專(zhuān)利名稱(chēng):中繼控制設(shè)備、中繼控制系統(tǒng)�、中繼控制方法及中繼控制程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于控制通過(guò)分組中繼單元執(zhí)行的處理的中繼控制單元���、中繼控制系統(tǒng)和中繼控制程序�����,以及應(yīng)用到所述中繼控制系統(tǒng)的分組中繼單元����、分組中繼方法和分組中繼程序����。
背景技術(shù):
已知其中控制器執(zhí)行用于轉(zhuǎn)發(fā)分組的交換機(jī)的操作的集中管理的各種網(wǎng)絡(luò)架構(gòu)��。 例如��,NPL 1和NPL 2各自描述了根據(jù)Ethane的網(wǎng)絡(luò)架構(gòu)��。Ethane是一種包括確定所傳輸?shù)姆纸M的行為的控制器�����。以及在所述控制器的控制下并且轉(zhuǎn)發(fā)分組的交換機(jī)的網(wǎng)絡(luò)架構(gòu)�。每一個(gè)交換機(jī)包括用于確定分組的目的地的流表。在接收到其目的地由該流表中的條目表明的分組時(shí),交換機(jī)以所述條目為基礎(chǔ)傳輸所述分組���。另一方面�����,在接收到不具有所述流表中的相對(duì)應(yīng)條目的分組時(shí)�,交換機(jī)向控制器轉(zhuǎn)發(fā)所述分組的信息��?���?刂破骶哂嘘P(guān)于通信網(wǎng)絡(luò)拓?fù)涞男畔ⅲ⑶覍?duì)于被允許通信的分組執(zhí)行路徑計(jì)算�。詳細(xì)地說(shuō),在從交換機(jī)接收到分組的信息時(shí)����,控制器確定是允許還是不允許該分組的通信。在確定允許通信的情況下�����,控制器計(jì)算分組的路徑���?�?刂破魅缓笙蛩?jì)算的路徑上的每一個(gè)交換機(jī)的流表添加新的目的地條目�。交換機(jī)隨后以所注冊(cè)的目的地條目為基礎(chǔ)傳輸分組。NPL 3描述一種根據(jù)OpenFlow (以下也被稱(chēng)為“OF”)的網(wǎng)絡(luò)架構(gòu)���。與Ethane類(lèi)似�����,OpenFlow是一種其中控制器控制交換機(jī)的網(wǎng)絡(luò)架構(gòu)���。在OpenFlow中,分組轉(zhuǎn)發(fā)功能和路徑控制功能通過(guò)流控制協(xié)議分離�����,其中控制器使用統(tǒng)一的API (應(yīng)用程序接口)控制交換機(jī)的不同類(lèi)型�����。此外���,在OpenFlow中,執(zhí)行流顆粒度(granularity)的分組控制用于較快數(shù)據(jù)路徑和較低控制成本。OF中的每一個(gè)交換機(jī)包括用于存儲(chǔ)對(duì)于所接收的分組的行為的流表�,以及交換機(jī)經(jīng)過(guò)其與控制器通信的安全信道。使用OF協(xié)議�����,交換機(jī)和控制器在該安全信道上彼此通
fn °圖20是表示存儲(chǔ)在流表中的流條目解釋性圖��。對(duì)于每一個(gè)流����,流表存儲(chǔ)依靠其檢查分組報(bào)頭的規(guī)則(規(guī)則)、限定對(duì)于該流的處理的行為(行為)以及流統(tǒng)計(jì)信息(統(tǒng)計(jì))�����。在規(guī)則(Rule)中���,使用用于確定是否存在匹配的值(精確)和通配符(通配字)�����。 圖21是表示依靠其檢查分組報(bào)頭的字段的解釋性圖�����。下面的字段用作依靠其檢查分組報(bào)頭的搜索鍵���。(1)物理(物理)層的輸入端口號(hào)碼(輸入端口 No)�。(2)以太網(wǎng)(注冊(cè)商標(biāo))(以太網(wǎng)(注冊(cè)商標(biāo)))層的MAC(媒體訪問(wèn)控制)DA(MAC 目的地地址)�����、MAC SA (MAC源地址)����、VLAN ID (虛擬LAN (局域網(wǎng))ID)或者VLAN TYPE (優(yōu)先級(jí))。(3) IPv4 (版本4)層的IP SA (IP源地址)����、IP DA (IP目的地地址)或者IP協(xié)議。G)TCP(傳輸控制協(xié)議)/UDP(用戶數(shù)據(jù)報(bào)協(xié)議)層的源端口(TCP/UDP源端口)和/或目的地端口(TCP/UDP目的地端口)����。(5) ICMP (互聯(lián)網(wǎng)控制消息協(xié)議)層的ICMP類(lèi)型或者ICMP代碼。行為(Action)是應(yīng)用到匹配規(guī)則的分組的處理�。圖22是表示對(duì)于流設(shè)置的行為的解釋性圖�����。例如,在其中在行為中設(shè)置“輸出”的情況下����,這意味著交換機(jī)對(duì)匹配規(guī)則的分組執(zhí)行“輸出到指定端口”。同樣���,在其中在行為中設(shè)置“SET_DL_DST”的情況下��,這意味著交換機(jī)對(duì)于所傳輸匹配規(guī)則的分組執(zhí)行“更新MAC DA (目的地單元)”����。流統(tǒng)計(jì)信息包括分組的數(shù)量以及匹配規(guī)則的分組的字節(jié)數(shù)量���、從接收分組的最后一個(gè)開(kāi)始的逝去時(shí)間(會(huì)話持續(xù))等等�����。流統(tǒng)計(jì)信息用于確定是否刪除流條目��。下面描述OF中的操作��。在接收到分組時(shí)�����,交換機(jī)對(duì)所接收的分組的分組報(bào)頭與流表中的規(guī)則進(jìn)行比較����。在其中所接收的分組與規(guī)則不匹配的情況下,使用安全信道中的消息��,交換機(jī)向控制器轉(zhuǎn)發(fā)該分組的信息��?��?刂破饕酝ㄐ啪W(wǎng)絡(luò)拓?fù)錇榛A(chǔ)計(jì)算分組的傳輸路徑�����??刂破魅缓髠鬏斢糜谙蚪粨Q機(jī)的流表添加流條目的消息��,以支持交換機(jī)沿著傳輸路徑來(lái)中繼分組���。隨后����,在接收到與所添加的流條目相對(duì)應(yīng)的分組時(shí)��,在不向控制器轉(zhuǎn)發(fā)分組的信息的情況下��,交換機(jī)執(zhí)行相對(duì)應(yīng)的行為(轉(zhuǎn)發(fā)處理)��。圖23是表示在安全信道上使用的消息的解釋性圖��。例如�����,在通知控制器輸入分組的情況下���,交換機(jī)向控制器傳輸消息“分組進(jìn)入”����。同樣�����,在通知控制器流到期(達(dá)到預(yù)定時(shí)間的會(huì)話持續(xù))的情況下�����,交換機(jī)向控制器傳輸消息“流到期”��。另一方面,在指示交換機(jī)輸出分組的情況下���,控制器向交換機(jī)傳輸消息“分組出”�。同樣�,在請(qǐng)求交換機(jī)注冊(cè)、改變或者刪除流的情況下�����,控制器向交換機(jī)傳輸消息“流模式”����。引用文獻(xiàn)列表非專(zhuān)利文獻(xiàn)1 :Martin Casado , ^ Λ, "Ethane =Taking Control of the Enterprise,�,,ACM SIGCOMM Computer Communication Review, Volume 37, Issue 4, SESSION Enterprise networks�����,第 1 到 12 頁(yè)����,2007 年 10 月# # ^lJ i K 2 :Martin Casado R ^ i^k Ji A, "Architectural Support for Security Management in Enterprise Networks", Slide 11,[在線],[2009 年 8 月 24 日搜索],互聯(lián)網(wǎng) <URL :http//www. soi. wide. ad. jp/project/sigcomm2007/pdf/sigll. pdf>非專(zhuān)利文獻(xiàn) 3:Nick McKeown 及其他七人,“OpenFlow Enabling Innovation in Campus Networks",[在線]���,[2009 年 8 月 24 日搜索]�,互聯(lián)網(wǎng) <URL :http://www. openflowswitch. org/documents/openflow-wp-latest. pdf>
發(fā)明內(nèi)容
技術(shù)問(wèn)題在非專(zhuān)利文獻(xiàn)1和非專(zhuān)利文獻(xiàn)2中描述的以Khane為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)中�����,對(duì)于不具有流表中的相對(duì)應(yīng)條目并且控制器不允許其通信的分組�,典型地不執(zhí)行路徑計(jì)算并且因此不執(zhí)行轉(zhuǎn)發(fā)�。在許多情景下,這樣的分組在交換機(jī)的隊(duì)列中累積��,并且在預(yù)定時(shí)間逝去之后被放棄���。在其中交換機(jī)再次接收控制器不允許其通信的分組的情況下����,交換機(jī)通常再次詢問(wèn)控制器����,并且控制器對(duì)該分組再次確定是否允許或者不允許通信。即��,在其中交換機(jī)重復(fù)接收不允許其通信的分組的情況下,交換機(jī)需要每次詢問(wèn)控制器���,并且控制器也需要每次確定是否允許或者不允許通信�����。這對(duì)交換機(jī)和控制器二者產(chǎn)生高處理載荷的問(wèn)題��。例如�,在由于分組沒(méi)有到達(dá)目的地單元而在TCP通信中重復(fù)執(zhí)行重傳時(shí)�,交換機(jī)將結(jié)束重復(fù)接收相同的分組。在這種情況下�����,每次在分組到達(dá)交換機(jī)時(shí)���,交換機(jī)詢問(wèn)控制器�����。這在交換機(jī)和控制器二者產(chǎn)生CPU載荷增加的問(wèn)題����。在非專(zhuān)利文獻(xiàn)3中描述的OpenFlow中也是,在交換機(jī)向控制器重復(fù)傳輸不允許其到目的地單元的通信的分組時(shí)�,在交換機(jī)和控制器二者產(chǎn)生高處理載荷的問(wèn)題。因此�����,期望控制器控制交換機(jī)以使得能夠適當(dāng)?shù)靥幚磉@樣的分組����?��?紤]到此��,本發(fā)明的示例性對(duì)象在于提供一種能夠降低對(duì)不允許其到目的地單元的通信的分組的�、通過(guò)分組中繼單元執(zhí)行的處理載荷的中繼控制單元��、中繼控制系統(tǒng)和中繼控制程序�����,以及應(yīng)用到所述中繼控制系統(tǒng)的分組中繼單元�����、分組中繼方法和分組中繼程序。技術(shù)方案根據(jù)本發(fā)明的一種中繼控制單元是用于控制分組中繼單元的中繼控制單元�,所述中繼控制單元包括通信允許確定裝置,用于使用通過(guò)所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)����,對(duì)于滿足所述匹配條件的所述分組確定是否允許或者不允許到目的地單元的通信,所述匹配條件是識(shí)別所述分組的信息�,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許或者不允許到所述目的地單元的所述通信;以及規(guī)則設(shè)置裝置��,用于在所述通信允許確定裝置對(duì)于滿足所述匹配條件的所述分組確定不允許到所述目的地單元的所述通信的條件下����,至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則。根據(jù)本發(fā)明的一種中繼控制系統(tǒng)包括分組中繼單元���;以及用于控制所述分組中繼單元的中繼控制單元���,其中所述中繼控制單元包括通信允許確定裝置,用于使用通過(guò)所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)����,對(duì)于滿足所述匹配條件的所述分組確定是否允許或者不允許到目的地單元的通信,所述匹配條件是識(shí)別所述分組的信息����,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許或者不允許到所述目的地單元的所述通信���;以及規(guī)則設(shè)置裝置,用于在所述通信允許確定裝置對(duì)于滿足所述匹配條件的所述分組確定不允許到所述目的地單元的所述通信的條件下���,至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則���。根據(jù)本發(fā)明的一種分組中繼單元包括流存儲(chǔ)裝置,用于存儲(chǔ)作為將對(duì)于所接收的分組的處理與識(shí)別所述分組的信息相關(guān)聯(lián)的信息的流�����;以及分組中繼裝置��,用于以存儲(chǔ)在所述流存儲(chǔ)裝置中的所述流為基礎(chǔ)中繼所接收的分組��,其中在其中與所接收的分組相關(guān)聯(lián)的所述流沒(méi)有被存儲(chǔ)在所述流存儲(chǔ)裝置中的情況下�����,所述分組中繼裝置向中繼控制單元傳輸所述分組的信息�����,并且以通過(guò)所述中繼控制單元設(shè)置的所述流為基礎(chǔ)處理所述分組�, 所述中繼控制單元使用所接收的分組的所述信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ),對(duì)于滿足所述匹配條件的所述分組確定是否允許或者不允許到目的地單元的通信�,所述匹配條件是識(shí)別所述分組的信息,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許或者不允許到所述目的地單元的所述通信����;并且在對(duì)于所述分組被確定不被允許到所述目的地單元的所述通信的條件下,至少在接收所述分組的源單元中設(shè)置執(zhí)行用于抑制滿足所述匹配條件的所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的流����。根據(jù)本發(fā)明的一種中繼控制方法包括用于控制分組中繼單元的中繼控制單元, 使用通過(guò)所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)����,對(duì)于滿足所述匹配條件的所述分組確定是否允許或者不允許到目的地單元的通信,所述匹配條件是識(shí)別所述分組的信息���,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許或者不允許到所述目的地單元的所述通信���;并且在對(duì)于滿足所述匹配條件的所述分組被確定不被允許到所述目的地單元的所述通信的條件下,所述中繼控制單元至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則��。根據(jù)本發(fā)明的一種分組中繼方法包括以存儲(chǔ)在流存儲(chǔ)裝置中的流為基礎(chǔ)中繼所接收的分組�,所述流存儲(chǔ)裝置用于存儲(chǔ)作為將對(duì)于所接收的分組的處理與識(shí)別所述分組的信息相關(guān)聯(lián)的信息的流����;以及在其中與所接收的分組相關(guān)聯(lián)的所述流沒(méi)有被存儲(chǔ)在所述流存儲(chǔ)裝置中的情況下�����,向中繼控制單元傳輸所述分組的信息����,并且以通過(guò)所述中繼控制單元設(shè)置的所述流為基礎(chǔ)中繼所述分組,所述中繼控制單元使用所接收的分組的所述信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)���,對(duì)于滿足所述匹配條件的所述分組確定是否允許或者不允許到目的地單元的通信�,所述匹配條件是識(shí)別所述分組的信息���,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許或者不允許到所述目的地單元的所述通信;以及在對(duì)于所述分組被確定不被允許到所述目的地單元的所述通信的條件下���,至少在接收所述分組的源單元中設(shè)置執(zhí)行用于抑制滿足所述匹配條件的所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的流�。根據(jù)本發(fā)明的一種中繼控制程序是一種應(yīng)用到用于控制分組中繼單元的計(jì)算機(jī)的中繼控制程序�����,所述中繼控制程序使所述計(jì)算機(jī)執(zhí)行通信允許確定處理,使用通過(guò)所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)�,對(duì)于滿足所述匹配條件的所述分組確定是否允許或者不允許到目的地單元的通信,所述匹配條件是識(shí)別所述分組的信息�����,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許或者不允許到所述目的地單元的所述通信�����;以及規(guī)則設(shè)置處理��,在對(duì)于滿足所述匹配條件的所述分組被確定不被允許到所述目的地單元的所述通信的條件下�,用于至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則。根據(jù)本發(fā)明的一種分組中繼程序是一種應(yīng)用于包括用于存儲(chǔ)流的流存儲(chǔ)裝置的計(jì)算機(jī)的分組中繼程序����,所述流作為將對(duì)于所接收的分組的處理與識(shí)別所述分組的信息相關(guān)聯(lián)的信息,所述分組中繼程序使所述計(jì)算機(jī)執(zhí)行分組中繼處理���,以存儲(chǔ)在所述流存儲(chǔ)裝置中的所述流為基礎(chǔ)中繼所接收的分組����,其中在所述分組中繼處理中�����,在其中與所接收的分組相關(guān)聯(lián)的所述流沒(méi)有被存儲(chǔ)在所述流存儲(chǔ)裝置中的情況下,使所述計(jì)算機(jī)向中繼控制單元傳輸所述分組的信息���,并且以通過(guò)所述中繼控制單元設(shè)置的所述流為基礎(chǔ)處理所述分組�����,所述中繼控制單元使用所接收的分組的所述信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)�,對(duì)于滿足所述匹配條件的所述分組確定是否允許或者不允許到目的地單元的通信���,所述匹配條件是識(shí)別所述分組的信息�,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許或者不允許到所述目的地單元的所述通信�����;并且在對(duì)于所述分組被確定不被允許到所述目的地單元的所述通信的條件下����,至少在接收所述分組的源單元中設(shè)置執(zhí)行用于抑制滿足所述匹配條件的所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的流���。技術(shù)效果根據(jù)本發(fā)明��,能夠降低通過(guò)分組中繼單元對(duì)不被允許到目的地單元的通信的分組執(zhí)行的處理載荷���。
圖1是表示第一示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖���。圖2是表示對(duì)于拒絕分組(Deny packet)的策略示例的解釋性圖。圖3是在表示在接收分組的信息的情況下的處理示例的流程圖����。圖4是表示由拒絕控制單元17執(zhí)行的處理示例的流程圖。圖5是表示通過(guò)策略的更新產(chǎn)生的處理示例的流程圖���。圖6是表示第二示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖����。圖7是表示在接收分組信息的情況下的處理示例的流程圖���。圖8是表示第三示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖�。圖9是表示由拒絕控制單元17b執(zhí)行的處理示例的流程圖����。圖10是表示第四示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖。圖11是表示其中從源到目的地執(zhí)行通信的示例的解釋性圖。圖12是表示其中從源到目的地執(zhí)行通信的示例的解釋性圖��。圖13是表示在接收分組信息的情況下的處理示例的流程圖���。圖14是表示通過(guò)允許控制單元16c執(zhí)行的處理示例的流程圖�����。圖15是表示第五示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖�����。圖16是表示在接收請(qǐng)求流行為的消息的情況下的處理示例的流程圖����。圖17是表示根據(jù)本發(fā)明的中繼控制單元的最小結(jié)構(gòu)的示例的方框圖����。圖18是表示根據(jù)本發(fā)明的中繼控制系統(tǒng)的最小結(jié)構(gòu)的示例的方框圖。圖19是表示根據(jù)本發(fā)明的分組中繼單元的最小結(jié)構(gòu)的示例的方框圖���。圖20是表示存儲(chǔ)在流表中的流條目的解釋性圖��。圖21是表示依靠其檢查分組報(bào)頭的字段的解釋性圖���。圖22是表示對(duì)于流設(shè)置的行為的解釋性圖。圖23是表示在安全信道上使用的消息的解釋性圖�。
具體實(shí)施例方式
下面參照附圖描述本發(fā)明的示例性實(shí)施例。下面描述了將本發(fā)明應(yīng)用于OpenFlow 的情況�。即,下面描述了其中將本發(fā)明應(yīng)用于包括作為分組中繼單元的OF交換機(jī)(Open Flow交換機(jī)����,以下被稱(chēng)為“0FS”)以及作為用于控制該分組中繼單元的單元(即中繼控制單元)的OF控制器(Open Flow控制器,以下被稱(chēng)為“0FC”)的OpenFlow的情況��。然而���,注意到�,本發(fā)明所應(yīng)用于的網(wǎng)絡(luò)架構(gòu)并不局限于OpenFlow�����。本發(fā)明可應(yīng)用于其中中繼控制單元控制分組中繼單元的任何其它形式的網(wǎng)絡(luò)架構(gòu)����。第一示例性實(shí)施例圖1是表示本發(fā)明第一示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖。該示例性實(shí)施例中的中繼控制系統(tǒng)包括OFC 10和0FS30�����。OFC 10是具有網(wǎng)絡(luò)拓?fù)湫畔⒑陀行ㄐ怕窂叫畔⒌目刂破鳎⑶铱刂仆ㄐ啪W(wǎng)絡(luò)中的OFS 30���。詳細(xì)地說(shuō)���,在接收到分組時(shí),OFC 10 控制由OFS 30執(zhí)行的處理�����。OFS 30是在OFC 10的控制下以設(shè)置的規(guī)則為基礎(chǔ)來(lái)轉(zhuǎn)發(fā)所接收的分組的交換機(jī)���。OFC 10和OFS 30經(jīng)由通信網(wǎng)絡(luò)彼此連接���,其中不專(zhuān)門(mén)限制通信網(wǎng)絡(luò)的形式。盡管在圖1中的中繼控制系統(tǒng)中僅示出了一個(gè)OFS 30�����,但是OFS 30的數(shù)量并不局限于一個(gè)���,并且可以是兩個(gè)或者更多�。而且,OFC 10可以具有由共同實(shí)現(xiàn)OFC 10功能的多個(gè)計(jì)算機(jī)構(gòu)成的集群結(jié)構(gòu)����。OFS 30包括網(wǎng)絡(luò)接口單元31、存儲(chǔ)單元32以及控制單元33����。網(wǎng)絡(luò)接口單元31與 OFC 10或者另一交換機(jī)(未示出)通信�。存儲(chǔ)單元32與識(shí)別所接收的分組的信息相關(guān)聯(lián)地存儲(chǔ)對(duì)于該分組的處理(以下也被稱(chēng)為“交換機(jī)行為”)。交換機(jī)行為包括諸如向指定端口轉(zhuǎn)發(fā)所接收的分組�����、放棄(也被稱(chēng)為“丟棄”)分組��、向OFC 10傳輸分組等等的處理����。作為識(shí)別分組的信息,存儲(chǔ)單元32 可以例如存儲(chǔ)包括在被稱(chēng)為5元組的一組信息中的協(xié)議號(hào)碼�、Src (源)IP地址、Src端口���、 Dst (目的地)IP地址以及Dst端口���。然而���,注意到,識(shí)別分組的信息并不局限于5元組���。存儲(chǔ)單元32可以存儲(chǔ)包括在被稱(chēng)為10元組的一組信息中的輸入端口���、VLAN(虛擬LAN) ID、 Ethertype.Src MAC地址和Dst MAC地址����,作為用于識(shí)別分組的信息。而且�,存儲(chǔ)單元32可以存儲(chǔ)包括在被稱(chēng)為11元組的一組信息中的VLAN優(yōu)先級(jí),作為用于識(shí)別分組的信息����。而且,存儲(chǔ)單元32可以存儲(chǔ)表明任意信息的通配符�����,作為用于識(shí)別分組的信息����。存儲(chǔ)單元32 至少存儲(chǔ)彼此相關(guān)聯(lián)的一對(duì)識(shí)別信息和交換機(jī)行為���。該識(shí)別信息是用于確定交換機(jī)行為的信息,并且因此以下也被稱(chēng)為“規(guī)則”����。此外,將規(guī)則與交換機(jī)行為相關(guān)聯(lián)的信息也被共同稱(chēng)為“流”���。因此,存儲(chǔ)單元32能夠被認(rèn)為是用于存儲(chǔ)流的單元�。例如,存儲(chǔ)單元32通過(guò)包括在OFS 30中的磁盤(pán)單元等等實(shí)現(xiàn)����。存儲(chǔ)單元32中的流根據(jù)來(lái)自O(shè)FC 10的指令由控制單元33存儲(chǔ)?��?刂茊卧?3以存儲(chǔ)在存儲(chǔ)單元32中的流為基礎(chǔ)處理所接收的分組���。詳細(xì)地說(shuō), 在從另一單元接收到分組時(shí)���,控制單元33將該分組的報(bào)頭信息與流中的規(guī)則進(jìn)行比較�,并且執(zhí)行與該報(bào)頭信息相對(duì)應(yīng)的規(guī)則的交換機(jī)行為。例如�����,在其中分組的報(bào)頭信息與由規(guī)則表明的識(shí)別信息相匹配的情況下�����,控制單元33可以執(zhí)行與規(guī)則相對(duì)應(yīng)的交換機(jī)行為��。注意到����,在其中存儲(chǔ)單元32存儲(chǔ)輸入端口和凈載荷中任意比特字段的值作為規(guī)則的情況下,控制單元33可以確定識(shí)別所接收的分組的信息是否與由規(guī)則表明的信息匹配����。而且,在存儲(chǔ)單元32存儲(chǔ)IP地址的前綴作為規(guī)則的情況下�,控制單元33可以對(duì)包括在所接收的分組中的IP地址與該前綴進(jìn)行比較以確定它們是否匹配。在其中沒(méi)有與所接收的分組相對(duì)應(yīng)的流被存儲(chǔ)在存儲(chǔ)單元32中的情況下�����,控制單元33向OFC 10傳輸所接收的分組的信息。隨后����,在從OFC 10接收到與該分組的傳輸信息相對(duì)應(yīng)的流的情況下,控制單元33在存儲(chǔ)單元32中存儲(chǔ)所接收的流�,并且還執(zhí)行由所接
11收的流表明的交換機(jī)行為。在OpenFlow中��,如上面提及的不與存儲(chǔ)在存儲(chǔ)單元32中的任何流相對(duì)應(yīng)的分組也被稱(chēng)為“第一分組”���。而且����,在OFS 30連接到OFC 10所連接到的通信網(wǎng)絡(luò)時(shí)�����,控制單元33可以通知OFC 10表明該連接的信息(例如問(wèn)候消息)��?��?刂茊卧?3也可以從OFC 10接收一起傳輸?shù)淖R(shí)別信息和交換機(jī)行為(即流),并且將這些信息存儲(chǔ)在存儲(chǔ)單元32中�����。控制單元33通過(guò)根據(jù)程序操作的計(jì)算機(jī)的CPU實(shí)現(xiàn)��。例如�,程序可以存儲(chǔ)在OFS 30中的存儲(chǔ)單元32中,CPU讀取該程序并且根據(jù)該程序操作為控制單元33�����。OFC 10包括OF協(xié)議(以下被稱(chēng)為“0FP”)接收單元11�����、策略表12�����、統(tǒng)計(jì)策略獲取單元13����、動(dòng)態(tài)策略獲取單元14、策略確定單元15����、允許控制單元16���、拒絕控制單元17、路徑計(jì)算單元18����、拒絕日志創(chuàng)建單元19、OFS控制單元20和OFP傳輸單元21�����。OFP接收單元11以O(shè)FP為基礎(chǔ)從OFS 30接收消息���。詳細(xì)地說(shuō)����,OFP接收單元11 接收在OFS 30中的存儲(chǔ)單元32中不具有相對(duì)應(yīng)的流的分組�。策略表12存儲(chǔ)將識(shí)別所傳輸?shù)姆纸M的信息(也下被稱(chēng)為“匹配條件”)與表明對(duì)于滿足該匹配條件的分組是否允許或者不允許到目的地單元的通信的可通信性信息(以下被簡(jiǎn)單地稱(chēng)為“行為”)相關(guān)聯(lián)的信息(以下被稱(chēng)為“策略”)�。例如,策略表12通過(guò)包括在OFC 10中的磁盤(pán)單元等等實(shí)現(xiàn)�。匹配條件可以與控制器所使用的規(guī)則相同以識(shí)別 OpenFlow中的分組。而且����,例如��,與存儲(chǔ)在存儲(chǔ)單元32中的識(shí)別信息(規(guī)則)相同的信息 (即5元組或者10元組)可以用作匹配條件����。策略表12可以提前存儲(chǔ)該策略���,或者根據(jù)來(lái)自另一單元或者用戶的指令存儲(chǔ)該策略�。如上面提及的����,行為是表明該分組是被允許(Allow)到目的地單元的通信的分組或者是不被允許(否定)到目的地單元的通信的分組的信息。行為可以包括表明對(duì)于不被允許(否定)到目的地單元的通信的分組執(zhí)行的處理的附加信息�����。在這種情況下�,策略表 12與每一個(gè)單獨(dú)匹配條件的行為相關(guān)聯(lián)地存儲(chǔ)該附加信息。附加信息包括諸如處置拒絕分組(丟棄)����、保持日志(記日志)、設(shè)置到外部特定單元的路徑等等的信息���。以下也將對(duì)于不被允許(否定)到目的地單元的通信的分組的處理稱(chēng)為“拒絕處理”�。拒絕處理是對(duì)于不被轉(zhuǎn)發(fā)的分組的處理,并且因此能夠被認(rèn)為是用于抑制分組到目的地單元的轉(zhuǎn)發(fā)的處理�����。注意到��,在其中僅存在一種類(lèi)型拒絕處理的情況下�,策略表12不需要存儲(chǔ)附加信息。圖2是表示對(duì)于不被允許(否定)到目的地單元的通信的分組的策略示例的解釋性圖����。圖2(a)是表示其中在設(shè)置的策略的最后策略中設(shè)置拒絕的示例的解釋性圖。在圖 2(a)中示出的示例中��,該分組被按照其中設(shè)置策略的順序與策略進(jìn)行比較���,并且在其中分組不匹配位于“全部拒絕”之前的任何策略的情況下被確定為拒絕����。圖2(b)是表示在以分組的凈載荷中設(shè)置的信息為基礎(chǔ)確定該分組是否為拒絕分組的情況下的策略示例的解釋性圖��。表示為圖2(b)中的示例的“IP 192. 168.0. 1 —拒絕” 表明不允許從IP地址“192. 168.0. 1”的訪問(wèn)(確定為拒絕)�。同時(shí),表示為圖2(b)中的示例的 “IP 192. 168. 0. 0/0. 0. 7. 255 —拒絕”表明不允許從除了 “192. 168. 0. 0/255. 248. 0” 之外的IP地址的訪問(wèn)(確定為拒絕)��。盡管使用IP地址作為識(shí)別信息的策略表示為圖2中的示例��,但是用作策略的識(shí)別信息的信息并不局限于IP地址�。諸如MAC(媒體訪問(wèn)控制)地址的識(shí)別終端的ID可以用作策略的識(shí)別信息。而且�����,諸如協(xié)議號(hào)碼或者端口號(hào)碼的識(shí)別協(xié)議或者應(yīng)用的字段信息可以用作策略的識(shí)別信息�。而且,諸如VLAN ID或者M(jìn)PLS (多協(xié)議標(biāo)簽切換)標(biāo)簽的識(shí)別網(wǎng)絡(luò)的值可以用作策略的識(shí)別信息��?�?蛇x地����,交換機(jī)的輸入端口可以用作策略的識(shí)別信息。這樣的策略的示例是“拒絕來(lái)自交換機(jī)A的端口 1的分組”���。策略也可以包括在交換機(jī)的凈載荷和輸入端口中設(shè)置的信息�。這樣的策略的示例是“拒絕從交換機(jī)A的端口 1的IP 192. 168. 0. 1的訪問(wèn)”���。靜態(tài)策略獲取單元13獲取存儲(chǔ)在策略表12中的策略�����。詳細(xì)地說(shuō)��,靜態(tài)策略獲取單元13確定更新的策略是否被包括在存儲(chǔ)在策略表12中的策略中�����,并且讀取更新的策略�����。 作為示例���,靜態(tài)策略獲取單元13可以規(guī)則地訪問(wèn)策略表12���,確定與先前訪問(wèn)不同的信息作為更新的策略,并且讀取更新的策略���。然而��,確定更新的策略的方法并不局限于上面提及的方法�����。作為另一示例�,策略表12可以在更新策略的時(shí)序處創(chuàng)建觸發(fā)并且向靜態(tài)策略獲取單元13通知該觸發(fā)�����,其中接收該觸發(fā)使靜態(tài)策略獲取單元13確定策略被更新�����。進(jìn)而��,策略表 12的初始化可以使靜態(tài)策略獲取單元13確定更新了策略表12中的全部策略�。而且,接收表明OFS 30被連接到通信網(wǎng)絡(luò)的信息(例如問(wèn)候消息)可以使靜態(tài)策略獲取單元13確定策略表12是否被更新�。讀取了更新的策略后,靜態(tài)策略獲取單元13向策略確定單元15通知該策略�����。因而���,OFS 30接收存儲(chǔ)在策略表12中的識(shí)別信息和行為�,而與所接收的分組無(wú)關(guān)。這樣傳輸/接收的識(shí)別信息和行為可以因此被稱(chēng)為靜態(tài)策略�����。因而����,靜態(tài)策略獲取單元13能夠被認(rèn)為是檢測(cè)靜態(tài)策略的更新并且獲取流(即匹配條件)和行為。動(dòng)態(tài)策略獲取單元14從策略表12獲取與所接收的分組的信息相對(duì)應(yīng)的策略�����。詳細(xì)地說(shuō)�,動(dòng)態(tài)策略獲取單元14將所接收的分組的信息與存儲(chǔ)在策略表12中的每一個(gè)匹配條件進(jìn)行比較,并且從策略表12中讀取與由所接收的分組的信息滿足的匹配條件相對(duì)應(yīng)的行為��。例如�,在其中OFP接收單元11以O(shè)FP為基礎(chǔ)從OFS 30接收分組的信息以及“分組入”消息的情況下,在所接收的分組的信息滿足匹配條件的情況下����,動(dòng)態(tài)策略獲取單元14從策略表12讀取與該匹配條件相對(duì)應(yīng)的行為。這里提及的“分組入”消息是在OpenFlow中的安全信道上使用的消息�,表明向控制器通知交換機(jī)中的分組輸入。動(dòng)態(tài)策略獲取單元14 通知策略確定單元15該讀取行為以及分組的信息。盡管該示例性實(shí)施例描述了其中OFC 10包括靜態(tài)策略獲取單元13和動(dòng)態(tài)策略獲取單元14 二者的情況����,OFC 10可以包括靜態(tài)策略獲取單元13和動(dòng)態(tài)策略獲取單元14中的任意一個(gè)或者二者。策略確定單元15使用由OFS 30接收的分組的信息���,以策略為基礎(chǔ)對(duì)于該分組確定是否允許或者不允許到目的地單元的通信。詳細(xì)地說(shuō)��,在接收由動(dòng)態(tài)策略獲取單元14讀取的行為以及從OFS 30接收的分組的信息時(shí)��,策略確定單元15確定該行為是否是允許到目的地單元的通信的行為����。在允許(允許)到目的地單元的通信的行為的情況下,策略確定單元15確定允許到目的地單元的通信���,并且指示下面提及的允許控制單元16計(jì)算該分組的轉(zhuǎn)發(fā)目的地����。在不允許(拒絕)到目的地單元的通信的行為的情況下���,策略確定單元 15確定不允許到目的地單元的通信�����,并且指示下面提及的拒絕控制單元17確定該分組的拒絕處理�����。策略確定單元15也可以對(duì)于由更新的策略的匹配條件表明的分組以該策略為基礎(chǔ)���,確定是否允許或者不允許到目的地單元的通信���。詳細(xì)地說(shuō),在從靜態(tài)策略獲取單元13接收更新的策略時(shí)��,策略確定單元15確定包括在策略中的行為是否是允許到目的地單元的通信的行為��。在允許(允許)到目的地單元的通信的行為的情況下�,策略確定單元15對(duì)于由策略的匹配條件表明的分組確定允許到目的地單元的通信,并且指示下面提及的允許控制單元16計(jì)算分組的轉(zhuǎn)發(fā)目的地���。在不允許(拒絕)到目的地單元的通信的行為的情況下��,策略確定單元15對(duì)于由策略的匹配條件表明的分組確定不允許到目的地單元的通信���, 并且指示下面提及的拒絕控制單元17確定分組的拒絕處理�����。允許控制單元16在策略的行為是“允許”的情況下計(jì)算分組的傳輸路徑����。詳細(xì)地說(shuō)�,允許控制單元16指示路徑計(jì)算單元18計(jì)算到目的地的傳輸路徑。允許控制單元16通知OFS控制單元20所計(jì)算的傳輸路徑���。拒絕確定單元17在策略的行為是“拒絕”的情況下確定拒絕處理���。即�,否則控制單元17對(duì)于被確定為不被允許到目的地單元的通信的分組,確定拒絕處理��。詳細(xì)地說(shuō)�����,在策略確定單元15確定策略的行為是不允許(拒絕)到目的地單元的通信的行為時(shí)�,拒絕控制單元17以包括在該行為中的附加信息為基礎(chǔ),對(duì)于被確定不被允許到目的地單元的通信的分組確定處理��。拒絕控制單元17通知OFS控制單元20該確定的處理。作為示例���,在其中“丟棄”被設(shè)置為行為中的附加信息的情況下���,拒絕控制單元17 可以確定OFS 30要放棄(丟棄)所接收的分組。在OFS 30中���,通過(guò)OFC 10按照這樣的方式設(shè)置放棄特定分組的處理(丟棄處理)的規(guī)則����,該方式能夠降低在其中OFS 30隨后接收相同分組的情況下的CPU載荷�����。S卩�����,在其中在OFS 30中設(shè)置丟棄處理規(guī)則的情況下��,OFS 30能夠在不詢問(wèn)OFC 10關(guān)于所接收的分組的處理的情況下在OFS 30的硬件部分中執(zhí)行丟棄處理�。這有助于OFS 30和OFC 10的降低的CPU載荷。作為另一示例���,在其中表明“轉(zhuǎn)發(fā)到特定單元”的信息被設(shè)置為行為中的附加信息的情況下�,拒絕控制單元17可以在OFS 30中確定設(shè)置到與對(duì)于所接收的分組的目的地單元不同的另一目的地(例如外部特定單元)的顯式路徑。詳細(xì)地說(shuō)�,拒絕控制單元17確定 OFS 30要向諸如隔離網(wǎng)絡(luò)、陷阱以及詳細(xì)流行為分析單元傳輸分組���。在這種情況下����,拒絕控制單元17指示路徑計(jì)算單元18計(jì)算到多個(gè)這樣的安全分析單元的傳輸路徑�。這里,拒絕控制單元17可以確定向多個(gè)單元中的一個(gè)傳輸分組��,或者確定向多個(gè)單元傳輸分組�����。拒絕控制單元17確定要向其傳輸該分組的目的地根據(jù)匹配條件而被提前限定��。在其中目的地的數(shù)量為一的情況下����,在全部匹配條件中指定相同目的地�。例如���,在其中策略僅包括靜態(tài)缺省VLAN設(shè)置的情況下,OFC 10不能夠在OFS 30 中顯式地設(shè)置路徑或者自適應(yīng)地設(shè)置該路徑�。然而,由于根據(jù)上述策略確定行為��,因此OFC 10能夠在OFS 30中設(shè)置對(duì)于不允許到目的地單元的通信的分組的顯式路徑或者自適應(yīng)路徑���。此外��,能夠從外部單元提供更加詳細(xì)的拒絕處理���。在OFS 30接收被確定被放棄的分組或者被確定設(shè)置了其顯式路徑的分組時(shí),拒絕控制單元17也可以確定OFS 30要向OFC 10再次傳輸該分組的信息�。詳細(xì)地說(shuō),在其中在附加信息中進(jìn)行保持日志的設(shè)置(記日志設(shè)置)的情況下�,拒絕控制單元17可以確定使 0FS30放棄(丟棄)所接收的分組,并且還確定使OFS 30向OFC 10傳輸該分組的信息(分組入)�。可選地����,拒絕控制單元17可以在0FS30中設(shè)置所接收的分組的顯式路徑,并且還確定以使OFS 30向0FC10傳輸該分組的信息(分組入)通過(guò)按照這種方式使OFS 30向OFC 10傳輸不被允許到目的地的通信的分組的信息����,OFC 10能夠識(shí)別該分組的內(nèi)容��。此外�,下面提及的拒絕日志創(chuàng)建單元19能夠以所接收的分組的信息為基礎(chǔ)創(chuàng)建日志信息����。上面描述了其中拒絕控制單元17以包括在與識(shí)別信息相對(duì)應(yīng)的行為中的附加信息為基礎(chǔ)確定拒絕處理的情況。然而�����,通過(guò)拒絕控制單元17確定拒絕處理的方法并不局限于以識(shí)別信息為基礎(chǔ)的方法����。例如,拒絕控制單元17可以確定預(yù)定處理作為拒絕處理����?�?梢栽谑湃ヮA(yù)定時(shí)間之后放棄不被允許的到目的地單元的通信的分組�����,結(jié)果表現(xiàn)出與拒絕處理中的丟棄處理相同的行為。這里�����,如果不對(duì)這樣的分組進(jìn)行控制��,則不能夠執(zhí)行除了丟棄之外的處理��,諸如OFS 30向特定單元轉(zhuǎn)發(fā)分組的處理或者OFC 10保持日志的處理�。然而,在該示例性實(shí)施例中���,在策略確定單元15確定策略的行為是不允許到目的地單元的通信的行為時(shí)��,拒絕控制單元17以該策略為基礎(chǔ)確定拒絕處理���。這支持OFC 10在 OFS 30中設(shè)置抑制不被允許到目的地單元的通信的分組的轉(zhuǎn)發(fā)的交換機(jī)行為(即用于抑制到目的地單元的轉(zhuǎn)發(fā)的處理)。路徑計(jì)算單元18在向凈載荷中的目的地或者由策略表明的單元傳輸分組時(shí)計(jì)算路徑����。例如,路徑計(jì)算單元18計(jì)算順序表明每一個(gè)OFS 30以及經(jīng)由其分組到達(dá)凈載荷中的目的地或者由策略表明的特定單元的其輸出端口的信息���。路徑計(jì)算單元18可以以最短路徑算法為基礎(chǔ)計(jì)算到目的地單元的路徑�。然而,路徑計(jì)算方法并不局限于以最短路徑算法為基礎(chǔ)的方法����。由于計(jì)算到目的地單元的路徑的方法被廣泛已知,因此這里省去對(duì)其的描述���。路徑計(jì)算單元18可以計(jì)算多個(gè)路徑候選����,代替僅計(jì)算一個(gè)路徑候選�。注意到,路徑可以被看作順序表明每一個(gè)單元(例如交換機(jī))以及流經(jīng)由而到達(dá)其目的地的其輸出端口�。例如,采取其中所接收的分組首先被從交換機(jī)A的“輸出端口 1” 傳輸?shù)浇粨Q機(jī)B��,然后從交換機(jī)B的“輸出端口 3”傳輸?shù)浇粨Q機(jī)C�����,并且進(jìn)一步從交換機(jī)C 的“輸出端口 4”輸出的路徑���。這樣的路徑可以被表達(dá)為“交換機(jī)A�����,輸出端口 1—交換機(jī)B���, 輸出端口 3—交換機(jī)C,輸出端口 4”���。拒絕日志創(chuàng)建單元19在執(zhí)行拒絕處理時(shí)創(chuàng)建日志(以下被稱(chēng)為“拒絕日志”)��。因而��,拒絕日志能夠被認(rèn)為是表明不被允許到目的地單元的通信的確定的日志�。也存在其中拒絕控制單元17確定使OFS 30向OFC 10再次傳輸被放棄的分組的信息或者對(duì)其設(shè)置了顯式路徑的分組的信息�。在這種情況下,拒絕日志創(chuàng)建單元19可以在從OFS 30接收到這樣的分組信息時(shí)創(chuàng)建拒絕日志���。例如���,拒絕日志創(chuàng)建單元19可以創(chuàng)建拒絕日志為“2009/08/1112:00:01 Deny TCP SRC :192. 168. 1. 3 :49388 DST :χχχ· χχχ. χχχ. χχχ :80”。該拒絕日志的示例意味著“在 2009 年8月11日12:00:01拒絕處理了從其源IP地址為‘192. 168. 1. 3 (端口號(hào)碼49388)�,的單元傳輸?shù)狡銲P地址為‘χχχ. χχχ. χχχ. χχχ (端口號(hào)碼80),的目的地的分組”���。注意到��,在其中OFC 10不輸出日志的情況下�����,OFC 10不需要包括拒絕日志創(chuàng)建單元19�。上面描述了其中拒絕日志包括分組的凈載荷信息的部分(例如IP地址等等)或者日期的示例。然而����,拒絕日志中包括的信息并不局限于上面。拒絕日志可以包括分組的凈載荷信息中的其它信息�����。此外��,從拒絕日志創(chuàng)建單元19輸出的日志并不局限于拒絕日志��。 例如�,輸出日志可以包括表明被允許(允許)到目的地單元的通信的日志(以下被稱(chēng)為“允許日志”)。作為示例�,假設(shè)允許在2009年8月11日12:00:01(允許)傳輸?shù)接伞唉枝枝? χχχ. χχχ. ΧΧΧ(端口號(hào)碼80) ”表明的目的地的分組的通信。在這種情況下�����,拒絕日志創(chuàng)建單元19 可以將該允許日志創(chuàng)建為 “2009/08/11 12:00:01 Allow TCP SRC 192. 168. 1. 3 :49388 DST :xxx. xxx. xxx. XXX :80,���,。OFS控制單元20以通過(guò)允許控制單元16計(jì)算的分組的傳輸路徑或者通過(guò)拒絕控制單元17確定的拒絕處理為基礎(chǔ)��,設(shè)置由OFS 30執(zhí)行的處理規(guī)則�����。即�,在接收到通過(guò)拒絕控制單元17確定的拒絕處理時(shí),OFS控制單元20在接收分組的OFS 30中設(shè)置執(zhí)行拒絕處理的規(guī)則��。這里����,OFS控制單元20可以確定向OFC 10傳輸分組的信息的OFS 30作為設(shè)置目標(biāo)交換機(jī)。注意到��,其中OFS控制單元20設(shè)置該處理規(guī)則的交換機(jī)并不局限于接收該分組的OFS 30����。在接收到通過(guò)允許控制單元16計(jì)算的分組的傳輸路徑時(shí)����,OFS控制單元20 在OFS 30中設(shè)置在傳輸路徑上轉(zhuǎn)發(fā)分組的規(guī)則���。下面詳細(xì)描述OFS控制單元20的操作�����。首先�,OFS控制單元20接收通過(guò)允許控制單元16計(jì)算的分組的傳輸路徑或者通過(guò)拒絕控制單元17確定的拒絕處理的通知���。在接收到通過(guò)允許控制單元16計(jì)算的分組的傳輸路徑的情況下��,OFS控制單元20創(chuàng)建將作為識(shí)別信息的該分組的凈載荷的信息與作為行為的該分組的傳輸路徑相關(guān)聯(lián)的流�����。另一方面�����, 在接收通過(guò)拒絕控制單元17確定的拒絕處理情況下�,OFS控制單元20創(chuàng)建將作為識(shí)別信息的該分組的凈載荷的信息與作為行為的拒絕處理相關(guān)聯(lián)的流����。OFS控制單元20然后創(chuàng)建用于利用所創(chuàng)建的流的信息更新OFS 30的存儲(chǔ)單元32的消息�,并且指示OFP傳輸單元21 向OFS 30傳輸該消息����。例如,OFS控制單元20在下面的情況下設(shè)置拒絕處理��。作為示例���,在其中拒絕控制單元17確定顯式設(shè)置到多個(gè)安全分析單元的路徑的情況下,根據(jù)該路徑�����,OFS控制單元 20對(duì)于存儲(chǔ)在一個(gè)或者多個(gè)OFS 30中的流執(zhí)行更新該分組的輸出端口的設(shè)置����。作為另一示例,在其中拒絕控制單元17確定丟棄所接收的分組的情況下�,OFS控制單元20對(duì)于傳輸 (也被稱(chēng)為“進(jìn)入”)該分組的OFS 30中的流執(zhí)行放棄所述分組的設(shè)置。也存在其中拒絕控制單元17確定使OFS 30向OFC 10再次傳輸被確定為被丟棄的分組或者對(duì)于其確定設(shè)置了顯式路徑的分組����。在這種情況下���,對(duì)于傳輸該分組的OFS 30(即進(jìn)入)中的流,OFS控制單元20設(shè)置虛擬端口 “控制器”并且還執(zhí)行傳輸(分組入) 該分組的設(shè)置��。在其中控制器請(qǐng)求交換機(jī)注冊(cè)�����、改變或者刪除OpenFlow中安全信道上的流的情況下使用“流模式消息”��。因此�����,OFS控制單元20可通過(guò)使用流模式消息在OFS 30中設(shè)置流�。OFP傳輸單元21以O(shè)FP為基礎(chǔ)向OFS 30傳輸消息。詳細(xì)地說(shuō)�,OFP傳輸單元21 以O(shè)FP為基礎(chǔ)向OFS 30傳輸通過(guò)OFS控制單元20創(chuàng)建的消息。OFP接收單元11����、靜態(tài)策略獲取單元13、動(dòng)態(tài)策略獲取單元14��、策略確定單元15�����、 允許控制單元16、拒絕控制單元17��、路徑計(jì)算單元18�����、拒絕日志創(chuàng)建單元19以及OFS控制單元20通過(guò)根據(jù)程序(中繼控制程序)操作的計(jì)算機(jī)的CPU實(shí)現(xiàn)���。例如���,程序可以存儲(chǔ)在 OFC 10中的存儲(chǔ)單元(未示出)中��,CPU讀取該程序�,并且根據(jù)該程序操作為OFP接收單元 11、靜態(tài)策略量獲取單元13�����、動(dòng)態(tài)策略獲取單元14�����、策略確定單元15、允許控制單元16�����、拒絕控制單元17����、路徑計(jì)算單元18、拒絕日志創(chuàng)建單元19以及OFS控制單元20�。OFP接收單元11、靜態(tài)策略獲取單元13�����、動(dòng)態(tài)策略獲取單元14��、策略確定單元15���、允許控制單元16����、拒絕控制單元17���、路徑計(jì)算單元18��、拒絕日志創(chuàng)建單元19以及OFS控制單元20也可以分別通過(guò)專(zhuān)用硬件實(shí)現(xiàn)��。下面描述操作���。下面首先描述在其中OFC 10從OFS 30接收分組的信息的情況下的處理����,并且然后描述通過(guò)存儲(chǔ)在策略表12中的策略的更新產(chǎn)生的處理�。圖3是表示在其中OFC 10從OFS 30接收分組的信息的情況下的處理示例的流程圖。首先��,在OFS 30接收不具有存儲(chǔ)單元32中的相對(duì)應(yīng)的流的分組時(shí)�����,OFS 30中的控制單元33經(jīng)由網(wǎng)絡(luò)接口單元31向OFC 10傳輸包括所接收的分組的信息的消息����。在OFP接收單元11以O(shè)FP為基礎(chǔ)從OFS 30接收消息(步驟S110)時(shí)�,動(dòng)態(tài)策略獲取單元14從策略表12獲取匹配OpenFlow消息中的分組入報(bào)頭的行為(步驟S120)。艮口�, 動(dòng)態(tài)策略獲取單元14將所接收的分組的信息與存儲(chǔ)在策略表12中的每一個(gè)匹配條件進(jìn)行比較,并且從策略表12讀取與由所接收的分組的信息滿足的匹配條件相對(duì)應(yīng)的行為�����。策略確定單元15確定由動(dòng)態(tài)策略獲取單元14讀取的行為是否是“不允許(拒絕)到目的地單元的通信”的行為(步驟S130)。在其中該行為是拒絕的情況下(步驟S130:“是”)�,策略確定單元15指示拒絕控制單元17確定分組的拒絕處理(步驟S140)。圖4是表示通過(guò)拒絕控制單元17執(zhí)行的處理示例的流程圖���。首先��,拒絕控制單元 17以包括在行為中的附加信息為基礎(chǔ)確定該處理(步驟S141)���。在其中附加信息表明“丟棄”的情況下(步驟S141 “丟棄”),拒絕控制單元17設(shè)置丟棄標(biāo)記(步驟S142)���。詳細(xì)地說(shuō)��,拒絕控制單元17在OFC 10中的存儲(chǔ)器(未示出)等等中存儲(chǔ)丟棄標(biāo)記的設(shè)置�。另一方面�����,在其中附加信息表明向特定主機(jī)轉(zhuǎn)發(fā)分組(即轉(zhuǎn)發(fā)到特定單元)的情況下(步驟 S141 至特定主機(jī))���,拒絕控制單元17指示路徑計(jì)算單元18計(jì)算到特定主機(jī)的分組的傳輸路徑(步驟S143)��。拒絕控制單元17還確定在附加信息中是否進(jìn)行了記日志設(shè)置(步驟S144)�。 在其中進(jìn)行了記日志設(shè)置的情況下(步驟S144: “是”),拒絕控制單元17設(shè)置分組入 (Packet-in)標(biāo)記(步驟S145)����。詳細(xì)地說(shuō),拒絕控制單元17在OFC 10中的存儲(chǔ)器(未示出)等等中存儲(chǔ)分組入標(biāo)記的設(shè)置���。之后�����,拒絕日志創(chuàng)建單元19創(chuàng)建拒絕日志(記拒絕日志)(步驟S146)�����。在其中沒(méi)有進(jìn)行記日志設(shè)置的情況下(步驟S144:“否”)���,拒絕控制單元17不執(zhí)行拒絕日志創(chuàng)建處理。在其中在圖3中的步驟S130中行為不是拒絕的情況下(步驟S130 “否”)���,策略確定單元15指示允許控制單元16計(jì)算分組的轉(zhuǎn)發(fā)目的地(步驟S150)。詳細(xì)地說(shuō),允許控制單元16指示路徑計(jì)算單元18計(jì)算分組的路徑�。允許控制單元16因而獲取該路徑。在通過(guò)拒絕控制單元17的處理(步驟S140)或者通過(guò)允許控制單元16的路徑計(jì)算處理(步驟S150)之后���,OFS控制單元20使用該傳輸路徑�����、丟棄標(biāo)記或者分組入標(biāo)記��, 以O(shè)FP為基礎(chǔ)創(chuàng)建消息(步驟S160)�����。詳細(xì)地說(shuō)���,以通過(guò)允許控制單元16計(jì)算的分組的傳輸路徑或者通過(guò)拒絕控制單元17確定的拒絕處理、以及丟棄標(biāo)記或者分組入標(biāo)記為基礎(chǔ)�����, OFS控制單元20創(chuàng)建用于更新存儲(chǔ)在OFS 30中的存儲(chǔ)單元32中的流的消息���。OFP傳輸單元21向OFS 30以O(shè)FP為基礎(chǔ)傳輸通過(guò)OFS控制單元20創(chuàng)建的消息(步驟S170)���。因而�,從OFS 30的分組的信息的接收導(dǎo)致確定流(S卩����,在實(shí)際上接收到分組之后, OFS 10創(chuàng)建要被存儲(chǔ)在OFS 30中的存儲(chǔ)單元32中的條目)�,這產(chǎn)生降低存儲(chǔ)在存儲(chǔ)單元 32中的流條目的數(shù)量的有利效果。接下來(lái)描述通過(guò)存儲(chǔ)在策略表12中的策略的更新產(chǎn)生的處理����。圖5是表示該處理的示例的流程圖。在接收到表明OFS 30連接到通信網(wǎng)絡(luò)或者檢測(cè)到策略表12中的更新時(shí)�����,靜態(tài)策略獲取單元13從策略表12讀取更新的策略��。而且�,在檢測(cè)到策略表12的初始化時(shí),靜態(tài)策略獲取單元13讀取策略表12中的全部策略(步驟S210)����。已經(jīng)讀取了更新的策略之后,靜態(tài)策略獲取單元13通過(guò)策略確定單元15該策略���。策略確定單元15確定包括在從靜態(tài)策略獲取單元13接收的策略中的行為是否是 “不允許(拒絕)到目的地單元的通信”的行為(步驟S220)���。在其中該行為不是拒絕的情況下(步驟S220:“否”),策略確定單元15結(jié)束該處理���。另一方面����,在其中該行為是拒絕的情況下(步驟S220 “是”)��,策略確定單元15指示拒絕控制單元17來(lái)確定分組的拒絕處理(步驟S230)���。從拒絕控制單元17確定拒絕處理時(shí)��、到OFP傳輸單元21以O(shè)FP為基礎(chǔ)向OFS 30傳輸通過(guò)OFS控制單元20創(chuàng)建的消息時(shí)(步驟S230到S250)的隨后處理與表示為圖3中的示例的步驟S140和S160到S170的處理相同�,并且因此省去對(duì)其的描述���。因而���,存儲(chǔ)在策略表12中的策略的更新導(dǎo)致確定流(S卩,在更新策略時(shí)��,OFC 10創(chuàng)建要被存儲(chǔ)在OFS 30中的存儲(chǔ)單元32中的條目),由于OFC 10能夠降低來(lái)自O(shè)FS 30的訪問(wèn)�,因此這產(chǎn)生降低載荷的有利效果。如上所述����,根據(jù)本發(fā)明,使用由OFS 30接收的分組的信息���,以策略為基礎(chǔ)��,策略確定單元15對(duì)于滿足匹配條件的分組確定是否允許到目的地單元的通信���。在策略確定單元 15對(duì)于滿足匹配條件的分組確定不允許(拒絕)到目的地單元的通信的條件下,拒絕控制單元17確定用于抑制到目的地單元的分組的轉(zhuǎn)發(fā)的處理���,并且OFS控制單元20至少在接收分組的OFS 30中設(shè)置執(zhí)行該處理的處理規(guī)則��。這有助于由分組中繼單元(例如OFS 30) 對(duì)于不被允許(拒絕)到目的地單元的通信的分組執(zhí)行的處理的降低載荷�。而且�,拒絕控制單元17和OFS控制單元20在OFS 30中設(shè)置對(duì)于放棄(丟棄)滿足匹配條件的分組的處理規(guī)則。這有助于OFS 30和OFC 10的降低的CPU載荷����。此外��,拒絕控制單元17和OFS控制單元20在OFS 30中設(shè)置用于向與所述目的地單元不同的另一目的地傳輸滿足匹配條件的分組的處理規(guī)則(例如到另一目的地的路徑)���。這支持從外部單元提供更加詳細(xì)的拒絕處理。而且���,在OFS 30接收拒絕分組時(shí),拒絕控制單元17和OFS控制單元20在OFS 30 中設(shè)置用于向OFC 10傳輸分組的信息的規(guī)則��。在這種情況下���,在OFC 10從OFS 30接收分組的信息時(shí)��,拒絕日志創(chuàng)建單元19創(chuàng)建日志���。這支持識(shí)別拒絕分組的通信狀態(tài)。第二示例性實(shí)施例圖6是表示本發(fā)明第二實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖���。與第一示例性實(shí)施例相同的結(jié)構(gòu)被給出與圖1中相同的附圖標(biāo)記�����,并且省去對(duì)其的描述���。該示例性實(shí)施例中的中繼控制系統(tǒng)包括OFC IOa和OFS 30��。OFS 30與第一示例性實(shí)施例中的相同�����。OFC IOa包括OFP接收單元11�����、策略表12��、靜態(tài)策略獲取單元13���、動(dòng)態(tài)策略獲取單元14、策略確定單元15����、允許控制單元16、拒絕控制單元17����、路徑計(jì)算單元18、拒絕日志創(chuàng)建單元19、0FS控制單元20a以及OFP傳輸單元21����。此外,OFC IOa包括流管理表22����。艮口, OFC IOa與第一示例性實(shí)施例中的OFC 10的不同之處在于��,代替OFS控制單元20而包括 OFS控制單元20a�����,而且還包括流管理表22��。其它結(jié)構(gòu)與第一示例性實(shí)施例相同�����。流管理表22存儲(chǔ)通過(guò)OFS控制單元20創(chuàng)建的流的行為(以下被稱(chēng)為“OF行為”)����。 即�����,流管理表22存儲(chǔ)在OFS 30中設(shè)置的規(guī)則。例如���,流管理表22通過(guò)包括在OFC IOa中的磁盤(pán)單元等等實(shí)現(xiàn)�����。流管理表22可以彼此相關(guān)聯(lián)地存儲(chǔ)OF行為和將OFS 30識(shí)別為流更新目標(biāo)的信息(以下被稱(chēng)為“交換機(jī)識(shí)別信息”)����。OFS控制單元20a在流管理表22中存儲(chǔ)所創(chuàng)建的OF行為���。新創(chuàng)建了 OF行為之后�,OFS控制單元20a確定相同的OF行為是否已經(jīng)被存儲(chǔ)在流管理表22中���。在其中已經(jīng)存儲(chǔ)了相同的OF行為的情況下��,OFS控制單元20a放棄所創(chuàng)建的OF行為以使得不從OFP傳輸單元21傳輸消息�。即�����,在其中已經(jīng)在流管理表22中存儲(chǔ)了要在OFS 30中設(shè)置的規(guī)則的情況下,OFS控制單元20a不在OFS 30中設(shè)置規(guī)則���。在其中所創(chuàng)建的OF行為與所存儲(chǔ)的OF 行為不同的情況下��,OFS控制單元20a利用所創(chuàng)建的OF行為更新流管理表22�����。除了上面提及的功能OFS之外的控制單元20a的功能與第一示例性實(shí)施例中的OFS控制單元20的相同�����。OFS控制單元20a通過(guò)根據(jù)程序(中繼控制程序)操作的計(jì)算機(jī)的CPU實(shí)現(xiàn)����。OFS 控制單元20a也可以通過(guò)專(zhuān)用硬件實(shí)現(xiàn)�。下面描述操作�。圖7是表示在第二示例性實(shí)施例中在其中OFClOa從OFS 30接收分組的信息的情況下的處理示例的流程圖。從OFC IOa從OFS 30接收分組的信息時(shí)到OFS 控制單元20a以O(shè)FP為基礎(chǔ)創(chuàng)建消息時(shí)的處理�,與表示為圖3中的示例的步驟SllO到S160 的處理相同。已經(jīng)以O(shè)FP為基礎(chǔ)創(chuàng)建了消息之后���,OFS控制單元20a確定相同的OF行為是否被存儲(chǔ)在流管理表22中(步驟S310)��。在其中相同的OF行為已經(jīng)被存儲(chǔ)在流管理表22中的情況下(步驟S310:“是”)���,OFS控制單元20a放棄所創(chuàng)建的消息(步驟S320)���,并且結(jié)束該處理。在其中沒(méi)有相同的OF行為被存儲(chǔ)在流管理表22中的情況下(步驟S310 “否”)���, OFS控制單元20a在流管理表22中存儲(chǔ)所創(chuàng)建的OF行為(步驟S330)���。之后,OFP傳輸單元21向OFS 30傳輸通過(guò)OFS控制單元20a以O(shè)FP為基礎(chǔ)創(chuàng)建的消息(步驟S170)�����。如上所述�����,根據(jù)該示例性實(shí)施例���,在OFS控制單元20a在OFS 30中設(shè)置處理規(guī)則時(shí)����,OFS控制單元20a還在流管理表22中存儲(chǔ)該處理規(guī)則。隨后�����,在策略確定單元15對(duì)于滿足匹配條件的分組確定不允許(拒絕)到目的地單元的通信時(shí)�,在其中要在OFS 30中設(shè)置的處理規(guī)則已經(jīng)被存儲(chǔ)在流管理表22中的情況下,OFS控制單元20a不在OFS 30中設(shè)置處理規(guī)則�����。按照這種方式��,能夠防止對(duì)于已經(jīng)設(shè)置的處理規(guī)則的復(fù)位指示��,這有助于OFS 30和OFC IOa的降低的CPU載荷�����。例如����,在其中OFS 30僅對(duì)拒絕分組執(zhí)行丟棄處理的情況下�����,OFClOa不從OFS 30 再次接收拒絕分組。然而��,如果對(duì)于拒絕分組設(shè)置了分組入����,則不允許(拒絕)通信的分組將結(jié)束被再次傳輸?shù)絆FClOa。在該示例性實(shí)施例中�����,即使在向OFC IOa再次傳輸拒絕分組時(shí)��,OFS控制單元20a也能夠抑制已經(jīng)設(shè)置的流更新���。這有助于OFC IOa和OFS 30的降低的處理載荷�����。換句話說(shuō)���,在策略包括表明對(duì)于拒絕分組的丟棄處理和分組入處理、或者對(duì)于拒絕分組的顯式路徑設(shè)置和分組入處理的行為時(shí)����,OFC IOa能夠被防止向OFS 30中的存儲(chǔ)單元32多次寫(xiě)入已經(jīng)被寫(xiě)入的流行為��。第三示例性實(shí)施例圖8是表示本發(fā)明第三示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖��。與第一示例性實(shí)施例相同的結(jié)構(gòu)被給出與圖1中相同的附圖標(biāo)記�,并且省去對(duì)其的描述��。該示例性實(shí)施例中的中繼控制系統(tǒng)包括OFC IOb和OFS 30����。OFS 30與第一示例性實(shí)施例中的相同。OFC IOb包括OFP接收單元11�、策略表12、靜態(tài)策略獲取單元13��、動(dòng)態(tài)策略獲取單元14�、策略確定單元15、允許控制單元16�����、拒絕控制單元17b�、路徑計(jì)算單元18、拒絕日志創(chuàng)建單元19��、OFS控制單元20以及OFP傳輸單元21����。此外,OFC IOb包括拒絕計(jì)數(shù)器表23����。 即,OFC IOb與第一示例性實(shí)施例中的OFC 10的不同之處在于代替拒絕控制單元17而包括拒絕控制單元17b��,并且還包括拒絕計(jì)數(shù)器表23�����。其它結(jié)構(gòu)與第一示例性實(shí)施例相同��。拒絕計(jì)數(shù)器表23存儲(chǔ)對(duì)于拒絕控制單元17b確定不允許到目的地單元的通信的分組的確定數(shù)量(也被稱(chēng)為“計(jì)數(shù)器值”)�,結(jié)合該分組的識(shí)別信息(例如匹配條件)。以下該識(shí)別信息也被稱(chēng)為“字段”�����。計(jì)數(shù)器值可以被認(rèn)為是分組入處理的數(shù)量的計(jì)數(shù)����。拒絕計(jì)數(shù)器表23可以彼此結(jié)合地存儲(chǔ)拒絕處理的數(shù)量以及與在策略的匹配條件中使用的識(shí)別信息相同的信息?��?蛇x地��,拒絕計(jì)數(shù)器表23可以彼此結(jié)合地存儲(chǔ)拒絕處理的數(shù)量以及諸如分組源的包括在凈載荷中的信息����。而且,為了聚合計(jì)數(shù)器值���,拒絕計(jì)數(shù)器表23可以存儲(chǔ)在多個(gè)流(匹配條件)之間共享的一個(gè)計(jì)數(shù)器值��。例如����,拒絕計(jì)數(shù)器表23通過(guò)包括在OFC IOb中的磁盤(pán)單元等等實(shí)現(xiàn)����。在其中策略的行為是“拒絕”(即,確定不允許到目的地單元的通信)的情況下�,拒絕控制單元17b增加拒絕計(jì)數(shù)器表23中與策略的匹配條件相對(duì)應(yīng)的計(jì)數(shù)器值。在其中計(jì)數(shù)器值超出預(yù)定閾值(以下被稱(chēng)為“拒絕處理計(jì)數(shù)閾值”)的情況下�,拒絕控制單元17b確定對(duì)于滿足與計(jì)數(shù)器值相對(duì)應(yīng)的匹配條件的流不執(zhí)行向OFC IOb傳輸分組的信息的處理(即分組入處理)。S卩���,在其中對(duì)于被確定為拒絕的特定流(例如以策略為基礎(chǔ)或者以源地址為基礎(chǔ))的分組入處理的數(shù)量超出閾值(拒絕處理計(jì)數(shù)閾值)的情況下��,拒絕控制單元17b確定使OFS 30僅執(zhí)行丟棄處理或者對(duì)于特定流的特定路徑選擇����。在這樣做時(shí)��,例如在其中對(duì) OFClOb執(zhí)行攻擊(attack)處理的情況下�,能夠降低分組入頻率,這有助于OFS 30和OFC IOb的降低的處理載荷�。拒絕控制單元17b通過(guò)根據(jù)程序(中繼控制程序)操作的計(jì)算機(jī)的CPU實(shí)現(xiàn)。拒絕控制單元17b也可以通過(guò)專(zhuān)用硬件實(shí)現(xiàn)���。下面描述操作����。在第三示例性實(shí)施例中����,從OFC IOb從OFS 30接收分組的信息時(shí)到OFP傳輸單元21向OFS 30傳輸消息時(shí)的處理,與表示為圖3中的示例的流程圖中的處理相同����,但是通過(guò)拒絕控制單元17b執(zhí)行的處理與第一示例性實(shí)施例中通過(guò)拒絕控制單元 17執(zhí)行的處理不同。下面描述通過(guò)拒絕控制單元17b執(zhí)行的操作。圖9是表示通過(guò)拒絕控制單元17b執(zhí)行的處理的示例的流程圖���。直到拒絕控制單元17b以包括在行為中的附加信息為基礎(chǔ)確定處理時(shí)的操作與圖4中的步驟S141到S143 的操作相同����。接下來(lái)��,拒絕控制單元17b確定在附加信息中是否進(jìn)行記日志設(shè)置(步驟S144)�。 在其中不進(jìn)行記日志設(shè)置的情況下(步驟S144 “否”),拒絕控制單元17b不執(zhí)行拒絕日志創(chuàng)建處理�。在其中進(jìn)行記日志設(shè)置的情況下(步驟S144:“是”),拒絕控制單元17b確定匹配流的字段是否被存儲(chǔ)在拒絕計(jì)數(shù)器表23中(步驟S410)�����。在其中匹配流的字段被存儲(chǔ)的情況下(步驟S410 “是”)����,拒絕控制單元17b增加與該字段相對(duì)應(yīng)的計(jì)數(shù)器值(步
20驟S420)。例如�,拒絕控制單元17b向匹配流的字段的計(jì)數(shù)器值增加1。在其中匹配流的字段沒(méi)有被存儲(chǔ)的情況下(步驟S410 “否”)����,拒絕控制單元17b創(chuàng)建該流的匹配條件(字段)�����,并且初始化計(jì)數(shù)器值到0 (步驟S430)���。在增加計(jì)數(shù)器值(步驟S420)或者創(chuàng)建該流的匹配條件(字段)(步驟S430)之后,拒絕控制單元17b確定計(jì)數(shù)器值是否等于或者大于閾值(拒絕處理計(jì)數(shù)閾值)(步驟S440)����。在其中計(jì)數(shù)器值等于或者大于閾值的情況下(步驟S440 “是”)���,拒絕控制單元17b指示拒絕日志創(chuàng)建單元19輸出表明日志輸出被抑制的信息(步驟S450)����。詳細(xì)地說(shuō)����,在其中計(jì)數(shù)器值等于或者大于閾值的情況下,拒絕控制單元 17b指示OFS控制單元20創(chuàng)建消息���,從策略的行為中刪除分組入�����。在其中計(jì)數(shù)器值小于閾值的情況下(步驟S440 “否”)����,拒絕控制單元17b設(shè)置分組入標(biāo)記并且執(zhí)行拒絕記日志, 與表示為圖3中的示例的步驟S145到S146相同�。在圖9的步驟S440中,上面描述了其中拒絕控制單元17b確定計(jì)數(shù)器值是否等于或者大于閾值(拒絕處理計(jì)數(shù)閾值)的情況���。然而�����,拒絕控制單元17b可以代替確定計(jì)數(shù)器值是否超出閾值(拒絕處理計(jì)數(shù)閾值)���。如上所述,根據(jù)該示例性實(shí)施例��,在策略確定單元15確定不允許(拒絕)到目的地單元的通信時(shí)��,拒絕控制單元17b和OFS控制單元20增加對(duì)于結(jié)合識(shí)別分組的要素存儲(chǔ)在拒絕計(jì)數(shù)器表23中的該分組的確定數(shù)量���。在其中對(duì)于該分組的確定數(shù)量超出拒絕處理計(jì)數(shù)閾值的情況下�����,拒絕控制單元17b和OFS控制單元20在OFS 30中設(shè)置用于抑制向OFC IOb的分組的信息的傳輸?shù)奶幚硪?guī)則���。結(jié)果��,能夠防止其中對(duì)于不被允許通信的分組的信息被通知到OFC IOb過(guò)量次數(shù)的情形�。第四示例性實(shí)施例圖10是表示本發(fā)明第四示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖�。與第一示例性實(shí)施例相同的結(jié)構(gòu)被給出與圖1中相同的附圖標(biāo)記,并且省去對(duì)其的描述�����。該示例性實(shí)施例中的中繼控制系統(tǒng)包括OFC IOc和OFS 30����。OFS 30與第一示例性實(shí)施例中的相同�����。盡管第一示例性實(shí)施例描述了其中OFS控制單元20在接收分組信息的OFS 30(即進(jìn)入)中設(shè)置執(zhí)行拒絕處理的處理規(guī)則����,但是該示例實(shí)施例描述了其中對(duì)OFS 30而非進(jìn)入進(jìn)行拒絕設(shè)置的情況。OFC IOc包括OFP接收單元11���、策略表12���、靜態(tài)策略獲取單元13���、動(dòng)態(tài)策略獲取單元14、策略確定單元15����、允許控制單元16c、拒絕控制單元17����、路徑計(jì)算單元18、拒絕日志創(chuàng)建單元19����、OFS控制單元20以及OFP傳輸單元21。S卩���,OFC IOc與第一示例性實(shí)施例中的 OFC 10的不同之處在于包括允許控制單元16c代替允許控制單元16�。其它結(jié)構(gòu)與第一示例性實(shí)施例相同��。在其中策略的行為是“允許”(即確定允許到目的地單元的通信)的情況下��,允許控制單元16c計(jì)算到分組的目的地單元的一個(gè)或者多個(gè)路徑候選。詳細(xì)地說(shuō)�,允許控制單元16c指示路徑計(jì)算單元18計(jì)算到目的地單元的多個(gè)傳輸路徑。允許控制單元16c然后對(duì)于每一個(gè)計(jì)算的路徑確定在該路徑上是否存在確定不允許(拒絕)所接收的分組的通信的交換機(jī)(以下被稱(chēng)為“拒絕交換機(jī)”)��。例如���,允許控制單元16c可以詢問(wèn)該路徑上的每一個(gè)交換機(jī)關(guān)于允許或者不允許分組的通信���,并且以響應(yīng)結(jié)果為基礎(chǔ)確定是否存在拒絕交換機(jī)。在其中傳輸路徑候選不包括在其上允許分組的通信的路徑的情況下���,允許控制單元16c確定執(zhí)行拒絕處理�����。詳細(xì)地說(shuō),允許控制單元16c指示拒絕控制單元17確定分組的拒絕處理�。在其中傳輸路徑候選包括在其上允許分組的通信的路徑的情況下,允許控制單元16c確定不執(zhí)行拒絕處理�,并且通知OFS控制單元20該路徑。注意到�,在確定拒絕交換機(jī)存在于路徑上的情況下,允許控制單元16c可以確定在拒絕交換機(jī)中設(shè)置拒絕處理��。在這種情況下,允許控制單元16c可以指示拒絕控制單元 17確定對(duì)于該路徑上的交換機(jī)的拒絕處理���,同時(shí)OFS控制單元30指示該路徑上的交換機(jī)以所確定的拒絕處理為基礎(chǔ)來(lái)更新流����。下面參照?qǐng)D11和12描述其中拒絕處理被設(shè)置在該路徑上的交換機(jī)中的情況��。圖 11和12是表示其中從源(Nancy)到目的地(Paul)執(zhí)行通信的示例的解釋性圖���。利用虛線包圍的范圍是源(Nancy)和目的地(Paul)所連接到的通信網(wǎng)絡(luò)���。SWl到SW4指代交換機(jī) (例如OFS 30),并且CTl指代控制器(例如OFC IOc)��。在Sffl到SW4中����,通過(guò)陰影表示的每一個(gè)交換機(jī)是不允許從源(Nancy)到目的地(Paul)的通信的交換機(jī),而通過(guò)白色圓圈表示的每一個(gè)交換機(jī)是允許從源(Nancy)到目的地(Paul)的通信的交換機(jī)��。在圖11所示的示例中����,源(Nancy)所連接的交換機(jī)確定不允許到目的地(Paul)的通信�。因此���,策略確定單元15指示拒絕控制單元17確定分組的拒絕處理�。同時(shí)���,在圖12所示的示例中���,源(Nancy)所連接的交換機(jī)確定允許到目的地 (Paul)的通信。因此����,策略確定單元15指示允許控制單元16c計(jì)算分組的轉(zhuǎn)發(fā)目的地。允許控制單元16c指示路徑計(jì)算單元18計(jì)算到目的地的多個(gè)傳輸路徑����。在圖12所示的示例中,計(jì)算了到目的地的三條路徑���,即經(jīng)由SW1、SW2和SW4的路徑(路徑1)��,經(jīng)由SW1���、SW3和 SW4的路徑(路徑2~)���,以及經(jīng)由SWl和SW4的路徑(路徑幻��。允許控制單元16c首先確定拒絕交換機(jī)是否存在于路徑1上����。路徑1上存在確定不允許通信的SW2�。允許控制單元16c 然后確定拒絕交換機(jī)是否存在于下一個(gè)路徑候選(路徑幻上。路徑2上不存在拒絕交換機(jī)����。因而,允許控制單元16c通知OFS控制單元20該路徑2���。允許控制單元16c還可以確定在路徑1上的SW2中設(shè)置拒絕處理���。在這種情況下, 允許控制單元16c指示拒絕控制單元17確定對(duì)于SW2的拒絕處理��。OFS控制單元20指示 SW2以所確定的拒絕處理為基礎(chǔ)來(lái)更新流��。因而,能夠在路徑上的交換機(jī)中提前設(shè)置拒絕處理���。因此����,在其中通信單元被連接到其中已經(jīng)設(shè)置了拒絕處理的交換機(jī)的情況下����,不需要再次詢問(wèn)OFC IOc0這有助于OFC IOc和OFS 30對(duì)于詢問(wèn)的降低載荷。允許控制單元16c通過(guò)根據(jù)程序(中繼控制程序)操作的計(jì)算機(jī)的CPU實(shí)現(xiàn)��。允許控制單元16c也可以通過(guò)專(zhuān)用硬件實(shí)現(xiàn)�。下面描述操作。圖13是表示其中OFC IOc從OFS 30接收分組的信息的情況的示例的流程圖�����。在第四示例性實(shí)施例中�,在其中OFCIOc從OFS 30接收分組的信息、并且策略確定單元15確定該行為是拒絕的情況中的處理與表示為圖3中的示例的步驟SllO到S140 和S160到S170的處理相同���。下面描述在其中策略確定單元15確定該行為是“允許(允許)到目的地單元的通信”的行為(圖13中的步驟S130 “否”)的情況下通過(guò)允許控制單元16c執(zhí)行的處理(步驟S510)��。圖14是表示通過(guò)允許控制單元16c執(zhí)行的處理的示例的流程圖�����。首先��,允許控制單元16c指示路徑計(jì)算單元18計(jì)算路徑候選(步驟S511)�����。允許控制單元16c從第一路徑候選開(kāi)始順序執(zhí)行對(duì)于每一個(gè)計(jì)算的路徑候選的確定(步驟S5U)��。注意到���,不必專(zhuān)門(mén)限制確定的順序。允許控制單元16c確定拒絕交換機(jī)是否存在于候選的路徑上(步驟S5i;3)�。在其中存在拒絕交換機(jī)的情況下(步驟S513 “是”),允許控制單元16c確定對(duì)該交換機(jī)執(zhí)行拒絕處理(步驟S5M)��。允許控制單元16c然后確定是否存在另一路徑候選(步驟S516)���。 在其中存在另一路徑候選的情況下(步驟S516 “是”)��,允許控制單元16c對(duì)于每一個(gè)接下來(lái)的候選重復(fù)步驟S513和S515到S518的處理���。在其中不存在其它路徑候選的情況下 (步驟S516 “否”)�����,允許控制單元16c確定執(zhí)行拒絕處理(步驟S517)����。在其中在步驟S513中在候選的路徑上不存在拒絕交換機(jī)的情況下(步驟S513 “否”)�,允許控制單元16c通知OFS控制單元20該路徑(步驟S514)。在圖13中����,已經(jīng)確定了執(zhí)行拒絕處理(步驟S520 “是”),允許控制單元16c指示拒絕控制單元17確定拒絕處理���。隨后的處理與表示為圖3中的示例的步驟S140和S160 IlJ S170的處理相同��。在表示為圖14中的示例的處理中���,上面描述了其中在檢測(cè)到不具有拒絕交換機(jī)的路徑時(shí)的情況下,允許控制單元16c通知OFS控制單元20該路徑����,而不執(zhí)行關(guān)于每一個(gè)接下來(lái)的候選的路徑的確定。然而����,即使在檢測(cè)到不具有拒絕交換機(jī)的路徑時(shí)��,允許控制單元16c可以對(duì)于剩余路徑候選的每一個(gè)確定該路徑上是否存在拒絕交換機(jī)�����,并且通知OFS 控制單元20隨后檢測(cè)的路徑。如上所述����,根據(jù)該示例性實(shí)施例,在策略確定單元15對(duì)于滿足匹配條件的分組確定允許(允許)到目的地單元的通信的條件下�,路徑計(jì)算單元18計(jì)算到該分組的目的地單元的一個(gè)或者多個(gè)路徑候選。之后�,允許控制單元16c確定在該路徑候選上是否存在確定不允許分組的通信的OFS 30。在其中確定不允許分組的通信的0FS30存在于全部路徑候選的每一個(gè)路徑上的情況下�����,拒絕控制單元17和OFS控制單元20至少在接收分組的OFS 30中設(shè)置執(zhí)行用于抑制分組到目的地單元的轉(zhuǎn)發(fā)的處理(拒絕處理)的處理規(guī)則�����。結(jié)果�����, 在OFS 30向另一交換機(jī)中繼分組之前能夠確定是否允許傳輸,這有助于通信網(wǎng)絡(luò)的降低載荷��。而且����,在其中不允許滿足匹配條件的分組的通信的OFS 30存在于路徑上的情況下,拒絕控制單元17在OFS 30中設(shè)置執(zhí)行用于抑制分組到目的地單元的轉(zhuǎn)發(fā)的處理(拒絕處理)的處理規(guī)則�����。因而���,能夠不僅在向控制器傳輸分組的交換機(jī)(進(jìn)入)中而且還在路徑候選上的交換機(jī)中設(shè)置執(zhí)行拒絕處理的處理規(guī)則��。這有助于通信網(wǎng)絡(luò)的降低載荷�。第五示例性實(shí)施例圖15是表示本發(fā)明第五示例性實(shí)施例中的中繼控制系統(tǒng)的示例的方框圖����。與第二示例性實(shí)施例相同的結(jié)構(gòu)被給出與圖6中相同的附圖標(biāo)記,并且省去對(duì)其的描述�����。該示例性實(shí)施例中的中繼控制系統(tǒng)包括OFC IOd和OFS 30。OFS 30與第一示例性實(shí)施例中的相同�。OFC IOd包括OFP接收單元11、策略表12����、動(dòng)態(tài)策略獲取單元14、策略確定單元 15�、允許控制單元16�、拒絕控制單元17、路徑計(jì)算單元18���、拒絕日志創(chuàng)建單元19��、0FS控制單元20d����、OFP傳輸單元21以及流管理表22�����。S卩�����,OFC IOd與第二示例性實(shí)施例中的OFClOa 的不同之處在于不包括靜態(tài)策略獲取單元13,并且還包括OFS控制單元20d來(lái)代替OFS控制單元20a�����。其它結(jié)構(gòu)與第二示例性實(shí)施例相同��。除了第二示例性實(shí)施例中OFS控制單元20a的功能��,OFS控制單元20d以存儲(chǔ)在流管理表22中的OF行為(即通過(guò)OFS控制單元20a創(chuàng)建的流的行為)為基礎(chǔ)���,指示更新存儲(chǔ)在OFS 30中的流�。即����,OFS控制單元20d在OFS 30中設(shè)置存儲(chǔ)在流管理表22中的OF 行為。例如�����,在OFS 30連接時(shí)�����,OFS控制單元20d從流管理表22讀取與表明所連接的OFS 30的交換機(jī)識(shí)別信息相對(duì)應(yīng)的OF行為。OFS控制單元20d然后創(chuàng)建用于更新流的消息��,并且指示OFP傳輸單元21向OFS 30傳輸該消息�。注意到,OFS控制單元20d可以讀取存儲(chǔ)在流管理表22中的全部OF行為����,而與交換機(jī)識(shí)別信息無(wú)關(guān)。而且����,在其中OFC IOd從OFS 30接收請(qǐng)求流的行為的消息的情況下,OFS控制單元20d可以執(zhí)行上面提及的處理�。OFS控制單元20d通過(guò)根據(jù)程序(中繼控制程序)操作的計(jì)算機(jī)的CPU實(shí)現(xiàn)�����。OFS 控制單元20d也可以通過(guò)專(zhuān)用硬件實(shí)現(xiàn)���。下面描述操作��。圖16是表示在其中OFC IOd從OFS 30接收請(qǐng)求流的行為的消息的情況下的處理示例的流程圖�。在OFP接收單元11從OFS 30接收請(qǐng)求流的行為的消息 (步驟S610)時(shí)��,OFS控制單元20d從流管理表22讀取流的行為(OF行為)�,并且以O(shè)FP為基礎(chǔ)創(chuàng)建消息(步驟S620)����。OFP傳輸單元21向OFS 30傳輸通過(guò)OFS控制單元20d以O(shè)FP 為基礎(chǔ)創(chuàng)建的消息(步驟S630)��。如上所述��,根據(jù)該示例性實(shí)施例���,OFS控制單元20d在分組中繼單元中設(shè)置存儲(chǔ)在流管理表22中的流�。因此����,即使如在第二示例性實(shí)施例中在其中策略表12的更新不能夠被檢測(cè)的情況下,也能夠在OFS 30上反映表明拒絕處理的流�。下面描述根據(jù)本發(fā)明的中繼控制單元的最小結(jié)構(gòu)的示例。圖17是表示根據(jù)本發(fā)明的中繼控制單元的最小結(jié)構(gòu)的示例的方框圖��。根據(jù)本發(fā)明的中繼控制單元是用于控制分組中繼單元(例如OFS 30)的中繼控制單元(例如OFC 10)��,該中繼控制單元包括通信允許確定裝置81 (例如策略確定單元15)����,用于使用由分組中繼單元接收的分組的信息、并且以作為將匹配條件與可通信性信息(例如行為)相關(guān)聯(lián)的信息的策略為基礎(chǔ),對(duì)于滿足該匹配條件的分組確定是否允許(允許)或者不允許(例如拒絕)到目的地單元的通信����,所述匹配條件是識(shí)別分組的信息,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的分組是否允許或者不允許到目的地單元的通信�����;以及規(guī)則設(shè)置裝置82 (例如拒絕控制單元17和 OFS控制單元20)���,用于在所述通信允許確定裝置81對(duì)于滿足所述匹配條件的分組確定不允許到目的地單元的通信的條件下��、至少在接收分組的分組中繼單元中設(shè)置執(zhí)行用于抑制該分組到目的地單元的轉(zhuǎn)發(fā)的處理(例如拒絕處理)的規(guī)則(例如流)�����。根據(jù)這樣的結(jié)構(gòu)�����,能夠降低對(duì)于不被允許到目的地單元的通信的分組通過(guò)分組中繼單元執(zhí)行的處理的載荷。而且��,如在圖18的方框圖中所示�����,分組中繼單元90可以被提供到根據(jù)本發(fā)明的中繼控制單元80從而形成中繼控制系統(tǒng)。下面描述根據(jù)本發(fā)明的分組中繼單元的最小結(jié)構(gòu)的示例�����。圖19是表示根據(jù)本發(fā)明的分組中繼單元的最小結(jié)構(gòu)的示例的方框圖����。根據(jù)本發(fā)明的分組中繼單元包括流存儲(chǔ)裝置71 (例如存儲(chǔ)單元32),用于存儲(chǔ)作為將對(duì)于所接收的分組的處理與識(shí)別該分組的信息相關(guān)聯(lián)的信息的流��;以及分組中繼裝置72 (例如控制單元33)����,用于以存儲(chǔ)在流管理裝置 71中的流為基礎(chǔ)中繼所接收的分組。在其中與所接收的分組相關(guān)聯(lián)的流沒(méi)有被存儲(chǔ)在流存儲(chǔ)裝置71中的情況下���,分組中繼裝置72向中繼控制單元(例如OFC 10)傳輸分組的信息���,并且以通過(guò)所述中繼控制單元設(shè)置的流為基礎(chǔ)處理所述分組,所述中繼控制單元使用所接收的分組的信息并且以作為將匹配條件與可通信性信息(例如行為)相關(guān)聯(lián)的信息的策略為基礎(chǔ)�,對(duì)于滿足所述匹配條件的分組確定是否允許(允許)或者不允許(拒絕)到目的地單元的通信,所述匹配條件是識(shí)別分組的信息�,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的分組是否允許或者不允許到目的地單元的通信�;并且在對(duì)于所述分組確定不被允許(例如拒絕)到目的地單元的通信的條件下����,至少在接收分組的源中設(shè)置執(zhí)行用于抑制滿足匹配條件的分組到目的地單元的轉(zhuǎn)發(fā)的處理(例如拒絕處理)的流。根據(jù)這樣的結(jié)構(gòu)�����,能夠降低對(duì)于不被允許到目的地單元的通信的分組通過(guò)分組中繼單元執(zhí)行的處理的載荷����。注意到,至少下面的中繼控制單元����、中繼系統(tǒng)以及分組中繼單元也被包括在上述的示例性實(shí)施例中的任意一個(gè)中。(1)用于控制分組中繼單元(例如OFS 30)的中繼控制單元(例如OFC 10)�,所述中繼控制單元包括通信允許確定裝置(例如策略確定單元15),使用通過(guò)所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息(例如行為)相關(guān)聯(lián)的信息的策略為基礎(chǔ)����,用于對(duì)于滿足所述匹配條件的分組確定是否允許(例如允許)或者不允許 (例如拒絕)到目的地單元的通信,所述匹配條件是識(shí)別分組的信息����,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的分組是否允許或者不允許到目的地單元的通信;以及規(guī)則設(shè)置裝置(例如拒絕控制單元17和OFS控制單元20)���,用于在通信允許確定裝置對(duì)于滿足匹配條件的分組確定不允許(例如拒絕)到目的地單元的通信的條件下��,至少在接收分組的分組中繼單元中設(shè)置執(zhí)行用于抑制分組到目的地單元的轉(zhuǎn)發(fā)的處理(例如拒絕處理)的規(guī)則(例如流)�����。(2)中繼控制單元��,其中規(guī)則設(shè)置裝置(例如拒絕控制單元17和OFS控制單元20) 至少在接收分組的分組中繼單元中設(shè)置用于放棄(例如丟棄)滿足匹配條件的分組的規(guī)則���。(3)中繼控制單元,其中規(guī)則設(shè)置裝置(例如拒絕控制單元17和OFS控制單元20) 至少在接收分組的分組中繼單元中設(shè)置用于向與所述目的地單元不同的另一目的地(例如隔離網(wǎng)絡(luò)����、陷阱、詳細(xì)的流行為分析單元等等)傳輸滿足所述匹配條件的分組的規(guī)則�。(4)中繼控制單元,包括用于根據(jù)匹配條件計(jì)算到預(yù)定目的地的路徑的路徑計(jì)算裝置(例如路徑計(jì)算單元18)����,其中所述規(guī)則設(shè)置裝置至少在接收分組的分組中繼單元中設(shè)置用于向通過(guò)路徑計(jì)算裝置計(jì)算的目的地傳輸滿足匹配條件的分組的規(guī)則。(5)中繼控制單元�,包括日志創(chuàng)建裝置(例如拒絕日志創(chuàng)建單元19)�,用于創(chuàng)建表明通信允許確定裝置(例如策略確定單元1 確定不允許到目的地單元的通信的日志(例如拒絕日志)����,其中在分組中繼單元接收對(duì)于其執(zhí)行用于抑制到目的地單元的轉(zhuǎn)發(fā)的處理 (例如拒絕處理)的分組時(shí),所述規(guī)則設(shè)置裝置在分組中繼單元中設(shè)置用于向中繼控制單元傳輸分組的信息的規(guī)則�,并且其中在從分組中繼單元接收分組的信息時(shí),日志創(chuàng)建裝置創(chuàng)建日志���。(6)中繼控制單元��,包括用于存儲(chǔ)在分組中繼單元中設(shè)置的規(guī)則的規(guī)則存儲(chǔ)裝置 (例如流管理表22)����,其中所述規(guī)則設(shè)置裝置(例如拒絕控制單元17和OFS控制單元20a) 當(dāng)在分組中繼單元中設(shè)置規(guī)則時(shí)將所述規(guī)則存儲(chǔ)在規(guī)則存儲(chǔ)裝置中�����;并且�,在其中在通信
25允許確定裝置對(duì)于滿足匹配條件的分組確定不允許到目的地單元的通信時(shí),在要被在分組中繼單元中設(shè)置的規(guī)則已經(jīng)被存儲(chǔ)在規(guī)則存儲(chǔ)裝置中的情況下����,不在分組中繼單元中設(shè)置所述規(guī)則。(7)中繼控制單元���,包括用于結(jié)合識(shí)別分組的要素�����、存儲(chǔ)對(duì)于通信允許確定裝置 (例如策略確定單元1 確定不允許到目的地單元的通信的分組的確定數(shù)量(例如計(jì)數(shù)器值)的確定計(jì)數(shù)存儲(chǔ)裝置(例如拒絕計(jì)數(shù)器表23)���,其中所述規(guī)則設(shè)置裝置(例如拒絕控制單元17b和OFS控制單元20)在通信允許確定裝置確定不允許到目的地單元的通信時(shí)增加對(duì)于結(jié)合所述要素的分組的確定數(shù)量;并且在其中對(duì)于分組的確定數(shù)量超出預(yù)定閾值 (例如拒絕處理計(jì)數(shù)閾值)的情況下�����,在分組中繼單元中設(shè)置用于抑制分組的信息到中繼控制單元的傳輸?shù)囊?guī)則���。(8)中繼控制單元包括路徑候選計(jì)算裝置(例如路徑計(jì)算單元18)��,用于在通信允許確定裝置(例如策略確定單元1 對(duì)于滿足匹配條件的分組確定允許(例如允許) 到目的地單元的通信的條件下�,用于計(jì)算到分組的目的地單元的一個(gè)或者多個(gè)路徑候選���; 以及路徑確定裝置(例如允許控制單元16c)����,用于對(duì)于所述路徑候選中的每一個(gè)確定在路徑候選上是否存在確定不允許分組的通信的分組中繼單元�,其中���,在其中確定不允許分組的通信的分組中繼單元存在于全部路徑候選中的每一個(gè)路徑上的情況下,規(guī)則設(shè)置裝置 (例如拒絕控制單元17和OFS控制單元20)至少在接收分組的分組中繼單元中設(shè)置執(zhí)行用于抑制分組到目的地單元的轉(zhuǎn)發(fā)的處理(例如拒絕處理)的規(guī)則��。(9)中繼控制單元�����,其中�����,在其中不允許滿足匹配條件的分組的通信的分組中繼單元(例如交換機(jī))存在于路徑上的情況下�,規(guī)則設(shè)置裝置(例如拒絕控制單元17和OFS控制單元20)在分組中繼單元中設(shè)置執(zhí)行用于抑制分組到目的地單元的轉(zhuǎn)發(fā)的處理(即拒絕處理)的規(guī)則。(10)中繼控制單元����,其中規(guī)則設(shè)置裝置(例如OFS控制單元20d)在分組中繼單元中設(shè)置存儲(chǔ)在規(guī)則存儲(chǔ)裝置(例如流管理表22)中的規(guī)則(例如流行為)。(11) 一種中繼控制系統(tǒng)���,包括分組中繼單元(例如OFS 30)�;以及用于控制所述分組中繼單元的中繼控制單元(0FC 10)�����,其中所述中繼控制單元包括通信允許確定裝置 (例如策略確定單元15),用于使用通過(guò)分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息(例如行為)相關(guān)聯(lián)的策略為基礎(chǔ)�����,對(duì)于滿足匹配條件的分組確定是否允許(例如允許)或者不允許(例如拒絕)到目的地單元的通信���,所述匹配條件是識(shí)別分組的信息,并且所述可通信性信息表明對(duì)于滿足匹配條件的分組是否允許或者不允許到目的地單元的通信��;以及規(guī)則設(shè)置裝置(例如拒絕控制單元17和OFS控制單元20)��,用于在通信允許確定裝置對(duì)于滿足匹配條件的分組確定不允許(例如拒絕)到目的地單元的通信的條件下����,至少在接收分組的分組中繼單元中設(shè)置執(zhí)行用于抑制分組到目的地的轉(zhuǎn)發(fā)的處理(例如拒絕處理)的規(guī)則(例如流)。(12)中繼控制系統(tǒng)�����,其中所述規(guī)則設(shè)置裝置至少在接收分組的分組中繼單元中設(shè)置用于放棄滿足匹配條件的分組的規(guī)則�����。(13)中繼控制系統(tǒng),其中所述規(guī)則設(shè)置裝置至少在接收分組的分組中繼單元中設(shè)置用于向不同于所述目的地單元的另一目的地傳輸滿足匹配條件的分組的規(guī)則����。(14) 一種分組中繼單元,包括流存儲(chǔ)裝置(例如存儲(chǔ)單元32)��,用于存儲(chǔ)作為將對(duì)于所接收的分組的處理與識(shí)別該分組的信息相關(guān)聯(lián)的流����;以及分組中繼裝置(例如控制單元33),用于以存儲(chǔ)在流存儲(chǔ)裝置中的流為基礎(chǔ)中繼所接收的分組����,其中在其中與所接收的分組相關(guān)聯(lián)的流沒(méi)有被存儲(chǔ)在流存儲(chǔ)裝置中的情況下,所述分組中繼裝置向中繼控制單元(例如OFC 10)傳輸分組的信息�����,并且以通過(guò)中繼控制單元設(shè)置的流為基礎(chǔ)處理所述分組�����,所述中繼控制單元使用所接收的分組的信息并且以作為將匹配條件與可通信性信息 (例如行為)相關(guān)聯(lián)的策略為基礎(chǔ)��,對(duì)于滿足匹配條件的分組確定是否允許(例如允許)或者不允許(例如拒絕)到目的地單元的通信�,所述匹配條件是識(shí)別分組的信息����,并且所述可通信性信息表明對(duì)于滿足匹配條件的分組是否允許或者不允許到目的地單元的通信���;并且在對(duì)于所述分組被確定不允許(例如拒絕)到目的地單元的通信的條件下��,至少在接收分組的源單元中設(shè)置執(zhí)行用于抑制滿足匹配條件的分組到目的地單元的轉(zhuǎn)發(fā)的處理(例如拒絕處理)的流�����。盡管參照上面的示例性實(shí)施例和示例描述了本發(fā)明,但是本發(fā)明并不局限于上面的示例性實(shí)施例和示例���。本領(lǐng)域的普通技術(shù)人員可理解在本發(fā)明的范圍內(nèi)可以對(duì)本發(fā)明的結(jié)構(gòu)和細(xì)節(jié)做出各種改變���。本申請(qǐng)要求享有2009年9月10日遞交的日本專(zhuān)利申請(qǐng)No. 2009-209722的優(yōu)先權(quán),這里結(jié)合其公開(kāi)的全部?jī)?nèi)容��。工業(yè)實(shí)用性
本發(fā)明優(yōu)選地應(yīng)用于用于控制通過(guò)分組中繼單元執(zhí)行的處理的中繼控制單元��。
附圖標(biāo)記列表
10����、10a、10c、IOd OFC
110FP接收單元
12策略表
13靜態(tài)策略獲取單元
14動(dòng)態(tài)策略獲取單元
15策略確定單元
16����、16c允許控制單元
17、17b拒絕控制單元
18路徑計(jì)算單元
19拒絕日志創(chuàng)建單元
20���、20a�����、20d OFS 控制單元
2IOFP傳輸單元
22流管理表
23拒絕計(jì)數(shù)器表
300FS
31網(wǎng)絡(luò)接口單元
32存儲(chǔ)單元
33控制單元
Sffl至Ij SW4交換機(jī)
CTl控制器
權(quán)利要求
1.一種用于控制分組中繼單元的中繼控制單元�,所述中繼控制單元方法包括通信允許確定裝置��,用于使用由所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)�����,對(duì)于滿足所述匹配條件的所述分組確定是否允許到目的地單元的通信���,所述匹配條件是識(shí)別所述分組的信息��,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許到所述目的地單元的所述通信����;以及規(guī)則設(shè)置裝置,用于在所述通信允許確定裝置對(duì)于滿足所述匹配條件的所述分組確定不允許到所述目的地單元的所述通信的條件下��,至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則���。
2.根據(jù)權(quán)利要求1所述的中繼控制單元��,其中所述規(guī)則設(shè)置裝置至少在接收所述分組的所述分組中繼單元中設(shè)置用于放棄滿足所述匹配條件的所述分組的規(guī)則�����。
3.根據(jù)權(quán)利要求1所述的中繼控制單元��,其中所述規(guī)則設(shè)置裝置至少在接收所述分組的所述分組中繼單元中設(shè)置用于向不同于所述目的地單元的另一目的地傳輸滿足所述匹配條件的所述分組的規(guī)則����。
4.根據(jù)權(quán)利要求3所述的中繼控制單元�����,包括路徑計(jì)算裝置���,用于根據(jù)所述匹配條件計(jì)算到預(yù)定目的地的路徑,其中所述規(guī)則設(shè)置裝置至少在接收所述分組的所述分組中繼單元中設(shè)置用于向由所述路徑計(jì)算裝置計(jì)算的所述目的地傳輸滿足所述匹配條件的所述分組的規(guī)則����。
5.根據(jù)權(quán)利要求1到4中的任意一項(xiàng)所述的中繼控制單元�����,包括日志創(chuàng)建裝置���,用于創(chuàng)建表明所述通信允許確定裝置確定不允許到所述目的地單元的所述通信的日志,其中所述規(guī)則設(shè)置裝置在所述分組中繼單元接收對(duì)于其執(zhí)行用于抑制到所述目的地單元的所述轉(zhuǎn)發(fā)的所述處理的所述分組時(shí)��,在所述分組中繼單元中設(shè)置用于向所述中繼控制單元傳輸所述分組的所述信息的規(guī)則�����,并且其中所述日志創(chuàng)建裝置在從所述分組中繼單元接收所述分組的所述信息時(shí)創(chuàng)建所述日志��。
6.根據(jù)權(quán)利要求1到5中的任意一項(xiàng)所述的中繼控制單元��,包括規(guī)則存儲(chǔ)裝置���,用于存儲(chǔ)在所述分組中繼單元中設(shè)置的所述規(guī)則�����,其中所述規(guī)則設(shè)置裝置當(dāng)在所述分組中繼單元中設(shè)置所述規(guī)則時(shí)����,將所述規(guī)則存儲(chǔ)在所述規(guī)則存儲(chǔ)裝置中;并且在其中在所述通信允許確定裝置對(duì)于滿足所述匹配條件的所述分組確定不允許到所述目的地單元的所述通信時(shí)�、要被在所述分組中繼單元中設(shè)置的所述規(guī)則已經(jīng)被存儲(chǔ)在所述規(guī)則存儲(chǔ)裝置中的情況下,不在所述分組中繼單元中設(shè)置所述規(guī)則�����。
7.根據(jù)權(quán)利要求5所述的中繼控制單元���,包括確定計(jì)數(shù)存儲(chǔ)裝置��,用于結(jié)合識(shí)別所述分組的要素���,存儲(chǔ)所述通信允許確定裝置確定不允許到所述目的地單元的所述通信的所述分組的確定的數(shù)目,其中所述規(guī)則設(shè)置裝置在所述通信允許確定裝置確定不允許到所述目的地單元的所述通信時(shí)����,增加結(jié)合所述要素的對(duì)于所述分組的所述確定的數(shù)目��;并且在其中對(duì)于所述分組的所述確定數(shù)量超出預(yù)定閾值的情況下�,在所述分組中繼單元中設(shè)置用于抑制所述分組的所述信息到所述中繼控制單元的傳輸?shù)囊?guī)則。
8.根據(jù)權(quán)利要求1到7中的任意一項(xiàng)所述的中繼控制單元�����,包括路徑候選計(jì)算裝置,用于在所述通信允許確定裝置對(duì)于滿足所述匹配條件的所述分組確定允許到所述目的地單元的所述通信的條件下����,計(jì)算到所述分組的所述目的地單元的一個(gè)或者多個(gè)路徑候選;以及路徑確定裝置����,用于對(duì)于所述路徑候選的每一個(gè)確定確定不允許所述分組的所述通信的分組中繼單元是否存在于所述路徑候選上,其中�,在確定不允許所述分組的所述通信的所述分組中繼單元存在于全部所述路徑候選的每一個(gè)路徑上的情況下,所述規(guī)則設(shè)置裝置至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的所述轉(zhuǎn)發(fā)的所述處理的所述規(guī)則��。
9.根據(jù)權(quán)利要求8所述的中繼控制單元��,其中�,在不允許滿足所述匹配條件的所述分組的所述通信的所述分組中繼單元存在于所述路徑上的情況下,所述規(guī)則設(shè)置裝置在所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的所述轉(zhuǎn)發(fā)的所述處理的所述規(guī)則��。
10.根據(jù)權(quán)利要求6所述的中繼控制單元�,其中所述規(guī)則設(shè)置裝置在所述分組中繼單元中設(shè)置存儲(chǔ)在所述規(guī)則存儲(chǔ)裝置中的所述規(guī)則。
11.一種中繼控制系統(tǒng)���,包括分組中繼單元����;以及用于控制所述分組中繼單元的中繼控制單元,其中所述中繼控制單元包括通信允許確定裝置��,用于使用由所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)���,對(duì)于滿足所述匹配條件的所述分組確定是否允許到目的地單元的通信�����,所述匹配條件是識(shí)別所述分組的信息����,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許到所述目的地單元的所述通信����;以及規(guī)則設(shè)置裝置,用于在所述通信允許確定裝置對(duì)于滿足所述匹配條件的所述分組確定不允許到所述目的地單元的所述通信的條件下����,用于至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則。
12.根據(jù)權(quán)利要求11所述的中繼控制系統(tǒng)����,其中所述規(guī)則設(shè)置裝置至少在接收所述分組的所述分組中繼單元中設(shè)置用于放棄滿足所述匹配條件的所述分組的規(guī)則。
13.根據(jù)權(quán)利要求11所述的中繼控制系統(tǒng)�,其中所述規(guī)則設(shè)置裝置至少在接收所述分組的所述分組中繼單元中設(shè)置用于向不同于所述目的地單元的另一目的地傳輸滿足所述匹配條件的所述分組的規(guī)則。
14.一種分組中繼單元��,包括流存儲(chǔ)裝置�,用于存儲(chǔ)流,所述流是將對(duì)于所接收的分組的處理與識(shí)別所述分組的信息相關(guān)聯(lián)的信息���;以及分組中繼裝置��,用于以存儲(chǔ)在所述流存儲(chǔ)裝置中的所述流為基礎(chǔ)中繼所接收的分組����,其中在與所接收的分組相關(guān)聯(lián)的所述流沒(méi)有被存儲(chǔ)在所述流存儲(chǔ)裝置中的情況下�����,所述分組中繼裝置向中繼控制單元傳輸所述分組的信息�,并且以由所述中繼控制單元設(shè)置的所述流為基礎(chǔ)處理所述分組,所述中繼控制單元使用所接收的分組的所述信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)���,對(duì)于滿足所述匹配條件的所述分組確定是否允許到目的地單元的通信�����,所述匹配條件是識(shí)別所述分組的信息��,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許到所述目的地單元的所述通信�����;并且在對(duì)于所述分組被確定不被允許到所述目的地單元的所述通信的條件下����,至少在接收所述分組的源單元中設(shè)置執(zhí)行用于抑制滿足所述匹配條件的所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的流。
15.一種中繼控制方法�,包括用于控制分組中繼單元的中繼控制單元,使用由所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)�����,對(duì)于滿足所述匹配條件的所述分組確定是否允許到目的地單元的通信�,所述匹配條件是識(shí)別所述分組的信息, 并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許到所述目的地單元的所述通信���;以及所述中繼控制單元在對(duì)于滿足所述匹配條件的所述分組被確定不被允許到所述目的地單元的所述通信的條件下����,至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則。
16.根據(jù)權(quán)利要求15所述的中繼控制方法�����,其中在對(duì)于所接收的分組被確定不被允許到所述目的地單元的所述通信的條件下�����,用于放棄滿足所述匹配條件的所述分組的規(guī)則至少在接收所述分組的所述分組中繼單元中被設(shè)置����。
17.根據(jù)權(quán)利要求15所述的中繼控制方法����,其中在對(duì)于所接收的分組被確定不被允許到所述目的地單元的所述通信的條件下,用于向不同于所述目的地單元的另一目的地傳輸滿足所述匹配條件的所述分組的規(guī)則至少在接收所述分組的所述分組中繼單元中被設(shè)置����。
18.一種分組中繼方法,包括以存儲(chǔ)在用于存儲(chǔ)作為將對(duì)于所接收的分組的處理與識(shí)別所述分組的信息相關(guān)聯(lián)的信息的流的流存儲(chǔ)裝置中的所述流為基礎(chǔ)中繼所接收的分組�����;以及在與所接收的分組相關(guān)聯(lián)的所述流沒(méi)有被存儲(chǔ)在所述流存儲(chǔ)裝置中的情況下����,向中繼控制單元傳輸所述分組的信息��,并且以由所述中繼控制單元設(shè)置的所述流為基礎(chǔ)而中繼所述分組�,所述中繼控制單元使用所接收的分組的所述信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)����,對(duì)于滿足所述匹配條件的所述分組確定是否允許到目的地單元的通信,所述匹配條件是識(shí)別所述分組的信息��,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許到所述目的地單元的所述通信��;以及在對(duì)于所述分組被確定不被允許到所述目的地單元的所述通信的條件下���,至少在接收所述分組的源單元中設(shè)置執(zhí)行用于抑制滿足所述匹配條件的所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的流�����。
19.一種應(yīng)用到用于控制分組中繼單元的計(jì)算機(jī)的中繼控制程序�����,所述中繼控制程序使所述計(jì)算機(jī)執(zhí)行通信允許確定處理�����,用于使用由所述分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ)���,對(duì)于滿足所述匹配條件的所述分組確定是否允許到目的地單元的通信��,所述匹配條件是識(shí)別所述分組的信息��,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許到所述目的地單元的所述通信;以及規(guī)則設(shè)置處理����,用于在對(duì)于滿足所述匹配條件的所述分組被確定不被允許到所述目的地單元的所述通信的條件下,用于至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則�����。
20.根據(jù)權(quán)利要求19所述的中繼控制程序�,使所述計(jì)算機(jī)在所述規(guī)則設(shè)置處理中,至少在接收所述分組的所述分組中繼單元中設(shè)置用于放棄滿足所述匹配條件的所述分組的規(guī)則���。
21.根據(jù)權(quán)利要求19所述的中繼控制程序�,使所述計(jì)算機(jī)在所述規(guī)則設(shè)置處理中����,至少在接收所述分組的所述分組中繼單元中設(shè)置用于向不同于所述目的地單元的另一目的地傳輸滿足所述匹配條件的所述分組的規(guī)則�。
22.—種應(yīng)用于包括用于存儲(chǔ)流的流存儲(chǔ)裝置的計(jì)算機(jī)的分組中繼程序��,所述流作為將對(duì)于所接收的分組的處理與識(shí)別所述分組的信息相關(guān)聯(lián)的信息����,所述分組中繼程序使所述計(jì)算機(jī)執(zhí)行分組中繼處理,以存儲(chǔ)在所述流存儲(chǔ)裝置中的所述流為基礎(chǔ)中繼所接收的分組�����,其中在所述分組中繼處理中�����,在其中與所接收的分組相關(guān)聯(lián)的所述流沒(méi)有被存儲(chǔ)在所述流存儲(chǔ)裝置中的情況下����,使所述計(jì)算機(jī)向中繼控制單元傳輸所述分組的信息,并且以由所述中繼控制單元設(shè)置的所述流為基礎(chǔ)處理所述分組����,所述中繼控制單元使用所接收的分組的所述信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ),對(duì)于滿足所述匹配條件的所述分組確定是否允許到目的地單元的通信�,所述匹配條件是識(shí)別所述分組的信息,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許到所述目的地單元的所述通信��;并且在對(duì)于所述分組被確定不被允許到所述目的地單元的所述通信的條件下,至少在接收所述分組的源單元中設(shè)置執(zhí)行用于抑制滿足所述匹配條件的所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的流����。
全文摘要
通信允許確定裝置使用通過(guò)分組中繼單元接收的分組的信息并且以作為將匹配條件與可通信性信息相關(guān)聯(lián)的信息的策略為基礎(chǔ),對(duì)于滿足所述匹配條件的所述分組確定是否允許或者不允許到目的地單元的通信���,所述匹配條件是識(shí)別所述分組的信息���,并且所述可通信性信息表明對(duì)于滿足所述匹配條件的所述分組是否允許或者不允許到所述目的地單元的所述通信。規(guī)則設(shè)置裝置在所述通信允許確定裝置對(duì)于滿足所述匹配條件的所述分組確定不允許到所述目的地單元的所述通信的條件下��,至少在接收所述分組的所述分組中繼單元中設(shè)置執(zhí)行用于抑制所述分組到所述目的地單元的轉(zhuǎn)發(fā)的處理的規(guī)則���。
文檔編號(hào)H04L12/56GK102577275SQ20108004569
公開(kāi)日2012年7月11日 申請(qǐng)日期2010年7月6日 優(yōu)先權(quán)日2009年9月10日
發(fā)明者千葉靖伸, 大和純一, 浜崇之 申請(qǐng)人:日本電氣株式會(huì)社