JP6467277B2 - Network inspection system, flow inspection apparatus, transfer apparatus, network inspection method, flow inspection method, and flow inspection program - Google Patents
Network inspection system, flow inspection apparatus, transfer apparatus, network inspection method, flow inspection method, and flow inspection program Download PDFInfo
- Publication number
- JP6467277B2 JP6467277B2 JP2015082084A JP2015082084A JP6467277B2 JP 6467277 B2 JP6467277 B2 JP 6467277B2 JP 2015082084 A JP2015082084 A JP 2015082084A JP 2015082084 A JP2015082084 A JP 2015082084A JP 6467277 B2 JP6467277 B2 JP 6467277B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- test
- packet
- test packet
- transfer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、パケットのヘッダ情報、入力ポート、出力ポート及び出力ヘッダ情報の組み合わせで転送規則が決定されるフローベースのネットワークにおける、転送装置の動作及び転送装置に設定された転送ルールを検査するネットワーク検査システム、フロー検査装置、ネットワーク検査方法、フロー検査方法、及びフロー検査プログラムに関する。 The present invention relates to a network that checks the operation of a transfer device and the transfer rule set in the transfer device in a flow-based network in which a transfer rule is determined by a combination of packet header information, input port, output port, and output header information. The present invention relates to an inspection system, a flow inspection apparatus, a network inspection method, a flow inspection method, and a flow inspection program.
SDN(Software−Defined Networking)を実現するための代表的なプロトコルの1つにOpenFlowがある。OpenFlowはデータ転送制御機能部をデータ転送機能部と分離し、その間に統一的でオープンなインタフェースを規定する事により、データ転送機能の柔軟な制御を実現する。OpenFlowは通信をエンドツーエンドの“フロー”として捉え、フロー単位で経路制御を行う。 One typical protocol for realizing SDN (Software-Defined Networking) is OpenFlow. OpenFlow separates the data transfer control function unit from the data transfer function unit, and defines a unified and open interface between them, thereby realizing flexible control of the data transfer function. OpenFlow regards communication as an end-to-end “flow” and performs path control in units of flows.
OpenFlowはOSI参照モデルで規定された各レイヤの宛先アドレスに従ってパケット転送を行うのではなく、複数のレイヤに跨がる情報の組み合わせで構成されたマッチ条件に一致したヘッダ情報を持つパケットに対して指定したアクションを実施し転送を行う。 OpenFlow does not perform packet forwarding according to the destination address of each layer specified in the OSI reference model, but for packets having header information that matches the matching conditions configured by a combination of information across multiple layers. Perform the specified action and transfer.
このマッチ条件とアクションの組み合わせを“フローエントリ”と呼ぶ。フローエントリには、マッチフィールド、とアクションフィールドに加えて、カウンタと呼ばれるフロー毎の統計情報が付加される。さらに、上記OpenFlowは、マルチテーブルと呼ばれる、フローエントリを格納するフローテーブルを複数用いた多段検索処理機能(パケットパイプライン処理機能)を保持している。 This combination of match condition and action is called a “flow entry”. In addition to the match field and action field, statistical information for each flow called a counter is added to the flow entry. Further, the above OpenFlow has a multi-stage search processing function (packet pipeline processing function) using a plurality of flow tables for storing flow entries, called a multi-table.
上記OpenFlowに代表されるフローベースのパケット処理を行うSDNノードにより構成されたネットワークの正常性を検査するためには、検査したいフローエントリにマッチするヘッダ情報を持つ試験パケットを送信し、相手先SDNノードへの試験パケット送信の成否、経由したSDNノード情報、各SDNノード内でマッチしたフローエントリ情報の3つの情報を取得する必要がある。 In order to check the normality of the network configured by the SDN node that performs flow-based packet processing represented by the above OpenFlow, a test packet having header information that matches the flow entry to be checked is transmitted, and the partner SDN It is necessary to acquire three pieces of information: success / failure of test packet transmission to the node, passed SDN node information, and matched flow entry information in each SDN node.
関連技術では、ネットワーク装置の動作や各装置間の到達性を確認し、ネットワークの正常性を検査するために、Ethernet(Ethernetは登録商標) OAM(Operations,Administration,Maintenance)やICMP(Internet Control Message Protocol)プロトコルを利用したpingやtraceroute等が用いられてきた。 In the related art, in order to check the operation of the network device and reachability between the devices and to check the normality of the network, Ethernet (Ethernet is a registered trademark) OAM (Operations, Administration, Maintenance) and ICMP (Internet Control Message). Ping, traceroute, etc. using the Protocol protocol have been used.
しかし、SDNノードにより形成された仮想ネットワーク内でEthernet(Ethernetは登録商標) OAMやping、traceroute等を利用したとしても、各ツールと同じマッチ条件を持つ特定のフローエントリを検査する事しかできず、マッチ条件に異なる条件(異なるIPプロトコル番号等)が含まれるフローエントリの正常性を検査する事はできない。 However, even if Ethernet (Ethernet is a registered trademark) OAM, ping, traceroute, etc. is used in a virtual network formed by SDN nodes, only a specific flow entry having the same matching condition as each tool can be inspected. The normality of a flow entry in which different conditions (such as different IP protocol numbers) are included in the match condition cannot be checked.
既存研究では、仮想ネットワーク上を流れるユーザパケットを疑似した試験パケットとOpenFlowコントローラのような制御装置への問い合わせ処理(Packet−In)を活用する事により、上記課題に対応する方法が提案されている。以下に、上記既存研究における関連技術を説明する。 In the existing research, a method for dealing with the above problem is proposed by utilizing a test packet that simulates a user packet flowing on a virtual network and an inquiry process (Packet-In) to a control device such as an OpenFlow controller. . The related technologies in the existing research will be described below.
一方の関連技術では、試験パケットのTTL減算処理及びTTLInvalidによるPacket−Inを活用する事により、指定したSDNノード間の疎通確認と経路情報の取得を可能とする手法を提案している(例えば、非特許文献1、参照。)。
On the other hand, the related technology proposes a method that enables communication confirmation between specified SDN nodes and acquisition of route information by utilizing TTL subtraction processing of a test packet and Packet-In by TTL Invalid (for example, (See Non-Patent
上記の関連技術ではまず、試験パケットとしてUDP(User Datagram Protocol)パケット(他のL4プロトコルがOpenFlow スイッチのフローテーブル内で使用されている場合はそれを利用する)を生成し、検査対象フローエントリにマッチするヘッダ情報を設定する。 In the related technology described above, first, a UDP (User Datagram Protocol) packet (if another L4 protocol is used in the OpenFlow switch flow table is used) is generated as a test packet, and the test flow entry is generated. Set matching header information.
この時、マッチ条件に用いられていないヘッダフィールドに試験パケットを識別するための値を格納する。TTL領域には2(経路確認の場合は、宛先までのホップ数)を、ペイロード部には検査したい経路情報(送信元SDNノードや宛先SDNノードを識別可能な情報)を格納し、Packet−Outする。これにより、任意のパケットの到達性と経路情報を取得する事が可能となる。 At this time, a value for identifying the test packet is stored in a header field that is not used in the match condition. In the TTL area, 2 (the number of hops to the destination in the case of route confirmation) is stored, and in the payload portion, path information (information that can identify the source SDN node and the destination SDN node) is stored. To do. Thereby, reachability and route information of an arbitrary packet can be acquired.
他方の関連技術では、各SDNノードにタグ付けを行う事により試験パケットとユーザパケットを区別して処理する事を可能とし、指定したSDNノード間の疎通確認と経路情報の取得を実現している。SDNノードのタグ付けには、隣接SDNノードが同一のタグを持たないようグラフ彩色アルゴリズムを活用する(例えば、非特許文献2、参照。)。 In the other related technology, it is possible to distinguish and process a test packet and a user packet by tagging each SDN node, thereby realizing communication confirmation and acquisition of route information between designated SDN nodes. For tagging SDN nodes, a graph coloring algorithm is utilized so that adjacent SDN nodes do not have the same tag (see, for example, Non-Patent Document 2).
制御装置から検査したいSDNノードに試験パケットを送信する際には、試験パケットのヘッダフィールドに、Packet−Out先のSDNノードを示すタグを挿入する。この時、SDNノードを示すタグは各フローエントリのマッチ条件に利用されていないヘッダフィールド(VLAN priority bit 等)に格納される。Packet−Outにより試験パケットを受け取ったSDNノードは、パケットがマッチするフローエントリに従って試験パケットを処理する。 When a test packet is transmitted from the control device to the SDN node to be inspected, a tag indicating the packet-out destination SDN node is inserted into the header field of the test packet. At this time, the tag indicating the SDN node is stored in a header field (such as VLAN priority bit) that is not used for the match condition of each flow entry. The SDN node that has received the test packet by Packet-Out processes the test packet according to the flow entry that matches the packet.
次に試験パケットを受け取った隣接SDNノードでは、「自身のタグと異なるタグが格納されているパケットの場合はPacket−Inを行う」というフローエントリ(これは事前に設定しておく)に基づきPacket−Inを実施する。このような一連の動作により、任意のパケットの到達情報と経路情報を、制御装置を介して取得する事が可能となる。 Next, in the adjacent SDN node that has received the test packet, the packet is based on a flow entry (this is set in advance) for a packet storing a tag different from its own tag. Perform In. With such a series of operations, arrival information and route information of an arbitrary packet can be acquired via the control device.
上述に係る関連技術では、ユーザパケットを模擬した試験パケットを生成し、検証したいフローを構成する先頭のSDNノードに向けて送信する事により、フローの正常性確認(任意のヘッダ情報をもつパケットのSDNノード間の疎通確認と経路情報の取得)を実現している。しかし、仮想ネットワークを管理するためには、先に述べた通りこれらの情報に加え各SDNノード内でパケットがマッチしたフローエントリ情報を取得する事が必要となる。 In the related technology described above, a test packet that simulates a user packet is generated and transmitted to the first SDN node that constitutes the flow to be verified, thereby confirming the normality of the flow (for packets having arbitrary header information). (Confirms communication between SDN nodes and obtains route information). However, in order to manage the virtual network, it is necessary to acquire flow entry information in which packets match in each SDN node in addition to these pieces of information as described above.
これは、主に設定作成や設定検証、障害発生時の障害箇所特定等に用いられる。さらに、SDNノードをネットワークサービスに適用していくためには、様々なユーザトラヒックがネットワーク内に流れている状況下において特定の試験パケットの流れを追跡し、前記情報を取得できる必要がある。 This is mainly used for setting creation, setting verification, and identification of a failure location when a failure occurs. Furthermore, in order to apply the SDN node to the network service, it is necessary to be able to acquire the information by tracking the flow of a specific test packet in a situation where various user traffic flows in the network.
本発明は、各転送装置内で試験パケットがマッチした転送ルール情報をマルチテーブル(パケットパイプライン処理)の仕組みを利用して取得することを目的とする。 An object of the present invention is to acquire transfer rule information that matches a test packet in each transfer device by using a multi-table (packet pipeline processing) mechanism.
上記目的を達成するため、本発明では、ユーザパケットを処理する転送ルールが記されたフローテーブルを複製し、試験パケットの処理を行うための新たなフローテーブルを設ける。その内部の転送ルールのアクションフィールドに、フローIDの取得処理を追加する事により、試験パケットがマッチした転送ルール情報をネットワーク管理者が取得する。 In order to achieve the above object, the present invention provides a new flow table for duplicating a flow table in which a transfer rule for processing a user packet is written and for processing a test packet. By adding a flow ID acquisition process to the action field of the internal transfer rule, the network administrator acquires transfer rule information that matches the test packet.
具体的には、本発明に係るネットワーク検査システムは、
パケットを転送する転送装置と前記転送装置におけるパケット処理を検査するフロー検査装置とが接続されているネットワーク検査システムであって、
前記フロー検査装置は、
前記転送装置における転送ルールを定めるフローエントリとフローIDとを対応付ける対応表、試験IDに対応する試験パケットのヘッダ情報、を格納するフロー情報管理部と、
検査するフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを保持する試験パケットを生成する試験パケット生成部と、を備え、
前記転送装置は、
ネットワークを介して外部から受信したパケットが前記試験パケットであるか否かを、前記試験パケット識別子を用いて判定する試験パケット判定部と、
受信したパケットが前記ユーザパケットである場合、ヘッダ情報に一致するフローエントリで定められる処理を行う通常パケット処理部と、
前記通常パケット処理部に備わるフローエントリごとに前記試験パケット用のフローエントリが設けられ、受信したパケットが前記試験パケットである場合、ヘッダ情報に一致するフローエントリで定められる処理に加えて当該フローエントリに対応するフローIDを追記する処理を行う試験パケット処理部と、
を備える。
Specifically, the network inspection system according to the present invention is:
A network inspection system in which a transfer device for transferring a packet and a flow inspection device for inspecting packet processing in the transfer device are connected ,
The flow inspection apparatus includes:
A flow information management unit for storing a correspondence table associating a flow entry and a flow ID defining a forwarding rule in the forwarding device, header information of a test packet corresponding to the test ID,
Header information matching the flow entry to inspect, test packet identifier used to distinguish test packets and user packets, and a test packet for holding the test ID to be used to perform mapping of the test packet and the test results A test packet generation unit for generating,
The transfer device is
A test packet determination unit that determines whether a packet received from the outside via a network is the test packet, using the test packet identifier ;
If the received packet is the user packet, a row Cormorant normal packet processor processes defined by the flow entry matching the header information,
When a flow entry for the test packet is provided for each flow entry provided in the normal packet processing unit, and the received packet is the test packet, the flow entry is added to the process defined by the flow entry matching the header information. and line intends test packet processor processing to append a flow ID corresponding to,
Is provided.
本発明に係るネットワーク検査システムでは、
前記フロー検査装置は、
前記転送装置においてフローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた前記試験パケットを、前記試験結果として受信する試験結果受信部と、
前記試験結果に記載されている試験IDに一致する前記試験パケットのヘッダ情報を前記フロー情報管理部から呼び出し、前記試験結果に記載されているフローIDに対応するフローエントリを前記フロー情報管理部から呼び出し、前記試験パケットのヘッダ情報に一致するフローエントリと呼び出したフローエントリが一致している場合に、前記転送装置がヘッダ情報に従って動作していると判定する試験結果判定部をさらに備えていてもよい。
In the network inspection system according to the present invention,
The flow inspection apparatus includes:
A test result receiving unit that receives, as the test result, the test packet that has been subjected to the process defined by the flow entry in which the flow ID is added and matches the header information in the transfer device;
The header information of the test packet that matches the test ID described in the test result is called from the flow information management unit, and the flow entry corresponding to the flow ID described in the test result is read from the flow information management unit. calls, when the flow entry that called a flow entry that matches the header information of the test packets are matched, the transfer device be further provided for determining the test result determination unit to be operating in accordance with the header information Good.
具体的には、本発明に係るフロー検査装置は、
パケットを転送する転送装置に接続されているフロー検査装置であって、
前記転送装置における転送ルールを定めるフローエントリとフローIDとを対応付ける対応表、試験IDに対応するヘッダ情報、を格納するフロー情報管理部と、
前記転送装置における転送ルールを定めるフローエントリを複製し、フローエントリで定められた処理に加えて当該フローエントリに対応するフローIDを試験パケットに追記する処理を前記転送装置に行わせる試験パケット用のフローエントリを、前記転送装置に生成するフローテーブル変換部と、
検査するフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを記載した試験パケットを生成する試験パケット生成部と、
前記試験パケット生成部で生成された前記試験パケットを受信した前記転送装置から、ヘッダ情報に一致するフローエントリのフローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた当該試験パケットを、前記試験結果として受信する試験結果受信部と、
前記試験結果に記載されている試験IDに一致する試験パケットのヘッダ情報を前記フロー情報管理部から呼び出し、前記試験結果に記載されているフローIDに対応するフローエントリを前記フロー情報管理部から呼び出し、前記試験パケットのヘッダ情報に一致するフローエントリと呼び出したフローエントリが一致している場合に、前記転送装置がヘッダ情報に従って動作していると判定する試験結果判定部と、
を備える。
具体的には、本発明に係る転送装置は、
転送装置におけるパケット処理を検査するフロー検査装置と接続されている転送装置であって、
転送ルールを定めるフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを保持する試験パケットを、前記フロー検査装置から受信するフローテーブル側受信部と、
ネットワークを介して外部から受信したパケットが前記試験パケットであるか否かを、前記試験パケット識別子を用いて判定する試験パケット判定部と、
受信したパケットが前記ユーザパケットである場合、受信した当該パケットに対し、ヘッダ情報に一致するフローエントリで定められる処理を行う通常パケット処理部と、
前記通常パケット処理部に備わるフローエントリごとに試験パケット用のフローエントリが設けられ、受信したパケットが前記試験パケットである場合、受信した当該パケットに対し、ヘッダ情報に一致するフローエントリで定められる処理に加えて当該フローエントリに対応するフローIDを追記する処理を行う試験パケット処理部と、
受信したパケットが前記試験パケットである場合、フローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた当該パケットを、前記試験結果として前記フロー検査装置に送信するフローテーブル側送信部と、
を備える。
Specifically, the flow inspection apparatus according to the present invention is:
A flow inspection device connected to a transfer device for transferring packets ,
A flow information management unit for storing a correspondence table associating a flow entry and a flow ID for defining a transfer rule in the transfer device, header information corresponding to a test ID,
For a test packet that duplicates a flow entry that defines a transfer rule in the transfer device and causes the transfer device to perform a process of adding a flow ID corresponding to the flow entry to the test packet in addition to the process defined in the flow entry A flow table conversion unit for generating a flow entry in the transfer device;
Header information matching the flow entry to inspect, test packet identifier used to distinguish test packets and user packets, and a test packet describing the test ID to be used to perform mapping of the test packet and the test results and generate test packet generator,
The transfer device that has received the test packet generated by the test packet generation unit adds the flow ID of the flow entry that matches the header information, and the process defined by the flow entry that matches the header information has been performed. A test result receiving unit for receiving a test packet as the test result;
Call the header information of the test packet that matches the test ID described in the test result from the flow information management unit, and call the flow entry corresponding to the flow ID described in the test result from the flow information management unit , and wherein when the flow entry that called a flow entry that matches the header information of the test packets are matched, the transfer device is determined to be operating in accordance with the header information test result determination unit,
Is provided.
Specifically, the transfer device according to the present invention is:
A transfer device connected to a flow inspection device for inspecting packet processing in the transfer device,
Test packet that holds header information that matches the flow entry that defines the transfer rule, a test packet identifier that is used to distinguish the test packet from the user packet, and a test ID that is used to associate the test packet with the test result A flow table side receiving unit for receiving from the flow inspection device,
A test packet determination unit that determines whether a packet received from the outside via a network is the test packet, using the test packet identifier;
When the received packet is the user packet, a normal packet processing unit that performs processing determined by the flow entry that matches the header information for the received packet;
When a flow entry for a test packet is provided for each flow entry provided in the normal packet processing unit, and the received packet is the test packet, the process defined by the flow entry that matches the header information for the received packet In addition to the test packet processing unit that performs a process of adding a flow ID corresponding to the flow entry,
When the received packet is the test packet, the flow table side that transmits the packet subjected to the process defined by the flow entry in which the flow ID is added and matches the header information to the flow inspection apparatus as the test result A transmission unit;
Is provided.
具体的には、本発明に係るネットワーク検査方法は、
ユーザパケットを転送する転送装置におけるパケット処理を検査するフロー検査装置が実行するネットワーク検査方法であって、
前記転送装置における転送ルールを定めるフローエントリを複製し、フローエントリで定められた処理に加えてフローエントリに対応するフローIDを試験パケットに追記する処理を前記転送装置に行わせる試験パケット用のフローエントリを、前記転送装置に生成するフローテーブル変換手順と、
検査するフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを記載した試験パケットを生成する試験パケット生成手順と、
前記試験パケット生成手順で生成された試験パケットを受信した前記転送装置から、フローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた試験パケットを、前記試験結果として受信する試験結果受信手順と、
前記転送装置における転送ルールを定めるフローエントリとフローIDとを対応付ける対応表、前記試験IDに対応するヘッダ情報、を格納するフロー情報管理部を参照して、前記試験結果に記載されている前記試験IDに一致する試験パケットのヘッダ情報を前記フロー情報管理部から呼び出し、前記試験結果に記載されているフローIDに対応するフローエントリを前記フロー情報管理部から呼び出し、前記試験パケットのヘッダ情報に一致するフローエントリと呼び出したフローエントリが一致している場合に、前記転送装置がヘッダ情報に従って動作していると判定する試験結果判定手順と、
を備える。
Specifically, the network inspection method according to the present invention includes:
A network inspection method executed by a flow inspection apparatus that inspects packet processing in a transfer apparatus that transfers user packets ,
A flow for a test packet that duplicates a flow entry that defines a transfer rule in the transfer apparatus and causes the transfer apparatus to perform a process of adding a flow ID corresponding to the flow entry to the test packet in addition to the process defined in the flow entry A flow table conversion procedure for generating an entry in the transfer device;
Generating a test packet describing the test ID to be used for header information matching the flow entry to inspect, test packet identifier used to distinguish test packets and user packet, and the association test packet and the test results performed Test packet generation procedure to
From the transfer device that has received the test packet generated in the test packet generation procedure, the test packet subjected to the process defined by the flow entry in which the flow ID is added and matches the header information is received as the test result. Test result reception procedure,
The test described in the test result with reference to a flow information management unit that stores a correspondence table that associates a flow entry and a flow ID that define a transfer rule in the transfer device, and header information that corresponds to the test ID Call the header information of the test packet that matches the ID from the flow information management unit, call the flow entry corresponding to the flow ID described in the test result from the flow information management unit, and match the header information of the test packet If the flow entry that called a flow entry that matches, the test results determination procedure the transfer device is determined to be operating in accordance with the header information,
Is provided .
具体的には、本発明に係るフロー検査方法は、
転送装置におけるパケット処理を検査するフロー検査装置と接続されている転送装置が実行するフロー検査方法であって、
転送ルールを定めるフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを保持する試験パケットを、前記フロー検査装置から受信するフローテーブル側受信手順と、
ネットワークを介して外部から受信したパケットが前記試験パケットであるか否かを、前記試験パケット識別子を用いて判定する試験パケット判定手順と、
受信したパケットが前記ユーザパケットである場合、受信した当該パケットに対し、ヘッダ情報に一致するフローエントリで定められる処理を行う通常パケット処理手順と、
受信したパケットが前記試験パケットである場合、受信した当該パケットに対し、ヘッダ情報に一致するフローエントリで定められる処理に加えて当該フローエントリに対応するフローIDを追記する処理を行う試験パケット処理手順と、
受信したパケットが前記試験パケットである場合、フローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた当該パケットを、前記試験結果として前記フロー検査装置に送信する試験結果送信手順と、
を備えることを特徴とする。
Specifically, the flow inspection method according to the present invention is:
A flow test method transfer equipment that is connected to the flow inspection apparatus for inspecting the packet processing in the transfer device executes,
Test packet that holds header information that matches the flow entry that defines the transfer rule, a test packet identifier that is used to distinguish the test packet from the user packet, and a test ID that is used to associate the test packet with the test result A flow table side receiving procedure for receiving from the flow inspection device,
A test packet determination procedure for determining whether or not a packet received from the outside via a network is the test packet, using the test packet identifier ;
When the received packet is the user packet, a normal packet processing procedure for performing the process defined by the flow entry matching the header information for the received packet;
When the received packet is the test packet, a test packet processing procedure for performing a process of additionally adding a flow ID corresponding to the flow entry in addition to the process defined by the flow entry matching the header information for the received packet When,
When the received packet is the test packet, the test result is transmitted to the flow inspection apparatus as the test result, the packet subjected to the process defined by the flow entry with the flow ID added and matching the header information. Procedure and
It is characterized by providing .
