WO2021214979A1

WO2021214979A1 - トポロジ検出装置、トポロジ検出方法およびトポロジ検出プログラム

Info

Publication number: WO2021214979A1
Application number: PCT/JP2020/017704
Authority: WO
Inventors: 高田　篤; 瑞人中村; 登志彦関; 恭子山越
Original assignee: 日本電信電話株式会社
Priority date: 2020-04-24
Filing date: 2020-04-24
Publication date: 2021-10-28
Also published as: JPWO2021214979A1; JP7469697B2

Abstract

トポロジ検出装置１であって、ネットワーク装置の警報情報を収集する収集部１１と、前記警報情報から、発生時刻が所定の時間幅内にある複数の警報を抽出する候補選定部１３と、前記複数の警報の各々を発出したネットワーク装置間の接続関係を検出する検出部１４と、を備える。

Description

トポロジ検出装置、トポロジ検出方法およびトポロジ検出プログラム

　本発明は、トポロジ検出装置、トポロジ検出方法およびトポロジ検出プログラムに関する。

　通信事業者のサービス保守業務では、装置の故障発生時に、迅速な影響範囲の把握や故障箇所の特定が求められる。これらの実現には、ネットワーク装置間の接続関係を示すトポロジの正確な情報が必要となる。しかし、通信事業者のネットワークは装置数が数十万台存在し、日々の工事や故障対応でトポロジの変更も頻繁に発生する。これらのすべてのトポロジの変更の記録を自動化することは難しく、誤ったトポロジ情報が混入し易い。そのため、トポロジを検出する技術が検討されている。

　特許文献１には、トラヒック情報を用いて装置間のトポロジを検出する技術が記載されている。特許文献２には、トラヒック情報の一種である受光レベルの確認試験の結果と、ＯＮＵの状態確認試験の結果とを組み合わせて、ネットワーク設備データの誤りを判定する技術が記載されている。

特開2014-49851号公報特開2009-100336号公報

　従来のトポロジ検出技術では、トラフィック情報の取得が前提となっている。しかし、装置によっては、トラフィック情報を取得できないものがある。このため、トラフィック情報を取得できない装置においては、従来のトポロジ検出技術を適用できないという課題がある。

　本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、トラフィック情報を取得できない装置に対してもトポロジの検出が可能なトポロジ検出装置、トポロジ検出方法およびトポロジ検出プログラムを提供することにある。

　上記目的を達成するため、本発明の一態様は、トポロジ検出装置１であって、ネットワーク装置の警報情報を収集する収集部と、前記警報情報から、発生時刻が所定の時間幅内にある複数の警報を抽出する候補選定部と、前記複数の警報の各々を発出したネットワーク装置間の接続関係を検出する検出部と、を備える。

　本発明の一態様は、トポロジ検出装置が行うトポロジ検出方法であって、ネットワーク装置の警報情報を収集する収集ステップと、前記警報情報から、発生時刻が所定の時間幅内にある複数の警報を抽出する候補選択ステップと、前記複数の警報の各々を発出したネットワーク装置間の接続関係を検出する検出ステップと、を行う。

　本発明の一態様は、上記トポロジ検出装置として、コンピュータを機能させるトポロジ検出プログラムである。

　本発明によれば、トラフィック情報を取得できない装置に対しても、トポロジの検出が可能なトポロジ検出装置、トポロジ検出方法およびトポロジ検出プログラムを提供することにある。

本発明の実施形態のトポロジ検出装置の構成図である。警報発生の２つのケースを模式的に示す図である。警報モデルのイメージを示す図である。ネットワーク上で検出するトポロジの区間を示す図である。トポロジ検出装置の動作を示すフローチャートである。変形例を説明する説明図である。ハードウェア構成例である。

　以下、本発明の実施の形態について、図面を参照して説明する。

　（トポロジ検出装置の構成）
　図１は、本実施形態のトポロジ検出装置１の構成を示す構成図である。本実施形態では、工事や故障によって、ネットワーク装置（以下、「NW装置」）が対向装置との接続に関する異常を検知した場合、接続関係があるNW装置同士が近い時刻に（例えば、数秒から数十秒の前後で）警報を発出する特性を利用して、トポロジを検出する。トポロジは、ネットワークを構成するNW装置間をどのインタフェース（以下、「IF」）同士で接続しているかの接続関係を示すものである。

　通常、NW装置は、接続関係がある対向装置との間で、接続が失われたことを検知した瞬間にIF関連の異常を示す警報を発出する。これはレイヤ３のルータ（以下、「ルータ」）、レイヤ２のスイッチ（以下、「スイッチ」）、レイヤ１の光伝送装置（以下、「光伝送装置」）などのレイヤが違うNW装置において共通している。このため、本実施形態では、この特性を利用することで、レイヤに依存しないトポロジの検知を実現する。

　図示するトポロジ検出装置１は、収集部１１と、変換部１２と、候補選定部１３と、検出部１４と、警報情報DB１５、構成情報DB１６とを備える。

　収集部１１は、複数のNW装置で発出される警報の履歴情報（以下、「警報情報」）を収集し、警報情報DB１５に記憶する。例えば、収集部１１は、少なくとも１つのOpS(Operation System)（不図示）から、警報情報を収集する。一般的な通信事業者のNW装置は、OpS（ネットワーク監視装置）で監視されている。OpSは、NW装置からの警報情報の収集、警報の画面表示などの機能を保守者向けに提供する。通常は、数十万台のNW装置に対して、技術や仕様の異なるレイヤ毎にOpSが配備されている。収集部１１は、複数のOpSが保存する警報情報を所定のタイミングで（例えばn分毎に）収集し、収集した警報情報を警報情報DB１５に格納するとともに、変換部１２に送出する。

　変換部１２は、複数のOpSから警報情報を収集した場合、複数の警報情報をマージする。変換部１２は、警報情報に含まれる各警報を、警報種別、発生時刻、NW装置および物理的位置を含む警報モデルに変換し、発生時刻で時系列にソートする。

　モデル化の目的は、警報情報をアルゴリズムの中で抽象的に扱えるようにし、従来導入されていなかった，新たな種類のNW装置の導入、追加に対するアルゴリズムへの影響を最小限にとどめることである。通常、警報の発生は、故障や工事に伴い、NW装置自体に異常が発生するケースと、装置同士をつなぐケーブルに異常が発生するケースの２つに分類できる。

　図２は、警報発生の２つのケースを模式的に示す図である。ケース１は、例えば伝送装置（NW装置）のポートが故障した場合である。この時、故障したポートを具備する伝送装置は、ポートが異常であることを示す装置故障を示す警報を発出する。このとき、隣接するレイヤ２スイッチ（NW装置）はIF関連の異常を示す警報を発出する。ケース２は、例えば、工事によってNW装置間のケーブルが挿抜された場合である。このとき、ケーブルを挟んだ両端のレイヤ２スイッチおよび伝送装置が、共にIF関連の異常を示す警報を発出する。

　変換部１２は、装置故障を示す種別（例：Eqp故障警報）、IF関連の異常を示す種別（例：Link down警報）などの警報種別をvと定義する。また、変換部１２は、警報の発生時刻をtと定義し、警報を発出したNW装置及び当該NW装置のIF情報（装置種別（装置ID）、異常を検知したIF名称（IF ID））をeと定義する。また、変換部１２は、警報を発出したNW装置の物理的な位置（設置されているビル、エリア等）をlと定義する。そして、変換部１２は、t，e，l，vの４つの要素を含む警報を、αとしてモデル化する。

　図３は、警報モデルのイメージを示す図である。図示する例では、発生時刻tが近く（所定の時間幅内で）、物理的位置ｌが近い同一の工事や故障が起因した事象Aによって発生した警報α1（t1，e1，l1，v1）と、α2（t2，e2，l1，v1）とを示していている。同様に、同一の事象Bのα3（t3，e3，l2，v1）と、α4（t4，e4，l2，v2）とでトポロジが検出されることを示している。本実施形態では、多数発生している警報から、これらの同一の事象で発生した警報を抽出し、これらの警報が示すIF同士を接続関係がある判断して、トポロジを検出する。

　候補選定部１３は、警報情報から、発生時刻が所定の時間幅内にある複数の警報を抽出する。具体的には。候補選定部１３は、発生時刻が所定の時間幅内にある複数の警報を抽出して、抽出した複数の警報を含む候補リストを生成し、候補リストの各警報を当該警報を発出したNW装置の物理的位置を用いて絞り込む。

　本実施形態では、候補選定部１３は、警報モデルを用いて候補リストの警報を絞り込む。すなわち、候補選定部１３は、警報モデルを基に、一日で数万件の規模で発生する警報の中から、同一の事象（故障や工事）で発生した警報を絞り込む。具体的には、候補選定部１３は、警報モデルの中から、警報種別が装置故障およびIF関連の異常を示す種別の警報を抽出して、警報リストを生成する。候補選定部１３は、警報リストの先頭から順に各警報を読み込み、各警報について以下に説明する候補リストを生成し、候補リストの警報を絞り込む。

　すなわち、候補選定部１３は、読み込んだ警報αnの発生時刻tnの前後（所定の時間幅内）で発生した別の警報αmを警報リストから抽出する。候補選定部１３は、これらの警報αn、αmを発出した装置及びIFの情報en，em同士にトポロジがあると判定して候補リストを生成する。αmは、複数抽出される場合がある。

　候補選定部１３は、候補リストの中から、警報αnを発出した装置の物理的位置ｌnと近い位置ｌmで発生した警報αmを特定し、それ以外の警報αmを削除する。絞り込み対象のｌnに近い位置（ｌnから所定の範囲内（距離内））は、NW装置の配備状況に合わせて設定する。すなわち、所定の範囲内は、検出するトポロジの区間（種類）に応じて、設定される。

　図４は、一般的な通信事業者のネットワークにおいて、検出するべきトポロジの区間を示す図である。

　(a)ルータ-スイッチ間のトポロジ:本トポロジは、論理的な接続であり、実際には伝送装置を介して接続される。

　(b)伝送装置間のトポロジ：本トポロジは、数キロ離れたビルに配備された伝送装置の接続である。

　(c)PON（Passive Optical Network）装置間のトポロジ：本トポロジは、通信事業者のビルに配備するOLT (Optical Line Terminal)とユーザ宅のONU （Optical Network Unit）の接続である。

　(d)ルータやスイッチを含む転送レイヤ（以下、「転送レイヤ」）-伝送装置やPONを含む伝送レイヤ（以下、「伝送レイヤ」）の間のトポロジ：本トポロジは、レイヤを横断した接続である。

　例えば、伝送レイヤと転送レイヤ間のトポロジ(図４の(d)）を検出する場合は、基本的に２つのNW装置は同一ビルに収容される。この場合、候補選定部１３は、候補リストから、αnのlnと同一ビルのlmが設定されたαmを残し、それ以外のlmが設定されたαmを削除する。一方、ルータ－スイッチ間および伝送装置間(図４の(a)、(c)）のトポロジを検出する場合は、ビルを跨いだ接続となるため、αnのlnと同一エリア（都道府県等）のlmが設定されたαmを残し、それ以外のlmが設定されたαmを削除する。

　なお、警報αnと警報αmとを関連付ける発生時刻の所定の時間幅についても、検出するトポロジの区間に応じて、異なる値（最適値）を設定してもよい。

　また、候補選定部１３は、候補リストの中から、警報種別vを用いて、複数の警報同士で同一の故障や工事では発生しないパターンの警報を削除してもよい。例えば、図２のユースケースには存在しない、両方の警報が装置故障を示す警報の場合が挙げられる。この場合、候補選定部１３は、候補リストのαmから、IF関連の異常を示す警報種別vmが設定されたαmを残し、種別装置故障を示す警報種別vmが設定されたαmを削除する。

　そして、候補選定部１３は、絞り込まれた候補リストの内、重複する接続関係を示す候補が複数ある場合は、いずれか一方を削除し１つの候補リストに統合する。

　検出部１４は、最終的に絞り込まれた候補リストの内、αmの警報が一つしか残っていない場合、当該警報αmと警報αnは同一の事象が起因となって発生した警報をみなし、各警報のeで示されるNW装置およびIFに接続関係があると判定する。一方で、最終的に絞り込まれた候補リストに複数のαmの警報が残っている場合、αnのenで示されているNW装置およびIFと、複数の警報αmのemが示すNW装置およびIFのどれかに接続関係があると判定する。すなわち、検出部１４は、候補リストの各警報のNW装置の情報eで示されているNW装置およびIF同士に接続関係があると判定する。

　このように、検出部１は、複数の警報の各々を発出したNW装置間の接続関係を検出する。具体的は、検出部１４は、絞り込み後の候補リストの各警報を発出したNW装置間の接続関係を検出する。

　そして、検出部１４は、検出結果であるNW装置のトポロジを出力する。出力される検出結果は、例えば、絞り込み後の候補リストの各警報のeで示されるNW装置名およびIF情報（ポート）が対応付けて出力される。検出部１４は、絞り込みを行う前、もしくは後の候補リストも、検出結果として出力してもよい。

　また、検出部１４は、検出したトポロジで構成情報DB１６を更新してもよい。構成情報DB１６は、ネットワーク構成に関する情報が格納されたデータベースである。ネットワーク構成に関する情報は、各NW装置の装置名、IPアドレス、ポート（IF）、ポートの接続先情報などが含まれる。検出部１４が検出したトポロジで構成情報DB１６を更新することで、構成情報DB１６を現況のネットワーク構成を反映した最新状態にすることができる。

　（トポロジ検出装置の動作）
　図５は、トポロジ検出装置１の動作を示すフローチャートである。収集部１１は、所定のタイミング（時間間隔）で、ネットワーク監視装置からNW装置が発出した警報情報を取得する（Ｓ１１）。変換部１２は、警報情報に含まれる各警報を警報モデルに変換し、発生時刻順にソートする（Ｓ１２）。

　候補選定部１３は、警報モデルの中から、警報種別が装置故障およびIF関連の異常を示す種別の警報を抽出して、警報リストを生成する（Ｓ１３）。候補選定部１３は、警報リストの先頭から順に１つの警報を読み込む（Ｓ１４）。候補選定部１３は、読み込んだ警報の発生時刻と所定の時間幅内にある他の警報が警報リストにある場合（Ｓ１５：ＹＥＳ）、Ｓ１４で読み込んだ警報と、前記他の警報とを含む候補リストを生成する（Ｓ１６）。候補選定部１３は、候補リストの他の警報を、当該警報を発出したNW装置の物理的位置などを用いて絞り込み、検出部１４は絞り込んだ候補リストの警報のNW装置間のトポロジを検出する（Ｓ１７）。

　読み込んだ警報の発生時刻と所定の時間幅内にある他の警報が警報リストにない場合（Ｓ１５：ＮＯ）、候補選定部１３は、Ｓ１４に進み、警報リストの次の警報を読み込む。

　警報リストに次の（未処理の）警報がある場合は（Ｓ１８：ＹＥＳ）、Ｓ１４に進み以降の処理が繰り返し行われる。警報リストの全ての警報についてＳ１４～Ｓ１７の処理が行われた場合（Ｓ１８：ＮＯ）、検出部１４は、Ｓ１７で検出したNW装置間のトポロジを出力する（Ｓ１９）。検出部１４は、Ｓ１６で生成した候補リストを、検出したNW装置間のトポロジとともに出力してもよい。

　（本実施形態の変形例）
　本実施形態のトポロジ検出装置１は、警報情報の各警報をモデル化する変換部１２を備えるが、トポロジ検出装置１は変換部１２を備えなくてもよい。

　図６は、警報モデルに変換せずにトポロジを検出する変形例を説明する説明図である。図示する例では、収集部１１は、伝送レイヤ用のOpSから収集した伝送装置の警報情報６と、転送レイヤ用のOpSから収集したIP装置の警報情報７とを収集する。

　候補選定部１３は、これらの警報情報６、７の各警報から、発生時刻およびNW装置の物理的位置を用いて、複数の警報の組を抽出する。図示する例では、候補選定部１３は、警報情報６から光伝送装置-AのIF-1の警報６１と、警報情報７からルータ-AのIF-3の警報７１との組を抽出する。警報６１の発生時刻は2時40分12秒で、警報７１の発生時刻は2時40分15秒であり、これらの発生時刻は所定の時間幅内である。ここでは、伝送レイヤと転送レイヤ間のトポロジ(図４の(d)）を検出する場合であって、警報６１と警報７２の物理的位置は、ともに東京ビル5である。すなわち、光伝送装置-Aとルータ-A とは、同一ビルに収容されている。したがって、検出部１４は、光伝送装置-AのIF-1と、ルータ-AのIF-3との接続関係を検出する（検出１）。

　同様に、候補選定部１３は、警報情報６、７の各警報から、発生時刻および装置の物理的位置を用いて、警報６２と警報７２の組を抽出する。警報６２の発生時刻（2時41分01秒）と、警報７２の発生時刻（2時40分59秒）とは、所定の時間幅内である。また、警報６２と警報７２の物理的位置は、ともに東京ビル4である。検出部１４は、光伝送装置-EのIF-3と、スイッチ-BのIF-4との接続関係を検出する（検出２）。

　（本実施形態の効果）
　以上説明した本実施形態のトポロジ検出装置１は、NW装置の警報情報を収集する収集部１１と、前記警報情報から、発生時刻が所定の時間幅内にある複数の警報を抽出する候補選定部１３と、前記複数の警報の各々を発出したNW装置間のトポロジを検出する検出部１４と、を備える。

　これにより、本実施形態では、レイヤに依存せず、あるNW装置が、対向装置との接続に関する異常を検知した際に、トポロジがあるNW装置同士が同時刻に警報を発出する特性を利用して、NW装置間のトポロジを検出することができる。すなわち、本実施形態では、トラフィック情報を取得できないNW装置に対してもトポロジの検出が可能となる。

　本実施形態の候補選定部１３は、抽出した複数の警報を含む候補リストを生成し、前記候補リストの各警報を、当該警報を発出したNW装置の物理的位置を用いて絞り込み、検出部１４は、絞り込み後の候補リストの各警報を発出したNW装置間の接続関係を検出する。NW装置の物理的位置を用いることで、本実施形態では、高い精度のトポロジを検出することができる。

　本実施形態のトポロジ検出装置１は、警報情報の各警報を、警報種別、発生時刻、NW装置および物理的位置を含む警報モデルに変換する変換部１２を備え、候補選定部１３は、警報モデルを用いて候補リストの警報を絞り込む。これにより本実施形態では、警報情報をアルゴリズムの中で抽象的に扱えるようにし、新たなNW装置の導入、追加に対するアルゴリズムへの影響を最小限にとどめることができる。

　（ハードウェア構成）
　上記説明したトポロジ検出装置１は、例えば、図７に示すような汎用的なコンピュータシステムを用いることができる。図示するコンピュータシステムは、CPU（Central Processing Unit、プロセッサ）９０１と、メモリ９０２と、ストレージ９０３（HDD：Hard Disk Drive、SSD：Solid State Drive）と、通信装置９０４と、入力装置９０５と、出力装置９０６とを備える。メモリ９０２およびストレージ９０３は、記憶装置である。このコンピュータシステムにおいて、CPU９０１がメモリ９０２上にロードされた所定のプログラムを実行することにより、トポロジ検出装置１の各機能が実現される。

　また、トポロジ検出装置１は、１つのコンピュータで実装されてもよく、あるいは複数のコンピュータで実装されても良い。また、トポロジ検出装置１は、コンピュータに実装される仮想マシンであっても良い。

　トポロジ検出装置１用のプログラムは、HDD、SSD、USB（Universal Serial Bus）メモリ、CD (Compact Disc)、DVD (Digital Versatile Disc)などのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。

　なお、本発明は上記実施形態および変形例に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。

　１　：トポロジ検出装置
　１１：収集部
　１２：変換部
　１３：候補選定部
　１４：検出部
　１５：警報情報DB
　１６：構成情報DB

Claims

　ネットワーク装置の警報情報を収集する収集部と、
　前記警報情報から、発生時刻が所定の時間幅内にある複数の警報を抽出する候補選定部と、
　前記複数の警報の各々を発出したネットワーク装置間の接続関係を検出する検出部と、を備える
　トポロジ検出装置。
　前記候補選定部は、前記抽出した複数の警報を含む候補リストを生成し、前記候補リストの各警報を、当該警報を発出したネットワーク装置の物理的位置を用いて絞り込み、
　前記検出部は、絞り込み後の候補リストの各警報を発出したネットワーク装置間の接続関係を検出する
　請求項１記載のトポロジ検出装置。
　前記警報情報の各警報を、警報種別、発生時刻、ネットワーク装置および物理的位置を含む警報モデルに変換する変換部を備え、
　前記候補選定部は、警報モデルを用いて前記候補リストの警報を絞り込む
　請求項２記載のトポロジ検出装置。
　トポロジ検出装置が行うトポロジ検出方法であって、
　ネットワーク装置の警報情報を収集する収集ステップと、
　前記警報情報から、発生時刻が所定の時間幅内にある複数の警報を抽出する候補選択ステップと、
　前記複数の警報の各々を発出したネットワーク装置間の接続関係を検出する検出ステップと、を行う
　トポロジ検出方法。
　請求項１から３のいずれか１項に記載のトポロジ検出装置として、コンピュータを機能させるトポロジ検出プログラム。