网络系统、控制器和QoS控制方法

网络系统、控制器和QoS控制方法
【专利摘要】当通信路径之间存在由常规交换机组成的网络时，无法针对网络中的用户控制QoS。特别地，交换机接收分组并且通知外部控制器，并且控制器的用户认证单元确定流的QoS策略。当路径之间存在多个网络时，路径计算单元基于QoS策略和拓扑信息以如下方式选择路径，使得该路径被路由通过最优网络。当流表生成单元向所选择的网络发送分组时，基于QoS策略而生成对头部的DS字段执行排队和标记DSCP值的流表，并且向交换机注册该流表以用于往返行程。
【专利说明】网络系统、控制器和QoS控制方法
【技术领域】
[0001]本发明涉及网络系统，特别地，涉及在计算机网络中通过用户认证的QoS控制方法。
【背景技术】
[0002]近年来，可以在计算机网络的应用单元或者用户单元中实现QoS(服务质量)控制。
[0003]这是通过以下方法实现的:在应用通信的流数据的条件下标识应用和用户(源IP地址、目的地IP地址、协议、源端口号、目的地端口号的集合)，并且实现主要在通信路径上存在的路由器和交换机中的分组的处理。
[0004]在这种传统的计算机网络中，因为包含用于标识用户的IP地址的流数据被静态地设置到路由器和交换机，所以存在这样的问题，当在移动终端的情况下用户的IP地址动态改变时，无法在用户单元中的通信中实现QoS控制。
[0005]针对这一问题，专利文献I (日本专利号3，750，634)公开了用户单元中的控制方法，其中IP地址和用户通过用户认证而彼此相关，并且根据所分配的QoS数据动态地设置QoS策略(参见专利文献I的第[0039]段到[0060]段和图3)。
[0006]然而，在专利文献I中，存在通信路由上的交换机必须具有认证QoS的功能的问题。当存在由通信路由上的通常交换机组成的网络时，无法在网络中实现对用户的QoS控制。
[0007]引用列表
[0008][专利文献I]日本专利号3，750,634
[0009][非专利文献]
[0010][非专利文献 I]OpenFlow Switch Specification, Versionl.0.0 (http://www.0penflowswitch.0rg/documents/openflow-spec-vl.0.0.pdf)
[0011][非专利文献 2]An Architecture for Differentiated Services (http://www.1etf.0rg/rfc/rfc2475.txt)

【发明内容】

[0012]当在传统计算机网络中应当通过用户认证实现QoS控制时，存在通信路由上的交换机必须全部具有认证QoS功能的问题。在网络中，当存在由通信路径上的通常交换机组成的网络时，无法实现对用户的QoS控制。
[0013]本发明的一个目的在于提供解决上述问题的网络系统和QoS控制方法。
[0014]根据本发明的网络系统包括:与多个外部网络连接的交换机，其具有功能:基于预先注册的流表的条目来执行接收分组的处理；以及控制器，其具有功能:将用于由交换机一致地控制流的分组的、利用规则和动作定义的条目注册到交换机的流表中。控制器对流进行分类。当从交换机接收到分组的查询时，控制器基于分组执行对分组的发送源的用户认证，并且基于用户认证的结果来确定QoS类别。控制器具有功能:基于网络的连接状态和带宽来确定通信路由以通过与经认证的发送源的QoS类别相对应的外部网络。
[0015]根据本发明的控制器，包括:用户认证部分，配置为在来自交换机的分组的查询的接收的情况下，基于分组来执行对分组的发送源的用户认证，其中交换机基于预先注册的流表来执行对接收分组的处理，所述交换机是与多个外部网络连接的交换机之中的交换机；QoS控制部分，配置为基于用户认证的结果来确定QoS类别；路由计算部分，配置为基于网络的连接状态和带宽来确定通信路由，以便通过与经认证的发送源的QoS类别相对应的外部网络；以及，交换机控制部分，配置为基于QoS策略将用于由交换机一致地控制流的分组的、利用规则和动作定义的条目注册到交换机的流表中。
[0016]在根据本发明的QoS控制方法中，在控制器中，在从交换机接收到分组的查询的情况下，基于分组对分组的发送源执行用户认证，其中所述交换机根据预先注册的流表的条目来执行接收分组的处理，所述交换机是与多个外部网络连接的交换机之中的交换机。而且，基于用户认证的结果来确定QoS类别。而且，基于经认证的网络的连接状态和带宽来确定通信路由，以通过与发送源的QoS类别相对应的外部网络。而且，基于所确定的通信路由来注册用于由交换机一致地控制流的分组的、利用规则和动作定义的条目。
[0017]根据本发明的程序是使得计算机执行以下步骤的程序:在从交换机接收到分组的查询的情况下，基于分组执行对分组的发送源的用户认证，其中所述交换机根据预先注册的流表的条目来执行接收分组的处理，所述交换机是与多个外部网络连接的交换机之中的交换机；基于用户认证的结果来确定QoS类别；基于网络的连接状态和带宽来确定通信路由，以通过与经认证的发送源的QoS类别相对应的外部网络；基于QoS策略将用于由交换机一致地控制流的分组的、利用规则和动作定义的条目注册到交换机的流表中。
[0018]根据本发明的程序是使得计算机执行以上提到的QoS控制方法的处理的程序。应当注意，根据本发明的程序可以存储在存储和存储介质中。
[0019]由此，当通信路由上存在多个外部网络时，可以在用户单元中实现QoS控制。
【专利附图】

【附图说明】
[0020]图1是示出根据本发明的第一示例性实施方式的网络系统的配置实例的示图；
[0021]图2是示出用户数据存储部分中存储的用户数据的示例的示图；
[0022]图3是示出QoS策略存储部分中存储的QoS策略对应表的示例的示图；
[0023]图4是示出拓扑数据存储部分中存储的拓扑数据的示例的示图；
[0024]图5是示出流表存储部分中存储的流表的示例的示图；
[0025]图6是示出第一示例性实施方式中的QoS控制方法的流程图；
[0026]图7是示出根据本发明的第二示例性实施方式的网络系统的配置示例的示图；以及
[0027]图8是示出第二示例性实施方式中的QoS控制方法的流程图。
【具体实施方式】
[0028](前提)
[0029]在根据本发明的网络系统的目标中，目标是CU(C:控制平面，U:用户平面)分离类型网络，其中交换机和终端等(用户平面)由外部控制器(控制平面)控制。作为CU分离类型网络的示例，举例说明开放流网络，该网络使用开放流(OpenFlow)技术，并且通过控制器控制交换机实现网络中的路由控制。应当注意，开放流网络仅是一个示例。
[0030](开放流网络的描述)
[0031]在开放流网络中，诸如0FC(0penFloW控制器)的控制器通过操作诸如OFS (OpenFlow交换机)的交换机中的流表来控制交换机的操作。控制器和交换机与用于控制器的安全通道连接，以便通过使用基于开放流协议的控制消息来控制交换机。
[0032]开放流网络中的交换机形成开放流网络，并且是控制器控制之下的边缘交换机和核心交换机。在开放流网络中，流过从输入侧的边缘交换机的分组的接收到输出侧的边缘交换机的分组的发送的相同路由的分组的序列称为流。分组可以成为帧。
[0033]流表是注册流条目的表，其中流条目定义要向与预设匹配条件(规则)相匹配的分组(通信数据)执行的预定处理(动作)。
[0034]基于目的地地址、源地址、目的地端口和源端口中的每一个或者其各种组合来定义流条目的规则，其中目的地地址、源地址、目的地端口和源端口包含在分组的每个协议层的头部字段中，并且可以标识流条目的规则。应当注意，以上提到的地址包含MAC (介质访问控制)地址和IP(因特网协议)地址。而且，除了以上数据之外，进入端口的数据也可以用作流条目的规则。
[0035]流条目的动作显示诸如“向特定端口输出”、“抛弃”和“重写头部”等操作。例如，如果在流条目的动作中显示输出端口的标识数据(输出端口号等)，则向与动作相对应的输出端口输出分组，并且如果没有显示输出端口的标识数据，则抛弃分组。或者，如果在流条目的动作中显示头部数据，则交换机基于该头部数据来重写分组的头部。
[0036]开放流网络中的交换机对符合流条目的规则的分组群组(分组序列)执行流条目的动作。
[0037]开放流技术的细节在非专利文献I中描述。
[0038]应当注意，在交换机的发送端口存在多个发送队列。在交换机的发送端口中，传送情况下诸如最小速率、最大速率和优先级等的行为基于队列的类型来确定，并且其可以用于QoS控制。
[0039]而且，在流表的流条目中定义要与分组的头部数据(源IP地址、目的地IP地址、协议、TCP/UDP源端口号、TCP/UDP目的地端口号)进行比较的匹配条件。头部数据用于将发送端口和发送队列确定为当分组与匹配条件相匹配时的动作。
[0040]而且，作为通过将流分类为类别并且指派优先级而控制QoS的方法，非专利文献2中描述的“DifTServ”(区别化服务)是公知的。
[0041][第一不例性实施方式]
[0042]在下文中，将参考附图描述本发明的第一示例性实施方式。
[0043](配置)
[0044]如图1所示，根据本发明的网络系统包含用户终端10、交换机20(20_i，i = I到η)、控制器30和服务器40。
[0045]用户终端10是由用户使用的输入/输出处理器，其生成并且向服务器40发送分组。[0046]交换机20(20_i，i = I到η)中的每一个基于注册到其自己的流表上的流条目来传送所接收的分组。交换机20(20_i，i = I到η)中的每一个通过网络连接。在这种情况下，当不存在与所接收的分组相对应的流条目时，交换机20向控制器30通知接收分组作为第一分组(未注册的新分组)，并且请求对接收分组的条目注册。
[0047]此处，在交换机20-1与交换机20-2之间存在外部网络A和外部网络B的多个外部网络。
[0048]控制器30响应于来自交换机20 (20-1，i = I到η)中任一个的第一分组的接收通知而计算路由，并且将流条目注册到与路由相关的交换机的流表中。
[0049]服务器40是通过网络向用户终端10提供服务并且接收分组的服务器。
[0050](硬件的举例)
[0051]作为用户终端10的示例，假设控制器30和服务器40，诸如PC (个人计算机)的计算机、设备、瘦客户端终端/服务器、工作站、主机、超级计算机。而且，用户终端10、控制器30或者服务器40可以是建立在物理机器上的计算机和虚拟机(VM)上安装的扩展板。
[0052]应当注意，用户终端10可以是便携式电话、智能电话、智能书、汽车导航系统、携带式游戏机、家庭用游戏机、携带式音乐播放器、手持终端、小工具(电子设备)、交互式TV、数字调谐器、数字记录器、数据家庭电子设备(数据家庭设备)、OA(办公室自动化)设备等。而且，用户终端10可以安装在移动体上，移动体诸如车辆、船和飞行器。
[0053]作为交换机20(20_i，i = I到η)的示例，网络交换机、路由器、代理、网关、防火墙、负载均衡器(负载分布装置)、带控制装置(分组封装器)、安全监控和控制设备(SCADA:监视控制域数据采集)、网守、基站、接入点(AP:接入点)、通信卫星(CS)或者具有多个通信端口的计算机等等被举例。而且，交换机20(20-1，i = I到η)可以是虚拟交换机。
[0054]虽然没有示出，但是用户终端10、交换机20(204，1 = I到η)、控制器30和服务器40中的每一个由基于程序驱动以执行预定过程的处理器、存储程序和所有种类的数据的存储器以及用于与网络连接的通信接口来实现。
[0055]作为以上提到的处理器的示例，CPU(中央处理单元)、微处理器、微控制器、具有专用功能的半导体集成电路(1C:集成电路)等等被举例。
[0056]作为以上提到的存储器的示例，举例说明RAM(随机存取存储器)、ROM(只读存储器)以及诸如EEPROM(电可擦除可编程只读存储器)半导体存储器设备和闪速存储器、诸如HDD (硬盘驱动器)和SSD (固态驱动器)的辅助存储，或者诸如DVD (数字通用盘)的可移动盘、诸如SD存储器卡(安全数字存储器卡)的存储介质等等。
[0057]附带地，以上提到的处理器和以上提到的存储器可以是结合的。例如，近年来，已经开发了 1-芯片设备，诸如微计算机。因此，安装在电子设备等中的1-芯片微计算机的情况由处理器组成，并且考虑存储器。
[0058]作为以上提到的通信接口的示例，举例说明与网络通信相对应的衬底(诸如母板和I/o板)等，诸如芯片的半导体集成电路，诸如NIC(网络接口卡)的网络适配器和类似的扩展卡，诸如天线的通信单元，诸如连接口(连接器)的通信端口等等。
[0059]而且，作为网络的示例，举例说明因特网、LAN(局域网)、无线LAN(WirelessLAN)、WAN(广域网)、骨干网、CATV线路、固定电话网络、移动电话网络、WiMAX (IEEE802.16a)、3G (第三代)、专用线路(专线)、IrDA (红外数据协会)、蓝牙(注册商标)、串行通信线路、数据总线等等。
[0060]用户终端10、交换机20(20_i，i = I到η)、控制器30和服务器40中每个结构元件可以是模块、组块、专用设备和启动(调用)程序。
[0061]然而，本发明实际上不限于这些示例。
[0062](控制器的详细配置)
[0063]控制器30配备有用户数据存储部分31、QoS策略存储部分32、拓扑数据存储部分33、流表存储部分34、用户认证部分35、QoS控制部分36、路由计算部分(路由控制部分)37、流表生成部分38和交换机控制部分39。
[0064]用户数据存储部分31预先(初步)存储用户数据。用户数据包含“用户名”、“密码”、“QoS策略”等，如图2所示。应当注意，“用户名”和“密码”仅是认证数据的示例。
[0065]QoS策略存储部分32存储QoS策略对应表。QoS策略对应表被表示为用户认证的“ IP地址”和“QoS策略”的对应，如图3所示。
[0066]拓扑数据存储部分33预先存储拓扑数据(网络的连接状态)。拓扑数据被表示为在链路的两端处连接的两个交换机的“交换机标识符”和“端口名”以及链路的“带宽”的集合,如图4所示。
[0067]流表存储部分34存储注册在交换机20 (20-1，i = I到η)上的流表和条目。如图5所示，流表的流条目利用分组的头部数据(“源IP地址”、“目的地IP地址”、“协议”、“TCP/UDP源端口号”、“TCP/UDP目的地端口号”、“DSCP值”)、表示动作的“发送端口”、端口的“发送队列”和用于重写的“DSCP值”来表示。
[0068]一般地，“DSCP (区别化服务代码点)值”是“ IP优先级”字段和“服务类型”字段
的组合。
[0069]用户认证部分35在连接到用户终端10时请求认证数据(用户名、密码等)，并且基于请求结果来搜索用户数据存储部分31，以便分配QoS策略。
[0070]QoS控制部分36将由用户认证部分35分配的QoS策略和用户终端10的IP地址彼此相关，并且将其存储在QoS策略存储部分32中。
[0071]路由计算部分37搜索拓扑数据存储部分33，并且基于QoS策略来确定路由，以使得具有高优先级的流例如通过具有高合约带的IP网络41。
[0072]流表生成部分38生成到输入的流的路由上的交换机20 (20-1, i = I到η)的流表、路由和QoS策略，并且将注册状态存储在流表存储部分34中。
[0073]交换机控制部分39与交换机20(20_i，i = I到η)通信，并且执行来自交换机20 (20-1，i = I到η)的通知的接收以及流表到交换机20 (20-1，i = I到η)的注册。
[0074](QoS控制处理)
[0075]接下来，将参考图6详细描述本示例性实施方式中的QoS控制。
[0076](I)步骤 Al
[0077]在与网络连接时，用户终端10发送分组。当接收到分组时，交换机20(20_i，i =I到η)通过使用接收分组的头部数据作为关键字来搜索流表存储部分34。如果流表中没有注册任何相应的流条目，则交换机将接收分组通知控制器30的交换机控制部分39。
[0078](2)步骤 Α2[0079]在接收到通知时，交换机控制部分39向QoS控制部分36传送分组。QoS控制部分36保留分组，并且作为关键字在QoS策略存储部分32中搜索源IP地址。
[0080](3)步骤 A3
[0081]QoS控制部分36搜索QoS策略存储部分32，以确认相应的IP地址是否存在。当作为QoS策略存储部分32的搜索结果存在相应的IP地址时，QoS控制部分36指定与IP地址相对应的QoS策略，并且向路由计算部分37传送所保留的分组。而且，当作为QoS策略存储部分32的搜索结果不存在相应的IP地址时，QoS控制部分由于用户的未认证而通知用户认证部分35。
[0082](4)步骤 A4
[0083]用户认证部分35向用户终端10请求认证数据(用户名、密码等)，基于请求结果执行认证，搜索用户数据存储部分31，并且确定QoS策略以向QoS控制部分36通知。
[0084](5)步骤 A5
[0085]QoS控制部分36将输入的QoS策略与所保留的分组的源IP地址彼此相关，将其记录到QoS策略存储部分32中，并且向路由计算部分37传送所保留的分组和QoS策略。
[0086](6)步骤 A6
[0087]路由计算部分37基于所输入的分组和QoS策略来搜索拓扑数据存储部分33，确定路由以使得具有高优先级的流通过例如具有高合约带的IP网络41，并且向流表生成部分38通知分组、QoS策略和路由数据。
[0088](7)步骤 A7
[0089]流表生成部分38根据所输入的分组、QoS策略和路由数据，来确定到网络A和网络B的发送方向中的交换机20 (20-1，i = I到η)的流表中的头部数据、发送端口、发送队列和用于重写的DSCP值。
[0090]而且，流表生成部分38根据DSCP值将交换机20 (20-1，i = I到η)的流表中的发送队列确定为从网络A和网络B的接收方向。
[0091]流表的具体实例如图5所示。
[0092]以这种方式，流表生成部分38生成往返的交换机20-1和交换机20_2的流表以传送交换机控制部分39。
[0093](8)步骤 A8
[0094]交换机控制部分39将输入的流表注册到路由上的各个交换机20 (20-1, i = I到η)上。
[0095]从而，路由上的每个交换机20(20_i，i = I到η)根据所注册的流表的流条目来执行传送。当接收到分组时，交换机20 (20-1, i = I到η)中的每一个参考相应的流表来发送来自基于路由而确定的端口的分组。
[0096]通过参考夹在网络A与网络B之间的交换机20(20_i，i = I到η)之间的DSCP值，通过“DiffServ”实现QoS控制。
[0097](本示例性实施方式的效果)
[0098]在本示例性实施方式中，因为可能由控制器确定路由以通过与用户的QoS策略相对应的网络，所以即使通信路由中存在多个外部网络，也可以在用户单元中执行QoS控制。
[0099]而且，在本示例性实施方式中，可能标识认证用户的流以执行DSCP值的标记，并且参考外部网络中的DSCP值来执行QoS控制。因此，即使在外部网络通过“DiffServ”提供QoS时，也可以在用户单元中执行QoS控制。
[0100](第二示例性实施方式)
[0101]下文中，将描述本发明的第二示例性实施方式。
[0102]第二示例性实施方式与第一示例性实施方式的不同之处在于通过外部通用认证服务器来执行用户认证以确定QoS策略。QoS的属性不在通用认证服务器中定义，而是具有对于供应商特定的属性，并且QoS策略可以包含在属性中。例如，VSA (供应商特定属性)在RADIUS(用户服务中的远程认证拨号)中准备，并且可以用作用户是属性。
[0103]参考图7，本示例性实施方式的网络系统包含用户终端10、交换机20 (20-1，i = I到η:η是交换机的数目)、控制器30、服务器40和认证服务器50。
[0104]用户终端10、交换机20 (20-1，i = I到η)、控制器30和服务器40与图1所示的
第一示例性实施方式中的基本相同。
[0105]在本示例性实施方式中第一示例性实施方式的控制器30中的用户认证的功能被分离作为独立的认证服务器50。
[0106](控制器的详细配置)
[0107]控制器30配备有QoS策略存储部分32、拓扑数据存储部分33、流表存储部分34、QoS控制部分36、路由计算部分37、流表生成部分38和交换机控制部分39。
[0108]QoS策略存储部分32、拓扑数据存储部分33、流表存储部分34、QoS控制部分36、路由计算部分37、流表生成部分38和交换机控制部分39与图1所示的第一示例性实施方式中的基本相同。
[0109](认证服务器的详细配置)
[0110]认证服务器50配备有用户数据存储部分51和用户认证部分55。
[0111]用户数据存储部分51与图1所示的第一示例性实施方式中的用户数据存储部分31基本上相同。也即，用户数据存储部分51预先存储用户数据。用户数据包含“用户名”、“密码”、“QoS策略”等，如图2所示。
[0112]用户认证部分55与图1所示的第一示例性实施方式的用户认证部分35基本上相同。也即，当连接到用户中观10时，用户认证部分55请求认证数据(用户名、密码等)，并且基于请求结果来搜索用户数据存储部分51，并且分配QoS策略。
[0113](QoS控制处理)
[0114]将参考图8详细描述本示例性实施方式的QoS控制处理。
[0115](I)步骤 BI
[0116]当用户终端10与网络连接时，用户终端发送分组。在接收到分组时，交换机20(20-1, i = I到η)通过使用接收分组的头部数据作为关键字来搜索流表存储部分34。如果没有注册与流表相对应的流条目，则交换机将所接收的分组通知控制器30的交换机控制部分39。
[0117]⑵步骤B2
[0118]当接收到通知时，交换机控制部分39向QoS控制部分36传送分组。QoS控制部分36保留所接收的分组，并且通过使用源IP地址作为关键字搜索QoS策略存储部分32。
[0119]⑶步骤B3[0120]QoS控制部分36通过QoS策略存储部分32的搜索来确认相应的IP地址是否存在。当作为QoS策略存储部分32的搜索结果，相应的IP地址存在时，QoS控制部分36指定与IP地址相对应的QoS策略，并且向路由计算部分37传送所保留的分组。而且，当作为QoS策略存储部分32的搜索结果，相应的IP地址不存在时，由于用户未认证，QoS控制部分36通知认证服务器50的用户认证部分55。
[0121](4)步骤 B4
[0122]用户认证部分55向用户终端10请求认证数据(用户名、密码等)，基于对请求的应答来执行认证，搜索用户数据存储部分51，并且基于供应商特有属性来确定QoS策略，以通知控制器30的QoS控制部分36。
[0123](5)步骤 B5
[0124]QoS控制部分36将QoS策略和所保留的分组的源IP地址的关系存储在QoS存储部分32中，并且向路由计算部分37传送所保留的分组和QoS策略。
[0125](6)步骤 B6
[0126]路由计算部分37基于所输入的分组和QoS策略来搜索拓扑数据存储部分33，确定路由，以使得具有高优先级的流通过例如具有高合约带宽的IP网络41，并且向流表生成部分38通知分组、QoS策略和路由数据。
[0127](7)步骤 B7
[0128]流表生成部分38基于所输入的分组、QoS策略和路由数据来确定到网络A和网络B的发送方向中的交换机20(20-1，i = l到η)的流表中的头部数据、发送端口、发送队列和用于重写的DSCP值。
[0129]而且，流表生成部分38基于DSCP值来确定从网络A和网络B的接收方向上的交换机20 (20-1, i = I到η)的流表中的发送队列。
[0130]流表的具体实例如图5所示。
[0131]以这种方式，流表生成部分38生成往返的交换机20-1和交换机20-2的流表，以用于向交换机控制部分39传送。
[0132]⑶步骤B8
[0133]交换机控制部分39将流表注册到路由上的各个交换机20 (20-1, i = I到η)上。
[0134]此后，路由上的交换机20(20_i，i = I到η)中的每一个根据所注册的流表的流条目来执行传送。当接收到分组时，交换机20 (20-1, i = I到η)中的每一个参考相应的流条目来发送来自根据路由确定的端口的分组。
[0135]通过参考DSCP值，通过“Diff Serv ”在夹在网络A与网络B之间的交换机20 (20-1，i = I到η)之间执行QoS控制。
[0136][其他示例性实施方式]
[0137]在本发明的第二示例性实施方式中，用户数据31和用户认证部分35与控制器30分离，从而作为独立的认证服务器50。实际上，有可能将其他组件与控制器30分离而作为独立的外部服务器。例如，QoS策略存储部分32和QoS控制部分36可以分离，作为独立的QoS服务器，并且拓扑数据存储部分33和路由计算部分37可以分离，作为独立的路径控制服务器。
[0138]<示例性实施方式之间的关系>[0139]需要注意，以上提到的示例性实施方式可以组合。例如，当其自身的用户数据31和用户认证部分35中没有相应的数据时，第一示例性实施方式的控制器30可以查询第二示例性实施方式的认证服务器50。而且，有可能利用第二示例性实施方式的控制器30和认证服务器50来代替第一不例性实施方式的控制器30。
[0140]〈总结〉
[0141]如上所述，在本发明中，当执行从用户终端到服务器的通信时，交换机接收第一分组，并且向外部控制器发出通知，并且控制器的用户认证部分确定去往用户的流的QoS策略。
[0142]当路由上存在多个网络A和网络B时，路由计算部分根据QoS策略和拓扑数据存储部分的拓扑数据来选择路由，以通过适当的IP网络。
[0143]在向所选择的IP网络发送分组的情况下，流表生成部分基于QoS策略生成流表，该流表执行将DSCP值标记到IP头部的DS (DiffServ)字段并且进行排队，并且流表生成部分将用于往返的流表注册到交换机上。
[0144]从而，交换机根据所注册的流表的QoS来执行分组传送，并且通过参考网络A和网络B中的IP头部的DS字段的DSCP值来执行通过“DiffServ”的QoS控制。
[0145]在本发明中，当用户终端连接到网络时，执行用户认证，并且根据QoS策略的通信可以成为可能。
[0146]而且，当通信路由上存在外部网络时，通过执行外部控制器对交换机的控制，标识用户的分组，并且进行标记，选择通信路由以通过适当的网络，可以在用户单元中执行QoS控制。
[0147]〈附记〉
[0148]可以按照以下方式来描述以上提到的示例性实施方式的部分或者全部。本发明不限于以下指定示例。
[0149](附记I)
[0150]一种网络系统，包括交换机，其与多个外部网络连接，并且具有功能:搜索用于一致地控制流的分组的、利用规则和动作定义的流表，并且对于条目中定义的规则相对应的接收分组执行条目中定义的动作；以及
[0151]控制器，其具有功能:从所述交换机接收分组的查询，并且将用于所述一致地控制分组的、利用规则和动作定义的条目注册到所述交换机的流表中，
[0152]其中所述控制器包括QoS控制部分，其具有功能:指定与分组相对应的QoS策略，所述QoS策略的查询从所述交换机接收；
[0153]路由计算部分，其具有功能:基于QoS策略和表示网络的连接状态的拓扑数据来选择与QoS策略相对应的外部网络，并且计算最优路由；
[0154]流表生成部分，其具有功能:根据所述分组、路由数据和QoS策略来确定路由上的交换机的发送端口和发送队列，并且生成所述流表的条目；以及
[0155]交换机控制部分，其具有功能:将所述条目注册到路由上的交换机的流表中。
[0156](附记2)
[0157]根据附记I所述的网络系统，其中流表生成部分具有功能:确定用于重写定义为发送方向中流表的条目中的规则的头部数据的DSCP值、被定义为条目中的动作的发送端口和发送队列，以及根据DSCP值来确定被定义为接收方向上的流表的条目中的动作的发送队列。
[0158](附记3)
[0159]根据附记I或2所述的网络系统，其中所述控制器还包括用户认证部分，其具有功能:当与分组相对应的QoS策略不存在时，向所述分组的发送源请求认证数目(用户名、密码等)，并且基于对所述请求的答复来确定对所述分组的发送源的QoS策略。
[0160](附记4)
[0161]根据附记I至3中任一项所述的网络系统，还包括与所述控制器连接的认证服务器，
[0162]其中所述认证服务器包括用户认证部分，其具有功能:当与分组相对应的QoS策略不存在时，向所述分组的发送源请求认证数据(用户名、密码等)，并且基于对所述请求的答复来确定对所述分组的发送源的QoS策略。
[0163](附记5)
[0164]一种控制器，包括:
[0165]QoS控制部分，其具有功能:指定与分组相对应的QoS策略，对所述QoS策略的查询从与多个外部网络连接的交换机接收；路由计算部分，其具有功能:基于QoS策略和表示网络的连接状态的拓扑数据来选择与所述QoS策略相对应的外部网络，并且计算最优路由；
[0166]流表生成部分，其具有功能:根据所述分组、路由数据和所述QoS策略来确定路由上的交换机的发送端口和发送队列，并且生成流表的条目；以及
[0167]交换机控制部分，其具有功能:将所述条目注册到所述路由上的交换机的流表中。
[0168]〈备注〉
[0169]虽然已经详细地描述了示例性实施方式，但是本发明不限于以上提到的示例性实施方式，不脱离本发明的范围的任何修改都包含在本发明中。
[0170]应当注意，本发明要求基于日本专利申请号JP2011-009720的约定的优先权。在此通过引用并入其公开内容。
【权利要求】
1.一种网络系统，包括: 交换机，所述交换机与多个外部网络连接，并且被配置为基于预先注册的流表的条目来执行对接收分组的处理；以及 控制器，所述控制器被配置为向所述交换机的所述流表注册利用规则和动作定义以用于由所述交换机一致地控制流的分组的所述条目， 其中所述控制器对流分类，当从所述交换机接收到对分组的查询时基于所述分组来执行对所述分组的发送源的用户认证，基于所述用户认证的结果来确定QoS类别，基于所述网络的连接状态和带宽来确定通信路由以便通过与所述发送源的所述QoS类别相对应的外部网络，基于所述QoS策略来生成利用所述规则和所述动作定义以用于由所述交换机一致地控制所述流的所述分组的所述条目，并且向所述交换机的所述流表注册所述条目。
2.根据权利要求1所述的网络系统，其中所述控制器包括: 用于指定与所述分组相对应的所述QoS策略的装置，对所述分组的所述查询从所述交换机被接收； 用于基于所述QoS策略和示出所述网络的所述连接状态的拓扑数据来选择与所述QoS策略相对应的所述外部网络、并且计算最优路由的装置； 用于根据所述分组、所述路由的数据和所述QoS策略来确定所述路由上的所述交换机的发送端口和发送队列、并且生成所述流表的所述条目的装置；以及用于向所述路由上的所述交换机的所述流表注册所述条目的装置。
3.根据权利要求2所述的网络系统，其中所述控制器还包括: 用于标识经认证的所述发送源的所述流，针对每个流而确定所述路由上的所述交换机中的所述发送端口、所述发送队列和经掩码的DSCP值，并且生成所述流表的所述条目的装置。
4.根据权利要求3所述的网络系统，其中所述控制器还包括: 用于确定用于重写被定义为发送方向上的所述流表的所述条目中的所述规则的头部数据的所述DSCP值以及被定义为所述条目中的动作的所述发送端口和所述发送队列的装置；以及 用于根据所述DSCP值来确定被定义为接收方向上的所述流表的所述条目中的所述动作的所述发送队列的装置。
5.根据权利要求1至4中任一项所述的网络系统，其中所述控制器还包括: 用于当与所述分组相对应的所述QoS策略不存在时向所述分组的所述发送源请求认证数据的装置；以及 用于基于对所述请求的应答结果来确定对所述分组的所述发送源的所述QoS策略的>J-U ρ?α装直。
6.根据权利要求1至5中任一项所述的网络系统，还包括与所述控制器连接的认证服务器， 其中所述认证服务器在与对其的查询从所述控制器被接收的所述分组相对应的所述QoS策略不存在时向所述分组的所述发送源请求认证数据，基于对所述请求的应答结果来确定对所述分组的所述发送源的所述QoS策略，并且向所述控制器发出通知。
7.—种控制器，包括:用户认证部分，被配置为在从与多个外部网络连接的交换机之中的、基于预先注册的流表来执行对接收分组的处理的交换机接收到对分组的查询的情况下，基于所述分组来执行对所述分组的发送源的用户认证； QoS控制部分，被配置为基于所述用户认证的结果来确定QoS类别； 路由计算部分，被配置为基于网络的连接状态和带宽来确定通信路由，以便通过与经认证的所述发送源的所述QoS类别相对应的外部网络； 流表生成部分，被配置为基于QoS策略来生成利用规则和动作定义以用于由所述交换机一致地控制流的分组的条目；以及 交换机控制部分，被配置为向所述交换机的所述流表设置所述条目。
8.根据权利要求7所述的控制器，其中所述QoS控制部分指定与所述分组相对应的所述QoS策略,对所述分组的查询从所述交换机被接收， 其中所述路由计算部分基于所述QoS策略和示出网络的所述连接状态的拓扑数据来选择与所述QoS策略相对应的外部网络，并且计算最优路由， 其中所述流表生成部分基于所述分组、所述路由数据和所述QoS策略来确定路由上的所述交换机的发送端口和发送队列，并且生成所述流表的所述条目，以及 其中所述交换机控制部分向所述路由上的所述交换机的所述流表注册所述条目。
9.根据权利要求8所述的控制器，其中所述流表生成部分标识经认证的发送源的流，并且针对每个流而确定所述路由上的所述交换机中的所述发送端口、所述发送队列和经掩码的DSCP值。
10.根据权利要求9所述 的控制器，其中所述流表生成部分确定用于重写被定义为发送方向上的所述流表的所述条目中的所述规则的头部数据的DSCP值、被定义为所述条目中的操作的所述发送端口和所述发送队列，并且基于所述DSCP值来确定被定义为去往接收方向的所述流表的所述条目中的所述操作的所述发送队列。
11.一种由控制器执行的QoS控制方法，包括: 在从与多个外部网络连接的交换机之中的、基于预先注册的流表的条目来执行对接收分组的处理的交换机接收到对分组的查询的情况下，基于所述分组对所述分组的发送源执行用户认证； 基于所述用户认证的结果来确定QoS类别； 基于网络的连接状态和带宽来确定通信路由，以通过与经认证的所述发送源的所述QoS类别相对应的外部网络； 基于确定的所述通信路由来生成利用规则和动作定义以用于由所述交换机一致地控制所述流的分组的条目；以及 向所述交换机的所述流表注册所述条目。
12.—种在其中存储有程序的记录介质，所述程序使计算机执行: 在从与多个外部网络连接的交换机之中的、基于预先注册的流表的条目来执行对接收分组的处理的交换机接收到对分组的查询的情况下，基于所述分组来执行对所述分组的发送源的用户认证； 基于所述用户认证的结果来确定QoS类别； 基于网络的连接状态和带宽来确定通信路由，以通过与经认证的所述发送源的所述QoS类别相对应的外部网络； 基于QoS策略来生成利用规则和动作定义以用于由所述交换机一致地控制流的分组的条目；以及 向所述交换机的所述流表注册所 述条目。
【文档编号】H04L12/725GK103430495SQ201180065623
【公开日】2013年12月4日 申请日期:2011年12月5日 优先权日:2011年1月20日
【发明者】江原广治 申请人:日本电气株式会社