JP2018170639A - 通信解析装置、通信解析方法およびプログラム - Google Patents
通信解析装置、通信解析方法およびプログラム Download PDFInfo
- Publication number
- JP2018170639A JP2018170639A JP2017066717A JP2017066717A JP2018170639A JP 2018170639 A JP2018170639 A JP 2018170639A JP 2017066717 A JP2017066717 A JP 2017066717A JP 2017066717 A JP2017066717 A JP 2017066717A JP 2018170639 A JP2018170639 A JP 2018170639A
- Authority
- JP
- Japan
- Prior art keywords
- flow
- communication
- flow information
- information
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 127
- 238000004458 analytical method Methods 0.000 title claims abstract description 60
- 230000005540 biological transmission Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 3
- 230000002776 aggregation Effects 0.000 abstract description 6
- 238000004220 aggregation Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 11
- 238000000034 method Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 230000015654 memory Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】仮想マシン間の通信フローの経路を明らかにすることを可能とする。【解決手段】本発明の一実施形態に係る通信解析装置は、複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信する受信部と、複数のフロー情報の中から、仮想マシン間の同一の通信フローを表すフロー情報の集合を特定する識別部と、フロー情報の集合およびネットワークの接続情報に基づいて、通信フローの経路を特定する解析部とを備える。【選択図】図1
Description
本発明は、通信解析装置、通信解析方法およびプログラムに関する。
昨今、クラウドシステムをマルチテナント構成で運用することが増えてきている。IaaS(Infrastructure as a Service)型のクラウドシステムの場合、クラウドシステムの事業者は、仮想マシンを動作させるホストマシンを用意する。そして、ホストマシン上に複数の仮想マシンを用意し、仮想マシンを複数の利用者に貸し出すなどしてマルチテナント構成を実現している。
1つのテナントは複数のホストマシン上に渡って構成されることもある。すなわち、テナント内の複数の仮想マシンが、複数のホストマシン上に分散配置されることもある。この場合、対障害性を確保するためなどの目的で、1つの仮想マシンが複数のホストマシン間で自動的に移動する場合がある。このような技術には、例えばライブマイグレーションと呼ばれる既存技術がある。
テナントが複数のホストマシン上に渡って構成される場合、そのホストマシン群は、物理的に近い位置にいるとは限らない。例えばVxLAN(Virtual eXtensible Local Area Network)などのネットワークトンネリング技術により仮想ネットワークを構築し、その仮想ネットワーク上にテナントを構成することで、複数のホストマシンが物理的に離れた位置にあっても、テナント内は1つのネットワークとして通信が可能となる。
物理的に離れた位置にある仮想マシン間の通信は、一般にはWAN(Wide Area Network)を経由するため、LAN(Local Area Network)内の通信よりも帯域が少なく往復時間もかかることが多く、一般的には遅くなる。そのため、同一テナント内であっても、仮想マシンが稼働するホストマシンの物理的距離が遠い場合は、仮想マシン間通信の速度が十分出ない場合も考えられる。
このような状況に対し、仮想マシン間の通信状況、例えば、仮想マシン間の通信がどのホストマシンで実行されているのか、その通信量はどのくらいかといった情報が可視化されると、運用における最適化計画が立てやすく、都合がよい。
特許文献1には、NetFlow(非特許文献1)などのフロー集計の標準プロトコルを利用して、仮想マシン間の通信がどのホストマシンで実行されているのか、その通信量はどのくらいかといった情報を収集、分析する技術が開示されている。
Cisco Systems、"Cisco Systems NetFlow Services Export Version 9"、IETF、[平成29年3月13日検索]、インターネット<http://www.ietf.org/rfc/rfc3954.txt>
しかしながら、特許文献1においては、仮想マシン間の通信量を可視化することができるが、通信フローの経路を解析して提示することはできない。同一ホストマシン内の仮想マシン間の通信が他のホストマシンに配置された仮想ルータを経由している場合、通信のエンドポイントのみから通信フローの経路を直観的に判断することは難しい。
本発明は上述の課題に鑑み、仮想マシン間の通信フローの経路を明らかにすることが可能な通信解析装置、通信解析方法およびプログラムを提供することを目的とする。
本発明の一実施形態に係る通信解析装置は、複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信する受信部と、前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定する識別部と、前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定する解析部とを備える。
本発明の一実施形態に係る通信解析方法は、複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信するステップと、前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定するステップと、前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定するステップとを備える。
本発明の一実施形態に係るプログラムは、複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信するステップと、前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定するステップと、前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定するステップとをコンピュータに実行させる。
本発明によれば、仮想マシン間の通信フローの経路を明らかにすることが可能となる。
以下、図面を参照して、本発明の実施形態を説明する。
[第1実施形態]
図1は、本実施形態に係る通信解析システムのブロック図である。通信解析システムは、いわゆるクラウドシステムであって、ホスト装置10、ホスト装置20、スイッチ30、フローコレクタ40を備えている。ホスト装置10、20は、物理的なサーバコンピュータであって、仮想的なネットワークを構築することができる。なお、図1には2台のホスト装置10、20が示されているが、通信解析システムは3台以上のホスト装置を備え得る。
[第1実施形態]
図1は、本実施形態に係る通信解析システムのブロック図である。通信解析システムは、いわゆるクラウドシステムであって、ホスト装置10、ホスト装置20、スイッチ30、フローコレクタ40を備えている。ホスト装置10、20は、物理的なサーバコンピュータであって、仮想的なネットワークを構築することができる。なお、図1には2台のホスト装置10、20が示されているが、通信解析システムは3台以上のホスト装置を備え得る。
ホスト装置10内には、仮想マシン11、仮想マシン12、仮想スイッチ13が配置されている。仮想マシン11、仮想マシン12、仮想スイッチ13は、ホスト装置10のプロセッサが実行するソフトウェアによって仮想的に実現されている。ホスト装置20内には、仮想ルータ21、仮想スイッチ23が配置されている。仮想ルータ21、仮想スイッチ23は、ホスト装置20のプロセッサが実行するソフトウェアによって仮想的に実現されている。ホスト装置20内においても、ホスト装置10内と同様に、1または複数の仮想マシンが配置され得る。
仮想マシン11、12は、サーバコンピュータであって、クラウドシステムの利用者に様々なサービスを提供することができる。仮想スイッチ13は、インターフェース(以下IF)101、IF102、IF103を有している。仮想スイッチ13には、IF101、102を介してそれぞれ仮想マシン11、12が接続されている。同様に、仮想スイッチ23は、IF201、IF202を有している。仮想スイッチ23には、IF201を介して仮想ルータ21が接続されている。なお、仮想スイッチ13、23が有するIFの数は特に限定されない。
スイッチ30は、物理的な接続装置であって、ホスト装置10、ホスト装置20、フローコレクタ40を接続し、これらの装置間のデータ転送を行う。スイッチ30は、IF301、IF302を有している。IF301は仮想スイッチ13のIF103と接続され、IF302は仮想スイッチ23のIF202と接続されている。スイッチ30は、受信したデータ(パケット)の宛先を判断し、宛先のネットワーク装置に対してデータを送信するデータ中継機能を有している。
仮想マシン11、12は、仮想スイッチ13を介して互いに通信を行うことができる。仮想マシン11、12間の通信は、仮想ルータ21を経由して行われ得る。例えば、仮想マシン11から送信されたデータは、仮想スイッチ13、スイッチ30、仮想スイッチ23を通って、仮想ルータ21により受信され、仮想ルータ21から仮想スイッチ23、スイッチ30、仮想スイッチ13を介して仮想マシン12に送信され得る。
フローコレクタ40は、通信解析装置であって、仮想スイッチ13、23、仮想ルータ21、スイッチ30を通過する通信フローについてのフロー情報を収集し、解析することができる。仮想スイッチ13、23、仮想ルータ21、スイッチ30のそれぞれは、フロー情報を収集するための機能を有している。フロー情報の収集は、NetFlow、IPFIX(Internet Protocol Flow Information Export)などのフロー集計プロトコルを用いて行うことができる。以下の説明においては、フロー集計プロトコルとしてNetFlowを用いるものとする。フローコレクタ40は、仮想スイッチ13、23、仮想ルータ21、スイッチ30のそれぞれからフロー情報を受信する。
図2は、本実施形態に係るフローコレクタ40のブロック図である。フローコレクタ40は、受信部41、識別部42、記憶部43、取得部44、解析部45、出力部46の機能を有している。受信部41は、通信解析システムのネットワーク内で収集された複数のフロー情報を受信する。フロー情報は、仮想スイッチ13、仮想スイッチ23、仮想ルータ21から送信され得る。識別部42は、受信部41によって受信された複数のフロー情報を識別し、仮想マシン11、12間における同一の通信フローを表すフロー情報の集合を特定することができる。
記憶部43は、ID(Identification)管理データベース431、フロー情報データベース432を含んでいる。ID管理データベース431には、フロー同定キーと、該フロー同定キーに紐付けられたフローIDを含む複数のIDレコードが保存されている。図3に示すように、フロー同定キーは、フロー情報に含まれる「送信元IPアドレス(srcaddr)」、「宛先IPアドレス(dstaddr)」、「送信元ポート番号(srcport)」、「宛先ポート番号(dstport)」、「IPプロトコル番号(prot)」、「ToS(Type of Service)フラグ値(tos)」の6つの値を連結したものである。フロー同定キーは、複数のフロー情報を通信フローごとに分類するために用いられる。フローIDは、識別部42によって決定され、同一の通信フローを表すフロー情報の集合に対し同一のフローIDが付与される。
フロー情報データベース432には、受信されたフロー情報に含まれていた情報と、各フロー情報に紐付けられたフローIDを含む複数のフローレコードが保存されている。例えば、図4に示すように、フローレコードには、「収集装置名」、「フローID」、「フロー収集時刻」、「VLAN(Virtual Local Area Network)番号」、「入力インターフェース番号」、「出力インターフェース番号」、「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「通信量」が含まれている。
収集装置名は、フロー情報を収集したネットワーク装置(ノード)名であり、フローIDは、通信フローが同一のものかを判定するための識別子である。収集装置名は、収集装置が識別可能なものであればよくIPアドレスであってもよい。フロー収集時刻は、通信フローを検知してフロー情報を収集した時刻である。VLAN番号は、収集装置が属するVLANの番号である。入力インターフェース番号は、通信フローが入力されたインターフェース番号であり、出力インターフェース番号は、通信フローが出力されたインターフェース番号である。送信元IPアドレス、宛先IPアドレスは、それぞれ通信フローの送信元、宛先のIPアドレスである。送信元ポート番号、宛先ポート番号は、それぞれ通信フローの送信元、宛先のTCP(Transmission Control Protocol)ポート番号またはUDP(User Datagram Protocol)ポート番号である。通信量は、通信フローの通信量であって、パケット数、バイト数などで表され得る。フローレコードは、NetFlowが収集可能なすべての情報を含んでいてもよく、一部の情報(例えば図4に示す情報)のみを含んでいてもよい。
取得部44は、通信解析システムが構成するネットワークの物理的な接続情報を取得し、記憶する。取得部44は、ネットワーク管理システム(NMS)から通信解析システム内のネットワーク装置同士の接続情報を取得することができる。接続情報には、接続の一端にある装置(ノード)のIPアドレスおよびインターフェース番号(ifIndex)と、該接続の対向(他端)にある装置のIPアドレスおよびインターフェース番号(ifIndex)とが1つのペアとして含まれている。本実施形態に係る接続情報の一例を図5に示す。
図2に戻り、解析部45は、記憶部43に記憶されたフロー情報を接続情報に基づいて解析し、通信フローの経路を特定することができる。より具体的には、解析部45は、フロー情報データベース432から同一の通信フローを表すフロー情報(フローレコード)の集合を抽出し、該集合に基づいて、通信フローの経路情報を生成する。解析部45は、経路情報などの解析結果を記憶部43に格納してもよい。出力部46は、解析部45が生成した解析結果を外部装置またはフローコレクタ40の表示装置(不図示)に出力することができる。
図6は、本実施形態に係るフローコレクタ40のハードウェア構成を示すブロック図である。フローコレクタ40は、CPU(Central Processing Unit)401、ROM(Read Only Memory)402、RAM(Random Access Memory)403、HDD(Hard Disk Drive)404、入出力IF405、バス406を備えている。CPU401、ROM402、RAM403、HDD404、入出力IF405は、バス406に接続されている。
CPU401は、ROM402、HDD404から所定のプログラムを読み出し、実行することにより、フローコレクタ40の各部の機能を実現する。また、CPU401は、処理で得られたデータをHDD404に記憶させるとともに、入出力IF405を介して外部とデータの交換を行うことができる。RAM403は、CPU401によって実行されるプログラムの作業用メモリとして使用され、処理中のデータ、ROM402、HDD404から読み出されたデータなどを一時的に記憶する。
HDD404は、フロー情報に関するデータベースの他、該データベースを作成するためのプログラム、通信フローの経路を特定するためのプログラムなど、フローコレクタ40の機能を実現するためのプログラム、データなどを格納する。上述のID管理データベース431、フロー情報データベース432は、HDD404に作成され得る。入出力IF405は、スイッチ30に接続され、スイッチ30とのデータ通信を制御する。入出力IF405は外部出力端子を含み、外部出力端子に接続された外部装置にデータを出力することができる。
フローコレクタ40のハードウェア構成は、上述した構成に限定されるものではなく、種々の構成とすることができる。例えば、フローコレクタ40は、HDD404に代えてまたは加えてフラッシュメモリなどの不揮発性の記憶装置を備えていてもよく、メモリカードの可搬記憶媒体を着脱可能に備えていてもよい。また、フローコレクタ40は、液晶ディスプレイなどの表示装置、キーボード、マウス、タッチパネルなどの入力装置を備えていてよい。
図7は、本実施形態に係るデータベース作成処理のフローチャートである。データベース作成処理は、フローコレクタ40による通信解析方法の一部である。まず、CPU401は、フロー情報を受信したか否かを判断する(ステップS101)。すなわち、CPU401は、仮想スイッチ13、23、仮想ルータ21、スイッチ30のいずれかから、フロー情報を受信したか否かを判断する。フロー情報が受信されない場合(ステップS101でNO)、CPU401は、フロー情報が受信されるまで待機する。
フロー情報が受信された場合(ステップS101でYES)、CPU401は、フロー情報のキーを作成する(ステップS102)。具体的には、CPU401は、受信したフロー情報に含まれる送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、IPプロトコル番号、ToSフラグ値を連結することにより、フロー同定キーを作成する(図3参照)。
続いて、CPU401は、同一のフロー同定キーが存在するか否かを判断する(ステップS103)。すなわち、CPU401は、ステップS102で作成したフロー同定キーを用いてID管理データベース431を検索し、同一のフロー同定キーを有するIDレコードがID管理データベース431に保存されているか否かを判断する。
同一のフロー同定キーが存在する場合(ステップS103でYES)、CPU401は、フロー同定キーに紐付けられたフローIDをID管理データベース431から取得し、該フローIDを新たに作成したフローレコードに付与する(ステップS104)。
一方、同一のフロー同定キーが存在しない場合(ステップS103でNO)、新規に払い出されたフローIDをフロー同定キーに紐付けて新たにIDレコードを作成し、ID管理データベース431に追加する。そして、CPU401は、新規フローIDを新たに作成したフローレコードに付与する(ステップS105)。
続いて、CPU401は、フロー情報に含まれていた情報をフローレコードに含めるとともに、該フローレコードをフロー情報データベース432に保存する(ステップS106)。CPU401は、ステップS101に戻り、新たなフロー情報を待機する。
図8は、本実施形態に係る経路特定処理のフローチャートである。経路特定処理は、フローコレクタ40による通信解析方法の一部である。まず、CPU401は、NMSからネットワークの接続情報を取得する(ステップS201)。CPU401は、取得した接続情報をRAM403に一時的に記憶してもよく、HDD404に格納してもよい。また、CPU401は、接続情報を定期的に取得してHDD404に格納しておき、ステップS201において、HDD404から読み出すようにしてもよい。
続いて、CPU401は、経路の特定対象となるフロー情報の集合を取得する(ステップS202)。すなわち、CPU401は、フロー情報データベース432を検索し、ユーザにより指示された所定の条件に合致するフローレコードを取得する。ユーザは、所定の条件として、通信フローを解析したい仮想マシン名(IPアドレス)、収集時刻の範囲などを指示することができる。ステップS202において、CPU401は、図9に示すフローレコードの集合を取得したものとする。なお、ステップS201とステップS202の処理順は任意であり、並行して処理が実行されてもよい。
次に、CPU401は、フロー情報の集合の中から任意のフロー情報を選択する(ステップS203)。すなわち、CPU401は、ステップS202において取得した複数のフローレコードの中から1つのフローレコードを選択する。例えば、CPU401は、図9のフローレコード501を選択する。
続いて、CPU401は、通信フローが出力されたインターフェース番号を取得する(ステップS204)。すなわち、CPU401は、フローレコード501の出力インターフェース番号103を取得する。そして、CPU401は、取得したインターフェース番号の接続先が通信のエンドポイントか否か、すなわち仮想マシンか否かを判断する(ステップS205)。
例えば、CPU401は、図5に示す接続情報から、インターフェース103の接続先がスイッチ30であると判断する。この場合(ステップS205でNO)、CPU401は、接続先のインターフェース番号を取得する(ステップS206)。すなわち、CPU401は、スイッチ30のインターフェース番号301を取得する。
続いて、CPU401は、ステップS206において取得したインターフェース番号から入力された通信フローを特定する(ステップS207)。すなわち、CPU401は、図9のフローレコードの集合を検索し、入力インターフェース番号が301のフローレコード506を取得する。
CPU401は、ステップS204に戻り、ステップS207において特定した通信フローが出力されたインターフェース番号を取得する。すなわち、CPU401は、フローレコード506の出力インターフェース番号302を取得する。そして、CPU401は、図5に示す接続情報から、インターフェース302の接続先が仮想スイッチ23であると判断する。この時点で、CPU401は、フローID1によって表される通信フローが、仮想スイッチ13、スイッチ30、仮想スイッチ23を通過していることを特定することができる。
CPU401は、このようなインターフェース番号のマッチング処理(ステップS204〜ステップS207の処理)を繰り返し実行することで、仮想マシン12までの通信フローの経路を特定することができる。すなわち、仮想スイッチ13、スイッチ30、仮想スイッチ23、仮想ルータ21、仮想スイッチ23、スイッチ30、仮想スイッチ13、仮想マシン12の順で経路が特定される。CPU401は、インターフェース番号の接続先が仮想マシンであると判断した場合(ステップS205でYES)、特定した経路情報をHDD404に格納する。
さらに、CPU401は、ステップS204〜ステップS207と同様の処理を繰り返し実行することで、ステップS203において選択したフロー情報の入力側の経路を特定する。すなわち、CPU401は、ステップS204において、通信フローが入力されたインターフェース番号を取得し、ステップS207において、取得したインターフェース番号から出力された通信フローを特定する。これにより、仮想マシン11から仮想スイッチ13まで通信フローの経路が特定される。CPU401は、仮想マシン11から仮想マシン12までの全体の経路をHDD404に格納するとともに、表示装置、記憶媒体などに出力する(ステップS208)。
本実施形態によれば、複数のネットワーク装置で収集されたフロー情報の中から、同一の通信フローに関するフロー情報を識別し、該フロー情報とネットワークの接続情報に基づいて、通信フローの経路を特定することが可能となる。これにより、システム上を流れる通信フローの経路、経路に関する統計量などの情報を可視化することができる。また、フロー情報の識別は、フロー情報に含まれるIPヘッダ、TCPヘッダまたはUDPヘッダに関する項目に基づいて行われ、複数箇所で収集された異なる通信フローを表す複数のフロー情報を、通信フローごとに一意に同定することができる。
[第2実施形態]
上述の実施形態における通信解析システムでは、システム上のすべてのネットワーク装置(ノード)においてフロー情報が収集できる構成であったが、フロー情報が収集できないノードが部分的に含まれていてもよい。本実施形態における通信解析システムについて、第1実施形態に係る通信解析システムと異なる構成を中心に説明する。
上述の実施形態における通信解析システムでは、システム上のすべてのネットワーク装置(ノード)においてフロー情報が収集できる構成であったが、フロー情報が収集できないノードが部分的に含まれていてもよい。本実施形態における通信解析システムについて、第1実施形態に係る通信解析システムと異なる構成を中心に説明する。
図10は、本実施形態に係る通信解析システムのブロック図である。図10には、通信解析システムのネットワークの一部が示されており、フローコレクタ40およびその他のネットワーク装置は図示されていない。通信解析システムは、仮想マシン14、仮想スイッチ15、仮想マシン16、仮想スイッチ17、スイッチ31〜33を備えている。
仮想スイッチ15はIF151〜153を有し、IF151〜153は、それぞれスイッチ31、仮想マシン14、スイッチ33に接続されている。仮想スイッチ17はIF171〜173を有し、IF171〜173は、それぞれスイッチ32、仮想マシン16、スイッチ33に接続されている。仮想スイッチ15、17は、スイッチ33を経由するルートと、スイッチ31、32を経由するルートの2つのルートで接続されている。なお、スイッチ31〜33が有するIFの図示は省略されている。
スイッチ31〜33においては、フロー集計プロトコルは動作しておらず、フロー情報を取得することができない。この場合、取得部44は、NMSから取得した接続情報を、仮想スイッチ15、17がスイッチ31〜33を経由することなく直接接続されているように書き換える。これにより、スイッチ31〜33の部分をブラックボックスとして解析することが可能となる。仮想スイッチ15、17に関する接続情報の一例を図11に示す。
図11の接続情報によれば、仮想スイッチ15、17間の詳細な経路、すなわちスイッチ31〜33の接続情報は不明であるが、スイッチ31〜33の部分を除くネットワーク全体のフロー経路を解析することができる。このように、本実施形態の接続情報は、ネットワーク全体のフロー経路の理解に充分に役立つ情報となり得る。また、本実施形態の手法を応用することで、例えばVxLAN(Virtual eXtensible Local Area Network)のような通信経路の途中でトンネリングを行う通信に対する解析においても、トンネル内の詳細経路以外は経路の可視化が可能である。
[他の実施形態]
図12は、上述の実施形態におけるフローコレクタ(通信解析装置)40の概略構成図である。通信解析装置40は、受信部41、識別部42、解析部45を備えている。受信部41は、複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信する。識別部は、複数のフロー情報の中から、仮想マシン間の同一の通信フローを表すフロー情報の集合を特定する。解析部45は、フロー情報の集合およびネットワークの接続情報に基づいて、通信フローの経路を特定する。
図12は、上述の実施形態におけるフローコレクタ(通信解析装置)40の概略構成図である。通信解析装置40は、受信部41、識別部42、解析部45を備えている。受信部41は、複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信する。識別部は、複数のフロー情報の中から、仮想マシン間の同一の通信フローを表すフロー情報の集合を特定する。解析部45は、フロー情報の集合およびネットワークの接続情報に基づいて、通信フローの経路を特定する。
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。例えば、フロー同定キーは、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、IPプロトコル番号、ToSフラグ値の6つの値に限定されない、例えば、VLANのIDを追加してもよい。これにより、仮想マシン11と仮想マシン12が互いに異なるVLANに属している場合に発生し得るIPアドレスの重複を排除することができる。また、フロー同定キーを用いてフロー情報を識別する際に、収集時刻を考慮してもよい。例えば、収集時刻の差が、所定の通信遅延時間の範囲内に無い場合には、同一の通信フローではないと判断することができる。
上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム(より具体的には、図7、図8に示す方法をコンピュータに実行させるプログラム)を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。
該記録媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS上で動作して処理を実行するものも各実施形態の範疇に含まれる。
上述の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信する受信部と、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定する識別部と、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定する解析部とを備える通信解析装置。
複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信する受信部と、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定する識別部と、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定する解析部とを備える通信解析装置。
(付記2)
前記フロー情報は、IP(Internet Protocol)ヘッダ、TCP(Transmission Control Protocol)ヘッダまたはUDP(User Datagram Protocol)ヘッダに関する項目を含み、前記識別部は、前記項目に基づいて前記フロー情報の集合を特定する付記1に記載の通信解析装置。
前記フロー情報は、IP(Internet Protocol)ヘッダ、TCP(Transmission Control Protocol)ヘッダまたはUDP(User Datagram Protocol)ヘッダに関する項目を含み、前記識別部は、前記項目に基づいて前記フロー情報の集合を特定する付記1に記載の通信解析装置。
(付記3)
前記識別部は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、IPプロトコル番号、ToS(Type of Service)フラグ値の組が合致するフロー情報を同一の通信フローと判断する付記2に記載の通信解析装置。
前記識別部は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、IPプロトコル番号、ToS(Type of Service)フラグ値の組が合致するフロー情報を同一の通信フローと判断する付記2に記載の通信解析装置。
(付記4)
前記識別部は、前記フロー情報の集合に対して同一の識別子を付与する付記1乃至3のいずれかに記載の通信解析装置。
前記識別部は、前記フロー情報の集合に対して同一の識別子を付与する付記1乃至3のいずれかに記載の通信解析装置。
(付記5)
前記識別子が付与された前記複数のフロー情報を記憶する記憶部を備え、
前記解析部は、前記識別子に基づいて前記記憶部から前記フロー情報の集合を抽出する付記4に記載の通信解析装置。
前記識別子が付与された前記複数のフロー情報を記憶する記憶部を備え、
前記解析部は、前記識別子に基づいて前記記憶部から前記フロー情報の集合を抽出する付記4に記載の通信解析装置。
(付記6)
前記フロー情報は、前記仮想マシン間の通信を中継する複数のノードのそれぞれにおいて収集され、収集が行われた前記ノードのIPアドレスおよびインターフェース番号を含み、
前記接続情報は、接続されている前記ノードのペアまたは前記ノードと前記仮想マシンのペアのそれぞれのIPアドレスおよびインターフェース番号を含む付記1乃至5のいずれかに記載の通信解析装置。
前記フロー情報は、前記仮想マシン間の通信を中継する複数のノードのそれぞれにおいて収集され、収集が行われた前記ノードのIPアドレスおよびインターフェース番号を含み、
前記接続情報は、接続されている前記ノードのペアまたは前記ノードと前記仮想マシンのペアのそれぞれのIPアドレスおよびインターフェース番号を含む付記1乃至5のいずれかに記載の通信解析装置。
(付記7)
前記解析部は、前記フロー情報に含まれるインターフェース番号と前記接続情報に含まれるインターフェース番号とをマッチングさせることで前記通信フローの経路を特定する付記6に記載の通信解析装置。
前記解析部は、前記フロー情報に含まれるインターフェース番号と前記接続情報に含まれるインターフェース番号とをマッチングさせることで前記通信フローの経路を特定する付記6に記載の通信解析装置。
(付記8)
前記ノードは、仮想スイッチまたは仮想ルータである付記6または7に記載の通信解析装置。
前記ノードは、仮想スイッチまたは仮想ルータである付記6または7に記載の通信解析装置。
(付記9)
複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信するステップと、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定するステップと、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定するステップとを備える通信解析方法。
複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信するステップと、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定するステップと、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定するステップとを備える通信解析方法。
(付記10)
複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信するステップと、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定するステップと、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定するステップとをコンピュータに実行させるプログラム。
複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信するステップと、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定するステップと、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定するステップとをコンピュータに実行させるプログラム。
10 ホスト装置
11、12 仮想マシン
13 仮想スイッチ
101、102、103 インターフェース
20 ホスト装置
21 仮想ルータ
23 仮想マシン
23 仮想スイッチ
201、202 インターフェース
30 スイッチ
301、302 インターフェース
40 フローコレクタ
41 受信部
42 識別部
43 記憶部
431 ID管理データベース
432 フロー情報データベース
44 取得部
45 解析部
46 出力部
501〜507 フローレコード
11、12 仮想マシン
13 仮想スイッチ
101、102、103 インターフェース
20 ホスト装置
21 仮想ルータ
23 仮想マシン
23 仮想スイッチ
201、202 インターフェース
30 スイッチ
301、302 インターフェース
40 フローコレクタ
41 受信部
42 識別部
43 記憶部
431 ID管理データベース
432 フロー情報データベース
44 取得部
45 解析部
46 出力部
501〜507 フローレコード
Claims (10)
- 複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信する受信部と、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定する識別部と、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定する解析部とを備える通信解析装置。 - 前記フロー情報は、IP(Internet Protocol)ヘッダ、TCP(Transmission Control Protocol)ヘッダまたはUDP(User Datagram Protocol)ヘッダに関する項目を含み、前記識別部は、前記項目に基づいて前記フロー情報の集合を特定する請求項1に記載の通信解析装置。
- 前記識別部は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、IPプロトコル番号、ToS(Type of Service)フラグ値の組が合致するフロー情報を同一の通信フローと判断する請求項2に記載の通信解析装置。
- 前記識別部は、前記フロー情報の集合に対して同一の識別子を付与する請求項1乃至3のいずれか1項に記載の通信解析装置。
- 前記識別子が付与された前記複数のフロー情報を記憶する記憶部を備え、
前記解析部は、前記識別子に基づいて前記記憶部から前記フロー情報の集合を抽出する請求項4に記載の通信解析装置。 - 前記フロー情報は、前記仮想マシン間の通信を中継する複数のノードのそれぞれにおいて収集され、収集が行われた前記ノードのIPアドレスおよびインターフェース番号を含み、
前記接続情報は、接続されている前記ノードのペアまたは前記ノードと前記仮想マシンのペアのそれぞれのIPアドレスおよびインターフェース番号を含む請求項1乃至5のいずれか1項に記載の通信解析装置。 - 前記解析部は、前記フロー情報に含まれるインターフェース番号と前記接続情報に含まれるインターフェース番号とをマッチングさせることで前記通信フローの経路を特定する請求項6に記載の通信解析装置。
- 前記ノードは、仮想スイッチまたは仮想ルータである請求項6または7に記載の通信解析装置。
- 複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信するステップと、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定するステップと、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定するステップとを備える通信解析方法。 - 複数の仮想マシンを含むネットワーク内で収集された複数のフロー情報を受信するステップと、
前記複数のフロー情報の中から、前記仮想マシン間の同一の通信フローを表すフロー情報の集合を特定するステップと、
前記フロー情報の集合および前記ネットワークの接続情報に基づいて、前記通信フローの経路を特定するステップとをコンピュータに実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017066717A JP7164140B2 (ja) | 2017-03-30 | 2017-03-30 | 通信解析装置、通信解析方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017066717A JP7164140B2 (ja) | 2017-03-30 | 2017-03-30 | 通信解析装置、通信解析方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018170639A true JP2018170639A (ja) | 2018-11-01 |
| JP7164140B2 JP7164140B2 (ja) | 2022-11-01 |
Family
ID=64018994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017066717A Active JP7164140B2 (ja) | 2017-03-30 | 2017-03-30 | 通信解析装置、通信解析方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7164140B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014220645A (ja) * | 2013-05-08 | 2014-11-20 | 富士通株式会社 | 障害判定プログラム、装置、システム、及び方法 |
| JP2015012317A (ja) * | 2013-06-26 | 2015-01-19 | 西日本電信電話株式会社 | 経路特定装置、経路特定方法、及びプログラム |
| JP2015142269A (ja) * | 2014-01-29 | 2015-08-03 | 日本電気株式会社 | 通信解析装置、通信解析システム、通信解析方法、及び、プログラム |
| JP2015171052A (ja) * | 2014-03-07 | 2015-09-28 | 富士通株式会社 | 識別装置、識別プログラム、及び識別方法 |
-
2017
- 2017-03-30 JP JP2017066717A patent/JP7164140B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014220645A (ja) * | 2013-05-08 | 2014-11-20 | 富士通株式会社 | 障害判定プログラム、装置、システム、及び方法 |
| JP2015012317A (ja) * | 2013-06-26 | 2015-01-19 | 西日本電信電話株式会社 | 経路特定装置、経路特定方法、及びプログラム |
| JP2015142269A (ja) * | 2014-01-29 | 2015-08-03 | 日本電気株式会社 | 通信解析装置、通信解析システム、通信解析方法、及び、プログラム |
| JP2015171052A (ja) * | 2014-03-07 | 2015-09-28 | 富士通株式会社 | 識別装置、識別プログラム、及び識別方法 |
Non-Patent Citations (1)
| Title |
|---|
| ▲饗▼庭 秀一郎 SHUICHIRO AIBA: "フロー解析による仮想マシンのトラフィック制御に関する検討 Traffic Control of Virtual Machine using F", 電子情報通信学会技術研究報告 VOL.110 NO.375 IEICE TECHNICAL REPORT, vol. 第110巻, JPN6020047430, 13 January 2011 (2011-01-13), JP, pages 17 - 22, XP008171913, ISSN: 0004622684 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7164140B2 (ja) | 2022-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11128550B2 (en) | Logical network traffic analysis | |
| US8867402B2 (en) | Apparatus and method for generating topology tree | |
| US11646952B2 (en) | Method and network device for tagging network traffic flows | |
| Haddadi et al. | Network topologies: inference, modeling, and generation | |
| US8751642B2 (en) | Method and system for management of sampled traffic data | |
| JP5522495B2 (ja) | コンピュータシステム、コントローラ、コントローラマネジャ、通信経路解析方法 | |
| US20170317899A1 (en) | Using traffic data to determine network topology | |
| US8203962B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| CN109672562B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| US8824331B1 (en) | System and method for identifying an ingress router of a flow when no IP address is associated with the interface from which the flow was received | |
| CN113746654A (zh) | 一种IPv6地址管理和流量分析的方法和装置 | |
| CN115297007A (zh) | 针对合作网络的网络空间资产信息地图的构建方法及系统 | |
| JP5883926B2 (ja) | 管理サーバ、および、フロー処理方法 | |
| KR101984478B1 (ko) | Sdn 기반의 동적 네트워크 트래픽 분석을 통한 데이터 전송 경로 결정 방법 및 장치 | |
| CN112787930A (zh) | 一种监控对等体的运行状态的方法、装置及存储介质 | |
| JP7164140B2 (ja) | 通信解析装置、通信解析方法およびプログラム | |
| JP6295681B2 (ja) | 通信解析装置、通信解析システム、通信解析方法、及び、プログラム | |
| US9979613B2 (en) | Analyzing network traffic in a computer network | |
| US11438237B1 (en) | Systems and methods for determining physical links between network devices | |
| Ghazali et al. | Enhanced IPFIX flow monitoring for VXLAN based cloud overlay networks. | |
| CN115225545B (zh) | 一种报文传输方法及装置 | |
| US20240297838A1 (en) | Hardware accelerated path tracing analytics | |
| CN117499274A (zh) | 基于弹性公网ip的流量监控方法、装置、设备及介质 | |
| WO2024186615A1 (en) | Optimizing path tracing to enable network assurance in existing network hardware | |
| WO2023091380A1 (en) | Network path detection and monitoring |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180413 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200210 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201210 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210208 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210629 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210910 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20210910 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20210921 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20210928 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20211029 |
|
| C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20211102 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220104 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220331 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220412 |
|
| C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20220421 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220620 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220816 |
|
| C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20220825 |
|
| C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20220920 |
|
| C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20220920 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221013 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7164140 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |