1]现将参考附图描述本发明的优选模式的概述。需要注意的是,在概述中使用符号,仅作为帮助进行理解的示例而不意图将本发明限制为所示模式。
[0042]在一个模式中,本发明可通过控制装置10和通信节点20A实现,如图1所示。响应于来自通信节点20A的在其中设置流条目的请求,控制装置10在相关通信节点中设置规定将要应用于接收分组的处理的流条目。通信节点查阅由控制装置10设置的流条目,以处理分组。
[0043]更具体地,通信节点20A包括能够保存流条目(或多个流条目)的条目存储器21A,查阅条目存储器21A以处理接收分组的分组处理器22A,以及请求抑制单元23A。在请求控制装置设置流条目后,以分组接收为契机,请求抑制单元23A进行操作以在预设时间内抑制流条目设置请求,该所抑制的流条目设置请求涉及与向预设控制装置做出流条目设置请求所针对的分组具有共同特征的分组。
[0044]为抑制请求抑制单元23A做出流条目设置请求,可以使用在条目存储器21A中设置流条目这一方法,例如,如图2所示。在该第二流条目中,匹配条件与丢弃跟该匹配条件相符的分组的指令相关,所述匹配条件用于捕捉与控制装置100被请求设置流条目所针对的分组具有相同或共同特征的分组。匹配条件可以是,例如,如果已请求设置涉及发送目的地为服务器A的分组的流条目,则目的IP地址=服务器A的IP地址。为了在某预设时间过后终止对流条目设置请求的抑制,可以使用以下方案:在该方案中,测量从在图2示出的流条目中设置第二控制信息条目的时间开始已过去的时间段,并且在所测量时间段过后,删除第二控制信息条目。
[0045]此外,取代设置第二控制信息条目,可以使用请求抑制单元23A对发自分组处理器22A的流条目设置请求进行筛选的这一实现。或者,可以使用以下实现:在该实现中,提供对已做出的流条目设置请求所针对的分组的特征进行保存的高速缓冲器(如下文所述),以抑制流条目设置请求。
[0046]示例性实施例1
[0047]现将参考附图描述本发明的示例性实施例1。图3示出了本发明示例性实施例的配置。图3中示出了与通信节点B和通信节点C相连的通信节点20、以及通过图3虚线所示安全信道来控制通信节点20的控制装置10。
[0048]控制装置10是通过在通信节点的流表中设置流条目来控制通信节点20的这种装置。非专利文献I和2中公开的OpenFlow控制器可被用作这种控制装置的示例。
[0049]通信节点20包括流表21、分组处理器22、控制器23和安全信道连接单元25。除了非专利文献I和2中的OpenFlow交换机,这种通信节点20还可以是,例如,具有对输入到高顺序(higher order)应用层或从高顺序应用层输出的分组加以处理的功能的个人计算机或智能手机。
[0050]流表21是保存流条目(或多个流条目)的这种表,其中在流条目中,用于标识正被处理的分组的匹配条件与跟该匹配条件相符的分组相关。
[0051]图4示出了将被流表21保存的示例性流条目。在图4示出的示例性流条目中,优先级、匹配条件和指令作为处理内容彼此相关。所提到的“优选级”用于在多个流条目的每一个流条目的匹配条件与接收分组相符的情况下选择流条目。例如,在图4的情况下,如果通信节点20接收传输源IP地址为服务器B的IP地址以及发送目的地为服务器B的分组,则进行搜索,其结果是最上方字段的“高优先”流条目,且最下方字段为“匹配条件=任意全部”的流条目被选择为候选。在这种情况下,将这二者的优先级相互比较,选择具有“高优先级”的最上方流条目。另一方面,如果通信节点20接收发送目的地为服务器A的分组,则选择图4的流表21中的最下方字段流条目,并且向控制装置10做出设置流条目的请求(OFC ( = OpenFlow 控制器)输出)。
[0052]通过查阅存储有上述流条目的流表21,分组处理器22处理接收分组。
[0053]现假设分组处理器22在安全信道连接单元25上向控制装置10做出多个流条目设置请求。在这种情况下,控制器23在流表21中设置使分组被丢弃的流条目,至少与向控制装置10做出的流条目设置请求所针对的流条目(图6中最下方的“低优先级”流条目)相比,所丢弃的分组具有更高的优先级,并且与向控制装置10做出的流条目设置请求所针对的分组具有共同特征。可在该流条目中设置超时值,使得在预设时间过后自动删除流条目。
[0054]安全信道连接单元25执行向控制装置10发送流条目设置请求的处理或者从控制装置10接收流条目设置消息以将接收到的消息传递至控制器23的处理。需要注意的是,非专利文献2中公开的OpenFlow协议可用于在通信节点20和控制装置10之间交换控制消息或请求。
[0055]尽管图3中未示出通信节点B、C的具体组件,这些通信节点B、C的组件可与通信节点20的组件相同。
[0056]现将参见附图详细描述本示例性实施例的操作。图5示出了对本发明示例性实施例I中通信节点20在接收分组时的操作进行示出的流程图。参考图5,通信节点20查阅流表21以搜索与接收分组具有相符的匹配条件的高顺序(高优先级)流条目(步骤S001)。如果找到该高顺序(高优先级)流条目,则通信节点执行在流条目的指令字段中规定的处理内容,例如在特定端口转发分组或者首部重写(步骤S002)。
[0057]如果流表21的搜索结果是没有找到高顺序(高优先级)流条目,则通信节点20递增在例如控制器23中设置的计数器(步骤S003)。
[0058]然后,通信节点20判决计数器值是否超过预设值(步骤S004)。如果计数器值不超过预设值(步骤S004,否),则通信节点20向控制装置10发送接收分组以请求控制装置设置流条目(步骤S005)。
[0059]如果计数器值超过预设值(步骤S004,是),则通信节点20在流表21中注册流条目设置请求抑制流条目(对流条目设置请求进行抑制的流条目)(步骤S006)。需要注意的是,在预设时间过后或者当没有做出流条目设置请求的状态已经持续了预设时间时,清除计数器值。
[0060]图6示出了流表,在该流表中,根据本发明示例性实施例1的通信节点的控制器注册了示例性的设置请求抑制流条目(如虚线所示)。例如,如果在流表21中没有设置具有与从服务器A接收的分组相符的匹配条件的高顺序流条目,则通信模块20将计数器递增,并请求控制装置10设置流条目。然后,如果在从控制装置10发送用于处理接收自服务器A的分组的流条目前,已从服务器A接收预设数量的分组,则通信节点20设置图6的流表的上数第二行处示出的流条目。如图所示,该流条目是指示丢弃传输源IP地址为服务器A的分组的流条目(设置请求抑制流条目)。通过这种方式,在一定时间内执行对其传输源IP地址为服务器A的IP地址的分组进行丢弃的处理。当然,如果接收分组是属于不同流的分组,例如,其传输源IP地址为服务器B的IP地址的分组,则根据图6最上方的流条目,转发该分组。如果接收分组是传输源IP地址为服务器C的未知分组,则该分组是设置请求抑制流条目的目标分组,并且在清除计数器之时前保存如此。此后,丢弃该分组。
[0061]图7示出了示出本发明示例性实施例1的全局操作的顺序图。例如,如果从传输源装置(例如另一个通信节点、终端或服务器)接收到在流表21中缺少对应流条目的新分组,则通信节点20请求控制装置10设置流条目(图7的分组入(Packet-Ιη))。
[0062]然后,如果计数器的计数值超过预设值,则通信节点20在流表21中注册流条目,所述流条目使得已向控制装置10请求的流条目设置中的每个流条目设置所针对的那些分组被丢弃(设置请求抑制流条目)。然后,即使通信节点20应当接收已做出的流条目设置请求所针对的分组,通信节点也基于设置请求抑制流条目,使这些分组被丢弃。这对流条目设置请求进行抑制持续某个时间间隔。然后,如果从控制装置10发送流条目设置消息,则通信节点20在流表21中设置流条目。然后,根据从控制装置10发送的流条目处理分组,以便将其转发给目的装置。
[0063]在上述主题示例性实施例中,可以降低向控制装置10发出流条目设置请求的频率,以对安全信道形成压力。此外,可以抑制控制装置10上针对每个通信节点的负载,从而能够增加可被控制装置10处理的通信节点的数量。
[0064]此外,在上述示例性实施例1中,通过使用计数器,可以实现预设次数的流条目设置请求,从而即使因某些或其他原因没有流条目设置请求到达控制装置10,通过第二次请求、第三次请求等等,请求也可到达控制装置10。通过实现上述内容,还可以在控制装置10中设置针对包括多个分组的集合的流条目。
[0065]当然,如果上述预防措施是不必要的,则对于计数器初始值为O的情形,用于与计数器的计数值相比较的值可被设置为I。在这种情况下,从下一次分组开始,丢弃曾经做出的流条目设置请求所针对的分组,从而明显地降低了施加在控制装置10上的负载。
[0066][示例性实施例2]
[0067]以下将参考附图描述对上述示例性实施例1加以修改的示例性实施例2。在本发明主题示例性实施例2中,取代在流