JP6069236B2 - アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム - Google Patents
アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム Download PDFInfo
- Publication number
- JP6069236B2 JP6069236B2 JP2014034741A JP2014034741A JP6069236B2 JP 6069236 B2 JP6069236 B2 JP 6069236B2 JP 2014034741 A JP2014034741 A JP 2014034741A JP 2014034741 A JP2014034741 A JP 2014034741A JP 6069236 B2 JP6069236 B2 JP 6069236B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- flow
- application identification
- destination
- packet header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
第1比較例のアプリケーション識別システム1Eは、コア網9にポリシ管理装置4と、DPI装置2E−1,2E−2とが、それぞれ相互に通信可能に接続されている。
DPI装置2E−1,2E−2は、ポリシ管理装置4からの指示によってデータパケットのアプリケーション識別や制御を実施する。
<第2比較例>
図9は、第2比較例のアプリケーション識別システム1Cを示す概略の構成図である。
アプリケーション識別システム1Cは、アプリケーション識別装置3Cを、複数のパケットヘッダ識別制御部21C−1〜21C−3で共用するように、ネットワーク上に配置している。これによりアプリケーション識別システム1Cは、アプリケーション識別装置3Cの利用効率を向上させることが可能である。
アプリケーション識別装置3Cは、フローを構成するパケットのデータ部分を識別する。
大規模ネットワークでは、コア網9内の全ての装置に、このコア網9内で使用する全てのポリシを適用することは困難である。そのため、ポリシ管理装置4は、パケットヘッダ識別制御部21Cに対して、このパケットヘッダ識別制御部21Cが直接接続する外部ネットワークに関するポリシを設定することが一般的である。
ユーザ端末5−2(ユーザB)に接続するパケットヘッダ識別制御部21C−2には、ユーザBをキーとするポリシBが設定される。
サーバ7(サーバX)に接続するパケットヘッダ識別制御部21C−4には、サーバXをキーとするポリシXが設定される。
フローF20は、サーバ7(サーバX)が送信元であり、ユーザ端末5−1(ユーザA)が宛先である。
パケットヘッダ識別制御部21C−4は、アプリケーション識別装置3Cから返送されたフローF20を受信すると、通常のルーティング処理を行う。このフローF20は、パケットヘッダ識別制御部21C−1にルーティングされる。
パケットヘッダ識別制御部21C−1は、アプリケーション識別装置3Cから返送されたフローF20を受信すると、通常のルーティング処理を行う。このフローF20は、ユーザ端末5−1(ユーザA)にルーティングされる。
パケットヘッダ識別制御部21C−1は、コア網9外からコア網9内への入力のフローF21を受信すると、その送信元IPアドレスにより、送信元がアプリケーション識別対象の装置であるか否かを判定する。パケットヘッダ識別制御部21C−1は、フローF21の送信元がユーザ端末5−1(ユーザA)であり、アプリケーション識別対象の装置なので、このフローF21をアプリケーション識別装置3Cへ転送する。このフローF21は、アプリケーション識別装置3Cで処理されると、パケットヘッダ識別制御部21C−1に返送される。
パケットヘッダ識別制御部21C−1は、アプリケーション識別装置3Cから返送されたフローF21を受信すると、通常のルーティング処理を行う。このフローF21は、パケットヘッダ識別制御部21C−2にルーティングされる。
パケットヘッダ識別制御部21C−2は、アプリケーション識別装置3Cから返送されたフローF21を受信すると、通常のルーティング処理を行う。このフローF21は、ユーザ端末5−2(ユーザB)にルーティングされる。
図1は、第1の実施形態におけるアプリケーション識別システム1を示す概略の構成図である。
図1に示すように、アプリケーション識別システム1は、コア網9に、アプリケーション識別装置3と、ポリシ管理装置4と、パケットヘッダ識別制御部21−1,21−2とを備えている。パケットヘッダ識別制御部21−1,21−2は、コア網9のエッジとしてインラインに設置される。
通信部31は、各パケットヘッダ識別制御部21から転送されるフローを受信し、このフローをパケットヘッダ識別制御部21に返送する。
ポリシ適用処理部32は、フローを構成するパケットに、各アプリケーション識別ポリシを適用する。ポリシ適用処理部32は、このフローの送信元に関するポリシが自身に設定されていたならば、このポリシをこのフローに適用し、このフローの宛先に関するポリシが自身に設定されていたならば、このポリシをこのフローに適用する。ポリシ適用処理部32は、フローを構成するパケットのデータ部分を識別することにより、該当するアプリケーション識別ポリシを適用する。
タグ付与部33は、宛先に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与する。
パケットヘッダ識別制御部21−1,21−2には、何らポリシが設定されていない。
図1で示した状態の後、ポリシ管理装置4は、フローをアプリケーション識別装置3に転送するために、パケットヘッダ識別制御部21−1に、ユーザ端末5−1(ユーザA)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシAを設定する。
ポリシ管理装置4は、パケットヘッダ識別制御部21−2に、ユーザ端末5−3(ユーザC)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシCを設定する。ポリシ管理装置4は、パケットヘッダ識別制御部21−2に、ユーザ端末5−4(ユーザD)が送信元または宛先のフローをアプリケーション識別装置3へ転送させるポリシDを設定する。
パケットヘッダ識別制御部21−1には、ポリシAが設定される。パケットヘッダ識別制御部21−2には、ポリシC・ポリシDが設定される。
なお、各ポリシは、該当する装置が送信元のみであるフローや、該当する装置が宛先のみであるフローに対するポリシであってもよい。
ユーザ端末5−1(ユーザA)は、ユーザ端末5−3(ユーザC)を宛先とするフローF2を、パケットヘッダ識別制御部21−1を介して送信する。
ユーザ端末5−3(ユーザC)は、ユーザ端末5−1(ユーザA)を宛先とするフローF3を、パケットヘッダ識別制御部21−2を介して送信する。
パケットヘッダ識別制御部21−2は、ユーザ端末5−3(ユーザC)からフローF3を受信すると、自身に設定されたポリシCに基づき、このフローF3をアプリケーション識別装置3へ転送する。
ユーザ端末5−2(ユーザB)は、ユーザ端末5−4(ユーザD)を宛先とするフローF4を、パケットヘッダ識別制御部21−1を介して送信する。
パケットヘッダ識別制御部21−2は、返送されたフローF4に通常のルーティング処理を行う。このフローF4は、ユーザ端末5−4(ユーザD)にルーティングされる。
ユーザ端末5−4(ユーザD)は、ユーザ端末5−2(ユーザB)を宛先とするフローF5を、パケットヘッダ識別制御部21−2を介して送信する。
パケットヘッダ識別制御部21−2は、ユーザ端末5−4(ユーザD)からフローF5を受信すると、自身に設定されたポリシDに基づき、このフローF5をアプリケーション識別装置3へ転送する。
パケットヘッダ識別制御部21に、コア網9内からフローが到着すると、図3の処理が開始する。
ステップS10において、パケットヘッダ識別制御部21は、コア網9内から到着したフローを受信する。
ステップS12において、パケットヘッダ識別制御部21は、このフローから宛先ポリシ適用済みタグを削除して、ステップS16の処理を行う。
ステップS14において、パケットヘッダ識別制御部21は、このフローを、アプリケーション識別装置3へ転送する。
ステップS15において、パケットヘッダ識別制御部21は、アプリケーション識別装置3からフローが返送されるまで待ち、このフローを受信する。
ステップS16において、パケットヘッダ識別制御部21は、このフローを通常のルーティングに基づいて転送し、図3の処理を終了する。
アプリケーション識別装置3に、パケットヘッダ識別制御部21が転送したフローが到着すると、図4の処理が開始する。
ステップS20において、アプリケーション識別装置3は、パケットヘッダ識別制御部21から到着したフローを受信する。アプリケーション識別装置3は、このフローの送信元ポリシを格納している。
ステップS21において、アプリケーション識別装置3は、送信元ポリシのアプリケーション識別処理を行う。
ステップS23において、アプリケーション識別装置3は、宛先ポリシのアプリケーション識別処理を行う。
ステップS24において、アプリケーション識別装置3は、このフローを構成するパケットに、宛先ポリシ適用済みタグを付与する。
ステップS25において、アプリケーション識別装置3は、このフローをパケットヘッダ識別制御部21へ返送し、図4の処理を終了する。
図5は、第2の実施形態におけるアプリケーション識別装置3の処理を示すフローチャートである。
ステップS30において、アプリケーション識別装置3は、パケットヘッダ識別制御部21から到着したフローを受信する。アプリケーション識別装置3は、このフローの送信元ポリシを格納している。
ステップS32において、アプリケーション識別装置3は、送信元ポリシと宛先ポリシとをマージする。ここで、ポリシのマージとは、例えば両ポリシに共通する処理を1回の処理に纏めることをいう。
ステップS33において、アプリケーション識別装置3は、マージしたポリシのアプリケーション識別処理を行う。
ステップS35において、アプリケーション識別装置3は、送信元ポリシのアプリケーション識別処理を行う。
ステップS36において、アプリケーション識別装置3は、このフローをパケットヘッダ識別制御部21へ返送し、図5の処理を終了する。
図6は、第3の実施形態におけるアプリケーション識別システム1Bを示す概略の構成図である。図1に示す第1の実施形態のアプリケーション識別システム1と同一の要素には同一の符号を付与している。
アプリケーション識別システム1Bは、第1の実施形態とは異なるアプリケーション識別装置3Bと、ポリシ管理装置4Bとを備えている。アプリケーション識別装置3Bは、第1の実施形態とは異なるポリシ適用処理部32Bを備えている。
ポリシ適用処理部32Bは、パケットの送信元ポリシと、パケットの宛先ポリシとを適用することに加えて、パケットの送信元と宛先とをマージしたポリシを適用する機能を有している。ポリシ適用処理部32Bは、フローの宛先に関するポリシおよびこのフローの送信元に関するポリシが設定されていたならば、これらをマージしたポリシをこのフローに適用する。
ポリシ管理装置4は、送信元と宛先のポリシをマージしてアプリケーション識別装置3Bに設定する。アプリケーション識別装置3Bは、ポリシ適用処理部32Bにより、マージされたポリシを適用することができる。
ステップS40において、ポリシ管理装置4Bは、設定する各ポリシをアプリケーション識別装置3Bに設定する。ここでポリシ管理装置4Bが設定するのは、送信元ポリシと宛先ポリシとである。
ステップS41において、ポリシ管理装置4Bは、設定する各ポリシのうち2個の組合せを抽出する。例えば図6の例で、ポリシ管理装置4Bは、ポリシAとポリシCの組合せ、ポリシCとポリシDの組合せ、ポリシCとポリシDの組合せの3個を抽出する。
ステップS42において、ポリシ管理装置4Bは、抽出した2個のポリシをマージする。
ステップS43において、ポリシ管理装置4Bは、マージした各ポリシを、アプリケーション識別装置3Bに設定する。
2E−1,2E−2 DPI装置
21−1,21−2,21C−1,21C−2,21C-3,21C−4 パケットヘッダ識別制御部
3,3B,3C アプリケーション識別装置
3E−1,3E−2 アプリケーション識別部
31 通信部
32,32B ポリシ適用処理部
33 タグ付与部
34 記憶部
4,4B ポリシ管理装置
5−1,5−2,5−3,5−4 ユーザ端末
7 サーバ
9 コア網
Claims (6)
- フローを構成するパケットのデータ部分を識別するアプリケーション識別装置と、
設定されたポリシに合致するフローを前記アプリケーション識別装置へ転送して、前記アプリケーション識別装置を共用する複数のパケットヘッダ識別制御部と、
を備えるアプリケーション識別システムの転送削減方法であって、
前記アプリケーション識別装置は、
フローの宛先に合致するポリシを当該フローに適用したならば、当該フローに宛先ポリシ適用済みタグを付与し、
前記パケットヘッダ識別制御部は、
フローを構成するパケットに前記宛先ポリシ適用済みタグが付与されていたならば、当該宛先ポリシ適用済みタグを削除して、当該フローをルーティングに基づき転送し、
フローを構成するパケットに前記宛先ポリシ適用済みタグが付与されていなかったならば、当該フローが設定されたポリシに合致するか否かを判断し、設定されたポリシに合致するならば、前記アプリケーション識別装置へ転送する、
ことを特徴とするアプリケーション識別システムの転送削減方法。 - 前記アプリケーション識別装置は、
送信元に関するポリシと宛先に関するポリシとをマージして適用する、
ことを特徴とする請求項1に記載のアプリケーション識別システムの転送削減方法。 - 前記アプリケーション識別システムは、送信元に関するポリシと宛先に関するポリシとを予めマージして、前記アプリケーション識別装置に設定するポリシ管理装置を備えており、
前記アプリケーション識別装置は、予めマージされたポリシをフローに適用する、
ことを特徴とする請求項1に記載のアプリケーション識別システムの転送削減方法。 - パケットヘッダ識別制御部から転送されるフローを受信し、前記パケットヘッダ識別制御部にフローを転送する通信部と、
当該フローの送信元に関するポリシが設定されていたならば、このポリシを当該フローに適用し、当該フローの宛先に関するポリシが設定されていたならば、このポリシを当該フローに適用するポリシ適用処理部と、
宛先に関するポリシを適用したフローに、宛先ポリシ適用済みタグを付与するタグ付与部と、
各ポリシを格納する記憶部と、
を備えるアプリケーション識別装置。 - 前記ポリシ適用処理部は、
前記フローの宛先に関するポリシおよび当該フローの送信元に関するポリシが設定されていたならば、これらをマージしたポリシを当該フローに適用する、
ことを特徴とする請求項4に記載のアプリケーション識別装置。 - パケットヘッダ識別制御部から転送されるフローを受信し、
当該フローの送信元に関するポリシが設定されていたならば、このポリシを当該フローに適用し、当該フローの宛先に関するポリシが設定されていたならば、このポリシを当該フローに適用して宛先ポリシ適用済みタグを付与し、
当該フローを前記パケットヘッダ識別制御部に転送する処理を、
アプリケーション識別装置に実行させるためのアプリケーション識別プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014034741A JP6069236B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014034741A JP6069236B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015162692A JP2015162692A (ja) | 2015-09-07 |
JP6069236B2 true JP6069236B2 (ja) | 2017-02-01 |
Family
ID=54185550
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014034741A Active JP6069236B2 (ja) | 2014-02-25 | 2014-02-25 | アプリケーション識別システムの転送削減方法、アプリケーション識別装置およびアプリケーション識別プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6069236B2 (ja) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5229109B2 (ja) * | 2001-03-27 | 2013-07-03 | 富士通株式会社 | パケット中継処理装置 |
JP3878193B2 (ja) * | 2002-06-18 | 2007-02-07 | 株式会社エヌ・ティ・ティ・ドコモ | ゲートウェイ装置及び当該ゲートウェイ装置における信号処理方法 |
GB0517304D0 (en) * | 2005-08-23 | 2005-10-05 | Netronome Systems Inc | A system and method for processing and forwarding transmitted information |
JP2008011536A (ja) * | 2006-06-26 | 2008-01-17 | Gemini Mobile Technologies Inc | 無線ネットワークにおけるオンライン・ゲームのための方法、クライアント・デバイス、および中継ノード |
WO2009049685A1 (en) * | 2007-10-19 | 2009-04-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Establishing a multimedia communications session |
-
2014
- 2014-02-25 JP JP2014034741A patent/JP6069236B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015162692A (ja) | 2015-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10750387B2 (en) | Configuration of rules in a network visibility system | |
EP3069484B1 (en) | Shortening of service paths in service chains in a communications network | |
Qi et al. | Assessing container network interface plugins: Functionality, performance, and scalability | |
US10057126B2 (en) | Configuration of a network visibility system | |
US20210160181A1 (en) | Architecture for a network visibility system | |
US10530688B2 (en) | Configuration of load-sharing components of a network visibility router in a network visibility system | |
CN102291455B (zh) | 分布式集群处理***及其报文处理方法 | |
US20140192808A1 (en) | Tunnel sub-interface using ip header field | |
KR20150016309A (ko) | 팻-트리 라우팅에 기반하여 별개의 인피니밴드 서브넷들 사이에서 트래픽을 라우팅하기 위한 시스템 및 방법 | |
EP3099032A1 (en) | A load balancing method, device, system and computer storage medium | |
JP5861772B2 (ja) | ネットワークアプライアンス冗長化システム、制御装置、ネットワークアプライアンス冗長化方法及びプログラム | |
US20130091264A1 (en) | Dynamic session migration between network security gateways | |
US9479596B2 (en) | Pairing internal network identifier with external network identifier | |
US11362933B2 (en) | Methods and systems for sending packets through a plurality of tunnels | |
JP6070700B2 (ja) | パケット転送システム、制御装置、パケット転送方法及びプログラム | |
CN113395212B (zh) | 网络装置及其操作方法和非暂时性计算机可读介质 | |
WO2015196923A1 (zh) | 一种发送信息的方法和网络装置 | |
CN103685032B (zh) | 报文转发方法及网络地址转换服务器 | |
US9100342B1 (en) | External service plane | |
JP2020522202A (ja) | レイヤ3通信実施 | |
CN110391961A (zh) | 一种隧道绑定方法、设备及*** | |
US10177935B2 (en) | Data transfer system, data transfer server, data transfer method, and program recording medium | |
CN106209634B (zh) | 地址映射关系的学习方法及装置 | |
WO2019240158A1 (ja) | 通信システム及び通信方法 | |
JP6181577B2 (ja) | ポリシー制御システム、および、ポリシー制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160226 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161128 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161220 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161226 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6069236 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |