(20)ステップS020
次に、ポリシー管理装置320は、ステップS019で作成されたACL情報を、制御装置300に受け渡す。
(21)ステップS021
次に、制御装置300は、ステップS020で受け渡されたACL情報に基づいて、アクセス制御ルールを更新する。さらに、制御装置300は、ステップS016で受け渡された処理規則設定要求に基づいて、更新後のアクセス制御ルールに基づいて経路計算を行って、処理規則(第2の処理規則)を作成する。
この際、更新後のアクセス制御ルールには、認証済みホスト100Aに許可をする通信として、アドレス管理装置310Aとの間のDHCPのフローや、ネットワーク資源600Aなどとの間のフローの定義が含まれている。
従って、上記ステップS021で作成する処理規則には、ステップS016で受け渡されたDHCP Ackに関する処理規則設定要求に対する回答として、アドレス管理装置310Aとの間のDHCPに関する処理規則のほか、その他のネットワーク資源に関する処理規則を含めることができる。しかしながら、その他のネットワーク資源に関する処理規則は、すべてを生成して受け渡すと、その量が莫大になる場合もあり、制御装置と転送ノードの間の通信量や転送ノードの処理能力から無駄が多い。そこで、本実施形態では、ネットワーク資源に対するアクセスパケットが送出された後に、適宜、処理規則設定要求を受け取ることで、必要最低限の処理規則を作成し、受け渡すようにしている。
(22)ステップS022
次に、制御装置300は、ステップS021で作成した処理規則を転送ノード200Aに受け渡す。
(23)ステップS023
次に、転送ノード200Aは、ステップS022で受け渡された処理規則にしたがって、ステップS016でフックしたパケットを、ホスト100Aに転送する。
(24)ステップS024
次に、ホスト100Aは、ステップS015で送出され、ステップS022で転送されたDHCP Ackパケットを受け取り、その内容に基づいて、自身のネットワーク設定を行う。
(25)ステップS025
次に、ホスト100Aは、例えば、ネットワーク資源600Aを利用する操作を行う。
(26)ステップS026
次に、ホスト100Aは、ステップS025で行った操作により、ネットワーク資源600Aに対するアクセスパケットを送出する。
(27)ステップS027
次に、転送ノード200Aは、ステップS026で送出されたパケットをフックし、当該パケットと、パケットが到達した転送ノードおよびコネクタの識別子から、処理規則設定要求を生成し、制御装置300に受け渡す。
(28)ステップS028
次に、制御装置300は、ステップS027で受け渡された処理規則設定要求に基づき、アクセス制御ルールを確認し、経路計算を行って、処理規則を作成する。
(29)ステップS029
次に、制御装置300は、ステップS028で作成した処理規則を転送ノード200Aに受け渡す。
以上によって、ホスト100Aとネットワーク資源600Aとの間の通信が開始される。
以上のように、本実施形態によれば、一般的なネットワークにおいてホスト、アドレス管理装置、ネットワーク資源と呼ばれている機器を用いて、非特許文献1、2のオープンフローのような制御装置が転送ノードを集中制御する通信システムを構成することが可能となる。
また、本実施形態では、アドレス管理装置にて、認証処理を行うようにしているため、認証済みホストからのフローのみを許可するアクセス制御を行うことが可能となっている。
以上、本発明の好適な実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、図2のネットワーク構成は、本発明の理解を助けるために簡素化したものであり、種々の変形態様を採用することができる。また、上記した第1の実施形態では、ある拠点Aの中でのフローを制御する例を挙げて説明したが、拠点Aに位置するホスト100Aに、拠点Bや拠点Cのネットワーク資源600B、600Cにアクセスを許可する処理規則を設定することで、拠点・部門を跨ったアクセス制御も行うことが可能である。
また、上記した実施形態では、転送ノード200A〜200Cは、未知のパケットを受信する都度、制御装置300に対し、処理規則設定要求を行うものとして説明したが、例えば、制御装置300が複数の処理規則をまとめて設定するようにしたり、特定のMACアドレスを持つホストからのパケットを処理するための処理規則を転送ノードに予め設定しておいてもよい。このようにすることで、制御装置300の負荷を低減することが可能となる。例えば、第1の実施形態の第1の処理規則の1〜4はまとめて設定することができる。この場合において、DHCP Ackパケットにより取得していたIPアドレスは、前記まとめて設定する処理規則に、DHCP Ackパケットの受信時に制御装置に対しIPアドレスを通知またはDHCP Ackパケットを転送する処理規則を追加しておけばよい。
また、上記した実施形態では、転送ノード200A〜200Cは、未知のパケットを受信する都度、制御装置300に対し、処理規則設定要求を行うものとして説明したが、未知のパケットをデフォルトで破棄するように動作させ、予め定められた情報が埋め込まれている等を持つパケットについてのみ処理規則設定要求を行うようにしてもよい。
また、上記した実施形態では、DHCP Discoverパケットを送信してきたホストがアドレスを振り出すべきではないホストの場合、アドレス管理装置310AがDHCP Discoverパケットを破棄することにより、当該ホストからの通信を遮断するものとして説明したが、アドレス管理装置310Aからの通知に基づき制御装置300が、転送ノード200A〜200C(または、転送ノード200A〜200Cのうち当該ホストが接続されている転送ノード)に、当該ホストからのパケットを破棄する処理規則(第3の処理規則)を設定するようにしてもよい。このようにすれば、不正なアクセスを試みるホストから転送ノード200A〜200Cがパケットを受信することによる処理規則設定要求を抑止することができる。
本発明は、企業などにおいて、複数の拠点や部門・組織毎に管理者を分担する形でネットワーク管理が行われている環境に好適に適用可能である。特に、現に構築されているネットワーク構成、ネットワーク管理体制、アドレス管理装置等の認証装置の処理手順に一切変更を加えずに、フローベースのきめ細かい集中制御を行う通信システムを実現することができる。
なお、前述の特許文献及び非特許文献の開示を、本書に引用をもって繰り込むものとする。
本発明の全開示(請求の範囲および図面を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲および図面の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
100A〜100C ホスト
200A〜200C 転送ノード
300 制御装置
301 経路計算部
302 処理規則設定要求処理部
303 ホスト接続通知部
304 アクセス制御ルール記憶部
305 ネットワークトポロジー記憶部
306 コネクタアドレス振出規則記憶部
307 ホスト管理情報記憶部
308 セキュアチャネル
310A〜310C アドレス管理装置
320 ポリシー管理装置
321 アクセス制御ポリシー記憶部
322 リソース情報記憶部
600A〜600C ネットワーク資源

Claims (10)

  1. 処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、
    ホストに対しアドレスを付与するアドレス管理装置と、
    前記ホストと接続した前記転送ノードの接続ポートに、前記ホストの仮のアドレスを付与した後、前記ホストと前記アドレス管理装置間の転送ノードに、前記仮のアドレスが付与された前記ホストと前記アドレス管理装置間の通信を実現する第1の処理規則を設定した後、前記アドレス管理装置により付与された前記ホストの真のアドレスを、前記ホストと前記アドレス管理装置間の通信から取得し、前記アドレス管理装置により前記真のアドレスが付与されたホストと所定のネットワーク資源間の通信を実現する第2の処理規則を設定する制御装置と、
    を含む通信システム。
  2. 前記制御装置は、前記第2の処理規則として、前記アドレス管理装置から前記ホストに付与されたアドレスを用いて処理対象パケットを特定する照合規則を持つ処理規則を生成する請求項1の通信システム。
  3. 前記制御装置は、前記ホストと前記アドレス管理装置間の転送ノードから受信した処理規則設定要求から、前記アドレス管理装置から付与されたアドレスを取得する請求項1または2の通信システム。
  4. 前記制御装置は、前記ホストに付与されたアクセス権限に関する情報を参照して、前記第2の処理規則を生成する請求項1から3いずれか一の通信システム。
  5. さらに、前記ホストに付与されたアクセス権限に関する情報を提供するポリシー管理装置を含む請求項1から4いずれか一の通信システム。
  6. 前記アドレス管理装置が複数配置され、
    前記制御装置は、前記複数のアドレス管理装置の中から前記ホストに対応付けられたアドレス管理装置を選択する請求項1から5いずれか一の通信システム。
  7. 前記制御装置は、前記アドレス管理装置からアドレスが付与されなかったホストに接続された転送ノードに、前記ホストからのパケットを破棄する第3の処理規則を設定する請求項1から6いずれか一の通信システム。
  8. 処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ホストに対しアドレスを付与するアドレス管理装置と、接続され、
    前記ホストと接続した前記転送ノードの接続ポートに、前記ホストの仮のアドレスを付与した後、前記ホストと前記アドレス管理装置間の転送ノードに、前記仮のアドレスが付与された前記ホストと前記アドレス管理装置間の通信を実現する第1の処理規則を設定した後、前記アドレス管理装置により付与された前記ホストの真のアドレスを、前記ホストと前記アドレス管理装置間の通信から取得し、前記アドレス管理装置により前記真のアドレスが付与されたホストと所定のネットワーク資源間の通信を実現する第2の処理規則を設定する制御装置。
  9. 処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ホストに対しアドレスを付与するアドレス管理装置と、接続された制御装置が、
    前記ホストと接続した前記転送ノードの接続ポートに、前記ホストの仮のアドレスを付与した後、前記ホストと前記アドレス管理装置間の転送ノードに、前記仮のアドレスが付与された前記ホストと前記アドレス管理装置間の通信を実現する第1の処理規則を設定するステップと、
    前記アドレス管理装置により付与された前記ホストの真のアドレスを、前記ホストと前記アドレス管理装置間の通信から取得し、前記アドレス管理装置により前記真のアドレスが付与されたホストと所定のネットワーク資源間の通信を実現する第2の処理規則を設定するステップと、を含む通信方法。
  10. 処理対象パケットを特定するための照合規則と、前記照合規則に適合するパケットに適用する処理内容とを対応付けた処理規則に従って、受信パケットを処理する複数の転送ノードと、ホストに対しアドレスを付与するアドレス管理装置と、接続された制御装置に実行させるプログラムであって、
    前記ホストと接続した前記転送ノードの接続ポートに、前記ホストの仮のアドレスを付与した後、前記ホストと前記アドレス管理装置間の転送ノードに、前記仮のアドレスが付与された前記ホストと前記アドレス管理装置間の通信を実現する第1の処理規則を設定する処理と、
    前記アドレス管理装置により付与された前記ホストの真のアドレスを、前記ホストと前記アドレス管理装置間の通信から取得し、前記アドレス管理装置により前記真のアドレスが付与されたホストと所定のネットワーク資源間の通信を実現する第2の処理規則を設定する処理と、を実行させるプログラム。
JP2013511045A 2011-04-21 2012-04-20 通信システム、制御装置、通信方法及びプログラム Expired - Fee Related JP5440740B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013511045A JP5440740B2 (ja) 2011-04-21 2012-04-20 通信システム、制御装置、通信方法及びプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011095134 2011-04-21
JP2011095134 2011-04-21
JP2013511045A JP5440740B2 (ja) 2011-04-21 2012-04-20 通信システム、制御装置、通信方法及びプログラム
PCT/JP2012/060672 WO2012144583A1 (ja) 2011-04-21 2012-04-20 通信システム、制御装置、通信方法及びプログラム

Publications (2)

Publication Number Publication Date
JP5440740B2 true JP5440740B2 (ja) 2014-03-12
JPWO2012144583A1 JPWO2012144583A1 (ja) 2014-07-28

Family

ID=47041687

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013511045A Expired - Fee Related JP5440740B2 (ja) 2011-04-21 2012-04-20 通信システム、制御装置、通信方法及びプログラム

Country Status (5)

Country Link
US (1) US20130275620A1 (ja)
EP (1) EP2645641A4 (ja)
JP (1) JP5440740B2 (ja)
CN (1) CN103299589A (ja)
WO (1) WO2012144583A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103973828B (zh) * 2013-02-01 2017-07-14 华为技术有限公司 一种dhcp客户端获取ip地址的方法及装置
JP5550764B1 (ja) * 2013-05-27 2014-07-16 三菱電機インフォメーションシステムズ株式会社 オープンフローネットワークシステム
CN105393508B (zh) 2014-06-26 2019-09-13 华为技术有限公司 软件定义网络的服务质量控制方法及设备
US10891370B2 (en) * 2016-11-23 2021-01-12 Blackberry Limited Path-based access control for message-based operating systems
JP6493426B2 (ja) 2017-02-02 2019-04-03 日本電気株式会社 通信システム、通信制御方法および通信プログラム
JP6493475B1 (ja) * 2017-09-28 2019-04-03 日本電気株式会社 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム
JP7227727B2 (ja) * 2018-10-03 2023-02-22 エヌ・ティ・ティ・コミュニケーションズ株式会社 デバイス管理装置、デバイス管理方法及びコンピュータープログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020023174A1 (en) * 2000-03-20 2002-02-21 Garrett John W. Service selection in a shared access network using dynamic host configuration protocol
CN1323516C (zh) * 2003-03-13 2007-06-27 华为技术有限公司 一种用户报文的转发控制方法
CN101064673B (zh) * 2006-04-28 2010-05-26 鸿富锦精密工业(深圳)有限公司 网络装置及其网络地址转换配置方法
US20080189769A1 (en) * 2007-02-01 2008-08-07 Martin Casado Secure network switching infrastructure
US9083609B2 (en) * 2007-09-26 2015-07-14 Nicira, Inc. Network operating system for managing and securing networks

Also Published As

Publication number Publication date
JPWO2012144583A1 (ja) 2014-07-28
EP2645641A1 (en) 2013-10-02
EP2645641A4 (en) 2014-12-03
CN103299589A (zh) 2013-09-11
WO2012144583A1 (ja) 2012-10-26
US20130275620A1 (en) 2013-10-17

Similar Documents

Publication Publication Date Title
JP5440740B2 (ja) 通信システム、制御装置、通信方法及びプログラム
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
JP5594410B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP5757324B2 (ja) コンピュータシステム、及び通信方法
KR101685471B1 (ko) 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스
US20180191614A1 (en) Communication system, control apparatus, communication apparatus, communication control method, and program
JP2014516215A (ja) 通信システム、制御装置、処理規則設定方法およびプログラム
JP5288081B1 (ja) 通信システム、ポリシー管理装置、通信方法およびプログラム
WO2012160809A1 (en) Communication system, control device, communication method, and program
JP6440191B2 (ja) スイッチ装置、vlan設定管理方法及びプログラム
WO2014065315A1 (ja) 通信システム、仮想マシンサーバ、仮想ネットワーク管理装置、ネットワーク制御方法及びプログラム
US20150381775A1 (en) Communication system, communication method, control apparatus, control apparatus control method, and program
JP2015530763A (ja) アクセス制御システム、アクセス制御方法及びプログラム
WO2014020902A1 (en) Communication system, control apparatus, communication method, and program

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131202

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees