JP2019176255A - Network system, controller, processing rule establishing method and program - Google Patents
Network system, controller, processing rule establishing method and program Download PDFInfo
- Publication number
- JP2019176255A JP2019176255A JP2018060382A JP2018060382A JP2019176255A JP 2019176255 A JP2019176255 A JP 2019176255A JP 2018060382 A JP2018060382 A JP 2018060382A JP 2018060382 A JP2018060382 A JP 2018060382A JP 2019176255 A JP2019176255 A JP 2019176255A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- transfer
- mirror
- mirror packet
- processing rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ネットワークシステム、制御装置、処理規則設定方法及びプログラムに関する。 The present invention relates to a network system, a control device, a processing rule setting method, and a program.
近年のネットワークシステムは重要な社会インフラとなっている。そのため、ネットワークシステムに重要なセキュリティインシデント等が発生するたびに大きな話題となるなど、ユーザはセキュリティへの対策が急務な状況に置かれている。 Recent network systems have become an important social infrastructure. For this reason, every time an important security incident or the like occurs in a network system, it becomes a big topic, and the user has an urgent need for security measures.
さらに、少なからずセキュリティ面に問題があるIoT(Internet of Things)端末がネットワークに接続されてくる状況ではセキュリティ上の問題を早期に検知できる手段が必要不可欠となっている。具体的には、ネットワークのトラフィックを観測、監視するトラフィックモニタリングの重要性が増している。 Furthermore, in a situation where an IoT (Internet of Things) terminal having a security problem is connected to a network, a means for detecting a security problem at an early stage is indispensable. Specifically, the importance of traffic monitoring for observing and monitoring network traffic is increasing.
特許文献1には、パケット中継装置に複数のアナライザを接続して、ミラーパケットまたは統計パケットの負荷を複数のアナライザに分散させる、と記載されている。
特許文献2には、スイッチシステムは、経路制御を意識することなくモニタリングの粒度を自由に変更可能とする、と記載されている。
なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。 Each disclosure of the above prior art document is incorporated herein by reference. The following analysis was made by the present inventors.
ネットワークシステムにおいてセキュリティインシデントの監視等を目的として、ネットワーク装置(パケット転送装置、スイッチ)でパケットをミラーリングし、当該パケットを解析装置へ集め、パケット解析を行うことが実施されている。しかし、ユーザトラフィックの増加に起因し、解析する為にミラーリングするパケット量も増加の一途をたどっている。 In a network system, for the purpose of monitoring security incidents, a packet is mirrored by a network device (packet transfer device, switch), the packet is collected in an analysis device, and packet analysis is performed. However, due to the increase in user traffic, the amount of packets to be mirrored for analysis is steadily increasing.
解析装置は高価なものが多く、上記ユーザトラフィックの増加に合わせて解析装置をより高性能な装置に更新する等の対応が難しいこと多い。そのため、ミラーリングするパケットを出来るだけ効率的、且つ、効果的に解析装置へ集め、高価な解析装置におけるリソース消費を出来るだけ抑えたいという要望がある。 Many of the analysis devices are expensive, and it is often difficult to cope with such as updating the analysis device to a higher performance device in accordance with the increase in the user traffic. Therefore, there is a demand for collecting packets to be mirrored to the analysis device as efficiently and effectively as possible to reduce resource consumption in the expensive analysis device as much as possible.
具体的には、高価な解析装置へミラーパケットを転送する前に、簡易の解析装置等でパケットを絞り込む、又は、必要なトラフィックに限って解析装置に転送するなどの対策が急務になっている。 Specifically, there is an urgent need to take measures such as narrowing the packet with a simple analysis device before transferring the mirror packet to an expensive analysis device, or transferring the packet to the analysis device only for the necessary traffic. .
ここで、トラフィックモニタリング用途でパケットミラーリングを実現する技術として、特許文献2にも記載されているように、RSPAN(Remote Switch Port Analyzer)/ERSPAN(Encapsulated Remote Switch Port Analyzer)が使われてきた。RSPANやERSPANを使用することにより、ミラーリングするネットワークノードと解析装置の間のL2/L3ネットワークを超えて、リモートの解析装置にミラーリングすることが可能となる。
Here, as described in
しかし、ミラーパケットのうち、選択的に特定のパケットに限って解析装置に転送したり、複数の解析装置に対して指定したミラーパケットを転送したりといった、自由度のあるパケットミラーリングの配送は困難であった。 However, it is difficult to deliver packet mirroring with a degree of freedom, such as selectively transferring a specific packet among mirror packets to an analysis device or transferring a specified mirror packet to a plurality of analysis devices. Met.
本発明は、解析装置を効率的に運用することに寄与する、ネットワークシステム、制御装置、処理規則設定方法及びプログラムを提供することを主たる目的とする。 A main object of the present invention is to provide a network system, a control device, a processing rule setting method, and a program that contribute to efficient operation of an analysis device.
本発明乃至開示の第1の視点によれば、それぞれが、外部から設定された処理規則に基づいてパケットを処理する、複数の転送装置と、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する、制御装置と、を含む、ネットワークシステムが提供される。 According to the first aspect of the present invention or the disclosure, each of a plurality of transfer devices that processes a packet based on a processing rule set from the outside, and a mirror packet from a terminal that is a mirroring target to an analysis device And a control device that calculates a transfer path and sets a processing rule for realizing the mirror packet transfer path for a transfer apparatus on the mirror packet transfer path among the plurality of transfer apparatuses. Is done.
本発明乃至開示の第2の視点によれば、それぞれが、外部から設定された処理規則に基づいてパケットを処理する、複数の転送装置と接続され、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する、制御装置が提供される。 According to the second aspect of the present invention or the disclosure, each is connected to a plurality of transfer devices that process packets based on processing rules set from the outside, and from the terminal that is a mirroring target to the analysis device A control device is provided that calculates a mirror packet transfer path and sets a processing rule for realizing the mirror packet transfer path for a transfer apparatus on the mirror packet transfer path among the plurality of transfer apparatuses.
本発明乃至開示の第3の視点によれば、それぞれが、外部から設定された処理規則に基づいてパケットを処理する、複数の転送装置と接続された制御装置において、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算するステップと、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定するステップと、を含む、処理規則設定方法が提供される。 According to the third aspect of the present invention or the disclosure, each of the control devices connected to a plurality of transfer devices that processes a packet based on a processing rule set from the outside, from a terminal that is a mirroring target. Calculating a mirror packet transfer path to an analysis apparatus; and setting a processing rule for realizing the mirror packet transfer path for a transfer apparatus on the mirror packet transfer path among the plurality of transfer apparatuses. A processing rule setting method is provided.
本発明乃至開示の第4の視点によれば、それぞれが、外部から設定された処理規則に基づいてパケットを処理する、複数の転送装置と接続された制御装置に搭載されたコンピュータに、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算する処理と、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する処理と、を実行させるプログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
According to the fourth aspect of the present invention or the disclosure, each of the computers mounted on a control device connected to a plurality of transfer devices, which processes packets based on processing rules set from outside, A process for calculating a mirror packet transfer path from the target terminal to the analysis apparatus, and a processing rule for realizing the mirror packet transfer path is set for a transfer apparatus on the mirror packet transfer path among the plurality of transfer apparatuses. And a program for executing the processing.
This program can be recorded on a computer-readable storage medium. The storage medium may be non-transient such as a semiconductor memory, a hard disk, a magnetic recording medium, an optical recording medium, or the like. The present invention can also be embodied as a computer program product.
本発明乃至開示の各視点によれば、解析装置を効率的に運用することに寄与する、ネットワークシステム、制御装置、処理規則設定方法及びプログラムが、提供される。 According to each aspect of the present invention or the disclosure, a network system, a control device, a processing rule setting method, and a program that contribute to efficiently operating an analysis device are provided.
初めに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。 First, an outline of one embodiment will be described. Note that the reference numerals of the drawings attached to the outline are attached to the respective elements for convenience as an example for facilitating understanding, and the description of the outline is not intended to be any limitation. In addition, the connection lines between the blocks in each drawing include both bidirectional and unidirectional directions. The unidirectional arrow schematically shows the main signal (data) flow and does not exclude bidirectionality. Further, in the circuit diagram, block diagram, internal configuration diagram, connection diagram, and the like disclosed in the present application, an input port and an output port exist at each of an input end and an output end of each connection line, although they are not explicitly shown. The same applies to the input / output interface.
一実施形態に係るネットワークシステムは、複数の転送装置101と、制御装置102と、を含む(図1参照)。複数の転送装置101のそれぞれは、外部から設定された処理規則に基づいてパケットを処理する。制御装置102は、ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算し、複数の転送装置101のうちミラーパケット転送経路上の転送装置101に対してミラーパケット転送経路を実現する処理規則を設定する。
The network system according to an embodiment includes a plurality of
一実施形態に係るネットワークシステムは、例えば、オープンフローを用いてミラーリング対象を指定し、端末が出力するユーザパケットをミラーリングする。ミラーリングしたパケットは、ミラーパケット転送経路上で転送され、解析装置に到着する。つまり、制御装置102は、複数の転送装置101に処理規則を設定することで、ミラーリング用仮想ネットワークを構築し、当該ネットワーク上でミラーパケットを転送する。ミラーリング用仮想ネットワークは、オープンフロー技術により、解析装置にミラートラフィックを転送し、解析の実現を行う。その結果、自由なミラーリングパケットの転送が可能になる。
The network system according to an embodiment specifies a mirroring target using, for example, OpenFlow, and mirrors a user packet output from a terminal. The mirrored packet is transferred on the mirror packet transfer path and arrives at the analysis device. In other words, the control device 102 sets a processing rule for a plurality of
例えば、パケットをモニタリングする転送装置(スイッチ)は、ERSPANの様にパケットを複数コピーしなくても、ミラートラフィックをミラー用仮想ネットワークに転送することで、複数の解析装置に効率的にミラーパケットの転送が可能になる。また、全てのミラーリングしたトラフィックを転送するだけでは無く、識別条件にて必要なトラフィックを指定して(例えば、HTTPトラフィックに限り指定して)解析装置へ転送するなどして、ミラートラフィックの負荷を軽減することも可能になる。このように、オープンフローを使って、ミラーリングするパケットを指定し、ミラーリングしたパケットを転送することで、ミラーリングパケットの効率的で自由な解析が行えるトラフィックモニタリングが実現できる。 For example, a transfer device (switch) that monitors packets can efficiently transfer mirror packets to a plurality of analysis devices by transferring mirror traffic to a mirror virtual network without copying a plurality of packets like ERSSPAN. Transfer becomes possible. In addition to transferring all mirrored traffic, specify the necessary traffic in the identification conditions (for example, specify only HTTP traffic) and transfer it to the analysis device. It can also be reduced. In this way, traffic monitoring that allows efficient and free analysis of mirrored packets can be realized by specifying packets to be mirrored using OpenFlow and transferring the mirrored packets.
以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。なお、各実施形態において同一構成要素には同一の符号を付し、その説明を省略する。 Hereinafter, specific embodiments will be described in more detail with reference to the drawings. In addition, in each embodiment, the same code | symbol is attached | subjected to the same component and the description is abbreviate | omitted.
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
[First Embodiment]
The first embodiment will be described in more detail with reference to the drawings.
図2は、第1の実施形態に係るネットワークシステムの一構成例を示す図である。図2を参照すると、端末10−1及び10−2と、転送装置(転送ノード)20−1〜20−10と、制御装置30と、解析装置40−1〜40−3と、を含む構成が示されている。
FIG. 2 is a diagram illustrating a configuration example of the network system according to the first embodiment. Referring to FIG. 2, a configuration including terminals 10-1 and 10-2, transfer devices (transfer nodes) 20-1 to 20-10, a
なお、以降の説明において端末10−1、10−2を区別する特段の理由がない場合には、単に「端末10」と表記する。他の構成につても同様に、ハイフンより左側の数字にて各構成を代表して表記する。 In the following description, when there is no particular reason for distinguishing between the terminals 10-1 and 10-2, they are simply expressed as “terminal 10”. Similarly, other configurations are represented by the numbers on the left side of the hyphen as a representative.
また、図2に示す構成は例示であって、端末10や転送装置20の数を限定する趣旨ではない。
The configuration illustrated in FIG. 2 is merely an example, and is not intended to limit the number of terminals 10 and
端末10は、パーソナルコンピュータやサーバ等の装置である。 The terminal 10 is a device such as a personal computer or a server.
複数の転送装置20のそれぞれは、外部から設定された処理規則に基づいてパケットを処理する装置である。具体的には、転送装置20は、端末10から受信したパケット(ユーザパケット)を次段の転送装置20等に転送する。転送装置20は、端末10−1と端末10−2間の通信を実現する。転送装置20は、L2(レイヤ2)フォワーディング機能、L3(レイヤ3)フォワーディング機能を備える。転送装置20は、オープンフロースイッチとすることができる。
Each of the plurality of
制御装置30は、転送装置20を制御する装置であり、オープンフローコントローラとすることができる。各転送装置20と制御装置30は、専用の制御チャネル(オープンフローチャネル、セキュアチャネル)を介して接続されている。制御装置30は、転送装置20に対して、受信パケットに対する処理を規定する処理規則を設定する。転送装置20は、制御装置30が設定する処理規則に従い、パケット処理(パケットの転送)を行う。
The
制御装置30が転送装置20に設定した処理規則は、フローテーブルにエントリとして格納される。フローテーブルには、フローごとに、パケットヘッダと照合するマッチ条件(Match Fields;識別条件)と、処理内容を定義したインストラクション(Instructions;動作指示)と、の組が定義される。
The processing rules set in the
制御装置30は、転送装置20に処理規則を設定することにより、端末10−1及び端末10−2間の通信(ユーザパケットの転送)に加え、端末10から出力される一部パケットのミラーリング(ミラーパケットの転送)を実現する。より具体的には、制御装置30は、ミラーリングの対象である端末10から解析装置40までのミラーパケット転送経路を計算し、転送装置20のうちミラーパケット転送経路上の転送装置20に対してミラーパケット転送経路を実現する処理規則を設定する。
The
解析装置40は、転送装置20によりミラーリングされたパケット(ミラーパケット)を解析する。
The
解析装置40−1は、端末10−1が送信するHTTP(Hypertext Transfer Protocol)パケットを解析の対象とする。 The analysis device 40-1 analyzes an HTTP (Hypertext Transfer Protocol) packet transmitted from the terminal 10-1.
解析装置40−2は、端末10−1が送信するUDP(User Datagram Protocol)パケットを解析の対象とする。 The analysis device 40-2 uses a UDP (User Datagram Protocol) packet transmitted from the terminal 10-1 as an analysis target.
解析装置40−3は、端末10−1によるマルチキャスト(Multicast)パケットを解析の対象とする。 The analysis device 40-3 analyzes a multicast packet from the terminal 10-1.
なお、図2に示す転送装置20の近辺にシャープ(#)と共に記載した数字は、転送装置20のポート番号を示す。
Note that the numerals written together with the sharp (#) in the vicinity of the
[動作概略]
初めに、図2を参照しつつ、第1の実施形態に係るネットワークシステムの動作概略を説明する。
[Operation outline]
First, an outline of the operation of the network system according to the first embodiment will be described with reference to FIG.
第1の実施形態に係るネットワークシステムは、転送装置(ネットワークノード)20にてユーザパケットをミラーリングし、複数の解析装置40への転送を実現する。第1の実施形態に係るネットワークシステムでは、各解析装置40に対象パケットを限定して転送する。
In the network system according to the first embodiment, the transfer device (network node) 20 mirrors the user packet and realizes transfer to a plurality of
ユーザパケットのミラーリングを実行する転送装置20は、オープンフローの仕組みを使い、ミラーリングする対象パケットを指定しミラーリングする(指定されたポートからミラーパケットを出力する)。ミラーパケットは、オープンフローが有効な転送装置20により、オープンフローの仕組みにより、通常のパケットフォワーディングとは分離してフォワーディングされる。解析装置40が接続されている転送装置20では、オープンフローの識別条件に従って、必要なミラーパケットに限定し当該ミラーパケットを解析装置40へ転送する。
The
上述のように、オープンフローのエントリは、オープンフローコントローラである制御装置30から転送装置20に設定される。より具体的には、転送装置20−1は、端末10−1から受信したユーザパケットのうち、条件により指定されたパケットをミラーリングし、ミラー用ネットワークを使ってミラーパケットを解析装置40に向けて転送する。
As described above, the OpenFlow entry is set in the
当該動作を論理的に解釈すると、図3に示すように、1つのミラー用仮想ネットワークに、ミラー対象である端末10及びミラーパケットを解析する解析装置40が接続されている概念となる。実際には、各転送装置20に処理規則を設定することにより、通常のユーザパケットとは分離してミラーパケットの転送が可能となる。
When this operation is logically interpreted, as shown in FIG. 3, the concept is that a mirror 10 is connected to a mirror target terminal 10 and an
また、第1の実施形態では、上述のように、ミラーパケットのうちHTTPパケットは解析装置40−1に転送される。UDPパケットは、解析装置40−2に転送される。マルチキャストパケットは、解析装置40−3に転送される。このようなミラーパケットの転送動作の実現も、制御装置30から設定される処理規則を使って行う。
In the first embodiment, as described above, the HTTP packet among the mirror packets is transferred to the analysis device 40-1. The UDP packet is transferred to the analysis device 40-2. The multicast packet is transferred to the analysis device 40-3. Such mirror packet transfer operation is also realized using processing rules set by the
なお、ミラーリングするパケット(HTTPパケット、UDPパケット、マルチキャストパケット)は例示であり、他のパケット(他のプロトコルによるパケット)をミラーリングの対象としても良いことは勿論である。 Note that packets to be mirrored (HTTP packets, UDP packets, multicast packets) are only examples, and it is needless to say that other packets (packets based on other protocols) may be mirrored.
続いて、第1の実施形態をなす各装置の処理構成について説明する。但し、解析装置40に関しては、既存の解析装置を用いることができるので詳細な説明を省略する。
Next, the processing configuration of each device constituting the first embodiment will be described. However, with respect to the
[転送装置]
図4は、転送装置20の処理構成(処理モジュール)の一例を示す図である。図4を参照すると、転送装置20は、通信部21と、テーブル管理部22と、テーブルデータベース(テーブルDB;Database)23と、転送処理部24と、を含んで構成されている。
[Transfer device]
FIG. 4 is a diagram illustrating an example of a processing configuration (processing module) of the
通信部21は、転送装置20に処理規則を設定する制御装置30との通信を実現する手段である。通信部21は、オープンフロープロトコルを用いて制御装置30と通信するものとする。但し、通信部21と制御装置30との通信プロトコルは、オープンフロープロトコルに限定されるものではない。
The
テーブル管理部22は、テーブルDB23に保持されているフローテーブルを管理する手段である。より具体的には、テーブル管理部22は、制御装置30から指示された処理規則をテーブルDB23に登録する。また、テーブル管理部22は、転送処理部24から新規パケットを受信したことを通知されると、制御装置30に対し、処理規則の設定を要求する。
The
テーブルDB23は、転送処理部24が受信パケットの処理を行う際に参照するテーブルを1つ以上格納可能なデータベースによって構成される。
The table DB 23 is configured by a database that can store one or more tables to be referred to when the
転送処理部24は、テーブル検索部211と、アクション実行部212と、を含んで構成される。
The
テーブル検索部211は、テーブルDB23に格納されたテーブルから、受信パケットに適合するマッチフィールドを持つエントリを検索する手段である。
The
アクション実行部212は、テーブル検索部211にて検索されたエントリのインストラクションフィールドに示す処理内容に従ってパケット処理を行う手段である。
The
転送処理部24は、受信パケットに適合するマッチフィールドを持つエントリが見つからなかった場合は、その旨をテーブル管理部22に通知する。
If no entry having a match field that matches the received packet is found, the
[制御装置]
図5は、制御装置30の処理構成(処理モジュール)の一例を示す図である。図5を参照すると、制御装置30は、ネットワーク構成管理部31と、ネットワーク構成データベース(ネットワーク構成DB)32と、制御メッセージ処理部33と、を含んで構成される。さらに、制御装置30は、経路・アクション計算部34と、ミラーリング情報データベース(ミラーリング情報DB)35と、転送装置20と通信を行う手段である通信部36と、を含む。
[Control device]
FIG. 5 is a diagram illustrating an example of a processing configuration (processing module) of the
ネットワーク構成管理部31は、通信部36を介して、制御装置30が制御対象とするネットワークシステムのネットワーク構成を管理する。具体的には、管理者が図2に示すようなネットワークトポロジを制御装置30に入力する。あるいは、ネットワーク構成管理部31は、LLDP(Link Layer Discovery Protocol)等を用いてネットワークトポロジを生成する。
The network
ネットワーク構成管理部31は、ネットワークトポロジをネットワーク構成DB32に登録する。ネットワーク構成DB32を参照することで、端末10が接続されている転送装置20や解析装置40が接続されている転送装置20を含めネットワークトポロジが把握可能となる。
The network
制御メッセージ処理部33は、転送装置20から受信した制御メッセージを解析して、制御装置30内の該当する処理手段に制御メッセージ情報を引き渡す。
The control
ミラーリング情報DB35は、解析装置40に関する詳細を記憶するデータベースである。具体的には、ミラーリング情報DB35は、ミラーリングの対象とする端末10、各解析装置40が解析の対象とするパケットの種別に関する情報等を記憶する。
The
ミラーリング情報DB35は、例えば、図6に示すような情報を記憶する。管理者は、図6に示すようなミラーリングに関する詳細を制御装置30に入力する。
The
経路・アクション計算部34は、ネットワーク構成DB32に格納されているネットワークトポロジ、ミラーリング情報DB35に格納されている情報に基づき、ミラーパケットの転送を実現する処理規則を生成する。また、経路・アクション計算部34は、生成した処理規則を通信部36を介して、各転送装置20に設定する。
The route /
初めに、経路・アクション計算部34は、ネットワーク構成DB32及びミラーリング情報DB35を参照し、ミラーリングを実施する転送装置20とミラーパケットの宛先である解析装置40に接続された転送装置20を特定する。
First, the path /
例えば、図2及び図6を参照すると、図6の最上段に記載されたミラーリングに関し、経路・アクション計算部34は、ミラーリングを実施する転送装置20として、転送装置20−1を特定する。また、経路・アクション計算部34は、ミラーパケットの宛先となる解析装置40−1に接続された転送装置20として、転送装置20−3を特定する。
For example, referring to FIG. 2 and FIG. 6, regarding the mirroring described in the uppermost stage in FIG. 6, the path /
次に、経路・アクション計算部34は、特定した2つの転送装置20を結ぶ転送経路(ミラーパケット転送経路)を計算する。具体的には、経路・アクション計算部34は、ダイクストラ法等のアルゴリズムを使ってミラーパケット転送経路を計算する。
Next, the path /
図2及び図6の最上段の例では、「転送装置20−1、転送装置20−2、転送装置20−3」がミラーパケット転送経路として計算される。 2 and FIG. 6, “transfer device 20-1, transfer device 20-2, transfer device 20-3” are calculated as mirror packet transfer paths.
経路・アクション計算部34は、解析装置40に向けてのミラーパケット転送を実現するために、3種類の処理規則(ミラーパケット転送用の処理規則)を生成する。
The path /
第1の処理規則は、ミラーリングの対象となる端末10に接続された転送装置20に設定される処理規則である。図2の例では、ミラーリングを実施するのは転送装置20−1であるので、当該転送装置20−1に設定する処理規則が第1の処理規則に該当する。
The first processing rule is a processing rule set in the
第2の処理規則は、ミラーパケット転送経路上の転送装置20であって、ミラーリングを実施(ミラーリング対象の端末10に接続されておらず)せず、且つ、解析装置40に接続されていない転送装置20に設定する処理規則である。図2の例では、例えば、転送装置20−2に設定する処理規則が第2の処理規則に該当する。
The second processing rule is the
第3の処理規則は、解析装置40に接続された転送装置20に設定する処理規則である。図2の例では、例えば、転送装置20−3に設定する処理規則が第3の処理規則に該当する。
The third processing rule is a processing rule set for the
なお、制御装置30は、処理規則を転送装置20に設定して通常のユーザパケット転送も実現するが、当該パケット転送を実現するための動作は当業者にとって明らかであるため説明を省略する。
Note that the
続いて、上記3つの処理規則に関し、順次説明する。 Subsequently, the above three processing rules will be sequentially described.
初めに、ミラーリングを実施する転送装置20に設定する第1の処理規則について説明する。上述のように、第1の処理規則は、複数の転送装置20のうちミラーリングの対象となるパケットを出力する端末10に接続された転送装置20に対して設定される。
First, the first processing rule set in the
経路・アクション計算部34は、ミラーパケットを識別するための識別条件(マッチフィールド)と、当該識別条件に合致するミラーパケットをミラーパケット転送経路に転送するための指示(インストラクション)と、を含む第1の処理規則を生成する。つまり、第1の処理規則には、受信したパケットがミラーリングの対象パケットであるか否かを識別するための識別条件と、ミラーリングの対象パケットをミラーパケットとしてミラーパケット転送経路に転送するための指示と、が含まれる。
The path /
また、経路・アクション計算部34は、ミラーリングを実施する転送装置20に対し、ミラーリングの対象となったパケットに関する通常の転送動作を実現するための設定を上記第1の処理規則に含める。より具体的には、第1の処理規則には、ミラーリングの対象パケットを、その宛先にユーザパケットとしてL2(レイヤ2)、L3(レイヤ3)転送するための指示が含まれる。さらに、第1の処理規則には、ミラーパケットをユーザパケットと区別可能とする処理が含まれる。このように、経路・アクション計算部34は、1つの識別条件に合致したパケットに対する複数の指示を含むマルチアクション可能な処理規則を生成する。
In addition, the path /
例えば、図2及び図6の最上段の例では、経路・アクション計算部34は、図7の最上段に示すような処理規則(マッチフィールドとインストラクションの組み合わせ)を生成する。なお、図7は、転送装置20−1に設定する処理規則(エントリ)の一例を示す図である。
For example, in the example at the top of FIGS. 2 and 6, the route /
図7の最上段のマッチフィールドは、端末10−1から受信したパケットのうち、HTTPパケットがミラーリングの対象となっていることを示す。また、図7の最上段に示すインストラクションフィールドを確認すると、当該識別条件に合致するパケットにはVLAN ID(Virtual Local Area Network Identifier)として「01」が追加され、転送装置20−1のポート#2から出力されることを示す。
The uppermost match field in FIG. 7 indicates that among packets received from the terminal 10-1, an HTTP packet is a mirroring target. Further, when the instruction field shown at the top of FIG. 7 is confirmed, “01” is added as a VLAN ID (Virtual Local Area Network Identifier) to the packet that matches the identification condition, and
なお、マッチフィールドに合致するパケットにVLAN IDを追加するのはミラーパケットと他のパケット(ユーザパケット)を区別可能とするためである。従って、ミラーパケットを区別可能とすることができれば、VLAN IDの追加に限定されず、他の方式を採用することもできる。例えば、経路・アクション計算部34は、パケットヘッダを書き換える(例えば、宛先IP(Internet Protocol)アドレスに解析装置40のIPアドレスを設定する)、特別なVXLANでのパケットエンキャプスレーション等を実施する。
The reason why the VLAN ID is added to the packet matching the match field is to make it possible to distinguish the mirror packet from other packets (user packets). Therefore, as long as the mirror packet can be distinguished, the present invention is not limited to the addition of the VLAN ID, and other methods can be adopted. For example, the route /
また、ミラーリング対象のパケットに関する通常の転送動作(端末10−1から端末10−2への転送動作)を実現するため、転送装置20−1における受信パケットを当該転送装置20−1のポート#3から出力する指示が処理規則には含まれる。
Further, in order to realize a normal transfer operation (transfer operation from the terminal 10-1 to the terminal 10-2) regarding the packet to be mirrored, the received packet in the transfer device 20-1 is transferred to
なお、図7の例では、ミラーパケットが転送されるミラーパケット転送経路と通常のパケット転送経路を別経路に設定しているが、同じ経路としても良いことは勿論である。また、図7には、解析装置40−2に向けたミラーパケット転送を実現するための処理規則(2段目)と、解析装置40−3に向けたミラーパケット転送を実現するための処理規則(3段目)も合わせて図示している。 In the example of FIG. 7, the mirror packet transfer path through which the mirror packet is transferred and the normal packet transfer path are set as different paths, but it is needless to say that the same path may be used. FIG. 7 also shows a processing rule (second stage) for realizing mirror packet transfer toward the analysis device 40-2 and a processing rule for realizing mirror packet transfer toward the analysis device 40-3. The (third stage) is also shown.
転送装置20−1には、本来、ミラーリング対象となっていないパケットの転送を実現するための処理規則も設定されるが図7では図示を省略している。さらに、転送装置20−1に設定するエントリの順序も、ミラーパケット転送用のフローエントリ(処理規則)、通常のユーザパケット転送用のフローエントリとすることもできるし、その逆とすることもできる。 A processing rule for realizing transfer of a packet that is not originally a mirroring target is also set in the transfer device 20-1, but this is not shown in FIG. Furthermore, the order of entries set in the transfer device 20-1 can be a flow entry for mirror packet transfer (processing rule), a flow entry for normal user packet transfer, or vice versa. .
次に、ミラーパケット転送経路上の転送装置20であって、ミラーリングを実施せず解析装置40が接続されてもいない、転送装置20に設定する第2の処理規則について説明する。第2の処理規則は、複数の転送装置20のうち、ミラーパケット転送経路上の転送装置20であってミラーリングの対象である端末10及び解析装置40に接続されていない転送装置20に対して設定される。
Next, a description will be given of a second processing rule that is set in the
経路・アクション計算部34は、ミラーパケットを識別するための識別条件(マッチフィールド)と、当該識別条件に合致するミラーパケットをミラーパケット転送経路に転送するための指示(インストラクション)と、を含む第2の処理規則を生成する。
The path /
例えば、図2及び図6の最上段の例では、経路・アクション計算部34は、転送装置20−2に設定する処理規則として、図8の最上段に示すような識別条件及び動作指示を含む処理規則を生成する。
For example, in the uppermost example of FIGS. 2 and 6, the route /
図8の最上段を確認すると、値が「01」であるVLAN IDを有するミラーパケットは、転送装置20−2のポート#2から出力されることを示す。なお、図8には、解析装置40−2に向けたミラーパケット転送を実現するための処理規則(2段目)と、解析装置40−3に向けたミラーパケット転送を実現するための処理規則(3段目)も合わせて図示している。
8 confirms that a mirror packet having a VLAN ID with a value of “01” is output from
次に、ミラーパケットを受信する解析装置40が接続されている転送装置20に設定する第3の処理規則について説明する。第3の処理規則は、複数の転送装置20のうち、解析装置40に接続された転送装置20に対して設定される。
Next, a third processing rule set in the
経路・アクション計算部34は、ミラーパケットを識別するための識別条件(マッチフィールド)と、当該識別条件に合致するミラーパケットを解析装置40に出力(転送)するための指示(インストラクション)と、を含む第3の処理規則を生成する。
The route /
例えば、図2及び図6の最上段の例では、経路・アクション計算部34は、転送装置20−3に設定する処理規則として、図9の最上段に示すような識別条件及びインストラクションを含む処理規則を生成する。
For example, in the example at the top of FIG. 2 and FIG. 6, the route /
図9の最上段を確認すると、値が「01」であるVLAN IDを有するミラーパケットは、転送装置20−3のポート#2から出力され、解析装置40−1に到達する。
When the uppermost row in FIG. 9 is confirmed, the mirror packet having the VLAN ID with the value “01” is output from the
なお、図2に示す転送装置20−3は、HTTPパケット及び当該パケットを解析する解析装置40−1との関係では、第3の処理規則が設定される転送装置20である。しかし、転送装置20−3は、UDPパケット及び当該パケットを解析する解析装置40−2との関係では、解析装置40が接続されていない転送装置20となる。転送装置20には、第2の処理規則が設定されるので、転送装置20−3には第2の処理規則も設定される。具体的には、図9の2段目及び3段目のエントリは、第2の処理規則に対応する。
Note that the transfer device 20-3 illustrated in FIG. 2 is the
つまり、制御装置30は、転送装置20−3に対し、UDPパケットに関する第2の処理規則を設定する。当該処理規則の識別条件は、第3の処理規則の識別条件により識別される第1のミラーパケット(HTTPパケット)とは異なる第2のミラーパケット(UDPパケット)を識別する。また、当該処理規則の指示は、第2のミラーパケット(UDPパケット)を第2のミラーパケット(UDPパケット)に対応したミラーパケット転送経路に転送するための指示である。
That is, the
制御装置30は、上記説明した3種類の処理規則をミラーパケット転送経路上の各転送装置20の種別に合わせて設定し、ミラーリング対象の端末10から解析装置40までのミラーパケット転送を実現する。
The
上記制御装置30の動作をまとめると、図10に示す動作のとおりとなる。
The operation of the
初めに、制御装置30は、ミラーパケット転送経路を計算する(ステップS101)。その後、制御装置30は、当該ミラーパケット転送経路を実現するための第1〜第3の処理規則を生成(ステップS102)し、当該生成した処理規則を各転送装置20に設定する(ステップS103)。
First, the
次に、制御装置30のハードウェア構成について説明する。
Next, the hardware configuration of the
図11は、第1の実施形態に係る制御装置30のハードウェア構成の一例を示すブロック図である。
FIG. 11 is a block diagram illustrating an example of a hardware configuration of the
制御装置30は、情報処理装置(コンピュータ)により構成可能であり、図11に例示する構成を備える。例えば、制御装置30は、内部バスにより相互に接続される、CPU(Central Processing Unit)51、メモリ52、入出力インターフェイス53及び通信手段であるNIC(Network Interface Card)54等を備える。
The
但し、図11に示す構成は、制御装置30のハードウェア構成を限定する趣旨ではない。制御装置30は、図示しないハードウェアを含んでもよいし、必要に応じて入出力インターフェイス53を備えていなくともよい。また、制御装置30に含まれるCPU等の数も図11の例示に限定する趣旨ではなく、例えば、複数のCPU51が制御装置30に含まれていてもよい。
However, the configuration illustrated in FIG. 11 is not intended to limit the hardware configuration of the
メモリ52は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)である。
The
入出力インターフェイス53は、図示しない表示装置や入力装置のインターフェイスとなる手段である。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。
The input /
制御装置30の機能は、上述の各種処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ52に格納されたプログラムをCPU51が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能を何らかのハードウェア、及び/又は、ソフトウェアで実行する手段があればよい。
The function of the
なお、転送装置20の基本的なハードウェア構成は制御装置30と同様とすることができるので説明を省略する。
Since the basic hardware configuration of the
続いて、図12を参照しつつ、第1の実施形態に係るネットワークシステム全体の動作を説明する。 Next, the operation of the entire network system according to the first embodiment will be described with reference to FIG.
初めに、端末10−1が、端末10−2に向けてパケットを送信する。転送装置20−1は、当該パケットを受信し、設定された識別条件に合致するか否かを判定する(ミラーリング対象のユーザパケットか否かを確認する)。 First, the terminal 10-1 transmits a packet toward the terminal 10-2. The transfer apparatus 20-1 receives the packet and determines whether or not the set identification condition is met (checks whether the user packet is a mirroring target user).
例えば、転送装置20−1がHTTPパケットを受信すると、図7の最上段に示すエントリにヒットする。また、転送装置20−1がUDPパケットを受信すると、図7の2段目に示すエントリにヒットする。識別条件に合致すると、当該パケットは通常のユーザパケットとして、転送装置20−1のポート#3から端末10−2に向けて出力される。
For example, when the transfer device 20-1 receives an HTTP packet, it hits the entry shown at the top of FIG. When the transfer device 20-1 receives the UDP packet, it hits the entry shown in the second row in FIG. When the identification condition is met, the packet is output as a normal user packet from the
また、識別条件に合致したパケットにはVLAN IDが付与され、ミラーパケットとして転送装置20−1のポート#2から出力される。このように、転送装置20−1では、通常のユーザパケットの転送(図12の下側点線の転送経路)を継続しつつ、ミラーパケットの転送(図12の上側実線の転送経路)を行う。
Further, a VLAN ID is assigned to the packet that matches the identification condition, and is output from the
転送装置20−1から出力されたミラーパケットは、ミラーリングを実施せず且つ解析装置40も接続されていない転送装置20−2に到着する。転送装置20−2は、受信したパケットが設定された識別条件に合致するか否かの判定を行う。
The mirror packet output from the transfer device 20-1 arrives at the transfer device 20-2 that is not mirrored and is not connected to the
例えば、図8を参照すると、転送装置20−2は、ミラーパケット(HTTPパケット、UDPパケット、マルチキャストパケット)を次段の転送装置20−3に向けて出力する(ポート#2から出力する)。 For example, referring to FIG. 8, the transfer device 20-2 outputs a mirror packet (HTTP packet, UDP packet, multicast packet) to the next-stage transfer device 20-3 (outputs from port # 2).
転送装置20−2から出力されたミラーパケットは、転送装置20−3に到着する。転送装置20−3は、受信したパケットが設定された識別条件に合致するか否かの判定を行う。 The mirror packet output from the transfer device 20-2 arrives at the transfer device 20-3. The transfer device 20-3 determines whether or not the received packet matches the set identification condition.
例えば、図9を参照すると、ミラーパケットがHTTPパケット(VLAN ID=01)であれば、最上段のエントリにヒットし、当該HTTPパケットは転送装置20−3のポート#2から出力される。その結果、ミラーパケット(HTTPパケット)は、解析装置40−1に到着する。
For example, referring to FIG. 9, if the mirror packet is an HTTP packet (VLAN ID = 01), the entry at the top is hit and the HTTP packet is output from
また、ミラーパケットがUDPパケット(VLAN ID=02)であれば、2段目のエントリにヒットし、当該UDPパケットは転送装置20−3のポート#3から出力される。
If the mirror packet is a UDP packet (VLAN ID = 02), the entry in the second stage is hit and the UDP packet is output from
転送装置20−4及び転送装置20−5は、転送装置20−3と同様に動作する。 The transfer device 20-4 and the transfer device 20-5 operate in the same manner as the transfer device 20-3.
以上のように、第1の実施形態に係るネットワークシステムでは、制御装置30が転送装置20に処理規則を設定することにより、ミラーパケットを転送するための仮想的なネットワークを生成する。ミラーパケットは、仮想的なネットワークにより転送されるため、その宛先や経路を自由に設定することができる。
As described above, in the network system according to the first embodiment, the
上記第1の実施形態に係るネットワークシステムは、以下の3つの効果を奏する。 The network system according to the first embodiment has the following three effects.
第1の効果は、解析装置40のリソースを抑えることができる点である。オープンフロースイッチである転送装置20により構成される仮想ネットワーク側で、解析装置40に送信するミラーパケットを条件に指定し、必要なパケットに限り解析装置40に転送するためである。その結果、解析装置40にて解析すべきパケットの数が削減され、解析装置40のリソースを抑えることができる。
The first effect is that the resources of the
第2の効果は、ミラー用ネットワークの帯域を有効活用できる点である。複数の解析装置40にミラーリングを実施する必要がある場合でも、既存のERSPAN技術の様に、複数の解析装置40それぞれにミラーリングするネットワークノード(転送装置)側でパケットを複製する必要がないためである。その結果、ミラー用ネットワークの帯域の効率化が実現できる。
The second effect is that the bandwidth of the mirror network can be effectively used. Even when it is necessary to perform mirroring on a plurality of
第3の効果は、ミラーリングの条件(位置、対象パケット)をオンデマンドで追加し、変更できる点である。制御装置30で処理規則(エントリ)の操作をすることで、ミラーリングする条件、解析装置40におくる条件をオンデマンドに自由に変更可能なためである。
The third effect is that mirroring conditions (position, target packet) can be added and changed on demand. This is because by operating the processing rules (entries) in the
[第2の実施形態]
続いて、第2の実施形態について図面を参照して詳細に説明する。
[Second Embodiment]
Next, a second embodiment will be described in detail with reference to the drawings.
第2の実施形態では、ミラーパケットを複数の解析装置40で解析する場合について説明する。第2の実施形態に係るネットワークシステムの構成や、転送装置20、制御装置30の構成は第1の実施形態と同様とすることができるのでこれらの説明を省略する。
In the second embodiment, a case where a mirror packet is analyzed by a plurality of
第2の実施形態に係るネットワークシステムは、図13に示すように、複数の解析装置40が同じミラーパケットを順次解析可能とする。
As shown in FIG. 13, the network system according to the second embodiment allows a plurality of
具体的には、解析装置40−1は、転送装置20−3から受信したミラーパケットを解析し、解析の終了後、受信したミラーパケットを転送装置20−3に出力する。転送装置20−3は、解析装置40−1から受信したパケット(ミラーパケット)に識別処理を実行し、転送装置20−4に出力する。 Specifically, the analysis device 40-1 analyzes the mirror packet received from the transfer device 20-3, and outputs the received mirror packet to the transfer device 20-3 after the analysis is completed. The transfer device 20-3 performs identification processing on the packet (mirror packet) received from the analysis device 40-1, and outputs the packet to the transfer device 20-4.
転送装置20−4は、受信したミラーパケットを解析装置40−2に出力する。解析装置40−2は、転送装置20−4から受信したミラーパケットを解析し、解析の終了後、受信したミラーパケットを転送装置20−4に出力する。転送装置20−4は、解析装置40−2から受信したパケット(ミラーパケット)に識別処理を実行し、転送装置20−5に出力する。 The transfer device 20-4 outputs the received mirror packet to the analysis device 40-2. The analysis device 40-2 analyzes the mirror packet received from the transfer device 20-4, and outputs the received mirror packet to the transfer device 20-4 after the analysis is completed. The transfer device 20-4 executes identification processing on the packet (mirror packet) received from the analysis device 40-2, and outputs the packet to the transfer device 20-5.
転送装置20−5は、受信したミラーパケットを解析装置40−3に出力する。解析装置40−3は、転送装置20−4から受信したミラーパケットを解析する。 The transfer device 20-5 outputs the received mirror packet to the analysis device 40-3. The analysis device 40-3 analyzes the mirror packet received from the transfer device 20-4.
制御装置30は、上述のような解析装置40によるミラーパケットの縦続的な解析処理を転送装置20に処理規則を設定することで実現する。なお、ミラーリングを実施する転送装置20に設定する第1の処理規則や解析装置40が接続されていない転送装置20に設定する第2の処理規則は、第1の実施形態にて説明した処理規則と同一とすることができるので説明を省略する。
The
制御装置30は、解析装置40が出力するパケット(ミラーパケット)を識別するための識別条件(マッチフィールド)と当該パケットに対する指示(インストラクション)の組みを第4の処理規則として生成し、解析装置40が接続された転送装置20に設定する。
The
図14は、制御装置30が生成する第4の処理規則の一例を示す図である。図14に示す第4の処理規則は、転送装置20−3に設定する処理規則である。
FIG. 14 is a diagram illustrating an example of a fourth processing rule generated by the
図14に示すように、制御装置30は、解析装置40から取得したミラーパケットと転送装置20から取得したミラーパケットを判別可能なように、例えば、解析装置40のIPアドレスを識別条件に用いる。図14に示すエントリにヒットしたパケット(ミラーパケット)は、転送装置20−3のポート#3から出力され、次段の転送装置20に渡される。
As illustrated in FIG. 14, the
このように、第4の処理規則には、解析装置40が出力するミラーパケットを識別するための識別条件と、当該解析装置40が出力するミラーパケットを当該解析装置40とは異なる解析装置40に転送するための指示と、が含まれる。
Thus, in the fourth processing rule, the identification condition for identifying the mirror packet output by the
なお、上記解析装置40からのミラーパケットを識別するために、IPアドレスに代えて、受信した受信ポート(物理ポート、LAG(Link Aggregation Group)ポート等)を用いてもよい。
In order to identify the mirror packet from the
ここで、解析装置40に接続された転送装置20には、1つのミラーリング対象パケットに関し、第3の処理規則と第4の処理規則が設定されることになる。例えば、転送装置20−3には、図15に示すような処理規則が設定される。図15の最上段は、転送装置20−2から取得したミラーパケットに関するエントリを示し、2段目は解析装置40−1から取得したミラーパケットに関するエントリを示す。
Here, the third processing rule and the fourth processing rule are set for one mirroring target packet in the
以上のように、第2の実施形態では、複数の解析装置40によるミラーパケットの解析を実現する。第2の実施形態においても、ミラーリングを実施する転送装置20において、制御装置30から設定されたフローエントリの条件に従いユーザパケットをミラーリングし、ミラーリング用仮想ネットワークに従って転送する。
As described above, in the second embodiment, mirror packet analysis by a plurality of
図13の例では、ミラーリングしたパケットを解析装置40−1にて解析し、その後、解析装置40−2で解析、最後に解析装置40−3で解析という流れとなる。当該構成を論理的に考えると、図16に示す構成となる。つまり、ミラー対象の端末10−1と解析装置40−1はミラー用仮想ネットワーク1に、解析装置40−1と解析装置40−2はミラー用仮想ネットワーク2に、解析装置40−2と解析装置40−3は、ミラー用仮想ネットワーク3にそれぞれ所属している。
In the example of FIG. 13, the mirrored packet is analyzed by the analysis device 40-1, then analyzed by the analysis device 40-2, and finally analyzed by the analysis device 40-3. When this configuration is logically considered, the configuration shown in FIG. 16 is obtained. That is, the mirror target terminal 10-1 and the analysis device 40-1 are in the mirror
なお、図13や図16に示す構成は、例示でありネットワークシステムの構成を限定する趣旨ではない。 Note that the configurations shown in FIG. 13 and FIG. 16 are examples and do not limit the configuration of the network system.
以上、第2の実施形態によれば、転送装置20に、解析装置40からのミラーパケットを他の解析装置40に転送するための第4の処理規則を設定することで、複数の解析装置40によるミラーパケットの解析を可能となる。
As described above, according to the second embodiment, the fourth processing rule for transferring the mirror packet from the
[変形例]
第1及び第2の実施形態にて説明したネットワークシステムや制御装置30等の構成、動作は例示であって、システム等の構成、動作を限定する趣旨ではない。
[Modification]
The configurations and operations of the network system and the
例えば、制御装置30は、解析装置40が接続された転送装置20に対し、ミラーパケットを本来のユーザパケットの形式に戻して解析装置40に出力するような指示を持つ処理規則を設定しても良い。上述の例では、制御装置30は、転送装置20−3に対し、VLAN IDを削除するような処理規則を設定してもよい。
For example, the
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
上述の第1の視点に係るネットワークシステムのとおりである。
[付記2]
前記制御装置は、
前記複数の転送装置のうち前記端末に接続された第1の転送装置に対し、受信したパケットがミラーリングの対象パケットであるか否かを識別するための識別条件と、前記ミラーリングの対象パケットをミラーパケットとして前記ミラーパケット転送経路に転送するための指示と、を含む第1の処理規則を設定する、好ましくは付記1のネットワークシステム。
[付記3]
前記第1の処理規則には、
前記ミラーリングの対象パケットを、前記ミラーリングの対象パケットの宛先にユーザパケットとして転送するための指示と、
前記ミラーパケットを前記ユーザパケットと区別可能とする処理が含まれる、好ましくは付記2のネットワークシステム。
[付記4]
前記制御装置は、
前記複数の転送装置のうち、前記ミラーパケット転送経路上の転送装置であって前記端末及び前記解析装置に接続されていない第2の転送装置に対し、前記ミラーパケットを識別するための識別条件と、前記ミラーパケットを前記ミラーパケット転送経路に転送するための指示と、を含む第2の処理規則を設定する、好ましくは付記2又は3のネットワークシステム。
[付記5]
前記制御装置は、
前記複数の転送装置のうち、前記解析装置に接続された第3の転送装置に対し、前記ミラーパケットを識別するための識別条件と、前記ミラーパケットを前記解析装置に出力するための指示と、を含む第3の処理規則を設定する、好ましくは付記4のネットワークシステム。
[付記6]
前記制御装置は、
前記第3の転送装置に対し、前記第3の処理規則の識別条件により識別される第1のミラーパケットとは異なる第2のミラーパケットを識別するための識別条件と、前記第2のミラーパケットを前記第2のミラーパケットに対応したミラーパケット転送経路に転送するための指示と、を含む前記第2の処理規則を設定する、好ましくは付記5のネットワークシステム。
[付記7]
前記制御装置は、
前記第3の転送装置に対して、前記解析装置が出力するミラーパケットを識別するための識別条件と、前記解析装置が出力するミラーパケットを前記ミラーパケットを出力する解析装置とは異なる解析装置に転送するための指示と、を含む第4の処理規則を設定する、好ましくは付記5又は6のネットワークシステム。
[付記8]
上述の第2の視点に係る制御装置のとおりである。
[付記9]
上述の第3の視点に係る処理規則設定方法のとおりである。
[付記10]
上述の第4の視点に係るプログラムのとおりである。
なお、付記8〜付記10の形態は、付記1の形態と同様に、付記2〜付記7の形態に展開することが可能である。
A part or all of the above embodiments can be described as in the following supplementary notes, but is not limited thereto.
[Appendix 1]
The network system according to the first aspect described above.
[Appendix 2]
The control device includes:
An identification condition for identifying whether or not a received packet is a mirroring target packet for the first transfer device connected to the terminal among the plurality of transfer devices, and mirroring the mirroring target packet The network system according to
[Appendix 3]
The first processing rule includes
An instruction for transferring the mirroring target packet as a user packet to a destination of the mirroring target packet;
The network system according to
[Appendix 4]
The control device includes:
An identification condition for identifying the mirror packet for a second transfer device that is on the mirror packet transfer path and is not connected to the terminal and the analysis device among the plurality of transfer devices. And a second processing rule including an instruction for transferring the mirror packet to the mirror packet transfer path, preferably the network system according to
[Appendix 5]
The control device includes:
Among the plurality of transfer devices, for a third transfer device connected to the analysis device, an identification condition for identifying the mirror packet, an instruction for outputting the mirror packet to the analysis device, The network system according to appendix 4, preferably setting a third processing rule including:
[Appendix 6]
The control device includes:
An identification condition for identifying a second mirror packet different from the first mirror packet identified by the identification condition of the third processing rule for the third transfer device; and the second mirror packet The network system according to appendix 5, preferably setting the second processing rule including: an instruction for transferring the packet to a mirror packet transfer path corresponding to the second mirror packet.
[Appendix 7]
The control device includes:
For the third transfer device, an identification condition for identifying the mirror packet output by the analysis device and an analysis device different from the analysis device that outputs the mirror packet for the mirror packet output by the analysis device The network system according to appendix 5 or 6, preferably setting a fourth processing rule including an instruction for transfer.
[Appendix 8]
It is as the control apparatus which concerns on the above-mentioned 2nd viewpoint.
[Appendix 9]
This is the same as the processing rule setting method according to the third aspect described above.
[Appendix 10]
It is as the program which concerns on the above-mentioned 4th viewpoint.
Note that the forms of Supplementary Note 8 to Supplementary Note 10 can be expanded to the forms of
なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。 Each disclosure of the cited patent documents and the like cited above is incorporated herein by reference. Within the scope of the entire disclosure (including claims) of the present invention, the embodiments and examples can be changed and adjusted based on the basic technical concept. Further, various combinations or selections of various disclosed elements (including each element of each claim, each element of each embodiment or example, each element of each drawing, etc.) within the framework of the entire disclosure of the present invention. Is possible. That is, the present invention of course includes various variations and modifications that could be made by those skilled in the art according to the entire disclosure including the claims and the technical idea. In particular, with respect to the numerical ranges described in this document, any numerical value or small range included in the range should be construed as being specifically described even if there is no specific description.
10、10−1、10−2 端末
20、20−1〜20−10、101 転送装置
21、36 通信部
22 テーブル管理部
23 テーブルデータベース
24 転送処理部
30、102 制御装置
31 ネットワーク構成管理部
32 ネットワーク構成データベース
33 制御メッセージ処理部
34 経路・アクション計算部
35 ミラーリング情報データベース
40、40−1〜40−3 解析装置
51 CPU(Central Processing Unit)
52 メモリ
53 入出力インターフェイス
54 NIC(Network Interface Card)
211 テーブル検索部
212 アクション実行部
10, 10-1, 10-2
52
211
Claims (10)
ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する、制御装置と、
を含む、ネットワークシステム。 A plurality of transfer devices each processing packets based on processing rules set from outside;
Calculating the mirror packet transfer path from the mirroring target terminal to the analysis device, and setting processing rules for realizing the mirror packet transfer path for the transfer devices on the mirror packet transfer path among the plurality of transfer devices A control device;
Including network system.
前記複数の転送装置のうち前記端末に接続された第1の転送装置に対し、受信したパケットがミラーリングの対象パケットであるか否かを識別するための識別条件と、前記ミラーリングの対象パケットをミラーパケットとして前記ミラーパケット転送経路に転送するための指示と、を含む第1の処理規則を設定する、請求項1のネットワークシステム。 The control device includes:
An identification condition for identifying whether or not a received packet is a mirroring target packet for the first transfer device connected to the terminal among the plurality of transfer devices, and mirroring the mirroring target packet The network system according to claim 1, wherein a first processing rule including an instruction for transferring the packet as a packet to the mirror packet transfer path is set.
前記ミラーリングの対象パケットを、前記ミラーリングの対象パケットの宛先にユーザパケットとして転送するための指示と、
前記ミラーパケットを前記ユーザパケットと区別可能とする処理が含まれる、請求項2のネットワークシステム。 The first processing rule includes
An instruction for transferring the mirroring target packet as a user packet to a destination of the mirroring target packet;
The network system according to claim 2, further comprising a process of making the mirror packet distinguishable from the user packet.
前記複数の転送装置のうち、前記ミラーパケット転送経路上の転送装置であって前記端末及び前記解析装置に接続されていない第2の転送装置に対し、前記ミラーパケットを識別するための識別条件と、前記ミラーパケットを前記ミラーパケット転送経路に転送するための指示と、を含む第2の処理規則を設定する、請求項2又は3のネットワークシステム。 The control device includes:
An identification condition for identifying the mirror packet for a second transfer device that is on the mirror packet transfer path and is not connected to the terminal and the analysis device among the plurality of transfer devices. The network system according to claim 2 or 3, wherein a second processing rule including an instruction for transferring the mirror packet to the mirror packet transfer path is set.
前記複数の転送装置のうち、前記解析装置に接続された第3の転送装置に対し、前記ミラーパケットを識別するための識別条件と、前記ミラーパケットを前記解析装置に出力するための指示と、を含む第3の処理規則を設定する、請求項4のネットワークシステム。 The control device includes:
Among the plurality of transfer devices, for a third transfer device connected to the analysis device, an identification condition for identifying the mirror packet, an instruction for outputting the mirror packet to the analysis device, The network system according to claim 4, wherein a third processing rule including:
前記第3の転送装置に対し、前記第3の処理規則の識別条件により識別される第1のミラーパケットとは異なる第2のミラーパケットを識別するための識別条件と、前記第2のミラーパケットを前記第2のミラーパケットに対応したミラーパケット転送経路に転送するための指示と、を含む前記第2の処理規則を設定する、請求項5のネットワークシステム。 The control device includes:
An identification condition for identifying a second mirror packet different from the first mirror packet identified by the identification condition of the third processing rule for the third transfer device; and the second mirror packet 6. The network system according to claim 5, wherein the second processing rule is set to include an instruction for transferring the packet to a mirror packet transfer path corresponding to the second mirror packet.
前記第3の転送装置に対して、前記解析装置が出力するミラーパケットを識別するための識別条件と、前記解析装置が出力するミラーパケットを前記ミラーパケットを出力する解析装置とは異なる解析装置に転送するための指示と、を含む第4の処理規則を設定する、請求項5又は6のネットワークシステム。 The control device includes:
For the third transfer device, an identification condition for identifying the mirror packet output by the analysis device and an analysis device different from the analysis device that outputs the mirror packet for the mirror packet output by the analysis device The network system according to claim 5 or 6, wherein a fourth processing rule including an instruction to transfer is set.
ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算し、前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する、制御装置。 Each is connected to a plurality of transfer devices that process packets based on processing rules set from outside,
Calculating the mirror packet transfer path from the mirroring target terminal to the analysis device, and setting processing rules for realizing the mirror packet transfer path for the transfer devices on the mirror packet transfer path among the plurality of transfer devices Control device.
ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算するステップと、
前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定するステップと、
を含む、処理規則設定方法。 In a control device connected to a plurality of transfer devices, each processing a packet based on a processing rule set from outside,
Calculating a mirror packet transfer path from the mirroring target terminal to the analysis device;
Setting a processing rule for realizing the mirror packet transfer path for a transfer apparatus on the mirror packet transfer path among the plurality of transfer apparatuses;
Processing rule setting method including
ミラーリングの対象である端末から解析装置までのミラーパケット転送経路を計算する処理と、
前記複数の転送装置のうち前記ミラーパケット転送経路上の転送装置に対して前記ミラーパケット転送経路を実現する処理規則を設定する処理と、
を実行させるプログラム。 A computer mounted on a control device connected to a plurality of transfer devices, each processing packets based on processing rules set from outside,
Processing to calculate the mirror packet transfer path from the mirrored terminal to the analysis device;
A process of setting a processing rule for realizing the mirror packet transfer path for a transfer apparatus on the mirror packet transfer path among the plurality of transfer apparatuses;
A program that executes
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018060382A JP7048149B2 (en) | 2018-03-27 | 2018-03-27 | Network system, control device, processing rule setting method and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018060382A JP7048149B2 (en) | 2018-03-27 | 2018-03-27 | Network system, control device, processing rule setting method and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019176255A true JP2019176255A (en) | 2019-10-10 |
| JP7048149B2 JP7048149B2 (en) | 2022-04-05 |
Family
ID=68169772
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018060382A Active JP7048149B2 (en) | 2018-03-27 | 2018-03-27 | Network system, control device, processing rule setting method and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7048149B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021186925A1 (en) * | 2020-03-16 | 2021-09-23 | 住友電気工業株式会社 | Switching device, vehicle-mounted communication system, and communication method |
| WO2021186926A1 (en) * | 2020-03-16 | 2021-09-23 | 住友電気工業株式会社 | Switch device, onboard communication system, and communication method |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009141665A (en) * | 2007-12-06 | 2009-06-25 | Nippon Telegr & Teleph Corp <Ntt> | Packet analysis bridge apparatus, system for transmitting packet, and packet transmission method |
| WO2011155510A1 (en) * | 2010-06-08 | 2011-12-15 | 日本電気株式会社 | Communication system, control apparatus, packet capture method and program |
| JP2013223191A (en) * | 2012-04-18 | 2013-10-28 | Nec Corp | Communication system, control device, packet collection method and program |
-
2018
- 2018-03-27 JP JP2018060382A patent/JP7048149B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009141665A (en) * | 2007-12-06 | 2009-06-25 | Nippon Telegr & Teleph Corp <Ntt> | Packet analysis bridge apparatus, system for transmitting packet, and packet transmission method |
| WO2011155510A1 (en) * | 2010-06-08 | 2011-12-15 | 日本電気株式会社 | Communication system, control apparatus, packet capture method and program |
| CN102884768A (en) * | 2010-06-08 | 2013-01-16 | 日本电气株式会社 | Communication system, control apparatus, packet capture method and program |
| US20130088967A1 (en) * | 2010-06-08 | 2013-04-11 | Nec Corporation | Communication system, control apparatus, packet capture method and packet capture program |
| JP2013223191A (en) * | 2012-04-18 | 2013-10-28 | Nec Corp | Communication system, control device, packet collection method and program |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021186925A1 (en) * | 2020-03-16 | 2021-09-23 | 住友電気工業株式会社 | Switching device, vehicle-mounted communication system, and communication method |
| WO2021186926A1 (en) * | 2020-03-16 | 2021-09-23 | 住友電気工業株式会社 | Switch device, onboard communication system, and communication method |
| CN115104290A (en) * | 2020-03-16 | 2022-09-23 | 住友电气工业株式会社 | Switch device, vehicle-mounted communication system and communication method |
| JP7437196B2 (en) | 2020-03-16 | 2024-02-22 | 住友電気工業株式会社 | Switch device, in-vehicle communication system and communication method |
| US11962433B2 (en) | 2020-03-16 | 2024-04-16 | Sumitomo Electric Industries, Ltd. | Switch device, in-vehicle communication system, and communication method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7048149B2 (en) | 2022-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5557066B2 (en) | Switch system, centralized monitoring management method | |
| JP5674107B2 (en) | Communication system, control device, processing rule setting method and program | |
| JP5610247B2 (en) | Network system and policy route setting method | |
| CN106797328A (en) | Collect and analyze selected network traffics | |
| US9479323B2 (en) | Communication system, forwarding node, control device, communication control method, and program | |
| JPWO2011118585A1 (en) | Information system, control device, virtual network management method and program | |
| US9391893B2 (en) | Lookup engine for an information handling system | |
| JP2014502794A (en) | Communication path control system, path control device, communication path control method, and path control program | |
| JP2014168283A (en) | Communication system, network monitoring device, and network monitoring method | |
| JPWO2013039083A1 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, AND COMMUNICATION METHOD | |
| JP5720340B2 (en) | Control server, communication system, control method and program | |
| CN105099916A (en) | Open flow routing and switching equipment and data message processing method thereof | |
| US9705791B2 (en) | Route setting device and route setting method | |
| US20140047260A1 (en) | Network management system, network management computer and network management method | |
| JP2019176255A (en) | Network system, controller, processing rule establishing method and program | |
| JP5957318B2 (en) | Network system, information relay device, and packet distribution method | |
| JPWO2014175423A1 (en) | Communication node, communication system, packet processing method and program | |
| Miura et al. | P4-based design of fast failure recovery for software-defined networks | |
| WO2014126094A1 (en) | Communication system, communication method, control device, and control device control method and program | |
| JP2017050708A (en) | Communication system, control unit, switch, communication method, and program | |
| KR20230059429A (en) | System for Detecting Anomaly Computing Based on Artificial Intelligence | |
| JP6866271B2 (en) | Anomaly detection device, anomaly detection method, and program | |
| US20170005916A1 (en) | Network programming | |
| WO2019182025A1 (en) | Network system, control device, communication path specification method, and program | |
| Kumar et al. | Increase in TCP Throughput using Shortest Path Routing Algorithm in Mininet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210202 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211015 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211116 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220222 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220317 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7048149 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |