KR101319431B1 - VPN Failover System and Failover method in the VPN through Metric adjustment - Google Patents
VPN Failover System and Failover method in the VPN through Metric adjustment Download PDFInfo
- Publication number
- KR101319431B1 KR101319431B1 KR1020110145757A KR20110145757A KR101319431B1 KR 101319431 B1 KR101319431 B1 KR 101319431B1 KR 1020110145757 A KR1020110145757 A KR 1020110145757A KR 20110145757 A KR20110145757 A KR 20110145757A KR 101319431 B1 KR101319431 B1 KR 101319431B1
- Authority
- KR
- South Korea
- Prior art keywords
- gateway device
- vpn gateway
- network
- packet
- vpn
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/28—Routing or path finding of packets in data switching networks using route fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/03—Topology update or discovery by updating link state protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
VPN 장애극복 시스템은 인입단이 RIP를 이용하는 VPN 이중화 환경에서 하나의 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 RIP 패킷의 메트릭값을 변경함으로써 다른 VPN 게이트웨이 장치로 빠른 시간 내에 장애를 극복할 수 있다.The VPN failover system can quickly overcome the failure with another VPN gateway device by changing the metric value of the RIP packet when one VPN gateway device becomes out of service in a VPN redundancy environment where the RIP uses the RIP.
Description
본 발명은 VPN 장애극복 시스템 및 VPN에서의 장애극복 방법에 관한 것으로 특히, 장애극복(failover) 시간을 감소시킬 수 있는 VPN 장애극복 시스템 및 VPN에서의 장애극복 방법에 관한 것이다.The present invention relates to a VPN failover system and a failover method in a VPN, and more particularly, to a VPN failover system and a failover method in a VPN, which can reduce the failover time.
가상 사설망(Virtual Private Network, VPN)이나 방화벽 이중화 환경에서 내부 네트워크 트래픽을 가져오기 위한 방법으로 다이나믹 라우팅 프로토콜(Dynamic Routing Protocol)이 많이 사용된다. 그 중 RIP(Routing Information protocol)는 가장 사용하기 간단하고 표준 프로토콜이기 때문에 널리 이용된다. Dynamic Routing Protocol is widely used to get internal network traffic in a virtual private network (VPN) or firewall redundancy. Among them, Routing Information Protocol (RIP) is widely used because it is the simplest to use and standard protocol.
이러한 RIP를 이용하는 VPN 또는 방화벽 이중화 환경에서는 패킷이 라우터(router)에 전달되었을 때 라우터는 자신의 라우팅 테이블(routing table)에 따라 정해진 VPN 장치에 RIP 패킷을 포워딩하게 되는데, 해당 VPN 장치가 서비스 불능 상태인 경우, 패킷이 처리되지 못하고 드랍되는 문제점이 있다. 시간이 지나면 서비스 불능 상태의 VPN 장치로부터는 RIP 패킷을 받지 못하므로 라우팅 정보가 사라져서 처리 순위가 높은 쪽으로 다시 경로가 설정되어 서비스가 가능하게 되지만 서비스가 가능하게 될 때까지의 시간이 길기 때문에 그 동안 전송되었던 패킷이 모두 드랍되어 서비스 단절이 일어나게 된다. 서비스 단절 시간은 라우터의 RIP 타이머 설정을 기본값으로 했을 때 짧게는 180초, 길게는 240초 이상 될 수 있기 때문에 문제가 된다.In a VPN or firewall duplication environment using such RIP, when a packet is delivered to a router, the router forwards the RIP packet to a VPN device determined according to its routing table, and the VPN device is out of service. In this case, there is a problem that the packet is not processed and is dropped. As time passes, the RIP packet is not received from the VPN service that is out of service, so the routing information disappears, and the route is re-routed to the higher priority, so that the service becomes available, but the time until the service becomes available is long. All transmitted packets are dropped and service disconnection occurs. The service disconnection time is a problem because the router's RIP timer setting defaults to 180 seconds and 240 seconds.
본 발명이 이루고자 하는 기술적 과제는 인입단이 RIP를 이용하는 VPN 이중화 환경에서 하나의 VPN 장치가 서비스 불능 상태가 되었을 때 RIP 패킷의 라우팅 경로 처리 순위값을 조작하여 다른 VPN 장치로 빠른 시간 내에 장애를 극복할 수 있는 VPN 장애극복 시스템 및 VPN에서의 장애극복 방법을 제공하는 것이다.The technical problem to be achieved by the present invention is to overcome the obstacles to other VPN devices in a short time by manipulating the routing path processing rank value of the RIP packet when one VPN device becomes out of service in a VPN duplex environment using the RIP. The present invention provides a VPN failover system and a failover method in a VPN.
VPN 장애극복(failover) 시스템은 라우팅 테이블을 구비하며, 상기 라우팅 테이블에 근거하여 내부 네트워크로부터 송신되는 패킷의 경로를 결정하는 라우터와, 다수의 네트워크 대역들에 대해 각 네트워크 대역의 메트릭값을 설정한 RIP(Routing Information Protocol) 패킷을 상기 라우터에 전송하되, 네트워크 대역을 우선적으로 처리하고자 할수록 상기 메트릭값을 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하는 제1 및 제2 VPN 게이트웨이 장치를 포함하고, 상기 제1 VPN 게이트웨이 장치가 비정상인 경우에, 상기 제2 VPN 게이트웨이 장치는 상기 다수의 네트워크 대역들 모두를 처리하기 위해 상기 다수의 네트워크 대역들의 메트릭값 모두를 상기 제1 VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송한다.The VPN failover system includes a routing table. The VPN failover system determines a route for a packet transmitted from an internal network based on the routing table, and sets a metric value of each network band for a plurality of network bands. A first and a second VPN gateway device which transmits a routing information protocol (RIP) packet to the router, but transmits a RIP packet having the metric value set to a smaller value as the network bandwidth is preferentially processed; And when the first VPN gateway device is abnormal, the second VPN gateway device sets all of the metric values of the plurality of network bands by the first VPN gateway device to process all of the plurality of network bands. The RIP packet set to a value smaller than the metric value is sent to the router. .
라우터 및 복수의 VPN 게이트웨이 장치를 포함하는 VPN에서의 장애극복(failover) 방법은 제1 및 제2 VPN 게이트웨이 장치가 다수의 네트워크 대역들에 대해 각 네트워크 대역의 메트릭값을 설정한 RIP(Routing Information Protocol) 패킷을 상기 라우터에 전송하되, 네트워크 대역을 우선적으로 처리하고자 할수록 상기 메트릭값을 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하는 단계와, 상기 라우터가 상기 제1 및 제2 VPN 게이트웨이 장치로부터 상기 RIP 패킷이 수신될 때마다 상기 RIP 패킷내의 상기 다수의 네트워크 대역들에 대한 메트릭값을 확인하고 각 네트워크 대역에 대해 가장 작은 메트릭값을 전송한 VPN 게이트웨이 장치의 IP주소를 상기 라우팅 테이블에 업데이트하는 단계를 포함하고, 상기 제1 VPN 게이트웨이 장치가 비정상인 경우에, 제2 VPN 게이트웨이 장치는 상기 다수의 네트워크 대역들 모두를 처리하기 위해 상기 다수의 네트워크 대역들의 메트릭값 모두를 상기 제1 VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송한다.The failover method in a VPN including a router and a plurality of VPN gateway devices includes a routing information protocol in which the first and second VPN gateway devices set metric values of each network band for a plurality of network bands. ) Transmitting the packet to the router, but prioritizing the network bandwidth, transmitting the RIP packet having the metric value set to a smaller value to the router, and the router sends the packet from the first and second VPN gateway devices. Whenever the RIP packet is received, the metric value for the plurality of network bands in the RIP packet is checked, and the IP address of the VPN gateway device which has transmitted the smallest metric value for each network band is updated in the routing table. And the second VPN gate if the first VPN gateway device is abnormal. The device sends a RIP packet to the router which sets all of the metric values of the plurality of network bands to a value smaller than the metric value set by the first VPN gateway device to process all of the plurality of network bands. .
본 발명에 의하면, 하나의 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 다른 서비스 가능한 VPN 게이트웨이 장치를 이용하여 빠른 시간 내에 장애를 극복할 수 있다. According to the present invention, when one VPN gateway device becomes out of service, a failure can be quickly overcome by using another serviceable VPN gateway device.
특히 서비스 단절에 민감한 은행, 증권사 등과 같은 기업에서는 서비스 단절에 따른 거래 중지로 인한 손실과 고객들의 신뢰도 하락 등의 문제가 발생할 수 있기 때문에 장애극복 시간을 매우 중요하게 생각한다. 따라서 본 발명에 의하면, 장애극복 시간을 크게 단축할 수 있어 위와 같은 상황을 피할 수 있다. 또한, 다른 라우터나 기타 네트워크 장비의 설정을 변경할 필요 없이 VPN 게이트웨이 장치의 RIP 동작 방식만을 변경함으로써 시스템을 간단하게 구현할 수 있다.In particular, companies such as banks and securities firms, which are sensitive to service breakdowns, have problems with breakdown time due to loss of service and loss of customer trust due to service breakdown. Therefore, according to the present invention, the failover time can be greatly shortened and the above situation can be avoided. In addition, the system can be easily implemented by changing only the RIP operation method of the VPN gateway device without changing the settings of other routers or other network equipment.
도 1 및 도 2는 본 발명이 적용되는 VPN 장애극복 시스템에서 내부 네트워크와 원격 네트워크 사이의 패킷 송수신을 설명하기 위한 개념도 및 블록도이다.
도 3은 도 2의 VPN 게이트웨이 장치를 좀 더 상세히 설명하기 위한 블록도이다.
도 4는 정상적인 서비스 가능 상태에서 도 1의 VPN 장애극복 시스템의 패킷 전송을 설명하기 위한 개념도이다.
도 5는 도 1의 VPN 장애극복 시스템에서 제1 VPN 게이트웨이 장치가 서비스 불능 상태가 된 후 제2 VPN 게이트웨이 장치의 최초 1회의 패킷 전송을 설명하기 위한 개념도이다.
도 6은 도 1의 VPN 장애극복 시스템에서 제1 VPN 게이트웨이 장치가 서비스 불능 상태가 된 경우의 장애 극복 방법을 설명하기 위한 흐름도이다.
도 7은 도 5에서 제2 VPN 게이트웨이 장치가 최초 1회의 패킷 전송을 완료한 이후의 패킷 전송을 설명하기 위한 개념도이다.1 and 2 are conceptual diagrams and block diagrams illustrating packet transmission and reception between an internal network and a remote network in a VPN failover system to which the present invention is applied.
3 is a block diagram illustrating the VPN gateway device of FIG. 2 in more detail.
4 is a conceptual diagram illustrating packet transmission of the VPN failover system of FIG. 1 in a normal serviceable state.
FIG. 5 is a conceptual diagram illustrating a first packet transmission of a second VPN gateway device after a first VPN gateway device becomes out of service in the VPN failover system of FIG. 1.
FIG. 6 is a flowchart illustrating a method for overcoming a failure when a first VPN gateway device becomes in an out of service state in the VPN failover system of FIG. 1.
FIG. 7 is a conceptual diagram illustrating packet transmission after the second VPN gateway device completes the first packet transmission in FIG. 5.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between .
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. Also, the terms " part, "" module," and " module ", etc. in the specification mean a unit for processing at least one function or operation and may be implemented by hardware or software or a combination of hardware and software have.
도 1 및 도 2는 본 발명이 적용되는 VPN 장애극복 시스템에서 내부 네트워크와 원격 네트워크 사이의 패킷 송수신을 설명하기 위한 개념도 및 블록도이다.1 and 2 are conceptual diagrams and block diagrams illustrating packet transmission and reception between an internal network and a remote network in a VPN failover system to which the present invention is applied.
도 1을 참조하면, 본 발명의 실시예에 따른 VPN 장애극복 시스템(100)은 원격 네트워크와 내부 네트워크(150) 사이의 패킷 전송을 제어한다. 내부 네트워크(150)는 인터넷(110)을 통해 원격 네트워크와 연결된다.Referring to FIG. 1, a
내부 네트워크(150)의 호스트들(151)로부터 송신되는 패킷은 인터넷(110)을 통해 제1 원격 네트워크(250) 내의 호스트들(251) 또는 제2 원격 네트워크(260) 내의 호스트들(261)로 전달된다. 상세하게는, 내부 네트워크(150)의 호스트들로부터 송신되는 패킷은 VPN 장애 극복 시스템(100)과 인터넷(110)을 거쳐 제1 원격 네트워크(250) 또는 제2 원격 네트워크(260)로 전달되는데, 제1 원격 네트워크(250)의 호스트들(251)로 전달되는 패킷은 제1 외부 VPN 게이트웨이 장치(210) 및 제1 외부 스위칭부(230)를 통해 전달되고, 제2 원격 네트워크(260)의 호스트들(261)로 전달되는 패킷은 제2 외부 VPN 게이트웨이 장치(220) 및 제2 외부 스위칭부(240)를 통해 전달된다. 이와 동일한 방식으로, 제1 원격 네트워크(250)의 호스트들(251)로부터 송신되는 패킷은 제1 외부 스위칭부(230)와 제1 외부 VPN 게이트웨이 장치(210), 인터넷(110), 및 VPN 장애극복 시스템(100)을 차례로 거쳐 내부 네트워크(150)의 호스트들(151)로 전달되고, 제2 원격 네트워크(260)의 호스트들(261)로부터 송신되는 패킷은 제2 외부 스위칭부(240)와 제2 외부 VPN 게이트웨이 장치(220), 인터넷(110), 및 VPN 장애극복 시스템(100)을 차례로 거쳐 내부 네트워크(150)의 호스트들(151)로 전달된다. Packets sent from
본 발명의 실시예에 따른 VPN 장애극복 시스템은 제1 또는 제2 VPN 게이트웨이 장치(120, 130) 중 하나가 서비스 불능 상태가 된 경우(이하에서는 제1 VPN 게이트웨이 장치가 서비스 불능 상태가 된 경우를 예로 들어 설명하지만, 제2 VPN 게이트웨이 장치가 서비스 불능 상태가 된 경우에도 물론 동일하게 적용된다), 다른 하나의 VPN 게이트웨이 장치는 제1 및 제2 네트워크 대역을 최우선으로 처리하기 위해 제1 및 제2 네트워크 대역의 메트릭값 모두를 서비스 불능 상태가 된 VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 라우터(140)에 전송한다. 일반적으로 제1 및 제2 VPN 게이트웨이 장치(120, 130)는 다수의 네트워크 대역을 처리할 수 있지만, 설명의 편의를 위해 제1 및 제2 VPN 게이트웨이 장치(120, 130)가 제1 및 제2 네트워크 대역을 처리하는 것을 예로 들어 설명하기로 한다.In the VPN failover system according to the embodiment of the present invention, when one of the first or second
도 2를 참조하면, VPN 장애극복 시스템(100)은 제1 VPN 게이트웨이 장치(120), 제2 VPN 게이트웨이 장치(130), 및 라우터(140)를 포함한다. 그리고 제1 스위칭부(160) 및 제2 스위칭부(170)를 더 포함할 수 있다.Referring to FIG. 2, the
제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)는 다수의 네트워크 대역들을 처리하도록 구성되는데, 다수의 네트워크 대역들을 처리하는 순서에 우선순위를 두기 위해 각 네트워크 대역의 메트릭값을 설정한 RIP(Routing Information Protocol) 패킷을 라우터(140)에 전송한다. 이때 우선적으로 처리할 네트워크 대역일수록 메트릭값을 작은 값으로 설정한 RIP 패킷을 라우터에 전송한다. 예를 들면, 제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)가 제1 내지 제3 네트워크 대역을 처리하는 경우에, 제1 및 제3 네트워크 대역은 제1 VPN 게이트웨이 장치(120)가 우선적으로 처리하고, 제2 네트워크 대역은 제2 VPN 게이트웨이 장치(130)가 우선적으로 처리하도록 하기 위해 제1 VPN 게이트웨이 장치(120)는 제1 내지 제3 네트워크 대역의 메트릭값을 각각 '2', '3', '2'로 설정할 수 있고, 제2 VPN 게이트웨이 장치(130)는 제1 내지 제3 네트워크 대역의 메트릭값을 각각 '3', '2', '3'으로 설정할 수 있다. The first
제1 VPN 게이트웨이 장치(120)가 비정상(예: 서비스 불능 상태)인 경우에, 제2 VPN 게이트웨이 장치(130)는 다수의 네트워크 대역들 모두를 처리하기 위해 다수의 네트워크 대역들의 메트릭값 모두를 제1 VPN 게이트웨이 장치(120)에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 라우터(140)에 전송한다. 예를 들면, 제1 VPN 게이트웨이 장치(120)가 제1 내지 제3 네트워크 대역의 메트릭값을 각각 '2', '3', '2'로 설정하고, 제2 VPN 게이트웨이 장치(130)가 제1 내지 제3 네트워크 대역의 메트릭값을 각각 '3', '2', '3'으로 설정한 경우에, 제1 VPN 게이트웨이 장치(120)가 비정상이 되면 제2 VPN 게이트웨이 장치(130)는 제1 내지 제3 네트워크 대역들 모두를 처리하기 위해 제1 내지 제3 네트워크 대역들의 메트릭값 모두를 제1 VPN 게이트웨이 장치(120)에 의해 설정된 메트릭값보다 더 작은 '1'로 설정한 RIP 패킷을 라우터(140)에 전송할 수 있다.When the first
일 실시예로서, 제1 VPN 게이트웨이 장치(120)는 제1 네트워크 대역을 우선적으로 처리하고 제2 네트워크 대역을 대기모드(standby) 처리하기 위해 제1 네트워크 대역의 메트릭값을 제2 네트워크 대역의 메트릭값보다 작은 값으로 설정한 RIP 패킷을 라우터(140)에 전송할 수 있다. 제2 VPN 게이트웨이 장치(130)는 제1 VPN 게이트웨이 장치(120)가 정상(예: 서비스 가능 상태)인 경우에는 제2 네트워크 대역을 우선적으로 처리하고 제1 네트워크 대역을 대기모드로 처리하기 위해 제2 네트워크 대역의 메트릭값을 제1 네트워크 대역의 메트릭값보다 작은 값으로 설정한 RIP 패킷을 라우터(140)에 전송하고, 제1 VPN 게이트웨이 장치(120)가 비정상인 경우에는 상기 제1 및 제2 네트워크 대역 모두를 우선적으로 처리하기 위해 제1 네트워크 대역의 메트릭값 및 제2 네트워크의 메트릭값 모두를 제1 VPN 게이트웨이 장치(120)에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 라우터(140)에 전송할 수 있다. In one embodiment, the first
제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)는 자신의 상태 정보를 나타내는 패킷(Hello_Packet)을 상대방 장치에 전송할 수 있기 때문에 제2 VPN 게이트웨이 장치(130)는 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었는지를 알 수 있다.Since the first
라우터(140)는 라우팅 테이블을 구비하며, 라우팅 테이블에 근거하여 내부 네트워크(150) 내의 호스트들(151)과 원격 네트워크(250, 260) 내의 호스트들(251, 261)간에 송수신되는 패킷의 경로를 결정한다. 라우터(140)는 제1 VPN 게이트웨이 장치(120) 및 제2 VPN 게이트웨이 장치(130)로부터 RIP 패킷이 수신될 때마다 RIP 패킷(Packet_1, Packet_2)내의 다수의 네트워크 대역들(예: 제1 및 제2 네트워크 대역)에 대한 메트릭값을 확인하고 각 네트워크 대역에 대해 가장 작은 메트릭값을 전송한 VPN 게이트웨이 장치의 IP주소를 라우팅 테이블에 업데이트한다. 특히, 라우터(140)는 RIP 패킷내의 다수의 네트워크 대역들에 대한 메트릭값을 확인한 결과 각 네트워크 대역에 대해 제1 및 제2 VPN 게이트웨이 장치(120, 130)가 동일한 메트릭값을 전송한 경우, 미리 설정된 규칙에 의해 결정된 VPN 게이트웨이 장치의 IP 주소를 라우팅 테이블에 업데이트한다. 이때, 미리 설정된 규칙은 VPN 게이트웨이 장치의 IP 주소가 큰 경우, 또는 RIP 패킷이 먼저 수신된 경우 등을 예로 들 수 있다. 또한, 라우터(140)는 내부 네트워크(150)로부터 전송된 패킷(Ho_Packet)에 포함된 네트워크 대역 정보에 근거하여 제1 VPN 게이트웨이 장치(120) 또는 제2 VPN 게이트웨이 장치(130)로 패킷(FW_Packet_1, FW_Packet_2)을 전달한다.The
제1 스위칭부(160)는 제1 및 제2 VPN 게이트웨이 장치(120, 130)와 라우터(140) 사이의 패킷 전송을 스위칭한다.The
제2 스위칭부(170)는 라우터(140)와 내부 네트워크(150) 내의 호스트들(151) 사이의 패킷 전송을 스위칭한다.The
도 3은 도 2의 VPN 게이트웨이 장치를 좀 더 상세히 설명하기 위한 블록도이다. 도 3에서는 제1 VPN 게이트웨이 장치(120)을 예로 들어 설명하기로 한다.3 is a block diagram illustrating the VPN gateway device of FIG. 2 in more detail. In FIG. 3, the first
도 2 및 도 3을 참조하면, 제1 VPN 게이트웨이 장치(120)은 메트릭값 설정부(122), 패킷 전송부(124), 및 VPN 암복호화부(126)를 포함한다.2 and 3, the first
메트릭값 설정부(122)는 네트워크 대역에 따라 메트릭값을 다르게 설정한다. 우선적으로 처리할 제1 네트워크 대역의 메트릭값을 대기모드로 처리할 제2 네크워크 대역의 메트릭값보다 작은 값으로 설정한다. The metric
패킷 전송부(124)는 메트릭값 설정부(122)에서 설정된 메트릭값 정보(Priority_Info)를 포함하는 RIP 패킷(Packet_1)을 생성하여 라우터(140)로 전송한다. 또한 내부 네트워크(150) 내의 호스트들(151)로부터 전송되는 패킷(Ho_Packet)이 라우터(140)로부터 전달되면 전달된 패킷(FW_Packet_1)을 인터넷(110)에 전송한다. 또한, 패킷 전송부(124)는 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 된 경우 제1 VPN 게이트웨이 장치(120)의 상태를 나타내는 상태 정보 패킷(Hello_Packet)을 제2 VPN 게이트웨이 장치(130)에 전송할 수 있다. The
VPN 암복호화부(126)는 라우터(140)로부터 패킷 전송부(124)로 전달된 패킷(FW_Packet_1)을 VPN 보안 정책(SA)에 기초하여 암호화한 후 암호화된 패킷(ENC_Packet_1)을 인터넷(110)으로 전송한다. 또한, VPN 암복호화부(126)는 인터넷(110)으로부터 전송되는 패킷(Packet_1)을 복호화하여 복호화된 패킷(DEC_Packet_1)을 패킷 전송부(124)로 전송한다. The VPN encryption /
도 3에는 도시하지 않았지만, 제2 VPN 게이트웨이 장치(130) 역시 메트릭값 설정부, 패킷 전송부, 및 VPN 암복호화부를 포함한다. Although not shown in FIG. 3, the second
제2 VPN 게이트웨이 장치(130) 내의 메트릭값 설정부는 제1 VPN 게이트웨이 장치(120)과는 반대로, 우선적으로 처리할 제2 네트워크 대역의 메트릭값을 대기모드로 처리할 제1 네크워크 대역의 메트릭값보다 작은 값으로 설정한다. The metric value setting unit in the second
제2 VPN 게이트웨이 장치(130) 내의 패킷 전송부는 메트릭값 설정부에서 설정된 메트릭값 정보를 포함하는 RIP 패킷(Packet_2)을 생성하여 라우터(140)로 전송한다. 또한 내부 네트워크(150) 내의 호스트들(151)로부터 전송되는 패킷(Ho_Packet)이 라우터(140)로부터 전달되면 전달된 패킷(FW_Packet_2)을 인터넷에 전송한다. The packet transmitter in the second
제2 VPN 게이트웨이 장치(130) 내의 메트릭값 설정부는 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 된 경우 제1 VPN 게이트웨이 장치(120)로부터 상태 정보 패킷(Hello_Packet)이 전송되면 상태 정보 패킷(Hello_Packet)에 근거하여 제1 네트워크 대역의 메트릭값 및 제2 네트워크 대역의 메트릭값 모두를 제1VPN 게이트웨이 장치(120)에 의해 설정된 메트릭값보다 더 작은 값으로 설정한다.The metric value setting unit in the second
이하에, 상기의 구성을 갖는 VPN 장애극복 시스템의 패킷 전송 과정에 대해 설명하기로 한다.Hereinafter, a packet transmission process of the VPN failover system having the above configuration will be described.
도 4는 정상적인 서비스 가능 상태에서 도 1의 VPN 장애극복 시스템의 패킷 전송을 설명하기 위한 개념도이다. 도 5는 도 1의 VPN 장애극복 시스템에서 제1 VPN 게이트웨이 장치가 서비스 불능 상태가 된 후 제2 VPN 게이트웨이 장치의 최초 1회의 패킷 전송을 설명하기 위한 개념도이다. 도 6은 도 1의 VPN 장애극복 시스템에서 제1 VPN 게이트웨이 장치가 서비스 불능 상태가 된 경우의 장애 극복 방법을 설명하기 위한 흐름도이다. 4 is a conceptual diagram illustrating packet transmission of the VPN failover system of FIG. 1 in a normal serviceable state. FIG. 5 is a conceptual diagram illustrating a first packet transmission of a second VPN gateway device after a first VPN gateway device becomes out of service in the VPN failover system of FIG. 1. FIG. 6 is a flowchart illustrating a method for overcoming a failure when a first VPN gateway device becomes in an out of service state in the VPN failover system of FIG. 1.
본 발명의 VPN 장애극복 시스템은 RIP을 이용하며, RIP동작은 VPN 게이트웨이 장치와 내부 라우터들 사이에서 이루어진다. RIP을 이용한 라우팅은 특정한 경로에 대해 가장 작은 메트릭값을 가지는 경로만을 유지하는 특성이 있다. 본 발명에서는 이러한 라우터의 특성을 이용하여 제1 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 서비스 가능한 제2 VPN 게이트웨이 장치를 이용하여 빠른 시간 내에 장애를 극복할 수 있다.The VPN failover system of the present invention uses RIP, and the RIP operation is performed between the VPN gateway device and the internal routers. Routing using RIP is characterized by maintaining only the path having the smallest metric value for a particular path. In the present invention, when the first VPN gateway device becomes out of service by using the characteristics of the router, a failure can be quickly overcome by using a second VPN gateway device that can be serviced.
도 4 내지 도 6을 참조하면, 정상 서비스 상태에서, 제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)는 각각 10.10.10.0/24 대역과 20.20.20.0/24 대역을 우선적으로 처리하고, 상대 대역에 대해서는 대기모드로 처리하도록 메트릭값이 설정되어 있다. 즉, 자신이 우선적으로 처리할 네트워크 대역에 대해서는 메트릭값(예: '2')이 설정되고 대기모드로 처리할 네트워크 대역에 대해서는 그보다 큰 메트릭값(예: '3')이 설정된다. 이러한 메트릭값을 포함하는 라우팅 정보를 RIP 패킷에 포함시켜 라우터(140)로 전송한다(단계 610, 640). 4 to 6, in the normal service state, the first
메트릭값 설정과 관련하여, 도 4 내지 도 6에서는 제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)가 각각 10.10.10.0/24 대역과 20.20.20.0/24 대역을 우선적으로 처리하고, 상대 대역에 대해서는 대기모드로 처리하도록 메트릭값이 설정되어 있는 것을 예로 들어 설명하였지만, 우선순위 설정 방식이 이에 한정되는 것은 아니다. 즉, 본 발명은 여러 가지 우선 순위 방식에 모두 적용된다. 예를 들면, 1) 10.10.10.0/24 대역과 20.20.20.0/24 대역 모두를 제1 VPN 게이트웨이 장치(120)가 우선적으로 처리할 수 있다. 이 경우에는 제1 VPN 게이트웨이 장치(120)는 10.10.10.0/24 대역과 20.20.20.0/24 대역 모두에 대해 메트릭값이 '2'로 설정되고 제2 VPN 게이트웨이 장치(130)는 10.10.10.0/24 대역과 20.20.20.0/24 대역 모두에 대해 메트릭값이 '3'으로 설정될 수 있다. 2) 10.10.10.0/24 대역과 20.20.20.0/24 대역 모두를 제2 VPN 게이트웨이 장치(130)가 우선적으로 처리할 수 있다. 이 경우에는 제1 VPN 게이트웨이 장치(120)는 10.10.10.0/24 대역과 20.20.20.0/24 대역 모두에 대해 메트릭값이 '3'으로 설정되고 제2 VPN 게이트웨이 장치(130)는 10.10.10.0/24 대역과 20.20.20.0/24 대역 모두에 대해 메트릭값이 '2'로 설정될 수 있다. 3) 제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)가 같은 우선 순위를 가지고 특정 대역을 처리할 수 있다. 이 경우에는 제1 VPN 게이트웨이 장치(120)와 제2 VPN 게이트웨이 장치(130)가 10.10.10.0/24 대역과 20.20.20.0/24 대역 모두에 대해 메트릭값이 '2'로 설정되거나 또는 '3'으로 설정될 수 있다. 4 to 6, the first
라우터(140)는 제1 VPN 게이트웨이 장치(120) 및 제2 VPN게이트웨이 장치(130)로부터 RIP 패킷이 수신될 때마다 RIP 패킷 내의 네트워크 대역에 대한 메트릭값을 확인하고 라우팅 테이블에 저장한다. 즉, 각 네트워크 대역에 대해 가장 작은 메트릭값을 전송한 VPN 게이트웨이 장치의 IP주소를 라우팅 테이블에 저장한다(단계 650). 도 4에서는 10.10.10.0/24 대역에 대해서 매트릭값이 '2'로 설정된 제1 VPN 게이트웨이 장치(120)의 IP주소 1.1.1.1이 저장되고 20.20.20.0/24 대역에 대해서 메트릭값이 '2'로 설정된 제2 VPN 게이트웨이 장치(130)의 IP주소 1.1.1.2가 라우팅 테이블에 저장된다. 한편, 라우터(140)는 RIP 패킷내의 다수의 네트워크 대역들에 대한 메트릭값을 확인한 결과 각 네트워크 대역에 대해 제1 및 제2 VPN 게이트웨이 장치(120, 130)가 동일한 메트릭값을 전송한 경우, 미리 설정된 규칙에 의해 결정된 VPN 게이트웨이 장치의 IP 주소를 라우팅 테이블에 업데이트한다. 이때, 미리 설정된 규칙은 VPN 게이트웨이 장치의 IP 주소가 큰 경우, 또는 RIP 패킷이 먼저 수신된 경우 등을 예로 들 수 있다.Each time the RIP packet is received from the first
내부 네트워크에 속해 있는 호스트들이 통신을 위해 패킷을 전송하면, 패킷이 제2 스위칭부(미도시)를 거쳐 라우터(140)로 전송되는데, 라우터(140)는 전송되는 패킷에 포함된 네트워크 대역 정보에 근거하여 라우팅 테이블에 저장된 IP 주소를 갖는 제1 또는 제2 VPN 게이트웨이 장치(120, 130)로 패킷을 전달한다(단계 660). 상세하게는, 라우터(140)의 라우팅 테이블에 저장된 경로에 따라 낮은 메트릭값으로 설정된 VPN 게이트웨이 장치로 패킷이 전송된다. 따라서 정상적으로 서비스가 제공되는 상황에서는 10.10.10.0/24 대역으로 가는 패킷은 제1 VPN 게이트웨이 장치(120)로 전송되고, 20.20.20.0/24 대역으로 가는 패킷은 제2 VPN 게이트웨이 장치(130)로 전송된다.When hosts belonging to the internal network transmit a packet for communication, the packet is transmitted to the
한편, 제1 VPN 게이트웨이 장치(120)의 서비스 상태를 확인한 결과(단계 620), 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었을 때 제2 VPN 게이트웨이 장치(130)는 모든 네트워크 대역의 메트릭값을 제1 VPN 게이트웨이 장치(120)에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 라우터(140)로 전송한다(단계 630). 즉, 제2 VPN 게이트웨이 장치(130)는 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었을 때 모든 네트워크 대역에 대한 메트릭값을 '1'로 설정한 RIP 패킷을 라우터(140)로 전송한다. 제2 VPN 게이트웨이 장치(130)는 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었을 때 모든 네트워크 대역에 대한 메트릭값을 '1'로 설정한 RIP 패킷을 라우터(140)로 1회 전송한 후에 단계 640을 더 수행할 수 있는데, 이에 대해서는 도 7과 관련된 부분에서 설명하기로 한다.On the other hand, as a result of checking the service state of the first VPN gateway device 120 (step 620), when the first
제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태인지는 제2 VPN 게이트웨이 장치(130)로부터 라우터(140)로 RIP 패킷을 전송하기 전에, 제1 VPN 게이트웨이 장치(120)로부터 전송되는 상태 정보 패킷으로부터 확인할 수 있다.Whether the first
라우터(140)는 동일한 네트워크 대역에 대해 자신이 저장하고 있는 메트릭값보다 낮은 메트릭값을 갖는 경로가 입력되었으므로 라우팅 테이블을 새로운 경로로 갱신한다(단계 650). 즉, 갱신 전에는 10.10.10.0/24 대역에 대해서는 매트릭값이 '2'인 제1 VPN 게이트웨이 장치(120)의 IP주소 1.1.1.1이 저장되고 20.20.20.0/24 대역에 대해서는 매트릭값이 '2'인 제2 VPN 게이트웨이 장치(130)의 IP주소 1.1.1.2가 저장되어 있었으나, 제2 VPN 게이트웨이 장치(130)에서 모든 네트워크 대역에 대한 메트릭값을 '1'로 하여 RIP 패킷을 라우터로 전송하면 라우팅 테이블은 10.10.10.0/24 대역과 20.20.20.0/24 대역 모두에 대해 제2 VPN 게이트웨이 장치(130)의 IP 주소 1.1.1.2로 갱신된다.The
패킷이 내부 네트워크에 속해있는 호스트들로부터 전송되면 라우터(140)는 새로운 경로, 즉 서비스 가능한 제2 VPN 게이트웨이 장치(130)로 패킷을 전달한다(단계 660). 따라서 하나의 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 다른 서비스 가능한 VPN 게이트웨이 장치를 이용하여 빠른 시간 내에 장애를 극복할 수 있다.If the packet is transmitted from hosts belonging to the internal network, the
도 7은 도 5에서 제2 VPN 게이트웨이 장치가 최초 1회의 패킷 전송을 완료한 이후의 패킷 전송을 설명하기 위한 개념도이다.FIG. 7 is a conceptual diagram illustrating packet transmission after the second VPN gateway device completes the first packet transmission in FIG. 5.
도 7을 참조하면, 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었을 때, 제2 VPN 게이트웨이 장치(130)가 모든 네트워크 대역(10.10.10.0/24, 20.20.20.0/24)에 대한 메트릭값을 '1'로 설정한 RIP 패킷을 라우터(140)로 1회 전송한 후에는, 제2 VPN 게이트웨이 장치(130)가 10.10.10.0/24 대역에 대해 메트릭값 '3'을 설정하고 20.20.20.0/24 대역에 대해 메트릭값 '2'를 설정한 RIP 패킷을 라우터(140)로 전송한다. Referring to FIG. 7, when the first
앞서 설명한 바와 같이, 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었을 때, 제2 VPN 게이트웨이 장치(130)가 모든 네트워크 대역(10.10.10.0/24, 20.20.20.0/24)에 대한 메트릭값을 '1'로 설정한 RIP 패킷을 라우터(140)로 1회 전송하면, 라우팅 테이블에는 모든 네트워크 대역(10.10.10.0/24, 20.20.20.0/24)에 대해 제2 VPN 게이트웨이 장치(120)의 IP 주소로 경로가 설정된다. 이후, 제2 VPN 게이트웨이 장치(130)가 10.10.10.0/24 대역에 대해 메트릭값 '3'을 설정하고 20.20.20.0/24 대역에 대해 메트릭값 '2'를 설정한 RIP 패킷을 라우터(140)로 전송하면, 10.10.10.0/24 대역 및 20.20.20.0/24 대역에 대해 메트릭값이 각각 '3'과 '2'로 변경되지만 제1 VPN 게이트웨이 장치(120)는 서비스 불능 상태이기 때문에 RIP 패킷은 제2 VPN 게이트웨이 장치(130)에서만 전송되므로 라우터(140)의 라우팅 테이블의 IP 주소는 변화가 없고 메트릭값만 각각 '3'과 '2'로 업데이트된다. As described above, when the first
이와 같이 제1 VPN 게이트웨이 장치(120)가 서비스 불능 상태가 되었을 때, 제2 VPN 게이트웨이 장치(130)가 모든 네트워크 대역(10.10.10.0/24, 20.20.20.0/24)에 대한 메트릭값을 '1'로 설정한 RIP 패킷을 라우터(140)로 1회 전송한 후에, 제2 VPN 게이트웨이 장치(130)가 10.10.10.0/24 대역에 대해 메트릭값 '3'을 설정하고 20.20.20.0/24 대역에 대해 메트릭값 '2'를 설정한 RIP 패킷을 라우터(140)로 전송하는 이유는 제2 VPN 게이트웨이 장치(130)에서 모든 네트워크 대역에 대해 메트릭값을 '1'로 설정한 RIP 패킷을 계속해서 라우터(140)로 전송하면, 제1 VPN 게이트웨이 장치(120)가 서비스 가능 상태로 복구되더라도 제2 VPN 게이트웨이 장치(130)에서 더 작은 메트릭값을 설정한 RIP 패킷을 라우터(140)로 전송하기 때문에 내부 네트워크로부터 전달되는 패킷이 계속해서 제2 VPN 게이트웨이 장치(130)로만 전달되기 때문이다.As such, when the first
한편, 서비스 불능 상태였던 제1 VPN 게이트웨이 장치(120)가 다시 서비스 가능 상태가 되었을 때, 제1 VPN 게이트웨이 장치(120)는 각 네트워크 대역에 대해 최초의 메트릭값을 설정한 RIP 패킷을 라우터(140)로 전송함으로써 일정 시간이 지난 후에 제1 및 제2 VPN 게이트웨이 장치(120, 130)가 다시 원래대로 서비스를 제공할 수 있도록 할 수 있다.On the other hand, when the first
이와 같이, 본 발명의 VPN 장애극복 시스템에 의하면, 하나의 VPN 게이트웨이 장치가 서비스 불능 상태가 되었을 때 다른 서비스 가능한 VPN 게이트웨이 장치를 이용하여 빠른 시간 내에 장애를 극복할 수 있다. 또한 이러한 시스템은 다른 라우터나 기타 네트워크 장비의 설정을 변경할 필요 없이 VPN 게이트웨이 장치의 RIP 동작 방식만을 변경함으로써 간단하게 구현할 수 있다.As described above, according to the VPN failover system of the present invention, when one VPN gateway device becomes out of service, the failure can be quickly overcome by using another serviceable VPN gateway device. These systems can also be implemented simply by changing the RIP behavior of the VPN gateway device without having to change the configuration of other routers or other network equipment.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
100: VPN 장애극복 시스템
110: 인터넷
120: 제1 VPN 게이트웨이 장치
122: 메트릭값 설정부
124: 패킷 전송부
126: VPN 암복호화부
130: 제2 VPN 게이트웨이 장치
140: 라우터
150: 내부 네트워크 151, 251, 261: 호스트
160: 제1 스위칭부 170: 제2 스위칭부
210: 제1 외부 VPN 게이트웨이 장치
220: 제2 외부 VPN 게이트웨이 장치
230: 제1 외부 스위칭부 240: 제2 외부 스위칭부
250: 제1 원격 네트워크 260: 제2 원격 네트워크100: VPN failover system
110: Internet
120: first VPN gateway device
122: metric value setting unit
124: packet transmission unit
126: VPN encryption and decryption unit
130: second VPN gateway device
140: router
150:
160: first switching unit 170: second switching unit
210: first external VPN gateway device
220: second external VPN gateway device
230: first external switching unit 240: second external switching unit
250: first remote network 260: second remote network
Claims (15)
다수의 네트워크 대역들에 대해 각 네트워크 대역의 메트릭값을 설정한 RIP(Routing Information Protocol) 패킷을 상기 라우터에 전송하되, 네트워크 대역을 우선적으로 처리하고자 할수록 상기 메트릭값을 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하는 제1 및 제2 VPN 게이트웨이 장치를 포함하고,
상기 제1 VPN 게이트웨이 장치가 비정상인 경우에, 상기 제2 VPN 게이트웨이 장치는 상기 다수의 네트워크 대역들 모두를 처리하기 위해 상기 다수의 네트워크 대역들의 메트릭값 모두를 상기 제1 VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하며,
상기 제2 VPN 게이트웨이 장치는 상기 RIP 패킷 외에 별도의 오류 정보를 전송하지 않고,
상기 라우터는 오류 발생 여부를 판단하지 않으며, 수신한 상기 RIP 패킷에 따라 동작하는 VPN 장애극복(failover) 시스템.A router having a routing table for determining a route of a packet transmitted from an internal network based on the routing table;
RIP (Routing Information Protocol) packet, which sets the metric value of each network band for a plurality of network bands, is transmitted to the router. First and second VPN gateway device for transmitting to the router,
In the case where the first VPN gateway device is abnormal, the second VPN gateway device sets all of the metric values of the plurality of network bands to be processed by all of the plurality of network bands. Send a RIP packet set to a value smaller than the value to the router,
The second VPN gateway device does not transmit error information other than the RIP packet,
The router does not determine whether an error occurs, and operates according to the received RIP packet VPN failover system.
상기 제1 및 제2 VPN 게이트웨이 장치로부터 상기 RIP 패킷이 수신될 때마다 상기 RIP 패킷내의 상기 다수의 네트워크 대역들에 대한 메트릭값을 확인하고 각 네트워크 대역에 대해 가장 작은 메트릭값을 전송한 VPN 게이트웨이 장치의 IP주소를 상기 라우팅 테이블에 업데이트하는 VPN 장애극복 시스템.The method of claim 1, wherein the router
Each time the RIP packet is received from the first and second VPN gateway devices, the VPN gateway device checks the metric value for the plurality of network bands in the RIP packet and transmits the smallest metric value for each network band. VPN failover system for updating the IP address of the routing table.
상기 RIP 패킷내의 상기 다수의 네트워크 대역들에 대한 메트릭값을 확인한결과 상기 각 네트워크 대역에 대해 상기 제1 및 제2 VPN 게이트웨이 장치가 동일한 메트릭값을 전송한 경우, 미리 설정된 규칙에 의해 결정된 VPN 게이트웨이 장치의 IP 주소를 상기 라우팅 테이블에 업데이트하는 VPN 장애극복 시스템.The method of claim 2, wherein the router
When the first and second VPN gateway devices transmit the same metric value for each of the network bands as a result of checking the metric values for the plurality of network bands in the RIP packet, the VPN gateway device determined by a preset rule. VPN failover system to update the IP address of the routing table.
상기 제1 VPN 게이트웨이 장치가 비정상인 경우
상기 제1 VPN 게이트웨이 장치는 상기 제2 VPN 게이트웨이 장치로 상태 정보 패킷을 전송하는 VPN 장애극복 시스템.The method of claim 1,
If the first VPN gateway device is abnormal
And the first VPN gateway device transmits a status information packet to the second VPN gateway device.
상기 제2 VPN 게이트웨이 장치는 상기 제1 VPN 게이트웨이 장치가 정상인 경우에는 상기 제2 네트워크 대역을 우선적으로 처리하고 상기 제1 네트워크 대역을 대기모드로 처리하기 위해 상기 제2 네트워크 대역의 메트릭값을 상기 제1 네트워크 대역의 메트릭값보다 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하고, 상기 제1 VPN 게이트웨이 장치가 비정상인 경우에는 상기 제1 및 제2 네트워크 대역 모두를 우선적으로 처리하기 위해 상기 제1 및 제2 네트워크 대역의 메트릭값 모두를 상기 제1VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하는 VPN 장애극복 시스템.5. The method of claim 4, wherein the first VPN gateway device prioritizes the first network band and standbys the second network band with the metric value of the first network band. Send the RIP packet set to a value smaller than the metric value to the router,
When the first VPN gateway device is normal, the second VPN gateway device preferentially processes the second network band, and applies the metric value of the second network band to process the first network band in the standby mode. The RIP packet set to a value smaller than the metric value of one network band is transmitted to the router, and when the first VPN gateway device is abnormal, the first and second network bands are preferentially processed to process both the first and second network bands. And a VPN failover system for transmitting a RIP packet in which all metric values of a second network band are set to a value smaller than a metric value set by the first VPN gateway device.
상기 제1 및 제2 네크워크 대역의 메트릭값을 설정하되 상기 제1 네트워크대역의 메트릭값을 상기 제2 네트워크 대역의 메트릭값보다 작은 값으로 설정하기 위한 메트릭값 설정부와,
설정된 매트릭값의 RIP 패킷을 생성하여 상기 라우터로 전송하기 위한 패킷 전송부를 포함하고,
상기 패킷 전송부는 상기 제1 VPN 게이트웨이 장치가 비정상인 경우 상기 상태 정보 패킷을 상기 제2 VPN 게이트웨이 장치로 전송하는 VPN 장애극복 시스템.The method of claim 5, wherein the first VPN gateway device
A metric value setting unit for setting metric values of the first and second network bands but setting metric values of the first network band to be smaller than metric values of the second network band;
A packet transmitter for generating a RIP packet having a set metric and transmitting the same to a router;
And the packet transmitter transmits the state information packet to the second VPN gateway device when the first VPN gateway device is abnormal.
상기 제1 및 제2 네크워크 대역의 메트릭값을 설정하되 상기 제2 네트워크대역의 메트릭값을 상기 제1 네트워크 대역의 메트릭값보다 작은 값으로 설정하기 위한 메트릭값 설정부와,
설정된 매트릭값의 RIP 패킷을 생성하여 상기 라우터로 전송하기 위한 패킷 전송부를 포함하고,
상기 메트릭값 설정부는 상기 제1 VPN 게이트웨이 장치가 비정상인 경우 상기 상태 정보 패킷에 근거하여 상기 제1 및 제2 네트워크 대역의 메트릭값 모두를 상기 제1 VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정하는 VPN 장애극복 시스템.The method of claim 5, wherein the second VPN gateway device
A metric value setting unit for setting metric values of the first and second network bands but setting metric values of the second network band to be smaller than metric values of the first network band;
A packet transmitter for generating a RIP packet having a set metric and transmitting the same to a router;
The metric value setting unit, when the first VPN gateway device is abnormal, a value smaller than both of the metric values set by the first VPN gateway device based on the status information packet. VPN failover system to set up.
상기 제2 VPN 게이트웨이 장치는 상기 제1 VPN 게이트웨이 장치가 정상인 경우에는 상기 제2 네트워크 대역의 메트릭값을 '2'로 설정하고 상기 제1 네트워크 대역의 메트릭값을 '3'으로 설정한 RIP 패킷을 상기 라우터에 전송하고, 상기 제1 VPN 게이트웨이 장치가 비정상인 경우에는 상기 제1 및 제2 네트워크 대역의 메트릭값 모두를 '1'로 설정한 RIP 패킷을 상기 라우터에 전송하는 VPN 장애극복 시스템.The method of claim 5, wherein the first VPN gateway device transmits a RIP packet having the metric value of the first network band set to '2' and the metric value of the second network band set to '3'. and,
The second VPN gateway device, when the first VPN gateway device is normal, sets the RIP packet having the metric value of the second network band set to '2' and the metric value of the first network band set to '3'. And transmitting to the router a RIP packet having both the metric values of the first and second network bands set to '1' when the first VPN gateway device is abnormal.
제1 및 제2 VPN 게이트웨이 장치가 다수의 네트워크 대역들에 대해 각 네트워크 대역의 메트릭값을 설정한 RIP(Routing Information Protocol) 패킷을 상기 라우터에 전송하되, 네트워크 대역을 우선적으로 처리하고자 할수록 상기 메트릭값을 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하는 단계와,
상기 라우터가 상기 제1 및 제2 VPN 게이트웨이 장치로부터 상기 RIP 패킷이 수신될 때마다 상기 RIP 패킷내의 상기 다수의 네트워크 대역들에 대한 메트릭값을 확인하고 각 네트워크 대역에 대해 가장 작은 메트릭값을 전송한 VPN 게이트웨이 장치의 IP주소를 라우팅 테이블에 업데이트하는 단계를 포함하고,
상기 제1 VPN 게이트웨이 장치가 비정상인 경우에, 제2 VPN 게이트웨이 장치는 상기 다수의 네트워크 대역들 모두를 처리하기 위해 상기 다수의 네트워크 대역들의 메트릭값 모두를 상기 제1 VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하며,
상기 제2 VPN 게이트웨이 장치는 상기 RIP 패킷 외에 별도의 오류 정보를 전송하지 않고,
상기 라우터는 오류 발생 여부를 판단하지 않으며, 수신한 상기 RIP 패킷에 따라 동작하는 VPN에서의 장애극복 방법.A failover method in a VPN including a router and a plurality of VPN gateway devices,
The first and second VPN gateway devices transmit a routing information protocol (RIP) packet in which a metric value of each network band is set for a plurality of network bands to the router, and the metric value is preferentially processed. Transmitting a RIP packet having a smaller value to the router;
Each time the RIP packet is received from the first and second VPN gateway devices, the router checks the metric value for the plurality of network bands in the RIP packet and transmits the smallest metric value for each network band. Updating the IP address of the VPN gateway device in the routing table;
In the case where the first VPN gateway device is abnormal, the second VPN gateway device sets all of the metric values of the plurality of network bands to process all of the plurality of network bands. Send a RIP packet set to a smaller value to the router,
The second VPN gateway device does not transmit error information other than the RIP packet,
The router does not determine whether an error occurs, and the failover method in a VPN that operates according to the received RIP packet.
상기 제2 VPN 게이트웨이 장치는 상기 제1 VPN 게이트웨이 장치가 정상인 경우에는 상기 제2 네트워크 대역을 우선적으로 처리하고 상기 제1 네트워크 대역을 대기모드로 처리하기 위해 상기 제2 네트워크 대역의 메트릭값을 상기 제1 네트워크 대역의 메트릭값보다 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하고, 상기 제1 VPN 게이트웨이 장치가 비정상인 경우에는 상기 제1 및 제2 네트워크 대역 모두를 우선적으로 처리하기 위해 상기 제1 및 제2 네트워크 대역의 메트릭값 모두를 상기 제1VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 상기 라우터에 전송하는 VPN 에서의 장애극복 방법.12. The method of claim 11, wherein the first VPN gateway device prioritizes the first network band and standbys the second network band with the metric value of the first network band of the second network band. Send the RIP packet set to a value smaller than the metric value to the router,
When the first VPN gateway device is normal, the second VPN gateway device preferentially processes the second network band, and applies the metric value of the second network band to process the first network band in the standby mode. The RIP packet set to a value smaller than the metric value of one network band is transmitted to the router, and when the first VPN gateway device is abnormal, the first and second network bands are preferentially processed to process both the first and second network bands. And transmitting a RIP packet to the router in which all of the metric values of the second network band are set to a value smaller than the metric value set by the first VPN gateway device.
상기 다수의 네트워크 대역들 모두를 처리하기 위해 상기 다수의 네트워크 대역들의 메트릭값 모두를 상기 제1 VPN 게이트웨이 장치에 의해 설정된 메트릭값보다 더 작은 값으로 설정한 RIP 패킷을 상기 라우터에 1회 전송하는 단계와,
상기 RIP 패킷을 1회 전송한 후에, 상기 다수의 네트워크 대역들의 메트릭값을 최초 메트릭값으로 설정한 RIP 패킷을 상기 라우터에 전송하는 단계를 포함하는 VPN에서의 장애극복 방법.The method of claim 11, wherein the second VPN gateway device transmits a RIP packet to the router when the first VPN gateway device is abnormal.
Transmitting, once to the router, a RIP packet having all of the metric values of the plurality of network bands set to a value smaller than the metric value set by the first VPN gateway device to process all of the plurality of network bands. Wow,
After transmitting the RIP packet once, transmitting a RIP packet having the metric value of the plurality of network bands as an initial metric value to the router.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110145757A KR101319431B1 (en) | 2011-12-29 | 2011-12-29 | VPN Failover System and Failover method in the VPN through Metric adjustment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110145757A KR101319431B1 (en) | 2011-12-29 | 2011-12-29 | VPN Failover System and Failover method in the VPN through Metric adjustment |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20130077182A KR20130077182A (en) | 2013-07-09 |
KR101319431B1 true KR101319431B1 (en) | 2013-10-17 |
Family
ID=48990485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110145757A KR101319431B1 (en) | 2011-12-29 | 2011-12-29 | VPN Failover System and Failover method in the VPN through Metric adjustment |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101319431B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060095243A (en) * | 2005-02-28 | 2006-08-31 | 삼성전자주식회사 | Network system and method for recovering link fail |
KR20090076563A (en) * | 2008-01-09 | 2009-07-13 | 삼성전자주식회사 | Method for gateway selecting to optimize network capacity gateway in wireless mesh networks |
-
2011
- 2011-12-29 KR KR1020110145757A patent/KR101319431B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060095243A (en) * | 2005-02-28 | 2006-08-31 | 삼성전자주식회사 | Network system and method for recovering link fail |
KR20090076563A (en) * | 2008-01-09 | 2009-07-13 | 삼성전자주식회사 | Method for gateway selecting to optimize network capacity gateway in wireless mesh networks |
Also Published As
Publication number | Publication date |
---|---|
KR20130077182A (en) | 2013-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11190491B1 (en) | Method and apparatus for maintaining a resilient VPN connection | |
US10361947B2 (en) | Service chaining using source routing | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
JP2017506846A (en) | System and method for securing source routing using digital signatures based on public keys | |
US9838220B2 (en) | Communication method, communication apparatus and non-transitory readable medium | |
WO2013039083A1 (en) | Communication system, control devices, and communication method | |
US20170201466A1 (en) | Data packet processing apparatus and method | |
JP2020510337A (en) | Method and apparatus for providing cyber security in a time-aware end-to-end packet flow network | |
US9912598B2 (en) | Techniques for decreasing multiprotocol label switching entropy label overhead | |
WO2015047650A1 (en) | System and method for reducing traffic loss while using loop free alternate routes for multicast only fast reroute (mofrr) | |
US20070280103A1 (en) | Transparent automatic protection switching for a chassis deployment | |
US20130081131A1 (en) | Communication system, communication device, server, and communication method | |
US20150256455A1 (en) | Communication system, path information exchange apparatus, communication node, forwarding method for path information and program | |
JP2014204438A (en) | Data transmission method, data transmission device, and data transmission system | |
US9401920B2 (en) | Black core network system and method | |
US10547532B2 (en) | Parallelization of inline tool chaining | |
KR101453758B1 (en) | Network Operation Method for Preparing Network Trouble | |
US20180262473A1 (en) | Encrypted data packet | |
KR101319431B1 (en) | VPN Failover System and Failover method in the VPN through Metric adjustment | |
JPWO2006043327A1 (en) | Relay device and network system | |
KR101319428B1 (en) | VPN Failover System and Failover method in the VPN using Virtual IP | |
CN104618211A (en) | Tunnel based message processing method and headquarters gateway device | |
Wallker et al. | Anonymous network based on software defined networking | |
WO2016101437A1 (en) | Method and device for service cutover and wide-band access server | |
US20200162381A1 (en) | Stage one cache lookup for network node of mesh network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
AMND | Amendment | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20161005 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170927 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20181002 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20191001 Year of fee payment: 7 |