KR101121853B1 - 패킷 전달 시스템 및 방법 - Google Patents

패킷 전달 시스템 및 방법 Download PDF

Info

Publication number
KR101121853B1
KR101121853B1 KR1020100018682A KR20100018682A KR101121853B1 KR 101121853 B1 KR101121853 B1 KR 101121853B1 KR 1020100018682 A KR1020100018682 A KR 1020100018682A KR 20100018682 A KR20100018682 A KR 20100018682A KR 101121853 B1 KR101121853 B1 KR 101121853B1
Authority
KR
South Korea
Prior art keywords
data packet
data processing
virtual
switch
network
Prior art date
Application number
KR1020100018682A
Other languages
English (en)
Other versions
KR20110099579A (ko
Inventor
박성용
공석환
이재용
Original Assignee
연세대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 연세대학교 산학협력단 filed Critical 연세대학교 산학협력단
Priority to KR1020100018682A priority Critical patent/KR101121853B1/ko
Publication of KR20110099579A publication Critical patent/KR20110099579A/ko
Application granted granted Critical
Publication of KR101121853B1 publication Critical patent/KR101121853B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

패킷 전달 시스템 및 방법이 개시된다. 개시된 패킷 전달 시스템은 가상 라우터를 포함하고, 소정의 가상 어플리케이션을 선택적으로 포함하는 복수의 가상 머신이 각각 구현되어 있는 복수의 데이터 처리 장치; 제1 네트워크로부터 수신된 데이터 패킷을 상기 복수의 데이터 처리 장치 중 적어도 하나의 데이터 처리 장치로 전달하기 위한 제1 스위치; 및 상기 적어도 하나의 데이터 처리 장치에서 출력된 데이터 패킷을 복수의 제2 네트워크 중 어느 하나의 제2 네트워크로 전송하기 위한 제2 스위치를 포함하되, 상기 수신된 데이터 패킷은 네트워크 서비스 요구 정보를 포함하고, 상기 적어도 하나의 데이터 처리 장치는 상기 네트워크 서비스 요구 정보와 대응되는 가상 머신이 구현된 데이터 처리 장치이다.

Description

패킷 전달 시스템 및 방법{SYSTEM AND METHOD FOR TRANSFERRING PACKET}
본 발명의 일실시예들은 패킷 전달 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 전체적인 네트워크의 자원을 효율적으로 관리하면서도 사용자에게 차별화된 네트워크 서비스를 제공할 수 있는 패킷 전달 시스템 및 방법에 관한 것이다.
종래의 네트워크 환경은 데이터 패킷의 경로를 설정하기 위한 라우터 및 스위치와, 보안을 적용하기 위한 방화벽 및 침입 방지 시스템(IDS: Intrusion Detection System)으로서 기능하는 장치들이 별도로 구비됨으로써 네트워크의 구성이 복잡하다는 문제점이 있었다. 또한, 종래의 보안 관련 장치들은 네트워크 장비와 직렬로 연결이 되어 있어서, 다른 산업들과 연계하여 다양한 종류의 네트워크를 구성하기에는 비효율적이라는 문제점이 있었다.
특히 IDS의 경우, 데이터 패킷(네트워크 트래픽)을 모니터링하여 수신된 데이터 패킷이 침입자로부터 전송된 것으로 판단되는 경우, 이를 차단하는 기능을 수행하는데, 상기의 과정은 모든 데이터 패킷마다 이루어지는바, 복잡하고 연결된 네트워크에 미치는 영향이 크다. 또한, IDS가 네트워크와 직렬로 연결되는 경우, 모든 네트워크에 보안이 적용되어 대역폭에 영향을 주므로, 한정된 개수의 네트워크 장치들을 가지고 다양한 사용자 요구에 따른 계층적 네트워크 서비스를 제공하기에는 무리가 있었다.
상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 본 발명에서는 전체적인 네트워크의 자원을 효율적으로 관리하면서도 사용자에게 차별화된 네트워크 서비스를 제공할 수 있는 패킷 전달 시스템 및 방법을 제안하고자 한다.
상기한 목적을 달성하기 위해 본 발명의 바람직한 일실시예에 따르면, 가상 라우터를 포함하고, 소정의 가상 어플리케이션을 선택적으로 포함하는 복수의 가상 머신이 각각 구현되어 있는 복수의 데이터 처리 장치; 제1 네트워크로부터 수신된 데이터 패킷을 상기 복수의 데이터 처리 장치 중 적어도 하나의 데이터 처리 장치로 전달하기 위한 제1 스위치; 및 상기 적어도 하나의 데이터 처리 장치에서 출력된 데이터 패킷을 복수의 제2 네트워크 중 어느 하나의 제2 네트워크로 전송하기 위한 제2 스위치를 포함하되, 상기 수신된 데이터 패킷은 네트워크 서비스 요구 정보를 포함하고, 상기 적어도 하나의 데이터 처리 장치는 상기 네트워크 서비스 요구 정보와 대응되는 가상 머신이 구현된 데이터 처리 장치인 것을 특징으로 하는 패킷 전달 시스템이 제공된다.
이 때, 상기 출력된 데이터 패킷은 상기 네트워크 서비스 요구 정보를 포함하고, 상기 어느 하나의 제2 네트워크는 상기 네트워크 서비스 요구 정보와 대응되는 제2 네트워크일 수 있다.
또한, 상기 복수의 제2 네트워크는 VLAN(Virtual Local Area Network)이고, 상기 네트워크 서비스 요구 정보는 상기 수신된 데이터 패킷 또는 상기 출력된 데이터 패킷의 포함된 VLAN 주소일 수 있다.
또한, 상기 수신된 데이터 패킷은 목적지 MAC 주소를 포함하고, 상기 적어도 하나의 데이터 처리 장치는 상기 복수의 가상 머신 중에서 상기 수신된 데이터 패킷의 목적지 MAC 주소와 동일한 MAC 주소를 갖는 가상 라우터를 포함하는 적어도 하나의 가상 머신을 이용하여 상기 수신된 데이터 패킷을 라우팅 프로세싱하여 상기 제2 스위치로 출력되는 데이터 패킷을 생성할 수 있다.
또한, 상기 가상 어플리케이션은 IDS(Intrusion Detection System) 어플리케이션, 메일 서버 어플리케이션, DNS(Domain Name System) 서버 어플리케이션, API(Application programming interface) 서버 어플리케이션, 프린터 서버 어플리케이션, 및 라우팅 프로토콜 스택(stack) 중 어느 하나일 수 있다.
또한, 상기 복수의 데이터 처리 장치, 상기 제1 스위치, 및 상기 제2 스위치 중에서 적어도 하나를 제어하는 프로세서를 더 포함할 수 있다. 이 경우, 상기 복수의 데이터 처리 장치 중에서 어느 하나의 데이터 처리 장치에 구현된 복수의 가상 머신 중에서 적어도 하나의 가상 머신을 상기 복수의 데이터 처리 장치 중에서 다른 하나의 데이터 처리 장치로 마이그레이션(migration) 되도록 상기 어느 하나의 데이터 처리 장치, 상기 다른 하나의 데이터 처리 장치 제1 스위치 및 상기 제2 스위치 중 적어도 하나를 제어할 수 있다.
또한, 본 발명의 다른 일실시예에 따르면, 제1 스위치, 제2 스위치, 및 가상 라우터를 포함하고, 소정의 가상 어플리케이션을 선택적으로 포함하는 복수의 가상 머신이 각각 구현되어 있는 복수의 데이터 처리 장치를 포함하는 패킷 전달 시스템을 이용한 패킷 전달 방법에 있어서, 제1 네트워크로부터 네트워크 서비스 요구 정보를 포함하는 데이터 패킷을 수신하는 단계; 상기 제1 스위치를 이용하여 상기 복수의 데이터 처리 장치 중에서 상기 네트워크 서비스 요구 정보와 대응되는 가상 머신이 구현된 데이터 처리 장치로 상기 수신된 데이터 패킷을 전달하는 하는 단계; 상기 적어도 하나의 데이터 처리 장치에서 상기 수신된 데이터 패킷을 라우팅 프로세싱하는 단계; 및 상기 제2 스위치를 이용하여 상기 라우팅 프로세싱된 데이터 패킷을 복수의 제2 네트워크 중 어느 하나의 제2 네트워크로 전송하는 단계를 포함하는 것을 특징으로 하는 패킷 전달 방법이 제공된다.
본 발명에 따르면, 전체적인 네트워크의 자원을 효율적으로 관리하면서도 다양한 사용자에게 차별화된 네트워크 서비스를 제공할 수 있게 된다.
도 1은 본 발명의 일실시예에 따른 패킷 전달 시스템의 상세한 구성을 도시한 블록도이다.
도 2는 본 발명의 일실시예에 따른 가상 머신의 마이그레이션을 설명하기 위한 도면이다.
도 3은 본 발명의 바람직한 일실시예에 따른 패킷 전달 방법의 전체적인 흐름을 도시한 순서도이다.
도 4는 본 발명의 다른 일실시예에 따른 패킷 전달 방법의 전체적인 흐름을 도시한 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 패킷 전달 시스템의 상세한 구성을 도시한 블록도이다.
도 1을 참고하면, 본 발명의 일실시예에 따른 패킷 전달 시스템(100)은 물리적으로 분리된 복수의 데이터 처리 장치(110, 120), 제1 스위치(130), 제2 스위치(140), 및 프로세서(150)를 포함할 수 있다. 이하, 각 구성 요소 별로 그 기능을 상술하기로 한다.
복수의 데이터 처리 장치(110, 120)에는 라우팅 기능을 수행하기 위한 가상 머신(111, 112, 121, 122)이 구현되어 있다. 일례로, 복수의 데이터 처리 장치(110, 120)는 PC(Personal Computer)일 수 있다.
가상 머신(111, 112, 121, 122)은 라우팅 기능을 수행하기 위한 가상 라우터(113, 114, 123, 124)를 필수적으로 포함하고, 사용자에게 소정의 네트워크 서비스를 제공하기 위한 가상 어플리케이션(125, 126)을 선택적으로 포함한다. 가상 라우터(113, 114, 123, 124) 각각에는 MAC(Media Access Control) 주소가 할당된다.
이 때, 데이터 처리 장치(110, 120) 각각에는 동일한 기능을 수행하는 복수의 가상 머신이 구현될 수 있다. 즉, 도 1에 도시된 바와 같이, 제1 데이터 처리 장치(110)에는 가상 라우터(113, 114)만을 포함하는 가상 머신(111, 112)이 구현되고, 제2 데이터 처리 장치(120)에는 가상 라우터(123, 124) 및 가상 어플리케이션(125, 126)을 포함하는 가상 머신(121, 122)이 구현될 수 있다.
본 발명의 일실시예에 따르면, 가상 어플리케이션(125, 126)은 IDS(Intrusion Detection System) 어플리케이션, 메일 서버 어플리케이션, DNS(Domain Name System) 서버 어플리케이션, API(Application programming interface) 서버 어플리케이션, 프린터 서버 어플리케이션, 및 라우팅 프로토콜 스택(stack) 등 다양한 가상 어플리케이션일 수 있다.
이하에서는 설명의 편의를 위해 가상 어플리케이션(125, 126)이 침입자로부터 전송된 데이터 패킷을 차단하기 위한 IDS 어플리케이션인 것으로 가정하여 설명한다. 즉, 제1 데이터 처리 장치(110)는 보안이 적용되지 않는 네트워크 사이에서의 데이터 패킷 전달을 위한 라우팅 프로세싱을 수행하고, 제2 데이터 처리 장치(120)는 보안이 적용된 네트워크 사이에서의 데이터 패킷 전달을 위한 라우팅 프로세싱을 수행하는 것으로 가정하여 설명한다. 그러나, 본 발명이 이에 한정되는 것은 아니다.
제1 스위치(130)는 복수의 데이터 처리 장치(110, 120)의 입력단과 연결되어 있으며, 외부에 존재하는 제1 네트워크로부터 수신된 데이터 패킷(수신 데이터 패킷)을 복수의 데이터 처리 장치(110, 120) 중에서 적어도 하나의 데이터 처리 장치(보다 정확하게는 데이터 처리 장치 내에 구현된 복수의 가상 머신 중 하나 이상의 가상 머신)로 전달한다.
이 때, 수신 데이터 패킷에는 사용자의 네트워크 서비스 요구 정보가 포함되는데, 제1 스위치(130)는 이러한 네트워크 서비스 요구 정보와 대응되는 가상 머신이 구현된 데이터 처리 장치(110, 120)로 수신 데이터 패킷을 전달한다.
본 발명의 일실시예에 따르면, 네트워크 서비스 요구 정보는 VLAN(Virtual Local Area Network) 주소 형태로 표현될 수 있다. VLAN 주소는 목적지의 MAC 주소를 포함하는바, 제1 스위치(130)는 수신 데이터 패킷에 포함된 가상 목적지 MAC 주소와 동일한 MAC 주소를 갖는 가상 머신으로 수신 데이터 패킷을 전달할 수 있다.
수신 데이터 패킷을 전달받은 적어도 하나의 데이터 처리 장치(110, 120)는 가상 머신(111, 112, 121, 122)을 이용하여 수신 데이터 패킷을 라우팅 프로세싱하여 송신 데이터 패킷을 생성하고, 이를 제2 스위치(140)로 출력한다. 즉, 수신 데이터 패킷을 전달받은 적어도 하나의 데이터 처리 장치는 수신된 데이터 패킷의 목적지 MAC 주소와 동일한 MAC 주소를 갖는 가상 라우터를 포함하는 적어도 하나의 가상 머신을 이용하여 수신된 데이터 패킷을 라우팅 프로세싱하여 송신 데이터 패킷을 생성하고, 이를 제2 스위치로 출력한다.
제2 스위치(140)는 출력된 송신 데이터 패킷을 복수의 제2 네트워크 중 어느 하나의 제2 네트워크로 전송한다.
이 때, 데이터 패킷이 전송되는 어느 하나의 제2 네트워크는 네트워크 서비스 요구 정보와 대응되는 네트워크이다. 일례로, 데이터 패킷이 전송되는 제2 네트워크는 송신 데이터 패킷에 포함되는 MAC 주소를 갖는 장비를 포함하는 가상 네트워크일 수 있다.
일례로, 제1 네트워크 및 제2 네트워크 A가 보안이 적용되지 않는 네트워크(보안 미적용 네트워크)이고, 제2 네트워크 B가 보안이 적용되는 네트워크(보안 적용 네트워크)이며, 사용자의 네트워크 서비스 요구가 "트래픽 보안의 미적용"인 경우, 제1 스위치(130)는 IDS 어플리케이션(125, 126)을 포함하지 않는 가상 머신(111, 112)이 구현된 제1 데이터 처리 장치(110)로 수신 데이터 패킷을 전달한다. 수신 데이터 패킷을 전달받은 제1 데이터 처리 장치(110)는 가상 머신(111, 112)을 이용하여 라우팅 프로세싱을 수행하여 송신 데이터 패킷을 생성하고 이를 제2 스위치(140)로 출력하고, 제2 스위치(140)는 보안이 적용되지 않는 제2 네트워크 A로 송신 데이터 패킷을 전송한다.
반대로, 제1 네트워크 및 제2 네트워크 A, 제2 네트워크 B가 상기와 같이 존재하고, 사용자의 네트워크 서비스 요구가 "트래픽 보안의 적용"인 경우, 제1 스위치(130)는 IDS 어플리케이션(125, 126)을 포함하는 가상 머신(121, 122)이 구현된 제2 데이터 처리 장치(120)로 수신 데이터 패킷을 전달한다. 수신 데이터 패킷을 전달받은 제2 데이터 처리 장치(120)는 가상 머신(121, 122)을 이용하여 라우팅 프로세싱을 수행하여 송신 데이터 패킷을 생성하고 이를 제2 스위치(140)로 출력하고, 제2 스위치(140)는 보안이 적용된 제2 네트워크 B로 송신 데이터 패킷을 전송한다.
위와 같은 복수의 데이터 처리 장치(110, 120), 제1 스위치(130), 제2 스위치(140)의 동작은 프로세서(150)에 의해 제어될 수 있다.
이와 같이, 본 발명의 일실시예에 따른 패킷 전달 시스템(100)은 가상화 기반의 라우팅 기능, 가상 어플리케이션을 가상 라우터와 연결시키는 기능, 및 관리자에 의해 가상 라우터의 상태를 모니터링 하면서 상황에 따라 어플리케이션과 스위치를 조절함으로써 동적으로 가상 네트워크를 관리하는 기능을 제공한다.
즉, 종래의 패킷 전달 시스템(라우터 시스템)은 단일 플랫폼으로 구현되어 있고 어플리케이션들이 플랫폼마다 제한적이어서, 사용자가 원하는 어플리케이션을 동적으로 형성하여 네트워크에 포함시키기 위해서는 많은 수의 장비를 구비해야 하는 비효율성이 있다. 이에 반해 본 발명의 일실시예에 따른 패킷 전달 시스템(100)은 가상화 시스템을 이용해서 다수의 가상 라우터 및 가상 라우터 내의 라우팅 테이블을 구성한 후, 분리된 다양한 가상 어플리케이션을 연결시킴으로써, 사용자는 원하는 어플리케이션을 동적으로 형성하여 네트워크에 포함시킬 수 있게 된다.
또한, 본 발명의 일실시예에 따르면, 프로세서(150)는 복수의 데이터 처리 장치(110, 120) 중에서 어느 하나의 데이터 처리 장치에 구현된 복수의 가상 머신 중에서 적어도 하나의 가상 머신을 다른 하나의 데이터 처리 장치로 마이그레이션(migration)되도록 제어할 수 있다.
일례로, 제1 스위치(130)가 수신 데이터 패킷을 제1 데이터 처리 장치(110)로 전달하고, 가상 머신(111, 112)가 수신된 데이터 패킷에 대해 라우팅 프로세싱을 수행할 때, 제1 데이터 처리 장치(110)의 데이터 처리에 많은 부하(load)가 걸리는 경우가 발생할 수 있다. 그런데, 제2 데이터 처리 장치(120)는 아무런 라우팅 프로세싱을 수행하지 않으므로 제2 데이터 처리 장치(120)는 프로세싱 작업을 수행하기 위한 리소스의 여유가 존재한다. 따라서, 프로세서(150)는 도 2에 도시된 바와 같이 제1 데이터 처리 장치(110)에 구현되어 있는 가상 머신(112)을 제2 데이터 처리 장치(120)로 마이그레이션시켜 제1 데이터 처리 장치(110)에 걸리는 부하를 감소시킨다. 이에 따라 분산 처리 기반의 라우팅 프로세싱이 가능하게 된다. 가상 머신의 마이그레이션은 제1 스위치(130) 및 제2 스위치(140) 중에서 적어도 하나를 통해 수행될 수 있다.
이에 따라 물리적으로 분리된 데이터 처리 장치 사이의 자원 효율을 최적화 할 수 있게 된다.
도 3은 본 발명의 바람직한 일실시예에 따른 패킷 전달 방법의 전체적인 흐름을 도시한 순서도이다. 이하, 도 3을 참고하여 각 단계별로 수행되는 과정을 설명하기로 한다.
먼저, 단계(S310)에서는 제1 네트워크로부터 네트워크 서비스 요구 정보를 포함하는 데이터 패킷을 수신한다. 일례로서, 네트워크 서비스 요구 정보는 네트워크 서비스 요구 정보는 목적지에 대한 가상 MAC 주소를 포함하는 VLAN 주소 형태로 표현될 수 있다.
단계(S320)에서는 제1 스위치를 이용하여 네트워크 서비스 요구 정보와 대응되는 가상 머신이 구현된 데이터 처리 장치로 수신된 데이터 패킷을 전달한다.
일례로서, 네트워크 서비스 요구 정보는 VLAN 주소 형태로 표현될 수 있고, 스위치(130)는 수신 데이터 패킷에 포함된 목적지 MAC 주소와 동일한 MAC 주소를 갖는 가상 머신으로 수신 데이터 패킷을 전달할 수 있다.
단계(S330)에서는 수신 데이터 패킷을 전달받은 적어도 하나의 데이터 처리 장치가 수신된 데이터 패킷을 라우팅 프로세싱한다. 즉, 적어도 하나의 데이터 처리 장치는 수신된 데이터 패킷의 목적지 MAC 주소와 동일한 MAC 주소를 갖는 가상 라우터를 포함하는 적어도 하나의 가상 머신을 이용하여 수신된 데이터 패킷을 라우팅 프로세싱하여 송신 데이터 패킷을 생성한다.
마지막으로, 단계(S340)에서는 제2 스위치를 이용하여 라우팅 프로세싱된 데이터 패킷(송신 데이터 패킷)을 복수의 제2 네트워크 중 어느 하나의 제2 네트워크로 전송한다. 이 때, 데이터 패킷이 전송되는 어느 하나의 제2 네트워크는 네트워크 서비스 요구 정보와 대응되는 네트워크이다. 일례로, 데이터 패킷이 전송되는 제2 네트워크는 송신 데이터 패킷에 포함되는 MAC 주소를 갖는 장비를 포함하는 가상 네트워크일 수 있다.
도 4는 본 발명의 다른 일실시예에 따른 패킷 전달 방법의 전체적인 흐름을 도시한 순서도이다. 도 4에 도시된 데이터 패킷 전달 방법은 네트워크 보안이 적용된 경로와 네트워크 보안이 적용되지 않은 경로 중에서 어느 하나를 통해 데이터 패킷을 전달하는 방법에 관한 것이다. 이하, 도 4를 참고하여, 각 단계별로 수행되는 과정을 설명하기로 한다.
단계(S411)에서는 외부 네트워크에서 전송된 데이터 패킷을 수신한다.
단계(S412)에서는 수신된 데이터 패킷의 목적지 MAC 주소 및 목적지 IP 신호를 추출한다. 단계(S412)는 앞서 설명한 제1 스위치(130)에 의해 수행될 수 있다.
단계(S413)에서는 추출된 데이터 패킷의 목적지 MAC 주소가 유니캐스트 MAC 주소인지를 판단한다.
만약 목적지 MAC 주소가 유니캐스트 MAC 주소인 경우, 단계(S414) 내지 단계(S419)가 수행되고, 목적지 MAC 주소가 유니캐스트 데이터 패킷아 아니라면 단계(S420) 내지 단계(S42)가 수행된다.
먼저, 목적지 MAC 주소가 유니캐스트 MAC 주소인 경우를 살펴보면 아래와 같다.
단계(S414)에서는 목적지 MAC 주소와 동일한 MAC 주소를 갖는 가상 머신이 존재하는지를 판단한다.
만약, 동일한 MAC 주소를 갖는 가상 머신이 존재하지 않는다면, 단계(S419)에서는 수신된 데이터 패킷을 폐기하고, 동일한 MAC 주소를 갖는 가상 머신이 존재한다면, 단계(S415)에서는 해당 가상 머신으로 수신된 데이터 패킷을 전달한다.
이 후, 단계(S416)에서는 해당 가상 머신이 IDS 어플리케이션을 포함하는지를 판단한다.
만약, 해당 가상 머신이 IDS 어플리케이션을 포함하지 않는다면, 단계(S417)에서 수신된 데이터 패킷이 IDSdml 블랙 리스트와 패턴이 매칭되는지를 먼저 판단한 후, 블랙 리스트와 패턴 매칭이 되지 않는 경우에 한해 단계(S418)에서 해당 가상 머신이 수신된 데이터 패킷을 라우팅 프로세싱한다(블랙 리스트와 패턴 매칭이 된다면, 수신된 데이터 패킷을 폐기된다). 반대로, 해당 가상 머신이 IDS 어플리케이션을 포함한다면, 단계(S418)에서 해당 가상 머신이 라우팅 프로세싱이 즉시 수행된다.
다음으로, 목적지 MAC 주소가 유니캐스트 MAC 주소가 아닌 경우를 살펴보면 아래와 같다.
단계(S420)에서는 수신된 데이터 패킷이 ARP(Address Resolution Protocol) 데이터 패킷인지를 판단한다.
만약, 수신된 데이터 패킷이 ARP 데이터 패킷이라면, 단계(S421)에서는 특정 가상 머신이 데이터 패킷을 수신하여 ARP 처리를 수행한다. 반대로, 수신된 데이터 패킷이 ARP 데이터 패킷이 아니라면, 단계(S422)에서는 MAC 기반의 브로드캐스팅 처리가 수행된다.
또한, 본 발명의 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 일실시예들의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims (11)

  1. 가상 라우터 및 상기 가상 라우터에 의한 라우팅 기능 이외의 네트워크 서비스를 제공하기 위한 가상 어플리케이션을 포함하는 복수의 가상 머신이 각각 구현되어 있는 복수의 데이터 처리 장치;
    제1 네트워크로부터 수신된 데이터 패킷을 상기 복수의 데이터 처리 장치 중 적어도 하나의 데이터 처리 장치로 전달하기 위한 제1 스위치; 및
    상기 적어도 하나의 데이터 처리 장치에서 출력된 데이터 패킷을 복수의 제2 네트워크 중 어느 하나의 제2 네트워크로 전송하기 위한 제2 스위치를 포함하되,
    상기 수신된 데이터 패킷 및 상기 출력된 데이터 패킷은 네트워크 서비스 요구 정보를 포함하고,
    상기 적어도 하나의 데이터 처리 장치는 상기 네트워크 서비스 요구 정보와 대응되는 가상 어플리케이션을 포함하는 가상 머신이 구현되어 있는 데이터 처리 장치로서, 상기 네트워크 서비스 요구 정보와 대응되는 네트워크 서비스를 제공하면서 상기 수신된 데이터 패킷을 라우팅 프로세싱하여 출력하며,
    상기 어느 하나의 제2 네트워크는 상기 네트워크 서비스 요구 정보와 대응되는 제2 네트워크인 것을 특징으로 하는 패킷 전달 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 복수의 제2 네트워크는 VLAN(Virtual Local Area Network)이고,
    상기 네트워크 서비스 요구 정보는 상기 수신된 데이터 패킷 또는 상기 출력된 데이터 패킷에 포함된 VLAN 주소인 것을 특징으로 하는 패킷 전달 시스템.
  4. 제1항에 있어서,
    상기 수신된 데이터 패킷은 목적지 MAC 주소를 포함하고,
    상기 적어도 하나의 데이터 처리 장치는
    상기 복수의 가상 머신 중에서 상기 수신된 데이터 패킷의 목적지 MAC 주소와 동일한 MAC 주소를 갖는 가상 라우터를 포함하는 적어도 하나의 가상 머신을 이용하여 상기 수신된 데이터 패킷을 라우팅 프로세싱하여 상기 제2 스위치로 출력되는 데이터 패킷을 생성하는 것을 특징으로 하는 패킷 전달 시스템.
  5. 제1항에 있어서,
    상기 가상 어플리케이션은 IDS(Intrusion Detection System) 어플리케이션, 메일 서버 어플리케이션, DNS(Domain Name System) 서버 어플리케이션, API(Application programming interface) 서버 어플리케이션 및 프린터 서버 어플리케이션 중 어느 하나인 것을 특징으로 하는 패킷 전달 시스템.
  6. 제1항에 있어서,
    상기 복수의 데이터 처리 장치, 상기 제1 스위치, 및 상기 제2 스위치 중에서 적어도 하나를 제어하는 프로세서
    를 더 포함하는 것을 특징으로 하는 패킷 전달 시스템.
  7. 제6항에 있어서,
    상기 프로세서는
    상기 복수의 데이터 처리 장치 중에서 어느 하나의 데이터 처리 장치에 구현된 복수의 가상 머신 중에서 적어도 하나의 가상 머신을 상기 복수의 데이터 처리 장치 중에서 다른 하나의 데이터 처리 장치로 마이그레이션(migration) 되도록 상기 어느 하나의 데이터 처리 장치, 상기 다른 하나의 데이터 처리 장치 제1 스위치 및 상기 제2 스위치 중 적어도 하나를 제어하는 것을 특징으로 하는 패킷 전달 시스템.
  8. 제1 스위치 및 제2 스위치를 포함하고, 가상 라우터 및 상기 가상 라우터에 의한 라우팅 기능 이외의 네트워크 서비스를 제공하기 위한 가상 어플리케이션을 포함하는 복수의 가상 머신이 각각 구현되어 있는 복수의 데이터 처리 장치를 포함하는 패킷 전달 시스템을 이용한 패킷 전달 방법에 있어서,
    제1 네트워크로부터 네트워크 서비스 요구 정보를 포함하는 데이터 패킷을 수신하는 단계;
    상기 제1 스위치를 이용하여 상기 복수의 데이터 처리 장치 중에서 상기 네트워크 서비스 요구 정보와 대응되는 가상 어플리케이션을 포함하는 가상 머신이 구현된 데이터 처리 장치로 상기 수신된 데이터 패킷을 전달하는 하는 단계;
    상기 적어도 하나의 데이터 처리 장치에서 상기 네트워크 서비스 요구 정보와 대응되는 네트워크 서비스를 제공하면서 상기 수신된 데이터 패킷을 라우팅 프로세싱하는 단계; 및
    상기 제2 스위치를 이용하여 상기 라우팅 프로세싱된 데이터 패킷을 복수의 제2 네트워크 중 어느 하나의 제2 네트워크로 전송하는 단계를 포함하되,
    상기 라우팅 프로세싱된 데이터 패킷은 상기 네트워크 서비스 요구 정보를 포함하고, 상기 어느 하나의 제2 네트워크는 상기 네트워크 서비스 요구 정보와 대응되는 제2 네트워크인 것을 특징으로 하는 패킷 전달 방법.
  9. 삭제
  10. 제8항에 있어서,
    상기 복수의 제2 네트워크는 VLAN이고,
    상기 네트워크 서비스 요구 정보는 상기 수신된 데이터 패킷 또는 상기 라우팅 프로세싱된 데이터 패킷에 포함된 VLAN 주소인 것을 특징으로 하는 패킷 전달 방법.
  11. 제8항에 있어서,
    상기 수신된 데이터 패킷은 목적지 MAC 주소를 포함하고,
    상기 수신된 데이터 패킷을 라우팅 프로세싱하는 단계는
    상기 복수의 가상 머신 중에서 상기 수신된 데이터 패킷의 목적지 MAC 주소와 동일한 MAC 주소를 갖는 가상 라우터를 포함하는 적어도 하나의 가상 머신을 이용하여 상기 수신된 데이터 패킷을 라우팅 프로세싱하여 상기 제2 스위치로 출력되는 데이터 패킷을 생성하는 것을 특징으로 하는 패킷 전달 방법.
KR1020100018682A 2010-03-02 2010-03-02 패킷 전달 시스템 및 방법 KR101121853B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100018682A KR101121853B1 (ko) 2010-03-02 2010-03-02 패킷 전달 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100018682A KR101121853B1 (ko) 2010-03-02 2010-03-02 패킷 전달 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20110099579A KR20110099579A (ko) 2011-09-08
KR101121853B1 true KR101121853B1 (ko) 2012-03-22

Family

ID=44952418

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100018682A KR101121853B1 (ko) 2010-03-02 2010-03-02 패킷 전달 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101121853B1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9647883B2 (en) 2014-03-21 2017-05-09 Nicria, Inc. Multiple levels of logical routers
US10129180B2 (en) 2015-01-30 2018-11-13 Nicira, Inc. Transit logical switch within logical router
US10230629B2 (en) 2015-08-11 2019-03-12 Nicira, Inc. Static route configuration for logical router
US10075363B2 (en) 2015-08-31 2018-09-11 Nicira, Inc. Authorization for advertised routes among logical routers
US10095535B2 (en) 2015-10-31 2018-10-09 Nicira, Inc. Static route types for logical routers
US10153973B2 (en) 2016-06-29 2018-12-11 Nicira, Inc. Installation of routing tables for logical router in route server mode
US10454758B2 (en) 2016-08-31 2019-10-22 Nicira, Inc. Edge node cluster network redundancy and fast convergence using an underlay anycast VTEP IP
US10341236B2 (en) 2016-09-30 2019-07-02 Nicira, Inc. Anycast edge service gateways
US10931560B2 (en) 2018-11-23 2021-02-23 Vmware, Inc. Using route type to determine routing protocol behavior
US10797998B2 (en) 2018-12-05 2020-10-06 Vmware, Inc. Route server for distributed routers using hierarchical routing protocol
US10938788B2 (en) 2018-12-12 2021-03-02 Vmware, Inc. Static routes for policy-based VPN
KR102567139B1 (ko) * 2021-07-28 2023-08-14 에스케이텔레콤 주식회사 엣지 플랫폼 관리장치 및 엣지 플랫폼 관리장치의 동작 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Yi Wang et al.,"Virtual Routers on the Move: Live Router Migration as a Network-Management Primitive", Computer communication review, Vol. 38 Issue 4, p231-242 (2008.10)*
Yi Zhao et al.,"Adaptive Distributed Load Balancing Algorithm based on Live Migration of Virtual Machines in Cloud", INC, IMS and IDC, 2009. NCM '09. Fifth International Joint Conference on. p 170-175*

Also Published As

Publication number Publication date
KR20110099579A (ko) 2011-09-08

Similar Documents

Publication Publication Date Title
KR101121853B1 (ko) 패킷 전달 시스템 및 방법
US11893409B2 (en) Securing a managed forwarding element that operates within a data compute node
CN107332812B (zh) 网络访问控制的实现方法及装置
CN109565500B (zh) 按需安全性架构
EP3404878B1 (en) Virtual network apparatus, and related method
US9755959B2 (en) Dynamic service path creation
US8565237B2 (en) Concurrent data transfer involving two or more transport layer protocols over a single one-way data link
US9270566B2 (en) Monitoring server load balancing
US9363207B2 (en) Private virtual local area network isolation
US20160119226A1 (en) Transparent Network Service Header Path Proxies
US20130347095A1 (en) Isolation and security hardening among workloads in a multi-tenant networked environment
US20150188802A1 (en) System for supporting multi-tenant based on private ip address in virtual private cloud networks and operating method thereof
US20190097924A1 (en) Network services across non-contiguous subnets of a label switched network separated by a non-label switched network
US20160380789A1 (en) Media Relay Server
KR101758207B1 (ko) 서비스 기능 체이닝을 이용하는 네트워크 패킷 처리 장치 및 이의 제어 방법
EP3420687B1 (en) Addressing for customer premises lan expansion
US9716688B1 (en) VPN for containers and virtual machines in local area networks
WO2018068588A1 (zh) 提供组播业务的方法和软件定义网络控制器
CN107623636B (zh) 一种用户隔离方法和交换机
CN111107060A (zh) 一种登录请求处理方法、服务器、电子设备及存储介质
US20160277251A1 (en) Communication system, virtual network management apparatus, communication node, communication method, and program
US9426122B2 (en) Architecture for network management in a multi-service network
CN107465582B (zh) 数据发送方法、装置、系统、物理家庭网关及接入节点
US10257087B2 (en) Communication device and communication method
JP5505707B2 (ja) ネットワークシステム及びその運用方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150202

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160722

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee