KR101498655B1 - 트래픽 분산 제어 서비스 제공 방법 및 장치 - Google Patents

트래픽 분산 제어 서비스 제공 방법 및 장치 Download PDF

Info

Publication number
KR101498655B1
KR101498655B1 KR20140004126A KR20140004126A KR101498655B1 KR 101498655 B1 KR101498655 B1 KR 101498655B1 KR 20140004126 A KR20140004126 A KR 20140004126A KR 20140004126 A KR20140004126 A KR 20140004126A KR 101498655 B1 KR101498655 B1 KR 101498655B1
Authority
KR
South Korea
Prior art keywords
packet
information
unit
security service
traffic distribution
Prior art date
Application number
KR20140004126A
Other languages
English (en)
Inventor
박철정
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR20140004126A priority Critical patent/KR101498655B1/ko
Application granted granted Critical
Publication of KR101498655B1 publication Critical patent/KR101498655B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Abstract

본 발명은 트래픽 분산 제어 서비스 제공 장치에 있어서, 내부망 혹은 외부망에 연결되는 단말에서 발생되는 데이터 신호를 수신하거나, 상기 데이터 신호를 외부망 혹은 상기 내부망으로 송신하는 데이터 송/수신부와, 상기 내부망 및 외부망 각각에 물리적으로 연결되어 데이터 신호의 해당 경로에 따라 코딩을 수행하고, 기설정된 정책(policy) 정보에 따라 선택적으로 전원이 스위칭되어 각 스위칭별 링크 상태정보에 따라 동작하는 물리탭부와, 상기 물리탭부로부터 출력된 데이터 신호를 패킷으로 변환하고, 변환된 패킷의 정보를 분석하여 분석결과 및 기설정된 정책 정보에 따라 상기 패킷의 출력 경로를 설정한 후 상기 패킷의 블랙 리스트 포함 여부에 따라 해당 패킷을 차단하거나 혹은 미러링(mirroring)하고, 설정된 출력 경로에 대응하는 MAC 주소정보를 통해 상기 패킷을 전송하는 논리 스위치 탭부를 포함함을 특징으로 한다.

Description

트래픽 분산 제어 서비스 제공 방법 및 장치{METHOD AND APPARATUS FOR PROVIDING TRAFFIC DISTRIBUTION CONTROL SERVICE}
본 발명은 트래픽 분산 제어 서비스에 관한 것으로, 더욱 상세하게는 이중화된 망에 전송되는 트래픽을 분산하여 서비스의 안정성을 높이기 위한 트래픽 분산 제어 서비스 제공 방법 및 장치에 관한 것이다.
모니터링 기반의 보안장비 특성상 장비장애 발생시 서비스 영향을 최소화하기 위하여 탭장치를 이용한 미러링 방식으로 보안모니터링을 수행하여 왔다.
패시브(passive)탭은 물리적인 광신호를 분할하는 방식으로 서비스를 제공하였으나, 전송된 신호를 다수의 보안장비로 분산하여 증가된 트래픽을 수용할 수 있는 장치인 액티브탭으로 발전되어 왔다.
패시브탭 장치는 전송되는 광신호를 두 개로 분할하여 두 곳(망 출력부, 보안장비)으로 전송하는 신호레벨의 물리적 분할하는 방식임으로 패킷 기반의 실시간 차단 방법이 없으며, 또한 액티브(active)탭은 전송된 광 신호을 분할하여 하나의 신호는 망으로 전송하고, 다른 하나의 신호는 패킷단위로 해석하여 내부 보안장비들로 분산하는 구조임으로 결과적으로 망으로 전송되는 신호를 패킷단위의 실시간 차단을 수행할 방법이 없다.
또한 이중화된 망에 전송되는 트래픽을 모니터링하는 보안장비들은 한쪽 링크로 트래픽이 과도화게 전송되는 경우, 해당 보안장비의 과부하가 발생되는 문제를 가지고 있어, 이러한 트래픽을 링크 상에서 모니터링하는 보안장비단위로 분산할 수 있는 기능을 제공하지 못하고 있다.
따라서 본 발명은 이중화된 망에 전송되는 트래픽을 세션 유지기반으로 보안장비로 트래픽을 분산하여 미러링시켜주며, 보안장비에서 제공한 유해리스트 기반으로 실시간 차단한 후 패킷의 출력 인터페이스에 맞는 목적지 맥(MAC)주소로 변환시킨 후 망으로 전송하여 트래픽 분산 제어 서비스를 제공하고자 한다.
본 발명의 일 견지에 따르면, 트래픽 분산 제어 서비스 제공 장치에 있어서,
내부망 혹은 외부망에 연결되는 단말에서 발생되는 데이터 신호를 수신하거나, 상기 데이터 신호를 외부망 혹은 상기 내부망으로 송신하는 데이터 송/수신부와, 상기 내부망 및 외부망 각각에 물리적으로 연결되어 데이터 신호의 해당 경로에 따라 코딩을 수행하고, 기설정된 정책(policy) 정보에 따라 선택적으로 전원이 스위칭되어 각 스위칭별 링크 상태정보에 따라 동작하는 물리탭부와, 상기 물리탭부로부터 출력된 데이터 신호를 패킷으로 변환하고, 변환된 패킷의 정보를 분석하여 분석결과 및 기설정된 정책 정보에 따라 상기 패킷의 출력 경로를 설정한 후 상기 패킷의 블랙 리스트 포함 여부에 따라 해당 패킷을 차단하거나 혹은 미러링(mirroring)하고, 설정된 출력 경로에 대응하는 MAC 주소정보를 통해 상기 패킷을 전송하는 논리 스위치 탭부를 포함함을 특징으로 한다.
본 발명의 다른 견지에 따르면, 트래픽 분산 제어 서비스 제공 방법에 있어서, 데이터 송/수신부를 통해 내부망 혹은 외부망에 연결되는 단말에서 발생되는 데이터를 수신하는 과정과, 상기 내부망과 외부망 각각에 물리적으로 연결된 물리탭부를 통해 수신된 데이터 신호에 대한 코딩을 수행하고, 전원 공급 여부를 판단하여 기설정된 정책(policy) 정보에 따라 선택적으로 전원이 스위칭되는 과정과, 논리 스위치 탭부를 통해 상기 물리탭부로부터 출력된 데이터 신호를 패킷으로 변환하고, 변환된 패킷의 정보를 분석하여 분석결과 및 기설정된 정책 정보에 따라 상기 패킷의 출력 경로를 설정하는 과정과, 상기 패킷의 블랙 리스트 포함 여부를 결정하여 상기 블랙 리스트 정보와 동일한 패킷인 경우 패킷을 차단하고, 동일하지 않은 경우 해당 패킷의 전송 및 미러링을 수행하는 과정과, 상기 패킷의 전송 결과를 실시간 모니터링하여 모니터링 결과에 따라 패킷의 소스 IP 정보 기반 트래픽 분산을 수행하는 과정을 포함함을 특징으로 한다.
본 발명은 어느 한 측의 링크로 트래픽이 과도하게 전송되는 경우, 해당 보안 장비의 과부하에 대한 예방이 가능하고, 트래픽 분산 제어 서비스 시스템 내 자체 장애 및 전원다운 문제에서도 서비스의 영향도를 최소할 수 있을 뿐만 아니라, 패시브(passive)/액티브(active) 탭 장치와 동일한 기능을 가지나, 보안 모니터링 장치에서 감사에 위배된 블랙 리스트 기반으로 실시간 차단한 후 망으로 전송함으로써 패시브/액티브 탭 장치의 장점인 무장애와 인라인 장비의 장점인 차단기능을 동시에 가지는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치가 포함되는 전체 시스템의 개략적인 구성도.
도 2는 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치에 있어서, 물리탭부의 동작을 보인 예시도.
도 3은 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치에 있어서, 논리 스위치 탭부의 구성을 보인 블록도.
도 4는 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치에 있어서, 데이터 송수신부, 물리탭부 및 논리 스위치 탭부를 포함하는 트래픽 분산 처리부의 서비스 동작을 보인 예시도.
도 5는 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 방법에 관한 전체 흐름도.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
본 발명은 트래픽 분산 제어 서비스 제공에 관한 것으로, 더욱 상세하게는 서비스 안정성을 높이는 이중화된 탭 처리를 위해 이중화된 망에 전송되는 트래픽을 분산하여 미러링 보안 장비로 전송하고, 보안 장비에서 제공한 보안정책 위배 리스트 등록된 패킷을 실시간 차단 후에 망으로 전송하는 트래픽 분산 스위치 탭을 구성하기 위하여 외부/내부 장비와 각각 물리적으로 연결되어 논리스위치탭 장애 및 요구시 외부장비와 내부장비를 직접연결 시켜주어 서비스의 안정성을 높여주는 물리탭부와, 물리탭부에서 전송된 패킷을 출력포트 선택, 블랙리스트처리, 패킷미러 및 패킷 생성/출력하는 논리스위치탭부와, 이중화된 망에 전송되는 트래픽을 분산 미러링 하기 위해 동일한 장치구조를 이중화함으로써 어느 한 측의 링크로 트래픽이 과도하게 전송되는 경우, 해당 보안 장비의 과부하에 대한 예방이 가능하고, 트래픽 분산 제어 서비스 시스템 내 자체 장애 및 전원다운 문제에서도 서비스의 영향도를 최소할 수 있을 뿐만 아니라, 패시브(passive)/액티브(active) 탭 장치와 동일한 기능을 가지나, 보안 모니터링 장치에서 감사에 위배된 블랙 리스트 기반으로 실시간 차단한 후 망으로 전송함으로써 패시브/액티브 탭 장치의 장점인 무장애와 인라인 장비의 장점인 차단기능을 동시에 가지는 기술을 제공하고자 한다.
또한, 본 발명의 실시 예에 따른 상기 단말은 바람직하게는 네트워크를 통하여 서버와 통신이 가능한 단말기며, 디지털 방송 단말기, 개인 정보 단말기(PDA, Personal Digital Assistant), 스마트 폰(Smart Phone), 3G 단말기 예를 들면 IMT-2000(International Mobile Telecommunication 2000) 단말기, WCDMA(Wideband Code Division Multiple Access)단말기, GSM/GPRS(GLOBAL SYSTEM FOR MOBILE COMMUNICATION PACKET RADIO SERVICE) 및 UMTS(Universal Mobile Telecommunication Service) 단말기 등과 같은 모든 정보통신기기 및 멀티미디어 기기와, 그에 대한 응용에도 적용될 수 있음은 자명할 것이다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
이하, 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치에 대해 도 1 및 도 4를 참조하여 자세히 살펴보기로 한다.
도 1은 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치가 포함되는 전체 시스템의 개략적인 구성도이다.
도 1을 참조하면, 본 발명이 적용된 시스템(100)은 내부망(110)과 외부망(112)이 각각 분리된 망 분리 시스템으로, 라우터(101, 102, 103, 104), 데이터 송수신부(118, 120), 제1 논리 스위치 탭부(126), 물리탭부(122), 블랙 리스트/MAC 테이블(125), 제2 논리 스위치 탭부(128), 물리탭부(124), 블랙 리스트/MAC 테이블(127), 보안 제공 서비스부(114, 116)을 포함하는 한다.
도 1에 도시된 바와 같이, 본 발명이 적용된 시스템(100)은 크게 물리탭부(122, 124)와 논리 스위치 탭부(126, 128)로 구분할 수 있으며, 외부/내부 장비와 각각 물리적으로 연결되어 논리 스위치 탭부(126, 128)의 장애 또는 요구 시 외부장비와 내부장비를 직접 연결하여 서비스의 안정성을 높여주는 물리탭부(122, 124)와, 상기 물리탭부(122, 124)에서 전송된 패킷을 출력포트 선택, 블랙리스트처리, 패킷미러 및 패킷 생성/출력하는 논리스위치탭부(126, 128)와, 이중화된 망에 전송되는 트래픽을 분산 미러링 하기 위해 동일한 장치구조가 이중화로 구성되어 있다.
즉, 상기 데이터 송수신부(118), 제1 논리 스위치 탭부(126), 물리탭부(122), 블랙 리스트/MAC 테이블(125)는 본 발명에 따라 트래픽 분산 처리부(10)에 포함되어 또 다른 트랙픽 분산 처리부(20)에 포함된 상기 데이터 송수신부(120), 제2 논리 스위치 탭부(128), 물리탭부(124), 블랙 리스트/MAC 테이블(127), 보안 제공 서비스부(114, 116)와 동일하게 이중화되어 각 채널별 일대일(1:1) 페어링(pairring)된 보안 제공 서비스부(114, 116)와 통신한다.
상기 라우터(101, 102, 103, 104)는 보내지는 송신정보에서 수신처 주소를 읽고 가장 적절한 통신통로를 지정하고, 다른 통신망(외부망 혹은 내부망)으로 전송한다.
상기 내부망(110)에 연결되어 있는 단말이 인터넷 등의 외부망(112)으로 접속할 수 있도록 하는 인터페이스를 제공한다.
이때, 상기 단말은 개인용 PC 등의 인터넷이 가능한 컴퓨터 단말로써 스위치 역할을 하는 트래픽 분산 처리부(10, 20)를 통해 내부망(110) 및 인터넷 등의 외부망(112)에 연결된다. 상기 단말은, 인터넷 등의 외부망으로의 접속이 필요한 프로세스(process)의 실행 시에는 이를 내부망(110)과 논리적으로 분리되는 가상환경을 생성하여 실행하도록 구현되며, 가상환경에서 외부망(112)의 접속과 관련되는 프로세스의 실행에 따라 발생되는 데이터 패킷에 대해서는 보안 서비스 제공부를 이용하여 해당 패킷의 악성 행위를 모니터링한다.
상기 데이터 송수신부(118, 120)은, 내부망(110) 혹은 외부망(112)에 연결되는 단말에서 발생되는 데이터 신호를 수신하거나, 상기 데이터 신호를 외부망(112) 혹은 상기 내부망(110)으로 송신한다.
상기 물리탭부(122, 124)는 내부망(110) 및 외부망(112) 각각에 물리적으로 연결되어 데이터 신호의 해당 경로(예컨대, 외부망 혹은 내부망)에 따라 코딩(외부망일 경우 디코딩, 내부망일 경우 인코딩)을 수행하고, 기설정된 정책(policy) 정보에 따라 선택적으로 전원이 스위칭되어 각 스위칭별 링크 상태정보에 따라 동작한다.
상기 제1 및 제2 논리 스위치 탭부(126, 128)은 물리탭부(122, 124)로부터 출력된 데이터 신호를 패킷으로 변환하고, 변환된 패킷의 정보를 분석하여 분석결과 및 기설정된 정책 정보에 따라 상기 패킷의 출력 경로를 설정한 후 블랙 리스트/MAC 테이블(125, 127)을 통해 상기 패킷의 블랙 리스트 포함 여부에 따라 해당 패킷을 차단하거나 혹은 미러링(mirroring)하고, 설정된 출력 경로에 대응하는 MAC 주소정보를 통해 상기 패킷을 전송한다.
이때, 상기 블랙 리스트/MAC 테이블(125, 127)은 트래픽 분산 처리부(10, 20) 초기화 시 패킷에 대한 보안 및 전송을 위해 미리 설정되어 DB화된 정보이다.
상기 보안 서비스 제공부(114, 116)은 각각 트래픽 분산 처리부(10, 20)와 채널을 통해 일대일(1:1) 페어링(pairring)되어 전송된 패킷에 대한 보안을 위한 모니터링을 수행한다.
이때, 상기 보안 서비스 제공부(114, 116)는 채널별로 상호 블랙 리스트 정보를 교환하여 공유한다.
도 2는 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치에 있어서, 물리탭부의 동작을 보인 예시도로서, 본 발명이 적용된 물리탭부는 전송된 광 신호를 논리 스위치 탭부로 전송하는 역할을 수행하며, 도 2의 우측에 도시된 바와 같이, 물리탭부(212, 224)은 논리 스위치 탭부(220, 222)에 의해 전원이 강제적(보안 서비스 제공부(25, 26) 요구)으로 혹은 자동적(논리 스위치 탭부(220, 222) 또는 보안 서비스 제공부(25, 26)의 장애 발생)으로 차단하게 되는 경우 광신호 스위칭 경로는 외부 장치 간에 직결로 연결하게 되고, 도 2의 좌측에 도시된 바와 같이, 논리 스위치 탭부(214, 216)에 의해 전원이 제공됨(보안 서비스 제공부(23, 24) 요구 및 장애복구)에 따라 자동적으로 기존의 모니터링 구조로 전환되는 구조로 작동되어 장비 장애 시에도 영향을 받지 않도록 하여 통신서비스의 안정성을 제공한다.
또한 이중화된 논리 스위치 탭부(214, 216, 220, 222) 간에는 물리탭부에 연결된 링크상태 정보를 서로 간에 교류하여 한쪽 링크 실패시에도 동시에 두 개의 래칭 스위치(20, 22)가 장치 간에 직결로 연결하도록 경로를 변경함으로써 경로 구성의 복잡성을 제거한다.
즉, 본 발명의 일 실시 예에 따라 물리탭부는, 논리 스위치 탭부에 의해 강제적 혹은 자동적으로 전원이 차단되는 경우 상기 기설정된 정책 정보에 따라 분리된 내부망 및 외부망 관련 인터페이스를 직접연결하고, 상기 논리 스위치 탭부로부터 전원이 제공되는 경우 기설정된 정책 정보에 따라 논리 스위치 탭부에 슬레이브되어 데이터 신호를 처리한다.
도 3은 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치에 있어서, 논리 스위치 탭부의 구성을 보인 블록도로서, 도 3을 참조하면, 본 발명이 적용된 논리 스위치 탭부는 출력포트 선택 모듈(314), 블랙 리스트 모듈(316), 패킷 저장 모듈(320), 포트출력 모듈(322), MAC 테이블(32) 및 제어부(321)를 포함한다. 도 3에 도시된 바와 같이, 본 발명이 적용된 논리 스위치 탭부는 이중화된 구조에 따라 동일한 동작을 수행하므로 하기 설명에 있어서는 좌측에 확대되어 도시된 논리 스위치 탭부(312)를 기준으로 설명하기로 한다.
상기 출력포트 선택 모듈(314)는, 물리탭부(310)로터 출력된 광 신호를 패킷으로 변환하고, 변환된 상기 패킷의 IP 정보를 이용하여 적어도 둘 이상의 채널별 각 보안 서비스 제공부(316, 318)에서 상기 IP 정보에 대응하는 보안 서비스 제공부의 채널에 연결된 포트를 선택한다.
다시 말해, 상기 변환된 패킷의 IP 정보를 이용하여 처리할 보안 서비스 제공부가 자신과 연결된 즉, 해당 IP 정보에 대응하는 보안 서비스 제공부(316)인 경우 패킷을 기설정된 정책 정보에 따라 후행하는 유닛(블랙 리스트 모듈(316))으로 출력하고, 해당 IP 정보에 대응하는 보안 서비스 제공부(316)이 아닌 경우 상기 보안 서비스 제공부(316)에 연결되지 않은 이중화된 논리 스위치 탭부(314)에 페어링된 상대방 보안 서비스 제공부(318)로 패킷을 전달하여 논리 스위치 탭부(312) 처리 세션(33)을 수행한다.
상기 블랙 리스트 모듈(316)은 보안 서비스 제공부(316)에서 요청하는 블랙 리스트 정보와 상기 출력포트 선택 모듈(314)로부터 출력된 패킷의 정보 간 동일 여부를 기설정된 블랙 리스트 테이블(318)을 이용하여 검사하여 검사결과 동일한 패킷은 차단하고, 동일하지 않은 경우 기설정된 정책정보에 따라 후행하는 유닛인 패킷 저장 모듈(320)로 출력한다.
상기 패킷 저장 모듈(320)은 인입된 패킷의 미러링을 수행한다.
여기서, 미러링은 장비가 고장 나는 사고가 발생하였을 때 데이터가 손실되는 막기 위하여 데이터를 하나 이상의 장치에 중복 저장하는 것을 의미하는 것으로, 이러한 기법은 하드웨어 또는 소프트웨어에 의해 구현될 수 있다.
상기 포트출력 모듈(322)는 출력포트 선택 모듈(314)에서 선택된 출력포트에 대응하는 MAC 주소정보를 MAC 테이블에서 조회하여 목적지 MAC 정보로 변경하고, 체크섬 값을 추가하여 출력 물리탭의 포트로 패킷을 전송한다.
상기 제어부(321)는 포트출력 모듈(322)의 패킷 전송 결과를 실시간 모니터링하여 기설정된 임계치 초과 여부에 따라 트래픽 분산을 위한 제어 정책을 상기 포트출력 모듈(322)에 적용한다.
환언하면, 본 발명이 적용된 논리 스위치 탭부는, 상술한 구성을 이용하여 하기와 같은 동작 처리단계로 분류된다.
제 1단계는 출력포트선택모듈(314)을 통해 물리탭에서 전송되는 광 신호를 받아서 패킷으로 변환시키고, 변환된 패킷의 아이피정보를 이용하여 처리할 보안장비가 연결된 포트를 선택(자신과 연결된 보안 서비스 제공부(316)와 같은 경우는 패킷을 하기 2단계로 전송하고 그렇지 않을 경우(보안 서비스 제공부(318))는 상대방 논리 스위치 탭부(314)로 전달한다.
제 2단계는 블랙 리스트 모듈(316)을 통해 보안 서비스 제공부(316)가 요청한 블랙리스트의 정보와 전송된 패킷의 정보가 일치하는지 블랙 리스트 테이블(318)을 통하여 검사하여 동일한 패킷은 실시간 차단하고, 그렇지 않은 경우는 하기의 3단계로 전송한다.
제 3단계는 패킷 저장 모듈(320)을 통해 인입된 모든 패킷을 카피하여 모니터링하는 보안장비와 하기의 4단계로 동일한 신호를 카피하여 전송한다.
제 4단계는 상기 1단계에서 선택한 출력포트에 맞는 MAC 주소정보를 MAC테이블(32)에서 조회하여 목적지 MAC정보로 변경하고 체크섬 값을 추가하여 출력 물리탭의 포트로 패킷을 전송한다.
이러한 논리 스위치 탭부(312, 314))는 상기 이중화된 논리 스위치 탭부(314, 317) 간 물리탭부(310, 309)에 연결된 링크 상태정보를 상호 교류하여 어느 한 측의 링크 실패 시에도 동시에 물리탭부별 래칭(latching) 스위치를 통해 직접연결되도록 하여 데이터 신호의 경로가 변경되도록 제어한다.
이때, 상기 논리 스위치 탭부(312, 314)는 해쉬함수를 이용하여 패킷의 소스 IP 정보에서 기설정된 자리의 숫자의 타입에 따라 트래픽을 분산하여 보안 서비스 제공부별 부하 분산을 수행한다.
예컨대, 상기 패킷의 소스 IP 정보에서 마지막 자리의 숫자 타입을 홀수/짝수로 구분하고, 상기 홀수는 A로, 상기 짝수는 B로 분배하여 트래픽을 해당 MAC 정보를 기준으로 트래픽을 분산한다.
그리고, 상기 논리 스위치 탭부(312, 314)는 상기 트래픽 분산에 따라 해당 패킷의 세션 정보에 해당하는 망 인터페이스를 후보 망 인터페이스로 변경하고, 재계산된 체크섬값을 교체하여 부하 분산 시 상기 후보 망 인터페이스로 전송된 패킷에 대한 포워딩이 정상적으로 수행되도록 제어한다.
도 4는 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치에 있어서, 데이터 송수신부, 물리탭부 및 논리 스위치 탭부를 포함하는 트래픽 분산 처리부의 서비스 동작을 보인 예시도이다.
도 4를 참조하면, 외부망에 있는 사용자 A(40)와 사용자 B(41)가 내부망(412)에 있는 서버(410)와 통신을 할 경우, 이 두 사용자(40, 41)는 Ra라우터(424)를 거쳐 RA라우터(414)를 통해서 내부망(412)의 서버(410)에 접근하게 되며, 이럴 경우 보안 서비스 제공부(418)로만 패킷이 전송된다.
이러한 현상이 증가 되는 경우, 상기 보안 서비스 제공부(418)의 부하만 가 가중되는 현상이 발생됨으로 이를 해결하기 위해 본 발명에 따른 트래픽 분산 처리부(422)는 은 인입부에서 전송된 IP 정보를 기준으로 보안 서비스 제공부(418, 420)각각으로 부하를 분산시키는 역할을 수행한다.
즉, 사용자B(41)의 트래픽은 Ra(424)를 거쳐 트래픽 분산 처리부(422)로 전송되면, 해당 패킷의 IP 정보를 기반으로 보안 서비스 제공부(420)에서 모니터링 될 수 있도록 경로를 변경하며, 동시에 RB(416)로 트래픽을 출력하는 기능을 수행한다.
여기서, 상기 RB(416)로 전송된 패킷이 드롭(drop)없이 정상적으로 포워딩되기 위해서는 목적지 MAC 정보가 RA의 "A"가 아닌 RB(416)의 "B"로 변경되어야 하며, 또한 목적지 MAC 정보변경으로 인하여 재계산된 체크섬 값으로 교체하여야만 한다. 이러한 기능은 다운로드 뿐만 아니라 업로드시에도 동일 정책기준으로 트래픽 분산을 수행함으로써 모니터링하는 보안장비는 항상 동일한 세션의 보안감사를 수행함으로써 보안감사의 정확성을 높일 수 있는 구조를 가진다.
이상 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 장치에 대해 살펴보았다.
이하에서는, 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 방법에 대해 살펴보기로 한다.
도 5는 본 발명의 일 실시 예에 따른 트래픽 분산 제어 서비스 제공 방법에 관한 전체 흐름도이다.
도 5를 참조하면, 먼저 510 과정에서는, 데이터 송/수신부를 통해 내부망 혹은 외부망에 연결되는 단말에서 발생되는 데이터를 수신한다.
512 과정에서는 상기 내부망과 외부망 각각에 물리적으로 연결된 물리탭부를 통해 수신된 데이터 신호에 대한 코딩을 수행한다.
이후, 기설정된 정책(policy) 정보에 따라 물리탭부의 전원을 선택적으로 스위칭하기 위하여 514 과정에서 전원 공급 여부를 판단하여 물리탭부에 전원이 차단된 경우 518 과정으로 이동하여 내부망 및 외부망 관련 인터페이스 직접 연결을 수행하여 패킷을 처리한다.
상기 기설정된 정책(policy) 정보에 따라 선택적으로 전원이 스위칭되는 과정은, 논리 스위치 탭부에 의해 강제적 혹은 자동적으로 전원이 차단되는 경우 상기 기설정된 정책 정보에 따라 분리된 내부망 및 외부망 관련 인터페이스를 직접연결하고, 상기 논리 스위치 탭부로부터 전원이 제공되는 경우 기설정된 정책 정보에 따라 논리 스위치 탭부에 슬레이브되어 데이터 신호를 처리한다.
이때, 상기 변환된 패킷의 IP 정보가 자신과 연결된 보안 서비스 제공부에 해당하는 경우 상기 패킷을 기설정된 정책 정보에 따라 상기 자신과 연결된 보안 서비스 제공부에 페어링(pairring)된 논리 스위치 탭부의 블랙 리스트 모듈로 출력하고, 해당하지 않은 경우 상기 보안 서비스 제공부와 이중화된 또 다른 보안 서비스 제공부와 페어링된 논리 스위치 탭부의 블랙 리스트 모듈로 패킷을 출력한다.
상기 물리탭부에 전원이 공급된 경우 516 과정으로 이동하여 논리 스위치 탭부를 통해 상기 물리탭부로부터 출력된 데이터 신호를 패킷으로 변환한다.
522 과정에서는 상기 변환된 패킷의 정보를 분석하고, 524 과정에서는 분석결과 및 기설정된 정책 정보에 따라 이중화된 어느 하나의 논리 스위치 탭부로 패킷의 출력 경로를 설정한다.
526 과정에서는 보안 서비스 제공부에서 요청된 블랙 리스트 정보와 해당 패킷의 정보 간 동일 여부를 528 과정에서 검사하여 동일한 패킷인 경우 530 과정에서 패킷을 차단하고, 동일하지 않은 경우 532 과정으로 이동하여 해당 패킷의 전송을 수행하고, 534 과정에서 패킷 관련 미러링을 수행한다.
536 과정에서는 패킷의 전송 결과를 실시간 모니터링하여 모니터링 결과에 따라 어느 한 측으로의 기설정된 부하 임계치 초과 여부를 체크하여 초과한 경우 538 과정으로 이동하여 패킷의 소스 IP 정보 기반 트래픽 분산을 수행한다.
즉, 상기 패킷의 소스 IP 정보 기반 트래픽 분산을 수행하는 과정은,패킷 전송 결과를 실시간으로 모니터링하여 보안 서비스 제공부별 기설정된 트래픽 임계치 초과 여부를 판단하여 초과한 경우 부하 분산을 위해 또 다른 보안 서비스 제공부에서 모니터링되도록 패킷의 소스 IP 정보 기반 경로를 변경한다.
이후, 540 과정에서는 세션 정보를 변경(예컨대, 해당 패킷에 대한 목적지 IP 주소, 목적지 포트번호, 프로토콜 타입 중 적어도 하나를 포함)하고, 542 과정에서 체크섬값을 교체하여 패킷 전송 처리를 완료한다.
한편, 536 과정에서의 체크 결과, 기설정된 부하 임계치 초과 여부 판단 결과 초과 되지 않은 경우 544 과정으로 이동하여 해당 패킷의 세션 정보에 따라 패킷을 전송한다.
이때, 상기 패킷의 소스 IP 정보 기반 경로 변경은, 세션 정보 변경 및 체크섬 값 교체를 통해 수행된다.
상기 세션 정보 변경 및 체크섬 값 교체는, 상기 패킷의 MAC 주소정보를 MAC 테이블에서 조회하여 목적지 MAC 정보로 변경하고, 체크섬 값을 추가하여 수행된다.
그리고, 상기 패킷의 소스 IP 정보 기반 경로 변경은, 해쉬함수를 이용하여 패킷의 소스 IP 정보에서 기설정된 자리의 숫자의 타입에 따라 트래픽을 분산하여 보안 서비스 제공부별 부하 분산을 수행하는 것으로, 상기 트래픽 분산에 따라 해당 패킷의 세션 정보에 해당하는 망 인터페이스를 후보 망 인터페이스로 변경하고, 재계산된 체크섬값을 교체하여 부하 분산 시 상기 후보 망 인터페이스로 전송된 패킷에 대한 포워딩이 정상적으로 수행되도록 제어한다.
상기와 같이 본 발명에 따른 트래픽 분산 제어 서비스 제공 방법 및 장치에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.
110: 내부망 112: 외부망
101, 102, 103, 104: 라우터 114, 116: 보안 서비스 제공부
10, 20: 트래픽 분산 처리부 126: 제1 논리 스위치 탭부
128: 제2 논리 스위치 탭부 122, 124: 물리탭부
125, 127: 블랙 리스트/MAC 테이블

Claims (18)

  1. 트래픽 분산 제어 서비스 제공 장치에 있어서,
    내부망 혹은 외부망에 연결되는 단말에서 발생되는 데이터 신호를 수신하거나, 상기 데이터 신호를 외부망 혹은 상기 내부망으로 송신하는 데이터 송/수신부와,
    상기 내부망 및 외부망 각각에 물리적으로 연결되어 데이터 신호의 해당 경로에 따라 코딩을 수행하고, 기설정된 정책(policy) 정보에 따라 선택적으로 전원이 스위칭되어 각 스위칭별 링크 상태정보에 따라 동작하는 물리탭부와,
    상기 물리탭부로부터 출력된 데이터 신호를 패킷으로 변환하고, 변환된 패킷의 정보를 분석하여 분석결과 및 기설정된 정책 정보에 따라 상기 패킷의 출력 경로를 설정한 후 상기 패킷의 블랙 리스트 포함 여부에 따라 해당 패킷을 차단하거나 혹은 미러링(mirroring)하고, 설정된 출력 경로에 대응하는 MAC 주소정보를 통해 상기 패킷을 전송하는 논리 스위치 탭부를 포함함을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  2. 제1항에 있어서, 상기 논리 스위치 탭부는,
    상기 물리탭부로터 출력된 광 신호를 패킷으로 변환하고, 변환된 상기 패킷의 IP 정보를 이용하여 적어도 둘 이상의 채널별 각 보안 서비스 제공부에서 상기 IP 정보에 대응하는 보안 서비스 제공부의 채널에 연결된 포트를 선택하는 출력포트 선택 모듈과,
    상기 보안 서비스 제공부에서 요청하는 블랙 리스트 정보와 상기 출력포트 선택 모듈로부터 출력된 패킷의 정보 간 동일 여부를 검사하여 검사결과 동일한 패킷은 차단하고, 동일하지 않은 경우 출력하는 블랙 리스트 모듈과,
    인입된 패킷의 미러링을 수행하는 패킷 저장 모듈과,
    상기 출력포트 선택 모듈에서 선택된 출력포트에 대응하는 MAC 주소정보를 MAC 테이블에서 조회하여 목적지 MAC 정보로 변경하고, 체크섬 값을 추가하여 출력 물리탭의 포트로 패킷을 전송하는 포트출력 모듈과,
    상기 포트출력 모듈의 패킷 전송 결과를 실시간 모니터링하여 기설정된 임계치 초과 여부에 따라 트래픽 분산을 위한 제어 정책을 상기 포트출력 모듈에 적용하는 제어부를 포함함을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  3. 제2항에 있어서,
    상기 채널별 보안 서비스 제공부는 채널별로 상호 블랙 리스트 정보를 교환하여 공유함을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  4. 제1항에 있어서,
    상기 데이터 송수신부, 물리탭부 및 논리 스위치 탭부는, 일대일 대응되게 보안 서비스 제공부와 채널을 통해 연결되어 또 다른 채널의 보안 서비스 제공부와 채널을 통해 연결된 데이터 송수신부, 물리탭부 및 논리 스위치 탭부와 이중화됨을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  5. 제1항에 있어서, 상기 물리탭부는,
    상기 논리 스위치 탭부에 의해 강제적 혹은 자동적으로 전원이 차단되는 경우 상기 기설정된 정책 정보에 따라 분리된 내부망 및 외부망 관련 인터페이스를 직접연결하고, 상기 논리 스위치 탭부로부터 전원이 제공되는 경우 기설정된 정책 정보에 따라 논리 스위치 탭부에 슬레이브되어 데이터 신호를 처리함을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  6. 제4항에 있어서, 상기 논리 스위치 탭부는,
    상기 이중화된 논리 스위치 탭부 간 물리탭부에 연결된 링크 상태정보를 상호 교류하여 어느 한 측의 링크 실패 시에도 동시에 물리탭부별 래칭(latching) 스위치를 통해 직접연결되도록 하여 데이터 신호의 경로가 변경되도록 제어함을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  7. 제2항에 있어서, 상기 출력포트 선택 모듈은,
    상기 변환된 패킷의 IP 정보가 자신과 연결된 보안 서비스 제공부에 해당하는 경우 상기 패킷을 기설정된 정책 정보에 따라 상기 자신과 연결된 보안 서비스 제공부에 페어링(pairring)된 논리 스위치 탭부의 블랙 리스트 모듈로 출력하고, 해당하지 않은 경우 상기 보안 서비스 제공부와 이중화된 또 다른 보안 서비스 제공부와 페어링된 논리 스위치 탭부의 블랙 리스트 모듈로 패킷을 출력함을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  8. 제1항에 있어서, 상기 논리 스위치 탭부는,
    해쉬함수를 이용하여 패킷의 소스 IP 정보에서 기설정된 자리의 숫자의 타입에 따라 트래픽을 분산하여 보안 서비스 제공부별 부하 분산을 수행함을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  9. 제8항에 있어서, 상기 논리 스위치 탭부는,
    상기 트래픽 분산에 따라 해당 패킷의 세션 정보에 해당하는 망 인터페이스를 후보 망 인터페이스로 변경하고, 재계산된 체크섬값을 교체하여 부하 분산 시 상기 후보 망 인터페이스로 전송된 패킷에 대한 포워딩이 정상적으로 수행되도록 제어함을 특징으로 하는 트래픽 분산 제어 서비스 제공 장치.
  10. 트래픽 분산 제어 서비스 제공 방법에 있어서,
    데이터 송/수신부를 통해 내부망 혹은 외부망에 연결되는 단말에서 발생되는 데이터를 수신하는 과정과,
    상기 내부망과 외부망 각각에 물리적으로 연결된 물리탭부를 통해 수신된 데이터 신호에 대한 코딩을 수행하고, 전원 공급 여부를 판단하여 기설정된 정책(policy) 정보에 따라 선택적으로 전원이 스위칭되는 과정과,
    논리 스위치 탭부를 통해 상기 물리탭부로부터 출력된 데이터 신호를 패킷으로 변환하고, 변환된 패킷의 정보를 분석하여 분석결과 및 기설정된 정책 정보에 따라 상기 패킷의 출력 경로를 설정하는 과정과,
    상기 패킷의 블랙 리스트 포함 여부를 결정하여 상기 블랙 리스트 정보와 동일한 패킷인 경우 패킷을 차단하고, 동일하지 않은 경우 해당 패킷의 전송 및 미러링을 수행하는 과정과,
    상기 패킷의 전송 결과를 실시간 모니터링하여 모니터링 결과에 따라 패킷의 소스 IP 정보 기반 트래픽 분산을 수행하는 과정을 포함함을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
  11. 제10항에 있어서, 상기 패킷의 소스 IP 정보 기반 트래픽 분산을 수행하는 과정은,
    패킷 전송 결과를 실시간으로 모니터링하여 보안 서비스 제공부별 기설정된 트래픽 임계치 초과 여부를 판단하여 초과한 경우 부하 분산을 위해 또 다른 보안 서비스 제공부에서 모니터링되도록 패킷의 소스 IP 정보 기반 경로를 변경함을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
  12. 제11항에 있어서, 상기 패킷의 소스 IP 정보 기반 경로 변경은,
    세션 정보 변경 및 체크섬 값 교체를 통해 수행됨을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
  13. 제12항에 있어서, 상기 세션 정보 변경 및 체크섬 값 교체는,
    상기 패킷의 MAC 주소정보를 MAC 테이블에서 조회하여 목적지 MAC 정보로 변경하고, 체크섬 값을 추가하여 수행됨을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
  14. 제10항에 있어서,
    상기 데이터 송수신부, 물리탭부 및 논리 스위치 탭부는, 일대일 대응되게 보안 서비스 제공부와 채널을 통해 연결되어 또 다른 채널의 보안 서비스 제공부와 채널을 통해 연결된 데이터 송수신부, 물리탭부 및 논리 스위치 탭부와 이중화됨을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
  15. 제10항에 있어서,
    상기 기설정된 정책(policy) 정보에 따라 선택적으로 전원이 스위칭되는 과정은,
    상기 논리 스위치 탭부에 의해 강제적 혹은 자동적으로 전원이 차단되는 경우 상기 기설정된 정책 정보에 따라 분리된 내부망 및 외부망 관련 인터페이스를 직접연결하고, 상기 논리 스위치 탭부로부터 전원이 제공되는 경우 기설정된 정책 정보에 따라 논리 스위치 탭부에 슬레이브되어 데이터 신호를 처리함을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
  16. 제10항에 있어서,
    상기 변환된 패킷의 IP 정보가 자신과 연결된 보안 서비스 제공부에 해당하는 경우 상기 패킷을 기설정된 정책 정보에 따라 상기 자신과 연결된 보안 서비스 제공부에 페어링(pairring)된 논리 스위치 탭부의 블랙 리스트 모듈로 출력하고, 해당하지 않은 경우 상기 보안 서비스 제공부와 이중화된 또 다른 보안 서비스 제공부와 페어링된 논리 스위치 탭부의 블랙 리스트 모듈로 패킷을 출력하는 과정을 더 포함함을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
  17. 제10항에 있어서, 상기 패킷의 소스 IP 정보 기반 경로 변경은,
    해쉬함수를 이용하여 패킷의 소스 IP 정보에서 기설정된 자리의 숫자의 타입에 따라 트래픽을 분산하여 보안 서비스 제공부별 부하 분산을 수행함을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
  18. 제10항에 있어서,
    상기 트래픽 분산에 따라 해당 패킷의 세션 정보에 해당하는 망 인터페이스를 후보 망 인터페이스로 변경하고, 재계산된 체크섬값을 교체하여 부하 분산 시 상기 후보 망 인터페이스로 전송된 패킷에 대한 포워딩이 정상적으로 수행되도록 제어하는 과정을 더 포함함을 특징으로 하는 트래픽 분산 제어 서비스 제공 방법.
KR20140004126A 2014-01-13 2014-01-13 트래픽 분산 제어 서비스 제공 방법 및 장치 KR101498655B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20140004126A KR101498655B1 (ko) 2014-01-13 2014-01-13 트래픽 분산 제어 서비스 제공 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20140004126A KR101498655B1 (ko) 2014-01-13 2014-01-13 트래픽 분산 제어 서비스 제공 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101498655B1 true KR101498655B1 (ko) 2015-03-05

Family

ID=53026250

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20140004126A KR101498655B1 (ko) 2014-01-13 2014-01-13 트래픽 분산 제어 서비스 제공 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101498655B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022197071A1 (ko) * 2021-03-17 2022-09-22 주식회사맥데이타 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101160491B1 (ko) * 2012-04-30 2012-06-28 주식회사 사라다 물리적 이중화 보안이 강화된 씨씨티브이 블루존 소형 이동체 번호인식 시스템
KR101166565B1 (ko) * 2012-04-30 2012-07-19 주식회사 로보티어 물리적 이중화 보안이 강화된 원격 통합방송 시스템
KR20130004956A (ko) * 2011-07-05 2013-01-15 이승철 유비퀘터스 보안성이 강화된 감시장치, 방송장치 병렬운전 수배전반
KR101290963B1 (ko) * 2012-03-26 2013-07-30 제주대학교 산학협력단 가상화 기반 망분리 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130004956A (ko) * 2011-07-05 2013-01-15 이승철 유비퀘터스 보안성이 강화된 감시장치, 방송장치 병렬운전 수배전반
KR101290963B1 (ko) * 2012-03-26 2013-07-30 제주대학교 산학협력단 가상화 기반 망분리 시스템 및 방법
KR101160491B1 (ko) * 2012-04-30 2012-06-28 주식회사 사라다 물리적 이중화 보안이 강화된 씨씨티브이 블루존 소형 이동체 번호인식 시스템
KR101166565B1 (ko) * 2012-04-30 2012-07-19 주식회사 로보티어 물리적 이중화 보안이 강화된 원격 통합방송 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022197071A1 (ko) * 2021-03-17 2022-09-22 주식회사맥데이타 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법

Similar Documents

Publication Publication Date Title
US20220368611A1 (en) Distributed packet deduplication
US11949588B2 (en) Large-scale real-time multimedia communications
US10397120B2 (en) Service link selection control method and device
US20160219076A1 (en) Hardware trust for integrated network function virtualization (nfv) and software defined network (sdn) systems
US20030055971A1 (en) Providing load balancing in delivering rich media
US7826465B2 (en) Methods, systems and computer program products for dynamic communication data routing by a multi-network remote communication terminal
JP2018534830A (ja) サービス伝送速度を制御するための方法、装置及びシステム
KR20170122377A (ko) 분산 소프트웨어 정의 네트워킹 환경에서 네트워크 이상을 감지하는 방법, 장치 및 컴퓨터 프로그램
CN113364809B (zh) 分流网络数据以执行负载平衡
US10587521B2 (en) Hierarchical orchestration of a computer network
CN109804581A (zh) 协同通信
US9838475B2 (en) Connectivity analysis and a mass storage system capable of connectivity analysis
US9787606B2 (en) Inline network switch having serial ports for out-of-band serial console access
US20130166677A1 (en) Role-based access control method and apparatus in distribution system
CN109660565A (zh) 一种隔离网闸设备和实现方法
US10367703B2 (en) Analysis of network traffic rules at a network visibility node
KR101498655B1 (ko) 트래픽 분산 제어 서비스 제공 방법 및 장치
US9590998B2 (en) Network switch with hierarchical security
CN104168200A (zh) 一种基于Open vSwitch实现ACL功能的方法及系统
CN108259249A (zh) 网络接入方法、路由器、终端设备、服务器及网络系统
KR102027315B1 (ko) 오픈 플로우 스위치와 컨트롤러를 사용한 트래픽 제어 방법 및 그 장치
JP2005318222A (ja) パケット伝送システム及びパケット伝送方法
Nurhadi et al. A review of link aggregation control protocol (LACP) as a link redundancy in SDN based network using RYU-controller
KR101747032B1 (ko) 소프트웨어 정의 네트워킹 환경에서의 모듈형 제어 장치 및 그 동작 방법
CN105530631A (zh) 一种通信方法、装置及系统

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180226

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200226

Year of fee payment: 6