WO2022049768A1

WO2022049768A1 - パケット通信装置、パケット処理ルール設定方法、及びプログラム

Info

Publication number: WO2022049768A1
Application number: PCT/JP2020/033781
Authority: WO
Inventors: 克真宮本; 明寛木村; 伸也河野; 幸司杉園; 浩輝加納
Original assignee: 日本電信電話株式会社
Priority date: 2020-09-07
Filing date: 2020-09-07
Publication date: 2022-03-10
Also published as: US20230344761A1; JPWO2022049768A1

Abstract

１以上のパスに接続されるパケット通信装置であって、端末から受信したパケットを、前記１以上のパスのうちのいずれかのパスに振り分けるルーティング部と、前記端末のＩＰアドレスを取得し、当該ＩＰアドレスに基づいて、前記ルーティング部におけるパケット処理の適用ルールを設定する制御部とを備える。

Description

パケット通信装置、パケット処理ルール設定方法、及びプログラム

　本発明は、パケットを、１以上のパスのうちのいずれかのパスに振り分ける技術及び振り分け時におけるパケット処理（フィルタリングやトラフィック制御等）を実施する技術に関連するものである。

　近年、ＩｏＴ機器の普及により、様々なＩｏＴ機器がネットワーク（ＮＷ）に接続されている。また、テレワーク等、ユーザが家庭用ＮＷにＰＣを接続して業務を行うケースも増えている。

　ＩｏＴ機器やＰＣ等の端末は、拠点に備えられるＣＰＥ（Customer Premises Equipment）に接続される。また、ＣＰＥは、１以上のパスを介して１以上のＮＷに接続され、端末からのパケットを宛先のＮＷに振り分ける処理を行う。

　パケットの振り分けを実現する技術として、入力Ｉ／Ｆ、送信元ＩＰアドレス、ポート番号等に基づいてパケットのルーティングを行う技術がある（例えば非特許文献１，２）。

Cisco, "Understanding Policy Routing" https://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/10116-36.html?dtid=osscdc000283 Linux（登録商標） IP-ROUTE https://manpages.debian.org/experimental/iproute2/ip-route.8.en.html

　一般家庭やＳＯＨＯ等の小規模ＮＷを有する拠点では、拠点内のＮＷが端末毎に分離されていないことが一般的である。このようなＮＷでは、入力Ｉ／Ｆ、ポート番号等に基づいて端末を区別することが難しく、また、ＤＨＣＰにより送信元ＩＰアドレスが動的に変わる場合が多い。そのため、端末毎に端末に応じたパケット処理を適切に行うことが難しいという課題がある。なお、本明細書における「パケット処理」は、その意味として、少なくとも「パケット振り分け」と「パケットフィルタリング」と「トラフィック制御」を含む。

　本発明は上記の点に鑑みてなされたものであり、端末から受信したパケットを、前記１以上のパスのうちのいずれかのパスに振り分けるパケット通信装置において、パケット処理を適切に行うことを可能とする技術を提供することを目的とする。

　開示の技術によれば、１以上のパスに接続されるパケット通信装置であって、
　端末から受信したパケットを、前記１以上のパスのうちのいずれかのパスに振り分けるルーティング部と、
　前記端末のＩＰアドレスを取得し、当該ＩＰアドレスに基づいて、前記ルーティング部におけるパケット処理の適用ルールを設定する制御部と
　を備えるパケット通信装置が提供される。

　開示の技術によれば、端末から受信したパケットを、前記１以上のパスのうちのいずれかのパスに振り分けるパケット通信装置において、パケット処理を適切に行うことが可能となる。

関連技術の例を説明するための図である。関連技術の例を説明するための図である。関連技術の例を説明するための図である。本発明の実施の形態におけるシステムの全体構成例を示す図である。本発明の実施の形態におけるシステムの動作概要を説明するための図である。処理手順を示すフローチャートである。テーブルの例を示す図である。テーブルの例を示す図である。実施例１を説明するための図である。実施例１を説明するための図である。ＤＨＣＰ払出の監視方法の例を示す図である。実施例２を説明するための図である。実施例２を説明するための図である。変形例を説明するための図である。ＣＰＥの機能構成例を示す図である。オーケストレータの機能構成例を示す図である。装置のハードウェア構成例を示す図である。

　以下、図面を参照して本発明の実施の形態（本実施の形態）を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。

　（関連技術について）
　本実施の形態に係る技術を説明する前に、関連技術について説明する。図１は、関連技術における通信システムの構成例を示す。

　図１に示すように、本通信システムにおいて、拠点には、ＣＰＥ１０が備えられている。端末ＡがＮＷ１を介してＣＰＥ１０のインターフェース（ｅｔｈ１）に接続され、端末ＢがＮＷ２を介してＣＰＥ１０のインターフェース（ｅｔｈ２）に接続されている。なお、以降、インタフェースをＩ／Ｆと記載する。

　ＣＰＥ１０は、キャリア網２０を介して仮想ルータＡ、仮想ルータＡに接続されている。なお、「仮想ルータ」が使用されることは一例であり、「仮想ルータ」に代えて、「ルータ」が使用されてもよい。後述する本発明の実施の形態の説明でも同様である。

　ＣＰＥのｅｔｈ０上のトンネルＩ／Ｆ（ｔｕｎ０）と仮想ルータＡとの間、及び、トンネルＩ／Ｆ（ｔｕｎ１）と仮想ルータＢとの間のそれぞれに、トンネルが構築されている。トンネルは、仮想的なパスであり、トンネルを「パス」と呼んでもよい。関連技術、及び後述する本発明の実施の形態の説明において、トンネルは、パケットのカプセル化を行うトンネルであってもよいし、パケットのカプセル化を行わないトンネルであってもよい。例えば、パケットにＤＳＣＰ値等を付与することでＱｏＳ制御や優先制御を行う場合における当該パケットの通信がトンネルであってもよい。

　図１に示すとおり、ＣＰＥ１０は、各Ｉ／Ｆに加えて、ルーティング部１１を有している。ルーティング部１１は、ＰＢＲ（Ｐｏｌｉｃｙ－Ｂａｓｅｄ　Ｒｏｕｔｉｎｇ）によって、パケットの入力Ｉ／Ｆ、パケットの送信元ＩＰアドレス、パケットの送信元ポート番号等に基づいたルーティングを行うことが可能である。

　例えば、ルーティング部１１において、特定の送信元ＩＰアドレスを持つパケットの出力Ｉ／ＦとしてトンネルＩ／Ｆを指定することで、当該パケットを指定のトンネルへ振り分けることが可能である。

　図２に、ルーティング部１１に設定されるＰＢＲのルーティングルールの例を示す。図２に示す例では、パケットの入力Ｉ／Ｆに基づいて、出力Ｉ／Ｆが決定される。

　図３に、関連技術の他の構成例を示す。図２と比べて、図３に示す例は、拠点内構成が異なる。

　図３に示す例では、拠点は、マスユーザやＳＯＨＯ等を想定しており、そのＮＷは小規模なものである。ＣＰＥやＡＰの機能及び設置に制約があるため、図３に示すように、複数の端末が同一ＮＷ（ＮＷ１）に所属する。また、ＩＰアドレス払い出しはＤＨＣＰによって管理される。この構成には下記のような課題がある。

　すなわち、図３に示す構成では、複数端末が同一ＮＷに所属するため、入力Ｉ／Ｆが複数端末間で共通となる。よって、図２を参照して説明した入力Ｉ／Ｆに基づく端末毎のパケット振り分けができなくなる。また、サブネットも端末間で共通となるため、送信元サブネットによる振り分けもできなくなる。

　また、ＤＨＣＰにより端末のＩＰアドレスが動的に変更されるので、送信元ＩＰアドレスによるパケット振り分けを行う場合において、その変更に追随できず、所望したパケット振り分けができなくなる可能性がある。

　なお、パケットのポート番号やペイロードでＡＰＬ（アプリケーション）を大まかに特定することは可能であるが、端末の識別には不適であり、ポート番号やペイロードによる端末毎のパケット振り分けは困難である。

　以下、本発明の実施の形態に係る技術として、複数端末が同一ＮＷに接続され、ＩＰアドレスが動的に変更される場合でも、適切にパケットの振り分けを行うことを可能とする技術について説明する。

　（システムの構成例）
　図４に、本実施の形態における通信システムの全体の構成例を示す。図４に示すように、本通信システムにおける拠点は、図３の場合と同様に、マスユーザやＳＯＨＯ等の小規模ＮＷを有する拠点であり、複数端末が１つのＮＷに所属し、ＤＨＣＰによりＩＰアドレスが各端末に割り当てられることを想定している。

　ただし、このような想定は一例であり、本発明に係る技術は、拠点のＮＷの構成に依らずに適用可能である。例えば、図２に示す構成においても本発明に係る技術を適用することが可能である。

　本実施の形態における通信システムは、イーサネット（登録商標）上でＩＰパケットの通信を行うシステムであり、ＡＲＰ等の一般的な機能を少なくとも備えていることを想定しているが、このような想定は一例である。

　図４に示すように、本実施の形態における通信システムにおける拠点には、ＣＰＥ１００が備えられている。ＣＰＥ１００を宅内顧客装置、ホームゲートウェイ等と呼んでもよい。また、ＣＰＥ１００をパケット通信装置と呼んでもよい。

　ＣＰＥ１００には、ＡＰ（アクセスポイント）３０が接続され、ＡＰ３０の配下に端末４０～６０が接続されている。ＡＰ３０は、例えば、無線ＬＡＮのアクセスポイントである。図４には、端末４０～６０の具体例として、ＩｏＴ機器４０、企業貸与端末５０、個人用端末６０が示されている。

　ＣＰＥ１００は、キャリア網２０上に構築される各トンネルにより、仮想ルータ６１０、仮想ルータ６２０、及び仮想ルータ６３０に接続されている。仮想ルータ６１０はインターネット７１０に接続され、仮想ルータ６２０は企業ＮＷ７２０に接続され、仮想ルータ６３０はＭＥＣ７３０に接続されている。

　図４の例では、一例として、個人用端末６０からのパケットは、ベストエフォートの転送を行うトンネルに送出され、当該トンネルを介してインターネット７１０に送信される。また、企業貸与端末５０からのパケットは、優先制御を行うＶＰＮトンネルに送出され、当該トンネルを介して企業ＮＷ７２０に送信される。また、ＩｏＴ機器４０からのパケットは、優先制御を行う低遅延トンネルに送出され、当該トンネルを介してＭＥＣ（Multi-access Edge Computing）のネットワーク７３０に送信される。

　本実施の形態では、ＩＰアドレスが動的に変更される場合であっても、ＣＰＥ１００のルーティング部１４０は、端末毎のパケット振り分けを行うことが可能である。これを可能とするＣＰＥ１００の詳細については後述する。

　上記の処理を行うためにＣＰＥ１００等への情報登録のために、オーケストレータ２００が備えられている。また、サービスオーダＤＢ５００が備えられており、オーケストレータ２００はサービスオーダＤＢ５００にアクセス可能である。サービスオーダＤＢ５００は、オーケストレータ２００の内部に備えられていてもよいし、オーケストレータ２００の外部に備えられていてもよい。

　サービスオーダＤＢ５００には、ユーザ毎に、ポータルサイトのアカウント名、サービス加入状況、ＣＰＥと仮想ルータのＩＰアドレス及びＡＰＩ情報、ＶＰＮ接続先のＩＰアドレス、ＣＰＥのＩ／Ｆ情報（Ｉ／Ｆ名や設定値）等が格納されている。

　ユーザ４００（ユーザの端末等）は、ポータルサイト３００（Ｗｅｂサーバ等）にアクセスすることで、設定情報を投入することができる。

　すなわち、ユーザ４００は、ポータルサイト３００（お客様設定ページ等）にアクセスして、端末情報、サービス情報等を設定する。端末情報は、例えば、ユーザが設定したい端末の情報（ＭＡＣアドレス等）である。サービス情報は、例えば、ユーザが設定したいサービスの情報（ＶＰＮ接続先、優先度等）である。

　例えば、ユーザが、企業貸与端末５０を、ＶＰＮトンネルを介して高優先で企業ＮＷ上の業務サーバに接続させたい場合において、ユーザは、企業貸与端末５０のＭＡＣアドレス、接続先（企業ＮＷ）、及び、高優先の接続を指示する情報をポータルサイト３００にアクセスして設定する。

　ポータルサイト３００からオーケストレータ２００に対して、ユーザが設定した設定情報が送られる。オーケストレータ２００は、設定をしたユーザのアカウント名、及びユーザが入力した設定情報等に基づいて、サービスオーダＤＢ５００から、ＣＰＥ１００への設定に必要なユーザ情報（ＣＰＥのＩＰアドレス、ＡＰＩ情報、認証情報等）、接続先サービスのＣＰＥ設定投入情報（トンネルインターフェイス名やＤＳＣＰ値等）等を取得して、端末情報（ＭＡＣアドレス）及びＣＰＥ設定投入情報をＣＰＥ１００に設定する。ここで設定される情報は、後述する端末識別子と接続先との紐付け情報に相当する。仮想ルータに対しても必要な設定を行う。

　上記のようにして、ＣＰＥ１００等への設定を行うことで、ユーザ４００は、ポータルサイト３００経由でオーダしたサービスを受けることができる。

　（ＣＰＥ１００の構成、動作等）
　図５は、ＣＰＥ１００の内部構成を含む、本実施の形態における通信システムの構成例を示す図である。図５に示す例において、拠点にはＣＰＥ１０が備えられている。端末Ａと端末ＢはいずれもＮＷ１を介してＣＰＥ１００のＩ／Ｆ（ｅｔｈ１）に接続されている。

　ＣＰＥ１００のｅｔｈ０上のトンネルＩ／Ｆ（ｔｕｎ０）と仮想ルータＡとの間、及び、トンネルＩ／Ｆ（ｔｕｎ１）と仮想ルータＢとの間のそれぞれに、トンネルが構築されている。

　図５に示すように、ＣＰＥ１００は、上述した各Ｉ／Ｆに加えて、プロセス１１０、端末情報ＤＢ１２０、アドレス情報ＤＢ１３０、ルーティング部１４０を有する。なお、プロセス１１０は、ＣＰＥ１００内で実行されるプログラムに相当する。あるいは、プロセス１１０は、ＣＰＥ１００内でプログラムが実行されることにより実現される機能部に相当する。

　ルーティング部１４０は、ＰＢＲのルーティングルール等のパケット処理の適用ルールを保持しており、当該適用ルールに従って、端末から受信したパケットのパスへの振り分けや、パケットフィルタリング、トラフィック制御等のパケット処理を行う。アドレス情報ＤＢ１３０は、例えば、ＤＨＣＰのリーステーブル、ＡＲＰテーブル、Ｒａｄｉｕｓサーバのデータベース等である。アドレス情報ＤＢ１３０は、ＤＨＣＰのリーステーブル、ＡＲＰテーブル、Ｒａｄｉｕｓサーバのデータベース等に限定されるわけではなく、これら以外のテーブルやデータベースであってもよい。アドレス情報ＤＢ１３０は、ＣＰＥ１００の内部ではなく、ＣＰＥ１００の外部に備えられてもよい。

　プロセス１１０は、ＲＥＳＴ　ＡＰＩを有しており、オーケストレータ２００からの設定情報をＲＥＳＴ　ＡＰＩが仲介して各ＤＢ等へ投入がなされる。ＡＰＩではなくＳＳＨでオーケストレータ２００が直接にＣＰＥ１００に設定投入することとしてもよい。プロセス１１０が実行する処理を図６のフローチャートを参照して説明する。

　下記の処理の前提として、アドレス情報ＤＢ１３０には、端末毎に、端末のＩＰアドレスと端末識別子との紐付け情報が格納されている。紐付け情報は、端末のＩＰアドレスが変更になれば更新される。また、ルーティング部１４０には、各端末について、プロセス１１０により取得されたＩＰアドレスに基づいて、ＰＢＲのルーティングルールが設定されている。

　ルーティング部１４０におけるパケット処理の適用ルールとしてＰＢＲのルーティングルールを使用することは一例に過ぎない。ルーティング部１４０におけるパケット処理の適用ルールとして、ＡＣＬ、フィルタリングルール（例：ｉｐｔａｂｌｅｓ、ｆｉｒｅｗａｌｌ）、帯域制御や優先制御等のトラフィック制御（例：Ｌｉｎｕｘ（登録商標）のｔｒａｆｆｉｃ　ｃｏｎｔｒｏｌ）を使用してもよい。ルーティング部１４０におけるパケット処理の適用ルールとして、これら以外のルールを使用してもよい。また、ルーティング部１４０におけるパケット処理の適用ルールは、１つであってもよいし、複数であってもよい。

　なお、ｉｐｔａｂｌｅｓコマンドに基づくフィルタリングルールにより、送信元／送信先ＩＰアドレスに基づいたパケット処理（許可、拒否、ＮＡＰＴ実施等）を実行することが可能である。また、ｔｃ（ｔｒａｆｆｉｃ　ｃｏｎｔｒｏｌ）コマンドに基づくトラフィック制御のルールにより、送信元／送信先ＩＰアドレスに基づいたパケット処理（シェーピング、遅延、順序変更等）を実行することが可能である。

　本実施の形態では、端末識別子として端末のＭＡＣアドレスを使用している。アドレス情報ＤＢ１３０に格納されている紐付け情報の例を図７に示す。ＩＰアドレスと端末識別子との紐付け情報の取得（更新）方法の例については、後述する実施例１、２において説明する。

　なお、端末識別子として端末のＭＡＣアドレスを使用することは一例である。ＭＡＣアドレス以外の端末識別子として、ＳＩＭのＩＭＳＩあるいはＩＭＥＩ、端末ホスト名等を用いてもよい。ＭＡＣアドレス以外のこれら識別子とＩＰアドレスを管理するプロトコル（ＲａｄｉｕｓやＩｏＴ　Ｄｅｖｉｃｅ　ｄｉｓｃｏｖｅｒｙ等）とを連携させることが可能である。以下、図６の手順に沿って説明する。なお、図６に示す手順は、例えば、所定の時間間隔で繰り返し実行される。

　＜Ｓ１＞
　Ｓ１において、プロセス１１０は、端末のＭＡＣアドレスと、当該端末の接続先（Ｉ／Ｆ名等）の紐付け情報をオーケストレータ２００から取得し、取得した紐付け情報を端末情報ＤＢ１２０に格納する。端末情報ＤＢ１２０に格納される情報の例を図８に示す。図８において、例えば、エントリ１００には、ある端末のＭＡＣアドレスがｔｕｎ０に紐付けられていることが示されている。

　＜Ｓ２＞
　Ｓ２において、プロセス１１０は、端末情報ＤＢ１２０に格納されている端末識別子（ＭＡＣアドレス）のそれぞれについて、アドレス情報ＤＢ１３０を参照することにより、対応するＩＰアドレスを取得する。つまり、端末識別子（ＭＡＣアドレス）の端末に払い出されているＩＰアドレスを取得する。なお、アドレス情報ＤＢ１３０を参照することによりＩＰアドレスを取得することは一例である。

　＜Ｓ３＞
　プロセス１１０は、ある端末について、Ｓ２で取得したＩＰアドレスが、前回のＳ２で取得したＩＰアドレスと異なることを検知した場合に、当該端末についての、パケット処理の適用ルールを更新する。具体的には、例えば、ＰＢＲのルーティングルールを更新する。

　例えば、端末Ａに関して、「送信元ＩＰアドレス＝ＡＡＡＡ．ＢＢＢＢ．ＣＣＣＣ．ＤＤＤＤのパケットはｔｕｎ０から送信する」というルーティングルールがルーティング部１４０に設定されている場合において、プロセス１１０が、端末ＡのＩＰアドレスが"ＡＡＡＡ．ＢＢＢＢ．ＣＣＣＣ．ＤＤＤＤ"から"ＡＡＡＡ．ＢＢＢＢ．ＣＣＣＣ．ＥＥＥＥ"に変更されたことを検知した場合に、プロセス１１０は、ルーティングルールを「送信元ＩＰアドレス＝ＡＡＡＡ．ＢＢＢＢ．ＣＣＣＣ．ＥＥＥＥのパケットはｔｕｎ０から送信する」に更新する。

　以下、上述した構成において、ＩＰアドレスと端末識別子（ここではＭＡＣアドレス）との紐付け情報の取得方法をより具体的に説明した実施例を、実施例１、２として説明する。

　（実施例１）
　図９に、実施例１における通信システムの構成例を示す。図９に示すように、実施例１のＣＰＥ１００は、図５を参照して説明した各Ｉ／Ｆ、プロセス１１０、端末情報ＤＢ１２０、ルーティング１４０に加えて、ＤＨＣＰサーバ１５０、リーステーブル１６０を備える。リーステーブル１６０は、図５に示したアドレス情報ＤＢ１３０の例である。

　なお、図９は、一例として、ＣＰＥ１００が、ＤＨＣＰサーバ１５０、リーステーブル１６０を備える場合の例を示している。実施例１において、ＤＨＣＰサーバ１５０（及びリーステーブル１６０）は、ＣＰＥ１００の外部に備えられていてもよい。

　実施例１では、プロセス１１０は、ＤＨＣＰサーバ１５０の機能を用いて、ＭＡＣアドレスから、端末に払い出されているＩＰアドレスを取得し、ＩＰアドレスに変更がある場合にＰＢＲを更新する。より詳細には、下記の例１－１～例１－３がある。

　＜例１－１＞
　例１－１では、図９において「例１－１」として示されているように、プロセス１１０は、ＤＨＣＰサーバ１５０のリーステーブル１６０を監視することで、各ＭＡＣアドレスについて、払い出されているＩＰアドレスに変更があるか否かを判定する。図１０に、リーステーブル１６０に格納される情報の例を示す。

　＜例１－２＞
　例１－２では、ＤＨＣＰサーバ１５０はＣＰＥ１００の内部にあってもよいし、ＣＰＥ１００の外部にあってもよい。ただし、例１－２は、ＤＨＣＰサーバ１５０の機能に依存する。ここでは、下記の機能をＤＨＣＰサーバ１５０が有しているものと想定する。

　例１－２では、プロセス１１０は、ＤＨＣＰサーバ１５０により提供されるＡＰＩを利用することにより、端末のＭＡＣアドレスに対応するＩＰアドレスを取得する。プロセス１１０は、ＤＨＣＰの固定ＩＰの設定を参照してもよい。

　また、プロセス１１０は、ＤＨＣＰサーバ１５０が端末にＩＰアドレスを払い出した場合に、当該端末のＭＡＣアドレスと、払い出したＩＰアドレスとをＤＨＣＰサーバ１５０から通知してもらうこととしてもよい。

　＜例１－３＞
　例１－３でも、ＤＨＣＰサーバ１５０はＣＰＥ１００の内部にあってもよいし、ＣＰＥ１００の外部にあってもよい。例１－３では、プロセス１１０が、ＤＨＣＰサーバ１５０と端末（ＤＨＣＰクライアント）との間で送受信されるメッセージをスヌーピングすることにより、当該端末へのＩＰアドレスの払い出しを検知する。

　図１１に、端末ＡとＤＨＣＰサーバ１５０との間のメッセージのやりとりの例を示す。

　Ｓ１０１において、端末Ａが、ブロードキャストでＤＨＣＰ－Ｄｉｓｃｏｖｅｒｙを送信する。ＤＨＣＰ－Ｄｉｓｃｏｖｅｒｙを受信したＤＨＣＰサーバ１５０は、Ｓ１０２において、端末Ａに対して、提案ＩＰアドレスを含むＤＨＣＰ－Ｏｆｆｅｒを送信する。

　Ｓ１０３において、端末Ａは、提案を受けたＩＰアドレスの払い出しをしてもらうよう、ＤＨＣＰ－ＲｅｑｕｅｓｔをＤＨＣＰサーバ１５０に送信する。Ｓ１０４において、ＤＨＣＰサーバ１５０は、ＩＰ払い出しの承認をするＤＨＣＰ－Ａｃｋｎｏｗｌｅｄｇｅを端末Ａに送信する。

　プロセス１１０は、例えば、ある端末からＤＨＣＰ－Ｄｉｓｃｏｖｅｒｙが送信されたことを検知すると、Ｓ１０３において当該端末から送信されるＤＨＣＰ－Ｒｅｑｕｅｓｔを監視し、ＤＨＣＰ－Ｒｅｑｕｅｓｔに含まる要求ＩＰアドレスを、ＤＨＣＰサーバ１５０により当該端末に払い出されたＩＰアドレスとして取得する。

　（実施例２）
　図１２に、実施例２における通信システムの構成例を示す。図１２に示すように、実施例２のＣＰＥ１００は、図５を参照して説明した各Ｉ／Ｆ、プロセス１１０、端末情報ＤＢ１２０、ルーティング１４０に加えて、ＡＲＰテーブル１７０を備える。ＡＲＰテーブル１７０は、図５に示したアドレス情報ＤＢ１３０の例である。

　図１３に、ＡＲＰテーブル１７０に格納される情報の例を示す。図１３に示すように、ＡＲＰテーブル１７０には、Ｉ／Ｆ、ＩＰアドレス、ＭＡＣアドレスが対応付けて格納されている。例えば、ＣＰＥ１００のルーティング部１４０は、ＩＰアドレス＝１９２．１６８．０．１０の端末にＩＰパケットを送信する場合、ＡＲＰテーブル１７０を参照して、ＩＰアドレス＝１９２．１６８．０．１０に対応するＭＡＣアドレスを宛先とするイーサフレーム（ＩＰパケットを含む）をｅｔｈ１から送信する。

　実施例２では、プロセス１１０は、ＡＲＰを用いて、ＭＡＣアドレスからＩＰアドレスを取得する。より詳細には、下記の例２－１～例２－２がある。

　＜例２－１＞
　例２－１では、プロセス１１０は、端末情報ＤＢ１２０における各ＭＡＣアドレスについて、ＡＲＰテーブル１７０を参照することにより、ＭＡＣアドレスに対応するＩＰアドレスが更新（変更）されたかどうかを監視して、更新されたことを検知した場合に、ＰＢＲのルーティングルールを更新する。

　＜例２－２＞
　例２－２において、プロセス１１０は、ＲＡＲＰ（Reverse Address Resolution Protocol）の機能を有している。プロセス１１０は、対応するＩＰアドレスを知りたいＭＡＣアドレスを含むリクエストをブロードキャストし、リクエストを受信した端末（あるいはサーバ）において、当該ＭＡＣアドレスに対応するＩＰアドレスを知っている場合に、当該ＩＰアドレスをプロセス１１０に返す。

　プロセス１１０は、端末情報ＤＢ１２０における各ＭＡＣアドレスについて、例えば定期的にＲＡＲＰを用いて対応するＩＰアドレスを取得し、ＩＰアドレスに変更があった場合に、ＰＢＲのルーティングルールを更新する。

　なお、ＭＡＣアドレスからＩＰアドレスを知ることができる手順（プロトコル）であれば、ＲＡＲＰ以外の手順を使用してもよい。

　（変形例）
　これまでの説明では、拠点に設置されたＣＰＥ１００のルーティング部１４０がパケットの振り分け処理を行っていたが、このような構成は一例である。

　例えば、図１４に示すように、拠点のＣＰＥ１００とＬ２トンネルで接続されたクラウドサービス上の仮想ＣＰＥ７００におけるルーティング部７４０が、パケットの振り分け処理を行うこととしてもよい。図１４に示す例において、Ｌ２トンネルは、例えば、Ｌ２ＴＰやＶＸＬＡＮ等のＬ２ＶＰＮのトンネルであり、仮想ＣＰＥ７００は、ＣＰＥ１００と同一ＮＷに存在する。

　この例において、仮想ＣＰＥ７００が、これまでに説明したＣＰＥ１００と同じ構成（プロセス、端末情報ＤＢ等）を有し、これまでに説明したＣＰＥ１００と同じ処理を実行する。また、端末が、これまでに説明したＣＰＥ１００と同じ構成（プロセス、端末情報ＤＢ等）を有し、これまでに説明したＣＰＥ１００と同じ処理を実行する機能部を備えることとしてもよい。

　パケット振り分け処理、及び適用ルールの設定及び変更を行うＣＰＥ１００、仮想ＣＰＥ７００、端末の機能部等の装置を総称して「パケット通信装置」と呼んでもよい。

　（装置構成例）
　図１５に、ＣＰＥ１００が有する機能に着目したＣＰＥ１００の機能構成例を示す。図１５に示すように、ＣＰＥ１００は、通信部１０１、ルーティング部１０２、制御部１０３、記憶部１０４を有する。仮想ＣＰＥ７００についても同様の構成を備える。

　通信部１０１は、図５等に示したＩ／Ｆに相当し、パケットの送受信を行う。ルーティング部１０２は、図５等に示したルーティング部１４０に相当し、ＰＢＲのルーティングルールに基づいてパケットの振り分け処理を行う。制御部１０３は、図５等に示したプロセス１１０に相当し、実施例１，２等で説明したように、ＩＰアドレスの変更有無をチェックして、変更がある場合に、ルーティング部１４０におけるＰＢＲのルーティングルールを更新する。記憶部１０４は、図５等に示した端末情報ＤＢ１２０及びアドレス情報ＤＢ１３０に相当し、各種データを格納する。

　図１６は、オーケストレータ２００の機能構成例を示す図である。図１６に示すように、オーケストレータ２００は、設定情報取得部２０１、記憶部２０２、登録部２０３を有する。

　設定情報取得部２０１は、ポータルサイト３００から、ユーザ４００により設定された情報を取得する。記憶部２０２は、図４に示したサービスオーダＤＢ５００に相当する。登録部２０３は、例えば、設定情報取得部２０１により取得した情報（端末識別子（ＭＡＣアドレス等））と、記憶部２０２から読み出した情報（接続先（Ｉ／Ｆ名等））とに基づいて、端末識別子（ＭＡＣアドレス等）と接続先（Ｉ／Ｆ名等）をＣＰＥ１００（あるいは仮想ＣＰＥ７００）に送信（登録）する。

　＜ハードウェア構成例＞
　ＣＰＥ１００、仮想ＣＰＥ７００、オーケストレータ２００、端末はいずれも、例えば、コンピュータにプログラムを実行させることにより実現できる。このコンピュータは、物理的なコンピュータであってもよいし、仮想マシンであってもよい。

　すなわち、当該装置（ＣＰＥ１００、仮想ＣＰＥ７００、オーケストレータ２００、端末）は、コンピュータに内蔵されるＣＰＵやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体（可搬メモリ等）に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。

　図１７は、上記コンピュータのハードウェア構成例を示す図である。図１６のコンピュータは、それぞれバスＢで相互に接続されているドライブ装置１０００、補助記憶装置１００２、メモリ装置１００３、ＣＰＵ１００４、インタフェース装置１００５、表示装置１００６、入力装置１００７、出力装置１００８等を有する。

　当該コンピュータでの処理を実現するプログラムは、例えば、ＣＤ－ＲＯＭ又はメモリカード等の記録媒体１００１によって提供される。プログラムを記憶した記録媒体１００１がドライブ装置１０００にセットされると、プログラムが記録媒体１００１からドライブ装置１０００を介して補助記憶装置１００２にインストールされる。但し、プログラムのインストールは必ずしもコンピュータ読み取り可能な記録媒体１００１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１００２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１００３は、プログラムの起動指示があった場合に、補助記憶装置１００２からプログラムを読み出して格納する。ＣＰＵ１００４は、メモリ装置１００３に格納されたプログラムに従って、当該装置に係る機能を実現する。インタフェース装置１００５は、ネットワークに接続するためのインタフェースとして用いられ、通信部として機能する。表示装置１００６はプログラムによるＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）等を表示する。入力装置１００７はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置１００８は演算結果を出力する。

　なお、コンピュータ読み取り可能な記録媒体とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、当該装置の機能の一部を実現するためのものであっても良い。

　（実施の形態の効果）
　本実施の形態に係る技術により、端末毎のパケット処理（トンネル振り分け等）を実現する際に、同一ＮＷに所属する端末であっても、ＩＰアドレスの変更に常時追従しながらルールを更新することで、ＮＷの規模やＤＨＣＰサーバなどの設置箇所に依らない端末毎のパケット処理や制御が可能となる。

　（実施の形態のまとめ）
　本明細書には、少なくとも下記各項に記載のパケット通信装置、パケット処理ルール設定方法、及びプログラムが開示されている。
（第１項）
　１以上のパスに接続されるパケット通信装置であって、
　端末から受信したパケットを、前記１以上のパスのうちのいずれかのパスに振り分けるルーティング部と、
　前記端末のＩＰアドレスを取得し、当該ＩＰアドレスに基づいて、前記ルーティング部におけるパケット処理の適用ルールを設定する制御部と
　を備えるパケット通信装置。
（第２項）
　前記パケット処理の適用ルールは、ＰＢＲにおけるルーティングルール、フィルタリングルール、及びトラフィック制御のルールのうちのいずれか１つ又は複数である
　第１項に記載のパケット通信装置。
（第３項）
　前記制御部は、ＩＰアドレスと端末識別子を保持するデータベースを参照することにより、前記端末の端末識別子に対応するＩＰアドレスが変更されたか否かを監視し、当該ＩＰアドレスが変更された場合に、前記適用ルールを更新する
　第１項又は第２項に記載のパケット通信装置。
（第４項）
　前記制御部は、ＤＨＣＰサーバから前記端末の端末識別子に対応するＩＰアドレスを取得し、当該ＩＰアドレスが変更されたか否かを監視し、当該ＩＰアドレスが変更された場合に、前記適用ルールを更新する
　第１項又は第２項に記載のパケット通信装置。
（第５項）
　前記制御部は、ＤＨＣＰサーバと前記端末との間の通信をスヌーピングすることにより、前記端末のＩＰアドレスを取得し、当該ＩＰアドレスが変更されたか否かを監視し、当該ＩＰアドレスが変更された場合に、前記適用ルールを更新する
　第１項又は第２項に記載のパケット通信装置。
（第６項）
　前記制御部は、ＲＡＲＰを用いて、前記端末の端末識別子に対応するＩＰアドレスを取得し、当該ＩＰアドレスが変更されたか否かを監視し、当該ＩＰアドレスが変更された場合に、前記適用ルールを更新する
　第１項又は第２項に記載のパケット通信装置。
（第７項）
　１以上のパスに接続されるパケット通信装置が実行するパケット処理ルール設定方法であって、
　前記パケット通信装置は、端末から受信したパケットを、前記１以上のパスのうちのいずれかのパスに振り分けるルーティング部を備えており、
　前記端末のＩＰアドレスを取得し、当該ＩＰアドレスに基づいて、前記ルーティング部におけるパケット処理の適用ルールを設定する
　パケット処理ルール設定方法。
（第８項）
　コンピュータを、第１項ないし第６項のうちいずれか１項に記載のパケット通信装置における各部として機能させるためのプログラム。

　以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

１０、１００　ＣＰＥ
２０　キャリア網
３０　ＡＰ
４０～６０　端末
１０１　通信部
１０２　ルーティング部
１０３　制御部
１０４　記憶部
１１０　プロセス
１２０　端末情報ＤＢ
１３０　アドレス情報ＤＢ
１１、１４０、７４０　ルーティング部
１５０　ＤＨＣＰサーバ
１６０　リーステーブル
１７０　ＡＲＰテーブル
２００　オーケストレータ
２０１　設定情報取得部
２０２　記憶部
２０３　登録部
３００　ポータルサイト
４００　ユーザ
５００　サービスオーダＤＢ
６１０～６３０　仮想ルータ
７００　仮想ＣＰＥ
７１０　インターネット
７２０　企業ＮＷ
７３０　ＭＥＣ
１０００　ドライブ装置
１００１　記録媒体
１００２　補助記憶装置
１００３　メモリ装置
１００４　ＣＰＵ
１００５　インタフェース装置
１００６　表示装置
１００７　入力装置
１００８　出力装置

Claims

　１以上のパスに接続されるパケット通信装置であって、
　端末から受信したパケットを、前記１以上のパスのうちのいずれかのパスに振り分けるルーティング部と、
　前記端末のＩＰアドレスを取得し、当該ＩＰアドレスに基づいて、前記ルーティング部におけるパケット処理の適用ルールを設定する制御部と
　を備えるパケット通信装置。
　前記パケット処理の適用ルールは、ＰＢＲにおけるルーティングルール、フィルタリングルール、及びトラフィック制御のルールのうちのいずれか１つ又は複数である
　請求項１に記載のパケット通信装置。
　前記制御部は、ＩＰアドレスと端末識別子を保持するデータベースを参照することにより、前記端末の端末識別子に対応するＩＰアドレスが変更されたか否かを監視し、当該ＩＰアドレスが変更された場合に、前記適用ルールを更新する
　請求項１又は２に記載のパケット通信装置。
　前記制御部は、ＤＨＣＰサーバから前記端末の端末識別子に対応するＩＰアドレスを取得し、当該ＩＰアドレスが変更されたか否かを監視し、当該ＩＰアドレスが変更された場合に、前記適用ルールを更新する
　請求項１又は２に記載のパケット通信装置。
　前記制御部は、ＤＨＣＰサーバと前記端末との間の通信をスヌーピングすることにより、前記端末のＩＰアドレスを取得し、当該ＩＰアドレスが変更されたか否かを監視し、当該ＩＰアドレスが変更された場合に、前記適用ルールを更新する
　請求項１又は２に記載のパケット通信装置。
　前記制御部は、ＲＡＲＰを用いて、前記端末の端末識別子に対応するＩＰアドレスを取得し、当該ＩＰアドレスが変更されたか否かを監視し、当該ＩＰアドレスが変更された場合に、前記適用ルールを更新する
　請求項１又は２に記載のパケット通信装置。
　１以上のパスに接続されるパケット通信装置が実行するパケット処理ルール設定方法であって、
　前記パケット通信装置は、端末から受信したパケットを、前記１以上のパスのうちのいずれかのパスに振り分けるルーティング部を備えており、
　前記端末のＩＰアドレスを取得し、当該ＩＰアドレスに基づいて、前記ルーティング部におけるパケット処理の適用ルールを設定する
　パケット処理ルール設定方法。
　コンピュータを、請求項１ないし６のうちいずれか１項に記載のパケット通信装置における各部として機能させるためのプログラム。