KR101578193B1 - Method and System for controlling an access gateway using software defined network - Google Patents

Method and System for controlling an access gateway using software defined network Download PDF

Info

Publication number
KR101578193B1
KR101578193B1 KR1020140195005A KR20140195005A KR101578193B1 KR 101578193 B1 KR101578193 B1 KR 101578193B1 KR 1020140195005 A KR1020140195005 A KR 1020140195005A KR 20140195005 A KR20140195005 A KR 20140195005A KR 101578193 B1 KR101578193 B1 KR 101578193B1
Authority
KR
South Korea
Prior art keywords
flow
access gateway
service
packet
policy
Prior art date
Application number
KR1020140195005A
Other languages
Korean (ko)
Inventor
전병천
최재원
Original Assignee
(주)넷비젼텔레콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷비젼텔레콤 filed Critical (주)넷비젼텔레콤
Priority to KR1020140195005A priority Critical patent/KR101578193B1/en
Application granted granted Critical
Publication of KR101578193B1 publication Critical patent/KR101578193B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템을 기존 네트워크에 추가하는 것으로 네트워크 서비스의 창출과 적용시간과 소비자원을 단축하는 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법에 관한 것이다.
본 발명의 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템은 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 복수의 액세스게이트웨이; 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 하나 이상의 플로우감시장치; 및 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 플로우제어장치;를 포함하는 것을 특징으로 한다. The present invention relates to an access gateway control system using a software defined network technology for shortening the time and cost of creating a network service by adding an access gateway control system using software defined network technology to an existing network and a control method thereof will be.
An access gateway control system using a software defined network technology according to an embodiment of the present invention determines a processing method in units of flow by inputting traffic in a manner defined by a flow control device, A plurality of access gateways transmitting all or part of the access gateway identifier (AG_ID) in a packet of a specified format to the flow monitoring apparatus; One or more flow monitoring devices for analyzing the flow traffic inputted from the access gateway according to a specified rule and delivering the analyzed result to the flow control device together with the access gateway identifier (AG_ID); And a flow control device for determining a flow processing policy based on the analyzed result information in the flow monitoring device and delivering the corresponding control policy to an access gateway designated by the access gateway identifier.

Description

소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법 {Method and System for controlling an access gateway using software defined network}TECHNICAL FIELD [0001] The present invention relates to an access gateway control system using a software defined network technology and a control method thereof,

본 발명은 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법에 관한 것으로, 보다 구체적으로는 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템을 기존 네트워크에 추가하는 것으로 네트워크 서비스의 창출과 적용시간과 소비자원을 단축하는 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법에 관한 것이다.
The present invention relates to an access gateway control system using a software defined network technology and a control method thereof, and more particularly, to an access gateway control system using a software defined network technology to an existing network, The present invention relates to an access gateway control system using a software defined network technology that shortens time and resources, and a control method thereof.

종래의 네트워크는 새로운 서비스 정책이 창출되면 그 적용을 위해 네트워크의 대부분의 네트워크 구성요소의 설정을 변경해 주어야 한다. 새로이 창출된 서비스용의 Accounting(과금) 규칙을 Accounting 장비에 설정해 주어야 하며, 서비스 제공을 위해 사용자 별 QoS (Quality of Service)설정을 네트워크의 대부분 장비에 새로이 설정해 주어야 한다. 이러한 세부적인 작업에 의해 새로운 서비스가 창출되어도, 종래의 네트워크에는 적용하는데 많은 시간과 자원이 소모되게 된다. 더하여 네트워크 서비스의 제공이 현 네트워크에 있는 장비들이 지원하는 기능(Accounting, QoS (Quality of Service) 등)에 의해 한정되게 된다. 즉, 네트워크에 속하는 네트워크 구성 장비들이 특정 서비스가 필요로 하는 기능을 지원하지 않을 경우, 그 서비스는 네트워크 장비의 교체 없이는 적용되지 못하는 것이다. 또한 기존 네트워크는 네트워크의 구성형태(Topology)에 의해 새로운 서비스용 장비의 배치위치가 한정되게 된다. 계층 구조를 가지는 기존 네트워크의 특성으로 인해, 서비스용 장비를 효율적으로 사용하기 위해선 서비스용 장비를 필히 네트워크 상위 위치에 위치시키거나, 서버 바로 앞에 위치시켜야 한다.Conventional networks need to change the configuration of most network components of the network in order to apply them when new service policies are created. The accounting (accounting) rules for the newly created service should be set in the accounting equipment, and the quality of service (QoS) setting for each user should be newly set in most equipment of the network in order to provide the service. Even if a new service is created by this detailed work, it takes much time and resources to apply to a conventional network. In addition, the provision of network services is limited by the functions (such as Accounting, QoS (Quality of Service), etc.) supported by the devices in the current network. That is, if the network constituent devices belonging to the network do not support the functions required by the specific service, the service can not be applied without replacement of the network equipment. In addition, the location of the new service equipment is limited by the network topology. Due to the nature of existing networks with hierarchical structure, the service equipment must be located in front of the network or in front of the server in order to use the service equipment efficiently.

또 다른 본 발명과 관련된 종래 기술은 소프트웨어 정의 네트워킹 기술이다. 소프트웨어 정의 네트워크는 네트워크의 각 네트워크 요소를 중앙의 Controller에서 제어하도록 하는데, 새로운 서비스 관련 설정을 중앙의 Controller에 적용해 주는 것으로 전체 네트워크에 새로운 서비스를 적용할 수 있기에 새로운 서비스의 적용을 빠르게 할 수 있다는 장점이 있다. 이 과정에서 Controller는 각 네트워크 요소에 플로우 규칙이란 것을 내려서 패킷별로 Forwarding을 제어하는데, 종래의 기술은 사용자, 플로우, 혹은 패킷 별로 차별화된 서비스를 제공하기 위해 플로우 식별자 혹은 서비스 식별자를 각 패킷의 헤더에 삽입하고 각 식별자에 따라 Controller가 내리는 플로우 규칙을 다르게 하여 차별화된 서비스를 제공한다. 즉, 특정 서비스에 가입된 사용자의 패킷은 그 사용자가 가입한 서비스에 관한 식별자를 삽입 받게 되고, Controller에 의해 식별자별로 각 네트워크 구성요소에 설정된 플로우 규칙에 의해 그 사용자가 가입한 서비스로 Forwarding 되게 된다. 그러나 이와 같은 종래기술의 방식은 Controller가 내려주는 플로우 규칙에 추가로 새로운 규칙을 삽입하여 새로운 정책을 빠르게 적용할 수는 있지만, 종래의 네트워크의 모든 구성요소들을 중앙 Controller에서 제어할 수 있도록 만들어 주거나 중앙 Controller를 통해 제어되는 장비로 교체하여야 한다는 단점이 있다.
Another prior art related to the present invention is a software defined networking technique. A software defined network allows each network element in the network to be controlled by a central controller. By applying the new service-related settings to the central controller, the new service can be applied to the entire network, There are advantages. In this process, the controller controls the forwarding of each packet by referring to a flow rule for each network element. In order to provide a differentiated service to each user, flow, or packet, the conventional technology uses a flow identifier or a service identifier in the header of each packet And provides differentiated services by differentiating the flow rules that the controller gives according to each identifier. That is, the packet of the user subscribed to the specific service is inserted into the identifier of the service to which the user subscribes, and is forwarded to the service to which the user subscribes according to the flow rule set for each network element per identifier by the controller . However, this conventional method can quickly apply a new policy by inserting a new rule in addition to the flow rule provided by the controller, but it is possible to control all the components of the conventional network by a central controller, The controller must be replaced with a controlled device.

1. 한국공개특허 제10-2014-0052847호 : 소프트웨어 정의 네트워킹 기반 네트워크에서 서비스 품질 제공 방법 및 그 장치1. Korean Patent Publication No. 10-2014-0052847: Method and apparatus for providing service quality in a software defined networking-based network 2. 한국등록특허 제10-1438212호 : 소프트웨어 정의 네트워크 심층패킷분석 방법 및 이를 이용하는 소프트웨어 정의 네트워크 시스템2. Korean Patent No. 10-1438212: Software defined network deep packet analysis method and software defined network system using the same 3. 한국등록특허 제10-0949808호 : P2P 트래픽 관리 장치 및 그 방법3. Korean Patent No. 10-0949808: P2P Traffic Management Device and Method Thereof

본 발명은 상기한 문제점을 해결하기 위해 안출된 것으로서, 본 발명은 소프트웨어 정의 네트워킹 기술의 중앙제어방식을 이용하여 신속한 정책의 창출 및 적용을 도모하였고, 소프트웨어 갱신을 통한 정책 창출의 한계극복방안을 마련하였으며, Network Function Virtualization의 개념을 소프트웨어 정의 네트워킹 기술로 구현하여 네트워크 Topology와 상관없이 서비스 장비를 네트워크 어디에나 배치할 수 있도록 하였으며, 또한 기존 소프트웨어 정의 네트워킹 기술과는 다르게 터널을 이용하여 모든 네트워크 구성요소를 Controller에 의해 제어되도록 하지 않고 발명에 명시된 컴포넌트만 추가 혹은 교체해도 기존의 IP 네트워크에서 소프트웨어 정의 네트워킹에서 제공되는 기능을 사용 가능케 하였으며, 이와 같은 본 발명의 방식은 적은 네트워크 교체 비용으로 서비스의 신속하고 저렴한 창출 및 적용이 가능한 소프트웨어 정의 네트워크 솔루션을 구현하고 서비스 창출의 하드웨어적 한계를 극복하도록 하여 서비스를 다양화하는 것을 그 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been conceived to solve the problems described above, and it is an object of the present invention to quickly create and apply policies by using a centralized control method of software defined networking technology and to overcome limitations of policy creation through software renewal In addition, the concept of Network Function Virtualization is implemented by software defined networking technology, so that service equipment can be placed anywhere on the network irrespective of network topology. Also, unlike existing software defined networking technology, The present invention enables the functions provided in the software defined networking in the existing IP network even if the components specified in the invention are added or replaced without being controlled by the network switching function. The purpose of this paper is to implement a software defined network solution that can create and apply services quickly and cheaply, and to diversify services by overcoming hardware limitations of service creation.

본 발명은 기존 네트워크의 요소 중 엑세스 게이트웨이 제어시스템을 구성하는 3종류의 컴포넌트를 추가 혹은 교체하여 기존 IP 네트워크에 소프트웨어 정의 네트워크 환경을 구성하고, 각 서비스별로 터널을 설정되도록 하여 Controller에서의 서비스 정책 설정이 모든 네트워크 사용자를 대상으로 적용될 수 있도록 하며, 또한 엑세스 게이트웨이 제어시스템 구성요소에 대한 소프트웨어 갱신을 통하여, 하드웨어적인 한계로 종래 네트워크에선 구현하지 못하였던 서비스도 구현될 수 있도록 하는 것을 그 목적으로 한다.In the present invention, a software defined network environment is configured in an existing IP network by adding or replacing three kinds of components constituting an access gateway control system among elements of an existing network, a tunnel is set for each service, The present invention aims at providing a service that can not be implemented in the conventional network due to hardware limitation through software update to the access gateway control system components.

본 발명의 엑세스 게이트웨이 제어시스템은 기존 IP 네트워크의 일부만을 추가 또는 교체하면서도 다양한 서비스 창출 및 신속한 적용이 가능한 소프트웨어 정의 솔루션을 제공할 수 있는 것을 그 목적으로 한다.The access gateway control system of the present invention is intended to provide a software definition solution capable of creating various services and rapidly applying while adding or replacing only a part of an existing IP network.

그러나 본 발명의 목적은 상기에 언급된 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
However, the object of the present invention is not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.

본 발명의 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템은 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 복수의 액세스게이트웨이; 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 하나 이상의 플로우감시장치; 및 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 플로우제어장치;를 포함하는 것을 특징으로 한다.An access gateway control system using a software defined network technology according to an embodiment of the present invention determines a processing method in units of flow by inputting traffic in a manner defined by a flow control device, A plurality of access gateways transmitting all or part of the access gateway identifier (AG_ID) in a packet of a specified format to the flow monitoring apparatus; One or more flow monitoring devices for analyzing the flow traffic inputted from the access gateway according to a specified rule and delivering the analyzed result to the flow control device together with the access gateway identifier (AG_ID); And a flow control device for determining a flow processing policy based on the analyzed result information in the flow monitoring device and delivering the corresponding control policy to an access gateway designated by the access gateway identifier.

바람직하게는, 상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고, 상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달하는 것을 특징으로 한다.Advantageously, the flow monitoring device is capable of simultaneously analyzing one or more different flows, and can provide a plurality of analysis and processing schemes, wherein the flow control device is operable, on a flow-by-flow basis, for traffic passing through a plurality of access gateways A control policy for performing at least one of detection and blocking of an attack, QoS control by flow, and access control by a specific flow is determined and transmitted to the access gateway.

바람직하게는, 상기 엑세스 게이트웨이는 엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기는 패킷을 그 서비스 용으로 할당된 터널 인터페이스로 보내게 되며, 상기 터널 인터페이스는 데이터 패킷을 터널 헤더로 감싸서 네트워크에 유입시키게 되고, 터널 헤더 덕분에 상기 데이터 패킷은 부하가 큰 서비스를 처리할 수 있는 네트워크 상에 존재하는 플로우감시장치로 전달되며, 상기 패킷의 터널 헤더에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하는 것을 특징으로 한다.Preferably, when the access gateway provides a service that can not be accommodated by the access gateway, the data plane packet processor of the access gateway sends the packet to the tunnel interface allocated for the service, The data packet is transmitted to a flow monitoring device existing on a network capable of handling a heavy load due to the tunnel header. The tunnel header of the packet includes a packet An AG_ID for identifying a source access gateway, and a Service_ID for indicating an event processing engine for each service to which a packet should be delivered.

보다 더 바람직하게는, 상기 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 각 터널 인터페이스와 매핑된 서비스에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 캡슐화(Encapsulation) 과정을 거치면서 터널 헤더와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지 IP 주소와 목적지 L4 Port 번호를 이용해서 IP 네트워크에서도 지정된 플로우감시장치로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 되는 것을 특징으로 한다.More preferably, when a tunnel interface capable of transmitting the AG_ID and the Service_ID is set in the access gateway, a packet of a user subscribing to each tunnel interface and a service mapped to the tunneled interface is transmitted to the tunnel interface according to a flow rule, In the encapsulation process of the interface, the AG_ID and the Service_ID are inserted together with the tunnel header, and the packet is transmitted to the flow monitoring device designated in the IP network using the destination IP address and the destination L4 port number, And is processed.

바람직하게는, 상기 액세스게이트웨이는 초기 동작시 플로우제어장치에 MAC 주소 또는 장치의 고유번호를 등록하고, 등록된 값에 대응되는 고유의 액세스게이트웨이 구분자(AG_ID)를 할당받는 것을 특징으로 한다.Preferably, the access gateway registers a MAC address or a unique number of a device to the flow control device in an initial operation, and is assigned a unique access gateway identifier (AG_ID) corresponding to the registered value.

바람직하게는, 상기 액세스게이트웨이는 디바이스 측 또는 네트워크 측에서 입력된 트래픽에 대하여 플로우별 통과(forwarding), 제어(drop), 특정 IP 주소로 전달(redirect), 통과 및 복사 전달(mirroring), 지정된 포맷의 패킷에 실어 특정 IP주소로 전달(encapsulation 전달) 중 어느 하나 이상의 처리기능을 수행하며, 상기 처리기능의 처리 방식을 플로우제어장치의 제어명령으로 설정할 수 있는 것을 특징으로 한다.Advantageously, the access gateway is capable of forwarding, dropping, redirecting to a specific IP address, passing and mirroring, forwarding and mirroring to a specified format And transmits the packet to a specific IP address (encapsulation delivery), and the processing method of the processing function can be set as a control command of the flow control device.

바람직하게는, 상기 플로우제어장치는 플로우감시장치의 분석 내용에 따라 처리 방식을 미리 정의하는 정책 생성기; 플로우에 따라 처리방식을 미리 정의한 처리 정책을 저장하는 정책DB; 플로우 분석결과를 기반으로 정책DB에서 처리정책을 검색하는 정책검색기; 및 검색된 처리 정책에 따라 액세스게이트웨이 제어명령을 생성하는 SDN 제어기를 포함하도록 구성된 것을 특징으로 한다.
Preferably, the flow control device includes: a policy generator that predefines a processing method according to analysis contents of the flow monitoring device; A policy DB for storing a processing policy predefined in accordance with a flow; A policy searcher for searching a policy database based on a flow analysis result; And an SDN controller for generating an access gateway control command according to the retrieved processing policy.

본 발명의 다른 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법은 액세스게이트웨이가 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 단계; 플로우감시장치가 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 단계; 및 플로우제어장치가 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 단계;를 포함하는 것을 특징으로 한다.A control method of an access gateway control system using a software defined network technology according to another embodiment of the present invention determines a processing type of traffic input by a flow in a manner defined by a flow control apparatus by a flow gateway, Transferring all or a part of a specific traffic flow according to a specified policy in a packet having a format specified together with the access gateway identifier (AG_ID) and transmitting the packet to the flow monitoring device; Analyzing the flow traffic inputted from the access gateway by the flow monitoring device according to a specified rule and delivering the analyzed result to the flow control device together with the access gateway identifier (AG_ID); And the flow control apparatus determining the flow processing policy based on the analyzed result information in the flow monitoring apparatus and delivering the corresponding control policy to the access gateway specified by the access gateway identifier.

바람직하게는, 상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고, 상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달하는 것을 특징으로 한다.Advantageously, the flow monitoring device is capable of simultaneously analyzing one or more different flows, and can provide a plurality of analysis and processing schemes, wherein the flow control device is operable, on a flow-by-flow basis, for traffic passing through a plurality of access gateways A control policy for performing at least one of detection and blocking of an attack, QoS control by flow, and access control by a specific flow is determined and transmitted to the access gateway.

바람직하게는, 상기 플로우감시장치로 전달하는 단계는 엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기는 패킷을 그 서비스 용으로 할당된 터널 인터페이스로 보내는 과정; 및 상기 터널 인터페이스는 데이터 패킷을 터널 헤더로 감싸서 네트워크에 유입시키게 되고, 터널 헤더 덕분에 상기 데이터 패킷은 부하가 큰 서비스를 처리할 수 있는 네트워크 상에 존재하는 플로우감시장치로 전달되는 과정;을 포함하고, 상기 패킷의 터널 헤더에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하는 것을 특징으로 한다.Preferably, when the step of delivering to the flow monitoring apparatus provides a service that can not be accommodated by the access gateway, the data plane packet processor of the access gateway sends the packet to the tunnel interface allocated for the service; And transmitting the data packet to a flow monitoring apparatus existing on a network capable of processing a heavy load due to the tunnel header, the tunnel interface wrapping the data packet in a tunnel header and transmitting the data packet to the network The tunnel header of the packet includes an AG_ID for identifying a source access gateway of a packet and a Service_ID indicating an event processing engine for each service to which a packet should be transmitted.

보다 더 바람직하게는, 상기 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 각 터널 인터페이스와 매핑된 서비스에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 캡슐화(Encapsulation) 과정을 거치면서 터널 헤더와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지 IP 주소와 목적지 L4 Port 번호를 이용해서 IP 네트워크에서도 지정된 플로우감시장치로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 되는 것을 특징으로 한다.More preferably, when a tunnel interface capable of transmitting the AG_ID and the Service_ID is set in the access gateway, a packet of a user subscribing to each tunnel interface and a service mapped to the tunneled interface is transmitted to the tunnel interface according to a flow rule, In the encapsulation process of the interface, the AG_ID and the Service_ID are inserted together with the tunnel header, and the packet is transmitted to the flow monitoring device designated in the IP network using the destination IP address and the destination L4 port number, And is processed.

바람직하게는, 상기 액세스게이트웨이는 초기 동작시 플로우제어장치에 MAC 주소 또는 장치의 고유번호를 등록하고, 등록된 값에 대응되는 고유의 액세스게이트웨이 구분자(AG_ID)를 할당받는 것을 특징으로 한다.Preferably, the access gateway registers a MAC address or a unique number of a device to the flow control device in an initial operation, and is assigned a unique access gateway identifier (AG_ID) corresponding to the registered value.

바람직하게는, 상기 액세스게이트웨이는 디바이스 측 또는 네트워크 측에서 입력된 트래픽에 대하여 플로우별 통과(forwarding), 제어(drop), 특정 IP 주소로 전달(redirect), 통과 및 복사 전달(mirroring), 지정된 포맷의 패킷에 실어 특정 IP주소로 전달(encapsulation 전달) 중 어느 하나 이상의 처리기능을 수행하며, 상기 처리기능의 처리 방식을 플로우제어장치의 제어명령으로 설정할 수 있는 것을 특징으로 한다.Advantageously, the access gateway is capable of forwarding, dropping, redirecting to a specific IP address, passing and mirroring, forwarding and mirroring to a specified format And transmits the packet to a specific IP address (encapsulation delivery), and the processing method of the processing function can be set as a control command of the flow control device.

바람직하게는, 상기 플로우제어장치는 플로우감시장치의 분석 내용에 따라 처리 방식을 미리 정의하는 정책 생성기; 플로우에 따라 처리방식을 미리 정의한 처리 정책을 저장하는 정책DB; 플로우 분석결과를 기반으로 정책DB에서 처리정책을 검색하는 정책검색기; 및 검색된 처리 정책에 따라 액세스게이트웨이 제어명령을 생성하는 SDN 제어기를 포함하도록 구성된 것을 특징으로 한다.
Preferably, the flow control device includes: a policy generator that predefines a processing method according to analysis contents of the flow monitoring device; A policy DB for storing a processing policy predefined in accordance with a flow; A policy searcher for searching a policy database based on a flow analysis result; And an SDN controller for generating an access gateway control command according to the retrieved processing policy.

본 발명의 다른 일실시예에 따른 컴퓨터로 판독 가능한 기록매체는 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법을 실행하는 프로그램을 기록한 것을 특징으로 한다.
A computer-readable recording medium according to another embodiment of the present invention records a program for executing a control method of an access gateway control system using software defined network technology.

이상에서 설명한 바와 같이, 본 발명은 소프트웨어 정의 네트워킹 기법을 이용하여 엑세스 게이트웨이(100)를 통해 네트워크로 유입되는 모든 패킷에 대하여 실시간적인 정책설정과 그에 따른 차별화된 서비스를 제공할 수 있는 네트워크 솔루션의 구현을 상대적으로 저렴한 비용으로 가능케 하는 방법으로, 플로우제어장치(300)에 적용하는 네트워크 관리자의 정책이 플로우 규칙을 통해 엑세스 게이트웨이(100) 및 플로우감시장치(200)와 실시간적으로 연동되게 되어서 네트워크 장비들의 교체 없이 신속하게 새로운 정책의 적용 및 도입을 가능케 한다. 또한 본 발명은 기존 IP 네트워크에서도 터널을 통하여 소프트웨어 정의 네트워킹 서비스를 제공할 수 있도록 하여 기존 네트워크의 장비를 일부만 교체하거나 교체하지 않으면서도 서비스를 제공할 수 있도록 하였다. As described above, the present invention provides a network solution capable of real-time policy setting and differentiated services for all packets flowing into the network through the access gateway 100 using a software defined networking technique. The policy of the network manager applied to the flow control apparatus 300 is linked with the access gateway 100 and the flow monitoring apparatus 200 through the flow rules in a real-time manner, Enabling rapid adoption and introduction of new policies without the need to replace them. Also, according to the present invention, a software defined networking service can be provided through a tunnel even in an existing IP network, so that a service can be provided without replacing or replacing a part of existing network equipment.

또한 본 발명은 추가적 플로우감지장치를 이용하여 엑세스 게이트웨이에서 처리하지 못하는 DPI(Deep Packet Inspection) 기반의 다양한 서비스를 제공할 수 있는 기반을 마련하여, L4까지의 분석만을 제공하는 저비용의 엑세스 게이트웨이를 사용하면서도 L7까지 분석 및 처리를 요하는 공격감지, application 기반 서비스 등의 서비스를 제공할 수 있다.
Further, the present invention provides a base for providing various services based on DPI (Deep Packet Inspection) that can not be processed by the access gateway using the additional flow sensing device, and uses a low-cost access gateway that provides only analysis up to L4 While providing services such as attack detection and application-based services that require analysis and processing up to L7.

도 1은 본 발명에 따른 엑세스 게이트웨이 제어시스템을 도시한 것이다.
도 2는 본 발명에 따른 엑세스 게이트웨이의 구성을 나타낸 것이다.
도 3은 본 발명에 따른 플로우제어장치 구성을 나타낸 것이다.
도 4는 본 발명에 따른 엑세스 게이트웨이의 초기화 절차를 나타낸 것이다.
도 5는 본 발명에 따른 엑세스 게이트웨이의 데이터 패킷 처리 절차를 나타낸 것이다.
도 6은 본 발명에 따른 엑세스 게이트웨이의 제어명령 처리 절차를 나타낸 것이다.
도 7은 본 발명에 따른 GRE Header 예제를 나타낸 것이다.
도 8은 본 발명에 따른 VxLAN Header 예제를 나타낸 것이다.
도 9는 본 발명에 따른 IPSec Header 예제를 나타낸 것이다.
도 10은 본 발명에 따른 플로우감시장치의 패킷 처리 절차를 나타낸 것이다.
도 11은 본 발명에 따른 플로우제어장치의 이벤트 처리 절차를 나타낸 것이다.1 shows an access gateway control system according to the present invention.
2 shows a configuration of an access gateway according to the present invention.
3 shows a flow control device configuration according to the present invention.
4 shows an initialization procedure of an access gateway according to the present invention.
FIG. 5 shows a data packet processing procedure of an access gateway according to the present invention.
6 is a flowchart illustrating a control command processing procedure of an access gateway according to the present invention.
7 shows an example of a GRE header according to the present invention.
8 shows an example of a VxLAN Header according to the present invention.
9 shows an example of an IPSec header according to the present invention.
10 shows a packet processing procedure of the flow monitoring apparatus according to the present invention.
11 shows an event processing procedure of the flow control apparatus according to the present invention.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.BRIEF DESCRIPTION OF THE DRAWINGS The present invention is capable of various modifications and various embodiments, and specific embodiments are illustrated in the drawings and described in detail in the detailed description. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구성된다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the term "comprising" or "comprising" or the like is intended to specify the presence of stated features, integers, But do not preclude the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세하게 설명한다. 본 발명은 종래 네트워크 구성장비의 대부분을 그대로 사용하면서 창출 가능한 서비스를 다양화하고 서비스의 적용을 신속화 하기 위해 기존 네트워크에 상대적으로 저렴한 비용으로 소프트웨어 정의 네트워크(SDN; Software Defined Network)를 구현하는 발명이다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. The present invention is an invention in which a software defined network (SDN) is implemented at a relatively low cost in an existing network in order to diversify services that can be created while using most of the conventional network configuring equipments and speed up the application of the service .

본 발명의 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템은 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 복수의 액세스게이트웨이; 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 하나 이상의 플로우감시장치; 및 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 플로우제어장치;를 포함할 수 있다. 또한, 상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고, 상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달할 수 있다.An access gateway control system using a software defined network technology according to an embodiment of the present invention determines a processing method in units of flow by inputting traffic in a manner defined by a flow control device, A plurality of access gateways transmitting all or part of the access gateway identifier (AG_ID) in a packet of a specified format to the flow monitoring apparatus; One or more flow monitoring devices for analyzing the flow traffic inputted from the access gateway according to a specified rule and delivering the analyzed result to the flow control device together with the access gateway identifier (AG_ID); And a flow control device for determining a flow processing policy based on the analyzed result information in the flow monitoring device and transmitting the corresponding control policy to an access gateway designated by the access gateway identifier. In addition, the flow monitoring apparatus can simultaneously analyze one or more different flows, and can provide a plurality of analysis and processing methods, and the flow control apparatus is capable of performing a flow- A control policy for performing at least one of sensing and blocking, QoS for each flow, and access control for each flow may be determined and transmitted to the access gateway.

도 1은 본 발명에 따른 엑세스 게이트웨이 제어시스템을 나타낸 것이다. 본 발명의 엑세스 게이트웨이 제어시스템(1000)은 도 1에서 보듯이, 같이 엑세스 게이트웨이(100), 플로우감시장치(200), 그리고 플로우제어장치(300)의 3가지 컴포넌트(구성요소)로 구성되어 있으며, 도 1에서와 같이 통상적인 기존 IP 네트워크에서 붉은 점선으로 표시된 서비스제공 및 제어용 터널을 통해서 서비스를 제공하기에 기존 네트워크 장비의 교체를 거의 필요 하지 않으면서 서비스를 제공할 수 있다. 1 shows an access gateway control system according to the present invention. 1, the access gateway control system 1000 of the present invention is composed of three components (components), namely, the access gateway 100, the flow monitoring apparatus 200, and the flow control apparatus 300 , It is possible to provide the service without requiring the replacement of the existing network equipment to provide the service through the service provision and control tunnel indicated by the red dotted line in the conventional existing IP network as shown in FIG.

도 2는 엑세스 게이트웨이(100)의 구성을 나타낸 것이다. 엑세스 게이트웨이는 기존 네트워크에서 에지 노드(Edge Device)에 속하는 장치들로 인터넷 서비스 제공자 관리하의 장치 중 네트워크 사용자와 가장 가까이 위치하는 네트워크 장치이다. 엑세스 게이트웨이 제어시스템은 엑세스 게이트웨이들을 소프트웨어 정의 네트워킹 기술에 의해 제어되도록 하여 각 엑세스 게이트웨이를 통과하는 모든 패킷, 즉 사용자가 네트워크로 유입시키는 모든 패킷에 대하여 차별화된 서비스를 제공할 수 있도록 한다. 이러한 서비스를 제공하기 위해 엑세스 게이트웨이는 AG 제어 Agent(110)와 데이터 플레인 패킷 처리기(120)를 사용하고, AG 제어 Agent(110)가 수신한 플로우 규칙을 데이터 플레인 패킷 처리기(120)의 플로우 표 (flow table)(121)에 설정하는 것으로 서비스 각 사용자 별 차별화된 서비스를 제공한다.2 shows a configuration of the access gateway 100. As shown in FIG. An access gateway is a device belonging to an edge device in an existing network and is located nearest to a network user among devices under the control of an Internet service provider. The access gateway control system allows the access gateways to be controlled by a software defined networking technology so that all packets passing through each access gateway, that is, all the packets that the user enters into the network, can be provided differentiated services. In order to provide such a service, the access gateway uses the AG control agent 110 and the data plane packet processor 120 and transmits the flow rule received by the AG control agent 110 to the flow table of the data plane packet processor 120 flow table 121 to provide differentiated services for each service user.

도 3은 플로우제어장치(300)의 구성을 나타낸 것이다. 저렴한 소프트웨어 정의 네트워킹 구현을 위해 본 발명의 엑세스 게이트웨이 제어시스템은 부하가 큰 서비스들의 경우 엑세스 게이트웨이에서 처리하는 대신 네트워크 상의 플로우감시장치에 속한 다른 이벤트 처리엔진에서 대신 처리해 주는 방식을 사용하고 있다. 이 방식에서 플로우제어장치는 서비스 별로 서비스 제공 상태에 대한 로그를 기록하는 기능과 서비스가 서비스처리의 결과로 서비스 받는 패킷을 송신한 엑세스 게이트웨이에 대하여 설정을 내려주어야 하는 경우 이 설정 전달 절차를 대행 해주는 기능을 한다. 그렇기에 플로우제어장치는 설정과 플로우 규칙을 내려 줄 수 있는 SDN 제어기(Controller)를 기반으로 그 위에 정책 처리기(310)를 올려서 어플리케이션(Application)으로 사용한다. 이 정책 처리기(310)는 수신한 이벤트를 구분하고는 이벤트용으로 설정된 정책을 검색하는 정책검색기(311)와 이벤트별로 적용하여야 할 정책들을 기록해 놓은 정책DB(312)로 이루어져 있으며, 수신한 이벤트에 대한 정책이 검색되면 검색된 정책을 SDN제어기에 전달하여 정책에 명시된 플로우 규칙은 생성하고 송신할 수 있도록 한다. 더하여, 정책 처리기(310)는 네트워크 관리자가 이벤트별로 적용하고자 하는 정책을 정책DB(312)에 삽입할 수 있도록 해주는 정책생성기(313)를 제공한다. 3 shows the configuration of the flow control device 300. As shown in Fig. In order to implement an inexpensive software-defined networking, the access gateway control system of the present invention employs a method in which, in the case of heavy-load services, other event processing engines belonging to the flow monitoring device on the network process instead of processing in the access gateway. In this method, the flow control device records a log of the service provision status for each service, and when the service needs to be set for the access gateway that has transmitted the service packet as a result of the service process, Function. Therefore, the flow control device loads the policy processor 310 on the basis of the SDN controller capable of setting and setting the flow rules, and uses the policy processor 310 as an application. The policy processor 310 includes a policy detector 311 for classifying received events and searching for a policy set for an event, and a policy DB 312 for recording policies to be applied on an event-by-event basis. When the policy is detected, the retrieved policy is transmitted to the SDN controller so that the flow rules specified in the policy can be generated and transmitted. In addition, the policy processor 310 provides a policy generator 313 that allows a network administrator to insert policies to be applied on an event-by-event basis into the policy DB 312.

엑세스게이트웨이 제어시스템(1000)의 또 다른 컴포넌트는 도 1에서 보듯이, 플로우감시장치(200)이다. 플로우감시장치는 입력된 트래픽 헤더에 실려 있는 액세스게이트웨이 구분자 및 서비스 구분자를 인식하고, 이를 해당 서비스에 맞게 분석 및 처리하여 분석 및 처리 결과를 플로우제어장치로 전달하는 기능을 수행하는 컴포넌트이다. 상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 다양한 분석 및 처리 방식을 제공할 수 있다.
Another component of the access gateway control system 1000 is the flow monitoring device 200, as shown in FIG. The flow monitoring apparatus recognizes an access gateway identifier and a service identifier contained in an input traffic header, analyzes and processes the information according to the service, and transmits analysis and processing results to the flow control apparatus. The flow monitoring device can simultaneously analyze one or more different flows and can provide various analysis and processing methods.

본 발명의 다른 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법은 액세스게이트웨이가 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 단계; 플로우감시장치가 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 단계; 및 플로우제어장치가 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 단계;를 포함할 수 있다.A control method of an access gateway control system using a software defined network technology according to another embodiment of the present invention determines a processing type of traffic input by a flow in a manner defined by a flow control apparatus by a flow gateway, Transferring all or a part of a specific traffic flow according to a specified policy in a packet having a format specified together with the access gateway identifier (AG_ID) and transmitting the packet to the flow monitoring device; Analyzing the flow traffic inputted from the access gateway by the flow monitoring device according to a specified rule and delivering the analyzed result to the flow control device together with the access gateway identifier (AG_ID); And the flow control apparatus determining the flow processing policy based on the analyzed result information in the flow monitoring apparatus and delivering the corresponding control policy to the access gateway specified by the access gateway identifier.

이하, 첨부된 도면을 참조하여 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법에 대한 구체적인 절차를 설명한다. 도 4, 도 5 및 도 6은 엑세스 게이트웨이의 FlowChart로 각각 초기화 절차, 데이터 패킷 처리 절차, 제어명령 처리 절차를 설명하고 있다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a detailed procedure of a control method of an access gateway control system using software defined network technology will be described with reference to the accompanying drawings. FIGS. 4, 5, and 6 illustrate an initialization procedure, a data packet processing procedure, and a control command processing procedure with the FlowChart of the access gateway, respectively.

도 4는 엑세스 게이트웨이를 초기화 하는 절차를 나타낸 것이다. 도 4의 단계 S410에서 엑세스 게이트웨이 제어시스템의 플로우제어장치에 연결을 요청하면서 자신의 DataPathID (DPID)와 MAC (Media Access Control) 주소를 전달하여 자신의 인증과정을 거치고, 인증 완료 후 플로우제어장치로부터 AG_ID (Access Gateway ID), IP 주소, 그리고 서비스 별 인터페이스 정보와 터널 정보를 포함하는 설정정보를 할당 받는다. 이후 엑세스 게이트웨이의 AG 제어 Agent(110)는 단계 S410에서 수신한 설정정보를 이용하여 서비스 별로 가상 인터페이스(Virtual interface) 및 터널(Tunnel)을 설정하는 단계 S420을 완료하여 차별화된 서비스를 할 수 있는 기반을 만들고, 그 후 패킷별로 차별화된 처리가 되도록 단계 S430에서 패킷을 지정된 가상 인터페이스 혹은 터널로 보낼 수 있도록 하는 플로우 규칙을 플로우제어장치에 요청하고, 플로우제어장치로부터 상기 플로우 규칙을 수신한다. 이렇게 수신한 플로우 규칙은 단계 S440에서 AG 제어 Agent(110)에 의해 엑세스 게이트웨이에 설정되게 되고, 엑세스 게이트웨이는 초기화 절차를 완료하게 된다. 4 shows a procedure for initializing the access gateway. In step S410 of FIG. 4, a request for connection to the flow control apparatus of the access gateway control system is transmitted, and its own DataPathID (DPID) and MAC (Media Access Control) address are transmitted to the flow control apparatus of the access gateway control system. AG_ID (Access Gateway ID), IP address, and configuration information including interface information and tunnel information for each service. Thereafter, the AG control agent 110 of the access gateway 110 completes step S420 of setting a virtual interface and a tunnel for each service using the setting information received in step S410, And then sends a flow rule to the flow control device so that the packet can be sent to the designated virtual interface or tunnel in step S430 so that the process is differentiated for each packet, and receives the flow rule from the flow control device. The received flow rule is set in the access gateway by the AG control agent 110 in step S440, and the access gateway completes the initialization procedure.

이렇게 초기화 절차가 완료된 엑세스 게이트웨이는 데이터 플레인 패킷 처리기(120)를 이용하여 플로우 표에 설정된 플로우 규칙에 따라 패킷을 서로 다른 인터페이스로 전달(Forward)하게 된다. 이때 플로우 표에 설정된 플로우 규칙은 Mac 주소 Ether-Type Field 등의 L2 필드들, IP주소, ToS (Type of Service) 필드, 프로토콜(Protocol) 필드 등의 L3 필드들, 그리고 포트(Port) 번호 등의 L4 필드들부터 L7 응용(Application) 레이어의 필드까지의 사용할 수 있는 모든 헤더(Header) 필드 중 어떠한 필드든 플로우 규칙에 지정된 필드를 조건으로 사용하여 사용자 패킷을 식별하고, 각 플로우 규칙의 실행(Action)으로 패킷 자체를 버리는 드롭(Drop)이나, 패킷을 무시하는 블락(Block), 패킷을 특정 인터페이스로 전달하는 리다이렉션(Redirect)이나, 패킷을 특정 인터페이스로 복사하는 미러링(Mirror), 그리고 패킷을 통상적인 L2 Switch 혹은 L3 Routing으로 처리되도록 하는 등의 실행(Action)들을 설정할 수 있다. 엑세스 게이트웨이 제어시스템에서는 주로 Block, Redirect, Mirror Action들을 사용하며, 패킷을 막아야 해서 Block을 사용하는 경우가 아니라면 지정된 서비스별로 패킷 처리가 가능하도록 서비스별로 설정된 가상 인터페이스로 패킷을 Redirect하거나 Mirroring하는 과정을 수행한다. The access gateway that has completed the initialization procedure uses the data plane packet processor 120 to forward packets to different interfaces according to the flow rules set in the flow table. At this time, the flow rules set in the flow table include L3 fields such as L2 fields such as MAC address Ether-Type Field, IP address, Type of Service (ToS) field, Protocol field, Any of the available header fields from the L4 fields to the L7 application layer field is used as a condition for the field specified in the flow rule, and the execution of each flow rule (Action A drop that discards the packet itself, a block that ignores the packet, a redirect that transfers the packet to a specific interface, a mirror that copies the packet to a specific interface, (L2 Switch or L3 Routing). In the access gateway control system, block, redirect, and mirror actions are mainly used. Unless blocking is used, packets are redirected or mirrored to a virtual interface set for each service do.

상기 과정은 도 5의 데이터 패킷 처리 절차에 자세히 설명되어 있는데, 상기 데이터 패킷 처리 절차는 엑세스 게이트웨이가 단계 S510에서 데이터 패킷을 수신하는 것으로 시작된다. 엑세스 게이트웨이가 데이터 패킷을 수신하게 되면 엑세스 게이트웨이의 데이터 플레인 패킷 처리기(120)는 먼저 단계 S520에서 수신한 데이터 패킷을 식별할 수 있는 플로우 규칙이 있는지 플로우 표에서 확인한다. 이때 수신한 패킷을 식별할 수 있는 플로우 규칙이 있으면, 단계 S531로 바로 진행하게 되나, 패킷을 식별할 수 있는 플로우 규칙이 없는 경우에는 데이터 플레인 패킷 처리기(120)는 AG 제어 Agent(110)를 통하여 단계 S532를 실행하여, 수신한 데이터 패킷용으로 필요한 플로우 규칙을 플로우제어장치에 요청하게 된다. 플로우제어장치는 네트워크 관리자에 의해 설정된 정책을 기반으로 플로우 규칙을 내려 주고, 엑세스 게이트웨이의 AG 제어 Agent(110)는 플로우 규칙 수신 및 설정 한 후 데이터 플레인 패킷 처리기(120)가 단계 S520을 다시 수행 하도록 한다. 이렇게 데이터 플레인 패킷 처리기(120)가 단계 S531에 진입하게 되면 데이터 플레인 패킷 처리기(120)는 패킷에 대하여 식별된 플로우 규칙에 정해진 Action을 적용하게 되는데, Block의 경우, 패킷에 대한 더 이상에 처리가 없는 동작이기에 통상적으로 Redirecting이나 Mirroring을 하게 된다. 그렇기에 단계 S531에서 데이터 플레인 패킷 처리기(120)는 결과적으로 플로우 규칙의 Action에 명시된 인터페이스로 데이터 패킷을 전달 혹은 미러링 하게 된다. 이때 플로우 규칙의 Action에 명시된 인터페이스들은 서비스 별 패킷처리를 하기 위해 엑세스 게이트웨이의 초기화 절차에서 설정한 가상 인터페이스 및 터널 인터페이스를 포함하게 되며, 이렇게 패킷을 전달 받은 인터페이스가 설정된 서비스 별 차별화된 패킷 처리를 단계 S540에서 수행함으로써 엑세스 게이트웨이를 통한 서비스 차별화를 수행하게 된다. The above procedure is described in detail in the data packet processing procedure of FIG. 5, which starts with the access gateway receiving the data packet in step S510. When the access gateway receives the data packet, the data plane packet processor 120 of the access gateway first checks in the flow table whether there is a flow rule that can identify the data packet received in step S520. If there is no flow rule that can identify the packet, the data plane packet processor 120 transmits the flow rule to the AG control agent 110 via the AG control agent 110 Step S532 is executed to request the flow control device for the flow rule necessary for the received data packet. The flow control device downloads a flow rule based on the policy set by the network manager, and the AG control agent 110 of the access gateway receives and sets the flow rule, and then causes the data plane packet processor 120 to perform step S520 again do. When the data plane packet processor 120 enters the step S531, the data plane packet processor 120 applies the action defined in the flow rule identified for the packet. In the case of the block, Since it is a non-existent operation, it usually performs Redirecting or Mirroring. Therefore, in step S531, the data plane packet processor 120 transfers or mirrors the data packet to the interface specified in the action of the flow rule. At this time, the interfaces specified in the action of the flow rule include the virtual interface and the tunnel interface set in the initialization procedure of the access gateway in order to perform packet processing for each service, and the differentiated packet processing for each service, In S540, service differentiation through the access gateway is performed.

엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기(120)는 패킷을 그 서비스용으로 할당된 터널 인터페이스로 보내게 된다. 이 터널 인터페이스는 데이터 패킷을 터널 Header로 감싸서 네트워크에 유입시키게 되는데, 터널 Header 덕분에 이 데이터 패킷은 부하가 큰 서비스를 처리할 수 있는 네트워크 상에 존재하는 플로우감시장치(200)로 전달된다. 이 과정에서 패킷의 터널 Header에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하고 있어서, 플로우감시장치(200)에 패킷이 도달할 수 있도록 하고 플로우감시장치(200)가 패킷에 대한 정보를 충분히 가지고 특정 서비스를 제공 할 수 있도록 한다. When the access gateway provides a service that can not afford unacceptable load, the data plane packet processor 120 of the access gateway sends the packet to the tunnel interface allocated for the service. In this tunnel interface, a data packet is wrapped in a tunnel header and is introduced into a network. Due to the tunnel header, the data packet is transmitted to a flow monitor 200 existing on a network capable of handling a heavy-load service. In this process, the tunnel header of the packet includes an AG_ID that can identify the source access gateway of the packet and a Service_ID that indicates an event processing engine for each service to which the packet should be delivered, so that the packet reaches the flow monitoring apparatus 200 So that the flow monitoring apparatus 200 can sufficiently provide information on a packet to provide a specific service.

본 발명의 터널 인터페이스는 개념적으로 어떠한 터널 Header든 엑세스 게이트웨이 제어시스템의 소프트웨어 업그레이드로 지원할 수 있다. 엑세스 게이트웨이는 위와 같은 본 발명의 기능을 수행하도록 하기 위해서 플로우제어장치(300)와 연동될 수 있도록 설정 되어야 한다. 이를 위해 플로우제어장치(300)는 엑세스 게이트웨이를 향해서 제어명령을 송신하는데, 이 제어 명령을 수신한 엑세스 게이트웨이는 도 6과 같은 제어명령 처리 절차를 수행하여 제어 명령에 정의된 설정을 적용시킨다. The tunnel interface of the present invention can conceptually be supported by a software upgrade of the access gateway control system of any tunnel headers. The access gateway must be set to be able to operate with the flow control device 300 in order to perform the functions of the present invention as described above. To this end, the flow control device 300 transmits a control command to the access gateway. Upon receiving the control command, the access gateway performs a control command processing procedure as shown in FIG. 6 to apply the setting defined in the control command.

도 6의 단계 S610으로 제어명령어를 수신하면, 엑세스 게이트웨이의 AG 제어 Agent(110)는 단계 S620에서 수신한 제어명령이 인터페이스, 터널 등의 엑세스 게이트웨이를 설정하는 제어명령어인지 아니면 플로우 규칙을 설정하는 제어명령어 인지를 확인한다. 만약 수신한 제어명령어가 엑세스 게이트웨이를 설정하는 제어 명령어이면 단계 S631을 진행하여 설정 정보를 추출하고, 단계 S641로 설정 (configuration)을 엑세스 게이트웨이에 적용한다. 그러나 수신한 제어명령어가 플로우 규칙을 설정하는 제어명령어이면 단계 S632를 수행하여 플로우 규칙을 추출하고, 단계 S642를 통해서 플로우 표(121)에 해당 플로우 규칙을 추가, 삭제, 혹은 갱신한다. 엑세스 게이트웨이는 이렇게 데이터 플레인 패킷 처리기(120)의 데이터 패킷 처리 절차를 준비한다.Upon receipt of the control command in step S610 of FIG. 6, the AG control agent 110 of the access gateway determines whether the control command received in step S620 is a control command for setting an access gateway, such as an interface or a tunnel, Check if it is a command. If the received control command is a control command for setting an access gateway, the flow advances to step S631 to extract the setting information, and the configuration is applied to the access gateway in step S641. However, if the received control command is a control command for setting a flow rule, step S632 is performed to extract a flow rule, and the flow rule is added to, deleted from, or updated in the flow table 121 via step S642. The access gateway thus prepares a data packet processing procedure of the data plane packet processor 120.

도 7 및 도 8은 각각 많이 알려진 터널 Header인 GRE(Generic Routing Encapsulation)와, VxLAN(Virtual eXtensible LAN) header를 사용하여 본 발명의 터널 인터페이스 개념을 구현한 예제를 나타낸 것이다. 본 발명 터널 인터페이스 개념의 핵심은 터널 Header에 AG_ID와 Service_ID 정보를 삽입 하는 것으로, 각 터널 Header의 특정 필드를 이용하여 Service_ID와 AG_ID를 플로우감시장치(200)에 전달할 수만 있으면 된다. 그렇기에 도 7의 GRE Header에선 checksum flag를 1로 설정하였을 때 사용할 수 있는 Reserved1 필드를 사용하여 AG_ID와 Service_ID 전달하였고, 도 8의 VXLAN Header에선 VNID 필드를 사용하여 AG_ID와 Service_ID 전달한다. FIGS. 7 and 8 show an example of implementing the tunnel interface concept of the present invention using GRE (Generic Routing Encapsulation), which is a well known tunnel header, and VxLAN (Virtual Extensible LAN) header. The core of the tunnel interface concept of the present invention is that the AG_ID and the Service_ID information are inserted in the tunnel header, and only the Service_ID and AG_ID can be transmitted to the flow monitoring apparatus 200 by using specific fields of the respective tunnel headers. Therefore, in the GRE header of FIG. 7, AG_ID and Service_ID are transmitted using the Reserved 1 field which can be used when the checksum flag is set to 1, and AG_ID and Service_ID are transmitted using the VNID field in the VXLAN header of FIG.

AG_ID와 Service_ID를 전달 할 수 있는 필드만 확정할 수 있다면, 비단 GRE와 VxLAN 터널만이 아니라 Reserve 필드를 가지고 있는 도 9와 같은 IPSec Header등의 타 터널 헤더들도 본 발명용 터널 인터페이스로 사용될 수 있다. 이와 같은 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 이후 각 터널 인터페이스와 Mapping 된 Service에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 Encapsulation 과정을 거치면서 터널 Header와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지(Destination) IP 주소와 Destination L4 Port 번호를 이용해서 종래의 네트워크에서도 지정된 플로우감시장치(200)로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 된다. 엑세스 게이트웨이는 이와 같은 방법으로 기존 네트워크에서 저렴한 비용으로 차별화된 서비스를 쉽게 창출하고 빠르게 적용 시킬 수 있는 소프트웨어 정의 네트워킹 솔루션의 구현 기반을 마련한다.If only a field capable of transmitting an AG_ID and a Service_ID can be determined, other tunnel headers such as IPSec Header as shown in FIG. 9 having a Reserve field as well as GRE and VxLAN tunnels can also be used as a tunnel interface for the present invention . When the tunnel interface capable of transmitting the AG_ID and the Service_ID is set in the access gateway, the packet of the user joining each tunnel interface and the mapped service is transmitted to the tunnel interface according to the flow rule, The AG_ID and the Service_ID are inserted together with the tunnel header and are transmitted to the flow monitoring apparatus 200 designated in the conventional network using the destination IP address and the destination L4 port number, . In this way, the access gateway provides a foundation for implementing a software-defined networking solution that can easily create and quickly deploy differentiated services at low cost in existing networks.

도 10은 플로우감시장치의 패킷 처리 절차를 나타낸 것이다. 터널 Header의 Service_ID를 통해 사용자의 패킷이 플로우감시장치의 목표 서비스 용 이벤트 처리엔진에 도착하게 되면, 단계 S1010에서와 같이 이벤트 처리엔진은 먼저 패킷의 터널 Header를 Decapsulate (캡슐 해제)하여 기존의 사용자 패킷을 꺼낸다. 이 때 서비스 별로 원점 엑세스 게이트웨이에 대한 제어를 요하는 서비스의 경우 서비스 처리 후에 엑세스 게이트웨이 제어를 위해 원점 엑세스 게이트웨이를 식별할 수 있도록 터널 Header의 AG_ID를 추출한다. 이 캡슐해제(Decapsulation) 과정을 마치면, 사용자의 오리지널 패킷은 플로우감시장치의 목표 서비스의 이벤트 처리엔진으로 전달되어 단계 S1020의 서비스 처리단계를 거치게 된다. 이후 이벤트 처리엔진은 단계 S1030을 통하여 단계 S1020에서 수행한 서비스 처리 단계에 대한 이벤트를 플로우제어장치에 전달하여 서비스 처리에 대한 로그를 남기고, 패킷을 전달한 엑세스 게이트웨이에 대하여 제어를 해야 하는 경우 제어용 특정 이벤트를 AG_ID와 함께 플로우제어장치에 전달하여 플로우제어장치가 해당 엑세스 게이트웨이에 이벤트 처리엔진이 요청한 설정을 할 수 있도록 하고, 단계 S1040으로 서비스 처리가 완료된 패킷을 다시 네트워크로 방출하거나 드랍(drop)하여서 서비스 처리 기능을 완성한다. 이런 서비스 처리 단계는 각 서비스 별 이벤트 처리엔진마다 다를 수 있으며, 본 발명의 엑세스 게이트웨이 제어시스템은 서비스 별 이벤트 처리엔진의 추가 및 수정으로 다양한 서비스의 창출 및 적용을 신속하게 기존 네트워크에 적용할 수 있도록 한다. 더하여, 서비스 별 이벤트 처리엔진은 논리적으로 분할되어 있는 객체이기에 가상화되어 생성될 수 있으며, 서비스가 요하는 부하에 따라 동일한 서버에 여럿의 서비스용 이벤트 처리엔진이 다수 탑재되거나, 여럿의 서버에 부하가 큰 하나의 특정 서비스용 이벤트 처리엔진이 탑재될 수 있으며, 또한, 부하의 변화에 맞추어서, 사용되는 물리 서버의 수 또한 가변적으로 변경할 수 있기에 기존의 서비스 창출 기법에 비해 다양한 서비스를 저렴하게 기존 네트워크에 적용할 수 있다.10 shows a packet processing procedure of the flow monitoring apparatus. When the user's packet arrives at the target service event processing engine of the flow monitoring apparatus through the Service_ID of the tunnel header, the event processing engine first decapsulates (encapsulates) the tunnel header of the packet as in step S1010, . In this case, in case of a service requiring control of the origin access gateway for each service, the AG_ID of the tunnel header is extracted so as to identify the origin access gateway for access gateway control after service processing. Upon completion of the decapsulation process, the original packet of the user is transmitted to the event processing engine of the target service of the flow monitoring apparatus, and the service process of step S1020 is performed. Thereafter, in step S1030, the event processing engine transmits an event for the service processing step performed in step S1020 to the flow control device to leave a log of the service processing. If the control gateway needs to control the access gateway that forwarded the packet, Together with the AG_ID, to the flow control device so that the flow control device can make the setting requested by the event processing engine to the access gateway. In step S1040, the flow control device releases or drops the packet, And completes the processing function. Such service processing steps may be different for each service-specific event processing engine, and the access gateway control system of the present invention can be applied to an existing network quickly by creating and modifying various services by adding and modifying an event processing engine for each service do. In addition, the service-specific event processing engine can be created by virtualization because it is a logically divided object. Depending on the load required by the service, a plurality of event processing engines for a plurality of services may be mounted on the same server, A large single event service processing engine for specific services can be mounted and the number of physical servers to be used can be changed in accordance with the change in load so that various services can be provided inexpensively to existing networks Can be applied.

엑세스 게이트웨이 제어시스템의 마지막 컴포넌트인 플로우제어장치는 플로우감시장치로부터 입력된 플로우 분석 및 처리결과에 포함된 액세스게이트웨이 구분자 및 플로우 정보를 기반으로 제어해야 할 액세스게이트웨이에 대한 플로우규칙을 결정하고, 제어하는 기능을 수행한다. The flow control device, which is the last component of the access gateway control system, determines and controls a flow rule for an access gateway to be controlled based on the access gateway identifier and flow information included in the flow analysis and processing result input from the flow monitoring device Function.

도 11은 플로우제어장치의 이벤트 처리 절차를 나타낸 것이다. 플로우감시장치의 서비스용 이벤트 처리엔진이 전달하는 이벤트에 의해 촉발되는 정책검색 및 정책용 플로우 규칙 적용을 수행한다. 이벤트처리 절차에서 플로우제어장치는 단계 S1110에서 이벤트를 받게 되면, 단계 S1120을 수행하여 정책DB에서 이벤트에 대한 정책이 존재하는지 검색한다. 이 때 수신한 이벤트가 정책DB에 존재하지 않으면, 단계 S1132를 통하여 이벤트에 대하여 처리되지 않은 이벤트로 로그를 남기고, 이벤트를 무시한다. 그러나 수신한 이벤트에 대한 정책이 정책DB에 존재하면, 플로우제어장치는 단계 S1131을 수행하여 이벤트에 정의된 정책을 수행하게 되고, 필요 시 플로우 규칙 혹은 설정정보를 엑세스 게이트웨이에 전달하게 된다. 이벤트의 처리 후, 플로우제어장치는 단계 S1140에서 마지막으로 처리된 이벤트에 관한 로그를 남긴다.
11 shows an event processing procedure of the flow control device. And performs a policy search and a flow rule application for a policy triggered by an event delivered by a service event processing engine of the flow monitoring apparatus. In the event processing procedure, if the flow control apparatus receives an event in step S1110, the flow control apparatus performs step S1120 to search whether there is a policy for the event in the policy DB. If the received event does not exist in the policy DB, a log is left as an unprocessed event through the step S1132, and the event is ignored. However, if the policy for the received event exists in the policy DB, the flow control device performs step S1131 to execute the policy defined in the event, and transmits the flow rule or configuration information to the access gateway when necessary. After the processing of the event, the flow control device logs in regard to the last processed event in step S1140.

한편, 본 발명의 실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템의 제어방법은 다양한 전자적으로 정보를 처리하는 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 저장 매체에 기록될 수 있다. 저장 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. Meanwhile, the control method of the access gateway control system using the software defined network technology according to the embodiment of the present invention may be implemented in the form of a program command which can be executed through a variety of means for processing information electronically, have. The storage medium may include program instructions, data files, data structures, and the like, alone or in combination.

저장 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 상술한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. Program instructions to be recorded on the storage medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of software. Examples of storage media include magnetic media such as hard disks, floppy disks and magnetic tape, optical media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, magneto-optical media and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. The above-mentioned medium may also be a transmission medium such as a light or metal wire, wave guide, etc., including a carrier wave for transmitting a signal designating a program command, a data structure and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as devices for processing information electronically using an interpreter or the like, for example, a high-level language code that can be executed by a computer.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention as defined in the appended claims. It will be understood that the invention may be varied and varied without departing from the scope of the invention.

Claims (15)

소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템에 있어서,
플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 복수의 액세스게이트웨이;
액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 하나 이상의 플로우감시장치; 및
플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 플로우제어장치;를 포함하는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
1. An access gateway control system using software defined network technology,
The flow control unit determines a processing method in a flow unit in accordance with a flow defined in the flow control apparatus, and loads all or a part of a specific traffic flow in a packet of a specified format together with the corresponding access gateway identifier (AG_ID) A plurality of access gateways communicating to a flow monitoring device;
One or more flow monitoring devices for analyzing the flow traffic inputted from the access gateway according to a specified rule and delivering the analyzed result to the flow control device together with the access gateway identifier (AG_ID); And
And a flow control device for determining a flow processing policy based on the analyzed result information in the flow monitoring device and delivering the corresponding control policy to an access gateway designated by the access gateway identifier.
제1항에 있어서,
상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고,
상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달하는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
The method according to claim 1,
The flow monitoring device may simultaneously analyze one or more different flows and may provide a plurality of analysis and processing schemes,
The flow control device determines a control policy for performing at least one of detection and blocking of an attack, flow quality of service (QoS) control, and access control for each specific flow for traffic passing through a plurality of access gateways And transmits the access gateway control information to the access gateway.
제1항에 있어서,
상기 엑세스 게이트웨이는 엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기는 패킷을 그 서비스용으로 할당된 터널 인터페이스로 보내며,
상기 터널 인터페이스는 상기 패킷을 터널 헤더로 감싸서 상기 플로우감시장치로 전달되도록 하며,
상기 패킷의 터널 헤더에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
The method according to claim 1,
When the access gateway provides a service that can not be accommodated by the access gateway, the data plane packet processor of the access gateway sends the packet to the tunnel interface allocated for the service,
Wherein the tunnel interface encapsulates the packet in a tunnel header and is transmitted to the flow monitoring device,
Wherein the tunnel header of the packet includes an AG_ID for identifying a root access gateway of a packet and a Service_ID for indicating an event processing engine for each service to which a packet should be delivered.
제3항에 있어서,
상기 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 각 터널 인터페이스와 매핑된 서비스에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 캡슐화(Encapsulation) 과정을 거치면서 터널 헤더와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지 IP 주소와 목적지 L4 Port 번호를 이용해서 IP 네트워크에서도 지정된 플로우감시장치로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 되는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
The method of claim 3,
When a tunnel interface capable of transmitting the AG_ID and the Service_ID is set in the access gateway, a packet of a user subscribing to each tunnel interface and a service mapped to the tunnel interface is transmitted to the tunnel interface according to a flow rule, The AG_ID and the Service_ID are inserted together with the tunnel header and are transmitted to the flow monitoring apparatus designated in the IP network using the destination IP address and the destination L4 port number to be processed by the event processing engine of the target service Access gateway control system.
제1항에 있어서,
상기 액세스게이트웨이는 초기 동작시 플로우제어장치에 MAC 주소 또는 장치의 고유번호를 등록하고, 등록된 값에 대응되는 고유의 액세스게이트웨이 구분자(AG_ID)를 할당받는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
The method according to claim 1,
Wherein the access gateway registers a MAC address or a unique number of the device to the flow control device in an initial operation and receives a unique access gateway identifier (AG_ID) corresponding to the registered value.
제1항에 있어서,
상기 액세스게이트웨이는 디바이스 측 또는 네트워크 측에서 입력된 트래픽에 대하여 플로우별 통과(forwarding), 제어(drop), 특정 IP 주소로 전달(redirect), 통과 및 복사 전달(mirroring), 지정된 포맷의 패킷에 실어 특정 IP 주소로 전달(encapsulation 전달) 중 어느 하나 이상의 처리기능을 수행하며, 상기 처리기능의 처리 방식을 플로우제어장치의 제어명령으로 설정할 수 있는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
The method according to claim 1,
The access gateway can perform forwarding, dropping, redirecting to a specific IP address, passing and mirroring, and forwarding to a packet of a specified format for traffic input from the device side or the network side To a specific IP address (encapsulation delivery), and the processing method of the processing function can be set as a control command of the flow control device.
제1항에 있어서, 상기 플로우제어장치는
플로우감시장치의 분석 내용에 따라 처리 방식을 미리 정의하는 정책 생성기;
플로우에 따라 처리방식을 미리 정의한 처리 정책을 저장하는 정책DB;
플로우 분석결과를 기반으로 정책DB에서 처리정책을 검색하는 정책검색기; 및
검색된 처리 정책에 따라 액세스게이트웨이 제어명령을 생성하는 SDN 제어기를 포함하도록 구성된 것을 특징으로 하는 액세스게이트웨이 제어시스템.
The apparatus according to claim 1, wherein the flow control device
A policy generator for predefining a processing method according to analysis contents of the flow monitoring apparatus;
A policy DB for storing a processing policy predefined in accordance with a flow;
A policy searcher for searching a policy database based on a flow analysis result; And
And an SDN controller for generating an access gateway control command in accordance with the retrieved processing policy.
소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법에 있어서,
액세스게이트웨이가 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 단계;
플로우감시장치가 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 단계; 및
플로우제어장치가 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 단계;를 포함하는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
A control method of an access gateway control system using software defined network technology,
The access gateway determines the processing type of traffic input in a manner defined by the flow control apparatus in a flow unit and determines all or a part of the specific traffic flow according to the specified policy together with the corresponding access gateway identifier (AG_ID) Transferring the packet to the flow monitoring apparatus;
Analyzing the flow traffic inputted from the access gateway by the flow monitoring device according to a specified rule and delivering the analyzed result to the flow control device together with the access gateway identifier (AG_ID); And
And a step in which the flow control apparatus determines the flow processing policy based on the analyzed result information in the flow monitoring apparatus and transfers the corresponding control policy to the access gateway designated by the access gateway identifier, Method of controlling the system.
제8항에 있어서,
상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고,
상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달하는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
9. The method of claim 8,
The flow monitoring device may simultaneously analyze one or more different flows and may provide a plurality of analysis and processing schemes,
The flow control device determines a control policy for performing at least one of detection and blocking of an attack, flow quality of service (QoS) control, and access control for each specific flow for traffic passing through a plurality of access gateways To the access gateway.
제8항에 있어서, 상기 플로우감시장치로 전달하는 단계는
엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기는 패킷을 그 서비스용으로 할당된 터널 인터페이스로 보내는 과정; 및
상기 터널 인터페이스가 상기 패킷을 터널 헤더로 감싸서 상기 플로우감시장치로 전달되도록 하는 과정;을 포함하고,
상기 패킷의 터널 헤더에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
9. The method of claim 8, wherein the step of delivering to the flow monitoring device
When the access gateway provides a service that can not be accommodated by the access gateway, the data plane packet processor of the access gateway sends the packet to the tunnel interface allocated for the service; And
And causing the tunnel interface to wrap the packet in a tunnel header and to be transmitted to the flow monitoring apparatus,
Wherein the tunnel header of the packet includes an AG_ID for identifying a source access gateway of a packet and a Service_ID for indicating an event processing engine for each service to which a packet should be transmitted.
제10항에 있어서, 상기 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 각 터널 인터페이스와 매핑된 서비스에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 캡슐화(Encapsulation) 과정을 거치면서 터널 헤더와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지 IP 주소와 목적지 L4 Port 번호를 이용해서 IP 네트워크에서도 지정된 플로우감시장치로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 되는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
11. The method of claim 10, wherein when a tunnel interface capable of transmitting the AG_ID and the Service_ID is set in the access gateway, a packet of a user subscribing to each tunnel interface and a service mapped to the service is transmitted to the tunnel interface according to a flow rule, In the encapsulation process of the interface, the AG_ID and the Service_ID are inserted together with the tunnel header, and the packet is transmitted to the flow monitoring device designated in the IP network using the destination IP address and the destination L4 port number, The access gateway control system comprising:
제8항에 있어서,
상기 액세스게이트웨이는 초기 동작시 플로우제어장치에 MAC 주소 또는 장치의 고유번호를 등록하고, 등록된 값에 대응되는 고유의 액세스게이트웨이 구분자(AG_ID)를 할당받는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
9. The method of claim 8,
Wherein the access gateway registers a MAC address or a unique number of a device to the flow control device in an initial operation and is assigned a unique access gateway identifier (AG_ID) corresponding to the registered value. .
제8항에 있어서,
상기 액세스게이트웨이는 디바이스 측 또는 네트워크 측에서 입력된 트래픽에 대하여 플로우별 통과(forwarding), 제어(drop), 특정 IP 주소로 전달(redirect), 통과 및 복사 전달(mirroring), 지정된 포맷의 패킷에 실어 특정 IP주소로 전달(encapsulation 전달) 중 어느 하나 이상의 처리기능을 수행하며, 상기 처리기능의 처리 방식을 플로우제어장치의 제어명령으로 설정할 수 있는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
9. The method of claim 8,
The access gateway can perform forwarding, dropping, redirecting to a specific IP address, passing and mirroring, and forwarding to a packet of a specified format for traffic input from the device side or the network side Wherein the processing function of the processing function is set to a control command of the flow control device, and the processing function of the processing function is set to a control command of the flow control device.
제8항에 있어서, 상기 플로우제어장치는
플로우감시장치의 분석 내용에 따라 처리 방식을 미리 정의하는 정책 생성기;
플로우에 따라 처리방식을 미리 정의한 처리 정책을 저장하는 정책DB;
플로우 분석결과를 기반으로 정책DB에서 처리정책을 검색하는 정책검색기; 및
검색된 처리 정책에 따라 액세스게이트웨이 제어명령을 생성하는 SDN 제어기를 포함하도록 구성된 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
9. The apparatus according to claim 8, wherein the flow control device
A policy generator for predefining a processing method according to analysis contents of the flow monitoring apparatus;
A policy DB for storing a processing policy predefined in accordance with a flow;
A policy searcher for searching a policy database based on a flow analysis result; And
And an SDN controller for generating an access gateway control command in accordance with the retrieved processing policy.
제 8 항 내지 제 14 항 중 어느 한 항의 방법을 실행하는 프로그램을 기록한 것을 특징으로 하는 컴퓨터로 판독 가능한 기록매체.A computer-readable recording medium storing a program for executing the method of any one of claims 8 to 14.
KR1020140195005A 2014-12-31 2014-12-31 Method and System for controlling an access gateway using software defined network KR101578193B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140195005A KR101578193B1 (en) 2014-12-31 2014-12-31 Method and System for controlling an access gateway using software defined network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140195005A KR101578193B1 (en) 2014-12-31 2014-12-31 Method and System for controlling an access gateway using software defined network

Publications (1)

Publication Number Publication Date
KR101578193B1 true KR101578193B1 (en) 2015-12-16

Family

ID=55080812

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140195005A KR101578193B1 (en) 2014-12-31 2014-12-31 Method and System for controlling an access gateway using software defined network

Country Status (1)

Country Link
KR (1) KR101578193B1 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698730A (en) * 2019-03-15 2020-09-22 阿里巴巴集团控股有限公司 Flow control method, operating system, end equipment and distributed system
KR102181185B1 (en) * 2019-09-24 2020-11-20 프라이빗테크놀로지 주식회사 System and method for providing secure network connection to devices
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
CN113760308A (en) * 2021-02-05 2021-12-07 北京沃东天骏信息技术有限公司 DSP system construction method and device, electronic equipment and storage medium
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
US12166759B2 (en) 2019-09-24 2024-12-10 Pribit Technology, Inc. System for remote execution code-based node control flow management, and method therefor

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100949808B1 (en) 2007-12-07 2010-03-30 한국전자통신연구원 P2P traffic management device and method
KR20140052847A (en) 2012-10-22 2014-05-07 한국전자통신연구원 Method and apparatus for providing quality of service in software defiend neworking network
KR101438212B1 (en) 2014-02-25 2014-09-04 주식회사 나임네트웍스 Method for deep packet instection of software defined network and software defined networking system using the same

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100949808B1 (en) 2007-12-07 2010-03-30 한국전자통신연구원 P2P traffic management device and method
KR20140052847A (en) 2012-10-22 2014-05-07 한국전자통신연구원 Method and apparatus for providing quality of service in software defiend neworking network
KR101438212B1 (en) 2014-02-25 2014-09-04 주식회사 나임네트웍스 Method for deep packet instection of software defined network and software defined networking system using the same

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698730A (en) * 2019-03-15 2020-09-22 阿里巴巴集团控股有限公司 Flow control method, operating system, end equipment and distributed system
CN111698730B (en) * 2019-03-15 2023-11-21 斑马智行网络(香港)有限公司 Flow control methods, operating systems, terminal devices and distributed systems
KR102181185B1 (en) * 2019-09-24 2020-11-20 프라이빗테크놀로지 주식회사 System and method for providing secure network connection to devices
WO2021060856A1 (en) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 System and method for secure network access of terminal
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
US12166759B2 (en) 2019-09-24 2024-12-10 Pribit Technology, Inc. System for remote execution code-based node control flow management, and method therefor
CN113760308A (en) * 2021-02-05 2021-12-07 北京沃东天骏信息技术有限公司 DSP system construction method and device, electronic equipment and storage medium

Similar Documents

Publication Publication Date Title
KR101578193B1 (en) Method and System for controlling an access gateway using software defined network
US9800502B2 (en) Quantized congestion notification for computing environments
US9590907B2 (en) Service chaining in a cloud environment using software defined networking
CN106656801B (en) Redirection method and device of service flow forwarding path, and service flow forwarding system
CN105765921B (en) Method, system, and apparatus for DIAMETER routing utilizing software-defined networking capabilities
US9225635B2 (en) Switch routing table utilizing software defined network (SDN) controller programmed route segregation and prioritization
US9692696B2 (en) Managing data flows in overlay networks
US9787570B2 (en) Dynamic feature peer network for application flows
CN103917967B (en) For configuring the network control system of middleboxes
US7099912B2 (en) Integrated service management system
KR101473783B1 (en) Method and apparatus for control of dynamic service chaining by using tunneling
CN208656813U (en) A kind of enterprise branch office's access request processing system
CN103763121A (en) Method and device for quickly issuing network configuration information
US20200322181A1 (en) Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud
WO2023056722A1 (en) Distributed firewall definition method and system
CN108063761B (en) Network processing method, cloud platform and software defined network SDN controller
US20170288998A1 (en) Apparatus for processing network packet using service function chaining and method for controlling the same
WO2016115853A1 (en) User equipment (ue) processing method and apparatus
KR101746105B1 (en) Openflow switch capable of service chaining
CN102480403B (en) Method for providing virtual private network service, device and system
JP6149444B2 (en) Application start control method, system, apparatus and program
KR101739100B1 (en) Method of controlling openflow switch capable of service chaining and controller thereof
KR101739097B1 (en) Service chaining method in openflow switch
US12210861B2 (en) Decentralized software upgrade image distribution for network device upgrades
CN109417513A (en) The system and method for dynamic detection opposite end in software defined network

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20141231

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20151005

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20151124

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20151210

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20151211

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20181210

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20181210

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20191210

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20191210

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20201110

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20220531

Start annual number: 7

End annual number: 7