JP2019033475A - Virtual private network service provision system with diversified end-to-end isolation support - Google Patents
Virtual private network service provision system with diversified end-to-end isolation support Download PDFInfo
- Publication number
- JP2019033475A JP2019033475A JP2018112571A JP2018112571A JP2019033475A JP 2019033475 A JP2019033475 A JP 2019033475A JP 2018112571 A JP2018112571 A JP 2018112571A JP 2018112571 A JP2018112571 A JP 2018112571A JP 2019033475 A JP2019033475 A JP 2019033475A
- Authority
- JP
- Japan
- Prior art keywords
- virtual
- network
- traffic
- private network
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/252—Store and forward routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
技術分野
本発明は、仮想プライベートネットワークに関し、特に多様なアーキテクチャをサポートできる仮想プライベートネットワークサービス実装システムに関する。
TECHNICAL FIELD The present invention relates to a virtual private network, and more particularly to a virtual private network service implementation system that can support various architectures.
背景技術
仮想プライベートネットワーク(VPN:Virtual Private Network)とは、主に、トンネリング技術および暗号化/復号などのセキュリティ技術を用いて、公衆インターネット上に構築された安全なプライベートネットワークである。従来のプライベートネットワークに比べて、仮想プライベートネットワークは、専用回線を使用する必要なく、通信プロトコル技術を利用して安価でインターネット上で専用回線の安全性を得ることができる。また、仮想プライベートネットワークは、従来のプライベートネットワークよりも優れた拡張性および柔軟な応用性を備え、接続ポイントを便利且つ容易に拡張することができ、必要に応じて接続帯域幅を増やすことができ、既存のアーキテクチャを調整することなく既存の接続技術を使用することができるため、設備の投資コストを削減し、管理および維持をより簡単に行うことができるという利点を有する。
Background Art A virtual private network (VPN) is a secure private network built on the public Internet, mainly using tunneling technology and security technology such as encryption / decryption. Compared to the conventional private network, the virtual private network does not require the use of a dedicated line, and can obtain the safety of the dedicated line on the Internet at a low cost by using a communication protocol technique. Virtual private networks also have better scalability and flexible applicability than traditional private networks, allowing you to conveniently and easily expand connection points and increase connection bandwidth as needed. Since the existing connection technology can be used without adjusting the existing architecture, it has the advantage that the investment cost of the equipment can be reduced and management and maintenance can be performed more easily.
現行の仮想プライベートネットワークは、インターネットセキュリティプロトコル(IPSec:IP security protocol)、マルチプロトコルラベルスイッチング(MPLS:Multiprotocol Label Switching)、汎用ルーティングカプセル化(GRE:Generic Routing Encapsulation)、および動的マルチポイント仮想プライベートネットワーク(DMVPN:Dynamic Multipoint VPN)などの様々な技術を用いて、ポイントツーポイントまたはポイントツーマルチポイントの仮想プライベートネットワーク接続を達成することができる。しかしながら、現行の仮想プライベートネットワークは、主にインターネット上に企業専用のプライベートネットワークを構築することによって、企業内部のネットワーク(イントラネット)、上流業者および下流業者または関係会社間のネットワーク(エクストラネット)、国境なしのリモートアクセスを達成している。 Current virtual private networks include Internet security protocol (IPSEC), Multiprotocol Label Switching (MPLS), Generic Routing Encapsulation (GRE), and Dynamic Multipoint Virtual Private Network Various technologies such as (DMVPN: Dynamic Multipoint VPN) can be used to achieve point-to-point or point-to-multipoint virtual private network connectivity. However, the current virtual private network is mainly constructed by building a private network dedicated to the company on the Internet, so that the internal network (intranet), the network between upstream and downstream companies or affiliated companies (extranet), the border Has achieved no remote access.
2017年2月15日に公開された中国特許CN106411735は、「ルータ設置方法および装置」を記載している。当該特許に記載のルータ設置方法および装置は、ソフトウェア定義ネットワーク(SDN:Software-Defined Networking)に設けられたコントロールに適用される。当該方法は、コントローラを介して、テナントVPNインスタンスのルータターゲット(RT:Router Target)属性および外部VPNインスタンスのルーティングポリシーを構成することによって、ゲートウェイ装置に、ルーティングポリシーに従って異なる外部装置のルータにRT属性を設定させ、ルータのRT属性をテナントVPNインスタンスのRT属性とマッチングさせ、マッチングしたルータをテナントVPNインスタンスに追加させることによって、テナントのトラフィックを誘導して外部ネットワークに転送する。当該発明を用いて、ゲートウェイ装置上のルータを動的に更新することができる。 Chinese Patent CN106411735 published on February 15, 2017 describes "Router Installation Method and Device". The router installation method and apparatus described in the patent are applied to a control provided in a software-defined network (SDN). In the method, the router attributes (RT) attribute of the tenant VPN instance and the routing policy of the external VPN instance are configured via the controller, whereby the RT attribute is assigned to the gateway device and the router of a different external device according to the routing policy. Is set, the RT attribute of the router is matched with the RT attribute of the tenant VPN instance, and the matched router is added to the tenant VPN instance, so that the traffic of the tenant is induced and transferred to the external network. Using the present invention, the router on the gateway device can be dynamically updated.
しかしながら、現行の仮想プライベートネットワークは、以下の課題、具体的に、第一の課題、すなわち、仮想プライベートネットワークが広域ネットワーク(WAN:Wide Area Network)に広く使用されているが、仮想プライベートネットワークをWAN側から企業内部ローカルエリアネットワーク(LAN:Local Area Network)およびデータセンタに拡張する場合に、マルチポイントツーマルチポイントエンドツーエンドネットワーク隔離を実現すること、第二の課題、すなわち、全てのユーザのトラフィックが同一の回路に混合されているため、異なる種類のトラフィックを互いに隔離すること、および第三の課題、すなわち、時間管理に基づいた動的且つフレキシブル実装、アクセスおよび制御メカニズムをまだ解決していない。したがって、実際の応用上、先行技術は、依然として上記の課題を解決しなければならない。 However, the current virtual private network has the following problems, specifically, the first problem, that is, the virtual private network is widely used for a wide area network (WAN). To achieve multipoint-to-multipoint end-to-end network isolation when extending from the end to the enterprise internal local area network (LAN) and data center, the second challenge: all user traffic Are mixed in the same circuit, so that different types of traffic are segregated from each other, and the third challenge, dynamic and flexible implementation based on time management, access and control mechanism has not yet been solved . Therefore, for practical applications, the prior art still has to solve the above problems.
発明の概要
課題
したがって、本発明の目的は、多様なエンドツーエンドネットワーク隔離をサポートする仮想プライベートネットワーク(VPN)サービス実装システムを提供することにある。本発明のシステムは、ネットワーク機能の仮想化およびソフトウェア定義ネットワークを利用して、ネットワーク配置をフレキシブルに調整することによって、現行の仮想プライベートネットワークを広域ネットワークから企業内部ローカルエリアネットワークに拡張する。
Accordingly, it is an object of the present invention to provide a virtual private network (VPN) service implementation system that supports a variety of end-to-end network isolation. The system of the present invention extends the current virtual private network from a wide area network to an enterprise internal local area network by using network function virtualization and software-defined networks to flexibly adjust network placement.
本発明によって提供された高安全性のエンドツーエンドネットワーク隔離サービス実装は、異なる種類のトラフィックに従ってトラフィックを誘導することによって、現行の企業内部ローカルエリアネットワーク内の全てのトラフィックが同一の回線に混在され転送される問題およびルーティングテーブルを共有する場合の安全性問題を解決する。これによって、企業内に1つのシステムがハッキングされると、企業内の他のシステムに影響を及ぼすことを防ぐ。本発明は、時間管理ポリシーおよび不正使用防止に基づいたネットワークアクセス制御メカニズムを提案することによって、企業仮想プライベートネットワークの安全性をさらに強化し、仮想プライベートネットワークの構築、運用および維持のコストを削減する。 The highly secure end-to-end network isolation service implementation provided by the present invention directs traffic according to different types of traffic so that all traffic within the current enterprise internal local area network is mixed on the same line. Resolves issues with forwarding and safety issues when sharing routing tables. This prevents one system from being hacked in the enterprise from affecting other systems in the enterprise. The present invention further enhances the security of enterprise virtual private networks and reduces the cost of construction, operation and maintenance of virtual private networks by proposing network access control mechanisms based on time management policies and fraud prevention .
手段
上記目的を達成するために、本発明の多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、以下のアーキテクチャ、即ち、サーバに設けれた仮想化管理プラットフォーム、仮想ネットワーク制御モジュール、仮想ルータおよびネットワークコントローラと、物理スイッチまたは仮想スイッチとで構成される。仮想ルータは、ネットワーク機能の仮想化技術に基づいて、トラフィックのプロキシ処理を行う。ネットワークコントローラは、ソフトウェア定義ネットワーク技術に基づいて、仮想ルータの動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと、複数の仮想ローカルエリアネットワーク(Vlan)タグとの対応関係を確立する。仮想化管理プラットフォームは、仮想ルータのハードウェアおよびネットワークリソースを配置する。物理スイッチまたは仮想スイッチは、ネットワークコントローラからの命令を受信し、物理スイッチまたは仮想スイッチに入力されたフローエントリ情報に従って、トラフィックの転送を決定する。仮想ルータは、この対応関係に従って、物理スイッチまたは仮想スイッチを介して、異なるローカルエリアネットワークからの異なるトラフィックを対応する仮想プライベートネットワークに誘導する。
In order to achieve the above object, a VPN service implementation system that supports various end-to-end network isolation of the present invention has the following architecture: a virtualization management platform provided in a server, a virtual network control module, a virtual It consists of routers and network controllers, and physical switches or virtual switches. The virtual router performs traffic proxy processing based on the virtualization technology of the network function. The network controller dynamically assigns the operation of the virtual router based on the software-defined network technology, and the correspondence relationship between a plurality of virtual private networks and a plurality of local area networks, and a plurality of virtual local area network (Vlan) tags. Establish. The virtualization management platform places virtual router hardware and network resources. The physical switch or the virtual switch receives a command from the network controller, and determines the traffic forwarding according to the flow entry information input to the physical switch or the virtual switch. According to this correspondence, the virtual router directs different traffic from different local area networks to the corresponding virtual private network via the physical switch or the virtual switch.
効果
これにより、仮想化管理プラットフォームを介して、異なる種類のトラフィックに応じて複数の仮想ルータを配置し、エンドツーエンド仮想ネットワーク隔離を確立することによって、異なる種類のトラフィックの隔離を達成することができる。さらに、ネットワークコントローラは、物理または仮想スイッチを制御し、トラフィック転送ポリシーを決定すると共に、時間に基づいた動的且つフレキシブル実装管理メカニズムを提供することによって、効率良く且つ安全なネットワークアクセス制御を提供する。最後に、物理スイッチまたは仮想スイッチは、トラフィックパケットを転送し、トラフィックの宛先インターネットプロトコル(IP)アドレスおよび仮想ローカルエリアネットワークタグに従って、トラフィックを転送するためのルータを決定することによって、エンドツーエンド仮想ネットワークの安全隔離を実現すると共に、仮想プライベートネットワークの構築、運用および維持のコストを削減する。
Benefits This allows different types of traffic isolation to be achieved by deploying multiple virtual routers for different types of traffic and establishing end-to-end virtual network isolation through the virtualization management platform. it can. In addition, the network controller provides efficient and secure network access control by controlling physical or virtual switches, determining traffic forwarding policies, and providing a time-based dynamic and flexible implementation management mechanism. . Finally, the physical or virtual switch forwards the traffic packet and determines the router to forward the traffic according to the destination Internet Protocol (IP) address and the virtual local area network tag of the traffic, thereby determining the end-to-end virtual Realize secure network isolation and reduce the cost of building, operating and maintaining virtual private networks.
詳細な説明
本発明は、多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムである。本発明は、費用対効果を有し、ネットワーク機能の仮想化およびソフトウェア定義ネットワークのフレキシブル実装に基づいてトラフィックを誘導し、マルチアーキテクチャのエンドツーエンドネットワークの安全隔離をサポートすることによって、企業のローカルエリアネットワーク、ワイドエリアネットワークおよびデータセンタ間の仮想プライベートネットワークのエンドツーエンド安全性を向上すると共に、仮想プライベートネットワークの構築、運用および維持のコストを削減する。
DETAILED DESCRIPTION The present invention is a VPN service implementation system that supports a variety of end-to-end network isolation. The present invention is cost-effective, directs traffic based on virtualization of network functions and flexible implementation of software-defined networks, and supports secure isolation of multi-architecture end-to-end networks. Improve end-to-end security of virtual private networks between area networks, wide area networks and data centers, and reduce the cost of construction, operation and maintenance of virtual private networks.
図1は、従来の仮想プライベートネットワークのアーキテクチャを示している。ローカルエリアネットワーク18は、ユーザ装置A14、ユーザ装置B15、ユーザ装置C16およびユーザ装置D17を含む。異なるユーザ装置は、異なる種類のトラフィックを生成する。これらのユーザ装置は、レイヤ2スイッチ13を介して相互接続される。また、ローカルエリアネットワーク18内のユーザ装置は、ゲートウェイZ12を含む物理ルータ11を介して、仮想プライベートネットワーク19を経由して企業の他のサブサイト内のユーザ装置に接続する。すなわち、全てのユーザ装置は、仮想プライベートネットワークを介して企業のリモートサイトに接続される。このアーキテクチャにおいて、異なる種類のトラフィックのシステムが同一のローカルエリアネットワーク内で互いに通信することができ、全てのトラフィックが混合して同一の回路に転送され、同一のルータのルーティングテーブルを共有するため、安全上の問題が存在し得る。企業内の1つのホストまたはシステムがハッキングされた場合、企業ネットワークにエンドツーエンド隔離を行っていないため、他のシステムもハッキングされる可能性があり、企業の重要な情報システムがハッキングされてしまう。
FIG. 1 shows a conventional virtual private network architecture. The
図2は、本発明の一実施形態に従った多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システムを示す図である。この仮想プライベートネットワークサービス実装システムは、サーバ27と、物理または仮想スイッチ26と、レイヤ2スイッチ13と、ユーザ装置28(例えば、携帯電話、デスクトップコンピュータ、ラップトップなど)とを含む。
FIG. 2 is a diagram illustrating a virtual private network service implementation system that supports various end-to-end isolation according to an embodiment of the present invention. The virtual private network service implementation system includes a
物理サーバ27は、仮想ルータ21と、ネットワークコントローラ22と、時間管理モジュール23と、仮想ネットワーク制御モジュール24と、仮想化管理プラットフォーム25とを含む。サーバ27は、中央処理装置(CPU)、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、プログラム可能なコントローラなどを介して、これらの仮想要素、プラットフォームおよびソフトウェアモジュールを実行することができる。
The
仮想ルータ21は、オープンソースのネットワークオペレーティングシステムであり、物理サーバ(すなわち、サーバ27)または仮想マシンに実装される。本実施形態では、1台のサーバ27に複数の仮想マシンを実装することができ、各仮想マシンに仮想ルータ21を配置することができる。仮想ルータ21は、主に、汎用x86プラットフォーム上で、ネットワーク機能仮想化技術に基づいてトラフィックのプロキシ処理を行うことによって、物理ルータのネットワーク機能、例えば、ルーティング機能、ネットワークアドレス変換、ファイアウォールおよび仮想プライベートネットワーク機能を提供することができる。
The
ネットワークコントローラ22は、様々なオープンソースコントローラまたは商用コントローラをサポートするネットワークコントローラである。本発明の実施形態では、ネットワークコントローラ22は、物理サーバ(すなわち、サーバ27)または仮想マシンにインストールすることができる。ネットワークコントローラ22は、主に複数の通信プロトコルを介してネットワーク上の物理または仮想スイッチ26を制御すると共に、端末装置(例えば、ユーザ装置28)およびグループの管理、ネットワークトポロジーの管理、ネットワークアクセスポリシーの管理、トラフィックコンテンツの管理、トラフィック量の統計およびログ管理を行い、ソフトウェア定義ネットワーク技術に基づいて、仮想ルータ21の動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと複数の仮想ローカルエリアネットワーク(Vlan)タグとの対応関係を確立する。この対応関係は、各々の仮想プライベートネットワークおよび各々のローカルエリアネットワークが対応する仮想ローカルエリアネットワークタグを有することを意味する。
The
仮想ネットワーク制御モジュール24は、様々な仮想化管理プラットフォーム25に広く適用することができ、主に仮想マシンと物理ネットワークとの間の接続および仮想マシン間の相互接続を確立するように機能する。時間管理モジュール23は、仮想ネットワーク制御モジュール24の時間管理設定を受信し、各ユーザ装置の合法なネットワーク接続時間を管理し、不正なインターネット接続時にユーザ装置28の送受信トラフィックをブロックする役割を果たす。仮想化管理プラットフォーム25は、主に汎用x86サーバ上に提供され、リソースの計算、ネットワークリソースおよびストレージリソースの仮想化およびリソースの割り当てを管理することによって、仮想ルータ22のハードウェアおよびネットワークリソースを構成するように機能する。
The virtual
物理スイッチまたは仮想スイッチ26(仮想スイッチ26は、サーバ27または他のサーバに配置されてもよく、仮想マシンによって作動されてもよい)は、ネットワークコントローラ22からの命令を受信し、物理または仮想スイッチ26に入力されたフローエントリ情報(Flow Entries)に従ってトラフィックの転送を決定する役割を果たす。トラフィックの転送動作は、後続の実施形態で説明される。
A physical switch or virtual switch 26 (
本発明の実施形態の操作ステップを容易に理解するために、以下の複数の実施例を用いて、本発明の実施形態のトラフィックルーティングアーキテクチャを詳細に説明する。以下、図2の各構成要素およびモジュールをもって説明を行う。本発明の実施形態の各ステップは、実施要件に応じて調整することができ、これに限定されるものではない。 In order to easily understand the operational steps of an embodiment of the present invention, the traffic routing architecture of an embodiment of the present invention will be described in detail using the following examples. In the following, description will be made with each component and module of FIG. Each step of the embodiment of the present invention can be adjusted according to implementation requirements, and is not limited to this.
図3は、本発明の一実施形態に従って、混合式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。その目的は、物理ルータ11を保有すると共に、企業内部仮想ネットワークの設計および異なる種類のトラフィックの隔離需要に応じて、異なる仮想ルータ(例えば、仮想ルータX33および仮想ルータY34)をフレキシブルに実装することである。仮想ルータX33および仮想ルータY34は、仮想マシンにインストールすることができ、その機能は主に、ユーザ装置(ユーザ装置A14、ユーザ装置B15、ユーザ装置C16およびユーザ装置D17)から送信された異なるトラフィックのVlanタグに従って、異なる種類のトラフィックを隔離して仮想プライベートネットワーク19に誘導することによって、エンドツーエンド仮想ネットワーク隔離を実現する。上述した仮想ルータX33、仮想ルータY34、ネットワークコントローラ22、時間管理モジュール23、仮想ネットワーク制御モジュール24および仮想化管理プラットフォーム25は、1つのサーバ27に配置されている。
FIG. 3 is a diagram illustrating an implementation architecture applied to a mixed end-to-end isolated virtual private network according to one embodiment of the present invention. The purpose is to have a
異なる種類のシステム応用およびトラフィックに応じて、企業内部ネットワークを複数の仮想ローカルエリアネットワーク(すなわち、ローカルエリアネットワークA35、ローカルエリアネットワークB36およびローカルエリアネットワークC37)を分割することによって、異なる種類のトラフィックを互いに隔離することができる。例えば、ユーザ装置A14は、ローカルエリアネットワークA35に属し、ユーザ装置B15およびユーザ装置C16は、ローカルエリアネットワークB36に属し、ユーザ装置D17は、ローカルエリアネットワークC37に属する。ユーザ装置と仮想プライベートネットワークとの接続は、既存の物理ルータ11または仮想ルータX33、Y34を使用するようにフレキシブルに構成することができる。レイヤ2スイッチ13は、ユーザ装置のトラフィックコンテンツが属するローカルエリアネットワークに従って、異なるVlanタグを付けて(例えば、ユーザ装置A14のトラフィックコンテンツの場合、Vlan Aを付ける。以下同様)、物理または仮想スイッチ26に送信する。物理または仮想スイッチ26は、時間管理モジュール23の設定に従ってトラフィック情報(例えば、送信元IPアドレス(IP1〜IP4)および送信元メディアアクセス制御(MAC:Media Access Control)アドレス(MAC1〜MAC4))を検査することによって、対応するユーザ端末が特定の時間範囲内でネットワークにアクセスできるか否かを判断する。ネットワークにアクセスできる場合、物理または仮想スイッチ26は、トラフィックのVlanタグに従って、当該トラフィックを対応するゲートウェイZ12、ゲートウェイX31およびゲートウェイY32に送信する。ルーティングテーブルに記録されたルーティングメカニズムは、以下の例で説明する。
Depending on the different types of system applications and traffic, the enterprise internal network may be divided into multiple virtual local area networks (ie, local area network A35, local area network B36 and local area network C37) to provide different types of traffic. Can be isolated from each other. For example, the user device A14 belongs to the local area network A35, the user device B15 and the user device C16 belong to the local area network B36, and the user device D17 belongs to the local area network C37. The connection between the user device and the virtual private network can be flexibly configured to use the existing
例えば、ユーザ装置A14から送信されたVlan Aのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、ゲートウェイZ12が配置されている物理ルータ11に誘導され、物理ルータ11は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Dを用いて、Vlan Aのトラフィックを仮想プライベートネットワーク19に送信する。ユーザ装置B15およびユーザ装置C16から送信されたVlan Bのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、仮想ゲートウェイX31が配置されている仮想ルータX33に誘導され、仮想ルータX33は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Eを用いて、Vlan Bのトラフィックを仮想プライベートネットワーク19に送信する。同様に、ユーザ装置D17から送信されたVlan Cのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、仮想ゲートウェイY32が配置されている仮想ルータY34に誘導され、仮想ルータY34は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Fを用いて、Vlan Cのトラフィックを仮想プライベートネットワーク19に送信する。
For example, the traffic of Vlan A transmitted from the user apparatus A14 is guided to the
同様に、仮想プライベートネットワーク19からユーザ装置A14に送信されるトラフィックは、物理または仮想スイッチ26を介して物理ルータ11に誘導され、物理ルータ11は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、トラフィックの宛先IPアドレスに従って、レイヤ2スイッチ13を介してトラフィックをユーザ装置A14に送信する。仮想プライベートネットワーク19からユーザ装置B15またはユーザ装置C16に送信されるトラフィックは、物理または仮想スイッチ26を介して仮想ルータX33に誘導され、仮想ルータX33は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、トラフィックの宛先IPアドレスに従って、レイヤ2スイッチ13を介してトラフィックをユーザ装置B15またはユーザ装置C16に送信する。仮想プライベートネットワーク19からユーザ装置D17に送信されるトラフィックは、仮想ルータY34によってルーティングされる。上述したように、異なるVlanのトラフィックに異なる物理または仮想ルータおよび異なるルーティングテーブルを使用することによって、ルーティングテーブルの物理隔離およびエンドツーエンド仮想ネットワーク隔離を実現することができる。
Similarly, traffic transmitted from the virtual
図4は、本発明の一実施形態に従って、統一式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。図3とは異なり、本実施形態は、仮想ルータZ41を用いて、図3の物理ルータ11を置換したことである。仮想ルータZ41は、同様のゲートウェイZ12をユーザ装置A14のゲートウェイとして設定することによって、ユーザ装置A14がゲートウェイのIPアドレスを変更する必要を無くし、物理ルータを仮想ルータにシームレスに変換するアーキテクチャを提供し、物理ルータの購入および保守のコストを効果的に削減することができる。このアーキテクチャは、仮想ルータZ41を用いて物理ルータ11を置換し、物理または仮想スイッチ26を用いてトラフィックパケットの仮想ローカルエリアネットワークタグを検査することによって、トラフィックのルーティング経路を決定する。例えば、Vlan Aのトラフィックは、仮想ルータZ41に誘導され、Vlan Bのトラフィックは、仮想ルータX33に誘導され、Vlan Cのトラフィックは、仮想ルータY34に誘導される。なお、1台または複数台のサーバ27内の異なる仮想マシンに異なる仮想ルータを配置し、異なるトラフィックに異なるルーティングテーブルを与えることによって、エンドツーエンドネットワーク隔離仮想プライベートネットワークサービスを達成することができる。
FIG. 4 is a diagram illustrating an implementation architecture applied to a unified end-to-end isolated virtual private network in accordance with one embodiment of the present invention. Unlike FIG. 3, the present embodiment is that the virtual router Z41 is used to replace the
図5に示すように、本発明は、配置モードを簡素化するために、整合式エンドツーエンド隔離仮想プライベートネットワークをサポートする実装アーキテクチャを提供することもできる。図4とは異なり、この実施形態では、物理または仮想スイッチ26がサーバ27に収容されている。本発明の実施形態を中小規模のソフトウェア定義ネットワークに適用することによって、エンドツーエンド隔離の仮想プライベートネットワークを提供することができる。従来のアーキテクチャの場合、1つまたは複数の物理または仮想スイッチを追加的に配置する必要がある。これによって、多くのハードウェアリソースが消費され、パケット伝送の遅延時間が長くなる。本発明の実施形態は、物理または仮想スイッチ26、ネットワークコントローラ22、および仮想ルータ33、34および41を1台のサーバ27に配置することによって、ネットワークアーキテクチャを簡素化する。これによって、内部ネットワークの異なるネットワークセグメントを隔離する設計を保有すると共に、ネットワーク要素の導入コストを大幅に削減し、従来の物理または仮想スイッチ26とサーバ27との間の帯域幅の消費およびネットワーク待ち時間を低減し、サービス実装の柔軟性および移植性を向上させる。従来のアーキテクチャに比べて、本発明の実施形態に係るシステムは、ハードウェアリソースの使用を著しく低減すると共に、調達資本支出(CAPEX)および運用保守費用(OPEX)を減らすことができる。ネットワーク構成が変更された場合、本発明は、ネットワークコントローラを介して、フレキシブルに管理および実装を行うことができ、これにより、実装の柔軟性を増やす。
As shown in FIG. 5, the present invention may also provide an implementation architecture that supports a matched end-to-end isolated virtual private network to simplify deployment modes. Unlike FIG. 4, in this embodiment, the physical or
図6のエンドツーエンド仮想プライベートネットワークの隔離を示す概略図を参照して、本発明によって提供された3種類のフレキシブルに構築可能なエンドツーエンドネットワーク隔離仮想プライベートネットワークアーキテクチャが企業の異なるサイト(例えば、オフィス1のサイトとオフィス2のサイトまたはデータセンタのエンドツーエンド仮想プライベートネットワーク全体との)間における実際の隔離操作をより理解することができる。企業は、高品質且つ高安全性のMPLS VPNを用いて、2つのサイトを企業の外部ネットワークに接続することができ、安価なインターネットブロードバンドを介して回線に接続することもできる。本発明の実施形態によって提供された単一の物理サーバ上で複数の仮想ルータを実行することによって、異なる仮想プライベートネットワークに各々独立したルーティングテーブルを与えると共に、ネットワークコントローラ22の迅速且つ柔軟な実装変更機能を使用することによって、元々広域ネットワークVPNに使用される隔離方法を企業内部ローカルエリアネットワークとデータセンタとの間に拡張することができ、完全なエンドツーエンド隔離の分離仮想プライベートネットワークサービス実装システムを実現する。
Referring to the schematic diagram illustrating the isolation of an end-to-end virtual private network in FIG. 6, the three types of flexibly configurable end-to-end network isolation virtual private network architecture provided by the present invention are different for different sites (eg, The actual isolation operation between the office 1 site and the office 2 site or the entire end-to-end virtual private network of the data center can be better understood. A company can connect two sites to the company's external network using a high-quality and high-security MPLS VPN, and can also connect to a line via inexpensive Internet broadband. By running multiple virtual routers on a single physical server provided by an embodiment of the present invention, each virtual private network is provided with an independent routing table and a quick and flexible implementation change of the
特長および効果
従来の技術に比べて、本発明の実施形態に係る多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、以下の利点を有する。
Features and Effects The VPN service implementation system that supports various end-to-end network isolation according to the embodiment of the present invention has the following advantages compared to the prior art.
本発明の実施形態に係る多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、費用対効果を有し、エンドツーエンド仮想プライベートネットワーク隔離に基づいたフレキシブル実装サービスシステムであって、企業内部ネットワーク、外部ネットワークおよびデータセンタに異なる種類のトラフィックを提供することによって、エンドツーエンド隔離を実現する。ネットワーク使用管理メカニズムを採用して、企業ネットワークアクセス時間の管理および不正利用のブロックを提供することによって、本発明の実施形態は、異なる需要にフレキシブルに応じて、多様なアーキテクチャを提供し、動的管理およびフレキシブル実装を行うことができるため、CAPEXおよびOPEXを大幅低減することができる。 A VPN service implementation system supporting various end-to-end network isolation according to an embodiment of the present invention is a cost-effective and flexible implementation service system based on end-to-end virtual private network isolation. Provides end-to-end isolation by providing different types of traffic to the network, external network and data center. By employing a network usage management mechanism to provide enterprise network access time management and fraud block, embodiments of the present invention provide a variety of architectures, flexibly responding to different demands, and dynamically Since management and flexible mounting can be performed, CAPEX and OPEX can be greatly reduced.
従来のアーキテクチャに比べて、本発明の実施形態のシステムは、従来のWAN側から、仮想プライベートネットワークを企業LANおよびデータセンタに拡張することができ、仮想プライベートネットワークのエンドツーエンド隔離安全性を向上させる。 Compared with the conventional architecture, the system of the embodiment of the present invention can extend the virtual private network to the corporate LAN and data center from the conventional WAN side, improving the end-to-end isolation security of the virtual private network Let
本発明の実施形態のシステムは、1つのサーバに複数の仮想ルータをフレキシブルに配置することをサポートし、異なる種類のトラフィックに応じて個別のルーティングテーブルを提供することによって、トラフィックの安全隔離を達成する。 The system of the embodiment of the present invention supports the flexible placement of a plurality of virtual routers on one server, and achieves safe traffic isolation by providing separate routing tables for different types of traffic. To do.
ネットワーク構成が変更する場合、本発明の実施形態は、ネットワークコントローラを介して、フレキシブルに管理および実装を行うことができ、これにより、本発明のシステムは、従来のアーキテクチャに比べて、実装の移植性および柔軟性を増やす。 When the network configuration changes, embodiments of the present invention can be flexibly managed and implemented via a network controller, which makes the system of the present invention more portable than implementations of conventional architectures. Increases sexuality and flexibility.
本発明によって提案された多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、企業ネットワークの応用需要に従って、物理ネットワーク要素の配置およびリソースの使用をフレキシブルに低減すると共に、CAPEXおよびOPEXを減らすことができる。 The VPN service implementation system supporting various end-to-end network isolation proposed by the present invention flexibly reduces physical network element placement and resource usage, and reduces CAPEX and OPEX according to enterprise network application demand. be able to.
上記の実施形態を用いて本発明を開示したが、これらの実施形態は、本発明を限定するものではない。当該技術分野における通常の知識を有する者は、本発明の精神および範囲から逸脱することなく、様々な修正および変形を行うことができる。したがって、本発明の保護範囲は、添付の特許範囲によって定義される。 Although the present invention has been disclosed using the above embodiments, these embodiments are not intended to limit the present invention. Those having ordinary skill in the art can make various modifications and variations without departing from the spirit and scope of the present invention. Therefore, the protection scope of the present invention is defined by the appended patent scope.
産業上の利用性
多様なアーキテクチャをサポートする仮想プライベートネットワークサービス実装システムは、電気通信産業によるユーザの管理に適用することができる。
Industrial Applicability A virtual private network service implementation system that supports various architectures can be applied to user management by the telecommunications industry.
11 物理ルータ、12 ゲートウェイZ、13 レイヤ2スイッチ、14 ユーザ装置A、15 ユーザ装置B、16 ユーザ装置C、17 ユーザ装置D、18 ローカルエリアネットワーク、19 仮想プライベートネットワーク、21 仮想ルータ、22 ネットワークコントローラ、23 時間管理モジュール、24 仮想ネットワーク制御モジュール、25 仮想化管理プラットフォーム、26 物理または仮想スイッチ、27 サーバ、28 ユーザ装置、31 ゲートウェイX、32 ゲートウェイY、33 仮想ルータX、34 仮想ルータY、35 ローカルエリアネットワークA、36 ローカルエリアネットワークB、37 ローカルエリアネットワークC、41 仮想ルータZ。
DESCRIPTION OF
Claims (9)
サーバを備え、
前記サーバは、
ネットワーク機能の仮想化技術に基づいて、トラフィックのプロキシ処理を行うように構成された少なくとも1つの仮想ルータと、
ソフトウェア定義ネットワーク技術に基づいて、前記仮想ルータの動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと、複数の仮想ローカルエリアネットワークタグとの対応関係を確立するように構成されたネットワークコントローラと、
前記仮想ルータのハードウェアおよびネットワークリソースを配置するように構成された仮想化管理プラットフォームとを含み、
物理スイッチまたは仮想スイッチを備え、
前記物理スイッチまたは前記仮想スイッチは、前記ネットワークコントローラからの命令を受信し、前記物理スイッチまたは前記仮想スイッチに入力されたフローエントリ情報に従って、トラフィックの転送を決定し、
前記仮想ルータは、前記対応関係に従って、前記物理スイッチまたは前記仮想スイッチを介して、異なる前記ローカルエリアネットワークからの異なるトラフィックを対応する前記仮想プライベートネットワークに誘導する、多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。 Virtual private network service implementation system that supports various end-to-end isolation,
With a server,
The server
At least one virtual router configured to proxy traffic based on network function virtualization technology;
Based on software-defined network technology, the operation of the virtual router is dynamically allocated, and a correspondence relationship between a plurality of virtual private networks and a plurality of local area networks and a plurality of virtual local area network tags is established. Network controller
A virtualization management platform configured to locate hardware and network resources of the virtual router;
With physical or virtual switches,
The physical switch or the virtual switch receives an instruction from the network controller, determines traffic forwarding according to the flow entry information input to the physical switch or the virtual switch,
The virtual router supports various end-to-end isolations that direct different traffic from different local area networks to the corresponding virtual private network via the physical switch or the virtual switch according to the correspondence. Virtual private network service implementation system.
前記仮想ルータは、各仮想マシンに配置される、請求項4に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。 A plurality of virtual machines are mounted on the server,
The virtual private network service implementation system for supporting various end-to-end isolation according to claim 4, wherein the virtual router is arranged in each virtual machine.
仮想ネットワーク制御モジュールを含み、前記仮想ネットワーク制御モジュールは、前記複数の仮想マシンと物理ネットワークとの接続および前記仮想マシン間の相互接続を確立するように機能し、前記仮想ルータは、前記仮想マシンの各々に配置され、
時間管理モジュールを含み、前記時間管理モジュールは、前記仮想ネットワーク制御モジュールの時間管理設定を受信し、複数のユーザ装置の合法なネットワーク接続時間を管理し、不正なインターネット接続時に前記ユーザ装置の送受信トラフィックをブロックするように構成され、
前記物理スイッチまたは前記仮想スイッチは、前記時間管理モジュールの設定に従って、トラフィック情報を検査することによって、前記ユーザ装置が時間範囲内でネットワークにアクセスできるか否かを判断し、前記トラフィック検査情報の設定は、前記時間管理設定に基づいている、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。 The server further includes a virtual network control module, and the virtual network control module functions to establish a connection between the plurality of virtual machines and a physical network and an interconnection between the virtual machines, and the virtual router includes , Located in each of the virtual machines,
A time management module, the time management module receives time management settings of the virtual network control module, manages legal network connection times of a plurality of user devices, and transmits / receives traffic of the user devices when an illegal Internet connection is established Configured to block
The physical switch or the virtual switch determines whether the user apparatus can access the network within a time range by inspecting traffic information according to the setting of the time management module, and sets the traffic inspection information The virtual private network service implementation system supporting various end-to-end isolations according to claim 1, wherein the system is based on the time management setting.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106126451A TWI630488B (en) | 2017-08-04 | 2017-08-04 | Vpn service provision system with diversified end-to-end network isolation support |
TW106126451 | 2017-08-04 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019033475A true JP2019033475A (en) | 2019-02-28 |
JP6591621B2 JP6591621B2 (en) | 2019-10-16 |
Family
ID=63640423
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018112571A Active JP6591621B2 (en) | 2017-08-04 | 2018-06-13 | Virtual private network service implementation system that supports various end-to-end isolation |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP6591621B2 (en) |
CN (1) | CN109391533B (en) |
TW (1) | TWI630488B (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112822149A (en) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | Terminal access control design based on intelligent router physical port, MAC and IP |
CN113395318A (en) * | 2021-03-17 | 2021-09-14 | 河海大学 | SDN-based power grid data center network architecture and configuration method |
CN114070622A (en) * | 2021-11-16 | 2022-02-18 | 北京宏达隆和科技有限公司 | Micro-isolation system based on network port security |
CN114143795A (en) * | 2021-12-14 | 2022-03-04 | 天翼物联科技有限公司 | Local area network networking method and system based on 5G network |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI692956B (en) * | 2019-03-04 | 2020-05-01 | 中華電信股份有限公司 | Ipv6 accessing management system based on software defined network and method thereof |
CN110336758B (en) * | 2019-05-28 | 2022-10-28 | 厦门网宿有限公司 | Data distribution method in virtual router and virtual router |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015100329A1 (en) * | 2013-12-27 | 2015-07-02 | Big Switch Networks, Inc. | Systems and methods for performing network service insertion |
JP2016509412A (en) * | 2013-01-11 | 2016-03-24 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Network function virtualization for network devices |
WO2016139910A1 (en) * | 2015-03-02 | 2016-09-09 | 日本電気株式会社 | Communication system, communication method, and non-transitory computer readable medium storing program |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8893009B2 (en) * | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
US8239572B1 (en) * | 2010-06-30 | 2012-08-07 | Amazon Technologies, Inc. | Custom routing decisions |
US8935786B2 (en) * | 2012-05-01 | 2015-01-13 | Harris Corporation | Systems and methods for dynamically changing network states |
EP3066581B1 (en) * | 2013-11-04 | 2019-06-26 | Illumio, Inc. | Distributed network security using a logical multi-dimensional label-based policy model |
US9560078B2 (en) * | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
US9756015B2 (en) * | 2015-03-27 | 2017-09-05 | International Business Machines Corporation | Creating network isolation between virtual machines |
-
2017
- 2017-08-04 TW TW106126451A patent/TWI630488B/en active
-
2018
- 2018-03-12 CN CN201810201204.XA patent/CN109391533B/en active Active
- 2018-06-13 JP JP2018112571A patent/JP6591621B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016509412A (en) * | 2013-01-11 | 2016-03-24 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Network function virtualization for network devices |
WO2015100329A1 (en) * | 2013-12-27 | 2015-07-02 | Big Switch Networks, Inc. | Systems and methods for performing network service insertion |
WO2016139910A1 (en) * | 2015-03-02 | 2016-09-09 | 日本電気株式会社 | Communication system, communication method, and non-transitory computer readable medium storing program |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112822149A (en) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | Terminal access control design based on intelligent router physical port, MAC and IP |
CN113395318A (en) * | 2021-03-17 | 2021-09-14 | 河海大学 | SDN-based power grid data center network architecture and configuration method |
CN114070622A (en) * | 2021-11-16 | 2022-02-18 | 北京宏达隆和科技有限公司 | Micro-isolation system based on network port security |
CN114070622B (en) * | 2021-11-16 | 2024-02-09 | 北京宏达隆和科技有限公司 | Micro-isolation system based on network port security |
CN114143795A (en) * | 2021-12-14 | 2022-03-04 | 天翼物联科技有限公司 | Local area network networking method and system based on 5G network |
CN114143795B (en) * | 2021-12-14 | 2024-01-30 | 天翼物联科技有限公司 | Local area network networking method and system based on 5G network |
Also Published As
Publication number | Publication date |
---|---|
JP6591621B2 (en) | 2019-10-16 |
TW201911068A (en) | 2019-03-16 |
CN109391533B (en) | 2021-04-13 |
CN109391533A (en) | 2019-02-26 |
TWI630488B (en) | 2018-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6591621B2 (en) | Virtual private network service implementation system that supports various end-to-end isolation | |
JP7483074B2 (en) | Method and apparatus for implementing and managing a virtual switch - Patents.com | |
US11646964B2 (en) | System, apparatus and method for providing a virtual network edge and overlay with virtual control plane | |
US20200099659A1 (en) | Network Architecture for Cloud Computing Environments | |
US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
CA3005641A1 (en) | System, apparatus and method for providing a virtual network edge and overlay with virtual control plane | |
Ashraf et al. | Analyzing challenging aspects of IPv6 over IPv4 | |
KR20180104377A (en) | Method for inter-cloud virtual networking over packet optical transport network | |
CN115941577A (en) | Automatic Policy Configuration for Packet Flows | |
Ranjbar et al. | Domain isolation in a multi-tenant software-defined network | |
CA2912643A1 (en) | System, apparatus and method for providing a virtual network edge and overlay with virtual control plane | |
Gu et al. | Enhancing Security and Scalability in Software Defined LTE Core Networks | |
AU2017202823B2 (en) | Method and apparatus for implementing and managing virtual switches |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180613 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190523 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190528 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190806 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190827 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190918 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6591621 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |