WO2014054768A1

WO2014054768A1 - 通信システム、仮想ネットワーク管理装置、仮想ネットワークの管理方法及びプログラム

Info

Publication number: WO2014054768A1
Application number: PCT/JP2013/077040
Authority: WO
Inventors: 智久山部; 昌治森本
Original assignee: 日本電気株式会社
Priority date: 2012-10-05
Filing date: 2013-10-04
Publication date: 2014-04-10
Also published as: CN104704772A; US20150249565A1; JP6248938B2; JPWO2014054768A1; EP2905926A4; EP2905926A1; CN104704772B; US9794111B2; EP2905926B1

Abstract

　仮想ネットワークの構築容易性または管理容易性の向上に貢献する。通信システムは、仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、第１のユーザに対し、前記第１の階層のネットワーク構成情報を用いて前記第１の階層のネットワークの管理を行わせ、第２のユーザに対し、少なくとも前記第２の階層のネットワーク構成情報を用いて第２の階層のネットワークの管理を行わせるネットワーク構成管理部とを備える。

Description

通信システム、仮想ネットワーク管理装置、仮想ネットワークの管理方法及びプログラム

　［関連出願についての記載］
　本発明は、日本国特許出願：特願２０１２－２２３１２３号（２０１２年１０月　５日出願）に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
　本発明は、通信システム、仮想ネットワーク管理装置、仮想ネットワークの管理方法及びプログラムに関し、特に、複数のレイヤを有する仮想ネットワークを提供する通信システム、仮想ネットワーク管理装置、仮想ネットワークの管理方法及びプログラムに関する。

　近年、オープンフロー（ＯｐｅｎＦｌｏｗ）という技術が提案されている（非特許文献１、２参照）。オープンフローは、通信をエンドツーエンドのフローとして捉え、フロー単位で経路制御、障害回復、負荷分散、最適化を行うものである。非特許文献２に仕様化されているオープンフロースイッチは、オープンフローコントローラとの通信用のセキュアチャネルを備え、オープンフローコントローラから適宜追加または書き換え指示されるフローテーブルに従って動作する。フローテーブルには、フロー毎に、パケットヘッダと照合するマッチ条件（Ｍａｔｃｈ　Ｆｉｅｌｄｓ）と、フロー統計情報（Ｃｏｕｎｔｅｒｓ）と、処理内容を定義したインストラクション（Ｉｎｓｔｒｕｃｔｉｏｎｓ）と、の組が定義される（非特許文献２の「４．１　Ｆｌｏｗ　Ｔａｂｌｅ」の項参照）。

　例えば、オープンフロースイッチは、パケットを受信すると、フローテーブルから、受信パケットのヘッダ情報に適合するマッチ条件（非特許文献２の「４．３　Ｍａｔｃｈ　Ｆｉｅｌｄｓ」参照）を持つエントリを検索する。検索の結果、受信パケットに適合するエントリが見つかった場合、オープンフロースイッチは、フロー統計情報（カウンタ）を更新するとともに、受信パケットに対して、当該エントリのインストラクションフィールドに記述された処理内容（指定ポートからのパケット送信、フラッディング、廃棄等）を実施する。一方、検索の結果、受信パケットに適合するエントリが見つからなかった場合、オープンフロースイッチは、セキュアチャネルを介して、オープンフローコントローラに対してエントリ設定の要求、即ち、受信パケットを処理するための制御情報の送信要求（Ｐａｃｋｅｔ－Ｉｎメッセージ）を送信する。オープンフロースイッチは、処理内容が定められたフローエントリを受け取ってフローテーブルを更新する。このように、オープンフロースイッチは、フローテーブルに格納されたエントリを制御情報として用いてパケット転送を行う。

　非特許文献１の５頁のＥｘａｍｐｌｅ２には、上記のようなオープンフローの仕組みを用いてＶＬＡＮ（Ｖｉｒｔｕａｌ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）のような仮想ネットワークを提供できることが記載されている。また、その際のユーザトラヒックの特定方法として、オープンフロースイッチのポートやＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスにより個々のユーザトラヒックを特定し、オープンフロースイッチに適切なＶＬＡＮ　ＩＤを付与させることや、コントローラにユーザ認証を行なわせること、さらには、前記ＶＬＡＮ　ＩＤの付与にユーザの位置を考慮することが記載されている。

　その他、特許文献１に、ある利用者に別の利用者が設定した設定内容や行った処理に対する稼動データを見せないようにするネットワーク管理システムが開示されている。同文献によれば、このネットワーク管理システムは、仮想ネットワーク機器情報オブジェクトを前記共有ネットワーク機器単位かつ当該共有ネットワーク機器を共有利用する利用者単位で作成し、それを格納するリソース情報レポジトリと、端末からの仮想ネットワーク機器に対する各種要求を受けつけた際にそれを検索する仮想リソース情報アクセス手段と、検索したオブジェクトに対応する共有ネットワーク装置情報オブジェクトを検索する共有リソース情報アクセス手段を有する、とされている。また、このように構成することにより、仮想的に利用者毎に前記共有ネットワーク装置のサブセットとなる仮想ネットワーク装置を構成し、ある利用者に別の利用者が設定した設定内容や行った処理に対する稼動データを見せないように構成できる、とされている。

特開２００５－２０３９８４号公報

Ｎｉｃｋ　ＭｃＫｅｏｗｎほか７名、"ＯｐｅｎＦｌｏｗ：　Ｅｎａｂｌｉｎｇ　Ｉｎｎｏｖａｔｉｏｎ　ｉｎ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋｓ"、［ｏｎｌｉｎｅ］、［平成２４（２０１２）年８月１６日検索］、インターネット〈URL:http://www.openflow.org/documents/openflow-wp-latest.pdf〉 "ＯｐｅｎＦｌｏｗ　Ｓｗｉｔｃｈ　Ｓｐｅｃｉｆｉｃａｔｉｏｎ"　Ｖｅｒｓｉｏｎ　１．１．０　Ｉｍｐｌｅｍｅｎｔｅｄ　（Ｗｉｒｅ　Ｐｒｏｔｏｃｏｌ　０ｘ０２）、［ｏｎｌｉｎｅ］、［平成２４（２０１２）年８月１６日検索］、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉

　以下の分析は、本発明によって与えられたものである。上記オープンフローに代表されるフロー制御技術によれば、フロー単位の制御により、複数のユーザに、仮想的な専用ネットワークを共有させる形態を構築することが可能となる。またこのときに、ユーザに実際の物理的な構成をベースに管理させる必要はなく、物理スイッチのふるまいにより達成される仮想ノードを配置した仮想ネットワークをベースに管理させた方が簡便であり、より実態に適している。

　しかしながら、例えば、大規模なネットワークになると、単一の制御装置（上記オープンフローコントローラに相当）ではなく、複数の制御装置が連携して仮想ネットワークを構成することになり仮想ノードの数は増大しネットワーク構成は複雑化する。

　仮想ネットワークの管理者の中には、下位レベルのネットワーク構成やトラヒックまで関心を持つ管理者（テナント提供側）と、個々のホスト間のアクセス制御に関心があり、下位レベルのネットワーク構成やトラヒックには関心を持たない管理者（テナント利用側）とがある。管理者に応じてネットワークの抽象度を変えることも可能であるが、単に抽象度を変えただけでは、個々の管理者にとって管理しやすい態様になるとは限らないという問題点がある。

　本発明は、仮想ネットワークの構築容易性または管理容易性の向上に貢献する通信システム、仮想ネットワーク管理装置、仮想ネットワークの管理方法及びプログラムを提供することを目的とする。

　第１の視点によれば、仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、第１のユーザに対し、前記第１の階層のネットワーク構成情報を用いて前記第１の階層のネットワークの管理を行わせ、第２のユーザに対し、少なくとも前記第２の階層のネットワーク構成情報を用いて第２の階層のネットワークの管理を行わせるネットワーク構成管理部とを備えた通信システムが提供される。

　第２の視点によれば、仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、第１のユーザに対し、前記第１の階層のネットワーク構成情報を用いて前記第１の階層のネットワークの管理を行わせ、第２のユーザに対し、少なくとも前記第２の階層のネットワーク構成情報を用いて第２の階層のネットワークの管理を行わせるネットワーク構成管理部と、を備える仮想ネットワーク管理装置が提供される。

　第３の視点によれば、仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、を含む仮想ネットワークにおいて、前記第１の階層のネットワーク構成情報を用いて、第１のユーザから、前記第１の階層のネットワークに関する操作を受け付けるステップと、少なくとも前記第２の階層のネットワーク構成情報を用いて、第２のユーザから、前記第２の階層のネットワークに関する操作を受け付けるステップと、を含む仮想ネットワークの管理方法が提供される。本方法は、仮想ネットワークを管理する仮想ネットワーク管理装置という、特定の機械に結びつけられている。

　第４の視点によれば、仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、を含む仮想ネットワークに配置されたコンピュータに、前記第１の階層のネットワーク構成情報を用いて、第１のユーザから、前記第１の階層のネットワークに関する操作を受け付ける処理と、少なくとも前記第２の階層のネットワーク構成情報を用いて、第２のユーザから、前記第２の階層のネットワークに関する操作を受け付ける処理と、を実行させるプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な（非トランジエントな）記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、仮想ネットワークの構築容易性または管理容易性の向上させることが可能となる。

本発明の一実施形態の構成を示す図である。本発明の一実施形態のネットワーク管理装置の構成を示す図である。本発明の第１の実施形態を説明するための参考図である。本発明の第１の実施形態の仮想ネットワークの構成を示す図である。本発明の第１の実施形態のネットワーク管理装置の構成を示す図である。第１、第２の階層用の識別子の格納位置の例を示す図である。第１、第２の階層用の識別子の格納位置の例を示す別の図である。本発明の第２の実施形態の仮想ネットワークの物理的構成を説明するための図である。図８のネットワーク構成におけるドメイン、バウンダリーの構成情報の例である。図８のスイッチ＃１、スイッチ＃２から構成される第２の階層の仮想ネットワークの構成情報の例である。図１０の第２階層の仮想ネットワークを仮想トンネルとして配置した第１の階層の構成情報の例である。図１０の第２階層の仮想ネットワークを仮想トンネルとして配置した別の第１の階層の構成情報の例である。図８のネットワーク構成から構築された仮想ネットワークの展開図である。本発明の第３の実施形態の仮想ネットワークの展開図である。本発明の第４の実施形態の仮想ネットワークの展開図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。

　本発明は、その一実施形態において、仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部（図２の２１）と、第１のユーザに対し、前記第１の階層のネットワーク構成情報を用いて前記第１の階層のネットワークの管理を行わせ、第２のユーザに対し、少なくとも前記第２の階層のネットワーク構成情報を用いて第２の階層のネットワークの管理を行わせるネットワーク構成管理部（図２の２２）と、を備えたネットワーク管理装置２０を含む通信システムにて実現できる（図１）。なお、ネットワーク構成管理部（図２の２２）がユーザから受け付けた操作内容は、図示省略する制御装置に転送され、個々のスイッチの制御に利用される。

　図１の例では、ネットワーク識別子：１が割り当てられたユーザと、ネットワーク識別子：２が割り当てられたユーザとに、同一の物理ネットワークで構成された仮想ネットワークを共有させている。ネットワーク管理装置２０は、複数の物理スイッチを用いて、仮想ノード１１を構成し、第２の階層のネットワークに配置している。第１の階層においては、第２の階層のネットワークはシンボルで表されている。このため、ネットワーク識別子：１、２が割り当てられたユーザは、第２の階層の構成を気にせずに、それぞれの仮想的な専用ネットワークを管理し、利用することができる。

　一方、第２の階層においては、第２の階層のネットワークの管理を行う第３のユーザにより、管理が行なわれる。

　以上のようにして、仮想ネットワークの構築容易性または管理容易性が向上される。その理由は、仮想ネットワークを複数のレイヤに分け、上位のレイヤにおいて、下位構成を隠蔽したい領域をシンボルで表すように構成したためである。

［第１の実施形態］
　続いて、本発明の第１の実施形態について図面を参照して詳細に説明する。図３は、本発明の第１の実施形態を説明するための参考図である。図３を参照すると、４つの物理スイッチを用いて構成された物理ネットワークと、仮想ノード１０、１１を含む１レイヤの仮想ネットワークを構成している。この状態においても、ネットワーク管理装置Ｘ２０にフロー別の制御を行わせることにより、複数のユーザ（例えば、ＶＮＩ＝１のユーザと、ＶＮＩ＝２のユーザ）に仮想ネットワークを利用させることができる。なお、ＶＮＩは、ＶＸＬＡＮ　Ｎｅｔｗｏｒｋ　Ｉｄｅｎｔｉｆｉｅｒの略であり、ＶＸＬＡＮは、Ｖｉｒｔｕａｌ　Ｅｘｔｅｎｓｉｂｌｅ　Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋの略である。

　しかしながら、図３の１レイヤの仮想ネットワークにおいて、あるユーザ（例えば、ＶＮＩ＝１のユーザ）に仮想ノード１１を提示し、その設定の変更を許容してしまうと、ＶＮＩ＝２のネットワークにも当該変更の影響が及んでしまうという問題点がある。そこで、本実施形態では、図４に示すように、図３の仮想ネットワークの仮想ノード１１を、仮想端点を配置した第２の階層に配置し、第１の階層では、ＶＸＬＡＮにてネットワークのスライスを行っている。また、第２の階層のネットワークは、第１の階層においては、前記仮想ノードはシンボル「仮想トンネル」で表され、仮想トンネルのインターフェースは第２の階層の仮想端点にマッピングされている。

　また、本実施形態では、第２の階層においても、ＶＮＩを考慮したフロー制御を行うこととしている。

　第２の階層におけるユーザやユーザグループの識別は、ユーザパケットのヘッダ等に、第２の階層用の識別子を付与することで実現できる。図５は、本発明の第１の実施形態のネットワーク管理装置２０Ａの構成を示す図である。図２に示したネットワーク管理装置との相違点は、第１、第２の階層間のユーザ識別子の対応関係を記憶するマッピング情報記憶部２３と、この対応関係に基づいて、物理ネットワーク上のスイッチに、パケットヘッダにユーザ識別子を書き込む処理を実行させるスイッチ制御部２４とが備えられている点である。

　図６は、第２の階層用の識別子の格納位置の例を示す図である。図６の例では、ＶＸＬＡＮ等の追加ヘッダの所定の位置に第２の階層用の識別子を格納する例である。このようにすることで、第２の階層用の識別子を用いたフロー識別も可能となる。

　図７は、第２の階層用の識別子の格納位置の別の例を示す図である。図７の例では、ＶＸＬＡＮ等の追加ヘッダの内側の上位プロトコルヘッダの所定の位置に第２の階層用の識別子を格納する例である。このようにすれば、例えば、図７の下段に示すように、ゲートウェイ（Ｇａｔｅｗａｙ）にて追加ヘッダが外されて、外部の宛先にパケットが到達するようなケースにおいても、外部のネットワークノードにＶＮＩを考慮したフロー制御を行わせることができる。

［第２の実施形態］
　続いて、本発明の第２の実施形態について図面を参照して詳細に説明する。図８は、本発明の第２の実施形態の仮想ネットワークの物理的構成を説明するための図である。以下、本実施形態は、第１の実施形態と同様の構成にて実現できるので、以下相違点を中心に説明する。

　図８を参照すると、ＮＶＧＲＥ（Ｎｅｔｗｏｒｋ　Ｖｉｒｔｕａｌｉｚａｔｉｏｎ　ｕｓｉｎｇ　Ｇｅｎｅｒｉｃ　Ｒｏｕｔｉｎｇ　Ｅｎｃａｐｓｕｌａｔｉｏｎ）により、ＶＳＩＤ（Ｖｉｒｔｕａｌ　Ｓｕｂｓｅｔ　ＩＤｅｎｔｉｆｉｅｒ）でスライシングを行うよう制御されるスイッチ＃１、＃２と、ＮＶＧＲＥ外のスイッチ＃３、＃４とをゲートウェイＧＷを介して接続した構成が示されている。また、スイッチ＃１には、ハイパーバイザー型のサーバ仮想化アプリケーションによって実現されるハイパーバイザーホスト＃１、＃２が接続されている。図中ｂ１～ｂ４は、コントローラによって形成されるドメインの境界を示すバウンダリーである。

　図９は、図８の、ネットワーク構成におけるドメイン、バウンダリーの構成情報の例である。図９の例では、図８からも読み取れるように５つのドメインと、これらの境界に位置するバウンダリーｂ１～ｂ４がスイッチとポートの組み合わせで定義されている。

　図１０は、図８のスイッチ＃１、スイッチ＃２から構成される第２の階層の仮想ネットワークの構成情報の例である。図１０を参照すると、スイッチ＃１、＃２から構成される仮想ブリッジｖｂｒ１と、この仮想ブリッジのインターフェースと、仮想トンネルエンドポイント（ｖｔｅｐ）にて定義される仮想リンクと、が定義されている。さらに、個々の仮想リンクは、図８のバウンダリーｂ１～ｂ３とマッピングされ、それぞれｖｌａｎ－ｉｄとして「１０」が付与されている。

　図１１は、図１０の第２階層の仮想ネットワークを仮想トンネルとして配置した第１の階層の構成情報の例である。図１１において、図１０に示した仮想ネットワークは、ＶＳＩＤ：１０を持つ仮想トンネルｖｔｕｎｎｅｌ１で表わされて、第１の階層の仮想ブリッジｖｂｒ１、ｖｂｒ２と接続されている。また、仮想トンネルｖｔｕｎｎｅｌ１の各インターフェースは、図１０の仮想トンネルエンドポイントｖｔｅｐ１、ｖｔｅｐ３にマッピングされている。同様に、第１の階層のネットワークの仮想ブリッジｖｂｒ１、ｖｂｒ３のインターフェースに繋がるエンドポイント１、４は、ハイパーバイザーホスト＃１のポートと、スイッチ＃４のポートとに対応付けられている。

　図１２は、図１０の第２階層の仮想ネットワークを仮想トンネルとして配置した第１の階層の構成情報の別の例である。図１２において、図１０に示した仮想ネットワークは、ＶＳＩＤ：２０を持つ仮想トンネルｖｔｕｎｎｅｌ１で表わされて、第１の階層の仮想ブリッジｖｂｒ１、ｖｂｒ２と接続されている。また、仮想トンネルｖｔｕｎｎｅｌ１の各インターフェースは、図１０の仮想トンネルエンドポイントｖｔｅｐ２、ｖｔｅｐ３にマッピングされている。同様に、第１の階層のネットワークの仮想ブリッジｖｂｒ１、ｖｂｒ３のインターフェースに繋がるエンドポイント２、３は、ハイパーバイザーホスト＃２のポートと、スイッチ＃３のポートとに対応付けられている。

　以上の結果、最終的に物理ネットワークは、図１３に示すように、２つの階層を持つ仮想ネットワークに展開され、それぞれ対応する要素がマッピングされる。ＶＳＩＤ：１のユーザは、仮想トンネルによって簡単化された仮想ネットワークｖｔｎ１－Ａをベースにネットワークの設定や管理を行うことができる。同様に、ＶＳＩＤ：２のユーザは、仮想トンネルによって簡単化された仮想ネットワークｖｔｎ１－Ｂをベースにネットワークの設定や管理を行うことができる。さらに、第２の階層の設定や管理をする場合には、第２の階層の仮想ネットワークｖｔｎ１をベースに、ＶＬＡＮ　ＩＤによるフロー制御等を行うことができる。

［第３の実施形態］
　続いて、本発明の第３の実施形態について図面を参照して詳細に説明する。図１４は、本発明の第３の実施形態の仮想ネットワークの構成を説明するための図である。本実施形態は、上記した第２の実施形態と略同様の構成で実現でき、構成方法も略同様であるので以下、その相違点を説明する。

　図１４の例では、物理ネットワークが、ＥｏＭＰＬＳ（Ｅｔｈｅｒｎｅｔ（登録商標）　ｏｖｅｒ　ＭＰＬＳ）を介して、２つのデータセンタを接続した構成となっている。そして、ＥｏＭＰＬＳ（Ｅｔｈｅｒｎｅｔ（登録商標）　ｏｖｅｒ　ＭＰＬＳ）の部分は、仮想ネットワークにおいては、ＭＰＬＳラベルによる制御を行う仮想スイッチが配置された第３の階層のネットワークとして表されている。そして、第３の階層よりも上位の第２の階層においては、第３の階層のネットワークを仮想トンネルで表し、ドメイン毎に仮想ブリッジ又は仮想ルータを配置した構成で表されている。そして、第２の階層よりも上位の第１の階層においては、第２の階層のネットワークを仮想トンネルで表し、ドメイン毎に仮想ルータを配置した構成となっている。

　以上のように、本発明は、ネットワークを介して、複数のデータセンタを接続したような複雑なケースにおいても、エンドユーザが取り扱う仮想ネットワークの構成を簡単化することができる。その理由は、多数のドメインがあり、これに応じた多数の仮想ノードを設ける必要があるような場合においても、これらを仮想トンネルにまとめ、エンドユーザの管理対象から外せるように構成したためである。

［第４の実施形態］
　続いて、本発明の第４の実施形態について図面を参照して詳細に説明する。図１５は、本発明の第４の実施形態の仮想ネットワークの構成を説明するための図である。本実施形態は、上記した第２、第３の実施形態と略同様の構成で実現でき、構成方法も略同様であるので以下、その相違点を説明する。

　図１５の例では、ＥｏＭＰＬＳネットワーク及びレガシースイッチを含んだ物理ネットワークを用いて、第１～第３の階層で、スライシングが行われている。そして、下位の階層で、スライシングされた仮想ネットワークは、上位の階層において仮想トンネルとして表されて、それぞれ該当する仮想トンネルエンドポイントと、インターフェースとがマッピングされている。

　以上のように、本発明は、ＭＰＬＳ、ＶＬＡＮ、ＮＶＧＲＥといった複数のレイヤでスライシングを行うケースにも適用可能であり、上記した各実施形態と同様に、エンドユーザが取り扱う仮想ネットワークの構成を簡単化することができる。

　以上、本発明の実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成や要素の構成は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。

　また例えば、上記した実施形態では、上位の階層において、ＶＸＬＡＮやＮＶＧＲＥを用いてスライシングを行うものとして説明したが、これらはあくまで一例であり、その他の方式を採用することができる。また、下位の階層においてもＶＬＡＮやＭＰＬＳを用いるものとして説明したが、これらもあくまで一例であり、その他の方式を採用することができる。

　また例えば、上記した実施形態では、ネットワーク管理装置にネットワーク構成記憶部やネットワーク構成管理部を備えるものとして説明したが、これらは別々の装置に配置されていてもよいし、あるいは、物理スイッチ群を制御する制御装置の一機能として実現されていてもよい。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
　（上記第１の視点による通信システム参照）
［第２の形態］
　第１の形態の通信システムにおいて、
　前記第１の階層でユーザを識別するための識別子と、前記第２の階層でユーザを識別するための識別子と、の対応関係を記憶するマッピング情報記憶部を含み、
　前記各識別子を用いて、前記第１、第２の階層の双方においてフロー制御をできるよう管理する通信システム。
［第３の形態］
　第２の形態の通信システムにおいて、
　さらに、
　ユーザパケットに含まれる前記第１の階層でユーザを識別するための識別子に基づいて、前記第２の階層でユーザを識別するための識別子をヘッダに書き込む処理を経路上のスイッチに実行させるスイッチ制御部を含む通信システム。
［第４の形態］
　第３の形態の通信システムにおいて、
　前記第２の階層でユーザを識別するための識別子を、前記第１の階層の識別子を格納するヘッダの所定領域に格納する通信システム。
［第５の形態］
　第３又は第４の形態の通信システムにおいて、
　前記第２の階層でユーザを識別するための識別子を、前記第１の階層の識別子を格納するヘッダより内側の第２ヘッダの所定領域に格納する通信システム。
［第６の形態］
　第１から第５いずれか一の形態の通信システムにおいて、
　前記シンボルで表した領域を表した第２の階層のネットワークと、前記第１の階層のネットワークとが１対多の関係で対応付けられている通信システム。
［第７の形態］
　（上記第２の視点による仮想ネットワーク管理装置参照）
［第８の形態］
　第７の形態の仮想ネットワーク管理装置において、
　さらに、
　前記第１の階層でユーザを識別するための識別子と、前記第２の階層でユーザを識別するための識別子と、の対応関係を記憶するマッピング情報記憶部と、
　前記各識別子を用いて、前記第１、第２の階層の双方においてフロー制御をできるよう管理するネットワーク管理部と、
　を備える仮想ネットワーク管理装置。
［第９の形態］
　第８の形態の仮想ネットワーク管理装置において、
　さらに、
　ユーザパケットに含まれる前記第１の階層でユーザを識別するための識別子に基づいて、前記第２の階層でユーザを識別するための識別子をヘッダに書き込む処理を経路上のスイッチに実行させるスイッチ制御部を含む仮想ネットワーク管理装置。
［第１０の形態］
　（上記第３の視点による仮想ネットワークの管理方法参照）
［第１１の形態］
　（上記第４の視点によるプログラム参照）
　なお、上記第７の形態は、上記第１の形態と同様に、第４～第６の形態に展開することが可能である。同様に、上記第１０、第１１の形態は、上記第１の形態と同様に、第２～第６の形態に展開することが可能である。

　なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　１０、１１　仮想ノード
　２０、２０Ａ、Ｘ２０　ネットワーク管理装置
　２１　ネットワーク構成記憶部
　２２　ネットワーク構成管理部
　２３　マッピング情報記憶部
　２４　スイッチ制御部
　ｂ１～ｂ４　バウンダリー
　ｖｔｅｐ１～ｖｔｅｐ３　仮想トンネルエンドポイント
　ｖｂｒ１～ｖｂｒ３　仮想ブリッジ
　ｖｔｕｎｎｅｌ１　仮想トンネル

Claims

　仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、
　第１のユーザに対し、前記第１の階層のネットワーク構成情報を用いて前記第１の階層のネットワークの管理を行わせ、第２のユーザに対し、少なくとも前記第２の階層のネットワーク構成情報を用いて第２の階層のネットワークの管理を行わせるネットワーク構成管理部とを備えた通信システム。
　さらに、
　前記第１の階層でユーザを識別するための識別子と、前記第２の階層でユーザを識別するための識別子と、の対応関係を記憶するマッピング情報記憶部を含み、
　前記各識別子を用いて、前記第１、第２の階層の双方においてフロー制御をできるよう管理する請求項１の通信システム。
　さらに、
　ユーザパケットに含まれる前記第１の階層でユーザを識別するための識別子に基づいて、前記第２の階層でユーザを識別するための識別子をヘッダに書き込む処理を経路上のスイッチに実行させるスイッチ制御部を含む請求項２の通信システム。
　前記第２の階層でユーザを識別するための識別子を、前記第１の階層の識別子を格納するヘッダの所定領域に格納する請求項３の通信システム。
　前記第２の階層でユーザを識別するための識別子を、上位プロトコルのヘッダの所定領域に格納する請求項３又は４の通信システム。
　前記シンボルで表した領域を表した第２の階層のネットワークと、前記第１の階層のネットワークとが１対多の関係で対応付けられている請求項１から５いずれか一の通信システム。
　仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、
　第１のユーザに対し、前記第１の階層のネットワーク構成情報を用いて前記第１の階層のネットワークの管理を行わせ、第２のユーザに対し、少なくとも前記第２の階層のネットワーク構成情報を用いて第２の階層のネットワークの管理を行わせるネットワーク構成管理部と、
　を備える仮想ネットワーク管理装置。
　さらに、
　前記第１の階層でユーザを識別するための識別子と、前記第２の階層でユーザを識別するための識別子と、の対応関係を記憶するマッピング情報記憶部と、
　前記各識別子を用いて、前記第１、第２の階層の双方においてフロー制御をできるよう管理するネットワーク管理部と、
　を備える請求項７の仮想ネットワーク管理装置。
　さらに、
　ユーザパケットに含まれる前記第１の階層でユーザを識別するための識別子に基づいて、前記第２の階層でユーザを識別するための識別子をヘッダに書き込む処理を経路上のスイッチに実行させるスイッチ制御部を含む請求項８の仮想ネットワーク管理装置。
　仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、を含む仮想ネットワークにおいて、
　前記第１の階層のネットワーク構成情報を用いて、第１のユーザから、前記第１の階層のネットワークに関する操作を受け付けるステップと、
　少なくとも前記第２の階層のネットワーク構成情報を用いて、第２のユーザから、前記第２の階層のネットワークに関する操作を受け付けるステップと、
　を含む仮想ネットワークの管理方法。
　仮想ネットワークの構成のうち、下位構成を隠蔽したい領域を所定のシンボルで表した第１の階層のネットワーク構成情報と、前記シンボルで表した領域を表した第２の階層のネットワーク構成情報と、を記憶するネットワーク構成記憶部と、を含む仮想ネットワークに配置されたコンピュータに、
　前記第１の階層のネットワーク構成情報を用いて、第１のユーザから、前記第１の階層のネットワークに関する操作を受け付ける処理と、
　少なくとも前記第２の階層のネットワーク構成情報を用いて、第２のユーザから、前記第２の階層のネットワークに関する操作を受け付ける処理と、
　を実行させるプログラム。