KR101867880B1 - Method, apparatus and computer program for service fuction chainnig - Google Patents

Method, apparatus and computer program for service fuction chainnig Download PDF

Info

Publication number
KR101867880B1
KR101867880B1 KR1020160155730A KR20160155730A KR101867880B1 KR 101867880 B1 KR101867880 B1 KR 101867880B1 KR 1020160155730 A KR1020160155730 A KR 1020160155730A KR 20160155730 A KR20160155730 A KR 20160155730A KR 101867880 B1 KR101867880 B1 KR 101867880B1
Authority
KR
South Korea
Prior art keywords
vnf
service function
filter
function chain
type
Prior art date
Application number
KR1020160155730A
Other languages
Korean (ko)
Other versions
KR20180057282A (en
Inventor
남궁호
송용주
Original Assignee
아토리서치(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아토리서치(주) filed Critical 아토리서치(주)
Priority to KR1020160155730A priority Critical patent/KR101867880B1/en
Publication of KR20180057282A publication Critical patent/KR20180057282A/en
Application granted granted Critical
Publication of KR101867880B1 publication Critical patent/KR101867880B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예를 따르는 네트워크 기능 가상화를 적용한 서비스 기능 체인을 운용하는 방법은, 상기 서비스 기능 체인에 포함되는 VNF(Virtual Network Function) 각각을, 해당 VNF에 유입되는 패킷은 모두 처리하는 제 1 타입과 해당 VNF에 유입되는 패킷 중 특정 패킷만 패킷만 처리하는 제 2 타입으로 구분하는 A 단계; 상기 서비스 기능 체인의 임의의 단측부터 다른 단측까지 엔드 포인트를 검색하는 B 단계; 및 상기 엔드 포인트로 설정한 VNF의 정보를 이용하여 상기 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 설계하는 C 단계를 포함하는 것을 특징으로 한다. A method for operating a service function chain using network function virtualization according to an embodiment of the present invention includes: providing a first type of virtual network function (VNF) included in the service function chain, And a second type in which only a specific packet among the packets flowing into the corresponding VNF is processed as a packet; A step B for searching an end point from an arbitrary end side to another end side of the service function chain; And designing a filter for tracing traffic to the service function chain using information of the VNF set in the end point.

Description

서비스 기능 체인을 운용하는 방법, 장치 및 컴퓨터 프로그램 {METHOD, APPARATUS AND COMPUTER PROGRAM FOR SERVICE FUCTION CHAINNIG}METHOD, APPARATUS AND COMPUTER PROGRAM FOR SERVICE FUCTION CHAINNIG,

본 발명은 네트워크 기능 가상화 (NFV, Network Function Virtualization)에서 서비스 기능 체인 (SFC, Service Function Chain)을 운용하는 방법에 대한 것이다. 보다 구체적으로 본 발명은 서비스 기능 체인에 트래픽을 견인하기 위한 필터를 상기 서비스 기능 체인의 구성 요소인 가상 네트워크 기능 (VNF, Virtual Network Function)의 타입을 이용하여 설계하는 방법에 대한 것이다. The present invention relates to a method of operating a service function chain (SFC) in network function virtualization (NFV). More particularly, the present invention relates to a method of designing a filter for tracing traffic in a service function chain using a type of a virtual network function (VNF), which is a component of the service function chain.

최근 네트워크 기능 가상화 기술은 하드웨어 위주였던 네트워크 아키텍처 전반에 새로운 변화를 일으키고 있다. 네트워크 기능 가상화, 즉 NFV는 네트워크의 구성 요소인 하드웨어와 소프트웨어를 분리하고, 물리적인 네트워크 설비의 기능을 가상화하여 VM(Virtual Machine) 서버, 범용 프로세서를 탑재한 하드웨어, 클라우딩 컴퓨터에서 실행하는 개념이다. Recently, network function virtualization technology is making new changes throughout the network architecture, which is hardware-oriented. Network function Virtualization, or NFV, is a concept that is implemented on a virtual machine (VM) server, hardware with a general-purpose processor, and a cloud computer, by separating the hardware and software components of the network and virtualizing the functions of the physical network equipment .

이에 따르면 라우터, 로드밸런서, 방화벽, 침입 방지, 가상 사설망 등 다양한 네트워크 장비들을 일반 서버에서 소프트웨어로 구현할 수 있어 네트워크 구성의 벤더 의존성에서 벗어날 수 있다. 값비싼 전용 장비를 범용 하드웨어와 전용 소프트웨어로 대체할 수 있기 때문이다. 나아가 장비 운영 비용 절감은 물론 트래픽 변화 등에 신속하게 대처할 수 있는 장점이 있다. According to this, various network devices such as routers, load balancers, firewalls, intrusion prevention, and virtual private networks can be implemented as software on general servers, thereby avoiding the vendor dependency of the network configuration. Expensive dedicated equipment can be replaced by general-purpose hardware and dedicated software. Furthermore, it has the advantage of being able to quickly cope with traffic change as well as equipment operation cost reduction.

한편 소프트웨어 정의 네트워킹, 즉 SDN 기술은 복잡한 컨트롤 플레인(control plane)의 기능을 데이터 플레인(data plane)과 분리하는 것이 특징이다. 이에 따르면 컨트롤 플레인의 복잡한 기능을 소프트웨어로 처리하고, 데이터 플레인은 네트워크 패킷의 전달, 무시, 변경 등 컨트롤 플레인이 지시하는 단순한 기능만을 수행하게 된다. On the other hand, software-defined networking, or SDN technology, separates the complexity of the control plane from the data plane. According to this, the complicated functions of the control plane are processed by software, and the data plane performs only a simple function indicated by the control plane, such as transferring, ignoring, and changing network packets.

이러한 기술을 적용하면 복잡한 하드웨어의 제약 없이 소프트웨어로 새로운 네트워크 기능을 개발할 수 있으며, 동시에 이전 네트워크 구조에서 불가능했던 다양한 시도를 할 수 있게 되었다.Applying these technologies allows software to develop new network functions without complex hardware constraints, while at the same time making various attempts not possible with previous network architectures.

상기 NFV와 SDN은 별개의 기술이지만 상호 보완적으로 작용할 수 있다. NFV에 의해 소프트웨어로 구현된 각종 네트워크 기능을 SDN을 이용하여 효율적으로 제어할 수 있기 때문이다. The NFV and the SDN are separate technologies, but can complement each other. This is because various network functions implemented by software by NFV can be efficiently controlled using SDN.

본 발명은 서비스 기능 체인의 필터를 효율적으로 설계하는 방법을 제공하는 것을 목적으로 한다. It is an object of the present invention to provide a method for efficiently designing a filter in a service function chain.

본 발명의 실시예를 따르는 네트워크 기능 가상화를 적용한 서비스 기능 체인을 운용하는 방법은, a) 상기 서비스 기능 체인에 포함되는 VNF(Virtual Network Function) 각각을, 해당 VNF에 유입되는 패킷 중 특정 패킷만 처리하는 제1 타입과 해당 VNF에 유입되는 패킷을 모두 처리하는 제2 타입으로 구분하는 단계; b) 상기 서비스 기능 체인의 제1 단측부터 제2 단측까지 검색하는 과정에서 처음으로 검색되는 상기 제1 타입의 VNF를 제1 엔드 포인트로 설정하고, 상기 제2 단측을 이루는 VNF를 제2 엔드 포인트로 설정하는 단계; 및 c) 상기 제2 엔드 포인트로 설정된 VNF는 고려하지 않고, 상기 제1 엔드 포인트로 설정된 VNF를 구현하는 가상 머신의 맥주소들을 머지하여 상기 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 설계하는 단계를 포함하는 것을 특징으로 한다. A method of operating a service function chain using network function virtualization according to an embodiment of the present invention includes the steps of: a) processing each VNF (Virtual Network Function) included in the service function chain, Dividing the first type into a first type and a second type that processes all packets entering the VNF; b) setting the VNF of the first type that is searched first in the process of searching from the first end to the second end of the service function chain as a first end point, and setting the VNF of the second end as a second end point ; And c) designing a filter for tracing traffic to the service functional chain by considering MAC addresses of a virtual machine implementing a VNF set to the first endpoint, without considering a VNF set to the second end point And a control unit.

나아가 본 발명의 실시예를 따라 서비스 기능 체인을 운용하는 네트워크 기능 가상화 시스템은, 적어도 하나 이상의 VNF(Virtual Network Function) 를 포함하는 서비스 기능 체인을 구현하는 네트워크 기능 가상화 장치; 및 상기 VNF 각각을, 해당 VNF에 유입되는 패킷 중 특정 패킷만 처리하는 제 1 타입과 해당 VNF에 유입되는 패킷을 모두 처리하는 제 2 타입으로 구분하고, 상기 서비스 기능 체인의 제1 단측부터 제2 단측까지 검색하여 처음으로 검색되는 상기 제1 타입의 VNF를 제1 엔드 포인트로 설정하고 상기 제2 단측을 이루는 VNF를 제2 엔드 포인트로 설정하고, 상기 제2 엔드 포인트로 설정된 VNF는 고려하지 않고 상기 제1 엔드 포인트로 설정된 VNF를 구현하는 가상 머신의 맥주소들을 머지하여 상기 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 설계하는 MANO (Management and Orchestration)를 포함하는 것을 특징으로 한다. Further, a network function virtualization system for operating a service function chain according to an embodiment of the present invention includes: a network function virtualization apparatus that implements a service function chain including at least one VNF (Virtual Network Function); And a second type in which each of the VNFs processes only a specific packet among packets flowing into the VNF and a second type in which packets flowing into the corresponding VNF are all processed. The VNF of the first type that is searched for the first end is set as the first end point, the VNF that forms the second end is set as the second end point, and the VNF set to the second end point is not considered And management and orchestration (MANO) for designating a filter for tracing traffic to the service function chain by merging MAC addresses of virtual machines implementing the VNF set to the first end point.

나아가 본 발명의 실시예를 따라 서버에서, 네트워크 기능 가상화를 적용한 서비스 기능 체인을 운용하는 기능을 수행하기 위하여 컴퓨터 판독가능한 기록 매체에 저장된 컴퓨터 프로그램은, 상기 서비스 기능 체인에 포함되는 VNF(Virtual Network Function) 각각을, 해당 VNF에 유입되는 패킷 중 특정 패킷만 처리하는 제1 타입과 해당 VNF에 유입되는 패킷을 모두 처리하는 제2 타입으로 구분하는 기능;상기 서비스 기능 체인의 임의의 제1 단측부터 제2 단측까지 검색하여 처음으로 검색되는 상기 제1 타입의 VNF를 제1 엔드 포인트로 설정하고 상기 제2 단측을 이루는 VNF를 제2 엔드 포인트로 설정하는 기능; 및 상기 제2 엔드 포인트로 설정된 VNF는 고려하지 않고, 상기 제1 엔드 포인트로 설정된 VNF를 구현하는 가상 머신의 맥주소들을 머지하여 상기 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 설계하는 기능을 수행하는 것을 특징으로 한다. Further, in a server according to an embodiment of the present invention, a computer program stored in a computer-readable recording medium for performing a function of operating a service function chain to which network function virtualization is applied includes a virtual network function (VNF) ) Into a first type for processing only a specific packet among the packets flowing into the corresponding VNF and a second type for processing both packets entering the corresponding VNF, Setting the VNF of the first type to the first end point and setting the VNF of the second end side to the second end point; And designing a filter for tracing traffic to the service function chain by considering MAC addresses of virtual machines that implement the VNF set to the first endpoint without considering the VNF set to the second end point .

본 발명에 따르면, 임의의 서비스 기능 체인을 위한 필터를 해당 서비스 기능 체인의 구성 정보를 이용하여 생성할 수 있어, 서비스 기능 체인을 빠르고 효율적으로 운용할 수 있는 효과가 있다. According to the present invention, a filter for an arbitrary service function chain can be generated by using configuration information of a corresponding service function chain, and the service function chain can be operated quickly and efficiently.

도 1은 서비스 기능 체이닝의 필터를 설명하기 위한 도면
도 2는 본 발명의 실시예를 따르는 서비스 기능 체이닝을 제공하는 프레임워크의 구성을 설명하기 위한 블록도
도 3는 본 발명의 실시예를 따라 따라 서비스 기능 체인을 운용하는 방법을 설명하기 위한 순서도
도 4은 본 발명의 실시예를 따라 서비스 기능 체인을 위한 필터를 생성하는 구체적인 예시를 설명하기 위한 도면
도 5는 본 발명의 실시예를 따라 서비스 기능 체인을 위한 필터를 생성하는 다른 예시를 설명하기 위한 도면
도 6은 본 발명의 실시예를 따라 서비스 기능 체인을 위한 필터를 생성하는 다른 예시를 설명하기 위한 도면1 is a view for explaining a filter of service function chaining;
2 is a block diagram for explaining a configuration of a framework for providing service function chaining according to an embodiment of the present invention
3 is a flowchart illustrating a method of operating a service function chain according to an embodiment of the present invention
4 is a view for explaining a specific example of generating a filter for a service function chain according to an embodiment of the present invention;
5 is a view for explaining another example of generating a filter for a service function chain according to an embodiment of the present invention;
6 is a diagram for explaining another example of generating a filter for a service function chain according to an embodiment of the present invention;

본 발명은 이하에 기재되는 실시예들의 설명 내용에 한정되는 것은 아니며, 본 발명의 기술적 요지를 벗어나지 않는 범위 내에서 다양한 변형이 가해질 수 있음은 자명하다. 그리고 실시예를 설명함에 있어서 본 발명이 속하는 기술 분야에 널리 알려져 있고 본 발명의 기술적 요지와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. It is to be understood that the present invention is not limited to the description of the embodiments described below, and that various modifications may be made without departing from the technical scope of the present invention. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail.

한편, 첨부된 도면에서 동일한 구성요소는 동일한 부호로 표현된다. 그리고 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시될 수도 있다. 이는 본 발명의 요지와 관련이 없는 불필요한 설명을 생략함으로써 본 발명의 요지를 명확히 설명하기 위함이다. 이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. In the drawings, the same components are denoted by the same reference numerals. And in the accompanying drawings, some of the elements may be exaggerated, omitted or schematically illustrated. It is intended to clearly illustrate the gist of the present invention by omitting unnecessary explanations not related to the gist of the present invention. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 서비스 기능 체이닝의 필터를 설명하기 위한 도면이다. 1 is a view for explaining a filter of a service function chaining.

개념적으로 NFV 장치는 네트워크를 통과하는 트래픽이 하나 이상의 VNF (144, 145, 146)를 통과하도록 제어하여 서비스 체인을 제공할 수 있다. 도 1의 예에서 NFV 장치를 통과하는 트래픽은 인풋 포트 (112)를 통해 수신되어 가상 스위치 (142)를 통과하면서 복수의 VNF (144, 145, 146)을 연결하는 서비스 체인을 통과해 아웃풋 포트 (113)을 통해 포워딩될 수 있다. Conceptually, the NFV device can provide a service chain by controlling traffic passing through the network to pass through one or more VNFs 144, 145, and 146. In the example of FIG. 1, traffic passing through the NFV device is received through the input port 112 and passes through the virtual switch 142 and through the service chain connecting the plurality of VNFs 144, 145, 113). ≪ / RTI >

한편, 서비스 기능 체이닝에서는 트래픽이 네트워크에 유입되면, 미리 정해진 정책에 따른 트래픽 분류 작업을 통해 해당 트래픽에 적용할 서비스 기능 체인을 결정하며, 트래픽은 해당 서비스 기능 체인에 정해진 순서의 가상 네트워크 기능에 차례로 전달 및 실행된 후 목적지로 포워딩된다. On the other hand, in the service function chaining, when traffic is introduced into the network, a service function chain to be applied to the traffic is determined through a traffic classification operation according to a predetermined policy, and the traffic is sequentially assigned to the virtual network functions in a predetermined order in the service function chain Forwarded and executed, and then forwarded to the destination.

따라서 서비스 기능 체인에는 서비스 체인 모델링뿐 아니라 트래픽 처리 기능이 요구된다. 즉, 트래픽을 분류하여 해당 서비스 기능 체인으로 견인하는 기능이 필요하다. 서비스 기능 체인에서는 이와 같은 기능을 필터 (120, 130)가 수행할 수 있다. Therefore, the service function chain requires not only the service chain modeling but also the traffic processing function. That is, it is necessary to have a function of classifying the traffic and tracing to the corresponding service function chain. In the service function chain, this function can be performed by the filters 120 and 130.

상기 필터를 생성하는 가장 간단한 방법은 사용자의 직접 입력을 통하는 것이다. 그러나 이와 같은 과정은 번거로울 뿐 아니라 사용자 실수의 가능성을 배제할 수 없는 문제가 있었다.The simplest way to create the filter is through the user's direct input. However, such a process is troublesome and there is a problem that the possibility of a user mistake can not be excluded.

본 발명은 상기와 같은 문제를 해결하기 위해 발명된 것이다. 본 발명의 실시예를 따르면 서비스 기능 체인으로 트래픽을 견인하는 필터는 해당 서비스 기능 체인을 구성하는 VNF의 정보를 이용하여 생성될 수 있다. The present invention has been made in order to solve the above problems. According to an embodiment of the present invention, a filter for tracing traffic to a service function chain can be generated using information of a VNF constituting a corresponding service function chain.

보다 구체적으로, 본 발명의 실시예를 따르면, 서비스 기능 체인이 설계되면, 상기 서비스 기능 체인을 구성하는 VNF 각각의 타입을 구별하고, 특정 타입의 VNF의 정보를 이용하여 필터를 설계할 수 있다. More specifically, according to an embodiment of the present invention, when a service function chain is designed, it is possible to distinguish types of VNFs constituting the service function chain and to design filters using information of a specific type of VNF.

본 발명의 실시예를 따르면 VNF는 특정 트래픽만 처리하는 타겟 (Target) 타입과 모든 트래픽을 처리하는 논타겟 (Nontarget) 타입으로 구별될 수 있다. 방화벽, IDS 등 논타겟 타입 VNF는 유입된 트래픽은 모두 처리하기 때문에 트래픽 필터링을 고려할 필요가 없다. 반면, 로드벨런서, WAF, 프록시 등 타겟 타입은 특정 트래픽만 처리하기 때문에 해당 서비스 기능 체인을 위한 필터는 타겟 타입 VNF만 고려하면 족하다.According to the embodiment of the present invention, the VNF can be distinguished into a target type for processing only specific traffic and a non-target type for processing all traffic. It is not necessary to consider traffic filtering because non-target type VNF such as firewall and IDS processes all incoming traffic. On the other hand, since the target type such as load balancer, WAF, and proxy handles only specific traffic, the filter for the corresponding service function chain suffices only for the target type VNF.

나아가 본 발명의 실시예를 따르면 타겟 타입 VNF의 가상 머신 정보를 이용하여 상기 서비스 기능 체인을 위한 필터를 생성할 수 있다. Further, according to the embodiment of the present invention, a filter for the service function chain can be generated using the virtual machine information of the target type VNF.

NFV 장치로 유입된 트래픽은 VNF를 구현하는 가상 머신에 할당된 가상 포트를 이용하여 분류될 수 있다. 따라서 타겟 타입 VNF를 구현하는 가상 머신에 할당된 가상 포트의 맥주소를 목적지 맥주소로 하는 플로우 룰을 작성하여 해당 서비스 기능 체인의 필터를 생성할 수 있다. Traffic to the NFV device can be classified using the virtual port assigned to the virtual machine implementing the VNF. Therefore, it is possible to create a filter in the corresponding service function chain by creating a flow rule in which the destination address is the MAC address of the virtual port allocated to the virtual machine implementing the target type VNF.

한편 서비스 기능 체인을 구성하는 VNF들 (144, 145, 146)은 가상 머신으로 구현될 수도 있으나, SDN을 이용한 플로우 룰 형태로 구현될 수도 있다. 본 명세서의 예시는 VNF가 가상 머신의 형태로 구현되고, 가상 머신의 가상 포트를 이용하여 소프트웨어 스위치 (142)가 트래픽을 견인하는 것을 전제로 작성되었으나, 본 발명은 이에 한정되지 않는다. Meanwhile, the VNFs 144, 145, and 146 constituting the service function chain may be implemented as a virtual machine or as a flow rule using SDN. The example of the present specification assumes that the VNF is implemented in the form of a virtual machine and that the software switch 142 draws traffic using the virtual port of the virtual machine, but the present invention is not limited thereto.

즉, 본 발명의 실시예를 따르면 플로우 룰 형태로 구현되는 VNF를 포함하는 서비스 기능 체인을 위한 필터 역시 타겟 타입 VNF를 구현하는 플로우 룰의 매치 필드 정보를 이용하여 생성할 수 있다. That is, according to the embodiment of the present invention, a filter for a service function chain including a VNF implemented in a flow rule format can also be generated using match field information of a flow rule implementing the target type VNF.

나아가, 도 1은 NFV 장치의 인포트와 연결된 포워드 필터 (120) 및 아웃 포트와 연결된 백워드 필터 (130)를 도시하고 있으나, 이는 예시에 불과하며 본 발명은 이에 한정되지 않는다. Further, FIG. 1 illustrates a backward filter 130 coupled to a forward filter 120 and an outport coupled to the Inport of the NFV device, but this is merely exemplary and the present invention is not so limited.

보다 구체적으로, 본 발명의 실시예를 따르는 NFV 장치는 물리적인 포트를 적어도 하나 이상의 가상 포트로 분할하여 사용할 수 있다. 이 경우 NFV 장치는 2 이상의 가상 포트를 포함할 수 있으며, 인포트와 아웃포트가 구별되지 않는다. More specifically, an NFV device according to an embodiment of the present invention can divide a physical port into at least one or more virtual ports. In this case, the NFV device may include two or more virtual ports, and the port is not distinguished from the out port.

이와 같이 인포트와 아웃포트의 구별이 없는 NFV 장치에서 구현되는 서비스 기능 체인의 필터 설계 방법은 첨부된 도 6을 참고하여 보다 자세히 후술된다. The filter design method of the service function chain implemented in the NFV apparatus having no distinction between the in-port and the out-port will be described later in more detail with reference to FIG.

도 2는 본 발명의 실시예를 따르는 NFV에서 서비스 기능 체인을 운용하는 프레임워크의 구성을 설명하기 위한 블록도이다. 2 is a block diagram for explaining a configuration of a framework for operating a service function chain in an NFV according to an embodiment of the present invention.

본 발명의 실시예를 따르는 NFV 시스템은 도 2에 도시된 바와 같이 VNF 모듈 (295), 소프트웨어 스위치 (244), 통신부 (246) 및 제어부 (242) 를 포함하는 NFV 장치 (260) 및 VNF 관리 및 오케스트레이션 기능을 수행하는 MANO (210, Management and Orchestration) 모듈로 구성될 수 있다. The NFV system according to an embodiment of the present invention includes an NFV device 260 including a VNF module 295, a software switch 244, a communication section 246 and a control section 242, And a MANO (Management and Orchestration) module 210 that performs an orchestration function.

NFV 시스템에서 VNF 모듈 (295)는 특정의 네트워크 기능을 제공하는 가상화 객체들 (예를 들면, Firewall, DPI, EPC 시스템 등)의 집합이라고 할 수 있다. 상기 VNF 모듈 (295)은 EM (21, Element Management)을 포함할 수 있으며, 상기 EM은 VNF 관련 설정 및 모니터링 기능을 하고 그에 대한 로그를 보유할 수 있다. In the NFV system, the VNF module 295 is a collection of virtualization objects (e.g., Firewall, DPI, EPC systems, etc.) that provide specific network functionality. The VNF module 295 may include an EM (Element Management) 21, and the EM may perform a VNF-related setting and monitoring function and may have a log thereon.

MANO (210)는 도 2에서 별도로 도시되지는 않았지만 VNF를 관리하는 VNF 매니저, NFV를 운영자가 서비스 수준에서 제어하는 서비스 오케스트레이터, 및 가상 인프라를 관리하는 자원 관리부를 포함하여 구성할 수 있다. Although not shown separately in FIG. 2, the MANO 210 may include a VNF manager for managing the VNF, a service orchestrator for controlling the NFV at the service level by the operator, and a resource manager for managing the virtual infrastructure.

특히 본 발명의 실시예를 따르는 MANO (240)는 임의의 서비스 기능 체인을 작성하고, 해당 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 생성할 수 있다. In particular, the MANO 240 according to an embodiment of the present invention can create a filter for creating an arbitrary service function chain and tracing traffic to the corresponding service function chain.

예를 들어, MANO (240)는 적어도 하나 이상의 VNF를 포함하는 서비스 기능 체인을 작성하고, 해당 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 생성할 수 있다. 나아가 MANO (240)는 1차 생성한 필터의 내용을 표시하고, 사용자 입력을 통해 필터 내용을 보정하고, 이를 소프트웨어 스위치 (244)에 적용하도록 통신부 (246)를 통해 신호를 전송할 수 있다. NFV 장치 (260)의 제어부 (242)는 MANO의 제어에 따라 소프트웨어 스위치 (244)를 설정할 수 있다. For example, the MANO 240 may create a service function chain including at least one VNF, and may generate a filter for tracing traffic to the corresponding service function chain. Further, the MANO 240 may display the contents of the first-order filter, transmit the signal through the communication unit 246 to correct the filter content through user input, and apply it to the software switch 244. [ The control unit 242 of the NFV device 260 can set the software switch 244 under the control of the MANO.

도 3은 본 발명의 실시예에 따라 서비스 기능 체인을 운용하는 예시를 설명하기 위한 순서도 이다. 3 is a flowchart illustrating an example of operating a service function chain according to an embodiment of the present invention.

도 3의 단계 310에서 MANO는 적어도 하나 이상의 VNF을 제공하는 서비스 기능 체인을 설계할 수 있다. In step 310 of FIG. 3, the MANO may design a service function chain that provides at least one VNF.

이후 상기 서비스 기능 체인을 위한 필터를 생성하기 위해, 해당 서비스 기능 체인을 구성하는 VNF의 타입을 구분할 수 있다. (단계 320)Thereafter, in order to generate a filter for the service function chain, the type of the VNF constituting the corresponding service function chain can be identified. (Step 320)

본 발명의 실시예를 따르면 VNF는 특정 트래픽만 처리하는 타겟 (Target) 타입과 모든 트래픽을 처리하는 논타겟 (Nontarget) 타입으로 구별될 수 있다. Tap, 방화벽, IDS 등 논타겟 타입 VNF는 유입된 트래픽은 모두 처리하기 때문에 트래픽 필터링을 고려할 필요가 없다. 반면, 로드벨런서, WAF, 라우터, 프록시 등 타겟 타입 VNF는 특정 트래픽만 처리하기 때문에, 해당 서비스 기능 체인의 필터는 타겟 타입 VNF에 대한 필터링만 고려하면 족하다.According to the embodiment of the present invention, the VNF can be distinguished into a target type for processing only specific traffic and a non-target type for processing all traffic. It is not necessary to consider traffic filtering because non-target type VNF such as Tap, Firewall, and IDS processes all incoming traffic. On the other hand, since the target type VNF such as the load balancer, the WAF, the router, and the proxy only processes specific traffic, the filter of the corresponding service function chain suffices only for filtering the target type VNF.

해당 서비스 기능 체인을 구성하는 모든 VNF가 타겟형과 논타겟형으로 구분되면, 단계 330에서 MANO는 서비스 기능 체인의 임의의 단측부터 다른 단측까지 검색하여, 엔드 포인트를 검색할 수 있다. (단계 330)If all of the VNFs constituting the service function chain are classified into the target type and the non-target type, the MANO can search from any end to the other end of the service function chain and search for endpoints at step 330. (Step 330)

보다 구체적으로, MANO는 서비스 기능 체인을 구성하는 모든 VNF를 탐색하면서, 서비스 기능 체인의 제 1 단측부터 제 2 단측까지 검색하는 과정에서 처음으로 검색되는 타겟 타입 VNF를 엔드 포인트로 설정하고, 검색 과정에서 타겟 타입 VNF가 존재하지 않으면, 제 2 단측을 이루는 VNF를 엔드 포인트로 설정할 수 있다. More specifically, the MANO searches for all the VNFs constituting the service function chain, sets the target type VNF that is searched first in the process of searching from the first end to the second end of the service function chain as an end point, If the target type VNF does not exist, the VNF forming the second end can be set as the end point.

타겟 타입 VNF로 설정된 엔드 포인트를 제 1 타입이라고 하고, 그외의 엔드 포인트를 제 2 타입이라고 할 때, 필터에서 고려할 것은 제 1 타입 엔드 포인트로 설정된 VNF일 것이다. 즉, 제 2 타입 엔드 포인트는 Don't care로 처리되어도 무방하다. Assuming that the endpoint set to the target type VNF is the first type and the other endpoints are the second type, what the filter will consider is the VNF set to the first type endpoint. That is, the second type end point may be processed as Do not care.

보다 구체적으로, 제 1 타입 엔드 포인트가 존재하면, (단계 340) MANO는 필터의 목적지 맥주소에 상기 엔드 포인트 VNF를 구현하는 가상 머신의 맥주소를 기록할 수 있다. (단계 350) More specifically, if a first type endpoint exists (step 340), the MANO may record the MAC address of the virtual machine implementing the endpoint VNF at the destination MAC address of the filter. (Step 350)

예를 들어 인포트와 아웃포트가 특정된 NFV 장치에서 구현되는 서비스 기능 체인에서, MANO는 포워드 필터를 엔드 포인트 VNF를 구현하는 가상 머신의 가상 인포트에 할당된 맥주소와 동일한 내용을 목적지 맥주소로 기록하여 생성할 수 있다. 나아가 백워드 필터의 경우, MANO는 필터의 목적지 맥주소에 엔드 포인트 VNF를 구현하는 가상 머신의 가상 아웃포트에 할당된 맥주소와 동일한 내용을 기록하여 생성할 수 있다. For example, in a service function chain implemented in an NFV device with an InPort and an OutPort specified, MANO will assign the forward filter the same content as the MAC address assigned to the virtual in- put of the virtual machine that implements the endpoint VNF, Can be recorded and generated. Further, in the case of the backward filter, the MANO can generate the same contents as the MAC address assigned to the virtual MAC address of the virtual machine which implements the end point VNF at the destination MAC address of the filter.

한편, 해당 서비스 기능 체인을 구성하는 모든 VNF를 탐색하였으나, 제 1 타입 엔드 포인트가 존재하지 않고 제 2 타입 엔드 포인트만 존재하면 (단계 340) MANO는 필터의 내용을 별도로 설계하지 않을 수 있다. (단계 345)On the other hand, if all of the VNFs constituting the corresponding service function chain are searched and the first type end point does not exist and only the second type end point exists (step 340), the MANO may not separately design the contents of the filter. (Step 345)

이후 MANO는 해당 엔드 포인트 VNF를 구현하는 복수의 가상 머신의 맥 주소들을 머지하여 필터를 생성할 수 있다. (단계 360)The MANO can then create a filter by merging the MAC addresses of multiple virtual machines implementing the endpoint VNF. (Step 360)

이후 MANO는 작성한 필터의 내용을 보정할 수 있다. (단계 370) The MANO can then correct the contents of the created filter. (Step 370)

예를 들어 MANO는 작성된 필터의 내용을 디스플레이에 표시하고, 사용자 입력을 수신하여 필터를 보정할 수 있다. 이는 서비스 기능 체인에 대한 사용자 설정 파라미터의 형태로 제공될 수도 있다.For example, MANO can display the contents of the created filter on the display and receive user input to calibrate the filter. This may be provided in the form of user configuration parameters for the service function chain.

한편, 서비스 기능 체인에 타겟형 VNF가 존재하지 않아 작성된 필터의 내용이 없는 경우 (단계 345) MANO는 이를 표시하고, 사용자 입력을 수신하여 필터를 작성할 수 있다. 이는 포워드 필터 및 백워드 필터 모두에 적용될 수 있다. On the other hand, if the target type VNF does not exist in the service function chain and there is no content of the created filter (step 345), the MANO can display it and receive the user input to create the filter. This can be applied to both the forward filter and the backward filter.

그런데 백워드 필터의 경우, MANO는 백워드 필터 작성 과정에서 타겟형 VNF가 검색되지 않으면, 포워드 필터의 내용을 참고하여 백워드 필터를 생성할 수 있다. 타겟형 VNF가 서비스 기능 체인에 존재하지 않으면 포워드 필터도 생성되지 않을 것이나, 사용자 입력을 통해 포워드 필터가 생성될 수 있으며, 백워드 필터는 포워드 필터에 의존적이기 때문에 포워드 필터의 내용을 참고하여 백워드 필터가 생성될 수 있기 때문이다. However, in the case of the backward filter, the MANO can generate the backward filter by referring to the contents of the forward filter if the target type VNF is not detected in the backward filter creation process. If the target type VNF is not present in the service function chain, a forward filter will also not be created, but a forward filter can be created via user input, and since the backward filter is dependent on the forward filter, Because a filter can be created.

보다 구체적으로, 인포트와 아웃포트가 특정된 NFV 장치에서 구현되는 서비스 기능 체인은 인포트와 연결된 포워드 필터 및 아웃포트와 연결된 백워드 필터가 고려될 것이다. More specifically, a service function chain implemented in an NFV device with specified in- port and out-port will be considered as a forward filter connected to the in- port and a back-word filter associated with the out-port.

백워드 필터는 임의의 패킷이 특정 서비스 기능 체인을 통과한 경우, 해당 패킷에 대한 reply 패킷도 해당 서비스 기능 체인을 거쳐가야 하기 때문에, reply 패킷에 해당하는 트래픽을 서비스 기능 체인으로 견인하기 위한 필터이다. 따라서 백워드 필터는 포워드 필터에 의존적이므로 포워드 필터의 내용을 참고하여 생성될 수 있다. The backward filter is a filter for tracing the traffic corresponding to the reply packet to the service function chain because a reply packet for the packet also has to go through the corresponding service function chain when an arbitrary packet has passed through a specific service function chain . Therefore, the backward filter is dependent on the forward filter and can be generated with reference to the contents of the forward filter.

백워드 필터는 서비스 기능 체인을 구성하는 VNF를 아웃포트와 연결된 단측부터 다른 단측까지 검색하고, 엔드 포인트로 설정한 VNF를 구현하는 가상 머신의 가상 아웃포트에 할당된 맥주소를 이용하여 생성될 것이다. 이때 엔드 포인트 VNF가 검색되지 않은 경우, 즉, 타겟형 VNF가 존재하지 않은 경우, MANO는 백워드 필터의 내용을 별도로 설계하지 않을 것이다. The backward filter will be generated using the MAC address assigned to the virtual outport of the virtual machine that implements the VNF configured as the endpoint, searching for the VNFs that make up the service function chain from one end to the other end connected to the outport . At this time, if the end point VNF is not found, that is, if the target type VNF does not exist, the MANO will not separately design the contents of the backward filter.

그런데 포워드 필터가 존재하는 경우라면, (예를 들어 사용자 입력을 통해 포워드 필터가 생성된 경우) MANO는 포워드 필터의 소스 필드 및 목적지 필드의 내용을 백워드 필터의 목적지 필드 및 소스 필드에 각각 기록하여 백워드 필터를 생성할 수 있다. However, if a forward filter is present (for example, a forward filter is created via user input), the MANO writes the contents of the source and destination fields of the forward filter to the destination field and the source field of the backward filter, respectively A backward filter can be generated.

나아가 포워드 필터에 프로토콜 등 방향성이 없는 필드의 내용이 존재하는 경우, MANO는 상기 무방향성 필드는 그대로 기록하여 백워드 필터를 생성할 수 있다. Furthermore, when there is a content of a field having no directionality such as a protocol in the forward filter, the MANO can record the non-directional field as it is to generate a backward filter.

이후 MANO는 디스플레이에 생성한 백워드 필터의 내용을 표시하고, 사용자 입력을 수신하여 이를 보정할 수 있다. The MANO can then display the contents of the backward filter created on the display, and receive and correct user input.

본 발명의 실시예를 따르는 필터 생성 방법을 도 4 내지 6를 참고하여 보다 자세히 설명한다. A method of generating a filter according to an embodiment of the present invention will be described in more detail with reference to FIGS.

예를 들어 도 4와 같은 서비스 기능 체인의 경우, 방화벽 (480, 420), Tap (490, 495), IDS (410, 440)은 논타겟형 VNF이며, 로드벨런서 (470)만 타겟형 VNF에 해당한다. 나아가 방화벽 (480), IDS (410), IDS (440), Tap (495)가 해당 서비스 기능 체인의 단측을 이루고 있는 경우이다. For example, in the service function chain shown in FIG. 4, the firewalls 480 and 420, the tapes 490 and 495 and the IDSs 410 and 440 are non-target type VNFs, and only the load balancer 470 is the target type VNF . Further, the firewall 480, the IDS 410, the IDS 440, and the TAP 495 form a single side of the corresponding service function chain.

도 4의 예에서 방화벽 (480)이 인포트와 연결되고, Tap (495)가 아웃포트와 연결된 경우라면, MANO는 포워드 필터를 생성하기 위해 방화벽 (480)부터 검색하여 모든 단측까지 타겟형 NFV를 검색할 것이며, 이 경우 엔드 포인트는 IDS (410) 및 로드벨런서 (470)으로 설정될 것이다. In the example of FIG. 4, if the firewall 480 is connected to the Inport and the Tap 495 is connected to the Out port, the MANO searches from the firewall 480 to generate a forward filter, In which case the endpoint will be set to IDS 410 and load balancer 470.

로드벨런서 (470)는 검색 과정에서 검색된 첫번째 타겟형 NFV이기 엔드 포인트로 설정되었으며 (제 1 타입 엔드 포인트), IDS (410)는 검색 과정에서 타겟형 NFV 가 존재하지 않아 단측을 이루는 NFV가 엔드 포인트로 설정된 것이다. (제 2 타입 엔드 포인트)The IDS 410 determines that the target NFV is not present in the search process, and the NFV that is the one-side NFV does not exist in the end Point. (Second type end point)

이후 MANO는 제 1 타입 엔드 포인트인 로드벨런서 (470)를 구현하는 가상 머신의 가상 인포트에 할당된 맥주소를 목적지 맥주소로 하는 포워드 필터를 생성할 것이다. The MANO will then generate a forward filter with the destination MAC address assigned to the virtual inport of the virtual machine implementing the loader verifier 470, the first type endpoint.

한편, 포워드 필터를 생성하기 위해 MANO는 아웃포트와 연결된 Tap (495)부터 검색하여 모든 단측까지 타겟형 NFV를 검색할 것이며, 이 경우 엔드 포인트는 IDS (440) 및 로드벨런서 (470)으로 설정될 것이다. On the other hand, in order to generate the forward filter, the MANO will search from the Tap 495 connected to the out port and search the target NFV to all the end sides. In this case, the end point is set to the IDS 440 and the load verifier 470 Will be.

로드벨런서 (470)는 검색 과정에서 검색된 첫번째 타겟형 NFV이기 엔드 포인트로 설정되었으며 (제 1 타입 엔드 포인트), IDS (440)는 검색 과정에서 타겟형 NFV 가 존재하지 않아 단측을 이루는 NFV가 엔드 포인트로 설정된 것이다. (제 2 타입 엔드 포인트)The load verulcer 470 is set as the first target type NFV that is searched in the search process (first type end point), and the IDS 440 determines that the target NFV does not exist in the search process, Point. (Second type end point)

이후 MANO는 제 1 타입 엔드 포인트인 로드벨런서 (470)를 구현하는 가상 머신의 가상 아웃포트에 할당된 맥주소를 목적지 맥주소로 하는 백워드 필터를 생성할 것이다. The MANO will then create a back-end filter with the destination MAC address assigned to the virtual out-port of the virtual machine implementing the load-verulner 470, the first type endpoint.

한편, 도 5a와 같은 서비스 기능 체인을 고려할 수 있다. 도 5a는 인포트 (505)와 아웃포트 (507)가 특정된 NFV 장치에서 구현되는 서비스 기능 체인을 예시하고 있다. On the other hand, a service function chain as shown in FIG. 5A can be considered. 5A illustrates a service function chain implemented in an NFV device in which an in-port 505 and an out-port 507 are specified.

도 5a와 같은 서비스 기능 체인의 경우, 방화벽 (520), Tap (530), IDS (510), IPS (560), Merge (580)은 논타겟형 VNF이며, WAF (540), 라우터 (550), 로드벨런서 (570)은 타겟형 VNF에 해당한다. 나아가 Tap (530), IDS (510), IPS (560), 로드벨런서 (570)가 서비스 기능 체인의 단측을 이루고 있다. 5A, the firewall 520, the tap 530, the IDS 510, the IPS 560, and the merge 580 are non-target type VNFs, and the WAF 540, the router 550, , The load balancer 570 corresponds to the target type VNF. Further, the Tap 530, the IDS 510, the IPS 560, and the load balancer 570 form one side of the service function chain.

도 5b는 도 5a와 같은 서비스 기능 체인에서 인포트부터 검색한 엔드 포인트를 도시하고 있다. FIG. 5B shows an end point retrieved from the Inport in the service function chain as shown in FIG. 5A.

MANO는 포워드 필터를 생성하기 위해, 인포트 (505)와 연결되어 서비스 체인을 시작하는 530부터 다른 모든 단측 (510, 560, 570)까지 검색하며, IDS (510) 및 라우터 (550)를 엔드 포인트로 설정할 것이다. The MANO is connected to the inft 505 to search for all the other ends 510 to 560 starting the service chain from 530 to create the forward filter and sends the IDS 510 and the router 550 to the endpoint .

보다 구체적으로, 도 5b의 <A>는 530부터 510까지 엔드 포인트를 검색한 결과이다. 530에서 510까지 검색하는 동안 타겟형 VNF가 검색되지 않았으므로, 다른 단측을 이루는 IDS (510)가 엔드 포인트로 설정될 것이다. 이는 제 2 타입 엔드 포인트로 필터 생성에 있어서, Don't care로 처리될 것이다. 그리고 MANO는 포워드 필터의 내용을 기록하지 않을 것이다. More specifically, < A > in FIG. 5B is a result of searching for endpoints 530 to 510. Since the target type VNF is not searched while searching from 530 to 510, the IDS 510 constituting the other end side will be set as the end point. This will be treated as Do not care in creating a filter with a second type endpoint. And MANO will not record the contents of the forward filter.

나아가 도 5b의 <B>는 530부터 560까지, 530부터 570까지 엔드 포인트를 검색한 결과이다. 도 5a의 530부터 560까지, 530부터 570까지 검색하는 과정에서 검색되는 첫번째 타겟형 VNF는 라우터 (550)이며 MANO는 라우터 (550)를 엔드 포인트로 설정할 것이다.5B is a result of searching the endpoints 530 to 560 and 530 to 570 in FIG. 5B. 5A, 530 to 560, 530 to 570, the first target type VNF to be searched is the router 550, and the MANO will set the router 550 as the end point.

이는 제 1 타입 엔드 포인트로, MANO는 550의 가상 인포트 P1에 할당된 맥 주소를 필터의 목적지 맥주소로 기록하여 포워드 필터의 내용을 생성할 것이다. This is the first type end point, and the MANO will write the MAC address assigned to the virtual inport P1 of 550 to the destination beer of the filter to generate the contents of the forward filter.

이후 MANO는 5b의 A 및 B의 기록 내용을 머지하여 최종적으로 P1의 맥주소를 목적지 맥주소로 하는 포워드 필터를 생성할 것이다. 이후 포워드 필터를 디스플레이에 표시하고 이에 대한 사용자 입력을 수신하여 필터를 수정할 수도 있다. The MANO will then merge the recorded contents of A and B in 5b and finally create a forward filter that will make the destination address of P1 the MAC address of P1. The forward filter may then be displayed on the display and the filter input modified to receive user input thereto.

한편, 도 5a의 예에서 MANO는 백워드 필터를 생성하기 위해, 아웃포트 (507)와 연결되어 서비스 체인을 종료하는 560부터 570, 530, 510까지 엔드 포인트를 검색하고, 아웃포트 (507)와 연결되어 서비스 체인을 종료하는 다른 단측인 570부터 560, 530, 510까지 엔드 포인트를 검색할 수 있다. 5A, in order to generate a backward filter, the MANO searches for an endpoint from 560 to 570, 530, and 510, which are connected to the out port 507 to terminate the service chain, The endpoints can be searched from 570 to 560, 530, and 510, which are connected to the other end, which terminates the service chain.

도 5c는 도 5a와 같은 서비스 기능 체인에서 아웃포트부터 검색한 엔드 포인트를 도시하고 있다. 5C shows an end point retrieved from an outport in the service function chain as shown in FIG. 5A.

도 5c의 <A>는 도 5a의 560부터 530, 560부터 510, 560부터 570까지 엔드 포인트를 검색한 결과이다. 이때 검색되는 첫번째 타겟형 VNF는 WAF (540)이며 MANO는 WAF (540)를 엔드 포인트로 설정할 것이다. 그리고 엔드 포인트 540의 가상 아웃포트 P5에 할당된 맥 주소를 필터의 목적지 맥주소로 기록하여 백워드 필터의 내용을 생성할 것이다. 5A is a result of searching for the endpoints 560 to 530, 560 to 510, and 560 to 570 in FIG. 5A. At this time, the first target type VNF to be searched is the WAF 540 and the MANO will set the WAF 540 as the end point. The MAC address assigned to the virtual out port P5 of the endpoint 540 will be recorded as the destination beer of the filter to generate the content of the backward filter.

나아가 도 5c의 <B>는 도 5a의 570부터 510까지, 570부터 530까지, 570부터 560까지 엔드 포인트를 검색한 결과이다. 이때 검색되는 첫번째 타겟형 VNF는 로드밸런서 (570)이며 MANO는 507을 엔드 포인트로 설정할 것이다. 그리고 엔드 포인트 507의 가상 아웃포트 P7에 할당된 맥 주소를 필터의 목적지 맥주소로 기록하여 백워드 필터의 내용을 생성할 것이다. 5C is a result of searching for endpoints 570 through 530, 570 through 530, and 570 through 560 in FIG. 5A. The first target type VNF searched at this time is the load balancer 570 and the MANO will set 507 as the end point. The MAC address assigned to the virtual outport P7 of the endpoint 507 will be recorded as the destination beer of the filter to generate the content of the backward filter.

이후 MANO는 도 5c의 A 및 B의 내용을 머지하여 최종적으로 P5 또는 P7의 맥주소를 목적지 맥주소로 하는 백워드 필터를 생성할 것이다. 이후 백워드 필터를 디스플레이에 표시하고 이에 대한 사용자 입력을 수신하여 필터를 수정할 수도 있다. The MANO will then merge the contents of A and B in FIG. 5C and finally generate a backward filter with the destination MAC address of P5 or P7 as the destination beer. The back-word filter may then be displayed on the display and the filter input modified to receive user input thereto.

도 6은 인포트와 아웃포트가 특정되지 않은 2 이상의 포트를 포함하는 NFV 장치에서 구현되는 서비스 기능 체인을 예시하고 있다. 도 6의 예에서 트래픽은 PP1 (605), PP2 (607) 또는 PP3 (609) 중 어느 하나의 포트로 유입되어 서비스 체인을 통과한 후 다른 하나의 포트로 나갈 수 있다. FIG. 6 illustrates a service function chain implemented in an NFV device including two or more ports for which an inport and an out port are not specified. In the example of FIG. 6, the traffic may flow into one of the ports of PP1 605, PP2 607, or PP3 609, and may pass through the service chain and then to another port.

도 6과 같은 서비스 기능 체인의 경우, 방화벽 (620), Tap (630), IDS (610), IPS (660), Merge (680)은 논타겟형 VNF이며, WAF (640), 라우터 (650), 로드벨런서 (670)은 타겟형 VNF에 해당한다. 나아가 Tap (630), IDS (610), IPS (660), 로드벨런서 (670)가 서비스 기능 체인의 단측을 이루고 있다. 6, the firewall 620, the tap 630, the IDS 610, the IPS 660, and the merge 680 are non-target type VNFs, and the WAF 640, the router 650, , And the load balancer 670 corresponds to the target type VNF. Further, the Tap 630, the IDS 610, the IPS 660, and the load balancer 670 form one side of the service function chain.

MANO는 PP1 (605) 포트로 유입되는 트래픽을 상기 서비스 기능 체인으로 유입하기 위한 제 1 필터를 작성할 수 있다. The MANO may create a first filter for introducing traffic to the PP1 605 port into the service function chain.

보다 구체적으로, MANO는 PP1 (605)과 연결되어 서비스 체인을 시작하는 630부터 다른 모든 단측 (610, 660, 670)까지 검색하며, 엔드 포인트를 설정할 것이다. More specifically, the MANO is connected to the PP1 605 to search for all the other end sides 610, 660, 670 starting from 630 starting the service chain, and setting the end point.

도 6의 예에서 PP1에 대한 엔드 포인트는 IDS (640) 및 라우터 (650)이며, IDS(640)는 Don't care로 처리되고, MANO는 650의 가상 포트 P1에 할당된 맥 주소를 필터의 목적지 맥주소로 기록하여 PP1에 연결된 제 1 필터의 내용을 생성할 것이다. In the example of FIG. 6, the endpoint for PP1 is the IDS 640 and the router 650, the IDS 640 is treated as Do not care, and the MANO assigns the MAC address assigned to the virtual port P1 of 650 to the Destination brewery to generate the content of the first filter connected to PP1.

다음으로 MANO는 PP2 (607) 포트로 유입되는 트래픽을 상기 서비스 기능 체인으로 유입하기 위한 제 2 필터를 작성할 수 있다. Next, the MANO can create a second filter for introducing traffic to the PP2 607 port into the service function chain.

보다 구체적으로, MANO는 PP2 (607)과 연결되어 서비스 체인을 시작하는 660부터 다른 모든 단측 (610, 630, 670)까지 검색하며, 첫번째 검색되는 타겟형 VNF를 엔드 포인트로 설정할 것이다. 도 6의 예에서 PP2에 대한 엔드 포인트는 WAF (640)이며 MANO는 640의 가상 포트 P5에 할당된 맥 주소를 필터의 목적지 맥주소로 기록하여 PP2에 연결된 제 2 필터의 내용을 생성할 것이다. More specifically, the MANO is connected to PP2 607 to search for all the other ends 610, 630, 670 starting from 660 starting the service chain, and will set the target VNF to be searched first as the end point. In the example of FIG. 6, the endpoint for PP2 is WAF 640 and the MANO will write the MAC address assigned to virtual port P5 of 640 to the destination beer of the filter to generate the contents of the second filter connected to PP2.

마지막으로 MANO는 PP3 (609) 포트로 유입되는 트래픽을 상기 서비스 기능 체인으로 유입하기 위한 제 3 필터를 작성할 수 있다. Finally, the MANO may create a third filter for introducing traffic to the PP3 609 port into the service function chain.

보다 구체적으로, MANO는 PP3 (609)과 연결되어 서비스 체인을 시작하는 670부터 다른 모든 단측 (610, 630, 660)까지 검색하며, 첫번째 검색되는 타겟형 VNF를 엔드 포인트로 설정할 것이다. 도 6의 예에서 PP3에 대한 엔드 포인트는 로드벨런서 (670)이며 MANO는 670의 가상 포트 P7에 할당된 맥 주소를 필터의 목적지 맥주소로 기록하여 PP3에 연결된 제 3 필터의 내용을 생성할 것이다. More specifically, the MANO is connected to the PP3 609 to search for all the other end sides 610, 630, and 660 starting from 670 starting the service chain, and will set the first target VNF to be searched as the end point. In the example of FIG. 6, the endpoint for PP3 is the load balancer 670 and the MANO will write the MAC address assigned to virtual port P7 of 670 to the destination beer of the filter to generate the contents of the third filter connected to PP3 .

이후 MANO는 제 1 필터, 제 2 필터, 제 3 필터의 내용을 디스플레이에 표시하고 이에 대한 사용자 입력을 수신하여 필터를 수정할 수도 있다. The MANO may then display the contents of the first filter, the second filter, and the third filter on the display and receive user input thereto to modify the filter.

본 명세서와 도면에 게시된 본 발명의 실시 예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 게시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다. The embodiments of the present invention disclosed in the present specification and drawings are intended to be illustrative only and not intended to limit the scope of the present invention. It will be apparent to those skilled in the art that other modifications based on the technical idea of the present invention are possible in addition to the embodiments disclosed herein.

Claims (8)

네트워크 기능 가상화를 적용한 서비스 기능 체인을 운용하는 방법에 있어서,
a) 상기 서비스 기능 체인에 포함되는 VNF(Virtual Network Function) 각각을, 해당 VNF에 유입되는 패킷 중 특정 패킷만 처리하는 제1 타입과 해당 VNF에 유입되는 패킷을 모두 처리하는 제2 타입으로 구분하는 단계;
b) 상기 서비스 기능 체인의 제1 단측부터 제2 단측까지 검색하는 과정에서 처음으로 검색되는 상기 제1 타입의 VNF를 제1 엔드 포인트로 설정하고, 상기 제2 단측을 이루는 VNF를 제2 엔드 포인트로 설정하는 단계; 및
c) 상기 제2 엔드 포인트로 설정된 VNF는 고려하지 않고, 상기 제1 엔드 포인트로 설정된 VNF를 구현하는 가상 머신의 맥주소들을 머지하여 상기 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 설계하는 단계를 포함하는 것을 특징으로 하는 서비스 기능 체인 운용 방법. In a method for operating a service function chain to which network function virtualization is applied,
a) dividing the VNF (Virtual Network Function) included in the service function chain into a first type for processing only a specific packet among the packets flowing into the VNF and a second type for processing all packets entering the VNF step;
b) setting the VNF of the first type that is searched first in the process of searching from the first end to the second end of the service function chain as a first end point, and setting the VNF of the second end as a second end point ; And
c) designing a filter for tracing traffic to the service function chain by merging MAC addresses of a virtual machine implementing a VNF set to the first endpoint, without considering a VNF set to the second end point Wherein the service function chain management method comprises the steps of: 삭제delete 제 1항에 있어서,
단계 b)에서 제1 타입의 VNF가 검색되지 않아 제1 엔드 포인트를 설정할 수 없는 경우에는, 단계 c)에서 사용자 입력을 수신하여 상기 필터를 설계하는 것을 특징으로 하는 서비스 기능 체인 운용 방법. The method according to claim 1,
And if the first endpoint can not be set because the first type of VNF is not found in step b), the filter is designed to receive the user input in step c). 제 1항에 있어서,
단계 c)는,
상기 서비스 기능 체인의 인 포트와 연결된 제 1 단측부터 검색하여, 상기 제1 엔드 포인트로 설정한 VNF를 구현하는 가상 머신의 가상 인포트에 할당된 맥주소를 이용하여 상기 서비스 기능 체인의 포워드 필터를 생성하는 단계; 및
상기 서비스 기능 체인의 아웃 포트와 연결된 제 2 단측부터 검색하여, 상기 제1 엔드 포인트로 설정한 VNF를 구현하는 가상 머신의 가상 아웃포트에 할당된 맥주소를 이용하여 상기 서비스 기능 체인의 백워드 필터를 생성하는 단계를 포함하는 것을 특징으로 하는 서비스 기능 체인 운용 방법. The method according to claim 1,
Step c)
A forward filter of the service function chain is retrieved from a first end connected to an in port of the service function chain using a MAC address allocated to a virtual inport of a virtual machine implementing a VNF set to the first end point, ; And
Searching a second end connected to an out port of the service function chain and searching for a backward filter of the service function chain using a MAC address allocated to a virtual out port of a virtual machine implementing a VNF set to the first end point, And generating the service function chain. 제 4항에 있어서,
상기 백워드 필터의 생성 과정에서 상기 제 2 타입 엔드 포인트가 존재하지 않고 상기 포워드 필터의 내용이 존재하는 경우, 상기 포워드 필터의 소스 필드 및 목적지 필드의 내용을 상기 백워드 필터의 목적지 필드 및 소스 필드에 각각 기록하여 상기 백워드 필터를 생성하는 단계를 포함하는 것을 특징으로 하는 서비스 기능 체인 운용 방법.5. The method of claim 4,
If the second type endpoint does not exist and the contents of the forward filter exist in the generation of the backward filter, the contents of the source field and the destination field of the forward filter are compared with the destination field and the source field of the backward filter And generating the backward filter by writing the backward filter in the service function chain. 제 1항에 있어서,
단계 c)는,
상기 서비스 기능 체인이 인포트와 아웃포트가 특정되지 않은 적어도 2 이상의 포트와 연결된 경우, 상기 서비스 기능 체인의 제 1 포트와 연결된 제 1 단측부터 검색하여, 상기 제1 엔드 포인트로 설정한 VNF의 정보를 이용하여 상기 제 1 포트에 대한 제 1 필터를 생성하는 단계; 및
상기 서비스 기능 체인의 제 2 포트와 연결된 제 2 단측부터 검색하여 상기 제1 엔드 포인트로 설정한 VNF의 정보를 이용하여 상기 제 2 포트에 대한 제 2 필터를 생성하는 단계를 포함하는 것을 특징으로 하는 서비스 기능 체인 운용 방법.The method according to claim 1,
Step c)
If the service function chain is connected to at least two ports that are not specified with an in-port and an out-port, searching from a first end connected to a first port of the service function chain, Generating a first filter for the first port using the first filter; And
And searching for a second end connected to a second port of the service function chain and generating a second filter for the second port using the information of the VNF set to the first endpoint Service function chain operating method. 서비스 기능 체인을 운용하는 네트워크 기능 가상화 시스템에 있어서,
적어도 하나 이상의 VNF(Virtual Network Function) 를 포함하는 서비스 기능 체인을 구현하는 네트워크 기능 가상화 장치; 및
상기 VNF 각각을, 해당 VNF에 유입되는 패킷 중 특정 패킷만 처리하는 제 1 타입과 해당 VNF에 유입되는 패킷을 모두 처리하는 제 2 타입으로 구분하고, 상기 서비스 기능 체인의 제1 단측부터 제2 단측까지 검색하여 처음으로 검색되는 상기 제1 타입의 VNF를 제1 엔드 포인트로 설정하고 상기 제2 단측을 이루는 VNF를 제2 엔드 포인트로 설정하고, 상기 제2 엔드 포인트로 설정된 VNF는 고려하지 않고 상기 제1 엔드 포인트로 설정된 VNF를 구현하는 가상 머신의 맥주소들을 머지하여 상기 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 설계하는 MANO (Management and Orchestration)를 포함하는 것을 특징으로 하는 네트워크 기능 가상화 시스템.A network function virtualization system for operating a service function chain,
A network function virtualization device that implements a service function chain including at least one virtual network function (VNF); And
A first type in which only a specific packet among the packets flowing into the corresponding VNF is processed and a second type in which packets flowing into the corresponding VNF are all processed are divided into a first type and a second type Sets the VNF of the first type that is first searched for as the first end point, sets the VNF of the second end as the second end point, and does not consider the VNF set to the second end point And management and orchestration (MANO) for designating a filter for tracing traffic to the service function chain by merging MAC addresses of virtual machines implementing a VNF set as a first end point. 서버에서, 네트워크 기능 가상화를 적용한 서비스 기능 체인을 운용하는 기능을 수행하기 위하여 컴퓨터 판독가능한 기록 매체에 저장된 컴퓨터 프로그램에 있어서,
상기 서비스 기능 체인에 포함되는 VNF(Virtual Network Function) 각각을, 해당 VNF에 유입되는 패킷 중 특정 패킷만 처리하는 제1 타입과 해당 VNF에 유입되는 패킷을 모두 처리하는 제2 타입으로 구분하는 기능;
상기 서비스 기능 체인의 임의의 제1 단측부터 제2 단측까지 검색하여 처음으로 검색되는 상기 제1 타입의 VNF를 제1 엔드 포인트로 설정하고 상기 제2 단측을 이루는 VNF를 제2 엔드 포인트로 설정하는 기능; 및
상기 제2 엔드 포인트로 설정된 VNF는 고려하지 않고, 상기 제1 엔드 포인트로 설정된 VNF를 구현하는 가상 머신의 맥주소들을 머지하여 상기 서비스 기능 체인으로 트래픽을 견인하기 위한 필터를 설계하는 기능을 수행하는 것을 특징으로 하는 컴퓨터 프로그램. A computer program stored in a computer-readable recording medium for performing, in a server, a function of operating a service function chain to which network function virtualization is applied,
A function for dividing each VNF (Virtual Network Function) included in the service function chain into a first type for processing only a specific packet among the packets flowing into the corresponding VNF and a second type for processing all packets flowing into the VNF;
The VNF of the first type which is searched for from the first end to the second end of the service function chain and is searched first is set as a first end point and the VNF constituting the second end is set as a second end point function; And
A function of designing a filter for tracing traffic to the service function chain by merging the MAC addresses of the virtual machines implementing the VNF set to the first end point without considering the VNF set to the second end point Lt; / RTI &gt;
KR1020160155730A 2016-11-22 2016-11-22 Method, apparatus and computer program for service fuction chainnig KR101867880B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160155730A KR101867880B1 (en) 2016-11-22 2016-11-22 Method, apparatus and computer program for service fuction chainnig

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160155730A KR101867880B1 (en) 2016-11-22 2016-11-22 Method, apparatus and computer program for service fuction chainnig

Publications (2)

Publication Number Publication Date
KR20180057282A KR20180057282A (en) 2018-05-30
KR101867880B1 true KR101867880B1 (en) 2018-06-18

Family

ID=62300575

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160155730A KR101867880B1 (en) 2016-11-22 2016-11-22 Method, apparatus and computer program for service fuction chainnig

Country Status (1)

Country Link
KR (1) KR101867880B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102630515B1 (en) * 2021-12-24 2024-01-29 숭실대학교산학협력단 Nfv infrastructure system based on extended container infrastructure
WO2023120830A1 (en) * 2021-12-24 2023-06-29 숭실대학교산학협력단 Nfv infrastructure system based on expanded container infrastructure

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016171503A (en) * 2015-03-13 2016-09-23 富士通株式会社 Management device and connection processing method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579968B (en) * 2013-10-26 2018-03-09 华为技术有限公司 SDN switch obtains accurate flow table item method and SDN switch, controller, system
KR102286466B1 (en) * 2015-04-15 2021-08-05 한국전자통신연구원 Method and system for providing function-based routing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016171503A (en) * 2015-03-13 2016-09-23 富士通株式会社 Management device and connection processing method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
비특허문헌

Also Published As

Publication number Publication date
KR20180057282A (en) 2018-05-30

Similar Documents

Publication Publication Date Title
US11330044B2 (en) Method and system for processing load balancing using virtual switch in virtual network environment
US11658861B2 (en) Maps having a high branching factor
US11405289B2 (en) Distributed packet deduplication
US11770408B2 (en) Method and system of mitigating network attacks
US10389642B2 (en) Cloud-based network tool optimizers for server cloud networks
US11075981B2 (en) Method and system for processing direct server return load balancing using loopback interface in virtual network environment
US10778577B2 (en) Status monitoring of inline network tools
US20160301603A1 (en) Integrated routing method based on software-defined network and system thereof
EP2748716B1 (en) Network control system for configuring middleboxes
US9674080B2 (en) Proxy for port to service instance mapping
EP2991304A1 (en) Conflict detection and solving method and device
KR20160042441A (en) Application-aware network management
US10164908B2 (en) Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM)
US11824897B2 (en) Dynamic security scaling
JP5928197B2 (en) Storage system management program and storage system management apparatus
KR101867880B1 (en) Method, apparatus and computer program for service fuction chainnig
Čisar et al. Implementation of software-defined networks using open-source environment
KR20180058592A (en) Software Defined Network Controller
KR101543735B1 (en) System and method for processing packets for nfv
KR20180058593A (en) Software Defined Network Whitebox Switch
KR20180085592A (en) Virtual router system and method to integrate with openstack based orchestration
WO2017058137A1 (en) Latency tracking metadata for a network switch data packet
Chhikara et al. Towards OpenFlow based software defined networks
US9467356B2 (en) Integrated data plane for heterogeneous network services
KR20180085475A (en) Virtual router api interface to integrate with openstack based orchestration

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right