JP4994323B2 - 中継装置 - Google Patents
中継装置 Download PDFInfo
- Publication number
- JP4994323B2 JP4994323B2 JP2008192768A JP2008192768A JP4994323B2 JP 4994323 B2 JP4994323 B2 JP 4994323B2 JP 2008192768 A JP2008192768 A JP 2008192768A JP 2008192768 A JP2008192768 A JP 2008192768A JP 4994323 B2 JP4994323 B2 JP 4994323B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- action
- information
- time
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、中継装置に係り、特に、ネットワーク上に配置され、フロー制御を実行することができる中継装置に関する。
インターネットなどの広域ネットワークはオープンな環境であり、誰もが自由に接続することが可能である。また、近年のFTTH(Fiber to the Home)等の普及により回線の高速化が進んでいる。また、さまざまなアプリケーションの登場により、ネットワーク上を流れるフローの種類が増え挙動が複雑になってきている。キャリアやISP(Internet Service Provider)のネットワーク上では、ユーザ間の公平性を確保したり、DoS(Denial of Service)攻撃等から装置を守るために、フィルタ等の技術を使用している。現状のフィルタ技術は、予想されるフロー条件をあらかじめ設定し、そのフロー条件に合致したフローに対してどのような制裁を実行するかといった条件もあらかじめ設定しておく。フィルタが設定された装置は、自装置内を流れるフローと設定されている複数個の条件を常に比較し、条件に合致したフローを発見した場合、その条件に設定されている制裁を実行する。
また、特許文献1〜3には、トラフィック情報を統計的に処理しながら不正なトラフィックを検出し、トラフィックの遮断や帯域制限を行う技術が開示されている。
また、特許文献1〜3には、トラフィック情報を統計的に処理しながら不正なトラフィックを検出し、トラフィックの遮断や帯域制限を行う技術が開示されている。
従来の技術では、装置内を流れるフロー条件を予測し、かつ、そのフローに対して有効に動作する制御条件を事前に設定しておく必要があった。しかし、回線を流れるフローの増加により、事前にフロー条件を設定しておくことが困難になりつつある。さらにさまざまなアプリケーションやプロトコルの出現により、該当フローに有効な制御を一意に決定し事前に設定しておくことも困難になりつつある。
本発明は、以上の点に鑑み、複数の装置が接続される通信ネットワーク上に配置され、設定されたポリシ違反であるフローを自動的に検出し、そのようなフローに対し複数の制裁条件を実行することを目的とする。
本発明は、以上の点に鑑み、複数の装置が接続される通信ネットワーク上に配置され、設定されたポリシ違反であるフローを自動的に検出し、そのようなフローに対し複数の制裁条件を実行することを目的とする。
本発明の解決手段によると、
パケットの送信処理を行うパケット送信部と、
受信または送信するパケットからフローを検出するフロー検出部と、
フロー情報と帯域と初回違反時間と前回違反時間と使用中又は未使用のフラグとを含むエントリを記憶する帯域監視テーブルを有し、前記フロー検出部が検出したフローがあらかじめ設定されたポリシに違反するか遵守するかを判定する帯域監視部と、
前記帯域監視部が判定したポリシに違反したフローに対して、あらかじめ設定された複数のアクション制御動作を順番に実行するアクション制御部と、
を備え、
パケット送信部は、受信したパケットのヘッダ情報を前記フロー検出部に送信し、
前記フロー検出部は、前記パケット送信部から受信したパケットのヘッダ情報を用いてフローを特定し、特定したフローのフロー情報毎にパケット数をカウントし、該パケット数が設定された閾値を超えたフローのフロー情報を含む閾値越え情報を前記帯域監視部へ送信し、
前記帯域監視部は、
前記フロー検出部より送られてきた閾値越え情報をもとに帯域監視テーブルのエントリを作成し、
受信したパケットのヘッダ情報に含まれるフロー情報と、帯域監視テーブルに格納されているフロー情報とを、フラグが使用中の全てのエントリについて比較し、
a. 一致するエントリが存在しなかった場合、エントリ無しの情報及びフロー情報を含む監視情報を前記アクション制御部へ送信し、
b. 一致するエントリが存在した場合、帯域を測定し、予め定められた閾値を超えているか確認し、
i) 帯域が閾値を超えていない場合、帯域遵守であると判定し、現在時刻と該当するエントリの前回違反時間との差分の時間が、時刻閾値を超えているかを確認し、
時刻閾値を超えている場合、監視対象から除外するために、帯域監視テーブルから該当エントリをフラグを未使用にすることで削除し、一方、時刻閾値を超えていない場合、監視対象のままとし、
該当フローの、エントリ有りの情報とフロー情報と帯域遵守情報と一定時間以上帯域を遵守していたかどうかの情報を含む監視情報を前記アクション制御部へ送信し、
ii) 帯域が閾値以上の場合、帯域違反が発生したと判定し、初回違反時間に基づき違反回数を確認し、
該当フローのエントリの初回違反時間と前回違反時間を更新し、
該フローの、エントリ有の情報とフロー情報と帯域違反情報と違反が1回目又は2回目以降であるという情報とを含む監視情報を前記アクション制御部へ送信し、
前記アクション制御部は、監視情報に基づき、実行するアクション制御を決定し、フロー情報とアクション内容を含むアクション指示情報を前記パケット送信部へ送信し、
前記パケット送信部では、前記アクション制御部から送られてきたアクション指示情報を元に、該当フローに対して制御を行い、一方、アクションが指示されていなければ、該当フローに相当するパケットをそのまま送信する
ようにしたパケットを中継する中継装置が提供される。
パケットの送信処理を行うパケット送信部と、
受信または送信するパケットからフローを検出するフロー検出部と、
フロー情報と帯域と初回違反時間と前回違反時間と使用中又は未使用のフラグとを含むエントリを記憶する帯域監視テーブルを有し、前記フロー検出部が検出したフローがあらかじめ設定されたポリシに違反するか遵守するかを判定する帯域監視部と、
前記帯域監視部が判定したポリシに違反したフローに対して、あらかじめ設定された複数のアクション制御動作を順番に実行するアクション制御部と、
を備え、
パケット送信部は、受信したパケットのヘッダ情報を前記フロー検出部に送信し、
前記フロー検出部は、前記パケット送信部から受信したパケットのヘッダ情報を用いてフローを特定し、特定したフローのフロー情報毎にパケット数をカウントし、該パケット数が設定された閾値を超えたフローのフロー情報を含む閾値越え情報を前記帯域監視部へ送信し、
前記帯域監視部は、
前記フロー検出部より送られてきた閾値越え情報をもとに帯域監視テーブルのエントリを作成し、
受信したパケットのヘッダ情報に含まれるフロー情報と、帯域監視テーブルに格納されているフロー情報とを、フラグが使用中の全てのエントリについて比較し、
a. 一致するエントリが存在しなかった場合、エントリ無しの情報及びフロー情報を含む監視情報を前記アクション制御部へ送信し、
b. 一致するエントリが存在した場合、帯域を測定し、予め定められた閾値を超えているか確認し、
i) 帯域が閾値を超えていない場合、帯域遵守であると判定し、現在時刻と該当するエントリの前回違反時間との差分の時間が、時刻閾値を超えているかを確認し、
時刻閾値を超えている場合、監視対象から除外するために、帯域監視テーブルから該当エントリをフラグを未使用にすることで削除し、一方、時刻閾値を超えていない場合、監視対象のままとし、
該当フローの、エントリ有りの情報とフロー情報と帯域遵守情報と一定時間以上帯域を遵守していたかどうかの情報を含む監視情報を前記アクション制御部へ送信し、
ii) 帯域が閾値以上の場合、帯域違反が発生したと判定し、初回違反時間に基づき違反回数を確認し、
該当フローのエントリの初回違反時間と前回違反時間を更新し、
該フローの、エントリ有の情報とフロー情報と帯域違反情報と違反が1回目又は2回目以降であるという情報とを含む監視情報を前記アクション制御部へ送信し、
前記アクション制御部は、監視情報に基づき、実行するアクション制御を決定し、フロー情報とアクション内容を含むアクション指示情報を前記パケット送信部へ送信し、
前記パケット送信部では、前記アクション制御部から送られてきたアクション指示情報を元に、該当フローに対して制御を行い、一方、アクションが指示されていなければ、該当フローに相当するパケットをそのまま送信する
ようにしたパケットを中継する中継装置が提供される。
本発明によると、事前にフロー条件を設定せずにすみ、該当フローに有効な制裁を自動的に発動することが可能となる。
また、本発明によると、中継装置でフロー条件をあらかじめ設定しておくのではなく、ポリシのみを設定しておくだけで、ポリシに違反する自律的フローを特定し、そのフローの特性にあった帯域制御などの制御を実行することができる。
また、本発明によると、中継装置でフロー条件をあらかじめ設定しておくのではなく、ポリシのみを設定しておくだけで、ポリシに違反する自律的フローを特定し、そのフローの特性にあった帯域制御などの制御を実行することができる。
