JP2003318984A - Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置 - Google Patents

Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置

Info

Publication number
JP2003318984A
JP2003318984A JP2002125833A JP2002125833A JP2003318984A JP 2003318984 A JP2003318984 A JP 2003318984A JP 2002125833 A JP2002125833 A JP 2002125833A JP 2002125833 A JP2002125833 A JP 2002125833A JP 2003318984 A JP2003318984 A JP 2003318984A
Authority
JP
Japan
Prior art keywords
pdu
data communication
communication device
received
connectionless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002125833A
Other languages
English (en)
Inventor
Masaharu Hashiba
正治 羽柴
Shinichi Yoshida
真一 吉田
Maki Tanigawa
真樹 谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002125833A priority Critical patent/JP2003318984A/ja
Publication of JP2003318984A publication Critical patent/JP2003318984A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 コネクションレス型データ通信網において、
故意に大量に流される不正なPDUに対するデータ通信
網のセキュリティを高め、データ通信網の信頼性、可用
性を向上させることが可能なPDU観測方法を提供す
る。 【解決手段】 コネクションレス型データ通信装置が、
受信したPDUがソフトウェア処理されるPDUか否か
を判定し、ソフトウェア処理されるPDUを、VPN・
宛先アドレス・プロトコル・ポート番号毎に計数し、そ
の計数値に基づき、到着したPDUの量が、ソフトウェ
ア処理負荷を増大させる量に達したか否かを判定し、到
着したPDUの量がソフトウェア処理負荷を増大させる
量に達したと判定した場合に、受信したPDUを、ソフ
トウェア処理を行わずに、ハードウェアによりPDU観
測装置に送出し、PDU観測装置が、当該PDUを受信
し、表示や、統計処理を行って結果を表示する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、PDU観測方法、
コネクションレス型データ通信装置、およびPDU観測
装置に係わり、特に、CDN(コンテンツ・デリバリー
・ネットワーク)やIP−VPN(IP-Virtual Private
Network)、インターネットの高速バックボーン等のコ
ネクションレス型データ通信網において、網内の故障等
によるデータ通信断に対する切り分けや原因解析の効率
化、復旧の迅速化を可能にするとともに、故意に大量に
流される不正なPDUに対するデータ通信網のセキュリ
ティを高め、データ通信網の信頼性、可用性を向上させ
る技術に関する。
【0002】
【従来の技術】コレクションレス型データ通信網におい
て、コネクションレス型データ通信装置は多くの端末装
置を収容して中継網を構築しており、多種多数の端末装
置やVPNで共用されている。コネクションレス型デー
タ通信装置は、サービス制御や試験制御を目的として、
上位レイヤのプロトコル通信を端末装置との間で実施す
る。コネクションレス型データ通信には、レイヤ3とし
てIPv4を用いているものが多い。IPv4の場合、
導通確認を目的としたICMP(Internet ControlMess
age Protocol)や、経路の動的制御を目的としたOSP
F(Open ShortestPath First)、RIP(Routing Inf
ormation Protocol)、BGP(Border Gateway Protoc
ol)等の経路制御プロトコルに代表される各種のプロト
コルに対しては、サービスの高度化や装置の機能拡張
性、経済性を考慮してソフトウェアで処理する方法をと
る。この場合、ある端末装置からの誤送信や故障、ある
いは悪意により大量のソフトウェア処理を要するプロト
コルデータユニット(以下、PDUという。)を受信す
ると、装置の処理を占有してしまい、他のVPNや他の
回線の端末装置から受信したプロトコルに応じた制御を
妨げてしまう。原因特定のため、コネクションレス型デ
ータ通信装置にPDUの送信元やPDU自体がどのよう
なものかを記録する手段を設けるには、装置の処理性能
を損なったり、保存リソースを多大に必要としてしまい
実用は困難である。
【0003】これに対する解決策として、個別のプロト
コルについては、いくつかの装置をくみあわせて実施し
ているものがある。例えば、ICMPについては、IC
MP応答専用の装置を設置する方法がある。この方法
は、コネクションレス型データ通信装置のインタフェー
スまたは各端末装置対応のコネクションに設定する導通
確認用のIPv4アドレスに対して、端末装置から「I
CMP Echo Request」を大量に受信する
と処理不能に陥るため、コネクションレス型データ通信
装置はICMPを終端せず、導通確認用のIPv4アド
レスを転送テーブルに設定し、ICMP応答専用の装置
に転送することによって返信の処理をして、ソフトウェ
ア処理負荷がかからないようにするというものである
が、この方法では、各プロトコル対応に専用装置を準備
する必要があり、その専用装置においては同じく不正な
PDUによる処理負荷を抑える仕組みと観測する方法が
必要になってしまう。また、帯域制御装置では、プロト
コル別やコネクション毎といった帯域制御はできるが、
処理性能が低く、各コネクションレス型データ通信装置
に対して帯域制御装置が必要になり、網が大きくなると
経済性が著しく劣る。さらに、過負荷となるようなPD
Uを効率的に経済的に処理性能を劣化させずに観測する
手段はない。また、宛先IPv4アドレスやプロトコル
等の特定の条件を指定して、パケットをフィルタリング
してそれを記録できるルータ装置もあるが、不正なPD
Uが発生する条件を事前に知っていないと記録できな
い。
【0004】一方、コネクションレス型データ通信装置
は、端末装置から送信されたPDUの正常性を確認し、
PDUの宛先アドレスによって転送先を選択し転送処理
を行う。受信したPDUの宛先が誤っている場合や、コ
ネクションレス型データ通信装置の転送テーブルに設定
誤りがある場合、あるいはデータ化けや故障により、受
信PDUのIPv4ヘッダ値の各パラメータの正常性確
認で不正となる場合、およびこれらが故意に行われる場
合、IPv4ではICMPによって端末装置に通知する
手段がある。しかし、近年はセキュリティ上、端末装置
側がICMPを受けつけないような設定にする場合が多
くあり、この場合は通知する手段はない。また、通信異
常を通知するためのICMPは、IPv4ヘッダとIP
v4データの先頭64ビットを返信するようになってい
るため、例えば、IPv4ヘッダのパケット長に、実際
に端末装置が送信したパケットと矛盾がある場合は、端
末装置側では送信したパケットを解析する方法がない。
このような場合は、端末装置側がスループットの低下や
PDUの欠落を検出して、端末装置・コネクションレス
型データ通信装置・他の装置等のどれが、どのような要
因で廃棄しているかを切り分けをしなければならない。
そのためには、端末装置とコネクションレス型データ通
信装置間の物理回線からPDUをモニタする必要がある
が、モニタする装置を挿入しなければならず、その場合
には問題となっている端末装置以外の通信断をも引き起
こしてしまう。さらに、その手段およびモニタ装置を各
コネクションレス型データ転送装置に対して用意しなけ
ればならず、コストが膨大になるというデメリットがあ
る。
【0005】また、コネクションレス型データ通信装置
においてこれを検出し、コネクションレス型データ通信
装置の監視端末に通知する手段も考えられる。その場合
も受信したPDUの廃棄発生の有無やPDU数の計数は
できるものの、その単位は装置単位や物理回線単位と大
きいものであり、それ以上のVPN(Virtual Private
Network)や宛先単位に廃棄要因を記録し、廃棄となっ
たPDUのヘッダ情報、データの情報をログとして残す
ことは、コネクションレス型データ通信装置の処理能力
の低下を招くことと、必要な記憶リソースの確保の観点
から実現は困難である。特に、中継網が大きくなった場
合に、各コネクションレス型データ通信装置に、このよ
うな機能やリソースを分散するのは、経済的な見地から
デメリットが顕著である。さらに、ICMPを端末装置
が受信する設定の場合でもICMP応答をソフトウェア
で実施するコネクションレス型データ通信装置において
は、故意にこのようなPDUを大量に受信する場合は処
理能力低下によりサービス不能に陥ってしまう。いずれ
においても、大量に到着する不正なPDUのログを中継
網として保存し、他端末装置とのサービスの干渉を防
ぎ、装置の処理能力を損なわず経済的に原因解析できる
方法はない。
【0006】
【発明が解決しようとする課題】前述したように、悪意
等によりコネクションレス型データ通信装置が、大量の
ICMPやOSPF等のプロトコルのPDUを受信した
場合において、コネクションレス型データ通信装置の処
理性能を損なわず、他端末装置やVPNとの輻輳の干渉
を防止し、原因となったPDUを効率的に記録する方法
が必要である。合わせて、コネクションレス型データ通
信網において、ある端末装置間の通信でPDUの廃棄に
よる通信断が発生した場合に、コネクションレス型デー
タ通信装置の処理性能を損なわず、また、他の端末装置
の通信を損なうことなく迅速な原因究明とサービス復旧
するため、原因となったPDUを記録する方法が必要で
ある。
【0007】本発明は、前記従来技術の問題点を解決す
るためになされたものであり、本発明の目的は、コネク
ションレス型データ通信網において、網内の故障等によ
るデータ通信断に対する切り分けや原因解析の効率化、
復旧の迅速化を可能にするとともに、故意に大量に流さ
れる不正なPDUに対するデータ通信網のセキュリティ
を高め、データ通信網の信頼性、可用性を向上させるこ
とが可能なPDU観測方法を提供することにある。ま
た、本発明の他の目的は、前述のPDU観測方法を実施
するためのコネクションレス型データ通信装置を提供す
ることにある。また、本発明の他の目的は、前述のPD
U観測方法を実施するためのPDU観測装置を提供する
ことにある。本発明の前記ならびにその他の目的と新規
な特徴は、本明細書の記述及び添付図面によって明らか
にする。
【0008】
【課題を解決するための手段】コネクションレス型デー
タ通信装置は、前述の通り、サービス制御や試験制御を
目的として、上位レイヤのプロトコル通信を端末装置と
の間で実施する場合において、自らの端末装置とのイン
タフェースまたはコネクション毎にアドレス(インタフ
ェースアドレス)を設定し、そのアドレス宛てに上位レ
イヤのPDUが送信されてきた場合に終端し、そのPD
Uのプロトコルに応じた処理をする。そして各プロトコ
ルに応じたサービスの高機能化や機能拡張性を具備する
ため、それらの処理をソフトウェアにて処理する方法を
とる。本発明では、前述の課題を解決するため、この機
構において、コネクションレス型データ通信装置のイン
タフェースアドレスを転送テーブルにも予め設定してお
き、宛先および出力先はPDU観測装置への方路として
おく。端末装置からのPDUを受信すると、IPv4で
あればその属するVPNと宛先アドレス、プロトコル、
ポート番号等を調べる。その内容が、コネクションレス
型データ通信装置に設定してあるソフトウェア処理に渡
す判定を行うソフトウェア処理判定テーブルの、VPN
とインタフェースアドレス、プロトコル、ポート番号等
の条件にすべて一致している場合、そのPDUをVPN
/宛先アドレス/プロトコル/ポート番号等の組み合わ
せ毎に一定間隔で計数する。ポート番号はプロトコルに
より条件からはずすことができる。
【0009】そして、その値が一定間隔内で事前に設定
した値を超過した場合は、条件に該当するPDUをソフ
トウェア処理にわたさないように、前述のソフトウェア
処理判定テーブルの書き換えを行う。これにより、該当
のPDUは、ソフトウェアに渡されず、次に、ハードウ
ェアにおいて、宛先アドレスをキーに転送テーブルの検
索を行う。コネクションレス型データ通信装置のインタ
フェースアドレスは、転送テーブルに登録されているた
め、中継網内のPDU観測装置への方路へアドレス解決
して、設定された帯域に制御されてPDU観測装置に転
送される。転送されるPDUは、中継網内の転送用プロ
トコルに従い、カプセリング等の処理が行われ、中継網
内の転送用プロトコルによる網内アドレスがカプセリン
グされたヘッダの宛先として設定される。この場合はP
DU観測装置に付与されている網内アドレスが宛先とな
る。この機能を備えることにより、コネクションレス型
データ通信装置の処理負荷の増大や、他端末装置および
他VPNとの干渉を防止するとともに、不正なPDUの
みを1箇所に観測を目的として転送することができる。
【0010】また、コネクションレス型データ通信装置
は、端末装置から受信したPDUのヘッダのパラメータ
値の合理性確認が不正となる場合や、PDUの宛先アド
レスが、転送テーブルに登録されておらず転送する方路
が決定できない場合は、受信したPDUを不正と判定
し、該当のPDUを廃棄せずに、装置に設定された特定
の方路から、PDU観測装置宛ての宛先アドレスを設定
し、事前に設定された帯域に制御して、PDU観測装置
に転送する機能を備える。この処理はハードウェア処理
で行われるので、PDUを大量に受信しても、コネクシ
ョンレス型データ通信装置のソフトウェア処理に負荷は
かからない。PDU観測装置に転送する際には、受信し
たPDUのヘッダ情報、データの情報は書き換えずに転
送し、PDU観測装置においては、転送されたそのPD
Uを書き換えずにそのまま保存する。
【0011】PDU観測装置は、中継網内に集約して設
置可能であり経済的に適用できる。また、PDU観測装
置は、中継網が階層化される場合においてはPDU観測
装置を上位の中継階層に置くことで、各コネクションレ
ス型データ転送装置から専用の方路を持つ必要をなくす
ことができる。この場合は各コネクションレス型データ
転送装置は、不正PDUに対して中継網内転送用プロト
コルの宛先アドレスをPDU観測装置宛てにして、正常
なPDUの中継網側への転送方路と同一方路に送出すれ
ばよい。PDU観測装置は、PDUのVPN−ID、宛
先アドレス、送信元アドレスやプロトコル等のヘッダの
情報、データの情報の表示、ヘッダチェックサム等の正
常性判定結果の表示を行う。また、PDU観測装置はそ
れらの情報の統計処理を行うことができ、それにより故
障原因、故障装置や不正PDUの発信元等の解析が、中
継網側の監視により一元的に行うことができる。
【0012】
【発明の実施の形態】以下、図面を参照して本発明の実
施の形態を詳細に説明する。なお、実施の形態を説明す
るための全図において、同一機能を有するものは同一符
号を付け、その繰り返しの説明は省略する。 [実施の形態1]図1は、本発明の実施の形態1のPD
U観測装置を設置したコネクションレス型データ通信網
の概略構成を示すブロック図である。本実施の形態で
は、コネクションレス型データ通信のレイヤ3としてI
Pv4を使用する。コネクションレス型データ通信装置
(2,3)は、端末装置(1,4,6)を多数収容可能
であり、端末装置(1,4,6)とのインタフェースお
よびコネクション単位にVPNを設定し識別することが
できる。コネクションレス型データ通信装置同士が接続
されることにより構成される網は中継網と定義される。
中継網内では中継網内転送用プロトコルとアドレスが使
用される。コネクションレス型データ通信装置(2,
3)では、端末装置(1,4,6)から受信したPDU
を中継網に転送する場合は、中継網内転送用プロトコル
によりカプセリング処理をする。カプセリングした中継
網内転送用プロトコルのPDUのヘッダには、中継網内
を転送する中継網内用の宛先アドレスと送信元アドレ
ス、端末装置のVPNを識別するVPN−IDが少なく
とも含まれている。
【0013】図2は、図1に示すコネクションレス型デ
ータ通信装置(2,3)のハードウェア構成を示すブロ
ック図である。コネクションレス型データ通信装置2
が、サービス制御や試験を目的として、試験信号(IC
MP等)や、上位レイヤ経路制御プロトコル(OSP
F、BGP、RIP等)、その他のIP上で動作可能な
プロトコル通信を、端末装置1との間で実施する例を挙
げて、コネクションレス型データ通信装置2の動作を説
明する。端末装置1は、ICMPや経路制御プロトコル
(OSPF、BGP、RIP等)、その他のIP上で動
作可能なプロトコルを含んだPDUをコネクションレス
型データ通信装置2のインタフェースアドレスを宛先I
Pv4アドレスとして送信する。コネクションレス型デ
ータ通信装置2は、接続線19からPDUを受信する
と、回線インタフェース部7でレイヤ2まで終端し、P
DUは、次に、IP処理部8の合理性判定部9へ送られ
る。
【0014】図3は、図2に示すIP処理部8の処理手
順を示すフローチャートである。以下、図3を用いて、
IP処理部8のPDUの処理手順を説明する。初めに、
合理性判定部9において、PDUのIPv4ヘッダの各
パラメータであるバージョン番号、ヘッダ長、サービス
タイプ、パケット長、TTL(Time to Live)、ヘッダ
チェックサムといったヘッダ情報のパラメータの合理性
を確認する(ステップ101〜106)。ヘッダ長やパ
ケット長は、実際のPDUとの一致について確認し、ヘ
ッダチェックサムはチェックサム計算をして正しいかを
確認する。ここまでで異常があれば、従来の方式では端
末装置1への返信のためICMPの送信処理が行われ
る。
【0015】しかしながら、本実施の形態のコネクショ
ンレス型データ通信装置2では、PDUは、インタフェ
ース23から中継網転送部13、帯域制御部15、回線
インタフェース部16を経て、接続線22に設定された
PDU観測装置5への方路からPDU観測装置5に送ら
れる。ここで、中継網転送部13では、PDUを中継網
内転送用プロトコルでカプセリング処理をするが、その
カプセリングされるヘッダの宛先にはPDU観測装置宛
ての中継網内転送用のアドレスが書かれる。合理性判定
部9からのIPv4ヘッダおよびIPv4データについ
ては、受信したまま書き換えることはなく転送される。
図2に示す接続線22は、その中にPDU観測装置5へ
の方路と他のコネクションレス型データ転送装置への方
路を持つことができる。その場合は方路を分離する装置
が中継網において必要となる。
【0016】正常と判定されたPDUについては、次
に、ソフトウェア処理をするPDUかの判定を行うた
め、ソフトウェア処理判定部10に送られ、ソフトウェ
ア処理判定テーブルが検索され(ステップ107)、ソ
フトウェア処理判定テーブルに該当するものが登録され
ているかが判定される(ステップ108)。図4は、図
2に示すコネクションレス型データ通信装置のソフトウ
ェア処理判定テーブルの一例の論理構成を示す図であ
る。ソフトウェア処理判定テーブルには、VPN−I
D、インタフェースアドレス、プロトコル番号(ICM
P=1、OSPF=89、TCP=6、UDP=17
等)、ポート番号(RIP=520、BGP4=179
等)が1行として登録されている。プロトコル番号とポ
ート番号とは複数登録可能である。プロトコルがTC
P、UDPであればポート番号についても検索し、それ
以外であればポート番号は検索しない。テーブルの各行
には識別フラグが設定される。VPN−IDについて
は、PDUを受信したインタフェースまたはコネクショ
ンにより識別される。
【0017】識別フラグは2値をとり、「0」であれ
ば、PDUのVPN−ID、宛先アドレス、プロトコル
番号が、テーブルのある行のVPN−ID、インタフェ
ースアドレス、プロトコル番号に一致した場合、さら
に、プロトコルがTCP、UDPの場合はそれらに加え
ポート番号についても一致した場合には、ソフトウェア
処理に渡される。プロトコル番号およびポート番号につ
いては、同一行に複数登録されているものの1つが該当
すればよい。ソフトウェア処理においては、そこでさら
に各プロトコルに沿った処理が行われる。例えばICM
Pであれば、[ICMP Echo Reply]の送
信処理を実施する。識別フラグが「1」であれば、PD
Uの情報がテーブルのある行のVPN−ID、インタフ
ェースアドレス、プロトコル番号のすべてに一致し、さ
らに、プロトコルがTCP、UDPの場合は、それらに
加えポート番号が一致してもソフトウェア処理しない。
このPDUは、テーブルの条件に一致しないPDUと同
じく、引き続きハードウェア処理される。
【0018】ソフトウェア処理判定テーブルのVPN−
ID、インタフェースアドレス、プロトコル番号、ポー
ト番号の条件に適合したPDUは、そのVPNかつ宛先
アドレスごとに計数部17により計数される(ステップ
109)。この値を、閾値判定部18において一定間隔
で読み出し、前回読み出しからの差分を計算する。この
差分が予め設定した判定閾値より大きい場合は、ソフト
ウェア処理が過負荷に至るPDUがコネクションレス型
データ通信装置2に到着していると判定する。この値
は、個々の装置の処理能力により事前に設定しておく。
また、収容端末装置の増減を考慮し設定変更も可能であ
る。判定閾値を超えた場合は、ソフトウェア処理判定テ
ーブルの該当した行の判定フラグを「1」に制御する。
これにより、条件に適合する後続のPDUはソフトウェ
ア処理判定部10に入力されてもソフトウェア処理され
ずに通過する(ステップ110)。通過したPDUは、
次にアドレス解決部11に送られる。
【0019】アドレス解決部11において、転送テーブ
ルをPDUの宛先アドレスをキーに検索する(ステップ
111)。転送テーブルは、論理的にVPN単位で構成
され、宛先IPv4アドレスに対する出方路が登録され
ている。転送先が中継網側であれば、出方路に加え中継
網内転送用の宛先アドレスも登録されている。事前に転
送テーブルには、インタフェースアドレスが宛先IPv
4アドレスとして設定され、それに対応するPDU観測
装置5あての方路と中継網内転送用の宛先アドレスが設
定されているのでPDUはアドレス解決される(ステッ
プ112)。中継網内転送用の宛先アドレスは、中継網
転送部13に通知される。PDUは、IPパケット送出
部12から中継網転送部13に送られ、PDU観測装置
宛ての中継網内転送用アドレスを設定した中継網内転送
用プロトコルにカプセリングされ、帯域制御部15、回
線インタフェース部16からPDU観測装置5に転送さ
れる。
【0020】計数部17において、ソフトウェア処理判
定テーブルの識別フラグが「1」であっても、テーブル
のある行のVPN−ID、インタフェースアドレス、プ
ロトコル番号、さらに、プロトコルがTCP、UDPの
場合は、それらに加えポート番号のすべてに一致してい
るPDUは計数を継続する。閾値判定部18において一
定間隔で読み出して、差分が規定回数だけ連続して判定
閾値を下回ると、ソフトウェア処理判定テーブルのフラ
グを「0」に再設定する。それにより、後続のソフトウ
ェア処理判定テーブルの条件に適合したPDUはソフト
ウェア処理される。コネクションレス型データ通信装置
2が、自身が処理するICMPや経路制御プロトコル等
の上位プロトコルについて、プロトコル個々にCPUを
分けて持つ場合は、受信したPDUをさらに各プロトコ
ル毎に計数し、閥値判定することができる。
【0021】次に、図1に示す端末装置1から端末装置
4にデータ通信を行う例において、受信したPDUの宛
先アドレスが、転送テーブルに登録されておらず転送す
る方路が決定できない場合や、受信したPDUのヘッダ
パラメータが不正な場合の処理の実現方法について説明
する。端末装置1から端末装置4にデータ通信を行う場
合において、コネクションレス型データ通信装置2は、
端末装置1から受信したPDUを回線インタフェース部
7でレイヤ2まで終端した後、合理性判定部9へ送る。
そこで前述のように、IPv4ヘッダの各パラメータの
確認を行う。そして不正と判定すれば、インタフェース
23から中継網転送部13、帯域制御部15、回線イン
タフェース部16を経て、事前に設定された方路と宛先
に、設定された帯域に制御されてPDU観測装置5へ転
送される。合理性判定部9で受信したPDUを正常と判
定すれば、次に、ソフトウェア処理判定部10に送られ
る。端末装置4へのPDUは、宛先IPv4アドレスが
ソフトウェア処理判定テーブルの条件に適合しないた
め、次に、アドレス解決部11へ送られ転送テーブルを
参照する。
【0022】転送テーブルは、論理的にVPN単位で構
成され、宛先IPv4アドレスに対する出方路が登録さ
れている。転送先が中継網側であれば、出方路に加え中
継網内転送用の宛先アドレスも登録されている。PDU
の該当するVPNの転送テーブルに対して、宛先IPv
4アドレスをキーとして検索する。転送テーブルに該当
するものがある場合は、登録されている方路を出力先と
する。中継網側に出力する場合は、IPパケット送出部
12、中継網転送部13、帯域制御部15、回線インタ
フェース部16を経てPDUに対して中継網内転送用プ
ロトコルでカプセリングして送出する。解決された出方
路が中継網側ではなく端末装置6への通信のように折り
返しの方向になる場合には、PDUは、IPパケット送
出部12、帯域制御部14、回線インタフェース部7か
ら接続線20を経由して転送される。IPパケット送出
部12では、IPv4ヘッダのチェックサム付与やTT
L減算が行われる。
【0023】転送テーブルに該当するものがない場合
は、インタフェース24から中継網転送部13に送ら
れ、そこで、PDU観測装置宛ての中継網内転送用アド
レスを設定した中継網内転送用プロトコルにカプセリン
グされ、帯域制御部15、回線インタフェース16を経
由して、PDU観測装置5に転送される。このときにP
DUのIPv4ヘッダのパラメータとデータについては
書き換えることなく転送する。端末装置1から端末装置
4のデータ通信については、端末装置4のIPv4アド
レスが転送テーブルに登録されており、出方路および中
継網内転送用宛先アドレスを解決し中継網に、IPパケ
ット送出部12、中継網転送部13、帯域制御部15、
回線インタフェース部16を経て、接続線22に設定さ
れたコネクションレス型データ通信装置3への方路から
コネクションレス型データ通信装置3に送られる。コネ
クションレス型データ通信装置3は、コネクションレス
型データ通信装置2から接続線21を介してPDUを受
信する。受信したPDUは、回線インタフェース部16
でレイヤ2まで終端し、中継網転送部13でデカプセリ
ングが行われ、IPのPDUが生成される。
【0024】次に、インタフェース25からIP処理部
8に送られ、合理性判定とソフトウェア処理判定が行わ
れる。合理性判定で不正ではなく、ソフトウェア処理判
定に該当しなければアドレス解決部11へ送られる。ア
ドレス解決部11で、カプセリングしてきた中継網内転
送用プロトコルに記録されたVPN−IDに基づき、V
PNごとに構成された転送テーブルをIPv4の宛先ア
ドレスをキーに検索し、PDUの宛先アドレスが該当し
た場合は、IPパケット送出部12、帯域制御部14、
回線インタフェース部7を経てテーブルに登録された接
続線20の中の方路に送出する。転送テーブルに該当が
なければ、インタフェース24から設定されたPDU観
測装置用の方路に、中継網転送部13、帯域制御部1
5、回線インタフェース部16を経て送出される。その
際に、受信したPDUのIPv4ヘッダ情報、データの
情報は書き換えずに転送する。端末装置4への宛先がコ
ネクションレス型データ通信装置3の転送テーブルの検
索で解決できれば、IPパケット送出部12、帯域制御
部14、回線インタフェース部7を経て端末装置4に送
出される。端末装置1からのPDUはこのようにして端
末装置4に到達する。
【0025】図5は、図1に示すPDU観測装置の概略
構成を示すブロック図である。PDU観測装置5は、コ
ネクションレス型データ通信装置(2,3)から接続線
38を介してPDUを受信すると、回線インタフェース
部26でレイヤ2までを終端し、中継網転送部27の終
端部28にて中継網内転送用プロトコルを終端する。P
DUは次にIP処理部29に送られ、IPv4ヘッダを
読み取り、各ヘッダパラメータとチェックサムを確認す
る。プロトコルがTCP、UDPであればポート番号の
確認も行われる。その後、PDUはPDU記録部30
に、PDUの情報は書き換えずに、IP処理部29の結
果とともに記録される。PDU記録部30はバッファメ
モリ31および2次記憶32により構成される。PDU
観測装置5は、中継網内転送用に装置単位にひとつ、あ
るいはPDU観測装置のインタフェース単位に中継網内
転送用プロトコルのアドレスを持つ。このアドレスを使
用し、中継網内転送用プロトコルで試験信号を定義した
場合は、試験部33により送出部34、回線インタフェ
ース部26、接続線39を経て中継網内の導通試験を行
うことができる。例えば、中継網内転送用プロトコルを
IPv6とすれば、ICMPv6により試験が実施でき
る。
【0026】PDU観測装置5の表示機能部35は、受
信したPDUのVPN−ID、宛先アドレス、送信元ア
ドレスやIPv4ヘッダのバージョン番号、ヘッダ長、
サービスタイプ、パケット長、TTL、チェックサム等
の情報と正常性判定結果、およびIPv4データと、受
信時刻、PDUを送信してきたコネクションレス型デー
タ通信装置の表示を行う。VPN−IDは、中継網内転
送用プロトコルのヘッダ情報に書かれており、PDUを
送信してきたコネクションレス型データ通信装置は、中
継網内転送用プロトコルのヘッダ情報の送信元アドレス
で特定できる。また、統計処理部36において、ヘッダ
の各情報や正常性判定結果、PDU個数、受信時刻等の
統計処理を行うことにより、原因の解析が容易となる。
さらに、収集された情報は、データ出力部37からファ
イル形式で出力し、計算機においてプログラミングする
ことにより、より高度の各種の統計処理も可能である。
【0027】[実施の形態2]コネクションレス型デー
タ通信装置(2,3)が数台以上に多くなると、中継網
を階層化し、コネクションレス型データ通信装置(2,
3)を収容する中継用のコネクションレス型データ通信
装置の適用が網の効率的な運用や経済的な面から必要と
なる。本実施の形態は、中継網を階層化し、PDU観測
装置を設置したコネクションレス型データ通信網であ
り、その構成図を図6に示す。本実施の形態では、各コ
ネクションレス型データ通信装置(41,45,60,
61)は、中継用コネクションレス型データ通信装置
(42,44)に対してエッジ装置と位置づけられる。
このような場合においても、コネクションレス型データ
通信装置(41,45,60,61)からPDU観測装
置43に不正なPDUを送る場合は、PDU観測装置4
3あての中継網内転送用アドレスを付与して中継網側に
送出するだけでよい。例えば、コネクションレス型デー
タ通信装置41は、端末装置40から受信したPDUの
IPヘッダのパラメータの合理性判定が不正、または転
送先が解決できない場合に、PDU観測装置43あての
中継網内転送用アドレスを付与して方路47に送出す
る。
【0028】受信した中継用コネクションレス型データ
通信装置42は、中継網内転送用アドレスをキーに自身
の転送テーブルを検索して出方路を解決し、それがPD
U観測装置宛てであれば方路48に送出する。中継用コ
ネクションレス型データ通信装置(42,44)が受信
したPDUが不正なPDUではなく、通常のコネクショ
ンレス型データ通信装置間で転送されるPDUであれ
ば、中継網内転送用の宛先アドレスにより、出方路を解
決して宛先となっているコネクションレス型データ通信
装置の方路に送出する。例えば、コネクションレス型デ
ータ通信装置41が、端末装置40から受信した端末装
置46宛のPDUのIPヘッダのパラメータの合理性判
定が正しく、転送先を解決した場合は、コネクションレ
ス型データ通信装置45宛の中継網内転送用アドレスを
付与して、方路47に送出される。中継用コネクション
レス型データ通信装置42は、中継網内転送用の宛先ア
ドレスにより出方路49を解決し、中継用コネクション
レス型データ通信装置44に送信する。中継用コネクシ
ョンレス型データ通信装置44は同じく出方路50を解
決し、コネクションレス型データ通信装置45に転送
し、コネクションレス型データ通信装置45から端末装
置46に送信される。
【0029】前述のように、中継網を階層化する場合
は、コネクションレス型データ通信装置(41,45,
60,61)は、PDU観測装置43への専用の物理回
線や方路を持つ必要はなく、中継用コネクションレス型
データ通信装置(42,44)までは正常なPDU転送
ルートとの共用が可能である。したがって、PDU観測
装置43は、中継網内において集約して設置が可能であ
り、PDU観測がより効率的、経済的に実施できる。以
上説明したように、本実施の形態によれば、コネクショ
ンレス型データ通信網において、悪意等によるPDUを
大量に受信しコネクションレス型データ通信装置がサー
ビス不能になるような事態を防止し、さらに、端末装置
間の通信でPDUの廃棄による通信断が発生した場合
に、コネクションレス型データ通信装置の処理性能を損
なわず、原因となったPDUを効率的かつ経済的に観測
することが可能となる。これにより、コネクションレス
型データ通信網のセキュリティの向上と、迅速な原因究
明、サービス復旧による安定運用が可能となる。以上、
本発明者によってなされた発明を、前記実施の形態に基
づき具体的に説明したが、本発明は、前記実施の形態に
限定されるものではなく、その要旨を逸脱しない範囲に
おいて種々変更可能であることは勿論である。
【0030】
【発明の効果】本願において開示される発明のうち代表
的なものによって得られる効果を簡単に説明すれば、下
記の通りである。本発明によれば、コネクションレス型
データ通信網において、悪意等によるPDUを大量に受
信しコネクションレス型データ通信装置がサービス不能
になるような事態を防止し、さらに、端末装置間の通信
でPDUの廃棄による通信断が発生した場合に、コネク
ションレス型データ通信装置の処理性能を損なわず、原
因となったPDUを効率的かつ経済的に観測することが
可能となる。これにより、コネクションレス型データ通
信網のセキュリティの向上と、迅速な原因究明、サービ
ス復旧による安定運用が可能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態1のPDU観測装置を設置
したコネクションレス型データ通信網の概略構成を示す
ブロック図である。
【図2】図1に示すコネクションレス型データ通信装置
のハードウェア構成を示すブロック図である。
【図3】図2に示すIP処理部の処理手順を示すフロー
チャートである。
【図4】図2に示すコネクションレス型データ通信装置
のソフトウェア処理判定テーブルの一例の論理構成を示
す図である。
【図5】図1に示すPDU観測装置の概略構成を示すブ
ロック図である。
【図6】本発明の実施の形態2のPDU観測装置を設置
したコネクションレス型データ通信網の概略構成を示す
ブロック図である。
【符号の説明】
1,4,6,40,46…端末装置、2,3,41,4
5,60,61…コネクションレス型データ通信装置、
5,43…PDU観測装置、7,16,26…回線イン
タフェース部、8,29…IP処理部、9…合理性判定
部、10…ソフトウェア処理判定部、11…アドレス解
決部、12…IPパケット送出部、13…中継網転送
部、14,15…帯域制御部、17…計数部、18…閾
値判定部、19,20,21,22、38,39…接続
線、23,24,25…インタフェース、27…中継網
転送部、28…終端部、30…PDU記録部、31…バ
ッファ、32…2次記憶、33…試験部、34…送出
部、35…表示機能部、36…統計処理部、37…デー
タ出力部、42,44…中継用コネクションレス型デー
タ通信装置、47,48,49,50,51…方路。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 谷川 真樹 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5K030 GA03 GA13 GA15 HA08 HB14 HB18 HB28 HC01 JA10 KA01 KA06 LB18 LC09 LC13 MA01 MC08

Claims (14)

    【特許請求の範囲】
  1. 【請求項1】 サービス制御や試験制御のために、上位
    レイヤのプロトコルを端末装置から受信し、それらのプ
    ロトコル処理をソフトウェアにて処理するコネクション
    レス型データ通信装置と、 前記コネクションレス型データ通信装置と中継網を介し
    て接続されるPDU観測装置とを備えるコネクションレ
    ス型データ通信網におけるPDU観測方法であって、 前記コネクションレス型データ通信装置は、受信したP
    DUがソフトウェア処理されるPDUか否かを判定する
    第1のステップと、 前記第1のステップで受信したPDUがソフトウェア処
    理されるPDUと判定された場合に、当該受信したPD
    Uを、VPN・宛先アドレス・プロトコル・ポート番号
    毎に計数する第2のステップと、 前記第2のステップでの計数値に基づき、前記VPN・
    宛先アドレス・プロトコル・ポート番号毎に、到着した
    PDUの量が、ソフトウェア処理負荷を増大させる量に
    達したか否かを判定する第3のステップと、 前記第3のステップで、到着したPDUの量がソフトウ
    ェア処理負荷を増大させる量に達したと判定した場合
    に、前記受信したPDUを、ソフトウェア処理を行わず
    に、ハードウェアにより前記PDU観測装置に送出する
    第4のステップとを有し、 前記PDU観測装置は、前記コネクションレス型データ
    通信装置から送出されるPDUを受信する第1のステッ
    プと、 前記受信したPDUを記憶し、保存する第2のステップ
    と、 前記受信したPDUの情報を表示する第3のステップ
    と、 前記受信したPDUについて統計処理を行い、結果を表
    示する第4のステップと、 前記PDUの情報や統計処理結果をファイル形式で外部
    に出力する第5のステップとを有することを特徴とする
    PDU観測方法。
  2. 【請求項2】 前記コネクションレス型データ通信装置
    の前記第3のステップにおいて、前記第2のステップで
    の計数値を一定間隔で読み出し、前回読み出し時の計数
    値からの差分を計算し、この差分が予め設定した判定閾
    値より大きい場合に、前記到着したPDUの量がソフト
    ウェア処理負荷を増大させる量に達したと判定すること
    を特徴とする請求項1に記載のPDU観測方法。
  3. 【請求項3】 前記コネクションレス型データ通信装置
    は、前記VPN・宛先アドレス・プロトコル・ポート番
    号毎に、ソフトウェア処理されるPDUが登録されるソ
    フトウェア処理判定テーブルを備え、 コネクションレス型データ通信装置の前記第1のステッ
    プにおいて、前記ソフトウェア処理判定テーブルを検索
    して、前記受信したPDUが前記ソフトウェア処理判定
    テーブルに登録されているときに、前記受信したPDU
    をソフトウェア処理されるPDUと判定することを特徴
    とする請求項1または請求項2に記載のPDU観測方
    法。
  4. 【請求項4】 前記コネクションレス型データ通信装置
    の前記第3のステップにおいて、前記到着したPDUの
    量がソフトウェア処理負荷を増大させる量に達したと判
    定した場合に、前記VPN・宛先アドレス・プロトコル
    ・ポート番号毎に、前記ソフトウェア処理判定テーブル
    の判定フラグを「1」に設定し、 前記コネクションレス型データ通信装置の前記第4のス
    テップにおいて、前記ソフトウェア処理判定テーブルの
    判定フラグの値が「1」の場合に、前記受信したPDU
    を、ソフトウェア処理を行わずに、ハードウェアにより
    前記PDU観測装置に送出することを特徴とする請求項
    3に記載のPDU観測方法。
  5. 【請求項5】 前記コネクションレス型データ通信装置
    の前記第4のステップにおいて、前記送出するPDU
    を、前記PDU観測装置への方路に割り当てられた帯域
    に制御し、送出することを特徴とする請求項1ないし請
    求項4のいずれか1項に記載のPDU観測方法。
  6. 【請求項6】 受信したPDUの出力路が登録されるデ
    ータ転送テーブルを備えるコネクションレス型データ通
    信装置と、 前記コネクションレス型データ通信装置と中継網を介し
    て接続されるPDU観測装置とを備えるコネクションレ
    ス型データ通信網におけるPDU観測方法であって、 前記コネクションレス型データ通信装置は、前記受信し
    たPDUのヘッダのパラメータ値が異常か否かを判定す
    る第1のステップと、 前記第1のステップにおいて、前記受信したPDUのヘ
    ッダのパラメータ値が異常と判定された場合、あるい
    は、前記受信したPDUの宛先アドレスが前記転送テー
    ブルに登録されていない場合に、前記受信したPDU
    を、ソフトウェア処理を行わずに、ハードウェアにより
    前記PDU観測装置に送出する第2のステップとを有
    し、 前記PDU観測装置は、前記コネクションレス型データ
    通信装置から送出されるPDUを受信する第1のステッ
    プと、 前記受信したPDUを記憶し、保存する第2のステップ
    と、 前記受信したPDUの情報を表示する第3のステップ
    と、 前記受信したPDUについて統計処理を行い、結果を表
    示する第4のステップと、 前記PDUの情報や統計処理結果をファイル形式で外部
    に出力する第5のステップとを有することを特徴とする
    PDU観測方法。
  7. 【請求項7】 前記コネクションレス型データ通信装置
    の前記第2のステップにおいて、前記送出するPDU
    を、前記PDU観測装置への方路に割り当てられた帯域
    に制御し、送出することを特徴とする請求項6に記載の
    PDU観測方法。
  8. 【請求項8】 サービス制御や試験制御のために、上位
    レイヤのプロトコルを端末装置から受信し、それらのプ
    ロトコル処理をソフトウェアにて処理するコネクション
    レス型データ通信装置であって、 受信したPDUがソフトウェア処理されるPDUか否か
    を判定する第1の手段と、 前記第1の手段で受信したPDUがソフトウェア処理さ
    れるPDUと判定された場合に、当該受信したPDU
    を、VPN・宛先アドレス・プロトコル・ポート番号毎
    に計数する第2の手段と、 前記第2の手段での計数値に基づき、前記VPN・宛先
    アドレス・プロトコル・ポート番号毎に、到着したPD
    Uの量が、ソフトウェア処理負荷を増大させる量に達し
    たか否かを判定する第3の手段と、 前記第3の手段で、到着したPDUの量がソフトウェア
    処理負荷を増大させる量に達したと判定した場合に、前
    記受信したPDUを、ソフトウェア処理を行わずに、事
    前に設定した特定の方路および宛先にハードウェアによ
    り送出する第4の手段とを備えることを特徴とするコネ
    クションレス型データ通信装置。
  9. 【請求項9】 前記第3の手段は、前記第2の手段での
    計数値を一定間隔で読み出し、前回読み出し時の計数値
    からの差分を計算し、この差分が予め設定した判定閾値
    より大きい場合に、前記到着したPDUの量がソフトウ
    ェア処理負荷を増大させる量に達したと判定することを
    特徴とする請求項8に記載のコネクションレス型データ
    通信装置。
  10. 【請求項10】 前記VPN・宛先アドレス・プロトコ
    ル・ポート番号毎に、ソフトウェア処理されるPDUが
    登録されるソフトウェア処理判定テーブルを、さらに備
    え、 前記第1の手段は、前記ソフトウェア処理判定テーブル
    を検索して、前記受信したPDUが前記ソフトウェア処
    理判定テーブルに登録されているときに、前記受信した
    PDUをソフトウェア処理されるPDUと判定すること
    を特徴とする請求項8または請求項9に記載のコネクシ
    ョンレス型データ通信装置。
  11. 【請求項11】 前記第3の手段は、前記到着したPD
    Uの量がソフトウェア処理負荷を増大させる量に達した
    と判定した場合に、前記VPN・宛先アドレス・プロト
    コル・ポート番号毎に、前記ソフトウェア処理判定テー
    ブルの判定フラグを「1」に設定し、 前記第4の手段は、前記ソフトウェア処理判定テーブル
    の判定フラグの値が「1」の場合に、前記受信したPD
    Uを、ソフトウェア処理を行わずに、事前に設定した特
    定の方路および宛先にハードウェアにより送出すること
    を特徴とする請求項10に記載のコネクションレス型デ
    ータ通信装置。
  12. 【請求項12】 前記受信したPDUのヘッダのパラメ
    ータ値が異常か否かを判定する第5の手段と、 前記受信したPDUの出力路が登録されるデータ転送テ
    ーブルとを、さらに備え、 前記第4の手段は、前記第5の手段において、前記受信
    したPDUのヘッダのパラメータ値が異常と判定された
    場合、あるいは、前記受信したPDUの宛先アドレスが
    前記転送テーブルに登録されていない場合に、事前に設
    定した特定の方路および宛先にハードウェアにより送出
    することを特徴とする請求項8ないし請求項11のいず
    れか1項に記載のコネクションレス型データ通信装置。
  13. 【請求項13】 前記第4の手段は、前記送出するPD
    Uを、前記特定の方路に割り当てられた帯域に制御し、
    送出することを特徴とする請求項8ないし請求項12の
    いずれか1項に記載のコネクションレス型データ通信装
    置。
  14. 【請求項14】 請求項8ないし請求項13のいずれか
    1項に記載されたコネクションレス型データ通信装置
    と、中継網を介して接続されるPDU観測装置であっ
    て、 前記コネクションレス型データ通信装置から送出される
    PDUを受信する第1の手段と、 前記受信したPDUを記憶し、保存する第2の手段と、 前記受信したPDUの情報を表示する第3の手段と、 前記受信したPDUについて統計処理を行い、結果を表
    示する第4の手段と、 前記PDUの情報や統計処理結果をファイル形式で外部
    に出力する第5の手段とを備えることを特徴とするPD
    U観測装置。
JP2002125833A 2002-04-26 2002-04-26 Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置 Pending JP2003318984A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002125833A JP2003318984A (ja) 2002-04-26 2002-04-26 Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002125833A JP2003318984A (ja) 2002-04-26 2002-04-26 Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置

Publications (1)

Publication Number Publication Date
JP2003318984A true JP2003318984A (ja) 2003-11-07

Family

ID=29540438

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002125833A Pending JP2003318984A (ja) 2002-04-26 2002-04-26 Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置

Country Status (1)

Country Link
JP (1) JP2003318984A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008541605A (ja) * 2005-05-11 2008-11-20 ウィズネット インコーポレーテッド 埋め込み型システムのための高速データ処理・通信方法及び装置
JP7356617B1 (ja) 2023-06-28 2023-10-04 株式会社インターネットイニシアティブ パケット解析装置およびパケット解析のためのコンピュータプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008541605A (ja) * 2005-05-11 2008-11-20 ウィズネット インコーポレーテッド 埋め込み型システムのための高速データ処理・通信方法及び装置
JP7356617B1 (ja) 2023-06-28 2023-10-04 株式会社インターネットイニシアティブ パケット解析装置およびパケット解析のためのコンピュータプログラム

Similar Documents

Publication Publication Date Title
US10425328B2 (en) Load distribution architecture for processing tunnelled internet protocol traffic
US8149705B2 (en) Packet communications unit
US8320242B2 (en) Active response communications network tap
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US7903548B2 (en) BFD rate-limiting and automatic session activation
JP6015509B2 (ja) パケット解析プログラム、パケット解析方法、パケット解析装置、およびパケット解析システム
US8861369B2 (en) Virtual network interface with packet filtering hooks
US8868998B2 (en) Packet communication apparatus and packet communication method
JP4704120B2 (ja) ネットワーク障害検出装置及びネットワーク障害検出方法
EP3082293B1 (en) Switching device and packet loss method therefor
JP2000332817A (ja) パケット処理装置
US8274911B2 (en) Network monitoring system and path extracting method
JP2006261873A (ja) パケット転送装置およびその転送制御方式
US20140050078A1 (en) Communication interruption time reduction method in a packet communication network
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
US9203728B2 (en) Metadata capture for testing TCP connections
WO2020135391A1 (zh) 一种操作管理维护iOAM报文的传输方法及相应装置
EP2403190B1 (en) Encapsulating large ethernet frames
CN111683018A (zh) 镜像丢弃的分组
JP5957318B2 (ja) ネットワークシステム、情報中継装置、及びパケット配信方法
JP5672836B2 (ja) 通信装置、通信方法、および通信プログラム
JP2008278357A (ja) 通信回線切断装置
CN108282383B (zh) 一种实现故障处理的方法及设备
JP2003318984A (ja) Pdu観測方法、コネクションレス型データ通信装置、およびpdu観測装置
CN112637051B (zh) 一种路径检测报文转发方法及设备