具体的には、本発明に係るフロー検査プログラムは、コンピュータに本開示に係るネットワーク検査方法に備わる各手順を実行させるためのフロー検査プログラムである。 Specifically, the flow inspection program according to the present invention is a flow inspection program for causing a computer to execute each procedure provided in the network inspection method according to the present disclosure .
なお、上記各発明は、可能な限り組み合わせることができる。 The above inventions can be combined as much as possible.
本発明によれば、各転送装置内で試験パケットがマッチした転送ルール情報をマルチテーブルの仕組みを利用して取得することができる。 According to the present invention, it is possible to acquire transfer rule information that matches a test packet in each transfer apparatus using a multi-table mechanism.
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。なお、本発明は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本発明は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited to embodiment shown below. These embodiments are merely examples, and the present invention can be implemented in various modifications and improvements based on the knowledge of those skilled in the art. In the present specification and drawings, the same reference numerals denote the same components.
(実施形態1)
1.概要
本実施形態に係るネットワーク検査システムは、図1に示す転送装置18と、フロー検査装置11と、を備える。転送装置18は、ネットワークを介して外部装置として機能するフロー検査装置11から送信された試験パケットを受信し、パケットのヘッダ情報から転送装置18内部のフローテーブルが有する転送ルールによってパケット種別を判定し、パケット種別に応じた処理を実施する。試験結果の判定は、フロー検査装置11において転送装置18から受信した試験パケットを元に、試験要求に応じて生成された送信前の試験パケットのヘッダ情報と、転送装置18から受信した試験パケットのヘッダ情報と、転送装置18内部で処理に利用された(マッチした)フローエントリと、の3つから判断する。
(Embodiment 1)
1. Outline The network inspection system according to the present embodiment includes the
本実施形態に係るネットワーク検査システムでは、試験パケットが各SDNノード内でマッチしたフローエントリ(以下、転送ルールとする)の情報を取得し、各試験パケットが意図した転送ルールに従って処理しているかどうかを検査するために、フローベース制御を行う転送装置18、フロー検査装置11、及びフローテーブル変換部17から構成される新たな機構を提案する。上述した構成を用いることで、本実施形態に係るネットワーク検査システムでは、転送装置18から受信した試験パケットに格納された、フローIDから転送装置18内部で試験パケット処理に用いられた転送ルールを導いて、送信前の試験パケットのヘッダ情報(これは試験パケットのペイロードに格納した試験IDから導く)と、転送装置18から受信した試験パケットのヘッダ情報の3つの情報から、フローの正常性を検査することができる。
In the network inspection system according to the present embodiment, whether or not each test packet is processed according to the intended transfer rule by acquiring information on a flow entry (hereinafter referred to as a transfer rule) in which the test packet matches in each SDN node. Therefore, a new mechanism composed of a
フロー検査装置11では、転送装置18内のフローテーブル22の管理とユーザパケットを疑似した試験パケットの生成及び送信、試験結果の受信と判定を行う。フローテーブル変換部17では、転送装置18のフローテーブル22内に試験パケットを識別するための試験パケット判定部23と、マッチした転送ルール情報を取得するための試験パケット処理部として機能するフロー情報格納処理部26を設けるために設定予定の転送ルール群に変換を行う。
The
本発明は、ユーザパケットを処理する転送ルールが記されたフローテーブル22群を複製して試験パケット処理用の新たなフローテーブル22群(フロー情報格納処理部26)を設け、その内部の転送ルールのアクションフィールドに、フローIDの取得処理を追加する事により、試験パケットがマッチした転送ルール情報をネットワーク管理者が取得可能となる。
The present invention provides a new flow table 22 group (flow information storage processing unit 26) for processing test packets by duplicating the
本発明の実現方法としてとり得る構成が複数考えられる。これは、試験パケットの生成や試験結果の取得方法及び、転送装置18内部に設定予定の転送ルールを書き換えるフローテーブル変換部17の実装方法が複数パターン考えられる事や、試験パケットがマッチした転送ルール情報の取得方法として転送装置18内部でのみパケットに付加されるメタデータを利用する方法と、パケットのヘッダフィールドに直接書き込む方法の2つの方法が考えられるためである。以下に、各パターンについての詳細を述べる。
There can be a plurality of possible configurations for realizing the present invention. This is because the test packet generation and test result acquisition method, and the implementation method of the flow
機能接続構成A〜E(図1〜図5がそれぞれ順に対応する。)は、試験パケットがマッチした転送ルール情報の取得方法として、メタデータを利用する場合の構成を示している。機能接続構成A(図1)では、フロー検査装置11内部に制御装置12を設け、試験パケットの送信と試験結果の受信に制御装置12を利用する。これは、OpenFlowのPacket−InとPacket−Outの機能を利用する事により、実現可能である。
Functional connection configurations A to E (FIGS. 1 to 5 correspond to each other in order) show configurations in the case of using metadata as a method for acquiring transfer rule information that matches a test packet. In the functional connection configuration A (FIG. 1), the
機能接続構成B(図2)では、制御装置12とフローテーブル変換部17をフロー検査装置11から切り離し、フロー検査装置11内に試験パケット送信部20と試験結果受信部13を設ける事により、フロー検査装置11が試験パケットの送信と試験結果の受信を担う。また、フローテーブル変換部17を制御装置12の上段に設置し、制御装置12から設定情報が送信される前に転送装置18に設定予定の転送ルールを変換する。
In the functional connection configuration B (FIG. 2), the
機能接続構成C(図3)では、フローテーブル変換部17を制御装置12の下段に設置し、制御装置12から転送装置18に向けて送信された設定情報をフローテーブル変換部17で受信し、設定予定の転送ルールに変換を行った後、転送装置18へ設定する。機能接続構成D(図4)、機能接続構成E(図5)では、フロー検査装置11とは独立した形で試験パケット生成装置31を新たに設け、試験パケット生成部15と試験パケット送信部20をフロー検査装置11と切り離す。
In the functional connection configuration C (FIG. 3), the flow
機能接続構成F〜J(図6−図10)は、試験パケットがマッチした転送ルール情報の取得方法として、パケットのヘッダフィールドを利用する場合の構成を示している。フロー検査装置11や試験パケット生成部15等の構成は機能接続構成A〜E(図1〜図5)と同様であり、機能接続構成F〜J(図6〜図10)がそれぞれ順に対応する。ここで、本発明の構成の要素を以下に説明する。
Functional connection configurations F to J (FIGS. 6 to 10) illustrate configurations in which a header field of a packet is used as a method for acquiring transfer rule information that matches a test packet. The configuration of the
2.開発技術の構成
(1)機能接続構成−Aについて
フロー検査装置11の構成
試験結果判定部14:転送装置18で転送後に受信した試験パケットのペイロードに付加されている試験IDから、試験パケット生成部で生成された試験パケットと試験結果の対応付けを行う。また、試験結果判定部14は、フロー情報管理部16に保存されているフローテーブル情報から、試験パケットに記されたフローIDに一致する転送ルールを呼び出す。試験結果判定部14は、試験結果(送信時の試験パケットヘッダ情報、受信時の試験パケットヘッダ情報、試験パケットが転送装置18内でマッチしたフローエントリ情報)とフロー情報管理部16から呼び出したフローテーブル情報に記載されているポリシーとが一致しているかどうかを比較することで、試験結果が正しいかどうかを判定することができる。
2. Configuration of developed technology (1) Configuration of
試験パケット生成部15:フロー情報管理部16から得た検査対象の転送装置18のフローテーブル情報を元に、試験したいフローを構成する転送ルール群にマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納するか、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報(試験ID)をペイロードに付加する。
Test packet generation unit 15: Based on the flow table information of the
フロー情報管理部16:各転送装置18のフローテーブル情報を保存する。フローテーブル情報は、転送ルール群であり、フローテーブル22に設定されている転送ルールとフローIDとの対応表を含む。フローテーブル22に設定されている転送ルールには、フローテーブル22のテーブルIDが含まれていてもよい。さらに、フロー情報管理部では、試験パケットに格納する試験IDに対応する試験パケットヘッダ情報を保存する。
Flow information management unit 16: Stores flow table information of each
フローテーブル22には、試験パケット判定部23、通常パケット処理部として機能するユーザパケット処理部24、フロー情報格納処理部26及び転送処理部28が含まれる。ユーザパケット処理部24にはユーザパケット転送ルールが格納され、フロー情報格納処理部26には試験パケット転送ルールが格納される。ユーザパケット転送ルールは、ユーザパケットを処理するための転送ルールである。試験パケット転送ルールは、ユーザパケット転送ルールの試験を行うための転送ルールである。
The flow table 22 includes a test
フローテーブル変換部17:フローテーブル22に設定予定の転送ルールが試験パケット判定部23、フロー情報格納処理部26、ユーザパケット処理部24、転送処理部28の4つの要素で構成されるよう変換し、制御装置12へ送信する。
Flow table conversion unit 17: Converts the transfer rule scheduled to be set in the flow table 22 to be composed of four elements: a test
フローテーブル変換部17の有する機能を以下に説明する。
フローテーブル変換部17では、ユーザパケットの処理だけが記述されたフローテーブルに対して、
・試験パケットかユーザパケットかを判定する機能(試験パケット判定部23)
・転送ルールの入ったフローテーブルを複製し、複製したフローテーブルには試験パケット受信時に、転送処理に利用したフローIDを、メタデータまたは、空きヘッダフィールドに格納する機能(フロー情報格納処理部26)
・試験パケットの場合は、フロー検査装置11に試験結果を送信した後に、本来のアクションを実行する機能(次の転送装置18に転送するなど)(転送処理部28)
が追加されるように変換処理を行う機能を有する。
The functions of the flow
In the flow
A function for determining whether the packet is a test packet or a user packet (test packet determination unit 23)
A function of copying the flow table containing the transfer rule and storing the flow ID used for the transfer process in the metadata or the empty header field when the test packet is received in the copied flow table (flow information storage processing unit 26 )
In the case of a test packet, a function for executing an original action after transmitting a test result to the flow inspection apparatus 11 (for example, transferring to the next transfer apparatus 18) (transfer processing unit 28)
Has a function of performing a conversion process so that is added.
制御装置12:複数の転送装置18のフローテーブル22への転送ルールの設定や、試験パケットの送信及び試験結果の受信、転送装置18との制御情報の送受信を行う。
試験結果受信部13:試験結果(転送装置18内でマッチした転送ルールのID(フローID)を試験対象の転送装置18から、制御装置12を介して受信する。受信した試験結果を試験結果判定部14へ渡す。
Control device 12: Sets transfer rules to the flow table 22 of a plurality of
Test result receiving unit 13: Receives a test result (the ID (flow ID) of a transfer rule matched in the transfer device 18) from the test
転送装置18(SDNノード)の構成
フローテーブル22
試験パケット判定部23:フローテーブル側受信部21を介して受信したパケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定部分に試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態に変換する。試験パケットであれば、フロー情報格納処理部26へ、ユーザパケットであればユーザパケット処理部24へ遷移する。
Configuration flow table 22 of transfer device 18 (SDN node)
Test packet determination unit 23: It is determined whether the packet received via the flow table
フロー情報格納処理部26:ユーザパケット処理部24を複製する事により、フロー情報格納処理部26が生成される。試験パケット転送ルール27のアクションフィールドに事前に変更を加えておき、試験パケットがマッチした転送ルールのIDをメタデータに格納する。(ユーザパケット処理部24とフロー情報格納処理部26はマッチしたフローIDをメタデータに格納する処理以外は等価な処理を行う)
Flow information storage processing unit 26: By copying the user
転送処理部28:全ての試験パケットは必ず転送処理部28を通過する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチしたフローIDが格納されたメタデータ情報と共にフロー検査装置11に向けて送信する。また、次の転送装置18に向けてフローテーブル側送信部29を介して試験パケットを送信する。
ユーザパケット処理部24:全てのユーザパケットをユーザパケット転送ルール25に沿って処理する。
Transfer processing unit 28: All test packets always pass the
User packet processing unit 24: Processes all user packets in accordance with the user
(2)機能接続構成−Bについて
制御装置12:複数の転送装置18のフローテーブル22への転送ルールの設定や、転送装置18との制御情報の送受信を行う。
フローテーブル変換部17:フローテーブル22に設定予定の転送ルールが試験パケット判定部23、フロー情報格納処理部26、ユーザパケット処理部24、転送処理部28の4つの要素で構成されるよう変換し、制御装置12へ送信する。
(2) Regarding the functional connection configuration-B, the control device 12: sets transfer rules to the flow table 22 of a plurality of
Flow table conversion unit 17: Converts the transfer rule scheduled to be set in the flow table 22 to be composed of four elements: a test
フロー検査装置11
試験結果判定部14:受信した試験結果のペイロードに付加されている試験IDから、試験パケットと試験結果の対応付けを行う。フロー情報管理部16に保存されている転送ルール群から試験結果に記されたフローIDに一致する転送ルールを呼び出す。試験結果判定部14は、試験結果(送信時の試験パケットヘッダ情報、受信時の試験パケットヘッダ情報、試験パケットが転送装置18内でマッチしたフローエントリ情報)とフロー情報管理部16から呼び出したフローテーブル情報に記載されているポリシーとが一致しているかどうかを比較することで、試験結果が正しいかどうかを判定することができる。
Test result determination unit 14: The test packet is associated with the test result from the test ID added to the payload of the received test result. A transfer rule that matches the flow ID written in the test result is called from the transfer rule group stored in the flow
試験パケット生成部15:フロー情報管理部16から得た検査対象の転送装置18のフローテーブル情報を元に、試験したいフローを構成する転送ルール群にマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納するか、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報をペイロードに付加する。生成したパケットは試験パケット送信部20を介して転送装置18へ送信される。
Test packet generation unit 15: Based on the flow table information of the
フロー情報管理部16:各転送装置18に設定されている転送ルールと、フローIDの対応表及び、試験パケットに格納する試験IDに対応する試験パケットヘッダ情報を保存する。
試験パケット送信部20:試験パケット生成部15で生成された試験パケットを試験対象フローの先頭の転送装置18へ送信する。
試験結果受信部13:試験対象の転送装置18のフローテーブル側送信部29から送信された試験結果(転送装置18内でマッチした転送ルールのIDと処理後の試験パケット)を受信する。
Flow information management unit 16: Stores a transfer rule set in each
Test packet transmitter 20: Transmits the test packet generated by the
Test result receiving unit 13: Receives a test result (a transfer rule ID matched with the
転送装置18(SDNノード)の構成
フローテーブル22
試験パケット判定部23:フローテーブル側受信部21を介して受信したパケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定部分に試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。試験パケットであれば、フロー情報格納処理部26へ、ユーザパケットであればユーザパケット処理部24へ遷移する。
フロー情報格納処理部26:ユーザパケット処理部24を複製する事により、フロー情報格納処理部26が生成される。試験パケット転送ルール27のアクションフィールドに事前に変更を加えておき、試験パケットがマッチした転送ルールのIDをメタデータに格納する。(ユーザパケット処理部24とフロー情報格納処理部26はマッチしたフローIDをメタデータに格納する処理以外は同一の処理を行う)
転送処理部28:全ての試験パケットは必ず転送処理部28を通過する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチしたフローIDが格納されたメタデータ情報を試験パケットの空きヘッダフィールドに格納してフロー検査装置11に向けてフローテーブル側送信部29から送信する。また、次の転送装置18に向けて試験パケットを送信する。
ユーザパケット処理部24:全てのユーザパケットをユーザパケット転送ルール25に沿って処理する。
Configuration flow table 22 of transfer device 18 (SDN node)
Test packet determination unit 23: It is determined whether the packet received via the flow table
Flow information storage processing unit 26: By copying the user
Transfer processing unit 28: All test packets always pass the
User packet processing unit 24: Processes all user packets in accordance with the user
(3)機能接続構成−Cについて
制御装置12:複数の転送装置18のフローテーブル22への転送ルールの設定や、転送装置18の制御情報の送受信を行う。
フローテーブル変換部17:制御装置12から転送装置18に向けた制御メッセージを受け取り、フローテーブル22に設定予定の転送ルールが試験パケット判定部23、フロー情報格納処理部26、ユーザパケット処理部24、転送処理部28の4つの要素で構成されるよう変換し、各転送装置18に送信する。
(3) Regarding the functional connection configuration-C, the control device 12: sets transfer rules to the flow table 22 of a plurality of
Flow table conversion unit 17: Receives a control message from the
フロー検査装置11
試験結果判定部14:受信した試験結果のペイロードに付加されている試験IDから、試験パケットと試験結果の対応付けを行う。フロー情報管理部16に保存されている転送ルール群から試験結果に記されたフローIDに一致する転送ルールを呼び出す。さらに、試験結果(送信時の試験パケットヘッダ情報、受信時の試験パケットヘッダ情報、試験パケットが転送装置18内でマッチしたフローエントリ情報)とフロー情報管理部16から呼び出したフローテーブル情報に記載されているポリシーとが一致しているかどうかを比較することで、試験結果が正しいかどうかを判定することができる。
Test result determination unit 14: The test packet is associated with the test result from the test ID added to the payload of the received test result. A transfer rule that matches the flow ID written in the test result is called from the transfer rule group stored in the flow
試験パケット生成部15:フロー情報管理部16から得た検査対象の転送装置18のフローテーブル情報を元に、試験したい転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納するか、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報(試験ID)をペイロードに付加する。
Test packet generator 15: Based on the flow table information of the
フロー情報管理部16:各転送装置18に設定されている転送ルールと、フローIDの対応表及び、試験パケットに付加する試験パケット識別子を保存する。
試験パケット送信部20:試験パケット生成部15で生成された試験パケットを試験対象の転送装置18へ送信する。
試験結果受信部13:試験結果(転送装置18内でマッチした転送ルールのIDと処理後の試験パケット)を試験対象の転送装置18から受信する。
Flow information management unit 16: Stores a transfer rule set in each
Test packet transmitting unit 20: Transmits the test packet generated by the test
Test result receiving unit 13: Receives the test result (the ID of the transfer rule matched in the
転送装置18(SDNノード)
フローテーブル22
試験パケット判定部23:フローテーブル側受信部21を介して受信したパケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定部分に試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。試験パケットであれば、フロー情報格納処理部26へ、ユーザパケットであればユーザパケット処理部26へ遷移する。
Transfer device 18 (SDN node)
Flow table 22
Test packet determination unit 23: It is determined whether the packet received via the flow table
フロー情報格納処理部26:事前に転送ルール内のアクションフィールドに変更を加えておく事により、試験パケットがマッチした転送ルールのID(フローID)をメタデータに格納する。 Flow information storage processing unit 26: By changing the action field in the transfer rule in advance, the ID (flow ID) of the transfer rule that matched the test packet is stored in the metadata.
転送処理部28:全ての試験パケットは必ず転送処理部28を通過する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチしたフローIDが格納されたメタデータ情報を試験パケットの空きヘッダフィールドに格納してフロー検査装置11に向けてフローテーブル側送信部29を介して送信する。また、次の転送装置18に向けて試験パケットを送信する。
ユーザパケット処理部24:全てのユーザパケットをユーザパケット転送ルール25に沿って処理する。
Transfer processing unit 28: All test packets always pass the
User packet processing unit 24: Processes all user packets in accordance with the user
(4)機能接続構成−Dについて
制御装置12:複数の転送装置18のフローテーブル22への転送ルールの設定や、転送装置18との制御情報の送受信を行う。
フローテーブル変換部17:フローテーブル22に設定予定の転送ルールが試験パケット判定部23、フロー情報格納処理部26、ユーザパケット処理部24、転送処理部28の4つの要素で構成されるよう変換し、制御装置12へ送信する。
(4) Regarding the functional connection configuration-D, the control device 12: sets transfer rules in the flow table 22 of a plurality of
Flow table conversion unit 17: Converts the transfer rule scheduled to be set in the flow table 22 to be composed of four elements: a test
フロー検査装置11
試験結果判定部14:受信した試験結果のペイロードに付加されている試験IDから、試験パケットと試験結果の対応付けを行う。フロー情報管理部16に保存されている転送ルール群から試験結果に記されたフローIDに一致する転送ルールを呼び出す。さらに、試験結果(送信時の試験パケットヘッダ情報、受信時の試験パケットヘッダ情報、試験パケットが転送装置18内でマッチしたフローエントリ情報)とフロー情報管理部16から呼び出したフローテーブル情報に記載されているポリシーとが一致しているかどうかを比較することで、試験結果が正しいかどうかを判定することができる。
Test result determination unit 14: The test packet is associated with the test result from the test ID added to the payload of the received test result. A transfer rule that matches the flow ID written in the test result is called from the transfer rule group stored in the flow
フロー情報管理部16:各転送装置18に設定されている転送ルールと、フローIDの対応表及び、試験パケットに付加する試験パケット識別子を保存する。
試験結果受信部13:試験結果(転送装置18内でマッチした転送ルールのIDと処理後の試験パケット)を試験対象の転送装置18から受信する。
Flow information management unit 16: Stores a transfer rule set in each
Test result receiving unit 13: Receives the test result (the ID of the transfer rule matched in the
試験パケット生成装置31
試験パケット生成部15:フロー情報管理部16から得た検査対象の転送装置18のフローテーブル情報を元に、試験したい転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納するか、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報(試験ID)をペイロードに付加する。生成したパケットは試験パケット送信部20を介して転送装置18へ送信される。
試験パケット送信部20:試験パケット生成部15で生成された試験パケットを試験対象の転送装置18へ送信する。
Test packet generator 15: Based on the flow table information of the
Test packet transmitting unit 20: Transmits the test packet generated by the test
転送装置18(SDNノード)
フローテーブル22
試験パケット判定部23:フローテーブル側受信部21を介して受信したパケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定部分に試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。試験パケットであれば、フロー情報格納処理部26へ、ユーザパケットであればユーザパケット処理部24へ遷移する。
Transfer device 18 (SDN node)
Flow table 22
Test packet determination unit 23: It is determined whether the packet received via the flow table
フロー情報格納処理部26:事前に転送ルール内のアクションフィールドに変更を加えておく事により、試験パケットがマッチした転送ルールのID(フローID)
をメタデータに格納する。
Flow information storage processing unit 26: By changing the action field in the transfer rule in advance, the ID (flow ID) of the transfer rule that matched the test packet
Is stored in the metadata.
転送処理部28:全ての試験パケットは必ず転送処理部28を通過する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチしたフローIDが格納されたメタデータ情報を試験パケットの空きヘッダフィールドに格納してフロー検査装置11に向けてフローテーブル側送信部29を介して送信する。また、次の転送装置18に向けて試験パケットを送信する。
Transfer processing unit 28: All test packets always pass the
(5)機能接続構成−Eについて
制御装置12:複数の転送装置18のフローテーブル22への転送ルールの設定や、転送装置18との制御情報の送受信を行う。
フローテーブル変換部17:制御装置12から転送装置18に向けた制御メッセージを受け取り、フローテーブル22に設定予定の転送ルールが試験パケット判定部23、フロー情報格納処理部26、ユーザパケット処理部24、転送処理部28の4つの要素で構成されるよう変換し、各転送装置18に送信する。
(5) Regarding the functional connection configuration-E, the control device 12: sets transfer rules in the flow table 22 of a plurality of
Flow table conversion unit 17: Receives a control message from the
フロー検査装置11
試験結果判定部14:受信した試験結果のペイロードに付加されている試験IDから、試験パケットと試験結果の対応付けを行う。フロー情報管理部16に保存されている転送ルール群から試験結果に記されたフローIDに一致する転送ルールを呼び出す。
さらに、試験結果(送信時の試験パケットヘッダ情報、受信時の試験パケットヘッダ情報、試験パケットが転送装置18内でマッチしたフローエントリ情報)とフロー情報管理部16から呼び出したフローテーブル情報に記載されているポリシーとが一致しているかどうかを比較することで、試験結果が正しいかどうかを判定することができる。
フロー情報管理部16:各転送装置18に設定されている転送ルールと、フローIDの対応表及び、試験パケットに付加する試験パケット識別子を保存する。
試験結果受信部13:試験結果(転送装置18内でマッチした転送ルールのIDと処理後の試験パケット)を試験対象の転送装置18から受信する。
Test result determination unit 14: The test packet is associated with the test result from the test ID added to the payload of the received test result. A transfer rule that matches the flow ID written in the test result is called from the transfer rule group stored in the flow
Furthermore, the test results (test packet header information at the time of transmission, test packet header information at the time of reception, flow entry information in which the test packet matches in the transfer device 18) and the flow table information called from the flow
Flow information management unit 16: Stores a transfer rule set in each
Test result receiving unit 13: Receives the test result (the ID of the transfer rule matched in the
試験パケット生成装置31
試験パケット生成部15:フロー情報管理部16から得た検査対象の転送装置18のフローテーブル情報を元に、試験したい転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納するか、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報(試験ID)をペイロードに付加する。生成したパケットは試験パケット送信部20を介して転送装置18へ送信される。
試験パケット送信部20:試験パケット生成部15で生成された試験パケットを試験対象の転送装置18へ送信する。
Test packet generator 15: Based on the flow table information of the
Test packet transmitting unit 20: Transmits the test packet generated by the test
転送装置18(SDNノード)
フローテーブル22
試験パケット判定部23:フローテーブル側受信部21を介して受信したパケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定部分に試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。試験パケットであれば、フロー情報格納処理部26へ、ユーザパケットであればユーザパケット処理部へ遷移する。
フロー情報格納処理部26:事前に転送ルール内のアクションフィールドに変更を加えておく事により、試験パケットがマッチした転送ルールのIDをメタデータに格納する。
転送処理部28:全ての試験パケットは必ず転送処理部28を通過する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチした転送ルールに対応するフローIDが格納されたメタデータ情報を試験パケットの空きヘッダフィールドに格納してフロー検査装置11に向けてフローテーブル側送信部29を介して送信する。また、次の転送装置18に向けて試験パケットを送信する。
Transfer device 18 (SDN node)
Flow table 22
Test packet determination unit 23: It is determined whether the packet received via the flow table
Flow information storage processing unit 26: By changing the action field in the transfer rule in advance, the ID of the transfer rule that matched the test packet is stored in the metadata.
Transfer processing unit 28: All test packets always pass the
(6)機能接続構成−F、G、H、I、Jについて
図6〜10にそれぞれ対応するF、G、H、I、Jは、先に述べた通り、試験パケットがマッチした転送ルール情報の取得方法として、パケットのヘッダフィールドを利用する場合の構成を示している。試験パケットがマッチした転送ルール情報の取得方法としてメタデータを用いる場合で、かつ試験結果の受信に制御装置12を介さない場合は、メタデータに保存した転送ルール情報をパケットの空きヘッダフィールドに書き込む必要があるが、試験パケットのヘッダフィールドに直接書き込む場合は、その必要性がない。
(6) Functional connection configuration—F, G, H, I, and J F, G, H, I, and J corresponding to FIGS. 6 to 10 are transfer rule information that matches the test packet as described above. As an acquisition method, a configuration in the case of using a header field of a packet is shown. When metadata is used as a method for acquiring transfer rule information that matches the test packet, and when the test result is not received via the
このため、転送処理部28を設ける必要がなく、フロー情報格納処理部26に転送処理部28が持っていたその他の機能を集約する事が可能となる。よって、“フロー情報格納処理部26”以外はA〜EとF〜Jはそれぞれ同じ構成をとる。以下、A〜Eのフロー情報格納処理部26の機能を示す。
For this reason, it is not necessary to provide the
フロー情報格納処理部26:事前に転送ルール内のアクションフィールドに変更を加えておく事により、試験パケットがマッチした転送ルールのID(フローID)を試験パケットのヘッダフィールドに格納する(ヘッダフィールドはマッチ条件に重複しない箇所を事前に選択)。転送(または破棄)処理の前に、試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、フロー検査装置11および、次の転送装置18に向けて試験パケットを送信する(アクションを実行する)。
に向けて送信する。
Flow information storage processing unit 26: By changing the action field in the transfer rule in advance, the ID (flow ID) of the transfer rule that matched the test packet is stored in the header field of the test packet (the header field is Select a location that does not overlap with the match condition in advance). Before the transfer (or discard) processing, if the test
Send to.
3.開発技術の動作
転送装置18における試験パケット処理の流れを図11−16に示す。また、試験パケットの流れを図17−23に示す。これは、機能接続構成Aを例に転送装置#1から転送装置#3に向けて試験パケットを送信した場合の試験パケットの流れを示す。本発明の動作を実現方法毎に説明する。
3. FIG. 11-16 shows the flow of test packet processing in the
(1)機能接続構成−Aの動作
機能接続構成−Aの動作を以下に図11を用いて説明する。本実施形態では、転送装置18に転送ルールを設定する前に、フロー検査装置11のフローテーブル変換部17において転送装置18のフローテーブル22に設定予定の転送ルールを試験パケット判定部23、フロー情報格納処理部26、転送処理部、ユーザパケット処理部24により構成される形に変換し、制御装置12を介して各転送装置18に設定する。
(1) Operation of Function Connection Configuration-A The operation of Function Connection Configuration-A will be described below with reference to FIG. In the present embodiment, before setting a transfer rule in the
次に、ネットワーク管理者からの要求を契機に(ステップS101)を、試験パケット生成部15からフロー情報管理部16の管理情報を元に試験対象の転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。
Next, in response to a request from the network administrator (step S101), a test packet having header information that matches the transfer rule to be tested based on the management information of the flow
転送装置18内で試験パケットユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納するか、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報(フローID)をペイロードに付加する。生成したパケットは制御装置12から最初の宛先となる転送装置18に送信する。
In order to process the packet separately from the test packet user packet in the
転送装置18におけるフローテーブル側受信部21で受信した試験パケットは、まず試験パケット判定部23で処理される。試験パケット判定部23では、受信パケットが試験パケットであるかどうかを判定する(ステップS102)。試験パケットであれば、ヘッダフィールドの特定フィールドに試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し(ステップS103)、ユーザパケットと同じ状態にする。なお、試験パケットでない場合は、ユーザパケット処理部24へ転送される(ステップS111)。
The test packet received by the flow table
次に、試験パケットはフロー情報格納処理部26で処理される(ステップS104)。フロー情報格納処理部26にはユーザパケット処理部24から複製された転送ルールが格納されており、試験パケットはユーザパケットと同様に転送ルールに従いマッチ処理される(ステップS105)。フロー情報格納処理部26では試験パケットがマッチした転送ルールのIDを取得するために、事前に各転送ルールのアクションフィールドに、フローIDをメタデータに書き込むアクションを追加しておく(ステップS106及び107)。
Next, the test packet is processed by the flow information storage processing unit 26 (step S104). The flow information
転送ルールが複数テーブルに及ぶ場合はメタデータをテーブル毎に分割し(ステップS108)、マスク処理する事により全てのテーブルでマッチした転送ルールの情報取得を可能とする。最後に、試験パケットは転送処理部28で処理される。転送処理部28は、フローIDを格納したメタデータと処理された試験パケットをフローテーブル側送信部29を介して制御装置12へ送信する。
When the transfer rule extends over a plurality of tables, the metadata is divided for each table (step S108), and mask processing is performed to enable acquisition of information on transfer rules that match in all tables. Finally, the test packet is processed by the
試験パケット判定部23でカプセル化解除している場合は再度カプセル化し(ステップS109)、マッチした転送ルールに対応するフローIDが格納されたメタデータ情報と共に制御装置12に向けて送信する。また、対応するユーザパケット転送ルールと同様のアクション(転送または破棄)を実行する(ステップS110)。また、ステップS111における試験パケット以外のユーザパケットは、試験パケットにおけるステップS105、107、108と同様の動作でステップS112〜114の処理が行われる。
When decapsulation is performed by the test
試験結果を受け取った試験結果受信部13は、試験結果判定部14に受信した試験結果を転送し、受信した試験結果のペイロードに付加されているフローIDから試験パケットと試験結果の対応付けを行い、メタデータ内のフローIDから転送ルールを導き出す。ネットワーク管理者は、送信した試験パケット、試験パケットがマッチした転送ルール、処理された試験パケットの3つの情報を元に、正常性を評価する。
Upon receiving the test result, the test
なお、図11に示すステップS101〜110は転送装置18における試験パケット処理の流れ(マッチした転送ルールに対応するフローIDをメタデータに書き込む場合)であって、図12に示すステップS201〜210は試験パケットをカプセル化し、試験パケット識別子の書き込みにメタデータを用いる場合を示す。 Steps S101 to 110 shown in FIG. 11 are a flow of test packet processing in the transfer device 18 (when a flow ID corresponding to a matched transfer rule is written to metadata), and steps S201 to 210 shown in FIG. A case where a test packet is encapsulated and metadata is used for writing a test packet identifier is shown.
(2)機能接続構成−Bの動作
転送装置18に転送ルールを設定する前に、フロー検査装置11のフローテーブル変換部17において転送装置18のフローテーブル22に設定予定の転送ルールを試験パケット判定部23、フロー情報格納処理部26、転送処理部28、ユーザパケット処理部24により構成される形に変換し、制御装置12を介して各転送装置18に設定する。
(2) Operation of Functional Connection Configuration-B Before setting a transfer rule in the
次に、ネットワーク管理者からの要求を契機に、試験パケット生成部15からフロー情報管理部16の管理情報を元に試験対象の転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納する。
Next, in response to a request from the network administrator, a test packet having header information that matches the transfer rule to be tested is generated from the test
又は、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報(試験ID)をペイロードに付加する。生成したパケットは試験パケット送信部20から最初の宛先となる転送装置18に送信する。
Alternatively, it is encapsulated with a protocol that is not used as a match condition in all
転送装置18におけるフローテーブル側受信部21で受信した試験パケットは、まず試験パケット判定部23で処理される。試験パケット判定部23では、受信パケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定フィールドに試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。
The test packet received by the flow table
次に、試験パケットはフロー情報格納処理部26で処理される。フロー情報格納処理部26にはユーザパケット処理部24から複製された転送ルールが格納されており、試験パケットはユーザパケットと同様に処理される。
Next, the test packet is processed by the flow information
フロー情報格納処理部26では試験パケットがマッチした転送ルールのIDを取得するために、事前に各転送ルールのアクションフィールドに、フローIDをメタデータに書き込むアクションを追加しておく。転送ルールが複数テーブルに及ぶ場合はメタデータをテーブル毎に分割し、マスク処理する事により全てのテーブルでマッチした転送ルールの情報取得を可能とする。
In order to acquire the ID of the transfer rule that matches the test packet, the flow information
最後に、試験パケットは転送処理部28で処理される。転送処理部28は、フローIDを格納したメタデータと処理された試験パケットをフローテーブル側送信部29を介してフロー検査装置11の試験結果受信部13へ向けて送信する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチしたフローIDが格納されたメタデータ情報を試験パケットのヘッダフィールドの空きフィールドに格納し、フロー検査装置11に向けて送信する。また、アクション(転送または破棄)を実行する。
Finally, the test packet is processed by the
試験結果を受け取った試験結果受信部13は、試験結果判定部14に受信した試験結果を転送し、受信した試験結果のペイロードに付加されている試験パケット識別子から試験パケットと試験結果の対応付けを行い、取得したフローIDから転送ルールを導き出す。ネットワーク管理者は、送信した試験パケット、試験パケットがマッチした転送ルール、処理された試験パケットの3つの情報を元に、正常性を評価する。
The test
(3)機能接続構成−Cの動作
制御装置12から転送装置18に向けた制御メッセージを受け取り、フローテーブル22に設定予定の転送ルールが試験パケット判定部23、フロー情報格納処理部26、ユーザパケット処理部24、転送処理部28の4つの要素で構成されるよう変換し、各転送装置18に送信する。
(3) Operation of Functional Connection Configuration-C A control message from the
次に、ネットワーク管理者からの要求を契機に、試験パケット生成部15からフロー情報管理部16の管理情報を元に試験対象の転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納する。
Next, in response to a request from the network administrator, a test packet having header information that matches the transfer rule to be tested is generated from the test
又は、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報(試験ID)をペイロードに付加する。生成したパケットは試験パケット送信部20から最初の宛先となる転送装置18に送信する。
Alternatively, it is encapsulated with a protocol that is not used as a match condition in all
転送装置18におけるフローテーブル側受信部21で受信した試験パケットは、まず試験パケット判定部23で処理される。試験パケット判定部23では、受信パケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定フィールドに試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。
The test packet received by the flow table
次に、試験パケットはフロー情報格納処理部26で処理される。フロー情報格納処理部26にはユーザパケット処理部24から複製された転送ルールが格納されており、試験パケットはユーザパケットと同様に処理される。
Next, the test packet is processed by the flow information
フロー情報格納処理部26では試験パケットがマッチした転送ルールのID(フローID)を取得するために、事前に各転送ルールのアクションフィールドに、フローIDをメタデータに書き込むアクションを追加しておく。転送ルールが複数テーブルに及ぶ場合はメタデータをテーブル毎に分割し、マスク処理する事により全てのテーブルでマッチした転送ルールの情報取得を可能とする。
In order to acquire the ID (flow ID) of the transfer rule that matched the test packet, the flow information
最後に、試験パケットは転送処理部28で処理される。転送処理部28は、フローIDを格納したメタデータと処理された試験パケットをフローテーブル側送信部29を介してフロー検査装置11の試験結果受信部13へ向けて送信する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチした転送ルールに対応するフローIDが格納されたメタデータ情報を試験パケットのヘッダフィールドの空きフィールドに格納し、フロー検査装置11に向けて送信する。また、アクション(転送または破棄)を実行する。
Finally, the test packet is processed by the
試験結果を受け取った試験結果受信部13は、試験結果判定部14に受信した試験結果を転送し、受信した試験結果のペイロードに付加されている試験IDから試験パケットと試験結果の対応付けを行い、取得したフローIDから転送ルールを導き出す。ネットワーク管理者は、送信した試験パケット、試験パケットがマッチした転送ルール、処理された試験パケットの3つの情報を元に、正常性を評価する。
The test
(4)機能接続構成−Dの動作
転送装置18に転送ルールを設定する前に、フロー検査装置11のフローテーブル変換部17において転送装置18のフローテーブル22に設定予定の転送ルールを試験パケット判定部23、フロー情報格納処理部26、転送処理部28、ユーザパケット処理部24により構成される形に変換し、制御装置12を介して各転送装置18に設定する。
(4) Operation of Functional Connection Configuration-D Before setting transfer rules in the
次に、ネットワーク管理者からの要求を契機に、試験パケット生成装置31の試験パケット生成部15からフロー情報管理部16の管理情報を元に試験対象の転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納するか、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報をペイロードに付加する。生成したパケットは試験パケット送信部20から最初の宛先となる転送装置18に送信する。
Next, in response to a request from the network administrator, a test packet having header information that matches the transfer rule to be tested based on the management information of the flow
転送装置18におけるフローテーブル側受信部21で受信した試験パケットは、まず試験パケット判定部23で処理される。試験パケット判定部23では、受信パケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定フィールドに試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。
The test packet received by the flow table
次に、試験パケットはフロー情報格納処理部26で処理される。フロー情報格納処理部26にはユーザパケット処理部24から複製された転送ルールが格納されており、試験パケットはユーザパケットと同様に処理される。
Next, the test packet is processed by the flow information
フロー情報格納処理部26では試験パケットがマッチした転送ルールのID(フローID)を取得するために、事前に各転送ルールのアクションフィールドに、フローIDをメタデータに書き込むアクションを追加しておく。転送ルールが複数テーブルに及ぶ場合はメタデータをテーブル毎に分割し、マスク処理する事により全てのテーブルでマッチした転送ルールの情報取得を可能とする。
In order to acquire the ID (flow ID) of the transfer rule that matched the test packet, the flow information
最後に、試験パケットは転送処理部28で処理される。転送処理部28は、フローIDを格納したメタデータと処理された試験パケットをフローテーブル側送信部29を介してフロー検査装置11の試験結果受信部13へ向けて送信する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチした転送ルールに対応するフローIDが格納されたメタデータ情報を試験パケットのヘッダフィールドの空きフィールドに格納し、フロー検査装置11に向けて送信する。また、アクション(転送または破棄)を実行する。
Finally, the test packet is processed by the
試験結果を受け取った試験結果受信部13は、試験結果判定部14に受信した試験結果を転送し、受信した試験結果のペイロードに付加されている試験IDから試験パケットと試験結果の対応付けを行い、取得したフローIDから転送ルールを導き出す。ネットワーク管理者は、送信した試験パケット、試験パケットがマッチした転送ルール、処理された試験パケットの3つの情報を元に、正常性を評価する。
The test
(5)機能接続構成−Eの動作
制御装置12から転送装置18に向けた制御メッセージを受け取り、フローテーブル22に設定予定の転送ルールが試験パケット判定部23、フロー情報格納処理部26、ユーザパケット処理部24、転送処理部28の4つの要素で構成されるよう変換し、各転送装置18に送信する。
(5) Operation of Functional Connection Configuration-E A control message from the
次に、ネットワーク管理者からの要求を契機に、試験パケット生成装置31の試験パケット生成部15からフロー情報管理部16の管理情報を元に試験対象の転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納する。
Next, in response to a request from the network administrator, a test packet having header information that matches the transfer rule to be tested based on the management information of the flow
又は、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報をペイロードに付加する。生成したパケットは試験パケット送信部20から最初の宛先となる転送装置18に送信する。
Alternatively, it is encapsulated with a protocol that is not used as a match condition in all the
転送装置18で受信した試験パケットは、まず試験パケット判定部23で処理される。試験パケット判定部23では、受信パケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定フィールドに試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。
The test packet received by the
次に、試験パケットはフロー情報格納処理部26で処理される。フロー情報格納処理部26にはユーザパケット処理部24から複製された転送ルールが格納されており、試験パケットはユーザパケットと同様に処理される。
Next, the test packet is processed by the flow information
フロー情報格納処理部26では試験パケットがマッチした転送ルールのIDを取得するために、事前に各転送ルールのアクションフィールドに、フローIDをメタデータに書き込むアクションを追加しておく。転送ルールが複数テーブルに及ぶ場合はメタデータをテーブル毎に分割し、マスク処理する事により全てのテーブルでマッチした転送ルールの情報取得を可能とする。
In order to acquire the ID of the transfer rule that matches the test packet, the flow information
最後に、試験パケットは転送処理部28で処理される。転送処理部28は、フローIDを格納したメタデータと処理された試験パケットをフローテーブル側送信部29を介してフロー検査装置11の試験結果受信部13へ向けて送信する。試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、マッチした転送ルールに対応するフローIDが格納されたメタデータ情報を試験パケットのヘッダフィールドの空きフィールドに格納し、フロー検査装置11に向けて送信する。また、アクション(転送または破棄)を実行する。
Finally, the test packet is processed by the
試験結果を受け取った試験結果受信部13は、試験結果判定部14に受信した試験結果を転送し、受信した試験結果のペイロードに付加されている試験IDから試験パケットと試験結果の対応付けを行い、取得したフローIDから転送ルールを導き出す。ネットワーク管理者は、送信した試験パケット、試験パケットがマッチした転送ルール、処理された試験パケットの3つの情報を元に、正常性を評価する。
The test
(6)機能接続構成−F、G、H、I、Jの動作
ここでは、F−Jは、マッチした転送ルールを試験パケットの空きヘッダフィールドに書き込む事で、A−Eの転送処理部28の機能をフロー情報格納処理部26に集約したものであるため、1つのケースのみ例示することとする。
(6) Operation of Functional Connection Configuration-F, G, H, I, J Here, F-J writes the matched transfer rule to the empty header field of the test packet, thereby transferring the
転送装置18に転送ルールを設定する前に、フロー検査装置11のフローテーブル変換部17において転送装置18のフローテーブル22に設定予定の転送ルールを試験パケット判定部23、フロー情報格納処理部26、転送処理部28、ユーザパケット処理部24により構成される形に変換し、制御装置12を介して各転送装置18に設定する。
Before setting transfer rules in the
次に、ネットワーク管理者からの要求を契機に、試験パケット生成装置31の試験パケット生成部15からフロー情報管理部16の管理情報を元に試験対象の転送ルールにマッチするヘッダ情報を持つ試験パケットを生成する。転送装置18内で試験パケットをユーザパケットと区別して処理するために、試験パケットは全ての転送装置18内でマッチ条件に用いられていないヘッダフィールドに試験パケット識別子を格納する。
Next, in response to a request from the network administrator, a test packet having header information that matches the transfer rule to be tested based on the management information of the flow
又は、全ての転送装置18内でマッチ条件に用いられていないプロトコルでカプセル化し、試験パケットを一意に識別するための識別情報(試験ID)をペイロードに付加する。生成したパケットは制御装置12(またはフロー検査装置11の試験パケット送信部20)から最初の宛先となる転送装置18に送信する。
Alternatively, it is encapsulated with a protocol that is not used as a match condition in all
転送装置18におけるフローテーブル側受信部21で受信した試験パケットは、まず試験パケット判定部23で処理される。試験パケット判定部23では、受信パケットが試験パケットであるかどうかを判定する。試験パケットであれば、ヘッダフィールドの特定フィールドに試験パケット識別子が格納されているか、未使用のプロトコルでカプセル化されている。カプセル化されている場合は、カプセル化を解除し、ユーザパケットと同じ状態にする。
The test packet received by the flow table
次に、試験パケットはフロー情報格納処理部26で処理される。フロー情報格納処理部26にはユーザパケット処理部24から複製された転送ルールが格納されており、試験パケットはユーザパケットと同様に処理される。フロー情報格納処理部26では試験パケットがマッチした転送ルールのIDを取得するために、事前に各転送ルールのアクションフィールドに、フローIDを特定のヘッダフィールドに書き込むアクションを追加しておく。
Next, the test packet is processed by the flow information
転送ルールが複数テーブルに及ぶ場合は特定のヘッダフィールドをテーブル毎に分割し、マスク処理する事により、全てのテーブルでマッチした転送ルールの情報取得を可能とする。アクションフィールドにパケットの転送または破棄が明示されている場合は、そのアクションが実行される前に、試験パケット判定部23でカプセル化解除している場合は再度カプセル化し、試験パケットを制御装置12(またはフロー検査装置11の試験結果受信部13)に送信するアクションを追加しておく。
When the transfer rule covers a plurality of tables, a specific header field is divided for each table, and mask processing is performed, thereby making it possible to obtain information on transfer rules that match in all tables. When transfer or discard of a packet is clearly specified in the action field, before the action is executed, if decapsulation is performed by the test
試験結果を受け取った制御装置12(または試験結果受信部13)は、試験結果判定部14に受信した試験結果を転送し、受信した試験結果のペイロードに付加されている試験パケット識別子から試験パケットと試験結果の対応付けを行い、取得したフローIDから転送ルールを導き出す。ネットワーク管理者は、送信した試験パケット、試験パケットがマッチした転送ルール、処理された試験パケットの3つの情報を元に、正常性を評価する。ここで、機能接続構成A〜Jのそれぞれの動作は、各機能接続構成毎に上記に説明したが、図11〜16における動作方法のいずれかにより動作してもよい。
The control device 12 (or the test result receiving unit 13) that has received the test result transfers the received test result to the test
具体的な動作方法の説明として図11を用いて上述したが、試験パケットの識別方法として、マッチ条件に重複しない値をヘッダフィールドに格納する方法をとり、フローIDの書き込みにメタデータを利用する場合は図13に係る試験パケット処理を実行してもよい。マッチした転送ルールに対応するフローIDをパケットのヘッダに書き込む場合は図14に係る試験パケット処理を実行してもよい。 Although the specific operation method has been described above with reference to FIG. 11, as a test packet identification method, a method in which a value that does not overlap with the match condition is stored in the header field, and metadata is used for writing the flow ID. In this case, the test packet processing according to FIG. 13 may be executed. When writing the flow ID corresponding to the matched transfer rule in the header of the packet, the test packet processing according to FIG. 14 may be executed.
また、試験パケットをカプセル化し、フローIDの書き込みに試験パケットの空きヘッダフィールドを用いる場合は図15に係る試験パケット処理を実行してもよい。試験パケットの識別方法として、マッチ条件に重複しない値をヘッダフィールドに格納する方法を利用し、フローIDの書き込みにも空きヘッダフィールドを用いる場合は図16に係る試験パケット処理を実行してもよい。 Further, when the test packet is encapsulated and the empty header field of the test packet is used for writing the flow ID, the test packet processing according to FIG. 15 may be executed. As a test packet identification method, a method of storing a value that does not overlap with the match condition in a header field is used, and when an empty header field is used for writing a flow ID, the test packet processing according to FIG. 16 may be executed. .
4.発明によって生じる効果
本稿では、関連技術では得る事のできなかった各転送装置18内で試験パケットがマッチした転送ルール情報をマルチテーブルの仕組みを利用する事により取得する方法を提案した。
4). Effects Produced by the Invention In this paper, a method for acquiring transfer rule information matched with a test packet in each
本発明により、ネットワーク管理者はユーザパケットとは区別して試験パケットの流れを把握する事ができるようになるため、関連技術に比べて仮想ネットワーク内の詳細な状態を検証する事が可能となる。更に、障害が発生した際には、本発明を用いて各SDNノードにおける試験パケットの処理を、マッチした転送ルール単位で追う事により、障害発生箇所の特定を関連技術よりも迅速に行う事が可能となる。 According to the present invention, since the network administrator can grasp the flow of the test packet separately from the user packet, the detailed state in the virtual network can be verified as compared with the related art. Furthermore, when a failure occurs, the present invention can be used to track the test packet at each SDN node in units of matched transfer rules so that the location of the failure can be identified more quickly than the related technology. It becomes possible.
また、試験パケット処理部をユーザパケット処理部24と分離したことにより、ユーザパケット処理のための転送ルールに対して制限(メタデータの専有等)を設けることなく検証を実施する事が可能となり、試験可能なユースケースを拡大した。
In addition, by separating the test packet processing unit from the user
“ユーザパケットを処理する転送ルールを同一筐体内で複製し、試験パケットの処理を実施する”という方法に関しては、OpenFlowに留まらず、処理がハードウェアに依存しないソフトウェアで実現されたネットワーク機能であれば、適用が可能であると考える。 With regard to the method of “copying transfer rules for processing user packets in the same housing and executing test packet processing”, the network function is not limited to OpenFlow, and the processing is realized by software independent of hardware. If this is the case, it can be applied.
ここで、本実施形態に係るネットワーク検査システムにおいて、フローテーブル側受信部21と、フローテーブル22と、試験パケット判定部23と、ユーザパケット処理部24と、フロー情報格納処理部26と、が有する機能を転送プログラムとして転送装置18が有する記憶部(不図示)に記憶される。また、本実施形態に係るネットワーク検査システムにおいて、制御装置12と、試験結果受信部13と、試験結果判定部14と、試験パケット生成部15と、フロー情報管理部16と、フローテーブル変換部17と、が有する機能をフロー検査プログラムとしてフロー検査装置11が有する記憶部(不図示)に記憶される。この場合、転送装置18又はフロー検査装置11内のCPU(Central Processing Unit)が、記憶部(不図示)に記憶されたコンピュータプログラムを実行することで、各構成を実現する。
Here, in the network inspection system according to the present embodiment, the flow table
5.発明のポイント
(1)SDNの利点(ソフトウェアで記述する事ができるため、ルールの追加や削除、複製が容易)を活かし、フローテーブル22を複製して検査用のフローテーブル22(試験パケット転送用ルール)を生成する。
(2)転送装置18に転送ルールが設定される前に、各転送ルールが、試験パケット判定部23、フロー情報格納処理部26、ユーザパケット処理部24、(転送先判定部)の4つ(3つ)の要素から構成されるよう、フローテーブル変換部17の機能を活用して変更を行う(図24)。
(3)ユーザパケット処理部24内の転送ルールには、試験機能を導入しても、手が加わることがない。(ユーザパケットに対しては不要な処理が一切されない)
(4)試験パケットをユーザパケットと区別して識別するために、試験パケットは管理者が指定したプロトコルを利用してカプセル化する。
(5)カプセル化を利用しない場合は、試験パケットをユーザパケットと区別するために、試験パケットは転送ルールのマッチ条件に指定されていないヘッダフィールドに試験パケット識別子を格納する。
(6)転送ルールを一意に識別するために、新たにフローIDを定義する。
(7)試験パケットがマッチした転送ルールの情報(フローID)を得るために、フロー情報格納処理部26内の転送ルールには、マッチ条件に利用されていないヘッダフィールドもしくは、メタデータにフローIDを格納するアクションを追加する。
(8)試験結果の取得時に制御装置12を介さない実装で、かつフローテーブル情報の取得にメタデータを利用する場合は、メタデータ情報を試験パケットの空きヘッダフィールドに格納する処理を転送処理部28で実施する。
(9)転送用ルール群の前段にテーブル(試験パケット判定部23)を設置し、試験パケットの識別を行う。
(10)フローIDの格納にメタデータを活用し、かつ転送用ルールがマルチテーブルの場合は、メタデータをテーブルの合計数に区切って、各区画をテーブル毎に割り当てる(図25)。
(11)転送用ルール群に記述されているアクションのうち、パケットの転送や破棄に関するものは試験結果(取得したフローIDと、処理された試験パケット)をフロー検査装置11に送信した後に実行する。
(12)ネットワーク内のすべての転送装置18のフローエントリを取得し、それをもとに検査したいフローにマッチする試験パケットを生成する。
(13)制御装置12を介して設定される予定の転送ルールを「事前に書き換えること」により、検証機能を実現することができる。
(14)送信前の試験パケットの状態、送信後(処理後)の試験パケットの状態、処理に用いられた(マッチした)フローエントリの情報の3つの情報から正常性を確かめることができる。
(15)ユーザパケット処理用の転送ルール(フローテーブル22)を複製し、試験パケット処理用のフローテーブル22を作成することで、メタデータをマッチ条件に用いるようなユースケースも対応可能である。
5. Points of the Invention (1) Utilizing the advantages of SDN (because it can be described by software, it is easy to add, delete and duplicate rules), the flow table 22 is duplicated for inspection (for transfer of test packets) Rule).
(2) Before a transfer rule is set in the
(3) The transfer rule in the user
(4) In order to distinguish the test packet from the user packet, the test packet is encapsulated using a protocol designated by the administrator.
(5) When encapsulation is not used, the test packet stores a test packet identifier in a header field that is not specified in the matching condition of the transfer rule in order to distinguish the test packet from the user packet.
(6) In order to uniquely identify the transfer rule, a new flow ID is defined.
(7) In order to obtain transfer rule information (flow ID) that matches the test packet, the transfer rule in the flow information
(8) When the test result is acquired without using the
(9) A table (test packet determination unit 23) is installed in the previous stage of the transfer rule group, and the test packet is identified.
(10) When metadata is used for storing the flow ID and the transfer rule is a multi-table, the metadata is divided into the total number of tables, and each partition is assigned to each table (FIG. 25).
(11) Among the actions described in the transfer rule group, those related to packet forwarding and discarding are executed after the test results (acquired flow ID and processed test packet) are transmitted to the
(12) Acquire flow entries of all
(13) The verification function can be realized by “rewriting in advance” the transfer rule scheduled to be set via the
(14) Normality can be confirmed from the three types of information: the state of the test packet before transmission, the state of the test packet after transmission (after processing), and the information of the flow entry used (matched) for processing.
(15) By copying the transfer rule (flow table 22) for user packet processing and creating the flow table 22 for test packet processing, use cases in which metadata is used as a match condition can be handled.
本発明は情報通信産業に適用することができる。 The present invention can be applied to the information communication industry.
11:フロー検査装置
12:制御装置
13:試験結果受信部
14:試験結果判定部
15:試験パケット生成部
16:フロー情報管理部
17:フローテーブル変換部
18:転送装置
20:試験パケット送信部
21:フローテーブル側受信部
22:フローテーブル
23:試験パケット判定部
24:ユーザパケット処理部
25:ユーザパケット転送ルール
26:フロー情報格納処理部
27:試験パケット転送ルール
28:転送処理部
29:フローテーブル側送信部
31:試験パケット生成装置
11: Flow inspection device 12: Control device 13: Test result reception unit 14: Test result determination unit 15: Test packet generation unit 16: Flow information management unit 17: Flow table conversion unit 18: Transfer device 20: Test packet transmission unit 21 : Flow table side receiving unit 22: flow table 23: test packet determining unit 24: user packet processing unit 25: user packet transfer rule 26: flow information storage processing unit 27: test packet transfer rule 28: transfer processing unit 29: flow table Side transmitter 31: test packet generator
Claims (7)
前記フロー検査装置は、
前記転送装置における転送ルールを定めるフローエントリとフローIDとを対応付ける対応表、試験IDに対応する試験パケットのヘッダ情報、を格納するフロー情報管理部と、
検査するフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを保持する試験パケットを生成する試験パケット生成部と、を備え、
前記転送装置は、
ネットワークを介して外部から受信したパケットが前記試験パケットであるか否かを、前記試験パケット識別子を用いて判定する試験パケット判定部と、
受信したパケットが前記ユーザパケットである場合、ヘッダ情報に一致するフローエントリで定められる処理を行う通常パケット処理部と、
前記通常パケット処理部に備わるフローエントリごとに前記試験パケット用のフローエントリが設けられ、受信したパケットが前記試験パケットである場合、ヘッダ情報に一致するフローエントリで定められる処理に加えて当該フローエントリに対応するフローIDを追記する処理を行う試験パケット処理部と、
を備えることを特徴とするネットワーク検査システム。 A network inspection system in which a transfer device for transferring a packet and a flow inspection device for inspecting packet processing in the transfer device are connected ,
The flow inspection apparatus includes:
A flow information management unit for storing a correspondence table associating a flow entry and a flow ID defining a forwarding rule in the forwarding device, header information of a test packet corresponding to the test ID,
Header information matching the flow entry to inspect, test packet identifier used to distinguish test packets and user packets, and a test packet for holding the test ID to be used to perform mapping of the test packet and the test results A test packet generation unit for generating,
The transfer device is
A test packet determination unit that determines whether a packet received from the outside via a network is the test packet, using the test packet identifier ;
If the received packet is the user packet, a row Cormorant normal packet processor processes defined by the flow entry matching the header information,
When a flow entry for the test packet is provided for each flow entry provided in the normal packet processing unit, and the received packet is the test packet, the flow entry is added to the process defined by the flow entry matching the header information. and line intends test packet processor processing to append a flow ID corresponding to,
A network inspection system comprising:
前記転送装置においてフローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた前記試験パケットを、前記試験結果として受信する試験結果受信部と、
前記試験結果に記載されている試験IDに一致する前記試験パケットのヘッダ情報を前記フロー情報管理部から呼び出し、前記試験結果に記載されているフローIDに対応するフローエントリを前記フロー情報管理部から呼び出し、前記試験パケットのヘッダ情報に一致するフローエントリと呼び出したフローエントリが一致している場合に、前記転送装置がヘッダ情報に従って動作していると判定する試験結果判定部をさらに備える、
請求項1に記載のネットワーク検査システム。 The flow inspection apparatus includes:
A test result receiving unit that receives, as the test result, the test packet that has been subjected to the process defined by the flow entry in which the flow ID is added and matches the header information in the transfer device;
The header information of the test packet that matches the test ID described in the test result is called from the flow information management unit, and the flow entry corresponding to the flow ID described in the test result is read from the flow information management unit. calls, when the flow entry that called a flow entry that matches the header information of the test packets are matched, the transfer device further comprises a a determining test result determination unit operating according to the header information,
The network inspection system according to claim 1.
前記転送装置における転送ルールを定めるフローエントリとフローIDとを対応付ける対応表、試験IDに対応するヘッダ情報、を格納するフロー情報管理部と、
前記転送装置における転送ルールを定めるフローエントリを複製し、フローエントリで定められた処理に加えて当該フローエントリに対応するフローIDを試験パケットに追記する処理を前記転送装置に行わせる試験パケット用のフローエントリを、前記転送装置に生成するフローテーブル変換部と、
検査するフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを記載した試験パケットを生成する試験パケット生成部と、
前記試験パケット生成部で生成された前記試験パケットを受信した前記転送装置から、ヘッダ情報に一致するフローエントリのフローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた当該試験パケットを、前記試験結果として受信する試験結果受信部と、
前記試験結果に記載されている試験IDに一致する試験パケットのヘッダ情報を前記フロー情報管理部から呼び出し、前記試験結果に記載されているフローIDに対応するフローエントリを前記フロー情報管理部から呼び出し、前記試験パケットのヘッダ情報に一致するフローエントリと呼び出したフローエントリが一致している場合に、前記転送装置がヘッダ情報に従って動作していると判定する試験結果判定部と、
を備えることを特徴とするフロー検査装置。 A flow inspection device connected to a transfer device for transferring packets ,
A flow information management unit for storing a correspondence table associating a flow entry and a flow ID for defining a transfer rule in the transfer device, header information corresponding to a test ID,
For a test packet that duplicates a flow entry that defines a transfer rule in the transfer device and causes the transfer device to perform a process of adding a flow ID corresponding to the flow entry to the test packet in addition to the process defined in the flow entry A flow table conversion unit for generating a flow entry in the transfer device;
Header information matching the flow entry to inspect, test packet identifier used to distinguish test packets and user packets, and a test packet describing the test ID to be used to perform mapping of the test packet and the test results and generate test packet generator,
The transfer device that has received the test packet generated by the test packet generation unit adds the flow ID of the flow entry that matches the header information, and the process defined by the flow entry that matches the header information has been performed. A test result receiving unit for receiving a test packet as the test result;
Call the header information of the test packet that matches the test ID described in the test result from the flow information management unit, and call the flow entry corresponding to the flow ID described in the test result from the flow information management unit , and wherein when the flow entry that called a flow entry that matches the header information of the test packets are matched, the transfer device is determined to be operating in accordance with the header information test result determination unit,
A flow inspection apparatus comprising:
転送ルールを定めるフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを保持する試験パケットを、前記フロー検査装置から受信するフローテーブル側受信部と、Test packet that holds header information that matches the flow entry that defines the transfer rule, a test packet identifier that is used to distinguish the test packet from the user packet, and a test ID that is used to associate the test packet with the test result A flow table side receiving unit for receiving from the flow inspection device,
ネットワークを介して外部から受信したパケットが前記試験パケットであるか否かを、前記試験パケット識別子を用いて判定する試験パケット判定部と、 A test packet determination unit that determines whether a packet received from the outside via a network is the test packet, using the test packet identifier;
受信したパケットが前記ユーザパケットである場合、受信した当該パケットに対し、ヘッダ情報に一致するフローエントリで定められる処理を行う通常パケット処理部と、 When the received packet is the user packet, a normal packet processing unit that performs processing determined by the flow entry that matches the header information for the received packet;
前記通常パケット処理部に備わるフローエントリごとに試験パケット用のフローエントリが設けられ、受信したパケットが前記試験パケットである場合、受信した当該パケットに対し、ヘッダ情報に一致するフローエントリで定められる処理に加えて当該フローエントリに対応するフローIDを追記する処理を行う試験パケット処理部と、 When a flow entry for a test packet is provided for each flow entry provided in the normal packet processing unit, and the received packet is the test packet, the process defined by the flow entry that matches the header information for the received packet In addition to the test packet processing unit that performs a process of adding a flow ID corresponding to the flow entry,
受信したパケットが前記試験パケットである場合、フローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた当該パケットを、前記試験結果として前記フロー検査装置に送信するフローテーブル側送信部と、 When the received packet is the test packet, the flow table side that transmits the packet subjected to the process defined by the flow entry in which the flow ID is added and matches the header information to the flow inspection apparatus as the test result A transmission unit;
を備えることを特徴とする転送装置。 A transfer device comprising:
前記転送装置における転送ルールを定めるフローエントリを複製し、フローエントリで定められた処理に加えてフローエントリに対応するフローIDを試験パケットに追記する処理を前記転送装置に行わせる試験パケット用のフローエントリを、前記転送装置に生成するフローテーブル変換手順と、
検査するフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを記載した試験パケットを生成する試験パケット生成手順と、
前記試験パケット生成手順で生成された試験パケットを受信した前記転送装置から、フローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた試験パケットを、前記試験結果として受信する試験結果受信手順と、
前記転送装置における転送ルールを定めるフローエントリとフローIDとを対応付ける対応表、前記試験IDに対応するヘッダ情報、を格納するフロー情報管理部を参照して、前記試験結果に記載されている前記試験IDに一致する試験パケットのヘッダ情報を前記フロー情報管理部から呼び出し、前記試験結果に記載されているフローIDに対応するフローエントリを前記フロー情報管理部から呼び出し、前記試験パケットのヘッダ情報に一致するフローエントリと呼び出したフローエントリが一致している場合に、前記転送装置がヘッダ情報に従って動作していると判定する試験結果判定手順と、
を備えることを特徴とするネットワーク検査方法。 A network inspection method executed by a flow inspection apparatus that inspects packet processing in a transfer apparatus that transfers user packets ,
A flow for a test packet that duplicates a flow entry that defines a transfer rule in the transfer apparatus and causes the transfer apparatus to perform a process of adding a flow ID corresponding to the flow entry to the test packet in addition to the process defined in the flow entry A flow table conversion procedure for generating an entry in the transfer device;
Generating a test packet describing the test ID to be used for header information matching the flow entry to inspect, test packet identifier used to distinguish test packets and user packet, and the association test packet and the test results performed Test packet generation procedure to
From the transfer device that has received the test packet generated in the test packet generation procedure, the test packet subjected to the process defined by the flow entry in which the flow ID is added and matches the header information is received as the test result. Test result reception procedure,
The test described in the test result with reference to a flow information management unit that stores a correspondence table that associates a flow entry and a flow ID that define a transfer rule in the transfer device, and header information that corresponds to the test ID Call the header information of the test packet that matches the ID from the flow information management unit, call the flow entry corresponding to the flow ID described in the test result from the flow information management unit, and match the header information of the test packet If the flow entry that called a flow entry that matches, the test results determination procedure the transfer device is determined to be operating in accordance with the header information,
Network inspection method, characterized in that it comprises a.
転送ルールを定めるフローエントリに一致するヘッダ情報、試験パケットとユーザパケットを区別するために用いられる試験パケット識別子、及び試験パケットと試験結果の対応付けを行うために用いられる試験IDを保持する試験パケットを、前記フロー検査装置から受信するフローテーブル側受信手順と、
ネットワークを介して外部から受信したパケットが前記試験パケットであるか否かを、前記試験パケット識別子を用いて判定する試験パケット判定手順と、
受信したパケットが前記ユーザパケットである場合、受信した当該パケットに対し、ヘッダ情報に一致するフローエントリで定められる処理を行う通常パケット処理手順と、
受信したパケットが前記試験パケットである場合、受信した当該パケットに対し、ヘッダ情報に一致するフローエントリで定められる処理に加えて当該フローエントリに対応するフローIDを追記する処理を行う試験パケット処理手順と、
受信したパケットが前記試験パケットである場合、フローIDが追記されかつヘッダ情報に一致するフローエントリで定められる処理が行われた当該パケットを、前記試験結果として前記フロー検査装置に送信する試験結果送信手順と、
を備えることを特徴とするフロー検査方法。 A flow test method transfer equipment that is connected to the flow inspection apparatus for inspecting the packet processing in the transfer device executes,
Test packet that holds header information that matches the flow entry that defines the transfer rule, a test packet identifier that is used to distinguish the test packet from the user packet, and a test ID that is used to associate the test packet with the test result A flow table side receiving procedure for receiving from the flow inspection device,
A test packet determination procedure for determining whether or not a packet received from the outside via a network is the test packet, using the test packet identifier ;
When the received packet is the user packet, a normal packet processing procedure for performing the process defined by the flow entry matching the header information for the received packet;
When the received packet is the test packet, a test packet processing procedure for performing a process of additionally adding a flow ID corresponding to the flow entry in addition to the process defined by the flow entry matching the header information for the received packet When,
When the received packet is the test packet, the test result is transmitted to the flow inspection apparatus as the test result, the packet subjected to the process defined by the flow entry with the flow ID added and matching the header information. Procedure and
Flow testing method characterized by comprising a.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015082084A JP6467277B2 (en) | 2015-04-13 | 2015-04-13 | Network inspection system, flow inspection apparatus, transfer apparatus, network inspection method, flow inspection method, and flow inspection program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015082084A JP6467277B2 (en) | 2015-04-13 | 2015-04-13 | Network inspection system, flow inspection apparatus, transfer apparatus, network inspection method, flow inspection method, and flow inspection program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016201748A JP2016201748A (en) | 2016-12-01 |
| JP6467277B2 true JP6467277B2 (en) | 2019-02-13 |
Family
ID=57423170
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015082084A Active JP6467277B2 (en) | 2015-04-13 | 2015-04-13 | Network inspection system, flow inspection apparatus, transfer apparatus, network inspection method, flow inspection method, and flow inspection program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6467277B2 (en) |
-
2015
- 2015-04-13 JP JP2015082084A patent/JP6467277B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016201748A (en) | 2016-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10505804B2 (en) | System and method of discovering paths in a network | |
| US20220076066A1 (en) | Using generative adversarial networks (gans) to enable sharing of sensitive data | |
| CN105051688B (en) | Expanded mark networking | |
| US11296972B2 (en) | Scalable network path tracing | |
| WO2016107444A1 (en) | Bit-forwarding ingress router, bit-forwarding router, and operation, administration and maintenance detection method | |
| WO2017067178A1 (en) | Method for path detection in vxlan, and controller and network device | |
| WO2017206841A1 (en) | Method and device for determining quality of service of network apparatus | |
| JP6269250B2 (en) | Data transfer control device, data transfer control method, and program | |
| CN106487719A (en) | The system and method making network function externalizing via packet relaying | |
| JP6803085B2 (en) | Troubleshooting Multilayer Networks with Data Path Analysis | |
| CN106233673A (en) | Network service inserts | |
| JP2015533049A (en) | Method and apparatus for topology and path verification in a network | |
| TW201830919A (en) | Software Defined Network controller, service function chaining system and trace tracking METHOD | |
| WO2012081549A1 (en) | Computer system, controller, controller manager, and communication path analysis method | |
| US20140153406A1 (en) | Systems and Methods of Test Packet Handling | |
| CN104660469B (en) | A kind of method for detecting connectivity and relevant device of double layer network | |
| JP6293283B2 (en) | Offline queries in software-defined networks | |
| EP3306877B1 (en) | Packet loss positioning in vxlan | |
| CN105794158B (en) | For handling the method and system of Internet Protocol packet | |
| US20180123898A1 (en) | Network verification device, network verification method and program recording medium | |
| CN104852840A (en) | Method and device for controlling mutual access between virtual machines | |
| US20160299958A1 (en) | Method and apparatus for visual logging in networking systems | |
| CN105743687B (en) | Method and device for judging node fault | |
| JP6101573B2 (en) | Packet transfer apparatus, inspection method, and program | |
| JP6467316B2 (en) | Flow inspection apparatus, transfer apparatus, and flow inspection method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170629 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180525 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180612 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180810 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181005 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190108 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190111 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6467277 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |