JP2011109587A - Device, method, and system for monitoring bgp traffic variation - Google Patents

Device, method, and system for monitoring bgp traffic variation Download PDF

Info

Publication number
JP2011109587A
JP2011109587A JP2009265130A JP2009265130A JP2011109587A JP 2011109587 A JP2011109587 A JP 2011109587A JP 2009265130 A JP2009265130 A JP 2009265130A JP 2009265130 A JP2009265130 A JP 2009265130A JP 2011109587 A JP2011109587 A JP 2011109587A
Authority
JP
Japan
Prior art keywords
bgp
traffic
information
fluctuation
route
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009265130A
Other languages
Japanese (ja)
Other versions
JP4860745B2 (en
Inventor
Junji Kobayashi
淳史 小林
Hiroshi Kuragami
弘 倉上
Yutaka Hirokawa
裕 廣川
Shingo Kashima
伸吾 加島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009265130A priority Critical patent/JP4860745B2/en
Publication of JP2011109587A publication Critical patent/JP2011109587A/en
Application granted granted Critical
Publication of JP4860745B2 publication Critical patent/JP4860745B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technology to detect a traffic variation caused by a BGP path variation factor. <P>SOLUTION: A BGP path receiving part 101 collects BGP Update messages and manages BGP path information, and accumulates the BGP log information of the BGP Update messages classified in unites of attributes of a BGP. A traffic information receiving part 102 collects traffic information, totalizes traffic in units of attributes of the BGP based on the BGP path information, and accumulates the totalized traffic totalization data. A correlation collation function part 103 detects the traffic variation from the similarity of the traffic totalization data neighboring in terms of time, compares the attribute value of the BGP that contributes to the traffic variation with the BGP log information at time intervals, and evaluates whether or not the BGP path variation related to the attribute value of the BGP has been generated. By this, it is possible to detect the traffic variation caused by the BGP path variation factor. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、BGPプロトコルにより通知される経路の経路変動要因によるトラヒック変動を検知する監視技術に関する。   The present invention relates to a monitoring technique for detecting traffic fluctuation due to a path fluctuation factor of a path notified by the BGP protocol.

インターネットはインターネット・サービス・プロバイダ(Internet Service Provider:ISP)や企業や大学などの異なる組織によって運営される1万以上の自律システム(Autonomous System:AS)が有機的に接続されたものである。上述のAS間は、専用線或いはインターネット・エクスチェンジ(Internet Exchange:IX)によって接続され、ボーダ・ゲートウェイ・プロトコル(Border Gateway Protocol:BGP)によりBGP経路情報を交換する。交換する情報は、経路情報に対して経由するBGP Nexthopアドレス属性、ASパス属性、Community属性となる。   The Internet is an organic connection of 10,000 or more autonomous systems (ASs) operated by different organizations such as Internet Service Providers (ISPs) and companies and universities. The ASs described above are connected by a dedicated line or Internet Exchange (IX), and BGP route information is exchanged by a Border Gateway Protocol (BGP). The information to be exchanged includes a BGP Next address attribute, an AS path attribute, and a Community attribute that are routed to the route information.

トラヒックを経由するASの隣接AS番号は、ASパス属性の先頭番号を示す番号で、BGPプロトコルを受信する当該ISPからみて、直接隣接するASを表す。また、ASパス属性の末尾番号を示す番号は、Origin AS番号を表し、当該経路の最終到着先のASを示すものである。隣接AS番号とOrigin AS番号内に記述されたAS番号列は、途中経由するASを示している。また、BGP Nexthopアドレス属性は、BGPプロトコルを受信するルータから見て、次の向う先のBGPルータのIPアドレスを示す。Communityとは、これらの経路に対して、ネットワークオペレータなどが、経路情報の識別を容易に可能とするために、任意に設定可能な識別子である。これは、非特許文献1で示されるように、地域情報単位や顧客種別単位に付与することは一般的と言われている。   The adjacent AS number of the AS passing through the traffic is a number indicating the leading number of the AS path attribute, and represents the AS directly adjacent to the ISP receiving the BGP protocol. The number indicating the end number of the AS path attribute represents the Origin AS number, and indicates the AS of the final destination of the route. The AS number string described in the adjacent AS number and the Origin AS number indicates the AS that is being routed. The BGP Next address attribute indicates the IP address of the next BGP router as viewed from the router receiving the BGP protocol. “Community” is an identifier that can be arbitrarily set for these routes so that a network operator or the like can easily identify the route information. As shown in Non-Patent Document 1, this is generally said to be given to a regional information unit or a customer type unit.

このようにBGPは、異なるAS間の経路情報を交換するためのプロトコルであり、同一AS内の主要なバックボーンルータ間においてもインターネット全体の経路情報を交換するためのプロトコルである。   In this way, BGP is a protocol for exchanging route information between different ASs, and is a protocol for exchanging route information of the entire Internet between main backbone routers in the same AS.

このようにインターネットのトラヒックの宛先は、BGPによって交換される経路情報をもとにしており、経路情報の変動は、同一AS内のルータ間のトラヒックの変動はもとより、隣接ASへの流入・流出トラヒックに多大な影響を与える。経路の変更は、ルータ等の故障や機器間を接続するケーブルの故障などによって、発生することがあるが、バックボーンネットワーク上のトラヒックに影響を与えるため、それを監視することが、要望されている。   As described above, the destination of the Internet traffic is based on route information exchanged by BGP, and the change of the route information is not only the change of the traffic between routers in the same AS but also the inflow / outflow to the adjacent AS. It has a great impact on traffic. A route change may occur due to a failure of a router or the like, or a failure of a cable connecting devices, but it affects traffic on the backbone network, so it is desired to monitor it. .

しかし、経路の変動量(つまりBGPのUpdateメッセージ数)は、1分間においても数千に上り、単純に監視することは容易ではない。隣接AS(PeerAS)もしくはNexthopアドレス単位に経路数を収集し、その変動量を監視するシステムも考えられるが、経路数の変動量と実際のトラヒック量の変動量は、関連性がなく、経路数が大きく変化した場合でもトラヒックに影響を与えない場合もある。   However, the amount of path variation (that is, the number of BGP Update messages) reaches several thousand even in one minute, and it is not easy to simply monitor. A system that collects the number of paths in units of adjacent AS (Peer AS) or Nexthop and monitors the fluctuation amount is also conceivable. However, the fluctuation amount of the path number and the fluctuation amount of the actual traffic amount are not related, and There is a case where the traffic is not affected even when the value of the value changes greatly.

また、BGPの受信情報を選別、グループ化し、共通部分を抽出することで、インターネット上の原因探索も可能であるが、これも実際のトラヒックとの関連性がないため、実際にトラヒックが流れていない箇所の問題を検出してしまうという問題を抱えている。   In addition, it is possible to search for causes on the Internet by selecting and grouping BGP reception information and extracting common parts, but this is also not related to actual traffic, so traffic actually flows. I have a problem of detecting a problem in a missing part.

これに対して、非特許文献2では、受信した経路を分析し、トラヒック変動の起こすタイプに分類し、実際のトラヒックに突合させることで、その影響度を予測するためのシステムを開発している。しかし、当該手法では、トラヒック変動量の予測を行っているのみで、リアルタイムに監視を行い、実際に発生したトラヒック変動量をもとに、関連する経路情報を付き合わせて、その原因探索を行うということができていない。   On the other hand, Non-Patent Document 2 develops a system for analyzing the received route, classifying it into a type that causes traffic fluctuation, and predicting the degree of influence by matching it with actual traffic. . However, in this method, only the traffic fluctuation amount is predicted, monitoring is performed in real time, and the cause is searched by associating related route information with the actual traffic fluctuation amount. I can't say that.

特開2008−167484号公報JP 2008-167484 A

RFC4384 BGP Communities for Data CollectionRFC4384 BGP Communities for Data Collection Jian Wu, Z. Morley Mao, Jennifer Rexford, and Jia Wang, Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network, Proc. Networked Systems Design and Implementation, May 2005.Jian Wu, Z. Morley Mao, Jennifer Rexford, and Jia Wang, Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network, Proc.Networked Systems Design and Implementation, May 2005. J. Scudder, et. al, “BGP Monitoring Protocol, ” Internet-Draft <draft-ietf-grow-bmp-02>, July, 2009.J. Scudder, et. Al, “BGP Monitoring Protocol,” Internet-Draft <draft-ietf-grow-bmp-02>, July, 2009.

インターネット上に流れるトラヒック量は増加しているが、ISP間のパケット・ルーティングは、BGPプロトコルにより通知される経路情報によって決められている。トラヒックの変動は、攻撃トラヒックやルータなどの障害に起因する場合もあるが、BGP経路変動による要因で変動する場合もありうる。急激なトラヒック変動が発生した場合には、ルータ、回線を逼迫し、サービスに支障をきたすことも考えられる。このようなトラヒック変動を迅速に検知し、その要因となるBGP経路変動を探索することが要望されている。   Although the amount of traffic flowing on the Internet is increasing, packet routing between ISPs is determined by route information notified by the BGP protocol. The traffic fluctuation may be caused by a failure such as attack traffic or a router, but may also be caused by a factor due to BGP path fluctuation. If sudden traffic fluctuations occur, it is possible that the routers and lines will be tightened and the service will be hindered. There is a demand for rapidly detecting such traffic fluctuations and searching for BGP path fluctuations that cause the traffic fluctuations.

BGP経路の監視システムとトラヒック変動の監視システムは、個々に多く存在するが、その双方のデータを監視し、突合することで経路変動によるトラヒック変動の原因検知を行うシステムは、まだない。特に、経路においては、1分間で数千の経路情報を分析する必要があり、また、膨大なトラヒック量と突合させることが必要である。   There are many BGP route monitoring systems and traffic fluctuation monitoring systems, but there is still no system that detects the cause of traffic fluctuations due to path fluctuations by monitoring the data of both. In particular, in a route, it is necessary to analyze thousands of route information in one minute, and it is necessary to match a huge amount of traffic.

本発明の目的は、BGP経路変動要因によるトラヒック変動を検知する技術を提供することである。   An object of the present invention is to provide a technique for detecting traffic fluctuation due to a BGP path fluctuation factor.

本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。   Of the inventions disclosed in this specification, the outline of typical ones will be briefly described as follows.

第1の発明は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信部と、トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部と、を備えることを特徴とする。   The first invention collects the BGP Update message, manages the BGP route information, collects the BGP route receiver that stores the BGP log information in which the BGP Update message is classified into BGP attribute units, and the traffic information. Based on the BGP route information, the traffic is aggregated in units of BGP attributes, and traffic fluctuation is detected from the similarity of the traffic information receiving unit that accumulates the aggregated traffic aggregated data and the traffic aggregated data that changes in time. A correlation matching function unit that compares the attribute value of BGP that contributed to traffic fluctuation and the BGP log information of the time interval and evaluates whether or not BGP path fluctuation related to the attribute value of the BGP has occurred; It is characterized by providing.

第2の発明は、第1の発明において、前記BGP経路受信部は、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類するBGP Update分類機能部を備えることを特徴とする。   According to a second invention, in the first invention, the BGP route receiving unit compares the newly received BGP Update message with the BGP Update message that has already been received, and updates the Update message for each BGP attribute unit that affects traffic fluctuations. A BGP Update classification function unit is provided.

第3の発明は、第1の発明において、前記BGP経路受信部は、BGP経路情報をルーティングテーブルとして管理するルーティング管理機能部を備え、前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計するトラヒック集計機能部を備えることを特徴とする。   In a third aspect based on the first aspect, the BGP route receiving unit includes a routing management function unit that manages BGP route information as a routing table, and the traffic information receiving unit is based on the collected traffic information. A traffic totaling function unit that searches the routing table and totals traffic in BGP attribute units that affect traffic fluctuations is provided.

第4の発明は、第3の発明において、前記トラヒック集計機能部は、BGPの属性単位にトラヒック集計を行う際に、前記ルーティングテーブルの中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択することを特徴とする。   In a fourth aspect based on the third aspect, when the traffic totaling function unit performs traffic totaling for each BGP attribute unit, the traffic counting function unit converts the source IP address, NextHop address, or area information from the routing table. Based on this, a routing table as a reference destination is selected.

第5の発明は、第1の発明において、前記BGPトラヒック変動監視装置は、BGPの属性単位のトラヒック量の時系列変化と当該BGP属性が変化したことを示すBGP Updateメッセージの発生量の時系列変化を表示することを特徴とする。   In a fifth aspect based on the first aspect, the BGP traffic fluctuation monitoring device is configured to perform a time-series change of traffic amount in BGP attribute units and a time-series of generation amount of a BGP Update message indicating that the BGP attribute has changed. It is characterized by displaying changes.

本発明により、BGP経路変動要因によるトラヒック変動を検知することができる。   According to the present invention, it is possible to detect a traffic fluctuation due to a BGP path fluctuation factor.

本発明の実施例のシステム構成図である。1 is a system configuration diagram of an embodiment of the present invention. BGP経路受信部の機能構成図である。It is a function block diagram of a BGP path | route receiving part. BGPメッセージ分類方法を示す図である。It is a figure which shows the BGP message classification method. トラヒック情報受信部の機能構成図である。It is a function block diagram of a traffic information receiving part. トラヒック項目が増加した場合の比較評価方法を示す図である。It is a figure which shows the comparative evaluation method when a traffic item increases. トラヒック項目が減少した場合の比較評価方法を示す図である。It is a figure which shows the comparative evaluation method when a traffic item reduces. 表示例を示す図である。It is a figure which shows the example of a display.

図1に本発明の実施例のシステムの構成概要図を示す。図1において、100はBGPトラヒック変動監視装置、101はBGP経路受信部、102はトラヒック情報受信部、103は相関性照合機能部、110は自ASドメイン、111〜115は自ASドメイン110内のルータ、120は隣接AS#1、121は隣接AS#1(120)内のルータ、130は隣接AS#1(120)を経由して接続されているインターネット、140は隣接AS#2、141は隣接AS#2(140)内のルータ、150は隣接AS#3、151は隣接AS#3(150)内のルータ、160は隣接AS#3を経由して接続されているインターネット、170は端末Web描画クライアントである。各AS内のルータの数は任意であり、図示されたものに限定されない。   FIG. 1 shows a schematic configuration diagram of a system according to an embodiment of the present invention. In FIG. 1, 100 is a BGP traffic fluctuation monitoring device, 101 is a BGP route receiving unit, 102 is a traffic information receiving unit, 103 is a correlation matching function unit, 110 is its own AS domain, and 111 to 115 are in its own AS domain 110. 120, the neighboring AS # 1, 121 is the router in the neighboring AS # 1 (120), 130 is the Internet connected via the neighboring AS # 1 (120), 140 is the neighboring AS # 2, 141 Router in adjacent AS # 2 (140), 150 is adjacent AS # 3, 151 is a router in adjacent AS # 3 (150), 160 is the Internet connected via adjacent AS # 3, 170 is a terminal Web drawing client. The number of routers in each AS is arbitrary and is not limited to that shown.

自ASドメイン110にBGPトラヒック変動監視装置100を配置する。BGPトラヒック変動監視装置100は、直接的にBGPルータ111〜115とBGPプロトコルにて接続し、BGP経路情報を収集するものとする。ここでは、BGP以外にBMPプロトコル(非特許文献3)を用いて経路情報を収集することでもよい。また、BGPトラヒック変動監視装置100は、自ASドメイン110内の全BGPルータと接続するのではなく、複数のルート・リフレクタとBGPにより接続し、経路を収集することでもよい。   The BGP traffic fluctuation monitoring device 100 is arranged in the own AS domain 110. The BGP traffic fluctuation monitoring apparatus 100 is directly connected to the BGP routers 111 to 115 using the BGP protocol and collects BGP route information. Here, route information may be collected using a BMP protocol (Non-Patent Document 3) in addition to BGP. Further, the BGP traffic fluctuation monitoring apparatus 100 may connect to a plurality of route reflectors by BGP instead of connecting to all BGP routers in the own AS domain 110 and collect routes.

また、BGPトラヒック変動監視装置100は、自ASドメイン110内の各ルータ,スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集する。また、自AS以外の顧客ユーザのルータ、スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集し、自ASのBGPの経路情報をもとにトラヒック集計することも可能とする。   Further, the BGP traffic fluctuation monitoring apparatus 100 collects traffic information called flow information from each router and switch in its own AS domain 110 by a traffic distribution protocol such as NetFlow, sFlow, and IPFIX. It is also possible to collect traffic information called flow information from routers and switches of customer users other than the own AS by using a traffic distribution protocol such as NetFlow, sFlow, and IPFIX, and aggregate traffic based on the BGP route information of the own AS. And

自ASドメイン110から得られるトラヒック情報は、フロー情報とよばれ、パケットのIP/TCP/UDP/ICMPのヘッダ情報が含まれる。   The traffic information obtained from the own AS domain 110 is called flow information, and includes IP / TCP / UDP / ICMP header information of the packet.

本実施例のBGPトラヒック変動監視装置は、BGPの変動状況と実際のトラヒック変動を相関させ、これに合致するものを経路変動によるトラヒック変動として検知する。BGPの経路変動は、既に受信したBGP経路情報と新たに受信したBGP経路情報を比較し、トラヒック変動に寄与するBGP属性単位に変更したか否かを判定し、分類分けを行う。NetFlow,sFlow,IPFIXによりルータより配信されるトラヒック情報(フロー情報と呼ばれる)を用いて、BGP属性単位のトラヒック量を集計する。トラヒック量の変動は、ある時間間隔に測定したトラヒック量とその前周期で測定したトラヒック量の類似度をもとに評価する。その類似度がある閾値を逸脱し、最も影響度の大きいBGP属性を抽出し、トラヒック変動が発生した時間間隔内で、実際にBGP経路変動が発生していたのか否かを評価することで、BGP経路変動によるトラヒック変動であると識別する。   The BGP traffic fluctuation monitoring apparatus of the present embodiment correlates the fluctuation situation of BGP with the actual traffic fluctuation, and detects a match that matches this as a traffic fluctuation due to a path fluctuation. The BGP route fluctuation is classified by comparing the already received BGP route information with the newly received BGP route information, determining whether or not the unit has been changed to a BGP attribute unit that contributes to the traffic fluctuation. Using the traffic information (called flow information) distributed from the router by NetFlow, sFlow, and IPFIX, the traffic amount in units of BGP attributes is aggregated. The change in traffic volume is evaluated based on the similarity between the traffic volume measured at a certain time interval and the traffic volume measured in the previous period. By extracting the BGP attribute having the greatest degree of influence that deviates from a certain threshold value, and evaluating whether or not BGP path fluctuation actually occurred within the time interval when traffic fluctuation occurred, It is identified as traffic fluctuation due to BGP path fluctuation.

BGPトラヒック変動監視装置100は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報206(図2参照)を蓄積するBGP経路受信部101と、トラヒック情報を収集し、BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データ404(図4参照)を蓄積するトラヒック情報受信部102と、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部103とで構成される。   The BGP traffic fluctuation monitoring device 100 collects BGP Update messages, manages the BGP route information, and stores BGP log information 206 (see FIG. 2) in which the BGP Update messages are classified into BGP attribute units. A traffic information receiving unit 102 that collects traffic information, aggregates traffic in BGP attribute units based on BGP route information, and accumulates the aggregated traffic total data 404 (see FIG. 4); The traffic fluctuation is detected from the similarity of the traffic aggregated data before and after, and the BGP attribute value contributing to the traffic fluctuation is compared with the BGP log information of the time interval, and the BGP path fluctuation related to the BGP attribute value has occurred. And a correlation matching function unit 103 for evaluating whether or not It is.

BGPトラヒック変動監視装置100は、BGP Updateメッセージを収集・分類し、このBGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、過去のデータとの類似度からトラヒック変動を検出し、トラヒック変動に寄与した属性条件で、当該時間間隔にBGP Updateの変更有無を評価することにより、BGP経路変動要因によるトラヒック変動を検知することができる。   The BGP traffic fluctuation monitoring device 100 collects and classifies BGP Update messages, performs traffic aggregation in BGP attribute units based on the BGP route information, detects traffic fluctuations from the similarity to past data, and detects traffic. By evaluating whether or not BGP Update is changed at the time interval under the attribute condition that contributes to the fluctuation, it is possible to detect the traffic fluctuation due to the BGP path fluctuation factor.

以下に各部の動作について記述する。   The operation of each part is described below.

[BGP経路受信部の動作概要]
図2にBGP経路受信部101の詳細構成を示す。図2において、201はBGPセッション管理部、202はルーティング管理機能部、203はBGP Update分類機能部、204は2分岐ルーティングテーブル、205は削除済み経路テーブル、206はBGPログ情報である。 [Outline of operation of BGP route receiver]
FIG. 2 shows a detailed configuration of the BGP route receiving unit 101. In FIG. 2, 201 is a BGP session management unit, 202 is a routing management function unit, 203 is a BGP Update classification function unit, 204 is a two-branch routing table, 205 is a deleted route table, and 206 is BGP log information.

BGPセッション管理部201では、各BGPルータ単位に接続をおこない経路情報を収集する。   The BGP session management unit 201 collects route information by connecting to each BGP router.

BGP Update分類機能部203では、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類し、BGPログ情報206を蓄積する。   The BGP Update classification function unit 203 compares the newly received BGP Update message with the already received BGP Update message, classifies the Update message into BGP attribute units that affect traffic fluctuation, and accumulates the BGP log information 206. .

ルーティング管理機能部202では、BGP経路情報をルーティングテーブルとして管理する。その際に、ピアリング先のアドレス単位に情報を格納する。格納する情報は、2分岐ルーティングテーブル204、削除済み経路テーブル205、がある。   The routing management function unit 202 manages BGP route information as a routing table. At that time, information is stored in units of peering destination addresses. Information to be stored includes a two-branch routing table 204 and a deleted route table 205.

2分岐ルーティングテーブル204は、一般にルーティング用に構成されるPatricia Trieが作成され、これは、ルーティング管理機能部202にて、常に最新の状態が維持され、BGPピアリングアドレス先単位に構成される。2分岐ルーティングテーブル204には、経路(ネットワークアドレス、プレフィックスレングス)の他にBGPにより受け付けた時刻とBGP属性情報も格納する。Updateメッセージを受けた場合には、常に情報が更新され、同じ情報のものは上書きされる。Withdrawメッセージを受信した際には、2分岐ルーティングテーブルから当該経路の削除も行う。   In the two-branch routing table 204, a Patria Trie generally configured for routing is created, and the routing management function unit 202 always maintains the latest state and is configured in units of BGP peering address destinations. The bifurcated routing table 204 stores the time accepted by BGP and BGP attribute information in addition to the route (network address, prefix length). When an Update message is received, the information is always updated, and the same information is overwritten. When the Withdraw message is received, the route is also deleted from the two-branch routing table.

削除済み経路テーブル205は、Withdrawメッセージを受信した際に、ルーティング管理機能部202にて当該経路とBGPにより受け付けた時刻を削除済み経路テーブル205に格納する。   When the Withdraw message is received, the deleted route table 205 stores the route and the time received by the routing management function unit 202 through BGP in the deleted route table 205.

BGPログ情報206は、BGP Update分類機能部203にて受信したBGP Updateメッセージを分類し、各経路単位にログ情報として蓄積する。BGPのUpdateの分類は、以下の表1に分類する。BGPの属性に変更があったか否かは、2分岐ルーティングテーブル204を参照し、その検索結果の情報が、受信したBGP Updateに含まれる属性と比較して評価する。複数のBGP属性が変更している場合には、複数のメッセージタイプが指定されることを可能とする。例えば、BGP Nexthop属性とPeerASの双方に変更があった場合には、複数のメッセージタイプ(PとH)が指定される。Withdraw,OriginAS,PeerAS,BGP Nexthop,AS path Changeがあるものについては、トラヒック変動に影響を及ぼす可能性がある経路変動を示す。   The BGP log information 206 classifies the BGP Update message received by the BGP Update classification function unit 203 and stores it as log information for each path. The classification of BGP Update is classified in Table 1 below. Whether or not the attribute of the BGP has been changed is evaluated by referring to the bifurcated routing table 204 and comparing the information of the search result with the attribute included in the received BGP Update. When a plurality of BGP attributes are changed, a plurality of message types can be specified. For example, when there is a change in both the BGP Next attribute and the Peer AS, a plurality of message types (P and H) are designated. For those with Withdraw, OriginAS, PeerAS, BGP Nexthop, and AS path Change, a path variation that may affect the traffic variation is shown.

Figure 2011109587
Figure 2011109587

実際の分類する際の手法を以下に示す。   The method for actual classification is shown below.

図3はBGPメッセージ分類方法を示す図である。BGP経路情報を受信すると、BGP Update分類機能部203は、301でWithdrawメッセージか?を判断し、Yesの場合はメッセージタイプ:Wを設定する。Noの場合は302で2分岐ルーティングテーブル204を参照し同一の経路情報は存在するか?を判断する。Yesの場合は303でOriginASは同一か?を判断する。Yesの場合は304に進み、Noの場合はメッセージタイプ:Oを設定した後304に進む。304でPeerASは同一か?を判断する。Yesの場合は305に進み、Noの場合はメッセージタイプ:Pを設定した後305に進む。305でBGP NextHopは同一か?を判断する。Yesの場合は306に進み、Noの場合はメッセージタイプ:Hを設定した後306に進む。306でAS Path同一か?(PeerAS,OriginAS以外)を判断する。Yesの場合は307に進み、Noの場合はメッセージタイプ:Cを設定した後307に進む。307でCommunityは同一か?を判断する。Yesの場合は308に進み、Noの場合はメッセージタイプ:Mを設定した後308に進む。308で上記の属性が同一か?を判断し、Yesであればメッセージタイプ:Dを設定する。302でNoの場合は、309で削除済み経路テーブル205を参照し、削除済み経路テーブルに存在するか?を判断する。Yesの場合はメッセージタイプ:Rを設定し、Noの場合はメッセージタイプ:Nを設定する。   FIG. 3 is a diagram showing a BGP message classification method. When the BGP route information is received, the BGP Update classification function unit 203 is a Withdraw message in 301? In the case of Yes, the message type: W is set. In the case of No, is the same route information existing in 302 by referring to the 2-branch routing table 204? Judging. If yes, 303 is OriginAS the same? Judging. If Yes, the process proceeds to 304. If No, the message type: O is set, and then the process proceeds to 304. In 304, is PeerAS the same? Judging. If Yes, the process proceeds to 305. If No, the message type: P is set and then the process proceeds to 305. Is 305 BGP NextHop the same? Judging. If Yes, the process proceeds to 306. If No, the message type: H is set, and then the process proceeds to 306. Is 306 the same AS path? (Other than PeerAS, OriginAS) is determined. If Yes, the process proceeds to 307. If No, the message type: C is set and then the process proceeds to 307. Is 307 the same community? Judging. If yes, go to 308; if no, set message type: M and then go to 308. Are the above attributes the same at 308? If yes, the message type: D is set. If No in 302, the deleted route table 205 is referred to in 309, and does it exist in the deleted route table? Judging. In the case of Yes, the message type: R is set, and in the case of No, the message type: N is set.

分類された経路情報は、各メッセージタイプの情報を含めて、以下の表2の情報要素を含めたBGPログ情報206として格納する。   The classified route information is stored as BGP log information 206 including the information elements in Table 2 below, including information on each message type.

Figure 2011109587
Figure 2011109587

[トラヒック情報受信部の動作概要]
BGP経路受信部101とは別に、トラヒック情報受信部102では、BGP属性単位のトラヒック項目を集計する。図4にトラヒックデータ情報受信部102の構成図を示す。図4において、401はフロー情報受信部、402はトラヒック集計機能部、403はピアリングIP管理テーブル、404はトラヒック集計データ、204は2分岐ルーティングテーブルである。2分岐ルーティングテーブル204はBGP経路受信部101によってBGPピアリング先IPアドレス単位に作成されたものである。 [Outline of operation of traffic information receiver]
Separately from the BGP route receiving unit 101, the traffic information receiving unit 102 totals traffic items in units of BGP attributes. FIG. 4 shows a configuration diagram of the traffic data information receiving unit 102. In FIG. 4, 401 is a flow information receiving unit, 402 is a traffic totaling function unit, 403 is a peering IP management table, 404 is traffic totaling data, and 204 is a two-branch routing table. The two-branch routing table 204 is created by the BGP path receiving unit 101 in units of BGP peering destination IP addresses.

トラヒック集計機能部402では、フロー情報受信部401が収集したトラヒック情報をもとに2分岐ルーティングテーブル204を検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計する。また、トラヒック集計機能部402では、BGPの属性単位にトラヒック集計を行う際に、2分岐ルーティングテーブル204の中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択する。   The traffic totaling function unit 402 searches the two-branch routing table 204 based on the traffic information collected by the flow information receiving unit 401, and totals traffic for each BGP attribute unit that affects traffic fluctuation. Further, when the traffic totaling function unit 402 performs traffic totaling for each BGP attribute unit, the routing as a reference destination based on the source IP address, the NextHop address, or the region information from the two-branch routing table 204 is used. Select a table.

トラヒック集計機能部402がBGP属性単位のトラヒック項目を集計する際には、送信元IPアドレス、送信先IPアドレスをもとに、2分岐ルーティングテーブル204を参照してBGP属性情報を収集する必要がある。BGPピアリング先のルータ単位に格納されている2分岐ルーティングテーブル204のどのテーブルを使用するかを決定する必要がある。予め、トラヒック情報受信部102には、BGP接続先のピアリングルータの全IFアドレス(IPアドレスと当該ネットマスク)が格納されているピアリングIP管理テーブル403を保持する。これは、SNMPにより当該ルータからIP−MIBをもとに収集することでよい。また、このピアリングIP管理テーブル403は、BGPピアリング接続先ルータの地域情報も保持しておく。これをもとにトラヒック集計機能部402では、以下の順に参照先テーブルを選定する。   When the traffic aggregation function unit 402 aggregates traffic items in units of BGP attributes, it is necessary to collect BGP attribute information by referring to the bifurcated routing table 204 based on the transmission source IP address and transmission destination IP address. is there. It is necessary to determine which table of the two-branch routing table 204 stored for each BGP peering destination router is to be used. The traffic information receiving unit 102 holds in advance a peering IP management table 403 in which all IF addresses (IP address and netmask) of the BGP connection destination peering router are stored. This may be collected based on the IP-MIB from the router by SNMP. The peering IP management table 403 also holds regional information of the BGP peering connection destination router. Based on this, the traffic totaling function unit 402 selects the reference table in the following order.

1)NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、BGP接続先のピアリングルータがもつ全IFのIPアドレスに含まれていた場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。   1) When the source IP address distributed by NetFlow, IPFIX, and sFlow is included in the IP addresses of all IFs of the BGP connection destination peering router, the bifurcated routing table of the peering router is used. .

2)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、BGP接続先のピアリングルータがもつ全IFのネットワークアドレスに属する場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。   2) Other than the above, if the source IP address distributed by NetFlow, IPFIX, and sFlow belongs to the network address of all IFs of the peering router to which BGP is connected, use the bifurcated routing table of the peering router To do.

3)上記以外で、フロー情報内に含まれるNextHopアドレスが、BGP接続先のピアリングルータがもつ全IFのIPアドレスに含まれていた場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。   3) Other than the above, when the NextHop address included in the flow information is included in the IP addresses of all IFs of the peering router to which the BGP is connected, the two-branch routing table of the peering router is used.

4)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスから地域情報を参照し、同一地域に属するピアリングルータの2分岐ルーティングテーブルを使用する。   4) Other than the above, the regional information is referred to from the source IP address distributed by NetFlow, IPFIX, and sFlow, and the two-branch routing table of the peering router belonging to the same region is used.

トラヒック集計機能部402では、トラヒック集計の際に、受信したトラヒック情報に含まれる送信元IPアドレス、送信先IPアドレスをもとに、BGP経路受信部101で構成した2分岐ルーティングテーブル204を参照してBGP経路情報を収集する。テーブル参照の際には、アドレスレングスが最長一致(ロンゲストマッチ)となるように、検索を行う。得られたBGP経路情報をもとにBGP属性単位で、下記のトラヒック項目を集計する。   The traffic counting function unit 402 refers to the two-branch routing table 204 configured by the BGP route receiving unit 101 based on the transmission source IP address and transmission destination IP address included in the received traffic information at the time of traffic counting. To collect BGP route information. When referring to the table, a search is performed so that the address length is the longest match (longest match). Based on the obtained BGP route information, the following traffic items are tabulated in units of BGP attributes.

− Origin AS
− PeerAS
− BGP Nexthopアドレス
− AS Path
− AS Link(AS Pathに含まれる任意に隣接するASの対)
− Prefix
− Community -Origin AS
-PeerAS
-BGP Next address-AS Path
-AS Link (a pair of arbitrarily adjacent ASs included in the AS Path)
-Prefix
-Community

上記のトラヒック項目は、全トラヒックについて集計するのではなく、ある単位時間あたりのトラヒック流量(バイト数,パケット数、フロー数)をもとに上位N位までの項目のみを集計することでもよい。上記のトラヒック項目は、経路変動がない定常的な状態であれば、日変動によるトラヒックの変動を除けば、上位N位のトラヒックの類似性は維持される。OriginASは、最終的な基点ASに向けたトラヒック量を表すものである、PeerASは、隣接するASとのトラヒック量を表し、AS Path,AS Linkについては、インターネットに自AS発・自AS着のトラヒックがどのようなASを経由したかを表す。また、Communityは、非特許文献1によると一般的に地域単位で、Community番号をアサインしている場合が多く、Community単位のトラヒック量は、地域単位のトラヒック量を表す。また、BGP Nexthopアドレスは、自AS領域の出口ルータを指すため、出口ルータ向きのトラヒック量を示す。   The above traffic items may not be aggregated for all traffic, but only the items up to the top N may be aggregated based on the traffic flow rate (number of bytes, number of packets, number of flows) per unit time. If the above traffic items are in a steady state with no path fluctuation, the similarity of the top N traffic is maintained except for traffic fluctuation due to daily fluctuation. OriginAS represents the amount of traffic toward the final base point AS, PeerAS represents the amount of traffic with an adjacent AS, and AS Path and AS Link have their own AS / AS arrival on the Internet. This indicates what AS the traffic has passed through. In addition, according to Non-Patent Document 1, Community is generally assigned a community number in many units, and the traffic amount in community unit represents the traffic amount in region unit. In addition, the BGP Next address indicates the amount of traffic for the egress router because it indicates the egress router in the self AS area.

これらのトラヒック量は、ルータの収容能力や物理回線などの設備設計をする上では、重要な情報であり、BGP経路の変動により、急激なトラヒック変動が発生した場合には、設備設計の再検討が必要となるばかりではなく、ある回線・ルータへのトラヒックが逼迫し、サービスに支障をきたすこともある。そのため、これらのトラヒック量を集計することが必要である。   These traffic volumes are important information for designing facilities such as router capacity and physical lines. If sudden traffic fluctuations occur due to BGP route fluctuations, reexamine the equipment design. Not only is necessary, but traffic to a certain line / router may become tight, which may hinder service. Therefore, it is necessary to aggregate these traffic volumes.

[相関性照合機能部の動作概要]
相関性照合機能部103では、時間的に前後するトラヒック集計データ404の類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報206を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する。 [Overview of correlation collation function operation]
The correlation matching function unit 103 detects traffic fluctuation from the similarity of the traffic summary data 404 that fluctuates in time, compares the attribute value of BGP that contributed to the traffic fluctuation, and the BGP log information 206 of the time interval, It is evaluated whether or not a BGP route fluctuation related to the BGP attribute value has occurred.

相関性照合機能部103では、得られたトラヒック集計データ404とBGPログ情報206から相関性を評価する。トラヒック集計データの変動は、以下の手順で、前周期との類似度をもとに評価する。特許文献1を参考とする。   The correlation matching function unit 103 evaluates the correlation from the obtained traffic total data 404 and the BGP log information 206. The fluctuation of the traffic total data is evaluated based on the similarity with the previous cycle by the following procedure. Reference is made to Patent Document 1.

・周期毎にトラヒック量上位のキー属性をもとにトラヒック変動(増減)を検出する。   ・ Traffic fluctuation (increase / decrease) is detected based on the key attribute of the higher traffic volume for each cycle.

・ある特定のキー属性に対して、ランキングの順位変動が大きい場合にアラートとして検出する。その際に、トラヒック変動要因となりうるキー属性もあわせてアラートとする。   ・ Detected as an alert when the ranking change is large for a specific key attribute. At that time, key attributes that may cause traffic fluctuations are also used as alerts.

・トラヒック分析を行うキー属性は、集計済みのトラヒック項目に対して実施する。   -The key attribute for performing traffic analysis is applied to the traffic items that have been aggregated.

・トラヒック変動の検出は、以下の検出式に従う。
− OriginAS(例)のTop Nの順位変動を検知すると仮定する。
− 上位N位のOriginASのトラヒック量(b/s)を抽出。
− ある時間(t)のi位のOriginASをf(i,t)とする。
− OriginASのある時間(t)のトラヒック量をc(f(i,t),t)とする。
− ある時間(t)の上位N位までのトラヒック量データ列を抽出
− C(t)={c(f(1,t),t),c(f(2,t),t),…,c(f(N,t),t)}(i=1,2,…,N)
− 1スロット前の時間(t−1)のf(i,t)をもとにしたトラヒック量データ列を抽出
− C(t−1)={c(f(1,t),t−1),c(f(2,t),t−1),…,c(f(N,t),t−1)}(i=1,2,…,N)
− その際にランク外のトラヒック量は、0とみなす。
− 配列{(C(t),C(t−1))}(i=1,2,…,N)の相関係数を求める。
− 相関係数r(t,t−1)とすると以下のようになる。 ・ Traffic fluctuation is detected according to the following detection formula.
-Assume that a Top N ranking change in Origin AS (example) is detected.
-Extract traffic amount (b / s) of Origin AS of Top N.
-Let OriginAS at the i-th position for a certain time (t) be f (i, t).
− Let c (f (i, t), t) be the traffic volume of Origin AS during a certain time (t).
-Extracting the traffic volume data string up to the top N for a certain time (t)-C (t) i = {c (f (1, t), t), c (f (2, t), t), ..., c (f (N, t), t)} (i = 1, 2,..., N)
− Extract traffic volume data sequence based on f (i, t) at time (t−1) one slot before − C (t−1) i = {c (f (1, t), t− 1), c (f (2, t), t-1), ..., c (f (N, t), t-1)} (i = 1, 2, ..., N)
-In this case, the amount of traffic outside the rank is considered to be zero.
The correlation coefficients of the array {(C (t) i , C (t−1) i )} (i = 1, 2,..., N) are determined.
-The correlation coefficient r (t, t-1) is as follows.

Figure 2011109587
Figure 2011109587

− cavg(t)は、ある時間(t)の上位N位のトラヒック量の平均。 C avg (t) is the average of the top N traffic volumes for a certain time (t).

Figure 2011109587
Figure 2011109587

Figure 2011109587
Figure 2011109587

− cavg(t−1)は、時間(t)の上位N位のOriginASをもとにした時間(t−1)のトラヒック量の平均。
− 相関係数は、1から−1の値をとり、より1に近い場合は、順位変動がないと判断。
− ある閾値(M:例えば0.5)を下回ったときに変動があったとして、infoレベルの表示を実施。 -C avg (t-1) is the average of the traffic volume of time (t-1) based on Origin AS of the top N rank of time (t).
-The correlation coefficient takes a value from 1 to -1, and if it is closer to 1, it is determined that there is no change in rank.
-The info level is displayed on the assumption that there is a change when the value falls below a certain threshold (M: for example 0.5).

・変動原因と推定されるf(i,t)(例:OriginAS)とトラヒック量c(f(i,t),t)について検出する。変動原因の探索は、それぞれのf(i,t)のデータを省いて相関係数をもとめ、閾値より大きいものを抽出する。以下に示す。
− ある順位(k)のデータを抜いたデータ列を作成
− C(t)={c(f(1,t),t),c(f(2,t),t),…,c(f(k,t),t),…,c(f(N,t),t)}
− これにより得られた相関係数をr(k)(t,t−1)とする。 Detect f (i, t) (ex. OriginAS) and traffic c (f (i, t), t) estimated to be the cause of fluctuation. In the search for the cause of fluctuation, the correlation coefficient is obtained by omitting the data of each f (i, t), and the one larger than the threshold is extracted. It is shown below.
− Create a data string from which data of a certain rank (k) is removed − C (t) i = {c (f (1, t), t), c (f (2, t), t), ..., c (F (k, t), t), ..., c (f (N, t), t)}
-Let the correlation coefficient thus obtained be r (k) (t, t-1).

・予め指定されるパラメータは以下の通り。
− N:順位変動検出機能にて有効とする上位N位までのトラヒック・ランキング情報。(キー属性毎に指定可能とする。)
− M:相関係数の閾値(1〜0),閾値Mより小さい場合にアラート対象とする。(閾値は、キー属性種別毎に指定可能とする。) ・ The parameters specified in advance are as follows.
-N: Traffic ranking information up to the top N that is enabled by the rank fluctuation detection function. (It can be specified for each key attribute.)
-M: Correlation coefficient threshold (1 to 0), alert target when smaller than threshold M. (The threshold value can be specified for each key attribute type.)

以下に、トラヒック変動が発生した場合の事象イメージを示す。   The following is an event image when traffic fluctuation occurs.

Figure 2011109587
Figure 2011109587

相関性照合機能部103は、得られたトラヒック変動が発生したトラヒック項目と発生要因となったBGP属性値をもとに、実際に経路変動が発生しているかを判定する。判定手法は、BGP属性単位に以下のように行う。   Correlation checking function section 103 determines whether or not path fluctuation has actually occurred based on the obtained traffic item in which traffic fluctuation has occurred and the BGP attribute value that has caused the fluctuation. The determination method is performed for each BGP attribute as follows.

・前周期のトラヒック量から、変動に起因したBGP属性値のトラヒック項目が、増加したか減少したかを評価し、BGPログ情報206と比較評価を行う。   -From the traffic volume of the previous cycle, evaluate whether the traffic attribute item of the BGP attribute value caused by the fluctuation has increased or decreased, and perform comparative evaluation with the BGP log information 206.

・変動に起因したBGP属性値のトラヒック項目が増加した場合は、トラヒック変動が発生した期間のBGPログ情報206と比較評価を行う。   When the traffic attribute of the BGP attribute value caused by the fluctuation increases, the evaluation is performed with the BGP log information 206 during the period when the traffic fluctuation occurs.

図5は、トラヒック項目が増加した場合の比較評価方法を示す図ある。   FIG. 5 is a diagram illustrating a comparative evaluation method when traffic items increase.

501で、当該BGP属性値を含む、BGPメッセージタイプ=New(N),Renew(R)のBGPログ情報が発生しているか?の判断を行う。Yesの場合はBGP経路情報によるトラヒック変動と判断する。Noの場合は502に進み、トラヒック項目により分類する。503で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=OriginAS Change(O)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。504で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=PeerAS Change(P)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。505で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=BGP NextHop Change(H)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。506で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=AS Path Change(C)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。507で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=Community(M)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。   Is the BGP log information of BGP message type = New (N), Renew (R) including the BGP attribute value generated in 501? Make a decision. In the case of Yes, it is determined that traffic fluctuation is caused by BGP route information. In the case of No, the process proceeds to 502 and is classified by the traffic item. In step 503, is BGP log information of BGP message type = Origin AS Change (O) including the BGP attribute value in the new information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change. In step 504, is BGP log information of BGP message type = PeerAS Change (P) including the BGP attribute value in the new information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change. In step 505, is BGP log information of BGP message type = BGP NextHop Change (H) included in the new information including the BGP attribute value? In the case of Yes, it is determined that the traffic is changed due to the BGP route change. In 506, is BGP log information of BGP message type = AS Path Change (C) including the BGP attribute value in the new information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change. In step 507, is BGP log information of BGP message type = Community (M) that includes the BGP attribute value in the new information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change.

・変動に起因したBGP属性値のトラヒック項目が減少した場合は、トラヒック変動が発生した期間のBGPログ情報と比較評価を行う。   When the traffic item of the BGP attribute value due to the fluctuation decreases, the comparison with the BGP log information in the period when the traffic fluctuation occurs is performed.

図6は、トラヒック項目が減少した場合の比較評価方法を示す図である。   FIG. 6 is a diagram showing a comparative evaluation method when traffic items are decreased.

601で、当該BGP属性値を含む、BGPメッセージタイプ=Withdraw(W)のBGPログ情報が発生しているか?の判断を行う。Yesの場合はBGP経路情報によるトラヒック変動と判断する。Noの場合は602に進み、トラヒック項目により分類する。603で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=OriginAS Change(O)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。604で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=PeerAS Change(P)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。605で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=BGP NextHop Change(H)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。606で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=AS Path Change(C)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。607で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=Community(M)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。   In 601, is BGP log information of BGP message type = Withdraw (W) including the BGP attribute value generated? Make a decision. In the case of Yes, it is determined that traffic fluctuation is caused by BGP route information. In the case of No, the process proceeds to 602, and classification is performed according to traffic items. In step 603, is BGP log information of BGP message type = Origin AS Change (O) including the BGP attribute value in the old information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change. In step 604, is BGP log information of BGP message type = PeerAS Change (P) including the BGP attribute value in the old information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change. In 605, is BGP log information of BGP message type = BGP NextHop Change (H) including the BGP attribute value in the old information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change. In 606, is BGP log information of BGP message type = AS Path Change (C) including the BGP attribute value in the old information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change. In step 607, is BGP log information of BGP message type = Community (M) that includes the BGP attribute value in the old information generated? In the case of Yes, it is determined that the traffic is changed due to the BGP route change.

また、これらの結果を、実際の当該BGP属性値のトラヒック項目とその情報を含むBGPメッセージタイプ毎のBGPログ情報206を時系列に表示することも可能とする。トラヒック量とBGPメッセージタイプ別の発生数を同じ時間軸で表示可能とし、特定のBGP属性値で絞りこみを行って実際に得られた結果から、BGP変動によるトラヒック変動の相関性を確認することも可能とする。図7にトラヒック量の時系列変化とBGPメッセージタイプ別の発生数の時系列変化を同じ時間軸で表示した表示例を示す。このような表示は、BGPトラヒック変動監視装置100が端末Web描画クライアント170を介して行ってもよいし、他の方法で表示してもよい。   Moreover, it is also possible to display these results in time series as the actual traffic item of the BGP attribute value and the BGP log information 206 for each BGP message type including the information. The traffic volume and the number of occurrences by BGP message type can be displayed on the same time axis, and the correlation between traffic fluctuations due to BGP fluctuations is confirmed from the results actually obtained by narrowing down with specific BGP attribute values. Also possible. FIG. 7 shows a display example in which the time series change of the traffic volume and the time series change of the number of occurrences for each BGP message type are displayed on the same time axis. Such a display may be performed by the BGP traffic fluctuation monitoring apparatus 100 via the terminal Web drawing client 170 or may be displayed by another method.

以上説明したBGPトラヒック変動監視装置は、コンピュータとプログラムで構成できる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。   The BGP traffic fluctuation monitoring apparatus described above can be composed of a computer and a program. Moreover, you may comprise a part or all of the program with a hardware.

以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。   As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.

100…BGPトラヒック変動監視装置、101…BGP経路受信部、102…トラヒック情報受信部、103…相関性照合機能部、110…自ASドメイン、111〜115…自ASドメイン110内のルータ、120…隣接AS#1、121…隣接AS#1(120)内のルータ、130…隣接AS#1(120)を経由して接続されているインターネット、140…隣接AS#2、141…隣接AS#2(140)内のルータ、150…隣接AS#3、151…隣接AS#3(150)内のルータ、160…隣接AS#3を経由して接続されているインターネット、170…端末Web描画クライアント、201…BGPセッション管理部、202…ルーティング管理機能部、203…BGP Update分類機能部、204…2分岐ルーティングテーブル、205…削除済み経路テーブル、206…はBGPログ情報、401…フロー情報受信部、402…トラヒック集計機能部、403…ピアリングIP管理テーブル、404…トラヒック集計データ DESCRIPTION OF SYMBOLS 100 ... BGP traffic fluctuation | variation monitoring apparatus, 101 ... BGP path | route receiving part, 102 ... Traffic information receiving part, 103 ... Correlation verification function part, 110 ... Own AS domain, 111-115 ... Router in own AS domain 110, 120 ... Adjacent AS # 1, 121 ... router in adjacent AS # 1 (120), 130 ... Internet connected via adjacent AS # 1 (120), 140 ... adjacent AS # 2, 141 ... adjacent AS # 2 Router in (140), 150 ... Adjacent AS # 3, 151 ... Router in adjacent AS # 3 (150), 160 ... Internet connected via adjacent AS # 3, 170 ... Terminal Web rendering client, 201 ... BGP session management unit, 202 ... routing management function unit, 203 ... BGP Update classification function unit, 204 ... 2 minutes Routing table 205 ... deleted route table 206 ... the BGP log information 401 ... flow information receiving unit, 402 ... traffic aggregator unit, 403 ... peering IP management table, 404 ... traffic aggregated data

Claims (7)

BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視装置であって、
BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信部と、
トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、
時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部と、
を備えることを特徴とするBGPトラヒック変動監視装置。 A BGP traffic fluctuation monitoring device for detecting traffic fluctuation due to a BGP path fluctuation factor,
A BGP route receiver that collects BGP Update messages, manages the BGP route information, and accumulates BGP log information in which BGP Update messages are classified into BGP attribute units;
A traffic information receiving unit that collects traffic information, performs traffic aggregation in BGP attribute units based on the BGP route information, and accumulates the aggregated traffic aggregation data;
The traffic fluctuation is detected from the similarity of the traffic aggregated data before and after the time, the BGP attribute value contributing to the traffic fluctuation is compared with the BGP log information of the time interval, and the BGP path fluctuation related to the BGP attribute value is detected. A correlation matching function unit that evaluates whether or not it occurred,
A BGP traffic fluctuation monitoring apparatus comprising: 請求項1に記載のBGPトラヒック変動監視装置において、
前記BGP経路受信部は、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類するBGP Update分類機能部を備えることを特徴とするBGPトラヒック変動監視装置。 The BGP traffic fluctuation monitoring apparatus according to claim 1,
The BGP route receiving unit includes a BGP Update classification function unit that compares a newly received BGP Update message with a BGP Update message that has already been received, and classifies the Update message into BGP attribute units that affect traffic fluctuations. A BGP traffic fluctuation monitoring device. 請求項1に記載のBGPトラヒック変動監視装置において、
前記BGP経路受信部は、BGP経路情報をルーティングテーブルとして管理するルーティング管理機能部を備え、
前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計するトラヒック集計機能部を備える
ことを特徴とするBGPトラヒック変動監視装置。 The BGP traffic fluctuation monitoring apparatus according to claim 1,
The BGP route receiving unit includes a routing management function unit that manages BGP route information as a routing table,
The traffic information receiving unit includes a traffic totaling function unit that searches the routing table based on the collected traffic information and totals traffic in BGP attribute units that affect traffic fluctuations. Fluctuation monitoring device. 請求項3に記載のBGPトラヒック変動監視装置において、
前記トラヒック集計機能部は、BGPの属性単位にトラヒック集計を行う際に、前記ルーティングテーブルの中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択することを特徴とするBGPトラヒック変動監視装置。 In the BGP traffic fluctuation monitoring device according to claim 3,
The traffic aggregation function unit selects a routing table as a reference destination from the routing table based on a source IP address, a NextHop address, or regional information when performing traffic aggregation in BGP attribute units. A BGP traffic fluctuation monitoring apparatus characterized by that. 請求項1に記載のBGPトラヒック変動監視装置において、
前記BGPトラヒック変動監視装置は、BGPの属性単位のトラヒック量の時系列変化と当該BGP属性が変化したことを示すBGP Updateメッセージの発生量の時系列変化を表示することを特徴とするBGPトラヒック変動監視装置。 The BGP traffic fluctuation monitoring apparatus according to claim 1,
The BGP traffic fluctuation monitoring apparatus displays a BGP traffic fluctuation characterized by displaying a time-series change in traffic amount in BGP attribute units and a time-series change in the amount of BGP Update messages indicating that the BGP attribute has changed. Monitoring device. BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視装置におけるBGPトラヒック変動監視方法であって、
BGPトラヒック変動監視装置は、BGP経路受信部とトラヒック情報受信部と相関性照合機能部を備え、
前記BGP経路受信部が、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積し、
前記トラヒック情報受信部が、トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積し、
前記相関性照合機能部が、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する、
ことを特徴とするBGPトラヒック変動監視方法。 A BGP traffic fluctuation monitoring method in a BGP traffic fluctuation monitoring device for detecting traffic fluctuation due to a BGP path fluctuation factor,
The BGP traffic fluctuation monitoring device includes a BGP route receiving unit, a traffic information receiving unit, and a correlation checking function unit,
The BGP route receiving unit collects a BGP Update message, manages the BGP route information, and stores BGP log information obtained by classifying the BGP Update message into BGP attribute units.
The traffic information receiving unit collects traffic information, performs traffic aggregation in BGP attribute units based on the BGP route information, accumulates aggregated traffic aggregation data,
The correlation matching function unit detects traffic fluctuations from the similarity of traffic aggregated data that fluctuates in time, compares the attribute values of BGP that contributed to traffic fluctuations and the BGP log information of the time interval, and Evaluate whether or not BGP route fluctuation has occurred regarding the attribute value of
A BGP traffic fluctuation monitoring method characterized by the above. BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視システムであって、
BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信手段と、
トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信手段と、
時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能手段と、
を備えることを特徴とするBGPトラヒック変動監視システム。 A BGP traffic fluctuation monitoring system for detecting traffic fluctuation due to a BGP path fluctuation factor,
BGP route receiving means for collecting BGP Update messages, managing the BGP route information, and storing BGP log information in which BGP Update messages are classified into BGP attribute units;
Traffic information receiving means for collecting traffic information, performing traffic aggregation in BGP attribute units based on the BGP route information, and storing the aggregated traffic aggregation data;
The traffic fluctuation is detected from the similarity of the traffic aggregated data before and after the time, the BGP attribute value contributing to the traffic fluctuation is compared with the BGP log information of the time interval, and the BGP path fluctuation related to the BGP attribute value is detected. Correlation checking function means for evaluating whether or not it occurred,
A BGP traffic fluctuation monitoring system comprising:
JP2009265130A 2009-11-20 2009-11-20 BGP traffic fluctuation monitoring apparatus, method, and system Active JP4860745B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009265130A JP4860745B2 (en) 2009-11-20 2009-11-20 BGP traffic fluctuation monitoring apparatus, method, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009265130A JP4860745B2 (en) 2009-11-20 2009-11-20 BGP traffic fluctuation monitoring apparatus, method, and system

Publications (2)

Publication Number Publication Date
JP2011109587A true JP2011109587A (en) 2011-06-02
JP4860745B2 JP4860745B2 (en) 2012-01-25

Family

ID=44232556

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009265130A Active JP4860745B2 (en) 2009-11-20 2009-11-20 BGP traffic fluctuation monitoring apparatus, method, and system

Country Status (1)

Country Link
JP (1) JP4860745B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011172105A (en) * 2010-02-19 2011-09-01 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and system for monitoring traffic fluctuation
JP2014187521A (en) * 2013-03-22 2014-10-02 Nec Corp Traffic monitor system
JP2019531665A (en) * 2016-10-17 2019-10-31 新華三技術有限公司New H3C Technologies Co., Ltd. Sending a BGP message
JP2020057858A (en) * 2018-09-28 2020-04-09 エヌ・ティ・ティ・コミュニケーションズ株式会社 Abnormality detection device, abnormality detection method, and abnormality detection program
CN113114525A (en) * 2016-12-01 2021-07-13 华为技术有限公司 Routing detection method and network equipment
CN114143085A (en) * 2021-11-30 2022-03-04 中国人民解放军国防科技大学 BGP community attribute abnormity detection method and system based on self-encoder

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106713162B (en) * 2015-11-17 2020-01-21 中国移动通信集团公司 Method and device for counting BGP community attributes or expanding community attribute flow values

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007243489A (en) * 2006-03-07 2007-09-20 Kddi Corp Route variation determining device and computer program
JP2008219685A (en) * 2007-03-07 2008-09-18 Nippon Telegr & Teleph Corp <Ntt> Traffic monitoring method based on route information and mib information
JP2009044501A (en) * 2007-08-09 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> Traffic amount change factor specifying method, system, program, and recording medium

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007243489A (en) * 2006-03-07 2007-09-20 Kddi Corp Route variation determining device and computer program
JP2008219685A (en) * 2007-03-07 2008-09-18 Nippon Telegr & Teleph Corp <Ntt> Traffic monitoring method based on route information and mib information
JP2009044501A (en) * 2007-08-09 2009-02-26 Nippon Telegr & Teleph Corp <Ntt> Traffic amount change factor specifying method, system, program, and recording medium

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011172105A (en) * 2010-02-19 2011-09-01 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and system for monitoring traffic fluctuation
JP2014187521A (en) * 2013-03-22 2014-10-02 Nec Corp Traffic monitor system
JP2019531665A (en) * 2016-10-17 2019-10-31 新華三技術有限公司New H3C Technologies Co., Ltd. Sending a BGP message
US10862792B2 (en) 2016-10-17 2020-12-08 New H3C Technologies Co., Ltd. Transmitting BGP message
CN113114525A (en) * 2016-12-01 2021-07-13 华为技术有限公司 Routing detection method and network equipment
JP2020057858A (en) * 2018-09-28 2020-04-09 エヌ・ティ・ティ・コミュニケーションズ株式会社 Abnormality detection device, abnormality detection method, and abnormality detection program
JP7084271B2 (en) 2018-09-28 2022-06-14 エヌ・ティ・ティ・コミュニケーションズ株式会社 Anomaly detection device, anomaly detection method and anomaly detection program
CN114143085A (en) * 2021-11-30 2022-03-04 中国人民解放军国防科技大学 BGP community attribute abnormity detection method and system based on self-encoder
CN114143085B (en) * 2021-11-30 2023-08-01 中国人民解放军国防科技大学 BGP community attribute anomaly detection method and system based on self-encoder

Also Published As

Publication number Publication date
JP4860745B2 (en) 2012-01-25

Similar Documents

Publication Publication Date Title
JP4860745B2 (en) BGP traffic fluctuation monitoring apparatus, method, and system
US11818025B2 (en) Methods, systems, and apparatus to generate information transmission performance alerts
EP2081321A2 (en) Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor
Wu et al. Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network
JP4667437B2 (en) Abnormal traffic detection apparatus, abnormal traffic detection method, and abnormal traffic detection program
JP4774357B2 (en) Statistical information collection system and statistical information collection device
JP5120784B2 (en) Method for estimating quality degradation points on a network in a communication network system
JP5207082B2 (en) Computer system and computer system monitoring method
JP4764810B2 (en) Abnormal traffic monitoring device, entry management device, and network system
US20030120769A1 (en) Method and system for determining autonomous system transit volumes
US8270305B2 (en) Node device, node system, and method and program for changing statistic information management table used for the node device
CN101931628B (en) Method and device for verifying intra-domain source addresses
JP4412031B2 (en) Network monitoring system and method, and program
KR20110112459A (en) Network cost analysis
JP5283192B2 (en) Method, node device, and program for detecting faulty link in real time based on routing protocol
Luckie Spurious routes in public bgp data
CN110995606B (en) Congestion analysis method and device
JP4244355B2 (en) Passed packet monitoring apparatus and method
JP4871775B2 (en) Statistical information collection device
KR101469283B1 (en) The enterprise network analysis system and its method
KR100596389B1 (en) Apparatus and method for managing multi-level traffic flow
JP4955083B2 (en) Traffic fluctuation monitoring device, traffic fluctuation monitoring method, and traffic fluctuation monitoring system
JP5829183B2 (en) Method, node device, and program for detecting faulty node device or faulted link in real time based on routing protocol
Kobayashi et al. Traffic monitoring system based on correlation between BGP messages and traffic data
Ogishi et al. Empirical study on inferring BGP routing instability and its location based on single point observation

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111101

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111102

R150 Certificate of patent or registration of utility model

Ref document number: 4860745

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141111

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350