図1は、本実施の形態のルータ100を示す。以下に、本実施の形態のフロー制御機構を所持するルータ(中継装置)100の構成を図1を用いて説明する。
ルータ100は、パケットが入力する入力回線110とパケットの受信処理を行うパケット受信回路120と、パケットを出力する出力回線190の識別子である出力回線番号の判定等を実行するヘッダ処理部130と、パケットを前記出力回線番号に基づきスイッチングするパケット中継処理手段140と、送信側バッファ170へパケットを書き出してパケットの送信処理を行うパケット送信回路150と、受信したパケットのフロー情報を抽出し、事前に定義された複数のアクションから一つを決定し実行するフロー制御部160と、パケットを出力する出力回線190を備える。管理端末180は、ルータ100の管理と各種設定を行なう。ヘッダ処理部130は、経路検索処理部12を有する。フロー制御部160は、フロー検出部300と帯域監視部600とアクション制御部900を有する。図1には入力回線110と出力回線190がそれぞれ1回線ずつ記載されているが、実際には、ルータ100は、通常、複数の入力回線110と出力回線190から構成される。
ルータ100は、パケットが入力する入力回線110とパケットの受信処理を行うパケット受信回路120と、パケットを出力する出力回線190の識別子である出力回線番号の判定等を実行するヘッダ処理部130と、パケットを前記出力回線番号に基づきスイッチングするパケット中継処理手段140と、送信側バッファ170へパケットを書き出してパケットの送信処理を行うパケット送信回路150と、受信したパケットのフロー情報を抽出し、事前に定義された複数のアクションから一つを決定し実行するフロー制御部160と、パケットを出力する出力回線190を備える。管理端末180は、ルータ100の管理と各種設定を行なう。ヘッダ処理部130は、経路検索処理部12を有する。フロー制御部160は、フロー検出部300と帯域監視部600とアクション制御部900を有する。図1には入力回線110と出力回線190がそれぞれ1回線ずつ記載されているが、実際には、ルータ100は、通常、複数の入力回線110と出力回線190から構成される。
図2に、ネットワーク上を流れるパケットのフォーマットの一例を示す。
図2には一例としてEthrenet回線の場合を示した。パケットはL2ヘッダ部220とL3ヘッダ部221とL4ヘッダ部222とデータ部223を含む。L2ヘッダ部220は、L2のアドレス情報などパケットの入力回線の種類によって異なる情報から構成される。この例ではL2ヘッダ部220は、送信元MACアドレス210と、宛先MACアドレス211を含む。L3ヘッダ部221は、IPのバージョンを示すIPバージョン212と上位層(L4層)の種別を示すプロトコル番号213と送信元アドレスである送信元IPアドレス214と、宛先アドレスである宛先IPアドレス215、L3ヘッダ部221とL4ヘッダ部222とデータ部223を足したバイト長であるL3パケット長216を含む。L4ヘッダ部222は、送信元ポート217と宛先ポートを表す宛先ポート218を含む。また、データ部223は任意のユーザデータである、データ219を含む。
図2には一例としてEthrenet回線の場合を示した。パケットはL2ヘッダ部220とL3ヘッダ部221とL4ヘッダ部222とデータ部223を含む。L2ヘッダ部220は、L2のアドレス情報などパケットの入力回線の種類によって異なる情報から構成される。この例ではL2ヘッダ部220は、送信元MACアドレス210と、宛先MACアドレス211を含む。L3ヘッダ部221は、IPのバージョンを示すIPバージョン212と上位層(L4層)の種別を示すプロトコル番号213と送信元アドレスである送信元IPアドレス214と、宛先アドレスである宛先IPアドレス215、L3ヘッダ部221とL4ヘッダ部222とデータ部223を足したバイト長であるL3パケット長216を含む。L4ヘッダ部222は、送信元ポート217と宛先ポートを表す宛先ポート218を含む。また、データ部223は任意のユーザデータである、データ219を含む。
次に、本発明のルータ100の動作概要を図1を用いて説明する。
パケットはまず入力回線110よりパケット受信回路120に入力する。パケットがパケット受信回路120に入力すると、パケット受信回路120は、受信したパケットのL2ヘッダ部220、L3ヘッダ部221、L4ヘッダ部222を含むパケットヘッダ情報10をヘッダ処理部130に送信する。ヘッダ処理部130は、パケット受信回路120より受信したパケットヘッダ情報10を用いて経路検索処理12を実行し、出力回線番号を検索し、その検索結果をパケット受信回路120へ送信する。
パケット中継処理手段140は、パケット受信回路120がヘッダ処理部130から受信した出力回線番号11に従いパケットをスイッチングし、出力回線190毎のパケット送信回路150へパケットを送信する。
パケット送信回路150は、パケット中継処理手段140より受信したパケットのL3ヘッダ部221とL4ヘッダ部222をフロー制御部160に送信する。フロー検出部300は、L3ヘッダ情報221とL4ヘッダ情報222を用いてフローを特定する。フロー検出部300では、例えば、IPバージョン212、プロトコル番号213、送信元IPアドレス214、宛先IPアドレス215、送信元ポート217、宛先ポート218の全フィールドが同じ値のものを同一のフローとして定義する。フロー検出部300では、フロー毎にパケット数をカウントし、パケット数が設定された閾値を超えたフローの情報(閾値越え情報16)を帯域監視部600へ送信する。帯域監視部600は、閾値越え情報16に含まれるフロー情報で指定されたフローの監視を行い、帯域の監視を行った結果と違反回数と遵守時間を含む監視情報19を生成し、監視情報19をアクション制御部900に送信する。アクション制御部900は、監視情報19を基に実行する制御を決定し、アクション指示情報13をパケット送信回路150へ送信する。なお、フロー検出部300、帯域監視部600、アクション制御部900による処理の詳細は、後述する。パケット送信回路150は、アクション指示情報13の指示に従い、該当パケットのパケット送信バッファ190への送信、もしくは該当パケットの廃棄もしくは、パケットヘッダの書き換え等を実行する。
パケット送信バッファ170に送信されたパケットは、出力回線190に送信される。
パケットはまず入力回線110よりパケット受信回路120に入力する。パケットがパケット受信回路120に入力すると、パケット受信回路120は、受信したパケットのL2ヘッダ部220、L3ヘッダ部221、L4ヘッダ部222を含むパケットヘッダ情報10をヘッダ処理部130に送信する。ヘッダ処理部130は、パケット受信回路120より受信したパケットヘッダ情報10を用いて経路検索処理12を実行し、出力回線番号を検索し、その検索結果をパケット受信回路120へ送信する。
パケット中継処理手段140は、パケット受信回路120がヘッダ処理部130から受信した出力回線番号11に従いパケットをスイッチングし、出力回線190毎のパケット送信回路150へパケットを送信する。
パケット送信回路150は、パケット中継処理手段140より受信したパケットのL3ヘッダ部221とL4ヘッダ部222をフロー制御部160に送信する。フロー検出部300は、L3ヘッダ情報221とL4ヘッダ情報222を用いてフローを特定する。フロー検出部300では、例えば、IPバージョン212、プロトコル番号213、送信元IPアドレス214、宛先IPアドレス215、送信元ポート217、宛先ポート218の全フィールドが同じ値のものを同一のフローとして定義する。フロー検出部300では、フロー毎にパケット数をカウントし、パケット数が設定された閾値を超えたフローの情報(閾値越え情報16)を帯域監視部600へ送信する。帯域監視部600は、閾値越え情報16に含まれるフロー情報で指定されたフローの監視を行い、帯域の監視を行った結果と違反回数と遵守時間を含む監視情報19を生成し、監視情報19をアクション制御部900に送信する。アクション制御部900は、監視情報19を基に実行する制御を決定し、アクション指示情報13をパケット送信回路150へ送信する。なお、フロー検出部300、帯域監視部600、アクション制御部900による処理の詳細は、後述する。パケット送信回路150は、アクション指示情報13の指示に従い、該当パケットのパケット送信バッファ190への送信、もしくは該当パケットの廃棄もしくは、パケットヘッダの書き換え等を実行する。
パケット送信バッファ170に送信されたパケットは、出力回線190に送信される。
図3に、本実施の形態のフロー検出部を示すブロック図を示す。フロー検出部300は、閾値情報30、フロー解析部31、フローテーブル32を備える。
図5に、本実施の形態のフロー検出部のフローチャートを示す。
次に、フロー検出部300の詳細動作について図5を用いて説明する。フロー検出部300のフロー解析部31は、受信したL3ヘッダ情報221とL4ヘッダ情報222に含まれる、フロー情報を抽出する(ステップ501)。フロー情報としては、例えば、IPバージョン、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号が含まれる。フロー情報の要素はこれらに限定されるわけではなく、これらの要素のうち所望のいずれか複数のみとしてもよいし、必要に応じて他の要素を加えてもよい。また、ステップ501におけるパケットからのフロー情報の取り出しは、受信パケット全てではなく、適当なサンプリング処理により選択されたパケットに対してのみ行うようにしてもよい。これにより、膨大なトラフィックが流れる高速ネットワークにおいても処理可能となる。
次に、フロー解析部31は、ステップ501で選択された項目の組み合わせより、パケット数を積算するためのフローテーブル32のテーブル番号を生成する(ステップ502)。
図5に、本実施の形態のフロー検出部のフローチャートを示す。
次に、フロー検出部300の詳細動作について図5を用いて説明する。フロー検出部300のフロー解析部31は、受信したL3ヘッダ情報221とL4ヘッダ情報222に含まれる、フロー情報を抽出する(ステップ501)。フロー情報としては、例えば、IPバージョン、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号が含まれる。フロー情報の要素はこれらに限定されるわけではなく、これらの要素のうち所望のいずれか複数のみとしてもよいし、必要に応じて他の要素を加えてもよい。また、ステップ501におけるパケットからのフロー情報の取り出しは、受信パケット全てではなく、適当なサンプリング処理により選択されたパケットに対してのみ行うようにしてもよい。これにより、膨大なトラフィックが流れる高速ネットワークにおいても処理可能となる。
次に、フロー解析部31は、ステップ501で選択された項目の組み合わせより、パケット数を積算するためのフローテーブル32のテーブル番号を生成する(ステップ502)。
図4に、フローテーブル32の一例を示す。
1フロー分のフローテーブル32は、テーブル番号401、フロー情報(送信元IPアドレス402、宛先IPアドレス403、送信元ポート番号404、宛先ポート番号405、プロトコル番号406、IPバージョン407)、パケット数カウンタ408を含み、これらの組みが複数格納された構造となっている。全てのフローが格納できるような広大なフローテーブル32空間を割り当てることは難しい場合もあるため、テーブル番号決定方法としては、選択された項目の組み合わせに対して適当なハッシュ関数を適用し、得られたハッシュ値をテーブル番号とする方法をとることができる。また、異なるフローが同一のハッシュ値となり、フローテーブル32の利用が偏ってしまうことが考えられるため、ハッシュ関数を複数使用するとよい。ここでは、一例として、ハッシュ関数を4つ用意し、一つのフローに対して、4つのハッシュ値を生成する。このハッシュ値そのものをフローテーブル32のテーブル番号として使用する。フローテーブル32は、テーブル番号1のテーブルには、テーブル番号を“1”を書き込み、それ以外のフィールドには“0”を書き込んでおく。同様にテーブル番号Nのテーブルには、テーブル番号“N”を書き込み、それ以外のフィールドには“0”を書き込んでおく。フロー解析部31は、このようにしてN個のフローテーブル32を予め用意しておく。
フロー解析部31は、ステップ502で、例えば4つのハッシュ関数に対する4つのテーブル番号を生成したら、4つ全てのテーブル番号に相当するフローテーブル32の内容を確認する(ステップ503)。ここでは、まず、フロー解析部31は、フローテーブル32の送信元IPアドレス402、宛先IPアドレス403、送信元ポート番号404、宛先ポート番号405、プロトコル番号406、IPバージョン407の各値と、ステップ501で抽出されたフロー情報の各値がすべて一致するテーブルが存在するか確認する。フロー情報中の全てのフィールドが一致するテーブルが存在した場合、同一テーブル有と判定する。フロー解析部31は、フロー情報中の全てのフィールドが一致するテーブルが存在しなかった場合、未使用のテーブルが存在するか確認する。未使用かどうかは、パケット数カウンタが“0”であるかどうかで判断する。フロー解析部31は、パケット数カウンタが“0”の場合、未使用であると判断し、空きテーブル有と判定する。全てのテーブルのパケット数カウンタが“0”以外であった場合、空きテーブル無と判定する。
また、フロー解析部31は、ステップ503の結果、空きテーブル有と判定された場合は、フロー解析部31は、該当するテーブル番号のフローテーブル32にステップ501で抽出されたフロー情報を書き込む(ステップ505)。テーブル番号nのテーブルが空きテーブル有りと判定されたとすると、送信IPアドレスフィールド402−n、宛先IPアドレスフィールド403−n、送信元ポート番号404−n、宛先ポート番号405−n、プロトコル番号406−n、IPバージョン407−nにステップ501で抽出されたフロー情報を書き込み、パケット数カウンタ408−nには“0”を書き込む。複数個のエントリが未使用であった場合、テーブル番号が予め定められた順番で、例えば、最も小さい(又は最も大きい)エントリを使用する。次に、フロー解析部31は、前記エントリ内のパケット数カウンタ値408−nに1を加える(ステップ506)。
1フロー分のフローテーブル32は、テーブル番号401、フロー情報(送信元IPアドレス402、宛先IPアドレス403、送信元ポート番号404、宛先ポート番号405、プロトコル番号406、IPバージョン407)、パケット数カウンタ408を含み、これらの組みが複数格納された構造となっている。全てのフローが格納できるような広大なフローテーブル32空間を割り当てることは難しい場合もあるため、テーブル番号決定方法としては、選択された項目の組み合わせに対して適当なハッシュ関数を適用し、得られたハッシュ値をテーブル番号とする方法をとることができる。また、異なるフローが同一のハッシュ値となり、フローテーブル32の利用が偏ってしまうことが考えられるため、ハッシュ関数を複数使用するとよい。ここでは、一例として、ハッシュ関数を4つ用意し、一つのフローに対して、4つのハッシュ値を生成する。このハッシュ値そのものをフローテーブル32のテーブル番号として使用する。フローテーブル32は、テーブル番号1のテーブルには、テーブル番号を“1”を書き込み、それ以外のフィールドには“0”を書き込んでおく。同様にテーブル番号Nのテーブルには、テーブル番号“N”を書き込み、それ以外のフィールドには“0”を書き込んでおく。フロー解析部31は、このようにしてN個のフローテーブル32を予め用意しておく。
フロー解析部31は、ステップ502で、例えば4つのハッシュ関数に対する4つのテーブル番号を生成したら、4つ全てのテーブル番号に相当するフローテーブル32の内容を確認する(ステップ503)。ここでは、まず、フロー解析部31は、フローテーブル32の送信元IPアドレス402、宛先IPアドレス403、送信元ポート番号404、宛先ポート番号405、プロトコル番号406、IPバージョン407の各値と、ステップ501で抽出されたフロー情報の各値がすべて一致するテーブルが存在するか確認する。フロー情報中の全てのフィールドが一致するテーブルが存在した場合、同一テーブル有と判定する。フロー解析部31は、フロー情報中の全てのフィールドが一致するテーブルが存在しなかった場合、未使用のテーブルが存在するか確認する。未使用かどうかは、パケット数カウンタが“0”であるかどうかで判断する。フロー解析部31は、パケット数カウンタが“0”の場合、未使用であると判断し、空きテーブル有と判定する。全てのテーブルのパケット数カウンタが“0”以外であった場合、空きテーブル無と判定する。
また、フロー解析部31は、ステップ503の結果、空きテーブル有と判定された場合は、フロー解析部31は、該当するテーブル番号のフローテーブル32にステップ501で抽出されたフロー情報を書き込む(ステップ505)。テーブル番号nのテーブルが空きテーブル有りと判定されたとすると、送信IPアドレスフィールド402−n、宛先IPアドレスフィールド403−n、送信元ポート番号404−n、宛先ポート番号405−n、プロトコル番号406−n、IPバージョン407−nにステップ501で抽出されたフロー情報を書き込み、パケット数カウンタ408−nには“0”を書き込む。複数個のエントリが未使用であった場合、テーブル番号が予め定められた順番で、例えば、最も小さい(又は最も大きい)エントリを使用する。次に、フロー解析部31は、前記エントリ内のパケット数カウンタ値408−nに1を加える(ステップ506)。
また、ステップ503の結果、同一テーブル有と判定された場合は、フロー解析部31は、同一テーブル内のパケット数カウンタ値に1を加える(ステップ506)。ここではテーブル番号yのテーブルが同一テーブルであると判定されたとする。パケット数カウンタフィールド408−yに“1”を加え、それ以外のフィールドには何も実行しない。
さらに、ステップ503の結果、空きテーブル無と判定された場合は、フロー解析部31は、4つのテーブル中のどれか一つのテーブルを上書きする。4つのテーブル中どのテーブルを上書きするかは、例えば、4つのテーブルのパケット数カウンタフィールドを比較し、一番小さいパケット数のテーブルを上書き可能テーブルとして決定する(ステップ504)。ここではテーブル番号zのテーブルが上書き可能テーブルとして決定されたとする。決定されたテーブルに対し、送信IPアドレスフィールド402−z、宛先IPアドレスフィールド403−z、送信元ポート番号404−z、宛先ポート番号405−z、プロトコル番号406−z、IPバージョン407−zの各フィールドに該当パケットから抽出された情報を書き込み、パケット数カウンタ値フィールド408−zに“0”を書き込む(ステップ505)。次に、フロー解析部31は、パケット数カウンタフィールド408−zに“1”を加える(ステップ506)。
次に、フロー解析部31は、上述のようにステップ506でパケット数カウンタフィールドに“1”を加えた結果、パケット数カウンタが規定の閾値を超えているかどうかを確認する(ステップ507)。前記閾値は、閾値情報30に格納されているので、フロー解析部31はこれを参照する。閾値情報30の内容は、例えば、管理端末180を用いて事前に設定しておくことができる。フロー解析部31は、ステップ507において、前記パケット数フィールドの値が閾値情報30の閾値フィールドに定義されている値と一致した場合又はそれ以上の場合、閾値越えが発生したと判断し、閾値越え情報16を生成し、帯域監視部600に送信する(ステップ508)。閾値越え情報16の内容は、例えば、前記エントリ内に格納されている、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報を含む。閾値を超えていなかった場合は、何もしない。
さらに、ステップ503の結果、空きテーブル無と判定された場合は、フロー解析部31は、4つのテーブル中のどれか一つのテーブルを上書きする。4つのテーブル中どのテーブルを上書きするかは、例えば、4つのテーブルのパケット数カウンタフィールドを比較し、一番小さいパケット数のテーブルを上書き可能テーブルとして決定する(ステップ504)。ここではテーブル番号zのテーブルが上書き可能テーブルとして決定されたとする。決定されたテーブルに対し、送信IPアドレスフィールド402−z、宛先IPアドレスフィールド403−z、送信元ポート番号404−z、宛先ポート番号405−z、プロトコル番号406−z、IPバージョン407−zの各フィールドに該当パケットから抽出された情報を書き込み、パケット数カウンタ値フィールド408−zに“0”を書き込む(ステップ505)。次に、フロー解析部31は、パケット数カウンタフィールド408−zに“1”を加える(ステップ506)。
次に、フロー解析部31は、上述のようにステップ506でパケット数カウンタフィールドに“1”を加えた結果、パケット数カウンタが規定の閾値を超えているかどうかを確認する(ステップ507)。前記閾値は、閾値情報30に格納されているので、フロー解析部31はこれを参照する。閾値情報30の内容は、例えば、管理端末180を用いて事前に設定しておくことができる。フロー解析部31は、ステップ507において、前記パケット数フィールドの値が閾値情報30の閾値フィールドに定義されている値と一致した場合又はそれ以上の場合、閾値越えが発生したと判断し、閾値越え情報16を生成し、帯域監視部600に送信する(ステップ508)。閾値越え情報16の内容は、例えば、前記エントリ内に格納されている、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報を含む。閾値を超えていなかった場合は、何もしない。
図6に、本実施の形態の帯域監視部を示すブロック図を示す。
次に帯域監視部600の構成を図6を用いて説明する。帯域監視部600は、帯域監視処理部61と、監視対象を格納しておく帯域監視テーブル62と、監視帯域閾値を格納しておく帯域閾値情報60と、監視時間情報を格納しておく時刻閾値情報63と、現在時刻を示す時刻情報64を備える。帯域閾値情報60と時刻閾値情報は、例えば、管理端末180より設定される。
以下に、帯域監視部600の詳細動作を図7を用いて説明する。帯域監視部600の帯域監視処理部61はフロー検出部300から情報をもらう場合と、パケット送信回路150より情報をもらう場合、の二つの場合が存在する。フロー検出部300から情報をもらった場合はステップ701を実行し、パケット送信回路から情報をもらった場合はステップ702以降を実行する。
ステップ701で、帯域監視処理部61は、フロー検出部300より送られてきた閾値越え情報16をもとに帯域監視テーブル62のエントリを作成する。
次に帯域監視部600の構成を図6を用いて説明する。帯域監視部600は、帯域監視処理部61と、監視対象を格納しておく帯域監視テーブル62と、監視帯域閾値を格納しておく帯域閾値情報60と、監視時間情報を格納しておく時刻閾値情報63と、現在時刻を示す時刻情報64を備える。帯域閾値情報60と時刻閾値情報は、例えば、管理端末180より設定される。
以下に、帯域監視部600の詳細動作を図7を用いて説明する。帯域監視部600の帯域監視処理部61はフロー検出部300から情報をもらう場合と、パケット送信回路150より情報をもらう場合、の二つの場合が存在する。フロー検出部300から情報をもらった場合はステップ701を実行し、パケット送信回路から情報をもらった場合はステップ702以降を実行する。
ステップ701で、帯域監視処理部61は、フロー検出部300より送られてきた閾値越え情報16をもとに帯域監視テーブル62のエントリを作成する。
図8に、帯域監視テーブルの一例を示す。帯域監視テーブル800は、フロー情報801と帯域802と初回違反時間803と前回違反時間804とフラグ805を含む。フロー情報801には送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等の情報が格納され、帯域802にはフロー情報801で指示されるフローの現在の帯域情報が格納され、初回違反時間803には、初めて帯域違反と判定された時刻が格納され、前回違反時間には、直前に帯域違反と判定された時刻が格納されて、フラグ805には、当該テーブルが使用中のテーブルであれば“1”が、未使用のテーブルであれば“0”が格納される。初期状態では全てのテーブルのフラグが“0”に設定されている。
ステップS701では、まず、帯域監視処理部61は、既に存在する全ての帯域監視テーブル62のフロー情報801と、フロー検出部300より送られてきた閾値越え情報16とを比較する。フロー情報801と閾値越え情報16にはともに、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等の情報が格納されている。帯域監視処理部61は、この比較では、フラグが“1”のテーブルのフロー情報801と閾値越え情報16の全てのフィールドが一致するテーブルがあるかどうかをチェックする。
帯域監視処理部61は、一致するテーブルが存在しなかった場合には、新規エントリを作成する。フロー情報801には閾値越え情報16として送られてきた、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン、が格納され、帯域802、初回違反時間803、前回違反時間804のフィールドには0が格納され、フラグ805が“1”に設定される。新規テーブルを作成する場合は、予め定められた順番により、例えば、フラグが“0”で一番アドレスが小さいテーブルを選択する。
一方、一致するエントリが存在した場合には、帯域監視処理部61は、該等閾値越え情報16を無視する。
帯域監視処理部61は、一致するテーブルが存在しなかった場合には、新規エントリを作成する。フロー情報801には閾値越え情報16として送られてきた、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン、が格納され、帯域802、初回違反時間803、前回違反時間804のフィールドには0が格納され、フラグ805が“1”に設定される。新規テーブルを作成する場合は、予め定められた順番により、例えば、フラグが“0”で一番アドレスが小さいテーブルを選択する。
一方、一致するエントリが存在した場合には、帯域監視処理部61は、該等閾値越え情報16を無視する。
ステップ702として、帯域監視処理部61は、受信したパケットヘッダ情報221に含まれる、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョンから生成したフロー情報と、帯域監視テーブル800に格納されているフロー情報801の、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等とを比較する。帯域監視処理部61は、帯域監視テーブル800に格納されているフラグが“1”の全てのエントリと比較を行い、一致するエントリを検索する。
一致するエントリが存在しなかった場合、該当フロー情報を含む監視情報19をアクション制御部900へ送信する(ステップ713)。送信する監視情報19は、帯域監視テーブル800に“エントリ無”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、を送信する。
帯域監視処理部61は、ステップ702で、一致するエントリが存在した場合、帯域を測定する(ステップ703)。帯域とは、例えば、単位時間(1秒)あたりの受信バイト数とすることができる。受信バイト数とは、受信したパケットのパケットヘッダ情報221に含まれるL3パケット長216を単位時間に受信した数だけ加算した値とすることができる。また、これ以外の方法で帯域を測定してもよく、そのために、帯域監視テーブル800に帯域を監視するための受信バイト数を格納しておくフィールド等の帯域計算に必要なフィールドを加えても良い。
次に、帯域監視処理部61は、ステップ703で計測された帯域の値が、閾値を超えているか確認する(ステップ704)。前記閾値は帯域閾値情報60に設定されているので、帯域監視処理部61はこれを参照する。閾値を超えるかもしくは等しい場合、帯域監視処理部61は、帯域違反が発生したと判定する。一方、閾値を超えていない場合、帯域監視処理部61は、帯域遵守であると判定する。
一致するエントリが存在しなかった場合、該当フロー情報を含む監視情報19をアクション制御部900へ送信する(ステップ713)。送信する監視情報19は、帯域監視テーブル800に“エントリ無”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、を送信する。
帯域監視処理部61は、ステップ702で、一致するエントリが存在した場合、帯域を測定する(ステップ703)。帯域とは、例えば、単位時間(1秒)あたりの受信バイト数とすることができる。受信バイト数とは、受信したパケットのパケットヘッダ情報221に含まれるL3パケット長216を単位時間に受信した数だけ加算した値とすることができる。また、これ以外の方法で帯域を測定してもよく、そのために、帯域監視テーブル800に帯域を監視するための受信バイト数を格納しておくフィールド等の帯域計算に必要なフィールドを加えても良い。
次に、帯域監視処理部61は、ステップ703で計測された帯域の値が、閾値を超えているか確認する(ステップ704)。前記閾値は帯域閾値情報60に設定されているので、帯域監視処理部61はこれを参照する。閾値を超えるかもしくは等しい場合、帯域監視処理部61は、帯域違反が発生したと判定する。一方、閾値を超えていない場合、帯域監視処理部61は、帯域遵守であると判定する。
ステップ704で帯域遵守と判定された場合、帯域監視処理部61は、現在時刻情報64及び時刻閾値情報63を参照し、ステップ702で一致するエントリとして検索されたフローが書き込まれている帯域監視テーブル800のエントリの前回違反時間804と現在時刻の差分の時間が、時刻閾値情報63を超えているかを確認する(ステップ705)。閾値を超えている場合、帯域監視処理部61は、一定時間以上該当フローは帯域を遵守していると判断し、監視対象から除外する。帯域監視処理部61は、この該当フローを監視対象から除外するために、帯域監視テーブル800から該当エントリを削除する(ステップ707)。エントリの削除とは該当エントリのフラグ805を“0”にすることである。ステップ704で時刻閾値情報63を超えていない場合、帯域監視処理部61は、一定時間以上該当フローが帯域を遵守していないと判断し、監視対象のままとする。
次に、帯域監視処理部61は、該当フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ712)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域を遵守したことを表す帯域遵守情報と、ステップ705で確認した一定時間以上帯域を遵守していたかどうかの情報である。
次に、帯域監視処理部61は、該当フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ712)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域を遵守したことを表す帯域遵守情報と、ステップ705で確認した一定時間以上帯域を遵守していたかどうかの情報である。
ステップ704で帯域違反と判定された場合、帯域監視処理部61は、違反回数を確認する(ステップ706)。該当フローのエントリの初回違反時間803が0である場合、1回目であると判定される。
1回目と判断された場合、帯域監視処理部61は、該当フローのエントリの初回違反時間803と前回違反時間804に、現在時刻を書き込む(ステップ708)。次に、帯域監視処理部61は、該フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ710)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域を違反したことを表す帯域違反情報と、違反が1回目であるという情報である。
ステップ706で2回目以降であると判断された場合、帯域監視処理部61は、該当フローのエントリの前回違反時間804に現在時刻を格納する(ステップ709)。次に該当フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ711)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域違反情報と、違反が2回目以降であるという情報である。
1回目と判断された場合、帯域監視処理部61は、該当フローのエントリの初回違反時間803と前回違反時間804に、現在時刻を書き込む(ステップ708)。次に、帯域監視処理部61は、該フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ710)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域を違反したことを表す帯域違反情報と、違反が1回目であるという情報である。
ステップ706で2回目以降であると判断された場合、帯域監視処理部61は、該当フローのエントリの前回違反時間804に現在時刻を格納する(ステップ709)。次に該当フローのエントリ情報を含む監視情報19をアクション制御部900へ送信する(ステップ711)。送信する監視情報19は、帯域監視テーブルに“エントリ有”の情報と、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、帯域違反情報と、違反が2回目以降であるという情報である。
図9に、本実施の形態のアクション実行部を示すブロック図を示す。
アクション制御部900を図9を用いて説明する。アクション制御部900は、フロー情報を格納しておくフローデータベース90と、アクションを決定するアクション決定部91と、実行すべきアクションの内容と順序が格納されているアクションデータベース92と、時間閾値情報93と、現在時刻情報94とを含む。
図10に、フローデータベースの例を示す。
フローデータベース1000は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等の情報を格納するフロー情報フィールド1001と、該当エントリが登録された時刻を格納するアクション開始時刻フィールド1002と、アクションが実行されていた時間の長さを格納するアクション実行時間フィールド1003を含む。
図12に、アクションデータベースの例を示す。
アクションデータベース1200は、アクションの開始時刻を表すフィールド1201と、アクションの終了時刻を表すフィールド1202と、アクション内容1203を含む。例えば、開始時刻0秒から終了時刻10秒まではアクション内容としてアクションTOS値を“5”にマーキングの処理を実行、開始時刻10秒から終了時刻30秒まではアクション内容としてWREDを実行、開始時刻30秒から終了時刻60秒まではアクション内容としてUPCを実行、といったように、一連又は一組等のアクション処理を構成する各々のアクション内容とアクションの順序が設定される。開始時刻と終了時刻の間の時間が複数のテーブルで重複して設定された場合は、予め定められた順番により、例えば、テーブルアドレスが小さいものが優先して選択されるものとする。アクションデータベース92と時間閾値情報93は、例えば、管理端末180を用いて事前に設定することができる。
アクション制御部900を図9を用いて説明する。アクション制御部900は、フロー情報を格納しておくフローデータベース90と、アクションを決定するアクション決定部91と、実行すべきアクションの内容と順序が格納されているアクションデータベース92と、時間閾値情報93と、現在時刻情報94とを含む。
図10に、フローデータベースの例を示す。
フローデータベース1000は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等の情報を格納するフロー情報フィールド1001と、該当エントリが登録された時刻を格納するアクション開始時刻フィールド1002と、アクションが実行されていた時間の長さを格納するアクション実行時間フィールド1003を含む。
図12に、アクションデータベースの例を示す。
アクションデータベース1200は、アクションの開始時刻を表すフィールド1201と、アクションの終了時刻を表すフィールド1202と、アクション内容1203を含む。例えば、開始時刻0秒から終了時刻10秒まではアクション内容としてアクションTOS値を“5”にマーキングの処理を実行、開始時刻10秒から終了時刻30秒まではアクション内容としてWREDを実行、開始時刻30秒から終了時刻60秒まではアクション内容としてUPCを実行、といったように、一連又は一組等のアクション処理を構成する各々のアクション内容とアクションの順序が設定される。開始時刻と終了時刻の間の時間が複数のテーブルで重複して設定された場合は、予め定められた順番により、例えば、テーブルアドレスが小さいものが優先して選択されるものとする。アクションデータベース92と時間閾値情報93は、例えば、管理端末180を用いて事前に設定することができる。
図11に、本実施の形態のアクション実行部のフローチャートを示す。
次にアクション制御部900の詳細動作を図11を用いて説明する。
アクション制御部900のアクション決定部91は、帯域監視部600から送られてきた監視情報19を元に、帯域監視テーブル62にエントリが有ったかどうかのチェックを行う(ステップ1100)。
ステップ1100でエントリが無かったと判定された場合、アクション決定部91は、パケット送信回路150に対し該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
ステップ1100でエントリ有と判定された場合、アクション決定部91は、次に帯域を遵守していたか違反していたかのチェックを行う(ステップ1101)。
ステップ1101で遵守していたと判定された場合、アクション決定部91は、さらに帯域監視部600から送られてきた監視情報19をもとに、一定時間以上帯域を遵守していたか判定する(ステップ1102)。
次にアクション制御部900の詳細動作を図11を用いて説明する。
アクション制御部900のアクション決定部91は、帯域監視部600から送られてきた監視情報19を元に、帯域監視テーブル62にエントリが有ったかどうかのチェックを行う(ステップ1100)。
ステップ1100でエントリが無かったと判定された場合、アクション決定部91は、パケット送信回路150に対し該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
ステップ1100でエントリ有と判定された場合、アクション決定部91は、次に帯域を遵守していたか違反していたかのチェックを行う(ステップ1101)。
ステップ1101で遵守していたと判定された場合、アクション決定部91は、さらに帯域監視部600から送られてきた監視情報19をもとに、一定時間以上帯域を遵守していたか判定する(ステップ1102)。
ステップ1102で一定時間以上帯域を遵守していたと判定された場合、アクション決定部91は、フローデータベース90より、フロー情報フィールドに格納されている送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報が一致するエントリが存在するかどうかを検索する(ステップ1103)。
ステップ1103の検索の結果、該当エントリが存在した場合、アクション決定部91は、現在時刻情報94及び時間閾値情報93を参照し、現在時刻からアクション開始時刻1002の差を求め、その差からさらに遵守していた時間である時間閾値情報93に設定された値を減算した時間を求め、その時間を該当エントリのアクション実行時間フィールド1003に書き込む(ステップ1104)。このフィールドを使用することで、次回同一のフローが帯域違反をした場合に、最も有効であったアクションを違反した直後から実行できるようにする。例えば、アクション開始時刻と現在時刻との差が30秒であったならば(時間閾値情報93に0が設定されている場合)、アクション実行時間フィールド1003に30という値が書き込まれる。次に、アクション決定部91は、パケット送信回路150に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
ステップ1103の検索の結果、該当エントリが存在した場合、アクション決定部91は、現在時刻情報94及び時間閾値情報93を参照し、現在時刻からアクション開始時刻1002の差を求め、その差からさらに遵守していた時間である時間閾値情報93に設定された値を減算した時間を求め、その時間を該当エントリのアクション実行時間フィールド1003に書き込む(ステップ1104)。このフィールドを使用することで、次回同一のフローが帯域違反をした場合に、最も有効であったアクションを違反した直後から実行できるようにする。例えば、アクション開始時刻と現在時刻との差が30秒であったならば(時間閾値情報93に0が設定されている場合)、アクション実行時間フィールド1003に30という値が書き込まれる。次に、アクション決定部91は、パケット送信回路150に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
ステップ1102で一定時間以上帯域を遵守していないと判定された場合、アクション決定部91は、エントリ削除対象では無いと判断し、エントリの削除は行わず、パケット送信回路150に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
ステップ1103での検索の結果、該当エントリが存在しなかった場合、アクション決定部91は、特にアクションは行わず、パケット送信回路150に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
ステップ1103での検索の結果、該当エントリが存在しなかった場合、アクション決定部91は、特にアクションは行わず、パケット送信回路150に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信する(ステップ1105)。
一方、ステップ1101で違反していたと判定された場合、アクション決定部91は、さらに帯域監視部600から送られてきた監視情報19を元に、違反が1回目か2回目以降なのかの判定を行う(ステップ1106)。
ステップ1106で1回目であると判定された場合、アクション決定部91は、フローデータベース90を参照し、フロー情報フィールドに格納されている送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報が一致するエントリが存在するかどうかを検索する(ステップ1107)。
ステップ1106で1回目であると判定された場合、アクション決定部91は、フローデータベース90を参照し、フロー情報フィールドに格納されている送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報が一致するエントリが存在するかどうかを検索する(ステップ1107)。
ステップ1107でエントリが存在した場合、アクション決定部91は、該当のエントリのアクション開始時刻1002に“0”を書き込み、アクション実行時間1003を読み込む。アクション決定部91は、アクション実行時間1003の情報より、次のように実行すべきアクションを決定する。すなわち、アクション決定部91は、アクションデータベース92より、アクション実行時間1003の時間が開始時刻と終了時刻の間に入っているアクションを検索し決定する(ステップ1108)。次にアクション決定部91は、パケット送信回路150に対して決定されたアクションを実行するようにアクション指示情報13を送信する(ステップ1109)。送信するアクション指示情報13は、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、アクション内容である。
ステップ1107でエントリが存在していなかった場合、アクション決定部91は、フローデータベース90に新規にエントリを登録する。新しく、フロー情報フィールド1001に送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョンを書き込み、アクション開始時刻1002に現在時刻94より現在時刻情報を読み込み値を書き込み、アクション実行時間に“0”を書き込む(ステップ1110)。次に、アクション決定部91は、アクション開始時刻1002と現在時刻94の差にアクション実行時間を加算した値(ここでは“0”秒)が開始時刻1201と終了時刻1202の間に入っているアクションを、アクションデータベースより検索しアクション内容1203を決定する(ステップ1111)。この場合、開始時刻が0秒に設定されているアクションを検索することになる。次に、アクション決定部91は、パケット送信回路150に対して決定されたアクションを実行するようにアクション指示情報13を送信する(ステップ1109)。送信するアクション指示情報13は、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、アクション内容である。
ステップ1106で2回目以降であると判定された場合、アクション決定部91は、フローデータベース90を参照し、フロー情報フィールドに格納されている送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等のフロー情報が一致するエントリが存在するかどうかを検索する。2回目以降の場合は必ずエントリが存在するので、アクション決定部91は、該当エントリのアクション開始時刻1002とアクション実行時間1003を読み込む。アクション決定部91は、現在時刻情報94を参照し、アクション開始時刻と現在時刻との差を求め、その値とアクション実行時間の値を加算する。アクション決定部91は、その加算した値が開始時刻1201と終了時刻1202の間に入っているアクションをアクションデータベース92より検索し、アクション内容1203を決定する。例えば、アクション開始時刻と現在時刻との差が10秒であり、アクション実行時間の値が30秒であれば、合計40秒となる。この40秒の値を元に、アクションデータベース92より開始時刻1201と終了時刻1202の間に40秒を含むアクション内容1203を検索することになる。例えば、開始時刻10秒、終了時刻60秒のアクションがあれば、そのアクションが選択される。次にアクション決定部91は、パケット送信回路150に対して決定されたアクションを実行するように情報を送信する(ステップ1109)。送信するアクション指示情報13は、フロー情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョン等)と、アクション内容である。
パケット送信回路150では、アクション制御部900から送られてきたアクション指示情報13を元に、該当フローに対して制御を行う。例えば、アクション内容としての実行情報がTOS値の書き換えといったパケットヘッダの書き換え指示であったならば、パケット送信回路150は、パケットの該当フィールドの値を書き換える。例えば、アクション内容としての実行情報がパケットの廃棄であったならば、パケット送信回路150は、該当パケットの廃棄処理を行う。特にアクションが指示されていなければ、パケット送信回路150は、該当フローに相当するパケットをそのまま送信する。
