KR100687749B1 - 범용 패킷 처리 장치 - Google Patents

범용 패킷 처리 장치 Download PDF

Info

Publication number
KR100687749B1
KR100687749B1 KR1020050076548A KR20050076548A KR100687749B1 KR 100687749 B1 KR100687749 B1 KR 100687749B1 KR 1020050076548 A KR1020050076548 A KR 1020050076548A KR 20050076548 A KR20050076548 A KR 20050076548A KR 100687749 B1 KR100687749 B1 KR 100687749B1
Authority
KR
South Korea
Prior art keywords
packet
spi
processing apparatus
packet processing
network processor
Prior art date
Application number
KR1020050076548A
Other languages
English (en)
Other versions
KR20060053189A (ko
Inventor
두경환
윤빈영
이형섭
김봉태
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20060053189A publication Critical patent/KR20060053189A/ko
Application granted granted Critical
Publication of KR100687749B1 publication Critical patent/KR100687749B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/10Packet switching elements characterised by the switching fabric construction
    • H04L49/104Asynchronous transfer mode [ATM] switching fabrics
    • H04L49/105ATM switching elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/10Packet switching elements characterised by the switching fabric construction
    • H04L49/111Switch interfaces, e.g. port details
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/10Packet switching elements characterised by the switching fabric construction
    • H04L49/112Switch control, e.g. arbitration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 범용적으로 다양한 응용 서비스를 제공할 수 있도록 ATCA(Advanced Telecom Computing Architecture) 표준 규격을 준수하고 SPI(System Packet Interface) 브리지 칩을 포함한 패킷 처리 장치를 구성함으로써 패킷 처리 장치를 포함하는 시스템의 초기 개발 비용을 줄이고 시스템의 개발 기간을 단축시키며 시스템의 확장성을 향상시킬 수 있는 범용 패킷 처리 장치에 관한 것이다.
이를 위한 본 발명은, 범용적으로 패킷을 처리하기 위한 범용 패킷 처리 장치에 있어서, 다수 개의 SPI(System Packet Interface) 인터페이스를 갖는 SPI 브리지부; 상기 SPI 브리지부에 연결되며, 패킷 룩업 및 패킷을 편집하는 네트워크 프로세서; 상기 네트워크 프로세서에 수신된 패킷의 제어 정보를 분석하여 스위치 패브릭(Fabric) 전달에 적합하도록 상기 패킷을 편집하여 상기 스위치 패브릭으로 전달하거나 상기 스위치 패브릭에서 수신된 패킷의 라우팅 정보를 제거한 후 상기 네트워크 프로세서로 전달하는 스위치 인터페이스; 상기 SPI 브리지부, 네트워크 프로세서 및 스위치 인터페이스를 제어하기 위한 호스트 중앙처리장치(CPU)를 포함하고, 상기 범용 패킷 처리 장치는 ATCA(Advanced Telecom Computing Architecture) 표준 규격을 따르도록 된 것을 특징으로 한다.

Description

범용 패킷 처리 장치{Packet processing apparatus for general purpose}
도 1은 본 발명에 따른 범용 패킷 처리 장치의 구성도.
도 2는 본 발명에 따른 범용 패킷 처리 장치가 단순 가입자 정합 장치로 응용되는 실시예의 구성도.
도 3은 본 발명에 따른 범용 패킷 처리 장치가 IPS(Intrusion Prevention System; 침입 방지 시스템) 시스템의 가입자 정합 장치로 응용되는 실시예의 구성도.
도 4는 본 발명에 따른 범용 패킷 처리 장치가 VPN(Virtual Private Network : 가상 사설망) 서비스 카드(Service Card)로 응용되는 실시예의 구성도.
<도면의 주요부분에 대한 부호의 설명>
50 : 스위치 패브릭(fabric) 110 : 제1 패킷 처리부
111 : SPI 브리지부 112 : 네트워크 프로세서
113 : 스위치 인터페이스 114 : IPsec 처리부
115 : 호스트 중앙처리장치(CPU) 116,117 : SPI 커넥터
118 : PCI 커넥터 210 : 제2 패킷 처리부
211,212,...,21n : 송수신기 214 : 프레임 처리부
본 발명은 범용 패킷 처리 장치에 관한 것으로서, 더 상세하게는 범용적으로 다양한 응용 서비스를 제공할 수 있도록 ATCA(Advanced Telecom Computing Architecture) 표준 규격을 준수하고 SPI(System Packet Interface) 브리지 칩을 포함한 패킷 처리 장치를 구성함으로써 패킷 처리 장치를 포함하는 시스템의 초기 개발 비용을 줄이고 시스템의 개발 기간을 단축시키며 시스템의 확장성을 향상시킬 수 있는 범용 패킷 처리 장치에 관한 것이다.
한편, 본 발명은 SPI 브리지 칩을 사용하여 각 기능 블록들 간의 고속 패킷 데이터를 전달할 수 있고, 각 기능 블록들을 선택적으로 확장할 수 있는 구조를 갖춤으로써 패킷 처리 장치가 포함되는 시스템의 유연성을 크게 증가시킬 수 있게 하는 범용 패킷 처리 장치에 관한 것이다.
당업자에게 잘 알려진 바와 같이, 최근 네트워크 프로세서를 이용한 패킷 처리 장치가 많이 연구되고 있다. 그러나 기존에 개발된 패킷 처리 장치들은 각각의 회사별로 고유한 규격을 갖는 비 표준화된 크기를 갖는 장치로 개발되었다. 즉, 기존에는 예를 들어 계층 2(Layer 2) 및 계층 3을 처리하는 이더넷 스위치, 라우터와 같은 패킷 처리 장치, 그리고 방화벽 등과 같은 기능을 처리하는 보안 패킷 처리 장치 등과 같이 각 응용 서비스 별로 여러 종류의 패킷 처리 장치가 개발되어 사용되었다.
한편, 최근에 산업체의 표준 단체인 PICMG(PCI Industrial Computer Manufactures Group) 그룹에 의하여 ATCA(Advanced Telecommunication Computing Architecture) 권고안이 제안되었다. ATCA 권고안은 당업자에게 잘 알려진 바와 같이 시스템 외형 및 신호 규격, 스위치 보드 크기 및 신호 규격, 가입자 보드 크기 및 신호 규격, 그리고 시스템 유지 보수 규격을 포함하고 있다. 이 ATCA의 권고안에 따른 표준 규격은 각 개발 업체들 간의 상호 업무 분담을 통해서 초기 개발 비용을 줄이려는 목적을 갖는다.
그런데, 상기와 같은 ATCA 표준 규격이 발표되었는 데도 불구하고, 현재 이를 적용하여 범용적으로 다양한 서비스를 제공할 수 있게 하는 패킷 처리 장치가 개발되지 않고 있어, 패킷 처리 장치를 포함하는 시스템의 초기 개발 비용이 여전히 크게 증가하고, 다양한 응용 서비스를 제공하기 위한 시스템 유연성이 여전히 낮은 문제점이 있었다.
본 발명이 이루고자 하는 기술적 과제는, 범용적으로 다양한 응용 서비스를 제공할 수 있도록 ATCA(Advanced Telecom Computing Architecture) 표준 규격을 준수하고 SPI(System Packet Interface) 브리지 칩을 포함한 패킷 처리 장치를 구성함으로써 패킷 처리 장치를 포함하는 시스템의 초기 개발 비용을 줄이고 시스템의 개발 기간을 단축시키며 시스템의 확장성을 향상시킬 수 있는 범용 패킷 처리 장치를 제공하는 데 그 목적이 있다.
본 발명이 이루고자 하는 다른 기술적 과제는, SPI 브리지 칩을 사용하여 각 기능 블록들 간의 고속 패킷 데이터를 전달할 수 있고, 각 기능 블록들을 선택적으 로 확장할 수 있는 구조를 갖춤으로써 패킷 처리 장치가 포함되는 시스템의 유연성을 크게 증가시킬 수 있게 하는 범용 패킷 처리 장치를 제공하는 데 있다.
