WO2016125247A1 - 監視システム及びパケットの監視方法 - Google Patents
監視システム及びパケットの監視方法 Download PDFInfo
- Publication number
- WO2016125247A1 WO2016125247A1 PCT/JP2015/052939 JP2015052939W WO2016125247A1 WO 2016125247 A1 WO2016125247 A1 WO 2016125247A1 JP 2015052939 W JP2015052939 W JP 2015052939W WO 2016125247 A1 WO2016125247 A1 WO 2016125247A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- group
- packet
- information
- communication
- communication device
- Prior art date
Links
Images
Definitions
- the present invention relates to a method and a computer system for collecting information from a communication device and a computer system and monitoring traffic passing through the communication device and the computer system.
- a data center that provides a cloud service or the like accommodates a large number of users (or tenants) at one base, and virtualizes the network in the data center using L3 overlay technology such as VXLAN (Virtual eXtended LAN).
- L3 overlay technology such as VXLAN (Virtual eXtended LAN).
- a user network a logically divided network (hereinafter referred to as a user network) can be provided to each user.
- the user network may be constructed across not only one data center but also a plurality of data centers for the purpose of DR (Disaster Recovery) and the like.
- a telecommunications carrier that provides a network between data centers monitors the traffic of packets transferred over the network, and determines the addition of facilities and a communication path for transferring packets.
- the communication carrier periodically acquires management information (MIB: Management Information Base) such as a communication amount of a packet transferred by the communication apparatus from the communication apparatus and monitors the management information.
- MIB Management Information Base
- the granularity of information contained in the acquired MIB is coarse, and it is possible to obtain only the communication amount in units classified into groups such as communication path units, and it is impossible to grasp the communication amount in the user network unit.
- all or part of the packets passing through the communication device are sent to the monitoring device, and the monitoring device analyzes the packet to obtain the identifier of the user network, and monitors it.
- a method to do this is conceivable.
- Non-Patent Document 1 traffic passing through a network such as a LAN switch or a router is monitored, and information regarding the traffic is received, and traffic information is received. SFlow collector to be analyzed.
- a communication device having an sFlow agent acquires a packet passing through the communication device at a preset sampling interval (1 packet in 256 packets, etc.), and sends the acquired packet (referred to as a sample packet) to the monitoring device. To do.
- the monitoring device can estimate the amount of communication for each user network by analyzing the identifier of the user network included in the sample packet.
- Patent Document 1 discloses a technique in which a communication apparatus automatically sets a sampling interval so as to suppress a load below a predetermined level (paragraph 0028).
- the communication device can set the sampling interval to be long by the technique disclosed in Patent Document 1, and the load on the CPU of the communication device can be suppressed to a predetermined level or less.
- the present invention has been made in view of the above problems, and provides a monitoring device and a monitoring method capable of reducing errors in estimation information obtained from sample packets of a communication device even when the sampling interval of the communication device is long.
- the purpose is to provide.
- a monitoring system comprising: a monitoring device including a processor and a memory; and a communication device connected to the monitoring device to transfer a packet, wherein the monitoring device monitors the traffic of the packet, the communication device A packet transfer unit for transferring the packet in units of groups based on a group classification rule in which a group for transferring the packets is set in advance, and a group for measuring the communication amount of the packets in units of groups as the communication amount by group A separate information management unit, and a sampling unit that duplicates the packet to be transferred and transmits the sample packet as a sample packet to the monitoring device when a predetermined condition is satisfied, and the monitoring device has the cycle set in advance.
- a group that acquires the communication volume by group and the group classification rule from a communication device and stores them in the information by group An information acquisition unit; a sample packet acquisition unit that receives the sample packet and stores the sample packet in the sample packet information; classifies the sample packet information into the group according to the group classification rule; A group-by-group information estimation unit that calculates the amount as an estimated communication amount and stores it in the group-specific estimation information, and the estimated communication amount of the group-specific estimation information and the group of the group-specific information within a period according to the period And an analysis unit that calculates an estimation error from a ratio of another communication amount.
- FIG. 1 is a block diagram illustrating an example of a configuration of a monitoring device or the like that monitors a traffic according to a first embodiment of this invention. It is a figure which shows the 1st Example of this invention and shows an example of the integration information according to group. It is a figure which shows the 1st Example of this invention and shows an example of a group classification rule. It is a figure which shows the 1st Example of this invention and shows an example of information according to group. It is a flowchart which shows a 1st Example of this invention and shows an example of the process in which the information acquisition function according to group updates the information according to group.
- the monitoring device is intended to monitor the traffic of packets for each user network.
- the information is not limited to the user network, but cannot be obtained by group unit information such as MIB, such as an application.
- the purpose may be to monitor the amount of communication and the number of packets for each type.
- each function of the monitoring device may exist in a physically different device.
- the user network is a logically divided network that virtualizes a network such as a data center by using an L3 overlay technology such as VXLAN and provides it to each user.
- a router that interconnects an IP (Internet Protocol) network and an MPLS (Multi Protocol Labeling Switch) network is assumed as the communication device 200, and the router has a communication amount in a label unit included in an MPLS header as a MIB.
- the information is not limited to the MPLS label, but may be group-unit information (communication amount, number of transfer packets) according to a predetermined classification rule.
- FIG. 1 is a block diagram showing an example of a computer system that monitors traffic.
- a communication device 200 a monitoring device 100, and a management terminal 12 are connected via a communication network 300.
- the computer system of this embodiment functions as a monitoring system in which the monitoring device 100 monitors the communication amount of the communication device 200.
- the communication apparatus 200 includes a monitoring IF (interface) 202, a reception IF 204, a transmission IF 206, a packet transfer function 210, a group-specific information management function 220, and a sampling function 230.
- the group-specific integration information D210, The group classification rule D220 is stored.
- the reception IF 204 receives the packet 400 from the IP network 310 and passes the packet to the sampling function 230 and the transfer function 210.
- the packet 400 includes a user network identifier 422 in the payload 420 as illustrated.
- the user network identifier 422 includes a value that identifies the group to which the user belongs. For example, in the case of VXLAN, the user network identifier 422 is set in the VXLAN header in the payload 420 as VNI (Virtual Network Identifier). Note that the user network identifier 422 may be information that identifies traffic.
- the sampling function 230 determines whether or not the packet 400 is an acquisition target according to a predetermined sampling interval. When it is determined that the packet 400 is an acquisition target, the sampling function 230 copies the packet 400. Then, the sampling function 230 generates the sample packet 600 by truncating the duplicated packet 400 into a predetermined size and adding a sample header. The sampling function 230 transmits the generated sample packet 600 from the monitoring IF 202 to the sample packet acquisition function 120 of the monitoring apparatus 100. The configuration of the sample packet will be described later.
- the sampling function 230 is a function of the above-described sFlow agent, and a known or well-known technique may be applied.
- the packet transfer function 210 adds an MPLS header 510 including an appropriate label 512 to the packet 400 according to the contents of the packet 400 and the group classification rule D220, and generates and transmits the packet 500 to be input to the MPLS network 320. Pass to IF206.
- the group classification rule D220 stores a combination of the destination IP address D222 and the label D224.
- the packet transfer function 210 searches the group classification rule D220 using the destination IP address of the IP header 410 included in the packet 400 as a key, and determines the corresponding label D224.
- the packet transfer function 210 sets the determined label D224 to the label 512 of the MPLS header 510, and generates an MPLS packet 500.
- the packet transfer function 210 is a function possessed by a known or well-known MPLS router.
- the transmission IF 206 transmits the packet 500 to the MPLS network 320.
- the group classification rule D220 is information in which a destination IP address D222 of a user constituting a user group is associated with a label D224. One user group is assigned one or more labels D224. One label D224 is included in one user group.
- the group-specific information management function 220 For each packet 512 transferred by the packet transfer function 210, the group-specific information management function 220 sets the integrated value of the size excluding the MPLS header 510 of the transferred packet 500 to the group-specific integrated information D210 for each label 512 of the MPLS header 510. Accumulate.
- the packet size is integrated by, for example, the number of bytes.
- the group-specific information management function 220 responds with the group-specific integrated information D210 and the group classification rule D220 via the monitoring IF 202 in response to a request from the group-specific information acquisition function 130 of the monitoring apparatus 100.
- the group-specific information management function 220 is an MIB management function that the MPLS router has, and a known or well-known technique may be adopted.
- the monitoring apparatus 100 includes a transmission / reception IF 102, a sample packet acquisition function 120, a group-specific information acquisition function 130, a group-specific information estimation function 140, and an analysis function 150.
- the group-specific information acquisition function 130 acquires the group-specific integrated information D210 from the group-specific information management function 220 of the communication apparatus 200 at regular intervals (for example, every five minutes), and information on the group-specific information D120 Update.
- the update process of the group-specific information D120 will be described with reference to FIG.
- the sample packet acquisition function 120 receives the sample packet sent by the sampling function 230 of the communication device 200 and updates the sample packet information D130.
- the method for receiving the sample packet is a known or well-known technique, and for example, an sFlow collector may be employed.
- the group-specific information estimation function 140 acquires the group classification rule D220 from the group-specific information management function 220 of the communication device 200 in advance or periodically (for example, every hour) and stores it as the group classification rule D110.
- the function of acquiring the group classification rule D220 is a function of the SNMP manager, and a known or well-known technique may be used.
- the group-specific information estimation function 140 updates the value of the label D139 of the sample packet information D130 according to the group classification rule D110 stored in the monitoring apparatus 100. Further, the group-specific information estimation function 140 estimates the traffic for each label 512 and each user network identifier in the measurement period stored in the group-specific information D120 based on the sample packet information D130, and updates the group-specific estimation information D140. . This update process will be described with reference to FIG.
- the analysis function 150 of the monitoring apparatus 100 compares the communication amount stored in the group-specific information D120 with the estimated communication amount held in the group-specific estimation information D140, and calculates an error in the communication amount for each label 512. Then, the value of the corrected communication amount D147 of the group-specific estimation information D140 is set. This processing of the analysis function 150 will be described with reference to FIG.
- the analysis function 150 may have a function of responding to the value of the corrected communication amount 147 in response to a request from the management terminal 12.
- An example of processing for responding to a request from the management terminal 12 will be described with reference to FIG. 11, and an example of a screen displayed on the administrator 10 will be described with reference to FIG.
- the management terminal 12 provides an input / output function such as a display and a keyboard (not shown) to the administrator 10 and has a function of acquiring and displaying information from the analysis function 150 of the monitoring device 100.
- the management terminal 12 is a general-purpose computer or a personal computer on which a known or well-known Web browser operates.
- FIG. 2 is a block diagram showing a physical configuration of the electronic computer 1 constituting the monitoring device 100 and the management terminal 12.
- the electronic computer 1 executes a program, inputs a processor H201 that realizes each processing function, a memory device H202 that temporarily stores a program to be executed and data, and external instructions and information. Or, an input / output device H203 for outputting calculation results and the like, a disk device H204 that stores programs, instructions or information, etc., and is used as a data storage unit, and exchanges data and commands with external devices.
- the external communication line H207 is included in the communication network 300, for example.
- the input / output device H203 includes an input unit such as a keyboard and a pointing device, and an output unit such as a display.
- the program may be stored in advance in the memory device H202 or the disk device H204 in the electronic computer 1, a storage medium that can be used by the electronic computer when necessary, a removable storage medium, or a communication It may be introduced from other devices via a medium (network or carrier wave or digital signal propagating through the network).
- processing contents of each processing function are realized by reading a program stored in the disk device H204 into the memory device H202, and reading and executing the program by the processor H201.
- the function units of the sample packet acquisition function 120, the group-specific information acquisition function 130, the group-specific information estimation function 140, and the analysis function 150 respectively acquire sample packets.
- a program, a group-specific information acquisition program, a group-specific information estimation program, and an analysis program are loaded into the memory device H202.
- the processor H201 operates as a functional unit that provides a predetermined function by processing according to a program of each functional unit. For example, the processor H201 provides the sample packet acquisition function 120 by performing processing according to the sample packet acquisition program. The same applies to other programs. Furthermore, the processor H201 also operates as a function unit that provides each function of a plurality of processes executed by each program.
- a computer and a computer system are an apparatus and a system including these functional units.
- Information such as a program and a table for realizing each function of the electronic computer 1 includes a disk device H204, a nonvolatile semiconductor memory, a storage subsystem, a storage device such as an SSD (Solid State Drive), or an IC card, an SD card, a DVD Etc., and can be stored in a computer readable non-transitory data storage medium.
- a disk device H204 a nonvolatile semiconductor memory
- a storage subsystem such as an SSD (Solid State Drive), or an IC card, an SD card, a DVD Etc.
- the transmission / reception IF 102 of the monitoring device 100 is included in the communication control device H205 of the electronic computer 1.
- the monitoring IF 202, the reception IF 204, and the transmission IF 206 are included in the communication control device H205.
- FIG. 3A and 3B show an example of a table configuration of the group classification rule D220 and the group-specific integration information D210 stored in the communication device 200.
- FIG. 3A is a diagram illustrating an example of the group-by-group integration information D210.
- FIG. 3B is a diagram illustrating an example of the group classification rule D220.
- the 3B has a destination IP address D222 and a label D224 as items.
- the destination IP address D222 stores an IP address indicating the destination of the packet 400.
- the label D224 stores the label 512 of the MPLS network 320 corresponding to the destination IP address D222.
- the group classification rule D220 is set in advance by the management terminal 12 operated by the administrator 10.
- the group-by-group integration information D210 includes, as items, a label D212 and a communication amount D214.
- a label 512 in the MPLS network 320 is stored in the label D212.
- the communication amount D214 stores the communication amount of the label D212, for example, in the number of bytes.
- labels D212 and 512 indicate an example corresponding to a group of users, and the user group is managed as a tenant, for example.
- the group-specific integrated information D210 is set by the group-specific information management function 220. Specifically, the group-specific information management function 220 acquires the size and label 512 of the packet 500 transferred by the packet transfer function 210, excluding the MPLS header 510, and uses the label 512 as a key for the group-specific integration information D210. The acquired size is added to the communication amount D214 of the record of the label D212 to be performed. In this embodiment, the packet capacity is indicated by the number of bytes as the communication amount D214.
- the communication apparatus 200 sets the label D224 corresponding to the destination IP address D222 in the label 512 of the MPLS header 510 according to the group classification rule D220, and outputs the label 512 to the MPLS network 320. Then, the communication apparatus 200 integrates the communication amount D126 for each label D224 output to the MPLS network 320, and updates the group-by-group integration information D210.
- the group-by-group integration information D210 can be updated every time the packet transfer function 210 transfers the packet 400, and the group-by-group information management function 220 can integrate the communication amount D126 to update the group-by-group integration information D210.
- FIG. 4 shows an example of the configuration of the group-specific information D120 managed by the monitoring apparatus 100.
- the group-specific information D120 includes, as items, a measurement period D122, a label D124, and a communication amount D126.
- the time at which traffic measurement is started and the time at which traffic measurement is ended are stored.
- a label 512 obtained by measuring traffic is stored in the label D124.
- the communication amount D126 stores the measured communication amount of the packet as the number of bytes.
- the group-specific information D120 is set by the group-specific information acquisition function 130.
- the measurement period D122 is a combination of a start time and an end time, and may be stored in a UNIX time format, for example.
- FIG. 5 is a flowchart illustrating an example of processing in which the group-specific information acquisition function 130 sets the group-specific information D120.
- the group-specific information acquisition function 130 determines whether or not a predetermined time T1 (for example, 5 minutes) has elapsed (F110), and when the predetermined time T1 has elapsed (YES in F110), the processing after step F120 is performed. Proceed to processing.
- a predetermined time T1 for example, 5 minutes
- the group-specific information acquisition function 130 acquires the group-specific integrated information D210 from the group-specific information management function 220 of the communication device 200 via the communication network 300, and stores the acquired time as the acquisition time (F120).
- a known or well-known technique may be adopted as a method for acquiring the group-by-group integration information D210.
- the group-by-group integration information D210 is stored as an MIB and acquired by SNMP (Simple Network Management Protocol).
- the group-by-group information acquisition function 130 determines whether or not the group-by-group integration information D210 is set in the previous process and the acquisition time is stored in the previous process (F130).
- step F160 Is acquired as the previous acquisition time, and the acquired group-specific integrated information D210 is stored as the previous group-specific integrated information D210 (F160).
- the group-specific information acquisition function 130 sets the previous acquisition time as the start time of the measurement period D122, and ends.
- the current acquisition time is set as the time.
- the group-by-group information acquisition function 130 adds the difference between the communication amount D214 of the previous group-by-group integration information D210 and the communication amount D214 of the current group-by-group integration information D210 to the record for each label D124 as the communication amount D126. Then, the group-specific information D120 is updated (F140).
- the group-specific information acquisition function 130 deletes the record from the group-specific information D120 to reduce the storage area. (F150).
- the group-by-group information acquisition function 130 of the monitoring device 100 acquires the group-by-group integration information D210 from the communication device 200 every time the predetermined time T1 is reached. Then, the group-specific information acquisition function 130 calculates the communication amount D126 for each measurement period D122 and label D124 from the difference between the previous acquisition and the current acquisition, and updates the group-specific information D120. In addition, the group-specific information acquisition function 130 suppresses an increase in the storage area used in the memory device H202 by deleting a record that includes the start time at which the predetermined time T2 has elapsed in the measurement period D122.
- FIG. 7 shows an example of the configuration of the sample packet 600.
- the sample packet 600 includes an original packet 620 obtained by copying the packet 400 sampled by the sampling function 230 of the communication device 200 under a predetermined condition (for example, the number of packets) and truncating the packet 400 to a predetermined size, and a sample provided by the sampling function 230 And a header 610.
- a predetermined condition for example, the number of packets
- the sample header 610 includes a measurement time 612, a sampling interval 614, a size 616 of the original packet 400, and a communication device identifier 618 that uniquely identifies the communication device 200 that is the sample packet transmission source.
- the measurement time 612 indicates the time when the sampling function 230 generates the sample packet 600.
- the sampling interval 614 is a value set in advance in the sampling function 230 of the communication apparatus 200. In the first embodiment, an example in which the interval of the number of packets to be sampled is 4096 is shown.
- the size 616 of the packet 400 stores the size of the packet 400 acquired by the sampling function 230 in bytes. Note that the size of the packet 400 may be a size excluding the IP header 410.
- the original packet 620 includes the destination IP address 412 in the IP header 410 acquired from the packet 400 of the copy source, and the user network identifier 422 in the IP payload 420.
- the configuration of the sample packet 600 is a configuration when the IP packet is sampled by sFlow, and a known or well-known configuration can be adopted.
- the sample packet acquisition function 120 of the monitoring apparatus 100 acquires values of the measurement time 612, the sampling interval 614, the size 616, the destination IP address 412 and the user network identifier 422, and sets them in the sample packet information D130.
- FIG. 6 shows an example of the configuration of the sample packet information D130 managed by the monitoring apparatus 100.
- the sample packet information D130 includes, as items, a measurement time D131, a sampling interval D132, a size D133, a destination IP address D134, a user network identifier D135, and a label D136.
- the sample packet 600 generated by the sampling function 230 of the communication apparatus 200 is acquired by the sample packet acquisition function 120 of the monitoring apparatus 100, and the sample packet acquisition function 120 is based on the contents of the sample packet 600. Set.
- the measurement time 612 of the sample header 610 of the sample packet 600 is set.
- the sampling interval D132 the sampling interval 614 of the sample header 610 is set.
- the size D133 the size 616 of the sample header 610 is set.
- the destination IP address D134 a value extracted from the IP header 410 of the original packet 620 is set.
- the user network identifier D135 the user network identifier 422 of the payload 420 of the original packet 620 is set.
- the label D136 is set by the group-specific information estimation function 140 based on the group-specific estimation information D140.
- FIG. 8 shows an example of the configuration of the group-specific estimation information D140 managed by the monitoring apparatus 100.
- the group-specific estimation information D140 includes, as items, a measurement period D141, a label D142, a user network identifier D143, an intra-period communication amount D144, an estimated communication amount D145, an estimation error D146, and a corrected communication amount D147. Have.
- the time when the communication device 200 starts measuring traffic and the time when it ends (or a value corresponding to the time) are stored.
- the label D142 stores a label 512 obtained by measuring traffic.
- the user network identifier D143 stores the user network identifier 422 of the user who measured the traffic.
- the communication amount of a packet communicated from the start to the end time of the measurement period D141 is stored as the number of bytes.
- the estimated communication amount D145 a value obtained by multiplying the intra-period communication amount D144 by the sampling interval D132 is set.
- the estimation error D146 a value calculated by the group-specific information estimation function 140 as described later is set.
- the corrected communication amount D147 the communication amount obtained by correcting the estimated communication amount D145 by the estimation error D146 by the group-specific information estimation function 140 is set.
- FIG. 9 is a flowchart showing an example of processing in which the group-specific information estimation function 140 sets the group-specific estimation information D140.
- the group-specific information estimation function 140 of the monitoring device 100 starts processing when the group-specific information acquisition function 130 updates the group-specific information D120 (YES in F210).
- the group-specific information estimation function 140 adds a record to the group-specific estimation information D140 with the measurement period D122 of the updated group-specific information D120 as the measurement period D141 (F220).
- the group-specific information estimation function 140 acquires a corresponding label D224 from the group classification rule D110 using the destination IP address D134 as a key for a record in which the label D136 of the sample packet information D130 is not set, and stores the label D136 in the sample packet information D130.
- Set (F230) The group-specific information estimation function 140 acquires a corresponding label D224 from the group classification rule D110 using the destination IP address D134 as a key for a record in which the label D136 of the sample packet information D130 is not set, and stores the label D136 in the sample packet information D130.
- the group-specific information estimation function 140 calculates the sum of the size D133 for each label D142 and user network identifier D143 for the record including the measurement time D131 of the sample packet information D130 included in the measurement period D141 of the group-specific estimation information D140. .
- the group-specific information estimation function 140 sets the calculated sum as the intra-period communication amount D144 corresponding to the label D142 and the user network identifier D143. Then, the group-by-group information estimation function 140 sets the total sum of values obtained by multiplying the size D133 of the sample packet information D130 by the sampling interval D132 as the estimated communication amount D145 (F240).
- the group-by-group information estimation function 140 calculates a value obtained by multiplying the size D133 by 4096, and the sum total for each user network identifier D135 is used as the estimated communication amount D145. calculate.
- the group-specific information estimation function 140 deletes the record including the measurement time D131 of the sample packet information D130 for which the predetermined time T3 has elapsed after the processing (F240) from the sample packet information D130 in order to reduce the storage area. (F250).
- the group-by-group information estimation function 140 of the monitoring apparatus 100 records the records of the measurement period D122 and the label D124 updated or added by the group-by-group information D120 every time the group-by-group information D120 is updated. Add to or update the estimation information D140.
- the group-specific information estimation function 140 estimates the intra-period traffic D144 for each user network identifier D135 from the sample packet information D130 at the measurement time D131 included in the measurement period D141 of the record added or updated to the group-specific estimation information D140.
- the communication amount D145 can be calculated. Thereby, the measurement period D141 to the estimated communication amount D145 of the group-specific estimation information D140 are set.
- the group-specific information estimation function 140 suppresses an increase in the storage area used in the memory device H202 by deleting the record including the measurement time D131 when the predetermined time T3 has elapsed from the sample packet information D130.
- FIG. 10 is a flowchart illustrating an example of processing in which the analysis function 150 sets the estimation error D146 of the group-specific estimation information D140 and the corrected communication amount D147.
- the analysis function 150 starts processing when the group-specific information estimation function 140 updates the group-specific estimation information D140 (YES in F310).
- the analysis function 150 calculates the sum of the estimated communication amount D145 for each label D142 for the updated or added record of the group-specific estimation information D140 (hereinafter referred to as an update record) and sets it as the label unit estimated communication amount (F320). .
- the analysis function 150 acquires the communication amount D126 of the label D124 of the record including the same measurement period D122 as the update record in the group-specific information D120 as the label-unit actual communication amount.
- the analysis function 150 sets the ratio between the label unit estimated communication amount and the label unit actual communication amount to the estimation error D146 (F330).
- the estimation error D146 is a value obtained by dividing the label unit estimated communication amount by the label unit actual communication amount (communication amount D126).
- the analysis function 150 calculates the corrected communication amount D147 based on the estimated communication amount D145 and the estimation error D146 of the same record.
- the corrected communication amount D147 is, for example, a value obtained by dividing the estimated communication amount D145 by the estimation error D146. (F340).
- the label 512 (D124) of the MPLS network 320 is associated with the user group, and the communication device 200 that measures the communication amount D126 for each label D124 duplicates the packet 400 for each predetermined number of packets.
- the sample packet 600 is transmitted to the monitoring apparatus 100.
- the monitoring apparatus 100 searches the group classification rule D110 using the destination IP address 412 of the sample packet 600 as a key, acquires the label D224, and estimates it as the label of the sample packet 600.
- the monitoring apparatus 100 calculates the sum of the estimated communication amount D145 for each estimated label D136 as the label unit estimated communication amount, and acquires the communication amount D126 for each label D124 of the communication device 200 as the label unit actual communication amount.
- the monitoring apparatus 100 calculates an estimation error D146 from the label unit estimated communication amount / label unit actual communication amount.
- the monitoring apparatus 100 corrects the estimated communication amount D145 for each user network identifier D143 with the estimated error D146.
- the sampling interval of the communication device 200 is long, it is possible to reduce the error of the estimated communication amount D145 for each user network identifier D143 obtained from the sample packet 600 of the communication device 200. Moreover, since it is not necessary to shorten the sampling interval of the communication apparatus 200, the load on the communication apparatus 200 can be suppressed.
- FIG. 11 is a sequence showing an example of processing when the management terminal 12 operated by the administrator 10 requests the analysis function 150 of the monitoring apparatus 100 for the communication amount in units of users and acquires the result according to the request.
- FIG. 11 For example, when the user network identifier of the management terminal 12 operated by the administrator 10 is “410”, the communication status from 3 minutes before to the current time will be described.
- the administrator 10 inputs to the management terminal 12 the user identifier “410” as an analysis target user, 3 minutes before the current time as the analysis start time, and the current time as the analysis end time.
- the management terminal 12 makes an HTTP (Hyper Text Transfer Protocol) request including a user network identifier (target identifier) and a set of the start time and end time (target period) based on the information input by the administrator 10. It is generated as an acquisition request (F410).
- HTTP Hyper Text Transfer Protocol
- the management terminal 12 transmits the acquisition request to the analysis function 150 of the monitoring apparatus 100 via the communication network 300 (F420).
- the analysis function 150 includes a function as an HTTP server. When the acquisition request is received, the analysis function 150 acquires the user network identifier to be analyzed and the analysis target period included in the acquisition request (F430).
- the analysis function 150 selects, as the analysis target record, a record including the measurement period D141 belonging to the analysis target period and the same user network identifier D143 as the analysis target user network identifier in the group-specific estimation information D140 (F440). .
- the analysis function 150 creates an HTTP response including the measurement period D141 of the analysis target record, the corrected communication amount D147, and the label D142 (F450), and responds to the management terminal 12 that is the acquisition request source (F460).
- the management terminal 12 receives the response from the monitoring device 100 (F470), and based on the measurement period, the corrected communication amount, and the label included in the response, the management terminal 12 determines the corrected communication amount for each label in the measurement period of the input / output device H203. Display on the screen (F480).
- the management terminal 12 may store the communication path for each label in advance and display the communication path on the screen based on the received label (F490).
- the function of drawing a screen based on the HTTP response may be a function of a known or publicly known web browser.
- FIG. 12 is an example of a screen that the management terminal 12 displays on the administrator 10 based on a response from the analysis function 150.
- the screen V100 of the input / output device H203 of the management terminal 12 includes a user network identifier V102 (410), a communication amount (estimated communication amount D145) V110, and a communication path V120 set in advance according to the label.
- the communication amount V110 is, for example, a line graph, the horizontal axis V114 indicates time, and the vertical axis V112 indicates the communication amount in each measurement period.
- the graph may be displayed for each label.
- the communication path V120 is indicated by a map indicating the communication path, for example.
- the communication path V120 is determined in advance for each label, and the management terminal 12 stores the communication path V120 for each label in advance and displays an image diagram of the path according to the label included in the response.
- the management terminal 12 operated by the administrator 10 can obtain the communication amount for each user with the error corrected for the traffic passing through the communication device 200 in the specified period. .
- the telecommunications carrier to which the administrator 10 belongs can grasp the post-correction communication amount D147 and the communication path for each user network identifier, thereby realizing the actual management of the communication amount in finer units.
- the utilization efficiency of 320 can be increased.
- the management terminal 12 can specify the affected user (user network identifier) or service based on the corrected communication amount D147.
- the management terminal 12 can specify the user (user network identifier) that is the cause of the failure based on the corrected communication amount D147.
- Example 2 is an example in which the packet size measurement target measured by the sampling function 230 differs from the communication amount measurement target measured by the group-specific integration information D210, depending on the model or vendor of the communication apparatus 200.
- the group-by-group integration information D210 measures and stores the size including the IP header for the packet, but the value measured by the sampling function 230 as the size 616 of the sample header 610 depends on the model of the communication device 200. This is an embodiment in the case of a size including a header, a size not including a part of the IP header, or a size of only a payload not including the IP header.
- the packet size is adjusted by the sample packet acquisition function 120B of the monitoring device 100 when the measurement of the group integration information D210 and the definition of the packet size handled by the sampling function 230 are different.
- FIG. 13 is a block diagram illustrating an example of the configuration of the monitoring apparatus according to the second embodiment.
- the monitoring device 100B adds communication device information D150 to the monitoring device 100 of the first embodiment, and includes a sample packet acquisition function 120B instead of the sample packet acquisition function 120.
- Other configurations are the same as those of the first embodiment shown in FIG.
- FIG. 14 shows an example of a table configuration of the communication device information D150.
- the communication device information D150 is set in advance by the management terminal 12 operated by the administrator 10 or the like, and includes a communication device identifier D152 and a size change process D154 as items.
- the communication device identifier D152 is an identifier that uniquely identifies the communication device 200.
- the size change process D154 is a process necessary to match the measurement target with the communication amount D126 stored in the group-specific information D120, and the size 616 included in the sample packet 600 transmitted by the communication apparatus 200 with the communication apparatus identifier D152. Show. In the illustrated example, the data length to be added (added) to the size 616 of the sample packet 600 is stored in the size changing process D154.
- FIG. 15 is a flowchart showing an example of processing in which the sample packet acquisition function 120B updates the sample packet information D130. This process is executed every time the monitoring apparatus 100B receives the sample packet 600.
- the sample packet acquisition function 120B acquires the sample packet 600 from the communication device 200 (F510)
- the sample packet acquisition function 120B executes the processing after step F520.
- the sample packet acquisition function 120B acquires the measurement time 612, the sampling interval 614, the size 616, the destination IP address 412, and the user network identifier 422 included in the sample packet 600, and sets them in the sample packet information D130 (F520). Note that the processing of step F510 and step F520 is the same as the processing of the sample packet acquisition function 120 shown in FIGS. 6 and 7 of the first embodiment.
- the sample packet acquisition function 120B acquires the communication device identifier 618 included in the sample packet 600, and selects the corresponding size change processing D154 from the communication device information D150 using the communication device identifier 618 as a key (F530). If the size change process D154 is “add header length” (YES in F540), the sample packet acquisition function 120B examines the original packet 620 included in the sample packet, measures the length of the header (F560), The header length is added to the size D133 of the sample packet information D130 (F570).
- step F540 determines whether the size change processing D154 is “X byte added (X is a numerical value)” (YES in F550).
- the sample packet acquisition function 120B sets the size D133 of the sample packet information D130.
- the designated value X is added (F580).
- step F550 determines whether the size D133 of the sample packet information D130 is not changed.
- the measurement target that the sampling function 230 of the communication device 200 sets as the packet size is different from the measurement target when the group-specific information management function 220 measures the communication amount D214.
- the sample packet acquisition function 120B can appropriately correct the size of the sample packet 600 in accordance with the specification of the communication apparatus 200. Thereby, even when the sampling interval of the communication apparatus 200 is long as in the first embodiment, the error of the estimated communication amount D145 for each user network identifier D143 obtained from the sample packet 600 of the communication apparatus 200 can be reduced. It becomes possible.
- the size change information for correcting the size of the sample packet 600 calculated as the estimated communication amount D145 according to the size of the packet in the label unit used in the group-by-group integration information D210 is communication device information. Set to D150. Then, when calculating the estimated communication amount D145 from the sample packet 600, the size of the sample packet 600 is corrected based on the size change information corresponding to the identifier of the communication device 200.
- the third embodiment is different from the communication device 200I having the sampling function 230 and the communication device 200M-3 that accumulates the group-by-group integration information D210.
- the monitoring device 100C acquires information from each communication device and monitors the traffic. An example is shown.
- FIG. 16A is a block diagram illustrating the third embodiment and illustrating an example of a computer system that performs traffic monitoring.
- the communication device 200I connected to the IP network 310 and the MPLS network 320 has a configuration in which the group-by-group integration information D210 shown in the first embodiment is deleted.
- Other functions of the communication device 200I are the same as those of the communication device 200 of the first embodiment.
- the MPLS network 320 includes communication devices 200M-1, 200M-2, and 200M-3. Note that the generic name of the communication devices 200M-1 to 200M-3 is represented by reference numeral 210M.
- FIG. 16B is a block diagram illustrating an example of the communication apparatus 200M according to the third embodiment. As illustrated in FIG. 16B, the communication device 200M includes a packet transfer function 210M instead of the packet transfer function 210 included in the communication device 200 of the first embodiment.
- the packet transfer function 210M receives the MPLS packet 500 via the reception IF 204, rewrites the MPLS label 512 in accordance with a predetermined rule, and transmits it from the transmission IF 206.
- the communication device 200M does not include the sampling function 230 shown in the first embodiment.
- the other functions of the communication device 200M are the same as those of the communication device 200 of the first embodiment.
- the packet transfer function 210M for rewriting the MPLS label 512 is a function included in the MPLS router, and a well-known or publicly known technique can be adopted.
- the monitoring device 100C acquires the sample packet 600 from the communication device 200I and acquires the group-by-group integration information D210 from the communication device 200M-3.
- the monitoring device 100C includes a group-specific information estimation function 140C instead of the group-specific information estimation function 140 of the first embodiment, and stores label conversion information D160 and device connection information D170.
- Other configurations of the monitoring device 100C are the same as those of the monitoring device 100 of the first embodiment.
- FIG. 17A is a diagram showing an example of the configuration of the label conversion information D160.
- the label conversion information D160 includes, as items, a communication device identifier D162, a pre-conversion label D164, and a post-conversion label D166.
- Each record has a rule (label conversion) in which the communication device 200M constituting the MPLS network 320 rewrites the MPLS label 512. Rules).
- the communication device identifiers D162 of the communication devices 200I, 200M-1, 200M-2, and 200M-3 in FIG. 16 are 10, 100, 200, and 300, respectively, in the example of FIG.
- the label 512 is rewritten to 20 and transmitted
- the label is rewritten to 40 and transmitted.
- the label conversion information D160 may be manually set in advance by the administrator 10 from the management terminal 12, or the communication device identifier D162 and label from each communication device 200 at predetermined intervals determined in advance by the group-specific information estimation function 140C.
- a conversion rule may be acquired. Acquisition of the label conversion rule from each communication device 200 can be realized by SNMP, for example, and a known or well-known technique can be employed.
- FIG. 17B is a diagram showing an example of the configuration of the device connection information D170.
- the device connection information D170 is a matrix indicating a connection state between the communication device identifiers D162 for each of the communication devices 200I, 200M-1, 200M-2, and 200M-3.
- the communication device identifier is included in the vertical axis D172 and the horizontal axis D174 and the communication devices are connected to each other, the value of the intersection of the vertical axis D172 and the horizontal axis D174 is indicated by “1”.
- the communication device 200-I (10) and the communication device 200M-1 (100) are connected, the communication device 200M-1 (100) and the communication device 200M-2 (200) are connected, It shows that the communication device 200M-2 (200) and the communication device 200M-3 (300) are connected to each other.
- This information is set in advance by the administrator 10 from the management terminal 12.
- FIG. 18 is a flowchart illustrating an example of processing in which the group-specific information estimation function 140C sets the label D136 of the sample packet information D130.
- This process is a process performed in place of step F230 shown in FIG. 9 of the first embodiment.
- the group-by-group information estimation function 140C obtains a corresponding label from the group classification rule D110 in FIG. 3B using the destination IP address D134 of the sample packet information D130 in FIG. A label before conversion is set (F610).
- the group-specific information estimation function 140C sets the communication device 200 (transmission source) that transmitted the sample packet 600 as a target device (F620).
- the sample packet 600 is a packet in which the label D136 is estimated.
- the group-specific information estimation function 140C refers to the communication device connection information D170, acquires the communication device identifier to which the target device is connected, and sets it as a new target device (F630).
- the group-specific information estimation function 140C searches the label conversion information D160 for a record that includes the communication device identifier of the new target device in the communication device identifier D162, and includes the same value as the pre-conversion label in the pre-conversion label D164.
- the label D166 is determined (F640).
- the target device is the communication device 200 that has acquired the group integration information D210 (the target device is the communication device 200M-3 in the third embodiment) (YES in F650)
- the group-specific information estimation function 140C The value of label D166 is set to label D136 of sample packet information D130 (F660).
- the group-specific information estimation function 140C sets the post-conversion label determined in step F640 as the pre-conversion label (F670), and proceeds to step F630. Go back and do the above reason.
- the communication device identifier of the communication device 200I that has transmitted the sample packet 600 and the communication device 200M-3 that has acquired the group-by-group integration information D210 is acquired from the communication device 200 in advance, or the administrator 10 manages the management terminal. 12 is set manually.
- the communication device 200I that is the transmission source of the sample packet 600 is different from the communication device 200M-3 that has acquired the group integration information D210, the monitoring device 100C In the communication device 200M-3 that has acquired the integration information D210, the label to which the sample packet 600 belongs can be specified, and traffic monitoring can be realized as in the first embodiment.
- an example in which a packet transferred by the communication apparatus 200 in units of groups is identified by a label 512.
- the present invention is not limited to a label, and a group such as a tag or the like is used. May be identified.
- the sample packet 600 may be generated when a predetermined condition is satisfied.
- the predetermined condition the time and the destination IP address may be combined, or the time and the user network identifier D135 may be combined.
- the predetermined condition may be when a sampling request from the monitoring apparatus 100 is received.
- the user network identifier 422 includes a value that identifies the group to which the user belongs.
- the user network identifier 422 may be an identifier that identifies traffic.
- VNI is adopted as the user network identifier 422 for identifying a user group that uses the MPLS network 320
- the present invention is not limited to this, and any information that can identify a user group may be used.
- each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit.
- each of the above-described configurations, functions, and the like may be realized by software by the processor interpreting and executing a program that realizes each function.
- Information such as programs, tables, and files that realize each function can be stored in a memory, a hard disk, a recording device such as an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD.
- control lines and information lines indicate what is considered necessary for the explanation, and not all the control lines and information lines on the product are necessarily shown. Actually, it may be considered that almost all the components are connected to each other.
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
監視装置に接続されてパケットを転送する通信装置を有し、通信装置は、前記パケットを転送するグループを予め設定したグループ分類規則に基づいてグループ単位で前記パケットを転送し、前記グループ単位のパケットの通信量を前記グループ別通信量として測定し、所定の条件が成立したときにパケットを複製したサンプルパケットを監視装置へ送信し、前記監視装置は、サンプルパケットを受信してサンプルパケット情報に格納し、所定の周期で通信装置のグループ別通信量およびグループ分類規則を取得し、グループ分類規則に従ってサンプルパケット情報をグループに分類し、サンプルパケット情報からグループ単位の通信量を推定通信量として演算し、当該グループ別推定情報の推定通信量とグループ別通信量の比から推定誤差を演算する。
Description
本発明は、通信装置及び計算機システムから情報を収集して通信装置及び計算機システムを通過するトラフィックを監視する方法及び計算機システムに関する。
近年、クラウドサービスなどを提供するデータセンタでは、1つの拠点で多数のユーザ(またはテナント)を収容し、データセンタ内のネットワークをVXLAN(Virtual eXtended LAN)などのL3オーバレイ技術により仮想化する。この仮想化によって、各ユーザへ論理的に分割されたネットワーク(以下、ユーザネットワークと呼称)を提供することができる。上記ユーザネットワークは、DR(Disaster Recovery)などを目的とし、1つのデータセンタ内だけでなく、複数のデータセンタに跨って構築されることもある。
一方、データセンタ間のネットワークを提供する通信事業者は、ネットワークで転送されるパケットの通信量を監視し、設備の増設や、パケットを転送する通信経路を決定する。例えば、通信事業者は、通信装置が転送するパケットの通信量などの管理情報(MIB:Management Information Base)を、通信装置から定期的に取得して、監視する。しかし、取得したMIBに含まれる情報の粒度は粗く、通信経路単位などのグループに分類した単位での通信量しか得ることできず、前記のユーザネットワーク単位での通信量を把握できない。
ユーザネットワーク単位で通信量を把握するためには、通信装置を通過するパケットについて、その全てまたは一部を監視装置に送出し、監視装置がパケットを解析してユーザネットワークの識別子を取得し、監視する手法が考えられる。
例えば、非特許文献1にて開示されるsFlow(登録商標)では、LANスイッチやルータなどのネットワークを通過するトラフィックをモニターして、トラフィックに関する情報を送信するsFlowエージェントと、トラフィック情報を受信して解析するsFlowコレクタとを含む。sFlowエージェントを有する通信装置が、通信装置を通過するパケットについて、予め設定されたサンプリング間隔(256パケットに1パケット等)でパケットを取得し、取得したパケット(サンプルパケットと呼ばれる)を監視装置に送出する。監視装置は、サンプルパケットに含まれるユーザネットワークの識別子を解析することで、ユーザネットワーク単位で通信量を推定することができる。
しかし、このサンプルパケットの送出処理は通信装置のCPUに負荷がかかる。このため、通信量が多くなるとサンプリングが高頻度で行われてしまい、通信装置のCPUが高負荷となる、という問題があった。そこで特許文献1では、負荷を所定の水準以下に抑えるように、通信装置が自動的にサンプリング間隔を設定する技術が開示されている(段落0028)。
IETF RFC3176(2001年9月 発行)
通信量が多い場合では、前記特許文献1で開示される技術により通信装置はサンプリング間隔を長く設定し、通信装置のCPUにかかる負荷を所定の水準以下に抑えることができる。
しかしながら、サンプリング間隔を長く設定すると、サンプルパケットから推定されるサンプリング前の通信量(推定通信量)と、本来の通信量との間の誤差が大きくなる、という問題があった。
本発明は上記問題を鑑みて成されたものであり、通信装置のサンプリング間隔が長い場合でも、通信装置のサンプルパケットから得られる推定情報の誤差を低減することが可能な監視装置及び監視方法を提供することを目的とする。
プロセッサとメモリとを含む監視装置と、前記監視装置に接続されてパケットを転送する通信装置と、を有し、前記監視装置が前記パケットの通信量を監視する監視システムであって、前記通信装置は、前記パケットを転送するグループを予め設定したグループ分類規則に基づいて、グループ単位で前記パケットを転送するパケット転送部と、前記グループ単位のパケットの通信量を前記グループ別通信量として測定するグループ別情報管理部と、所定の条件が成立したときに前記転送するパケットを複製してサンプルパケットとして前記監視装置へ送信するサンプリング部と、を有し、前記監視装置は、予め設定した周期で前記通信装置から前記グループ別通信量と、前記グループ分類規則を取得してグループ別情報に格納するグループ別情報取得部と、前記サンプルパケットを受信してサンプルパケット情報に格納するサンプルパケット取得部と、前記グループ分類規則に従って前記サンプルパケット情報を前記グループに分類し、前記サンプルパケット情報から前記グループ単位の通信量を推定通信量として演算し、グループ別推定情報に格納するグループ別情報推定部と、前記周期に応じた期間内で、前記グループ別推定情報の推定通信量と、前記グループ別情報の前記グループ別通信量の比から推定誤差を演算する解析部と、を有する。
本発明によれば、サンプルパケットから推定するユーザ(ユーザネットワーク識別子)単位の通信量について、誤差を低減することができる。
本明細書において開示される主題の、少なくとも一つの実施の詳細は、添付されている図面と以下の記述の中で述べられる。開示される主題のその他の特徴、態様、効果は、以下の開示、図面、請求項により明らかにされる。
以下、本実施例について図面を用いて説明する。なお、以下の各実施例では、監視装置がユーザネットワーク毎のパケットの通信量を監視することを目的とするが、ユーザネットワークに限らず、MIBなどのグループ単位の情報では取得できない情報、例えばアプリケーション種別毎の通信量やパケット数の監視を目的としても良い。また、監視装置の各機能を1つの装置に含む例を説明するが、各機能は物理的に異なる装置に存在しても良い。
なお、ユーザネットワークは、前述したとおり、データセンタ等のネットワークをVXLANなどのL3オーバレイ技術により仮想化し、各ユーザへ提供する論理的に分割されたネットワークである。
本実施例1は、通信装置200としてIP(Internet Protocol)ネットワークと、MPLS(Multi Protocol Labeling Switch)ネットワークを相互接続するルータを想定し、当該ルータはMIBとしてMPLSヘッダが有するラベル単位の通信量を記憶することを想定する。ただし、MPLSのラベルに限らず、既定の分類規則に従ったグループ単位の情報(通信量、転送パケット数)であっても良い。
図1は、トラフィックを監視する計算機システムの一例を示すブロック図である。計算機システムは、通信装置200と、監視装置100と、管理端末12が通信ネットワーク300を介して接続される。なお、本実施例の計算機システムは、監視装置100が通信装置200の通信量を監視する監視システムとして機能する。
通信装置200は、監視用IF(インタフェース)202と、受信IF204と、送信IF206と、パケット転送機能210と、グループ別情報管理機能220と、サンプリング機能230とを含み、グループ別積算情報D210と、グループ分類規則D220を記憶する。
受信IF204は、IPネットワーク310からパケット400を受信し、サンプリング機能230と、転送機能210とに、当該パケットを渡す。なお、パケット400は、図示のように、ペイロード420にユーザネットワーク識別子422を含む。ユーザネットワーク識別子422は、ユーザが所属するグループを特定する値を含み、例えばVXLANであればVNI(Virtual Network Identifier)としてペイロード420内のVXLANヘッダに設定される。なお、ユーザネットワーク識別子422は、トラフィックを特定する情報であればよい。
サンプリング機能230は、所定のサンプリング間隔に従って該パケット400が取得対象であるか否かを判断する。パケット400が取得対象であると判断した場合、サンプリング機能230は、当該パケット400を複製する。そして、サンプリング機能230は、複製したパケット400を所定のサイズに切り詰め、サンプルヘッダを付与してサンプルパケット600を生成する。サンプリング機能230は、生成したサンプルパケット600を監視用IF202から、監視装置100のサンプルパケット取得機能120に送信する。サンプルパケットの構成については後述する。サンプリング機能230については、上述したsFlowエージェントが有する機能であり、公知または周知の技術を適用すればよい。
パケット転送機能210は、パケット400の内容と、グループ分類規則D220とに応じて、適切なラベル512を含むMPLSヘッダ510をパケット400に付与し、MPLSネットワーク320へ投入するパケット500を生成して送信IF206に渡す。
例えば、グループ分類規則D220は、宛先IPアドレスD222とラベルD224の組み合わせを格納する。パケット転送機能210はパケット400に含まれるIPヘッダ410の宛先IPアドレスをキーとしてグループ分類規則D220を検索し、対応するラベルD224を決定する。
そして、パケット転送機能210は、決定したラベルD224をMPLSヘッダ510のラベル512に設定してMPLSのパケット500を生成する。なお、パケット転送機能210は、公知または周知のMPLSルータが有する機能である。送信IF206は、パケット500をMPLSネットワーク320に送信する。
グループ分類規則D220は、ユーザグループを構成するユーザの宛先IPアドレスD222と、ラベルD224を対応付けた情報である。なお、ひとつのユーザグループには1以上のラベルD224が割り当てられる。また、ひとつのラベルD224は、ひとつのユーザグループに含まれる。
グループ別情報管理機能220は、パケット転送機能210が転送するパケット500について、MPLSヘッダ510のラベル512毎に、転送したパケット500のMPLSヘッダ510を除くサイズの積算値を、グループ別積算情報D210に積算する。パケットのサイズは、例えば、バイト数で積算される。
また、グループ別情報管理機能220は、監視装置100のグループ別情報取得機能130からの要求に応じて、グループ別積算情報D210と、グループ分類規則D220とを、監視用IF202を介して応答する。グループ別情報管理機能220は、MPLSルータが有するMIB管理機能であり、公知または周知の技術を採用すれば良い。
監視装置100は、送受信IF102と、サンプルパケット取得機能120と、グループ別情報取得機能130と、グループ別情報推定機能140と、解析機能150とを含み、グループ分類規則D110と、グループ別情報D120と、サンプルパケット情報D130と、グループ別推定情報D140とを有する。
グループ別情報取得機能130は、予め定められた間隔で定期的(例えば、5分ごと)に通信装置200のグループ別情報管理機能220からグループ別積算情報D210を取得し、グループ別情報D120の情報を更新する。なお、グループ別情報D120の更新処理については図5で説明する。
サンプルパケット取得機能120は、通信装置200のサンプリング機能230が送出したサンプルパケットを受信してサンプルパケット情報D130を更新する。サンプルパケットを受信する手法は公知または周知の技術であり、例えばsFlowコレクタを採用すればよい。
グループ別情報推定機能140は、通信装置200のグループ別情報管理機能220から、予めまたは定期的(例えば1時間毎)にグループ分類規則D220を取得し、グループ分類規則D110として記憶する。グループ分類規則D220を取得する機能はSNMPマネージャが有する機能であり、公知または周知の技術を用いればよい。
また、グループ別情報推定機能140は、監視装置100に記憶されたグループ分類規則D110に従い、サンプルパケット情報D130のラベルD139の値を更新する。さらに、グループ別情報推定機能140は、サンプルパケット情報D130に基づき、グループ別情報D120が記憶する計測期間におけるラベル512毎、ユーザネットワーク識別子毎の通信量を推定し、グループ別推定情報D140を更新する。本更新処理については図9で説明する。
監視装置100の解析機能150は、グループ別情報D120が記憶する通信量と、グループ別推定情報D140が保持している推定通信量とを比較して、ラベル512毎の通信量の誤差を算出し、グループ別推定情報D140の補正後通信量D147の値を設定する。解析機能150の本処理については図10で説明する。
解析機能150は、補正後通信量147の値を、管理端末12からの要求に応じて応答する機能を有しても良い。管理端末12からの要求に応答する処理の例は図11で説明し、管理者10に表示される画面の例は図12で説明する。
管理端末12は、管理者10に対して図示しないディスプレイやキーボードなどの入出力機能を提供し、監視装置100の解析機能150から情報を取得して表示する機能を有する。例えば、管理端末12は公知または周知のWebブラウザが稼働する汎用コンピュータまたはパーソナルコンピュータである。
図2は、監視装置100や管理端末12を構成する電子計算機1の物理的構成を示すブロック図である。本実施例1の電子計算機1は、プログラムを実行し、各処理機能を実現するプロセッサH201と、実行するプログラムやデータを一時的に保持するメモリ装置H202と、外部からの指示や情報を入力し、または演算結果などを出力するための入出力装置H203と、プログラムや、指示あるいは情報等を格納し、データの記憶部として使用されるディスク装置H204と、外部装置とのデータやコマンドの送受信を制御する通信制御装置H205と、電子計算機1の内部でデータ等の送受信を行うためのバスなどの内部通信線H206と、電子計算機1の内部と外部装置とのデータを送受信するための外部通信回線H207を有する。なお、外部通信回線H207は、例えば、通信ネットワーク300に含まれる。また、入出力装置H203は、キーボードやポインティングデバイスなどの入力部と、ディスプレイ等の出力部を含む。
上記プログラムは予め、電子計算機1内のメモリ装置H202またはディスク装置H204に格納されていても良いし、必要なときに上記電子計算機が利用可能な記憶媒体、あるいは着脱可能な記憶媒体、あるいは、通信媒体(ネットワーク、または、ネットワークを伝播する搬送波またはデジタル信号)を介して他の装置から、導入されてもよい。
また、各処理機能の処理内容は、ディスク装置H204に格納されているプログラムをメモリ装置H202に読み込んで、プロセッサH201が読み出して実行することにより、具現化されるものである。
例えば、電子計算機1を監視装置100として利用する場合、サンプルパケット取得機能120と、グループ別情報取得機能130と、グループ別情報推定機能140と、解析機能150の各機能部は、それぞれサンプルパケット取得プログラムと、グループ別情報取得プログラムと、グループ別情報推定プログラムと、解析プログラムとしてメモリ装置H202にロードされる。
プロセッサH201は、各機能部のプログラムに従って処理することによって、所定の機能を提供する機能部として稼働する。例えば、プロセッサH201は、サンプルパケット取得プログラムに従って処理することでサンプルパケット取得機能120を提供する。他のプログラムについても同様である。さらに、プロセッサH201は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。
電子計算機1の各機能を実現するプログラム、テーブル等の情報は、ディスク装置H204や不揮発性半導体メモリ、ストレージサブシステム、SSD(Solid State Drive)等の記憶デバイス、または、ICカード、SDカード、DVD等の計算機読み取り可能な非一時的データ記憶媒体に格納することができる。
また、監視装置100の送受信IF102は、電子計算機1の通信制御装置H205に含まれる。
なお、電子計算機1を通信装置200として利用する場合、監視用IF202、受信IF204、送信IF206は、通信制御装置H205に含まれる。
図3A、図3Bは、通信装置200が記憶するグループ分類規則D220と、グループ別積算情報D210のテーブル構成の一例を示す。図3Aは、グループ別積算情報D210の一例を示す図である。図3Bは、グループ分類規則D220の一例を示す図である。
図3Bのグループ分類規則D220は、項目として、宛先IPアドレスD222と、ラベルD224とを有する。宛先IPアドレスD222は、パケット400の宛先を示すIPアドレスが格納される。ラベルD224は、宛先IPアドレスD222に応じたMPLSネットワーク320のラベル512が格納される。グループ分類規則D220は、事前に管理者10が操作する管理端末12により設定される。
グループ別積算情報D210は、項目として、ラベルD212と、通信量D214とを含む。ラベルD212には、MPLSネットワーク320内のラベル512が格納される。通信量D214は、当該ラベルD212の通信量が、例えば、Byte数で格納される。
本実施例1では、ラベルD212、512はユーザのグループに対応する例を示し、ユーザグループは例えば、テナントとして管理される例を示す。
グループ別積算情報D210は、グループ別情報管理機能220が設定する。具体的には、グループ別情報管理機能220は、パケット転送機能210が転送するパケット500のMPLSヘッダ510を除くサイズと、ラベル512を取得し、該ラベル512をキーとしてグループ別積算情報D210で該当するラベルD212のレコードの通信量D214に、上記取得したサイズを加算する。なお、本実施例では通信量D214として、パケットの容量をバイト数で示す。
通信装置200は、グループ分類規則D220に従って、宛先IPアドレスD222に対応するラベルD224を、MPLSヘッダ510のラベル512に設定して、MPLSネットワーク320へ出力する。そして、通信装置200は、MPLSネットワーク320へ出力するラベルD224毎の通信量D126を積算して、グループ別積算情報D210を更新する。なお、グループ別積算情報D210の更新は、パケット転送機能210がパケット400を転送する度に、グループ別情報管理機能220が通信量D126を積算してグループ別積算情報D210を更新することができる。
図4は、監視装置100が管理するグループ別情報D120の構成の一例を示す。グループ別情報D120は、項目として、計測期間D122と、ラベルD124と、通信量D126とを有する。
計測期間D122には、トラフィックの計測を開始した時刻と終了した時刻(または時刻に対応する値)が格納される。ラベルD124には、トラフィックを計測したラベル512が格納される。通信量D126には、計測したパケットの通信量がByte数で格納される。
グループ別情報D120は、グループ別情報取得機能130によって設定される。計測期間D122は、開始時刻と終了時刻の組み合わせであり、例えばUNIX時刻の形式で格納してもよい。
図5は、グループ別情報取得機能130が、グループ別情報D120を設定する処理の一例を示すフローチャートである。グループ別情報取得機能130は、予め定められた時間T1(例えば、5分)が経過したか否かを判断し(F110)、所定の時間T1が経過すると(F110でYES)、ステップF120以降の処理へ進む。
グループ別情報取得機能130は、通信ネットワーク300を介して通信装置200のグループ別情報管理機能220からグループ別積算情報D210を取得し、取得した時刻を取得時刻として記憶する(F120)。グループ別積算情報D210の取得方法は公知または周知の技術を採用すればよく、例えば、グループ別積算情報D210がMIBとして記憶され、SNMP(Simple Network Management Protocol)により取得される。
グループ別情報取得機能130は、前回の処理でグループ別積算情報D210がセットされ、かつ、前回の処理で取得時刻が記憶されているか否かを判定する(F130)。
グループ別情報取得機能130は、後述のステップF160の処理が1度も実施されておらず、前回のグループ別積算情報D210と前回の取得時刻が未設定であれば(F130でNO)、ステップF120の取得時刻を前回の取得時刻とし、取得したグループ別積算情報D210を前回のグループ別積算情報D210として記憶する(F160)。
一方、グループ別情報取得機能130は、前回のグループ別積算情報D210と前回の取得時刻が設定されていれば(F130でYES)、計測期間D122の開始時刻として前回の取得時刻を設定し、終了時刻として今回の取得時刻を設定する。
さらに、グループ別情報取得機能130は、通信量D126として、前回のグループ別積算情報D210の通信量D214と、今回のグループ別積算情報D210の通信量D214との差分をラベルD124毎のレコードに追加して、グループ別情報D120を更新する(F140)。
グループ別情報D120の計測期間D122について、所定の時間T2が経過した開始時刻を計測期間D122に含むレコードについては、記憶領域削減のため、グループ別情報取得機能130がグループ別情報D120から削除しても良い(F150)。
以上の処理により、監視装置100のグループ別情報取得機能130は、所定時間T1となる度に通信装置200からグループ別積算情報D210を取得する。そして、グループ別情報取得機能130は、前回取得時と今回取得時の差分から計測期間D122とラベルD124毎の通信量D126を算出し、グループ別情報D120を更新する。また、グループ別情報取得機能130は、所定の時間T2が経過した開始時刻を計測期間D122に含むレコードを削除することで、メモリ装置H202で使用する記憶領域の増大を抑制する。
図7は、サンプルパケット600の構成の一例を示す。サンプルパケット600は、通信装置200のサンプリング機能230が、所定の条件(例えば、パケット数)でサンプリングしたパケット400を複製して所定のサイズに切り詰めた元パケット620と、サンプリング機能230が付与するサンプルヘッダ610とから構成される。
サンプルヘッダ610は、計測時刻612と、サンプリング間隔614と、元パケット400のサイズ616と、サンプルパケット送信元の通信装置200を一意に特定する通信装置識別子618とを含む。
計測時刻612は、サンプリング機能230がサンプルパケット600を生成した時刻を示す。サンプリング間隔614は、通信装置200のサンプリング機能230に予め設定された値であり、本実施例1ではサンプリングを行うパケット数の間隔が4096の例を示す。パケット400のサイズ616は、サンプリング機能230が取得したパケット400のサイズがバイト数で格納される。なお、パケット400のサイズは、IPヘッダ410を除いたサイズとしてもよい。
また、元パケット620は、複製元のパケット400から取得したIPヘッダ410に宛先IPアドレス412を含み、IPペイロード420にユーザネットワーク識別子422を含む。
これら、サンプルパケット600の構成は、IPパケットをsFlowによりサンプリングした際の構成であり、公知または周知の構成を採用することができる。
監視装置100のサンプルパケット取得機能120は、これら計測時刻612と、サンプリング間隔614と、サイズ616と、宛先IPアドレス412と、ユーザネットワーク識別子422の値を取得し、サンプルパケット情報D130に設定する。
図6は、監視装置100が管理するサンプルパケット情報D130の構成の一例を示す。
サンプルパケット情報D130は、項目として、計測時刻D131と、サンプリング間隔D132と、サイズD133と、宛先IPアドレスD134と、ユーザネットワーク識別子D135と、ラベルD136とを含む。
サンプルパケット情報D130は、通信装置200のサンプリング機能230が生成したサンプルパケット600を、監視装置100のサンプルパケット取得機能120が取得して、サンプルパケット取得機能120が当該サンプルパケット600の内容に基づいて設定する。
計測時刻D131には、サンプルパケット600のサンプルヘッダ610の計測時刻612が設定される。サンプリング間隔D132には、サンプルヘッダ610のサンプリング間隔614が設定される。サイズD133には、サンプルヘッダ610のサイズ616が設定される。
宛先IPアドレスD134には、元パケット620のIPヘッダ410から抽出した値が設定される。ユーザネットワーク識別子D135には、元パケット620のペイロード420のユーザネットワーク識別子422が設定される。なお、ラベルD136は、グループ別情報推定機能140が、グループ別推定情報D140に基づいて設定する。
図8は、監視装置100が管理するグループ別推定情報D140の構成の一例を示す。
グループ別推定情報D140は、項目として、計測期間D141と、ラベルD142と、ユーザネットワーク識別子D143と、期間内通信量D144と、推定通信量D145と、推定誤差D146と、補正後通信量D147とを有する。
これらの情報は、後述するように、監視装置100のグループ別情報推定機能140によって算出及び設定される。
計測期間D141には、通信装置200がトラフィックの計測を開始した時刻と終了した時刻(または時刻に対応する値)が格納される。ラベルD142には、トラフィックを計測したラベル512が格納される。ユーザネットワーク識別子D143には、トラフィックを計測したユーザのユーザネットワーク識別子422が格納される。
期間内通信量D144には、計測期間D141の開始から終了時刻までに通信を行ったパケットの通信量がByte数で格納される。
推定通信量D145には、期間内通信量D144にサンプリング間隔D132を乗じた値が設定される。推定誤差D146には、グループ別情報推定機能140が後述するように算出した値が設定される。補正後通信量D147には、グループ別情報推定機能140が推定誤差D146で推定通信量D145を補正した通信量が設定される。
図9は、グループ別情報推定機能140が、グループ別推定情報D140を設定する処理の一例を示すフローチャートである。監視装置100のグループ別情報推定機能140は、グループ別情報取得機能130がグループ別情報D120を更新したことを契機として処理を開始する(F210でYES)。
グループ別情報推定機能140は、更新されたグループ別情報D120の計測期間D122を計測期間D141として、グループ別推定情報D140にレコードを追加する(F220)。
グループ別情報推定機能140は、サンプルパケット情報D130のラベルD136が未設定のレコードについて、宛先IPアドレスD134をキーとしてグループ分類規則D110から対応するラベルD224を取得し、サンプルパケット情報D130のラベルD136に設定する(F230)。
グループ別情報推定機能140は、グループ別推定情報D140の計測期間D141に含まれるサンプルパケット情報D130の計測時刻D131を含むレコードに対し、ラベルD142とユーザネットワーク識別子D143毎にサイズD133の総和を算出する。グループ別情報推定機能140は、算出した総和をラベルD142及びユーザネットワーク識別子D143に対応する期間内通信量D144として設定する。そして、グループ別情報推定機能140は、サンプルパケット情報D130のサイズD133にサンプリング間隔D132を乗算した値の総和を推定通信量D145として設定する(F240)。
本実施例1では、サンプリング間隔D132が4096であるので、グループ別情報推定機能140は、サイズD133に4096を乗じた値を算出し、ユーザネットワーク識別子D135ごとに集計した総和を推定通信量D145として算出する。
グループ別情報推定機能140は、上記処理(F240)の後、所定の時間T3が経過したサンプルパケット情報D130の計測時刻D131を含むレコードについては、記憶領域削減のため、サンプルパケット情報D130から削除しても良い(F250)。
以上の処理により、監視装置100のグループ別情報推定機能140は、グループ別情報D120が更新される度に、グループ別情報D120で更新または追加された計測期間D122及びラベルD124のレコードを、グループ別推定情報D140に追加または更新する。
グループ別情報推定機能140は、グループ別推定情報D140に追加または更新されたレコードの計測期間D141に含まれる計測時刻D131のサンプルパケット情報D130から、ユーザネットワーク識別子D135ごとに期間内通信量D144と推定通信量D145を算出することができる。これにより、グループ別推定情報D140の計測期間D141~推定通信量D145が設定される。
また、グループ別情報推定機能140は、所定の時間T3が経過した計測時刻D131を含むレコードをサンプルパケット情報D130から削除することで、メモリ装置H202で使用する記憶領域の増大を抑制する。
図10は、解析機能150がグループ別推定情報D140の推定誤差D146と、補正後通信量D147とを設定する処理の一例を示すフローチャートである。
解析機能150は、グループ別情報推定機能140がグループ別推定情報D140を更新したことを契機として処理を開始する(F310でYES)。
解析機能150は、更新または追加されたグループ別推定情報D140のレコード(以下、更新レコードと呼称)について、ラベルD142毎の推定通信量D145の総和を算出しラベル単位推定通信量とする(F320)。
解析機能150は、グループ別情報D120において、更新レコードと同じ計測期間D122を含むレコードのラベルD124の通信量D126をラベル単位実通信量として取得する。
そして、解析機能150は、ラベル単位推定通信量とラベル単位実通信量の比を推定誤差D146に設定する(F330)。推定誤差D146は、例えば、本実施例1では、ラベル単位推定通信量をラベル単位実通信量(通信量D126)で除算した値とする。
解析機能150は、推定通信量D145と同レコードの該推定誤差D146を基に、補正後通信量D147を算出する。補正後通信量D147は、例えば推定通信量D145を推定誤差D146で除算した値である。(F340)。
例えば、グループ別情報D120の計測期間D122が「1234567890~1234567900」では、ラベルD124=10の通信量D126(ラベル単位実通信量)=6914620byteである。
一方、グループ別推定情報D140の計測期間D141が「1234567890~1234567900」では、ラベルD142=10の推定通信量D145の総和であるラベル単位推定通信量は、3686400+2867200=6553600となる。
推定誤差D146=ラベル単位推定通信量/ラベル単位実通信量
=6553600/6914620=0.948
となる。したがって、ラベルD142=10のユーザネットワーク識別子D143=400、410の推定通信量D145は、それぞれ推定通信量D145で除した値の補正後通信量D147に補正される。
=6553600/6914620=0.948
となる。したがって、ラベルD142=10のユーザネットワーク識別子D143=400、410の推定通信量D145は、それぞれ推定通信量D145で除した値の補正後通信量D147に補正される。
上記処理により、MPLSネットワーク320のラベル512(D124)を、ユーザのグループに対応付けておき、ラベルD124ごとに通信量D126を測定する通信装置200が、所定のパケット数毎にパケット400を複製したサンプルパケット600を監視装置100へ送信する。
監視装置100は、サンプルパケット600の宛先IPアドレス412をキーとしてグループ分類規則D110を検索してラベルD224を取得し、サンプルパケット600のラベルとして推定する。監視装置100は、推定したラベルD136毎に推定通信量D145の総和をラベル単位推定通信量として算出し、通信装置200のラベルD124ごとの通信量D126をラベル単位実通信量として取得する。そして、監視装置100は、ラベル単位推定通信量/ラベル単位実通信量から推定誤差D146を算出する。監視装置100は、ユーザネットワーク識別子D143ごとの推定通信量D145を推定誤差D146で補正する。
これにより、通信装置200のサンプリング間隔が長い場合であっても、通信装置200のサンプルパケット600から得られるユーザネットワーク識別子D143ごとの推定通信量D145の誤差を低減することが可能となる。また、通信装置200のサンプリング間隔を短くする必要がないので、通信装置200の負荷を抑制することが可能となる。
図11は、管理者10によって操作される管理端末12が、監視装置100の解析機能150に、ユーザ単位の通信量を要求し、要求に応じた結果を取得する際の処理の一例を示すシーケンス図である。例えば、管理者10によって操作される管理端末12のユーザネットワーク識別子が「410」である場合で、3分前から現在時刻までの通信状況について説明する。
管理者10は管理端末12に、解析の対象ユーザとしてユーザ識別子である「410」と、解析の開始時刻として現在時刻の3分前と、解析の終了時刻として現在時刻を入力する。管理端末12は管理者10によって入力されたこれらの情報を基に、ユーザネットワーク識別子(対象識別子)と、該開始時刻と終了時刻の組(対象期間)を含むHTTP(Hyper Text Transfer Protocol)要求を取得要求として生成する(F410)。
管理端末12は、通信ネットワーク300を介して該取得要求を監視装置100の解析機能150に送信する(F420)。
解析機能150は、HTTPサーバとしての機能を含み、該取得要求を受信すると、該取得要求に含まれる解析対象のユーザネットワーク識別子と解析の対象期間を取得する(F430)。
解析機能150は、グループ別推定情報D140において、解析の対象期間に属する計測期間D141と、解析対象のユーザネットワーク識別子と同じユーザネットワーク識別子D143とを含むレコードを解析の対象レコードとして選択する(F440)。
解析機能150は、解析対象レコードの計測期間D141と補正後通信量D147とラベルD142とを含むHTTP応答を作成し(F450)、取得要求元の管理端末12に応答する(F460)。
管理端末12は、監視装置100から該応答を受信し(F470)、応答に含まれる計測期間と補正後通信量とラベルに基づき、計測期間におけるラベル毎の補正後通信量を入出力装置H203の画面に表示する(F480)。
また、管理端末12はラベル毎の通信の経路を予め記憶しておき、受信したラベルに基づいて通信の経路を画面に表示しても良い(F490)。
HTTP応答に基づき画面を描写する機能は、周知または公知のWebブラウザが有する機能を適用すればよい。
図12は、管理端末12が解析機能150からの応答に基づいて管理者10に表示する画面の一例である。管理端末12の入出力装置H203の画面V100は、ユーザネットワーク識別子V102(410)と、通信量(推定通信量D145)V110と、ラベルに応じて予め設定された通信経路V120とを含む。
通信量V110は例えば折れ線グラフであり、横軸V114は時刻を示し、縦軸V112は各計測期間における通信量を示す。グラフはラベル毎に表示しても良く、グラフV116はラベルD224=「10」の推定通信量(D146)を示し、グラフV118はラベル20の推定通信量(D146)を示す。通信経路V120は例えば、通信経路を示すマップで示す。通信経路V120はラベル毎に事前に定められており、管理端末12はラベル毎の通信経路V120を予め記憶しておき、応答に含まれるラベルに従って、経路のイメージ図を表示する。
以上、本実施例1によれば、管理者10によって操作される管理端末12は、通信装置200を通過するトラフィックについて、指定された期間において誤差を補正したユーザ毎の通信量を得ることができる。
これにより、管理者10が所属する通信事業者は、ユーザネットワーク識別子毎の補正後通信量D147と通信経路を把握することで、より細かな単位で通信量の予実管理が実現可能となり、MPLSネットワーク320の利用効率を高めることができる。例えば、MPLSネットワーク320で障害が発生した場合に、管理端末12は、補正後通信量D147に基づいて影響を受けたユーザ(ユーザネットワーク識別子)やサービスを特定することができる。あるいは、MPLSネットワーク320で障害が発生した場合に、管理端末12は、補正後通信量D147に基づいて障害の要因となっているユーザ(ユーザネットワーク識別子)を特定することができる。
実施例2は、通信装置200の機種またはベンダーによって、サンプリング機能230で計測するパケットサイズの計測対象が、グループ別積算情報D210で計測する通信量の計測対象と異なる場合の実施例である。
具体的には、グループ別積算情報D210はパケットについてIPヘッダを含むサイズを計測して記憶するが、サンプリング機能230がサンプルヘッダ610のサイズ616として計測する値が、通信装置200の機種によって、IPヘッダを含むサイズであったり、IPヘッダの一部を含まないサイズであったり、IPヘッダを含まないペイロードのみのサイズであったりする場合の実施例である。
本実施例2では、グループ別積算情報D210の計測とサンプリング機能230で扱うパケットサイズの定義が異なる場合に、監視装置100のサンプルパケット取得機能120Bでパケットサイズを調整する。
図13は、本実施例2の監視装置の構成の一例を示すブロック図である。
監視装置100Bは、前記実施例1の監視装置100に通信装置情報D150を追加し、サンプルパケット取得機能120に代わりサンプルパケット取得機能120Bを含む。その他の構成は前記実施例1の図1の構成と同様である。
図14は、通信装置情報D150のテーブル構成の一例を示す。
通信装置情報D150は、予め管理者10等が操作する管理端末12によって設定され、項目として通信装置識別子D152と、サイズ変更処理D154とを含む。
通信装置識別子D152は、通信装置200を一意に特定する識別子である。サイズ変更処理D154は、該通信装置識別子D152の通信装置200が送信するサンプルパケット600に含まれるサイズ616を、グループ別情報D120が記憶する通信量D126と、計測対象を合わせるために必要な処理を示す。図示の例では、サンプルパケット600のサイズ616に加算(追加)すべきデータ長がサイズ変更処理D154に格納される。
図15は、サンプルパケット取得機能120Bがサンプルパケット情報D130を更新する処理の一例を示すフローチャートである。この処理は、監視装置100Bがサンプルパケット600を受信する度に実行される。
サンプルパケット取得機能120Bは、通信装置200よりサンプルパケット600を取得すると(F510)、ステップF520以降の処理を実行する。
サンプルパケット取得機能120Bは、サンプルパケット600に含まれる計測時刻612、サンプリング間隔614、サイズ616、宛先IPアドレス412、ユーザネットワーク識別子422を取得し、サンプルパケット情報D130に設定する(F520)。なお、上記ステップF510とステップF520の処理は、実施例1の図6、図7に示したサンプルパケット取得機能120の処理と同様である。
さらに、サンプルパケット取得機能120Bは、サンプルパケット600に含まれる通信装置識別子618を取得し、該通信装置識別子618をキーとして通信装置情報D150から対応するサイズ変更処理D154を選択する(F530)。該サイズ変更処理D154が、「ヘッダ長追加」であれば(F540でYES)、サンプルパケット取得機能120Bは、サンプルパケットが含む元パケット620を調査し、ヘッダの長さを計測し(F560)、サンプルパケット情報D130のサイズD133に、該ヘッダ長を追加する(F570)。
一方、ステップF540の判定がNOであり、サイズ変更処理D154が「Xバイト追加(Xは数値)」であれば(F550でYES)、サンプルパケット取得機能120Bは、サンプルパケット情報D130のサイズD133に、指定された値Xを追加する(F580)。一方、ステップF550の判定がNOであれば、サイズの変更は不要としてサンプルパケット情報D130のサイズD133の変更は実施しない。
以上、本実施例2によれば、通信装置200のサンプリング機能230がパケットのサイズとする計測対象と、グループ別情報管理機能220が通信量D214を計測する際の計測対象が異なる場合であっても、サンプルパケット取得機能120Bがサンプルパケット600のサイズを通信装置200の仕様に応じて適切に補正することができる。これにより、実施例1と同様に通信装置200のサンプリング間隔が長い場合であっても、通信装置200のサンプルパケット600から得られるユーザネットワーク識別子D143ごとの推定通信量D145の誤差を低減することが可能となる。
すなわち、通信装置200の識別子に応じて、グループ別積算情報D210で用いるラベル単位のパケットのサイズに合わせて、推定通信量D145として演算するサンプルパケット600のサイズを補正するサイズ変更情報を通信装置情報D150に設定する。そして、サンプルパケット600から推定通信量D145を演算する際に、通信装置200の識別子に応じたサイズ変更情報に基づいてサンプルパケット600のサイズを補正する。
実施例3は、サンプリング機能230を有する通信装置200Iと、グループ別積算情報D210を積算する通信装置200M-3が異なり、監視装置100Cがそれぞれの通信装置から情報を取得して、トラフィックを監視する例を示す。
図16Aは、本実施例3を示し、トラフィックの監視を実施する計算機システムの一例を示すブロック図である。
IPネットワーク310とMPLSネットワーク320とに接続される通信装置200Iは、前記実施例1に示したグループ別積算情報D210を削除した構成である。通信装置200Iのそれ以外の機能は前記実施例1の通信装置200と同様である。
MPLSネットワーク320は構成する通信装置200M-1、200M-2、200M-3で構成される。なお、通信装置200M-1~200M-3の総称は、符号210Mで表される。
図16Bは、本実施例3の通信装置200Mの一例を示すブロック図である。通信装置200Mは、図16Bで示すように、前記実施例1の通信装置200が有するパケット転送機能210に代わりパケット転送機能210Mを有する。
パケット転送機能210Mは受信IF204を介してMPLSのパケット500を受信し、所定の規則に従ってMPLSラベル512を書き換えて送信IF206から送出する。
また、通信装置200Mは前記実施例1に示したサンプリング機能230を含まない。通信装置200Mは、それ以外の機能は前記実施例1の通信装置200と同様である。MPLSのラベル512を書き換えるパケット転送機能210Mは、MPLSルータに含まれる機能であり、周知または公知の技術を採用することができる。
本実施例3では、監視装置100Cがサンプルパケット600を通信装置200Iから取得し、グループ別積算情報D210を通信装置200M-3から取得する例を示す。
監視装置100Cは、前記実施例1のグループ別情報推定機能140の代わりにグループ別情報推定機能140Cを含み、ラベル変換情報D160と、装置接続情報D170とを格納する。監視装置100Cのその他の構成については、前記実施例1の監視装置100と同様である。
図17Aは、ラベル変換情報D160の構成の一例を示す図である。
ラベル変換情報D160は、項目として通信装置識別子D162と、変換前ラベルD164と、変換後ラベルD166とを含み、各レコードはMPLSネットワーク320を構成する通信装置200MがMPLSラベル512を書き換える規則(ラベル変換規則と呼称)を示す。
例えば、図16の通信装置200I、200M-1、200M-2、200M-3の通信装置識別子D162がそれぞれ、10、100、200、300とすると、図17Aの例では、通信装置200M-1は、ラベル512が10のパケット500を受信すると、ラベル512を20に書き換えて送信し、ラベル512が20のパケット500を受信するとラベルを40に書き換えて送信することを示す。
ラベル変換情報D160は、管理者10が管理端末12から予め手動で設定しても良いし、グループ別情報推定機能140Cが予め定めた所定の間隔毎に各通信装置200から通信装置識別子D162とラベル変換規則を取得しても良い。各通信装置200からのラベル変換規則の取得は、例えば、SNMPで実現可能であり、公知または周知の技術を採用することができる。
図17Bは、装置接続情報D170の構成の一例を示す図である。
装置接続情報D170は、通信装置200I、200M-1、200M-2、200M-3毎に通信装置識別子D162の間の接続状態を示すマトリクスである。縦軸D172と横軸D174とに通信装置識別子を含み、通信装置同士が接続している場合、縦軸D172と横軸D174との交点の値を「1」で示す。
例えば、図17Bの例では通信装置200-I(10)と通信装置200M-1(100)が接続され、通信装置200M-1(100)と通信装置200M-2(200)、が接続され、通信装置200M-2(200)と通信装置200M-3(300)が、それぞれ接続していることを示す。本情報は、管理者10が管理端末12から予め設定したものである。
図18は、グループ別情報推定機能140Cが、サンプルパケット情報D130のラベルD136を設定する処理の一例を示すフローチャートである。
本処理は、前記実施例1の図9で示したステップF230に代わって行われる処理である。図9のステップF220の後、グループ別情報推定機能140Cは、図6のサンプルパケット情報D130の宛先IPアドレスD134をキーとして、図3Bのグループ分類規則D110から対応するラベルを取得し、該ラベルを変換前ラベルとする(F610)。
また、グループ別情報推定機能140Cは、該サンプルパケット600を送信した通信装置200(送信元)を対象装置とする(F620)。なお、該サンプルパケット600は、ラベルD136を推定したパケットである。
グループ別情報推定機能140Cは、通信装置接続情報D170を参照して、対象装置が接続している通信装置識別子を取得し、新たな対象装置とする(F630)。
グループ別情報推定機能140Cは、ラベル変換情報D160において、新たな対象装置の通信装置識別子を通信装置識別子D162に含み、変換前ラベルと同じ値を変換前ラベルD164に含むレコードを検索し、変換後ラベルD166を決定する(F640)。
グループ別情報推定機能140Cは、対象装置が、グループ別積算情報D210を取得した通信装置200である場合(本実施例3において、対象装置が通信装置200M-3)(F650でYES)、変換後ラベルD166の値をサンプルパケット情報D130のラベルD136に設定する(F660)。
一方、グループ別情報推定機能140Cは、対象装置がグループ別積算情報D210の取得元でない場合(F650でNO)は、ステップF640で決定した変換後ラベルを変換前ラベルとし(F670)、ステップF630に戻って上記理を実施する。
なお、サンプルパケット600の送信元の通信装置200Iと、グループ別積算情報D210を取得した通信装置200M-3の通信装置識別子は、事前に該通信装置200から取得するか、管理者10が管理端末12を操作して手動で設定する。
以上、本実施例3によれば、サンプルパケット600の送信元の通信装置200Iと、グループ別積算情報D210を取得した通信装置200M-3が異なる場合であっても、監視装置100Cは、グループ別積算情報D210を取得した通信装置200M-3においてサンプルパケット600が所属するラベルを特定することができ、前記実施例1と同様にトラフィックの監視を実現できる。
なお、上記実施例1~3では、通信装置200がグループ単位で転送するパケットをラベル512によって識別する例を示したが、本発明はラベルに限定されるものではなく、タグなどの識別子でグループを識別しても良い。
また、上記実施例1~3では、サンプリング機能230がサンプルパケット600を生成するタイミングをパケット数で設定したサンプリング間隔を採用する例を示したが、これに限定されるものではない。サンプルパケット600は所定の条件が成立したときに生成すれば良く、所定の条件として時間と宛先IPアドレスを組み合わせたり、時間とユーザネットワーク識別子D135などを組み合わせても良い。また、所定の条件としては、監視装置100からのサンプリング要求を受け付けたときであってもよい。
また、上記実施例1~3では、ユーザネットワーク識別子422に、ユーザが所属するグループを特定する値を含む例を示したが、ユーザネットワーク識別子422はトラフィックを特定する識別子であれば良い。
また、MPLSネットワーク320を利用するユーザグループを識別するユーザネットワーク識別子422にVNIを採用する例を示したが、これに限定されるものではなく、ユーザグループを特定可能な情報であればよい。
上記開示は、代表的実施形態に関して記述されているが、当業者は、開示される主題の趣旨や範囲を逸脱することなく、形式及び細部において、様々な変更や修正が可能であることを理解するであろう。
例えば、上記した実施例は本発明を分かりやすく説明するために詳細に記載したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加、削除、又は置換のいずれもが、単独で、又は組み合わせても適用可能である。
また、上記の各構成、機能、処理部、及び処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、及び機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
Claims (14)
- プロセッサとメモリとを含む監視装置と、
前記監視装置に接続されてパケットを転送する通信装置と、を有し、
前記監視装置が前記パケットの通信量を監視する監視システムであって、
前記通信装置は、
前記パケットを転送するグループを予め設定したグループ分類規則に基づいて、グループ単位で前記パケットを転送するパケット転送部と、
前記グループ単位のパケットの通信量をグループ別通信量として測定するグループ別情報管理部と、
所定の条件が成立したときに前記転送するパケットを複製してサンプルパケットとして前記監視装置へ送信するサンプリング部と、を有し、
前記監視装置は、
予め設定した周期で前記通信装置から前記グループ別通信量と、前記グループ分類規則を取得してグループ別情報に格納するグループ別情報取得部と、
前記サンプルパケットを受信してサンプルパケット情報に格納するサンプルパケット取得部と、
前記グループ分類規則に従って前記サンプルパケット情報を前記グループに分類し、前記サンプルパケット情報から前記グループ単位の通信量を推定通信量として演算し、グループ別推定情報に格納するグループ別情報推定部と、
前記周期に応じた期間内で、前記グループ別推定情報の推定通信量と、前記グループ別情報の前記グループ別通信量の比から推定誤差を演算する解析部と、
を有することを特徴とする監視システム。 - 請求項1に記載の監視システムであって、
前記解析部は、
前記推定誤差に基づいて前記推定通信量を補正し、補正後通信量として演算することを特徴とする監視システム。 - 請求項1に記載の監視システムであって、
前記パケットは、
トラフィックを特定するユーザネットワーク識別子を含み、
前記解析部は、
前記ユーザネットワーク識別子毎に前記推定通信量を演算し、当該推定通信量を前記推定誤差に基づいて補正して、前記ユーザネットワーク識別子毎に補正後通信量を演算することを特徴とする監視システム。 - 請求項1に記載の監視システムであって、
前記監視装置は、
前記通信装置の識別子に応じて、前記グループ別通信量の測定で用いる前記グループ単位のパケットのサイズに合わせて前記推定通信量として演算する前記サンプルパケットのサイズを補正するサイズ変更情報をさらに有し、
前記グループ別情報推定部は、
前記サンプルパケット情報から前記グループ単位の通信量を推定通信量として演算する際に、前記通信装置の識別子に応じたサイズ変更情報に基づいて前記サンプルパケットのサイズを補正することを特徴とする監視システム。 - 請求項1に記載の監視システムであって、
前記通信装置は、
前記パケット転送部と、前記サンプリング部とを有する第1の通信装置と、
前記パケット転送部と、前記グループ別情報管理部とを有する第2の通信装置と、を含み、
前記グループ別情報取得部は、
前記予め設定した周期で前記第2の通信装置から前記グループ別通信量と、前記グループ分類規則を取得してグループ別情報に格納し、
前記サンプルパケット取得部は、
前記第1の通信装置から前記サンプルパケットを受信してサンプルパケット情報に格納することを特徴とする監視システム。 - 請求項5に記載の監視システムであって、
前記第2の通信装置が複数接続され、
前記監視装置は、
前記複数の第2の通信装置の接続関係を設定した通信装置接続情報を格納し、
前記グループ別情報推定部は、
前記通信装置接続情報と前記グループ分類規則に従って前記サンプルパケット情報を前記グループに分類することを特徴とする監視システム。 - 請求項6に記載の監視システムであって、
前記パケットを転送するグループはラベルで識別され、
前記第1の通信装置は、
前記転送するパケットの宛先に応じて予め設定されたラベルを前記パケットに設定し、
前記第2の通信装置は、
受信したパケットのラベルに応じて予め設定された転送先のラベルを設定し、
前記監視装置は、
前記第2の通信装置毎のラベルの変換情報を格納し、
前記グループ別情報推定部は、
前記サンプルパケット情報の宛先で前記グループ分類規則を参照して変換前のラベルを特定し、前記変換前のラベルと前記ラベルの変換情報に基づいて変換後のラベルを前記サンプルパケット情報に設定することを特徴とする監視システム。 - プロセッサとメモリとを含む監視装置と、前記監視装置に接続されてパケットを転送する通信装置と、を有し、前記監視装置が前記パケットの通信量を監視するパケットの監視方法であって、
前記通信装置が、前記パケットを転送するグループを予め設定したグループ分類規則に基づいて、グループ単位で前記パケットを転送する第1のステップと、
前記通信装置が、前記グループ単位のパケットの通信量をグループ別通信量として測定する第2のステップと、
前記通信装置が、所定の条件が成立したときに前記転送するパケットを複製してサンプルパケットとして前記監視装置へ送信する第3のステップと、
前記監視装置が、前記サンプルパケットを受信してサンプルパケット情報に格納する第4のステップと、
前記監視装置が、予め設定した周期で前記通信装置から前記グループ別通信量と、前記グループ分類規則を取得してグループ別情報に格納する第5のステップと、
前記監視装置が、前記グループ分類規則に従って前記サンプルパケット情報を前記グループに分類し、前記サンプルパケット情報から前記グループ単位の通信量を推定通信量として演算し、グループ別推定情報に格納する第6のステップと、
前記監視装置が、前記周期に応じた期間内で、前記グループ別推定情報の推定通信量と、前記グループ別情報の前記グループ別通信量の比から推定誤差を演算する第7のステップと、
を含むことを特徴とするパケットの監視方法。 - 請求項8に記載のパケットの監視方法であって、
前記第7のステップは、
前記推定誤差に基づいて前記推定通信量を補正し、補正後通信量として演算することを特徴とするパケットの監視方法。 - 請求項8に記載のパケットの監視方法であって、
前記パケットは、
トラフィックを特定するユーザネットワーク識別子を含み、
前記第7のステップは、
前記ユーザネットワーク識別子毎に前記推定通信量を演算し、当該推定通信量を前記推定誤差に基づいて補正して、前記ユーザネットワーク識別子毎に補正後通信量を演算することを特徴とするパケットの監視方法。 - 請求項8に記載のパケットの監視方法であって、
前記監視装置は、
前記通信装置の識別子に応じて、前記グループ別通信量の測定で用いる前記グループ単位のパケットのサイズに合わせて前記推定通信量として演算する前記サンプルパケットのサイズを補正するサイズ変更情報をさらに有し、
前記第6のステップは、
前記サンプルパケット情報から前記グループ単位の通信量を推定通信量として演算する際に、前記通信装置の識別子に応じたサイズ変更情報に基づいて前記サンプルパケットのサイズを補正することを特徴とするパケットの監視方法。 - 請求項8に記載のパケットの監視方法であって、
前記通信装置は、
前記パケットを転送するグループを予め設定したグループ分類規則に基づいて、グループ単位で前記パケットを転送し、所定の条件が成立したときに前記転送するパケットを複製してサンプルパケットとして前記監視装置へ送信する第1の通信装置と、
前記パケットを転送するグループを予め設定したグループ分類規則に基づいて、グループ単位で前記パケットを転送し、前記グループ単位のパケットの通信量を前記グループ別通信量として測定する第2の通信装置と、を含み、
前記第5のステップは、
前記予め設定した周期で前記第2の通信装置から前記グループ別通信量と、前記グループ分類規則を取得してグループ別情報に格納し、
前記第4のステップは、
前記第1の通信装置から前記サンプルパケットを受信してサンプルパケット情報に格納することを特徴とするパケットの監視方法。 - 請求項5に記載のパケットの監視方法であって、
前記第2の通信装置が複数接続され、
前記監視装置は、
前記複数の第2の通信装置の接続関係を設定した通信装置接続情報を格納し、
前記第6のステップは、
前記通信装置接続情報と前記グループ分類規則に従って前記サンプルパケット情報を前記グループに分類することを特徴とするパケットの監視方法。 - 請求項6に記載のパケットの監視方法であって、
前記パケットを転送するグループはラベルで識別され、
前記第1の通信装置は、
前記転送するパケットの宛先に応じて予め設定されたラベルを前記パケットに設定し、
前記第2の通信装置は、
受信したパケットのラベルに応じて予め設定された転送先のラベルを設定し、
前記監視装置は、
前記第2の通信装置毎のラベルの変換情報を格納し、
前記第6のステップは、
前記サンプルパケット情報の宛先で前記グループ分類規則を参照して変換前のラベルを特定し、前記変換前のラベルと前記ラベルの変換情報に基づいて変換後のラベルを前記パケットに設定することを特徴とするパケットの監視方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016572973A JP6313869B2 (ja) | 2015-02-03 | 2015-02-03 | 監視システム及びパケットの監視方法 |
PCT/JP2015/052939 WO2016125247A1 (ja) | 2015-02-03 | 2015-02-03 | 監視システム及びパケットの監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2015/052939 WO2016125247A1 (ja) | 2015-02-03 | 2015-02-03 | 監視システム及びパケットの監視方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2016125247A1 true WO2016125247A1 (ja) | 2016-08-11 |
Family
ID=56563612
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2015/052939 WO2016125247A1 (ja) | 2015-02-03 | 2015-02-03 | 監視システム及びパケットの監視方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6313869B2 (ja) |
WO (1) | WO2016125247A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230056654A1 (en) * | 2020-03-31 | 2023-02-23 | Mitsubishi Electric Corporation | Communication device, communication method, and recording medium |
WO2024171350A1 (ja) * | 2023-02-15 | 2024-08-22 | 日本電信電話株式会社 | 転送装置、転送方法、及びプログラム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010193055A (ja) * | 2009-02-17 | 2010-09-02 | Nippon Telegr & Teleph Corp <Ntt> | フロー情報送信装置、中間装置、フロー情報送信方法およびプログラム |
JP2011239218A (ja) * | 2010-05-11 | 2011-11-24 | Hitachi Cable Ltd | ネットワーク中継機器、統計情報取得システム及び統計情報取得方法 |
-
2015
- 2015-02-03 WO PCT/JP2015/052939 patent/WO2016125247A1/ja active Application Filing
- 2015-02-03 JP JP2016572973A patent/JP6313869B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010193055A (ja) * | 2009-02-17 | 2010-09-02 | Nippon Telegr & Teleph Corp <Ntt> | フロー情報送信装置、中間装置、フロー情報送信方法およびプログラム |
JP2011239218A (ja) * | 2010-05-11 | 2011-11-24 | Hitachi Cable Ltd | ネットワーク中継機器、統計情報取得システム及び統計情報取得方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230056654A1 (en) * | 2020-03-31 | 2023-02-23 | Mitsubishi Electric Corporation | Communication device, communication method, and recording medium |
US11792268B2 (en) * | 2020-03-31 | 2023-10-17 | Mitsubishi Electric Corporation | Communication device, communication method, and recording medium |
WO2024171350A1 (ja) * | 2023-02-15 | 2024-08-22 | 日本電信電話株式会社 | 転送装置、転送方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JPWO2016125247A1 (ja) | 2017-08-10 |
JP6313869B2 (ja) | 2018-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10938697B2 (en) | Generating production server load activity for a test server | |
US8868727B2 (en) | Methods and computer program products for storing generated network application performance data | |
US8560894B2 (en) | Apparatus and method for status decision | |
CN108718347B (zh) | 一种域名解析方法、系统、装置及存储介质 | |
US11080115B2 (en) | Sampling management of application programming interface (API) requests | |
US11206673B2 (en) | Priority control method and data processing system | |
US20160014237A1 (en) | Communication device, communication method, and computer-readable recording medium | |
JP6313869B2 (ja) | 監視システム及びパケットの監視方法 | |
US9015830B2 (en) | Verification apparatus and verification method | |
US11334424B2 (en) | Streaming server statistics and predictive mitigation | |
JP5883926B2 (ja) | 管理サーバ、および、フロー処理方法 | |
JP2013030927A (ja) | ネットワーク分析システム、並びに、ネットワーク分析装置及びネットワーク分析プログラム、並びに、データ処理モジュール及びデータ処理プログラム | |
JP2005321910A (ja) | ログデータ管理システム、方法、及びプログラム | |
JP2016220060A (ja) | 帯域予測プログラム、帯域予測装置、および帯域予測方法 | |
JP2019054496A (ja) | 通信中継装置 | |
JP6098219B2 (ja) | トランザクション処理装置、トランザクション処理システム、トランザクション処理方法及びプログラム | |
JP7139268B2 (ja) | ネットワーク統計情報の収集装置、通信システム、及び統計情報の収集方法 | |
JP2015018479A (ja) | 情報処理システム、情報処理装置、情報処理方法及びプログラム | |
CN112559087A (zh) | 信息生成方法、装置、电子设备和计算机可读介质 | |
KR20230072343A (ko) | 자원 사용 효율성이 향상된 클라우드 네이티브의 정보 처리 방법 | |
JP2015153299A (ja) | 処理制御システム、処理制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 15881064 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2016572973 Country of ref document: JP Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 15881064 Country of ref document: EP Kind code of ref document: A1 |