JP5742549B2 - Packet capture processing method and apparatus - Google Patents
Packet capture processing method and apparatus Download PDFInfo
- Publication number
- JP5742549B2 JP5742549B2 JP2011164935A JP2011164935A JP5742549B2 JP 5742549 B2 JP5742549 B2 JP 5742549B2 JP 2011164935 A JP2011164935 A JP 2011164935A JP 2011164935 A JP2011164935 A JP 2011164935A JP 5742549 B2 JP5742549 B2 JP 5742549B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- packet data
- received
- session
- processing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、パケットキャプチャ処理方法及び装置に関する。ネットワークに流れる様々なパケットデータに対して、何らかの要因により、ネットワークに流入するパケットデータが増え、ネットワークの許容量を超えて過負荷状態となった場合、パケットデータは、中継ルータで待ち行列に溜め込まれ、処理待ちとなる。 The present invention relates to a packet capture processing method and apparatus. If the packet data that flows into the network increases due to some reason for the various packet data that flows through the network and exceeds the allowable amount of the network, the packet data is queued at the relay router. Waiting for processing.
しかし、中継ルータの待ち行列の容量には限りがあり、待ち行列にパケットを溜め込むことができない場合は、パケットデータの転送待ちによる遅延や廃棄等が発生する。この状況が輻輳である。本発明は、このような状況が発生するネットワークの平常時又は輻輳時の品質を調査し、分析を行うために、ネットワークに流れるパケットデータを採取して、ネットワークの品質の測定を行うためのパケットキャプチャ処理方法及び装置に関する。 However, the capacity of the queue of the relay router is limited, and when packets cannot be stored in the queue, delay or discard due to packet data transfer waiting occurs. This situation is congestion. In the present invention, in order to investigate and analyze the quality of a network in which such a situation occurs in normal or congested state, a packet for collecting packet data flowing in the network and measuring the quality of the network is collected. The present invention relates to a capture processing method and apparatus.
ネットワークの品質を測定するパケットキャプチャ処理装置において、図5の(a)に示すように、ネットワークのパケットデータ量(トラヒック量)がパケットキャプチャ処理装置の処理能力を超えて流入する場合がある。処理能力を超えて流入されたパケットデータに対しては、計測漏れとなり、パケットキャプチャ処理装置は、パケット廃棄が発生したとして処理するため、パケット廃棄率を過大に計測してしまう傾向があった。 In the packet capture processing device that measures the quality of the network, as shown in FIG. 5A, the packet data amount (traffic amount) of the network may flow in excess of the processing capability of the packet capture processing device. For packet data that has flowed in beyond the processing capacity, the measurement is missed, and the packet capture processing device processes the packet discard as it occurs, so there is a tendency to excessively measure the packet discard rate.
上述の問題を防ぐため、パケットキャプチャ処理装置で、例えば、図5の(b)に示すように、処理能力の範囲内でサンプリング測定を行い、該サンプリング測定の結果を基に統計処理を行って品質計測を実施するなどの手法が用いられていた。 In order to prevent the above problems, the packet capture processing device performs sampling measurement within the range of processing capability, for example, as shown in FIG. 5B, and performs statistical processing based on the result of the sampling measurement. Techniques such as performing quality measurements were used.
なお、関連する技術として、下記特許文献1乃至3の技術がある。
In addition, there exists a technique of the following
上述のように、従来の処理装置では、図5の(a)に示すように、処理能力を超えた際には、その間のパケットを計測対象とせず、計測漏れとする手法、又は図5の(b)に示すように、高負荷時にはサンプリング測定を行うなどの手法が用いられていた。或いは、高負荷時には、分析項目を絞る、特定の情報のみを収集する、特定のパケットのみを収集する等の手法等が提案されていた。 As described above, in the conventional processing apparatus, as shown in FIG. 5 (a), when the processing capacity is exceeded, the packet between them is not measured and the measurement is omitted, or FIG. As shown in (b), a method of performing sampling measurement at the time of high load has been used. Alternatively, methods such as narrowing down analysis items, collecting only specific information, and collecting only specific packets at the time of high load have been proposed.
しかし、これらの手法では、ネットワークに流れるパケットデータを全て採取するものではなく、一部のパケットデータを省略して分析しているため、ネットワークに流れるパケットデータを厳密に分析することができず、正確な測定結果を得ることができないものであった。本発明は、高負荷時においても、ネットワークに流れるパケットデータを全て採取して分析することを可能にし、厳密な測定結果を得ることができるパケットキャプチャ処理方法及び装置を提供する。 However, these methods do not collect all the packet data that flows through the network, but omit some packet data to analyze, so it is not possible to strictly analyze the packet data that flows through the network. Accurate measurement results could not be obtained. The present invention provides a packet capture processing method and apparatus that can collect and analyze all packet data flowing in a network even under high load and can obtain a precise measurement result.
上記課題を解決するパケットキャプチャ処理方法は、自装置の処理能力が予め定めた閾値を超えるパケットデータが受信されたか否かを判定するステップと、自装置の処理能力が予め定めた閾値を超えるパケットデータが受信されたとき、受信パケットデータが、既に自装置で処理しているセッションの後続のパケットデータか否かを判定し、自装置で処理しているセッションの後続のパケットデータである場合、該受信パケットデータを自装置で処理し、自装置で処理しているセッションのパケットデータでない場合、該受信パケットデータを、セッション毎に、他のパケットキャプチャ処理装置へ転送するステップと、を含み、前記他のパケットキャプチャ処理装置へ転送する受信パケットデータに対して、ペイロード部を廃棄し、複数の受信パケットデータのヘッダ部を結合したロングパケットを編集し、該ロングパケットを前記他のパケットキャプチャ処理装置へ転送するステップを含むものである。 A packet capture processing method that solves the above problem includes a step of determining whether or not packet data whose processing capability exceeds a predetermined threshold is received, and a packet whose processing capability exceeds a predetermined threshold. When the data is received, it is determined whether the received packet data is the subsequent packet data of the session already processed by the own device, and if the received packet data is the subsequent packet data of the session processed by the own device, the received packet data is treated with the own device, if not the packet data of the session processing in the own device, the received packet data, for each session, see containing and transferring to other packet capture processor, a For the received packet data to be transferred to the other packet capture processing device, the payload part is discarded, and a plurality of Edit the long packet combining the header portion of the received packet data, and comprising transferring the long packet to the other packet capture processor.
また、上記課題を解決するパケットキャプチャ処理装置は、自装置の処理能力が予め定めた閾値を超えるパケットデータが受信されたか否かを判定する流量監視手段と、自装置の処理能力が予め定めた閾値を超えるパケットデータが受信されたとき、受信パケットデータが、既に自装置で処理しているセッションの後続のパケットデータか否かを判定し、自装置で処理しているセッションの後続のパケットデータである場合、該受信パケットデータを自装置で処理し、自装置で処理しているセッションのパケットデータでない場合、該受信パケットデータを、セッション毎に、他のパケットキャプチャ処理装置へ転送するセッション分散手段と、前記他のパケットキャプチャ処理装置へ転送する受信データに対して、ペイロード部を廃棄し、複数の受信パケットデータのヘッダ部を結合したロングパケットを編集するパケット最適化手段を備えたものである。 In addition, the packet capture processing device that solves the above-mentioned problem has a flow rate monitoring unit that determines whether or not packet data whose processing capability exceeds a predetermined threshold is received, and the processing capability of the own device is predetermined. When packet data exceeding the threshold is received, it is determined whether the received packet data is subsequent packet data of the session already processed by the own device, and subsequent packet data of the session processed by the own device. If it is, the received packet data is treated with the own device, if not the packet data of the session processing in the own device, the received packet data, for each session, a session dispersion to be transferred to other packet capture processor and means for receiving data to be transferred to the other packet capture processor discards the payload section, Those having a packet optimization means for editing a long packets combining the header portion of the received packet data number.
ネットワークに流れるパケットデータに対して、高負荷時においても、サンプリング計測を行うことなく、他の処理装置と分散処理を行って、全てのパケットデータを採取して分析することが可能となり、厳密な測定結果を得ることが可能となる。 It is possible to collect and analyze all packet data by performing distributed processing with other processing devices without performing sampling measurement for packet data flowing through the network even under high load. Measurement results can be obtained.
開示のパケットキャプチャ処理装置は、パケット通信網を構成する、例えばルータやスイッチ等に接続される。そして、ルータ間、又はスイッチ間の伝送路で送受信するパケットを捕捉する。例えばルータやスイッチは、伝送路に送出するパケットを複製し、これをパケットキャプチャ処理装置に転送する。及び・又は、ルータやスイッチは、伝送路から受信したパケットを複製し、これをパケットキャプチャ処理装置に転送する。 The disclosed packet capture processing device is connected to, for example, a router or a switch constituting the packet communication network. And the packet transmitted / received by the transmission path between routers or between switches is captured. For example, a router or switch duplicates a packet to be sent to the transmission path and transfers it to the packet capture processing device. And / or the router or the switch duplicates the packet received from the transmission path and transfers it to the packet capture processing device.
他のキャプチャ方法として、開示のパケットキャプチャ処理装置は、ルータ間、又はスイッチ間の伝送路に配置され、受信したパケットを複製して、一方を伝送路に送信し、他方を自装置内に保持する。 As another capture method, the disclosed packet capture processing device is placed on the transmission path between routers or switches, duplicates the received packet, transmits one to the transmission path, and holds the other in its own device. To do.
図1に開示のパケットキャプチャ処理装置による分散処理の実施例を示す。パケットキャプチャ処理装置10,10’,10”は、例えば、上記パケット通信網の一例としてのローカルエリアネットワーク(LAN)に流れる各セッションa〜fのパケットデータを採取(キャプチャ)し、分析を行う。なお以下の説明では、「パケットキャプチャ処理装置」を単に「処理装置」と略称する。なお、ここで言うセッションは、同一の送信元装置から同一の受信先装置までの一連の通信である。
FIG. 1 shows an example of distributed processing by the disclosed packet capture processing apparatus. The packet
ここで、第1の処理装置10におけるパケット分析の処理負荷が大きくなり、該処理負荷が第1の処理装置10の処理能力閾値を超えることが予想される状態となったとする。すると、第1の処理装置10は、それ以降に受信されるパケットデータのセッションを識別し、各パケットデータをセッション単位で振り分け、他の代行処理用の第2の処理装置20に転送し、第2の処理装置20によりパケットデータをセッション単位で分散させて分析する。
Here, it is assumed that the processing load of packet analysis in the
第1の処理装置10及び第2の処理装置20は、それぞれパケットデータを分析した分析結果を、第3の処理装置30へ転送し、該第3の処理装置30は、第1の処理装置10及び第2の処理装置20から転送された分析結果を集約し統計処理を行い、ネットワーク品質等を測定する。該測定結果等は、マネージメント管理端末40が第3の処理装置30にアクセスし、該マネージメント管理端末40によって参照される。
The
他の処理装置10’、10”も同様に、処理負荷が大きくなり、処理能力閾値を超えることが予想される状態となると、以降受信されるパケットデータを、セッション単位で振り分け、代行処理用の第2の処理装置20に転送し、第2の処理装置20によりパケットデータをセッション単位で分散処理させる。即ち、同一セッションのパケットデータは、同一の処理装置で処理されるようにし、同一セッションのパケットデータが別々の処理装置に転送されることがないように分散する。
Similarly, when the
図2の(a)は、第1の処理装置10でキャプチャしようとするネットワーク上の各セッションのパケットデータの流れの一例を示している。図2の(a)において、a1,a2はそれぞれセッションaの第1番目と第2番目の受信パケットデータを示している。また、b1,b2はそれぞれセッションbの第1番目と第2番目の受信パケットデータを示している。
FIG. 2A shows an example of the flow of packet data for each session on the network to be captured by the
c1,c2はセッションcの第1番目と第2番目の受信パケットデータを示している。d1,d2はセッションdの第1番目と第2番目の受信パケットデータを示している。e1,e2,e3はセッションeの第1番目と第2番目と第3番目の受信パケットデータを示している。f1はセッションfの第1番目の受信パケットデータを示している。 c1 and c2 indicate the first and second received packet data of the session c. d1 and d2 indicate the first and second received packet data of the session d. e1, e2, and e3 indicate the first, second, and third received packet data of the session e. f1 indicates the first received packet data of the session f.
各パケットデータは、図2の(a)に示すように左側から順番に第1の処理装置10で受信され、ここで、セッションcの第1番目のパケットデータc1の受信後に高負荷が発生し、セッションdの第2番目のパケットデータd2の受信後に高負荷が解除されたものとする。
Each packet data is received by the
図2の(b)は、該パケットデータを分散処理する動作フロー例を示している。第1の処理装置10では、パケットデータを受信すると(2−1)、第1の処理装置10で高負荷が発生している状態か否かを判定する(2−2)。高負荷が発生している状態か否かは、例えば、第1の処理装置10のCPU使用率や流入する転送パケット量(PPS:Packet Per Second)等を基に判定する構成とすることができる。
FIG. 2B shows an example of an operation flow for performing distributed processing on the packet data. When receiving the packet data (2-1), the
高負荷が発生していない場合、第1の処理装置10は、受信したパケットデータのセッションを識別し、該セッションのパケットデータを第2の処理装置20に既に転送しているか否かを判定する(2−3)。セッションの識別は、具体的には、パケットに含まれる宛先アドレス(Destination Address:DA)、送信元アドレス(Source Address:SA)、セッション識別子などを抽出し、これらの組合せ、又は全てにより該パケットのセッションを識別する。
When the high load is not generated, the
受信したパケットデータが、既に第2の処理装置20に転送済みのセッションの後続のパケットデータでない場合、該受信パケットデータを第1の処理装置10の待ち行列(キュー)Q1に格納する(2−4)。具体的には、転送を決定したセッションが有った場合、該セッションを識別するための情報を保持しておき、受信したパケットから抽出した情報に基づく該パケットのセッションと、保持したセッション情報とを比較して転送済みセッションであるかを判定する。
If the received packet data is not subsequent packet data of a session that has already been transferred to the
受信したパケットデータが、既に第2の処理装置20に転送した受信パケットのセッションの後続のパケットデータであった場合、受信したパケットデータを第2の処理装置20へ転送し、該パケットデータを第2の処理装置20の待ち行列(キュー)Q2に格納させる(2−6)。
When the received packet data is subsequent packet data of the session of the received packet that has already been transferred to the
一方、高負荷が発生している場合、第1の処理装置10は、受信したパケットデータのセッションを識別し、該セッションのパケットデータを第1の処理装置10で既に受信しているか否かを判定する(2−5)。既に受信しているか否かの判定は、前記した高負荷が発生していない場合に記載の方法を用いることができる。
On the other hand, when a high load occurs, the
受信したパケットデータが、既に第1の処理装置10で受信済みのセッションの後続のパケットデータでない場合、該受信したパケットデータを第2の処理装置20へ転送し、第2の処理装置20の待ち行列(キュー)Q2に格納させる(2−6)。
When the received packet data is not subsequent packet data of a session that has already been received by the
受信したパケットデータが、既に第1の処理装置10で受信済みのセッションの後続のパケットデータである場合、該受信したパケットデータを第1の処理装置10の待ち行列(キュー)Q1に格納する(2−4)。
When the received packet data is subsequent packet data of a session that has already been received by the
上述の分散処理のフロー例によって、図2の(a)に示すパケットデータが具体的にどのように分散されるかを説明する。高負荷が発生する前に受信されたパケットデータa1,a2,b1,c1は、それぞれ第1の処理装置10の待ち行列(キュー)Q1に順番に格納される。
A specific description will be given of how the packet data shown in FIG. 2A is distributed by the above-described flow example of distributed processing. The packet data a1, a2, b1, c1 received before the high load is generated are sequentially stored in a queue (queue) Q1 of the
次に、高負荷発生後に受信したパケットデータc2は、そのセッションcのパケットデータc1を既に第1の処理装置10で受信済みであるので、該パケットデータc2は、第1の処理装置10の待ち行列(キュー)Q1に格納される。
Next, since the packet data c2 received after the occurrence of high load has already been received by the
次に受信されるパケットデータd1は、そのセッションdのパケットデータを第1の処理装置10では未だ受信していないので、該パケットデータd1は、第2の処理装置20の待ち行列(キュー)Q2に格納される。
Since the packet data d1 received next is not yet received by the
次に受信されるパケットデータb2は、そのセッションbのパケットデータb1を第1の処理装置10既に受信しているので、該パケットデータb2は、第1の処理装置10の待ち行列(キュー)Q1に格納される。
Since the packet data b2 received next has already received the packet data b1 of the session b from the
次に受信されるパケットデータe1は、そのセッションeのパケットデータを第1の処理装置10では未だ受信していないので、該パケットデータe1は、第2の処理装置20の待ち行列(キュー)Q2に格納される。
Since the packet data e1 received next is not yet received by the
次に受信されるパケットデータd2は、そのセッションdのパケットデータを第1の処理装置10では受信していないので、該パケットデータd2は、第2の処理装置20の待ち行列(キュー)Q2に格納される。
Since the packet data d2 received next is not received by the
次に受信されるパケットデータe2は、高負荷の解除後であっても、そのセッションeのパケットデータe1を第2の処理装置20に転送済みであるのでので、該パケットデータe2は、第2の処理装置20の待ち行列(キュー)Q2に格納される。
Since the packet data e2 received next has already been transferred to the
次に受信されるパケットデータf1は、高負荷の解除後であり、そのセッションfのパケットデータを第2の処理装置20に転送していないので、該パケットデータf1は、第1の処理装置10の待ち行列(キュー)Q1に格納される。
The packet data f1 received next is after the release of the high load, and since the packet data of the session f has not been transferred to the
次に受信されるパケットデータe3は、高負荷の解除後であっても、そのセッションeのパケットデータe1,e2を第2の処理装置20に転送済みであるのでので、該パケットデータe3は、第2の処理装置20の待ち行列(キュー)Q2に格納される。
Since the packet data e3 received next has been transferred to the
前述したパケットキャプチャ処理方法は、第1の処理装置10が受信したパケットデータを分散処理のためにそのままの状態で代行処理用の第2の処理装置20へ転送するものであった。パケットデータが転送される第2の処理装置20では、パケットを受信すると該パケットをオペレーティングシステム(OS)に渡す。オペレーティングシステム(OS)は、該パケットの種別を識別して各種別に対応したアプリケーションソフトウェアを起動し、該受信パケットを該アプリケーションソフトウェア処理する。
In the packet capture processing method described above, the packet data received by the
そのため、上述の分散処理のパケットデータをそのまま代行処理用の第2の処理装置20へ転送する手法では、パケット毎の転送処理、及びパケット毎のオペレーティングシステム(OS)起動等によるオーバーヘッド処理の負荷が掛かり、第1及び第2の処理装置10,20での処理負荷が大きくなってしまう。
For this reason, in the method of transferring the packet data of the distributed processing as it is to the
そこで上述のセッション単位に分散したパケットデータのうち、分析や測定に利用されるデータ部分のみを抽出し、分析や測定に不要なデータを廃棄し、該分析や測定に利用されるデータ部分のみを結合して転送パケットの最適化を行う。こうすることにより、パケット毎の転送処理やパケット毎のオペレーティングシステム(OS)起動等のオーバーヘッド処理の負荷を軽減することが可能となる。 Therefore, only the data part used for analysis and measurement is extracted from the packet data distributed in the above-mentioned session unit, the data unnecessary for analysis and measurement is discarded, and only the data part used for the analysis and measurement is discarded. Combined to optimize forwarding packets. By doing so, it is possible to reduce the overhead of overhead processing such as transfer processing for each packet and operating system (OS) activation for each packet.
転送パケットの最適化として、具体的には、例えば、セッション単位に分散した各パケットデータのペイロード部のデータを廃棄し、各パケットデータのヘッダ部のデータを結合する。該結合したデータをロングパケットに変換して、代行処理用の第2の処理装置20に転送する。
For optimization of the transfer packet, specifically, for example, the data in the payload portion of each packet data distributed in session units is discarded and the data in the header portion of each packet data is combined. The combined data is converted into a long packet and transferred to the
こうすることにより、ヘッダ情報などのオーバーヘッドとなる部分のデータ比率が高いロングパケットを使用して転送効率の向上を図ることができ、第1の処理装置10では、全てのパケットを処理するより、分散処理により処理負荷を軽減することができる。
By doing so, it is possible to improve the transfer efficiency by using a long packet with a high data ratio of the overhead part such as header information. In the
図3に転送パケットの最適化の具体例を示す。図3の(a)は、第1の処理装置10から第2の処理装置20へ転送するパケットデータの一例を示している。図3の(a)に示すように、パケットデータd1,e1,d2,e2,e3を転送するものとする。
FIG. 3 shows a specific example of transfer packet optimization. FIG. 3A shows an example of packet data transferred from the
第1の処理装置10は、それらの各パケットデータのうち、ペイロード部3−2のデータを削除し、ヘッダ部3−1のみのデータを図3の(b)に示すように記憶部3−3に格納する。第1の処理装置10は、記憶部3−3に格納したヘッダ部のみのデータを結合してロングパケットに変換する。
The
図3の(b)は、第2の処理装置20へ転送する各セッションのパケットデータを混在させてロングパケットに変換する実施例を示した。これに対して、図3の(c)に示すように、第2の処理装置20へ転送する各セッションのパケットデータを、セッション単位で分別し、セッション単位で振り分けて記憶部に格納する構成とすることができる。
FIG. 3B shows an embodiment in which packet data of each session transferred to the
すなわち、図3の(c)に示すように、セッションdのデータパケットd1,d2のみを第1の記憶部3−4に格納し、セッションeのデータパケットe1,e2,e3のみを第2の記憶部3−5に格納する。そして、第1の記憶部3−4に格納されたセッションdのデータパケットを結合してロングパケットに変換し、第2の記憶部3−5に格納されたセッションeのデータパケットを結合してロングパケットに変換する。こうすることにより、第2の処理装置20では、受信したロングパケットがセッション単位に対応するものとなり、セッション単位での分析等の処理を効率良く行うことが可能となる。
That is, as shown in FIG. 3C, only the data packets d1, d2 of the session d are stored in the first storage unit 3-4, and only the data packets e1, e2, e3 of the session e are stored in the second storage unit 3-4. Store in the storage unit 3-5. Then, the data packet of session d stored in the first storage unit 3-4 is combined and converted into a long packet, and the data packet of session e stored in the second storage unit 3-5 is combined. Convert to long packet. By doing so, in the
図4に第1、第2及び第3の処理装置の機能ブロックの構成例を示す。第1の処理装置10は、受信制御部(キャプチャエンジン)11、セッション管理部12、流量監視部13、セッション分散部14、パケット分析部15、分析結果編集部16、送信制御部17、パケット最適化部18を備える。
FIG. 4 shows a configuration example of functional blocks of the first, second, and third processing apparatuses. The
受信制御部(キャプチャエンジン)11は、ネットワークを流れるパケットデータの採取を制御する。セッション管理部12は、受信パケットデータの送信元IPアドレス及び宛て先IPアドレスを基にセッションを識別し、受信パケットデータをセッション単位に管理する。
The reception control unit (capture engine) 11 controls collection of packet data flowing through the network. The
流量監視部13は、パケットデータの流量を監視し、予め設定された閾値を基に高負荷発生を判定し、その判定結果をセッション管理部12に通知する。高負荷発生の判定は、処理装置の処理能力に対して予め設定した閾値(例えば、処理能力の限界値の90%)、又は予め設定した転送パケット量(PPS)の閾値を超えた場合に、高負荷発生と判定する構成とすることができる。
The flow
セッション分散部14は、セッション管理部12の管理のもとに、受信パケットデータをセッション単位で自装置のパケット分析部15に送出し、又は他の第2若しくは第3の処理装置に転送して、分析処理を分散化させる。パケット分析部15は、受信パケットデータをセッション単位で分析処理する。分析結果編集部16は、パケット分析部15で分析された分析結果を編集し、送信制御部17に渡す。
Under the management of the
パケット最適化部18は、セッション単位で分散した各パケットデータのペイロード部のデータを廃棄し、各パケットデータのヘッダ部のデータを結合し、結合したデータをロングパケットに変換し、送信制御部17に渡す。
The
送信制御部17は、分析結果編集部16で編集された分析結果を、第3の処理装置30の品質データ集約統計処理部38へ送信する。また、送信制御部17は、セッション分散部14で分散化され、パケット最適化部18でロングパケットに変換されたパケットデータを、転送先の第2の処理装置20又は第3の処理装置30へ送信する。
The
第2の処理装置20は、第1の処理装置10で受信されたパケットデータを分散処理する機能ブロックとして、受信制御部(キャプチャエンジン)21、パケット分析部25、分析結果編集部26、及び送信制御部27を備える。
The
第2の処理装置20では、第1の処理装置10の送信制御部18から送信されたパケットデータを、受信制御部(キャプチャエンジン)21で受信し、パケット分析部25によりセッション単位で受信パケットデータの分析処理を行う。パケット分析部25の分析結果は、分析結果編集部26により編集され、送信制御部27に渡される。送信制御部27は、分析結果編集部26で編集された分析結果を、第3の処理装置30の品質データ集約統計処理部38へ送信する。
In the
なお、上述したように、第1の処理装置10で受信されたパケットデータを分散処理するための機能ブロックを、独立した第2の処理装置20内に設ける構成のほかに、分析結果を集約し統計処理を行う第3の処理装置30内にそれらの機能ブロック設ける構成とすることができる。
As described above, the analysis results are aggregated in addition to the configuration in which the functional blocks for performing the distributed processing on the packet data received by the
第3の処理装置30でパケットデータの分析の分散処理を行う場合、第3の処理装置30内には、受信制御部(キャプチャエンジン)31、パケット分析部35、分析結果編集部36、及び送信制御部37を備える。それらの機能は、第2の処理装置20における受信制御部(キャプチャエンジン)21、パケット分析部25、分析結果編集部26、及び送信制御部27と同様であるので、重複した説明は省略する。
When the
10 第1の処理装置
20 代行処理用の第2の処理装置
30 集約し統計処理を行う第3の処理装置
10’,10” 他の処理装置
DESCRIPTION OF
Claims (3)
自装置の処理能力が予め定めた閾値を超えるパケットデータが受信されたか否かを判定するステップと、
自装置の処理能力が予め定めた閾値を超えるパケットデータが受信されたとき、受信パケットデータが、既に自装置で処理しているセッションの後続のパケットデータか否かを判定し、自装置で処理しているセッションの後続のパケットデータである場合、該受信パケットデータを自装置で処理し、自装置で処理しているセッションのパケットデータでない場合、該受信パケットデータを、セッション毎に、他のパケットキャプチャ処理装置へ転送するステップと、
を含み、
前記他のパケットキャプチャ処理装置へ転送する受信パケットデータに対して、ペイロード部を廃棄し、複数の受信パケットデータのヘッダ部を結合したロングパケットを編集し、該ロングパケットを前記他のパケットキャプチャ処理装置へ転送するステップを含むことを特徴とするパケットキャプチャ処理方法。 In a packet capture processing method for receiving and analyzing packet data on a network,
Determining whether or not packet data whose processing capability of the device exceeds a predetermined threshold is received;
When packet data whose processing capability exceeds a predetermined threshold is received, it is determined whether the received packet data is subsequent packet data of a session already processed by the device, and processed by the device. If the received packet data is not the packet data of the session being processed by the own device, the received packet data is changed to another packet data for each session. Transferring to a packet capture processing device;
Only including,
For the received packet data transferred to the other packet capture processing device, the payload part is discarded, a long packet obtained by combining the header parts of a plurality of received packet data is edited, and the long packet is processed by the other packet capture process. A packet capture processing method comprising a step of transferring to a device .
自装置の処理能力が予め定めた閾値を超えるパケットデータが受信されたか否かを判定する流量監視手段と、
自装置の処理能力が予め定めた閾値を超えるパケットデータが受信されたとき、受信パケットデータが、既に自装置で処理しているセッションの後続のパケットデータか否かを判定し、既に自装置で処理しているセッションの後続のパケットデータである場合、該受信パケットデータを自装置で処理し、自装置で処理しているセッションのパケットデータでない場合、該受信パケットデータを、セッション毎に、他のパケットキャプチャ処理装置へ転送するセッション分散手段と、
前記他のパケットキャプチャ処理装置へ転送する受信データに対して、ペイロード部を廃棄し、複数の受信パケットデータのヘッダ部を結合したロングパケットを編集するパケット最適化手段を備えたことを特徴とするパケットキャプチャ処理装置。 In a packet capture processing device that receives and analyzes packet data on the network,
Flow rate monitoring means for determining whether or not packet data whose processing capability exceeds a predetermined threshold value has been received;
When packet data whose processing capability exceeds a predetermined threshold is received, it is determined whether the received packet data is subsequent packet data of a session already processed by the own device. If a subsequent packet data of the session processing, the received packet data is treated with the own device, if not the packet data of the session processing in the own device, the received packet data, for each session, other Session distribution means for transferring to a packet capture processing device of
A packet optimizing unit is provided that edits a long packet in which a payload portion is discarded and a header portion of a plurality of received packet data is combined with respect to received data transferred to the other packet capture processing device. Packet capture processing device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011164935A JP5742549B2 (en) | 2011-07-28 | 2011-07-28 | Packet capture processing method and apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011164935A JP5742549B2 (en) | 2011-07-28 | 2011-07-28 | Packet capture processing method and apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013030944A JP2013030944A (en) | 2013-02-07 |
JP5742549B2 true JP5742549B2 (en) | 2015-07-01 |
Family
ID=47787569
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011164935A Expired - Fee Related JP5742549B2 (en) | 2011-07-28 | 2011-07-28 | Packet capture processing method and apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5742549B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104704788A (en) * | 2012-09-14 | 2015-06-10 | 惠普发展公司,有限责任合伙企业 | Determining a load distribution for data units at a packet inspection device |
JP6075121B2 (en) * | 2013-03-04 | 2017-02-08 | 富士通株式会社 | Network monitoring system |
JP6107413B2 (en) | 2013-05-22 | 2017-04-05 | 富士通株式会社 | Analysis device, network system, port switching method and program |
WO2016075924A1 (en) | 2014-11-10 | 2016-05-19 | 日本電気株式会社 | Information processing system and delay measurement method |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007116350A (en) * | 2005-10-19 | 2007-05-10 | Mitsubishi Electric Corp | Load disperser |
JP5028431B2 (en) * | 2009-01-07 | 2012-09-19 | 株式会社日立製作所 | Network relay device and packet distribution method |
JP2011049794A (en) * | 2009-08-27 | 2011-03-10 | Alaxala Networks Corp | System and method of acquiring packet flow statistical value |
-
2011
- 2011-07-28 JP JP2011164935A patent/JP5742549B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013030944A (en) | 2013-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4774357B2 (en) | Statistical information collection system and statistical information collection device | |
US9391895B2 (en) | Network system and switching method thereof | |
CN113676376B (en) | In-band network telemetry method based on clustering | |
US20070160073A1 (en) | Packet communications unit | |
US20180152384A1 (en) | Apparatus and system for optimizing communication networks | |
JP5742549B2 (en) | Packet capture processing method and apparatus | |
JP4823156B2 (en) | Remote traffic monitoring method | |
CN111726410B (en) | Programmable real-time computing and network load sensing method for decentralized computing network | |
WO2016169121A1 (en) | Link analysis method, device and system | |
US20230224382A1 (en) | Metadata prioritization | |
US10904150B1 (en) | Distributed dynamic load balancing in network systems | |
JP5440200B2 (en) | Relay device and bandwidth control method | |
JP2013179678A (en) | Router device | |
US9154390B2 (en) | Packet relay apparatus and measurement method for measuring discard number of data packets | |
JP4244355B2 (en) | Passed packet monitoring apparatus and method | |
Suárez-Varela et al. | Reinventing netflow for openflow software-defined networks | |
Liu et al. | Programmable per-packet network telemetry: From wire to kafka at scale | |
CN106230660B (en) | The method and device of sFlow sampling | |
CN111800311B (en) | Real-time sensing method for decentralized computing state | |
KR101466938B1 (en) | Apparatus and Method of Subscriber Traffic Control in The Non-Symmetric Traffic Environment | |
Kamamura et al. | Fast xFlow proxy: Exploring and visualizing deep inside of carrier traffic | |
Maw | Traffic engineering in Software-Defined Networking SDN | |
JP7514970B1 (en) | Packet monitoring device, communication system, and program | |
WO2022121454A1 (en) | Traffic table sending method and related apparatus | |
JP2004274552A (en) | Computer communication system, resource management method, program and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140404 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150127 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150319 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150407 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150420 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5742549 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |