JP2005277804A - 情報中継装置 - Google Patents
情報中継装置 Download PDFInfo
- Publication number
- JP2005277804A JP2005277804A JP2004088302A JP2004088302A JP2005277804A JP 2005277804 A JP2005277804 A JP 2005277804A JP 2004088302 A JP2004088302 A JP 2004088302A JP 2004088302 A JP2004088302 A JP 2004088302A JP 2005277804 A JP2005277804 A JP 2005277804A
- Authority
- JP
- Japan
- Prior art keywords
- flow
- information
- packet
- unit
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/22—Traffic shaping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2458—Modification of priorities while in transit
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/50—Overload detection or protection within a single switching element
- H04L49/501—Overload detection
- H04L49/503—Policing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】不正フローの疑いのあるフローを特定し、そのフローのフロー統計情報を収集できる情報中継装置を提供する。
【解決手段】装置管理部2の廃棄情報解析部20は、パケット受信部4の帯域監視部42やパケット送信部5の帯域制御部52による廃棄パケット数や受信パケット数または送信パケット数を解析し、解析結果に応じてOUT側フロー制御部6−1やIN側フロー制御部6−2にフロー制御の対象となるフローの識別情報を自動的に設定する。OUT側フロー制御部6−1やIN側フロー制御部6−2は、設定されたフロー識別情報を用いて対象フローに属するパケットからフロー統計情報を採取する
【選択図】 図1
【解決手段】装置管理部2の廃棄情報解析部20は、パケット受信部4の帯域監視部42やパケット送信部5の帯域制御部52による廃棄パケット数や受信パケット数または送信パケット数を解析し、解析結果に応じてOUT側フロー制御部6−1やIN側フロー制御部6−2にフロー制御の対象となるフローの識別情報を自動的に設定する。OUT側フロー制御部6−1やIN側フロー制御部6−2は、設定されたフロー識別情報を用いて対象フローに属するパケットからフロー統計情報を採取する
【選択図】 図1
Description
本発明は、情報中継技術に関し、特にルータ、LANスイッチ等の情報中継装置に適用して有効な技術に関する。
例えばルータやLANスイッチ等の情報中継装置は、受信パケット中のインターネット用のアドレスと、情報中継装置内に格納している経路情報テーブルに従って、パケットの送出経路を決定し、パケットを送出する。
近年、インターネットへの接続網として通信事業者(例えばISP(Internet Service Provider)等)から提供される公衆網やアクセス網(例えば地域IP網等)は、専用線から広域イーサネット(R)へ移行が進んでおり、パケットの通信量の増加やアクセス網の利用ユーザ数の増加が顕著となっている。情報中継装置は、10Gbps(Giga bit per second)等の帯域を持つ高速イーサネット(R)回線(以下、回線)の収容数を増加させ、パケットの中継処理を非常に高速に処理するための機能を備える。
また、ベストエフォートでパケットを転送する広域イーサネット(R)網において、網利用ユーザ(以下、ユーザ)毎の最低保証帯域等の契約帯域を確保するべく、各ユーザの許容帯域を超えるパケットフローに対しては、帯域超過分に限りパケットを廃棄する機能も備える、このような機能により、情報中継装置は、網内におけるパケットの輻輳による他のユーザの通信帯域に影響が出ることを防止し、各ユーザとの契約帯域を遵守する。さらに、音声やデータ等を通信するための統合ネットワークにおける情報中継装置は、パケットによりデータを送受信するアプリケーション(以下、パケットのアプリケーション)種別毎に異なる優先度で転送する機能も備える。これにより、情報中継装置は、パケットのアプリケーション毎に予め定めた基準で転送優先度を判別し、音声等の低遅延での転送が要求されるパケットを、比較的遅延が許されるデータ用のパケットよりも優先して転送する。
このように、ユーザ毎に許容帯域を超えるパケットを制限し、または、パケットのアプリケーション種別毎に異なる転送優先度にてパケットを転送する、シェ-ピングと呼ばれる技術が特開2002−185459号公報に記載されている。尚、シェーピングを実行する装置をここではシェーパと呼ぶ。
シェーパは、公衆網やアクセス網等(以下、通信網)の出口(通信網とユーザ網との境界)に配置された情報中継装置に置かれる。シェーパは、通信網の管理者(以下、網管理者)とユーザ間の契約により決定される最低保証帯域や最大許可帯域等の契約帯域情報をユーザ毎に管理する。そして、任意のユーザの利用帯域が例えば最大許可帯域を超過した場合、シェーパは帯域超過分に限りパケットを廃棄する。これにより、ユーザ毎に通信帯域が最大許可帯域を超過することを制限して他のユーザの通信帯域が阻害されることを防ぎ、各ユーザの最低保証帯域を確保する。一方、回線の余剰帯域については、契約している最低保証帯域と網資源の使用状況を考慮して各ユーザに公平に分配することで、シェーパは回線を効率的に利用する。また、シェーパは、ユーザ毎に転送優先度の異なる複数の仮想通信パスを用意し、パケットのアプリケーションに応じて、仮想通信パスにパケットを振り分けることにより、パケットのアプリケーション毎に異なる転送優先度でパケットを送信する。これにより、契約している全てのユーザ毎に最低帯域を保証し、パケット毎の要求品質を確保する。尚、パケットの振り分けは、例えばシェーパの送信部に転送優先度の異なる複数の送信キューを設け、これらの送信キューにパケットを振り分けることにより実現される。
また、契約帯域以上のパケットが例えば通信網内に流入すると、網内または情報中継装置内で輻輳が発生し、網管理者は各ユーザとの契約帯域を遵守できなくなってしまう可能性がある。そのため、網管理者は網入口において、ユーザ毎に使用帯域を監視し、契約帯域以上のパケットを廃棄する等の処理を行い、網内の資源を保護する必要がある。このための手段としては、例えば特開2003−046555号公報に記載されたUPC(Usage Parameter Control)またはポリシングと呼ばれる技術がある。尚、UPCまたはポリシングを実行する装置をここではポリサと呼ぶ。
ポリサは、通信網の入口(ユーザ網と通信網との境界)に配置された情報中継装置に置かれる。ポリサによる帯域監視のアルゴリズムには、例えばある深さを持った穴のあいた漏れバケツを用いたモデルで表されるLB(Leaky Bucket)アルゴリズムがある。ポリサとしてLBアルゴリズムを用いて帯域監視を行う情報中継装置は、バケツの深さに対応する蓄積量閾値情報と、水の漏れる速さであり、契約帯域に対応する監視帯域情報と、前パケットが到着した時間である前パケット到着時刻情報を備え、パケット受信時に、受信したパケットの長さを加えたパケットの蓄積量を計算し、その蓄積量が閾値情報以下である場合には受信パケットを「遵守」と判定し、逆に閾値情報を超過する場合には受信パケットを「違反」と判定することで、契約帯域違反の監視を行う。
更に、通信量の増加やパケットのアプリケーション種別の多様化に伴い、網管理者からは、通信網内の監視や利用量の把握、利用量に応じた課金等の管理機能が求められている。このような要求に応えるべく、情報中継装置は、通信網内のトラフィックをモニタする機能として、中継するパケットの統計的な情報(フロー統計情報)を収集するフロー統計機能を備える。ここで、フローとは任意の送信元と宛先との間で任意のデータを伝送するために送受信される一連のパケットを指す。網管理者は、フロー統計機能によって収集されたフロー統計情報を基に、通信網の使用状況やユーザ毎の利用状況等を把握する。このようなフロー統計機能に関しては、例えばIETF(The Internet Engineering Task Force)発行のRFC(Request for comment)3176に記載されたsFlow技術等がある。
例えば、sFlow技術によれば、フロー統計情報として、転送パケット情報を収集するためのフローサンプルと、転送パケット数を把握するためのカウンタサンプルがそれぞれ採取される。フローサンプルの採取では、情報中継装置は、予め決められたサンプリング間隔で、中継するパケットからヘッダ情報等の特徴情報を抽出する。また、情報中継装置は、通信網とのインタフェースにおいて、転送するパケット数をカウントするカウンタを備え、パケットを転送する度にカウント値を加算することによりカウンタサンプルを採取する。このように採取されたサンプルは、情報中継装置から例えばフロー解析装置にリアルタイムに送信される。フロー解析装置は、情報中継装置から送られたサンプルを集計、編集及び表示する機能を有する装置である。網管理者はフロー解析装置を用いて情報中継装置が中継するパケットのサンプルを解析することで、通信網の使用状況やユーザ毎の利用状況を把握し、また、解析結果を課金、アタック解析または通信網への設備投資計画等に利用する。尚、sFlow技術においてサンプル採取の対象となるパケットは、情報中継装置が中継する全てのパケットである。このため、網管理者は、情報中継装置により中継されるフローの状況をより正確に把握することができる。また、パケットのサンプリング間隔を例えば1/1とすることにより、情報中継装置は、全てのパケットについてフローサンプルを採取することも可能である。
インターネットの普及に伴い、通信網内またはサーバに大量の不正パケットを送付し、過剰な負荷を与えることによって通信サービスを停止させることを目的とした攻撃(DoS(Denial of Service)攻撃)が多発している。ベストエフォートで中継する広域イーサネット(R)網においては、DoS攻撃により送り込まれた大量の不正パケットによって網資源が占有されてしまい、回線または情報中継装置を利用するユーザの通信帯域が阻害されてしまう。このような、帯域違反フローや不正フローから各ユーザの通信帯域を保護するには、上述したシェーパが有効である。不正パケットが一定の送信元(攻撃元)から一定の宛先(攻撃先)に大量送付される場合、シェーパは、不正フローによる利用帯域を制限できるため、他のユーザの通信帯域を確保できる。しかし、この場合、攻撃先への他の正常フローの通信帯域は阻害されてしまう。
また、近年増加しているDDoS攻撃(Distributed DoS攻撃)のように、複数の攻撃元から一つの攻撃先に大量の不正パケットが送信される場合には、一つの攻撃元からの不正フローは通常フローのように振舞うが、全体として攻撃先へ大量の不正パケットが送信されてしまう。このような攻撃に対しては、網管理者は攻撃先と攻撃元を特定し、また、不正フローの特徴情報を特定し、不正フローに対して対策を施す必要がある。このようなDoS攻撃やDDoS攻撃における攻撃先あるいは攻撃元を特定するには、上述したフロー統計技術が有効である。網管理者は、情報中継装置のフロー統計機能により収集されたサンプルを解析することにより、特定の宛先に大量に送付されているような不正フローを発見し、攻撃元や攻撃先、不正フローの特徴情報を特定する。さらに、特定されたフローと同じ送信元、宛先、その他の特徴情報を持つパケットを廃棄するように情報中継装置に設定する。これにより、通信網内の不正フローに対する対策が可能である。
更に、シェーパにおいて不正フローに対する許容帯域をより小さく設定することで、DoS攻撃による通信網内の影響を少なくすることもできる。
但し、不正フローのように、攻撃が開始される以前には、いつ、どの送信元からどの宛先に送付されるか予測不能なフローについて、攻撃が開始された時点で即座に不正フローと特定するためには、常時、情報中継装置のフロー統計機能による全ての中継パケットのサンプル採取と、網管理者によるフロー解析装置を用いたフロー監視作業が必要となる。しかし、情報中継装置は、10Gbps等の高速回線の収容数の増加やユーザ数の増加等により、大量の正常なパケットを処理しているため、採取されるサンプルも大量である。従って、網管理者も大量のサンプルを解析しなければならず、情報中継装置により中継されるフローの中から少数の不正フローを特定するには多くの時間が必要となる。よって、網管理者は、即座に不正フローを特定して、その対策を施すことができないという問題がある。
従って、本発明は、不正フローによる輻輳を自動的に検知し、輻輳発生時にのみ自動的にフロー統計情報を採取することで、網管理者の解析する情報量を削減することが可能な情報中継装置を提供する。
また、本発明は、不正フローの特徴情報を抽出して自動的にフローの絞り込みを行い、絞り込まれたフローに対してのみフロー統計情報を採取することで、網管理者によるフロー統計情報の解析と不正フローの特定を容易にすることが可能な情報中継装置を提供する。
更に、本発明は、特定された不正フローに対する廃棄等の設定を自動的に行える情報中継装置を提供する。
本発明による情報中継装置は、受信するパケットに対してポリシングを実行し、ユーザ毎に決められた契約帯域に違反すると判定したパケットの数を計数する帯域監視部、または、送信するパケットに対してシェーピングを実行し、ユーザ毎に決められた契約帯域に違反すると判定したパケットの数を計数する帯域制御部を有する。更に情報中継装置は、受信または送信するパケットのうちヘッダに含まれる情報が予め登録されたフロー識別情報と一致するパケットを検出し、フロー統計情報を収集するフロー制御部と、帯域監視部または帯域制御部により計数されたパケットの数が予め決められた閾値を超える場合、それらのパケットが属するフローの識別情報をフロー制御部に登録する解析部を有する。この情報中継装置において、フロー制御部は、帯域監視部または帯域制御部により契約帯域違反と判定されたパケットの数が所定の閾値を超えるフローに属するパケットを、解析部により登録されるフロー識別情報を用いて検出し、検出したパケットからフロー統計情報を収集する
情報中継装置が、例えば輻輳が発生してパケットが廃棄されているフローのうち廃棄数が異常なフローを特定し、そのフローに関するフロー統計情報を採取するため、情報中継装置からフロー統計情報を受け取るフロー統計解析装置では、情報中継装置が中継する異常なフローを解析することができ、DoS攻撃やDDoS攻撃に利用される不正フローや契約帯域違反フローをより容易にまたはより高速に特定することができる。
以下、本発明の一実施例を図面を参照しながら詳細に説明する。
図1は、本発明を適用した情報中継装置の全体構成図である。また、図12から図2は情報中継装置内の各部の詳細構成図である。以降、情報中継装置を構成する各部の構成について説明し、その後フローチャートを用いて各部の動作手順を説明する。
まず、図1を用いて情報中継装置1の構成を説明する。
情報中継装置1は、装置全体の制御及び管理を行う装置管理部2と、1つ以上の回線と接続され、接続された回線からパケットを受信する1または複数のパケット受信部4と、1つ以上の回線と接続され、接続された回線にパケットを送信する1または複数のパケット送信部5と、受信したパケットに含まれるヘッダの情報に基づいて次の転送先を決定するパケット中継部7と、パケット受信部4からパケット送信部5へのパケットの中継を行うスイッチ部8と、受信したパケットに対するフロー制御を行う入力(IN)側フロー制御部6−2と、送信すべきパケットに対するフロー制御を行う出力(OUT)側フロー制御部6−1から構成される。また、情報中継装置1は、後述するようにフロー統計情報送信モジュール3を備え、外部に用意されたフロー統計解析装置12に接続される
装置管理部2は、図示しないが、装置全体の制御ソフトウェアや、各種のソフトウェアを格納するメモリと、制御ソフトウェアや各種のソフトウェアを実行する実行部(CPU)を備える。更に、装置管理部2は後述するように廃棄情報解析部20とフロー統計送信部24を備える。尚、廃棄情報解析部20とフロー統計送信部24とは、ハードウェアとして構成されてもよいし、実行部により実行されるソフトウェアとして構成されてもよい。図1に示されるように、装置管理部2には網管理者用操作端末11が接続されている。
装置管理部2は、図示しないが、装置全体の制御ソフトウェアや、各種のソフトウェアを格納するメモリと、制御ソフトウェアや各種のソフトウェアを実行する実行部(CPU)を備える。更に、装置管理部2は後述するように廃棄情報解析部20とフロー統計送信部24を備える。尚、廃棄情報解析部20とフロー統計送信部24とは、ハードウェアとして構成されてもよいし、実行部により実行されるソフトウェアとして構成されてもよい。図1に示されるように、装置管理部2には網管理者用操作端末11が接続されている。
パケット受信部4は、1つ以上の回線と接続される1つ以上の入力ポートと、接続される回線の種類に対応し、接続された回線からパケットを受信する受信制御部41と、例えばLBアルゴリズムを用いて入力帯域の監視と制御(ポリシング)を行う帯域監視部42を備える。後述するように、帯域監視部42にはユーザ毎に決定された契約帯域が予め設定されており、これらの契約帯域に基づいて、帯域監視部42は、受信するパケットが契約帯域を超えていないかをユーザ毎に監視(判定)する。また、後述するように、帯域監視部42は受信カウンタメモリ421を備え、ユーザ毎に契約帯域を遵守しているパケットの計数値(受信パケット数)や、ユーザ毎に契約帯域に違反して廃棄されるパケットの計数値(廃棄パケット数)を記憶する。
パケット送信部5は、1つ以上の回線と接続される1つ以上の出力ポートと、接続される回線の種類に対応し、パケットを接続された回線に送信する送信制御部51と、パケットの優先制御と出力帯域の制御(シェーピング)を行い、ユーザ毎に決められた契約帯域内でパケットを送信する帯域制御部52を備える。後述するように、帯域制御部52は、ユーザ毎に設けられ、送信すべきパケットを一時的に格納する送信キューを備える。帯域制御部52にはユーザ毎に決定された契約帯域と、パケットのアプリケーション種別毎の送信優先度が予め設定されており、ユーザ毎に送信すべきパケットの優先制御を行うと共に、送信キュー毎にパケットの出力帯域が設定された契約帯域を越えないように制御する。また、後述するように、帯域制御部52は送信カウンタメモリ521を備え、契約帯域を遵守して送信されるパケットの計数値(送信パケット数)や、契約帯域に違反して廃棄されるパケットの計数値(廃棄パケット数)を記憶する。
尚、上述におけるユーザとは、個々の端末やその利用者そのものを表すものではなく、例えば通信事業者と契約することにより通信事業者の提供する網(ネットワーク)を利用してデータ(パケット)を送受信する個人や法人、或いは組織や団体を表すものである。このようなユーザは、例えばパケットのヘッダに含まれるVLAN ID、送信元IPアドレス、宛先IPアドレス、或いは送信元MACアドレスや宛先MACアドレス等により識別されることが可能である。
フロー制御部6−1、6−2はそれぞれフロー検出部65−1、65−2とフロー統計部66−1、66−2を備える。後述するように、フロー検出部65−1、65−2はそれぞれフロー制御を行うべきフローを識別するための情報(条件)と、各フローに含まれるパケットに対して行うべきフロー制御の内容(種類)とが登録されたエントリを複数格納しているフロー制御条件メモリ651−1、651−2を備える。また、フロー統計部66−1、66−2は、パケットから採取されるサンプルを格納するためのフロー統計収集メモリ661−1、661−2を備える。
パケット中継部7は、例えば図2に示すように、送出経路(転送先)を決定するための情報(例えばルーティングテーブル)が格納されたメモリ71とルーティング部75を備える。パケット中継部7のルーティング部5は、パケット受信部4またはIN側フロー制御部6−2からパケットを受信し、パケットのヘッダに含まれる情報、例えば宛先IPアドレスまたは宛先MACアドレス等とメモリ71のルーティングテーブル等に登録されている経路情報に基づいてパケットの送出経路(次の転送先)を決定する。ルーティング部75は、パケットと共に決定した送出経路情報をスイッチ部8に転送する。
スイッチ部8は、パケット中継部7からパケットと送出経路情報を受信し、送出経路情報に従って、そのパケットを送信すべき回線と接続されているパケット送信部5、またはそのパケット送信部5に対応して設けられているOUT側フロー制御部6−1にパケットを転送する。
尚、図1の情報中継装置1においてはパケット受信部4、パケット送信部5、フロー制御部6−1、6−2がそれぞれ1つずつ示されているが、上述した通り、情報中継装置1は接続される回線の種類に応じて、または接続される回線毎に複数のパケット受信部4及びパケット送信部5を備えることができ、また、パケット受信部4やパケット送信部5の数に応じて複数のフロー制御部6−1またはフロー制御部6−2を備えることもできる。
更に、図1の情報中継装置1においては、パケット受信部4とパケット送信部5が別々の構成要素として示されているが、情報中継装置1は、パケット受信部4とパケット送信部5に代えて1以上のパケット送受信部を備えることができる。
この場合、各パケット送受信部は、上述したパケット受信部4及びパケット送信部5と同じ構成をそれぞれ備える。従って、各パケット送受信部のうちのパケット受信部4に相当する部分がパケットを受信し、各パケット送受信部のうちのパケット送信部5に相当する部分がパケットを送信する。この場合、スイッチ部8は、パケットを受信したパケット送受信装置からそのパケットを送信すべきパケット送受信装置に受信したパケットを中継する。
この場合、各パケット送受信部は、上述したパケット受信部4及びパケット送信部5と同じ構成をそれぞれ備える。従って、各パケット送受信部のうちのパケット受信部4に相当する部分がパケットを受信し、各パケット送受信部のうちのパケット送信部5に相当する部分がパケットを送信する。この場合、スイッチ部8は、パケットを受信したパケット送受信装置からそのパケットを送信すべきパケット送受信装置に受信したパケットを中継する。
次に、情報中継装置1の各部の詳細な構成とその動作について説明する。
図3はパケット受信部4の具体的な構成図を示す。
図3において、パケット受信部4は、上述した通り、それぞれ回線と接続される1以上の入力ポートと受信制御部41と帯域監視部42とを備える。帯域監視部42は、受信制御部41により受信したパケットを一時的に保持し、例えばパケットのヘッダに含まれている情報やパケットを受信した入力ポートの情報等からパケットのユーザ及びパケットの持つ優先度を特定し、また、受信したパケットのパケット長(例えばパケットのバイト数等)をカウントする受信パケット処理部422を備える。また、帯域監視部42は、ユーザ毎にパケットの受信時点において受信パケット処理部422に保持されているパケットの蓄積量(パケット長の積算値)を算出し、その蓄積量に受信したパケットのパケット長を加算した値と、特定されたパケットの優先度に対して予め決められている蓄積量閾値とを比較し、受信したパケットがそのユーザの契約帯域を超えていないか判定する受信パケット判定部423を備える。更に、帯域監視部42は、ユーザ毎に、例えば契約帯域と、パケットの優先度毎に予め決められた蓄積量閾値と、上述した加算値と、パケットの受信時刻等を記憶する帯域監視メモリ424と、各ユーザのパケットの優先度毎に契約帯域を遵守していると判定されたパケットの計数値(受信パケット数)と契約帯域違反と判定されたパケットの計数値(廃棄パケット数)を記憶する受信カウンタメモリ421を備える。尚、受信パケット判定部423はパケット長の積算値以外に、パケット数やパケットに含まれるデータ長の積算値等を用いて契約帯域違反の判定を行ってもよい。
図4に受信カウンタメモリ421に記憶される情報の一例を示す。図4において、受信カウンタメモリ421には、パケットを受信する入力ポートの識別情報(各入力ポートに割当てられた入力ポート番号)、ユーザの識別情報(ユーザID)、パケットの優先度を示す情報(各々の優先度を識別するための値)、受信パケット数、及び廃棄パケット数がそれぞれ対応付けられて記憶されている。尚、図4では受信カウンタメモリ421に記憶される情報をテーブル形式で示しており、ここではこのテーブルを受信カウンタテーブルと呼ぶ。図4に示す通り、受信カウンタテーブルは、上述した入力ポート番号、ユーザID、優先度識別値、受信パケット数及び廃棄パケット数がそれぞれ登録された複数のエントリから構成されている。但し、受信カウンタメモリ421は必ずしも上述した情報をテーブル形式で記憶する必要はない。
次に図5を用いてパケット受信部4の動作について具体的に説明する。図5はパケット受信部4の動作手順を示すフローチャートである。
パケット受信部4の受信制御部41が何れかの入力ポートを介して回線からパケットを受信すると(手順1001)、受信されたパケットは帯域監視部42の受信パケット処理部422に送られる。受信パケット処理部422は、パケットのヘッダに含まれている情報、例えばVLAN ID、送信元IPアドレス等によりパケットのユーザを特定する。また、受信パケット処理部422は、パケットのヘッダに含まれているDSCP(Differentiated Service Code Point)、送信元または宛先IPアドレス、送信元または宛先ポート番号等からパケットの持つ優先度を特定する(手順1002)。更に、受信パケット処理部422は受信したパケットのパケット長をカウントする。尚、上述したDSCPはヘッダのTOS(Type of Service)フィールドまたはトラフィッククラスフィールドに格納される情報であり、情報中継装置におけるパケットの優先制御の基準となる値が設定される。
続いて、受信パケット判定部423は、特定されたユーザ及び優先度に対応する契約帯域、蓄積量閾値、加算値、受信時刻の各値を帯域監視メモリ424より読み出す。上述した通り、読み出された加算値及び受信時刻は、前回、パケットを受信した時点におけるパケットの蓄積量とその時刻である。受信パケット判定部423は、読出した受信時刻から現在の時刻までの経過時間に契約帯域を乗じることにより、経過時間に受信パケット処理部422から出力されたパケットのパケット長累計値を算出する。この値は受信パケット処理部422におけるそのユーザのパケットの蓄積量からの減少量に相当する。受信パケット判定部423は、読み出した加算値から算出したパケット長累計値を減算し、現時点で受信パケット処理部422に保持されているそのユーザのパケットの蓄積量を算出する。そして、受信パケット判定部423は算出した蓄積量に受信したパケットのパケット長を加算し、その加算値と読み出した蓄積量閾値とを比較する(手順1003)。手順1003において受信パケット判定部422は加算値が蓄積量閾値以下であれば契約帯域を遵守していると判定し、特定されたユーザ及び優先度に対応するユーザID及び優先度識別値を受信カウンタメモリ421の記憶内容から見つけ(受信カウンタテーブルからそれらの情報が登録されているエントリを見つけ)、それらの情報と対応付けられた受信パケット数を読み出して加算(+1)し、加算後の受信パケット数を再び受信カウンタメモリ421に格納する(手順1005)。また、受信パケット判定部422は、現在の時刻と算出した加算値をそれぞれ特定されたユーザに対応する受信時刻及び加算値として帯域監視メモリ424に格納する。これにより受信したパケットは受信パケット処理部422に一時的に保持される(手順1010)。
一方、手順1003において加算値が蓄積量閾値を超えていると受信パケット判定部422は契約帯域を違反していると判定し、特定されたユーザ及び優先度に対応するユーザID及び優先度識別値を受信カウンタメモリ421の記憶内容から見つけ(受信カウンタテーブルからそれらの情報が登録されているエントリを見つけ)、それらの情報と対応付けられた廃棄パケット数を読み出して加算(+1)し、加算後の廃棄パケット数を再び受信カウンタメモリ421に格納する(手順1006)。また、受信パケット判定部423は、契約帯域違反と判定したパケットを廃棄するか、またはその優先度を下げて転送するか決定する(手順1007)。この決定は、帯域監視部422に対して予め設定されている情報に基づいて行われる。例えばこの情報は廃棄または転送を示す情報として帯域監視メモリ424に設定される。この場合、受信パケット判定部423は、上述した各情報と共にこの情報を読み出す。受信パケット判定部423は、パケットを廃棄すると決定すると受信したパケットを廃棄してパケットの受信処理を終了する(手順1009)。一方、受信パケット判定部423は、パケットを転送すると判定すると、例えばパケットのヘッダの内容を更新し、または新たな優先度を示すフラグをパケットに付加することによりパケットの持つ優先度を下げ(手順1008)、受信パケット処理部422に保持させる(手順1010)。
受信パケット処理部422は、上述した処理と並行して、保持している各ユーザのパケットを、各ユーザの契約帯域に従って順次出力する(手順1011)。受信パケット処理部422から出力されたパケットはパケット受信部4から図1に示すIN側フロー制御部6−2またはパケット中継部7に転送される。
図6はパケット送信部5の具体的な構成図を示す。
図6において、パケット送信部5は、上述した通り、それぞれ回線と接続される1以上の送信制御部51と帯域制御部52とを備える。帯域制御部52は、ユーザ1からユーザn(nは2以上の整数)のそれぞれに対して、複数の送信キュー(送信キュー1、2、3、4)を備える。ユーザ毎に設けられた各送信キューは互いに異なる優先度を持つパケットを一時的に格納する。このようなユーザ毎の複数の送信キューを利用してシェーピングを実行するために、帯域制御部52は、図1におけるOUT側フロー制御部6−1またはスイッチ部8からパケットを受信し、例えばパケットのヘッダに含まれている情報や図1に示すパケット中継部7により決定された送出経路情報等からパケットのユーザを特定すると共にパケットの持つ優先度を判定し、それを格納すべき送信キューを決定するユーザ決定部522と、ユーザ決定部522により決定されたユーザの送信キューにパケットを格納するキューイング部523を備える。
また、帯域制御部52は、ユーザ毎に設けられ、各ユーザの送信キュー1〜4におけるパケットの格納状況とそれぞれの送信キューに格納されたパケットの優先度、及び契約帯域に従って何れか1つの送信キューを選択し、選択した送信キューの先頭に格納されているパケットを取り出して出力するn個のユーザ帯域制御部526と、接続される回線毎に設けられ、回線の帯域と各ユーザの契約帯域、或いはパケットの優先度に従って、各ユーザ帯域制御部526から出力されるパケットのうちの1つを選択して出力する1以上の回線帯域制御部525を備える。
ここで、各送信キューは、予め決められた量(例えばパケット長またはパケット数)のパケットを格納できるだけのキュー長を持つ。また、各送信キューに格納されたパケットは、それぞれのユーザに対して設定されている契約帯域に従ってユーザ帯域制御部526や回線帯域制御部525により選択され、送信制御部51から送信される。このように帯域制御部52においては、パケットの出力帯域がそのパケットのユーザの契約帯域以下となるように制御される。従って、受信するパケットがそのユーザの契約帯域を越えていなければ、順次、パケットはそのユーザに対して設けられた各送信キューに格納されて送信制御部51から送信される。しかし、あるユーザの契約帯域を越える量のパケットが送られてきた場合、そのユーザの何れかの送信キューに格納しようとするパケットの量が、その送信キューから取り出されて送信されるパケットの量を上回る。そのため、送信キューにパケットを格納しきれなくなり、送信キューからパケットが溢れてしまう。それ故、帯域制御部52のキューイング部523は、送信キュー毎に格納しようとするパケットが溢れてしまうか否かを監視することにより契約帯域違反の有無を判定する。
更に、帯域制御部52は、各ユーザの送信キュー毎に送信キューに格納されたパケットの計数値(送信パケット数)と送信キューから溢れて廃棄されたパケットの計数値(廃棄パケット数)を記憶する送信カウンタメモリ521を備える。
図7に送信カウンタメモリ521に記憶される情報の一例を示す。図7において、送信カウンタメモリ521には、パケットを送信する出力ポートの識別情報(各出力ポートに割当てられた出力ポート番号)、ユーザの識別情報(ユーザID)、送信キューの識別情報(ユーザ毎に各送信キューに割当てられた送信キュー番号)、送信パケット数、及び廃棄パケット数がそれぞれ対応付けられて記憶されている。尚、図7では送信カウンタメモリ521に記憶される情報をテーブル形式で示しており、ここではこのテーブルを送信カウンタテーブルと呼ぶ。図7に示す通り、送信カウンタテーブルは、上述した出力ポート番号、ユーザID、送信キュー番号、送信パケット数及び廃棄パケット数がそれぞれ登録された複数のエントリから構成されている。但し、送信カウンタメモリ521は必ずしも上述した情報をテーブル形式で記憶する必要はない。
次に図8を用いてパケット送信部5の動作について具体的に説明する。図8はパケット送信部5の動作手順を示すフローチャートである。
パケット送信部5が、図1に示すOUT側フロー制御部6−1またはスイッチ部8からパケットを受信すると、ユーザ決定部522は、パケットのヘッダに含まれている情報、例えばVLAN ID、送信元または宛先MACアドレス、または、送信元または宛先IPアドレスによりパケットのユーザを特定する(手順1501)。更に、ユーザ決定部522は、パケットのヘッダに含まれる送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、送信元MACアドレス、宛先MACアドレス、DSCP等によりパケットを格納すべき送信キューを決定する(手順1501)。尚、ユーザ決定部522には、各ユーザの送信キュー毎に、そこに格納されるべきパケットの優先度やそのパケットが属するフローを識別するための情報、例えばヘッダに含まれる送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、送信元MACアドレス、宛先MACアドレス、DSCP等が予め網管理者等により設定される。これらの設定情報は、ユーザ決定部522または帯域制御部52が備えるメモリ等に記憶される。従って、手順1501において、ユーザ決定部522は、受信したパケットのヘッダに含まれる各情報と設定情報とを比較することにより、パケットを格納すべき送信キューを決定する。
続いて、キューイング部523は、ユーザ決定部522により特定されたユーザの送信キュー1〜4のうち、ユーザ決定部522により決定された送信キューに受信したパケットを格納する(手順1502)。上述した通り、ユーザ毎に設けられた送信キュー1〜4に格納されたパケットは、各ユーザに対して設定された契約帯域と優先度に従って各送信キューから順次取り出されて送信される。そのため、パケット送信部5に送られてくるパケット、即ち、これから送信しようとするパケットがそのユーザの契約帯域を超えていなければ、パケットはその優先度に応じた送信キューに格納され、その後に送信される。しかし、そのユーザの契約帯域を越えてパケットが送られてくると、各送信キューから取り出されるパケットの量を格納しようとするパケットの量が上回るため、そのパケットの優先度に応じた送信キューにおいてもパケットを格納しきれなくなり、送信キューからパケットが溢れる(例えば予め決められた送信キューの最大蓄積量を超える)という現象が発生する。そこで、手順1502において、キューイング部523は、決定された送信キューにパケットを格納できるか、または送信キューから溢れてしまうかを判定し、これによって送信しようとするパケットが特定されたユーザの契約帯域に違反していないかを判定する。手順1502において、決定された送信キューにパケットを格納できないと判定すると、キューイング部523は、その送信キュー及び特定されたユーザに対応する送信キュー番号及びユーザIDを送信カウンタメモリ521の記憶内容から見つけ(送信カウンタテーブルからそれらの情報が登録されているエントリを見つけ)、それらの情報と対応付けられた廃棄パケット数を読み出して加算(+1)し、加算後の廃棄パケット数を再び送信カウンタメモリ521に格納する(手順1506)。その後、キューイング部523は、受信したパケットを廃棄して処理を終了する(手順1507)。手順1502において、決定された送信キューからパケットが溢れなければ、キューイング部523はその送信キューにパケットを格納できたと判定し、パケットはその送信キューに格納される。
各ユーザ帯域制御部526は、上述したユーザ決定部522及びキューイング部523による処理と並行して、送信キュー1〜4のそれぞれに格納されているパケットの有無とその優先度及びユーザの契約帯域に応じて何れか1つの送信キューを選択し、選択した送信キューの先頭に格納されているパケットを取り出して出力する(手順1503)。パケットを何れかの送信キューから取り出すと、各ユーザ帯域制御部526は、その送信キュー及び自身に対応するユーザと対応する送信キュー番号及びユーザIDを送信カウンタメモリ521の記憶内容(送信カウンタテーブル中の各エントリ)の中から見つけ、それらの情報と対応付けられた送信パケット数を読み出して加算(+1)し、加算後の送信パケット数を再び送信カウンタメモリ521に格納する(手順1504)。
図1に示すパケット中継部7により決定された送出経路に従ってパケットを送信すべき回線に対応して設けられた回線帯域制御部525は、その回線の帯域と各ユーザの契約帯域、或いはパケットの優先度に従って、各ユーザ帯域制御部526から出力されるパケットのうちの1つを選択し、送信制御部51に出力する。送信制御部51は、回線帯域制御部525から出力されるパケットを、上述した回線に接続された出力ポートを介して回線に送信する(手順1505)。
図9は、フロー制御部の具体的な構成図を示す。尚、図1に示すOUT側フロー制御部6−1及びIN側フロー制御部6−2はそれぞれ同一の構成を備える。そこで、図9はOUT側フロー制御部6−1に関する構成図のみを示している。
図9において、OUT側フロー制御部6−1は、上述した通り、スイッチ8から転送されるパケットを受信し、そのパケットがフロー制御の必要なフローに含まれるパケットか否かを判定するフロー検出部65−1を備える。フロー検出部65−1は、フロー制御を行うべきフローを識別するための情報(条件)と、各フローに含まれるパケットに対して行うべきフロー制御の内容(種類)とが対応付けられて登録されているフロー制御条件メモリ651−1と、フロー制御条件メモリ651−1に登録されている情報とパケットのヘッダに含まれる情報とを比較するフロー比較部652−1と、受信したパケットを一時的に保持し、また、フロー比較部652−1から比較結果を受け取り、比較結果に従ってフロー制御の内容を指示するフロー制御ラベルを付加してパケットを転送するフロー制御判定部653−1を備える。
また、OUT側フロー制御部6−1は、フロー制御の1つとしてパケットからフロー統計情報(サンプル)を採取するフロー統計部66−1を備える。フロー統計部66−1は、フロー統計情報の収集が必要と判定されたフロー毎にそのパケット数をカウントするパケットカウンタ663−1と、予め決められたサンプリング間隔とパケットカウンタ663−1の値に従ってパケットからサンプルを採取するフロー統計採取部662−1と、フロー統計採取部662により採取されたサンブルを格納するフロー統計収集メモリ661−1とを備える。
更に、OUT側フロー制御部6−1は、フロー検出部65−1のフロー制御判定部653−1から出力されるパケットに付加されたフロー制御ラベルに従ってフロー統計部66−1にフロー統計情報の収集を指示するフロー制御命令部67−1を備える。
図10にフロー制御条件メモリ651−1に記憶される情報の一例を示す。図10において、フロー制御条件メモリ651−1には、フローを識別する為の情報として、送信元IPアドレス、宛先IPアドレス、送信元MACアドレス、宛先MACアドレス、送信元ポート番号、宛先ポート番号、パケット長(ペイロード長)、DSCP、VLAN ID、及びフロー制御の内容としてここではフロー統計情報の収集の要否を示す情報がそれぞれ対応付けられて登録される。フロー制御条件メモリ651−1に登録される各情報の内容は、図10に示すように、特定の値(アドレスやポート番号等)か、または何れの値でもよいことを示す情報(図10では“ANY”と記載)が登録される。尚、図10ではフロー制御条件メモリ651−1に記憶される情報をテーブル形式で示しており、上述した各情報がそれぞれ登録された複数のエントリがフロー制御条件メモリ651−1に格納されている。但し、フロー制御条件メモリ651−1は必ずしも上述した各情報をテーブル形式で保持する必要はない。
図9においては、フロー制御としてフロー統計情報の収集を行うフロー統計部66−1のみが示されているが、これ以外にパケットの優先度の変更等を実行する1以上のフロー制御実行部をOUT側フロー制御部6−1(及びIN側フロー制御部6−2)が備えてもよい。その場合、フロー制御条件メモリ651−1には、フロー制御の内容としてそれらのフロー制御実行部により実行される処理とその要否を示す情報が登録され、また、フロー制御命令部67−1はフロー制御ラベルに従ってフロー統計部66−1またはそれらのフロー制御実行部の何れかにフロー制御の実行を指示する。IN側フロー制御部6−2についても同様である。
次に、図11を用いてOUT側フロー制御部6−1の動作について具体的に説明する。図11はOUT側フロー制御部6−1の動作手順を示すフローチャートである。
OUT側フロー制御部6−1が図1に示すスイッチ部8(IN側フロー制御部6−2の場合はパケット受信部4)からパケットを受信すると、フロー検出部65−1のフロー制御判定部653−1は受信したパケットに含まれるヘッダを抽出し(手順2001)、抽出したヘッダをフロー比較部652−1に転送する(手順2002)。受信したパケットはフロー制御判定部653−1に保持される。尚、手順2001において、フロー制御判定部653−1はパケットに含まれるヘッダのコピーを作成してもよいし、パケットからヘッダを取り外して転送してもよい。ヘッダのみをフロー比較部652−1に転送する理由は、フロー比較部652−1の処理負荷を軽減するためである。特にフロー比較部652−1の負荷を考慮しなければ、フロー制御判定部653−1からパケット全体をフロー比較部652−1に転送することも可能である。
フロー比較部652−1はフロー制御判定部653−1からヘッダを受信すると、ヘッダに含まれる送信元IPアドレス、宛先IPアドレス、送信元MACアドレス、宛先MACアドレス、送信元ポート番号、宛先ポート番号、パケット長(ペイロード長)、DSCP、VLAN IDの各情報と、フロー制御条件メモリ651−1にそれぞれ対応付けられて格納されている情報群(各エントリに登録されている情報群)とが一致するか比較する(手順2003)。手順2003において、フロー制御条件メモリ651−1に登録されている何れの情報群もヘッダの各情報と一致せず、フロー比較部652−1がフロー制御条件メモリ651−1に登録された各情報群により識別されるフローに該当するパケットではないと判定すると、受信したヘッダをそのままフロー制御判定部653−1に返送する。一方、フロー制御条件メモリ651−1に登録されている何れかの情報群がヘッダの各情報と一致すると、フロー比較部652−1は、更に、一致した情報群と対応付けられてフロー制御条件メモリ651−1に登録されているフロー制御の内容を示す情報を参照し、フロー制御の要否を判定する(手順2004)。例えば、フロー比較部652−1は、図10に示すフロー制御条件メモリ651−1に登録されているフロー統計情報の収集の要否を示す情報を参照して判定する。手順2004において、フロー制御は不要と判定すると、フロー比較部652−1は受信したヘッダをそのままフロー制御判定部653−1に返送する。一方、フロー制御が必要と判定すると、フロー比較部652−1は、必要なフロー制御の内容を指示する情報をヘッダに付加し、そのヘッダをフロー制御判定部653−1に送る(手順2005)。例えば、手順2005において、フロー比較部652−1はフロー統計情報の収集を指示する情報をヘッダに付加してフロー制御判定部653−1に送る。尚、上述した手順2003、3004、3005において、フロー比較部652−1はヘッダに代えて判定結果(フロー制御条件メモリ651−1に登録されたフローに該当せず、または、フロー制御不要、または、必要なフロー制御の内容)のみをフロー制御判定部653−1に送ってもよい。
フロー制御判定部653−1は、フロー比較部652−1からヘッダ(または判定結果)を受信すると、ヘッダ(または判定結果)の内容に応じて、一時的に保持していたパケットにフロー制御の内容を示すフロー制御ラベルを付加し、そのパケットをフロー制御命令部67−1に転送する(手順2006)。手順2006において、フロー制御判定部653−1は、例えばヘッダに何の情報も付加されていなければ(判定結果がフローに該当せず、またはフロー制御不要であれば)、フロー制御不要を指示するフロー制御ラベルをパケットに付加する。また、ヘッダにフロー制御の内容を指示する情報が付加されていれば、フロー制御判定部653−1は、その情報により示されるフロー制御の内容を指示するフロー制御ラベルをパケットに付加する。例えば、手順2006において、フロー統計情報の収集を指示する情報がヘッダに付加されていれば、フロー制御判定部653−1はフロー統計情報の収集を指示するフロー制御ラベルをパケットに付加して送る。尚、フロー制御判定部653−1は、フロー制御が必要なときのみフロー制御ラベルを付加し、フロー制御が不要な場合はフロー制御ラベルを付加せずにパケットを転送してもよい。
フロー制御命令部67−1はパケットを受信すると、パケットに付加されているフロー制御ラベルの内容を判定する(手順2007)。手順2007において、フロー制御ラベルの内容がフロー制御不要を指示しているか、またはフロー制御ラベルが付加されていなければ、フロー制御命令部67−1はフロー制御不要と判定し、フロー制御ラベルが付加されていればそれを削除して、パケットをパケット送信部5(IN側フロー制御部6−2の場合はパケット中継部7)に転送する(手順2013)。
一方、手順2007において、フロー制御ラベルの内容がフロー統計情報の収集を指示している場合は、フロー制御命令部67−1はフロー制御が必要と判定し、指示に従って受信したパケットのコピーを作成し、それをフロー統計部66−1に送る(手順2008)。フロー統計部66−1がパケットのコピーを受信すると、パケットカウンタ663−1はそのパケットが含まれるフローのパケット数を加算(+1)する。また、フロー統計採取部662−1は、フロー統計採取部662−1に設定されている予め決められたサンプリング間隔とパケットカウンタ663−1が計数したそのフローのパケット数とを比較し、フロー統計情報を採取するか否かを判定する(手順2009)。手順2009において、サンプリング間隔の値とパケット数が等しければ、フロー統計採取部662−1はフロー統計情報の採取が必要と判定し、受信したパケットのコピーをサンプルとしてフロー統計収集メモリ661−1に書き込み、フロー統計収集メモリ661−1はそのパケットのコピーを格納する(手順2010)。また、手順2010において、フロー統計採取部662−1はパケットカウンタ663−1の計数値を“0”にする。尚、パケットカウンタ663−1が、例えばサンプル間隔の値やそれよりも“1”だけ少ない値までしか計数できないように構成することも可能である。また、手順2008において、フロー制御命令部67−1はパケットのコピーをフロー統計部66−1に送るのと並行して、受信したパケットからフロー制御ラベルを削除し、そのパケットをパケット送信部5(IN側フロー制御部6−2の場合はパケット中継部7)に転送する(手順2013)。
更に、手順2007において、フロー制御ラベルの内容がフロー統計情報の収集以外のフロー制御の実行を指示している場合は、やはりフロー制御命令部67−1はフロー制御が必要と判定し、指示に従って何れかのフロー制御実行部に受信したパケット、またはそのコピーを作成して送り、フロー制御の実行を指示する(手順2011)。パケットまたはそのコピーを受け取ったフロー制御実行部は、パケットの優先度の変更等のフロー制御を実行する(手順2012)。そして、パケットはフロー制御の実行後またはフロー制御の実行と並行して、フロー制御命令部67−1またはフロー制御実行部からパケット送信部5(IN側フロー制御部6−2の場合はパケット中継部7)に転送される(手順2013)。
尚、上述した説明によれば、情報中継装置1のパケット受信部4とパケット送信部5のそれぞれがパケットの契約帯域違反の有無を判定し、受信または送信パケット数と廃棄パケット数の計数を行っているが、一方のみが契約帯域違反の有無の判定と受信または送信パケット数や廃棄パケット数の計数を行っても構わない。即ち、情報中継装置1がシェーパとしてシェーピングのみを実行するのであれば、パケット送信部5だけが送信しようとするパケットに対する契約帯域違反の有無の判定と、送信パケット数や廃棄パケット数の計数を行う。また、情報中継装置1がポリサとしてポリシング(またはUPC)のみを実行するのであれば、パケット受信部4だけが受信したパケットに対する契約帯域違反の有無の判定と、受信パケット数や廃棄パケット数の計数を行う。
更に、上述した説明によれば、情報中継装置1のIN側フロー制御部6−2とOUT側フロー制御部6−1がそれぞれフロー制御の要否の判定とパケットからのサンブルの採取を行っているが、何れか一方のみがそれらの処理を行うようにしても構わない。例えば、情報中継装置1がシェーパとしてシェーピングを実行するのであれば、OUT側フロー制御部6−1のみが上述した処理を実行する。また、情報中継装置1がポリサとしてポリシング(またはUPC)を実行するのであれば、IN側フロー制御部6−2のみが上述した処理を実行する。
このように、情報中継装置1は、シェーピングとポリシングをそれぞれ実行できるように構成されている。
次に装置管理部2について具体的に説明する。装置管理部2は、図示しない実行部が図示しないメモリに格納されている制御ソフトウェアやその他の各種ソフトウェアを実行することにより、網管理者によって網管理者用操作端末11から入力される設定情報の管理や装置の状態の管理等、情報中継装置全体の制御を行う。また、装置管理部2は廃棄情報解析部20とフロー統計送信部24を備える。廃棄情報解析部20はパケット受信部4の帯域監視部42やパケット送信部5の帯域制御部52による廃棄パケット数や受信パケット数または送信パケット数を解析し、解析結果に応じてOUT側フロー制御部6−1やIN側フロー制御部6−2にフロー制御の対象となるフローの識別情報を自動的に設定する。また、フロー統計送信部24はOUT側フロー制御部6−1のフロー統計部66−1またはIN側フロー制御部6−2のフロー統計部66−2によって採取されたフロー統計情報をフロー統計解析装置12に送信する。
図12は廃棄情報解析部20の具体的な構成図を示す。
図12において、廃棄情報解析部20は情報収集部21とフロー判定部22を備える。情報収集部21は、パケット受信部4の帯域監視部42またはパケット送信部5の帯域制御部52により計数され、受信カウンタメモリ421または送信カウンタメモリ521に格納されている送信パケット数や廃棄パケット数等の統計情報を取得する。また、フロー判定部22は、パケットの廃棄が発生したフローに対してフロー統計情報を採取するか否かを判定する廃棄フロー判定部225と、廃棄フロー判定部225がフロー統計情報を採取すると判定した場合、そのフローに対してフロー制御を実行させるために、OUT側フロー制御部6−1のフロー制御条件メモリ651−1またはIN側フロー制御部6−2のフロー制御条件メモリ651−2に対してそのフローを識別するための情報を自動的に設定するフロー制御情報操作部226を備える。更に、フロー判定部22はフロー検出用メモリ221を備える。フロー検出用メモリ22は、予め網管理者によって網管理者用操作端末11を用いて設定される情報、例えば、パケットが属するフローの識別情報と廃棄パケット数の正常または異常を判定するための閾値情報等を対応付けて記憶する。
図13にフロー検出用メモリ221に記憶される情報の一例を示す。図13は、特にパケット送信部5の帯域制御部52においてパケットの廃棄が発生したフローに対してフロー統計情報を採取するか否かを判定し、また、OUT側フロー制御部6−1のフロー制御条件メモリ651−1にそのフローを識別するための情報を設定するために使用される情報の例を示している。尚、パケット受信部4の帯域監視部42においてパケットの廃棄が発生したフローに対してフロー統計情報を採取する場合に使用される情報の例については後述するが、両方の場合において同一の情報を用いることも可能である。
図13において、フロー検出用メモリ221には、出力ポート番号、ユーザID、送信キュー番号、送信元IPアドレス、宛先IPアドレス、送信元MACアドレス、宛先MACアドレス、送信元ポート番号、宛先ポート番号、DSCPの各値と、帯域制御部52により計数された送信パケット数及び廃棄パケット数と、廃棄パケット数の正常または異常を判定するための閾値と、廃棄パケット数が閾値を超えた場合にフロー統計情報の収集が必要か否かを判定するための判定フラグとがそれぞれ対応付けられて記憶されている。図13の例に示す閾値は、送信パケット数に対する廃棄パケット数の割合を示している。但し、この閾値は正常と判定される廃棄パケット数の最大値等であってもよい。尚、図13はフロー検出用メモリ221に記憶される情報をテーブル形式で示しており、このフロー検索用のテーブルは上述した各値が登録された複数のエントリから構成されている。但し、フロー検出用メモリ221は必ずしも上述した情報をテーブル形式で記憶する必要はない。
次に図14を用いて廃棄情報解析部20の動作について具体的に説明する。図14は、図13に示された情報を記憶しているフロー検出用メモリ221を備える廃棄情報解析部20の動作手順を示すフローチャートである。
廃棄情報解析部20の情報収集部21は、例えば定期的にパケット送信部5の送信カウンタメモリ521に格納されている統計情報を読み出す(手順2501)。情報収集部21は取得した統計情報をフロー判定部22の廃棄フロー判定部225に渡す。廃棄フロー判定部225は、その統計情報を解析し、その統計情報に含まれるユーザID、送信キュー番号、送信パケット数及び廃棄パケット数を一組ずつ抽出する(手順2502)。尚、統計情報から抽出した一組のユーザID、送信キュー番号、送信パケット数及び廃棄パケット数をここではキュー統計情報と呼び、統計情報は送信キューに相当する数のキュー統計情報を含む。廃棄フロー判定部225は、統計情報から抽出した1つのキュー統計情報における送信パケット数に対する廃棄パケット数の割合を算出する。また、廃棄フロー判定部225は抽出したキュー統計情報のユーザID及び送信キュー番号と一致するユーザID及び送信キュー番号をフロー検出用メモリ221に記憶されている情報の中から見つけ、そのユーザID及び送信キュー番号と対応付けられている閾値等の各情報(ここではユーザフロー検出情報と呼ぶ)をフロー検出用メモリ221から読み出し、算出した割合の値と読み出した閾値とを比較する。これによって廃棄フロー判定部225は、抽出したキュー統計情報の廃棄パケット数が正常か異常か判定する(手順2503)。手順2503において、算出した割合の値が読み出した閾値の値を越えている場合は、廃棄フロー判定部225は、廃棄パケット数が異常と判定し、読み出したユーザフロー検出情報の判定フラグによりフロー統計情報の収集が必要か否か判定する(手順2504)。その判定フラグがフロー統計情報の収集が必要であることを示している場合、廃棄フロー判定部225は、読み出したユーザフロー検出情報のうちフローを識別するための情報として送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、送信元MACアドレス、宛先MACアドレス、DSCPの各値をフロー制御情報操作部226に渡す(手順2505)。尚、これらの情報は、キュー統計情報のユーザID及び送信キュー番号と一致するユーザID及び送信キュー番号と対応付けられている情報である。
フロー制御情報操作部226は、これらのフロー識別情報とフロー統計情報の収集が必要であることを示す情報とをそれぞれ対応付けて、OUT側フロー制御部6−1のフロー制御条件メモリ651−1に登録する(手順2506)。これによってフロー制御条件メモリ651−1にはフローを識別するための情報群が新たに追加されることになり、以後、OUT側フロー制御部6−1のフロー比較部652−1及びフロー制御判定部653−1は、新たに追加された情報群とヘッダの内容が一致するパケットをフロー制御が必要なパケットとして検出することになる。
また、廃棄フロー判定部225は、フロー検出用メモリ221から読み出したユーザフロー検出情報のうちの送信パケット数及び廃棄パケット数の値を、キュー統計情報の送信パケット数及び廃棄パケット数の値に置き換え(更新し)、ユーザフロー検出情報を再度フロー検出用メモリ221に格納する(手順2507)。
一方、手順2503において、算出した割合の値が読み出した閾値の値以下である場合は、廃棄フロー判定部225は廃棄パケット数が正常と判定し、上述した手順2507を実行する。また、手順2504において、判定フラグがフロー統計情報の収集が不要であることを示している場合も、廃棄フロー判定部225は上述した手順2507を実行する。
廃棄フロー判定部225は、統計情報から抽出する複数のキュー統計情報に関して、それぞれ上述した手順を繰り返し(手順2508)、処理を終了する。
次に、図15にフロー検出用メモリ221に記憶される情報の他の例を示す。図15は、特にパケット受信部4の帯域監視部42においてパケットの廃棄が発生したフローに対してフロー統計情報を採取するか否かを判定し、また、IN側フロー制御部6−2のフロー制御条件メモリ651−2にそのフローを識別するための情報を設定するために使用される情報の例を示している。
図15において、フロー検出用メモリ221には、入力ポート番号、ユーザID、送信元IPアドレス、VLAN ID、優先度識別値の各値と、帯域監視部42により計数された送信パケット数及び廃棄パケット数と、廃棄パケット数の正常または異常を判定するための閾値と、廃棄パケット数が閾値を超えた場合にフロー統計情報の収集が必要か否かを判定するための判定フラグとがそれぞれ対応付けられて記憶されている。図15の例に示す閾値は、図13に示したのと同様に、送信パケット数に対する廃棄パケット数の割合を示している。尚、図15もフロー検出用メモリ221に記憶される情報をテーブル形式で示しており、このフロー検索用のテーブルは上述した各値が登録された複数のエントリから構成されている。
次に図15に示された情報を記憶しているフロー検出用メモリ221を備える廃棄情報解析部20の動作について図16のフローチャートを用いて説明する。
廃棄情報解析部20の情報収集部21は、例えば定期的にパケット受信部4の受信カウンタメモリ421に格納されている統計情報を読み出す(手順3001)。情報収集部21は取得した統計情報をフロー判定部22の廃棄フロー判定部225に渡す。廃棄フロー判定部225は、その統計情報を解析し、その統計情報に含まれるユーザID、優先度識別値、送信パケット数及び廃棄パケット数を一組ずつ抽出する(手順3002)。尚、統計情報から抽出した一組のユーザID、優先度識別値、送信パケット数及び廃棄パケット数をここではユーザ統計情報と呼び、統計情報は複数のユーザ統計情報を含む。廃棄フロー判定部225は、統計情報から抽出した1つのユーザ統計情報における送信パケット数に対する廃棄パケット数の割合を算出する。また、廃棄フロー判定部225は抽出したユーザ統計情報のユーザID及び優先度識別値と一致するユーザID及び優先度識別値をフロー検出用メモリ221に記憶されている情報の中から見つけ、そのユーザID及び優先度識別値と対応付けられている閾値等の各情報(ユーザフロー検出情報と呼ぶ)をフロー検出用メモリ221から読み出し、算出した割合の値と読み出した閾値とを比較する。これによって廃棄フロー判定部225は、抽出したユーザ統計情報の廃棄パケット数が正常か異常か判定する(手順3003)。手順3003において、算出した割合の値が読み出した閾値の値を越えている場合は、廃棄フロー判定部225は、廃棄パケット数が異常と判定し、読み出したユーザフロー検出情報の判定フラグによりフロー統計情報の収集が必要か否か判定する(手順3004)。その判定フラグがフロー統計情報の収集が必要であることを示している場合、廃棄フロー判定部225は、読み出したユーザフロー検出情報のうちのフローを識別するための情報として送信元IPアドレス、VLAN IDの各値をフロー制御情報操作部226に渡す(手順3005)。
フロー制御情報操作部226は、これらのフロー識別情報とフロー統計情報の収集が必要であることを示す情報とをそれぞれ対応付けて、IN側フロー制御部6−2のフロー制御条件メモリ651−2に登録する(手順3006)。これによってフロー制御条件メモリ651−2にはフローを識別するための情報群が新たに追加されることになり、以後、IN側フロー制御部6−2のフロー比較部652−2及びフロー制御判定部653−2は、新たに追加された情報群とヘッダの内容が一致するパケットをフロー制御が必要なパケットとして検出することになる。
また、廃棄フロー判定部225は、フロー検出用メモリ221から読み出したユーザフロー検出情報のうちの送信パケット数及び廃棄パケット数の値を、ユーザ統計情報の送信パケット数及び廃棄パケット数の値に置き換え(更新し)、ユーザフロー検出情報を再度フロー検出用メモリ221に格納する(手順3007)。
一方、手順3003において、算出した割合の値が読み出した閾値の値以下である場合は、廃棄フロー判定部225は廃棄パケット数が正常と判定し、上述した手順3007を実行する。また、手順3004において、判定フラグがフロー統計情報の収集が不要であることを示している場合も、廃棄フロー判定部225は上述した手順3007を実行する。
廃棄フロー判定部225は、統計情報から抽出する複数のユーザ統計情報に関して、それぞれ上述した手順を繰り返し(手順3008)、処理を終了する。
更に、図17にフロー検出用メモリ221に記憶される情報の他の例を示す。図13や図15に示した情報は、パケットの廃棄が発生したフローに対してフロー統計情報を採取するか否かを判定し、フロー制御条件メモリ651−1やフロー制御条件メモリ651−2にフローを識別するための情報を設定するために使用される。ところで、OUT側フロー制御部6−1やIN側フロー制御部6−2は、上述した通り、フロー統計情報の収集以外のフロー制御も実行できる。そこで、図17は、フロー制御条件メモリ651−1やフロー制御条件メモリ651−2にフローを識別するための情報に加えてフロー制御の内容も設定するために使用される情報の例を示す。尚、図17は、特にフロー制御条件メモリ651−1に情報を設定するために使用される情報の例を示しているが、フロー制御条件メモリ651−2に情報を設定するために使用される情報の例についても同様である。
図17において、フロー検出用メモリ221には、図13に示したのとほぼ同様の情報がそれぞれ対応付けられて記憶されている。図17に示す情報が図13に示す情報と異なるのは、図13における判定フラグの代わりにアクション情報を含む点である。このアクション情報は、廃棄パケット数が閾値を超えた場合に、OUT側フロー制御部6−1が実行すべきフロー制御の内容を示している。アクション情報の内容としては、例えば、フローに含まれるパケットの全廃棄、網管理者へのアラーム通知(網管理者用操作端末11へのアラーム表示)、通信網10内の上流に配置される装置(情報中継装置)への異常フローの通知等がある。
図17に示す情報を使用する場合には、廃棄情報解析部20の廃棄フロー判定部225は、例えば図14に示す手順2504において、読み出したユーザフロー検出情報のアクション情報によりどのようなフロー制御が必要か判定し、何れかのフロー制御が必要であれば、ユーザフロー検出情報に含まれるフローを識別するための情報とアクション情報をフロー制御情報操作部226に渡す。フロー制御情報操作部226は受け取った情報を対応付けてフロー制御条件メモリ651−1に登録する。これにより、OUT側フロー制御部6−1のフロー比較部652−1及びフロー制御判定部653−1は新たに追加された情報群とヘッダの内容が一致するパケットをアクション情報により指定されたフロー制御が必要なパケットとして検出し、フロー制御実行部も、指定されたフロー制御を実行することになる。尚、フロー制御条件メモリ651−2に登録する場合も同様である。
次に、図18を用いて装置管理部2のフロー統計送信部24が、例えばOUT側フロー制御部6−1のフロー統計部66−1において採取されたフロー統計情報をフロー統計解析装置12へ送る動作について具体的に説明する。図18はフロー統計送信部24の動作手順を説明するフローチャートである。
フロー統計収集メモリ661−1にフロー統計情報(サンプル)が一定量蓄積されると、フロー統計収集メモリ661−1に格納されているフロー統計情報が、フロー統計部66−1からフロー統計送信部24に送られる。フロー統計送信部24は、フロー統計部66−1からフロー統計情報を受信する(手順3501)。フロー統計管理端末12にフロー統計情報を送るために、フロー統計送信部24はフロー統計情報送信フレームを作成する(手順3502)。この送信フレームはフロー統計機能の仕様に従って予め決められている。例えば、RFC3176に記載されたsFlow技術を採用する場合には、図19に示す送信フレームフォーマットに従ってフロー統計送信部24は送信フレームを作成する。sFlow技術によれば、転送パケットのフローサンプルと転送パケット数であるカウンタサンプルが採取されるため、図19に示すように、送信フレームは、sFlow技術において決められたsFlowヘッダと複数のフローサンプル及びカウンタサンプルから構成される。フロー統計送信部24により作成されたフロー統計情報送信フレームは、フロー統計送信部24からフロー統計情報送信モジュール3へ出力され、そこからフロー統計解析装置12に送信される(手順3503)。
以上によりフロー統計送信部24からフロー統計情報送信フレームが送信されると、フロー統計解析装置12はそのフロー統計情報送信フレームを受信する。フロー統計解析装置12は、フロー統計情報解析用のソフトウェアを実行し、フロー統計情報送信フレームに含まれるフロー統計情報を解析する。これにより、フロー統計解析装置12(フロー統計解析装置12を利用する網管理者)はフロー統計情報送信フレームを送信した情報中継装置1が中継するフローを解析することができ、DoS攻撃やDDoS攻撃に利用される不正フローを特定することができる。
続いて、上述した情報中継装置1が通信事業者により提供される通信網に適用される例について説明する。
図20はネットワークの構成例を示す。図20において、通信網10の入口または出口にあたる箇所に情報中継装置101−1及び情報中継装置101−2が配置されている。これらの情報中継装置101−1及び情報中継装置101−2は何れも上述した情報中継装置1と同じ構成、即ち、図1に示した各構成を備える。情報中継装置101−1には回線集積装置102−1が接続される。回線集積装置102−1は複数の回線を介して複数のユーザ110−1〜110−nと接続されている。同様に、情報中継装置101−2には回線集積装置102−2が接続される。回線集積装置102−2は複数の回線を介して複数のユーザ111−1〜111−nと接続されている。それぞれの回線集積装置102−1、102−2は各回線を介して各ユーザから送られてくるパケットを多重化し、高速な通信回線を介してそれぞれの情報中継装置101−1、101−2に送信する。また、それぞれの回線集積装置102−1、102−2はそれぞれの情報中継装置101−1、101−2より送られてくるパケットをその宛先に従って何れかの回線に振り分ける。
ここで、図20において、回線集積装置102−1に接続されたユーザ110−2が回線集積装置102−2に接続されたユーザ111−1に対して、通信網10を介してデータ(パケット)を送信すると仮定し、上述した情報中継装置1が情報中継装置101−2として通信網に配置される場合について説明する。この場合、情報中継装置101−2は、通信網10から受信して各ユーザ111−1〜nに中継するパケットに対して上述したシェーピングを実行し、各ユーザ111−1〜nとの契約帯域に従ってパケットを送信する。また、情報中継装置101−2は、各ユーザ111−1〜nに対して送信しようとするパケットについてフロー制御の要否を判定し、フロー制御を実行する。一方、情報中継装置101−2は、通信網10から受信したパケットに対するポリシングや受信したパケットに対するフロー制御を行う必要はない。そのため、以下の説明においては、情報中継装置101−2は、図1に示した帯域監視部42によるポリシングやIN側フロー制御部6−2によるフロー制御を実行しないものとする。
以下、情報中継装置101−2の具体的な動作について図21及び図22に示すフローチャートを用いて説明する。
先ず図21において、情報中継装置101−2の何れかのパケット受信部4の受信制御部41は、通信網10によって転送されてきたパケットを入力ポートを介して受信する(手順4001)。受信制御部41は受信したパケットをパケット中継部7に転送する。
パケット中継部7のルーティング部75は、パケットのヘッダに含まれる情報とルーティングテーブルに登録されている情報に基づいてパケットの送出経路(次の転送先)を決定し(手順4002)、スイッチ部8にパケットと送出経路情報を転送する。
スイッチ部8は、パケット中継部7から受信した送出経路情報に従って、パケットを送信すべき回線と接続されたパケット送信部5に対応して設けられているOUT側フロー制御部6−1へパケットを転送する(手順4003)。
スイッチ部8からパケットを受信すると、OUT側フロー制御部6−1のフロー検出部65−1は、図11を用いて説明した通り、受信したパケットに対するフロー制御の要否を判定する(手順4004)。即ち、フロー検出部65−1は、図11に示した手順2001から手順2006を実行することにより、フロー制御の要否を判定し、フロー制御ラベルを付加してまたはフロー制御ラベルを付加せずにパケットをフロー制御命令部67−1に転送する。フロー制御が必要と判定された場合は、フロー制御命令部67−1はフロー制御ラベルの指示に従って、例えばパケットのコピーをフロー統計部66−1に送る。また、フロー制御命令部67−1は、フロー制御が必要と判定された場合も不要と判定された場合も、パケットをパケット送信部5に転送する。
フロー制御命令部67−1からパケットのコピーを受信すると、フロー統計部66−1のフロー統計採取部662−1は、予め決められたサンプリング間隔とパケットカウンタ663−1が計数したそのフローのパケット数とを比較し、フロー統計情報を採取するか否かを判定する(手順4005)。フロー統計採取部662−1は、サンプリング間隔の値とパケット数が等しければ、受信したパケットのコピーをサンプルとしてフロー統計収集メモリ661−1に格納する(手順4006)。尚、フロー制御命令部67−1は、フロー制御ラベルに従って他のフロー制御実行部にパケットを転送してもよい。この場合、手順4005や手順4006において、フロー統計情報の収集以外のフロー制御が実行される。
OUT側フロー制御部6−1からパケットを受信すると、パケット送信部5の帯域制御部52は、図8を用いて説明した通りシェーピングを実行する(手順4007)。即ち、帯域制御部52は、図8に示した手順1501及び手順1502を実行し、パケットのユーザ(ここではユーザ111−1)の特定と送信キューの決定、及び決定した送信キューへのパケットの格納を行う。手順4007において、送信キューからパケットが溢れてしまうことによりパケットが格納できなければ、帯域制御部52は、図8に示した手順1506を実行して送信カウンタメモリ521に記憶されている、特定されたユーザ及び送信キューに対応する廃棄パケット数を更新し(手順4010)、パケットを廃棄する(手順4011)。
また、帯域制御部52は、図8に示した手順1503及び手順1504を実行し、ユーザ毎に何れかの送信キューに格納されているパケットを取り出し、送信カウンタメモリ521に記憶されている、特定されたユーザ及び送信キューに対応する送信パケット数を更新する(手順4008)。そして、帯域制御部52は、ユーザ毎に送信キューから取り出されたパケットを順次、送信制御部51に送り、送信制御部51は受け取ったパケットを接続された回線に送信する(手順4009)。
次に図22において、装置管理部2の廃棄情報解析部20の情報収集部21は、図14を用いて説明した通り、例えば定期的にパケット送信部5の送信カウンタメモリ521に格納されている統計情報を読み出す(手順4501)。情報収集部21は読み出した統計情報をフロー判定部22に渡し、フロー判定部22はその統計情報に含まれるキュー統計情報を一組ずつ抽出する(手順4502)。フロー判定部22は、図14に示した手順2503及び手順2504を実行し、抽出したキュー統計情報の廃棄パケット数が正常か異常かの判定と、異常と判定した場合のフロー統計情報の収集が必要か否かの判定を行う(手順4503)。フロー統計情報の収集が必要な場合、フロー判定部22は、図14に示した手順2505及び手順2506を実行し、フローを識別するための情報をOUT側フロー制御部6−1のフロー制御条件メモリ651−1に登録する(手順4504)。その後、フロー判定部22は図14に示した手順2507を実行してフロー検出用メモリ221の内容を更新し処理を終了する。また、手順4503において、フロー統計情報の収集が不要と判定した場合も、フロー検出用メモリ221の内容を更新して処理を終了する。
以上により、情報中継装置101−2によるパケットの中継が終了する。
例えばDoS攻撃やDDoS攻撃では、契約帯域以上のパケットが任意の宛先に対して送信されるため、その宛先に対応する送信キューにおいてパケットが溢れ、パケットの廃棄が発生する。上述した通り、パケット送信部5において特定のフローに属するパケットが多量に廃棄されると、パケット送信部5により計数された廃棄パケット数を装置管理部2の廃棄情報解析部20が異常と判定し、廃棄されたパケットが属するフローを識別するための情報をOUT側フロー制御部6−1のフロー制御条件メモリ651−2に設定する。このため、OUT側フロー制御部6−1のフロー統計部66−1は、パケット送信部5において多量に廃棄されているパケットと同じフローに属するパケットからフロー統計情報を採取することになる。このように、送信キュー毎に廃棄パケット数を監視することにより、輻輳の発生を検知できると共に不正フローの疑いのあるフローを特定することができる。このため、フロー統計解析装置12により解析すべきフロー(不正フローの疑いのあるフロー)を、例えば全体のフロー数に対して1/(ユーザ数×ユーザ毎の送信キュー数)へ絞り込むことができる。
次に、図20において、上述と同様に、回線集積装置102−1に接続されたユーザ110−2が回線集積装置102−2に接続されたユーザ111−1に対して、通信網10を介してデータ(パケット)を送信すると仮定し、上述した情報中継装置1が情報中継装置101−1として通信網に配置される場合について説明する。この場合、情報中継装置101−1は、回線集積装置102−1から受信するパケットに対して上述したポリシングを実行し、各ユーザ110−1〜nとの契約帯域に従ってパケットを受信する。また、情報中継装置101−1は、各ユーザ110−1〜nから受信したパケットについてフロー制御の要否を判定し、フロー制御を実行する。一方、情報中継装置101−1は、通信網10に対して送信しようとするパケットに対するシェーピングやフロー制御を行う必要はない。そのため、以下の説明においては、情報中継装置101−1は、図1に示した帯域制御部52によるシェーピングやOUT側フロー制御部6−1によるフロー制御を実行しないものとする。
以下、情報中継装置101−1の具体的な動作について図23及び図24に示すフローチャートを用いて説明する。
先ず図23において、情報中継装置101−1の何れかのパケット受信部4の受信制御部41は、回線集積装置102−1から回線を介して送られてきたパケットを入力ポートを介して受信する(手順5001)。パケット受信部4の帯域監視部42は、受信制御部41がパケットを受信すると、図5を用いて説明した通りポリシングを実行する(手順5002)。即ち、帯域監視部42は、図5に示した手順1002及び手順1003を実行し、パケットのユーザ(ここではユーザ110−2)及び優先度の特定と、特定したユーザのパケットの蓄積量の算出、その蓄積量へのパケットのパケット長の加算及びその加算値と特定した優先度に対応する蓄積量閾値との比較を行う。手順5002において、加算値が蓄積量閾値以下であれば、帯域監視部42は、図5に示した手順1005を実行して受信カウンタメモリ421に記憶されている、特定されたユーザ及び優先度に対応する受信パケット数を更新する(手順5003)。そして、帯域監視部42は、図5に示した手順1010及び手順1011を実行し、受信したパケットを一時的に保持し、保持している各ユーザのパケットを契約帯域に従ってIN側フロー制御部6−2に転送する。
一方、手順5002において、加算値が蓄積量閾値を超えていると、帯域監視部42は、図5に示した手順1006を実行して受信カウンタメモリ421に記憶されている、特定されたユーザ及び優先度に対応する廃棄パケット数を更新する(手順5010)。また、帯域監視部42は、図5に示した手順1007を実行してパケットを廃棄するか否かを決定し、その決定に従ってパケットを廃棄し(手順5011)、パケットの受信処理を終了する。
パケット受信部4からパケットを受信すると、IN側フロー制御部6−2のフロー検出部65−2は、図11を用いて説明した通り、受信したパケットに対するフロー制御の要否を判定する(手順5004)。即ち、フロー検出部65−2は、図11に示した手順2001から手順2006を実行することにより、フロー制御の要否を判定し、フロー制御ラベルを付加してまたはフロー制御ラベルを付加せずにパケットをフロー制御命令部67−2に転送する。フロー制御が必要と判定された場合は、フロー制御命令部67−2はフロー制御ラベルの指示に従って、例えばパケットのコピーをフロー統計部66−2に送る。また、フロー制御命令部67−2は、フロー制御が必要と判定された場合も不要と判定された場合も、パケットをパケット中継部7に転送する。
フロー制御命令部67−2からパケットのコピーを受信すると、フロー統計部66−2のフロー統計採取部662−2は、予め決められたサンプリング間隔とパケットカウンタ663−2が計数したそのフローのパケット数とを比較し、フロー統計情報を採取するか否かを判定する(手順5005)。フロー統計採取部662−2は、サンプリング間隔の値とパケット数が等しければ、受信したパケットのコピーをサンプルとしてフロー統計収集メモリ661−2に格納する(手順5006)。尚、フロー制御命令部67−2は、フロー制御ラベルに従って他のフロー制御実行部にパケットを転送してもよい。この場合、手順5005や手順5006において、フロー統計情報の収集以外のフロー制御が実行される。
IN側フロー制御部6−2からパケットを受信すると、パケット中継部7のルーティング部75は、パケットのヘッダに含まれる情報とルーティングテーブルに登録されている情報に基づいてパケットの送出経路(次の転送先)を決定し(手順5007)、スイッチ部8にパケットと送出経路情報を転送する。
スイッチ部8は、パケット中継部7から受信した送出経路情報に従って、パケットを送信すべき回線と接続されたパケット送信部5へパケットを転送する(手順5008)。
スイッチ部8からパケットを受信すると、パケット送信部5の送信制御部51は受信したパケットを出力ポートを介して通信網10に送信する(手順5009)。
次に図24において、装置管理部2の廃棄情報解析部20の情報収集部21は、図16を用いて説明した通り、例えば定期的にパケット受信部4の受信カウンタメモリ421に格納されている統計情報を読み出す(手順5501)。情報収集部21は読み出した統計情報をフロー判定部22に渡し、フロー判定部22はその統計情報に含まれるユーザ統計情報を一組ずつ抽出する(手順5502)。フロー判定部22は、図16に示した手順3003及び手順3004を実行し、抽出したユーザ統計情報の廃棄パケット数が正常か異常かの判定と、異常と判定した場合のフロー統計情報の収集が必要か否かの判定を行う(手順5503)。フロー統計情報の収集が必要な場合、フロー判定部22は、図16に示した手順3005及び手順3006を実行し、フローを識別するための情報をIN側フロー制御部6−2のフロー制御条件メモリ651−2に設定する(手順5504)。その後、フロー判定部22は図16に示した手順3007を実行してフロー検出用メモリ221の内容を更新し処理を終了する。また、手順5503において、フロー統計情報の収集が不要と判定した場合も、フロー検出用メモリ221の内容を更新して処理を終了する。
以上により、情報中継装置101−1によるパケットの中継が終了する。
上述したのと同様、例えばDoS攻撃のように契約帯域以上のパケットが任意の送信元から任意の宛先に対して送信される場合も、パケット受信部4においてパケットの廃棄が発生する。上述した通り、パケット受信部4において特定のフローに属するパケットが多量に廃棄されると、パケット受信部4により計数された廃棄パケット数を装置管理部2の廃棄情報解析部20が異常と判定し、廃棄されたパケットが属するフローを識別するための情報をIN側フロー制御部6−2のフロー制御条件メモリ651−2に設定する。このため、IN側フロー制御部6−2のフロー統計部66−2は、パケット受信部4において多量に廃棄されているパケットと同じフローに属するパケットからフロー統計情報を採取することになる。このように、パケット受信部4の廃棄パケット数を監視することにより、やはり輻輳の発生を検知できると共に不正フローの疑いのあるフローを特定することができる。このため、フロー統計解析装置12により解析すべきフロー(不正フローの疑いのあるフロー)を、例えば全体のフロー数に対して例えば1/(ユーザ数×優先度数)へ絞り込むことができる。
以上、説明した通り、パケット送信部5やパケット受信部4において特定のフローに属するパケットが多量に廃棄されると、パケット送信部5やパケット受信部4により計数された廃棄パケット数を装置管理部2の廃棄情報解析部20が異常と判定し、廃棄されたパケットが属するフローを識別するための情報をOUT側フロー制御部6−1のフロー制御条件メモリ651−2やIN側フロー制御部6−2のフロー制御条件メモリ651−2に設定する。このため、OUT側フロー制御部6−1のフロー統計部66−1やIN側フロー制御部6−2のフロー統計部66−2は、パケット送信部5やパケット受信部4において多量に廃棄されているパケットと同じフローに属するパケット、即ち、不正フローの疑いのあるフローに属するパケットからフロー統計情報を採取することになる。このようにフロー統計情報を収集する対象を、中継する全てのフローのうちの不正フローの疑いのあるフローに限定することができる。これにより、フロー統計解析装置12は情報中継装置1から異常なフローに関するフロー統計情報を受け取ることになり、フロー統計解析装置12による不正フロー検出を目的とした解析対象フロー数が減少し、解析作業が大幅に削減され、不正フローをより高速に特定することが可能となる。更に、情報中継装置1において、例えば不正フローの全廃棄、装置管理者へのアラーム通知、通信網10内の上流に配置される装置への通知等の設定を行うことにより、不正フローに対する対策をより早く取ることが可能となる。
1 情報中継装置
2 装置管理部
3 フロー統計情報送信モジュール
4 パケット受信部
5 パケット送信部
6 フロー制御部
7 パケット中継部
8 スイッチ部
11 網管理者用操作端末
12 フロー統計解析装置
20 廃棄情報解析部
24 フロー統計送信部
41 受信制御部
42 帯域監視部
51 送信制御部
52 帯域制御部
65 フロー検出部
66 フロー統計部
2 装置管理部
3 フロー統計情報送信モジュール
4 パケット受信部
5 パケット送信部
6 フロー制御部
7 パケット中継部
8 スイッチ部
11 網管理者用操作端末
12 フロー統計解析装置
20 廃棄情報解析部
24 フロー統計送信部
41 受信制御部
42 帯域監視部
51 送信制御部
52 帯域制御部
65 フロー検出部
66 フロー統計部
Claims (5)
- 複数の回線と接続され、パケットを中継する情報中継装置において、
パケットを受信または送信する送受信部と、
パケットの転送先を決定する中継部と、
受信または送信するパケットに対してポリシングまたはシェーピングを実行し、ユーザ毎に決められた契約帯域に違反すると判定したパケットの数を計数する帯域制御部と、
受信または送信するパケットのうちヘッダに含まれる情報が予め登録されたフロー識別情報と一致するパケットを検出し、フロー統計情報を収集するフロー制御部と、
前記帯域制御部により計数された前記パケットの数が予め決められた閾値を超える場合、前記パケットが属するフローの識別情報を前記フロー制御部に登録する解析部とを有することを特徴とする情報中継装置。 - 請求項1記載の情報中継装置において、
前記解析部は、前記帯域制御部により計数された前記パケットの数を定期的に前記帯域制御部より取得し、前記閾値と比較することを特徴とする情報中継装置。 - 請求項1記載の情報中継装置において、
前記解析部は、少なくともユーザ識別情報、フロー識別情報及び前記閾値を対応付けて記憶するフロー検出用メモリを備え、前記パケットの数と共に前記帯域制御部から取得する前記パケットのユーザの識別情報と一致する前記ユーザ識別情報と対応付けられた前記フロー識別情報及び前記閾値を前記フロー検出用メモリから読出し、前記パケットの数が前記閾値を超える場合、読み出した前記フロー識別情報を前記帯域制御部に登録することを特徴とする情報中継装置。 - 請求項1記載の情報中継装置において、
前記フロー制御部は、前記解析部により前記フロー識別情報が登録されるフロー条件メモリを備え、前記帯域制御部により契約帯域違反と判定されたパケットの数が前記閾値を超えるフローに属するパケットを前記フロー条件メモリに登録された前記フロー識別情報を用いて検出し、前記検出したパケットからフロー統計情報を収集することを特徴とする情報中継装置。 - 請求項4記載の情報中継装置において、
前記フロー制御部により収集されたフロー統計情報を、前記情報中継装置に接続されたフロー統計解析装置に送信する統計情報送信部を更に備えることを特徴とする情報中継装置。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004088302A JP2005277804A (ja) | 2004-03-25 | 2004-03-25 | 情報中継装置 |
US11/062,832 US20050213504A1 (en) | 2004-03-25 | 2005-02-23 | Information relay apparatus and method for collecting flow statistic information |
CNA2005100510132A CN1674558A (zh) | 2004-03-25 | 2005-02-25 | 信息中继装置和数据流统计信息收集方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004088302A JP2005277804A (ja) | 2004-03-25 | 2004-03-25 | 情報中継装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005277804A true JP2005277804A (ja) | 2005-10-06 |
Family
ID=34989696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004088302A Withdrawn JP2005277804A (ja) | 2004-03-25 | 2004-03-25 | 情報中継装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20050213504A1 (ja) |
JP (1) | JP2005277804A (ja) |
CN (1) | CN1674558A (ja) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007116405A (ja) * | 2005-10-20 | 2007-05-10 | Alaxala Networks Corp | 異常トラヒックの検出方法およびパケット中継装置 |
JP2007228148A (ja) * | 2006-02-22 | 2007-09-06 | Furuno Electric Co Ltd | パケット通信装置 |
JP2008141736A (ja) * | 2006-11-07 | 2008-06-19 | Fujitsu Ltd | 通信中継装置、通信中継方法および通信中継処理プログラム |
WO2009148021A1 (ja) * | 2008-06-03 | 2009-12-10 | 株式会社日立製作所 | パケット解析装置 |
JP2010004310A (ja) * | 2008-06-20 | 2010-01-07 | Alaxala Networks Corp | パケット中継装置 |
JP2010050857A (ja) * | 2008-08-25 | 2010-03-04 | Fujitsu Ltd | 経路制御装置およびパケット廃棄方法 |
JP2010537476A (ja) * | 2007-08-15 | 2010-12-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 個々のデータフロー性能の監視 |
JP2011142535A (ja) * | 2010-01-08 | 2011-07-21 | Alaxala Networks Corp | パケット中継装置 |
JP2012517157A (ja) * | 2009-02-02 | 2012-07-26 | クゥアルコム・インコーポレイテッド | ネットワークエンティティがアクセス制御を実行するかどうかを示すための包含/除外のメッセージングスキーム |
JP2012517156A (ja) * | 2009-02-02 | 2012-07-26 | クゥアルコム・インコーポレイテッド | アクセスポイントからのインジケーションに基づいてアクセス制御をネットワークエンティティが実行するかどうかを制御すること |
JP2019153981A (ja) * | 2018-03-05 | 2019-09-12 | アラクサラネットワークス株式会社 | 通信装置、通信システム、及び通信方法 |
WO2020003975A1 (ja) * | 2018-06-28 | 2020-01-02 | 日本電信電話株式会社 | 通信制御装置及び通信制御方法 |
US10547556B2 (en) | 2015-02-27 | 2020-01-28 | Nec Corporation | Control device, traffic control method, and computer readable medium |
JP2021093773A (ja) * | 2021-03-19 | 2021-06-17 | アラクサラネットワークス株式会社 | パケット中継装置およびパケット中継方法 |
JP2022049399A (ja) * | 2020-09-16 | 2022-03-29 | キヤノン株式会社 | アクセサリ装置、撮像装置、撮像システム、通信装置、通信方法、およびプログラム |
Families Citing this family (75)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8036113B2 (en) * | 2005-10-21 | 2011-10-11 | Marvell International Ltd. | Packet sampling using rate-limiting mechanisms |
US7668969B1 (en) | 2005-04-27 | 2010-02-23 | Extreme Networks, Inc. | Rule structure for performing network switch functions |
US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
US8028160B1 (en) * | 2005-05-27 | 2011-09-27 | Marvell International Ltd. | Data link layer switch with protection against internet protocol spoofing attacks |
US9225632B2 (en) * | 2005-09-16 | 2015-12-29 | Hewlett Packard Enterprise Development Lp | Globally fair polling for packet switched routers using dynamically biased arbitration |
US8510833B2 (en) * | 2005-10-27 | 2013-08-13 | Hewlett-Packard Development Company, L.P. | Connection-rate filtering using ARP requests |
US8510826B1 (en) | 2005-12-06 | 2013-08-13 | Sprint Communications Company L.P. | Carrier-independent on-demand distributed denial of service (DDoS) mitigation |
US20070130619A1 (en) * | 2005-12-06 | 2007-06-07 | Sprint Communications Company L.P. | Distributed denial of service (DDoS) network-based detection |
US8923124B1 (en) * | 2006-01-31 | 2014-12-30 | Juniper Networks, Inc. | Data unit counter |
JP4774357B2 (ja) * | 2006-05-18 | 2011-09-14 | アラクサラネットワークス株式会社 | 統計情報収集システム及び統計情報収集装置 |
EP1881435A1 (fr) * | 2006-07-18 | 2008-01-23 | France Télécom | Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données |
JP4509068B2 (ja) * | 2006-07-24 | 2010-07-21 | 富士通株式会社 | パケット処理装置 |
US8077607B2 (en) * | 2007-03-14 | 2011-12-13 | Cisco Technology, Inc. | Dynamic response to traffic bursts in a computer network |
CN101136922B (zh) * | 2007-04-28 | 2011-04-13 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、*** |
US7773510B2 (en) * | 2007-05-25 | 2010-08-10 | Zeugma Systems Inc. | Application routing in a distributed compute environment |
US20080298230A1 (en) * | 2007-05-30 | 2008-12-04 | Luft Siegfried J | Scheduling of workloads in a distributed compute environment |
US20090007266A1 (en) * | 2007-06-29 | 2009-01-01 | Reti Corporation | Adaptive Defense System Against Network Attacks |
US20090010169A1 (en) * | 2007-07-03 | 2009-01-08 | Kazuyuki Tamura | Packet transfer apparatus and method for transmitting copy packet |
US8199641B1 (en) | 2007-07-25 | 2012-06-12 | Xangati, Inc. | Parallel distributed network monitoring |
US9961094B1 (en) | 2007-07-25 | 2018-05-01 | Xangati, Inc | Symptom detection using behavior probability density, network monitoring of multiple observation value types, and network monitoring using orthogonal profiling dimensions |
US7706291B2 (en) * | 2007-08-01 | 2010-04-27 | Zeugma Systems Inc. | Monitoring quality of experience on a per subscriber, per session basis |
US8639797B1 (en) | 2007-08-03 | 2014-01-28 | Xangati, Inc. | Network monitoring of behavior probability density |
US8374102B2 (en) * | 2007-10-02 | 2013-02-12 | Tellabs Communications Canada, Ltd. | Intelligent collection and management of flow statistics |
TWI389518B (zh) * | 2008-02-25 | 2013-03-11 | Nat Univ Tsing Hua | 網路閘道器及其重置方法 |
JPWO2009139170A1 (ja) * | 2008-05-16 | 2011-09-15 | パナソニック株式会社 | 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置 |
US20090323525A1 (en) * | 2008-06-27 | 2009-12-31 | Charles Chen | Priority aware policer and method of priority aware policing |
US7860004B2 (en) * | 2008-07-25 | 2010-12-28 | At&T Intellectual Property I, Lp | Systems and methods for proactive surge protection |
US20100020687A1 (en) * | 2008-07-25 | 2010-01-28 | At&T Corp. | Proactive Surge Protection |
US8203956B1 (en) * | 2008-08-28 | 2012-06-19 | Raytheon Bbn Technologies Corp. | Method and apparatus providing a precedence drop quality of service (PDQoS) |
US7855967B1 (en) * | 2008-09-26 | 2010-12-21 | Tellabs San Jose, Inc. | Method and apparatus for providing line rate netflow statistics gathering |
US8064359B2 (en) * | 2008-12-23 | 2011-11-22 | At&T Intellectual Property I, L.P. | System and method for spatially consistent sampling of flow records at constrained, content-dependent rates |
US7957315B2 (en) * | 2008-12-23 | 2011-06-07 | At&T Intellectual Property Ii, L.P. | System and method for sampling network traffic |
US10992555B2 (en) | 2009-05-29 | 2021-04-27 | Virtual Instruments Worldwide, Inc. | Recording, replay, and sharing of live network monitoring views |
US8155003B2 (en) * | 2009-10-23 | 2012-04-10 | Cisco Technology, Inc. | Aggregate policing applying max-min fairness for each data source based on probabilistic filtering |
WO2011053299A1 (en) * | 2009-10-29 | 2011-05-05 | Hewlett-Packard Development Company, L.P. | Switch that monitors for fingerprinted packets |
JP5506444B2 (ja) * | 2010-02-18 | 2014-05-28 | 株式会社日立製作所 | 情報システム、装置および方法 |
RU2444056C1 (ru) * | 2010-11-01 | 2012-02-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ускорения решения проблем за счет накопления статистической информации |
KR101442020B1 (ko) * | 2010-11-04 | 2014-09-24 | 한국전자통신연구원 | 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치 |
EP2712131B1 (en) | 2011-05-16 | 2015-07-22 | Huawei Technologies Co., Ltd. | Method and network device for transmitting data stream |
US9497073B2 (en) | 2011-06-17 | 2016-11-15 | International Business Machines Corporation | Distributed link aggregation group (LAG) for a layer 2 fabric |
JP5625217B2 (ja) * | 2011-07-04 | 2014-11-19 | アラクサラネットワークス株式会社 | ネットワーク管理システム、及び管理計算機 |
US9419910B2 (en) * | 2011-09-13 | 2016-08-16 | Nec Corporation | Communication system, control apparatus, and communication method |
KR20130030086A (ko) * | 2011-09-16 | 2013-03-26 | 한국전자통신연구원 | 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치 |
CA2851214A1 (en) * | 2011-10-05 | 2013-04-11 | Nec Corporation | Load reducing system and load reducing method |
US8750129B2 (en) | 2011-10-06 | 2014-06-10 | International Business Machines Corporation | Credit-based network congestion management |
US9065745B2 (en) * | 2011-10-06 | 2015-06-23 | International Business Machines Corporation | Network traffic distribution |
US9071635B1 (en) * | 2011-10-19 | 2015-06-30 | Wichorus, Inc. | Methods and apparatus for identifying paging activities during idle mode |
WO2013161213A1 (ja) * | 2012-04-27 | 2013-10-31 | 日本電気株式会社 | 通信システム、及び、通信制御方法 |
US8995271B2 (en) * | 2012-04-30 | 2015-03-31 | Hewlett-Packard Development Company, L.P. | Communications flow analysis |
CN103546306B (zh) * | 2012-07-13 | 2017-01-18 | 广州汽车集团股份有限公司 | 周期性can报文丢失故障的判定***和方法 |
JP6248379B2 (ja) * | 2012-09-24 | 2017-12-20 | 富士通株式会社 | 入出力装置、メモリ監視方法および伝送装置 |
CN103259668B (zh) * | 2013-04-02 | 2016-07-06 | 中兴通讯股份有限公司 | 实现计数器计数控制的方法及网络芯片 |
EP2833589A1 (en) * | 2013-08-02 | 2015-02-04 | Alcatel Lucent | Intermediate node, an end node, and method for avoiding latency in a packet-switched network |
US9825857B2 (en) | 2013-11-05 | 2017-11-21 | Cisco Technology, Inc. | Method for increasing Layer-3 longest prefix match scale |
US10951522B2 (en) | 2013-11-05 | 2021-03-16 | Cisco Technology, Inc. | IP-based forwarding of bridged and routed IP packets and unicast ARP |
US9397946B1 (en) | 2013-11-05 | 2016-07-19 | Cisco Technology, Inc. | Forwarding to clusters of service nodes |
US9655232B2 (en) | 2013-11-05 | 2017-05-16 | Cisco Technology, Inc. | Spanning tree protocol (STP) optimization techniques |
US9374294B1 (en) | 2013-11-05 | 2016-06-21 | Cisco Technology, Inc. | On-demand learning in overlay networks |
US10778584B2 (en) | 2013-11-05 | 2020-09-15 | Cisco Technology, Inc. | System and method for multi-path load balancing in network fabrics |
US9502111B2 (en) | 2013-11-05 | 2016-11-22 | Cisco Technology, Inc. | Weighted equal cost multipath routing |
US9876711B2 (en) | 2013-11-05 | 2018-01-23 | Cisco Technology, Inc. | Source address translation in overlay networks |
US9876715B2 (en) | 2013-11-05 | 2018-01-23 | Cisco Technology, Inc. | Network fabric overlay |
US9769078B2 (en) | 2013-11-05 | 2017-09-19 | Cisco Technology, Inc. | Dynamic flowlet prioritization |
US9674086B2 (en) | 2013-11-05 | 2017-06-06 | Cisco Technology, Inc. | Work conserving schedular based on ranking |
US9888405B2 (en) | 2013-11-05 | 2018-02-06 | Cisco Technology, Inc. | Networking apparatuses and packet statistic determination methods employing atomic counters |
US10250470B1 (en) | 2014-08-24 | 2019-04-02 | Virtual Instruments Worldwide | Push pull data collection |
US10009237B1 (en) | 2014-08-24 | 2018-06-26 | Virtual Instruments Worldwide | Cross silo time stiching |
CN105577406B (zh) * | 2014-10-15 | 2019-02-12 | 华为技术有限公司 | 业务数据流的控制方法和网络设备 |
US9935858B1 (en) | 2015-08-24 | 2018-04-03 | Xangati, Inc | Enhanched flow processing |
US9871748B2 (en) * | 2015-12-09 | 2018-01-16 | 128 Technology, Inc. | Router with optimized statistical functionality |
JP6743778B2 (ja) * | 2017-07-19 | 2020-08-19 | 株式会社オートネットワーク技術研究所 | 受信装置、監視機及びコンピュータプログラム |
CN109391559B (zh) * | 2017-08-10 | 2022-10-18 | 华为技术有限公司 | 网络设备 |
CN110417710B (zh) * | 2018-04-27 | 2022-05-17 | 腾讯科技(北京)有限公司 | 攻击数据捕获方法、装置及存储介质 |
US10693793B2 (en) * | 2018-09-12 | 2020-06-23 | International Business Machines Corporation | Mitigating network saturation following periods of device disconnection and subsequent reconnection |
US11080160B1 (en) | 2019-01-29 | 2021-08-03 | Virtual Instruments Worldwide, Inc. | Self-learning and best-practice profiling and alerting with relative and absolute capacity |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4484317B2 (ja) * | 2000-05-17 | 2010-06-16 | 株式会社日立製作所 | シェーピング装置 |
JP2003018204A (ja) * | 2001-07-02 | 2003-01-17 | Hitachi Ltd | フロー検出機能を備えたパケット転送装置およびフロー管理方法 |
JP4431315B2 (ja) * | 2003-01-14 | 2010-03-10 | 株式会社日立製作所 | パケット通信方法およびパケット通信装置 |
US7996544B2 (en) * | 2003-07-08 | 2011-08-09 | International Business Machines Corporation | Technique of detecting denial of service attacks |
-
2004
- 2004-03-25 JP JP2004088302A patent/JP2005277804A/ja not_active Withdrawn
-
2005
- 2005-02-23 US US11/062,832 patent/US20050213504A1/en not_active Abandoned
- 2005-02-25 CN CNA2005100510132A patent/CN1674558A/zh active Pending
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007116405A (ja) * | 2005-10-20 | 2007-05-10 | Alaxala Networks Corp | 異常トラヒックの検出方法およびパケット中継装置 |
US7729271B2 (en) | 2005-10-20 | 2010-06-01 | Alaxala Networks Corporation | Detection method for abnormal traffic and packet relay apparatus |
JP4512196B2 (ja) * | 2005-10-20 | 2010-07-28 | アラクサラネットワークス株式会社 | 異常トラヒックの検出方法およびパケット中継装置 |
JP2007228148A (ja) * | 2006-02-22 | 2007-09-06 | Furuno Electric Co Ltd | パケット通信装置 |
JP4729413B2 (ja) * | 2006-02-22 | 2011-07-20 | 古野電気株式会社 | パケット通信装置 |
JP2008141736A (ja) * | 2006-11-07 | 2008-06-19 | Fujitsu Ltd | 通信中継装置、通信中継方法および通信中継処理プログラム |
JP2010537476A (ja) * | 2007-08-15 | 2010-12-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 個々のデータフロー性能の監視 |
WO2009148021A1 (ja) * | 2008-06-03 | 2009-12-10 | 株式会社日立製作所 | パケット解析装置 |
JP5211162B2 (ja) * | 2008-06-03 | 2013-06-12 | 株式会社日立製作所 | 情報処理装置および情報処理方法 |
JP2010004310A (ja) * | 2008-06-20 | 2010-01-07 | Alaxala Networks Corp | パケット中継装置 |
JP4663761B2 (ja) * | 2008-06-20 | 2011-04-06 | アラクサラネットワークス株式会社 | パケット中継装置 |
JP2010050857A (ja) * | 2008-08-25 | 2010-03-04 | Fujitsu Ltd | 経路制御装置およびパケット廃棄方法 |
JP2012517157A (ja) * | 2009-02-02 | 2012-07-26 | クゥアルコム・インコーポレイテッド | ネットワークエンティティがアクセス制御を実行するかどうかを示すための包含/除外のメッセージングスキーム |
US9148786B2 (en) | 2009-02-02 | 2015-09-29 | Qualcomm Incorporated | Inclusion/exclusion messaging scheme for indicating whether a network entity performs access control |
US9204365B2 (en) | 2009-02-02 | 2015-12-01 | Qualcomm Incorporated | Controlling whether a network entity performs access control based on an indication from an access point |
JP2012517156A (ja) * | 2009-02-02 | 2012-07-26 | クゥアルコム・インコーポレイテッド | アクセスポイントからのインジケーションに基づいてアクセス制御をネットワークエンティティが実行するかどうかを制御すること |
JP2011142535A (ja) * | 2010-01-08 | 2011-07-21 | Alaxala Networks Corp | パケット中継装置 |
US10547556B2 (en) | 2015-02-27 | 2020-01-28 | Nec Corporation | Control device, traffic control method, and computer readable medium |
JP2019153981A (ja) * | 2018-03-05 | 2019-09-12 | アラクサラネットワークス株式会社 | 通信装置、通信システム、及び通信方法 |
JP7082884B2 (ja) | 2018-03-05 | 2022-06-09 | アラクサラネットワークス株式会社 | 通信装置、通信システム、及び通信方法 |
JP2020005145A (ja) * | 2018-06-28 | 2020-01-09 | 日本電信電話株式会社 | 通信制御装置及び通信制御方法 |
WO2020003975A1 (ja) * | 2018-06-28 | 2020-01-02 | 日本電信電話株式会社 | 通信制御装置及び通信制御方法 |
JP2022049399A (ja) * | 2020-09-16 | 2022-03-29 | キヤノン株式会社 | アクセサリ装置、撮像装置、撮像システム、通信装置、通信方法、およびプログラム |
JP7293177B2 (ja) | 2020-09-16 | 2023-06-19 | キヤノン株式会社 | アクセサリ装置、撮像装置、撮像システム、通信装置、通信方法、およびプログラム |
US11747716B2 (en) | 2020-09-16 | 2023-09-05 | Canon Kabushiki Kaisha | Accessory apparatus, image pickup apparatus, image pickup system, communication apparatus, communication method, and storage medium |
JP2021093773A (ja) * | 2021-03-19 | 2021-06-17 | アラクサラネットワークス株式会社 | パケット中継装置およびパケット中継方法 |
JP7104201B2 (ja) | 2021-03-19 | 2022-07-20 | アラクサラネットワークス株式会社 | パケット中継装置およびパケット中継方法 |
Also Published As
Publication number | Publication date |
---|---|
CN1674558A (zh) | 2005-09-28 |
US20050213504A1 (en) | 2005-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2005277804A (ja) | 情報中継装置 | |
US8054744B1 (en) | Methods and apparatus for flow classification and flow measurement | |
US7729271B2 (en) | Detection method for abnormal traffic and packet relay apparatus | |
US7385985B2 (en) | Parallel data link layer controllers in a network switching device | |
US8284665B1 (en) | Flow-based rate limiting | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn***的工作方法 | |
US8817807B2 (en) | System and method for distributed resource control of switches in a network environment | |
US8570896B2 (en) | System and method for controlling threshold testing within a network | |
US7020143B2 (en) | System for and method of differentiated queuing in a routing system | |
EP2372953B1 (en) | Flow sampling with top talkers | |
US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
JP5660198B2 (ja) | ネットワークシステム、及びスイッチ方法 | |
US9461893B2 (en) | Communication system, node, statistical information collection device, statistical information collection method and program | |
JP4988632B2 (ja) | パケット中継装置およびトラフィックモニタシステム | |
CN111092840B (zh) | 处理策略的生成方法、***及存储介质 | |
EP1551138B1 (en) | Parallel data link layer controllers providing traffic flow control in a network switching device | |
Afaq et al. | Large flows detection, marking, and mitigation based on sFlow standard in SDN | |
CN110557342A (zh) | 用于分析和减轻丢弃的分组的设备 | |
JP2009027400A (ja) | 過大フロー検出装置、過大フロー検出回路、端末装置及びネットワークノード | |
US7698412B2 (en) | Parallel data link layer controllers in a network switching device | |
Shirali-Shahreza et al. | Empowering software defined network controller with packet-level information | |
US8923330B2 (en) | Using dynamic burst size metric to mark data | |
KR20120008478A (ko) | 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및 제어방법 | |
CN110933002B (zh) | 一种mpls带内检测oam的交换芯片实现方法及装置 | |
KR101275751B1 (ko) | 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및 제어 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060424 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070129 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090121 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090204 |