WO2023100331A1 - パケット中継システム、および、パケット中継方法 - Google Patents

Abstract

パケット中継システム（１）は、トンネリングプロトコルを終端する複数のｔａｐデバイス（６３，６４）を構築したテナント（６）と、テナント（６）と外部の装置（３１，３２）とを接続する中継装置（４１，４２）と、テナント（６）および中継装置（４１，４２）を管理して、中継装置（４１，４２）に接続される外部の装置（３１，３２）とｔａｐデバイス（６３，６４）との間にトンネリングプロトコルのパケットを送受信させる設定を投入する管理装置（１１）とを備える。

Description

パケット中継システム、および、パケット中継方法

　本発明は、ネットワーク装置において，パケット転送を行うパケット中継システム、および、パケット中継方法に関する。

　ＳＤＮ（Software Defined Network、ソフトウェア定義ネットワーク）技術およびＮＦＶ（Network Function Virtualization、ネットワーク機能仮想化）技術の発展に伴い、モバイル端末とクラウド上のサーバ間などを柔軟に接続することが求められている。そのため、ネットワーク利用者がオンデマンドにパケット中継装置に対し、パケット転送先を制御することで、モバイル端末とサーバ間のパケット転送を実現するようなサービスが出現している。

　従来の技術の例としては、ＩＰｓｅｃ（Internet Protocol Security）や、ＶＸＬＡＮ、ＧＲＥ（Generic Routing Encapsulation）などのトンネリングプロトコルを利用し、パケット中継装置にはOpen vSwitchなどのルーティングソフトウェアを利用するような構成が考えられる。

　モバイル端末とクラウド上のサーバとが互いにパケットを通信する際、パケット中継装置に付与されたＩＰアドレスを双方のパケット送信先としてサービスを実現することが一般的である。このようなサービスを支える技術として、例えばGRE（Generic Routing Encapsulation）がある。

「ネットワークエンジニアとして－GRE(Generic Routing Encapsulation)」，［令和３年１１月１８日検索］，インターネット<URL:https://www.infraexpert.com/study/rp8gre.htm>

　図１は、第１比較例のトンネルの構成図である。
　ルータ１２，１３は、パケット中継装置である。ルータ１２の左側のインタフェースには、192.168.1.0のＩＰアドレスが付与されている。ルータ１２の右側のインタフェースには、1.1.1.1のＩＰアドレスが付与されている。ルータ１３には、2.2.2.2のＩＰアドレスが付与されており、トンネル８により、インターネット７を介してルータ１２の右側のインタフェースに仮想的に接続される。ルータ１２の左側のインタフェースには、192.168.2.0のＩＰアドレスが付与されている。

　これらルータ１２の右側のインタフェースや、ルータ１３の左側のインタフェースには、ＩＰアドレスが付与されている。よって、これらルータ１２，１３に係る設定変更や工事による切り替えなどを柔軟に行うことができない。

　そこで、本発明は、パケット中継システムの設定変更時や工事切り替えを柔軟に実施することを課題とする。

　前記した課題を解決するため、本発明のパケット中継システムは、トンネリングプロトコルを終端する複数の仮想ネットワークデバイスを構築したテナントと、前記テナントと外部とを接続する中継装置と、前記テナントおよび前記中継装置を管理して、前記中継装置に接続される外部装置と前記仮想ネットワークデバイスとの間にトンネリングプロトコルのパケットを送受信させる設定を投入する管理装置と、を備えることを特徴とする。
　その他の手段については、発明を実施するための形態のなかで説明する。

　本発明によれば、パケット中継システムにおいて，このパケット中継システムの設定変更や工事切り替えを柔軟に実施することができる．

第１比較例のトンネルの構成図である。 第２比較例の転送装置の構成図である。 本実施形態に係るパケット中継システムの構成図である。 第１実施形態のパケット中継システムの初期状態を示す図である。 パケット中継システムのテナント構成処理を示すフローチャートである。 端末からテナント追加指示がなされた状態を示す図である。 管理装置からサーバへコンテナ起動指示がなされた状態を示す図である。 コンテナへの論理アドレス付与処理を示すフローチャートである。 左側の中継装置に対する経路設定処理を示すフローチャートである。 右側の中継装置に対する経路設定処理を示すフローチャートである。 管理装置から左右の中継装置へ経路設定指示がなされた状態を示す図である。 左右の装置からテナントのｔａｐデバイスにトンネルが張られた状態を示す図である。 第１実施形態の具体的設定例を示す図である。 第２実施形態のパケット中継システムの初期状態を示す図である。 パケット中継システムのテナント構成処理を示すフローチャートである。 端末からテナント追加指示がなされた状態を示す図である。 管理装置からサーバへコンテナ起動指示がなされた状態を示す図である。 コンテナへのローカルアドレス付与処理を示すフローチャートである。 左側の中継装置に対する経路設定処理を示すフローチャートである。 右側の中継装置に対する経路設定処理を示すフローチャートである。 管理装置から左右の中継装置へ経路設定指示がなされた状態を示す図である。 左右の装置からテナントのｔａｐデバイスにトンネルが張られた状態を示す図である。 第２実施形態の具体的設定例を示す図である。

　以降、本発明を実施するための形態を、各図を参照して詳細に説明する。
　図２は、第２比較例の転送装置１０の構成図である。
　従来、対向する装置３１，３２が接続される転送装置１０に物理的に設定されている。この転送装置１０は、ＦＩＢ（Forwarding Information Base：経路制御表）１０３と、左側のネットワークインタフェース（図中ではIFと記載）１０１と右側のネットワークインタフェース１０２とを備えている。装置３１とネットワークインタフェース１０１との間にはトンネル８１が張られている。ネットワークインタフェース１０２と装置３２との間にはトンネル８２が張られている。

　転送装置１０の左側のネットワークインタフェース１０１には、装置３１が認識する転送プロトコルの終端となるＩＰアドレスが設定されている。転送装置１０の右側のネットワークインタフェース１０２には、装置３２が認識する転送装置（中継装置）のアドレス情報が設定されている。これらトンネル８１，８２の終端アドレスは、転送装置１０に物理的に設定されたＩＰアドレスである。

　図３は、本実施形態に係るパケット中継システム１の構成図である。
　パケット中継システム１は、ＩＰアドレスを論理的なアドレスとして扱い、パケット中継システム１内の各装置が、論理アドレスに基づいて適切にルーティングするように制御する。パケット中継システム１が、本発明の基本構成要素である。パケット中継システム１は、管理装置１１と、テナント６と、その前後に配置された中継装置４１，４２とを備えて構成される。このパケット中継システム１は、トンネル８１を介して装置３１に接続され、トンネル８２を介して装置３２に接続される。

　テナント６は、kubernetes（登録商標）上のPodとして構成されたコンテナである。なお、これに限られず、テナント６は、仮想マシンや物理装置として構成されてもよい。テナント６は、中継装置４１，４２の物理的なアドレスとは独立な論理アドレスに基づいて、転送処理を行う。テナント６には、トンネリングプロトコルを終端する複数のｔａｐデバイス６３，６４が構築されている。これらｔａｐデバイス６３，６４は、仮想ネットワークデバイスである。

　管理装置１１は、上記実施形態で示した、利用者からのテナント６の追加時に、テナント６および中継装置４１，４２の設定を実施する機能のほかに、テナント６の削除やテナント６の再配置の機能も有する。この管理装置１１は、テナント６および中継装置４１，４２を管理し、中継装置４１，４２に接続される外部の装置３１，３２とテナント６のｔａｐデバイス６３，６４との間にトンネリングプロトコルのパケットを送受信させる設定を投入する。

　装置３１，３２は、パケット中継システム１の中継装置４１，４２と接続され、このシステムを介して互いにパケットのやりとりを行う端末であり、このパケット中継システム１によってパケットが中継される外部装置である。装置３１，３２は、利用者端末または保守者端末であり、パケット中継システム１の管理装置１１と接続され、端末間の通信の設定変更を指示する。

　中継装置４１，４２は、それぞれ装置３１，３２とＩＰパケットの送受信が可能なネットワークを介して接続される。これら中継装置４１，４２は、テナント６と外部とを接続する。中継装置４１，４２は、基本動作として、装置３１，３２から送信されたトンネリングプロトコルのパケットをテナント６に送信し、テナント６から送信されたトンネリングプロトコルのパケットを装置３１，３２へ送信する役割を持つ。

　テナント６は、ネットワークインタフェース６１，６２が、IPパケットの送受信が可能なネットワークを介して中継装置４１，４２に接続される。また、転送プロトコルを終端するｔａｐデバイス（図中ではtapと記載）６３，６４を持つ。これら２個のｔａｐデバイス６３，６４は、トンネリングプロトコルを終端する仮想ネットワークデバイスである。

　テナント６は、基本動作として、装置３１から送信されたトンネリングプロトコルのパケットがネットワークインタフェース６１に着信した場合、ｔａｐデバイス６３でトンネリングプロトコルを終端する。そして、必要に応じ、もう一つのｔａｐデバイス６４でカプセル化を行い、反対側の装置３２へ転送する。

　テナント６は、装置３２から送信されたトンネリングプロトコルのパケットをネットワークインタフェース６２で着信し、トンネリングプロトコルを受信した場合、ｔａｐデバイス６４でトンネリングプロトコルを終端する。そして、必要に応じ、もう一つのｔａｐデバイス６３でカプセル化を行い、反対側の装置３１へ転送する。

　実施形態として、装置３１，３２のうち一方からGREトンネリングパケットが送信され、トンネル８１をテナント６にて終端し、テナント６から再度カプセル化を実施して装置３１，３２のうち他方へ転送する実施形態を記載する。論理アドレスの設定方法として、2つの形態があるため、それぞれについて説明する。

《第１実施形態》
　第１の実施形態では、ｔａｐデバイス６３，６４に論理アドレスを付与して、ｔａｐデバイス６３，６４にトンネリングプロトコルを終端させるものである。

　図４は、第１実施形態のパケット中継システム１の初期状態を示す図である。
　第１実施形態では、例えば中継装置４１，４２としてlinux（登録商標）OSを搭載した物理サーバとしている。テナント６として、コンテナを利用する例とし、コンテナの管理をkubernetes（登録商標）が実施する構成としている。初期状態では、テナント６であるコンテナは起動していない状態となっている。

　図５は、パケット中継システム１のテナント構成処理を示すフローチャートである。
　ステップＳ１０にて、管理装置１１は、中継装置４１のＦＩＢ（Forwarding Information Base：経路制御表）４１３に、ネットワークインタフェース４１１，４１２のうち一方から着信したパケットを、他方から転送することを許可する設定を投入する。

　次に端末２が管理装置１１に対して、テナント６の追加を指示する（ステップＳ１１）。この動作は、図６に示されている。

　管理装置１１が、サーバ５上に追加のネットワークインタフェース６１，６２の２つを有するコンテナを起動するようサーバ５に指示して（ステップＳ１２）、コンテナが起動するのを待つ（ステップＳ１３）。ステップＳ１２の動作は、後記する図７に示されている。起動したコンテナは、テナント６として機能する。

　管理装置１１は、コンテナに設定を投入する（ステップＳ１４）。この処理の詳細は、後記する図８に示されている。

　そして管理装置１１は、左側の中継装置４１に対して経路設定を投入し（ステップＳ１５）、右側の中継装置４２に対しても経路設定を投入すると（ステップＳ１６）、図５の処理を終了する。ステップＳ１５，Ｓ１６の動作は、図１１に示されている。
　ステップＳ１５の処理の詳細は、後記する図９に示されている。ステップＳ１６の処理の詳細は、後記する図１０に示されている。

　図８は、コンテナへの論理アドレス付与処理を示すフローチャートである。
　管理装置１１は、コンテナに対して、左側の装置３１に対するトンネリングプロトコルを終端するためのｔａｐデバイス６３を作成する（ステップＳ２０）。そして、管理装置１１は、このｔａｐデバイス６３に、左側の装置３１に対するテナント６の論理アドレスＡを付与する（ステップＳ２１）。管理装置１１は、コンテナに対して、左側の装置３１宛のパケットが、左側の中継装置４１に転送されるよう、静的ルーティング設定を投入する（ステップＳ２２）。

　次に管理装置１１は、コンテナに対して、右側の装置３２に対するトンネリングプロトコルを終端するためのｔａｐデバイス６４を作成する（ステップＳ２３）。そして、管理装置１１は、このｔａｐデバイス６４に、右側の装置３２に対するテナント６の論理アドレスＢを付与する（ステップＳ２４）。管理装置１１は、コンテナに対して、右側の装置３２宛のパケットが、右側の中継装置４２に転送されるよう、静的ルーティング設定を投入すると（ステップＳ２５）、図８の処理を終了する。

　図９は、左側の中継装置４１に対する経路設定処理を示すフローチャートである。
　管理装置１１は、左側の中継装置４１に対して、左側の装置３１のアドレス宛のパケットを、左側のネットワークインタフェース４１１から左側の装置３１へ転送するように経路設定する（ステップＳ３０）。そして、管理装置１１は、左側の中継装置４１に対して、テナント６の論理アドレスＡ宛のパケットを、左側のネットワークインタフェース４１２からテナント６へ転送するように経路設定すると（ステップＳ３１）、図９の処理を終了する。

　図１０は、右側の中継装置４２に対する経路設定処理を示すフローチャートである。
　管理装置１１は、右側の中継装置４２に対して、右側の装置３２のアドレス宛のパケットを、右側のネットワークインタフェース４２２から右側の装置３２へ転送するように経路設定する（ステップＳ４０）。そして、管理装置１１は、右側の中継装置４２に対して、テナント６の論理アドレスＢ宛のパケットを、右側のネットワークインタフェース４２１からテナント６へ転送するように経路設定すると（ステップＳ４１）、図１０の処理を終了する。

　図１２は、左右の装置３１，３２からテナント６のｔａｐデバイス６３，６４にトンネル８１，８２が張られた状態を示す図である。
　装置３１から、テナント６の論理アドレスＡ宛のトンネリングプロトコルが送信されると、中継装置４１を経由し、テナント６のネットワークインタフェース６１にて着信し、ｔａｐデバイス６３でカプセル化が解除される。そして、ｔａｐデバイス６４でカプセル化され、ネットワークインタフェース６２から中継装置４２を介して装置３２へ転送される。このようなパケット中継方法によれば、このパケット中継システムの設定変更や工事切り替えを柔軟に実施することができる。

　図１３は、第１実施形態の具体的設定例を示す図である。
　この図１３の構成は、端末３３とルータ３５は、転送プロトコルとしてＧＲＥを使用し、端末３４側は転送プロトコルを使用せず、ＩＰパケットを直接ルーティングするものである。
　ルータ３５と配下の端末３３は、第１実施形態の装置３１に該当する。
　プロトコル部４３は、第１実施形態の中継装置４１に該当する。そして第１実施形態の中継装置４２が省略されており、端末３４は、第１実施形態の装置３２に該当する。

　端末３３に対して、不図示の管理装置は、以下のコマンドを実施する。以下は、コンソールに対するコマンドラインの説明である。各コマンドラインにおいてIPとは、IPアドレスのことを指す。

（１－１）静的ルーティング設定
route add -host {端末３４のIP} gw {ルータ３５のIP}

　ルータ３５に対して、不図示の管理装置は、以下のコマンドを実施する。
（２－１）静的ルーティング設定
route add -host {コンテナ６６のmultus用NIC1個目のIP} gw {プロトコル部４３のIP}
　ここでコンテナ６６のmultus用NIC1個目とは、ネットワークインタフェース６６１のことをいう。
（２－２）GREトンネル設定
ip link add {IF名} type gretap local {ルータ３５のIP} remote {コンテナ６６のmultus用NIC1個目のIP}
ip addr add {GRE用NICの任意IP}/24 dev {IF名}
　ここでコンテナ６６のmultus用NIC1個目とは、ネットワークインタフェース６６１のことをいう。
（２－３）静的ルーティング設定
route add -host {端末３４のIP} gw {コンテナ６６のGRE用NICのIP}
　ここでコンテナ６６のGRE用NICとは、ネットワークインタフェース６６３のことをいう。

　プロトコル部４３に対して、不図示の管理装置は、以下のコマンドを実施する。
（３－１）転送許可設定の確認
sysctl net.ipv4.ip_forwardが1になっていることを確認

　コンテナ６６に対して、不図示の管理装置は、以下のコマンドを実施する。
（４－１）静的ルーティング設定
ip route add {ルータ３５のIP}/32 via {プロトコル部４３のIP}
　コンテナ６６に対して、不図示の管理装置は、以下のコマンドを実施する。
（４－２）GREトンネル設定
ip link add {IF名} type gretap local {コンテナ６６のIP} remote {ルータ３５のIP}
ip addr add {GRE用NICの任意IP}/24 dev {IF名}
　コンテナ６６に対して、不図示の管理装置は、以下のコマンドを実施する。
（４－３）静的ルーティング設定
ip route add {端末３３のIP}/32 via {ルータ３５のGRE用NICのIP}
　ここで、ルータ３５のGRE用NICとは、ネットワークインタフェース３５１のことをいう。

　端末３４に対して、不図示の管理装置は、以下のコマンドを実施する。
（５－１）静的ルーティング設定
route add -host {端末３３のIP} gw {コンテナ６６のmultus用NIC2個目のIP}
　ここでコンテナ６６のmultus用NIC2個目とは、ネットワークインタフェース６６２のことをいう。
　これにより、ルータ３５とコンテナ６６との間には、トンネル８３が構築される。

　このような設定により、ルータ３５がトンネリングプロトコルのパケットを送受信する。ルータ３５に着信したトンネリングプロトコルのパケットは、中継装置であるプロトコル部４３によってコンテナ６６（テナント）との間で送受信される。そして、このコンテナ６６に構築された不図示の仮想ネットワークデバイス（ｔａｐデバイス）は、トンネリングプロトコルのパケットを終端させる。

《第２実施形態》
　第２の実施形態では、ｔａｐデバイス６３，６４にローカルアドレスを付与して、中継装置４１，４２にＮＡＴ変換させるものである。

　図１４は、第２実施形態のパケット中継システム１の初期状態を示す図である。
　第２実施形態では、例えば中継装置４１，４２としてlinux（登録商標）OSを搭載した物理サーバとしている。テナント６として、コンテナを利用する例とし、コンテナの管理をkubernetes（登録商標）が実施する構成としている。初期状態では、テナント６であるコンテナは起動していない状態となっている。

　図１５は、パケット中継システム１のテナント構成処理を示すフローチャートである。
　ステップＳ５０にて、管理装置１１は、中継装置４１のＦＩＢ（Forwarding Information Base：経路制御表）４１３に、ネットワークインタフェース４１１，４１２のうち一方から着信したパケットを、他方から転送することを許可する設定を投入する。そして、管理装置１１は、トンネリングプロトコルのコネクション管理を実施するためのモジュールを有効化する（ステップＳ５１）。

　次に端末２が管理装置１１に対して、テナント６の追加を指示する（ステップＳ５２）。この動作は、図１６に示されている。

　管理装置１１が、サーバ５上に追加のネットワークインタフェース６１，６２の２つを有するコンテナを起動するようサーバ５に指示して（ステップＳ５３）、コンテナが起動するのを待つ（ステップＳ５４）。ステップＳ５３の動作は、後記する図１７に示されている。起動したコンテナは、テナント６として機能する。

　管理装置１１は、コンテナに設定を投入する（ステップＳ５５）。この処理の詳細は、後記する図１８に示されている。

　そして管理装置１１は、左側の中継装置４１に対して経路設定を投入し（ステップＳ５６）、右側の中継装置４２に対しても経路設定を投入すると（ステップＳ５７）、図１５の処理を終了する。ステップＳ５６，Ｓ５７の動作は、図２１に示されている。
　ステップＳ５６の処理の詳細は、後記する図１９に示されている。ステップＳ５７の処理の詳細は、後記する図２０に示されている。

　図１８は、コンテナへのローカルアドレス付与処理を示すフローチャートである。
　管理装置１１は、コンテナに対して、左側の装置３１に対するトンネリングプロトコルを終端するためのｔａｐデバイス６３を作成する（ステップＳ６０）。そして、管理装置１１は、このｔａｐデバイス６３に、このシステム内でのみ使用するローカルアドレスＣを付与する（ステップＳ６１）。管理装置１１は、コンテナに対して、左側の装置３１宛のパケットが、左側の中継装置４１に転送されるよう、静的ルーティング設定を投入する（ステップＳ６２）。

　次に管理装置１１は、コンテナに対して、右側の装置３２に対するトンネリングプロトコルを終端するためのｔａｐデバイス６４を作成する（ステップＳ６３）。そして、管理装置１１は、このｔａｐデバイス６４に、このシステム内でのみ使用するローカルアドレスＤを付与する（ステップＳ６４）。管理装置１１は、コンテナに対して、右側の装置３２宛のパケットが、右側の中継装置４２に転送されるよう、静的ルーティング設定を投入すると（ステップＳ６５）、図１８の処理を終了する。

　図１９は、左側の中継装置４１に対する経路設定処理を示すフローチャートである。
　管理装置１１は、左側の中継装置４１に対して、左側のネットワークインタフェース４１１で着信した、テナント６の論理アドレスＣ宛のパケットの宛先アドレスを、テナント６の左側のネットワークインタフェース６１のアドレスにＤＮＡＴする設定を投入する（ステップＳ７０）。そして、管理装置１１は、左側の中継装置４１に対して、右側のネットワークインタフェース４１２からテナント６へ送信されるパケットのソースアドレスを、左側の中継装置４１の右側のネットワークインタフェース４１２のアドレスにＳＮＡＴする設定を投入する（ステップＳ７１）。

　管理装置１１は、左側の中継装置４１に対して、右側のネットワークインタフェース４１２で着信した、テナント６の論理アドレスＤ宛のパケットの宛先アドレスを、左側の装置３１のアドレスにＤＮＡＴする設定を投入する（ステップＳ７２）。そして、管理装置１１は、左側の中継装置４１に対して、左側のネットワークインタフェース４１１から左側の装置３１へ送信されるパケットのソースアドレスを、テナント６の論理アドレスＣにＳＮＡＴする設定を投入すると（ステップＳ７３）、図１９の処理を終了する。

　図２０は、右側の中継装置４２に対する経路設定処理を示すフローチャートである。
　管理装置１１は、右側の中継装置４２に対して、右側のネットワークインタフェース４２２で着信した、テナント６の論理アドレスＤ宛のパケットの宛先アドレスを、テナント６の右側のネットワークインタフェース６２のアドレスにＤＮＡＴする設定を投入する（ステップＳ８０）。そして、管理装置１１は、右側の中継装置４２に対して、左側のネットワークインタフェース４２１からテナント６へ送信されるパケットのソースアドレスを、右側の中継装置４１の左側のネットワークインタフェース４２１のアドレスにＳＮＡＴする設定を投入する（ステップＳ８１）。

　管理装置１１は、右側の中継装置４２に対して、左側のネットワークインタフェース４２１で着信した、テナント６の論理アドレスＤ宛のパケットの宛先アドレスを、右側の装置３２のアドレスにＤＮＡＴする設定を投入する（ステップＳ８２）。そして、管理装置１１は、右側の中継装置４２に対して、右側のネットワークインタフェース４２２から右側の装置３２へ送信されるパケットのソースアドレスを、テナント６の論理アドレスＤにＳＮＡＴする設定を投入すると（ステップＳ８３）、図２０の処理を終了する。

　図２２は、左右の装置３１，３２からテナント６のｔａｐデバイス６３，６４にトンネル８１，８２が張られた状態を示す図である。
　装置３１から、テナント６の論理アドレスＣ宛のトンネリングプロトコルが送信されると、中継装置４１を経由し、テナント６のネットワークインタフェース６１にて着信し、ｔａｐデバイス６３でカプセル化が解除される。そして、ｔａｐデバイス６４でカプセル化され、ネットワークインタフェース６２から中継装置４２を介して装置３２へ転送される。

　図２３は、第２実施形態の具体的設定例を示す図である。
　この図２３の構成は、端末３３側が転送プロトコルとしてGREを使用し、端末３４側は転送プロトコルを使用せず、IPパケットを直接ルーティングする構成例を記載。
　ルータ３５と配下の端末３３は、第２実施形態の装置３１に該当する。
　プロトコル部４３は、第２実施形態の中継装置４１に該当する。そして第２実施形態の中継装置４２が省略されており、端末３４は、第２実施形態の装置３２に該当する。

　端末３３に対して、不図示の管理装置は、以下のコマンドを実施する。以下は、コンソールに対するコマンドラインの説明である。各コマンドラインにおいてIPとは、IPアドレスのことを指す。
（１－１）静的ルーティング設定
route add -host {端末３４のIP} gw {ルータ３５のIP}
　ルータ３５に対して、不図示の管理装置は、以下のコマンドを実施する。
（２－１）静的ルーティング設定
route add -host {コンテナ６６の論理アドレス} gw {プロトコル部４３のIP}
（２－２）GREトンネル設定:
ip link add {IF名} type gretap local {ルータ３５のIP} remote {コンテナ６６の論理アドレス}
ip addr add {GRE用NICのIP}/24 dev {IF名}
　ここでGRE用NICとは、ネットワークインタフェース３５１のことをいう。
（２－３）静的ルーティング設定
route add -host {端末３４のIP} gw {コンテナ６６のGRE用NICのIP}
　ここでコンテナ６６のGRE用NICとは、ネットワークインタフェース６６３のことをいう。

　プロトコル部４３に対して、不図示の管理装置は、以下のコマンドを実施する。
（３－１）転送許可設定の確認
sysctl net.ipv4.ip_forward が1になっていることを確認
（３－２）静的ルーティング設定
route add -host {端末３３のIP} gw {ルータ３５のIP}
（３－３）端末３３と結ぶNICにおいてNAT変換設定 
iptables -t nat -A PREROUTING -d {テナントの論理アドレス} -i {IF名} -j DNAT --to-destination {コンテナ６６のmultus用NIC1個目のIP}
iptables -t nat -A POSTROUTING -s {コンテナ６６のmultus用NIC1個目のIP} -o {IF名} -j SNAT --to-source  {テナントの論理アドレス}
　ここでコンテナ６６のmultus用NIC1個目とは、ネットワークインタフェース６６１のことをいう。

（３－４）コンテナ６６と結ぶNICにおいてNAT変換設定:
iptables -t nat -A PREROUTING -d {テナントの論理アドレス} -i {IF名} -j DNAT --to-destination {ルータ３５のIP}
iptables -t nat -A POSTROUTING -s {ルータ３５のIP} -o {IF名} -j SNAT --to-source  {テナントの論理アドレス}
（３－５）GREパケットに対してNAT変換を適用させるためにカーネルモジュール適用
modprobe ip_gre
modprobe nf_nat_proto_gre
modprobe nf_conntrack_proto_gre

　コンテナ６６に対して、不図示の管理装置は、以下のコマンドを実施する。
（４－１）静的ルーティング設定
ip route add {テナントの論理アドレス}/32 via {プロトコルのIP}
（４－２）GREトンネル設定:
ip link add {IF名} type gretap local {コンテナ６６のIP} remote {テナントの論理アドレス}
ip addr add {GRE用NICのIP}/24 dev {IF名}
（４－３）静的ルーティング設定: ip route add {端末３４のIP}/32 via {ルータ３５のGRE用NICのIP}
（４－４）静的ルーティング設定
ip route add {端末３４のIP}/32 via {ルータ３６のIP}

　ルータ３６に対して、不図示の管理装置は、以下のコマンドを実施する。
（５－１）転送許可設定
sysctl net.ipv4.ip_forward が1になっていることを確認
（５－２）静的ルーティング設定
route add -host {端末３３のIP} gw {コンテナ６６のmultus用NIC2個目のIP}
　ここで、コンテナ６６のmultus用NIC2個目とは、ネットワークインタフェース６６２のことをいう。

　端末３４に対して、不図示の管理装置は、以下のコマンドを実施する。
（６－１）静的ルーティング設定
route add -host {端末３３のIP} gw {ルータ３６のIP}
　これにより、ルータ３５とコンテナ６６との間には、トンネル８４が構築される。

（変形例）
　本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で、変更実施が可能であり、例えば、次の（ａ）～（ｆ）のようなものがある。
（ａ）　実施例は、左側の装置３１、右側の装置３２ともにトンネリングプロトコルを利用した例を記載したが、片側のみ、トンネリングプロトコルを利用せず、IPパケットをテナント（コンテナ）からそのまま転送する形態も考えられる。

（ｂ）　左側の装置３１のトンネリングプロトコルと、右側の装置３２のトンネリングプロトコルは、異なるプロトコルであってもよい。
（ｃ）　管理装置からの設定指示（step2/step3）は順序性なしのため、逆順、あるいは同時に実施してもよい。
（ｄ）　テナントとしては、コンテナや、kubernetes（登録商標）のPodや仮想マシン、あるいは物理装置などでもよい。

（ｅ）　管理装置は、上記実施例で示した、利用者からのテナント追加時に、テナント（コンテナ）および中継装置の設定を実施する機能のほかに、テナント削除やテナント再配置の機能を有してもよい。
（ｆ）　管理装置は、テナントの追加以外に、テナントの削除、テナントの再配置機能も有する。具体的な実施順序を以下に示す。

《テナントの削除の順序》
（１）　装置でのルーティング削除またはトンネリングプロトコルの設定を削除する。
（２）　中継装置でのルーティング削除またはNAT設定を削除する。
（３）　テナント（コンテナ）を削除する。

《テナントの再配置の順序》
（１）テナント（コンテナ）を新規に配置する。
（２）中継装置からテナント（コンテナ）に対するルーティングを，旧テナント（コンテナ）から新テナント（コンテナ）へ切り替える。この時点で，トラフィックは新テナント（コンテナ）側へ切り替わる。
（３）旧テナント（コンテナ）を削除する。

　このような設定により、ルータ３５がトンネリングプロトコルのパケットを送受信する。ルータ３５に着信したトンネリングプロトコルのパケットは、中継装置であるプロトコル部４３によってコンテナ６６（テナント）との間で送受信される。そして、このコンテナ６６に構築された不図示の仮想ネットワークデバイス（ｔａｐデバイス）は、トンネリングプロトコルのパケットを終端させる。

《効果》
　以下、本発明に係るパケット中継システム等の効果について説明する。

《請求項１》
　トンネリングプロトコルを終端する複数の仮想ネットワークデバイスを構築したテナントと、
　前記テナントと外部とを接続する中継装置と、
　前記テナントおよび前記中継装置を管理して、前記中継装置に接続される外部装置と前記仮想ネットワークデバイスとの間にトンネリングプロトコルのパケットを送受信させる設定を投入する管理装置と、
　を備えることを特徴とするパケット中継システム。

　これにより、仮想ネットワークデバイスを再構築するだけで、従前のトンネリングプロトコルのパケット送受信を継続できるので、このパケット中継システムの設定変更や工事切り替えを柔軟に実施することができる。

《請求項２》
　各前記仮想ネットワークデバイスには、論理アドレスが付与されている、
　ことを特徴とする請求項１に記載のパケット中継システム。

　これにより、論理アドレスを仮想ネットワークデバイスに再付与するだけで、従前のトンネリングプロトコルのパケット送受信を継続できるので、このパケット中継システムの設定変更や工事切り替えを柔軟に実施することができる。

《請求項３》
　各前記仮想ネットワークデバイスには、ローカルアドレスが付与されており、
　前記中継装置は、前記テナントから着信した前記テナントの論理アドレス宛のパケットを、前記中継装置に接続された前記外部装置のアドレスにＤＮＡＴし、前記中継装置から前記外部装置に送信されるパケットのソースアドレスを、前記テナントの論理アドレスにＳＮＡＴする、
　ことを特徴とする請求項１に記載のパケット中継システム。

　これにより、ローカルアドレスを仮想ネットワークデバイスに再付与するだけで、従前のトンネリングプロトコルのパケット送受信を継続できるので、このパケット中継システムの設定変更や工事切り替えを柔軟に実施することができる。

《請求項４》
　前記管理装置は、各前記仮想ネットワークデバイスに論理アドレスを付与し、各前記中継装置に接続される前記外部装置からトンネリングプロトコルのパケットを受信した場合に前記仮想ネットワークデバイスでトンネリングプロトコルを終端させる設定を投入する、
　ことを特徴とする請求項１に記載のパケット中継システム。

　これにより、論理アドレスを仮想ネットワークデバイスに再付与するだけで、従前のトンネリングプロトコルのパケット送受信を継続できるので、このパケット中継システムの設定変更や工事切り替えを柔軟に実施することができる。

《請求項５》
　前記管理装置は、各前記仮想ネットワークデバイスにローカルアドレスを付与し、前記中継装置に、前記テナントから着信した前記テナントの論理アドレス宛のパケットを、前記中継装置に接続された前記外部装置のアドレスにＤＮＡＴする設定と、前記中継装置から前記外部装置に送信されるパケットのソースアドレスを、前記テナントの論理アドレスにＳＮＡＴする設定とを投入する、
　ことを特徴とする請求項１に記載のパケット中継システム。

　これにより、ローカルアドレスを仮想ネットワークデバイスに再付与するだけで、従前のトンネリングプロトコルのパケット送受信を継続できるので、このパケット中継システムの設定変更や工事切り替えを柔軟に実施することができる。

《請求項６》
　前記テナントは、コンテナ、仮想マシン、および物理サーバのうちの何れかとして構成されている、
　ことを特徴とする請求項１に記載のパケット中継システム。

　つまりテナントはコンテナに限定されず、仮想マシンや物理サーバによって構成されていてもよい。

《請求項７》
　前記仮想ネットワークデバイスは２個であり、一方の仮想ネットワークデバイスがパケット受信すると、他方の仮想ネットワークデバイスに転送する、
　ことを特徴とする請求項１に記載のパケット中継システム。

　これにより、仮想ネットワークデバイス間をパケット転送させることができ、対向する端末間のパケットを中継可能である。

《請求項８》
　外部装置がトンネリングプロトコルのパケットを送受信するステップと、
　中継装置が、テナントと前記外部装置との間で送受信されるパケットを中継するステップと、
　前記テナント上に構築された仮想ネットワークデバイスにトンネリングプロトコルを終端させるステップと、
　を実行することを特徴とするパケット中継方法。

　これにより、仮想ネットワークデバイスを再構築するだけで、従前のトンネリングプロトコルのパケット送受信を継続できるので、このパケット中継システムの設定変更や工事切り替えを柔軟に実施することができる。

１　パケット中継システム
１０　転送装置
１０１，１０２　ネットワークインタフェース
１０３　ルーティングテーブル
１１　管理装置
１２，１３　ルータ
２　端末
３１，３２　装置
３３，３４　端末
３５，３６　ルータ
３５１　ネットワークインタフェース
４１　中継装置
４１１，４１２　ネットワークインタフェース
４１３　ルーティングテーブル
４２　中継装置
４２１，４２２　ネットワークインタフェース
４２３　ルーティングテーブル
４３　プロトコル部
５　サーバ
６　テナント
６１，６２　ネットワークインタフェース
６３，６４　ｔａｐデバイス
６５　ルーティングテーブル
６６　コンテナ
６６１～６６３　ネットワークインタフェース
７　インターネット
８，８１～８３　トンネル

Claims (8)

1. 　トンネリングプロトコルを終端する複数の仮想ネットワークデバイスを構築したテナントと、
   　前記テナントと外部とを接続する中継装置と、
   　前記テナントおよび前記中継装置を管理して、前記中継装置に接続される外部装置と前記仮想ネットワークデバイスとの間にトンネリングプロトコルのパケットを送受信させる設定を投入する管理装置と、
   　を備えることを特徴とするパケット中継システム。
2. 　各前記仮想ネットワークデバイスには、論理アドレスが付与されている、
   　ことを特徴とする請求項１に記載のパケット中継システム。
3. 　各前記仮想ネットワークデバイスには、ローカルアドレスが付与されており、
   　前記中継装置は、前記テナントから着信した前記テナントの論理アドレス宛のパケットを、前記中継装置に接続された前記外部装置のアドレスにＤＮＡＴし、前記中継装置から前記外部装置に送信されるパケットのソースアドレスを、前記テナントの論理アドレスにＳＮＡＴする、
   　ことを特徴とする請求項１に記載のパケット中継システム。
4. 　前記管理装置は、各前記仮想ネットワークデバイスに論理アドレスを付与し、各前記中継装置に接続される前記外部装置からトンネリングプロトコルのパケットを受信した場合に前記仮想ネットワークデバイスでトンネリングプロトコルを終端させる設定を投入する、
   　ことを特徴とする請求項１に記載のパケット中継システム。
5. 　前記管理装置は、各前記仮想ネットワークデバイスにローカルアドレスを付与し、前記中継装置に、前記テナントから着信した前記テナントの論理アドレス宛のパケットを、前記中継装置に接続された前記外部装置のアドレスにＤＮＡＴする設定と、前記中継装置から前記外部装置に送信されるパケットのソースアドレスを、前記テナントの論理アドレスにＳＮＡＴする設定とを投入する、
   　ことを特徴とする請求項１に記載のパケット中継システム。
6. 　前記テナントは、コンテナ、仮想マシン、および物理サーバのうちの何れかとして構成されている、
   　ことを特徴とする請求項１に記載のパケット中継システム。
7. 　前記仮想ネットワークデバイスは２個であり、一方の仮想ネットワークデバイスがパケット受信すると、他方の仮想ネットワークデバイスに転送する、
   　ことを特徴とする請求項１に記載のパケット中継システム。
8. 　外部装置がトンネリングプロトコルのパケットを送受信するステップと、
   　中継装置が、テナントと前記外部装置との間で送受信されるパケットを中継するステップと、
   　前記テナント上に構築された仮想ネットワークデバイスにトンネリングプロトコルを終端させるステップと、
   　を実行することを特徴とするパケット中継方法。

Images