WO2013039083A1

WO2013039083A1 - 通信システム、制御装置および通信方法

Info

Publication number: WO2013039083A1
Application number: PCT/JP2012/073254
Authority: WO
Inventors: 山形　昌也; 英之下西; 健太郎園田; 洋一波多野; 中江　政行; 陽一郎森田; 貴之佐々木
Original assignee: 日本電気株式会社
Priority date: 2011-09-13
Filing date: 2012-09-12
Publication date: 2013-03-21
Also published as: JP6024664B2; JPWO2013039083A1; US9419910B2; US20140341019A1

Abstract

　転送ノードおよび制御装置の負荷を低減し、遅延の増大やスループットの低下を抑止できるようにする。通信システムは、受信パケットを処理するための第１の処理規則が設定され、前記処理規則に従ってパケットを処理する少なくとも１以上の転送ノードと、前記転送ノードに対して前記第１の処理規則を設定する第１の制御装置と、前記各転送ノードよりも上流側に配置される少なくとも１以上の流量制御ノードと、前記流量制御ノードに、第２の処理規則を設定する第２の制御装置と、を含む。前記流量制御ノードは、前記第２の処理規則に従って、所定の条件を満たさないパケットの前記転送ノードへの転送を遮断する。

Description

通信システム、制御装置および通信方法

［関連出願についての記載］
　本発明は、日本国特許出願：特願２０１１－１９９０８９号（２０１１年９月１３日出願）の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
　本発明は、通信システム、制御装置および通信方法に関し、特に、制御装置からの制御に従って受信パケットの処理を行う転送ノードを用いて通信を実現する通信システム、制御装置および通信方法に関する。

　近年、オープンフロー（ＯｐｅｎＦｌｏｗ）という技術が提案されている（特許文献１、非特許文献１、２参照）。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献２に仕様化されているオープンフロースイッチ（図１０の符号９０～９２参照）は、オープンフローコントローラ（図１０の符号９３参照）との通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合する内容が定められたマッチフィールド（Ｍａｔｃｈ　Ｆｉｅｌｄｓ）と、フロー統計情報（Ｃｏｕｎｔｅｒｓ）と、処理内容を定義したインストラクション（Ｉｎｓｔｒｕｃｔｉｏｎｓ）と、の組が定義される（図１１参照）。

　例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチフィールドを持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報（カウンタ）を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容（指定ポートからのパケット送信、フラッディング、廃棄等）を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットの処理内容の決定の要求を送信する。オープンフロースイッチは、要求に対応するフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを処理規則として用いてパケット転送を行う。

　また、特許文献２には、上記したオープンフローを利用したコンピュータシステムにおいて、システムの耐障害性を向上させるために、（オープンフロー）コントローラを複数配置し、それぞれのコントローラが優先度を付加したフローエントリをオープンフロースイッチに設定する構成が開示されている。

国際公開第２００８／０９５０１０号特開２０１１－１６６３８４号公報

Ｎｉｃｋ　ＭｃＫｅｏｗｎほか７名、"ＯｐｅｎＦｌｏｗ：　Ｅｎａｂｌｉｎｇ　Ｉｎｎｏｖａｔｉｏｎ　ｉｎ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋｓ"、［ｏｎｌｉｎｅ］、［平成２３（２０１１）年９月１日検索］、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "ＯｐｅｎＦｌｏｗ　Ｓｗｉｔｃｈ　Ｓｐｅｃｉｆｉｃａｔｉｏｎ"　Ｖｅｒｓｉｏｎ　１．１．０　Ｉｍｐｌｅｍｅｎｔｅｄ　（Ｗｉｒｅ　Ｐｒｏｔｏｃｏｌ　０ｘ０２）　［平成２３（２０１１）年９月１日検索］、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉

　以下の分析は、本発明によって与えられたものである。非特許文献１のオープンフローでは、図１０に示すように、ＯｐｅｎＦｌｏｗ　Ａｃｃｅｓｓ　Ｐｏｉｎｔ９１やＯｐｅｎＦｌｏｗ－ｅｎａｂｌｅｄ　Ｃｏｍｍｅｒｃｉａｌ　Ｓｗｉｔｃｈ９２などの特定または不特定多数のクライアントノードが接続可能なエッジノードが設けられている。エッジノードは、クライアントノードからパケットを受信すると、制御装置（図１０のＣｏｎｔｒｏｌｌｅｒ９３）に対してフローエントリ（以下、「処理規則」ともいう。）の設定を要求する。

　フローエントリの設定要求を受けた制御装置（図１０のＣｏｎｔｒｏｌｌｅｒ９３）は、前記エッジノードからパケットの宛先のサーバ等までの経路を決定し、この経路に沿ったパケット転送が行われるようフローエントリを作成、経路上のすべての転送ノード（図１０のＯｐｅｎＦｌｏｗ（Ｓｗｉｔｃｈ）９０、ＯｐｅｎＦｌｏｗ　Ａｃｃｅｓｓ　Ｐｏｉｎｔ９１、ＯｐｅｎＦｌｏｗ－ｅｎａｂｌｅｄ　Ｃｏｍｍｅｒｃｉａｌ　Ｓｗｉｔｃｈ９２）に前記作成したフローエントリを設定する。

　このため、フローエントリの設定要求が集中すると、制御装置（図１０のＣｏｎｔｒｏｌｌｅｒ９３）の処理量及び負荷が増大し、遅延の増大やスループットの低下が発生してしまうという問題点がある。図１０の例では簡略化されているが、クライアントノードの数が増えれば、トラヒックの増大による転送ノードの負荷増大だけでなく、制御装置へのフローエントリの設定要求も増加する。さらに、転送ノードの数が増えて大規模ネットワークとなれば、フローエントリの設定やその管理負担が増大するため、前記遅延の増大やスループットの低下は一層顕著なものとなってしまう。

　この点、特許文献２の構成では、複数のコントローラが設けられているが、これら複数のコントローラは、同文献の図１０に示すように、並列的に動作するため、有効な解決策は図られていない。

　本発明は、上述した転送ノードおよび制御装置の負荷を低減し、遅延の増大やスループットの低下を抑止することに貢献できるようにした通信システム、制御装置および通信方法を提供することを目的とする。

　本発明の第１の視点によれば、受信パケットを処理するための第１の処理規則が設定され、前記処理規則に従ってパケットを処理する少なくとも１以上の転送ノードと、前記転送ノードに対して前記第１の処理規則を設定する第１の制御装置と、前記各転送ノードよりも上流側に配置される少なくとも１以上の流量制御ノードと、前記流量制御ノードに、第２の処理規則を設定する第２の制御装置と、を含み、前記流量制御ノードは、前記第２の処理規則に従って、所定の条件を満たさないパケットの前記転送ノードへの転送を遮断する通信システムが提供される。

　本発明の第２の視点によれば、受信パケットを処理するための第１の処理規則が設定され、前記処理規則に従ってパケットを処理する少なくとも１以上の転送ノードと、前記転送ノードに対して前記第１の処理規則を設定する第１の制御装置と、前記各転送ノードよりも上流側に配置される少なくとも１以上の流量制御ノードと、を含む通信システムの前記流量制御ノードに、第２の処理規則を設定し、所定の条件を満たさないパケットの前記転送ノードへの転送を遮断させる第２の制御装置が提供される。

　本発明の第３の視点によれば、上記した第２の制御装置と連携し、前記転送ノードに対して前記第１の処理規則を設定する第１の制御装置が提供される。

　本発明の第４の視点によれば、流量制御ノードが、自装置を制御する制御装置から設定された処理規則に従って、所定の条件を満たさないパケットの転送ノードへの転送を遮断するステップと、前記流量制御ノードの後段に配置された転送ノードが、自装置を制御する制御装置から設定された処理規則に従って、受信パケットを処理するステップと、を含む通信方法が提供される。本方法は、流量制御ノードおよび転送ノードという、特定の機械に結びつけられている。

　本発明によれば、転送ノードおよび制御装置の負荷を低減し、遅延の増大やスループットの低下を抑止することができる。

本発明の第１の実施形態の構成を表わした図である。本発明の第２の実施形態の構成を表わした図である。本発明の第２の実施形態で用いるアクセス制御ポリシの例である。流量制御ノードがない場合に、図３のアクセス制御ポリシから生成されるフローエントリの例である。本発明の第２の実施形態において各ノードに設定されるフローエントリを説明するための図である。本発明の第３の実施形態の構成を表わした図である。本発明の第４の実施形態の構成を表わした図である。本発明の第４の実施形態において各ノードに設定されるフローエントリを説明するための図である。本発明の第５の実施形態の構成を表わした図である。非特許文献１において開示されているネットワーク構成である。非特許文献２のオープンフロースイッチが保持するフローエントリの構成を示す図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。

　本発明は、その好ましい一実施形態において、受信パケットを処理するための第１の処理規則が設定され、前記処理規則に従ってパケットを処理する少なくとも１以上の転送ノード（図１の２０）と、前記転送ノードに対して前記第１の処理規則を設定する第１制御装置（図１の３１）と、前記各転送ノードよりも上流側に配置される少なくとも１以上の流量制御ノード（図１の１０）と、前記流量制御ノードに、第２の処理規則を設定する第２制御装置（図１の３２）と、を含む構成にて実現できる。

　第２制御装置（図１の３２）は、流量制御ノード（図１の１０）に、第２の処理規則を設定する。この処理規則には、転送ノード側への転送すべきパケットを特定するための情報（上述したマッチフィールドに設定される条件に相当）と、その処理内容とが含まれる。流量制御ノード（図１の１０）が、未知のパケットを廃棄しないよう設定されている場合、第２制御装置（図１の３２）は、流量制御ノード（図１の１０）に、転送ノード側へのパケット転送を遮断すべきパケットを特定するための情報と、その処理内容（廃棄、転送ノード以外のノード（図示省略）への転送等）とを含んだ処理規則を設定する。

　流量制御ノード（図１の１０）は、第２制御装置（図１の３２）から設定された第２の処理規則に従って、前記転送ノード側へのパケット転送を行ない、その他のパケット（遮断対象が設定されているならば遮断対象のパケット）の廃棄または転送ノード以外のノードへの転送等を実行する。

　上記のように、所定の条件を満たさないパケット（前記その他のパケット、または、廃棄対象のパケット）が流量制御ノード（図１の１０）にて遮断されるため、転送ノード（図１の２０）へのパケットの流量が低減する。このため、前記廃棄されたパケットの受信による処理規則の設定要求が行われなくなるため、第１制御装置（図１の３１）の負荷を低減することができる。また、第１制御装置（図１の３１）が対応すべき処理規則の設定要求も数が少なくなるため、第１制御装置（図１の３１）の遅延の増大やスループットの低下も抑止される。

［第１の実施形態］
　続いて本発明の第１の実施形態について図面を参照して詳細に説明する。図１は、本発明の第１の実施形態の構成を表わした図である。図１を参照すると、転送ノード群２０と、転送ノード群２０を制御する第１制御装置３１と、転送ノード群２０の上流側に配置されてクライアント４１、４２から送信されるパケットを受信する流量制御ノード１０と、流量制御ノード１０を制御する第２制御装置３２と、クライアント４１、４２の通信先となるサーバ５０とを含む構成が示されている。

　クライアント４１、４２は、パーソナルコンピュータや、モバイル端末等の情報処理機器である。また、図１の例では、１台のサーバ５０を示しているが、サーバ５０は複数台あってもよい。また、以下の説明では、クライアント４１、４２は、サーバ５０に対してデータ送信要求パケットを送信するものとして説明する。

　流量制御ノード１０は、クライアント４１、４２から送信されたパケットのうち、第２制御装置３２から設定された処理規則に適合するパケットを次ホップ（図１の転送ノード２０）に転送する。また、流量制御ノード１０は、所定の条件を満たさないパケットを廃棄する動作を行う。なお、このような流量制御ノード１０は、非特許文献１、２に記載されたオープンフロースイッチを用いて構成することができる。

　第２制御装置３２は、流量制御ノード１０に、転送ノード２０側に転送すべきパケットを特定するための情報（上述したマッチフィールドに設定される条件に相当）と、その処理内容とを含んだ処理規則（第２の処理規則の１）を設定する。また、第２制御装置３２は、流量制御ノード１０が未知のパケット（自装置に設定されている処理規則のいずれにも適合しないパケット）を受信したときに、如何なる動作を行うかによって、次のように、追加の第２の処理規則（第２の処理規則の２）を設定する。

　流量制御ノード１０が、自装置に設定されている処理規則のいずれにも適合しないパケットを受信したときに、第１制御装置３１に対し、当該パケットに対する処理規則の設定要求を送信する場合、第２制御装置３２は、流量制御ノード１０に対し、廃棄すべきパケットを特定するための情報（上述したマッチフィールドに設定される条件に相当）と、その処理内容（廃棄）とを含んだ処理規則（第２の処理規則の２）を設定する。なお、廃棄すべきパケットを特定するための情報（上述したマッチフィールドに設定される条件に相当）は、非特許文献２に記載されているとおり、ワイルドカードを用いて、パケットと照合する箇所が少なくなるよう設定される。これにより、流量制御ノード１０の負荷も低減される。

　一方、流量制御ノード１０が、自装置に設定されている処理規則のいずれにも適合しないパケットを廃棄するよう設定されている場合、第２制御装置３２は、追加の第２の処理規則（第２の処理規則の２）を設定する必要はない。但し、あるパケットに対する処理規則の設定要求を送信させたい場合には、処理規則の設定要求の対象となるパケットを特定するための情報（上述したマッチフィールドに設定される条件に相当）と、その処理内容（処理規則の設定要求の送信）とを含んだ処理規則を設定することができる。

　第１制御装置３１は、クライアント４１、４２から転送されてくるパケットのうち、サーバ５０に転送させるパケットの転送経路を決定し、この転送経路上の転送ノード２０に、転送経路に沿ったパケット転送を行わせる処理規則（第１の処理規則）を設定する。上記のとおり、転送ノード２０には、流量制御ノード１０を通過してきたパケットだけが受信されるので、転送ノード２０には、パケットの廃棄等を行なわせる処理規則を設定する必要はない。また、転送ノード２０には、流量制御ノード１０による第２の処理規則（第２の処理規則の１）による照合処理が済んだパケットが転送されてくるため、転送ノード２０における受信パケットと処理規則との照合において、流量制御ノード１０にて照合した項目の照合を省略することができる。以上のことから、第１制御装置３１は、転送ノード２０における受信パケットと処理規則との照合処理の負荷が低減されるような処理規則を設定することができる。

　転送ノード群２０は、第１制御装置３１から設定された処理規則（第１の処理規則）に従って、流量制御ノード１０から転送されたパケットを処理する。なお、このような転送ノード２０は、非特許文献１、２に記載されたオープンフロースイッチを用いて構成することができる。

　以上の結果、図１の矢線に示されたとおり、流量制御ノード１０にて、クライアント４１、４２から送信されたパケットのうち、所定の条件を満たさないパケットが廃棄される。そして、転送ノード２０では、流量制御ノード１０を通過してきたパケットだけを取り扱えばよいので、これを制御する第１制御装置３１の負荷低減が実現される。また、少なくとも流量制御ノード１０を通過できなかったパケットの分だけ、第１制御装置３１の処理負担が得るため、遅延の増大やスループットの低下も抑止される。

　なお、上記の効果は、流量制御ノード１０に入力されるパケットが多く、かつ、廃棄するパケットが多いほど、顕著なものとなる。その一方で、流量制御ノード１０の負荷は増大することになる。例えば、流量制御ノード１０に設定する処理規則の数を（少なくとも転送ノード２０が保持する第１の処理規則の数よりも）減らしたり、流量制御ノード１０に、（少なくとも転送ノード２０が保持する第１の処理規則による受信パケットとの照合箇所よりも）受信パケットと照合する箇所が少ない処理規則を設定することが有効である。

　また、流量制御ノード１０や転送ノード２０に保持されている処理規則の数を減らし、その負荷を下げるためには、上述した第１、第２の処理規則に有効期間を設け、有効期間が過ぎた処理規則を流量制御ノード１０や転送ノード２０に削除させることも有効である。この場合、流量制御ノード１０に設定される第２の処理規則と、転送ノード２０に設定される第１の処理規則との有効期間に差を設けてもよい。他方、処理規則を削除した場合には、第１、第２制御装置に対して処理規則の設定要求が送信されるため、第１、第２制御装置の負荷増大も考慮する必要がある。例えば、流量制御ノード１０に設定される第２の処理規則の有効期間を、転送ノード２０に設定される第１の処理規則の有効期間よりも長くすることが考えられる。これにより、長期間削除されない第２の処理規則によって流量削減の効果が維持されるので、第１制御装置３１、第２制御装置３２双方の負荷増大を抑えることができる。

［第２の実施形態］
　続いて、上記した第１、第２制御装置が連携して動作するようにした本発明の第２の実施形態について図面を参照して詳細に説明する。図２は、本発明の第２の実施形態の構成を表わした図である。図１に示した第１の実施形態との相違は、新たに、アクセス制御ポリシ提供サーバ６０が追加され、第１、第２制御装置３１Ａ、３２Ａがアクセス制御ポリシを参照可能となっている点である。その他構成は、第１の実施形態と共通するので、以下、その相違点を中心に説明する。

　アクセス制御ポリシ提供サーバ６０は、クライアント４１、４２あるいはそのユーザが保持している権限に基づいて、サーバ５０へのアクセス等のアクセス制御を行うポリシを格納する装置によって構成される。

　図３は、アクセス制御ポリシ提供サーバ６０に格納されているアクセス制御ポリシの一例である。この例では、図２のクライアント４１（ＩＰアドレス＝１９２．１６８．１００．１）からサーバ５０（ＩＰアドレス＝１９２．１６８．０．１）へのアクセスは、ＴＣＰポート番号８０を用いることを条件に許可（ａｌｌｏｗ）されている。他方、図２のクライアント４２（ＩＰアドレス＝１９２．１６８．１００．２）からサーバ５０（ＩＰアドレス＝１９２．１６８．０．１）へのアクセスは禁止（ｄｅｎｙ）されている。

　図４は、流量制御ノード１０がない場合に、図３のアクセス制御ポリシから生成される処理規則の例である。例えば、クライアント４１（ＩＰアドレス＝１９２．１６８．１００．１）からサーバ５０（ＩＰアドレス＝１９２．１６８．０．１）に宛てられたパケットを特定するために、送信元ＩＰアドレス（Ｓｒｃ　ＩＰ）＝１９２．１６８．１００．１、宛先ＩＰアドレス（Ｄｓｔ　ＩＰ）＝１９２．１６８．０．１、ＴＣＰポート番号（ＴＣＰ／ＵＤＰ　ｄｓｔ　ｐｏｒｔ）＝８０を指定したマッチフィールドを持ち、処理内容として次ホップへの転送を定めた処理規則が設定される。そして、上記マッチフィールドに少しでも適合しないパケットを受信する度に、制御装置への処理規則の設定要求が行われてしまう。

　一方、本実施形態では、図５に示すように、流量制御ノード１０に、送信元ＩＰアドレス（Ｓｒｃ　ＩＰ）＝１９２．１６８．１００．１であるパケットを転送ノード２０に転送し、送信元ＩＰアドレス（Ｓｒｃ　ＩＰ）＝１９２．１６８．１００．２であるパケットを廃棄する処理規則が設定される。このため、流量制御ノード１０においてクライアント４２から送信されるパケットの廃棄が行われる。

　また、本実施形態では、転送ノード２０に、宛先ＩＰアドレス（Ｄｓｔ　ＩＰ）＝１９２．１６８．０．１、ＴＣＰポート番号（ＴＣＰ／ＵＤＰ　ｄｓｔ　ｐｏｒｔ）＝８０であるパケットを次ホップに転送する処理規則が設定される。即ち、第１制御装置３１Ａは、転送ノード２０に、クライアント４２から送信されるパケットを処理するための処理規則を設定する必要はなく、また、クライアント４１から送信されるパケットについても、送信元ＩＰアドレス（Ｓｒｃ　ＩＰ）の照合を省略した処理規則を設定する。

　以上のように、本実施形態によれば、上流側の流量制御ノード１０に、アクセス制御ポリシに基づいたパケットの廃棄を行わせ、転送ノード２０には、より検索負荷の少ないマッチフィールドを持つ照合規則によるパケット転送を行わせることができる。これらの結果、転送ノード２０および第１制御装置３１Ａの負荷を低減し、遅延の増大やスループットの低下を防ぐことが可能となっている。

［第３の実施形態］
　続いて、流量制御ノード１０を複数並列に配置した本発明の第３の実施形態について図面を参照して詳細に説明する。図６は、本発明の第３の実施形態の構成を表わした図である。図１に示した第１の実施形態との相違は、クライアント４３、４４から送信されたパケットを受信する流量制御ノード１１が追加されている点である。その他構成は、第１の実施形態と共通するので、以下、その相違点を中心に説明する。

　流量制御ノード１１の基本的な動作は、流量制御ノード１０と同様であり、クライアント４３、４４から送信されたパケットのうち、第２制御装置３２から設定された処理規則に適合するパケットを次ホップに転送し、所定の条件を満たさないパケットを廃棄する動作を行う。

　このような流量制御ノードがない場合、転送ノード２０は、図１に示した第１の実施形態と比較して、都合倍の数の転送ノードからのパケットを受信することになる。しかしながら、本実施形態によれば、流量制御ノード１０、１１によって、それぞれ所定の条件を満たさないパケットが間引かれるため、転送ノード２０、第１制御装置３１側の負荷を低減することができる。

［第４の実施形態］
　続いて、流量制御ノード１０を複数直列に配置した本発明の第４の実施形態について図面を参照して詳細に説明する。図７は、本発明の第４の実施形態の構成を表わした図である。図１に示した第１の実施形態との相違は、クライアント４１、４２と転送ノード群２０との間に、２つの流量制御ノード１０Ａ、１０Ｂが直列に配置されている点である。その他構成は、第１の実施形態と共通するので、以下、その相違点を中心に説明する。

　本実施形態は、クライアント４１、４２から送信されるパケットの量が多い場合に有効である。例えば、図８に示したように、一段目の流量制御ノード１０Ａに、送信元ＩＰアドレス（Ｓｒｃ　ＩＰ）＝１９２．１６８．１００．１であるパケットを転送ノード２０に転送し、送信元ＩＰアドレス（Ｓｒｃ　ＩＰ）＝１９２．１６８．１００．２であるパケットを廃棄する処理規則が設定される。この結果、一段目の流量制御ノード１０Ａにおいてクライアント４２から送信されるパケットの廃棄が行われる。

　図８の例では、さらに、２段目の流量制御ノード１０Ａに、ＴＣＰポート番号（ＴＣＰ／ＵＤＰ　ｄｓｔ　ｐｏｒｔ）＝８０であるパケットを転送ノード２０に転送し、ＴＣＰポート番号（ＴＣＰ／ＵＤＰ　ｄｓｔ　ｐｏｒｔ）≠８０であるパケットを廃棄する処理規則が設定される。この結果、２段目の流量制御ノード１０Ｂにおいてクライアント４１から送信されるパケットの絞込みが行われる。

　この結果、転送ノード２０には、宛先ＩＰアドレス（Ｄｓｔ　ＩＰ）＝１９２．１６８．０．１だけを照合する処理規則を設定することができる。

　以上のように、本実施形態によれば、流量制御ノード１０Ａ、１０Ｂに、さらなるパケットの絞込みを行わせ、転送ノード２０におけるパケットの照合処理を省力化することができる。また、これらの結果、転送ノード２０および第１制御装置３１の負荷を低減し、遅延の増大やスループットの低下を防ぐことが可能となっている。なお、図７の例では、２つの流量制御ノード１０Ａ、１０Ｂを直列に配置しているが、例えば、第１段に１又は複数の流量制御ノードを配置し、この第１段の流量制御ノードから転送されたパケットのさらなる絞込みを行う第２段の流量制御ノードを複数配設するといった流量制御ノードを多段に配設した構成も採用可能である。

［第５の実施形態］
　続いて、流量制御ノード１０においてパケットの振り分けを行うようにした本発明の第５の実施形態について図面を参照して詳細に説明する。図９は、本発明の第５の実施形態の構成を表わした図である。図１に示した第１の実施形態との相違は、流量制御ノード１０に転送ノード群２０Ａ、転送ノード群２０Ｂが接続されている点と、転送ノード群２０Ａ、転送ノード群２０Ｂにそれぞれサーバ５０Ａ、５０Ｂが接続されている点である。その他構成は、第１の実施形態と共通するので、以下、その相違点を中心に説明する。

　本実施形態では、第２制御装置３２が、流量制御ノード１０に、転送ノード群２０Ａ、２０Ｂのいずれにパケットを転送するかを定めた処理規則を設定する。例えば、クライアント４１から受信したパケットのうち、サーバ５０Ａを宛先とするものについては、転送ノード２０Ａに転送し、クライアント４１から受信したパケットのうち、サーバ５０Ｂを宛先とするものについては廃棄する処理規則が設定される。同様に、クライアント４２から受信したパケットのうち、サーバ５０Ｂを宛先とするものについては、転送ノード２０Ｂに転送し、クライアント４２から受信したパケットのうち、サーバ５０Ａを宛先とするものについては廃棄する処理規則が設定される。

　以上のように、本発明は、１つの流量制御ノードに対し、２以上の転送ノードが接続されている構成においても支障なく適用することができる。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した各実施形態で示したクライアント、流量制御ノード、転送ノード、サーバの数や接続構成は、本発明を簡単に説明するために示したものであり、これらの数や接続構成は、適宜変更することが可能である。

　また、各実施形態では、流量制御ノードにてパケットの廃棄を行うものとして説明したが、流量制御ノードに、所定の条件を満たさないパケットの所定の領域に廃棄対象であることを示す情報を書き込む処理を実行させ、転送ノードで、前記廃棄対象であることを示す情報が書き込まれたパケットを廃棄させる構成も採用可能である。この場合、第２制御装置が、前記流量制御ノードに、所定の条件を満たさないパケットの所定の領域に廃棄対象であることを示す情報を書き込む処理を実行させる処理規則を設定し、前記第１制御装置が、前記転送ノードに、前記廃棄対象であることを示す情報が書き込まれたパケットの廃棄を実行させる処理規則を設定することになる。この構成においても、転送ノードから第１制御装置への処理規則の設定要求を削減し、第１制御装置の遅延の増大やスループットの低下を抑止することができる。

　また、各実施形態で説明に用いた処理規則も、本発明を簡単に説明するために示したものであり、より多数かつ詳細なマッチフィールドを持つ処理規則を用いることができる。例えば、非特許文献２に記載されているように、入力ポート、ＭＡＣアドレスの値やＶＬＡＮ　ＩＤの値を用いて、より複雑なアクセス制御を行うようにしてもよい。

　なお、前述の特許文献の開示を、本書に引用をもって繰り込むものとする。
　本発明の全開示（請求の範囲および図面を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲および図面の枠内において種々の開示要素（各請求項の各要素、各実施例の各要素、各図面の各要素等を含む）の多様な組み合わせないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　１０、１１、１０Ａ、１０Ｂ　流量制御ノード
　２０、２０Ａ、２０Ｂ　転送ノード（群）
　３１、３１Ａ　第１制御装置
　３２、３２Ａ　第２制御装置
　４１～４４　クライアント
　５０、５０Ａ、５０Ｂ　サーバ
　６０　アクセス制御ポリシ提供サーバ

Claims

　受信パケットを処理するための第１の処理規則が設定され、前記処理規則に従ってパケットを処理する少なくとも１以上の転送ノードと、
　前記転送ノードに対して前記第１の処理規則を設定する第１の制御装置と、
　前記各転送ノードよりも上流側に配置される少なくとも１以上の流量制御ノードと、
　前記流量制御ノードに、第２の処理規則を設定する第２の制御装置と、を含み、
　前記流量制御ノードは、前記第２の処理規則に従って、所定の条件を満たさないパケットの前記転送ノードへの転送を遮断する通信システム。
　前記流量制御ノードは、所定の条件を満たさないパケットの廃棄または前記転送ノード以外への転送のいずれかを行って、前記所定の条件を満たさないパケットの前記転送ノードへの転送を遮断する請求項１の通信システム。
　前記第２の制御装置は、前記流量制御ノードに、前記転送ノードに設定されている処理規則よりも、受信パケットと照合する箇所の少ない処理規則を設定する請求項１または２の通信システム。
　前記第２の制御装置は、前記流量制御ノードに、前記転送ノードに設定されている処理規則の数よりも少ない数の処理規則を設定する請求項１から３いずれか一の通信システム。
　前記第２の制御装置は、前記流量制御ノードに、前記転送ノードに設定されている処理規則の有効期間よりも長い有効期間を持つ処理規則を設定する請求項１から４いずれか一の通信システム。
　前記第１、第２の制御装置は、所定のアクセス制御ポリシを参照して、前記流量制御ノードまたは前記転送ノードに、前記アクセス制御ポリシに対応するアクセス制御を実現する処理規則を設定する請求項１から５いずれか一の通信システム。
　前記流量制御ノードが、複数直列に配設され、
　前記第２の制御装置は、前記各流量制御ノードが段階的にパケットを廃棄するよう前記第２の処理規則を設定する請求項１から６いずれか一の通信システム。
　前記第２の制御装置は、前記パケットの廃棄または前記転送ノード以外への転送に代えて、所定の条件を満たさないパケットの所定の領域に廃棄対象であることを示す情報を書き込む処理を行わせる第２の処理規則を設定し、
　前記流量制御ノードは、前記第２の処理規則に従って、所定の条件を満たさないパケットの所定の領域に廃棄対象であることを示す情報を書き込んでから前記転送ノード側へのパケット転送を実行し、
　前記第１の制御装置は、前記転送ノードに対して前記廃棄対象であることを示す情報が書き込まれたパケットの廃棄を実行させる処理規則を設定する請求項２から７いずれか一の通信システム。
　受信パケットを処理するための第１の処理規則が設定され、前記処理規則に従ってパケットを処理する少なくとも１以上の転送ノードと、
　前記転送ノードに対して前記第１の処理規則を設定する第１の制御装置と、
　前記各転送ノードよりも上流側に配置される少なくとも１以上の流量制御ノードと、を含む通信システムの、
　前記流量制御ノードに、第２の処理規則を設定し、所定の条件を満たさないパケットの転送ノードへの転送を遮断させる第２の制御装置。
　前記流量制御ノードに、所定の条件を満たさないパケットの廃棄、または、前記転送ノード以外への転送のいずれかを実行させる前記第２の処理規則を設定する請求項９の第２の制御装置。
　前記流量制御ノードに、前記転送ノードに設定されている処理規則よりも、パケットと照合する箇所の少ない処理規則を設定する請求項９または１０の第２の制御装置。
　前記流量制御ノードに、前記転送ノードに設定されている処理規則の数よりも少ない数の処理規則を設定する請求項９から１１いずれか一の第２の制御装置。
　前記流量制御ノードに、前記転送ノードに設定されている処理規則の有効期間よりも長い有効期間を持つ処理規則を設定する請求項９から１２いずれか一の第２の制御装置。
　所定のアクセス制御ポリシを参照して、前記流量制御ノードに、前記アクセス制御ポリシに対応するアクセス制御を実現する処理規則を設定する請求項９から１３いずれか一の第２の制御装置。
　複数直列に配設された流量制御ノードが段階的にパケットを廃棄するよう前記第２の処理規則を設定する請求項９から１４いずれか一の第２の制御装置。
　請求項９から１５いずれか一の第２の制御装置と連携し、前記転送ノードに対して前記第１の処理規則を設定する第１の制御装置。
　流量制御ノードが、自装置を制御する制御装置から設定された処理規則に従って、所定の条件を満たさないパケットの転送ノードへの転送を遮断するステップと、
　前記流量制御ノードの後段に配置された転送ノードが、自装置を制御する制御装置から設定された処理規則に従って、受信パケットを処理するステップと、を含む通信方法。
　流量制御ノードが、自装置を制御する制御装置から設定された処理規則に従って、所定の条件を満たさないパケットの転送ノードへの転送を遮断するステップに代えて、
　前記流量制御ノードが、自装置を制御する制御装置から設定された処理規則に従って、所定の条件を満たさないパケットの所定の領域に廃棄対象であることを示す情報を書き込み、または、前記転送ノード側へのパケット転送を実行するステップと、
　前記転送ノードが、前記廃棄対象であることを示す情報が書き込まれたパケットの廃棄を実行するステップと、を含む請求項１７の通信方法。