JP6453154B2 - ネットワーク管理システム及びネットワーク管理方法 - Google Patents

ネットワーク管理システム及びネットワーク管理方法 Download PDF

Info

Publication number
JP6453154B2
JP6453154B2 JP2015092877A JP2015092877A JP6453154B2 JP 6453154 B2 JP6453154 B2 JP 6453154B2 JP 2015092877 A JP2015092877 A JP 2015092877A JP 2015092877 A JP2015092877 A JP 2015092877A JP 6453154 B2 JP6453154 B2 JP 6453154B2
Authority
JP
Japan
Prior art keywords
management system
network
management
information
connection information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015092877A
Other languages
English (en)
Other versions
JP2016213544A (ja
Inventor
篤 谷口
篤 谷口
清水 敬司
敬司 清水
規夫 坂井田
規夫 坂井田
太一 川幡
太一 川幡
雅裕 吉田
雅裕 吉田
敬広 山崎
敬広 山崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015092877A priority Critical patent/JP6453154B2/ja
Publication of JP2016213544A publication Critical patent/JP2016213544A/ja
Application granted granted Critical
Publication of JP6453154B2 publication Critical patent/JP6453154B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク管理システム及びネットワーク管理方法に関する。
本発明は、サービスノードやネットワークを管理する統合管理システム、と管理システムにおいて統合管理システムと隣接する管理ドメインの3者間で2段階での認証を用いることにより、統合管理システムが複数の管理システムにまたがったネットワークについても確実に管理し、高信頼かつ柔軟なネットワーク管理を実現する技術に関する。
現在、NWの仮想化技術やNWアプライアンスの仮想化技術としてSDN(Software Defined Networking)やNFV(Network Function Virtualisation)とが検討がされている。
SDNはONF(Open Networking Foundation)(例えば、非特許文献1、参照。)で標準化が進められている。利用者は、各拠点に配置されたSDNネットワーク装置を管理するSDNコントローラからエンドエンドでパスの開通、変更、削除等の設定をすることができ、SO(Service Order)の自動化や構築時間の短縮といったメリットがある。
また、ネットワーク機器は仮想化技術により、ユーザに割り当てられた仮想的なネットワーク毎に分割され、物理構成によらないオペレーションが可能になるといったメリットがある。NFVはETSI ISG NFV(例えば、非特許文献2、参照。)で標準化が進められており、サーバの仮想化技術により仮想化されたネットワークサービスの自動プロビジョニングのための標準化が検討されている。
Open network foundation https://www.opennetworking.org/ ETSI ISG NFV http://www.etsi.org/technologies−clusters/technologies/nfv
図1は関連技術を示す構成図である。ユーザ11は、統合管理システム12にドメイン17を跨った仮想化サービスの生成を要求する。要求を受けた統合管理システム12は、ドメイン17の情報を管理する構成管理部19のデータから経路計算部13を使って、どのドメイン17間をどのようなポリシーで接続するとユーザ11が生成したポリシー・サービス要件を満たせるのかを計算する。この計算の結果によって得られた該当のドメイン17を管理する管理システム14に対して、統合管理システム12は、ドメイン間を接続する仮想化サービスの生成を要求する。要求を受け取った管理システム14はドメイン内にサービスノード16を生成し、ドメイン間を接続するための仮想NW(ネットワーク)15を生成する。これによってドメイン間を跨った仮想化サービス上でサービスノード16間の通信が可能となる。この場合、各ドメイン17間は、IP(Internet Protocol)で接続できていることが前提であり、事前にドメイン17間を接続するノード18の設定がされていることが必要である。
図14は、ドメイン間を接続するノード18で一般的に必要な設定項目である。ノード間で接続するインターフェイスの設定、BGP(Border Gateway Protocol)等のドメイン間の接続情報を交換するためのドメイン間接続情報交換の設定、ドメイン間を接続するノード間で通信するための隣接ノード間の接続設定等がある。このうち、ドメイン間接続情報交換の設定や隣接ノード間の接続設定は、ネットワークのリソースを払い出す度に設定の変更が発生し、固定的に隣接ノードに設定してしまうとネットワークリソースの効率的な活用ができない。また、ドメイン接続情報交換の設定は、ドメイン間で経路情報を交換するための設定であるため、ドメイン間を跨ってEnd−to―Endで最適な経路になっているとは限らないという問題も有する。
また、統合管理システム12が管理ドメインの全ての構成管理部19を持つと、統合管理システム12が管理するデータ量が膨大となり、柔軟な運用が困難になる。また、統合管理システム12の肥大化・複雑化は運用を困難にし、管理者に高度なスキルやノウハウが必要となる。
上記の課題は、監視システム14側に構成管理部19を持ち、管理システム14間で情報を交換するためのインターフェイスを作成し、相互で情報を交換することによって、統合管理システム12に負担をかけずに解決できるが、複数事業者間の管理システムを接続してサービスを提供することを考えると、事業者間で構成管理情報を共有することは情報資産の機密性の観点で現実的ではない。
前記課題を解決するために、本発明は、統合管理システムがネットワーク・ネットワーク間接続情報を信頼性の高い通信により管理システム間で交換し、信頼性の高い安全な通信が可能となる通信システム及び方法を提供することを目的とする。
上記目的を達成するため、本発明では、サービスノードやネットワークを管理する統合管理システムと、管理システムにおいて統合管理システムと、隣接する管理ドメイン、との3者間で2段階での認証を用いてネットワーク管理を行う。
具体的には、本発明に係るネットワーク管理システムは、
サービスノード間のネットワークを管理する各ドメインにそれぞれ配置される複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムを備え、
前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
共有したネットワーク・ネットワーク間接続情報に応じて前記複数の管理システム及び前記統合管理システムで選択的に接続経路を形成することを特徴とする。
本発明に係るネットワーク管理システムでは、
前記統合管理システムは、
ユーザ端末が送出したポリシー要件及びサービス要件を基に、前記統合管理システムが作成したネットワーク・ネットワーク間接続情報と前記ネットワーク・ネットワーク間接続情報を暗号、復号するための作成した暗号鍵と復号鍵を追加し、それぞれの前記管理システムに送出し、
前記管理システムは、
前記統合管理システムが送出した前記ネットワーク・ネットワーク間接続情報を受け取り、ドメイン間で設定が必要なネットワーク・ネットワーク間接続情報を暗号鍵で暗号化し、前記統合管理システム、または隣接ノードを介して異なる管理ドメインを管理する各管理システムに送出し、前記ネットワーク・ネットワーク間接続情報に追加されたネットワーク・ネットワーク間接続情報に応じて選択的に接続経路を形成してもよい。
本発明に係るネットワーク管理システムでは、
前記統合管理システムは、
統合管理システムが生成したネットワーク・ネットワーク間接続情報と管理システムが生成したネットワーク・ネットワーク間接続情報を前記管理システムと交換する場合、
前記複数の管理システムのうち一方の管理システム及び前記統合管理システム間で1段階認証を実行し、前記一方の管理システム及び前記一方の管理システムに隣接して接続された他方の管理システム間で2段階認証を実行してもよい。
本発明に係る管理ネットワークシステムでは、
前記統合管理システムは、
前記ユーザ端末で生成したポリシー要件及びサービス要件を満たす経路を計算する経路計算部と、
前記経路計算部の計算結果によって得られた管理ドメイン間を接続する接続要求を管理システムに通知する接続要求通知部と、
ドメイン間の接続情報を管理するドメイン情報管理部と、
暗号鍵と復号鍵を生成し、各々の管理システムに配信する認証鍵生成部と、
前記管理システムと送受信を行う統合管理システム処理部を備え、
前記管理システムは、
前記統合管理システム送受信部と送受信を行う管理システム処理部と、
ドメイン内のネットワーク毎の構成管理情報を管理する構成管理部と、
前記接続要求の通知を受信するとともに、前記サービス要件に応じて接続先であるドメイン内のリソースの予約し、リソースの予約情報と公開鍵を前記統合管理システム処理部に送信する情報送信部と、
前記統合管理部から取得したネットワーク・ネットワーク間接続情報を基に管理ドメインのノードの情報設定を行うドメイン内ノード設定部と、
前記ネットワーク・ネットワーク間接続情報に予め記載された接続先管理システムと鍵交換を行い、お互いのネットワーク・ネットワーク間接続情報の鍵認証を行う鍵認証部と、
前記ネットワーク・ネットワーク間接続情報を基に管理ドメインの隣接ノードの情報設定を行う隣接ノード設定部と、
前記隣接ノード設定部が行った情報設定後、前記構成管理部に保存し、統合管理システム処理部に通知する設定通知部と、を備え、
前記構成管理部は、前記ネットワーク・ネットワーク間接続情報を保存してもよい。
本発明に係る管理ネットワークシステムでは、
前記管理システムは、
ドメイン間でネットワーク接続する場合、前記ネットワーク・ネットワーク間接続情報として、BGP(Border Gateway Protocol)のNLRI(Network Layer Reachability Information)のネットワーク層到着可能性情報を用いて、前記ネットワーク層到着可能性情報を管理システム間で共有してもよい。
具体的には、本発明に係るネットワーク管理方法は、
サービスノード間のネットワークを管理する各ドメインにそれぞれ配置される複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムを備え、
前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
共有したネットワーク・ネットワーク間接続情報に応じて前記複数の管理システム及び前記統合管理システムで選択的に接続経路の形成を行う。
本発明に係るネットワーク管理方法では、
前記統合管理システムは、
ユーザ端末が送出したポリシー要件及びサービス要件を基に前記統合管理システムがネットワーク・ネットワーク間接続情報と前記ネットワーク・ネットワーク間接続情報を暗号、復号するための暗号鍵と復号鍵を追加し、ネットワーク・ネットワーク間接続情報としてそれぞれの前記管理システムに送出し、
前記管理システムは、
前記統合管理システムが送出した前記ネットワーク・ネットワーク間接続情報を受け取り、ドメイン間で設定が必要なネットワーク・ネットワーク間接続情報を暗号鍵で暗号化し、前記統合管理システム、または隣接ノードを介して異なる管理ドメインを管理する各管理システムに送出し、前記ネットワーク・ネットワーク間接続情報に追加されたネットワーク・ネットワーク間接続情報に応じて選択的に接続経路の形成を行ってもよい。
本発明に係るネットワーク管理方法では、
前記統合管理システム及び前記管理システムは、
統合管理システムが生成したネットワーク・ネットワーク間接続情報と管理システムが生成したネットワーク・ネットワーク間接続情報を前記管理システムと交換する場合、
前記複数の管理システムのうち一方の管理システム及び前記統合管理システム間で1段階認証を行い、前記一方の管理システム及び前記一方の管理システムに隣接して接続された他方の管理システム間で2段階認証を行ってもよい。
本発明に係るネットワーク管理方法では、
サービスノード間のネットワークを管理する各ドメインにそれぞれ配置される複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムを備えるネットワーク管理システムのネットワーク管理方法においてネットワーク状態を変更する場合、
生成時のネットワーク識別情報を前記統合管理システムが管理システムに通知する識別情報通知手順と、
前記管理システムで、前記識別情報通知手順で通知された前記ネットワーク識別情報と当該管理システムのネットワーク識別情報とを比較するとともにリソースを確認し、前記統合管理システムに応答する応答手順と、
前記管理システムに対して、前記統合管理システムが設定要求を行う設定要求手順と、
管理システムが接続設定に基づき設定処理を行う設定処理手順と、を行ってもよい。
本発明に係るネットワーク管理方法では、
各管理システムに収容されたそれぞれの隣接ノードは、管理システム間で共有したネットワーク・ネットワーク間接続情報により、前記各管理システムのうち互いに対向する管理システム同士が管理ドメインとの隣接ノードの切替処理設定を共有させる設定共有手順と、
管理ドメインの隣接ノード間で監視パケットを送り疎通性を隣接ノード又は管理システムで確認する監視機能確認手順と、
前記監視パケットが届かない場合に、事前に認証された管理システム間の通信によって管理ドメイン間でネットワークの設定状態を管理システムで確認する設定状態確認手順と、
前記設定状態確認手順で確認した前記設定状態の変化を確認した場合は、前記統合管理システムに通知しネットワーク間接続情報を更新する更新手順と、を行ってもよい。
本発明に係るネットワーク管理方法では、
統合管理システムのネットワーク・ネットワーク間接続情報により管理ドメインを跨るネットワークのネットワーク識別番号の一覧を隣接ノードで取得する識別番号取得手順と、
管理システム間で共有したネットワーク・ネットワーク間接続情報により管理ドメインに流入したパケットの情報と隣接ノードでの接続設定を取得するネットワーク・ネットワーク間接続情報取得手順と、
管理ドメイン内から流入したパケットのヘッダを、隣接ノードの有するパケット解析部で解析するヘッダ解析手順と、を行い、
前記ネットワーク・ネットワーク間接続情報に記述された前記パケットの情報と一致するパケットについては、前記ネットワーク・ネットワーク間接続情報に応じて前記パケットを宛先ドメインに流通するドメイン流通手順を行う、又は、トンネル識別番号をキーとして負荷を分散する負荷分散手順
を行う、
前記トンネル識別番号と一致しないパケットについては、管理ドメインに確認又は廃棄するドメイン処理手順と、を行ってもよい。
本発明に係るネットワーク管理方法では、
統合管理システムは
ユーザのパケットを暗号又は復号化するための関数を送信側の管理システムと受信側の管理システムにそれぞれ通知する通知手順と、
前記送信側の管理システムは前記統合管理システムから取得した暗号化するための関数に応じてサービスノードからドメインに流入したパケットの設定処理を行う暗号処理手順と、
前記受信側の管理システムは統合管理システムから取得した復号化するための関数に応じてサービスノードを収容するドメインに流入するパケットを復号する復号処理手順と、
を行ってもよい。
本発明に係るネットワーク管理方法では、
ドメイン間でネットワーク接続する場合、前記管理システムは、前記ネットワーク・ネットワーク間接続情報として、BGP(Border Gateway Protocol)のNLRI(Network Layer Reachability Information)のネットワーク層到着可能性情報を用いて、前記ネットワーク層到着可能性情報を管理システム間で共有を行ってもよい。
なお、上記各発明は、可能な限り組み合わせることができる。
本発明によれば、統合管理システムが暗号化・復号化関数およびネットワーク・ネットワーク間接続情報を信頼性の高い通信により管理システムを介してサービスノードに提供され、ユーザは管理システム間で正しく認証されたフローのみ通信でき、信頼性の高い安全な通信が可能となる通信システム及び方法を提供することができる。
関連技術に係る統合管理システム及び管理システムを説明するための構成図の一例を示す。 本実施形態に係るネットワーク管理システムを説明するための構成図の一例を示す。 実施形態1に係るネットワーク管理システムを説明するための構成図の一例を示す。 実施形態1のサービスノード間を接続する時のシーケンスを示す。 実施形態1のサービスノード間を接続する時のシーケンスを示す。 実施形態1のサービスノード間でのリソースの増設を行う時のシーケンスを示す。 実施形態1のサービスノード間でのリソースの増設を行う時のシーケンスを示す。 実施形態2の隣接ノード32を説明するための構成図の一例を示す。 実施形態2のノード冗長を説明するための構成図の一例を示す。 実施形態2の監視機能部を説明するためのフローを示す。 実施形態2のトンネル解析部を説明するための構成図の一例を示す。 実施形態3のユーザ通信の2段階認証を説明するためのフローを示す。 実施形態4のoverlayでの接続形態を説明する図を示す。 実施形態又は関連技術に係る既存のドメイン間で交換する設定項目例を示す。 本実施形態に係るドメイン間で交換する設定項目例を示す。 本実施形態に係る管理システムから隣接ノードへの設定例を示す。
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。なお、本発明は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本発明は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。
(実施形態1)
本実施形態に係るネットワーク管理システム21は統合管理システム22及び管理システム26を備える。図2では本発明であるネットワーク管理システム21の実施形態1の管理システムを説明する。統合管理システム22は管理ドメイン単位での経路を計算する経路計算部23、管理ドメイン毎のドメイン情報及びネットワーク毎のネットワーク間接続情報であるネットワーク・ネットワーク間接続情報を関連付けて管理するドメイン情報管理部24、ネットワーク・ネットワーク間接続情報の暗号化を行う認証鍵生成部25によって構成される。また、管理システム26はドメイン内の構成管理情報を管理する構成管理部27によって構成される。
本実施形態に係るネットワーク管理システム21におけるネットワーク・ネットワーク間接続情報の流れの詳細を図3に示す。図3では、統合管理システム22が備える経路計算部23は、どのドメインでどのような設定で繋ぐのかを計算する(ステップS011)。次に1次認証を行う統合管理システム22は、該当の管理システム26のリソース確認を行う(ステップS012)。統合管理システム22は、管理システム26と事前に公開鍵によって通信が可能になっているとする。ここで、以下に本実施形態に係る接続の場合における、ドメイン間で交換するネットワーク・ネットワーク識別情報を図15に示す。本実施形態における接続の場合、隣接ノード32が通信する最小限の設定のみ共通で事前に行い(1〜2.に該当)、それ以外は仮想NW15毎に生成する度に設定を行う。統合管理システムはEnd−to−Endで管理するための顧客識別IDと識別ポリシーを提供する(3〜4.に該当)。ドメイン間では各ドメインが設定した情報を交換する(5〜9.に該当)。
統合管理システム22は、認証鍵生成部25によって仮想NW毎、かつドメイン間毎で暗号化をする鍵を生成する(ステップS013)。管理システムの情報を暗号化する鍵を暗号鍵A、暗号化を基に戻す鍵を復号鍵Aとし、隣接する他の管理システムの情報を暗号化する鍵を暗号鍵B、暗号化を基に戻す鍵を復号鍵Bとする。統合管理システム22は管理システム26用のネットワーク・ネットワーク間接続情報(図15の3〜4.に該当)、暗号化鍵A、復号鍵B、隣接している他の管理システム26のIPアドレス情報等を公開鍵で暗号化して管理ドメイン26に通知する(ステップS014)。統合管理システム22は同様に隣接する他の管理システム26に対してもネットワーク・ネットワーク間接続情報(図15の3〜4.に該当)、暗号化鍵B、復号鍵A、隣接している管理システム26のIPアドレス情報を通知する。管理システム26は、秘密鍵を用いて前記情報を復号化し、管理システム26は統合管理システムから受信したネットワーク・ネットワーク識別情報(図15の3〜4.)に基づいてドメイン内の設定を行う。また、隣接ノードの設定のために必要なネットワーク・ネットワーク識別情報(図15の5〜9.)を暗号鍵Aで暗号化する。隣接している他の管理システム26も同様にネットワーク・ネットワーク識別情報(図15の5〜9.)を暗号鍵Bで暗号化する。管理システム26は隣接している他の管理システム26と隣接ノード32間経由で通信を行い、認証を行う。認証後、管理システム26は、暗号鍵Aで暗号化されたネットワーク・ネットワーク接続情報(図15の5〜9.に該当)を隣接している他の管理ドメインに送信する。隣接している他の管理システム26は復号鍵Aを用いてネットワーク・ネットワーク接続情報を復号し、隣接ノード32の設定を行う。隣接している他の管理システム26も同様にネットワーク・ネットワーク接続情報を復号鍵Bで復号し、隣接ノード32の設定を行う(ステップS015)。ここでは隣接ノード32経由でネットワーク・ネットワーク接続情報を交換したが、統合管理システム経由で管理システム同士がネットワーク・ネットワーク接続情報を交換するのでもよい。
図4は本発明の実施形態1のサービスノード28間を接続する時のシーケンスを示す。統合管理システム21が管理システム#1、管理システム#2に属するサービスノード28間を接続するネットワークを開通する例を示す。ドメイン間の接続は基本的なインターフェイスの設定やドメイン接続情報の共通部分の設定のみ(図15の1〜2.)が設定されている。
経路計算部23は、ユーザ11が設定したポリシーやサービス要件を満たすためにはどの管理ドメイン間を接続してサービスノード28間を接続するのかを計算する。この時に各パラメータの情報はドメイン情報管理部24からドメイン情報を取得してサービス要件を満たす経路を計算する。ドメイン情報には、管理システムのステータス、隣接ノード32間のステータス等の情報が含まれる。
次に統合管理システム22は管理システム#1、#2に対してサービスノード28の新規配備のリソース確認要求を行う(ステップS101及び103)。統合管理システム22と管理システム26は事前に公開鍵認証によって認証されている。管理システム#1、#2は内部リソースを確認し、リソースが空いていればその旨を回答する(ステップS102及び104)。リソースが空いていなければ統合管理システム22は再度経路計算を行う。
統合管理システム22は認証鍵生成部23で仮想NW15や隣接ノード18毎に生成した暗号鍵A、Bと復号鍵A、B(暗号鍵Aと復号鍵A、暗号鍵Bと復号鍵Bがセット)とネットワーク・ネットワーク間接続情報(図15の3〜4.)を作成する。暗号鍵A、B、復号鍵A、B、ネットワーク・ネットワーク間接続情報はネットワークを生成する毎に生成される。
統合管理システム22は管理システム#1、#2に対して仮想NW15とサービスノード28の新規配備要求を送る(ステップS105及び106)。管理システム#1には暗号鍵Aと復号鍵Bとネットワーク・ネットワーク間接続情報(図15の3〜4.)を、管理システム#2には暗号鍵Bと復号鍵Aとネットワーク・ネットワーク間接続情報(図15の3〜4.)を通知する。これは統合管理システム22と管理システム26間の1段目の認証である。
管理システム#1は統合管理システム22の要件に基づいてドメイン内のサービスノード28の新規配備と仮想NW15の設定を行うのと同時に、統合管理システム22から提供された暗号鍵Aを使ってネットワーク・ネットワーク間接続情報(図15の5〜9.)の暗号化を行う。管理システム#2も同様にドメイン内のサービスノード28の新規配備と仮想NW15の設定を行うのと同時に、暗号鍵Bを使ってネットワーク・ネットワーク間接続情報(図15の5〜9.)の暗号化を行う。
管理システム#1と管理システム#2はネットワーク・ネットワーク間接続情報(図15の5〜9.)を隣接ノード32経由で、もしくは統合管理システム22経由で交換する。管理システム#1、#2は、それぞれネットワーク・ネットワーク間接続情報を復号鍵B、復号鍵Aで復号する。(ステップS107及び108)。これが2段目の認証である。
次に管理システム26は統合管理システム22から受信したネットワーク・ネットワーク接続情報(図15の5〜9.)を基にネットワークの設定を行う。図16に管理システム26から隣接ノード32への設定例を示す。管理システム1,2はIP−segment−listとAccess list等のネットワーク・ネットワーク接続情報を共有する。それに基づいて管理システム1は隣接ノード32にbgpの設定やAccess listの設定等を行う。ネットワーク・ネットワーク接続情報はBGPのNLRI(Network Layer Reachability Information)に変換し、管理システム間で情報交換をしてもよい。
管理システム#1はネットワークの設定後、設定後の構成情報を構成管理部27に保存し、統合管理システム22に通知する(ステップS109及び110)。
以上によりセキュアな通信で管理システム26間の情報をやりとりでき、管理ドメインに属さない管理ドメインの間の制御も統合管理システム22により可能であり、かつ、管理システム26はその内部情報を統合管理システム22に通知する必要がないので、統合管理システム22の負担を少なくできる。なお、図5は図4に示すシーケンスの変形例で、複数の統合管理システムの管理システムでネットワークサービスを実現する場合のシーケンスある。本実施形態では、図5におけるステップS201〜214に従って動作してもよい。
図6は本発明の実施形態1のサービスノード28間でのリソースの増設を行う時のシーケンスを示す。統合管理システム22は管理システム26に対して上述したネットワーク・ネットワーク間接続情報の顧客識別IDを指定して管理システム#1に対してサービスノード28から隣接ノード32まで仮想NW15に追加できるリソースがあるかどうかの確認要求を行う(ステップS301)。
管理システム#1はリソースの確認ができた場合に統合管理システム22に対してリソース確認要求応答を返す(ステップS302)。管理システム#2についても同様に行い(ステップS303及び304、)、リソースが確保できた場合、統合管理システム22は顧客識別IDを指定して管理システム#1、2にサービスノード28のリソース割当要求を行う(ステップS305及び306)。この時の認証は上記の2段階認証の仕組みを使ってもよい。
管理システム#1はサービスノード28の新規配備を行い、ネットワークの設定を行う。次に管理システム#1#2は前述の暗号鍵を使い、隣接ノード32に設定するネットワーク・ネットワーク間接続情報を交換する(ステップS307、S308)。隣接ノードに設定後、ネットワーク・ネットワーク間接続情報を更新しノードリソース割当の完了を統合管理システム22に通知する(ステップS309)。管理システム#2に対しても同様に設定を行うことによりサービスノード間でのリソースの増設が可能となる(ステップS310)。なお、図7は図6に示すシーケンスの変形例で、統合管理システムが複数の時の管理システム間でサービスの帯域変更を行う例である。本実施形態では、図7におけるステップS401〜413に従って動作してもよい。
(実施形態2)
図8に本発明の実施形態2の隣接ノード32を説明するための図を示す。隣接ノード32は監視機能部34、トンネル解析部35を備え、リンク38で他方の隣接ノード32と接続される。なお、図8の構成図におけるこれらの機能は隣接ノード32でなく管理システム26にあってもよい。その場合は、監視機能部34であれば監視パケットを管理システム26から隣接ノード32に送ってもよいし、トンネル解析部35に関しては隣接ノード32から管理システム26にパケットを送ることにより管理システム26でパケットを解析してもよい。
図9に本発明の実施形態2のノード冗長を説明するための図を示す。管理ドメイン間の経路としてノード内で図8のように複数のリンク38があり、そこで冗長化されている場合もあれば図9のように管理ドメイン間に複数の隣接ノード32がある可能性もある。どの隣接ノード32を使うか、どのように冗長化するかをネットワーク・ネットワーク間接続情報に登録しておく。
図10に本発明の実施形態2の監視機能部34を説明するためのフローを示す。監視機能部34は監視パケットを生成し、隣接ノード32間で監視を行う(ステップS501及び502)。この時の監視方法は図15の9.に従う。隣接ノード32間の監視パケットが届かない場合には隣接するノード間で共有したネットワーク・ネットワーク間接続情報により登録された図15の7.に記載の復旧方法(構築した予備系のルートに切替える(ステップS503)、別の隣接ノード32からの経路に切り替える等の切替等)で復旧を行う。具体的には、登録されている切替がある場合、登録されている切替の実行処理を行う(ステップS504及び505)。登録されている切替がない場合、管理システムに問い合わせをするための問合せ処理を行う(ステップS506及び507)。
また隣接ノード32はトラヒックが集中するのを防ぐため図15の8.に記載の方法により複数リンクや複数ノードでトラヒックの負荷分散を実施する。この時、アドレスに基づいて分散させる方式(ハッシュ化など)では、同一のアドレスセグメントの場合は適切に分散されないので、隣接ノード32でパケットの解析を行い、制御を行う。ドメイン間でネットワーク接続する場合、管理システム26は、ネットワーク・ネットワーク間接続情報として、通信を行うパケットのあて先を正確に把握及び維持するために用いる経路制御を行うためのプロトコルであるBGP(Border Gateway Protocol)を用いる。ネットワーク・ネットワーク間接続情報は、BGPのNLRI(Network Layer Reachability Information)としてネットワーク層到着可能性情報が用いられ、ネットワーク層到着可能性情報を管理システム間で共有し、ネットワーク層到着可能性情報の共有及び交換を管理システム26で行う。
図11に本発明の実施形態2のトンネル解析部35を説明するための図を示す。隣接ノード32は事前に2段階認証により管理システム26が取得したネットワーク・ネットワーク間接続情報により、ドメイン間を通過するトンネルの種類(VXLAN)とVXLAN IDを図15の6.で取得する。トンネル解析部35は隣接ノード32に入ってきたパケットのVXLANヘッダまで含めて解析し(ステップS602)、ドメイン間を通過するトンネルと指定されたVXLAN_IDの場合は指定されたドメインに転送する(ステップS603及び604)。具体的には、登録されているトンネル番号と一致する場合、宛先ドメインに転送処理を行う(ステップS604及び605)。登録されているトンネル番号と一致しない場合、管理ドメインに確認するための確認処理を行う(ステップS606及び607)。もちろんIPルーティングに従いそのまま転送してもよい。
その際、VXLAN_IDをキーに加えてハッシュ化することでネットワーク・ネットワーク間を適切に分散する。また、登録されていないVXLAN IDの場合は管理システム26に問い合わせるか、破棄することで余計なトラヒックが他のドメインに流れるのを防ぐことができる。ヘッダ全体でハッシュ化してもよい。
(実施形態3)
ユーザ11の通信に本発明の2段階認証を使うことにより、より信頼性の高い通信を実現可能である。図12に本発明の実施形態3のユーザ通信の2段階認証を説明するためのフローを示す。収容ノードはユーザ11が通信を行うサービスノード28を収容するノード11を示す。本実施形態に係るネットワーク管理システム21では、図12のフローに従いステップS701〜711を実行してもよい。
ユーザ11は統合管理システム22に対してパス要求時に暗号化されたパスを要求するとする。統合管理システム22はネットワーク・ネットワーク間接続情報と一緒に暗号化・復号化する手順を管理システム26に通知し、図4と同様に2段階認証によりパスの開通をする。
送信側の収容ノードではパケットを転送する時に管理システム26から取得した暗号する手順によってパケットを暗号化して転送する。受信側では同様に管理システム26から取得した復号化する手順によって、パケットを復元し対向のサービスノードに配信する。
既存の方式では、ユーザ端末間でVPNを張って通信を暗号化する場合、最初の認証で相手側に鍵を渡す手段が必要だが、この鍵の交換を通信経路とは別の手段を用いて行わなければ鍵を受け取った相手端末が正しい相手だと保証できず、通信の信頼性がなくなる。
そこで、本発明の場合は、その鍵の交換を統合管理システムと管理システム26が行うことにより、通信経路とは別経路での認証が可能となり、管理システム26の登録と、通信経路の認証が正しく一致することで初めて通信が成立する。
これにより、高信頼なパスの構築が可能である。更に通常の通信の暗号化の仕組みでは暗号化・復号化するための追加のヘッダが必要であるが、本発明ではヘッダは必要ない。また、暗号化、復号化の処理が通常のスイッチのチップで実現できるため高速に処理ができる。上記の例ではユーザ通信を示したが、例えばエンド・ツー・エンドでユーザの通信路で監視パケットを流す場合、監視パケットの情報を上述の方法で暗号化してもよい。
(実施形態4)
図13に本発明の実施形態4のoverlayでの接続形態を説明する図を示す。管理システム26によっては直接接続していない可能性もある。
例えば管理システム#1と管理システム#3とは、管理ドメイン#2をトランジットして接続するしかでしか方法がないとする。
この場合は管理ドメイン#1と管理ドメイン#2の間の隣接ノード32は既存と同じようにBGPで接続する。管理ドメイン#2と管理ドメイン#3の間の隣接ノード32も同様にBGPで接続する。そのあとに管理ドメイン#1と管理ドメイン#3との間でオーバーレイトンネルを張ることにより仮想的に管理ドメイン#1の隣接ノード32と管理ドメイン#3の隣接ノード32が仮想的に直接接続されている状態となる。これにより管理システム26が対応していない管理ドメインを接続した場合でも同様の機能を実現できる。
以下に、本発明に係るネットワーク管理システム21及びネットワーク管理方法の構成例と効果を説明する。なお、上述した実施形態及び以下に説明する構成例では、統合管理システム22が備えるドメイン情報管理部24が保持及び管理するネットワーク・ネットワーク間接続情報は第1のネットワーク間接続情報とし、管理システム26が備えるドメイン情報管理部27が保持及び管理するネットワーク・ネットワーク間接続情報は第2のネットワーク間接続情報として区別して用いられてもよい。
本実施形態において、ネットワーク管理システム21は、サービスノード28間のネットワークを管理する管理システム26と、当該管理システム26を統合的に管理する統合管理システム22において、当該統合管理システム22は、ユーザ11が生成したネットワーク毎の構成情報やポリシー情報を暗号化し、その情報交換する時の認証方法として統合管理システム22と管理システム26、更に隣接する管理システム26間の3者間で認証を行う2段階認証を用いることと、その認証を行うための鍵を生成する認証鍵生成部25を備えたことと管理システム26の情報とネットワーク・ネットワーク間接続情報を管理するドメイン情報管理部24とドメイン間の最適な経路を計算する経路計算部23を備えたことを特徴とする。
また、ネットワーク管理システム及びネットワーク管理方法において、当該統合管理システム22は、ネットワーク開通時に、ドメイン情報管理部24からネットワーク・ネットワーク間接続情報を取得し、要件を満たす経路を経路計算部23により計算するステップと、経路計算によって得られた管理システム26に対して管理ドメイン間を接続する要求を管理システム26に通知するステップと、通知を受け取った管理システム26はサービス要件をもとに接続するドメイン内のリソースの予約し、予約したネットワーク・ネットワーク間接続情報と公開鍵の情報を統合管理システムに送るステップと、認証鍵生成部25により、管理システム26のネットワーク・ネットワーク間接続情報を各々の管理システム26が生成した公開鍵から乱数を作成し、その乱数により生成された情報により暗号化し、それぞれの管理システム26に配信するステップと、管理システム26は統合管理システム22から取得したネットワーク・ネットワーク間接続情報に記載された管理システム26と鍵交換を行い、お互いの公開鍵を使い統合管理システムから取得したネットワーク・ネットワーク間接続情報の鍵認証を行うステップと、管理システム26はネットワーク・ネットワーク間接続情報を基に管理ドメインの隣接ノード32の設定を行うステップと、設定後、管理システム26はそのネットワーク・ネットワーク間接続情報を管理する識別番号を払い出し、ドメイン情報管理部27に保存し、統合管理システム22に通知するステップと、統合管理システム22はドメイン情報管理部24にネットワーク間接続情報を保存することを特徴とする。
これにより統合管理システム22はネットワーク・ネットワーク間接続情報を管理ドメインと共有でき、全ての管理ドメインに情報を送ることなく、最小限の情報を共有すればよいため、統合管理システム22の負担を減らし、かつ、管理システム26の所掌範囲外である管理ドメイン間隣接ノード32の設定をネットワーク・ネットワーク間接続情報として統合管理システム22が提供することで、管理ドメイン間の情報を管理できる。
また、ネットワーク・ネットワーク間接続情報を受け取った管理システム26は、復号したした後に、対向管理システム26と通信し、互いの鍵を取得する2段階認証によってネットワーク・ネットワーク間の隣接ノード情報を解読・取得することで、安全に通信できる。
また、ネットワーク管理システム及び方法は、統合管理システム22はネットワークの状態を変更する時は生成時のネットワーク識別情報を管理システム26に通知するステップと管理システム26は内部のネットワーク識別情報と比較し、リソースを確認し、統合管理システム22に応答するステップと統合管理システム22は管理システム26に対して設定要求を行うステップと、管理システム26は設定に基づき設定を行うステップとを備え、行うことを特徴とする。
これにより、ユーザ11が作成するネットワークに対し、統合管理システム22、隣接しあう管理システム26双方が3者間で相互に認証する仕組みを導入し、統合管理システム22を介した管理システム26での情報交換のスキームを確立することで、安全に管理システム26間でユーザ11の情報の交換をすることができ、かつ、管理システム26の所掌範囲外である隣接ノード32間の接続部分については統合管理システム22が管理し、かつ管理システム26内は管理システム26に管理を委譲することで、統合管理システム22の機能を最小化しつつ、柔軟なネットワーク制御が可能となる。
また、ネットワーク管理システム及びネットワーク管理方法において、隣接ノード32は、統合管理システム22のネットワーク・ネットワーク間接続情報により、対向の管理ドメインとの隣接ノード32の切替手段を共有するステップと、監視機能部34によって管理ドメインの隣接ノード32間で監視パケットを送り疎通性を確認するステップと監視パケットが届かない場合に管理システム26は、事前に認証された管理システム26間の通信によって管理ドメイン間でネットワークの状態を確認するステップと状態が変化した場合は統合管理システム22に通知しネットワーク・ネットワーク間接続情報を更新するステップを備え、行うことを特徴とする。
これにより、統合管理システム22がネットワーク・ネットワーク間接続情報を信頼性の高い通信により管理システム26を介して隣接ノード32に提供し、隣接ノード32は障害時に統合管理システム22から提供された切替手段を参照し、その切替手段に基づいてユーザ11の通信を切り替えることにより統合管理システム22が管理する隣接ノード32間の切替管理が可能である。
更に、ネットワーク管理システム及びネットワーク管理方法におけるトンネル解析部35において、隣接ノード32は統合管理システム22のネットワーク・ネットワーク間接続情報により管理ドメインを跨るトンネル識別番号の一覧を取得するステップと、隣接ノード32はパケット解析部により管理ドメイン内から流入したパケットのヘッダを解析するステップと、ネットワーク・ネットワーク間接続情報に記述されたトンネルの番号と一致するパケットについては、ネットワーク・ネットワーク間接続情報に従い、パケットを宛先ドメインに流通するステップ、もしくはトンネル識別番号をキーとして負荷を分散するステップもしくはトンネル番号と一致しないパケットは管理ドメインに確認する、もしくは廃棄するステップを備え、行うことを特徴とする。
これにより、統合管理システム22が、ネットワーク・ネットワーク間接続情報およびトンネル識別番号の一覧を、隣接ノード32に信頼性の高い通信により管理システム26を介して提供し、隣接ノード32は流入パケットと、その識別番号とを照らし合わせて制御を行うことで、統合管理システム22の管理に基づいて隣接ノード間の余計なドメイン間の通信を減らし、かつより柔軟なトラヒック制御が可能となる。
更にネットワーク管理システム及びネットワーク管理方法におけるトンネル解析部35において、複数経路に負荷分散する時は、発信元と送信先のアドレスの他にパケット解析部により得られたトンネル識別番号または、トンネル識別情報のヘッダを加えてハッシュ値を計算し、トラヒックを複数経路に分散を行うことを特徴とする。
これにより、管理ドメイン間の通信が送信元と宛先が同一のアドレスになったとしても複数経路に負荷分散してトラヒックを流すことができる。
また、ネットワーク管理システム及びネットワーク管理方法において、統合管理システム22は、ネットワーク・ネットワーク間接続情報を暗号・復号化するための関数を送信側の管理システム26と受信側の管理システム26に通知するステップと、送信側の管理システム26は統合管理システム22から取得した暗号化するための関数によってサービスノード28を収容するドメインに流入したパケットの処理を行うステップと、受信側の管理システム26についても同様に統合管理システム22から取得した復号化するための関数によってサービスノード28を収容するドメインに流入するパケットを復号するステップを備え、行うことを特徴とする。
なお、上述した本実施形態では、統合管理システム22は、経路計算部23の計算結果によって得られた管理ドメイン間を接続する接続要求を管理システム26に通知する接続要求通知部を備え、ユーザ11及び管理システム26との通信情報を送受信する統合管理システム処理部を備えていてもよい。
また、管理システム26は、統合管理システム処理部と送受信を行う管理システム処理部を備え、接続要求通知部からの接続要求の通知を受信するとともに、サービス要件に応じて接続先であるドメイン内のリソースの予約し、ドメイン情報管理部27からネットワーク・ネットワーク間接続情報を取得し、ネットワーク・ネットワーク間接続情報と公開鍵情報を統合管理システム処理部に送信する情報送信部を備え、ドメイン情報管理部24から統合管理システム処理部を介してネットワーク・ネットワーク間接続情報を取得し、各々の管理システム26で生成した公開鍵から乱数を作成し、乱数により生成された乱数情報により暗号化し、各々の管理システム26に配信する認証鍵生成部を備えてもよい。
さらに、管理システム26は、ネットワーク・ネットワーク間接続情報に予め記載された接続先管理システムと鍵交換を行い、お互いの公開鍵を使い統合管理システム22から取得したネットワーク・ネットワーク間接続情報の鍵認証を行う鍵認証部を備え、ネットワーク・ネットワーク間接続情報を基に管理ドメインの隣接ノード32の設定を行う隣接ノード設定部を備え、隣接ノード設定部が行った設定後、ネットワーク・ネットワーク間接続情報を管理する識別番号を払い出し、ドメイン情報管理部に保存し、統合管理システム処理部に識別番号を通知する識別番号通知部と、を備えてもよい。
本発明は情報通信産業に適用することができる。
11:ユーザ
12:統合管理システム
13:経路計算部
14:管理システム
15:仮想ネットワーク
16:サービスノード
17:ドメイン
18:ノード
19:構成管理部
22:統合管理システム
23:経路計算部
24:ドメイン情報管理部
25:認証鍵生成部
26:管理システム
27:構成管理部
28:サービスノード
32:隣接ノード
35:トンネル解析部
36:論理ポート
37:転送部
38:リンク

Claims (11)

  1. 複数のドメインにそれぞれ配置され、サービスノード間のネットワークを管理する複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムを備え、
    前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
    共有した前記ネットワーク・ネットワーク間接続情報に応じて、それぞれの前記管理システムが管理する管理ドメイン間の接続経路を選択的形成するネットワーク管理システムであって、
    前記統合管理システムは、
    前記ユーザ端末が送出したサービス要件を基に、前記サービス要件にあった設定情報を含む第1のネットワーク・ネットワーク間接続情報を接続対象の管理ドメインを管理するそれぞれの前記管理システムに送出し、
    前記管理システムは、
    前記統合管理システムが送出した前記第1のネットワーク・ネットワーク間接続情報を受け取り、サービス固有の設定情報およびドメイン間の接続に必要な設定情報を含む第2のネットワーク・ネットワーク間接続情報を、前記統合管理システムまたは隣接ノードを介して、接続対象の管理ドメインを管理する他の管理システムとの間で交換し、前記他の管理システムとの間で交換した前記第2のネットワーク・ネットワーク間接続情報に応じて隣接ノードを設定するとともに、前記第2のネットワーク・ネットワーク間接続情報を管理する識別番号を払い出し、前記統合管理システムに通知する
    ことを特徴するネットワーク管理システム。
  2. 複数のドメインにそれぞれ配置され、サービスノード間のネットワークを管理する複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムとを備え、
    前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
    共有した前記ネットワーク・ネットワーク間接続情報に応じて、それぞれの前記管理システムが管理する管理ドメイン間の接続経路を選択的に形成するネットワーク管理システムであって、
    前記複数の管理システムのうち一の管理システムと前記一の管理システムに隣接して接続された他の管理システムとの間で前記ネットワーク・ネットワーク間接続情報を交換する場合、
    前記統合管理システムと前記一の管理システム及び前記他の管理システムとの間で1段階目の認証を実行し、
    前記一の管理システムと前記他の管理システムとの間で2段階目の認証を実行する
    ことを特徴とするネットワーク管理システム。
  3. 前記統合管理システムは、
    前記ユーザ端末で生成したポリシー要件及びサービス要件を満たす経路を計算する経路計算部と、
    前記経路計算部の計算結果によって得られた管理ドメイン間を接続する接続要求を前記管理システムに通知する接続要求通知部と、
    ドメイン間の接続情報を含むネットワーク・ネットワーク間接続情報を管理するドメイン情報管理部と、
    暗号鍵と復号鍵を生成し、前記管理システムに配信する認証鍵生成部と、を備え、
    前記管理システムは
    前記接続要求の通知を受信するとともに、前記サービス要件に応じて接続先であるドメイン内のリソース予約し、リソースの予約情報と公開鍵を前記統合管理システムに送信する情報送信部と、
    前記統合管理システムから取得したネットワーク・ネットワーク間接続情報を基に管理ドメインのノードの情報設定を行うドメイン内ノード設定部と、
    前記ネットワーク・ネットワーク間接続情報に記載された接続先の前記管理システムと鍵交換を行い、お互いのネットワーク・ネットワーク間接続情報の鍵認証を行う鍵認証部と、
    前記ネットワーク・ネットワーク間接続情報を基に他の管理ドメインに接続される隣接ノードの情報設定を行う隣接ノード設定部と、
    前記隣接ノード設定部が行った情報設定後、設定後のネットワークの構成情報を構成管理部に保存し、前記統合管理システムに通知する設定通知部と、を備え
    ことを特徴とする請求項1又は2に記載のネットワーク管理システム。
  4. 前記管理システムは、
    ドメイン間でネットワーク接続する場合、前記ネットワーク・ネットワーク間接続情報として、BGP(Border Gateway Protocol)のNLRI(Network Layer Reachability Information)のネットワーク層到着可能性情報を用いて、前記ネットワーク層到着可能性情報を管理システム間で共有する
    ことを特徴とする請求項1からのいずれかに記載のネットワーク管理システム。
  5. 複数のドメインにそれぞれ配置され、サービスノード間のネットワークを管理する複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムを備え、
    前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
    共有した前記ネットワーク・ネットワーク間接続情報に応じて、それぞれの前記管理システムが管理する管理ドメイン間の接続経路を選択的形成するネットワーク管理方法であって、
    前記統合管理システムは、
    前記ユーザ端末が送出したサービス要件を基に、前記サービス要件にあった設定情報を含む第1のネットワーク・ネットワーク間接続情報を接続対象の管理ドメインを管理するそれぞれの前記管理システムに送出し、
    前記管理システムは、
    前記統合管理システムが送出した前記第1のネットワーク・ネットワーク間接続情報を受け取り、サービス固有の設定情報およびドメイン間の接続に必要な設定情報を含む第2のネットワーク・ネットワーク間接続情報を、前記統合管理システムまたは隣接ノードを介して、接続対象の管理ドメインを管理する他の管理システムとの間で交換し、前記他の管理システムとの間で交換した前記第2のネットワーク・ネットワーク間接続情報に応じて隣接ノードを設定するとともに、前記第2のネットワーク・ネットワーク間接続情報を管理する識別番号を払い出し、前記統合管理システムに通知する
    ことを特徴とするネットワーク管理方法。
  6. 複数のドメインにそれぞれ配置され、サービスノード間のネットワークを管理する複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムとを備え、
    前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
    共有した前記ネットワーク・ネットワーク間接続情報に応じて、それぞれの前記管理システムが管理する管理ドメイン間の接続経路を選択的に形成するネットワーク管理方法であって、
    前記複数の管理システムのうち一の管理システムと前記一の管理システムに隣接して接続された他の管理システムとの間で前記ネットワーク・ネットワーク間接続情報を交換する場合、
    前記統合管理システムと前記一の管理システム及び前記他の管理システムとの間で1段階目の認証を実行し
    前記一の管理システムと前記他の管理システムとの間で2段階目の認証を実行する
    ことを特徴とするネットワーク管理方法。
  7. 複数のドメインにそれぞれ配置され、サービスノード間のネットワークを管理する複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムとを備え、
    前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
    共有した前記ネットワーク・ネットワーク間接続情報に応じて、それぞれの前記管理システムが管理する管理ドメイン間の接続経路を選択的に形成するネットワーク管理方法であって、
    ットワーク状態を変更する場合、
    前記統合管理システムが、生成時のネットワーク識別情報を前記管理システムに通知する識別情報通知手順と、
    前記管理システム、前記識別情報通知手順で通知された前記ネットワーク識別情報と当該管理システムのネットワーク識別情報とを比較するとともにリソースを確認し、前記統合管理システムに応答する応答手順と、
    前記統合管理システムが、前記管理システムに対して管理ドメイン間を接続する要求を行う設定要求手順と、
    前記管理システムが、前記要求に基づき接続の設定処理を行う設定処理手順と、
    を行うことを特徴とするネットワーク管理方法。
  8. 複数のドメインにそれぞれ配置され、サービスノード間のネットワークを管理する複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムとを備え、
    前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
    共有した前記ネットワーク・ネットワーク間接続情報に応じて、それぞれの前記管理システムが管理する管理ドメイン間の接続経路を選択的に形成するネットワーク管理方法であって、
    前記管理システム間で共有した前記ネットワーク・ネットワーク間接続情報により、前記管理システムのうち互いに対向する管理システム同士が管理ドメインの隣接ノードの切替処理設定を共有する設定共有手順と、
    管理ドメインの前記隣接ノード間で監視パケットを送り、前記隣接ノード又は前記管理システムが、疎通性を確認する監視機能確認手順と、
    前記監視パケットが届かない場合に、前記管理システムが、事前に認証された前記管理システム間の通信によって管理ドメイン間でネットワークの設定状態確認する設定状態確認手順と、
    前記設定状態確認手順で前記設定状態の変化を確認した場合は、前記管理システムが前記統合管理システムに通知し、前記統合管理システムが前記ネットワーク・ネットワーク間接続情報を更新する更新手順と、
    を行うことを特徴とするネットワーク管理方法。
  9. 複数のドメインにそれぞれ配置され、サービスノード間のネットワークを管理する複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムとを備え、
    前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
    共有した前記ネットワーク・ネットワーク間接続情報に応じて、それぞれの前記管理システムが管理する管理ドメイン間の接続経路を選択的に形成するネットワーク管理方法であって、
    他の管理ドメインに接続される隣接ノードが、
    前記統合管理システムの前記ネットワーク・ネットワーク間接続情報により管理ドメインを跨るネットワークの識別番号であるトンネル識別番号の一覧を取得する識別番号取得手順と、
    前記管理システム間で共有した前記ネットワーク・ネットワーク間接続情報により管理ドメインに流入したパケットの情報と前記隣接ノードでの接続設定を取得するネットワーク・ネットワーク間接続情報取得手順と、
    管理ドメイン内から流入したパケットのヘッダを解析するヘッダ解析手順と
    前記ネットワーク・ネットワーク間接続情報に記述されたトンネル識別番号と一致するヘッダを有するパケットについては、前記ネットワーク・ネットワーク間接続情報に応じて前記パケットを宛先ドメインに流通するドメイン流通手順と、
    前記ネットワーク・ネットワーク間接続情報に記述されたトンネル識別番号と一致しないヘッダを有するパケットについては、管理ドメインに確認又は廃棄するドメイン処理手順と、
    を行うことを特徴とするネットワーク管理方法。
  10. 複数のドメインにそれぞれ配置され、サービスノード間のネットワークを管理する複数の管理システムと、前記管理システムを統合的に管理し、ユーザ端末と接続された統合管理システムとを備え、
    前記統合管理システム及びそれぞれの前記管理システムでネットワーク・ネットワーク間接続情報を共有し、
    共有した前記ネットワーク・ネットワーク間接続情報に応じて、それぞれの前記管理システムが管理する管理ドメイン間の接続経路を選択的に形成するネットワーク管理方法であって、
    前記統合管理システムが、ユーザのパケットを暗号又は復号化するための関数を送信側の管理システムと受信側の管理システムにそれぞれ通知する通知手順と、
    前記送信側の管理システムが、前記統合管理システムから取得した暗号化するための関数に応じてサービスノードからドメインに流入したパケットの設定処理を行う暗号処理手順と、
    前記受信側の管理システムが、前記統合管理システムから取得した復号化するための関数に応じてサービスノードを収容するドメインに流入するパケットを復号する復号処理手順と、
    を行うことを特徴とするネットワーク管理方法。
  11. ドメイン間でネットワーク接続する場合、前記管理システムは、前記ネットワーク・ネットワーク間接続情報として、BGP(Border Gateway Protocol)のNLRI(Network Layer Reachability Information)のネットワーク層到着可能性情報を用いて、前記ネットワーク層到着可能性情報を管理システム間で共有する
    ことを特徴とする請求項5から10のいずれかに記載のネットワーク管理方法。
JP2015092877A 2015-04-30 2015-04-30 ネットワーク管理システム及びネットワーク管理方法 Active JP6453154B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015092877A JP6453154B2 (ja) 2015-04-30 2015-04-30 ネットワーク管理システム及びネットワーク管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015092877A JP6453154B2 (ja) 2015-04-30 2015-04-30 ネットワーク管理システム及びネットワーク管理方法

Publications (2)

Publication Number Publication Date
JP2016213544A JP2016213544A (ja) 2016-12-15
JP6453154B2 true JP6453154B2 (ja) 2019-01-16

Family

ID=57552085

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015092877A Active JP6453154B2 (ja) 2015-04-30 2015-04-30 ネットワーク管理システム及びネットワーク管理方法

Country Status (1)

Country Link
JP (1) JP6453154B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2561935B (en) * 2017-11-24 2019-05-22 Zeetta Networks Ltd A system for providing an end-to-end network
TWI813743B (zh) 2018-08-23 2023-09-01 美商阿爾克斯股份有限公司 在網路路由環境中的獨立資料儲存空間
WO2020050243A1 (ja) 2018-09-03 2020-03-12 日本電気株式会社 通信システム及び設定変更方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5553312B2 (ja) * 2011-06-13 2014-07-16 日本電信電話株式会社 最適経路選択方法、最適経路選択プログラムおよび最適経路選択装置

Also Published As

Publication number Publication date
JP2016213544A (ja) 2016-12-15

Similar Documents

Publication Publication Date Title
Tysowski et al. The engineering of a scalable multi-site communications system utilizing quantum key distribution (QKD)
EP3306888B1 (en) Method and apparatus to create and manage virtual private groups in a content oriented network
CN100541476C (zh) 用于径上信令的加密对等体发现、认证和授权
CN101300806B (zh) 用于处理安全传输的***和方法
US6751729B1 (en) Automated operation and security system for virtual private networks
JP2022550356A (ja) マルチテナントソフトウェア定義ワイドエリアネットワーク(sd-wan)ノードを提供するための方法、システム、およびコンピュータ読取可能媒体
US7486659B1 (en) Method and apparatus for exchanging routing information between virtual private network sites
CN105847158B (zh) 用于处理路由数据的方法和***
EP2277296B1 (en) Method and system for providing trustworthiness of communication
EP2999172B1 (en) Method and devices to certify a trusted path in a software defined network
US9948621B2 (en) Policy based cryptographic key distribution for network group encryption
WO2017196284A2 (en) System and method for programmable network based encryption in software defined networks
CN111052702A (zh) 动态分离的信道加密密钥分配
Ceccarelli et al. Framework for abstraction and control of TE networks (ACTN)
Bryskin et al. Policy-enabled path computation framework
JP6453154B2 (ja) ネットワーク管理システム及びネットワーク管理方法
CN108023832A (zh) 信息发送方法、装置及***
US20160142213A1 (en) Authentication service and certificate exchange protocol in wireless ad hoc networks
Farrel et al. Unanswered questions in the path computation element architecture
Michalski et al. Secure ICCP integration considerations and recommendations
CN112235318A (zh) 实现量子安全加密的城域网***
Dervisevic et al. Large-scale quantum key distribution network simulator
JP2009232321A (ja) 異ネットワーク間冗長経路設定方法及び該方法のための通信装置
CN101558401A (zh) 在多个mpls网络上的服务质量和加密
CN115473641B (zh) 可自动组网的量子加密通信方法和***

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170629

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180518

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180605

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180806

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181212

R150 Certificate of patent or registration of utility model

Ref document number: 6453154

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150