WO2023175915A1 - Session control device, session control system, session control method, and non-transitory computer-readable medium - Google Patents

Session control device, session control system, session control method, and non-transitory computer-readable medium Download PDF

Info

Publication number
WO2023175915A1
WO2023175915A1 PCT/JP2022/012650 JP2022012650W WO2023175915A1 WO 2023175915 A1 WO2023175915 A1 WO 2023175915A1 JP 2022012650 W JP2022012650 W JP 2022012650W WO 2023175915 A1 WO2023175915 A1 WO 2023175915A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
session control
communication
data network
vpn
Prior art date
Application number
PCT/JP2022/012650
Other languages
French (fr)
Japanese (ja)
Inventor
浩史 傅寳
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to PCT/JP2022/012650 priority Critical patent/WO2023175915A1/en
Publication of WO2023175915A1 publication Critical patent/WO2023175915A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Definitions

  • the present disclosure relates to a session control device, a session control system, a session control method, and a non-transitory computer-readable medium.
  • the 5G system used as a private network is being standardized as SNPN (Standalone Non Public Network) in 3GPP.
  • SNPN is constructed as a network independent from a public network.
  • Non-Patent Document 1 describes a connection configuration of multiple SNPNs. Further, Non-Patent Document 1 describes a plurality of scenarios regarding routes for establishing a PDU (Protocol Data Unit) session when a UE (User Equipment) moves from one SNPN to another SNPN. Specifically, it is described that when the UE moves from SNPN #1 to SNPN #2, the anchor point of the PDU session established by the UE is set to SNPN #1. A PDU session is established between the UE and a UPF (User Plane Function) entity (hereinafter referred to as UPF) that relays user plane data. That is, the PDU session is terminated at the UE and UPF.
  • UPF User Plane Function
  • a PDU session is established between the UE and the UPF located in SNPN #1 via SNPN #2.
  • a PDU session established between the UE and the UPF located at SNPN #1 reaches the UPF located at SNPN #1 from the UE via SNPN #2.
  • the UPF of SNPN #1 When a UE that can use SNPN #1 accesses SNPN #2, the UPF of SNPN #1, which serves as an anchor point, needs to manage connections of UEs that do not exist in SNPN #1.
  • IoT Internet of Things
  • the UPF of SNPN #1 will need to manage connections for a large number of IoT terminals as an anchor point. There is. As a result, there is a problem in that the load on the UPF of SNPN #1 increases, resulting in failure or congestion.
  • one object of the present disclosure is to provide a session control device, a session control system, a session control method, and a non-transitory computer-readable medium that can suppress an increase in load on communication devices that constitute a network.
  • Our goal is to provide the following.
  • a session control device configured to perform communication from a communication terminal located in a communication area formed by a first local network to a second data network connectable via a second local network.
  • a VPN service connectable to the second data network; and a communication device used for connection to the VPN service, the communication unit being disposed in the first local network. and a control unit that establishes a session between the communication terminal and the communication device.
  • a session control system includes a first session control system that controls a communication terminal located in a communication area formed by a first local network and a session established in the first local network.
  • a second session control device that controls a session established in a second local network connectable to a second data network, the second session control device controlling a session established in a second local network connectable to a second data network;
  • the communication terminal receives a request message from the control device indicating that it requests communication to the second data network, it transmits a first response message to the first session control device, and sends a first response message to the first session control device.
  • the response message includes VPN information indicating a VPN service connectable to the second data network
  • the first session control device is a communication device used for connection to the VPN service
  • the first session control device is a communication device used for connection to the VPN service
  • the communication device located in the local network of the communication terminal is identified, and a session is established between the communication terminal and the communication device.
  • a session control method includes communication from a communication terminal located in a communication area formed by a first local network to a second data network connectable via a second local network.
  • a VPN service capable of receiving a request message requesting a second data network and connecting to the second data network; and a communication device used for connecting to the VPN service, the communication device being located in the first local network.
  • a session is established between the communication terminal and the communication device.
  • a program requests communication from a communication terminal located in a communication area formed by a first local network to a second data network connectable via a second local network.
  • a VPN service capable of receiving a request message to connect to the second data network; and a communication device used for connection to the VPN service, the communication device disposed in the first local network. the computer to identify the communication terminal and establish a session between the communication terminal and the communication device.
  • a session control device a session control system, a session control method, and a non-transitory computer-readable medium that can suppress an increase in load on communication devices that constitute a network.
  • FIG. 1 is a configuration diagram of a session control device according to a first embodiment
  • FIG. 7 is a flowchart of session control processing according to the first embodiment
  • FIG. 2 is a configuration diagram of a communication system according to a second embodiment.
  • FIG. 7 is a diagram showing the flow of VPN setting processing according to the second embodiment.
  • FIG. 7 is a diagram showing the flow of VPN setting processing according to the second embodiment.
  • FIG. 7 is a diagram illustrating a communication path according to a second embodiment.
  • FIG. 2 is a configuration diagram of a session control device according to a second embodiment.
  • Session control device 10 may be a computer device that operates by a processor executing a program stored in memory.
  • the session control device 10 may be a node device or a communication device that constitutes a mobile communication network.
  • the session control device 10 includes a communication section 11, a specification section 12, and a control section 13.
  • the communication unit 11, the identification unit 12, and the control unit 13 may be software or modules whose processing is executed by a processor executing a program stored in a memory.
  • the communication section 11, the identification section 12, and the control section 13 may be hardware such as a circuit or a chip.
  • the communication unit 11 receives a request message requesting communication to a data network connectable via the second local network from a communication terminal located in the communication area formed by the first local network.
  • a local network may also be referred to as a private network.
  • the local network may not be a so-called public network, but may be a network that allows access only from specific users.
  • the local network may be a network that constitutes a company network such as a so-called intranet.
  • a company having multiple locations may construct a local network for each location and interconnect the local networks.
  • a company may construct a local network at its headquarter (Head Quarters, HQ) and a local network at a branch office (Branch office), and interconnect the respective local networks.
  • the first local network and the second local network may be networks at different locations.
  • the communication area formed by the local network is a communication area where communication terminals can access the local network.
  • a communication terminal accesses a local network using a wireless communication line or a wired communication line.
  • the communication area formed by the local network may be, for example, a communication area formed by wireless communication devices.
  • the data network may be, for example, a network that includes a server device in which data used by the user is stored, or a server device that the user wishes to access.
  • a network having a server device may also be referred to as a network to which the server device is connected.
  • the local network may be used as a network that relays communication between a communication terminal and a data network.
  • the data network may also be included in the local network. In other words, the data network may be a part of the network that constitutes the local network.
  • the identification unit 12 identifies a VPN (Virtual Private Network) service that can be connected to the data network and a communication device used for connection to the VPN service.
  • a communication device used to connect to the VPN service is located in the first local network.
  • a VPN service is, for example, a service that constructs a virtual private line on a public network such as the Internet.
  • a VPN service is a service that constructs a virtual dedicated line for connecting a first local network and a second local network in a public network. In the virtual dedicated line, the confidentiality of data is maintained by encrypting the data.
  • the VPN service may be, for example, an L2VPN service or an L3VPN service. These techniques are commonly used to interconnect private networks.
  • the L2VPN service interconnects LANs (Local Area Networks) built at different locations so that the entire network behaves as if it were one large LAN. As a result, even if a terminal moves from the head office to a branch office and accesses the LAN of the branch office, it is possible to use the same IP address because the IP subnet set on the LAN is the same.
  • the L3VPN service interconnects IP subnets that are separate from each other, and the L3VPN service acts like a router. As a result, the head office and branch offices can have separate network designs and can be updated independently of each other.
  • L2VPN services and L3VPN services can be isolated from other L2VPN services and L3VPN services. For example, even if duplicate private addresses are used in a VPN service for company X and a VPN service for company Y, they will be recognized as a private address for company X and a private address for company Y.
  • the L2VPN service may be, for example, EVPN (Ethernet VPN).
  • EVPN is implemented, for example, in an MPLS (Multi Protocol Label Switching) network or a Segment Routing network with Traffic Engineering.
  • a communication device is a device that allows access to a network that performs a VPN service.
  • the communication device may be a device located on a network that performs a VPN service, or may be a device that is connected to a data network used to access the network that performs a VPN service.
  • One local network for example, a branch office local network
  • the communication device may be a device located on the Edge side and connected to a data network used to access the network running the VPN service.
  • One local network may have a multi-stage configuration or distributed deployment, such as an Edge environment (for example, for each floor or building) and a Center environment (for example, a management room or server room).
  • the communication device may be a device located on the Center side and connected to a data network used to access the network that executes the VPN service.
  • the control unit 13 establishes a session between the communication terminal and the communication device identified by the identification unit 12. In other words, a session is established with the communication terminal and the communication device as end points. Establishing a session between the communication terminal and the communication device enables the communication terminal to communicate with the communication device, and further enables communication via the communication device. Also, since the communication device is located in the first local network, the session is established in the first local network. That is, the session is terminated at the first local network.
  • a communication terminal may establish a different session for each application service to be used, or may use a plurality of application services using one session.
  • a session between a communication terminal and a communication device may be referred to as a communication path between the communication terminal and the communication device.
  • the communication terminal By establishing a session between the communication terminal and the communication device, the communication terminal connects to the network that executes the VPN service via the communication device. Further, the communication terminal connects to the data network of the second local network via the communication device and the VPN service.
  • the communication unit 11 receives a request message requesting communication to a data network connectable via the second local network from a communication terminal located in the communication area formed by the first local network (S11 ).
  • the specifying unit 12 specifies a VPN service connectable to the data network and a communication device used for connection to the VPN service (S12).
  • the communication device is a device located in the first local network.
  • the control unit 13 establishes a session between the communication terminal and the communication device (S13).
  • the session control device 10 establishes a session with the first local network.
  • the data network is a network connectable via the second local network.
  • the communication terminal can communicate with the data network via the session established in the first local network and the VPN service without establishing a session with the second local network.
  • the second local network does not need to manage the connections of the communication terminals located in the first local network, so that the management load on the communication terminals can be reduced.
  • the communication system of FIG. 3 includes two local networks: an SNPN (Standalone Non Public Network) branch 20 and an SNPN head office 30.
  • SNPN is a network that is being standardized in 3GPP.
  • the SNPN branch 20 may have a PLMN (Public Land Mobile Network) ID (Identifier) different from that of the SNPN head office 30.
  • the PLMN ID is generally an ID that identifies a network managed by a communication carrier.
  • a PLMN ID may be assigned to each SNPN.
  • one PLMN ID may be assigned to two or more SNPNs.
  • each SNPN may be assigned an NID (Network ID). That is, the SNPN may be identified by the NID.
  • the SNPN branch 20 and the SNPN head office 30 constitute one in-house network, with the SNPN head office 30 being the network at the head office and the SNPN branch 20 being the network at the branch office.
  • a local network is not limited to a network constructed at a head office and a branch office, but may be constructed at a factory, for each floor of a building, or for each division within a company.
  • the SNPN branch 20 is recognized as the equivalent SNPN of the SNPN head office 30.
  • the SNPN head office 30 is also recognized as the equivalent SNPN of the SNPN branch 20.
  • a UE 23 that has a Subscription and Credential for connecting to or being registered with the SNPN head office 30 will not be treated as roaming even if it moves from the communication area formed by the SNPN head office 30 to the communication area formed by the SNPN branch 20.
  • the UE 23 can use the Subscription and Credential for connecting to the SNPN head office 30.
  • Subscription indicates subscriber data
  • Credential indicates authentication data.
  • the SNPN branch 20 includes an AMF (Access and Mobility Function) entity 21, an SMF (Session Management Function) entity 22, a UE (User Equipment) 23, an (R)AN ((Radio) Access Network) 24, and a UPF (User Plane Function). It has an entity 25, a DN (Data Network) 26, an edge device 27, and an NSSMF (Network Slice Subnet Management Function) entity 28.
  • the AMF (Access and Mobility Function) entity 21 is hereinafter referred to as AMF21.
  • the SMF (Session Management Function) entity 22 will be referred to as SMF 22 below.
  • the UPF (User Plane Function) entity 25 will be referred to as UPF 25 below.
  • the NSSMF (Network Slice Subnet Management Function) entity 28 will be referred to as NSSMF 28 below.
  • the UE 23 is used as a general term for communication terminals in 3GPP.
  • the UE 23 may be, for example, a smartphone terminal, a tablet terminal, or an IoT (Internet of Things) terminal.
  • IoT Internet of Things
  • the AMF 21 performs mobility control and authentication processing regarding the UE 23.
  • the SMF 22 performs session control regarding the UE 23.
  • the SMF 22 corresponds to the session control device 10 in FIG. (R)AN 24 is an access network for connecting to the core network.
  • the (R)AN 24 may be configured using, for example, a gNB (gNode B), or may be configured using a wireless device that supports a wireless communication standard different from the wireless communication standard defined in 3GPP.
  • the (R)AN 24 may be a wireless device that performs wireless LAN (Local Area Network) communication.
  • the (R)AN 24 may be a device that provides a wired communication line.
  • the UPF 25 transfers or relays User Plane data.
  • User Plane data may be referred to as user data.
  • control data used to control the UPF 25 may be referred to as Control Plane data.
  • the DN 26 may be, for example, an IP network that performs communication using IP, which is used for the so-called Internet.
  • the DN 26 may be, for example, a LAN to which the UPF 25 is connected.
  • the DN26 may be a physically constructed network, or a virtual one using VLAN (Virtual LAN), VXLAN (Virtual eXtensible LAN), GRE (Generic Routing Encapsulation), etc. on the physically constructed network. It may also be a network built in In the following description, the name for identifying the DN 26 will be described as n6-site-branch. Note that the DN 26 is connected to the UPF 25 through an N6 interface in 3GPP.
  • the edge device 27 is a network device that terminates the n6-site-branch, and may be, for example, a router device or a Leaf/Spine switch.
  • the edge device 27 may be, for example, a Provider Edge router (PE router).
  • PE router may be a router managed by another network provider. For example, a company owns the SNPN head office 30 and the SNPN branch 20, but may use a VPN service provided by another network provider to interconnect the two.
  • the edge device 27 may have a virtual instance that provides a VPN service.
  • the virtual instance terminates, for example, EVPN, which is a VPN service that connects the SNPN branch 20 and the SNPN headquarters 30, and the n6-site-branch.
  • the virtual instance also forwards Ethernet frames.
  • the name for identifying the virtual instance that the edge device 27 has will be described as evpn-gw-branch.
  • Edge device 27 may be called a gateway device.
  • the NSSMF 28 provides Provisioning Management Service regarding the network slice subnets that constitute the SNPN branch 20.
  • a network slice is a logical network that virtually divides a single network infrastructure. For example, the operational policy or security policy may be different for each network slice. For example, network slices may be generated for each purpose, such as for each service provided.
  • a network slice subnet is a logical network that is further virtually divided into a network slice.
  • the SNPN headquarters 30 includes an SMF entity 31, an edge device 32, a DN 33, an AF (Application Function) entity 34, an NSMF (Network Slice Management) entity 35, and an NSSMF entity 36.
  • the SMF entity 31 will be referred to as SMF31 below.
  • the AF entity 34 will be referred to as AF34 below.
  • the NSMF entity 35 will be referred to as NSMF 35 below.
  • the NSSMF entity 36 will be referred to as NSSMF 36 below.
  • the SMF 31 performs session control regarding the UE 23. Further, the SMF 31 may perform session control regarding UEs located in the communication area formed by the SNPN headquarters 30.
  • the AF 34 may be a server device that provides application services or stores data, and may be an in-house server located at the SNPN headquarters 30, for example.
  • the DN 33 may be, for example, an IP network that performs communication using IP, which is used for the so-called Internet.
  • the DN 33 may be, for example, a LAN to which the AF 34 connects.
  • DN33 may be a physically constructed network, or may be virtually constructed using Virtual LAN, VXLAN (Virtual eXtensible LAN), GRE (Generic Routing Encapsulation), etc. on a physically constructed network. It may also be a network.
  • the name for identifying DN33 will be explained as n6-site-hq.
  • the edge device 32 is a network device that terminates n6-site-hq, and may be, for example, a router device or a Leaf/Spine switch.
  • the edge device 32 may be, for example, a Provider Edge router (PE router).
  • PE router Provider Edge router
  • the edge device 32 may have a virtual instance that provides VPN services.
  • the virtual instance terminates, for example, EVPN, which is a VPN service that connects the SNPN branch 20 and the SNPN headquarters 30, and n6-site-hq.
  • the virtual instance also forwards Ethernet frames.
  • the name for identifying the virtual instance that the edge device 32 has will be described as evpn-gw-hq.
  • Edge device 32 may be referred to as a gateway device.
  • the NSSMF 36 provides Provisioning Management Service regarding the network slice subnets that make up the SNPN headquarters 30.
  • the NSMF 35 provides Provisioning Management Service regarding network slices including the network slice subnets that make up the SNPN branch 20 and the network subslice subnets that make up the SNPN head office 30.
  • FIG. 3 shows a configuration in which the SNPN branch 20 includes the NSSMF 28 and the SNPN head office 30 includes the NSMF 35 and the NSSMF 36
  • the present invention is not limited to this.
  • the NSMF 35 may be located at the SNPN branch 20 or at a different location from the SNPN branch 20 and the SNPN headquarters 30.
  • NSSMF 28 and NSSMF 36 may also be located at different locations than SNPN branch 20 and SNPN headquarters 30.
  • the NSMF 35, the NSSMF 36, and the NSSMF 28 may be referred to as management devices.
  • a service base architecture is applied to the AMF 21, SMF 22, NSSMF 28, SMF 31, NSMF 35, and NSSMF 36, and each is connected via a service base interface.
  • HTTP HyperText Transfer Protocol
  • evpn-gw-branch is set in the edge device 27, and evpn-gw-hq is set in the edge device 32. do.
  • EVPN which is an L2VPN service
  • Transport Network may be Transport Network Slice.
  • n6-site-hq is connected to evpn-gw-hq.
  • n6-site-branch is not connected to evpn-gw-hq.
  • n6-site-branch is not connected to evpn-gw-hq, that is, n6-site-branch is not connected to evpn-gw-hq. It has not been set, and the data communication route has not been set. Furthermore, assume that the UE 23 moves from the communication area formed by the SNPN head office 30 to the communication area formed by the SNPN branch 20. Specifically, it is assumed that the UE 23 has handed over from the communication area formed by the SNPN head office 30 to the communication area formed by the SNPN branch 20. Alternatively, assume that the UE 23 moves to the communication area formed by the SNPN branch 20 from a state where it is registered with the SNPN head office 30 but is not communicating. Alternatively, assume that the UE 23 holds subscriber data for connecting to the SNPN head office 30 and starts communication in the communication area formed by the SNPN branch 20.
  • the AMF 21 when the AMF 21 receives a PDU Session connection request message from the UE 23, it calls the Nsmf_PDUSession_CreateSMContext service of the SMF 22 (S21). Specifically, the AMF 21 sends a request message to the SMF 22 in order to call the Nsmf_PDUSession_CreateSMContext service of the SMF 22.
  • the AMF 21 specifies the resource sm-contexts and sends a request message in which the data ⁇ “SmContextCreateData”: ⁇ “dnn”: “n6-site-hq” ⁇ is set to the SMF 22.
  • SmContextCreateData is information regarding the PDU Session requested by the UE 23, and dnn (Data Network Name) is the name of the DN (Data Network) that the UE 23 desires to use.
  • dnn indicates the DN to which the UE 23 is connected.
  • the UE 23 specifies n6-site-hq as the dnn.
  • the UE 23 requests connection to the DN 33 of the SNPN head office 30 via the SNPN branch 20.
  • Ethernet is set as the service type in the PDU Session connection request message sent from the UE 23.
  • the SMF 22 calls the Nsmf_PDUSession_Create service of the SMF 31 (S22).
  • the SMF 22 may request information regarding the PDU session in order to connect to the DN 33 of the SNPN head office 30 using the VPN service.
  • the SMF 22 sends a request message to the SMF 31 in order to call the Nsmf_PDUSession_Create service of the SMF 31.
  • the SMF 22 sends a request message to the SMF 31 specifying the resource pdu-sessions and setting the data ⁇ “PduSessionCreateData”: ⁇ “dnn”: “n6-site-hq”, “requestedConnectivity”: “l2vpn-svc” ⁇ . Send to. Note that the SMF 22 may specify the SMF 31 based on the DN specified by dnn.
  • PduSessionCreateData is information regarding the PDU Session requested by the UE 23, and dnn is the name of the DN (Data Network) that the UE 23 desires to use.
  • requestedConnectivity is used to specify the service for connecting to n6-site-hq.
  • l2vpn-svc indicating an L2VPN service is specified as a service for connecting to n6-site-hq. Since the service type of the PDU Session specified by the UE 23 is Ethernet, the SMF 22 may specify l2vpn-svc.
  • IETF RFC8466 defines a YANG data model that can be used to configure L2VPN services, and l2vpn-svc indicates the parameters used in the YANG data model. Note that if the service type of the PDU Session designated by the UE 23 is IP, the SMF 22 may designate the L3VPN service.
  • the SMF 31 calls the Provisioning Management Service of the NSSMF 36 to update the DNFunction information (S23). Specifically, the SMF 31 sends a request message to the NSSMF 36 to call the Provisioning Management Service.
  • the SMF 31 specifies a resource called DNFunction and sends a request message to the NSSMF 36 in which the data ⁇ “managedVpnService”: ⁇ network-access-id”: “n6-site-hq” ⁇ is set as a filter condition.
  • the DNFunction information includes managedVpnService, vpn-id, network-access-id, site-id, and device-id.
  • managedVpnService indicates the VPN service type.
  • the VPN service type may indicate, for example, L2VPN or L3VPN.
  • VPN-ID is identification information for identifying a VPN service.
  • network-access-id indicates a data network accommodated in the VPN service type indicated in managedVpnService.
  • site-id indicates where the data network is located.
  • device-id indicates an edge device that is a physical device that terminates the VPN service indicated by vpn-id.
  • Step S23 in FIG. 4 indicates that the DNFunction information includes at least one managedVpnService information.
  • managedVpnService information may be described according to the YANG data model defined in IETF RFC8466. The word “described” may also be interpreted as “shown” or “set”. That is, managedVpnService information may include one l2vpn-svc.
  • the network-access-id is a parameter for extracting the DN33 accommodated in l2vpn-svc. Contained may also be referred to as connected.
  • network-access-id is used as a filter condition, and n6-site-hq is extracted as network-access-id.
  • the NSSMF 36 transmits a response message for updating the DNFunction information to the SMF 31 (S24).
  • the NSSMF 36 may use the managedVpnService information received in S23 as a filter condition and send matching DNFunction information to the SMF 31 as a response message.
  • the NSSMF36 has managedVpnService as l2vpn-svc, vpn-id as evpn, network-access-id as n6-site-hq, site-id as SNPN-hq, and device Assume that -id has DNFunction information that is pe-hq.
  • evpn is a parameter that identifies an EVPN service.
  • evpn may indicate that an EVPN service is requested.
  • SNPN-hq indicates the SNPN headquarters 30, and pe-hq indicates the edge device 32.
  • the NSSMF 36 Upon receiving the request message whose network-access-id is n6-site-hq, the NSSMF 36 transmits a response message including information indicating that the VPN-id is evpn to the SMF 31. That is, the NSSMF 36 notifies the SMF 31 that the identification information identifying the VPN service to which n6-site-hq connects is evpn.
  • the NSSMF 36 transmits to the SMF 31 a response message in which the data ⁇ “DNFunction”: ⁇ “managedVpnService”: ⁇ “l2vpn-svc”: ⁇ “vpn-id”: “evpn” ⁇ is set.
  • the SMF 31 transmits a response message to the SMF 22 in response to step S22 (S25).
  • the SMF 31 may send information regarding a PDU session for connecting to the DN 33 of the SNPN head office 30 using the VPN service to the SMF 22 as a response message to step S22.
  • the SMF 31 transmits to the SMF 22 a response message in which the data ⁇ “PduSessionCreateData”: ⁇ “managedVpnService”: ⁇ “l2vpn-svc”: ⁇ “vpn-id”: “evpn” ⁇ is set.
  • PduSessionCreateData includes PDU Session information generated in the SMF 31.
  • step S25 of FIG. 3 it is shown that the VPN-ID is evpn, and the SMF 22 acquires evpn as identification information of the L2VPN service used between the SNPN branch 20 and the SNPN head office 30.
  • the SMF 22 calls the Provisioning Management Service of the NSMF 35 and obtains the DNFunction information (S26). Since the SMF 22 uses the VPN service (here, evpn) acquired in S25, it may request the NSMF 35 for information on the edge device 27 at the SNPN branch that supports the VPN service. Specifically, the SMF 22 sends a request message to the NSMF 35 to call the Provisioning Management Service.
  • the SMF22 specifies a resource called DNFunction and uses ⁇ “managedVpnService”: ⁇ “l2vpn-svc”: ⁇ “vpn-id”: “evpn”, “site-id”: “SNPN-Branch” ⁇ as a filter condition. ⁇ A request message with a message set therein is sent to the NSMF 35.
  • the NSMF 35 transmits a response message in response to step S26 to the SMF 22 (S27).
  • the NSMF 35 may transmit information on the edge device 27 at the SNPN branch office that supports the VPN service to the SMF 22 as a response message to step S26.
  • NSMF35 has managedVpnService as l2vpn-svc, vpn-id as evpn, network-access-id as n6-site-branch, site-id as SNPN-branch, and device-id as pe. Assume that it has DNFunction information that is -branch. pe-branch indicates the edge device 27.
  • the NSMF 35 finds DNFunction information that matches the filter conditions in which the vpn-id is evpn and the site-id is SNPN-Branch. As a result, the NSMF35 uses branch”, “network-access-id”: n6-site-branch ⁇ is sent to the SMF 22.
  • the SMF 22 selects a UPF (S28).
  • the SMF 22 selects the UPF 25 as the UPF that can connect to the n6-site-branch included in the DNFunction acquired in step S27.
  • the SMF 22 calls the Provisioning Management Service of the NSMF 35 and updates the UPFFunction information. (S29).
  • the SMF 22 calls the Provisioning Management Service of the NSMF 35 and executes processing for connecting the n6-site-branch to the UPF 25.
  • the SMF 22 may request the NSMF 35 to make settings for connecting the UPF 25 and the edge device 27.
  • the SMF 22 specifies a resource called UPFFunction and registers ⁇ “EP_N6”: ⁇ “localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch” ⁇
  • a request message with data set is sent to the NSSMF 36.
  • the Bearer IP address of UPF set as localAddress is the IP address of the physical network interface set in the UPF 25.
  • the Bearer IP address of pe-branch set as remoteAddress is the IP address of the physical network interface set in the edge device 27.
  • EP_N6 indicates Endpoint information of the N6 interface.
  • the N6 interface is an interface defined in 3GPP as an interface between the UPF and the DN. Endpoint is Bearer IP address of UPF and Bearer IP address of pe-branch.
  • the NSMF 35 calls the Provisioning Management Service of the NSSMF 28 and updates the UPFFunction information.
  • S30 Specifically, NSMF35 specifies a resource called UPFFunction and registers ⁇ “EP_N6”: ⁇ “localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch” ⁇ A request message with data set is sent to the NSSMF 28.
  • the NSSMF 28 updates the EP_N6 information in the UPF 25 (S31).
  • the NSSMF 28 may request the UPF 25 to make settings for connecting the UPF 25 and the edge device 27.
  • the NSSMF 28 sends a request message in which the registration data ⁇ “EP_N6”: ⁇ “localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch” ⁇ is set.
  • Send to UPF25 For example, an IP address used by UPF, such as 192.168.0.10, is set as the Bearer IP address of UPF.
  • an IP address used by pe-branch such as 192.168.0.254, is set as Bearer IP address of pe-branch.
  • an IP address is set in the physical interface of the UPF 25, and furthermore, the IP address of the edge device 27, which is the endpoint of the N6 interface, is recognized.
  • the UPF 25 can set the IP address of the physical interface of the UPF 25 as the source address of the transmission data, and set the IP address of the edge device 27 as the destination address. As a result, it becomes possible for the UPF 25 and the edge device 27 to communicate.
  • the NSSMF 28 executes processing to connect the UPF 25 and the edge device 27 via VXLAN. Specifically, the NSSMF 28 transmits a request message including the VXLAN configuration to the UPF 25 (S32). The UPF 25 acquires the VXLAN configuration and sets the VXLAN endpoint as the endpoint of the N6 interface. Next, the NSSMF 28 generates a VXLAN end point in the edge device 27, and connects the generated VXLAN end point to the evpn-gw-branch (S33). By executing the processes of steps S32 and S33, the UPF 25 can connect to the EVPN via VXLAN.
  • FIG. 6 shows a communication path regarding the UE 23.
  • (R)AN 37 and UPF 38 constitute the SNPN headquarters 30. Further, it indicates that the UE 23 connected to the (R)AN 37 has moved to the SNPN branch 20.
  • the processes shown in FIGS. 4 and 5 are executed, and the UE 23 receives a response message to the PDU Session connection request message, thereby establishing a PDU Session between the UE 23 and the UPF 25.
  • VXLAN is set as the communication path between the UPF 25 and the DN 26.
  • DN26 and DN33 are connected via EVPN.
  • the UE 23 communicates with the AF 34 according to the communication path shown in FIG.
  • the UE 23 is connected to the L2VPN service set between the SNPN branch 20 and the SNPN headquarters 30.
  • EVPN can be used.
  • the UE 23 can communicate with the AF 34 connected to n6-site-hq in the SNPN headquarters 30. That is, when the UE 23 communicates with the AF 34, it does not establish a PDU Session with the UPF in the SNPN headquarters 30 as the anchor point. Thereby, it is possible to prevent the load on the UPF within the SNPN headquarters 30 from increasing.
  • Modification 1 of Embodiment 2 a first modification of the second embodiment will be described.
  • the SMF 22 may manage the network name set in the dnn included in the request message in association with the VPN-id that accommodates the network. If the SMF 22 determines that it has previously received a request message specifying n6-site-hq, that is, if it manages n6-site-hq, the SMF 22 selects the VPN- associated with n6-site-hq. Identify the id.
  • the SMF 22 may use the vpn-id corresponding to n6-site-hq, which was previously received as a message corresponding to step S25 in FIG.
  • the message corresponding to step S25 in FIG. 4 may be a message for a UE different from the UE 23.
  • the SMF 22 identifies evpn as the VPN service that accommodates n6-site-hq.
  • the SMF 22 can skip steps S22 to S25 in FIG.
  • the SMF 22 manages n6-site-hq, vpn-id, and even n6-site-branch in the SNPN branch 20 in association with each other.
  • the SMF 22 upon receiving a request message specifying n6-site-hq, the SMF 22 can specify n6-site-branch.
  • the SMF 22 can skip steps S22 to S27 in FIG.
  • step S22 onward in FIG. 4 the processes from step S22 onward in FIG. 4 are executed.
  • the NSMF 35 determines that it has previously executed the process for connecting to the VPN service with n6-site-hq, it sends a response message containing the data set in step S27 in FIG. 4 to the SMF 22. Good too. This allows the SMF 22 to skip the processing from steps S22 to S26.
  • FIG. 7 is a block diagram showing a configuration example of the session control device 10 described in the above embodiment.
  • the session control device 10 includes a network interface 1201, a processor 1202, and a memory 1203.
  • Network interface 1201 may be used to communicate with network nodes.
  • the network interface 1201 may include, for example, a network interface card (NIC) compliant with the IEEE 802.3 series. IEEE stands for Institute of Electrical and Electronics Engineers.
  • the processor 1202 reads software (computer program) from the memory 1203 and executes it, thereby performing the processing of the session control device 10 explained using the flowchart in the above embodiment.
  • Processor 1202 may be, for example, a microprocessor, MPU, or CPU.
  • Processor 1202 may include multiple processors.
  • the memory 1203 is configured by a combination of volatile memory and nonvolatile memory.
  • Memory 1203 may include storage located remotely from processor 1202.
  • processor 1202 may access memory 1203 via an I/O (Input/Output) interface, which is not shown.
  • I/O Input/Output
  • memory 1203 is used to store software modules.
  • the processor 1202 can perform the processing of the session control device 10 described in the above embodiment by reading out and executing these software module groups from the memory 1203.
  • each of the processors included in the session control device 10 in the above embodiment executes one or more programs including a group of instructions for causing a computer to execute the algorithm explained using the drawings. Execute.
  • the program includes instructions (or software code) that, when loaded into a computer, cause the computer to perform one or more of the functions described in the embodiments.
  • the program may be stored on a non-transitory computer readable medium or a tangible storage medium.
  • computer readable or tangible storage media may include random-access memory (RAM), read-only memory (ROM), flash memory, solid-state drive (SSD) or other memory technology, CD - Including ROM, digital versatile disc (DVD), Blu-ray disc or other optical disc storage, magnetic cassette, magnetic tape, magnetic disc storage or other magnetic storage device.
  • the program may be transmitted on a transitory computer-readable medium or a communication medium.
  • transitory computer-readable or communication media includes electrical, optical, acoustic, or other forms of propagating signals.
  • a communication unit that receives a request message requesting communication from a communication terminal located in a communication area formed by the first local network to a second data network connectable via the second local network; a Virtual Private Network (VPN) service connectable to the second data network; and a communication device used for connection to the VPN service, the communication device located in the first local network. a specific part to specify;
  • a session control device comprising: a control unit that establishes a session between the communication terminal and the communication device.
  • the communication department includes: After receiving the request message, transmitting a first inquiry message inquiring about the VPN service to another session control device that controls a session established in the second local network; The session control device according to supplementary note 1, which receives a first response message including VPN information indicating the VPN service from the other session control device.
  • the communication department includes: transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service; receiving a second response message including network identification information indicating the first data network connectable to the VPN service; The specific part is after receiving the second response message, identifying the communication device connectable to the first data network;
  • the session control device according to appendix 1 or 2 wherein the first data network is a data network in the first local network.
  • the identifying unit identifies the communication device connectable to the first data network based on the network identification information.
  • the identification unit includes: The session control device according to any one of Supplementary Notes 1 to 5, which specifies the communication device based on the managed VPN information.
  • the second session control device includes: When the communication terminal receives a first request message indicating that it requests communication to the second data network from the first session control device, it sends a first response message to the first session control device.
  • the first response message includes VPN information indicating a VPN service connectable to the second data network;
  • the first session control device includes: session control for identifying the communication device used for connection to the VPN service and located in the first local network and establishing a session between the communication terminal and the communication device; system.
  • the first session control device includes: transmitting a first inquiry message inquiring about an access network connectable to the VPN service to a first management device; receiving a second response message; and specifying the communication device connectable to the access network.
  • the second response message includes network identification information indicating a first data network connectable to the VPN service, and the first data network is a data network in the first local network.
  • Session control system described. The second session control device includes: Supplementary note: transmitting, to a second management device, a third inquiry message inquiring about a VPN service connectable to the second data network, and receiving a third response message including the VPN information indicating the VPN service; 9.
  • (Appendix 12) transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service; receiving a second response message including network identification information indicating the first data network connectable to the VPN service; after receiving the second response message, identifying the communication device connectable to the first data network;
  • (Appendix 13) The session control method according to appendix 12, wherein the second inquiry message includes VPN information indicating the VPN service.
  • (Appendix 14) The session control method according to appendix 12, wherein the communication device connectable to the first data network is specified based on the network identification information.
  • (Appendix 17) After receiving the request message, transmitting a first inquiry message inquiring about the VPN service to another session control device that controls a session established in the second local network; 17.
  • a non-transitory computer-readable medium storing the program according to appendix 16, which causes a computer to receive a first response message including VPN information indicating the VPN service from the other session control device.
  • (Appendix 18) transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service; receiving a second response message including network identification information indicating the first data network connectable to the VPN service; after receiving the second response message, identifying the communication device connectable to the first data network;
  • the first data network is a data network in the first local network.
  • Session control device 11 Communication unit 12 Specification unit 13 Control unit 20 SNPN branch 21 AMF 22 SMF 23 U.E. 24 (R)AN 25 UPF 26 DN 27 Edge device 28 NSSMF 30 SNPN Head Office 31 SMF 32 Edge device 33 DN 34 AF 35 NSMF 36 NSSMF

Abstract

The purpose of the present invention is to provide a session control device with which it is possible to suppress any increase in the load on a communication device constituting a network. A session control device (10) according to the present disclosure comprises: a communication unit (11) for receiving, from a communication terminal positioned in a communication area within which a first local network is formed, a request message requesting communication with a second data network capable of connecting to a second local network; an identification unit (12) for identifying a VPN service capable of connecting to the second data network and a communication device used in connection to the VPN service, the communication device being disposed within the first local network; and a control unit (13) for establishing a session between the communication terminal and the communication device.

Description

セッション制御装置、セッション制御システム、セッション制御方法、及び非一時的なコンピュータ可読媒体Session control device, session control system, session control method, and non-transitory computer-readable medium
 本開示はセッション制御装置、セッション制御システム、セッション制御方法、及び非一時的なコンピュータ可読媒体に関する。 The present disclosure relates to a session control device, a session control system, a session control method, and a non-transitory computer-readable medium.
 モバイル通信の標準規格を規定する3GPP(3rd Generation Partnership Project)において、5G(5th Generation)システムをプライベートネットワークとして利用することが検討されている。プライベートネットワークとして利用される5Gシステムは、3GPPにおいてSNPN(Standalone Non Public Network)として標準化が進められている。SNPNは、公衆網(Public Network)から独立したネットワークとして構築される。 The 3rd Generation Partnership Project (3GPP), which defines mobile communication standards, is considering using the 5th Generation (5G) system as a private network. The 5G system used as a private network is being standardized as SNPN (Standalone Non Public Network) in 3GPP. SNPN is constructed as a network independent from a public network.
 非特許文献1には、複数のSNPNの接続構成が記載されている。さらに、非特許文献1には、UE(User Equipment)があるSNPNから他のSNPNへ移動した場合におけるPDU(Protocol Data Unit)セッションを確立する経路に関する複数のシナリオが記載されている。具体的には、UEがSNPN#1からSNPN#2へ移動した場合に、UEが確立するPDUセッションのアンカーポイントが、SNPN#1へ設定されることが記載されている。PDUセッションは、UEと、ユーザプレーンデータを中継するUPF(User Plane Function)エンティティ(以下、UPFとする)との間において確立される。つまり、PDUセッションは、UEとUPFとにおいて終端される。ここで、UEがSNPN#1からSNPN#2へ移動し、SNPN#2へアクセスしてきた場合、UEと、SNPN#2を介して、SNPN#1に配置されたUPFとの間においてPDUセッションが確立される。UEと、SNPN#1に配置されたUPFとの間において確立されるPDUセッションは、UEから、SNPN#2を介して、SNPN#1に配置されたUPFへ到達する。 Non-Patent Document 1 describes a connection configuration of multiple SNPNs. Further, Non-Patent Document 1 describes a plurality of scenarios regarding routes for establishing a PDU (Protocol Data Unit) session when a UE (User Equipment) moves from one SNPN to another SNPN. Specifically, it is described that when the UE moves from SNPN #1 to SNPN #2, the anchor point of the PDU session established by the UE is set to SNPN #1. A PDU session is established between the UE and a UPF (User Plane Function) entity (hereinafter referred to as UPF) that relays user plane data. That is, the PDU session is terminated at the UE and UPF. Here, when the UE moves from SNPN #1 to SNPN #2 and accesses SNPN #2, a PDU session is established between the UE and the UPF located in SNPN #1 via SNPN #2. Established. A PDU session established between the UE and the UPF located at SNPN #1 reaches the UPF located at SNPN #1 from the UE via SNPN #2.
 SNPN#1を利用可能なUEがSNPN#2へアクセスしてきた場合に、アンカーポイントとなるSNPN#1のUPFは、SNPN#1に存在しないUEの接続管理を行う必要がある。今後、UEとして大量のIoT(Internet of Things)端末が用いられた場合、IoT端末がどこのSNPNを利用したとしても、アンカーポイントとしてSNPN#1のUPFが大量のIoT端末に関する接続管理を行う必要がある。その結果、SNPN#1のUPFにおける負荷が増大し、障害もしくは輻輳等が発生するという問題がある。 When a UE that can use SNPN #1 accesses SNPN #2, the UPF of SNPN #1, which serves as an anchor point, needs to manage connections of UEs that do not exist in SNPN #1. In the future, when a large number of IoT (Internet of Things) terminals are used as UEs, no matter which SNPN the IoT terminal uses, the UPF of SNPN #1 will need to manage connections for a large number of IoT terminals as an anchor point. There is. As a result, there is a problem in that the load on the UPF of SNPN #1 increases, resulting in failure or congestion.
 本開示の目的の一つは、上述した課題を鑑み、ネットワークを構成する通信装置の負荷の増大を抑えることができるセッション制御装置、セッション制御システム、セッション制御方法、及び非一時的なコンピュータ可読媒体を提供することにある。 In view of the above-mentioned problems, one object of the present disclosure is to provide a session control device, a session control system, a session control method, and a non-transitory computer-readable medium that can suppress an increase in load on communication devices that constitute a network. Our goal is to provide the following.
 本開示の第1の態様にかかるセッション制御装置は、第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信する通信部と、前記第2のデータネットワークへ接続可能なVPNサービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置とを特定する特定部と、前記通信端末と前記通信装置との間のセッションを確立する制御部と、を備える。 A session control device according to a first aspect of the present disclosure is configured to perform communication from a communication terminal located in a communication area formed by a first local network to a second data network connectable via a second local network. a VPN service connectable to the second data network; and a communication device used for connection to the VPN service, the communication unit being disposed in the first local network. and a control unit that establishes a session between the communication terminal and the communication device.
 本開示の第2の態様にかかるセッション制御システムは、第1のローカルネットワークが形成する通信エリアに位置する通信端末と、前記第1のローカルネットワークにおいて確立されるセッションを制御する第1のセッション制御装置と、第2のデータネットワークと接続可能な第2のローカルネットワークにおいて確立されるセッションを制御する第2のセッション制御装置と、を備え、前記第2のセッション制御装置は、前記第1のセッション制御装置から、前記通信端末が前記第2のデータネットワークへの通信を要求することを示す要求メッセージを受信すると、第1の応答メッセージを前記第1のセッション制御装置へ送信し、前記第1の応答メッセージは、前記第2のデータネットワークへ接続可能なVPNサービスを示すVPN情報を含み、前記第1のセッション制御装置は、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置を特定し、前記通信端末と前記通信装置との間のセッションを確立する。 A session control system according to a second aspect of the present disclosure includes a first session control system that controls a communication terminal located in a communication area formed by a first local network and a session established in the first local network. a second session control device that controls a session established in a second local network connectable to a second data network, the second session control device controlling a session established in a second local network connectable to a second data network; When the communication terminal receives a request message from the control device indicating that it requests communication to the second data network, it transmits a first response message to the first session control device, and sends a first response message to the first session control device. The response message includes VPN information indicating a VPN service connectable to the second data network, and the first session control device is a communication device used for connection to the VPN service, and the first session control device is a communication device used for connection to the VPN service, The communication device located in the local network of the communication terminal is identified, and a session is established between the communication terminal and the communication device.
 本開示の第3の態様にかかるセッション制御方法は、第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信し、前記第2のデータネットワークへ接続可能なVPNサービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置とを特定し、前記通信端末と前記通信装置との間のセッションを確立する。 A session control method according to a third aspect of the present disclosure includes communication from a communication terminal located in a communication area formed by a first local network to a second data network connectable via a second local network. a VPN service capable of receiving a request message requesting a second data network and connecting to the second data network; and a communication device used for connecting to the VPN service, the communication device being located in the first local network. A session is established between the communication terminal and the communication device.
 本開示の第4の態様にかかるプログラムは、第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信し、前記第2のデータネットワークへ接続可能なVPNサービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置とを特定し、前記通信端末と前記通信装置との間のセッションを確立することをコンピュータに実行させる。 A program according to a fourth aspect of the present disclosure requests communication from a communication terminal located in a communication area formed by a first local network to a second data network connectable via a second local network. a VPN service capable of receiving a request message to connect to the second data network; and a communication device used for connection to the VPN service, the communication device disposed in the first local network. the computer to identify the communication terminal and establish a session between the communication terminal and the communication device.
 本開示により、ネットワークを構成する通信装置の負荷の増大を抑えることができるセッション制御装置、セッション制御システム、セッション制御方法、及び非一時的なコンピュータ可読媒体を提供することができる。 According to the present disclosure, it is possible to provide a session control device, a session control system, a session control method, and a non-transitory computer-readable medium that can suppress an increase in load on communication devices that constitute a network.
実施の形態1にかかるセッション制御装置の構成図である。1 is a configuration diagram of a session control device according to a first embodiment; FIG. 実施の形態1にかかるセッション制御処理のフローチャートである。7 is a flowchart of session control processing according to the first embodiment. 実施の形態2にかかる通信システムの構成図である。FIG. 2 is a configuration diagram of a communication system according to a second embodiment. 実施の形態2にかかるVPN設定処理の流れを示す図である。FIG. 7 is a diagram showing the flow of VPN setting processing according to the second embodiment. 実施の形態2にかかるVPN設定処理の流れを示す図である。FIG. 7 is a diagram showing the flow of VPN setting processing according to the second embodiment. 実施の形態2にかかる通信経路を説明する図である。FIG. 7 is a diagram illustrating a communication path according to a second embodiment. 実施の形態2にかかるセッション制御装置の構成図である。FIG. 2 is a configuration diagram of a session control device according to a second embodiment.
 (実施の形態1)
 以下、図面を参照して本発明の実施の形態について説明する。図1を用いて実施の形態1にかかるセッション制御装置10の構成例について説明する。セッション制御装置10は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。セッション制御装置10は、モバイル通信ネットワークを構成するノード装置もしくは通信装置であってもよい。 (Embodiment 1)
Embodiments of the present invention will be described below with reference to the drawings. A configuration example of the session control device 10 according to the first embodiment will be described using FIG. 1. Session control device 10 may be a computer device that operates by a processor executing a program stored in memory. The session control device 10 may be a node device or a communication device that constitutes a mobile communication network.
 セッション制御装置10は、通信部11、特定部12、及び制御部13を有している。通信部11、特定部12、及び制御部13は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、通信部11、特定部12、及び制御部13は、回路もしくはチップ等のハードウェアであってもよい。 The session control device 10 includes a communication section 11, a specification section 12, and a control section 13. The communication unit 11, the identification unit 12, and the control unit 13 may be software or modules whose processing is executed by a processor executing a program stored in a memory. Alternatively, the communication section 11, the identification section 12, and the control section 13 may be hardware such as a circuit or a chip.
 通信部11は、第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能なデータネットワークへの通信を要求する要求メッセージを受信する。 The communication unit 11 receives a request message requesting communication to a data network connectable via the second local network from a communication terminal located in the communication area formed by the first local network.
 ローカルネットワークは、プライベートネットワークと言い換えられてもよい。ローカルネットワークは、いわゆる公衆網ではなく、特定のユーザからのアクセスのみを許容するネットワークであってもよい。ローカルネットワークは、いわゆるイントラネット等の社内ネットワークを構成するネットワークであってもよい。複数の拠点を有する企業は、社内ネットワークを構築する際に、拠点ごとにローカルネットワークを構築し、それぞれのローカルネットワークを相互接続してもよい。具体的には、企業は、本社(HeadQuarters, HQ)におけるローカルネットワークと、支社(Branch office)におけるローカルネットワークをそれぞれ構築し、それぞれのローカルネットワークを相互接続してもよい。第1のローカルネットワーク及び第2のローカルネットワークは、異なる拠点におけるネットワークであってもよい。 A local network may also be referred to as a private network. The local network may not be a so-called public network, but may be a network that allows access only from specific users. The local network may be a network that constitutes a company network such as a so-called intranet. When constructing an internal network, a company having multiple locations may construct a local network for each location and interconnect the local networks. Specifically, a company may construct a local network at its headquarter (Head Quarters, HQ) and a local network at a branch office (Branch office), and interconnect the respective local networks. The first local network and the second local network may be networks at different locations.
 ローカルネットワークが形成する通信エリアは、通信端末が、ローカルネットワークにアクセスすることが可能な通信エリアである。通信端末は、無線通信回線もしくは有線通信回線を用いてローカルネットワークにアクセスする。ローカルネットワークが形成する通信エリアは、例えば、無線通信装置が形成する通信エリアであってもよい。 The communication area formed by the local network is a communication area where communication terminals can access the local network. A communication terminal accesses a local network using a wireless communication line or a wired communication line. The communication area formed by the local network may be, for example, a communication area formed by wireless communication devices.
 データネットワークは、例えばユーザが利用するデータが格納されているサーバ装置、もしくはユーザがアクセスを希望するサーバ装置等を有するネットワークであってもよい。サーバ装置を有するネットワークとは、サーバ装置が接続されるネットワークと言い換えられてもよい。ローカルネットワークは、通信端末とデータネットワークとの間の通信を中継するネットワークとして用いられてもよい。また、データネットワークは、ローカルネットワークに含まれていてもよい。つまり、データネットワークは、ローカルネットワークを構成する一部のネットワークであってもよい。 The data network may be, for example, a network that includes a server device in which data used by the user is stored, or a server device that the user wishes to access. A network having a server device may also be referred to as a network to which the server device is connected. The local network may be used as a network that relays communication between a communication terminal and a data network. The data network may also be included in the local network. In other words, the data network may be a part of the network that constitutes the local network.
 特定部12は、データネットワークへ接続可能なVPN(Virtual Private Network)サービスと、VPNサービスへの接続に用いられる通信装置とを特定する。VPNサービスへの接続に用いられる通信装置は、第1のローカルネットワークに配置されている。 The identification unit 12 identifies a VPN (Virtual Private Network) service that can be connected to the data network and a communication device used for connection to the VPN service. A communication device used to connect to the VPN service is located in the first local network.
 VPNサービスは、例えば、いわゆるインターネット等の公衆網において仮想的な専用線を構築するサービスである。VPNサービスは、公衆網において、第1のローカルネットワークと第2のローカルネットワークとを接続するための、仮想的な専用線を構築するサービスである。仮想的な専用線においては、データの暗号化等が行われることによってデータの機密性が保たれている。 A VPN service is, for example, a service that constructs a virtual private line on a public network such as the Internet. A VPN service is a service that constructs a virtual dedicated line for connecting a first local network and a second local network in a public network. In the virtual dedicated line, the confidentiality of data is maintained by encrypting the data.
 VPNサービスは、例えば、L2VPNサービス、L3VPNサービスであってもよい。これらの技術は、一般的にプライベートなネットワークを相互接続する際に利用される。L2VPNサービスは、異なる拠点に構築されたLAN(Local Area Network)同士を相互接続して、全体があたかも1つの大きなLANであるかのようにふるまう。その結果、端末が本社から支社へ移動し、支社のLANへアクセスしても、LAN上に設定されたIPサブネットが同じであるため、同じIPアドレスを利用することが可能となる。L3VPNサービスは、互いに離れたIPサブネットを相互接続し、L3VPNサービスがルータのようにふるまう。その結果、本社と支社の環境は別々のネットワーク設計が可能になり、互いに独立して更新していくことが可能となる。一方、端末が本社から支社へ移動すれば、支社のIPアドレスを使う必要がある。端末のIPアドレスが変更されるが、接続されるIPサブネット同士のIP到達性が維持されるため、支社LANにアクセスした端末は、本社LANに接続されているサービスを利用することが可能である。L2VPNサービス、L3VPNサービスともに、他のL2VPNサービス、L3VPNサービスと隔離することが可能である。例えばX社向けVPNサービス、Y社向けVPNサービスで、重複するプライベートアドレスの利用があったとしても、X社向けプライベートアドレス、Y社向けプライベートアドレスとして認識される。L2VPNサービスは、例えば、EVPN(Ethernet(登録商標) VPN)であってもよい。EVPNは、例えば、Traffic Engineeringを備えた、MPLS(Multi Protocol Label Switching)ネットワークもしくはSegment Routingネットワークにおいて実行される。 The VPN service may be, for example, an L2VPN service or an L3VPN service. These techniques are commonly used to interconnect private networks. The L2VPN service interconnects LANs (Local Area Networks) built at different locations so that the entire network behaves as if it were one large LAN. As a result, even if a terminal moves from the head office to a branch office and accesses the LAN of the branch office, it is possible to use the same IP address because the IP subnet set on the LAN is the same. The L3VPN service interconnects IP subnets that are separate from each other, and the L3VPN service acts like a router. As a result, the head office and branch offices can have separate network designs and can be updated independently of each other. On the other hand, if a terminal moves from the head office to a branch office, it is necessary to use the IP address of the branch office. Although the IP address of the terminal is changed, IP reachability between the connected IP subnets is maintained, so terminals accessing the branch office LAN can use services connected to the head office LAN. . Both L2VPN services and L3VPN services can be isolated from other L2VPN services and L3VPN services. For example, even if duplicate private addresses are used in a VPN service for company X and a VPN service for company Y, they will be recognized as a private address for company X and a private address for company Y. The L2VPN service may be, for example, EVPN (Ethernet VPN). EVPN is implemented, for example, in an MPLS (Multi Protocol Label Switching) network or a Segment Routing network with Traffic Engineering.
 通信装置は、VPNサービスを実行するネットワークへのアクセスを可能とする装置である。例えば、通信装置は、VPNサービスを実行するネットワークに配置された装置であってもよく、VPNサービスを実行するネットワークへアクセスするために用いられるデータネットワークに接続された装置であってもよい。1つのローカルネットワーク(例えば支社ローカルネットワーク)が、Edge環境(例えば、フロア毎やビル毎)とCenter環境(例えば、管理室やサーバールーム)というように、多段構成または分散配備をとる場合がある。この場合、通信装置は、Edge側に配置され、VPNサービスを実行するネットワークへアクセスするために用いられるデータネットワークに接続された装置であってもよい。1つのローカルネットワーク(例えば支社ローカルネットワーク)が、Edge環境(例えば、フロア毎やビル毎)とCenter環境(例えば、管理室やサーバールーム)というように、多段構成または分散配備をとる場合がある。この場合、通信装置はCenter側に配置されVPNサービスを実行するネットワークへアクセスするために用いられるデータネットワークに接続された装置であってもよい。 A communication device is a device that allows access to a network that performs a VPN service. For example, the communication device may be a device located on a network that performs a VPN service, or may be a device that is connected to a data network used to access the network that performs a VPN service. One local network (for example, a branch office local network) may have a multi-stage configuration or distributed deployment, such as an Edge environment (for example, for each floor or building) and a Center environment (for example, a management room or server room). In this case, the communication device may be a device located on the Edge side and connected to a data network used to access the network running the VPN service. One local network (for example, a branch office local network) may have a multi-stage configuration or distributed deployment, such as an Edge environment (for example, for each floor or building) and a Center environment (for example, a management room or server room). In this case, the communication device may be a device located on the Center side and connected to a data network used to access the network that executes the VPN service.
 制御部13は、通信端末と、特定部12において特定された通信装置との間のセッションを確立する。言い換えると、通信端末と通信装置とを端点とするセッションが確立される。通信端末と通信装置との間のセッションが確立されることによって、通信端末は、通信装置と通信を行うことが可能となり、さらに、通信装置を介した通信を行うことが可能となる。また、通信装置は第1のローカルネットワークに配置されるため、セッションは第1のローカルネットワークにおいて確立される。つまり、セッションは、第1のローカルネットワークにおいて終端される。通信端末は、利用するアプリケーションサービスごとに異なるセッションを確立してもよく、複数のアプリケーションサービスを一つのセッションを用いて利用してもよい。通信端末と通信装置との間のセッションは、通信端末と通信装置との間の通信経路と称されてもよい。 The control unit 13 establishes a session between the communication terminal and the communication device identified by the identification unit 12. In other words, a session is established with the communication terminal and the communication device as end points. Establishing a session between the communication terminal and the communication device enables the communication terminal to communicate with the communication device, and further enables communication via the communication device. Also, since the communication device is located in the first local network, the session is established in the first local network. That is, the session is terminated at the first local network. A communication terminal may establish a different session for each application service to be used, or may use a plurality of application services using one session. A session between a communication terminal and a communication device may be referred to as a communication path between the communication terminal and the communication device.
 通信端末と通信装置との間のセッションが確立することによって、通信端末は、通信装置を介してVPNサービスを実行するネットワークへ接続する。さらに、通信端末は、通信装置及びVPNサービスを介し第2のローカルネットワークのデータネットワークへ接続する。 By establishing a session between the communication terminal and the communication device, the communication terminal connects to the network that executes the VPN service via the communication device. Further, the communication terminal connects to the data network of the second local network via the communication device and the VPN service.
 続いて、図2を用いてセッション制御装置10において実行されるセッション制御処理のフローチャートについて説明する。 Next, a flowchart of session control processing executed in the session control device 10 will be described using FIG. 2.
 はじめに、通信部11は、第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能なデータネットワークへの通信を要求する要求メッセージを受信する(S11)。次に、特定部12は、データネットワークへ接続可能なVPNサービスと、VPNサービスへの接続に用いられる通信装置を特定する(S12)。通信装置は、第1のローカルネットワークに配置された装置である。次に、制御部13は、通信端末と通信装置との間のセッションを確立する(S13)。 First, the communication unit 11 receives a request message requesting communication to a data network connectable via the second local network from a communication terminal located in the communication area formed by the first local network (S11 ). Next, the specifying unit 12 specifies a VPN service connectable to the data network and a communication device used for connection to the VPN service (S12). The communication device is a device located in the first local network. Next, the control unit 13 establishes a session between the communication terminal and the communication device (S13).
 以上説明したように、第1のローカルネットワークが形成する通信エリアに位置する通信端末が、データネットワークへの通信を行う際に、セッション制御装置10は、第1のローカルネットワークにセッションを確立する。データネットワークは、第2のローカルネットワークを介して接続可能なネットワークとする。つまり、通信端末は、第2のローカルネットワークとの間にはセッションを確立することなく、第1のローカルネットワークに確立されたセッション、及びVPNサービスを介してデータネットワークと通信を行うことができる。その結果、第2のローカルネットワークは、第1のローカルネットワークに位置する通信端末の接続管理を行う必要が無いため、通信端末の管理負荷を軽減することができる。 As explained above, when a communication terminal located in the communication area formed by the first local network communicates with the data network, the session control device 10 establishes a session with the first local network. The data network is a network connectable via the second local network. In other words, the communication terminal can communicate with the data network via the session established in the first local network and the VPN service without establishing a session with the second local network. As a result, the second local network does not need to manage the connections of the communication terminals located in the first local network, so that the management load on the communication terminals can be reduced.
 (実施の形態2)
 続いて、図3を用いて実施の形態2にかかる通信システムの構成例について説明する。図3の通信システムは、SNPN(Standalone Non Public Network)ブランチ20及びSNPN本社30の二つのローカルネットワークを含む。SNPNは、3GPPにおいて標準化が進められているネットワークである。SNPNブランチ20は、SNPN本社30と異なるPLMN(Public Land Mobile Network) ID(Identifier)を有してもよい。PLMN IDは、一般的には通信事業者が管理するネットワークを識別するIDである。一方、事業者もしくは企業が複数のSNPNを管理する場合に、SNPN毎にPLMN IDが付与されてもよい。もしくは、2以上のSNPNに一つのPLMN IDが付与されてもよい。2つ以上のSNPNに一つのPLMN IDが付与される場合、それぞれのSNPNには、NID(Network ID)が付与されてもよい。つまり、SNPNは、NIDによって識別されてもよい。 (Embodiment 2)
Next, a configuration example of the communication system according to the second embodiment will be described using FIG. 3. The communication system of FIG. 3 includes two local networks: an SNPN (Standalone Non Public Network) branch 20 and an SNPN head office 30. SNPN is a network that is being standardized in 3GPP. The SNPN branch 20 may have a PLMN (Public Land Mobile Network) ID (Identifier) different from that of the SNPN head office 30. The PLMN ID is generally an ID that identifies a network managed by a communication carrier. On the other hand, when a business operator or company manages multiple SNPNs, a PLMN ID may be assigned to each SNPN. Alternatively, one PLMN ID may be assigned to two or more SNPNs. When one PLMN ID is assigned to two or more SNPNs, each SNPN may be assigned an NID (Network ID). That is, the SNPN may be identified by the NID.
 ここでは、SNPNブランチ20及びSNPN本社30が、一つの社内ネットワークを構成し、SNPN本社30が本社におけるネットワークであり、SNPNブランチ20が支社におけるネットワークであることを示している。ローカルネットワークは、本社と支社とにおいて構築されるネットワークに制限されず、例えば工場において構築されてもよく、ビルのフロア単位に構築されてもよく、社内の事業部単位に構築されてもよい。 Here, the SNPN branch 20 and the SNPN head office 30 constitute one in-house network, with the SNPN head office 30 being the network at the head office and the SNPN branch 20 being the network at the branch office. A local network is not limited to a network constructed at a head office and a branch office, but may be constructed at a factory, for each floor of a building, or for each division within a company.
 SNPNブランチ20は、SNPN本社30のEquivalent SNPNと認識される。SNPN本社30も、SNPNブランチ20のEquivalent SNPNと認識される。例えば、SNPN本社30に接続するもしくは登録されるためのSubscription及びCredentialを有するUE23は、SNPN本社30が形成する通信エリアからSNPNブランチ20が形成する通信エリアへ移動してもローミング扱いとはならない。UE23は、SNPNブランチ20へ接続する際に、SNPN本社30へ接続するためのSubscription及びCredentialを利用することができる。Subscriptionは、加入者データを示し、Credentialは、認証データを示す。 The SNPN branch 20 is recognized as the equivalent SNPN of the SNPN head office 30. The SNPN head office 30 is also recognized as the equivalent SNPN of the SNPN branch 20. For example, a UE 23 that has a Subscription and Credential for connecting to or being registered with the SNPN head office 30 will not be treated as roaming even if it moves from the communication area formed by the SNPN head office 30 to the communication area formed by the SNPN branch 20. When connecting to the SNPN branch 20, the UE 23 can use the Subscription and Credential for connecting to the SNPN head office 30. Subscription indicates subscriber data, and Credential indicates authentication data.
 SNPNブランチ20は、AMF(Access and Mobility Function)エンティティ21、SMF(Session Management Function)エンティティ22、UE(User Equipment)23、(R)AN((Radio) Access Network)24、UPF(User Plane Function)エンティティ25、DN(Data Network)26、エッジ装置27、及びNSSMF(Network Slice Subnet Management Function)エンティティ28を有している。AMF(Access and Mobility Function)エンティティ21は、以下においてAMF21とする。SMF(Session Management Function)エンティティ22は、以下においてSMF22とする。UPF(User Plane Function)エンティティ25は、以下においてUPF25とする。NSSMF(Network Slice Subnet Management Function)エンティティ28は、以下においてNSSMF28とする。 The SNPN branch 20 includes an AMF (Access and Mobility Function) entity 21, an SMF (Session Management Function) entity 22, a UE (User Equipment) 23, an (R)AN ((Radio) Access Network) 24, and a UPF (User Plane Function). It has an entity 25, a DN (Data Network) 26, an edge device 27, and an NSSMF (Network Slice Subnet Management Function) entity 28. The AMF (Access and Mobility Function) entity 21 is hereinafter referred to as AMF21. The SMF (Session Management Function) entity 22 will be referred to as SMF 22 below. The UPF (User Plane Function) entity 25 will be referred to as UPF 25 below. The NSSMF (Network Slice Subnet Management Function) entity 28 will be referred to as NSSMF 28 below.
 UE(User Equipment)は、3GPPにおける通信端末の総称として用いられる。UE23は、例えば、スマートフォン端末、タブレット型端末、もしくはIoT(Internet of Things)端末であってもよい。 UE (User Equipment) is used as a general term for communication terminals in 3GPP. The UE 23 may be, for example, a smartphone terminal, a tablet terminal, or an IoT (Internet of Things) terminal.
 AMF21は、UE23に関するモビリティ制御及び認証処理を行う。SMF22は、UE23に関するセッション制御を行う。SMF22は、図1のセッション制御装置10に相当する。(R)AN24は、コアネットワークへ接続するためのアクセスネットワークである。(R)AN24は、例えば、gNB(gNode B)を用いて構成されてもよく、3GPPにおいて規定されている無線通信規格とは異なる無線通信規格をサポートする無線装置を用いて構成されてもよい。例えば、(R)AN24は、無線LAN(Local Area Network)通信を行う無線装置であってもよい。もしくは、(R)AN24は、有線通信回線を提供する装置であってもよい。 The AMF 21 performs mobility control and authentication processing regarding the UE 23. The SMF 22 performs session control regarding the UE 23. The SMF 22 corresponds to the session control device 10 in FIG. (R)AN 24 is an access network for connecting to the core network. The (R)AN 24 may be configured using, for example, a gNB (gNode B), or may be configured using a wireless device that supports a wireless communication standard different from the wireless communication standard defined in 3GPP. . For example, the (R)AN 24 may be a wireless device that performs wireless LAN (Local Area Network) communication. Alternatively, the (R)AN 24 may be a device that provides a wired communication line.
 UPF25は、User Planeデータを転送もしくは中継する。User Planeデータは、ユーザデータと称されてもよい。また、UPF25を制御するために用いられる制御データは、Control Planeデータと称されてもよい。 The UPF 25 transfers or relays User Plane data. User Plane data may be referred to as user data. Furthermore, the control data used to control the UPF 25 may be referred to as Control Plane data.
 DN26は、例えば、いわゆるインターネット等に用いられるIPを用いた通信を行うIPネットワークであってもよい。DN26は、例えば、UPF25が接続するLANであってもよい。DN26は、物理的に構築されたネットワークであってもよく、物理的に構築されたネットワーク上にVLAN(Virtual LAN)、VXLAN(Virtual eXtensible LAN)、GRE(Generic Routing Encapsulation)等を用いて仮想的に構築されたネットワークであってもよい。以降の説明において、DN26を識別する名称をn6-site-branchとして説明する。なおDN26は、UPF25と3GPPにおけるN6インタフェースで接続される。 The DN 26 may be, for example, an IP network that performs communication using IP, which is used for the so-called Internet. The DN 26 may be, for example, a LAN to which the UPF 25 is connected. The DN26 may be a physically constructed network, or a virtual one using VLAN (Virtual LAN), VXLAN (Virtual eXtensible LAN), GRE (Generic Routing Encapsulation), etc. on the physically constructed network. It may also be a network built in In the following description, the name for identifying the DN 26 will be described as n6-site-branch. Note that the DN 26 is connected to the UPF 25 through an N6 interface in 3GPP.
 エッジ装置27は、n6-site-branchを終端するネットワーク機器であって、例えば、ルータ機器、Leaf/Spineスイッチであってもよい。エッジ装置27は、例えば、Provider Edgeルータ(PEルータ)であってもよい。PEルータは、他のネットワークプロバイダーによって管理されているルータであってもよい。例えば企業は、SNPN本社30やSNPNブランチ20を自社保有するが、両者の相互接続については、他のネットワークプロバイダーが提供されるVPNサービスを活用してもよい。また、エッジ装置27は、VPNサービスを提供する仮想インスタンスを有してもよい。仮想インスタンスは、例えば、SNPNブランチ20とSNPN本社30とを接続するVPNサービスであるEVPNとn6-site-branchとを終端する。また、仮想インスタンスは、Ethernetフレームを転送する。以降の説明においてエッジ装置27が有する仮想インスタンスを識別する名称を、evpn-gw-branchとして説明する。エッジ装置27は、ゲートウェイ装置と称されてもよい。 The edge device 27 is a network device that terminates the n6-site-branch, and may be, for example, a router device or a Leaf/Spine switch. The edge device 27 may be, for example, a Provider Edge router (PE router). A PE router may be a router managed by another network provider. For example, a company owns the SNPN head office 30 and the SNPN branch 20, but may use a VPN service provided by another network provider to interconnect the two. Furthermore, the edge device 27 may have a virtual instance that provides a VPN service. The virtual instance terminates, for example, EVPN, which is a VPN service that connects the SNPN branch 20 and the SNPN headquarters 30, and the n6-site-branch. The virtual instance also forwards Ethernet frames. In the following description, the name for identifying the virtual instance that the edge device 27 has will be described as evpn-gw-branch. Edge device 27 may be called a gateway device.
 NSSMF28は、SNPNブランチ20を構成するネットワークスライスサブネットに関するProvisioning Management Serviceを提供する。ネットワークスライスとは、単一のネットワークインフラを仮想的に分割した論理ネットワークである。例えば、運用ポリシーもしくはセキュリティポリシーが、ネットワークスライス毎に異なってもよい。例えば、ネットワークスライスは、提供するサービス毎等、ある目的ごとに生成されてもよい。ネットワークスライスサブネットは、ネットワークスライスをさらに仮想的に分割した論理ネットワークである。 The NSSMF 28 provides Provisioning Management Service regarding the network slice subnets that constitute the SNPN branch 20. A network slice is a logical network that virtually divides a single network infrastructure. For example, the operational policy or security policy may be different for each network slice. For example, network slices may be generated for each purpose, such as for each service provided. A network slice subnet is a logical network that is further virtually divided into a network slice.
 SNPN本社30は、SMFエンティティ31、エッジ装置32、DN33、AF(Application Function)エンティティ34、NSMF(Network Slice Management)エンティティ35、及びNSSMFエンティティ36を有している。SMFエンティティ31は、以下においてSMF31とする。AFエンティティ34は、以下においてAF34とする。NSMFエンティティ35は、以下においてNSMF35とする。NSSMFエンティティ36は、以下においてNSSMF36とする。 The SNPN headquarters 30 includes an SMF entity 31, an edge device 32, a DN 33, an AF (Application Function) entity 34, an NSMF (Network Slice Management) entity 35, and an NSSMF entity 36. The SMF entity 31 will be referred to as SMF31 below. The AF entity 34 will be referred to as AF34 below. The NSMF entity 35 will be referred to as NSMF 35 below. The NSSMF entity 36 will be referred to as NSSMF 36 below.
 SMF31は、UE23に関するセッション制御を行う。また、SMF31は、SNPN本社30が形成する通信エリアに位置するUEに関するセッション制御を行ってもよい。 The SMF 31 performs session control regarding the UE 23. Further, the SMF 31 may perform session control regarding UEs located in the communication area formed by the SNPN headquarters 30.
 AF34は、アプリケーションサービスを提供するもしくはデータを蓄積するサーバ装置であってもよく、例えば、SNPN本社30に配置される社内サーバであってもよい。 The AF 34 may be a server device that provides application services or stores data, and may be an in-house server located at the SNPN headquarters 30, for example.
 DN33は、例えば、いわゆるインターネット等に用いられるIPを用いた通信を行うIPネットワークであってもよい。DN33は、例えば、AF34が接続するLANであってもよい。DN33は、物理的に構築されたネットワークであってもよく、物理的に構築されたネットワーク上にVirtual LAN、VXLAN(Virtual eXtensible LAN)、GRE(Generic Routing Encapsulation)等を用いて仮想的に構築されたネットワークであってもよい。以降の説明において、DN33を識別する名称をn6-site-hqとして説明する。 The DN 33 may be, for example, an IP network that performs communication using IP, which is used for the so-called Internet. The DN 33 may be, for example, a LAN to which the AF 34 connects. DN33 may be a physically constructed network, or may be virtually constructed using Virtual LAN, VXLAN (Virtual eXtensible LAN), GRE (Generic Routing Encapsulation), etc. on a physically constructed network. It may also be a network. In the following explanation, the name for identifying DN33 will be explained as n6-site-hq.
 エッジ装置32は、n6-site-hqを終端するネットワーク機器であって、例えば、ルータ機器、Leaf/Spineスイッチであってもよい。エッジ装置32は、例えば、Provider Edgeルータ(PEルータ)であってもよい。また、エッジ装置32は、VPNサービスを提供する仮想インスタンスを有してもよい。仮想インスタンスは、例えば、SNPNブランチ20とSNPN本社30とを接続するVPNサービスであるEVPNとn6-site-hqとを終端する。また、仮想インスタンスは、Ethernetフレームを転送する。以降の説明においてエッジ装置32が有する仮想インスタンスを識別する名称を、evpn-gw-hqとして説明する。エッジ装置32は、ゲートウェイ装置と称されてもよい。 The edge device 32 is a network device that terminates n6-site-hq, and may be, for example, a router device or a Leaf/Spine switch. The edge device 32 may be, for example, a Provider Edge router (PE router). Additionally, the edge device 32 may have a virtual instance that provides VPN services. The virtual instance terminates, for example, EVPN, which is a VPN service that connects the SNPN branch 20 and the SNPN headquarters 30, and n6-site-hq. The virtual instance also forwards Ethernet frames. In the following description, the name for identifying the virtual instance that the edge device 32 has will be described as evpn-gw-hq. Edge device 32 may be referred to as a gateway device.
 NSSMF36は、SNPN本社30を構成するネットワークスライスサブネットに関するProvisioning Management Serviceを提供する。NSMF35は、SNPNブランチ20を構成するネットワークスライスサブネット及びSNPN本社30を構成するネットワークサブスライスサブネットを含むネットワークスライスに関するProvisioning Management Serviceを提供する。 The NSSMF 36 provides Provisioning Management Service regarding the network slice subnets that make up the SNPN headquarters 30. The NSMF 35 provides Provisioning Management Service regarding network slices including the network slice subnets that make up the SNPN branch 20 and the network subslice subnets that make up the SNPN head office 30.
 図3においては、SNPNブランチ20がNSSMF28を含み、SNPN本社30がNSMF35及びNSSMF36を含む構成を示しているがこれに制限されない。例えば、NSMF35は、SNPNブランチ20に配置されてもよく、SNPNブランチ20及びSNPN本社30とは異なる場所に配置されてもよい。NSSMF28及びNSSMF36も、SNPNブランチ20及びSNPN本社30とは異なる場所に配置されてもよい。また、NSMF35、NSSMF36、及びNSSMF28は、管理装置と称されてもよい。 Although FIG. 3 shows a configuration in which the SNPN branch 20 includes the NSSMF 28 and the SNPN head office 30 includes the NSMF 35 and the NSSMF 36, the present invention is not limited to this. For example, the NSMF 35 may be located at the SNPN branch 20 or at a different location from the SNPN branch 20 and the SNPN headquarters 30. NSSMF 28 and NSSMF 36 may also be located at different locations than SNPN branch 20 and SNPN headquarters 30. Further, the NSMF 35, the NSSMF 36, and the NSSMF 28 may be referred to as management devices.
 また、AMF21、SMF22、NSSMF28、SMF31、NSMF35、及びNSSMF36には、サービスベースアーキテクチャが適用され、サービスベースインタフェースを介してそれぞれが接続される。サービスベースインタフェースにおいては、例えば、HTTP(HyperText Transfer Protocol)が用いられてもよい。 Further, a service base architecture is applied to the AMF 21, SMF 22, NSSMF 28, SMF 31, NSMF 35, and NSSMF 36, and each is connected via a service base interface. In the service base interface, for example, HTTP (HyperText Transfer Protocol) may be used.
 続いて図4及び図5を用いて実施の形態2にかかるVPN設定処理の流れについて説明する。図4及び図5に示されるVPN設定処理が実行される前に、エッジ装置27には、evpn-gw-branchが設定され、エッジ装置32には、evpn-gw-hqが設定されているとする。これによりエッジ装置27とエッジ装置32との間のTransport Networkには、L2VPNサービスであるEVPNが配備されている。Transport Networkは、Transport Network Sliceであってもよい。さらに、n6-site-hqが、evpn-gw-hqに接続されているとする。また、n6-site-branchは、evpn-gw-hqに接続されていないとする。n6-site-branchが、evpn-gw-hqに接続されていない、つまり、n6-site-branchが、evpn-gw-hqに未接続とは、UPF25とエッジ装置27との間に、DN26が未設定であり、データの通信経路が未設定の状態である。さらに、UE23が、SNPN本社30が形成する通信エリアから、SNPNブランチ20が形成する通信エリアへ移動してきたとする。具体的には、UE23が、SNPN本社30が形成する通信エリアから、SNPNブランチ20が形成する通信エリアへハンドオーバしてきたとする。または、UE23が、SNPN本社30に登録(registration)されているが未通信の状態から、SNPNブランチ20が形成する通信エリアへ移動してきたとする。または、UE23が、SNPN本社30へ接続するための加入者データを保持しており、SNPNブランチ20が形成する通信エリアで通信を開始したとする。 Next, the flow of the VPN setting process according to the second embodiment will be explained using FIGS. 4 and 5. Before the VPN setting process shown in FIGS. 4 and 5 is executed, evpn-gw-branch is set in the edge device 27, and evpn-gw-hq is set in the edge device 32. do. As a result, EVPN, which is an L2VPN service, is provided in the Transport Network between the edge device 27 and the edge device 32. Transport Network may be Transport Network Slice. Furthermore, assume that n6-site-hq is connected to evpn-gw-hq. Also, assume that n6-site-branch is not connected to evpn-gw-hq. n6-site-branch is not connected to evpn-gw-hq, that is, n6-site-branch is not connected to evpn-gw-hq. It has not been set, and the data communication route has not been set. Furthermore, assume that the UE 23 moves from the communication area formed by the SNPN head office 30 to the communication area formed by the SNPN branch 20. Specifically, it is assumed that the UE 23 has handed over from the communication area formed by the SNPN head office 30 to the communication area formed by the SNPN branch 20. Alternatively, assume that the UE 23 moves to the communication area formed by the SNPN branch 20 from a state where it is registered with the SNPN head office 30 but is not communicating. Alternatively, assume that the UE 23 holds subscriber data for connecting to the SNPN head office 30 and starts communication in the communication area formed by the SNPN branch 20.
 はじめに、AMF21は、UE23からPDU Session接続要求メッセージを受信した場合に、SMF22のNsmf_PDUSession_CreateSMContextサービスを呼び出す(S21)。具体的には、AMF21は、SMF22のNsmf_PDUSession_CreateSMContextサービスを呼び出すために要求メッセージをSMF22へ送信する。AMF21は、sm-contextsというリソースを指定し、{“SmContextCreateData”:{“dnn”: “n6-site-hq”}}というデータを設定した要求メッセージをSMF22へ送信する。SmContextCreateDataは、UE23が要求するPDU Sessionに関する情報であって、dnn(Data Network Name)は、UE23が利用を希望するDN(Data Network)の名称である。言い換えると、dnnは、UE23の接続先となるDNを示す。ここでは、UE23が、dnnとしてn6-site-hqを指定していることが示されている。つまり、UE23は、SNPNブランチ20を介してSNPN本社30が有するDN33へ接続することを要求している。 First, when the AMF 21 receives a PDU Session connection request message from the UE 23, it calls the Nsmf_PDUSession_CreateSMContext service of the SMF 22 (S21). Specifically, the AMF 21 sends a request message to the SMF 22 in order to call the Nsmf_PDUSession_CreateSMContext service of the SMF 22. The AMF 21 specifies the resource sm-contexts and sends a request message in which the data {“SmContextCreateData”:{“dnn”: “n6-site-hq”}} is set to the SMF 22. SmContextCreateData is information regarding the PDU Session requested by the UE 23, and dnn (Data Network Name) is the name of the DN (Data Network) that the UE 23 desires to use. In other words, dnn indicates the DN to which the UE 23 is connected. Here, it is shown that the UE 23 specifies n6-site-hq as the dnn. In other words, the UE 23 requests connection to the DN 33 of the SNPN head office 30 via the SNPN branch 20.
 また、UE23から送信されたPDU Session接続要求メッセージには、サービス種別としてEthernetが設定されているとする。 It is also assumed that Ethernet is set as the service type in the PDU Session connection request message sent from the UE 23.
 次に、SMF22は、Nsmf_PDUSession_CreateSMContextサービスが呼び出された場合、SMF31のNsmf_PDUSession_Createサービスを呼び出す(S22)。SMF22は、VPNサービスを利用して、SNPN本社30が有するDN33へ接続するため、PDUセッションに関する情報の要求を行ってもよい。具体的には、SMF22は、SMF31のNsmf_PDUSession_Createサービスを呼び出すために要求メッセージをSMF31へ送信する。SMF22は、pdu-sessionsというリソースを指定し、{“PduSessionCreateData”:{“dnn”: “n6-site-hq”, “requestedConnectivity”: “l2vpn-svc”}}というデータを設定した要求メッセージをSMF31へ送信する。なおSMF22は、dnnで指定されているDNに基づいてSMF31を特定してもよい。 Next, when the Nsmf_PDUSession_CreateSMContext service is called, the SMF 22 calls the Nsmf_PDUSession_Create service of the SMF 31 (S22). The SMF 22 may request information regarding the PDU session in order to connect to the DN 33 of the SNPN head office 30 using the VPN service. Specifically, the SMF 22 sends a request message to the SMF 31 in order to call the Nsmf_PDUSession_Create service of the SMF 31. The SMF 22 sends a request message to the SMF 31 specifying the resource pdu-sessions and setting the data {“PduSessionCreateData”:{“dnn”: “n6-site-hq”, “requestedConnectivity”: “l2vpn-svc”}}. Send to. Note that the SMF 22 may specify the SMF 31 based on the DN specified by dnn.
 PduSessionCreateDataは、UE23が要求するPDU Sessionに関する情報であって、dnnは、UE23が利用を希望するDN(Data Network)の名称である。requestedConnectivityは、n6-site-hqへ接続するためのサービスを指定するために用いられる。ステップS22においては、n6-site-hqへ接続するためのサービスとして、L2VPNサービスを示すl2vpn-svcが指定されている。UE23が指定したPDU Sessionのサービス種別がEthernetであるため、SMF22は、l2vpn-svcを指定してもよい。IETF RFC8466は、L2VPNサービスの構成に使用できるYANGデータモデルを定義しており、l2vpn-svcは、YANGデータモデルにおいて用いられるパラメータを示している。なおUE23が指定したPDU Sessionのサービス種別がIPである場合、SMF22は、L3VPNサービスを指定してもよい。 PduSessionCreateData is information regarding the PDU Session requested by the UE 23, and dnn is the name of the DN (Data Network) that the UE 23 desires to use. requestedConnectivity is used to specify the service for connecting to n6-site-hq. In step S22, l2vpn-svc indicating an L2VPN service is specified as a service for connecting to n6-site-hq. Since the service type of the PDU Session specified by the UE 23 is Ethernet, the SMF 22 may specify l2vpn-svc. IETF RFC8466 defines a YANG data model that can be used to configure L2VPN services, and l2vpn-svc indicates the parameters used in the YANG data model. Note that if the service type of the PDU Session designated by the UE 23 is IP, the SMF 22 may designate the L3VPN service.
 次に、SMF31は、NSSMF36のProvisioning Management Serviceを呼び出してDNFunction情報を更新する(S23)。具体的には、SMF31は、Provisioning Management Serviceを呼び出すために要求メッセージをNSSMF36へ送信する。SMF31は、DNFunctionというリソースを指定し、フィルタ条件として、{“managedVpnService”: {network-access-id”: “n6-site-hq”}}というデータを設定した要求メッセージをNSSMF36へ送信する。 Next, the SMF 31 calls the Provisioning Management Service of the NSSMF 36 to update the DNFunction information (S23). Specifically, the SMF 31 sends a request message to the NSSMF 36 to call the Provisioning Management Service. The SMF 31 specifies a resource called DNFunction and sends a request message to the NSSMF 36 in which the data {“managedVpnService”: {network-access-id”: “n6-site-hq”}} is set as a filter condition.
 DNFunction情報は、managedVpnService、vpn-id、network-access-id、site-id、device-idを含むとする。managedVpnServiceは、VPNサービス種別を示す。VPNサービス種別は、例えば、L2VPNもしくはL3VPNを示してもよい。vpn-idは、VPNサービスを識別するための識別情報である。network-access-idは、managedVpnServiceに示されているVPNサービス種別へ収容されるデータネットワークを示す。site-idは、データネットワークが配置された場所を示す。device-idは、vpn-idに示されているVPNサービスを終端する物理的な機器であるエッジ装置を示す。 It is assumed that the DNFunction information includes managedVpnService, vpn-id, network-access-id, site-id, and device-id. managedVpnService indicates the VPN service type. The VPN service type may indicate, for example, L2VPN or L3VPN. VPN-ID is identification information for identifying a VPN service. network-access-id indicates a data network accommodated in the VPN service type indicated in managedVpnService. site-id indicates where the data network is located. device-id indicates an edge device that is a physical device that terminates the VPN service indicated by vpn-id.
 図4のステップS23は、DNFunction情報に、少なくとも一つのmanagedVpnService情報が含まれていることを示している。managedVpnService情報は、IETF RFC8466において定義されたYANGデータモデルに従って記述されてもよい。記述されるとは、示される、設定されると言い換えられてもよい。つまり、managedVpnService情報には、1つのl2vpn-svcが含まれてもよい。 Step S23 in FIG. 4 indicates that the DNFunction information includes at least one managedVpnService information. managedVpnService information may be described according to the YANG data model defined in IETF RFC8466. The word "described" may also be interpreted as "shown" or "set". That is, managedVpnService information may include one l2vpn-svc.
 network-access-idは、l2vpn-svcへ収容されるDN33を抽出するためのパラメータである。収容されるとは、接続されると称されてもよい。ステップS23においては、network-access-idをフィルタ条件として使用しており、network-access-idとしてn6-site-hqを抽出することが示されている。 The network-access-id is a parameter for extracting the DN33 accommodated in l2vpn-svc. Contained may also be referred to as connected. In step S23, network-access-id is used as a filter condition, and n6-site-hq is extracted as network-access-id.
 次に、NSSMF36は、DNFunction情報の更新に対する応答メッセージをSMF31へ送信する(S24)。NSSMF36は、S23で受信したmanagedVpnService情報をフィルタ条件として、合致するDNFunction情報を応答メッセージとしてSMF31に送信してもよい。具体的には、NSSMF36は、managedVpnServiceがl2vpn-svcであり、vpn-idがevpnであり、network-access-idが、n6-site-hqであり、site-idがSNPN-hqであり、device-idが、pe-hqであるDNFunction情報を有しているとする。evpnは、EVPNサービスを識別するパラメータである。なおevpnが含まれていることは、EVPNサービスを要求していることを示してもよい。SNPN-hqは、SNPN本社30を示しており、pe-hqは、エッジ装置32を示している。NSSMF36は、network-access-idがn6-site-hqである要求メッセージを受信すると、vpn-idがevpnであることを示す情報を含む応答メッセージをSMF31へ送信する。つまり、NSSMF36は、n6-site-hqが接続するVPNサービスを識別する識別情報が、evpnであることをSMF31へ通知する。NSSMF36は、{“DNFunction”: {“managedVpnService”: {“l2vpn-svc”: {“vpn-id”: “evpn”}}}}というデータを設定した応答メッセージをSMF31へ送信する。 Next, the NSSMF 36 transmits a response message for updating the DNFunction information to the SMF 31 (S24). The NSSMF 36 may use the managedVpnService information received in S23 as a filter condition and send matching DNFunction information to the SMF 31 as a response message. Specifically, the NSSMF36 has managedVpnService as l2vpn-svc, vpn-id as evpn, network-access-id as n6-site-hq, site-id as SNPN-hq, and device Assume that -id has DNFunction information that is pe-hq. evpn is a parameter that identifies an EVPN service. Note that the inclusion of evpn may indicate that an EVPN service is requested. SNPN-hq indicates the SNPN headquarters 30, and pe-hq indicates the edge device 32. Upon receiving the request message whose network-access-id is n6-site-hq, the NSSMF 36 transmits a response message including information indicating that the VPN-id is evpn to the SMF 31. That is, the NSSMF 36 notifies the SMF 31 that the identification information identifying the VPN service to which n6-site-hq connects is evpn. The NSSMF 36 transmits to the SMF 31 a response message in which the data {“DNFunction”: {“managedVpnService”: {“l2vpn-svc”: {“vpn-id”: “evpn”}}}} is set.
 次に、SMF31は、ステップS22に対する応答メッセージをSMF22へ送信する(S25)。SMF31は、ステップS22に対する応答メッセージとして、VPNサービスを利用してSNPN本社30が有するDN33へ接続するためのPDUセッションに関する情報をSMF22へ送信してもよい。SMF31は、{“PduSessionCreateData”:{“managedVpnService”: {“l2vpn-svc”: {“vpn-id”: “evpn”}}}}というデータを設定した応答メッセージをSMF22へ送信する。PduSessionCreateDataは、SMF31において生成されたPDU Session情報を含んでいる。図3のステップS25においては、vpn-idがevpnであることが示されており、SMF22は、SNPNブランチ20とSNPN本社30との間において用いられるL2VPNサービスの識別情報としてevpnを取得する。 Next, the SMF 31 transmits a response message to the SMF 22 in response to step S22 (S25). The SMF 31 may send information regarding a PDU session for connecting to the DN 33 of the SNPN head office 30 using the VPN service to the SMF 22 as a response message to step S22. The SMF 31 transmits to the SMF 22 a response message in which the data {“PduSessionCreateData”:{“managedVpnService”: {“l2vpn-svc”: {“vpn-id”: “evpn”}}}} is set. PduSessionCreateData includes PDU Session information generated in the SMF 31. In step S25 of FIG. 3, it is shown that the VPN-ID is evpn, and the SMF 22 acquires evpn as identification information of the L2VPN service used between the SNPN branch 20 and the SNPN head office 30.
 次に、SMF22は、NSMF35のProvisioning Management Serviceを呼び出してDNFunction情報を取得する(S26)。SMF22は、S25で取得したVPNサービス(ここではevpn)を利用するため、VPNサービスに対応するSNPN支社におけるエッジ装置27の情報を、NSMF35に要求してもよい。具体的には、SMF22は、Provisioning Management Serviceを呼び出すために要求メッセージをNSMF35へ送信する。SMF22は、DNFunctionというリソースを指定し、フィルタ条件として、{“managedVpnService”: {“l2vpn-svc”: {“vpn-id”: “evpn”, “site-id”: “SNPN-Branch”}}}というメッセージを設定した要求メッセージをNSMF35へ送信する。 Next, the SMF 22 calls the Provisioning Management Service of the NSMF 35 and obtains the DNFunction information (S26). Since the SMF 22 uses the VPN service (here, evpn) acquired in S25, it may request the NSMF 35 for information on the edge device 27 at the SNPN branch that supports the VPN service. Specifically, the SMF 22 sends a request message to the NSMF 35 to call the Provisioning Management Service. The SMF22 specifies a resource called DNFunction and uses {“managedVpnService”: {“l2vpn-svc”: {“vpn-id”: “evpn”, “site-id”: “SNPN-Branch”}} as a filter condition. } A request message with a message set therein is sent to the NSMF 35.
 次に、NSMF35は、ステップS26に対する応答メッセージをSMF22へ送信する(S27)。NSMF35は、ステップS26に対する応答メッセージとして、VPNサービスに対応するSNPN支社におけるエッジ装置27の情報を、SMF22へ送信してもよい。NSMF35は、managedVpnServiceがl2vpn-svcであり、vpn-idがevpnであり、network-access-idが、n6-site-branchであり、site-idがSNPN-branchであり、device-idが、pe-branchであるDNFunction情報を有しているとする。pe-branchは、エッジ装置27を示している。NSMF35は、vpn-idがevpnであり、site-idがSNPN-Branchであるフィルタ条件に一致するDNFunction情報を見つける。これにより、NSMF35は、{“managedVpnService”: {“l2vpn-svc”: {“vpn-id”: “evpn”, “site-id”: “SNPN-Branch”, “device-id”: “pe-branch”, “network-access-id”: n6-site-branch}}}というデータを設定した応答メッセージをSMF22へ送信する。 Next, the NSMF 35 transmits a response message in response to step S26 to the SMF 22 (S27). The NSMF 35 may transmit information on the edge device 27 at the SNPN branch office that supports the VPN service to the SMF 22 as a response message to step S26. NSMF35 has managedVpnService as l2vpn-svc, vpn-id as evpn, network-access-id as n6-site-branch, site-id as SNPN-branch, and device-id as pe. Assume that it has DNFunction information that is -branch. pe-branch indicates the edge device 27. The NSMF 35 finds DNFunction information that matches the filter conditions in which the vpn-id is evpn and the site-id is SNPN-Branch. As a result, the NSMF35 uses branch”, “network-access-id”: n6-site-branch}}} is sent to the SMF 22.
 次に、SMF22は、UPFを選択する(S28)。SMF22は、ステップS27にて取得したDNFunctionに含まれるn6-site-branchに接続可能なUPFとしてUPF25を選択する。 Next, the SMF 22 selects a UPF (S28). The SMF 22 selects the UPF 25 as the UPF that can connect to the n6-site-branch included in the DNFunction acquired in step S27.
 次に、SMF22は、NSMF35のProvisioning Management Serviceを呼び出して、UPFFunction情報を更新する。(S29)。言い換えると、SMF22は、NSMF35のProvisioning Management Serviceを呼び出して、UPF25にn6-site-branchを接続するための処理を実行する。SMF22は、UPF25とエッジ装置27とを接続する設定を、NSMF35に要求してもよい。具体的には、SMF22は、UPFFunctionというリソースを指定し、{“EP_N6”: {“localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch”}}という登録データを設定した要求メッセージをNSSMF36へ送信する。localAddressとして設定されるBearer IP address of UPFは、UPF25に設定される物理ネットワークインタフェースのIPアドレスである。remoteAddressとして設定されるBearer IP address of pe-branchは、エッジ装置27に設定される物理ネットワークインタフェースのIPアドレスである。EP_N6は、N6インタフェースのEndpointの情報であることを示している。N6インタフェースは、UPFとDNとの間のインタフェースとして3GPPにおいて規定されているインタフェースである。Endpointは、Bearer IP address of UPF及びBearer IP address of pe-branchである。 Next, the SMF 22 calls the Provisioning Management Service of the NSMF 35 and updates the UPFFunction information. (S29). In other words, the SMF 22 calls the Provisioning Management Service of the NSMF 35 and executes processing for connecting the n6-site-branch to the UPF 25. The SMF 22 may request the NSMF 35 to make settings for connecting the UPF 25 and the edge device 27. Specifically, the SMF 22 specifies a resource called UPFFunction and registers {“EP_N6”: {“localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch”}} A request message with data set is sent to the NSSMF 36. The Bearer IP address of UPF set as localAddress is the IP address of the physical network interface set in the UPF 25. The Bearer IP address of pe-branch set as remoteAddress is the IP address of the physical network interface set in the edge device 27. EP_N6 indicates Endpoint information of the N6 interface. The N6 interface is an interface defined in 3GPP as an interface between the UPF and the DN. Endpoint is Bearer IP address of UPF and Bearer IP address of pe-branch.
 次に、NSMF35は、NSSMF28のProvisioning Management Serviceを呼び出して、UPFFunction情報を更新する。(S30)。具体的には、NSMF35は、UPFFunctionというリソースを指定し、{“EP_N6”: {“localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch”}}という登録データを設定した要求メッセージをNSSMF28へ送信する。 Next, the NSMF 35 calls the Provisioning Management Service of the NSSMF 28 and updates the UPFFunction information. (S30). Specifically, NSMF35 specifies a resource called UPFFunction and registers {“EP_N6”: {“localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch”}} A request message with data set is sent to the NSSMF 28.
 次に、NSSMF28は、UPF25におけるEP_N6情報を更新する(S31)。NSSMF28は、UPF25とエッジ装置27とを接続するための設定をUPF25に要求してもよい。具体的には、NSSMF28は、{“EP_N6”: {“localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch”}}という登録データを設定した要求メッセージをUPF25へ送信する。例えば、Bearer IP address of UPFとして、192.168.0.10 等のUPFが使用するIPアドレスが設定される。また例えばBearer IP address of pe-branchとして、192.168.0.254 等の、pe-branchが使用するIPアドレスが設定される。 Next, the NSSMF 28 updates the EP_N6 information in the UPF 25 (S31). The NSSMF 28 may request the UPF 25 to make settings for connecting the UPF 25 and the edge device 27. Specifically, the NSSMF 28 sends a request message in which the registration data {“EP_N6”: {“localAddress”: “Bearer IP address of UPF”, “remoteAddress”: “Bearer IP address of pe-branch”}} is set. Send to UPF25. For example, an IP address used by UPF, such as 192.168.0.10, is set as the Bearer IP address of UPF. Also, for example, an IP address used by pe-branch, such as 192.168.0.254, is set as Bearer IP address of pe-branch.
 ステップS31の処理が実行されることによって、UPF25の物理インタフェースにIPアドレスが設定され、さらに、N6インタフェースのEndpointとなるエッジ装置27のIPアドレスを認識する。これにより、UPF25は、送信データの送信元アドレスにUPF25の物理インタフェースのIPアドレスを設定し、あて先アドレスにエッジ装置27のIPアドレスを設定することができる。その結果、UPF25とエッジ装置27とが通信を行うことが可能となる。 By executing the process in step S31, an IP address is set in the physical interface of the UPF 25, and furthermore, the IP address of the edge device 27, which is the endpoint of the N6 interface, is recognized. Thereby, the UPF 25 can set the IP address of the physical interface of the UPF 25 as the source address of the transmission data, and set the IP address of the edge device 27 as the destination address. As a result, it becomes possible for the UPF 25 and the edge device 27 to communicate.
 次に、NSSMF28は、UPF25とエッジ装置27とをVXLANを介して接続させる処理を実行する。具体的には、NSSMF28は、VXLAN configurationを含む要求メッセージをUPF25へ送信する(S32)。UPF25は、VXLAN configurationを取得して、N6インタフェースの端点として、VXLAN端点を設定する。次に、NSSMF28は、エッジ装置27にVXLAN端点を生成し、生成したVXLAN端点とevpn-gw-branchとを接続する(S33)。ステップS32及びS33の処理を実行することによって、UPF25は、VXLANを介してEVPNへ接続することができる。 Next, the NSSMF 28 executes processing to connect the UPF 25 and the edge device 27 via VXLAN. Specifically, the NSSMF 28 transmits a request message including the VXLAN configuration to the UPF 25 (S32). The UPF 25 acquires the VXLAN configuration and sets the VXLAN endpoint as the endpoint of the N6 interface. Next, the NSSMF 28 generates a VXLAN end point in the edge device 27, and connects the generated VXLAN end point to the evpn-gw-branch (S33). By executing the processes of steps S32 and S33, the UPF 25 can connect to the EVPN via VXLAN.
 図6は、UE23に関する通信経路を示している。(R)AN37及びUPF38は、SNPN本社30を構成する。また、(R)AN37に接続されているUE23は、SNPNブランチ20へ移動したことを示している。図4及び図5に示される処理が実行され、UE23が、PDU Session接続要求メッセージに対する応答メッセージを受信することによって、UE23とUPF25との間にPDU Sessionが確立される。さらに、UPF25とDN26との通信経路はVXLANが設定される。さらに、DN26とDN33との間は、EVPNを介して接続される。UE23は、AF34と通信を行う際に、図6に示される通信経路に従ってAF34と通信を行う。 FIG. 6 shows a communication path regarding the UE 23. (R)AN 37 and UPF 38 constitute the SNPN headquarters 30. Further, it indicates that the UE 23 connected to the (R)AN 37 has moved to the SNPN branch 20. The processes shown in FIGS. 4 and 5 are executed, and the UE 23 receives a response message to the PDU Session connection request message, thereby establishing a PDU Session between the UE 23 and the UPF 25. Furthermore, VXLAN is set as the communication path between the UPF 25 and the DN 26. Furthermore, DN26 and DN33 are connected via EVPN. When communicating with the AF 34, the UE 23 communicates with the AF 34 according to the communication path shown in FIG.
 以上説明したように、UPF25が、n6-site-branchを介してevpn-gw-branchへ接続することによって、UE23は、SNPNブランチ20とSNPN本社30との間に設定されているL2VPNサービスであるEVPNを利用することができる。その結果、UE23は、SNPN本社30内のn6-site-hqに接続されるAF34と通信することができる。つまり、UE23が、AF34と通信する際に、SNPN本社30内のUPFをアンカーポイントとしたPDU Sessionを確立することはない。これにより、SNPN本社30内のUPFの負荷が増大することを防止することができる。 As explained above, by connecting the UPF 25 to the evpn-gw-branch via the n6-site-branch, the UE 23 is connected to the L2VPN service set between the SNPN branch 20 and the SNPN headquarters 30. EVPN can be used. As a result, the UE 23 can communicate with the AF 34 connected to n6-site-hq in the SNPN headquarters 30. That is, when the UE 23 communicates with the AF 34, it does not establish a PDU Session with the UPF in the SNPN headquarters 30 as the anchor point. Thereby, it is possible to prevent the load on the UPF within the SNPN headquarters 30 from increasing.
 (実施の形態2の変形例1)
 ここで、実施の形態2の変形例1について説明する。例えば、SMF22は、図4のステップS21において、dnnとしてn6-site-hqを指定した要求メッセージを受信した場合に、以前に、n6-site-hqを指定した要求メッセージを受信したか否かを判定してもよい。例えば、SMF22は、要求メッセージに含まれるdnnに設定されたネットワーク名称と、そのネットワークを収容するvpn-idとを関連付けて管理していてもよい。SMF22は、以前に、n6-site-hqを指定した要求メッセージを受信したと判定した場合、つまり、n6-site-hqを管理していた場合、n6-site-hqに関連付けられているvpn-idを特定する。例えば、SMF22が以前に、図4のステップS25に相当するメッセージとして受信した、n6-site-hqに対応するvpn-idを用いてもよい。なお当該図4のステップS25に相当するメッセージは、UE23とは異なるUEのためのメッセージであってもよい。具体的には、SMF22は、n6-site-hqを収容するVPNサービスとして、evpnを特定する。この場合、SMF22は、図4のステップS22からS25の処理をスキップすることができる。また、SMF22が、n6-site-hq、vpn-id、及びSNPNブランチ20内のn6-site-branchまで関連付けて管理しているとする。この場合、SMF22は、n6-site-hqを指定した要求メッセージを受信すると、n6-site-branchを特定することができる。この場合、SMF22は、図4のステップS22からS27の処理をスキップすることができる。 (Modification 1 of Embodiment 2)
Here, a first modification of the second embodiment will be described. For example, when the SMF 22 receives a request message specifying n6-site-hq as the dnn in step S21 of FIG. You may judge. For example, the SMF 22 may manage the network name set in the dnn included in the request message in association with the VPN-id that accommodates the network. If the SMF 22 determines that it has previously received a request message specifying n6-site-hq, that is, if it manages n6-site-hq, the SMF 22 selects the VPN- associated with n6-site-hq. Identify the id. For example, the SMF 22 may use the vpn-id corresponding to n6-site-hq, which was previously received as a message corresponding to step S25 in FIG. Note that the message corresponding to step S25 in FIG. 4 may be a message for a UE different from the UE 23. Specifically, the SMF 22 identifies evpn as the VPN service that accommodates n6-site-hq. In this case, the SMF 22 can skip steps S22 to S25 in FIG. Further, it is assumed that the SMF 22 manages n6-site-hq, vpn-id, and even n6-site-branch in the SNPN branch 20 in association with each other. In this case, upon receiving a request message specifying n6-site-hq, the SMF 22 can specify n6-site-branch. In this case, the SMF 22 can skip steps S22 to S27 in FIG.
 SMF22が、以前に、n6-site-hqを指定した要求メッセージを受信していないと判定した場合、図4のステップS22以降の処理が実行される。 If the SMF 22 determines that it has not previously received a request message specifying n6-site-hq, the processes from step S22 onward in FIG. 4 are executed.
 (実施の形態2の変形例2)
 ここで、実施の形態2の変形例2について説明する。例えば、SMF22は、図4のステップS21において、dnnとしてn6-site-hqを指定した要求メッセージを受信した場合に、以前にn6-site-hqとの間のVPNサービスへ接続するための処理を実行したか否かをNSMF35へ問い合わせてもよい。 (Modification 2 of Embodiment 2)
Here, a second modification of the second embodiment will be described. For example, when the SMF 22 receives a request message specifying n6-site-hq as the dnn in step S21 of FIG. You may also inquire of the NSMF 35 whether or not it has been executed.
 NSMF35は、以前にn6-site-hqとの間のVPNサービスへ接続するための処理を実行したと判定した場合、図4のステップS27に設定されたデータを含む応答メッセージをSMF22へ送信してもよい。これにより、SMF22は、ステップS22からS26までの処理をスキップすることができる。 If the NSMF 35 determines that it has previously executed the process for connecting to the VPN service with n6-site-hq, it sends a response message containing the data set in step S27 in FIG. 4 to the SMF 22. Good too. This allows the SMF 22 to skip the processing from steps S22 to S26.
 NSMF35が、以前にn6-site-hqとの間のVPNサービスへ接続するための処理を実行したと判定していないと判定した場合、図4のステップS22以降の処理が実行される。 If the NSMF 35 determines that it has not previously performed the process for connecting to the VPN service with n6-site-hq, the processes from step S22 onward in FIG. 4 are executed.
 図7は、上述の実施の形態において説明したセッション制御装置10の構成例を示すブロック図である。図7を参照すると、セッション制御装置10は、ネットワークインタフェース1201、プロセッサ1202、及びメモリ1203を含む。ネットワークインタフェース1201は、ネットワークノードと通信するために使用されてもよい。ネットワークインタフェース1201は、例えば、IEEE 802.3 seriesに準拠したネットワークインタフェースカード(NIC)を含んでもよい。IEEEは、Institute of Electrical and Electronics Engineersを表す。 FIG. 7 is a block diagram showing a configuration example of the session control device 10 described in the above embodiment. Referring to FIG. 7, the session control device 10 includes a network interface 1201, a processor 1202, and a memory 1203. Network interface 1201 may be used to communicate with network nodes. The network interface 1201 may include, for example, a network interface card (NIC) compliant with the IEEE 802.3 series. IEEE stands for Institute of Electrical and Electronics Engineers.
 プロセッサ1202は、メモリ1203からソフトウェア(コンピュータプログラム)を読み出して実行することで、上述の実施形態においてフローチャートを用いて説明されたセッション制御装置10の処理を行う。プロセッサ1202は、例えば、マイクロプロセッサ、MPU、又はCPUであってもよい。プロセッサ1202は、複数のプロセッサを含んでもよい。 The processor 1202 reads software (computer program) from the memory 1203 and executes it, thereby performing the processing of the session control device 10 explained using the flowchart in the above embodiment. Processor 1202 may be, for example, a microprocessor, MPU, or CPU. Processor 1202 may include multiple processors.
 メモリ1203は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ1203は、プロセッサ1202から離れて配置されたストレージを含んでもよい。この場合、プロセッサ1202は、図示されていないI/O(Input/Output)インタフェースを介してメモリ1203にアクセスしてもよい。 The memory 1203 is configured by a combination of volatile memory and nonvolatile memory. Memory 1203 may include storage located remotely from processor 1202. In this case, processor 1202 may access memory 1203 via an I/O (Input/Output) interface, which is not shown.
 図7の例では、メモリ1203は、ソフトウェアモジュール群を格納するために使用される。プロセッサ1202は、これらのソフトウェアモジュール群をメモリ1203から読み出して実行することで、上述の実施形態において説明されたセッション制御装置10の処理を行うことができる。 In the example of FIG. 7, memory 1203 is used to store software modules. The processor 1202 can perform the processing of the session control device 10 described in the above embodiment by reading out and executing these software module groups from the memory 1203.
 図7を用いて説明したように、上述の実施形態におけるセッション制御装置10が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む1又は複数のプログラムを実行する。 As explained using FIG. 7, each of the processors included in the session control device 10 in the above embodiment executes one or more programs including a group of instructions for causing a computer to execute the algorithm explained using the drawings. Execute.
 上述の例において、プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、CD-ROM、digital versatile disc(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。 In the examples above, the program includes instructions (or software code) that, when loaded into a computer, cause the computer to perform one or more of the functions described in the embodiments. The program may be stored on a non-transitory computer readable medium or a tangible storage medium. By way of example and not limitation, computer readable or tangible storage media may include random-access memory (RAM), read-only memory (ROM), flash memory, solid-state drive (SSD) or other memory technology, CD - Including ROM, digital versatile disc (DVD), Blu-ray disc or other optical disc storage, magnetic cassette, magnetic tape, magnetic disc storage or other magnetic storage device. The program may be transmitted on a transitory computer-readable medium or a communication medium. By way of example and not limitation, transitory computer-readable or communication media includes electrical, optical, acoustic, or other forms of propagating signals.
 なお、本開示に示される技術的思想は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。 Note that the technical idea shown in the present disclosure is not limited to the above embodiments, and can be modified as appropriate without departing from the spirit.
 上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
 (付記1)
 第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信する通信部と、
 前記第2のデータネットワークへ接続可能なVirtual Private Network(VPN)サービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置と、を特定する特定部と、
 前記通信端末と前記通信装置との間のセッションを確立する制御部と、を備えるセッション制御装置。
 (付記2)
 前記通信部は、
 前記要求メッセージを受信したあとに、前記第2のローカルネットワークにおいて確立されるセッションを制御する他のセッション制御装置へ、前記VPNサービスを問い合わせる第1の問合せメッセージを送信し、
 前記他のセッション制御装置から、前記VPNサービスを示すVPN情報を含む第1の応答メッセージを受信する、付記1に記載のセッション制御装置。
 (付記3)
 前記通信部は、
 管理装置へ、前記VPNサービスへ接続可能な第1のデータネットワークを問い合わせる第2の問い合わせメッセージを送信し、
 前記VPNサービスへ接続可能な前記第1のデータネットワークを示すネットワーク識別情報を含む第2の応答メッセージを受信し、
 前記特定部は、
 前記第2の応答メッセージを受信したあとに、前記第1のデータネットワークへ接続可能な前記通信装置を特定し、
 前記第1のデータネットワークは、前記第1のローカルネットワークにおけるデータネットワークである、付記1又は2に記載のセッション制御装置。
 (付記4)
 前記第2の問い合わせメッセージは、前記VPNサービスを示すVPN情報を含む、付記3に記載のセッション制御装置。
 (付記5)
 前記特定部は、前記ネットワーク識別情報に基づいて、前記第1のデータネットワークへ接続可能な前記通信装置を特定する、付記3に記載のセッション制御装置。
 (付記6)
 前記VPNサービスを示すVPN情報を管理する管理部をさらに備え、
 前記特定部は、前記通信部が、他の通信端末から前記第2のデータネットワークへの接続を要求する要求メッセージを受信した場合、
 前記管理されている前記VPN情報に基づいて前記通信装置を特定する、付記1から5のいずれか1項に記載のセッション制御装置。
 (付記7)
 第1のローカルネットワークが形成する通信エリアに位置する通信端末と、
 前記第1のローカルネットワークにおいて確立されるセッションを制御する第1のセッション制御装置と、
 第2のデータネットワークと接続可能な第2のローカルネットワークにおいて確立されるセッションを制御する第2のセッション制御装置と、を備え、
 前記第2のセッション制御装置は、
 前記第1のセッション制御装置から、前記通信端末が前記第2のデータネットワークへの通信を要求することを示す第1の要求メッセージを受信すると、第1の応答メッセージを前記第1のセッション制御装置へ送信し、前記第1の応答メッセージは、前記第2のデータネットワークへ接続可能なVPNサービスを示すVPN情報を含み、
 前記第1のセッション制御装置は、
 前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置を特定し、前記通信端末と前記通信装置との間のセッションを確立する、セッション制御システム。
 (付記8)
 前記第1のセッション制御装置は、
 第1の管理装置へ、前記VPNサービスへ接続可能なアクセスネットワークを問い合わせる第1の問い合わせメッセージを送信し、第2の応答メッセージを受信し、前記アクセスネットワークへ接続可能な前記通信装置を特定するよう構成され、
 前記第2の応答メッセージは、前記VPNサービスへ接続可能な第1のデータネットワークを示すネットワーク識別情報を含み、前記第1のデータネットワークは前記第1のローカルネットワークにおけるデータネットワークである、付記7に記載のセッション制御システム。
 (付記9)
 前記第2のセッション制御装置は、
 第2の管理装置へ、前記第2のデータネットワークへ接続可能なVPNサービスを問い合わせる第3の問い合わせメッセージを送信し、前記VPNサービスを示す前記VPN情報を含む第3の応答メッセージを受信する、付記7又は8に記載のセッション制御システム。
 (付記10)
 第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信し、
 前記第2のデータネットワークへ接続可能なVPNサービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置とを特定し、
 前記通信端末と前記通信装置との間のセッションを確立する、セッション制御方法。
 (付記11)
 前記要求メッセージを受信したあとに、前記第2のローカルネットワークにおいて確立されるセッションを制御する他のセッション制御装置へ、前記VPNサービスを問い合わせる第1の問合せメッセージを送信し、
 前記他のセッション制御装置から、前記VPNサービスを示すVPN情報を含む第1の応答メッセージを受信する、付記10に記載のセッション制御方法。
 (付記12)
 管理装置へ、前記VPNサービスへ接続可能な第1のデータネットワークを問い合わせる第2の問い合わせメッセージを送信し、
 前記VPNサービスへ接続可能な前記第1のデータネットワークを示すネットワーク識別情報を含む第2の応答メッセージを受信し、
 前記第2の応答メッセージを受信したあとに、前記第1のデータネットワークへ接続可能な前記通信装置を特定し、
 前記第1のデータネットワークは、前記第1のローカルネットワークにおけるデータネットワークである、付記10又は11に記載のセッション制御方法。
 (付記13)
 前記第2の問い合わせメッセージは、前記VPNサービスを示すVPN情報を含む、付記12に記載のセッション制御方法。
 (付記14)
 前記ネットワーク識別情報に基づいて、前記第1のデータネットワークへ接続可能な前記通信装置を特定する、付記12に記載のセッション制御方法。
 (付記15)
 他の通信端末から前記第2のデータネットワークへの接続を要求する要求メッセージを受信した場合、
 前記VPNサービスを示すVPN情報に基づいて前記通信装置を特定する、付記10から14のいずれか1項に記載のセッション制御方法。
 (付記16)
 第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信し、
 前記第2のデータネットワークへ接続可能なVPNサービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置とを特定し、
 前記通信端末と前記通信装置との間のセッションを確立することをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。
 (付記17)
 前記要求メッセージを受信したあとに、前記第2のローカルネットワークにおいて確立されるセッションを制御する他のセッション制御装置へ、前記VPNサービスを問い合わせる第1の問合せメッセージを送信し、
 前記他のセッション制御装置から、前記VPNサービスを示すVPN情報を含む第1の応答メッセージを受信することをコンピュータに実行させる、付記16に記載のプログラムが格納された非一時的なコンピュータ可読媒体。
 (付記18)
 管理装置へ、前記VPNサービスへ接続可能な第1のデータネットワークを問い合わせる第2の問い合わせメッセージを送信し、
 前記VPNサービスへ接続可能な前記第1のデータネットワークを示すネットワーク識別情報を含む第2の応答メッセージを受信し、
 前記第2の応答メッセージを受信したあとに、前記第1のデータネットワークへ接続可能な前記通信装置を特定し、
 前記第1のデータネットワークは、前記第1のローカルネットワークにおけるデータネットワークである、ことをコンピュータに実行させる、付記16又は付記17に記載のプログラムが格納された非一時的なコンピュータ可読媒体。
 (付記19)
 前記第2の問い合わせメッセージは、前記VPNサービスを示すVPN情報を含む、付記18に記載のプログラムが格納された非一時的なコンピュータ可読媒体。
 (付記20)
 前記ネットワーク識別情報に基づいて、前記第1のデータネットワークへ接続可能な前記通信装置を特定する、ことをコンピュータに実行させる、付記18に記載のプログラムが格納された非一時的なコンピュータ可読媒体。
 (付記21)
 他の通信端末から前記第2のデータネットワークへの接続を要求する要求メッセージを受信した場合、
 前記VPNサービスを示すVPN情報に基づいて前記通信装置を特定することをコンピュータに実行させる、付記16から20のいずれか1項に記載のプログラムが格納された非一時的なコンピュータ可読媒体。 Part or all of the above embodiments may be described as in the following additional notes, but are not limited to the following.
(Additional note 1)
a communication unit that receives a request message requesting communication from a communication terminal located in a communication area formed by the first local network to a second data network connectable via the second local network;
a Virtual Private Network (VPN) service connectable to the second data network; and a communication device used for connection to the VPN service, the communication device located in the first local network. a specific part to specify;
A session control device comprising: a control unit that establishes a session between the communication terminal and the communication device.
(Additional note 2)
The communication department includes:
After receiving the request message, transmitting a first inquiry message inquiring about the VPN service to another session control device that controls a session established in the second local network;
The session control device according to supplementary note 1, which receives a first response message including VPN information indicating the VPN service from the other session control device.
(Additional note 3)
The communication department includes:
transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service;
receiving a second response message including network identification information indicating the first data network connectable to the VPN service;
The specific part is
after receiving the second response message, identifying the communication device connectable to the first data network;
The session control device according to appendix 1 or 2, wherein the first data network is a data network in the first local network.
(Additional note 4)
The session control device according to appendix 3, wherein the second inquiry message includes VPN information indicating the VPN service.
(Appendix 5)
The session control device according to appendix 3, wherein the identifying unit identifies the communication device connectable to the first data network based on the network identification information.
(Appendix 6)
further comprising a management unit that manages VPN information indicating the VPN service,
When the communication unit receives a request message requesting connection to the second data network from another communication terminal, the identification unit includes:
The session control device according to any one of Supplementary Notes 1 to 5, which specifies the communication device based on the managed VPN information.
(Appendix 7)
a communication terminal located in a communication area formed by the first local network;
a first session control device that controls a session established in the first local network;
a second session control device that controls a session established in a second local network connectable to the second data network;
The second session control device includes:
When the communication terminal receives a first request message indicating that it requests communication to the second data network from the first session control device, it sends a first response message to the first session control device. the first response message includes VPN information indicating a VPN service connectable to the second data network;
The first session control device includes:
session control for identifying the communication device used for connection to the VPN service and located in the first local network and establishing a session between the communication terminal and the communication device; system.
(Appendix 8)
The first session control device includes:
transmitting a first inquiry message inquiring about an access network connectable to the VPN service to a first management device; receiving a second response message; and specifying the communication device connectable to the access network. configured,
According to appendix 7, the second response message includes network identification information indicating a first data network connectable to the VPN service, and the first data network is a data network in the first local network. Session control system described.
(Appendix 9)
The second session control device includes:
Supplementary note: transmitting, to a second management device, a third inquiry message inquiring about a VPN service connectable to the second data network, and receiving a third response message including the VPN information indicating the VPN service; 9. The session control system according to 7 or 8.
(Appendix 10)
receiving a request message requesting communication to a second data network connectable via the second local network from a communication terminal located in a communication area formed by the first local network;
identifying a VPN service connectable to the second data network and a communication device used for connection to the VPN service and located in the first local network;
A session control method that establishes a session between the communication terminal and the communication device.
(Appendix 11)
After receiving the request message, transmitting a first inquiry message inquiring about the VPN service to another session control device that controls a session established in the second local network;
The session control method according to appendix 10, wherein a first response message including VPN information indicating the VPN service is received from the other session control device.
(Appendix 12)
transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service;
receiving a second response message including network identification information indicating the first data network connectable to the VPN service;
after receiving the second response message, identifying the communication device connectable to the first data network;
The session control method according to appendix 10 or 11, wherein the first data network is a data network in the first local network.
(Appendix 13)
The session control method according to appendix 12, wherein the second inquiry message includes VPN information indicating the VPN service.
(Appendix 14)
The session control method according to appendix 12, wherein the communication device connectable to the first data network is specified based on the network identification information.
(Appendix 15)
When receiving a request message requesting connection to the second data network from another communication terminal,
The session control method according to any one of appendices 10 to 14, wherein the communication device is specified based on VPN information indicating the VPN service.
(Appendix 16)
receiving a request message requesting communication to a second data network connectable via the second local network from a communication terminal located in a communication area formed by the first local network;
identifying a VPN service connectable to the second data network and a communication device used for connection to the VPN service and located in the first local network;
A non-transitory computer-readable medium storing a program that causes a computer to establish a session between the communication terminal and the communication device.
(Appendix 17)
After receiving the request message, transmitting a first inquiry message inquiring about the VPN service to another session control device that controls a session established in the second local network;
17. A non-transitory computer-readable medium storing the program according to appendix 16, which causes a computer to receive a first response message including VPN information indicating the VPN service from the other session control device.
(Appendix 18)
transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service;
receiving a second response message including network identification information indicating the first data network connectable to the VPN service;
after receiving the second response message, identifying the communication device connectable to the first data network;
The first data network is a data network in the first local network. A non-transitory computer-readable medium storing the program according to attachment 16 or attachment 17, which causes a computer to execute the following.
(Appendix 19)
The non-transitory computer-readable medium storing the program according to attachment 18, wherein the second inquiry message includes VPN information indicating the VPN service.
(Additional note 20)
19. A non-transitory computer-readable medium storing the program according to appendix 18, which causes a computer to specify the communication device connectable to the first data network based on the network identification information.
(Additional note 21)
When receiving a request message requesting connection to the second data network from another communication terminal,
21. A non-transitory computer-readable medium storing the program according to any one of appendices 16 to 20, which causes a computer to specify the communication device based on VPN information indicating the VPN service.
 10 セッション制御装置
 11 通信部
 12 特定部
 13 制御部
 20 SNPNブランチ
 21 AMF
 22 SMF
 23 UE
 24 (R)AN
 25 UPF
 26 DN
 27 エッジ装置
 28 NSSMF
 30 SNPN本社
 31 SMF
 32 エッジ装置
 33 DN
 34 AF
 35 NSMF
 36 NSSMF 10 Session control device 11 Communication unit 12 Specification unit 13 Control unit 20 SNPN branch 21 AMF
22 SMF
23 U.E.
24 (R)AN
25 UPF
26 DN
27 Edge device 28 NSSMF
30 SNPN Head Office 31 SMF
32 Edge device 33 DN
34 AF
35 NSMF
36 NSSMF

Claims (21)

  1.  第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信する通信部と、
     前記第2のデータネットワークへ接続可能なVirtual Private Network(VPN)サービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置と、を特定する特定部と、
     前記通信端末と前記通信装置との間のセッションを確立する制御部と、を備えるセッション制御装置。     a communication unit that receives a request message requesting communication from a communication terminal located in a communication area formed by the first local network to a second data network connectable via the second local network;
    a Virtual Private Network (VPN) service connectable to the second data network; and a communication device used for connection to the VPN service, the communication device located in the first local network. a specific part to specify;
    A session control device comprising: a control unit that establishes a session between the communication terminal and the communication device.
  2.  前記通信部は、
     前記要求メッセージを受信したあとに、前記第2のローカルネットワークにおいて確立されるセッションを制御する他のセッション制御装置へ、前記VPNサービスを問い合わせる第1の問合せメッセージを送信し、
     前記他のセッション制御装置から、前記VPNサービスを示すVPN情報を含む第1の応答メッセージを受信する、請求項1に記載のセッション制御装置。     The communication department includes:
    After receiving the request message, transmitting a first inquiry message inquiring about the VPN service to another session control device that controls a session established in the second local network;
    The session control device according to claim 1, wherein the first response message including VPN information indicating the VPN service is received from the other session control device.
  3.  前記通信部は、
     管理装置へ、前記VPNサービスへ接続可能な第1のデータネットワークを問い合わせる第2の問い合わせメッセージを送信し、
     前記VPNサービスへ接続可能な前記第1のデータネットワークを示すネットワーク識別情報を含む第2の応答メッセージを受信し、
     前記特定部は、
     前記第2の応答メッセージを受信したあとに、前記第1のデータネットワークへ接続可能な前記通信装置を特定し、
     前記第1のデータネットワークは、前記第1のローカルネットワークにおけるデータネットワークである、請求項1又は2に記載のセッション制御装置。     The communication department includes:
    transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service;
    receiving a second response message including network identification information indicating the first data network connectable to the VPN service;
    The specific part is
    after receiving the second response message, identifying the communication device connectable to the first data network;
    The session control device according to claim 1 or 2, wherein the first data network is a data network in the first local network.
  4.  前記第2の問い合わせメッセージは、前記VPNサービスを示すVPN情報を含む、請求項3に記載のセッション制御装置。 The session control device according to claim 3, wherein the second inquiry message includes VPN information indicating the VPN service.
  5.  前記特定部は、前記ネットワーク識別情報に基づいて、前記第1のデータネットワークへ接続可能な前記通信装置を特定する、請求項3に記載のセッション制御装置。 The session control device according to claim 3, wherein the identifying unit identifies the communication device connectable to the first data network based on the network identification information.
  6.  前記VPNサービスを示すVPN情報を管理する管理部をさらに備え、
     前記特定部は、前記通信部が、他の通信端末から前記第2のデータネットワークへの接続を要求する要求メッセージを受信した場合、
     前記管理されている前記VPN情報に基づいて前記通信装置を特定する、請求項1から5のいずれか1項に記載のセッション制御装置。     further comprising a management unit that manages VPN information indicating the VPN service,
    When the communication unit receives a request message requesting connection to the second data network from another communication terminal, the identification unit includes:
    The session control device according to claim 1 , wherein the communication device is specified based on the managed VPN information.
  7.  第1のローカルネットワークが形成する通信エリアに位置する通信端末と、
     前記第1のローカルネットワークにおいて確立されるセッションを制御する第1のセッション制御装置と、
     第2のデータネットワークと接続可能な第2のローカルネットワークにおいて確立されるセッションを制御する第2のセッション制御装置と、を備え、
     前記第2のセッション制御装置は、
     前記第1のセッション制御装置から、前記通信端末が前記第2のデータネットワークへの通信を要求することを示す第1の要求メッセージを受信すると、第1の応答メッセージを前記第1のセッション制御装置へ送信し、前記第1の応答メッセージは、前記第2のデータネットワークへ接続可能なVPNサービスを示すVPN情報を含み、
     前記第1のセッション制御装置は、
     前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置を特定し、前記通信端末と前記通信装置との間のセッションを確立する、セッション制御システム。     a communication terminal located in a communication area formed by the first local network;
    a first session control device that controls a session established in the first local network;
    a second session control device that controls a session established in a second local network connectable to the second data network;
    The second session control device includes:
    When the communication terminal receives a first request message indicating that it requests communication to the second data network from the first session control device, it sends a first response message to the first session control device. the first response message includes VPN information indicating a VPN service connectable to the second data network;
    The first session control device includes:
    session control for identifying the communication device used for connection to the VPN service and located in the first local network and establishing a session between the communication terminal and the communication device; system.
  8.  前記第1のセッション制御装置は、
     第1の管理装置へ、前記VPNサービスへ接続可能なアクセスネットワークを問い合わせる第1の問い合わせメッセージを送信し、第2の応答メッセージを受信し、前記アクセスネットワークへ接続可能な前記通信装置を特定するよう構成され、
     前記第2の応答メッセージは、前記VPNサービスへ接続可能な第1のデータネットワークを示すネットワーク識別情報を含み、前記第1のデータネットワークは前記第1のローカルネットワークにおけるデータネットワークである、請求項7に記載のセッション制御システム。     The first session control device includes:
    transmitting a first inquiry message inquiring about an access network connectable to the VPN service to a first management device; receiving a second response message; and specifying the communication device connectable to the access network. configured,
    7. The second response message includes network identification information indicating a first data network connectable to the VPN service, the first data network being a data network in the first local network. The session control system described in .
  9.  前記第2のセッション制御装置は、
     第2の管理装置へ、前記第2のデータネットワークへ接続可能なVPNサービスを問い合わせる第3の問い合わせメッセージを送信し、前記VPNサービスを示す前記VPN情報を含む第3の応答メッセージを受信する、請求項7又は8に記載のセッション制御システム。     The second session control device includes:
    Sending a third inquiry message to a second management device inquiring about a VPN service connectable to the second data network, and receiving a third response message including the VPN information indicating the VPN service; The session control system according to item 7 or 8.
  10.  第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信し、
     前記第2のデータネットワークへ接続可能なVPNサービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置とを特定し、
     前記通信端末と前記通信装置との間のセッションを確立する、セッション制御方法。     receiving a request message requesting communication to a second data network connectable via the second local network from a communication terminal located in a communication area formed by the first local network;
    identifying a VPN service connectable to the second data network and a communication device used for connection to the VPN service and located in the first local network;
    A session control method that establishes a session between the communication terminal and the communication device.
  11.  前記要求メッセージを受信したあとに、前記第2のローカルネットワークにおいて確立されるセッションを制御する他のセッション制御装置へ、前記VPNサービスを問い合わせる第1の問合せメッセージを送信し、
     前記他のセッション制御装置から、前記VPNサービスを示すVPN情報を含む第1の応答メッセージを受信する、請求項10に記載のセッション制御方法。     After receiving the request message, transmitting a first inquiry message inquiring about the VPN service to another session control device that controls a session established in the second local network;
    The session control method according to claim 10, wherein a first response message including VPN information indicating the VPN service is received from the other session control device.
  12.  管理装置へ、前記VPNサービスへ接続可能な第1のデータネットワークを問い合わせる第2の問い合わせメッセージを送信し、
     前記VPNサービスへ接続可能な前記第1のデータネットワークを示すネットワーク識別情報を含む第2の応答メッセージを受信し、
     前記第2の応答メッセージを受信したあとに、前記第1のデータネットワークへ接続可能な前記通信装置を特定し、
     前記第1のデータネットワークは、前記第1のローカルネットワークにおけるデータネットワークである、請求項10又は11に記載のセッション制御方法。     transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service;
    receiving a second response message including network identification information indicating the first data network connectable to the VPN service;
    after receiving the second response message, identifying the communication device connectable to the first data network;
    The session control method according to claim 10 or 11, wherein the first data network is a data network in the first local network.
  13.  前記第2の問い合わせメッセージは、前記VPNサービスを示すVPN情報を含む、請求項12に記載のセッション制御方法。 The session control method according to claim 12, wherein the second inquiry message includes VPN information indicating the VPN service.
  14.  前記ネットワーク識別情報に基づいて、前記第1のデータネットワークへ接続可能な前記通信装置を特定する、請求項12に記載のセッション制御方法。 The session control method according to claim 12, wherein the communication device connectable to the first data network is identified based on the network identification information.
  15.  他の通信端末から前記第2のデータネットワークへの接続を要求する要求メッセージを受信した場合、
     前記VPNサービスを示すVPN情報に基づいて前記通信装置を特定する、請求項10から14のいずれか1項に記載のセッション制御方法。     When receiving a request message requesting connection to the second data network from another communication terminal,
    The session control method according to any one of claims 10 to 14, wherein the communication device is specified based on VPN information indicating the VPN service.
  16.  第1のローカルネットワークが形成する通信エリアに位置する通信端末から、第2のローカルネットワークを介して接続可能な第2のデータネットワークへの通信を要求する要求メッセージを受信し、
     前記第2のデータネットワークへ接続可能なVPNサービスと、前記VPNサービスへの接続に用いられる通信装置であって、前記第1のローカルネットワークに配置された前記通信装置とを特定し、
     前記通信端末と前記通信装置との間のセッションを確立することをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。     receiving a request message requesting communication to a second data network connectable via the second local network from a communication terminal located in a communication area formed by the first local network;
    identifying a VPN service connectable to the second data network and a communication device used for connection to the VPN service and located in the first local network;
    A non-transitory computer-readable medium storing a program that causes a computer to establish a session between the communication terminal and the communication device.
  17.  前記要求メッセージを受信したあとに、前記第2のローカルネットワークにおいて確立されるセッションを制御する他のセッション制御装置へ、前記VPNサービスを問い合わせる第1の問合せメッセージを送信し、
     前記他のセッション制御装置から、前記VPNサービスを示すVPN情報を含む第1の応答メッセージを受信することをコンピュータに実行させる、請求項16に記載のプログラムが格納された非一時的なコンピュータ可読媒体。     After receiving the request message, transmitting a first inquiry message inquiring about the VPN service to another session control device that controls a session established in the second local network;
    17. A non-transitory computer-readable medium storing a program according to claim 16, which causes a computer to receive a first response message including VPN information indicating the VPN service from the other session control device. .
  18.  管理装置へ、前記VPNサービスへ接続可能な第1のデータネットワークを問い合わせる第2の問い合わせメッセージを送信し、
     前記VPNサービスへ接続可能な前記第1のデータネットワークを示すネットワーク識別情報を含む第2の応答メッセージを受信し、
     前記第2の応答メッセージを受信したあとに、前記第1のデータネットワークへ接続可能な前記通信装置を特定し、
     前記第1のデータネットワークは、前記第1のローカルネットワークにおけるデータネットワークである、ことをコンピュータに実行させる、請求項16又は請求項17に記載のプログラムが格納された非一時的なコンピュータ可読媒体。     transmitting a second inquiry message to a management device inquiring about a first data network connectable to the VPN service;
    receiving a second response message including network identification information indicating the first data network connectable to the VPN service;
    after receiving the second response message, identifying the communication device connectable to the first data network;
    18. The non-transitory computer-readable medium storing the program according to claim 16 or 17, which causes a computer to execute the following: the first data network is a data network in the first local network.
  19.  前記第2の問い合わせメッセージは、前記VPNサービスを示すVPN情報を含む、請求項18に記載のプログラムが格納された非一時的なコンピュータ可読媒体。 The non-transitory computer-readable medium storing the program according to claim 18, wherein the second inquiry message includes VPN information indicating the VPN service.
  20.  前記ネットワーク識別情報に基づいて、前記第1のデータネットワークへ接続可能な前記通信装置を特定する、ことをコンピュータに実行させる、請求項18に記載のプログラムが格納された非一時的なコンピュータ可読媒体。 19. A non-transitory computer-readable medium storing the program according to claim 18, which causes a computer to specify the communication device connectable to the first data network based on the network identification information. .
  21.  他の通信端末から前記第2のデータネットワークへの接続を要求する要求メッセージを受信した場合、
     前記VPNサービスを示すVPN情報に基づいて前記通信装置を特定することをコンピュータに実行させる、請求項16から20のいずれか1項に記載のプログラムが格納された非一時的なコンピュータ可読媒体。     When receiving a request message requesting connection to the second data network from another communication terminal,
    21. A non-transitory computer-readable medium storing the program according to claim 16, which causes a computer to specify the communication device based on VPN information indicating the VPN service.
PCT/JP2022/012650 2022-03-18 2022-03-18 Session control device, session control system, session control method, and non-transitory computer-readable medium WO2023175915A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/012650 WO2023175915A1 (en) 2022-03-18 2022-03-18 Session control device, session control system, session control method, and non-transitory computer-readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/012650 WO2023175915A1 (en) 2022-03-18 2022-03-18 Session control device, session control system, session control method, and non-transitory computer-readable medium

Publications (1)

Publication Number Publication Date
WO2023175915A1 true WO2023175915A1 (en) 2023-09-21

Family

ID=88022649

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2022/012650 WO2023175915A1 (en) 2022-03-18 2022-03-18 Session control device, session control system, session control method, and non-transitory computer-readable medium

Country Status (1)

Country Link
WO (1) WO2023175915A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11355272A (en) * 1998-05-08 1999-12-24 Lucent Technol Inc Multiple hop point-to-point protocol
US20050083883A1 (en) * 2003-10-20 2005-04-21 Jan-Ming Ho Mobile network agent
US20060013197A1 (en) * 2004-04-28 2006-01-19 Anderson Eric C Automatic remote services provided by a home relationship between a device and a server
EP2575297A2 (en) * 2011-09-28 2013-04-03 Samsung SDS Co., Ltd. Apparatus and method for providing virtual private network service based on mutual authentication
US20200059977A1 (en) * 2018-08-16 2020-02-20 Industrial Technology Research Institute Method of providing 5glan service and terminal device and server using the same

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11355272A (en) * 1998-05-08 1999-12-24 Lucent Technol Inc Multiple hop point-to-point protocol
US20050083883A1 (en) * 2003-10-20 2005-04-21 Jan-Ming Ho Mobile network agent
US20060013197A1 (en) * 2004-04-28 2006-01-19 Anderson Eric C Automatic remote services provided by a home relationship between a device and a server
EP2575297A2 (en) * 2011-09-28 2013-04-03 Samsung SDS Co., Ltd. Apparatus and method for providing virtual private network service based on mutual authentication
US20200059977A1 (en) * 2018-08-16 2020-02-20 Industrial Technology Research Institute Method of providing 5glan service and terminal device and server using the same

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Procedures for the 5G System (5GS); Stage 2 (Release 17)", 3GPP TS 23.502, no. V17.3.0, 23 December 2021 (2021-12-23), pages 1 - 727, XP052083265 *
"3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on enhanced support of Non-Public Networks (NPN) (Release 17)", TR 23.700-07, no. V17.0.0, 31 March 2021 (2021-03-31), pages 1 - 248, XP052000256 *
HUAWEI, HISILICON, SAMSUNG, CATT, CHINA MOBILE, CHINA TELECOM, CHINA UNICOM, ZTE, JUNIPER, SK TELECOM, KT CORP, LG UPLUS, KPN, SIE: "New SID on generic group management, exposure and communication enhancements", 3GPP TSG-WG SA2 MEETING #148E E-MEETING, S2 2108574, 8 November 2021 (2021-11-08), XP052076572 *

Similar Documents

Publication Publication Date Title
US11778035B2 (en) Selecting a user plane function (UPF) for layer 2 networks
EP3668025B1 (en) Routing control method, device, and system
JP4270888B2 (en) Service and address management method in WLAN interconnection
EP3419224B1 (en) Selection of an edge node in a fixed access communication network
RU2576492C2 (en) Control device, communication system, communication method and recording medium with communication programme recorded thereon
US11895197B2 (en) Communication method and apparatus
US10447603B2 (en) Control signaling transmission method and device
CN111512653B (en) Techniques for routing registration requests for roaming user equipment through bridging entities
KR101977005B1 (en) Obtaining authorization to use proximity services in a mobile communication system
US11678389B2 (en) Utilizing a transport protocol for fifth generation (5G) client devices to carry messages on wireline access
CN115769634A (en) Method and apparatus for directing a session to an application server
WO2023175915A1 (en) Session control device, session control system, session control method, and non-transitory computer-readable medium
EP4030864A1 (en) Data transmission method and apparatus
JP2022538695A (en) Port control support methods and equipment
CN108259292B (en) Method and device for establishing tunnel
EP3402168A1 (en) A communication system and a communication method
JP4802238B2 (en) How to set up a network-based tunnel for mobile terminals in a local network interconnection
EP4175255A1 (en) Gateway device, system and method for providing a forwarding policy
WO2022258642A1 (en) System and method for establishing a dual-layer pdu session
CN116938809A (en) Role information propagation in an access switch
CN117203938A (en) System and method for partitioning transit capabilities within a multi-cloud architecture
CN115567440A (en) Method and device for realizing communication between local area networks
CN113497734A (en) UPF configuration method, UPF selection method and equipment
JP2008054184A (en) Traffic policy control network system and traffic control method

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22932187

Country of ref document: EP

Kind code of ref document: A1