JP6802763B2 - 中継装置及び帯域制御方法 - Google Patents
中継装置及び帯域制御方法 Download PDFInfo
- Publication number
- JP6802763B2 JP6802763B2 JP2017128232A JP2017128232A JP6802763B2 JP 6802763 B2 JP6802763 B2 JP 6802763B2 JP 2017128232 A JP2017128232 A JP 2017128232A JP 2017128232 A JP2017128232 A JP 2017128232A JP 6802763 B2 JP6802763 B2 JP 6802763B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- queue
- unit
- relay device
- queues
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 57
- 238000004891 communication Methods 0.000 claims description 119
- 230000008859 change Effects 0.000 claims description 36
- 230000008569 process Effects 0.000 claims description 33
- 238000001514 detection method Methods 0.000 claims description 27
- 230000006870 function Effects 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000005856 abnormality Effects 0.000 claims 2
- 238000007726 management method Methods 0.000 description 93
- 238000012545 processing Methods 0.000 description 21
- 238000003379 elimination reaction Methods 0.000 description 17
- 230000032683 aging Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000008030 elimination Effects 0.000 description 11
- 230000000694 effects Effects 0.000 description 7
- 102100035645 Biogenesis of lysosome-related organelles complex 1 subunit 1 Human genes 0.000 description 5
- 101100326171 Homo sapiens BLOC1S1 gene Proteins 0.000 description 5
- 230000004308 accommodation Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 230000002431 foraging effect Effects 0.000 description 1
- 238000009499 grossing Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
特許文献2の技術では、不特定多数のユーザを収容する場合、利用ユーザ数がキュー数を超えると、複数ユーザで共有するキューに割り当てられ、ユーザ間の公平性が保てない場合がある。
上述の問題の少なくとも一部を考慮し、本発明が解決しようとする課題は、キューとして用いるバッファの容量を抑制しつつ、通信負荷の偏りを緩和し、通信品質を確保することができる中継技術を提供することである。
(a)通信パケットに関する情報に従ってフローテーブルを検索し、該フローが学習済みか否かを判定する工程と、
(b)通信パケットを前記複数のキューのいずれかへ振り分けて格納する工程と、
(c)キュー毎の使用状態をキュー管理テーブルに登録する工程と、
(d)通信パケットを未学習と判定した場合に、該フローをキュー毎の使用状態に従って振り分け先のキューを決定し、フローテーブルに登録する工程と、
(e)登録済みのフローの通信が継続していない場合に、該フローをフローテーブルから削除する工程と、
(f)キュー毎に帯域を制御して、複数のキューに蓄積された通信パケットを送信する工程と、
(g)フロー毎に輻輳監視を行う工程と、
(h)輻輳が発生した場合に、キュー毎の制御帯域を変更する工程と、
(i)輻輳が発生したフローが制限対象フローである場合に、該フローを制限する工程と、
(j)輻輳が発生すると、管理サーバにアラームを送信する工程と、を備えるようにしたものである。
A1.ネットワークの構成:
図1は、本発明の一実施例としてのルータ装置を用いた通信システムを示す説明図である。
この通信システム10は、動画等のコンテンツをストリーミングによってユーザに提供する通信システムである。図示するように、通信システム10は、サーバ装置SV1、SV2と、ルータ装置RT1〜RT5と、クライアント装置CL1〜CL3とを備えている。
ルータ装置RT1は、ネットワークNWに接続されている。本実施例では、ネットワークNWは、インターネットである。ただし、ネットワークNWの種類は、特に限定するものではなく、専用回線などのWAN(Wide Area Network)であってもよいし、LAN(Local Area Network)であってもよい。
また、ネットワークNWには、ルータ装置RT2が接続されている。本実施例では、サーバ装置SV1、SV2、ルータ装置RT1、RT2は、コンテンツ配信サービスを行うISP(Internet Service Provider)が設置するものである。このルータ装置RT2は、各家庭HM1〜HM3に設置されたルータ装置RT3〜RT5を介して、クライアント装置CL1〜CL3にそれぞれ接続されている。ルータ装置RT2とルータ装置RT3〜RT5との間には、他の中継装置や集線装置が介在してもよい。
ルータ装置RT1、RT2の概略構成と、通信パケットの平滑化制御とについて説明する。ルータ装置RT1、RT2は、本実施例においては同一構成であるので、以下では、特に断る場合を除いて、ルータ装置RT1の構成について図2ないし図4を用いて説明する。
図3は、本発明の一実施例のルータ装置が有するフローテーブルの一例を示す説明図である。
図4は、本発明の一実施例のルータ装置が有するキュー管理テーブルの一例を示す説明図である。
ルータ装置RT1は、入力部110とフロー識別部120とフローテーブル130と振分部140とバッファ部150とキュー管理部160とキュー管理テーブル170とフロー学習部180と帯域制御部190と出力部200とを備えている。
入力部110は、外部から通信パケットを受信するインタフェースである。本実施例では、入力部110は、2つの物理ポートを備えている。この2つの物理ポートには、サーバ装置SV1、SV2が接続される。入力部110は、サーバ装置SV1、SV2から通信パケットを受信して、入力を受け付ける。なお、入力部110は、3つ以上の物理ポートを備えていてもよい。この場合、入力部110は、3以上のサーバ装置に接続されてもよい。本実施例においては、入力部110は、通信パケットに、ポート情報をヘッダ情報として付加する構成とした。
振分部140は、入力部110が受け付けた通信パケットを、後述するバッファ部150に確保された学習用キューQ1〜Qm(mは2以上の任意の整数)、未学習用キューQn(nはm+1)のいずれかへ振り分ける回路である。この振り分けは、フロー識別部120におけるフロー検索結果に応じて行われる。
バッファ部150は、入力部110が受け付けた通信パケットを一時的に蓄積するバッファであり、複数のキューQ1〜Qm、Qnが確保されている。本実施例では、キューQ1〜Qm、Qnの各々には、同一の記憶容量が割り当てられている。複数のキューQ1〜Qm、Qnには、上述したように、振分部140での振り分けによって、受信した各々の通信パケットが格納される。なお、輻輳時には、キューQ1〜Qm、Qnの容量を超える通信パケットは、廃棄される。例えば、キューに容量分の通信パケットが既に蓄積されている場合には、新たにバッファ部150に入力される通信パケットは、キューに格納されずに破棄される。
キュー管理部160が参照するキュー管理テーブル170は、図4に示すように、各キューに対する使用状態として、割り当てフロー数、後述する平均キュー長を計算するための現在のキュー長、平均帯域を計算するための入力オクテット数統計のうちのひとつ以上が対応づけられて格納されている。
フロー学習部180は、フロー識別部120において未学習と判定した場合に、通信パケットのヘッダ情報と、キュー管理部160において選択した振分先のキューとを、フローテーブル130に登録し、登録済みのフローの通信が継続していない場合に、該当フローをフローテーブル130から削除する回路である。キュー毎の使用状態は、キュー管理部160から取得する。
帯域制御部190は、キューQ1〜Qm、Qn毎に帯域を制御して、キューQ1〜Qm、Qnに蓄積された通信パケットを送信のために、出力部200に出力する。具体的には、帯域制御部190は、予め設定された帯域制御ルールに基づいてスケジューリングを行い、キューQ1〜Qm、Qnから順次通信パケットを読み出して、出力部200に出力する。出力部200は、通信パケットを外部へ送信するインタフェースである。本実施例では、均等割り当て方式によってスケジュールリングを行うこととした。具体的には、キューQ1〜Qm、Qnに蓄積された通信パケットは、キューQ1〜Qm、Qn間で均等な頻度で読み出される。ただし、スケジューリングアルゴリズムは、特に限定するものではなく、例えば、重み付け均等割り当て方式などであってもよい。また、最低帯域保証方式、最大帯域規制方式、余剰帯域重み付け分配方式などを用いてもよい。
図5は、ルータ装置RT1が実行する帯域制御処理(ステップS50)を示すフローチャートである。
最初のステップS500では、フロー識別部120は、入力部110から受信した通信パケットのヘッダ情報と、フローテーブル130とを参照することによって、通信パケットのヘッダ情報と一致する情報が、フローテーブル130に登録されているかを検索する。
次のステップS501では、フロー識別部120は、フローテーブル130を検索した結果、通信パケットのヘッダ情報が、登録されていた場合は学習済みのフロー、登録されていない場合は未学習フローと判定する。
未学習フローの場合には(ステップS501のYES)、次のステップS502で、フロー識別部120は、フロー学習部180に学習を指示し、フロー学習部180は、フロー学習処理を実行する。
学習済みフローの場合には(ステップS501のNO)、次のステップS504で、フロー識別部120は、フローテーブル130で一致したフローのエントリのヒットビットを1に更新する。
次のステップS505では、フロー識別部120は、振分部140に、振分先キューとして、フローテーブル130に登録されているフローに対応する振分先キューを指定し、振分部140は、通信パケットを指示された振分先キューに振り分けて、格納する。
最後のステップS506では、帯域制御部190は、予め設定された帯域制御ルールに基づいてスケジューリングを行い、キューQ1〜Qm、Qnから順次通信パケットを読み出して、出力部200に出力する。
最初のステップS600では、フロー学習部180は、キュー管理部160に、未使用の空きキューがあるかを問い合わせる。キュー管理部160は、キュー管理テーブル170の割当フロー数が0のキューを検索する。
次のステップS601では、キュー管理部160は、キュー管理テーブル170を検索した結果、未使用の空きキューの有無を判定する。
空きキューがある場合には(ステップS601のYES)、次のステップS602で、キュー管理部160は、空きキューを1つ選択し、フロー学習部180に通知する。
空きキューがない場合には(ステップS601のNO)、次のステップS603で、キュー管理部160は、振分先キュー選択処理を実行し、振分先キュー選択の有無及び選択した場合の振分先キューをフロー学習部180に通知する。
振分先キュー選択がある場合には(ステップS604のYES)、次のステップS605で、フロー学習部180は、フローテーブル130の有効フラグが0のエントリを検索する。
次のステップS606では、フロー学習部180は、有効フラグが0の空きエントリの有無を判定する。
空きエントリがある場合には(ステップS606のYES)、次のステップS607で、フロー学習部180は、フローテーブル130に、通信パケットのヘッダ情報と、キュー管理部160において選択した振分先のキューとを、ヒットビットを1で登録する。
空きエントリがない場合(ステップS606のNO)及び振分先キュー選択がない場合には(ステップS604のNO)、フローテーブル130への登録処理を行わず、未学習状態のままで終了する。
最初のステップS700では、キュー管理部160は、振分先キュー選択のモードが、割当数モードであるかを判定する。
割当数モードである場合には(ステップS700のYES)、次のステップS701で、キュー管理部160は、キュー管理テーブル170を検索し、割当フロー数が最小のキューを選択する。
割当数モードでない場合には(ステップS700のNO)、次のステップS702で、キュー管理部160は、振分先キュー選択のモードが、キュー長モードであるかを判定する。
キュー長モードである場合には(ステップS702のYES)、次のステップS703で、キュー管理部160は、キュー管理テーブル170の各キューのキュー長を定期的に読み出し、例えば、現在のキュー長と前回の平均キュー長を元に平均キュー長を計算し、平均キュー長が最短のキューを選択する。
キュー長モードでない場合には(ステップS702のNO)、次のステップS704で、キュー管理部160は、振分先キュー選択のモードが、帯域モードであるかを判定する。
帯域モードである場合には(ステップS704のYES)、次のステップS705で、キュー管理部160は、キュー管理テーブル170の各キューの入力オクテット数を定期的に読み出し、例えば、前回の入力オクテット数と現在の入力オクテット数の差分と前回の平均帯域を元に平均帯域を計算し、平均帯域が最小のキューを選択する。
帯域モードでない場合には(ステップS704のNO)、振分先キューを選択しないで終了する。
最初のステップ800では、フロー学習部180は、エージング処理対象のフロー番号を0に設定する。
次のステップS801では、フロー学習部180は、フローテーブル130のエージング処理対象のフロー番号のエントリを読み出し、該当のエントリが有効であるかを判定する。
該当のエントリが有効である場合には(ステップS801のYES)、次のステップS802で、該当のエントリのヒットビットの値が0であるかを判定する。
該当エントリのヒットビットが0である場合には(ステップS802のYES)、次のステップS803で、該当エントリを削除する。
該当エントリのヒットビットが0でない場合には(ステップS802のNO)、次のステップS804で、フロー学習部180は、フローテーブル130のエージング処理対象のフロー番号のエントリのヒットビットを0に変更する。
次のステップS806では、フロー学習部180は、エージング処理対象のフロー番号が最終を超えているかを判定する。
エージング処理対象のフロー番号が最終より大きくない場合には(ステップS806のNO)、エージング処理対象のフロー番号が途中であるので、フロー学習部180は、フローテーブル130のエージング処理対象のフロー番号のエントリを読み出し、該当エントリが有効であるかの判定(ステップS801)からの処理を繰り返し実行する。
エージング処理対象のフロー番号が最終より大きい場合には(ステップS806のYES)、エージング処理対象のフローを全て処理しているので、フローエージング処理を終了する。
以上説明した第1の実施例におけるルータ装置RT1、RT2によれば、受信した通信パケットが、フロー識別部120、振分部140でフロー毎に振り分けられて、複数のキューQ1〜Qm、Qnに分散化される。このため、輻輳時の通信パケットの廃棄の影響をキューQ1〜Qm、Qn毎に分離することができる。その結果、輻輳の影響がトラフィック全体に及ぶことを抑制して、通信品質を確保することができる。
また、フロー識別部120でユーザをフローにより識別し、ユーザ毎に異なるキューQ1〜Qmに振り分けることで、ユーザ間の公平性を保つことができる。
しかも、通信が発生したフローをフロー学習処理(S60)に従って学習し、通信が終了した学習済みのフローをフローエージング処理(S80)に従って削除することで、事前に発生し得る全てのフロー毎にキューを確保する必要がないので、キューとして用いるバッファの容量を抑制することができる。
B1.ネットワーク中継装置の構成:
本発明の第2の実施例について図9ないし図11を用いて説明する。説明する。第2の実施例としてのルータ装置RT1は、フロー毎に帯域監視を行い、輻輳発生時には輻輳解消処理を行い、管理サーバにアラームを送信する点が第1の実施例と異なり、その他の点については、第1の実施例と同様である。具体的には、本実施例では、通常時は回線の最大帯域まで使用可能な状態にしておくことにより、帯域を効率的に使用する。一方、輻輳が発生すると帯域を均等割り当てに変更し、輻輳の要因となったフローを振り分ける制限キューQxを用意し、制限キューQxの最大帯域を他のキューより小さく制限する。
図10は、第2の実施例のフローテーブルの一例を示す説明図である。
図11は、第2の実施例のキュー管理テーブルの一例を示す説明図である
図9に示すように、第2の実施例としてのルータRT12
は、第1の実施例と同様に、入力部110とフロー識別部121とフローテーブル131と振分部141とバッファ部151とキュー管理部161とキュー管理テーブル171とフロー学習部181と帯域制御部191と出力部200と、を備えている。第2の実施例では、ルータRT12は、さらに、帯域変更部210とアラーム検出部220を備えている。
フロー識別部121は、フローテーブル131に登録されているフローに対応する廃棄閾値を取得する点を除き、第1の実施例と同様である。
振分部141は、バッファ部151に確保された制限キューQxへの振り分けを除き、第1の実施例と同様である。
バッファ部151は、第1の実施例と同様に、キューQ1〜Qm、Qnを備え、さらに、制限キューQxを備えている。また、キューに廃棄閾値を超えて通信パケットが既に蓄積されている場合には、新たにバッファ部151に入力される通信パケットは、キューに格納されずに破棄される点を除き、第1の実施例と同様である。
フロー学習部181は、キュー管理部161からの輻輳解消処理の指示に従い、該当キューのフローをフローテーブル131から削除する。または、フローテーブル131の該当フローの廃棄閾値を小さく制限する。または、振分先のキューを制限キューQxに変更する点を除き、第1の実施例と同様である。
帯域制御部191は、キュー管理テーブル171に設定された帯域制御ルールに基づいてスケジューリングを行い、キューQ1〜Qm、Qn、Qxから順次通信パケットを読み出して、出力部200に出力する。また、帯域変更部210からの帯域変更の指示に従い、該当キューの制御帯域を変更する点を除き、第1の実施例と同様である。出力部200は、第1の実施例と同様に、通信パケットを外部へ送信するインタフェースである。本実施例では、通常時は回線の最大帯域まで使用可能な状態にしておくことにより、帯域を効率的に使用する。また、輻輳が発生すると帯域を均等割り当てに変更し、輻輳の要因となったフローを振り分ける制限キューQxの最大帯域を他のキューより小さく制限する。
キュー管理部161が参照するキュー管理テーブル171を、図11に示す。
キュー管理テーブル171は、各キューに対する使用状態として、割り当てフロー数、平均キュー長を計算するための現在のキュー長、平均帯域を計算するための入力オクテット数統計のうちのひとつ以上が対応づけられて格納され、帯域変更部210が変更する帯域設定値が格納されている。
アラーム検出部220は、キュー管理部161からの帯域変更及び輻輳解消処理発生の通知を受け付けると、発生要因の情報を付加したアラームを管理サーバ230に送信する。
第2の実施例における、ルータ装置RT12が実行する帯域制御処理は、キュー管理部161が実行する輻輳解消処理がある点を除き、第1の実施例と同様である。
最初のステップS1200では、キュー管理部161は、輻輳解消のモードが、キュー再学習モードであるかを判定する。
キュー再学習モードである場合には(ステップS1200のYES)、次のステップS1201で、キュー管理部161は、該当キューの学習フローを削除するようフロー学習部181に指示する。
キュー再学習モードでない場合には(ステップS1200のNO)、次のステップS1202で、キュー管理部161は、輻輳解消のモードが、帯域変更モードであるかを判定する。
帯域変更モードである場合には(ステップS1202のYES)、次のステップS1203で、キュー管理部161は、該当キューの帯域を変更するよう帯域変更部210に指示する。
帯域変更モードでない場合には(ステップS1202のNO)、次のステップS1204で、キュー管理部161は、輻輳解消のモードが、廃棄閾値変更モードであるかを判定する。
廃棄閾値変更モードでない場合には(ステップS1204のNO)、次のステップS1206で、キュー管理部161は、輻輳解消のモードが、制限キュー割当モードであるかを判定する。
制限キュー割当モードである場合には(ステップS1206のYES)、次のステップS1207で、キュー管理部161は、該当フローを制限キューに振分変更するようフロー学習部181に指示する。
制限キュー割当モードでない場合には(ステップS1206のNO)、輻輳解消処理を終了する。
以上説明した第2の実施例におけるルータ装置RT12、RT22によれば、第1実施例のルータ装置RT1、RT2と同様の作用・効果を得ることができる。
さらに、ルータ装置RT12、RT22では、通常時は回線の最大帯域まで使用可能な状態にしておくことにより、帯域を効率的に使用することができる。また、キュー管理部161がフロー毎に帯域監視を行い、輻輳を検出するとフロー学習部181と帯域変更部210と連携して輻輳解消処理を実行することにより、ユーザ間の公平性を保ちながら、ヘビーユーザ対策を行うことができる。また、アラーム検出部220が管理サーバ230にアラームを送信することにより、輻輳発生の状態を管理し、収容変更等の根本対策を検討する契機とすることができる。
C1.ネットワーク中継装置の構成:
本発明の第3の実施例について説明する。第3の実施例としてのルータ装置RT13は、フロー毎にDoS攻撃を識別し、DoS攻撃発生時にはDoS対策処理を行い、管理サーバにアラームを送信する点が第1の実施例と異なり、その他の点については、第1の実施例と同様である。
図13に示すように、第3の実施例としてのルータRT13は、第1の実施例と同様に、入力部110とフロー識別部121とフローテーブル132と振分部141とバッファ部151とキュー管理部162とキュー管理テーブル172とフロー学習部182と帯域制御部190と出力部200と、を備えている。第3の実施例では、ルータRT13は、さらに、DoS検知部240とアラーム検出部220を備えている。
入力部110と、フロー識別部121と、振分部141と、バッファ部151は、第2の実施例と同様である。
DoS検知部240は、DoS検知アプライアンス250に従って、フロー毎にDoS攻撃の有無を識別し、キュー管理部162にDoS攻撃が発生したフローを通知する。
フロー学習部182は、キュー管理部162からのDoS対策処理の指示に従い、フローテーブル132の該当フローの廃棄閾値を小さく制限する。または、振分先のキューを制限キューQxに変更する点を除き、第1の実施例と同様である。
帯域制御部190と、出力部200は、第1の実施例と同様である。
アラーム検出部220は、キュー管理部162からのDoS対策処理発生の通知を受け付けると、発生要因の情報を付加したアラームを管理サーバ230に送信する。
第3の実施例における、ルータ装置RT13が実行する帯域制御処理は、キュー管理部162が実行するDoS対策処理がある点を除き、第1の実施例と同様である。
最初のステップS1400では、キュー管理部162は、DoS対策のモードが、廃棄閾値変更モードであるかを判定する。
廃棄閾値変更モードである場合には(ステップS1400のYES)、次のステップS1401で、キュー管理部162は、該当フローの廃棄閾値を変更するようフロー学習部182に指示する。
制限キュー割当モードである場合には(ステップS1402のYES)、次のステップS1403で、キュー管理部162は、該当フローを制限キューに振分変更するようフロー学習部182に指示する。
制限キュー割当モードでない場合には(ステップS1402のNO)、輻輳解消処理を終了する。
以上説明した第3の実施例におけるルータ装置RT13、RT23によれば、第1実施例のルータ装置RT1、RT2と同様の作用・効果を得ることができる。
さらに、ルータ装置RT13、RT23では、DoS検知部240において識別されたDoS攻撃のフローに対して、キュー管理部162がフロー学習部180と連携してDoS対策処理を実行することにより、ユーザ間の公平性を保ちながら、DoS攻撃対策を行うことができる。また、アラーム検出部220が管理サーバ230にアラームを送信することにより、DoS攻撃の状態を管理し、セキュリティ強化等の根本対策を検討する契機とすることができる。
D1.ネットワーク中継装置の構成:
本発明の第4の実施例について説明する。第4の実施例としてのルータ装置RT14は、未学習のフローを割り当てる未学習用キューを複数のキューで構成し、ハッシュ関数で振り分ける点が第1の実施例と異なり、その他の点については、第1の実施例と同様である。
図15に示すように、第4の実施例としてのルータRT14は、第1の実施例と同様に、入力部110とフロー識別部120とフローテーブル130と振分部142とバッファ部152とキュー管理部160とキュー管理テーブル170とフロー学習部180と帯域制御部190と出力部200と、を備えている。
振分部142は、未学習のフローを、バッファ部150に未学習用キューQnの代わりに確保されたハッシュ用キューQy〜Qzへハッシュ関数により振り分ける点を除き、第1の実施例と同様である。
以上説明した第4の実施例におけるルータ装置RT14、RT24によれば、第1実施例のルータ装置RT1、RT2と同様の作用・効果を得ることができる。
さらに、通常フローは学習せず、振分部140においてハッシュ関数によりハッシュ用キューQy〜Qzから振り分け先を決定し、重要なフローのみを学習し、学習用キューQ1〜Qmに振り分けることにより、重要フローの帯域を確実に保証することができる。逆に、異常なフローのみを学習することにより、学習用キューQ1〜Qmの最大帯域を小さく設定することで、異常なフローのみ帯域を制限することができる。その結果、学習するフローの数を削減し、フローテーブル130の容量を抑制することができる。
以上、本発明の実施形態について説明したが、上述した実施形態における構成要素のうち、独立クレームに記載された要素に対応する要素以外の要素は、付加的な要素であり、適宜省略、または、組み合わせが可能である。また、本発明はこうした実施形態に限られるものではなく、本発明の要旨を脱しない範囲において、種々なる態様で実施できることは勿論である。例えば、本発明は、中継装置のほかに、複数の中継装置を備えた通信システム、中継方法、中継プログラム、当該プログラムを記録した記憶媒体等としても実現することができる。
[適用例1] 通信パケットを中継する中継装置であって、入力としての通信パケットを受信する入力部と、複数のキューを備え、前記受信した通信パケットを一時的に蓄積するバッファ部と、前記入力部は、複数の入力用物理ポートを備え、前記複数の入力用物理ポートのうちの、前記通信パケットを受け付けた前記入力用物理ポートを識別可能なポート情報及び前記通信パケットのヘッダ情報に従ってフローテーブルを検索し、該当フローが学習済みか否かを判定するフロー識別部と、前記受信した通信パケットを前記複数のキューのいずれかへ振り分けて格納する振分部と、前記キュー毎の割り当てフロー数と、キュー長と、使用帯域のうちの少なくとも一つを使用状態としてキュー管理テーブルに登録するキュー管理部と、前記フロー識別部において未学習と判定した場合に、該当フローを前記キュー毎の使用状態に従って振り分け先のキューを決定し、フローテーブルに登録し、登録済みのフローの通信が継続していない場合に、該当フローをフローテーブルから削除するフロー学習部と、前記キュー毎に帯域を制御して、前記複数のキューに蓄積された通信パケットを送信のために出力する帯域制御部と、通信パケットを送信する出力部を備えることを特徴とする中継装置。
適用例2のネットワーク中継装置によれば、通常時は回線の最大帯域まで使用可能な状態にしておくことにより、帯域を効率的に使用することができる。また、輻輳が発生すると帯域を均等割り当てに変更し、輻輳の要因となったフローの割り当てを、最大帯域を他のフローより小さく制限する制限キューに変更することにより、ユーザ間の公平性を保ちながら、ヘビーユーザ対策を行うことができる。また、アラームを管理サーバに送信することにより、輻輳発生の状態を管理し、収容変更等の根本対策を検討する契機とすることができる。
適用例3のネットワーク中継装置によれば、DoS攻撃のフローの割り当てを、最大帯域を他のフローより小さく制限する制限キューに変更すことにより、ユーザ間の公平性を保ちながら、DoS攻撃対策を行うことができる。また、アラームを管理サーバに送信することにより、DoS攻撃の状態を管理し、セキュリティ強化等の根本対策を検討する契機とすることができる。
適用例4のネットワーク中継装置によれば、通常フローは学習せず、ハッシュにより振り分け先キューを決定し、重要なフローを学習することにより、重要フローの帯域を確実に保証することができる。また、異常なフローを学習することにより、最大帯域を小さく制限することができる。その結果、学習するフローの数を削減し、フローテーブルの容量を抑制することができる。
110:入力部
120,121:フロー識別部
130,131,132:フローテーブル
140,141:振分部
150,151:バッファ部
160,161,162:キュー管理部
170,171,172:キュー管理テーブル
180,181,182:フロー学習部
190:帯域制御部
200:出力部
210:帯域変更部
220:アラーム検出部
230:管理サーバ
240:DoS検知部
250:DoS検知アプライアンス
SV1、SV2:サーバ装置
RT1、RT2、RT3、RT4、RT5、RT12、RT13,RT14:ルータ装置
NW:ネットワーク
HM1、HM2、HM3:家庭
CL1、CL2、CL3:クライアント装置
Q1〜Qm:学習用キュー
Qn:未学習用キュー
Qx:制限キュー
Qy〜Qz:ハッシュ用キュー
Claims (10)
- 通信パケットを中継する中継装置であって、
入力としての通信パケットを受信する入力部と、
複数のキューを備え、前記受信した通信パケットを一時的に蓄積するバッファ部と、
前記通信パケットのヘッダ情報に従ってフローを識別してフローテーブルを検索し、該フローが学習済みか否かを判定するフロー識別部と、
前記受信した通信パケットを前記複数のキューのいずれかへ振り分けて格納する振分部と、
前記キュー毎の使用状態をキュー管理テーブルに登録するキュー管理部と、
前記フロー識別部において未学習と判定した場合に、該フローを前記キュー毎の使用状態に従って振り分け先のキューを決定し、フローテーブルに登録し、登録済みのフローの通信が継続していない場合に、該フローをフローテーブルから削除するフロー学習部と、
前記キュー毎に帯域を制御して、前記複数のキューに蓄積された通信パケットを送信のために出力する帯域制御部と、
通信パケットを送信する出力部と、
前記フロー毎に帯域監視を行うキュー管理部と、
全フローの使用帯域が所定値以上である場合に、前記キュー毎の制御帯域を変更する帯域変更部と、
帯域の変更が発生すると、管理サーバにアラームを送信するアラーム検出部と、
を備えることを特徴とする中継装置。 - 請求項1の中継装置であって、
前記入力部は、複数の入力用物理ポートを備え、
前記出力部は、複数の出力用物理ポートを備え、
前記複数の入力用物理ポートのうちの、前記通信パケットを受信した前記入力用物理ポートを識別可能なポート情報と、
前記複数の出力用物理ポートのうちの、前記通信パケットを送信する前記出力用物理ポートを識別可能なポート情報とのうちの少なくとも一方及び、
前記通信パケットのヘッダ情報に従ってフローテーブルを検索し、該フローが学習済みか否かを判定するフロー識別部と、
を備えることを特徴とする中継装置。 - 請求項1ないし請求項2のいずれか記載の中継装置であって、
前記フロー学習部は、前記フロー毎の使用帯域が所定値以上であり、該フローが制限対象フローである場合に、該フローを制限キューに振り分け変更し、
前記アラーム検出部は、制限キューへの振り分け変更が発生すると、管理サーバにアラームを送信することを特徴とする中継装置。 - 請求項1ないし請求項2のいずれか記載の中継装置であって、
前記フロー学習部は、前記フロー毎の使用帯域が所定値以上であり、該フローが制限対象フローである場合に、該フローの廃棄閾値を変更し、
前記アラーム検出部は、廃棄閾値の変更が発生すると、管理サーバにアラームを送信することを特徴とする中継装置。 - 通信パケットを中継する中継装置であって、
入力としての通信パケットを受信する入力部と、
複数のキューを備え、前記受信した通信パケットを一時的に蓄積するバッファ部と、
前記通信パケットのヘッダ情報に従ってフローを識別してフローテーブルを検索し、該フローが学習済みか否かを判定するフロー識別部と、
前記受信した通信パケットを前記複数のキューのいずれかへ振り分けて格納する振分部と、
前記キュー毎の使用状態をキュー管理テーブルに登録するキュー管理部と、
前記フロー識別部において未学習と判定した場合に、該フローを前記キュー毎の使用状態に従って振り分け先のキューを決定し、フローテーブルに登録し、登録済みのフローの通信が継続していない場合に、該フローをフローテーブルから削除するフロー学習部と、
前記キュー毎に帯域を制御して、前記複数のキューに蓄積された通信パケットを送信のために出力する帯域制御部と、
通信パケットを送信する出力部と、
ネットワークセキュリティアプライアンスに従って、前記フロー毎に異常を識別するセキュリティ異常検知部と、
異常と識別されたフローを制限キューに振り分け変更するフロー学習部と、
制限キューへの振り分け変更が発生すると、管理サーバにアラームを送信するアラーム検出部と、
を備えることを特徴とする中継装置。 - 請求項5に記載の中継装置であって、
前記フロー学習部は、異常と識別されたフローの廃棄閾値を変更し、
前記アラーム検出部は、廃棄閾値の変更が発生すると、管理サーバにアラームを送信することを特徴とする中継装置。 - 請求項1、請求項2または請求項5のいずれか記載の中継装置であって、
前記振分部は、未学習のフローを割り当てる未学習用キューを複数のキューで構成し、前記通信パケットに関する情報を入力値として、出力が入力に対して集約される所定の関数により振り分けることを特徴とする中継装置。 - 複数のキューを備え通信パケットの送受信を行う中継装置における帯域制御方法であって、
(a)前記通信パケットに関する情報に従ってフローテーブルを検索し、該フローが学習済みか否かを判定する工程と、
(b)前記通信パケットを前記複数のキューのいずれかへ振り分けて格納する工程と、
(c)前記キュー毎の使用状態をキュー管理テーブルに登録する工程と、
(d)前記通信パケットを未学習と判定した場合に、該フローを前記キュー毎の使用状態に従って振り分け先のキューを決定し、フローテーブルに登録する工程と、
(e)登録済みのフローの通信が継続していない場合に、該フローをフローテーブルから削除する工程と、
(f)前記キュー毎に帯域を制御して、前記複数のキューに蓄積された通信パケットを送信する工程と、
(g)前記フロー毎に輻輳監視を行う工程と、
(h)輻輳が発生した場合に、前記キュー毎の制御帯域を変更する工程と、
(i)輻輳が発生したフローが制限対象フローである場合に、該フローを制限する工程と、
(j)輻輳が発生すると、管理サーバにアラームを送信する工程と、
を備えることを特徴とする帯域制御方法。 - 複数のキューを備え通信パケットの送受信を行う中継装置における帯域制御方法であって、
(a)前記通信パケットに関する情報に従ってフローテーブルを検索し、該フローが学習済みか否かを判定する工程と、
(b)前記通信パケットを前記複数のキューのいずれかへ振り分けて格納する工程と、
(c)前記キュー毎の使用状態をキュー管理テーブルに登録する工程と、
(d)前記通信パケットを未学習と判定した場合に、該フローを前記キュー毎の使用状態に従って振り分け先のキューを決定し、フローテーブルに登録する工程と、
(e)登録済みのフローの通信が継続していない場合に、該フローをフローテーブルから削除する工程と、
(f)前記キュー毎に帯域を制御して、前記複数のキューに蓄積された通信パケットを送信する工程と、
(g)ネットワークセキュリティアプライアンスに従って、前記フロー毎にセキュリティ異常を識別する工程と、
(h)セキュリティ異常と識別されたフローを制限する工程と、
(i)制限を行うと、管理サーバにアラームを送信する工程と、
を備えることを特徴とする帯域制御方法。 - 請求項8ないし請求項9のいずれか記載の帯域制御方法であって、さらに、
(k)未学習のフローを、前記通信パケットに関する情報を入力値として、出力が入力に対して集約される所定の関数により、複数の未学習用キューに振り分ける工程
を備えることを特徴とする帯域制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017128232A JP6802763B2 (ja) | 2017-06-30 | 2017-06-30 | 中継装置及び帯域制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017128232A JP6802763B2 (ja) | 2017-06-30 | 2017-06-30 | 中継装置及び帯域制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019012914A JP2019012914A (ja) | 2019-01-24 |
JP6802763B2 true JP6802763B2 (ja) | 2020-12-16 |
Family
ID=65228077
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017128232A Active JP6802763B2 (ja) | 2017-06-30 | 2017-06-30 | 中継装置及び帯域制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6802763B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11290491B2 (en) | 2019-03-14 | 2022-03-29 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5168166B2 (ja) * | 2009-01-21 | 2013-03-21 | 富士通株式会社 | 通信装置および通信制御方法 |
JP5611171B2 (ja) * | 2011-11-02 | 2014-10-22 | 株式会社日立製作所 | パケット処理方法及びパケット処理装置 |
-
2017
- 2017-06-30 JP JP2017128232A patent/JP6802763B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019012914A (ja) | 2019-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5659125B2 (ja) | 中継装置、中継方法 | |
US7672324B2 (en) | Packet forwarding apparatus with QoS control | |
JP4529974B2 (ja) | サーバ負荷分散システム、サーバ負荷分散装置、コンテンツ管理装置、及びサーバ負荷分散プログラム | |
CN109787801B (zh) | 一种网络服务管理方法、装置和*** | |
US10574546B2 (en) | Network monitoring using selective mirroring | |
US10244537B2 (en) | Communication system, access control apparatus, switch, network control method, and program | |
US20130259052A1 (en) | Communication system, forwarding node, received packet process method, and program | |
US20150372911A1 (en) | Communication path management method | |
KR100875739B1 (ko) | Ip 네트워크 시스템에서의 패킷 버퍼 관리 장치 및 방법 | |
US9042355B2 (en) | Quality of service (QoS) for satellite communications network | |
EP3756317B1 (en) | Method, device and computer program product for interfacing communication networks | |
KR101618985B1 (ko) | Sdn 환경에서 트래픽의 동적 제어를 위한 방법 및 장치 | |
JP2021512567A (ja) | データパケットネットワークにおいて、候補フローを識別するためのシステムおよび方法 | |
US20180367464A1 (en) | Method And Apparatus For Managing Network Congestion | |
US8630296B2 (en) | Shared and separate network stack instances | |
US10135761B2 (en) | Switch device, control method, and storage medium | |
JP2013093761A (ja) | バッファ管理のためのプログラム、中継装置及び制御方法 | |
US9843516B2 (en) | Communication node, control apparatus, method for management of control information entries and program | |
WO2014155617A1 (ja) | 通信装置、通信方法、及び通信プログラム | |
JP6802763B2 (ja) | 中継装置及び帯域制御方法 | |
US11240140B2 (en) | Method and system for interfacing communication networks | |
JP2019009630A (ja) | ネットワーク負荷分散装置および方法 | |
JP5970015B2 (ja) | パケット中継装置 | |
JP6850618B2 (ja) | 中継装置および中継方法 | |
Rodríguez-Pérez et al. | A delay-oriented prioritization policy based on cooperative lossless buffering in PTN domains |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170630 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20180223 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180314 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190912 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200812 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200908 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201030 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201117 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201127 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6802763 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |