JP5185862B2 - Traffic observation and control system - Google Patents
Traffic observation and control system Download PDFInfo
- Publication number
- JP5185862B2 JP5185862B2 JP2009057679A JP2009057679A JP5185862B2 JP 5185862 B2 JP5185862 B2 JP 5185862B2 JP 2009057679 A JP2009057679 A JP 2009057679A JP 2009057679 A JP2009057679 A JP 2009057679A JP 5185862 B2 JP5185862 B2 JP 5185862B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- control
- packet
- mark
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、トラヒック観測・制御システムに係り、ネットワークを流れるトラヒックを観測し、制御するトラヒック観測・制御システムに関する。 The present invention relates to a traffic observation / control system, and relates to a traffic observation / control system for observing and controlling traffic flowing in a network.
インターネット上では様々な通信が行なわれている。通信の中には、WEBの閲覧、FTPによるファイル転送などの通常のトラヒックと、コンピュータウィルスによる感染活動、ウィルスに感染したPCから特定のサーバに対するDoS攻撃などの、他者に迷惑をかける可能性のあるトラヒックとが混在している。 Various communications are performed on the Internet. During communication, there is a possibility of inconvenience others, such as normal traffic such as browsing the WEB, file transfer by FTP, infection activity due to computer virus, DoS attack against specific server from virus infected PC Is mixed with traffic.
このため、ISP、企業のネットワーク管理部門においては、ネットワークを流れるトラヒックを分析し、一部の好ましくないと判断されたトラヒック通信を制限する処理を行なうことがある。具体的には、P2Pソフトウェアなどのファイル交換ソフトウェアによって発生するトラヒックがネットワークの帯域を圧迫している場合、これらのトラヒックについて帯域の制限を行なうことがある。 For this reason, ISPs and corporate network management departments may analyze the traffic flowing through the network and perform processing to limit some traffic communications that are determined to be undesirable. Specifically, when traffic generated by file exchange software such as P2P software is pressing on the bandwidth of the network, the bandwidth of the traffic may be limited.
トラヒックの分析においては、分析対象となるトラヒックを何らかの方法で分析装置に入力することが必要となる。特許文献1は、ネットワークトラヒックを観測し、分析するシステムにおいて、トラヒックの観測装置で分析対象となるトラヒックを専用の回線にコピーし、分析装置に転送する方法および共用の回線にコピーして分析装置に転送する方法を開示している。 In the traffic analysis, it is necessary to input the traffic to be analyzed into the analyzer by some method. Japanese Patent Application Laid-Open No. 2004-151867 is a system for observing and analyzing network traffic, a method of copying traffic to be analyzed by a traffic observation device to a dedicated line and transferring it to an analysis device, and a copying method to a shared line and an analysis device A method of transferring to is disclosed.
インターネット上におけるトラヒックを観測し、制御を行なう場合、トラヒックのすべてを観測対象としようとすると、観測に伴って生じる処理は、通常膨大な量となる。
特許文献1で述べられている手法では、分析対象のトラヒックをその他通常のトラヒックと同じ回線を用いて転送する方法については考慮されていなかった。このため、分析対象のトラヒックをその他通常のトラヒックと同じ回線を用いて転送する場合、通常トラヒックに影響を及ぼす可能性を排除できなかった。
When observing and controlling traffic on the Internet, if all of the traffic is to be observed, the amount of processing that accompanies the observation is usually enormous.
In the method described in
上述した課題は、ネットワークを流れるパケットより導出される条件によって、そのセッションに含まれるパケットを識別するためのマークを付与するマーク付与装置と、マークが付与されたパケットのコピーを行ない、トラヒック分析装置に転送するトラヒック複製装置と、指示を受けたセッションのトラヒックについて帯域制御を行なう帯域制御装置と、転送されたマークが付与されたパケットの内容の分析を行ない、分析結果を出力するトラヒック分析装置と、トラヒック分析装置からの出力に応じて帯域制御装置に向けて命令を出力する制御指示装置とからなるトラヒック観測・制御システムにより、解決することができる。 The above-described problems are a mark adding device for adding a mark for identifying a packet included in the session according to a condition derived from a packet flowing in the network, and a traffic analyzing device for copying the packet to which the mark is attached. A traffic duplicating device that forwards to the network, a bandwidth control device that performs bandwidth control on the traffic of the instructed session, a traffic analysis device that analyzes the content of the packet with the transferred mark and outputs the analysis result, and This can be solved by a traffic observation / control system comprising a control instruction device that outputs a command to the bandwidth control device in accordance with the output from the traffic analysis device.
本発明によれば、ネットワーク上を流れる通信において、分析対象となったトラヒックを、その他のトラヒックに一定以上の影響を与えることがない。したがって、その他のトラヒックと同じネットワークを介してトラヒック分析装置に転送することが可能である。このため、分析対象トラヒックを通常のネットワークに接続された任意の分析装置に転送することが可能となり、離れた拠点間でのトラヒックの観測・分析が可能となる。 According to the present invention, in communication flowing on a network, the traffic to be analyzed does not affect other traffic beyond a certain level. Therefore, it can be transferred to the traffic analyzer via the same network as other traffic. Therefore, it is possible to transfer the analysis target traffic to an arbitrary analysis device connected to a normal network, and it becomes possible to observe and analyze the traffic between remote bases.
以下、本発明の実施形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には、同じ参照番号を振り、説明を繰り返さない。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings using examples. Note that the same reference numerals are assigned to substantially the same parts, and the description will not be repeated.
図1において、通信システム1000は、ネットワーク100と、ネットワーク100に接続された2台のトラヒック制御装置300、制御指示装置700、帯域制御装置500と、トラヒック制御装置300−1に接続された2台の通信端末200、トラヒック分析装置600と、トラヒック制御装置300−2に接続された2台の通信端末200と、帯域制御装置500に接続されたトラヒック複製装置800と、トラヒック複製装置800に接続されたマーク付与装置400と、マーク付与装置400に接続された2台の通信端末200とから構成される。なお、トラヒック分析装置600は、制御指示装置700とも直接接続されている。
In FIG. 1, a
通信端末200は、ネットワーク通信を行なう端末である。ここで述べるネットワーク通信とは、具体的にはTCP/IPのプロトコルを用いた通信のことを指す。本実施例で以下に述べる通信、ネットワーク通信などの用語も同様である。これらの通信端末200は、WEBブラウザ、FTPクライアントなどの通信ソフトウェアがインストールされたPC、WEBサーバ、FTPサーバなどのサーバソフトウエアがインストールされたサーバマシンを指す。
The
トラヒック制御装置300は、ネットワーク通信においてパケットの転送を行なう装置である。トラヒック制御装置300に該当する機器としては、ルータ、スイッチが挙げられる。トラヒック分析装置600は、トラヒック制御装置300から転送されてきたトラヒックの内容を分析する。トラヒック分析装置600は、分析結果よりトラヒック制御情報を生成する。トラヒック分析装置600は、生成したトラヒック制御情報について、制御指示装置700に転送する。
The
制御指示装置700は、トラヒック制御情報をもとに適切な帯域制御装置500を選択する(図1では1台のみ図示)。制御指示装置700は、選択した帯域制御装置500に対して、制御コマンドを実行する。
The
帯域制御装置500は、通過するトラヒックに対して、その帯域の制御を行なう。帯域制御装置500は、トラヒック制御装置300と同様のルータ、スイッチなどの装置に、帯域制御の機能を付加した装置として実装されることがある。
The
トラヒック複製装置800は、通過するトラヒックの一部または全部を複製する。トラヒック複製装置800は、トラヒック分析装置600に複製されたトラヒックを転送する。トラヒック複製装置800は、トラヒック制御装置300と同様のルータ、スイッチなどの装置に、トラヒック複製の機能を付加した装置として実装されることがある。
The traffic duplicating
マーク付与装置400は、通過するトラヒックの一部に対しマークを付与する。マーク付与装置400は、トラヒック制御装置300と同様のルータ、スイッチなどの装置に、マーク付与の機能を付加した装置として実装されることがある。
The mark imparting
図2を参照して、通信端末のハードウェア構成を説明する。図2において、通信端末200は、インターネットなどのネットワークに接続されて、通信を行うプログラムを内蔵した端末である。通信端末200は、CPU202、入出力装置203、通信を行うインタフェース(IF)204、メモリ210が含まれており、これらがデータバス206を介して接続されている。インタフェース204は、通信路205と接続されている。メモリ210は、通信プログラム211を記憶している。通信プログラム211は、インタフェース204、通信路205を介して、他の装置との通信を行なうための処理が記述されている。通信プログラム211は、ウェブブラウザ、ウェブサーバメールクライアント、メールサーバなどである。なお、図1に記載した各通信端末200は、それぞれ別の機能を実現するプログラムが含まれていることもあり得る。
The hardware configuration of the communication terminal will be described with reference to FIG. In FIG. 2, a
図3を参照して、トラヒック制御装置のハードウェア構成を説明する。図3において、トラヒック制御装置300は、インターネットなどのネットワークに接続されて、ネットワーク上においてやりとりされるパケットを適切な経路に転送する装置である。トラヒック制御装置300は、CPU314、入出力装置304、パケット転送用インタフェース302、制御用インタフェース306、メモリ313、パケット処理装置303で構成されている。トラヒック制御装置300は、これら装置がデータバス310、308を介して接続されている。制御用インタフェース306は、通信路305を介して外部のネットワークと接続されている。制御用インタフェース306は、主に装置の外部からトラヒック制御装置300の制御を行なうためインタフェースである。
The hardware configuration of the traffic control device will be described with reference to FIG. In FIG. 3, a
また、パケット処理装置303は、2つのインタフェース302がデータバス308を介して接続されている。インタフェース302は、通信路307と接続されている。パケット処理装置303を外部ネットワークと接続するインタフェース302は、外部ネットワークからのパケットを受信する。パケット処理装置303は、パケットを出力される適切なインタフェース302を選択する。パケット処理装置303は、選択したインタフェース302からパケットを送出する。
The
トラヒック制御装置300は、通常、このような外部ネットワークと接続されたインタフェースを複数備えている。トラヒック制御装置300の構成は、前述のルータ、スイッチなど、パケットの転送を行う機能を備えている機器であれば、必ずしも図3に示すとおりの構成でなくても良い。
The
図4を参照して、マーク付与装置のハードウェア構成を説明する。図4において、マーク付与装置400は、CPU405、メモリ420、入出力装置404、パケット処理装置403、制御用インタフェース407、2つのパケット転送用インタフェース402がそれぞれデータバス409、410で接続されている。マーク付与装置400の構成は、トラヒック制御装置300と同様である。メモリ420は、マーク付与プログラム421、セッション管理データ422、パケット管理データ423を記憶している。制御用インタフェース407は、通信路406と接続されている。2つのパケット転送用インタフェース402は、それぞれ通信路408と接続されている。
With reference to FIG. 4, the hardware configuration of the mark assigning apparatus will be described. In FIG. 4, a
図5を参照して、マーク付与装置が保持するセッション管理データの詳細を説明する。図5において、セッション管理データ422は、送信元IPアドレス11、送信元ポート番号12、宛先IPアドレス13、宛先ポート番号14、プロトコル15、パケット転送速度16を記録した複数のレコードを保持する。セッション管理データ422は、送信元IPアドレス11、送信元ポート番号12、宛先IPアドレス13、宛先ポート番号14およびプロトコル15は、ネットワークを流れる通信の中からセッション(一連のパケットの集合)を特定するためのデータである。パケット転送速度16は、セッションに含まれるパケットがマーク付与装置400を通過する速度を記録する。
With reference to FIG. 5, the details of the session management data held by the mark assigning apparatus will be described. In FIG. 5, the
前者のデータは、TCP/IPネットワーク上においてパケットの送受信を行う際に用いる情報で、セッションを特定するために用いる。これらの5項目について同一の値を持つパケットを同じセッションに属すると定義する。パケット通過速度16は、送信元1Pアドレス11〜プロトコル15によって特定されるセッションに属するパケットが、どれくらいの速度でマーク付与装置を通過しているかを示す。なお、ここでは、パケット通過速度16をパケット/秒で定義したが、バイト/秒等であっても構わない。
The former data is information used when transmitting / receiving a packet on a TCP / IP network, and is used for specifying a session. Packets having the same value for these five items are defined as belonging to the same session. The
図6を参照して、マーク付与装置が保持するパケット管理データの詳細を説明する。パケット管理データ423は、マーク付与装置400を通過するパケットの通過時刻をセッションごとに保持するためのテーブルである。パケット管理データ423は、送信元IPアドレス21、送信元ポート番号22、宛先IPアドレス23、宛先ポート番号24、プロトコル25、パケット通過時刻保持領域26を記録した複数のレコードを保持する。送信元IPアドレス21、送信元ポート番号22、宛先IPアドレス23、宛先ポート番号24およびプロトコル25は、図5の同じ名称の項目と同様、TCP/IPネットワーク上においてセッションを定義するために用いられる情報である。パケット通過時刻保持領域26は、送信元1Pアドレス21〜プロトコル25の値によって特定されるセッションのパケットで、マーク付与装置400を通過したパケットの通過時刻が最も新しいものから過去にさかのぼって一定数記録されている。具体的には、マーク付与装置400を通過した最新の100パケットの通過時刻を記録する。
With reference to FIG. 6, the details of the packet management data held by the mark assigning apparatus will be described. The
図7を参照して、マーク付与装置のマーク付与処理の動作を説明する。この処理はパケットがマーク付与装置400を通過する度に行なわれる。図7において、マーク付与装置400は、パケットを受信すると、パケットのヘッダ情報より、そのパケットが所属するセッション情報を検索する。マーク付与装置400は、そのパケットの通過時刻をパケット通過時刻保持領域26に記録する。マーク付与装置400は、そのセッションの単位時間当たりの通過パケット数を算出する(S11)。このために、マーク付与装置400は、パケット管理データ423の対象となるセッションのパケット通過時刻保持領域26を参照し、マーク付与装置400は、記録されているパケット数を最も古い時刻と最も新しい時刻の差分で除算することにより、一定時間当たりの通過パケット数を算出する。マーク付与装置400は、セッション管理データ422の該当するセッションのパケット通過速度16に記録する。より具体的には、パケット通過時刻保持領域で100個のパケットを保持し、それらのパケットの最も古い通過時刻と最も新しい通過時刻の差分が10秒である場合、そのセッションのパケット通過速度は10パケット/秒となる。
With reference to FIG. 7, the operation of the mark applying process of the mark applying apparatus will be described. This process is performed every time the packet passes through the
マーク付与装置400は、セッション管理データ422のパケット通過速度16の値を参照し、算出したパケット通過速度が、この値を超えているか判定する(S12)。一定値を超えている場合(YES)、マーク付与装置400は、パケットのヘッダの特定の位置にフラグを立て(S13)、終了する。ステップ12がNOのとき、マーク付与装置400は、そのまま終了する。
フラグを立てるフィールドは、通常のTCP/IP通信に影響を及ぼさない限り任意であるが、ここではCoS(Class of Service)フィールドを用いる。
The
A field for setting a flag is arbitrary as long as it does not affect normal TCP / IP communication, but here, a CoS (Class of Service) field is used.
図8を参照して、トラヒック複製装置のハードウェア構成を説明する。図8において、トラヒック複製装置800は、CPU805、メモリ820、入出力装置804、パケット処理装置803、制御用インタフェース807、2つのパケット転送用インタフェース802がそれぞれデータバス809、810で接続されている。制御用インタフェース807には、通信路806が接続されている。また、2つのパケット転送用インタフェース802には、それぞれ通信路808が接続されている。トラヒック複製装置800の構成は、トラヒック制御装置300と同様である。メモリ820は、トラヒック複製プログラム821を記憶している。
The hardware configuration of the traffic duplicating apparatus will be described with reference to FIG. In FIG. 8, a
図9を参照して、トラヒック複製装置のトラヒック複製処理の動作を説明する。この処理は、パケットがパケット転送用インタフェース802−1または802−2から入力される度に実行される。 With reference to FIG. 9, the traffic duplicating operation of the traffic duplicating apparatus will be described. This process is executed each time a packet is input from the packet transfer interface 802-1 or 802-2.
図9において、トラヒック複製装置800は、パケットヘッダのCoSフィールドにフラグが立っているかどうかをチェックする(S21)。トラヒック複製装置800は、フラグにマークされているか判定する(S22)。YESのとき、トラヒック複製装置800は、パケットをコピーし、コピーを帯域制御装置に転送する(S23)。トラヒック複製装置800は、オリジナルのマークを削除し、帯域制御装置に転送して(S24)、終了する。ステップ22でNOのとき、トラヒック複製装置800は、そのまま終了する。
In FIG. 9, the
なお、ステップ23において、コピーのパケットの宛先IPアドレスは、もとの宛先IPアドレスのままだが、トラヒック複製装置800は、コピーについて、最終的にトラヒック分析装置600に転送されるよう制御する。また、ステップ24において、オリジナルは、パケットの宛先IPアドレスに転送される。
In
図10を参照して、帯域制御装置のハードウェア構成を説明する。図10において、帯域制御装置500は、CPU505、メモリ520、入出力装置504、パケット処理装置503、制御用インタフェース507、2つのパケット転送用インタフェース502がそれぞれデータバス509、510で接続されている。制御用インタフェース507には、通信路506が接続されている。また、2つのパケット転送用インタフェース502には、それぞれ通信路508が接続されている。帯域制御装置800の構成は、トラヒック制御装置300と同様である。メモリ520は、帯域制御プログラム521、転送レート変換データ522、制御ポリシデータ523を記憶している。このような機器としては、パケットシェイパが挙げられる。
With reference to FIG. 10, the hardware configuration of the bandwidth control apparatus will be described. In FIG. 10, a
図11を参照して、帯域制御装置の転送レート変換データを説明する。図11において、転送レート変換データ522は、帯域制御プログラム521がどのセッションにどのような制御ポリシを適用するか記述されている。転送レート変換データ522は、送信元IPアドレス31、送信元ポート番号32、宛先IPアドレス33、宛先ポート番号34、プロトコル35、制御レベル36で構成される複数のレコードからなる。ここで、送信元IPアドレス31、送信元ポート番号32、宛先IPアドレス33、宛先ポート番号34、プロトコル35は、TCP/IPネットワーク上においてセッションを定義するために用いられる情報である。一方、制御レベル36は、送信元IPアドレス31〜プロトコル35で決定されるセッションデータに対して、どのような種別の制御を行うのかを指定するデータである。
The transfer rate conversion data of the bandwidth control device will be described with reference to FIG. In FIG. 11, transfer
図12を参照して、帯域制御装置の制御ポリシデータを説明する。図12において、制御ポリシデータ523は、制御レベル41、最大転送レート42で構成される複数のレコードからなる。制御レベル41は、図11の制御レベル36に対応する制御の種別を示す識別子である。最大転送レート42は、対応する制御レベルにおいて許可するトラヒック転送レートの最大値である。
The control policy data of the bandwidth control device will be described with reference to FIG. In FIG. 12, the
図13を参照して、帯域制御装置の帯域制御処理を説明する。なお、帯域制御処理は、帯域制御装置500のパケット処理装置503にパケットが入力されるたびに実行される処理である。
With reference to FIG. 13, the bandwidth control processing of the bandwidth control device will be described. The bandwidth control process is a process that is executed every time a packet is input to the
帯域制御装置500は、パケット入力装置503に入力されたパケットのヘッダ情報を取得する(S31)。帯域制御装置500は、パケットヘッダのCoSフィールドにフラグが立っているか(マーク付き)どうかを判定する(S32)。YESのとき、帯域制御装置500は、マーク付きのパケットに対して帯域制御を実行する(S33)。具体的には、当該パケットについて、帯域制御装置500は、パケット転送レートの上限を制限する。帯域制御装置500は、それ以外のトラヒックに影響を与えることなく、当該パケットについて、ネットワーク100、トラヒック制御装置300−1を介してトラヒック分析装置600に転送する。ここでパケット転送レートの上限は、別途外部より指定し、メモリ内で保持している値である。なお、このような帯域制御は、パケットシェイパの一機能として実現される。
The
ステップ32でNOのとき、帯域制御装置500は、図11で示した転送レート変換データ522を参照し、制御の対象となっているセッション情報であるか否かを判断する(S34)。制御対象のセッションである場合(YES)、帯域制御装置500は、通常トラヒック制御を実行し(S35)、終了する。具体的には、帯域制御装置500は、制御情報変換データより、対象セッションに対して行う制御の種別を制御レベル36より取得する。また、帯域制御装置500は、制御ポリシデータ523よりその制御レベルに対応する最大転送レートを取得する。さらに、帯域制御装置500は、対象のセッションに対する帯域制御を実行する。帯域制御は、対象のセッションのトラヒックに対して、その転送レートの上限を指定する形で行われる。
ステップ34でNOのとき、帯域制御装置500は、そのまま終了する。
When NO is determined in
If NO in
図14を参照して、トラヒック分析装置のハードウェア構成を説明する。図14において、トラヒック分析装置600は、CPU604、メモリ610、入出力装置603、通信インタフェース602、がそれぞれデータバス606で接続されている。通信インタフェース602は、通信路605が接続されている。トラヒック分析装置600の構成は、通信端末200と同様である。メモリ610は、トラヒック分析プログラム611とトラヒック分析データ612を記憶している。トラヒック分析装置600は、分析結果であるトラヒック分析データ612を、制御指示装置700に送信する。
With reference to FIG. 14, the hardware configuration of the traffic analysis apparatus will be described. In FIG. 14, a
トラヒック分析プログラム611は、通信インタフェース602から入力される分析対象トラヒックの内容を分析し、通信に用いられているアプリケーションの種別を特定する。具体的には、トラヒック分析プログラム611は、分析対象トラヒックのパケットの内容をチェックする。「あるセッションに含まれるパケットにWinnyを用いた通信に固有の文字列が含まれている場合、そのセッションではWinnyの通信が行われていると判定する」などの処理を行なう。通信インタフェース602から入力されるトラヒックが分析対象トラヒックか否かは、そのトラヒックに含まれるパケットのヘッダ情報を見て判断する。たとえば、トラヒック分析装置600に入力されるパケットで、パケットの宛先IPアドレスがトラヒック分析装置600ではないトラヒックを分析対象のトラヒックとして分析を行なう。ここで、パケットの宛先IPアドレスがトラヒック分析装置600ではないトラヒックとは、トラヒック複製装置800がコピーしたパケットである。
The
図15を参照して、トラヒック分析データを説明する。図15において、トラヒック分析データ612は、送信元IPアドレス51、送信元ポート番号52、宛先IPアドレス53、宛先ポート番号54、プロトコル55、アプリケーション種別56とからなる複数のレコードから構成されている。送信元IPアドレス51、送信元ポート番号52、宛先IPアドレス53、宛先ポート番号54、プロトコル55は、TCP/IPネットワーク上においてセッションを定義するために用いられる情報である。アプリケーション種別56は、送信元IPアドレス51〜プロトコル55で指定されるセッションにおいて用いられているアプリケーションの種別である。このアプリケーション種別56は、トラヒック分析プログラム611によって判定され、書き込まれる。
The traffic analysis data will be described with reference to FIG. In FIG. 15, the
図16を参照して、制御指示装置のハードウェア構成を説明する。図16において、制御指示装置700は、CPU704、メモリ710、入出力装置703、通信インタフェース702がそれぞれデータバス706で接続されている。通信インタフェース702は、通信路705と接続されている。制御指示装置700の構成は、通信端末200と同様である。メモリ710は、制御指示プログラム711、制御対象変換データ712、制御レベル変換データ713、制御指示データ714を記憶している。
The hardware configuration of the control instruction device will be described with reference to FIG. In FIG. 16, a
図17を参照して、制御対象変換データを説明する。図17において、制御対象変換データ712は、通信を実際に行っている端末のIPアドレス61と、その端末が含まれるネットワークを制御する制御装置のIPアドレス62の対応が複数のレコードに格納されている。端末IPアドレス61は、ネットワークに接続して実際に通信を行う端末のIPアドレスである。
The control target conversion data will be described with reference to FIG. In FIG. 17, the control
図1のネットワーク1000においては、通信端末200−5、200−6などがこれに相当する。この端末IPアドレスの指定はサブネットの範囲指定も可能である。制御装置IPアドレス62は、帯域制御装置500のIPアドレスであり、この帯域制御装置を制御することによりその帯域制御装置に接続されている通信端末が行う通信の帯域を制御する。
In the
図1に戻って、通信端末200−5、200−6は、帯域制御装置500を介してネットワーク100に接続されている。したがって、制御指示装置700は、帯域制御装置500に制御を指示することにより、通信端末200−5、200−6の行なう通信の帯域を制御することができる。
Returning to FIG. 1, the communication terminals 200-5 and 200-6 are connected to the
図18を参照して、制御レベル変換データを説明する。図18において、制御レベル変換データ713は、トラヒック分析装置600が出力したアプリケーションの種別に応じてどの種別の制御を行うのかを特定するためのテーブルである。制御レベル変換データ713は、アプリケーション種別71と制御レベル72とを記録する複数のレコードを保持する。アプリケーション種別71は、ネットワークを流れる通信に用いられているアプリケーション種別である。アプリケーション種別71は、トラヒック分析装置600が出力するアプリケーション種別を網羅している。制御レベル71は、該当する種別のアプリケーションに対して、どのレベルの制御を行なうのかを示す識別子である。
The control level conversion data will be described with reference to FIG. In FIG. 18, control
図19を参照して、制御指示データを説明する。図19において、制御指示データ714は、送信元IPアドレス81、送信元ポート番号82、宛先IPアドレス83、宛先ポート番号84、プロトコル85、制御装置IPアドレス86、制御レベル87とを記録する複数のレコードを保持する。送信元IPアドレス81、送信元ポート番号82、宛先IPアドレス83、宛先ポート番号84、プロトコル85は、TCP/IPネットワーク上においてセッションを定義するために用いられる情報である。制御装置IPアドレス86は、送信元IPアドレス81〜プロトコル85の情報で特定されるセッションに制御を行なうために、制御命令を送信する制御装置のIPアドレスを示している。制御レベル87は、送信元IPアドレス81〜プロトコル85の情報で特定されるセッションに対して、どのような種別の制御を行なうのかを示す識別子である。
The control instruction data will be described with reference to FIG. 19, the
図20を参照して、制御指示装置の制御指示処理を説明する。図20において、制御指示装置700は、トラヒック分析装置600が出力した、セッション情報とそのセッションで利用されているアプリケーション情報より、適切な帯域制御装置に対して制御のための情報を伝える。
With reference to FIG. 20, the control instruction process of the control instruction apparatus will be described. In FIG. 20, the
制御指示装置700は、通信インタフェース702から入力された、トラヒック分析結果を取得する(S41)。ステップ41は、具体的には、セッション情報を制御指示データ714の送信元IPアドレス81〜プロトコル85に書き込む処理である。トラヒック分析結果は、図15で説明したトラヒック分析データ612の各項目を含む形式で入力される。
The
制御指示装置700は、ステップ41で取得したトラヒック分析結果に含まれるセッション情報より、制御対象変換データ712を参照して制御命令を発行する帯域制御装置を特定する(S42)。このステップは、セッション情報に対応する制御装置IPアドレス86の項目に書きこむ処理である。制御指示装置700は、トラヒック分析結果の送信元IPアドレスに対応する制御装置IPアドレスを、制御対象変換データ712から取得する。なお、これ以外にも、宛先IPアドレスに対応する制御装置IPアドレスを取得することもできる。さらに、送信元IPアドレス、宛先IPアドレスそれぞれに対応する制御装置IPアドレスを取得することもできる。
Based on the session information included in the traffic analysis result acquired in
制御指示装置700は、ステップ41で取得したトラヒック分析結果に含まれるアプリケーション種別より、制御指示データ714を参照して制御レベルを特定する(S43)。ステップ43は、セッション情報に対応する制御レベルを制御レベル変換データ713から取得し、制御レベル87の項目に書き込む処理である。
The
制御指示装置700は、制御指示データ714のテーブルに基づいて、制御実行コマンドを送信して(S44)、終了する。具体的には、制御装置IPアドレス86に対して、送信元IPアドレス81〜プロトコル85で特定されるセッションのトラヒックを、制御レベル87の値で制御を行なうようにコマンドを発行する。
The
以上で説明した各装置において、トラヒック観測・制御システム全体としてどのようなトラヒック制御がなされるのかを、図21を参照して説明する。
なお、ここでは通信端末200−5が、通信端末200−3に対して、大量のデータを送信するとする。このデータ送信のセッションは、通信端末200−5、200−3のIPアドレス、ポート番号、使っているプロトコルで特定することができる。いま、この通信のアプリケーションがP2P_Winny(P2P通信ソフトのWinny)であり、この通信は一定以上の転送速度(マーク付与装置400でマーク付与の対象となる)で行なわれている。また、P2P_Winnyは、制御レベルAのアプリケーションであり、帯域制御装置における制御レベルAの最大転送レートは128kbit/sである。また、通信端末200−5のトラヒックを制御する制御装置は、帯域制御装置500であり、その情報は制御対象変換データ712に記述されている。
With reference to FIG. 21, what kind of traffic control is performed in each apparatus described above as the entire traffic observation / control system will be described.
Here, it is assumed that the communication terminal 200-5 transmits a large amount of data to the communication terminal 200-3. This data transmission session can be specified by the IP addresses, port numbers, and protocols used by the communication terminals 200-5 and 200-3. Now, this communication application is P2P_Winny (Winny of P2P communication software), and this communication is performed at a transfer speed (which is subject to mark application by the mark application device 400) of a certain level or higher. P2P_Winny is an application of control level A, and the maximum transfer rate of control level A in the bandwidth control apparatus is 128 kbit / s. The control device that controls the traffic of the communication terminal 200-5 is the
まず、通信端末200−5が、通信端末200−3に対して、大量のデータ送信を開始する(S51)。なお、ここでは通信端末200−5から通信端末200−3への1本の矢印で通信セッションを示しているが、実際には中間の各装置で転送されている。また、転送のタイミングも図示した順ではない。これは、ここではミラートラヒックに注目して説明するからである。このセッションの通信について、マーク付与装置400は、セッションに含まれるパケットにマークを付与する(S52)。
First, the communication terminal 200-5 starts a large amount of data transmission to the communication terminal 200-3 (S51). Here, the communication session is indicated by a single arrow from the communication terminal 200-5 to the communication terminal 200-3, but is actually transferred by each intermediate device. Also, the transfer timing is not in the order shown. This is because the description will be given focusing on mirror traffic. For the communication of this session, the
マークが付与されたパケットについて、トラヒック複製装置800は、複製を作成する(S53)。トラヒック複製装置800は、複製を帯域制御装置500に送信する(S54)。トラヒック複製装置800は、オリジナルのマークを削除し(S56)、帯域制御装置500に送信する。帯域制御装置500は、ミラートラヒックについて、帯域制御を行なう(S57)。帯域制御装置500は、ミラートラヒックについて、トラヒック分析装置600に転送する(S58)。
The
トラヒック分析装置600は、この転送されてきたトラヒックの分析を行なう(S59)。トラヒック分析装置600は、この通信の内容はP2P_Winnyであることを特定する。トラヒック分析装置600は、分析結果を制御指示装置700に転送する(S61)。
The
制御指示装置700は、分析結果を評価する(S62)。制御指示装置700は、通信端末200−5のトラヒックを制限するために、帯域制御装置500に対して制御レベルAで制御を行なう制御命令を発行する(S63)。
The
帯域制御装置500は、対象のセッションに対する制御レベルAの制御命令を受信し、制御レベルA、すなわち最大転送レート128kbit/sで通信を行なうよう、通信端末200−5と200−3のデータ送信のセッションを制御する(S64)。
The
上述した実施例によれば、マーク付与装置は、1台の構成である。しかし、これを変更して複数のマーク付与装置を備える通信システムとしてもよい。この場合の通信システム構成について、図22を参照して説明する。図22においては、通信システム1000Aは、ネットワーク100、帯域制御装置500、トラヒック複製装置800、2台のマーク付与装置400、4台の通信端末200から構成される。なお、図22では、ネットワーク100に接続された対向側のトラヒック制御装置300、トラヒック分析装置600、制御指示装置700の図示を省いている。
According to the above-described embodiment, the mark applying device has a single configuration. However, it is good also as a communication system provided with a some mark provision apparatus by changing this. The communication system configuration in this case will be described with reference to FIG. In FIG. 22, the
ネットワーク100は、帯域制御装置500を直接接続する。帯域制御装置500は、トラヒック複製装置800を接続する。トラヒック複製装置800は、2台のマーク付与装置400を接続する。通信端末200−7、200−8からなるサブネットワークをマーク付与装置400−1に接続する。通信端末200−9、200−10からなるサブネットワークをマーク付与装置400−2に接続する。
The
マーク付与装置400−1、400−2によってマークが付与されたパケットは、トラヒック複製装置800、帯域制御装置500を介して、ネットワーク100に接続された図示しないトラヒック分析装置600に転送される。ここで、トラヒック複製装置800、帯域制御装置500の機能は、上述した実施例で記述したものと同じである。
Packets to which marks are attached by the mark assigning devices 400-1 and 400-2 are transferred to a traffic analysis device 600 (not shown) connected to the
この実施例によれば、マーク付与装置の設置個所の自由度が増し、よりトラヒック複製装置800、帯域制御装置500にさらに負荷をかけることなく、マーク付与の装置400の台数を増やした柔軟なシステムを構成することが可能となる。
According to this embodiment, the flexibility of the installation location of the mark applying device is increased, and a flexible system in which the number of the
上述した実施例によれば、ネットワーク上を流れる通信において、分析対象となったトラヒックを、その他のトラヒックに一定以上の影響を与えることなく、その他のトラヒックと同じネットワークを介してトラヒック分析装置に転送することができる。このため、離れた拠点間でのトラヒックの観測・分析が可能となる。 According to the above-described embodiment, in the communication flowing on the network, the traffic to be analyzed is transferred to the traffic analysis device via the same network as the other traffic without affecting the other traffic more than a certain level. can do. This makes it possible to observe and analyze traffic between remote sites.
また、上述した実施例は、その一部を変更して以下のように実施することが可能である。
(1)実施例によれば、帯域制御装置500、トラヒック複製装置800、マーク付与装置400は物理的に別の装置として実装されているが、これを変更してこれらの複数の機能を物理的に一つの装置の中に実装しても良い。
この変形実施例によれば、装置の数を減らして、ハードウェアにかかるコストを抑え、またシンプルな構成のシステムを構築することが可能になる。
Further, the embodiment described above can be implemented as follows with a part thereof being changed.
(1) According to the embodiment, the
According to this modified embodiment, it is possible to reduce the number of devices, reduce the cost of hardware, and construct a system with a simple configuration.
(2)マーク付与プログラム421において、パケットにマークを付与する方法は、必ずしも、単位時間当たりに装置を通過するパケット数を基準とする必要はなく、別途マークを付与する条件を指定し、その条件に応じてパケットを付与する形式であれば任意の方法で良い。
(2) In the
説明した以外の条件として、「宛先ポート番号が特定のポート(例えば80番ポート)である」という条件でパケットにマークを付与する変更することができる。また、「パケットのペイロードに特定の文字列(例えばP2Pソフトに固有の文字列)を含む」という条件を設定しうる。
この変形実施例によれば、マーク付与の条件を設定する形式を柔軟にすることにより、さまざまな特徴をもつインシデントに対応できるシステムを構築することが可能となる。
As conditions other than those described above, it is possible to change that a mark is added to a packet under the condition that “the destination port number is a specific port (for example, port 80)”. Further, a condition that “a specific character string (for example, a character string unique to P2P software) is included in the payload of the packet” can be set.
According to this modified embodiment, it is possible to construct a system that can deal with incidents having various characteristics by making the format for setting the condition for providing a mark flexible.
(3)トラヒック複製装置700において、パケットのミラーリングを行なう代わりに、マークが付与されたパケットから算出される情報をトラヒック分析装置600に送信してもよい。具体的には、パケットの通過速度が大きいホスト(マークが付与されたパケット)の上位一定数のIPアドレスをトラヒック分析装置600に送信する。トラヒック分析装置は、これらのIPアドレスを用いて可能な分析を行うような構成としてもよい。
この変形実施例によれば、トラヒック分析装置が行なう計算の一部をトラヒック複製装置が行なうようにして、トラヒック分析装置の負荷を軽減することができる。
(3) Instead of performing packet mirroring in the
According to this modified embodiment, it is possible to reduce the load on the traffic analyzer by causing the traffic duplicator to perform part of the calculations performed by the traffic analyzer.
(4)帯域制御装置500における帯域制御は、該当するトラヒックの遮断や経路変更を行なってもよい。この場合、制御ポリシデータは、制御の種別(帯域制限、遮断、経路変更)を表すデータと、その種別の制御を行うのに必要なパラメータを備えるように変更して実施してもよい。
(4) Band control in the
このパラメータとは、経路変更の場合、該当するトラヒックを次に転送する装置を示すIPアドレスのデータなどである。経路変更においては、制御対象のトラヒックを通常のトラヒックとは別の装置に転送することにより、該当するトラヒックの詳細分析や、トラヒックに含まれるパケットの記憶装置への保存、あるいは単にそれらのパケットの破棄などの処理を行うことが考えられる。なお、遮断の場合は、特段追加のパラメータは必要としない。
この変形実施例によれば、より柔軟なトラヒック制御を行なうことが可能になる。
In the case of a route change, this parameter is data of an IP address indicating a device to which the corresponding traffic is transferred next. In the route change, the traffic to be controlled is transferred to a device different from the normal traffic, so that the detailed analysis of the corresponding traffic, the storage of the packets included in the traffic, or simply the storage of those packets. It is conceivable to perform processing such as discarding. Note that no special additional parameters are required for shutoff.
According to this modified embodiment, more flexible traffic control can be performed.
(5)帯域制御装置500における帯域制御は、最初にすべてのトラヒックを遮断し、制御指示装置700によって許可されたトラヒックだけを通過するように変更して実施してもよい。
この変形実施例によれば、分析の結果安全と分かったトラヒックのみを通過させることにより、より堅牢なネットワークを構築することが可能になる。
(5) Band control in the
According to this modified embodiment, it is possible to construct a more robust network by passing only traffic that is found to be safe as a result of analysis.
100…ネットワーク、200…通信端末、300…トラヒック制御装置、400…マーク付与装置、500…帯域制御装置、600…トラヒック分析装置、700…制御指示装置、800…トラヒック複製装置、1000…通信システム。
DESCRIPTION OF
Claims (9)
マークが付与されたパケットのコピーを行ない、トラヒック分析装置に転送するトラヒック複製装置と、
指示を受けたセッションと前記コピーとのトラヒックについて帯域制御を行なう帯域制御装置と、
転送されたマークが付与されたパケットの内容の分析を行ない、分析結果を出力する前記トラヒック分析装置と、
前記トラヒック分析装置からの出力に応じて前記帯域制御装置に向けて命令を出力する制御指示装置と
からなるトラヒック観測・制御システム。 A mark assigning device for assigning a mark for identifying a packet included in the session according to a condition derived from a packet flowing through the network;
A traffic duplicating device that copies the packet with the mark and forwards it to the traffic analyzing device;
A bandwidth control device that performs bandwidth control for traffic between the session that has received the instruction and the copy ;
Analyzing the contents of the packet with the transferred mark and outputting the analysis result; and
A traffic observation / control system comprising a control instruction device that outputs a command to the bandwidth control device in accordance with an output from the traffic analysis device.
前記ネットワークを流れるパケットより導出される前記条件は、前記マーク付与装置を単位時間当たりに通過するトラヒック量が予め定めたよりも大きいという条件であることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to claim 1,
The traffic observing / controlling system characterized in that the condition derived from a packet flowing through the network is a condition that an amount of traffic passing through the mark assigning device per unit time is larger than a predetermined amount.
前記帯域制御は、帯域制御装置を単位時間当たりに通過するトラヒック量の上限値を定め、この上限値を上回らないようにトラヒックを制御することを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to claim 1 or 2,
In the bandwidth control, a traffic observation and control system is characterized in that an upper limit value of a traffic amount passing through a bandwidth control device per unit time is determined, and traffic is controlled so as not to exceed the upper limit value.
前記トラヒック分析装置は、転送されたトラヒックより、そのトラヒックを発生させているソフトウェアを推定し、そのソフトウェアの情報を前記分析結果に含めることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 3,
The traffic analysis apparatus estimates the software generating the traffic from the transferred traffic and includes the information of the software in the analysis result.
前記のマーク付与装置、前記トラヒック複製装置、前記帯域制御装置、前記トラヒック分析装置または前記制御指示装置から選択された二つの装置の機能が、物理的に同一の機器の中に実装されていることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
Functions of two devices selected from the mark adding device, the traffic duplicating device, the bandwidth control device, the traffic analysis device, or the control instruction device are mounted in the physically same device. Traffic observation and control system characterized by
前記マーク付与装置を複数台備えることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
A traffic observation / control system comprising a plurality of the mark applying devices.
前記帯域制御装置は、トラヒックの遮断、あるいは経路変更を行うことを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
The band control device is a traffic observation / control system characterized by blocking traffic or changing a route.
前記帯域制御装置は、すべてのトラヒックを遮断し、制御指示装置の指示に応じて許可したトラヒックのみを通過させることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
The band control device blocks all traffic and allows only traffic permitted in accordance with an instruction from the control instruction device to pass therethrough.
前記のマーク付与装置、前記トラヒック複製装置、前記帯域制御装置、前記トラヒック分析装置または前記制御指示装置のうち一つ以上の機能は、ソフトウェアプログラムとして実装されていることを特徴とするトラヒック観測・制御システム。 The traffic observation / control system according to any one of claims 1 to 4,
One or more functions of the mark adding device, the traffic duplicating device, the bandwidth control device, the traffic analysis device, or the control instruction device are implemented as a software program. system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009057679A JP5185862B2 (en) | 2009-03-11 | 2009-03-11 | Traffic observation and control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009057679A JP5185862B2 (en) | 2009-03-11 | 2009-03-11 | Traffic observation and control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010213048A JP2010213048A (en) | 2010-09-24 |
JP5185862B2 true JP5185862B2 (en) | 2013-04-17 |
Family
ID=42972763
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009057679A Expired - Fee Related JP5185862B2 (en) | 2009-03-11 | 2009-03-11 | Traffic observation and control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5185862B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7131786B2 (en) | 2021-09-29 | 2022-09-06 | 株式会社富祥 | Auxiliary equipment for preventing serious accidents in automatic vehicles |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103518354B (en) * | 2011-04-27 | 2016-05-11 | 日本电气株式会社 | The detection method of network equipment, communication system and exceptional communication |
JP6839580B2 (en) * | 2017-03-24 | 2021-03-10 | アラクサラネットワークス株式会社 | Communication device and communication method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4222565B2 (en) * | 2005-05-13 | 2009-02-12 | 日本電信電話株式会社 | Congestion control method, congestion control device, tagging device, and discarding device |
JP4759389B2 (en) * | 2006-01-10 | 2011-08-31 | アラクサラネットワークス株式会社 | Packet communication device |
-
2009
- 2009-03-11 JP JP2009057679A patent/JP5185862B2/en not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7131786B2 (en) | 2021-09-29 | 2022-09-06 | 株式会社富祥 | Auxiliary equipment for preventing serious accidents in automatic vehicles |
Also Published As
Publication number | Publication date |
---|---|
JP2010213048A (en) | 2010-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7966391B2 (en) | Systems, apparatus and methods for managing networking devices | |
TWI643477B (en) | Software defined network controller, service function chaining system and trace tracking method | |
US8879415B2 (en) | Method and system for annotating network flow information | |
US7869352B1 (en) | Adaptive network router | |
US7003562B2 (en) | Method and apparatus for network wide policy-based analysis of configurations of devices | |
US7512705B2 (en) | Truncating data units | |
EP2056559B1 (en) | Method and system for network simulation | |
CN102577248A (en) | Methods and apparatus for detection of a NAT device | |
US11190417B2 (en) | Methods, systems, and computer readable media for processing network flow metadata at a network packet broker | |
US11277384B2 (en) | Dynamic filter generation and distribution within computer networks | |
JP5185862B2 (en) | Traffic observation and control system | |
Nadeem et al. | An ns-3 mptcp implementation | |
Khairi et al. | Generation and collection of data for normal and conflicting flows in software defined network flow table | |
JP2013223191A (en) | Communication system, control device, packet collection method and program | |
JP6193147B2 (en) | Firewall device control device and program | |
KR20220029142A (en) | Sdn controller server and method for analysing sdn based network traffic usage thereof | |
Varadharajan et al. | Securing communication in multiple autonomous system domains with software defined networking | |
Mahkonen et al. | Elastic network monitoring with virtual probes | |
JP3999353B2 (en) | Method and system for determining communication path in computer network, and recording medium on which program is recorded | |
di Lallo et al. | On the practical applicability of SDN research | |
JP4498984B2 (en) | Service providing apparatus and communication control program | |
JP2005072783A (en) | Information processing content determining method, and information processing apparatus adopting the method | |
JP4924081B2 (en) | Test apparatus, method and program | |
Pandi et al. | Networking tools | |
JP2011146996A (en) | Traffic control system, and program for generating traffic control data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110906 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120827 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120925 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121126 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130118 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160125 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |