JP2022515990A - 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 - Google Patents
通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 Download PDFInfo
- Publication number
- JP2022515990A JP2022515990A JP2021533189A JP2021533189A JP2022515990A JP 2022515990 A JP2022515990 A JP 2022515990A JP 2021533189 A JP2021533189 A JP 2021533189A JP 2021533189 A JP2021533189 A JP 2021533189A JP 2022515990 A JP2022515990 A JP 2022515990A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- traffic flow
- network element
- acl
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000004891 communication Methods 0.000 title claims abstract description 10
- 238000012544 monitoring process Methods 0.000 title claims description 39
- 238000005070 sampling Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 230000010076 replication Effects 0.000 claims description 3
- 230000007423 decrease Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000032683 aging Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection (CSMA-CD)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
Abstract
ネットワーク要素及び方法が、通信ネットワーク内で伝送される複数のトラフィックフローをモニタリングするように構成され、前記ネットワーク要素が、ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、トラフィックフローのトラッキング及び統計データのエクスポートを実行するように構成された少なくとも1つのCPUと、を含む。【選択図】 図1
Description
本開示は、包括的には、ネットワーキングの分野に関し、特に通信トラフィックのネットワークフローの測定に関する。
ASIC:特定用途向け集積回路(Application-Specific Integrated Circuit)
ACL:アクセス制御リスト(Access Control List)
BGP:ボーダー・ゲートウェイ・プロトコル(Border Gateway Protocol)
CPU:中央処理装置(Central Processing Unit)
DDoS:分散型サービス妨害(Distributed Denial-of-Service)
Dst-IP:宛先IP(アドレス)(Destination IP (address))
DSCP:差別化サービスコードポイント(Differentiated Services Code Point)
FIB:転送情報ベース(Forwarding Information Base)テーブル
FPGA:フィールドプログラマブルゲートアレイ(Field-Programmable Gate Array)
Src-IP:発信元IP(アドレス)(Source IP (address))
TCP:伝送制御プロトコル(Transmission Control Protocol)
TTL:有効時間(Time to Live)
7組パラメータ(7-tuple parameters):ネットワークフローは、所与の発信元及び宛先エンドポイント間の一方向のパケット列として定義される。従来のNetFlowは、発信元及び宛先IPアドレス、トランスポート層ポート数、IPプロトコル、タイプオブサービス(ToS)、及び入力インタフェースポートの7組を使用して一意的にフローを識別し、エグレスNetFlowは出力インタフェースを使用する。
ACL:アクセス制御リスト(Access Control List)
BGP:ボーダー・ゲートウェイ・プロトコル(Border Gateway Protocol)
CPU:中央処理装置(Central Processing Unit)
DDoS:分散型サービス妨害(Distributed Denial-of-Service)
Dst-IP:宛先IP(アドレス)(Destination IP (address))
DSCP:差別化サービスコードポイント(Differentiated Services Code Point)
FIB:転送情報ベース(Forwarding Information Base)テーブル
FPGA:フィールドプログラマブルゲートアレイ(Field-Programmable Gate Array)
Src-IP:発信元IP(アドレス)(Source IP (address))
TCP:伝送制御プロトコル(Transmission Control Protocol)
TTL:有効時間(Time to Live)
7組パラメータ(7-tuple parameters):ネットワークフローは、所与の発信元及び宛先エンドポイント間の一方向のパケット列として定義される。従来のNetFlowは、発信元及び宛先IPアドレス、トランスポート層ポート数、IPプロトコル、タイプオブサービス(ToS)、及び入力インタフェースポートの7組を使用して一意的にフローを識別し、エグレスNetFlowは出力インタフェースを使用する。
フローモニタリングは、最新のネットワークにおいて実装する必要がある必須の機能となっている。ネットワークオペレータは、様々な目的及び用途で、そして高分解能で、ネットワーク内を伝送されるトラフィックに関連する情報を収集する必要がある。そのような用途のいくつかの例は、以下の通りである。
・DDoSフロー検出
・トラフィックエンジニアリング
・ネットワーク可視性
・広告
・DDoSフロー検出
・トラフィックエンジニアリング
・ネットワーク可視性
・広告
種々のフローモニタリングプロトコルが、業界内で使用する為に定義されている。最も知られているプロトコルは、NetFlow及びIPFIXである。一般的に、フローモニタリングメカニズムの実装には、通常「フローキャッシュ」と呼ばれるテーブル内の既知のアクティブフローのリストを維持する必要があり、また、フローはしばしばパケットの7組セット、即ち同じ7つのパラメータ、即ちIn-Port、Src-IP、Dst-IP、DSCP/TC、IPプロトコル、Src-L4-Port及びDst-L4-Port、を共有するパケットのセットとして定義される。
フローモニタリングは通常、イングレスパケットを各々のフローに分類する為に使用され、受信したパケットの7組パラメータのそれぞれは、「フローキャッシュ」テーブル内の既知のアクティブフローのリストと比較される。受信したパケットが「フローキャッシュ」内の現在アクティブなフローのいずれかに属していると識別できない場合、「フローキャッシュ」テーブルに新たなフローが追加される。
フローモニタリングの機能は通常、アクティブフローのそれぞれに関連する統計値を収集することを含む。アクティブフローのそれぞれのトラフィック測定により統計値が記録されるパラメータの特定の例は、以下の通りである。
・イン-パケット(In-packets)
・イン-バイト(In-bytes)
・フロー開始時間
・フロー終了時間
・観測されたTCPフラッグのリスト
・次ホップアドレス/インタフェース
・最大/最小の観測されたパケットサイズ
・最大/最小の観測されたTTL値
・イン-パケット(In-packets)
・イン-バイト(In-bytes)
・フロー開始時間
・フロー終了時間
・観測されたTCPフラッグのリスト
・次ホップアドレス/インタフェース
・最大/最小の観測されたパケットサイズ
・最大/最小の観測されたTTL値
最後に、フローモニタリングの機能はさらに、経時変化の機能を含み、トラフィックフローは、インアクティブフローになるとフローキャッシュテーブルから除去される。通常、フローがインアクティブフローになる基準は、フローに関連する最後のパケットが受信された時間から経過した予め定義された期間であるか、又は、「フロー終了」の標識(例えば、TCP終了フラッグ(TCP FIN flag))と共に特定のフローに関連するパケットが受信された時であることができる。
受信されたパケットのそれぞれは、フローモニタリングの為にネットワークデバイスにより検査されるべきであるから、フローモニタリングの機能がハードウェアデバイス(例えば、ASCI又はFPGAチップ)内に実装されることが不可欠である。しかしながら、全てのネットワークデバイスが、フローモニタリングをサポートするパケットプロセッサに基づいてはおらず、又は、そのような機能を実装する為のインラインFPGAデバイスを備えてはいない。そのような場合、オペレータは、ネットワークデバイスのローカルCPU上で実行されているソフトウェアのロジックとして、フローモニタリングメカニズムを実装することを決定することができる。受信したパケットの複製が、ソフトウェアベースのフローモニタリング検査の為にローカルCPUに送信される。ローカルCPUは、パケットプロセッサにより受信された全てのパケットを処理することはできないので、この問題を解決する為にパケットのサンプリング方法が通常用いられ、即ち、受信したパケットの全てがローカルCPUに転送されるわけではなく、その代わりに、オペレータにより構成されたサンプルレートにより、パケットの一部のみがローカルCPUに転送される。パケットのサンプリング方法の欠点は、ほとんどのトラフィックは測定されないという事実であり、その結果、フローの統計値はトラフィックフローの断片のみを表している。
本開示は、トラフィックフローのモニタリングに関連する上記の障害を解決する解決策を提供するものである。
本開示は、添付の特許請求の範囲を参照することによって要約することができる。
本開示の目的は、既知のトラフィックフローのモニタリングを可能にする通信ネットワーク内で動作可能な新規のネットワーク要素及びソフトウェアを提供することである。
本開示の他の目的は、パケットプロセッサの転送レートで既存(既知)のフローのトラフィック測定を実行する新規のネットワーク要素及びソフトウェアを提供することである。
本開示の他の目的は、「フローサンプリング」アプローチを実装することにより、新規(未知)のフローの検出時間を短縮することを対象とする新規のネットワーク要素及びソフトウェアを提供することである。
本開示の他の目的は、以下の説明から明らかになる。
本発明の第1の実施形態によれば、通信ネットワーク内で伝送される複数のトラフィックフローをモニタリングするように構成されたネットワーク要素(即ち、物理的、非一時的ネットワーク要素)であって、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含むことを特徴とするネットワーク要素が提供される。
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含むことを特徴とするネットワーク要素が提供される。
他の実施形態では、少なくとも1つのプロセッサ(例えば、パケットプロセッサ)がさらに、複数の入力パケットをそれぞれの既知のトラフィックフローに分類するように構成される。好ましくは、それぞれの既知のトラフィックフローへの複数の入力パケットの分類が、ACL機能に関連するテーブルを使用することにより達成される。
本明細書及び特許請求の範囲で使用する「既知のトラフィックフロー」という用語は、そのトラフィックフローに属するパケットを受信するネットワーク要素により既に認識されているトラフィックフローを示す為に使用され、特定のトラフィックフローに属する全てのパケットは、これら全てのパケットに共通の配信関連パラメータに関連付けされている。
本明細書及び特許請求の範囲で使用する「未知のトラフィックフロー」という用語は、そのトラフィックフローに属するパケットを受信するネットワーク要素によりまだ認識されていないトラフィックフロー、又は、ネットワーク要素でパケットを受信した時にアクティブでないトラフィックフローを示す為に使用され、特定の未知のトラフィックフローに属する全てのパケットは、これら全てのパケットに共通の配信関連パラメータに関連付けされている。
他の実施形態では、ACL機能は、各々が既知のトラフィックフローに関連する(を表す)複数のACLルール、及び、全ての未知のトラフィックフローに関連する(を表す)デフォルトACLルールを関連付けることにより得られる。
さらに他の実施形態では、デフォルトACLルールが、未知のトラフィックフローに属するパケットの複製の生成及び少なくとも1つのCPUへの転送を開始するように構成され、それにより、少なくとも1つのCPUに存在するフロートラッキングアプリケーションにより学習される。
他の実施形態によると、既知のトラフィックフローを表す複数のACLルールの1つに従うパケットは、複数のACLルールのその1つにより表される既知のトラフィックフローに属するパケットであると決定される。
さらに他の実施形態では、1つのCPUは、周期的にトラフィックフローをトラッキングし、トラフィックフローのライフサイクルに関するACL機能に関連するテーブルから情報を取り出し、そして、a)インアクティブトラフィックフローに関する情報を含むパケットの生成を開始することにより、また、b)インアクティブトラフィックフローに関するデータを収集するように動作可能な遠隔デバイス(統計データの収集を可能にするように構成されたデバイス)に向けてパケットのエクスポートを開始することにより、統計データをエクスポートするように構成される。
他の実施形態によると、ネットワーク要素はさらに、ネットワーク要素により受信され、既知のトラフィックフローに属するパケットのレートと本質的に等しいレートで、既知のトラフィックフローのフローレートをモニタリングするように構成される。即ち、本開示のこの実施形態によると、ネットワーク要素には既知のフローの1つに関連し、ネットワーク要素により受信される各パケットは考慮に入れられる(例えば、トラフィックフローの統計値を計算する為のトラフィックフローのパケットの1つとして数えられる)。
他の実施形態によると、既知のトラフィックフローのフローレートのモニタリングは、予め定義されたトラフィックフローのサンプリングレートにより実行され、新規に検出されたトラフィックフロー(未知のトラフィックフロー)の一部にのみ関する情報は考慮に入れられ(考慮され)、そして、情報を考慮に入れた新規に検出されたトラフィックフローの数は、予め定義されたトラフィックフローのサンプリングレートに依存する。予め定義されたトラフィックフローのサンプリングレートは、任意で、ユーザにより構成されることができる。
さらに他の実施形態では、複数のトラフィックフローのそれぞれは、以下のことを特徴とする。
a.複数のトラフィックフローのそれぞれは、同一の転送関連パラメータ(例えば、In-Port、Src-IP、Dst-IP、IP-プロトコル)を有する複数のパケットを含む。
b.複数のトラフィックフローのそれぞれは、予め定義された期間経過後に終了し、予め定義された期間は、各トラフィックフローに関連する最後のパケットが受信された時間から始まる期間であり、及び/又は、各トラフィックフローに関連するパケットは、エンドオブフロー特性(end-of-flow characteristic)(例えば、TCP終了フラッグ(TCP FIN flag))を含む。
c.複数のトラフィックフローのそれぞれは、各トラフィックフローに関連するパケットが最初に検出された時、及び/又は、各トラフィックフローが終了したトラフィックフローとして決定された後、各トラフィックフローに関連するパケットが最初に検出された時に開始される。
a.複数のトラフィックフローのそれぞれは、同一の転送関連パラメータ(例えば、In-Port、Src-IP、Dst-IP、IP-プロトコル)を有する複数のパケットを含む。
b.複数のトラフィックフローのそれぞれは、予め定義された期間経過後に終了し、予め定義された期間は、各トラフィックフローに関連する最後のパケットが受信された時間から始まる期間であり、及び/又は、各トラフィックフローに関連するパケットは、エンドオブフロー特性(end-of-flow characteristic)(例えば、TCP終了フラッグ(TCP FIN flag))を含む。
c.複数のトラフィックフローのそれぞれは、各トラフィックフローに関連するパケットが最初に検出された時、及び/又は、各トラフィックフローが終了したトラフィックフローとして決定された後、各トラフィックフローに関連するパケットが最初に検出された時に開始される。
他の実施形態では、ネットワーク要素はさらに、パケットプロセッサ内に含まれるACLエンジンを使用して、既知のトラフィックフローのそれぞれを特徴付ける統計データを維持するように構成される。この実施形態は、各トラフィックフロー毎に統計値の維持を実装する為にソフトウェアメカニズムが不要であることを可能にする。
他の実施形態によると、ネットワーク要素のパケットプロセッサは、パケットスヌーピングメカニズムを作用し、ACL機能を使用することにより、トラフィックフロー学習(例えば、新規のトラフィックフローの開始の検出)を実行するように構成され、そして、パケットが既知の現在アクティブなフローのいずれにも属していないことの決定は、パケットプロセッサにより決定される。好ましくは、新規のトラフィックフローの開始を検出すると、少なくとも1つのCPUロジックが、CPUロジックに含まれるフローキャッシュテーブルに新規のアクティブトラフィックフローを追加するように構成される。
さらに他の実施形態では、ネットワーク要素はさらに、どのフローがインアクティブになったかを決定し、任意で、そのようなインアクティブフローを「フローキャッシュ」テーブルから除去するように構成される。好ましくは、上記決定は、プロセッサにACLルールとして記憶された、及び/又は、ローカルCPUに記憶されたフローキャッシュテーブルに由来する更新された情報を考慮に入れて決定され、それにより、ローカルCPUに記憶されたフローキャッシュテーブルから各ACLルールを除去することを可能にする。
本開示の他の側面によると、通信ネットワーク内で動作可能なネットワーク要素により伝達される複数のトラフィックフローをモニタリングする為の方法であって、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含み、
前記方法が、
ネットワーク要素により複数のパケットを受信し、
複数のパケットのそれぞれについて、ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
取り出された前記統計データをアクティブトラフィックフローのモニタリングに適用する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
前記ネットワーク要素に到着した複数の先行するパケットのどれが新規のトラフィックフローに属するか決定し、新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
ことを含むことを特徴とする方法が提供される。
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含み、
前記方法が、
ネットワーク要素により複数のパケットを受信し、
複数のパケットのそれぞれについて、ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
取り出された前記統計データをアクティブトラフィックフローのモニタリングに適用する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
前記ネットワーク要素に到着した複数の先行するパケットのどれが新規のトラフィックフローに属するか決定し、新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
ことを含むことを特徴とする方法が提供される。
本開示のこの側面の他の実施形態によると、ネットワーク要素に到着する新規のトラフィックフローの総数の中からACLルールが生成される新規のトラフィックフローの割合は、前記ネットワーク要素に到着する新規のトラフィックフローの数が増加すると、減少する。
本開示のさらに他の側面により、1以上のコンピュータプロセッサにより実行される命令セットを実行する為のコンピュータプログラムを記憶する非一時的コンピュータ可読媒体であって、前記コンピュータプログラムは、通信ネットワーク内で動作可能なネットワーク要素により伝達される複数のトラフィックフローをモニタリングする為の方法を実行するのに適しており、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含み、
前記方法が、
前記ネットワーク要素が複数のパケットを受信すると、ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
取り出された前記統計データをアクティブトラフィックフローのモニタリングに適用する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
前記ネットワーク要素に到着した複数の先行するパケットのどれが新規のトラフィックフローに属するか決定し、前記新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
ことを含むことを特徴とする非一時的コンピュータ可読媒体が提供される。
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含み、
前記方法が、
前記ネットワーク要素が複数のパケットを受信すると、ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
取り出された前記統計データをアクティブトラフィックフローのモニタリングに適用する、
ことを含み、
パケットが、ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
前記ネットワーク要素に到着した複数の先行するパケットのどれが新規のトラフィックフローに属するか決定し、前記新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
ことを含むことを特徴とする非一時的コンピュータ可読媒体が提供される。
本明細書に組み込まれ、本明細書の一部を構成する添付の図面は、本開示のいくつかの実施形態を示し、以下の説明と共に、本明細書に開示されるこれらの実施形態の原理を説明するために使用される。
以下の詳細な説明における特定の詳細及び値の一部は、本開示の特定の例を示している。但し、この説明は、例示的なものであり、本発明の範囲を限定することを意図するものではない。特許請求される方法及び装置は、当該技術分野で公知の他の手法によって実現できることは、当業者にとって明らかである。更に、ここに記述した実施形態は、異なるステップを含むが、その全てが本発明の全ての実施形態において必要とされるわけではない。
高性能ネットワークデバイスデータプレーンは、通常、ASIC又はFPGAの形式で実装することができるパケットプロセッサに基づいている。パケットプロセッサは、複数のネットワークインタフェースを有し、パケットプロセッサがインストールされているネットワーク要素で受信されたパケットをどのように転送するか決定するように構成されている。上記決定は、転送情報ベース(FIB)テーブルに従って、パケットプロセッサにより決定される。FIBテーブルに加えて、パケットプロセッサは他のツールも維持する。そのような他のツールの1つは、特定の基準にマッチするパケットに対して実行することが必要な動作を定義する複数のルールを含むテーブルであるアクセス制御リスト(ACL)である。
これらの動作の例は、マッチしたパケットの破棄、パケットのロギング又は特定のインタフェースへのパケットのリダイレクト(ACLベースの転送)である。ルールのマッチング基準は、イングレスインタフェース(パケットを受信したインタフェース)及びパケットのヘッダパラメータのセットとしてよく実装される。そのようなルールのマッチング基準のいくつかの例は、特定の宛先IPアドレスを有するパケット、特定の発信元L4ポートを有するパケット等である。特定のルールにマッチするパケットであるとパケットが決定されると、通常その回数が数えられ、それにより、入力トラフィックに特定のルールが適用された回数に関する情報をオペレータが得ることを可能にする。
上述の少なくとも1つのパケットプロセッサに加えて、本開示のネットワーク要素はさらに、フォワーディングエンジンアプリケーションを実行するように構成された少なくとも1つのCPUを含む。フォワーディングエンジンアプリケーションは、FIB、ACL、及びルーティングエンジン指令に従う任意の他の適用可能なパケットプロセッサ資源を維持する責任がある。ルーティングエンジンデバイスは、フォワーディングエンジンアプリケーションと同じCPUにより(又は他のCPUにより)実行されることができ、同じCPUが両方に使用されるか否かの決定は、主にシステムアーキテクチャに依存する。例えば、分散型システムにおいて、ルーティングエンジンは、ルーティングプロトコルの実行専用の分離したハードウェア上で実行されることができる。
本開示は、パケットプロセッサのACLブロックを使用している間に、フローモニタリング機能を得ることができる解決策を提供する。
図1は、フローモニタリングメカニズムを実装する為の、パケットプロセッサ110及びローカルCPU120を含むネットワーク要素100の概略図である。パケットプロセッサ110は、ルールのリストを含むACLテーブル130を含み、これらのルールのそれぞれは、既知の7組フロー(イングレスインタフェース、Src-IP、Dst-IP、IPプロトコル、DSCP、Src-L4-Port、Dst-L4-Port)を表す。ACLテーブル130も、ルールマッチングカウンタ、好ましくは、各ACLルール毎のカウンタを維持する。例えば、ACLテーブル130は、パケット/オクテットが特定の7組フローにマッチした回数を表すカウンタを含むことができる。ローカルCPU120は、2つのソフトウェアエンティティ、「フロートラッカ」140及び「エクスポータ」150を実行するように構成される。「フロートラッカ」エンティティ140は、ACLテーブル130に新規のACLルール(即ち、新規のフロー)を追加し、既存のACLルールに関連する統計データの収集を可能にし、インアクティブフローを表すACLルールを削除するように構成される。また、「フロートラッカ」140は、「フローキャッシュ」テーブル160を維持することができ、フローパラメータは、既知のフローのそれぞれ毎に記憶される。そのようなフローパラメータの例は、特定のトラフィックフローに関連するモニタリングされたパケット/オクテット、トラフィックフロー開始時間、トラフィックフロー終了時間、フロー終了の理由、イングレスインタフェース、エグレスインタフェース、発信元BGP-AS、宛先BGP-AS等である。
「エクスポータ」エンティティ150は、「フロートラッカ」140からトラフィックフローの統計値を取り出し、エクスポートするパケット内にカプセル化し(パケットフォーマットは、適切なトラフィックフローモニタリングプロトコルに従って定義される)、エクスポートしたパケットを(図1には図示しない)統計値コレクタに転送するように構成される。
図2は、パケットプロセッサによりまだ認識されていないトラフィックフローに属するパケットの実施形態に関する。即ち、ACLテーブル内にまだ関連するルールが含まれていない。したがって、図2は、未知のフローに関連するパケットを処理するフローモニタリングメカニズムを実装する為の、パケットプロセッサ210及びローカルCPU220を含むネットワーク要素200の概略図である。ACLテーブル230は、既知のトラフィックフローに関連するルールのいずれにもマッチしないパケット、即ち未知のトラフィックフローに属するパケットの複製の生成を開始するように構成されたデフォルトルールを含み、前記パケットはローカルCPU220(例えば、CPU220内に含まれるフロートラッカ240)に転送される。未知のトラフィックフローに属するパケットが到着すると、ACLブロック270は、ACLテーブル230においてパケットの探索を実行する。パケットが属する特定のトラフィックフロー(即ち、未知のトラフィックフロー)にはまだルールが設定されていないので、パケットにマッチする唯一のルールは、予め定義されたデフォルトルールである。FIBリストから取り出した情報を考慮したパケットプロセッサ210による決定に従ってパケットは転送され、そのパケットの複製が(デフォルトルールに従って)ローカルCPU220に転送される。フロートラッカアプリケーション240は、パケットの複製を受信し、(パケットの7組パラメータに従って)新規のトラフィックフローを表す新規のACLルールを生成し、新規のACLルールを記憶する為にACLテーブル230に伝送する。また、フロートラッカ240は、フローキャッシュテーブル260内に新規のエントリを作成し、新規のトラフィックフローを特徴付ける全ての既知のパラメータ(例えば、フロー開始時間、FIBによるエグレスインタフェース、発信元/宛先BGP-AS等)を更新する。その後、同じトラフィックフローに関連する全ての連続するパケットは、ACLブロックにより、既知のトラフィックフローに属するパケットとみなされる。
新規のトラフィックフローに属する到着するパケットの速度は、フロートラッキングソフトウェアエンティティ240によりパケットをトラッキングするには速すぎることがある。高速パケットを処理する為に、デフォルトACLルールを決定することができ、それにより、未知のトラフィックフローに属するパケットの一部のみが処理される。そのようなアプローチは、ここでは、トラフィックフローのサンプリングレートメカニズムと呼ばれる。即ち、未知のトラフィックフローに属するパケットの一部のみがトラフィックフロートラッカ240により処理(学習)され、それにより、新規のACLルールに含まれる新規のトラフィックフローに関連するパラメータは、ユーザにより構成されることができ、予め決定されたトラフィックフローのサンプリングレートに対応する新規のトラフィックフローの数のみに基づいて決定される。しかしながら、そのような場合、新規のトラフィックフローが学習され(即ち、パケットが属するトラフィックフローに関連するパラメータが定められ)、対応するACLルールが定められると、このトラフィックフローに属する全ての進行するパケットが、既知のトラフィックフローに属するパケットとみなされ、数が数えられる。
図3は、ACLテーブルに記憶されている特定のルールに関連し、パケットプロセッサにより既に認識されているトラフィックフローに属するパケットに関する実施形態に関する。図3は、既知のフローに関連するパケットを処理するフローモニタリングメカニズムを実装する為の、パケットプロセッサ310及びローカルCPU320を含むネットワーク要素300の概略図である。
この場合、受信されたパケットは、パケットプロセッサ310のFIBに含まれるフォワーディングルックアップ(forwarding lookup)により、同時に、ACLブロック370によりACL探索される。パケットが属するトラフィックフローを表すルールであるACLルールに探索のマッチが見つかると、ACLブロック370は、パケットのパラメータにマッチする特定のACLルールに関連するパケット/オクテットの数を更新する。その後、パケットは、FIBによる決定に従って関連するエグレスインタフェースに転送される。
図4は、本開示の他の実施形態に従って解釈される、パケットプロセッサ410及びローカルCPU420を含むネットワーク要素400の概略図である。この実施形態を実装することにより実行される処理は、トラフィックフロートラッカ440によりACLテーブル430からトラフィックフローの統計値を取り出し、トラフィックフロートラッカ440により取り出された統計値をエクスポータ450により遠隔統計値コレクタ(例えば、遠隔サーバ)にエクスポートすることを含む。
全ての予め決定された期間、又は予め定義された期間において、トラフィックフロートラッカ440は、ACLテーブル430から各ACLルールに対応する統計データを取り出し、フローキャッシュテーブル460を「フロー毎のパケット/オクテットの数」等の予め定義されたパラメータにより更新する。トラフィックフロートラッキングエンティティ440は、関連するACLルールの統計値を使用して、既知のトラフィックフローがもはやアクティブでないか導き出す。例えば、構成により、フローが60分以上使用されない状態であることができず、特定のトラフィックフローの最後のパケットが60分以上前に受信されたことが知られている場合、フロートラッカ440は、フローキャッシュテーブル460において、その特定のトラフィックフローの状態を「インアクティブ」に変更する。また、フロートラッカ440は、各インアクティブフローに関する情報(例えば、統計データ)をエクスポータ450に転送し、それにより、この情報は遠隔収集システムにエクスポートされることができる。
要約すると、本開示により提供される解決策は、トラフィックフローモニタリング機能をサポートするように設計されていないパケットプロセッサによりトラフィックフローモニタリングを実装することを可能にする。ここで提供されている方法は、アクティブトラフィックフロー(即ち、既知のトラフィックフロー)の統計値を収集するアクセス制御リスト(ACL)エンジンを有するパケットプロセッサの使用に基づいている。未知のトラフィックフローに関連するパケットは、ローカルCPUに転送され、それにより、新規のトラフィックフローをフローキャッシュテーブルに追加することができる。これらの新規のトラフィックフローのフローキャッシュテーブルへの追加を実行するロジックは、フローサンプリングメカニズムを適用することにより、より大きな数のトラフィックフローを処理することを可能にするようにさらに変更されることができ、ここで、未知のトラフィックフローに関連するパケットの全てがローカルCPUに転送される訳ではない。このメカニズムを使用することにより、新規の未知のトラフィックフローの最初のパケットを受信した時に、フローキャッシュテーブルに新規の未知のトラフィックフローを追加する必要は無い。しかしながら、既知のアクティブトラフィックフローの統計記録は正確である。なぜなら、これらの既知のトラフィックフローに属する全てのパケットは、パケットプロセッサにより調べられて記録されるからである。
即ち、本開示により開示されている解決策は、標準的ACLエンジンの動作を変更することにより、トラフィックフローをモニタリングする能力を有するネットワークデバイス(例えば、スイッチ及びルータ)を提供し、それにより、入力パケットを特定の7組フローに分類し、各識別されたトラフィックフロー毎に統計値を維持することができる。
明細書の検討及びここに開示した本発明の実施から、当業者は、本発明の他の実施形態を想到することができる。明細書及び実施の形態は例示的なものにすぎず、本発明の真の範囲は、以下の特許請求の範囲によって画定される。
Claims (14)
- 通信ネットワーク内で伝送される複数のトラフィックフローをモニタリングするように構成されたネットワーク要素であって、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含むことを特徴とするネットワーク要素。 - 前記少なくとも1つのパケットプロセッサがさらに、複数の入力パケットをそれぞれの既知のトラフィックフローに分類するように構成されることを特徴とする請求項1に記載のネットワーク要素。
- 前記それぞれの既知のトラフィックフローへの前記複数の入力パケットの分類が、ACL機能に関連するテーブルを使用することにより達成されることを特徴とする請求項2に記載のネットワーク要素。
- 前記ACL機能は、各々が前記既知のトラフィックフローを表す複数のACLルール、及び、全ての未知のトラフィックフローを表すデフォルトACLルールを関連付けることにより得られることを特徴とする請求項3に記載のネットワーク要素。
- 前記デフォルトACLルールが、前記未知のトラフィックフローに属するパケットの複製の生成及び前記少なくとも1つのCPUへの転送を開始するように構成されることを特徴とする請求項4に記載のネットワーク要素。
- 前記既知のトラフィックフローを表す前記複数のACLルールの1つに従うパケットは、前記複数のACLルールの前記1つにより表される前記既知のトラフィックフローに属するパケットであると決定されることを特徴とする請求項4に記載のネットワーク要素。
- 前記少なくとも1つのCPUは、周期的にトラフィックフローをトラッキングし、前記トラフィックフローのライフサイクルに関する前記ACL機能に関連する前記テーブルから情報を取り出し、そして、a)インアクティブトラフィックフローに関する情報を含むパケットの生成を開始することにより、また、b)前記インアクティブトラフィックフローに関するデータを収集するように動作可能な遠隔デバイスに向けて前記パケットのエクスポートを開始することにより、統計データをエクスポートするように構成されることを特徴とする請求項3に記載のネットワーク要素。
- さらに、前記ネットワーク要素により受信され、既知のトラフィックフローに属するパケットのレートと本質的に等しいレートで、前記既知のトラフィックフローのフローレートをモニタリングするように構成されることを特徴とする請求項1に記載のネットワーク要素。
- 既知のトラフィックフローのフローレートのモニタリングは、予め定義されたトラフィックフローのサンプリングレートにより実行され、新規に検出されたトラフィックフローの一部にのみ関する情報は考慮に入れられ、そして、情報を考慮に入れた新規に検出されたトラフィックフローの数は、前記予め定義されたトラフィックフローのサンプリングレートに依存することを特徴とする請求項1に記載のネットワーク要素。
- 前記複数のトラフィックフローのそれぞれは、
a.前記複数のトラフィックフローのそれぞれは、同一の転送関連パラメータを有する複数のパケットを含み、
b.前記複数のトラフィックフローのそれぞれは、予め定義された期間経過後に終了し、前記予め定義された期間は、各トラフィックフローに関連する最後のパケットが受信された時間から始まる期間であり、及び/又は、各トラフィックフローに関連するパケットは、エンドオブフロー特性を含み、
c.前記複数のトラフィックフローのそれぞれは、各トラフィックフローに関連するパケットが最初に検出された時、及び/又は、各トラフィックフローが終了したトラフィックフローとして決定された後、各トラフィックフローに関連するパケットが最初に検出された時に開始される、
ことを特徴とする請求項1に記載のネットワーク要素。 - 前記ネットワーク要素はさらに、前記パケットプロセッサ内に含まれるACLエンジンを使用して、既知のトラフィックフローのそれぞれを特徴付ける統計データを維持するように構成されることを特徴とする請求項1に記載のネットワーク要素。
- 通信ネットワーク内で動作可能なネットワーク要素により伝達される複数のトラフィックフローをモニタリングする為の方法であって、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含み、
前記方法が、
前記ネットワーク要素により複数のパケットを受信し、
複数のパケットのそれぞれについて、前記ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
ことを含み、
パケットが、前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、前記アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、前記少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
前記アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
取り出された前記統計データを前記アクティブトラフィックフローのモニタリングに適用する、
ことを含み、
パケットが、前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
前記パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
前記ネットワーク要素に到着した複数の先行するパケットのどれが前記新規のトラフィックフローに属するか決定し、前記新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
ことを含むことを特徴とする方法。 - 前記ネットワーク要素に到着する新規のトラフィックフローの総数の中から前記ACLルールが生成される新規のトラフィックフローの割合は、前記ネットワーク要素に到着する新規のトラフィックフローの数が増加すると、減少することを特徴とする請求項12に記載の方法。
- 1以上のコンピュータプロセッサにより実行される命令セットを実行する為のコンピュータプログラムを記憶する非一時的コンピュータ可読媒体であって、前記コンピュータプログラムは、通信ネットワーク内で動作可能なネットワーク要素により伝達される複数のトラフィックフローをモニタリングする為の方法を実行するのに適しており、前記ネットワーク要素が、
(i)ACL機能をサポートするように構成された少なくとも1つのパケットプロセッサと、
(ii)a.トラフィックフローのトラッキング、及び
b.統計データのエクスポート、
を実行するように構成された少なくとも1つのCPUと、
を含み、
前記方法が、
前記ネットワーク要素が複数のパケットを受信すると、前記ネットワーク要素が既に受信した先行するパケットのトラフィックフローに属するか決定する、
ことを含み、
パケットが、前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローに属すると決定されると、前記アクティブトラフィックフローを特徴付ける少なくとも1つのパラメータが、前記少なくとも1つのパケットプロセッサに含まれるACLテーブル内に記憶されたルールに関連付けられ、前記方法が、
前記アクティブトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、
取り出された前記統計データを前記アクティブトラフィックフローのモニタリングに適用する、
ことを含み、
パケットが、前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さないと決定されると、前記方法が、
前記ネットワーク要素が既に受信した先行するパケットのアクティブトラフィックフローのいずれにも属さない前記パケットの複製を生成し、前記複製を前記少なくとも1つのCPUに転送し、
前記パケットが属する新規のトラフィックフローを表す少なくとも1つの新規のACLルールを生成し、前記少なくとも1つの新規のACLルールが前記新規のトラフィックフローを特徴付ける少なくとも1つのパラメータに関連付けられ、
前記少なくとも1つの新規のACLルールが前記少なくとも1つのパケットプロセッサに含まれるACLテーブルに記憶され、
前記ネットワーク要素に到着した複数の先行するパケットのどれが前記新規のトラフィックフローに属するか決定し、前記新規のトラフィックフローに属する前記パケットが、前記少なくとも1つの新規のACLルールに従うパケットであり、
前記新規のトラフィックフローに属するパケットであると決定されたパケットに関連する統計データを取り出し、取り出された前記統計データを前記新規のトラフィックフローのモニタリングに適用する、
ことを含むことを特徴とする非一時的コンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862777275P | 2018-12-10 | 2018-12-10 | |
US62/777,275 | 2018-12-10 | ||
PCT/IL2019/051248 WO2020121294A1 (en) | 2018-12-10 | 2019-11-16 | A system and a method for monitoring traffic flows in a communications network |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022515990A true JP2022515990A (ja) | 2022-02-24 |
Family
ID=71076836
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021533189A Pending JP2022515990A (ja) | 2018-12-10 | 2019-11-16 | 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20210336960A1 (ja) |
EP (1) | EP3895386A4 (ja) |
JP (1) | JP2022515990A (ja) |
IL (1) | IL283259A (ja) |
WO (1) | WO2020121294A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11647024B2 (en) * | 2021-06-15 | 2023-05-09 | Arista Networks, Inc. | Per-interface access control list (ACL) counter |
CN114422178B (zh) * | 2021-12-10 | 2024-04-16 | 锐捷网络股份有限公司 | 一种基于访问控制列表的统计结果上报方法、设备及介质 |
CN117353960A (zh) * | 2022-06-29 | 2024-01-05 | 中兴通讯股份有限公司 | Acl规则处理方法、装置及存储介质 |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6278694B1 (en) * | 1999-04-16 | 2001-08-21 | Concord Communications Inc. | Collecting and reporting monitoring data from remote network probes |
US20040174851A1 (en) * | 2001-07-17 | 2004-09-09 | Yeshayahu Zalitzky | Dual purpose power line modem |
US7483379B2 (en) * | 2002-05-17 | 2009-01-27 | Alcatel Lucent | Passive network monitoring system |
WO2004077727A2 (en) * | 2003-02-21 | 2004-09-10 | MEG COMMUNICATIONS doing business as AIR BROADBAND COMMUNICATIONS | Method and apparatus of maximizing packet throughput |
CN1985481A (zh) * | 2004-07-09 | 2007-06-20 | 皇家飞利浦电子股份有限公司 | 通信网络中的数据传输 |
US7315963B2 (en) * | 2004-08-10 | 2008-01-01 | International Business Machines Corporation | System and method for detecting errors in a network |
US20060149841A1 (en) * | 2004-12-20 | 2006-07-06 | Alcatel | Application session management for flow-based statistics |
EP1734666A1 (en) * | 2005-06-17 | 2006-12-20 | Fujitsu Limited | Resource management in multi-hop communication system |
US20080186971A1 (en) * | 2007-02-02 | 2008-08-07 | Tarari, Inc. | Systems and methods for processing access control lists (acls) in network switches using regular expression matching logic |
US8054744B1 (en) * | 2007-10-25 | 2011-11-08 | Marvell International Ltd. | Methods and apparatus for flow classification and flow measurement |
US8300532B1 (en) * | 2008-09-23 | 2012-10-30 | Juniper Networks, Inc. | Forwarding plane configuration for separation of services and forwarding in an integrated services router |
US7990982B2 (en) * | 2008-12-15 | 2011-08-02 | At&T Intellectual Property I, L.P. | Methods and apparatus to bound network traffic estimation error for multistage measurement sampling and aggregation |
US8335160B2 (en) * | 2010-03-30 | 2012-12-18 | Telefonaktiebolaget L M Ericsson (Publ) | Flow sampling with top talkers |
US8750144B1 (en) * | 2010-10-20 | 2014-06-10 | Google Inc. | System and method for reducing required memory updates |
US8737204B2 (en) * | 2011-05-02 | 2014-05-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating and using multiple packet traffic profiling models to profile packet flows |
US8593958B2 (en) * | 2011-09-14 | 2013-11-26 | Telefonaktiebologet L M Ericsson (Publ) | Network-wide flow monitoring in split architecture networks |
US8817655B2 (en) * | 2011-10-20 | 2014-08-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating and using multiple packet traffic profiling models to profile packet flows |
US8418249B1 (en) * | 2011-11-10 | 2013-04-09 | Narus, Inc. | Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats |
US8705365B1 (en) * | 2012-02-21 | 2014-04-22 | Cisco Technology, Inc. | System and method for producing dynamic credit updates for time based packet sampling |
US8930690B2 (en) * | 2012-03-21 | 2015-01-06 | Microsoft Corporation | Offloading packet processing for networking device virtualization |
US9065767B2 (en) * | 2012-04-03 | 2015-06-23 | Cisco Technology, Inc. | System and method for reducing netflow traffic in a network environment |
US9325589B1 (en) * | 2012-10-23 | 2016-04-26 | Jeff Flynn | Audible network traffic notification system |
US9106443B2 (en) * | 2012-10-26 | 2015-08-11 | Cisco Technology, Inc. | Forwarding table optimization with flow data |
US10270699B2 (en) * | 2014-07-28 | 2019-04-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Automated flow devolvement in an aggregate flow environment |
US11444850B2 (en) * | 2016-05-02 | 2022-09-13 | Huawei Technologies Co., Ltd. | Method and apparatus for communication network quality of service capability exposure |
US11436075B2 (en) * | 2019-07-23 | 2022-09-06 | Vmware, Inc. | Offloading anomaly detection from server to host |
-
2019
- 2019-11-16 US US17/311,087 patent/US20210336960A1/en active Pending
- 2019-11-16 JP JP2021533189A patent/JP2022515990A/ja active Pending
- 2019-11-16 EP EP19895790.4A patent/EP3895386A4/en active Pending
- 2019-11-16 WO PCT/IL2019/051248 patent/WO2020121294A1/en unknown
-
2021
- 2021-05-18 IL IL283259A patent/IL283259A/en unknown
Also Published As
Publication number | Publication date |
---|---|
WO2020121294A1 (en) | 2020-06-18 |
IL283259A (en) | 2021-07-29 |
EP3895386A1 (en) | 2021-10-20 |
EP3895386A4 (en) | 2022-01-05 |
US20210336960A1 (en) | 2021-10-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
CN1953392B (zh) | 异常通信量的检测方法和数据包中继装置 | |
US8054744B1 (en) | Methods and apparatus for flow classification and flow measurement | |
JP6816139B2 (ja) | 情報伝送パフォーマンス警告を生成するための方法、システム、および装置 | |
US8345575B2 (en) | Traffic analysis apparatus and analysis method | |
JP5660198B2 (ja) | ネットワークシステム、及びスイッチ方法 | |
US7995477B2 (en) | Collecting network traffic information | |
US9485155B2 (en) | Traffic analysis of data flows | |
US20130304915A1 (en) | Network system, controller, switch and traffic monitoring method | |
JP2022515990A (ja) | 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 | |
EP2745468A1 (en) | Network-wide flow monitoring in split architecture networks | |
Suárez-Varela et al. | Towards a NetFlow implementation for OpenFlow software-defined networks | |
Suárez-Varela et al. | Flow monitoring in Software-Defined Networks: Finding the accuracy/performance tradeoffs | |
Afaq et al. | Large flows detection, marking, and mitigation based on sFlow standard in SDN | |
US9992081B2 (en) | Scalable generation of inter-autonomous system traffic relations | |
JP2017034605A (ja) | ネットワークシステム、通信の分析方法、及び分析装置 | |
Gomez et al. | Traffic classification in IP networks through Machine Learning techniques in final systems | |
US11171866B2 (en) | Measuring packet residency and travel time | |
KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
JP2016146581A (ja) | トラヒック情報収集装置およびトラヒック情報収集方法 | |
JP4246238B2 (ja) | トラフィック情報の配信及び収集方法 | |
JP4871775B2 (ja) | 統計情報収集装置 | |
Pekar et al. | Towards threshold‐agnostic heavy‐hitter classification | |
JP7164140B2 (ja) | 通信解析装置、通信解析方法およびプログラム | |
Bradatsch | Anomaly detection based on traffic records |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20211222 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221021 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231030 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231107 |