KR101319428B1 - 가상 ip를 이용한 vpn 장애 극복 시스템 및 vpn에서의 장애 극복 방법 - Google Patents

가상 ip를 이용한 vpn 장애 극복 시스템 및 vpn에서의 장애 극복 방법 Download PDF

Info

Publication number
KR101319428B1
KR101319428B1 KR1020110145758A KR20110145758A KR101319428B1 KR 101319428 B1 KR101319428 B1 KR 101319428B1 KR 1020110145758 A KR1020110145758 A KR 1020110145758A KR 20110145758 A KR20110145758 A KR 20110145758A KR 101319428 B1 KR101319428 B1 KR 101319428B1
Authority
KR
South Korea
Prior art keywords
gateway device
vpn gateway
packet
vpn
virtual
Prior art date
Application number
KR1020110145758A
Other languages
English (en)
Other versions
KR20130077183A (ko
Inventor
장지훈
홍기훈
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020110145758A priority Critical patent/KR101319428B1/ko
Publication of KR20130077183A publication Critical patent/KR20130077183A/ko
Application granted granted Critical
Publication of KR101319428B1 publication Critical patent/KR101319428B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/28Routing or path finding of packets in data switching networks using route fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

VPN 장애극복 시스템은 VPN 게이트웨이 장치에서 라우터로 RIP 패킷을 보낼 때 자신의 실제 IP 주소가 아닌 가상 IP 주소를 설정한 RIP 패킷을 전송하고, 하나의 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 해당 VPN 게이트웨이 장치의 가상 IP 주소를 다른 서비스 가능한 VPN 게이트웨이 장치로 전달함으로써 빠른 시간 내에 장애를 극복할 수 있다.

Description

가상 IP를 이용한 VPN 장애 극복 시스템 및 VPN에서의 장애 극복 방법{VPN Failover System and Failover method in the VPN using Virtual IP}
본 발명은 VPN 게이트웨이 장치 및 VPN 장애극복 시스템에 관한 것으로 특히, 장애극복(failover) 시간을 감소시킬 수 있는 VPN 게이트웨이 장치 및 VPN 장애극복 시스템에 관한 것이다.
가상 사설망(Virtual Private Network, VPN)이나 방화벽 이중화 환경에서 내부 네트워크 트래픽을 가져오기 위한 방법으로 다이나믹 라우팅 프로토콜(Dynamic Routing Protocol)이 많이 사용된다. 그 중 RIP(Routing Information protocol)는 가장 사용하기 간단하고 표준 프로토콜이기 때문에 널리 이용된다.
이러한 RIP를 이용하는 VPN 또는 방화벽 이중화 환경에서는 패킷이 라우터(router)에 전달되었을 때 라우터는 자신의 라우팅 테이블(routing table)에 따라 정해진 VPN 장치에 RIP 패킷을 포워딩하게 되는데, 해당 VPN 장치가 서비스 불능 상태인 경우, 패킷이 처리되지 못하고 드랍되는 문제점이 있다. 시간이 지나면 서비스 불능 상태의 VPN 장치로부터는 RIP 패킷을 받지 못하므로 라우팅 정보가 사라져서 처리 순위가 높은 쪽으로 다시 경로가 설정되어 서비스가 가능하게 되지만 서비스가 가능하게 될 때까지의 시간이 길기 때문에 그 동안 전송되었던 패킷이 모두 드랍되어 서비스 단절이 일어나게 된다. 서비스 단절 시간은 라우터의 RIP 타이머 설정을 기본값으로 했을 때 짧게는 180초, 길게는 240초 이상 될 수 있기 때문에 문제가 된다.
본 발명이 이루고자 하는 기술적 과제는 인입단이 RIP를 이용하는 VPN 이중화 환경에서 하나의 VPN 장치가 서비스 불능 상태가 되었을 때 해당 VPN 장치의 가상 IP 주소(Internet Protocol Address)를 다른 VPN 장치로 전달하여 빠른 시간 내에 장애를 극복할 수 있는 VPN 장애극복 시스템을 제공하는 것이다.
VPN 장애극복 시스템은 라우팅 테이블을 구비하며, 상기 라우팅 테이블에 근거하여 내부 네트워크로부터 송신되는 패킷의 경로를 결정하는 라우터와, 제1 네트워크 대역 및 제1 가상 IP 주소를 상기 라우팅 테이블에 저장하기 위해 상기 제1 네트워크 대역 및 상기 제1 가상 IP 주소를 설정한 RIP(Routing Information Protocol) 패킷을 상기 라우터에 전송하는 제1 VPN 게이트웨이 장치와, 제2 네트워크 대역 및 제2 가상 IP 주소를 상기 라우팅 테이블에 저장하기 위해 상기 제2 네트워크 대역 및 상기 제2 가상 IP 주소를 설정한 RIP 패킷을 상기 라우터에 전송하는 제2 VPN 게이트웨이 장치를 포함하고, 상기 제1 VPN 게이트웨이 장치가 비정상인 경우에 상기 라우터가 상기 제1 네트워크 대역에 대한 패킷의 경로를 상기 제2 VPN 게이트웨이 장치로 결정하도록 하기 위해, 상기 제1 VPN 게이트웨이 장치는 상기 제1 가상 IP 주소를 상기 제2 VPN 게이트웨이 장치로 전달한다.
라우팅 테이블을 구비하며 상기 라우팅 테이블에 근거하여 내부 네트워크로부터 송신되는 패킷의 경로를 결정하는 라우터 및 복수의 VPN 게이트웨이 장치를 포함하는 VPN에서의 장애극복(failover) 방법은, 제1 VPN 게이트웨이 장치가 제1 네트워크 대역 및 제1 가상 IP 주소를 상기 라우팅 테이블에 저장하기 위해 상기 제1 네트워크 대역 및 상기 제1 가상 IP 주소를 설정한 RIP(Routing Information Protocol) 패킷을 상기 라우터에 전송하는 단계와, 제2 VPN 게이트웨이 장치가 제2 네트워크 대역 및 제2 가상 IP 주소를 상기 라우팅 테이블에 저장하기 위해 상기 제2 네트워크 대역 및 상기 제2 가상 IP 주소를 설정한 RIP 패킷을 상기 라우터에 전송하는 단계와, 상기 제1 VPN 게이트웨이 장치가 비정상인 경우에, 상기 라우터가 상기 제1 네트워크 대역에 대한 패킷의 경로를 상기 제2 VPN 게이트웨이 장치로 결정하도록 하기 위해, 상기 제1 VPN 게이트웨이 장치는 상기 제1 가상 IP 주소를 상기 제2 VPN 게이트웨이 장치로 전달하는 단계를 포함한다.
본 발명에 의하면, VPN 게이트웨이 장치에서 라우터로 RIP 패킷을 보낼 때 자신의 실제 IP 주소가 아닌 가상 IP 주소를 설정한 RIP 패킷을 전송하고, 하나의 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 해당 VPN 게이트웨이 장치의 가상 IP 주소를 다른 서비스 가능한 VPN 게이트웨이 장치로 전달함으로써 빠른 시간 내에 장애를 극복할 수 있다.
특히 서비스 단절에 민감한 은행, 증권사 등과 같은 기업에서는 서비스 단절에 따른 거래 중지로 인한 손실과 고객들의 신뢰도 하락 등의 문제가 발생할 수 있기 때문에 장애극복 시간을 매우 중요하게 생각한다. 따라서 본 발명에 의하면, 장애극복 시간을 크게 단축할 수 있어 위와 같은 상황을 피할 수 있다. 또한, 다른 라우터나 기타 네트워크 장비의 설정을 변경할 필요 없이 VPN 게이트웨이 장치의 RIP 동작 방식만을 변경함으로써 시스템을 간단하게 구현할 수 있다.
도 1 및 도 2는 본 발명의 실시예에 따른 VPN 장애극복 시스템에서 내부 네트워크와 원격 네트워크 사이의 패킷 송수신을 설명하기 위한 개념도 및 블록도이다.
도 3은 도 2의 제1 VPN 게이트웨이 장치를 좀 더 상세히 설명하기 위한 블록도이다.
도 4 및 도 5는 본 발명의 제1 실시예에 따른 VPN에서의 장애극복 방법을 설명하기 위한 개념도이다.
도 6은 본 발명의 제1 실시예에 따른 VPN에서의 장애극복 방법을 설명하기 위한 흐름도이다.
도 7 및 도 8은 본 발명의 제2 실시예에 따른 VPN에서의 장애극복 방법을 설명하기 위한 개념도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1 및 도 2는 본 발명의 실시예에 따른 VPN 장애극복 시스템에서 내부 네트워크와 원격 네트워크 사이의 패킷 송수신을 설명하기 위한 개념도 및 블록도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 VPN 장애극복 시스템(100)은 원격 네트워크와 내부 네트워크(150) 사이의 패킷 전송을 제어한다. 내부 네트워크(150)는 인터넷(110)을 통해 원격 네트워크와 연결된다.
내부 네트워크(150)의 호스트들(151)로부터 송신되는 패킷은 인터넷(110)을 통해 제1 원격 네트워크(250) 내의 호스트들(251) 또는 제2 원격 네트워크(260) 내의 호스트들(261)로 전달된다. 상세하게는, 내부 네트워크(150)의 호스트들로부터 송신되는 패킷은 VPN 장애 극복 시스템(100)과 인터넷(110)을 거쳐 제1 원격 네트워크(250) 또는 제2 원격 네트워크(260)로 전달되는데, 제1 원격 네트워크(250)의 호스트들(251)로 전달되는 패킷은 제1 외부 VPN 게이트웨이 장치(210) 및 제1 외부 스위칭부(230)를 통해 전달되고, 제2 원격 네트워크(260)의 호스트들(261)로 전달되는 패킷은 제2 외부 VPN 게이트웨이 장치(220) 및 제2 외부 스위칭부(240)를 통해 전달된다. 이와 동일한 방식으로, 제1 원격 네트워크(250)의 호스트들(251)로부터 송신되는 패킷은 제1 외부 스위칭부(230)와 제1 외부 VPN 게이트웨이 장치(210), 인터넷(110), 및 VPN 장애극복 시스템(100)을 차례로 거쳐 내부 네트워크(150)의 호스트들(151)로 전달되고, 제2 원격 네트워크(260)의 호스트들(261)로부터 송신되는 패킷은 제2 외부 스위칭부(240)와 제2 외부 VPN 게이트웨이 장치(220), 인터넷(110), 및 VPN 장애극복 시스템(100)을 차례로 거쳐 내부 네트워크(150)의 호스트들(151)로 전달된다.
본 발명의 실시예에 따른 VPN 장애극복 시스템은 제1 또는 제2 VPN 게이트웨이 장치(120, 130) 중 하나가 서비스 불능 상태가 된 경우(이하에서는 제1 VPN 게이트웨이 장치가 서비스 불능 상태가 된 경우를 예로 들어 설명하지만, 제2 VPN 게이트웨이 장치가 서비스 불능 상태가 된 경우에도 물론 동일하게 적용된다), 서비스 가능한 다른 하나의 VPN 게이트웨이 장치가 제1 및 제2 네트워크 대역을 모두 처리하도록 하기 위해(즉, 라우터(140)가 제1 및 제2 네트워크 대역들에 대한 패킷의 경로를 서비스 가능한 VPN 게이트웨이 장치로 결정하도록 하기 위해) 서비스 불능 상태의 VPN 게이트웨이 장치는 자신의 가상 IP 주소를 서비스 가능한 VPN 게이트웨이 장치로 전달한다. 일반적으로 제1 및 제2 VPN 게이트웨이 장치(120, 130)는 다수의 네트워크 대역들을 처리할 수 있다. 예를 들면, 제1 및 제2 VPN 게이트웨이 장치(120, 130)는 제1 및 제2 네트워크 대역을 처리할 수 있다. 좀 더 상세하게는 제1 VPN 게이트웨이 장치(120)는 제1 네트워크 대역을 우선적으로 처리하고 제2 네트워크 대역을 대기모드(Standby)로 처리할 수 있고, 제2 VPN 게이트 웨이 장치(130)는 제2 네트워크 대역을 우선적으로 처리하고 제1 네트워크 대역을 대기모드로 처리할 수 있다. 설명의 편의를 위해 명세서의 여러 곳에서 제1 VPN 게이트웨이 장치(120)가 제1 네트워크 대역을 우선적으로 처리하고 제2 VPN 게이트웨이 장치(130)가 제2 네트워크 대역을 우선적으로 처리하는 것을 예로 들어 설명한다.
도 2를 참조하면, VPN 장애극복 시스템(100)은 제1 VPN 게이트웨이 장치(120), 제2 VPN 게이트웨이 장치(130), 및 라우터(140)를 포함한다. 그리고 제1 스위칭부(160) 및 제2 스위칭부(170)를 더 포함할 수 있다.
제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)는 자신이 우선적으로 처리할 네트워크 대역 및 자신의 가상 IP 주소를 설정한 RIP(Routing Information Protocol) 패킷을 각각 라우터(140)에 전송한다. 즉, 제1 VPN 게이트웨이 장치(120)는 제1 네트워크 대역 및 제1 가상 IP 주소를 설정한 RIP 패킷을 라우터(140)에 전송하고, 제2 VPN 게이트웨이 장치(130)는 제2 네트워크 대역 및 제2 가상 IP 주소를 설정한 RIP 패킷을 라우터(140)에 전송한다.
이는 후술하는 바와 같이 자신이 우선적으로 처리할 네트워크 대역과 자신의 가상 IP 주소를 라우터(140)의 라우팅 테이블에 저장하기 위함이다. 이때 네트워크 대역의 처리 순서는 메트릭값에 의해 결정된다. 즉, 네트워크 대역을 우선적으로 처리하고자 할 수록 메트릭값을 작은 값으로 설정한 RIP 패킷을 라우터에 전송한다.
제1 VPN 게이트웨이 장치(120)가 비정상(예: 서비스 불능 상태)인 경우에, 제2 VPN 게이트웨이 장치(130)가 다수의 네트워크 대역들 모두를 처리하기 위해 즉, 라우터(140)가 모든 네트워크 대역들에 대해 패킷의 경로를 제2 VPN 게이트웨이 장치(130)로 결졍하도록 하기 위해 제1 VPN 게이트웨이 장치(120)는 자신의 가상 IP 주소를 제2 VPN 게이트웨이 장치(130)로 전달한다.
제2 VPN 게이트웨이 장치(130)는 제1 VPN 게이트웨이 장치(120)가 정상으로 복구된 후에, 라우터(140)가 제1 네트워크 대역에 대한 패킷은 상기 제1 VPN 게이트웨이 장치(120)로 전송하고 제2 네트워크 대역에 대한 패킷은 제2 VPN 게이트웨이 장치(130)로 전송하도록 하기 위해, 제1 VPN 게이트웨이 장치(120)의 가상 IP 주소를 제1 VPN 게이트웨이 장치(120)로 전달한다.
제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)는 자신의 상태 정보를 나타내는 패킷(Hello_Packet)을 상대방 장치에 전송할 수 있기 때문에 제2 VPN 게이트웨이 장치(130)는 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었는지를 알 수 있다.
라우터(140)는 라우팅 테이블을 구비하며, 라우팅 테이블에 근거하여 내부 네트워크(150) 내의 호스트들(151)과 원격 네트워크(250, 260) 내의 호스트들(251, 261)간에 송수신되는 패킷의 경로를 결정한다. 라우터(140)는 제1 VPN 게이트웨이 장치(120) 및 제2 VPN 게이트웨이 장치(130)로부터 RIP 패킷이 수신될 때마다 RIP 패킷(Packet_1, Packet_2)내의 네트워크 대역들(예: 제1 및 제2 네트워크 대역)에 대한 메트릭값을 확인하고 각 네트워크 대역에 대해 가장 작은 메트릭값을 전송한 VPN 게이트웨이 장치의 가상 IP주소를 라우팅 테이블에 업데이트한다. 또한, 라우터(140)는 내부 네트워크(150)로부터 전송된 패킷(Ho_Packet)에 포함된 네트워크 대역 정보에 근거하여 제1 VPN 게이트웨이 장치(120) 또는 제2 VPN 게이트웨이 장치(130)로 패킷(FW_Packet_1, FW_Packet_2)을 전달한다.
제1 스위칭부(160)는 제1 및 제2 VPN 게이트웨이 장치(120, 130)와 라우터(140) 사이의 패킷 전송을 스위칭한다.
제2 스위칭부(170)는 라우터(140)와 내부 네트워크(150) 내의 호스트들(151) 사이의 패킷 전송을 스위칭한다.
도 3은 도 2의 제1 VPN 게이트웨이 장치를 좀 더 상세히 설명하기 위한 블록도이다. 도 3에서는 제1 VPN 게이트웨이 장치(120)을 예로 들어 설명하기로 한다.
도 2 및 도 3을 참조하면, 제1 VPN 게이트웨이 장치(120)는 패킷 전송부(124), 및 VPN 암복호화부(126)를 포함한다.
패킷 전송부(124)는 제1 VPN 게이트웨이 장치의 가상 IP 주소가 설정된 RIP 패킷(Packet_1)을 라우터(140)로 전송한다. 또한 내부 네트워크(150) 내의 호스트들(151)로부터 전송되는 패킷(Ho_Packet)이 라우터(140)로부터 전달되면 전달된 패킷(FW_Packet_1)을 인터넷에 전송한다. 또한, 패킷 전송부(124)는 제2 VPN 게이트웨이 장치(130)로 자신의 상태 정보를 나타내는 상태 정보 패킷(Hello_Packet)을 전송할 수 있고, 특히 자신이 서비스 불능 상태가 된 경우 자신의 가상 IP 주소를 제2 VPN 게이트웨이 장치(130)에 전송할 수 있다.
VPN 암복호화부(126)는 라우터(140)로부터 패킷 전송부(124)로 전달된 패킷(FW_Packet_1)을 VPN 보안 정책(SA)에 기초하여 암호화한 후 암호화된 패킷(ENC_Packet_1)을 인터넷(110)으로 전송한다. 또한, VPN 암복호화부(126)는 인터넷(110)으로부터 전송되는 패킷(Packet_1)을 복호화하여 복호화된 패킷(DEC_Packet_1)을 패킷 전송부(124)로 전송한다.
도 3에는 도시하지 않았지만, 제2 VPN 게이트웨이 장치(130) 역시 패킷 전송부, 및 VPN 암복호화부를 포함한다.
제2 VPN 게이트웨이 장치(130) 내의 패킷 전송부는 제2 VPN 게이트웨이 장치(130)의 가상 IP 주소가 설정된 RIP 패킷(Packet_2)을 라우터(140)로 전송한다. 또한 내부 네트워크(150) 내의 호스트들(151)로부터 전송되는 패킷(Ho_Packet)이 라우터(140)로부터 전달되면 전달된 패킷(FW_Packet_2)을 인터넷에 전송한다. 또한, 패킷 전송부는 제1 VPN 게이트웨이 장치(120)로 자신의 상태 정보를 나타내는 상태 정보 패킷(Hello_Packet)을 전송할 수 있고, 특히 자신이 서비스 불능 상태가 된 경우 자신의 가상 IP 주소를 제1 VPN 게이트웨이 장치(120)에 전송할 수 있다.
이하에, 상기의 구성을 갖는 VPN에서의 장애극복 방법에 대해 설명하기로 한다.
도 4 및 도 5는 본 발명의 제1 실시예에 따른 VPN에서의 장애극복 방법을 설명하기 위한 개념도이다. 도 6은 본 발명의 제1 실시예에 따른 VPN에서의 장애극복 방법을 설명하기 위한 흐름도이다.
도 4 내지 도 6을 참조하면, 정상 서비스 상태에서, 제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)는 각각 제1 네트워크 대역(10.10.10.0/24)과 제2 네트워크 대역(20.20.20.0/24)을 우선적으로 처리하도록 메트릭값을 설정할 수 있다. 자신이 우선적으로 처리할 네트워크 대역에 대해서 메트릭값(예: '1')이 설정된다. 이러한 메트릭값을 포함하는 라우팅 정보를 RIP 패킷에 포함시켜 라우터(140)로 전송한다. 특히, 본 발명에서는 RIP 패킷을 라우터(140)로 전송할 때, 제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)가 자신의 실제 IP 주소가 아닌 가상 IP 주소를 설정한 RIP 패킷을 라우터(140)로 전송한다(단계 710, 720). 즉, 제1 VPN 게이트웨이 장치(120)는 제1 가상 IP 주소(1.1.1.100)를 설정한 RIP 패킷을 라우터(140)에 전송할 수 있고, 제2 VPN 게이트웨이 장치(130)는 제2 가상 IP 주소(1.1.1.101)를 설정한 RIP 패킷을 라우터(140)에 전송할 수 있다. 이는 VPN 게이트웨이 장치의 실제 IP 주소는 고정되어 있기 때문에 변경이 불가능한 반면에 가상 IP 주소는 변경이 가능하기 때문이다.
제1 VPN 게이트웨이 장치(120)의 상태를 확인하여(단계 730) 정상상태인 경우, 제1 VPN 게이트웨이 장치(120) 및 제2 VPN 게이트웨이 장치(130)로부터 RIP 패킷이 수신되면, 라우터(140)는 제1 VPN 게이트웨이 장치(120) 및 제2 VPN게이트웨이 장치(130)로부터 수신된 RIP 패킷 내의 네트워크 대역에 대한 메트릭값을 확인하고 라우팅 테이블에 저장한다. 즉, 각 네트워크 대역에 대해 가장 작은 메트릭값을 전송한 VPN 게이트웨이 장치의 IP주소를 라우팅 테이블에 저장한다. 본 발명에서는 제1 및 제2 게이트웨이 장치(120, 130)가 자신의 가상 IP 주소가 설정된 RIP 패킷을 라우터(140)로 전송하기 때문에, 라우터(140)는 제1 네트워크 대역(10.10.10.0/24)에 대해서는 제1 가상 IP 주소(1.1.1.100)를 라우팅 테이블에 저장하고 제2 네트워크 대역(20.20.20.0/24)에 대해서는 제2 가상 IP 주소(1.1.1.101)를 라우팅 테이블에 저장한다(단계 750).
내부 네트워크에 속해 있는 호스트들이 통신을 위해 패킷을 전송하면, 패킷이 제2 스위칭부(미도시)를 거쳐 라우터(140)로 전송되는데, 라우터(140)는 전송되는 패킷에 포함된 네트워크 대역 정보에 근거하여 라우팅 테이블에 저장된 IP 주소를 갖는 제1 또는 제2 VPN 게이트웨이 장치(120, 130)로 패킷을 전달한다. 이때 본 발명에서는 라우팅 테이블에 저장된 가상 IP 주소를 갖는 제1 또는 제2 VPN 게이트웨이 장치(120, 130)로 패킷을 전달한다(단계 760). 따라서 정상적으로 서비스가 제공되는 상황에서는 제1 네트워크 대역(10.10.10.0/24)으로 가는 패킷은 제1 VPN 게이트웨이 장치(120)로 전송되고, 제2 네트워크 대역(20.20.20.0/24)으로 가는 패킷은 제2 VPN 게이트웨이 장치(130)로 전송된다.
한편, 제1 VPN 게이트웨이 장치(120)의 서비스 상태를 확인한 결과(단계 730) 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었을 때, 제1 VPN 게이트웨이 장치(120)는 제1 가상 IP 주소(1.1.1.100)를 서비스 가능한 제2 VPN 게이트웨이 장치(130)로 전달한다(단계 740). 제2 VPN 게이트웨이 장치(130)는 제1 가상 IP 주소(1.1.1.100)를 전달받으면 제1 네트워크 대역(10.10.10.0/24) 및 제1 가상 IP 주소(1.1.1.100)를 설정한 제1 RIP 패킷과, 제2 네트워크 대역(20.20.20.0/24) 및 제2 가상 IP 주소(1.1.1.101)를 설정한 제2 RIP 패킷를 라우터(140)에 전송한다. 라우터(140)는 특정 시간(예: 3~4분) 동안 패킷이 전송되지 않으면 라우팅 테이블을 삭제하기 때문이다. 제1 RIP 패킷과 제2 RIP 패킷의 전송 순서는 변경 가능하다.
제1 가상 IP 주소(1.1.1.100)의 전달에 의해, 라우팅 테이블에는 제1 네트워크 대역(10.10.10.0/24)의 패킷에 대해서는 제1 가상 IP 주소(1.1.1.100)가 설정되어 있다. 라우터(140)는 정상 상태의 경우와 마찬가지로 제1 네트워크 대역(10.10.10.0/24)의 패킷에 대해서는 제1 가상 IP 주소(1.1.1.100)로 패킷을 전송하는 것이지만, 제1 VPN 게이트웨이 장치(120)가 서비스 불능이 된 시점에 제1 가상 IP 주소(1.1.1.100)가 제2 VPN 게이트웨이 장치(130)로 전달되었기 때문에 제1 네트워크 대역(10.10.10.0/24)의 패킷에 대해서도 제1 VPN 게이트웨이 장치(120)가 아닌 제2 VPN 게이트웨이 장치(130)로 패킷이 전송된다.
따라서 하나의 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 다른 서비스 가능한 VPN 게이트웨이 장치를 이용하여 빠른 시간 내에 장애를 극복할 수 있다. 다만, 가상 IP가 전송되는데 걸리는 시간만큼은 패킷 단절이 생기지만, 이는 일반적으로 그리 길지 않은 수초 내에 끝나도록 가상 IP가 설계되어 있다.
한편, 제1 VPN 게이트웨이 장치(120)가 서비스 가능 상태로 복구된 후에, 라우터(140)가 정상 상태와 마찬가지로 제1 네트워크 대역(10.10.10.0/24)에 대한 패킷은 제1 VPN 게이트웨이 장치(120)로 전송하고 제2 네트워크 대역(20.20.20.0/24)에 대한 패킷은 제2 VPN 게이트웨이 장치(130)로 전송하도록 하기 위해, 제2 VPN 게이트웨이 장치(130)는 제1 가상 IP 주소(1.1.1.100)를 다시 제1 VPN 게이트웨이 장치(120)로 전달할 수 있다.
도 7 및 도 8은 본 발명의 제2 실시예에 따른 VPN에서의 장애극복 방법을 설명하기 위한 개념도이다.
도 7 및 도 8을 참조하면, 제1 VPN 게이트웨이 장치(120)가 제1 네트워크 대역(10.10.10.0/24)과 제3 네트워크 대역(11.11.11.0/24)를 우선적으로 처리하고, 제2 VPN 게이트웨이 장치(130)가 제2 네트워크 대역(20.20.20.0/24)을 우선적으로 처리하는 경우에도 본 발명은 적용될 수 있다.
이 경우, 제1 VPN 게이트웨이 장치(120)는 제1 네트워크 대역(10.10.10.0/24)과 제3 네트워크 대역(11.11.11.0/24)에 대해 제1 가상 IP 주소(1.1.1.100)를 설정한 RIP 패킷을 라우터(140)로 전송한다.
라우터(140)는 제1 네트워크 대역(10.10.10.0/24) 외에 제3 네트워크 대역(11.11.11.0/24)에 대해서도 제1 가상 IP 주소(1.1.1.100)를 라우팅 테이블에 업데이트한다.
제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었을 때, 제1 가상 IP 주소(1.1.1.100)가 제2 VPN 게이트웨이 장치(130)로 전달된다. 그러면 앞서 설명한 바와 같이, 제2 VPN 게이트웨이 장치(130)는 제1 네트워크 대역(10.10.10.0/24) 및 제3 네트워크 대역(11.11.11.0/24)에 대해 제1 가상 IP 주소(1.1.1.100)를 설정한 제1 RIP 패킷과, 제2 네트워크 대역(20.20.20.0/24) 및 제2 가상 IP 주소(1.1.1.101)를 설정한 제2 RIP 패킷를 라우터(140)에 전송한다.
따라서 제1 내지 제3 네트워크 대역의 패킷에 대해서 라우터(140)로부터 제1 VPN 게이트웨이 장치(120)가 아닌 제2 VPN 게이트웨이 장치(130)로 패킷이 전송된다.
이와 같이, 본 발명의 VPN 장애극복 시스템에 의하면 VPN 게이트웨이 장치에서 라우터로 RIP 패킷을 보낼 때 자신의 실제 IP 주소가 아닌 가상 IP 주소를 설정한 RIP 패킷을 전송하고, 하나의 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 해당 VPN 게이트웨이 장치의 가상 IP 주소를 다른 서비스 가능한 VPN 게이트웨이 장치로 전달함으로써 빠른 시간 내에 장애를 극복할 수 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
100: VPN 장애극복 시스템
110: 인터넷
120: 제1 VPN 게이트웨이 장치
124: 패킷 전송부
126: VPN 암복호화부
130: 제2 VPN 게이트웨이 장치
140: 라우터
150: 내부 네트워크 151, 251, 261: 호스트
160: 제1 스위칭부 170: 제2 스위칭부
210: 제1 외부 VPN 게이트웨이 장치
220: 제2 외부 VPN 게이트웨이 장치
230: 제1 외부 스위칭부 240: 제2 외부 스위칭부
250: 제1 원격 네트워크 260: 제2 원격 네트워크

Claims (8)

  1. 라우팅 테이블을 구비하며, 상기 라우팅 테이블에 근거하여 내부 네트워크로부터 송신되는 패킷의 경로를 결정하는 라우터와,
    제1 네트워크 대역 및 제1 가상 IP 주소를 상기 라우팅 테이블에 저장하기 위해 상기 제1 네트워크 대역 및 상기 제1 가상 IP 주소를 설정한 RIP(Routing Information Protocol) 패킷을 상기 라우터에 전송하는 제1 VPN 게이트웨이 장치와,
    제2 네트워크 대역 및 제2 가상 IP 주소를 상기 라우팅 테이블에 저장하기 위해 상기 제2 네트워크 대역 및 상기 제2 가상 IP 주소를 설정한 RIP 패킷을 상기 라우터에 전송하는 제2 VPN 게이트웨이 장치를 포함하고,
    상기 제1 VPN 게이트웨이 장치가 비정상인 경우에 상기 라우터가 상기 제1 네트워크 대역에 대한 패킷의 경로를 상기 제2 VPN 게이트웨이 장치로 결정하도록 하기 위해, 상기 제1 VPN 게이트웨이 장치는 상기 제1 가상 IP 주소를 상기 제2 VPN 게이트웨이 장치로 전달하며,
    상기 제1 VPN 게이트웨이 장치는 상기 RIP 패킷 외에 별도의 오류 정보를 전송하지 않고,
    상기 라우터는 오류 발생 여부를 판단하지 않으며, 수신한 상기 RIP 패킷에 따라 동작하는 VPN 장애극복(failover) 시스템.
  2. 제1항에 있어서, 상기 제2 VPN 게이트웨이 장치는
    상기 제1 VPN 게이트웨이 장치로부터 상기 제1 가상 IP 주소가 전달된 후에 상기 제1 네트워크 대역 및 상기 제1 가상 IP 주소를 설정한 제1 RIP 패킷과 상기 제2 네트워크 대역 및 상기 제2 가상 IP 주소를 설정한 제2 RIP 패킷을 상기 라우터에 전송하는 VPN 장애극복 시스템.
  3. 제1항에 있어서, 상기 제1 VPN 게이트웨이 장치는 상기 제1 네트워크 대역을 우선적으로 처리하고 상기 제2 네트워크 대역을 대기모드(standby) 처리하도록 하는 처리순서를 설정한 RIP 패킷을 상기 라우터에 전송하고,
    상기 제2 VPN 게이트웨이 장치는 상기 제2 네트워크 대역을 우선적으로 처리하고 상기 제1 네트워크 대역을 대기모드 처리하도록 하는 처리순서를 설정한 RIP 패킷을 상기 라우터에 전송하는 VPN 장애극복 시스템.
  4. 제2항에 있어서, 상기 제2 VPN 게이트웨이 장치는
    상기 제1 VPN 게이트웨이 장치가 정상으로 복구된 후에, 상기 라우터가 상기 제1 네트워크 대역에 대한 패킷은 상기 제1 VPN 게이트웨이 장치로 전송하고 상기 제2 네트워크 대역에 대한 패킷은 상기 제2 VPN 게이트웨이 장치로 전송하도록 하기 위해, 상기 제1 가상 IP 주소를 상기 제1 VPN 게이트웨이 장치로 전달하는 VPN 장애극복 시스템.
  5. 라우팅 테이블을 구비하며 상기 라우팅 테이블에 근거하여 내부 네트워크로부터 송신되는 패킷의 경로를 결정하는 라우터 및 복수의 VPN 게이트웨이 장치를 포함하는 VPN에서의 장애극복(failover) 방법에 있어서,
    제1 VPN 게이트웨이 장치가 제1 네트워크 대역 및 제1 가상 IP 주소를 상기 라우팅 테이블에 저장하기 위해 상기 제1 네트워크 대역 및 상기 제1 가상 IP 주소를 설정한 RIP(Routing Information Protocol) 패킷을 상기 라우터에 전송하는 단계와,
    제2 VPN 게이트웨이 장치가 제2 네트워크 대역 및 제2 가상 IP 주소를 상기 라우팅 테이블에 저장하기 위해 상기 제2 네트워크 대역 및 상기 제2 가상 IP 주소를 설정한 RIP 패킷을 상기 라우터에 전송하는 단계와,
    상기 제1 VPN 게이트웨이 장치가 비정상인 경우에, 상기 라우터가 상기 제1 네트워크 대역에 대한 패킷의 경로를 상기 제2 VPN 게이트웨이 장치로 결정하도록 하기 위해, 상기 제1 VPN 게이트웨이 장치는 상기 제1 가상 IP 주소를 상기 제2 VPN 게이트웨이 장치로 전달하는 단계를 포함하며,
    상기 제1 VPN 게이트웨이 장치는 상기 RIP 패킷 외에 별도의 오류 정보를 전송하지 않고,
    상기 라우터는 오류 발생 여부를 판단하지 않으며, 수신한 상기 RIP 패킷에 따라 동작하는 VPN에서의 장애극복 방법.
  6. 제5항에 있어서, 상기 제1 VPN 게이트웨이 장치로부터 상기 제1 가상 IP 주소가 전달된 후에, 상기 제2 VPN 게이트웨이 장치가 상기 제1 네트워크 대역 및 상기 제1 가상 IP 주소를 설정한 제1 RIP 패킷과 상기 제2 네트워크 대역 및 상기 제2 가상 IP 주소를 설정한 제2 RIP 패킷을 상기 라우터에 전송하는 단계를 더 포함하는 VPN에서의 장애극복 방법.
  7. 제5항에 있어서, 상기 제1 VPN 게이트웨이 장치는 상기 제1 네트워크 대역을 우선적으로 처리하고 상기 제2 네트워크 대역을 대기모드(standby) 처리하도록 하는 처리순서를 설정한 RIP 패킷을 상기 라우터에 전송하고,
    상기 제2 VPN 게이트웨이 장치는 상기 제2 네트워크 대역을 우선적으로 처리하고 상기 제1 네트워크 대역을 대기모드 처리하도록 하는 처리순서를 설정한 RIP 패킷을 상기 라우터에 전송하는 VPN에서의 장애극복 방법.
  8. 제7항에 있어서, 상기 제1 VPN 게이트웨이 장치가 정상으로 복구된 후에, 상기 라우터가 상기 제1 네트워크 대역에 대한 패킷은 상기 제1 VPN 게이트웨이 장치로 전송하고 상기 제2 네트워크 대역에 대한 패킷은 상기 제2 VPN 게이트웨이 장치로 전송하도록 하기 위해, 상기 제2 VPN 게이트웨이 장치가 상기 제1 가상 IP 주소를 상기 제1 VPN 게이트웨이 장치로 전달하는 단계를 더 포함하는 VPN 에서의 장애극복 방법.
KR1020110145758A 2011-12-29 2011-12-29 가상 ip를 이용한 vpn 장애 극복 시스템 및 vpn에서의 장애 극복 방법 KR101319428B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110145758A KR101319428B1 (ko) 2011-12-29 2011-12-29 가상 ip를 이용한 vpn 장애 극복 시스템 및 vpn에서의 장애 극복 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110145758A KR101319428B1 (ko) 2011-12-29 2011-12-29 가상 ip를 이용한 vpn 장애 극복 시스템 및 vpn에서의 장애 극복 방법

Publications (2)

Publication Number Publication Date
KR20130077183A KR20130077183A (ko) 2013-07-09
KR101319428B1 true KR101319428B1 (ko) 2013-10-17

Family

ID=48990486

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110145758A KR101319428B1 (ko) 2011-12-29 2011-12-29 가상 ip를 이용한 vpn 장애 극복 시스템 및 vpn에서의 장애 극복 방법

Country Status (1)

Country Link
KR (1) KR101319428B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020055300A (ko) * 2000-12-28 2002-07-08 구자홍 브이오아이피 게이트웨이에서 네트워크 주소 변환 서버를통한 음성 패킷 전달 방법
KR20060095243A (ko) * 2005-02-28 2006-08-31 삼성전자주식회사 링크 오류 복구를 위한 네트워크 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020055300A (ko) * 2000-12-28 2002-07-08 구자홍 브이오아이피 게이트웨이에서 네트워크 주소 변환 서버를통한 음성 패킷 전달 방법
KR20060095243A (ko) * 2005-02-28 2006-08-31 삼성전자주식회사 링크 오류 복구를 위한 네트워크 시스템 및 방법

Also Published As

Publication number Publication date
KR20130077183A (ko) 2013-07-09

Similar Documents

Publication Publication Date Title
US11190491B1 (en) Method and apparatus for maintaining a resilient VPN connection
JP5641444B2 (ja) ネットワークシステム、及びネットワーク冗長化方法
US8713305B2 (en) Packet transmission method, apparatus, and network system
EP2845365B1 (en) Method and devices for protecting neighbour discovery cache against dos attacks
US9491122B2 (en) Systems and methods for server and switch failover in a black core network
US9838220B2 (en) Communication method, communication apparatus and non-transitory readable medium
US11677717B2 (en) Unified network service that connects multiple disparate private networks and end user client devices operating on separate networks
US8379514B2 (en) Route reflector for a communication system
US11115319B2 (en) Using BFD packets in a network tunnel environment
US9401920B2 (en) Black core network system and method
KR101453758B1 (ko) 네트워크 장애 발생에 대비한 네트워크 운용방법
KR101319428B1 (ko) 가상 ip를 이용한 vpn 장애 극복 시스템 및 vpn에서의 장애 극복 방법
KR101319431B1 (ko) 메트릭 조정을 통한 vpn 장애 극복 시스템 및 vpn에서의 장애 극복 방법
CN104618211A (zh) 一种基于隧道的报文处理方法和总部网关设备
Carthern et al. Advanced Routing
Wallker et al. Anonymous network based on software defined networking
WO2014119602A1 (ja) 制御装置、スイッチ、通信システム、スイッチの制御方法及びプログラム
JP4579746B2 (ja) 接続管理装置、接続管理装置の制御方法および制御プログラム
JP5071245B2 (ja) パケットの交換装置及びプログラム
JP5861424B2 (ja) 通信システム、制御装置、通信方法およびプログラム
CN118200324A (zh) 将数据从源计算机发送到目的计算机的方法和系统
EP2249548B1 (en) A route reflector for a communication system
KR101406999B1 (ko) 부하분산 장치 및 방법
JP2004282177A (ja) データ中継方法、データ中継装置およびその装置を用いたデータ中継システム

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161005

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181002

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191001

Year of fee payment: 7