KR101406999B1 - 부하분산 장치 및 방법 - Google Patents

부하분산 장치 및 방법 Download PDF

Info

Publication number
KR101406999B1
KR101406999B1 KR1020120107257A KR20120107257A KR101406999B1 KR 101406999 B1 KR101406999 B1 KR 101406999B1 KR 1020120107257 A KR1020120107257 A KR 1020120107257A KR 20120107257 A KR20120107257 A KR 20120107257A KR 101406999 B1 KR101406999 B1 KR 101406999B1
Authority
KR
South Korea
Prior art keywords
mac address
arp
request packet
security device
load balancing
Prior art date
Application number
KR1020120107257A
Other languages
English (en)
Other versions
KR20140044992A (ko
Inventor
원규연
김종덕
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120107257A priority Critical patent/KR101406999B1/ko
Publication of KR20140044992A publication Critical patent/KR20140044992A/ko
Application granted granted Critical
Publication of KR101406999B1 publication Critical patent/KR101406999B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예에 따라, 부하분산 장치 및 방법이 개시된다. 상기 장치는 상기 장치 및 상기 장치와 함께 고가용성 시스템을 구성하는 다른 장치의 MAC(media access control) 어드레스에 관한 정보를 포함하기 위한 MAC 어드레스 데이터베이스; ARP(address resolution protocol) 요청 패킷을 수신하기 위한 네트워크 인터페이스; 및 상기 네트워크 인터페이스가 ARP 요청 패킷을 수신하면, 상기 MAC 어드레스 데이터베이스를 참조하여 상기 ARP 요청 패킷에 응답하기 위한 MAC 어드레스를 선택하기 위한 부하분산 제어부를 포함하고, 상기 네트워크 인터페이스는 상기 수신된 ARP 요청 패킷에 응답하여 상기 부하분산 제어부에 의해 선택된 MAC 어드레스를 포함하는 ARP 응답 패킷을 전송하고, 상기 다른 장치 중 적어도 하나는 상기 장치와 동일한 가상 IP를 공유할 수 있다.
본 발명의 실시예에 따르면, 고가용성 시스템 내의 가상 IP 어드레스를 공유하는 복수의 보안장치들을 이용하여 부하분산 기능을 제공하는 부가적인 장치를 구성할 필요 없이도 부하분산 기능을 제공할 수 있다.

Description

부하분산 장치 및 방법{APPRATUS AND METHOD FOR BALANCING LOAD}
본 발명은 부하분산 기술에 관한 것으로서, 고가용성 시스템 내의 가상 IP 어드레스를 공유하는 복수의 보안장치를 이용하는 부하분산 기술에 관한 것이다.
일반적으로, 보안장치는 보호하고자 하는 네트워크와 신뢰할 수 없는 네트워크 사이에 트래픽이 집중되는 곳에 위치되어, 두 네트워크 간에 왕래하는 모든 트래픽들을 일일이 사용자가 설정한 정책과 대조해 봄으로써, 정책에 어긋나는 트래픽은 차단하고, 정책에 합치하는 트래픽만을 선별 통과하는 장치를 의미한다. 네트워크 보안을 위해서 종래에는 방화벽이 많이 사용되었지만, 근래에는 침입 탐지 시스템(intrusion detection system), 침입 차단 시스템(intrusion prevention system) 등 다른 여러 장치가 많이 사용되고 있다. 이러한 보안장치들은 네트워크의 관문에 위치하여 많은 트래픽이 집중되기 때문에 보안장치에 가해지는 부하를 적절히 분산할 수 있어야 하며, 가능하면 장애 발생을 회피하고, 장애가 발생하더라도 신속히 정상 상태로 회복할 수 있어야 한다.
도 1은 복수의 보안장치를 운용하는 네트워크 구성의 예시를 도시한다. 도시되는 바와 같이, 제 1 네트워크(170) 및 제 2 네트워크(180) 사이에서 전송되는 데이터 패킷은 제 1 보안장치(110) 및 제 2 보안장치(120)에 의해 처리될 수 있는데, 제 1 보안장치(110) 및 제 2 보안장치(120)는 부하분산 및/또는 장애회피를 위해 고가용성 시스템을 구성하고 있다. 네트워크 간의 데이터 패킷에 대해 라우터(130 및 140)가 일정한 경로 선택 알고리즘에 따라 라우터를 경유하는 데이터 패킷의 경로를 선택하고, 선택된 경로로 데이터 패킷을 전달하게 된다. 예를 들어 도 1에서 도시되는 바와 같이, 제 1 네트워크(170)로부터 전송되어 L2 스위치(150)를 경유한 데이터 패킷을 라우터(130)는 제 1 보안장치(110) 및 제 2 보안장치(120) 중 하나로 전송하고 있다. 이때, 데이터 패킷의 경로는 라우터의 종류, 경로 선택 알고리즘 등에 따라 달라질 수 있다.
이와 같이, 복수의 보안장치들이 이용되는 경우, 상기 보안장치들에 가해지는 네트워크 트래픽을 분산하기 위해 다양한 기술들이 활용되는데, 다중 라우팅이나 동적 라우팅 등을 이용하는 기술들이 많이 응용되고 있으며, 이들은 대부분은 도 1에서 도시되는 바와 같이, 부하분산 기능을 제공하는 부가적인 장비(L3 스위치, 라우터, 로드 밸런서(load balancer) 등)를 필요로 하고 있다.
본 발명은 상기 문제점을 해결하기 위한 것으로서, 장애회피 및 부하분산을 위해 복수의 보안장치를 운용하는 고가용성 시스템에서, 부가적인 장비가 없이 부하분산 기능을 제공하는데 그 목적이 있다.
본 발명의 일 실시예에 따라, 부하분산 장치가 개시된다. 상기 장치는 상기 장치 및 상기 장치와 함께 고가용성 시스템을 구성하는 다른 장치의 MAC(media access control) 어드레스에 관한 정보를 포함하기 위한 MAC 어드레스 데이터베이스; ARP(address resolution protocol) 요청 패킷을 수신하기 위한 네트워크 인터페이스; 및 상기 네트워크 인터페이스가 ARP 요청 패킷을 수신하면, 상기 MAC 어드레스 데이터베이스를 참조하여 상기 ARP 요청 패킷에 응답하기 위한 MAC 어드레스를 선택하기 위한 부하분산 제어부를 포함하고, 상기 네트워크 인터페이스는 상기 수신된 ARP 요청 패킷에 응답하여 상기 부하분산 제어부에 의해 선택된 MAC 어드레스를 포함하는 ARP 응답 패킷을 전송하고, 상기 다른 장치 중 적어도 하나는 상기 장치와 동일한 가상 IP를 공유할 수 있다.
본 발명의 일 실시예에 따라, 수행되는 부하분산 방법이 개시된다. 상기 보안장치의 가상 IP 주소를 포함하는 ARP(address resolution protocol) 요청 패킷을 수신하는 단계; 상기 보안장치 및 상기 보안장치와 함께 고가용성 시스템을 구성하는 다른 보안장치의 MAC(media access control) 어드레스로부터 상기 ARP 요청 패킷에 응답하기 위한 MAC 어드레스를 선택하는 단계; 및 상기 선택된 MAC 어드레스를 포함하는 ARP 응답 패킷을 전송하는 단계를 포함하고, 상기 다른 보안장치 중 적어도 하나는 상기 보안장치와 동일한 가상 IP를 공유할 수 있다.
본 발명은 부하분산 기능을 제공하는 부가적인 장치를 구성할 필요 없이 고가용성 시스템 내에서 동일한 가상 IP 어드레스를 공유하는 복수의 보안장치를 이용하여 부하분산 기능을 제공할 수 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 복수의 보안장치를 운용하는 네트워크 구성의 예시를 도시한다.
도 2는 발명의 일 실시예에 따라 부하분산 장치를 도시한다.
도 3a 내지 도 3d는 본 발명의 일 실시예에 따라 고가용성 시스템의 구체적인 동작을 도시한다.
도 4는 본 발명의 일 실시예에 따라 부하분산 방법을 도시한다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 도면에 기재된 내용을 참조하여야 한다.
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명함으로써, 본 발명을 상세히 설명하기로 한다.
도 2는 발명의 일 실시예에 따라 부하분산 장치(200)를 도시한다. 상기 장치(200)는 고가용성 시스템을 구성하는 보안장치일 수 있으며, 여기서 보안장치는 보호하고자 하는 네트워크와 신뢰할 수 없는 네트워크 사이에 위치하여, 사용자가 설정한 정책에 기초하여 두 네트워크 간에 왕래하는 트래픽을 검사함으로써, 정책에 어긋나는 트래픽은 차단하고, 정책에 합치하는 트래픽만을 통과하는 장치를 의미하며, 예를 들어, 방화벽, 침입 탐지 시스템, 침입 차단 시스템 등을 포함할 수 있다. 상기 장치(200)는 고가용성 시스템을 구성하는 다른 장치와 동일한 구성을 갖는 것이 바람직하며, 상기 다른 장치 중 적어도 하나는 상기 장치(200)와 동일한 가상 IP를 공유한다. 본 발명에 따른 장치(200)를 포함하는 고가용성 시스템은 그 동작을 위해 부하분산 기능을 제공하는 별도의 장비(예를 들어, 라우터, L3(layer 3) 스위치, 로드 밸런서(load balancer) 등)를 필요로 하지 않으며, 따라서 예를 들어, L2(layer 2) 스위치와 함께 이용될 수 있다.
도시되는 바와 같이, 상기 장치(200)는 MAC 어드레스 데이터베이스(210); 네트워크 인터페이스(220); 및 부하분산 제어부(230)를 포함할 수 있다.
MAC 어드레스 데이터베이스(210)는 고가용성 시스템을 구성하는 장치들의 MAC 어드레스에 관한 정보를 포함할 수 있다. 일 실시예에서, MAC 어드레스 데이터베이스(210)는 고가용성 시스템을 구성하는 장치들의 동작 상태가 활성 또는 비활성인지 여부에 관한 정보를 더 포함할 수 있다.
네트워크 인터페이스(220)는 외부와 통신하기 위한 것으로서, 구체적으로 L2(layer 2) 스위치로부터 데이터 패킷을 수신하고, L2 스위치로 데이터 패킷을 전송할 수 있다. 특히 본 발명에서, 네트워크 인터페이스(220)는 L2 스위치로부터 ARP(address resolution protocol) 요청 패킷을 수신하고, 이에 응답하여 L2 스위치로 ARP 응답 패킷을 전송할 수 있다. 여기서, ARP는 임의의 호스트에서 다른 호스트로 데이터 패킷을 전송하고자 할 때, 대상 호스트의 이더넷(ethernet) 상의 주소, 즉 MAC 어드레스를 알아내기 위해 이용되는 것으로서, 특정 IP 주소를 포함하는 ARP 요청 패킷을 LAN 상에 브로드캐스트하면, 상기 특정 IP 주소를 가진 호스트는 자산의 MAC 어드레스를 포함하는 ARP 응답 패킷을 ARP 요청 패킷을 전송한 호스트에게 전송하게 된다.
부하분산 제어부(230)는 MAC 어드레스 데이터베이스(210)를 참조하여 MAC 어드레스를 선택할 수 있다. 상기 언급한 바와 같이 MAC 어드레스 데이터베이스(210)는 고가용성 시스템을 구성하는 장치들 각각의 MAC 어드레스를 포함하고 있으며, 부하분산 제어부(230)는 데이터 패킷을 처리할 장치의 MAC 어드레스로서, 이러한 MAC 어드레스 중 하나를 선택할 수 있다. 부하분산 제어부(230)에 의해 선택되는 MAC 어드레스는 ARP 요청에 대한 응답을 위한 것으로서, 자신의 MAC 어드레스에 제한되지 않으며, 고가용성 시스템을 구성하는 임의의 장치의 MAC 어드레스가 선택될 수 있다.
부하분산 제어부(230)가 MAC 어드레스를 선택하면, 네트워크 인터페이스(220)는 ARP 요청 패킷에 응답하여 부하분산 제어부(230)에 의해 선택된 MAC 어드레스를 포함하는 ARP 응답 패킷을 전송할 수 있다. 즉, 특정 IP 주소를 포함하는 ARP 요청 패킷을 수신하면, 상기 특정 IP주소와 동일한 IP 주소를 갖는 장치만이 자신의 MAC 어드레스를 이용하여 응답하는 종래 기술과 달리, 본 발명에서는 자신의 MAC 어드레스에 제한되지 않고, 부하분산 제어부(230)가 선택하는 임의의 MAC 어드레스로서 응답할 수 있다. ARP 요청 패킷을 전송한 L2 스위치는 ARP 응답 패킷을 수신한 후에, ARP 응답 패킷에 포함된 MAC 어드레스로 데이터 패킷을 전송하기 때문에, 결과적으로 부하분산 제어부(230)가 선택하는 MAC 어드레스에 따라 고가용성 시스템을 구성하는 장치들 간의 부하분산이 달성될 수 있다.
일 실시예에서, 부하분산 제어부(230)는 ARP 요청 패킷에 응답하기 위한 MAC 어드레스로서 네트워크 인터페이스(220) 내의 MAC 어드레스를 순차적으로 선택할 수 있다. 고가용성 시스템을 구성하는 모든 장치가 순차적으로 선택됨으로써, 모든 장치에 균등하게 부하가 할당되어 부하분산을 달성할 수 있다. 또한, MAC 어드레스 데이터베이스(210)는 고가용성 시스템을 구성하는 장치의 동작 상태가 활성 또는 비활성인지 여부에 관한 정보를 더 포함하는 경우, 부하분산 제어부(230)는 이러한 정보를 이용하여 MAC 어드레스를 선택할 수 있다. 예를 들어, 부하분산 제어부(230)는 MAC 어드레스 데이터베이스(210)를 참조하여 동작 상태가 활성인 부하분산 장치의 MAC 어드레스 중 하나를 ARP 요청 패킷에 응답하기 위한 MAC 어드레스로서 선택할 수 있다.
일 실시예에서, 네트워크 인터페이스(220)는 부하분산 제어부(230)에 의해 선택된 MAC 어드레스와 상기 장치의 MAC 어드레스가 동일한 경우에만, ARP 응답 패킷을 전송할 수 있다. 이를 통해 고가용성 시스템을 구성하는 모든 장비가 ARP 응답 패킷을 전송함으로써 발생하는 불필요한 자원의 사용을 방지할 수 있다.
일 실시예에서, 상기 장치(200)는 고가용성 시스템을 구성하는 다른 장치에 관한 정보를 수신하기 위한 내부 인터페이스(도시되지 않음)를 더 포함할 수 있다. 여기서 내부 인터페이스를 통해 수신되는 정보는 MAC 어드레스에 관한 정보, 동작 상태에 관한 정보 등을 포함할 수 있다. 내부 인터페이스는 고가용성 시스템의 관리자와 연결될 수 있다. 또는, 내부 인터페이스는 상기 다른 장치와 연결될 수 있으며, 이때 내부 인터페이스는 고가용성 인터페이스로서 지칭될 수 있다.
도 3a 내지 도 3d는 본 발명의 일 실시예에 따라 고가용성 시스템(300)의 구체적인 동작을 도시한다. 상기 시스템(300)은 L2 스위치(330)와 통신하는 제 1 보안장치(310) 및 제 2 보안장치(320)를 포함하는데, 상기 보안장치(310 및 320)는 예를 들어, 도 2에서 도시되는 부하분산 장치(200)와 동일한 구성을 포함할 수 있으며, 동일한 가상 IP를 공유할 수 있다. 도 3a 내지 도 3d에서는 두 개의 보안장치(310 및 320)만이 도시되나, 이는 예시적인 것으로서, 그 이상의 보안장치가 고가용성 시스템을 구성할 수 있다.
도 3a를 참조하면, 먼저, L2 스위치(330)는 외부로부터 제 1 데이터 패킷을 수신한 후에, 제 1 데이터 패킷을 전송할 보안장치를 선택하기 위해 제 1 ARP 요청 패킷을 브로드캐스팅할 수 있다.
계속해서 도 3b를 참조하면 ARP 요청 패킷을 수신한 제 1 보안장치(310)는 제 1 ARP 요청 패킷에 응답하기 위한 MAC 어드레스를 선택할 수 있다. 여기서 선택되는 MAC 어드레스는 제 1 보안장치의 MAC 어드레스에 제한되지 않는다. 예를 들어, 제 1 보안장치(310)는 제 2 보안장치(320)의 MAC 어드레스를 선택할 수 있다. 제 2 보안장치(320) 또한 ARP 요청 패킷을 수신한 후에, MAC 어드레스를 선택할 수 있다. 여기서, 제 2 보안장치(320)에 의해 선택되는 MAC 어드레스는 제 1 보안장치(310)에 의해 선택되는 MAC 어드레스와 동일하다. 제 1 보안장치(310) 및 제 2 보안장치(320)는 선택된 MAC 어드레스를 포함하는 제 1 ARP 응답 패킷을 ARP 요청 패킷을 전송한 L2 스위치(330)로 전송할 수 있다. L2 스위치(330)는 제 2 보안장치(320)의 MAC 어드레스를 포함하는 제 1 ARP 응답 패킷을 수신한 후에, 제 1 데이터 패킷을 제 2 보안장치(320)로 전송할 수 있다.
계속해서 도 3c를 참조하면, L2 스위치(330)는 외부로부터 제 2 데이터 패킷을 수신한 후에, 제 2 데이터 패킷을 전송할 보안장치를 선택하기 위해 제 2 ARP 요청 패킷을 브로드캐스팅할 수 있다.
마지막으로, 도 3d를 참조하면, 제 2 ARP 요청 패킷을 브로드캐스팅하게 되고, 제 1 보안장치(310) 및 제 2 보안장치(320)는 제 2 ARP 요청 패킷에 응답하기 위한 MAC 어드레스를 선택할 수 있다. 예를 들어, 제 1 ARP 요청 패킷에 대한 응답으로서 제 2 보안장치(320)의 MAC 어드레스가 선택되었기 때문에, 제 2 ARP 요청 패킷에 대한 응답으로서 제 1 보안장치(310)의 MAC 어드레스가 선택될 수 있다. 제 1 보안장치(310) 및 제 2 보안장치(320)는 제 1 보안장치(310)의 MAC 어드레스를 포함하는 제 2 ARP 응답 패킷을 L2 스위치(330)로 전송할 수 있다. L2 스위치(330)는 제 1 보안장치(310)의 MAC 어드레스를 포함하는 제 2 ARP 응답 패킷을 수신한 후에, 제 2 데이터 패킷을 제 1 보안장치(310)로 전송할 수 있다.
도 3a 내지 도 3d의 예시에서 도시되는 바와 같이, 본 발명은 ARP 요청 패킷에 응답하여 선택되는 ARP 응답 패킷에 포함되는 MAC 어드레스를 상이하게 함으로써, 고가용성 시스템을 구성하는 보안장치들 간의 부하분산을 달성할 수 있다.
도 4는 본 발명의 일 실시예에 따라 부하분산 방법(400)을 도시한다. 상기 방법(400)은 고가용성 시스템 내의 보안장치에 의해 수행될 수 있으며, 상기 보안장치는 예를 들어, 도 2에서 도시되는 부하분산 장치(200)와 동일한 구성을 포함할 수 있다.
먼저, 보안장치의 가상 IP 주소를 포함하는 ARP(address resolution protocol) 요청 패킷을 수신할 수 있다(단계(410)). 상기 ARP 요청 패킷은 데이터 패킷을 수신한 L2 스위치로부터 수신될 수 있다.
계속해서, 보안장치는 ARP 요청 패킷에 응답하기 위한 MAC 어드레스를 선택할 수 있다(단계(420)). 상기 MAC 어드레스는 고가용성 시스템을 구성하는 복수의 보안장치의 MAC 어드레스로부터 선택될 수 있다. 복수의 MAC 어드레스로부터 하나의 MAC 어드레스가 선택되기 위해 당해 기술분야에서 적용가능한 다양한 알고리즘 및 방법이 이용될 수 있다. 예를 들어, 상기 복수의 MAC 어드레스 각각이 순차적으로 선택될 수 있다. 또한, 예를 들어, 상기 복수의 MAC 어드레스 중 동작 상태가 활성인 장치의 MAC 어드레스로부터 선택되거나, 고가용성 시스템을 구성하는 보안장치들 중 동일한 가상 IP 주소를 공유하는 보안장치들의 MAC 어드레스로부터 선택될 수 있다.
계속해서, 단계(430)에서, 보안장치는 상기 선택된 MAC 어드레스를 포함하는 ARP 응답 패킷을 전송할 수 있다. 단계(430)를 통해 ARP 응답 패킷이 전송되면 L2 스위치는 ARP 응답 패킷을 수신하고, ARP 응답 패킷에 포함된 MAC 어드레스로 데이터 패킷을 전송할 수 있다. 일 실시예에서 단계(430)는 단계(420)에서 선택된 MAC 어드레스와 보안장치의 MAC 어드레스가 동일할 때만 수행될 수 있다.
일 실시예에서, 상기 방법(400)은 고가용성 시스템을 구성하는 다른 보안장치에 관한 정보를 수신하는 단계(도시되지 않음)를 더 포함할 수 있다. 상기 정보는 MAC 어드레스에 관한 정보, 동작 상태에 관한 정보 등을 포함할 수 있다.
본 발명의 실시예에 따르면, 고가용성 시스템 내의 가상 IP 어드레스를 공유하는 복수의 보안장치들을 이용하여 부하분산 기능을 제공하는 부가적인 장치를 구성할 필요 없이도 부하분산 기능을 제공할 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims (10)

  1. 고가용성 시스템을 구성하는 부하분산 장치로서,
    상기 장치 및 상기 장치와 함께 고가용성 시스템을 구성하는 다른 장치의 MAC(media access control) 어드레스에 관한 정보를 포함하기 위한 MAC 어드레스 데이터베이스;
    ARP(address resolution protocol) 요청 패킷을 수신하기 위한 네트워크 인터페이스; 및
    상기 네트워크 인터페이스가 ARP 요청 패킷을 수신하면, 상기 MAC 어드레스 데이터베이스를 참조하여 상기 ARP 요청 패킷에 응답하기 위한 MAC 어드레스를 선택하기 위한 부하분산 제어부를 포함하고,
    상기 네트워크 인터페이스는 상기 수신된 ARP 요청 패킷에 응답하여 상기 부하분산 제어부에 의해 선택된 MAC 어드레스를 포함하는 ARP 응답 패킷을 전송하고,
    상기 다른 장치 중 적어도 하나는 상기 장치와 동일한 가상 IP를 공유하며,
    상기 부하분산 제어부는 ARP 요청 패킷에 응답하기 위한 MAC 어드레스로서 상기 MAC 어드레스 데이터베이스 내의 MAC 어드레스를 순차적으로 선택하는,
    부하분산 장치.
  2. 제 1 항에 있어서,
    상기 다른 장치의 MAC 어드레스에 관한 정보를 수신하기 위한 내부 인터페이스를 더 포함하는,
    부하분산 장치.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 MAC 어드레스 데이터베이스는 상기 고가용성 시스템을 구성하는 부하분산 장치의 동작 상태가 활성 또는 비활성인지 여부에 관한 정보를 더 포함하고,
    상기 부하분산 제어부는 상기 ARP 요청 패킷에 응답하기 위한 MAC 어드레스로서 상기 MAC 어드레스 데이터베이스 내의 동작 상태가 활성인 보안장치의 MAC 어드레스를 순차적으로 선택하는,
    부하분산 장치.
  5. 제 1 항에 있어서,
    상기 네트워크 인터페이스는 상기 부하분산 제어부에 의해 선택된 MAC 어드레스와 상기 장치의 MAC 어드레스가 동일하면, 상기 ARP 요청 패킷에 응답하여 상기 ARP 응답 패킷을 전송하는,
    부하분산 장치.
  6. 고가용성 시스템 내의 보안장치에 의해 수행되는 부하분산 방법으로서,
    상기 보안장치의 가상 IP 주소를 포함하는 ARP(address resolution protocol) 요청 패킷을 수신하는 단계;
    상기 보안장치 및 상기 보안장치와 함께 고가용성 시스템을 구성하는 다른 보안장치의 MAC(media access control) 어드레스로부터 상기 ARP 요청 패킷에 응답하기 위한 MAC 어드레스를 선택하는 단계; 및
    상기 선택된 MAC 어드레스를 포함하는 ARP 응답 패킷을 전송하는 단계를 포함하고,
    상기 다른 보안장치 중 적어도 하나는 상기 보안장치와 동일한 가상 IP를 공유하며,
    상기 MAC 어드레스를 선택하는 단계는 ARP 요청 패킷에 응답하기 위한 MAC 어드레스로서 상기 보안장치 및 상기 다른 보안장치의 MAC 어드레스를 순차적으로 선택함으로써 수행되는,
    부하분산 방법.
  7. 제 6 항에 있어서,
    상기 다른 보안장치의 MAC 어드레스에 관한 정보를 수신하는 단계를 더 포함하는,
    부하분산 방법.
  8. 삭제
  9. 제 6 항에 있어서,
    상기 MAC 어드레스를 선택하는 단계는 ARP 요청 패킷에 응답하기 위한 MAC 어드레스로서 상기 고가용성 시스템을 구성하는 장치 중 동작 상태가 활성인 장치의 MAC 어드레스를 순차적으로 선택함으로써 수행되는,
    부하분산 방법.
  10. 제 6 항에 있어서,
    상기 ARP 응답 패킷을 전송하는 단계는 상기 선택된 MAC 어드레스와 상기 보안장치의 MAC 어드레스가 동일하면 수행되는,
    부하분산 방법.
KR1020120107257A 2012-09-26 2012-09-26 부하분산 장치 및 방법 KR101406999B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120107257A KR101406999B1 (ko) 2012-09-26 2012-09-26 부하분산 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120107257A KR101406999B1 (ko) 2012-09-26 2012-09-26 부하분산 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20140044992A KR20140044992A (ko) 2014-04-16
KR101406999B1 true KR101406999B1 (ko) 2014-06-13

Family

ID=50652667

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120107257A KR101406999B1 (ko) 2012-09-26 2012-09-26 부하분산 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101406999B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100346355B1 (en) * 2001-09-12 2002-07-31 Piolink Inc Load balancer, and system and method for clustering vpn gateway using the same

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100346355B1 (en) * 2001-09-12 2002-07-31 Piolink Inc Load balancer, and system and method for clustering vpn gateway using the same

Also Published As

Publication number Publication date
KR20140044992A (ko) 2014-04-16

Similar Documents

Publication Publication Date Title
US9198118B2 (en) Rogue wireless access point detection
US11611454B2 (en) Distributed network interfaces for application cloaking and spoofing
US9762484B2 (en) Role based router functionality
US20170374021A1 (en) Role based router functionality
EP2991292B1 (en) Network collaborative defense method, device and system
US20120023552A1 (en) Method for detection of a rogue wireless access point
US10979367B2 (en) Device and method of forwarding data packets in a virtual switch of a software-defined wide area network environment
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
US11523324B2 (en) Method for configuring a wireless communication coverage extension system and a wireless communication coverage extension system implementing said method
US11316739B2 (en) Methods, controller manager and controller agent for enabling a connection between a switch of a communication network and a switch controller
EP3448001B1 (en) Communication security apparatus, control method, and storage medium storing a program
CN106027491B (zh) 基于隔离ip地址的独立链路式通信处理方法和系统
WO2020180761A1 (en) Systems and methods of creating network singularities
US9130896B2 (en) Distributed functionality across multiple network devices
US10498700B2 (en) Transmitting network traffic in accordance with network traffic rules
US20180007075A1 (en) Monitoring dynamic device configuration protocol offers to determine anomaly
CN104796883B (zh) 通信方法、无线接入点、无线控制器及通信系统
KR101406999B1 (ko) 부하분산 장치 및 방법
WO2020247331A1 (en) Application-centric enforcement for multi-tenant workloads with multi site data center fabrics
KR101242765B1 (ko) 비대칭 트래픽을 처리하기 위한 보안 장치 및 방법
US9800545B2 (en) Role based router functionality
US20220417831A1 (en) Method and device for protecting a local area network comprising a network switch to which a station is connected by cable connection
JP7467995B2 (ja) 端末隔離システム、端末隔離方法および端末隔離プログラム
KR20180045509A (ko) Arp 스푸핑 공격을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR101308089B1 (ko) 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170602

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190604

Year of fee payment: 6