JP5185862B2 - Traffic observation and control system - Google Patents

Traffic observation and control system Download PDF

Info

Publication number
JP5185862B2
JP5185862B2 JP2009057679A JP2009057679A JP5185862B2 JP 5185862 B2 JP5185862 B2 JP 5185862B2 JP 2009057679 A JP2009057679 A JP 2009057679A JP 2009057679 A JP2009057679 A JP 2009057679A JP 5185862 B2 JP5185862 B2 JP 5185862B2
Authority
JP
Japan
Prior art keywords
traffic
control
packet
mark
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009057679A
Other languages
Japanese (ja)
Other versions
JP2010213048A (en
Inventor
一弥 大河内
信隆 川口
倫宏 重本
哲郎 鬼頭
博史 仲小路
真敏 寺田
久志 梅木
知明 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2009057679A priority Critical patent/JP5185862B2/en
Publication of JP2010213048A publication Critical patent/JP2010213048A/en
Application granted granted Critical
Publication of JP5185862B2 publication Critical patent/JP5185862B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、トラヒック観測・制御システムに係り、ネットワークを流れるトラヒックを観測し、制御するトラヒック観測・制御システムに関する。   The present invention relates to a traffic observation / control system, and relates to a traffic observation / control system for observing and controlling traffic flowing in a network.

インターネット上では様々な通信が行なわれている。通信の中には、WEBの閲覧、FTPによるファイル転送などの通常のトラヒックと、コンピュータウィルスによる感染活動、ウィルスに感染したPCから特定のサーバに対するDoS攻撃などの、他者に迷惑をかける可能性のあるトラヒックとが混在している。   Various communications are performed on the Internet. During communication, there is a possibility of inconvenience others, such as normal traffic such as browsing the WEB, file transfer by FTP, infection activity due to computer virus, DoS attack against specific server from virus infected PC Is mixed with traffic.

このため、ISP、企業のネットワーク管理部門においては、ネットワークを流れるトラヒックを分析し、一部の好ましくないと判断されたトラヒック通信を制限する処理を行なうことがある。具体的には、P2Pソフトウェアなどのファイル交換ソフトウェアによって発生するトラヒックがネットワークの帯域を圧迫している場合、これらのトラヒックについて帯域の制限を行なうことがある。   For this reason, ISPs and corporate network management departments may analyze the traffic flowing through the network and perform processing to limit some traffic communications that are determined to be undesirable. Specifically, when traffic generated by file exchange software such as P2P software is pressing on the bandwidth of the network, the bandwidth of the traffic may be limited.

トラヒックの分析においては、分析対象となるトラヒックを何らかの方法で分析装置に入力することが必要となる。特許文献1は、ネットワークトラヒックを観測し、分析するシステムにおいて、トラヒックの観測装置で分析対象となるトラヒックを専用の回線にコピーし、分析装置に転送する方法および共用の回線にコピーして分析装置に転送する方法を開示している。   In the traffic analysis, it is necessary to input the traffic to be analyzed into the analyzer by some method. Japanese Patent Application Laid-Open No. 2004-151867 is a system for observing and analyzing network traffic, a method of copying traffic to be analyzed by a traffic observation device to a dedicated line and transferring it to an analysis device, and a copying method to a shared line and an analysis device A method of transferring to is disclosed.

特開2007−184799号公報JP 2007-184799 A

インターネット上におけるトラヒックを観測し、制御を行なう場合、トラヒックのすべてを観測対象としようとすると、観測に伴って生じる処理は、通常膨大な量となる。
特許文献1で述べられている手法では、分析対象のトラヒックをその他通常のトラヒックと同じ回線を用いて転送する方法については考慮されていなかった。このため、分析対象のトラヒックをその他通常のトラヒックと同じ回線を用いて転送する場合、通常トラヒックに影響を及ぼす可能性を排除できなかった。 When observing and controlling traffic on the Internet, if all of the traffic is to be observed, the amount of processing that accompanies the observation is usually enormous.
In the method described in Patent Document 1, no consideration is given to a method of transferring the traffic to be analyzed using the same line as other normal traffic. For this reason, when the traffic to be analyzed is transferred using the same line as other normal traffic, the possibility of affecting the normal traffic cannot be excluded.

上述した課題は、ネットワークを流れるパケットより導出される条件によって、そのセッションに含まれるパケットを識別するためのマークを付与するマーク付与装置と、マークが付与されたパケットのコピーを行ない、トラヒック分析装置に転送するトラヒック複製装置と、指示を受けたセッションのトラヒックについて帯域制御を行なう帯域制御装置と、転送されたマークが付与されたパケットの内容の分析を行ない、分析結果を出力するトラヒック分析装置と、トラヒック分析装置からの出力に応じて帯域制御装置に向けて命令を出力する制御指示装置とからなるトラヒック観測・制御システムにより、解決することができる。   The above-described problems are a mark adding device for adding a mark for identifying a packet included in the session according to a condition derived from a packet flowing in the network, and a traffic analyzing device for copying the packet to which the mark is attached. A traffic duplicating device that forwards to the network, a bandwidth control device that performs bandwidth control on the traffic of the instructed session, a traffic analysis device that analyzes the content of the packet with the transferred mark and outputs the analysis result, and This can be solved by a traffic observation / control system comprising a control instruction device that outputs a command to the bandwidth control device in accordance with the output from the traffic analysis device.

本発明によれば、ネットワーク上を流れる通信において、分析対象となったトラヒックを、その他のトラヒックに一定以上の影響を与えることがない。したがって、その他のトラヒックと同じネットワークを介してトラヒック分析装置に転送することが可能である。このため、分析対象トラヒックを通常のネットワークに接続された任意の分析装置に転送することが可能となり、離れた拠点間でのトラヒックの観測・分析が可能となる。   According to the present invention, in communication flowing on a network, the traffic to be analyzed does not affect other traffic beyond a certain level. Therefore, it can be transferred to the traffic analyzer via the same network as other traffic. Therefore, it is possible to transfer the analysis target traffic to an arbitrary analysis device connected to a normal network, and it becomes possible to observe and analyze the traffic between remote bases.

トラヒックの観測・制御を行なう装置を含むネットワークのブロック図である。1 is a block diagram of a network including a device for observing and controlling traffic. 通信端末のハードウェアブロック図である。It is a hardware block diagram of a communication terminal. トラヒック制御装置のハードウェアブロック図である。It is a hardware block diagram of a traffic control device. マーク付与装置のハードウェアブロック図である。It is a hardware block diagram of a mark provision apparatus. セッション管理データを説明する図である。It is a figure explaining session management data. パケット管理データを説明する図である。It is a figure explaining packet management data. マーク付与装置の処理を説明するフローチャートである。It is a flowchart explaining the process of a mark provision apparatus. トラヒック複製装置のハードウェアブロック図である。It is a hardware block diagram of a traffic duplication device. トラヒック複製装置の処理を説明するフローチャートである。It is a flowchart explaining the process of a traffic duplication apparatus. 帯域制御装置のハードウェアブロック図である。It is a hardware block diagram of a band control device. 転送レート変換データを説明する図である。It is a figure explaining transfer rate conversion data. 制御ポリシデータを説明する図である。It is a figure explaining control policy data. 帯域制御装置の処理を説明するフローチャートである。It is a flowchart explaining the process of a bandwidth control apparatus. トラヒック分析装置のハードウェアブロック図である。It is a hardware block diagram of a traffic analyzer. トラヒック分析データを説明する図である。It is a figure explaining traffic analysis data. 制御指示装置のハードウェアブロック図である。It is a hardware block diagram of a control instruction device. 制御対象変換データを説明する図である。It is a figure explaining controlled object conversion data. 制御レベル変換データを説明する図である。It is a figure explaining control level conversion data. 制御指示データを説明する図である。It is a figure explaining control instruction data. 制御指示装置の処理を説明するフローチャートである。It is a flowchart explaining the process of a control instruction | indication apparatus. 通信端末とトラヒック観測・制御システムとの間のシーケンス図である。It is a sequence diagram between a communication terminal and a traffic observation / control system. トラヒックの観測・制御を行なう装置を含む他のネットワークのブロック図である。FIG. 6 is a block diagram of another network including a device that performs traffic observation and control.

以下、本発明の実施形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には、同じ参照番号を振り、説明を繰り返さない。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings using examples. Note that the same reference numerals are assigned to substantially the same parts, and the description will not be repeated.

図1において、通信システム1000は、ネットワーク100と、ネットワーク100に接続された2台のトラヒック制御装置300、制御指示装置700、帯域制御装置500と、トラヒック制御装置300−1に接続された2台の通信端末200、トラヒック分析装置600と、トラヒック制御装置300−2に接続された2台の通信端末200と、帯域制御装置500に接続されたトラヒック複製装置800と、トラヒック複製装置800に接続されたマーク付与装置400と、マーク付与装置400に接続された2台の通信端末200とから構成される。なお、トラヒック分析装置600は、制御指示装置700とも直接接続されている。   In FIG. 1, a communication system 1000 includes a network 100, two traffic control devices 300 connected to the network 100, a control instruction device 700, a bandwidth control device 500, and two devices connected to the traffic control device 300-1. Communication terminal 200, traffic analysis apparatus 600, two communication terminals 200 connected to traffic control apparatus 300-2, traffic duplication apparatus 800 connected to band control apparatus 500, and traffic duplication apparatus 800. The mark providing device 400 and two communication terminals 200 connected to the mark applying device 400 are configured. The traffic analysis device 600 is also directly connected to the control instruction device 700.

通信端末200は、ネットワーク通信を行なう端末である。ここで述べるネットワーク通信とは、具体的にはTCP/IPのプロトコルを用いた通信のことを指す。本実施例で以下に述べる通信、ネットワーク通信などの用語も同様である。これらの通信端末200は、WEBブラウザ、FTPクライアントなどの通信ソフトウェアがインストールされたPC、WEBサーバ、FTPサーバなどのサーバソフトウエアがインストールされたサーバマシンを指す。   The communication terminal 200 is a terminal that performs network communication. The network communication described here specifically refers to communication using a TCP / IP protocol. The same applies to terms such as communication and network communication described below in this embodiment. These communication terminals 200 indicate a PC on which communication software such as a WEB browser and an FTP client is installed, and a server machine on which server software such as a WEB server and an FTP server is installed.

トラヒック制御装置300は、ネットワーク通信においてパケットの転送を行なう装置である。トラヒック制御装置300に該当する機器としては、ルータ、スイッチが挙げられる。トラヒック分析装置600は、トラヒック制御装置300から転送されてきたトラヒックの内容を分析する。トラヒック分析装置600は、分析結果よりトラヒック制御情報を生成する。トラヒック分析装置600は、生成したトラヒック制御情報について、制御指示装置700に転送する。   The traffic control device 300 is a device that transfers packets in network communication. Examples of the device corresponding to the traffic control device 300 include a router and a switch. The traffic analysis device 600 analyzes the content of traffic transferred from the traffic control device 300. The traffic analysis device 600 generates traffic control information from the analysis result. The traffic analysis device 600 transfers the generated traffic control information to the control instruction device 700.

制御指示装置700は、トラヒック制御情報をもとに適切な帯域制御装置500を選択する(図1では1台のみ図示)。制御指示装置700は、選択した帯域制御装置500に対して、制御コマンドを実行する。   The control instruction device 700 selects an appropriate bandwidth control device 500 based on the traffic control information (only one is shown in FIG. 1). The control instruction device 700 executes a control command for the selected bandwidth control device 500.

帯域制御装置500は、通過するトラヒックに対して、その帯域の制御を行なう。帯域制御装置500は、トラヒック制御装置300と同様のルータ、スイッチなどの装置に、帯域制御の機能を付加した装置として実装されることがある。   The bandwidth control device 500 controls the bandwidth of traffic that passes therethrough. The bandwidth control device 500 may be implemented as a device in which a bandwidth control function is added to devices such as routers and switches similar to the traffic control device 300.

トラヒック複製装置800は、通過するトラヒックの一部または全部を複製する。トラヒック複製装置800は、トラヒック分析装置600に複製されたトラヒックを転送する。トラヒック複製装置800は、トラヒック制御装置300と同様のルータ、スイッチなどの装置に、トラヒック複製の機能を付加した装置として実装されることがある。   The traffic duplicating device 800 duplicates a part or all of the traffic passing therethrough. The traffic duplicating device 800 transfers the duplicated traffic to the traffic analyzing device 600. The traffic duplication device 800 may be implemented as a device in which a traffic duplication function is added to devices such as routers and switches similar to the traffic control device 300.

マーク付与装置400は、通過するトラヒックの一部に対しマークを付与する。マーク付与装置400は、トラヒック制御装置300と同様のルータ、スイッチなどの装置に、マーク付与の機能を付加した装置として実装されることがある。   The mark imparting device 400 imparts a mark to a part of the traffic that passes therethrough. The mark assignment device 400 may be implemented as a device in which a mark addition function is added to devices such as routers and switches similar to the traffic control device 300.

図2を参照して、通信端末のハードウェア構成を説明する。図2において、通信端末200は、インターネットなどのネットワークに接続されて、通信を行うプログラムを内蔵した端末である。通信端末200は、CPU202、入出力装置203、通信を行うインタフェース(IF)204、メモリ210が含まれており、これらがデータバス206を介して接続されている。インタフェース204は、通信路205と接続されている。メモリ210は、通信プログラム211を記憶している。通信プログラム211は、インタフェース204、通信路205を介して、他の装置との通信を行なうための処理が記述されている。通信プログラム211は、ウェブブラウザ、ウェブサーバメールクライアント、メールサーバなどである。なお、図1に記載した各通信端末200は、それぞれ別の機能を実現するプログラムが含まれていることもあり得る。 The hardware configuration of the communication terminal will be described with reference to FIG. In FIG. 2, a communication terminal 200 is a terminal that is connected to a network such as the Internet and has a built-in program for communication. The communication terminal 200 includes a CPU 202, an input / output device 203, an interface (IF) 204 for performing communication, and a memory 210, which are connected via a data bus 206. The interface 204 is connected to the communication path 205. The memory 210 stores a communication program 211. The communication program 211 describes a process for communicating with other devices via the interface 204 and the communication path 205. The communication program 211 is a web browser, a web server mail client, a mail server, or the like. Note that each communication terminal 200 described in FIG. 1 may include a program for realizing a different function.

図3を参照して、トラヒック制御装置のハードウェア構成を説明する。図3において、トラヒック制御装置300は、インターネットなどのネットワークに接続されて、ネットワーク上においてやりとりされるパケットを適切な経路に転送する装置である。トラヒック制御装置300は、CPU314、入出力装置304、パケット転送用インタフェース302、制御用インタフェース306、メモリ313、パケット処理装置303で構成されている。トラヒック制御装置300は、これら装置がデータバス310、308を介して接続されている。制御用インタフェース306は、通信路305を介して外部のネットワークと接続されている。制御用インタフェース306は、主に装置の外部からトラヒック制御装置300の制御を行なうためインタフェースである。   The hardware configuration of the traffic control device will be described with reference to FIG. In FIG. 3, a traffic control device 300 is connected to a network such as the Internet and transfers a packet exchanged on the network to an appropriate route. The traffic control device 300 includes a CPU 314, an input / output device 304, a packet transfer interface 302, a control interface 306, a memory 313, and a packet processing device 303. The traffic control device 300 is connected to these devices via data buses 310 and 308. The control interface 306 is connected to an external network via the communication path 305. The control interface 306 is an interface for controlling the traffic control device 300 mainly from the outside of the device.

また、パケット処理装置303は、2つのインタフェース302がデータバス308を介して接続されている。インタフェース302は、通信路307と接続されている。パケット処理装置303を外部ネットワークと接続するインタフェース302は、外部ネットワークからのパケットを受信する。パケット処理装置303は、パケットを出力される適切なインタフェース302を選択する。パケット処理装置303は、選択したインタフェース302からパケットを送出する。   The packet processing device 303 has two interfaces 302 connected via a data bus 308. The interface 302 is connected to the communication path 307. An interface 302 that connects the packet processing device 303 to an external network receives a packet from the external network. The packet processing device 303 selects an appropriate interface 302 that outputs a packet. The packet processing device 303 transmits a packet from the selected interface 302.

トラヒック制御装置300は、通常、このような外部ネットワークと接続されたインタフェースを複数備えている。トラヒック制御装置300の構成は、前述のルータ、スイッチなど、パケットの転送を行う機能を備えている機器であれば、必ずしも図3に示すとおりの構成でなくても良い。   The traffic control device 300 normally includes a plurality of interfaces connected to such an external network. The configuration of the traffic control device 300 is not necessarily limited to the configuration shown in FIG. 3 as long as the device has a function of transferring packets, such as the above-described router and switch.

図4を参照して、マーク付与装置のハードウェア構成を説明する。図4において、マーク付与装置400は、CPU405、メモリ420、入出力装置404、パケット処理装置403、制御用インタフェース407、2つのパケット転送用インタフェース402がそれぞれデータバス409、410で接続されている。マーク付与装置400の構成は、トラヒック制御装置300と同様である。メモリ420は、マーク付与プログラム421、セッション管理データ422、パケット管理データ423を記憶している。制御用インタフェース407は、通信路406と接続されている。2つのパケット転送用インタフェース402は、それぞれ通信路408と接続されている。   With reference to FIG. 4, the hardware configuration of the mark assigning apparatus will be described. In FIG. 4, a mark assigning device 400 includes a CPU 405, a memory 420, an input / output device 404, a packet processing device 403, a control interface 407, and two packet transfer interfaces 402 connected by data buses 409 and 410, respectively. The configuration of the mark imparting device 400 is the same as that of the traffic control device 300. The memory 420 stores a mark assigning program 421, session management data 422, and packet management data 423. The control interface 407 is connected to the communication path 406. The two packet transfer interfaces 402 are connected to the communication path 408, respectively.

図5を参照して、マーク付与装置が保持するセッション管理データの詳細を説明する。図5において、セッション管理データ422は、送信元IPアドレス11、送信元ポート番号12、宛先IPアドレス13、宛先ポート番号14、プロトコル15、パケット転送速度16を記録した複数のレコードを保持する。セッション管理データ422は、送信元IPアドレス11、送信元ポート番号12、宛先IPアドレス13、宛先ポート番号14およびプロトコル15は、ネットワークを流れる通信の中からセッション(一連のパケットの集合)を特定するためのデータである。パケット転送速度16は、セッションに含まれるパケットがマーク付与装置400を通過する速度を記録する。   With reference to FIG. 5, the details of the session management data held by the mark assigning apparatus will be described. In FIG. 5, the session management data 422 holds a plurality of records in which the source IP address 11, source port number 12, destination IP address 13, destination port number 14, protocol 15, and packet transfer rate 16 are recorded. In the session management data 422, the source IP address 11, the source port number 12, the destination IP address 13, the destination port number 14, and the protocol 15 specify a session (set of a series of packets) from communication flowing through the network. It is data for. The packet transfer rate 16 records the rate at which packets included in the session pass through the mark assigning device 400.

前者のデータは、TCP/IPネットワーク上においてパケットの送受信を行う際に用いる情報で、セッションを特定するために用いる。これらの5項目について同一の値を持つパケットを同じセッションに属すると定義する。パケット通過速度16は、送信元1Pアドレス11〜プロトコル15によって特定されるセッションに属するパケットが、どれくらいの速度でマーク付与装置を通過しているかを示す。なお、ここでは、パケット通過速度16をパケット/秒で定義したが、バイト/秒等であっても構わない。   The former data is information used when transmitting / receiving a packet on a TCP / IP network, and is used for specifying a session. Packets having the same value for these five items are defined as belonging to the same session. The packet passing speed 16 indicates how fast a packet belonging to the session specified by the source 1P address 11 to the protocol 15 passes through the mark adding device. Here, the packet passing speed 16 is defined as packets / second, but may be bytes / second or the like.

図6を参照して、マーク付与装置が保持するパケット管理データの詳細を説明する。パケット管理データ423は、マーク付与装置400を通過するパケットの通過時刻をセッションごとに保持するためのテーブルである。パケット管理データ423は、送信元IPアドレス21、送信元ポート番号22、宛先IPアドレス23、宛先ポート番号24、プロトコル25、パケット通過時刻保持領域26を記録した複数のレコードを保持する。送信元IPアドレス21、送信元ポート番号22、宛先IPアドレス23、宛先ポート番号24およびプロトコル25は、図5の同じ名称の項目と同様、TCP/IPネットワーク上においてセッションを定義するために用いられる情報である。パケット通過時刻保持領域26は、送信元1Pアドレス21〜プロトコル25の値によって特定されるセッションのパケットで、マーク付与装置400を通過したパケットの通過時刻が最も新しいものから過去にさかのぼって一定数記録されている。具体的には、マーク付与装置400を通過した最新の100パケットの通過時刻を記録する。   With reference to FIG. 6, the details of the packet management data held by the mark assigning apparatus will be described. The packet management data 423 is a table for holding the passage time of packets passing through the mark assigning device 400 for each session. The packet management data 423 holds a plurality of records in which a source IP address 21, a source port number 22, a destination IP address 23, a destination port number 24, a protocol 25, and a packet passage time holding area 26 are recorded. The source IP address 21, the source port number 22, the destination IP address 23, the destination port number 24, and the protocol 25 are used to define a session on the TCP / IP network, similarly to the item having the same name in FIG. Information. The packet passage time holding area 26 is a packet of a session specified by the values of the transmission source 1P address 21 to the protocol 25, and records a certain number from the latest passage time of the packet that has passed through the mark assigning device 400 to the past. Has been. Specifically, the passage time of the latest 100 packets that have passed through the mark assigning device 400 is recorded.

図7を参照して、マーク付与装置のマーク付与処理の動作を説明する。この処理はパケットがマーク付与装置400を通過する度に行なわれる。図7において、マーク付与装置400は、パケットを受信すると、パケットのヘッダ情報より、そのパケットが所属するセッション情報を検索する。マーク付与装置400は、そのパケットの通過時刻をパケット通過時刻保持領域26に記録する。マーク付与装置400は、そのセッションの単位時間当たりの通過パケット数を算出する(S11)。このために、マーク付与装置400は、パケット管理データ423の対象となるセッションのパケット通過時刻保持領域26を参照し、マーク付与装置400は、記録されているパケット数を最も古い時刻と最も新しい時刻の差分で除算することにより、一定時間当たりの通過パケット数を算出する。マーク付与装置400は、セッション管理データ422の該当するセッションのパケット通過速度16に記録する。より具体的には、パケット通過時刻保持領域で100個のパケットを保持し、それらのパケットの最も古い通過時刻と最も新しい通過時刻の差分が10秒である場合、そのセッションのパケット通過速度は10パケット/秒となる。   With reference to FIG. 7, the operation of the mark applying process of the mark applying apparatus will be described. This process is performed every time the packet passes through the mark assigning device 400. In FIG. 7, when receiving a packet, the mark assigning device 400 searches for session information to which the packet belongs from the header information of the packet. The mark assigning device 400 records the passage time of the packet in the packet passage time holding area 26. The mark assigning device 400 calculates the number of passing packets per unit time of the session (S11). For this purpose, the mark assigning device 400 refers to the packet transit time holding area 26 of the session that is the target of the packet management data 423, and the mark assigning device 400 determines the number of recorded packets as the oldest time and the newest time. The number of passing packets per fixed time is calculated by dividing by the difference. The mark assigning device 400 records the packet passing speed 16 of the corresponding session in the session management data 422. More specifically, when 100 packets are held in the packet passage time holding area and the difference between the oldest passage time and the latest passage time of these packets is 10 seconds, the packet passage speed of the session is 10 Packets / second.

マーク付与装置400は、セッション管理データ422のパケット通過速度16の値を参照し、算出したパケット通過速度が、この値を超えているか判定する(S12)。一定値を超えている場合(YES)、マーク付与装置400は、パケットのヘッダの特定の位置にフラグを立て(S13)、終了する。ステップ12がNOのとき、マーク付与装置400は、そのまま終了する。
フラグを立てるフィールドは、通常のTCP/IP通信に影響を及ぼさない限り任意であるが、ここではCoS(Class of Service)フィールドを用いる。 The mark assigning device 400 refers to the value of the packet passing speed 16 in the session management data 422, and determines whether the calculated packet passing speed exceeds this value (S12). If the value exceeds a certain value (YES), the mark assigning device 400 sets a flag at a specific position in the header of the packet (S13) and ends. When step 12 is NO, the mark assigning device 400 ends as it is.
A field for setting a flag is arbitrary as long as it does not affect normal TCP / IP communication, but here, a CoS (Class of Service) field is used.

図8を参照して、トラヒック複製装置のハードウェア構成を説明する。図8において、トラヒック複製装置800は、CPU805、メモリ820、入出力装置804、パケット処理装置803、制御用インタフェース807、2つのパケット転送用インタフェース802がそれぞれデータバス809、810で接続されている。制御用インタフェース807には、通信路806が接続されている。また、2つのパケット転送用インタフェース802には、それぞれ通信路808が接続されている。トラヒック複製装置800の構成は、トラヒック制御装置300と同様である。メモリ820は、トラヒック複製プログラム821を記憶している。 The hardware configuration of the traffic duplicating apparatus will be described with reference to FIG. In FIG. 8, a traffic duplicating apparatus 800 includes a CPU 805, a memory 820 , an input / output device 804, a packet processing device 803, a control interface 807, and two packet transfer interfaces 802 connected by data buses 809 and 810, respectively. A communication path 806 is connected to the control interface 807. A communication path 808 is connected to each of the two packet transfer interfaces 802. The configuration of the traffic duplicating device 800 is the same as that of the traffic control device 300. The memory 820 stores a traffic replication program 821.

図9を参照して、トラヒック複製装置のトラヒック複製処理の動作を説明する。この処理は、パケットがパケット転送用インタフェース802−1または802−2から入力される度に実行される。   With reference to FIG. 9, the traffic duplicating operation of the traffic duplicating apparatus will be described. This process is executed each time a packet is input from the packet transfer interface 802-1 or 802-2.

図9において、トラヒック複製装置800は、パケットヘッダのCoSフィールドにフラグが立っているかどうかをチェックする(S21)。トラヒック複製装置800は、フラグにマークされているか判定する(S22)。YESのとき、トラヒック複製装置800は、パケットをコピーし、コピーを帯域制御装置に転送する(S23)。トラヒック複製装置800は、オリジナルのマークを削除し、帯域制御装置に転送して(S24)、終了する。ステップ22でNOのとき、トラヒック複製装置800は、そのまま終了する。   In FIG. 9, the traffic duplicating device 800 checks whether or not a flag is set in the CoS field of the packet header (S21). The traffic duplicating device 800 determines whether the flag is marked (S22). If YES, the traffic duplicating device 800 copies the packet and transfers the copy to the bandwidth control device (S23). The traffic duplicating device 800 deletes the original mark, transfers it to the bandwidth control device (S24), and ends. If NO in step 22, the traffic duplicating device 800 ends as it is.

なお、ステップ23において、コピーのパケットの宛先IPアドレスは、もとの宛先IPアドレスのままだが、トラヒック複製装置800は、コピーについて、最終的にトラヒック分析装置600に転送されるよう制御する。また、ステップ24において、オリジナルは、パケットの宛先IPアドレスに転送される。 In step 23, the destination IP address of the copy packet remains the original destination IP address, but the traffic duplicating device 800 controls the copy to be finally transferred to the traffic analysis device 600. In step 24, the original is transferred to the destination IP address of the packet.

図10を参照して、帯域制御装置のハードウェア構成を説明する。図10において、帯域制御装置500は、CPU505、メモリ520、入出力装置504、パケット処理装置503、制御用インタフェース507、2つのパケット転送用インタフェース502がそれぞれデータバス509、510で接続されている。制御用インタフェース507には、通信路506が接続されている。また、2つのパケット転送用インタフェース502には、それぞれ通信路508が接続されている。帯域制御装置800の構成は、トラヒック制御装置300と同様である。メモリ520は、帯域制御プログラム521、転送レート変換データ522、制御ポリシデータ523を記憶している。このような機器としては、パケットシェイパが挙げられる。   With reference to FIG. 10, the hardware configuration of the bandwidth control apparatus will be described. In FIG. 10, a bandwidth control device 500 includes a CPU 505, a memory 520, an input / output device 504, a packet processing device 503, a control interface 507, and two packet transfer interfaces 502 connected by data buses 509 and 510, respectively. A communication path 506 is connected to the control interface 507. A communication path 508 is connected to each of the two packet transfer interfaces 502. The configuration of the bandwidth control device 800 is the same as that of the traffic control device 300. The memory 520 stores a bandwidth control program 521, transfer rate conversion data 522, and control policy data 523. An example of such a device is a packet shaper.

図11を参照して、帯域制御装置の転送レート変換データを説明する。図11において、転送レート変換データ522は、帯域制御プログラム521がどのセッションにどのような制御ポリシを適用するか記述されている。転送レート変換データ522は、送信元IPアドレス31、送信元ポート番号32、宛先IPアドレス33、宛先ポート番号34、プロトコル35、制御レベル36で構成される複数のレコードからなる。ここで、送信元IPアドレス31、送信元ポート番号32、宛先IPアドレス33、宛先ポート番号34、プロトコル35は、TCP/IPネットワーク上においてセッションを定義するために用いられる情報である。一方、制御レベル36は、送信元IPアドレス31〜プロトコル35で決定されるセッションデータに対して、どのような種別の制御を行うのかを指定するデータである。   The transfer rate conversion data of the bandwidth control device will be described with reference to FIG. In FIG. 11, transfer rate conversion data 522 describes what control policy the bandwidth control program 521 applies to which session. The transfer rate conversion data 522 is composed of a plurality of records including a transmission source IP address 31, a transmission source port number 32, a destination IP address 33, a destination port number 34, a protocol 35, and a control level 36. Here, the source IP address 31, the source port number 32, the destination IP address 33, the destination port number 34, and the protocol 35 are information used for defining a session on the TCP / IP network. On the other hand, the control level 36 is data that specifies what type of control is performed on the session data determined by the source IP address 31 to the protocol 35.

図12を参照して、帯域制御装置の制御ポリシデータを説明する。図12において、制御ポリシデータ523は、制御レベル41、最大転送レート42で構成される複数のレコードからなる。制御レベル41は、図11の制御レベル36に対応する制御の種別を示す識別子である。最大転送レート42は、対応する制御レベルにおいて許可するトラヒック転送レートの最大値である。   The control policy data of the bandwidth control device will be described with reference to FIG. In FIG. 12, the control policy data 523 is composed of a plurality of records configured with a control level 41 and a maximum transfer rate 42. The control level 41 is an identifier indicating the type of control corresponding to the control level 36 in FIG. The maximum transfer rate 42 is the maximum value of the traffic transfer rate permitted at the corresponding control level.

図13を参照して、帯域制御装置の帯域制御処理を説明する。なお、帯域制御処理は、帯域制御装置500のパケット処理装置503にパケットが入力されるたびに実行される処理である。   With reference to FIG. 13, the bandwidth control processing of the bandwidth control device will be described. The bandwidth control process is a process that is executed every time a packet is input to the packet processing device 503 of the bandwidth control device 500.

帯域制御装置500は、パケット入力装置503に入力されたパケットのヘッダ情報を取得する(S31)。帯域制御装置500は、パケットヘッダのCoSフィールドにフラグが立っているか(マーク付き)どうかを判定する(S32)。YESのとき、帯域制御装置500は、マーク付きのパケットに対して帯域制御を実行する(S33)。具体的には、当該パケットについて、帯域制御装置500は、パケット転送レートの上限を制限する。帯域制御装置500は、それ以外のトラヒックに影響を与えることなく、当該パケットについて、ネットワーク100、トラヒック制御装置300−1を介してトラヒック分析装置600に転送する。ここでパケット転送レートの上限は、別途外部より指定し、メモリ内で保持している値である。なお、このような帯域制御は、パケットシェイパの一機能として実現される。   The bandwidth control device 500 acquires the header information of the packet input to the packet input device 503 (S31). The bandwidth control device 500 determines whether a flag is set (marked) in the CoS field of the packet header (S32). If YES, the bandwidth control device 500 performs bandwidth control on the marked packet (S33). Specifically, for the packet, the bandwidth control device 500 limits the upper limit of the packet transfer rate. The bandwidth control device 500 transfers the packet to the traffic analysis device 600 via the network 100 and the traffic control device 300-1 without affecting other traffic. Here, the upper limit of the packet transfer rate is a value separately designated from the outside and held in the memory. Note that such bandwidth control is realized as one function of the packet shaper.

ステップ32でNOのとき、帯域制御装置500は、図11で示した転送レート変換データ522を参照し、制御の対象となっているセッション情報であるか否かを判断する(S34)。制御対象のセッションである場合(YES)、帯域制御装置500は、通常トラヒック制御を実行し(S35)、終了する。具体的には、帯域制御装置500は、制御情報変換データより、対象セッションに対して行う制御の種別を制御レベル36より取得する。また、帯域制御装置500は、制御ポリシデータ523よりその制御レベルに対応する最大転送レートを取得する。さらに、帯域制御装置500は、対象のセッションに対する帯域制御を実行する。帯域制御は、対象のセッションのトラヒックに対して、その転送レートの上限を指定する形で行われる。
ステップ34でNOのとき、帯域制御装置500は、そのまま終了する。 When NO is determined in step 32, the bandwidth control device 500 refers to the transfer rate conversion data 522 shown in FIG. 11 and determines whether the session information is the control target (S34). If it is a session to be controlled (YES), the bandwidth control device 500 executes normal traffic control (S35) and ends. Specifically, the bandwidth control device 500 acquires from the control level 36 the type of control performed on the target session from the control information conversion data. Further, the bandwidth control device 500 acquires the maximum transfer rate corresponding to the control level from the control policy data 523. Furthermore, the bandwidth control device 500 performs bandwidth control for the target session. Bandwidth control is performed by designating an upper limit of the transfer rate for the traffic of the target session.
If NO in step 34, the bandwidth control device 500 ends as it is.

図14を参照して、トラヒック分析装置のハードウェア構成を説明する。図14において、トラヒック分析装置600は、CPU604、メモリ610、入出力装置603、通信インタフェース602、がそれぞれデータバス606で接続されている。通信インタフェース602は、通信路605が接続されている。トラヒック分析装置600の構成は、通信端末200と同様である。メモリ610は、トラヒック分析プログラム611とトラヒック分析データ612を記憶している。トラヒック分析装置600は、分析結果であるトラヒック分析データ612を、制御指示装置700に送信する。   With reference to FIG. 14, the hardware configuration of the traffic analysis apparatus will be described. In FIG. 14, a traffic analysis device 600 is connected to a CPU 604, a memory 610, an input / output device 603, and a communication interface 602 via a data bus 606. A communication path 605 is connected to the communication interface 602. The configuration of the traffic analysis device 600 is the same as that of the communication terminal 200. The memory 610 stores a traffic analysis program 611 and traffic analysis data 612. The traffic analysis device 600 transmits traffic analysis data 612 that is an analysis result to the control instruction device 700.

トラヒック分析プログラム611は、通信インタフェース602から入力される分析対象トラヒックの内容を分析し、通信に用いられているアプリケーションの種別を特定する。具体的には、トラヒック分析プログラム611は、分析対象トラヒックのパケットの内容をチェックする。「あるセッションに含まれるパケットにWinnyを用いた通信に固有の文字列が含まれている場合、そのセッションではWinnyの通信が行われていると判定する」などの処理を行なう。通信インタフェース602から入力されるトラヒックが分析対象トラヒックか否かは、そのトラヒックに含まれるパケットのヘッダ情報を見て判断する。たとえば、トラヒック分析装置600に入力されるパケットで、パケットの宛先IPアドレスがトラヒック分析装置600ではないトラヒックを分析対象のトラヒックとして分析を行なう。ここで、パケットの宛先IPアドレスがトラヒック分析装置600ではないトラヒックとは、トラヒック複製装置800がコピーしたパケットである。   The traffic analysis program 611 analyzes the content of the analysis target traffic input from the communication interface 602 and identifies the type of application used for communication. Specifically, the traffic analysis program 611 checks the content of the packet of the analysis target traffic. Processing such as “when a packet included in a session includes a character string unique to communication using Winny, it is determined that Winny communication is being performed in that session” is performed. Whether or not the traffic input from the communication interface 602 is the analysis target traffic is determined by looking at the header information of the packet included in the traffic. For example, in the packet input to the traffic analysis device 600, the traffic whose destination IP address is not the traffic analysis device 600 is analyzed as the traffic to be analyzed. Here, the traffic whose destination IP address is not the traffic analysis device 600 is a packet copied by the traffic duplicating device 800.

図15を参照して、トラヒック分析データを説明する。図15において、トラヒック分析データ612は、送信元IPアドレス51、送信元ポート番号52、宛先IPアドレス53、宛先ポート番号54、プロトコル55、アプリケーション種別56とからなる複数のレコードから構成されている。送信元IPアドレス51、送信元ポート番号52、宛先IPアドレス53、宛先ポート番号54、プロトコル55は、TCP/IPネットワーク上においてセッションを定義するために用いられる情報である。アプリケーション種別56は、送信元IPアドレス51〜プロトコル55で指定されるセッションにおいて用いられているアプリケーションの種別である。このアプリケーション種別56は、トラヒック分析プログラム611によって判定され、書き込まれる。   The traffic analysis data will be described with reference to FIG. In FIG. 15, the traffic analysis data 612 includes a plurality of records including a transmission source IP address 51, a transmission source port number 52, a destination IP address 53, a destination port number 54, a protocol 55, and an application type 56. The source IP address 51, source port number 52, destination IP address 53, destination port number 54, and protocol 55 are information used to define a session on the TCP / IP network. The application type 56 is a type of application used in the session specified by the source IP address 51 to the protocol 55. The application type 56 is determined and written by the traffic analysis program 611.

図16を参照して、制御指示装置のハードウェア構成を説明する。図16において、制御指示装置700は、CPU704、メモリ710、入出力装置703、通信インタフェース702がそれぞれデータバス706で接続されている。通信インタフェース702は、通信路705と接続されている。制御指示装置700の構成は、通信端末200と同様である。メモリ710は、制御指示プログラム711、制御対象変換データ712、制御レベル変換データ713、制御指示データ714を記憶している。

The hardware configuration of the control instruction device will be described with reference to FIG. In FIG. 16, a control instruction device 700 is connected to a CPU 704, a memory 710, an input / output device 703, and a communication interface 702 via a data bus 706. The communication interface 702 is connected to the communication path 705. The configuration of the control instruction device 700 is the same as that of the communication terminal 200. The memory 710 stores a control instruction program 711, control target conversion data 712, control level conversion data 713, and control instruction data 714.

図17を参照して、制御対象変換データを説明する。図17において、制御対象変換データ712は、通信を実際に行っている端末のIPアドレス61と、その端末が含まれるネットワークを制御する制御装置のIPアドレス62の対応が複数のレコードに格納されている。端末IPアドレス61は、ネットワークに接続して実際に通信を行う端末のIPアドレスである。   The control target conversion data will be described with reference to FIG. In FIG. 17, the control target conversion data 712 stores correspondence between the IP address 61 of the terminal that actually performs communication and the IP address 62 of the control device that controls the network including the terminal in a plurality of records. Yes. The terminal IP address 61 is an IP address of a terminal that actually connects to the network.

図1のネットワーク1000においては、通信端末200−5、200−6などがこれに相当する。この端末IPアドレスの指定はサブネットの範囲指定も可能である。制御装置IPアドレス62は、帯域制御装置500のIPアドレスであり、この帯域制御装置を制御することによりその帯域制御装置に接続されている通信端末が行う通信の帯域を制御する。   In the network 1000 of FIG. 1, communication terminals 200-5, 200-6, etc. correspond to this. The terminal IP address can be specified by a subnet range. The control device IP address 62 is an IP address of the bandwidth control device 500, and controls the bandwidth of communication performed by a communication terminal connected to the bandwidth control device by controlling the bandwidth control device.

図1に戻って、通信端末200−5、200−6は、帯域制御装置500を介してネットワーク100に接続されている。したがって、制御指示装置700は、帯域制御装置500に制御を指示することにより、通信端末200−5、200−6の行なう通信の帯域を制御することができる。   Returning to FIG. 1, the communication terminals 200-5 and 200-6 are connected to the network 100 via the bandwidth control device 500. Therefore, the control instruction device 700 can control the bandwidth of communication performed by the communication terminals 200-5 and 200-6 by instructing the bandwidth control device 500 to perform control.

図18を参照して、制御レベル変換データを説明する。図18において、制御レベル変換データ713は、トラヒック分析装置600が出力したアプリケーションの種別に応じてどの種別の制御を行うのかを特定するためのテーブルである。制御レベル変換データ713は、アプリケーション種別71と制御レベル72とを記録する複数のレコードを保持する。アプリケーション種別71は、ネットワークを流れる通信に用いられているアプリケーション種別である。アプリケーション種別71は、トラヒック分析装置600が出力するアプリケーション種別を網羅している。制御レベル71は、該当する種別のアプリケーションに対して、どのレベルの制御を行なうのかを示す識別子である。   The control level conversion data will be described with reference to FIG. In FIG. 18, control level conversion data 713 is a table for specifying which type of control is performed in accordance with the type of application output by the traffic analysis apparatus 600. The control level conversion data 713 holds a plurality of records that record the application type 71 and the control level 72. The application type 71 is an application type used for communication flowing through the network. The application type 71 covers application types output by the traffic analysis device 600. The control level 71 is an identifier indicating which level of control is performed for the corresponding type of application.

図19を参照して、制御指示データを説明する。図19において、制御指示データ714は、送信元IPアドレス81、送信元ポート番号82、宛先IPアドレス83、宛先ポート番号84、プロトコル85、制御装置IPアドレス86、制御レベル87とを記録する複数のレコードを保持する。送信元IPアドレス81、送信元ポート番号82、宛先IPアドレス83、宛先ポート番号84、プロトコル85は、TCP/IPネットワーク上においてセッションを定義するために用いられる情報である。制御装置IPアドレス86は、送信元IPアドレス81〜プロトコル85の情報で特定されるセッションに制御を行なうために、制御命令を送信する制御装置のIPアドレスを示している。制御レベル87は、送信元IPアドレス81〜プロトコル85の情報で特定されるセッションに対して、どのような種別の制御を行なうのかを示す識別子である。   The control instruction data will be described with reference to FIG. 19, the control instruction data 714 includes a plurality of source IP addresses 81, a source port number 82, a destination IP address 83, a destination port number 84, a protocol 85, a control device IP address 86, and a control level 87. Hold records. The source IP address 81, source port number 82, destination IP address 83, destination port number 84, and protocol 85 are information used to define a session on the TCP / IP network. The control device IP address 86 indicates the IP address of the control device that transmits a control command in order to control the session specified by the information of the source IP address 81 to the protocol 85. The control level 87 is an identifier indicating what type of control is performed for the session specified by the information of the source IP address 81 to the protocol 85.

図20を参照して、制御指示装置の制御指示処理を説明する。図20において、制御指示装置700は、トラヒック分析装置600が出力した、セッション情報とそのセッションで利用されているアプリケーション情報より、適切な帯域制御装置に対して制御のための情報を伝える。   With reference to FIG. 20, the control instruction process of the control instruction apparatus will be described. In FIG. 20, the control instruction device 700 transmits control information to an appropriate bandwidth control device from the session information output from the traffic analysis device 600 and the application information used in the session.

制御指示装置700は、通信インタフェース702から入力された、トラヒック分析結果を取得する(S41)。ステップ41は、具体的には、セッション情報を制御指示データ714の送信元IPアドレス81〜プロトコル85に書き込む処理である。トラヒック分析結果は、図15で説明したトラヒック分析データ612の各項目を含む形式で入力される。   The control instruction device 700 acquires the traffic analysis result input from the communication interface 702 (S41). Specifically, step 41 is a process of writing the session information to the source IP address 81 to the protocol 85 of the control instruction data 714. The traffic analysis result is input in a format including each item of the traffic analysis data 612 described with reference to FIG.

制御指示装置700は、ステップ41で取得したトラヒック分析結果に含まれるセッション情報より、制御対象変換データ712を参照して制御命令を発行する帯域制御装置を特定する(S42)。このステップは、セッション情報に対応する制御装置IPアドレス86の項目に書きこむ処理である。制御指示装置700は、トラヒック分析結果の送信元IPアドレスに対応する制御装置IPアドレスを、制御対象変換データ712から取得する。なお、これ以外にも、宛先IPアドレスに対応する制御装置IPアドレスを取得することもできる。さらに、送信元IPアドレス、宛先IPアドレスそれぞれに対応する制御装置IPアドレスを取得することもできる。   Based on the session information included in the traffic analysis result acquired in step 41, the control instruction device 700 refers to the control target conversion data 712 and identifies a bandwidth control device that issues a control command (S42). This step is a process of writing in the item of the control device IP address 86 corresponding to the session information. The control instruction device 700 acquires the control device IP address corresponding to the transmission source IP address of the traffic analysis result from the control target conversion data 712. In addition to this, a control device IP address corresponding to the destination IP address can also be acquired. Furthermore, it is possible to acquire a control device IP address corresponding to each of the transmission source IP address and the destination IP address.

制御指示装置700は、ステップ41で取得したトラヒック分析結果に含まれるアプリケーション種別より、制御指示データ714を参照して制御レベルを特定する(S43)。ステップ43は、セッション情報に対応する制御レベルを制御レベル変換データ713から取得し、制御レベル87の項目に書き込む処理である。   The control instruction device 700 specifies the control level with reference to the control instruction data 714 from the application type included in the traffic analysis result acquired in step 41 (S43). Step 43 is a process of acquiring the control level corresponding to the session information from the control level conversion data 713 and writing it in the item of the control level 87.

制御指示装置700は、制御指示データ714のテーブルに基づいて、制御実行コマンドを送信して(S44)、終了する。具体的には、制御装置IPアドレス86に対して、送信元IPアドレス81〜プロトコル85で特定されるセッションのトラヒックを、制御レベル87の値で制御を行なうようにコマンドを発行する。   The control instruction device 700 transmits a control execution command based on the table of the control instruction data 714 (S44) and ends. Specifically, a command is issued to control device IP address 86 so as to control the traffic of the session specified by source IP address 81 to protocol 85 with the value of control level 87.

以上で説明した各装置において、トラヒック観測・制御システム全体としてどのようなトラヒック制御がなされるのかを、図21を参照して説明する。
なお、ここでは通信端末200−5が、通信端末200−3に対して、大量のデータを送信するとする。このデータ送信のセッションは、通信端末200−5、200−3のIPアドレス、ポート番号、使っているプロトコルで特定することができる。いま、この通信のアプリケーションがP2P_Winny(P2P通信ソフトのWinny)であり、この通信は一定以上の転送速度(マーク付与装置400でマーク付与の対象となる)で行なわれている。また、P2P_Winnyは、制御レベルAのアプリケーションであり、帯域制御装置における制御レベルAの最大転送レートは128kbit/sである。また、通信端末200−5のトラヒックを制御する制御装置は、帯域制御装置500であり、その情報は制御対象変換データ712に記述されている。 With reference to FIG. 21, what kind of traffic control is performed in each apparatus described above as the entire traffic observation / control system will be described.
Here, it is assumed that the communication terminal 200-5 transmits a large amount of data to the communication terminal 200-3. This data transmission session can be specified by the IP addresses, port numbers, and protocols used by the communication terminals 200-5 and 200-3. Now, this communication application is P2P_Winny (Winny of P2P communication software), and this communication is performed at a transfer speed (which is subject to mark application by the mark application device 400) of a certain level or higher. P2P_Winny is an application of control level A, and the maximum transfer rate of control level A in the bandwidth control apparatus is 128 kbit / s. The control device that controls the traffic of the communication terminal 200-5 is the bandwidth control device 500, and the information is described in the control target conversion data 712.

まず、通信端末200−5が、通信端末200−3に対して、大量のデータ送信を開始する(S51)。なお、ここでは通信端末200−5から通信端末200−3への1本の矢印で通信セッションを示しているが、実際には中間の各装置で転送されている。また、転送のタイミングも図示した順ではない。これは、ここではミラートラヒックに注目して説明するからである。このセッションの通信について、マーク付与装置400は、セッションに含まれるパケットにマークを付与する(S52)。   First, the communication terminal 200-5 starts a large amount of data transmission to the communication terminal 200-3 (S51). Here, the communication session is indicated by a single arrow from the communication terminal 200-5 to the communication terminal 200-3, but is actually transferred by each intermediate device. Also, the transfer timing is not in the order shown. This is because the description will be given focusing on mirror traffic. For the communication of this session, the mark assigning device 400 assigns a mark to the packet included in the session (S52).

マークが付与されたパケットについて、トラヒック複製装置800は、複製を作成する(S53)。トラヒック複製装置800は、複製を帯域制御装置500に送信する(S54)。トラヒック複製装置800は、オリジナルのマークを削除し(S56)、帯域制御装置500に送信する。帯域制御装置500は、ミラートラヒックについて、帯域制御を行なう(S57)。帯域制御装置500は、ミラートラヒックについて、トラヒック分析装置600に転送する(S58)。   The traffic duplicating device 800 creates a duplicate for the packet with the mark (S53). The traffic duplicating device 800 transmits the duplication to the bandwidth control device 500 (S54). The traffic duplicating device 800 deletes the original mark (S56) and transmits it to the bandwidth control device 500. The bandwidth control device 500 performs bandwidth control for the mirror traffic (S57). The bandwidth control device 500 transfers the mirror traffic to the traffic analysis device 600 (S58).

トラヒック分析装置600は、この転送されてきたトラヒックの分析を行なう(S59)。トラヒック分析装置600は、この通信の内容はP2P_Winnyであることを特定する。トラヒック分析装置600は、分析結果を制御指示装置700に転送する(S61)。   The traffic analyzer 600 analyzes the transferred traffic (S59). The traffic analysis device 600 specifies that the content of this communication is P2P_Winny. The traffic analysis device 600 transfers the analysis result to the control instruction device 700 (S61).

制御指示装置700は、分析結果を評価する(S62)。制御指示装置700は、通信端末200−5のトラヒックを制限するために、帯域制御装置500に対して制御レベルAで制御を行なう制御命令を発行する(S63)。   The control instruction device 700 evaluates the analysis result (S62). The control instruction device 700 issues a control command for performing control at the control level A to the bandwidth control device 500 in order to limit the traffic of the communication terminal 200-5 (S63).

帯域制御装置500は、対象のセッションに対する制御レベルAの制御命令を受信し、制御レベルA、すなわち最大転送レート128kbit/sで通信を行なうよう、通信端末200−5と200−3のデータ送信のセッションを制御する(S64)。   The bandwidth control device 500 receives the control command of the control level A for the target session, and performs data transmission of the communication terminals 200-5 and 200-3 so as to perform communication at the control level A, that is, the maximum transfer rate 128 kbit / s. The session is controlled (S64).

上述した実施例によれば、マーク付与装置は、1台の構成である。しかし、これを変更して複数のマーク付与装置を備える通信システムとしてもよい。この場合の通信システム構成について、図22を参照して説明する。図22においては、通信システム1000Aは、ネットワーク100、帯域制御装置500、トラヒック複製装置800、2台のマーク付与装置400、4台の通信端末200から構成される。なお、図22では、ネットワーク100に接続された対向側のトラヒック制御装置300、トラヒック分析装置600、制御指示装置700の図示を省いている。   According to the above-described embodiment, the mark applying device has a single configuration. However, it is good also as a communication system provided with a some mark provision apparatus by changing this. The communication system configuration in this case will be described with reference to FIG. In FIG. 22, the communication system 1000 </ b> A includes a network 100, a bandwidth control device 500, a traffic duplicating device 800, two mark assigning devices 400, and four communication terminals 200. In FIG. 22, the illustration of the traffic control device 300, the traffic analysis device 600, and the control instruction device 700 on the opposite side connected to the network 100 is omitted.

ネットワーク100は、帯域制御装置500を直接接続する。帯域制御装置500は、トラヒック複製装置800を接続する。トラヒック複製装置800は、2台のマーク付与装置400を接続する。通信端末200−7、200−8からなるサブネットワークをマーク付与装置400−1に接続する。通信端末200−9、200−10からなるサブネットワークをマーク付与装置400−2に接続する。   The network 100 directly connects the bandwidth control device 500. The bandwidth control device 500 connects the traffic duplicating device 800. The traffic duplicating device 800 connects two mark assigning devices 400. A sub-network consisting of communication terminals 200-7 and 200-8 is connected to the mark assigning device 400-1. A sub-network consisting of communication terminals 200-9 and 200-10 is connected to the mark assigning device 400-2.

マーク付与装置400−1、400−2によってマークが付与されたパケットは、トラヒック複製装置800、帯域制御装置500を介して、ネットワーク100に接続された図示しないトラヒック分析装置600に転送される。ここで、トラヒック複製装置800、帯域制御装置500の機能は、上述した実施例で記述したものと同じである。   Packets to which marks are attached by the mark assigning devices 400-1 and 400-2 are transferred to a traffic analysis device 600 (not shown) connected to the network 100 via the traffic duplicating device 800 and the bandwidth control device 500. Here, the functions of the traffic duplicating device 800 and the bandwidth control device 500 are the same as those described in the above embodiment.

この実施例によれば、マーク付与装置の設置個所の自由度が増し、よりトラヒック複製装置800、帯域制御装置500にさらに負荷をかけることなく、マーク付与の装置400の台数を増やした柔軟なシステムを構成することが可能となる。   According to this embodiment, the flexibility of the installation location of the mark applying device is increased, and a flexible system in which the number of the mark applying devices 400 is increased without further loading the traffic duplicating device 800 and the bandwidth control device 500. Can be configured.

上述した実施例によれば、ネットワーク上を流れる通信において、分析対象となったトラヒックを、その他のトラヒックに一定以上の影響を与えることなく、その他のトラヒックと同じネットワークを介してトラヒック分析装置に転送することができる。このため、離れた拠点間でのトラヒックの観測・分析が可能となる。   According to the above-described embodiment, in the communication flowing on the network, the traffic to be analyzed is transferred to the traffic analysis device via the same network as the other traffic without affecting the other traffic more than a certain level. can do. This makes it possible to observe and analyze traffic between remote sites.

また、上述した実施例は、その一部を変更して以下のように実施することが可能である。
(1)実施例によれば、帯域制御装置500、トラヒック複製装置800、マーク付与装置400は物理的に別の装置として実装されているが、これを変更してこれらの複数の機能を物理的に一つの装置の中に実装しても良い。
この変形実施例によれば、装置の数を減らして、ハードウェアにかかるコストを抑え、またシンプルな構成のシステムを構築することが可能になる。 Further, the embodiment described above can be implemented as follows with a part thereof being changed.
(1) According to the embodiment, the bandwidth control device 500, the traffic duplicating device 800, and the mark assigning device 400 are physically implemented as separate devices, but these are changed to physically change these functions. It may be mounted in one device.
According to this modified embodiment, it is possible to reduce the number of devices, reduce the cost of hardware, and construct a system with a simple configuration.

(2)マーク付与プログラム421において、パケットにマークを付与する方法は、必ずしも、単位時間当たりに装置を通過するパケット数を基準とする必要はなく、別途マークを付与する条件を指定し、その条件に応じてパケットを付与する形式であれば任意の方法で良い。   (2) In the mark assigning program 421, the method for assigning a mark to a packet does not necessarily need to be based on the number of packets passing through the apparatus per unit time. Any method may be used as long as the packet is added according to the method.

説明した以外の条件として、「宛先ポート番号が特定のポート(例えば80番ポート)である」という条件でパケットにマークを付与する変更することができる。また、「パケットのペイロードに特定の文字列(例えばP2Pソフトに固有の文字列)を含む」という条件を設定しうる。
この変形実施例によれば、マーク付与の条件を設定する形式を柔軟にすることにより、さまざまな特徴をもつインシデントに対応できるシステムを構築することが可能となる。 As conditions other than those described above, it is possible to change that a mark is added to a packet under the condition that “the destination port number is a specific port (for example, port 80)”. Further, a condition that “a specific character string (for example, a character string unique to P2P software) is included in the payload of the packet” can be set.
According to this modified embodiment, it is possible to construct a system that can deal with incidents having various characteristics by making the format for setting the condition for providing a mark flexible.

(3)トラヒック複製装置700において、パケットのミラーリングを行なう代わりに、マークが付与されたパケットから算出される情報をトラヒック分析装置600に送信してもよい。具体的には、パケットの通過速度が大きいホスト(マークが付与されたパケット)の上位一定数のIPアドレスをトラヒック分析装置600に送信する。トラヒック分析装置は、これらのIPアドレスを用いて可能な分析を行うような構成としてもよい。
この変形実施例によれば、トラヒック分析装置が行なう計算の一部をトラヒック複製装置が行なうようにして、トラヒック分析装置の負荷を軽減することができる。 (3) Instead of performing packet mirroring in the traffic duplicating device 700, information calculated from a packet with a mark may be transmitted to the traffic analyzing device 600. Specifically, a certain number of upper IP addresses of hosts (packets with a mark) having a high packet passing speed are transmitted to the traffic analysis device 600. The traffic analyzer may be configured to perform a possible analysis using these IP addresses.
According to this modified embodiment, it is possible to reduce the load on the traffic analyzer by causing the traffic duplicator to perform part of the calculations performed by the traffic analyzer.

(4)帯域制御装置500における帯域制御は、該当するトラヒックの遮断や経路変更を行なってもよい。この場合、制御ポリシデータは、制御の種別(帯域制限、遮断、経路変更)を表すデータと、その種別の制御を行うのに必要なパラメータを備えるように変更して実施してもよい。   (4) Band control in the band control device 500 may be performed by blocking the relevant traffic or changing the route. In this case, the control policy data may be changed and provided so as to include data indicating the type of control (band limitation, blocking, route change) and parameters necessary for performing control of that type.

このパラメータとは、経路変更の場合、該当するトラヒックを次に転送する装置を示すIPアドレスのデータなどである。経路変更においては、制御対象のトラヒックを通常のトラヒックとは別の装置に転送することにより、該当するトラヒックの詳細分析や、トラヒックに含まれるパケットの記憶装置への保存、あるいは単にそれらのパケットの破棄などの処理を行うことが考えられる。なお、遮断の場合は、特段追加のパラメータは必要としない。
この変形実施例によれば、より柔軟なトラヒック制御を行なうことが可能になる。 In the case of a route change, this parameter is data of an IP address indicating a device to which the corresponding traffic is transferred next. In the route change, the traffic to be controlled is transferred to a device different from the normal traffic, so that the detailed analysis of the corresponding traffic, the storage of the packets included in the traffic, or simply the storage of those packets. It is conceivable to perform processing such as discarding. Note that no special additional parameters are required for shutoff.
According to this modified embodiment, more flexible traffic control can be performed.

(5)帯域制御装置500における帯域制御は、最初にすべてのトラヒックを遮断し、制御指示装置700によって許可されたトラヒックだけを通過するように変更して実施してもよい。
この変形実施例によれば、分析の結果安全と分かったトラヒックのみを通過させることにより、より堅牢なネットワークを構築することが可能になる。 (5) Band control in the band control device 500 may be implemented by first cutting off all traffic and changing it so as to pass only traffic permitted by the control instruction device 700.
According to this modified embodiment, it is possible to construct a more robust network by passing only traffic that is found to be safe as a result of analysis.

100…ネットワーク、200…通信端末、300…トラヒック制御装置、400…マーク付与装置、500…帯域制御装置、600…トラヒック分析装置、700…制御指示装置、800…トラヒック複製装置、1000…通信システム。   DESCRIPTION OF SYMBOLS 100 ... Network, 200 ... Communication terminal, 300 ... Traffic control apparatus, 400 ... Mark assignment apparatus, 500 ... Band control apparatus, 600 ... Traffic analysis apparatus, 700 ... Control instruction | indication apparatus, 800 ... Traffic duplication apparatus, 1000 ... Communication system.

Claims (9)

ネットワークを流れるパケットより導出される条件によって、そのセッションに含まれるパケットを識別するためのマークを付与するマーク付与装置と、
マークが付与されたパケットのコピーを行ない、トラヒック分析装置に転送するトラヒック複製装置と、
指示を受けたセッションと前記コピーとのトラヒックについて帯域制御を行なう帯域制御装置と、
転送されたマークが付与されたパケットの内容の分析を行ない、分析結果を出力する前記トラヒック分析装置と、
前記トラヒック分析装置からの出力に応じて前記帯域制御装置に向けて命令を出力する制御指示装置と
からなるトラヒック観測・制御システム。 A mark assigning device for assigning a mark for identifying a packet included in the session according to a condition derived from a packet flowing through the network;
A traffic duplicating device that copies the packet with the mark and forwards it to the traffic analyzing device;
A bandwidth control device that performs bandwidth control for traffic between the session that has received the instruction and the copy ;
Analyzing the contents of the packet with the transferred mark and outputting the analysis result; and
A traffic observation / control system comprising a control instruction device that outputs a command to the bandwidth control device in accordance with an output from the traffic analysis device. 請求項1に記載のトラヒック観測・制御システムであって、
前記ネットワークを流れるパケットより導出される前記条件は、前記マーク付与装置を単位時間当たりに通過するトラヒック量が予め定めたよりも大きいという条件であることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to claim 1,
The traffic observing / controlling system characterized in that the condition derived from a packet flowing through the network is a condition that an amount of traffic passing through the mark assigning device per unit time is larger than a predetermined amount. 請求項1または請求項2に記載のトラヒック観測・制御システムであって、
前記帯域制御は、帯域制御装置を単位時間当たりに通過するトラヒック量の上限値を定め、この上限値を上回らないようにトラヒックを制御することを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to claim 1 or 2,
In the bandwidth control, a traffic observation and control system is characterized in that an upper limit value of a traffic amount passing through a bandwidth control device per unit time is determined, and traffic is controlled so as not to exceed the upper limit value. 請求項1ないし請求項3のいずれか一つに記載のトラヒック観測・制御システムであって、
前記トラヒック分析装置は、転送されたトラヒックより、そのトラヒックを発生させているソフトウェアを推定し、そのソフトウェアの情報を前記分析結果に含めることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 3,
The traffic analysis apparatus estimates the software generating the traffic from the transferred traffic and includes the information of the software in the analysis result. 請求項1ないし請求項4のいずれか一つに記載のトラヒック観測・制御システムであって、
前記のマーク付与装置、前記トラヒック複製装置、前記帯域制御装置、前記トラヒック分析装置または前記制御指示装置から選択された二つの装置の機能が、物理的に同一の機器の中に実装されていることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
Functions of two devices selected from the mark adding device, the traffic duplicating device, the bandwidth control device, the traffic analysis device, or the control instruction device are mounted in the physically same device. Traffic observation and control system characterized by 請求項1ないし請求項4のいずれか一つに記載のトラヒック観測・制御システムであって、
前記マーク付与装置を複数台備えることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
A traffic observation / control system comprising a plurality of the mark applying devices. 請求項1ないし請求項4のいずれか一つに記載のトラヒック観測・制御システムであって、
前記帯域制御装置は、トラヒックの遮断、あるいは経路変更を行うことを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
The band control device is a traffic observation / control system characterized by blocking traffic or changing a route. 請求項1ないし請求項4のいずれか一つに記載のトラヒック観測・制御システムであって、
前記帯域制御装置は、すべてのトラヒックを遮断し、制御指示装置の指示に応じて許可したトラヒックのみを通過させることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
The band control device blocks all traffic and allows only traffic permitted in accordance with an instruction from the control instruction device to pass therethrough. 請求項1ないし請求項4のいずれか一つに記載のトラヒック観測・制御システムであって、
前記のマーク付与装置、前記トラヒック複製装置、前記帯域制御装置、前記トラヒック分析装置または前記制御指示装置のうち一つ以上の機能は、ソフトウェアプログラムとして実装されていることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
One or more functions of the mark adding device, the traffic duplicating device, the bandwidth control device, the traffic analysis device, or the control instruction device are implemented as a software program. system.
JP2009057679A 2009-03-11 2009-03-11 Traffic observation and control system Expired - Fee Related JP5185862B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009057679A JP5185862B2 (en) 2009-03-11 2009-03-11 Traffic observation and control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009057679A JP5185862B2 (en) 2009-03-11 2009-03-11 Traffic observation and control system

Publications (2)

Publication Number Publication Date
JP2010213048A JP2010213048A (en) 2010-09-24
JP5185862B2 true JP5185862B2 (en) 2013-04-17

Family

ID=42972763

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009057679A Expired - Fee Related JP5185862B2 (en) 2009-03-11 2009-03-11 Traffic observation and control system

Country Status (1)

Country Link
JP (1) JP5185862B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7131786B2 (en) 2021-09-29 2022-09-06 株式会社富祥 Auxiliary equipment for preventing serious accidents in automatic vehicles

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103518354B (en) * 2011-04-27 2016-05-11 日本电气株式会社 The detection method of network equipment, communication system and exceptional communication
JP6839580B2 (en) * 2017-03-24 2021-03-10 アラクサラネットワークス株式会社 Communication device and communication method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4222565B2 (en) * 2005-05-13 2009-02-12 日本電信電話株式会社 Congestion control method, congestion control device, tagging device, and discarding device
JP4759389B2 (en) * 2006-01-10 2011-08-31 アラクサラネットワークス株式会社 Packet communication device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7131786B2 (en) 2021-09-29 2022-09-06 株式会社富祥 Auxiliary equipment for preventing serious accidents in automatic vehicles

Also Published As

Publication number Publication date
JP2010213048A (en) 2010-09-24

Similar Documents

Publication Publication Date Title
US7966391B2 (en) Systems, apparatus and methods for managing networking devices
TWI643477B (en) Software defined network controller, service function chaining system and trace tracking method
US8879415B2 (en) Method and system for annotating network flow information
US7869352B1 (en) Adaptive network router
US7003562B2 (en) Method and apparatus for network wide policy-based analysis of configurations of devices
US7512705B2 (en) Truncating data units
EP2056559B1 (en) Method and system for network simulation
CN102577248A (en) Methods and apparatus for detection of a NAT device
US11190417B2 (en) Methods, systems, and computer readable media for processing network flow metadata at a network packet broker
US11277384B2 (en) Dynamic filter generation and distribution within computer networks
JP5185862B2 (en) Traffic observation and control system
Nadeem et al. An ns-3 mptcp implementation
Khairi et al. Generation and collection of data for normal and conflicting flows in software defined network flow table
JP2013223191A (en) Communication system, control device, packet collection method and program
JP6193147B2 (en) Firewall device control device and program
KR20220029142A (en) Sdn controller server and method for analysing sdn based network traffic usage thereof
Varadharajan et al. Securing communication in multiple autonomous system domains with software defined networking
Mahkonen et al. Elastic network monitoring with virtual probes
JP3999353B2 (en) Method and system for determining communication path in computer network, and recording medium on which program is recorded
di Lallo et al. On the practical applicability of SDN research
JP4498984B2 (en) Service providing apparatus and communication control program
JP2005072783A (en) Information processing content determining method, and information processing apparatus adopting the method
JP4924081B2 (en) Test apparatus, method and program
Pandi et al. Networking tools
JP2011146996A (en) Traffic control system, and program for generating traffic control data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110906

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120925

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130118

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160125

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees