IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧 ▶ 日本電気通信システム株式会社の特許一覧

特許7048149ネットワークシステム、制御装置、処理規則設定方法及びプログラム
<>
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図1
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図2
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図3
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図4
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図5
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図6
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図7
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図8
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図9
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図10
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図11
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図12
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図13
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図14
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図15
  • 特許-ネットワークシステム、制御装置、処理規則設定方法及びプログラム 図16
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-03-28
(45)【発行日】2022-04-05
(54)【発明の名称】ネットワークシステム、制御装置、処理規則設定方法及びプログラム
(51)【国際特許分類】
   H04L 45/42 20220101AFI20220329BHJP
   H04L 43/02 20220101ALI20220329BHJP
【FI】
H04L45/42
H04L43/02
【請求項の数】 10
(21)【出願番号】P 2018060382
(22)【出願日】2018-03-27
(65)【公開番号】P2019176255
(43)【公開日】2019-10-10
【審査請求日】2021-02-02
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(73)【特許権者】
【識別番号】000232254
【氏名又は名称】日本電気通信システム株式会社
(74)【代理人】
【識別番号】100080816
【弁理士】
【氏名又は名称】加藤 朝道
(74)【代理人】
【識別番号】100098648
【弁理士】
【氏名又は名称】内田 潔人
(74)【代理人】
【識別番号】100119415
【弁理士】
【氏名又は名称】青木 充
(74)【代理人】
【識別番号】100168310
【弁理士】
【氏名又は名称】▲高▼橋 幹夫
(72)【発明者】
【氏名】久保田 一志
(72)【発明者】
【氏名】鈴木 洋司
(72)【発明者】
【氏名】加瀬 知博
(72)【発明者】
【氏名】矢部 辰也
(72)【発明者】
【氏名】田中 裕樹
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2013-223191(JP,A)
【文献】特開2009-141665(JP,A)
【文献】国際公開第2011/155510(WO,A1)
【文献】米国特許出願公開第2013/0088967(US,A1)
【文献】中国特許出願公開第102884768(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-12/22,12/50-12/66,45/00-49/9057
G06F13/00
(57)【特許請求の範囲】
【請求項1】
それぞれが、外部から設定された処理規則に基づいてパケットを処理するとともに、2つの端末間の通信を実現する複数の転送装置と、
前記2つの端末のうちミラーリングの対象である第1端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する、制御装置と、
を含み、
前記解析装置は、それぞれ異なる前記転送装置に接続された複数の解析装置のいずれか1つであり、
前記複数の解析装置は、互いに異なるプロトコルによるパケットをミラーリングの対象とする、ネットワークシステム。
【請求項2】
前記制御装置は、
前記複数の転送装置のうち前記第1端末に接続された第1の転送装置に対し、受信したパケットがミラーリングの対象パケットであるか否かを識別するための識別条件と、前記ミラーリングの対象パケットをミラーパケットとして前記ミラーパケット転送経路に転送するための指示と、を含む第1の処理規則を設定する、請求項1のネットワークシステム。
【請求項3】
前記第1の処理規則には、
前記ミラーリングの対象パケットを、前記ミラーリングの対象パケットの宛先にユーザパケットとして転送するための指示と、
前記ミラーパケットを前記ユーザパケットと区別可能とする処理が含まれる、請求項2のネットワークシステム。
【請求項4】
前記制御装置は、
前記複数の転送装置のうち、前記ミラーパケット転送経路上の転送装置であって前記第1端末及び前記解析装置に接続されていない第2の転送装置に対し、前記ミラーパケットを識別するための識別条件と、前記ミラーパケットを前記ミラーパケット転送経路に転送するための指示と、を含む第2の処理規則を設定する、請求項2又は3のネットワークシステム。
【請求項5】
前記制御装置は、
前記複数の転送装置のうち、前記解析装置に接続された第3の転送装置に対し、前記ミラーパケットを識別するための識別条件と、前記ミラーパケットを前記解析装置に出力するための指示と、を含む第3の処理規則を設定する、請求項4のネットワークシステム。
【請求項6】
前記制御装置は、
前記第3の転送装置に対し、前記第3の処理規則の識別条件により識別される第1のミラーパケットとは異なる第2のミラーパケットを識別するための識別条件と、前記第2のミラーパケットを前記第2のミラーパケットに対応したミラーパケット転送経路に転送するための指示と、を含む前記第2の処理規則を設定する、請求項5のネットワークシステム。
【請求項7】
前記制御装置は、
前記第3の転送装置に対して、前記解析装置が出力するミラーパケットを識別するための識別条件と、前記解析装置が出力するミラーパケットを前記ミラーパケットを出力する解析装置とは異なる解析装置に転送するための指示と、を含む第4の処理規則を設定する、請求項5又は6のネットワークシステム。
【請求項8】
それぞれが、外部から設定された処理規則に基づいてパケットを処理するとともに、2つの端末間の通信を実現する複数の転送装置と接続され、
前記2つの端末のうちミラーリングの対象である第1端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する制御装置であって
前記解析装置は、それぞれ異なる前記転送装置に接続された複数の解析装置のいずれか1つであり、
前記複数の解析装置は、互いに異なるプロトコルによるパケットをミラーリングの対象とする、制御装置。
【請求項9】
それぞれが、外部から設定された処理規則に基づいてパケットを処理するとともに、2つの端末間の通信を実現する複数の転送装置と接続された制御装置において、
前記2つの端末のうちミラーリングの対象である第1端末から解析装置までのミラーパケット転送経路を計算するステップと、
前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定するステップと、
を含み、
前記解析装置は、それぞれ異なる前記転送装置に接続された複数の解析装置のいずれか1つであり、
前記複数の解析装置は、互いに異なるプロトコルによるパケットをミラーリングの対象とする、処理規則設定方法。
【請求項10】
それぞれが、外部から設定された処理規則に基づいてパケットを処理するとともに、2つの端末間の通信を実現する複数の転送装置と接続された制御装置に搭載されたコンピュータに、
前記2つの端末のうちミラーリングの対象である第1端末から解析装置までのミラーパケット転送経路を計算する処理と、
前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する処理と、
を実行させ
前記解析装置は、それぞれ異なる前記転送装置に接続された複数の解析装置のいずれか1つであり、
前記複数の解析装置は、互いに異なるプロトコルによるパケットをミラーリングの対象とする、プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステム、制御装置、処理規則設定方法及びプログラムに関する。
【背景技術】
【0002】
近年のネットワークシステムは重要な社会インフラとなっている。そのため、ネットワークシステムに重要なセキュリティインシデント等が発生するたびに大きな話題となるなど、ユーザはセキュリティへの対策が急務な状況に置かれている。
【0003】
さらに、少なからずセキュリティ面に問題があるIoT(Internet of Things)端末がネットワークに接続されてくる状況ではセキュリティ上の問題を早期に検知できる手段が必要不可欠となっている。具体的には、ネットワークのトラフィックを観測、監視するトラフィックモニタリングの重要性が増している。
【0004】
特許文献1には、パケット中継装置に複数のアナライザを接続して、ミラーパケットまたは統計パケットの負荷を複数のアナライザに分散させる、と記載されている。
【0005】
特許文献2には、スイッチシステムは、経路制御を意識することなくモニタリングの粒度を自由に変更可能とする、と記載されている。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2009-231890号公報
【文献】国際公開第2012/049960号
【発明の概要】
【発明が解決しようとする課題】
【0007】
なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。
【0008】
ネットワークシステムにおいてセキュリティインシデントの監視等を目的として、ネットワーク装置(パケット転送装置、スイッチ)でパケットをミラーリングし、当該パケットを解析装置へ集め、パケット解析を行うことが実施されている。しかし、ユーザトラフィックの増加に起因し、解析する為にミラーリングするパケット量も増加の一途をたどっている。
【0009】
解析装置は高価なものが多く、上記ユーザトラフィックの増加に合わせて解析装置をより高性能な装置に更新する等の対応が難しいこと多い。そのため、ミラーリングするパケットを出来るだけ効率的、且つ、効果的に解析装置へ集め、高価な解析装置におけるリソース消費を出来るだけ抑えたいという要望がある。
【0010】
具体的には、高価な解析装置へミラーパケットを転送する前に、簡易の解析装置等でパケットを絞り込む、又は、必要なトラフィックに限って解析装置に転送するなどの対策が急務になっている。
【0011】
ここで、トラフィックモニタリング用途でパケットミラーリングを実現する技術として、特許文献2にも記載されているように、RSPAN(Remote Switch Port Analyzer)/ERSPAN(Encapsulated Remote Switch Port Analyzer)が使われてきた。RSPANやERSPANを使用することにより、ミラーリングするネットワークノードと解析装置の間のL2/L3ネットワークを超えて、リモートの解析装置にミラーリングすることが可能となる。
【0012】
しかし、ミラーパケットのうち、選択的に特定のパケットに限って解析装置に転送したり、複数の解析装置に対して指定したミラーパケットを転送したりといった、自由度のあるパケットミラーリングの配送は困難であった。
【0013】
本発明は、解析装置を効率的に運用することに寄与する、ネットワークシステム、制御装置、処理規則設定方法及びプログラムを提供することを主たる目的とする。
【課題を解決するための手段】
【0014】
本発明乃至開示の第1の視点によれば、それぞれが、外部から設定された処理規則に基づいてパケットを処理する、複数の転送装置と、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する、制御装置と、を含む、ネットワークシステムが提供される。
前記第1の視点の変形として、それぞれが、外部から設定された処理規則に基づいてパケットを処理するとともに、2つの端末間の通信を実現する複数の転送装置と、前記2つの端末のうちミラーリングの対象である第1端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する、制御装置と、を含み、前記解析装置は、それぞれ異なる前記転送装置に接続された複数の解析装置のいずれか1つであり、前記複数の解析装置は、互いに異なるプロトコルによるパケットをミラーリングの対象とする、ネットワークシステムが提供される。
【0015】
本発明乃至開示の第2の視点によれば、それぞれが、外部から設定された処理規則に基づいてパケットを処理する、複数の転送装置と接続され、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する、制御装置が提供される。
前記第2の視点の変形として、それぞれが、外部から設定された処理規則に基づいてパケットを処理するとともに、2つの端末間の通信を実現する複数の転送装置と接続され、前記2つの端末のうちミラーリングの対象である第1端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する制御装置であって、前記解析装置は、それぞれ異なる前記転送装置に接続された複数の解析装置のいずれか1つであり、前記複数の解析装置は、互いに異なるプロトコルによるパケットをミラーリングの対象とする、制御装置が提供される。
【0016】
本発明乃至開示の第3の視点によれば、それぞれが、外部から設定された処理規則に基づいてパケットを処理する、複数の転送装置と接続された制御装置において、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算するステップと、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定するステップと、を含む、処理規則設定方法が提供される。
前記第3の視点の変形として、それぞれが、外部から設定された処理規則に基づいてパケットを処理するとともに、2つの端末間の通信を実現する複数の転送装置と接続された制御装置において、前記2つの端末のうちミラーリングの対象である第1端末から解析装置までのミラーパケット転送経路を計算するステップと、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定するステップと、を含み、前記解析装置は、それぞれ異なる前記転送装置に接続された複数の解析装置のいずれか1つであり、前記複数の解析装置は、互いに異なるプロトコルによるパケットをミラーリングの対象とする、処理規則設定方法が提供される。
【0017】
本発明乃至開示の第4の視点によれば、それぞれが、外部から設定された処理規則に基づいてパケットを処理する、複数の転送装置と接続された制御装置に搭載されたコンピュータに、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算する処理と、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する処理と、を実行させるプログラムが提供される。
前記第4の視点の変形として、それぞれが、外部から設定された処理規則に基づいてパケットを処理するとともに、2つの端末間の通信を実現する複数の転送装置と接続された制御装置に搭載されたコンピュータに、前記2つの端末のうちミラーリングの対象である第1端末から解析装置までのミラーパケット転送経路を計算する処理と、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する処理と、を実行させ、前記解析装置は、それぞれ異なる前記転送装置に接続された複数の解析装置のいずれか1つであり、前記複数の解析装置は、互いに異なるプロトコルによるパケットをミラーリングの対象とする、プログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
【発明の効果】
【0018】
本発明乃至開示の各視点によれば、解析装置を効率的に運用することに寄与する、ネットワークシステム、制御装置、処理規則設定方法及びプログラムが、提供される。
【図面の簡単な説明】
【0019】
図1】一実施形態の概要を説明するための図である。
図2】第1の実施形態に係るネットワークシステムの一構成例を示す図である。
図3】第1の実施形態に係る論理ネットワークを説明するための図である。
図4】第1の実施形態に係る転送装置の処理構成の一例を示す図である。
図5】第1の実施形態に係る制御装置の処理構成の一例を示す図である。
図6】ミラーリング情報データベースの一例を示す図である。
図7】転送装置に設定する第1の処理規則を説明するための図である。
図8】転送装置に設定する第2の処理規則を説明するための図である。
図9】転送装置に設定する第3の処理規則を説明するための図である。
図10】第1の実施形態に係る制御装置の動作の一例を示すフローチャートである。
図11】第1の実施形態に係る制御装置のハードウェア構成の一例を示すブロック図である。
図12】第1の実施形態に係るネットワークシステムの動作を説明するための図である。
図13】第2の実施形態に係るネットワークシステムの動作を説明するための図である。
図14】制御装置が生成する第4の処理規則の一例を示す図である。
図15】制御装置に設定する第3、第4の処理規則の一例を示す図である。
図16】第2の実施形態に係る論理ネットワークを説明するための図である。
【発明を実施するための形態】
【0020】
初めに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。
【0021】
一実施形態に係るネットワークシステムは、複数の転送装置101と、制御装置102と、を含む(図1参照)。複数の転送装置101のそれぞれは、外部から設定された処理規則に基づいてパケットを処理する。制御装置102は、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算し、複数の転送装置101のうちミラーパケット転送経路上の転送装置101に対してミラーパケット転送経路を実現する処理規則を設定する。
【0022】
一実施形態に係るネットワークシステムは、例えば、オープンフローを用いてミラーリング対象を指定し、端末が出力するユーザパケットをミラーリングする。ミラーリングしたパケットは、ミラーパケット転送経路上で転送され、解析装置に到着する。つまり、制御装置102は、複数の転送装置101に処理規則を設定することで、ミラーリング用仮想ネットワークを構築し、当該ネットワーク上でミラーパケットを転送する。ミラーリング用仮想ネットワークは、オープンフロー技術により、解析装置にミラートラフィックを転送し、解析の実現を行う。その結果、自由なミラーリングパケットの転送が可能になる。
【0023】
例えば、パケットをモニタリングする転送装置(スイッチ)は、ERSPANの様にパケットを複数コピーしなくても、ミラートラフィックをミラー用仮想ネットワークに転送することで、複数の解析装置に効率的にミラーパケットの転送が可能になる。また、全てのミラーリングしたトラフィックを転送するだけでは無く、識別条件にて必要なトラフィックを指定して(例えば、HTTPトラフィックに限り指定して)解析装置へ転送するなどして、ミラートラフィックの負荷を軽減することも可能になる。このように、オープンフローを使って、ミラーリングするパケットを指定し、ミラーリングしたパケットを転送することで、ミラーリングパケットの効率的で自由な解析が行えるトラフィックモニタリングが実現できる。
【0024】
以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。なお、各実施形態において同一構成要素には同一の符号を付し、その説明を省略する。
【0025】
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
【0026】
図2は、第1の実施形態に係るネットワークシステムの一構成例を示す図である。図2を参照すると、端末10-1及び10-2と、転送装置(転送ノード)20-1~20-10と、制御装置30と、解析装置40-1~40-3と、を含む構成が示されている。
【0027】
なお、以降の説明において端末10-1、10-2を区別する特段の理由がない場合には、単に「端末10」と表記する。他の構成につても同様に、ハイフンより左側の数字にて各構成を代表して表記する。
【0028】
また、図2に示す構成は例示であって、端末10や転送装置20の数を限定する趣旨ではない。
【0029】
端末10は、パーソナルコンピュータやサーバ等の装置である。
【0030】
複数の転送装置20のそれぞれは、外部から設定された処理規則に基づいてパケットを処理する装置である。具体的には、転送装置20は、端末10から受信したパケット(ユーザパケット)を次段の転送装置20等に転送する。転送装置20は、端末10-1と端末10-2間の通信を実現する。転送装置20は、L2(レイヤ2)フォワーディング機能、L3(レイヤ3)フォワーディング機能を備える。転送装置20は、オープンフロースイッチとすることができる。
【0031】
制御装置30は、転送装置20を制御する装置であり、オープンフローコントローラとすることができる。各転送装置20と制御装置30は、専用の制御チャネル(オープンフローチャネル、セキュアチャネル)を介して接続されている。制御装置30は、転送装置20に対して、受信パケットに対する処理を規定する処理規則を設定する。転送装置20は、制御装置30が設定する処理規則に従い、パケット処理(パケットの転送)を行う。
【0032】
制御装置30が転送装置20に設定した処理規則は、フローテーブルにエントリとして格納される。フローテーブルには、フローごとに、パケットヘッダと照合するマッチ条件(Match Fields;識別条件)と、処理内容を定義したインストラクション(Instructions;動作指示)と、の組が定義される。
【0033】
制御装置30は、転送装置20に処理規則を設定することにより、端末10-1及び端末10-2間の通信(ユーザパケットの転送)に加え、端末10から出力される一部パケットのミラーリング(ミラーパケットの転送)を実現する。より具体的には、制御装置30は、ミラーリングの対象である端末10から解析装置40までのミラーパケット転送経路を計算し、転送装置20のうちミラーパケット転送経路上の転送装置20に対してミラーパケット転送経路を実現する処理規則を設定する。
【0034】
解析装置40は、転送装置20によりミラーリングされたパケット(ミラーパケット)を解析する。
【0035】
解析装置40-1は、端末10-1が送信するHTTP(Hypertext Transfer Protocol)パケットを解析の対象とする。
【0036】
解析装置40-2は、端末10-1が送信するUDP(User Datagram Protocol)パケットを解析の対象とする。
【0037】
解析装置40-3は、端末10-1によるマルチキャスト(Multicast)パケットを解析の対象とする。
【0038】
なお、図2に示す転送装置20の近辺にシャープ(#)と共に記載した数字は、転送装置20のポート番号を示す。
【0039】
[動作概略]
初めに、図2を参照しつつ、第1の実施形態に係るネットワークシステムの動作概略を説明する。
【0040】
第1の実施形態に係るネットワークシステムは、転送装置(ネットワークノード)20にてユーザパケットをミラーリングし、複数の解析装置40への転送を実現する。第1の実施形態に係るネットワークシステムでは、各解析装置40に対象パケットを限定して転送する。
【0041】
ユーザパケットのミラーリングを実行する転送装置20は、オープンフローの仕組みを使い、ミラーリングする対象パケットを指定しミラーリングする(指定されたポートからミラーパケットを出力する)。ミラーパケットは、オープンフローが有効な転送装置20により、オープンフローの仕組みにより、通常のパケットフォワーディングとは分離してフォワーディングされる。解析装置40が接続されている転送装置20では、オープンフローの識別条件に従って、必要なミラーパケットに限定し当該ミラーパケットを解析装置40へ転送する。
【0042】
上述のように、オープンフローのエントリは、オープンフローコントローラである制御装置30から転送装置20に設定される。より具体的には、転送装置20-1は、端末10-1から受信したユーザパケットのうち、条件により指定されたパケットをミラーリングし、ミラー用ネットワークを使ってミラーパケットを解析装置40に向けて転送する。
【0043】
当該動作を論理的に解釈すると、図3に示すように、1つのミラー用仮想ネットワークに、ミラー対象である端末10及びミラーパケットを解析する解析装置40が接続されている概念となる。実際には、各転送装置20に処理規則を設定することにより、通常のユーザパケットとは分離してミラーパケットの転送が可能となる。
【0044】
また、第1の実施形態では、上述のように、ミラーパケットのうちHTTPパケットは解析装置40-1に転送される。UDPパケットは、解析装置40-2に転送される。マルチキャストパケットは、解析装置40-3に転送される。このようなミラーパケットの転送動作の実現も、制御装置30から設定される処理規則を使って行う。
【0045】
なお、ミラーリングするパケット(HTTPパケット、UDPパケット、マルチキャストパケット)は例示であり、他のパケット(他のプロトコルによるパケット)をミラーリングの対象としても良いことは勿論である。
【0046】
続いて、第1の実施形態をなす各装置の処理構成について説明する。但し、解析装置40に関しては、既存の解析装置を用いることができるので詳細な説明を省略する。
【0047】
[転送装置]
図4は、転送装置20の処理構成(処理モジュール)の一例を示す図である。図4を参照すると、転送装置20は、通信部21と、テーブル管理部22と、テーブルデータベース(テーブルDB;Database)23と、転送処理部24と、を含んで構成されている。
【0048】
通信部21は、転送装置20に処理規則を設定する制御装置30との通信を実現する手段である。通信部21は、オープンフロープロトコルを用いて制御装置30と通信するものとする。但し、通信部21と制御装置30との通信プロトコルは、オープンフロープロトコルに限定されるものではない。
【0049】
テーブル管理部22は、テーブルDB23に保持されているフローテーブルを管理する手段である。より具体的には、テーブル管理部22は、制御装置30から指示された処理規則をテーブルDB23に登録する。また、テーブル管理部22は、転送処理部24から新規パケットを受信したことを通知されると、制御装置30に対し、処理規則の設定を要求する。
【0050】
テーブルDB23は、転送処理部24が受信パケットの処理を行う際に参照するテーブルを1つ以上格納可能なデータベースによって構成される。
【0051】
転送処理部24は、テーブル検索部211と、アクション実行部212と、を含んで構成される。
【0052】
テーブル検索部211は、テーブルDB23に格納されたテーブルから、受信パケットに適合するマッチフィールドを持つエントリを検索する手段である。
【0053】
アクション実行部212は、テーブル検索部211にて検索されたエントリのインストラクションフィールドに示す処理内容に従ってパケット処理を行う手段である。
【0054】
転送処理部24は、受信パケットに適合するマッチフィールドを持つエントリが見つからなかった場合は、その旨をテーブル管理部22に通知する。
【0055】
[制御装置]
図5は、制御装置30の処理構成(処理モジュール)の一例を示す図である。図5を参照すると、制御装置30は、ネットワーク構成管理部31と、ネットワーク構成データベース(ネットワーク構成DB)32と、制御メッセージ処理部33と、を含んで構成される。さらに、制御装置30は、経路・アクション計算部34と、ミラーリング情報データベース(ミラーリング情報DB)35と、転送装置20と通信を行う手段である通信部36と、を含む。
【0056】
ネットワーク構成管理部31は、通信部36を介して、制御装置30が制御対象とするネットワークシステムのネットワーク構成を管理する。具体的には、管理者が図2に示すようなネットワークトポロジを制御装置30に入力する。あるいは、ネットワーク構成管理部31は、LLDP(Link Layer Discovery Protocol)等を用いてネットワークトポロジを生成する。
【0057】
ネットワーク構成管理部31は、ネットワークトポロジをネットワーク構成DB32に登録する。ネットワーク構成DB32を参照することで、端末10が接続されている転送装置20や解析装置40が接続されている転送装置20を含めネットワークトポロジが把握可能となる。
【0058】
制御メッセージ処理部33は、転送装置20から受信した制御メッセージを解析して、制御装置30内の該当する処理手段に制御メッセージ情報を引き渡す。
【0059】
ミラーリング情報DB35は、解析装置40に関する詳細を記憶するデータベースである。具体的には、ミラーリング情報DB35は、ミラーリングの対象とする端末10、各解析装置40が解析の対象とするパケットの種別に関する情報等を記憶する。
【0060】
ミラーリング情報DB35は、例えば、図6に示すような情報を記憶する。管理者は、図6に示すようなミラーリングに関する詳細を制御装置30に入力する。
【0061】
経路・アクション計算部34は、ネットワーク構成DB32に格納されているネットワークトポロジ、ミラーリング情報DB35に格納されている情報に基づき、ミラーパケットの転送を実現する処理規則を生成する。また、経路・アクション計算部34は、生成した処理規則を通信部36を介して、各転送装置20に設定する。
【0062】
初めに、経路・アクション計算部34は、ネットワーク構成DB32及びミラーリング情報DB35を参照し、ミラーリングを実施する転送装置20とミラーパケットの宛先である解析装置40に接続された転送装置20を特定する。
【0063】
例えば、図2及び図6を参照すると、図6の最上段に記載されたミラーリングに関し、経路・アクション計算部34は、ミラーリングを実施する転送装置20として、転送装置20-1を特定する。また、経路・アクション計算部34は、ミラーパケットの宛先となる解析装置40-1に接続された転送装置20として、転送装置20-3を特定する。
【0064】
次に、経路・アクション計算部34は、特定した2つの転送装置20を結ぶ転送経路(ミラーパケット転送経路)を計算する。具体的には、経路・アクション計算部34は、ダイクストラ法等のアルゴリズムを使ってミラーパケット転送経路を計算する。
【0065】
図2及び図6の最上段の例では、「転送装置20-1、転送装置20-2、転送装置20-3」がミラーパケット転送経路として計算される。
【0066】
経路・アクション計算部34は、解析装置40に向けてのミラーパケット転送を実現するために、3種類の処理規則(ミラーパケット転送用の処理規則)を生成する。
【0067】
第1の処理規則は、ミラーリングの対象となる端末10に接続された転送装置20に設定される処理規則である。図2の例では、ミラーリングを実施するのは転送装置20-1であるので、当該転送装置20-1に設定する処理規則が第1の処理規則に該当する。
【0068】
第2の処理規則は、ミラーパケット転送経路上の転送装置20であって、ミラーリングを実施(ミラーリング対象の端末10に接続されておらず)せず、且つ、解析装置40に接続されていない転送装置20に設定する処理規則である。図2の例では、例えば、転送装置20-2に設定する処理規則が第2の処理規則に該当する。
【0069】
第3の処理規則は、解析装置40に接続された転送装置20に設定する処理規則である。図2の例では、例えば、転送装置20-3に設定する処理規則が第3の処理規則に該当する。
【0070】
なお、制御装置30は、処理規則を転送装置20に設定して通常のユーザパケット転送も実現するが、当該パケット転送を実現するための動作は当業者にとって明らかであるため説明を省略する。
【0071】
続いて、上記3つの処理規則に関し、順次説明する。
【0072】
初めに、ミラーリングを実施する転送装置20に設定する第1の処理規則について説明する。上述のように、第1の処理規則は、複数の転送装置20のうちミラーリングの対象となるパケットを出力する端末10に接続された転送装置20に対して設定される。
【0073】
経路・アクション計算部34は、ミラーパケットを識別するための識別条件(マッチフィールド)と、当該識別条件に合致するミラーパケットをミラーパケット転送経路に転送するための指示(インストラクション)と、を含む第1の処理規則を生成する。つまり、第1の処理規則には、受信したパケットがミラーリングの対象パケットであるか否かを識別するための識別条件と、ミラーリングの対象パケットをミラーパケットとしてミラーパケット転送経路に転送するための指示と、が含まれる。
【0074】
また、経路・アクション計算部34は、ミラーリングを実施する転送装置20に対し、ミラーリングの対象となったパケットに関する通常の転送動作を実現するための設定を上記第1の処理規則に含める。より具体的には、第1の処理規則には、ミラーリングの対象パケットを、その宛先にユーザパケットとしてL2(レイヤ2)、L3(レイヤ3)転送するための指示が含まれる。さらに、第1の処理規則には、ミラーパケットをユーザパケットと区別可能とする処理が含まれる。このように、経路・アクション計算部34は、1つの識別条件に合致したパケットに対する複数の指示を含むマルチアクション可能な処理規則を生成する。
【0075】
例えば、図2及び図6の最上段の例では、経路・アクション計算部34は、図7の最上段に示すような処理規則(マッチフィールドとインストラクションの組み合わせ)を生成する。なお、図7は、転送装置20-1に設定する処理規則(エントリ)の一例を示す図である。
【0076】
図7の最上段のマッチフィールドは、端末10-1から受信したパケットのうち、HTTPパケットがミラーリングの対象となっていることを示す。また、図7の最上段に示すインストラクションフィールドを確認すると、当該識別条件に合致するパケットにはVLAN ID(Virtual Local Area Network Identifier)として「01」が追加され、転送装置20-1のポート#2から出力されることを示す。
【0077】
なお、マッチフィールドに合致するパケットにVLAN IDを追加するのはミラーパケットと他のパケット(ユーザパケット)を区別可能とするためである。従って、ミラーパケットを区別可能とすることができれば、VLAN IDの追加に限定されず、他の方式を採用することもできる。例えば、経路・アクション計算部34は、パケットヘッダを書き換える(例えば、宛先IP(Internet Protocol)アドレスに解析装置40のIPアドレスを設定する)、特別なVXLANでのパケットエンキャプスレーション等を実施する。
【0078】
また、ミラーリング対象のパケットに関する通常の転送動作(端末10-1から端末10-2への転送動作)を実現するため、転送装置20-1における受信パケットを当該転送装置20-1のポート#3から出力する指示が処理規則には含まれる。
【0079】
なお、図7の例では、ミラーパケットが転送されるミラーパケット転送経路と通常のパケット転送経路を別経路に設定しているが、同じ経路としても良いことは勿論である。また、図7には、解析装置40-2に向けたミラーパケット転送を実現するための処理規則(2段目)と、解析装置40-3に向けたミラーパケット転送を実現するための処理規則(3段目)も合わせて図示している。
【0080】
転送装置20-1には、本来、ミラーリング対象となっていないパケットの転送を実現するための処理規則も設定されるが図7では図示を省略している。さらに、転送装置20-1に設定するエントリの順序も、ミラーパケット転送用のフローエントリ(処理規則)、通常のユーザパケット転送用のフローエントリとすることもできるし、その逆とすることもできる。
【0081】
次に、ミラーパケット転送経路上の転送装置20であって、ミラーリングを実施せず解析装置40が接続されてもいない、転送装置20に設定する第2の処理規則について説明する。第2の処理規則は、複数の転送装置20のうち、ミラーパケット転送経路上の転送装置20であってミラーリングの対象である端末10及び解析装置40に接続されていない転送装置20に対して設定される。
【0082】
経路・アクション計算部34は、ミラーパケットを識別するための識別条件(マッチフィールド)と、当該識別条件に合致するミラーパケットをミラーパケット転送経路に転送するための指示(インストラクション)と、を含む第2の処理規則を生成する。
【0083】
例えば、図2及び図6の最上段の例では、経路・アクション計算部34は、転送装置20-2に設定する処理規則として、図8の最上段に示すような識別条件及び動作指示を含む処理規則を生成する。
【0084】
図8の最上段を確認すると、値が「01」であるVLAN IDを有するミラーパケットは、転送装置20-2のポート#2から出力されることを示す。なお、図8には、解析装置40-2に向けたミラーパケット転送を実現するための処理規則(2段目)と、解析装置40-3に向けたミラーパケット転送を実現するための処理規則(3段目)も合わせて図示している。
【0085】
次に、ミラーパケットを受信する解析装置40が接続されている転送装置20に設定する第3の処理規則について説明する。第3の処理規則は、複数の転送装置20のうち、解析装置40に接続された転送装置20に対して設定される。
【0086】
経路・アクション計算部34は、ミラーパケットを識別するための識別条件(マッチフィールド)と、当該識別条件に合致するミラーパケットを解析装置40に出力(転送)するための指示(インストラクション)と、を含む第3の処理規則を生成する。
【0087】
例えば、図2及び図6の最上段の例では、経路・アクション計算部34は、転送装置20-3に設定する処理規則として、図9の最上段に示すような識別条件及びインストラクションを含む処理規則を生成する。
【0088】
図9の最上段を確認すると、値が「01」であるVLAN IDを有するミラーパケットは、転送装置20-3のポート#2から出力され、解析装置40-1に到達する。
【0089】
なお、図2に示す転送装置20-3は、HTTPパケット及び当該パケットを解析する解析装置40-1との関係では、第3の処理規則が設定される転送装置20である。しかし、転送装置20-3は、UDPパケット及び当該パケットを解析する解析装置40-2との関係では、解析装置40が接続されていない転送装置20となる。転送装置20には、第2の処理規則が設定されるので、転送装置20-3には第2の処理規則も設定される。具体的には、図9の2段目及び3段目のエントリは、第2の処理規則に対応する。
【0090】
つまり、制御装置30は、転送装置20-3に対し、UDPパケットに関する第2の処理規則を設定する。当該処理規則の識別条件は、第3の処理規則の識別条件により識別される第1のミラーパケット(HTTPパケット)とは異なる第2のミラーパケット(UDPパケット)を識別する。また、当該処理規則の指示は、第2のミラーパケット(UDPパケット)を第2のミラーパケット(UDPパケット)に対応したミラーパケット転送経路に転送するための指示である。
【0091】
制御装置30は、上記説明した3種類の処理規則をミラーパケット転送経路上の各転送装置20の種別に合わせて設定し、ミラーリング対象の端末10から解析装置40までのミラーパケット転送を実現する。
【0092】
上記制御装置30の動作をまとめると、図10に示す動作のとおりとなる。
【0093】
初めに、制御装置30は、ミラーパケット転送経路を計算する(ステップS101)。その後、制御装置30は、当該ミラーパケット転送経路を実現するための第1~第3の処理規則を生成(ステップS102)し、当該生成した処理規則を各転送装置20に設定する(ステップS103)。
【0094】
次に、制御装置30のハードウェア構成について説明する。
【0095】
図11は、第1の実施形態に係る制御装置30のハードウェア構成の一例を示すブロック図である。
【0096】
制御装置30は、情報処理装置(コンピュータ)により構成可能であり、図11に例示する構成を備える。例えば、制御装置30は、内部バスにより相互に接続される、CPU(Central Processing Unit)51、メモリ52、入出力インターフェイス53及び通信手段であるNIC(Network Interface Card)54等を備える。
【0097】
但し、図11に示す構成は、制御装置30のハードウェア構成を限定する趣旨ではない。制御装置30は、図示しないハードウェアを含んでもよいし、必要に応じて入出力インターフェイス53を備えていなくともよい。また、制御装置30に含まれるCPU等の数も図11の例示に限定する趣旨ではなく、例えば、複数のCPU51が制御装置30に含まれていてもよい。
【0098】
メモリ52は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)である。
【0099】
入出力インターフェイス53は、図示しない表示装置や入力装置のインターフェイスとなる手段である。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
【0100】
制御装置30の機能は、上述の各種処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ52に格納されたプログラムをCPU51が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能を何らかのハードウェア、及び/又は、ソフトウェアで実行する手段があればよい。
【0101】
なお、転送装置20の基本的なハードウェア構成は制御装置30と同様とすることができるので説明を省略する。
【0102】
続いて、図12を参照しつつ、第1の実施形態に係るネットワークシステム全体の動作を説明する。
【0103】
初めに、端末10-1が、端末10-2に向けてパケットを送信する。転送装置20-1は、当該パケットを受信し、設定された識別条件に合致するか否かを判定する(ミラーリング対象のユーザパケットか否かを確認する)。
【0104】
例えば、転送装置20-1がHTTPパケットを受信すると、図7の最上段に示すエントリにヒットする。また、転送装置20-1がUDPパケットを受信すると、図7の2段目に示すエントリにヒットする。識別条件に合致すると、当該パケットは通常のユーザパケットとして、転送装置20-1のポート#3から端末10-2に向けて出力される。
【0105】
また、識別条件に合致したパケットにはVLAN IDが付与され、ミラーパケットとして転送装置20-1のポート#2から出力される。このように、転送装置20-1では、通常のユーザパケットの転送(図12の下側点線の転送経路)を継続しつつ、ミラーパケットの転送(図12の上側実線の転送経路)を行う。
【0106】
転送装置20-1から出力されたミラーパケットは、ミラーリングを実施せず且つ解析装置40も接続されていない転送装置20-2に到着する。転送装置20-2は、受信したパケットが設定された識別条件に合致するか否かの判定を行う。
【0107】
例えば、図8を参照すると、転送装置20-2は、ミラーパケット(HTTPパケット、UDPパケット、マルチキャストパケット)を次段の転送装置20-3に向けて出力する(ポート#2から出力する)。
【0108】
転送装置20-2から出力されたミラーパケットは、転送装置20-3に到着する。転送装置20-3は、受信したパケットが設定された識別条件に合致するか否かの判定を行う。
【0109】
例えば、図9を参照すると、ミラーパケットがHTTPパケット(VLAN ID=01)であれば、最上段のエントリにヒットし、当該HTTPパケットは転送装置20-3のポート#2から出力される。その結果、ミラーパケット(HTTPパケット)は、解析装置40-1に到着する。
【0110】
また、ミラーパケットがUDPパケット(VLAN ID=02)であれば、2段目のエントリにヒットし、当該UDPパケットは転送装置20-3のポート#3から出力される。
【0111】
転送装置20-4及び転送装置20-5は、転送装置20-3と同様に動作する。
【0112】
以上のように、第1の実施形態に係るネットワークシステムでは、制御装置30が転送装置20に処理規則を設定することにより、ミラーパケットを転送するための仮想的なネットワークを生成する。ミラーパケットは、仮想的なネットワークにより転送されるため、その宛先や経路を自由に設定することができる。
【0113】
上記第1の実施形態に係るネットワークシステムは、以下の3つの効果を奏する。
【0114】
第1の効果は、解析装置40のリソースを抑えることができる点である。オープンフロースイッチである転送装置20により構成される仮想ネットワーク側で、解析装置40に送信するミラーパケットを条件に指定し、必要なパケットに限り解析装置40に転送するためである。その結果、解析装置40にて解析すべきパケットの数が削減され、解析装置40のリソースを抑えることができる。
【0115】
第2の効果は、ミラー用ネットワークの帯域を有効活用できる点である。複数の解析装置40にミラーリングを実施する必要がある場合でも、既存のERSPAN技術の様に、複数の解析装置40それぞれにミラーリングするネットワークノード(転送装置)側でパケットを複製する必要がないためである。その結果、ミラー用ネットワークの帯域の効率化が実現できる。
【0116】
第3の効果は、ミラーリングの条件(位置、対象パケット)をオンデマンドで追加し、変更できる点である。制御装置30で処理規則(エントリ)の操作をすることで、ミラーリングする条件、解析装置40におくる条件をオンデマンドに自由に変更可能なためである。
【0117】
[第2の実施形態]
続いて、第2の実施形態について図面を参照して詳細に説明する。
【0118】
第2の実施形態では、ミラーパケットを複数の解析装置40で解析する場合について説明する。第2の実施形態に係るネットワークシステムの構成や、転送装置20、制御装置30の構成は第1の実施形態と同様とすることができるのでこれらの説明を省略する。
【0119】
第2の実施形態に係るネットワークシステムは、図13に示すように、複数の解析装置40が同じミラーパケットを順次解析可能とする。
【0120】
具体的には、解析装置40-1は、転送装置20-3から受信したミラーパケットを解析し、解析の終了後、受信したミラーパケットを転送装置20-3に出力する。転送装置20-3は、解析装置40-1から受信したパケット(ミラーパケット)に識別処理を実行し、転送装置20-4に出力する。
【0121】
転送装置20-4は、受信したミラーパケットを解析装置40-2に出力する。解析装置40-2は、転送装置20-4から受信したミラーパケットを解析し、解析の終了後、受信したミラーパケットを転送装置20-4に出力する。転送装置20-4は、解析装置40-2から受信したパケット(ミラーパケット)に識別処理を実行し、転送装置20-5に出力する。
【0122】
転送装置20-5は、受信したミラーパケットを解析装置40-3に出力する。解析装置40-3は、転送装置20-4から受信したミラーパケットを解析する。
【0123】
制御装置30は、上述のような解析装置40によるミラーパケットの縦続的な解析処理を転送装置20に処理規則を設定することで実現する。なお、ミラーリングを実施する転送装置20に設定する第1の処理規則や解析装置40が接続されていない転送装置20に設定する第2の処理規則は、第1の実施形態にて説明した処理規則と同一とすることができるので説明を省略する。
【0124】
制御装置30は、解析装置40が出力するパケット(ミラーパケット)を識別するための識別条件(マッチフィールド)と当該パケットに対する指示(インストラクション)の組みを第4の処理規則として生成し、解析装置40が接続された転送装置20に設定する。
【0125】
図14は、制御装置30が生成する第4の処理規則の一例を示す図である。図14に示す第4の処理規則は、転送装置20-3に設定する処理規則である。
【0126】
図14に示すように、制御装置30は、解析装置40から取得したミラーパケットと転送装置20から取得したミラーパケットを判別可能なように、例えば、解析装置40のIPアドレスを識別条件に用いる。図14に示すエントリにヒットしたパケット(ミラーパケット)は、転送装置20-3のポート#3から出力され、次段の転送装置20に渡される。
【0127】
このように、第4の処理規則には、解析装置40が出力するミラーパケットを識別するための識別条件と、当該解析装置40が出力するミラーパケットを当該解析装置40とは異なる解析装置40に転送するための指示と、が含まれる。
【0128】
なお、上記解析装置40からのミラーパケットを識別するために、IPアドレスに代えて、受信した受信ポート(物理ポート、LAG(Link Aggregation Group)ポート等)を用いてもよい。
【0129】
ここで、解析装置40に接続された転送装置20には、1つのミラーリング対象パケットに関し、第3の処理規則と第4の処理規則が設定されることになる。例えば、転送装置20-3には、図15に示すような処理規則が設定される。図15の最上段は、転送装置20-2から取得したミラーパケットに関するエントリを示し、2段目は解析装置40-1から取得したミラーパケットに関するエントリを示す。
【0130】
以上のように、第2の実施形態では、複数の解析装置40によるミラーパケットの解析を実現する。第2の実施形態においても、ミラーリングを実施する転送装置20において、制御装置30から設定されたフローエントリの条件に従いユーザパケットをミラーリングし、ミラーリング用仮想ネットワークに従って転送する。
【0131】
図13の例では、ミラーリングしたパケットを解析装置40-1にて解析し、その後、解析装置40-2で解析、最後に解析装置40-3で解析という流れとなる。当該構成を論理的に考えると、図16に示す構成となる。つまり、ミラー対象の端末10-1と解析装置40-1はミラー用仮想ネットワーク1に、解析装置40-1と解析装置40-2はミラー用仮想ネットワーク2に、解析装置40-2と解析装置40-3は、ミラー用仮想ネットワーク3にそれぞれ所属している。
【0132】
なお、図13図16に示す構成は、例示でありネットワークシステムの構成を限定する趣旨ではない。
【0133】
以上、第2の実施形態によれば、転送装置20に、解析装置40からのミラーパケットを他の解析装置40に転送するための第4の処理規則を設定することで、複数の解析装置40によるミラーパケットの解析を可能となる。
【0134】
[変形例]
第1及び第2の実施形態にて説明したネットワークシステムや制御装置30等の構成、動作は例示であって、システム等の構成、動作を限定する趣旨ではない。
【0135】
例えば、制御装置30は、解析装置40が接続された転送装置20に対し、ミラーパケットを本来のユーザパケットの形式に戻して解析装置40に出力するような指示を持つ処理規則を設定しても良い。上述の例では、制御装置30は、転送装置20-3に対し、VLAN IDを削除するような処理規則を設定してもよい。
【0136】
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
上述の第1の視点に係るネットワークシステムのとおりである。
[付記2]
前記制御装置は、
前記複数の転送装置のうち前記端末に接続された第1の転送装置に対し、受信したパケットがミラーリングの対象パケットであるか否かを識別するための識別条件と、前記ミラーリングの対象パケットをミラーパケットとして前記ミラーパケット転送経路に転送するための指示と、を含む第1の処理規則を設定する、好ましくは付記1のネットワークシステム。
[付記3]
前記第1の処理規則には、
前記ミラーリングの対象パケットを、前記ミラーリングの対象パケットの宛先にユーザパケットとして転送するための指示と、
前記ミラーパケットを前記ユーザパケットと区別可能とする処理が含まれる、好ましくは付記2のネットワークシステム。
[付記4]
前記制御装置は、
前記複数の転送装置のうち、前記ミラーパケット転送経路上の転送装置であって前記端末及び前記解析装置に接続されていない第2の転送装置に対し、前記ミラーパケットを識別するための識別条件と、前記ミラーパケットを前記ミラーパケット転送経路に転送するための指示と、を含む第2の処理規則を設定する、好ましくは付記2又は3のネットワークシステム。
[付記5]
前記制御装置は、
前記複数の転送装置のうち、前記解析装置に接続された第3の転送装置に対し、前記ミラーパケットを識別するための識別条件と、前記ミラーパケットを前記解析装置に出力するための指示と、を含む第3の処理規則を設定する、好ましくは付記4のネットワークシステム。
[付記6]
前記制御装置は、
前記第3の転送装置に対し、前記第3の処理規則の識別条件により識別される第1のミラーパケットとは異なる第2のミラーパケットを識別するための識別条件と、前記第2のミラーパケットを前記第2のミラーパケットに対応したミラーパケット転送経路に転送するための指示と、を含む前記第2の処理規則を設定する、好ましくは付記5のネットワークシステム。
[付記7]
前記制御装置は、
前記第3の転送装置に対して、前記解析装置が出力するミラーパケットを識別するための識別条件と、前記解析装置が出力するミラーパケットを前記ミラーパケットを出力する解析装置とは異なる解析装置に転送するための指示と、を含む第4の処理規則を設定する、好ましくは付記5又は6のネットワークシステム。
[付記8]
上述の第2の視点に係る制御装置のとおりである。
[付記9]
上述の第3の視点に係る処理規則設定方法のとおりである。
[付記10]
上述の第4の視点に係るプログラムのとおりである。
なお、付記8~付記10の形態は、付記1の形態と同様に、付記2~付記7の形態に展開することが可能である。
【0137】
なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
【符号の説明】
【0138】
10、10-1、10-2 端末
20、20-1~20-10、101 転送装置
21、36 通信部
22 テーブル管理部
23 テーブルデータベース
24 転送処理部
30、102 制御装置
31 ネットワーク構成管理部
32 ネットワーク構成データベース
33 制御メッセージ処理部
34 経路・アクション計算部
35 ミラーリング情報データベース
40、40-1~40-3 解析装置
51 CPU(Central Processing Unit)
52 メモリ
53 入出力インターフェイス
54 NIC(Network Interface Card)
211 テーブル検索部
212 アクション実行部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.