JP7294764B2 - Format conversion device, method and program - Google Patents

Format conversion device, method and program Download PDF

Info

Publication number
JP7294764B2
JP7294764B2 JP2019220134A JP2019220134A JP7294764B2 JP 7294764 B2 JP7294764 B2 JP 7294764B2 JP 2019220134 A JP2019220134 A JP 2019220134A JP 2019220134 A JP2019220134 A JP 2019220134A JP 7294764 B2 JP7294764 B2 JP 7294764B2
Authority
JP
Japan
Prior art keywords
header
packet
analysis
xflow
format
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019220134A
Other languages
Japanese (ja)
Other versions
JP2021090161A (en
Inventor
孟朗 西岡
浩 大澤
千晴 森岡
勇樹 三好
裕平 林
晋 山本
隆之 鈴木
雄志 楠根
勇気 池上
友香 駒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2019220134A priority Critical patent/JP7294764B2/en
Publication of JP2021090161A publication Critical patent/JP2021090161A/en
Application granted granted Critical
Publication of JP7294764B2 publication Critical patent/JP7294764B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークのトラヒック分析で用いられるデータを対象としたフォーマット変換装置及び方法、並びにプログラムに関する。 The present invention relates to a format conversion apparatus, method, and program for data used in network traffic analysis.

近年、ネットワークに接続する端末の数や種類が増加してきており、またネットワーク自体も仮想化が進んだりサービス種類が増加するなど複雑化してきている。これに伴い、ネットワーク運用のためにネットワークの監視やトラヒックの傾向分析がより重要となってきている。ネットワークの監視やトラヒックの傾向分析のための技術としてはxFlowと呼ばれる技術が知られている。xFlow技術では、パケットのサンプリングを行い、ヘッダ情報から算出したフロー統計情報や、ヘッダ部分そのもの(ヘッダサンプル)を分析装置に転送することによりトラヒックの集計・分析等を行う。 In recent years, the number and types of terminals connected to a network have increased, and the network itself has also become more complex, with progress in virtualization and an increase in the types of services. Along with this, network monitoring and traffic trend analysis have become more important for network operation. A technology called xFlow is known as a technology for network monitoring and traffic trend analysis. In the xFlow technology, packets are sampled, and flow statistical information calculated from header information and the header portion itself (header sample) are transferred to an analysis device to aggregate and analyze traffic.

xFlow技術のうち、パケットのサンプリングを行い、フロー統計情報をヘッダ情報から算出し転送する方式としては、NetFlow(非特許文献1参照)、IPFIX(非特許文献2-1~2-6参照)が知られている。また、xFlow技術のうち、パケットのサンプリングを行い、ヘッダ部分そのもの(ヘッダサンプル)を切り取って転送する方式としては、sFlow(非特許文献3参照)、IPFIX w/IE315(非特許文献4参照)が知られている。また、既存の各種xFlow形式について、相互に形式を変換する技術の実装として、pmacct(非特許文献5参照)、nProbe(非特許文献6参照)が知られている。 Among the xFlow technologies, NetFlow (see Non-Patent Document 1) and IPFIX (see Non-Patent Documents 2-1 to 2-6) are methods of sampling packets and calculating and transferring flow statistical information from header information. Are known. Among the xFlow technologies, sFlow (see Non-Patent Document 3) and IPFIX w/IE315 (see Non-Patent Document 4) are methods for sampling packets and cutting and transferring the header portion itself (header sample). Are known. In addition, pmacct (see Non-Patent Document 5) and nProbe (see Non-Patent Document 6) are known as implementations of technology for mutual conversion between various existing xFlow formats.

特開2019-097069号公報JP 2019-097069 A

B. Claise, "Cisco Systems NetFlow Services Export Version 9", [online], IETF, RFC3954, October 2004,[令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc3954.txt.pdf>B. Claise, "Cisco Systems NetFlow Services Export Version 9", [online], IETF, RFC3954, October 2004, [searched on October 11, 2019], Internet <https://www.ietf.org/rfc /rfc3954.txt.pdf> B. Trammell, 他1名, "Bidirectional Flow Export Using IP Flow Information Export (IPFIX)", [online], IETF, RFC5103, January 2008, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc5103.txt.pdf>B. Trammell, and one others, "Bidirectional Flow Export Using IP Flow Information Export (IPFIX)", [online], IETF, RFC5103, January 2008, [retrieved on October 11, 2019], Internet <https:/ /www.ietf.org/rfc/rfc5103.txt.pdf> B. Claise, 他2名, "Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information", [online], IETF, RFC7011, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7011.txt.pdf>B. Claise, 2 others, "Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information", [online], IETF, RFC7011, September 2013, [searched on October 11, 2013] , Internet <https://www.ietf.org/rfc/rfc7011.txt.pdf> B. Claise, 他1名, "Information Model for IP Flow Information Export (IPFIX)", [online], IETF, RFC7012, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7012.txt.pdf>B. Claise, and one others, "Information Model for IP Flow Information Export (IPFIX)", [online], IETF, RFC7012, September 2013, [searched on October 11, 2019], Internet <https:// www.ietf.org/rfc/rfc7012.txt.pdf> B. Trammell, 他1名, "Guidelines for Authors and Reviewers of IP Flow Information Export (IPFIX) Information Elements", [online], IETF, RFC7013, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7013.txt.pdf>B. Trammell, and one others, "Guidelines for Authors and Reviewers of IP Flow Information Export (IPFIX) Information Elements", [online], IETF, RFC7013, September 2013, [searched on October 11, 2019], Internet <https://www.ietf.org/rfc/rfc7013.txt.pdf> S. D'Antonio, 他3名, "Flow Selection Techniques", [online], IETF, RFC7014, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7014.txt.pdf>S. D'Antonio, 3 others, "Flow Selection Techniques", [online], IETF, RFC7014, September 2013, [searched on October 11, 2019], Internet <https://www.ietf.org /rfc/rfc7014.txt.pdf> B. Trammell, 他2名, "Flow Aggregation for the IP Flow Information Export (IPFIX) Protocol", [online], IETF, RFC7015, September 2013, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7015.txt.pdf>B. Trammell, 2 others, "Flow Aggregation for the IP Flow Information Export (IPFIX) Protocol", [online], IETF, RFC7015, September 2013, [searched on October 11, 2019], Internet <https: //www.ietf.org/rfc/rfc7015.txt.pdf> Peter Phaal, 他1名, "sFlow Version 5", [online], sFlow.org, July 2004, [令和1年10月11日検索], インターネット<https://sflow.org/sflow_version_5.txt>Peter Phaal, and one others, "sFlow Version 5", [online], sFlow.org, July 2004, [searched on October 11, 2019], Internet <https://sflow.org/sflow_version_5.txt> S. Kashima, 他2名, "Information Elements for Data Link Layer Traffic Measurement", [online], IETF, RFC7133, May 2014, [令和1年10月11日検索], インターネット<https://www.ietf.org/rfc/rfc7133.txt.pdf>S. Kashima, 2 others, "Information Elements for Data Link Layer Traffic Measurement", [online], IETF, RFC7133, May 2014, [searched on October 11, 2019], Internet <https://www. ietf.org/rfc/rfc7133.txt.pdf> "Welcome to the pmacct project!", [online], [令和1年10月11日検索], インターネット<http://www.pmacct.net/>"Welcome to the pmacct project!", [online], [searched on October 11, 2019], Internet <http://www.pmacct.net/> "nProbe / An Extensible NetFlow v5/v9/IPFIX Probe for IPv4/v6", [online], [令和1年10月11日検索], インターネット<https://www.ntop.org/products/netflow/nprobe/>"nProbe / An Extensible NetFlow v5/v9/IPFIX Probe for IPv4/v6", [online], [searched on October 11, 2019], Internet <https://www.ntop.org/products/netflow/ nprobe/> 林 裕平, 他1名, "ハッシュを用いたinner-outerヘッダ対応付け方式の設定値の一検討", 電子情報通信学会 2019年 ソサイエティ大会 B-6-18Yuhei Hayashi, and one other person, "A Study of Setting Values for Inner-Outer Header Mapping Using Hash", The Institute of Electronics, Information and Communication Engineers 2019 Society Conference B-6-18

ところで、ネットワークを流通するパケットはトンネルプロトコル等によりカプセル化されている場合がある。このようなネットワーク環境においては、カプセル内側のパケットについてトラヒックの集計や分析を行いたいという要望がある。 By the way, packets circulating in a network may be encapsulated by a tunnel protocol or the like. In such a network environment, there is a demand to aggregate and analyze traffic for packets inside capsules.

しかし、従来のxFlow技術は、カプセル化パケットにおけるカプセル内側トラヒックについての集計・分析を想定しておらず、カプセル外側トラヒックのみが処理対象となっている。このため、カプセル化パケットが転送されるネットワークにおいて従来のxFlow技術ではカプセル外側トラヒックについての集計・分析およびxFlow形式変換しか行えず、カプセル内側の集計・分析を行うことができないという問題がある。 However, the conventional xFlow technology does not assume the aggregation and analysis of the traffic inside the capsule in the encapsulated packet, and only the traffic outside the capsule is the object of processing. Therefore, in a network where encapsulated packets are transferred, the conventional xFlow technology can only perform aggregation/analysis and xFlow format conversion of traffic outside the capsule, and cannot perform aggregation/analysis inside the capsule.

一方、カプセル化パケットの分析手法として、カプセル内側のパケットを取り出し分析を可能にするフォーマット変換技術が知られている(特許文献1参照)。また、カプセル化パケットについて、カプセル内側のパケットヘッダとカプセル外側のパケットヘッダの対応づけを高速にデータベースに登録する技術が知られている(非特許文献7参照)。 On the other hand, as a technique for analyzing encapsulated packets, there is known a format conversion technique that enables extraction and analysis of the packet inside the capsule (see Patent Document 1). Also, for encapsulated packets, there is known a technique of registering the correspondence between the packet header inside the capsule and the packet header outside the capsule in a database at high speed (see Non-Patent Document 7).

上記のフォーマット変換技術は、カプセル化パケットそのものを処理対象としており、パケットの先頭部分から逐次ヘッダ種別を識別し不要なヘッダを除去し、またこの際にカプセル内側とカプセル外側のパケットヘッダを対応づけする方式である。このため、カプセル化パケット自体のフォーマット変換は行えるが、カプセル化パケットを対象としたヘッダサンプルxFlowパケットについて、フォーマット変換を行いカプセル内側のパケットを取り出すこと、およびカプセル内側とカプセル外側のパケットヘッダの対応づけを行うことができないという問題がある。 The above format conversion technology targets the encapsulated packet itself. It identifies the header type from the beginning of the packet, removes unnecessary headers, and associates the packet headers inside and outside the capsule. It is a method to Therefore, although the format of the encapsulated packet itself can be converted, the format of the header sample xFlow packet for the encapsulated packet must be converted to extract the packet inside the capsule, and the correspondence between the packet header inside the capsule and the packet header outside the capsule. There is a problem that it is not possible to perform

本発明は上記事情に鑑みてなされたものであり、その目的とするところは、カプセル化パケットが流通するネットワークにおいても既存の分析装置を用いてトラヒック分析等を可能にするフォーマット変換装置及び方法並びにプログラムを提供することにある。 The present invention has been made in view of the above circumstances, and its object is to provide a format conversion device and method that enable traffic analysis, etc., using existing analysis devices even in networks in which encapsulated packets are distributed. to provide the program.

本願発明は、カプセル化パケットが転送されるネットワーク上でヘッダサンプリングにより収集したカプセル化パケットのヘッダサンプルについて、カプセル内側のパケットについての分析用パケットを生成する機能部を導入することにより、既存の分析装置と組み合わせてカプセル内側トラヒックの集計・分析を可能とする。 The present invention introduces a functional unit that generates an analysis packet for the packet inside the capsule for the header sample of the encapsulated packet collected by header sampling on the network to which the encapsulated packet is transferred, thereby improving the existing analysis Combined with equipment, it enables the aggregation and analysis of traffic inside the capsule.

すなわち、本願発明は、パケットを分析する第1及び第2の分析装置の前段に設けられたフォーマット変換装置であって、パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットの分析用のメタ情報とカプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力部と、前記入力部により入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換部と、前記変換部によって変換されたヘッダサンプル転送パケットを前記第1の分析装置に転送する第1の出力部と、所定期間において得られた前記変換部によって変換されたヘッダサンプル転送パケットに基づき統計型分析用データを生成する統計型分析用データ生成部と、前記統計型分析用データ生成部で生成した統計型分析用データを統計型分析用データ転送パケットに格納して前記第2の分析装置に転送する第2の出力部と、前記変換部によって保存された対応情報を、前記第1及び第2の分析装置の分析結果の出力先装置に対して出力する対応情報出力部とを備えたことを特徴とする。
That is, the present invention is a format conversion device provided in the preceding stage of the first and second analysis devices for analyzing packets, and converts encapsulated packets from a network through which encapsulated packets are distributed. An input for receiving an input of a header sample transfer packet in which meta information for analysis and an analysis header sample including an outer header that is a header of an encapsulated packet and an inner header that is a header of an in-capsule packet of the encapsulated packet are stored. and converting the format of the header sample transfer packet input by the input unit into a format in which the outer header included in the analysis header sample is excluded from the header sample transfer packet, and the inner header included in the analysis header sample. a conversion unit that stores correspondence information between the header and the excluded outer header; a first output unit that transfers the header sample transfer packet converted by the conversion unit to the first analysis device ; a statistical analysis data generation unit for generating statistical analysis data based on the header sample transfer packet converted by the conversion unit; a second output unit for storing data transfer packets for type analysis and transferring them to the second analysis device; and a correspondence information output unit for outputting to an output destination device .

本発明によれば、カプセル化パケットが転送されるネットワークにおいて、カプセル内側トラヒックの効率的な集計・分析が可能になる。 According to the present invention, it becomes possible to efficiently aggregate and analyze traffic inside the capsule in a network where encapsulated packets are transferred.

本発明の一実施形態に係るネットワークシステムの構成図1 is a configuration diagram of a network system according to an embodiment of the present invention; FIG. 各パケットのフォーマットを説明する図Diagram explaining the format of each packet フォーマット変換装置の機能ブロック図Functional block diagram of format converter 本発明の一実施形態に係るネットワークシステムにおけるシーケンス例Sequence example in a network system according to an embodiment of the present invention 分析結果の表示例Analysis result display example 対応情報の表示例Display example of correspondence information

本発明の一実施の形態に係るネットワークシステムについて図面を参照して説明する。図1は本発明の概要を説明するネットワーク構成図である。 A network system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a network configuration diagram for explaining the outline of the present invention.

本発明では、図1に示すように、(1)カプセル化パケットが転送されるネットワーク10においてxFlowによるヘッダサンプリングを設定する。次に、(2)下記の機能を持つ機能部を導入する。入力:カプセルパケットのヘッダサンプルxFlowパケット。出力:カプセル内側のヘッダサンプルxFlowパケットおよび/またはカプセル内側の統計型xFlowパケット。保存:カプセル内外のパケットヘッダの対応。そして、(3)既存のxFlow分析装置21,22にてトラヒック集計・分析する。 In the present invention, as shown in FIG. 1, (1) header sampling by xFlow is set in a network 10 to which encapsulated packets are transferred. Next, (2) a functional unit having the following functions is introduced. Input: Capsule packet header sample xFlow packet. Output: header sample xFlow packets inside the capsule and/or statistical xFlow packets inside the capsule. Preservation: Correspondence of packet header inside and outside encapsulation. Then, (3) the existing xFlow analysis devices 21 and 22 aggregate and analyze the traffic.

すなわち、本発明では、カプセル化パケットが転送されるネットワーク10上でヘッダサンプリングにより収集したカプセル化パケットのヘッダサンプルについて、カプセル内側のパケットについての分析用パケットを生成する機能を有するフォーマット変換装置100を既存のxFlow分析装置21,22の前段に導入することにより、既存のxFlow分析装置21,22と組み合わせてカプセル内側トラヒックの集計・分析を可能とする。 That is, in the present invention, the format conversion device 100 has a function of generating an analysis packet for the packet inside the capsule from the header samples of the encapsulated packet collected by header sampling on the network 10 to which the encapsulated packet is transferred. By introducing it before the existing xFlow analysis devices 21 and 22, it is possible to combine with the existing xFlow analysis devices 21 and 22 to aggregate/analyze the traffic inside the capsule.

ネットワーク10は、カプセル化パケットが転送される区間を含む。図1の例では、ネットワーク10にはルータ11とルータ12との間にトンネル14が形成されており、当該ルータ11,12間がカプセル化パケットの転送される区間である。すなわち、トンネル14を終端する一方のルータ11は、パケットをカプセル化し、カプセル化パケットを対向する他方のルータ12に向けて送出する。ルータ11から送出されたカプセル化パケットは、ルータ11とルータ12との間の経路上に配置されているルータ13により中継され、他方のルータ12に到達する。ルータ12は、受信したカプセル化パケットをデカプセル化し、取り出したパケットをその宛先アドレスに転送するよう送出する。逆方向についても同様である。なお本発明では、パケットのカプセル化は多段階行われていてもよい。この場合、複数のカプセル化処理は通信経路状の異なる装置により行われてもよいし、1つの装置により行われてもよい。 The network 10 includes sections over which encapsulated packets are transferred. In the example of FIG. 1, a tunnel 14 is formed between a router 11 and a router 12 in a network 10, and the section between the routers 11 and 12 is a section in which encapsulated packets are transferred. That is, one router 11 terminating the tunnel 14 encapsulates a packet and sends the encapsulated packet to the opposite router 12 . The encapsulated packet sent from the router 11 is relayed by the router 13 arranged on the route between the routers 11 and 12 and reaches the other router 12 . Router 12 decapsulates the received encapsulated packet and sends the retrieved packet for forwarding to its destination address. The same is true for the reverse direction. Note that in the present invention, packet encapsulation may be performed in multiple stages. In this case, a plurality of encapsulation processes may be performed by devices with different communication paths, or may be performed by one device.

本発明では、既存のxFlow技術を用い、ネットワーク10において、カプセル化パケットに含まれるヘッダを分析用ヘッダサンプルとして取得し、分析用ヘッダサンプルを格納したヘッダサンプルxFlowパケットをフォーマット変換装置100に送信する。分析用ヘッダサンプルの取得及びフォーマット変換装置100への送信処理は、カプセル化・デカプセル化を行うルータ11,12であってもよいし、カプセル化パケットを中継するルータ13であってもよい。図1の例では、カプセル化パケットを中継するルータ13が分析用ヘッダサンプルの取得及びフォーマット変換装置100への送信処理を行う。 In the present invention, the existing xFlow technology is used to acquire the header contained in the encapsulated packet as an analysis header sample in the network 10, and the header sample xFlow packet storing the analysis header sample is transmitted to the format conversion device 100. . Acquisition of header samples for analysis and transmission to the format conversion device 100 may be performed by the routers 11 and 12 that perform encapsulation/decapsulation, or by the router 13 that relays the encapsulated packets. In the example of FIG. 1 , the router 13 that relays the encapsulated packet acquires the analysis header sample and transmits it to the format conversion device 100 .

図2に各パケットのフォーマットを例示する。なお同図においては、レイヤー3(L3)のパケットを包含するものとしてレイヤー2(L2)のフレームフォーマットを記載している。なお、本実施の形態では、L3のプロトコルとしてIP(Internet Protocol)を用い、L2のプロコトルとしてEhernet(登録商標)を用いた例について説明する。 FIG. 2 illustrates the format of each packet. Note that in FIG. 1, the layer 2 (L2) frame format is shown as including layer 3 (L3) packets. In this embodiment, an example in which IP (Internet Protocol) is used as the L3 protocol and Ethernet (registered trademark) is used as the L2 protocol will be described.

図2において(A)は、カプセル化前のパケット210すなわちカプセル内のパケット210のフォーマットを示す。このパケット210は、L2のフレームヘッダ211と、L3のIPヘッダ212と、ペイロード213とからなる。ここで、当該パケット210のIPヘッダ212はInnnerヘッダ212とも表記する。 In FIG. 2, (A) shows the format of the packet 210 before encapsulation, that is, the packet 210 within the capsule. This packet 210 consists of an L2 frame header 211 , an L3 IP header 212 , and a payload 213 . Here, the IP header 212 of the packet 210 is also referred to as the inner header 212 .

図2において(B)は、カプセル化パケット220のフォーマットを示す。このカプセル化パケット220は、L2のフレームヘッダ221と、所定のカプセル化プロトコルにより付されたOuterヘッダ222と、前記Innerヘッダ212と、前記ペイロード213とからなる。ここで、カプセル化プロトコルの種別及びレイヤーは不問である。例えば、カプセル化プロトコルとしてIPIPトンネルイングプロトコルを用いる場合にはOuterヘッダ222はIPヘッダである。また、カプセル化プロトコルとしてMPLS(Multi-Protocol Label Switching)を用いる場合にはOuterヘッダ222はMPLSヘッダとなる。また、Outerヘッダ222は、複数のカプセル化プロトコルにより多段的に付された複数のヘッダを含むことができる。この場合、複数のカプセル化プロコトルは複数のレイヤーに亘ることができる。例えば、Outerヘッダ222は、IPヘッダ+UDP(User Datagram Protocol)ヘッダ+L2TP(Layer 2 Tunneling Protocol)ヘッダという複数のヘッダを含むことができる。本実施の形態では、カプセル化プロトコルとしてIPIPトンネルプロトコルを用い、Outerヘッダ222には、宛先アドレス及び送信元アドレスとして、ネットワーク10におけるトンネル14を終端するルータ11,12のアドレス情報が含まれる。なお、カプセル化パケット220のフレームヘッダ221は、前記パケット210のフレームヘッダ211とは異なるものである点に留意されたい。 (B) in FIG. 2 shows the format of the encapsulated packet 220 . This encapsulated packet 220 consists of an L2 frame header 221 , an Outer header 222 added by a predetermined encapsulation protocol, the Inner header 212 and the payload 213 . Here, the type and layer of the encapsulation protocol are irrelevant. For example, Outer header 222 is an IP header when IPIP tunneling protocol is used as the encapsulation protocol. Further, when MPLS (Multi-Protocol Label Switching) is used as an encapsulation protocol, the Outer header 222 becomes an MPLS header. Also, the Outer header 222 can include multiple headers attached in multiple stages according to multiple encapsulation protocols. In this case, multiple encapsulation protocols can span multiple layers. For example, the Outer header 222 can include a plurality of headers: IP header + User Datagram Protocol (UDP) header + Layer 2 Tunneling Protocol (L2TP) header. In this embodiment, the IPIP tunnel protocol is used as the encapsulation protocol, and Outer header 222 contains address information of routers 11 and 12 that terminate tunnel 14 in network 10 as a destination address and a source address. Note that the frame header 221 of the encapsulated packet 220 is different from the frame header 211 of the packet 210 described above.

図2において(C)は、分析用ヘッダサンプルを格納したヘッダサンプルxFlowパケット230のフォーマットを示す。このヘッダサンプルxFlowパケット230は、分析用ヘッダサンプルの取得及びフォーマット変換装置100への送信処理を行うルータにより生成される。ヘッダサンプルxFlowパケット230は、L2のフレームヘッダ231と、L3のIPヘッダ232と、xFlowデータ233と、分析用ヘッダサンプル234とを含む。ここで、L3のIPヘッダ232は、ヘッダサンプルxFlowパケット230を転送するためのものであり、宛先アドレスとしてフォーマット変換装置100のアドレス情報を含み、送信元アドレスとしてルータ13のアドレス情報を含む。なお、ヘッダサンプルxFlowパケット230のフレームヘッダ231は、前記カプセル化パケット220のフレームヘッダ221、前記パケット210のフレームヘッダ211とは異なるものである点に留意されたい。 In FIG. 2, (C) shows the format of a header sample xFlow packet 230 storing analysis header samples. This header sample xFlow packet 230 is generated by a router that acquires header samples for analysis and performs transmission processing to the format conversion device 100 . Header sample xFlow packet 230 includes L2 frame header 231 , L3 IP header 232 , xFlow data 233 , and header sample for analysis 234 . Here, the L3 IP header 232 is for transferring the header sample xFlow packet 230, and includes the address information of the format conversion device 100 as the destination address and the address information of the router 13 as the source address. Note that the frame header 231 of the header sample xFlow packet 230 is different from the frame header 221 of the encapsulated packet 220 and the frame header 211 of the packet 210 .

xFlowデータ233は、xFlow技術により規定されたものであり、分析用ヘッダサンプル234には含まれない、カプセル化パケット220のメタ情報であって分析処理で利用可能なものを含む。例えば、メタ情報としては、ルータ13においてカプセル化パケット220を受信した物理ポート情報(インタフェース情報)や、カプセル化パケットを受信したタイムスタンプ情報が挙げられる。 The xFlow data 233 is defined by the xFlow technology and includes meta information of the encapsulated packet 220 that is not included in the analysis header sample 234 and that can be used in the analysis process. For example, meta information includes physical port information (interface information) at which the router 13 received the encapsulated packet 220 and time stamp information at which the encapsulated packet was received.

分析用ヘッダサンプル234は、少なくも前記Innerヘッダ212と前記Outerヘッダ222の全部または一部を含む。分析用ヘッダサンプル234は、カプセル化パケット220のフレームヘッダ221を含んでいてもよい。また、図2(c)の例では、分析用ヘッダサンプル234は、ペイロード213の先頭の一部を含む。これは、Innerヘッダ212やOuterヘッダ222は、そのプロトコルによってはオプション領域が存在するため不定長である場合があることから、カプセル化パケット220から分析用ヘッダサンプル234を抜き出す際に、カプセル化パケット220の先頭からInnerヘッダ212及びOuterヘッダ222の最大長から算出した固定長で抜き出す処理を行っているためである。このような処理により、分析用ヘッダサンプル234の取得処理を低負荷且つ高速に実施できる。なお、Innerヘッダ212及びOuterヘッダ222に自身のヘッダ長情報が格納されている場合やヘッダ長が固定の場合には、当該ヘッダ長情報を参照することにより又は当該固定長を用いることによりペイロード213の先頭の一部を含むことなくInnerヘッダ212及びOuterヘッダ222のみを抜き出すこともできる。 Analysis header sample 234 includes at least all or part of the Inner header 212 and the Outer header 222 . Analysis header sample 234 may include frame header 221 of encapsulated packet 220 . Also, in the example of FIG. 2( c ), the analysis header sample 234 includes a portion of the beginning of the payload 213 . This is because the Inner header 212 and Outer header 222 may have an undefined length due to the existence of an option area depending on the protocol. 220 is extracted from the top of the header 220 with a fixed length calculated from the maximum lengths of the inner header 212 and the outer header 222 . By such processing, the acquisition processing of the analysis header sample 234 can be performed at low load and at high speed. When the inner header 212 and the outer header 222 store their own header length information or when the header length is fixed, the payload 213 can be generated by referring to the header length information or using the fixed length. It is also possible to extract only the Inner header 212 and the Outer header 222 without including the beginning part of the .

フォーマット変換装置100は、ネットワーク10からヘッダサンプルxFlowパケット230を受信し、既存のxFlow技術によるxFlow分析装置21,22で処理可能なデータへと変換し、各xFlow分析装置21,22に出力する。ネットワーク10からフォーマット変換装置100へのデータ通信経路やその形態(例えばトンネルの有無)、フォーマット変換装置100から各xFlow分析装置21,22へのデータ通信経路やその形態(例えばトンネルの有無)については不問である。 The format converter 100 receives the header sample xFlow packet 230 from the network 10, converts it into data that can be processed by the xFlow analyzers 21 and 22 based on the existing xFlow technology, and outputs the data to each of the xFlow analyzers 21 and 22. The data communication path from the network 10 to the format conversion device 100 and its form (for example, presence or absence of a tunnel), and the data communication route and its form (for example, presence or absence of a tunnel) from the format conversion device 100 to each of the xFlow analysis devices 21 and 22 are No question.

図3にフォーマット変換装置100の機能ブロック図を示す。フォーマット変換装置100は、パケット入力部110と、フォーマット変換部120と、対応情報DB130と、統計型xFlowデータ生成部140と、パケット出力部150と、対応情報出力部160とを備える。 FIG. 3 shows a functional block diagram of the format conversion device 100. As shown in FIG. Format conversion device 100 includes packet input section 110 , format conversion section 120 , correspondence information DB 130 , statistical xFlow data generation section 140 , packet output section 150 , and correspondence information output section 160 .

フォーマット変換装置100は周知の情報処理装置により構成される。フォーマット変換装置100の実装形態は不問であり、例えば専用のハードウェア装置として実装してもよいし、物理コンピュータまたは仮想コンピュータにプログラムをインストールすることにより実装してもよい。また、フォーマット変換装置100は、その各部を複数のハードウェア装置に分散して実装してもよい。また、フォーマット変換装置100の各部又は一部は、ヘッダサンプルを取得するルータ13と同じ物理装置に実装されていてもよいし、xFlow分析装置21又は22と同じ物理装置上に実装されていてもよい。 The format conversion device 100 is composed of a well-known information processing device. The format conversion device 100 may be implemented in any form. For example, it may be implemented as a dedicated hardware device, or may be implemented by installing a program in a physical computer or virtual computer. Moreover, the format conversion device 100 may be implemented by distributing each part thereof to a plurality of hardware devices. Further, each part or part of the format conversion device 100 may be mounted on the same physical device as the router 13 that acquires the header samples, or may be mounted on the same physical device as the xFlow analysis device 21 or 22. good.

パケット入力部110は、ネットワーク10からヘッダサンプルxFlowパケット230の入力を受け付ける。 Packet input unit 110 receives an input of header sample xFlow packet 230 from network 10 .

フォーマット変換部120は、ヘッダサンプルxFlowパケット230のフォーマットを、該ヘッダサンプルxFlowパケット230から分析用ヘッダサンプル234に含まれるOuterヘッダ222を除外したフォーマットに変換し、当該分析用ヘッダサンプル234に含まれるInnerヘッダ212と前記除外したOuterヘッダ222との対応情報を対応情報DB130に保存する。 The format conversion unit 120 converts the format of the header sample xFlow packet 230 into a format in which the Outer header 222 included in the analysis header sample 234 is excluded from the header sample xFlow packet 230, and is included in the analysis header sample 234. Correspondence information between the inner header 212 and the excluded outer header 222 is stored in the correspondence information DB 130 .

対応情報DB130に保存する対応情報は、Innerヘッダ212を識別可能な情報とOuterヘッダ222を識別可能な情報とを含み、両者を紐付ける(関連付ける)情報である。各ヘッダを識別情報な可能な情報は、当該ヘッダに係るプロトコルに依存する。例えばIPヘッダの場合、アドレス情報を用いることができる。また例えばMPLSヘッダの場合、ラベル情報を用いることができる。また、Outerヘッダ222が複数のヘッダを含む場合には、それぞれのヘッダに係るプロトコルに対応した複数の情報を含むことができる。本実施の形態では、カプセル化プロトコルとしてIPIPトンネルプロトコルを用いたので、Innerヘッダ212に含まれるアドレス情報とOuterヘッダ222に含まれるアドレス情報とを含む。アドレス情報は、少なくともL3のアドレス情報を含む。アドレス情報は、さらにL3からみて上位プロトコルのアドレス情報を含むことができる。また対応情報は、プロコトル種別情報などヘッダに含まれる他の情報を含むことができる。本実施の形態では、各ヘッダに含まれる宛先IPアドレス及び宛先ポート番号並びに発信元IPアドレス及び発信元ポート番号の組を含む。また、他の例としては、さらにプロコトル種別情報を含む5-tupleであってもよい。 The correspondence information stored in the correspondence information DB 130 is information that includes information that can identify the Inner header 212 and information that can identify the Outer header 222, and links (associates) the two. The information that can be used to identify each header depends on the protocol associated with that header. For example, in the case of IP headers, address information can be used. Also, for example, in the case of MPLS headers, label information can be used. Also, when the Outer header 222 includes a plurality of headers, it can include a plurality of pieces of information corresponding to the protocol associated with each header. Since the IPIP tunnel protocol is used as the encapsulation protocol in this embodiment, the address information included in the inner header 212 and the address information included in the outer header 222 are included. The address information includes at least L3 address information. The address information can further include address information of upper protocols from the viewpoint of L3. The support information may also include other information contained in the header, such as protocol type information. In this embodiment, each header includes a set of a destination IP address, a destination port number, a source IP address, and a source port number. As another example, it may be a 5-tuple further including protocol type information.

統計型xFlowデータ生成部140は、所定期間において得られたフォーマット変換部120によって変換された複数のヘッダサンプルxFlowパケットに基づき、統計型分析用データを生成する。この統計処理については既存のxFlow技術が用いられる。 The statistical xFlow data generation unit 140 generates statistical analysis data based on a plurality of header sample xFlow packets converted by the format conversion unit 120 obtained in a predetermined period. The existing xFlow technology is used for this statistical processing.

パケット出力部150は、フォーマット変換部120による変換で得られたヘッダサンプルxFlowパケット240を、ヘッダサンプル分析型のxFlow分析装置(A)21に転送する。図2(D)にパケット出力部150が転送するヘッダサンプルxFlowパケット240のフォーマットを示す。図に示すように、このヘッダサンプルxFlowパケット240は、L2のフレームヘッダ241と、L3のIPヘッダ242と、xFlowデータ233と、分析用ヘッダサンプル244とを含む。ここで、パケット出力部150の出力するヘッダサンプルxFlowパケット240と、パケット入力部110に入力されたヘッダサンプルxFlowパケット230とのフォーマット上の相違点は、Outerヘッダ222の有無のみである。なお、L3のIPヘッダ242は、ヘッダサンプルxFlowパケット240を転送するためのものであり、宛先アドレスとしてxFlow分析装置(A)21のアドレス情報を含み、送信元アドレスとしてフォーマット変換装置100のアドレス情報を含む。なお、ヘッダサンプルxFlowパケット240のフレームヘッダ241は、前記ヘッダサンプルxFlowパケット230のフレームヘッダ231、前記カプセル化パケット220のフレームヘッダ221、前記パケット210のフレームヘッダ211とは異なるものである点に留意されたい。 The packet output unit 150 transfers the header sample xFlow packet 240 obtained by the conversion by the format conversion unit 120 to the header sample analysis type xFlow analysis device (A) 21 . FIG. 2D shows the format of the header sample xFlow packet 240 transferred by the packet output unit 150. As shown in FIG. As shown, this header sample xFlow packet 240 includes an L2 frame header 241 , an L3 IP header 242 , xFlow data 233 and an analysis header sample 244 . Here, the difference in format between the header sample xFlow packet 240 output by the packet output unit 150 and the header sample xFlow packet 230 input to the packet input unit 110 is only the presence or absence of the Outer header 222 . Note that the L3 IP header 242 is for transferring the header sample xFlow packet 240, includes the address information of the xFlow analysis device (A) 21 as the destination address, and the address information of the format conversion device 100 as the source address. including. Note that the frame header 241 of the header sample xFlow packet 240 is different from the frame header 231 of the header sample xFlow packet 230, the frame header 221 of the encapsulation packet 220, and the frame header 211 of the packet 210. want to be

また、パケット出力部150は、統計型xFlowデータ生成部140により生成された統計型分析用データを統計型xFlowパケット250に格納し、統計型のxFlow分析装置(B)22に転送する。図2(E)にパケット出力部150が出力する統計型xFlowパケット250のフォーマットを示す。図に示すように、L2のフレームヘッダ251と、L3のIPヘッダ252と、xFlowデータ253とを含む。 The packet output unit 150 also stores the statistical analysis data generated by the statistical xFlow data generating unit 140 in the statistical xFlow packet 250 and transfers it to the statistical xFlow analysis device (B) 22 . FIG. 2(E) shows the format of the statistical xFlow packet 250 output by the packet output unit 150 . As shown, it includes an L2 frame header 251 , an L3 IP header 252 and xFlow data 253 .

ここで、xFlowデータ253は、統計型xFlowデータ生成部140により生成された統計型分析用データである。また、L3のIPヘッダ252は、統計型xFlowパケット250を転送するためのものであり、宛先アドレスとしてxFlow分析装置(B)22のアドレス情報を含み、送信元アドレスとしてフォーマット変換装置100のアドレス情報を含む。なお、統計型xFlowパケット250のフレームヘッダ251は、前記ヘッダサンプルxFlowパケット240のフレームヘッダ241、前記ヘッダサンプルxFlowパケット230のフレームヘッダ231、前記カプセル化パケット220のフレームヘッダ221、前記パケット210のフレームヘッダ211とは異なるものである点に留意されたい。 Here, the xFlow data 253 is statistical analysis data generated by the statistical xFlow data generator 140 . The L3 IP header 252 is for transferring the statistical xFlow packet 250, includes address information of the xFlow analysis device (B) 22 as the destination address, and address information of the format conversion device 100 as the source address. including. The frame header 251 of the statistical xFlow packet 250 includes the frame header 241 of the header sample xFlow packet 240, the frame header 231 of the header sample xFlow packet 230, the frame header 221 of the encapsulation packet 220, and the frame of the packet 210. Note that the header 211 is different.

対応情報出力部160は、対応情報DB130に保存された対応情報を任意の出力先に出力する。対応情報出力部160は、xFlow分析装置(A)21及びxFlow分析装置(B)22の分析結果と同じ出力先に対応情報を出力することができる。対応情報出力部160は、出力先からの要求に応じて対応情報を出力してもよいし、出力先に対して「プッシュ」の形態で通知してもよい。例えば対応情報DB130の更新タイミングで又は定期的に対応情報を出力することができる。 The correspondence information output unit 160 outputs the correspondence information stored in the correspondence information DB 130 to an arbitrary output destination. The correspondence information output unit 160 can output the correspondence information to the same output destination as the analysis results of the xFlow analysis device (A) 21 and the xFlow analysis device (B) 22 . The correspondence information output unit 160 may output the correspondence information in response to a request from the output destination, or may notify the output destination in the form of "push". For example, the correspondence information can be output at the update timing of the correspondence information DB 130 or periodically.

xFlow分析装置(A)21及びxFlow分析装置(B)22は、既存のxFlow技術で用いられる分析装置である。xFlow分析装置(A)21及びxFlow分析装置(B)22は、それぞれ周知の情報処理装置により構成される。xFlow分析装置(A)21及びxFlow分析装置(B)22の実装形態は不問であり、例えば専用のハードウェア装置として実装してもよいし、物理コンピュータまたは仮想コンピュータにプログラムをインストールすることにより実装してもよい。また、xFlow分析装置(A)21及びxFlow分析装置(B)22は、複数のハードウェア装置に分散して実装してもよい。 The xFlow analysis device (A) 21 and the xFlow analysis device (B) 22 are analysis devices used in the existing xFlow technology. The xFlow analysis device (A) 21 and the xFlow analysis device (B) 22 are each configured by a known information processing device. The implementation form of the xFlow analysis device (A) 21 and the xFlow analysis device (B) 22 is irrelevant. You may Also, the xFlow analysis device (A) 21 and the xFlow analysis device (B) 22 may be distributed and implemented in a plurality of hardware devices.

xFlow分析装置(A)21は、ヘッダサンプルを入力として分析を行うものであり、具体的には、sFlow(非特許文献3参照)、IPFIX w/IE315(非特許文献4参照)などの方式が用いられる。xFlow分析装置(B)22は、サンプリングされたパケットのヘッダ情報から算出されたフロー統計情報を入力として分析を行うものであり、具体的には、NetFlow(非特許文献1参照)、IPFIX(非特許文献2-1~2-6参照)などの方式が用いられる。 The xFlow analysis device (A) 21 analyzes the header sample as an input. Specifically, methods such as sFlow (see Non-Patent Document 3) and IPFIX w/IE315 (see Non-Patent Document 4) are used. Used. The xFlow analysis device (B) 22 analyzes the flow statistical information calculated from the header information of the sampled packets as input. (See Patent Documents 2-1 to 2-6).

xFlow分析装置(A)21及びxFlow分析装置(B)22は、それぞれ分析結果をユーザの端末300に提供する。xFlow分析装置(A)21及びxFlow分析装置(B)22は、提供先からの要求に応じて分析結果を提供してもよいし、提供先に対して「プッシュ」の形態で通知してもよい。例えば分析結果の更新タイミングで又は定期的に分析結果を出力することができる。 The xFlow analysis device (A) 21 and the xFlow analysis device (B) 22 each provide analysis results to the terminal 300 of the user. The xFlow analysis device (A) 21 and the xFlow analysis device (B) 22 may provide analysis results in response to a request from the provider, or may notify the provider in the form of "push". good. For example, the analysis result can be output at the update timing of the analysis result or periodically.

次に、本実施の形態に係るネットワークシステムのシーケンス例について図4のシーケンスチャートを参照して説明する。 Next, a sequence example of the network system according to this embodiment will be described with reference to the sequence chart of FIG.

分析実施フェーズでは、図4に示すように、まずカプセル化パケット220が流通するネットワーク10のルータ13が、当該カプセル化パケット220から分析用ヘッダサンプル234を取得し、当該分析用ヘッダサンプル234及びxFlowデータ233が格納されたヘッダサンプルxFlowパケット230をフォーマット変換装置100に転送する(ステップS1)。 In the analysis implementation phase, as shown in FIG. 4, first, the router 13 of the network 10 in which the encapsulated packet 220 is distributed acquires the analysis header sample 234 from the encapsulated packet 220, and converts the analysis header sample 234 and xFlow A header sample xFlow packet 230 containing data 233 is transferred to the format conversion device 100 (step S1).

フォーマット変換装置100は、ヘッダサンプルxFlowパケット230のフォーマットをOuterヘッダ222を除外したフォーマットに変換するとともに、Innerヘッダ212とOuterヘッダ222の対応情報を対応情報DB130に格納する(ステップS2)。そして、フォーマット変換装置100は、xFlow分析装置(A)21に対しては、フォーマット変換した得られたヘッダサンプルxFlowパケット240を転送する(ステップS3)。また、フォーマット変換装置100は、xFlow分析装置(B)22に対しては、フォーマット変換したヘッダサンプルxFlowパケットに基づき統計型分析用データを生成し、当該統計型分析用データを格納した統計型xFlowパケット250をxFlow分析装置(B)22に転送する。 The format conversion device 100 converts the format of the header sample xFlow packet 230 into a format excluding the Outer header 222, and stores the correspondence information between the Inner header 212 and the Outer header 222 in the correspondence information DB 130 (step S2). The format conversion device 100 then transfers the format-converted header sample xFlow packet 240 to the xFlow analysis device (A) 21 (step S3). In addition, the format conversion device 100 generates statistical analysis data for the xFlow analysis device (B) 22 based on the format-converted header sample xFlow packet, and stores the statistical analysis data in a statistical xFlow packet. Packet 250 is forwarded to xFlow analysis device (B) 22 .

分析結果確認フェーズでは、フォーマット変換装置100は、ユーザ端末300に対して対応情報DB130に保存されている対応情報を提供する(ステップS11)。また、xFlow分析装置(A)21及びxFlow分析装置(B)22は、それぞれ分析結果をユーザ端末300に提供する(ステップS12,S13)。これにより、ユーザ端末300は、xFlow分析装置(A)21及びxFlow分析装置(B)22で実施されたInnnerヘッダ212に基づく分析結果を得ることができるとともに、Innerヘッダ212とOuterヘッダ222の対応関係を認識することができるので、カプセル化パケット220が流通するネットワーク10において、カプセル内側トラヒックの効率的な集計・分析が可能になる。図5にユーザ端末300に表示させたxFlow分析装置(A)21における分析結果の一例を示す。また図6にユーザ端末300に表示させた対応情報の一例を示す。 In the analysis result confirmation phase, the format conversion device 100 provides the correspondence information stored in the correspondence information DB 130 to the user terminal 300 (step S11). Also, the xFlow analysis device (A) 21 and the xFlow analysis device (B) 22 provide the analysis results to the user terminal 300 (steps S12 and S13). As a result, the user terminal 300 can obtain the analysis result based on the inner header 212 performed by the xFlow analysis device (A) 21 and the xFlow analysis device (B) 22, and the correspondence between the inner header 212 and the outer header 222. Recognition of relationships enables efficient aggregation and analysis of intracapsule traffic in the network 10 through which the encapsulated packet 220 is distributed. FIG. 5 shows an example of the analysis result of the xFlow analysis device (A) 21 displayed on the user terminal 300. As shown in FIG. Also, FIG. 6 shows an example of correspondence information displayed on the user terminal 300 .

以上、本発明の一実施の形態について詳述したが、本発明は上記実施の形態に限定されるものではなく、本発明の主旨を逸脱しない範囲において、種々の改良や変更をしてもよい。 Although one embodiment of the present invention has been described in detail above, the present invention is not limited to the above-described embodiment, and various improvements and modifications may be made without departing from the gist of the present invention. .

例えば、上記実施の形態ではフォーマット変換装置100は、xFlow分析装置(A)21用のヘッダサンプルxFlowパケット240と、xFlow分析装置(B)22用の統計型xFlowパケット250の双方を出力するよう構成したが、何れか一方のみを出力するよう構成してもよい。 For example, in the above embodiment, the format conversion device 100 is configured to output both the header sample xFlow packet 240 for the xFlow analysis device (A) 21 and the statistical xFlow packet 250 for the xFlow analysis device (B) 22. However, the configuration may be such that only one of them is output.

10…ネットワーク
11,12,13…ルータ
14…トンネル
100…フォーマット変換装置
110…パケット入力部
120…フォーマット変換部
130…対応情報DB
140…統計型xFlowデータ生成部
150…パケット出力部
160…対応情報出力部
210…パケット(カプセル内パケット)
212…Innerヘッダ
220…カプセル化パケット
222…Outerヘッダ
230…ヘッダサンプルxFlowパケット
240…ヘッダサンプルxFlowパケット(変換後)
250…統計型xFlowパケット
DESCRIPTION OF SYMBOLS 10... Network 11, 12, 13... Router 14... Tunnel 100... Format conversion apparatus 110... Packet input part 120... Format conversion part 130... Correspondence information DB
140 Statistical xFlow data generation unit 150 Packet output unit 160 Corresponding information output unit 210 Packet (capsule packet)
212 Inner header 220 Encapsulation packet 222 Outer header 230 Header sample xFlow packet 240 Header sample xFlow packet (after conversion)
250 Statistical type xFlow packet

Claims (4)

パケットを分析する第1及び第2の分析装置の前段に設けられたフォーマット変換装置であって、
パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットの分析用のメタ情報とカプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力部と、
前記入力部により入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換部と、
前記変換部によって変換されたヘッダサンプル転送パケットを前記第1の分析装置に転送する第1の出力部と
所定期間において得られた前記変換部によって変換されたヘッダサンプル転送パケットに基づき統計型分析用データを生成する統計型分析用データ生成部と、
前記統計型分析用データ生成部で生成した統計型分析用データを統計型分析用データ転送パケットに格納して前記第2の分析装置に転送する第2の出力部と、
前記変換部によって保存された対応情報を、前記第1及び第2の分析装置の分析結果の出力先装置に対して出力する対応情報出力部とを備えた
ことを特徴とするフォーマット変換装置。 A format conversion device provided in front of first and second analysis devices for analyzing packets,
Meta information for analyzing the encapsulated packet , the outer header that is the header of the encapsulated packet, and the inner header that is the header of the packet within the capsule of the encapsulated packet are obtained from the network in which the encapsulated packet that encapsulates the packet is distributed. an input unit for receiving an input of a header sample transfer packet in which are stored header samples for analysis including;
converting the format of the header sample transfer packet input by the input unit into a format in which the outer header included in the header sample for analysis is excluded from the header sample transfer packet, and the inner header included in the header sample for analysis and the a conversion unit that stores correspondence information with the excluded outer header;
a first output unit that transfers the header sample transfer packet converted by the conversion unit to the first analysis device ;
a statistical analysis data generation unit that generates statistical analysis data based on header sample transfer packets converted by the conversion unit obtained in a predetermined period;
a second output unit that stores the statistical analysis data generated by the statistical analysis data generation unit in a statistical analysis data transfer packet and transfers the packet to the second analysis device;
A format conversion device, comprising: a correspondence information output unit that outputs the correspondence information saved by the conversion unit to an output destination device of analysis results of the first and second analysis devices. 前記ヘッダサンプル転送パケットは、前記ネットワークにおいてカプセル化パケットを格納して流通されるフレームのフレームヘッダを含む
ことを特徴とする請求項1記載のフォーマット変換装置。 2. The format conversion device according to claim 1 , wherein said header sample transfer packet includes a frame header of a frame that stores an encapsulated packet and is distributed in said network. パケットを分析する第1及び第2の分析装置の前段に設けられたフォーマット変換装置におけるフォーマット変換方法であって、
入力部が、パケットをカプセル化してなるカプセル化パケットが流通するネットワークから、カプセル化パケットの分析用のメタ情報とカプセル化パケットのヘッダであるアウターヘッダ及び該カプセル化パケットのカプセル内パケットのヘッダであるインナーヘッダを含む分析用ヘッダサンプルが格納されたヘッダサンプル転送パケットの入力を受け付ける入力ステップと、
変換部が、前記入力ステップにより入力されたヘッダサンプル転送パケットのフォーマットを該ヘッダサンプル転送パケットから分析用ヘッダサンプルに含まれるアウターヘッダを除外したフォーマットに変換するとともに、該分析用ヘッダサンプルに含まれるインナーヘッダと前記除外したアウターヘッダとの対応情報を保存する変換ステップと、
第1の出力部が、前記変換部によって変換されたヘッダサンプル転送パケットを前記第1の分析装置に転送する第1の出力ステップと
統計型分析用データ生成部が、所定期間において得られた前記変換部によって変換されたヘッダサンプル転送パケットに基づき統計型分析用データを生成する統計型分析用データ生成ステップと、
第2の出力部が、前記統計型分析用データ生成部で生成した統計型分析用データを統計型分析用データ転送パケットに格納して前記第2の分析装置に転送する第2の出力ステップと、
対応情報出力部が、前記変換部によって保存された対応情報を前記第1及び第2の分析装置の分析結果の出力先装置に対して出力する対応情報出力ステップとを備えた
ことを特徴とするフォーマット変換方法。 A format conversion method in a format conversion device provided upstream of first and second analysis devices for analyzing packets,
The input unit receives meta information for analysis of the encapsulated packet, the outer header which is the header of the encapsulated packet, and the header of the packet within the capsule of the encapsulated packet from the network in which the encapsulated packet that encapsulates the packet is distributed. an input step of receiving an input of a header sample transfer packet in which an analysis header sample including an inner header is stored;
A conversion unit converts the format of the header sample transfer packet input in the input step into a format in which the outer header included in the analysis header sample is excluded from the header sample transfer packet, and the format is included in the analysis header sample. a converting step of storing correspondence information between the inner header and the excluded outer header;
a first output step in which a first output unit transfers the header sample transfer packet converted by the conversion unit to the first analysis device ;
a statistical analysis data generation step in which the statistical analysis data generation unit generates statistical analysis data based on the header sample transfer packets converted by the conversion unit obtained in a predetermined period;
a second output step in which a second output unit stores the statistical analysis data generated by the statistical analysis data generation unit in a statistical analysis data transfer packet and transfers the packet to the second analysis device; ,
and a correspondence information output step in which the correspondence information output unit outputs the correspondence information saved by the conversion unit to an output destination device of the analysis results of the first and second analysis devices. Format conversion method. コンピュータを、前記請求項1又は2に記載のフォーマット変換装置の各部として機能させるためのフォーマット変換プログラム。
3. A format conversion program for causing a computer to function as each part of the format conversion device according to claim 1 or 2 .
JP2019220134A 2019-12-05 2019-12-05 Format conversion device, method and program Active JP7294764B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019220134A JP7294764B2 (en) 2019-12-05 2019-12-05 Format conversion device, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019220134A JP7294764B2 (en) 2019-12-05 2019-12-05 Format conversion device, method and program

Publications (2)

Publication Number Publication Date
JP2021090161A JP2021090161A (en) 2021-06-10
JP7294764B2 true JP7294764B2 (en) 2023-06-20

Family

ID=76220498

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019220134A Active JP7294764B2 (en) 2019-12-05 2019-12-05 Format conversion device, method and program

Country Status (1)

Country Link
JP (1) JP7294764B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024024058A1 (en) * 2022-07-28 2024-02-01 日本電信電話株式会社 Analysis device, analysis method, analysis program, and analysis system
WO2024038523A1 (en) * 2022-08-17 2024-02-22 日本電信電話株式会社 Conversion device, conversion method, and conversion program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011239218A (en) 2010-05-11 2011-11-24 Hitachi Cable Ltd Network relay device, statistic information acquisition system, and statistic information acquisition method
JP2016508353A (en) 2013-01-10 2016-03-17 ネットフロー ロジック コーポレーション Improved streaming method and system for processing network metadata
WO2018066228A1 (en) 2016-10-06 2018-04-12 日本電信電話株式会社 Flow information analysis apparatus, flow information analysis method, and flow information analysis program
JP2019097069A (en) 2017-11-24 2019-06-20 日本電信電話株式会社 Format converter and format conversion program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011239218A (en) 2010-05-11 2011-11-24 Hitachi Cable Ltd Network relay device, statistic information acquisition system, and statistic information acquisition method
JP2016508353A (en) 2013-01-10 2016-03-17 ネットフロー ロジック コーポレーション Improved streaming method and system for processing network metadata
WO2018066228A1 (en) 2016-10-06 2018-04-12 日本電信電話株式会社 Flow information analysis apparatus, flow information analysis method, and flow information analysis program
JP2019097069A (en) 2017-11-24 2019-06-20 日本電信電話株式会社 Format converter and format conversion program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
林 裕平、他,ハッシュを用いたinner-outerヘッダ対応付け方式の設定値の一検討,電子情報通信学会2019年ソサイエティ大会 通信講演論文集2,日本,一般社団法人電子情報通信学会,2019年08月27日,P18

Also Published As

Publication number Publication date
JP2021090161A (en) 2021-06-10

Similar Documents

Publication Publication Date Title
CN111953604B (en) Method and device for providing business service for business flow
KR101694082B1 (en) Software-defined network overlay
US8751642B2 (en) Method and system for management of sampled traffic data
CN112702330B (en) Lightweight in-band network telemetry method and device for Overlay network and storage medium
US7974308B2 (en) Interworking circuit emulation service over packet and IP/MPLS packet processing
JP6571883B2 (en) Flow information analysis apparatus, flow information analysis method, and flow information analysis program
US20100125661A1 (en) Arrangement for monitoring performance of network connection
US8514723B2 (en) Traffic monitoring by lowest transmission layer marking
CN102694738B (en) Virtual private network (VPN) gateway and method for forwarding messages at VPN gateway
JP7294764B2 (en) Format conversion device, method and program
JP6699065B2 (en) Packet sampling to measure network performance
US20130329633A1 (en) System and method for transporting digital baseband streams in a network environment
US10523536B2 (en) Length control for packet header sampling
JP6290849B2 (en) Traffic analysis system and traffic analysis method
JP4823156B2 (en) Remote traffic monitoring method
CN113328915A (en) Associated network measuring method based on SRv6
Grayeli et al. Performance analysis of ipv6 transition mechanisms over mpls
Sookun et al. Performance analysis of IPv4/IPv6 transition techniques
CN114079674A (en) Data processing method, user plane function and device
CN113328956B (en) Message processing method and device
Narayan et al. Performance analysis of 4to6 and 6to4 transition mechanisms over point to point and IPSec VPN protocols
US8386600B2 (en) Performance monitoring of E-tree service
JP2006050433A (en) Traffic monitoring apparatus, communication network traffic monitoring system and monitoring method
EP1445896A1 (en) Provider connection system, packet exchange apparatus thereof, dns server, packet exchange method, and computer program thereof
JP3487551B2 (en) Monitor device, monitor method, and recording medium

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20191209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20191209

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230607

R150 Certificate of patent or registration of utility model

Ref document number: 7294764

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150