WO2022123676A1

WO2022123676A1 - パケットキャプチャシステム、方法およびプログラム

Info

Publication number: WO2022123676A1
Application number: PCT/JP2020/045811
Authority: WO
Inventors: 彩希八田; 寛之鵜澤; 周平吉田; 高庸新田
Original assignee: 日本電信電話株式会社
Priority date: 2020-12-09
Filing date: 2020-12-09
Publication date: 2022-06-16
Also published as: JP7405281B2; JPWO2022123676A1; US20230421463A1

Abstract

本発明のパケットキャプチャシステム（１）は、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステム（１）であって、特定フローのパケットをキャプチャする複数段のパケット振り分け装置（１０、２０、３０）がカスケード接続され、パケット振り分け装置（１０、２０、３０）は、入力されるパケットを解析することによりキャプチャ対象のフローを識別し、最終段パケット振り分け装置（３０）以外のパケット振り分け装置（１０、２０）は、キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行い、キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、最終段パケット振り分け装置（３０）は、キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行い、キャプチャ対象でないフローのパケットを廃棄するように構成される。キャプチャ可能なルール数に制限を持たせることなく、スケーラビリティーを考慮したパケットキャプチャシステムを実現することができる。

Description

パケットキャプチャシステム、方法およびプログラム

　本発明は、ネットワークにおけるパケットをキャプチャするパケットキャプチャ技術に関する。

　ＮＦＶ（Ｎetwork Functions Virtualization）／ＳＤＮ（Software Defined Ｎetworking）における仮想化技術の進展に伴い、ＶＭ（Virtual Machine）等を用いた様々なサービスが提供され、ネットワークが大規模・複雑化している。特定フロー（送信元/宛先のMACアドレスやＩＰアドレス等を組み合わせたルールが同一パケットの集合体）のパケットを選択的にキャプチャできるパケットキャプチャ装置は、上記ネットワークの障害解析に必須な装置の１つである。大規模・複雑化したネットワークでは数１０万フローといった超大量パケットをキャプチャできる必要がある。

　従来のパケットキャプチャ装置（特許文献１）の構成図を図１６に示す。入力パケットのヘッダを解析するパケット解析部、ルールテーブルに登録されたフローを特定するフロー識別部を有する。フィルタ部では、フロー識別部で該当しなかったフローパケットを廃棄し、該当したフローをキャプチャファイル生成部へ出力し、時刻情報と合わせて複数のパケットをまとめてキャプチャファイル化し、記憶部に保存する。

特許第４９５５７２２号公報

　従来装置の構成においては、装置に搭載されている最大メモリ量によってルールテーブルに登録可能なルール数に限りがある為、超大量パケットキャプチャは困難となる。また、装置内部のメモリ構成を工夫することにより登録可能なルール数を増やすことが出来たとしても、パケットキャプチャ装置を設置するネットワークによって要求ルール数は大きく異なる。そのため、設置先ネットワークによって装置の再設計が生じる可能性があり、従来構成はスケーラビリティーを考慮した構成となっていない。

　また、本装置を複数並べて並列に処理させることで登録ルール数を拡張することも考えられるが、キャプチャ対象ＮＷと並列装置群との間に入力パケットをコピー・分配するための高速スイッチが必要となる為、装置点数が多くなり高価なシステムとなる。高速スイッチの代わりに光スプリッタを介した接続も考えられるが、分岐損によって並列数に限りがある。すなわち、安価に登録ルール数を増大可能なパケットキャプチャ装置・システムの実現が困難である。

　本発明は、上記課題を解決するためになされたものであり、キャプチャ可能なルール数に制限を持たせることなく、構成装置数を最小限にしながらスケーラビリティーを考慮したパケットキャプチャシステムを実現することを目的とする。

　上記課題を解決するために、本発明のパケットキャプチャシステムは、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットをキャプチャする複数段のパケット振り分け装置がカスケード接続される構成を備え、前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部とを備え、前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置は、キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行う振り分け部を備え、前記振り分け部は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、前記最終段パケット振り分け装置は、前記キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行うフィルタ部を備え、前記フィルタ部は、前記キャプチャ対象でないフローのパケットを廃棄するように構成される。

　上記課題を解決するために、本発明のパケットキャプチャシステムは、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットを振り分ける複数段のパケット振り分け装置がカスケード接続される構成と、前記複数段のパケット振り分け装置の出力を集線するスイッチと、前記スイッチが出力したパケットをキャプチャする処理装置とを備え、前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部と、キャプチャ対象のフローのパケットと前記キャプチャ対象でないパケットの振り分けを行う振り分け部を備え、前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置の前記振り分け部は、前記キャプチャ対象のフローのパケットを前記スイッチに送信し、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、前記最終段パケット振り分け装置の前記振り分け部は、前記キャプチャ対象のフローのパケットを前記スイッチに送信し、前記キャプチャ対象でないフローのパケットを廃棄するように構成される。

　上記課題を解決するために、本発明のパケットキャプチャシステムは、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、特定フローのパケットを振り分ける複数段のパケット振り分け装置がカスケード接続される構成と、前記複数段のパケット振り分け装置の初段パケット振り分け装置が出力したパケットをキャプチャする処理装置を備え、前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部と、キャプチャ対象のフローのパケットと前記キャプチャ対象でないパケットの振り分けを行う振り分け部を備え、前記初段パケット振り分け装置は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力し、前記キャプチャ対象のフローのパケットと次段の前記パケット振り分け装置から送信されたパケットを前記処理装置に送信するように構成され、前記複数段のパケット振り分け装置の最終段パケット振り分け装置は、前記キャプチャ対象のフローのパケットを前段の前記パケット振り分け装置に送信し、前記キャプチャ対象でないフローのパケットを廃棄するように構成され、前記初段パケット振り分け装置と前記最終段パケット振り分け装置の間に中段パケット振り分け装置が接続されている場合に、前記中段パケット振り分け装置は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力し、前記キャプチャ対象のフローのパケットと次段の前記パケット振り分け装置から送信されたパケットを前段の前記パケット振り分け装置に送信するように構成される。

　上記課題を解決するために、本発明のパケットキャプチャ方法は、特定フローのパケットをキャプチャする複数段のパケット振り分け装置がカスケード接続される構成を備え、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムにおけるパケットキャプチャ方法であって、前記複数段のパケット振り分け装置のそれぞれが、入力されるパケットを解析するパケット解析し、キャプチャ対象のフローを識別するステップと、前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置が、キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行い、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するステップと、前記最終段パケット振り分け装置が、前記キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行い、前記キャプチャ対象でないフローのパケットを廃棄するステップとを含む。

　上記課題を解決するために、本発明のトラフィック監視プログラムは、上述したパケットキャプチャ方法の各ステップをコンピュータに実行させ、前記コンピュータをパケットキャプチャシステムとして動作させる。

　本発明によれば、キャプチャ可能なルール数に制限を持たせることなく、構成装置数を最小限にしながらスケーラビリティーを考慮したパケットキャプチャシステムを実現することができる。

図１は、本発明の第１の実施の形態に係るパケットキャプチャシステムの構成例を示す図である。図２は、本発明の第１の実施の形態に係るパケット振り分け装置の構成例を示す図である。図３は、本発明の第１の実施の形態に係るパケット振り分け装置の構成例を示す図である。図４は、本発明の第１の実施の形態に係るパケット振り分け装置の構成例を示す図である。図５は、本発明の第１の実施の形態に係る初段パケット振り分け装置における動作手順を示すフローチャートである。図６は、本発明の第１の実施の形態に係る中段パケット振り分け装置における動作手順を示すフローチャートである。図７は、本発明の第１の実施の形態に係る最終段パケット振り分け装置における動作手順を示すフローチャートである。図８は、本実施の形態に係るトラフィック監視装置を実現するためのコンピュータの構成例である。図９は、本発明の第２の実施の形態に係るパケットキャプチャシステムの構成例を示す図である。図１０は、本発明の第２の実施の形態に係るパケット振り分け装置の構成例を示す図である。図１１は、本発明の第３の実施の形態に係るパケットキャプチャシステムの構成例を示す図である。図１２は、本発明の第３の実施の形態に係るパケット振り分け装置の構成例を示す図である。図１３は、本発明の第４の実施の形態に係るパケットキャプチャシステムの構成例を示す図である。図１４は、本発明の第４の実施の形態に係る初段パケット振り分け装置の構成例を示す図である。図１５は、本発明の第４の実施の形態に係る中段パケット振り分け装置の構成例を示す図である。図１６は、従来のパケット振り分け装置の構成を示す図である。

　以下、本発明の実施の形態を図面に基づいて詳細に説明する。本発明は、以下の実施の形態に限定されるものではない。

＜第１の実施の形態＞
　本発明の第１の実施の形態について説明する。図１は、本発明の第１の実施の形態にかかるパケットキャプチャシステムの構成例である。図２は、パケットキャプチャシステムの初段パケット振り分け装置の構成例である。

＜パケットキャプチャシステムの構成＞
　図１に示すように、パケットキャプチャシステム１は、キャプチャ対象ネットワーク２００を流れるパケットをキャプチャするパケットキャプチャシステムである。パケットキャプチャシステム１では、複数段（Ｎ段：Ｎは、２以上の整数）のパケット振り分け装置（１０、２０、３０）がカスケード接続されている。以下の説明では、Ｎ台のパケット振り分け装置のうち、１段目のパケット振り分け装置１０を「初段パケット振り分け装置」、Ｎ段目のパケット振り分け装置３０を「最終段パケット振り分け装置」、２～Ｎ－１段目のパケット振り分け装置２０を「中段パケット振り分け装置」と称して説明する。Ｎ＝２の場合は、「初段パケット振り分け装置」、「最終段パケット振り分け装置」が接続された構成となる。

　最終段のパケット振り分け装置以外、すなわち、初段パケット振り分け装置、中段パケット振り分け装置は、キャプチャ対象のフローを特定するルールに基づいて、キャプチャ対象の特定フローのパケットをキャプチャし、キャプチャ対象でないフローのパケットを次段のパケットキャプチャに送信し、次段のパケット振り分け装置において同様の処理を行うように構成されている。最終段のパケット振り分け装置は、キャプチャ対象の特定フローのパケットをキャプチャし、キャプチャ対象でないフローのパケットを廃棄するように構成されている。

＜初段パケット振り分け装置の構成＞
　図２は、パケットキャプチャシステム１の初段パケット振り分け装置１０の構成例である。初段パケット振り分け装置１０は、キャプチャ対象ネットワーク２００からミラーリングパケットを受信して、パケットのヘッダ解析を行うパケット解析部１１、ヘッダ解析によって抽出されたヘッダとルールテーブル１００のルールを比較してキャプチャ対象のフローを識別するフロー識別部１２、フロー識別部１２の識別結果に基づいて、キャプチャ対象のフローのパケットとキャプチャ対象でないフローのパケットを振り分ける振り分け部１４、キャプチャ対象のフローのパケットについてキャプチャファイルを生成するキャプチャファイル生成部１５、キャプチャファイルを記憶する記憶部１６を備える。

　初段パケット振り分け装置１０は、振り分け部１４の前にタイムスタンプ部１３を備え、振り分け部１４から次段のパケット振り分け装置への出力パスがある点が従来のパケット振り分け装置との構成上の相違点である。タイムスタンプ部１３は、複数のパケット振り分け装置においてパケット到着時間を統一するために設けられている。タイムスタンプ部１３において、パケットのヘッダ等にパケット到着時刻が付与され、付与された時刻情報を用いて、キャプチャファイル生成部１５においてキャプチャファイルが生成される。パケットに付与されたパケット到着時刻は、キャプチャしたパケットを統計分析する際のパケットの並べ替え等の処理に用いられる。

　パケット振り分け装置１０のフロー識別部１２は、キャプチャ対象となるフローが登録されたルールテーブル１００(ルール数：Ｎｆ)に基づいて、キャプチャ対象のフローを識別する。キャプチャＯＮかつ、振り分け部においてルールと一致したフローのパケットはキャプチャファイル生成部へ出力され、当該パケット振り分け装置でキャプチャされる。キャプチャＯＦＦの場合は振り分け部にてパケットを廃棄する。キャプチャＯＮ／ＯＦＦは、振り分け部の外部から設定可能に構成されている。中段パケット振り分け装置２０、最終段パケット振り分け装置３０においても同様である。各パケット振り分け装置は、異なるフローが登録されたルールテーブルを備える。

　ルールテーブル１００には、例えば、送信元／宛先ＭＡＣアドレスと送信元／宛先ＩＰアドレスのヘッダフィールド情報を、フローを識別するためのルールとして登録することができる。フローを識別する情報は、それらに限定されるものではなく、送信元／宛先ポート番号、プロトコル種別などのヘッダフィールド情報の組み合わせを、フローを識別するためのルールとして登録してもよい。

　パケットのヘッダ解析により抽出されたヘッダ情報がルールテーブルのルールと一致したキャプチャ対象のフローのパケットについてキャプチャファイルが生成され、生成されたキャプチャファイルは記憶部１６に記憶される。ヘッダ情報がルールテーブルのルールと一致しなかったフローのパケットは、振り分け部１４において次段のパケット振り分け装置への出力パスに振り分けられ、次段のパケット振り分け装置に出力される。この処理をＮ台分繰り返すことにより、超大量フロー数（Ｎ×Ｎｆ）のパケットキャプチャ処理を実現することができる。

＜中段パケット振り分け装置の構成＞
　図３は、中段パケット振り分け装置２０（＃２～＃Ｎ－１）の構成例である。初段パケット振り分け装置１０と同様に、パケット解析部２１、フロー識別部２２、振り分け部２４、キャプチャファイル生成部２５、記憶部２６、ルールテーブル１００を備える。タイムスタンプ部がない点で初段パケット振り分け装置１０と相違する。中段パケット振り分け装置２０のキャプチャファイル生成部２５では、初段パケット振り分け装置１０のタイムスタンプ部１３で付与された時刻情報を用いてキャプチャファイルを生成される。

＜最終段パケット振り分け装置の構成＞
　図４にカスケード接続の最終段であるパケット振り分け装置＃Ｎの構成例を示す。初段パケット振り分け装置１０（＃１）、中段パケット振り分け装置２０（＃２～＃Ｎ－１）と同様に、パケット解析部３１、フロー識別部３２、キャプチャファイル生成部３５、記憶部３６を備える。中段パケット振り分け装置２０との差分は、次段のパケット振り分け装置への出力パスがないこと、振り分け部２４がフィルタ部３４に変わった点である。

　最終段パケット振り分け装置３０（＃Ｎ）はパケットキャプチャ処理の終端装置となるため、ルールテーブル１００のルールと一致しなかったフローのパケットをフィルタ部３４にてフィルタリングすることにより廃棄する。ルールと一致したフローのパケットについては、パケット振り分け装置＃Ｎ－１までの装置と同様に、キャプチャファイル生成部３５へと出力され、生成されたキャプチャファイルは記憶部３６に保存される。

　なお、本実施の形態においては、パケット振り分け装置のみで動作させる構成について例示したが、例えば、パケット振り分け機能を、統計情報処理も行うトラフィック監視装置の一機能として動作させても良い。その際には、統計情報取得対象のフローからキャプチャ対象となるフローを識別するために、例えば、統計情報取得対象のフローを識別するためのルールテーブルに、キャプチャ対象であるか否かを示す「キャプチャフラグ」を設ければよい。

　統計情報取得対象のルールと一致したフローのパケットは統計情報取得対象とし、当該フローの統計情報は別機能部で収集される。一方、統計情報取得対象のルールと不一致のフローのパケットは、次段のパケット振り分け装置へ出力される。統計情報取得対象のルールと一致し、かつ「キャプチャフラグ」＝１のフローのパケットは、キャプチャファイル生成部へ出力され、統計情報取得対象のルールと一致し、かつ「キャプチャフラグ」＝０のパケットは、キャプチャ対象でないパケットとして廃棄される。

　このように、第１の実施の形態では、Ｎ段のパケット振り分け装置をカスケード接続して、接続段数に応じてキャプチャ可能なフロー数を自由に増減可能なシステム構成とした。このような構成により、１段のパケット振り分け装置でキャプチャできるフロー数（登録可能なルール数）をＮｆ(Ｎｆは、１より大きい整数)とすると、システム全体でＮ×Ｎｆフローのパケットキャプチャが可能となる。パケット振り分け装置の段数やルール数を増やすことで、超大量パケットのキャプチャが可能となり、キャプチャ対象ネットワークの大小に応じて、スケーラブルにキャプチャ可能なフロー数を変更することが可能となる。

＜パケットキャプチャ方法の動作＞
　図５、６、７を用いて、第１の実施の形態におけるパケットキャプチャ方法の動作を説明する。図５は、初段パケット振り分け装置の動作手順を示すフローチャートである。図６は、中段パケット振り分け装置の動作手順を示すフローチャートである。図７は、最終段パケット振り分け装置の動作手順を示すフローチャートである。

＜初段パケット振り分け装置の動作＞
　図５において、初段パケット振り分け装置では、キャプチャ対象ネットワーク２００からパケットを受信すると（ステップＳ１－１）、受信したパケットをバッファリングし（ステップＳ１－２）、パケットのヘッダ解析を行うことによりヘッダ情報を抽出する（ステップＳ１－３）。ここで、パケット解析と平行して、バッファリングしたパケットに到着時刻情報であるタイムスタンプを付与する（ステップＳ１－５）

次に、ヘッダ解析によって抽出されたヘッダとルールテーブルのルールを比較して、キャプチャ対象のフローか否かを識別する（ステップＳ１－４）。フローがルールと一致する場合には（ステップＳ１－６：ＹＥＳ）、キャプチャファイルを生成し（ステップＳ１－７）、生成したキャプチャファイルを記憶部に記憶する（ステップＳ１－８）。フローがルールテーブルに記録されたルールに一致しない場合には（ステップＳ１－６：ＮＯ）、バッファリングしたパケットを次段パケット振り分け装置に送信する（ステップＳ１－９）。

＜中段パケット振り分け装置の動作＞
　図６において、中段パケット振り分け装置の動作は、パケットを前段パケット装置から受信する点（ステップＳ２－１）、タイムスタンプを付与するステップが無い点が、図５の初段パケット振り分け装置の動作と異なる。中段パケット振り分け装置では、前段パケット装置から受信したパケットについてパケット解析を行い、キャプチャ対象のフローのパケットの場合には、キャプチャファイルを生成して記憶部に記憶し（ステップＳ２－６、Ｓ２－７）、キャプチャ対象でないフローのパケットの場合には、次段パケット振り分け装置に送信される（ステップＳ２－８）。

＜最終段パケット振り分け装置の動作＞
　図７において、最終段パケット振り分け装置の動作は、キャプチャ対象でないフローのパケットを廃棄する点（ステップＳ３－８）が、図６の中段パケット振り分け装置の動作と異なる。最終段パケット振り分け装置では、前段パケット装置から受信したパケットについて、キャプチャ対象のフローのパケットの場合には、キャプチャファイルを生成して記憶部に記憶し（ステップＳ３－６、Ｓ３－７）、キャプチャ対象でないフローのパケットの場合には、廃棄される（ステップＳ３－８）。

＜パケット振り分け装置の構成例＞
　本実施の形態における複数のパケット振り分け装置は物理的に異なる装置形態で実現しても良いが、これに限定されない。例えば、サーバー上のボードで実現しても良いし、コンピュータ上で動作するソフトウェアによってパケット振り分け装置の機能を実現しても良い。

　パケット振り分け装置として動作するコンピュータの構成例を図８に示す。本実施の形態のパケットキャプチャシステムを構成するパケット振り分け装置の各部は、ＣＰＵ（ＣｅＮｔｒａｌ　ＰｒｏｃｅｓｓｉＮｇ　ＵＮｉｔ）、記憶装置及び外部インタフェース（以下、外部Ｉ／Ｆ）を備えたコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。

　コンピュータ３００は、ＣＰＵ４００と、記憶装置６００と、外部Ｉ／Ｆ７００とを備えており、それらがＩ／Ｏインタフェース５００を介して互いに接続されている。本実施の形態のパケットキャプチャシステムの動作を実現するためのパケットキャプチャプログラム等や、キャプチャファイル等のデータは記憶装置６００に格納され、外部Ｉ／Ｆ７００には、信号を送受信する他のコンピュータ８００や、ネットワークを構成するコンピュータ等が接続される。ＣＰＵ４００は、記憶装置６００に格納された処理プログラム等に従って本実施の形態で説明したパケットキャプチャ処理を実行することができる。また、この処理プログラムをコンピュータ読み取り可能な記録媒体に記録することも、ネットワークを通して提供することも可能である。

＜第２の実施の形態＞
　第１の実施の形態においては、複数のパケット振り分け装置をカスケード接続し、それぞれのパケット振り分け装置に登録可能なルール数分のキャプチャを行うことが可能な構成について説明した。このような構成では、パケットの統計情報の処理等を行うために、それぞれのパケット振り分け装置がキャプチャしたパケットを別途集約する処理が必要になる。第２の実施の形態では、キャプチャしたパケットを集約する装置をパケットの振り分け装置の後段に設置し、それぞれのパケット振り分け装置がキャプチャしたパケットを１カ所の記憶装置に集約して保存されるシステム構成とした。

　図９に、第２の実施の形態に係るパケットキャプチャシステムの構成例を示す。本実施の形態のパケットキャプチャシステム１は、Ｎ台のパケット振り分け装置（４０、５０、６０）、パケット振り分け装置（４０、５０、６０）に接続され、振り分け装置の出力を集線するスイッチ７０、およびスイッチ７０に接続された後段処理装置８０から構成される。スイッチ７０は、Ｎ台のパケット振り分け装置（４０、５０、６０）から送信されるパケットをスイッチングして後段処理装置８０に送信する機能を有し、一般的なレイヤ２、レイヤ３スイッチにより構成することができる。後段処理装置８０は、少なくとも到着時刻情報（タイムスタンプ）が付与されたパケットをまとめてキャプチャファイル化する機能と、それらのキャプチャファイルを記憶する機能を有する。

　後段処理装置８０としては、例えば、キャプチャしたパケットを可視化するトラフィック可視化装置や、さらに深くパケットを分析するＤＰＩ（Ｄｅｅｐ　Ｐａｃｋｅｔ　Ｉｎｓｐｅｃｔｉｏｎ）装置が考えられるが、これらに限定されるものではない。

　図１０に、本実施の形態のパケットキャプチャシステムを構成する初段パケット振り分け装置４０（＃１）の構成例を示す。第１の実施の形態における初段パケット振り分け装置１０との相違点は、キャプチャファイル生成部と記憶部が無いこと、振り分け部４４を、フロー識別部４２においてルールテーブルのルールと一致したフローのパケットをスイッチ７０へ出力するように構成したことである。このような構成により、パケット振り分け装置のそれぞれは、パケットをキャプチャする機能を有しない、スイッチまたは次段のパケット振り分け装置にパケットを振り分ける装置として機能することができる。

　本実施の形態における中段振り分け装置５０（＃２～Ｎ－１）は、タイムスタンプ部がない点以外は、初段パケット振り分け装置４０（＃１）と同様の構成を有する。終端装置となる最終段パケット振り分け装置６０（＃Ｎ）は、中段振り分け装置５０（＃２～Ｎ－１）と比較すると、キャプチャ対象でないフローのパケットを廃棄するフィルタ部（図示しない）を有する点が異なる。

　このように、第２の実施の形態によれば、Ｎ段のパケット振り分け装置＃１～＃Ｎで振り分けられたルールと一致したフローのパケットはスイッチを通して後段処理装置に集約され、１カ所でのパケットキャプチャを行う構成を実現することができる。

　なお、本実施の形態では、キャプチャ機能に着目して、キャプチャしたパケットを１カ所の記憶装置に保存できる構成例を示したが、この構成例に限定することはない。例えば、後段処理装置は、振り分け装置以外の装置と接続されていても良い。例えば、ミラーリングパケットを受信して、そこから統計情報を出力するようなトラフィック監視装置と接続するように構成しても良い。

＜第３の実施の形態＞
　第２の実施の形態においては、パケット振り分け装置＃１～＃Ｎを、スイッチを介して後段処理装置と接続することでキャプチャシステムを実現する構成例を示した。このような構成では、装置間の連携はなく、パケット振り分け装置から後段処理装置へ片方向にパケットを送信する構成であった。そのため、第２の実施の形態では、パケットキャプチャの開始／停止の設定は、初段パケット振り分け装置＃１の内部でのみ行う構成であった。第３の実施の形態においては、パケット振り分け装置＃１～＃Ｎと連携している後段処理装置からもパケットキャプチャの開始／停止が設定可能な構成例を示す。

　図１１に本実施の形態のパケットキャプチャシステムの構成例を、図１２に、初段パケット振り分け装置＃１の構成例を示す。第２の実施の形態と比較して、後段処理装置８０からスイッチ７０を経由して初段パケット振り分け装置４０（＃１）への入力信号パスが追加されている点が異なる。

　本実施の形態では、後段処理装置８０は、トリガ信号であるパケットキャプチャＯＮ／ＯＦＦ信号を初段振り分け装置４０（＃１）に送信し、この信号に基づいて、初段パケット振り分け装置４０（＃１）はキャプチャ開始／停止を判断する。キャプチャＯＮの場合には、初段パケット振り分け装置４０（＃１）の振り分け部４４においてパケットのキャプチャを開始し、キャプチャＯＦＦの場合には、振り分け部４４において、パケットは廃棄される。本実施の形態によれば、後段処理装置８０でキャプチャ処理が必要と判断された場合に、パケットキャプチャを開始することが可能となり、よりユーザビリティの高いキャプチャシステムを実現することができる。

＜第４の実施の形態＞
　第２、第３の実施の形態ではスイッチを経由して後段処理装置へキャプチャ対象パケットを送信する構成について示した。このような構成では、システムの構成要素数を増えると、それに応じてシステムに何等かの障害が発生した際の切り分けや検証が複雑化する場合がある。第４の実施の形態では、スイッチを経由せずに後段処理装置へキャプチャパケットを送信する構成例を説明する。

　図１３に本実施の形態のパケットキャプチャシステム１の構成例を示す。パケットキャプチャシステム１は、Ｎ台のパケット振り分け装置（４０、５０、６０）と、初段パケット振り分け装置４０のみに接続された後段処理装置８０から構成されている。本実施の形態では、振り分け装置＃２～＃Ｎにおいてキャプチャ対象と判定されたパケットは、判定されたパケット振り分け装置から前段のパケット振り分け装置に戻されるように構成され、最終的に、キャプチャ対象のパケットが全て初段振り分け装置４０（＃１）に戻されるように構成されている。このような構成にすることで、スイッチを介することなく後段処理装置８０にキャプチャ対象パケットを送信し集約することが可能となる。

　図１４に初段パケット振り分け装置４０（＃１）の構成例を示す。第２の実施の形態の初段パケット振り分け装置＃１との相違点は、出力調停部４５を設けた点である。出力調停部４５には、フロー識別部４２でキャプチャ対象と判定されたパケットと振り分け装置＃２～＃Ｎでキャプチャ対象と判定されたパケットが入力される。出力調停部は、それら２種類のパケットが衝突しないように多重して後段処理装置８０に出力する機能を有する。

　図１５に中段パケット振り分け装置５０（＃２～＃Ｎ－１）の構成例を示す。初段パケット振り分け装置４０（＃１）との相違点は、タイムスタンプ部４３がないこと、外部機器との連携ポート数が初段パケット振り分け装置４０より１ポート少ない２ポートであり、出力調停部５５からの出力先がカスケード接続の前段のパケット振り分け装置である点である。出力調停部５５の機能は、初段振り分け装置４０（＃１）と同様である。

　図示しないが、最終段パケット振り分け装置６０（＃Ｎ）は、中段振り分け装置５０（＃２～Ｎ－１）と比較すると、外部機器との連携ポート数が中段パケット振り分け装置５０よりもさらに１ポート少ない１ポートであること、キャプチャ対象でないフローのパケットを廃棄するフィルタ部（図示しない）を有する点が異なる。

　このように、第４の実施の形態によれば、装置構成数、ポート数を必要最低限にして、スケーラビリティーを考慮した超大量パケットのパケットキャプチャが可能となる。

＜第５の実施の形態＞
　第１～第４の実施の形態においては、複数のパケット振り分け装置をカスケード接続し、(Ｎ×Ｎｆ)フローのパケットキャプチャを行うことが可能な構成について説明した。本実施の形態では、カスケード接続において、初段装置のパケット解析部を全装置で共通化できることを利用し、(Ｎ×Ｎｆ)以上のフローのキャプチャ処理が可能なパケットキャプチャシステムについて説明する。

　本実施の形態では、初段パケット振り分け装置＃１のパケット解析部において、解析結果を示す情報をパケット内部に埋め込んでおく。中段以降のパケット振り分け装置＃１～＃Ｎでは、この解析結果を用いてキャプチャ対象のフローの識別を行う。

　解析結果を示す情報としては、例えば、パケット種別を示す番号が考えられる。中段以降のパケット振り分け装置＃１～＃Ｎでは、パケット種別と番号の対応関係を表すテーブル等を用意しておき、パケットに埋め込まれた解析結果を示す番号とテーブルのパケット種別を示す番号とを比較する処理のみでヘッダ種別を特定することが可能となる。中段以降のパケット振り分け装置＃１～＃Ｎでは、パケットの先頭からヘッダを解析する処理が不要となる。

　このような構成により、本実施の形態では、中段以降のパケット振り分け装置では、パケット解析部に関わる回路が初段パケット振り分け装置＃１よりも簡易なものになり、その分の余剰リソースをルール数Ｎｆの増加分等に充てることが可能となる。

＜実施の形態の拡張＞
　以上、実施の形態を参照して本発明を説明したが、本発明は上記実施の形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。

　１…パケットキャプチャシステム、１０、２０、３０…パケット振り分け装置、１１、２１、３１…パケット解析部、１２、２２、３２…フロー識別部、１３…タイムスタンプ部、１４、２４…振り分け部、３４…フィルタ部、１５、２５、３５…キャプチャファイル生成部、１６、２６、３６…記憶部、３７…フィルタ部、１００…ルールテーブル、２００…キャプチャ対象ネットワーク。

Claims

　キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、
　特定フローのパケットをキャプチャする複数段のパケット振り分け装置がカスケード接続される構成を備え、
　前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部とを備え、
　前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置は、キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行う振り分け部を備え、前記振り分け部は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、
　前記最終段パケット振り分け装置は、前記キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行うフィルタ部を備え、前記フィルタ部は、前記キャプチャ対象でないフローのパケットを廃棄するように構成される
　パケットキャプチャシステム。
　キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、
　特定フローのパケットを振り分ける複数段のパケット振り分け装置がカスケード接続される構成と、前記複数段のパケット振り分け装置の出力を集線するスイッチと、前記スイッチが出力したパケットをキャプチャする処理装置とを備え、
　前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部と、キャプチャ対象のフローのパケットと前記キャプチャ対象でないパケットの振り分けを行う振り分け部を備え、
　前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置の前記振り分け部は、前記キャプチャ対象のフローのパケットを前記スイッチに送信し、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するように構成され、
　前記最終段パケット振り分け装置の前記振り分け部は、前記キャプチャ対象のフローのパケットを前記スイッチに送信し、前記キャプチャ対象でないフローのパケットを廃棄するように構成される
　パケットキャプチャシステム。
　キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムであって、
　特定フローのパケットを振り分ける複数段のパケット振り分け装置がカスケード接続される構成と、前記複数段のパケット振り分け装置の初段パケット振り分け装置が出力したパケットをキャプチャする処理装置を備え、
　前記複数段のパケット振り分け装置のぞれぞれは、入力されるパケットを解析するパケット解析部と、キャプチャ対象のフローを識別するフロー識別部と、キャプチャ対象のフローのパケットと前記キャプチャ対象でないパケットの振り分けを行う振り分け部を備え、
　前記初段パケット振り分け装置は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力し、前記キャプチャ対象のフローのパケットと次段の前記パケット振り分け装置から送信されたパケットを前記処理装置に送信するように構成され、
　前記複数段のパケット振り分け装置の最終段パケット振り分け装置は、前記キャプチャ対象のフローのパケットを前段の前記パケット振り分け装置に送信し、前記キャプチャ対象でないフローのパケットを廃棄するように構成され、
　前記初段パケット振り分け装置と前記最終段パケット振り分け装置の間に中段パケット振り分け装置が接続されている場合に、
　前記中段パケット振り分け装置は、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力し、前記キャプチャ対象のフローのパケットと次段の前記パケット振り分け装置から送信されたパケットを前段の前記パケット振り分け装置に送信するように構成される
　パケットキャプチャシステム。
　請求項２に記載のパケットキャプチャシステムであって、
　前記複数段のパケット振り分け装置の初段パケット振り分け装置の前記振り分け部は、
　前記処理装置から送信されるトリガ信号に基づいて、パケットの振り分けを開始または停止するように構成される
　パケットキャプチャシステム。
　請求項１～４の何れか１項に記載のパケットキャプチャシステムであって、
　前記複数段のパケット振り分け装置の初段パケット振り分け装置は、
　受信したパケットのヘッダに前記パケットの到着時刻情報を付与するタイムスタンプ部を備える
　パケットキャプチャシステム。
　請求項１～５の何れか１項に記載のパケットキャプチャシステムであって、
　前記複数段のパケット振り分け装置の初段パケット振り分け装置の前記パケット解析部は、パケットの解析結果を当該パケットに埋め込むように構成される
　パケットキャプチャシステム。
　特定フローのパケットをキャプチャする複数段のパケット振り分け装置がカスケード接続される構成を備え、キャプチャ対象ネットワークを流れるパケットをキャプチャするパケットキャプチャシステムにおけるパケットキャプチャ方法であって、
　前記複数段のパケット振り分け装置のそれぞれが、
　入力されるパケットを解析するパケット解析し、キャプチャ対象のフローを識別するステップと、
　前記複数段のパケット振り分け装置の最終段パケット振り分け装置以外のパケット振り分け装置が、
　キャプチャ対象となるフローのパケットをキャプチャするためにパケットの振り分けを行い、前記キャプチャ対象でないフローのパケットを次段のパケット振り分け装置に出力するステップと、
　前記最終段パケット振り分け装置が、
　前記キャプチャ対象となるフローのパケットをキャプチャするためにパケットのフィルタリングを行い、前記キャプチャ対象でないフローのパケットを廃棄するステップと
　を含むパケットキャプチャ方法。
　請求項７に記載のパケットキャプチャ方法の各ステップをコンピュータに実行させ、前記コンピュータをパケットキャプチャシステムとして動作させる
　パケットキャプチャプログラム。