KR101686995B1 - 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법 - Google Patents

소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법 Download PDF

Info

Publication number
KR101686995B1
KR101686995B1 KR1020150097344A KR20150097344A KR101686995B1 KR 101686995 B1 KR101686995 B1 KR 101686995B1 KR 1020150097344 A KR1020150097344 A KR 1020150097344A KR 20150097344 A KR20150097344 A KR 20150097344A KR 101686995 B1 KR101686995 B1 KR 101686995B1
Authority
KR
South Korea
Prior art keywords
vpn
office
sdn
gateway
ipsec
Prior art date
Application number
KR1020150097344A
Other languages
English (en)
Inventor
유현
한영태
백은경
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020150097344A priority Critical patent/KR101686995B1/ko
Application granted granted Critical
Publication of KR101686995B1 publication Critical patent/KR101686995B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0659Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/122Avoiding congestion; Recovering from congestion by diverting traffic away from congested entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5619Network Node Interface, e.g. tandem connections, transit switching
    • H04L2012/5621Virtual private network [VPN]; Private-network - network-interface (P-NNI)

Abstract

본 발명은 SDN 및 NFV를 이용하여 본사와 지사의 VPN 게이트웨이 사이에서 VPN 통신을 제공하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법을 개시한다. 본 발명에 따르는 IPSec VPN 장치는, 지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 단일 터널의 SDN 연결을 제어하는 SDN 제어부; 및 상기 SDN 제어부에 연결되어 본사 VPN 게이트웨이 및 지사 VPN 게이트웨이 사이의 키 교환을 중개하는 VPN 모듈을 포함한다. 본 발명에 따르면, 본사와 지사의 VPN 게이트웨이를 SDN에 기반하여 단일의 터널로 연결하고, NFV에 기반하여 다중화된 본사 VPN 게이트웨이들 중에서 부하 분산을 고려하여 선택한 본사 VPN 게이트웨이를 지사 VPN 게이트웨이에 배정한다.

Description

소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법{IPSec VPN Apparatus and system for using software defined network and network function virtualization and method thereof broadcasting}
본 발명은 IPSec VPN(Virtual Private Network) 기술에 관한 것으로, 보다 상세하게는 NFV(Network Function Virtualization)를 기반으로 본사 VPN 게이트웨이를 다중화하고, SDN(Software Defined Network)을 기반으로 지사와 본사의 VPN 게이트웨이를 단일 터널로 연결하고, 다중화된 본사 VPN 게이트웨이의 부하를 분산하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법에 관한 것이다.
소프트웨어 정의 방식의 네트워킹(SDN : Software Defined Network)은 기존의 네트워크 장비가 데이터 평면(Data Plane)과 제어 평면(Control Plane)을 분리하여, 네트워크에 대한 관리, 모니터링, 제어에 관련된 처리를 하나의 집중화된 제어기에서 처리하도록 하는 중앙 집중식 구조이다. 이러한 소프트웨어 정의 방식의 중앙 집중식 구조에서는 네트워크 장비들에 대한 정보를 Open Flow와 같은 제어 평면 인터페이스를 통해 SDN 제어기로 일괄 취합해 사용자에게 추상화된 네트워크 자원 정보를 제공하며 이렇게 전달받은 네트워크 정보를 기반으로 기존의 분산 방식의 네트워크 운용 방식보다 유연한 네트워크 관리가 가능하다.
네트워크 기능 가상화 (NFV : Network Functions Virtualization) 기술은 기존에 Hardware Appliances들로 구현된 Route, NAT, Firewall, IPS, VPN 등의 다양한 네트워크 기능을 소프트웨어 형태의 Virtual Appliances로 구현하고 운용하는 가상화 기술이다. 이러한 NFV 기술을 활용하여 네트워크 서비스 기능을 소프트웨어 기반 프레임워크를 사용하여 서비스 유연성을 향상시킬 수 있다.
가상 사설망 (VPN : Virtual Private Network)은 기존의 인터넷 망을 이용하여 전용회선처럼 사용할 수 있는 네트워크로서 기업에서 본사와 지사간에 전용선이 필요할 때 사용될 수 있다.
IPSec VPN은 이런 VPN의 대표적인 프로토콜로서 네트워크 계층 (IP 계층)의 보안을 지원한다. IPSec VPN의 동작 방식은 호스트간의 End-to-End 에서 IP Sec을 수행하는 전송 모드 (Transport Mode)와 VPN Gateway 에서 IP Sec을 수행하는 터널 모드 (Tunnel Mode)로 분류할 수 있으며, 각각 AH (Authentication Header)와 ESP (Encapsulating Security Payload)를 사용할 수 있다. AH는 출발지 인증, 비연결형 데이터 무결성, 재전송 공격 방지 기능을 보장하는 반면 ESP는 AH가 보장하는 기능을 포함하여 보다 많은 기능을 보장하기 위한 보안면에서 우수하다.
VPN에서 키 교환 프로토콜인 IKE (Internet Key Exchange)는 IPSec VPN을 구축할 때 IP 패킷의 암호화/복호화를 위한 비밀키, 암호화 알고리즘, 해시 알고리즘, 전송 모드 및 암호화되는 네트워크 대역 정보 등을 사용한다. 현재 IKE는 버전 1(IKEv1)과 버전 2(IKEv2)가 사용되며 IKEv2는 IKEv1의 RFC 문서 3개(RFC 2407, RFC 2408, RFC 2409)를 RFC 4306으로 통합하였다. IKEv2 표준 문서는 현재 RFC 7296까지 업데이트되어 있다.
기업에서 IPSec VPN을 구축할 때는 보통 ESP를 사용하며 터널 모드를 통해 본사 VPN Gateway와 지사 VPN Gateway들이 연결된다. 본사 VPN Gateway에 여러 지사들의 VPN Gateway가 연결되는 구조이기 때문에, 일반적으로 본사에는 고사양의 VPN Gateway 장비가 설치되며 지사에는 본사에 비해 상대적으로 저사양의 VPN Gateway 장비가 설치된다.
여기서, 본사 VPN Gateway 장비는 안전성 및 고가용성을 보장하기 위해 VPN Gateway를 이중화하고 있어 비용이 증가되는 문제가 있다. 또한, 본사의 이중화된 VPN Gateway 장비는 부하 분산 및 장비의 효율성 제고를 위해 통상 Active-Active 모드로 동작되는데 Active-Active 모드를 활용하기 위해서 본사에 있는 이중화된 VPN Gateway 장비는 각각의 IPSec VPN 터널을 구성하게 된다.
즉, 도 1 및 도 2에서와 같은 종래의 legacy VPN 시스템에 있어서, 지사 VPN Gateway(100) 장비에는 이중화된 본사 VPN Gateway(200, 201)와 IPSec 터널(301, 302)이 두 개가 구성되게 된다. 이렇게 생성된 IPSec 터널(301, 302)에 대한 부하 분산(Load Balancing)은 IPSec VPN의 특성 때문에 본사 VPN Gateway(201, 202)에서 처리되는 것이 아닌 각 지사의 VPN Gateway(100) 장비에서 라운드 로빈(Round Robin), 가중치 라운드 로드 (Weighted Round Robin)등의 스케줄링을 통해 수행되게 된다. 이는 지사 VPN Gateway(100) 장비가 병목이 발생되는 본사의 VPN Gateway(201, 202)의 상태를 인지하지 못하는 상태에서 부하를 분산하는 것으로 효과적인 부하 분산이라고 할 수 없을 것이다. 또한, 본사 VPN Gateway(201, 202)의 이중화로 인해 지사의 VPN Gateway(100)는 중복으로 IPSec 터널(301, 302)을 관리해야 하며 지사 VPN Gateway(100)의 수가 증가할수록 본사 VPN Gateway(201, 202)에서 관리해야 하는 IPSec 터널(301, 302)의 수가 증가하여 IPSec에 대한 관리 문제가 발생하게 된다.
한국공개특허 2015-0056035
본 발명은 상기와 같은 문제를 해결하기 위한 것으로서, 본사와 지사간의 VPN Gateway를 SDN에 기반된 단일 터널로 연결하고, 본사 VPN 게이트웨이를 NFV에 기반된 복수개의 VPN 게이트웨이로 구축하고, IPSec 정보를 기반으로 본사의 VPN 게이트웨이들의 부하 분산을 고려하여 지사로 분배하는 VPN 게이트웨이 시스템 및 VPN 게이트웨이 방법을 제공하는 것을 목적으로 한다.
본 발명의 다른 목적은, 본사와 지사의 Gateway 사이에 IKE 키 교환을 대신하는 SDN 제어기에 VPN 모듈을 연결하고, 상기 Gateway의 VPN 연결 요청시 해당 연결에 대한 IPSec에 대한 정보를 VPN 모듈이 제공하는데 있다.
상기 기술적 과제를 달성하기 위한 본 발명에 따른 IPSec VPN 장치는, SDN(Software Defined Network) 및 NFV(Network Function Virtualization)를 이용하여 지사와 본사간의 IPSec(IP Security protocol) VPN(Virtual Private Netwrok)을 구성하는 IPSec VPN 장치에 있어서, 지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 단일 터널의 SDN 연결을 제어하는 SDN 제어부; 및 상기 SDN 제어부에 연결되어 본사 VPN 게이트웨이 및 지사 VPN 게이트웨이 사이의 키 교환을 중개하는 VPN 모듈을 포함한다.
본 발명에 있어서, 상기 SDN 제어부는, 상기 지사 VPN 게이트웨이의 SDN 스위치로부터 메시지를 수신하고, 수신된 메시지가 본사 VPN 게이트웨이를 목적지로 하는 키 교환의 IKE(Internet Key Exchange) 메시지이면, 수신된 메시지의 IKE 메시지를 VPN 모듈로 제공한다.
여기서, 상기 VPN 모듈은, 본사 VPN 게이트웨이에 대해 기 저장된 정보를 참조하여 지사 VPN 게이트웨이를 상대로 키 교환을 수행하고, 상기 키 교환에 의해 생성된 IPSec VPN 터널 정보를 상기 SDN 제어부로 제공한다.
또한, 상기 SDN 제어부는, 키 교환에 의해 상기 VPN 모듈로부터 상기 단일 터널에 해당되는 IPSec VPN 터널의 정보가 포함된 메시지를 수신하고, 수신된 메시지의 IPSec 정보를 전체의 본사 VPN 게이트웨이로 멀티캐스팅하여 상기 IPSec VPN 터널의 생성을 제어한다.
여기서, 상기 본사 VPN 게이트웨이는, NFV를 기반으로 다중화된 복수개의 게이트웨이이고, 상기 본사측 SDN 스위치를 통해 연결된 상기 IPSec VPN 터널을 공유한다.
본 발명의 일 측면에 따르면, 상기 SDN 제어부는, 복수개의 본사 VPN 게이트웨이의 상태를 모니터링하고, 본사측 SDN 스위치를 제어하여 본사 VPN 게이트웨이의 부하 분산을 처리한다.
여기서, 상기 본사측 SDN 스위치는, 지사측 SDN 스위치로부터 상기 단일 터널에 해당되는 IPSec VPN 터널을 통해 수신된 데이터에 대해 네트워크 주소 변환 처리를 수행하여 상기 데이터의 목적지 주소를 본사측 SDN 스위치의 주소에서 본사 VPN 게이트웨이의 주소로 변환한다.
바람직하게, 상기 SDN 제어부는, 각 지사별 SDN 스위치에 대해 데이터 부하를 모니터링하고, 제 1지사의 데이터 부하가 임계치를 초과하는 것으로 판단하고, 제 1지사측 SDN 스위치를 통과하는 데이터가 제 2지사측 SDN 스위치를 통해 본사측 SDN 스위치로 전송되도록 지사 VPN 게이트웨이의 분산 처리를 수행한다.
바람직하게, 상기 SDN 제어부는, 지사 또는 본사의 어느 하나 이상의 VPN 게이트웨이에 장애가 발생한 경우, 장애가 발생된 VPN 게이트웨이를 생략하고 지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 존재하는 전용선을 통해 데이터를 통신하도록 제어한다.
지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 전용선이 존재하고, 어느 하나 이상의 VPN 게이트웨이에 장애가 발생한 경우, 장애가 발생된 VPN 게이트웨이를 생략하고 상기 전용선을 통해 데이터를 통신한다.
바람직하게, 상기 SDN 제어부는, 지사 VPN 게이트웨이가 SDN 스위치가 없는 종래의 게이트웨이일 경우, VPN 모듈은 본사측 SDN 스위치를 이용하여 키 교환을 수행한다.
본사측 제 1SDN 스위치 및 상기 제 1SDN 스위치와 연결된 제 2SDN 스위치를 제어하여, 제 2SDN 스위치에 연결된 본사 VPN 게이트웨이의 VPN 통신을 제어한다.
바람직하게, 상기 SDN 제어부는, 본사측 SDN 스위치와 연결되고, 상기 SDN 스위치는 하드웨어 기반의 복수개의 VPN 게이트웨이와 연결된다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 IPSec VPN 시스템은, 구비된 지사측 SDN 스위치를 통해 IPSec VPN 장치와 연결되어 키 교환을 수행하는 지사 VPN 게이트웨이; 상기 지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 키 교환을 중개하고, 키 교환의 중개에 의해 단일 터널의 SDN 연결을 제어하고, 지사 VPN 게이트웨이의 접속 요청에 대해 본사 VPN 게이트웨이의 부하 분산을 처리하여 배정하는 IPSec VPN 장치; 및 NFV를 기반으로 게이트웨이가 복수개로 다중화되고, 복수의 게이트웨이가 구비된 본사측 SDN 스위치에 연결되고, 본사측 SDN 스위치를 통해 지사 VPN 게이트웨이의 SDN 스위치와 상기 단일 터널이 형성되고, 상기 부하 분산의 처리에 의해 지사 VPN 게이트웨에에 배정되는 본사 VPN 게이트웨이를 포함한다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 IPSec VPN 방법은, IPSec VPN 장치가 SDN 및 NFV를 이용하여 지사와 본사간의 IPSec VPN을 구성하는 IPSec VPN 방법에 있어서, (a)지사 VPN 게이트웨이로부터 본사 VPN 게이트웨이로의 통신 접속을 요청받는 통신 접속 요청 단계; (b)지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 키 교환을 중개하는 키 교환 중개 단계; (c)키 교환에 의해, 상기 SDN 스위치들 사이에 단일 터널의 SDN 연결을 제어하는 SDN 제어 단계; 및 (d)본사 VPN 게이트웨이들을 상대로 부하 정보를 수집하고, 수집된 부하 정보에 따라 분산 처리에 의해 선택된 본사 VPN 게이트웨이를 지사 VPN 게이트웨이에 배정하는 부하 분산 처리 단계를 포함한다.
본 발명의 일 측면에 따르면, SDN을 기반으로 지사 게이트웨이와 본사 게이트웨이 사이에 단일 터널의 통신 경로를 생성하여 제어가 간단하고 하드웨어의 효율화를 제공한다.
본 발명의 다른 측면에 따르면, 본사측 VPN 게이트웨이는 NFV를 기반으로 복수개의 게이트웨이로 다중화되어 HW 자원의 비용이 절감된다.
본 발명의 또 다른 측면에 따르면, SDN 제어기가 SDN 스위치를 통해 부하 분산에 따른 본사 VPN 게이트웨이를 지사 VPN 게이트웨이에 배정하여 실제적인 부하 분산을 제공한다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 후술한 발명의 상세한 설명과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되지 않아야 한다.
도 1 및 도 2는 종래의 legacy VPN 시스템의 개략적 구성도이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 IPSec VPN 시스템의 개략적 구성도이다.
도 5는 도 3의 SDN 제어기가 지사 VPN 게이트웨이의 부하 분산을 관리하는 예시도이다.
도 6은 도 3의 VPN 게이트웨이의 불능에 따라 전용선으로 지사와 본사의 SDN 스위치가 연결되는 예시도이다.
도 7은 도 3의 지사 VPN 게이트웨이가 legacy 게이트웨이일 경우의 예시도이다.
도 8은 도 3의 본사 SDN 스위치와 본사 VPN 게이트웨이가 독립되어 구축되는 예시도이다.
도 9는 도 3의 본사 VPN 게이트웨이를 legacy 게이트웨이로 구성하는 예시도이다.
도 10은 본 발명의 일 실시예에 따른 IPSec VPN 방법의 개략적 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상에 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 IPSec VPN 시스템(1)의 개략적 구성도이다.
본 발명의 일 실시예에 따른 IPSec VPN 시스템(1)은 유, 무선 네트워크를 기반으로 구축되며, 지사측 SDN 스위치(21)를 구비한 지사 VPN 게이트웨이(2), 본사측 SDN 스위치(31)를 구비한 본사 VPN 게이트웨이(3) 및 지사와 본사의 SDN 스위치들(21, 31)의 사이에서 키 교환을 중개하고 본사 VPN 게이트웨이(3)의 로드 분산을 제어하여 SDN을 구성하는 IPSec VPN 장치(4)를 포함하여 구성된다.
본 발명에서의 상기 유, 무선 네트워크는 대표적으로 이동통신망, 인터넷과 같은 유, 무선 공중망이나 전용망 등과 같이 다양한 프로토콜을 이용하여 데이터 통신이 가능한 모든 통신망을 포괄한다.
상기 지사 VPN 게이트웨이(2)는 SDN 스위치(21)를 통해 본사 VPN 게이트웨이(3)의 SDN 스위치(31)와 단일의 IPSec 터널을 형성한다. 레거시 환경의 지사 VPN 게이트웨이(100)와 비교하면, 종래의 이중화된 터널은 본 발명에서 단일의 터널로 형성되어 자원의 효율화를 이룬다. 또한, 레거시 환경의 지사 VPN 게이트웨이(100) 부담했던 본사 VPN 게이트웨이(3)의 로드 분산은 제거되었다.
상기 본사 VPN 게이트웨이(3)는 SDN 스위치(31)를 통해 지사 VPN 게이트웨이(2)의 SDN 스위치(21)와 단일의 IPSec 터널을 형성한다. 여기서, 복수개의 VPN 게이트웨이(3)는 NFV를 기반으로 다중화되므로 단일의 HW 자원을 이용하여 자원의 효율화를 이룬다.
상기 IPSec VPN 장치(4)는 SDN 제어기(41) 및 VPN 모듈(42)을 포함하고, 지사 VPN 게이트웨이(2)가 본사 VPN 게이트웨이(3)로 접속을 요청하는 것에 대해, 키 교환을 중개하고, 키 교환의 중개에 의해 단일 터널의 SDN 연결을 제어하고, 본사 VPN 게이트웨이(3)의 부하 분산을 처리하여 선택된 VPN 게이트웨이(3)를 지사 VPN 게이트웨이(2)에 배정한다. IPSec VPN 장치(4)는 본사 VPN 게이트웨이(3)와 독립되어 구축될 수도 있고 통합되어 구축될 수도 있다.
상기 SDN 제어기(41)에는 VPN 모듈(42)이 연결되고, VPN 모듈(42)은 복수개의 본사 VPN Gateway(3)를 대표하여 지사 VPN 게이트에이(3)를 상대로 IKEv2 키 교환을 수행한다. VPN 모듈(42)은 지사 VPN Gateway(2)가 본사 VPN 게이트웨이(3)로 연결을 요청하면, 해당 연결에 대한 IPSec 처리를 수행한다.
키 교환의 처리를 구체적으로 설명하면, 지사 VPN Gateway(2)에서 본사 VPN Gateway(3)로 보내는 IKE 키 교환 메시지를 지사측 SDN 스위치(21)가 처음 수신하게 되면 플로우 테이블 엔트리에 일치하는 정보가 없기 때문에, 지사측 SDN 스위치(21)가 PACKET_IN 메시지를 생성하여 SDN 제어기(41)로 전달한다.
SDN 제어기(41)가 상기 PACKET_IN 메시지를 수신하면, 수신된 메시지를 분석한다. 메시지 분석에 의해 IKE 메시지가 판단되면, 즉, 목적지 IP가 본사의 SDN 스위치(31)이고 목적지 포트가 500이나 4500이면, 모두 SDN 제어기(41)로 전달하는 Action을 FLOW_MOD 메시지에 포함시켜서 해당 SDN 스위치(21)에게 전송한다. 그리고 SDN 제어기(41)는 수신된 PACKET_IN 메시지 안에 있는 IKE 메시지를 VPN 모듈(42)로 전달한다.
VPN 모듈(42)은 본사 VPN Gateway(3)에 대한 정보(지원 가능한 암호 및 해쉬 방식 등)를 미리 갖고 있으며, 본사 VPN Gateway(3)를 대신하여 지사 VPN 게이트웨이(2)를 상대로 IKE 키 교환을 수행할 수 있다.
상기 FLOW_MOD 메시지를 수신한 SDN 스위치(21)는 이 메시지에 정의된 Flow Rule을 플로우 테이블에 저장한 후, 해당 패킷을 지정된 Action에 따라 처리한다. 즉, SDN 스위치(21) IKE 메시지를 수신했을 경우, 모두 SDN 제어기(41)로 전달한다.
지사 VPN Gateway(21)와 SDN 제어기(41)의 VPN 모듈(42)간에 정상적으로 IKE 키 교환이 끝나면, 도 4에서와 같이 IKE_AUTH Exchange Response 메시지를 VPN 모듈(42)이 지사 VPN 게이트웨이(2)로 응답한다. IKE 키 교환이 정상적으로 처리되면, 지사 VPN 게이트웨이(2)는 상기 키 교환을 통해서 얻어진 IPSec VPN 터널의 정보를 특정 메시지(ex : INFORMATION)로 생성하여 이를 SDN 제어기(42)로 전달한다.
키 교환에 의해 IPSec 정보가 생성되면, SDN 제어기(41)는 VPN 모듈(42)을 통해 생성된 IPSec 정보(예 : 암호화 방식, 암호화 키, 암호화되는 네트워크 대역 등)를 NFV를 기반으로 다중화된 모든 본사 VPN Gateway(3)로 multicasting한다.
여기서, SDN 제어기(41)는 상기 INFORMATON 메시지를 본사의 모든 VPN Gateway(3)들에게 전달한다. 즉, SDN 제어기(41)는 INFORMATION 메시지를 PACKET_OUT 메시지에 포함시켜 본사의 SDN 스위치(31)에게 전송한다. 이 PACKET_OUT 메시지에는 본사 VPN Gateway(3)와 연결된 모든 포트로 메시지를 전송하라는 Action이 포함되어 있다. 이를 통해, 본사 SDN 스위치(31)는 INFORMATION 메시지를 본사 VPN Gateway(3)로 multicasting한다.
그러면, SDN 제어기(41)로부터 INFORMATION 메시지를 수신한 본사 VPN Gateway(3)는 수신된 IPSec 정보를 이용하여 IPSec VPN 터널을 생성한다. 이를 통해 지사와 본사간에 IPSec VPN 터널(400)이 생성된다. 생성된 IPSec VPN 터널(300)은 지사 VPN Gateway(2)의 입장에서는 단일의 IPSec VPN 터널이 생성된 것이고 본사의 모든 VPN Gateway(3)들은 단일의 IPSec VPN 터널을 공유하는 것이다.
IPSec VPN 터널이 생성된 이후로, 지사 VPN Gateway(2)로부터 본사 VPN Gateway(3)로 전송되는 모든 암호화된 트래픽은 본사 SDN 스위치(31)로 들어오며 SDN 스위치(31)를 통해 아래에서와 같이 적절하게 부하 분산이 수행된다. 그러면, 본사 SDN 제어기(41)는 본사측 SDN 스위치(31)의 플로우 정보를 제어함으로써 부하 분산을 수행할 수 있다. 또한, SDN 제어기(41)는 본사의 각 VPN Gateway(3)의 상태를 모니터링하고, 모니터링한 정보를 활용하여 효율적으로 본사 VPN Gateway(3)들 간의 부하 분산을 수행할 수 있다.
여기서, 본사 SDN 스위치(31)는 NAT (Network Address Translation)와 같은 기능을 수행하기 위한 Flow Rule이 설정되어 있다. 즉, 목적지 IP가 본사 SDN 스위치(31)로 되어 있는 것을 본사 VPN Gateway(3)의 IP로 변경하는 Flow Rule이 미리 설정되어 있다.
위에서 설명한 방법으로 지사와 본사간에 IPSec VPN 터널(400)이 생성된 IPSec VPN 망에서 활용할 수 있는 자세한 실시예는 다음과 같다.
실시예 1)에 따르면, 본사 SDN 스위치(31)는 각 지사에서 전송되는 VPN 트래픽을 본사 VPN Gateway(3)들에게 적절하게 부하 분산을 할 수 있다. 즉, 기존 IPSec VPN에서 지사 VPN Gateway(100)가 부하 분산을 수행한 것과 달리 제안한 방법에서는 SDN 제어기(41)가 본사 VPN Gateway(3)들의 상태를 주기적으로 모니터링하고 이 정보를 기반으로 효율적으로 부하 분산을 수행할 수 있다.
먼저, SDN 제어기(41)는 주기적으로 본사의 각 VPN Gateway(3)의 부하를 일정시간 동안 본사 VPN Gateway에게 전송되는 평균 패킷 사이즈를 이용하여 측정한다. 평균 패킷 사이즈를 이용하는 이유는 VPN Gateway(3)는 패킷의 암호화 및 복호화를 위해 computing power가 중요시되고 이는 처리되는 패킷 사이즈에 비례하여 사용되는 자원이기 때문이다. 즉, 평균 패킷 사이즈가 크면 부하가 큰 것이고 평균 패킷 사이즈가 작으면 부하가 작다고 판단할 수 있다. 그러면, 본사 SDN 스위치(31)는 이렇게 측정된 평균 패킷 사이즈를 기반으로 각 지사 flow에 대해 효율적으로 부하 분산을 수행할 수 있다.
도 5는 도 3의 SDN 제어기(41)가 지사 VPN 게이트웨이(2)의 부하 분산을 관리하는 예시도이다.
실시예 2)에 따르면, 지사들에 설치되어 있는 VPN Gateway(2)의 장비에 대해 부하 분산을 수행할 수 있다. 상기 실시예 2)에 따른 IPSec VPN을 구성하면 각 지사에 설치되어 있는 SDN 스위치(21)를 통해 쉽게 지사들간의 VPN Gateway(2)의 장비에 대한 부하 분산을 수행할 수 있다. 지사간의 부하 분산은 다음과 같이 본사의 부하 분산과는 조금 다른 방식으로 진행된다. SDN 제어기(41)는 주기적으로 지사들의 SDN 스위치를 통해 각 지사 VPN Gateway(2)에 전송되는 부하를 측정하고 있다가 특정 임계치를 넘으면, 즉, 더 이상 지사 VPN Gateway(2)가 VPN 트래픽을 처리하지 못할 것이라고 판단되면 해당 지사의 트래픽을 다른 지사 VPN Gateway로 우회시키도록 Flow Rule를 해당 지사 SDN 스위치(21)에 내린다. 예를 들면, 사용자 3(105)의 "지사 A"의 트래픽은 "지사 B"의 SDN 스위치를 통해 "지사 B"의 VPN Gateway로 우회된다. 물론, 지사들간의 부하 분산은 트래픽 경로가 우회되는 오버헤드가 있기 때문에, 지사 VPN Gateway(2)의 부하 및 지사들의 SDN 스위치(21)의 거리를 적절하게 판단하여 부하 분산을 수행해야 한다.
도 6은 도 3의 VPN 게이트웨이(2, 3)의 불능에 따라 전용선으로 지사와 본사의 SDN 스위치(21, 31)가 연결되는 예시도이다.
실시예 3)에 따르면, 지사 SDN 스위치(21)와 본사 SDN 스위치(31)간에 전용선이 존재할 때 사용할 수 있는 방법으로서, 지사 VPN Gateway(2) 및 본사 VPN Gateway(3) 중에서 어느 하나 이상의 게이트웨이에 장애가 발생했을 경우, SDN 제어기(41)가 트래픽의 플로우를 제어함으로써 VPN Gateway를 거치지 않고 전용선을 통해 지사와 본사간에 패킷을 주고 받을 수 있는 것이 가능하다.
도 7은 도 3의 지사 VPN 게이트웨이(2)가 legacy 게이트웨이(100)일 경우의 예시도이다.
실시예 4)에 따르면, 지사가 SDN 스위치(21)가 없는 기존 IPSec VPN 구성의 VPN 게이트웨이(107)일 경우, IKE 키 교환 메시지가 본사 SDN 스위치(31)를 활용하여 SDN 제어기(41)의 VPN 모듈(42)로 전송되는 동작을 볼 수 있다. 즉, "지사 B"에 SDN 스위치(21)가 없는 구성에서도 제안한 방법을 사용할 수 있다. 단, 이때는 실시예 2)에 따른 지사간의 부하 분산 및 실시예 3)에 따른 장애에 대한 처리는 수행할 수 없다.
도 8은 도 3의 본사 SDN 스위치(32)와 본사 VPN 게이트웨이(3)가 독립되어 구축되는 예시도이다.
실시예 5)에 따르면, 본사의 VPN Gateway(3) 구성은 위에서 설명했던 NFV 기술을 적용하는 장비가 본사 내부에 있는 방법외에 다음과 같은 구성을 할 수 있다.
본사 내부에 VPN Gateway(3)를 위한 장비 없이 SDN 스위치(32)만을 설치하고 이를 데이터 센터나 국사의 SDN 스위치(33)와 연결하여 본사 VPN Gateway(3)를 Cloud 서비스처럼 제공받는 구성을 할 수 있다.
도 9는 도 3의 본사 VPN 게이트웨이(110)를 legacy 게이트웨이(100)로 구성하는 예시도이다.
실시예 6)에 따르면, NFV 기술을 본사 VPN 게이트웨이(110)에 적용하지 않고 기존 Legacy한 VPN Gateway(100)의 장비들을 이용하여 구성하고 다중화할 수 있다.
도 10은 본 발명의 일 실시예에 따른 IPSec VPN 방법의 개략적 순서도이다.
SDN 스위치(21)가 제공된 지사 VPN 게이트웨이(2)는 SDN 제어기(41)로 본사 VPN 게이트웨이(3)의 접속을 요청한다(S11).
지사측의 본사로의 접속 요청에 대해, SDN 제어기(41)는 VPN 모듈(42)을 통해 지사 VPN 게이트웨이(2)를 상대로 IKE의 키 교한을 중개한다(S12).
키 교환의 중개에 의해, 지사 SDN 스위치(21) 및 본사 SDN 스위치(31)의 사이에서는 단일의 IPSec VPN 터널이 생성된다(S13).
IPSec VPN 터널이 생성된 이후로, SDN 제어기(41)는 본사 VPN 게이트웨이의 부하 정보를 수집하고, 지사 VPN 게이트웨이(2)에 부하 정보를 기반으로 적합하다고 선택된 본사 VPN 게이트웨이(3)를 배정한다.
이후로, SDN 제어기(41)는 본사 SDN 스위치(31)의 스위칭을 제어하여 NAT 기반의 데이터 통신을 중개한다(S15).
상술한 실시예에서, "~부" 및 "~ 모듈"이라는 용어는 IPSec VPN 장치(4)의 하드웨어적 구분을 의미하는 용어로 사용된 것이 아니다. 따라서 복수의 구성부가 하나의 구성부로 통합될 수도 있고, 하나의 구성부가 복수의 구성부로 분할될 수도 있다. 또한, 구성부는 하드웨어의 구성부를 의미할 수도 있지만, 소프트웨어의 구성부를 의미할 수도 있다. 따라서 본 발명은 "~부"라는 용어에 의해 특별히 한정되지 않음을 이해하여야 할 것이다.
본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술사상과 아래에 기재될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형이 가능함은 물론이다.
1 : IPSec VPN 시스템 2 : 지사 VPN 게이트웨이
3 : 본사 VPN 게이트웨이 4 : IPSec VPN 장치
21 : 지사 SDN 스위치 31 : 본사 SDN 스위치

Claims (23)

  1. 지사측 SDN(Software Defined Network) 스위치를 제공받아 연결된 지사 VPN(Virtual Private Netwrok) 게이트웨이 및 본사측 SDN 스위치를 제공받아 연결되고 NFV(Network Function Virtualization)를 기반으로 다중화된 복수개의 본사 VPN 게이트웨이에 대해, 지사와 본사간의 IPSec(IP Security protocol) VPN을 구성하는 IPSec VPN 장치에 있어서,
    지사 및 본사의 SDN 스위치 사이에 형성되는 단일 터널에 해당되는 IPSec VPN 터널의 정보가 포함된 메시지를 키 교환을 중개한 VPN 모듈로부터 수신하고, 수신된 메시지의 IPSec 정보를 본사측 SDN 스위치를 통해 전체의 본사 VPN 게이트웨이로 멀티캐스팅하여 상기 IPSec VPN 터널의 생성 및 SDN 연결을 제어하는 SDN 제어부; 및
    상기 SDN 제어부에 연결되어 본사 VPN 게이트웨이 및 지사 VPN 게이트웨이 사이의 키 교환을 중개하는 VPN 모듈을 포함하고,
    지사 및 본사측 SDN 스위치 사이에 연결된 상기 IPSec VPN 터널은 본사측 SDN 스위치를 통해 복수개의 본사 VPN 게이트웨이에 의해 공유되는 것을 특징으로 하는 IPSec VPN 장치.
  2. 제 1항에 있어서,
    상기 SDN 제어부는,
    상기 지사 VPN 게이트웨이의 SDN 스위치로부터 메시지를 수신하고, 수신된 메시지가 본사 VPN 게이트웨이를 목적지로 하는 키 교환의 IKE(Internet Key Exchange) 메시지이면, 수신된 메시지의 IKE 메시지를 VPN 모듈로 제공하는 것을 특징으로 하는 IPSec VPN 장치.
  3. 제 1항에 있어서,
    상기 VPN 모듈은,
    본사 VPN 게이트웨이에 대해 기 저장된 정보를 참조하여 지사 VPN 게이트웨이를 상대로 키 교환을 수행하고, 상기 키 교환에 의해 생성된 IPSec VPN 터널 정보를 상기 SDN 제어부로 제공하는 것을 특징으로 하는 IPSec VPN 장치.
  4. 삭제
  5. 삭제
  6. 제 1항에 있어서,
    상기 SDN 제어부는,
    복수개의 본사 VPN 게이트웨이의 상태를 모니터링하고, 본사측 SDN 스위치를 제어하여 본사 VPN 게이트웨이의 부하 분산을 처리하는 것을 특징으로 하는 IPSec VPN 장치.
  7. 제 1항에 있어서,
    상기 본사측 SDN 스위치는,
    지사측 SDN 스위치로부터 상기 단일 터널에 해당되는 IPSec VPN 터널을 통해 수신된 데이터에 대해 네트워크 주소 변환 처리를 수행하여 상기 데이터의 목적지 주소를 본사측 SDN 스위치의 주소에서 본사 VPN 게이트웨이의 주소로 변환하는 것을 특징으로 하는 IPSec VPN 장치.
  8. 제 1항에 있어서,
    상기 SDN 제어부는,
    각 지사별 SDN 스위치에 대해 데이터 부하를 모니터링하고, 제 1지사의 데이터 부하가 임계치를 초과하는 것으로 판단하고, 제 1지사측 SDN 스위치를 통과하는 데이터가 제 2지사측 SDN 스위치를 통해 본사측 SDN 스위치로 전송되도록 지사 VPN 게이트웨이의 분산 처리를 수행하는 것을 특징으로 하는 IPSec VPN 장치.
  9. 제 1항에 있어서,
    상기 SDN 제어부는,
    지사 또는 본사의 어느 하나 이상의 VPN 게이트웨이에 장애가 발생한 경우, 장애가 발생된 VPN 게이트웨이를 생략하고 지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 존재하는 전용선을 통해 데이터를 통신하도록 제어하는 것을 특징으로 하는 IPSec VPN 장치.
  10. 제 1항에 있어서,
    상기 SDN 제어부는,
    지사 VPN 게이트웨이가 SDN 스위치가 없는 종래의 게이트웨이일 경우, VPN 모듈 및 본사측 SDN 스위치를 이용하여 키 교환을 제어하는 것을 특징으로 하는 IPSec VPN 장치.
  11. 제 1항에 있어서,
    상기 SDN 제어부는,
    본사측 제 1SDN 스위치 및 상기 제 1SDN 스위치와 연결된 제 2SDN 스위치를 제어하여, 제 2SDN 스위치에 연결된 본사 VPN 게이트웨이의 VPN 통신을 제어하는 것을 특징으로 하는 IPSec VPN 장치.
  12. 제 1항에 있어서,
    상기 SDN 제어부는,
    본사측 SDN 스위치에 연결된 하드웨어 기반의 복수개의 VPN 게이트웨이의 VPN 통신을 제어하는 것을 특징으로 하는 IPSec VPN 장치.
  13. 지사측 SDN 스위치를 제공받아 연결되고, 연결된 SDN 스위치를 통해 IPSec VPN 장치와 연결되어 키 교환을 수행하는 지사 VPN 게이트웨이;
    상기 지사 VPN 게이트웨이의 SDN 스위치 및 NFV를 기반으로 복수개로 다중화된 본사 VPN 게이트웨이의 SDN 스위치 사이에서 키 교환을 중개하고, 상기 키 교환에 의해 지사 및 본사의 상기 SDN 스위치 사이에 형성되는 단일 터널에 해당되는 IPSec VPN 터널의 정보가 포함된 메시지의 IPSec 정보를 본사측 SDN 스위치를 통해 전체의 본사 VPN 게이트웨이로 멀티캐스팅하여 상기 IPSec VPN 터널의 생성 및 SDN 연결을 제어하고, 지사 VPN 게이트웨이의 접속 요청에 대해 본사 VPN 게이트웨이의 부하 분산을 처리하여 배정하는 IPSec VPN 장치; 및
    본사측 SDN 스위치를 제공받아 연결되고, 연결된 SDN 스위치를 통해 상기 IP Sec VPN 장치와 연결되고, 상기 IPSec VPN 장치의 제어에 의해, 본사측 SDN 스위치를 통해 지사 VPN 게이트웨이의 SDN 스위치에 대해 형성된 상기 단일 터널을 공유하고, 상기 부하 분산의 처리에 의해 지사 VPN 게이트웨이에 배정되는 본사 VPN 게이트웨이
    를 포함하는 것을 특징으로 하는 IPSec VPN 시스템.
  14. 지사측 SDN 스위치를 제공받아 연결된 지사 VPN 게이트웨이 및 본사측 SDN 스위치를 제공받아 연결되고 NFV를 기반으로 다중화된 복수개의 본사 VPN 게이트웨이에 대해, IPSec VPN 장치가 SDN 및 NFV를 이용하여 지사와 본사간의 IPSec VPN을 구성하는 IPSec VPN 방법에 있어서,
    (a)지사 VPN 게이트웨이로부터 본사 VPN 게이트웨이로의 통신 접속을 요청받는 통신 접속 요청 단계;
    (b)지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 키 교환을 중개하는 키 교환 중개 단계;
    (c)키 교환에 의해, 지사 및 본사의 SDN 스위치 사이에 형성되는 단일 터널에 해당되는 IPSec VPN 터널의 정보가 포함된 메시지의 IPSec 정보를 본사측 SDN 스위치를 통해 전체의 본사 VPN 게이트웨이로 멀티캐스팅하여 상기 IPSec VPN 터널의 생성 및 SDN 연결을 제어하는 SDN 제어 단계; 및
    (d)본사측 SDN 스위치를 통해 연결된 상기 IPSec VPN 터널을 공유하는 본사 VPN 게이트웨이들을 상대로 부하 정보를 수집하고, 수집된 부하 정보에 따라 분산 처리에 의해 선택된 본사 VPN 게이트웨이를 지사 VPN 게이트웨이에 배정하는 부하 분산 처리 단계
    를 포함하는 것을 특징으로 하는 IPSec VPN 방법.
  15. 제 14항에 있어서,
    상기 단계(b)는,
    상기 지사 VPN 게이트웨이의 SDN 스위치로부터 메시지를 수신하고, 수신된 메시지가 본사 VPN 게이트웨이를 목적지로 하는 키 교환의 IKE(Internet Key Exchange) 메시지인지 판단하고, 판단된 IKE 메시지의 처리 응답을 지사 VPN 게이트웨이의 SDN 스위치로 전송하는 단계인 것을 특징으로 하는 IPSec VPN 방법.
  16. 제 14항에 있어서,
    상기 단계(c)는,
    상기 키 교환에 의해 생성된 IPSec VPN 터널 정보를 이용하여 상기 단일 터널을 생성하는 단계인 것을 특징으로 하는 IPSec VPN 방법.
  17. 삭제
  18. 삭제
  19. 제 14항에 있어서,
    상기 단계(d)는,
    복수개의 본사 VPN 게이트웨이의 상태를 모니터링하고, 본사측 SDN 스위치를 제어하여 본사 VPN 게이트웨이의 부하 분산을 처리하는 단계인 것을 특징으로 하는 IPSec VPN 방법.
  20. 제 14항에 있어서,
    상기 단계(d) 이후로,
    (e)상기 본사측 SDN 스위치가 지사측 SDN 스위치로부터 IPSec VPN 터널을 통해 수신된 데이터를 네트워크 주소 변환 처리를 수행하여 상기 데이터의 목적지 주소를 본사측 SDN 스위치의 주소에서 본사 VPN 게이트웨이의 주소로 변환하는 네트워크 주소 변환 단계를 더 포함하는 것을 특징으로 하는 IPSec VPN 방법.
  21. 제 14항에 있어서,
    상기 단계(d) 이후로,
    각 지사별 SDN 스위치에 대해 데이터 부하를 모니터링하고, 제 1지사의 데이터 부하가 임계치를 초과하는 것으로 판단하고, 제 1지사측 SDN 스위치를 통과하는 데이터가 제 2지사측 SDN 스위치를 통해 본사측 SDN 스위치로 전송되도록 지사 VPN 게이트웨이의 분산 처리를 수행하는 단계를 더 포함하는 것을 특징으로 하는 IPSec VPN 방법.
  22. 제 14항에 있어서,
    상기 단계(d) 이후로,
    지사 VPN 게이트웨이의 SDN 스위치 및 본사 VPN 게이트웨이의 SDN 스위치 사이에서 전용선이 존재하고, 어느 하나 이상의 VPN 게이트웨이에 장애가 발생한 경우, 장애가 발생된 VPN 게이트웨이를 생략하고 상기 전용선을 통해 데이터를 통신하는 단계를 더 포함하는 것을 특징으로 하는 IPSec VPN 방법.
  23. 제 14항에 있어서,
    상기 단계(d) 이후로,
    지사 VPN 게이트웨이가 SDN 스위치가 없는 종래의 게이트웨이일 경우, VPN 모듈 및 본사측 SDN 스위치를 이용하여 키 교환을 제어하는 단계를 더 포함하는 것을 특징으로 하는 IPSec VPN 방법.
KR1020150097344A 2015-07-08 2015-07-08 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법 KR101686995B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150097344A KR101686995B1 (ko) 2015-07-08 2015-07-08 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150097344A KR101686995B1 (ko) 2015-07-08 2015-07-08 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법

Publications (1)

Publication Number Publication Date
KR101686995B1 true KR101686995B1 (ko) 2016-12-16

Family

ID=57735631

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150097344A KR101686995B1 (ko) 2015-07-08 2015-07-08 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법

Country Status (1)

Country Link
KR (1) KR101686995B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018167539A1 (en) * 2017-03-16 2018-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Ipsec bypass in sdn network
WO2019190829A1 (en) * 2018-03-27 2019-10-03 Microsoft Technology Licensing, Llc Multiplexing security tunnels
CN111404797A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 控制方法、sdn控制器、sdn接入点、sdn网关及ce

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003069597A (ja) * 2001-08-28 2003-03-07 Nec Corp 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置
US20070266121A1 (en) * 2006-05-09 2007-11-15 Arshad Saeed Remote configuration of devices using a secure connection
US20140229945A1 (en) * 2013-02-12 2014-08-14 Contextream Ltd. Network control using software defined flow mapping and virtualized network functions
US20150056035A1 (en) 2008-07-08 2015-02-26 Amada Company, Limited Tapping machine and tap die, and method of detecting overstroke of tap

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003069597A (ja) * 2001-08-28 2003-03-07 Nec Corp 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置
US20070266121A1 (en) * 2006-05-09 2007-11-15 Arshad Saeed Remote configuration of devices using a secure connection
US20150056035A1 (en) 2008-07-08 2015-02-26 Amada Company, Limited Tapping machine and tap die, and method of detecting overstroke of tap
US20140229945A1 (en) * 2013-02-12 2014-08-14 Contextream Ltd. Network control using software defined flow mapping and virtualized network functions

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018167539A1 (en) * 2017-03-16 2018-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Ipsec bypass in sdn network
WO2019190829A1 (en) * 2018-03-27 2019-10-03 Microsoft Technology Licensing, Llc Multiplexing security tunnels
CN111404797A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 控制方法、sdn控制器、sdn接入点、sdn网关及ce
CN111404797B (zh) * 2019-01-02 2022-02-11 中国移动通信有限公司研究院 控制方法、sdn控制器、sdn接入点、sdn网关及ce

Similar Documents

Publication Publication Date Title
US11082304B2 (en) Methods, systems, and computer readable media for providing a multi-tenant software-defined wide area network (SD-WAN) node
US11218483B2 (en) Hybrid cloud security groups
US11190491B1 (en) Method and apparatus for maintaining a resilient VPN connection
US9979704B2 (en) End-to-end security for virtual private service chains
CN108551464B (zh) 一种混合云的连接建立、数据传输方法、装置和系统
CN107959654B (zh) 一种数据传输方法、装置及混合云系统
US10091170B2 (en) Method and apparatus for distributing encryption and decryption processes between network devices
US8713305B2 (en) Packet transmission method, apparatus, and network system
EP3119047B1 (en) Load balancing method, apparatus and system
US10484335B2 (en) Secure remote computer network
US7626944B1 (en) Methods, apparatuses and systems facilitating remote, automated deployment of network devices
US8082574B2 (en) Enforcing security groups in network of data processors
US20080127327A1 (en) Deploying group VPNS and security groups over an end-to-end enterprise network
JP6511194B2 (ja) 高速且つスケーラブルなデータベースクラスタ通信経路
US20080104692A1 (en) Virtual security interface
KR20150020530A (ko) 다중 터널 가상 사설 네트워크
JP2004507169A (ja) 網フロースイッチを用いてのvpnデバイスのクラスタリング
GB2565458A (en) Computer system architecture and computer network infrastructure comprising a plurality of said type of computer system architectures
US10523657B2 (en) Endpoint privacy preservation with cloud conferencing
US20220210130A1 (en) Method and apparatus for maintaining a resilient vpn connection
CN110830351B (zh) 基于SaaS服务模式的租户管理及服务提供方法、装置
WO2015123849A1 (en) Method and apparatus for extending the internet into intranets to achieve scalable cloud network
US11647069B2 (en) Secure remote computer network
CN111194541B (zh) 用于数据传输的装置和方法
KR101686995B1 (ko) 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant