知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
特許5784447ネットワーク設定装置、VPN終端装置、ネットワーク設定方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5784447
(24)【登録日】2015年7月31日
(45)【発行日】2015年9月24日
(54)【発明の名称】ネットワーク設定装置、VPN終端装置、ネットワーク設定方法、及びプログラム
(51)【国際特許分類】
H04L 12/70 20130101AFI20150907BHJP
【FI】
H04L12/70 D
【請求項の数】7
【全頁数】22
(21)【出願番号】特願2011-218345(P2011-218345)
(22)【出願日】2011年9月30日
(65)【公開番号】特開2013-78088(P2013-78088A)
(43)【公開日】2013年4月25日
【審査請求日】2014年1月21日
【前置審査】
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】坪井 俊樹
(72)【発明者】
【氏名】佐藤 崇也
(72)【発明者】
【氏名】原田 誠
(72)【発明者】
【氏名】古澤 徹
(72)【発明者】
【氏名】浦畑 智行
(72)【発明者】
【氏名】上野 哲
(72)【発明者】
【氏名】薄井 正
(72)【発明者】
【氏名】渡邊 儀秀
(72)【発明者】
【氏名】今宿 亙
【審査官】
上田 翔太
(56)【参考文献】
【文献】
特開2007−201575(JP,A)
【文献】
特開2006−081086(JP,A)
【文献】
特開2008−263559(JP,A)
【文献】
特開2005−260594(JP,A)
【文献】
特開2005−057693(JP,A)
【文献】
特開2003−218910(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
バックボーンネットワークのエッジ装置間に構築された通信パスに収容して、VPN終端装置間でVPNトンネルが構築されるネットワークシステムにおいて、始点のユーザ拠点に接続された始点VPN終端装置から終点のユーザ拠点に接続された終点VPN終端装置へのVPNトンネルを前記ネットワークシステムに対して設定するネットワーク設定装置であって、
前記始点VPN終端装置からパケットを送出する出力インターフェースと、当該パケットの宛先アドレスである前記終点VPN終端装置のアドレスとを、前記VPNトンネルを収容する通信パスの種別毎に格納したVPN終端装置情報格納手段と、
ユーザにより指定された通信パスの種別に基づいて、前記VPN終端装置情報格納手段から当該種別に対応する前記始点VPN終端装置の出力インターフェースと、当該種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、当該アドレス、及び、ユーザから指定された前記終点のユーザ拠点のネットワーク識別情報を、ルーティングテーブル情報として前記始点VPN終端装置に設定する設定手段と、を備えるネットワーク設定装置であり、
前記始点VPN終端装置に接続されるエッジ装置は、1つのユーザ拠点の終点VPN終端装置に対して、通信パスの種別毎に異なるアドレスを保持するテーブルを備える
ことを特徴とするネットワーク設定装置。
前記始点VPN終端装置からパケットを送出する出力インターフェースと、当該パケットの宛先アドレスである前記終点VPN終端装置のアドレスとを、前記VPNトンネルを収容する通信パスの種別毎に格納したVPN終端装置情報格納手段と、
ユーザにより指定された通信パスの種別に基づいて、前記VPN終端装置情報格納手段から当該種別に対応する前記始点VPN終端装置の出力インターフェースと、当該種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、当該アドレス、及び、ユーザから指定された前記終点のユーザ拠点のネットワーク識別情報を、ルーティングテーブル情報として前記始点VPN終端装置に設定する設定手段と、を備えるネットワーク設定装置であり、
前記始点VPN終端装置に接続されるエッジ装置は、1つのユーザ拠点の終点VPN終端装置に対して、通信パスの種別毎に異なるアドレスを保持するテーブルを備える
ことを特徴とするネットワーク設定装置。
【請求項2】
前記始点VPN終端装置に接続されるエッジ装置には、通信パスと前記終点VPN終端装置のアドレスとを対応付けたテーブルが設定されており、
前記始点VPN終端装置は、前記始点のユーザ拠点からIPパケットを受信したときに、前記設定手段により設定されたルーティングテーブル情報を参照して、当該IPパケットの宛先IPアドレスに対応する前記アドレス及び出力インターフェースを決定し、当該IPパケットを含む前記アドレスを宛先アドレスとしたパケットを、前記出力インターフェースから前記エッジ装置に転送し、
前記パケットを受信した前記エッジ装置は、前記テーブルを参照し、当該パケットの宛先アドレスに対応する通信パスを決定して、当該パケットを転送する
ことを特徴とする請求項1に記載のネットワーク設定装置。
前記始点VPN終端装置は、前記始点のユーザ拠点からIPパケットを受信したときに、前記設定手段により設定されたルーティングテーブル情報を参照して、当該IPパケットの宛先IPアドレスに対応する前記アドレス及び出力インターフェースを決定し、当該IPパケットを含む前記アドレスを宛先アドレスとしたパケットを、前記出力インターフェースから前記エッジ装置に転送し、
前記パケットを受信した前記エッジ装置は、前記テーブルを参照し、当該パケットの宛先アドレスに対応する通信パスを決定して、当該パケットを転送する
ことを特徴とする請求項1に記載のネットワーク設定装置。
【請求項3】
前記終点VPN終端装置のアドレスはMACアドレスであり、前記始点VPN終端装置の出力インターフェースは、物理インターフェースの中のVLAN識別情報で識別されるサブインターフェースである
ことを特徴とする請求項1又は2に記載のネットワーク設定装置。
ことを特徴とする請求項1又は2に記載のネットワーク設定装置。
【請求項4】
前記ネットワーク設定装置に対し、前記通信パスの種別と異なる種別がユーザから指定された場合において、前記設定手段は、当該異なる種別に基づいて、前記VPN終端装置情報格納手段から当該異なる種別に対応する前記始点VPN終端装置の出力インターフェースと、当該異なる種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、及び当該アドレスで、前記始点VPN終端装置に既に設定されている出力インターフェース、及びアドレスを更新する
ことを特徴とする請求項1ないし3のうちいずれか1項に記載のネットワーク設定装置。
ことを特徴とする請求項1ないし3のうちいずれか1項に記載のネットワーク設定装置。
【請求項5】
請求項1ないし4のうちいずれか1項に記載のネットワーク設定装置により設定がされた前記始点VPN終端装置としてのVPN終端装置であって、
前記出力インターフェースのトラフィックを計測することにより、前記始点のユーザ拠点と前記終点のユーザ拠点間のトラフィックを計測するトラフィック計測手段
を備えたことを特徴とするVPN終端装置。
前記出力インターフェースのトラフィックを計測することにより、前記始点のユーザ拠点と前記終点のユーザ拠点間のトラフィックを計測するトラフィック計測手段
を備えたことを特徴とするVPN終端装置。
【請求項6】
バックボーンネットワークのエッジ装置間に構築された通信パスに収容して、VPN終端装置間でVPNトンネルが構築されるネットワークシステムにおいて、始点のユーザ拠点に接続された始点VPN終端装置から終点のユーザ拠点に接続された終点VPN終端装置へのVPNトンネルを前記ネットワークシステムに対して設定するネットワーク設定装置が実行するネットワーク設定方法であって、
前記始点VPN終端装置からパケットを送出する出力インターフェースと、当該パケットの宛先アドレスである前記終点VPN終端装置のアドレスとを、前記VPNトンネルが利用する通信パスの種別毎に、VPN終端装置情報格納手段に格納する格納ステップと、
ユーザにより指定された通信パスの種別に基づいて、前記VPN終端装置情報格納手段から当該種別に対応する前記始点VPN終端装置の出力インターフェースと、当該種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、当該アドレス、及び、ユーザから指定された前記終点のユーザ拠点のネットワーク識別情報を、前記始点VPN終端装置に設定する設定ステップと、を備えるネットワーク設定方法であり、
前記始点VPN終端装置に接続されるエッジ装置は、1つのユーザ拠点の終点VPN終端装置に対して、通信パスの種別毎に異なるアドレスを保持するテーブルを備える
ことを特徴とするネットワーク設定方法。
前記始点VPN終端装置からパケットを送出する出力インターフェースと、当該パケットの宛先アドレスである前記終点VPN終端装置のアドレスとを、前記VPNトンネルが利用する通信パスの種別毎に、VPN終端装置情報格納手段に格納する格納ステップと、
ユーザにより指定された通信パスの種別に基づいて、前記VPN終端装置情報格納手段から当該種別に対応する前記始点VPN終端装置の出力インターフェースと、当該種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、当該アドレス、及び、ユーザから指定された前記終点のユーザ拠点のネットワーク識別情報を、前記始点VPN終端装置に設定する設定ステップと、を備えるネットワーク設定方法であり、
前記始点VPN終端装置に接続されるエッジ装置は、1つのユーザ拠点の終点VPN終端装置に対して、通信パスの種別毎に異なるアドレスを保持するテーブルを備える
ことを特徴とするネットワーク設定方法。
【請求項7】
コンピュータを、請求項1ないし4のうちいずれか1項に記載のネットワーク設定装置の各手段として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、仮想閉域網(VPN)において容易にVPNトンネルが利用する通信パスを切り替えることを可能としたネットワーク設定技術に関連するものである。
【背景技術】
【0002】
VPN技術の一例として、近年、MPLS(Multi-Protocol Label Switching)を用いて広域イーサネット(登録商標)サービスを実現するVPLS(Virtual Private LAN Service)技術が使われ始めている。図1(a)に、VPLSを用いたネットワーク構成の一例を示す。
【0003】
図1(a)に示すネットワークは、通信事業者(プロバイダ)側の通信装置であるPE(provider edge)装置10、20、30と、ユーザの拠点側の通信装置であるCE(customer edge)装置40、50、60が通信路で接続されて構成されている。図1(a)の例では、CE装置40にユーザ端末Aが接続され、CE装置50にユーザ端末Bが接続され、CE装置60にユーザ端末Cが接続されている。各CE装置はIPパケットのルーティングを行うルータである。各PE装置は、MACアドレスによるパケットのスイッチングを行い、MPLSの論理パス(LSP:Label Switched Path)をトンネルとして用いて転送を行う等の機能を備える装置である。なお、本明細書及び特許請求の範囲において、"パケット"の用語は"フレーム"等を含む広い意味で使用するものとするが、以下の従来技術の説明及び実施の形態の説明では、ほとんどの場合、"パケット"はイーサフレームであり、特定の種類のパケットを指す場合は、"IPパケット"や"MPLSパケット"のような記述としている。
【0004】
各装置には、図1(a)に示すとおりのIPアドレス、及びMACアドレスが割り当てられている。例えば、CE装置40におけるインターフェース(物理インターフェース):eth0にMACアドレス:2222、及びIPアドレス:192.168.0.1が割り当てられ、eth1にMACアドレス:αααα、及びIPアドレス:172.16.0.1が割り当てられている。また、図1(a)に示すように、各CE装置は、ルーティングテーブルを備えている。ここで示すルーティングテーブルは、MPLSバックボーン側へのルーティングを行う際のものである。
【0005】
通信事業者側のMPLSバックボーン70において、PE装置間は、LSPでフルメッシュ接続されている。
【0006】
図1(a)に示すネットワークにおいて、PE装置間を接続したMPLSバックボーン70は、様々なユーザのトラフィックを通す公衆のネットワークであるが、PE装置では、ユーザ拠点から送出されるパケットをMPLSラベルでカプセリングして対向PE装置にMPLSパケット転送される。PE装置間ではユーザを一意に識別できるようMPLSラベル値が厳密に管理されているため、ユーザ通信の秘密性が担保される。CE装置間を接続して構成されたネットワークはユーザからは、そのユーザ専用のIPの閉域網に見える。ただし、この閉域網は、公衆のネットワークを利用する仮想的なものであるから、これを仮想閉域網(VPN:Virtual Private Networkとも表記する)80と呼ぶ。
【0007】
以下、図1(b)のシーケンス図を参照して、図1(a)に示すネットワークで、ユーザ端末Aからユーザ端末BにIPパケット通信を行う場合の動作例を説明する。
【0008】
ステップ1)ユーザ端末Aは、宛先IPアドレスとしてユーザ端末BのIPアドレスを有するIPパケットを含むパケットを、ユーザ端末AのデフォルトゲートウェイであるCE装置40に送出する。
【0009】
ステップ2)ユーザ端末Aからパケットを受信したCE装置40は、ルーティングテーブルを参照し、ネクストホップのIPアドレスが172.16.0.2であることを把握し、ARPにより、ネクストホップ(172.16.0.2)のMACアドレスがββββであることを把握する。
【0010】
ステップ3)CE装置40は、上記IPパケットを含む、宛先MACアドレスをββββとしたパケットを、eth1に接続されたPE装置10に送信する。
【0011】
ステップ4)この時点で、PE装置10が、MACアドレス:ββββと、パケットを出力すべきインターフェースとの対応を学習済みである場合、この対応に基づいて、CE装置40から受信したパケットをMPLSカプセル化(LSPのラベルを付すること)して対向PE装置20向けに転送する。なお、この時点で、MAC学習がされていない場合(例えば、学習テーブルの内容がタイムアウトで削除された場合など)、PE装置10は、全てのLSPにパケットをフラッディングすることで、MACアドレス:ββββに対応するインターフェース(使用すべきLSP)を学習する。
【0012】
ステップ5)MPLSパケットを受信したPE装置20は、MPLSパケットからMPLSカプセルを除去して得られたパケットをCE装置50に転送する。
【0013】
ステップ6)CE装置50は、IPパケットをユーザ端末Bに転送する。
【0014】
上記のように、MPLSバックボーンの各PE装置はユーザごとのMACアドレスの学習テーブルを持つことで、どのLSPにどのMACアドレス宛のパケットをフォワードすればよいかを決定する。パケットは、LSPでトンネル転送され、中継区間(複数のプロバイダ装置(以下、P装置と呼ぶ)を経由)ではラベルだけを見て転送を行う。
【先行技術文献】
【特許文献】
【0015】
【特許文献1】特開2004−274142号公報
【発明の概要】
【発明が解決しようとする課題】
【0016】
図2は、図1(a)に示したネットワークにおいて、特にMPLSバックボーン70の部分の物理構成例を詳細に示した図である。図2の例では、4つのP装置91、92、93、94を含み、図示するように互いに接続されている。この構成では、例えば、PE装置10からPE装置20へのパス(LSP)を設定する場合、どのP装置を経由するかで様々な経路を取り得る。
【0017】
通信事業者がパスの品質クラスを設定し、ユーザの希望に応じた品質クラスのパスを設定するサービスがある。品質クラスとしては、例えば、高品質、及び一般品質がある。高品質パスは、例えば、低遅延の最適経路を通るパスであり、一般品質パスは、例えば、高品質パスの経路以外の経路を通るパスであり、IPルーティング制御に依存した経路選定がされるパスである。
【0018】
一例として、図2において、PE装置10−>P装置91−>P装置92−>PE装置20の経路を通るLSP1を高品質LSPとし、PE装置10−>P装置93−>P装置94−>P装置92−>PE装置20の経路を通るLSP2を一般品質LSPとする。
【0019】
ここで、CE装置40、50間のVPNトンネルが、一般品質LSP2を用いて設定されている状態にあるものとし、VPNトンネルのユーザが、VPNトンネルで重要な通信を行う必要が生じ、より通信の品質を高めるために、VPNトンネルを一般品質LSP2経由から高品質LSP1経由に変更することを要望したとする。
【0020】
従来技術では、この場合、VPNトンネルのユーザは、MPLSバックボーン70を管理する通信事業者にLSP経路の変更を申し込み、通信事業者は、上記ユーザのVPNトンネルが高品質LSP1を経由するように各PE装置の設定変更を行うことになる。
【0021】
このように、従来技術では、VPNにおいて使用されるパスの経路を変更するのに面倒な手続きを要し、迅速に変更できないという問題があった。更に、従来技術には以下のような問題もある。
【0022】
一般にルータやスイッチ等の通信装置では、物理インターフェース単位、サブインターフェース(vlan)単位でのトラフィック計測機能を備えている。しかし、これらのインターフェース上には様々な拠点間のトラフィックが流れるため、これらのインターフェースのトラフィックを測定したのでは特定の2拠点間のトラフィックを計測することができない。
【0023】
そこで、図1、図2に示した構成において、例えば、ユーザ拠点Aにおけるユーザ拠点Bとの間の通信トラフィックを計測する場合、従来技術では、ユーザ拠点Aに含まれる通信装置のIPアドレス毎に、ユーザ拠点Bに含まれる各通信装置のIPアドレスに対するトラフィック量を計測し、計測したトラフィック量を集計する必要があった。しかし、各ユーザ拠点で通信を行う通信装置のIPアドレスを正確に把握することは一般に困難である。例えば、IPアドレスを管理していない未知の通信装置がユーザ拠点のネットワークに組み込まれ、通信が開始されることは頻繁に起こり得る。その場合、当該通信装置に係るトラフィック量は計測に反映されないことになる。このように、従来技術ではユーザ拠点間のトラフィック量を正確に測定することが困難であるという問題があった。
【0024】
本発明は上記の点に鑑みてなされたものであり、VPNトンネルが利用する通信パスを容易に変更することを可能とした技術を提供することを目的とする。また、本発明は、VPNにおいてユーザ拠点間のトラフィックを簡易かつ正確に測定することを可能とする技術を提供することも目的としている。
【課題を解決するための手段】
【0025】
上記の課題を解決するために、本発明は、バックボーンネットワークのエッジ装置間に構築された通信パスに収容して、VPN終端装置間でVPNトンネルが構築されるネットワークシステムにおいて、始点のユーザ拠点に接続された始点VPN終端装置から終点のユーザ拠点に接続された終点VPN終端装置へのVPNトンネルを前記ネットワークシステムに対して設定するネットワーク設定装置であって、前記始点VPN終端装置からパケットを送出する出力インターフェースと、当該パケットの宛先アドレスである前記終点VPN終端装置のアドレスとを、前記VPNトンネルを収容する通信パスの種別毎に格納したVPN終端装置情報格納手段と、
ユーザにより指定された通信パスの種別に基づいて、前記VPN終端装置情報格納手段から当該種別に対応する前記始点VPN終端装置の出力インターフェースと、当該種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、当該アドレス、及び、ユーザから指定された前記終点のユーザ拠点のネットワーク識別情報を、ルーティングテーブル情報として前記始点VPN終端装置に設定する設定手段とを備えることを特徴とするネットワーク設定装置として構成される。
【0026】
前記始点VPN終端装置に接続されるエッジ装置には、通信パスと前記終点VPN終端装置のアドレスとを対応付けたテーブルが設定されており、前記始点VPN終端装置は、前記始点のユーザ拠点からIPパケットを受信したときに、前記設定手段により設定されたルーティングテーブル情報を参照して、当該IPパケットの宛先IPアドレスに対応する前記アドレス及び出力インターフェースを決定し、当該IPパケットを含む前記アドレスを宛先アドレスとしたパケットを、前記出力インターフェースから前記エッジ装置に転送し、前記パケットを受信した前記エッジ装置は、前記テーブルを参照し、当該パケットの宛先アドレスに対応する通信パスを決定して、当該パケットを転送するように動作する。
【0027】
また、例えば、前記終点VPN終端装置のアドレスはMACアドレスであり、前記始点VPN終端装置の出力インターフェースは、物理インターフェースの中のVLAN識別情報で識別されるサブインターフェースである。
【0028】
前記ネットワーク設定装置に対し、前記通信パスの種別と異なる種別がユーザから指定された場合においては、前記設定手段は、当該異なる種別に基づいて、前記VPN終端装置情報格納手段から当該異なる種別に対応する前記始点VPN終端装置の出力インターフェースと、当該異なる種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、及び当該アドレスで、前記始点VPN終端装置に既に設定されている出力インターフェース、及びアドレスを更新する。
【0029】
また、本発明は、前記ネットワーク設定装置により設定がされた前記始点VPN終端装置としてのVPN終端装置であって、前記出力インターフェースのトラフィックを計測することにより、前記始点のユーザ拠点と前記終点のユーザ拠点間のトラフィックを計測するトラフィック計測手段を備えたことを特徴とするVPN終端装置として構成することもできる。
【0030】
また、本発明は、バックボーンネットワークのエッジ装置間に構築された通信パスに収容して、VPN終端装置間でVPNトンネルが構築されるネットワークシステムにおいて、始点のユーザ拠点に接続された始点VPN終端装置から終点のユーザ拠点に接続された終点VPN終端装置へのVPNトンネルを前記ネットワークシステムに対して設定するネットワーク設定装置が実行するネットワーク設定方法であって、前記始点VPN終端装置からパケットを送出する出力インターフェースと、当該パケットの宛先アドレスである前記終点VPN終端装置のアドレスとを、前記VPNトンネルが利用する通信パスの種別毎に、VPN終端装置情報格納手段に格納する格納ステップと、
ユーザにより指定された通信パスの種別に基づいて、前記VPN終端装置情報格納手段から当該種別に対応する前記始点VPN終端装置の出力インターフェースと、当該種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、当該アドレス、及び、ユーザから指定された前記終点のユーザ拠点のネットワーク識別情報を、前記始点VPN終端装置に設定する設定ステップとを備えることを特徴とするネットワーク設定方法として構成することもできる。
【0031】
また、本発明は、コンピュータを、前記ネットワーク設定装置の各手段として機能させるためのプログラムとして構成することもできる。
【発明の効果】
【0032】
本発明によれば、通信事業者による設定作業が介在することなく、例えば、ユーザ自らの設定作業により、迅速に、VPNトンネルを収容する通信パスを容易に変更することを可能とした技術を提供することが可能となる。また、本発明により、VPN終端装置の出力インターフェースのトラフィック計測手段を備えることで、VPNにおいてユーザ拠点間のトラフィック量を簡易かつ正確に測定することが可能となる。
【図面の簡単な説明】
【0033】
【図1】従来技術を説明するための図である。
【図2】従来技術を説明するための図である。
【図3】本発明の実施の形態に係るネットワーク構成例を示す図である。
【図4】本発明の実施の形態に係るVPN終端装置の機能構成例を示す図である。
【図5】本発明の実施の形態に係るMACルーティングテーブルの一例を示す図である。
【図6】本発明の実施の形態に係るPE装置の機能構成例を示す図である。
【図7】本発明の実施の形態に係るMAC学習テーブルの一例を示す図である。
【図8】本発明の実施の形態に係るパケット転送処理を説明するための図である。
【図9】本発明の実施の形態に係るNWオペレーション装置の機能構成例を示す図である。
【図10】本発明の実施の形態に係るネットワーク設定方法を説明するための図である。
【図11】本発明の実施の形態に係るネットワーク設定方法を説明するための図である。
【図12】本発明の実施の形態に係るネットワーク設定方法を説明するための図である。
【図13A】NWオペレーション装置におけるテーブル設定例を示す図である。
【図14】本発明の実施の形態の変形例を説明するための図である。
【発明を実施するための形態】
【0034】
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0035】
(システム構成)図3に、本発明の実施の形態に係るVPNを含むネットワーク構成例を示す。図3に示すように、本実施の形態に係るネットワークは、PE装置201、202とVPN終端装置101、102とが通信路で接続されて構成されている。また、VPN終端装置101にユーザ端末Xが接続され、VPN終端装置102にユーザ端末Yが接続されている。各VPN終端装置は、図1(a)に示したCE装置と比べて、同じネットワーク上の位置に配置され、IPパケットのルーティングを行う点で共通するが、それらの機能には異なる点がある。また、各PE装置については、通信処理に関しては図1(a)に示したPE装置と同じであるが、MAC学習テーブルの設定方法が異なる。詳細については後述する。
【0036】
図3に示すように、VPN終端装置101、102によりVPN400が構成され、PE装置201、202によりMPLSバックボーン300が構成されている。なお、図3では、VPN終端装置101、102、PE装置201、202しか示していないが、これらは例を示しているに過ぎず、実際には多数の装置が存在してよい。
【0037】
また、図3に示すように、本実施の形態では、NWオペレーション装置500が通信ネットワーク600に接続され、各VPN終端装置、及び各PE装置と通信可能になっている。
【0038】
図4に、本実施の形態に係るVPN終端装置101の機能構成例を示す。他のVPN終端装置も同じ機能構成を有する。図4に示すように、VPN終端装置101は、ユーザ側パケット処理部110、プロバイダ側パケット処理部120、及びインターフェース131、132、トラフィック計測部140を有する。なお、図4の例では、ユーザ側及びプロバイダ(通信事業者)側のインターフェースの数をそれぞれ1つとしているが、これは一例に過ぎず、それぞれ複数であってよい。また、各インターフェースは、VLANによるサブインターフェースを設定可能である。
【0039】
ユーザ側パケット処理部110は、ユーザ側の装置から受信したパケット、及びプロバイダ側パケット処理部120から受信したパケットを、通常のIPルーティング処理により転送する機能部である。例えば、パケットの宛先IPアドレスが同一拠点内のユーザ側ネットワークのIPアドレスであれば当該パケットはユーザ側に転送され、パケットの宛先IPアドレスが異なる拠点のユーザ側ネットワークのIPアドレスであれば、当該パケットはプロバイダ側パケット処理部120に渡される。なお、異なる拠点でのユーザ側ネットワーク情報に関わるルーティング管理として、デフォルトルーティングを使用してもよい。また、ユーザ側パケット処理部110をVPN終端装置101から分離し、VPN終端装置101と接続される別の装置としてユーザのネットワーク内に備えることとしてもよい。
【0040】
プロバイダ側パケット処理部120は、MACルーティングテーブル設定指示受信部121、MACルーティングテーブル格納部122、及びパケット転送処理部123を備える。
【0041】
MACルーティングテーブル設定指示受信部121は、NWオペレーション装置500からMACルーティングテーブルの設定情報(エントリ)を含む設定指示を受信し、受信した設定情報をMACルーティングテーブルのエントリとして、MACルーティングテーブル格納部122に格納する機能部である。MACルーティングテーブル格納部122はMACルーティングテーブルを格納する。
【0042】
図5に、本実施の形態に係るMACルーティングテーブルの一例を示す。図5に示すように、MACルーティングテーブルは、宛先ネットワークを識別するIPサブネットワーク情報、ネクストホップのMACアドレス、及び、パケットを出力するインターフェースを対応付けたテーブルである。なお、図5に示す情報に加えて、宛先ネットワーク毎のメトリック(metric)情報を入れてもよい。また、図5における"eth1.vlan1"は、インタフェース"eth1"に、VLANによるサブインタフェース"vlan1"が設定されたことを意味している。
【0043】
図4に戻り、パケット転送処理部123は、プロバイダ側の装置であるPE装置201に接続されるインターフェース132を介して受信したパケット、及びユーザ側パケット処理部110から受信したパケットを、MACルーティングテーブル格納部122に格納されたテーブル情報に従って転送する機能部である。
【0044】
本実施の形態では、テーブルの設定情報をNWオペレーション装置500から受信し、格納することとしているが、VPN終端装置101に接続される操作端末からMACルーティングテーブル設定指示受信部121を介して設定情報を受け取り、MACルーティングテーブル格納部122に格納することとしてもよい。
【0045】
本実施の形態におけるトラフィック計測部140は、接続されるPE装置との間で送受信されるトラフィックをvlan単位で計測する機能を備える。トラフィックの計測値は、例えば、随時、NWオペレーション装置500等に通知することとしてもよいし、VPN終端装置101内のメモリ等の記憶手段に蓄積しておき、外部からの命令に従って読み出されるようにしてもよい。
【0046】
図6に、PE装置201の機能構成例を示す。他のPE装置も同様の構成を有する。図6に示すように、PE装置201は、MAC学習テーブル設定指示受信部210、MAC学習テーブル格納部220、パケット転送処理部230、インターフェース241、242を備える。なお、図6の例では、VPN終端装置側及びMPLSバックボーン側のインターフェースの数をそれぞれ1つとしているが、これは一例に過ぎず、それぞれ複数であってよい。また、PE装置201のインターフェース241には、接続先のVPN終端装置で設定されたVLAN−IDが設定されている。
【0047】
なお、本実施の形態では、本発明に係る技術を分かり易くするために、PE装置201の機能構成やテーブルの内容、及びその動作を1つのVPNユーザに関するものとして説明するが、実際にはPE装置201は複数のユーザを収容可能である。そのために、例えば、パケット転送処理部230及びMAC学習テーブル格納部220をユーザ毎に備える構成とすることができる。この構成では、例えば、受信パケットにおける所定の情報(ユーザを識別可能な情報)でユーザを識別し、当該ユーザに対応するパケット転送処理部230に受信パケットを振り分け、当該パケット転送処理部230が転送処理を行う。パケット転送処理部230がパケットをLSPに転送する際には、LSPに対応するラベルに加えて、識別されたユーザに対応するラベルを付加することとしてもよい。
【0048】
また、このような構成に代えて、MAC学習テーブル格納部220内にユーザ毎のテーブルを備えることとしてもよい。この場合、パケット転送処理部230は、受信パケットのユーザに対応するテーブルを参照することにより転送処理を行う。
【0049】
ユーザを識別して転送処理を行うための構成は、上記のものに限られるわけではなく、上記以外にも種々の構成をとることが可能である。
【0050】
MAC学習テーブル設定指示受信部210は、NWオペレーション装置500からMAC学習テーブルの設定情報(エントリ)を含む設定指示を受信し、受信した設定情報をMAC学習テーブルのエントリとして、MAC学習テーブル格納部220に格納する機能部である。MAC学習テーブル格納部220はMAC学習テーブルを格納する。
【0052】
図6に戻り、パケット転送処理部230は、各インターフェースを介して受信したパケットを、MAC学習テーブル格納部242に格納されたテーブル情報に従って転送する機能部である。パケット転送処理部230は、MPLSの機能を備え、他のPE装置にパケットを転送する場合は、MPLSのカプセリングを行ってパケットの転送を行う。すなわち、パケット転送処理部230は、他のPE装置にパケットを転送する場合、転送先に対応するLSPのトンネルを介してパケットを転送する。本実施の形態では、LSPへの転送については、MAC学習テーブルにおける「インターフェース」としてLSPの識別情報が記録されている。イーサ回線への転送については、「インターフェース」としてイーサの物理インターフェースの識別情報(eth0など)が記録される。
【0053】
なお、VPN終端装置101の場合と同様に、本実施の形態では、テーブルの設定情報をNWオペレーション装置500から受信し、設定を行うこととしているが、PE装置201に接続される操作端末からMAC学習テーブル設定指示受信部210を介して設定情報を受け取り、MAC学習テーブル格納部220に格納することとしてもよい。
【0054】
VPN終端装置101の各機能部は、コンピュータの構成(CPU,メモリ等を含む)を備える通信装置に、各機能部に対応するプログラムを実行させることにより実現できる。同様に、PE装置201の各機能部は、コンピュータの構成(CPU,メモリ等を含む)を備える通信装置に、各機能部に対応するプログラムを実行させることにより実現できる。また、VPN終端装置101、PE装置201の全部又は一部の機能をハードウェアロジック回路で実現してもよい。
【0055】
上記プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。
【0056】
NWオペレーション装置500の機能構成については、ネットワーク設定動作の説明の直前で説明することとする。
【0057】
(システムの動作)本発明の実施の形態に係るネットワークの設定方法について説明する前に、まず、図8(a)、(b)を参照して本実施の形態に係るネットワークのパケットの転送処理動作について説明する。図8(a)は、図3に示したネットワークをより具体的に示した図である。図8(a)に示すように、本例では、VPN終端装置101、102、103を含み、PE装置201、202を含む。VPN終端装置101にユーザ端末A(拠点:大阪)が接続され、VPN終端装置102にユーザ端末B(拠点:東京)が接続され、VPN終端装置103にユーザ端末C(拠点:静岡)が接続されている。PE装置201、202間は図示するようにP装置151〜154が存在し、高品質パスであるLPS1がPE装置201−>P装置151−>P装置153−>PE装置202の経路で設定され、一般品質パスであるLPS2がPE装置201−>P装置152−>P装置154−>PE装置202の経路で設定されている。
【0058】
各装置には、図8(a)に示すとおりのIPアドレス、及びMACアドレスが割り当てられている。また、既に各装置のテーブル設定が完了しているものとし、各装置に、図示するテーブルの情報が設定されているものとする。なお、図8(a)には、主要なテーブル情報のみを示している。 以下、図8(b)のシーケンス図を参照して、図8(a)に示すネットワークで、ユーザ端末Aからユーザ端末BにIPパケット通信を行う場合の動作例を示す。以下の説明においては図4、図6に示した構成の中の機能部を適宜参照して説明に用いる。また、本例では、ユーザ端末A(大阪)からユーザ端末B(東京)への通信は、高品質パス(LSP1)を経由するよう設定がなされているので、当該通信は高品質パス(LSP1)を経由する。
【0059】
ステップ101)ユーザ端末Aは、宛先IPアドレスとしてユーザ端末BのIPアドレスを有するIPパケットを含むパケットを、ユーザ端末AのデフォルトゲートウェイであるVPN終端装置101に送出する。
【0060】
ステップ102)ユーザ端末Aからパケットを受信したVPN終端装置101において、ユーザ側パケット処理部110は、IPパケットの宛先IPアドレスは、ユーザ拠点Aでないユーザ拠点BのネットワークのIPアドレスであると判断し、受信したパケットをプロバイダ側パケット処理部120に渡す。
【0061】
プロバイダ側パケット処理部120におけるパケット転送処理部123は、MACルーティングテーブル格納部122を参照し、宛先IPアドレス(192.168.1.B)に対応するネクストホップのMACアドレスがβββ1であり、パケットを出力するインターフェースがeth1.vlan1であることを把握する。そして、パケット転送処理部123は、送信元MACアドレスをeth1.vlan1に対応するααα1とし、宛先MACアドレスをβββ1としたパケットをeth1.vlan1のインターフェース(eth1の中のサブインターフェースvlan1)から送出する。
【0062】
ステップ103)VPN終端装置101からパケットを受信したPE装置201において、パケット転送処理部230が、MAC学習テーブル格納部220を参照し、宛先MACアドレス(βββ1)に対応するインターフェースがLSP1であることを把握する。つまり、MACアドレス(βββ1)宛てにパケットを送信するために、LSP1でパケットを転送することを決定する。そして、パケット転送処理部230は、パケットをLSP1を介して送出する。より具体的には、パケット転送処理部230は、パケットをLSP1に対応するラベルでカプセリングし、LSP1に対応する物理インターフェースから当該カプセリングがされたパケット(これをMPLSパケットと呼ぶ)を送出する。
【0063】
ステップ104)PE装置201から送出されたMPLSパケットはPE装置202に届く。PE装置202は、MPLSパケットをデカプセリングし、デカプセリングで取り出されたパケットを、MAC学習テーブルに基づいて、対向のVPN終端装置102に送信する。
【0064】
ステップ105)パケットを受信したVPN終端装置102において、プロバイダ側パケット処理部120におけるパケット転送処理部123は、MACルーティングテーブルに基づいて、パケットをユーザ側パケット処理部110に渡し、ユーザ側パケット処理部110は、通常のIPルーティング処理により、IPパケットをユーザ端末Bに送信する。
【0065】
(NWオペレーション装置の構成例)図9に、本発明の実施の形態に係るNWオペレーション装置500の機能構成例を示す。図9に示すように、NWオペレーション装置500は、対ユーザオペレーション機能提供部510、ユーザ拠点情報テーブル格納部520、拠点間品質クラス情報テーブル格納部530、VPN終端装置情報テーブル格納部540、MACルーティングテーブル情報生成部550、対通信装置設定指示送信部560、プロバイダ側入出力部570を備える。
【0066】
対ユーザオペレーション機能提供部510は、ユーザに対してテーブル設定等のオペレーション機能を提供する機能部であり、例えば、メニュー形式のユーザ入力画面を表示する。また、PC等の端末からネットワークを介して対ユーザオペレーション機能提供部510にアクセスし、対ユーザオペレーション機能提供部510が、ユーザ入力画面をWebページとしてPCに提供してもよい。
【0067】
ユーザ拠点情報テーブル格納部520は、ユーザ拠点情報テーブルを格納する機能部である。拠点間品質クラス情報テーブル格納部530は、拠点間品質クラス情報テーブルを格納する機能部である。VPN終端装置情報テーブル格納部540は、VPN終端装置情報テーブルを格納する機能部である。これらの格納部に格納されるテーブルの内容については後述する。
【0068】
MACルーティングテーブル情報生成部550は、対ユーザオペレーション機能提供部510を介したユーザからの指示に基づき、各格納部に格納された情報に基づいて、MACルーティングテーブルの設定情報を生成し、生成した設定情報を対通信装置設定指示送信部560に渡す機能部である。対通信装置設定指示送信部560は、設定情報の設定指示を、設定対象とする通信装置に送信・設定する機能部である。
【0069】
プロバイダ側入出力部570は、プロバイダ側で設定が必要なテーブル情報等を入力するための機能部である。
【0070】
NWオペレーション装置500の各機能部は、コンピュータ(CPU,メモリ等を含む)に、各機能部に対応するプログラムを実行させることにより実現できる。当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。
【0071】
なお、本実施の形態で説明する例では、技術を分かり易くするために、1ユーザがNWオペレーション装置500を利用してネットワークの設定及び変更を行う例を示しているが、実際には、NWオペレーション装置500は、複数ユーザに利用され、複数ユーザの各々が自分のネットワークの設定及び変更を行うことができるように構成されている。
【0072】
(ネットワーク設定動作例)以下、図8に示したネットワーク構成において、どのような手順でテーブル情報が設定されるかについて説明する。以下では、説明を分かり易くするために、特定のユーザ(Aユーザとする)の大阪から東京向けの通信に関わる部分について説明する。また、以下では、各装置に対するアドレス設定,VLAN設定およびVPLS設定は既に完了しているものとする。また、以下の説明で図示するNWオペレーション装置500の構成は、該当する処理に関係する部分のみを示している。
【0073】
まず、大阪から東京へのVPNトンネルの開通時の設定手順を説明する。この設定手順では、最初にプロバイダ側でデータ設定を行い、次にユーザ側でデータ設定を行う。
【0074】
図10は、プロバイダ側で行うデータ設定工程を説明するための図である。図10に示すように、プロバイダ側のデータ設定工程では、PE装置201とPE装置202におけるMAC学習テーブルの設定がなされる。すなわち、図10に示すように、PE装置201においては、宛先MACアドレス:βββ1に対してインターフェース:LSP1が対応付けられ、宛先MACアドレス:βββ2に対してインターフェース:LSP2が対応付けられる設定がなされる。PE装置202においては、宛先MACアドレス:βββ1に対してインターフェース:eth0.vlan1が対応付けられ、宛先MACアドレス:βββ2に対してインターフェース:eth0.vlan2が対応付けられる設定がなされる。これらの設定は、NWオペレーション装置500から行ってもよいし、各PE装置に接続される操作端末から行ってもよい。
【0075】
また、NWオペレーション装置500におけるプロバイダ側入出力部570から、プロバイダ側のオペレータにより、ユーザ拠点情報テーブルの一部及びVPN終端装置情報テーブルの設定がなされる。図10に示すとおり、ユーザ拠点情報テーブルには、Aユーザの拠点が大阪と東京であることが設定される。また、VPN終端装置情報テーブルには、拠点名、品質クラス、MACアドレス、VLAN−IDが対応付けて設定される。例えば、「東京」において、高品質パスに対応するMACアドレスがβββ1であり、VLAN−IDがvlan1であることが設定される。なお、本実施の形態では、VPN終端装置とPE装置間は、物理リンク1本で接続されていることを想定しているため、VPN終端装置とPE装置間の物理インターフェースはそれぞれ1つに固定される。従って、VPN終端装置情報テーブルにはVLAN−IDの情報があればよい。
【0076】
また、大阪から東京向けのVPNトンネル構築のためには、VPN終端装置情報テーブルには、始点(大阪)のVPN終端装置101からパケットを送出する出力インターフェース(VLAN−ID)と、出力インターフェースに付与されたMACアドレス(当該パケットの宛先MACアドレスである終点(東京)のVPN終端装置102のMACアドレスを含む)とを、VPNトンネルを収容する通信パス(LSP)の種別毎(高品質、一般品質)に格納していればよい。
【0077】
図11は、ユーザ側で行うデータ設定工程を説明するための図である。ここでは、Aユーザ側のオペレータ(以下、単にユーザと呼ぶ)が、対ユーザオペレーション機能提供部510により表示されるユーザ入力画面を利用して、拠点間品質クラス情報テーブル及びユーザ拠点情報テーブルにおける情報を入力することにより、図示するとおりの設定を行う。図11では、ユーザにより設定された情報がどれかを分かり易くするために、当該情報に下線を引いてある。図11に示すように、拠点間品質クラス情報テーブルに、送信元拠点が大阪であり、宛先拠点が東京であり、品質クラスが一般品質であることが設定される。また、ユーザ拠点情報テーブルには、大阪のサブネットが192.168.0.0/24であり、東京のサブネットが192.168.1.0/24であることが設定される。
【0078】
上記の各テーブルへの設定が完了すると、ユーザは対ユーザオペレーション機能提供部510により表示されるユーザ入力画面から、MACルーティングテーブル設定指示を行う。MACルーティングテーブル設定指示は、NWオペレーション装置500のMACルーティングテーブル情報生成部550が受信する。
【0079】
MACルーティングテーブル設定指示を受信したMACルーティングテーブル情報生成部550は、ユーザ拠点情報テーブル格納部520、拠点間品質クラス情報テーブル格納部530、及びVPN終端装置情報テーブル格納部540に格納されたテーブル情報からMACルーティングテーブル情報を自動的に生成し、対通信装置設定指示送信部560が、当該MACルーティングテーブル情報を設定する設定指示をVPN終端装置101に送信する。
【0080】
これにより、VPN終端装置101には、図示するとおりのMACルーティングテーブルが設定される。まず、拠点間品質クラス情報テーブルより、送信元拠点「大阪」を取得することにより、MACルーティングテーブルの設定先VPN終端装置を特定する。さらに、宛先拠点「東京」を取得することにより、MACルーティングテーブルにエントリすべき宛先ネットワークの把握を行う。この把握方法については、MACルーティングテーブル情報生成部550が、ユーザ拠点情報テーブルから、東京拠点のサブネット「192.198.1.0/24」を取得するものである。また、拠点間品質クラス情報テーブルから、品質クラスが「一般品質」であることを把握し、VPN終端装置情報テーブルから、「一般品質」に対応する宛先拠点(東京)のMACアドレス「βββ2」を宛先MACアドレス(NextHop)として取得し、更に、「一般品質」に対応する送信元拠点(大阪)側のMACアドレス「ααα2」を送信元MACアドレスとして取得すると共に、出力インターフェース(VLAN−ID)である「vlan2」を取得し、これらを対応付けた情報をMACルーティングテーブル情報として生成し、VLAN終端装置101に設定する。前述したように、本例では、VPN終端装置101とPE装置201間の物理リンクは1本であるから、VPN終端装置101におけるPE装置201側のインターフェースが「eth1」として1つに定まっているので、インターフェースが「eth1.vlan2」である図示するMACルーティングテーブルが得られる。
【0081】
(品質クラスの設定変更時の動作) 上述した手順で大阪から東京への一般品質でのVPNトンネルが設定された後、ユーザが品質クラスを一般品質から高品質に変更する場合の手順を図12を参照して以下に説明する。
【0082】
この場合、プロバイダ側のデータ設定は不要であり、ユーザ側のみでデータ設定を行えばよい。
【0083】
ユーザは、NWオペレーション装置500の対ユーザオペレーション機能提供部510により表示されるユーザ入力画面を利用して、拠点間品質クラス情報テーブルにおける大阪から東京への通信の品質クラスを「一般品質」から「高品質」に変更する。変更の後、ユーザは対ユーザオペレーション機能提供部510により表示されるユーザ入力画面から、MACルーティングテーブル設定指示を行う。MACルーティングテーブル設定指示は、NWオペレーション装置500のMACルーティングテーブル情報生成部550が受信する。
【0084】
MACルーティングテーブル設定指示を受信したMACルーティングテーブル情報生成部550は、ユーザ拠点情報テーブル格納部520、拠点間品質クラス情報テーブル格納部530、及びVPN終端装置情報テーブル格納部540に格納されたテーブル情報からMACルーティングテーブル情報を自動的に生成し、対通信装置設定指示送信部560が、当該MACルーティングテーブル情報を設定する設定指示をVPN終端装置101に送信する。これにより、VPN終端装置101において図示するテーブルの設定がなされる。図12では、「一般品質」の場合から変更された情報を下線を引いて示している。つまり、「高品質」になったことにより、VPN終端装置101のMACルーティングテーブルにおけるネクストホップが、「一般品質」に対応する「βββ2」から「高品質」に対応する「βββ1」に変更され、インターフェースが、「eth1.vlan2」から「eth1.vlan1」に変更される。更に、「高品質」に対応する送信元拠点(大阪)側のMACアドレスも、送信元MACアドレスとして、「ααα2」から「ααα1」に変更される。
【0085】
このように、本発明に係る技術を用いることにより、ユーザは容易にVPNの品質クラスを変更できる。つまり、VPNトンネルが利用するパスを容易に変更することができる。
【0086】
(拠点間トラフィック測定について)本実施の形態では、各VPN終端装置のバックボーン側のサブインターフェース(vlan)毎にトラフィックの測定を行うことが可能である。これにより、例えば、図8に示す構成での東京拠点におけるVPN終端装置102のvlan1(eth1.vlan1)のトラフィックを計測することにより、東京―大阪間での拠点間のトラフィックを計測できる。ただし、図8の構成において、大阪−東京間のVPNトンネル、及び大阪−静岡間のVPNトンネルを両方とも高品質とした場合、大阪拠点のVPN終端装置101のvlan1には、大阪−東京間、及び大阪−静岡間の2つのVPNトンネルが収容されるため、このvlan1のトラフィックの計測では、特定の2拠点間のトラフィックを得ることはできない。
【0087】
全ての拠点で、任意の特定2拠点間のトラフィックを計測することを可能にするために、図13A,13Bに示すようにvlanの設定を行うとともに、各テーブルの設定を行う。図13Aにおける各テーブル登録により、図13Bに示すMACルーティングテーブルが自動的に設定される。
【0088】
すなわち、ある設置拠点でのVPN終端装置において、品質クラス毎にMACアドレスを設定するとともに、品質クラス及び対向拠点(対地)毎に、VLAN−IDが一意になるようにvlanを付与し、これらを対応付け、VPN終端装置情報テーブルに設定する。
【0089】
例えば、大阪拠点において、「高品質」に対応させて、MACアドレスを「ααα1」とし、対地:「東京」に対応するVLAN−IDを「vlan1」とし、対地:「静岡」に対応するVLAN−IDを「vlan2」とする。また、「一般品質」に対応させて、MACアドレスを「ααα2」とし、対地:「東京」に対応するVLAN−IDを「vlan3」とし、対地:「静岡」に対応するVLAN−IDを「vlan4」とする。大阪拠点のVPN終端装置の出力インタフェース(VLAN−ID)は、一意なvlanとなる。他の各拠点も同様に、品質クラス及び対地毎にvlanを設定する。この設定では、ある拠点での品質クラスの数をN個、対地の数をM個とすると、同拠点ででN×M個のvlanを設定することになる。これにより、vlanと、対地とが品質クラス毎に1対1に対応付けられるので、同拠点において特定のvlanでのトラフィック計測を行うことにより、当該vlanに対応する自側拠点と対向拠点との間でのトラフィックを計測することが可能となる。
【0090】
図13A,Bでは、拠点間品質クラス情報テーブルに示されるように、大阪―東京間、大阪―静岡間のそれぞれで高品質のVPNトンネルが設定されている。この設定において、例えば、大阪のVPN終端装置101のvlan1のトラフィックを計測することで、大阪−東京間の高品質クラスにおけるトラフィックを計測できる。
【0091】
(変形例)上述した実施の形態では、VPN400のバックボーンネットワークとして、MPLSを用いたMPLSバックボーン300を適用する例を示したが、VPN400の網構成はこれに限られるわけではない。例えば、図14に示すように、L2ネットワーク350(広域イーサ網等)を用いることも可能である。L2ネットワーク350は、L2スイッチ(イーサスイッチ等)を接続して構成されたネットワークである。図14では、4つのL2スイッチ701、702、703、704が示されている。各L2スイッチの中のMAC学習テーブル(MACアドレスとインターフェースとの対応付け)はスタティックに設定しておくものとする。なお、説明を分かり易くするために、本変形例でも、図中のMAC学習テーブルは、1VPNユーザの個別テーブルイメージを記載したものとしているが、実際には、例えば、ユーザ毎にテーブルを備え、受信パケットの情報から識別されたユーザに対応するテーブルを参照することにより転送処理を行う構成とすることができる。
【0092】
図14の構成において、例えば、VPN終端装置101からVPN終端装置102(ββββ)に対し、L2スイッチ701−>703−>702の経路を経由してパケットを転送させたい場合、各L2スイッチのMAC学習テーブルに、図示するエントリを設定しておけばよい。図14に示す例でも、図8に示した例と同様にしてユーザ端末A、B間でのIPパケット転送を行うことができる。
【0093】
また、L2ネットワークでの様々な経路のうち、例えば、特定の経路を高品質パス、他の経路を一般品質パスと定めておくことで、これまでに説明した方法と同様にして、品質クラス(利用する通信パス)を容易に切り替えることが可能である。
【0094】
(実施の形態のまとめ、効果)本実施の形態では、バックボーンネットワークのエッジ装置(PE装置に対応)間に構築された通信パス(各種LSPに対応)に収容して、VPN終端装置間でVPNトンネルが構築されるネットワークシステム(VPNに対応)において、始点のユーザ拠点に接続された始点VPN終端装置から終点のユーザ拠点に接続された終点VPN終端装置へのVPNトンネルを前記ネットワークシステムに対して設定するネットワーク設定装置(NWオペレーション装置500に対応)が提供される。
【0095】
ここで、本実施の形態では、前記始点VPN終端装置に接続されるエッジ装置には、通信パスと前記終点VPN終端装置のアドレスとを対応付けたテーブル(MACルーティングテーブル)が設定される。
【0096】
そして、ネットワーク設定装置は、前記始点VPN終端装置からパケットを送出する出力インターフェースと、当該パケットの宛先アドレスである前記終点VPN終端装置のアドレスとを、前記VPNトンネルを収容する通信パスの種別毎に格納したVPN終端装置情報格納手段(VPN終端装置情報テーブル格納部540に対応)と、ユーザにより指定された通信パスの種別に基づいて、前記VPN終端装置情報格納手段から当該種別に対応する前記始点VPN終端装置の出力インターフェースと、当該種別に対応する前記終点VPN終端装置のアドレスとを取得し、当該出力インターフェース、当該アドレス、及び、ユーザから指定された前記終点のユーザ拠点のネットワーク識別情報を、ルーティングテーブル情報として前記始点VPN終端装置に設定する設定手段(MACルーティングテーブル情報生成部550と対通信装置設定指示送信部560に対応)を備える。
【0097】
このような構成により、通信パスの種別を指定するだけで、容易にVPNトンネルを収容するパスを設定及び変更することが可能となる。また、通信事業者による設定作業が介在することなく、例えば、ユーザ自らの設定作業により、迅速に、VPNトンネルを収容する通信パスを容易に設定及び変更することが可能となる。更に、本実施の形態によれば、通信事業者側の設定情報をユーザに対して隠蔽できるという効果もある。
【0098】
なお、「通信パスの種別」とは、通信パスを、ある属性で区別した場合におけるその属性の種類のことである。例えば、実施の形態で説明したように、パスを「高品質パス」と「一般品質パス」に区別する場合、属性は「品質」であり、属性の種類(つまり通信パスの種別)は、「高品質」及び「一般品質」である。また、「セキュリティ」が高いパス/低いパス、冗長ルートを有するパス/有さないパス、なども「通信パスの種別」の例である。もちろん、これらは「通信パスの種別」の一例に過ぎない。
【0099】
本実施の形態では、前記終点VPN終端装置のアドレスはMACアドレスであり、前記始点VPN終端装置の出力インターフェースは、物理インターフェースの中のVLAN識別情報で構成されるサブインターフェースとしている。この構成により、普及しているイーサの技術を活用して、容易にVPNトンネルを収容するパスを設定及び変更する技術を実現できる。
【0100】
また、本実施の形態では、ネットワーク設定装置により設定がされた前記始点VPN終端装置の前記出力インターフェースのトラフィックを計測することにより、前記始点のユーザ拠点と前記終点のユーザ拠点間のトラフィックを計測するトラフィック計測手段(トラフィック計測部140)を備えている。
【0101】
図13A,図13Bを用いて説明したように、本実施の形態では、各拠点において、vlanと対地とを、品質クラス(通信パスの種別毎)に一意に対応付ける設定が可能であり、そのような設定を行うことにより、任意の拠点で任意の対地との間のトラフィックを、対応するvlanのトラフィックを計測することで計測できる。
【0102】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0103】
10、20、30 PE装置40、50、60 CE装置
70 VPLSバックボーン
80 VPN
91、92、93、94 P装置
101、102、103 VPN終端装置
151、152、153、154 P装置
201、202、203 PE装置
300 VPLSバックボーン
400 VPN
500 NWオペレーション装置
600 通信ネットワーク
110 ユーザ側パケット処理部
120 プロバイダ側パケット処理部
121 MACルーティングテーブル設定指示受信部
122 MACルーティングテーブル格納部
123 パケット転送処理部
131、132 インターフェース
140 トラフィック計測部
210 MAC学習テーブル設定指示受信部
220 MAC学習テーブル格納部
230 パケット転送処理部
241、242 インターフェース
350 L2ネットワーク
510 対ユーザオペレーション機能提供部
520 ユーザ拠点情報テーブル格納部
530 拠点間品質クラス情報テーブル格納部
540 VPN終端装置情報テーブル格納部
550 MACルーティングテーブル情報生成部
560 対通信装置設定指示送信部
570 プロバイダ側入出力部
701、702、703、704 L2スイッチ