JP6107413B2 - 分析装置、ネットワークシステム、ポートの切り替え方法及びプログラム - Google Patents

分析装置、ネットワークシステム、ポートの切り替え方法及びプログラム Download PDF

Info

Publication number
JP6107413B2
JP6107413B2 JP2013108420A JP2013108420A JP6107413B2 JP 6107413 B2 JP6107413 B2 JP 6107413B2 JP 2013108420 A JP2013108420 A JP 2013108420A JP 2013108420 A JP2013108420 A JP 2013108420A JP 6107413 B2 JP6107413 B2 JP 6107413B2
Authority
JP
Japan
Prior art keywords
packet data
port
copy packet
copy
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013108420A
Other languages
English (en)
Other versions
JP2014230105A (ja
Inventor
岩倉 廣和
廣和 岩倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013108420A priority Critical patent/JP6107413B2/ja
Priority to US14/278,204 priority patent/US9553795B2/en
Publication of JP2014230105A publication Critical patent/JP2014230105A/ja
Application granted granted Critical
Publication of JP6107413B2 publication Critical patent/JP6107413B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/16Multipoint routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/552Prevention, detection or correction of errors by ensuring the integrity of packets received through redundant connections

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、分析装置、ネットワークシステム、ポートの切り替え方法及びプログラムに関する。
従来、パケット通信を行う複数のサーバと、複数のサーバ間のパケットデータを転送するスイッチとを備えたシステムにおけるパケット通信の状態をシステム分析装置が分析することが行われている。例えば、図24(A)に示すように、システム分析装置100は、スイッチ120SWを介して行われるサーバA114A、サーバB114B間のパケット通信を分析する。
ここで、スイッチ120SWは、3つのポート116P1〜116P3を有する。サーバA114Aは、スイッチ120SWのポート116P1に接続されている。サーバB114Bは、スイッチ120SWのポート116P2に接続されている。サーバA114A、サーバB114B間のパケット通信は、スイッチ120SWのポート116P1、116P2を介して行われる。
システム分析装置100は、サーバA114A、サーバB114B間のパケット通信を分析するため、次のようなミラーリングを、スイッチ120SWに設定している。即ち、まず、サーバA114A、サーバB114B間のパケット通信が行われているスイッチ120SWのポート116P1、116P2の一方のポート116P2が、当該ポートを通過するパケットデータがコピーされるポートである対象ポートとして、設定される。また、上記ポート116P1、116P2以外の、分析装置100に接続されたポート116P3が出力ポートとして設定される。対象ポート116P2を基準にコピーされたパケットデータが、出力ポート116P13を介してシステム分析装置100に送信される。
これにより、サーバA114A、サーバB114B間でパケット通信が行われると、当該通信のパケットデータが、対象ポート116P2を通過する際、コピーされると共に、コピーされたパケットデータが、出力ポート116P3を介して、分析装置100に出力される。
ところで、上記の例では、2つのサーバA114AとサーバB114Bの間の通信を説明した。しかし、実際は、より多くのサーバの間で、複数のスイッチを介して通信がされる。図24(B)には、3つのサーバA114A〜サーバC114Cの間で、2つのスイッチ120SW1、120SW2を介して通信がされる例が示されている。この例では、サーバB114BとサーバC114Cとの間の通信のミラーリングでは、対象ポートとしてポート116P13が設定されている。サーバA114AとサーバB114Bとの間の通信のミラーリングでは、対象ポートとしてポート116P11が設定されている。そして、これらのポート116P11、116P13を通過するパケットデータコピーされると共にコピーされたパケットデータが出力ポート116P14を介してシステム分析装置100に送信される。
特表2003−525000号公報 特開2013−30944号公報
しかし、パケットデータを転送する際、ポートは、受信したパケットデータを一時的に記憶し、記憶したパケットデータを転送する。そして、ポートは、一時的に記憶することができるパケットデータ量の限界が定められている。従って、ポート116P11とポート116P13とを通過したパケットデータのコピーが一時的に出力ポート116P14に集中すると、上記限界を超える分の何れかのパケットデータが、出力ポート116P14に記憶されずに、破棄される。破棄されたパケットデータは、システム分析装置に出力されない。このような状態が継続すると、システム分析装置は、上記システムにおける、破棄されたパケットデータの側のパケット通信の状態を正確に分析することができない。
1つの側面として、本発明は、パケットデータが破棄されても当該パケットデータに関連する通信の分析を継続できるようにすることを目的とする。
開示の技術において、システムは、ネットワークを介してパケット通信を行う複数のサーバ装置を備えている。また、システムは、前記複数のサーバ装置間に設けられ、複数のポートに入力されたパケットデータを中継するとともに、所定のポートを通過するパケットデータを複製し、該複製したコピーパケットデータを複数のポートのうちの第1のポートまたは第2のポートに出力する転送装置を備えている。分析装置は、前記システムにおいて前記転送装置の第1のポート及び第2のポートに接続され、かつ前記コピーパケットデータを出力させるポートを、該第1のポートから該第2のポートに切り替える。受信部は、前記コピーパケットデータを受信する。検出部は、受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出する。当該検出は、受信した前記コピーパケットデータに含まれる所定の情報と前記コピーパケットデータより前に受信した過去のコピーパケットデータに含まれる所定の情報に基づいて、行われる。特定部は、前記検出部により受信した前記コピーパケットデータが連続していないことが検出された場合には、連続していない前記コピーパケットデータを前記第1のポートに出力した所定のポートを特定する。制御部は、前記特定部により特定された所定のポートを通過するパケットデータの複製したコピーパケットデータを前記第2のポートに出力するように、前記転送装置を制御する。
1つの側面として、パケットデータが破棄されても当該パケットデータに関連する通信の分析を継続することができる、という効果を有する。
2つのスイッチと4つのサーバとを有するシステムと、当該システムにおける通信を分析する分析装置10とを示す図である。 システム分析装置10とスイッチ1SW1、スイッチ2SW2のブロック図である。 (A)は、システム分析装置10の分析プログラムを示し、(B)は、システム分析装置10の分析プロセスを示す図である。 システム分析装置10の記憶装置24に設けられた経路スイッチ登録テーブル50を示す図である。 システム分析装置10の記憶装置24に設けられた初期設定テーブル52を示す図である。 各スイッチに設けられたセッション定義テーブル54を示す図である。 システム分析装置10の記憶装置24に設けられたセッション情報テーブル56を示す図である。 システム分析装置10の記憶装置24に設けられたスイッチ切り替り回数テーブル58を示す図である。 パケットデータの内容を示す図であり、(A)は、TCPに従ったパケットデータ62Aを、(B)は、UDPに従ったパケットデータ62Bを、(C)は、IPヘッダ64を、(D)は、TCPヘッダ66Aを、(E)は、UDPヘッダ66Bを示す図である。 システム分析装置10がスイッチにミラーリングをするように設定するミラーリング初期設定処理の一例を示すフローチャートである。 パケットデータの破棄検出処理の一例を示すフローチャートである。 UDPに従ったパケットデータの破棄の検出及び設定処理の一例を示すフローチャートである。 (A)は、UDPに従ったパケットデータが送信される様子を示し、(B)は、メッセージ(1)M1のパケットデータの内、2番目のパケットデータが破棄され、次のメッセージ(2)M2の先頭のパケットデータが検出された様子を示す図である。 第1の周期処理の一例を示すフローチャートである。 第2の周期処理の一例を示すフローチャートである。 (A)は、セッションs11のパケットデータが出力ポート16P14で破棄されている様子を示し、(B)は、パケットデータの破棄が生じたセッションs11に属するパケットデータが、スイッチ1SW1からスイッチ2SW2に切り替わって、システム分析装置10に送信される様子を示す図である。 第1−1の変形例を示すブロック図である。 第1−2の変形例を示すブロック図である。 第1−3の第1の変形例を示すブロック図である。 第1−3の第2の変形例を示すブロック図である。 第1−4の変形例を示すブロック図である。 第3の変形例におけるUDPに従ったパケットデータの破棄の検出及び設定処理の一例を示すフローチャートである。 (A)は、メッセージ(1)M1のパケットデータの内、先頭のパケットデータが破棄されている様子を示し、(B)は、メッセージ(1)M1の最後のパケットデータが破棄された様子を示す図である。 (A)は、スイッチ120SWを介して行われるサーバA114A、サーバB114B間の通信がミラーリングされる様子を示す図であり、(B)は、3つのサーバ114A〜114Cの間で、2つのスイッチ120SW1、120SW2を介して行われる通信のミラーリングの様子を示す図である。
以下、図面を参照して開示の技術の実施形態の一例を詳細に説明する。
図1には、2個のスイッチ1SW1、スイッチ2SW2と、4個のサーバ装置(以下、「サーバ」という)A14A、サーバB14B、サーバC14C、サーバD14Dとを有するシステムが示されている。また、図1には、当該システムにおけるパケット通信を分析するシステム分析装置10が示されている。図1に示すように、スイッチ1SW1には、サーバC14CとサーバD14Dが接続され、スイッチ2SW2には、サーバA14AとサーバB14Bが接続されている。各スイッチ1SW1、スイッチ2SW2には、システム分析装置10が接続されている。
なお、スイッチ1SW1、スイッチ2SW2は、本開示の技術の「転送装置」の一例であり、4個のサーバA14A、サーバB14B、サーバC14C、サーバD14Dは、本開示の技術の「複数のサーバ装置」の一例である。システムは、本開示の技術の「ネットワークシステム」の一例である。システム分析装置10は、本開示の技術の「分析装置」の一例である。
スイッチ1SW1には、4個のポート16P11〜16P14が設けられる。サーバC14Cはポート16P12に接続され、サーバD14Dはポート16P13に接続されている。サーバC14CとサーバD14Dは、ポート16P12、ポート16P13を介してパケット通信を行う。ポート16P13は、当該ポートを通過するパケットデータがコピーされる、即ち、ミラーリングの対象ポートとして、システム分析装置10により設定されている。ポート16P14には、システム分析装置10が接続されている。
スイッチ2SW2には、4個のポート16P21〜16P24が設けられる。サーバA14Aはポート16P21に接続され、サーバB14Bはポート16P22に接続されている。サーバA14AとサーバB14Bは、ポート16P21、ポート16P22を介して通信を行う。ポート16P22は、ミラーリングの対象ポートとして、システム分析装置10により設定されている。ポート16P23には、システム分析装置10が接続されている。
スイッチ1SW1のポート16P11と、スイッチ2SW2のポート16P24とは接続されている。スイッチ1SW1のポート16P14は、スイッチ1SW1においてミラーリングの対象ポートとして設定されたポートを通過するパケットのコピーされたパケットがシステム分析装置10に出力されるように、出力ポートとして、システム分析装置10により設定されている。よって、ミラーリングの対象ポート16P13を基準としてコピーされたパケットが、ポート16P14に出力される。ミラーリング対象ポート16P22を基準としてコピーされたパケットが、ポート16P24、16P11を介してポート16P14に送信されるように、スイッチ2SW2がシステム分析装置10により設定されている。このように、ポート16P14には、ポート16P13を通過するコピーされたパケットと、ポート16P22を通過するコピーされたパケットとが入力される。ポート16P14は、入力されたパケットを一時的に記憶し、記憶したパケットをシステム分析装置10に送信する。なお、ポート16P14において一時的に記憶できるパケットは100Mbps(bits per second)である。
図2には、システム分析装置10とスイッチ1SW1、スイッチ2SW2のブロック図が示されている。図2に示すように、システム分析装置10は、CPU(中央処理装置:Central Processing Unit)22、入力部21、表示部23が、バス28を介して相互に接続されている。バス28には更に、メモリ26、記憶装置24、NIC(Network Interface Card)30が接続されている。なお、記憶装置24には、後述する、分析プログラム(図3(A))、種々のテーブル(図4、図5、図7、図8)が記憶されている。
なお、サーバA14A〜サーバD14Dは、システム分析装置10と同様の構成であるので、その説明を省略する。
NIC30は、本開示の技術の「受信部」の一例であり、CPU22は、本開示の技術の「制御部」の一例である。
次に、スイッチ1SW1、スイッチ2SW2の構成を説明するが、これらの構成は同様であるので、スイッチ1SW1のみを説明し、スイッチ2SW2の構成の説明を省略する。スイッチ1SW1は、CPU22SW、ROM24SW、メモリ26SWが、バス28SWを介して相互に接続されている。バス28SWには、ポート16P11〜16P14が接続されている。メモリ26SWには後述するセッション定義テーブル54(図6)が記憶されている。
図3(A)には、システム分析装置10の分析プログラムが示されている。分析プログラムは、ミラーリング初期設定部32A、セッション情報処理部33A、TCP解析部34A、UDP解析部36A、スイッチ移動監視部38A、移動セッション解析部40A、及びセッション定義変更部42Aを備えている。図3(B)には、システム分析装置10の分析プロセスが示されている。分析プロセスは、ミラーリング初期設定プロセス32B、セッション情報処理プロセス33B、TCP解析プロセス34B、UDP解析プロセス36Bを備えている。また、分析プロセスは、スイッチ移動監視プロセス38B、移動セッション解析プロセス40B、及びセッション定義変更プロセス42Bを備えている。なお、システム分析装置10におけるCPU22が、上記プロセス32B〜42Bの各々を実行することにより、上記各部32A〜42Aとして動作する。
図4には、システム分析装置10の記憶装置24に設けられた経路スイッチ登録テーブル50が示されている。経路スイッチ登録テーブル50には、パケットデータを送信する宛先のサーバのIP(Internet Protocol)アドレスである送信先IPアドレスを記憶する欄と、パケットデータの送信元のサーバのIPアドレスである送信元IPアドレスを記憶する欄が設けられている。また、経路スイッチ登録テーブル50には、1番目〜n番目までの各スイッチの識別情報を記憶するための「1番目」〜「n番目」の欄が設けられている。
ここで、「1番目」〜「n番目」を説明する。スイッチは、サーバ間の通信におけるパケットデータを転送した場合には、転送したパケットデータをコピーし、コピーすることにより生成されたパケットデータであるコピーパケットデータをシステム分析装置10に送信する。例えば、図1に示すように、サーバC14CとサーバD14Dとは、スイッチ1SW1におけるポート16P12、16P13を介してパケット通信を行う。スイッチ1SW1は、ポート16P13をコピーの対象ポートとして、当該通信におけるパケットデータをコピーし、コピーパケットデータを、出力ポート16P14を介してシステム分析装置10に送信する。また、サーバA14AとサーバB14Bとがスイッチ2SW2におけるポート16P21、16P22を介してパケット通信を行う。スイッチ2SW2は、ポート16P22をコピーの対象ポートとして、当該パケット通信におけるパケットデータをコピーし、コピーしたパケットデータ(コピーパケットデータ)を、システム分析装置10に送信する。本実施の形態では、各スイッチ1SW1、スイッチ2SW2は、システム分析装置10により次のように設定されている。即ち、初期の段階では、各サーバ間の通信におけるコピーパケットデータが、スイッチ1SW1に集中して集められ、集められたコピーパケットデータがシステム分析装置10に送信される。よって、スイッチ2SW2は、コピーパケットデータを、スイッチ2SW2のポート16P24、スイッチ1SW1のポート16P11を介してスイッチ1SW1に送信する。
そこで、スイッチ1SW1から、各サーバ間のパケット通信における、スイッチ1SW1から、最も多くのスイッチを介して接続されたサーバが直接接続されるスイッチまでの各スイッチが、順に「1番目」〜「n番目」として定められている。「1番目」〜「n番目」の各スイッチの識別情報(ID)が、「1番目」〜「n番目」の欄に記憶されている。例えば、サーバC14CからサーバD14Dにパケットデータを送信する通信の場合には、「1番目」の欄のみに、スイッチ1SW1のID=SW1が記憶される。また、サーバA14AからサーバB14Bにパケットデータを送信する通信の場合には、「1番目」の欄に、スイッチ1SW1のID=SW1が、「2番目」の欄には、スイッチ2SW2のID=SW2が記憶される。なお、オペレータが事前に、入力部21を介して入力することにより、送信先IPアドレス、送信元IPアドレスの各データが経路スイッチ登録テーブル50の各欄に記憶される。なお、システム分析装置10とスイッチ1SW1、スイッチ2SW2とはそれぞれ、1つのポート16P14、16P23により接続されている。よって、上記「1番目」〜「n番目」の欄に記憶されている各スイッチの識別情報(SW1、SW2)は、当該ポート16P14、16P23の識別番号にも対応する。
経路スイッチ登録テーブル50は、本開示の技術の「記憶部」の一例である。
図5には、システム分析装置10の記憶装置24に設けられた初期設定テーブル52が示されている。初期設定テーブル52には、L4種別、送信先IPアドレス、送信先port番号を記憶するための欄が設けられている。L4とは、OSI参照モデルにおける4番目の層(トランスポート層)である。L4には、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、DCCP(Datagram Congestion Control Protocol)、SCTP(Stream Control Transmission Protocol)、RSVP(Resource Reservation Protocol)等が存在する。しかし、本実施の形態では、他より一般的によく利用されているTCP(トランスミッション コントロール プロトコル)、UDP(ユーザ データグラム プロトコル)を例にとり説明する。port番号とは、一般的には、コンピュータがデータ通信を行う際に通信先のプログラムを特定するための番号である。よって、サーバA14AからサーバD14Dにパケットデータが送信される場合のport番号は、サーバD14Dにおける通信のためのプログラムを特定するための番号である。オペレータが事前に、入力部21を介して入力することにより、L4種別、送信先IPアドレス、送信先port番号の各データが初期設定テーブル52の各欄に記憶される。
図6には、各スイッチに設けられたセッション定義テーブル54が示されている。セッション定義テーブル54には、L4種別、送信先IPアドレス、送信先port番号、送信元IPアドレス、及び送信元port番号が記憶される欄が設けられている。送信元port番号は、送信元のサーバにおける通信のためのプログラムを特定するための番号である。上記例、即ち、サーバC14CからサーバD14Dにパケットデータが送信される場合には、送信元port番号は、サーバC14Cにおける通信のためのプログラムを特定するための番号である。
L4種別、送信先IPアドレス、送信先port番号、送信元IPアドレス、及び送信元port番号により、実際に行われている通信(1つのセッション)が識別される。即ち、あるサーバと他のサーバとが通信をする場合、一方のサーバを送信先とした当該サーバの送信先IPアドレスと、他方のサーバを送信元とした当該サーバの送信元IPアドレスとだけでは、これらのサーバ間の通信の1つのセッションを一義的に識別できない。各サーバは通信のプログラムを複数備えている。例えば、通信のプログラムとして、Webページを見るためのプログラムや、電子メールを送受信するためのプログラム等がある。また、TCPはデータの通信の保障をする、比較的通信の速度が遅いプロトコルであるのに対し、UDPは、データの通信の保障をしない、比較的通信の速度が速いプロトコルである。よって、同じサーバ間で同じ通信のためのプログラムを利用する場合であっても、L4種別により、通信のセッションが異なる。以上のように、サーバ間の通信のセッションは次の各情報により一義的に識別される。即ち、第1に、どのサーバからどのサーバにデータが通信されるのかの情報(送信先IPアドレス、送信元IPアドレス)である。第2に、これらのサーバのどの通信のプログラムが利用されるのかの情報(送信先port番号、送信元port番号)である。第3に、どのプロトコルを利用するのかの情報(L4種別)である。これらの第1の情報〜第3の情報により、どのサーバのどの通信用のプログラムと他のどのサーバのどの通信用のプログラムとの間で、どのプロトコルに従ってパケットデータが通信されたのかが認識される。なお、第1の情報〜第3の情報により区別される通信が、セッションと言われる。また、第1の情報〜第3の情報により識別される通信の仮想的な通信路がコネクションと言われる。
図7には、システム分析装置10の記憶装置24に設けられたセッション情報テーブル56が示されている。セッション情報テーブル56には、L4種別、送信先IPアドレス、送信先port番号、送信元IPアドレス、及び送信元port番号を記憶するための欄56A〜56Eが設けられている。また、セッション情報テーブル56には、パケットデータの破棄フラグ、入力スイッチ名、シーケンス番号、メッセージ長、及び受信メッセージ長の各データを記憶するための欄56F〜56Kが設けられている。これらのパケットデータの破棄フラグ〜受信メッセージ長の各データについては後述する。
図8には、システム分析装置10の記憶装置24に設けられたスイッチ切り替え回数テーブル58が示されている。スイッチ切り替え回数テーブル58は、スイッチ名に対応して切り替え回数を記憶するためのテーブルである。
図9には、パケットデータの内容が示されている。サーバ間でデータの通信がされる場合には、当該データが複数に分割され、分割データがパケットデータとして送信される。パケットデータの内容は、TCP及びUDPの何れかのプロトコルに従って次のように、定まる。
図9(A)には、TCPに従ったパケットデータ62Aが示されている。TCPに従ったパケットデータ62Aは、IPヘッダ64と、TCPヘッダ66Aと、分割データが含まれているTCPセグメント68Aとを備えている。図9(B)には、UDPに従ったパケットデータ62Bが示されている。UDPに従ったパケットデータ62Bは、IPヘッダ64と、UDPヘッダ66Bと、分割データが含まれているUDPデータグラム68Bとを備えている。なお、後述するように、UDPに従った通信では、データを分割して得られた複数のパケットデータのまとまりをメッセージという。各メッセージでは、先頭のパケットデータから順に各パケットデータが送信される。先頭のパケットデータにおけるUDPデータグラム68Bには、当該メッセージに含まれる複数のパケットデータの全体のデータの長さであるメッセージ長68B0が含まれている。
図9(C)には、TCPに従ったパケットデータ62AとUDPに従ったパケットデータ62Bに共通するIPヘッダ64の内容が示されている。IPヘッダ64には、バージョン、ヘッダ長、サービスタイプ、データグラム長、識別子、フラグ、フラグメントオフセット、生存時間、プロトコル、ヘッダチェックサムが含まれている。また、IPヘッダ64には、送信元IPアドレス、送信先IPアドレス、オプション、パディングが含まれる。
図9(D)には、TCPに従ったパケットデータ62AにおけるTCPヘッダ66Aが示されている。TCPヘッダ66Aには、送信元port番号、送信先port番号、シーケンス番号66A1、確認応答番号、ヘッダ長、予約ビット、フラグ、ウィンドウサイズ、チェックサム、緊急ポインタ、オプション、パディングが含まれている。
図9(E)には、UDPに従ったパケットデータ62BにおけるUDPヘッダ66Bが示されている。UDPヘッダ66Bには、送信元port番号、送信先port番号、データ長、チェックサムが含まれている。
次に、本実施の形態の作用を説明する。図10には、システム分析装置10がスイッチにミラーリングをするように設定するミラーリング初期設定処理の一例が示されている。ステップ71で、ミラーリング初期設定部32Aは、経路スイッチ登録テーブル50から、各サーバ間の通信における以下の情報を取得する。即ち、送信先IPアドレスと、送信元IPアドレスと、コピーパケットデータをシステム分析装置10に送信するスイッチの「1番目」の欄に記憶さているスイッチ1SW1の識別情報とが取得される。ステップ72で、ミラーリング初期設定部32Aは、初期設定テーブル52から、L4種別、送信先IPアドレス、送信先port番号取得を取得する。ステップ73で、ミラーリング初期設定部32Aは、スイッチ1SW1に、L4種別、送信先IPアドレス、送信先port番号取得、送信元IPアドレスのセッション情報の登録依頼を通知する。これにより、スイッチ1SW1は、セッション毎に、L4種別、送信先IPアドレス、送信先port番号取得、送信元IPアドレスを、図6のセッション定義テーブル54に記憶する。ところで、上記のようにセッションは、ステップ73の処理において通知される情報以外に、送信元port番号が定まって、一義的に識別される。一方、送信元のサーバは、上記のように通信のための複数の通信プログラムを有する。ユーザがどの通信プログラムを用いて通信するのか、即ち、送信元port番号は、ミラーリング初期設定の段階では、定められない。そこで、ミラーリング初期設定の段階では、スイッチは、送信元port番号の欄には、任意の文字(*)(ワイルドカード)が設定される。その後、サーバ間でのデータの通信行われると、どの通信プログラムが使われたのかが分かり、上記パケットデータのTCPヘッダ66A(図9(D))又はUDPヘッダ66B(図9(E))には、送信元port番号に対応する送信元port番号が含まれる。スイッチ1SW1は、TCPヘッダ66A又はUDPヘッダ66B内の送信元port番号を取得して、セッション定義テーブル54における、セッションに対応する送信元port番号の欄に記憶する。
スイッチ1SW1は、セッション定義テーブル54に記憶されている各セッションを識別する情報により識別されるセッションにおけるコピーパケットデータを、出力ポート16P14を介してシステム分析装置10に送信する。上記のように、各サーバ間の通信における、コピーパケットデータの全ては、初期の段階では、スイッチ1SW1に送信されるように設定される。即ち、初期の段階では、スイッチ1SW1のセッション定義テーブル54には、全てのセッションに対応する情報が記憶されている。
他のスイッチも、セッション定義テーブル54を有する。後述するように、システム分析装置10から登録依頼があると、当該スイッチは、自身の有するセッション定義テーブル54にセッションの識別情報を登録(記憶)する。セッション定義テーブル54にセッションの識別情報が記憶されたスイッチは次のようにコピーパケットデータを送信している。即ち、スイッチは、システム分析装置10が接続されているポートを出力ポートとする。そして、スイッチは、当該識別情報により識別されるセッションにおけるコピーパケットデータを、出力ポートを介してシステム分析装置10に送信する。
一方、システム分析装置10からセッション情報の削除依頼の通知があると、自身の有するセッション定義テーブル54からセッションの識別情報を削除する。セッション定義テーブル54からセッションの識別情報が削除されたスイッチは、当該セッションのコピーパケットデータをシステム分析装置10に送信することを停止する。
ところで、上記のように、各サーバ間の通信におけるコピーパケットデータの全ては、スイッチ1SW1に送信される。スイッチ1SW1では、コピーパケットデータを、出力ポート16P14を介してシステム分析装置10に送信する。例えば、図16(A)に示すように、サーバA14AとサーバB14Bとの間の通信におけるパケットデータは、対象ポート16P22を基準として、コピーされる。同じサーバ間の通信でも、セッション毎に各パケット通信が識別される。よって、対象ポート16P22を基準としてコピーされた複数のコピーパケットデータは、符号ABで示されるように、セッションs5〜s11に属する場合がある。これらのセッションs5〜s11のコピーパケットデータが、スイッチ2SW2のポート16P24、スイッチ1SW1のポート16P11を介して、出力ポート16P14に到達する。出力ポート16P14は、これらのパケットデータを一時的に記憶し、一時的に記憶したパケットデータをシステム分析装置10に送信する。
サーバC14CとサーバD14Dとの間の通信におけるパケットデータは、対象ポート16P13を基準として、コピーされる。対象ポート16P13を基準としてコピーされた複数のコピーパケットデータは、符号CDで示されるように、セッションs1〜s4に属する場合がある。これらのセッションs1〜s4のコピーされたパケットデータが、出力ポート16P14に到達する。出力ポート16P14は、これらのパケットデータを一時的に記憶し、一時的に記憶したパケットデータをシステム分析装置10に送信する。
サーバA14AとサーバB14Bとの間のセッションs1〜s4のコピーパケットデータのパケットデータ量が50Mbpsとする。また、サーバC14CとサーバD14Dとの間のセッションs5〜s11のコピーパケットデータのデータ量が60Mbpsとする。これらのパケットデータが一時的に出力ポート16P14に集中した場合には、次のことが生ずる。上記のように、出力ポート16P14において一時的に記憶することができるパケットデータ量の最大値は、100Mbpsである。よって、出力ポート16P14において一時的に記憶することができるパケットデータ量の最大値を超えて、コピーパケットデータが出力ポート16P14に集中したことになる。セッションs1〜s11の中で最も遅く出力ポート16P14に到達したコピーパケットデータがセッションs11のコピーパケットデータであるとし、当該セッションs11のコピーパケットデータ量が10Mbpsであるとする。この場合、セッションs1〜s10のコピーパケットデータは出力ポート16P14に記憶され、システム分析装置10に送信される。しかし、出力ポート16P14は、これ以上コピーパケットデータを一時的に記憶することができない。従って、セッションs11のコピーパケットデータは、出力ポート16P14に記憶されない。このため、システム分析装置10に送信されない。つまり、セッションs11のコピーパケットデータが出力ポート16P14で破棄される。このような状態が継続すると、システム分析装置10は、システムにおける破棄されたコピーパケットデータに対応するパケット通信の状態を正確に分析することができない。本実施の形態では、次のように処理することにより、システムの状態の分析を続行できるようにしている。
図11には、パケットデータの破棄検出処理の一例が示されている。パケットデータの破棄検出処理は、コピーパケットデータが受信される毎にスタートする。ステップ74で、セッション情報処理部33Aは、受信したコピーパケットデータを送信したスイッチである入力スイッチの情報を取得する。なお、初期の段階では、上記のように、コピーパケットデータの全てはスイッチ1SW1が送信するので、スイッチ1SW1の識別情報が取得される。入力スイッチの情報は、例えば、NIC30のどの部分から受信したのかを判断することにより、取得される。
ステップ75で、セッション情報処理部33Aは、セッション情報を取得する。即ち、まず、図9(C)に示すように、IPヘッダ64から、送信元IPアドレス及び送信先IPアドレスを取得する。次に、図9(A)、図9(B)に示すように、パケットデータにTCPヘッダ66Aが存在する場合には、L4種別として、TCPを、また、パケットデータ中にUDPヘッダ66Bが存在する場合には、L4種別として、UDPを特定できる。また、パケットデータにTCPヘッダ66Aが存在する場合には、図9(D)に示すように、TCPヘッダ66A中の送信元及び送信先の各port番号が取得される。また、パケットデータ中にUDPヘッダ66Bが存在する場合には、図9(E)に示すように、UDPヘッダ66B中の送信元及び送信先の各port番号が取得される。
セッション情報処理部33Aは、ステップ76で、セッション情報テーブル56(図7)を検索し、ステップ77で、ステップ75で取得されたセッション情報がセッション情報テーブル56に検出された否かを判断する。ステップ75で取得されたセッション情報がセッション情報テーブル56に検出された場合には、パケットデータの破棄検出処理はステップ82の処理に移行される。
ところで、サーバ間の通信は、一方のサーバから他方のサーバにパケットデータが送信される場合ばかりでなく、他方のサーバから一方のサーバにもパケットデータが送信される。しかし、上記のように、セッション情報テーブル56にはサーバ間のどちらかの方向のパケットデータの送信におけるセッション情報のみが、サーバ間の通信のセッションとして登録されている。そこで、ステップ75で取得されたセッション情報がセッション情報テーブル56に検出されなかった場合には、セッション情報処理部33Aは、ステップ78で、送信先と送信元のIPアドレス/port番号を入れ替える。セッション情報処理部33Aは、ステップ79で、セッション情報テーブル56を検索し、ステップ80で、ステップ75で取得されたセッション情報がセッション情報テーブル56から検出された否かを判断する。
ステップ80の判定結果が否定判定となるのは、新規なセッションが行われた結果による。即ち、例えば、いままで通信されなかったサーバ間で新たに通信が行われたり、全く新たなサーバが、システムに追加されたり、した場合に、ステップ80の判定結果が否定判定となる。そこで、ステップ81で、セッション情報処理部33Aは、ステップ74で取得した入力スイッチの情報及びステップ75で取得されたセッション情報を、セッション情報テーブル56の欄56G、56A〜56Eに記憶する。その後、パケットデータの破棄検出処理は、ステップ82に移行される。
ステップ82で、TCP解析部34Aは、今回受信されたコピーパケットデータにTCPヘッダ66Aが存在するか否かを判断することにより、当該コピーパケットデータは、TCPに従っているか否かを判断する。今回受信されたコピーパケットデータがTCPに従っている場合には、ステップ83で、TCP解析部34Aは、コピーパケットデータが破棄されたか否かを判断する。
ここで、TCPに従っているコピーパケットデータの破棄の検出原理を説明する。TCPでは、データを送信する際、当該データが複数の分割データに分割される。分割データは、図9(A)に示すパケットデータ62AのTCPセグメントに入れて、データ分の複数のパケットデータとして、順に送信される。そして、TCPでは、複数のパケットデータの各々を、送信される順に識別するシーケンス番号66A1が、各パケットデータ62AにおけるTCPヘッダ66Aに付加されている。後述するように、TCPに従ったコピーパケットデータが受信される毎に、ステップ85で、TCP解析部34Aは、上記シーケンス番号66A1を取得して、セッション情報テーブル56(図7)のシーケンス番号に上書きして記憶する。よって、今回受信したコピーパケットデータからシーケンス番号66A1を取得する。当該シーケンス番号66A1が、セッション情報テーブル56(図7)のシーケンス番号に連続している場合には、当該セッションにおけるコピーパケットデータは連続して受信されたと理解される。即ち、パケットデータの破棄は生じていないことが理解される。
しかし、例えば、セッション情報テーブル56(図7)のシーケンス番号が4で、今回受信したコピーパケットデータから取得したシーケンス番号66A1が10であった場合がある。この場合には、シーケンス番号5〜9それぞれで識別される各コピーパケットデータは破棄されていることが理解される。
そこで、TCP解析部34Aは、ステップ83では、今回受信したコピーパケットデータから取得したシーケンス番号がセッション情報テーブル56のシーケンス番号に連続していないか否かを判断する。これにより、今回受信したコピーパケットデータの属するセッションに属する他のコピーパケットデータが破棄されたか否かが判断される。
今回受信したコピーパケットデータが破棄されている場合には、ステップ84で、TCP解析部34Aは、セッション情報テーブル56の、当該今回受信したコピーパケットデータのセッションに対応するパケットデータの破棄フラグ56Fに1を設定する。よって、後で、セッション情報テーブル56のパケットデータの破棄フラグ56Fに1が設定されていることが分かると、当該セッションにおいてコピーパケットデータの破棄が生じていることが理解される。
ステップ84の処理の後、及びステップ83の判定結果が否定判定の場合には、パケットデータの破棄検出処理はステップ85に移行される。ステップ85で、TCP解析部34Aは、今回受信したパケットデータから取得したシーケンス番号を、セッション情報テーブル56のシーケンス番号に上書きして記憶する。なお、ステップ85の処理が実行されると、パケットデータの破棄検出処理が終了する。
一方、ステップ82で、今回受信されたコピーパケットデータがTCPに従っていないと判定された場合には、ステップ86で、UDP解析部36Aは、UDPに従ったパケットデータの破棄の検出及び設定処理を実行する。なお、ステップ86の処理が実行されると、パケットデータの破棄検出処理が終了する。
図11のステップ83、ステップ86(図12のステップ87〜94)は、本開示の技術の「検出する」内容の一例である。
図12には、UDPに従ったパケットデータの破棄の検出及び設定処理の一例が示されている。最初に、UDPに従ったパケットデータがどのように送信されるのかを説明する。図13(A)には、UDPに従ったパケットデータが送信される様子が示されている。図13(A)に示すように、1つのデータが複数に分割されることにより形成された複数のパケットデータを有する1つのまとまりは、メッセージと言われる。同じコネクションC内のセッションには、複数のメッセージM1、M2が連続して送信される。図13(A)に示す例では、メッセージ(1)M1、メッセージ(2)M2では、1つのデータが3つに分割されて、3つのパケットデータが送信される。1つのメッセージの先頭のパケットデータのUDPデータグラム68B(図9(B))には、当該1つのメッセージに含まれる全てのパケットデータの全体のメッセージ長のデータが含まれている。先頭のパケットデータには、当該パケットデータが先頭のパケットデータである先頭のパケットデータ識別情報が含まれる。よって、先頭のパケットデータ識別情報の有無により1つのメッセージの先頭のパケットデータか否かが認識される。
図13(B)には、メッセージ(1)M1のコピーパケットデータの内、2番目のコピーパケットデータが破棄され、次のメッセージ(2)M2の先頭のコピーパケットデータが検出された様子が示されている。なお、メッセージ(1)M1のパケットデータの内、先頭のコピーパケットデータが破棄されることもある。
図12のステップ87で、UDP解析部36Aは、先頭のパケットデータ識別情報の有無により、今回受信したコピーパケットデータが先頭のコピーパケットデータか否かを判断する。
今回受信したコピーパケットデータが先頭のコピーパケットデータである場合には、ステップ88で、UDP解析部36Aは、上記メッセージ長を読み出す。また、UDP解析部36Aは、読出したメッセージ長を、セッション定義テーブル56における、当該コピーパケットデータのセッションに対応するメッセージ長を記憶する欄56Jに(設定)記憶する。
ステップ89で、UDP解析部36Aは、受信メッセージ長が0か否かを判断する。ステップ89の処理の内容は後述する。
一方、ステップ87の処理結果が否定判定の場合、即ち、今回受信したコピーパケットデータが先頭のパケットデータでない場合には、ステップ92で、UDP解析部36Aは、メッセージ長が設定済みか否かを判断する。この内容も後述する。
ステップ92の判定結果が肯定判定の場合には、パケットデータの破棄検出設定処理はステップ90に移行される。
ところで、UDPに従ったパケットデータのUDPヘッダ66Bには、図9(E)に示すように、当該パケットデータのデータ長が含まれている。各パケットデータのデータ長を1メッセージ長分加算すると、加算値はメッセージ長と等しくなる。そこで、ステップ90で、UDP解析部36Aは、今回受信したコピーパケットデータのデータ長を読み出し、それまでに受信したコピーパケットデータのデータ長(受信メッセージ長)の加算値に加算する。ステップ91で、UDP解析部36Aは、受信メッセージ長がメッセージ長に等しいか否かを判断する。ステップ91が肯定判定の場合には1つのメッセージの全てのパケットデータが受信されたと判断している。そこで、ステップ93で、UDP解析部36Aは、受信メッセージ長を0にクリアする。
上記ステップ89の処理をここで説明する。ステップ89の処理が実行される場合は、ステップ87において、先頭のコピーパケットデータと判断されていると共にステップ90の上記処理が実行される前である。よって、受信メッセージ長は0であるはずである。しかし、図13(B)に示すように、1つのメッセージにおいて途中のコピーパケットデータ、例えば、2番目のコピーパケットデータが破棄されている場合を考えてみる。この場合には、1つのメッセージの最終のコピーパケットデータが受信されて、当該データ長が受信メッセージ長に加算した加算値は、メッセージ長に等しくならない。よって、ステップ91の判定結果が否定判定されて、受信メッセージ長は0にならない。この状態で、次のメッセージの先頭のコピーパケットデータが受信されると、ステップ89で、受信メッセージ長が0でない場合となる。つまり、ステップ89の判定結果が否定判定の場合には、図13(B)に示す、1つのメッセージにおける途中のコピーパケットデータが破棄されていることが判明される。そこで、ステップ94で、UDP解析部36Aは、パケットデータの破棄フラグの欄56F(図7)に1を設定する。
次に、ステップ92の処理をここで説明する。メッセージの先頭のコピーパケットデータが受信された場合には、上記ステップ88で、メッセージ長が設定される。しかし、先頭のコピーパケットデータが破棄され、例えば、2番目のコピーパケットデータが受信された場合にはステップ87の判定結果が否定判定となり、ステップ88の処理が実行されない。以上から次のことが理解される。まず、先頭のコピーパケットデータでないと判断された場合には、本来なら先頭のコピーパケットデータが受信されているはずである。よって、メッセージ長が設定されているはずである。しかし、先頭のコピーパケットデータでないと判断された場合であってもメッセージ長が設定されていない場合、即ち、ステップ92の判定結果が否定判定となるのは、先頭のコピーパケットデータが破棄されたことにより、メッセージ長が設定されていないことが原因である。つまり、ステップ92の判定結果が否定判定の場合は、先頭のコピーパケットデータが破棄されたことが判明される。そこで、ステップ92の判定結果が否定判定の場合には、ステップ94で、UDP解析部36Aは、パケットデータの破棄フラグの欄56F(図7)に1を設定する。
図14には、一定時間(例えば、1分)毎に実行される第1の周期処理の一例が示されている。ステップ122で、移動セッション解析部40Aは、セッション情報テーブル56(図7)のパケットデータの破棄フラグ56Fに1が設定されているセッションを検索する。ステップ124で、移動セッション解析部40Aは、パケットデータの破棄フラグ56Fに1が設定されているセッションがあるか否かを判断する。パケットデータの破棄フラグ56Fに1が設定されているセッションがない場合には、本周期処理は終了する。パケットデータの破棄フラグ56Fに1が設定されているセッションがある場合には、ステップ126で、移動セッション解析部40Aは次のデータを取得する。即ち、パケットデータの破棄フラグ56Fに1が設定されているセッションにおける、送信先IPアドレスと送信元IPアドレス、現在の入力スイッチの各データが、セッション情報テーブル56を取得される。
ステップ128で、移動セッション解析部40Aは、経路スイッチ登録テーブル50(図4)を参照し、現在の入力スイッチの識別情報以外に他のスイッチの識別情報が登録されているか否かを検索する。他のスイッチの識別情報が登録されている場合は、ステップ130で、移動セッション解析部40Aは、現在の入力スイッチの次に登録されているスイッチの識別情報を収集する。図16(A)に示す例では、パケットデータが破棄されたセッションs11は、サーバA14AとサーバB14Bとの間の通信に基づくものである。この場合、入力スイッチ名の欄56G(図7)には、スイッチ1SW1の識別情報が登録されている。経路スイッチ登録テーブル50(図4)を参照すると、現在の入力スイッチ以外に登録されているスイッチとしては、スイッチ2SW2の識別情報が登録されている。よって、図16(A)に示す例では、ステップ128の判定結果は肯定判定となり、ステップ130の処理では、スイッチ2SW2の識別情報が取得される。
ステップ132で、セッション定義変更部42Aは、現在のスイッチ(スイッチ1SW1)に対して、登録されているセッション情報の削除を依頼する。これにより、スイッチ1SW1は、セッション定義テーブル54から、依頼されたセッション情報を削除する。よって、以後、スイッチ1SW1は、セッションs11のコピーパケットデータをシステム分析装置10に送信しなくなる。ステップ134で、セッション定義変更部42Aは、新たなセッション情報の追加依頼を、ステップ130で取得された識別情報により識別されるスイッチ2SW2に通知する。これにより、スイッチ2SW2は、セッション定義テーブル54に、依頼されたセッション情報を登録する。よって、以後、スイッチ2SW2は、セッションs11のコピーパケットデータを、システム分析装置10に接続されたポート16P23を介して、システム分析装置10に送信するようになる。
これにより、まず、図16(B)に示すように、サーバA14AとサーバB14Bの間の通信における、コピーパケットデータ(セッションs5〜s10に属するもの)は、以前と同じように送信される。即ち、これらのコピーパケットデータは。スイッチ2SW2のポート16P24、スイッチ1SW1のポート16P11、出力ポート16P14を介してシステム分析装置10に送信される。また、サーバC14CとサーバD14Dの間の通信における、コピーパケットデータ(セッションs1〜s4に属する)も、以前とおなじように、出力ポート16P14を介してシステム分析装置10に送信される。このように、パケットデータの破棄が生じていないセッションs1〜s10に属するコピーパケットデータは、以前と同じように、出力ポート16P14を介してシステム分析装置10に送信される。
しかし、パケットデータの破棄が生じたセッションs11に属するコピーパケットデータは次のように送信される。即ち、当該コピーパケットデータは、パケットデータの破棄が検出する前のスイッチ1SW1とは異なる別のスイッチ2SW2の、システム分析装置10に接続されたポート16P23を介して、システム分析装置10に送信される。
ステップ134の処理は、本開示の技術の「・・・転送装置を制御する」内容の一例である。
ステップ136で、セッション定義変更部42Aは、切り替え回数を記録するスイッチ切り替え回数テーブル58(図8)を更新する。ステップ138で、セッション定義変更部42Aは、セッション情報テーブル56(図7)の入力スイッチ名の欄56Gの情報を、移動先スイッチの識別情報に変更する。
以上のようにセッションs11のパケットデータは、スイッチ2SW2のポート16P23を介して、システム分析装置10に送信される。そこで、ステップ140で、移動セッション解析部40Aは、パケットデータの破棄フラグの欄56Fに0を設定する。
また、上記のように、パケットデータの破棄フラグの欄56Fに1が設定され、経路スイッチ登録テーブル50(図4)を検索したが、他のスイッチが無かった場合がある(ステップ128の判定結果が否定判定の場合)。上記図16(A)の例では、例えば、セッションs1〜4のパケットデータの破棄が検出された場合である。この場合には、ステップ140で、移動セッション解析部40Aは、パケットデータの破棄フラグの欄56Fに0を設定する。
図15には、一定時間(例えば、1時間)毎にされる第2の周期処理の一例が示されている。ステップ142で、スイッチ移動監視部38Aは、スイッチ切り替え回数テーブル58(図8)を参照し、ステップ144で、所定回数、例えば、5回連続してスイッチの切り替えが行われているスイッチがあるか否かを判断する。5回連続してスイッチの切り替えが行われているスイッチがない場合には、本周期処理が終了する。
5回連続してスイッチの切り替えが行われているスイッチがある場合には、ミラーリング対象のセッションのトラフィック量(コピーパケットデータの通過量)がミラーリング出力ポートの限界値を超えていると判断できる。そこで、ステップ146で、スイッチ移動監視部38Aは、表示部23に切り替えが発生しているスイッチ名を表示することにより、保守者にアラーム通知をする。なお、上記のように、システム分析装置10とスイッチ1SW1、スイッチ2SW2とはそれぞれ、1つのポート16P14、1P23により接続されている。よって、表示されるスイッチ名は、ポート16P14、1P23に関連する情報に対応する。スイッチ名は、本開示の技術の「転送装置に関連する情報」の一例である。
次に、本実施の形態における効果を説明する。
第1の効果を説明する。本実施の形態では、パケットデータの破棄が生じたセッションs11に属するパケットデータが、パケットデータの破棄が検出される前のスイッチ1SW1とは異なる別のスイッチ2SW2を介して、システム分析装置10に送信される。従って、本実施の形態は、パケットデータが破棄されても当該パケットデータに関連するセッションのパケットデータがシステム分析装置10に送信される。よって、本実施の形態は、パケットデータの破棄が生じたセッションに属するパケットデータの分析を継続することができる、という第1の効果を有する。
第2の効果を説明する。コピーパケットデータが破棄された場合、対象ポートを通過するすべてのセッションにおけるコピーパケットデータを、別のスイッチを介してシステム分析装置10に送信することも考えられる。しかし、別のスイッチにおいて既に別のサーバ間の通信におけるコピーパケットデータをシステム分析装置10に送信している場合がある。よって、この場合には、当該別のスイッチでコピーパケットデータの破棄が発生することもある。しかし、本実施の形態では、コピーパケットデータが破棄された場合、当該コピーパケットデータの属するセッションのコピーパケットデータのみが、別のスイッチを介してパケットデータが分析装置10に送信される。よって、本実施の形態では、別のスイッチでコピーパケットデータの破棄が発生する可能性をより低くすることができる、という第2の効果を有する。
第3の効果を説明する。本実施の形態では、スイッチの切り替えが行われたスイッチの識別情報が記憶される。そして、所定回数連続してスイッチの切り替えが行われているスイッチがある場合には、当該スイッチ名を表示する。よって、本実施の形態は、保守者に知らせることができる、という第3の効果を有する。
第4の効果を説明する。本実施の形態では、上記のように、コピーパケットデータを受信する毎に、コピーパケットデータの破棄を検出している。よって、同じ出力ポートに送信される、複数のサーバ間の通信におけるコピーパケットデータ量を計測して、合計が、当該出力ポートの一時的に記憶できるパケットデータ量を超えたか否か判断するよりも、早くコピーパケットデータの破棄を検出することができる。即ち、本実施の形態は、より早くコピーパケットデータの破棄を検出することができるという、第4の効果を有する。
第5の効果を説明する。本実施の形態では、UDPに従ったパケットデータにおけるメッセージ長と、当該メッセージに含まれる各パケットデータのパケットデータ量の合計値とから、UDPに従ったパケットデータの破棄を検出している。よって、本実施の形態は、UDPに従ったパケットデータの破棄も検出することができる、という第5の効果を有する。
次に、本実施の形態の変形例を説明する。
第1−1の変形例を説明する。上記例では次の場合を想定している。即ち、破棄されたパケットデータに対応するサーバA14A(サーバB14B)が、出力ポート16P14を有するスイッチ1SW1以外の別のスイッチ2SW2を介して接続されている。スイッチ1SW1とスイッチ2SW2とが直接接続されている。システムは4つのサーバを有する。これらに限定されない。
図17(A)に示すように、システムは、3つのサーバA14A、サーバB14B、サーバC14Cを有する。サーバA14AとサーバB14Bとがスイッチ1SW1を介して通信している。サーバB14BとサーバC14Cとが、3つのスイッチ1SW1、スイッチ2SW2、スイッチ3SW3を介して通信している。システム分析装置10は、3つのスイッチ1SW1、スイッチ2SW2、スイッチ3SW3に接続されている。サーバB14BとサーバC14Cとの通信におけるコピーパケットデータが破棄されたことが検出された場合、次のようにパケットデータが送信される。即ち、破棄されたコピーパケットデータが属するセッションs0のパケットデータが、図17(B)に示すように、スイッチ2SW2を介して、又は、図17(C)に示すように、スイッチ3SW3を介して、システム分析装置10に送信される。
第1−2の変形例を説明する。上記例では、図1、図16(A)に示すように、まず、スイッチ1SW1とスイッチ2SW2とがシステム分析装置10に直接接続されている。また、パケットデータの破棄が検出された場合、当該パケットデータの属するセッションの他のパケットデータを、スイッチ1SW1からスイッチ2SW2を介してシステム分析装置10に接続している。これらに限定されない。
図18(A)に示すように、スイッチ2SW2はシステム分析装置10に直接接続されていない。システム分析装置10は、スイッチ1SW1に、2つの異なるポート16P14、16P15で接続されている。上記のように、パケットデータの破棄がポート16P14で生じた場合、図18(B)に示すように、セッションs0のパケットデータのみをポート16P15からシステム分析装置10に送信することができる。
第1−3の変形例を説明する。上記例では、システム分析装置10に接続しているスイッチが複数(2つ)のスイッチ1SW1、スイッチ2SW2が存在している。これに限定されない。即ち、図19(A)に示すように、システム分析装置10に接続しているスイッチが1つのスイッチ1SW1のみの場合も考えられる。この場合、システム分析装置10は、スイッチ1SW1に、2つの異なるポート16P14、16P15で接続されている。上記のように、パケットデータの破棄がポート16P14で生じた場合、図19(B)に示すように、破棄されたパケットデータの属するセッションs0のパケットデータのみをポート16P15からシステム分析装置10に送信することができる。更に、図20(A)及び図20(B)に示すように、図19(A)及び図19(B)に示す、スイッチ1SW1とシステム分析装置10との間に別のスイッチSW0が接続されていてもよい。
更に、2つのサーバと、システム分析装置と複数のポートで接続された1つのスイッチとを備えたシステムでもよい。即ち、2つのサーバ間で、複数のセッションのパケット通信が行われ、これらに対応するコピーパケットデータが、出力ポートに、当該出力ポートが一時的に記憶できるパケットデータ量を超えて、集中する場合もある。そこで、上記のように破棄されたコピーパケットデータに対応するセッションのコピーパケットデータを、出力ポート以外の他の、システム分析装置が接続しているポートからシステム分析装置に送信することができる。
第1−4の変形例を説明する。図1に示す例では、サーバC14CとサーバD14Dとがスイッチ1SW1を介して、サーバA14AとサーバB14Bがスイッチ2SW2を介して通信している。これに限定されない。即ち、図21(A)に示すように、サーバA14AとサーバD14Dとが、サーバC14CとサーバB14Bとが、ともにスイッチ1SW1及びスイッチ2SW2を介して通信してもよい。そして、上記のようにパケットデータの破棄が、ポート16P25で生じた場合、当該パケットデータの属するセッションs0のパケットデータを、スイッチ2SW2のポート16P26を介してシステム分析装置10に送信することができる。
第2に、上記例では、TCPに従ったパケットデータの破棄を、シーケンス番号の連続性から判断している。しかし、これに限定されない。即ち、パケットデータを受信する毎に受信したパケットデータの識別情報を記憶しておく。パケットデータ送信に対応する、パケットデータの宛先のサーバからの応答に対応するパケットデータを受信したときに、当該応答に対応する元のパケットデータの有無に基づいて、パケットデータの破棄を検出することもできる。
第3に、上記例では、先頭のパケットデータには、特徴、即ち、当該パケットデータが先頭のパケットデータである先頭のパケットデータ識別情報が含まれる。これに限定されない。
図22には、第3の変形例におけるUDPに従ったパケットデータの破棄の検出及び設定処理の一例が示されている。なお、メッセージ長、受信メッセージ長は上記例と同様である。
第3の例では、今回受信されたコピーパケットデータが先頭のコピーパケットデータか否かを、識別情報の有無に基づいて判断するものではない。今回受信されたパケットデータが先頭のコピーパケットデータであれば、後述する受信メッセージ長の加算処理は行われていない。即ち、今回受信されたコピーパケットデータが先頭のコピーパケットデータであれば、受信メッセージ長は0である。
そこで、ステップ152で、UDP解析部36Aは、今回受信されたコピーパケットデータが属するセッションに対応する受信メッセージ長が0か否かを判断することにより、今回受信されたパケットデータが先頭のコピーパケットデータか否かを判断する。
今回受信されたコピーパケットデータが先頭のコピーパケットデータでない場合、即ち、2番目以降のコピーパケットデータが受信された場合には、パケットデータの破棄の検出及び設定処理はステップ160の処理に移行される。今回受信されたコピーパケットデータが先頭のコピーパケットデータである場合には、ステップ154で、UDP解析部36Aは、当該コピーパケットデータからメッセージ長を読み出し、ステップ156で、UDP解析部36Aは、メッセージ長が正常であるか否かを判断する。例えば、図23(A)に示すように、先頭のコピーパケットデータが破棄されている場合において、2番目のコピーパケットデータが受信された場合を考えてみる。この場合、後述する受信メッセージ長の加算処理は行われていない。よって、受信メッセージ長は0であるので、ステップ152が肯定判定されて、ステップ154の処理後、ステップ156で、メッセージ長が正常であるか否かを判断するため、メッセージ長を、当該パケットデータから取得しようとする。しかし、2番目のコピーパケットデータには、メッセージ長がない。よって、メッセージ長は正常ではないと判定される。なお、先頭のコピーパケットデータ及び2番目のコピーパケットデータも破棄されて、3番目のコピーパケットデータが受信された場合も同様である。
そこで、ステップ156の判定結果が否定判定の場合には、先頭のパケットデータが破棄されているので、ステップ168で、UDP解析部36Aは、パケットデータの破棄フラグの欄56Fに1を設定する。今回のパケットデータが先頭のコピーパケットデータであれば、メッセージ長を読み出せるので、ステップ156の判定結果は、肯定判定となる。この場合、ステップ158で、UDP解析部36Aは、上記読み出したメッセージ長を、当該パケットデータが属するセッションに対応するメッセージ長を記憶する欄56Jに記憶する。ステップ160で、UDP解析部36Aは、受信メッセージ長の加算設定処理を行い、ステップ162で、UDP解析部36Aは、メッセージ長が受信メッセージ長に等しいか否かを判断する。
メッセージ内の全てのコピーパケットデータが受信されていない場合には、受信メッセージ長はメッセージ長と等しくはない。この場合には、ステップ162の判定結果が否定判定となって、ステップ164で、UDP解析部36Aは、受信メッセージ長が未だメッセージ長よりも短いか否かを判断する。例えば、先頭のパケットデータが受信され、2番目のパケットデータが受信された場合には、受信メッセージ長が未だメッセージ長より小さい。よって、ステップ164の判定結果は否定判定となって、パケットデータの破棄の検出及び設定処理は終了する。
一方、メッセージ内の全てのパケットデータが受信された場合には、受信メッセージ長はメッセージ長と等しい。即ち、ステップ162の判定結果は肯定判定となる。この場合には、ステップ166で、UDP解析部36Aは、受信メッセージ長の欄56Kに0を設定する。
一方、図23(B)に示すように、先頭のパケットデータ、2番目のパケットデータが受信されたが、最終(3番目)のパケットデータが破棄された場合を考えてみる。ここで、メッセージ長を3500バイトとし、先頭及び2番目のパケットデータが1500バイト、最後のパケットデータが500バイトであるとする。また。メッセージ(1)M1に続く、同じコネクション内の2番目のメッセージの構成も、メッセージ(1)M1と同様あるとする。最終(3番目)のパケットデータが破棄された場合、ステップ162の判定結果は肯定判定とならず、ステップ166の、受信メッセージ長の欄56Kに0を設定する処理が実行されない。この状態で、次のメッセージ(2)M2の先頭のパケットデータが受信されると、受信メッセージ長は、4500バイトとなり、メッセージ長を超える。よって、受信メッセージ長がメッセージ長を超えた場合には、2番目以降のパケットデータが破棄されたことが判明される。そこで、ステップ170で、UDP解析部36Aは、パケットデータの破棄フラグの欄56Fに1を設定する。
以上の処理により、先頭のパケットデータに先頭のパケットデータ識別情報が存在しない場合であっても、先頭のパケットデータの破棄や、2番目以降のパケットデータの破棄を検出することができる。
第4に、上記例では、パケットデータが破棄された場合には、当該パケットデータの属するセッションの他の全てのパケットデータが、出力ポートを有するスイッチとは別のスイッチのポートからシステム分析装置10に送信される。または、上記全てのパケットデータが、出力ポートを有する同じスイッチ内の他のポートから、システム分析装置10に送信される。これに限定されない。本開示の技術の目的は、コピーパケットデータが破棄されても当該コピーパケットデータに関連する通信の分析を継続することである。よって、以下のことが考えられる。
上記のように、L4種別、送信先IPアドレス、送信先port番号、送信元IPアドレス、及び送信元port番号の5個の情報により通信が及ぶ範囲であるセッションが識別される。そこで、当該セッションより、通信の及ぶ範囲を広くする。即ち、上記5個の情報の少なくとも1つ以上でかつ多くとも4までの情報の如何を問わない範囲を準セッションとする。例えば、L4種別の如何は問わず、残りの4個の情報により識別される通信の及ぶ範囲を準セッションとする。また、L4種別及び送信元port番号の如何を問わず、残りの3個の情報により識別される通信の及ぶ範囲を準セッションとする。
そして、パケットデータが破棄された場合には、当該パケットデータの属する上記準セッションに属する他のパケットデータを、上記別のスイッチや上記同じスイッチ内の他のポートから、システム分析装置10に送信するようにしてもよい。
本明細書に記載された全ての文献、特許出願及び技術規格は、個々の文献、特許出願及び技術規格が参照により取り込まれることが具体的かつ個々に記された場合と同程度に、本明細書中に参照により取り込まれる。
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
ネットワークを介してパケット通信を行う複数のサーバ装置と、前記複数のサーバ装置間に設けられ、複数のポートに入力されたパケットデータを中継するとともに、所定のポートを通過するパケットデータを複製し、該複製したコピーパケットデータを複数のポートのうちの第1のポートまたは第2のポートに出力する転送装置と、を備えたシステムにおいて前記転送装置の第1のポート及び第2のポートに接続された分析装置であって、
前記コピーパケットデータを受信する受信部と、
受信した前記コピーパケットデータに含まれる所定の情報と前記コピーパケットデータより前に受信した過去のコピーパケットデータに含まれる所定の情報に基づいて、受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出する検出部と、
前記検出部により受信した前記コピーパケットデータが連続していないことが検出された場合には、連続していない前記コピーパケットデータを前記第1のポートに出力した所定のポートを特定する特定部と、
前記特定部により特定された所定のポートを通過するパケットデータの複製したコピーパケットデータを前記第2のポートに出力するように、前記転送装置を制御する制御部と、
を備えた分析装置。
(付記2)
前記システムは、複数の転送装置を備え、
前記コピーパケットデータがどの転送装置のどのポートを経由して前記分析装置に到達するのかを示す、送信元情報、送信先情報、経由する転送装置のポート情報、及び前記分析装置の接続情報を記憶する記憶部と、
前記コピーパケットデータが連続していないことが検出された場合、前記記憶部に記憶された情報に基づいて、連続していない前記コピーパケットデータを出力する前記特定された所定のポートを有する転送装置とは異なる他の転送装置があるかどうかを判断する判断部と、
を備え、
前記制御部は、前記判断部により前記コピーパケットデータを出力する前記他の転送装置があると判断された場合、前記記憶部に記憶された情報に基づいて、前記コピーパケットデータを前記他の転送装置の経由するポートに出力されるように、前記転送装置を制御する
付記1に記載の分析装置。
(付記3)
連続していないコピーパケットデータが検出された回数を転送装置毎に記憶する回数記憶部と、
情報を表示する表示部と、
を更に備え、
前記制御部は、前記連続していないコピーパケットが検出された場合には、前記回数記憶部に記憶された該当する転送装置に対応する回数を更新すると共に、前記回数記憶部に記憶された回数が所定回数以上となった場合に、前記転送装置に関連する情報が表示されるように前記表示部を制御する
付記2に記載の分析装置。
(付記4)
前記パケット通信では、複数のパケットデータが順に送信され、
各パケットデータは、TCPに応じた形式により生成されかつ前記所定の情報として前記パケット通信における順番を表すデータを含み、
前記検出部は、前記受信した前記コピーパケットデータに含まれる前記順番を表すデータと前記コピーパケットデータより前に受信した過去のコピーパケットデータに含まれる前記順番を表すデータを比較することにより、前記受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出する
付記1〜付記3の何れか1項に記載の分析装置。
(付記5)
前記パケット通信では、複数のパケットデータが順に送信され、
各パケットデータは、UDPに応じた形式により生成されると共に前記所定の情報として当該パケットデータの個別の長さの個別データを含み、
前記複数のパケットデータの中の先頭のパケットデータは、前記所定の情報として前記複数のパケットデータの全体の長さの全体データを更に含み、
前記検出部は、前記受信した前記コピーパケットデータと前記過去のコピーパケットデータに含まれる前記個別データと、前記先頭のパケットデータが受信された場合には、前記先頭のパケットデータに含まれる前記全体データとに基づいて、前記受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出する
付記1〜付記3の何れか1項に記載の分析装置。
(付記6)
付記1〜付記5の何れか1項に記載の分析装置と、
前記複数のサーバ装置と、
前記転送装置と、
を備えたネットワークシステム。
(付記7)
ネットワークを介してパケット通信を行う複数のサーバ装置と、前記複数のサーバ装置間に設けられ、複数のポートに入力されたパケットデータを中継するとともに、所定のポートを通過するパケットデータを複製し、該複製したコピーパケットデータを複数のポートのうちの第1のポートまたは第2のポートに出力する転送装置と、を備えたシステムにおいて前記転送装置の第1のポート及び第2のポートに接続された分析装置に該複製したコピーパケットデータを送信するポートを、該第1のポートから該第2のポートに切り替えるポート切り替え方法であって、
前記コピーパケットデータを受信し、
受信した前記コピーパケットデータに含まれる所定の情報と前記コピーパケットデータより前に受信した過去のコピーパケットデータに含まれる所定の情報に基づいて、受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出し、
前記受信した前記コピーパケットデータが連続していないことが検出された場合には、連続していない前記コピーパケットデータを前記第1のポートに出力した所定のポートを特定し、
前記特定された所定のポートを通過するパケットデータの複製したコピーパケットデータを前記第2のポートに出力する
ことを含むポート切り替え方法。
(付記8)
ネットワークを介してパケット通信を行う複数のサーバ装置と、前記複数のサーバ装置間に設けられ、複数のポートに入力されたパケットデータを中継するとともに、所定のポートを通過するパケットデータを複製し、該複製したコピーパケットデータを複数のポートのうちの第1のポートまたは第2のポートに出力する転送装置と、を備えたシステムにおいて前記転送装置の第1のポート及び第2のポートに接続された分析装置に、該複製したコピーパケットデータを前記分析装置に送信するためのポートが、該第1のポートから該第2のポートに切り替えわるように前記転送装置を制御することを含む処理を実行させるためのポート切り替えプログラムであって、
受信した前記コピーパケットデータに含まれる所定の情報と前記コピーパケットデータより前に受信した過去のコピーパケットデータに含まれる所定の情報に基づいて、受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出し、
前記受信した前記コピーパケットデータが連続していないことが検出された場合には、連続していない前記コピーパケットデータを前記第1のポートに出力した所定のポートを特定し、
前記特定された所定のポートを通過するパケットデータの複製したコピーパケットが前記第2のポートに出力されるように、前記転送装置を制御する
処理を当該分析装置に実行させるためのポート切り替えプログラム。
10 システム分析装置
14A〜14D サーバ
SW1、SW2 スイッチ
16P11〜16P24 ポート

Claims (6)

  1. ネットワークを介してパケット通信を行う複数のサーバ装置と、前記複数のサーバ装置間に設けられ、複数のポートに入力されたパケットデータを中継するとともに、所定のポートを通過するパケットデータを複製し、該複製したコピーパケットデータを複数のポートのうちの第1のポートまたは第2のポートに出力する転送装置と、を備えたシステムにおいて前記転送装置の第1のポート及び第2のポートに接続され、かつ前記コピーパケットデータを出力させるポートを、該第1のポートから該第2のポートに切り替える分析装置であって、
    前記コピーパケットデータを受信する受信部と、
    受信した前記コピーパケットデータに含まれる所定の情報と前記コピーパケットデータより前に受信した過去のコピーパケットデータに含まれる所定の情報に基づいて、受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出する検出部と、
    前記検出部により受信した前記コピーパケットデータが連続していないことが検出された場合には、連続していない前記コピーパケットデータを前記第1のポートに出力した所定のポートを特定する特定部と、
    前記特定部により特定された所定のポートを通過するパケットデータの複製したコピーパケットデータを前記第2のポートに出力するように、前記転送装置を制御する制御部と、
    を備えた分析装置。
  2. 前記システムは、複数の転送装置を備え、
    前記コピーパケットデータがどの転送装置のどのポートを経由して前記分析装置に到達するのかを示す、送信元情報、送信先情報、経由する転送装置のポート情報、及び前記分析装置の接続情報を記憶する記憶部と、
    前記コピーパケットデータが連続していないことが検出された場合、前記記憶部に記憶された情報に基づいて、連続していない前記コピーパケットデータを出力する前記特定された所定のポートを有する転送装置とは異なる他の転送装置があるかどうかを判断する判断部と、
    を備え、
    前記制御部は、前記判断部により前記コピーパケットデータを出力する前記他の転送装置があると判断された場合、前記記憶部に記憶された情報に基づいて、前記コピーパケットデータを前記他の転送装置の経由するポートに出力されるように、前記転送装置を制御する
    請求項1に記載の分析装置。
  3. 連続していないコピーパケットデータが検出された回数を転送装置毎に記憶する回数記憶部と、
    情報を表示する表示部と、
    を更に備え、
    前記制御部は、前記連続していないコピーパケットが検出された場合には、前記回数記憶部に記憶された該当する転送装置に対応する回数を更新すると共に、前記回数記憶部に記憶された回数が所定回数以上となった場合に、前記転送装置に関連する情報が表示されるように前記表示部を制御する
    請求項2に記載の分析装置。
  4. 請求項1〜請求項3の何れか1項に記載の分析装置と、
    前記複数のサーバ装置と、
    前記転送装置と、
    を備えたネットワークシステム。
  5. ネットワークを介してパケット通信を行う複数のサーバ装置と、前記複数のサーバ装置間に設けられ、複数のポートに入力されたパケットデータを中継するとともに、所定のポートを通過するパケットデータを複製し、該複製したコピーパケットデータを複数のポートのうちの第1のポートまたは第2のポートに出力する転送装置と、を備えたシステムにおいて前記転送装置の第1のポート及び第2のポートに接続された分析装置に該複製したコピーパケットデータを送信するポートを、該第1のポートから該第2のポートに切り替えるポート切り替え方法であって、
    前記コピーパケットデータを受信し、
    受信した前記コピーパケットデータに含まれる所定の情報と前記コピーパケットデータより前に受信した過去のコピーパケットデータに含まれる所定の情報に基づいて、受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出し、
    前記受信した前記コピーパケットデータが連続していないことが検出された場合には、連続していない前記コピーパケットデータを前記第1のポートに出力した所定のポートを特定し、
    前記特定された所定のポートを通過するパケットデータの複製したコピーパケットデータを前記第2のポートに出力する
    ことを含むポート切り替え方法。
  6. ネットワークを介してパケット通信を行う複数のサーバ装置と、前記複数のサーバ装置間に設けられ、複数のポートに入力されたパケットデータを中継するとともに、所定のポートを通過するパケットデータを複製し、該複製したコピーパケットデータを複数のポートのうちの第1のポートまたは第2のポートに出力する転送装置と、を備えたシステムにおいて前記転送装置の第1のポート及び第2のポートに接続された分析装置に、該複製したコピーパケットデータを前記分析装置に送信するためのポートが、該第1のポートから該第2のポートに切り替えわるように前記転送装置を制御することを含む処理を実行させるためのポート切り替えプログラムであって、
    受信した前記コピーパケットデータに含まれる所定の情報と前記コピーパケットデータより前に受信した過去のコピーパケットデータに含まれる所定の情報に基づいて、受信した前記コピーパケットデータが該過去のコピーパケットデータと連続しているかどうかを検出し、
    前記受信した前記コピーパケットデータが連続していないことが検出された場合には、連続していない前記コピーパケットデータを前記第1のポートに出力した所定のポートを特定し、
    前記特定された所定のポートを通過するパケットデータの複製したコピーパケットが前記第2のポートに出力されるように、前記転送装置を制御する
    処理を当該分析装置に実行させるためのポート切り替えプログラム。
JP2013108420A 2013-05-22 2013-05-22 分析装置、ネットワークシステム、ポートの切り替え方法及びプログラム Expired - Fee Related JP6107413B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013108420A JP6107413B2 (ja) 2013-05-22 2013-05-22 分析装置、ネットワークシステム、ポートの切り替え方法及びプログラム
US14/278,204 US9553795B2 (en) 2013-05-22 2014-05-15 Port switching method, analysis device, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013108420A JP6107413B2 (ja) 2013-05-22 2013-05-22 分析装置、ネットワークシステム、ポートの切り替え方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2014230105A JP2014230105A (ja) 2014-12-08
JP6107413B2 true JP6107413B2 (ja) 2017-04-05

Family

ID=51935347

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013108420A Expired - Fee Related JP6107413B2 (ja) 2013-05-22 2013-05-22 分析装置、ネットワークシステム、ポートの切り替え方法及びプログラム

Country Status (2)

Country Link
US (1) US9553795B2 (ja)
JP (1) JP6107413B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7003562B2 (ja) * 2017-10-16 2022-01-20 富士通株式会社 ミラーパケット制御プログラム、ミラーパケット制御方法、およびミラーパケット制御装置
JP7556227B2 (ja) * 2020-08-04 2024-09-26 富士通株式会社 ネットワークスイッチ,制御プログラムおよび制御方法
WO2024154586A1 (ja) * 2023-01-20 2024-07-25 Fdk株式会社 送信装置および受信装置

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2218218A1 (en) * 1996-11-08 1998-05-08 At&T Corp. Promiscuous network monitoring utilizing multicasting within a switch
AU2066201A (en) * 1999-12-07 2001-06-18 Broadcom Corporation Mirroring in a stacked network switch configuration
JP2003525000A (ja) 2000-02-22 2003-08-19 トップ レイヤー ネットワークス,インク. ネットワークスイッチにおけるデータフローミラー処理システム及び方法
US8688853B2 (en) * 2001-12-21 2014-04-01 Agere Systems Llc Method and apparatus for maintaining multicast lists in a data network
US7760636B1 (en) * 2004-01-26 2010-07-20 Cisco Technology, Inc. Retransmission and flow control in a logical network tunnel
US7617365B2 (en) * 2004-04-28 2009-11-10 Emc Corporation Systems and methods to avoid deadlock and guarantee mirror consistency during online mirror synchronization and verification
US7424018B2 (en) * 2004-05-05 2008-09-09 Gigamon Systems Llc Asymmetric packet switch and a method of use
JP4570527B2 (ja) * 2005-07-20 2010-10-27 富士通株式会社 システム性能監視プログラム及びシステム性能監視方法
JP4759389B2 (ja) * 2006-01-10 2011-08-31 アラクサラネットワークス株式会社 パケット通信装置
US20090010169A1 (en) * 2007-07-03 2009-01-08 Kazuyuki Tamura Packet transfer apparatus and method for transmitting copy packet
JP5163398B2 (ja) * 2008-09-26 2013-03-13 富士通株式会社 パケット特定プログラム、パケット特定方法、パケット特定装置及び制御プログラム
JP2010245710A (ja) * 2009-04-03 2010-10-28 Mitsubishi Electric Corp ネットワーク管理装置及び通信システム及びネットワーク管理方法及びプログラム
US20110206055A1 (en) * 2010-02-24 2011-08-25 Patrick Pak Tak Leong Method and packet switch appliance for performing packet deduplication
US8873557B2 (en) * 2011-04-08 2014-10-28 Gigamon Inc. Systems and methods for packet de-duplication
JP5742549B2 (ja) 2011-07-28 2015-07-01 富士通株式会社 パケットキャプチャ処理方法及び装置
WO2013140459A1 (en) * 2012-03-23 2013-09-26 Hitachi, Ltd. Method for accessing mirrored shared memories and storage subsystem using method for accessing mirrored shared memories
US20130347103A1 (en) * 2012-06-21 2013-12-26 Mark Veteikis Packet capture for error tracking

Also Published As

Publication number Publication date
US20140348163A1 (en) 2014-11-27
US9553795B2 (en) 2017-01-24
JP2014230105A (ja) 2014-12-08

Similar Documents

Publication Publication Date Title
US10084690B2 (en) Using a firewall filter to select a member link of a link aggregation group
US9503382B2 (en) Scalable flow and cogestion control with openflow
US20200314219A1 (en) Generation of descriptive data for packet fields
CN109995746B (zh) 用于用户数据协议(udp)业务的分组丢失检测
JP2008131640A (ja) ネットワーク試験装置及び方法
JP2007215182A (ja) ネットワークにおける輻輳発生予告システム及びその方法
US9699101B2 (en) Switch device, information processing system, and method for controlling switch device
JP2017135449A (ja) パケット中継方法およびパケット中継プログラム
US9660914B1 (en) System and method for providing congestion notification in layer 3 networks
JP2009017298A (ja) データ分析装置
JPWO2011083670A1 (ja) パケット整列装置、受信装置、及びパケット整列方法
JP6107413B2 (ja) 分析装置、ネットワークシステム、ポートの切り替え方法及びプログラム
CN105591974A (zh) 报文处理方法、装置及系统
EP2720421A1 (en) Method for processing congestion and network device
WO2002086717A1 (en) Computer virus check device and method
JP6631232B2 (ja) ルーティング情報を判定するためのシステムおよび方法
KR20170035788A (ko) 네트워크 명명된 단편들을 이용하는 흐름 제어
CN110300057A (zh) 多宿主网络中的代理通告
US8644326B2 (en) Queue processing method
CN108460044B (zh) 数据的处理方法和装置
US20170373928A1 (en) Computer-readable recording medium, information processing apparatus, and vm switching method
JP7003467B2 (ja) パケット分類プログラム、パケット分類方法およびパケット分類装置
JP2013513271A (ja) 装置、アセンブリ及びデータパケットの読み出し及び順番付けをする複数の解析手段を操作する方法
JP6206254B2 (ja) 重複パケット除去方法及びプログラム
US20150180775A1 (en) Communication System, Control Apparatus, Communication Method, and Program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170220

R150 Certificate of patent or registration of utility model

Ref document number: 6107413

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees