专利名称:中继控制设备、中继控制系统、中继控制方法及中继控制程序的利记博彩app
技术领域:
本发明涉及用于控制通过分组中继单元执行的处理的中继控制单元、中继控制系统和中继控制程序,以及应用到所述中继控制系统的分组中继单元、分组中继方法和分组中继程序。
背景技术:
已知其中控制器执行用于转发分组的交换机的操作的集中管理的各种网络架构。 例如,NPL 1和NPL 2各自描述了根据Ethane的网络架构。Ethane是一种包括确定所传输的分组的行为的控制器。以及在所述控制器的控制下并且转发分组的交换机的网络架构。每一个交换机包括用于确定分组的目的地的流表。在接收到其目的地由该流表中的条目表明的分组时,交换机以所述条目为基础传输所述分组。另一方面,在接收到不具有所述流表中的相对应条目的分组时,交换机向控制器转发所述分组的信息。控制器具有关于通信网络拓扑的信息,并且对于被允许通信的分组执行路径计算。详细地说,在从交换机接收到分组的信息时,控制器确定是允许还是不允许该分组的通信。在确定允许通信的情况下,控制器计算分组的路径。控制器然后向所计算的路径上的每一个交换机的流表添加新的目的地条目。交换机随后以所注册的目的地条目为基础传输分组。NPL 3描述一种根据OpenFlow (以下也被称为“OF”)的网络架构。与Ethane类似,OpenFlow是一种其中控制器控制交换机的网络架构。在OpenFlow中,分组转发功能和路径控制功能通过流控制协议分离,其中控制器使用统一的API (应用程序接口)控制交换机的不同类型。此外,在OpenFlow中,执行流颗粒度(granularity)的分组控制用于较快数据路径和较低控制成本。OF中的每一个交换机包括用于存储对于所接收的分组的行为的流表,以及交换机经过其与控制器通信的安全信道。使用OF协议,交换机和控制器在该安全信道上彼此通
fn °图20是表示存储在流表中的流条目解释性图。对于每一个流,流表存储依靠其检查分组报头的规则(规则)、限定对于该流的处理的行为(行为)以及流统计信息(统计)。在规则(Rule)中,使用用于确定是否存在匹配的值(精确)和通配符(通配字)。 图21是表示依靠其检查分组报头的字段的解释性图。下面的字段用作依靠其检查分组报头的搜索键。(1)物理(物理)层的输入端口号码(输入端口 No)。(2)以太网(注册商标)(以太网(注册商标))层的MAC(媒体访问控制)DA(MAC 目的地地址)、MAC SA (MAC源地址)、VLAN ID (虚拟LAN (局域网)ID)或者VLAN TYPE (优先级)。(3) IPv4 (版本4)层的IP SA (IP源地址)、IP DA (IP目的地地址)或者IP协议。G)TCP(传输控制协议)/UDP(用户数据报协议)层的源端口(TCP/UDP源端口)和/或目的地端口(TCP/UDP目的地端口)。(5) ICMP (互联网控制消息协议)层的ICMP类型或者ICMP代码。行为(Action)是应用到匹配规则的分组的处理。图22是表示对于流设置的行为的解释性图。例如,在其中在行为中设置“输出”的情况下,这意味着交换机对匹配规则的分组执行“输出到指定端口”。同样,在其中在行为中设置“SET_DL_DST”的情况下,这意味着交换机对于所传输匹配规则的分组执行“更新MAC DA (目的地单元)”。流统计信息包括分组的数量以及匹配规则的分组的字节数量、从接收分组的最后一个开始的逝去时间(会话持续)等等。流统计信息用于确定是否删除流条目。下面描述OF中的操作。在接收到分组时,交换机对所接收的分组的分组报头与流表中的规则进行比较。在其中所接收的分组与规则不匹配的情况下,使用安全信道中的消息,交换机向控制器转发该分组的信息。控制器以通信网络拓扑为基础计算分组的传输路径。控制器然后传输用于向交换机的流表添加流条目的消息,以支持交换机沿着传输路径来中继分组。随后,在接收到与所添加的流条目相对应的分组时,在不向控制器转发分组的信息的情况下,交换机执行相对应的行为(转发处理)。图23是表示在安全信道上使用的消息的解释性图。例如,在通知控制器输入分组的情况下,交换机向控制器传输消息“分组进入”。同样,在通知控制器流到期(达到预定时间的会话持续)的情况下,交换机向控制器传输消息“流到期”。另一方面,在指示交换机输出分组的情况下,控制器向交换机传输消息“分组出”。同样,在请求交换机注册、改变或者删除流的情况下,控制器向交换机传输消息“流模式”。引用文献列表非专利文献1 :Martin Casado , ^ Λ, "Ethane =Taking Control of the Enterprise,,,ACM SIGCOMM Computer Communication Review, Volume 37, Issue 4, SESSION Enterprise networks,第 1 到 12 页,2007 年 10 月# # ^lJ i K 2 :Martin Casado R ^ i^k Ji A, "Architectural Support for Security Management in Enterprise Networks", Slide 11,[在线],[2009 年 8 月 24 日搜索],互联网 <URL :http//www. soi. wide. ad. jp/project/sigcomm2007/pdf/sigll. pdf>非专利文献 3:Nick McKeown 及其他七人,“OpenFlow Enabling Innovation in Campus Networks",[在线],[2009 年 8 月 24 日搜索],互联网 <URL :http://www. openflowswitch. org/documents/openflow-wp-latest. pdf>
发明内容
技术问题在非专利文献1和非专利文献2中描述的以Khane为基础的网络架构中,对于不具有流表中的相对应条目并且控制器不允许其通信的分组,典型地不执行路径计算并且因此不执行转发。在许多情景下,这样的分组在交换机的队列中累积,并且在预定时间逝去之后被放弃。在其中交换机再次接收控制器不允许其通信的分组的情况下,交换机通常再次询问控制器,并且控制器对该分组再次确定是否允许或者不允许通信。即,在其中交换机重复接收不允许其通信的分组的情况下,交换机需要每次询问控制器,并且控制器也需要每次确定是否允许或者不允许通信。这对交换机和控制器二者产生高处理载荷的问题。例如,在由于分组没有到达目的地单元而在TCP通信中重复执行重传时,交换机将结束重复接收相同的分组。在这种情况下,每次在分组到达交换机时,交换机询问控制器。这在交换机和控制器二者产生CPU载荷增加的问题。在非专利文献3中描述的OpenFlow中也是,在交换机向控制器重复传输不允许其到目的地单元的通信的分组时,在交换机和控制器二者产生高处理载荷的问题。因此,期望控制器控制交换机以使得能够适当地处理这样的分组。考虑到此,本发明的示例性对象在于提供一种能够降低对不允许其到目的地单元的通信的分组的、通过分组中继单元执行的处理载荷的中继控制单元、中继控制系统和中继控制程序,以及应用到所述中继控制系统的分组中继单元、分组中继方法和分组中继程序。技术方案根据本发明的一种中继控制单元是用于控制分组中继单元的中继控制单元,所述中继控制单元包括通信允许确定装置,用于使用通过所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许或者不允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许或者不允许到所述目的地单元的所述通信;以及规则设置装置,用于在所述通信允许确定装置对于满足所述匹配条件的所述分组确定不允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。根据本发明的一种中继控制系统包括分组中继单元;以及用于控制所述分组中继单元的中继控制单元,其中所述中继控制单元包括通信允许确定装置,用于使用通过所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许或者不允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许或者不允许到所述目的地单元的所述通信;以及规则设置装置,用于在所述通信允许确定装置对于满足所述匹配条件的所述分组确定不允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。根据本发明的一种分组中继单元包括流存储装置,用于存储作为将对于所接收的分组的处理与识别所述分组的信息相关联的信息的流;以及分组中继装置,用于以存储在所述流存储装置中的所述流为基础中继所接收的分组,其中在其中与所接收的分组相关联的所述流没有被存储在所述流存储装置中的情况下,所述分组中继装置向中继控制单元传输所述分组的信息,并且以通过所述中继控制单元设置的所述流为基础处理所述分组, 所述中继控制单元使用所接收的分组的所述信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许或者不允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许或者不允许到所述目的地单元的所述通信;并且在对于所述分组被确定不被允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的源单元中设置执行用于抑制满足所述匹配条件的所述分组到所述目的地单元的转发的处理的流。根据本发明的一种中继控制方法包括用于控制分组中继单元的中继控制单元, 使用通过所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许或者不允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许或者不允许到所述目的地单元的所述通信;并且在对于满足所述匹配条件的所述分组被确定不被允许到所述目的地单元的所述通信的条件下,所述中继控制单元至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。根据本发明的一种分组中继方法包括以存储在流存储装置中的流为基础中继所接收的分组,所述流存储装置用于存储作为将对于所接收的分组的处理与识别所述分组的信息相关联的信息的流;以及在其中与所接收的分组相关联的所述流没有被存储在所述流存储装置中的情况下,向中继控制单元传输所述分组的信息,并且以通过所述中继控制单元设置的所述流为基础中继所述分组,所述中继控制单元使用所接收的分组的所述信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许或者不允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许或者不允许到所述目的地单元的所述通信;以及在对于所述分组被确定不被允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的源单元中设置执行用于抑制满足所述匹配条件的所述分组到所述目的地单元的转发的处理的流。根据本发明的一种中继控制程序是一种应用到用于控制分组中继单元的计算机的中继控制程序,所述中继控制程序使所述计算机执行通信允许确定处理,使用通过所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许或者不允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许或者不允许到所述目的地单元的所述通信;以及规则设置处理,在对于满足所述匹配条件的所述分组被确定不被允许到所述目的地单元的所述通信的条件下,用于至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。根据本发明的一种分组中继程序是一种应用于包括用于存储流的流存储装置的计算机的分组中继程序,所述流作为将对于所接收的分组的处理与识别所述分组的信息相关联的信息,所述分组中继程序使所述计算机执行分组中继处理,以存储在所述流存储装置中的所述流为基础中继所接收的分组,其中在所述分组中继处理中,在其中与所接收的分组相关联的所述流没有被存储在所述流存储装置中的情况下,使所述计算机向中继控制单元传输所述分组的信息,并且以通过所述中继控制单元设置的所述流为基础处理所述分组,所述中继控制单元使用所接收的分组的所述信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许或者不允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许或者不允许到所述目的地单元的所述通信;并且在对于所述分组被确定不被允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的源单元中设置执行用于抑制满足所述匹配条件的所述分组到所述目的地单元的转发的处理的流。技术效果根据本发明,能够降低通过分组中继单元对不被允许到目的地单元的通信的分组执行的处理载荷。
图1是表示第一示例性实施例中的中继控制系统的示例的方框图。图2是表示对于拒绝分组(Deny packet)的策略示例的解释性图。图3是在表示在接收分组的信息的情况下的处理示例的流程图。图4是表示由拒绝控制单元17执行的处理示例的流程图。图5是表示通过策略的更新产生的处理示例的流程图。图6是表示第二示例性实施例中的中继控制系统的示例的方框图。图7是表示在接收分组信息的情况下的处理示例的流程图。图8是表示第三示例性实施例中的中继控制系统的示例的方框图。图9是表示由拒绝控制单元17b执行的处理示例的流程图。图10是表示第四示例性实施例中的中继控制系统的示例的方框图。图11是表示其中从源到目的地执行通信的示例的解释性图。图12是表示其中从源到目的地执行通信的示例的解释性图。图13是表示在接收分组信息的情况下的处理示例的流程图。图14是表示通过允许控制单元16c执行的处理示例的流程图。图15是表示第五示例性实施例中的中继控制系统的示例的方框图。图16是表示在接收请求流行为的消息的情况下的处理示例的流程图。图17是表示根据本发明的中继控制单元的最小结构的示例的方框图。图18是表示根据本发明的中继控制系统的最小结构的示例的方框图。图19是表示根据本发明的分组中继单元的最小结构的示例的方框图。图20是表示存储在流表中的流条目的解释性图。图21是表示依靠其检查分组报头的字段的解释性图。图22是表示对于流设置的行为的解释性图。图23是表示在安全信道上使用的消息的解释性图。
具体实施例方式
下面参照附图描述本发明的示例性实施例。下面描述了将本发明应用于OpenFlow 的情况。即,下面描述了其中将本发明应用于包括作为分组中继单元的OF交换机(Open Flow交换机,以下被称为“0FS”)以及作为用于控制该分组中继单元的单元(即中继控制单元)的OF控制器(Open Flow控制器,以下被称为“0FC”)的OpenFlow的情况。然而,注意到,本发明所应用于的网络架构并不局限于OpenFlow。本发明可应用于其中中继控制单元控制分组中继单元的任何其它形式的网络架构。第一示例性实施例图1是表示本发明第一示例性实施例中的中继控制系统的示例的方框图。该示例性实施例中的中继控制系统包括OFC 10和0FS30。OFC 10是具有网络拓扑信息和有效通信路径信息的控制器,并且控制通信网络中的OFS 30。详细地说,在接收到分组时,OFC 10 控制由OFS 30执行的处理。OFS 30是在OFC 10的控制下以设置的规则为基础来转发所接收的分组的交换机。OFC 10和OFS 30经由通信网络彼此连接,其中不专门限制通信网络的形式。尽管在图1中的中继控制系统中仅示出了一个OFS 30,但是OFS 30的数量并不局限于一个,并且可以是两个或者更多。而且,OFC 10可以具有由共同实现OFC 10功能的多个计算机构成的集群结构。OFS 30包括网络接口单元31、存储单元32以及控制单元33。网络接口单元31与 OFC 10或者另一交换机(未示出)通信。存储单元32与识别所接收的分组的信息相关联地存储对于该分组的处理(以下也被称为“交换机行为”)。交换机行为包括诸如向指定端口转发所接收的分组、放弃(也被称为“丢弃”)分组、向OFC 10传输分组等等的处理。作为识别分组的信息,存储单元32 可以例如存储包括在被称为5元组的一组信息中的协议号码、Src (源)IP地址、Src端口、 Dst (目的地)IP地址以及Dst端口。然而,注意到,识别分组的信息并不局限于5元组。存储单元32可以存储包括在被称为10元组的一组信息中的输入端口、VLAN(虚拟LAN) ID、 Ethertype.Src MAC地址和Dst MAC地址,作为用于识别分组的信息。而且,存储单元32可以存储包括在被称为11元组的一组信息中的VLAN优先级,作为用于识别分组的信息。而且,存储单元32可以存储表明任意信息的通配符,作为用于识别分组的信息。存储单元32 至少存储彼此相关联的一对识别信息和交换机行为。该识别信息是用于确定交换机行为的信息,并且因此以下也被称为“规则”。此外,将规则与交换机行为相关联的信息也被共同称为“流”。因此,存储单元32能够被认为是用于存储流的单元。例如,存储单元32通过包括在OFS 30中的磁盘单元等等实现。存储单元32中的流根据来自OFC 10的指令由控制单元33存储。控制单元33以存储在存储单元32中的流为基础处理所接收的分组。详细地说, 在从另一单元接收到分组时,控制单元33将该分组的报头信息与流中的规则进行比较,并且执行与该报头信息相对应的规则的交换机行为。例如,在其中分组的报头信息与由规则表明的识别信息相匹配的情况下,控制单元33可以执行与规则相对应的交换机行为。注意到,在其中存储单元32存储输入端口和净载荷中任意比特字段的值作为规则的情况下,控制单元33可以确定识别所接收的分组的信息是否与由规则表明的信息匹配。而且,在存储单元32存储IP地址的前缀作为规则的情况下,控制单元33可以对包括在所接收的分组中的IP地址与该前缀进行比较以确定它们是否匹配。在其中没有与所接收的分组相对应的流被存储在存储单元32中的情况下,控制单元33向OFC 10传输所接收的分组的信息。随后,在从OFC 10接收到与该分组的传输信息相对应的流的情况下,控制单元33在存储单元32中存储所接收的流,并且还执行由所接
11收的流表明的交换机行为。在OpenFlow中,如上面提及的不与存储在存储单元32中的任何流相对应的分组也被称为“第一分组”。而且,在OFS 30连接到OFC 10所连接到的通信网络时,控制单元33可以通知OFC 10表明该连接的信息(例如问候消息)。控制单元33也可以从OFC 10接收一起传输的识别信息和交换机行为(即流),并且将这些信息存储在存储单元32中。控制单元33通过根据程序操作的计算机的CPU实现。例如,程序可以存储在OFS 30中的存储单元32中,CPU读取该程序并且根据该程序操作为控制单元33。OFC 10包括OF协议(以下被称为“0FP”)接收单元11、策略表12、统计策略获取单元13、动态策略获取单元14、策略确定单元15、允许控制单元16、拒绝控制单元17、路径计算单元18、拒绝日志创建单元19、OFS控制单元20和OFP传输单元21。OFP接收单元11以OFP为基础从OFS 30接收消息。详细地说,OFP接收单元11 接收在OFS 30中的存储单元32中不具有相对应的流的分组。策略表12存储将识别所传输的分组的信息(也下被称为“匹配条件”)与表明对于满足该匹配条件的分组是否允许或者不允许到目的地单元的通信的可通信性信息(以下被简单地称为“行为”)相关联的信息(以下被称为“策略”)。例如,策略表12通过包括在OFC 10中的磁盘单元等等实现。匹配条件可以与控制器所使用的规则相同以识别 OpenFlow中的分组。而且,例如,与存储在存储单元32中的识别信息(规则)相同的信息 (即5元组或者10元组)可以用作匹配条件。策略表12可以提前存储该策略,或者根据来自另一单元或者用户的指令存储该策略。如上面提及的,行为是表明该分组是被允许(Allow)到目的地单元的通信的分组或者是不被允许(否定)到目的地单元的通信的分组的信息。行为可以包括表明对于不被允许(否定)到目的地单元的通信的分组执行的处理的附加信息。在这种情况下,策略表 12与每一个单独匹配条件的行为相关联地存储该附加信息。附加信息包括诸如处置拒绝分组(丢弃)、保持日志(记日志)、设置到外部特定单元的路径等等的信息。以下也将对于不被允许(否定)到目的地单元的通信的分组的处理称为“拒绝处理”。拒绝处理是对于不被转发的分组的处理,并且因此能够被认为是用于抑制分组到目的地单元的转发的处理。注意到,在其中仅存在一种类型拒绝处理的情况下,策略表12不需要存储附加信息。图2是表示对于不被允许(否定)到目的地单元的通信的分组的策略示例的解释性图。图2(a)是表示其中在设置的策略的最后策略中设置拒绝的示例的解释性图。在图 2(a)中示出的示例中,该分组被按照其中设置策略的顺序与策略进行比较,并且在其中分组不匹配位于“全部拒绝”之前的任何策略的情况下被确定为拒绝。图2(b)是表示在以分组的净载荷中设置的信息为基础确定该分组是否为拒绝分组的情况下的策略示例的解释性图。表示为图2(b)中的示例的“IP 192. 168.0. 1 —拒绝” 表明不允许从IP地址“192. 168.0. 1”的访问(确定为拒绝)。同时,表示为图2(b)中的示例的 “IP 192. 168. 0. 0/0. 0. 7. 255 —拒绝”表明不允许从除了 “192. 168. 0. 0/255. 248. 0” 之外的IP地址的访问(确定为拒绝)。尽管使用IP地址作为识别信息的策略表示为图2中的示例,但是用作策略的识别信息的信息并不局限于IP地址。诸如MAC(媒体访问控制)地址的识别终端的ID可以用作策略的识别信息。而且,诸如协议号码或者端口号码的识别协议或者应用的字段信息可以用作策略的识别信息。而且,诸如VLAN ID或者MPLS (多协议标签切换)标签的识别网络的值可以用作策略的识别信息。可选地,交换机的输入端口可以用作策略的识别信息。这样的策略的示例是“拒绝来自交换机A的端口 1的分组”。策略也可以包括在交换机的净载荷和输入端口中设置的信息。这样的策略的示例是“拒绝从交换机A的端口 1的IP 192. 168. 0. 1的访问”。静态策略获取单元13获取存储在策略表12中的策略。详细地说,静态策略获取单元13确定更新的策略是否被包括在存储在策略表12中的策略中,并且读取更新的策略。 作为示例,静态策略获取单元13可以规则地访问策略表12,确定与先前访问不同的信息作为更新的策略,并且读取更新的策略。然而,确定更新的策略的方法并不局限于上面提及的方法。作为另一示例,策略表12可以在更新策略的时序处创建触发并且向静态策略获取单元13通知该触发,其中接收该触发使静态策略获取单元13确定策略被更新。进而,策略表 12的初始化可以使静态策略获取单元13确定更新了策略表12中的全部策略。而且,接收表明OFS 30被连接到通信网络的信息(例如问候消息)可以使静态策略获取单元13确定策略表12是否被更新。读取了更新的策略后,静态策略获取单元13向策略确定单元15通知该策略。因而,OFS 30接收存储在策略表12中的识别信息和行为,而与所接收的分组无关。这样传输/接收的识别信息和行为可以因此被称为静态策略。因而,静态策略获取单元13能够被认为是检测静态策略的更新并且获取流(即匹配条件)和行为。动态策略获取单元14从策略表12获取与所接收的分组的信息相对应的策略。详细地说,动态策略获取单元14将所接收的分组的信息与存储在策略表12中的每一个匹配条件进行比较,并且从策略表12中读取与由所接收的分组的信息满足的匹配条件相对应的行为。例如,在其中OFP接收单元11以OFP为基础从OFS 30接收分组的信息以及“分组入”消息的情况下,在所接收的分组的信息满足匹配条件的情况下,动态策略获取单元14从策略表12读取与该匹配条件相对应的行为。这里提及的“分组入”消息是在OpenFlow中的安全信道上使用的消息,表明向控制器通知交换机中的分组输入。动态策略获取单元14 通知策略确定单元15该读取行为以及分组的信息。尽管该示例性实施例描述了其中OFC 10包括静态策略获取单元13和动态策略获取单元14 二者的情况,OFC 10可以包括静态策略获取单元13和动态策略获取单元14中的任意一个或者二者。策略确定单元15使用由OFS 30接收的分组的信息,以策略为基础对于该分组确定是否允许或者不允许到目的地单元的通信。详细地说,在接收由动态策略获取单元14读取的行为以及从OFS 30接收的分组的信息时,策略确定单元15确定该行为是否是允许到目的地单元的通信的行为。在允许(允许)到目的地单元的通信的行为的情况下,策略确定单元15确定允许到目的地单元的通信,并且指示下面提及的允许控制单元16计算该分组的转发目的地。在不允许(拒绝)到目的地单元的通信的行为的情况下,策略确定单元 15确定不允许到目的地单元的通信,并且指示下面提及的拒绝控制单元17确定该分组的拒绝处理。策略确定单元15也可以对于由更新的策略的匹配条件表明的分组以该策略为基础,确定是否允许或者不允许到目的地单元的通信。详细地说,在从静态策略获取单元13接收更新的策略时,策略确定单元15确定包括在策略中的行为是否是允许到目的地单元的通信的行为。在允许(允许)到目的地单元的通信的行为的情况下,策略确定单元15对于由策略的匹配条件表明的分组确定允许到目的地单元的通信,并且指示下面提及的允许控制单元16计算分组的转发目的地。在不允许(拒绝)到目的地单元的通信的行为的情况下,策略确定单元15对于由策略的匹配条件表明的分组确定不允许到目的地单元的通信, 并且指示下面提及的拒绝控制单元17确定分组的拒绝处理。允许控制单元16在策略的行为是“允许”的情况下计算分组的传输路径。详细地说,允许控制单元16指示路径计算单元18计算到目的地的传输路径。允许控制单元16通知OFS控制单元20所计算的传输路径。拒绝确定单元17在策略的行为是“拒绝”的情况下确定拒绝处理。即,否则控制单元17对于被确定为不被允许到目的地单元的通信的分组,确定拒绝处理。详细地说,在策略确定单元15确定策略的行为是不允许(拒绝)到目的地单元的通信的行为时,拒绝控制单元17以包括在该行为中的附加信息为基础,对于被确定不被允许到目的地单元的通信的分组确定处理。拒绝控制单元17通知OFS控制单元20该确定的处理。作为示例,在其中“丢弃”被设置为行为中的附加信息的情况下,拒绝控制单元17 可以确定OFS 30要放弃(丢弃)所接收的分组。在OFS 30中,通过OFC 10按照这样的方式设置放弃特定分组的处理(丢弃处理)的规则,该方式能够降低在其中OFS 30随后接收相同分组的情况下的CPU载荷。S卩,在其中在OFS 30中设置丢弃处理规则的情况下,OFS 30能够在不询问OFC 10关于所接收的分组的处理的情况下在OFS 30的硬件部分中执行丢弃处理。这有助于OFS 30和OFC 10的降低的CPU载荷。作为另一示例,在其中表明“转发到特定单元”的信息被设置为行为中的附加信息的情况下,拒绝控制单元17可以在OFS 30中确定设置到与对于所接收的分组的目的地单元不同的另一目的地(例如外部特定单元)的显式路径。详细地说,拒绝控制单元17确定 OFS 30要向诸如隔离网络、陷阱以及详细流行为分析单元传输分组。在这种情况下,拒绝控制单元17指示路径计算单元18计算到多个这样的安全分析单元的传输路径。这里,拒绝控制单元17可以确定向多个单元中的一个传输分组,或者确定向多个单元传输分组。拒绝控制单元17确定要向其传输该分组的目的地根据匹配条件而被提前限定。在其中目的地的数量为一的情况下,在全部匹配条件中指定相同目的地。例如,在其中策略仅包括静态缺省VLAN设置的情况下,OFC 10不能够在OFS 30 中显式地设置路径或者自适应地设置该路径。然而,由于根据上述策略确定行为,因此OFC 10能够在OFS 30中设置对于不允许到目的地单元的通信的分组的显式路径或者自适应路径。此外,能够从外部单元提供更加详细的拒绝处理。在OFS 30接收被确定被放弃的分组或者被确定设置了其显式路径的分组时,拒绝控制单元17也可以确定OFS 30要向OFC 10再次传输该分组的信息。详细地说,在其中在附加信息中进行保持日志的设置(记日志设置)的情况下,拒绝控制单元17可以确定使 0FS30放弃(丢弃)所接收的分组,并且还确定使OFS 30向OFC 10传输该分组的信息(分组入)。可选地,拒绝控制单元17可以在0FS30中设置所接收的分组的显式路径,并且还确定以使OFS 30向0FC10传输该分组的信息(分组入)通过按照这种方式使OFS 30向OFC 10传输不被允许到目的地的通信的分组的信息,OFC 10能够识别该分组的内容。此外,下面提及的拒绝日志创建单元19能够以所接收的分组的信息为基础创建日志信息。上面描述了其中拒绝控制单元17以包括在与识别信息相对应的行为中的附加信息为基础确定拒绝处理的情况。然而,通过拒绝控制单元17确定拒绝处理的方法并不局限于以识别信息为基础的方法。例如,拒绝控制单元17可以确定预定处理作为拒绝处理。可以在逝去预定时间之后放弃不被允许的到目的地单元的通信的分组,结果表现出与拒绝处理中的丢弃处理相同的行为。这里,如果不对这样的分组进行控制,则不能够执行除了丢弃之外的处理,诸如OFS 30向特定单元转发分组的处理或者OFC 10保持日志的处理。然而,在该示例性实施例中,在策略确定单元15确定策略的行为是不允许到目的地单元的通信的行为时,拒绝控制单元17以该策略为基础确定拒绝处理。这支持OFC 10在 OFS 30中设置抑制不被允许到目的地单元的通信的分组的转发的交换机行为(即用于抑制到目的地单元的转发的处理)。路径计算单元18在向净载荷中的目的地或者由策略表明的单元传输分组时计算路径。例如,路径计算单元18计算顺序表明每一个OFS 30以及经由其分组到达净载荷中的目的地或者由策略表明的特定单元的其输出端口的信息。路径计算单元18可以以最短路径算法为基础计算到目的地单元的路径。然而,路径计算方法并不局限于以最短路径算法为基础的方法。由于计算到目的地单元的路径的方法被广泛已知,因此这里省去对其的描述。路径计算单元18可以计算多个路径候选,代替仅计算一个路径候选。注意到,路径可以被看作顺序表明每一个单元(例如交换机)以及流经由而到达其目的地的其输出端口。例如,采取其中所接收的分组首先被从交换机A的“输出端口 1” 传输到交换机B,然后从交换机B的“输出端口 3”传输到交换机C,并且进一步从交换机C 的“输出端口 4”输出的路径。这样的路径可以被表达为“交换机A,输出端口 1—交换机B, 输出端口 3—交换机C,输出端口 4”。拒绝日志创建单元19在执行拒绝处理时创建日志(以下被称为“拒绝日志”)。因而,拒绝日志能够被认为是表明不被允许到目的地单元的通信的确定的日志。也存在其中拒绝控制单元17确定使OFS 30向OFC 10再次传输被放弃的分组的信息或者对其设置了显式路径的分组的信息。在这种情况下,拒绝日志创建单元19可以在从OFS 30接收到这样的分组信息时创建拒绝日志。例如,拒绝日志创建单元19可以创建拒绝日志为“2009/08/1112:00:01 Deny TCP SRC :192. 168. 1. 3 :49388 DST :χχχ· χχχ. χχχ. χχχ :80”。该拒绝日志的示例意味着“在 2009 年8月11日12:00:01拒绝处理了从其源IP地址为‘192. 168. 1. 3 (端口号码49388),的单元传输到其IP地址为‘χχχ. χχχ. χχχ. χχχ (端口号码80),的目的地的分组”。注意到,在其中OFC 10不输出日志的情况下,OFC 10不需要包括拒绝日志创建单元19。上面描述了其中拒绝日志包括分组的净载荷信息的部分(例如IP地址等等)或者日期的示例。然而,拒绝日志中包括的信息并不局限于上面。拒绝日志可以包括分组的净载荷信息中的其它信息。此外,从拒绝日志创建单元19输出的日志并不局限于拒绝日志。 例如,输出日志可以包括表明被允许(允许)到目的地单元的通信的日志(以下被称为“允许日志”)。作为示例,假设允许在2009年8月11日12:00:01(允许)传输到由“χχχ. χχχ. χχχ. ΧΧΧ(端口号码80) ”表明的目的地的分组的通信。在这种情况下,拒绝日志创建单元19 可以将该允许日志创建为 “2009/08/11 12:00:01 Allow TCP SRC 192. 168. 1. 3 :49388 DST :xxx. xxx. xxx. XXX :80,,。OFS控制单元20以通过允许控制单元16计算的分组的传输路径或者通过拒绝控制单元17确定的拒绝处理为基础,设置由OFS 30执行的处理规则。即,在接收到通过拒绝控制单元17确定的拒绝处理时,OFS控制单元20在接收分组的OFS 30中设置执行拒绝处理的规则。这里,OFS控制单元20可以确定向OFC 10传输分组的信息的OFS 30作为设置目标交换机。注意到,其中OFS控制单元20设置该处理规则的交换机并不局限于接收该分组的OFS 30。在接收到通过允许控制单元16计算的分组的传输路径时,OFS控制单元20 在OFS 30中设置在传输路径上转发分组的规则。下面详细描述OFS控制单元20的操作。首先,OFS控制单元20接收通过允许控制单元16计算的分组的传输路径或者通过拒绝控制单元17确定的拒绝处理的通知。在接收到通过允许控制单元16计算的分组的传输路径的情况下,OFS控制单元20创建将作为识别信息的该分组的净载荷的信息与作为行为的该分组的传输路径相关联的流。另一方面, 在接收通过拒绝控制单元17确定的拒绝处理情况下,OFS控制单元20创建将作为识别信息的该分组的净载荷的信息与作为行为的拒绝处理相关联的流。OFS控制单元20然后创建用于利用所创建的流的信息更新OFS 30的存储单元32的消息,并且指示OFP传输单元21 向OFS 30传输该消息。例如,OFS控制单元20在下面的情况下设置拒绝处理。作为示例,在其中拒绝控制单元17确定显式设置到多个安全分析单元的路径的情况下,根据该路径,OFS控制单元 20对于存储在一个或者多个OFS 30中的流执行更新该分组的输出端口的设置。作为另一示例,在其中拒绝控制单元17确定丢弃所接收的分组的情况下,OFS控制单元20对于传输 (也被称为“进入”)该分组的OFS 30中的流执行放弃所述分组的设置。也存在其中拒绝控制单元17确定使OFS 30向OFC 10再次传输被确定为被丢弃的分组或者对于其确定设置了显式路径的分组。在这种情况下,对于传输该分组的OFS 30(即进入)中的流,OFS控制单元20设置虚拟端口 “控制器”并且还执行传输(分组入) 该分组的设置。在其中控制器请求交换机注册、改变或者删除OpenFlow中安全信道上的流的情况下使用“流模式消息”。因此,OFS控制单元20可通过使用流模式消息在OFS 30中设置流。OFP传输单元21以OFP为基础向OFS 30传输消息。详细地说,OFP传输单元21 以OFP为基础向OFS 30传输通过OFS控制单元20创建的消息。OFP接收单元11、静态策略获取单元13、动态策略获取单元14、策略确定单元15、 允许控制单元16、拒绝控制单元17、路径计算单元18、拒绝日志创建单元19以及OFS控制单元20通过根据程序(中继控制程序)操作的计算机的CPU实现。例如,程序可以存储在 OFC 10中的存储单元(未示出)中,CPU读取该程序,并且根据该程序操作为OFP接收单元 11、静态策略量获取单元13、动态策略获取单元14、策略确定单元15、允许控制单元16、拒绝控制单元17、路径计算单元18、拒绝日志创建单元19以及OFS控制单元20。OFP接收单元11、静态策略获取单元13、动态策略获取单元14、策略确定单元15、允许控制单元16、拒绝控制单元17、路径计算单元18、拒绝日志创建单元19以及OFS控制单元20也可以分别通过专用硬件实现。下面描述操作。下面首先描述在其中OFC 10从OFS 30接收分组的信息的情况下的处理,并且然后描述通过存储在策略表12中的策略的更新产生的处理。图3是表示在其中OFC 10从OFS 30接收分组的信息的情况下的处理示例的流程图。首先,在OFS 30接收不具有存储单元32中的相对应的流的分组时,OFS 30中的控制单元33经由网络接口单元31向OFC 10传输包括所接收的分组的信息的消息。在OFP接收单元11以OFP为基础从OFS 30接收消息(步骤S110)时,动态策略获取单元14从策略表12获取匹配OpenFlow消息中的分组入报头的行为(步骤S120)。艮口, 动态策略获取单元14将所接收的分组的信息与存储在策略表12中的每一个匹配条件进行比较,并且从策略表12读取与由所接收的分组的信息满足的匹配条件相对应的行为。策略确定单元15确定由动态策略获取单元14读取的行为是否是“不允许(拒绝)到目的地单元的通信”的行为(步骤S130)。在其中该行为是拒绝的情况下(步骤S130:“是”),策略确定单元15指示拒绝控制单元17确定分组的拒绝处理(步骤S140)。图4是表示通过拒绝控制单元17执行的处理示例的流程图。首先,拒绝控制单元 17以包括在行为中的附加信息为基础确定该处理(步骤S141)。在其中附加信息表明“丢弃”的情况下(步骤S141 “丢弃”),拒绝控制单元17设置丢弃标记(步骤S142)。详细地说,拒绝控制单元17在OFC 10中的存储器(未示出)等等中存储丢弃标记的设置。另一方面,在其中附加信息表明向特定主机转发分组(即转发到特定单元)的情况下(步骤 S141 至特定主机),拒绝控制单元17指示路径计算单元18计算到特定主机的分组的传输路径(步骤S143)。拒绝控制单元17还确定在附加信息中是否进行了记日志设置(步骤S144)。 在其中进行了记日志设置的情况下(步骤S144: “是”),拒绝控制单元17设置分组入 (Packet-in)标记(步骤S145)。详细地说,拒绝控制单元17在OFC 10中的存储器(未示出)等等中存储分组入标记的设置。之后,拒绝日志创建单元19创建拒绝日志(记拒绝日志)(步骤S146)。在其中没有进行记日志设置的情况下(步骤S144:“否”),拒绝控制单元17不执行拒绝日志创建处理。在其中在图3中的步骤S130中行为不是拒绝的情况下(步骤S130 “否”),策略确定单元15指示允许控制单元16计算分组的转发目的地(步骤S150)。详细地说,允许控制单元16指示路径计算单元18计算分组的路径。允许控制单元16因而获取该路径。在通过拒绝控制单元17的处理(步骤S140)或者通过允许控制单元16的路径计算处理(步骤S150)之后,OFS控制单元20使用该传输路径、丢弃标记或者分组入标记, 以OFP为基础创建消息(步骤S160)。详细地说,以通过允许控制单元16计算的分组的传输路径或者通过拒绝控制单元17确定的拒绝处理、以及丢弃标记或者分组入标记为基础, OFS控制单元20创建用于更新存储在OFS 30中的存储单元32中的流的消息。OFP传输单元21向OFS 30以OFP为基础传输通过OFS控制单元20创建的消息(步骤S170)。因而,从OFS 30的分组的信息的接收导致确定流(S卩,在实际上接收到分组之后, OFS 10创建要被存储在OFS 30中的存储单元32中的条目),这产生降低存储在存储单元 32中的流条目的数量的有利效果。接下来描述通过存储在策略表12中的策略的更新产生的处理。图5是表示该处理的示例的流程图。在接收到表明OFS 30连接到通信网络或者检测到策略表12中的更新时,静态策略获取单元13从策略表12读取更新的策略。而且,在检测到策略表12的初始化时,静态策略获取单元13读取策略表12中的全部策略(步骤S210)。已经读取了更新的策略之后,静态策略获取单元13通过策略确定单元15该策略。策略确定单元15确定包括在从静态策略获取单元13接收的策略中的行为是否是 “不允许(拒绝)到目的地单元的通信”的行为(步骤S220)。在其中该行为不是拒绝的情况下(步骤S220:“否”),策略确定单元15结束该处理。另一方面,在其中该行为是拒绝的情况下(步骤S220 “是”),策略确定单元15指示拒绝控制单元17来确定分组的拒绝处理(步骤S230)。从拒绝控制单元17确定拒绝处理时、到OFP传输单元21以OFP为基础向OFS 30传输通过OFS控制单元20创建的消息时(步骤S230到S250)的随后处理与表示为图3中的示例的步骤S140和S160到S170的处理相同,并且因此省去对其的描述。因而,存储在策略表12中的策略的更新导致确定流(S卩,在更新策略时,OFC 10创建要被存储在OFS 30中的存储单元32中的条目),由于OFC 10能够降低来自OFS 30的访问,因此这产生降低载荷的有利效果。如上所述,根据本发明,使用由OFS 30接收的分组的信息,以策略为基础,策略确定单元15对于满足匹配条件的分组确定是否允许到目的地单元的通信。在策略确定单元 15对于满足匹配条件的分组确定不允许(拒绝)到目的地单元的通信的条件下,拒绝控制单元17确定用于抑制到目的地单元的分组的转发的处理,并且OFS控制单元20至少在接收分组的OFS 30中设置执行该处理的处理规则。这有助于由分组中继单元(例如OFS 30) 对于不被允许(拒绝)到目的地单元的通信的分组执行的处理的降低载荷。而且,拒绝控制单元17和OFS控制单元20在OFS 30中设置对于放弃(丢弃)满足匹配条件的分组的处理规则。这有助于OFS 30和OFC 10的降低的CPU载荷。此外,拒绝控制单元17和OFS控制单元20在OFS 30中设置用于向与所述目的地单元不同的另一目的地传输满足匹配条件的分组的处理规则(例如到另一目的地的路径)。这支持从外部单元提供更加详细的拒绝处理。而且,在OFS 30接收拒绝分组时,拒绝控制单元17和OFS控制单元20在OFS 30 中设置用于向OFC 10传输分组的信息的规则。在这种情况下,在OFC 10从OFS 30接收分组的信息时,拒绝日志创建单元19创建日志。这支持识别拒绝分组的通信状态。第二示例性实施例图6是表示本发明第二实施例中的中继控制系统的示例的方框图。与第一示例性实施例相同的结构被给出与图1中相同的附图标记,并且省去对其的描述。该示例性实施例中的中继控制系统包括OFC IOa和OFS 30。OFS 30与第一示例性实施例中的相同。OFC IOa包括OFP接收单元11、策略表12、静态策略获取单元13、动态策略获取单元14、策略确定单元15、允许控制单元16、拒绝控制单元17、路径计算单元18、拒绝日志创建单元19、0FS控制单元20a以及OFP传输单元21。此外,OFC IOa包括流管理表22。艮口, OFC IOa与第一示例性实施例中的OFC 10的不同之处在于,代替OFS控制单元20而包括 OFS控制单元20a,而且还包括流管理表22。其它结构与第一示例性实施例相同。流管理表22存储通过OFS控制单元20创建的流的行为(以下被称为“OF行为”)。 即,流管理表22存储在OFS 30中设置的规则。例如,流管理表22通过包括在OFC IOa中的磁盘单元等等实现。流管理表22可以彼此相关联地存储OF行为和将OFS 30识别为流更新目标的信息(以下被称为“交换机识别信息”)。OFS控制单元20a在流管理表22中存储所创建的OF行为。新创建了 OF行为之后,OFS控制单元20a确定相同的OF行为是否已经被存储在流管理表22中。在其中已经存储了相同的OF行为的情况下,OFS控制单元20a放弃所创建的OF行为以使得不从OFP传输单元21传输消息。即,在其中已经在流管理表22中存储了要在OFS 30中设置的规则的情况下,OFS控制单元20a不在OFS 30中设置规则。在其中所创建的OF行为与所存储的OF 行为不同的情况下,OFS控制单元20a利用所创建的OF行为更新流管理表22。除了上面提及的功能OFS之外的控制单元20a的功能与第一示例性实施例中的OFS控制单元20的相同。OFS控制单元20a通过根据程序(中继控制程序)操作的计算机的CPU实现。OFS 控制单元20a也可以通过专用硬件实现。下面描述操作。图7是表示在第二示例性实施例中在其中OFClOa从OFS 30接收分组的信息的情况下的处理示例的流程图。从OFC IOa从OFS 30接收分组的信息时到OFS 控制单元20a以OFP为基础创建消息时的处理,与表示为图3中的示例的步骤SllO到S160 的处理相同。已经以OFP为基础创建了消息之后,OFS控制单元20a确定相同的OF行为是否被存储在流管理表22中(步骤S310)。在其中相同的OF行为已经被存储在流管理表22中的情况下(步骤S310:“是”),OFS控制单元20a放弃所创建的消息(步骤S320),并且结束该处理。在其中没有相同的OF行为被存储在流管理表22中的情况下(步骤S310 “否”), OFS控制单元20a在流管理表22中存储所创建的OF行为(步骤S330)。之后,OFP传输单元21向OFS 30传输通过OFS控制单元20a以OFP为基础创建的消息(步骤S170)。如上所述,根据该示例性实施例,在OFS控制单元20a在OFS 30中设置处理规则时,OFS控制单元20a还在流管理表22中存储该处理规则。随后,在策略确定单元15对于满足匹配条件的分组确定不允许(拒绝)到目的地单元的通信时,在其中要在OFS 30中设置的处理规则已经被存储在流管理表22中的情况下,OFS控制单元20a不在OFS 30中设置处理规则。按照这种方式,能够防止对于已经设置的处理规则的复位指示,这有助于OFS 30和OFC IOa的降低的CPU载荷。例如,在其中OFS 30仅对拒绝分组执行丢弃处理的情况下,OFClOa不从OFS 30 再次接收拒绝分组。然而,如果对于拒绝分组设置了分组入,则不允许(拒绝)通信的分组将结束被再次传输到OFClOa。在该示例性实施例中,即使在向OFC IOa再次传输拒绝分组时,OFS控制单元20a也能够抑制已经设置的流更新。这有助于OFC IOa和OFS 30的降低的处理载荷。换句话说,在策略包括表明对于拒绝分组的丢弃处理和分组入处理、或者对于拒绝分组的显式路径设置和分组入处理的行为时,OFC IOa能够被防止向OFS 30中的存储单元32多次写入已经被写入的流行为。第三示例性实施例图8是表示本发明第三示例性实施例中的中继控制系统的示例的方框图。与第一示例性实施例相同的结构被给出与图1中相同的附图标记,并且省去对其的描述。该示例性实施例中的中继控制系统包括OFC IOb和OFS 30。OFS 30与第一示例性实施例中的相同。OFC IOb包括OFP接收单元11、策略表12、静态策略获取单元13、动态策略获取单元14、策略确定单元15、允许控制单元16、拒绝控制单元17b、路径计算单元18、拒绝日志创建单元19、OFS控制单元20以及OFP传输单元21。此外,OFC IOb包括拒绝计数器表23。 即,OFC IOb与第一示例性实施例中的OFC 10的不同之处在于代替拒绝控制单元17而包括拒绝控制单元17b,并且还包括拒绝计数器表23。其它结构与第一示例性实施例相同。拒绝计数器表23存储对于拒绝控制单元17b确定不允许到目的地单元的通信的分组的确定数量(也被称为“计数器值”),结合该分组的识别信息(例如匹配条件)。以下该识别信息也被称为“字段”。计数器值可以被认为是分组入处理的数量的计数。拒绝计数器表23可以彼此结合地存储拒绝处理的数量以及与在策略的匹配条件中使用的识别信息相同的信息。可选地,拒绝计数器表23可以彼此结合地存储拒绝处理的数量以及诸如分组源的包括在净载荷中的信息。而且,为了聚合计数器值,拒绝计数器表23可以存储在多个流(匹配条件)之间共享的一个计数器值。例如,拒绝计数器表23通过包括在OFC IOb中的磁盘单元等等实现。在其中策略的行为是“拒绝”(即,确定不允许到目的地单元的通信)的情况下,拒绝控制单元17b增加拒绝计数器表23中与策略的匹配条件相对应的计数器值。在其中计数器值超出预定阈值(以下被称为“拒绝处理计数阈值”)的情况下,拒绝控制单元17b确定对于满足与计数器值相对应的匹配条件的流不执行向OFC IOb传输分组的信息的处理(即分组入处理)。S卩,在其中对于被确定为拒绝的特定流(例如以策略为基础或者以源地址为基础)的分组入处理的数量超出阈值(拒绝处理计数阈值)的情况下,拒绝控制单元17b确定使OFS 30仅执行丢弃处理或者对于特定流的特定路径选择。在这样做时,例如在其中对 OFClOb执行攻击(attack)处理的情况下,能够降低分组入频率,这有助于OFS 30和OFC IOb的降低的处理载荷。拒绝控制单元17b通过根据程序(中继控制程序)操作的计算机的CPU实现。拒绝控制单元17b也可以通过专用硬件实现。下面描述操作。在第三示例性实施例中,从OFC IOb从OFS 30接收分组的信息时到OFP传输单元21向OFS 30传输消息时的处理,与表示为图3中的示例的流程图中的处理相同,但是通过拒绝控制单元17b执行的处理与第一示例性实施例中通过拒绝控制单元 17执行的处理不同。下面描述通过拒绝控制单元17b执行的操作。图9是表示通过拒绝控制单元17b执行的处理的示例的流程图。直到拒绝控制单元17b以包括在行为中的附加信息为基础确定处理时的操作与图4中的步骤S141到S143 的操作相同。接下来,拒绝控制单元17b确定在附加信息中是否进行记日志设置(步骤S144)。 在其中不进行记日志设置的情况下(步骤S144 “否”),拒绝控制单元17b不执行拒绝日志创建处理。在其中进行记日志设置的情况下(步骤S144:“是”),拒绝控制单元17b确定匹配流的字段是否被存储在拒绝计数器表23中(步骤S410)。在其中匹配流的字段被存储的情况下(步骤S410 “是”),拒绝控制单元17b增加与该字段相对应的计数器值(步
20骤S420)。例如,拒绝控制单元17b向匹配流的字段的计数器值增加1。在其中匹配流的字段没有被存储的情况下(步骤S410 “否”),拒绝控制单元17b创建该流的匹配条件(字段),并且初始化计数器值到0 (步骤S430)。在增加计数器值(步骤S420)或者创建该流的匹配条件(字段)(步骤S430)之后,拒绝控制单元17b确定计数器值是否等于或者大于阈值(拒绝处理计数阈值)(步骤S440)。在其中计数器值等于或者大于阈值的情况下(步骤S440 “是”),拒绝控制单元17b指示拒绝日志创建单元19输出表明日志输出被抑制的信息(步骤S450)。详细地说,在其中计数器值等于或者大于阈值的情况下,拒绝控制单元 17b指示OFS控制单元20创建消息,从策略的行为中删除分组入。在其中计数器值小于阈值的情况下(步骤S440 “否”),拒绝控制单元17b设置分组入标记并且执行拒绝记日志, 与表示为图3中的示例的步骤S145到S146相同。在图9的步骤S440中,上面描述了其中拒绝控制单元17b确定计数器值是否等于或者大于阈值(拒绝处理计数阈值)的情况。然而,拒绝控制单元17b可以代替确定计数器值是否超出阈值(拒绝处理计数阈值)。如上所述,根据该示例性实施例,在策略确定单元15确定不允许(拒绝)到目的地单元的通信时,拒绝控制单元17b和OFS控制单元20增加对于结合识别分组的要素存储在拒绝计数器表23中的该分组的确定数量。在其中对于该分组的确定数量超出拒绝处理计数阈值的情况下,拒绝控制单元17b和OFS控制单元20在OFS 30中设置用于抑制向OFC IOb的分组的信息的传输的处理规则。结果,能够防止其中对于不被允许通信的分组的信息被通知到OFC IOb过量次数的情形。第四示例性实施例图10是表示本发明第四示例性实施例中的中继控制系统的示例的方框图。与第一示例性实施例相同的结构被给出与图1中相同的附图标记,并且省去对其的描述。该示例性实施例中的中继控制系统包括OFC IOc和OFS 30。OFS 30与第一示例性实施例中的相同。尽管第一示例性实施例描述了其中OFS控制单元20在接收分组信息的OFS 30(即进入)中设置执行拒绝处理的处理规则,但是该示例实施例描述了其中对OFS 30而非进入进行拒绝设置的情况。OFC IOc包括OFP接收单元11、策略表12、静态策略获取单元13、动态策略获取单元14、策略确定单元15、允许控制单元16c、拒绝控制单元17、路径计算单元18、拒绝日志创建单元19、OFS控制单元20以及OFP传输单元21。S卩,OFC IOc与第一示例性实施例中的 OFC 10的不同之处在于包括允许控制单元16c代替允许控制单元16。其它结构与第一示例性实施例相同。在其中策略的行为是“允许”(即确定允许到目的地单元的通信)的情况下,允许控制单元16c计算到分组的目的地单元的一个或者多个路径候选。详细地说,允许控制单元16c指示路径计算单元18计算到目的地单元的多个传输路径。允许控制单元16c然后对于每一个计算的路径确定在该路径上是否存在确定不允许(拒绝)所接收的分组的通信的交换机(以下被称为“拒绝交换机”)。例如,允许控制单元16c可以询问该路径上的每一个交换机关于允许或者不允许分组的通信,并且以响应结果为基础确定是否存在拒绝交换机。在其中传输路径候选不包括在其上允许分组的通信的路径的情况下,允许控制单元16c确定执行拒绝处理。详细地说,允许控制单元16c指示拒绝控制单元17确定分组的拒绝处理。在其中传输路径候选包括在其上允许分组的通信的路径的情况下,允许控制单元16c确定不执行拒绝处理,并且通知OFS控制单元20该路径。注意到,在确定拒绝交换机存在于路径上的情况下,允许控制单元16c可以确定在拒绝交换机中设置拒绝处理。在这种情况下,允许控制单元16c可以指示拒绝控制单元 17确定对于该路径上的交换机的拒绝处理,同时OFS控制单元30指示该路径上的交换机以所确定的拒绝处理为基础来更新流。下面参照图11和12描述其中拒绝处理被设置在该路径上的交换机中的情况。图 11和12是表示其中从源(Nancy)到目的地(Paul)执行通信的示例的解释性图。利用虚线包围的范围是源(Nancy)和目的地(Paul)所连接到的通信网络。SWl到SW4指代交换机 (例如OFS 30),并且CTl指代控制器(例如OFC IOc)。在Sffl到SW4中,通过阴影表示的每一个交换机是不允许从源(Nancy)到目的地(Paul)的通信的交换机,而通过白色圆圈表示的每一个交换机是允许从源(Nancy)到目的地(Paul)的通信的交换机。在图11所示的示例中,源(Nancy)所连接的交换机确定不允许到目的地(Paul)的通信。因此,策略确定单元15指示拒绝控制单元17确定分组的拒绝处理。同时,在图12所示的示例中,源(Nancy)所连接的交换机确定允许到目的地 (Paul)的通信。因此,策略确定单元15指示允许控制单元16c计算分组的转发目的地。允许控制单元16c指示路径计算单元18计算到目的地的多个传输路径。在图12所示的示例中,计算了到目的地的三条路径,即经由SW1、SW2和SW4的路径(路径1),经由SW1、SW3和 SW4的路径(路径2~),以及经由SWl和SW4的路径(路径幻。允许控制单元16c首先确定拒绝交换机是否存在于路径1上。路径1上存在确定不允许通信的SW2。允许控制单元16c 然后确定拒绝交换机是否存在于下一个路径候选(路径幻上。路径2上不存在拒绝交换机。因而,允许控制单元16c通知OFS控制单元20该路径2。允许控制单元16c还可以确定在路径1上的SW2中设置拒绝处理。在这种情况下, 允许控制单元16c指示拒绝控制单元17确定对于SW2的拒绝处理。OFS控制单元20指示 SW2以所确定的拒绝处理为基础来更新流。因而,能够在路径上的交换机中提前设置拒绝处理。因此,在其中通信单元被连接到其中已经设置了拒绝处理的交换机的情况下,不需要再次询问OFC IOc0这有助于OFC IOc和OFS 30对于询问的降低载荷。允许控制单元16c通过根据程序(中继控制程序)操作的计算机的CPU实现。允许控制单元16c也可以通过专用硬件实现。下面描述操作。图13是表示其中OFC IOc从OFS 30接收分组的信息的情况的示例的流程图。在第四示例性实施例中,在其中OFCIOc从OFS 30接收分组的信息、并且策略确定单元15确定该行为是拒绝的情况中的处理与表示为图3中的示例的步骤SllO到S140 和S160到S170的处理相同。下面描述在其中策略确定单元15确定该行为是“允许(允许)到目的地单元的通信”的行为(图13中的步骤S130 “否”)的情况下通过允许控制单元16c执行的处理(步骤S510)。图14是表示通过允许控制单元16c执行的处理的示例的流程图。首先,允许控制单元16c指示路径计算单元18计算路径候选(步骤S511)。允许控制单元16c从第一路径候选开始顺序执行对于每一个计算的路径候选的确定(步骤S5U)。注意到,不必专门限制确定的顺序。允许控制单元16c确定拒绝交换机是否存在于候选的路径上(步骤S5i;3)。在其中存在拒绝交换机的情况下(步骤S513 “是”),允许控制单元16c确定对该交换机执行拒绝处理(步骤S5M)。允许控制单元16c然后确定是否存在另一路径候选(步骤S516)。 在其中存在另一路径候选的情况下(步骤S516 “是”),允许控制单元16c对于每一个接下来的候选重复步骤S513和S515到S518的处理。在其中不存在其它路径候选的情况下 (步骤S516 “否”),允许控制单元16c确定执行拒绝处理(步骤S517)。在其中在步骤S513中在候选的路径上不存在拒绝交换机的情况下(步骤S513 “否”),允许控制单元16c通知OFS控制单元20该路径(步骤S514)。在图13中,已经确定了执行拒绝处理(步骤S520 “是”),允许控制单元16c指示拒绝控制单元17确定拒绝处理。随后的处理与表示为图3中的示例的步骤S140和S160 IlJ S170的处理相同。在表示为图14中的示例的处理中,上面描述了其中在检测到不具有拒绝交换机的路径时的情况下,允许控制单元16c通知OFS控制单元20该路径,而不执行关于每一个接下来的候选的路径的确定。然而,即使在检测到不具有拒绝交换机的路径时,允许控制单元16c可以对于剩余路径候选的每一个确定该路径上是否存在拒绝交换机,并且通知OFS 控制单元20随后检测的路径。如上所述,根据该示例性实施例,在策略确定单元15对于满足匹配条件的分组确定允许(允许)到目的地单元的通信的条件下,路径计算单元18计算到该分组的目的地单元的一个或者多个路径候选。之后,允许控制单元16c确定在该路径候选上是否存在确定不允许分组的通信的OFS 30。在其中确定不允许分组的通信的0FS30存在于全部路径候选的每一个路径上的情况下,拒绝控制单元17和OFS控制单元20至少在接收分组的OFS 30中设置执行用于抑制分组到目的地单元的转发的处理(拒绝处理)的处理规则。结果, 在OFS 30向另一交换机中继分组之前能够确定是否允许传输,这有助于通信网络的降低载荷。而且,在其中不允许满足匹配条件的分组的通信的OFS 30存在于路径上的情况下,拒绝控制单元17在OFS 30中设置执行用于抑制分组到目的地单元的转发的处理(拒绝处理)的处理规则。因而,能够不仅在向控制器传输分组的交换机(进入)中而且还在路径候选上的交换机中设置执行拒绝处理的处理规则。这有助于通信网络的降低载荷。第五示例性实施例图15是表示本发明第五示例性实施例中的中继控制系统的示例的方框图。与第二示例性实施例相同的结构被给出与图6中相同的附图标记,并且省去对其的描述。该示例性实施例中的中继控制系统包括OFC IOd和OFS 30。OFS 30与第一示例性实施例中的相同。OFC IOd包括OFP接收单元11、策略表12、动态策略获取单元14、策略确定单元 15、允许控制单元16、拒绝控制单元17、路径计算单元18、拒绝日志创建单元19、0FS控制单元20d、OFP传输单元21以及流管理表22。S卩,OFC IOd与第二示例性实施例中的OFClOa 的不同之处在于不包括静态策略获取单元13,并且还包括OFS控制单元20d来代替OFS控制单元20a。其它结构与第二示例性实施例相同。除了第二示例性实施例中OFS控制单元20a的功能,OFS控制单元20d以存储在流管理表22中的OF行为(即通过OFS控制单元20a创建的流的行为)为基础,指示更新存储在OFS 30中的流。即,OFS控制单元20d在OFS 30中设置存储在流管理表22中的OF 行为。例如,在OFS 30连接时,OFS控制单元20d从流管理表22读取与表明所连接的OFS 30的交换机识别信息相对应的OF行为。OFS控制单元20d然后创建用于更新流的消息,并且指示OFP传输单元21向OFS 30传输该消息。注意到,OFS控制单元20d可以读取存储在流管理表22中的全部OF行为,而与交换机识别信息无关。而且,在其中OFC IOd从OFS 30接收请求流的行为的消息的情况下,OFS控制单元20d可以执行上面提及的处理。OFS控制单元20d通过根据程序(中继控制程序)操作的计算机的CPU实现。OFS 控制单元20d也可以通过专用硬件实现。下面描述操作。图16是表示在其中OFC IOd从OFS 30接收请求流的行为的消息的情况下的处理示例的流程图。在OFP接收单元11从OFS 30接收请求流的行为的消息 (步骤S610)时,OFS控制单元20d从流管理表22读取流的行为(OF行为),并且以OFP为基础创建消息(步骤S620)。OFP传输单元21向OFS 30传输通过OFS控制单元20d以OFP 为基础创建的消息(步骤S630)。如上所述,根据该示例性实施例,OFS控制单元20d在分组中继单元中设置存储在流管理表22中的流。因此,即使如在第二示例性实施例中在其中策略表12的更新不能够被检测的情况下,也能够在OFS 30上反映表明拒绝处理的流。下面描述根据本发明的中继控制单元的最小结构的示例。图17是表示根据本发明的中继控制单元的最小结构的示例的方框图。根据本发明的中继控制单元是用于控制分组中继单元(例如OFS 30)的中继控制单元(例如OFC 10),该中继控制单元包括通信允许确定装置81 (例如策略确定单元15),用于使用由分组中继单元接收的分组的信息、并且以作为将匹配条件与可通信性信息(例如行为)相关联的信息的策略为基础,对于满足该匹配条件的分组确定是否允许(允许)或者不允许(例如拒绝)到目的地单元的通信,所述匹配条件是识别分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的分组是否允许或者不允许到目的地单元的通信;以及规则设置装置82 (例如拒绝控制单元17和 OFS控制单元20),用于在所述通信允许确定装置81对于满足所述匹配条件的分组确定不允许到目的地单元的通信的条件下、至少在接收分组的分组中继单元中设置执行用于抑制该分组到目的地单元的转发的处理(例如拒绝处理)的规则(例如流)。根据这样的结构,能够降低对于不被允许到目的地单元的通信的分组通过分组中继单元执行的处理的载荷。而且,如在图18的方框图中所示,分组中继单元90可以被提供到根据本发明的中继控制单元80从而形成中继控制系统。下面描述根据本发明的分组中继单元的最小结构的示例。图19是表示根据本发明的分组中继单元的最小结构的示例的方框图。根据本发明的分组中继单元包括流存储装置71 (例如存储单元32),用于存储作为将对于所接收的分组的处理与识别该分组的信息相关联的信息的流;以及分组中继装置72 (例如控制单元33),用于以存储在流管理装置 71中的流为基础中继所接收的分组。在其中与所接收的分组相关联的流没有被存储在流存储装置71中的情况下,分组中继装置72向中继控制单元(例如OFC 10)传输分组的信息,并且以通过所述中继控制单元设置的流为基础处理所述分组,所述中继控制单元使用所接收的分组的信息并且以作为将匹配条件与可通信性信息(例如行为)相关联的信息的策略为基础,对于满足所述匹配条件的分组确定是否允许(允许)或者不允许(拒绝)到目的地单元的通信,所述匹配条件是识别分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的分组是否允许或者不允许到目的地单元的通信;并且在对于所述分组确定不被允许(例如拒绝)到目的地单元的通信的条件下,至少在接收分组的源中设置执行用于抑制满足匹配条件的分组到目的地单元的转发的处理(例如拒绝处理)的流。根据这样的结构,能够降低对于不被允许到目的地单元的通信的分组通过分组中继单元执行的处理的载荷。注意到,至少下面的中继控制单元、中继系统以及分组中继单元也被包括在上述的示例性实施例中的任意一个中。(1)用于控制分组中继单元(例如OFS 30)的中继控制单元(例如OFC 10),所述中继控制单元包括通信允许确定装置(例如策略确定单元15),使用通过所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息(例如行为)相关联的信息的策略为基础,用于对于满足所述匹配条件的分组确定是否允许(例如允许)或者不允许 (例如拒绝)到目的地单元的通信,所述匹配条件是识别分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的分组是否允许或者不允许到目的地单元的通信;以及规则设置装置(例如拒绝控制单元17和OFS控制单元20),用于在通信允许确定装置对于满足匹配条件的分组确定不允许(例如拒绝)到目的地单元的通信的条件下,至少在接收分组的分组中继单元中设置执行用于抑制分组到目的地单元的转发的处理(例如拒绝处理)的规则(例如流)。(2)中继控制单元,其中规则设置装置(例如拒绝控制单元17和OFS控制单元20) 至少在接收分组的分组中继单元中设置用于放弃(例如丢弃)满足匹配条件的分组的规则。(3)中继控制单元,其中规则设置装置(例如拒绝控制单元17和OFS控制单元20) 至少在接收分组的分组中继单元中设置用于向与所述目的地单元不同的另一目的地(例如隔离网络、陷阱、详细的流行为分析单元等等)传输满足所述匹配条件的分组的规则。(4)中继控制单元,包括用于根据匹配条件计算到预定目的地的路径的路径计算装置(例如路径计算单元18),其中所述规则设置装置至少在接收分组的分组中继单元中设置用于向通过路径计算装置计算的目的地传输满足匹配条件的分组的规则。(5)中继控制单元,包括日志创建装置(例如拒绝日志创建单元19),用于创建表明通信允许确定装置(例如策略确定单元1 确定不允许到目的地单元的通信的日志(例如拒绝日志),其中在分组中继单元接收对于其执行用于抑制到目的地单元的转发的处理 (例如拒绝处理)的分组时,所述规则设置装置在分组中继单元中设置用于向中继控制单元传输分组的信息的规则,并且其中在从分组中继单元接收分组的信息时,日志创建装置创建日志。(6)中继控制单元,包括用于存储在分组中继单元中设置的规则的规则存储装置 (例如流管理表22),其中所述规则设置装置(例如拒绝控制单元17和OFS控制单元20a) 当在分组中继单元中设置规则时将所述规则存储在规则存储装置中;并且,在其中在通信
25允许确定装置对于满足匹配条件的分组确定不允许到目的地单元的通信时,在要被在分组中继单元中设置的规则已经被存储在规则存储装置中的情况下,不在分组中继单元中设置所述规则。(7)中继控制单元,包括用于结合识别分组的要素、存储对于通信允许确定装置 (例如策略确定单元1 确定不允许到目的地单元的通信的分组的确定数量(例如计数器值)的确定计数存储装置(例如拒绝计数器表23),其中所述规则设置装置(例如拒绝控制单元17b和OFS控制单元20)在通信允许确定装置确定不允许到目的地单元的通信时增加对于结合所述要素的分组的确定数量;并且在其中对于分组的确定数量超出预定阈值 (例如拒绝处理计数阈值)的情况下,在分组中继单元中设置用于抑制分组的信息到中继控制单元的传输的规则。(8)中继控制单元包括路径候选计算装置(例如路径计算单元18),用于在通信允许确定装置(例如策略确定单元1 对于满足匹配条件的分组确定允许(例如允许) 到目的地单元的通信的条件下,用于计算到分组的目的地单元的一个或者多个路径候选; 以及路径确定装置(例如允许控制单元16c),用于对于所述路径候选中的每一个确定在路径候选上是否存在确定不允许分组的通信的分组中继单元,其中,在其中确定不允许分组的通信的分组中继单元存在于全部路径候选中的每一个路径上的情况下,规则设置装置 (例如拒绝控制单元17和OFS控制单元20)至少在接收分组的分组中继单元中设置执行用于抑制分组到目的地单元的转发的处理(例如拒绝处理)的规则。(9)中继控制单元,其中,在其中不允许满足匹配条件的分组的通信的分组中继单元(例如交换机)存在于路径上的情况下,规则设置装置(例如拒绝控制单元17和OFS控制单元20)在分组中继单元中设置执行用于抑制分组到目的地单元的转发的处理(即拒绝处理)的规则。(10)中继控制单元,其中规则设置装置(例如OFS控制单元20d)在分组中继单元中设置存储在规则存储装置(例如流管理表22)中的规则(例如流行为)。(11) 一种中继控制系统,包括分组中继单元(例如OFS 30);以及用于控制所述分组中继单元的中继控制单元(0FC 10),其中所述中继控制单元包括通信允许确定装置 (例如策略确定单元15),用于使用通过分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息(例如行为)相关联的策略为基础,对于满足匹配条件的分组确定是否允许(例如允许)或者不允许(例如拒绝)到目的地单元的通信,所述匹配条件是识别分组的信息,并且所述可通信性信息表明对于满足匹配条件的分组是否允许或者不允许到目的地单元的通信;以及规则设置装置(例如拒绝控制单元17和OFS控制单元20),用于在通信允许确定装置对于满足匹配条件的分组确定不允许(例如拒绝)到目的地单元的通信的条件下,至少在接收分组的分组中继单元中设置执行用于抑制分组到目的地的转发的处理(例如拒绝处理)的规则(例如流)。(12)中继控制系统,其中所述规则设置装置至少在接收分组的分组中继单元中设置用于放弃满足匹配条件的分组的规则。(13)中继控制系统,其中所述规则设置装置至少在接收分组的分组中继单元中设置用于向不同于所述目的地单元的另一目的地传输满足匹配条件的分组的规则。(14) 一种分组中继单元,包括流存储装置(例如存储单元32),用于存储作为将对于所接收的分组的处理与识别该分组的信息相关联的流;以及分组中继装置(例如控制单元33),用于以存储在流存储装置中的流为基础中继所接收的分组,其中在其中与所接收的分组相关联的流没有被存储在流存储装置中的情况下,所述分组中继装置向中继控制单元(例如OFC 10)传输分组的信息,并且以通过中继控制单元设置的流为基础处理所述分组,所述中继控制单元使用所接收的分组的信息并且以作为将匹配条件与可通信性信息 (例如行为)相关联的策略为基础,对于满足匹配条件的分组确定是否允许(例如允许)或者不允许(例如拒绝)到目的地单元的通信,所述匹配条件是识别分组的信息,并且所述可通信性信息表明对于满足匹配条件的分组是否允许或者不允许到目的地单元的通信;并且在对于所述分组被确定不允许(例如拒绝)到目的地单元的通信的条件下,至少在接收分组的源单元中设置执行用于抑制满足匹配条件的分组到目的地单元的转发的处理(例如拒绝处理)的流。尽管参照上面的示例性实施例和示例描述了本发明,但是本发明并不局限于上面的示例性实施例和示例。本领域的普通技术人员可理解在本发明的范围内可以对本发明的结构和细节做出各种改变。本申请要求享有2009年9月10日递交的日本专利申请No. 2009-209722的优先权,这里结合其公开的全部内容。工业实用性
本发明优选地应用于用于控制通过分组中继单元执行的处理的中继控制单元。
附图标记列表
10、10a、10c、IOd OFC
110FP接收单元
12策略表
13静态策略获取单元
14动态策略获取单元
15策略确定单元
16、16c允许控制单元
17、17b拒绝控制单元
18路径计算单元
19拒绝日志创建单元
20、20a、20d OFS 控制单元
2IOFP传输单元
22流管理表
23拒绝计数器表
300FS
31网络接口单元
32存储单元
33控制单元
Sffl至Ij SW4交换机
CTl控制器
权利要求
1.一种用于控制分组中继单元的中继控制单元,所述中继控制单元方法包括通信允许确定装置,用于使用由所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许到所述目的地单元的所述通信;以及规则设置装置,用于在所述通信允许确定装置对于满足所述匹配条件的所述分组确定不允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。
2.根据权利要求1所述的中继控制单元,其中所述规则设置装置至少在接收所述分组的所述分组中继单元中设置用于放弃满足所述匹配条件的所述分组的规则。
3.根据权利要求1所述的中继控制单元,其中所述规则设置装置至少在接收所述分组的所述分组中继单元中设置用于向不同于所述目的地单元的另一目的地传输满足所述匹配条件的所述分组的规则。
4.根据权利要求3所述的中继控制单元,包括路径计算装置,用于根据所述匹配条件计算到预定目的地的路径,其中所述规则设置装置至少在接收所述分组的所述分组中继单元中设置用于向由所述路径计算装置计算的所述目的地传输满足所述匹配条件的所述分组的规则。
5.根据权利要求1到4中的任意一项所述的中继控制单元,包括日志创建装置,用于创建表明所述通信允许确定装置确定不允许到所述目的地单元的所述通信的日志,其中所述规则设置装置在所述分组中继单元接收对于其执行用于抑制到所述目的地单元的所述转发的所述处理的所述分组时,在所述分组中继单元中设置用于向所述中继控制单元传输所述分组的所述信息的规则,并且其中所述日志创建装置在从所述分组中继单元接收所述分组的所述信息时创建所述日志。
6.根据权利要求1到5中的任意一项所述的中继控制单元,包括规则存储装置,用于存储在所述分组中继单元中设置的所述规则,其中所述规则设置装置当在所述分组中继单元中设置所述规则时,将所述规则存储在所述规则存储装置中;并且在其中在所述通信允许确定装置对于满足所述匹配条件的所述分组确定不允许到所述目的地单元的所述通信时、要被在所述分组中继单元中设置的所述规则已经被存储在所述规则存储装置中的情况下,不在所述分组中继单元中设置所述规则。
7.根据权利要求5所述的中继控制单元,包括确定计数存储装置,用于结合识别所述分组的要素,存储所述通信允许确定装置确定不允许到所述目的地单元的所述通信的所述分组的确定的数目,其中所述规则设置装置在所述通信允许确定装置确定不允许到所述目的地单元的所述通信时,增加结合所述要素的对于所述分组的所述确定的数目;并且在其中对于所述分组的所述确定数量超出预定阈值的情况下,在所述分组中继单元中设置用于抑制所述分组的所述信息到所述中继控制单元的传输的规则。
8.根据权利要求1到7中的任意一项所述的中继控制单元,包括路径候选计算装置,用于在所述通信允许确定装置对于满足所述匹配条件的所述分组确定允许到所述目的地单元的所述通信的条件下,计算到所述分组的所述目的地单元的一个或者多个路径候选;以及路径确定装置,用于对于所述路径候选的每一个确定确定不允许所述分组的所述通信的分组中继单元是否存在于所述路径候选上,其中,在确定不允许所述分组的所述通信的所述分组中继单元存在于全部所述路径候选的每一个路径上的情况下,所述规则设置装置至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的所述转发的所述处理的所述规则。
9.根据权利要求8所述的中继控制单元,其中,在不允许满足所述匹配条件的所述分组的所述通信的所述分组中继单元存在于所述路径上的情况下,所述规则设置装置在所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的所述转发的所述处理的所述规则。
10.根据权利要求6所述的中继控制单元,其中所述规则设置装置在所述分组中继单元中设置存储在所述规则存储装置中的所述规则。
11.一种中继控制系统,包括分组中继单元;以及用于控制所述分组中继单元的中继控制单元,其中所述中继控制单元包括通信允许确定装置,用于使用由所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许到所述目的地单元的所述通信;以及规则设置装置,用于在所述通信允许确定装置对于满足所述匹配条件的所述分组确定不允许到所述目的地单元的所述通信的条件下,用于至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。
12.根据权利要求11所述的中继控制系统,其中所述规则设置装置至少在接收所述分组的所述分组中继单元中设置用于放弃满足所述匹配条件的所述分组的规则。
13.根据权利要求11所述的中继控制系统,其中所述规则设置装置至少在接收所述分组的所述分组中继单元中设置用于向不同于所述目的地单元的另一目的地传输满足所述匹配条件的所述分组的规则。
14.一种分组中继单元,包括流存储装置,用于存储流,所述流是将对于所接收的分组的处理与识别所述分组的信息相关联的信息;以及分组中继装置,用于以存储在所述流存储装置中的所述流为基础中继所接收的分组,其中在与所接收的分组相关联的所述流没有被存储在所述流存储装置中的情况下,所述分组中继装置向中继控制单元传输所述分组的信息,并且以由所述中继控制单元设置的所述流为基础处理所述分组,所述中继控制单元使用所接收的分组的所述信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许到所述目的地单元的所述通信;并且在对于所述分组被确定不被允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的源单元中设置执行用于抑制满足所述匹配条件的所述分组到所述目的地单元的转发的处理的流。
15.一种中继控制方法,包括用于控制分组中继单元的中继控制单元,使用由所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许到目的地单元的通信,所述匹配条件是识别所述分组的信息, 并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许到所述目的地单元的所述通信;以及所述中继控制单元在对于满足所述匹配条件的所述分组被确定不被允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。
16.根据权利要求15所述的中继控制方法,其中在对于所接收的分组被确定不被允许到所述目的地单元的所述通信的条件下,用于放弃满足所述匹配条件的所述分组的规则至少在接收所述分组的所述分组中继单元中被设置。
17.根据权利要求15所述的中继控制方法,其中在对于所接收的分组被确定不被允许到所述目的地单元的所述通信的条件下,用于向不同于所述目的地单元的另一目的地传输满足所述匹配条件的所述分组的规则至少在接收所述分组的所述分组中继单元中被设置。
18.一种分组中继方法,包括以存储在用于存储作为将对于所接收的分组的处理与识别所述分组的信息相关联的信息的流的流存储装置中的所述流为基础中继所接收的分组;以及在与所接收的分组相关联的所述流没有被存储在所述流存储装置中的情况下,向中继控制单元传输所述分组的信息,并且以由所述中继控制单元设置的所述流为基础而中继所述分组,所述中继控制单元使用所接收的分组的所述信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许到所述目的地单元的所述通信;以及在对于所述分组被确定不被允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的源单元中设置执行用于抑制满足所述匹配条件的所述分组到所述目的地单元的转发的处理的流。
19.一种应用到用于控制分组中继单元的计算机的中继控制程序,所述中继控制程序使所述计算机执行通信允许确定处理,用于使用由所述分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许到所述目的地单元的所述通信;以及规则设置处理,用于在对于满足所述匹配条件的所述分组被确定不被允许到所述目的地单元的所述通信的条件下,用于至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。
20.根据权利要求19所述的中继控制程序,使所述计算机在所述规则设置处理中,至少在接收所述分组的所述分组中继单元中设置用于放弃满足所述匹配条件的所述分组的规则。
21.根据权利要求19所述的中继控制程序,使所述计算机在所述规则设置处理中,至少在接收所述分组的所述分组中继单元中设置用于向不同于所述目的地单元的另一目的地传输满足所述匹配条件的所述分组的规则。
22.—种应用于包括用于存储流的流存储装置的计算机的分组中继程序,所述流作为将对于所接收的分组的处理与识别所述分组的信息相关联的信息,所述分组中继程序使所述计算机执行分组中继处理,以存储在所述流存储装置中的所述流为基础中继所接收的分组,其中在所述分组中继处理中,在其中与所接收的分组相关联的所述流没有被存储在所述流存储装置中的情况下,使所述计算机向中继控制单元传输所述分组的信息,并且以由所述中继控制单元设置的所述流为基础处理所述分组,所述中继控制单元使用所接收的分组的所述信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许到所述目的地单元的所述通信;并且在对于所述分组被确定不被允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的源单元中设置执行用于抑制满足所述匹配条件的所述分组到所述目的地单元的转发的处理的流。
全文摘要
通信允许确定装置使用通过分组中继单元接收的分组的信息并且以作为将匹配条件与可通信性信息相关联的信息的策略为基础,对于满足所述匹配条件的所述分组确定是否允许或者不允许到目的地单元的通信,所述匹配条件是识别所述分组的信息,并且所述可通信性信息表明对于满足所述匹配条件的所述分组是否允许或者不允许到所述目的地单元的所述通信。规则设置装置在所述通信允许确定装置对于满足所述匹配条件的所述分组确定不允许到所述目的地单元的所述通信的条件下,至少在接收所述分组的所述分组中继单元中设置执行用于抑制所述分组到所述目的地单元的转发的处理的规则。
文档编号H04L12/56GK102577275SQ20108004569
公开日2012年7月11日 申请日期2010年7月6日 优先权日2009年9月10日
发明者千叶靖伸, 大和纯一, 浜崇之 申请人:日本电气株式会社