WO2021095179A1

WO2021095179A1 - 振り分け装置、振り分け方法、振り分けプログラム

Info

Publication number: WO2021095179A1
Application number: PCT/JP2019/044603
Authority: WO
Inventors: 裕平林; 浩大澤; 千晴森岡; 寛規井上; 孟朗西岡; 勇樹三好
Original assignee: 日本電信電話株式会社
Priority date: 2019-11-13
Filing date: 2019-11-13
Publication date: 2021-05-20
Also published as: US20220400079A1; JPWO2021095179A1; JP7239016B2

Abstract

振り分け部（１０）は、フレームと振り分けキーとを取得し、フレームのヘッダに振り分けキーを埋め込み、ヘッダの振り分けキーの値に基づいて、フレームを処理スレッドに振り分ける振り分け機能部（１３）を有する。

Description

振り分け装置、振り分け方法、振り分けプログラム

　本発明は、振り分け装置、振り分け方法、振り分けプログラムに関する。

　従来、パケットの先頭バイトをサンプルし、xFlowとして送出するルータ機能（IPFIX　IE315,sFlow　Header　Sampling等）がある。トンネリングパケットが流れるネットワーク内のルータに、この機能を適用すると、トンネリングパケットのOuter部及びInner部が同時にサンプルされる。このため、ルータは、サンプルのOuter部及びInner部のペアをエクスポーター毎にカウントすることで、あるルータを通過するトンネルに含まれるInnerパケットの通信フロー分析を行うことができる。

"Receive　Side　Scalingの概要"，［令和１年１１月７日検索］，インターネット＜ＵＲＬ：https://docs.microsoft.com/ja-jp/windows-hardware/drivers/network/introduction-to-receive-side-scaling＞

　このルータ機能においては、通信フロー分析の向上のために処理スレッドを並列化し、負荷分散を行う。

　図７は、従来技術に係るパケットの振り分け処理を説明する図である。図７では、ユーザヘッダにトンネルパケットのInner部の情報を保持するIPFIX　IE315，sFlow　header　sampling等のヘッダサンプリングxFlowパケットが汎用サーバに入力される場合を例に説明する（図７の（１）参照）。図７に示すように、筐体あたりの処理能力向上のため、処理スレッドを並列化する場合、「送出元エクスポーターが同じ」かつ「サンプル内のOuterヘッダが同じ」であるxFlowパケットが、同一の処理スレッドで処理されるよう振り分けを行う必要がある（図７の（２）参照）。これは、同一エクスポーターから送出される同一Outerヘッダが付いていたInnerパケットの統計処理を、同一処理スレッドで完結させるためである。

　図８及び図９は、従来技術に係るパケットの振り分け処理を説明する図である。図８に示すように、非特許文献１に記載のＲＳＳ（Receive　Side　Scaling）機能は、パケットの固定位置に存在する情報である5-tupleを基にパケット処理を負荷分散するＮＩＣ（Network　Interface　Card）のＨＷ機能である。すなわち、ＲＳＳ（Receive　Side　Scaling）機能によれば、5-tupleベースでパケットを振り分け可能である。

　ここで、トンネリングされたフローの分析においては、トンネル内の通信フローの分析のために、送信元コレクタのトンネル毎に同一処理スレッドにヘッダサンプリングxFlowを振り分け、信号フロー分析を完結させる。

　しかしながら、トンネリングされたフローの場合、同一エクスポーターから、あるコレクタに対して送出されたヘッダサンプリングフローパケットは、ヘッダの値が全て同じである（図９の（１）参照）。このため、トンネリングされたフローに対して5-tupleベースの振り分けを実行した場合、振り分け先に偏りが生じ、ロードバランスを行うことができないという問題があった（図９の（２）参照）。

　本発明は、上記に鑑みてなされたものであって、通信フロー分析を行う処理スレッドの負荷分散を適切に実行することができる振り分け装置、振り分け方法、振り分けプログラムを提供することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る振り分け装置は、フレームと振り分けキーとを取得し、フレームのヘッダに振り分けキーを埋め込み、ヘッダの振り分けキーの値に基づいて、フレームを処理スレッドに振り分ける振り分け機能部、を有することを特徴とする。

　また、本発明に係る振り分け方法は、振り分け装置が実行する振り分け方法であって、フレームと振り分けキーとを取得し、フレームのヘッダに振り分けキーを埋め込み、ヘッダの振り分けキーの値に基づいて、フレームを処理スレッドに振り分ける工程を含んだことを特徴とする。

　また、本発明に係る振り分けプログラムは、フレームと振り分けキーとを取得し、フレームのヘッダに振り分けキーを埋め込み、ヘッダの振り分けキーの値に基づいて、フレームを処理スレッドに振り分けるステップと、をコンピュータに実行させる。

　本発明によれば、トンネリングされたフローに対して、処理スレッドの負荷分散をしながら通信フロー分析が可能になる。

図１は、実施の形態における振り分け処理を説明する図である。図２は、実施の形態における処理装置の構成の一例を示す図である。図３は、図２に示す振り分け部による振り分け処理の流れについて説明する図である。図４は、図２に示す振り分け部による振り分け処理の流れについて説明する図である。図５は、実施の形態に係る振り分け処理の処理手順を説明する図である。図６は、プログラムが実行されることにより、処理装置が実現されるコンピュータの一例を示す図である。図７は、従来技術に係るパケットの振り分け処理を説明する図である。図８は、従来技術に係るパケットの振り分け処理を説明する図である。図９は、従来技術に係るパケットの振り分け処理を説明する図である。

　以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

［実施の形態］
［本実施の振り分け機構］
　図１は、実施の形態における振り分け処理を説明する図である。図１に示すように、本実施の形態における振り分け機能部１３による振り分け処理を説明する。本実施の形態における振り分け機能部１３は、フレームと振り分けキーとを取得し、フレームのヘッダに振り分けキーを埋め込み、ヘッダの振り分けキーの値に基づいて、フレームを処理スレッドに振り分ける。

　具体的に、振り分け機能部１３は、フレームと振り分けキーを基に、EtherフレームのEtherヘッダに、例えば、振り分けキー「A」を埋め込む（図１の（１）参照）。そして、振り分け機能部１３は、Etherヘッダ内の振り分けキーに基づいて、通信フロー分析を行う処理スレッドにフレームを振り分ける（図１の（２）参照）。

　図１の例の場合、振り分け機能部１３は、Etherヘッダに「A」が埋め込まれたフレームについては、処理スレッドＡに振り分ける。また、振り分け機能部１３は、Etherヘッダに「B」が埋め込まれたフレームについては、処理スレッドＢに振り分ける。

　このように、実施の形態では、フレームと振り分けキーとを取得し、フレームのEtherヘッダに振り分けキーを埋め込み、Etherヘッダの振り分けキーの値に基づいて、フレームを処理スレッドに振り分ける。このため、本実施の形態によれば、トンネリングされたフローに対しても処理スレッドの負荷分散をしながら通信フロー分析が可能になる。

［処理装置の概要］
　まず、図１を用いて、実施の形態に係る処理装置の構成について説明する。図２は、実施の形態における処理装置の構成の一例を示す図である。図２に示す処理装置１００では、フレームのうちトンネリングパケットを処理スレッドに振り分けて、通信フロー分析を行う。特に、処理装置１００は、パケット転送の都合上トンネリングを行っているネットワークの内部において，ヘッダサンプリングxFlow（例：sFlow　header　sampling，IPFIX　IE315）を用いてトンネリングパケットの先頭の一部をサンプリングしたフローパケット（ヘッダサンプリングパケット）の振り分けを行う場合を例に説明する。

　処理装置１００は、例えば、ＲＯＭ（Read　Only　Memory）、ＲＡＭ（Random　Access　Memory）、ＣＰＵ（Central　Processing　Unit）等を含むコンピュータ等に所定のプログラムが読み込まれて、ＣＰＵが所定のプログラムを実行することで実現される。また、処理装置１００は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースを有する。そして、処理装置１００は、ＮＩＣ（Network　Interface　Card）等を有し、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介した他の装置との間の通信を行う。

　処理装置１００は、図２に示すように、処理装置１００は、フローパケットの振り分けを行う振り分け部１０（振り分け装置）と、信号フロー分析を行う複数の並列化された処理スレッド２０とを有する。

［振り分け部の構成］
　続いて、振り分け部１０の構成について説明する。振り分け部１０は、前述の振り分け機能部１３の機能を用いて、入力を受け付けたフローパケットを処理スレッドに振り分ける。

　振り分け部１０は、ヘッダサンプリングxFlowパケットの受信筐体入口に配置され、xFlowヘッダ情報及びサンプル内のOuterヘッダの情報を基に，複数のフローパケット処理スレッドに対しフローパケットの振り分けを行い処理スレッドの負荷分散を可能とする。なお、振り分け部１０に入力されるフローパケットは、トンネリングを行うためにEtherヘッダに付加された任意のプロトコルヘッダがスタックされたパケットである。また、同一エクスポーターから、あるコレクタ向きのパケットは、ヘッダの値が全て同じものとなる。振り分け部１０は、ヘッダ判別部１１（判別部）、ハッシュ演算部１２（計算部）及び振り分け機能部１３を有する。

　ヘッダ判別部１１は、フローパケットを解析し、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を判別する。ヘッダ判別部１１は、フローパケットのプロトコルスタック解析を行い、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を特定する。

　例えば、ヘッダ判別部１１は、特願２０１９―０９７０６９号公報に記載の方法を用いて、ヘッダの種別やサンプル内のOuterヘッダ等を判別してもよい。ヘッダ判別部１１は、判別ルールにしたがって、入力されたフローパケットの各プロトコルヘッダの種別と配置とを示すプロトコルスタックパターンを判別する。プロトコルスタックパターンは、各プロトコルヘッダの種別と配置とを示す情報である。

　具体的には、ヘッダ判別部１１は、プロトコルスタックパターンが既知のパケットを下位ヘッダから順次捜査して作成されたプロトコルスタックパターンを判別する判別木、プロトコルスタックパターンが既知のパケットの内部の特定bit列を基に作成されたプロトコルスタックパターンを判別する判別論理式、または、標準化された各プロトコルのヘッダ情報を示すプロトコルconfigファイルを用いて、入力されたパケットのプロトコルスタックパターンを判別する。判別ルールは、予め他の装置で生成されたものでもよく、入力されたパケットについてプロトコルconfigファイルを用いて学習することで生成されたものでもよい。なお、ヘッダ判別部１１は、他の方法を用いて、ヘッダの判別を行ってもよい。

　ハッシュ演算部１２は、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を入力としたハッシュ計算を行い、ハッシュ値を出力する。ハッシュ演算部１２は、同一エクスポーターでありかつ同一Outerヘッダを有するフローについては、同一のハッシュ値を出力する。このハッシュ値が、振り分けキーとして機能する。

　振り分け機能部１３は、ハッシュ演算部１２から出力されたハッシュ値を振り分けキーとして、フローパケットのEtherヘッダに書き込み、Etherヘッダを基に、フローパケットを処理スレッドに振り分ける。同一エクスポーターでありかつ同一Outerヘッダを有するフローについては同一のハッシュ値が振り分けキーとして埋め込まれるため、振り分け機能部１３は、各フローパケットを、それぞれ対応する処理スレッドに振り分けることができる。

［振り分け処理の流れ］
　次に、図３及び図４を参照して、図２に示す振り分け部１０による振り分け処理の流れについて説明する。図３及び図４は、図２に示す振り分け部による振り分け処理の流れを説明する図である。

　図３に示すように、ヘッダサンプリングパケットは、同一エクスポーターから、あるコレクタ向きのパケットは、ヘッダの値が全て同じとなる。振り分け部１０は、これらのパケットを適切に振り分けるために、以降の流れの処理を行う。

　まず、ヘッダ判別部１１は、フローパケットのプロトコルスタック解析を行い、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を特定する（図３の（１）参照）。具体的には、ヘッダ判別部１１は、ヘッダサンプリングパケットの入力を受け付けると、このパケットついて、Ｌ２ヘッダの種別（ＶＬＡＮ（Virtual　ＬＡＮ）、ＭＰＬＳ（Multi-Protocol　Label　Switching）等）、xFlowの種別（sFlow、IPFIX等）、サンプル内のOuterヘッダ等を判別する（図４の（１）参照）。そして、ヘッダ判別部１１は、判別結果を基に、このヘッダサンプリングパケットのxFlowヘッダ情報及びOuterヘッダをサンプル情報として抽出し（図４の（１）参照）、ハッシュ演算部１２に出力する。

　ハッシュ演算部１２は、同一エクスポーターかつ同一Outerのフローが同じ処理スレッドで処理されるよう、xFlowヘッダ情報及びサンプル内のOuterヘッダ情報を入力とし、処理スレッド番号を出力するハッシュ計算を行う（図３の（２）参照）。すなわち、ハッシュ演算部１２は、ヘッダ判別部１１から出力されたサンプル情報を入力として、処理スレッド番号を計算して出力する（図４の（２）参照）。

　振り分け機能部１３は、ハッシュ演算部１２から出力されたハッシュ値をヘッダサンプリングパケットのEtherヘッダに埋め込み、Etherヘッダを基に処理スレッドに振り分けを行う（図３の（３）及び図４の（３）参照）。

　これによって、図３に示すように、Outerヘッダ「O-１」のパケットは、xFlowヘッダ情報「F-N」及びOuterヘッダ「O-1」を入力としてハッシュ値が振り分けキーとしてEtherネットに埋め込まれているため、この振り分けキーにしたがって、処理スレッド２０Ａに振り分けられる。これに対し、Outerヘッダ「O-2」のパケットは、xFlowヘッダ情報「F-A」及びOuterヘッダ「O-2」を入力としてハッシュ値が振り分けキーとしてEtherネットに埋め込まれているため、この振り分けキーにしたがって、処理スレッド２０Ｍに振り分けられる。

［振り分け処理の処理手順］
　続いて、振り分け部１０による振り分け処理の処理手順について説明する。図５は、実施の形態に係る振り分け処理の処理手順を説明する図である。

　図５に示すように、ヘッダ判別部１１は、パケットの入力を受け付けると（ステップＳ１）、フローパケットを解析し、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を判別するヘッダ判別処理を行う（ステップＳ２）。

　続いて、ハッシュ演算部１２は、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を入力としたハッシュ計算を行い、ハッシュ値を出力するハッシュ演算処理を行う（ステップＳ３）。

　そして、振り分け機能部１３は、ハッシュ演算部１２から出力されたハッシュ値を振り分けキーとして、フローパケットのEtherヘッダに書き込み、Etherヘッダを基に、フローパケットを処理スレッドに振り分ける振り分け処理を行う（ステップＳ４）。

［実施の形態の効果］
　このように、実施の形態では、フレームと振り分けキーとを取得し、フレームのヘッダに振り分けキーを埋め込み、ヘッダ内の振り分けキーの値に基づいて、フレームを処理スレッドに振り分ける。本実施の形態によれば、ヘッダ内の振り分けキーの値を用いてフレームを処理スレッドに振り分けることによって、処理スレッドの負荷分散を適切に実行することができる。

　また、実施の形態に係る振り分け部１０は、トンネリングを行うためにEtherヘッダ以降に任意のプロトコルヘッダが付加されたパケットを解析し、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を判別する。そして、振り分け部１０は、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を入力としたハッシュ計算を行い、ハッシュ値を出力する。振り分け部１０は、ハッシュ値を振り分けキーとしてパケットのEtherヘッダに書き込み、Etherヘッダを基に、パケットを処理スレッドに振り分ける。

　このように、本実施の形態では、振り分けキーとして使用するハッシュ値が、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を入力として計算されたものである。このため、本実施の形態では、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置が同一のパケットは、同一のハッシュ値が振り分けキーとして使用されるため、同一の処理スレッドに振り分けられる。

　したがって、本実施の形態では、トンネリングによって、ヘッダの値が全て同じであるパケットに対しても、同一エクスポーターから送出される同一Outerが付いていたInnerパケットの信号フロー分析を同一の処理スレッドで完結させることが可能になる。このため、本実施の形態によれば、信号フロー分析を高精度で実行することができる。そして、本実施の形態によれば、トンネリングされたフローに対しても、処理スレッドへの振り分けを適切に実行できるため、負荷分散を適切に実行することができる。

［システム構成等］
　図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、ＣＰＵ及び当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的におこなうこともでき、あるいは、手動的に行なわれるものとして説明した処理の全部又は一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　図６は、プログラムが実行されることにより、処理装置１００が実現されるコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、ＯＳ（Operating　System）１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、処理装置１００の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、処理装置１００における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、ＳＳＤ（Solid　State　Drive）により代替されてもよい。

　また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（ＬＡＮ、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。

　１００　処理装置
　１０　振り分け部
　１１　ヘッダ判別部
　１２　ハッシュ演算部
　１３　振り分け機能部
　２０　処理スレッド

Claims

　フレームと振り分けキーとを取得し、前記フレームのヘッダに前記振り分けキーを埋め込み、前記ヘッダの振り分けキーの値に基づいて、前記フレームを処理スレッドに振り分ける振り分け機能部、
　を有することを特徴とする振り分け装置。
　トンネリングを行うためにEtherヘッダに任意のプロトコルヘッダが付加されたパケットを解析し、xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を判別する判別部と、
　xFlowヘッダ情報及びサンプル内のOuterヘッダ位置を入力としたハッシュ計算を行い、ハッシュ値を出力するハッシュ計算を行う計算部と、
　をさらに有し、
　前記振り分け機能部は、前記ハッシュ値を前記振り分けキーとして前記パケットのEtherヘッダに書き込み、前記Etherヘッダを基に、前記パケットを処理スレッドに振り分けることを特徴とする請求項１に記載の振り分け装置。
　前記判別部は、各プロトコルヘッダの種別と配置とを示すプロトコルスタックパターンが既知のパケットを下位ヘッダから順次走査して作成されたプロトコルスタックパターンを判別する判別木、プロトコルスタックパターンが既知のパケットの内部の特定bit列を基に作成されたプロトコルスタックパターンを判別する判別論理式、または、標準化された各プロトコルのヘッダ情報を示すプロトコルconfigファイルを用いて、入力されたパケットのプロトコルスタックパターンを判別することを特徴とする請求項２に記載の振り分け装置。
　振り分け装置が実行する振り分け方法であって、
　フレームと振り分けキーとを取得し、前記フレームのヘッダに前記振り分けキーを埋め込み、前記ヘッダの振り分けキーの値に基づいて、前記フレームを処理スレッドに振り分ける工程
　を含んだことを特徴とする振り分け方法。
　フレームと振り分けキーとを取得し、前記フレームのヘッダに前記振り分けキーを埋め込み、前記ヘッダの振り分けキーの値に基づいて、前記フレームを処理スレッドに振り分けるステップと、
　をコンピュータに実行させるための振り分けプログラム。