• ポートフォリオ機能


ポートフォリオを新規に作成して保存
既存のポートフォリオに追加保存

  • この表をプリントする
PDF PDFをダウンロード
審決分類 審判 査定不服 2項進歩性 取り消して特許、登録 H04L
管理番号 1376253
審判番号 不服2020-9950  
総通号数 261 
発行国 日本国特許庁(JP) 
公報種別 特許審決公報 
発行日 2021-09-24 
種別 拒絶査定不服の審決 
審判請求日 2020-07-16 
確定日 2021-08-03 
事件の表示 特願2019-505173「パケット監視」拒絶査定不服審判事件〔平成30年 2月 8日国際公開、WO2018/024187、令和 1年 8月22日国内公表、特表2019-523608、請求項の数(14)〕について、次のとおり審決する。 
結論 原査定を取り消す。 本願の発明は、特許すべきものとする。 
理由 第1 手続きの経緯
本願は,2017年(平成29年)8月1日(パリ条約による優先権主張外国庁受理2016年8月1日,中国)を国際出願日とする出願であって,その手続の経緯は以下のとおりである。

令和元年11月18日付 拒絶理由通知
令和2年 2月26日 意見書,手続補正
令和2年 3月11日付 拒絶査定
令和2年 7月16日 審判請求,手続補正

第2 原査定の概要

原査定(令和2年3月11日付拒絶査定)の概要は次のとおりである。

本願請求項1-14に係る発明は,引用文献1に記載された発明および周知技術に基づいて,当業者であれば容易になし得たものであるから,特許法第29条第2項の規定により特許を受けることができない。

<引用文献等一覧>
1.中国特許出願公開第104618194号明細書

第3 本願発明

本願の請求項1ないし14に係る発明(以下,「本願第1発明」ないし「本願第14発明」という。)は,令和2年 7月16日の手続補正書により補正された以下のとおりの特許請求の範囲の請求項1ないし請求項14に記載された事項により特定されるとおりの発明である。

「【請求項1】
パケット監視方法であって,
仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイント(VTEP)が,パケットを受信するステップと,
前記パケットがローカルの被監視ホストからのユーザパケットである場合,前記VTEPが,前記パケットとマッチする第1フォワーディングエントリに基づいて,前記VTEPが,ミラーパケットを取得するために,該パケットをミラーリングし,前記VTEPが,VXLANパケットを取得するために,監視サーバの識別子を用いて前記ミラーリングパケットをVXLANカプセル化し,前記VTEPが,前記VXLANパケットを監視サーバがアクセスしたリモートVTEPに送信するか,あるいは,前記ミラーリングパケットを前記VTEPにローカルにアクセスする前記監視サーバに送信するステップと,
前記パケットがローカルホストから前記被監視ホストに送信したユーザパケットである場合,前記パケットとマッチする第2フォワーディングエントリに基づいて,前記VTEPが,ミラーパケットを取得するために,該パケットをミラーリングし,前記VTEPが,VXLANパケットを取得するために,監視サーバの識別子を用いて前記ミラーリングパケットをVXLANカプセル化し,前記VTEPが,VXLANパケットを監視サーバがアクセスしたリモートVTEPに送信するか,あるいは,前記VTEPが,前記ミラーリングパケットを前記VTEPにローカルにアクセスする前記監視サーバに送信するステップと,
前記パケットがリモートVTEPからのVXLANパケットであり,且つ前記監視サーバの識別子が付加される場合,前記VTEPは,前記パケットとマッチする第3フォワーディングエントリに基づいて,前記VXLANパケットをデカプセル化した後,前記VTEPが,デカプセル化したパケットを前記VTEPにローカルにアクセスする前記監視サーバに送信するステップと,
を含むことを特徴とする方法。
【請求項2】
前記ローカルの被監視ホストからのユーザパケットのソースアドレスは,前記第1フォワーディングエントリのマッチングルール中のパケットのソースアドレスと同一であり,
前記ローカルホストから前記被監視ホストに送信したユーザパケットの宛先アドレスは,前記第2フォワーディングエントリのマッチングルール中のパケットの宛先アドレスと同一であり,
前記VXLANパケットに付加された前記監視サーバの識別子は,前記第3フォワーディングエントリのマッチングルールにおける監視サーバの識別子と同一であることを特徴とする請求項1に記載の方法。
【請求項3】
前記被監視ホストがアクセスしたVTEPは,制御器から送信した監視配置情報を受信し,ローカルフォワーディングテーブルに前記第1フォワーディングエントリを配置し,
前記監視配置情報をすべてのリモートVTEPに送信するステップと,
前記被監視ホストがアクセスしていないVTEPは,リモートVTEPから送信した前記監視配置情報を受信し,ローカルフォワーディングテーブルに前記第2フォワーディングエントリを配置するステップと,
前記監視サーバがアクセスしたVTEPは,前記リモートVTEPから送信した前記監視配置情報を受信し,ローカルフォワーディングテーブルに前記第3フォワーディングエントリを配置するステップと,
を更に含み,
前記監視配置情報は,少なくとも,前記被監視ホストのアドレスと,前記被監視ホストが所属するVXLAN識別子と,前記監視サーバのアドレスと,前記監視サーバの識別子とを含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記VTEPは,前記被監視ホストが本VTEPに移入したことを検出した後,すべてのリモートVTEPに前記被監視ホストのアドレスを送信するステップと,
前記VTEPは,ローカルフォワーディングテーブルでマッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリを検索するステップと,
前記VTEPは,検索された第2フォワーディングエントリを,マッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリにアップデートするステップと,
を更に含むことを特徴とする請求項3に記載の方法。
【請求項5】
前記VTEPは,リモートVTEPから送信した被監視ホストのアドレスを受信した後,当該被監視ホストが本VTEPから移出したか否かを判断するステップと,
当該被監視ホストが本VTEPから移出した場合,
前記VTEPは,ローカルフォワーディングテーブルでマッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリを検索するステップと,
前記VTEPは,検索された第1フォワーディングエントリを,マッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリにアップデートするステップと,
を更に含むことを特徴とする請求項3に記載の方法。
【請求項6】
前記VTEPは,前記監視サーバが本VTEPに移入したことを検出した後,すべてのリモートVTEPに当該監視サーバのアドレスを送信するステップと,
前記VTEPは,当該監視サーバに対応する被監視ホストのアドレス及び当該監視サーバの識別子を確認するステップと,
前記VTEPは,ローカルフォワーディングテーブルでマッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリ,或いは,マッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリを検索するステップと,
前記VTEPは,検索された第1フォワーディングエントリ又は第2フォワーディングエントリの執行動作を,パケットをミラーリングして得たミラーリングパケットを前記監視サーバに送信することにアップデートするステップと,
前記VTEPは,ローカルフォワーディングテーブルに第3フォワーディングエントリを配置するステップと
を更に含み,
前記第3フォワーディングエントリにおけるマッチングルール中の監視サーバの識別子は,本VTEPに移入した当該監視サーバの識別子であることを特徴とする請求項3に記載の方法。
【請求項7】
前記VTEPは,リモートVTEPから送信した監視サーバのアドレスを受信した後,当該監視サーバに対応する被監視ホストのアドレス及び当該監視サーバの識別子を確認するステップと,
前記VTEPは,当該監視サーバが本VTEPから移出したか否かを判断するステップと,
前記監視サーバが本VTEPから移出した場合,
前記VTEPは,ローカルフォワーディングテーブルでマッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリ,或いは,マッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリを検索するステップと,
前記VTEPは,検索された第1フォワーディングエントリ又は第2フォワーディングエントリの執行動作を,パケットをミラーリングして得たミラーリングパケットのVXLANカプセル化を実行した後,VXLANパケットを当該監視サーバが移入したリモートVTEPに送信することにアップデートするステップと,
前記VTEPは,ローカルフォワーディングテーブルでマッチングルールにおいて当該監視サーバの識別子を含む第3フォワーディングエントリを検索し,当該第3フォワーディングエントリを削除するステップと,
前記監視サーバが本VTEPから移出していない場合,
前記VTEPは,ローカルフォワーディングテーブルでマッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリ,或いは,マッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリを検索するステップと,
前記VTEPは,検索された第1フォワーディングエントリ又は第2フォワーディングエントリの執行動作を,パケットをミラーリングして得たミラーリングパケットのVXLANカプセル化を実行した後,VXLANパケットを当該監視サーバが移入したリモートVTEPに送信することにアップデートするステップと,
を更に含むことを特徴とする請求項3に記載の方法。
【請求項8】
仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイントVTEPであって,
プロセッサと,
機械可読記憶媒体と,を含み,
前記機械可読記憶媒体には,前記プロセッサにより実行可能な機械実行可能命令が記憶されており,前記プロセッサは,前記機械実行可能命令により,
パケットを受信し,
前記パケットがローカルの被監視ホストからのユーザパケットである場合,マッチする第1フォワーディングエントリに基づいて,パケットをミラーリングした後,VXLANパケットを取得するために,監視サーバの識別子を用いてミラーリングパケットをVXLANカプセル化し,VXLANパケットを前記監視サーバがアクセスしたリモートVTEPに送信するか,あるいは,前記ミラーリングパケットを前記VTEPにローカルにアクセスする前記監視サーバに送信し,
前記パケットがローカルホストから前記被監視ホストに送信したユーザパケットである場合,マッチする第2フォワーディングエントリに基づいて,パケットをミラーリングした後,VXLANパケットを取得するために,監視サーバの識別子を用いてミラーリングパケットをVXLANカプセル化し,VXLANパケットを監視サーバがアクセスしたリモートVTEPに送信するか,あるいは,前記ミラーリングパケットを前記VTEPにローカルにアクセスする前記監視サーバに送信し,
前記パケットがリモートVTEPからのVXLANパケットであり,且つ前記監視サーバの識別子が付加される場合,マッチする第3フォワーディングエントリに基づいて,前記VXLANパケットをデカプセル化した後,デカプセル化したパケットをローカル監視サーバに送信する
ことを特徴とするVTEP。
【請求項9】
前記ローカルの被監視ホストからのユーザパケットのソースアドレスは,前記マッチする第1フォワーディングエントリのマッチングルールにおけるパケットのソースアドレスと同一であり,
前記ローカルホストから前記被監視ホストに送信したユーザパケットの宛先アドレスは,前記マッチする第2フォワーディングエントリのマッチングルールにおけるパケットの宛先アドレスと同一であり,
前記VXLANパケットに付加される前記監視サーバの識別子と,前記マッチする第3フォワーディングエントリのマッチングルールにおける監視サーバの識別子は,同一であることを特徴とする請求項8に記載のVTEP。
【請求項10】
前記プロセッサは,前記機械実行可能命令により,
前記VTEPが前記被監視ホストがアクセスしたVTEPとしてある場合,
制御器から送信した監視配置情報を受信して保存し,ローカルフォワーディングテーブルに前記第1フォワーディングエントリを配置し,前記監視配置情報をすべてのリモートVTEPに送信し,
前記VTEPが前記被監視ホストがアクセスしていないVTEPとしてある場合,
リモートVTEPから送信した前記監視配置情報を受信し,ローカルフォワーディングテーブルに前記第2フォワーディングエントリを配置し,
前記VTEPが,前記監視サーバがアクセスしたVTEPとしてある場合,
前記リモートVTEPから送信した前記監視配置情報を受信し,ローカルフォワーディングテーブルに前記第3フォワーディングエントリを配置し,
前記監視配置情報は,少なくとも,前記被監視ホストのアドレスと,前記被監視ホストが所属するVXLAN識別子と,前記監視サーバのアドレスと,前記監視サーバの識別子とを含むことを特徴とする請求項9に記載のVTEP。
【請求項11】
前記プロセッサは,前記機械実行可能命令により,
前記被監視ホストが本VTEPに移入したことを検出した後,すべてのリモートVTEPに前記被監視ホストのアドレスを送信し,
ローカルフォワーディングテーブルでマッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリを検索し,
検索された第2フォワーディングエントリを,マッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリにアップデートすることを特徴とする請求項10に記載のVTEP。
【請求項12】
前記プロセッサは,前記機械実行可能命令により,
リモートVTEPから送信した被監視ホストのアドレスを受信した後,当該被監視ホストが本VTEPから移出したか否かを判断し,
当該被監視ホストが本VTEPから移出した場合,
ローカルフォワーディングテーブルでマッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリを検索し,
検索された第1フォワーディングエントリを,マッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリにアップデートすることを特徴とする請求項10に記載のVTEP。
【請求項13】
前記プロセッサは,前記機械実行可能命令により,
前記監視サーバが本VTEPに移入したことを検出した後,すべてのリモートVTEPに当該監視サーバのアドレスを送信し,
当該監視サーバに対応する被監視ホストのアドレス及び当該監視サーバの識別子を確認し,
ローカルフォワーディングテーブルでマッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリ,或いは,マッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリを検索し,
検索された第1フォワーディングエントリ又は第2フォワーディングエントリの執行動作を,パケットをミラーリングして得たミラーリングパケットを前記監視サーバに送信することにアップデートし,
ローカルフォワーディングテーブルに第3フォワーディングエントリを配置し,
前記第3フォワーディングエントリにおけるマッチングルールにおける監視サーバの識別子は,本VTEPに移入した当該監視サーバの識別子であることを特徴とする請求項10に記載のVTEP。
【請求項14】
前記プロセッサは,前記機械実行可能命令により,
リモートVTEPから送信した監視サーバのアドレスを受信した後,当該監視サーバに対応する被監視ホストのアドレス及び当該監視サーバの識別子を確認し,
当該監視サーバが本VTEPから移出したか否かを判断し,
前記監視サーバが本VTEPから移出した場合,
ローカルフォワーディングテーブルでマッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリ,或いは,マッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリを検索し,
検索された第1フォワーディングエントリ又は第2フォワーディングエントリの執行動作を,パケットをミラーリングして得たミラーリングパケットのVXLANカプセル化を実行した後,VXLANパケットを当該監視サーバが移入したリモートVTEPに送信することにアップデートし,
ローカルフォワーディングテーブルでマッチングルール中の当該監視サーバの識別子を含む第3フォワーディングエントリを検索して削除し,
前記監視サーバが本VTEPから移出していない場合,
ローカルフォワーディングテーブルでマッチングルール中のパケットのソースアドレスが当該被監視ホストのアドレスである第1フォワーディングエントリ,或いは,マッチングルール中のパケットの宛先アドレスが当該被監視ホストのアドレスである第2フォワーディングエントリを検索し,
検索された第1フォワーディングエントリ又は第2フォワーディングエントリの執行動作を,パケットをミラーリングして得たミラーリングパケットのVXLANカプセル化を実行した後,VXLANパケットを当該監視サーバが移入したリモートVTEPに送信することにアップデートすることを特徴とする請求項10に記載のVTEP。」

第4 引用文献および引用発明

1 引用文献1の記載事項

原査定の拒絶理由に引用された引用文献1には,図面とともに次の事項が記載されている(下線は,当審が付加した。以下同様。)。


(当審訳:
技術分野

[0001] 本発明は通信技術分野に関し,特にソフトウェア定義ネットワークメッセージ監視方法とSDNコントローラ,交換装置に関する。

背景技術

[0002] SDN(Software Defined Network,ソフトウェア定義ネットワークの略)のトポロジーはSDNコントローラによって維持され,SDNスイッチング デバイス間の転送経路はトポロジーに従ってSDNコントローラによって計算され,ホスト間の転送フロー テーブルも,指定されたSDNスイッチング デバイスへと,SDNコントローラの制御下にある。SDNコントローラは,ホストによって送信されたメッセージまたはホストに送信されたメッセージがSDNパケットイン メッセージとしてカプセル化され,制御しているSDNコントローラに送信されている限り,ホスト上でリアルタイムのトラフィック監視を実行することもできる。SDNコントローラはメッセージの内容を一律に分析する。また,従来の監視プロトコル(サンプリングベースのフロー監視技術であるsFlowなど)をSDNスイッチング デバイスに配備することも可能で,SDNスイッチング デバイス上の監視クライアントと監視サーバは独立してメッセージを交換し,監視クライアントと監視サーバは,ユーザー データグラム プロトコル(User Datagram Protocol,UDP)メッセージを用いて,監視データ パケットを転送する。
[0003] SDNスイッチング デバイスは,監視対象ホストのデータ メッセージをパケットイン メッセージにカプセル化し,それをSDNコントローラに送信してホストの監視を完了するが,監視対象ホストの数が多い場合,SDNコントローラのリソース,特に中央処理装置(CPU),の負荷が大きすぎて,SDNネットワークの通常の効率に影響を与える。従来の監視プロトコルをSDNスイッチング デバイスに直接配置するには,従来のルーティング プロトコルをSDNスイッチング デバイス用に構成する必要があり,これはSDNコントローラのネットワークの完全な制御に影響を与える。ホストがネットワークに移行すると,アクセス スイッチング デバイスで従来の監視プロトコルを再構成する必要があり,使用シナリオは比較的制限される。

発明の内容

[0004] これを考慮して,本発明は,従来技術において監視データを格納する,または監視プロトコルに依存することによって生じる過度の負荷の問題を効果的に解決する,SDNネットワークメッセージ監視方法,SDN制御装置,およびスイッチング デバイスを提案する。)


(当審訳:
[0023] 上記の技術的課題を解決することとし,本発明はSDNネットワークメッセージが監視する方法を提案して,本発明実施例の技術的解決手段は以下の通りである:

[0024] 図1に示すように,本発明のSDNネットワークメッセージ監視方法はSDNコントローラ上で応用され,SDNコントローラは以下のプロセスを実行する:
[0025] ステップ101:SDNコントローラは,ミラーリング トンネルを決定する。ミラーリング トンネルは,監視対象ホストが配置されている送信元SDNスイッチング デバイスと,監視サーバが配置されている宛先SDNスイッチング デバイスとの間のトンネルである。
[0026] 本工程の中では,SDNコントローラは監視対象であるホストの場所のSDNのスイッチング デバイスを送信元SDNのスイッチング デバイスと確定し,監視サーバの場所のSDNのスイッチング デバイスを宛先SDNのスイッチング デバイスと確定し,且つトポロジーによって送信元SDNのスイッチング デバイスと宛先SDNのスイッチング デバイスの間に一本のミラーリング トンネルを確立し,このミラーリング トンネル上には,送信元SDNスイッチング デバイスと宛先SDNスイッチング デバイス以外にも,またその中間にSDNスイッチング デバイスが存在し得る。
[0027] ステップ102:SDNコントローラは,ミラーリング トンネル上の送信元SDNスイッチング デバイスと宛先SDNスイッチング デバイスとの間に,テーブルID1のミラーリング フロー テーブルを作成して公開する。これにより,送信元SDNスイッチング デバイスと宛先SDNスイッチング デバイスは,ミラーリング フロー テーブルを受信する。テーブルIDが1の場合,ミラーリング フロー テーブルはマルチレベル フロー テーブルの第1レベル フロー テーブルに格納される。
[0028] 本工程の中では,SDNコントローラは,それぞれミラーリング トンネル上の送信元SDNスイッチング デバイスと,宛先SDNスイッチング デバイスを分別し,ミラーリング フロー テーブルを生成する。
[0029] 具体的には,SDNコントローラは送信元SDNスイッチング デバイス用に,テーブルIDが1のミラーリング フロー テーブルを作成し,ミラーリング フロー テーブルのテーブルIDは1であるため,送信元SDNスイッチング デバイスはマルチレベル フロー テーブルの第1レベル フロー テーブルに保存する。テーブルIDが1のミラーリング フロー テーブルのマッチング項目は,監視対象ホストのアドレス情報であり,アクション項目は,元のデータメッセージをコピーし,コピーしたデータメッセージをカプセル化し,ミラータグを追加してカプセル化されたものを取得することである。メッセージ,およびカプセル化されたメッセージテキストは発信ポートから転送される。カプセル化されたメッセージの送信元MACアドレスは送信元SDNスイッチング デバイスのMACアドレスであり,カプセル化されたメッセージの宛先MACアドレスは宛先SDNスイッチング デバイスのMACアドレスである。SDNコントローラは,作成されたテーブルID1のミラーリング フロー テーブルを送信元SDNスイッチング デバイスに送信し,送信元SDNスイッチング デバイスのマルチレベル フロー テーブルの第1レベル フロー テーブルに格納する。送信元SDNスイッチング デバイスがデータパケットを受信すると,マルチレベルフローテーブルの第1レベルフローテーブルで,データパケットの送信元ホスト情報または宛先ホスト情報と一致するミラーリング フロー テーブルを検索する。マッチング項目にマッチするミラーリング フロー テーブルがある場合,データパケットは,監視対象ホストから送信されるデータパケットであるか,あるいは,監視対象ホストに送信されるデータパケットであると判断され,ミラーリングされる。マッチング項目にマッチするミラーリング フロー テーブルのアクション項目に従って,ミラーリングされたデータパケットは,カプセル化されて,ミラーリング ラベルが付加されたカプセル化メッセージが生成され,カプセル化メッセージは出力ポートを介して転送される。
[0030] 具体的には,送信元SDNスイッチング デバイス用に,SDNコントローラによって作成されたテーブルID1のミラーリング フロー テーブルは,タイプMIRRORの命令で拡張されたフロー テーブルであり,タイプMIRRORの命令のフロー テーブルは,送信元SDNスイッチング デバイスによってミラーリングされたデータメッセージは,送信元SDNスイッチング デバイスによって受信された変更されていない元のデータメッセージとまったく同じであり,監視サーバに送信されるデータメッセージは,カプセル化される前の元のデータメッセージと完全に同一であることを保証している。
[0031] さらに,送信元SDNスイッチング デバイスは,通常のデータパケット転送を完了する必要がある。したがって,送信元SDNスイッチング デバイスは,監視対象ホストから送信された元のデータパケットを初めて受信するか,監視対象ホストに送信された元のデータパケットが受信された後に受信する。監視対象ホストから初めて受信した場合,マッチする通常の転送フローテーブルが見つからない場合,受信した元のデータメッセージはパックインメッセージにカプセル化され,SDNコントローラに送信される。SDNコントローラは,送信元SDNスイッチング デバイスからパックインメッセージにカプセル化された元のデータメッセージを受信した後,送信元SDNスイッチング デバイスのパックインメッセージにカプセル化された元のデータメッセージを作成してダウンロードする。通常の転送フローをテーブルID2のテーブルとして生成する。これにより,送信元SDNスイッチング デバイスは,通常の転送フローテーブルを受信した後,テーブルID2に従ってマルチレベル フロー テーブルの第2レベルのフロー テーブルに通常の転送フロー テーブルを格納する。
[0032] ここで,SDNネットワーク内の各SDNスイッチング デバイスはマルチレベル フロー テーブルをサポートしている。SDNスイッチング デバイスはデータメッセージを受信すると,フローテーブルのレベルに従ってマルチレベル フロー テーブルを段階的に検索する。マッチしたフロー テーブルが検索されたアイテムであり,データメッセージは,すべてのマルチレベル フロー テーブルが検索されるまで,マッチしたフロー アイテムのアクション項目の内容に従って処理される。したがって,送信元SDNスイッチング デバイスがメッセージ監視機能と通常のメッセージ転送の両方を実現できるようにするために,SDNコントローラはミラーリング フロー テーブルのテーブルIDを1に設定し,通常の転送フロー テーブルのテーブルIDを2に設定する。次に,送信元SDNスイッチング デバイスは,ミラーリング フロー テーブルをマルチレベル フロー テーブルの第1レベル フロー テーブルに格納し,通常の転送フローテーブルをマルチレベル フロー テーブルの第2レベル フロー テーブルに格納する。送信元SDNスイッチング デバイスが第1レベルになるように,マッチするミラーリング フロー テーブルがフロー テーブルで照会された後,元のデータメッセージがミラーリングされ,ミラーリングされたデータメッセージは,元のデータメッセージに影響を与えることなくさらに処理される。元のデータメッセージは,第2レベル フロー テーブルを検索して,マッチする通常の転送フロー テーブルにしたがって,変更せずに転送される。
[0033] SDNコントローラは,宛先SDNスイッチング デバイス用の,テーブルID1を保持するミラーリング フロー テーブルを作成する。ミラーリング フロー テーブルのテーブルIDは1であるため,宛先SDNスイッチング デバイスはミラーリング フロー テーブルを,マルチレベル フロー テーブルの第1レベルのフローテーブルに保存する。テーブルIDが1のミラーリング フロー テーブルのマッチング項目は,カプセル化されたパケットの宛先MACアドレスとミラーリング ラベルであり,アクション項目は,送信元SDNスイッチング デバイスによってミラーリングされカプセル化されたパケットデータから,ミラーリング ラベルを剥がしてカプセル化を解除することであり,得られたメッセージは,出力ポートを介して監視サーバに転送される。)

2 引用発明

上記1の引用文献1の,特に下線を付加した記載に着目すると,引用文献1には,以下の発明(以下,「引用発明」という。)が記載されていると認められる。

「従来技術において監視データを格納する、または監視プロトコルに依存することによって生じる過度の負荷の問題を効果的に解決する、SDNネットワークメッセージ監視方法であって,
SDNネットワークメッセージ監視方法はSDNコントローラ上で応用され,SDNコントローラは,
SDNコントローラが,ミラーリング トンネルを決定するステップであって,ミラーリング トンネルは,監視対象ホストが配置されている送信元SDNスイッチング デバイスと,監視サーバが配置されている宛先SDNスイッチング デバイスとの間のトンネルであるステップと,
SDNコントローラが,ミラーリング トンネル上の送信元SDNスイッチング デバイスと宛先SDNスイッチング デバイスとの間に,テーブルID1のミラーリング フロー テーブルを作成して公開するステップであって,これにより,送信元SDNスイッチング デバイスと宛先SDNスイッチング デバイスは,ミラーリング フロー テーブルを受信し,テーブルIDが1の場合,ミラーリング フロー テーブルはマルチレベル フロー テーブルの第1レベル フロー テーブルに格納されるステップと,
を実行するSDNネットワークメッセージ監視方法であり,
具体的には,SDNコントローラは送信元SDNスイッチング デバイス用に,テーブルIDが1のミラーリング フロー テーブルを作成し,ミラーリング フロー テーブルのテーブルIDは1であるため,送信元SDNスイッチング デバイスはマルチレベル フロー テーブルの第1レベル フロー テーブルに保存しており,テーブルIDが1のミラーリング フロー テーブルのマッチング項目は,監視対象ホストのアドレス情報であり,アクション項目は,元のデータメッセージをコピーし,コピーしたデータメッセージをカプセル化し,ミラータグを追加してカプセル化されたものを取得することであり,メッセージ,およびカプセル化されたメッセージテキストは発信ポートから転送され,カプセル化されたメッセージの送信元MACアドレスは送信元SDNスイッチング デバイスのMACアドレスであり,カプセル化されたメッセージの宛先MACアドレスは宛先SDNスイッチング デバイスのMACアドレスであり,
送信元SDNスイッチング デバイスがデータパケットを受信すると,マルチレベルフローテーブルの第1レベルフローテーブルで,データパケットの送信元ホスト情報または宛先ホスト情報と一致するミラーリング フロー テーブルを検索し,マッチング項目にマッチするミラーリング フロー テーブルがある場合,データパケットは,監視対象ホストから送信されるデータパケットであるか,あるいは,監視対象ホストに送信されるデータパケットであると判断され,ミラーリングされ,マッチング項目にマッチするミラーリング フロー テーブルのアクション項目に従って,ミラーリングされたデータパケットは,カプセル化されて,ミラーリング ラベルが付加されたカプセル化メッセージが生成され,カプセル化メッセージは出力ポートを介して転送され,
宛先SDNスイッチング デバイスはミラーリング フロー テーブルを,マルチレベル フロー テーブルの第1レベルのフローテーブルに保存しており,テーブルIDが1のミラーリング フロー テーブルのマッチング項目は,カプセル化されたパケットの宛先MACアドレスとミラーリング ラベルであり,アクション項目は,送信元SDNスイッチング デバイスによってミラーリングされカプセル化されたパケットデータから,ミラーリング ラベルを剥がしてカプセル化を解除することであり,得られたメッセージは,出力ポートを介して監視サーバに転送される
SDNネットワークメッセージ監視方法。」

第5 対比・判断

1 本願第1発明について

(1)対比

本願第1発明と引用発明とを対比すると,次のことが認められる。

ア 引用発明は,「SDNネットワークメッセージ監視方法」であり,「送信元SDNスイッチング デバイスがデータパケットを受信すると,」「データパケットは,監視対象ホストから送信されるデータパケットであるか,あるいは,監視対象ホストに送信されるデータパケットであると判断され,ミラーリングされ,」「ミラーリングされたデータパケットは,カプセル化されて,ミラーリング ラベルが付加されたカプセル化メッセージが生成され,カプセル化メッセージは出力ポートを介して転送され,」「宛先SDNスイッチング デバイスは」「送信元SDNスイッチング デバイスによってミラーリングされカプセル化されたパケットデータから,ミラーリング ラベルを剥がしてカプセル化を解除することであり,得られたメッセージは,出力ポートを介して監視サーバに転送」している。

よって,引用発明は,「監視対象ホストから送信されるデータパケット」および「監視対象ホストに送信されるデータパケット」を「監視サーバに転送」して監視する方法であるといえる。

したがって,本願第1発明と引用発明とは,「パケット監視方法」である点で共通しているといえる。

イ 引用発明では,「送信元SDNスイッチング デバイスがデータパケットを受信」している。

ここで,本願第1発明の「仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイント(VTEP)」は,仮想スイッチとも呼ばれ,SDNにおけるスイッチング デバイスであることは技術常識であるから,本願第1発明の「仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイント(VTEP)」と,引用発明の「送信元SDNスイッチング デバイス」とは,「SDNスイッチング デバイス」である点で共通しているといえる。

したがって,本願第1発明と引用発明とは,SDNスイッチング デバイスが「データパケットを受信するステップ」「を含む」点で共通しているといえる。

しかし,本願第1発明のSDNスイッチング デバイスが「仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイント(VTEP)」であるのに対して,引用発明のSDNスイッチング デバイスは,「仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイント(VTEP)」でない点で相違している。

ウ 引用発明において,「送信元SDNスイッチング デバイスがデータパケットを受信すると,マルチレベルフローテーブルの第1レベルフローテーブルで,データパケットの送信元ホスト情報」「と一致するミラーリング フロー テーブルを検索し,マッチング項目にマッチするミラーリング フロー テーブルがある場合,データパケットは,監視対象ホストから送信されるデータパケットであるか,あるいは,監視対象ホストに送信されるデータパケットであると判断され,ミラーリングされ,」「ミラーリングされたデータパケットは,カプセル化されて,ミラーリング ラベルが付加されたカプセル化メッセージが生成され,カプセル化メッセージは出力ポートを介して転送され,」「宛先SDNスイッチング デバイスは」「送信元SDNスイッチング デバイスによってミラーリングされカプセル化されたパケットデータから,ミラーリング ラベルを剥がしてカプセル化を解除することであり,得られたメッセージは,出力ポートを介して監視サーバに転送」しており,「カプセル化されたメッセージの宛先MACアドレスは宛先SDNスイッチング デバイスのMACアドレスであ」るとされている。

ここで,引用発明の「データパケット」,「送信元SDNスイッチング デバイス」,「監視対象ホストから送信されるデータパケット」,「宛先SDNスイッチング デバイス」は,それぞれ,本願第1発明の「パケット」,「前記VTEP」,「ローカルの被監視ホストからのユーザパケット」,「監視サーバがアクセスしたリモートVTEP」に対応するといえる。

また,引用発明において「マルチレベルフローテーブルの第1レベルフローテーブルで,データパケットの送信元ホスト情報」「と一致するミラーリング フロー テーブルを検索し,マッチング項目にマッチするミラーリング フロー テーブルがある場合」には,「ミラーリング フロー テーブル」内に,「データパケット」が監視対象となる「送信元ホスト情報」とマッチするエントリが存在しているといえるから,引用発明は,ミラーリング フロー テーブル内に,本願第1発明と同様に,(被監視ホストからのユーザパケットである場合に)「パケットとマッチする」「エントリ」が存在しているといえる。ここで,当該「エントリ」を「第1フォワーディングエントリ」と呼ぶことは任意である。

さらに,「データパケットは,」「監視対象ホストから送信されるデータパケットである」「と判断され,ミラーリングされ,」「ミラーリングされたデータパケットは,カプセル化されて,ミラーリング ラベルが付加されたカプセル化メッセージが生成され,カプセル化メッセージは出力ポートを介して転送され,」「宛先SDNスイッチング デバイスは」「送信元SDNスイッチング デバイスによってミラーリングされカプセル化されたパケットデータから,ミラーリング ラベルを剥がしてカプセル化を解除することであり,得られたメッセージは,出力ポートを介して監視サーバに転送」しているから,引用発明は,本願第1発明と同様に,前記SDNスイッチング デバイスが「ミラーパケットを取得するために、該パケットをミラーリングし、」カプセル化「パケットを取得するために、」「前記ミラーリングパケットを」「カプセル化し、」前記カプセル化「パケットを監視サーバがアクセスした」SDNスイッチング デバイス「に送信」しているといえる。

したがって,本願第1発明と引用発明とは,「前記パケットがローカルの被監視ホストからのユーザパケットである場合、」前記SDNスイッチング デバイスが「前記パケットとマッチする第1フォワーディングエントリに基づいて、」前記SDNスイッチング デバイスが「ミラーパケットを取得するために、該パケットをミラーリングし、」前記SDNスイッチング デバイスがカプセル化「パケットを取得するために、」「前記ミラーリングパケットを」「カプセル化し、」前記SDNスイッチング デバイスが前記カプセル化「パケットを監視サーバがアクセスした」SDNスイッチング デバイス「に送信する」「ステップ」「を含む」点で共通しているといえる。

しかし,上述したように,本願第1発明のSDNスイッチング デバイスが「VTEP」であるのに対して,引用発明のSDNスイッチング デバイスは,「VTEP」でない点で相違している。

また,本願第1発明のカプセル化したパケットが「VXLANパケット」であるのに対して,引用発明のカプセル化したパケットは,「VXLANパケット」でない点でも相違している。

さらに,本願第1発明では,パケットをカプセル化する際に,「監視サーバの識別子を用いて」いるのに対して,引用発明では,パケットをカプセル化する際に,「カプセル化されたメッセージの宛先MACアドレスは宛先SDNスイッチング デバイスのMACアドレスであ」るとされており,「監視サーバの識別子を用いて」いない点でも相違している。

そして,本願第1発明では,ミラーリングされたパケットの送信先として,選択的に,「前記VTEPにローカルにアクセスする前記監視サーバに送信」しているのに対して,引用発明では,ミラーリングされたパケットをカプセル化しないで,送信元SDNスイッチング デバイスに「ローカルにアクセスする前記監視サーバに送信」する構成を備えていない点でも相違している。

エ 引用発明において,「送信元SDNスイッチング デバイスがデータパケットを受信すると,マルチレベルフローテーブルの第1レベルフローテーブルで,データパケットの」「宛先ホスト情報と一致するミラーリング フロー テーブルを検索し,マッチング項目にマッチするミラーリング フロー テーブルがある場合,データパケットは,」「監視対象ホストに送信されるデータパケットであると判断され,ミラーリングされ,」「ミラーリングされたデータパケットは,カプセル化されて,ミラーリング ラベルが付加されたカプセル化メッセージが生成され,カプセル化メッセージは出力ポートを介して転送され,」「宛先SDNスイッチング デバイスは」「送信元SDNスイッチング デバイスによってミラーリングされカプセル化されたパケットデータから,ミラーリング ラベルを剥がしてカプセル化を解除することであり,得られたメッセージは,出力ポートを介して監視サーバに転送」しており,「カプセル化されたメッセージの宛先MACアドレスは宛先SDNスイッチング デバイスのMACアドレスであ」るとされている。

ここで,引用発明の「データパケット」,「送信元SDNスイッチング デバイス」,「「監視対象ホストに送信されるデータパケット」,「宛先SDNスイッチング デバイス」は,それぞれ,本願第1発明の「パケット」,「前記VTEP」,「被監視ホストに送信したユーザパケット」,「監視サーバがアクセスしたリモートVTEP」に対応するといえる。

また,引用発明において「マルチレベルフローテーブルの第1レベルフローテーブルで,データパケットの」「宛先ホスト情報」「と一致するミラーリング フロー テーブルを検索し,マッチング項目にマッチするミラーリング フロー テーブルがある場合」には,「ミラーリング フロー テーブル」内に,「データパケット」が監視対象となる「宛先ホスト情報」とマッチするエントリが存在しているといえるから,引用発明は,ミラーリング フロー テーブル内に,本願第1発明と同様に,(被監視ホストに送信したユーザパケットである場合に)「パケットとマッチする」「エントリ」が存在しているといえる。ここで,当該「エントリ」を「第2フォワーディングエントリ」と呼ぶことは任意である。

さらに,「データパケットは,」「監視対象ホストに送信されるデータパケットである」「と判断され,ミラーリングされ,」「ミラーリングされたデータパケットは,カプセル化されて,ミラーリング ラベルが付加されたカプセル化メッセージが生成され,カプセル化メッセージは出力ポートを介して転送され,」「宛先SDNスイッチング デバイスは」「送信元SDNスイッチング デバイスによってミラーリングされカプセル化されたパケットデータから,ミラーリング ラベルを剥がしてカプセル化を解除することであり,得られたメッセージは,出力ポートを介して監視サーバに転送」しているから,引用発明は,本願第1発明と同様に,前記SDNスイッチング デバイスが「ミラーパケットを取得するために、該パケットをミラーリングし、」カプセル化「パケットを取得するために、」「前記ミラーリングパケットを」「カプセル化し、」前記カプセル化「パケットを監視サーバがアクセスした」SDNスイッチング デバイス「に送信」しているといえる。

したがって,本願第1発明と引用発明とは,「前記パケットが」「前記被監視ホストに送信したユーザパケットである場合,前記パケットとマッチする第2フォワーディングエントリに基づいて,」前記SDNスイッチング デバイスが「ミラーパケットを取得するために、該パケットをミラーリングし、」前記SDNスイッチング デバイスがカプセル化「パケットを取得するために、」「前記ミラーリングパケットを」「カプセル化し、」前記SDNスイッチング デバイスが前記カプセル化「パケットを監視サーバがアクセスした」SDNスイッチング デバイス「に送信する」「ステップ」「を含む」点で共通しているといえる。

しかし,本願第1発明では,監視対象となるユーザパケットが「ローカルホストから前記被監視ホストに送信したユーザパケットである場合」とされているのに対して,引用発明では,監視対象となるユーザパケットが「前記被監視ホストに送信したユーザパケットである場合」であり,「ローカルホストから」のものに限定されていない点で相違している。

加えて,上述したように,本願第1発明のSDNスイッチング デバイスが「VTEP」であるのに対して,引用発明のSDNスイッチング デバイスは,「VTEP」でない点で相違している。

また,本願第1発明のカプセル化したパケットが「VXLANパケット」であるのに対して,引用発明のカプセル化したパケットは,「VXLANパケット」でない点でも相違している。

さらに,本願第1発明では,パケットをカプセル化する際に,「監視サーバの識別子を用いて」いるのに対して,引用発明では,パケットをカプセル化する際に,「カプセル化されたメッセージの宛先MACアドレスは宛先SDNスイッチング デバイスのMACアドレスであ」るとされており,「監視サーバの識別子を用いて」いない点でも相違している。

そして,本願第1発明では,ミラーリングされたパケットの送信先として,選択的に,「前記VTEPにローカルにアクセスする前記監視サーバに送信」しているのに対して,引用発明では,ミラーリングされたパケットをカプセル化しないで,送信元SDNスイッチング デバイスに「ローカルにアクセスする前記監視サーバに送信」する構成を備えていない点でも相違している。

(2)一致点・相違点

本願第1発明と,引用発明とは,以下アの点で一致し,以下イの点で相違する。

ア 一致点

「パケット監視方法であって,
SDNスイッチング デバイスがデータパケットを受信するステップと,
前記パケットがローカルの被監視ホストからのユーザパケットである場合,前記SDNスイッチング デバイスが,前記パケットとマッチする第1フォワーディングエントリに基づいて,前記SDNスイッチング デバイスが,ミラーパケットを取得するために,該パケットをミラーリングし,前記SDNスイッチング デバイスが,カプセル化パケットを取得するために,前記ミラーリングパケットをカプセル化し,前記SDNスイッチング デバイスが,前記カプセル化パケットを監視サーバがアクセスしたSDNスイッチング デバイスに送信するステップと,
前記パケットが前記被監視ホストに送信したユーザパケットである場合,前記パケットとマッチする第2フォワーディングエントリに基づいて,前記SDNスイッチング デバイスがミラーパケットを取得するために、該パケットをミラーリングし前記SDNスイッチング デバイスがカプセル化パケットを取得するために、前記ミラーリングパケットをカプセル化し、前記SDNスイッチング デバイスが前記カプセル化パケットを監視サーバがアクセスしたSDNスイッチング デバイスに送信するステップと,
を含む方法。」

イ 相違点

(ア) 相違点1

本願第1発明のSDNスイッチング デバイスが「仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイント(VTEP)」であるのに対して,引用発明のSDNスイッチング デバイスは,「仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイント(VTEP)」でない点。

(イ) 相違点2

本願第1発明のカプセル化したパケットが「VXLANパケット」であるのに対して,引用発明のカプセル化したパケットは,「VXLANパケット」でない点。

(ウ) 相違点3

本願第1発明では,パケットをカプセル化する際に,「監視サーバの識別子を用いて」いるのに対して,引用発明では,パケットをカプセル化する際に,「監視サーバの識別子を用いて」いない点。

(エ) 相違点4

本願第1発明では,ミラーリングされたパケットの送信先として,選択的に,「前記VTEPにローカルにアクセスする前記監視サーバに送信」しているのに対して,引用発明では,ミラーリングされたパケットをカプセル化しないで,送信元SDNスイッチング デバイスに「ローカルにアクセスする前記監視サーバに送信」する構成を備えていない点。

(オ) 相違点5

本願第1発明では,監視対象となるユーザパケットが「ローカルホストから前記被監視ホストに送信したユーザパケットである場合」とされているのに対して,引用発明では,監視対象となるユーザパケットが「前記被監視ホストに送信したユーザパケットである場合」であり,「ローカルホストから」のものに限定されていない点。

(カ) 相違点6

本願第1発明では,「前記パケットがリモートVTEPからのVXLANパケットであり,且つ前記監視サーバの識別子が付加される場合,前記VTEPは,前記パケットとマッチする第3フォワーディングエントリに基づいて,前記VXLANパケットをデカプセル化した後,前記VTEPが,デカプセル化したパケットを前記VTEPにローカルにアクセスする前記監視サーバに送信するステップ」を含んでいるのに対して,引用発明では,このようなステップを含んでいない点。

(3)相違点についての判断

事案に鑑みて,まず,相違点4について検討する。

本願第1発明の相違点4に係る構成より,VTEPにローカルにアクセスする監視サーバの存在を許容し,監視サーバがローカルにアクセスされるものか,リモートでアクセスされるものかに応じて,カプセル化の要否を判定しているといえ,引用発明のような,リモートのSDNスイッチング デバイスに接続(アクセス)された監視サーバのみの存在を前提とし,ミラーリングされたデータパケットをすべてカプセル化する監視方法に比べて,本願第1発明は,VTEPにローカルにアクセスしていないリモートの監視サーバに対しては,ミラーリングパケットをVXLANカプセル化して送信し,VTEPにローカルにアクセスしているローカルの監視サーバに対しては,ミラーリングパケットをVXLANカプセル化することなく送信する構成となっており,これにより,監視サーバを配置する位置が引用発明のようなリモートの配置だけでなく,ローカルな配置にもでき,ローカルに配置した際には,不必要なカプセル化処理を削減できるものとなっているといえる。

したがって,引用発明は,リモートのSDNスイッチング デバイスに接続(アクセス)された監視サーバのみの存在を前提とし,ミラーリングされたデータパケットをすべてカプセル化する監視方法であるから,引用発明に対して,周知の技術であるVXLANおよびVXLANパケットの技術を引用発明に適用したとしても,当業者は本願第1発明の相違点4に係る構成を容易に想到することができない。

エ 小括

したがって,上記その他の相違点について判断するまでもなく,本願第1発明は,引用発明および周知の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

また,本願第1発明は,上記相違点1に係る構成を採用することにより,引用発明に周知技術を適用しても想定しえなかった効果である,監視サーバを配置する位置が柔軟に選択でき,不必要なカプセル化処理を削減できることを可能としている。

2 本願第2発明ないし本願第14発明について

本願第2発明ないし本願第7発明は,いずれも,本願第1発明と同一の構成を備えるものであるから,本願第1発明と同じ理由により,引用発明および周知の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

また,本願第8発明は,本願第1発明の,発明のカテゴリを,単に,「方法」から「仮想拡張可能ローカルエリアネットワークVXLANトンネルエンドポイントVTEP」へと変更したものであり,同様の構成を備えているから,本願第1発明と同様の理由により,引用発明および周知の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

さらに,本願第9発明ないし本願第14発明は,いずれも,本願第8発明と同一の構成を備えるものであるから,本願第8発明と同じ理由により,引用発明および周知の技術に基づいて,当業者が容易に発明できたものであるとはいえない。

第6 原査定について

審判請求時の補正により、本願第1発明ないし本願第14発明は,各ステップの主体が「VTEP」であることが限定されるとともに,監視サーバの一部が「VTEPにローカルにアクセスする」ものであることが限定されたものとなっており、当業者であっても、拒絶査定において引用された引用文献1および周知技術に基づいて、容易に発明できたものとはいえない。したがって、原査定の理由を維持することはできない。

第7 むすび

以上のとおり,原査定の理由によっては,本願を拒絶することはできない。
また,他に本願を拒絶すべき理由を発見しない。
よって,結論のとおり審決する。

 
審決日 2021-07-13 
出願番号 特願2019-505173(P2019-505173)
審決分類 P 1 8・ 121- WY (H04L)
最終処分 成立  
前審関与審査官 玉木 宏治  
特許庁審判長 角田 慎治
特許庁審判官 野崎 大進
林 毅
発明の名称 パケット監視  
代理人 特許業務法人後藤特許事務所  

プライバシーポリシー   セキュリティーポリシー   運営会社概要   サービスに関しての問い合わせ