KR101399002B1 - 가상 사설 네트워크의 실현 방법 및 시스템 - Google Patents

가상 사설 네트워크의 실현 방법 및 시스템 Download PDF

Info

Publication number
KR101399002B1
KR101399002B1 KR1020127006643A KR20127006643A KR101399002B1 KR 101399002 B1 KR101399002 B1 KR 101399002B1 KR 1020127006643 A KR1020127006643 A KR 1020127006643A KR 20127006643 A KR20127006643 A KR 20127006643A KR 101399002 B1 KR101399002 B1 KR 101399002B1
Authority
KR
South Korea
Prior art keywords
vpn
mapping
message
host
attribute
Prior art date
Application number
KR1020127006643A
Other languages
English (en)
Other versions
KR20120055687A (ko
Inventor
시앙비아오 얀
이저우 선
Original Assignee
지티이 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지티이 코포레이션 filed Critical 지티이 코포레이션
Publication of KR20120055687A publication Critical patent/KR20120055687A/ko
Application granted granted Critical
Publication of KR101399002B1 publication Critical patent/KR101399002B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/69Types of network addresses using geographic information, e.g. room number

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가상 사설 네트워크의 실현 방법 및 실현 시스템을 공개한다. LISP 네트워크를 기반으로 VPN을 실현하고, 신원식별자와 위치식별자의 맵핑 관계에 대응 VPN 속성을 추가하고, 맵핑 처리 시 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성이 동일하다고 판단되면, 목적지 호스트의 위치식별자를 조회하여, 목적지 호스트의 위치식별자에 따라 데이터 메시지의 전달을 실현한다. VPN 속성이 다르면, 접근 불가 정보를 회신함으로써, 가상 사설 네트워크를 효과적으로 실현하여 VPN 종단 호스트 통신의 편리성과 안전성을 보장하여 가상 사설 네트워크에 대한 사용자의 수요를 만족시킨다.

Description

가상 사설 네트워크의 실현 방법 및 시스템{VIRTUAL PRIVATE NETWORK IMPLEMAENTATION METHOD AND SYSTEM}
본 발명은 위치 신원 정보 분리 기술에 관한 것으로, 특히 가상 사설 네트워크의 실현 방법 및 실현 시스템에 관한 것이다.
차세대 정보 네트워크 구조에 대한 연구는 현재 가장 인기 있는 과제 중의 하나이다. 이런 연구 과제의 기본 방향은 음성 서비스를 대표로 하는 전신망, 동영상 서비스를 대표로 하는 텔레비전 네트워크와 데이터 서비스를 대표로 하는 인터넷으로 서비스 상의 심리스(simless) 통합을 진행하는 것을 목적으로 하고, 네트워크 캐리어 IP화를 특징으로 한다. 전형적인 실예는 음성 서비스를 제공하는 VOIP(Voice over Internet Protocol, IP전화) 네트워크와 텔레비전 서비스를 제공하는 IPTV 네트워크, IP 핵심 네트워크에 의해 반송하는 3G 이동 통신 네트워크, 및 수많은 B3G 또는 4G 네트워크에 대한 연구 항목 등이다.
4G는 4세대 이동 통신 시스템의 약칭이다. 4G의 목표는 음성, 데이터와 스트림 미디어 서비스를 위하여 IP 네트워크를 기반으로 하는 해결방안을 제공하여, “모든 시간, 장소, 서비스”에 있어서 더욱 빠른 통신 환경을 만들어 내는 것이다.
NGN(Next Generation Network, 차세대 네트워크)은 전신망을 기반으로 구축된 차세대 네트워크이고, IP 패킷 교환을 기반으로 하는 통일된 전송 계층을 구축하기 위한 것이다. 통일된 전송 계층에서 각종 응용 프로그램의 개발은 구체적인 전송 기술과 독립적으로 이루어질 수 있어, 응용 프로그램의 응용 범위를 확장하였다.
3G와 4G는 무선 통신 분야에서 차세대 네트워크에 대한 연구 핵심으로, 전(全) IP 패킷 핵심 네트워크를 기반으로 하는 무선 이동 통신의 품질을 제고하는 것을 목적으로 한다. NGN과 NGI(Next Generation Internet, 차세대 인터넷)는 각각 전신망과 인터넷 분야에서 차세대 네트워크 통합에 대한 연구이다. CNGI(China's Next Generation Internet, 중국 차세대 인터넷)는 IPv6을 기반으로 하는 차세대 인터넷을 구축하는 것을 목적으로 한다. 북방교통대학의 “일체화 트러스티드(trusted) 네트워크와 퍼베이시브(pervasive) 서비스 체계의 기초 연구”에서는 통일된 뉴패킷 네트워크의 구축을 희망하고 있다. 비록 각종 연구는 크게 구별되나 그들이 일반적으로 받아들이는 관점은, 미래 네트워크는 패킷을 기반으로 하는 통일된 캐리어 네트워크라는 것이다. 따라서 차세대 네트워크 구조에 대한 연구는 인터넷을 주요 참조 대상으로 한다. 인터넷은 탄생한 이래 줄곧 고속발전을 유지하고 있고, 현재 가장 성공적이고, 가장 생명력이 있는 통신 네트워크이다. 인터넷의 원활한 확장 가능성, 고효율적인 패킷 교환, 종단(終端)의 강대한 기능 등 특징은 차세대 네트워크의 설계 요구에 잘 부합되고, 인터넷은 차세대 네트워크 설계의 주요 참조 모델이 될 것이다. 그러나 인터넷의 구조는 아직 최적화에 이르지 못했고, 많은 중대한 설계 문제가 존재한다. 상술한 IP 주소 공간이 응용 요구를 만족시키지 못할 뿐만 아니라, 주로 아래와 같은 문제점이 더 있다.
인터넷은 20세기 70년대에 발명된 것으로, 사람들은 오늘날 세계에 대량의 이동 종단과 멀티 호밍(multi-homing) 종단이 존재할 것을 예측하기 어려웠으므로, 그 당시의 네트워크 프로토콜 스택은 주로 “고정”방식으로 연결되는 종단에 맞추어 설계된 것이다. 당시의 네트워크 환경에서, 종단은 기본적으로 한 위치에서 기타 위치로 이동하지 않기 때문에, 발송하는 주소가 바로 수신하는 주소이고, 경로는 가역적이므로, 신원과 위치 이중 속성을 갖는 IP 주소는 충분히 적용될 수 있었고, IP 주소의 신원 속성과 위치 속성 사이에는 어떠한 충돌도 발생하지 않았다. 동시에 신원과 위치를 의미하는 IP 주소는 마침 당시 네트워크의 수요를 만족시켰다. 당시의 네트워크 환경으로부터 볼 때, 이런 설계 방안은 간단하고 효과적이며, 프로토콜 스택의 계층 구조를 간소화하였다. 하지만 IP 주소의 신원 속성과 위치 속성 사이에 내부 모순이 존재한다는 것은 의심할 바 없다. IP 주소의 신원 속성은 임의의 두 IP 주소가 모두 동등할 것을 요구한다. 비록 IP 주소는 조직 기구에 따라 할당될 수 있지만, 연속 코드인 IP 주소 사이에는 필연적인 관계가 없거나, 적어도 토폴로지 위치에서 필연적인 관계가 없다. IP 주소의 위치 속성은 네트워크 토폴로지(조직 기구가 아니라)를 기반으로 IP 주소를 할당할 것을 요구하였다. 동일한 서브 망 내에 있는 IP 주소는 모두 연속된 IP 주소 블록 중에 있어야만 네트워크 토폴로지 중의 IP 주소 프리픽스를 집결시킴으로써 라우터 설비의 라우팅 테이블의 조목을 감소시켜 라우터 시스템의 확장 가능성을 보장할 수 있다.
네트워크 규모와 기술의 발전에 따라, 동적으로 IP 주소를 할당하는 기술이 나타나고 있다. 예를 들면, 동적 호스트 구성 프로토콜(DHCP, Dynamic Host Configuration Protocol)은 IP 주소가 유일하게 한 종단을 표시한다는 가설을 타파하였다. 사유 IP 주소 공간의 사용과 네트워크 주소 변경(NAT, Network Address Translator) 기술의 탄생은 상황을 계속 악화시켰다. 이런 상황에서 신원 속성과 위치 속성을 동시에 갖는 IP 주소는 그의 역할을 계속 감당하기 어렵게 되었고, IP 주소의 이중 속성 문제가 부각되었다. 기술 면에서의 수요가 현저하게 변화되었을 뿐만 아니라, 인터넷 사용자 상황도 커다란 변화가 발생하였다. 인터넷이 탄생한 후 최초 몇 년, 인터넷은 기본적으로 일부 공동 그룹에 있는 서로 신뢰하는 사람들에 의해 사용되었고, 전통적인 인터넷 프로토콜 스택도 이런 가설을 기반으로 설계되었다. 그러나 현재 인터넷 사용자는 다양하고, 사람들은 계속하여 서로 신뢰하기가 어려워졌다. 이런 상황에서, 내장 안전성 체제가 결핍된 인터넷도 변혁이 필요하다.
전반적으로 말해서, IP 주소 이중 속성의 내재 모순은 아래와 같은 주요한 문제를 초래한다.
1. 경로 확장 가능 문제
인터넷 경로 시스템의 확장 가능성에 관해 기본적인 가설이 존재한다: “주소는 토폴로지에 따라 할당되거나, 또는 토폴로지가 주소에 따라 배치되고, 양자 중의 하나를 선택해야 한다”. IP 주소의 신원 속성은 IP 주소가 종단이 속하는 조직기구(네트워크 토폴로지가 아님)를 기반으로 IP 주소를 할당할 것을 요구한다. 이런 할당은 일정한 안정성을 유지해야 하고, 자주 변하면 안 된다. 경로 시스템의 확장가능성을 보장하기 위하여, IP 주소의 위치 속성은 네트워크 토폴로지를 기반으로 IP 주소를 할당할 것을 요구한다. 이러면, IP 주소의 두 속성은 충돌이 발생하여 최종적으로 인터넷 경로 시스템의 확장 가능성 문제를 유발한다.
2. 이동성 문제
IP 주소의 신원 속성은 IP 주소가 종단 위치의 변화에 따라 변하지 않을 것을 요구한다. 이래야만 신원 상에 바인딩(binding)된 통신이 중단되지 않게 보장할 수 있고, 종단 이동 후, 기타 종단이 여전히 그의 신원을 사용하여 통신 연결을 구축할 수 있도록 보장할 수 있다. IP 주소가 새로운 네트워크 토폴로지에서 집결될 수 있도록, IP 주소의 위치 속성은 IP 주소가 종단 위치의 변화에 따라 변화할 것을 요구한다. 그렇지 않으면 네트워크는 이동 후의 종단을 위하여 단독 경로 정보를 보류하여 라우팅 테이블 조목의 급속한 증가를 조성한다.
3. 멀티 호밍(multi-homing) 문제
멀티 호밍은 일반적으로 종단 또는 네트워크가 동시에 다수 개의 ISP(Internet Service Provider, 인터넷 서비스 제공자)의 네트워크를 통해 인터넷에 액세스하는 것을 가리킨다. 멀티 호밍 기술의 장점은 네트워크의 안전성을 증가시키고, 다수의 ISP 간의 트래픽 부하 균형을 지원하고, 총체적으로 사용 가능한 브로드밴드를 늘이는 등이다. 그러나 IP 주소 이중 속성의 내재 모순은 멀티 호밍 기술이 실현될 수 없게 한다. 상기 멀티 호밍 종단이 몇 개의 ISP를 통해 인터넷에 액세스하든지, IP 주소의 신원 속성은 멀티 호밍 종단이 시종 기타 종단에 대해 변하지 않는 신원을 나타낼 것을 요구한다. 그리고 IP 주소의 위치 속성은 멀티 호밍 종단이 부동한 ISP 네트워크에서 부동한 IP 주소를 사용하여 통신할 것을 요구한다. 이렇게 해야만 종단의 IP 주소가 ISP 네트워크의 토폴로지에서 집결될 수 있게 보장할 수 있다.
4. 안전과 위치 프라이버시 문제
IP 주소가 동시에 종단의 신원 정보와 위치 정보를 포함하기 때문에, 상대 노드(Correspondent Node)와 악의의 도청자는 모두 종단의 IP 주소에 따라 상기 종단의 신원 정보와 토폴로지 위치 정보를 동시에 획득할 수 있다. 전반적으로 말해서, 전통적 인터넷의 체계 구조가 구축된 이래, 인터넷의 기술 환경과 사용자 집단에 모두 근본적인 변화가 발생하였고, 인터넷은 그에 따른 혁신이 필요하다. IP 주소의 이중 속성 문제는 인터넷이 계속하여 발전하는 것을 저애하는 근본 원인 중의 하나이다. IP 주소의 신원 속성과 위치 속성을 분리하는 것은 인터넷이 직면한 문제를 해결하는 아주 좋은 발상이다. 새로운 네트워크는 이런 사고 방향을 기반으로 설계하여 신원 정보와 위치 정보가 분리 맵핑되는 네트워크 구조를 안출하여 종래 인터넷에 존재하는 심각한 폐단을 해결한다.
신원과 위치의 문제를 해결하기 위하여, 업계는 대량의 연구와 탐색을 진행하였고, 모든 신원과 위치 정보 분리 방안의 기본 사상은 원래 IP 주소에 바인딩한 신원과 위치의 이중 속성을 분리하는 것이다. 그 중, 일부 방안은 응용 계층의 URL(Uniform Resource Locator, 균일 자원 로케이터, URL은 인터넷(Internet)의 웹페이지와 기타 자원의 주소를 완전하게 설명하는 식별 방법이다) 또는 FQDN(Fully Qualified Domain Name, 전체 주소 도메인 이름)을 종단의 신원식별자로 사용하고; 일부 방안은 새로운 이름 공간을 신원식별자로 도입하였다. 예를 들면 HIP(Host Identity Protocol, 호스트 식별 프로토콜)는 IP 주소를 위치식별자로 하는 네트워크 계층 상에서 호스트 식별자를 추가하였다. 일부 방안은 IP 주소를 분류하여 일부 IP는 신원식별자로 하고, 일부 IP는 위치식별자로 하였다. 예를 들면 LISP(Locator/ID Separation Protocol, 위치 신원 분리 프로토콜)에서는 EID(endpoint ID, 종단식별자)를 사용하여 신원식별자로 하고, RLOC(Routing Locator, 경로 위치식별자)를 위치식별자로 하였다.
이런 방안들 중에서 특히 LISP의 연구가 업계의 관심을 받고 있고, IETF에 LISP 작업 그룹을 성립하고, LISP 작업 그룹의 정관은 LISP 기본 프로토콜(draft-farinacci-lisp-12.txt), LISP+ALT(LISP Alternative Topology, LISP 선택 가능한 토폴로지)의 맵핑 시스템(draft-fuller-lisp-alt-05.txt), LISP 상호 운용성(draft-lewis-lisp-interworking-02.txt), LISP 맵 서버(draft-fuller-lisp-ms-00.txt), LISP 멀티캐스트(draft-farinacci-lisp-multicast-01.txt) 방면의 작업에 전력한다는 것이다. 작업 그룹은 상호 운용을 갖는 LISP 실현과 경계 맵핑 시스템의 수요를 위해 정의하는 작업을 격려하고 지지할 것이고, 작업 그룹은 또한 ALT 또는 기타 맵핑 시스템의 안전 배치 방면의 작업에 전력한다.
VPN(virtual private network)은 서로 다른 네트워크의 구성 요소와 자원 간의 상호 연결을 실현할 수 있다. VPN은 인터넷 네트워크 또는 공공 인터넷의 기초시설을 이용하여 사용자를 위하여 터널링을 창설할 수 있으며, 사설 네트워크와 동일한 안전과 기능 보장을 제공한다.
VPN은 여러 가지 실현 방식이 있고, 구체적으로 사용자가 관리하는 VPN 해결방안(CPE-VPN)과 운영자가 실시하는 VPN 해결방안(PP-VPN)으로 나뉠 수 있다.
사용자가 관리하는 VPN 해결방안(CPE-VPN 방안)의 특징은 사용자가 스스로 VPN 게이트웨이를 설정, 관리 및 유지하고, 공공 IP망을 통하여 각 지점과 회사 본부 사이에 표준 VPN 터널링을 기반으로 하는 연결을 구축하고, 터널링 프로토콜은 일반적으로 2계층 터널링 프로토콜(L2TP), 점 대 점 터널링 프로토콜(PPTP), IPsec(안전 IP), IP in IP(IP 안에서 IP를 인캡슐레이션)와 GRE(Generic Routing Encapsulation) 등을 일반적으로 사용하며, 각종 암호 설정 기술과 네트워크 주소 전환(NAT) 기술을 이용하여 데이터 전송의 안전을 보장한다.
VPN 터널링 연결의 구축과 관리는 완전히 사용자 스스로 책임지고, 제공자는 네트워크의 구조와 성능을 조정하거나 개변할 필요가 없다. 이런 방식은 통상적으로 말하는 “자가 건축 VPN” 방식이다.
VPN은 기업이 인터넷(Internet) 등 공공 인터넷을 통해 지점 또는 기타 회사와 연결을 건립하고 안전한 통신을 진행한다. 이런 인터넷(Internet)을 뛰어넘어 구축한 VPN 연결은 논리적으로 광역망을 사용하여 구축한 두 지역 간의 연결과 같다. 비록 VPN 통신은 공공 인터넷을 기반으로 구축되었으나, 사용자가 VPN을 사용할 때의 느낌은 사설 네트워크를 사용하여 통신하는 것과 같으므로, 가상 사설 네트워크라는 이름을 가졌다. VPN 기술을 사용하면 현재 원격 통신량이 날로 증대하고, 기업 글로벌 운용이 광범하게 분포되는 상황에서, 직원이 중앙 자원에 액세스하고, 기업들 간에 적시적이고 효과적으로 통신해야 하는 문제를 해결할 수 있다.
VPN의 기본 용도:
VPN을 통해 원격 사용자 액세스를 실현한다. VPN은 안전한 방식으로 공공 인터넷을 통해 기업 자원을 원격 방문하는 것을 지원한다. 예를 들면 VPN 사용자는 우선 로컬 액세스 서비스 제공자(ISP)의 네트워크 액세스 서버(BRAS)에 다이얼링한 다음 VPN 소프트웨어로 로컬 ISP와의 연결을 이용하여, 원격 사용자와 기업 VPN 서버 사이에 인터넷(Internet) 또는 기타 공공 인터넷을 뛰어넘는 VPN을 구축한다.
VPN을 사용하여 원격 LAN과 연결할 경우 가격이 비싼 장거리 사설 회로를 사용할 필요가 없이, 지점과 본사의 라우터는 각자 로컬의 사설 선로를 사용하여 로컬의 ISP를 통해 인터넷(Internet)에 연결할 수 있거나, 또는 ISP의 브로드 밴드 액세스 서버에 다이얼 액세스하여 인터넷(Internet)에 연결한다. VPN 소프트웨어로 로컬 ISP와의 연결 및 인터넷(Internet) 네트워크를 이용하여 지점과 본사 라우터 사이에 VPN을 구축한다.
VPN 기술은 제2계층 터널링 프로토콜(L2TP)을 사용하고, L2TP 프로토콜은 IP, IPX(Internetwork Packet Exchange protocol, 네트워크 간 패킷 교환 프로토콜) 또는 NetBEUI(NetBIOS Extend User Interface, NetBIOS 사용자 확장 인터페이스 프로토콜) 데이터 흐름에 대한 암호 설정을 허용한 다음 점 대 점(point-to-point) 데이터그램 전송을 지원하는 임의의 네트워크를 통해 발송한다. 예를 들면, IP, X.25, 프레임 릴레이 또는 ATM(Asynchronous Transfer Mode, 비동기전송방식). 안전 IP(IPSec) 터널링 모드, IPSec 터널링 모드는 IP 로드 데이터에 대한 암호 설정을 허용한 다음 IP 패킷 헤더로 인캡슐레이션하여 기업 IP 네트워크 또는 공공 IP 인터넷, 예를 들면 인터넷(Internet)을 통해 발송한다.
운영자가 실시한 VPN 해결방안(PP-VPN)은 운영자의 공공 데이터 통신망에 전용 회선 액세스 사용자 또는 원격 다이얼 액세스 사용자가 사용하는 VPN 게이트웨이 설비를 설치하는 것을 의미한다. 상기 게이트웨이 설비를 이용하면 전체 망 범위 내에서 구체적인 VPN 네트워크 수요에 따라, 터널 인캡슐레이션, 가상 라우터 또는 MPLS(다중 프로토콜 레이블 스위칭) 등 기술을 통해 VPN을 구축하며, 데이터 전송의 안전을 보장하기 위하여 암호 설정 기술을 사용할 수 있다. VPN 연결의 구축은 완전히 운영자가 책임지고, 사용자에 대해 투명하다. 이런 방식이 통상 말하는 “외주 VPN”방식이다.
광대역 액세스 네트워크의 신속한 발전과 동시에, 고품질로 서비스를 확장하기 위하여, 운영자가 반드시 해결해야 하는 문제는 네트워크 구조에 대해 합리적인 계층적 계획을 수립하여 사용자에 대한 위치 확정 및 서비스 관리를 실현하는 것이다. 액세스 네트워크에 있어서 이더넷 기술을 많이 사용하였기에, 현재 이더넷 기반으로 네트워크 분할을 실현하는 기술은 주로 가상 근거리 통신망(VLAN, Virtual Local Area Network) 기술이다. VLAN은 근거리 통신망 내의 설비를 통해 물리적이 아니라 논리적으로 네트워크 구간으로 분할함으로써 가상 작업 그룹의 신흥 기술을 실현한다. IEEE(IEEE(The Institute of Electrical and Electronics Engineers, 국제전기전자기술협회)가 1999년에 VLAN 실현 방안을 표준화하는 802.1Q프로토콜 표준 초안을 반포하였다. 전통적인 이더넷 프레임 포맷에서 4096개 VLAN을 정의하였다. VLAN은 이더넷의 방송 문제와 안전성을 해결하기 위하여 제출한 것이다. 이는 이더넷 프레임을 기반으로 VLAN 헤더를 증가하고, VLAN ID로 사용자를 더 작은 작업 그룹으로 분할하여, 서로 다른 작업 그룹 간의 사용자가 2계층 상호 방문을 한정하고, 매개 작업 그룹은 하나의 가상 근거리 통신망이다. 가상 근거리 통신망의 장점은 방송 범위를 한정할 수 있으며, 가상 작업 그룹을 형성하여 동적으로 네트워크를 관리할 수 있다는 것이다. VLAN은 브로드캐스트 스톰(broadcast storm)을 차단함과 동시에 각각 부동한 VLAN 간의 통신도 차단하였으므로, 서로 다른 VLAN 간의 통신은 라우터에 의해 이루어진다.
VLAN을 분할하는 방법은 주로 몇 가지가 있다.
1. 포트에 따라 VLAN을 분할하는 방법: 이런 포트에 따라 VLAN을 분할하는 방식은 여전히 가장 일반적으로 사용하는 방식이다.
2. MAC(Media Access Control, 매체 접근 제어)주소에 따라 VLAN을 분할하는 방법: 이런 VLAN 분할 방법의 가장 큰 장점은 사용자의 물리적 위치가 이동될 때, 즉 한 교환기에서 기타 교환기로 바뀔 때, VLAN은 재배치하지 않아도 되는 것이고, 단점은 초기화될 때 모든 사용자를 배치해야 하므로 교환기의 수행 효율이 낮아지는 것이다.
3. 네트워크 계층에 따라 VLAN을 분할하는 방법: 이런 VLAN 분할 방법은 경로에 따라 분할하는 것이 아니라 매개 호스트의 네트워크 계층 주소 또는 프로토콜 유형(멀티 프로토콜을 지원할 경우)에 따라 분할하므로, 설령 사용자의 물리적 위치가 변화된다 하더라도, 소속된 VLAN을 재배치할 필요가 없다. 단점은 프레임 헤더를 재분석하므로 효율이 낮아진다는 것이다.
4. IP 멀티캐스트에 따라 VLAN을 분할하는 방법: IP 멀티캐스트는 실제 상 VLAN의 정의이기도 하다. 즉 하나의 멀티캐스트가 하나의 VLAN이고, 이런 분할 방법은 VLAN을 광역망으로 확대한다. 따라서 이런 방법은 더 융통성이 있고, 라우터를 통해 쉽게 확장을 진행한다.
VLAN은 특정 이더넷 통신 환경에서의 VPN 기술로서 광대역 액세스에 대규모로 응용되고 있고, 핵심 네트워크 또는 광역망에 비교적 많이 응용되는 것은 다중 프로토콜 레이블 스위칭(MPLS, Multiprotocol Label Switching)을 기반으로 하는 VPN이다.
MPLS 기술의 출시는 전체 인터넷(Internet) 체계 구조에 모두 변화를 발생시켰다. MPLS 기술을 사용하여 VPN의 기술 방안을 실현하는 것은 전통 IP 네트워크의 결함을 크게 개선하고, 프레임 릴레이 또는 ATM 네트워크와 같은 안전성 보장도 제공할 수 있고, VPN 서비스의 수요에 아주 잘 적응할 수 있다.
MPLS VPN의 네트워크 모델은 고객 종단(CE, Customer Edge) 설비, 제공자 종단(PE, Provider Edge) 라우터, 제공자 라우터(PR, Provider Router)를 포함한다.
고객 종단 설비는 라우터 또는 2계층 교환기일 수 있고, 고객 측에 위치하여 네트워크 제공자로의 액세스를 제공된다. 제공자 종단 라우터는 노드와 관련된 전달표를 유지하고, 기타 PE 라우터와 VPN 경로 정보를 교환하고, MPLS 네트워크 중의 라벨 교환 경로(LSP, Label Switched Path)를 사용하여 VPN 서비스를 전달한다. 이것이 MPLS 네트워크 중의 라벨 종단 라우터(LER, Label Edge Router)이다. 제공자 라우터는 이미 구축된 LSP를 사용하여 VPN 데이터에 대해 투명 전달을 진행하고, VPN과 관련된 경로 정보를 유지하지 않는다. 이것이 MPLS 네트워크 중의 라벨 스위칭 라우터(LSR, Label Switching Router)이다.
MPLS VPN의 장점:
안전성 MPLS VPN은 경로 차단, 주소 차단와 정보 은폐 등 여러 가지 수단을 사용하였기에 공격 및 라벨 스푸핑 방지 수단을 제공하므로 MPLS VPN은 ATM/FR VPN과 유사한 안전 보장을 제공할 수 있다.
확장성: MPLS VPN은 아주 강한 확장성이 있다. 한편으로, MPLS 네트워크에서 수용할 수 있는 VPN의 수량은 아주 많고, 다른 한편으로 사용자 노드 수량에 있어서 BGP(Border Gateway Protocol, 경계 게이트웨이 프로토콜)에 의해 구성원의 분배와 관리를 진행하므로, 동일한 VPN에서의 사용자 노드의 수량은 한정되지 않고 쉽게 확충할 수 있으며, 임의의 노드와 임의의 기타 노드의 직접 통신을 실현할 수 있다. 특히 사용자 노드 간의 풀메쉬 통신을 실현할 때 조목별로 사용자 노드 간의 회로를 배치할 필요가 없고, 사용자는 한 개의 포트/하나의 회로만으로 네트워크에 액세스하므로, N 평방미터의 확정성 문제를 피하였다.
신뢰성: MPLS VPN 서비스는 자연적으로 초광대역, 멀티 노드, 멀티 경로, 충족한 네트워크와 전송 자원을 갖고 있어 네트워크의 신뢰성을 보장한다. 인터넷 내부 중계선이 중단될 경우, MPLS VPN의 유량은 일반 인터넷 유량과 함께 IGP(Interior Gateway Protocol, 내부 게이트웨이 프로토콜)에 따라 기타 회로에 우회하고, 이 과정은 완전히 IGP의 수렴(Convergence)에 의지하여 자동으로 완료되고, 사용자에 대해 완전히 투명하며 광역망 전송에는 단일 포인트 고장이 존재하지 않는다.
상술한 가상 사설 네트워크 VPN 기술은 모두 종래의 데이터 통신 네트워크와 종래의 네트워크 구조를 기반으로 실현하고, IP 주소는 신원과 위치의 이중 의미를 갖고 있으나, LISP 기술 구조 하에, IP 주소는 종단 호스트 3계층 네트워크 지리 위치의 식별자로서 단지 위치 속성만 갖고 있고, 하나의 종단 호스트 신원식별자를 새로 추가하여 통신 전송의 말단 신원식별자로 사용하고, 종단 호스트의 위치 식별자는 종단 호스트가 위치한 지리 위치와 네트워크 토폴로지에 의해 결정된다, 종단 호스트의 이동 과정에서, 위치의 변화에 의해 종단 호스트의 위치식별자가 변경되고, 종단 호스트의 신원식별자는 종단 신원을 나타내는 유일한 식별자이고, 종단 호스트가 이동하는 과정에서 변화되지 않는다. 동시에 종단 호스트 신원식별자와 위치식별자의 맵핑을 추가해야 하고, 기능 실체로 이 맵핑 관계를 형성한다.
LISP 네트워크 구조에서는 상술한 VPN 기술의 실시에 영향을 가져오나, 운영자가 실시한 VPN 기술 방안(PP-VPN)에 대한 영향은 비교적 작고, 위치와 신원의 분리는 주로 VPN의 사용자 신원과 액세스 관리에 관련되며, 종단 호스트의 신원식별자를 사용하여 인증 관리해야 하고, 관리 시스템을 업그레이드해야 한다. 사용자 관리의 VPN 해결방안(CPE-VPN 방안)에 있어서, 위치와 신원이 분리된 후 종단 호스트는 더 이상 IP 주소를 사용하여 통신하지 않고, 종단 호스트의 신원식별자 EID를 사용해야 하므로 통신하는데 영향이 비교적 크며, VPN 소프트웨어에 대해 업그레이드 처리를 하여 종단 호스트의 신원식별자를 지원하도록 해야 한다.
본 발명이 해결하고자 하는 기술문제는 가상 사설 네트워크의 실현 방법과 시스템을 제공하여 위치 신원 분리 네트워크에서 가상 사설 네트워크를 실현하는 것이다.
이상의 기술문제를 해결하기 위하여, 본 발명은 가상 사설 네트워크의 실현 방법을 제공하고, LISP 네트워크를 기반으로 상기 방법을 실현한다. 상기 VPN 네트워크는 입력 터널 라우터(ITR), 맵 서버 및 출력 터널 라우터(ETR)를 포함한다. 상기 실현 방법은 다음의 단계를 포함한다.
A. 상기 ITR은 소스 호스트가 발송한 데이터 메시지를 수신 후, 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소(Network Element)에 소스 호스트의 VPN 속성 및 목적지 호스트의 신원식별자가 포함된 맵핑 요청 메시지를 발송하는 단계;
B. 상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소는 상기 맵핑 요청 메시지를 수신하고, 상기 목적지 호스트의 신원식별자에 따라 상기 목적지 호스트의 VPN 속성을 확정하는 단계;
C. 상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소는 상기 소스 호스트와 목적지 호스트 VPN 속성의 동일 여부를 비교하고, 동일할 경우에만 맵핑 조회를 진행하여 목적지 호스트의 위치식별자를 포함하는 맵핑 응답 메시지를 회신하고, 만약 동일하지 않으면, 접근 불가 메시지를 회신하는 단계;
D. 상기 ITR은 상기 맵핑 응답 메시지를 수신하고, 상기 목적지 호스트의 위치식별자에 따라 상기 ETR에 LISP 메시지를 전달하고, 상기 ETR은 상기 LISP 메시지를 목적지 호스트에 전달하는 단계를 포함하고,
상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소는 상기 맵 서버 또는 ETR이다.
단계 A 전에, 상기 ITR은 상기 소스 호스트가 발송한 데이터 메시지를 수신 후, 먼저 로컬 맵핑 관계를 조회하고, 만약 목적지 호스트 신원식별자가 조회되고, 소스 호스트의 VPN 속성이 목적지 호스트의 VPN 속성과 동일할 경우, 목적지 호스트의 위치식별자를 획득하며, 상기 목적지 호스트의 위치식별자에 따라 상기 ETR에 데이터 메시지를 전달하고, 그렇지 않으면 단계 A를 수행하는 것이 바람직하다.
단계 D에서 상기 ETR 소스 호스트와 목적지 호스트 VPN 속성이 동일할 경우 상기 LISP 데이터 메시지를 목적지 호스트에 전달하는 것이 바람직하다.
단계 A, 단계 C에서 상기 맵핑 요청 메시지 및 맵핑 응답 메시지는 LISP 제어 메시지 경로를 통해 발송되고; 단계 D에서, 상기 데이터 메시지는 LISP 데이터 메시지 경로를 통해 발송되며, 데이터 메시지는 VPN 속성을 포함하는 것이 바람직하다.
상기 VPN 속성은 VPN 식별자를 포함하고, 서로 다른 VPN 식별자는 서로 다른 VPN 네트워크를 의미하는 것이 바람직하다.
상기 VPN 속성은 소스 호스트가 VPN 종단 호스트인지 여부를 나타내는 정보를 포함하는 것이 바람직하다.
이상의 기술문제를 해결하기 위하여, 본 발명은 가상 사설 네트워크의 실현 시스템을 제공한다. 상기 실현 시스템은 입력 터널 라우터(ITR), 맵 서버 및 출력 터널 라우터(ETR)를 포함한다.
상기 ITR은 제1 데이터 메시지 송수신 모듈, 메시지 처리 모듈, 제1 제어 메시지 송수신 모듈, 제1 로컬 맵핑 테이블 및 맵핑 조회 모듈을 포함한다.
상기 제1 데이터 메시지 송수신 모듈은 소스 호스트가 발송한 데이터 메시지를 수신하고 상기 ETR에 LISP 데이터 메시지를 전달하도록 설정되고;
상기 메시지 처리 모듈은 상기 제1 데이터 메시지 송수신 모듈과 연결되고, 수신한 데이터 메시지를 분석하여 맵핑 조회 모듈에 통지하며, 맵핑 조회 모듈의 조회 결과에 따라 소스 호스트의 VPN 속성 및 목적지 호스트의 신원식별자를 포함하는 맵핑 요청 메시지를 생성하도록 설정되고; 또한 상기 제1 제어 메시지 송수신 모듈이 수신한 맵핑 응답 메시지에 따라 상기 ETR에 전달하는 LISP 데이터 메시지를 생성하도록 설정되고;
상기 제1 제어 메시지 송수신 모듈은 상기 메시지 처리 모듈과 연결되고, 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소에 상기 맵핑 요청 메시지를 발송하고 상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소가 발송한 맵핑 응답 메시지를 수신하도록 설정되고; 상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소는 상기 맵 서버 또는 ETR이고;
상기 제1 로컬 맵핑 테이블은 VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
상기 맵핑 조회 모듈은 상기 메시지 처리 모듈 및 제1 로컬 맵핑 테이블과 연결되고, 상기 소스 호스트의 신원식별자에 따라 소스 호스트의 VPN 속성을 조회하도록 설정되고;
상기 맵 서버는 제2 제어 메시지 송수신 모듈, 제2 로컬 맵핑 테이블, 및 제1 맵핑 처리 모듈을 포함한다.
상기 제2 제어 메시지 송수신 모듈은 상기 ITR이 발송한 맵핑 요청 메시지를 수신하고 상기 ITR에 맵핑 응답 메시지를 발송하도록 설정되고;
상기 제2 로컬 맵핑 테이블은 VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
상기 제1 맵핑 처리 모듈은 상기 제2 제어 메시지 송수신 모듈 및 제2 로컬 맵핑 테이블과 연결되고, 목적지 호스트 신원식별자에 따라 상기 제2 로컬 맵핑 테이블을 조회하여 목적지 호스트의 VPN 속성을 획득하고, 상기 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 비교 결과 동일할 경우, 상기 제2 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고; 또한 조회 결과에 따라 맵핑 응답 메시지를 생성하도록 설정된다.
상기 ETR은 제2 데이터 메시지 송수신 모듈, 제3 제어 메시지 송수신 모듈, 제3 로컬 맵핑 테이블 및 제2 맵핑 처리 모듈을 포함한다.
상기 제2 데이터 메시지 송수신 모듈은 상기 ITR이 발송한 LISP 데이터 메시지를 수신하도록 설정되고;
상기 제3 제어 메시지 송수신 모듈은 상기 ITR이 발송한 맵핑 요청 메시지를 수신하고 상기 ITR에 맵핑 응답 메시지를 발송하도록 설정되고;
상기 제3 로컬 맵핑 테이블은 VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
상기 제2 맵핑 처리 모듈은 상기 제3 제어 메시지 송수신 모듈 및 제3 로컬 맵핑 테이블과 연결되고, 목적지 호스트 신원식별자에 따라 상기 제3 로컬 맵핑 테이블을 조회하여 목적지 호스트의 VPN 속성을 획득하고, 상기 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 비교 결과가 동일할 경우, 상기 제3 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고; 또한 조회 결과에 따라 맵핑 응답 메시지를 생성하도록 설정된다.
상기 ITR의 맵핑 조회 모듈은 목적지 호스트의 신원식별자에 따라 상기 제1 로컬 맵핑 테이블을 조회하고, 상기 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일할 경우, 상기 제1 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고; 또한 상기 ETR에 전달하는 LISP 데이터 메시지를 생성할 것을 상기 메시지 처리 모듈에 통지하도록 설정되고; 또한 상기 목적지 호스트의 맵핑 관계가 조회되지 않으면, 맵핑 요청 메시지를 생성할 것을 상기 메시지 처리 모듈에 통지하도록 설정되는 것이 바람직하다.
상기 ITR의 제1 제어 메시지 송수신 모듈은 또한 상기 맵 서버에 유지하고자 하는 동작 유형 및 맵핑 관계를 포함하는 맵핑 유지 요청을 발송하도록 설정되고;
상기 ETR의 제3 제어 메시지 송수신 모듈은 또한 상기 맵 서버에 유지하고자 하는 동작 유형 및 맵핑 관계를 포함하는 맵핑 유지 요청을 발송하도록 설정되고;
상기 맵 서버의 제2 제어 메시지 송수신 모듈은 또한 ITR 또는 ETR이 발송한 맵핑 유지 요청을 수신하도록 설정되고;
상기 맵 서버의 제1 맵핑 처리 모듈은 또한 상기 맵핑 유지 요청에 따라 제2 로컬 맵핑 테이블을 유지하도록 설정되며, 상기 유지하고자 하는 동작 유형에는 등록, 취소 및 수정이 포함되는 것이 바람직하다.
상기 맵핑 요청 메시지 및 맵핑 응답 메시지는 LISP 제어 메시지 경로를 통해 발송되고, 상기 데이터 메시지는 LISP 데이터 메시지 경로를 통해 발송되며, 데이터 메시지는 VPN 속성을 포함하는 것이 바람직하다.
상기 VPN 속성은 VPN 식별자를 포함하고, 서로 다른 VPN 식별자는 서로 다른 가상 사설 네트워크를 의미하는 것이 바람직하다.
상기 VPN 속성은 소스 호스트가 VPN 종단 호스트인지 여부를 나타내는 정보를 포함하는 것이 바람직하다.
이상의 기술문제를 해결하기 위하여, 본 발명은 다른 가상 사설 네트워크의 실현 방법을 더 제공한다. 상기 실현 방법은 LISP 네트워크 구조에서의 VPN 실현 시스템에 의해 실현된다. 상기 VPN 네트워크 실현 시스템은 VPN 속성, 신원식별자 및 위치식별자의 맵핑 관계를 저장한다. 상기 실현 방법은,
상기 VPN 네트워크 실현 시스템이 소스 호스트가 발송한 메시지를 수신하는 메시지 수신 단계;
상기 VPN 네트워크 실현 시스템이 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일할 경우, 상기 맵핑 관계를 조회하여 상기 목적지 호스트의 위치식별자를 획득하고, 다를 경우, 접근 불가 정보를 발생하는 맵핑 처리 단계;
상기 VPN 네트워크 실현 시스템이 상기 목적지 호스트의 위치식별자에 따라 메시지를 전달하거나 또는 접근 불가 정보에 따라 프로세스를 종료하는 메시지 처리 단계를 포함한다.
상기 메시지 처리 단계에서, 상기 VPN 실현 시스템은 소스 호스트와 목적지 호스트의 VPN 속성을 비교하여, 동일할 경우, 메시지를 전달하고, 그렇지 않으면 프로세스를 종료하는 것이 바람직하다.
상기 맵핑 처리 단계는 LISP 네트워크 구조 중의 입력 터널 라우터(ITR), 맵 서버 또는 출력 터널 라우터(ETR)에 의해 실현되는 것이 바람직하다..
상기 VPN 속성은 VPN 식별자를 포함하고, 서로 다른 VPN 식별자는 서로 다른 VPN 네트워크를 의미하는 것이 바람직하다.
상기 VPN 속성이 소스 호스트가 VPN 종단 호스트인지 여부를 나타내는 정보를 포함하는 것이 바람직하다.
이상의 기술문제를 해결하기 위하여, 본 발명은 다른 가상 사설 네트워크의 실현 시스템을 제공하고, LISP 네트워크를 기반으로 상기 실현 시스템을 실현한다.
상기 실현 시스템은 메시지 수신 장치, 맵핑 처리 장치, 메시지 처리 장치를 포함한다.
메시지 수신 장치는 소스 호스트가 발송한 메시지를 수신하며, 맵핑 처리를 진행할 것을 맵핑 처리 장치에 통지하도록 설정되고,
상기 맵핑 처리 장치는 상기 메시지 수신 장치와 연결되며, VPN 속성, 신원식별자 및 위치식별자의 맵핑 관계를 저장하고 맵핑 처리를 진행하도록 설정되고, 구체적으로, 소스 호스트와 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일할 경우, 저장한 맵핑 관계를 조회하여 상기 목적지 호스트의 위치식별자를 획득하고, 다를 경우, 접근 불가 정보를 발생하며, 또한 상기 맵핑 처리 결과를 메시지 처리 장치에 발송하도록 설정되고;
상기 메시지 처리 장치는 상기 맵핑 처리 장치와 연결되며, 상기 맵핑 처리 결과를 수신하고 상기 맵핑 처리에 따라 메시지를 처리하도록 설정되고, 구체적으로 목적지 호스트의 위치식별자에 따라 메시지를 전달하고 접근 불가 정보에 따라 통신 프로세스를 종료한다.
상기 메시지 처리 장치는 또한 소스 호스트와 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일할 경우, 메시지 전달을 다시 진행하고, 그렇지 않으면 통신 프로세스를 종료하도록 설정되는 것이 바람직하다.
상기 맵핑 처리 장치는 입력 터널 라우터(ITR), 맵 서버 또는 출력 터널 라우터(ETR)에 의해 실현되고, 상기 메시지 수신 장치 및 메시지 처리 장치는 상기 ITR에 의해 실현되는 것이 바람직하다.
상기 VPN 속성은 VPN 식별자를 포함하고, 서로 다른 VPN 식별자는 서로 다른 VPN 네트워크를 의미하는 것이 바람직하다.
상기 VPN 속성은 소스 호스트가 VPN 종단 호스트인지 여부를 나타내는 정보를 포함하는 것이 바람직하다.
본 발명의 가상 사설 네트워크의 실현 방법 및 실현 시스템은, LISP 네트워크를 기반으로 VPN을 실현하고, 신원식별자와 위치식별자의 맵핑 관계에 VPN 속성을 추가하고, 맵핑 처리 할 때, 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성이 동일할 경우, 다시 목적지 호스트의 위치식별자를 조회하여, 목적지 호스트의 위치식별자에 따라 데이터 메시지의 전달을 실현하고, VPN 속성이 다를 경우, 접근 정보를 회신함으로써, 가상 사설 네트워크를 효과적으로 실현하고, VPN 종단 호스트 통신의 편리성과 안전성을 보장하고, 가상 사설 네트워크의 수요를 만족시킨다.
도 1은 LISP 네트워크 구조의 구성 개략도이다.
도 2는 LISP+ALT 네트워크 구조의 개략도이다.
도 3은 본 발명의 실시예의 가상 사설 네트워크 실현 시스템을 나타내는 개략도이다.
도 4는 본 발명의 실시예의 가상 사설 네트워크의 실현 방법을 나타내는 개략도이다.
LISP(Locator/ID Separation Protocol) 네트워크 구조는 네트워크의 위치 신원 분리 방안(구체적인 내용은 IETF(Internet Engineering Task Force)의 LISP 작업 그룹의 기술 서류 최신 버전을 참조, draft-farinacci-lisp-11.txt)을 기반으로 한 것으로, 종래 네트워크의 IP 주소를 EID(Endpoint identifier)와 RLOC(Routing Locator)로 나누었다. 이 방안의 장점은 현재 종단 호스트의 프로토콜 스택을 변화할 필요가 없고, 종단의 호환성이 좋다는 점이며, 상기 방안의 중점은 네트워크 라우팅 규모의 확장 가능성, 유량 공정과 이동성을 해결하는 것이다. LISP의 네트워크 구조의 개략도인 도 1을 참조하면, EID를 가진 종단 호스트(즉 제1단 호스트(100)와 제2단 호스트(110)), 입력 터널 라우터(ITR, ingress tunnel router, 200)와 출력 터널 라우터(ETR, egress tunnel router, 210)를 포함하고, ITR와 ETR이 LISP 제어 메시지 경로(300)와 LISP 데이터 메시지 경로(400)를 통해 연결되고, 도면으로부터 알 수 있듯이 이 두 경로는 서로 다르다. 신원과 위치 맵핑을 처리하는 메시지는 LISP 프로토콜을 사용하여 LISP 제어 메시지 경로(300)를 통해 전달되고, LISP 패키지 데이터 메시지는 LISP 데이터 메시지 경로(400)에서 전달된다. ITR과 ETR의 LISP 제어 메시지 경로(300) 상에 맵 서버를 더 설치하여 맵핑 처리를 한다(미도시).
LISP 방안은 논리적 토폴로지를 구축하는 것을 통하여 EID와 RLOC의 맵핑 관리를 실현하고, 종래의 LISP 프로토콜을 사용하며, 모두 4가지 발전 경로가 있고, 구별은 LISP 제어 메시지 경로가 다른 데 있고, 그 중 LISP3은 한가지 발전 경로이고, EID는 라우팅할 수 없고, 맵핑 처리가 필요하다. 그 중 LISP+ALT(LISP Alternative Topology, 구체적 내용은 IETF의 LISP 작업 그룹의 기술 서류 최신 버전을 참조, draft-fuller-lisp-alt-05.txt)에 대한 연구가 비교적 많고, LISP+ALT네트워크 구조의 개략도인 도 2를 참조하면, LISP+ALT는 GRE와 BGP 라우팅 프로토콜을 사용하여 종래 네트워크 구조를 기반으로 하는 오버레이 네트워크(Overlay Network)를 구축하고, LISP 제어 메시지 경로를 구축하고, 터널 라우터는 상기 오버레이 네트워크를 사용하여 신원식별자와 위치식별자의 맵핑 관계를 조회 및 응답하고, 맵핑 관계는 로컬 캐시(Cache)와 분포된 데이터 베이스(the distributed Endpoint Identifier-to-Routing Locator Mapping Database)에 존재하고, LISP의 두 가지 액세스 컨트롤 라우터 ITR, ETR 및 맵 서버에 의해 맵핑 관계를 공동으로 처리한다.
도 2 중의 ALT-rtr은 ALT 오버레이 네트워크의 라우터를 의미한다.
본 발명의 가상 사설 네트워크의 실현 방법과 실현 시스템의 주요 사상은 LISP 네트워크를 기반으로 VPN을 실현하고, 신원식별자와 위치식별자의 맵핑 관계에 대응 VPN 속성을 추가하고, 맵핑 처리를 진행할 때, 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성이 동일하다고 판단되면, 목적지 호스트의 위치식별자를 조회하여, 목적지 호스트의 위치식별자에 따라 데이터 메시지의 전달을 실현하고, VPN 속성이 다를 경우, 접근 불가 정보를 회신하여, 통신 실패를 알림으로써 VPN 종단 호스트의 통신 안전성을 보장하여 가상 사설 망에 대한 사용자의 수요를 만족시킨다.
본 발명의 가상 사설 네트워크의 실현 방법은 LISP 네트워크를 기반으로 실현한다. 상기 가상 사설 네트워크는 입력 터널 라우터(ITR), 맵 서버 및 출력 터널 라우터(ETR)를 포함하고, 상기 ITR, 맵 서버 및 ETR은 VPN 속성, 신원식별자 및 위치식별자의 맵핑 관계를 저장한다. 상기 방법은 아래 단계를 포함한다.
A. 상기 ITR은 소스 호스트가 발송한 데이터 메시지를 수신 후, 로컬 맵핑 관계에 따라 소스 호스트의 VPN 속성을 확정하며, 상기 맵 서버 또는 ETR에 소스 호스트의 VPN 속성 및 목적지 호스트의 신원식별자를 포함하는 맵핑 요청 메시지를 발송하는 단계,
구체적으로 본 단계는 아래와 같이 실현될 수 있다. 입력 터널 라우터(ITR)은 소스 호스트가 발송한 1계층 LISP 메시지(LISP의 헤더)를 수신하고, 맵핑 요청 메시지를 발송하며, LISP 패키지 응답을 기다린다.
맵 서버 또는 ETR은 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소로 칭할 수 있고, 일반 상황에서 ITR은 상기 맵 서버에 맵핑 요청 메시지를 발송하고, 만약 ITR이 데이터 메시지가 전달된 대응 ETR가 확정되면, ETR에도 맵핑 요청 메시지를 발송할 수 있다.
B. 상기 맵 서버 또는 ETR은 상기 맵핑 요청 메시지를 수신하고, 상기 목적지 호스트의 신원식별자에 따라 상기 목적지 호스트의 VPN 속성을 확정하는 단계;
C. 상기 맵 서버 또는 ETR은 상기 소스 호스트와 목적지 호스트 VPN 속성의 동일 여부를 비교하고, 동일할 경우, 상기 ITR에 목적지 호스트의 위치식별자(RLOC)를 포함하는 맵핑 응답 메시지를 회신하고, 그렇지 않으면, 접근 불가 정보를 회신하여 프로세스를 종료하는 단계;
D. 상기 ITR은 상기 맵핑 응답 메시지를 수신하고, 상기 목적지 호스트의 위치식별자에 따라 상기 ETR에 LISP 데이터 메시지를 전달하고, 상기 ETR은 상기 LISP 데이터 메시지를 목적지 호스트에 전달하는 단계.
ITR은 맵핑 응답 메시지를 수신 후, 맵핑 응답 메시지에 내포되거나 또는 완전한 목적지 호스트의 맵핑 관계에 따라 로컬의 맵핑 관계를 업그레이드한다. 이러면 ITR은 소스 호스트가 발송한 후속의 데이터 메시지를 수신 후, 로컬의 맵핑 관계에 따라 맵핑 처리 및 데이터 메시지 전달을 직접 진행할 수 있고, ITR의 맵핑 처리와 맵 서버 및 ETR의 맵핑 처리 과정은 동일하다. 즉 로컬 맵핑 관계를 조회하여, 목적지 호스트 신원식별자를 조회되고, 소스 호스트의 VPN 속성이 목적지 호스트의 VPN 속성과 동일하면, 목적지 호스트의 위치식별자를 획득한다.
로컬 맵핑 관계에서 목적지 호스트의 신원식별자가 조회되지 않을 경우, ITR, 맵 서버와 ETR에 있어서 서로 다른 처리 방식이 있다. ITR에 있어서, 로컬에서 목적지 호스트의 신원식별자가 조회되지 않으면, 맵 서버에 맵핑 요청 메시지를 발송한다. 맵 서버에 있어서, 로컬에서 목적지 호스트의 신원식별자가 조회되지 않으면, ETR에 맵핑 요청 메시지를 전달하고, ETR에 있어서, 로컬에서 목적지 호스트의 신원식별자가 조회되지 않으면, 맵 서버를 통해 ITR에 접근 불가 메시지를 회신한다.
데이터 메시지를 전달할 때, ITR은 데이터 메시지를 LISP 인캡슐레이션하고, LISP 인캡슐레이션 메시지의 외층 헤더(outer header)의 소스와 목적지 주소는 각각 ITR과 ETP의 IP 주소 즉 RLOC이고, LISP 인캡슐레이션 데이터 메시지는 데이터 메시지 경로를 통해 ETR 라우터에 전달되고, ETR은 LISP 인캡슐레이션한 후 데이터 메시지를 EID 종단에 발송한다.
구체적으로 실현할 때, 종단 호스트의 EID는 한 개 또는 몇 개의 RLOC를 맵핑할 수 있다.
이상에서 서술한 맵핑 요청 메시지 및 맵핑 응답 메시지는 LISP 제어 메시지 경로를 통해 발송되고, 데이터 메시지는 LISP 데이터 메시지 경로를 통해 발송된다.
서로 다른 실현 방식에서, VPN 속성은 서로 다른 의미를 갖고 있고, 아래와 같은 몇 가지 경우가 있다.
1. LISP 네트워크는 다수 개의 VPN 네트워크의 종단 호스트를 포함하고, 서로 다른 VPN은 서로 다른 VPN 식별자를 설정하고, VPN 속성은 종단 호스트의 VPN 식별자를 가리킨다.
2. LISP 네트워크는 VPN 네트워크의 종단 호스트와 비VPN 네트워크의 종단 호스트를 포함하고, VPN 속성은 종단 호스트가 VPN 종단 호스트에 속하는지를 가리킨다.
3. LISP 네트워크는 다수 개의 VPN 네트워크의 종단 호스트와 비VPN 네트워크의 종단 호스트를 포함하고, VPN 속성은 종단 호스트가 VPN 종단 호스트에 속하는지를 가리킨다.
VPN 종단 호스트에 있어서, VPN 식별자가 같아야만 VPN 사용자 간의 통신을 구축할 수 있고, 그렇지 않으면 통신을 구축할 수 없어, VPN 종단 호스트가 상기 VPN 이외의 종단 호스트와 통신을 구축하지 못하게 보장하고, VPN 이외의 종단 호스트도 VPN 네트워크를 방문하지 못하여 VPN 네트워크의 안전성을 보장한다.
맵핑 관계에 변화가 발생할 경우, ITR 및 ETR이 LISP 제어 메시지 경로를 통해 맵 서버에 발송한 맵핑 유지 메시지는 유지하고자 하는 동작 유형 및 맵핑 관계를 포함하고; 상기 맵 서버는 맵핑 유지 요청에 따라 로컬 맵핑 테이블을 유지하고, 상기 유지하고자 하는 동작 유형은 등록, 취소 및 수정을 포함한다.
또한, ITR과 맵 서버는 맵핑 응답 메시지에 포함된 맵핑 관계에 따라 로컬 맵핑 관계를 갱신할 수 있다. 이해해야 할 것은, 본 발명 중의 ITR과 ETR은 입력 터널 라우터와 출력 터널 라우터로 호환될 수 있다. 설명의 편의를 위하여, 본 발명에서는 데이터 메시지의 전송 방향에 따라 입력 터널 라우터와 출력 터널 라우터를 확정한다.
실시예: LISP(Locator/ID Separation Protocol) 프로토콜 네트워크 구조하에서 본 발명을 실시하는 가상 사설 네트워크(VPN).
LISP 네트워크 구조하에서 VPN을 실시할 때, VPN 종단 호스트의 맵핑 관계와 비VPN 종단 호스트의 맵핑 관계는 서로 다른 맵핑 테이블에 저장될 수 있고, 동일한 맵핑 테이블에 저장될 수도 있다. 어떤 실현 방식이든지, 맵핑 관계는 모두 VPN 속성, 신원식별자와 위치식별자의 관계를 구현할 수 있다.
이하, 테이블 분할 저장을 예로 설명한다.
우선 가상 사설 네트워크 VPN의 신원식별자가 EID인 종단 호스트를 위해 VPN 식별자를 설정하고, 가상 사설 네트워크 VPN 전용의 맵핑 테이블을 구축하고, 맵핑 테이블에는 VPN 식별자와 상기 VPN에 속하는 모든 사용자 측 호스트의 신원식별자 EID와 위치식별자 RLOC의 맵핑 관계를 포함한다. 이럴 경우 VPN 속성은 VPN 식별자만 구현할 수 있으면 된다. VPN 종단 호스트와 비VPN 종단 호스트가 공존하는 경우, LISP 네트워크 구조는 두 가지 맵핑 테이블이 있고, 한 가지는 VPN 식별자가 없는 LISP 맵핑 테이블이고, 다른 한 가지는 VPN 식별자가 있는 VPN 맵핑 테이블이다. LISP 맵핑 테이블에서 종단 호스트의 VPN 속성은 즉 묵시적인 비VPN 종단 호스트다. LISP 맵핑 테이블과 VPN 맵핑 테이블을 맵핑 테이블이라 총칭하여 부른다.
매 개 VPN 네트워크는 한 개 VPN 식별자(VPN_ID)로 식별한다. 이러면 LISP 네트워크 구조에서 다수 개의 VPN을 지원할 수 있어, 많은 기업망의 응용 수요를 만족시킨다.
VPN 맵핑 테이블 중의 사용자 측 호스트의 맵핑 관계는 동적으로 추가 또는 삭제될 수 있다.
ITR은 종단 호스트의 LISP 메시지를 수신 후, 만약 상기 메시지의 소스 EID가 VPN에 속하면, ITR은 상기 종단 호스트의 메시지를 수신 처리할 때, 상기 사용자가 속하는 VPN의 VPN 맵핑 테이블만 조회할 수 있다는 것을 의미한다. 즉 VPN 식별자가 동일해야만 VPN 사용자 간의 통신을 구축할 수 있고, 그렇지 않으면 통신을 구축할 수 없으므로, 상기 VPN 맵핑 테이블 이외의 사용자와 통신을 구축할 수 없도록 보장하고, VPN 맵핑 테이블 이외의 사용자는 VPN 맵핑 테이블을 조회할 수 없으며, VPN 네트워크를 방문하지 못하므로 VPN 네트워크의 안전성을 보장한다. 마찬가지로 출력 터널 라우터와 맵 서버가 맵핑 처리를 할 때도, 쌍방의 VPN 식별자가 동일한지 비교하여 VPN 내부에서만 통신을 구축할 수 있게 보장한다.
VPN 맵핑 테이블 구축예:
첫 번째 사설 네트워크 VPN에서, 사용자 EID(a1,..,k1)이고, 할당된 VPN 식별자 VPN_ID_(1)이면, 다음과 같이 VPN 맵핑 테이블을 구축할 수 있다.
신원식별자EID(a1) 위치식별자 RLOC(a1) VPN_ID_(1)
신원식별자EID(b1) 위치식별자 RLOC(b1) VPN_ID_(1)
..... ..... .....
신원식별자EID(k1) 위치식별자 RLOC(k1) VPN_ID_(1)
두 번째 가상 사설 네트워크에서, 사용자는 EID(a2,…,k2)이고, 할당된 VPN 식별자가 VPN_ID_(2)이면, VPN 맵핑 테이블은 아래와 같다.
신원식별자EID(a2) 위치식별자 RLOC(a2) VPN_ID_(2)
신원식별자EID(b2) 위치식별자 RLOC(b2) VPN_ID_(2)
..... ..... .....
신원식별자EID(k2) 위치식별자 RLOC(k2) VPN_ID_(2)
VPN 간은 차단되어야 하며 서로 통해서는 안된다. 따라서, VPN 식별자 VPN_ID_(1)의 맵핑 테이블 중의 표 항목과 VPN 식별자 VPN_ID_(2)의 맵핑 테이블 중의 표 항목은 중첩되면 안 된다.
입력 터널 라우터(ITR)는, 소스 EID 종단이 VPN 네트워크에 액세스하는 입구이고, VPN에 속하는 소스 EID를 위해 VPN 식별자를 설정한다. 출력 터널 라우터(ETR)는 목적지 EID의 맵핑 데이터 베이스를 저장하고, VPN에 속하는 목적지 EID를 위해 VPN 식별자를 설정한다.
이하 LISP 데이터 메시지, LISP 제어 메시지 및 LISP 메시지의 포맷에 대해 설명한다.
LISP 데이터 메시지 포맷:
본 발명에서 LISP 데이터 메시지 헤더는 VPN 식별자를 포함하고, 구체적인 위치는 LISP 메시지의 Nonce 칼럼의 다음에 있고, LISP VPN 데이터 메시지 헤더 포맷은 아래와 같다.
Figure 112012020504211-pct00001
그 중, IH(inner header)는 내층 메시지 헤더를 나타내고, OH(outer header)는 외층 메시지 헤더를 나타내며, VPN-ID는 VPN 식별자를 의미한다.
LISP 제어 메시지 헤더 포맷
본 발명에서 LISP 제어 메시지 헤더는 VPN 식별자를 포함하고, 구체적인 위치는 LISP 메시지의 Nonce 칼럼의 다음에 있고, LIST VPN 제어 메시지 헤더 포맷은 아래와 같다.
Figure 112012020504211-pct00002
LISP 메시지 포맷
본 발명에서 LISP 메시지(LISP Message)의 상세한 포맷은 아래와 같다.
Figure 112012020504211-pct00003
LISP 메시지는 맵핑 요청 메시지(type=1), 맵핑 응답 메시지(type=2), 맵핑등록(type=3) 등을 포함한다.
ITR 라우터가 EID에서 RLOC로 맵핑해야 할 경우, 맵핑 요청 메시지를 발송한다. 맵핑 요청 메시지의 요청을 받으면 ETR은 맵핑을 요청을 한 EID에 매칭되는 RLOC를 포함하는 응답 메시지를 회신한다. 맵핑 등록 메시지는 맵 서버에 EID에서 RLOC의 맵핑 관계를 등록한다. 예를 들면, ETR이 맵 서버에 EID 맵핑 관계를 발송한다.
메시지에 종단 호스트가 VPN 종단인지 여부를 나타내는 VPN 식별자를 추가할 수 있고, 메시지가 VPN 종단 호스트의 통신 메시지일 경우, VPN 식별자는 true이고, 동시에 메시지에 VPN 식별자가 존재함을 나타낸다. 메시지가 VPN 종단 호스트의 통신 메시지가 아닐 경우, VPN 식별자는 false이고, 동시에 메시지에 VPN 식별자가 없음을 나타낸다.
본 발명은 LISP 네트워크 구조에서 VPN을 실현함에 있어서 이하의 특징을 갖고 있다.
(1) 가상 사설 네트워크 VPN의 신원식별자가 EID인 종단 호스트를 위하여 VPN 속성을 설정하고, 구체적으로 입력 터널 라우터(ITR), 출력 터널 라우터(ETR)의 로컬 맵핑 데이터베이스(database) 및 맵 서버(Map-server)에서 신원식별자 EID 의 종단을 위하여 VPN 속성을 설정한다.
(2) LISP 프로토콜 메시지, 데이터 메시지(LISP Data Message)와 제어 메시지(LISP Control Plane Packet)에 VPN 속성을 추가한다.
ITR이 맵핑 요청 메시지를 발송할 때, LISP VPN 제어 메시지 헤더 포맷을 사용하고, 그 중 VPN 속성은 소스 EID의 VPN 속성이다.
ETR이 맵 서버에 맵핑 등록 메시지를 발송할 때, LISP VPN 제어 메시지 헤더 포맷을 사용하고, 그 중 VPN 속성은 ETR이 관리하는 EID의 VPN 속성이다.
ITR 라우터가 LISP 메시지를 캡슈화할 때, 본 발명의 LISP VPN 제어 메시지 헤더 포맷을 사용하고, VPN 속성을 포함한다.
(3) LISP 네트워크 구조에서의 모든 맵핑 처리(mapping) 장치(ITR, 맵 서버 및 ETR을 포함)는 맵핑 처리 할 때, 소스 EID와 목적 EID의 VPN 속성의 동일 여부를 비교하고, 동일할 경우에만 맵핑 처리를 진행하고, 그렇지 않으면 접근 불가 메시지를 회신한다.
ETR은 맵핑 요청 메시지를 처리할 때, 소스 EID와 목적 EID의 VPN 속성를 비교하여, 동일하면 맵핑 처리를 진행하고, 그렇지 않으면 접근 불가 메시지를 회신한다.
맵 서버가 맵핑 처리를 할 때, 소스 EID의 VPN 속성과 목적 EID의 VPN 속성이 동일해야만 맵핑 메시지의 처리를 한다.
기타 LISP VPN의 맵핑 메시지의 처리는 모두 VPN 식별자를 비교해야 하고, VPN 통신의 안전을 보장한다. 맵핑 메시지는 모두 이하 12가지가 있다.
Reserved : 보류 0 b'0000'
LISP Map-Request : 맵핑 요청 1 b'0001'
LISP Map-Reply : 맵핑 응답 2 b'0010
LISP Map-Register : 맵핑 등록 3 b'0011'
LISP-CONS Open Message: 열기 8 b'1000'
LISP-CONS Push-Add Message : 추가 9 b'1001'
LISP-CONS Push-Delete Message : 삭제 10 b'1010'
LISP-CONS Unreachable Message : 접근 불가 11 b'1011'
ETR(출력 터널 라우터)은 LISP 데이터 메시지를 디캡슐레이션 할 때, LISP VPN 데이터 메시지 중의 VPN 속성이 목적지 EID의 VPN 속성과 동일한지를 검사하고, 동일하면 데이터를 전달하고, 그렇지 않으면 버리는 등 예외 처리를 한다.
VPN 종단 호스트에 있어서, VPN 식별자가 동일해야만 VPN 종단 호스트 간의 통신을 구축할 수 있고, 그렇지 않으면 통신을 구축할 수 없어 상기 VPN 이외의 종단 호스트와 통신을 구축할 수 없도록 보장하고, VPN 이외의 종단 호스트도 VPN 네트워크를 방문할 수 없어 VPN 네트워크의 안전성을 보장한다.
이상의 방법을 실현하기 위하여, 본 발명은 가상 사설망의 실현 시스템을 제공하고, 상기 실현 시스템은 입력 터널 라우터(ITR), 맵 서버 및 출력 터널 라우터(ETR)를 포함한다.
상기 ITR은 제1 데이터 메시지 송수신 모듈, 메시지 처리 모듈, 제1 제어 메시지 송수신 모듈, 제1 로컬 맵핑 테이블 및 맵핑 조회 모듈을 포함한다.
제1 데이터 메시지 송수신 모듈은 소스 호스트가 발송한 데이터 메시지를 수신하고 상기 ETR에 LISP 데이터 메시지를 전달하도록 설정되고;
메시지 처리 모듈은 상기 제1 데이터 메시지 송수신 모듈과 연결되고, 수신한 데이터 메시지를 분석하여 맵핑 조회 모듈에 통지하고, 맵핑 조회 모듈의 조회 결과에 따라 소스 호스트의 소스 호스트의 VPN 속성 및 목적지 호스트의 신원식별자를 포함하는 맵핑 요청 메시지를 형성하도록 설정되고, 또한 상기 제1 제어 메시지 송수신 모듈이 수신한 맵핑 응답 메시지에 따라 상기 ETR에 전달하는 LISP 데이터 메시지를 생성하도록 설치되며;
제1 제어 메시지 송수신 모듈은 상기 데이터 처리 모듈과 연결되고, 종단 호스트 VPN 속성을 저장하는 네트워크 구성요소(즉 상기 맵 서버 또는 ETR)에 상기 맵핑 요청 메시지를 발송하고 상기 종단 호스트 VPN 속성을 저장하는 네트워크 구성요소가 발송한 맵핑 응답 메시지를 수신하도록 설정되고, 또한 상기 맵 서버에 유지하고자 하는 동작 유형 및 맵핑 관계를 포함하는 맵핑 유지 요청을 발송하도록 설정되고;
제1 로컬 맵핑 테이블은 VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
맵핑 조회 모듈은 상기 메시지 처리 모듈 및 제1 로컬 맵핑 테이블과 연결되고, 상기 소스 호스트의 신원식별자에 따라 소스 호스트의 VPN 속성을 조회하고 목적지 호스트의 신원식별자에 따라 제1 로컬 맵핑 테이블을 조회하도록 설정되고, 또한 상기 소스 호스트의 VPN 속성과 목적지 호스트의 속성의 동일 여부를 비교하고, 비교 결과가 같으면, 상기 제1 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고; 또한 상기 ETR에 전달하는 데이터 메시지를 생성할 것을 상기 메시지 처리 모듈에 통지하도록 설정되고; 상기 목적지 호스트의 맵핑 관계가 조회되지 않으면, 상기 맵핑 요청 메시지를 생성할 것을 상기 메시지 처리 모듈에 통지하도록 설정된다.
상기 맵 서버는 제2 제어 메시지 송수신 모듈, 제2 로컬 맵핑 테이블 및 제1 맵핑 처리 모듈을 포함한다.
제2 제어 메시지 송수신 모듈은 상기 ITR이 발송한 맵핑 요청 메시지를 수신하고 상기 ITR에 맵핑 응답 메시지를 발송하도록 설정되고;
제2 로컬 맵핑 테이블은 VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
제1 맵핑 처리 모듈은 상기 제2 제어 메시지 송수신 모듈 및 제2 로컬 맵핑 테이블과 연결되고, 목적지 호스트 신원식별자에 따라 상기 제2 로컬 맵핑 테이블을 조회하여 목적지 호스트의 VPN 속성을 획득하고 상기 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 비교 결과가 동일하면 상기 제2 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고, 또한 조회 결과에 따라 맵핑 응답 메시지를 생성하도록 설정된다.
상기 ETR은 제2 데이터 메시지 송수신 모듈, 제3 제어 메시지 송수신 모듈, 제3 로컬 맵핑 테이블, 및 제2 맵핑 처리 모듈을 포함한다.
제2 데이터 메시지 송수신 모듈은 상기 ITR이 발송한 LISP 데이터 메시지를 수신하도록 설정되고;
제3 제어 메시지 송수신 모듈은 상기 ITR이 발송한 맵핑 요청 메시지를 수신하고 상기 ITR에 맵핑 응답 메시지를 발송하도록 설정되고;
제3 로컬 맵핑 테이블은 VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
제2 맵핑 처리 모듈은 상기 제3 제어 메시지 송수신 모듈 및 제3 로컬 맵핑 테이블과 연결되고, 목적지 호스트 신원식별자에 따라 상기 제3 로컬 맵핑 테이블을 조회하여 목적지 호스트의 VPN 속성을 획득하고, 상기 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 비교 결과가 동일하면, 상기 제3 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고, 또한 조회 결과에 따라 맵핑 응답 메시지를 생성하도록 설정된다.
상기 맵핑 요청 메시지 및 맵핑 응답 메시지는 LISP 제어 메시지 경로를 통해 발송되고, 상기 데이터 메시지는 LISP 데이터 메시지 경로를 통해 발송된다.
ETR의 제3 제어 메시지 송수신 모듈은 또한 상기 맵 서버에 유지하고자 하는 동작 유형 및 맵핑 관계를 포함하는 맵핑 유지 요청을 발송하도록 설정된다.
맵 서버의 제2 제어 메시지 송수신 모듈은 또한 ITR 또는 ETR이 발송한 맵핑 유지 요청을 수신하도록 설정된다.
맵 서버의 제1 맵핑 처리 모듈은 또한 상기 맵핑 유지 요청에 따라 제2 로컬 맵핑 테이블에 따라 유지하도록 설정되고, 상기 유지하고자 하는 동작 유형에는 등록, 취소 및 수정이 포함된다.
메시지의 처리 흐름에 따라 본 발명에 따른 가상 사설 네트워크의 실현 시스템과 방법은 이하 내용으로 요약할 수 있다.
도 3에 도시한 바와 같이, 본 발명의 실시예에 따른 LISP 네트워크를 기반으로 실현되는 가상 사설 네트워크의 실현 시스템은 메시지 수신 장치(31), 맵핑 처리 장치(32), 메시지 처리 장치(33)를 포함한다.
상기 메시지 수신 장치(31)는 소스 호스트가 발송한 메시지를 수신하며, 맵핑 처리를 진행할 것을 맵핑 처리 장치(32)에 통지하도록 설정되고;
상기 맵핑 처리 장치(32)는 상기 메시지 수신 장치(31)와 연결되고, VPN 속성, 신원식별자 및 위치식별자의 맵핑 관계를 저장하고, 맵핑 처리를 진행하도록 설정되고, 구체적으로 소스 호스트와 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일하면 저장한 맵핑 관계를 조회하여 상기 목적지 호스트의 위치식별자를 획득하고, 다르면 접근 메시지를 발생하며, 또한 상기 맵핑 처리 결과를 메시지 처리 장치(33)에 발송하도록 설정되고;
상기 메시지 처리 장치(33)는 상기 맵핑 처리 장치(32)와 연결되고, 상기 맵핑 처리 결과를 수신하고 상기 맵핑 처리 결과에 따라 메시지 처리하도록 설정되고, 구체적으로 목적 호스트의 위치식별자에 따라 메시지를 전달하고 접근 불가 정보에 따라 통신 프로세스를 종료한다.
구체적으로, 상기 메시지 처리 장치(33)는 소스 호스트와 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일하면 메시지를 전달하고, 그렇지 않으면 프로세스를 종료하도록 설정될 수 있다.
전술한 내용으로부터 알 수 있듯이, 맵핑 처리 장치(32)는 입력 터널 라우터(ITR), 맵 서버 또는 출력 터널 라우터(ETR)에 의해 실현되고, 메시지 수신 장치(31) 및 메시지 처리 장치(33)는 상기 ITR에 의해 실현된다.
상응하게, 본 발명의 실시예에 따른 가상 사설 네트워크의 실현 방법은 LISP 네트워크 구조 하의 VPN 네트워크 실현 시스템에 의해 실현되고, 상기 VPN 네트워크 실현 시스템은 VPN 속성, 신원식별자 및 위치식별자의 맵핑 관계를 저장한다. 도 4에 도시한 바와 같이, 상기 방법은 다음의 단계를 포함한다.
단계 401 : 상기 VPN 네트워크 실현 시스템이 소스 호스트가 발송한 메시지를 수신하는 메시지 수신 단계;
단계 402 : 상기 VPN 네트워크 실현 시스템이 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일하면 상기 맵핑 관계를 조회하여 상기 목적지 호스트의 위치식별자를 획득하고, 다르면 접근 정보를 발생하는 맵핑 처리 단계;
단계 403 : 상기 VPN 네트워크 실현 시스템이 상기 목적지 호스트의 위치식별자에 따라 메시지를 전달하거나 또는 접근 불가 정보에 따라 프로세스를 종료하는 메시지 처리 단계.
상기 메시지 처리 단계에서 상기 메시지 처리 장치는 소스 호스트와 목적지 호스트의 VPN 속성을 비교하여 동일하면, 메시지를 다시 전달하고, 그렇지 않으면 프로세스를 종료한다.
본 발명이 말하는 VPN 속성은 “VPN 식별자” 또는 “VPN 종단 호스트인지 여부를 나타내는 정보” 중의 하나 이상을 포함하고, 서로 다른 VPN 식별자는 서로 다른 가상 사설망을 의미하고, LISP의 데이터 메시지와 제어 메시지에 VPN 속성을 추가한다.
본 발명에 따른 가상 사설 네트워크의 실현 방법과 실현 시스템은 LISP 네트워크 구조를 기반으로 하여, 신원식별자와 위치식별자의 맵핑 관계에 대응 VPN 속성을 추가하고, 맵핑 처리할 때, 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성이 동일하다고 판단되면, 목적지 호스트의 위치식별자를 조회하여 목적지 호스트의 위치식별자에 따라 데이터 메시지의 전달을 실현하여 통신을 구축하고, VPN 속성이 다르면, 접근 불가 정보를 회신함으로써 가상 사설 네트워크를 효과적으로 실현하였고, VPN 종단 호스트 통신의 편리성과 안전성을 보장하고, 가상 사설망에 대한 사용자의 수요를 만족시켰다. 본 발명에 따른 실현 방법과 실현 시스템은 LISP 네트워크 구조 하에서 종래의 가상 사설 네트워크(VPN)를 실시하는 영향을 피하였고, VPN을 실시함에 따른 종래 설비와 소프트웨어에 대한 변동을 줄였고, 특히 운영자가 실시하는 VPN 해결방안(PP-VPN)에 있어서, 본 발명은 운영자가 실시하는 VPN 해결방안의 일종으로 될 수 있다.
당업자라면 상술한 방안 중의 전체 또는 부분 단계는 프로그램을 통해 관련 하드웨어에 지시하여 이루어질 수 있음을 이해할 수 있으며, 상기 프로그램은 읽기 전용 메모리, 자기 또는 광학 디스크 등 컴퓨터 판독 저장매체에 저장할 수 있다. 선택적으로 상술한 실시예에서의 전체 또는 부분 단계는 하나 이상의 직접회로를 사용하여 실현할 수도 있다. 상응하게, 상술한 실시예에서의 각 모듈/유닛은 하드웨어의 형식으로 실현할 수 있고, 소프트웨어 기능 모듈의 형식으로 실현할 수도 있다. 본 발명은 그 어떤 특정 형식의 하드웨어와 소프트웨어의 결합에도 한정되지 않는다.
비록 본 발명은 특정 실시예를 결합하여 서술하였으나, 당업자는 본 발명의 사상 또는 범위 내에서 개량과 변경을 진행할 수 있다. 이러한 개량과 변경은 본 발명의 범위와 특허청구범위 내에 속한다.
[산업상 이용가능성]
본 발명은 가상 사설 네트워크의 실현 방법 및 시스템을 제공하며, LISP 네트워크를 기반으로 VPN을 실현하고, 신원식별자와 위치식별자의 맵핑 관계에 대응 VPN 속성을 추가하고, 맵핑 처리할 때, 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성이 동일하면, 다시 목적지 호스트의 위치식별자를 조회하여, 목적지 호스트의 위치식별자에 따라 데이터 메시지의 전달을 실현하고; VPN 속성이 다르면, 접근 불가 정보를 회신함으로써, 가상 사설 네트워크를 효과적으로 실현하고, VPN 종단 호스트 통신의 편리성과 안전성을 보장하고, 가상 사설망의 수요를 만족시킨다.
31: 메시지 수신 장치
32: 맵핑 처리 장치
33: 메시지 처리 장치
100: 제1단 호스트
110: 제2단 호스트
200: 입력 터널 라우터(ITR)
210: 출력 터널 라우터(ETR)
300: LISP 제어 메시지 경로
400: LISP 데이터 메시지 경로

Claims (17)

  1. 가상 사설 네트워크(VPN)의 실현 방법에 있어서,
    상기 실현 방법은 LISP 네트워크를 기반으로 실현되고, 상기 VPN 네트워크는 입력 터널 라우터(ITR), 맵 서버, 및 출력 터널 라우터(ETR)를 포함하고, 상기 ITR, 맵 서버 및 ETR은 VPN 속성, 신원식별자 및 위치식별자의 맵핑 관계를 저장하며,
    상기 실현 방법은,
    상기 ITR이 소스 호스트가 발송한 데이터 메시지를 수신 후, 상기 맵핑 관계에 따라 상기 소스 호스트의 VPN 속성을 확정하고, 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소에 소스 호스트의 VPN 속성 및 목적지 호스트의 신원식별자를 포함하는 맵핑 요청 메시지를 발송하는 단계;
    상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소는 상기 맵핑 요청 메시지를 수신하고, 상기 목적지 호스트의 신원식별자에 따라 상기 목적지 호스트의 VPN 속성을 확정하는 단계;
    상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소는 상기 소스 호스트와 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일할 경우에만 맵핑 조회를 진행하여 목적지 호스트의 위치식별자를 포함하는 맵핑 응답 메시지를 회신하고, 만약 상기 소스 호스트와 목적지 호스트의 VPN 속성이 동일하지 않으면, 접근 불가 메시지를 회신하는 단계; 및
    상기 ITR은 상기 맵핑 응답 메시지를 수신하고, 상기 목적지 호스트의 위치식별자에 따라 상기 ETR에 LISP 메시지를 전달하고, 상기 ETR은 상기 LISP 메시지를 목적지 호스트로 전달하는 단계
    를 포함하고,
    상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소는 상기 맵 서버 또는 ETR인
    것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 방법.
  2. 제1항에 있어서,
    상기 ITR은 소스 호스트가 발송한 데이터 메시지를 수신한 후, 상기 실현 방법은,
    상기 ITR이 먼저 로컬 맵핑 관계를 조회하고, 만약 목적지 호스트 신원식별자가 조회되고, 소스 호스트의 VPN 속성이 목적지 호스트의 VPN 속성과 동일하면, 목적지 호스트의 위치식별자를 획득하고, 상기 목적지 호스트의 위치식별자에 따라 상기 ETR에 데이터 메시지를 전달하는 단계;
    만일 로컬 맵핑 관계에서 목적지 호스트의 신원식별자가 조회되지 않으면, 상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소에 맵핑 요청 메시지를 발송하는 단계를 더 포함하는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 방법.
  3. 제1항에 있어서,
    상기 ETR이 상기 LISP 데이터 메시지를 목적지 호스트로 전달하는 단계에서, 소스 호스트와 목적지 호스트 VPN 속성이 동일하면, 상기 ETR은 LISP 데이터 메시지를 목적지 호스트에 전달하는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 방법.
  4. 제1항에 있어서,
    상기 맵핑 요청 메시지 및 맵핑 응답 메시지는 LISP 제어 메시지 경로를 통해 발송되고;
    상기 데이터 메시지는 LISP 데이터 메시지 경로를 통해 발송되며, 데이터 메시지는 VPN 속성을 포함하는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 VPN 속성은 VPN 식별자 및/또는 소스 호스트가 VPN 종단 호스트인지 여부를 나타내는 정보를 포함하고, 서로 다른 VPN 식별자는 서로 다른 VPN을 의미하는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 방법.
  6. 입력 터널 라우터(ITR), 맵 서버, 및 출력 터널 라우터(ETR)을 포함하는 가상 사설 네트워크(VPN)의 실현 시스템에 있어서,
    상기 ITR은, 제1 데이터 메시지 송수신 모듈, 메시지 처리 모듈, 제1 제어 메시지 송수신 모듈, 제1 로컬 맵핑 테이블, 및 맵핑 조회 모듈을 포함하고,
    상기 제1 데이터 메시지 송수신 모듈은, 소스 호스트가 발송한 데이터 메시지를 수신하고 상기 ETR에 LISP 데이터 메시지를 전달하도록 설정되고;
    상기 메시지 처리 모듈은 상기 제1 데이터 메시지 송수신 모듈과 연결되고, 수신된 소스 호스트가 발송한 데이터 메시지를 분석하여 맵핑 조회 모듈에 통지하며, 상기 맵핑 조회 모듈의 조회 결과에 따라 소스 호스트의 VPN 속성 및 목적지 호스트의 신원식별자를 포함하는 맵핑 요청 메시지를 생성하도록 설정되고; 또한 상기 제1 제어 메시지 송수신 모듈이 수신한 맵핑 응답 메시지에 따라 상기 ETR에 전달하는 LISP 데이터 메시지를 생성하도록 더 설정되고;
    상기 제1 제어 메시지 송수신 모듈은 상기 메시지 처리 모듈과 연결되고, 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소에 상기 맵핑 요청 메시지를 발송하고 상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소가 발송한 맵핑 응답 메시지를 수신하도록 설정되고; 상기 종단 호스트의 VPN 속성을 저장하는 네트워크 구성요소는 상기 맵 서버 또는 ETR이고;
    상기 제1 로컬 맵핑 테이블은, VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
    상기 맵핑 조회 모듈은 상기 메시지 처리 모듈 및 제1 로컬 맵핑 테이블과 연결되고, 상기 소스 호스트의 신원식별자에 따라 소스 호스트의 VPN 속성을 조회하도록 설정되고;
    상기 맵 서버는 제2 제어 메시지 송수신 모듈, 제2 로컬 맵핑 테이블 및 제1 맵핑 처리 모듈을 포함하고,
    상기 제2 제어 메시지 송수신 모듈은 상기 ITR이 발송한 맵핑 요청 메시지를 수신하고 상기 ITR에 맵핑 응답 메시지를 발송하도록 설정되고;
    상기 제2 로컬 맵핑 테이블은 VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
    상기 제1 맵핑 처리 모듈은 상기 제2 제어 메시지 송수신 모듈 및 제2 로컬 맵핑 테이블과 연결되고, 목적지 호스트 신원식별자에 따라 상기 제2 로컬 맵핑 테이블을 조회하여 목적지 호스트의 VPN 속성을 획득하고 상기 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하고, 비교 결과가 동일하면, 상기 제2 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고; 또한 조회 결과에 따라 맵핑 응답 메시지를 생성하도록 더 설정되고;
    상기 ETR은 제2 데이터 메시지 송수신 모듈, 제3 제어 메시지 송수신 모듈, 제3 로컬 맵핑 테이블, 및 제2 맵핑 처리 모듈을 포함하고;
    상기 제2 데이터 메시지 송수신 모듈은 상기 ITR이 발송한 LISP 데이터 메시지를 수신하도록 설정되고;
    상기 제3 제어 메시지 송수신 모듈은 상기 ITR이 발송한 맵핑 요청 메시지를 수신하고 상기 ITR에 맵핑 응답 메시지를 발송하도록 설정되고;
    상기 제3 로컬 맵핑 테이블은 VPN 속성, 신원식별자와 위치식별자의 맵핑 관계를 저장하도록 설정되고;
    상기 제2 맵핑 처리 모듈은 상기 제3 제어 메시지 송수신 모듈 및 제3 로컬 맵핑 테이블과 연결되고, 목적지 호스트 신원식별자에 따라 상기 제3 로컬 맵핑 테이블을 조회하여 목적지 호스트의 VPN 속성을 획득하고, 상기 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하고, 비교 결과 동일하면, 상기 제3 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고; 또한 조회 결과에 따라 맵핑 응답 메시지를 생성하도록 설정되는
    것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 시스템.
  7. 제6항에 있어서,
    상기 ITR의 맵핑 조회 모듈은 목적지 호스트의 신원식별자에 따라 상기 제1 로컬 맵핑 테이블을 조회하고, 상기 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일하면 상기 제1 로컬 맵핑 테이블을 조회하여 목적지 호스트의 위치식별자를 획득하도록 설정되고; 또한 상기 ETR에 전달하는 LISP 데이터 메시지를 생성할 것을 상기 메시지 처리 모듈이 통지하도록 설정되고; 또한 상기 목적지 호스트의 맵핑 관계가 조회되지 않으면, 맵핑 요청 메시지를 생성할 것을 상기 메시지 처리 모듈에 통지하도록 설정되는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 시스템.
  8. 제6항에 있어서,
    상기 ITR의 제1 제어 메시지 송수신 모듈은 또한 상기 맵 서버에 유지하고자 하는 동작 유형 및 맵핑 관계를 포함하는 맵핑 유지 요청을 발송하도록 설정되고;
    상기 ETR의 제3 제어 메시지 송수신 모듈은 또한 상기 맵 서버에 유지하고자 하는 동작 유형 및 맵핑 관계를 포함하는 맵핑 유지 요청을 발송하도록 더 설정되고;
    상기 맵 서버의 제2 제어 메시지 송수신 모듈은 또한 ITR 또는 ETR이 발송한 맵핑 유지 요청을 수신하도록 설정되고;
    상기 맵 서버의 제1 맵핑 처리 모듈은 또한 상기 맵핑 유지 요청에 따라 제2 로컬 맵핑 테이블을 유지하도록 설정되고, 상기 유지하고자 하는 동작 유형은 등록, 취소 및 수정을 포함하는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 시스템.
  9. 제6항 내지 제8항 중 어느 한 항에 있어서,
    상기 VPN 속성은 VPN 식별자 및/또는 소스 호스트가 VPN 종단 호스트인지 여부를 나타내는 정보를 포함하고, 서로 다른 VPN 식별자는 서로 다른 가상 사설 네트워크를 의미하는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 시스템.
  10. LISP 네트워크 구조에서의 VPN 실현 시스템에 의해 실현되고, 상기 VPN실현 시스템은 VPN 속성, 신원식별자 및 위치식별자의 맵핑 관계를 저장하는 가상 사설 네트워크(VPN)의 실현 방법에 있어서,
    상기 실현 방법은,
    상기 VPN 실현 시스템이 소스 호스트가 발송한 메시지를 수신하는 메시지 수신 단계;
    상기 VPN 실현 시스템이 소스 호스트의 VPN 속성과 목적지 호스트의 VPN 속성의 동일 여부를 비교하여 동일하면, 상기 맵핑 관계를 조회하여 상기 목적지 호스트의 위치식별자를 획득하고, 다르면, 접근 불가 정보를 발생하는 맵핑 처리 단계;
    상기 VPN 실현 시스템이 상기 목적지 호스트의 위치식별자에 따라 메시지를 전달하거나 또는 접근 불가 정보에 따라 프로세스를 종료하는 메시지 처리 단계;
    를 포함하며,
    상기 VPN 속성은 VPN 식별자 및/또는 소스 호스트가 VPN 종단 호스트인지 여부를 나타내는 정보를 포함하고, 서로 다른 VPN 식별자는 서로 다른 VPN을 의미하는
    것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 방법.
  11. 제10항에 있어서,
    상기 메시지 처리 단계에서, 상기 VPN 실현 시스템은 소스 호스트와 목적지 호스트의 VPN 속성을 비교하여, 동일하면 메시지를 전달하고, 그렇지 않으면 프로세스를 종료하는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 방법.
  12. 제10항에 있어서,
    상기 맵핑 처리 단계는 LISP 네트워크 구조 중의 입력 터널 라우터(ITR), 맵 서버, 또는 출력 터널 라우터(ETR)에 의해 실현되는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 방법.
  13. LISP 네트워크를 기반으로 실현되는 가상 사설 네트워크(VPN) 실현 시스템에 있어서,
    메시지 수신 장치, 맵핑 처리 장치, 메시지 처리 장치를 포함하며;
    상기 메시지 수신 장치는 소스 호스트가 발송한 메시지를 수신하며, 맵핑 처리를 진행할 것을 맵핑 처리 장치에 통지하도록 설정되고;
    상기 맵핑 처리 장치는 상기 메시지 수신 장치와 연결되며, VPN 속성, 신원식별자 및 위치식별자의 맵핑 관계를 저장하고, 맵핑 처리를 진행하고, 상기 맵핑 처리는 소스 호스트와 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일하면 저장한 맵핑 관계를 조회하여 상기 목적지 호스트의 위치식별자를 획득하고, 다르면 접근 불가 정보를 발생하도록 설정되고, 또한 상기 맵핑 처리 결과를 메시지 처리 장치에 발송하도록 설정되고;
    상기 메시지 처리 장치는 상기 맵핑 처리 장치와 연결되며, 상기 맵핑 처리 결과를 수신하고 상기 맵핑 처리에 따라 메시지를 처리하도록 설정되고, 상기 메시지 처리는 목적지 호스트의 위치식별자에 따라 메시지를 전달하고 접근 불가 정보에 따라 통신 프로세스를 종료하는 단계를 포함하며;
    상기 VPN 속성은 VPN 식별자 및/또는 소스 호스트가 VPN 종단 호스트인지 여부를 나타내는 정보를 포함하고, 서로 다른 VPN 식별자는 서로 다른 VPN을 의미하는
    것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 시스템.
  14. 제13항에 있어서,
    상기 메시지 처리 장치는 또한 소스 호스트와 목적지 호스트의 VPN 속성의 동일 여부를 비교하여, 동일하면 메시지 전달을 다시 진행하고, 그렇지 않으면 통신 프로세스를 종료하도록 설정되는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 시스템.
  15. 제13항에 있어서,
    상기 맵핑 처리 장치는 입력 터널 라우터(ITR), 맵 서버, 또는 출력 터널 라우터(ETR)에 의해 실현되고, 상기 메시지 수신 장치 및 메시지 처리 장치는 상기 ITR에 의해 실현되는 것을 특징으로 하는 가상 사설 네트워크(VPN)의 실현 시스템.
  16. 삭제
  17. 삭제
KR1020127006643A 2009-09-18 2010-09-09 가상 사설 네트워크의 실현 방법 및 시스템 KR101399002B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200910176785.7 2009-09-18
CN2009101767857A CN102025591B (zh) 2009-09-18 2009-09-18 虚拟专用网络的实现方法及系统
PCT/CN2010/076777 WO2011032472A1 (zh) 2009-09-18 2010-09-09 虚拟专用网络的实现方法及系统

Publications (2)

Publication Number Publication Date
KR20120055687A KR20120055687A (ko) 2012-05-31
KR101399002B1 true KR101399002B1 (ko) 2014-05-27

Family

ID=43758097

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127006643A KR101399002B1 (ko) 2009-09-18 2010-09-09 가상 사설 네트워크의 실현 방법 및 시스템

Country Status (6)

Country Link
US (1) US20120173694A1 (ko)
EP (1) EP2466817A4 (ko)
JP (1) JP2013504959A (ko)
KR (1) KR101399002B1 (ko)
CN (1) CN102025591B (ko)
WO (1) WO2011032472A1 (ko)

Families Citing this family (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5715476B2 (ja) * 2011-04-25 2015-05-07 Kddi株式会社 マッピングサーバの制御方法及びマッピングサーバ
CN102868618A (zh) * 2011-07-08 2013-01-09 中兴通讯股份有限公司 一种去附着方法、装置和映射服务器
CN102549990B (zh) * 2011-07-26 2014-06-04 华为技术有限公司 一种生成虚拟专用网转发表项的方法和装置
US10432587B2 (en) * 2012-02-21 2019-10-01 Aventail Llc VPN deep packet inspection
CN103457850B (zh) * 2012-05-29 2018-03-20 中兴通讯股份有限公司 站点的通信方法、rtr及隧道路由器
US10110417B1 (en) * 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US9647923B2 (en) * 2013-04-09 2017-05-09 Cisco Technology, Inc. Network device mobility
US9641462B2 (en) * 2013-04-23 2017-05-02 Cisco Technology, Inc. Accelerating network convergence for layer 3 roams in a next generation network closet campus
US10749711B2 (en) 2013-07-10 2020-08-18 Nicira, Inc. Network-link method useful for a last-mile connectivity in an edge-gateway multipath system
US10454714B2 (en) 2013-07-10 2019-10-22 Nicira, Inc. Method and system of overlay flow control
US10498669B2 (en) 2013-08-20 2019-12-03 Nec Corporation Communication system, switch, controller, ancillary data management apparatus, data forwarding method, and program
KR20150040113A (ko) * 2013-10-04 2015-04-14 한국전자통신연구원 식별자 위치지시자 매핑 서비스의 라우팅 제어 방법
KR20150145327A (ko) * 2014-06-18 2015-12-30 한국전자통신연구원 블룸 필터를 이용한 식별자/위치자 매핑 시스템 및 방법
US9894031B2 (en) 2014-08-27 2018-02-13 Cisco Technology, Inc. Source-aware technique for facilitating LISP host mobility
CN105471827B (zh) * 2014-09-04 2019-02-26 华为技术有限公司 一种报文传输方法及装置
US9641417B2 (en) * 2014-12-15 2017-05-02 Cisco Technology, Inc. Proactive detection of host status in a communications network
US10171306B2 (en) * 2015-02-26 2019-01-01 Cisco Technology, Inc. Automatic discovery and provisioning of multi-chassis etherchannel peers
US10498652B2 (en) 2015-04-13 2019-12-03 Nicira, Inc. Method and system of application-aware routing with crowdsourcing
US10425382B2 (en) 2015-04-13 2019-09-24 Nicira, Inc. Method and system of a cloud-based multipath routing protocol
US10135789B2 (en) 2015-04-13 2018-11-20 Nicira, Inc. Method and system of establishing a virtual private network in a cloud service for branch networking
CN104954260A (zh) * 2015-05-22 2015-09-30 上海斐讯数据通信技术有限公司 一种基于数据链路层的点对点vpn路由方法及系统
CA2931906C (en) * 2015-06-03 2023-09-05 Evertz Microsystems Ltd. Systems and methods for determining a destination location in a network system
CN105099941B (zh) * 2015-06-19 2018-09-04 新华三技术有限公司 一种报文处理方法及装置
US10637889B2 (en) * 2015-07-23 2020-04-28 Cisco Technology, Inc. Systems, methods, and devices for smart mapping and VPN policy enforcement
US10439993B2 (en) * 2015-08-19 2019-10-08 Cisco Technology, Inc. Mapping system assisted key refreshing
US10530735B2 (en) 2015-09-10 2020-01-07 Cisco Technology, Inc. Pro-active mechanism to detect LISP movable silent host
US10044562B2 (en) * 2015-11-04 2018-08-07 Cisco Technology, Inc. Automatic provisioning of LISP mobility networks when interconnecting DC fabrics
CN106130907B (zh) * 2016-05-11 2019-08-06 新华三技术有限公司 一种lisp组网双归属的实现方法及装置
CN107798359B (zh) * 2016-09-05 2021-04-06 阚立坤 一种无线设备管理控制方法
US11038716B2 (en) * 2017-01-24 2021-06-15 Telefonaktiebolaget Lm Ericsson (Publ) Using location identifier separation protocol to implement a distributed gateway architecture for 3GPP mobility
US11706127B2 (en) 2017-01-31 2023-07-18 Vmware, Inc. High performance software-defined core network
US10992558B1 (en) 2017-11-06 2021-04-27 Vmware, Inc. Method and apparatus for distributed data network traffic optimization
US10992568B2 (en) 2017-01-31 2021-04-27 Vmware, Inc. High performance software-defined core network
US11252079B2 (en) 2017-01-31 2022-02-15 Vmware, Inc. High performance software-defined core network
US20200036624A1 (en) 2017-01-31 2020-01-30 The Mode Group High performance software-defined core network
US11121962B2 (en) 2017-01-31 2021-09-14 Vmware, Inc. High performance software-defined core network
US20180219765A1 (en) 2017-01-31 2018-08-02 Waltz Networks Method and Apparatus for Network Traffic Control Optimization
US10778528B2 (en) 2017-02-11 2020-09-15 Nicira, Inc. Method and system of connecting to a multipath hub in a cluster
EP3622777B1 (en) 2017-05-12 2021-07-07 Telefonaktiebolaget LM Ericsson (Publ) Local identifier locator network protocol (ilnp) breakout
US10523539B2 (en) 2017-06-22 2019-12-31 Nicira, Inc. Method and system of resiliency in cloud-delivered SD-WAN
US10999165B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Three tiers of SaaS providers for deploying compute and network infrastructure in the public cloud
US10959098B2 (en) * 2017-10-02 2021-03-23 Vmware, Inc. Dynamically specifying multiple public cloud edge nodes to connect to an external multi-computer node
US10608844B2 (en) 2017-10-02 2020-03-31 Vmware, Inc. Graph based routing through multiple public clouds
US11089111B2 (en) 2017-10-02 2021-08-10 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US10999100B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider
US11115480B2 (en) 2017-10-02 2021-09-07 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US11223514B2 (en) 2017-11-09 2022-01-11 Nicira, Inc. Method and system of a dynamic high-availability mode based on current wide area network connectivity
CN108282462B (zh) * 2017-12-25 2021-08-31 中科曙光信息产业成都有限公司 一种隔离业务网和管理网的装置
CN110650076B (zh) * 2018-06-26 2021-12-24 华为技术有限公司 Vxlan的实现方法,网络设备和通信系统
CN108551496B (zh) * 2018-07-26 2021-03-02 杭州云缔盟科技有限公司 一种防止vpn客户端地址与本地地址冲突的解决方法
EP3878214B1 (en) 2018-11-07 2024-04-03 Telefonaktiebolaget LM Ericsson (publ) Local identifier locator network protocol (ilnp) breakout
US10855584B2 (en) * 2018-12-28 2020-12-01 Alibaba Group Holding Limited Client-equipment-peering virtual route controller
US11121985B2 (en) 2019-08-27 2021-09-14 Vmware, Inc. Defining different public cloud virtual networks for different entities based on different sets of measurements
US11611507B2 (en) 2019-10-28 2023-03-21 Vmware, Inc. Managing forwarding elements at edge nodes connected to a virtual network
US11489783B2 (en) 2019-12-12 2022-11-01 Vmware, Inc. Performing deep packet inspection in a software defined wide area network
US11394640B2 (en) 2019-12-12 2022-07-19 Vmware, Inc. Collecting and analyzing data regarding flows associated with DPI parameters
US11438789B2 (en) 2020-01-24 2022-09-06 Vmware, Inc. Computing and using different path quality metrics for different service classes
US11165702B1 (en) 2020-05-01 2021-11-02 Cisco Technology, Inc. Communication of policy changes in LISP-based software defined networks
US11477127B2 (en) 2020-07-02 2022-10-18 Vmware, Inc. Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN
US11363124B2 (en) 2020-07-30 2022-06-14 Vmware, Inc. Zero copy socket splicing
US11575591B2 (en) 2020-11-17 2023-02-07 Vmware, Inc. Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN
US11575600B2 (en) 2020-11-24 2023-02-07 Vmware, Inc. Tunnel-less SD-WAN
US11601356B2 (en) 2020-12-29 2023-03-07 Vmware, Inc. Emulating packet flows to assess network links for SD-WAN
US11792127B2 (en) 2021-01-18 2023-10-17 Vmware, Inc. Network-aware load balancing
US11979325B2 (en) 2021-01-28 2024-05-07 VMware LLC Dynamic SD-WAN hub cluster scaling with machine learning
US12009987B2 (en) 2021-05-03 2024-06-11 VMware LLC Methods to support dynamic transit paths through hub clustering across branches in SD-WAN
US11637768B2 (en) 2021-05-03 2023-04-25 Vmware, Inc. On demand routing mesh for routing packets through SD-WAN edge forwarding nodes in an SD-WAN
US11729065B2 (en) 2021-05-06 2023-08-15 Vmware, Inc. Methods for application defined virtual network service among multiple transport in SD-WAN
US12015536B2 (en) 2021-06-18 2024-06-18 VMware LLC Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds
US11489720B1 (en) 2021-06-18 2022-11-01 Vmware, Inc. Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics
US11785493B2 (en) 2021-07-23 2023-10-10 Cisco Technology, Inc. Prioritizing wireless access technologies in an enterprise fabric
US11375005B1 (en) 2021-07-24 2022-06-28 Vmware, Inc. High availability solutions for a secure access service edge application
US11943146B2 (en) 2021-10-01 2024-03-26 VMware LLC Traffic prioritization in SD-WAN
US11909815B2 (en) 2022-06-06 2024-02-20 VMware LLC Routing based on geolocation costs

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000183968A (ja) 1998-12-17 2000-06-30 Nippon Telegr & Teleph Corp <Ntt> パケット通信システムおよびそれを構成するノードとエッジ装置
JP2008098881A (ja) 2006-10-11 2008-04-24 Murata Mach Ltd 中継サーバ
US7373660B1 (en) 2003-08-26 2008-05-13 Cisco Technology, Inc. Methods and apparatus to distribute policy information

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5964837A (en) * 1995-06-28 1999-10-12 International Business Machines Corporation Computer network management using dynamic switching between event-driven and polling type of monitoring from manager station
US6006258A (en) * 1997-09-12 1999-12-21 Sun Microsystems, Inc. Source address directed message delivery
US20030088699A1 (en) * 1999-11-04 2003-05-08 James V. Luciani System, device, and method for supporting virtual private networks in a label switched communication network
JP2001237876A (ja) * 2000-02-21 2001-08-31 Nec Corp Ip仮想プライベート網の構築方法及びip仮想プライベート網
US7136374B1 (en) * 2001-03-19 2006-11-14 Juniper Networks, Inc. Transport networks supporting virtual private networks, and configuring such networks
US7139818B1 (en) * 2001-10-04 2006-11-21 Cisco Technology, Inc. Techniques for dynamic host configuration without direct communications between client and server
US7389534B1 (en) * 2003-06-27 2008-06-17 Nortel Networks Ltd Method and apparatus for establishing virtual private network tunnels in a wireless network
US7590123B2 (en) * 2005-11-22 2009-09-15 Cisco Technology, Inc. Method of providing an encrypted multipoint VPN service
CN100428719C (zh) * 2006-01-23 2008-10-22 北京交通大学 一种基于身份与位置分离的互联网接入方法
CN101123536B (zh) * 2007-09-19 2010-12-15 北京交通大学 实现一体化网络位置管理的方法
CN101459698B (zh) * 2007-12-14 2012-11-14 中国人民解放军信息工程大学 域内和域间的网络互连方法及其系统
CN101534240B (zh) * 2008-03-14 2012-04-25 华为技术有限公司 一种映射信息的发送方法、系统和装置
CN101355516B (zh) * 2008-09-09 2011-10-26 中兴通讯股份有限公司 一种为不同虚拟专用网提供服务质量策略的方法和系统
EP2178265B1 (en) * 2008-10-17 2013-09-04 Alcatel Lucent System and method for mobile IP
KR101084769B1 (ko) * 2008-12-23 2011-11-21 주식회사 케이티 위치자/식별자 분리 기반의 네트워크 이동성 지원 시스템 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000183968A (ja) 1998-12-17 2000-06-30 Nippon Telegr & Teleph Corp <Ntt> パケット通信システムおよびそれを構成するノードとエッジ装置
US7373660B1 (en) 2003-08-26 2008-05-13 Cisco Technology, Inc. Methods and apparatus to distribute policy information
JP2008098881A (ja) 2006-10-11 2008-04-24 Murata Mach Ltd 中継サーバ

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
D.Farinacci et al., 'Locator/ID Separation Protocol (LISP)', IETF draft, 2009.03.02 *
D.Farinacci et al., 'Locator/ID Separation Protocol (LISP)', IETF draft, 2009.03.02*

Also Published As

Publication number Publication date
EP2466817A1 (en) 2012-06-20
CN102025591B (zh) 2013-12-18
EP2466817A4 (en) 2017-11-22
US20120173694A1 (en) 2012-07-05
WO2011032472A1 (zh) 2011-03-24
KR20120055687A (ko) 2012-05-31
CN102025591A (zh) 2011-04-20
JP2013504959A (ja) 2013-02-07

Similar Documents

Publication Publication Date Title
KR101399002B1 (ko) 가상 사설 네트워크의 실현 방법 및 시스템
US8661525B2 (en) Implementation method and system of virtual private network
US9448821B2 (en) Method and system for realizing virtual machine mobility
US8898334B2 (en) System for network deployment and method for mapping and data forwarding thereof
US7369560B2 (en) System for converting data based upon IPv4 into data based upon IPv6 to be transmitted over an IP switched network
EP2750329B1 (en) Method and device for sending internet protocol packets
Komilov et al. Improving the use of virtual lan (vlan) technology
US20070110048A1 (en) Techniques for inserting internet protocol services in a broadband access network
WO2011124132A1 (zh) 数据通信系统及方法
CN104396192A (zh) 不对称网络地址封装
WO2011069399A1 (zh) 地址映射方法及接入业务节点
EP2584742B1 (en) Method and switch for sending packet
WO2007112645A1 (fr) Procédé et système de mise en oeuvre d&#39;un réseau privé virtuel mobile
CN110691150A (zh) 一种基于SDN的IPv4与IPv6互联方法及系统
US20190007368A1 (en) DHCP in Layer-3 Overlay with Anycast Address Support and Network Address Transparency
US8437357B2 (en) Method of connecting VLAN systems to other networks via a router
EP3477897B1 (en) Method for routing data packets in a network topology
JPH10190715A (ja) ネットワークスイッチング方式
WO2011124121A1 (zh) 网间数据通讯系统及方法
US11902166B2 (en) Policy based routing in extranet networks
CN115604056A (zh) 下游vxlan标识符的高效存储实现
Soothar et al. Implementation of Multiprotocol Label Switching VPN over IPv6
WO2022103694A1 (en) Zero day zero touch providing of services with policy control
Hill et al. Network-Based Protocol Innovations in Secure Encryption Environments

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170426

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180416

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190425

Year of fee payment: 6