WO2018230608A1

WO2018230608A1 - 通信システム、通信制御装置、スイッチ装置、通信制御方法、及び、記録媒体

Info

Publication number: WO2018230608A1
Application number: PCT/JP2018/022591
Authority: WO
Inventors: 卓司近藤
Original assignee: 日本電気株式会社
Priority date: 2017-06-15
Filing date: 2018-06-13
Publication date: 2018-12-20

Abstract

汎用的なオープンフロースイッチを用いたオープンフローシステムにおいて、Ｌ３ネットワークと同等のネットワークセグメントの分離を実現する。　通信システムは１以上のスイッチ装置と通信制御装置を含む。スイッチ装置は、いずれかのポートで受信したアドレス解決要求を通信制御装置に転送する。通信制御装置は、１以上のスイッチ装置の内のいずれかからアドレス解決要求を受信した場合に、アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているか判定する。許可されている場合、通信制御装置は、宛先Ｌ３アドレスに関連付けられたスイッチ装置に、宛先Ｌ３アドレスに関連付けられたポートを指定して、アドレス解決要求を転送する。スイッチ装置は、通信制御装置から受信したアドレス解決要求を指定されたポートに送信する。

Description

通信システム、通信制御装置、スイッチ装置、通信制御方法、及び、記録媒体

　本発明は、通信システム、通信制御装置、スイッチ装置、通信制御方法、及び、記録媒体に関する。

　近年、オープンフローという技術が提案されている。オープンフローシステムでは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行う。オープンフロースイッチ（以下、ＯＦＳ（Open Flow Switch）とも記載）は、オープンフローコントローラ（以下、ＯＦＣ（Open Flow Controller）とも記載）との通信用のセキュアチャネルを備える。ＯＦＳは、ＯＦＣから適宜追加または書き換え指示されるフロー情報に従って動作する。フロー情報は、フロー毎に、パケットヘッダと照合するマッチングルールと、フロー統計情報と処理内容を定義したアクション（インストラクション）と、の組として定義される。オープンフロープロトコルの仕様は、非特許文献１に記載されている。また、ＯＦＳの実装の一例は、非特許文献２に記載されている。

　例えば、ＯＦＳは、パケットを受信すると、受信パケットのヘッダ情報に適合するマッチングルールを持つフロー情報を検索する。検索の結果、受信パケットに適合するフロー情報が見つかった場合、ＯＦＳは、受信パケットに対して、当該フロー情報のアクションフィールドに記述された処理内容（指定ポートからのパケット送信、ヘッダ書き換え、フラッディング、廃棄等）を実施する。一方、受信パケットに適合するフロー情報が見つからなかった場合、ＯＦＳは自力でパケット転送先を判断できないため、セキュアチャネルを介してＯＦＣに対しパケット情報のコピーを転送する（オープンフロープロトコルのパケットインメッセージ）。

　ＯＦＣはパケット情報をもとに送受信端末を特定し、ＯＦＳに対し、パケットインしたパケットのコピーを該当する物理ポートから出力するよう指示する（オープンフロープロトコルのパケットアウトメッセージ）。さらに、ＯＦＣは、該当パケットを転送するためのフロー情報をＯＦＳに設定する。

　オープンフローシステムを用いて、ＩＰ（Internet Protocol）ネットワークのようなＬ３（Layer 3）ネットワークを構築する場合、ＯＦＳとＯＦＣは、例えば、以下のように動作する。

　図１は、通常のオープンフローシステムにおける、物理ネットワーク、及び、仮想Ｌ３ネットワークの構成例を示す図である。ここでは、図１において、端末８０ＡがＩＰサブネットを超えて、端末８０Ｂとデータ通信を行うと仮定する。ＩＰネットワークがＩＰｖ４（Internet Protocol version 4）ネットワークである場合、端末８０Ａは、デフォルトゲートウェイであるＬ３ルータのＩＰアドレス「ＩＰ＿Ｒ」を指定して、ＡＲＰ（Address Resolution Protocol）リクエストを送信する。ＯＦＳ７０がＡＲＰリクエストを受信すると、ＯＦＣ６０はＬ３ルータとして、Ｌ３ルータのＭＡＣ（Media Access Control）アドレス「ＩＰ＿ＲＡ」を含むＡＲＰ応答を、端末８０Ａに送信する。端末８０Ａは、端末８０Ｂ宛のユニキャストパケットを送信する。ＯＦＳ７０がユニキャストパケットを受信すると、ＯＦＣ６０はＡＲＰリクエストにより端末８０ＢのＭＡＣアドレス「ＭＡＣ＿Ｂ」を取得する。ＯＦＣ６０は、ユニキャストパケットの宛先ＭＡＣアドレス「ＭＡＣ＿ＲＡ」を端末８０ＢのＭＡＣアドレス「ＭＡＣ＿Ｂ」、送信元ＭＡＣアドレスをＬ３ルータのＭＡＣアドレス「ＭＡＣ＿ＲＢ」に書き換え、ユニキャストパケットを転送する。
ＯＦＣ６０は、転送したパケットに対するマッチングルールと、ヘッダ書き換え、転送の処理内容を、フロー情報として、ＯＦＳ７０に登録する。以降、ＯＦＳ７０は、フロー情報のマッチングルールに適合するユニキャストパケットに対し、当該フロー情報の処理内容に従って、ＭＡＣアドレスの書き換え、転送を行う。ＩＰネットワークがＩＰｖ６（Internet Protocol version 6）ネットワークである場合も、ＭＡＣアドレスの解決にＮＤ（Neighbor Discovery）リクエストを用いて、同様の動作が行われる。

　このような、ＩＰアドレスの識別、及び、ＭＡＣアドレスの書き換えを伴うＬ３フロー情報の登録には、非特許文献２に記載されているFlow Table「IPv4」とGroup Table「Next Hop Entries」とが組み合わせて用いられる。

"OpenFlow Switch Specification"、Version 1.3.4、［online］、［2017年6月8日検索］、インターネット〈URL: https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-switch-v1.3.4.pdf〉 "OpenFlow Table Type Patterns"、Version No. 1.0、［online］、［2017年6月8日検索］、インターネット〈URL: https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/OpenFlow%20Table%20Type%20Patterns%20v1.0.pdf〉

　このようなオープンフローシステムによるＬ３ネットワークを、安価な汎用ＯＦＳを用いて構築し、オープンフロー技術ならではの付加価値を提供することが求められている。
ここで、汎用ＯＦＳとは、ＭＡＣアドレス等のＬ２（Layer 2）アドレスの自律学習の結果に従ってＬ２パケットを転送する通常のＬ２スイッチに、オープンフロープロトコルで要求されるＬ２やＬ３のフロー情報に基づく転送機能を実装したＯＦＳである。

　オープンフロー技術ならではの付加価値とは、例えば、ネットワークセグメントの柔軟な分離や、ポリシーに基づいた宛先Ｌ３アドレスの自在な変更等である。これらを実現するためには、ＯＦＳが、例えば、以下のような技術的要素を満たす必要がある。一つは、できるだけ多くのＬ３フロー情報を登録できることである。もう一つは、Ｌ３フロー情報に基づき、宛先ＩＰアドレス等、パケット内のＬ３ヘッダを書き換えられることである。

　しかしながら、汎用ＯＦＳは、上述のように通常のＬ２スイッチの機能を主体に実装されているため、このようなＬ３フローに関する技術的要素を満たすことが難しく、オープンフローシステムの普及の妨げになっている。

　例えば、汎用のＯＦＳでは、Ｌ２スイッチのハードウェアの制約により、一般に、登録できるＬ３フロー情報の数が非常に少ない。

　また、汎用のＯＦＳでは、同様に、Ｌ２スイッチのハードウェアの制約により、一般に、宛先ＩＰアドレスの変更機能も提供されない。例えば、オープンフロープロトコルの仕様では、非特許文献１において、「set_field」アクションによるＩＰアドレスの書き換えが定義されている。しかしながら、現実的なＯＦＳの実装例である非特許文献２では、宛先ＩＰアドレスの書き換えを対象とした「set_field」アクションは記載されていない。

　本発明の目的は、上述の課題を解決し、汎用ＯＦＳを用いたオープンフローシステムにおいて、Ｌ３ネットワークと同等のネットワークセグメントの分離を実現できる、通信システムを提供することである。

　本発明の一態様における通信システムは、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御する、転送制御手段と、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を通信制御装置に転送する入力制御手段と、前記アドレス解決要求を前記通信制御装置から受信した場合に、当該アドレス解決要求を指定されたポートに送信する出力制御手段と、を含む、１以上のスイッチ装置と、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報を記憶する、論理セグメント情報記憶手段と、前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報を記憶する、通信許可情報記憶手段と、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報を記憶する、位置情報記憶手段と、前記１以上のスイッチ装置の内のいずれかから前記アドレス解決要求を受信した場合に、前記論理セグメント情報と前記通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、前記位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する、アドレス解決処理手段と、を含む通信制御装置と、を備える。

　本発明の一態様における通信制御装置は、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報を記憶する、論理セグメント情報記憶手段と、前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報を記憶する、通信許可情報記憶手段と、
　Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報を記憶する、位置情報記憶手段と、１以上のスイッチ装置の内のいずれかから、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を受信した場合に、前記論理セグメント情報と前記通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、前記位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する、アドレス解決処理手段と、を備え、前記１以上のスイッチ装置の各々は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御し、いずれかのポートで受信した前記アドレス解決要求を、前記通信制御装置に転送し、前記通信制御装置から受信した前記アドレス解決要求を、指定されたポートに送信する。

　本発明の一態様におけるスイッチ装置は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御する、転送制御手段と、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を通信制御装置に転送する入力制御手段と、前記アドレス解決要求を前記通信制御装置から受信した場合に、当該アドレス解決要求を指定されたポートに送信する出力制御手段と、を備えた、前記通信制御装置は、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報を記憶し、前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報を記憶し、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報を記憶し、１以上のスイッチ装置の内のいずれかから前記アドレス解決要求を受信した場合に、前記論理セグメント情報と前記通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、前記位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する。

　本発明の一態様における第１の通信制御方法は、通信制御装置において、１以上のスイッチ装置の内のいずれかから、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を受信した場合に、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報と前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送し、前記１以上のスイッチ装置の各々は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御し、いずれかのポートで受信した前記アドレス解決要求を、前記通信制御装置に転送し、前記通信制御装置から受信した前記アドレス解決要求を、指定されたポートに送信する。

　本発明の一態様における第２の通信制御方法は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御するスイッチ装置において、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を通信制御装置に転送し、前記アドレス解決要求を前記通信制御装置から受信した場合に、当該アドレス解決要求を指定されたポートに送信し、前記通信制御装置は、１以上のスイッチ装置の内のいずれかから前記アドレス解決要求を受信した場合に、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報と前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する。

　本発明の一態様における第１のコンピュータが読み取り可能な記録媒体は、通信制御装置として用いるコンピュータに、１以上のスイッチ装置の内のいずれかから、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を受信した場合に、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報と前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定する処理と、許可されていれば、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する処理と、を実行させるプログラムを格納し、前記１以上のスイッチ装置の各々は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御し、いずれかのポートで受信した前記アドレス解決要求を、前記通信制御装置に転送し、前記通信制御装置から受信した前記アドレス解決要求を、指定されたポートに送信する。

　本発明の一態様における第２のコンピュータが読み取り可能な記録媒体は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御するスイッチ装置として用いるコンピュータに、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を通信制御装置に転送する処理と、前記アドレス解決要求を前記通信制御装置から受信した場合に、当該アドレス解決要求を指定されたポートに送信する処理と、を実行させるプログラムを格納し、前記通信制御装置は、１以上のスイッチ装置の内のいずれかから前記アドレス解決要求を受信した場合に、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報と前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する。

　本発明の効果は、汎用ＯＦＳを用いたオープンフローシステムにおいて、Ｌ３ネットワークと同等のネットワークセグメントの分離を実現できることである。

通常のオープンフローシステムにおける、物理ネットワーク、及び、仮想Ｌ３ネットワークの構成例を示す図である。実施形態における、通信システムの構成を示すブロック図である。実施形態における、物理ネットワーク、及び、仮想Ｌ３ネットワークの構成を示す図である。実施形態における、論理セグメント情報の例を示す図である。実施形態における、通信許可情報の例を示す図である。実施形態における、位置情報の例を示す図である。実施形態における、アドレス情報の例を示す図である。実施形態における、Ｌ２テーブルの例を示す図である。実施形態における、コンピュータにより実現された制御装置１０の構成を示すブロック図である。実施形態における、コンピュータにより実現されたスイッチ装置２０の構成を示すブロック図である。実施形態における、アドレス解決処理の動作を示すフローチャートである。実施形態における、アドレス解決処理の第１の具体例を示すシーケンスチャートである。実施形態における、物理ネットワーク、及び、仮想Ｌ３ネットワークの他の構成を示す図である。実施形態におけるアドレス解決処理の第２の具体例を示すシーケンスチャートである。実施形態における、位置情報の他の例を示す図である。実施形態における、Ｌ２テーブルの他の例を示す図である。実施形態における、名前解決処理の動作を示すフローチャートである。実施形態における、名前解決処理の具体例を示すシーケンスチャートである。実施形態の基本的な構成を示すブロック図である。

　発明を実施するための形態について図面を参照して詳細に説明する。以下、Ｌ３アドレスがＩＰｖ４アドレス、Ｌ２アドレスがＭＡＣアドレスの場合を例に説明する。

　＜実施形態の構成＞
　はじめに、実施形態の構成を説明する。図２は、実施形態における、通信システム１の構成を示すブロック図である。図２を参照すると、通信システム１は、制御装置（以下、通信制御装置とも記載する）１０、１以上のスイッチ装置２０、及び、複数の端末３０を含む。

　制御装置１０は、オープンフロープロトコルの仕様で定義されるコントローラ（ＯＦＣ）でもよい。スイッチ装置２０は、例えば、オープンフロープロトコルの仕様で定義されるスイッチ（ＯＦＳ）でもよい。また、スイッチ装置２０は、Ｌ２アドレスの自律学習の結果に従ってＬ２パケットを転送する、通常のＬ２スイッチの機能を主体に、オープンフロープロトコルで要求されるＬ２やＬ３のフロー情報に基づく転送機能を実装した、汎用ＯＦＳでもよい。制御装置１０とスイッチ装置２０とは、端末３０に対してＬ３ネットワークを提供する。制御装置１０とスイッチ装置２０とは、例えば、制御用チャネルを介して接続される。スイッチ装置２０は、ポートを介して、端末３０、または、他のスイッチ装置２０と接続される。

　図３は、実施形態における、物理ネットワーク、及び、当該物理ネットワーク上で実現される仮想Ｌ３ネットワークの構成を示す図である。図３の例では、物理ネットワークにおいて、スイッチ装置２０Ａに複数の端末３０が接続されている。また、Ｌ３ネットワークにおいて、端末３０Ａ～Ｆが、論理セグメント「Ｓ１」、「Ｓ２」、及び、「Ｓ３」にグループ化されている。ここで、論理セグメントは、１以上の端末３０により構成されるグループである。

　Ｌ３ネットワーク上の各端末３０には、例えば、サブネットに分割されていないサブネットマスク値を持った、フラットなＩＰアドレスが割り当てられる。例えば、端末３０Ａ、３０ＢのＩＰアドレスとして、それぞれ、クラスＢのプライベートアドレス「ＩＰ＿Ａ＝１７２．１６．０．１０／１２」、「ＩＰ＿Ｂ＝１７２．１６．０．１１／１２」が割り当てられる。なお、論理セグメントに属する各端末３０に、当該論理セグメントに割り当てたサブネットのＩＰアドレスが割り当てられてもよい。

　制御装置１０は、さらに、通信システム１の外部に存在するＤＮＳ（Domain Name System）サーバ４０と、インターネット等のネットワークを介して接続される。ＤＮＳサーバ４０は、ドメイン名を含むＤＮＳクエリ（以下、名前解決要求とも記載）に対して、当該ドメイン名に関連付けられたＩＰアドレスを含むＤＮＳリプライ（以下、名前解決応答とも記載）を応答する。ＤＮＳサーバ４０は、例えば、インターネット接続業者等が提供する、通常のＤＮＳサーバでもよい。

　制御装置１０は、論理セグメント情報記憶部１１、通信許可情報記憶部１２、位置情報記憶部１３、アドレス解決処理部１４、アドレス情報記憶部１５、及び、名前解決処理部１６を含む。

　論理セグメント情報記憶部１１は、論理セグメント情報を記憶する。図４は、実施形態における、論理セグメント情報の例を示す図である。図４の論理セグメント情報は、図３のＬ３ネットワーク構成に対応する。論理セグメント情報は、複数の論理セグメントの各々について、当該論理セグメントに属する端末３０のＩＰアドレスを示す。論理セグメント情報は、例えば、管理者等により予め設定される。

　通信許可情報記憶部１２は、通信許可情報を記憶する。図５は、実施形態における、通信許可情報の例を示す図である。通信許可情報は、複数の論理セグメントの内の各組について、当該組の論理セグメント間の通信の可否を示す。なお、論理セグメント内の通信は、常に許可される。通信許可情報は、例えば、管理者等により予め設定される。

　位置情報記憶部１３は、位置情報を記憶する。図６は、実施形態における、位置情報の例を示す図である。位置情報は、各端末３０のＩＰアドレスに関連付けて、当該端末３０のＭＡＣアドレス、当該端末３０が接続されたスイッチ装置２０の識別子（以下、ＩＤ（Identifier）とも記載）と当該スイッチ装置２０における物理ポートのＩＤを示す。

　アドレス解決処理部１４は、スイッチ装置２０から受信したＡＲＰリクエスト（以下、アドレス解決要求とも記載）に基づき、位置情報を設定する。ＡＲＰリクエストは、送信元ＩＰアドレス、送信元ＭＡＣアドレス、及び、ＭＡＣアドレスを解決すべき端末３０のＩＰアドレス（宛先ＩＰアドレス）を含む。後述するように、スイッチ装置２０は、端末３０から受信したＡＲＰリクエストを、当該スイッチ装置２０のＩＤと当該端末３０が接続された（ＡＲＰリクエストを受信した）物理ポートのＩＤとともに制御装置１０に転送する。アドレス解決処理部１４は、ＡＲＰリクエストの送信元ＩＰアドレス、送信元ＭＡＣアドレス、及び、ＡＲＰリクエストとともに転送されたスイッチ装置２０のＩＤと物理ポートのＩＤを、位置情報に登録する。

　また、アドレス解決処理部１４は、論理セグメント情報、及び、通信許可情報を参照し、ＡＲＰリクエストの宛先ＩＰアドレスが属する論理セグメントと送信元ＩＰアドレスが属する論理セグメントとの間の通信可否を判定する。通信が許可されている場合、アドレス解決処理部１４は、位置情報を参照して、宛先ＩＰアドレスに関連付けられたスイッチ装置２０に、当該宛先ＩＰアドレスに関連付けられた物理ポートを指定して、ＡＲＰリクエストを転送する。このような制御装置１０によるＡＲＰリクエストの処理を、ここでは、ＡＲＰリクエストに対する介入と呼ぶ。

　一般に、端末３０は、起動時やネットワークへの接続時に、自端末３０のＩＰアドレスが重複して利用されていないかの確認、及び、自端末３０のＭＡＣアドレスの存在を広告するためのＡＲＰリクエスト（ＧＡＲＰ（Gratuitous ARP）リクエスト）を送信する。制御装置１０は、スイッチ装置２０から転送されたＧＡＲＰリクエストを端末３０の位置情報の登録のためのみに利用し、ＧＡＲＰリクエストのスイッチ装置２０への転送は行わない。なお、制御装置１０は、ＧＡＲＰリクエストに基づき、ＩＰアドレスの重複利用を検出し、その結果を管理者等に通知してもよい。

　アドレス情報記憶部１５は、アドレス情報を記憶する。図７は、実施形態における、アドレス情報の例を示す図である。アドレス情報は、１以上のドメイン名の各々に関連付けて、端末３０のＩＰアドレスを示す。アドレス情報のドメイン名には、通信システム１内の端末３０の内の、ＩＰアドレスの変更対象である端末３０のドメイン名が設定される。ＩＰアドレスには、変更対象である端末３０の代わりに、当該ドメイン名宛のパケットが送信されるべき他の端末３０のＩＰアドレスが設定される。アドレス情報は、例えば、ポリシーに基づき、管理者等により予め設定される。

　名前解決処理部１６は、アドレス情報を参照し、スイッチ装置２０から受信したＤＮＳクエリで指定されたドメイン名がアドレス情報に登録されている場合は、当該ドメイン名に関連付けられたＩＰアドレスを含むＤＮＳリプライを生成する。また、名前解決処理部１６は、ＤＮＳクエリで指定されたドメイン名がアドレス情報に登録されていない場合は、通信システム１の外部に存在するＤＮＳサーバ４０に当該ＤＮＳクエリを転送し、ＤＮＳリプライを受信する。名前解決処理部１６は、ＤＮＳリプライの宛先ＩＰアドレス（ＤＮＳクエリの送信元ＩＰアドレス）に関連付けられたスイッチ装置２０に、当該宛先ＩＰアドレスに関連付けられた物理ポートを指定して、ＤＮＳリプライを送信する。このような制御装置１０によるＤＮＳクエリの処理を、ここでは、ＤＮＳクエリに対する介入と呼ぶ。

　スイッチ装置２０は、入力制御部２１、出力制御部２２、転送制御部２３、及び、Ｌ２テーブル記憶部２４を含む。

　入力制御部２１は、端末３０から受信したＡＲＰリクエストを制御装置１０に転送する。他のスイッチ装置２０から受信したＡＲＰリクエストは、制御装置１０に転送されない。また、入力制御部２１は、端末３０から受信したＤＮＳクエリ（以下、名前解決要求とも記載する）を、制御装置１０に転送する。ここで、入力制御部２１は、ＡＲＰリクエストやＤＮＳクエリを、自スイッチ装置２０のＩＤ、及び、ＡＲＰリクエストやＤＮＳクエリを受信した物理ポートのＩＤとともに、制御装置１０に転送する。

　出力制御部２２は、制御装置１０から受信したＡＲＰリクエストやＤＮＳリプライを、制御装置１０により指定された物理ポートに送信する。

　転送制御部２３は、端末３０や他のスイッチ装置２０から受信したＡＲＰリクエストの送信元ＭＡＣアドレス、及び、当該ＡＲＰリクエストを受信した物理ポートのＩＤの組を、Ｌ２転送情報として、Ｌ２テーブルに登録する。また、転送制御部２３は、ＡＲＰリクエストを、当該ＡＲＰリクエストを受信した物理ポート以外の他のポートに接続された他のスイッチ装置２０に転送してもよい。転送制御部２３は、ＡＲＰリクエストを転送すべき他のスイッチ装置２０が無い場合、Ｌ２転送情報の登録後に、当該ＡＲＰリクエストを廃棄する。ここで、転送制御部２３は、予め管理者等により登録された、ＡＲＰリクエストの廃棄を示すフロー情報に従って、ＡＲＰリクエストを破棄してもよい。

