技術(shù)領(lǐng)域

本發(fā)明涉及控制網(wǎng)絡(luò)訪問策略的計(jì)算機(jī)系統(tǒng)、控制器、方法以及程序，并且特別地涉及使用開放流（open?flow）技術(shù)控制網(wǎng)絡(luò)訪問策略的計(jì)算機(jī)系統(tǒng)和方法。

背景技術(shù)

隨著使用網(wǎng)絡(luò)的信息系統(tǒng)的普及，諸如IP網(wǎng)絡(luò)的網(wǎng)絡(luò)不斷大規(guī)模化和復(fù)雜化，并且另外不斷需要高度靈活性。由于網(wǎng)絡(luò)設(shè)備的設(shè)置不斷復(fù)雜化且需要設(shè)置的設(shè)備的數(shù)目不斷增加，針對網(wǎng)絡(luò)的設(shè)計(jì)管理中的負(fù)擔(dān)不斷增加。

例如，作為用于個(gè)人計(jì)算機(jī)（此后稱為PC）的廣泛使用的訪問控制方法之一，已知的一種方法是在與PC相鄰的終端L2交換機(jī)中形成基于MAC的VLAN（虛擬局域網(wǎng)），以僅僅允許來自具有指定MAC地址的PC的連接。然而，在該方法中，在連接成數(shù)十萬臺(tái)PC的環(huán)境中，需要針對添加或刪除數(shù)十萬個(gè)MAC地址或數(shù)千臺(tái)L2交換機(jī)的日常維護(hù)，管理員的負(fù)擔(dān)增加。

作為用于解決這種問題的描述，存在由開放流聯(lián)盟提議的開放技術(shù)（http://www.openflowswitch.org/）（稱為非專利文獻(xiàn)1）。在根據(jù)該技術(shù)的開放流系統(tǒng)中，被稱為開放流控制器（OFC：Open?Flow?Controller）的服務(wù)器能夠集成、設(shè)置和管理被稱為開放流交換機(jī)（OFS開放流交換機(jī)）的網(wǎng)絡(luò)交換機(jī)。因此，通過在OFC中設(shè)置用于整體開放流系統(tǒng)的網(wǎng)絡(luò)策略（此后稱為策略），能夠控制所有OFS。

將參考圖1解釋使用開放流協(xié)議的計(jì)算機(jī)系統(tǒng)的配置和操作。參考圖1，根據(jù)本發(fā)明的相關(guān)技術(shù)的計(jì)算機(jī)系統(tǒng)包括開放流控制器100（此后稱為OFC?100）、包括多個(gè)開放流交換機(jī)2-1至2-n（此后稱為OFS?2-1至2-n）的交換機(jī)組20以及包括多個(gè)主機(jī)計(jì)算機(jī)3-1至3-i（此后稱為主機(jī)3-1至3-i）的主機(jī)組30。此處，n和i分別是2或更大的自然數(shù)。在下面的解釋中，當(dāng)不區(qū)分時(shí)，OFS?2-1至2-n中的每一個(gè)被稱為OFS?2，且當(dāng)不區(qū)分時(shí)，主機(jī)3-1至3-i中的每一個(gè)被稱為主機(jī)3。

OFC?100執(zhí)行主機(jī)3之間的通信路徑的設(shè)置以及該路徑上用于OFS?2的轉(zhuǎn)發(fā)操作（中繼操作）等的設(shè)置。在這種情況中，OFC?100在包括在OFS?2的流表中設(shè)置流條目，流條目將用于識(shí)別流（包數(shù)據(jù)）的規(guī)則和用于限定用于該流的操作的動(dòng)作關(guān)聯(lián)。通信路徑上的OFS?2根據(jù)OFC?100設(shè)置的流條目確定接收的包數(shù)據(jù)的轉(zhuǎn)發(fā)目的地，并執(zhí)行轉(zhuǎn)發(fā)操作。因而，主機(jī)3能夠使用OFC?100所設(shè)置的通信路徑與另一主機(jī)3傳送和接收包數(shù)據(jù)。即，在使用開放流的計(jì)算機(jī)系統(tǒng)中，因?yàn)橛糜谠O(shè)置通信路徑的OFC?100和用于執(zhí)行轉(zhuǎn)發(fā)操作的OFS是分離的，所以整個(gè)系統(tǒng)中的通信能夠統(tǒng)一地被控制和管理。

參考圖1，當(dāng)從主機(jī)3-1向主機(jī)3-i傳輸包時(shí)，OFS?2-1參考從主機(jī)3-1接收的包中的傳輸目的地信息（報(bào)頭信息：例如，目的地MAC地址或目的地IP地址），且在包括在OFS?2-1的流表中搜索對應(yīng)于該報(bào)頭信息的條目。例如，在非專利文獻(xiàn)1中定義了流表中設(shè)置的條目的內(nèi)容。

當(dāng)在流表中并未描述關(guān)于接收包數(shù)據(jù)的條目時(shí)，OFS?2-1向OFC?100傳遞包數(shù)據(jù)（此后稱為第一包）或第一包的報(bào)頭信息（或第一包本身）。已經(jīng)從OFS?2-1接收第一包的OFC?100基于諸如包括在包中的源主機(jī)和目的地主機(jī)的信息確定路徑40。

OFC?100指示路徑40上的所有OFS?2設(shè)置限定包的傳輸目的地的流條目（發(fā)布流表更新指令）。路徑40上的OFS?2根據(jù)流表更新指令更新其本身管理的流表。此后，OFS?2根據(jù)更新的流表開始包的傳輸，且經(jīng)由通過由OFC?100確定的路徑40將包傳輸?shù)侥康牡刂鳈C(jī)3-i。

然而，在如上所述的開放流技術(shù)中，諸如PC（個(gè)人電腦）等與開放流系統(tǒng)連接的主機(jī)終端通過IP地址或MAC地址被而被識(shí)別。因此，在其中連接數(shù)十萬臺(tái)PC的環(huán)境中，需要針對成數(shù)十萬個(gè)IP地址或MAC地址中的每一個(gè)設(shè)置策略，因而負(fù)擔(dān)增加。再者，因?yàn)镮P地址和MAC地址能夠被偽造，存在非授權(quán)訪問的風(fēng)險(xiǎn)，且需要應(yīng)對措施。

例如，在JP?2005-4549（稱為專利文獻(xiàn)1）中描述了關(guān)于策略控制的系統(tǒng)。在專利文獻(xiàn)1中，描述了一種策略服務(wù)器，其具有用于網(wǎng)絡(luò)設(shè)備的訪問控制功能或基于策略服務(wù)器本身維持的安全策略的應(yīng)用服務(wù)器，然而，并未公開開放流環(huán)境的系統(tǒng)中的策略控制。

引用列表

[專利文獻(xiàn)1]JP?2005-4549

[非專利文獻(xiàn)1]開放流交換機(jī)規(guī)范版本1.0.0（無線協(xié)議0x01）2009年12月31日

發(fā)明內(nèi)容