KR101308089B1 - 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법 - Google Patents

고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법 Download PDF

Info

Publication number
KR101308089B1
KR101308089B1 KR1020110145783A KR20110145783A KR101308089B1 KR 101308089 B1 KR101308089 B1 KR 101308089B1 KR 1020110145783 A KR1020110145783 A KR 1020110145783A KR 20110145783 A KR20110145783 A KR 20110145783A KR 101308089 B1 KR101308089 B1 KR 101308089B1
Authority
KR
South Korea
Prior art keywords
vpn
network packet
devices
network
vpn device
Prior art date
Application number
KR1020110145783A
Other languages
English (en)
Other versions
KR20130093767A (ko
Inventor
홍기훈
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020110145783A priority Critical patent/KR101308089B1/ko
Publication of KR20130093767A publication Critical patent/KR20130093767A/ko
Application granted granted Critical
Publication of KR101308089B1 publication Critical patent/KR101308089B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure

Abstract

IPSec VPN의 고가용성을 지원하기 위한 시스템이 개시된다. 상기 시스템은 제 1 네트워크에 연결되는 복수의 제 1 VPN 장비; 및 상기 복수의 제 1 VPN 장비와 복수의 통신 터널을 형성하고, 제 2 네트워크에 연결되는 복수의 제 2 VPN 장비를 포함할 수 있다. 각각의 제 1 VPN 장비는 상기 제 1 네트워크로부터 전송되는 네트워크 패킷을 상기 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 전송할 수 있다.
본 발명은 복수의 통신 터널을 형성하고, 네트워크 패킷의 해시 값 및/또는 우선순위 값을 이용하여 통신 터널을 선택함으로써 둘 이상의 VPN 장비가 모두 활성 상태에서 동작하게 하여 VPN 장비의 활용도를 높이는 동시에, 상기 둘 이상의 VPN 장비를 통해 고가용성을 제공할 수 있는 IPSec VPN 시스템을 제공할 수 있다.

Description

고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법{IPSEC VPN SYSTEM AND METHOD FOR SUPPORING HIGH AVAILABILITY}
본 발명은 IPSec VPN에 관한 것으로서, 더 구체적으로는, IPSec VPN에서 고가용성을 지원하기 위한 기술에 관한 것이다.
IPSec 가상 사설망(Virtual Private Network, VPN)은 원거리 네트워크 간에 공개된 인터넷과 같은 공중 교환 회선망(Public Switched Network)을 통해 전용망과 같이 안전하게 통신하게 하는 네트워크 서비스이다. 즉, IPSec VPN을 통해 물리적인 네트워크의 구성과는 무관하게 논리적인 회선을 설정함으로써, 별도의 전용망을 구축하지 않고도 공중 교환 회선에서의 안정성을 보장하기 위한 가상 사설 통신망을 구축할 수 있다.
IPSec VPN의 고가용성(HA: High Availability)은 장비의 하드웨어 혹은 소프트웨어적인 오류나 장애에 의해 서비스가 불가한 상황을 미리 방지하고 지속적인 서비스가 가능하게 하는 시스템 기술을 의미한다. 이와 관련하여, 도 1a 및 도 1b는 고가용성을 제공하는 종래의 IPSec VPN 시스템을 도시한다.
도 1a에서 도시되는 바와 같이, 제 1 VPN 장비와 제 2 VPN 장비는 제 1 네트워크 및 제 2 네트워크 사이에서 통신 터널을 형성하고 있다. 두 개의 제 1 VPN 장비 및 두 개의 제 2 VPN 장비가 도시되지만, 각각 하나의 제 1 VPN 장비 및 제 2 VPN 장비만이 실제 통신에 이용되고 있으며, 나머지 VPN 장비는 고가용성을 위한 예비(redundant) VPN 장비에 해당한다. 제 1 VPN 장비에 장애(failure)가 발생하여, 종래의 통신 터널을 이용하여 통신을 수행할 수 없게 되면, 도 1b에서 도시되는 바와 같이, 예비 제 1 VPN 장비가 제 2 VPN 장비와 통신 터널을 형성하고, 통신을 수행하게 된다.
이러한 고가용성 구성은 크게 활성(active)/대기(standby) 방식과 활성(active)/상시대기(hot-standby) 방식으로 나누어질 수 있다. 활성/대기 방식은 가상 IP를 사용하여 활성 상태에서 동작하는 활성 VPN 장비에 장애가 발생하면, 사용하던 가상 IP를 대기 상태에서 동작하는 대기 VPN 장비로 전송한 후, 새롭게 인터넷 키 교환이 수행되고, 암호화 통신이 이루어지게 한다. 그러나 이러한 방식은 대기 VPN 장비로 가상 IP가 전송하고, 인터넷 키 교환을 수행하는 등으로 인해, 터널이 새롭게 생성될 때까지 대기 시간이 존재하기 때문에 즉각적인 장애 극복(failover)이 수행되지 않는다. 이에 반해, 활성/상시대기 방식의 경우, 활성 VPN 장비와 대기 VPN 장비 간에 보안 정보(즉, 키 및 보안 정책)을 공유하여 활성 VPN 장비에 장애가 발생하면 상시대기 VPN 장비가 인터넷 키 교환 없이 바로 장애극복이 수행될 수 있다. 그러나 이러한 고가용성 기술들은 하나의 VPN 장비만 통신을 수행하고 다른 하나의 VPN 장비는 대기하여야 하기 때문에 전체적인 자원의 낭비를 야기할 수 있다. 또한 여러 VPN 장비를 이용하여 고가용성을 지원하도록 시스템을 구성하더라도 하나의 VPN 장비만이 실제 서비스를 수행하고, 나머지 장비들은 대기 상태에 있기 때문에, 고가용성 구성에서 두 개의 VPN 장비라는 한계를 가지게 된다.
따라서, 둘 이상의 VPN 장비가 모두 활성 상태에서 동작하게 함으로써 VPN 장비의 활용도를 높이는 동시에, 상기 둘 이상의 VPN 장비를 통해 고가용성을 제공할 수 있는 IPSec VPN 기술이 요구된다.
본 발명은 상기 문제점을 해결하기 위한 것으로서, 둘 이상의 VPN 장비가 모두 활성 상태에서 동작하게 함으로써 VPN 장비의 활용도를 높이는 동시에, 상기 둘 이상의 VPN 장비를 통해 고가용성을 제공할 수 있는 IPSec VPN 시스템을 제공하는데 그 목적이 있다.
본 발명의 실시예에서, IPSec VPN의 고가용성을 지원하기 위한 시스템이 개시된다. 상기 시스템은 제 1 네트워크에 연결되는 복수의 제 1 VPN 장비; 및 상기 복수의 제 1 VPN 장비와 복수의 통신 터널을 형성하고, 제 2 네트워크에 연결되는 복수의 제 2 VPN 장비를 포함할 수 있다. 각각의 제 1 VPN 장비는 상기 제 1 네트워크로부터 전송되는 네트워크 패킷을 상기 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 전송할 수 있다.
본 발명의 실시예에서, IPSec VPN의 고가용성을 지원하기 위한 방법이 개시된다. 상기 방법은 제 1 VPN 장비가 복수의 제 2 VPN 장비와 복수의 통신 터널을 형성하는 단계; 제 1 VPN 장비가 제 1 네트워크로부터 네트워크 패킷을 수신하는 단계; 상기 제 1 VPN 장비가, 상기 복수의 제 2 VPN 장비 각각이 상기 제 1 VPN 장비에 대한 우선순위 값을 가지는지 여부를 판단하는 단계; 상기 판단 결과, 상기 제 1 VPN 장비에 대한 우선순위 값을 가지는 경우, 상기 제 1 VPN 장비가 상기 복수의 제 2 VPN 장비 중 상기 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계; 및 상기 판단 결과, 상기 제 1 VPN 장비에 대한 우선순위 값을 가지지 않는 경우, 제 1 VPN 장비가 상기 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계를 포함할 수 있다.
본 발명은 복수의 통신 터널을 형성하고, 네트워크 패킷의 해시 값 및/또는 우선순위 값을 이용하여 통신 터널을 선택함으로써 둘 이상의 VPN 장비가 모두 활성 상태에서 동작하게 하여 VPN 장비의 활용도를 높이는 동시에, 상기 둘 이상의 VPN 장비를 통해 고가용성을 제공할 수 있는 IPSec VPN 시스템을 제공할 수 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1a 및 도 1b는 고가용성을 제공하는 종래의 IPSec VPN 시스템을 도시한다.
도 2는 본 발명의 실시예들에 따라, IPSec VPN의 고가용성을 지원하기 위한 예시적인 시스템을 도시한다.
도 3은 본 발명의 실시예에 따라, 우선순위 값에 기초하여 VPN 장비를 선택하는 예시를 도시한다.
도 4는 본 발명의 실시예들에 따라, 라우터를 이용하여 고가용성을 지원하기 위한 예시적인 IPSec VPN 시스템을 도시한다.
도 5는 본 발명의 실시예들에 따라, IPSec VPN의 고가용성을 지원하기 위한 예시적인 방법을 도시한다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명함으로써, 본 발명을 상세히 설명하기로 한다.
도 2는 본 발명의 실시예들에 따라, IPSec VPN의 고가용성을 지원하기 위한 예시적인 시스템을 도시한다. 상기 시스템은 제 1 네트워크(210); 상기 제 1 네트워크(210)에 연결되는 복수의 제 1 VPN 장비(230); 상기 복수의 제 1 VPN 장비(230);와 복수의 통신 터널을 형성하는 복수의 제 2 VPN 장비(240); 및 상기 복수의 제 2 VPN 장비(240)에 연결되는 제 2 네트워크(260)를 포함할 수 있다.
제 1 네트워크(210) 및 제 2 네트워크(260)는 서버 및/또는 사용자 단말(terminal)을 포함하는 내부 네트워크를 구성한다. 하기 도 4에서 도시되는 바와 같이, 상기 제 1 네트워크(210)는 복수의 서브 네트워크로 구분될 수 있다. 상기 제 2 네트워크(260) 또한 명시적으로 도시되지는 않았으나, 제 1 네트워크(210)와 마찬가지로 복수의 서브 네트워크로 구분될 수 있다. 도 1에서 도시되는 바와 같이, 제 1 네트워크(210)와 상기 제 2 네트워크(260)를 연결하는 가상 사설 통신망을 구축하기 위해 각각의 네트워크에 복수의 VPN 장비(즉, 제 1 VPN 장비(230) 및 제 2 VPN 장비(240))가 연결된다.
복수의 제 1 VPN 장비(230)와 복수의 제 2 VPN 장비(240)는 복수의 통신 터널을 형성하고 있다. 도 1a 및 도 1b에서 도시되는 바와 같이, 종래에 고가용성 구성을 위해 복수의 VPN 장비가 시스템에 포함되더라도 하나의 통신 터널만을 형성할 수 있었다. 그러나, 본 발명은 복수의 통신 터널을 형성하고, 하기 설명할 바와 같이, 우선순위 값 및/또는 네트워크 패킷의 해시 값을 이용하여 복수의 통신 터널을 선택함으로써 상기 복수의 제 1 VPN 장비(230) 및 상기 복수의 제 2 VPN 장비(240) 모두가 활성(active) 상태에서 동작할 수 있다.
일 실시예에서, 제 1 VPN 장비(230)는 제 1 네트워크(230)로부터 전송되는 네트워크 패킷을 복수의 제 2 VPN 장비(240) 중에서 네트워크 패킷의 해시(hash) 값으로부터 결정되는 제 2 VPN 장비(240)로 전송할 수 있다. 즉, 제 2 VPN 장비(240)가 우선순위 값을 가지지 않는 경우, 네트워크 패킷의 해시 값에 기초하여 네트워크 패킷을 전송할 제 2 VPN 장비(240)를 선택할 수 있다. 여기서, 네트워크 패킷의 해시 값은 네트워크 패킷을 구성하는 항목들을 해시 함수를 이용하여 해시한 값으로서, 네트워크 패킷의 통신 세션을 고유하게 특정하기 위한 값에 해당한다. 상기 해시 값은 네트워크 패킷의 출발지 IP 주소 및 목적지 IP 주소를 해시한 값을 포함할 수 있다. 또한 상기 해시 값은 네트워크 패킷의 출발지 IP 주소, 출발지 포트, 목적지 IP 주소 및 목적지 포트를 해시한 값을 포함할 수 있다. 출발지 IP 주소 및 목적지 IP 주소, 또는 출발지 IP 주소, 출발지 포트, 목적지 IP 주소 및 목적지 포트에 따라 고유하게 통신 세션을 특정할 수 있으며, 네트워크 패킷의 해시 값은 이러한 통신 세션에 따라 상이하기 때문에, 상기 네트워크 패킷이 전송되는 제 2 VPN 장비 또한 상이해진다. 즉, 해시 값을 따라 네트워크 패킷이 전송되는 제 2 VPN 장비가 선택되기 때문에, 제 1 VPN 장비와 복수의 통신 터널을 형성하고 있는 복수의 제 2 VPN 장비 모두가 활성 상태로 동작할 수 있다. 또한 동일한 해시 값을 가지는 네트워크 패킷의 경우, 동일한 제 2 VPN 장비로 계속해서 신호를 전송하게 함으로써, 동일한 세션 내에서 패킷의 순서가 바뀌지 않게 한다. 상기 IP 주소, 포트 등에 부가하여, 네트워크 패킷을 구성하는 다른 항목들이 해시 값을 생성하기 위해 이용될 수 있다. 또한, 해시 값을 생성하는 해시 함수에는 특별한 제한이 없으며, 당해 기술분야에서 이용가능한 다양한 해시 함수가 본 발명에서 이용될 수 있다.
부가적인 실시예에서, 제 1 VPN 장비(230)로부터 네트워크 패킷을 수신하는 제 2 VPN 장비(240)에 장애가 발생하면, 제 1 VPN 장비(230)는 장애가 발생하지 않은 제 2 VPN 장비(240) 중에서 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비(240)로 상기 네트워크 패킷을 전송할 수 있다.
도 2에서, 제 1 VPN 장비(230)는 네트워크 패킷의 해시 값을 이용하여 패킷을 전송할 제 2 VPN 장비(240)를 선택하게 된다. 본 예시에서, 해시 값은 네트워크 패킷의 출발지 IP 및 목적지 IP를 해시한 값이다. 제 1 VPN 장비(230)가 수신한 네트워크 패킷의 출발지 IP 주소 및 목적지 IP 주소의 해시 값이 413425라고 가정하면, 네트워크 패킷을 전송가능한 제 2 VPN 장비(240)는 네 개이므로, 413425를 4로 나누고, 그 나머지 값(즉, 1)에 따라 네 개의 제 2 VPN 장비(240) 중에서 하나를 선택할 수 있다. 제 1 VPN 장비가 상기 네트워크 패킷과는 상이한 네트워크 패킷을 수신하고, 상기 수신한 네트워크 패킷의 출발지 IP 주소 및 목적지 IP 주소의 해시 값이 413423이라고 가정하면, 상기 해시 값을 4로 나눈 나머지 값(즉, 3)에 따라 413425의 해시 값과는 상이한 제 2 VPN 장비를 선택하게 된다. 이처럼, IP 주소에 따라 네트워크 패킷이 전송되는 제 2 VPN 장비가 상이해지게 함으로써, 복수의 통신 터널을 형성하고 있는 복수의 제 2 VPN 장비 모두가 활성 상태에서 동작할 수 있다.
또한, 선택된 제 2 VPN 장비(240)에 장애가 발생한 경우, 장애가 발생한 VPN 장비(240)를 제외한 나머지 VPN 장비(240)들 중 하나를 해시 값을 이용하여 선택할 수 있다. 이 경우, 전송가능한 제 2 VPN 장비(240)는 세 개이므로, 해시 값 413425를 3으로 나누고, 그 나머지 값에 따라 제 2 VPN 장비(240)를 선택하게 될 것이다. 이러한 방법은 해시 값을 이용하여 복수의 VPN 장비 중 하나를 선택할 수 있는 많은 방법 중에 하나일 뿐이며, 본 명세서에서 제시되지 않았으나, 당해 기술분야에서 이용가능한 다양한 방법들이 이용될 수 있다.
일 실시예에서, 상기 복수의 제 1 VPN 장비(230) 각각에 대해 상기 복수의 제 2 VPN 장비(240) 각각은 우선순위 값을 가질 수 있다. 각각의 제 1 VPN 장비(230)는 상기 제 1 네트워크(210)로부터 전송되는 네트워크 패킷을 상기 복수의 제 2 VPN 장비(240) 중에서 상기 각각의 제 1 VPN 장비(230)에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비(240)로 전송하게 된다.
도 3은 본 발명의 실시예에 따라, 우선순위 값에 기초하여 VPN 장비를 선택하는 예시를 도시한다. 도 3의 제 1 VPN 장비(230) 및 복수의 제 2 VPN 장비(240)는 도 2에서 도시되는 제 1 VPN 장비(230) 및 제 2 VPN 장비(240)와 동일한 것으로서, 다만 설명의 간이를 위해, 설명에 불필요한 부분은 제외한 것이다. 도시되는 바와 같이, 제 1 VPN 장비(230)는 제 1 네트워크(210)로부터 수신한 네트워크 패킷을 제 2 네트워크(260)로 전송해야 하는데, 상기 전송에 이용가능한 제 2 VPN 장비(240)는 모두 네 개이다. 상기 네 개의 제 2 VPN 장비(240)는 상기 제 1 VPN 장비(230)에 대해 차례로 50, 40, 30 및 30의 우선순위 값을 가진다. 따라서, 제 1 VPN 장비(230)는 가장 높은 우선순위 값 50을 가지는 제 2 VPN 장비(240)로 네트워크 패킷을 전송하게 된다.
부가적인 실시예에서, 제 1 VPN(230) 장비로부터 네트워크 패킷을 수신하는 제 2 VPN 장비(240)에 장애가 발생하면, 제 1 VPN 장비(230)는 장애가 발생하지 않은 제 2 VPN 장비(240) 중에서 제 1 VPN 장비(230)에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비(240)로 네트워크 패킷을 전송할 수 있다.
예를 들어, 도 3에서 우선순위 값이 50을 가지는 제 2 VPN 장비(240)에 장애가 발생하면, 다음의 우선순위 값, 즉 40의 우선순위 값을 가지는 제 2 VPN 장비(240)에 대해 네트워크 패킷을 전송함으로써, 계속해서 통신이 이루어지게 한다.
일 실시예에서, 장애가 발생하지 않은 제 2 VPN 장비(240) 중에서 제 1 VPN 장비(230)에 대해 가장 높은 우선순위 값을 가지는 복수의 제 2 VPN 장비(240)가 존재하는 경우, 제 1 VPN 장비(230)는 가장 높은 우선순위 값을 가지는 복수의 제 2 VPN 장비(240) 중에서 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비(240)로 상기 네트워크 패킷을 전송할 수 있다. 즉, 제 2 VPN 장비(240)가 우선순위 값을 가지더라도, 가장 높은 우선순위 값을 제 2 VPN 장비(240)가 복수 개 존재하는 경우에는 네트워크 패킷의 해시 값을 통해, 네트워크 패킷을 전송할 제 2 VPN 장비(240)를 결정할 수 있다.
도 3의 예시에서, 우선순위 값 50 및 40을 가지는 제 2 VPN 장비(240)에 장애가 발생하는 경우, 네트워크 패킷을 전송가능한 제 2 VPN 장비(240)는 두 개이며, 동일한 우선순위 값 30을 가진다. 이러한 경우, 네트워크 패킷의 해시 값을 이용하여 상기 두 개의 제 2 VPN 장비(240) 중 하나를 선택할 수 있다.
도 4는 본 발명의 실시예들에 따라, 라우터를 이용하여 고가용성을 지원하기 위한 예시적인 IPSec VPN 시스템을 도시한다. 도 4의 제 1 네트워크(210), 제 1 라우터(220) 및 복수의 제 1 VPN 장비(230)는 도 2에서 도시되는 제 1 네트워크(210), 제 1 라우터(220) 및 복수의 제 1 VPN 장비(230)와 동일한 것으로서, 다만 설명의 간이를 위해, 설명에 불필요한 부분은 제외한 것이다.
제 1 네트워크(210)는 네트워크 대역에 따라 구분되는 복수의 제 1 서브 네트워크(211 및 212)를 포함할 수 있다. 도시되는 바와 같이, 제 1 네트워크(210)는 두 개의 제 1 서브 네트워크(211 및 212)를 포함하고 있으나, 이는 예시적인 것으로서 더 많은 수의 서브 네트워크로 구성될 수 있다. 이때, 상기 복수의 제 1 서브 네트워크(211 및 212) 각각에 대해 상기 복수의 제 1 VPN 장비(230) 각각은 우선순위 값을 가지며, 상기 제 1 라우터(220)는 각각의 제 1 서브 네트워크(211 및 212)로부터 전송되는 네트워크 패킷을 상기 복수의 제 1 VPN 장비(230) 중에서 상기 각각의 제 1 서브 네트워크(211 및 212)에 대해 가장 높은 우선순위 값을 가지는 제 1 VPN 장비(230)로 전송할 수 있다. 즉, 본 발명은 네트워크 대역에 따라 네트워크를 복수의 서브 네트워크로 분할하고, 각각의 서브 네트워크에 대해 우선적으로 이용되는 제 1 VPN 장비를 달리함으로써, 고가용성을 위해 이용되는 복수의 제 1 VPN 장비 모두가 활성 상태로 동작할 수 있다.
예를 들어, 도 4에서, 제 1 서브 네트워크(211)에 대해 제 1 VPN 장비(231)가 다른 제 1 VPN 장비(232) 보다 더 높은 우선순위 값을 가지는 경우, 제 1 라우터(220)는 제 1 서브 네트워크(211)로부터 전송되는 네트워크 패킷은 제 1 VPN 장비(231)로 전송한다. 마찬가지로, 제 1 서브 네트워크(212)에 대해 제 1 VPN 장비(232)가 다른 제 1 VPN 장비(231) 보다 더 높은 우선순위 값을 가지는 경우, 제 1 라우터(220)는 제 1 서브 네트워크(212)로부터 전송되는 네트워크 패킷은 제 1 VPN 장비(232)로 전송한다.
일 실시예에서, 상기 제 1 라우터(220)로부터 네트워크 패킷을 수신하는 제 1 VPN 장비(230)에 장애가 발생하면, 상기 제 1 라우터(220)는 장애가 발생하지 않은 제 1 VPN 장비(230) 중에서 가장 높은 우선순위 값을 가지는 제 1 VPN 장비로(230) 상기 네트워크 패킷을 전송할 수 있다. 예를 들어, 도 4에서, 제 1 VPN 장비(231)에 장애가 발생한 경우, 제 1 라우터(220)는 제 1 서브 네트워크(211)로부터 전송되는 네트워크 패킷을 다른 제 1 VPN 장비(232)에 전송함으로써, 지속적인 서비스 제공할 수 있다.
도 5는 본 발명의 실시예들에 따라, IPSec VPN의 고가용성을 지원하기 위한 예시적인 방법(500)을 도시한다. 상기 방법(500)은 도 2의 제 1 VPN 장비(230)가 제 2 VPN 장비(240)로 네트워크 패킷을 전송하는 경우, 상기 제 1 VPN 장비(230)가 복수의 제 2 VPN 장비(240) 중 어느 VPN 장비에 네트워크 패킷을 전송할지를 선택하기 위한 것이다. 상기 방법(500)은 제 1 VPN 장비가 복수의 제 2 VPN 장비와 복수의 통신 터널을 형성하는 단계(501); 제 1 VPN 장비가 제 1 네트워크로부터 네트워크 패킷을 수신하는 단계(502); 상기 제 1 VPN 장비가, 상기 복수의 제 2 VPN 장비 각각이 상기 제 1 VPN 장비에 대한 우선순위 값을 가지는지 여부를 판단하는 단계(503); 상기 판단 결과, 상기 제 1 VPN 장비에 대한 우선순위 값을 가지는 경우, 상기 제 1 VPN 장비가 상기 복수의 제 2 VPN 장비 중 상기 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계(504); 및 상기 판단 결과, 상기 제 1 VPN 장비에 대한 우선순위 값을 가지지 않는 경우, 제 1 VPN 장비가 상기 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계(505)를 포함할 수 있다.
먼저, 단계(501)에서, 제 1 VPN 장비는 복수의 제 2 VPN 장비와 동일한 보안 정책을 공유하는 복수의 통신 터널을 형성할 수 있다. 제 1 VPN 장비 및 복수의 제 2 VPN 장비 사이에 동일한 보안 정책을 공유하는 복수의 통신 터널을 형성함으로써, 상기 복수의 제 2 VPN 장비 모두가 활성 상태에서 동작할 수 있다. 계속해서, 단계(502)에서, 제 1 VPN 장비는 제 1 네트워크로부터 네트워크 패킷을 수신할 수 있다. 제 1 VPN 장비는 복수의 제 2 VPN 장비와 복수의 통신 터널을 형성하고 있기 때문에 어떠한 통신 터널을 이용하여(즉, 복수의 제 2 VPN 장비 중 어떠한 제 2 VPN 장비로) 네트워크 패킷을 전송할지를 결정해야 한다.
단계(503)에서, 상기 제 1 VPN 장비는 상기 복수의 제 2 VPN 장비 각각이 상기 제 1 VPN 장비에 대한 우선순위 값을 가지는지 여부를 판단할 수 있다. 상기 판단 결과, 상기 복수의 제 2 VPN 장비가 상기 제 1 VPN 장비에 대한 우선순위 값을 가지는 경우, 상기 제 1 VPN 장비는 상기 복수의 제 2 VPN 장비 중 상기 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송할 수 있다(단계(504)). 이와 달리, 상기 복수의 제 2 VPN 장비가 상기 제 1 VPN 장비에 대한 우선순위 값을 가지지 않는 경우, 제 1 VPN 장비는 상기 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송할 수 있다(단계(505)). 즉, 제 2 VPN 장비가 우선순위 값을 가지는 경우, 상기 우선순위에 따라 네트워크 패킷을 전송할 제 2 VPN 장비를 선택하며, 그렇지 않은 경우 네트워크 패킷의 해시 값에 따라 제 2 VPN 장비를 선택하게 된다. 여기서, 상기 네트워크 패킷의 해시 값은 상기 네트워크 패킷의 출발지 IP 주소 및 목적지 IP 주소를 해시한 값을 포함할 수 있다. 또한, 상기 네트워크 패킷의 해시 값은 상기 네트워크 패킷의 출발지 IP 주소, 출발지 포트, 목적지 IP 주소 및 목적지 포트를 해시한 값을 포함할 수 있다.
일 실시예에서, 상기 네트워크 패킷을 전송하는 단계(505)는 상기 제 1 VPN 장비로부터 네트워크 패킷을 수신하는 제 2 VPN 장비에 장애가 발생하면, 상기 제 1 VPN 장비가 장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계를 포함할 수 있다.
일 실시예에서, 상기 네트워크 패킷을 전송하는 단계(504)는 상기 제 1 VPN 장비로부터 네트워크 패킷을 수신하는 제 2 VPN 장비에 장애가 발생하면, 상기 제 1 VPN 장비가 장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계를 포함할 수 있다.
일 실시예에서, 상기 네트워크 패킷을 전송하는 단계(504)는 장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 복수의 제 2 VPN 장비가 존재하는 경우, 상기 제 1 VPN 장비가 상기 가장 높은 우선순위 값을 가지는 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계를 포함할 수 있다.
본 발명은 복수의 통신 터널을 형성하고, 네트워크 패킷의 해시 값 및/또는 우선순위 값을 이용하여 통신 터널을 선택함으로써 둘 이상의 VPN 장비가 모두 활성 상태에서 동작하게 하여 VPN 장비의 활용도를 높이는 동시에, 상기 둘 이상의 VPN 장비를 통해 고가용성을 제공할 수 있는 IPSec VPN 시스템을 제공할 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (15)

  1. IPSec VPN의 고가용성(high availability)을 지원하기 위한 시스템으로서,
    제 1 네트워크에 연결되는 복수의 제 1 VPN 장비; 및
    상기 복수의 제 1 VPN 장비와 복수의 통신 터널을 형성하고, 제 2 네트워크에 연결되는 복수의 제 2 VPN 장비를 포함하고,
    각각의 제 1 VPN 장비는 상기 제 1 네트워크로부터 전송되는 네트워크 패킷을 상기 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시(hash) 값으로부터 결정되는 제 2 VPN 장비로 전송하며,
    상기 네트워크 패킷의 해시 값은 상기 네트워크 패킷의 출발지 IP 주소 및 목적지 IP 주소를 해시한 값인,
    IPSec VPN의 고가용성을 지원하기 위한 시스템.
  2. 제 1 항에 있어서,
    상기 각각의 제 1 VPN 장비로부터 네트워크 패킷을 수신하는 제 2 VPN 장비에 장애(failure)가 발생하면, 상기 각각의 제 1 VPN 장비는 장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는,
    IPSec VPN의 고가용성을 지원하기 위한 시스템.
  3. 제 1 항에 있어서,
    상기 복수의 제 1 VPN 장비 각각에 대해 상기 복수의 제 2 VPN 장비 각각은 우선순위 값을 가지며, 각각의 제 1 VPN 장비는 상기 제 1 네트워크로부터 전송되는 네트워크 패킷을 상기 복수의 제 2 VPN 장비 중에서 상기 각각의 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 전송하는,
    IPSec VPN의 고가용성을 지원하기 위한 시스템.
  4. 제 3 항에 있어서,
    상기 각각의 제 1 VPN 장비로부터 네트워크 패킷을 수신하는 제 2 VPN 장비에 장애가 발생하면, 상기 각각의 제 1 VPN 장비는 장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 각각의 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는,
    IPSec VPN의 고가용성을 지원하기 위한 시스템.
  5. 제 3 항 또는 제 4 항에 있어서,
    장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 각각의 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 복수의 제 2 VPN 장비가 존재하는 경우, 상기 각각의 제 1 VPN 장비는 상기 가장 높은 우선순위 값을 가지는 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는,
    IPSec VPN의 고가용성을 지원하기 위한 시스템.
  6. 제 1 항에 있어서,
    상기 제 1 네트워크 및 상기 복수의 제 1 VPN 장비 사이의 신호를 중계하는 제 1 라우터를 더 포함하고,
    상기 제 1 네트워크는 네트워크 대역에 따라 구분되는 복수의 제 1 서브 네트워크를 포함하고,
    상기 복수의 제 1 서브 네트워크 각각에 대해 상기 복수의 제 1 VPN 장비 각각은 우선순위 값을 가지며,
    상기 제 1 라우터는 각각의 제 1 서브 네트워크로부터 전송되는 네트워크 패킷을 상기 복수의 제 1 VPN 장비 중에서 상기 각각의 제 1 서브 네트워크에 대해 가장 높은 우선순위 값을 가지는 제 1 VPN 장비로 전송하는,
    IPSec VPN의 고가용성을 지원하기 위한 시스템.
  7. 제 6 항에 있어서,
    상기 제 1 라우터로부터 네트워크 패킷을 수신하는 제 1 VPN 장비에 장애가 발생하면, 상기 제 1 라우터는 장애가 발생하지 않은 제 1 VPN 장비 중에서 상기 제 1 라우터에 대해 가장 높은 우선순위 값을 가지는 제 1 VPN 장비로 상기 네트워크 패킷을 전송하는,
    IPSec VPN의 고가용성을 지원하기 위한 시스템.
  8. 삭제
  9. 제 1 항에 있어서,
    상기 네트워크 패킷의 해시 값은 상기 네트워크 패킷의 상기 출발지 IP 주소, 출발지 포트, 상기 목적지 IP 주소 및 목적지 포트를 해시한 값인,
    IPSec VPN의 고가용성을 지원하기 위한 시스템.
  10. IPSec VPN의 고가용성을 지원하기 위한 방법으로서,
    제 1 VPN 장비가 복수의 제 2 VPN 장비와 복수의 통신 터널을 형성하는 단계;
    제 1 VPN 장비가 제 1 네트워크로부터 네트워크 패킷을 수신하는 단계;
    상기 제 1 VPN 장비가, 상기 복수의 제 2 VPN 장비 각각이 상기 제 1 VPN 장비에 대한 우선순위 값을 가지는지 여부를 판단하는 단계;
    상기 판단 결과, 상기 제 1 VPN 장비에 대한 우선순위 값을 가지는 경우, 상기 제 1 VPN 장비가 상기 복수의 제 2 VPN 장비 중 상기 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계; 및
    상기 판단 결과, 상기 제 1 VPN 장비에 대한 우선순위 값을 가지지 않는 경우, 제 1 VPN 장비가 상기 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계를 포함하되,
    상기 네트워크 패킷의 해시 값은 상기 네트워크 패킷의 출발지 IP 주소 및 목적지 IP 주소를 해시한 값인,
    IPSec VPN의 고가용성을 지원하기 위한 방법.
  11. 제 10 항에 있어서,
    상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계는,
    상기 제 1 VPN 장비로부터 네트워크 패킷을 수신하는 제 2 VPN 장비에 장애가 발생하면, 상기 제 1 VPN 장비가 장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계를 포함하는,
    IPSec VPN의 고가용성을 지원하기 위한 방법.
  12. 제 10 항에 있어서,
    상기 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계는,
    상기 제 1 VPN 장비로부터 네트워크 패킷을 수신하는 제 2 VPN 장비에 장애가 발생하면, 상기 제 1 VPN 장비가 장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계를 포함하는,
    IPSec VPN의 고가용성을 지원하기 위한 방법.
  13. 제 10 항 또는 제 12 항에 있어서,
    상기 가장 높은 우선순위 값을 가지는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계는,
    장애가 발생하지 않은 제 2 VPN 장비 중에서 상기 제 1 VPN 장비에 대해 가장 높은 우선순위 값을 가지는 복수의 제 2 VPN 장비가 존재하는 경우, 상기 제 1 VPN 장비가 상기 가장 높은 우선순위 값을 가지는 복수의 제 2 VPN 장비 중에서 상기 네트워크 패킷의 해시 값으로부터 결정되는 제 2 VPN 장비로 상기 네트워크 패킷을 전송하는 단계를 포함하는,
    IPSec VPN의 고가용성을 지원하기 위한 방법.
  14. 삭제
  15. 제 10 항에 있어서,
    상기 네트워크 패킷의 해시 값은 상기 네트워크 패킷의 상기 출발지 IP 주소, 출발지 포트, 상기 목적지 IP 주소 및 목적지 포트를 해시한 값인,
    IPSec VPN의 고가용성을 지원하기 위한 방법.
KR1020110145783A 2011-12-29 2011-12-29 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법 KR101308089B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110145783A KR101308089B1 (ko) 2011-12-29 2011-12-29 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110145783A KR101308089B1 (ko) 2011-12-29 2011-12-29 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130093767A KR20130093767A (ko) 2013-08-23
KR101308089B1 true KR101308089B1 (ko) 2013-09-12

Family

ID=49217815

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110145783A KR101308089B1 (ko) 2011-12-29 2011-12-29 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101308089B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528778A (zh) * 2016-06-10 2017-12-29 Arad网络有限公司 动态隧道端方式的vpn系统、用于其的虚拟路由器及管理器装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040028329A (ko) * 2002-09-30 2004-04-03 주식회사 케이티 차별화 서비스를 제공하는 가상 사설망 서비스 처리 방법
KR20040033956A (ko) * 2002-10-16 2004-04-28 주식회사 케이티 가상랜 구성정보와 가상 사설망별 가중치 정보를 이용한매트로 이더넷 망관리 시스템 및 그 방법
KR20040098093A (ko) * 2003-05-13 2004-11-20 (주)디엔피그룹 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법
JP2009021952A (ja) * 2007-07-13 2009-01-29 Yamaha Corp 通信システム、通信装置および管理装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040028329A (ko) * 2002-09-30 2004-04-03 주식회사 케이티 차별화 서비스를 제공하는 가상 사설망 서비스 처리 방법
KR20040033956A (ko) * 2002-10-16 2004-04-28 주식회사 케이티 가상랜 구성정보와 가상 사설망별 가중치 정보를 이용한매트로 이더넷 망관리 시스템 및 그 방법
KR20040098093A (ko) * 2003-05-13 2004-11-20 (주)디엔피그룹 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법
JP2009021952A (ja) * 2007-07-13 2009-01-29 Yamaha Corp 通信システム、通信装置および管理装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107528778A (zh) * 2016-06-10 2017-12-29 Arad网络有限公司 动态隧道端方式的vpn系统、用于其的虚拟路由器及管理器装置

Also Published As

Publication number Publication date
KR20130093767A (ko) 2013-08-23

Similar Documents

Publication Publication Date Title
EP3522457B1 (en) Dedicated virtual local area network for peer-to-peer traffic transmitted between switches
ES2796473T3 (es) Sistema de red que tiene interfaces virtuales y un módulo de enrutamiento para una red virtual
US20200396162A1 (en) Service function chain sfc-based communication method, and apparatus
US20160380966A1 (en) Media Relay Server
US7548556B1 (en) Secure communication through a network fabric
JP2022550356A (ja) マルチテナントソフトウェア定義ワイドエリアネットワーク(sd-wan)ノードを提供するための方法、システム、およびコンピュータ読取可能媒体
US10027574B2 (en) Redundant pathways for network elements
US20130205025A1 (en) Optimized Virtual Private Network Routing Through Multiple Gateways
US9491122B2 (en) Systems and methods for server and switch failover in a black core network
US20160380789A1 (en) Media Relay Server
US11785078B1 (en) Multi-cloud active mesh network system and method
KR102050910B1 (ko) 연결 실패 시에 홈 네트워크에 대한 재라우팅을 인에이블시키는 방법 및 시스템
CN109450905B (zh) 传输数据的方法和装置及系统
WO2021008591A1 (zh) 数据传输方法、装置及系统
US11647069B2 (en) Secure remote computer network
CN101741740B (zh) 一种负载平衡的方法、系统和设备
KR101308089B1 (ko) 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법
EP4250649A1 (en) Packet forwarding method and apparatus, and network system
WO2014044088A1 (zh) L2tp网络的保护方法、装置及系统
JP2011160286A (ja) 呼制御サーバ、中継サーバ、vpn装置、vpn通信システム、vpnネットワーキング方法、プログラム、及び記憶媒体
US11502942B1 (en) Active mesh network system and method
US11855896B1 (en) Systems and methods for load balancing network traffic at firewalls deployed in a cloud computing environment
US11843539B1 (en) Systems and methods for load balancing network traffic at firewalls deployed in a cloud computing environment
US20240129232A1 (en) Systems and methods for load balancing network traffic at firewalls deployed in a cloud computing environment
CN116366593A (zh) 报文转发方法及相关装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160905

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180904

Year of fee payment: 6