JP2021090161A - Format conversion device, method, and program - Google Patents

Format conversion device, method, and program Download PDF

Info

Publication number
JP2021090161A
JP2021090161A JP2019220134A JP2019220134A JP2021090161A JP 2021090161 A JP2021090161 A JP 2021090161A JP 2019220134 A JP2019220134 A JP 2019220134A JP 2019220134 A JP2019220134 A JP 2019220134A JP 2021090161 A JP2021090161 A JP 2021090161A
Authority
JP
Japan
Prior art keywords
header
packet
analysis
format
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019220134A
Other languages
Japanese (ja)
Other versions
JP7294764B2 (en
Inventor
孟朗 西岡
Takeaki Nishioka
孟朗 西岡
浩 大澤
Hiroshi Osawa
浩 大澤
千晴 森岡
Chiharu Morioka
千晴 森岡
勇樹 三好
Yuki Miyoshi
勇樹 三好
裕平 林
Yuhei Hayashi
裕平 林
晋 山本
Susumu Yamamoto
晋 山本
鈴木 隆之
Takayuki Suzuki
隆之 鈴木
雄志 楠根
Takeshi Kusune
雄志 楠根
勇気 池上
Yuki Ikegami
勇気 池上
友香 駒井
Yuka Komai
友香 駒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2019220134A priority Critical patent/JP7294764B2/en
Publication of JP2021090161A publication Critical patent/JP2021090161A/en
Application granted granted Critical
Publication of JP7294764B2 publication Critical patent/JP7294764B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

To provide a format conversion device, method, and program that enable traffic analysis using existing analysis device even in a network in which an encapsulated packet is distributed.SOLUTION: A format conversion device 100 includes a packet input unit 110 that accepts input of a header sample transfer packet 230 including an analysis header sample 233 including an outer header 222 which is a header of an encapsulated packet 220 and an inner header 212 which is a header of the packet 210 in the capsule from a network 10 through which the encapsulated packet 220 is distributed, and a format conversion unit 120 that converts a format of the header sample transfer packet 230 into a format excluding the outer header 222 and stores correspondence information between the inner header 212 included in the analysis header sample 233 and the excluded outer header 22.SELECTED DRAWING: Figure 1

Description

本発明は、ネットワークのトラヒック分析で用いられるデータを対象としたフォーマット変換装置及び方法、並びにプログラムに関する。 The present invention relates to a format conversion device and method for data used in network traffic analysis, and a program.

近年、ネットワークに接続する端末の数や種類が増加してきており、またネットワーク自体も仮想化が進んだりサービス種類が増加するなど複雑化してきている。これに伴い、ネットワーク運用のためにネットワークの監視やトラヒックの傾向分析がより重要となってきている。ネットワークの監視やトラヒックの傾向分析のための技術としてはxFlowと呼ばれる技術が知られている。xFlow技術では、パケットのサンプリングを行い、ヘッダ情報から算出したフロー統計情報や、ヘッダ部分そのもの(ヘッダサンプル)を分析装置に転送することによりトラヒックの集計・分析等を行う。 In recent years, the number and types of terminals connected to the network have been increasing, and the network itself has become complicated as virtualization has progressed and the types of services have increased. Along with this, network monitoring and traffic trend analysis have become more important for network operation. A technique called xFlow is known as a technique for network monitoring and traffic trend analysis. In the xFlow technology, packets are sampled, and the flow statistical information calculated from the header information and the header part itself (header sample) are transferred to the analyzer to aggregate and analyze traffic.

xFlow技術のうち、パケットのサンプリングを行い、フロー統計情報をヘッダ情報から算出し転送する方式としては、NetFlow(非特許文献1参照)、IPFIX(非特許文献2−1〜2−6参照)が知られている。また、xFlow技術のうち、パケットのサンプリングを行い、ヘッダ部分そのもの(ヘッダサンプル)を切り取って転送する方式としては、sFlow(非特許文献3参照)、IPFIX w/IE315(非特許文献4参照)が知られている。また、既存の各種xFlow形式について、相互に形式を変換する技術の実装として、pmacct(非特許文献5参照)、nProbe(非特許文献6参照)が知られている。 Among the xFlow technologies, NetFlow (see Non-Patent Document 1) and IPFIX (see Non-Patent Documents 2-1 to 2-6) are methods for sampling packets, calculating flow statistical information from header information, and transferring the information. Are known. Among the xFlow technologies, sFlow (see Non-Patent Document 3) and IPFIX w / IE315 (see Non-Patent Document 4) are methods for sampling packets and cutting and transferring the header portion itself (header sample). Are known. Further, pmacct (see Non-Patent Document 5) and nProbe (see Non-Patent Document 6) are known as implementations of a technique for mutually converting various existing xFlow formats.

特開2019−097069号公報Japanese Unexamined Patent Publication No. 2019-097069

B. Claise, "Cisco Systems NetFlow Services Export Version 9", [online], IETF, RFC3954, October 2004,[令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc3954.txt.pdf>B. Claise, "Cisco Systems NetFlow Services Export Version 9", [online], IETF, RFC3954, October 2004, [Searched October 11, 1991], Internet <https://www.ietf.org/rfc /rfc3954.txt.pdf> B. Trammell, 他1名, "Bidirectional Flow Export Using IP Flow Information Export (IPFIX)", [online], IETF, RFC5103, January 2008, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc5103.txt.pdf>B. Trammell, 1 other person, "Bidirectional Flow Export Using IP Flow Information Export (IPFIX)", [online], IETF, RFC5103, January 2008, [Search on October 11, 1st year], Internet <https: / /www.ietf.org/rfc/rfc5103.txt.pdf> B. Claise, 他2名, "Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information", [online], IETF, RFC7011, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7011.txt.pdf>B. Claise, 2 others, "Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information", [online], IETF, RFC7011, September 2013, [Searched on October 11, 1991] , Internet <https://www.ietf.org/rfc/rfc7011.txt.pdf> B. Claise, 他1名, "Information Model for IP Flow Information Export (IPFIX)", [online], IETF, RFC7012, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7012.txt.pdf>B. Claise, 1 other person, "Information Model for IP Flow Information Export (IPFIX)", [online], IETF, RFC7012, September 2013, [Search on October 11, 1991], Internet <https: // www.ietf.org/rfc/rfc7012.txt.pdf> B. Trammell, 他1名, "Guidelines for Authors and Reviewers of IP Flow Information Export (IPFIX) Information Elements", [online], IETF, RFC7013, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7013.txt.pdf>B. Trammell, 1 others, "Guidelines for Authors and Reviewers of IP Flow Information Export (IPFIX) Information Elements", [online], IETF, RFC7013, September 2013, [Searched October 11, 1991], Internet <https://www.ietf.org/rfc/rfc7013.txt.pdf> S. D'Antonio, 他3名, "Flow Selection Techniques", [online], IETF, RFC7014, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7014.txt.pdf>S. D'Antonio, 3 others, "Flow Selection Techniques", [online], IETF, RFC7014, September 2013, [Searched October 11, 1991], Internet <https://www.ietf.org /rfc/rfc7014.txt.pdf> B. Trammell, 他2名, "Flow Aggregation for the IP Flow Information Export (IPFIX) Protocol", [online], IETF, RFC7015, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7015.txt.pdf>B. Trammell, 2 others, "Flow Aggregation for the IP Flow Information Export (IPFIX) Protocol", [online], IETF, RFC7015, September 2013, [Searched October 11, 1st year], Internet <https: //www.ietf.org/rfc/rfc7015.txt.pdf> Peter Phaal, 他1名, "sFlow Version 5", [online], sFlow.org, July 2004, [令和1年10月11日検索], インターネット<https://sflow.org/sflow_version_5.txt>Peter Phaal, 1 other person, "sFlow Version 5", [online], sFlow.org, July 2004, [Searched on October 11, 1st year of Reiwa], Internet <https://sflow.org/sflow_version_5.txt> S. Kashima, 他2名, "Information Elements for Data Link Layer Traffic Measurement", [online], IETF, RFC7133, May 2014, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7133.txt.pdf>S. Kashima, 2 others, "Information Elements for Data Link Layer Traffic Measurement", [online], IETF, RFC7133, May 2014, [Searched October 11, 1991], Internet <https: // www. ietf.org/rfc/rfc7133.txt.pdf> "Welcome to the pmacct project!", [online], [令和1年10月11日検索], インターネット<http://www.pmacct.net/>"Welcome to the pmacct project!", [Online], [Searched on October 11, 1st year of Reiwa], Internet <http://www.pmacct.net/> "nProbe / An Extensible NetFlow v5/v9/IPFIX Probe for IPv4/v6", [online], [令和1年10月11日検索], インターネット<https://www.ntop.org/products/netflow/nprobe/>"nProbe / An Extensible NetFlow v5 / v9 / IPFIX Probe for IPv4 / v6", [online], [Searched on October 11, 1st year of Reiwa], Internet <https://www.ntop.org/products/netflow/ nprobe /> 林 裕平, 他1名, "ハッシュを用いたinner-outerヘッダ対応付け方式の設定値の一検討", 電子情報通信学会 2019年 ソサイエティ大会 B-6-18Yuhei Hayashi, 1 other person, "A study of the setting values of the inner-outer header mapping method using hashes", IEICE 2019 Society Conference B-6-18

ところで、ネットワークを流通するパケットはトンネルプロトコル等によりカプセル化されている場合がある。このようなネットワーク環境においては、カプセル内側のパケットについてトラヒックの集計や分析を行いたいという要望がある。 By the way, packets circulating in the network may be encapsulated by a tunnel protocol or the like. In such a network environment, there is a demand for traffic aggregation and analysis of packets inside the capsule.

しかし、従来のxFlow技術は、カプセル化パケットにおけるカプセル内側トラヒックについての集計・分析を想定しておらず、カプセル外側トラヒックのみが処理対象となっている。このため、カプセル化パケットが転送されるネットワークにおいて従来のxFlow技術ではカプセル外側トラヒックについての集計・分析およびxFlow形式変換しか行えず、カプセル内側の集計・分析を行うことができないという問題がある。 However, the conventional xFlow technology does not assume aggregation and analysis of the inner capsule traffic in the encapsulated packet, and only the outer capsule traffic is processed. Therefore, in the network to which the encapsulated packet is forwarded, the conventional xFlow technology can only perform aggregation / analysis and xFlow format conversion for the traffic outside the capsule, and cannot perform aggregation / analysis inside the capsule.

一方、カプセル化パケットの分析手法として、カプセル内側のパケットを取り出し分析を可能にするフォーマット変換技術が知られている(特許文献1参照)。また、カプセル化パケットについて、カプセル内側のパケットヘッダとカプセル外側のパケットヘッダの対応づけを高速にデータベースに登録する技術が知られている(非特許文献7参照)。 On the other hand, as an analysis method for encapsulated packets, a format conversion technique for extracting packets inside the capsule and enabling analysis is known (see Patent Document 1). Further, regarding the encapsulated packet, a technique for registering the association between the packet header inside the capsule and the packet header outside the capsule in the database at high speed is known (see Non-Patent Document 7).

上記のフォーマット変換技術は、カプセル化パケットそのものを処理対象としており、パケットの先頭部分から逐次ヘッダ種別を識別し不要なヘッダを除去し、またこの際にカプセル内側とカプセル外側のパケットヘッダを対応づけする方式である。このため、カプセル化パケット自体のフォーマット変換は行えるが、カプセル化パケットを対象としたヘッダサンプルxFlowパケットについて、フォーマット変換を行いカプセル内側のパケットを取り出すこと、およびカプセル内側とカプセル外側のパケットヘッダの対応づけを行うことができないという問題がある。 The above format conversion technology targets the encapsulated packet itself, identifies the sequential header type from the beginning of the packet, removes unnecessary headers, and associates the packet header inside the capsule with the packet header outside the capsule. It is a method to do. Therefore, although the format of the encapsulated packet itself can be converted, the header sample xFlow packet for the encapsulated packet is formatted and converted to extract the packet inside the capsule, and the correspondence between the packet header inside the capsule and the packet header outside the capsule. There is a problem that it is not possible to attach.

本発明は上記事情に鑑みてなされたものであり、その目的とするところは、カプセル化パケットが流通するネットワークにおいても既存の分析装置を用いてトラヒック分析等を可能にするフォーマット変換装置及び方法並びにプログラムを提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is a format conversion device and method that enable traffic analysis and the like using an existing analyzer even in a network in which encapsulated packets are distributed. To provide a program.

本願発明は、カプセル化パケットが転送されるネットワーク上でヘッダサンプリングにより収集したカプセル化パケットのヘッダサンプルについて、カプセル内側のパケットについての分析用パケットを生成する機能部を導入することにより、既存の分析装置と組み合わせてカプセル内側トラヒックの集計・分析を可能とする。 The present invention provides an existing analysis by introducing a functional unit that generates an analysis packet for a packet inside the capsule with respect to the header sample of the encapsulated packet collected by header sampling on the network to which the encapsulated packet is transferred. In combination with the device, it enables aggregation and analysis of capsule inner traffic.

すなわち、本願発明は、パケットを分析する分析装置の前段に設けられたフォーマット変換装置であって、パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力部と、前記入力部により入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換部と、前記変換部によって変換されたヘッダサンプル転送パケットを前記分析装置に転送する出力部とを備えたことを特徴とする。 That is, the present invention is a format conversion device provided in front of the analyzer that analyzes the packet, from the network in which the encapsulated packet formed by encapsulating the packet is distributed, to the outer header which is the header of the encapsulated packet and the outer header. The format of the header sample transfer packet input by the input unit and the input unit that accepts the input of the header sample transfer packet that stores the header sample for analysis including the inner header that is the header of the capsule packet of the encapsulated packet. A conversion unit that converts the header sample transfer packet into a format that excludes the outer header included in the analysis header sample, and stores the correspondence information between the inner header included in the analysis header sample and the excluded outer header. It is characterized by including an output unit that transfers the header sample transfer packet converted by the conversion unit to the analyzer.

また、本願発明は、パケットを分析する分析装置の前段に設けられたフォーマット変換装置であって、パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力部と、前記入力部により入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換部と、所定期間において得られた前記変換部によって変換されたヘッダサンプル転送パケットに基づき統計型分析用データを生成する統計型分析用データ生成部と、前記統計型分析用データ生成部で生成した統計型分析用データを統計型分析用データ転送パケットに格納して前記分析装置に転送する出力部とを備えたことを特徴とする。 Further, the present invention is a format conversion device provided in front of an analyzer that analyzes a packet, and is an outer header that is a header of the encapsulated packet from a network in which the encapsulated packet formed by encapsulating the packet is distributed. The format of the header sample transfer packet input by the input unit and the input unit that accepts the input of the header sample transfer packet that stores the header sample for analysis including the inner header that is the header of the capsule packet of the encapsulated packet. A conversion unit that converts the header sample transfer packet into a format that excludes the outer header included in the analysis header sample, and stores the correspondence information between the inner header included in the analysis header sample and the excluded outer header. , A data generation unit for statistical analysis that generates data for statistical analysis based on the header sample transfer packet converted by the conversion unit obtained in a predetermined period, and a statistical type generated by the data generation unit for statistical analysis. It is characterized by including an output unit that stores analysis data in a statistical type analysis data transfer packet and transfers the data to the analyzer.

本発明によれば、カプセル化パケットが転送されるネットワークにおいて、カプセル内側トラヒックの効率的な集計・分析が可能になる。 According to the present invention, it is possible to efficiently aggregate and analyze the traffic inside the capsule in the network to which the encapsulated packet is forwarded.

本発明の一実施形態に係るネットワークシステムの構成図Configuration diagram of the network system according to the embodiment of the present invention 各パケットのフォーマットを説明する図Diagram illustrating the format of each packet フォーマット変換装置の機能ブロック図Functional block diagram of the format converter 本発明の一実施形態に係るネットワークシステムにおけるシーケンス例Sequence example in the network system according to the embodiment of the present invention 分析結果の表示例Analysis result display example 対応情報の表示例Correspondence information display example

本発明の一実施の形態に係るネットワークシステムについて図面を参照して説明する。図1は本発明の概要を説明するネットワーク構成図である。 A network system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a network configuration diagram illustrating an outline of the present invention.

本発明では、図1に示すように、(1)カプセル化パケットが転送されるネットワーク10においてxFlowによるヘッダサンプリングを設定する。次に、(2)下記の機能を持つ機能部を導入する。入力:カプセルパケットのヘッダサンプルxFlowパケット。出力:カプセル内側のヘッダサンプルxFlowパケットおよび/またはカプセル内側の統計型xFlowパケット。保存:カプセル内外のパケットヘッダの対応。そして、(3)既存のxFlow分析装置21,22にてトラヒック集計・分析する。 In the present invention, as shown in FIG. 1, (1) header sampling by xFlow is set in the network 10 to which the encapsulated packet is transferred. Next, (2) introduce a functional unit having the following functions. Input: Capsule packet header sample xFlow packet. Output: Header sample inside the capsule xFlow packet and / or Statistical xFlow packet inside the capsule. Save: Correspondence of packet headers inside and outside the capsule. Then, (3) traffic aggregation and analysis are performed by the existing xFlow analyzers 21 and 22.

すなわち、本発明では、カプセル化パケットが転送されるネットワーク10上でヘッダサンプリングにより収集したカプセル化パケットのヘッダサンプルについて、カプセル内側のパケットについての分析用パケットを生成する機能を有するフォーマット変換装置100を既存のxFlow分析装置21,22の前段に導入することにより、既存のxFlow分析装置21,22と組み合わせてカプセル内側トラヒックの集計・分析を可能とする。 That is, in the present invention, the format conversion device 100 having a function of generating an analysis packet for the packet inside the capsule with respect to the header sample of the encapsulated packet collected by header sampling on the network 10 to which the encapsulated packet is transferred is provided. By introducing it in front of the existing xFlow analyzers 21 and 22, it is possible to aggregate and analyze the packet inner traffic in combination with the existing xFlow analyzers 21 and 22.

ネットワーク10は、カプセル化パケットが転送される区間を含む。図1の例では、ネットワーク10にはルータ11とルータ12との間にトンネル14が形成されており、当該ルータ11,12間がカプセル化パケットの転送される区間である。すなわち、トンネル14を終端する一方のルータ11は、パケットをカプセル化し、カプセル化パケットを対向する他方のルータ12に向けて送出する。ルータ11から送出されたカプセル化パケットは、ルータ11とルータ12との間の経路上に配置されているルータ13により中継され、他方のルータ12に到達する。ルータ12は、受信したカプセル化パケットをデカプセル化し、取り出したパケットをその宛先アドレスに転送するよう送出する。逆方向についても同様である。なお本発明では、パケットのカプセル化は多段階行われていてもよい。この場合、複数のカプセル化処理は通信経路状の異なる装置により行われてもよいし、1つの装置により行われてもよい。 The network 10 includes a section to which the encapsulated packet is forwarded. In the example of FIG. 1, a tunnel 14 is formed between the router 11 and the router 12 in the network 10, and the section between the routers 11 and 12 is a section to which the encapsulated packet is transferred. That is, one router 11 that terminates the tunnel 14 encapsulates the packet and sends the encapsulated packet toward the other router 12 that opposes the packet. The encapsulated packet sent from the router 11 is relayed by the router 13 arranged on the route between the router 11 and the router 12, and reaches the other router 12. The router 12 decapsulates the received encapsulated packet and sends the extracted packet to the destination address. The same applies to the reverse direction. In the present invention, packet encapsulation may be performed in multiple stages. In this case, the plurality of encapsulation processes may be performed by devices having different communication paths, or may be performed by one device.

本発明では、既存のxFlow技術を用い、ネットワーク10において、カプセル化パケットに含まれるヘッダを分析用ヘッダサンプルとして取得し、分析用ヘッダサンプルを格納したヘッダサンプルxFlowパケットをフォーマット変換装置100に送信する。分析用ヘッダサンプルの取得及びフォーマット変換装置100への送信処理は、カプセル化・デカプセル化を行うルータ11,12であってもよいし、カプセル化パケットを中継するルータ13であってもよい。図1の例では、カプセル化パケットを中継するルータ13が分析用ヘッダサンプルの取得及びフォーマット変換装置100への送信処理を行う。 In the present invention, using the existing xFlow technology, the header included in the encapsulated packet is acquired as the header sample for analysis in the network 10, and the header sample xFlow packet containing the header sample for analysis is transmitted to the format conversion device 100. .. The process of acquiring the header sample for analysis and transmitting it to the format conversion device 100 may be performed by the routers 11 and 12 that perform encapsulation / decapsulation, or may be the router 13 that relays the encapsulated packet. In the example of FIG. 1, the router 13 that relays the encapsulated packet acquires the header sample for analysis and transmits it to the format conversion device 100.

図2に各パケットのフォーマットを例示する。なお同図においては、レイヤー3(L3)のパケットを包含するものとしてレイヤー2(L2)のフレームフォーマットを記載している。なお、本実施の形態では、L3のプロトコルとしてIP(Internet Protocol)を用い、L2のプロコトルとしてEhernet(登録商標)を用いた例について説明する。 FIG. 2 illustrates the format of each packet. In the figure, the layer 2 (L2) frame format is described as including the layer 3 (L3) packet. In this embodiment, an example in which IP (Internet Protocol) is used as the L3 protocol and Ehernet (registered trademark) is used as the L2 protocol will be described.

図2において(A)は、カプセル化前のパケット210すなわちカプセル内のパケット210のフォーマットを示す。このパケット210は、L2のフレームヘッダ211と、L3のIPヘッダ212と、ペイロード213とからなる。ここで、当該パケット210のIPヘッダ212はInnnerヘッダ212とも表記する。 In FIG. 2, (A) shows the format of the packet 210 before encapsulation, that is, the packet 210 in the capsule. The packet 210 includes a frame header 211 of L2, an IP header 212 of L3, and a payload 213. Here, the IP header 212 of the packet 210 is also referred to as an Inner header 212.

図2において(B)は、カプセル化パケット220のフォーマットを示す。このカプセル化パケット220は、L2のフレームヘッダ221と、所定のカプセル化プロトコルにより付されたOuterヘッダ222と、前記Innerヘッダ212と、前記ペイロード213とからなる。ここで、カプセル化プロトコルの種別及びレイヤーは不問である。例えば、カプセル化プロトコルとしてIPIPトンネルイングプロトコルを用いる場合にはOuterヘッダ222はIPヘッダである。また、カプセル化プロトコルとしてMPLS(Multi-Protocol Label Switching)を用いる場合にはOuterヘッダ222はMPLSヘッダとなる。また、Outerヘッダ222は、複数のカプセル化プロトコルにより多段的に付された複数のヘッダを含むことができる。この場合、複数のカプセル化プロコトルは複数のレイヤーに亘ることができる。例えば、Outerヘッダ222は、IPヘッダ+UDP(User Datagram Protocol)ヘッダ+L2TP(Layer 2 Tunneling Protocol)ヘッダという複数のヘッダを含むことができる。本実施の形態では、カプセル化プロトコルとしてIPIPトンネルプロトコルを用い、Outerヘッダ222には、宛先アドレス及び送信元アドレスとして、ネットワーク10におけるトンネル14を終端するルータ11,12のアドレス情報が含まれる。なお、カプセル化パケット220のフレームヘッダ221は、前記パケット210のフレームヘッダ211とは異なるものである点に留意されたい。 In FIG. 2, (B) shows the format of the encapsulated packet 220. The encapsulation packet 220 includes a frame header 221 of L2, an Outer header 222 attached by a predetermined encapsulation protocol, an Inner header 212, and a payload 213. Here, the type and layer of the encapsulation protocol do not matter. For example, when the IPIP tunneling protocol is used as the encapsulation protocol, the Outer header 222 is an IP header. When MPLS (Multi-Protocol Label Switching) is used as the encapsulation protocol, the Outer header 222 becomes an MPLS header. Further, the Outer header 222 can include a plurality of headers attached in multiple stages by a plurality of encapsulation protocols. In this case, the plurality of encapsulated protocols can span multiple layers. For example, the Outer header 222 can include a plurality of headers: IP header + UDP (User Datagram Protocol) header + L2TP (Layer 2 Tunneling Protocol) header. In the present embodiment, the IPIP tunnel protocol is used as the encapsulation protocol, and the Outer header 222 includes the address information of the routers 11 and 12 that terminate the tunnel 14 in the network 10 as the destination address and the source address. It should be noted that the frame header 221 of the encapsulated packet 220 is different from the frame header 211 of the packet 210.

図2において(C)は、分析用ヘッダサンプルを格納したヘッダサンプルxFlowパケット230のフォーマットを示す。このヘッダサンプルxFlowパケット230は、分析用ヘッダサンプルの取得及びフォーマット変換装置100への送信処理を行うルータにより生成される。ヘッダサンプルxFlowパケット230は、L2のフレームヘッダ231と、L3のIPヘッダ232と、xFlowデータ233と、分析用ヘッダサンプル234とを含む。ここで、L3のIPヘッダ232は、ヘッダサンプルxFlowパケット230を転送するためのものであり、宛先アドレスとしてフォーマット変換装置100のアドレス情報を含み、送信元アドレスとしてルータ13のアドレス情報を含む。なお、ヘッダサンプルxFlowパケット230のフレームヘッダ231は、前記カプセル化パケット220のフレームヘッダ221、前記パケット210のフレームヘッダ211とは異なるものである点に留意されたい。 FIG. 2C shows the format of the header sample xFlow packet 230 containing the header sample for analysis. The header sample xFlow packet 230 is generated by a router that acquires the header sample for analysis and transmits it to the format conversion device 100. The header sample xFlow packet 230 includes a frame header 231 of L2, an IP header 232 of L3, xFlow data 233, and a header sample 234 for analysis. Here, the IP header 232 of L3 is for forwarding the header sample xFlow packet 230, includes the address information of the format conversion device 100 as the destination address, and includes the address information of the router 13 as the source address. It should be noted that the frame header 231 of the header sample xFlow packet 230 is different from the frame header 221 of the encapsulated packet 220 and the frame header 211 of the packet 210.

xFlowデータ233は、xFlow技術により規定されたものであり、分析用ヘッダサンプル234には含まれない、カプセル化パケット220のメタ情報であって分析処理で利用可能なものを含む。例えば、メタ情報としては、ルータ13においてカプセル化パケット220を受信した物理ポート情報(インタフェース情報)や、カプセル化パケットを受信したタイムスタンプ情報が挙げられる。 The xFlow data 233 is defined by the xFlow technology, and includes meta information of the encapsulated packet 220 that can be used in the analysis process, which is not included in the analysis header sample 234. For example, as meta information, physical port information (interface information) for receiving the encapsulated packet 220 in the router 13 and time stamp information for receiving the encapsulated packet can be mentioned.

分析用ヘッダサンプル234は、少なくも前記Innerヘッダ212と前記Outerヘッダ222の全部または一部を含む。分析用ヘッダサンプル234は、カプセル化パケット220のフレームヘッダ221を含んでいてもよい。また、図2(c)の例では、分析用ヘッダサンプル234は、ペイロード213の先頭の一部を含む。これは、Innerヘッダ212やOuterヘッダ222は、そのプロトコルによってはオプション領域が存在するため不定長である場合があることから、カプセル化パケット220から分析用ヘッダサンプル234を抜き出す際に、カプセル化パケット220の先頭からInnerヘッダ212及びOuterヘッダ222の最大長から算出した固定長で抜き出す処理を行っているためである。このような処理により、分析用ヘッダサンプル234の取得処理を低負荷且つ高速に実施できる。なお、Innerヘッダ212及びOuterヘッダ222に自身のヘッダ長情報が格納されている場合やヘッダ長が固定の場合には、当該ヘッダ長情報を参照することにより又は当該固定長を用いることによりペイロード213の先頭の一部を含むことなくInnerヘッダ212及びOuterヘッダ222のみを抜き出すこともできる。 The analytical header sample 234 includes at least all or part of the Inner header 212 and the Outer header 222. The analytical header sample 234 may include the frame header 221 of the encapsulated packet 220. Further, in the example of FIG. 2C, the header sample 234 for analysis includes a part of the beginning of the payload 213. This is because the Inner header 212 and the Outer header 222 may have an indefinite length due to the existence of an optional area depending on the protocol. Therefore, when extracting the analysis header sample 234 from the encapsulation packet 220, the encapsulation packet This is because the process of extracting from the beginning of 220 with a fixed length calculated from the maximum lengths of the Inner header 212 and the Outer header 222 is performed. By such a process, the acquisition process of the header sample 234 for analysis can be performed with low load and high speed. If the Inner header 212 and the Outer header 222 store their own header length information or if the header length is fixed, the payload 213 can be obtained by referring to the header length information or by using the fixed length. It is also possible to extract only the Inner header 212 and the Outer header 222 without including a part of the beginning of the head.

フォーマット変換装置100は、ネットワーク10からヘッダサンプルxFlowパケット230を受信し、既存のxFlow技術によるxFlow分析装置21,22で処理可能なデータへと変換し、各xFlow分析装置21,22に出力する。ネットワーク10からフォーマット変換装置100へのデータ通信経路やその形態(例えばトンネルの有無)、フォーマット変換装置100から各xFlow分析装置21,22へのデータ通信経路やその形態(例えばトンネルの有無)については不問である。 The format conversion device 100 receives the header sample xFlow packet 230 from the network 10, converts it into data that can be processed by the xFlow analyzers 21 and 22 using the existing xFlow technology, and outputs the data to each xFlow analyzer 21 and 22. Regarding the data communication path and its form (for example, the presence or absence of a tunnel) from the network 10 to the format conversion device 100, and the data communication path and its form (for example, the presence or absence of a tunnel) from the format conversion device 100 to each of the xFlow analyzers 21 and 22 It doesn't matter.

図3にフォーマット変換装置100の機能ブロック図を示す。フォーマット変換装置100は、パケット入力部110と、フォーマット変換部120と、対応情報DB130と、統計型xFlowデータ生成部140と、パケット出力部150と、対応情報出力部160とを備える。 FIG. 3 shows a functional block diagram of the format conversion device 100. The format conversion device 100 includes a packet input unit 110, a format conversion unit 120, a correspondence information DB 130, a statistical type xFlow data generation unit 140, a packet output unit 150, and a correspondence information output unit 160.

フォーマット変換装置100は周知の情報処理装置により構成される。フォーマット変換装置100の実装形態は不問であり、例えば専用のハードウェア装置として実装してもよいし、物理コンピュータまたは仮想コンピュータにプログラムをインストールすることにより実装してもよい。また、フォーマット変換装置100は、その各部を複数のハードウェア装置に分散して実装してもよい。また、フォーマット変換装置100の各部又は一部は、ヘッダサンプルを取得するルータ13と同じ物理装置に実装されていてもよいし、xFlow分析装置21又は22と同じ物理装置上に実装されていてもよい。 The format conversion device 100 is composed of a well-known information processing device. The mounting form of the format conversion device 100 is irrelevant, and may be mounted as, for example, a dedicated hardware device, or may be mounted by installing a program on a physical computer or a virtual computer. Further, the format conversion device 100 may be mounted by distributing each part to a plurality of hardware devices. Further, each part or a part of the format conversion device 100 may be mounted on the same physical device as the router 13 that acquires the header sample, or may be mounted on the same physical device as the xFlow analyzer 21 or 22. Good.

パケット入力部110は、ネットワーク10からヘッダサンプルxFlowパケット230の入力を受け付ける。 The packet input unit 110 receives the input of the header sample xFlow packet 230 from the network 10.

フォーマット変換部120は、ヘッダサンプルxFlowパケット230のフォーマットを、該ヘッダサンプルxFlowパケット230から分析用ヘッダサンプル234に含まれるOuterヘッダ222を除外したフォーマットに変換し、当該分析用ヘッダサンプル234に含まれるInnerヘッダ212と前記除外したOuterヘッダ222との対応情報を対応情報DB130に保存する。 The format conversion unit 120 converts the format of the header sample xFlow packet 230 into a format in which the Outer header 222 included in the analysis header sample 234 is excluded from the header sample xFlow packet 230, and is included in the analysis header sample 234. Correspondence information between the Inner header 212 and the excluded Outer header 222 is stored in the correspondence information DB 130.

対応情報DB130に保存する対応情報は、Innerヘッダ212を識別可能な情報とOuterヘッダ222を識別可能な情報とを含み、両者を紐付ける(関連付ける)情報である。各ヘッダを識別情報な可能な情報は、当該ヘッダに係るプロトコルに依存する。例えばIPヘッダの場合、アドレス情報を用いることができる。また例えばMPLSヘッダの場合、ラベル情報を用いることができる。また、Outerヘッダ222が複数のヘッダを含む場合には、それぞれのヘッダに係るプロトコルに対応した複数の情報を含むことができる。本実施の形態では、カプセル化プロトコルとしてIPIPトンネルプロトコルを用いたので、Innerヘッダ212に含まれるアドレス情報とOuterヘッダ222に含まれるアドレス情報とを含む。アドレス情報は、少なくともL3のアドレス情報を含む。アドレス情報は、さらにL3からみて上位プロトコルのアドレス情報を含むことができる。また対応情報は、プロコトル種別情報などヘッダに含まれる他の情報を含むことができる。本実施の形態では、各ヘッダに含まれる宛先IPアドレス及び宛先ポート番号並びに発信元IPアドレス及び発信元ポート番号の組を含む。また、他の例としては、さらにプロコトル種別情報を含む5−tupleであってもよい。 Correspondence information The correspondence information stored in the DB 130 includes information that can identify the Inner header 212 and information that can identify the Outer header 222, and is information that links (associates) the two. The information that can identify each header depends on the protocol related to the header. For example, in the case of an IP header, address information can be used. Further, for example, in the case of MPLS header, label information can be used. Further, when the Outer header 222 includes a plurality of headers, a plurality of information corresponding to the protocol related to each header can be included. In the present embodiment, since the IPIP tunnel protocol is used as the encapsulation protocol, the address information included in the Inner header 212 and the address information included in the Outer header 222 are included. The address information includes at least L3 address information. The address information can further include the address information of the upper layer protocol from the viewpoint of L3. In addition, the correspondence information can include other information included in the header such as protocol type information. In the present embodiment, the destination IP address and the destination port number included in each header and the set of the source IP address and the source port number are included. Further, as another example, it may be 5-tuple including further protocol type information.

統計型xFlowデータ生成部140は、所定期間において得られたフォーマット変換部120によって変換された複数のヘッダサンプルxFlowパケットに基づき、統計型分析用データを生成する。この統計処理については既存のxFlow技術が用いられる。 The statistical type xFlow data generation unit 140 generates data for statistical type analysis based on a plurality of header sample xFlow packets converted by the format conversion unit 120 obtained in a predetermined period. The existing xFlow technology is used for this statistical processing.

パケット出力部150は、フォーマット変換部120による変換で得られたヘッダサンプルxFlowパケット240を、ヘッダサンプル分析型のxFlow分析装置(A)21に転送する。図2(D)にパケット出力部150が転送するヘッダサンプルxFlowパケット240のフォーマットを示す。図に示すように、このヘッダサンプルxFlowパケット240は、L2のフレームヘッダ241と、L3のIPヘッダ242と、xFlowデータ233と、分析用ヘッダサンプル244とを含む。ここで、パケット出力部150の出力するヘッダサンプルxFlowパケット240と、パケット入力部110に入力されたヘッダサンプルxFlowパケット230とのフォーマット上の相違点は、Outerヘッダ222の有無のみである。なお、L3のIPヘッダ242は、ヘッダサンプルxFlowパケット240を転送するためのものであり、宛先アドレスとしてxFlow分析装置(A)21のアドレス情報を含み、送信元アドレスとしてフォーマット変換装置100のアドレス情報を含む。なお、ヘッダサンプルxFlowパケット240のフレームヘッダ241は、前記ヘッダサンプルxFlowパケット230のフレームヘッダ231、前記カプセル化パケット220のフレームヘッダ221、前記パケット210のフレームヘッダ211とは異なるものである点に留意されたい。 The packet output unit 150 transfers the header sample xFlow packet 240 obtained by the conversion by the format conversion unit 120 to the header sample analysis type xFlow analyzer (A) 21. FIG. 2D shows the format of the header sample xFlow packet 240 transferred by the packet output unit 150. As shown in the figure, the header sample xFlow packet 240 includes a frame header 241 of L2, an IP header 242 of L3, xFlow data 233, and a header sample 244 for analysis. Here, the only difference in format between the header sample xFlow packet 240 output by the packet output unit 150 and the header sample xFlow packet 230 input to the packet input unit 110 is the presence or absence of the Outer header 222. The IP header 242 of L3 is for transferring the header sample xFlow packet 240, includes the address information of the xFlow analyzer (A) 21 as the destination address, and the address information of the format conversion device 100 as the source address. including. Note that the frame header 241 of the header sample xFlow packet 240 is different from the frame header 231 of the header sample xFlow packet 230, the frame header 221 of the encapsulated packet 220, and the frame header 211 of the packet 210. I want to be.

また、パケット出力部150は、統計型xFlowデータ生成部140により生成された統計型分析用データを統計型xFlowパケット250に格納し、統計型のxFlow分析装置(B)22に転送する。図2(E)にパケット出力部150が出力する統計型xFlowパケット250のフォーマットを示す。図に示すように、L2のフレームヘッダ251と、L3のIPヘッダ252と、xFlowデータ253とを含む。 Further, the packet output unit 150 stores the statistical type analysis data generated by the statistical type xFlow data generation unit 140 in the statistical type xFlow packet 250 and transfers it to the statistical type xFlow analyzer (B) 22. FIG. 2E shows the format of the statistical type xFlow packet 250 output by the packet output unit 150. As shown in the figure, the frame header 251 of L2, the IP header 252 of L3, and the xFlow data 253 are included.

ここで、xFlowデータ253は、統計型xFlowデータ生成部140により生成された統計型分析用データである。また、L3のIPヘッダ252は、統計型xFlowパケット250を転送するためのものであり、宛先アドレスとしてxFlow分析装置(B)22のアドレス情報を含み、送信元アドレスとしてフォーマット変換装置100のアドレス情報を含む。なお、統計型xFlowパケット250のフレームヘッダ251は、前記ヘッダサンプルxFlowパケット240のフレームヘッダ241、前記ヘッダサンプルxFlowパケット230のフレームヘッダ231、前記カプセル化パケット220のフレームヘッダ221、前記パケット210のフレームヘッダ211とは異なるものである点に留意されたい。 Here, the xFlow data 253 is statistical type analysis data generated by the statistical type xFlow data generation unit 140. Further, the IP header 252 of L3 is for transferring the statistical type xFlow packet 250, includes the address information of the xFlow analyzer (B) 22 as the destination address, and the address information of the format conversion device 100 as the source address. including. The frame header 251 of the statistical type xFlow packet 250 includes the frame header 241 of the header sample xFlow packet 240, the frame header 231 of the header sample xFlow packet 230, the frame header 221 of the encapsulated packet 220, and the frame of the packet 210. Note that this is different from header 211.

対応情報出力部160は、対応情報DB130に保存された対応情報を任意の出力先に出力する。対応情報出力部160は、xFlow分析装置(A)21及びxFlow分析装置(B)22の分析結果と同じ出力先に対応情報を出力することができる。対応情報出力部160は、出力先からの要求に応じて対応情報を出力してもよいし、出力先に対して「プッシュ」の形態で通知してもよい。例えば対応情報DB130の更新タイミングで又は定期的に対応情報を出力することができる。 The correspondence information output unit 160 outputs the correspondence information stored in the correspondence information DB 130 to an arbitrary output destination. The correspondence information output unit 160 can output the correspondence information to the same output destination as the analysis results of the xFlow analyzer (A) 21 and the xFlow analyzer (B) 22. The correspondence information output unit 160 may output the correspondence information in response to a request from the output destination, or may notify the output destination in the form of "push". For example, the correspondence information can be output at the update timing of the correspondence information DB 130 or periodically.

xFlow分析装置(A)21及びxFlow分析装置(B)22は、既存のxFlow技術で用いられる分析装置である。xFlow分析装置(A)21及びxFlow分析装置(B)22は、それぞれ周知の情報処理装置により構成される。xFlow分析装置(A)21及びxFlow分析装置(B)22の実装形態は不問であり、例えば専用のハードウェア装置として実装してもよいし、物理コンピュータまたは仮想コンピュータにプログラムをインストールすることにより実装してもよい。また、xFlow分析装置(A)21及びxFlow分析装置(B)22は、複数のハードウェア装置に分散して実装してもよい。 The xFlow analyzer (A) 21 and the xFlow analyzer (B) 22 are analyzers used in the existing xFlow technology. The xFlow analyzer (A) 21 and the xFlow analyzer (B) 22 are each composed of well-known information processing devices. The mounting form of the xFlow analyzer (A) 21 and the xFlow analyzer (B) 22 is not limited, and may be mounted as a dedicated hardware device, for example, or mounted by installing a program on a physical computer or a virtual computer. You may. Further, the xFlow analyzer (A) 21 and the xFlow analyzer (B) 22 may be distributed and mounted on a plurality of hardware devices.

xFlow分析装置(A)21は、ヘッダサンプルを入力として分析を行うものであり、具体的には、sFlow(非特許文献3参照)、IPFIX w/IE315(非特許文献4参照)などの方式が用いられる。xFlow分析装置(B)22は、サンプリングされたパケットのヘッダ情報から算出されたフロー統計情報を入力として分析を行うものであり、具体的には、NetFlow(非特許文献1参照)、IPFIX(非特許文献2−1〜2−6参照)などの方式が用いられる。 The xFlow analyzer (A) 21 performs analysis by inputting a header sample. Specifically, methods such as sFlow (see Non-Patent Document 3) and IPFIX w / IE315 (see Non-Patent Document 4) are available. Used. The xFlow analyzer (B) 22 analyzes the flow statistical information calculated from the header information of the sampled packet as an input, and specifically, NetFlow (see Non-Patent Document 1) and IPFIX (non-Patent Document 1). (See Patent Documents 2-1 to 2-6) and the like are used.

xFlow分析装置(A)21及びxFlow分析装置(B)22は、それぞれ分析結果をユーザの端末300に提供する。xFlow分析装置(A)21及びxFlow分析装置(B)22は、提供先からの要求に応じて分析結果を提供してもよいし、提供先に対して「プッシュ」の形態で通知してもよい。例えば分析結果の更新タイミングで又は定期的に分析結果を出力することができる。 The xFlow analyzer (A) 21 and the xFlow analyzer (B) 22 each provide analysis results to the user's terminal 300. The xFlow analyzer (A) 21 and the xFlow analyzer (B) 22 may provide the analysis result in response to a request from the provider, or may notify the provider in the form of "push". Good. For example, the analysis result can be output at the update timing of the analysis result or periodically.

次に、本実施の形態に係るネットワークシステムのシーケンス例について図4のシーケンスチャートを参照して説明する。 Next, a sequence example of the network system according to the present embodiment will be described with reference to the sequence chart of FIG.

分析実施フェーズでは、図4に示すように、まずカプセル化パケット220が流通するネットワーク10のルータ13が、当該カプセル化パケット220から分析用ヘッダサンプル234を取得し、当該分析用ヘッダサンプル234及びxFlowデータ233が格納されたヘッダサンプルxFlowパケット230をフォーマット変換装置100に転送する(ステップS1)。 In the analysis execution phase, as shown in FIG. 4, first, the router 13 of the network 10 through which the encapsulated packet 220 is distributed first acquires the analysis header sample 234 from the encapsulated packet 220, and then obtains the analysis header sample 234 and xFlow. The header sample xFlow packet 230 in which the data 233 is stored is transferred to the format conversion device 100 (step S1).

フォーマット変換装置100は、ヘッダサンプルxFlowパケット230のフォーマットをOuterヘッダ222を除外したフォーマットに変換するとともに、Innerヘッダ212とOuterヘッダ222の対応情報を対応情報DB130に格納する(ステップS2)。そして、フォーマット変換装置100は、xFlow分析装置(A)21に対しては、フォーマット変換した得られたヘッダサンプルxFlowパケット240を転送する(ステップS3)。また、フォーマット変換装置100は、xFlow分析装置(B)22に対しては、フォーマット変換したヘッダサンプルxFlowパケットに基づき統計型分析用データを生成し、当該統計型分析用データを格納した統計型xFlowパケット250をxFlow分析装置(B)22に転送する。 The format conversion device 100 converts the format of the header sample xFlow packet 230 into a format excluding the Outer header 222, and stores the correspondence information between the Inner header 212 and the Outer header 222 in the correspondence information DB 130 (step S2). Then, the format conversion device 100 transfers the obtained header sample xFlow packet 240 that has been format-converted to the xFlow analyzer (A) 21 (step S3). Further, the format conversion device 100 generates statistical analysis data for the xFlow analyzer (B) 22 based on the format-converted header sample xFlow packet, and stores the statistical analysis data in the statistical xFlow. The packet 250 is transferred to the xFlow analyzer (B) 22.

分析結果確認フェーズでは、フォーマット変換装置100は、ユーザ端末300に対して対応情報DB130に保存されている対応情報を提供する(ステップS11)。また、xFlow分析装置(A)21及びxFlow分析装置(B)22は、それぞれ分析結果をユーザ端末300に提供する(ステップS12,S13)。これにより、ユーザ端末300は、xFlow分析装置(A)21及びxFlow分析装置(B)22で実施されたInnnerヘッダ212に基づく分析結果を得ることができるとともに、Innerヘッダ212とOuterヘッダ222の対応関係を認識することができるので、カプセル化パケット220が流通するネットワーク10において、カプセル内側トラヒックの効率的な集計・分析が可能になる。図5にユーザ端末300に表示させたxFlow分析装置(A)21における分析結果の一例を示す。また図6にユーザ端末300に表示させた対応情報の一例を示す。 In the analysis result confirmation phase, the format conversion device 100 provides the user terminal 300 with the correspondence information stored in the correspondence information DB 130 (step S11). Further, the xFlow analyzer (A) 21 and the xFlow analyzer (B) 22 provide the analysis results to the user terminal 300, respectively (steps S12 and S13). As a result, the user terminal 300 can obtain the analysis result based on the Inner header 212 carried out by the xFlow analyzer (A) 21 and the xFlow analyzer (B) 22, and the correspondence between the Inner header 212 and the Outer header 222. Since the relationship can be recognized, efficient aggregation and analysis of the traffic inside the capsule becomes possible in the network 10 in which the encapsulated packet 220 is distributed. FIG. 5 shows an example of the analysis result in the xFlow analyzer (A) 21 displayed on the user terminal 300. Further, FIG. 6 shows an example of the corresponding information displayed on the user terminal 300.

以上、本発明の一実施の形態について詳述したが、本発明は上記実施の形態に限定されるものではなく、本発明の主旨を逸脱しない範囲において、種々の改良や変更をしてもよい。 Although one embodiment of the present invention has been described in detail above, the present invention is not limited to the above-described embodiment, and various improvements and modifications may be made without departing from the gist of the present invention. ..

例えば、上記実施の形態ではフォーマット変換装置100は、xFlow分析装置(A)21用のヘッダサンプルxFlowパケット240と、xFlow分析装置(B)22用の統計型xFlowパケット250の双方を出力するよう構成したが、何れか一方のみを出力するよう構成してもよい。 For example, in the above embodiment, the format conversion device 100 is configured to output both the header sample xFlow packet 240 for the xFlow analyzer (A) 21 and the statistical type xFlow packet 250 for the xFlow analyzer (B) 22. However, it may be configured to output only one of them.

10…ネットワーク
11,12,13…ルータ
14…トンネル
100…フォーマット変換装置
110…パケット入力部
120…フォーマット変換部
130…対応情報DB
140…統計型xFlowデータ生成部
150…パケット出力部
160…対応情報出力部
210…パケット(カプセル内パケット)
212…Innerヘッダ
220…カプセル化パケット
222…Outerヘッダ
230…ヘッダサンプルxFlowパケット
240…ヘッダサンプルxFlowパケット(変換後)
250…統計型xFlowパケット
10 ... Network 11, 12, 13 ... Router 14 ... Tunnel 100 ... Format conversion device 110 ... Packet input unit 120 ... Format conversion unit 130 ... Corresponding information DB
140 ... Statistical xFlow data generation unit 150 ... Packet output unit 160 ... Corresponding information output unit 210 ... Packet (packet in capsule)
212 ... Inner header 220 ... Encapsulation packet 222 ... Outer header 230 ... Header sample xFlow packet 240 ... Header sample xFlow packet (after conversion)
250 ... Statistical xFlow packet

Claims (8)

パケットを分析する分析装置の前段に設けられたフォーマット変換装置であって、
パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力部と、
前記入力部により入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換部と、
前記変換部によって変換されたヘッダサンプル転送パケットを前記分析装置に転送する出力部とを備えた
ことを特徴とするフォーマット変換装置。 It is a format conversion device provided in front of the analyzer that analyzes packets.
A header in which an analysis header sample including an outer header which is a header of an encapsulated packet and an inner header which is a header of an in-capsule packet of the encapsulated packet is stored from a network in which an encapsulated packet formed by encapsulating a packet is distributed. Input section that accepts sample transfer packet input and
The format of the header sample transfer packet input by the input unit is converted into a format in which the outer header included in the analysis header sample is excluded from the header sample transfer packet, and the inner header included in the analysis header sample and the above. A conversion unit that saves the correspondence information with the excluded outer header,
A format conversion device including an output unit that transfers a header sample transfer packet converted by the conversion unit to the analyzer. パケットを分析する分析装置の前段に設けられたフォーマット変換装置であって、
パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力部と、
前記入力部により入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換部と、
所定期間において得られた前記変換部によって変換されたヘッダサンプル転送パケットに基づき統計型分析用データを生成する統計型分析用データ生成部と、
前記統計型分析用データ生成部で生成した統計型分析用データを統計型分析用データ転送パケットに格納して前記分析装置に転送する出力部とを備えた
ことを特徴とするフォーマット変換装置。 It is a format conversion device provided in front of the analyzer that analyzes packets.
A header in which an analysis header sample including an outer header which is a header of an encapsulated packet and an inner header which is a header of an in-capsule packet of the encapsulated packet is stored from a network in which an encapsulated packet formed by encapsulating a packet is distributed. Input section that accepts sample transfer packet input and
The format of the header sample transfer packet input by the input unit is converted into a format in which the outer header included in the analysis header sample is excluded from the header sample transfer packet, and the inner header included in the analysis header sample and the above. A conversion unit that saves the correspondence information with the excluded outer header,
A data generation unit for statistical analysis that generates data for statistical analysis based on a header sample transfer packet converted by the conversion unit obtained in a predetermined period, and a data generation unit for statistical analysis.
A format conversion device including an output unit that stores statistical analysis data generated by the statistical analysis data generation unit in a statistical analysis data transfer packet and transfers the data to the analysis device. 前記ヘッダサンプル転送パケットは、カプセル化パケットの分析用のメタ情報を含む
ことを特徴とする請求項1又は2記載のフォーマット変換装置。 The format conversion device according to claim 1 or 2, wherein the header sample transfer packet includes meta information for analysis of the encapsulated packet. 前記ヘッダサンプル転送パケットは、前記ネットワークにおいてカプセル化パケットを格納して流通されるフレームのフレームヘッダを含む
ことを特徴とする請求項1乃至3何れか1項記載のフォーマット変換装置。 The format conversion device according to any one of claims 1 to 3, wherein the header sample transfer packet includes a frame header of a frame that stores and distributes an encapsulated packet in the network. 前記変換部によって保存された対応情報を、前記分析装置の分析結果の出力先装置に対して出力する対応情報出力部を備えた
ことを特徴とする請求項1乃至4何れか1項記載のフォーマット変換装置。 The format according to any one of claims 1 to 4, further comprising a corresponding information output unit that outputs the corresponding information stored by the conversion unit to the output destination device of the analysis result of the analyzer. Conversion device. パケットを分析する分析装置の前段に設けられたフォーマット変換装置におけるフォーマット変換方法であって、
入力部が、パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力ステップと、
変換部が、前記入力ステップにより入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換ステップと、
出力部が、前記変換部によって変換されたヘッダサンプル転送パケットを前記分析装置に転送する出力ステップとを備えた
ことを特徴とするフォーマット変換方法。 It is a format conversion method in the format conversion device provided in front of the analyzer that analyzes packets.
An analysis header sample including an outer header which is a header of an encapsulated packet and an inner header which is a header of an in-capsule packet of the encapsulated packet is provided from a network in which an encapsulated packet whose input unit encapsulates a packet is distributed. An input step that accepts the input of the stored header sample transfer packet, and
The conversion unit converts the format of the header sample transfer packet input by the input step into a format in which the outer header included in the analysis header sample is excluded from the header sample transfer packet, and is included in the analysis header sample. A conversion step for saving the correspondence information between the inner header and the excluded outer header, and
A format conversion method, characterized in that the output unit includes an output step of transferring a header sample transfer packet converted by the conversion unit to the analyzer. パケットを分析する分析装置の前段に設けられたフォーマット変換装置におけるフォーマット変換方法であって、
入力部が、パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力ステップと、
変換部が、前記入力部により入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換ステップと、
統計型分析用データ生成部が、所定期間において得られた前記変換部によって変換されたヘッダサンプル転送パケットに基づき統計型分析用データを生成する統計型分析用データ生成ステップと、
出力部が、前記統計型分析用データ生成部で生成した統計型分析用データを統計型分析用データ転送パケットに格納して前記分析装置に転送する出力ステップとを備えた
ことを特徴とするフォーマット変換方法。 It is a format conversion method in the format conversion device provided in front of the analyzer that analyzes packets.
An analysis header sample including an outer header which is a header of an encapsulated packet and an inner header which is a header of an in-capsule packet of the encapsulated packet is provided from a network in which an encapsulated packet whose input unit encapsulates a packet is distributed. An input step that accepts the input of the stored header sample transfer packet, and
The conversion unit converts the format of the header sample transfer packet input by the input unit into a format in which the outer header included in the analysis header sample is excluded from the header sample transfer packet, and is included in the analysis header sample. A conversion step for saving the correspondence information between the inner header and the excluded outer header, and
A data generation step for statistical analysis in which the data generation unit for statistical analysis generates data for statistical analysis based on the header sample transfer packet converted by the conversion unit obtained in a predetermined period.
A format characterized in that the output unit includes an output step of storing the statistical analysis data generated by the statistical analysis data generation unit in a statistical analysis data transfer packet and transferring the data to the analyzer. Conversion method. コンピュータを、前記請求項1乃至5何れか1項に記載のフォーマット変換装置の各部として機能させるためのフォーマット変換プログラム。
A format conversion program for causing a computer to function as each part of the format conversion device according to any one of claims 1 to 5.
JP2019220134A 2019-12-05 2019-12-05 Format conversion device, method and program Active JP7294764B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019220134A JP7294764B2 (en) 2019-12-05 2019-12-05 Format conversion device, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019220134A JP7294764B2 (en) 2019-12-05 2019-12-05 Format conversion device, method and program

Publications (2)

Publication Number Publication Date
JP2021090161A true JP2021090161A (en) 2021-06-10
JP7294764B2 JP7294764B2 (en) 2023-06-20

Family

ID=76220498

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019220134A Active JP7294764B2 (en) 2019-12-05 2019-12-05 Format conversion device, method and program

Country Status (1)

Country Link
JP (1) JP7294764B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024024058A1 (en) * 2022-07-28 2024-02-01 日本電信電話株式会社 Analysis device, analysis method, analysis program, and analysis system
WO2024038523A1 (en) * 2022-08-17 2024-02-22 日本電信電話株式会社 Conversion device, conversion method, and conversion program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011239218A (en) * 2010-05-11 2011-11-24 Hitachi Cable Ltd Network relay device, statistic information acquisition system, and statistic information acquisition method
JP2016508353A (en) * 2013-01-10 2016-03-17 ネットフロー ロジック コーポレーション Improved streaming method and system for processing network metadata
WO2018066228A1 (en) * 2016-10-06 2018-04-12 日本電信電話株式会社 Flow information analysis apparatus, flow information analysis method, and flow information analysis program
JP2019097069A (en) * 2017-11-24 2019-06-20 日本電信電話株式会社 Format converter and format conversion program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011239218A (en) * 2010-05-11 2011-11-24 Hitachi Cable Ltd Network relay device, statistic information acquisition system, and statistic information acquisition method
JP2016508353A (en) * 2013-01-10 2016-03-17 ネットフロー ロジック コーポレーション Improved streaming method and system for processing network metadata
WO2018066228A1 (en) * 2016-10-06 2018-04-12 日本電信電話株式会社 Flow information analysis apparatus, flow information analysis method, and flow information analysis program
JP2019097069A (en) * 2017-11-24 2019-06-20 日本電信電話株式会社 Format converter and format conversion program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
林 裕平、他: "ハッシュを用いたinner-outerヘッダ対応付け方式の設定値の一検討", 電子情報通信学会2019年ソサイエティ大会 通信講演論文集2, JPN6022053420, 27 August 2019 (2019-08-27), JP, pages 18, ISSN: 0004949420 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024024058A1 (en) * 2022-07-28 2024-02-01 日本電信電話株式会社 Analysis device, analysis method, analysis program, and analysis system
WO2024038523A1 (en) * 2022-08-17 2024-02-22 日本電信電話株式会社 Conversion device, conversion method, and conversion program

Also Published As

Publication number Publication date
JP7294764B2 (en) 2023-06-20

Similar Documents

Publication Publication Date Title
US8751642B2 (en) Method and system for management of sampled traffic data
US20220078114A1 (en) Method and Apparatus for Providing Service for Traffic Flow
CN112702330B (en) Lightweight in-band network telemetry method and device for Overlay network and storage medium
JP4774357B2 (en) Statistical information collection system and statistical information collection device
JP7432095B2 (en) How to forward packets in SRv6 service function chain, SFF, and SF devices
JP2019106705A (en) Method and apparatus for monitoring traffic in network
US20120257529A1 (en) Computer system and method of monitoring computer system
US20100125661A1 (en) Arrangement for monitoring performance of network connection
US8514723B2 (en) Traffic monitoring by lowest transmission layer marking
CN112866075A (en) In-band network telemetering method, system and related device for Overlay network
CN101159656B (en) Packet sampling method, system and equipment
CN102694738B (en) Virtual private network (VPN) gateway and method for forwarding messages at VPN gateway
US10523536B2 (en) Length control for packet header sampling
JP4823156B2 (en) Remote traffic monitoring method
JP7294764B2 (en) Format conversion device, method and program
JP6290849B2 (en) Traffic analysis system and traffic analysis method
CN113328915A (en) Associated network measuring method based on SRv6
CN113328956B (en) Message processing method and device
CN108075991B (en) Message forwarding method and device
WO2015196636A1 (en) Packet collection method and system, network device and network management centre
US20230327983A1 (en) Performance measurement in a segment routing network
US20160156537A1 (en) Method and network monitoring device for estimating web page download time on a user device
EP1445896A1 (en) Provider connection system, packet exchange apparatus thereof, dns server, packet exchange method, and computer program thereof
JP2006050433A (en) Traffic monitoring apparatus, communication network traffic monitoring system and monitoring method
JP2003244251A (en) Packet communication method for reconfiguring tunnel path

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20191209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20191209

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230607

R150 Certificate of patent or registration of utility model

Ref document number: 7294764

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150