JP4994323B2 - Relay device - Google Patents
Relay device Download PDFInfo
- Publication number
- JP4994323B2 JP4994323B2 JP2008192768A JP2008192768A JP4994323B2 JP 4994323 B2 JP4994323 B2 JP 4994323B2 JP 2008192768 A JP2008192768 A JP 2008192768A JP 2008192768 A JP2008192768 A JP 2008192768A JP 4994323 B2 JP4994323 B2 JP 4994323B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- action
- information
- time
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、中継装置に係り、特に、ネットワーク上に配置され、フロー制御を実行することができる中継装置に関する。 The present invention relates to a relay device, and more particularly to a relay device that is arranged on a network and can execute flow control.
インターネットなどの広域ネットワークはオープンな環境であり、誰もが自由に接続することが可能である。また、近年のFTTH(Fiber to the Home)等の普及により回線の高速化が進んでいる。また、さまざまなアプリケーションの登場により、ネットワーク上を流れるフローの種類が増え挙動が複雑になってきている。キャリアやISP(Internet Service Provider)のネットワーク上では、ユーザ間の公平性を確保したり、DoS(Denial of Service)攻撃等から装置を守るために、フィルタ等の技術を使用している。現状のフィルタ技術は、予想されるフロー条件をあらかじめ設定し、そのフロー条件に合致したフローに対してどのような制裁を実行するかといった条件もあらかじめ設定しておく。フィルタが設定された装置は、自装置内を流れるフローと設定されている複数個の条件を常に比較し、条件に合致したフローを発見した場合、その条件に設定されている制裁を実行する。
また、特許文献1〜3には、トラフィック情報を統計的に処理しながら不正なトラフィックを検出し、トラフィックの遮断や帯域制限を行う技術が開示されている。
Wide-area networks such as the Internet are open environments, and anyone can connect freely. In addition, the speed of the line is increasing due to the recent spread of FTTH (Fiber to the Home) and the like. In addition, with the advent of various applications, the types of flows that flow on the network have increased and the behavior has become complicated. On a carrier or ISP (Internet Service Provider) network, a technique such as a filter is used in order to ensure fairness among users and protect the device from DoS (Denial of Service) attacks. In the current filter technology, an expected flow condition is set in advance, and conditions such as what kind of sanctions are executed for a flow that matches the flow condition are also set in advance. The device in which the filter is set always compares the flow flowing in the device with a plurality of conditions set, and if a flow that matches the conditions is found, the sanctions set in the conditions are executed.
従来の技術では、装置内を流れるフロー条件を予測し、かつ、そのフローに対して有効に動作する制御条件を事前に設定しておく必要があった。しかし、回線を流れるフローの増加により、事前にフロー条件を設定しておくことが困難になりつつある。さらにさまざまなアプリケーションやプロトコルの出現により、該当フローに有効な制御を一意に決定し事前に設定しておくことも困難になりつつある。
本発明は、以上の点に鑑み、複数の装置が接続される通信ネットワーク上に配置され、設定されたポリシ違反であるフローを自動的に検出し、そのようなフローに対し複数の制裁条件を実行することを目的とする。
In the conventional technique, it is necessary to predict a flow condition flowing in the apparatus and to set in advance a control condition that operates effectively for the flow. However, it is becoming difficult to set the flow conditions in advance due to an increase in the flow through the line. Furthermore, with the advent of various applications and protocols, it is becoming difficult to uniquely determine and set in advance control effective for the corresponding flow.
In view of the above, the present invention is arranged on a communication network to which a plurality of devices are connected, automatically detects a flow that is a set policy violation, and sets a plurality of sanction conditions for such a flow. The purpose is to execute.
本発明の解決手段によると、
パケットの送信処理を行うパケット送信部と、
受信または送信するパケットからフローを検出するフロー検出部と、
フロー情報と帯域と初回違反時間と前回違反時間と使用中又は未使用のフラグとを含むエントリを記憶する帯域監視テーブルを有し、前記フロー検出部が検出したフローがあらかじめ設定されたポリシに違反するか遵守するかを判定する帯域監視部と、
前記帯域監視部が判定したポリシに違反したフローに対して、あらかじめ設定された複数のアクション制御動作を順番に実行するアクション制御部と、
を備え、
パケット送信部は、受信したパケットのヘッダ情報を前記フロー検出部に送信し、
前記フロー検出部は、前記パケット送信部から受信したパケットのヘッダ情報を用いてフローを特定し、特定したフローのフロー情報毎にパケット数をカウントし、該パケット数が設定された閾値を超えたフローのフロー情報を含む閾値越え情報を前記帯域監視部へ送信し、
前記帯域監視部は、
前記フロー検出部より送られてきた閾値越え情報をもとに帯域監視テーブルのエントリを作成し、
受信したパケットのヘッダ情報に含まれるフロー情報と、帯域監視テーブルに格納されているフロー情報とを、フラグが使用中の全てのエントリについて比較し、
a. 一致するエントリが存在しなかった場合、エントリ無しの情報及びフロー情報を含む監視情報を前記アクション制御部へ送信し、
b. 一致するエントリが存在した場合、帯域を測定し、予め定められた閾値を超えているか確認し、
i) 帯域が閾値を超えていない場合、帯域遵守であると判定し、現在時刻と該当するエントリの前回違反時間との差分の時間が、時刻閾値を超えているかを確認し、
時刻閾値を超えている場合、監視対象から除外するために、帯域監視テーブルから該当エントリをフラグを未使用にすることで削除し、一方、時刻閾値を超えていない場合、監視対象のままとし、
該当フローの、エントリ有りの情報とフロー情報と帯域遵守情報と一定時間以上帯域を遵守していたかどうかの情報を含む監視情報を前記アクション制御部へ送信し、
ii) 帯域が閾値以上の場合、帯域違反が発生したと判定し、初回違反時間に基づき違反回数を確認し、
該当フローのエントリの初回違反時間と前回違反時間を更新し、
該フローの、エントリ有の情報とフロー情報と帯域違反情報と違反が1回目又は2回目以降であるという情報とを含む監視情報を前記アクション制御部へ送信し、
前記アクション制御部は、監視情報に基づき、実行するアクション制御を決定し、フロー情報とアクション内容を含むアクション指示情報を前記パケット送信部へ送信し、
前記パケット送信部では、前記アクション制御部から送られてきたアクション指示情報を元に、該当フローに対して制御を行い、一方、アクションが指示されていなければ、該当フローに相当するパケットをそのまま送信する
ようにしたパケットを中継する中継装置が提供される。
According to the solution of the present invention,
A packet transmitter that performs packet transmission processing;
A flow detector for detecting a flow from a packet to be received or transmitted;
It has a bandwidth monitoring table that stores entries including flow information, bandwidth, initial violation time, previous violation time, and in-use or unused flag, and the flow detected by the flow detector violates a preset policy. A bandwidth monitoring unit for determining whether to comply or
An action control unit that sequentially executes a plurality of preset action control operations for a flow that violates the policy determined by the bandwidth monitoring unit;
With
The packet transmission unit transmits header information of the received packet to the flow detection unit,
The flow detection unit identifies a flow using header information of a packet received from the packet transmission unit, counts the number of packets for each flow information of the identified flow, and the number of packets exceeds a set threshold value Sending information exceeding the threshold value including flow information of the flow to the bandwidth monitoring unit,
The bandwidth monitoring unit
Create a bandwidth monitoring table entry based on the threshold value exceeded information sent from the flow detection unit,
The flow information included in the header information of the received packet is compared with the flow information stored in the bandwidth monitoring table for all entries in which the flag is in use,
a. If there is no matching entry, send monitoring information including no entry information and flow information to the action control unit,
b. If there is a matching entry, measure the bandwidth and check if it exceeds a predetermined threshold,
i) If the bandwidth does not exceed the threshold, it is determined that the bandwidth is being observed, and whether the time of the difference between the current time and the previous violation time of the corresponding entry exceeds the time threshold,
If the time threshold is exceeded, the corresponding entry is deleted from the bandwidth monitoring table by making the flag unused in order to exclude it from the monitoring target.
Sending the monitoring information including the information of the corresponding flow, the entry information, the flow information, the band compliance information, and whether or not the band has been observed for a certain period of time to the action control unit,
ii) If the bandwidth is above the threshold, determine that a bandwidth violation has occurred, check the number of violations based on the initial violation time,
Update the first violation time and last violation time for the entry in the flow,
Sending the monitoring information including the information with entry of the flow, the flow information, the bandwidth violation information, and the information that the violation is first or second time to the action control unit,
The action control unit determines action control to be executed based on the monitoring information, and transmits action instruction information including flow information and action content to the packet transmission unit ,
The packet transmission unit controls the corresponding flow based on the action instruction information sent from the action control unit. On the other hand, if no action is instructed, the packet corresponding to the corresponding flow is transmitted as it is. There is provided a relay device for relaying a packet configured to do so.
本発明によると、事前にフロー条件を設定せずにすみ、該当フローに有効な制裁を自動的に発動することが可能となる。
また、本発明によると、中継装置でフロー条件をあらかじめ設定しておくのではなく、ポリシのみを設定しておくだけで、ポリシに違反する自律的フローを特定し、そのフローの特性にあった帯域制御などの制御を実行することができる。
According to the present invention, it is not necessary to set flow conditions in advance, and it is possible to automatically activate sanctions effective for the relevant flow.
In addition, according to the present invention, an autonomous flow that violates the policy is specified by setting only the policy, not by setting the flow condition in advance in the relay device, and the flow has characteristics. Control such as bandwidth control can be executed.
図1は、本実施の形態のルータ100を示す。以下に、本実施の形態のフロー制御機構を所持するルータ(中継装置)100の構成を図1を用いて説明する。
ルータ100は、パケットが入力する入力回線110とパケットの受信処理を行うパケット受信回路120と、パケットを出力する出力回線190の識別子である出力回線番号の判定等を実行するヘッダ処理部130と、パケットを前記出力回線番号に基づきスイッチングするパケット中継処理手段140と、送信側バッファ170へパケットを書き出してパケットの送信処理を行うパケット送信回路150と、受信したパケットのフロー情報を抽出し、事前に定義された複数のアクションから一つを決定し実行するフロー制御部160と、パケットを出力する出力回線190を備える。管理端末180は、ルータ100の管理と各種設定を行なう。ヘッダ処理部130は、経路検索処理部12を有する。フロー制御部160は、フロー検出部300と帯域監視部600とアクション制御部900を有する。図1には入力回線110と出力回線190がそれぞれ1回線ずつ記載されているが、実際には、ルータ100は、通常、複数の入力回線110と出力回線190から構成される。
FIG. 1 shows a
The
図2に、ネットワーク上を流れるパケットのフォーマットの一例を示す。
図2には一例としてEthrenet回線の場合を示した。パケットはL2ヘッダ部220とL3ヘッダ部221とL4ヘッダ部222とデータ部223を含む。L2ヘッダ部220は、L2のアドレス情報などパケットの入力回線の種類によって異なる情報から構成される。この例ではL2ヘッダ部220は、送信元MACアドレス210と、宛先MACアドレス211を含む。L3ヘッダ部221は、IPのバージョンを示すIPバージョン212と上位層(L4層)の種別を示すプロトコル番号213と送信元アドレスである送信元IPアドレス214と、宛先アドレスである宛先IPアドレス215、L3ヘッダ部221とL4ヘッダ部222とデータ部223を足したバイト長であるL3パケット長216を含む。L4ヘッダ部222は、送信元ポート217と宛先ポートを表す宛先ポート218を含む。また、データ部223は任意のユーザデータである、データ219を含む。
FIG. 2 shows an example of a format of a packet flowing on the network.
FIG. 2 shows the case of an Ethernet line as an example. The packet includes an
次に、本発明のルータ100の動作概要を図1を用いて説明する。
パケットはまず入力回線110よりパケット受信回路120に入力する。パケットがパケット受信回路120に入力すると、パケット受信回路120は、受信したパケットのL2ヘッダ部220、L3ヘッダ部221、L4ヘッダ部222を含むパケットヘッダ情報10をヘッダ処理部130に送信する。ヘッダ処理部130は、パケット受信回路120より受信したパケットヘッダ情報10を用いて経路検索処理12を実行し、出力回線番号を検索し、その検索結果をパケット受信回路120へ送信する。
パケット中継処理手段140は、パケット受信回路120がヘッダ処理部130から受信した出力回線番号11に従いパケットをスイッチングし、出力回線190毎のパケット送信回路150へパケットを送信する。
パケット送信回路150は、パケット中継処理手段140より受信したパケットのL3ヘッダ部221とL4ヘッダ部222をフロー制御部160に送信する。フロー検出部300は、L3ヘッダ情報221とL4ヘッダ情報222を用いてフローを特定する。フロー検出部300では、例えば、IPバージョン212、プロトコル番号213、送信元IPアドレス214、宛先IPアドレス215、送信元ポート217、宛先ポート218の全フィールドが同じ値のものを同一のフローとして定義する。フロー検出部300では、フロー毎にパケット数をカウントし、パケット数が設定された閾値を超えたフローの情報(閾値越え情報16)を帯域監視部600へ送信する。帯域監視部600は、閾値越え情報16に含まれるフロー情報で指定されたフローの監視を行い、帯域の監視を行った結果と違反回数と遵守時間を含む監視情報19を生成し、監視情報19をアクション制御部900に送信する。アクション制御部900は、監視情報19を基に実行する制御を決定し、アクション指示情報13をパケット送信回路150へ送信する。なお、フロー検出部300、帯域監視部600、アクション制御部900による処理の詳細は、後述する。パケット送信回路150は、アクション指示情報13の指示に従い、該当パケットのパケット送信バッファ190への送信、もしくは該当パケットの廃棄もしくは、パケットヘッダの書き換え等を実行する。
パケット送信バッファ170に送信されたパケットは、出力回線190に送信される。
Next, an outline of the operation of the
The packet is first input to the
The packet
The
The packet transmitted to the
図3に、本実施の形態のフロー検出部を示すブロック図を示す。フロー検出部300は、閾値情報30、フロー解析部31、フローテーブル32を備える。
図5に、本実施の形態のフロー検出部のフローチャートを示す。
次に、フロー検出部300の詳細動作について図5を用いて説明する。フロー検出部300のフロー解析部31は、受信したL3ヘッダ情報221とL4ヘッダ情報222に含まれる、フロー情報を抽出する(ステップ501)。フロー情報としては、例えば、IPバージョン、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号が含まれる。フロー情報の要素はこれらに限定されるわけではなく、これらの要素のうち所望のいずれか複数のみとしてもよいし、必要に応じて他の要素を加えてもよい。また、ステップ501におけるパケットからのフロー情報の取り出しは、受信パケット全てではなく、適当なサンプリング処理により選択されたパケットに対してのみ行うようにしてもよい。これにより、膨大なトラフィックが流れる高速ネットワークにおいても処理可能となる。
次に、フロー解析部31は、ステップ501で選択された項目の組み合わせより、パケット数を積算するためのフローテーブル32のテーブル番号を生成する(ステップ502)。
FIG. 3 is a block diagram showing the flow detection unit of the present embodiment. The
FIG. 5 shows a flowchart of the flow detection unit of the present embodiment.
Next, the detailed operation of the
Next, the
図4に、フローテーブル32の一例を示す。
1フロー分のフローテーブル32は、テーブル番号401、フロー情報(送信元IPアドレス402、宛先IPアドレス403、送信元ポート番号404、宛先ポート番号405、プロトコル番号406、IPバージョン407)、パケット数カウンタ408を含み、これらの組みが複数格納された構造となっている。全てのフローが格納できるような広大なフローテーブル32空間を割り当てることは難しい場合もあるため、テーブル番号決定方法としては、選択された項目の組み合わせに対して適当なハッシュ関数を適用し、得られたハッシュ値をテーブル番号とする方法をとることができる。また、異なるフローが同一のハッシュ値となり、フローテーブル32の利用が偏ってしまうことが考えられるため、ハッシュ関数を複数使用するとよい。ここでは、一例として、ハッシュ関数を4つ用意し、一つのフローに対して、4つのハッシュ値を生成する。このハッシュ値そのものをフローテーブル32のテーブル番号として使用する。フローテーブル32は、テーブル番号1のテーブルには、テーブル番号を“1”を書き込み、それ以外のフィールドには“0”を書き込んでおく。同様にテーブル番号Nのテーブルには、テーブル番号“N”を書き込み、それ以外のフィールドには“0”を書き込んでおく。フロー解析部31は、このようにしてN個のフローテーブル32を予め用意しておく。
フロー解析部31は、ステップ502で、例えば4つのハッシュ関数に対する4つのテーブル番号を生成したら、4つ全てのテーブル番号に相当するフローテーブル32の内容を確認する(ステップ503)。ここでは、まず、フロー解析部31は、フローテーブル32の送信元IPアドレス402、宛先IPアドレス403、送信元ポート番号404、宛先ポート番号405、プロトコル番号406、IPバージョン407の各値と、ステップ501で抽出されたフロー情報の各値がすべて一致するテーブルが存在するか確認する。フロー情報中の全てのフィールドが一致するテーブルが存在した場合、同一テーブル有と判定する。フロー解析部31は、フロー情報中の全てのフィールドが一致するテーブルが存在しなかった場合、未使用のテーブルが存在するか確認する。未使用かどうかは、パケット数カウンタが“0”であるかどうかで判断する。フロー解析部31は、パケット数カウンタが“0”の場合、未使用であると判断し、空きテーブル有と判定する。全てのテーブルのパケット数カウンタが“0”以外であった場合、空きテーブル無と判定する。
また、フロー解析部31は、ステップ503の結果、空きテーブル有と判定された場合は、フロー解析部31は、該当するテーブル番号のフローテーブル32にステップ501で抽出されたフロー情報を書き込む(ステップ505)。テーブル番号nのテーブルが空きテーブル有りと判定されたとすると、送信IPアドレスフィールド402−n、宛先IPアドレスフィールド403−n、送信元ポート番号404−n、宛先ポート番号405−n、プロトコル番号406−n、IPバージョン407−nにステップ501で抽出されたフロー情報を書き込み、パケット数カウンタ408−nには“0”を書き込む。複数個のエントリが未使用であった場合、テーブル番号が予め定められた順番で、例えば、最も小さい(又は最も大きい)エントリを使用する。次に、フロー解析部31は、前記エントリ内のパケット数カウンタ値408−nに1を加える(ステップ506)。
FIG. 4 shows an example of the flow table 32.
The flow table 32 for one flow includes a
When the
If the
また、ステップ503の結果、同一テーブル有と判定された場合は、フロー解析部31は、同一テーブル内のパケット数カウンタ値に1を加える(ステップ506)。ここではテーブル番号yのテーブルが同一テーブルであると判定されたとする。パケット数カウンタフィールド408−yに“1”を加え、それ以外のフィールドには何も実行しない。
さらに、ステップ503の結果、空きテーブル無と判定された場合は、フロー解析部31は、4つのテーブル中のどれか一つのテーブルを上書きする。4つのテーブル中どのテーブルを上書きするかは、例えば、4つのテーブルのパケット数カウンタフィールドを比較し、一番小さいパケット数のテーブルを上書き可能テーブルとして決定する(ステップ504)。ここではテーブル番号zのテーブルが上書き可能テーブルとして決定されたとする。決定されたテーブルに対し、送信IPアドレスフィールド402−z、宛先IPアドレスフィールド403−z、送信元ポート番号404−z、宛先ポート番号405−z、プロトコル番号406−z、IPバージョン407−zの各フィールドに該当パケットから抽出された情報を書き込み、パケット数カウンタ値フィールド408−zに“0”を書き込む(ステップ505)。次に、フロー解析部31は、パケット数カウンタフィールド408−zに“1”を加える(ステップ506)。
次に、フロー解析部31は、上述のようにステップ506でパケット数カウンタフィールドに“1”を加えた結果、パケット数カウンタが規定の閾値を超えているかどうかを確認する(ステップ507)。前記閾値は、閾値情報30に格納されているので、フロー解析部31はこれを参照する。閾値情報30の内容は、例えば、管理端末180を用いて事前に設定しておくことができる。フロー解析部31は、ステップ507において、前記パケット数フィールドの値が閾値情報30の閾値フィールドに定義されている値と一致した場合又はそれ以上の場合、閾値越えが発生したと判断し、閾値越え情報16を生成し、帯域監視部600に送信する(ステップ508)。閾値越え情報16の内容は、例えば、前記エントリ内に格納されている、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報を含む。閾値を超えていなかった場合は、何もしない。
If it is determined in
Furthermore, when it is determined in
Next, as described above, the
図6に、本実施の形態の帯域監視部を示すブロック図を示す。
次に帯域監視部600の構成を図6を用いて説明する。帯域監視部600は、帯域監視処理部61と、監視対象を格納しておく帯域監視テーブル62と、監視帯域閾値を格納しておく帯域閾値情報60と、監視時間情報を格納しておく時刻閾値情報63と、現在時刻を示す時刻情報64を備える。帯域閾値情報60と時刻閾値情報は、例えば、管理端末180より設定される。
以下に、帯域監視部600の詳細動作を図7を用いて説明する。帯域監視部600の帯域監視処理部61はフロー検出部300から情報をもらう場合と、パケット送信回路150より情報をもらう場合、の二つの場合が存在する。フロー検出部300から情報をもらった場合はステップ701を実行し、パケット送信回路から情報をもらった場合はステップ702以降を実行する。
ステップ701で、帯域監視処理部61は、フロー検出部300より送られてきた閾値越え情報16をもとに帯域監視テーブル62のエントリを作成する。
FIG. 6 is a block diagram showing the bandwidth monitoring unit of the present embodiment.
Next, the configuration of the
The detailed operation of the
In
図8に、帯域監視テーブルの一例を示す。帯域監視テーブル800は、フロー情報801と帯域802と初回違反時間803と前回違反時間804とフラグ805を含む。フロー情報801には送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等の情報が格納され、帯域802にはフロー情報801で指示されるフローの現在の帯域情報が格納され、初回違反時間803には、初めて帯域違反と判定された時刻が格納され、前回違反時間には、直前に帯域違反と判定された時刻が格納されて、フラグ805には、当該テーブルが使用中のテーブルであれば“1”が、未使用のテーブルであれば“0”が格納される。初期状態では全てのテーブルのフラグが“0”に設定されている。
FIG. 8 shows an example of the bandwidth monitoring table. The bandwidth monitoring table 800 includes
ステップS701では、まず、帯域監視処理部61は、既に存在する全ての帯域監視テーブル62のフロー情報801と、フロー検出部300より送られてきた閾値越え情報16とを比較する。フロー情報801と閾値越え情報16にはともに、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等の情報が格納されている。帯域監視処理部61は、この比較では、フラグが“1”のテーブルのフロー情報801と閾値越え情報16の全てのフィールドが一致するテーブルがあるかどうかをチェックする。
帯域監視処理部61は、一致するテーブルが存在しなかった場合には、新規エントリを作成する。フロー情報801には閾値越え情報16として送られてきた、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン、が格納され、帯域802、初回違反時間803、前回違反時間804のフィールドには0が格納され、フラグ805が“1”に設定される。新規テーブルを作成する場合は、予め定められた順番により、例えば、フラグが“0”で一番アドレスが小さいテーブルを選択する。
一方、一致するエントリが存在した場合には、帯域監視処理部61は、該等閾値越え情報16を無視する。
In step S701, first, the bandwidth
The bandwidth
On the other hand, if there is a matching entry, the bandwidth
ステップ702として、帯域監視処理部61は、受信したパケットヘッダ情報221に含まれる、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョンから生成したフロー情報と、帯域監視テーブル800に格納されているフロー情報801の、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等とを比較する。帯域監視処理部61は、帯域監視テーブル800に格納されているフラグが“1”の全てのエントリと比較を行い、一致するエントリを検索する。
一致するエントリが存在しなかった場合、該当フロー情報を含む監視情報19をアクション制御部900へ送信する(ステップ713)。送信する監視情報19は、帯域監視テーブル800に“エントリ無”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、を送信する。
帯域監視処理部61は、ステップ702で、一致するエントリが存在した場合、帯域を測定する(ステップ703)。帯域とは、例えば、単位時間(1秒)あたりの受信バイト数とすることができる。受信バイト数とは、受信したパケットのパケットヘッダ情報221に含まれるL3パケット長216を単位時間に受信した数だけ加算した値とすることができる。また、これ以外の方法で帯域を測定してもよく、そのために、帯域監視テーブル800に帯域を監視するための受信バイト数を格納しておくフィールド等の帯域計算に必要なフィールドを加えても良い。
次に、帯域監視処理部61は、ステップ703で計測された帯域の値が、閾値を超えているか確認する(ステップ704)。前記閾値は帯域閾値情報60に設定されているので、帯域監視処理部61はこれを参照する。閾値を超えるかもしくは等しい場合、帯域監視処理部61は、帯域違反が発生したと判定する。一方、閾値を超えていない場合、帯域監視処理部61は、帯域遵守であると判定する。
In
If there is no matching entry, the monitoring
If there is a matching entry in
Next, the bandwidth
ステップ704で帯域遵守と判定された場合、帯域監視処理部61は、現在時刻情報64及び時刻閾値情報63を参照し、ステップ702で一致するエントリとして検索されたフローが書き込まれている帯域監視テーブル800のエントリの前回違反時間804と現在時刻の差分の時間が、時刻閾値情報63を超えているかを確認する(ステップ705)。閾値を超えている場合、帯域監視処理部61は、一定時間以上該当フローは帯域を遵守していると判断し、監視対象から除外する。帯域監視処理部61は、この該当フローを監視対象から除外するために、帯域監視テーブル800から該当エントリを削除する(ステップ707)。エントリの削除とは該当エントリのフラグ805を“0”にすることである。ステップ704で時刻閾値情報63を超えていない場合、帯域監視処理部61は、一定時間以上該当フローが帯域を遵守していないと判断し、監視対象のままとする。
次に、帯域監視処理部61は、該当フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ712)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域を遵守したことを表す帯域遵守情報と、ステップ705で確認した一定時間以上帯域を遵守していたかどうかの情報である。
When it is determined in
Next, the bandwidth
ステップ704で帯域違反と判定された場合、帯域監視処理部61は、違反回数を確認する(ステップ706)。該当フローのエントリの初回違反時間803が0である場合、1回目であると判定される。
1回目と判断された場合、帯域監視処理部61は、該当フローのエントリの初回違反時間803と前回違反時間804に、現在時刻を書き込む(ステップ708)。次に、帯域監視処理部61は、該フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ710)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域を違反したことを表す帯域違反情報と、違反が1回目であるという情報である。
ステップ706で2回目以降であると判断された場合、帯域監視処理部61は、該当フローのエントリの前回違反時間804に現在時刻を格納する(ステップ709)。次に該当フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ711)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域違反情報と、違反が2回目以降であるという情報である。
If it is determined in
If it is determined as the first time, the bandwidth
If it is determined in
図9に、本実施の形態のアクション実行部を示すブロック図を示す。
アクション制御部900を図9を用いて説明する。アクション制御部900は、フロー情報を格納しておくフローデータベース90と、アクションを決定するアクション決定部91と、実行すべきアクションの内容と順序が格納されているアクションデータベース92と、時間閾値情報93と、現在時刻情報94とを含む。
図10に、フローデータベースの例を示す。
フローデータベース1000は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等の情報を格納するフロー情報フィールド1001と、該当エントリが登録された時刻を格納するアクション開始時刻フィールド1002と、アクションが実行されていた時間の長さを格納するアクション実行時間フィールド1003を含む。
図12に、アクションデータベースの例を示す。
アクションデータベース1200は、アクションの開始時刻を表すフィールド1201と、アクションの終了時刻を表すフィールド1202と、アクション内容1203を含む。例えば、開始時刻0秒から終了時刻10秒まではアクション内容としてアクションTOS値を“5”にマーキングの処理を実行、開始時刻10秒から終了時刻30秒まではアクション内容としてWREDを実行、開始時刻30秒から終了時刻60秒まではアクション内容としてUPCを実行、といったように、一連又は一組等のアクション処理を構成する各々のアクション内容とアクションの順序が設定される。開始時刻と終了時刻の間の時間が複数のテーブルで重複して設定された場合は、予め定められた順番により、例えば、テーブルアドレスが小さいものが優先して選択されるものとする。アクションデータベース92と時間閾値情報93は、例えば、管理端末180を用いて事前に設定することができる。
FIG. 9 is a block diagram showing the action execution unit of the present embodiment.
The
FIG. 10 shows an example of the flow database.
The
FIG. 12 shows an example of the action database.
The
図11に、本実施の形態のアクション実行部のフローチャートを示す。
次にアクション制御部900の詳細動作を図11を用いて説明する。
アクション制御部900のアクション決定部91は、帯域監視部600から送られてきた監視情報19を元に、帯域監視テーブル62にエントリが有ったかどうかのチェックを行う(ステップ1100)。
ステップ1100でエントリが無かったと判定された場合、アクション決定部91は、パケット送信回路150に対し該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
ステップ1100でエントリ有と判定された場合、アクション決定部91は、次に帯域を遵守していたか違反していたかのチェックを行う(ステップ1101)。
ステップ1101で遵守していたと判定された場合、アクション決定部91は、さらに帯域監視部600から送られてきた監視情報19をもとに、一定時間以上帯域を遵守していたか判定する(ステップ1102)。
FIG. 11 shows a flowchart of the action execution unit of the present embodiment.
Next, the detailed operation of the
The
If it is determined in
If it is determined in
If it is determined in
ステップ1102で一定時間以上帯域を遵守していたと判定された場合、アクション決定部91は、フローデータベース90より、フロー情報フィールドに格納されている送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報が一致するエントリが存在するかどうかを検索する(ステップ1103)。
ステップ1103の検索の結果、該当エントリが存在した場合、アクション決定部91は、現在時刻情報94及び時間閾値情報93を参照し、現在時刻からアクション開始時刻1002の差を求め、その差からさらに遵守していた時間である時間閾値情報93に設定された値を減算した時間を求め、その時間を該当エントリのアクション実行時間フィールド1003に書き込む(ステップ1104)。このフィールドを使用することで、次回同一のフローが帯域違反をした場合に、最も有効であったアクションを違反した直後から実行できるようにする。例えば、アクション開始時刻と現在時刻との差が30秒であったならば(時間閾値情報93に0が設定されている場合)、アクション実行時間フィールド1003に30という値が書き込まれる。次に、アクション決定部91は、パケット送信回路150に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
If it is determined in
If there is a corresponding entry as a result of the search in
ステップ1102で一定時間以上帯域を遵守していないと判定された場合、アクション決定部91は、エントリ削除対象では無いと判断し、エントリの削除は行わず、パケット送信回路150に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
ステップ1103での検索の結果、該当エントリが存在しなかった場合、アクション決定部91は、特にアクションは行わず、パケット送信回路150に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
If it is determined in
If the corresponding entry does not exist as a result of the search in
一方、ステップ1101で違反していたと判定された場合、アクション決定部91は、さらに帯域監視部600から送られてきた監視情報19を元に、違反が1回目か2回目以降なのかの判定を行う(ステップ1106)。
ステップ1106で1回目であると判定された場合、アクション決定部91は、フローデータベース90を参照し、フロー情報フィールドに格納されている送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報が一致するエントリが存在するかどうかを検索する(ステップ1107)。
On the other hand, if it is determined in
If it is determined in step 1106 that it is the first time, the
ステップ1107でエントリが存在した場合、アクション決定部91は、該当のエントリのアクション開始時刻1002に“0”を書き込み、アクション実行時間1003を読み込む。アクション決定部91は、アクション実行時間1003の情報より、次のように実行すべきアクションを決定する。すなわち、アクション決定部91は、アクションデータベース92より、アクション実行時間1003の時間が開始時刻と終了時刻の間に入っているアクションを検索し決定する(ステップ1108)。次にアクション決定部91は、パケット送信回路150に対して決定されたアクションを実行するようにアクション指示情報13を送信する(ステップ1109)。送信するアクション指示情報13は、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、アクション内容である。
If there is an entry in step 1107, the
ステップ1107でエントリが存在していなかった場合、アクション決定部91は、フローデータベース90に新規にエントリを登録する。新しく、フロー情報フィールド1001に送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョンを書き込み、アクション開始時刻1002に現在時刻94より現在時刻情報を読み込み値を書き込み、アクション実行時間に“0”を書き込む(ステップ1110)。次に、アクション決定部91は、アクション開始時刻1002と現在時刻94の差にアクション実行時間を加算した値(ここでは“0”秒)が開始時刻1201と終了時刻1202の間に入っているアクションを、アクションデータベースより検索しアクション内容1203を決定する(ステップ1111)。この場合、開始時刻が0秒に設定されているアクションを検索することになる。次に、アクション決定部91は、パケット送信回路150に対して決定されたアクションを実行するようにアクション指示情報13を送信する(ステップ1109)。送信するアクション指示情報13は、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、アクション内容である。
If no entry exists in step 1107, the
ステップ1106で2回目以降であると判定された場合、アクション決定部91は、フローデータベース90を参照し、フロー情報フィールドに格納されている送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報が一致するエントリが存在するかどうかを検索する。2回目以降の場合は必ずエントリが存在するので、アクション決定部91は、該当エントリのアクション開始時刻1002とアクション実行時間1003を読み込む。アクション決定部91は、現在時刻情報94を参照し、アクション開始時刻と現在時刻との差を求め、その値とアクション実行時間の値を加算する。アクション決定部91は、その加算した値が開始時刻1201と終了時刻1202の間に入っているアクションをアクションデータベース92より検索し、アクション内容1203を決定する。例えば、アクション開始時刻と現在時刻との差が10秒であり、アクション実行時間の値が30秒であれば、合計40秒となる。この40秒の値を元に、アクションデータベース92より開始時刻1201と終了時刻1202の間に40秒を含むアクション内容1203を検索することになる。例えば、開始時刻10秒、終了時刻60秒のアクションがあれば、そのアクションが選択される。次にアクション決定部91は、パケット送信回路150に対して決定されたアクションを実行するように情報を送信する(ステップ1109)。送信するアクション指示情報13は、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、アクション内容である。
If it is determined in step 1106 that it is the second time or later, the
パケット送信回路150では、アクション制御部900から送られてきたアクション指示情報13を元に、該当フローに対して制御を行う。例えば、アクション内容としての実行情報がTOS値の書き換えといったパケットヘッダの書き換え指示であったならば、パケット送信回路150は、パケットの該当フィールドの値を書き換える。例えば、アクション内容としての実行情報がパケットの廃棄であったならば、パケット送信回路150は、該当パケットの廃棄処理を行う。特にアクションが指示されていなければ、パケット送信回路150は、該当フローに相当するパケットをそのまま送信する。
The
本実施の形態ではアクションデータベースを一組だけ持つ例を示したが、複数組みのアクションデータベースをもっても良い。どの組みのアクションデータベースを選択するかは、フローの特長毎に割り当てれば良い。例えば、受信パケットの宛先ポート番号の範囲でアクションデータベースの組みを決定しても良い。例えば、宛先ポートが0〜1024まではアクションデータベースの1組目からアクションを決定、1025〜2048まではアクションデータベースの2組目からアクションを決定、それ以外はアクションデータベースの3組目から決定、等としてもよい。また同様に、プロトコル番号の範囲でアクションデータベースの範囲を決定しても良い。さらには、時刻によりアクションデータベースを決定してもよい。0時〜12時まではアクションデータベースの1組目からアクションを決定。12時〜24時まではアクションデータベースの2組目からアクションを決定としてもよい。
以上のように、複数の制御動作を順番に実行するアクション制御部900において、あらかじめ設定された制御順番を最適なものに自律的に変更することができる。また、アクション制御部900は、フローがポリシ違反している時間の長さにより、制御動作の切替を行うことができる。さらに、アクション制御部900は、制御の順番と制御内容を記載した組みを複数組み持つことができる。
In the present embodiment, an example in which only one set of action databases is provided is shown, but a plurality of sets of action databases may be provided. Which set of action databases to select may be assigned for each flow feature. For example, the combination of action databases may be determined within the range of the destination port number of the received packet. For example, when the destination port is 0 to 1024, the action is determined from the first set of the action database, from 1025 to 2048, the action is determined from the second set of the action database, and the other is determined from the third set of the action database. It is good. Similarly, the range of the action database may be determined by the range of protocol numbers. Furthermore, the action database may be determined based on time. From 0 o'clock to 12 o'clock, the action is determined from the first set in the action database. From 12:00 to 24:00, the action may be determined from the second set of the action database.
As described above, in the
以上、本発明の実施の形態について説明したが、本システムは上述の図示例にのみ限定されるものではない。上述の説明では帯域監視部600で監視を実行するにあたり、帯域を用いたが、これを帯域ではなく、該当フローが消費している電力を算出し、電力を監視することで遵守、違反を判定しても良い。また、単位時間あたりのセッション開始数を監視対象としても良い。
As mentioned above, although embodiment of this invention was described, this system is not limited only to the above-mentioned illustration example. In the above description, the
160…フロー制御部
300…フロー検出部
600…帯域監視部
900…アクション制御部
10…パケットヘッダ情報
11…出力回線番号
13…アクション指示情報
14…パケットヘッダ情報
16…閾値越え情報
19…監視情報
160 ...
Claims (9)
受信または送信するパケットからフローを検出するフロー検出部と、
フロー情報と帯域と初回違反時間と前回違反時間と使用中又は未使用のフラグとを含むエントリを記憶する帯域監視テーブルを有し、前記フロー検出部が検出したフローがあらかじめ設定されたポリシに違反するか遵守するかを判定する帯域監視部と、
前記帯域監視部が判定したポリシに違反したフローに対して、あらかじめ設定された複数のアクション制御動作を順番に実行するアクション制御部と、
を備え、
パケット送信部は、受信したパケットのヘッダ情報を前記フロー検出部に送信し、
前記フロー検出部は、前記パケット送信部から受信したパケットのヘッダ情報を用いてフローを特定し、特定したフローのフロー情報毎にパケット数をカウントし、該パケット数が設定された閾値を超えたフローのフロー情報を含む閾値越え情報を前記帯域監視部へ送信し、
前記帯域監視部は、
前記フロー検出部より送られてきた閾値越え情報をもとに帯域監視テーブルのエントリを作成し、
受信したパケットのヘッダ情報に含まれるフロー情報と、帯域監視テーブルに格納されているフロー情報とを、フラグが使用中の全てのエントリについて比較し、
a. 一致するエントリが存在しなかった場合、エントリ無しの情報及びフロー情報を含む監視情報を前記アクション制御部へ送信し、
b. 一致するエントリが存在した場合、帯域を測定し、予め定められた閾値を超えているか確認し、
i) 帯域が閾値を超えていない場合、帯域遵守であると判定し、現在時刻と該当するエントリの前回違反時間との差分の時間が、時刻閾値を超えているかを確認し、
時刻閾値を超えている場合、監視対象から除外するために、帯域監視テーブルから該当エントリをフラグを未使用にすることで削除し、一方、時刻閾値を超えていない場合、監視対象のままとし、
該当フローの、エントリ有りの情報とフロー情報と帯域遵守情報と一定時間以上帯域を遵守していたかどうかの情報を含む監視情報を前記アクション制御部へ送信し、
ii) 帯域が閾値以上の場合、帯域違反が発生したと判定し、初回違反時間に基づき違反回数を確認し、
該当フローのエントリの初回違反時間と前回違反時間を更新し、
該フローの、エントリ有の情報とフロー情報と帯域違反情報と違反が1回目又は2回目以降であるという情報とを含む監視情報を前記アクション制御部へ送信し、
前記アクション制御部は、監視情報に基づき、実行するアクション制御を決定し、フロー情報とアクション内容を含むアクション指示情報を前記パケット送信部へ送信し、
前記パケット送信部では、前記アクション制御部から送られてきたアクション指示情報を元に、該当フローに対して制御を行い、一方、アクションが指示されていなければ、該当フローに相当するパケットをそのまま送信する
ようにしたパケットを中継する中継装置。
A packet transmitter that performs packet transmission processing;
A flow detector for detecting a flow from a packet to be received or transmitted;
It has a bandwidth monitoring table that stores entries including flow information, bandwidth, initial violation time, previous violation time, and in-use or unused flag, and the flow detected by the flow detector violates a preset policy. A bandwidth monitoring unit for determining whether to comply or
An action control unit that sequentially executes a plurality of preset action control operations for a flow that violates the policy determined by the bandwidth monitoring unit;
With
The packet transmission unit transmits header information of the received packet to the flow detection unit,
The flow detection unit identifies a flow using header information of a packet received from the packet transmission unit, counts the number of packets for each flow information of the identified flow, and the number of packets exceeds a set threshold value Sending information exceeding the threshold value including flow information of the flow to the bandwidth monitoring unit,
The bandwidth monitoring unit
Create a bandwidth monitoring table entry based on the threshold value exceeded information sent from the flow detection unit,
The flow information included in the header information of the received packet is compared with the flow information stored in the bandwidth monitoring table for all entries in which the flag is in use,
a. If there is no matching entry, send monitoring information including no entry information and flow information to the action control unit,
b. If there is a matching entry, measure the bandwidth and check if it exceeds a predetermined threshold,
i) If the bandwidth does not exceed the threshold, it is determined that the bandwidth is being observed, and whether the time of the difference between the current time and the previous violation time of the corresponding entry exceeds the time threshold,
If the time threshold is exceeded, the corresponding entry is deleted from the bandwidth monitoring table by making the flag unused in order to exclude it from the monitoring target.
Sending the monitoring information including the information of the corresponding flow, the entry information, the flow information, the band compliance information, and whether or not the band has been observed for a certain period of time to the action control unit,
ii) If the bandwidth is above the threshold, determine that a bandwidth violation has occurred, check the number of violations based on the initial violation time,
Update the first violation time and last violation time for the entry in the flow,
Sending the monitoring information including the information with entry of the flow, the flow information, the bandwidth violation information, and the information that the violation is first or second time to the action control unit,
The action control unit determines action control to be executed based on the monitoring information, and transmits action instruction information including flow information and action content to the packet transmission unit ,
The packet transmission unit controls the corresponding flow based on the action instruction information sent from the action control unit. On the other hand, if no action is instructed, the packet corresponding to the corresponding flow is transmitted as it is. A relay device that relays packets that are to be sent.
前記フロー検出部は、
受信したヘッダ情報に含まれる、フロー情報を抽出し、
抽出された項目の組み合わせより、パケット数を積算するための前記フローテーブルのテーブル番号を複数生成し、
複数のテーブル番号を生成したら、複数の全てのテーブル番号に相当する前記フローテーブルの内容を確認し、該当するエントリ内のパケット数カウンタに1を加え、
パケット数カウンタが、予め定められた閾値を超えているかどうかを確認し、
閾値を越えていた場合、前記フロー情報を含む閾値越え情報を生成し、前記帯域監視部に送信し、
閾値を越えていなかった場合は、閾値越え情報を送信しないこと
を特徴とする請求項1に記載の中継装置。
The flow detection unit includes a flow table that stores an entry including a table number, flow information, and a packet number counter.
The flow detector is
Extract the flow information included in the received header information,
From the combination of the extracted items, generate a plurality of table numbers of the flow table for integrating the number of packets,
After generating a plurality of table numbers, check the contents of the flow table corresponding to all the table numbers, add 1 to the packet number counter in the corresponding entry,
Check if the packet counter exceeds a predetermined threshold,
If the threshold is exceeded, generate threshold exceeding information including the flow information, and send to the bandwidth monitoring unit,
The relay apparatus according to claim 1, wherein if the threshold value is not exceeded, the threshold value exceeded information is not transmitted.
The table number is generated by using a plurality of hash functions for predetermined selection items in the flow information, and using the obtained hash values as table numbers. Relay device.
前記フロー検出部より送られてきた閾値越え情報をもとに、既に存在する全ての帯域監視テーブルのフロー情報と、前記フロー検出部より送られてきた閾値越え情報に含まれるフロー情報とを比較し、
一致するテーブルが存在しなかった場合には、前記フロー情報と、帯域及び初回違反時間及び前回違反時間の予め定められた設定値と、フラグの使用中設定値とにより、帯域監視テーブルに新規エントリを作成すること
を特徴とする請求項1に記載の中継装置。
The bandwidth monitoring unit
Based on the threshold crossing information sent from the flow detection unit, the flow information of all the existing bandwidth monitoring tables is compared with the flow information included in the threshold crossing information sent from the flow detection unit And
If there is no matching table, a new entry is entered in the bandwidth monitoring table based on the flow information, the preset values of the bandwidth, the initial violation time, and the previous violation time, and the setting value in use of the flag. The relay device according to claim 1 , wherein the relay device is created.
フロー情報と、該当エントリが登録された時刻を格納するアクション開始時刻と、アクションが実行されていた時間の長さを格納するアクション実行時間を含むエントリを記憶するフローデータベースと、
一連又は一組のアクションについて、アクションの開始時刻とアクションの終了時刻とアクション内容とを含むエントリをアクションの順序に従い記憶されているアクションデータベースと
を備え、
前記アクション制御部は、
前記帯域監視部から送られてきた監視情報に基づき、前記帯域監視部の帯域監視テーブルにエントリが有ったか無かったかのチェックを行い、
a. エントリが無かったと判定された場合、パケット送信回路に対し、該当フローに対するアクションは何も実行せず送信可能であるというアクション指示情報を送信し、
b. エントリが有りと判定された場合、帯域を遵守していたか違反していたかの帯域遵守/違反チェックを行い、
前記帯域遵守/違反チェックにより、帯域を違反していたと判定された場合、前記帯域監視部から送られてきた監視情報を元に、違反が1回目か2回目以降なのかの回数判定を行い、
i) 前記回数判定で1回目であると判定された場合、前記フローデータベースより、監視情報に含まれるフロー情報とフロー情報が一致するエントリが存在するかどうかを検索し、
エントリが存在した場合、該当のエントリのアクション開始時刻に‘0’を書き込み、アクション実行時間を読み込み、前記アクションデータベースより、アクション実行時間の時間が開始時刻と終了時刻の間に入っているアクションを検索し決定し、
一方、エントリが存在しなかった場合、フロー情報に書き込み、アクション開始時刻に現在時刻を書き込み、アクション実行時間に‘0’を書き込むことにより、新規にエントリを登録し、
アクション開始時刻と現在時刻の差にアクション実行時間を加算した値が、開始時刻と終了時刻の間に入っているアクションを、前記アクションデータベースより検索しアクションを決定し、
ii) 前記回数判定で2回目以降であると判定された場合、前記フローデータベースより、監視情報に含まれるフロー情報とフロー情報が一致するエントリのアクション開始時刻とアクション実行時間を読み込み、
アクション開始時刻と現在時刻より差を求め、その値とアクション実行時間の値を加算し、その加算した値が開始時刻と終了時刻の間に入っているアクションを前記アクションデータベースより検索し、決定し、
パケット送信回路に対して、決定されたアクションを実行するように、フロー情報とアクション内容を含むアクション指示情報を送信すること
を特徴とする請求項1乃至4のいずれかに記載の中継装置。
The action control unit
A flow database for storing an entry including flow information, an action start time for storing the time when the corresponding entry is registered, and an action execution time for storing a length of time during which the action has been executed;
An action database storing entries including a start time of action, an end time of action, and an action content for a series or set of actions in accordance with the order of actions;
The action control unit
Based on the monitoring information sent from the bandwidth monitoring unit, check whether there is an entry in the bandwidth monitoring table of the bandwidth monitoring unit,
a. When it is determined that there is no entry, the action instruction information is transmitted to the packet transmission circuit, indicating that the action can be transmitted without executing any action for the corresponding flow.
b. If it is determined that there is an entry, a band compliance / violation check is performed to see if the band was observed or was violated.
If it is determined by the band compliance / violation check that the band has been violated, based on the monitoring information sent from the band monitoring unit , determine the number of times the violation is first or second,
i) When the number of times is determined to be the first time, the flow database is searched for whether or not there is an entry that matches the flow information included in the monitoring information.
If there is an entry, write “0” to the action start time of the corresponding entry, read the action execution time, and select an action whose action execution time is between the start time and end time from the action database. Search and decide,
On the other hand, if the entry does not exist, the entry is newly registered by writing in the flow information, writing the current time in the action start time, and writing “0” in the action execution time.
A value obtained by adding the action execution time to the difference between the action start time and the current time is searched from the action database for an action that falls between the start time and the end time, and the action is determined.
ii) If the number of times is determined to be the second time or later, the action start time and the action execution time of the entry in which the flow information and the flow information included in the monitoring information match are read from the flow database,
Find the difference from the action start time and the current time, add the value and the action execution time value, search the action database for the action that the added value is between the start time and end time, and determine ,
5. The relay apparatus according to claim 1, wherein action instruction information including flow information and action content is transmitted to the packet transmission circuit so as to execute the determined action.
前記帯域監視部から送られてきた監視情報をもとに、一定時間以上帯域を遵守していたか判定し、
一定時間以上帯域を遵守していたと判定された場合、前記フローデータベースより、フロー情報が一致するエントリが存在するかどうかを検索し、
i) 前記フローデータベースに該当エントリが存在した場合、該当エントリのアクション実行時間に、現在時刻からアクション開始時刻の差を求め、その差からさらに遵守していた時間である時間閾値情報に設定された値を減算した時間を書き込み、パケット送信回路に対し、該当フローに対するアクションは何も実行せず送信可能であるというアクション指示情報を送信し、
一方、一定時間以上帯域を遵守していないと判定された場合、パケット送信回路に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信し、
ii) 一方、前記フローデータベースに該当エントリが存在しなかった場合、特にアクションは行わず、パケット送信回路に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信すること
を特徴とする請求項5に記載の中継装置。
If it is determined by the band compliance / violation check that the band has been observed,
Based on the monitoring information sent from the band monitoring unit , determine whether or not the band has been observed for a certain period of time,
If it is determined that the band has been observed for a certain period of time, the flow database is searched for an entry with the matching flow information,
i) When there is a corresponding entry in the flow database, the action execution time of the corresponding entry is determined as the time threshold information, which is the time that the action start time is calculated from the current time, and the difference is further observed from the difference. Write the time after subtracting the value, and send action instruction information to the packet transmission circuit that it can be sent without executing any action for the flow.
On the other hand, if it is determined that the bandwidth has not been observed for a certain time or longer, the packet transmission circuit performs no action on the corresponding flow and transmits information indicating that transmission is possible.
ii) On the other hand, when the corresponding entry does not exist in the flow database, no action is performed, and no action is performed on the corresponding flow to the packet transmission circuit, and information indicating that transmission is possible is transmitted. The relay device according to claim 5 .
前記アクションデータベースのうちどの一つ又は複数選択するかを、宛先、送信元、プロトコル番号、又は、時間等のフローの特長毎に割り当てることを特徴とする請求項5又は6のいずれかに記載の中継装置。
A plurality of the action databases;
How one or more selected ones of said action database, the destination, source, protocol number, or, according to claim 5 or 6, characterized in that assigned to each feature of the flow of time, etc. Relay device.
The flow information, source IP address, destination IP address, source port number, destination port number, protocol number, the relay apparatus according to any one of claims 1 to 7, characterized in that it comprises an IP version information .
The bandwidth monitoring unit, in executing the monitoring, determines compliance or violation by monitoring the power consumed by the corresponding flow or the number of session starts per unit time instead of the bandwidth. The relay device according to claim 1 to 8 .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008192768A JP4994323B2 (en) | 2008-07-25 | 2008-07-25 | Relay device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008192768A JP4994323B2 (en) | 2008-07-25 | 2008-07-25 | Relay device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010034708A JP2010034708A (en) | 2010-02-12 |
JP4994323B2 true JP4994323B2 (en) | 2012-08-08 |
Family
ID=41738723
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008192768A Expired - Fee Related JP4994323B2 (en) | 2008-07-25 | 2008-07-25 | Relay device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4994323B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102158401B (en) * | 2011-03-03 | 2013-08-21 | 江苏方天电力技术有限公司 | Flow monitoring model based on electric automation system |
JP5710418B2 (en) * | 2011-08-08 | 2015-04-30 | アラクサラネットワークス株式会社 | Packet relay apparatus and method |
JP5916234B2 (en) * | 2013-11-01 | 2016-05-11 | 日本電気株式会社 | COMMUNICATION DEVICE, CONTROL DEVICE, COMMUNICATION SYSTEM, COMMUNICATION CONTROL METHOD, AND PROGRAM |
JP6470201B2 (en) * | 2016-02-16 | 2019-02-13 | 日本電信電話株式会社 | Attack detection device, attack detection system, and attack detection method |
WO2023112173A1 (en) * | 2021-12-14 | 2023-06-22 | 日本電信電話株式会社 | Traffic monitoring device, traffic monitoring method, and program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003085139A (en) * | 2001-09-10 | 2003-03-20 | Mitsubishi Electric Corp | Intrusion detecting control system |
-
2008
- 2008-07-25 JP JP2008192768A patent/JP4994323B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010034708A (en) | 2010-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11855967B2 (en) | Method for identifying application information in network traffic, and apparatus | |
JP4547342B2 (en) | Network control apparatus, control system, and control method | |
KR102569305B1 (en) | Data message detection method, device and system | |
WO2022017249A1 (en) | Programmable switch, traffic statistics method, defense method, and packet processing method | |
JP4774357B2 (en) | Statistical information collection system and statistical information collection device | |
CN109889547B (en) | Abnormal network equipment detection method and device | |
US7379426B2 (en) | Routing loop detection program and routing loop detection method | |
US10735501B2 (en) | System and method for limiting access request | |
EP2482497B1 (en) | Data forwarding method, data processing method, system and device thereof | |
JP6142702B2 (en) | Monitoring device, monitoring method and program | |
JP4994323B2 (en) | Relay device | |
CN110166480B (en) | Data packet analysis method and device | |
WO2008062787A1 (en) | Flow information restricting apparatus and method | |
WO2022105691A1 (en) | Method for preventing ipfix message loss, application thereof, and asic chip | |
CN112929376A (en) | Flow data processing method and device, computer equipment and storage medium | |
WO2022100581A1 (en) | Method for processing ipfix message, storage medium, network switching chip and asic chip | |
RU2358395C2 (en) | Method of reducing transmission time of run file through test point | |
CN115017502A (en) | Flow processing method and protection system | |
JP4871775B2 (en) | Statistical information collection device | |
CN108833282A (en) | Data forwarding method, system, device and SDN switch | |
CN114615200A (en) | Elephant flow detection method and device based on ACL | |
KR101472523B1 (en) | Security device controlling unidentified traffic and operating method thereof | |
CN100484029C (en) | Network controller, network control system and network control method | |
JP4165828B2 (en) | Communication network, network control server, traffic control method, and program | |
KR101707073B1 (en) | Error detection network system based on sdn |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101213 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120124 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120315 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120410 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120508 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150518 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4994323 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |