JP2019033475A - Virtual private network service provision system with diversified end-to-end isolation support - Google Patents

Virtual private network service provision system with diversified end-to-end isolation support Download PDF

Info

Publication number
JP2019033475A
JP2019033475A JP2018112571A JP2018112571A JP2019033475A JP 2019033475 A JP2019033475 A JP 2019033475A JP 2018112571 A JP2018112571 A JP 2018112571A JP 2018112571 A JP2018112571 A JP 2018112571A JP 2019033475 A JP2019033475 A JP 2019033475A
Authority
JP
Japan
Prior art keywords
virtual
network
traffic
private network
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018112571A
Other languages
Japanese (ja)
Other versions
JP6591621B2 (en
Inventor
▲ユ▼ 煌 朱
Yu-Huang Chu
▲ユ▼ 煌 朱
浩 然 徐
Hao-Jan Hsu
浩 然 徐
安 ▲ニ▼ 任
An Ni Ren
安 ▲ニ▼ 任
閔 棋 曾
Minqi Zeng
閔 棋 曾
景 豊 劉
Ching-Feng Liu
景 豊 劉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chunghwa Telecom Co Ltd
Original Assignee
Chunghwa Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chunghwa Telecom Co Ltd filed Critical Chunghwa Telecom Co Ltd
Publication of JP2019033475A publication Critical patent/JP2019033475A/en
Application granted granted Critical
Publication of JP6591621B2 publication Critical patent/JP6591621B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/252Store and forward routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To propose a virtual private network service provision system with diversified end-to-end network isolation support, in which end-to-end safety of an inter-enterprise virtual private network is effectively improved by utilizing virtualization of a network function and flexible provision of software-defined networking and the construction cost of the virtual private network is reduced.SOLUTION: In the present invention, by flexibly arranging a plurality of virtual routers mainly in one server, different types of traffics of an enterprise network or different local area network devices are isolated, and, even if one device or one system is hacked, other systems in an enterprise can be prevented from being hacked. In addition, the flexibility of network change and safety can be achieved by simplifying network management and control mechanism of a network access time by using a software-defined networking.SELECTED DRAWING: Figure 2

Description

技術分野
本発明は、仮想プライベートネットワークに関し、特に多様なアーキテクチャをサポートできる仮想プライベートネットワークサービス実装システムに関する。 TECHNICAL FIELD The present invention relates to a virtual private network, and more particularly to a virtual private network service implementation system that can support various architectures.

背景技術
仮想プライベートネットワーク(VPN:Virtual Private Network)とは、主に、トンネリング技術および暗号化/復号などのセキュリティ技術を用いて、公衆インターネット上に構築された安全なプライベートネットワークである。従来のプライベートネットワークに比べて、仮想プライベートネットワークは、専用回線を使用する必要なく、通信プロトコル技術を利用して安価でインターネット上で専用回線の安全性を得ることができる。また、仮想プライベートネットワークは、従来のプライベートネットワークよりも優れた拡張性および柔軟な応用性を備え、接続ポイントを便利且つ容易に拡張することができ、必要に応じて接続帯域幅を増やすことができ、既存のアーキテクチャを調整することなく既存の接続技術を使用することができるため、設備の投資コストを削減し、管理および維持をより簡単に行うことができるという利点を有する。 Background Art A virtual private network (VPN) is a secure private network built on the public Internet, mainly using tunneling technology and security technology such as encryption / decryption. Compared to the conventional private network, the virtual private network does not require the use of a dedicated line, and can obtain the safety of the dedicated line on the Internet at a low cost by using a communication protocol technique. Virtual private networks also have better scalability and flexible applicability than traditional private networks, allowing you to conveniently and easily expand connection points and increase connection bandwidth as needed. Since the existing connection technology can be used without adjusting the existing architecture, it has the advantage that the investment cost of the equipment can be reduced and management and maintenance can be performed more easily.

現行の仮想プライベートネットワークは、インターネットセキュリティプロトコル(IPSec:IP security protocol)、マルチプロトコルラベルスイッチング(MPLS:Multiprotocol Label Switching)、汎用ルーティングカプセル化(GRE:Generic Routing Encapsulation)、および動的マルチポイント仮想プライベートネットワーク(DMVPN:Dynamic Multipoint VPN)などの様々な技術を用いて、ポイントツーポイントまたはポイントツーマルチポイントの仮想プライベートネットワーク接続を達成することができる。しかしながら、現行の仮想プライベートネットワークは、主にインターネット上に企業専用のプライベートネットワークを構築することによって、企業内部のネットワーク(イントラネット)、上流業者および下流業者または関係会社間のネットワーク(エクストラネット)、国境なしのリモートアクセスを達成している。   Current virtual private networks include Internet security protocol (IPSEC), Multiprotocol Label Switching (MPLS), Generic Routing Encapsulation (GRE), and Dynamic Multipoint Virtual Private Network Various technologies such as (DMVPN: Dynamic Multipoint VPN) can be used to achieve point-to-point or point-to-multipoint virtual private network connectivity. However, the current virtual private network is mainly constructed by building a private network dedicated to the company on the Internet, so that the internal network (intranet), the network between upstream and downstream companies or affiliated companies (extranet), the border Has achieved no remote access.

2017年2月15日に公開された中国特許CN106411735は、「ルータ設置方法および装置」を記載している。当該特許に記載のルータ設置方法および装置は、ソフトウェア定義ネットワーク(SDN:Software-Defined Networking)に設けられたコントロールに適用される。当該方法は、コントローラを介して、テナントVPNインスタンスのルータターゲット(RT:Router Target)属性および外部VPNインスタンスのルーティングポリシーを構成することによって、ゲートウェイ装置に、ルーティングポリシーに従って異なる外部装置のルータにRT属性を設定させ、ルータのRT属性をテナントVPNインスタンスのRT属性とマッチングさせ、マッチングしたルータをテナントVPNインスタンスに追加させることによって、テナントのトラフィックを誘導して外部ネットワークに転送する。当該発明を用いて、ゲートウェイ装置上のルータを動的に更新することができる。   Chinese Patent CN106411735 published on February 15, 2017 describes "Router Installation Method and Device". The router installation method and apparatus described in the patent are applied to a control provided in a software-defined network (SDN). In the method, the router attributes (RT) attribute of the tenant VPN instance and the routing policy of the external VPN instance are configured via the controller, whereby the RT attribute is assigned to the gateway device and the router of a different external device according to the routing policy. Is set, the RT attribute of the router is matched with the RT attribute of the tenant VPN instance, and the matched router is added to the tenant VPN instance, so that the traffic of the tenant is induced and transferred to the external network. Using the present invention, the router on the gateway device can be dynamically updated.

しかしながら、現行の仮想プライベートネットワークは、以下の課題、具体的に、第一の課題、すなわち、仮想プライベートネットワークが広域ネットワーク(WAN:Wide Area Network)に広く使用されているが、仮想プライベートネットワークをWAN側から企業内部ローカルエリアネットワーク(LAN:Local Area Network)およびデータセンタに拡張する場合に、マルチポイントツーマルチポイントエンドツーエンドネットワーク隔離を実現すること、第二の課題、すなわち、全てのユーザのトラフィックが同一の回路に混合されているため、異なる種類のトラフィックを互いに隔離すること、および第三の課題、すなわち、時間管理に基づいた動的且つフレキシブル実装、アクセスおよび制御メカニズムをまだ解決していない。したがって、実際の応用上、先行技術は、依然として上記の課題を解決しなければならない。   However, the current virtual private network has the following problems, specifically, the first problem, that is, the virtual private network is widely used for a wide area network (WAN). To achieve multipoint-to-multipoint end-to-end network isolation when extending from the end to the enterprise internal local area network (LAN) and data center, the second challenge: all user traffic Are mixed in the same circuit, so that different types of traffic are segregated from each other, and the third challenge, dynamic and flexible implementation based on time management, access and control mechanism has not yet been solved . Therefore, for practical applications, the prior art still has to solve the above problems.

発明の概要
課題
したがって、本発明の目的は、多様なエンドツーエンドネットワーク隔離をサポートする仮想プライベートネットワーク(VPN)サービス実装システムを提供することにある。本発明のシステムは、ネットワーク機能の仮想化およびソフトウェア定義ネットワークを利用して、ネットワーク配置をフレキシブルに調整することによって、現行の仮想プライベートネットワークを広域ネットワークから企業内部ローカルエリアネットワークに拡張する。 Accordingly, it is an object of the present invention to provide a virtual private network (VPN) service implementation system that supports a variety of end-to-end network isolation. The system of the present invention extends the current virtual private network from a wide area network to an enterprise internal local area network by using network function virtualization and software-defined networks to flexibly adjust network placement.

本発明によって提供された高安全性のエンドツーエンドネットワーク隔離サービス実装は、異なる種類のトラフィックに従ってトラフィックを誘導することによって、現行の企業内部ローカルエリアネットワーク内の全てのトラフィックが同一の回線に混在され転送される問題およびルーティングテーブルを共有する場合の安全性問題を解決する。これによって、企業内に1つのシステムがハッキングされると、企業内の他のシステムに影響を及ぼすことを防ぐ。本発明は、時間管理ポリシーおよび不正使用防止に基づいたネットワークアクセス制御メカニズムを提案することによって、企業仮想プライベートネットワークの安全性をさらに強化し、仮想プライベートネットワークの構築、運用および維持のコストを削減する。   The highly secure end-to-end network isolation service implementation provided by the present invention directs traffic according to different types of traffic so that all traffic within the current enterprise internal local area network is mixed on the same line. Resolves issues with forwarding and safety issues when sharing routing tables. This prevents one system from being hacked in the enterprise from affecting other systems in the enterprise. The present invention further enhances the security of enterprise virtual private networks and reduces the cost of construction, operation and maintenance of virtual private networks by proposing network access control mechanisms based on time management policies and fraud prevention .

手段
上記目的を達成するために、本発明の多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、以下のアーキテクチャ、即ち、サーバに設けれた仮想化管理プラットフォーム、仮想ネットワーク制御モジュール、仮想ルータおよびネットワークコントローラと、物理スイッチまたは仮想スイッチとで構成される。仮想ルータは、ネットワーク機能の仮想化技術に基づいて、トラフィックのプロキシ処理を行う。ネットワークコントローラは、ソフトウェア定義ネットワーク技術に基づいて、仮想ルータの動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと、複数の仮想ローカルエリアネットワーク(Vlan)タグとの対応関係を確立する。仮想化管理プラットフォームは、仮想ルータのハードウェアおよびネットワークリソースを配置する。物理スイッチまたは仮想スイッチは、ネットワークコントローラからの命令を受信し、物理スイッチまたは仮想スイッチに入力されたフローエントリ情報に従って、トラフィックの転送を決定する。仮想ルータは、この対応関係に従って、物理スイッチまたは仮想スイッチを介して、異なるローカルエリアネットワークからの異なるトラフィックを対応する仮想プライベートネットワークに誘導する。 In order to achieve the above object, a VPN service implementation system that supports various end-to-end network isolation of the present invention has the following architecture: a virtualization management platform provided in a server, a virtual network control module, a virtual It consists of routers and network controllers, and physical switches or virtual switches. The virtual router performs traffic proxy processing based on the virtualization technology of the network function. The network controller dynamically assigns the operation of the virtual router based on the software-defined network technology, and the correspondence relationship between a plurality of virtual private networks and a plurality of local area networks, and a plurality of virtual local area network (Vlan) tags. Establish. The virtualization management platform places virtual router hardware and network resources. The physical switch or the virtual switch receives a command from the network controller, and determines the traffic forwarding according to the flow entry information input to the physical switch or the virtual switch. According to this correspondence, the virtual router directs different traffic from different local area networks to the corresponding virtual private network via the physical switch or the virtual switch.

効果
これにより、仮想化管理プラットフォームを介して、異なる種類のトラフィックに応じて複数の仮想ルータを配置し、エンドツーエンド仮想ネットワーク隔離を確立することによって、異なる種類のトラフィックの隔離を達成することができる。さらに、ネットワークコントローラは、物理または仮想スイッチを制御し、トラフィック転送ポリシーを決定すると共に、時間に基づいた動的且つフレキシブル実装管理メカニズムを提供することによって、効率良く且つ安全なネットワークアクセス制御を提供する。最後に、物理スイッチまたは仮想スイッチは、トラフィックパケットを転送し、トラフィックの宛先インターネットプロトコル(IP)アドレスおよび仮想ローカルエリアネットワークタグに従って、トラフィックを転送するためのルータを決定することによって、エンドツーエンド仮想ネットワークの安全隔離を実現すると共に、仮想プライベートネットワークの構築、運用および維持のコストを削減する。 Benefits This allows different types of traffic isolation to be achieved by deploying multiple virtual routers for different types of traffic and establishing end-to-end virtual network isolation through the virtualization management platform. it can. In addition, the network controller provides efficient and secure network access control by controlling physical or virtual switches, determining traffic forwarding policies, and providing a time-based dynamic and flexible implementation management mechanism. . Finally, the physical or virtual switch forwards the traffic packet and determines the router to forward the traffic according to the destination Internet Protocol (IP) address and the virtual local area network tag of the traffic, thereby determining the end-to-end virtual Realize secure network isolation and reduce the cost of building, operating and maintaining virtual private networks.

従来の仮想プライベートネットワークのアーキテクチャを示す図である。It is a figure which shows the architecture of the conventional virtual private network. 本発明の一実施形態に従った多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システムを示す図である。1 illustrates a virtual private network service implementation system that supports various end-to-end isolation according to an embodiment of the present invention. FIG. 本発明の一実施形態に従って、混合式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。FIG. 2 illustrates an implementation architecture applied to a mixed end-to-end isolated virtual private network according to one embodiment of the present invention. 本発明の一実施形態に従って、統一式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。FIG. 3 illustrates an implementation architecture applied to a unified end-to-end isolated virtual private network, in accordance with one embodiment of the present invention. 本発明の一実施形態に従って、整合式エンドツーエンド隔離仮想プライベートネットワークをサポートする実装アーキテクチャを示す図である。FIG. 2 illustrates an implementation architecture that supports a coordinated end-to-end isolated virtual private network in accordance with one embodiment of the present invention. 本発明の一実施形態に従ったエンドツーエンド仮想プライベートネットワークの隔離を示す概略図である。1 is a schematic diagram illustrating end-to-end virtual private network isolation according to an embodiment of the present invention. FIG.

詳細な説明
本発明は、多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムである。本発明は、費用対効果を有し、ネットワーク機能の仮想化およびソフトウェア定義ネットワークのフレキシブル実装に基づいてトラフィックを誘導し、マルチアーキテクチャのエンドツーエンドネットワークの安全隔離をサポートすることによって、企業のローカルエリアネットワーク、ワイドエリアネットワークおよびデータセンタ間の仮想プライベートネットワークのエンドツーエンド安全性を向上すると共に、仮想プライベートネットワークの構築、運用および維持のコストを削減する。 DETAILED DESCRIPTION The present invention is a VPN service implementation system that supports a variety of end-to-end network isolation. The present invention is cost-effective, directs traffic based on virtualization of network functions and flexible implementation of software-defined networks, and supports secure isolation of multi-architecture end-to-end networks. Improve end-to-end security of virtual private networks between area networks, wide area networks and data centers, and reduce the cost of construction, operation and maintenance of virtual private networks.

図1は、従来の仮想プライベートネットワークのアーキテクチャを示している。ローカルエリアネットワーク18は、ユーザ装置A14、ユーザ装置B15、ユーザ装置C16およびユーザ装置D17を含む。異なるユーザ装置は、異なる種類のトラフィックを生成する。これらのユーザ装置は、レイヤ2スイッチ13を介して相互接続される。また、ローカルエリアネットワーク18内のユーザ装置は、ゲートウェイZ12を含む物理ルータ11を介して、仮想プライベートネットワーク19を経由して企業の他のサブサイト内のユーザ装置に接続する。すなわち、全てのユーザ装置は、仮想プライベートネットワークを介して企業のリモートサイトに接続される。このアーキテクチャにおいて、異なる種類のトラフィックのシステムが同一のローカルエリアネットワーク内で互いに通信することができ、全てのトラフィックが混合して同一の回路に転送され、同一のルータのルーティングテーブルを共有するため、安全上の問題が存在し得る。企業内の1つのホストまたはシステムがハッキングされた場合、企業ネットワークにエンドツーエンド隔離を行っていないため、他のシステムもハッキングされる可能性があり、企業の重要な情報システムがハッキングされてしまう。   FIG. 1 shows a conventional virtual private network architecture. The local area network 18 includes a user device A14, a user device B15, a user device C16, and a user device D17. Different user equipments generate different types of traffic. These user apparatuses are interconnected via the layer 2 switch 13. In addition, user devices in the local area network 18 are connected to user devices in other subsites of the company via the virtual private network 19 via the physical router 11 including the gateway Z12. That is, all user devices are connected to a remote site of a company via a virtual private network. In this architecture, systems of different types of traffic can communicate with each other within the same local area network, all traffic is mixed and forwarded to the same circuit, and shares the same router routing table, There may be safety issues. If one host or system in the enterprise is hacked, there is no end-to-end isolation in the enterprise network, so other systems may also be hacked, leading to important information systems in the enterprise being hacked .

図2は、本発明の一実施形態に従った多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システムを示す図である。この仮想プライベートネットワークサービス実装システムは、サーバ27と、物理または仮想スイッチ26と、レイヤ2スイッチ13と、ユーザ装置28(例えば、携帯電話、デスクトップコンピュータ、ラップトップなど)とを含む。   FIG. 2 is a diagram illustrating a virtual private network service implementation system that supports various end-to-end isolation according to an embodiment of the present invention. The virtual private network service implementation system includes a server 27, a physical or virtual switch 26, a layer 2 switch 13, and a user device 28 (for example, a mobile phone, a desktop computer, a laptop, etc.).

物理サーバ27は、仮想ルータ21と、ネットワークコントローラ22と、時間管理モジュール23と、仮想ネットワーク制御モジュール24と、仮想化管理プラットフォーム25とを含む。サーバ27は、中央処理装置(CPU)、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、プログラム可能なコントローラなどを介して、これらの仮想要素、プラットフォームおよびソフトウェアモジュールを実行することができる。   The physical server 27 includes a virtual router 21, a network controller 22, a time management module 23, a virtual network control module 24, and a virtualization management platform 25. The server 27 can execute these virtual elements, platforms and software modules via a central processing unit (CPU), a microprocessor, a digital signal processor (DSP), a programmable controller, and the like.

仮想ルータ21は、オープンソースのネットワークオペレーティングシステムであり、物理サーバ(すなわち、サーバ27)または仮想マシンに実装される。本実施形態では、1台のサーバ27に複数の仮想マシンを実装することができ、各仮想マシンに仮想ルータ21を配置することができる。仮想ルータ21は、主に、汎用x86プラットフォーム上で、ネットワーク機能仮想化技術に基づいてトラフィックのプロキシ処理を行うことによって、物理ルータのネットワーク機能、例えば、ルーティング機能、ネットワークアドレス変換、ファイアウォールおよび仮想プライベートネットワーク機能を提供することができる。   The virtual router 21 is an open source network operating system and is implemented in a physical server (ie, server 27) or a virtual machine. In the present embodiment, a plurality of virtual machines can be mounted on one server 27, and the virtual router 21 can be arranged in each virtual machine. The virtual router 21 mainly performs traffic proxy processing based on network function virtualization technology on a general-purpose x86 platform, so that the network function of the physical router, for example, routing function, network address translation, firewall, and virtual private A network function can be provided.

ネットワークコントローラ22は、様々なオープンソースコントローラまたは商用コントローラをサポートするネットワークコントローラである。本発明の実施形態では、ネットワークコントローラ22は、物理サーバ(すなわち、サーバ27)または仮想マシンにインストールすることができる。ネットワークコントローラ22は、主に複数の通信プロトコルを介してネットワーク上の物理または仮想スイッチ26を制御すると共に、端末装置(例えば、ユーザ装置28)およびグループの管理、ネットワークトポロジーの管理、ネットワークアクセスポリシーの管理、トラフィックコンテンツの管理、トラフィック量の統計およびログ管理を行い、ソフトウェア定義ネットワーク技術に基づいて、仮想ルータ21の動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと複数の仮想ローカルエリアネットワーク(Vlan)タグとの対応関係を確立する。この対応関係は、各々の仮想プライベートネットワークおよび各々のローカルエリアネットワークが対応する仮想ローカルエリアネットワークタグを有することを意味する。   The network controller 22 is a network controller that supports various open source controllers or commercial controllers. In an embodiment of the invention, the network controller 22 can be installed on a physical server (ie, server 27) or a virtual machine. The network controller 22 controls the physical or virtual switch 26 on the network mainly through a plurality of communication protocols, and also manages terminal devices (for example, user devices 28) and groups, network topology management, and network access policies. Management, traffic content management, traffic volume statistics and log management, and dynamically assigning the operation of the virtual router 21 based on software-defined network technology, as well as multiple virtual private networks and multiple local area networks and multiple The correspondence relationship with the virtual local area network (Vlan) tag is established. This correspondence means that each virtual private network and each local area network has a corresponding virtual local area network tag.

仮想ネットワーク制御モジュール24は、様々な仮想化管理プラットフォーム25に広く適用することができ、主に仮想マシンと物理ネットワークとの間の接続および仮想マシン間の相互接続を確立するように機能する。時間管理モジュール23は、仮想ネットワーク制御モジュール24の時間管理設定を受信し、各ユーザ装置の合法なネットワーク接続時間を管理し、不正なインターネット接続時にユーザ装置28の送受信トラフィックをブロックする役割を果たす。仮想化管理プラットフォーム25は、主に汎用x86サーバ上に提供され、リソースの計算、ネットワークリソースおよびストレージリソースの仮想化およびリソースの割り当てを管理することによって、仮想ルータ22のハードウェアおよびネットワークリソースを構成するように機能する。   The virtual network control module 24 can be widely applied to various virtualization management platforms 25 and mainly functions to establish connections between virtual machines and physical networks and interconnections between virtual machines. The time management module 23 receives the time management setting of the virtual network control module 24, manages the legitimate network connection time of each user device, and plays a role of blocking the transmission / reception traffic of the user device 28 at the time of illegal Internet connection. The virtualization management platform 25 is mainly provided on a general-purpose x86 server, and configures hardware and network resources of the virtual router 22 by managing resource calculation, network resource and storage resource virtualization, and resource allocation. To function.

物理スイッチまたは仮想スイッチ26(仮想スイッチ26は、サーバ27または他のサーバに配置されてもよく、仮想マシンによって作動されてもよい)は、ネットワークコントローラ22からの命令を受信し、物理または仮想スイッチ26に入力されたフローエントリ情報(Flow Entries)に従ってトラフィックの転送を決定する役割を果たす。トラフィックの転送動作は、後続の実施形態で説明される。   A physical switch or virtual switch 26 (virtual switch 26 may be located on a server 27 or other server and may be operated by a virtual machine) receives instructions from the network controller 22 and receives the physical or virtual switch It plays a role of determining the forwarding of traffic according to the flow entry information (Flow Entries) input to 26. Traffic forwarding operations are described in subsequent embodiments.

本発明の実施形態の操作ステップを容易に理解するために、以下の複数の実施例を用いて、本発明の実施形態のトラフィックルーティングアーキテクチャを詳細に説明する。以下、図2の各構成要素およびモジュールをもって説明を行う。本発明の実施形態の各ステップは、実施要件に応じて調整することができ、これに限定されるものではない。   In order to easily understand the operational steps of an embodiment of the present invention, the traffic routing architecture of an embodiment of the present invention will be described in detail using the following examples. In the following, description will be made with each component and module of FIG. Each step of the embodiment of the present invention can be adjusted according to implementation requirements, and is not limited to this.

図3は、本発明の一実施形態に従って、混合式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。その目的は、物理ルータ11を保有すると共に、企業内部仮想ネットワークの設計および異なる種類のトラフィックの隔離需要に応じて、異なる仮想ルータ(例えば、仮想ルータX33および仮想ルータY34)をフレキシブルに実装することである。仮想ルータX33および仮想ルータY34は、仮想マシンにインストールすることができ、その機能は主に、ユーザ装置(ユーザ装置A14、ユーザ装置B15、ユーザ装置C16およびユーザ装置D17)から送信された異なるトラフィックのVlanタグに従って、異なる種類のトラフィックを隔離して仮想プライベートネットワーク19に誘導することによって、エンドツーエンド仮想ネットワーク隔離を実現する。上述した仮想ルータX33、仮想ルータY34、ネットワークコントローラ22、時間管理モジュール23、仮想ネットワーク制御モジュール24および仮想化管理プラットフォーム25は、1つのサーバ27に配置されている。   FIG. 3 is a diagram illustrating an implementation architecture applied to a mixed end-to-end isolated virtual private network according to one embodiment of the present invention. The purpose is to have a physical router 11 and to flexibly implement different virtual routers (for example, virtual router X33 and virtual router Y34) according to the design of the enterprise internal virtual network and the demand for isolating different types of traffic. It is. The virtual router X33 and the virtual router Y34 can be installed in a virtual machine, and their functions are mainly for different traffic transmitted from user devices (user device A14, user device B15, user device C16 and user device D17). End-to-end virtual network isolation is achieved by isolating different types of traffic and guiding them to the virtual private network 19 according to the Vlan tag. The virtual router X33, virtual router Y34, network controller 22, time management module 23, virtual network control module 24, and virtualization management platform 25 described above are arranged in one server 27.

異なる種類のシステム応用およびトラフィックに応じて、企業内部ネットワークを複数の仮想ローカルエリアネットワーク(すなわち、ローカルエリアネットワークA35、ローカルエリアネットワークB36およびローカルエリアネットワークC37)を分割することによって、異なる種類のトラフィックを互いに隔離することができる。例えば、ユーザ装置A14は、ローカルエリアネットワークA35に属し、ユーザ装置B15およびユーザ装置C16は、ローカルエリアネットワークB36に属し、ユーザ装置D17は、ローカルエリアネットワークC37に属する。ユーザ装置と仮想プライベートネットワークとの接続は、既存の物理ルータ11または仮想ルータX33、Y34を使用するようにフレキシブルに構成することができる。レイヤ2スイッチ13は、ユーザ装置のトラフィックコンテンツが属するローカルエリアネットワークに従って、異なるVlanタグを付けて(例えば、ユーザ装置A14のトラフィックコンテンツの場合、Vlan Aを付ける。以下同様)、物理または仮想スイッチ26に送信する。物理または仮想スイッチ26は、時間管理モジュール23の設定に従ってトラフィック情報(例えば、送信元IPアドレス(IP1〜IP4)および送信元メディアアクセス制御(MAC:Media Access Control)アドレス(MAC1〜MAC4))を検査することによって、対応するユーザ端末が特定の時間範囲内でネットワークにアクセスできるか否かを判断する。ネットワークにアクセスできる場合、物理または仮想スイッチ26は、トラフィックのVlanタグに従って、当該トラフィックを対応するゲートウェイZ12、ゲートウェイX31およびゲートウェイY32に送信する。ルーティングテーブルに記録されたルーティングメカニズムは、以下の例で説明する。   Depending on the different types of system applications and traffic, the enterprise internal network may be divided into multiple virtual local area networks (ie, local area network A35, local area network B36 and local area network C37) to provide different types of traffic. Can be isolated from each other. For example, the user device A14 belongs to the local area network A35, the user device B15 and the user device C16 belong to the local area network B36, and the user device D17 belongs to the local area network C37. The connection between the user device and the virtual private network can be flexibly configured to use the existing physical router 11 or the virtual routers X33 and Y34. The layer 2 switch 13 attaches a different Vlan tag according to the local area network to which the traffic content of the user device belongs (for example, in the case of the traffic content of the user device A14, attaches Vlan A. The same applies hereinafter), and the physical or virtual switch 26 Send to. The physical or virtual switch 26 inspects traffic information (for example, source IP address (IP1 to IP4) and source media access control (MAC) address (MAC1 to MAC4)) according to the setting of the time management module 23. By doing so, it is determined whether or not the corresponding user terminal can access the network within a specific time range. When the network can be accessed, the physical or virtual switch 26 transmits the traffic to the corresponding gateway Z12, gateway X31, and gateway Y32 according to the Vlan tag of the traffic. The routing mechanism recorded in the routing table is illustrated in the following example.

例えば、ユーザ装置A14から送信されたVlan Aのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、ゲートウェイZ12が配置されている物理ルータ11に誘導され、物理ルータ11は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Dを用いて、Vlan Aのトラフィックを仮想プライベートネットワーク19に送信する。ユーザ装置B15およびユーザ装置C16から送信されたVlan Bのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、仮想ゲートウェイX31が配置されている仮想ルータX33に誘導され、仮想ルータX33は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Eを用いて、Vlan Bのトラフィックを仮想プライベートネットワーク19に送信する。同様に、ユーザ装置D17から送信されたVlan Cのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、仮想ゲートウェイY32が配置されている仮想ルータY34に誘導され、仮想ルータY34は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Fを用いて、Vlan Cのトラフィックを仮想プライベートネットワーク19に送信する。   For example, the traffic of Vlan A transmitted from the user apparatus A14 is guided to the physical router 11 in which the gateway Z12 is arranged via the layer 2 switch 13 and the physical or virtual switch 26, and the physical router 11 Route to physical or virtual switch 26. The physical or virtual switch 26 transmits the traffic of Vlan A to the virtual private network 19 using Vlan D according to the Vlan tag of the received traffic. The traffic of Vlan B transmitted from the user device B15 and the user device C16 is guided to the virtual router X33 in which the virtual gateway X31 is arranged via the layer 2 switch 13 and the physical or virtual switch 26, and the virtual router X33 is , Route traffic to physical or virtual switch 26. The physical or virtual switch 26 transmits Vlan B traffic to the virtual private network 19 using Vlan E according to the received traffic Vlan tag. Similarly, the traffic of Vlan C transmitted from the user apparatus D17 is guided to the virtual router Y34 in which the virtual gateway Y32 is arranged via the layer 2 switch 13 and the physical or virtual switch 26, and the virtual router Y34 Route traffic to physical or virtual switch 26. The physical or virtual switch 26 transmits the traffic of Vlan C to the virtual private network 19 using Vlan F according to the Vlan tag of the received traffic.

同様に、仮想プライベートネットワーク19からユーザ装置A14に送信されるトラフィックは、物理または仮想スイッチ26を介して物理ルータ11に誘導され、物理ルータ11は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、トラフィックの宛先IPアドレスに従って、レイヤ2スイッチ13を介してトラフィックをユーザ装置A14に送信する。仮想プライベートネットワーク19からユーザ装置B15またはユーザ装置C16に送信されるトラフィックは、物理または仮想スイッチ26を介して仮想ルータX33に誘導され、仮想ルータX33は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、トラフィックの宛先IPアドレスに従って、レイヤ2スイッチ13を介してトラフィックをユーザ装置B15またはユーザ装置C16に送信する。仮想プライベートネットワーク19からユーザ装置D17に送信されるトラフィックは、仮想ルータY34によってルーティングされる。上述したように、異なるVlanのトラフィックに異なる物理または仮想ルータおよび異なるルーティングテーブルを使用することによって、ルーティングテーブルの物理隔離およびエンドツーエンド仮想ネットワーク隔離を実現することができる。   Similarly, traffic transmitted from the virtual private network 19 to the user apparatus A 14 is guided to the physical router 11 via the physical or virtual switch 26, and the physical router 11 routes the traffic to the physical or virtual switch 26. The physical or virtual switch 26 transmits traffic to the user apparatus A14 via the layer 2 switch 13 according to the traffic destination IP address. The traffic transmitted from the virtual private network 19 to the user device B15 or the user device C16 is guided to the virtual router X33 via the physical or virtual switch 26, and the virtual router X33 routes the traffic to the physical or virtual switch 26. The physical or virtual switch 26 transmits the traffic to the user device B15 or the user device C16 via the layer 2 switch 13 according to the destination IP address of the traffic. Traffic transmitted from the virtual private network 19 to the user device D17 is routed by the virtual router Y34. As mentioned above, physical isolation of the routing table and end-to-end virtual network isolation can be achieved by using different physical or virtual routers and different routing tables for different Vlan traffic.

図4は、本発明の一実施形態に従って、統一式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。図3とは異なり、本実施形態は、仮想ルータZ41を用いて、図3の物理ルータ11を置換したことである。仮想ルータZ41は、同様のゲートウェイZ12をユーザ装置A14のゲートウェイとして設定することによって、ユーザ装置A14がゲートウェイのIPアドレスを変更する必要を無くし、物理ルータを仮想ルータにシームレスに変換するアーキテクチャを提供し、物理ルータの購入および保守のコストを効果的に削減することができる。このアーキテクチャは、仮想ルータZ41を用いて物理ルータ11を置換し、物理または仮想スイッチ26を用いてトラフィックパケットの仮想ローカルエリアネットワークタグを検査することによって、トラフィックのルーティング経路を決定する。例えば、Vlan Aのトラフィックは、仮想ルータZ41に誘導され、Vlan Bのトラフィックは、仮想ルータX33に誘導され、Vlan Cのトラフィックは、仮想ルータY34に誘導される。なお、1台または複数台のサーバ27内の異なる仮想マシンに異なる仮想ルータを配置し、異なるトラフィックに異なるルーティングテーブルを与えることによって、エンドツーエンドネットワーク隔離仮想プライベートネットワークサービスを達成することができる。   FIG. 4 is a diagram illustrating an implementation architecture applied to a unified end-to-end isolated virtual private network in accordance with one embodiment of the present invention. Unlike FIG. 3, the present embodiment is that the virtual router Z41 is used to replace the physical router 11 of FIG. The virtual router Z41 provides an architecture for seamlessly converting a physical router into a virtual router by setting the same gateway Z12 as the gateway of the user device A14, thereby eliminating the need for the user device A14 to change the IP address of the gateway. The cost of purchasing and maintaining physical routers can be effectively reduced. This architecture determines the traffic routing path by replacing the physical router 11 with the virtual router Z41 and inspecting the virtual local area network tag of the traffic packet with the physical or virtual switch 26. For example, the traffic of Vlan A is guided to the virtual router Z41, the traffic of Vlan B is guided to the virtual router X33, and the traffic of Vlan C is guided to the virtual router Y34. In addition, an end-to-end network isolation virtual private network service can be achieved by arranging different virtual routers in different virtual machines in one or a plurality of servers 27 and providing different routing tables for different traffic.

図5に示すように、本発明は、配置モードを簡素化するために、整合式エンドツーエンド隔離仮想プライベートネットワークをサポートする実装アーキテクチャを提供することもできる。図4とは異なり、この実施形態では、物理または仮想スイッチ26がサーバ27に収容されている。本発明の実施形態を中小規模のソフトウェア定義ネットワークに適用することによって、エンドツーエンド隔離の仮想プライベートネットワークを提供することができる。従来のアーキテクチャの場合、1つまたは複数の物理または仮想スイッチを追加的に配置する必要がある。これによって、多くのハードウェアリソースが消費され、パケット伝送の遅延時間が長くなる。本発明の実施形態は、物理または仮想スイッチ26、ネットワークコントローラ22、および仮想ルータ33、34および41を1台のサーバ27に配置することによって、ネットワークアーキテクチャを簡素化する。これによって、内部ネットワークの異なるネットワークセグメントを隔離する設計を保有すると共に、ネットワーク要素の導入コストを大幅に削減し、従来の物理または仮想スイッチ26とサーバ27との間の帯域幅の消費およびネットワーク待ち時間を低減し、サービス実装の柔軟性および移植性を向上させる。従来のアーキテクチャに比べて、本発明の実施形態に係るシステムは、ハードウェアリソースの使用を著しく低減すると共に、調達資本支出(CAPEX)および運用保守費用(OPEX)を減らすことができる。ネットワーク構成が変更された場合、本発明は、ネットワークコントローラを介して、フレキシブルに管理および実装を行うことができ、これにより、実装の柔軟性を増やす。   As shown in FIG. 5, the present invention may also provide an implementation architecture that supports a matched end-to-end isolated virtual private network to simplify deployment modes. Unlike FIG. 4, in this embodiment, the physical or virtual switch 26 is accommodated in the server 27. By applying the embodiment of the present invention to a small and medium-sized software-defined network, an end-to-end isolated virtual private network can be provided. For conventional architectures, one or more physical or virtual switches need to be additionally placed. This consumes a lot of hardware resources and increases the packet transmission delay time. Embodiments of the present invention simplify the network architecture by placing physical or virtual switch 26, network controller 22, and virtual routers 33, 34 and 41 on a single server 27. This possesses a design that isolates different network segments of the internal network, while significantly reducing the cost of introducing network elements, bandwidth consumption and network latency between the traditional physical or virtual switch 26 and server 27. Reduce time and improve service implementation flexibility and portability. Compared to the conventional architecture, the system according to the embodiment of the present invention can significantly reduce the use of hardware resources, and reduce capital expenditure (CAPEX) and operation and maintenance costs (OPEX). When the network configuration is changed, the present invention can be flexibly managed and implemented via the network controller, thereby increasing the implementation flexibility.

図6のエンドツーエンド仮想プライベートネットワークの隔離を示す概略図を参照して、本発明によって提供された3種類のフレキシブルに構築可能なエンドツーエンドネットワーク隔離仮想プライベートネットワークアーキテクチャが企業の異なるサイト(例えば、オフィス1のサイトとオフィス2のサイトまたはデータセンタのエンドツーエンド仮想プライベートネットワーク全体との)間における実際の隔離操作をより理解することができる。企業は、高品質且つ高安全性のMPLS VPNを用いて、2つのサイトを企業の外部ネットワークに接続することができ、安価なインターネットブロードバンドを介して回線に接続することもできる。本発明の実施形態によって提供された単一の物理サーバ上で複数の仮想ルータを実行することによって、異なる仮想プライベートネットワークに各々独立したルーティングテーブルを与えると共に、ネットワークコントローラ22の迅速且つ柔軟な実装変更機能を使用することによって、元々広域ネットワークVPNに使用される隔離方法を企業内部ローカルエリアネットワークとデータセンタとの間に拡張することができ、完全なエンドツーエンド隔離の分離仮想プライベートネットワークサービス実装システムを実現する。   Referring to the schematic diagram illustrating the isolation of an end-to-end virtual private network in FIG. 6, the three types of flexibly configurable end-to-end network isolation virtual private network architecture provided by the present invention are different for different sites (eg, The actual isolation operation between the office 1 site and the office 2 site or the entire end-to-end virtual private network of the data center can be better understood. A company can connect two sites to the company's external network using a high-quality and high-security MPLS VPN, and can also connect to a line via inexpensive Internet broadband. By running multiple virtual routers on a single physical server provided by an embodiment of the present invention, each virtual private network is provided with an independent routing table and a quick and flexible implementation change of the network controller 22 By using the functions, the isolation method originally used for wide area network VPN can be extended between the enterprise internal local area network and the data center, and a complete end-to-end isolated virtual private network service implementation system Is realized.

特長および効果
従来の技術に比べて、本発明の実施形態に係る多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、以下の利点を有する。 Features and Effects The VPN service implementation system that supports various end-to-end network isolation according to the embodiment of the present invention has the following advantages compared to the prior art.

本発明の実施形態に係る多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、費用対効果を有し、エンドツーエンド仮想プライベートネットワーク隔離に基づいたフレキシブル実装サービスシステムであって、企業内部ネットワーク、外部ネットワークおよびデータセンタに異なる種類のトラフィックを提供することによって、エンドツーエンド隔離を実現する。ネットワーク使用管理メカニズムを採用して、企業ネットワークアクセス時間の管理および不正利用のブロックを提供することによって、本発明の実施形態は、異なる需要にフレキシブルに応じて、多様なアーキテクチャを提供し、動的管理およびフレキシブル実装を行うことができるため、CAPEXおよびOPEXを大幅低減することができる。   A VPN service implementation system supporting various end-to-end network isolation according to an embodiment of the present invention is a cost-effective and flexible implementation service system based on end-to-end virtual private network isolation. Provides end-to-end isolation by providing different types of traffic to the network, external network and data center. By employing a network usage management mechanism to provide enterprise network access time management and fraud block, embodiments of the present invention provide a variety of architectures, flexibly responding to different demands, and dynamically Since management and flexible mounting can be performed, CAPEX and OPEX can be greatly reduced.

従来のアーキテクチャに比べて、本発明の実施形態のシステムは、従来のWAN側から、仮想プライベートネットワークを企業LANおよびデータセンタに拡張することができ、仮想プライベートネットワークのエンドツーエンド隔離安全性を向上させる。   Compared with the conventional architecture, the system of the embodiment of the present invention can extend the virtual private network to the corporate LAN and data center from the conventional WAN side, improving the end-to-end isolation security of the virtual private network Let

本発明の実施形態のシステムは、1つのサーバに複数の仮想ルータをフレキシブルに配置することをサポートし、異なる種類のトラフィックに応じて個別のルーティングテーブルを提供することによって、トラフィックの安全隔離を達成する。   The system of the embodiment of the present invention supports the flexible placement of a plurality of virtual routers on one server, and achieves safe traffic isolation by providing separate routing tables for different types of traffic. To do.

ネットワーク構成が変更する場合、本発明の実施形態は、ネットワークコントローラを介して、フレキシブルに管理および実装を行うことができ、これにより、本発明のシステムは、従来のアーキテクチャに比べて、実装の移植性および柔軟性を増やす。   When the network configuration changes, embodiments of the present invention can be flexibly managed and implemented via a network controller, which makes the system of the present invention more portable than implementations of conventional architectures. Increases sexuality and flexibility.

本発明によって提案された多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、企業ネットワークの応用需要に従って、物理ネットワーク要素の配置およびリソースの使用をフレキシブルに低減すると共に、CAPEXおよびOPEXを減らすことができる。   The VPN service implementation system supporting various end-to-end network isolation proposed by the present invention flexibly reduces physical network element placement and resource usage, and reduces CAPEX and OPEX according to enterprise network application demand. be able to.

上記の実施形態を用いて本発明を開示したが、これらの実施形態は、本発明を限定するものではない。当該技術分野における通常の知識を有する者は、本発明の精神および範囲から逸脱することなく、様々な修正および変形を行うことができる。したがって、本発明の保護範囲は、添付の特許範囲によって定義される。   Although the present invention has been disclosed using the above embodiments, these embodiments are not intended to limit the present invention. Those having ordinary skill in the art can make various modifications and variations without departing from the spirit and scope of the present invention. Therefore, the protection scope of the present invention is defined by the appended patent scope.

産業上の利用性
多様なアーキテクチャをサポートする仮想プライベートネットワークサービス実装システムは、電気通信産業によるユーザの管理に適用することができる。 Industrial Applicability A virtual private network service implementation system that supports various architectures can be applied to user management by the telecommunications industry.

11 物理ルータ、12 ゲートウェイZ、13 レイヤ2スイッチ、14 ユーザ装置A、15 ユーザ装置B、16 ユーザ装置C、17 ユーザ装置D、18 ローカルエリアネットワーク、19 仮想プライベートネットワーク、21 仮想ルータ、22 ネットワークコントローラ、23 時間管理モジュール、24 仮想ネットワーク制御モジュール、25 仮想化管理プラットフォーム、26 物理または仮想スイッチ、27 サーバ、28 ユーザ装置、31 ゲートウェイX、32 ゲートウェイY、33 仮想ルータX、34 仮想ルータY、35 ローカルエリアネットワークA、36 ローカルエリアネットワークB、37 ローカルエリアネットワークC、41 仮想ルータZ。   DESCRIPTION OF SYMBOLS 11 Physical router, 12 Gateway Z, 13 Layer 2 switch, 14 User apparatus A, 15 User apparatus B, 16 User apparatus C, 17 User apparatus D, 18 Local area network, 19 Virtual private network, 21 Virtual router, 22 Network controller , 23 Time management module, 24 Virtual network control module, 25 Virtualization management platform, 26 Physical or virtual switch, 27 Server, 28 User device, 31 Gateway X, 32 Gateway Y, 33 Virtual router X, 34 Virtual router Y, 35 Local area network A, 36 Local area network B, 37 Local area network C, 41 Virtual router Z.

Claims (9)

多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システムであって、
サーバを備え、
前記サーバは、
ネットワーク機能の仮想化技術に基づいて、トラフィックのプロキシ処理を行うように構成された少なくとも1つの仮想ルータと、
ソフトウェア定義ネットワーク技術に基づいて、前記仮想ルータの動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと、複数の仮想ローカルエリアネットワークタグとの対応関係を確立するように構成されたネットワークコントローラと、
前記仮想ルータのハードウェアおよびネットワークリソースを配置するように構成された仮想化管理プラットフォームとを含み、
物理スイッチまたは仮想スイッチを備え、
前記物理スイッチまたは前記仮想スイッチは、前記ネットワークコントローラからの命令を受信し、前記物理スイッチまたは前記仮想スイッチに入力されたフローエントリ情報に従って、トラフィックの転送を決定し、
前記仮想ルータは、前記対応関係に従って、前記物理スイッチまたは前記仮想スイッチを介して、異なる前記ローカルエリアネットワークからの異なるトラフィックを対応する前記仮想プライベートネットワークに誘導する、多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。 Virtual private network service implementation system that supports various end-to-end isolation,
With a server,
The server
At least one virtual router configured to proxy traffic based on network function virtualization technology;
Based on software-defined network technology, the operation of the virtual router is dynamically allocated, and a correspondence relationship between a plurality of virtual private networks and a plurality of local area networks and a plurality of virtual local area network tags is established. Network controller
A virtualization management platform configured to locate hardware and network resources of the virtual router;
With physical or virtual switches,
The physical switch or the virtual switch receives an instruction from the network controller, determines traffic forwarding according to the flow entry information input to the physical switch or the virtual switch,
The virtual router supports various end-to-end isolations that direct different traffic from different local area networks to the corresponding virtual private network via the physical switch or the virtual switch according to the correspondence. Virtual private network service implementation system. 前記対応関係は、各々の前記仮想プライベートネットワークおよび各々の前記ローカルエリアネットワークが対応する前記仮想ローカルエリアネットワークタグを有することを意味する、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。   The virtual corresponding to various end-to-end isolation according to claim 1, wherein the correspondence relationship means that each virtual private network and each local area network has a corresponding virtual local area network tag. Private network service implementation system. 前記仮想ルータは、異なるトラフィックの宛先インターネットプロトコルアドレスに対応する前記仮想ローカルエリアネットワークタグに従って、前記トラフィックを対応する前記ローカルエリアネットワーク内のユーザ装置に送信する、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。   The various virtual end-to-end of claim 1, wherein the virtual router transmits the traffic to a user equipment in the corresponding local area network according to the virtual local area network tag corresponding to a destination internet protocol address of a different traffic. Virtual private network service implementation system that supports end isolation. 前記物理スイッチまたは前記仮想スイッチは、前記トラフィックの仮想ローカルエリアネットワークタグを検査して、前記トラフィックを対応する前記仮想ルータに誘導する、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。   The virtual switch supporting various end-to-end isolation according to claim 1, wherein the physical switch or the virtual switch inspects a virtual local area network tag of the traffic and directs the traffic to the corresponding virtual router. Private network service implementation system. 前記物理スイッチまたは前記仮想スイッチは、前記サーバに配置される、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。   The virtual private network service implementation system supporting various end-to-end isolation according to claim 1, wherein the physical switch or the virtual switch is arranged in the server. 前記サーバには、複数の仮想マシンが実装され、
前記仮想ルータは、各仮想マシンに配置される、請求項4に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。 A plurality of virtual machines are mounted on the server,
The virtual private network service implementation system for supporting various end-to-end isolation according to claim 4, wherein the virtual router is arranged in each virtual machine. 前記仮想ルータは、複数のユーザ装置から送信された異なるトラフィックの仮想ローカルエリアネットワークタグに従って、異なる種類のトラフィックを隔離し、対応する前記仮想プライベートネットワークに誘導することによって、エンドツーエンド仮想ネットワーク隔離を実現する、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。   The virtual router performs end-to-end virtual network isolation by isolating different types of traffic according to virtual local area network tags of different traffic transmitted from a plurality of user devices and directing them to the corresponding virtual private network. A virtual private network service implementation system that supports various end-to-end isolations according to claim 1, realized. 前記仮想ルータを用いて物理ルータを置換し、前記仮想ルータが同様のゲートウェイを設定することによって、複数のユーザ装置が前記ゲートウェイのインターネットプロトコルアドレスを変更する必要を無くし、異なる前記仮想ルータを前記サーバ内の異なる前記仮想マシンに配置し、異なるトラフィックに異なるルーティングテーブルを与えることによって、エンドツーエンド隔離の仮想プライベートネットワークサービスを実現する、請求項4に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。   By replacing the physical router by using the virtual router and setting the same gateway by the virtual router, there is no need for a plurality of user devices to change the Internet protocol address of the gateway, and the different virtual router is changed to the server. 5. A virtual supporting multi-end-to-end isolation as claimed in claim 4, wherein a virtual private network service of end-to-end isolation is realized by placing different virtual machines in a different virtual machine and providing different routing tables for different traffic. Private network service implementation system. 前記サーバは、さらに
仮想ネットワーク制御モジュールを含み、前記仮想ネットワーク制御モジュールは、前記複数の仮想マシンと物理ネットワークとの接続および前記仮想マシン間の相互接続を確立するように機能し、前記仮想ルータは、前記仮想マシンの各々に配置され、
時間管理モジュールを含み、前記時間管理モジュールは、前記仮想ネットワーク制御モジュールの時間管理設定を受信し、複数のユーザ装置の合法なネットワーク接続時間を管理し、不正なインターネット接続時に前記ユーザ装置の送受信トラフィックをブロックするように構成され、
前記物理スイッチまたは前記仮想スイッチは、前記時間管理モジュールの設定に従って、トラフィック情報を検査することによって、前記ユーザ装置が時間範囲内でネットワークにアクセスできるか否かを判断し、前記トラフィック検査情報の設定は、前記時間管理設定に基づいている、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。 The server further includes a virtual network control module, and the virtual network control module functions to establish a connection between the plurality of virtual machines and a physical network and an interconnection between the virtual machines, and the virtual router includes , Located in each of the virtual machines,
A time management module, the time management module receives time management settings of the virtual network control module, manages legal network connection times of a plurality of user devices, and transmits / receives traffic of the user devices when an illegal Internet connection is established Configured to block
The physical switch or the virtual switch determines whether the user apparatus can access the network within a time range by inspecting traffic information according to the setting of the time management module, and sets the traffic inspection information The virtual private network service implementation system supporting various end-to-end isolations according to claim 1, wherein the system is based on the time management setting.
JP2018112571A 2017-08-04 2018-06-13 Virtual private network service implementation system that supports various end-to-end isolation Active JP6591621B2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW106126451A TWI630488B (en) 2017-08-04 2017-08-04 Vpn service provision system with diversified end-to-end network isolation support
TW106126451 2017-08-04

Publications (2)

Publication Number Publication Date
JP2019033475A true JP2019033475A (en) 2019-02-28
JP6591621B2 JP6591621B2 (en) 2019-10-16

Family

ID=63640423

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018112571A Active JP6591621B2 (en) 2017-08-04 2018-06-13 Virtual private network service implementation system that supports various end-to-end isolation

Country Status (3)

Country Link
JP (1) JP6591621B2 (en)
CN (1) CN109391533B (en)
TW (1) TWI630488B (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822149A (en) * 2020-08-17 2021-05-18 北京辰信领创信息技术有限公司 Terminal access control design based on intelligent router physical port, MAC and IP
CN113395318A (en) * 2021-03-17 2021-09-14 河海大学 SDN-based power grid data center network architecture and configuration method
CN114070622A (en) * 2021-11-16 2022-02-18 北京宏达隆和科技有限公司 Micro-isolation system based on network port security
CN114143795A (en) * 2021-12-14 2022-03-04 天翼物联科技有限公司 Local area network networking method and system based on 5G network

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI692956B (en) * 2019-03-04 2020-05-01 中華電信股份有限公司 Ipv6 accessing management system based on software defined network and method thereof
CN110336758B (en) * 2019-05-28 2022-10-28 厦门网宿有限公司 Data distribution method in virtual router and virtual router

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015100329A1 (en) * 2013-12-27 2015-07-02 Big Switch Networks, Inc. Systems and methods for performing network service insertion
JP2016509412A (en) * 2013-01-11 2016-03-24 華為技術有限公司Huawei Technologies Co.,Ltd. Network function virtualization for network devices
WO2016139910A1 (en) * 2015-03-02 2016-09-09 日本電気株式会社 Communication system, communication method, and non-transitory computer readable medium storing program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8893009B2 (en) * 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
US8239572B1 (en) * 2010-06-30 2012-08-07 Amazon Technologies, Inc. Custom routing decisions
US8935786B2 (en) * 2012-05-01 2015-01-13 Harris Corporation Systems and methods for dynamically changing network states
EP3066581B1 (en) * 2013-11-04 2019-06-26 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
US9756015B2 (en) * 2015-03-27 2017-09-05 International Business Machines Corporation Creating network isolation between virtual machines

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016509412A (en) * 2013-01-11 2016-03-24 華為技術有限公司Huawei Technologies Co.,Ltd. Network function virtualization for network devices
WO2015100329A1 (en) * 2013-12-27 2015-07-02 Big Switch Networks, Inc. Systems and methods for performing network service insertion
WO2016139910A1 (en) * 2015-03-02 2016-09-09 日本電気株式会社 Communication system, communication method, and non-transitory computer readable medium storing program

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822149A (en) * 2020-08-17 2021-05-18 北京辰信领创信息技术有限公司 Terminal access control design based on intelligent router physical port, MAC and IP
CN113395318A (en) * 2021-03-17 2021-09-14 河海大学 SDN-based power grid data center network architecture and configuration method
CN114070622A (en) * 2021-11-16 2022-02-18 北京宏达隆和科技有限公司 Micro-isolation system based on network port security
CN114070622B (en) * 2021-11-16 2024-02-09 北京宏达隆和科技有限公司 Micro-isolation system based on network port security
CN114143795A (en) * 2021-12-14 2022-03-04 天翼物联科技有限公司 Local area network networking method and system based on 5G network
CN114143795B (en) * 2021-12-14 2024-01-30 天翼物联科技有限公司 Local area network networking method and system based on 5G network

Also Published As

Publication number Publication date
JP6591621B2 (en) 2019-10-16
TW201911068A (en) 2019-03-16
CN109391533B (en) 2021-04-13
CN109391533A (en) 2019-02-26
TWI630488B (en) 2018-07-21

Similar Documents

Publication Publication Date Title
JP6591621B2 (en) Virtual private network service implementation system that supports various end-to-end isolation
JP7483074B2 (en) Method and apparatus for implementing and managing a virtual switch - Patents.com
US11646964B2 (en) System, apparatus and method for providing a virtual network edge and overlay with virtual control plane
US20200099659A1 (en) Network Architecture for Cloud Computing Environments
US8380819B2 (en) Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network
CA3005641A1 (en) System, apparatus and method for providing a virtual network edge and overlay with virtual control plane
Ashraf et al. Analyzing challenging aspects of IPv6 over IPv4
KR20180104377A (en) Method for inter-cloud virtual networking over packet optical transport network
CN115941577A (en) Automatic Policy Configuration for Packet Flows
Ranjbar et al. Domain isolation in a multi-tenant software-defined network
CA2912643A1 (en) System, apparatus and method for providing a virtual network edge and overlay with virtual control plane
Gu et al. Enhancing Security and Scalability in Software Defined LTE Core Networks
AU2017202823B2 (en) Method and apparatus for implementing and managing virtual switches

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180613

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190528

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190806

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190827

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190918

R150 Certificate of patent or registration of utility model

Ref document number: 6591621

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250