本実施の形態ではアクションデータベースを一組だけ持つ例を示したが、複数組みのアクションデータベースをもっても良い。どの組みのアクションデータベースを選択するかは、フローの特長毎に割り当てれば良い。例えば、受信パケットの宛先ポート番号の範囲でアクションデータベースの組みを決定しても良い。例えば、宛先ポートが0〜1024まではアクションデータベースの1組目からアクションを決定、1025〜2048まではアクションデータベースの2組目からアクションを決定、それ以外はアクションデータベースの3組目から決定、等としてもよい。また同様に、プロトコル番号の範囲でアクションデータベースの範囲を決定しても良い。さらには、時刻によりアクションデータベースを決定してもよい。0時〜12時まではアクションデータベースの1組目からアクションを決定。12時〜24時まではアクションデータベースの2組目からアクションを決定としてもよい。
以上のように、複数の制御動作を順番に実行するアクション制御部900において、あらかじめ設定された制御順番を最適なものに自律的に変更することができる。また、アクション制御部900は、フローがポリシ違反している時間の長さにより、制御動作の切替を行うことができる。さらに、アクション制御部900は、制御の順番と制御内容を記載した組みを複数組み持つことができる。
以上のように、複数の制御動作を順番に実行するアクション制御部900において、あらかじめ設定された制御順番を最適なものに自律的に変更することができる。また、アクション制御部900は、フローがポリシ違反している時間の長さにより、制御動作の切替を行うことができる。さらに、アクション制御部900は、制御の順番と制御内容を記載した組みを複数組み持つことができる。
以上、本発明の実施の形態について説明したが、本システムは上述の図示例にのみ限定されるものではない。上述の説明では帯域監視部600で監視を実行するにあたり、帯域を用いたが、これを帯域ではなく、該当フローが消費している電力を算出し、電力を監視することで遵守、違反を判定しても良い。また、単位時間あたりのセッション開始数を監視対象としても良い。
160…フロー制御部
300…フロー検出部
600…帯域監視部
900…アクション制御部
10…パケットヘッダ情報
11…出力回線番号
13…アクション指示情報
14…パケットヘッダ情報
16…閾値越え情報
19…監視情報
300…フロー検出部
600…帯域監視部
900…アクション制御部
10…パケットヘッダ情報
11…出力回線番号
13…アクション指示情報
14…パケットヘッダ情報
16…閾値越え情報
19…監視情報
Claims (9)
- パケットの送信処理を行うパケット送信部と、
受信または送信するパケットからフローを検出するフロー検出部と、
フロー情報と帯域と初回違反時間と前回違反時間と使用中又は未使用のフラグとを含むエントリを記憶する帯域監視テーブルを有し、前記フロー検出部が検出したフローがあらかじめ設定されたポリシに違反するか遵守するかを判定する帯域監視部と、
前記帯域監視部が判定したポリシに違反したフローに対して、あらかじめ設定された複数のアクション制御動作を順番に実行するアクション制御部と、
を備え、
パケット送信部は、受信したパケットのヘッダ情報を前記フロー検出部に送信し、
前記フロー検出部は、前記パケット送信部から受信したパケットのヘッダ情報を用いてフローを特定し、特定したフローのフロー情報毎にパケット数をカウントし、該パケット数が設定された閾値を超えたフローのフロー情報を含む閾値越え情報を前記帯域監視部へ送信し、
前記帯域監視部は、
前記フロー検出部より送られてきた閾値越え情報をもとに帯域監視テーブルのエントリを作成し、
受信したパケットのヘッダ情報に含まれるフロー情報と、帯域監視テーブルに格納されているフロー情報とを、フラグが使用中の全てのエントリについて比較し、
a. 一致するエントリが存在しなかった場合、エントリ無しの情報及びフロー情報を含む監視情報を前記アクション制御部へ送信し、
b. 一致するエントリが存在した場合、帯域を測定し、予め定められた閾値を超えているか確認し、
i) 帯域が閾値を超えていない場合、帯域遵守であると判定し、現在時刻と該当するエントリの前回違反時間との差分の時間が、時刻閾値を超えているかを確認し、
時刻閾値を超えている場合、監視対象から除外するために、帯域監視テーブルから該当エントリをフラグを未使用にすることで削除し、一方、時刻閾値を超えていない場合、監視対象のままとし、
該当フローの、エントリ有りの情報とフロー情報と帯域遵守情報と一定時間以上帯域を遵守していたかどうかの情報を含む監視情報を前記アクション制御部へ送信し、
ii) 帯域が閾値以上の場合、帯域違反が発生したと判定し、初回違反時間に基づき違反回数を確認し、
該当フローのエントリの初回違反時間と前回違反時間を更新し、
該フローの、エントリ有の情報とフロー情報と帯域違反情報と違反が1回目又は2回目以降であるという情報とを含む監視情報を前記アクション制御部へ送信し、
前記アクション制御部は、監視情報に基づき、実行するアクション制御を決定し、フロー情報とアクション内容を含むアクション指示情報を前記パケット送信部へ送信し、
前記パケット送信部では、前記アクション制御部から送られてきたアクション指示情報を元に、該当フローに対して制御を行い、一方、アクションが指示されていなければ、該当フローに相当するパケットをそのまま送信する
ようにしたパケットを中継する中継装置。
- 前記フロー検出部は、テーブル番号とフロー情報とパケット数カウンタとを含むエントリを記憶するフローテーブルを備え、
前記フロー検出部は、
受信したヘッダ情報に含まれる、フロー情報を抽出し、
抽出された項目の組み合わせより、パケット数を積算するための前記フローテーブルのテーブル番号を複数生成し、
複数のテーブル番号を生成したら、複数の全てのテーブル番号に相当する前記フローテーブルの内容を確認し、該当するエントリ内のパケット数カウンタに1を加え、
パケット数カウンタが、予め定められた閾値を超えているかどうかを確認し、
閾値を越えていた場合、前記フロー情報を含む閾値越え情報を生成し、前記帯域監視部に送信し、
閾値を越えていなかった場合は、閾値越え情報を送信しないこと
を特徴とする請求項1に記載の中継装置。
- 前記テーブル番号を生成するとき、フロー情報のうち予め定められた選択項目に対してハッシュ関数を複数使用し、得られた複数のハッシュ値をテーブル番号とすることを特徴とする請求項2に記載の中継装置。
- 前記帯域監視部は、
前記フロー検出部より送られてきた閾値越え情報をもとに、既に存在する全ての帯域監視テーブルのフロー情報と、前記フロー検出部より送られてきた閾値越え情報に含まれるフロー情報とを比較し、
一致するテーブルが存在しなかった場合には、前記フロー情報と、帯域及び初回違反時間及び前回違反時間の予め定められた設定値と、フラグの使用中設定値とにより、帯域監視テーブルに新規エントリを作成すること
を特徴とする請求項1に記載の中継装置。
- 前記アクション制御部は、
フロー情報と、該当エントリが登録された時刻を格納するアクション開始時刻と、アクションが実行されていた時間の長さを格納するアクション実行時間を含むエントリを記憶するフローデータベースと、
一連又は一組のアクションについて、アクションの開始時刻とアクションの終了時刻とアクション内容とを含むエントリをアクションの順序に従い記憶されているアクションデータベースと
を備え、
前記アクション制御部は、
前記帯域監視部から送られてきた監視情報に基づき、前記帯域監視部の帯域監視テーブルにエントリが有ったか無かったかのチェックを行い、
a. エントリが無かったと判定された場合、パケット送信回路に対し、該当フローに対するアクションは何も実行せず送信可能であるというアクション指示情報を送信し、
b. エントリが有りと判定された場合、帯域を遵守していたか違反していたかの帯域遵守/違反チェックを行い、
前記帯域遵守/違反チェックにより、帯域を違反していたと判定された場合、前記帯域監視部から送られてきた監視情報を元に、違反が1回目か2回目以降なのかの回数判定を行い、
i) 前記回数判定で1回目であると判定された場合、前記フローデータベースより、監視情報に含まれるフロー情報とフロー情報が一致するエントリが存在するかどうかを検索し、
エントリが存在した場合、該当のエントリのアクション開始時刻に‘0’を書き込み、アクション実行時間を読み込み、前記アクションデータベースより、アクション実行時間の時間が開始時刻と終了時刻の間に入っているアクションを検索し決定し、
一方、エントリが存在しなかった場合、フロー情報に書き込み、アクション開始時刻に現在時刻を書き込み、アクション実行時間に‘0’を書き込むことにより、新規にエントリを登録し、
アクション開始時刻と現在時刻の差にアクション実行時間を加算した値が、開始時刻と終了時刻の間に入っているアクションを、前記アクションデータベースより検索しアクションを決定し、
ii) 前記回数判定で2回目以降であると判定された場合、前記フローデータベースより、監視情報に含まれるフロー情報とフロー情報が一致するエントリのアクション開始時刻とアクション実行時間を読み込み、
アクション開始時刻と現在時刻より差を求め、その値とアクション実行時間の値を加算し、その加算した値が開始時刻と終了時刻の間に入っているアクションを前記アクションデータベースより検索し、決定し、
パケット送信回路に対して、決定されたアクションを実行するように、フロー情報とアクション内容を含むアクション指示情報を送信すること
を特徴とする請求項1乃至4のいずれかに記載の中継装置。
- 前記帯域遵守/違反チェックにより、帯域を遵守していたと判定された場合、
前記帯域監視部から送られてきた監視情報をもとに、一定時間以上帯域を遵守していたか判定し、
一定時間以上帯域を遵守していたと判定された場合、前記フローデータベースより、フロー情報が一致するエントリが存在するかどうかを検索し、
i) 前記フローデータベースに該当エントリが存在した場合、該当エントリのアクション実行時間に、現在時刻からアクション開始時刻の差を求め、その差からさらに遵守していた時間である時間閾値情報に設定された値を減算した時間を書き込み、パケット送信回路に対し、該当フローに対するアクションは何も実行せず送信可能であるというアクション指示情報を送信し、
一方、一定時間以上帯域を遵守していないと判定された場合、パケット送信回路に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信し、
ii) 一方、前記フローデータベースに該当エントリが存在しなかった場合、特にアクションは行わず、パケット送信回路に対し、該当フローに対するアクションは何も実行せず、送信可能であるという情報を送信すること
を特徴とする請求項5に記載の中継装置。
- 前記アクションデータベースを複数備え、
前記アクションデータベースのうちどの一つ又は複数選択するかを、宛先、送信元、プロトコル番号、又は、時間等のフローの特長毎に割り当てることを特徴とする請求項5又は6のいずれかに記載の中継装置。
- 前記フロー情報は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号、IPバージョンの情報を含むことを特徴とする請求項1乃至7のいずれかに記載の中継装置。
- 前記帯域監視部は、監視を実行するにあたり、帯域の代わりに、該当フローが消費している電力、又は、単位時間あたりのセッション開始数を監視することで遵守、違反を判定することを特徴とする請求項1乃至8に記載の中継装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008192768A JP4994323B2 (ja) | 2008-07-25 | 2008-07-25 | 中継装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008192768A JP4994323B2 (ja) | 2008-07-25 | 2008-07-25 | 中継装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010034708A JP2010034708A (ja) | 2010-02-12 |
| JP4994323B2 true JP4994323B2 (ja) | 2012-08-08 |
Family
ID=41738723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008192768A Expired - Fee Related JP4994323B2 (ja) | 2008-07-25 | 2008-07-25 | 中継装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4994323B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158401B (zh) * | 2011-03-03 | 2013-08-21 | 江苏方天电力技术有限公司 | 基于电力自动化***的流量监测*** |
| JP5710418B2 (ja) * | 2011-08-08 | 2015-04-30 | アラクサラネットワークス株式会社 | パケット中継装置、及び方法 |
| JP5916234B2 (ja) * | 2013-11-01 | 2016-05-11 | 日本電気株式会社 | 通信装置、制御装置、通信システム、通信制御方法及びプログラム |
| JP6470201B2 (ja) * | 2016-02-16 | 2019-02-13 | 日本電信電話株式会社 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
| WO2023112173A1 (ja) * | 2021-12-14 | 2023-06-22 | 日本電信電話株式会社 | トラフィック監視装置、トラフィック監視方法、及びプログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003085139A (ja) * | 2001-09-10 | 2003-03-20 | Mitsubishi Electric Corp | 侵入検知管理システム |
-
2008
- 2008-07-25 JP JP2008192768A patent/JP4994323B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010034708A (ja) | 2010-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11855967B2 (en) | Method for identifying application information in network traffic, and apparatus | |
| JP4547342B2 (ja) | ネットワーク制御装置と制御システム並びに制御方法 | |
| KR102569305B1 (ko) | 데이터 메시지 검출 방법, 디바이스 및 시스템 | |
| WO2022017249A1 (zh) | 可编程交换机、流量统计方法、防御方法和报文处理方法 | |
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| CN110708215B (zh) | 深度包检测规则库生成方法、装置、网络设备及存储介质 | |
| US10735501B2 (en) | System and method for limiting access request | |
| EP2482497B1 (en) | Data forwarding method, data processing method, system and device thereof | |
| JP6142702B2 (ja) | 監視装置、監視方法及びプログラム | |
| US20050063311A1 (en) | Routing loop detection program and routing loop detection method | |
| JP4994323B2 (ja) | 中継装置 | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| Afaq et al. | Large flows detection, marking, and mitigation based on sFlow standard in SDN | |
| CN101399711A (zh) | 网络监视装置以及网络监视方法 | |
| WO2020017272A1 (ja) | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 | |
| CN101662425B (zh) | 一种检测访问控制列表生效的方法和装置 | |
| CN112929376A (zh) | 一种流量数据的处理方法、装置、计算机设备和存储介质 | |
| WO2022105691A1 (zh) | 防止ipfix消息丢失的方法及其应用、asic芯片 | |
| WO2022100581A1 (zh) | Ipfix消息的处理方法、存储介质、网络交换芯片及asic芯片 | |
| RU2358395C2 (ru) | Способ уменьшения времени прохождения исполняемого файла через контрольную точку | |
| CN115017502A (zh) | 一种流量处理方法、及防护*** | |
| CN104702505B (zh) | 一种报文传输方法和节点 | |
| JP4871775B2 (ja) | 統計情報収集装置 | |
| CN108833282A (zh) | 数据转发方法、***、装置及sdn交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120124 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120315 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120410 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120508 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150518 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4994323 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |