ホーム > 特許ランキング > 日本電信電話株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-18
(45)【発行日】2023-12-26
(54)【発明の名称】パケットキャプチャシステム、方法およびプログラム
(51)【国際特許分類】
H04L 43/026 20220101AFI20231219BHJP
【FI】
H04L43/026
【請求項の数】
8
(21)【出願番号】P 2022567938
(86)(22)【出願日】2020-12-09
(86)【国際出願番号】 JP2020045811
(87)【国際公開番号】W WO2022123676
(87)【国際公開日】2022-06-16
【審査請求日】2023-03-31
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(74)【代理人】
【識別番号】100153006
【弁理士】
【氏名又は名称】小池 勇三
(74)【代理人】
【識別番号】100064621
【弁理士】
【氏名又は名称】山川 政樹
(74)【代理人】
【識別番号】100121669
【弁理士】
【氏名又は名称】本山 泰
(72)【発明者】
【氏名】八田 彩希
(72)【発明者】
【氏名】鵜澤 寛之
(72)【発明者】
【氏名】吉田 周平
(72)【発明者】
【氏名】新田 高庸
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2011-172126(JP,A)
【文献】特開2013-34164(JP,A)
【文献】国際公開第2020/230265(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-12/66,13/00,41/00-49/9057,61/00-65/80,69/00-69/40
(57)【特許請求の範囲】
【請求項1】
キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットをキャプチャする複数段のパケット振り分け装置がカスケード接続される構成を備え、
前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部とを備え、
前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置は、キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行う振り分け部を備え、前記振り分け部は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、
前記最終段パケット振り分け装置は、前記キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行うフィルタ部を備え、前記フィルタ部は、前記キャプチャ対象でないフローのパケットを廃棄するように構成される
パケットキャプチャシステム。
【請求項2】
キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットを振り分ける複数段のパケット振り分け装置がカスケード接続される構成と、前記複数段のパケット振り分け装置の出力を集線するスイッチと、前記スイッチが出力したパケットをキャプチャする処理装置とを備え、
前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部と、キャプチャ対象のフローのパケットと前記キャプチャ対象でないパケットの振り分けを行う振り分け部を備え、
前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置の前記振り分け部は、前記キャプチャ対象のフローのパケットを前記スイッチに送信し、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、
前記最終段パケット振り分け装置の前記振り分け部は、前記キャプチャ対象のフローのパケットを前記スイッチに送信し、前記キャプチャ対象でないフローのパケットを廃棄するように構成される
パケットキャプチャシステム。
【請求項3】
キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットを振り分ける複数段のパケット振り分け装置がカスケード接続される構成と、前記複数段のパケット振り分け装置の初段パケット振り分け装置が出力したパケットをキャプチャする処理装置を備え、
前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部と、キャプチャ対象のフローのパケットと前記キャプチャ対象でないパケットの振り分けを行う振り分け部を備え、
前記初段パケット振り分け装置は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力し、前記キャプチャ対象のフローのパケットと次段の前記パケット振り分け装置から送信されたパケットを前記処理装置に送信するように構成され、
前記複数段のパケット振り分け装置の最終段パケット振り分け装置は、前記キャプチャ対象のフローのパケットを前段の前記パケット振り分け装置に送信し、前記キャプチャ対象でないフローのパケットを廃棄するように構成され、
前記初段パケット振り分け装置と前記最終段パケット振り分け装置の間に中段パケット振り分け装置が接続されている場合に、
前記中段パケット振り分け装置は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力し、前記キャプチャ対象のフローのパケットと次段の前記パケット振り分け装置から送信されたパケットを前段の前記パケット振り分け装置に送信するように構成される
パケットキャプチャシステム。
【請求項4】
請求項2に記載のパケットキャプチャシステムであって、前記複数段のパケット振り分け装置の初段パケット振り分け装置の前記振り分け部は、
前記処理装置から送信されるトリガ信号に基づいて、パケットの振り分けを開始または停止するように構成される
パケットキャプチャシステム。
【請求項5】
請求項1~4の何れか1項に記載のパケットキャプチャシステムであって、前記複数段のパケット振り分け装置の初段パケット振り分け装置は、
受信したパケットのヘッダに前記パケットの到着時刻情報を付与するタイムスタンプ部を備える
パケットキャプチャシステム。
【請求項6】
請求項1~5の何れか1項に記載のパケットキャプチャシステムであって、前記複数段のパケット振り分け装置の初段パケット振り分け装置の前記パケット解析部は、パケットの解析結果を当該パケットに埋め込むように構成される
パケットキャプチャシステム。
【請求項7】
特定フローのパケットをキャプチャする複数段のパケット振り分け装置がカスケード接続される構成を備え、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムにおけるパケットキャプチャ方法であって、前記複数段のパケット振り分け装置のそれぞれが、
入力されるパケットを解析するパケット解析し、キャプチャ対象のフローを識別するステップと、
前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置が、
キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行い、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するステップと、
前記最終段パケット振り分け装置が、
前記キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行い、前記キャプチャ対象でないフローのパケットを廃棄するステップと
を含むパケットキャプチャ方法。
【請求項8】
請求項7に記載のパケットキャプチャ方法の各ステップをコンピュータに実行させ、前記コンピュータをパケットキャプチャシステムとして動作させるパケットキャプチャプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークにおけるパケットをキャプチャするパケットキャプチャ技術に関する。
【背景技術】
【0002】
NFV(Network Functions Virtualization)/SDN(Software Defined Networking)における仮想化技術の進展に伴い、VM(Virtual Machine)等を用いた様々なサービスが提供され、ネットワークが大規模・複雑化している。特定フロー(送信元/宛先のMACアドレスやIPアドレス等を組み合わせたルールが同一パケットの集合体)のパケットを選択的にキャプチャできるパケットキャプチャ装置は、上記ネットワークの障害解析に必須な装置の1つである。大規模・複雑化したネットワークでは数10万フローといった超大量パケットをキャプチャできる必要がある。
【0003】
従来のパケットキャプチャ装置(特許文献1)の構成図を図16に示す。入力パケットのヘッダを解析するパケット解析部、ルールテーブルに登録されたフローを特定するフロー識別部を有する。フィルタ部では、フロー識別部で該当しなかったフローパケットを廃棄し、該当したフローをキャプチャファイル生成部へ出力し、時刻情報と合わせて複数のパケットをまとめてキャプチャファイル化し、記憶部に保存する。
【先行技術文献】
【特許文献】
【0004】
【文献】特許第4955722号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来装置の構成においては、装置に搭載されている最大メモリ量によってルールテーブルに登録可能なルール数に限りがある為、超大量パケットキャプチャは困難となる。また、装置内部のメモリ構成を工夫することにより登録可能なルール数を増やすことが出来たとしても、パケットキャプチャ装置を設置するネットワークによって要求ルール数は大きく異なる。そのため、設置先ネットワークによって装置の再設計が生じる可能性があり、従来構成はスケーラビリティーを考慮した構成となっていない。
【0006】
また、本装置を複数並べて並列に処理させることで登録ルール数を拡張することも考えられるが、キャプチャ対象NWと並列装置群との間に入力パケットをコピー・分配するための高速スイッチが必要となる為、装置点数が多くなり高価なシステムとなる。高速スイッチの代わりに光スプリッタを介した接続も考えられるが、分岐損によって並列数に限りがある。すなわち、安価に登録ルール数を増大可能なパケットキャプチャ装置・システムの実現が困難である。
【0007】
本発明は、上記課題を解決するためになされたものであり、キャプチャ可能なルール数に制限を持たせることなく、構成装置数を最小限にしながらスケーラビリティーを考慮したパケットキャプチャシステムを実現することを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本発明のパケットキャプチャシステムは、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットをキャプチャする複数段のパケット振り分け装置がカスケード接続される構成を備え、前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部とを備え、前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置は、キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行う振り分け部を備え、前記振り分け部は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、前記最終段パケット振り分け装置は、前記キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行うフィルタ部を備え、前記フィルタ部は、前記キャプチャ対象でないフローのパケットを廃棄するように構成される。
【0009】
上記課題を解決するために、本発明のパケットキャプチャシステムは、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットを振り分ける複数段のパケット振り分け装置がカスケード接続される構成と、前記複数段のパケット振り分け装置の出力を集線するスイッチと、前記スイッチが出力したパケットをキャプチャする処理装置とを備え、前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部と、キャプチャ対象のフローのパケットと前記キャプチャ対象でないパケットの振り分けを行う振り分け部を備え、前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置の前記振り分け部は、前記キャプチャ対象のフローのパケットを前記スイッチに送信し、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、前記最終段パケット振り分け装置の前記振り分け部は、前記キャプチャ対象のフローのパケットを前記スイッチに送信し、前記キャプチャ対象でないフローのパケットを廃棄するように構成される。
【0010】
上記課題を解決するために、本発明のパケットキャプチャシステムは、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットを振り分ける複数段のパケット振り分け装置がカスケード接続される構成と、前記複数段のパケット振り分け装置の初段パケット振り分け装置が出力したパケットをキャプチャする処理装置を備え、前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部と、キャプチャ対象のフローのパケットと前記キャプチャ対象でないパケットの振り分けを行う振り分け部を備え、前記初段パケット振り分け装置は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力し、前記キャプチャ対象のフローのパケットと次段の前記パケット振り分け装置から送信されたパケットを前記処理装置に送信するように構成され、前記複数段のパケット振り分け装置の最終段パケット振り分け装置は、前記キャプチャ対象のフローのパケットを前段の前記パケット振り分け装置に送信し、前記キャプチャ対象でないフローのパケットを廃棄するように構成され、前記初段パケット振り分け装置と前記最終段パケット振り分け装置の間に中段パケット振り分け装置が接続されている場合に、前記中段パケット振り分け装置は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力し、前記キャプチャ対象のフローのパケットと次段の前記パケット振り分け装置から送信されたパケットを前段の前記パケット振り分け装置に送信するように構成される。
【0011】
上記課題を解決するために、本発明のパケットキャプチャ方法は、特定フローのパケットをキャプチャする複数段のパケット振り分け装置がカスケード接続される構成を備え、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムにおけるパケットキャプチャ方法であって、前記複数段のパケット振り分け装置のそれぞれが、入力されるパケットを解析するパケット解析し、キャプチャ対象のフローを識別するステップと、前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置が、キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行い、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するステップと、前記最終段パケット振り分け装置が、前記キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行い、前記キャプチャ対象でないフローのパケットを廃棄するステップとを含む。
【0012】
上記課題を解決するために、本発明のトラフィック監視プログラムは、上述したパケットキャプチャ方法の各ステップをコンピュータに実行させ、前記コンピュータをパケットキャプチャシステムとして動作させる。
【発明の効果】
【0013】
本発明によれば、キャプチャ可能なルール数に制限を持たせることなく、構成装置数を最小限にしながらスケーラビリティーを考慮したパケットキャプチャシステムを実現することができる。
【図面の簡単な説明】
【0014】
【発明を実施するための形態】
【0015】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。本発明は、以下の実施の形態に限定されるものではない。
【0016】
<第1の実施の形態>
本発明の第1の実施の形態について説明する。図1は、本発明の第1の実施の形態にかかるパケットキャプチャシステムの構成例である。図2は、パケットキャプチャシステムの初段パケット振り分け装置の構成例である。
本発明の第1の実施の形態について説明する。図1は、本発明の第1の実施の形態にかかるパケットキャプチャシステムの構成例である。図2は、パケットキャプチャシステムの初段パケット振り分け装置の構成例である。
【0017】
<パケットキャプチャシステムの構成>
図1に示すように、パケットキャプチャシステム1は、キャプチャ対象ネットワーク200を流れるパケットをキャプチャするパケットキャプチャシステムである。パケットキャプチャシステム1では、複数段(N段:Nは、2以上の整数)のパケット振り分け装置(10、20、30)がカスケード接続されている。以下の説明では、N台のパケット振り分け装置のうち、1段目のパケット振り分け装置10を「初段パケット振り分け装置」、N段目のパケット振り分け装置30を「最終段パケット振り分け装置」、2~N-1段目のパケット振り分け装置20を「中段パケット振り分け装置」と称して説明する。N=2の場合は、「初段パケット振り分け装置」、「最終段パケット振り分け装置」が接続された構成となる。
図1に示すように、パケットキャプチャシステム1は、キャプチャ対象ネットワーク200を流れるパケットをキャプチャするパケットキャプチャシステムである。パケットキャプチャシステム1では、複数段(N段:Nは、2以上の整数)のパケット振り分け装置(10、20、30)がカスケード接続されている。以下の説明では、N台のパケット振り分け装置のうち、1段目のパケット振り分け装置10を「初段パケット振り分け装置」、N段目のパケット振り分け装置30を「最終段パケット振り分け装置」、2~N-1段目のパケット振り分け装置20を「中段パケット振り分け装置」と称して説明する。N=2の場合は、「初段パケット振り分け装置」、「最終段パケット振り分け装置」が接続された構成となる。
【0018】
最終段のパケット振り分け装置以外、すなわち、初段パケット振り分け装置、中段パケット振り分け装置は、キャプチャ対象のフローを特定するルールに基づいて、キャプチャ対象の特定フローのパケットをキャプチャし、キャプチャ対象でないフローのパケットを次段のパケットキャプチャに送信し、次段のパケット振り分け装置において同様の処理を行うように構成されている。最終段のパケット振り分け装置は、キャプチャ対象の特定フローのパケットをキャプチャし、キャプチャ対象でないフローのパケットを廃棄するように構成されている。
【0019】
<初段パケット振り分け装置の構成>
図2は、パケットキャプチャシステム1の初段パケット振り分け装置10の構成例である。初段パケット振り分け装置10は、キャプチャ対象ネットワーク200からミラーリングパケットを受信して、パケットのヘッダ解析を行うパケット解析部11、ヘッダ解析によって抽出されたヘッダとルールテーブル100のルールを比較してキャプチャ対象のフローを識別するフロー識別部12、フロー識別部12の識別結果に基づいて、キャプチャ対象のフローのパケットとキャプチャ対象でないフローのパケットを振り分ける振り分け部14、キャプチャ対象のフローのパケットについてキャプチャファイルを生成するキャプチャファイル生成部15、キャプチャファイルを記憶する記憶部16を備える。
図2は、パケットキャプチャシステム1の初段パケット振り分け装置10の構成例である。初段パケット振り分け装置10は、キャプチャ対象ネットワーク200からミラーリングパケットを受信して、パケットのヘッダ解析を行うパケット解析部11、ヘッダ解析によって抽出されたヘッダとルールテーブル100のルールを比較してキャプチャ対象のフローを識別するフロー識別部12、フロー識別部12の識別結果に基づいて、キャプチャ対象のフローのパケットとキャプチャ対象でないフローのパケットを振り分ける振り分け部14、キャプチャ対象のフローのパケットについてキャプチャファイルを生成するキャプチャファイル生成部15、キャプチャファイルを記憶する記憶部16を備える。
【0020】
初段パケット振り分け装置10は、振り分け部14の前にタイムスタンプ部13を備え、振り分け部14から次段のパケット振り分け装置への出力パスがある点が従来のパケット振り分け装置との構成上の相違点である。タイムスタンプ部13は、複数のパケット振り分け装置においてパケット到着時間を統一するために設けられている。タイムスタンプ部13において、パケットのヘッダ等にパケット到着時刻が付与され、付与された時刻情報を用いて、キャプチャファイル生成部15においてキャプチャファイルが生成される。パケットに付与されたパケット到着時刻は、キャプチャしたパケットを統計分析する際のパケットの並べ替え等の処理に用いられる。
【0021】
パケット振り分け装置10のフロー識別部12は、キャプチャ対象となるフローが登録されたルールテーブル100(ルール数:Nf)に基づいて、キャプチャ対象のフローを識別する。キャプチャONかつ、振り分け部においてルールと一致したフローのパケットはキャプチャファイル生成部へ出力され、当該パケット振り分け装置でキャプチャされる。キャプチャOFFの場合は振り分け部にてパケットを廃棄する。キャプチャON/OFFは、振り分け部の外部から設定可能に構成されている。中段パケット振り分け装置20、最終段パケット振り分け装置30においても同様である。各パケット振り分け装置は、異なるフローが登録された ルールテーブルを備える。
【0022】
ルールテーブル100には、例えば、送信元/宛先MACアドレスと送信元/宛先IPアドレスのヘッダフィールド情報を、フローを識別するためのルールとして登録することができる。フローを識別する情報は、それらに限定されるものではなく、送信元/宛先ポート番号、プロトコル種別などのヘッダフィールド情報の組み合わせを、フローを識別するためのルールとして登録してもよい。
【0023】
パケットのヘッダ解析により抽出されたヘッダ情報がルールテーブルのルールと一致したキャプチャ対象のフローのパケットについてキャプチャファイルが生成され、生成されたキャプチャファイルは記憶部16に記憶される。ヘッダ情報がルールテーブルのルールと一致しなかったフローのパケットは、振り分け部14において次段のパケット振り分け装置への出力パスに振り分けられ、次段のパケット振り分け装置に出力される。この処理をN台分繰り返すことにより、超大量フロー数(N×Nf)のパケットキャプチャ処理を実現することができる。
【0024】
<中段パケット振り分け装置の構成>
図3は、中段パケット振り分け装置20(#2~#N-1)の構成例である。初段パケット振り分け装置10と同様に、パケット解析部21、フロー識別部22、振り分け部24、キャプチャファイル生成部25、記憶部26、ルールテーブル100を備える。タイムスタンプ部がない点で初段パケット振り分け装置10と相違する。中段パケット振り分け装置20のキャプチャファイル生成部25では、初段パケット振り分け装置10のタイムスタンプ部13で付与された時刻情報を用いてキャプチャファイルを生成される。
図3は、中段パケット振り分け装置20(#2~#N-1)の構成例である。初段パケット振り分け装置10と同様に、パケット解析部21、フロー識別部22、振り分け部24、キャプチャファイル生成部25、記憶部26、ルールテーブル100を備える。タイムスタンプ部がない点で初段パケット振り分け装置10と相違する。中段パケット振り分け装置20のキャプチャファイル生成部25では、初段パケット振り分け装置10のタイムスタンプ部13で付与された時刻情報を用いてキャプチャファイルを生成される。
【0025】
<最終段パケット振り分け装置の構成>
図4にカスケード接続の最終段であるパケット振り分け装置#Nの構成例を示す。初段パケット振り分け装置10(#1)、中段パケット振り分け装置20(#2~#N-1)と同様に、パケット解析部31、フロー識別部32、キャプチャファイル生成部35、記憶部36を備える。中段パケット振り分け装置20との差分は、次段のパケット振り分け装置への出力パスがないこと、振り分け部24がフィルタ部34に変わった点である。
図4にカスケード接続の最終段であるパケット振り分け装置#Nの構成例を示す。初段パケット振り分け装置10(#1)、中段パケット振り分け装置20(#2~#N-1)と同様に、パケット解析部31、フロー識別部32、キャプチャファイル生成部35、記憶部36を備える。中段パケット振り分け装置20との差分は、次段のパケット振り分け装置への出力パスがないこと、振り分け部24がフィルタ部34に変わった点である。
【0026】
最終段パケット振り分け装置30(#N)はパケットキャプチャ処理の終端装置となるため、ルールテーブル100のルールと一致しなかったフローのパケットをフィルタ部34にてフィルタリングすることにより廃棄する。ルールと一致したフローのパケットについては、パケット振り分け装置#N-1までの装置と同様に、キャプチャファイル生成部35へと出力され、生成されたキャプチャファイルは記憶部36に保存される。
【0027】
なお、本実施の形態においては、パケット振り分け装置のみで動作させる構成について例示したが、例えば、パケット振り分け機能を、統計情報処理も行うトラフィック監視装置の一機能として動作させても良い。その際には、統計情報取得対象のフローからキャプチャ対象となるフローを識別するために、例えば、統計情報取得対象のフローを識別するためのルールテーブルに、キャプチャ対象であるか否かを示す「キャプチャフラグ」を設ければよい。
【0028】
統計情報取得対象のルールと一致したフローのパケットは統計情報取得対象とし、当該フローの統計情報は別機能部で収集される。一方、統計情報取得対象のルールと不一致のフローのパケットは、次段のパケット振り分け装置へ出力される。統計情報取得対象のルールと一致し、かつ「キャプチャフラグ」=1のフローのパケットは、キャプチャファイル生成部へ出力され、統計情報取得対象のルールと一致し、かつ「キャプチャフラグ」=0のパケットは、キャプチャ対象でないパケットとして廃棄される。
【0029】
このように、第1の実施の形態では、N段のパケット振り分け装置をカスケード接続して、接続段数に応じてキャプチャ可能なフロー数を自由に増減可能なシステム構成とした。このような構成により、1段のパケット振り分け装置でキャプチャできるフロー数(登録可能なルール数)をNf(Nfは、1より大きい整数)とすると、システム全体でN×Nfフローのパケットキャプチャが可能となる。パケット振り分け装置の段数やルール数を増やすことで、超大量パケットのキャプチャが可能となり、キャプチャ対象ネットワークの大小に応じて、スケーラブルにキャプチャ可能なフロー数を変更することが可能となる。
【0030】
<パケットキャプチャ方法の動作>
図5、6、7を用いて、第1の実施の形態におけるパケットキャプチャ方法の動作を説明する。図5は、初段パケット振り分け装置の動作手順を示すフローチャートである。図6は、中段パケット振り分け装置の動作手順を示すフローチャートである。図7は、最終段パケット振り分け装置の動作手順を示すフローチャートである。
図5、6、7を用いて、第1の実施の形態におけるパケットキャプチャ方法の動作を説明する。図5は、初段パケット振り分け装置の動作手順を示すフローチャートである。図6は、中段パケット振り分け装置の動作手順を示すフローチャートである。図7は、最終段パケット振り分け装置の動作手順を示すフローチャートである。
【0031】
<初段パケット振り分け装置の動作>
図5において、初段パケット振り分け装置では、キャプチャ対象ネットワーク200からパケットを受信すると(ステップS1-1)、受信したパケットをバッファリングし(ステップS1-2)、パケットのヘッダ解析を行うことによりヘッダ情報を抽出する(ステップS1-3)。ここで、パケット解析と平行して、バッファリングしたパケットに到着時刻情報であるタイムスタンプを付与する(ステップS1-5)
図5において、初段パケット振り分け装置では、キャプチャ対象ネットワーク200からパケットを受信すると(ステップS1-1)、受信したパケットをバッファリングし(ステップS1-2)、パケットのヘッダ解析を行うことによりヘッダ情報を抽出する(ステップS1-3)。ここで、パケット解析と平行して、バッファリングしたパケットに到着時刻情報であるタイムスタンプを付与する(ステップS1-5)
【0032】
次に、ヘッダ解析によって抽出されたヘッダとルールテーブルのルールを比較して、キャプチャ対象のフローか否かを識別する(ステップS1-4)。フローがルールと一致する場合には(ステップS1-6:YES)、キャプチャファイルを生成し(ステップS1-7)、生成したキャプチャファイルを記憶部に記憶する(ステップS1-8)。フローがルールテーブルに記録されたルールに一致しない場合には(ステップS1-6:NO)、バッファリングしたパケットを次段パケット振り分け装置に送信する(ステップS1-9)。
【0033】
<中段パケット振り分け装置の動作>
図6において、中段パケット振り分け装置の動作は、パケットを前段パケット装置から受信する点(ステップS2-1)、タイムスタンプを付与するステップが無い点が、図5の初段パケット振り分け装置の動作と異なる。中段パケット振り分け装置では、前段パケット装置から受信したパケットについてパケット解析を行い、キャプチャ対象のフローのパケットの場合には、キャプチャファイルを生成して記憶部に記憶し(ステップS2-6、S2-7)、キャプチャ対象でないフローのパケットの場合には、次段パケット振り分け装置に送信される(ステップS2-8)。
図6において、中段パケット振り分け装置の動作は、パケットを前段パケット装置から受信する点(ステップS2-1)、タイムスタンプを付与するステップが無い点が、図5の初段パケット振り分け装置の動作と異なる。中段パケット振り分け装置では、前段パケット装置から受信したパケットについてパケット解析を行い、キャプチャ対象のフローのパケットの場合には、キャプチャファイルを生成して記憶部に記憶し(ステップS2-6、S2-7)、キャプチャ対象でないフローのパケットの場合には、次段パケット振り分け装置に送信される(ステップS2-8)。
【0034】
<最終段パケット振り分け装置の動作>
図7において、最終段パケット振り分け装置の動作は、キャプチャ対象でないフローのパケットを廃棄する点(ステップS3-8)が、図6の中段パケット振り分け装置の動作と異なる。最終段パケット振り分け装置では、前段パケット装置から受信したパケットについて、キャプチャ対象のフローのパケットの場合には、キャプチャファイルを生成して記憶部に記憶し(ステップS3-6、S3-7)、キャプチャ対象でないフローのパケットの場合には、廃棄される(ステップS3-8)。
図7において、最終段パケット振り分け装置の動作は、キャプチャ対象でないフローのパケットを廃棄する点(ステップS3-8)が、図6の中段パケット振り分け装置の動作と異なる。最終段パケット振り分け装置では、前段パケット装置から受信したパケットについて、キャプチャ対象のフローのパケットの場合には、キャプチャファイルを生成して記憶部に記憶し(ステップS3-6、S3-7)、キャプチャ対象でないフローのパケットの場合には、廃棄される(ステップS3-8)。
【0035】
<パケット振り分け装置の構成例>
本実施の形態における複数のパケット振り分け装置は物理的に異なる装置形態で実現しても良いが、これに限定されない。例えば、サーバー上のボードで実現しても良いし、コンピュータ上で動作するソフトウェアによってパケット振り分け装置の機能を実現しても良い。
本実施の形態における複数のパケット振り分け装置は物理的に異なる装置形態で実現しても良いが、これに限定されない。例えば、サーバー上のボードで実現しても良いし、コンピュータ上で動作するソフトウェアによってパケット振り分け装置の機能を実現しても良い。
【0036】
パケット振り分け装置として動作するコンピュータの構成例を図8に示す。本実施の形態のパケットキャプチャシステムを構成するパケット振り分け装置の各部は、CPU(CeNtral ProcessiNg UNit)、記憶装置及び外部インタフェース(以下、外部I/F)を備えたコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
【0037】
コンピュータ300は、CPU400と、記憶装置600と、外部I/F700とを備えており、それらがI/Oインタフェース500を介して互いに接続されている。本実施の形態のパケットキャプチャシステムの動作を実現するためのパケットキャプチャプログラム等や、キャプチャファイル等のデータは記憶装置600に格納され、外部I/F700には、信号を送受信する他のコンピュータ800や、ネットワークを構成するコンピュータ等が接続される。CPU400は、記憶装置600に格納された処理プログラム等に従って本実施の形態で説明したパケットキャプチャ処理を実行することができる。また、この処理プログラムをコンピュータ読み取り可能な記録媒体に記録することも、ネットワークを通して提供することも可能である。
【0038】
<第2の実施の形態>
第1の実施の形態においては、複数のパケット振り分け装置をカスケード接続し、それぞれのパケット振り分け装置に登録可能なルール数分のキャプチャを行うことが可能な構成について説明した。このような構成では、パケットの統計情報の処理等を行うために、それぞれのパケット振り分け装置がキャプチャしたパケットを別途集約する処理が必要になる。第2の実施の形態では、キャプチャしたパケットを集約する装置をパケットの振り分け装置の後段に設置し、それぞれのパケット振り分け装置がキャプチャしたパケットを1カ所の記憶装置に集約して保存されるシステム構成とした。
第1の実施の形態においては、複数のパケット振り分け装置をカスケード接続し、それぞれのパケット振り分け装置に登録可能なルール数分のキャプチャを行うことが可能な構成について説明した。このような構成では、パケットの統計情報の処理等を行うために、それぞれのパケット振り分け装置がキャプチャしたパケットを別途集約する処理が必要になる。第2の実施の形態では、キャプチャしたパケットを集約する装置をパケットの振り分け装置の後段に設置し、それぞれのパケット振り分け装置がキャプチャしたパケットを1カ所の記憶装置に集約して保存されるシステム構成とした。
【0039】
図9に、第2の実施の形態に係るパケットキャプチャシステムの構成例を示す。本実施の形態のパケットキャプチャシステム1は、N台のパケット振り分け装置(40、50、60)、パケット振り分け装置(40、50、60)に接続され、振り分け装置の出力を集線するスイッチ70、およびスイッチ70に接続された後段処理装置80から構成される。スイッチ70は、N台のパケット振り分け装置(40、50、60)から送信されるパケットをスイッチングして後段処理装置80に送信する機能を有し、一般的なレイヤ2、レイヤ3スイッチにより構成することができる。後段処理装置80は、少なくとも到着時刻情報(タイムスタンプ)が付与されたパケットをまとめてキャプチャファイル化する機能と、それらのキャプチャファイルを記憶する機能を有する。
【0040】
後段処理装置80としては、例えば、キャプチャしたパケットを可視化するトラフィック可視化装置や、さらに深くパケットを分析するDPI(Deep Packet Inspection)装置が考えられるが、これらに限定されるものではない。
【0041】
図10に、本実施の形態のパケットキャプチャシステムを構成する初段パケット振り分け装置40(#1)の構成例を示す。第1の実施の形態における初段パケット振り分け装置10との相違点は、キャプチャファイル生成部と記憶部が無いこと、振り分け部44を、フロー識別部42においてルールテーブルのルールと一致したフローのパケットをスイッチ70へ出力するように構成したことである。このような構成により、パケット振り分け装置のそれぞれは、パケットをキャプチャする機能を有しない、スイッチまたは次段のパケット振り分け装置にパケットを振り分ける装置として機能することができる。
【0042】
本実施の形態における中段振り分け装置50(#2~N-1)は、タイムスタンプ部がない点以外は、初段パケット振り分け装置40(#1)と同様の構成を有する。終端装置となる最終段パケット振り分け装置60(#N)は、中段振り分け装置50(#2~N-1)と比較すると、キャプチャ対象でないフローのパケットを廃棄するフィルタ部(図示しない)を有する点が異なる。
【0043】
このように、第2の実施の形態によれば、N段のパケット振り分け装置#1~#Nで振り分けられたルールと一致したフローのパケットはスイッチを通して後段処理装置に集約され、1カ所でのパケットキャプチャを行う構成を実現することができる。
【0044】
なお、本実施の形態では、キャプチャ機能に着目して、キャプチャしたパケットを1カ所の記憶装置に保存できる構成例を示したが、この構成例に限定することはない。例えば、後段処理装置は、振り分け装置以外の装置と接続されていても良い。例えば、ミラーリングパケットを受信して、そこから統計情報を出力するようなトラフィック監視装置と接続するように構成しても良い。
【0045】
<第3の実施の形態>
第2の実施の形態においては、パケット振り分け装置#1~#Nを、スイッチを介して後段処理装置と接続することでキャプチャシステムを実現する構成例を示した。このような構成では、装置間の連携はなく、パケット振り分け装置から後段処理装置へ片方向にパケットを送信する構成であった。そのため、第2の実施の形態では、パケットキャプチャの開始/停止の設定は、初段パケット振り分け装置#1の内部でのみ行う構成であった。第3の実施の形態においては、パケット振り分け装置#1~#Nと連携している後段処理装置からもパケットキャプチャの開始/停止が設定可能な構成例を示す。
第2の実施の形態においては、パケット振り分け装置#1~#Nを、スイッチを介して後段処理装置と接続することでキャプチャシステムを実現する構成例を示した。このような構成では、装置間の連携はなく、パケット振り分け装置から後段処理装置へ片方向にパケットを送信する構成であった。そのため、第2の実施の形態では、パケットキャプチャの開始/停止の設定は、初段パケット振り分け装置#1の内部でのみ行う構成であった。第3の実施の形態においては、パケット振り分け装置#1~#Nと連携している後段処理装置からもパケットキャプチャの開始/停止が設定可能な構成例を示す。
【0046】
図11に本実施の形態のパケットキャプチャシステムの構成例を、図12に、初段パケット振り分け装置#1の構成例を示す。第2の実施の形態と比較して、後段処理装置80からスイッチ70を経由して初段パケット振り分け装置40(#1)への入力信号パスが追加されている点が異なる。
【0047】
本実施の形態では、後段処理装置80は、トリガ信号であるパケットキャプチャON/OFF信号を初段振り分け装置40(#1)に送信し、この信号に基づいて、初段パケット振り分け装置40(#1)はキャプチャ開始/停止を判断する。キャプチャONの場合には、初段パケット振り分け装置40(#1)の振り分け部44においてパケットのキャプチャを開始し、キャプチャOFFの場合には、振り分け部44において、パケットは廃棄される。本実施の形態によれば、後段処理装置80でキャプチャ処理が必要と判断された場合に、パケットキャプチャを開始することが可能となり、よりユーザビリティの高いキャプチャシステムを実現することができる。
【0048】
<第4の実施の形態>
第2、第3の実施の形態ではスイッチを経由して後段処理装置へキャプチャ対象パケットを送信する構成について示した。このような構成では、システムの構成要素数を増えると、それに応じてシステムに何等かの障害が発生した際の切り分けや検証が複雑化する場合がある。第4の実施の形態では、スイッチを経由せずに後段処理装置へキャプチャパケットを送信する構成例を説明する。
第2、第3の実施の形態ではスイッチを経由して後段処理装置へキャプチャ対象パケットを送信する構成について示した。このような構成では、システムの構成要素数を増えると、それに応じてシステムに何等かの障害が発生した際の切り分けや検証が複雑化する場合がある。第4の実施の形態では、スイッチを経由せずに後段処理装置へキャプチャパケットを送信する構成例を説明する。
【0049】
図13に本実施の形態のパケットキャプチャシステム1の構成例を示す。パケットキャプチャシステム1は、N台のパケット振り分け装置(40、50、60)と、初段パケット振り分け装置40のみに接続された後段処理装置80から構成されている。本実施の形態では、振り分け装置#2~#Nにおいてキャプチャ対象と判定されたパケットは、判定されたパケット振り分け装置から前段のパケット振り分け装置に戻されるように構成され、最終的に、キャプチャ対象のパケットが全て初段振り分け装置40(#1)に戻されるように構成されている。このような構成にすることで、スイッチを介することなく後段処理装置80にキャプチャ対象パケットを送信し集約することが可能となる。
【0050】
図14に初段パケット振り分け装置40(#1)の構成例を示す。第2の実施の形態の初段パケット振り分け装置#1との相違点は、出力調停部45を設けた点である。出力調停部45には、フロー識別部42でキャプチャ対象と判定されたパケットと振り分け装置#2~#Nでキャプチャ対象と判定されたパケットが入力される。出力調停部は、それら2種類のパケットが衝突しないように多重して後段処理装置80に出力する機能を有する。
【0051】
図15に中段パケット振り分け装置50(#2~#N-1)の構成例を示す。初段パケット振り分け装置40(#1)との相違点は、タイムスタンプ部43がないこと、外部機器との連携ポート数が初段パケット振り分け装置40より1ポート少ない2ポートであり、出力調停部55からの出力先がカスケード接続の前段のパケット振り分け装置である点である。出力調停部55の機能は、初段振り分け装置40(#1)と同様である。
【0052】
図示しないが、最終段パケット振り分け装置60(#N)は、中段振り分け装置50(#2~N-1)と比較すると、外部機器との連携ポート数が中段パケット振り分け装置50よりもさらに1ポート少ない1ポートであること、キャプチャ対象でないフローのパケットを廃棄するフィルタ部(図示しない)を有する点が異なる。
【0053】
このように、第4の実施の形態によれば、装置構成数、ポート数を必要最低限にして、スケーラビリティーを考慮した超大量パケットのパケットキャプチャが可能となる。
【0054】
<第5の実施の形態>
第1~第4の実施の形態においては、複数のパケット振り分け装置をカスケード接続し、(N×Nf)フローのパケットキャプチャを行うことが可能な構成について説明した。本実施の形態では、カスケード接続において、初段装置のパケット解析部を全装置で共通化できることを利用し、(N×Nf)以上のフローのキャプチャ処理が可能なパケットキャプチャシステムについて説明する。
第1~第4の実施の形態においては、複数のパケット振り分け装置をカスケード接続し、(N×Nf)フローのパケットキャプチャを行うことが可能な構成について説明した。本実施の形態では、カスケード接続において、初段装置のパケット解析部を全装置で共通化できることを利用し、(N×Nf)以上のフローのキャプチャ処理が可能なパケットキャプチャシステムについて説明する。
【0055】
本実施の形態では、初段パケット振り分け装置#1のパケット解析部において、解析結果を示す情報をパケット内部に埋め込んでおく。中段以降のパケット振り分け装置#1~#Nでは、この解析結果を用いてキャプチャ対象のフローの識別を行う。
【0056】
解析結果を示す情報としては、例えば、パケット種別を示す番号が考えられる。中段以降のパケット振り分け装置#1~#Nでは、パケット種別と番号の対応関係を表すテーブル等を用意しておき、パケットに埋め込まれた解析結果を示す番号とテーブルのパケット種別を示す番号とを比較する処理のみでヘッダ種別を特定することが可能となる。中段以降のパケット振り分け装置#1~#Nでは、パケットの先頭からヘッダを解析する処理が不要となる。
【0057】
このような構成により、本実施の形態では、中段以降のパケット振り分け装置では、パケット解析部に関わる回路が初段パケット振り分け装置#1よりも簡易なものになり、その分の余剰リソースをルール数Nfの増加分等に充てることが可能となる。
【0058】
<実施の形態の拡張>
以上、実施の形態を参照して本発明を説明したが、本発明は上記実施の形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
以上、実施の形態を参照して本発明を説明したが、本発明は上記実施の形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
【符号の説明】
【0059】
1…パケットキャプチャシステム、10、20、30…パケット振り分け装置、11、21、31…パケット解析部、12、22、32…フロー識別部、13…タイムスタンプ部、14、24…振り分け部、34…フィルタ部、15、25、35…キャプチャファイル生成部、16、26、36…記憶部、37…フィルタ部、100…ルールテーブル、200…キャプチャ対象ネットワーク。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】