JP7444249B2 - テーブルエントリ数計測装置、方法、およびプログラム - Google Patents
テーブルエントリ数計測装置、方法、およびプログラム Download PDFInfo
- Publication number
- JP7444249B2 JP7444249B2 JP2022527267A JP2022527267A JP7444249B2 JP 7444249 B2 JP7444249 B2 JP 7444249B2 JP 2022527267 A JP2022527267 A JP 2022527267A JP 2022527267 A JP2022527267 A JP 2022527267A JP 7444249 B2 JP7444249 B2 JP 7444249B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- new
- detection
- detected
- received packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 23
- 238000001514 detection method Methods 0.000 claims description 74
- 238000013519 translation Methods 0.000 claims description 54
- 238000012545 processing Methods 0.000 claims description 29
- 238000004891 communication Methods 0.000 claims description 27
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 238000005259 measurement Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、アドレス変換テーブルのエントリ数を計測するためのテーブルエントリ数計測技術に関する。
NAT(Network Address Translation)やNAPT(Network Address and Port Translation)は、複数の通信網を跨いで通信する際に、任意のIPアドレスを別のIPアドレスに変換するアドレス変換処理技術であり、例えば、プライベートネットワークとパブリックネットワークを中継接続するゲートウェイなどのネットワーク機器で使われる(非特許文献1)。NATやNAPTでは、このようなアドレス変換を効率よく実行するため、NATテーブルやNAPAテーブルと呼ばれるアドレス変換テーブルを用いている。
このアドレス変換テーブルには、一方のネットワークで用いるIPアドレスと他方のネットワークで用いるIPアドレスとが、予め対応付けて登録されている。したがって、例えば、ネットワーク機器において、一方のアドレスを他方のアドレスに変換する際、一方のアドレスに基づきアドレス変換テーブルを検索して、一方のアドレスに対応付けられている他方のアドレスを特定している。
このようなアドレス変換テーブルは、例えばメモリリソースが有限である半導体メモリを用いて実現されており、アドレスを登録するためのエントリ数に上限がある。したがって、同時に多数の通信が行われた場合、登録すべきアドレスが増大してアドレス変換テーブルが枯渇し、新たな通信を開始できないことがある。このため、ネットワーク機器でのアドレス変換テーブルの枯渇を予見するには、アドレス変換テーブルの使用状況を定期的に監視する必要があるが、商用環境等ではサービスへの悪影響を避けるため、ネットワーク機器においてアドレス変換テーブルを外部から直接監視できないことがある。
P.Srisuresh,K.Egevang、RFC3022、「Traditional IP Network Address Translator(Traditional NAT)」、THE INTERNET SOCIETY and THE INTERNET ENGINEERING TASK FORCE、[online]、January 2001、[2020/05/07検索]、インターネット、<URL:https://www.rfc-editor.org/rfc/rfc3022.txt>
外部からアドレス変換テーブルを監視する最も簡単な方法は、テーブルエントリ数計測装置においてアドレス変換テーブルを模擬する方法である。この方法によれば、模擬結果に基づいてアドレス変換テーブルの使用状況をリアルタイムに把握することができるが、アドレス変換テーブルと同等の多くのメモリリソースが必要になる。また、商用のネットワーク機器の場合、テーブルのタイムアウト時間等のパラメータについては公表されているものの、NATやNAPTの詳細なアルゴリズムは公開されていないことが多く、テーブルエントリ数計測装置で正確に模擬することは難しい。
本発明はこのような課題を解決するためのものであり、アドレス変換テーブルを模擬するよりも、少ないメモリリソースでアドレス変換テーブルのエントリ数を外部から計測できるテーブルエントリ数計測技術を提供することを目的とする。
このような目的を達成するために、本発明にかかるテーブルエントリ数計測装置は、通信網との間でパケットを用いたデータ通信を行う網I/Fと、前記網I/Fを介して前記通信網から、ネットワーク機器でのアドレス変換処理の対象となるパケットを受信し、得られた受信パケットに基づき検出した新規フローを計数することにより、前記ネットワーク機器で用いるアドレス変換テーブルのエントリ数を計測する制御装置とを備え、前記制御装置は、前記受信パケットのヘッダから予め設定されているフィールド値を取得するように構成されたヘッダ解析部と、前記ヘッダ解析部で取得したフィールド値に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期内で新規に検出した新規フローを検出するように構成された新規フロー検出部と、前記新規フロー検出部で検出された前記新規フローのフロー数を前記周期ごとに計数するように構成されたフロー計数部とを備えている。
また、本発明にかかるテーブルエントリ数計測方法は、通信網との間でパケットを用いたデータ通信を行う網I/Fと、前記網I/Fを介して前記通信網から、ネットワーク機器でのアドレス変換処理の対象となるパケットを受信し、得られた受信パケットに基づき検出した新規フローを計数することにより、前記ネットワーク機器で用いるアドレス変換テーブルのエントリ数を計測する制御装置とを備えるテーブルエントリ数計測装置で用いられるテーブルエントリ数計測方法であって、前記制御装置が、前記受信パケットのヘッダから予め設定されているフィールド値を取得するように構成されたステップと、前記ヘッダ解析部で取得したフィールド値に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期内で新規に検出した新規フローを検出するように構成されたステップと、前記新規フロー検出部で検出された前記新規フローのフロー数を前記周期ごとに計数するように構成されたステップとを備えている。
また、本発明にかかるテーブルエントリ数計測プログラムは、コンピュータを、前述したテーブルエントリ数計測装置を構成する各部として機能させるためのプログラムである。
本発明によれば、アドレス変換テーブルを模擬するよりも、少ないメモリリソースで、NATやNAPTなどのアドレス変換処理で用いるアドレス変換テーブルのエントリ数を外部から計測することが可能となる。
次に、本発明の一実施の形態について図面を参照して説明する。
[テーブルエントリ数計測装置]
まず、図1を参照して、本実施の形態にかかるテーブルエントリ数計測装置10について説明する。図1は、テーブルエントリ数計測装置の構成を示すブロック図である。
[テーブルエントリ数計測装置]
まず、図1を参照して、本実施の形態にかかるテーブルエントリ数計測装置10について説明する。図1は、テーブルエントリ数計測装置の構成を示すブロック図である。
このテーブルエントリ数計測装置10は、ゲートウェイなどのネットワーク機器において、NATやNAPTなどのアドレス変換処理の対象となるパケットを、インターネットやLANなどの通信網NWから受信し、得られた受信パケットに基づき検出した新規フローを計数することにより、アドレス変換処理で用いるアドレス変換テーブルのエントリ数を計測する装置である。
なお、テーブルエントリ数計測装置10については、単体で構成してもよく、パケットに基づいてフロー数やコネクション数を計数することにより、ネットワークの通信状況を監視するネットワーク監視装置やネットワーク監視システムに実装してもよい。また、本発明の装置はコンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。
図1に示すように、テーブルエントリ数計測装置10は、主な構成として、網I/F11、操作入力装置12、画面表示装置13、記憶装置14、および制御装置15を備えている。
[網I/F11]
網I/F11は、通信網NWとの間でパケットを用いたデータ通信を行うように構成されている。
[操作入力装置]
操作入力装置12は、キーボード、マウス、タッチパネルなどの操作入力装置からなり、オペレータの操作を検出して制御装置15へ出力するように構成されている。
[画面表示装置]
画面表示装置13は、LCDなどの画面表示装置からなり、制御装置15から出力されたメニュー画面、設定画面、監視結果画面などの各種画面を表示するように構成されている。
網I/F11は、通信網NWとの間でパケットを用いたデータ通信を行うように構成されている。
[操作入力装置]
操作入力装置12は、キーボード、マウス、タッチパネルなどの操作入力装置からなり、オペレータの操作を検出して制御装置15へ出力するように構成されている。
[画面表示装置]
画面表示装置13は、LCDなどの画面表示装置からなり、制御装置15から出力されたメニュー画面、設定画面、監視結果画面などの各種画面を表示するように構成されている。
[記憶装置]
記憶装置14は、ハードディスクや半導体メモリなどの記憶装置からなり、制御装置15で実行する、アドレス変換テーブルのエントリ数計測処理に用いる処理データやプログラム14Pを記憶するように構成されている。
プログラム14Pは、制御装置15のCPUと協働することにより、エントリ数計測処理を実行する各種処理部を実現するためのプログラムである。プログラム14Pは、接続された外部装置や記録媒体から、予め読み出されて記憶装置14に格納される。
記憶装置14は、ハードディスクや半導体メモリなどの記憶装置からなり、制御装置15で実行する、アドレス変換テーブルのエントリ数計測処理に用いる処理データやプログラム14Pを記憶するように構成されている。
プログラム14Pは、制御装置15のCPUと協働することにより、エントリ数計測処理を実行する各種処理部を実現するためのプログラムである。プログラム14Pは、接続された外部装置や記録媒体から、予め読み出されて記憶装置14に格納される。
[制御装置]
制御装置15は、一般的なサーバ装置とFPGA(Field-Programable Gate Array)アクセラレータとの組み合わせから構成されている。FPGAアクセラレータを用いることで高速パケット処理を行えるため、40Gbps(Gigabits per second)や100Gbpsといった高速ネットワークにおけるトラフィック監視にも適用できる。一方、低速ネットワークにおいては高速パケット処理を必要としないため、すべての処理をソフトウェア実装したサーバ単体で構成することもできる。
制御装置15は、一般的なサーバ装置とFPGA(Field-Programable Gate Array)アクセラレータとの組み合わせから構成されている。FPGAアクセラレータを用いることで高速パケット処理を行えるため、40Gbps(Gigabits per second)や100Gbpsといった高速ネットワークにおけるトラフィック監視にも適用できる。一方、低速ネットワークにおいては高速パケット処理を必要としないため、すべての処理をソフトウェア実装したサーバ単体で構成することもできる。
以下では、制御装置15が、CPUとその周辺回路(FPGAアクセラレータを含む)を有し、記憶装置14のプログラム14Pを読み込んでCPUと協働させることにより、エントリ数計測処理を実行する各種処理部を実現するように構成されている場合を例として説明する。
制御装置15で実現される主な処理部として、パケット受信部15A、ヘッダ解析部15B、新規フロー検出部15C、フロー計数部15D、および初期化部15Eがある。
制御装置15で実現される主な処理部として、パケット受信部15A、ヘッダ解析部15B、新規フロー検出部15C、フロー計数部15D、および初期化部15Eがある。
[パケット受信部]
パケット受信部15Aは、網I/F11を介して通信網NWから、NATやNAPTなどの監視対象となるアドレス変換処理で扱うパケットを受信するように構成されている。パケット受信部15Aで受信するパケットは、テーブルエントリ数計測装置10に向けて送信されたパケットでもよいが、スイッチ、ルータ、ネットワークタップなどのネットワーク機器でコピー(キャプチャ)されたパケットであってもよい。
パケット受信部15Aは、網I/F11を介して通信網NWから、NATやNAPTなどの監視対象となるアドレス変換処理で扱うパケットを受信するように構成されている。パケット受信部15Aで受信するパケットは、テーブルエントリ数計測装置10に向けて送信されたパケットでもよいが、スイッチ、ルータ、ネットワークタップなどのネットワーク機器でコピー(キャプチャ)されたパケットであってもよい。
[ヘッダ解析部]
ヘッダ解析部15Bは、パケット受信部15Aで受信した受信パケットのヘッダから、予め指定されている1つまたは複数のフィールド値を抽出するように構成されている。
フローとは、パケットが属するグループを指し、送信元、送信先を特定するIPアドレスやポート番号などのフィールド値(識別子)が、何らかの共通項を持ったパケットの集合を指している。一般的には、フロー識別の際、MACアドレス、プロトコル、IPアドレス、ポート番号などのフィールド値が用いられる。特に、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルの組み合わせ(5-tuple)が、フロー識別によく利用される。また、仮想化ネットワークではVLAN IDやVXLAN IDなどのフィールド値を用いることもある。
ヘッダ解析部15Bは、パケット受信部15Aで受信した受信パケットのヘッダから、予め指定されている1つまたは複数のフィールド値を抽出するように構成されている。
フローとは、パケットが属するグループを指し、送信元、送信先を特定するIPアドレスやポート番号などのフィールド値(識別子)が、何らかの共通項を持ったパケットの集合を指している。一般的には、フロー識別の際、MACアドレス、プロトコル、IPアドレス、ポート番号などのフィールド値が用いられる。特に、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルの組み合わせ(5-tuple)が、フロー識別によく利用される。また、仮想化ネットワークではVLAN IDやVXLAN IDなどのフィールド値を用いることもある。
[新規フロー検出部]
新規フロー検出部15Cは、ヘッダ解析部15Bで得られたフィールド値に基づいて、通信方向を考慮しないフロー識別を行い、得られた識別結果に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期P内で新規に検出した新規フローを検出するように構成されている。新規フロー検出部15Cの詳細については後述する。
新規フロー検出部15Cは、ヘッダ解析部15Bで得られたフィールド値に基づいて、通信方向を考慮しないフロー識別を行い、得られた識別結果に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期P内で新規に検出した新規フローを検出するように構成されている。新規フロー検出部15Cの詳細については後述する。
[フロー計数部]
フロー計数部15Dは、新規フロー検出部15Cで得られた検出結果に基づいて、周期Pごとに新規フローを計数し、得られた計数結果を、監視対象となるアドレス変換処理で用いるアドレス変換テーブルのエントリ数として、画面表示装置13あるいは網I/F11を介して接続された上位装置(図示せず)へ出力するように構成されている。
フロー計数部15Dは、新規フロー検出部15Cで得られた検出結果に基づいて、周期Pごとに新規フローを計数し、得られた計数結果を、監視対象となるアドレス変換処理で用いるアドレス変換テーブルのエントリ数として、画面表示装置13あるいは網I/F11を介して接続された上位装置(図示せず)へ出力するように構成されている。
[初期化部]
初期化部15Eは、予め設定されている一定時間長の周期Pを計時し、周期Pの到来に応じて新規フロー検出部15Cおよびフロー計数部15Dに初期化を指示することにより、新規フロー検出部15Cおよびフロー計数部15Dで保持している検出結果や計数結果を初期化(リセット)するように構成されている。
初期化部15Eは、予め設定されている一定時間長の周期Pを計時し、周期Pの到来に応じて新規フロー検出部15Cおよびフロー計数部15Dに初期化を指示することにより、新規フロー検出部15Cおよびフロー計数部15Dで保持している検出結果や計数結果を初期化(リセット)するように構成されている。
[新規フローの検出および計数の詳細]
次に、図2を参照して、新規フロー検出部15Cおよびフロー計数部15Dの詳細について説明する。図2は、新規フロー検出部およびフロー計数部の詳細を示すブロック図である。
新規フロー検出部15Cは、新規フロー検出処理を実行する処理部として、フロー識別部21、フロー記憶部22、新規フロー判定部23を備えている。また、フロー計数部15Dは、新規フロー計数処理を実行する処理部として、フローカウンタ24を備えている。
次に、図2を参照して、新規フロー検出部15Cおよびフロー計数部15Dの詳細について説明する。図2は、新規フロー検出部およびフロー計数部の詳細を示すブロック図である。
新規フロー検出部15Cは、新規フロー検出処理を実行する処理部として、フロー識別部21、フロー記憶部22、新規フロー判定部23を備えている。また、フロー計数部15Dは、新規フロー計数処理を実行する処理部として、フローカウンタ24を備えている。
[フロー識別部]
フロー識別部21は、ヘッダ解析部15Bで得られた解析結果に含まれるフィールド値に基づいて、受信パケットが属するフローを識別し、得られた識別結果に基づいて、フロー記憶部22のアクセス先アドレスを決定するように構成されている。
フロー識別部21は、ヘッダ解析部15Bで得られた解析結果に含まれるフィールド値に基づいて、受信パケットが属するフローを識別し、得られた識別結果に基づいて、フロー記憶部22のアクセス先アドレスを決定するように構成されている。
フロー識別部21において、フロー識別は、上りの通信と下りの通信を区別する識別と、区別しない識別とのいずれかを行い、それぞれの識別は切り替えられるものとする。これらの識別は、MACアドレスやIPアドレス、ポート番号など、送信元と宛先の両方があるフィールド値について、送信元と宛先を区別するか否かで実現可能である。また、アクセス先アドレスは、例えば、ハッシュ関数を用いて決定すればよい。ハッシュ関数が出力したハッシュ値を検索キーとしてフロー記憶部22のアクセス先アドレスを決めることで高速な検索が可能であり、このような手法は一般的にハッシュ法と呼ばれている。
[フロー記憶部]
フロー記憶部22は、予め登録されているフローごとに、検出の有無を示す二値データ(0、1)からなる検出フラグを保持し、フロー識別部21で得られたアクセス先アドレスへのアクセスに応じて、対応する検出フラグを新規フロー判定部23へ出力し、新規フロー判定部23からの指示に応じて検出フラグを更新し、初期化部15Eからの初期化指示に応じて全フローの検出フラグを「0」に初期化するように構成されている。
フロー記憶部22は、予め登録されているフローごとに、検出の有無を示す二値データ(0、1)からなる検出フラグを保持し、フロー識別部21で得られたアクセス先アドレスへのアクセスに応じて、対応する検出フラグを新規フロー判定部23へ出力し、新規フロー判定部23からの指示に応じて検出フラグを更新し、初期化部15Eからの初期化指示に応じて全フローの検出フラグを「0」に初期化するように構成されている。
[新規フロー判定部]
新規フロー判定部23は、フロー記憶部22から出力された検出フラグに基づいて、受信パケットが属するフローが、周期Pにおいて始めて検出された新規フローか否かを判定し、検出フラグが「0」を示しており新規フローである判定した場合にのみ、フローカウンタ24に対して、カウント値のインクリメントを指示するとともに、フロー記憶部22の検出フラグを「1」に更新するように構成されている。これにより、検出フラグが「1」を示しており新規フローではないと判定した場合には、フローカウンタ24に対するインクリメント指示および検出フラグの更新は行われない。
新規フロー判定部23は、フロー記憶部22から出力された検出フラグに基づいて、受信パケットが属するフローが、周期Pにおいて始めて検出された新規フローか否かを判定し、検出フラグが「0」を示しており新規フローである判定した場合にのみ、フローカウンタ24に対して、カウント値のインクリメントを指示するとともに、フロー記憶部22の検出フラグを「1」に更新するように構成されている。これにより、検出フラグが「1」を示しており新規フローではないと判定した場合には、フローカウンタ24に対するインクリメント指示および検出フラグの更新は行われない。
[フローカウンタ]
フローカウンタ24は、新規フロー判定部23からのインクリメント指示に応じてカウント値をインクリメント(+1)し、初期化部15Eからの初期化指示に応じてカウント値を「0」に初期化するように構成されている。
フローカウンタ24は、新規フロー判定部23からのインクリメント指示に応じてカウント値をインクリメント(+1)し、初期化部15Eからの初期化指示に応じてカウント値を「0」に初期化するように構成されている。
[第1の実施の形態の動作]
次に、本実施の形態にかかるテーブルエントリ数計測装置10の動作について説明する。ここでは、新規フロー検出部15Cにおける新規フロー判定動作、フロー計数部15Dにおける新規フロー計数動作、制御装置15におけるエントリ数計測例およびエントリ数計測動作について、それぞれ個別に説明する。
次に、本実施の形態にかかるテーブルエントリ数計測装置10の動作について説明する。ここでは、新規フロー検出部15Cにおける新規フロー判定動作、フロー計数部15Dにおける新規フロー計数動作、制御装置15におけるエントリ数計測例およびエントリ数計測動作について、それぞれ個別に説明する。
[新規フロー判定動作]
まず、図3を参照して、新規フロー検出部15Cにおける新規フロー判定動作について説明する。図3は、新規フロー判定動作を示す説明図である。
まず、フロー識別部21によりアクセス先アドレスが決定されて、フロー記憶部22がアクセスされると、アクセス先アドレスに保持された検出フラグが新規フロー判定部23に出力される。
まず、図3を参照して、新規フロー検出部15Cにおける新規フロー判定動作について説明する。図3は、新規フロー判定動作を示す説明図である。
まず、フロー識別部21によりアクセス先アドレスが決定されて、フロー記憶部22がアクセスされると、アクセス先アドレスに保持された検出フラグが新規フロー判定部23に出力される。
フロー記憶部22から出力された検出フラグが「0」であった場合、新規フロー判定部23は、受信パケットが属するフローが新規フローであると判定し、フロー数カウント部16に対してカウント値のインクリメントを指示する。一方、検出フラグが「1」であった場合、新規フロー判定部23は、受信パケットが属するフローが検出済みフローであると判定し、フローカウンタ24に対するインクリメント指示および検出フラグの更新は行わない。この動作により、新規フローを検出したときだけ新規フローの数をカウントすることができる。
[新規フロー計数動作]
次に、図4を参照して、フロー計数部15Dにおける新規フロー計数動作について説明する。図4は、新規フロー計数動作を示す説明図であり、横軸が時間を示し、縦軸がカウント値を示している。
フロー計数部15Dは、新規フロー検出部15Cからインクリメント指示が出力された場合、フローカウンタ24のカウント値をインクリメント(+1)する。また、初期化部15Eから初期化指示があった場合、フローカウンタ24のカウント値を「0」にリセットする。
次に、図4を参照して、フロー計数部15Dにおける新規フロー計数動作について説明する。図4は、新規フロー計数動作を示す説明図であり、横軸が時間を示し、縦軸がカウント値を示している。
フロー計数部15Dは、新規フロー検出部15Cからインクリメント指示が出力された場合、フローカウンタ24のカウント値をインクリメント(+1)する。また、初期化部15Eから初期化指示があった場合、フローカウンタ24のカウント値を「0」にリセットする。
これにより、図4に示すように、周期Pの先頭からカウント値が単調に増加し、周期Pの満了時に「0」にリセットされる。このカウント値が新規フローの検出数を示しており、新規フローごとに監視対象のアドレス変換処理において、アドレス変換テーブルにアドレス対が登録される。このため、フローカウンタ24のカウント値が、アドレス変換テーブルのエントリ数を示すことになる。なお、前述したように、フロー記憶部22の検出フラグは、周期Pごとに全フローの検出フラグが初期化されるため、同一フローが異なる周期Pで検出された場合には、それぞれの周期Pごとに計数される。
[エントリ数計測例]
次に、図5を参照して、制御装置15におけるアドレス変換テーブルのエントリ数計測例について説明する。図5は、エントリ数計測例を示すタイミングチャートである。
以下では、制御装置15が、通信方向を区別しないフロー識別を行うものとし、周期Pは、監視対象となるアドレス変換処理で用いるアドレス変換テーブルのタイムアウト時間と同じ長さとする。
次に、図5を参照して、制御装置15におけるアドレス変換テーブルのエントリ数計測例について説明する。図5は、エントリ数計測例を示すタイミングチャートである。
以下では、制御装置15が、通信方向を区別しないフロー識別を行うものとし、周期Pは、監視対象となるアドレス変換処理で用いるアドレス変換テーブルのタイムアウト時間と同じ長さとする。
図5に示すように、NATやNAPTなどのアドレス変換処理は、パケットを受信した際にアドレス変換テーブルにアドレス変換用の情報を登録し(時刻T0、T3、T5)、それ以降、一定時間長のタイムアウト時間内にパケットが受信されない場合、アドレス変換テーブルから該当するアドレス対からなるエントリを削除する(時刻T2、T6、T8)。
一方、制御装置15は、アドレス変換テーブルと同様に、新規フローのパケットを受信した際にフロー数をカウントし(時刻T0、T3、T5)、得られたカウント値を周期Pの満了時点に設けた計測点まで保持する(時刻T1、T4、T7)。この周期Pの時間長をアドレス変換テーブルのタイムアウト時間と等しくすることで、タイムアウト時間が経過する前に計測点を迎えるため、カウント値はアドレス変換テーブルに保持されたエントリ数と同数になる。また、計測後はカウント値がリセットされるため、アドレス変換テーブルのエントリ削除にも対応できる。
また、周期Pをタイムアウト時間よりも短くした場合、アドレス変換テーブルに情報が登録されている間に2周期以上経過する場合がある。この場合、アドレス変換テーブルからエントリが削除されるよりも早くカウント値がリセットされるため、カウント値がエントリ数を正しく表していないケースが生じる。逆に、周期Pをタイムアウト時間よりも長くした場合、アドレス変換テーブルからエントリが削除されているにも関わらずカウント値がリセットされないことがあるため、この場合もカウント値がエントリ数を正しく表していないケースが生じる。なお、これらケースは、アプリケーションによっては誤差と考えてよい場合もある。
[エントリ数計測動作]
次に、図6を参照して、制御装置15におけるアドレス変換テーブルのエントリ数計測動作について説明する。図6は、エントリ数計測処理を示すフローチャートである。
制御装置15は、まず、予め設定されている一定時間長の周期Pが到来したか確認し(ステップS100)、周期Pが到来しておらず計数区間中である場合(ステップS100:YES)、後述のステップS103へ移行する。
次に、図6を参照して、制御装置15におけるアドレス変換テーブルのエントリ数計測動作について説明する。図6は、エントリ数計測処理を示すフローチャートである。
制御装置15は、まず、予め設定されている一定時間長の周期Pが到来したか確認し(ステップS100)、周期Pが到来しておらず計数区間中である場合(ステップS100:YES)、後述のステップS103へ移行する。
一方、周期Pが到来して計数区間が終了した場合(ステップS100:NO)、フロー計数部15Dで計数した新規フロー数を、監視対象となるアドレス変換処理で用いるアドレス変換テーブルのエントリ数として出力する(ステップS101)。これにより、アドレス変換テーブルのエントリ数が、画面表示装置13あるいは網I/F11を介して接続された上位装置(図示せず)へ出力される。
続いて、制御装置15は、初期化部15Eにより、新規フロー検出部15Cのフロー記憶部22と、フロー計数部15Dのフローカウンタ24のカウント値をリセットし(ステップS102)、後述のステップS103へ移行する。
制御装置15は、ステップS103において、パケット受信部15Aで新たなパケットが受信されているか確認し(ステップS103)、新たなパケットが受信されていない場合(ステップS103:NO)、前述したステップS100へ戻る。
制御装置15は、ステップS103において、パケット受信部15Aで新たなパケットが受信されているか確認し(ステップS103)、新たなパケットが受信されていない場合(ステップS103:NO)、前述したステップS100へ戻る。
一方、新たなパケットが受信されている場合(ステップS103:YES)、制御装置15は、ヘッダ解析部15Bにより、受信パケットのヘッダから予め指定されているフィールド値を抽出し(ステップS110)、新規フロー検出部15Cのフロー識別部21により、受信パケットが属するフローを識別して、新規フロー検出部15Cのフロー記憶部22のアクセス先アドレスを決定する(ステップS111)。
次に、制御装置15は、フロー識別部21で得られたアクセス先アドレスに基づきフロー記憶部22をアクセスすることにより、フロー記憶部22から、受信パケットが属するフローに関する検出フラグを取得する(ステップS112)。
次に、制御装置15は、フロー識別部21で得られたアクセス先アドレスに基づきフロー記憶部22をアクセスすることにより、フロー記憶部22から、受信パケットが属するフローに関する検出フラグを取得する(ステップS112)。
この後、制御装置15は、新規フロー検出部15Cの新規フロー判定部23で、フロー記憶部22から取得した検出フラグを確認し(ステップS113)、検出フラグが「1」を示す場合(ステップS113:NO)、受信パケットが属するフローは検出済みのフローであり、新規フローではないことから、前述したステップS100に戻る。
一方、検出フラグが「0」を示す場合(ステップS113:YES)、制御装置15は、新規フロー判定部23からのインクリメント指示により、フロー計数部15Dのフローカウンタ24でカウント値をインクリメントするとともに(ステップS114)、新規フロー判定部23により、フロー記憶部22の検出フラグを「1」に更新する(ステップS115)。
この後、制御装置15は、操作入力装置12で検出されたオペレータ操作や、予め設定されている計数動作終了時刻などに基づいて、計数動作終了タイミングか否か確認し(ステップS116)、計数動作を継続する場合(ステップS116:NO)、前述したステップS100に戻る。また、計数動作終了タイミングである場合(ステップS116:YES)、一連のエントリ数計測処理を終了する。
この後、制御装置15は、操作入力装置12で検出されたオペレータ操作や、予め設定されている計数動作終了時刻などに基づいて、計数動作終了タイミングか否か確認し(ステップS116)、計数動作を継続する場合(ステップS116:NO)、前述したステップS100に戻る。また、計数動作終了タイミングである場合(ステップS116:YES)、一連のエントリ数計測処理を終了する。
[本実施の形態の効果]
このように、本実施の形態は、制御装置15において、新規フロー検出部15Cが、ヘッダ解析部15Bで取得したフィールド値に基づいて、受信パケットが属するフローのうちから、一定時間長の周期P内で新規に検出した新規フローを検出し、フロー計数部15Dが、新規フロー検出部15Cで検出された新規フローのフロー数を周期Pごとに計数するようにしたものである。
このように、本実施の形態は、制御装置15において、新規フロー検出部15Cが、ヘッダ解析部15Bで取得したフィールド値に基づいて、受信パケットが属するフローのうちから、一定時間長の周期P内で新規に検出した新規フローを検出し、フロー計数部15Dが、新規フロー検出部15Cで検出された新規フローのフロー数を周期Pごとに計数するようにしたものである。
これにより、受信パケットが属するフローが新規であるか否かを、周期Pごとに保持しておくだけで、新規フローの検出および計数を正確に行うことができる。このため、少なくとも、一方のネットワークで用いるIPアドレスと他方のネットワークで用いるIPアドレスとを対応付けて登録する必要があるアドレス変換テーブルを模擬する場合と比較して、より少ないメモリリソースで、NATやNAPTなどのアドレス変換処理で用いるアドレス変換テーブルのエントリ数を、ゲートウェイなどのアドレス変換処理を実行するネットワーク機器の外部から計測することが可能となる。
また、本実施の形態において、新規フロー検出部15Cのうち、フロー識別部21が、ヘッダ解析部15Bで取得したフィールド値に基づいて受信パケットが属するフローを識別し、フロー記憶部22が、当該周期P内に検出されたフローに関する検出状況を記憶し、新規フロー判定部23が、フロー記憶部22で記憶する検出状況に基づいて、フロー識別部21で識別した受信パケットが属するフローが、新規フローであるか否かを判定するようにしてもよい。
より具体的には、フロー記憶部22が、検出状況として、フローに対応付けられたアドレスごとに、周期内に当該フローの検出有無を示す検出フラグを記憶し、フロー識別部21が、受信パケットのフィールド値に基づいて受信パケットが属するフローと対応するアドレスを決定し、新規フロー判定部23が、フロー識別部21で決定したアドレスに基づきフロー記憶部22から取得した検出フラグが検出なしを示す場合、フローが新規フローであると判定して、フロー記憶部22の検出フラグを検出ありに更新するようにしてもよい。
これにより、極めて簡素な回路構成または演算処理で新規フローを検出できる。したがって、FPGAアクセラレータなどの回路構成を用いた場合には、高速パケット処理が可能となるため、40Gbps(Gigabits per second)や100Gbpsといった高速ネットワークにおけるトラフィック監視にも適用できる。また、低速ネットワークにおいては高速パケット処理を必要としないため、ソフトウェア実装した演算処理で新規フローを容易に検出することが可能となる。
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
10…テーブルエントリ数計測装置、11…網I/F、12…操作入力装置、13…画面表示装置、14…記憶装置、15…制御装置、15A…パケット受信部、15B…ヘッダ解析部、15C…新規フロー検出部、15D…フロー計数部、15E…初期化部、21…フロー識別部、22…フロー記憶部、23…新規フロー判定部、24…フローカウンタ、NW…通信網。
Claims (4)
- 通信網との間でパケットを用いたデータ通信を行う網I/Fと、
前記網I/Fを介して前記通信網から、ネットワーク機器でのアドレス変換処理の対象となるパケットを受信し、得られた受信パケットに基づき検出した新規フローを計数することにより、前記ネットワーク機器で用いるアドレス変換テーブルのエントリ数を計測する制御装置とを備え、
前記制御装置は、
前記受信パケットのヘッダから予め設定されているフィールド値を取得するように構成されたヘッダ解析部と、
前記ヘッダ解析部で取得したフィールド値に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期内で新規に検出した新規フローを検出するように構成された新規フロー検出部と、
前記新規フロー検出部で検出された前記新規フローのフロー数を前記周期ごとに計数するように構成されたフロー計数部とを備え、
前記新規フロー検出部は、
前記ヘッダ解析部で取得したフィールド値に基づいて前記受信パケットが属するフローを識別するように構成されたフロー識別部と、
前記周期ごとに、当該周期内に検出されたフローに関する検出状況を記憶するように構成されたフロー記憶部と、
前記フロー記憶部で記憶する前記検出状況に基づいて、前記フロー識別部で識別した前記受信パケットが属するフローが、前記新規フローであるか否かを判定する新規フロー判定部と
を備え
前記フロー記憶部は、前記検出状況として、前記フローに対応付けられたアドレスごとに、前記周期内に当該フローの検出有無を示す検出フラグを記憶し、
前記フロー識別部は、前記受信パケットのフィールド値のハッシュ値に基づいて前記受信パケットが属するフローと対応するアドレスを決定し、
前記新規フロー判定部は、前記フロー識別部で決定した前記アドレスに基づき前記フロー記憶部から取得した前記検出フラグが検出なしを示す場合、前記フローが新規フローであると判定して、前記フロー記憶部の前記検出フラグを検出ありに更新する
ことを特徴とするテーブルエントリ数計測装置。 - 請求項1に記載のテーブルエントリ数計測装置において、
前記制御装置は、前記周期ごとに、前記新規フロー検出部の検出状況と前記フロー計数部のフロー数を初期化する初期化部をさらに備えることを特徴とするテーブルエントリ数計測装置。 - 通信網との間でパケットを用いたデータ通信を行う網I/Fと、前記網I/Fを介して前記通信網から、ネットワーク機器でのアドレス変換処理の対象となるパケットを受信し、得られた受信パケットに基づき検出した新規フローを計数することにより、前記ネットワーク機器で用いるアドレス変換テーブルのエントリ数を計測する制御装置とを備えるテーブルエントリ数計測装置で用いられるテーブルエントリ数計測方法であって、
前記制御装置が、
前記受信パケットのヘッダから予め設定されているフィールド値を取得するステップと、
前記取得されたフィールド値に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期内で新規に検出した新規フローを検出するステップと、
前記検出された前記新規フローのフロー数を前記周期ごとに計数するステップと
を実行し、
前記新規フローを検出するステップは、
前記取得されたフィールド値に基づいて前記受信パケットが属するフローを識別するように構成されたフロー識別ステップと、
前記周期ごとに、当該周期内に検出されたフローに関する検出状況を記憶するように構成されたフロー記憶ステップと、
前記フロー記憶ステップで記憶する前記検出状況に基づいて、前記フロー識別ステップで識別した前記受信パケットが属するフローが、前記新規フローであるか否かを判定する新規フロー判定ステップと
を備え
前記フロー記憶ステップは、前記検出状況として、前記フローに対応付けられたアドレスごとに、前記周期内に当該フローの検出有無を示す検出フラグを記憶し、
前記フロー識別ステップは、前記受信パケットのフィールド値のハッシュ値に基づいて前記受信パケットが属するフローと対応するアドレスを決定し、
前記新規フロー判定ステップは、前記フロー識別ステップで決定した前記アドレスに基づき前記フロー記憶ステップで取得した前記検出フラグが検出なしを示す場合、前記フローが新規フローであると判定して、前記検出フラグを検出ありに更新する
ことを特徴とするテーブルエントリ数計測方法。 - コンピュータを、請求項1または請求項2に記載のテーブルエントリ数計測装置を構成する各部として機能させるためのテーブルエントリ数計測プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/020498 WO2021240585A1 (ja) | 2020-05-25 | 2020-05-25 | テーブルエントリ数計測装置、方法、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021240585A1 JPWO2021240585A1 (ja) | 2021-12-02 |
| JP7444249B2 true JP7444249B2 (ja) | 2024-03-06 |
Family
ID=78723139
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022527267A Active JP7444249B2 (ja) | 2020-05-25 | 2020-05-25 | テーブルエントリ数計測装置、方法、およびプログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7444249B2 (ja) |
| WO (1) | WO2021240585A1 (ja) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013017055A (ja) | 2011-07-04 | 2013-01-24 | Nippon Telegr & Teleph Corp <Ntt> | 同時フロー数変動量推定方法及び装置 |
-
2020
- 2020-05-25 WO PCT/JP2020/020498 patent/WO2021240585A1/ja active Application Filing
- 2020-05-25 JP JP2022527267A patent/JP7444249B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013017055A (ja) | 2011-07-04 | 2013-01-24 | Nippon Telegr & Teleph Corp <Ntt> | 同時フロー数変動量推定方法及び装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021240585A1 (ja) | 2021-12-02 |
| JPWO2021240585A1 (ja) | 2021-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2562438C2 (ru) | Сетевая система и способ управления сетью | |
| US9094309B2 (en) | Detecting transparent network communication interception appliances | |
| US11696110B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain | |
| DK2869495T3 (en) | Node de-duplication in a network monitoring system | |
| US20150249666A1 (en) | Communication device and communication control method in communication device | |
| US11528252B2 (en) | Network device identification with randomized media access control identifiers | |
| WO2019159833A1 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
| US11245712B2 (en) | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code | |
| JP2022515990A (ja) | 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 | |
| JP7444249B2 (ja) | テーブルエントリ数計測装置、方法、およびプログラム | |
| CN113098776B (zh) | 一种网络拓扑的确定方法、装置、设备及存储介质 | |
| JP2016092485A (ja) | 情報処理システム、管理装置及び情報処理システムの制御方法 | |
| KR101984478B1 (ko) | Sdn 기반의 동적 네트워크 트래픽 분석을 통한 데이터 전송 경로 결정 방법 및 장치 | |
| KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
| Manzanares‐Lopez et al. | A virtualized infrastructure to offer network mapping functionality in SDN networks | |
| KR100920528B1 (ko) | Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템 | |
| JP7120030B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
| KR101940482B1 (ko) | Tcp/ip 헤더 및 http 쿠키에 기반한 nat 내부 호스트 식별 장치 및 방법 | |
| KR100550012B1 (ko) | 고속의 패킷 포워딩을 위한 주소 번역 프로토콜 테이블관리방법 및 관리장치 | |
| JP7164140B2 (ja) | 通信解析装置、通信解析方法およびプログラム | |
| KR102089417B1 (ko) | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 | |
| JP7414149B2 (ja) | コネクション数計測装置、方法、およびプログラム | |
| WO2021240586A1 (ja) | コネクション数計測装置、コネクション状態検出装置、コネクション状態検出方法、およびコネクション数計測プログラム | |
| JP2018110359A (ja) | 仮想マシン管理プログラム、仮想マシン管理装置および仮想マシン管理方法 | |
| Wang et al. | A Survey on the Classic Active Measurement Methods for IPv6 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220825 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230822 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231023 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240123 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240205 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7444249 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |