KR101680955B1 - 다중 터널 가상 사설 네트워크 - Google Patents
다중 터널 가상 사설 네트워크 Download PDFInfo
- Publication number
- KR101680955B1 KR101680955B1 KR1020147029155A KR20147029155A KR101680955B1 KR 101680955 B1 KR101680955 B1 KR 101680955B1 KR 1020147029155 A KR1020147029155 A KR 1020147029155A KR 20147029155 A KR20147029155 A KR 20147029155A KR 101680955 B1 KR101680955 B1 KR 101680955B1
- Authority
- KR
- South Korea
- Prior art keywords
- vpn
- tunnel
- qos
- application
- transport
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
복수의 QoS 베어러(3301-330n)를 제공하는 전송 네트워크(303)에서 가상 사설 네트워크("VPN")에서 서비스 품질("QoS")을 제어하기 위한 시스템 및 방법에 관한 것이다. 그 방법은 제 1 QoS 베어러(3301)와 연관된 적어도 디폴트 VPN 터널(3320) 및 제 2 QoS 베어러(3302)와 연관된 대체 VPN 터널(3321-332i)을 포함하는, 전송 네트워크를 통한 복수의 VPN 터널(3320-332i)을 두 개의 VPN 엔드포인트(319, 341) 사이에 확립하는 단계(601-615); 데이터 블록을 수신하고(701, 801) 분석하는 단계; 디폴트 VPN 터널 또는 대체 VPN 터널에 데이터 블록을 할당하도록 VPN 정책(327, 329)을 적용하는 단계; 및 적어도 하나의 인디케이터를 포함하는 전송 데이터 블록(200)에 데이터 블록을 캡슐화하는 단계를 포함한다. 그 인디케이터는 전송 데이터 블록이 제 1 QoS 베어러 또는 제 2 QoS 베어러를 사용하여 전송 네트워크에 의해 전달되어야만 하는지 여부를 규정한다.
Description
본 발명은 가상 사설 네트워크에 관한 것이다. 더 구체적으로, 본 발명은 가상 사설 네트워크에서 통신 서비스 품질 특징을 제공하는 것에 관한 것이다.
가상 사설 네트워크("VPN")는 인터넷과 같은 비신뢰(예, 공공) 전송 네트워크를 통해 사설 네트워크와 원격 사용자 장치 사이의 보안 통신을 제공하도록 사용될 수 있다. 보안 VPN은 일반적으로 비신뢰 네트워크를 통한 송신 전에 전송 패킷에서 응용 데이터를 암호화하고 결과적인 암호화된 VPN 페이로드를 캡슐화하는 것에 의해 VPN 엔드포인트들 사이의 데이터 트래픽을 안전하게 하는 암호 터널링 프로토콜을 사용한다.
네트워크 기반 어플리케이션은 서비스 품질에 관한 변화하는 요구를 가진다. 예를 들어, 영상 회의와 같은 실시간 양방향 통신 어플리케이션은 양호한 사용자 경험을 제공하도록 낮은 지연을 요구하는 반면에, 파일 공유와 같은 다른 어플리케이션 유형은 상대적으로 높은 수준의 지연에도 불구하고 일반적으로 양호한 사용자 경험을 제공할 수 있다. 3GPP LTE와 같은, 일부 전송 네트워크 기술은 전송 네트워크 제공자가 예를 들어, 수수료에 따라, 특정 클라이언트에게 더 높은 서비스 수준을 제공하게 한다.
용어 "품질 서비스"("QoS")는 비제한적인 실시예로서, 우선순위화, 및/또는 서비스 수준 보장과 같은 통신 시스템에서의 사용을 위한 다양한 관련된 특징을 말하는 것으로 여기에 사용된다. 전송 네트워크는 다중 QoS 베어러를 제공하는 것에 의해 다른 QoS 레벨을 일반적으로 제공한다. QoS 베어러는 해당 기술분야에 공지된 바와 같이, 특정된 QoS 레벨에서 데이터를 전송하기 위한 전송 네트워크에 의해 제공된 메커니즘이다. 데이터는 QoS 정책으로서 공지된 룰의 세트에 따라 QoS 베어러에 할당될 수 있다. QoS 정책은 어플리케이션 유형, 사용자, 및/또는 다른 데이터 특징을 포함하는 기준에 기반해서 서비스 레벨을 규정할 수 있다. QoS 특징은 지연, 대역폭, 드롭 패킷, 및/또는 다른 네트워크 품질에 대해서 다른 수준의 서비스를 제공하도록 사용될 수 있다.
패킷 검사는 어플리케이션 유형, 소스 어드레스, 소스 포트 수, 목적지 어드레스, 및/또는 목적지 포트 수와 같은 데이터 패킷의 특징을 결정하도록 패킷 기반 네트워크의 다양한 지점에서 사용될 수 있다. QoS 정책은 종종 패킷 검사에 의해 결정된 특징에 기반해서 적용될 수 있다.
본 발명의 목적은 가상 사설 네트워크에서 품질 서비스 특징을 제공하는 것이다.
본 발명의 실시예는 복수의 QoS 베어러를 제공하는 전송 네트워크에서 가상 사설 네트워크("VPN")의 품질 서비스("QoS")를 제어하기 위한 방법에 관한 것이다. 그 방법은 전송 네트워크를 통해 복수의 VPN 터널을 제 1 VPN 엔드포인트와 제 2 VPN 엔드포인트 사이에 확립하는 단계를 일반적으로 포함한다. 복수의 VPN 터널은 적어도 제 1 QoS 베어러와 연관된 디폴트 VPN 터널과 제 2 QoS 베어러와 연관된 대체 VPN 터널을 포함한다. 그 방법은 또한 제 1 VPN 엔드포인트에서 다음의 단계: 응용 데이터를 포함하는 제 1 데이터 블록을 수신하는 단계; 적어도 하나의 특징을 결정하도록 제 1 데이터 블록을 분석하는 단계; 분석에 기반해서 제 1 데이터 블록에 VPN 정책을 적용하는 단계; 적용하는 단계에 기반해서 디폴트 VPN 터널과 대체 VPN 터널 중 하나에 제 1 데이터 블록을 선택적으로 할당하는 단계; 및 전송 데이터 블록에서 제 1 데이터 블록을 캡슐화하는 단계;를 수행하는 것을 포함한다. 전송 데이터 블록은 제 1 QoS 베어러 또는 제 2 QoS 베어러를 사용하여 전송 네트워크에 의해 전달될지 여부를 특정하는 적어도 하나의 인디케이터를 포함한다. 인디케이터는 할당 단계에 따라 결정된다.
본 발명의 실시예는 또한 위에 설명된 방법 실시예를 실행하는 시스템에 관한 것이다. 시스템 실시예는 전송 네트워크를 통해 복수의 VPN 터널을 제 1 VPN 엔드포인트와 제 2 VPN 엔드포인트 사이에 확립하도록 구성된 적어도 하나의 전자 회로를 포함한다. 복수의 VPN 터널은 제 1 QoS 베리어와 연관된 적어도 디폴트 VPN 터널과 제 2 QoS 베어러와 연관된 대체 VPN 터널을 포함한다. 적어도 하나의 전자 회로는: 응용 데이터를 포함하는 제 1 데이터 블록을 수신하고; 적어도 하나의 특징을 결정하도록 제 1 데이터 블록을 분석하고; 분석에 기반해서 제 1 데이터 블록에 VPN 정책을 적용하며; VPN 정책의 적용에 기반해서 디폴트 VPN 터널과 대체 VPN 터널 중 하나에 제 1 데이터 블록을 선택적으로 할당하며; 그리고 전송 데이터 블록에서 제 1 데이터 블록을 캡슐화하도록 구성된다. 전송 데이터 블록은 전송 데이터 블록이 제 1 QoS 베어러 또는 제 2 QoS 베어러를 사용하여 전송 네트워크에 의해 전달될지 여부를 특정하는 적어도 하나의 인디케이터를 포함한다. 인디케이터는 할당에 따라 결정된다.
따라서, 본 발명은 VPN 내의 트래픽에 QoS 특징을 제공한다.
예시적인 실시예는 다음의 도면을 참조하여 설명될 것이고, 여기서 동일한 도면부호는 도면에 걸쳐 동일한 개체를 나타내며, 그리고 여기서:
도 1은 본 발명을 이해하기에 유용한 예시적인 종래 기술 시스템의 개략적인 도면이다.
도 2는 본 발명을 이해하기에 유용한 전송 데이터 블록의 개략적인 도면이다.
도 3은 본 발명을 이해하기에 유용한 예시적인 시스템의 개략적인 도면이다.
도 4는 본 발명을 이해하기에 유용한 예시적인 계산 장치의 블록도이다.
도 5는 본 발명을 이해하기에 유용한 네트워크층 도면이다.
도 6은 본 발명을 이해하기에 유용한 예시적인 방법에 따른 VPN 터널 확립 공정에 관한 공정 흐름도이다.
도 7은 본 발명을 이해하기에 유용한 예시적인 방법의 공정 흐름도이다.
도 8은 본 발명을 이해하기에 유용한 예시적인 방법의 공정 흐름도이다.
도 1은 본 발명을 이해하기에 유용한 예시적인 종래 기술 시스템의 개략적인 도면이다.
도 2는 본 발명을 이해하기에 유용한 전송 데이터 블록의 개략적인 도면이다.
도 3은 본 발명을 이해하기에 유용한 예시적인 시스템의 개략적인 도면이다.
도 4는 본 발명을 이해하기에 유용한 예시적인 계산 장치의 블록도이다.
도 5는 본 발명을 이해하기에 유용한 네트워크층 도면이다.
도 6은 본 발명을 이해하기에 유용한 예시적인 방법에 따른 VPN 터널 확립 공정에 관한 공정 흐름도이다.
도 7은 본 발명을 이해하기에 유용한 예시적인 방법의 공정 흐름도이다.
도 8은 본 발명을 이해하기에 유용한 예시적인 방법의 공정 흐름도이다.
본 발명은 첨부된 도면을 참조하여 설명된다. 도면은 축척에 따라 그려지지 않고 그들은 단지 본 발명의 예시적인 실시예를 도시하도록 제공된다. 본 발명의 여러 측면은 도시를 위해 예시적인 어플리케이션을 참조하여 아래에 설명된다. 다양한 특정 세부사항, 관계, 및 방법은 본 발명의 완전한 이해를 제공하도록 제시된다는 것이 이해되어야만 한다. 그러나, 해당 기술분야의 당업자는 본 발명이 특정 세부사항 중 하나 이상 없이 또는 다른 방법으로 실시될 수 있다는 것을 용이하게 인지할 것이다. 다른 실시예에서, 공지된 구조 또는 작동은 본 발명을 모호하게 하는 것을 피하도록 구체적으로 도시되지 않는다. 본 발명은 일부 작동이 다른 순서로 그리고/또는 다른 작업 또는 이벤트와 동시에 발생할 수 있기 때문에, 작업 또는 이벤트의 도시된 순서에 의해 한정되지 않는다. 또한, 모든 도시된 작업 또는 이벤트가 본 발명에 따른 방법론을 실행하도록 요구되는 것은 아니다.
본 발명은 다중 QoS 레벨을 제공하는 전송 네트워크 상에 작동하는 가상 사설 네트워크("VPN") 내의 다른 서비스 품질("QoS") 레벨을 제공하는 것에 관한 것이다. VPN 클라이언트와 VPN 서버와 같은 VPN 엔드포인트들에 의해 종래방식으로 수행된 암호화는 전송 네트워크에 의한 응용 메시지의 중요한 검사를 방지한다. 응용 메시지를 검사하지 못하는 것은 메시지의 특징에 기반해서 다른 수준의 서비스를 제공하려는 전송 네트워크에 의한 종래의 시도를 좌절시킨다. 본 발명의 예시적인 실시예는 두 개의 VPN 엔드포인트 사이의 전송 네트워크를 통해 복수의 VPN 터널을 확립하는 것에 의해 그러한 한계를 극복한다. 전송 네트워크는 복수의 QoS 베어러를 제공하고, 복수의 VPN 터널의 각각은 QoS 베어러와 연관된다. VPN 정책은 전송 네트워크와 연관된 게이트웨이에서 라기보다는 VPN 엔드포인트에 적용된다. VPN 엔드포인트에서 VPN 정책의 응용은 VPN 정책이 데이터가 암호화되기 전에 적용되는 것을 허용한다. VPN 정책은 VPN 터널 및 연관된 QoS 베어러에 응용 메시지의 할당을 지시한다. 인디케이터는 데이터가 할당되는 VPN 터널 QoS 베어러를 식별하도록 VPN 캡슐화 공정의 일부분으로서 데이터에 부가된다. 예를 들어, 원격 네트워크 호스트에서 작동하는 복수의 소프트웨어 응용의 각각으로부터의 트래픽은 전송 네트워크를 통한 VPN 서버로의 송신을 위해 다른 VPN 터널 및 연관된 QoS 베어러에 할당될 수 있다. 유사하게, 사설 네트워크에서 복수의 응용 서버의 각각으로부터의 트래픽은 전송 네트워크를 통한 VPN 클라이언트로의 송신을 위한 다른 VPN 터널 및 연관된 QoS 베어러에 할당될 수 있다. 따라서, 본 발명의 예시적인 실시예는 VPN 내의 트래픽에 QoS 특징을 제공한다.
단어 "예시적인"은 예시, 사례, 또는 도시로서 역할하는 것을 의미하도록 여기에 사용된다. "예시적인"으로서 여기에 설명된 임의의 측면 또는 설계는 다른 측면 또는 설계에 비해 바람직하거나 유리한 것으로서 해석될 필요가 없다. 그보다는, 단어 예시적인의 사용은 구체적인 방식으로 개념을 나타내도록 의도된다. 본 응용에서 사용된 바와 같이, 용어 "또는"은 배타적인 "또는"보다는 포함하는 "또는"을 의미하도록 의도된다. 즉, 달리 특정되지 않거나 문맥으로부터 명백하지 않으면, "X는 A 또는 B를 사용한다"는 자연적인 포함하는 순열 중 어느 하나를 의미하도록 의도된다. 즉 X는 A를 사용하고; X는 B를 사용하며; 또는 X는 A와 B 모두를 사용한다면 그때, "X는 A 또는 B를 사용한다"가 앞서 언급한 사례 중 어느 하나 하에서 충족된다.
이제 도 1에 대해 언급하면서, 원격 네트워크 호스트(101), 전송 네트워크(103), 및 사설 네트워크(105)를 포함하는 예시적인 종래 기술 시스템(100)의 개략적인 도면이 제공되어 있다. 원격 네트워크 호스트(101)는 응용 메시지를 암호화하고 캡슐화하도록 종래의 VPN 기술을 사용하여 전송 네트워크(103)를 통해 사설 네트워크(105)와 안전하게 통신한다. VPN 암호화는 전송 네트워크(103)가 응용 메시지의 중요한 검사를 수행하는 것을 방지한다. 따라서, 전송 네트워크(103)는 아래에 구체적으로 설명된 바와 같이 단일, 디폴트 QoS 레벨에 모든 VPN 트래픽을 할당한다.
원격 네트워크 호스트(101)는 복수의 소프트웨어 응용 프로그램(1101, 1102,...110m) 및 VPN 클라이언트(119)를 실행하는 프로세서(미도시)를 포함한다. 원격 네트워크 호스트(101)는 전송 네트워크(103)를 통해 VPN 클라이언트(119)와 VPN 서버(141) 사이에 보안 통신을 제공하는 VPN 터널(132)을 통해 사설 네트워크(105)와 통신한다. 응용 데이터는 VPN 터널(132)을 통해 어느 한 방향으로 송신 전에 전송 데이터 블록에서 VPN 클라이언트(119) 및/또는 VPN 서버(141)에 의해 암호화되고 캡슐화된다. VPN은 소프트웨어 응용(1101, 1102,...110m) 및 응용 서버(1501, 1502,...1500)에 대해 일반적으로 명백하다. VPN 터널(132)은 비제한적인 실시예로서, 전송층 보안("TLS") 및/또는 보안 소켓층("SSL")과 같은 공지된 암호화 프로토콜을 사용하여 실행될 수 있다.
VPN 클라이언트(119)는 소프트웨어 응용(1101, 1102,...110m)으로부터 VPN 서버(141)에 대해 바인드되는 아웃-바운드 응용 데이터를 수신할 수 있다. 아웃-바운드 응용 데이터의 수신 시에, VPN 클라이언트(119)는 VPN 페이로드를 형성하도록 응용 데이터를 암호화하고, 전송 데이터 블록에서 VPN 페이로드 또는 "전송 패킷"을 암호화하며, 그리고 전송 패킷을 전송 네트워크(103)에 제공한다. VPN 클라이언트(119)는 또한 전송 네트워크(103)로부터 인-바운드 전송 데이터 블록을 수신하고, 그 안에 포함된 VPN 페이로드를 복호화하고, 그리고 적합한 소프트웨어 응용(1101, 1102,...110m)에 복호화된 응용 데이터를 제공한다.
VPN 서버(141)는 VPN 터널(132)을 통해 VPN 클라이언트(119)에 데이터를 보낼 때 유사한 작동을 수행한다. VPN 서버(141)는 사설 네트워크(105)를 통해 복수의 응용 서버(1501, 1502.. 1500)와 통신한다. VPN 서버(141)는 VPN 클라이언트(119)에 대해 바인드된 응용 서버(1501, 1502,...1500)로부터 아웃-바운드 응용 데이터를 수신하고, VPN 페이로드를 형성하도록 응용을 암호화하고, 전송 패킷에서 VPN 페이로드를 캡슐화하고, 그리고 VPN 클라이언트(119)로의 송신을 위해 전송 네트워크(103)에 전송 패킷을 제공한다.
전송 네트워크(103)는 각각이 다른 QoS 레벨을 제공하는, 복수의 QoS 베리어(1301, 1302,...130n)를 제공할 수 있다. 전송 네트워크(103)는 3GPP 롱 텀 에볼루션(LTE) 네트워크를 포함할 수 있지만, 그들로 한정되지 않는다. 전송 네트워크(103)는 비제한적인 실시예로서, 공지된 인터넷 프로토콜("IP"), 사용자 데이터그램 프로토콜("UDP") 및/또는 전송 제어 프로토콜("TCP")을 사용하는 통신을 가능하게 할 수 있다. 전송 네트워크(103)는 또한 클라이언트측 게이트웨이(121) 및 서버측 게이트웨이(123)를 포함한다. 게이트웨이(121, 123)의 각각은 QoS 베어러(1301, 1302,...130n)에 데이터 트래픽을 할당하도록 QoS 정책(125)을 적용한다. 전송 패킷을 수신할 시에, 전송 네트워크(103)는 비제한적인 실시예로서, 전송 프로토콜, 소스 어드레스, 소스 포트, 목적지 어드레스, 및/또는 목적지 포트와 같은 전송 패킷의 특징을 결정하도록 패킷 검사 및/또는 분석을 수행한다. 그런 후에 전송 네트워크(103)는 특정 QoS 베어러(1301, 1302,...130n)에 전송 패킷을 할당하도록 결정된 특징에 기반해서 QoS 정책(125)을 적용하고, 그리고 할당된 QoS 베어러에 의해 규정된 서비스 레벨에 따라 전송 패킷을 송신한다. 이들 공정은 예를 들어, 게이트웨이(121) 및/또는 게이트웨이(123)에서 수행될 수 있다. 게이트웨이(121) 및 게이트웨이(123)는 해당 기술분야에 공지된 바와 같이, 모뎀, 라우터, 스위치, 서버, 또는 임의의 다른 적합한 네트워크 장비로서 실행될 수 있다. 예를 들어, 클라이언트측 게이트웨이(121)는 원격 네트워크 호스트(101)와 연관된 모뎀으로서 실행될 수 있고, 서버측 게이트웨이(123)는 VPN 서버(141)와 연관된 라우터로서 실행될 수 있다.
전송 네트워크(103)의 앞서 언급한 QoS 작동은 비-VPN 데이터 트래픽에 대해 잘 작동한다. 그러나, 전송 네트워크(103)는 일반적으로 VPN 페이로드를 해독할 수 없고, 그러므로 (VPN 페이로드에서) 응용 데이터의 특징을 결정할 수 없다. 따라서, 전송 패킷 상에 수행된 패킷 검사 및/또는 분석은 일반적으로 전송 패킷 헤더의 분석으로 한정될 것이다. VPN 터널(132)에서 전송 패킷은 통신에 포함된 소프트웨어 응용(1101, 1102,...110m) 또는 응용 서버(1501, 1502,...1500)에 상관없이 전송 패킷 헤더(예, 소스 어드레스, 소스 포트, 목적지 어드레스, 및/또는 목적지 포트)에서 일반적으로 모두 동일한 데이터를 가질 것이다. 예를 들어, 소프트웨어 응용(1101, 1102,...110m)으로부터 발생하는 모든 응용 트래픽은 VPN 서버(141)에 예정된 단일 VPN 패킷 스트림에 합병되고, 그러므로 모든 그러한 트래픽은 동일한 전송 패킷 헤더를 가진다. 그러므로, 전송 네트워크(103)는 VPN 터널(132) 내의 트래픽의 다른 유형 사이에 식별할 수 없고, 모든 VPN 트래픽은 디폴트 QoS 베어러(1031)와 같은 단일 QoS 베어러에 할당된다. 결과적으로, 전송 네트워크(103)는 VPN 데이터 트래픽에 대해서 중요한 QoS 특징을 효과적으로 실행할 수 없다.
이제 도 2에 대해 언급하면서, 예시적인 전송 데이터 블록(200)의 개략적인 도시가 제공되어 있다. 전송 데이터 블록(200)은 TCP/IP 패킷 및/또는 UDP/IP 패킷을 포함할 수 있지만, 그것으로 한정되지 않는다. 예시적인 전송 데이터 블록(200)은 VPN 페이로드(211)를 캡슐화하는 IP 데이터그램 또는 패킷을 포함한다. VPN 페이로드(211)는 응용 데이터(201), UDP/TCP 헤더(203), IP 헤더(205), 및 VPN 헤더(207)를 포함하는 응용 패킷의 암호화에 의해 형성된다. VPN 헤더(207)는 선택적이고, VPN 클라이언트(119)와 VPN 서버(141) 사이의 관계에 대한 관련성의 또 다른 정보를 포함할 수 있다. 그러한 정보는 예를 들어, 암호 인증 정보, 암호 키 식별, 및/또는 VPN의 특정 실행과 연관된 다른 정보를 포함할 수 있다. 전송 데이터 블록(200)은 TLS 헤더(213), UDP/TCP 헤더(215), 및 IP 헤더(217)를 더 포함한다. IP 헤더(205)는 원격 네트워크 호스트(101,301) 및 응용 서버(1501, 1502,...1500)에 대한 사설 네트워크 어드레스와 같은 사설 네트워크(105, 305)에서 네트워크 노드를 식별하는 소스 및 목적지 어드레스를 포함한다. UDP/TCP 헤더(203)는 소스와 목적지 노드 각각 내에 응용을 식별하는 소스 및 목적지 포트를 포함한다. IP 헤더(217)는 원격 네트워크 호스트(101, 301)와 VPN 서버(141, 341)에 관한 전송 네트워크 어드레스와 같은, 전송 네트워크(103, 303)에서 네트워크 노드를 식별하는 소스 및 목적지 어드레스를 포함한다. UDP/TCP 헤더(215)는 소스와 목적지 노드 각각 내에 응용을 식별하는 전송 네트워크 포트를 포함한다.
이제 도 3에 대해 언급하면서, 본 발명의 예시적인 실시예에 따라 다중 터널 VPN을 제공하는 시스템(300)의 개략적인 도면이 제공되어 있다. 예시적인 시스템(300)은 원격 네트워크 호스트(301), 전송 네트워크(303), 및 사설 네트워크(305)를 포함한다. 시스템(300)은 아래에 구체적으로 설명된 바와 같이 시스템(300)이 VPN 트래픽에 다른 QoS 레벨을 제공하는 것을 허용하는 다중 터널 VPN을 제공한다.
원격 네트워크 호스트("RNH")(301)는 복수의 소프트웨어 응용 프로그램(1101, 1102,...110m), 및 VPN 클라이언트(319)를 실행하는 프로세서(미도시)를 포함한다. 일 실시예에서, 다중 터널 VPN은 시스템(300)으로 사용을 위해 소프트웨어 응용 프로그램을 수정할 필요가 없도록 소프트웨어 응용 프로그램(1101, 1102,...110m)에 대해 명백하다. VPN 클라이언트(319)와 VPN 서버(341)는 각각이 특정 QoS 베어러(3301, 3302,...330n)와 연관된 복수의 VPN 터널(3320, 3321,...332i)을 확립하도록 구성된다. VPN 터널(3320, 3321,...332i)의 각각은 동일한 VPN 엔드포인트를 공유한다. VPN 엔드포인트는 RNH에 의해 실행된 VPN 클라이언트 소프트웨어 응용 및 VPN 서버(341)에 의해 실행된 VPN 서버 소프트웨어(미도시)일 수 있는 VPN 클라이언트(319)를 포함할 수 있다. 각각의 대체 VPN 터널(3321,...332i)은 디폴트 VPN 터널(3320)과 연관된다. VPN 터널(3320, 3321,...332i)을 확립하는 공정은 비제한적인 예시로서, VPN 클라이언트(319) 및/또는 VPN 서버(341)에 의해 시작될 수 있다.
VPN 터널과 QoS 베어러 사이의 연관성은 VPN 터널을 VPN 엔드포인트로서 식별하도록, 그리고 전송 네트워크(303)에서 QoS 베어러를 지시하도록 플래그로서 역할하는 터널 인디케이터를 사용하여 달성될 수 있다. 터널 인디케이터는 전송 패킷 헤더(예, TLS 헤더(213), UDP/TCP 헤더(215), 및/또는 IP 헤더(217))에 위치될 수 있다. 도 3의 실시예에서, 터널 인디케이터는 포트 넘버이다. 각각의 VPN 터널(3320, 3321,...332i)은 단일 QoS 베어러(3301, 3302,...330n) 및 터널 인디케이터(k0, k1,...ki)와 연관된다. 터널 인디케이터(k0, k1,...ki)는 소스 또는 목적지 포트로서 실행될 수 있고, 전송 패킷 헤더(예, UDP/TCP 헤더(215)) 내에 특정될 수 있다. 예를 들어, 특정 VPN 터널에 관한 QoS 베어러는 UDP/TCP 헤더(215)에서 클라이언트 포트(소스 또는 목적지)에 의해 특정될 수 있다.
VPN 클라이언트(319)는 클라이언트 VPN 정책(327)을 인-바운드 및/또는 아웃-바운드 VPN 트래픽에 적용한다. 아웃-바운드 방향으로, VPN 클라이언트(319)는 VPN 터널(3320, 3321,...332i)에 각각의 응용 패킷을 할당하도록 소프트웨어 응용 프로그램(1101, 1102,...110m)으로부터 수신된 응용 패킷에 클라이언트 VPN 정책(327)을 적용한다. 클라이언트 VPN 정책(327)은 비제한적인 예시로서, 응용 프로토콜, 소스 포트(예, RNH 포트), 목적지 어드레스(예, 응용 서버 사설 네트워크 어드레스), 및/또는 목적지 포트(예, 응용 서버 포트)와 같은 기준을 포함할 수 있다. 예시적인 실시예에서, 클라이언트 VPN 정책(327)은 터널 인디케이터(k0, k1,...ki)와 같은 터널 인디케이터에 인커밍 응용을 할당하기에 효과적이다. 인바운드 방향으로, VPN 클라이언트(319)는 아래에 구체적으로 설명된 바와 같이, 대응하는 VPN 터널(3320, 3321,...332i)과 연관된 암호키 및/또는 프로토콜을 사용하여 전송 네트워크(303)로부터 수신된 전송 패킷을 해독한다. 그런 후에 VPN 클라이언트(319)는 예를 들어, (해독된) 헤더(203, 205)에 기반해서 결정될 수 있는 적합한 응용에 수신된 패킷을 라우팅한다.
전송 네트워크(303)는 그 안에 터널 인디케이터를 결정하도록 전송 패킷을 검사하도록 구성된다. 예를 들어, 전송 네트워크(303)는 각각의 전송 패킷에 특정된 터널 인디케이터(k0, k1,...ki)를 결정하도록 구성될 수 있다. 그런 후에 전송 네트워크(303)는 QoS 베어러(3301, 3302,...330n)에 각각의 전송 패킷을 할당하도록 QoS 정책(325)을 적용한다. 이들 기능은 비제한적인 실시예로서, 예를 들어, 게이트웨이(321) 및/또는 게이트웨이(323)에서 수행될 수 있다. 예를 들어, QoS 정책(325)은 대응하는 터널 인디케이터(k0, k1,...ki)에 기반해서 QoS 베어러(3301, 3302,...330n)에 전송 패킷을 할당하도록 작동할 수 있다. 다중 터널 VPN은 전송 네트워크(303)에 대해 명백할 수 있다. 예시적인 실시예에서, 전송 네트워크(303)는 시스템(300)의 다중 터널 VPN을 수용하기 위해 수정에 대한 필요 없이, 전송 네트워크(103)와 같은, 종래의 전송 네트워크일 수 있다. 호환성이 예를 들어, 종래의 전송 네트워크에서 기존 QoS 정책(예, QoS 정책(125))에 기반해서 터널 인디케이터를 선택하는 것에 의해 달성될 수 있다.
사설 네트워크(305)는 응용 서버(1501, 1502,...1500) 및 VPN 서버(341)를 포함한다. VPN 서버(341)는 도 6을 참조하여 아래에 구체적으로 설명된 바와 같이 VPN 확립 동안 RNH(301)로 사설 네트워크(305) 상의 사설 네트워크 어드레스를 할당할 수 있다. 바람직한 실시예에서, 그들이 시스템(300) 및 VPN 서버(341)와 작동하는 것을 허용하기 위해 기존 응용 서버(1501, 1502,...1500)에 어떠한 변경도 할 필요가 없다. VPN 서버(341)는 인-바운드 및 아웃-바운드 VPN 트래픽에 서버 VPN 정책(329)을 적용한다. 아웃-바운드 방향으로, VPN 서버(341)는 VPN 터널(3320, 3321,...332i)에 각각의 응용 패킷을 할당하도록 응용 서버(1501, 1502,...1500)로부터 수신된 응용 패킷에 서버 VPN 정책(329)을 적용한다. 서버 VPN 정책(329)은 비제한적인 실시예로서, 응용 프로토콜, 목적지 어드레스(예, RNH 사설 네트워크 어드레스), 목적지 포트(예, RNH 포트), 소스 어드레스(예, 응용 서버 사설 네트워크 어드레스), 및/또는 소스 포트(예, 응용 서버 포트)와 같은 기준을 포함할 수 있다. 예시적인 실시예에서, 서버 VPN 정책(329)은 터널 포트(k0, k1,...ki)와 같은 터널 인디케이터에 인커밍 응용 패킷을 할당하기에 효과적이다. 인-바운드 방향에서, VPN 서버(341)는 아래에 설명된 바와 같은 암호키 및/또는 프로토콜의 선택을 지배할 수 있는 대응하는 VPN 터널(3320, 3321,...332i)을 결정하도록 전송 네트워크(303)로부터 수신된 전송 패킷에 서버 VPN 정책(329)을 적용한다.
VPN
정책 구성
VPN 정책(예, 클라이언트 VPN 정책(327)과 서버 VPN 정책(329))은 다양한 방식으로 구성될 수 있다. 일 예시적인 실시예에서, VPN 정책은 동일한 VPN 터널에 주어진 응용에 관한 모든 데이터를 할당하도록 구성될 수 있다. 또 다른 예시적인 실시예에서, VPN 정책은 아래에 구체적으로 논의된 바와 같이 다른 기준에 기반해서 주어진 응용으로부터 다른 VPN 터널에 응용 메시지를 할당하도록 구성될 수 있다.
표 1은 트래픽을 VPN 터널에 할당하기 위한 예시적인 클라이언트 VPN 정책(예, 클라이언트 VPN 정책(327))을 묘사한다. 클라이언트 VPN 정책(327)은 응용 패킷의 응용 프로토콜, 소스 포트, 목적지 어드레스, 및/또는 목적지 포트와 같은 기준에 기반해서 트래픽 및 VPN 터널 사이의 대응성을 제공한다. 암호키 및/또는 프로토콜과 같은 각각의 VPN 터널에 관한 정보는 원격 네트워크 호스트의 분리 데이터 구조에 저장될 수 있다.
표 2는 응용 패킷의 응용 프로토콜, 소스 어드레스, 소스 포트, 및 목적지 포트에 기반해서 각각의 응용 서버로부터의 트래픽을 VPN 터널에 할당하기 위한 예시적인 서버 VPN 정책을 나타낸다. 아래에 구체적으로 논의된 바와 같이, 서버 VPN 정책은 특정 VPN 클라이언트와 연관된 각각의 서버 VPN 정책을 갖는, 복수의 서버 VPN 정책 중 하나(예, 서버 VPN 정책(329))일 수 있다. 암호키 및/또는 프로토콜과 같은 각각의 VPN 터널에 관한 정보는 VPN 서버의 분리 데이터 구조에 저장될 수 있다.
표 3은 암호 프로토콜 및 암호키를 포함하는 VPN 터널에 관한 정보를 저장하기 위한 예시적인 데이터 구조를 나타낸다. 표 3과 유사한 데이터 구조는 원격 네트워크 호스트 및 VPN 서버에 저장될 수 있다. 표 3은 단순화된 표현이고, 다양한 수정이 명백할 것임이 이해될 것이다.
표 4는 RNH 전송 네트워크 어드레스 및 터널 포트에 기반해서 전송 패킷을 QoS 베어러(예, QoS 베어러(3301, 3302,...330n))에 할당하기 위한 예시적인 전송 네트워크 QoS 정책(예, QoS 정책(325))을 나타낸다. 아래에 구체적으로 논의된 바와 같이, QoS 정책은 특정 VPN 클라이언트 또는 응용 서버와 연관된 각각의 QoS 정책을 갖는, 전송 네트워크(303)에서의 복수의 QoS 정책 중 하나일 수 있다. 전송 네트워크(303)는 VPN 터널의 존재를 인식할 필요가 없다는 것이 언급되어야만 한다. 클라이언트 및 서버 VPN 정책은 전송 네트워크로의 임의의 수정에 관한 필요를 회피하기 위해 전송 네트워크(303)에서 기존 QoS 정책(예, QoS 정책(125))과 관련해서 작동하도록 설계될 수 있다.
표 4의 예시적인 QoS 정책에서, 전송 네트워크(303)에 대해 요구되는 QoS 베어러를 지시하도록 사용된 VPN 터널 인디케이터는 전송 데이터 블록(예, 전송 데이터 블록(200))의 소스 포트 또는 목적지 포트일 수 있는 원격 네트워크 호스트 전송 포트 수이다. 예를 들어, 포트는 UDP/TCP 헤더(215)에서 UDP 또는 TCP 소스 또는 목적지 포트일 수 있다. 그러나, VPN 터널 인디케이터가 다른 방식으로 실행될 수 있다는 것이 이해될 것이다.
보여질 수 있는 바와 같이, 표 1 및 표 2의 예시적인 VPN 정책은 소정 소프트웨어 응용 및 응용 서버에 대해 동일한 터널로 양 방향으로 트래픽을 보내도록 협업한다. 달리 말해서, 표 1 및 표 2의 VPN 클라이언트 정책 및 VPN 서버 정책은 각각 VPN 서버 및 VPN 클라이언트로의 그리고 그로부터의 트래픽이 소정 응용을 위해 동일한 터널에 할당되는 바와 같이 일치된다. 예를 들어, 클라이언트 포트 1 상의 응용 서버(1501) 및 대응하는 클라이언트 소프트웨어 응용(1101)에 의해 호스트된 응용에 관한 TCP 트래픽은 양 방향으로 VPN 터널 인디케이터 k0에 할당된다. 그러나, 이것이 그 경우일 필요가 없다는 것이 명백할 것이다. 예를 들어, 서버로부터 클라이언트로의 메시지가 클라이언트로부터 서버로의 메시지보다 더 우선하는 것으로 간주될 수 있고, 또는 그 역도 참이다.
표 1 및 표 2는 상대적으로 단순한 VPN 정책을 도시하는 반면에, 더 복잡한 표 및/또는 기능이 VPN 터널에 트래픽을 할당하도록 사용될 수 있다는 것이 해당 기술분야의 당업자에게 명백할 것이다. 예를 들어, 추가적인 또는 다른 기준이 클라이언트 및 서버 VPN 정책 및/또는 전송 네트워크 QoS 정책에 의해 사용될 수 있다. 하나의 예시적인 실시예에서, 메시지 내용은 VPN 정책에서 기준으로서 사용될 수 있다. 예를 들어, VPN 클라이언트(319)는 응용 메시지의 내용을 검사하도록 구성될 수 있다. 검사는 메시지가 메시지에 관한 높은 선호를 나타내는 단어를 포함하는지 여부를 결정하도록 응용 메시지의 텍스트에 대한 키워드 조사를 수행하는 것을 포함할 수 있다. 검사는 또한 높은 선호도 데이터 유형이 그 안에 포함되는지 여부를 결정하도록 응용 메시지를 분석하는 것을 포함할 수 있다. 높은 선호로서 지시된 응용 메시지는 그런 후에 높은 우선에 할당될 수 있다.
표 3은 단일 암호키가 암호화 및 복호화 모두에 사용되는 것으로 나타나는 반면에, 이것은 그 경우일 필요가 없다. 예시적인 실시예에서, 각각의 VPN 터널은 예를 들어, 비대칭(예, 공개키) 암호화 시스템에 따라 암호화 및 복호화에 관한 다른 암호키를 사용할 수 있다. 또 다른 실시예에서, 높은 선호 VPN 터널은 더 안전한 암호화 프로토콜 및/또는 더 긴(그리고 더 안전한) 암호키와 연관될 수 있다. 추가적인 수정 및 향상이 논의가 진행함에 따라 명백해질 것이다.
VPN
정책 권한설정
VPN 정책은 다양한 권한설정 방법에 따라 공급될 수 있다. 예시적인 실시예에 따라서, 클라이언트 및 서버 VPN 정책은 전송 네트워크에서(예, 게이트웨이(321, 325)에서) 구성되고 VPN 서버(341)(예, 디폴트 VPN 터널(3320)을 통해)로, 그런 후에 VPN 서버(341)로부터 VPN 클라이언트(319)로 공급될 수 있다. 또 다른 예시적인 실시예에서, 클라이언트 및 서버 VPN 정책은 VPN 서버(341)에서 구성되고 VPN 클라이언트(319)에 공급될 수 있다. 더 또 다른 예시적인 실시예에서, VPN 정책은 원격 네트워크 호스트에서 구성되고 VPN 서버로 공급된다. 예를 들어, VPN 정책은 VPN 터널 초기화 단계 동안 공급될 수 있다.
이제 도 4에 대해 언급하면서, 원격 네트워크 호스트(301) 및/또는 VPN 서버(341)를 실행하도록 사용될 수 있는 계산 장치(400)의 예시적인 실시예의 블록도가 제공되어 있다. 계산 장치(400)는 노트북, 데스크탑 컴퓨터, 랩탑 컴퓨터, 개인용 디지털 보조장치, 및 태블릿 PC를 포함하지만, 그들로 한정되지 않을 수 있다. 특히, 계산 장치(400)의 일부 또는 모든 부품은 하드웨어, 소프트웨어 및/또는 하드웨어 및 소프트웨어의 조합으로서 구현될 수 있다. 하드웨어는 하나 이상의 전자 회로를 포함하거나, 그들로 한정되지 않는다. 하드웨어 부품의 실시예는 메인프레임, 축소 명령 집합 컴퓨터("RISC") 아키텍처 기반 서버, 저장 장치, 네트워크 및 네트워킹 부품을 포함한다. 소프트웨어 부품의 예시는 네트워크 응용 클라이언트/서버 소프트웨어, VPN 클라이언트/서버 소프트웨어, 및 데이터베이스 소프트웨어를 포함한다.
계산 장치(400)는 도 4에 도시된 이들보다 더 많거나 적은 부품을 포함할 수 있다. 그러나, 도시된 부품은 본 발명을 실행하는 설명적인 실시예를 개시하기에 충분하다. 도 4의 하드웨어 아키텍처는 다중-터널 VPN에서 QoS 특징의 공급을 용이하게 하도록 구성된 대표적인 계산 장치의 일 실시예를 나타낸다. 그러한 바와 같이, 도 4의 계산 장치(400)는 본 발명의 실시예에 따라 복수의 QoS 베어러를 제공하는 전송 네트워크에서 QoS 특징을 제공하기 위한 개선된 방법을 실행한다.
도 4에 도시된 바와 같이, 계산 장치(400)는 시스템 인터페이스(422), 사용자 인터페이스(402), 중앙 처리 장치("CPU")(406), 시스템 버스(410), 시스템 버스(410)를 통해 계산 장치(400)의 다른 부분에 연결되고 그것에 의해 접속가능한 메모리(412), 및 시스템 버스(410)에 연결된 하드웨어 엔티티(414)를 포함한다. 하드웨어 엔티티(414)의 적어도 일부는 랜덤 액세스 메모리("RAM"), 디스크 드라이버 및/또는 컴팩트 디스크 판독 전용 메모리("CD-ROM")일 수 있는 메모리(412)에 대한 접근 그리고 그것의 사용을 포함하는 작업을 수행한다.
시스템 인터페이스(422)는 계산 장치(400)가 외부 통신 장치(예, 도 3의 전송 네트워크(303)의 통신 장치)와 직접적으로 또는 간접적으로 통신하는 것을 허용한다. 예를 들어, 계산 장치(400)는 공통 네트워크(예, 도 3에 도시된 전송 네트워크(303))를 통해 통신을 보내고 수신하는 것에 의해 외부 통신 장치(예, VPN 서버(341), 응용 서버(1501, 1502,...1500))와 간접적으로 통신할 수 있다.
하드웨어 엔티티(414)는 여기에 설명된 방법론, 절차, 또는 기능 중 하나 이상을 실행하도록 구성된 하나 이상의 명령어의 세트(420)(예, 소프트웨어 코드)가 저장되는 컴퓨터 판독가능한 저장 매체(418)를 포함하는 디스크 구동 유니트(416)를 포함할 수 있다. 명령어(420)는 또한 계산 장치(400)에 의한 실행 동안 메모리(412) 내에 그리고/또는 CPU(406) 내에 완벽하게 또는 적어도 부분적으로 잔류할 수 있다. 메모리(412) 및 CPU(406)는 또한 기계-판독가능한 매체를 구성할 수 있다. 여기에 사용된 바와 같은, 용어 "기계-판독가능한 매체"는 하나 이상의 명령어의 세트(420)를 저장하는 단일 매체 또는 다중 매체(예, 중앙 또는 분산 데이터베이스, 및/또는 연관된 캐시 및 서버)를 말한다. 여기에 사용된 바와 같은 용어 "기계-판독가능한 매체"는 또한 계산 장치(400)에 의한 실행 동안 명령어의 세트(420)를 저장, 인코딩 또는 실어나를 수 있는 임의의 매체를 언급한다.
본 발명의 일부 실시예에서, 하드웨어 엔티티(414)는 다중-터널 VPN에서 QoS 특징의 제공을 용이하게 하도록 프로그램된 전자 회로(예, 프로세서)를 포함한다. 이 점에서, 전자 회로는 계산 장치(400) 상에 설치된 VPN 소프트웨어 응용(도 4에 미도시)에 접속하고 그것을 작동시킬 수 있다. VPN 소프트웨어 응용은 일반적으로 다중-터널 VPN의 공급을 용이하게 하도록 작동한다. 이들 서비스는 암호 서비스, VPN 교섭 서비스, 및 패킷 검사 서비스를 포함하지만, 그들로 한정되지 않는다. 계산 장치(400)에 의해 제공된 나열된 서비스 및 다른 서비스는 논의가 진행함에 따라 더 명백해질 것이다.
이제 도 5에 대해 언급하면서, 예시적인 실시예에 따른 다중-터널 VPN을 제공하기 위한 네트워크층 도면이 제공되어 있다. 개별적인 네트워크층(201-217)은 이미 도 2를 참조하여 설명되었다. 각각의 네트워크층은 그 층에 작동하는 예시적인 시스템(300)(도 3에 도시됨)의 대응하는 부품 아래에 도시된다. 구체적으로, 소프트웨어 응용(1101, 1102,...110m) 및 응용 서버(1501, 1502,...1500)는 응용 데이터층(201), UDP/TCP 층(203), 및 IP 층(205)에서 작동한다. VPN 클라이언트(319) 및 VPN 서버(341)는 VPN 층(207)에서 복수의 VPN 터널(3320, 3321,...332i)을 포함하는 다중 터널 VPN을 제공하도록 작동한다. 각각의 VPN 터널(3320, 3321,...332i)은 위에 설명된 바와 같이 단일 QoS 베어러(3301, 3302,...330n)와 연관된다. 게이트웨이(321) 및 게이트웨이(323)는 패킷 검사를 수행하고 블록(501, 503) 각각에서 IP 층(217)에서 QoS 정책(예, QoS 정책(325))을 적용한다. 패킷 검사(501, 503)에 기반해서, 각각의 전송 패킷은 전송 네트워크(303)를 통한 송신을 위해 QoS 베어러(3301, 3302,...330n)에 할당된다.
도 5에 도시된 예시적인 실시예에 대한 다양한 수정이 해당 기술분야의 당업자에게 명백할 것이다. 예를 들어, 다중 터널 VPN은 층(207)보다는 네트워크 층에 제공될 수 있다. 또 다른 예시로서, 소프트웨어 응용(1101, 1102,...110m)은 응용 데이터의 패킷화를 수행할 필요가 없고, VPN 암호화 및 캡슐화에 앞서 응용 데이터의 패킷화를 수행할 수 있는 VPN 클라이언트(319)에 응용 데이터를 직접 제공할 수 있다.
이제 도 6에 대해 언급하면서, 전송 네트워크(예, 전송 네트워크(303))에 걸쳐 두 개의 VPN 엔드포인트(예, VPN 클라이언트(319)와 VPN 서버(341)) 사이에 복수의 VPN 터널을 확립하기 위한 공정 흐름도가 제공되어 있다. 도 6의 예시적인 실시예에서, 공정은 VPN 클라이언트(319)가 VPN 서버(341)로 디폴트 VPN 터널(예, 디폴트 VPN 터널(3320))을 위한 연결을 시작할 때 단계(601)에서 시작한다. 단계(603)에서, VPN 클라이언트(319) 및 VPN 서버(341)는 디폴트 VPN 터널(예, 디폴트 VPN 터널(3320))에 대한 TLS 보안을 교섭한다. 단계(603)는 암호키 및/또는 해독키의 교섭, 및 디폴트 터널을 위해 사용될 암호 프로토콜을 포함할 수 있다. 단계(605)에서, VPN 클라이언트(319) 및 VPN 서버(341)는 디폴트 VPN 터널을 위한 암호화된 VPN 교섭을 수행한다. 단계(607)에서, VPN 서버(341)는 VPN 클라이언트(319)에 사설 네트워크 어드레스(예, 사설 네트워크(305)에서)를 할당한다. 단계(609)에서, VPN 클라이언트(319)는 새로운 대체 터널(예, VPN 터널(3321,...332i))을 위한 연결을 개시한다. 단계(611)에서, VPN 클라이언트(319) 및 VPN 서버(341)는 새로운 대체 VPN 터널을 위한 TLS 보안을 교섭한다. 단계(611)는 암호키 및/또는 해독키의 교섭, 및 새로운 대체 터널을 위해 사용될 암호 프로토콜을 포함할 수 있다. 단계(613)에서, VPN 클라이언트(319) 및 VPN 서버(341)는 새로운 대체 VPN 터널이 단계(605)에서 확립된 디폴트 VPN 터널과 상관되도록 암호화된 상관을 수행한다. 단계(615)에서, VPN 클라이언트(319) 및 VPN 서버(341)는 새로운 대체 VPN 터널을 위한 암호화된 VPN 교섭을 수행한다.
단계(617-627)는 원격 네트워크 호스트(예, 원격 네트워크 호스트(301))에서 소프트웨어 응용(예, 소프트웨어 응용(1101, 1102,...110m))과 사설 네트워크(예, 사설 네트워크(305))에서 응용 서버(예, 응용 서버(1501, 1502,...1500)) 사이의 쌍방향 통신 흐름을 설명한다. 단계(617)에서, VPN 클라이언트(319)는 소프트웨어 응용(110m)으로부터 응용 메시지를 수신한다. 단계(619)에서, VPN 클라이언트(319)는 VPN 서버(341)로 선택된 VPN 터널(예, VPN 터널(3320, 3321,...332i))을 통해 암호화된 응용 메시지를 전달한다. 단계(621)에서, VPN 서버(341)는 암호화된 응용 메시지를 해독하고 목적지 응용 서버(1500)로 해독된 응용 메시지를 루팅한다. 단계(623)에서, 응용 서버(1500)는 제 2 응용 메시지를 포함하는 응답을 발생시키고, 제 2 응용 메시지를 VPN 서버(341)로 전달한다. 단계(625)에서, VPN 서버는 암호화된 서버 메시지에서 제 2 응용 메시지를 암호화하고, 선택된 VPN 터널(예, VPN 터널(3320, 3321,...332i))을 통해 VPN 클라이언트(319)에게 암호화된 서버 메시지를 전달한다. 특히, 단계(625)에서 사용된 선택된 터널은 반드시 단계(619)에서 선택된 동일한 터널이 아니다. 단계(627)에서, VPN 클라이언트(319)는 단계(617)에서 응용 메시지를 발생시켰던 원본 소프트웨어 응용에 제 2 응용 메시지를 전달한다.
도 6에 도시된 예시적인 실시예에 대한 다양한 수정이 해당 기술분야의 당업자에게 명백할 것이다. 예를 들어, VPN 연결은 어느 하나의 VPN 엔드포인트(예, VPN 서버(341))에 의해 시작될 수 있다. 예시적인 실시예에서, 모든 VPN 터널은 VPN 개시 단계 동안 확립될 수 있다(예, 단계(601-615)). 예를 들어, VPN 터널은 VPN 개시 단계 동안 전송 네트워크에 의해 제공된 각각의 QoS 베어러에 대해 확립될 수 있다. 또 다른 예시적인 실시예에서, 단계(601-607)(즉, 디폴트 터널 확립)는 개시 단계 동안 수행되고, 단계(609-615)(대체 터널 확립)는 필요에 따른 토대로 새로운 대체 VPN 터널을 생성하도록 "온 더 플라이"로 수행된다(다른 QoS 레벨에 대한 요청이 소프트웨어 응용(1101, 1102,...110m) 및/또는 응용 서버(1501, 1502,...1500)로부터 수신된다).
도 7 및 도 8은 예시적인 시스템(300)과 같은, 다중 터널 VPN을 제공하는 예시적인 시스템에서 두 개의 VPN 엔드포인트 사이에 양 방향으로 트래픽을 핸들링하기 위한 예시적이고 구체적인 공정 흐름도를 집합적으로 제공한다. 도 7은 VPN 클라이언트(예, VPN 클라이언트(319))로부터 VPN 서버(예, VPN 서버(341))로 트래픽을 위한 공정 흐름도를 제공하고, 도 8은 VPN 서버로부터 VPN 클라이언트로 트래픽을 위한 공정 흐름도를 제공한다. 도 7 및 도 8의 예시적인 공정은 VPN 개시 단계(예, 도 6의 단계(601-615)) 후에 선택적으로 수행될 수 있고 여기서 복수의 VPN 터널은 VPN 엔드포인트들 사이에 확립된다. 그러나, VPN 터널은 또한 위에 논의된 방식으로 필요에 따라 확립될 수 있다(VPN 개시 단계를 사용하는 것 대신에, 또는 그것에 더해서).
이제 도 7에 대해 언급하면서, 단계(701)에서, VPN 클라이언트(319)는 소프트웨어 응용(예, 소프트웨어 응용(1101, 1102,...110m))으로부터 응용 데이터를 포함하는 응용 패킷(또는 "응용 메시지" 또는, 더 폭넓게, "응용 데이터 블록")을 수신한다.
단계(703)에서, VPN 클라이언트(319)는 적어도 하나의 특징을 결정하도록 응용 패킷을 분석한다. 이러한 분석은 비제한적인 예로서, 응용 프로토콜, 소스 포트("Sport"), 목적지 어드레스("Daddr"), 목적지 포트("Dport"), 요청된 QoS 레벨, 및 메시지 중요도와 같은 정보를 결정하도록 응용 패킷 헤더의 분석을 포함할 수 있다. 분석은 응용 패킷에서 응용 데이터 및/또는 메시지 내용의 검사(즉, "심층 패킷 검사")를 선택적으로 포함할 수 있다. 분석의 결과를 토대로, VPN 클라이언트(319)는 응용 패킷을 VPN 터널에 할당하도록 클라이언트 VPN 정책(예, 클라이언트 VPN 정책(327))을 적용한다. 클라이언트 VPN 정책(327)에서 기준은 위에 나열된 특징을 포함하지만, 그들로 한정되지 않는 분석에 의해 결정된 응용 패킷 특징 중 어느 하나를 포함할 수 있다. 여전히 단계(703)에서, VPN 클라이언트(319)는 적용된 클라이언트 VPN 정책(327)을 토대로 VPN 터널(예, 복수의 VPN 터널(3320, 3321,...332i))에 응용 패킷을 선택적으로 할당한다. 도 6을 참조하여 위에 논의된 바와 같이, 할당된 VPN 터널은 이미 확립된 VPN 터널일 수 있거나 또는 그것은 예를 들어, 단계(703)에서 필요에 따라 확립될 수 있다.
단계(705)는 결정 블록이다. 응용 패킷은 디폴트 VPN 터널(예, 디폴트 VPN 터널(3320))에 할당된다면 흐름은 블록(707)으로 진행한다. 그렇지 않으면, 응용 패킷은 대체 VPN 터널(예, 대체 VPN 터널(3321,...332i) 중 하나)에 할당된다면 흐름은 블록(709)으로 진행한다.
단계(707)에서, VPN 클라이언트(319)는 암호화된 VPN 페이로드(예, VPN 페이로드(211))를 생성하도록 디폴트 VPN 터널(예, 표 3으로부터 "키1")과 연관된 암호키 및 암호 프로토콜을 사용하여 응용 패킷을 암호화한다.
단계(711)에서, VPN 클라이언트(319)는 전송 패킷(또는 "전송 데이터그램", 또는 더 폭넓게, "전송 데이터 블록")에서 VPN 페이로드를 캡슐화한다. 전송 패킷의 구조는 전송 데이터 블록(200)과 동일하거나 유사할 수 있다. 전송 패킷은 디폴트 VPN 터널과 연관된 터널 인디케이터를 포함한다. 예를 들어, 디폴트 VPN 터널(3320)을 위한 터널 인디케이터는 위에 논의된 바와 같이 전송 패킷 헤더(예, UDP/TCP 헤더(215))에서 터널 포트 k0와 동일한 소스(클라이언트) 포트를 설정하는 것에 의해 설정될 수 있다.
단계(709)에서, VPN 클라이언트(319)는 암호화된 VPN 페이로드(예, VPN 페이로드(211))를 생성하도록 할당된 대체 VPN 터널(예, 표 3으로부터 "키 2" 또는 "키 3")과 연관된 암호키 및 암호 프로토콜을 사용하여 응용 패킷을 암호화한다.
단계(713)에서, VPN 클라이언트(319)는 전송 패킷이 할당된 대체 VPN 터널과 연관된 터널 인디케이터를 포함하는 것을 제외하고, 단계(711)에서와 유사한 방식으로 전송 패킷에서 VPN 페이로드를 캡슐화한다. 예를 들어, 대체 VPN 터널(3321)을 위한 터널 인디케이터는 위에 논의된 바와 같이 전송 패킷 헤더(예, UDP/TCP 헤더(215))에서 터널 포트 k1과 동일한 소스(클라이언트) 포트를 설정하는 것에 의해 설정될 수 있다. 단계(711, 713)에서의 캡슐화에 이어서, VPN 클라이언트(319)는 전송 패킷을 전송 네트워크(303)에 전달한다.
단계(715)에서, 전송 네트워크(303)는 VPN 클라이언트(319)로부터 전송 패킷을 수신한다. 단계(717)에서, 전송 네트워크(303)는 수신된 전송 패킷을 분석한다. 이러한 분석은 전송 프로토콜, 소스 어드레스, 소스 포트, 목적지 어드레스, 및 목적지 포트와 같은 정보를 결정하도록 전송 패킷 헤더의 분석을 포함할 수 있다. 단계(719)에서, 단계(717)의 분석의 결과를 토대로, 전송 네트워크(303)는 전송 패킷을 QoS 베어러(1301, 1302,...130n)에 할당하도록 QoS 정책(예, QoS 정책(325))을 적용한다.
단계(721)에서, 전송 네트워크(303)는 그때 할당된 QoS 베어러 및 대응하는 서비스 레벨을 사용하여 전송 네트워크(303)를 통해 전송 패킷을 루팅한다. 단계(723)에서, 전송 네트워크(303)에서의 패킷 핸들링 공정이 완료한다. 해당 기술분야의 당업자에게 명백해질 바와 같이, 단계(715-723)는 전송 패킷이 전송 네트워크(303)를 통해 루팅됨에 따라 전송 네트워크(303)(예, 게이트웨이(321) 및/또는 게이트웨이(323))의 다양한 노드에서 여러 번 수행될 수 있다.
단계(725)에서, VPN 서버(341)는 전송 네트워크(303)로부터 전송 패킷을 수신한다. 단계(727)에서, VPN 서버(341)는 수신된 전송 패킷을 분석한다. 이러한 분석은 그 안에(예, UDP/TCP 헤더(215)에서의 소스 또는 목적지 포트에서) 터널 인디케이터를 결정하도록 전송 패킷 헤더의 분석을 포함할 수 있다. 전송 패킷 분석은 전송 패킷에 위치된 터널 인디케이터에 기반해서 전송 패킷과 연관된 VPN 터널을 식별한다. 달리 말해서, VPN 서버(341)는 전송 패킷이 디폴트 VPN 터널(3320) 또는 대체 VPN 터널(3321,...332i)에 대응하는지 여부를 결정한다. 여전히 단계(727)에서, VPN 서버(341)는 식별된 VPN 터널에 대응하는 적어도 하나의 암호키 및/또는 암호 프로토콜을 결정한다. 예를 들어, 단계(727)는 VPN 서버(341)에 저장된 표 3과 유사한 데이터 구조로부터 VPN 터널 정보를 검색하는 것을 포함할 수 있다.
단계(729)에서, VPN 서버(341)는 전송 패킷에서 VPN 페이로드를 해독한다. VPN 서버(341)는 단계(727)에서 결정된 암호키 및 암호 프로토콜을 사용하여 해독을 수행할 수 있다.
단계(731)에서, VPN 서버(341)는 VPN 페이로드를 해독하는 것에 의해 얻어진 해독된 응용 패킷을 분석한다. 이러한 분석은 응용 패킷 헤더(예, 도 2로부터 UDP/TCP 헤더(203), IP 헤더(205), 및/또는 VPN 헤더(207))의 분석을 포함할 수 있다. 분석의 결과를 토대로, VPN 서버(341)는 수신된 응용 패킷이 VPN 프로토콜 데이터 유니트("PDU")를 포함하는지 여부를 결정한다. VPN PDU는 VPN 엔드포인트에 의해 처리되도록 의도된 VPN 관련된 메시지이다. 예를 들어, VPN PDU는 VPN 엔드포인트가 암호 프로토콜 및/또는 암호를 변경하거나, 또는 VPN 정책(예, 클라이언트 VPN 정책(327) 또는 서버 VPN 정책(329))을 업데이트하도록 지시할 수 있다. 단계(731)는 결정 블록이다. 응용 패킷이 VPN PDU를 포함한다고 결정되면, 그때 흐름은 단계(733)로 진행하고 여기서 VPN PDU는 국소적으로 처리된다. 그렇지 않으면 흐름은 단계(735)로 진행한다.
단계(735)에서, VPN 서버(341)는 예를 들어, 응용 패킷(예, IP 헤더(205)에서)의 목적지 어드레스에 기반해서 결정될 수 있는 적합한 수신 응용 서버(예, 응용 서버(1501, 1502,...1500))를 결정한다. 그런 후에 VPN 서버(341)는 응용 패킷을 사설 네트워크(305)를 통해 적합한 응용 서버로 보낸다. 단계(737)에서 VPN 서버(341)에서 패킷 핸들링 공정이 완료한다. 적합한 응용 서버는 응용 패킷을 수신하고 VPN 클라이언트(319)에 다시 송신을 위해 그에 대한 응답을 발생시킬 수 있다.
이제 도 8에 대해 언급하면서, 단계(801)에서, VPN 서버(341)는 사설 네트워크(305)를 통해 응용 서버(예, 응용 서버(1501, 1502,...1500))로부터 응용 데이터를 포함하는 응용 패킷(또는 "응용 메시지" 또는, 더 폭넓게, "응용 데이터 블록")을 수신한다.
단계(803)에서, VPN 서버(341)는 적어도 하나의 특징을 결정하도록 응용 패킷을 분석한다. 이러한 분석은 응용 프로토콜, 소스 포트, 목적지 어드레스, 목적지 포트, 요청된 QoS 레벨, 메시지 중요도와 같은 정보를 결정하도록 응용 패킷 헤더의 분석을 포함할 수 있다. 분석은 응용 패킷(즉, "심층 패킷 검사")에서 응용 데이터 및/또는 메시지 내용의 검사를 선택적으로 포함할 수 있다. 이러한 분석의 결과에 기반해서, VPN 서버(341)는 복수의 서버 VPN 정책(예, 서버 VPN 정책(329))으로부터 서버 VPN 정책을 선택한다. 예를 들어, VPN 서버(341)는 응용 패킷의 목적지 어드레스에 의해 결정되는 바와 같이 VPN 클라이언트(319)와 연관된 서버 VPN 정책을 선택하도록 구성될 수 있다.
단계(805)에서, VPN 서버(341)는 VPN 터널에 응용 패킷을 할당하도록 선택된 서버 VPN 정책을 적용한다. 서버 VPN 정책(329)에서 기준은 위에 열거된 특징을 포함하지만, 그들로 한정되지 않는 분석에 의해 결정된 응용 패킷 특징 중 어느 하나를 포함할 수 있다. VPN 서버(341)는 적용된 서버 VPN 정책(329)에 기반해서 VPN 터널(예, 복수의 VPN 터널(3320, 3321,...332i))에 응용 패킷을 선택적으로 할당한다. 도 6을 참조하여 위에 논의된 바와 같이, 할당된 VPN 터널은 이미 확립된 VPN 터널일 수 있거나 또는 예를 들어, 단계(803)에서 "온 더 플라이"로 확립될 수 있다.
단계(807)는 결정 블록이다. 응용 패킷이 디폴트 VPN 터널(예, 디폴트 VPN 터널(3320))에 할당된다면 흐름은 블록(809)으로 진행한다. 그렇지 않고, 응용 패킷이 대체 VPN 터널(예, 대체 VPN 터널(3321,...332i) 중 하나)에 할당된다면 그때 흐름은 블록(811)으로 진행한다.
단계(809)에서, VPN 서버(341)는 암호화된 VPN 페이로드를 생성하도록 암호 키 및 디폴트 VPN 터널(예, 표 3으로부터 "키1")과 연관된 암호 프로토콜을 사용하여 응용 패킷을 암호화한다.
단계(813)에서, VPN 서버(341)는 전송 패킷(또는 "전송 데이터그램", 또는 더 폭넓게, "전송 데이터 블록")에서 VPN 페이로드를 캡슐화한다. 전송 패킷의 구조는 전송 데이터 블록(200)과 동일하거나, 유사할 수 있다. 전송 패킷은 디폴트 VPN 터널과 연관된 터널 인디케이터를 포함한다. 예를 들어, 디폴트 VPN 터널(3320)을 위한 터널 인디케이터는 위에 논의된 바와 같이 전송 패킷 헤더(예, UDP/TCP 헤더(215))에서 터널 포트 k0와 같은 목적지(클라이언트) 포트를 설정하는 것에 의해 설정될 수 있다.
단계(811)에서, VPN 서버(341)는 암호화된 VPN 페이로드(예, VPN 페이로드(211))를 생성하도록 암호키 및 할당된 대체 VPN 터널(예, 표 3으로부터 "키 2" 또는 "키3")과 연관된 암호 프로토콜을 사용하여 응용 패킷을 암호화한다.
단계(815)에서, VPN 서버(341)는 전송 패킷이 할당된 VPN 터널과 연관된 터널 인디케이터를 포함하는 것을 제외하고, 단계(811)에서와 유사한 방식으로 전송 패킷에서 VPN 페이로드를 캡슐화한다. 예를 들어, 대체 VPN 터널(3321)을 위한 터널 인디케이터는 위에 논의된 바와 같이 전송 패킷 헤더(예, UDP/TCP 헤더(215))에서 터널 포트 k1과 같은 목적지(클라이언트) 포트를 설정하는 것에 의해 설정될 수 있다. 단계(813, 815)에서 캡슐화에 이어서, VPN 서버(341)는 전송 패킷을 전송 네트워크(303)로 전달한다.
단계(817)에서, 전송 네트워크(303)는 VPN 서버(341)로부터 전송 패킷을 수신한다. 단계(819)에서, 전송 네트워크(303)는 수신된 전송 패킷을 분석한다. 이러한 분석은 전송 프로토콜, 소스 어드레스, 소스 포트, 목적지 어드레스, 및 목적지 포트와 같은 정보를 결정하도록 전송 패킷 헤더의 분석을 포함할 수 있다. 단계(821)에서, 단계(819)의 분석의 결과를 토대로, 전송 네트워크(303)는 전송 패킷을 QoS 베어러(3301, 3302,...330n)에 할당하도록 QoS 정책(예, QoS 정책(325))을 적용한다.
단계(823)에서, 전송 네트워크(303)는 할당된 QoS 베어러 및 대응하는 서비스 레벨을 사용하여 전송 네트워크(303)를 통해 전송 패킷을 루팅한다. 단계(825)에서, 전송 네트워크(303)에서 패킷 핸들링 공정이 완료한다. 해당 기술분야의 당업에게 명백할 바와 같이, 단계(817-825)는 전송 패킷이 전송 네트워크(303)를 통해 루팅됨에 따라서 전송 네트워크(303)(예, 게이트웨이(321) 및/또는 게이트웨이(323))의 다양한 노드에서 여러 번 수행될 수 있다.
단계(827)에서, VPN 클라이언트(319)는 전송 네트워크(303)로부터 전송 패킷을 수신한다. 단계(829)에서, VPN 클라이언트(319)는 수신된 전송 패킷을 분석한다. 이러한 분석은 그 안에(예, UDP/TCP 헤더(215)에서 소스 또는 목적지 포트에서) 터널 인디케이터를 결정하도록 전송 패킷 헤더의 분석을 포함할 수 있다. 이러한 분석의 결과를 토대로, VPN 클라이언트(319)는 터널 인디케이터에 기반해서 전송 패킷과 연관된 VPN 터널을 결정한다. 달리 말해서, VPN 클라이언트(319)는 전송 패킷이 디폴트 VPN 터널(3320) 또는 대체 VPN 터널(3321,...332i)에 대응하는지 여부를 결정한다. 그런 후에 적어도 하나의 암호키 및/또는 암호 프로토콜을 포함하는 식별된 VPN 터널에 관한 정보가 표 3과 유사한 표와 같은 분리 데이터 구조로부터 검색된다.
단계(831)에서, VPN 클라이언트(319)는 전송 패킷에서 VPN 페이로드를 해독한다. VPN 클라이언트(319)는 단계(829)에서 결정된 암호키 및 암호 프로토콜을 사용하여 해독을 수행할 수 있다.
단계(833)에서, VPN 클라이언트(319)는 VPN 페이로드를 해독하는 것에 의해 얻어진 해독된 응용 패킷을 분석한다. 이 분석은 응용 패킷 헤더의 분석을 포함할 수 있다(예, 도 2로부터 UDP/TCP 헤더(203), IP 헤더(205), 및/또는 VPN 헤더(207)). 분석의 결과에 기반해서, VPN 클라이언트(319)는 수신된 응용 패킷이 VPN PDU를 포함하는지 여부를 결정한다. 단계(833)는 결정 블록이다. 응용 패킷이 VPN PDU를 포함한다고 결정되면, 그때 흐름은 단계(835)로 진행하고 VPN PDU는 국소적으로 진행된다. 그렇지 않으면 흐름은 단계(837)로 진행한다.
단계(837)에서, VPN 클라이언트(319)는 예를 들어, 응용 패킷(예, UDP/TCP 헤더(203)에서)의 목적지 포트에 기반해서, 결정될 수 있는, 적합한 수신 소프트웨어 응용(예, 소프트웨어 응용 프로그램(1101, 1102,...110m))을 결정한다. 그런 후에 VPN 클라이언트(319)는 응용 패킷을 적합한 소프트웨어 응용에 보낸다. 단계(839)에서 VPN 클라이언트(319)에서의 패킷 핸들링 공정은 완료한다.
도 7-8에 도시된 예시적인 실시예에 대한 다양한 수정이 해당 기술분야의 당업자에게 명백할 것이고, 많은 예시적인 수정이 이미 위에 논의되었다.
본 발명은 하나 이상의 실행에 대해 도시되고 설명됨에도, 균등한 대안 및 수정이 본 명세서 및 첨부된 도면을 읽고 이해할 시에 해당 기술분야의 당업자에게 명백할 것이다. 덧붙여, 본 발명의 특정 특징이 여러 실행 중 하나에 대해서만 개시될 수 있는 반면에, 그러한 특징은 임의의 소정 또는 특정 응용에 대해 소망되고 유리할 수 있는 바와 같이 다른 실행 중 하나 이상의 다른 특징과 결합될 수 있다.
여기에 사용된 용어는 특정 실시예만을 설명하는 목적을 위한 것이고 본 발명의 제한인 것으로 의도되지 않는다. 여기에 사용된 바와 같이, 단수형 "어(a)", "언(an)" 및 "더(the)"는 문맥이 달리 명확히 지시하지 않는다면 복수형 역시 포함하도록 의도된다. 또한, 용어 "포함하는(including)", "포함하다(includes)", "갖는(having)", "가지다(has)", "함께(with)", 또는 그 변형이 구체적인 설명 및/또는 청구항 중 어느 하나에서 사용될 경우, 그러한 용어는 용어 "포함하는(comprising)"과 유사한 방식으로 포함되도록 의도된다.
달리 정의되지 않는다면, 여기에 사용된 모든 용어(기술적 과학적 용어 포함)는 본 발명이 속하는 해당 기술분야의 당업자에 의해 흔히 이해되는 바와 동일한 의미를 가진다. 공통으로 사용된 사전에 정의된 이들과 같은 용어는 관련 기술 분야의 문맥에서의 의미와 일치하는 의미를 갖는 것으로 해석되고 여기에 강조해서 그렇게 정의되지 않으면 이상화되거나 과도하게 형식적인 관점에서 해석되지 않아야만 한다는 것이 더 이해될 것이다.
Claims (11)
- 복수의 QoS 베어러를 제공하는 전송 네트워크에서의 가상 사설 네트워크("VPN")에서 품질 서비스("QoS")를 제어하기 위한 방법으로서, 그 방법은:
제 1 VPN 엔드포인트와 제 2 VPN 엔드포인트 사이에, 상기 전송 네트워크를 통해 복수의 VPN 터널을 확립하는 단계, 상기 복수의 VPN 터널은 제 1 QoS 베어러와 연관된 적어도 디폴트 VPN 터널과 제 2 QoS 베어러와 연관된 대안적인 VPN 터널을 포함하고; 그리고
그 안에 포함된 응용 데이터의 적어도 하나의 특징에 따라서 전송 패킷에 적용될 적어도 두 개의 QoS 레벨을 특정하는 VPN 정책을 상기 제 1 및 제 2 VPN 엔드포인트에서 확립하는 단계, 상기 VPN 정책은 전송 패킷에 적용될 적어도 두 개의 다른 QoS 레벨을 또한 특정하는 상기 전송 네트워크에 대해 확립된 전송 네트워크 정책의 독립적으로 특정되고; 그리고
상기 제 1 VPN 엔드포인트에서 다음의 단계:
적어도 두 개의 소프트웨어 어플리케이션에 의해 발생된 응용 메시지를 특정하는 복수의 데이터 블록의 제 1 데이터 블록을 수신하는 단계, 각각의 상기 데이터 블록은 응용 데이터를 포함하고;
그 안에 포함된 상기 응용 데이터의 적어도 하나의 상기 특징을 결정하도록 상기 제 1 데이터 블록을 분석하는 단계,
상기 제 1 데이터 블록에 상기 VPN 정책을 적용하고 그로써 상기 디폴트 VPN 터널 또는 상기 대안적인 VPN 터널이 상기 VPN 정책에 따른 상기 응용 데이터의 상기 특징에 기반해서 상기 제 1 데이터 블록에 할당되는 단계,
암호화의 존재에서 상기 전송 네트워크에 의해 상기 제 1 데이터 블록을 포함하는 전송 패킷에 할당될 수 있는 상기 Qos와 다른 상기 전송 네트워크에서 Qos를 정의하는 상기 제 1 데이터 블록에 VPN 터널 인디케이터를 선택적으로 할당하는 단계,
VPN 페이로드를 발생시키도록 상기 제 1 데이터 블록을 암호화하는 단계,
전송 패킷을 형성하도록 전송 패킷 헤더로 상기 VPN 페이로드를 캡슐화하는 단계, 상기 전송 패킷 헤더는 상기 디폴트 VPN 터널 및 상기 대안적인 VPN 터널 중 어느 것이 상기 제 1 데이터 블록에 미리 할당되었는지를 특정하는 상기 VPN 터널을 포함하고, 그리고
상기 전송 네트워크에 상기 전송 패킷을 전달하는 단계, QoS 정책은 상기 전송 패킷 헤더에 포함된 상기 VPN 터널 인디케이터에 기반해서 상기 제 1 QoS 베어러 또는 상기 제 2 QoS 베어러에 상기 전송 패킷을 할당하도록 적용되고,
상기 전송 패킷은 상기 특징을 갖는 상기 응용 데이터를 위한 상기 전송 네트워크 정책의 독립적으로 상기 VPN 정책에 따라서 결정된 바와 같은 상기 제 1 또는 제 2 QoS 베어러 중 하나를 사용하여 상기 전송 네트워크를 가로질러 전달되는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 제 1 데이터 블록은 암호키 및 암호 프로토콜을 사용하여 암호화되는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 제 1 데이터 블록의 상기 적어도 하나의 특징은 응용 식별자, 응용 타입, 또는 응용 프로토콜을 포함하는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 VPN 터널 인디케이터는 포트 넘버를 포함하는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 제 1 VPN 엔드포인트는 원격 호스트 컴퓨팅 디바이스에서 VPN 클라이언트로서 실행되고 그리고 상기 응용 데이터는 상기 원격 호스트 컴퓨팅 디바이스에서 실행하는 소프트웨어 응용으로부터 수신되는 것을 특징으로 하는 방법. - 제 1항에 있어서,
상기 제 1 VPN 엔드포인트는 VPN 서버로서 실행되고, 상기 제 2 VPN 엔드포인트는 VPN 클라이언트로서 실행되고, 그리고 상기 응용 데이터는 사설 컴퓨터 네트워크를 통해 상기 VPN 서버와 통신하는 응용 서버로부터 수신되는 것을 특징으로 하는 방법. - 복수의 QoS 베어러를 제공하는 전송 네트워크에서 가상 사설 네트워크("VPN")에서 품질 서비스("QoS")를 제어하기 위한 시스템으로서, 상기 시스템은:
상기 전송 네트워크를 통해 복수의 VPN 터널을 제 1 VPN 엔드포인트와 제 2 VPN 엔드포인트 사이에 확립하고, 상기 복수의 VPN 터널은 제 1 QoS 베어러와 연관된 적어도 디폴트 VPN 터널 및 제 2 QoS 베어러와 연관된 대안적인 VPN 터널을 포함하고,
그 안에 포함된 응용 데이터의 적어도 하나의 특징과 연관된 전송 패킷에 적용되는 적어도 두 개의 다른 QoS 레벨을 특정하는 VPN 정책에 접근하고, 상기 VPN 정책은 전송 패킷에 적용되는 적어도 두 개의 다른 QoS 레벨을 또한 특정하는 상기 전송 네트워크에 대해 확립된 전송 네트워크 정책을 독립적으로 특정하고;
적어도 두 개의 소프트웨어 어플리케이션에 의해 발생된 응용 메시지를 특정하는 복수의 데이터 블록의 제 1 데이터 블록을 수신하고, 각각의 상기 데이터 블록은 응용 데이터를 포함하며;
그 안에 포함된 상기 응용 데이터의 적어도 하나의 상기 특징을 결정하도록 상기 제 1 데이터 블록을 분석하고;
상기 VPN 정책을 상기 제 1 데이터 블록에 적용하고 그로써 상기 디폴트 VPN 터널 또는 상기 대안적인 VPN 터널은 상기 VPN 정책에 따라서 상기 응용 데이터의 상기 특징에 기반해서 상기 제 1 데이터 블록에 할당되고;
암호화의 존재에서 상기 전송 네트워크에 의해 상기 제 1 데이터 블록을 포함하는 전송 패킷에 할당될 수 있는 상기 QoS와는 다른 상기 전송 네트워크에서 QoS를 정의하는 상기 제 1 데이터 블록에 VPN 터널 인디케이터를 선택적으로 할당하고;
VPN 페이로드를 발생시키도록 상기 제 1 데이터 블록을 암호화하고;
전송 패킷을 형성하도록 전송 패킷 헤더로 상기 VPN 페이로드를 캡슐화하고, 상기 전송 패킷 헤더는 상기 디폴트 VPN 터널 및 상기 대안적인 터널 중 어느 것이 상기 제 1 데이터 블록에 미리 할당되었는지를 특정하는 적어도 하나의 VPN 터널 인디케이터를 포함하고; 그리고
상기 전송 패킷 헤더에 포함된 상기 VPN 터널 인디케이터에 기반해서 상기 제 1 QoS 베어러 또는 상기 제 2 QoS 베어러에 상기 전송 패킷을 할당하도록 적용되는 상기 전송 네트워크에 상기 전송 패킷을 전달하도록 구성된 적어도 하나의 전자 회로를 포함하고;
상기 전송 패킷은 상기 특징을 갖는 상기 응용 데이터를 위한 상기 전송 네트워크 정책의 독립적으로, 상기 VPN 정책에 따라서 결정된 바와 같은 상기 제 1 또는 제 2 QoS 베어러 중 하나를 사용하여 상기 전송 네트워크를 가로질러 전달되는 것을 특징으로 하는 시스템. - 제 7항에 있어서,
상기 적어도 하나의 전자 회로는 상기 캡슐화 전에 암호키 및 암호 프로토콜을 사용하여 상기 제 1 데이터 블록을 더 암호화하는 것을 특징으로 하는 시스템. - 제 7항에 있어서,
상기 제 1 데이터 블록의 상기 적어도 하나의 특징은 응용 식별자, 응용 타입, 또는 응용 프로토콜을 포함하는 것을 특징으로 하는 시스템. - 제 7항에 있어서,
상기 VPN 터널 인디케이터는 포트 넘버를 포함하는 것을 특징으로 하는 시스템. - 삭제
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/477,185 | 2012-05-22 | ||
US13/477,185 US9300570B2 (en) | 2012-05-22 | 2012-05-22 | Multi-tunnel virtual private network |
PCT/US2013/041579 WO2013176983A1 (en) | 2012-05-22 | 2013-05-17 | Multi-tunnel virtual private network |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150020530A KR20150020530A (ko) | 2015-02-26 |
KR101680955B1 true KR101680955B1 (ko) | 2016-11-29 |
Family
ID=48537018
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020147029155A KR101680955B1 (ko) | 2012-05-22 | 2013-05-17 | 다중 터널 가상 사설 네트워크 |
Country Status (9)
Country | Link |
---|---|
US (1) | US9300570B2 (ko) |
EP (1) | EP2853070B1 (ko) |
KR (1) | KR101680955B1 (ko) |
CN (1) | CN104272674B (ko) |
AU (1) | AU2013266624B2 (ko) |
BR (1) | BR112014028767A2 (ko) |
CA (1) | CA2870048C (ko) |
MX (1) | MX341161B (ko) |
WO (1) | WO2013176983A1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023128181A1 (ko) * | 2021-12-27 | 2023-07-06 | 삼성전자주식회사 | 스플릿 터널링 방법 및 장치 |
Families Citing this family (72)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10511573B2 (en) * | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US8918841B2 (en) | 2011-08-31 | 2014-12-23 | At&T Intellectual Property I, L.P. | Hardware interface access control for mobile applications |
US8898459B2 (en) * | 2011-08-31 | 2014-11-25 | At&T Intellectual Property I, L.P. | Policy configuration for mobile device applications |
US9286471B2 (en) | 2011-10-11 | 2016-03-15 | Citrix Systems, Inc. | Rules based detection and correction of problems on mobile devices of enterprise users |
US8799994B2 (en) | 2011-10-11 | 2014-08-05 | Citrix Systems, Inc. | Policy-based application management |
US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
US20140040979A1 (en) | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
US9215225B2 (en) | 2013-03-29 | 2015-12-15 | Citrix Systems, Inc. | Mobile device locking with context |
US8613070B1 (en) | 2012-10-12 | 2013-12-17 | Citrix Systems, Inc. | Single sign-on access in an orchestration framework for connected devices |
US9516022B2 (en) | 2012-10-14 | 2016-12-06 | Getgo, Inc. | Automated meeting room |
US20140109171A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network tunnels |
US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
US9606774B2 (en) | 2012-10-16 | 2017-03-28 | Citrix Systems, Inc. | Wrapping an application with field-programmable business logic |
US9170800B2 (en) | 2012-10-16 | 2015-10-27 | Citrix Systems, Inc. | Application wrapping for application management framework |
US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
US9930066B2 (en) * | 2013-02-12 | 2018-03-27 | Nicira, Inc. | Infrastructure level LAN security |
US9036470B2 (en) * | 2013-03-11 | 2015-05-19 | Dell Products L.P. | System and method for virtual private application networks |
US9820316B2 (en) * | 2013-03-15 | 2017-11-14 | Aerohive Networks, Inc. | Preventing asymmetric routing using network tunneling |
US9455886B2 (en) * | 2013-03-29 | 2016-09-27 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US20140297840A1 (en) | 2013-03-29 | 2014-10-02 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US9369449B2 (en) | 2013-03-29 | 2016-06-14 | Citrix Systems, Inc. | Providing an enterprise application store |
US8813179B1 (en) | 2013-03-29 | 2014-08-19 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
CN104243302B (zh) | 2013-06-20 | 2018-03-16 | 华为技术有限公司 | 业务路由报文处理方法、装置及网络系统 |
US10270809B2 (en) * | 2013-12-02 | 2019-04-23 | Akamai Technologies, Inc. | Virtual private network (VPN)-as-a-service with delivery optimizations while maintaining end-to-end data security |
US9356866B1 (en) | 2014-01-10 | 2016-05-31 | Juniper Networks, Inc. | Receive packet steering for virtual networks |
US10542452B2 (en) | 2014-06-10 | 2020-01-21 | Apple Inc. | Enhancing quality of service for high priority services |
FR3022421A1 (fr) * | 2014-06-11 | 2015-12-18 | Gdf Suez | Procede de gestion d'un canal de communication virtuel prive entre un terminal et un serveur |
WO2015189795A1 (en) * | 2014-06-13 | 2015-12-17 | Abb Technology Ltd. | Method and system for secure bidirectional communication for industrial devices |
US10747888B2 (en) | 2014-06-30 | 2020-08-18 | Nicira, Inc. | Method and apparatus for differently encrypting data messages for different logical networks |
US10178008B2 (en) * | 2014-11-14 | 2019-01-08 | Bigleaf Networks, Inc. | Circuit-aware load balancing with dynamic quality of service |
US9871660B2 (en) * | 2014-12-23 | 2018-01-16 | Banco De Mexico | Method for certifying and authentifying security documents based on a measure of the relative variations of the different processes involved in its manufacture |
US9716692B2 (en) * | 2015-01-01 | 2017-07-25 | Bank Of America Corporation | Technology-agnostic application for high confidence exchange of data between an enterprise and third parties |
US20220360566A1 (en) * | 2015-07-31 | 2022-11-10 | Nicira, Inc. | Distributed tunneling for vpn |
US9906561B2 (en) | 2015-08-28 | 2018-02-27 | Nicira, Inc. | Performing logical segmentation based on remote device attributes |
US10084754B2 (en) * | 2015-12-11 | 2018-09-25 | Microsoft Technology Licensing, Llc | Virtual private network aggregation |
IL243344A0 (en) * | 2015-12-24 | 2016-04-21 | Asaf Shabtai | Secure multi-channel vpn system |
KR101837064B1 (ko) | 2016-05-20 | 2018-03-12 | 한국전자통신연구원 | 보안 통신 장치 및 방법 |
US10230543B2 (en) * | 2016-07-20 | 2019-03-12 | Cisco Technology, Inc. | Reducing data transmissions in a virtual private network |
US10798073B2 (en) | 2016-08-26 | 2020-10-06 | Nicira, Inc. | Secure key management protocol for distributed network encryption |
US10447591B2 (en) | 2016-08-30 | 2019-10-15 | Oracle International Corporation | Executing multiple virtual private network (VPN) endpoints associated with an endpoint pool address |
CN106797335B (zh) * | 2016-11-29 | 2020-04-07 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
WO2018160853A1 (en) * | 2017-03-01 | 2018-09-07 | Intel IP Corporation | Reliable delivery and encryption on 1905.1 networks |
CN110612776B (zh) | 2017-05-09 | 2021-06-04 | 华为技术有限公司 | 一种数据处理方法及终端设备、网络设备 |
MX2020004745A (es) * | 2017-11-20 | 2020-10-28 | Mako Networks Nz Ltd | Método y sistema para la transmisión de datos. |
US10673813B2 (en) * | 2018-02-01 | 2020-06-02 | National Chiao Tung University | Method for NAT traversal in VPN |
US11348586B2 (en) * | 2018-06-21 | 2022-05-31 | Dell Products L.P. | Systems and methods for extending and enhancing voice assistant and/or telecommunication software functions to a remote endpoint device |
CN109246138A (zh) * | 2018-10-23 | 2019-01-18 | 深信服科技股份有限公司 | 基于虚拟专用网的资源访问方法及装置、vpn终端及介质 |
JP7156548B2 (ja) * | 2019-09-04 | 2022-10-19 | 日本電気株式会社 | 設定システム及び制御システム |
US20220247719A1 (en) * | 2019-09-24 | 2022-08-04 | Pribit Technology, Inc. | Network Access Control System And Method Therefor |
CN110677426B (zh) * | 2019-09-30 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
CN111147344B (zh) * | 2019-12-16 | 2021-12-24 | 武汉思为同飞网络技术股份有限公司 | 一种虚拟专用网络实现方法、装置、设备及介质 |
US11582066B2 (en) * | 2019-12-19 | 2023-02-14 | Cisco Technology, Inc. | Techniques for extending a cellular quality of service bearer through an enterprise fabric |
US11159489B2 (en) * | 2020-01-29 | 2021-10-26 | Dell Products L.P. | Multi-link VPN link selection system |
CN111711534B (zh) * | 2020-05-27 | 2023-05-05 | 新浪技术(中国)有限公司 | 网络服务质量分析方法、装置、系统、设备和存储介质 |
US11936522B2 (en) * | 2020-10-14 | 2024-03-19 | Connectify, Inc. | Selecting and operating an optimal virtual private network among multiple virtual private networks |
US12113779B2 (en) * | 2021-03-30 | 2024-10-08 | Certes Networks, Inc. | Cryptographic micro-segmentation using IKEv2 |
US20220385637A1 (en) * | 2021-05-27 | 2022-12-01 | Microsoft Technology Licensing, Llc | Selecting a vpn connection using negotiated cryptographic algorithms to improve throughput |
US11477176B1 (en) | 2021-05-27 | 2022-10-18 | Microsoft Technology Licensing, Llc | Throughput for a single VPN connection using multiple processing cores |
US20220393967A1 (en) * | 2021-06-07 | 2022-12-08 | Vmware, Inc. | Load balancing of vpn traffic over multiple uplinks |
US12113773B2 (en) | 2021-06-07 | 2024-10-08 | VMware LLC | Dynamic path selection of VPN endpoint |
US12107834B2 (en) | 2021-06-07 | 2024-10-01 | VMware LLC | Multi-uplink path quality aware IPsec |
US11863514B2 (en) | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
US20230254285A1 (en) * | 2022-02-07 | 2023-08-10 | Caci, Inc. - Federal | Systems and methods for detecting and attacking a vpn |
US11956213B2 (en) | 2022-05-18 | 2024-04-09 | VMware LLC | Using firewall policies to map data messages to secure tunnels |
WO2024038314A1 (en) * | 2022-08-15 | 2024-02-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for application traffic flows |
WO2024186236A1 (en) * | 2023-03-06 | 2024-09-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Multiple vpn tunnels and ursp traffic categories |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040022191A1 (en) | 1999-11-30 | 2004-02-05 | Yoram Bernet | Network quality of service for qualitative applications |
US7673048B1 (en) | 2003-02-24 | 2010-03-02 | Cisco Technology, Inc. | Methods and apparatus for establishing a computerized device tunnel connection |
US8146148B2 (en) | 2003-11-19 | 2012-03-27 | Cisco Technology, Inc. | Tunneled security groups |
US20130121262A1 (en) | 2011-11-15 | 2013-05-16 | Motorola Solutions, Inc. | Preserving user-differentiated quality of service for mobile virtual private network communications made using a shared connection point |
Family Cites Families (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6339595B1 (en) * | 1997-12-23 | 2002-01-15 | Cisco Technology, Inc. | Peer-model support for virtual private networks with potentially overlapping addresses |
US6862622B2 (en) * | 1998-07-10 | 2005-03-01 | Van Drebbel Mariner Llc | Transmission control protocol/internet protocol (TCP/IP) packet-centric wireless point to multi-point (PTMP) transmission system architecture |
US6590885B1 (en) * | 1998-07-10 | 2003-07-08 | Malibu Networks, Inc. | IP-flow characterization in a wireless point to multi-point (PTMP) transmission system |
KR100689366B1 (ko) * | 1998-09-14 | 2007-05-17 | 삼성전자주식회사 | 이동통신시스템의 통신장치 및 방법 |
US6606663B1 (en) * | 1998-09-29 | 2003-08-12 | Openwave Systems Inc. | Method and apparatus for caching credentials in proxy servers for wireless user agents |
US6912232B1 (en) * | 1998-10-19 | 2005-06-28 | At&T Corp. | Virtual private network |
US6493349B1 (en) * | 1998-11-13 | 2002-12-10 | Nortel Networks Limited | Extended internet protocol virtual private network architectures |
US7730172B1 (en) * | 1999-05-24 | 2010-06-01 | Computer Associates Think, Inc. | Method and apparatus for reactive and deliberative service level management (SLM) |
US6675225B1 (en) * | 1999-08-26 | 2004-01-06 | International Business Machines Corporation | Method and system for algorithm-based address-evading network snoop avoider |
JP2001237876A (ja) * | 2000-02-21 | 2001-08-31 | Nec Corp | Ip仮想プライベート網の構築方法及びip仮想プライベート網 |
US7085854B2 (en) * | 2000-04-12 | 2006-08-01 | Corente, Inc. | Methods and systems for enabling communication between a processor and a network operations center |
JP2003531519A (ja) * | 2000-04-13 | 2003-10-21 | オペラックス エービー | ネットワーク最適化方法 |
AU2001259075A1 (en) * | 2000-04-17 | 2001-10-30 | Circadence Corporation | System and method for web serving |
US7315554B2 (en) * | 2000-08-31 | 2008-01-01 | Verizon Communications Inc. | Simple peering in a transport network employing novel edge devices |
US6993026B1 (en) * | 2000-08-31 | 2006-01-31 | Verizon Communications Inc. | Methods, apparatus and data structures for preserving address and service level information in a virtual private network |
US7027394B2 (en) * | 2000-09-22 | 2006-04-11 | Narad Networks, Inc. | Broadband system with traffic policing and transmission scheduling |
US20020042875A1 (en) | 2000-10-11 | 2002-04-11 | Jayant Shukla | Method and apparatus for end-to-end secure data communication |
JP4183379B2 (ja) * | 2000-11-27 | 2008-11-19 | 富士通株式会社 | ネットワーク及びエッジルータ |
US20050088977A1 (en) * | 2000-12-14 | 2005-04-28 | Nortel Networks Limited | Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment |
US7225259B2 (en) * | 2001-02-21 | 2007-05-29 | Nokia Inc. | Service tunnel over a connectionless network |
IL141855A0 (en) * | 2001-03-07 | 2002-03-10 | Onetiercommunications Inc | A method and apparatus for providing an improved quality of service for data transfer over the internet |
EP1331766A1 (en) * | 2001-12-20 | 2003-07-30 | Alcatel | A telecommunications system employing virtual service network architecture |
US20030172264A1 (en) * | 2002-01-28 | 2003-09-11 | Hughes Electronics | Method and system for providing security in performance enhanced network |
WO2003079614A1 (en) * | 2002-03-18 | 2003-09-25 | Nortel Networks Limited | Resource allocation using an auto-discovery mechanism for provider-provisioned layer-2 and layer-3 virtual private networks |
JP3917622B2 (ja) * | 2002-05-20 | 2007-05-23 | 富士通株式会社 | ネットワーク中継装置、ネットワーク中継方法、ネットワーク中継用プログラム |
US7130270B2 (en) * | 2002-07-26 | 2006-10-31 | International Business Machines Corporation | Method and apparatus for varying bandwidth provided to virtual channels in a virtual path |
US7076569B1 (en) * | 2002-10-18 | 2006-07-11 | Advanced Micro Devices, Inc. | Embedded channel adapter having transport layer configured for prioritizing selection of work descriptors based on respective virtual lane priorities |
US7062566B2 (en) * | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
US7478427B2 (en) * | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
US20050015511A1 (en) * | 2003-07-02 | 2005-01-20 | Nec Laboratories America, Inc. | Accelerated large data distribution in overlay networks |
CN1617508B (zh) * | 2003-11-13 | 2010-04-14 | 华为技术有限公司 | 一种服务质量策略转换设备及方法 |
US7603463B2 (en) * | 2003-12-12 | 2009-10-13 | Nortel Networks Limited | Method and apparatus for allocating processing capacity of system processing units in an extranet gateway |
CN100384172C (zh) * | 2004-01-20 | 2008-04-23 | 华为技术有限公司 | 基于网络的虚拟专用网中保证服务质量的系统及其方法 |
CN101014958A (zh) * | 2004-07-09 | 2007-08-08 | 松下电器产业株式会社 | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 |
US20060146825A1 (en) * | 2004-12-30 | 2006-07-06 | Padcom, Inc. | Network based quality of service |
US7440407B2 (en) * | 2005-02-07 | 2008-10-21 | At&T Corp. | Method and apparatus for centralized monitoring and analysis of virtual private networks |
CN1905517A (zh) * | 2005-07-30 | 2007-01-31 | 华为技术有限公司 | 在ngn网络中为媒体流选择转发路径的控制系统及方法 |
US7801030B1 (en) * | 2005-09-16 | 2010-09-21 | Cisco Technology, Inc. | Technique for using OER with an ECT solution for multi-homed spoke-to-spoke sites |
US8260922B1 (en) * | 2005-09-16 | 2012-09-04 | Cisco Technology, Inc. | Technique for using OER with an ECT solution for multi-homed sites |
US7805602B1 (en) * | 2005-11-10 | 2010-09-28 | Cisco Technology, Inc. | Prioritized call admission control for internet key exchange |
CN1866868B (zh) * | 2006-01-18 | 2010-10-06 | 华为技术有限公司 | 一种多协议标签交换网络流量管理系统、方法及设备 |
EP1826956B8 (de) * | 2006-02-23 | 2008-08-13 | Swisscom AG | Anpassung von virtuellen und physikalischen Netzwerkschnittstellen |
US7545753B2 (en) * | 2006-04-28 | 2009-06-09 | Nokia Corporation | System, method and computer program product for providing quality of service during remote access to a plug-and-play network |
US7649848B1 (en) | 2006-09-08 | 2010-01-19 | Sprint Communications Company L.P. | Ability to apply different levels of quality of service (QoS) to different sessions in an IPsec tunnel |
US7835275B1 (en) * | 2006-09-08 | 2010-11-16 | Sprint Communications Company L.P. | Dynamic assignment of quality of service (QoS) to an active session in an ipsec tunnel |
US8199755B2 (en) * | 2006-09-22 | 2012-06-12 | Rockstar Bidco Llp | Method and apparatus establishing forwarding state using path state advertisements |
US7649881B2 (en) * | 2006-12-14 | 2010-01-19 | Nortel Networks Limited | Pinning the route of IP bearer flows in a next generation network |
US8132247B2 (en) * | 2007-08-03 | 2012-03-06 | Citrix Systems, Inc. | Systems and methods for authorizing a client in an SSL VPN session failover environment |
WO2009093299A1 (ja) | 2008-01-21 | 2009-07-30 | Fujitsu Limited | パケット処理装置およびパケット処理プログラム |
CN101237376A (zh) * | 2008-01-24 | 2008-08-06 | 华为技术有限公司 | 一种虚拟专用网的标签获取方法和自主系统边界路由设备 |
US7852849B2 (en) * | 2008-03-04 | 2010-12-14 | Bridgewater Systems Corp. | Providing dynamic quality of service for virtual private networks |
US8553541B2 (en) * | 2008-06-13 | 2013-10-08 | Telefonaktiebolaget Lm Ericsson | Network traffic transfer between a radio base station node and a gateway node |
US9319300B2 (en) * | 2008-12-09 | 2016-04-19 | Glue Networks, Inc. | Systems and methods for determining endpoint configurations for endpoints of a virtual private network (VPN) and deploying the configurations to the endpoints |
US8850521B2 (en) | 2009-08-04 | 2014-09-30 | Cisco Technology, Inc. | Providing differentiated network services and priorities to VPN routers/clients |
US20110246899A1 (en) * | 2010-03-31 | 2011-10-06 | Brocade Communications Systems, Inc. | Simplified distribution of software to networked devices |
US8982888B2 (en) * | 2010-10-18 | 2015-03-17 | Motorola Solutions, Inc. | Service data flow detection in a conforming 3GPP access network having a packet modification function |
-
2012
- 2012-05-22 US US13/477,185 patent/US9300570B2/en active Active
-
2013
- 2013-05-17 WO PCT/US2013/041579 patent/WO2013176983A1/en active Application Filing
- 2013-05-17 BR BR112014028767A patent/BR112014028767A2/pt not_active IP Right Cessation
- 2013-05-17 KR KR1020147029155A patent/KR101680955B1/ko active IP Right Grant
- 2013-05-17 MX MX2014014147A patent/MX341161B/es active IP Right Grant
- 2013-05-17 CN CN201380022939.1A patent/CN104272674B/zh not_active Expired - Fee Related
- 2013-05-17 CA CA2870048A patent/CA2870048C/en active Active
- 2013-05-17 AU AU2013266624A patent/AU2013266624B2/en active Active
- 2013-05-17 EP EP13725875.2A patent/EP2853070B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040022191A1 (en) | 1999-11-30 | 2004-02-05 | Yoram Bernet | Network quality of service for qualitative applications |
US7673048B1 (en) | 2003-02-24 | 2010-03-02 | Cisco Technology, Inc. | Methods and apparatus for establishing a computerized device tunnel connection |
US8146148B2 (en) | 2003-11-19 | 2012-03-27 | Cisco Technology, Inc. | Tunneled security groups |
US20130121262A1 (en) | 2011-11-15 | 2013-05-16 | Motorola Solutions, Inc. | Preserving user-differentiated quality of service for mobile virtual private network communications made using a shared connection point |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023128181A1 (ko) * | 2021-12-27 | 2023-07-06 | 삼성전자주식회사 | 스플릿 터널링 방법 및 장치 |
Also Published As
Publication number | Publication date |
---|---|
EP2853070A1 (en) | 2015-04-01 |
EP2853070B1 (en) | 2016-03-09 |
WO2013176983A1 (en) | 2013-11-28 |
MX2014014147A (es) | 2015-02-04 |
CA2870048C (en) | 2016-10-04 |
KR20150020530A (ko) | 2015-02-26 |
BR112014028767A2 (pt) | 2017-06-27 |
US20130318345A1 (en) | 2013-11-28 |
CN104272674B (zh) | 2017-08-08 |
CN104272674A (zh) | 2015-01-07 |
CA2870048A1 (en) | 2013-11-28 |
US9300570B2 (en) | 2016-03-29 |
MX341161B (es) | 2016-08-04 |
AU2013266624B2 (en) | 2016-08-11 |
AU2013266624A1 (en) | 2014-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101680955B1 (ko) | 다중 터널 가상 사설 네트워크 | |
US20210352017A1 (en) | Virtual private network (vpn)-as-a-service with load- balanced tunnel endpoints | |
US11848961B2 (en) | HTTPS request enrichment | |
CN106375493B (zh) | 一种跨网络通信的方法以及代理服务器 | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
US10992709B2 (en) | Efficient use of IPsec tunnels in multi-path environment | |
US20060182103A1 (en) | System and method for routing network messages | |
US10904219B2 (en) | Transport relay in communications network | |
US9210223B2 (en) | Providing differentiated network services and priorities to VPN routers/clients | |
WO2020134413A1 (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
US20180302378A1 (en) | Context specific keys | |
CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
CN105635076B (zh) | 一种媒体传输方法和设备 | |
US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20191112 Year of fee payment: 4 |