JP7074295B2 - 監視装置、監視システムおよび監視方法 - Google Patents
監視装置、監視システムおよび監視方法 Download PDFInfo
- Publication number
- JP7074295B2 JP7074295B2 JP2019116357A JP2019116357A JP7074295B2 JP 7074295 B2 JP7074295 B2 JP 7074295B2 JP 2019116357 A JP2019116357 A JP 2019116357A JP 2019116357 A JP2019116357 A JP 2019116357A JP 7074295 B2 JP7074295 B2 JP 7074295B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- monitoring
- monitoring device
- packet
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、監視装置、監視システムおよび監視方法に関し、特に冗長経路を介した通信を監視する技術に関する。
通信データに付与された制御情報を参照し、通信データの監視制御を行う技術が提案されている。特許文献1は、送信データに付与されたシーケンス番号をチェックすることにより、データの抜け、重複送信、順不正を検出する技術を開示している。
一方、障害発生や負荷分散のため、通信経路の冗長化が行われる場合がある。特許文献1において、ホストコンピュータと通信装置は、複数の経路を介して通信しており、一方の通信経路で障害が発生した場合、他方の通信経路を介して通信が行われる。
上記のように、特許文献1は、冗長経路を介して行われる通信を監視する技術を開示している。しかしながら、特許文献1において、通信の監視は、通信装置自体において行われており、通信経路上では通信パケットを監視することができないという問題があった。
本開示は上記課題を解決するためにされたものであって、通信経路上において通信監視をすることが可能な監視装置、監視システム、および監視方法を提供することを目的とする。
本開示にかかる監視装置は、冗長経路上の通信パケットのヘッダに含まれる通信制御情報を取得情報として取得する取得手段と、前記取得情報に基づいて、監視経路上の通信パケットの通信フローを監視する監視手段と、を備えるものである。
本開示にかかる監視システムは、第1の監視装置と第2の監視装置を備える監視システムであって、前記第1の監視装置は、前記第2の監視装置から冗長経路上の通信パケットのヘッダに含まれる通信制御情報を取得情報として取得する取得部と、前記取得情報に基づいて、監視経路上の通信パケットの通信フローを監視する監視部と、を備えるものである。
本開示にかかる監視方法は、冗長経路上の通信パケットのヘッダに含まれる通信制御情報を取得情報として取得し、前記取得情報に基づいて、監視経路上の通信パケットの通信フローを監視する、ものである。
本開示によれば、通信経路上において通信監視をすることが可能な監視装置、監視システム、および監視方法を提供することができる。
以下、図面を参照して実施の形態について説明する。各図面においては、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略される。
<実施の形態にいたる検討>
OSI参照モデル(Open Systems Interconnection reference model)のレイヤ4(トランスポート層)における標準的な通信仕様として、TCP(Transmission Control Protocol)が定められている。
図1は、関連するTCP通信システムの構成例を示す構成図である。TCP通信において、通信の両端に位置する装置は、それぞれクライアント20、サーバ10と呼称される。TCP通信においては、セッション制御・データ転送が行われる。
安定した通信のため、TCP通信の仕様では以下に示す3フェーズに分かれたプロセスが実行され、クライアントとサーバ間でコネクションを確立した上でデータ転送が行われる。
OSI参照モデル(Open Systems Interconnection reference model)のレイヤ4(トランスポート層)における標準的な通信仕様として、TCP(Transmission Control Protocol)が定められている。
図1は、関連するTCP通信システムの構成例を示す構成図である。TCP通信において、通信の両端に位置する装置は、それぞれクライアント20、サーバ10と呼称される。TCP通信においては、セッション制御・データ転送が行われる。
安定した通信のため、TCP通信の仕様では以下に示す3フェーズに分かれたプロセスが実行され、クライアントとサーバ間でコネクションを確立した上でデータ転送が行われる。
図2は、TCP通信のシーケンスを示すシーケンス図である。
TCP通信の第1フェーズとして、クライアント20とサーバ10は、3ウェイハンドシェイクという手続きに従って双方向にTCP制御パケットの送受信を行い、コネクションを確立する(S1)。3ウェイハンドシェイクとは、クライアント20がサーバ10に対してSYNパケットを送り(S11)、サーバ10がクライアント20にSYN/ACKパケットを送り(S12)、クライアント20がサーバ10にACKパケットを送ることである。
TCP通信の第1フェーズとして、クライアント20とサーバ10は、3ウェイハンドシェイクという手続きに従って双方向にTCP制御パケットの送受信を行い、コネクションを確立する(S1)。3ウェイハンドシェイクとは、クライアント20がサーバ10に対してSYNパケットを送り(S11)、サーバ10がクライアント20にSYN/ACKパケットを送り(S12)、クライアント20がサーバ10にACKパケットを送ることである。
第2フェーズとして、コネクションの確立したクライアントとサーバの間で、TCPパケットの可変長データ部を用いたデータ転送が行われる(S2)。
データ転送が完了すると、第3フェーズとしてクライアントとサーバの間でTCP制御パケットが通信され、コネクションが切断される(S3)。具体的には、サーバ10はクライアント20にFINパケットを送り(S31)、クライアント20はサーバ10にACKパケットを送る(S32)。そして、クライアント20はサーバ10にFINパケットを送り(S33)、サーバ10はクライアント20にACKパケットを送る(S34)。
データ転送が完了すると、第3フェーズとしてクライアントとサーバの間でTCP制御パケットが通信され、コネクションが切断される(S3)。具体的には、サーバ10はクライアント20にFINパケットを送り(S31)、クライアント20はサーバ10にACKパケットを送る(S32)。そして、クライアント20はサーバ10にFINパケットを送り(S33)、サーバ10はクライアント20にACKパケットを送る(S34)。
TCP通信においては、パケットのTCPヘッダに存在するポート番号、シーケンス番号、ACK番号等のフィールドをクライアントと端末の各装置が参照して制御することで、連続した通信の喪失や重複、順序の乱れ等の異常を防止し、通信の正確性を確保している。
また、関連する通信装置には、セキュリティや負荷分散等の要請により、転送するパケットのTCPヘッダを参照してTCP通信の状況を監視し、TCPヘッダ情報の書き換え、パケット廃棄などの制御を行うTCP通信制御機能を有するものが存在する。
図3は、関連する監視装置100を備える通信システムの構成例を示す構成図である。監視装置100は、サーバ10とクライアント20の間の通信データの監視制御を行う。監視装置100は、通信データのTCPヘッダに記載された情報の収集、TCPヘッダの情報の書き換え、パケット廃棄等の処理を行う。
図4は、関連するTCP通信制御に用いられるアルゴリズムを示すフローチャートである。本アルゴリズムは、パケット送受信インタフェース105における処理と、監視部102における処理とに分けて記載されている。パケット送受信インタフェース105は、通信経路上を流れるパケットの送受信、廃棄等の処理を行う。監視部102は、経路上の通信データに対する処理を決定する。
まず、パケット送受信インタフェース105は、パケットを受信する。受信したパケットがTCPパケットである場合、監視部102は、TCP通信制御を行う。受信したパケットがTCPパケットでない場合、TCP通信制御は行われない(S101)。
まず、パケット送受信インタフェース105は、パケットを受信する。受信したパケットがTCPパケットである場合、監視部102は、TCP通信制御を行う。受信したパケットがTCPパケットでない場合、TCP通信制御は行われない(S101)。
監視部102は、パケット送受信インタフェース105が受信したパケットから、TCP制御情報を更新する(S102)。TCP制御情報とは、TCPヘッダに含まれる情報であって、TCPコネクションやシーケンス番号等のTCP関連情報である。
監視部102は、TCP制御情報に基づいて、受信パケットを廃棄するか、透過するか、または書き換えをするかを決定する(S103)。
透過と判断された場合、パケット送受信インタフェース105は、パケットを転送する。書き換えと判断された場合、パケット送受信インタフェース105は、パケットを書き換えた上で転送する(S104)。廃棄と判断された場合、パケット送受信インタフェース105は、パケットを廃棄する(S105)。
監視部102は、TCP制御情報に基づいて、受信パケットを廃棄するか、透過するか、または書き換えをするかを決定する(S103)。
透過と判断された場合、パケット送受信インタフェース105は、パケットを転送する。書き換えと判断された場合、パケット送受信インタフェース105は、パケットを書き換えた上で転送する(S104)。廃棄と判断された場合、パケット送受信インタフェース105は、パケットを廃棄する(S105)。
図5は、関連するTCP通信制御を行う場合のデータフローを示す流れ図である。監視装置100のパケット送受信インタフェース105で受信されたパケットは、一時的にパケットバッファ203に格納され、監視装置100の仕様に基づいたルーティングによる送信先アドレスの決定などの転送処理が行われる。
TCP通信制御機能を有する監視装置100は、パケットバッファ203に格納されたパケットのIPヘッダ、TCPヘッダ等のフィールドを参照する。監視装置100は、通信中のクライアント20とサーバ10のIPアドレス、ポート番号、シーケンス番号等のTCP関連情報を収集することで、現在通信しているTCPコネクションやシーケンス状態などの情報を、TCP制御情報204として保持する(S102)。監視部102は、TCP制御情報204に基づいて、TCP通信の監視や制御を行う(S103)。監視部102は、パケットの書き換え、廃棄または透過等のTCP通信を制御するための命令を行う。
TCP通信制御機能を有する監視装置100は、パケットバッファ203に格納されたパケットのIPヘッダ、TCPヘッダ等のフィールドを参照する。監視装置100は、通信中のクライアント20とサーバ10のIPアドレス、ポート番号、シーケンス番号等のTCP関連情報を収集することで、現在通信しているTCPコネクションやシーケンス状態などの情報を、TCP制御情報204として保持する(S102)。監視部102は、TCP制御情報204に基づいて、TCP通信の監視や制御を行う(S103)。監視部102は、パケットの書き換え、廃棄または透過等のTCP通信を制御するための命令を行う。
関連するネットワーク装置は、TCPに関わる様々な制御を行う機能を備えている。制御機能は、例えば、不正なTCPヘッダ情報を有するパケットを異常パケットとして検出する機能、TCP制御情報に登録されたシーケンス情報と整合しないTCPパケットを異常な通信として検出する機能、TCPコネクション上で転送されるデータをスキャンしてウィルス等の異常を検出する機能、検出した異常を外部の監視端末に通知する機能、異常を検出したパケットを廃棄する機能、異常を検出したコネクションを切断する機能、TCPヘッダの書き換えを行い単一のポート番号で制御されたTCPコネクションに別々のポート番号を割り当てることで複数のコネクションに分割する機能、負荷分散のために廃棄や遅延および通信経路の変更等の通信制御を行う機能などである。
また、関連するネットワーク環境においては、障害経路の迂回や負荷分散によって通信の安定性を確保するため、複数の通信経路から動的に通信経路を選択するようなネットワーク構成が利用されている。通信経路の選択には、OSI参照モデルのレイヤ3におけるOSPF(Open Shortest Path First)やBGP(Border Gateway Protocol)等のルーティングプロトコル、VRRP(Virtual Router Redundancy Protocol)等の冗長プロトコルが利用されている。
図6は、クライアント20とサーバ10間の通信が複数の通信経路を取り得る冗長ネットワークの構成の検討例を示す構成図である。クライアント20とサーバ10との間には、中継装置201を通る経路1と中継装置202を通る経路2とが存在する。
クライアント20とサーバ10間で複数の通信経路をとりうるようなネットワーク環境において、TCP通信を監視ならびに制御する機能を有する監視装置100を用いる場合、以下に述べるような課題が存在する。
クライアント20とサーバ10間で複数の通信経路をとりうるようなネットワーク環境において、TCP通信を監視ならびに制御する機能を有する監視装置100を用いる場合、以下に述べるような課題が存在する。
図7は、冗長ネットワークにおいて、TCP通信制御を行う場合の動作の検討例を示す概略図である。クライアント20とサーバ10間のTCP通信において、往路と復路で異なる経路が選択されるなどして、複数の経路が選択される場合がある。図7において、クライアント20からサーバ10への通信(往路)は、監視装置100を経由する。一方、サーバ10からクライアント20への経路(復路)は、中継装置202を経由する。監視装置100で、TCPパケットの監視制御を行う場合、往路側のデータのみを使用して行うこととなる。
かかる場合、監視装置100が収集できるTCP通信情報は、一連のシーケンスの一部が欠落した不完全な情報となる。したがって、TCP監視やTCP制御の機能が十全に動作しない。
かかる場合、監視装置100が収集できるTCP通信情報は、一連のシーケンスの一部が欠落した不完全な情報となる。したがって、TCP監視やTCP制御の機能が十全に動作しない。
このような状況での動作は、各TCP通信制御機能の仕様によるが、本来異常を検出すべき通信を無検出で透過したり、正常な通信を不正とみなして廃棄したりするなどのTCP通信制御機能の本来の目的に沿わない動作となる可能性がある。また、意図せぬパケット廃棄による通信障害を回避するため、TCP通信制御機能を無効化する選択が採られる場合も存在する。いずれにしても、このようにTCP制御情報が欠落した状態では、十分なTCP通信制御は実現されない。
図8は、TCP通信の各経路に監視装置100A、100Bを配置し、各経路の監視装置100A、100BでTCP通信の監視と制御が行う検討例を示す図である。しかし各監視装置100A、100Bで収集できるTCP制御情報は不完全であるため、先述の例と同様、TCP監視やTCP制御の機能は十全に動作しない。
以上のように、クライアント20とサーバ10間で複数の通信経路をとりうるようなネットワーク環境においては、TCP制御情報の欠落によってTCP通信制御が十全に動作しない問題が存在していた。
以上のように、クライアント20とサーバ10間で複数の通信経路をとりうるようなネットワーク環境においては、TCP制御情報の欠落によってTCP通信制御が十全に動作しない問題が存在していた。
<実施の形態1>
図9は、本実施の形態にかかる監視システムの構成例を示す図である。サーバ10とクライアント20は、複数の通信経路を介して通信する。監視装置100Aは、監視経路410上の通信データを監視する。監視装置100Bは、冗長経路420上の通信データを監視する。
図9は、本実施の形態にかかる監視システムの構成例を示す図である。サーバ10とクライアント20は、複数の通信経路を介して通信する。監視装置100Aは、監視経路410上の通信データを監視する。監視装置100Bは、冗長経路420上の通信データを監視する。
図10は、監視装置100の構成を示す構成図である。監視装置100は、取得部101および監視部102を備える。
取得部101は、冗長経路420上での通信パケットのヘッダに含まれる通信制御情報を取得情報として取得する。通信制御情報は、通信監視に用いることが可能な情報である。監視装置100Aは、監視装置100Bから通信制御情報を取得してもよい。
監視部102は、監視経路上の通信パケットの通信フローを監視する。監視経路上で受信した通信データを破棄あるいは転送する処理を行ってもよい。監視部102は、通信データの書き換えを行っても良い。
取得部101は、冗長経路420上での通信パケットのヘッダに含まれる通信制御情報を取得情報として取得する。通信制御情報は、通信監視に用いることが可能な情報である。監視装置100Aは、監視装置100Bから通信制御情報を取得してもよい。
監視部102は、監視経路上の通信パケットの通信フローを監視する。監視経路上で受信した通信データを破棄あるいは転送する処理を行ってもよい。監視部102は、通信データの書き換えを行っても良い。
本実施の形態によれば、監視装置100は、冗長経路420上の通信データに含まれる通信制御情報に基づいて、通信監視を行うことができる。したがって、本実施の形態によれば、通信経路上において通信監視を行うことが可能となる。
<実施の形態2>
本実施の形態は、OSI参照モデルの規定に従い、TCP通信制御機能を有するとともに、TCP通信情報制御の機能を有する監視装置100を冗長ネットワークの各経路上にそれぞれ設置し、TCP通信制御装置間でTCP通信制御情報を通知、共有するものである。
本実施の形態は、OSI参照モデルの規定に従い、TCP通信制御機能を有するとともに、TCP通信情報制御の機能を有する監視装置100を冗長ネットワークの各経路上にそれぞれ設置し、TCP通信制御装置間でTCP通信制御情報を通知、共有するものである。
図11は、本実施の形態にかかる通信システムの例を示す概略図である。サーバ10とクライアント20は、TCP通信が行われるOSI参照モデルのレイヤ3ネットワークを介して、通信を行う。クライアント20とサーバ10間の通信は、往復それぞれで異なる経路が選択される。
監視装置100Aは、クライアント20からサーバ10への通信経路上のレイヤ3中継装置である。監視装置100Bは、サーバ10からクライアント20への通信経路上のレイヤ3中継装置である。
監視装置100A、100Bは、TCP通信制御機能を有し、TCP通信の状態を監視するとともに、それを取得情報として保持することができる。監視装置100Aと監視装置100Bは一組で動作する。
監視装置100Aは、クライアント20からサーバ10への通信経路上のレイヤ3中継装置である。監視装置100Bは、サーバ10からクライアント20への通信経路上のレイヤ3中継装置である。
監視装置100A、100Bは、TCP通信制御機能を有し、TCP通信の状態を監視するとともに、それを取得情報として保持することができる。監視装置100Aと監視装置100Bは一組で動作する。
本実施の形態にかかる監視装置100の構成を、図12に示す。監視装置100は、記憶部101、監視部102、取得情報更新部103および通知パケット生成部104を備える。通知パケットは、監視装置100が、通信経路上で収集したTCP通信制御情報を含むものである。
記憶部101は、通信制御情報を取得情報として記憶しており、他の監視装置から受信した通知パケットを解析して取得情報に反映する。記憶部101は、取得部101ともいえる。複数の監視装置100間でTCP通信情報を共有管理する手段として、必要な機能である
監視部102は、取得情報に基づいて、受信した通信データの監視を行う。
取得情報更新部103は、監視装置100が配置された通信経路上の通信データからTCP通信制御情報を収集し、取得情報を更新する。
通知パケット生成部104は、取得情報更新部103が収集したTCP通信制御情報を他の監視装置100と共有するための通知パケットを生成する。複数の監視装置100間でTCP通信制御情報を共有管理する手段として、必要な機能である。
記憶部101は、通信制御情報を取得情報として記憶しており、他の監視装置から受信した通知パケットを解析して取得情報に反映する。記憶部101は、取得部101ともいえる。複数の監視装置100間でTCP通信情報を共有管理する手段として、必要な機能である
監視部102は、取得情報に基づいて、受信した通信データの監視を行う。
取得情報更新部103は、監視装置100が配置された通信経路上の通信データからTCP通信制御情報を収集し、取得情報を更新する。
通知パケット生成部104は、取得情報更新部103が収集したTCP通信制御情報を他の監視装置100と共有するための通知パケットを生成する。複数の監視装置100間でTCP通信制御情報を共有管理する手段として、必要な機能である。
通知パケットを他の監視装置に送信するため、各監視装置100にはあらかじめネットワーク上の他の監視装置のIPアドレス、MACアドレス等の取得手段を用意する必要がある。取得手段としては、あらかじめ監視装置100に設定してもよく、ネットワーク上で動的に取得してもよい。
以下、監視装置100Aは監視装置100BのIPアドレスを保持しており、監視装置100Bは監視装置100AのIPアドレスを保持しているとして説明する。
以下、監視装置100Aは監視装置100BのIPアドレスを保持しており、監視装置100Bは監視装置100AのIPアドレスを保持しているとして説明する。
図13は、通信制御情報の例を示す図である。通信制御情報は、例えば、TCP通信の送信元ポート番号、宛先ポート番号、シーケンス番号、確認応答番号である。また、通信制御情報は、例えば、SYN、ACK、FIN等のビット情報である。また、通信制御情報は、IPアドレスを含んでもよい(不図示)。
送信元ポート番号は、通信元を特定するポート番号である。宛先ポート番号は、通信先のポートを特定する番号である。
シーケンス番号は、送信データの順番を示す値である。
TCP通信において、受信側は、送信データに含まれるシーケンス番号にデータサイズを加えたものを、確認応答番号として送信側に応答する。データサイズが0の場合、確認応答番号は、シーケンス番号に1を加えたものとする。
そして、送信側が次のデータを送る際のシーケンス番号は、受信した確認応答番号となる。
SYNは、接続を開始する際に使用されるフラグである。FINは、接続を終了する際に使用されるフラグである。ACKは、相手に応答するために用いられるフラグである。
シーケンス番号は、送信データの順番を示す値である。
TCP通信において、受信側は、送信データに含まれるシーケンス番号にデータサイズを加えたものを、確認応答番号として送信側に応答する。データサイズが0の場合、確認応答番号は、シーケンス番号に1を加えたものとする。
そして、送信側が次のデータを送る際のシーケンス番号は、受信した確認応答番号となる。
SYNは、接続を開始する際に使用されるフラグである。FINは、接続を終了する際に使用されるフラグである。ACKは、相手に応答するために用いられるフラグである。
監視装置100が、図13の通信制御情報に基づいて通信監視を行う場合の動作を説明する。
図13のNo.1は、3ウェイハンドシェイクにおけるSYN ACKパケットである。監視装置100は、送信元ポートX1、宛先ポートY1のデータに対して、シーケンス番号=401、確認応答番号=301、ACK=1のACKパケットを正常な通信と判断する。
図13のNo.2は、データ通信を行っている際のパケットである。監視装置100は、送信元ポートX2、宛先ポートY2のデータに対して、シーケンス番号=501、確認応答番号=101のパケットを正常な通信と判断する。
図13のNo.3は、コネクション切断時のFIN ACKパケットである。監視装置100は、送信元ポートX3、宛先ポートY3のデータに対して、シーケンス番号=301、確認応答番号=202、FIN=0、ACK=1のACKパケットを正常な通信と判断する。
図13のNo.1は、3ウェイハンドシェイクにおけるSYN ACKパケットである。監視装置100は、送信元ポートX1、宛先ポートY1のデータに対して、シーケンス番号=401、確認応答番号=301、ACK=1のACKパケットを正常な通信と判断する。
図13のNo.2は、データ通信を行っている際のパケットである。監視装置100は、送信元ポートX2、宛先ポートY2のデータに対して、シーケンス番号=501、確認応答番号=101のパケットを正常な通信と判断する。
図13のNo.3は、コネクション切断時のFIN ACKパケットである。監視装置100は、送信元ポートX3、宛先ポートY3のデータに対して、シーケンス番号=301、確認応答番号=202、FIN=0、ACK=1のACKパケットを正常な通信と判断する。
本実施の形態の動作を、監視装置100A、100Bを例として説明する。
図12の環境において、クライアント20とサーバ10間でTCP通信が開始されると、図2のTCP通信シーケンスに基づいたTCPパケットの送受信が行われる。
図12の環境において、クライアント20とサーバ10間でTCP通信が開始されると、図2のTCP通信シーケンスに基づいたTCPパケットの送受信が行われる。
図14は、監視装置100AがTCPパケットを収集するシーケンスを示すシーケンス図である。監視装置100Aは、クライアントからサーバへの往路方向のパケットしか検出することができない。
したがって、3ウェイハンドシェイク(S1)において、監視装置100Aは、SYNパケット(S11)とACKパケット(S13)を収集する。
データ転送(S2)については、監視装置100Aは、クライアント20からサーバ10への通信パケットを収集する。
コネクション切断(S3)の際には、監視装置100Aは、ACKパケット(S32)とFIN ACKパケット(S33)を収集する。
したがって、3ウェイハンドシェイク(S1)において、監視装置100Aは、SYNパケット(S11)とACKパケット(S13)を収集する。
データ転送(S2)については、監視装置100Aは、クライアント20からサーバ10への通信パケットを収集する。
コネクション切断(S3)の際には、監視装置100Aは、ACKパケット(S32)とFIN ACKパケット(S33)を収集する。
図15は、監視装置100BがTCPパケットを収集するシーケンスを示すシーケンス図である。監視装置100Bは、サーバ10からクライアント20への復路方向のパケットしか検出することができない。
したがって、3ウェイハンドシェイク(S1)において、監視装置100Bは、SYN ACKパケット(S12)を収集する。
データ転送(S2)については、監視装置100Bは、サーバ10からクライアント20への通信パケットを収集する。
コネクション切断(S3)の際には、監視装置100Bは、FIN ACKパケット(S31)とACKパケット(S34)を収集する。
よって、監視装置100A、100Bが、自らが監視経路上で収集できるTCPパケットは、一連のTCP通信におけるシーケンスの一部のみとなる。
したがって、3ウェイハンドシェイク(S1)において、監視装置100Bは、SYN ACKパケット(S12)を収集する。
データ転送(S2)については、監視装置100Bは、サーバ10からクライアント20への通信パケットを収集する。
コネクション切断(S3)の際には、監視装置100Bは、FIN ACKパケット(S31)とACKパケット(S34)を収集する。
よって、監視装置100A、100Bが、自らが監視経路上で収集できるTCPパケットは、一連のTCP通信におけるシーケンスの一部のみとなる。
図16は、本実施の形態を実現するTCP通信制御のアルゴリズムを示すフローチャートである。図16は、パケット送受信インタフェース105における処理、監視部102における処理、記憶部101における処理に分けて記載されている。
以下、図16に示すアルゴリズムについて説明する。図4と重複した説明は、適宜省略する。
以下、図16に示すアルゴリズムについて説明する。図4と重複した説明は、適宜省略する。
本アルゴリズムによると、TCPパケットを受信した監視装置100は、取得情報を更新(S105)した後、他の監視装置100に取得情報の更新内容を伝えるための通知パケットを生成し(S106)、送信してからTCPパケットの制御処理を続行する(S107)。
本アルゴリズムによると、他の監視装置100から通知パケットを受信した場合(S101)、監視装置100は、パケットを解析して(S102)、取得情報を更新する(S103)。
本アルゴリズムによると、他の監視装置100から通知パケットを受信した場合(S101)、監視装置100は、パケットを解析して(S102)、取得情報を更新する(S103)。
なお、TCP通信の仕様により、宛先IPアドレスやポート番号の組み合わせを確認することで、同一のTCPコネクションに属するTCPパケットを判別することが可能である。また、TCP通信の仕様により、TCPパケットのシーケンス番号はシーケンスが進むほど増加するため、各TCPパケットがTCPコネクションのシーケンスのどの段階にあるかを判断することが可能である。
本アルゴリズムにより、自装置が保持しているTCP通信制御情報と通知パケットより取得したTCP通信制御情報を統合することで、ネットワークが冗長化されていない場合と同じようにTCP通信やシーケンスの状態を不足なく把握することが可能となる。
以上の処理が完了した場合、本アルゴリズムに従う監視装置100は、通知パケットによって通信制御情報を共有したことを示す応答通知パケットを生成し、返信する(S104)。
以上の処理が完了した場合、本アルゴリズムに従う監視装置100は、通知パケットによって通信制御情報を共有したことを示す応答通知パケットを生成し、返信する(S104)。
以下、図16を用いて、本実施の形態の動作について説明する。
監視装置100Aは、クライアント20からサーバ10宛てに送信されたTCPパケットの受信を契機として、以下のTCP受信処理を行う(S101)。
まず、監視装置100Aは、受信したTCPパケットの情報を参照して取得情報を更新する(S105)。
続いて本実施形態の動作として、監視装置100Aは、TCP通信制御情報を共有するための通知パケットを生成する。通知パケットは、監視装置100Aで受信したTCPパケットのポート番号、シーケンス番号、SYN、ACK、FIN等のフラグなどの情報を含むものである。監視装置100Aは、あらかじめ保存された監視装置100BのIPアドレスを宛先として、通知パケットを送信する(S106)。
以上の動作は、監視装置100AがTCPパケットを受信するたびに実行してもよい。また、処理負荷やトラフィックを低減するため、目的とするTCP通信制御機能の用途に応じて、通知を省略する方法、複数のTCPパケットに関する情報を単一の通知パケットにまとめて送信する方法などをとることも可能である。
監視装置100Aは、クライアント20からサーバ10宛てに送信されたTCPパケットの受信を契機として、以下のTCP受信処理を行う(S101)。
まず、監視装置100Aは、受信したTCPパケットの情報を参照して取得情報を更新する(S105)。
続いて本実施形態の動作として、監視装置100Aは、TCP通信制御情報を共有するための通知パケットを生成する。通知パケットは、監視装置100Aで受信したTCPパケットのポート番号、シーケンス番号、SYN、ACK、FIN等のフラグなどの情報を含むものである。監視装置100Aは、あらかじめ保存された監視装置100BのIPアドレスを宛先として、通知パケットを送信する(S106)。
以上の動作は、監視装置100AがTCPパケットを受信するたびに実行してもよい。また、処理負荷やトラフィックを低減するため、目的とするTCP通信制御機能の用途に応じて、通知を省略する方法、複数のTCPパケットに関する情報を単一の通知パケットにまとめて送信する方法などをとることも可能である。
また、監視装置100Aは、通知パケットを受信すると、以下の処理を実行する。通知パケットは、監視装置100Aと同様の処理によって監視装置100Bから送信されたものである。
まず、受信された通知パケットは(S101)、通知パケット解析処理によって解析される(S102)。次に、監視装置100Aは、既に保持している通信制御情報と解析結果を照合する(S103)。したがって、監視装置100Aおよび監視装置100Bは、TCP通信制御情報を共有することが可能となる。
まず、受信された通知パケットは(S101)、通知パケット解析処理によって解析される(S102)。次に、監視装置100Aは、既に保持している通信制御情報と解析結果を照合する(S103)。したがって、監視装置100Aおよび監視装置100Bは、TCP通信制御情報を共有することが可能となる。
以上の処理が完了すると、監視装置100Aは、監視装置100Bに対し応答通知パケットを送信する(S104)。応答通知パケットは、通知パケットを受信してTCP通信制御情報を共有したことを伝えるパケットである。なお、監視装置100Aが、パケット送受信インタフェース105で受信したTCPパケットに含まれるTCP通信制御情報を共有するため、通知パケット生成を並行して行っていた場合、情報を単一のパケットにまとめて送信することでトラフィックや負荷を軽減することが可能となる。
以上の動作により、自装置で収集したTCP通信制御情報と通知パケットによって得られたTCP通信制御情報とを統合することにより、監視装置100Aは、サーバ10とクライアント20間で通信された一連のTCP通信のシーケンス情報を不足なく得ることが可能となる。同様の動作によって、監視装置100Bも、一連のTCP通信制御情報を得ることが可能である。
監視装置100Aおよび監視装置100Bは、図17に示したフローに基づいてTCP通信制御情報に関する処理を行う。
図17は、本実施の形態を実現するTCP通信制御におけるデータフローを示す流れ図である。図5と重複する部分の説明は、適宜省略する。
受信したパケットが、他の監視装置100が送信したTCP通信制御情報を通知する通知パケットであった場合(S101)、監視装置100は、通知パケットの解析を行い(S102)、取得情報205を更新する。監視装置100は、取得情報205を更新した後、通知パケットを生成する(S104)。
受信したパケットが、通信データである場合、パケットバッファ203に格納される。
監視装置100は、取得情報205を参照して、パケットバッファ203に格納されたデータに対する処理を決定する(S107)。パケット透過と判断された場合には、パケットの転送が行われる(S109)。
図17は、本実施の形態を実現するTCP通信制御におけるデータフローを示す流れ図である。図5と重複する部分の説明は、適宜省略する。
受信したパケットが、他の監視装置100が送信したTCP通信制御情報を通知する通知パケットであった場合(S101)、監視装置100は、通知パケットの解析を行い(S102)、取得情報205を更新する。監視装置100は、取得情報205を更新した後、通知パケットを生成する(S104)。
受信したパケットが、通信データである場合、パケットバッファ203に格納される。
監視装置100は、取得情報205を参照して、パケットバッファ203に格納されたデータに対する処理を決定する(S107)。パケット透過と判断された場合には、パケットの転送が行われる(S109)。
本実施の形態の動作により、監視装置100A、100Bは、一連の不足のないTCP通信制御情報を得ることができる。このTCP通信制御情報を参照することで、監視装置100A、100Bは、冗長経路においてもTCP通信制御処理を動作させることができる。
このように、本実施の形態を用いることで、サーバ10とクライアント20間の経路が複数存在する場合であっても、TCP通信制御処理が正常パケットの廃棄や異常パケットの透過など動作に支障をきたすことなく、単一経路のネットワーク環境で動作させる場合と同様にTCP通信の監視や制御を行うことが可能となる。
以上のとおり、本実施の形態の構成環境下では、TCP通信パケットが往復に異なる経路を通過するような場合でも、経路上の各監視装置の通知パケットによってTCP通信制御情報が共有される。以上をもって、各監視装置間ではTCP通信制御情報が不足なく統合されるため、クライアント20とサーバ10間で複数の通信経路をとりうるようなネットワーク環境においてTCP通信制御情報が欠落するためTCP通信制御が十全に動作しない問題を解決することができる。
<実施の形態3>
実施の形態2では、複数経路上の監視装置100間でTCP通信制御情報を共有する手段を提示した。しかし、複数の監視装置100間でTCP通信制御情報が共有されるまでには、通知パケットの送受信に要する時間差が存在するため、全ての監視装置100が、常に最新のTCP通信制御情報を保持できるわけではない。この状態でのTCPパケット制御は、不完全なTCP通信制御情報を参照したことによる不完全な動作となる可能性がある。この問題を解決するための、本実施の形態のシステム構成の例を図18に示す
実施の形態2では、複数経路上の監視装置100間でTCP通信制御情報を共有する手段を提示した。しかし、複数の監視装置100間でTCP通信制御情報が共有されるまでには、通知パケットの送受信に要する時間差が存在するため、全ての監視装置100が、常に最新のTCP通信制御情報を保持できるわけではない。この状態でのTCPパケット制御は、不完全なTCP通信制御情報を参照したことによる不完全な動作となる可能性がある。この問題を解決するための、本実施の形態のシステム構成の例を図18に示す
図18は、図12に示した実施の形態2と同様、OSI参照モデルのレイヤ3ネットワークであり、クライアント20とサーバ10間のTCP通信は往復それぞれで異なる経路が選択される。監視装置100Cは、クライアント20からサーバ10への通信経路上のレイヤ3中継装置である。監視装置100Dは、サーバ10からクライアント20への通信経路上のレイヤ3中継装置である。
監視装置100C、100Dは、装置上を通過したTCP通信パケットの情報を収集してTCP通信を監視する。監視装置100C、100Dは、監視結果を通信制御情報として保持するとともに、この情報を用いて装置上を通過するTCP通信の透過、廃棄などの制御を行う機能を有する。
図12の監視装置100A、100Bと同様に、監視装置100C、100Dは以下の機能を備える。
監視装置100Cは、記憶部101C、監視部102C、取得情報更新部103Cおよび通知パケット生成部104Cを備える。記憶部101Cは、監視装置100Dから受信した通知パケットを解析して取得情報に反映する。通知パケット生成部104Cは、取得情報更新部103Cが収集したTCP通信制御情報を監視装置100Dと共有するための通知パケットを生成する。監視装置100Cは、監視装置100DのIPアドレスを保持している。
監視装置100Cは、記憶部101C、監視部102C、取得情報更新部103Cおよび通知パケット生成部104Cを備える。記憶部101Cは、監視装置100Dから受信した通知パケットを解析して取得情報に反映する。通知パケット生成部104Cは、取得情報更新部103Cが収集したTCP通信制御情報を監視装置100Dと共有するための通知パケットを生成する。監視装置100Cは、監視装置100DのIPアドレスを保持している。
監視装置100Dは、記憶部101D、監視部102D、取得情報更新部103Dおよび通知パケット生成部104Dを備える。記憶部101Dは、監視装置100Cから受信した通知パケットを解析して取得情報に反映する。通知パケット生成部104Dは、取得情報更新部103Dが収集したTCP通信制御情報を監視装置100Cと共有するための通知パケットを生成する。監視装置100Dは、監視装置100CのIPアドレスを保持している。
監視装置100Cと監視装置100Dは、一組で動作する。
監視装置100Cと監視装置100Dは、一組で動作する。
監視装置100C、100Dは、図19に示すアルゴリズムに基づいて動作する。当該アルゴリズムでは、図16に示した実施の形態2におけるアルゴリズムに加えて、以下の動作を行う。
図19に示すアルゴリズムでは、TCPパケットを受信して(S101)、取得情報の更新と(S102)、通知パケットの生成と送信を行った後(S103)、監視部102によるパケットの透過や廃棄を即座には実行しない。本アルゴリズムでは、通知パケットを送信した後(S103)、他の監視装置100から応答パケットを受信するまで、処理中のTCPパケットを保持したままで待機する(S104)。応答パケットを受信できた場合、本アルゴリズムは図16に示したアルゴリズムと同様に通知パケットの解析を行い(S105)、取得情報を更新する(S106)。
図19に示すアルゴリズムでは、TCPパケットを受信して(S101)、取得情報の更新と(S102)、通知パケットの生成と送信を行った後(S103)、監視部102によるパケットの透過や廃棄を即座には実行しない。本アルゴリズムでは、通知パケットを送信した後(S103)、他の監視装置100から応答パケットを受信するまで、処理中のTCPパケットを保持したままで待機する(S104)。応答パケットを受信できた場合、本アルゴリズムは図16に示したアルゴリズムと同様に通知パケットの解析を行い(S105)、取得情報を更新する(S106)。
この応答待機によって、本アルゴリズムは、パケット送受信インタフェース105がTCPパケットを受信した時点での最新のTCP通信制御情報を得ることができ、監視装置100C、100D間で通信制御情報の更新に時間差が生じる問題を解決することができる。
なお、通知パケット送信後の応答待機時間は通信の遅延時間となるため、待機時間が長くなると通信遅延や通信障害に繋がる。そのため、応答待機時間には一定の上限を設け、期間を満了すれば応答がなくともTCPパケット制御処理を実行するか、TCPパケット制御処理を適用せずにパケット転送処理に進むなどの仕様を定め、通信遅延や通信障害を回避する手段を講じるべきである。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
10 サーバ
20 クライアント
100、100A、100B、100C、100D 監視装置
101、101A,101B、101C、101D 取得部(記憶部)
102、102A、102B、102C、102D 監視部
103、103A,103B、103C、103D 取得情報更新部
104、104A、104B、104C、104D 通知パケット生成部
105 パケット送受信インタフェース
203 パケットバッファ
204 TCP制御情報
205 取得情報
201、202 中継装置
410 監視経路
420 冗長経路
20 クライアント
100、100A、100B、100C、100D 監視装置
101、101A,101B、101C、101D 取得部(記憶部)
102、102A、102B、102C、102D 監視部
103、103A,103B、103C、103D 取得情報更新部
104、104A、104B、104C、104D 通知パケット生成部
105 パケット送受信インタフェース
203 パケットバッファ
204 TCP制御情報
205 取得情報
201、202 中継装置
410 監視経路
420 冗長経路
Claims (9)
- 冗長経路上の通信パケットのヘッダに含まれる通信制御情報を取得情報として取得する取得手段と、
前記取得情報に基づいて、監視経路上の通信パケットの通信フローを監視する監視手段と、
を備える監視装置であって、
前記監視装置は、クライアントからサーバへの通信経路上の中継装置であり、
前記クライアントと前記サーバの間の通信は、往復それぞれで異なる経路が選択され、
前記監視経路は、前記クライアントから前記サーバへの通信経路であり、
前記冗長経路は、前記サーバから前記クライアントへの通信経路である、
監視装置。 - 前記監視経路上の通信パケットのヘッダに含まれる通信制御情報に基づいて、前記取得情報を更新する取得情報更新手段をさらに備える、
請求項1に記載の監視装置。 - 前記監視経路上の通信パケットのヘッダに含まれる通信制御情報を、通知パケットとして前記冗長経路上の通信監視を行う他の監視装置に送信する通知パケット生成手段をさらに備える、
請求項2に記載の監視装置。 - 前記通信制御情報は、データの順番を示す値であるシーケンス番号を含む、請求項1から3のいずれか1項に記載の監視装置。
- 前記監視装置は、前記通知パケットを送信した後、前記他の監視装置から応答パケットを受信するまで待機する、請求項3に記載の監視装置。
- 第1の監視装置と第2の監視装置を備える監視システムであって、
前記第1の監視装置は、
前記第2の監視装置から冗長経路上の通信パケットのヘッダに含まれる通信制御情報
を取得情報として取得する取得部と、
前記取得情報に基づいて、監視経路上の通信パケットの通信フローを監視する監視部
と、を備え、
前記第1の監視装置は、クライアントからサーバへの通信経路上の中継装置であり、
前記第2の監視装置は、サーバからクライアントへの通信経路上の中継装置であり、
前記クライアントと前記サーバの間の通信は、往復それぞれで異なる経路が選択され、
前記監視経路は、前記クライアントから前記サーバへの通信経路であり、
前記冗長経路は、前記サーバから前記クライアントへの通信経路である、
監視システム。 - 前記第1の監視装置は、
前記監視経路上の通信パケットのヘッダに含まれる通信制御情報に基づいて、前記取得情報を更新する取得情報更新手段をさらに備える、
請求項6に記載の監視システム。 - 監視装置が、
冗長経路上の通信パケットのヘッダに含まれる通信制御情報を取得情報として取得し、
前記取得情報に基づいて、監視経路上の通信パケットの通信フローを監視する、
監視方法であって、
前記監視装置は、クライアントからサーバへの通信経路上の中継装置であり、
前記クライアントと前記サーバの間の通信は、往復それぞれで異なる経路が選択され、
前記監視経路は、前記クライアントから前記サーバへの通信経路であり、
前記冗長経路は、前記サーバから前記クライアントへの通信経路である、
監視方法。 - 前記監視経路上の通信パケットのヘッダに含まれる通信制御情報に基づいて、前記取得情報を更新する、
請求項8に記載の監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019116357A JP7074295B2 (ja) | 2019-06-24 | 2019-06-24 | 監視装置、監視システムおよび監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019116357A JP7074295B2 (ja) | 2019-06-24 | 2019-06-24 | 監視装置、監視システムおよび監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021002792A JP2021002792A (ja) | 2021-01-07 |
| JP7074295B2 true JP7074295B2 (ja) | 2022-05-24 |
Family
ID=73995205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019116357A Active JP7074295B2 (ja) | 2019-06-24 | 2019-06-24 | 監視装置、監視システムおよび監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7074295B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008178060A (ja) | 2006-12-20 | 2008-07-31 | Oki Electric Ind Co Ltd | 冗長化ゲートウェイシステム |
| WO2008120267A1 (ja) | 2007-03-28 | 2008-10-09 | Fujitsu Limited | エッジノード冗長システム |
| JP2015097349A (ja) | 2013-11-15 | 2015-05-21 | 株式会社日立製作所 | 送信装置、通信制御方法及び通信システム |
| JP2019129408A (ja) | 2018-01-24 | 2019-08-01 | 富士通株式会社 | 障害検知方法、ノード装置、通信システム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2626622B2 (ja) * | 1995-04-27 | 1997-07-02 | 日本電気株式会社 | Osi通信システム |
-
2019
- 2019-06-24 JP JP2019116357A patent/JP7074295B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008178060A (ja) | 2006-12-20 | 2008-07-31 | Oki Electric Ind Co Ltd | 冗長化ゲートウェイシステム |
| WO2008120267A1 (ja) | 2007-03-28 | 2008-10-09 | Fujitsu Limited | エッジノード冗長システム |
| JP2015097349A (ja) | 2013-11-15 | 2015-05-21 | 株式会社日立製作所 | 送信装置、通信制御方法及び通信システム |
| JP2019129408A (ja) | 2018-01-24 | 2019-08-01 | 富士通株式会社 | 障害検知方法、ノード装置、通信システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021002792A (ja) | 2021-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10728094B2 (en) | Control traffic in software defined networks | |
| EP1989835B1 (en) | A technique for efficiently and dynamically maintaining bidirectional forwarding detection on a bundle of links | |
| US7318100B2 (en) | Cooperative proxy auto-discovery and connection interception | |
| US7515525B2 (en) | Cooperative TCP / BGP window management for stateful switchover | |
| US8331220B2 (en) | Edge node redundant system | |
| US20080320154A1 (en) | Cooperative proxy auto-discovery and connection interception | |
| US8493839B2 (en) | Method and system of teamed network adapters with offloaded connections | |
| US20070274307A1 (en) | Cluster System, Cluster Member, And Program | |
| WO2016106743A1 (zh) | 对聚合链路进行双向转发检测的方法、设备和系统 | |
| US7864666B2 (en) | Communication control apparatus, method and program thereof | |
| CN115428411B (zh) | 使用会话建立度量的会话监测 | |
| US8526437B2 (en) | Communication system and communication control device | |
| US7974188B2 (en) | Repeater and communication method | |
| CN116319422A (zh) | 使用主动测量协议和中继机制进行网络性能监控 | |
| JP2006229399A (ja) | 通信システム、中継ノード及びそれらに用いる通信方法並びにそのプログラム | |
| JP2005184510A (ja) | ルータ | |
| JP7074295B2 (ja) | 監視装置、監視システムおよび監視方法 | |
| JP2008072521A (ja) | 通信装置、通信方法及び通信プログラム | |
| US7898949B2 (en) | Brownout detection | |
| JP4579746B2 (ja) | 接続管理装置、接続管理装置の制御方法および制御プログラム | |
| JP2004247871A (ja) | データ中継方法、データ中継装置およびその装置を用いたデータ中継システム | |
| JP4629254B2 (ja) | 通信障害箇所を迂回する方法及び通信障害箇所を迂回する迂回ルーター | |
| JP2007013510A (ja) | パケット通信システムおよびパケット通信装置 | |
| CN114928598A (zh) | 一种用于远程管理调试路由器的系统和方法 | |
| CN115883631A (zh) | 使用路径变化建立会话 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201005 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210706 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210903 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220328 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220412 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220428 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7074295 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |