WO2011102312A1

WO2011102312A1 - パケット転送装置、通信システム、処理規則の更新方法およびプログラム

Info

Publication number: WO2011102312A1
Application number: PCT/JP2011/053025
Authority: WO
Inventors: 智士内田; 藤田　範人; 康広山崎
Original assignee: 日本電気株式会社
Priority date: 2010-02-16
Filing date: 2011-02-14
Publication date: 2011-08-25
Also published as: JP5720668B2; JPWO2011102312A1; US20110310901A1; US8737215B2

Abstract

　パケット転送等に用いる処理規則の削除を的確に行うことのできるパケット転送装置、通信システム、処理規則の更新方法の提供。パケット転送装置は、フロー単位で処理内容を定義した処理規則を記憶する処理規則記憶部と、前記処理規則の中から受信パケットに適合する処理規則を用いて受信パケットの処理を行うパケット処理部と、前記受信パケットからフローの終端を確認するための情報を抽出する終端判定用情報抽出部と、前記抽出された情報に基づいて、フローの終端を確認した場合、当該フローに対応する処理規則を削除するフロー終端確認部と、を備える。

Description

パケット転送装置、通信システム、処理規則の更新方法およびプログラム

　（関連出願についての記載）
　本発明は、日本国特許出願：特願２０１０－０３１５２２号（２０１０年２月１６日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
　本発明は、パケット転送装置、通信システム、処理規則の更新方法およびプログラムに関し、特に、受信パケットに適合する処理規則に従って、受信パケットを処理するパケット転送装置、通信システム、処理規則の更新方法およびプログラムに関する。

　近年、オープンフロー（ＯｐｅｎＦｌｏｗ）という技術が提案されている（非特許文献１参照）。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。図１８に、オープンフロースイッチの概念図を示す。転送ノードとして機能するオープンフロースイッチは、制御装置と位置付けられるオープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチングルール（ヘッダフィールド）と、処理内容を定義したアクションと、フロー統計情報（カウンタ）との組が定義される（図１９、２０参照）。

　図２１に、非特許文献２に定義されているアクション名とアクションの内容を例示する。ＯＵＴＰＵＴは、指定ポート（インタフェース）に出力するアクションである。ＳＥＴ＿ＶＬＡＮ＿ＶＩＤからＳＥＴ＿ＴＰ＿ＤＳＴは、パケットヘッダのフィールドを修正するアクションである。

　例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチングルール（図１９、２０のヘッダフィールド参照）を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、受信パケットに対して、当該エントリのアクションフィールドに記述された処理内容を実施する。一方、前記検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対して受信パケットを転送し、受信パケットの送信元・送信先に基づいたパケットの経路の決定を依頼し、これを実現するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行っている。

Nick McKeownほか７名、"OpenFlow: Enabling Innovation in Campus Networks"、［online］、［平成21年12月22日検索］、インターネット〈URL：http://www.openflowswitch.org//documents/openflow-wp-latest.pdf〉 "OpenFlow Switch Specification" Version 0.9.0. (Wire Protocol 0x98) ［平成21年12月22日検索］、インターネット〈URL：http://www.openflowswitch.org/documents/openflow-spec-v0.9.0.pdf〉

　以下の分析は、本発明者によってなされたものである。
　上記非特許文献１、２では、通信の開始時にコントローラからフローエントリ（以下、非特許文献１、２のフローエントリと同等のパケット転送装置が受信パケットの処理を決定する際に参照する情報を「処理規則」という。）を設定し、別途設定する有効期限（図１９の存続時間）に示す期間、該当するパケットを受信しなかったときに、該当エントリを削除することが記載されている（非特許文献２の２４頁「Ｉｄｌｅ＿ＴｉｍｅｏｕｔとＨａｒｄ＿Ｔｉｍｅｏｕｔ」参照。）。

　そのため、非特許文献１、２のフローテーブルには、すでに通信終了となった処理規則が、有効期限を経過するまで残ってしまい、処理規則の記憶領域を圧迫するという問題点がある。また、この通信終了となった処理規則は、パケット転送装置における受信パケットに適合する処理規則の検索効率を低下させる一因ともなっている。

　さらに、このように残った処理規則が多数残存することにより処理規則の記憶領域に不足が生じた場合、必要数の処理規則を何らかのルールで削除していく必要が出てくる。例えば、最近に設定された処理規則を残し、古い処理規則を削除するというルールを採用した場合、通信終了となっているにも拘らず新しい処理規則が残され、通信終了となっていない有効な処理規則が削除されるといった状況も生じうる。

　本発明は、上記した事情に鑑みてなされたものであって、上記した処理規則の削除を的確に行うことのできるパケット転送装置、通信システム、処理規則の更新方法およびプログラムを提供することにある。

　本発明の第１の視点によれば、フロー単位で処理内容を定義した処理規則を記憶する処理規則記憶部と、前記処理規則の中から受信パケットに適合する処理規則を用いて受信パケットの処理を行うパケット処理部と、前記受信パケットからフローの終端を確認するための情報を抽出する終端判定用情報抽出部と、前記抽出された情報に基づいて、フローの終端を確認した場合、当該フローに対応する処理規則を削除するフロー終端確認部と、を備えるパケット転送装置が提供される。

　本発明の第２の視点によれば、上記したパケット転送装置と、前記パケット転送装置に処理規則を設定する制御装置と、を含む通信システムが提供される。

　本発明の第３の視点によれば、フロー単位で処理内容を定義した処理規則を記憶する処理規則記憶部と、前記処理規則の中から受信パケットに適合する処理規則を用いて受信パケットの処理を行うパケット処理部と、を備えたパケット転送装置が、前記受信パケットからフローの終端を確認するための情報を抽出するステップと、前記抽出された情報に基づいて、フローの終端を確認した場合、前記処理規則記憶部から、当該フローに対応する処理規則を削除するステップと、を含む処理規則の更新方法が提供される。本方法は、処理規則記憶部とパケット処理部とを備えるパケット転送装置という、特定の機械に結びつけられている。

　本発明の第４の視点によれば、フロー単位で処理内容を定義した処理規則を記憶する処理規則記憶部と、前記処理規則の中から受信パケットに適合する処理規則を用いて受信パケットの処理を行うパケット処理部と、を備えたパケット転送装置を構成するコンピュータに、前記受信パケットからフローの終端を確認するための情報を抽出する処理と、前記抽出された情報に基づいて、フローの終端を確認した場合、前記処理規則記憶部から、当該フローに対応する処理規則を削除する処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、パケット転送装置の処理規則記憶部から、有効期限が満了していない処理規則であっても、通信終了となり必要の無くなった処理規則を削除させることが可能になる。その理由は、受信パケットからフローの終端（通信の終了）を判別するための情報を抽出し、フローの終端（通信の終了）を判別する機能を追加したことにある。

本発明の概要を説明するためのブロック図である。本発明の第１の実施形態の構成を示すブロック図である。本発明の第１の実施形態の動作を説明するためのフローチャートである。本発明の第２の実施形態の構成を示すブロック図である。本発明の第３の実施形態の構成を示すブロック図である。ＴＣＰのコネクションの状態遷移を示す図である。本発明の具体例を説明するための図である。本発明の具体例を説明するためのフローチャートである。パケット転送装置の処理規則記憶部の記憶内容を段階的に説明するための図である。図９の続図である。図１０の続図である。図１１の続図である。図１２の続図である。本発明の第２の具体例を説明するためのフローチャートである。第２の具体例におけるパケット転送装置の処理規則記憶部の記憶内容を段階的に説明するための図である。本発明の第３の具体例を説明するためのフローチャートである。本発明の第３の具体例を説明するための第２のフローチャートである。非特許文献１、２のオープンフロースイッチの概念図である。非特許文献１、２のオープンフロースイッチのフローエントリの構成を示す図である。非特許文献１、２のオープンフロースイッチのフローテーブルの具体例である。非特許文献２に例示されているアクションの例である。

　はじめに、本発明の概要を説明する。以下、この概要に付記した図面参照符号は、専ら理解を助けるための例示であり、図示の態様に限定することを意図するものではない。図１に示すように、本発明に係るパケット転送装置１は、受信パケットに適用する処理規則を記憶する処理規則記憶部１１と、処理規則記憶部から受信パケットに適合する処理規則を読み出して転送処理等を行うパケット処理部１２と、受信パケットからフローの終端を確認するための情報を抽出する終端判定用情報抽出部１３と、前記抽出された情報に基づいて、フローの終端を確認した場合、当該フローに対応する処理規則を削除するフロー終端確認部１４と、を備えて構成される。

　フローの終端の検知の方法としては、次のような種々の方法が挙げられる。例えば、プロトコルの終了メッセージをチェックする方法が挙げられる。例えば、ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）では、ＦＩＮフラグのチェックにより、通信の終了、すなわち、通信を利用したフローの終了を検知することができる。実際には、ＦＩＮフラグ後のフローの逆方向（送信元、送信先が逆のフロー）でＡＣＫパケットの通信が発生するため、ＦＩＮパケット後の逆方向フローのＡＣＫフラグを検知したら終了と判断することができる。更には、ＴＣＰは双方向通信のため、逆方向フローとセットにして、終了を検知したら当該逆方向のフローに対応する処理規則も不要になったと判断することができる。また、ＳＹＮパケットの受信から所定時間経過してタイムアウトとなったときや、ＲＳＴパケットの受信を契機として通信の終了を判定することもできる。これらは、後に具体例として詳述する。

　フロー終了の検知の方法のもう一例として、ＳＣＴＰ（Ｓｔｒｅａｍ　Ｃｏｎｔｒｏｌ　Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｐｒｏｔｏｃｏｌ）のＤＡＴＡチャンクにおけるＥ－ｂｉｔで判断する方法が挙げられる。

　更に、フロー終了の検知の方法のもう一例として、ＨＴＴＰ（Ｈｙｐｅｒｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｏｃｏｌ）での例が挙げられる。ＨＴＴＰヘッダのＣｏｎｎｅｃｔｉｏｎ属性がＣｌｏｓｅを検知し、対応するＨＴＴＰのメッセージ分が送信確認できたとき、一連のフローの終了と判断できる。

　更に、フロー終了の検知の方法のもう一例として、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）での例が挙げられる。パケット列ごとに１フローと前提がつけられている環境下では、ＩＰのＭＦ（Ｍｏｒｅ　Ｆｒａｇｍｅｎｔｓ）フラグにより、パケットの終端が判断できるので、フローの終了と判断することができる。

　いずれの場合も、終端判定用情報抽出部１３にて該当する情報を抽出し、フロー終端確認部１４に送ることで、不要な処理規則であるか否かを判定し、不要な処理規則を削除することが可能になる。

　以上により、通信終了となった処理規則のその有効期限を待たずに削除されるため、処理規則記憶部の記憶領域に余裕を生じさせるとともに、処理規則の検索の効率化が達成される。また、必要な処理規則を削除してしまう事態も発生しにくくなるため、これら処理規則の再設定のために生じていたトラヒックや負荷も低減される。更には、ＱｏＳ保証などのため、処理規則の更新制御を行う場合においても、不必要な処理規則をその対象から外すことが可能になる。
　本発明において以下の形態が可能である。
［形態１］
　前記第１の視点に記載のパケット転送装置のとおり。
［形態２］
　前記パケット転送装置は、さらに、前記処理規則記憶部に記憶された処理規則のタイムアウト判定を行うタイムアウト判定部を備え、
　前記フロー終端確認部は、前記終端判定用情報抽出部にて抽出された情報に基づいて、前記タイムアウト判定部にタイムアウト判定を開始させ、前記タイムアウト判定部にてタイムアウトと判定された処理規則を削除することが好ましい。
［形態３］
　前記パケット転送装置は、さらに、受信パケットを記憶するパケット記憶部を備え、
　前記終端判定用情報抽出部に、前記パケット記憶部から、受信パケットが属するフローと、該フローと逆方向のフローとにそれぞれ対応する処理規則を特定するための情報を抽出し、前記フロー終端確認部に、前記双方向の処理規則の削除を判定させることができる。
［形態４］
　前記フロー終端確認部は、前記終端判定用情報抽出部にて抽出されたＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）のＦＩＮフラグ、ＲＳＴフラグまたはＳＹＮフラグのいずれか一つ以上を用いて、フローの終端を判定するようにすることができる。
［形態５］
　前記第２の視点に記載の通信システムのとおり。
［形態６］
　前記第３の視点に記載の処理規則の更新方法のとおり。
［形態７］
　前記処理規則の更新方法において、前記パケット転送装置は、前記フローの終端を確認するための情報に基づいて、タイムアウト判定を開始し、タイムアウトと判定した処理規則を削除することが好ましい。
［形態８］
　前記処理規則の更新方法において、前記パケット転送装置は、受信パケットと前記処理規則に従って修正された後の受信パケットから、受信パケットが属するフローと、該フローと逆方向のフローとにそれぞれ対応する処理規則を特定するための情報を抽出し、前記双方向の処理規則の削除を判定することが好ましい。
［形態９］
　前記処理規則の更新方法において、フローの終端は、ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）のＦＩＮフラグ、ＲＳＴフラグまたはＳＹＮフラグのいずれか一つ以上を用いて判定することができる。
［形態１０］
　前記第４の視点に記載のプログラムのとおり。
　なお、上記第２、第４の視点に記載の通信システムおよびプログラムは、形態１の通信システムと同様に、形態２～形態４の内容に展開することが可能である。

［第１の実施形態］
　続いて、本発明の第１の実施形態について図面を参照して詳細に説明する。はじめに、用語の定義をしておく。「フロー」とは特定の送信元から送信先への通信のことを指す。すなわち、「フロー」は、伝送されているパケットの集合、もしくは、その伝送自体のことを意味する。また、「送信元」、「送信先」は、物理的、論理的な１つの宛先を意味するとは限らない。すなわち、特定のサブネットから、別のサブネットへの通信をまとめて、それを１つのフローと捉えても良い。このことから、フローは、より詳細なフローの集合となることもある。例えば、非特許文献１、２のオープンフローのように、宛先アドレスや送信元アドレス等の一部をワイルドカードで記述して、複数のフローを一つにまとめたフローエントリがこれに相当する。

　図２は、本発明の第１の実施形態の構成を示すブロック図である。図２を参照すると、本実施形態のパケット転送装置Ｃ１は、パケット受信部Ｃ１０と、パケット記憶部Ｃ１１と、パケット処理用情報抽出部Ｃ１２と、処理規則記憶部Ｃ１３と、処理規則検索部Ｃ１４と、パケット処理部Ｃ１５と、パケット送信部Ｃ１６と、終端判定用情報抽出部Ｃ１７と、フロー終端確認部Ｃ１８とを備える。

　パケット受信部Ｃ１０は、他のノードによって送信されたパケットを受信し、パケット記憶部Ｃ１１へ受信したパケットを一旦格納する。また、パケット受信部Ｃ１０は、進入ポート（受信ポートＩＤ情報）などの受信状況情報も同時に記憶することもできるものとする。前記受信パケットを格納すると、パケット受信部Ｃ１０は、パケット処理用情報抽出部Ｃ１２と、終端判定用パケット情報抽出部Ｃ１７に対し、パケットを受信したことを通知する。

　パケット記憶部Ｃ１１は、パケット受信部Ｃ１０が受信したパケットが、パケット送信部Ｃ１６によって送信されるまでの間、該パケットを一時的に格納する。

　パケット処理用情報抽出部Ｃ１２は、パケット受信部Ｃ１０からパケットを受信したとの通知をトリガとして、パケット記憶部Ｃ１１から、当該パケットに対して適用すべき処理内容を決定するために、受信パケットのヘッダフィールドの情報や、受信状況情報（上記進入ポート（受信ポートＩＤ情報）等）を抽出する。パケット処理用情報抽出部Ｃ１２は、抽出したパケット情報を処理規則検索部Ｃ１４に出力する。

　ここで、パケット処理用情報抽出部Ｃ１２が受信パケットに対して適用すべき処理内容を決定するために抽出する情報としては、非特許文献１、２のオープンフロースイッチと同様のものを用いることができる。例えば、進入ポート（受信ポートＩＤ情報）、Ｅｔｈｅｒｎｅｔ（登録商標）の送信元アドレス、宛先アドレス、上位プロトコルタイプと、ＩＥＥＥ８０２．１Ｑ準拠のＶＬＡＮ（Ｖｉｒｔｕａｌ　ＬＡＮ）のＴＣＩ（Ｔａｇ　Ｃｏｎｔｒｏｌ　Ｉｎｆｏｒｍａｔｉｏｎ）のＶＩＤ（ＶＬＡＮ－ＩＤ）、ＰＣＰ（Ｐｒｉｏｒｉｔｙ　Ｃｏｄｅ　Ｐｏｉｎｔ）と、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｃｔｏｃｏｌ）の送信元アドレス、宛先アドレス、上位プロトコルタイプと、ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）もしくはＵＤＰ（Ｕｓｅｒ　Ｄａｔａｇｒａｍ　Ｐｒｏｔｏｃｏｌ）の送信元ポート、宛先ポートを挙げることができる。このうち、パケット転送装置の進入ポート（受信ポートＩＤ情報）は受信状況情報から得ることができ、その他は、受信パケットのヘッダフィールドやパケット内部の上位プロトコルヘッダなどから得ることができる。

　処理規則記憶部Ｃ１３は、受信パケットに対して適用する処理内容をフロー単位で定めた処理規則を記憶する。その構成は、図１８、図１９に示した非特許文献１、２のフローテーブルと同等の内容とすることができ、受信パケットと照合しフローを判別するためのヘッダフィールドと、統計情報（カウンタ）と、処理内容（アクション）とを対応付けたエントリとすることができる。

　例えば、図１９のヘッダフィールドは、パケット転送装置の進入ポートと、Ｅｔｈｅｒｎｅｔ（登録商標）の送信元アドレス、宛先アドレス、上位プロトコルタイプと、ＩＥＥＥ８０２．１Ｑ準拠のＶＬＡＮのＶＩＤ、プライオリティ（ＰＣＰ；プライオリティ　コード　ポイント）、ＩＰの送信元アドレス、宛先アドレス、上位プロトコルタイプ、ＴＣＰもしくはＵＤＰの送信元ポート、宛先ポートから構成される。これらのヘッダフィールドの内容に適合するパケットを受信した場合に、アクションフィールドに定められた処理内容が行われることになる。ただし、ヘッダフィールドの任意の情報ビットについてワイルドカードを使用することもできるものとする。

　また、図１９のカウンタ（フィールド）には、受信パケット数、受信バイト数、ルールの存続時間が保持され、該パケットが属するフローに関する統計情報として使用される。

　また、図１９のアクションとしては、パケットを転送するためのＦｏｒｗａｒｄ、パケットを廃棄するためのＤｒｏｐ、パケットの情報を変更するためのＭｏｄｉｆｙ－Ｆｉｅｌｄが存在し、任意個のアクションを登録することができる（図２１の一覧参照。ただし、非特許文献２の場合、アクションフィールドが空欄のとき「Ｄｒｏｐ」となる。）。Ｍｏｄｉｆｙ－Ｆｉｌｅｄアクションとしては、ＶＬＡＮのＩＤやプライオリティの設定・変更、ＶＬＡＮヘッダの除去、Ｅｔｈｅｒｎｅｔ（登録商標）やＩＰの送信元／宛先アドレスの変更、ＴＣＰ／ＵＤＰの送信元／宛先ポートの変更などが用意されている（その他、ＩＰのＴｏＳ（Ｔｙｐｅ　ｏｆ　Ｓｅｒｖｉｃｅ）フィールドの変更等）。

　さらに本実施形態では、処理規則記憶部Ｃ１３は、各処理規則毎に、後記するフロー終端確認部Ｃ１８がフロー終端の判定に用いる内部状態情報フィールドが設けられているものとする（図９の「ＦＩＮ、逆ＦＩＮ、ｔｉｍｅｏｕｔ参照」、図１５の「ＳＹＮ、ｔｉｍｅｏｕｔ参照」）。

　処理規則検索部Ｃ１４は、パケット処理用情報抽出部Ｃ１２から渡された情報に基づいて、受信パケットに対して適用すべきアクション（処理内容）を決定し、パケット処理部Ｃ１５に出力する。より具体的には、処理規則検索部Ｃ１４は、処理規則記憶部Ｃ１３から、パケット処理用情報抽出部Ｃ１２から渡された受信パケットから抽出した情報に適合する処理規則を探索し、パケット処理部Ｃ１５に出力する。ここで、受信パケットに適合する処理規則が存在した場合、処理規則検索部Ｃ１４は、処理規則のアクションフィールドに定められたアクション（処理内容）を抽出し、パケット処理部Ｃ１５に出力する。一方、受信パケットに適合する処理規則が見つからなかった場合、処理規則検索部Ｃ１４は、所定の制御装置（コントローラ；図１８参照）に対し、受信パケットまたは受信パケットから抽出した情報を送信して、処理規則の作成・送信を要求する。所定の制御装置（コントローラ；図１８参照）から処理規則を受信すると、処理規則検索部Ｃ１４は、当該受信した処理規則を、処理規則記憶部Ｃ１３へ登録する。その後、処理規則検索部Ｃ１４は、当該処理規則のアクション（処理内容）を抽出し、パケット処理部Ｃ１５に出力する。

　図２０に示したフローテーブルの最初の処理規則によると、パケット転送装置の物理ポート１番に１９２．１６８．０．／２４のネットワークから入ってきたプロトコルタイプが０ｘ０００６（ＴＣＰ）の宛先１９２．１６８．１．／２４のネットワーク、ＴＣＰポート８０番宛てのパケットを適用対象として、当該パケットのＩＰの送信元アドレスを１９２．１６８．１／２４に変更して、転送装置の物理ポート２番から送信するアクション（処理内容）が実行される。同様に、図２０の２番目の処理規則によると、ＨＴＴＰポート以外へのパケットを適用対象として、当該パケットのＩＰの送信元アドレスを１９２．１６８．１／２４に変更して、転送装置の物理ポート３番から送信するアクション（処理内容）が実行される。

　パケット処理部Ｃ１５は、処理規則検索部Ｃ１４から出力されたアクション（処理内容）に従い、パケット記憶部Ｃ１１に格納されている受信パケットを処理する。例えば、パケットを転送するためのＦｏｒｗａｒｄアクションを受け取った場合、パケット処理部Ｃ１５は、パケット送信部Ｃ１６に対してパケットの送信を要求する。また、パケット処理部Ｃ１５は、処理規則検索部Ｃ１４から出力されたアクション（処理内容）のほか、通信に関する基本処理等も必要に応じて適宜行う。例えば、図２０の１番目の処理規則の場合、アクション（処理内容）としては、送信元ＩＰアドレスを１９２．１６８．１．１に変更した後、パケット送信となる。この際に、パケット処理部Ｃ１５が、上記に加え、通信に関する基本処理としてＩＰなどの基本処理であるＩＰヘッダのＴＴＬ（Ｔｉｍｅ　Ｔｏ　Ｌｉｖｅ）フィールド、チェックサムフィールド等の書き換えなどを適宜行う。また、ＴＴＬの値が０などになった場合のパケット送信終了の判定なども通信に関する基本処理となる。

　パケット送信部Ｃ１６は、パケット処理部Ｃ１５からパケット送信を要求されると、パケット処理部Ｃ１５から指示されたポートから、パケット記憶部Ｃ１１から読み出したパケットを送信する。更に、パケット送信部Ｃ１６は、終端判定用情報抽出部Ｃ１７に対してパケットを送信したことを通知する。

　終端判定用情報抽出部Ｃ１７は、パケット受信部Ｃ１０からパケットを受信したとの通知をトリガとして、パケット記憶部Ｃ１１から、フローの終端判定に必要な情報として、パケット内の特定の情報を抽出する。また、終端判定用情報抽出部Ｃ１７は、パケット処理用情報抽出部Ｃ１２と同様に、該パケットからさらに、当該パケットに対して適用すべき処理内容を決定するために、受信パケットのヘッダフィールドの情報や、受信状況情報（上記進入ポート（受信ポートＩＤ情報）等）を抽出する。また、終端判定用情報抽出部Ｃ１７は、パケット内の特定の情報がフロー終端判定に必要な情報であると判定したときに、パケット送信部Ｃ１６からパケットを送信したとの通知をトリガとして、当該パケットに対して適用すべき処理内容を決定するための情報（受信パケットのヘッダフィールドの情報や受信状況情報（進入ポート等）と、フロー終端判定に必要と判定した情報と、をフロー終端確認部Ｃ１８に出力する。

　なお、図２の例では、パケット処理用情報抽出部Ｃ１２と終端判定用情報抽出部Ｃ１７を別途に設けているが、同一条件で同一の情報を抽出することがあるので、統合することも可能である。また、終端判定用情報抽出部Ｃ１７における、受信パケットに対して適用すべき処理内容を決定するための情報の抽出は、パケット内の特定の情報がフローの終端判定に必要な情報であると判定した場合にのみ行うようにすることもできる。

　フロー終端確認部Ｃ１８は、終端判定用情報抽出部Ｃ１７から渡された情報に基づいて、フローの終端である最後のパケット送信が行われたかどうかを判定する。最後のパケット送信が行われたと判断したときは、処理規則記憶部Ｃ１３から、送信パケットが属するフローに対応する処理規則を削除する。また、フロー終端確認部Ｃ１８は、この判定のため、必要に応じて、処理規則記憶部Ｃ１３に記憶された処理規則の内部状態情報フィールドを参照または更新する。

　上記フロー終端確認部Ｃ１８が参照または更新する内部状態情報フィールドとしては、例えば、終了判定のステージ情報（判定段階情報）や、ステージ変更後（判定段階変更後）の経過時間情報等が挙げられる（図９の「ＦＩＮ、逆ＦＩＮ、ｔｉｍｅｏｕｔ参照」、図１５の「ＳＹＮ、ｔｉｍｅｏｕｔ参照」）。

　なお、図２に示したパケット転送装置Ｃ１の各部（処理手段）は、パケット転送装置Ｃ１を構成するコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。

　続いて、図３のフローチャートを参照して、本実施形態のパケット転送装置Ｃ１におけるパケット受信から送信までの動作を詳細に説明する。

　図３を参照すると、まず、パケットを受信すると（ステップＳ１０１）、パケット受信部Ｃ１０は、受信したパケットをパケット記憶部Ｃ１１へ格納する（ステップＳ１０２）。

　次に、パケット受信部Ｃ１０は、パケット処理用情報抽出部Ｃ１２及び終端判定用情報抽出部Ｃ１７に対し、パケットを受信したことを通知する。これにより、２つの処理が同時に動作することになる（ステップＳ１０２後の分岐）。

　第１の処理は、受信したパケットに対し処理を施すための処理である（ステップＳ１０３～Ｓ１１０）。パケット処理用情報抽出部Ｃ１２は、パケット受信部Ｃ１０からパケットを受信したとの通知を受けると、パケット記憶部Ｃ１１から、当該パケットに対して適用すべき処理内容を決定するための情報を抽出し、処理規則検索部Ｃ１４へ渡す（ステップＳ１０３）。

　次に、前記抽出された情報を受け取った処理規則検索部Ｃ１４は、処理規則記憶部Ｃ１３から、前記抽出された情報に適合する処理規則を検索する（ステップＳ１０４）。ここで、前記抽出された情報に適合する処理規則が見つかった場合、処理規則検索部Ｃ１４は、当該処理規則に定められたアクション（処理内容）を抽出し、パケット処理部Ｃ１５へ渡す（ステップＳ１０５）。一方、前記抽出された情報に適合する処理規則が見つからなった場合、処理規則検索部Ｃ１４は、所定の制御装置（コントローラ；図１８参照）に対し、受信パケットまたは受信パケットから抽出した情報を送信して、処理規則の作成・送信を要求する（ステップＳ１０６）。所定の制御装置（コントローラ；図１８参照）から処理規則を受信すると、処理規則検索部Ｃ１４は、当該受信した処理規則を、処理規則記憶部Ｃ１３へ登録するとともに、当該処理規則のアクション（処理内容）を抽出し、パケット処理部Ｃ１５に出力する（ステップＳ１０７）。

　次に、アクション（処理内容）を受け取ったパケット処理部Ｃ１５は、パケット記憶部Ｃ１１に格納されたパケットに対し、アクション（処理内容）に従って処理を行う（ステップＳ１０８）。例えば、パケットの各フィールドの修正や、先述した通信に関する基本処理などが適宜行われる。

　次に、パケット処理部Ｃ１５は、アクション（処理内容）にパケット転送が含まれるか否かや、ＴＴＬなどの情報に基づき、当該パケットを送信すべきか判断する（ステップＳ１０９）。パケットを送信すべきであると判断した場合、パケット処理部Ｃ１５は、パケット送信部Ｃ１６に対してパケットの送信を指示する。

　最後に、パケット送信部Ｃ１６は、該パケットをパケット記憶部Ｃ１１から読み出し、アクション（処理内容）にて指示されたポートから送信する（ステップＳ１１０）。更に、パケット送信部Ｃ１６は、終端判定用情報抽出部Ｃ１７に対してパケットを送信したことを通知する。

　第２の処理は、フロー終端判定を行って、処理規則記憶部Ｃ１３から不必要となる処理規則を削除するための処理である（ステップＳ１１１～Ｓ１１６）。

　はじめに、パケット受信部Ｃ１０からパケットを受信したことを示す通知を受け取ると、終端判定用情報抽出部Ｃ１７は、パケット記憶部Ｃ１１から、フローの終端判定に必要な情報として、パケット内の特定の情報を抽出する。また、終端判定用情報抽出部Ｃ１７は、ステップＳ１０３と同様に、該パケットからさらに、当該パケットに対して適用すべき処理内容を決定するための情報を抽出する（ステップＳ１１１）。前記抽出したパケット内の特定の情報がフローの終了判定に必要な情報でない場合、当該パケットに関するフロー終端判定は終了する（ステップＳ１１２のＮｏ）。

　一方、前記抽出したパケット内の特定の情報が終了判定に必要な情報である場合（ステップＳ１１２のＹｅｓ）、終端判定用情報抽出部Ｃ１７は、パケット送信部Ｃ１６から該パケットを送信したとの通知を受信するまで待機する。パケット送信部Ｃ１６から該パケットを送信したとの通知を受け取ると、終端判定用情報抽出部Ｃ１７は、フロー終端確認部Ｃ１８に対し、フローの終了判定に必要な情報と、当該パケットに対して適用すべき処理内容を決定するための情報を出力する。

　次に、フロー終端確認部Ｃ１８は、終端判定用情報抽出部Ｃ１７から渡された情報から、フローの終端であるかどうかを判定する（ステップＳ１１３）。フローの終端でないと判定した場合（ステップＳ１１４のＮｏ）、フロー終端確認部Ｃ１８は、その判定内容に従い、処理規則記憶部Ｃ１３の処理規則内の内部状態を適宜更新する（ステップＳ１１５）。一方、前記判定の結果、フローの終端であると判定した場合（ステップＳ１１４のＹｅｓ）、フロー終端確認部Ｃ１８は、処理規則記憶部Ｃ１３から当該フロー終端を確認した処理規則を削除する（ステップＳ１１６）。

　以上のように本実施形態によれば、受信パケットが属するフローが終了したかどうかを判定して、いち早く処理規則記憶部Ｃ１３から不必要となる処理規則を削除することができる。これにより、処理規則記憶部Ｃ１３の記憶可能な処理規則数が圧迫されてしまう事態を回避することが可能となる。これにより、必要な処理規則が処理規則記憶部Ｃ１３の記憶可能な処理規則数を超えてしまうことに起因する、所定の制御装置（コントローラ；図１８参照）に対する処理規則の設定要求や、処理規則の更新回数を減らすこともできる。また、ＱｏＳ保証のため、処理規則記憶部Ｃ１３の更新動作を行うような場合において、不必要な処理規則をその対象から外すことが可能となる。

［第２の実施形態］
　続いて、上記第１の実施形態に変更を加えた本発明の第２の実施形態について図面を参照して詳細に説明する。図４は、本発明の第２の実施形態の構成を表わしたブロック図である。図２と比較すると、本発明の第２の実施形態のパケット転送装置Ｃ１ａは、第１の実施形態の構成に、タイムアウト判定部Ｃ１９を追加した構成となっている。以下、先に説明した第１の実施形態との相違点に焦点を当てて説明する。

　タイムアウト判定部Ｃ１９は、処理規則記憶部Ｃ１３の特定のフィールドを監視して、タイムアウトかどうかを判定し、終了判定の契機にするかどうかを決定する。

　タイムアウト判定部Ｃ１９は、まず、処理規則記憶部Ｃ１３の特定のフィールドを監視して、タイムアウトかどうかを判定する。タイムアウトの監視方法としては、特定のフィールドの値と現在時刻を比較する絶対値評価方法と、カウントアップ／カウントダウン制御される特定のフィールドの値を、一定の値（タイムアウト判定しきい値）を上回る、もしくは、下回るかで判定する相対値評価方法のどちらの方法で実現しても良い。タイムアウト判定部Ｃ１９は、タイムアウトと判定したときに、タイムアウトが発生した旨とフローを特定する情報をフロー終端確認部Ｃ１８へ渡す。

　処理規則記憶部Ｃ１３ａは、上記した第１の実施形態の機能に加え、タイムアウト判定部Ｃ１９が前記タイムアウト判定を行うための特定のフィールドを更新する機能を有している。

　フロー終端確認部Ｃ１８は、上記した第１の実施形態の機能に加え、タイムアウト判定部Ｃ１９からタイムアウトが発生した旨の通知を受け取ると、該フローに対する終了の判定を行う。終了と判定した場合、フロー終端確認部Ｃ１８は、処理規則記憶部Ｃ１３から、該フローに対応する処理規則を削除する。なお、前記タイムアウトを契機とする処理規則の削除判定は、他の処理と独立して行うものとしてもよいが、終端判定用情報抽出部Ｃ１７からフローの終了判定に必要な情報を渡されたときに、連携して行うようにしてもよい。また逆に、前記タイムアウトが発生した旨の通知を受け取ったときに、終端判定用情報抽出部Ｃ１７からのフローの終了判定に必要な情報による判定と、タイムアウト判定とを連携して行うようにしてもよい。

　以上のように、本発明の第２の実施形態によれば、タイムアウトによるフロー終端判定が加わるため、処理規則記憶部Ｃ１３ａから、一定期間使用されていない処理規則をより積極的に削減することが可能となる。なお、処理規則記憶部Ｃ１３ａ、フロー終端確認部Ｃ１８、タイムアウト判定部Ｃ１９は、図４に示すように独立して設けてもよいが、別途設定した有効期限に示す期間、該当するパケットを受信しなかったときに、該当エントリを削除する非特許文献１、２と同等の仕組みにて実現することもできる。

［第３の実施形態］
　続いて、上記第１の実施形態に変更を加えた本発明の第３の実施形態について図面を参照して詳細に説明する。図５は、本発明の第３の実施形態の構成を表わしたブロック図である。図２と比較すると、パケット処理部Ｃ１５ａと終端判定用情報抽出部Ｃ１７ａが変わり、これらの間でのやり取りを示す両矢線が追加されている。その他は第１の実施形態と同様であるので、以下、変更部分にのみ焦点を当てて説明する。

　パケット処理部Ｃ１５ａは、パケット送信処理する場合、まず、終端判定用情報抽出部Ｃ１７ａへ、パケット送信準備完了を通知してから、パケット送信部Ｃ１６へパケットの送信を要求する。

　終端判定用情報抽出部Ｃ１７ａは、上記第１の実施形態で説明した動作に加えて、パケット処理部Ｃ１５ａからパケット送信準備完了通知を受信した場合も、パケット記憶部Ｃ１１から、フローの終端判定に必要な情報として、パケット内の特定の情報を抽出する。そして、終端判定用情報抽出部Ｃ１７ａは、前記パケット内の特定の情報がフロー終端判定に必要な情報であると判定したときに、当該パケットに対して適用すべき処理内容を決定するための情報（受信パケットのヘッダフィールドの情報や受信状況情報（進入ポート等）と、フロー終端判定に必要と判定した情報と、をフロー終端確認部Ｃ１８に出力する。

　即ち、本実施形態では、パケット受信時のみならず、パケット送信時にもフロー終端判定を行ない、不要な処理規則を削除することが可能になる。これにより、第１の実施形態よりも、より積極的に処理規則を削減することが可能になる。

　続いて、上記した各実施形態の各特徴を組み合わせて、ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）のフラグを利用してフローの終端判定を行う具体例１～３を説明する。

［具体例１］
　図６は、ＴＣＰのコネクションの状態遷移を示す図である。図６の上段の「ＣＬＯＳＥＤ」がＴＣＰ通信が終了している状態を示し、これにつながる箇所が、ＴＣＰ通信の終了前の状態である。上記「ＣＬＯＳＥＤ」に、一番長く辿りつかないケースは、双方のＦＩＮが流れてから約２ＭＳＬ（ＭＳＬ：Ｍａｘｉｍｕｍ　Ｓｅｇｍｅｎｔ　Ｌｉｆｅｔｉｍｅ（最大セグメント寿命））を待機したときである。そのため、双方向のＦＩＮを確認してから、この２ＭＳＬ時間だけ待機したら、基本的には通信終了と判断できる。パケット落ちなどで状態が順調に遷移しない場合（例えば、「ＣＬＯＳＩＮＧ」後のＡＣＫ送信が到着しない場合）も、この２ＭＳＬ時間後すぐに、再送パケットが転送されるはずであるので、最大でも２ＭＳＬにマージンを加えた２ＭＳＬ＋α時間に新たなＦＩＮパケットが届かないかどうかでＴＣＰ通信の終了を判断できる。

　以下、本発明に係るパケット転送装置Ｃ１が、図７に示したネットワーク構成のコンピュータ（クライアント）Ｄ１０と、サーバＤ２０間のＴＣＰ通信を中継する場合を考える。図７の例では、コンピュータＤ１０は、１９２．１６８．０．／２４のネットワークに属し、１９２．１６８．０．１０で設定されている。また、サーバＤ２０は、１９２．１６８．１．／２４のネットワークに属し、１９２．１６８．１．１０で設定されている。制御装置（コントローラ）Ｄ１は、パケット転送装置Ｃ１と、非特許文献１、２に記載のオープンフローコントローラと同様に専用のチャネルで接続されており、２つのネットワーク間の接続を管理している。以下の説明では、制御装置（コントローラ）Ｄ１は、他ネットワークからの接続は、それぞれのネットワークの１番（１９２．１６８．１．１）からの通信のように見せかけるようパケット転送装置Ｃ１を制御するものとする（図１９の処理規則のアクション参照。また、本具体例では、ＦＩＮパケットの監視を行うため、終端判定用情報抽出部Ｃ１７が監視するフィールドはプロトコルスタックを監視して、ＴＣＰであることを確認できるフィールドと、ＴＣＰヘッダのＦＩＮフラグとなる。

　図８は、ＦＩＮフラグを用いてフローの終端を判定する処理を説明するためのフローチャートである。図３のフローチャートのステップＳ１１１～Ｓ１１６にタイムアウト判定を加えて、より細分化したものである。以下、図３、図６、図８および図９～図１３を参照して動作を説明する。なお、実際にはＴＣＰ／ＩＰ通信の前にＡＲＰ（Ａｄｄｒｅｓｓ　Ｒｅｓｏｌｕｔｉｏｎ　Ｐｒｏｔｏｃｏｌ）通信が行われ、処理規則設定はその段階で行われる可能性があるが、今回は説明を簡単にするために省略し、ＴＣＰ／ＩＰレベルでの通信で説明する。

　まず、コンピュータＤ１０から、サーバＤ２０宛へ通信を開始する。このとき、最初の通信確立のためのパケット（ＳＹＮ）がパケット転送装置Ｃ１に進入する（図６のＳＹＮ送信によるアクティブオープンの開始）。パケット受信部Ｃ１０は、この最初のパケットを受信し、パケット記憶部Ｃ１１に格納する（図３のステップＳ１０１～Ｓ１０２）。

　パケット受信部Ｃ１０は、パケット処理用情報抽出部Ｃ１２と、終端判定用情報抽出部Ｃ１７へ、パケットを受信したことを通知する。パケット処理用情報抽出部Ｃ１２は、パケット記憶部Ｃ１１を参照して、処理規則を検索するのに必要となるＩＰの送信元／宛先などの情報を抽出する（図３のステップＳ１０３）。以下、図３のステップＳ１０３乃至ステップＳ１１０側の一連の処理が開始される。

　一方、終端判定用情報抽出部Ｃ１７は、パケット記憶部Ｃ１１を参照して、ＴＣＰのＦＩＮフラグを監視するが、ＦＩＮフラグは設定されていないため、終端判定の対象としない。そのため、図３のステップＳ１１１乃至ステップＳ１１６側のフロー終端判定処理は行われない。

　次に、受信パケットに対応する処理規則の検索が行われる。パケット処理用情報抽出部Ｃ１２は、抽出した情報（進入ポートが１、送信元アドレスが１９２．１６８．０．１０、宛先が１９２．１６８．１．１０、プロトコルがＴＣＰ（タイプが０ｘ０００６））を処理規則検索部Ｃ１４に渡す。処理規則検索部Ｃ１４は、処理規則記憶部Ｃ１３を参照して、前記パケットに適合する処理規則が存在しないので、制御装置（コントローラ）Ｄ１へ問い合わせる（図３のステップＳ１０４、ステップＳ１０６）。制御装置（コントローラ）Ｄ１は、送信元ＩＰの修正と、指定した転送ポートからの転送を処理内容とする処理規則を作成し、パケット転送装置Ｃ１へ送信する。処理規則検索部Ｃ１４は、制御装置（コントローラ）Ｄ１から受信した処理規則を新規エントリとして処理規則記憶部Ｃ１３へ登録する（図３のステップＳ１０７）。この段階で、図９に示すように、処理規則記憶部Ｃ１３に新しい処理規則が追加される。

　次に、パケットの転送処理に入る。処理規則検索部Ｃ１４は、検索した処理規則をパケット処理部Ｃ１５に送信する。パケット処理部Ｃ１５は、前記送信された処理規則に従って、ＩＰアドレスの置き換え、ＴＴＬなどの削減などのパケットの修正を実行する（図３のステップＳ１０８）。ここで、ＴＴＬは終了しないとし、パケットを送信すると判定されたとすると（図３のステップＳ１０９のＹｅｓ）、パケット処理部Ｃ１５は、パケット転送装置Ｃ１のポート＃２から受信パケットを送信するようパケット送信部Ｃ１６に指示する。ここで、第３の実施形態と同等の構成の場合、前記指示は、終端判定用情報抽出部Ｃ１７にも送られるが、上記理由により終了判定の対象パケットと判定されないため、処理規則の削除が行われることはない。

　パケット送信部Ｃ１６は、前記に従い、ポート＃２からパケットを送信する。以上の処理により、最初のパケットの送信が行われる。

　次に、サーバＤ２０からのコンピュータＤ１０との通信確立のための応答（ＳＹＮ／ＡＣＫパケット）がパケット転送装置Ｃ１に進入したものとする（図６のＳＹＮ／ＡＣＫ送信）。上記コンピュータＤ１０から、サーバＤ２０宛へ通信確立のときと同様に、処理規則記憶部Ｃ１３の参照が行われるが前記応答パケットに適合する処理規則は存在しないため、制御装置（コントローラ）Ｄ１へ問い合わせが行われ、逆方向のフローに適用する処理規則を定めた新しい処理規則が追加される（図３のステップＳ１０４、ステップＳ１０６、ステップＳ１０７）。この段階で、図１０に示すように、処理規則記憶部Ｃ１３に新しい処理規則が追加される。

　次に、コンピュータＤ１０から、サーバＤ２０宛へ通信確立のための最後の応答（ＡＣＫパケット）が送信されるが（図６のＡＣＫ送信）、この時点ではすでに、処理規則記憶部Ｃ１３にコンピュータＤ１０から、サーバＤ２０宛のフローに適合する処理規則が登録されているため、処理規則検索部Ｃ１４は、処理規則記憶部Ｃ１３から該当する処理規則に規定されている処理内容（アクション）を抽出することになる（ステップＳ１０５）。以降、上記と同様に、コンピュータＤ１０とサーバＤ２０間で送受信されるパケットの修正と中継が行われる（図６の「ＥＳＴＡＢＬＩＳＨＥＤ」状態）。

　その後、通信を終えるとき、コンピュータＤ１０から、サーバＤ２０宛へ通信終了のためのＦＩＮパケットを送信する（図６のＦＩＮ送信によるアクティブクローズの開始）。このＦＩＮパケットがパケット転送装置Ｃ１に進入する。ＦＩＮパケットの転送処理は上記ＡＣＫパケット以降と同様であるため、省略する。以下、図３のステップＳ１１１～Ｓ１１６について図８を用いて詳細に説明する。

　パケット受信部Ｃ１０からパケットを受信したとの通知を受けた終端判定用情報抽出部Ｃ１７は、パケット記憶部Ｃ１１を参照して、ＴＣＰのＦＩＮフラグを監視し、ＦＩＮフラグを発見する（図８のステップＳ２０１）。

　ここでは、ＦＩＮフラグが設定されているため、フロー終端判定に必要な情報であると判断し、削除する処理規則を特定するための情報（進入ポートが１、送信元アドレスが１９２．１６８．０．１０、宛先が１９２．１６８．１．１０、プロトコルがＴＣＰ（タイプが０ｘ０００６））を抽出し、パケットの送信まで待機する。終端判定用情報抽出部Ｃ１７は、パケット送信部Ｃ１６からパケットを送信したとの通知を受け取ると、さらに、パケット記憶部Ｃ１１から、削除する処理規則を特定するための情報を抽出する。ここで抽出される削除する処理規則を特定するための情報は、ＩＰアドレスが置き換えられているので、送信元アドレスが１９２．１６８．１．１、宛先が１９２．１６８．１．１０、プロトコルがＴＣＰ（タイプが０ｘ０００６）となる。この情報は逆フローのマーキングに使用される。終端判定用情報抽出部Ｃ１７は、ＦＩＮパケットを受信したとの通知とともに、これらの情報をフロー終端確認部Ｃ１８へ通知する（図８のステップＳ２０２）。

　終端判定用情報抽出部Ｃ１７から、上記した情報を受け取ったフロー終端確認部Ｃ１８は、パケットヘッダの所定位置にＦＩＮフラグが設定されているか否かをチェックする（ステップＳ２０３）。ここまでが、図３のステップＳ１１１～Ｓ１１４の処理に相当する。

　ここでは、ＦＩＮパケットが送信されているため、フロー終端確認部Ｃ１８は、前記削除対象の処理規則を特定するための情報をキーとして、処理規則記憶部Ｃ１３から処理規則を抽出し、ＦＩＮパケット受信のフラグをマークする（図８のＳ２０４～Ｓ２０５）。この処理は、図３のステップＳ１１５の内部状態更新処理に相当する。

　次に、フロー終端確認部Ｃ１８は、当該処理規則について、正方向・逆方向のＦＩＮがマークされているかをチェックするが、この時点では、まだ正方向しかマークされていないため、次の処理へ移る（図８のＳ２０６のＮｏ）。

　次に、逆方向のマーキングに移る。フロー終端確認部Ｃ１８は、前記削除対象の処理規則を特定する情報に対応する処理規則を抽出し（送信元と宛先を逆転してマッチングする）、逆方向のＦＩＮパケット受信のフラグをマークする（図８のステップＳ２０７～Ｓ２０８）。この段階で、図１１に示すように、処理規則記憶部Ｃ１３の該当処理規則のＦＩＮフラグ、逆ＦＩＮフラグが立てられる。この時点においても、該当処理規則の正方向・逆方向のＦＩＮフラグの双方がマークされていないので、直ちに処理規則の削除を行うのではなく、次のパケットの受信を待機することになる（図８のステップＳ２０９のＹｅｓ）。

　次に、サーバＤ２０から、コンピュータＤ１０のＦＩＮパケットに対するＡＣＫ応答が上記通常のパケットと同様に転送された後（図６のパッシブクローズの開始）、サーバＤ２０は、コンピュータＤ１０に対しＦＩＮパケットを送信する。このＦＩＮパケットがパケット転送装置Ｃ１へと進入すると、上記アクティブクローズの開始の場合と同様に、ステップＳ１１１～Ｓ１１６のフロー終端判定処理が開始される。

　パケット受信部Ｃ１０からパケットを受信したとの通知を受けた終端判定用情報抽出部Ｃ１７は、パケット記憶部Ｃ１１を参照して、ＴＣＰのＦＩＮフラグを監視し、ＦＩＮパケットを発見する（図８のステップＳ２０１）。

　ここでは、ＦＩＮフラグが設定されているため、フロー終端判定に必要な情報であると判断し、削除する処理規則を特定するための情報（進入ポートが２、送信元アドレスが１９２．１６８．１．１０、宛先が１９２．１６８．１．１、プロトコルがＴＣＰ（タイプが０ｘ０００６））を抽出し、パケットの送信まで待機する。終端判定用情報抽出部Ｃ１７は、パケット送信部Ｃ１６からパケットを送信したとの通知を受け取ると、さらに、パケット記憶部Ｃ１１から、修正された処理規則を特定するための情報を抽出する。ここで抽出される修正された処理規則を特定するための情報は、ＩＰアドレスが置き換えられているので、送信元アドレスが１９２．１６８．１．１０、宛先が１９２．１６８．０．１０、プロトコルがＴＣＰ（タイプが０ｘ０００６）となる。この情報は、逆フローのマーキングに使用される。終端判定用情報抽出部Ｃ１７は、ＦＩＮパケットを受信したとの通知とともに、これらの情報をフロー終端確認部Ｃ１８へ通知する（図８のステップＳ２０２）。

　終端判定用情報抽出部Ｃ１７から、上記した情報を受け取ったフロー終端確認部Ｃ１８は、パケットヘッダの所定位置にＦＩＮフラグが設定されているか否かをチェックする（図８のステップＳ２０３）。ここまでが、図３のステップＳ１１１～Ｓ１１４の処理に相当する。

　ここでは、ＦＩＮパケットが送信されているため、フロー終端確認部Ｃ１８は、前記削除対象の処理規則を特定するための情報をキーとして、処理規則記憶部Ｃ１３から処理規則（図１１の進入ポート２の処理規則）を抽出し、ＦＩＮパケット受信のフラグをマークする（図８のＳ２０４～Ｓ２０５）。この処理は、図３のステップＳ１１５の内部状態更新処理に相当する。

　次に、フロー終端確認部Ｃ１８は、当該処理規則について、正方向・逆方向のＦＩＮフラグがマークされているかをチェックする。ここでは、正方向・逆方向のＦＩＮフラグがマークされていることを確認できるため、フロー終端確認部Ｃ１８は、当該処理規則（図１２の進入ポート２からの処理規則）の最終タイムアウト時間として、２ＭＳＬ（＋α）を設定する（図８のステップＳ２１０）。なお、αは判定が過度に厳しくならないように定めた所定のマージンである。

　次に、逆方向のマーキングに移る。フロー終端確認部Ｃ１８は、前記削除対象の処理規則を特定する情報に対応する処理規則を抽出し（送信元と宛先を逆転してマッチングする）、逆方向のＦＩＮパケット受信のフラグをマークする（図８のステップＳ２０７～Ｓ２０８）。

　上記の結果、正方向・逆方向のＦＩＮフラグがマークされていることを確認できるため、フロー終端確認部Ｃ１８は、当該処理規則（図１２の進入ポート１からの処理規則）のタイムアウト時間として、２ＭＳＬ（＋α）を設定する（図８のステップＳ２１０）。この段階で、図１２に示すように、処理規則記憶部Ｃ１３の該当処理規則のタイムアウト時間２ＭＳＬが設定される。

　これらのタイムアウト値の設定により、タイムアウト判定部Ｃ１９の監視対象となり、タイムアウト監視が開始される（図８のステップＳ２１１～２１２）。このタイムアウト監視は、タイマ値を更新し、タイムアウト値と比較することとしても良いし、また、タイムアウト値の方を更新し、所定のしきい値と比較する方法のいずれの方法を採用してもよい。

　上記タイムアウト判定の間に、最後のＡＣＫが送受信されるはずであるが、もし、最後のＡＣＫが送受信されずに、ＦＩＮパケットの再送が行われた場合、上記図８のステップＳ２０２以下の処理に従い、再度タイムアウト値の設定処理が行われ、新たなタイムアウト値に更新される。

　最終的にタイムアウトと判定されたとき（図８のステップＳ２１１のＹｅｓ）、タイムアウト判定部Ｃ１９は、フロー終端確認部Ｃ１８に対しタイムアウトと判定した旨を通知する。これに対応して、フロー終端確認部Ｃ１８は、処理規則記憶部Ｃ１３から、対応する処理規則を削除する（図３のステップＳ１１６、図８のステップＳ２１３）。この段階で、図１３に示すように、処理規則記憶部Ｃ１３から、該当処理規則が削除される。

　なお、図８のステップＳ２１１～２１２のタイムアウトの監視は、当該処理規則についてのタイムアウト判定が継続されるという意味であり、その間に別のＦＩＮパケットを受信すれば、当該ＦＩＮパケットについて、別途ステップＳ２０１以下の終了判定フローに従い処理が行われる。

　以上のように、ＦＩＮフラグを用いて、フローの終了を確実に検出して、無駄となった処理規則を処理規則記憶部から削除することができる。

［具体例２］
　再度、図６のＴＣＰのコネクションの状態遷移図を参照すると、ＦＩＮフラグによる状態遷移を通らずに、図６上段の「ＣＬＯＳＥＤ」につながる箇所として、ＳＹＮフラグをマークしたＳＹＮパケットを送信した場合のＳＹＮ＿ＳＥＮＴからセッションがクローズされた場合、もしくは、タイムアウトが生じた場合がある。この場合、パケット転送装置は、クローズを監視することはできないが、タイムアウトは次の方法で確認できる。本具体例では、このタイムアウトをもってフローの終了判定を行うものである。

　本具体例では、ＳＹＮパケットが流れたフローに対する逆方向のフロー（図６の「ＳＹＮ＿ＲＣＶＤ」から「ＳＹＮ＿ＳＥＮＴ」）に、ＳＹＮ／ＡＣＫパケットが流れない状態が所定時間継続したことをもってタイムアウトと判定する。

　図１４は、ＳＹＮフラグを用いてフローの終端を判定する処理を説明するためのフローチャートである。基本的な動作は、上記した具体例１と同等であるため、以下相違点に焦点を当てて説明する。

　図１４を参照すると、パケット受信部Ｃ１０からパケットを受信したとの通知を受けた終端判定用情報抽出部Ｃ１７は、パケット記憶部Ｃ１１を参照して、ＴＣＰのＳＹＮフラグを監視し、ＳＹＮパケットを発見する（図１４のステップＳ３０１）。

　ここでは、ＳＹＮフラグが設定されているため、フロー終端判定に必要な情報であると判断し、削除する処理規則を特定するための情報（進入ポートが２、送信元アドレスが１９２．１６８．１．１０、宛先が１９２．１６８．１．１、プロトコルがＴＣＰ（タイプが０ｘ０００６））を抽出し、パケットの送信まで待機する。終端判定用情報抽出部Ｃ１７は、パケット送信部Ｃ１６からパケットを送信したとの通知を受け取ると、さらに、パケット記憶部Ｃ１１から、修正された処理規則を特定するための情報を抽出する。ここで抽出される処理規則を特定するための情報は、ＩＰアドレスが置き換えられているので、送信元アドレスが１９２．１６８．１．１０、宛先が１９２．１６８．０．１０、プロトコルがＴＣＰ（タイプが０ｘ０００６）となる。この情報は、逆フローのマーキングに使用される。終端判定用情報抽出部Ｃ１７は、ＳＹＮパケットを受信したとの通知とともに、これらの情報をフロー終端確認部Ｃ１８へ通知する（図１４のステップＳ３０２）。

　終端判定用情報抽出部Ｃ１７から、上記した情報を受け取ったフロー終端確認部Ｃ１８は、パケットヘッダの所定位置にＳＹＮフラグが設定されており、かつ、ＡＣＫフラグがマークされていないかどうかをチェックする（図１４のステップＳ３０３）。ここまでが、図３のステップＳ１１１～Ｓ１１４の処理に相当する。

　ＳＹＮパケットであることが確認できた場合、フロー終端確認部Ｃ１８は、前記削除対象の処理規則を特定するための情報をキーとして、処理規則記憶部Ｃ１３から処理規則を抽出し、ＳＹＮパケット受信のフラグをマークする（図１４のＳ３０４～Ｓ３０５）。この処理は、図３のステップＳ１１５の内部状態更新処理に相当する。

　その後、フロー終端確認部Ｃ１８は、処理規則記憶部Ｃ１３に、ＳＹＮ／ＡＣＫパケットの受信タイムアウト時間を設定し、タイムアウト判定部Ｃ１９にタイムアウト判定処理を開始させる（図１４のステップＳ３０６）。この段階で、図１５に示すように、処理規則記憶部Ｃ１３の該当処理規則のタイムアウト時間２ＭＳＬが設定される。

　一方、ステップＳ３０３において、ＳＹＮパケットでないと判定した場合、フロー終端確認部Ｃ１８は、ＳＹＮ／ＡＣＫパケットかどうか、すなわち、ＳＹＮフラグ、ＡＣＫフラグが両方ともマークされているかどうかをチェックする（図１４のステップＳ３０７）。

　ＳＹＮ／ＡＣＫパケットであることが確認できた場合、フロー終端確認部Ｃ１８は、前記削除対象の処理規則を特定するための情報をキーとして、処理規則記憶部Ｃ１３から処理規則を抽出し、ＳＹＮパケット受信のフラグのマークを削除する（図１４のステップＳ３０８～Ｓ３０９）。

　その後、フロー終端確認部Ｃ１８は、処理規則記憶部Ｃ１３からタイムアウト時間も削除する。これにより、タイムアウト判定部Ｃ１９による該処理規則をタイムアウト判定処理は解除される（図１４のステップＳ３１０）。

　一方、図１４のステップＳ３０６にて、タイムアウト判定処理が開始された後、最終的にタイムアウトと判定されたとき（図１４のステップＳ３１１のＹｅｓ）、タイムアウト判定部Ｃ１９は、フロー終端確認部Ｃ１８に対しタイムアウトと判定した旨を通知する。これに対応して、フロー終端確認部Ｃ１８は、処理規則記憶部Ｃ１３から、対応する処理規則を削除する（図３のステップＳ１１６、図１４のステップＳ３１４）。

　上記タイムアウト判定処理は、タイムアウト判定処理が解除されるまで継続される（図１４のステップＳ３１２のＮｏ）。

　以上のように、ＳＹＮフラグを用いても、フローの終了を確実に検出して、無駄となった処理規則を処理規則記憶部から削除することができる。

［具体例３］
　続いて、ＴＣＰのＲＳＴ（リセット）フラグを用いてフローの終了判定を行う第３の具体例について説明する。

　再度、図６のＴＣＰのコネクションの状態遷移図を参照すると、通信確立待機状態の「ＳＹＮ＿ＲＣＶＤ」から「通信待機状態」のＬＩＳＴＥＮ状態に戻る遷移があることが分かる。ＴＣＰのＲＳＴ（リセット）フラグは、コネクションを開放し、通信をやり直すという意味を持つ。つまり、このＲＳＴフラグが立てられたＲＳＴパケットは、通信を無効化する意味を持つので、これを検出してフローの終了判定を行うことができる。

　図１６は、ＲＳＴフラグを用いてフローの終端を判定する処理を説明するための第１のフローチャートである。基本的な動作は、上記した具体例１と同等であるため、以下相違点に焦点を当てて説明する。

　図１６を参照すると、パケット受信部Ｃ１０からパケットを受信したとの通知を受けた終端判定用情報抽出部Ｃ１７は、パケット記憶部Ｃ１１を参照して、ＴＣＰのＲＳＴフラグを監視し、ＲＳＴパケットを発見する（図１６のステップＳ４０１）。

　ここでは、ＲＳＴフラグが設定されているため、フロー終端判定に必要な情報であると判断し、削除する処理規則を特定するための情報（進入ポートが２、送信元アドレスが１９２．１６８．１．１０、宛先が１９２．１６８．１．１、プロトコルがＴＣＰ（タイプが０ｘ０００６））を抽出し、パケットの送信まで待機する。終端判定用情報抽出部Ｃ１７は、パケット送信部Ｃ１６からパケットを送信したとの通知を受け取ると、ＲＳＴパケットを受信したとの通知とともに、これらの情報をフロー終端確認部Ｃ１８へ通知する（図１６のステップＳ４０２）。

　終端判定用情報抽出部Ｃ１７から、上記した情報を受け取ったフロー終端確認部Ｃ１８は、パケットヘッダの所定位置にＲＳＴフラグが設定されているかどうかをチェックする（図１６のステップＳ４０３）。ここまでが、図３のステップＳ１１１～Ｓ１１４の処理に相当する。

　ＲＳＴパケットであることが確認できた場合、フロー終端確認部Ｃ１８は、前記削除対象の処理規則を特定するための情報をキーとして、処理規則記憶部Ｃ１３から処理規則を抽出し、削除する（図１６のＳ４０４～Ｓ４０５）。

　以上のように、ＲＳＴフラグを用いても、フローの終了を確実に検出して、無駄となった処理規則を処理規則記憶部から削除することができる。

　このＲＳＴフラグは、通信の無効化を意味するので、逆方向のフローに対しても、削除することが可能である。図１７は、ＲＳＴフラグを用いてフローの終端を判定し、逆方向の処理規則も削除する場合のフローチャートである。基本的な動作は、上記した具体例１と同等であるため、以下相違点に焦点を当てて説明する。

　図１７を参照すると、パケット受信部Ｃ１０からパケットを受信したとの通知を受けた終端判定用情報抽出部Ｃ１７は、パケット記憶部Ｃ１１を参照して、ＴＣＰのＲＳＴフラグを監視し、ＲＳＴパケットを発見する（図１７のステップＳ５０１）。

　ここでは、ＲＳＴフラグが設定されているため、フロー終端判定に必要な情報であると判断し、削除する処理規則を特定するための情報（進入ポートが２、送信元アドレスが１９２．１６８．１．１０、宛先が１９２．１６８．１．１、プロトコルがＴＣＰ（タイプが０ｘ０００６））を抽出し、パケットの送信まで待機する。終端判定用情報抽出部Ｃ１７は、パケット送信部Ｃ１６からパケットを送信したとの通知を受け取ると、パケット記憶部Ｃ１１から、修正された処理規則を特定する情報を抽出する。ここで抽出される処理規則を特定するための情報は、ＩＰアドレスが置き換えられているので、送信元アドレスが１９２．１６８．１．１０、宛先が１９２．１６８．０．１０、プロトコルがＴＣＰ（タイプが０ｘ０００６）となる。この情報は、逆フローの処理規則の削除に使用される。終端判定用情報抽出部Ｃ１７は、ＲＳＴパケットを受信したとの通知とともに、これらの情報をフロー終端確認部Ｃ１８へ通知する（図１７のステップＳ５０２）。

　終端判定用情報抽出部Ｃ１７から、上記した情報を受け取ったフロー終端確認部Ｃ１８は、パケットヘッダの所定位置にＲＳＴフラグが設定されているかどうかをチェックする（図１７のステップＳ５０３）。

　ＲＳＴパケットであることが確認できた場合、フロー終端確認部Ｃ１８は、前記削除対象の処理規則を特定するための情報をキーとして、処理規則記憶部Ｃ１３から処理規則を抽出し、削除する（図１７のＳ５０４～Ｓ５０５）。

　さらに、フロー終端確認部Ｃ１８は、前記修正された処理規則（逆方向のフローに相当）を特定するための情報をキーとして、処理規則記憶部Ｃ１３から処理規則を抽出し、削除する（図１７のＳ５０６～Ｓ５０７）。

　以上のように、ＲＳＴパケットを用いて、正・逆双方向のフローに対応する処理規則を処理規則記憶部から削除することができる。

　以上、本発明の好適な実施形態びその具体例を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。

　例えば、本発明の具体例は、ＴＣＰの特定のフラグを監視するものであり、並列して同一のパケット転送装置に実行させることができる。例えば、上記したフロー終了の要因となるパケットの検出後の処理を、上記図８、図１４、図１６（図１７）に分岐させることにより、実現することが可能である。

　本発明の具体例では、ＴＣＰを中心に示したが、終端情報の情報フィールドが観測可能なすべてのコネクション型プロトコルに適用することが可能である。例えば、ＳＣＴＰ（Ｓｔｒｅａｍ　Ｃｏｎｔｒｏｌ　Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｐｒｏｔｏｃｏｌ）のＤＡＴＡチャンクにおけるＥ－ｂｉｔでフローの終了を判断することができる。

　また例えば、ＨＴＴＰ（Ｈｙｐｅｒｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｏｃｏｌ）ヘッダのＣｏｎｎｅｃｔｉｏｎ属性がＣｌｏｓｅであることを検知し、対応するＨＴＴＰのメッセージ分が送信確認できたときに、フローの終了を判断することができる。

　また例えば、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）パケット列ごとに１フローと前提がつけられている環境下では、ＩＰのＭＦ（Ｍｏｒｅ　Ｆｒａｇｍｅｎｔｓ）フラグにより、パケットの終端が判断できるので、フローの終了と判断することができる。
　なお、上記の非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

　本発明は、処理規則を規則するための記憶領域を持つＨＵＢやスイッチなどのパケット転送装置に適用できる。

　１、Ｃ１、Ｃ１ａ、Ｃ１ｂ　　パケット転送装置
　Ｃ１０　パケット受信部
　Ｃ１１　パケット記憶部
　Ｃ１２　パケット処理用情報抽出部
　１１、Ｃ１３、Ｃ１３ａ　処理規則記憶部
　Ｃ１４　処理規則検索部
　１２、Ｃ１５、Ｃ１５ａ　パケット処理部
　Ｃ１６　パケット送信部
　１３、Ｃ１７、Ｃ１７ａ　終端判定用情報抽出部
　１４、Ｃ１８　フロー終端確認部
　Ｃ１９　タイムアウト判定部
　Ｄ１　　制御装置（コントローラ）
　Ｄ１０　コンピュータ（クライアント）
　Ｄ２０　サーバ

Claims

　フロー単位で処理内容を定義した処理規則を記憶する処理規則記憶部と、
　前記処理規則の中から受信パケットに適合する処理規則を用いて受信パケットの処理を行うパケット処理部と、
　前記受信パケットからフローの終端を確認するための情報を抽出する終端判定用情報抽出部と、
　前記抽出された情報に基づいて、フローの終端を確認した場合、当該フローに対応する処理規則を削除するフロー終端確認部と、を備えるパケット転送装置。
　さらに、前記処理規則記憶部に記憶された処理規則のタイムアウト判定を行うタイムアウト判定部を備え、
　前記フロー終端確認部は、前記終端判定用情報抽出部にて抽出された情報に基づいて、前記タイムアウト判定部にタイムアウト判定を開始させ、前記タイムアウト判定部にてタイムアウトと判定された処理規則を削除する請求項１記載のパケット転送装置。
　さらに、受信パケットを記憶するパケット記憶部を備え、
　前記終端判定用情報抽出部は、前記パケット記憶部から、受信パケットが属するフローと、該フローと逆方向のフローとにそれぞれ対応する処理規則を特定するための情報を抽出し、前記フロー終端確認部に、前記双方向の処理規則の削除を判定させる請求項１または２のパケット転送装置。
　前記フロー終端確認部は、前記終端判定用情報抽出部にて抽出されたＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）のＦＩＮフラグ、ＲＳＴフラグまたはＳＹＮフラグのいずれか一つ以上を用いて、フローの終端を判定する請求項１から３いずれか一のパケット転送装置。
　請求項１から４いずれか一のパケット転送装置と、
　前記パケット転送装置に処理規則を設定する制御装置と、を含む通信システム。
　フロー単位で処理内容を定義した処理規則を記憶する処理規則記憶部と、
　前記処理規則の中から受信パケットに適合する処理規則を用いて受信パケットの処理を行うパケット処理部と、を備えたパケット転送装置が、
　前記受信パケットからフローの終端を確認するための情報を抽出するステップと、
　前記抽出した情報に基づいて、フローの終端を確認した場合、前記処理規則記憶部から、当該フローに対応する処理規則を削除するステップと、を含む処理規則の更新方法。
　前記パケット転送装置は、前記フローの終端を確認するための情報に基づいて、タイムアウト判定を開始し、タイムアウトと判定した処理規則を削除する請求項６の処理規則の更新方法。
　前記パケット転送装置は、受信パケットと前記処理規則に従って修正された後の受信パケットから、受信パケットが属するフローと、該フローと逆方向のフローとにそれぞれ対応する処理規則を特定するための情報を抽出し、前記双方向の処理規則の削除を判定する請求項６または７の処理規則の更新方法。
　ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）のＦＩＮフラグ、ＲＳＴフラグまたはＳＹＮフラグのいずれか一つ以上を用いて、フローの終端を判定する請求項６から８いずれか一の処理規則の更新方法。
　フロー単位で処理内容を定義した処理規則を記憶する処理規則記憶部と、
　前記処理規則の中から受信パケットに適合する処理規則を用いて受信パケットの処理を行うパケット処理部と、を備えたパケット転送装置を構成するコンピュータに、
　前記受信パケットからフローの終端を確認するための情報を抽出する処理と、
　前記抽出された情報に基づいて、フローの終端を確認した場合、前記処理規則記憶部から、当該フローに対応する処理規則を削除する処理と、を実行させるプログラム。