　また、転送制御部２３は、Ｌ２テーブルに従って、入出力ポート間のユニキャストパケットの転送を制御する。

　Ｌ２テーブル記憶部２４は、Ｌ２テーブルを記憶する。図８は、実施形態における、Ｌ２テーブルの例を示す図である。Ｌ２テーブルは、各端末３０のＭＡＣアドレスに関連付けて、当該端末３０が接続された（ＡＲＰリクエストを受信した）物理ポートのＩＤを示す。

　なお、制御装置１０、及び、スイッチ装置２０は、それぞれ、ＣＰＵ（Central Processing Unit）とプログラムを記憶した記憶媒体を含み、プログラムに基づく制御によって動作するコンピュータであってもよい。

　図９は、実施形態における、コンピュータにより実現された制御装置１０の構成を示すブロック図である。

　図９を参照すると、制御装置１０は、ＣＰＵ１０１、記憶デバイス１０２（記憶媒体）、入出力デバイス１０３、及び、通信デバイス１０４を含む。ＣＰＵ１０１は、アドレス解決処理部１４、名前解決処理部１６を実現するためのプログラムを実行する。記憶デバイス１０２は、例えば、ハードディスクやメモリ等であり、プログラムに加えて、論理セグメント情報記憶部１１、通信許可情報記憶部１２、位置情報記憶部１３、及び、アドレス情報記憶部１５のデータを記憶する。入出力デバイス１０３は、例えば、キーボード、ディスプレイ等であり、管理者等から、論理セグメント情報や通信許可情報、アドレス情報、各種設定の入力を受け付ける。通信デバイス１０４は、スイッチ装置２０からＡＲＰリクエストやＤＮＳクエリを受信し、スイッチ装置２０へＡＲＰリクエストやＤＮＳリプライを送信する。

　図１０は、実施形態における、コンピュータにより実現されたスイッチ装置２０の構成を示すブロック図である。

　図１０を参照すると、スイッチ装置２０は、ＣＰＵ２０１、記憶デバイス２０２（記憶媒体）、入出力デバイス２０３、及び、通信デバイス２０４を含む。ＣＰＵ２０１は、入力制御部２１、出力制御部２２、及び、転送制御部２３を実現するためのプログラムを実行する。記憶デバイス２０２は、例えば、ハードディスクやメモリ等であり、プログラムに加えて、Ｌ２テーブル記憶部２４のデータを記憶する。入出力デバイス２０３は、例えば、キーボード、ディスプレイ等であり、管理者等から、各種設定の入力を受け付ける。
通信デバイス２０４は、制御装置１０へＡＲＰリクエストやＤＮＳクエリを送信し、スイッチ装置２０からＡＲＰリクエストやＤＮＳリプライを受信する。また、通信デバイス２０４は、物理ポートとして、端末３０や他のスイッチ装置２０との間で、各種パケットの送受信を行う。

　次に、実施形態の動作を説明する。

　＜アドレス解決処理の動作＞
　はじめに、アドレス解決処理の動作について説明する。

　図１１は、実施形態における、アドレス解決処理の動作を示すフローチャートである。

　スイッチ装置２０の入力制御部２１は、物理ポートを介して端末３０からＡＲＰリクエストを受信すると（ステップＳ１０１）、当該ＡＲＰリクエストを、制御装置１０に転送する（ステップＳ１０２）。ここで、入力制御部２１は、ＡＲＰリクエストとともに、自スイッチ装置２０のＩＤ、及び、端末３０が接続された（ＡＲＰリクエストを受信した）物理ポートのＩＤを制御装置１０に送信する。

　また、転送制御部２３は、ＡＲＰリクエストの送信元ＭＡＣアドレス、及び、物理ポートのＩＤの組を、Ｌ２転送情報として、Ｌ２テーブルに登録する（ステップＳ１０３）。

　制御装置１０のアドレス解決処理部１４は、スイッチ装置２０からＡＲＰリクエストを受信すると（ステップＳ２０１）、当該ＡＲＰリクエストの送信元ＩＰアドレスが、位置情報に登録されているかどうかを判定する（ステップＳ２０２）。

　登録されていない場合（ステップＳ２０２／Ｎ）、アドレス解決処理部１４は、ＡＲＰリクエストの送信元ＩＰアドレス、送信元ＭＡＣアドレス、スイッチ装置２０のＩＤ、及び、物理ポートのＩＤの組を、位置情報に登録する（ステップＳ２０３）。

　次に、アドレス解決処理部１４は、ＡＲＰリクエストがＧＡＲＰリクエストかどうかを判定する（ステップＳ２０４）。

　ＧＡＲＰリクエストでない場合（ステップＳ２０４／Ｎ）、アドレス解決処理部１４は、ＡＲＰリクエストの宛先ＩＰアドレスが位置情報に登録されているかどうかを判定する（ステップＳ２０５）。

　登録されている場合（ステップＳ２０５／Ｙ）、アドレス解決処理部１４は、ＡＲＰリクエストの宛先ＩＰアドレスが属する論理セグメントと送信元ＩＰアドレスが属する論理セグメントとの間の通信可否を判定する（ステップＳ２０６）。

　通信が許可されている場合（ステップＳ２０６／Ｙ）、アドレス解決処理部１４は、位置情報から、宛先ＩＰアドレスに関連付けられたスイッチ装置２０のＩＤ、及び、当該宛先ＩＰアドレスに関連付けられた物理ポートのＩＤを取得する。アドレス解決処理部１４は、取得したスイッチ装置２０に、取得した物理ポートを指定して、ＡＲＰリクエストを転送する（ステップＳ２０７）。

　ＧＡＲＰリクエストの場合（ステップＳ２０４／Ｙ）や、宛先ＩＰアドレスが位置情報に登録されていない場合（ステップＳ２０５／Ｎ）、通信が許可されていない場合（ステップＳ２０６／Ｎ）、アドレス解決処理部１４は、ＡＲＰリクエストを破棄する（ステップＳ２０８）。

　スイッチ装置２０の出力制御部２２は、制御装置１０からＡＲＰリクエストを受信すると（ステップＳ１５１）、当該ＡＲＰリクエストを、指定された物理ポートを介して端末３０に転送する（ステップＳ１５２）。

　以上により、実施形態におけるアドレス解決処理の動作が完了する。

　通常のオープンフローシステムでは、端末３０から受信したＡＲＰリクエストは同じサブネットの端末３０にブロードキャストされていた。これに対して、実施形態では、スイッチ装置２０が、端末３０から受信したＡＲＰリクエストを制御装置１０に転送し、制御装置１０が、通信が許可されている論理セグメント間でＡＲＰリクエストを転送する、介入を行う。これにより、通常のＩＰネットワークにおけるサブネット間の通信の分離と同等の機能が、論理セグメント間で実現される。

　＜アドレス解決処理の第１の具体例＞
　次に、実施形態におけるアドレス解決処理の第１の具体例を説明する。

　図１２は、実施形態における、アドレス解決処理の第１の具体例を示すシーケンスチャートである。

　ここでは、図３のようなＬ３ネットワークに対して、図４の論理セグメント情報、及び、図５の通信許可情報が設定されていると仮定する。この場合、論理セグメント「Ｓ１」－「Ｓ２」間の通信は許可されるが、論理セグメント「Ｓ１」－「Ｓ３」間、及び、「Ｓ２」－「Ｓ３」間の通信は許可されない。

　はじめに、端末３０Ａは、起動時に、スイッチ装置２０ＡにＧＡＲＰリクエストを送信する。この場合、ＧＡＲＰリクエストには、宛先ＩＰアドレス「ＩＰ＿Ａ」、送信元ＩＰアドレス「ＩＰ＿Ａ」、及び、送信元ＭＡＣアドレス「ＭＡＣ＿Ａ」が設定される。

　スイッチ装置２０Ａは、物理ポート「Ｐ１」を介して、端末３０ＡからＧＡＲＰリクエストを受信する。スイッチ装置２０Ａは、ＧＡＲＰリクエストを制御装置１０に転送する。また、スイッチ装置２０Ａは、端末３０ＡのＭＡＣアドレス「ＭＡＣ＿Ａ」、及び、物理ポートのＩＤ「Ｐ１」を、図８のようにＬ２テーブルに登録する。

　制御装置１０は、スイッチ装置２０ＡからＧＡＲＰリクエストを受信すると、端末３０ＡのＩＰアドレス「ＩＰ＿Ａ」、ＭＡＣアドレス「ＭＡＣ＿Ａ」、スイッチ装置２０ＡのＩＤ、及び、物理ポートのＩＤ「Ｐ１」を、図６のように位置情報に登録する。

　同様に、端末３０Ｃは、起動時に、スイッチ装置２０ＡにＧＡＲＰリクエストを送信する。この場合、ＧＡＲＰリクエストには、宛先ＩＰアドレス「ＩＰ＿Ｃ」、送信元ＩＰアドレス「ＩＰ＿Ｃ」、及び、送信元ＭＡＣアドレス「ＭＡＣ＿Ｃ」が設定される。

　スイッチ装置２０Ａは、物理ポート「Ｐ３」を介して、端末３０ＣからＧＡＲＰリクエストを受信する。スイッチ装置２０Ａは、ＧＡＲＰリクエストを制御装置１０に転送する。また、スイッチ装置２０Ａは、端末３０ＣのＭＡＣアドレス「ＭＡＣ＿Ｃ」、及び、物理ポートのＩＤ「Ｐ３」を、図８のようにＬ２テーブルに登録する。

　制御装置１０は、スイッチ装置２０ＡからＧＡＲＰリクエストを受信すると、端末３０ＣのＩＰアドレス「ＩＰ＿Ｃ」、ＭＡＣアドレス「ＭＡＣ＿Ｃ」、スイッチ装置２０ＡのＩＤ、及び、物理ポートのＩＤ「Ｐ３」を、図６のように位置情報に登録する。

　次に、端末３０Ａは、端末３０Ｃ宛の通信を開始するためのＡＲＰリクエストを、スイッチ装置２０Ａ送信する。この場合、ＡＲＰリクエストには、宛先ＩＰアドレス「ＩＰ＿Ｃ」、送信元ＩＰアドレス「ＩＰ＿Ａ」、及び、送信元ＭＡＣアドレス「ＭＡＣ＿Ａ」が設定される。

　スイッチ装置２０Ａは、端末３０Ａから受信したＡＲＰリクエストを制御装置１０に転送する。

　制御装置１０は、スイッチ装置２０ＡからＡＲＰリクエストを受信すると、図４の論理セグメント情報、図５の通信許可情報を参照する。そして、制御装置１０は、ＩＰアドレス「ＩＰ＿Ａ」が属する論理セグメント「Ｓ１」とＩＰアドレス「ＩＰ＿Ｃ」が属する論理セグメント「Ｓ２」との通信が許可されていると判定する。制御装置１０は、図６の位置情報を参照し、ＩＰアドレス「ＩＰ＿Ｃ」に関連付けられたスイッチ装置２０Ａに、物理ポート「Ｐ３」を指定し、ＡＲＰリクエストを転送する。

　スイッチ装置２０Ａは、制御装置１０から受信したＡＲＰリクエストを、指定された物理ポート「Ｐ３」を介して、端末３０Ｃに転送する。

　次に、端末３０Ｃは、ＡＲＰリクエストを受信すると、ＡＲＰリプライをスイッチ装置２０Ａに送信する。この場合、ＡＲＰリプライには、宛先ＩＰアドレス「ＩＰ＿Ｃ」、及び、宛先ＭＡＣアドレス「ＭＡＣ＿Ｃ」が設定される。また、ＡＲＰリプライのＭＡＣヘッダには、宛先ＭＡＣアドレス「ＭＡＣ＿Ａ」が設定される。

　スイッチ装置２０Ａは、端末３０Ｃから受信したＡＲＰリプライを、ＭＡＣヘッダの宛先ＭＡＣアドレス「ＭＡＣ＿Ａ」と図８のＬ２テーブルに基づき、物理ポート「Ｐ１」を介して、端末３０Ａに転送する。

　次に、端末３０Ａは、ＡＲＰリプライを受信すると、端末３０Ｃ宛のユニキャストパケットを、スイッチ装置２０Ａに送信する。この場合、ユニキャストパケットには、宛先ＩＰアドレス「ＩＰ＿Ｃ」とＡＲＰリプライにより得られた宛先ＭＡＣアドレス「ＭＡＣ＿Ｃ」が設定される。

　スイッチ装置２０Ａは、端末３０Ａから受信したユニキャストパケットを、宛先ＭＡＣアドレス「ＭＡＣ＿Ｃ」と図８のＬ２テーブルに基づき、物理ポート「Ｐ３」を介して、端末３０Ｃに転送する。

　以降、端末３０Ａと端末３０Ｃ間のユニキャストパケットは、スイッチ装置２０Ａにより、宛先ＭＡＣアドレスとＬ２テーブルに基づき転送される。

　＜アドレス解決処理の第２の具体例＞
　次に、実施形態におけるアドレス解決処理の第２の具体例を説明する。

　図１３は、実施形態における、物理ネットワーク、及び、当該物理ネットワーク上で実現される仮想Ｌ３ネットワークの他の構成を示す図である。図１３の例では、物理ネットワークにおいて、複数のスイッチ装置２０が互いに接続されている。また、各スイッチ装置２０に複数の端末３０が接続されている。

　ここでは、図１３のようなＬ３ネットワークに対して、第１の具体例と同様に、図４の論理セグメント情報、及び、図５の通信許可情報が設定されていると仮定する。

　図１４は、実施形態におけるアドレス解決処理の第２の具体例を示すシーケンスチャートである。図１５は、実施形態における、位置情報の他の例を示す図である。図１６は、実施形態における、Ｌ２テーブルの他の例を示す図である。

　はじめに、端末３０Ａは、起動時に、スイッチ装置２０ＡにＧＡＲＰリクエストを送信する。

　スイッチ装置２０Ａは、物理ポート「Ｐ１」を介して、端末３０ＡからＧＡＲＰリクエストを受信する。スイッチ装置２０Ａは、ＧＡＲＰリクエストを制御装置１０に転送する。また、スイッチ装置２０Ａは、端末３０ＡのＭＡＣアドレス「ＭＡＣ＿Ａ」、及び、物理ポートのＩＤ「Ｐ１」を、図１６のようにＬ２テーブルに登録する。さらに、スイッチ装置２０Ａは、ＧＡＲＰリクエストをスイッチ装置２０Ｂ、２０Ｃに転送する。スイッチ装置２０Ｂ、２０Ｃも、端末３０ＡのＭＡＣアドレス、及び、物理ポートのＩＤを、図１６のようにＬ２テーブルに登録する。

　制御装置１０は、スイッチ装置２０ＡからＧＡＲＰリクエストを受信すると、端末３０ＡのＩＰアドレス「ＩＰ＿Ａ」、ＭＡＣアドレス「ＭＡＣ＿Ａ」、スイッチ装置２０ＡのＩＤ、及び、物理ポートのＩＤ「Ｐ１」を、図１５のように位置情報に登録する。

　同様に、端末３０Ｃは、起動時に、スイッチ装置２０ＢにＧＡＲＰリクエストを送信する。

　スイッチ装置２０Ｂは、物理ポート「Ｐ１」を介して、端末３０ＣからＧＡＲＰリクエストを受信する。スイッチ装置２０Ｂは、ＧＡＲＰリクエストを制御装置１０に転送する。また、スイッチ装置２０Ｂは、端末３０ＣのＭＡＣアドレス「ＭＡＣ＿Ｃ」、及び、物理ポートのＩＤ「Ｐ１」を、図１６のようにＬ２テーブルに登録する。さらに、スイッチ装置２０Ｂは、ＧＡＲＰリクエストをスイッチ装置２０Ａ、２０Ｃに転送する。スイッチ装置２０Ａ、２０Ｃも、端末３０ＡのＭＡＣアドレス、及び、物理ポートのＩＤを、図１６のようにＬ２テーブルに登録する。

　制御装置１０は、スイッチ装置２０ＢからＧＡＲＰリクエストを受信すると、端末３０ＣのＩＰアドレス「ＩＰ＿Ｃ」、ＭＡＣアドレス「ＭＡＣ＿Ｃ」、スイッチ装置２０ＢのＩＤ、及び、物理ポートのＩＤ「Ｐ１」を、図１５のように位置情報に登録する。

　次に、端末３０Ａは、端末３０Ｃ宛の通信を開始するためのＡＲＰリクエストを、スイッチ装置２０Ａ送信する。

　制御装置１０は、スイッチ装置２０ＡからＡＲＰリクエストを受信すると、図４の論理セグメント情報、図５の通信許可情報を参照する。そして、制御装置１０は、ＩＰアドレス「ＩＰ＿Ａ」が属する論理セグメント「Ｓ１」とＩＰアドレス「ＩＰ＿Ｃ」が属する論理セグメント「Ｓ２」との通信が許可されていると判定する。制御装置１０は、図１５の位置情報を参照し、ＩＰアドレス「ＩＰ＿Ｃ」に関連付けられたスイッチ装置２０Ｂに、物理ポート「Ｐ１」を指定し、ＡＲＰリクエストを転送する。

　スイッチ装置２０Ｂは、制御装置１０から受信したＡＲＰリクエストを、指定された物理ポート「Ｐ１」を介して、端末３０Ｃに送信する。

　次に、端末３０Ｃは、ＡＲＰリクエストを受信すると、ＡＲＰリプライをスイッチ装置２０Ｂに送信する。

　スイッチ装置２０Ｂは、端末３０Ｃから受信したＡＲＰリプライを、ＭＡＣヘッダの宛先ＭＡＣアドレス「ＭＡＣ＿Ａ」と図１６のＬ２テーブルに基づき、物理ポート「Ｐ３」を介して、スイッチ装置２０Ａに転送する。スイッチ装置２０Ａは、スイッチ装置２０Ｂから受信したＡＲＰリプライを、ＭＡＣヘッダの宛先ＭＡＣアドレス「ＭＡＣ＿Ａ」と図１６のＬ２テーブルに基づき、物理ポート「Ｐ１」を介して、端末３０Ａに転送する。

　次に、端末３０Ａは、ＡＲＰリプライを受信すると、端末３０Ｃ宛のユニキャストパケットを、スイッチ装置２０Ａに送信する。

　スイッチ装置２０Ａは、端末３０Ａから受信したユニキャストパケットを、宛先ＭＡＣアドレス「ＭＡＣ＿Ｃ」と図１６のＬ２テーブルに基づき、物理ポート「Ｐ４」を介して、スイッチ装置２０Ｂに転送する。スイッチ装置２０Ｂは、スイッチ装置２０Ａから受信したユニキャストパケットを、宛先ＭＡＣアドレス「ＭＡＣ＿Ｃ」と図１６のＬ２テーブルに基づき、物理ポート「Ｐ１」を介して、端末３０Ｃに転送する。

　以降、端末３０Ａと端末３０Ｃ間のユニキャストパケットは、スイッチ装置２０Ａ、２０Ｂにより、宛先ＭＡＣアドレスとＬ２テーブルに基づき転送される。

　＜名前解決処理の動作＞
　次に、名前解決処理の動作について説明する。

　図１７は、実施形態における、名前解決処理の動作を示すフローチャートである。

　スイッチ装置２０の入力制御部２１は、端末３０から物理ポートを介してＤＮＳクエリを受信すると（ステップＳ３０１）、当該ＤＮＳクエリを、制御装置１０に転送する（ステップＳ３０２）。ここで、入力制御部２１は、ＤＮＳクエリとともに、自スイッチ装置２０のＩＤ、及び、端末３０が接続された（ＤＮＳクエリを受信した）物理ポートのＩＤを制御装置１０に送信する。

　制御装置１０の名前解決処理部１６は、スイッチ装置２０からＤＮＳクエリを受信すると（ステップＳ４０１）、当該ＤＮＳクエリで指定されたドメイン名が、アドレス情報に登録されているかどうかを判定する（ステップＳ４０２）。

　登録されていない場合（ステップＳ４０２／Ｎ）、名前解決処理部１６は、ＤＮＳサーバ４０にＤＮＳクエリを転送し（ステップＳ４０３）、当該ＤＮＳサーバ４０からＤＮＳリプライを取得する（ステップＳ４０４）。

　登録されている場合（ステップＳ４０２／Ｙ）、名前解決処理部１６は、アドレス情報から、当該ドメイン名に関連付けられたＩＰアドレスを取得する。名前解決処理部１６は、取得したＩＰアドレスを含むＤＮＳリプライを生成する（ステップＳ４０５）。

　名前解決処理部１６は、ＤＮＳリプライの宛先ＩＰアドレス（ＤＮＳクエリの送信元ＩＰアドレス）に関連付けられたスイッチ装置２０に、当該宛先ＩＰアドレスに関連付けられた物理ポートを指定して、ＤＮＳリプライを送信する（ステップＳ４０６）。

　スイッチ装置２０の出力制御部２２は、制御装置１０からＤＮＳリプライを受信すると（ステップＳ３０３）、当該ＤＮＳリプライを、指定された物理ポートを介して端末３０に転送する（ステップＳ３０４）。

　以上により、実施形態における名前解決処理の動作が完了する。

　通常のオープンフローシステムでは、端末３０から受信したＤＮＳクエリは所定のＤＮＳサーバ４０に転送されていた。これに対して、実施形態では、スイッチ装置２０が、端末３０から受信したＤＮＳクエリを制御装置１０に転送し、制御装置１０がアドレス情報に基づきＤＮＳリプライを生成する、介入を行う。これにより、特定の宛先ホストについて、宛先ＩＰアドレスの変更を行うことができる。

　＜名前解決処理の具体例＞
　次に、実施形態における名前解決処理の具体例を説明する。

　図１８は、実施形態における、名前解決処理の具体例を示すシーケンスチャートである。

　ここでは、図３のようなＬ３ネットワークに対して、図７のアドレス情報が設定されていると仮定する。この場合、端末３０Ｃのドメイン名「Ｄｏｍａｉｎ＿Ｃ」宛てのパケットの宛先ＩＰアドレスは、端末３０ＣのＩＰアドレス「ＩＰ＿Ｃ」から、端末３０ＤのＩＰアドレス「ＩＰ＿Ｄ」に変更される。

　はじめに、端末３０Ａは、ドメイン名「Ｄｏｍａｉｎ＿Ｃ」の宛の通信を開始するためのＤＮＳクエリを、スイッチ装置２０Ａに送信する。この場合、ＤＮＳクエリには、ドメイン名「Ｄｏｍａｉｎ＿Ｃ」が設定される。

　スイッチ装置２０Ａは、物理ポート「Ｐ１」を介して、端末３０ＡからＤＮＳクエリを受信する。スイッチ装置２０Ａは、ＤＮＳクエリを制御装置１０に転送する。

　制御装置１０は、スイッチ装置２０ＡからＤＮＳクエリを受信すると、図７のアドレス情報から、ドメイン名「Ｄｏｍａｉｎ＿Ｃ」に関連付けられたＩＰアドレス「ＩＰ＿Ｄ」を取得し、ＤＮＳリプライを生成する。この場合、ＤＮＳリプライには、ドメイン名「Ｄｏｍａｉｎ＿Ｃ」、ＩＰアドレス「ＩＰ＿Ｄ」が設定される。制御装置１０は、スイッチ装置２０Ａに、物理ポート「Ｐ１」を指定し、ＤＮＳリプライを送信する。

　スイッチ装置２０Ａは、制御装置１０から受信したＤＮＳリプライを、指定された物理ポート「Ｐ１」を介して、端末３０Ａに送信する。

　以降、上述のアドレス解決処理に従って、端末３０Ａは、端末３０ＤのＩＰアドレス「ＩＰ＿Ｄ」に対するＭＡＣアドレス「ＭＡＣ＿Ｄ」を取得し、端末３０Ｄとの間で通信を開始する。

　＜実施形態の変形例＞
　上述の実施形態では、Ｌ３アドレスがＩＰｖ４アドレスの場合を例に説明したが、Ｌ３アドレスはＩＰｖ６アドレスでもよい。この場合、Ｌ３ネットワーク上の各端末３０には、例えば、サブネット分割されていない同一プレフィックスを持った、フラットなＩＰアドレスが割り当てられる。例えば、図３における、端末３０Ａ、３０ＢのＩＰアドレスとして、それぞれ、「ＩＰ＿Ａ＝ｆｄ００：：１０／８」、「ＩＰ＿Ｂ＝ｆｄ００：：１１／８」が割り当てられる。

　そして、アドレス解決処理では、上述のＡＲＰリクエスト／リプライの代わりに、ＮＤリクエスト／ＮＤリプライが用いられる。スイッチ装置２０は、端末３０から受信したＮＤリクエストを制御装置１０に転送し、制御装置１０は、通信が許可されている論理セグメント間でＮＤリクエストを転送する。

　また、名前解決処理では、アドレス情報において、ＤＮＳクエリで指定されたドメイン名に対してＩＰｖ６アドレスが設定されていれば、制御装置１０は、当該ＩＰｖ６アドレスが設定されたＤＮＳリプライを生成する。

　なお、普及している端末３０の多くはＩＰｖ４、ＩＰｖ６両方のプロトコルスタックを実装しているデュアルスタック端末である。ＤＮＳにおけるＩＰアドレスには、ＩＰｖ４アドレスであるＡレコードと、ＩＰｖ６アドレスであるＡＡＡＡレコードが定義でき、デュアルスタック端末は、Ａレコード、及び、ＡＡＡＡレコードの両方を理解できる。このため、ドメイン名に対するＡレコード（ＩＰｖ４アドレス）を問い合わせるＤＮＳクエリに対し、ＡＡＡＡレコード（ＩＰｖ６アドレス）が設定されたＤＮＳリプライを返すことで、宛先ＩＰアドレスを、ＩＰｖ４アドレスからＩＰｖ６アドレスへ変更できる。すなわち、上述のＤＮＳクエリへの介入は、宛先ＩＰアドレスの変更だけでなく、ＩＰｖ４環境からＩＰｖ６環境へのスムーズな移行にも適用できる。

　＜実施形態の基本的な構成＞
　次に、実施形態の基本的な構成について説明する。

　図１９は、実施形態の基本的な構成を示すブロック図である。図１９を参照すると、通信システム１は１以上のスイッチ装置２０と制御装置１０（通信制御装置）を含む。

　スイッチ装置２０は、転送制御部２３（転送制御手段）、入力制御部２１（入力制御手段）、及び、出力制御部２２（出力制御手段）を含む。転送制御部２３は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御する。入力制御部２１は、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を制御装置１０に転送する。出力制御部２２は、アドレス解決要求を制御装置１０から受信した場合に、当該アドレス解決要求を指定されたポートに送信する。

　制御装置１０は、論理セグメント情報記憶部１１（論理セグメント情報記憶手段）、通信許可情報記憶部１２（通信許可情報記憶手段）、位置情報記憶部１３（位置情報記憶手段）、及び、アドレス解決処理部１４（アドレス解決処理手段）を含む。論理セグメント情報記憶部１１は、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報を記憶する。通信許可情報記憶部１２は、複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報を記憶する。位置情報記憶部１３は、Ｌ３アドレスに関連付けてスイッチ装置２０の識別子と当該スイッチ装置２０のポートの識別子とを示す位置情報を記憶する。アドレス解決処理部１４は、スイッチ装置２０からアドレス解決要求を受信した場合、論理セグメント情報と通信許可情報に基づき、アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定する。許可されている場合、アドレス解決処理部１４は、位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置２０に転送する。

　＜実施形態の効果＞
　次に、実施形態の効果について説明する。

　実施形態によれば、汎用的なオープンフロースイッチを用いたオープンフローシステムにおいて、Ｌ３ネットワークと同等のネットワークセグメントの分離を実現できる。その理由は、以下の通りである。すなわち、スイッチ装置２０は、アドレス解決要求を制御装置１０に転送する。制御装置１０は、アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているか判断する。許可されている場合に、制御装置１０は、宛先Ｌ３アドレスに関連付けられたスイッチ装置２０に、宛先Ｌ３アドレスに関連付けられたポートを指定して、アドレス解決要求を転送する。ここで、各端末３０に対しては、管理が非常に容易なフラットな（ＩＰサブネットに分割されていない）ＩＰアドレスが割り当てられ、１以上の端末３０により構成されるグループである論理セグメント、及び、論理セグメント間の通信可否が、柔軟に定義できる。

　これにより、通常のＬ３ネットワークを、安価な汎用スイッチ装置２０、及び、安価な汎用サーバで実現可能なソフトウェアベースの制御装置１０で置き換えることができる。
さらに、Ｌ３ネットワークの定義が、フラットなＩＰアドレスと論理セグメントにより単純化されるため、ネットワークの管理性が向上する。

　また、実施形態によれば、汎用的なオープンフロースイッチを用いたオープンフローシステムにおいて、Ｌ３ネットワークと同様の宛先Ｌ３アドレスの変更を実現できる。その理由は、以下の通りである。すなわち、スイッチ装置２０は、名前解決要求を制御装置１０に転送する。制御装置１０は、名前解決要求で指定されたドメイン名に関連付けられたＬ３アドレスを含む名前解決応答を生成する。制御装置１０は、名前解決要求の送信元Ｌ３アドレスに関連付けられたスイッチ装置２０に、送信元Ｌ３アドレスに関連付けられたポートを指定して、名前解決応答を送信する。ここで、管理者等のポリシーに基づき、ＩＰアドレスの変更対象である端末３０のドメイン名に対して、変更先のＩＰアドレスが関連付けられる。

　これにより、安価な汎用スイッチ装置２０を用いて、リダイレクションのような、管理者等のポリシーに基づいた宛先Ｌ３アドレスの自在な変更を容易に実現できる。

　さらに、変更先のＩＰアドレスとしてＩＰｖ６アドレスを設定し、ＩＰｖ４アドレスを要求する名前解決要求に対してＩＰｖ６アドレスを応答することにより、宛先ＩＰアドレスをＩＰｖ４からＩＰｖ６アドレスへ変更できる。これにより。ＩＰｖ４環境からＩＰｖ６環境へのスムーズな移行を実現できる。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１７年６月１５日に出願された日本出願特願２０１７－１１７７０２を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　１　　通信システム
　１０　　制御装置
　１１　　論理セグメント情報記憶部
　１２　　通信許可情報記憶部
　１３　　位置情報記憶部
　１４　　アドレス解決処理部
　１５　　アドレス情報記憶部
　１６　　名前解決処理部
　２０　　スイッチ装置
　２１　　入力制御部
　２２　　出力制御部
　２３　　転送制御部
　２４　　Ｌ２テーブル記憶部
　３０　　端末
　４０　　ＤＮＳサーバ
　１０１　　ＣＰＵ
　１０２　　記憶デバイス
　１０３　　入出力デバイス
　１０４　　通信デバイス
　２０１　　ＣＰＵ
　２０２　　記憶デバイス
　２０３　　入出力デバイス
　２０４　　通信デバイス
　６０　　ＯＦＣ
　７０　　ＯＦＳ
　８０　　端末

Claims

　パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御する、転送制御手段と、
　宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を通信制御装置に転送する入力制御手段と、
　前記アドレス解決要求を前記通信制御装置から受信した場合に、当該アドレス解決要求を指定されたポートに送信する出力制御手段と、
　を含む、１以上のスイッチ装置と、
　複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報を記憶する、論理セグメント情報記憶手段と、
　前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報を記憶する、通信許可情報記憶手段と、
　Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報を記憶する、位置情報記憶手段と、
　前記１以上のスイッチ装置の内のいずれかから前記アドレス解決要求を受信した場合に、前記論理セグメント情報と前記通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、前記位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する、アドレス解決処理手段と、
　を含む通信制御装置と、
　を備える通信システム。
　前記入力制御手段は、前記アドレス解決要求とともに、自スイッチ装置の識別子、及び、当該アドレス解決要求を受信したポートの識別子を、前記通信制御装置に転送し、
　前記アドレス解決処理手段は、前記アドレス解決要求の送信元Ｌ３アドレスに関連付けて、当該アドレス解決要求とともに転送されたスイッチ装置の識別子とポートの識別子を、前記位置情報に設定する、
　請求項１に記載の通信システム。
　前記入力制御手段は、さらに、ドメイン名に対するＬ３アドレスを解決するための名前解決要求を、いずれかのポートにおいて受信した場合に、当該名前解決要求を前記通信制御装置に転送し、
　前記出力制御手段は、さらに、前記通信制御装置から名前解決応答を受信した場合に、当該名前解決応答を指定されたポートに送信し、
　前記通信制御装置は、さらに、
　ドメイン名に関連付けてＬ３アドレスを示すアドレス情報を記憶する、アドレス情報記憶手段と、
　前記１以上のスイッチ装置の内のいずれかから前記名前解決要求を受信した場合に、前記アドレス情報に基づき、当該名前解決要求で指定されたドメイン名に関連付けられたＬ３アドレスを含む前記名前解決応答を生成し、前記位置情報に基づき、当該名前解決要求の送信元Ｌ３アドレスに関連付けられたスイッチ装置に、当該送信元Ｌ３アドレスに関連付けられたポートを指定して、当該名前解決応答を送信する、名前解決処理手段と、
　を含む、
　請求項１または２に記載の通信システム。
　前記アドレス情報は、ドメイン名に関連付けてＩＰｖ４アドレスまたはＩＰｖ６アドレスを示し、
　前記名前解決処理手段は、前記名前解決要求でＩＰｖ４アドレスの解決が要求された場合に、前記アドレス情報において当該名前解決要求で指定されたドメイン名に関連付けられたＬ３アドレスがＩＰｖ６アドレスであれば、当該ＩＰｖ６アドレスを含む前記名前解決応答を生成する、
　請求項３に記載の通信システム。
　複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報を記憶する、論理セグメント情報記憶手段と、
　前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報を記憶する、通信許可情報記憶手段と、
　Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報を記憶する、位置情報記憶手段と、
　１以上のスイッチ装置の内のいずれかから、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を受信した場合に、前記論理セグメント情報と前記通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、前記位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する、アドレス解決処理手段と、
　を備えた通信制御装置であって、
　前記１以上のスイッチ装置の各々は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御し、いずれかのポートで受信した前記アドレス解決要求を、前記通信制御装置に転送し、前記通信制御装置から受信した前記アドレス解決要求を、指定されたポートに送信する、
　通信制御装置。
　パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御する、転送制御手段と、
　宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を通信制御装置に転送する入力制御手段と、
　前記アドレス解決要求を前記通信制御装置から受信した場合に、当該アドレス解決要求を指定されたポートに送信する出力制御手段と、
　を備えたスイッチ装置であって、
　前記通信制御装置は、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報を記憶し、前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報を記憶し、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報を記憶し、１以上のスイッチ装置の内のいずれかから前記アドレス解決要求を受信した場合に、前記論理セグメント情報と前記通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、前記位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する、
　スイッチ装置。
　通信制御装置において、
　１以上のスイッチ装置の内のいずれかから、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を受信した場合に、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報と前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、
　許可されていれば、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する、
　通信制御方法であって、
　前記１以上のスイッチ装置の各々は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御し、いずれかのポートで受信した前記アドレス解決要求を、前記通信制御装置に転送し、前記通信制御装置から受信した前記アドレス解決要求を、指定されたポートに送信する、
　通信制御方法。
　パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御するスイッチ装置において、
　宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を通信制御装置に転送し、
　前記アドレス解決要求を前記通信制御装置から受信した場合に、当該アドレス解決要求を指定されたポートに送信する、
　通信制御方法であって、
　前記通信制御装置は、１以上のスイッチ装置の内のいずれかから前記アドレス解決要求を受信した場合に、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報と前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する、
　通信制御方法。
　通信制御装置として用いるコンピュータに、
　１以上のスイッチ装置の内のいずれかから、宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を受信した場合に、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報と前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定する処理と、
　許可されていれば、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する処理と、
　を実行させる、プログラムを格納する、コンピュータが読み取り可能な記録媒体であって、
　前記１以上のスイッチ装置の各々は、パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御し、いずれかのポートで受信した前記アドレス解決要求を、前記通信制御装置に転送し、前記通信制御装置から受信した前記アドレス解決要求を、指定されたポートに送信する、
　記録媒体。
　パケットの宛先Ｌ２アドレスに基づいて、ポート間のパケットの転送を制御するスイッチ装置として用いるコンピュータに、
　宛先Ｌ３アドレスに対するＬ２アドレスを解決するためのアドレス解決要求を、いずれかのポートにおいて受信した場合に、当該アドレス解決要求を通信制御装置に転送する処理と、
　前記アドレス解決要求を前記通信制御装置から受信した場合に、当該アドレス解決要求を指定されたポートに送信する処理と、
　を実行させる、プログラムを格納する、コンピュータが読み取り可能な記録媒体であって、
　前記通信制御装置は、１以上のスイッチ装置の内のいずれかから前記アドレス解決要求を受信した場合に、複数の論理セグメントの各々に関連付けて当該論理セグメントに属するＬ３アドレスを示す論理セグメント情報と前記複数の論理セグメントの各組に関連付けて当該組の論理セグメント間の通信の可否を示す通信許可情報に基づき、当該アドレス解決要求の宛先Ｌ３アドレスと送信元Ｌ３アドレスのそれぞれが属する論理セグメント間の通信が許可されているかどうかを判定し、許可されていれば、Ｌ３アドレスに関連付けてスイッチ装置の識別子と当該スイッチ装置のポートの識別子とを示す位置情報に基づき、当該宛先Ｌ３アドレスに関連付けられたポートを指定して、当該アドレス解決要求を、当該宛先Ｌ３アドレスに関連付けられたスイッチ装置に転送する、
　記録媒体。