본 발명이 이루고자 하는 또 다른 기술적 과제는, 상기와 같은 종래기술의 문제점을 해결하기 위한 것으로서, 라우터, 방화벽 및 IPS 등과 같은 해당 응용 서비스 별로 다른 패킷 처리 장치를 개발하는 경우 요구되는 시스템의 초기 개발 비용을 줄이면서 시스템의 유연성을 크게 증가시킬 수 있으며, 스위치 패브릭(fabric) 인터페이스를 제공하여 시스템의 확장성을 크게 향상시킬 수 있는 범용 패킷 처리 장치를 제공하는 데 있다.
본 발명은 상기한 기술적 과제를 달성하기 위하여, 범용적으로 패킷을 처리하기 위한 범용 패킷 처리 장치에 있어서, 다수 개의 SPI(System Packet Interface) 인터페이스를 갖는 SPI 브리지부; 상기 SPI 브리지부에 연결되며, 패킷 룩업 및 패킷을 편집하는 네트워크 프로세서; 상기 네트워크 프로세서에 수신된 패킷의 제어 정보를 분석하여 스위치 패브릭(Fabric) 전달에 적합하도록 상기 패킷을 편집하여 상기 스위치 패브릭으로 전달하거나 상기 스위치 패브릭에서 수신된 패킷의 라우팅 정보를 제거한 후 상기 네트워크 프로세서로 전달하는 스위치 인터페이스; 상기 SPI 브리지부, 네트워크 프로세서 및 스위치 인터페이스를 제어하기 위한 호스트 중앙처리장치(CPU)를 포함하고, 상기 범용 패킷 처리 장치는 ATCA(Advanced Telecom Computing Architecture) 표준 규격을 따르도록 된 것을 특징으로 하는 범용 패킷 처리 장치가 제공된다.
또한, 본 발명은 상기한 기술적 과제를 달성하기 위하여, 범용적으로 패킷을 처리하기 위한 범용 패킷 처리 장치에 있어서, 물리 링크의 아날로그 신호에서 디지털 신호를 복원하거나, 물리 링크에 적합한 데이터 코딩 및 신호를 변환하여 이를 상기 물리 링크로 전달하는 다수의 송수신기(Transceiver); 각 물리 매체에 적합한 패킷 프레임을 생성하고 복원하며, 트래픽을 제어하기 위한 프레임 처리부를 포함하고, 상기 범용 패킷 처리 장치는 ATCA(Advanced Telecom Computing Architecture) 표준 규격을 따르도록 된 것을 특징으로 하는 범용 패킷 처리 장치가 제공된다.
그리고, 본 발명은 상기한 기술적 과제를 달성하기 위하여, 범용적으로 패킷을 처리하기 위한 범용 패킷 처리 장치에 있어서, 다수 개의 SPI(System Packet Interface) 인터페이스를 갖는 SPI 브리지부와; 상기 SPI 브리지부에 연결되며 패킷 룩업 및 패킷을 편집하는 네트워크 프로세서; 상기 네트워크 프로세서에 연결되며 스위치 패브릭(Fabric) 정합 소자로 이루어진 스위치 인터페이스; 및 상기 SPI 브리지부, 네트워크 프로세서 및 스위치 인터페이스를 제어하기 위한 호스트 중앙처리장치를 구비하는 제1 패킷 처리부와,
물리 링크의 아날로그 신호에서 디지털 신호를 복원하기 위한 다수의 송수신기와; 각 물리 매체에 적합한 패킷 프레임을 생성하고 복원하며 트래픽을 제어하기 위한 프레임 처리부를 구비하는 제2 패킷 처리부를 포함하고,
상기 범용 패킷 처리 장치는 ATCA 표준 규격을 따르도록 된 것을 특징으로 하는 범용 패킷 처리 장치가 제공된다.
이하, 첨부한 도면을 참조하면서 본 발명에 따른 범용 패킷 처리 장치의 바람직한 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명에 따른 범용 패킷 처리 장치의 구성도이고, 도 2는 본 발명에 따른 범용 패킷 처리 장치가 단순 가입자 정합 장치에 응용되는 실시예의 구성도이다. 도 3은 본 발명에 따른 범용 패킷 처리 장치가 IPS(Intrusion Prevention System; 침입 방지 시스템) 시스템의 가입자 정합 장치에 응용되는 실시예의 구성도이고, 도 4는 본 발명에 따른 범용 패킷 처리 장치가 VPN(Virtual Private Network : 가상 사설망) 서비스 카드(Service Card)에 응용되는 실시예의 구성도이다.
도 1을 참조하면, 본 발명에 따른 범용 패킷 처리 장치는, SPI-4.2 브리지(이하, 'SPI 브리지'라 약칭한다)를 이용한 것으로서, 두개의 보드(board), 즉 프론트 보드(Front board)로서 제1 패킷 처리부(110)와; 후방 전이 모듈(Rear Transition Module(RTM)) 보드로서 제2 패킷 처리부(210)로 이루어진다. 제1 패킷 처리부(110)와 제2 패킷 처리부(210)는 각각 PICMG(PCI Industrial Computer Manufactures Group)에 의하여 제안된 ATCA 표준 규격을 만족하는 것으로 한다.
본 발명의 제1 패킷 처리부(110)는, 다수 개의 SPI 인터페이스를 갖는 SPI 브리지부(111); 패킷 룩업 및 패킷을 편집하는 네트워크 프로세서(112); 스위치 패브릭(Fabric) 정합 소자로 이루어진 스위치 인터페이스(113); IPsec(Internet Protocol Security protocol; 인터넷 프로토콜 보안 프로토콜)를 처리하는 IPsec 처리부(114); 그리고 제1 패킷 처리부(110)와 제2 패킷 처리부(210)를 제어하는 호스트 중앙처리장치(CPU)(115)를 포함하여 이루어진다.
SPI 브리지부(111)는 여러 개의 SPI 인터페이스를 가지면서 각 SPI 인터페이스에 연결되어 있는 소자들 사이에서 고속으로 패킷들을 교환한다. 그리고, SPI 브리지부(111)는 여분의 SPI 인터페이스를 사용할 수 있도록 하는 두 개의 SPI 커넥터(116)(117)와 연관된다.
제2 패킷 처리부(210)는 물리 링크의 아날로그 신호에서 디지털 신호를 복원하는 송수신기(Transceiver)(211, 212, 21n)와; 각 물리 매체에 적합한 패킷 프레임 생성 및 복원, 그리고 트래픽을 제어하는 프레임 처리부(Framer; 214)를 포함한다.
본 발명에 따른 범용 패킷 처리 장치는 고속 패킷 처리 장치를 이용하여 제공할 수 있는 다양한 정합 장치로 응용될 수 있다. 또한, 본 발명에 따른 범용 패킷 처리 장치에서는 패킷 흐름에 따라서 물리 링크에서 스위치 패브릭으로 전달되는 패킷을 처리하는 인그레스(Ingress) 패킷 처리와, 스위치 패브릭에서 물리 링크로 전달되는 패킷을 처리하는 이그레스(Egress) 패킷 처리로, 그 처리가 구분된다.
도 1을 참조하여 인그레스 패킷 처리 동작을 살펴보면, 제2 패킷 처리부 (210)의 송수신기(211, 212, 21n)는 물리 링크의 아날로그 신호에서 패킷 프레임을 복원하여 프레임 처리부(214)로 전달한다. 프레임 처리부(214)는 프레임 데이터에서 패킷을 식별하고 물리 링크의 트래픽 흐름을 제어하고 패킷 에러를 처리한다. 그리고 프레임 처리부(214)는 복원된 패킷을 SPI 인터페이스를 통해서 제1 패킷 처리부(110)의 SPI 브리지부(111)로 전달한다. SPI 브리지부(111)는 사용자가 원하는 서비스에 따라서 연결된 SPI 브리지 소자들 간에 고속의 패킷 데이터를 교환할 수 있도록 제작된 SPI 인터페이스를 갖는 스위치 소자이다. 본 발명에서는 프레임 처리부(214), IPsec 처리부(114), 네트워크 프로세서(112), 여분의 SPI 인터페이스를 제공하는 SPI 커넥터(116, 117)가 SPI 브리지부(111)에 연결된다. 여분의 SPI 커넥터(116, 117)를 사용하는 사용자가 특정한 서비스를 위해서 추가적으로 패킷 조작이 필요한 경우, 관련 하드웨어를 고속 패킷 처리 장치에 부착시킬 수 있도록 패킷 데이터의 인터페이스를 제공한다. 그러므로 본 발명에 따르면, 사용자가 추가하고자 하는 하드웨어를 손쉽게 확장시킬 수 있다. IPsec 처리부(114)를 구성하는 소자는 제1 패킷 처리부(110)에 선택적으로 사용될 수 있도록 메저닌 카드(Mezzanine card)로 제작되어 실장된다. 그러므로 사용자는 요구되는 서비스에 따라서 IPsec 처리부(114)가 사용되지 않는 경우 이를 제거할 수 있다. IPsec 처리부(114)는 수신된 패킷의 헤더 정보를 보고 해독(decrypted) 할지 여부를 결정하여 패킷을 처리한다. 그리고 IPsec 처리부(114)는 처리된 패킷을 SPI 브리지부(111)로 전달한다. SPI 브리지부(111)에서 패킷을 전달 받은 네트워크 프로세서(112)는 수신된 패킷을 룩업 및 편집하여 스위치 인터페이스(113)로 전달한다. 스위치 인 터페이스(113)는 네트워크 프로세서(112)에 수신된 패킷에 포함된 제어 정보를 분석하여 스위치 패브릭(50) 전달에 적합하도록 패킷을 편집하여 스위치 패브릭(50)으로 전달한다. 그리고 각 스위치 출력 포트로부터 트래픽 상태 정보를 수신하여 스위치 포트로 전송하는 패킷 데이터 양을 제어한다.
한편, 본 발명에 따른 범용 패킷 처리 장치에 있어서, 이그레스(Egress) 패킷 처리 동작을 살펴보면, 스위치 인터페이스(113)는 스위치 패브릭(50)에서 수신된 패킷의 라우팅 정보를 제거한 뒤에 이를 네트워크 프로세서(112)로 전달한다. 그리고 스위치 인터페이스(113)는 패킷을 저장하는 수신 버퍼 상태 정보를 스위치 패브릭(50)으로 전달하여 스위치 포트에서 전달하는 과도한 트래픽 유입을 제어한다. 네트워크 프로세서(112)는 물리 링크의 출력 포트를 결정하고 해당 물리 링크 및 서비스 프로토콜에 적합토록 패킷을 편집하여 SPI 브리지부(111)로 전달한다. SPI 브리지부(111)는 SPI 인터페이스로 연결된 소자들 간에 고속 패킷 데이터 교환이 가능한 스위치 소자로 이루어진다. 그러므로 사용자는 SPI 브리지에 부착된 소자들 간에 패킷 데이터 교환을 제어할 수 있다. IPsec 처리부(114)는 원하는 스트림에 대해서 암호화시켜서 SPI 브리지부(111)로 전달한다. 그러므로 SPI 브리지부(111)는 수신된 패킷을 제2 패킷 처리부(210)의 프레임 처리부(214)로 전달한다. 프레임 처리부(214)는 계층 1 및 계층 2 프로토콜에 따라서 패킷의 프레임을 생성하여 목적지 출력 포트의 송수신기(211, 212, 21n)로 전달한다. 송수신기(211, 212, 21n)는 해당 물리 링크에 적합한 데이터 코딩 및 신호를 변환하여 물리링크로 전달한다.
호스트 중앙처리장치(CPU)(115)는 고속 패킷 처리 장치를 제어하며, 커넥터를 통하여 여분의 SPI 인터페이스를 제공한다. 그러므로 사용자가 원하는 하드웨어를 PCI 커넥터(118)를 통하여 부착할 수 있다.
이하, 본 발명에 따른 범용 패킷 처리 장치가 응용되는 분야로서, 1) 가입자 정합 장치로 응용되는 경우와; 2) 라인 카드(pure line card)로 응용되는 경우; 3) IPS 시스템의 가입자 정합 장치로 응용되는 경우; 및 4) VPN 서비스 카드로 용용되는 경우를 예로 하여 설명하면 다음과 같다.
1) 보안 라우터의 가입자 정합 장치로 응용되는 경우:
보안 라우터의 가입자 정합 장치란, IPsec 기능을 가지면서 패킷 포워딩과 해커의 공격 등을 차단하기 위해서 패킷 스트림을 감시하는 장치이며, 이 장치에 본 발명의 패킷 처리 장치가 응용되는 경우의 패킷 흐름은 다음과 같다.
(a) 인그레스 패킷 흐름(Ingress Packet Flow)
물리적 링크 → 송수신기(211, 212, 21n) → 프레임 처리부(214) → SPI 브리지부(111) → IPsec 처리부(114) → SPI 브리지부(111) → 네트워크 프로세서(112) → 스위치 인터페이스(113) → 스위치 패브릭(50)
(b) 이그레스 패킷 흐름(Egress Packet Flow)
스위치 패브릭(50) → 스위치 인터페이스(113) → 네트워크 프로세서(112) → SPI 브리지부(111) → IPsec 처리부(114) → SPI 브리지부(111) → 프레임 처리부(214) → 송수신기(211, 212, 21n) → 물리적 링크
2) 라인 카드(Pure line card)로 응용되는 경우:
도 2와 같은 라인 카드로 응용되는 본 발명의 범용 패킷 처리 장치(110a)(210a)는 IPsec 기능이 없는 L2 ~ L7 계층 처리 시스템의 라인 정합 장치를 말한다. 도 1에 도시된 제1 패킷 처리 장치(110)의 IPsec 처리부(114)는 메저닌 카드(mezzanine card)로 제작되어 메인 보드에 커넥터로 연결되어 착탈이 가능하다. 그러므로 IPsec 기능이 없는 패킷 처리 장치(110a)가 라인 카드로 사용하려면, IPsec 처리부(114)를 제거한다. 즉, 본 발명에 따른 범용 패킷 처리 장치가 라인 카드로 응용되는 경우, 도 2에 도시된 바와 같이 제1 패킷 처리부(110a)는 도 1의 제1 패킷 처리부(110)에서 SPI 커넥터(116, 117)와 PCI 커넥터(118) 및 IPsec 처리부(114)가 제거된 형태를 취한다. 도 2에 도시한 라인 카드에서의 패킷 흐름은 다음과 같다.
(a) 인그레스 패킷 흐름
물리적 링크 → 송수신기(211, 212, 21n) → 프레임 처리부(214) → SPI 브리지부(111) → 네트워크 프로세서(112) → 스위치 인터페이스(113) → 스위치 패브릭(50)
(b) 이그레스 패킷 흐름
스위치 패브릭(50) → 스위치 인터페이스(113) → 네트워크 프로세서(112) → SPI 브리지부(111) → 프레임 처리부(214) → 송수신기(211, 212, 21n) → 물리적 링크
3) IPS 시스템의 가입자 정합 장치로 응용되는 경우:
본 발명의 범용 패킷 처리 장치(110b)(210b)가 IPS 시스템의 가입자 정합 장 치로 응용되는 경우는 도 3의 구성과 같으며, 데이터 패턴을 분석하여 바이러스(Virus)와 웜(Worm) 패턴을 차단하는 패킷 컨텐츠 감시(Packet Contents Inspection) 기능과 해커로 부터 DOS(Denial of Service) 공격 등을 감시하고 차단하는 기능을 포함한다. IPS 시스템의 가입자 정합 장치에서 고속 패킷 처리 장치에 바이러스와 웜을 차단하기 위한 데이터 패턴 분석은, 도 3의 패킷 감시 장치(300; Packet Inspection engine)에서 수행된다. 패킷 감시 장치(300)는 제1 패킷 처리부(110b)에서 제공되는 여분의 SPI 커넥터(116)를 통하여 데이터 경로가 연결되고 호스트 CPU(115)에서 제공되는 여분의 PCI 커넥터(118)를 통하여 제어 경로가 연결된다. 도 3에 도시한 바와 같이 가입자 정합 장치로 사용되는 경우의 본 발명에 따른 패킷 처리 장치의 패킷 처리 경로를 살펴보면 다음과 같다.
(a) 인그레스 패킷 흐름
물리적 링크 → 송수신기(211, 212, 21n) → 프레임 처리부(214) → SPI 브리지부(111) → IPsec 처리부(114) → SPI 커넥터(116, 301) → 패킷 감시 엔진(303) → SPI 커넥터(116, 301) → SPI 브리지부(111) → 네트워크 프로세서(112) → 스위치 인터페이스(113) → 스위치 패브릭(50)
(b) 이그레스 패킷 흐름
스위치 패브릭(50) → 스위치 인터페이스(113) → 네트워크 프로세서(112) → SPI 브리지부(111) → IPsec 처리부(114) → SPI 브리지부(111) → 프레임 처리부(214) → 송수신기(211, 212, 21n) → 물리적 링크
4) VPN 서비스 카드로 응용되는 경우:
VPN 서비스 카드로 본 발명의 범용 패킷 처리 장치(110c)가 응용되는 경우는 도 4에 도시한 바와 같이 제1 패킷 처리부(110c)만으로 구성된다. 현재 IPsec 서비스를 원하는 가입자가 소수이기 때문에 모든 가입자 장치에 IPsec 처리부(114) 메저닌 카드(mezzanine card)를 부착하는 것은 때때로 비경제적일 수 있다. 이러한 문제를 해결하기 위해서는 여러 개의 가입자 정합 장치에서 전달되는 스트림 중에 IPsec 서비스를 원하는 스트림만 VPN 서비스 카드로 전달하여 처리한다. 즉, 본 발명의 범용 패킷 처리 장치의 제1 패킷 처리부(110c)를 IPsec 기능의 서버로 사용한다. 여기서 IPsec 처리부(114)는 복호된 패킷을 암호화하고 암호화된 패킷을 복호한다. 본 발명의 범용 패킷 처리 장치가 VPN 서비스 카드로 응용되는 경우의 패킷 처리 흐름은 다음과 같다.
스위치 패브릭(50) → 스위치 인터페이스(113) → 네트워크 프로세서(112) → SPI 브리지부(111) → IPsec 처리부(114) → SPI 브리지부(111) → 네트워크 프로세서(112) → 스위치 인터페이스(113) → 스위치 패브릭(50)
이로써, 본 발명에 따른 범용 패킷 처리 장치는 다양한 응용 서비스를 제공할 수 있도록 범용성을 갖는다.
이상에서 살펴본 바와 같이 본 발명에 따른 범용 패킷 처리 장치는, 범용적으로 다양한 응용 서비스를 제공할 수 있도록 ATCA 표준 규격을 준수하고 SPI 브리지 칩을 포함한 패킷 처리 장치를 구성함으로써 패킷 처리 장치를 포함하는 시스템의 초기 개발 비용을 줄이고 시스템의 개발 기간을 단축시키며 시스템의 확장성을 향상시킬 수 있는 이점을 제공한다.
또한, 본 발명에 따른 범용 패킷 처리 장치는, SPI 브리지 칩을 사용하여 각 기능 블록들 간의 고속 패킷 데이터를 전달할 수 있고, 각 기능 블록들을 선택적으로 확장할 수 있는 구조를 갖춤으로써 패킷 처리 장치가 응용되는 시스템의 유연성을 크게 증가시킬 수 있게 하는 이점을 제공한다.
이상 본 발명의 바람직한 실시예에 대해 상세히 기술하였지만, 본 발명이 속하는 기술분야에 있어서 통상의 지식을 가진 사람이라면, 첨부된 청구 범위에 정의된 본 발명의 정신 및 범위를 벗어나지 않으면서 본 발명을 여러 가지로 변형 또는 변경하여 실시할 수 있음을 알 수 있을 것이다. 따라서 본 발명의 앞으로의 실시예들의 변경은 본 발명의 기술을 벗어날 수 없을 것이다.

Claims (6)

  1. 범용적으로 패킷을 처리하기 위한 범용 패킷 처리 장치에 있어서,
    다수 개의 SPI(System Packet Interface) 인터페이스를 갖는 SPI 브리지부;
    상기 SPI 브리지부에 연결되며, 패킷 룩업 및 패킷을 편집하는 네트워크 프로세서;
    상기 네트워크 프로세서에 수신된 패킷의 제어 정보를 분석하여 스위치 패브릭(Fabric) 전달에 적합하도록 상기 패킷을 편집하여 상기 스위치 패브릭으로 전달하거나 상기 스위치 패브릭에서 수신된 패킷의 라우팅 정보를 제거한 후 상기 네트워크 프로세서로 전달하는 스위치 인터페이스;
    상기 SPI 브리지부, 네트워크 프로세서 및 스위치 인터페이스를 제어하기 위한 호스트 중앙처리장치(CPU)를 포함하고,
    상기 범용 패킷 처리 장치는 ATCA(Advanced Telecom Computing Architecture) 표준 규격을 따르도록 된 것을 특징으로 하는 범용 패킷 처리 장치.
  2. 제1항에 있어서,
    상기 SPI 브리지부에 연결되고 상기 호스트 CPU의 제어를 받으며, 수신된 패킷의 헤더 정보를 보고 해독 여부를 결정하여 패킷을 처리하고, 처리된 패킷을 상기 SPI 브리지로 전달하는 IPsec(Internet Protocol Security protocol) 처리부를 더 포함하는 것을 특징으로 하는 범용 패킷 처리 장치.
  3. 제1항에 있어서,
    상기 SPI 브리지부의 여분의 SPI 인터페이스를 사용할 수 있도록 하기 위한 적어도 2개의 SPI 커넥터를 포함하는 것을 특징으로 하는 범용 패킷 처리 장치.
  4. 제2항에 있어서,
    상기 IPsec 처리부는 선택적으로 사용가능하도록 착탈식의 메저닌 카드(Mezzanine card)로 제작되어 실장되는 것을 특징으로 하는 범용 패킷 처리 장치.
  5. 삭제
  6. 범용적으로 패킷을 처리하기 위한 범용 패킷 처리 장치에 있어서,
    다수 개의 SPI(System Packet Interface) 인터페이스를 갖는 SPI 브리지부와; 상기 SPI 브리지부에 연결되며 패킷 룩업 및 패킷을 편집하는 네트워크 프로세서; 상기 네트워크 프로세서에 연결되며 스위치 패브릭(Fabric) 정합 소자로 이루어진 스위치 인터페이스; 및 상기 SPI 브리지부, 네트워크 프로세서 및 스위치 인터페이스를 제어하기 위한 호스트 중앙처리장치를 구비하는 제1 패킷 처리부와,
    물리 링크의 아날로그 신호에서 디지털 신호를 복원하기 위한 다수의 송수신기와; 각 물리 매체에 적합한 패킷 프레임을 생성하고 복원하며 트래픽을 제어하기 위한 프레임 처리부를 구비하는 제2 패킷 처리부를 포함하고,
    상기 범용 패킷 처리 장치는 ATCA 표준 규격을 따르도록 된 것을 특징으로 하는 범용 패킷 처리 장치.
KR1020050076548A 2004-09-06 2005-08-20 범용 패킷 처리 장치 KR100687749B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020040070797 2004-09-06
KR20040070797 2004-09-06

Publications (2)

Publication Number Publication Date
KR20060053189A KR20060053189A (ko) 2006-05-19
KR100687749B1 true KR100687749B1 (ko) 2007-02-27

Family

ID=37150266

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050076548A KR100687749B1 (ko) 2004-09-06 2005-08-20 범용 패킷 처리 장치

Country Status (1)

Country Link
KR (1) KR100687749B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011046342A2 (ko) * 2009-10-12 2011-04-21 한국전자통신연구원 패킷 전달 장치 및 그 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100745675B1 (ko) * 2005-12-07 2007-08-02 한국전자통신연구원 Atca 플랫폼을 위한 고성능 패킷 스위칭 장치 및 방법
KR100848316B1 (ko) * 2006-12-05 2008-07-24 한국전자통신연구원 Atca 시스템에서 ipmi 메시지를 이용한 보드의상태 정보 제공 방법 및 그 장치
KR100929234B1 (ko) * 2007-12-11 2009-12-01 한국전자통신연구원 에스피아이브리지와, 패킷처리장치 및 그 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002028123A2 (en) 2000-09-29 2002-04-04 Lifelink, Inc. Wireless gateway capable of communicating according to a plurality of protocols
KR20040015308A (ko) * 2002-05-16 2004-02-18 인텔 코포레이션 프로토콜 독립적 데이터 전송 방법, 장치, 정보 처리 장치및 시스템
WO2004054203A1 (en) 2002-12-05 2004-06-24 Intel Corporation Method and apparatus to perform translation in a modular system comprising network nodes and a switching fabric
KR20050061927A (ko) * 2003-12-19 2005-06-23 한국전자통신연구원 부하 분산 장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002028123A2 (en) 2000-09-29 2002-04-04 Lifelink, Inc. Wireless gateway capable of communicating according to a plurality of protocols
KR20040015308A (ko) * 2002-05-16 2004-02-18 인텔 코포레이션 프로토콜 독립적 데이터 전송 방법, 장치, 정보 처리 장치및 시스템
WO2004054203A1 (en) 2002-12-05 2004-06-24 Intel Corporation Method and apparatus to perform translation in a modular system comprising network nodes and a switching fabric
KR20050061927A (ko) * 2003-12-19 2005-06-23 한국전자통신연구원 부하 분산 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011046342A2 (ko) * 2009-10-12 2011-04-21 한국전자통신연구원 패킷 전달 장치 및 그 방법
WO2011046342A3 (ko) * 2009-10-12 2011-09-01 한국전자통신연구원 패킷 전달 장치 및 그 방법

Also Published As

Publication number Publication date
KR20060053189A (ko) 2006-05-19

Similar Documents

Publication Publication Date Title
CN110431823B (zh) 促进硬件加速器中的安全通信管理的方法及硬件加速器
CN106375493B (zh) 一种跨网络通信的方法以及代理服务器
US7587587B2 (en) Data path security processing
EP1427164B1 (en) Tagging mechanism for data path security processing
US7254114B1 (en) Network router having integrated flow accounting and packet interception
US7869352B1 (en) Adaptive network router
US7738396B1 (en) Network device having accounting service card
CN107005483B (zh) 用于高性能网络结构安全的技术
US20020032867A1 (en) Multi-system architecture using general purpose active-backplane and expansion-bus compatible single board computers and their peripherals for secure exchange of information and advanced computing
US8199754B2 (en) Intrusion prevention system edge controller
JP2005287024A (ja) マルチモード無線lan動作機能を備えるモジュール型暗号機器及び関連する方法
US7023863B1 (en) Apparatus and method for processing encrypted packets in a computer network device
WO2002082767A3 (en) System and method for distributing security processing functions for network applications
JP2005287023A (ja) 拡張インタフェース・プロトコル機能を備えるモジュール型暗号機器及び関連する方法
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
EP1463239A3 (en) Protection of network infrastructure and secure communication of control information thereto
Lu et al. Ipsec implementation on xilinx virtex-ii pro fpga and its application
JP2005323337A (ja) モジュール型暗号機器及び関連する方法
KR100687749B1 (ko) 범용 패킷 처리 장치
US11870797B2 (en) Isolating internet-of-things (IoT) devices using a secure overlay network
JP2005287025A (ja) ステータス判定機能を備えるモジュール型暗号機器及び関連する方法
Friend Making the gigabit IPsec VPN architecture secure
CN111464550B (zh) 一种用于报文处理设备的https透明防护方法
US20230269075A1 (en) Devices, systems, and methods for integrating encryption service channels with a data path
US20090222904A1 (en) Network access node computer for a communication network, communication system and method for operating a communication system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110131

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee