以下に、本発明に係るネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例により本発明が限定されるものではない。
[ネットワーク構成]
まず、図1A及び図1Bを用いて、本実施例に係るネットワーク監視装置が適用されるネットワークの構成例について説明する。図1A及び図1Bは、本実施例に係るネットワーク監視装置が適用されるネットワークの構成例を示す図である。なお、図1Aと図1Bに例示したネットワーク1は、同様の構成であるが、以下に説明するようにトラフィックが経由するASの経路が異なるものとする。
図1Aに示すように、本実施例におけるネットワーク1には、AS10〜50が含まれる。なお、ネットワーク1は、BGPによってAS間のルーティングが行われているものとする。
AS10は、本実施例に係るネットワーク監視装置100と、パケットの中継処理を行うルータ11〜13とを含む。また、AS20はルータ21及び22を含み、AS30はルータ31を含み、AS40はルータ41及び42を含み、AS50はルータ51を含む。
ルータ11とルータ21とは相互に接続される。すなわち、ルータ11は、AS10を経由するトラフィックをAS20に中継する処理を行う。また、ルータ21は、AS20を経由するトラフィックをAS10に中継する処理を行う。同様に、ルータ22は、AS20を経由するトラフィックをAS30に中継する処理や、AS20を経由するトラフィックをAS40に中継する処理を行う。
以下では、このようなAS間を接続する接続線を「ASリンク」と表記する場合がある。図1Aに示した例では、AS10とAS20とはASリンクL12により接続されており、AS20とAS30とはASリンクL23により接続されており、AS20とAS40とはASリンクL24により接続されており、AS30とAS40とはASリンクL34により接続されており、AS30とAS50とはASリンクL35により接続されており、AS40とAS50とはASリンクL45により接続されている。
ネットワーク監視装置100は、AS10を監視対象とし、ルータ11〜13と接続される。かかるネットワーク監視装置100は、ルータ11〜13等から、AS10を経由するトラフィックの送信先IPアドレス及びトラフィック量を含むフロー情報を収集する。例えば、ネットワーク監視装置100は、sFlow(登録商標)、NetFlow、IPFIX等の技術により、ルータ11〜13等からフロー情報を取得する。
また、ネットワーク監視装置100は、ルータ11〜13等から、AS10を経由するトラフィックの送信先を示す送信先プレフィックスと、かかるトラフィックが経由するASの経路とを含む経路情報を収集する。ネットワーク監視装置100は、AS10内に配置されるので、例えば、I−BGP(Internal−BGP)におけるOPENメッセージやUPDATEメッセージ等を受信することにより、ルータ11〜13等から経路情報を取得する。なお、以下では、トラフィックが経由するASの経路を「ASパス」と表記する場合がある。
そして、ネットワーク監視装置100は、ルータ11〜13等から収集したフロー情報及び経路情報を用いて、AS間を接続するASリンク毎にトラフィック量を集計する。そして、ネットワーク監視装置100は、ASリンク毎にトラフィック変動量を監視し、トラフィック変動量が所定の閾値よりも大きい場合に、かかるASリンクに関する各種情報を図示しない管理者端末等に送信する。このようなネットワーク監視装置100による処理について、図1A及び図1Bに示した例を用いて具体的に説明する。
まず、図1Aに示した例において、トラフィックT11は、AS10内のルータ11等に接続される図示しない端末から、AS10、AS20、AS30、AS50を経由して、AS50内のルータ51等に接続される図示しない端末に流通するものとする。また、トラフィックT12は、AS10内のルータ11等に接続される端末から、AS10、AS20、AS30を経由して、AS30内のルータ31等に接続される端末に流通するものとする。
このような状態において、ネットワーク監視装置100は、例えば、ルータ11からフロー情報を収集することで、トラフィックT11の送信先IPアドレス及びトラフィック量と、トラフィックT12の送信先IPアドレス及びトラフィック量とを取得する。また、ネットワーク監視装置100は、ルータ11等から経路情報を収集することで、トラフィックT11の送信先プレフィックス及びASパスと、トラフィックT12の送信先プレフィックス及びASパスとを取得する。
そして、ネットワーク監視装置100は、経路情報に含まれる送信先プレフィックスとマッチする送信先IPアドレスを含むフロー情報を抽出する。そして、ネットワーク監視装置100は、抽出したフロー情報に含まれるトラフィック量を送信先プレフィックス毎に集計するとともに、ASパス毎にトラフィック量を集計する。そして、ネットワーク監視装置100は、ASパス毎のトラフィック量に基づいて、ASリンク毎にトラフィック量を集計する。
図1Aに示した例の場合、ネットワーク監視装置100は、経路情報に含まれるトラフィックT11のASパスを流通するトラフィックのトラフィック量をフロー情報から取得する。また、ネットワーク監視装置100は、経路情報に含まれるトラフィックT12のASパスを流通するトラフィックのトラフィック量をフロー情報から取得する。
トラフィックT11のASパスは、AS10、AS20、AS30、AS50であるので、トラフィックT11のASパスに含まれるASリンクは、ASリンクL12、ASリンクL23、ASリンクL35である。すなわち、ASリンクL12、ASリンクL23、ASリンクL35には、トラフィックT11が流通する。また、トラフィックT12のASパスは、AS10、AS20、AS30であるので、トラフィックT12のASパスに含まれるASリンクは、ASリンクL12、ASリンクL23である。すなわち、ASリンクL12、ASリンクL23には、トラフィックT12が流通する。
したがって、ネットワーク監視装置100は、ASリンクL12のトラフィック量として、トラフィックT11のトラフィック量と、トラフィックT12のトラフィック量とを加算した値を集計する。また、ネットワーク監視装置100は、ASリンクL23のトラフィック量として、トラフィックT11のトラフィック量と、トラフィックT12のトラフィック量とを加算した値を集計する。また、ネットワーク監視装置100は、ASリンクL35のトラフィック量として、トラフィックT11のトラフィック量を集計する。このようにして、ネットワーク監視装置100は、ASパス毎のトラフィック量に基づいて、ASリンク毎にトラフィック量を集計する。
ここで、ASリンクL35を形成するケーブルが断線し、AS30とAS50との間でトラフィックの流通が不能になったものとする。かかる場合に、トラフィックT11は、ASリンクL35以外のASリンクを経由して、AS10からAS50へ流通する。例えば、図1Bに示した例のように、トラフィックT11は、AS10から、AS20とAS40とを経由して、AS50に流通するトラフィックT13となる。
このような状態において、ネットワーク監視装置100は、ルータ11からフロー情報を収集することで、トラフィックT13の送信先IPアドレス及びトラフィック量を取得する。また、ネットワーク監視装置100は、ルータ11等から経路情報を収集することで、トラフィックT13の送信先プレフィックス及びASパスを取得する。なお、ネットワーク監視装置100は、図1Aに示した例と同様に、ルータ11からフロー情報及び経路情報を収集することで、トラフィックT13の送信先IPアドレス、トラフィック量、送信先プレフィックス及びASパスを取得する。
そして、ネットワーク監視装置100は、図1Aに示した例と同様に、フロー情報及び経路情報に含まれる各種情報に基づいて、送信先プレフィックス毎にトラフィック量を集計し、ASパス毎にトラフィック量を集計する。そして、ネットワーク監視装置100は、ASパス毎のトラフィック量に基づいて、ASリンク毎にトラフィック量を集計する。
図1Bに示した例の場合、トラフィックT12のASパスは、図1Aに示した例と同様に、AS10、AS20、AS30であるので、トラフィックT12のASパスに含まれるASリンクは、ASリンクL12、ASリンクL23である。すなわち、ASリンクL12、ASリンクL23には、トラフィックT12が流通する。また、トラフィックT13のASパスは、AS10、AS20、AS40、AS50であるので、トラフィックT13のASパスに含まれるASリンクは、ASリンクL12、ASリンクL24、ASリンクL45である。すなわち、ASリンクL12、ASリンクL24、ASリンクL45には、トラフィックT13が流通する。
したがって、ネットワーク監視装置100は、ASリンクL12のトラフィック量として、トラフィックT12のトラフィック量と、トラフィックT13のトラフィック量とを加算した値を集計する。また、ネットワーク監視装置100は、ASリンクL23のトラフィック量として、トラフィックT12のトラフィック量を集計する。また、ネットワーク監視装置100は、ASリンクL24のトラフィック量として、トラフィックT13のトラフィック量を集計する。また、ネットワーク監視装置100は、ASリンクL45のトラフィック量として、トラフィックT13のトラフィック量を集計する。
そして、ネットワーク監視装置100は、各ASリンクを流通するトラフィックのトラフィック変動量を定期的に監視する。そして、トラフィック変動量が所定の閾値よりも大きいASリンクを検出した場合に、かかるASリンクを流通していたトラフィックに関する各種情報を管理者端末等に通知する。
例えば、ネットワーク1を流通するトラフィックが図1Aに示した状態から図1Bに示した状態に変動した場合には、ASリンクL35を流通するトラフィックのトラフィック量は、トラフィックT11のトラフィック量から「0」に変動する。かかる変動量が所定の閾値よりも大きい場合には、ネットワーク監視装置100は、ASリンクL35を流通していたトラフィックT11のトラフィック量や送信先IPアドレス等を管理者端末等に通知する。
このように、本実施例に係るネットワーク監視装置100は、ASパス毎のトラフィック量を集計するとともに、ASリンク毎にトラフィック量を集計する。これにより、本実施例に係るネットワーク監視装置100は、監視対象のAS10以外のAS20〜40を流通するトラフィックのトラフィック量を収集することができる。また、本実施例に係るネットワーク監視装置100は、トラフィック変動量が所定の閾値よりも大きいASリンクに関する各種情報を通知するので、故障した可能性のあるASリンクをネットワーク管理者に通知することができる。
[本実施例に係るネットワーク監視装置の構成]
次に、図2を用いて、本実施例に係るネットワーク監視装置100について説明する。図2は、本実施例に係るネットワーク監視装置100の構成例を示すブロック図である。図2に示すように、本実施例に係るネットワーク監視装置100は、記憶部110と、制御部120とを有する。
記憶部110は、各種情報を記憶する記憶デバイスであり、例えば、ハードディスク装置や、半導体記憶装置、RAM(Random Access Memory)等である。図2に示すように、記憶部110は、フロー情報記憶部111と、経路情報記憶部112と、経路トラフィック記憶部113と、AS間トラフィック記憶部114と、トラフィック履歴記憶部115とを有する。記憶部110に記憶される各種情報は、後述する制御部120によって格納及び更新される。
制御部120は、ネットワーク監視装置100を全体制御する制御部であり、例えば、ASIC(Application Specific Integrated Circuit)などの集積回路、又は、CPU(Central Processing Unit)などの電子回路である。図2に示すように、制御部120は、フロー情報収集部121と、経路情報収集部122と、経路トラフィック集計部123と、AS間トラフィック集計部124と、トラフィック変動検出部125とを有する。
フロー情報収集部121は、ネットワーク監視装置100の監視対象であるASからフロー情報を収集する。図1A及び図1Bに示すように、本実施例に係るネットワーク監視装置100の監視対象はAS10であるので、フロー情報収集部121は、ルータ11〜13等からフロー情報を収集する。具体的には、ルータ11〜13等は、sFlow(登録商標)、NetFlow、IPFIX等の技術が適用されている場合に、フロー情報をネットワーク監視装置100へ送信する。フロー情報収集部121は、ルータ11〜13等から送信されるフロー情報を受信することにより、フロー情報を収集する。そして、フロー情報収集部121は、ルータ11〜13等から収集したフロー情報をフロー情報記憶部111に格納する。
フロー情報収集部121によって収集されるフロー情報には、トラフィックの送信元端末のIPアドレス及びポート番号、トラフィックの送信先端末のIPアドレス及びポート番号、パケットの流通に用いられるプロトコル等が含まれる。すなわち、フロー情報収集部121は、ルータ11〜13等から収集したフロー情報に含まれる送信元IPアドレスや、送信先IPアドレス等をフロー情報記憶部111に格納する。
図3に、フロー情報記憶部111の一例を示す。図3に示すように、フロー情報記憶部111は、フロー情報収集部121によって、「送信元IPアドレス」、「送信先IPアドレス」、「プロトコル」、「送信元ポート番号」、「送信先ポート番号」、「トラフィック量」といった情報が格納される。
すなわち、図3に例示したフロー情報記憶部111は、送信元IPアドレス「A.A.A.11」である端末のポート番号「Po11」から、送信先IPアドレス「X.X.X.12」である端末のポート番号「Po12」に対して、トラフィック量「150Mbps」のトラフィックが流通することを示している。また、図3に例示したフロー情報記憶部111は、送信元IPアドレス「B.B.B.21」である端末から、送信先IPアドレス「Y.Y.Y.22」である端末に対して、トラフィック量「100Mbps」のトラフィックが流通し、送信元IPアドレス「C.C.C.31」である端末から、送信先IPアドレス「Z.Z.Z.32」である端末に対して、トラフィック量「50Mbps」のトラフィックが流通することを示している。
なお、ネットワーク1が図1A又は図1Bのいずれの状態であっても、フロー情報収集部121によって収集されるフロー情報は、図3に示した情報であるものとする。これは、フロー情報には、トラフィックの送信先IPアドレスやトラフィック量等が含まれるが、トラフィックのASパスに関する情報が含まれないからである。すなわち、図1A及び図1Bに示した例のように、トラフィックの流通経路が変動した場合であっても、フロー情報に含まれる各種情報は変動しない場合がある。
経路情報収集部122は、ネットワーク監視装置100の監視対象であるASから経路情報を収集する。上述したように、ネットワーク監視装置100の監視対象はAS10であるので、経路情報収集部122は、ルータ11〜13等から経路情報を収集する。具体的には、経路情報収集部122は、ルータ11〜13等から、I−BGPにおけるOPENメッセージやUPDATEメッセージ等を受信することにより、経路情報を取得する。そして、経路情報収集部122は、ルータ11〜13等から収集した経路情報を経路情報記憶部112に格納する。
経路情報収集部122によって収集される経路情報には、トラフィックの送信先のネットワークアドレスを示すプレフィックスや、かかるトラフィックが経由するASの経路であるASパス等を含む。すなわち、経路情報収集部122は、ルータ11〜13等から収集した経路情報に含まれるプレフィックスやASパスを経路情報記憶部112に格納する。
図4A及び図4Bに、経路情報記憶部112の一例を示す。なお、図4Aは、ネットワーク1が図1Aに例示した状態である場合に、経路情報収集部122によって経路情報が格納された経路情報記憶部112の状態を示す。また、図4Bは、ネットワーク1が図1Bに例示した状態である場合に、経路情報収集部122によって経路情報が格納された経路情報記憶部112の状態を示す。
図4A及び図4Bに示すように、経路情報記憶部112は、経路情報収集部122によって、「送信先プレフィックス」、「ASパス」といった情報が格納される。なお、図4A及び図4Bでは、「ASパス」が、トラフィックが経由するASの順を、かかるASのAS番号を左から順に空白によって区切って記憶する例を示している。また、ASのAS番号とは、ASを識別する識別情報であり、図1A及び図1Bに示した各ASに付した符号であるものする。例えば、AS10のAS番号は「10」であり、AS20のAS番号は「20」である。
すなわち、図4Aに例示した経路情報記憶部112は、送信先プレフィックスが「X.X.X.X/N」であるトラフィックが、AS10、AS20、AS30、AS50を経由することを示している。また、図4Aに例示した経路情報記憶部112は、送信先プレフィックスが「Y.Y.Y.Y/N」であるトラフィックが、AS10、AS20、AS30、AS50を経由することを示している。また、図4Aに例示した経路情報記憶部112は、送信先プレフィックスが「Z.Z.Z.Z/N」であるトラフィックが、AS10、AS20、AS30を経由することを示している。
なお、図4Aに例示した経路情報記憶部112に記憶されている各種情報のうち、送信先プレフィックスが「X.X.X.X/N」であるトラフィックと、送信先プレフィックスが「Y.Y.Y.Y/N」であるトラフィックは、図1Aに示したトラフィックT11を示す。また、送信先プレフィックスが「Z.Z.Z.Z/N」であるトラフィックは、図1Aに示したトラフィックT12を示す。
また、図4Bに例示した経路情報記憶部112は、送信先プレフィックスが「X.X.X.X/N」であるトラフィックが、AS10、AS20、AS40、AS50を経由することを示している。また、図4Bに例示した経路情報記憶部112は、送信先プレフィックスが「Y.Y.Y.Y/N」であるトラフィックが、AS10、AS20、AS40、AS50を経由することを示している。また、図4Bに例示した経路情報記憶部112は、送信先のプレフィックスが「Z.Z.Z.Z/N」であるトラフィックが、AS10、AS20、AS30を経由することを示している。
なお、図4Aに例示した経路情報記憶部112に記憶されている各種情報のうち、送信先プレフィックスが「X.X.X.X/N」であるトラフィックと、送信先プレフィックスが「Y.Y.Y.Y/N」であるトラフィックは、図1Bに示したトラフィックT13を示す。また、送信先プレフィックスが「Z.Z.Z.Z/N」であるトラフィックは、図1Aに示したトラフィックT12を示す。
経路トラフィック集計部123は、フロー情報収集部121によって収集されたフロー情報と、経路情報収集部122によって収集された経路情報とに基づいて、ASパス毎にトラフィック量を集計する。具体的には、経路トラフィック集計部123は、経路情報に含まれる送信先プレフィックスとマッチする送信先IPアドレスを含むフロー情報を抽出する。そして、経路トラフィック集計部123は、抽出したフロー情報に含まれるトラフィック量を送信先プレフィックス毎に集計する。続いて、経路トラフィック集計部123は、ASパスが同一であるトラフィックのトラフィック量を加算することにより、ASパス毎にトラフィック量を集計する。そして、経路トラフィック集計部123は、ASパス毎のトラフィック量を経路トラフィック記憶部113に格納する。
経路トラフィック集計部123による集計処理について、図5A、図5B、図6A及び図6Bを用いて具体的に説明する。図5A及び図5Bは、送信先プレフィックス毎に集計されたトラフィック量の一例を示す図である。また、図6A及び図6Bは、経路トラフィック記憶部113の一例を示す図である。なお、図6Aは、ネットワーク1が図1Aに例示した状態である場合に、経路トラフィック集計部123によって更新された経路トラフィック記憶部113の状態を示す。また、図6Bは、ネットワーク1が図1Bに例示した状態である場合に、経路トラフィック集計部123によって更新された経路トラフィック記憶部113の状態を示す。
例えば、ネットワーク1が図1Aに例示した状態である場合、IPアドレス「X.X.X.12」のプレフィックスは、「X.X.X.X/N」であるので、図4Aに例示したプレフィックス「X.X.X.X/N」と、図3に示した送信先IPアドレス「X.X.X.12」とがマッチする。したがって、経路トラフィック集計部123は、図5Aに示すように、プレフィックス「X.X.X.X/N」に対応付けて、送信先IPアドレス「X.X.X.12」に対応するトラフィック量「150Mbps」を集計する。同様にして、経路トラフィック集計部123は、図5Aに示すように、プレフィックス「Y.Y.Y.Y/N」に対応付けてトラフィック量「100Mbps」を集計し、プレフィックス「Z.Z.Z.Z/N」に対応付けてトラフィック量「50Mbps」を集計する。
そして、経路トラフィック集計部123は、図5Aに示したトラフィック量をASパス毎に集計する。具体的には、経路トラフィック集計部123は、図5Aに示したトラフィック量のうち、ASパスが「10 20 30 50」であるトラフィック量「150Mbps」と「100Mbps」とを加算することにより、トラフィック量「250Mbps」を算出する。そして、経路トラフィック集計部123は、図6Aに示すように、ASパス「10 20 30 50」と、算出結果のトラフィック量「250Mbps」とを対応付けて経路トラフィック記憶部113に格納する。また、図5Aに示すように、ASパス「10 20 30」は1個のみ存在するので、経路トラフィック集計部123は、図6Aに示すように、ASパス「10 20 30」と、トラフィック量「50Mbps」とを対応付けて経路トラフィック記憶部113に格納する。
また、例えば、ネットワーク1が図1Bに例示した状態である場合、図4Bに例示した送信先プレフィックス「X.X.X.X/N」と、図3に示した送信先IPアドレス「X.X.X.12」とがマッチする。したがって、経路トラフィック集計部123は、図5Bに示すように、送信先プレフィックス「X.X.X.X/N」に対応付けて、送信先IPアドレス「X.X.X.12」に対応するトラフィック量「150Mbps」を集計する。同様にして、経路トラフィック集計部123は、図5Bに示すように、送信先プレフィックス「Y.Y.Y.Y/N」に対応付けてトラフィック量「100Mbps」を集計し、送信先プレフィックス「Z.Z.Z.Z/N」に対応付けてトラフィック量「50Mbps」を集計する。
そして、経路トラフィック集計部123は、図5Bに示したトラフィック量をASパス毎に集計する。具体的には、経路トラフィック集計部123は、図5Bに示したトラフィック量のうち、ASパスが「10 20 40 50」であるトラフィック量「150Mbps」と「100Mbps」とを加算することにより、トラフィック量「250Mbps」を算出する。そして、経路トラフィック集計部123は、図6Bに示すように、ASパス「10 20 40 50」と、算出結果のトラフィック量「250Mbps」とを対応付けて経路トラフィック記憶部113に格納する。また、経路トラフィック集計部123は、図6Bに示すように、ASパス「10 20 30」と、トラフィック量「50Mbps」とを対応付けて経路トラフィック記憶部113に格納する。
AS間トラフィック集計部124は、経路トラフィック集計部123によって集計されたASパス毎のトラフィック量に基づいて、ASリンク毎のトラフィック量を集計する。具体的には、AS間トラフィック集計部124は、経路トラフィック集計部123によって集計されたASパスに対応するトラフィック量を、かかるASパスに含まれるASリンクのトラフィック量とする。そして、AS間トラフィック集計部124は、同一のASリンクのトラフィック量を加算することにより、ASリンク毎のトラフィック量を集計する。そして、AS間トラフィック集計部124は、ASリンク毎のトラフィック量をAS間トラフィック記憶部114に格納する。
AS間トラフィック集計部124による集計処理について、図7A及び図7Bを用いて具体的に説明する。図7A及び図7Bは、AS間トラフィック記憶部114の一例を示す図である。なお、図7Aは、ネットワーク1が図1Aに例示した状態である場合に、AS間トラフィック集計部124によって更新されたAS間トラフィック記憶部114の状態を示す。また、図7Bは、ネットワーク1が図1Bに例示した状態である場合に、AS間トラフィック集計部124によって更新されたAS間トラフィック記憶部114の状態を示す。また、図7A及び図7Bに例示した「ASリンク」には、ASリンクを識別する識別情報として、図1A及び図1Bに示した各ASリンクに付した符号を記憶するものする。例えば、ASリンクL12の識別情報は「L12」であり、ASリンクL23の識別情報は「L23」である。
例えば、ネットワーク1が図1Aに例示した状態である場合、経路トラフィック集計部123によって、図6Aに示したトラフィック量が集計される。ここで、ASパス「10 20 30 50」のトラフィック量が「250Mbps」であるので、ASリンクL12、ASリンクL23、ASリンクL35には、トラフィック量「250Mbps」のトラフィックが流通する。したがって、AS間トラフィック集計部124は、ASリンクL12、ASリンクL23、ASリンクL35のトラフィック量を「250Mbps」とする。また、AS間トラフィック集計部124は、ASパス「10 20 30」のトラフィック量が「50Mbps」であるので、ASリンクL12、ASリンクL23のトラフィック量を「50Mbps」とする。
そして、AS間トラフィック集計部124は、ASリンクL12のトラフィック量「250Mbps」と「50Mbps」とを加算することにより、トラフィック量「300Mbps」を算出する。また、AS間トラフィック集計部124は、ASリンクL23のトラフィック量「250Mbps」と「50Mbps」とを加算することにより、トラフィック量「300Mbps」を算出する。そして、AS間トラフィック集計部124は、図7Aに示すように、ASリンクL12とトラフィック量「300Mbps」とを対応付け、ASリンクL23とトラフィック量「300Mbps」とを対応付け、ASリンクL35とトラフィック量「250Mbps」とを対応付けてAS間トラフィック記憶部114に格納する。
また、例えば、ネットワーク1が図1Bに例示した状態である場合、経路トラフィック集計部123によって、図6Bに示したトラフィック量が集計される。かかる場合に、AS間トラフィック集計部124は、ASパス「10 20 40 50」のトラフィック量が「250Mbps」であるので、ASリンクL12、ASリンクL24、ASリンクL45のトラフィック量を「250Mbps」とする。また、AS間トラフィック集計部124は、ASパス「10 20 30」のトラフィック量が「50Mbps」であるので、ASリンクL12、ASリンクL23のトラフィック量を「50Mbps」とする。
そして、AS間トラフィック集計部124は、ASリンクL12のトラフィック量「250Mbps」と「50Mbps」とを加算することにより、トラフィック量「300Mbps」を算出する。そして、AS間トラフィック集計部124は、図7Bに示すように、ASリンクL12とトラフィック量「300Mbps」とを対応付け、ASリンクL23とトラフィック量「50Mbps」とを対応付け、ASリンクL24とトラフィック量「250Mbps」とを対応付け、ASリンクL45とトラフィック量「250Mbps」とを対応付けてAS間トラフィック記憶部114に格納する。
トラフィック変動検出部125は、AS間トラフィック集計部124によって集計されたASリンク毎のトラフィック量を定期的に監視する。具体的には、トラフィック変動検出部125は、AS間トラフィック記憶部114から、定期的にASリンク毎のトラフィック量を取得し、取得した情報を履歴としてトラフィック履歴記憶部115に格納する。そして、トラフィック変動検出部125は、ASリンク毎にトラフィック変動量が所定の閾値よりも大きいか否かを判定し、所定の閾値よりも大きいASリンクを検出した場合に、かかるASリンクを流通していたトラフィックに関するフロー情報や経路情報を管理者端末等に通知する。
トラフィック変動検出部125による監視処理について図8を用いて具体的に説明する。図8は、トラフィック履歴記憶部115の一例を示す図である。図8では、図1Aに示したネットワーク1の状態を「状態A」とし、図1Bに示したネットワーク1の状態を「状態B」とする例を示している。
例えば、ネットワーク1が図1Aに例示した状態である場合、AS間トラフィック集計部124によって、図7Aに示したトラフィック量が集計される。すなわち、トラフィック変動検出部125は、ネットワーク1内のAS10〜50を接続する各ASリンクのトラフィック量として、図8の「トラフィック量(状態A)」に示した値を記憶しておく。そして、ネットワーク1が図1Bに例示した状態である場合、AS間トラフィック集計部124によって、図7Bに示したトラフィック量が集計される。すなわち、トラフィック変動検出部125は、ネットワーク1内の各ASリンクのトラフィック量として、図8の「トラフィック量(状態B)」に示した値を記憶しておく。
図8に示すように、ネットワーク1を流通するトラフィックが図1Aに示した状態から図1Bに示した状態に変動した場合には、ASリンクL35を流通するトラフィックのトラフィック量は、トラフィック量「250Mbps」から「0bps」に変動する。すなわち、ASリンクL35におけるトラフィック変動量は、「250Mbps」である。ここで、例えば、所定の閾値が「200Mbps」である場合に、ASリンクL35におけるトラフィック変動量「250Mbps」が所定の閾値「200Mbps」よりも大きいので、トラフィック変動検出部125は、ASリンクL35に関する警告を通知する。例えば、トラフィック変動検出部125は、ASリンクL35を流通していたトラフィックに関する情報として、例えば、図3、図4A、図5A、図6A、図7A等に示した各種情報を含む警告を管理者端末等に通知する。
また、図8に示すように、ASリンクL23、ASリンクL24、ASリンクL45についても、トラフィック量が変動している。したがって、トラフィック変動検出部125は、かかるトラフィック変動量が所定の閾値よりも大きい場合には、ASリンクL23、ASリンクL24、ASリンクL45を流通していたトラフィックに関する各種情報を管理者端末等に通知する。
なお、トラフィック変動検出部125は、トラフィック量の減少値が所定の閾値よりも大きいか否かを判定してもよいし、トラフィック量の増加値が所定の閾値よりも大きいか否かを判定してもよい。例えば、トラフィック変動検出部125は、トラフィック量の減少値が所定の閾値よりも大きいか否かを判定する場合には、図8のASリンクL23やASリンクL35のように、トラフィック量が減少した値が所定の閾値よりも大きい場合に、通知処理を行ってもよい。また、例えば、トラフィック変動検出部125は、トラフィック量の増加値が所定の閾値よりも大きいか否かを判定する場合には、図8のASリンクL24やASリンクL45のように、トラフィック量が増加した値が所定の閾値よりも大きい場合に、通知処理を行ってもよい。
また、トラフィック変動検出部125は、トラフィック量が減少し、かつ、所定の閾値以下になった場合に、通知処理を行ってもよい。例えば、所定の閾値が「0bps」である場合、トラフィック変動検出部125は、トラフィック量が減少して「0bps」になった場合に、通知処理を行ってもよい。例えば、図8に示した例において、ASリンクL35のトラフィック量が「250Mbps」から「0bps」に変動しているので、トラフィック変動検出部125は、ASリンクL35に関する各種情報を管理者端末等に通知する。
また、トラフィック変動検出部125は、一方のASリンクにおけるトラフィック量の減少値が所定の閾値以上であり、かつ、他方のASリンクにおけるトラフィック量の増加値が所定の閾値以上である場合に、通知処理を行ってもよい。これは、一方のASリンクが故障したために、一方のASリンクを流通していたトラフィックが他方のASリンクを流通するようになったと考え得るからである。例えば、図8に示した例において、所定の閾値が「200Mbps」であるものとする。このとき、ASリンクL35のトラフィック量が「250Mbps」から「0bps」に減少しており、ASリンクL24及びL45のトラフィック量が「0bps」から「250Mbps」に増加している。すなわち、ASリンクL35におけるトラフィック量の減少値が閾値「200Mbps」以上であり、かつ、ASリンクL24及びL45のトラフィック量の増加値が閾値「200Mbps」以上であるので、トラフィック変動検出部125は、ASリンクL35や、ASリンクL24及びL45に関する各種情報を管理者端末等に通知する。なお、図8に示した例では、ASリンクL35を流通していたトラフィックが、ASリンクL24及びL45を流通するようになったと考え得る。
[本実施例における制御部120による処理シーケンス]
次に、図9を用いて、本実施例に係るネットワーク監視装置100の制御部120による処理シーケンスについて説明する。図9は、本実施例における制御部120による処理の流れを示すシーケンス図である。
図9に示すように、制御部120のフロー情報収集部121は、監視対象のAS内に配置されるルータ等からフロー情報を収集する(ステップS11)。そして、フロー情報収集部121は、ルータ等から収集したフロー情報をフロー情報記憶部111に格納するとともに、経路トラフィック集計部123に出力する(ステップS12)。
また、経路情報収集部122は、監視対象のAS内に配置されるルータ等から経路情報を収集する(ステップS13)。そして、経路情報収集部122は、ルータ等から収集した経路情報を経路情報記憶部112に格納するとともに、経路トラフィック集計部123に出力する(ステップS14)。
続いて、経路トラフィック集計部123は、フロー情報収集部121によって収集されたフロー情報と、経路情報収集部122によって収集された経路情報とに基づいて、トラフィックの送信先プレフィックス毎にトラフィック量を集計する(ステップS15)。そして、経路トラフィック集計部123は、送信先プレフィックス毎のトラフィック量に基づいて、ASパス毎にトラフィック量を集計する(ステップS16)。そして、経路トラフィック集計部123は、ASパス毎のトラフィック量をAS間トラフィック集計部124に出力する(ステップS17)。
続いて、AS間トラフィック集計部124は、経路トラフィック集計部123によって集計されたASパス毎のトラフィック量に基づいて、ASリンク毎にトラフィック量を集計する(ステップS18)。そして、AS間トラフィック集計部124は、ASリンク毎のトラフィック量をトラフィック変動検出部125に出力する(ステップS19)。
続いて、トラフィック変動検出部125は、AS間トラフィック集計部124によって集計されたASリンク毎のトラフィック量を定期的に監視することにより、ASリンク毎にトラフィック量の変動量を検出する(ステップS20)。そして、トラフィック変動検出部125は、トラフィック変動量が所定の閾値よりも大きいASリンクを検出した場合に、かかるASリンクに関する各種情報を管理者端末等に通知する。
[本実施例に係るネットワーク監視装置による集計処理手順]
次に、図10を用いて、本実施例に係るネットワーク監視装置100による集計処理の手順について説明する。図10は、本実施例に係るネットワーク監視装置100による集計処理手順を示すフローチャートである。
図10に示すように、制御部120のフロー情報収集部121は、監視対象のAS内に配置されるルータ等から送信されるフロー情報を受信することにより、フロー情報を収集する(ステップS101)。また、経路情報収集部122は、監視対象のAS内に配置されるルータ等から送信されるI−BGPメッセージを受信することにより、経路情報を収集する(ステップS102)。
続いて、経路トラフィック集計部123は、経路情報に含まれる送信先プレフィックスとマッチする送信先IPアドレスを含むフロー情報を抽出する(ステップS103)。そして、経路トラフィック集計部123は、抽出したフロー情報に含まれるトラフィック量を加算することにより、送信先プレフィックス毎にトラフィック量を集計する(ステップS104)。そして、経路トラフィック集計部123は、ASパスが同一であるトラフィックのトラフィック量を加算することにより、ASパス毎にトラフィック量を集計する(ステップS105)。
続いて、AS間トラフィック集計部124は、ASパスに対応するトラフィック量をかかるASパスに含まれるASリンクのトラフィック量として、同一のASリンクのトラフィック量を加算することにより、ASリンク毎にトラフィック量を集計する(ステップS106)。このようにして、制御部120のフロー情報収集部121、経路情報収集部122、経路トラフィック集計部123、AS間トラフィック集計部124は、ASリンク毎にトラフィック量を集計する。
ネットワーク監視装置100は、ルータ等からフロー情報及び経路情報が送信されるたびに上記の集計処理手順を行う。なお、ルータ等からフロー情報と経路情報とが同時に送信されるとは限らない。例えば、ルータ等からフロー情報のみが送信される場合や、経路情報のみが送信される場合がある。ここで、ネットワーク監視装置100は、ルータ等からフロー情報のみが送信された場合には、上記のステップS102における処理を行わない。このとき、経路トラフィック集計部123は、フロー情報収集部121によって収集されたフロー情報と、経路情報記憶部112に記憶されている経路情報とを用いて上記のステップS103における処理を行う。また、ネットワーク監視装置100は、ルータ等から経路情報のみが送信された場合には、図10に示した集計処理手順を行わなくてもよい。また、ネットワーク監視装置100は、ルータ等からフロー情報と、かかるフロー情報に対応する経路情報が送信された場合のみ、図10に示した集計処理手順を行ってもよい。
[本実施例に係るネットワーク監視装置による監視処理手順]
次に、図11を用いて、本実施例に係るネットワーク監視装置100による監視処理の手順について説明する。図11は、本実施例に係るネットワーク監視装置100による監視処理手順を示すフローチャートである。
図11に示すように、制御部120のトラフィック変動検出部125は、監視タイミングになった場合に(ステップS201肯定)、AS間トラフィック集計部124によって集計されたASリンク毎のトラフィック量を履歴として保持する(ステップS202)。
そして、トラフィック変動検出部125は、前回に保持したASリンク毎のトラフィック量と、ステップS202において新たに保持したASリンク毎のトラフィック量とを比較することにより、ASリンク毎にトラフィック変動量を監視する(ステップS203)。
そして、トラフィック変動検出部125は、トラフィック変動量が所定の閾値よりも大きいASリンクを検出した場合に(ステップS204肯定)、かかるASリンクを流通していたトラフィックに関する各種情報を管理者端末等に通知する(ステップS205)。そして、トラフィック変動検出部125は、ステップS205における通知処理が終了した場合や、トラフィック変動量が所定の閾値よりも大きいASリンクを検出しなかった場合に(ステップS204否定)、ステップS201における処理に戻る。
[本実施例の効果]
上述してきたように、本実施例に係るネットワーク監視装置100は、監視対象のASからフロー情報及び経路情報を収集し、ASリンク毎にトラフィック量を集計する。すなわち、ネットワーク監視装置100は、監視対象のASを流通するトラフィックが経由するASリンクのトラフィック量を集計する。これにより、本実施例に係るネットワーク監視装置100は、監視対象のAS以外のASを流通するトラフィック量についても監視することができる。
また、本実施例に係るネットワーク監視装置100は、フロー情報及び経路情報に基づいて、ASパス毎にトラフィック量を集計する。これにより、本実施例に係るネットワーク監視装置100は、監視対象のAS以外のASを流通する場合であっても、ASパス毎のトラフィック量を監視することができる。
また、本実施例に係るネットワーク監視装置100は、ASリンク毎のトラフィック量を定期的に監視し、トラフィック量の変動量が所定の閾値よりも大きいASリンクを検出した場合に、かかるASリンクに関する各種情報を通知する。これにより、本実施例に係るネットワーク監視装置100は、故障した可能性のあるASリンクをネットワーク管理者に通知することができる。すなわち、ネットワーク監視装置100は、ネットワーク1内に発生する故障を自動的に検出することができる。
以上のように、本実施例に係るネットワーク監視装置100は、監視対象のASから収集したフロー情報及び経路情報を利用することによって、監視対象のネットワーク以外のネットワークにおいてトラフィック量の増加又は減少が発生した場合であっても、トラフィック量が変動した原因となっているASリンクを自動的に検出することができる。例えば、ネットワーク監視装置100は、AS間を接続する海底ケーブルが切断したような監視対象のネットワーク外でトラフィック量に影響を与える障害が発生した際に、AS間単位で故障地点の特定が可能になる。
なお、上記実施例では、図9に示した例のように、ネットワーク監視装置100が、送信先プレフィックス毎にトラフィック量を集計し、さらに、ASパス毎にトラフィック量を集計した後に、ASリンク毎にトラフィック量を集計する例を示した。しかし、ネットワーク監視装置100は、送信先プレフィックス毎にトラフィック量を集計する処理や、ASパス毎にトラフィック量を集計する処理を行わなくてもよい。例えば、ネットワーク監視装置100は、ASリンク毎にトラフィック量を集計する処理だけを行ってもよい。また、例えば、ネットワーク監視装置100は、ASパス毎にトラフィック量を集計した後に、ASリンク毎にトラフィック量を集計する処理を行ってもよい。
また、上記実施例では、図1A及び図1Bに示した例のように、AS10内にネットワーク監視装置100が配置される例を示した。しかし、ネットワーク監視装置100は、AS10外に配置されてもよい。かかる場合には、ネットワーク監視装置100は、監視対象のAS10からE−BGP(External−BGP)メッセージを受信することにより、経路情報を収集する。
また、上記実施例では、図10のステップS103に示したように、経路トラフィック集計部123が、経路情報に含まれる送信先プレフィックスとマッチする送信先IPアドレスを含むフロー情報を抽出する例をしめした。しかし、経路情報が送信元プレフィックスを含む場合には、経路トラフィック集計部123は、経路情報に含まれる送信元プレフィックスとマッチする送信元IPアドレスを含むフロー情報を抽出し、抽出したフロー情報に含まれるトラフィック量を送信元プレフィックス毎に集計するとともに、ASパス毎にトラフィック量を集計してもよい。
また、上記実施例で説明したネットワーク監視装置100は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。かかる場合には、プログラムは、インターネットなどのネットワークを介して配布することができる。また、プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。