WO2019043827A1

WO2019043827A1 - ネットワーク制御装置、通信システム、ネットワーク制御方法、プログラム、及び記録媒体

Info

Publication number: WO2019043827A1
Application number: PCT/JP2017/031144
Authority: WO
Inventors: 文裕沈; 隆可児島; 健二新井; 毅郎嵯峨; 貴行亀井
Original assignee: エヌ・ティ・ティ・コミュニケーションズ株式会社
Priority date: 2017-08-30
Filing date: 2017-08-30
Publication date: 2019-03-07
Also published as: JPWO2019043827A1; US10924301B2; US20190288875A1; EP3518479A1; JP6434190B1; EP3518479A4; CN109891841B; CN109891841A; EP3518479B1

Abstract

所定のネットワークに接続された複数のゲートウェイ装置と、複数の端末とを備えるシステムに対する制御を実行するネットワーク制御装置において、第１の端末が使用する第１のゲートウェイ装置を、当該第１の端末と前記複数のゲートウェイ装置との間の品質に基づき選択する選択部と、前記第１の端末と、前記第１のゲートウェイ装置を使用する他の各端末との間をトンネルにより接続するトンネル構築部と、前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記第１の端末と前記第２の端末との間のトンネルを経由し、前記第２のゲートウェイ装置が、前記第１のゲートウェイ装置と異なる場合に、前記第１の端末から前記第２の端末へのトラフィックが前記所定のネットワークを経由するように経路制御を実行する経路制御部とを備える。

Description

ネットワーク制御装置、通信システム、ネットワーク制御方法、プログラム、及び記録媒体

　本発明は、ＳＤ－ＷＡＮ等のネットワークにおけるネットワーク制御技術に関連するものである。

　北米の大手金融／流通／小売り等の企業のＩＴ責任者を中心に立ち上げたＯＮＵＧ（Ｏｐｅｎ　Ｎｅｔｗｏｒｋｉｎｇ　Ｇｒｏｕｐ）という団体でＳＤ－ＷＡＮ（Ｓｏｆｔｗａｒｅ－ｄｅｆｉｎｅｄ　ＷＡＮ）の技術が提唱されてきた。従来のＷＡＮコストの削減、運用の簡略化、品質の向上等を狙い、多くの企業ユーザが市販のＳＤ－ＷＡＮソリューションを導入し始めた。ＳＤ－ＷＡＮの登場による企業ＷＡＮの変化も大きく見られる。

　まず、拠点間の通信が徐々にＭＰＬＳ網からインターネット網へオフロードしている。業務系トラフィックはＭＰＬＳ網を経由し、その他トラフィックはインターネット網を経由する構成はＤｅ　ｆａｃｔｏ　ｓｔａｎｄａｒｄになりつつある。一部の拠点はインターネットのみでの接続構成も増えている。

　次に、大手ソフトウェア会社や大手ｅコマース会社等により提供されるＰｕｂｌｉｃ　ｃｌｏｕｄへの接続も急増している。多くのＳＤ－ＷＡＮソリューションは仮想ＣＰＥ（ｃｕｓｔｏｍｅｒ　ｐｒｅｍｉｓｅｓ　ｅｑｕｉｐｍｅｎｔ）を用いて、拠点側の物理ＣＰＥと直接にＯｖｅｒｌａｙトンネルを構築することでＰｕｂｌｉｃ　ｃｌｏｕｄとの接続を実現している。また、ＳａａＳアクセスを中心としたＬｏｃａｌ　Ｉｎｔｅｒｎｅｔ　ｂｒｅａｋｏｕｔの利用も要望されている。

特開２００７－３２９５４９号公報

　しかし、既存のＳＤ－ＷＡＮは導入・運用に当たって、まだ多くの課題が存在している。その中で、例えばＩＤＣの調査により、特に、ＮＷの品質の課題が指摘されている。

　ＳＤ－ＷＡＮでは、インターネット上にＯｖｅｒｌａｙトンネルを構築し、Ｏｖｅｒｌａｙ経由のトラフィックが多くなる。そのため、例えば、ＩＳＰ間ルーティングによって、拠点間の遅延が予想以上大きくなったり、地域、ＩＳＰ、時間帯によって大きなパケットロスが発生したりする。更に、リモートデスクトップや、電話システム、ファイル共有等のアプリケーションの利用増によって、帯域に対する要望も高くなっている。

　本発明は上記の点に鑑みてなされたものであり、複数の拠点間をネットワーク接続する際に、接続する複数の拠点の配置に応じた接続方法を用いることで、複数の拠点間の品質を向上させる技術を提供することを目的とする。

　開示の技術によれば、所定のネットワークに接続された複数のゲートウェイ装置と、複数の端末とを備えるシステムに対する制御を実行するネットワーク制御装置であって、
　第１の端末が使用する第１のゲートウェイ装置を、当該第１の端末と前記複数のゲートウェイ装置との間の品質に基づき選択する選択部と、
　前記第１の端末と、前記第１のゲートウェイ装置を使用する他の各端末との間をトンネルにより接続するトンネル構築部と、
　前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記第１の端末と前記第２の端末との間のトンネルを経由し、前記第２のゲートウェイ装置が、前記第１のゲートウェイ装置と異なる場合に、前記第１の端末から前記第２の端末へのトラフィックが前記所定のネットワークを経由する、ように経路制御を実行する経路制御部と
　を備えることを特徴とするネットワーク制御装置が提供される。

　開示の技術によれば、複数の拠点間をネットワーク接続する際に、接続する複数の拠点の配置に応じた接続方法を用いることで、複数の拠点間の品質を向上させる技術が提供される。

第１の実施形態におけるシステムの構成図である。ＶＰＮ端末の構成図である。ＶＰＮゲートウェイの構成図である。装置のハードウェア構成図である。第１の実施形態におけるシステムの動作を説明するためのフローチャートである。ＶＰＮ端末Ａに関するＧＷの品質データを示す図である。ＶＰＮ端末Ａのルーティングテーブルを示す図である。ＶＰＮゲートウェイＥのルーティングテーブルを示す図である。ＶＰＮゲートウェイＦのルーティングテーブルを示す図である。第２の実施形態におけるシステムの構成図である。第２の実施形態におけるシステムの動作を説明するためのフローチャートである。ＶＰＮ端末ＡとＶＰＮ端末Ｃ間の通信に関するＮＷ品質データ（バックボーンＮＷを経由する場合）を示す図である。ＶＰＮ端末ＡとＶＰＮ端末Ｃ間の通信に関するＮＷ品質データ（バックボーンＮＷを経由しない場合）を示す図である。第３の実施形態におけるシステムの構成図である。第３の実施形態におけるシステムの動作を説明するためのフローチャートである。ＶＰＮ端末Ａのルーティングテーブルを示す図である。ＶＰＮゲートウェイＥのルーティングテーブルを示す図である。第４の実施形態におけるシステムの構成図である。第４の実施形態におけるシステムの動作を説明するためのフローチャートである。ＶＰＮゲートウェイＥのルーティングテーブルを示す図である。第５の実施形態におけるシステムの構成図である。ＶＰＮ端末Ａのルーティングテーブルを示す図である。ＶＰＮゲートウェイＥのルーティングテーブルを示す図である。ＶＰＮゲートウェイＦのルーティングテーブルを示す図である。

　以下、図面を参照して本発明の実施の形態（本実施の形態）を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。

　以下、第１～第５の実施形態を説明する。以下の説明において、第１の実施形態の構成が基本構成であり、第２～第５の実施形態に係る構成は、それぞれその前までに説明した実施形態の構成に付加されるものである。ただし、第１～第５の実施形態をそれぞれ単独で実施してもよい。なお、以下では、付加機能を提供する装置の例として、セキュリティ機能を提供する装置、ＷＡＮ高速化機能を提供する装置、ＳａａＳ／クラウド接続するための閉域網を構成する装置等を説明しているが、これらは例であり、付加機能を提供する装置はこれらに限られない。例えば、ＦＥＣ（Ｆｏｒｗａｒｄｉｎｇ　Ｅｑｕｉｖａｌｅｎｃｅ　Ｃｌａｓｓ）機能を提供する装置が使用されてもよい。

　（第１の実施形態）
　　＜システム構成＞
　図１に第１の実施形態におけるシステム構成を示す。図１に示すように、第１の実施形態におけるシステムは、ＶＰＮ端末Ａ～Ｄ、ＶＰＮゲートウェイＥ、Ｆ、及びＮＷ制御装置１００を有する。ＶＰＮ端末Ａ～ＤはアクセスＮＷ２０、３０に接続される。また、ＶＰＮゲートウェイＥ、ＦはバックボーンＮＷ１０に接続される。当該システムにおいて、ＶＰＮ端末Ａ～Ｄ、ＶＰＮゲートウェイＥ、Ｆ、アクセスＮＷ２０、３０、バックボーンＮＷ１０は、ＳＤ－ＷＡＮ　ＮＷ基盤を構成している。なお、「ＶＰＮゲートウェイ」を略して「ＧＷ」と称する場合がある。また、「ＶＰＮゲートウェイ」を「ゲートウェイ装置」と称してもよい。

　図１において、各ＶＰＮ端末に割り当てられたＩＰアドレスが示されている。例えば、ＶＰＮ端末ＡのＩＰアドレスはＡ．Ａ．Ａ．Ａ／Ａである。各ＶＰＮ端末はＶＰＮを終端する装置として個々の拠点に設置することを想定する。各ＶＰＮ端末は、例えばＳＤ－ＷＡＮルータであり、ＣＰＥと呼ばれてもよい。本実施形態において、ＶＰＮ端末間及びＶＰＮ端末・ＧＷ間に構築されるＶＰＮの方式は特定の方式に限定されないが、例えばＩＰｓｅｃあるいはＤＴＬＳ等を用いたＶＰＮを使用することができる。ただし、ＶＰＮはそれらに限らない。

　各ＶＰＮゲートウェイは複数のＶＰＮ端末を収容するＳＤ－ＷＡＮルータ等の装置であり、主にキャリアの局舎に設定されることを想定する。ただし、ＶＰＮゲートウェイの設置場所はそれに限られない。ＶＰＮゲートウェイを、Ｃｌｏｕｄ事業者、あるいは企業のＨｕｂ拠点等に設定することとしてもよい。

　各ＶＰＮ端末は、ＶＰＮゲートウェイにアクセスＮＷを介して接続される。図１の例では、ＶＰＮ端末Ａ、ＢがＶＰＮゲートウェイＥにアクセスＮＷ２０を介して接続され、ＶＰＮ端末Ｃ、ＤがＶＰＮゲートウェイＦにアクセスＮＷ３０を介して接続されている。

　アクセスＮＷは、特定のＮＷに限定されないが、例えば、Ｉｎｔｅｒｎｅｔ、ＬＴＥ、ＭＰＬＳ等である。また、アクセスＮＷは一つでなく、複数種類のＮＷから構成されるＨｙｂｒｉｄ　ＮＷであってもよい。

　本実施形態における全てのＶＰＮゲートウェイＥ、Ｆは、バックボーンＮＷ１０によって接続される。バックボーンＮＷ１０は、ＩｎｔｅｒｎｅｔのバックボーンＮＷ、ＭＰＬＳ網等の高品質なＮＷである。ただし、これらに限定されない。また、バックボーンＮＷ１０をＵｎｄｅｒｌａｙのバックボーンＮＷと称してもよい。また、各ＶＰＮ端末は、他のＶＰＮ端末とＩｎｔｅｒｎｅｔ、ＬＴＥ、ＭＰＬＳ等のネットワークを介して通信可能である。

　ＮＷ制御装置１００は、制御ネットワーク等により、各ＶＰＮゲートウェイ及び各ＶＰＮ端末と通信可能である。図１には、例として、ＮＷ制御装置１００がＶＰＮ端末Ａ及びＶＰＮゲートウェイＥと接続されていることが示されているが、ＮＷ制御装置１００は、他のＶＰＮ端末及びＶＰＮゲートウェイとも接続される。

　図１に示すとおり、ＮＷ制御装置１００は、ＧＷ品質収集部１０１、ＧＷ自動選択部１０２、トンネル構築部１０３、ＶＰＮ経路制御部１０４を有する。

　ＧＷ品質収集部１０１は、主にＶＰＮ端末とＶＰＮゲートウェイ間のアクセスＮＷの品質を収集する機能部である。ＧＷ品質収集部１０１は、ＶＰＮ端末とＶＰＮゲートウェイ間の品質データとして例えば遅延値を収集するが、それに限らない。パスロス、パケットロス、ジッタ、又は帯域等のデータを収集してもよい。

　ＧＷ自動選択部１０２は、特定のＶＰＮ端末がどのＶＰＮゲートウェイと接続するかを判断する機能部である。本実施形態では、ＧＷ自動選択部１０２は、ＧＷ品質収集部１０１により収集した品質データに基づいて、ＶＰＮ端末との間の通信の品質が最も良いＶＰＮゲートウェイを選択する。一例として、ＧＷ自動選択部１０２は、遅延値を分析して、遅延の最も小さいＶＰＮゲートウェイを選択する。すなわち、ＧＷ自動選択部１０２は、ＶＰＮ端末に最も近いと考えられるＶＰＮゲートウェイを選択する。

　トンネル構築部１０３は、該当ＶＰＮ端末と、ＧＷ自動選択部１０２により選択された接続先のＶＰＮゲートウェイとの間のＯｖｅｒｌａｙトンネル等を構築する機能部である。一例として、トンネル構築部１０３は、該当ＶＰＮ端末に対し、ＧＷ自動選択部１０２により選択された接続先のＶＰＮゲートウェイの識別情報（例：ＩＰアドレス）を通知し、通知を受けたＶＰＮ端末が当該ＶＰＮゲートウェイにアクセスすることで当該ＶＰＮ端末と当該ＶＰＮゲートウェイとの間にＯｖｅｒｌａｙトンネルが構築される。ただし、これは例であり、いかなる方法でＯｖｅｒｌａｙトンネルを構築してもよい。トンネル構築部１０３は、ＶＰＮ端末間のＯｖｅｒｌａｙトンネルを構築する機能も有する。

　ＶＰＮ経路制御部１０４は、ＶＰＮ端末間の通信を、例えば、選択されたＶＰＮゲートウェイ、バックボーンＮＷ、対向側のＶＰＮゲートウェイ、宛先ＶＰＮ端末の順に経由させるように経路を制御する。具体的には、ＶＰＮ経路制御部１０４は、各装置にルーティングテーブルを投入することで経路制御を実行する。

　図２は、本実施形態における各ＶＰＮ端末として使用されるＶＰＮ端末２００の機能構成図である。図２に示すように、ＶＰＮ端末２００は、通信部２１０、方路決定部２２０、データ格納部２３０を有する。通信部２１０は、入力されたパケットを、方路決定部２２０により決定された方路に向けて送出する機能を有する。方路決定部２２０は、パケットの宛先ＩＰアドレスと、ルーティングテーブル等に基づいて、パケットの送出方路を決定する機能を有する。データ格納部２３０は、ＮＷ制御装置１００からルーティングテーブルを受信し、格納する。

　図３は、本実施形態における各ＶＰＮゲートウェイとして使用されるＶＰＮゲートウェイ３００の機能構成図である。図３に示すように、ＶＰＮゲートウェイ３００は、通信部３１０、方路決定部３２０、データ格納部３３０を有する。通信部３１０は、入力されたパケットを、方路決定部３２０により決定された方路に向けて送出する機能を有する。方路決定部３２０は、パケットの宛先ＩＰアドレスと、ルーティングテーブル等に基づいて、パケットの送出方路を決定する機能を有する。データ格納部３３０は、ＮＷ制御装置１００からルーティングテーブルを受信し、格納する。

　上述した各装置（ＮＷ制御装置１００、ＶＰＮ端末２００、ＶＰＮゲートウェイ３００）はいずれも、コンピュータに、本実施形態（第２～第５の実施形態でも同様）で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、当該装置が有する機能は、コンピュータに内蔵されるＣＰＵやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体（可搬メモリ等）に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。

　図４は、上記装置のハードウェア構成例を示す図である。図４の装置は、それぞれバスＢで相互に接続されているドライブ装置１０００、補助記憶装置１００２、メモリ装置１００３、ＣＰＵ１００４、インタフェース装置１００５、表示装置１００６、及び入力装置１００７等を有する。なお、上述した各装置（ＮＷ制御装置１００、ＶＰＮ端末２００、ＶＰＮゲートウェイ３００）において、表示装置１００６及び入力装置１００７を備えないこととしてもよい。

　当該装置での処理を実現するプログラムは、例えば、ＣＤ－ＲＯＭ又はメモリカード等の記録媒体１００１によって提供される。プログラムを記憶した記録媒体１００１がドライブ装置１０００にセットされると、プログラムが記録媒体１００１からドライブ装置１０００を介して補助記憶装置１００２にインストールされる。但し、プログラムのインストールは必ずしも記録媒体１００１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１００２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１００３は、プログラムの起動指示があった場合に、補助記憶装置１００２からプログラムを読み出して格納する。ＣＰＵ１００４は、メモリ装置１００３に格納されたプログラムに従って当該装置に係る機能を実現する。インタフェース装置１００５は、ネットワークに接続するためのインタフェースとして用いられる。表示装置１００６はプログラムによるＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）等を表示する。入力装置１００７はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。

　＜システムの動作＞
　以下、図１に示した本実施形態におけるシステムの動作例について、図５のフローチャートの手順に沿って説明する。

　ＶＰＮ端末ＡがアクセスＮＷに接続すると、ＧＷ品質収集部１０１がＶＰＮ端末Ａと、接続可能な全てのＶＰＮゲートウェイのそれぞれとの間のアクセスＮＷの品質データを収集し始める（Ｓ１０１）。例えば、ＶＰＮ端末Ａが、ＶＰＮゲートウェイにパケットを送信し、応答を受信することで品質データを取得し、それをＧＷ品質収集部１０１に報告することとしてもよいし、ＶＰＮゲートウェイが品質データを取得して、それをＧＷ品質収集部１０１に報告することとしてもよいし、その他の方法を採用してもよい。

　ＧＷ品質収集部１０１は、収集した品質データを例えば図６に示す内部データ構造でメモリ等に保持する。図６に示す例では、ＶＰＮ端末ＡとＶＰＮゲートウェイＥ、Ｆ間の遅延値が示されている。なお、品質データとして遅延値を測定、保持することは一例である。例えば、品質データとして、パスロス、ジッタ、あるいはパケットロスを測定、保持してもよい。また、複数種類の品質データ（例：遅延、パスロス、ジッタ、及びパケットロス）を測定、保持してもよい。

　次に、ＧＷ自動選択部１０２が、ＧＷ品質収集部１０１により収集された品質データに基づいて、ＶＰＮ端末Ａの接続先のＧＷとして最適なＧＷを選択する（Ｓ１０２）。選択基準として、該当ＶＰＮ端末Ａとの間のアクセスＮＷの品質が最良のＶＰＮゲートウェイが選ばれる。図６に示した品質データの場合、ＶＰＮゲートウェイＥがＶＰＮ端末Ａとの間の遅延が最も小さいため、最適なＧＷとして選択される。なお、ここでは、品質として遅延を使用しているため、品質が最良のＧＷとして遅延が最も小さいＧＷを選択している。ただし、これは一例に過ぎない。例えば、品質としてパスロスを使用する場合には、ＧＷ自動選択部１０２は、品質が最良のＧＷとしてパスロスが最も小さいＧＷを選択し、品質としてパケットロスを使用する場合には、ＧＷ自動選択部１０２は、品質が最良のＧＷとしてパケットロスが最も小さいＧＷを選択し、品質としてジッタを使用する場合には、ＧＷ自動選択部１０２は、品質が最良のＧＷとしてジッタが最も小さいＧＷを選択する。なお、上記の例はいずれも、品質として、値が小さいほど良い品質となるものを使用している。品質として、値が大きいほど良い品質となるものを使用する場合には、ＧＷ自動選択部１０２は、品質が最良のＧＷとして当該品質が最も大きいＧＷを選択する。

　また、複数種類の品質を使用する場合には、例えば、ＧＷ自動選択部１０２は、品質が最良のＧＷとして、各品質を重み付け加算した値が最も小さい（あるいは最も大きい）ＧＷを選択することとしてもよい。例えば３種類の品質を使用する場合において、当該３種類の品質の値をＱ１、Ｑ２、Ｑ３とし、各品質に乗算する重みをＷ１、Ｗ２、Ｗ３とした場合において、各品質を重み付け加算した値は、「Ｗ１×Ｑ１＋Ｗ２×Ｑ２＋Ｗ３×Ｑ３」となる。

　ＧＷ自動選択部１０２によりＧＷが選択されると、トンネル構築部１０３が該当ＶＰＮ端末Ａと、選択されたＧＷ（ここではＶＰＮゲートウェイＥ）との間にＯｖｅｒｌａｙトンネルを構築する（Ｓ１０３）。Ｏｖｅｒｌａｙトンネルとして、ＩＰｓｅｃや、ＤＴＬＳ等様々な既存技術を利用したトンネルを構築可能である。なお、ＶＰＮ端末Ａと、選択されたＧＷとの間を、Ｏｖｅｒｌａｙトンネル以外の方式のコネクションで接続することとしてもよい。Ｏｖｅｒｌａｙトンネルをトンネルと称してもよい。

　続いて、トンネル構築部１０３は、ＶＰＮ端末Ａと、選択されたＧＷ（ここではＶＰＮゲートウェイＥ）配下（つまり、ＶＰＮゲートウェイＥとトンネル接続された）他のＶＰＮ端末との間にもＯｖｅｒｌａｙトンネルを構築する（Ｓ１０４）。なお、ＶＰＮ端末Ａと、他のＶＰＮ端末との間を、Ｏｖｅｒｌａｙトンネル以外の方式のコネクションで接続することとしてもよい。

　続いて、ＶＰＮ経路制御部１０４がＶＰＮ内の経路制御を実施する（Ｓ１０５）。経路制御において、同一ＧＷ配下のＶＰＮ端末間の通信の場合、ＶＰＮ経路制御部１０４は、当該ＶＰＮ端末間のＯｖｅｒｌａｙトンネルを経由させるように経路を制御する。一方、異なるＧＷ配下のＶＰＮ端末間通信の場合、ＶＰＮ経路制御部１０４は、バックボーンＮＷ１０を経由させるように経路を制御する。経路制御は、ＶＰＮ経路制御部１０４が該当装置に対してルーティングテーブルを設定することにより行われる。

　図７は、ＶＰＮ端末Ａに設定されたルーティングテーブルの例を示す。図７に示すルーティングテーブルにより、例えば宛先がＣ．Ｃ．Ｃ．Ｃ／ＣのパケットはＶＰＮゲートウェイＥに転送される。また、同一ＧＷ配下のＶＰＮ端末ＢのＩＰアドレスＢ．Ｂ．Ｂ．Ｂ／を宛先とするパケットは、トンネル経由でＶＰＮ端末Ｂに転送される。

　図８は、ＶＰＮゲートウェイＥに設定されたルーティングテーブルの例を示す。図８に示すルーティングテーブルにより、例えば宛先がＣ．Ｃ．Ｃ．Ｃ／Ｃのパケットは、ＶＰＮゲートウェイＦに転送される。

　図９は、ＶＰＮゲートウェイＦに設定されたルーティングテーブルの例を示す。図９に示すルーティングテーブルにより、例えば宛先がＣ．Ｃ．Ｃ．Ｃ／Ｃのパケットは、ＶＰＮ端末Ｃに転送される。

　図７～図９に示すルーティングテーブルの設定によって、ＶＰＮ端末ＡからＶＰＮ端末Ｃへの通信はＶＰＮゲートウェイＥとＦを経由させた通信になる。なお、本実施形態（他の実施形態でも同様）では、ＶＰＮ端末Ａから送出されるトラフィックに着目した説明を行っているが、ＶＰＮ端末Ａが受信する方向のトラフィックについても同様の制御が可能である。

　（第２の実施形態）
　次に、第２の実施形態を説明する。第２の実施形態は、第１の実施形態に対し、動的ＶＰＮ経路制御機能が追加された実施形態である。以下、第１の実施形態に対して追加された構成及び動作を主に説明する。

　図１０に示すように、ＳＤ－ＷＡＮ　ＮＷ基盤において、アクセスＮＷ間を繋ぐためのインターネット網あるいはＭＰＬＳ網（図中のインターネット／ＭＰＬＳ４０）が追加される。

　また、ＮＷ制御装置１００に、ＮＷ品質収集部１０５、ＶＰＮ経路計算部１０６が追加される。また、トンネル構築部１０３、ＶＰＮ経路制御部１０４は、第１の実施形態には無かった動作を実行する。なお、図１０のＮＷ制御装置１００は、本実施形態の動作説明に登場する機能部のみを示している。

　図１１のフローチャートの手順に沿って、第２の実施形態におけるシステムの動作例を説明する。ここでは、前提として、第１の実施形態で説明したＧＷ選択、ＶＰＮ端末とＧＷ間のトンネル構築、同一ＧＷ配下のＶＰＮ端末間のトンネル構築は完了しているものとする。

　第２の実施形態では、動的ＶＰＮ経路制御を実施するために、ＶＰＮ端末と対向ＶＰＮ端末とが異なるＧＷ配下にあっても、トンネル構築部１０３は、該当ＶＰＮ端末と、対向ＶＰＮ端末間にＯｖｅｒｌａｙトンネルを構築する（Ｓ２０１）。なお、ＶＰＮ端末と、対向ＶＰＮ端末との間を、Ｏｖｅｒｌａｙトンネル以外の方式のコネクションで接続することとしてもよい。

　図１０には、ＶＰＮ端末ＡとＶＰＮ端末Ｃとの間にＯｖｅｒｌａｙトンネルが構築されたことが示されている。

　また、ＮＷ品質収集部１０５は、エンド・ツー・エンド（本例ではＶＰＮ端末ＡとＶＰＮ端末Ｃとの間）のＮＷ品質データを収集する（Ｓ２０２）。ＮＷ品質収集部１０５は、バックボーンＮＷ１０を経由する場合のＮＷ品質データと、バックボーンＮＷ１０を経由しない場合のＮＷ品質データの２種類のＮＷ品質データを収集する。

　図１２、図１３は、ＮＷ品質収集部１０５により収集され、保持されるＮＷ品質データの一例を示す。

　図１２は、バックボーンＮＷ１０を経由する場合におけるＶＰＮ端末ＡとＶＰＮ端末Ｃとの間の通信に関するＮＷ品質データ（本例では遅延値）を示す。図１３は、バックボーンＮＷ１０を経由しない場合におけるＶＰＮ端末ＡとＶＰＮ端末Ｃとの間の通信に関するＮＷ品質データを示す。なお、ＮＷ品質データとして遅延値を収集することは一例に過ぎず、その他の値を収集してもよい。

　図１２に示すように、バックボーンＮＷ１０を経由する場合、ＶＰＮ端末ＡとＶＰＮ端末Ｃ間の通信に関するＮＷ品質データとして、ＶＰＮ端末ＡとＶＰＮゲートウェイＥとの間の品質データ、ＶＰＮゲートウェイＥとＶＰＮゲートウェイＦとの間の品質データ、ＶＰＮゲートウェイＦとＶＰＮ端末Ｃとの間の品質データが収集され、ＮＷ品質収集部１０５に保持される。

　一方、図１３に示すように、バックボーンＮＷ１０を経由しない場合、ＶＰＮ端末ＡとＶＰＮ端末Ｃとの間のＯｖｅｒｌａｙ　ＮＷの品質データのみが収集され、ＮＷ品質収集部１０５に保持される。

　次に、ＮＷ品質収集部１０５により収集されたＮＷ品質データに基づいて、ＶＰＮ経路計算部１０６が、ＶＰＮ端末ＡとＶＰＮ端末Ｃとの間の通信に関し、バックボーンＮＷ１０を経由した方がよいか、直接にＶＰＮ端末間Ｏｖｅｒｌａｙトンネルを経由したほうが良いかを判定する（Ｓ２０３）。

　図１２、図１３に示したＮＷ品質データが得られた場合、「１０ｍｓ＋１００ｍｓ＋２０ｍｓ（バックボーンＮＷ１０経由する場合）＞１００ｍｓ（バックボーンＮＷ１０経由しない場合）」が成り立つ。つまり、バックボーンＮＷ１０を経由する場合のほうが、バックボーンＮＷ１０を経由しない場合よりも遅延が大きくなる。よって、ＶＰＮ経路計算部１０６は、直接にＶＰＮ端末ＡとＶＰＮ端末Ｃとを接続したほうがよいと判断し、ＶＰＮ端末ＡとＶＰＮ端末Ｃとを直接に接続する経路（トンネルの経路）を選択する。

　ＶＰＮ経路制御部１０４は、上記の判定結果に基づいて、ＶＰＮ経路制御を実施する（Ｓ２０４）。具体的には、ＶＰＮ端末Ａに対し、宛先がＣ．Ｃ．Ｃ．Ｃ／ＣであるパケットのＮｅｘｔ－ｈｏｐをＶＰＮ端末Ｃとしたエントリを含むルーティングテーブルが設定される。

　（第３の実施形態）
　次に、第３の実施形態を説明する。従来の企業ＷＡＮ等において、セキュリティの課題が指摘されている。これまでの企業ＷＡＮのインターネットへの出口はＨｕｂ拠点に設けられているため、ブランチ拠点側のセキュリティ対策はほとんど考慮されていない。一方、様々な外部からの攻撃が増えていく傾向も予想されている。本実施形態により、このようなセキュリティの課題が解決される。

　第３の実施形態は、第１の実施形態あるいは第２の実施形態に対し、セキュリティ機能がＰｏＰ（Ｐｏｉｎｔ　ｏｆ　Ｐｒｅｓｅｎｃｅ）側に追加された実施形態である。以下、第１の実施形態あるいは第２の実施形態に対して追加された構成及び動作を主に説明する。なお、"ＰｏＰ側"は、"ＶＰＮゲートウェイ側"と言い換えてもよい。

　図１４に示すように、ＶＰＮゲートウェイＥとインターネット５０との間にセキュリティ機能Ｇが追加される。なお、セキュリティ機能は、全てのＶＰＮゲートウェイに追加されてもよいし、一部のＶＰＮゲートウェイのみに追加されることとしてもよい。

　また、ＮＷ制御装置１００に、セキュリティポリシー設定部１０７が追加される。ＶＰＮ経路制御部１０４は、第１の実施形態あるいは第２の実施形態には無かった動作を実行する。なお、図１４のＮＷ制御装置１００は、本実施形態の動作説明に登場する機能部のみを示している。

　セキュリティ機能Ｇは、特定のものに限定されないが、例えば市販のＦＷ、Ｐｒｏｘｙ、Ａｎｔｉ－Ｖｉｒｕｓ等の機能を有する装置、あるいは、カスタマイズされている特殊なセキュリティ機能を有する装置等である。なお、セキュリティ機能Ｇは、ＶＰＮゲートウェイＥ内の機能部であってもよい。

　図１５のフローチャートの手順に沿って、第３の実施形態におけるシステムの動作例を説明する。

　セキュアなインターネットアクセスを実現するために、エンド・ユーザがセキュリティポリシー設定部１０７を介して、必要なセキュリティポリシーをセキュリティ機能Ｇに設定する（Ｓ３０１）。セキュリティポリシーとして例えば、ＦＷルールや、ＵＲＬ　ＦｉｌｔｅｒのＢｌａｃｋｌｉｓｔ等があるが、それらに限定されるわけではなく、いかなるセキュリティに関するポリシーを設定してもよい。

　その後、ＶＰＮ経路制御部１０４が、インターネット５０向けのトラフィックがＶＰＮゲートウェイＥとセキュリティ機能Ｇを経由するようにＶＰＮ経路を制御する（Ｓ３０２）。

　図１６は、ＶＰＮ経路制御部１０４がＶＰＮ端末Ａに設定したルーティングテーブルの一例を示し、図１７は、ＶＰＮ経路制御部１０４がＶＰＮゲートウェイＥに設定したルーティングテーブルの一例を示す。図１６、図１７において、宛先が０．０．０．０／０のパケットは、インターネット５０向けのパケットであることを示す。

　図１６、図１７の経路設定によって、ＶＰＮ端末Ａからインターネット５０に抜けるトラフィックがＶＰＮゲートウェイＥ、及びセキュリティ機能Ｇを経由することになる。

　（第４の実施形態）
　次に、第４の実施形態を説明する。第４の実施形態は、第１の実施形態、第２の実施形態、又は第３の実施形態に対し、ＷＡＮ高速化機能が追加された実施形態である。以下、第１の実施形態、第２の実施形態、又は第３の実施形態に対して追加された構成及び動作を主に説明する。

　図１８に示すように、ＶＰＮゲートウェイＥとバックボーンＮＷ１０との間にＷＡＮ高速化機能Ｊが追加され、ＶＰＮゲートウェイＦとバックボーンＮＷ１０との間にＷＡＮ高速化機能Ｋが追加される。なお、ＷＡＮ高速化機能は、全てのＶＰＮゲートウェイに追加されてもよいし、一部のＶＰＮゲートウェイのみに追加されることとしてもよい。

　また、ＮＷ制御装置１００に、ＷＡＮ高速化制御部１０８が追加される。ＶＰＮ経路制御部１０４は、第１の実施形態、第２の実施形態、又は第３の実施形態には無かった動作を実行する。なお、図１８のＮＷ制御装置１００は、本実施形態の動作説明に登場する機能部のみを示している。

　ＷＡＮ高速化機能Ｊ、Ｋとして、例えば、市販のＷＡＮ高速化装置を使用することができる。また、カスタマイズされている特殊なＷＡＮ高速化機能を有する装置を用いてもよい。

　図１９のフローチャートの手順に沿って、第４の実施形態におけるシステムの動作例を説明する。

　ＶＰＮゲートウェイＥ、Ｆ間の通信を更に高速化させるため、エンド・ユーザがＷＡＮ高速化制御部１０８を介して、必要な高速化ポリシーをＷＡＮ高速化機能Ｊ（及び／又はＷＡＮ高速化機能Ｋ）に設定する（Ｓ４０１）。高速化ポリシーとして、例えば、ピアとなる対向装置のＩＰアドレス、キャッシュのサイズ、プロトコル種類等があるが、それらに限定されず、全てのＷＡＮ高速化に関するポリシーが設定の対象となる。

　その後、ＶＰＮ経路制御部１０４が、バックボーンＮＷ１０経由のトラフィックがＷＡＮ高速化機能Ｊを経由するようにＶＰＮ経路を制御する（Ｓ４０２）。

　図２０は、ＶＰＮ経路制御部１０４が、ＶＰＮゲートウェイＥに設定したルーティングテーブルの一例である。図２０の経路設定によって、ＶＰＮ端末ＡとＶＰＮ端末Ｃとの間のトラフィックがＷＡＮ高速化機能Ｊを経由することになる。

　（第５の実施形態）
　次に、第５の実施形態を説明する。第５の実施形態は、第１の実施形態、第２の実施形態、第３の実施形態、又は第４の実施形態に対し、ＳａａＳあるいはクラウドへのアクセスを高速化するための構成が追加された実施形態である。以下、第１の実施形態、第２の実施形態、第３の実施形態、又は第４の実施形態に対して追加された構成及び動作を主に説明する。

　図２１に示すとおり、ＶＰＮゲートウェイＦの配下に、ＶＰＮゲートウェイＦとＳａａＳ－Ｈ及びクラウドＩとが閉域接続を行うための閉域網６０が接続される。なお、閉域網６０は、ＶＰＮゲートウェイＦに接続されるアクセスＮＷ３０に追加で接続されてもよいし、アクセスＮＷ３０に代えて接続されてもよい。また、ＳａａＳ‐ＨあるいはクラウドＩ等を接続する閉域網をＤｉｒｅｃｔ　Ｃｏｎｎｅｃｔ網と称してもよい。当該閉域網６０は、例えば、ＶＬＡＮや、ＭＰＬＳ等のネットワークを構成する伝送装置等の既存技術に係る装置で実現される。

　本実施形態において、ＶＰＮ端末ＡとＳａａＳ‐Ｈ／クラウドＩとの間の通信を高速化するために、ＶＰＮ経路制御部１０４がＶＰＮ端末ＡとＳａａＳ‐Ｈ又はクラウドＩ間の通信をバックボーンＮＷ１０に経由させるように経路を制御する。

　図２２は、ＶＰＮ経路制御部１０４が、ＶＰＮ端末Ａに設定したルーティングテーブルの一例である。図２３は、ＶＰＮ経路制御部１０４が、ＶＰＮゲートウェイＥに設定したルーティングテーブルの一例である。図２４は、ＶＰＮ経路制御部１０４が、ＶＰＮゲートウェイＦに設定したルーティングテーブルの一例である。図２２～図２４において、Ｈ．Ｈ．Ｈ．Ｈ／ＨはＳａａＳ‐ＨのＩＰアドレスを示し、Ｉ．Ｉ．Ｉ．Ｉ／ＩはクラウドＩのＩＰアドレスを示す。

　図２２～図２４の経路設定によって、ＶＰＮ端末ＡからＳａａＳ‐Ｈへのトラフィック、及び、ＶＰＮ端末ＡからクラウドＩへのトラフィックのいずれもバックボーンＮＷ１０を経由することになる。

　（実施の形態の効果等）
　以上、本明細書で説明した技術では、インターネットバックボーン、あるいはＭＰＬＳ等のキャリアのＵｎｄｅｒｌａｙ　ＮＷ基盤を利用し、Ｕｎｄｅｒｌａｙ　ＮＷとＯｖｅｒｌａｙ　ＮＷの最適な組合せにより、拠点間通信の品質向上を実現する。

　そこで、上述したＵｎｄｅｒｌａｙ　ＮＷを最大限利用するために、より拠点に近い接続ポイント（ＰｏＰ）を自動的に選択することとしている。更に、該当ＰｏＰにおいてセキュリティ機能、及び／又はＷＡＮ高速化機能等と連動し、セキュアなインターネットアクセスや、ＰｏＰ間の高速化等様々な付加価値を提供できる。

　また、閉域網（Ｄｉｒｅｃｔ　ｃｏｎｎｅｃｔ等）を含む各種クラウド／ＳａａＳとのＵｎｄｅｒｌａｙでの接続を利用し、拠点とクラウド間、及び拠点とＳａａＳ間の通信の品質を向上させることができる。

　すなわち、本技術により、キャリアのＵｎｄｅｒｌａｙ　ＮＷ基盤を最大限利用し、既存ＳＤ－ＷＡＮソリューションよりも、高品質、かつセキュアな企業ユーザ向けのＷＡＮ　ＮＷを提供することが可能となる。

　（実施の形態のまとめ）
　本明細書には以下の技術が開示されている。

　（第１項）
　所定のネットワークに接続された複数のゲートウェイ装置と、複数の端末とを備えるシステムに対する制御を実行するネットワーク制御装置であって、
　第１の端末が使用する第１のゲートウェイ装置を、当該第１の端末と前記複数のゲートウェイ装置との間の品質に基づき選択する選択部と、
　前記第１の端末と、前記第１のゲートウェイ装置を使用する他の各端末との間をトンネルにより接続するトンネル構築部と、
　前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記第１の端末と前記第２の端末との間のトンネルを経由し、前記第２のゲートウェイ装置が、前記第１のゲートウェイ装置と異なる場合に、前記第１の端末から前記第２の端末へのトラフィックが前記所定のネットワークを経由する、ように経路制御を実行する経路制御部と
　を備えることを特徴とするネットワーク制御装置。

　なお、ＧＷ自動選択部１０２は上記選択部の例であり、トンネル構築部１０３は上記トンネル構築部の例であり、ＶＰＮ経路制御部１０４は上記経路制御部の例である。
（第２項）
　所定のネットワークに接続された複数のゲートウェイ装置と、複数の端末とを備えるシステムに対する制御を実行するネットワーク制御装置であって、
　第１の端末が使用する第１のゲートウェイ装置を、当該第１の端末と前記複数のゲートウェイ装置との間の品質に基づき選択する選択部と、
　前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記所定のネットワークを経由せず、
　前記第２のゲートウェイ装置が、前記第１のゲートウェイ装置と異なる場合に、前記第１の端末から前記第２の端末へのトラフィックの経路として、前記所定のネットワークを経由する第１の経路、又は、当該所定のネットワークを経由しない第２の経路のいずれかを、当該第１の経路の品質及び当該第２の経路の品質に基づき決定し、前記第１の端末から前記第２の端末へのトラフィックが、当該決定した経路を経由する、
　ように経路制御を実行する経路制御部と
　を備えることを特徴とするネットワーク制御装置。

　なお、ＧＷ自動選択部１０２は上記選択部の例であり、ＶＰＮ経路制御部１０４及びＶＰＮ経路計算部１０６は上記経路制御部の例である。また、上記第２項の構成において、ネットワーク制御装置は、前記第１の端末と、前記第１のゲートウェイ装置を使用する他の各端末との間をトンネルにより接続するトンネル構築部を更に備え、経路制御部は、前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記第１の端末と前記第２の端末との間の前記トンネルを経由するように経路制御を行ってもよい。
（第３項）
　前記選択部は、前記複数のゲートウェイ装置のうち、前記第１の端末との品質が最良となるゲートウェイ装置を前記第１のゲートウェイ装置として選択する
　ことを特徴とする第１項又は第２項に記載のネットワーク制御装置。
（第４項）
　前記システムは付加機能を提供する装置を備え、前記経路制御部は、前記第１の端末からのトラフィックが当該付加機能を提供する装置を経由するように経路制御を実行する
　ことを特徴とする第１項ないし第３項のうちいずれか１項に記載のネットワーク制御装置。
（第５項）
　第１項ないし第４項のうちいずれか１項に記載のネットワーク制御装置と、前記所定のネットワークに接続された前記複数のゲートウェイ装置と、前記複数の端末とを備える通信システム。
（第６項）
　所定のネットワークに接続された複数のゲートウェイ装置と、複数の端末とを備えるシステムに対する制御を実行するネットワーク制御装置が実行するネットワーク制御方法であって、
　第１の端末が使用する第１のゲートウェイ装置を、当該第１の端末と前記複数のゲートウェイ装置との間の品質に基づき選択する選択ステップと、
　前記第１の端末と、前記第１のゲートウェイ装置を使用する他の各端末との間をトンネルにより接続するトンネル構築ステップと、
　前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記第１の端末と前記第２の端末との間のトンネルを経由し、前記第２のゲートウェイ装置が、前記第１のゲートウェイ装置と異なる場合に、前記第１の端末から前記第２の端末へのトラフィックが前記所定のネットワークを経由する、ように経路制御を実行する経路制御ステップと
　を備えることを特徴とするネットワーク制御方法。
（第７項）
　コンピュータを、第１項ないし第４項のうちいずれか１項に記載のネットワーク制御装置における各部として機能させるためのプログラム。
（第８項）
　第７項に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。

　以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

１０　バックボーンＮＷ
２０、３０　アクセスＮＷ
４０　インターネット／ＭＰＬＳ
５０　インターネット
６０　閉域網
１００　ＮＷ制御装置
１０１　ＧＷ品質収集部
１０２　ＧＷ自動選択部
１０３　トンネル構築部
１０４　ＶＰＮ経路制御部
１０５　ＮＷ品質収集部
１０６　ＶＰＮ経路計算部
１０７　セキュリティポリシー設定部
１０８　ＷＡＮ高速化制御部
２００、Ａ～Ｄ　ＶＰＮ端末
２１０　通信部
２２０　方路決定部
２３０　データ格納部
３００、Ｅ、Ｆ　ＶＰＮゲートウェイ
３１０　通信部
３２０　方路決定部
３３０　データ格納部
Ｈ　ＳａａＳ
Ｉ　クラウド
Ｊ、Ｋ　ＷＡＮ高速化機能
Ｇ　セキュリティ機能
１０００　ドライブ装置
１００１　記録媒体
１００２　補助記憶装置
１００３　メモリ装置
１００４　ＣＰＵ
１００５　インタフェース装置
１００６　表示装置
１００７　入力装置

Claims

　所定のネットワークに接続された複数のゲートウェイ装置と、複数の端末とを備えるシステムに対する制御を実行するネットワーク制御装置であって、
　第１の端末が使用する第１のゲートウェイ装置を、当該第１の端末と前記複数のゲートウェイ装置との間の品質に基づき選択する選択部と、
　前記第１の端末と、前記第１のゲートウェイ装置を使用する他の各端末との間をトンネルにより接続するトンネル構築部と、
　前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記第１の端末と前記第２の端末との間のトンネルを経由し、前記第２のゲートウェイ装置が、前記第１のゲートウェイ装置と異なる場合に、前記第１の端末から前記第２の端末へのトラフィックが前記所定のネットワークを経由する、ように経路制御を実行する経路制御部と
　を備えることを特徴とするネットワーク制御装置。
　所定のネットワークに接続された複数のゲートウェイ装置と、複数の端末とを備えるシステムに対する制御を実行するネットワーク制御装置であって、
　第１の端末が使用する第１のゲートウェイ装置を、当該第１の端末と前記複数のゲートウェイ装置との間の品質に基づき選択する選択部と、
　前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記所定のネットワークを経由せず、
　前記第２のゲートウェイ装置が、前記第１のゲートウェイ装置と異なる場合に、前記第１の端末から前記第２の端末へのトラフィックの経路として、前記所定のネットワークを経由する第１の経路、又は、当該所定のネットワークを経由しない第２の経路のいずれかを、当該第１の経路の品質及び当該第２の経路の品質に基づき決定し、前記第１の端末から前記第２の端末へのトラフィックが、当該決定した経路を経由する、
　ように経路制御を実行する経路制御部と
　を備えることを特徴とするネットワーク制御装置。
　前記選択部は、前記複数のゲートウェイ装置のうち、前記第１の端末との品質が最良となるゲートウェイ装置を前記第１のゲートウェイ装置として選択する
　ことを特徴とする請求項１又は２に記載のネットワーク制御装置。
　前記システムは付加機能を提供する装置を備え、前記経路制御部は、前記第１の端末からのトラフィックが当該付加機能を提供する装置を経由するように経路制御を実行する
　ことを特徴とする請求項１ないし３のうちいずれか１項に記載のネットワーク制御装置。
　請求項１ないし４のうちいずれか１項に記載のネットワーク制御装置と、前記所定のネットワークに接続された前記複数のゲートウェイ装置と、前記複数の端末とを備える通信システム。
　所定のネットワークに接続された複数のゲートウェイ装置と、複数の端末とを備えるシステムに対する制御を実行するネットワーク制御装置が実行するネットワーク制御方法であって、
　第１の端末が使用する第１のゲートウェイ装置を、当該第１の端末と前記複数のゲートウェイ装置との間の品質に基づき選択する選択ステップと、
　前記第１の端末と、前記第１のゲートウェイ装置を使用する他の各端末との間をトンネルにより接続するトンネル構築ステップと、
　前記第１の端末の通信先となる第２の端末が使用する第２のゲートウェイ装置が、前記第１のゲートウェイ装置と同じである場合に、前記第１の端末から前記第２の端末へのトラフィックが前記第１の端末と前記第２の端末との間のトンネルを経由し、前記第２のゲートウェイ装置が、前記第１のゲートウェイ装置と異なる場合に、前記第１の端末から前記第２の端末へのトラフィックが前記所定のネットワークを経由する、ように経路制御を実行する経路制御ステップと
　を備えることを特徴とするネットワーク制御方法。
　コンピュータを、請求項１ないし４のうちいずれか１項に記載のネットワーク制御装置における各部として機能させるためのプログラム。
　請求項７に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。