数据传送系统、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质的制作方法【
技术领域:
】[0001]本发明涉及数据传送系统、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质。[0002]本申请主张2014年8月27日申请的日本专利申请第2014-173153号的优先权,在这里引用其内容。【
背景技术:
】[0003]通常,构成网络的网络设备(例如交换机)具备访问控制列表(ACL-AccessControlList),参照该访问控制列表的内容进行数据的传送控制。在上述访问控制列表中,无论网络的具体结构如何,都能够设定抽象内容(例如,发送目标的地址、软件的端口编号等)。这种访问控制列表的内容能够通过例如Linux(注册商标)的命令“iptables”进行设定。[0004]近年来,为了能够实现复杂的传送控制、灵活的网络结构的变更,使用了被称为开放流(OpenFlow)的技术。开放流是基于通过编程来控制网络的“Software-DefinedNetwork”这样的理念而开发的技术。对于该开放流而言,使构成网络的网络设备分离为路径控制设备(0FC:0penFlowController)和数据传送设备(0FS:0penFlowSwitch),路径控制设备集中管理设置于数据传送设备的流表(FlowTable),由此进行传送控制。[0005]这里,上述开放流中使用的流表能够对前述的访问控制列表进行记述。流表是对将进行传送控制的条件(match)、符合条件的情况下应当实施的处理(Act1n)等相关联的信息进行存储的表。日本特开2007-74383号公报中公开有参照访问控制列表进行传送控制的现有技术的一个例子。[0006]但是,在车间(plant)这样的被称为关键基础设施的环境中,为了确保安全性,存在要严密地控制经由网络而进行的通信的要求。例如,要求使用白名单(whitelist)的控制。在使用该白名单的控制中,基本上拒绝所有通信,仅容许明确指示的特定设备之间的特定应用的通信。[0007]这里,如前所述,使用访问控制列表进行传送控制的网络设备(以下,称为“现有的网络设备”),能够将发送目标的地址等抽象内容设定于访问控制列表中。因此,即使网络管理者未掌握网络的具体结构,也能够将访问控制列表制作成白名单而进行严密的传送控制。[0008]但是,现有的网络设备中的访问控制列表的设定,必须使用依赖于网络设备的供应商、机种的命令而进行。因此,在由各种各样的供应商提供的网络设备混用的网络中,必须使用与设定对象的网络设备相适应的命令而进行访问控制列表的设定。因此,存在如下问题,即,需要繁琐的管理,难以适时地进行严密的传送控制。[0009]对此,依据前述的开放流标准的网络设备,能够利用统一的协议进行流表的设定。因此,可以认为,无需使用依赖于网络设备的机种的命令,使管理简单化,因此,即使是由各种各样的供应商提供的网络设备混用的网络,也能够适时地进行严密的传送控制。[0010]但是,流表必须基于网络的具体结构来记述。例如,在符合传送控制的条件的情况下应当实施的处理(Act1n)是数据的发送(输出)的情况下,需要在流表中对输出该数据的数据传送设备的物理端口进行记述。因此,存在如下问题,即,如果网络管理者未预先掌握网络的具体结构(具体的连接状况),则无法制作流表。[0011]在此基础上,在针对由现有的网络设备构成的网络而将依据开放流标准的网络设备引入的情况下,能够想到现有的网络设备和依据开放流标准的网络设备混用的状况。[0012]在这种状况下,针对每一个网络设备分别需要不同的管理,因此存在管理变得更加繁琐的问题。【
发明内容】[0013]—种数据传送系统,具备:交换机,其参照使得表示针对接收的数据的条件的第1信息、和表示符合该条件的情况下应当实施的处理的第2信息相关联的表,从发送源向发送目标传送数据;以及控制装置,其将临时表设定于所述交换机中,该临时表存储有用于将符合由所述第1信息表示的条件的数据输出至控制装置的所述第2信息,获取表示所述发送源和所述发送目标之间的路径的路径信息,将所述临时表更新为基于所述路径信息而对符合由所述第1信息表示的条件的数据的输出目的地进行了变更的表。【附图说明】[0014]图1是表示本发明的第1实施方式所涉及的数据传送系统的要部结构的框图。[0015]图2是表示在本发明的第1实施方式中使用的临时的流表的一个例子的图。[0016]图3是表示在本发明的第1实施方式中使用的流表的一个例子的图。[0017]图4是表示本发明的第1实施方式所涉及的数据传送系统的动作的一个例子的时序图。[0018]图5是对应用了本发明的第1实施方式所涉及的数据传送系统的过程控制系统进行说明的图。[0019]图6是表示本发明的第2实施方式所涉及的数据传送系统的要部结构的框图。[0020]图7是表示本发明的第2实施方式所涉及的由转换器执行的流表以及访问控制列表的制作处理的图。[0021]图8是表示在本发明的第3实施方式所涉及的数据传送系统中使用的0FS的要部结构的框图。[0022]图9是表示在本发明的实施方式所涉及的数据传送系统中使用的0FS的变形例的图。【具体实施方式】[0023]参照附图并根据以下所述的实施方式的详细说明,使得本发明的其他特征及方式变得更加明朗。[0024]参照优选的实施方式对本发明的实施方式进行说明。本领域技术人员能够利用本发明的教导而实现本实施方式的多种替代手段,本发明不限定于这里说明的优选的本实施方式。[0025]本发明的方式提供即使网络管理者未预先掌握网络的具体结构、或者在运用过程中更换了具体的构成设备,也能够适时地进行严密的传送控制的数据传送系统、数据传送方法、控制装置、控制方法以及非临时性计算机可读存储介质。[0026]以下,参照附图对本发明的实施方式所涉及的数据传送系统及方法进行详细说明。[0027][第1实施方式][0028]图1是表示本发明的第1实施方式所涉及的数据传送系统的要部结构的框图。如图1所示,本实施方式的数据传送系统1具备0FS(0penFlowSwitch:传送装置)11、12、以及0FC(0penFlowController:控制装置)2(L0FC20具备设定部21、获取部22、更新部23。在0FC20的控制下,0FS11、12将从发送源发送来的数据向发送目标传送。在图1中,为了易于理解,示出了具备2个0FS1U12的数据传送系统1,但设置于数据传送系统1中的0FS的数量是任意的。[0029]下面,为了易于理解,将主机H1设为数据的发送源,将主机H2设为数据的发送目标。主机H1是被分配了“10.0.0.9”的IP(InternetProtocol)地址的DNS(DomainNameSystem)客户端。主机H2是被分配了“10.0.0.1”的IP地址的DNS服务器。这些主机H1、H2例如由笔记本式计算机、台式计算机、平板式计算机、其他计算机而实现。[0030]0FS11、12具备多个物理端口P1?P12。0FS11及0FS12在0FC20的控制下进行接收到的数据的传送处理。具体而言,0FS11、12将利用0FC20集中管理的流表(FlowTable)TBl、TB2(表:参照图2、图3)存储于存储器(未图示)。0FS11及0FS12参照流表TB1、TB2并利用传送部(未图示)进行数据的传送。在后文中对流表TB1、TB2进行详细叙述。[0031]如图1所示,主机H1与0FS11的物理端口P1连接,主机H2与0FS12的物理端口P6连接,0FS11的物理端口P12和0FS12的物理端口P7互相连接。由此,在主机H1和主机H2之间构建成数据传送用的网络Nl。0FS11、12经由不同于物理端口P1?P12的控制端口(省略图示)而与0FC20连接。由此,构建成开放流控制用的网络N2。设置于0FS11、12上的物理端口的数量是任意的。[0032]0FC20集中管理在0FS11,12中使用的流表TB1、TB2,由此进行经由网络N1而传送的数据的传送控制。具体而言,在主机H1、H2之间的路径不明的情况下,0FC20的设定部21将存储于存储器(未图示)的临时的流表ΤΒ0(临时表:参照图2)作为流表TB1、TB2而分别设定于0FS11、12中,并利用控制部(未图示)进行数据的传送控制。在0FC20的获取部22获得了表示主机H1、H2之间的路径的路径信息的情况下,0FC20的更新部23将临时的流表ΤΒ0更新为基于该路径信息而对内容进行了更新的流表TB1、TB2(参照图3),由此进行数据的传送控制。0FC20以该方式进行临时的流表ΤΒ0的设定及更新的理由在于,即使网络管理者未预先掌握网络N1的具体结构,0FC20也适时地进行白名单式的严密的传送控制。[0033]下面,对由0FC20管理的流表进行说明。图2是表示在本发明的第1实施方式中使用的临时的流表的一个例子的图。图3是表示在本发明的第1实施方式中使用的流表的一个例子的图。如图2、图3所示,在临时的流表ΤΒ0以及流表TB1、TB2中,针对每一个由条目编号(ID)确定的条目,设置有存储优先级(Pr1rity)的字段、存储进行传送控制的条件(match:第1信息)的字段、以及存储符合条件的情况下应当实施的处理(Act1n:第2信息)的字段。上述的优先级用于设定条目的优先级。越是存储了值较大的优先级的条目,越优先处理。[0034]在图2所例示的临时的流表ΤΒ0中,设置有优先级设定为“1000”的2个条目。在ID为“1”的条目中,作为条件及处理而分别存储有以下信息。[0035][条件][0036].发送源地址(SADDR)=“any(任意)”[0037].发送目标地址(DADDR)=“10.0.0.1”[0038].协议(PROTOCOL)=“UDP(UserDatagramProtocol),,[0039]?发送源的端口编号(SPORT)=“any”[0040].发送目标的端口编号(DP0RT)=“53(DNS中使用的端口编号)”[0041][处理][0042].0utput[0043]?物理端口(Port)=“Ctrl”[0044]在ID为“2”的当前第1页1 2 3 4 5