BGPトラヒック変動監視装置、方法、およびシステム
【課題】BGP経路変動要因によるトラヒック変動を検知する技術を提供する。
【解決手段】BGP経路受信部101は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積する。トラヒック情報受信部102は、トラヒック情報を収集し、BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積する。相関性照合機能部103は、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する。これにより、BGP経路変動要因によるトラヒック変動を検知することができる。
【解決手段】BGP経路受信部101は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積する。トラヒック情報受信部102は、トラヒック情報を収集し、BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積する。相関性照合機能部103は、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する。これにより、BGP経路変動要因によるトラヒック変動を検知することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、BGPプロトコルにより通知される経路の経路変動要因によるトラヒック変動を検知する監視技術に関する。
【背景技術】
【0002】
インターネットはインターネット・サービス・プロバイダ(Internet Service Provider:ISP)や企業や大学などの異なる組織によって運営される1万以上の自律システム(Autonomous System:AS)が有機的に接続されたものである。上述のAS間は、専用線或いはインターネット・エクスチェンジ(Internet Exchange:IX)によって接続され、ボーダ・ゲートウェイ・プロトコル(Border Gateway Protocol:BGP)によりBGP経路情報を交換する。交換する情報は、経路情報に対して経由するBGP Nexthopアドレス属性、ASパス属性、Community属性となる。
【0003】
トラヒックを経由するASの隣接AS番号は、ASパス属性の先頭番号を示す番号で、BGPプロトコルを受信する当該ISPからみて、直接隣接するASを表す。また、ASパス属性の末尾番号を示す番号は、Origin AS番号を表し、当該経路の最終到着先のASを示すものである。隣接AS番号とOrigin AS番号内に記述されたAS番号列は、途中経由するASを示している。また、BGP Nexthopアドレス属性は、BGPプロトコルを受信するルータから見て、次の向う先のBGPルータのIPアドレスを示す。Communityとは、これらの経路に対して、ネットワークオペレータなどが、経路情報の識別を容易に可能とするために、任意に設定可能な識別子である。これは、非特許文献1で示されるように、地域情報単位や顧客種別単位に付与することは一般的と言われている。
【0004】
このようにBGPは、異なるAS間の経路情報を交換するためのプロトコルであり、同一AS内の主要なバックボーンルータ間においてもインターネット全体の経路情報を交換するためのプロトコルである。
【0005】
このようにインターネットのトラヒックの宛先は、BGPによって交換される経路情報をもとにしており、経路情報の変動は、同一AS内のルータ間のトラヒックの変動はもとより、隣接ASへの流入・流出トラヒックに多大な影響を与える。経路の変更は、ルータ等の故障や機器間を接続するケーブルの故障などによって、発生することがあるが、バックボーンネットワーク上のトラヒックに影響を与えるため、それを監視することが、要望されている。
【0006】
しかし、経路の変動量(つまりBGPのUpdateメッセージ数)は、1分間においても数千に上り、単純に監視することは容易ではない。隣接AS(PeerAS)もしくはNexthopアドレス単位に経路数を収集し、その変動量を監視するシステムも考えられるが、経路数の変動量と実際のトラヒック量の変動量は、関連性がなく、経路数が大きく変化した場合でもトラヒックに影響を与えない場合もある。
【0007】
また、BGPの受信情報を選別、グループ化し、共通部分を抽出することで、インターネット上の原因探索も可能であるが、これも実際のトラヒックとの関連性がないため、実際にトラヒックが流れていない箇所の問題を検出してしまうという問題を抱えている。
【0008】
これに対して、非特許文献2では、受信した経路を分析し、トラヒック変動の起こすタイプに分類し、実際のトラヒックに突合させることで、その影響度を予測するためのシステムを開発している。しかし、当該手法では、トラヒック変動量の予測を行っているのみで、リアルタイムに監視を行い、実際に発生したトラヒック変動量をもとに、関連する経路情報を付き合わせて、その原因探索を行うということができていない。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2008−167484号公報
【非特許文献】
【0010】
【非特許文献1】RFC4384 BGP Communities for Data Collection
【非特許文献2】Jian Wu, Z. Morley Mao, Jennifer Rexford, and Jia Wang, Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network, Proc. Networked Systems Design and Implementation, May 2005.
【非特許文献3】J. Scudder, et. al, “BGP Monitoring Protocol, ” Internet-Draft <draft-ietf-grow-bmp-02>, July, 2009.
【発明の概要】
【発明が解決しようとする課題】
【0011】
インターネット上に流れるトラヒック量は増加しているが、ISP間のパケット・ルーティングは、BGPプロトコルにより通知される経路情報によって決められている。トラヒックの変動は、攻撃トラヒックやルータなどの障害に起因する場合もあるが、BGP経路変動による要因で変動する場合もありうる。急激なトラヒック変動が発生した場合には、ルータ、回線を逼迫し、サービスに支障をきたすことも考えられる。このようなトラヒック変動を迅速に検知し、その要因となるBGP経路変動を探索することが要望されている。
【0012】
BGP経路の監視システムとトラヒック変動の監視システムは、個々に多く存在するが、その双方のデータを監視し、突合することで経路変動によるトラヒック変動の原因検知を行うシステムは、まだない。特に、経路においては、1分間で数千の経路情報を分析する必要があり、また、膨大なトラヒック量と突合させることが必要である。
【0013】
本発明の目的は、BGP経路変動要因によるトラヒック変動を検知する技術を提供することである。
【課題を解決するための手段】
【0014】
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
【0015】
第1の発明は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信部と、トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部と、を備えることを特徴とする。
【0016】
第2の発明は、第1の発明において、前記BGP経路受信部は、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類するBGP Update分類機能部を備えることを特徴とする。
【0017】
第3の発明は、第1の発明において、前記BGP経路受信部は、BGP経路情報をルーティングテーブルとして管理するルーティング管理機能部を備え、前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計するトラヒック集計機能部を備えることを特徴とする。
【0018】
第4の発明は、第3の発明において、前記トラヒック集計機能部は、BGPの属性単位にトラヒック集計を行う際に、前記ルーティングテーブルの中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択することを特徴とする。
【0019】
第5の発明は、第1の発明において、前記BGPトラヒック変動監視装置は、BGPの属性単位のトラヒック量の時系列変化と当該BGP属性が変化したことを示すBGP Updateメッセージの発生量の時系列変化を表示することを特徴とする。
【発明の効果】
【0020】
本発明により、BGP経路変動要因によるトラヒック変動を検知することができる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施例のシステム構成図である。
【図2】BGP経路受信部の機能構成図である。
【図3】BGPメッセージ分類方法を示す図である。
【図4】トラヒック情報受信部の機能構成図である。
【図5】トラヒック項目が増加した場合の比較評価方法を示す図である。
【図6】トラヒック項目が減少した場合の比較評価方法を示す図である。
【図7】表示例を示す図である。
【発明を実施するための形態】
【0022】
図1に本発明の実施例のシステムの構成概要図を示す。図1において、100はBGPトラヒック変動監視装置、101はBGP経路受信部、102はトラヒック情報受信部、103は相関性照合機能部、110は自ASドメイン、111〜115は自ASドメイン110内のルータ、120は隣接AS#1、121は隣接AS#1(120)内のルータ、130は隣接AS#1(120)を経由して接続されているインターネット、140は隣接AS#2、141は隣接AS#2(140)内のルータ、150は隣接AS#3、151は隣接AS#3(150)内のルータ、160は隣接AS#3を経由して接続されているインターネット、170は端末Web描画クライアントである。各AS内のルータの数は任意であり、図示されたものに限定されない。
【0023】
自ASドメイン110にBGPトラヒック変動監視装置100を配置する。BGPトラヒック変動監視装置100は、直接的にBGPルータ111〜115とBGPプロトコルにて接続し、BGP経路情報を収集するものとする。ここでは、BGP以外にBMPプロトコル(非特許文献3)を用いて経路情報を収集することでもよい。また、BGPトラヒック変動監視装置100は、自ASドメイン110内の全BGPルータと接続するのではなく、複数のルート・リフレクタとBGPにより接続し、経路を収集することでもよい。
【0024】
また、BGPトラヒック変動監視装置100は、自ASドメイン110内の各ルータ,スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集する。また、自AS以外の顧客ユーザのルータ、スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集し、自ASのBGPの経路情報をもとにトラヒック集計することも可能とする。
【0025】
自ASドメイン110から得られるトラヒック情報は、フロー情報とよばれ、パケットのIP/TCP/UDP/ICMPのヘッダ情報が含まれる。
【0026】
本実施例のBGPトラヒック変動監視装置は、BGPの変動状況と実際のトラヒック変動を相関させ、これに合致するものを経路変動によるトラヒック変動として検知する。BGPの経路変動は、既に受信したBGP経路情報と新たに受信したBGP経路情報を比較し、トラヒック変動に寄与するBGP属性単位に変更したか否かを判定し、分類分けを行う。NetFlow,sFlow,IPFIXによりルータより配信されるトラヒック情報(フロー情報と呼ばれる)を用いて、BGP属性単位のトラヒック量を集計する。トラヒック量の変動は、ある時間間隔に測定したトラヒック量とその前周期で測定したトラヒック量の類似度をもとに評価する。その類似度がある閾値を逸脱し、最も影響度の大きいBGP属性を抽出し、トラヒック変動が発生した時間間隔内で、実際にBGP経路変動が発生していたのか否かを評価することで、BGP経路変動によるトラヒック変動であると識別する。
【0027】
BGPトラヒック変動監視装置100は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報206(図2参照)を蓄積するBGP経路受信部101と、トラヒック情報を収集し、BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データ404(図4参照)を蓄積するトラヒック情報受信部102と、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部103とで構成される。
【0028】
BGPトラヒック変動監視装置100は、BGP Updateメッセージを収集・分類し、このBGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、過去のデータとの類似度からトラヒック変動を検出し、トラヒック変動に寄与した属性条件で、当該時間間隔にBGP Updateの変更有無を評価することにより、BGP経路変動要因によるトラヒック変動を検知することができる。
【0029】
以下に各部の動作について記述する。
【0030】
[BGP経路受信部の動作概要]
図2にBGP経路受信部101の詳細構成を示す。図2において、201はBGPセッション管理部、202はルーティング管理機能部、203はBGP Update分類機能部、204は2分岐ルーティングテーブル、205は削除済み経路テーブル、206はBGPログ情報である。
【0031】
BGPセッション管理部201では、各BGPルータ単位に接続をおこない経路情報を収集する。
【0032】
BGP Update分類機能部203では、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類し、BGPログ情報206を蓄積する。
【0033】
ルーティング管理機能部202では、BGP経路情報をルーティングテーブルとして管理する。その際に、ピアリング先のアドレス単位に情報を格納する。格納する情報は、2分岐ルーティングテーブル204、削除済み経路テーブル205、がある。
【0034】
2分岐ルーティングテーブル204は、一般にルーティング用に構成されるPatricia Trieが作成され、これは、ルーティング管理機能部202にて、常に最新の状態が維持され、BGPピアリングアドレス先単位に構成される。2分岐ルーティングテーブル204には、経路(ネットワークアドレス、プレフィックスレングス)の他にBGPにより受け付けた時刻とBGP属性情報も格納する。Updateメッセージを受けた場合には、常に情報が更新され、同じ情報のものは上書きされる。Withdrawメッセージを受信した際には、2分岐ルーティングテーブルから当該経路の削除も行う。
【0035】
削除済み経路テーブル205は、Withdrawメッセージを受信した際に、ルーティング管理機能部202にて当該経路とBGPにより受け付けた時刻を削除済み経路テーブル205に格納する。
【0036】
BGPログ情報206は、BGP Update分類機能部203にて受信したBGP Updateメッセージを分類し、各経路単位にログ情報として蓄積する。BGPのUpdateの分類は、以下の表1に分類する。BGPの属性に変更があったか否かは、2分岐ルーティングテーブル204を参照し、その検索結果の情報が、受信したBGP Updateに含まれる属性と比較して評価する。複数のBGP属性が変更している場合には、複数のメッセージタイプが指定されることを可能とする。例えば、BGP Nexthop属性とPeerASの双方に変更があった場合には、複数のメッセージタイプ(PとH)が指定される。Withdraw,OriginAS,PeerAS,BGP Nexthop,AS path Changeがあるものについては、トラヒック変動に影響を及ぼす可能性がある経路変動を示す。
【0037】
【表1】
【0038】
実際の分類する際の手法を以下に示す。
【0039】
図3はBGPメッセージ分類方法を示す図である。BGP経路情報を受信すると、BGP Update分類機能部203は、301でWithdrawメッセージか?を判断し、Yesの場合はメッセージタイプ:Wを設定する。Noの場合は302で2分岐ルーティングテーブル204を参照し同一の経路情報は存在するか?を判断する。Yesの場合は303でOriginASは同一か?を判断する。Yesの場合は304に進み、Noの場合はメッセージタイプ:Oを設定した後304に進む。304でPeerASは同一か?を判断する。Yesの場合は305に進み、Noの場合はメッセージタイプ:Pを設定した後305に進む。305でBGP NextHopは同一か?を判断する。Yesの場合は306に進み、Noの場合はメッセージタイプ:Hを設定した後306に進む。306でAS Path同一か?(PeerAS,OriginAS以外)を判断する。Yesの場合は307に進み、Noの場合はメッセージタイプ:Cを設定した後307に進む。307でCommunityは同一か?を判断する。Yesの場合は308に進み、Noの場合はメッセージタイプ:Mを設定した後308に進む。308で上記の属性が同一か?を判断し、Yesであればメッセージタイプ:Dを設定する。302でNoの場合は、309で削除済み経路テーブル205を参照し、削除済み経路テーブルに存在するか?を判断する。Yesの場合はメッセージタイプ:Rを設定し、Noの場合はメッセージタイプ:Nを設定する。
【0040】
分類された経路情報は、各メッセージタイプの情報を含めて、以下の表2の情報要素を含めたBGPログ情報206として格納する。
【0041】
【表2】
【0042】
[トラヒック情報受信部の動作概要]
BGP経路受信部101とは別に、トラヒック情報受信部102では、BGP属性単位のトラヒック項目を集計する。図4にトラヒックデータ情報受信部102の構成図を示す。図4において、401はフロー情報受信部、402はトラヒック集計機能部、403はピアリングIP管理テーブル、404はトラヒック集計データ、204は2分岐ルーティングテーブルである。2分岐ルーティングテーブル204はBGP経路受信部101によってBGPピアリング先IPアドレス単位に作成されたものである。
【0043】
トラヒック集計機能部402では、フロー情報受信部401が収集したトラヒック情報をもとに2分岐ルーティングテーブル204を検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計する。また、トラヒック集計機能部402では、BGPの属性単位にトラヒック集計を行う際に、2分岐ルーティングテーブル204の中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択する。
【0044】
トラヒック集計機能部402がBGP属性単位のトラヒック項目を集計する際には、送信元IPアドレス、送信先IPアドレスをもとに、2分岐ルーティングテーブル204を参照してBGP属性情報を収集する必要がある。BGPピアリング先のルータ単位に格納されている2分岐ルーティングテーブル204のどのテーブルを使用するかを決定する必要がある。予め、トラヒック情報受信部102には、BGP接続先のピアリングルータの全IFアドレス(IPアドレスと当該ネットマスク)が格納されているピアリングIP管理テーブル403を保持する。これは、SNMPにより当該ルータからIP−MIBをもとに収集することでよい。また、このピアリングIP管理テーブル403は、BGPピアリング接続先ルータの地域情報も保持しておく。これをもとにトラヒック集計機能部402では、以下の順に参照先テーブルを選定する。
【0045】
1)NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、BGP接続先のピアリングルータがもつ全IFのIPアドレスに含まれていた場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
【0046】
2)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、BGP接続先のピアリングルータがもつ全IFのネットワークアドレスに属する場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
【0047】
3)上記以外で、フロー情報内に含まれるNextHopアドレスが、BGP接続先のピアリングルータがもつ全IFのIPアドレスに含まれていた場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
【0048】
4)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスから地域情報を参照し、同一地域に属するピアリングルータの2分岐ルーティングテーブルを使用する。
【0049】
トラヒック集計機能部402では、トラヒック集計の際に、受信したトラヒック情報に含まれる送信元IPアドレス、送信先IPアドレスをもとに、BGP経路受信部101で構成した2分岐ルーティングテーブル204を参照してBGP経路情報を収集する。テーブル参照の際には、アドレスレングスが最長一致(ロンゲストマッチ)となるように、検索を行う。得られたBGP経路情報をもとにBGP属性単位で、下記のトラヒック項目を集計する。
【0050】
− Origin AS
− PeerAS
− BGP Nexthopアドレス
− AS Path
− AS Link(AS Pathに含まれる任意に隣接するASの対)
− Prefix
− Community
【0051】
上記のトラヒック項目は、全トラヒックについて集計するのではなく、ある単位時間あたりのトラヒック流量(バイト数,パケット数、フロー数)をもとに上位N位までの項目のみを集計することでもよい。上記のトラヒック項目は、経路変動がない定常的な状態であれば、日変動によるトラヒックの変動を除けば、上位N位のトラヒックの類似性は維持される。OriginASは、最終的な基点ASに向けたトラヒック量を表すものである、PeerASは、隣接するASとのトラヒック量を表し、AS Path,AS Linkについては、インターネットに自AS発・自AS着のトラヒックがどのようなASを経由したかを表す。また、Communityは、非特許文献1によると一般的に地域単位で、Community番号をアサインしている場合が多く、Community単位のトラヒック量は、地域単位のトラヒック量を表す。また、BGP Nexthopアドレスは、自AS領域の出口ルータを指すため、出口ルータ向きのトラヒック量を示す。
【0052】
これらのトラヒック量は、ルータの収容能力や物理回線などの設備設計をする上では、重要な情報であり、BGP経路の変動により、急激なトラヒック変動が発生した場合には、設備設計の再検討が必要となるばかりではなく、ある回線・ルータへのトラヒックが逼迫し、サービスに支障をきたすこともある。そのため、これらのトラヒック量を集計することが必要である。
【0053】
[相関性照合機能部の動作概要]
相関性照合機能部103では、時間的に前後するトラヒック集計データ404の類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報206を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する。
【0054】
相関性照合機能部103では、得られたトラヒック集計データ404とBGPログ情報206から相関性を評価する。トラヒック集計データの変動は、以下の手順で、前周期との類似度をもとに評価する。特許文献1を参考とする。
【0055】
・周期毎にトラヒック量上位のキー属性をもとにトラヒック変動(増減)を検出する。
【0056】
・ある特定のキー属性に対して、ランキングの順位変動が大きい場合にアラートとして検出する。その際に、トラヒック変動要因となりうるキー属性もあわせてアラートとする。
【0057】
・トラヒック分析を行うキー属性は、集計済みのトラヒック項目に対して実施する。
【0058】
・トラヒック変動の検出は、以下の検出式に従う。
− OriginAS(例)のTop Nの順位変動を検知すると仮定する。
− 上位N位のOriginASのトラヒック量(b/s)を抽出。
− ある時間(t)のi位のOriginASをf(i,t)とする。
− OriginASのある時間(t)のトラヒック量をc(f(i,t),t)とする。
− ある時間(t)の上位N位までのトラヒック量データ列を抽出
− C(t)i={c(f(1,t),t),c(f(2,t),t),…,c(f(N,t),t)}(i=1,2,…,N)
− 1スロット前の時間(t−1)のf(i,t)をもとにしたトラヒック量データ列を抽出
− C(t−1)i={c(f(1,t),t−1),c(f(2,t),t−1),…,c(f(N,t),t−1)}(i=1,2,…,N)
− その際にランク外のトラヒック量は、0とみなす。
− 配列{(C(t)i,C(t−1)i)}(i=1,2,…,N)の相関係数を求める。
− 相関係数r(t,t−1)とすると以下のようになる。
【0059】
【数1】
【0060】
− cavg(t)は、ある時間(t)の上位N位のトラヒック量の平均。
【0061】
【数2】
【0062】
【数3】
【0063】
− cavg(t−1)は、時間(t)の上位N位のOriginASをもとにした時間(t−1)のトラヒック量の平均。
− 相関係数は、1から−1の値をとり、より1に近い場合は、順位変動がないと判断。
− ある閾値(M:例えば0.5)を下回ったときに変動があったとして、infoレベルの表示を実施。
【0064】
・変動原因と推定されるf(i,t)(例:OriginAS)とトラヒック量c(f(i,t),t)について検出する。変動原因の探索は、それぞれのf(i,t)のデータを省いて相関係数をもとめ、閾値より大きいものを抽出する。以下に示す。
− ある順位(k)のデータを抜いたデータ列を作成
− C(t)i={c(f(1,t),t),c(f(2,t),t),…,c(f(k,t),t),…,c(f(N,t),t)}
− これにより得られた相関係数をr(k)(t,t−1)とする。
【0065】
・予め指定されるパラメータは以下の通り。
− N:順位変動検出機能にて有効とする上位N位までのトラヒック・ランキング情報。(キー属性毎に指定可能とする。)
− M:相関係数の閾値(1〜0),閾値Mより小さい場合にアラート対象とする。(閾値は、キー属性種別毎に指定可能とする。)
【0066】
以下に、トラヒック変動が発生した場合の事象イメージを示す。
【0067】
【表3】
【0068】
相関性照合機能部103は、得られたトラヒック変動が発生したトラヒック項目と発生要因となったBGP属性値をもとに、実際に経路変動が発生しているかを判定する。判定手法は、BGP属性単位に以下のように行う。
【0069】
・前周期のトラヒック量から、変動に起因したBGP属性値のトラヒック項目が、増加したか減少したかを評価し、BGPログ情報206と比較評価を行う。
【0070】
・変動に起因したBGP属性値のトラヒック項目が増加した場合は、トラヒック変動が発生した期間のBGPログ情報206と比較評価を行う。
【0071】
図5は、トラヒック項目が増加した場合の比較評価方法を示す図ある。
【0072】
501で、当該BGP属性値を含む、BGPメッセージタイプ=New(N),Renew(R)のBGPログ情報が発生しているか?の判断を行う。Yesの場合はBGP経路情報によるトラヒック変動と判断する。Noの場合は502に進み、トラヒック項目により分類する。503で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=OriginAS Change(O)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。504で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=PeerAS Change(P)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。505で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=BGP NextHop Change(H)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。506で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=AS Path Change(C)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。507で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=Community(M)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。
【0073】
・変動に起因したBGP属性値のトラヒック項目が減少した場合は、トラヒック変動が発生した期間のBGPログ情報と比較評価を行う。
【0074】
図6は、トラヒック項目が減少した場合の比較評価方法を示す図である。
【0075】
601で、当該BGP属性値を含む、BGPメッセージタイプ=Withdraw(W)のBGPログ情報が発生しているか?の判断を行う。Yesの場合はBGP経路情報によるトラヒック変動と判断する。Noの場合は602に進み、トラヒック項目により分類する。603で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=OriginAS Change(O)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。604で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=PeerAS Change(P)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。605で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=BGP NextHop Change(H)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。606で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=AS Path Change(C)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。607で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=Community(M)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。
【0076】
また、これらの結果を、実際の当該BGP属性値のトラヒック項目とその情報を含むBGPメッセージタイプ毎のBGPログ情報206を時系列に表示することも可能とする。トラヒック量とBGPメッセージタイプ別の発生数を同じ時間軸で表示可能とし、特定のBGP属性値で絞りこみを行って実際に得られた結果から、BGP変動によるトラヒック変動の相関性を確認することも可能とする。図7にトラヒック量の時系列変化とBGPメッセージタイプ別の発生数の時系列変化を同じ時間軸で表示した表示例を示す。このような表示は、BGPトラヒック変動監視装置100が端末Web描画クライアント170を介して行ってもよいし、他の方法で表示してもよい。
【0077】
以上説明したBGPトラヒック変動監視装置は、コンピュータとプログラムで構成できる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
【0078】
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【符号の説明】
【0079】
100…BGPトラヒック変動監視装置、101…BGP経路受信部、102…トラヒック情報受信部、103…相関性照合機能部、110…自ASドメイン、111〜115…自ASドメイン110内のルータ、120…隣接AS#1、121…隣接AS#1(120)内のルータ、130…隣接AS#1(120)を経由して接続されているインターネット、140…隣接AS#2、141…隣接AS#2(140)内のルータ、150…隣接AS#3、151…隣接AS#3(150)内のルータ、160…隣接AS#3を経由して接続されているインターネット、170…端末Web描画クライアント、201…BGPセッション管理部、202…ルーティング管理機能部、203…BGP Update分類機能部、204…2分岐ルーティングテーブル、205…削除済み経路テーブル、206…はBGPログ情報、401…フロー情報受信部、402…トラヒック集計機能部、403…ピアリングIP管理テーブル、404…トラヒック集計データ
【技術分野】
【0001】
本発明は、BGPプロトコルにより通知される経路の経路変動要因によるトラヒック変動を検知する監視技術に関する。
【背景技術】
【0002】
インターネットはインターネット・サービス・プロバイダ(Internet Service Provider:ISP)や企業や大学などの異なる組織によって運営される1万以上の自律システム(Autonomous System:AS)が有機的に接続されたものである。上述のAS間は、専用線或いはインターネット・エクスチェンジ(Internet Exchange:IX)によって接続され、ボーダ・ゲートウェイ・プロトコル(Border Gateway Protocol:BGP)によりBGP経路情報を交換する。交換する情報は、経路情報に対して経由するBGP Nexthopアドレス属性、ASパス属性、Community属性となる。
【0003】
トラヒックを経由するASの隣接AS番号は、ASパス属性の先頭番号を示す番号で、BGPプロトコルを受信する当該ISPからみて、直接隣接するASを表す。また、ASパス属性の末尾番号を示す番号は、Origin AS番号を表し、当該経路の最終到着先のASを示すものである。隣接AS番号とOrigin AS番号内に記述されたAS番号列は、途中経由するASを示している。また、BGP Nexthopアドレス属性は、BGPプロトコルを受信するルータから見て、次の向う先のBGPルータのIPアドレスを示す。Communityとは、これらの経路に対して、ネットワークオペレータなどが、経路情報の識別を容易に可能とするために、任意に設定可能な識別子である。これは、非特許文献1で示されるように、地域情報単位や顧客種別単位に付与することは一般的と言われている。
【0004】
このようにBGPは、異なるAS間の経路情報を交換するためのプロトコルであり、同一AS内の主要なバックボーンルータ間においてもインターネット全体の経路情報を交換するためのプロトコルである。
【0005】
このようにインターネットのトラヒックの宛先は、BGPによって交換される経路情報をもとにしており、経路情報の変動は、同一AS内のルータ間のトラヒックの変動はもとより、隣接ASへの流入・流出トラヒックに多大な影響を与える。経路の変更は、ルータ等の故障や機器間を接続するケーブルの故障などによって、発生することがあるが、バックボーンネットワーク上のトラヒックに影響を与えるため、それを監視することが、要望されている。
【0006】
しかし、経路の変動量(つまりBGPのUpdateメッセージ数)は、1分間においても数千に上り、単純に監視することは容易ではない。隣接AS(PeerAS)もしくはNexthopアドレス単位に経路数を収集し、その変動量を監視するシステムも考えられるが、経路数の変動量と実際のトラヒック量の変動量は、関連性がなく、経路数が大きく変化した場合でもトラヒックに影響を与えない場合もある。
【0007】
また、BGPの受信情報を選別、グループ化し、共通部分を抽出することで、インターネット上の原因探索も可能であるが、これも実際のトラヒックとの関連性がないため、実際にトラヒックが流れていない箇所の問題を検出してしまうという問題を抱えている。
【0008】
これに対して、非特許文献2では、受信した経路を分析し、トラヒック変動の起こすタイプに分類し、実際のトラヒックに突合させることで、その影響度を予測するためのシステムを開発している。しかし、当該手法では、トラヒック変動量の予測を行っているのみで、リアルタイムに監視を行い、実際に発生したトラヒック変動量をもとに、関連する経路情報を付き合わせて、その原因探索を行うということができていない。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2008−167484号公報
【非特許文献】
【0010】
【非特許文献1】RFC4384 BGP Communities for Data Collection
【非特許文献2】Jian Wu, Z. Morley Mao, Jennifer Rexford, and Jia Wang, Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network, Proc. Networked Systems Design and Implementation, May 2005.
【非特許文献3】J. Scudder, et. al, “BGP Monitoring Protocol, ” Internet-Draft <draft-ietf-grow-bmp-02>, July, 2009.
【発明の概要】
【発明が解決しようとする課題】
【0011】
インターネット上に流れるトラヒック量は増加しているが、ISP間のパケット・ルーティングは、BGPプロトコルにより通知される経路情報によって決められている。トラヒックの変動は、攻撃トラヒックやルータなどの障害に起因する場合もあるが、BGP経路変動による要因で変動する場合もありうる。急激なトラヒック変動が発生した場合には、ルータ、回線を逼迫し、サービスに支障をきたすことも考えられる。このようなトラヒック変動を迅速に検知し、その要因となるBGP経路変動を探索することが要望されている。
【0012】
BGP経路の監視システムとトラヒック変動の監視システムは、個々に多く存在するが、その双方のデータを監視し、突合することで経路変動によるトラヒック変動の原因検知を行うシステムは、まだない。特に、経路においては、1分間で数千の経路情報を分析する必要があり、また、膨大なトラヒック量と突合させることが必要である。
【0013】
本発明の目的は、BGP経路変動要因によるトラヒック変動を検知する技術を提供することである。
【課題を解決するための手段】
【0014】
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
【0015】
第1の発明は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信部と、トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部と、を備えることを特徴とする。
【0016】
第2の発明は、第1の発明において、前記BGP経路受信部は、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類するBGP Update分類機能部を備えることを特徴とする。
【0017】
第3の発明は、第1の発明において、前記BGP経路受信部は、BGP経路情報をルーティングテーブルとして管理するルーティング管理機能部を備え、前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計するトラヒック集計機能部を備えることを特徴とする。
【0018】
第4の発明は、第3の発明において、前記トラヒック集計機能部は、BGPの属性単位にトラヒック集計を行う際に、前記ルーティングテーブルの中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択することを特徴とする。
【0019】
第5の発明は、第1の発明において、前記BGPトラヒック変動監視装置は、BGPの属性単位のトラヒック量の時系列変化と当該BGP属性が変化したことを示すBGP Updateメッセージの発生量の時系列変化を表示することを特徴とする。
【発明の効果】
【0020】
本発明により、BGP経路変動要因によるトラヒック変動を検知することができる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施例のシステム構成図である。
【図2】BGP経路受信部の機能構成図である。
【図3】BGPメッセージ分類方法を示す図である。
【図4】トラヒック情報受信部の機能構成図である。
【図5】トラヒック項目が増加した場合の比較評価方法を示す図である。
【図6】トラヒック項目が減少した場合の比較評価方法を示す図である。
【図7】表示例を示す図である。
【発明を実施するための形態】
【0022】
図1に本発明の実施例のシステムの構成概要図を示す。図1において、100はBGPトラヒック変動監視装置、101はBGP経路受信部、102はトラヒック情報受信部、103は相関性照合機能部、110は自ASドメイン、111〜115は自ASドメイン110内のルータ、120は隣接AS#1、121は隣接AS#1(120)内のルータ、130は隣接AS#1(120)を経由して接続されているインターネット、140は隣接AS#2、141は隣接AS#2(140)内のルータ、150は隣接AS#3、151は隣接AS#3(150)内のルータ、160は隣接AS#3を経由して接続されているインターネット、170は端末Web描画クライアントである。各AS内のルータの数は任意であり、図示されたものに限定されない。
【0023】
自ASドメイン110にBGPトラヒック変動監視装置100を配置する。BGPトラヒック変動監視装置100は、直接的にBGPルータ111〜115とBGPプロトコルにて接続し、BGP経路情報を収集するものとする。ここでは、BGP以外にBMPプロトコル(非特許文献3)を用いて経路情報を収集することでもよい。また、BGPトラヒック変動監視装置100は、自ASドメイン110内の全BGPルータと接続するのではなく、複数のルート・リフレクタとBGPにより接続し、経路を収集することでもよい。
【0024】
また、BGPトラヒック変動監視装置100は、自ASドメイン110内の各ルータ,スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集する。また、自AS以外の顧客ユーザのルータ、スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集し、自ASのBGPの経路情報をもとにトラヒック集計することも可能とする。
【0025】
自ASドメイン110から得られるトラヒック情報は、フロー情報とよばれ、パケットのIP/TCP/UDP/ICMPのヘッダ情報が含まれる。
【0026】
本実施例のBGPトラヒック変動監視装置は、BGPの変動状況と実際のトラヒック変動を相関させ、これに合致するものを経路変動によるトラヒック変動として検知する。BGPの経路変動は、既に受信したBGP経路情報と新たに受信したBGP経路情報を比較し、トラヒック変動に寄与するBGP属性単位に変更したか否かを判定し、分類分けを行う。NetFlow,sFlow,IPFIXによりルータより配信されるトラヒック情報(フロー情報と呼ばれる)を用いて、BGP属性単位のトラヒック量を集計する。トラヒック量の変動は、ある時間間隔に測定したトラヒック量とその前周期で測定したトラヒック量の類似度をもとに評価する。その類似度がある閾値を逸脱し、最も影響度の大きいBGP属性を抽出し、トラヒック変動が発生した時間間隔内で、実際にBGP経路変動が発生していたのか否かを評価することで、BGP経路変動によるトラヒック変動であると識別する。
【0027】
BGPトラヒック変動監視装置100は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報206(図2参照)を蓄積するBGP経路受信部101と、トラヒック情報を収集し、BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データ404(図4参照)を蓄積するトラヒック情報受信部102と、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部103とで構成される。
【0028】
BGPトラヒック変動監視装置100は、BGP Updateメッセージを収集・分類し、このBGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、過去のデータとの類似度からトラヒック変動を検出し、トラヒック変動に寄与した属性条件で、当該時間間隔にBGP Updateの変更有無を評価することにより、BGP経路変動要因によるトラヒック変動を検知することができる。
【0029】
以下に各部の動作について記述する。
【0030】
[BGP経路受信部の動作概要]
図2にBGP経路受信部101の詳細構成を示す。図2において、201はBGPセッション管理部、202はルーティング管理機能部、203はBGP Update分類機能部、204は2分岐ルーティングテーブル、205は削除済み経路テーブル、206はBGPログ情報である。
【0031】
BGPセッション管理部201では、各BGPルータ単位に接続をおこない経路情報を収集する。
【0032】
BGP Update分類機能部203では、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類し、BGPログ情報206を蓄積する。
【0033】
ルーティング管理機能部202では、BGP経路情報をルーティングテーブルとして管理する。その際に、ピアリング先のアドレス単位に情報を格納する。格納する情報は、2分岐ルーティングテーブル204、削除済み経路テーブル205、がある。
【0034】
2分岐ルーティングテーブル204は、一般にルーティング用に構成されるPatricia Trieが作成され、これは、ルーティング管理機能部202にて、常に最新の状態が維持され、BGPピアリングアドレス先単位に構成される。2分岐ルーティングテーブル204には、経路(ネットワークアドレス、プレフィックスレングス)の他にBGPにより受け付けた時刻とBGP属性情報も格納する。Updateメッセージを受けた場合には、常に情報が更新され、同じ情報のものは上書きされる。Withdrawメッセージを受信した際には、2分岐ルーティングテーブルから当該経路の削除も行う。
【0035】
削除済み経路テーブル205は、Withdrawメッセージを受信した際に、ルーティング管理機能部202にて当該経路とBGPにより受け付けた時刻を削除済み経路テーブル205に格納する。
【0036】
BGPログ情報206は、BGP Update分類機能部203にて受信したBGP Updateメッセージを分類し、各経路単位にログ情報として蓄積する。BGPのUpdateの分類は、以下の表1に分類する。BGPの属性に変更があったか否かは、2分岐ルーティングテーブル204を参照し、その検索結果の情報が、受信したBGP Updateに含まれる属性と比較して評価する。複数のBGP属性が変更している場合には、複数のメッセージタイプが指定されることを可能とする。例えば、BGP Nexthop属性とPeerASの双方に変更があった場合には、複数のメッセージタイプ(PとH)が指定される。Withdraw,OriginAS,PeerAS,BGP Nexthop,AS path Changeがあるものについては、トラヒック変動に影響を及ぼす可能性がある経路変動を示す。
【0037】
【表1】
【0038】
実際の分類する際の手法を以下に示す。
【0039】
図3はBGPメッセージ分類方法を示す図である。BGP経路情報を受信すると、BGP Update分類機能部203は、301でWithdrawメッセージか?を判断し、Yesの場合はメッセージタイプ:Wを設定する。Noの場合は302で2分岐ルーティングテーブル204を参照し同一の経路情報は存在するか?を判断する。Yesの場合は303でOriginASは同一か?を判断する。Yesの場合は304に進み、Noの場合はメッセージタイプ:Oを設定した後304に進む。304でPeerASは同一か?を判断する。Yesの場合は305に進み、Noの場合はメッセージタイプ:Pを設定した後305に進む。305でBGP NextHopは同一か?を判断する。Yesの場合は306に進み、Noの場合はメッセージタイプ:Hを設定した後306に進む。306でAS Path同一か?(PeerAS,OriginAS以外)を判断する。Yesの場合は307に進み、Noの場合はメッセージタイプ:Cを設定した後307に進む。307でCommunityは同一か?を判断する。Yesの場合は308に進み、Noの場合はメッセージタイプ:Mを設定した後308に進む。308で上記の属性が同一か?を判断し、Yesであればメッセージタイプ:Dを設定する。302でNoの場合は、309で削除済み経路テーブル205を参照し、削除済み経路テーブルに存在するか?を判断する。Yesの場合はメッセージタイプ:Rを設定し、Noの場合はメッセージタイプ:Nを設定する。
【0040】
分類された経路情報は、各メッセージタイプの情報を含めて、以下の表2の情報要素を含めたBGPログ情報206として格納する。
【0041】
【表2】
【0042】
[トラヒック情報受信部の動作概要]
BGP経路受信部101とは別に、トラヒック情報受信部102では、BGP属性単位のトラヒック項目を集計する。図4にトラヒックデータ情報受信部102の構成図を示す。図4において、401はフロー情報受信部、402はトラヒック集計機能部、403はピアリングIP管理テーブル、404はトラヒック集計データ、204は2分岐ルーティングテーブルである。2分岐ルーティングテーブル204はBGP経路受信部101によってBGPピアリング先IPアドレス単位に作成されたものである。
【0043】
トラヒック集計機能部402では、フロー情報受信部401が収集したトラヒック情報をもとに2分岐ルーティングテーブル204を検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計する。また、トラヒック集計機能部402では、BGPの属性単位にトラヒック集計を行う際に、2分岐ルーティングテーブル204の中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択する。
【0044】
トラヒック集計機能部402がBGP属性単位のトラヒック項目を集計する際には、送信元IPアドレス、送信先IPアドレスをもとに、2分岐ルーティングテーブル204を参照してBGP属性情報を収集する必要がある。BGPピアリング先のルータ単位に格納されている2分岐ルーティングテーブル204のどのテーブルを使用するかを決定する必要がある。予め、トラヒック情報受信部102には、BGP接続先のピアリングルータの全IFアドレス(IPアドレスと当該ネットマスク)が格納されているピアリングIP管理テーブル403を保持する。これは、SNMPにより当該ルータからIP−MIBをもとに収集することでよい。また、このピアリングIP管理テーブル403は、BGPピアリング接続先ルータの地域情報も保持しておく。これをもとにトラヒック集計機能部402では、以下の順に参照先テーブルを選定する。
【0045】
1)NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、BGP接続先のピアリングルータがもつ全IFのIPアドレスに含まれていた場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
【0046】
2)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、BGP接続先のピアリングルータがもつ全IFのネットワークアドレスに属する場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
【0047】
3)上記以外で、フロー情報内に含まれるNextHopアドレスが、BGP接続先のピアリングルータがもつ全IFのIPアドレスに含まれていた場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
【0048】
4)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスから地域情報を参照し、同一地域に属するピアリングルータの2分岐ルーティングテーブルを使用する。
【0049】
トラヒック集計機能部402では、トラヒック集計の際に、受信したトラヒック情報に含まれる送信元IPアドレス、送信先IPアドレスをもとに、BGP経路受信部101で構成した2分岐ルーティングテーブル204を参照してBGP経路情報を収集する。テーブル参照の際には、アドレスレングスが最長一致(ロンゲストマッチ)となるように、検索を行う。得られたBGP経路情報をもとにBGP属性単位で、下記のトラヒック項目を集計する。
【0050】
− Origin AS
− PeerAS
− BGP Nexthopアドレス
− AS Path
− AS Link(AS Pathに含まれる任意に隣接するASの対)
− Prefix
− Community
【0051】
上記のトラヒック項目は、全トラヒックについて集計するのではなく、ある単位時間あたりのトラヒック流量(バイト数,パケット数、フロー数)をもとに上位N位までの項目のみを集計することでもよい。上記のトラヒック項目は、経路変動がない定常的な状態であれば、日変動によるトラヒックの変動を除けば、上位N位のトラヒックの類似性は維持される。OriginASは、最終的な基点ASに向けたトラヒック量を表すものである、PeerASは、隣接するASとのトラヒック量を表し、AS Path,AS Linkについては、インターネットに自AS発・自AS着のトラヒックがどのようなASを経由したかを表す。また、Communityは、非特許文献1によると一般的に地域単位で、Community番号をアサインしている場合が多く、Community単位のトラヒック量は、地域単位のトラヒック量を表す。また、BGP Nexthopアドレスは、自AS領域の出口ルータを指すため、出口ルータ向きのトラヒック量を示す。
【0052】
これらのトラヒック量は、ルータの収容能力や物理回線などの設備設計をする上では、重要な情報であり、BGP経路の変動により、急激なトラヒック変動が発生した場合には、設備設計の再検討が必要となるばかりではなく、ある回線・ルータへのトラヒックが逼迫し、サービスに支障をきたすこともある。そのため、これらのトラヒック量を集計することが必要である。
【0053】
[相関性照合機能部の動作概要]
相関性照合機能部103では、時間的に前後するトラヒック集計データ404の類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報206を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する。
【0054】
相関性照合機能部103では、得られたトラヒック集計データ404とBGPログ情報206から相関性を評価する。トラヒック集計データの変動は、以下の手順で、前周期との類似度をもとに評価する。特許文献1を参考とする。
【0055】
・周期毎にトラヒック量上位のキー属性をもとにトラヒック変動(増減)を検出する。
【0056】
・ある特定のキー属性に対して、ランキングの順位変動が大きい場合にアラートとして検出する。その際に、トラヒック変動要因となりうるキー属性もあわせてアラートとする。
【0057】
・トラヒック分析を行うキー属性は、集計済みのトラヒック項目に対して実施する。
【0058】
・トラヒック変動の検出は、以下の検出式に従う。
− OriginAS(例)のTop Nの順位変動を検知すると仮定する。
− 上位N位のOriginASのトラヒック量(b/s)を抽出。
− ある時間(t)のi位のOriginASをf(i,t)とする。
− OriginASのある時間(t)のトラヒック量をc(f(i,t),t)とする。
− ある時間(t)の上位N位までのトラヒック量データ列を抽出
− C(t)i={c(f(1,t),t),c(f(2,t),t),…,c(f(N,t),t)}(i=1,2,…,N)
− 1スロット前の時間(t−1)のf(i,t)をもとにしたトラヒック量データ列を抽出
− C(t−1)i={c(f(1,t),t−1),c(f(2,t),t−1),…,c(f(N,t),t−1)}(i=1,2,…,N)
− その際にランク外のトラヒック量は、0とみなす。
− 配列{(C(t)i,C(t−1)i)}(i=1,2,…,N)の相関係数を求める。
− 相関係数r(t,t−1)とすると以下のようになる。
【0059】
【数1】
【0060】
− cavg(t)は、ある時間(t)の上位N位のトラヒック量の平均。
【0061】
【数2】
【0062】
【数3】
【0063】
− cavg(t−1)は、時間(t)の上位N位のOriginASをもとにした時間(t−1)のトラヒック量の平均。
− 相関係数は、1から−1の値をとり、より1に近い場合は、順位変動がないと判断。
− ある閾値(M:例えば0.5)を下回ったときに変動があったとして、infoレベルの表示を実施。
【0064】
・変動原因と推定されるf(i,t)(例:OriginAS)とトラヒック量c(f(i,t),t)について検出する。変動原因の探索は、それぞれのf(i,t)のデータを省いて相関係数をもとめ、閾値より大きいものを抽出する。以下に示す。
− ある順位(k)のデータを抜いたデータ列を作成
− C(t)i={c(f(1,t),t),c(f(2,t),t),…,c(f(k,t),t),…,c(f(N,t),t)}
− これにより得られた相関係数をr(k)(t,t−1)とする。
【0065】
・予め指定されるパラメータは以下の通り。
− N:順位変動検出機能にて有効とする上位N位までのトラヒック・ランキング情報。(キー属性毎に指定可能とする。)
− M:相関係数の閾値(1〜0),閾値Mより小さい場合にアラート対象とする。(閾値は、キー属性種別毎に指定可能とする。)
【0066】
以下に、トラヒック変動が発生した場合の事象イメージを示す。
【0067】
【表3】
【0068】
相関性照合機能部103は、得られたトラヒック変動が発生したトラヒック項目と発生要因となったBGP属性値をもとに、実際に経路変動が発生しているかを判定する。判定手法は、BGP属性単位に以下のように行う。
【0069】
・前周期のトラヒック量から、変動に起因したBGP属性値のトラヒック項目が、増加したか減少したかを評価し、BGPログ情報206と比較評価を行う。
【0070】
・変動に起因したBGP属性値のトラヒック項目が増加した場合は、トラヒック変動が発生した期間のBGPログ情報206と比較評価を行う。
【0071】
図5は、トラヒック項目が増加した場合の比較評価方法を示す図ある。
【0072】
501で、当該BGP属性値を含む、BGPメッセージタイプ=New(N),Renew(R)のBGPログ情報が発生しているか?の判断を行う。Yesの場合はBGP経路情報によるトラヒック変動と判断する。Noの場合は502に進み、トラヒック項目により分類する。503で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=OriginAS Change(O)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。504で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=PeerAS Change(P)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。505で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=BGP NextHop Change(H)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。506で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=AS Path Change(C)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。507で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=Community(M)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。
【0073】
・変動に起因したBGP属性値のトラヒック項目が減少した場合は、トラヒック変動が発生した期間のBGPログ情報と比較評価を行う。
【0074】
図6は、トラヒック項目が減少した場合の比較評価方法を示す図である。
【0075】
601で、当該BGP属性値を含む、BGPメッセージタイプ=Withdraw(W)のBGPログ情報が発生しているか?の判断を行う。Yesの場合はBGP経路情報によるトラヒック変動と判断する。Noの場合は602に進み、トラヒック項目により分類する。603で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=OriginAS Change(O)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。604で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=PeerAS Change(P)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。605で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=BGP NextHop Change(H)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。606で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=AS Path Change(C)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。607で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=Community(M)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。
【0076】
また、これらの結果を、実際の当該BGP属性値のトラヒック項目とその情報を含むBGPメッセージタイプ毎のBGPログ情報206を時系列に表示することも可能とする。トラヒック量とBGPメッセージタイプ別の発生数を同じ時間軸で表示可能とし、特定のBGP属性値で絞りこみを行って実際に得られた結果から、BGP変動によるトラヒック変動の相関性を確認することも可能とする。図7にトラヒック量の時系列変化とBGPメッセージタイプ別の発生数の時系列変化を同じ時間軸で表示した表示例を示す。このような表示は、BGPトラヒック変動監視装置100が端末Web描画クライアント170を介して行ってもよいし、他の方法で表示してもよい。
【0077】
以上説明したBGPトラヒック変動監視装置は、コンピュータとプログラムで構成できる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
【0078】
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【符号の説明】
【0079】
100…BGPトラヒック変動監視装置、101…BGP経路受信部、102…トラヒック情報受信部、103…相関性照合機能部、110…自ASドメイン、111〜115…自ASドメイン110内のルータ、120…隣接AS#1、121…隣接AS#1(120)内のルータ、130…隣接AS#1(120)を経由して接続されているインターネット、140…隣接AS#2、141…隣接AS#2(140)内のルータ、150…隣接AS#3、151…隣接AS#3(150)内のルータ、160…隣接AS#3を経由して接続されているインターネット、170…端末Web描画クライアント、201…BGPセッション管理部、202…ルーティング管理機能部、203…BGP Update分類機能部、204…2分岐ルーティングテーブル、205…削除済み経路テーブル、206…はBGPログ情報、401…フロー情報受信部、402…トラヒック集計機能部、403…ピアリングIP管理テーブル、404…トラヒック集計データ
【特許請求の範囲】
【請求項1】
BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視装置であって、
BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信部と、
トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、
時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部と、
を備えることを特徴とするBGPトラヒック変動監視装置。
【請求項2】
請求項1に記載のBGPトラヒック変動監視装置において、
前記BGP経路受信部は、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類するBGP Update分類機能部を備えることを特徴とするBGPトラヒック変動監視装置。
【請求項3】
請求項1に記載のBGPトラヒック変動監視装置において、
前記BGP経路受信部は、BGP経路情報をルーティングテーブルとして管理するルーティング管理機能部を備え、
前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計するトラヒック集計機能部を備える
ことを特徴とするBGPトラヒック変動監視装置。
【請求項4】
請求項3に記載のBGPトラヒック変動監視装置において、
前記トラヒック集計機能部は、BGPの属性単位にトラヒック集計を行う際に、前記ルーティングテーブルの中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択することを特徴とするBGPトラヒック変動監視装置。
【請求項5】
請求項1に記載のBGPトラヒック変動監視装置において、
前記BGPトラヒック変動監視装置は、BGPの属性単位のトラヒック量の時系列変化と当該BGP属性が変化したことを示すBGP Updateメッセージの発生量の時系列変化を表示することを特徴とするBGPトラヒック変動監視装置。
【請求項6】
BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視装置におけるBGPトラヒック変動監視方法であって、
BGPトラヒック変動監視装置は、BGP経路受信部とトラヒック情報受信部と相関性照合機能部を備え、
前記BGP経路受信部が、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積し、
前記トラヒック情報受信部が、トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積し、
前記相関性照合機能部が、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する、
ことを特徴とするBGPトラヒック変動監視方法。
【請求項7】
BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視システムであって、
BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信手段と、
トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信手段と、
時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能手段と、
を備えることを特徴とするBGPトラヒック変動監視システム。
【請求項1】
BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視装置であって、
BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信部と、
トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、
時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部と、
を備えることを特徴とするBGPトラヒック変動監視装置。
【請求項2】
請求項1に記載のBGPトラヒック変動監視装置において、
前記BGP経路受信部は、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類するBGP Update分類機能部を備えることを特徴とするBGPトラヒック変動監視装置。
【請求項3】
請求項1に記載のBGPトラヒック変動監視装置において、
前記BGP経路受信部は、BGP経路情報をルーティングテーブルとして管理するルーティング管理機能部を備え、
前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計するトラヒック集計機能部を備える
ことを特徴とするBGPトラヒック変動監視装置。
【請求項4】
請求項3に記載のBGPトラヒック変動監視装置において、
前記トラヒック集計機能部は、BGPの属性単位にトラヒック集計を行う際に、前記ルーティングテーブルの中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択することを特徴とするBGPトラヒック変動監視装置。
【請求項5】
請求項1に記載のBGPトラヒック変動監視装置において、
前記BGPトラヒック変動監視装置は、BGPの属性単位のトラヒック量の時系列変化と当該BGP属性が変化したことを示すBGP Updateメッセージの発生量の時系列変化を表示することを特徴とするBGPトラヒック変動監視装置。
【請求項6】
BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視装置におけるBGPトラヒック変動監視方法であって、
BGPトラヒック変動監視装置は、BGP経路受信部とトラヒック情報受信部と相関性照合機能部を備え、
前記BGP経路受信部が、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積し、
前記トラヒック情報受信部が、トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積し、
前記相関性照合機能部が、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する、
ことを特徴とするBGPトラヒック変動監視方法。
【請求項7】
BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視システムであって、
BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信手段と、
トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信手段と、
時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能手段と、
を備えることを特徴とするBGPトラヒック変動監視システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−109587(P2011−109587A)
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願番号】特願2009−265130(P2009−265130)
【出願日】平成21年11月20日(2009.11.20)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、総務省、「次世代バックボーンに関する研究開発」委託事業、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願日】平成21年11月20日(2009.11.20)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、総務省、「次世代バックボーンに関する研究開発」委託事業、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]