KR102019104B1 - 다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스 - Google Patents

다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스 Download PDF

Info

Publication number
KR102019104B1
KR102019104B1 KR1020120006974A KR20120006974A KR102019104B1 KR 102019104 B1 KR102019104 B1 KR 102019104B1 KR 1020120006974 A KR1020120006974 A KR 1020120006974A KR 20120006974 A KR20120006974 A KR 20120006974A KR 102019104 B1 KR102019104 B1 KR 102019104B1
Authority
KR
South Korea
Prior art keywords
packet
network card
network
traffic
policy
Prior art date
Application number
KR1020120006974A
Other languages
English (en)
Other versions
KR20130093832A (ko
Inventor
박상길
이준경
강동원
윤상식
김상완
이왕봉
박종대
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120006974A priority Critical patent/KR102019104B1/ko
Priority to US13/619,361 priority patent/US9319322B2/en
Publication of KR20130093832A publication Critical patent/KR20130093832A/ko
Application granted granted Critical
Publication of KR102019104B1 publication Critical patent/KR102019104B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames

Abstract

다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스가 개시된다. 본 발명의 일 실시예에 따른 네트워크 디바이스는, 트래픽을 분류 및 필터링하는 제1 네트워크 카드와, 제1 네트워크 카드로부터 분류된 트래픽을 검사하여 처리하는 제2 네트워크 카드와, 제1 네트워크 카드와 제2 네트워크 카드를 관리하고 네트워크 정책을 제1 네트워크 카드와 제2 네트워크 카드에 구분 적용하는 프로세서와, 네트워크 정책을 저장하는 메모리를 포함한다.

Description

다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스 {Method for processing traffic using multi network interface card and network device thereof}
본 발명의 일 양상은 네트워크 관리 및 서비스 기술에 관한 것으로, 보다 상세하게는 네트워크 트래픽 처리기술에 관한 것이다.
오늘날의 네트워크 회선에 있어서, 대역폭과 트래픽에 대한 지능적인 검사 및 제어가 요구된다. 스마트폰이나 태블릿 PC 등의 증가로 인하여 네트워크 회선 제공자의 수익 관계는 더 이상 개선되지 않고 있으나, 컨텐츠 제공자와 말단 사용자에 의해 생성되는 트래픽은 기하급수적으로 증가하고 있다. 이러한 네트워크 환경에서 네트워크 사업자는 한정된 네트워크 대역폭을 이용하여 불특정 다수의 트래픽에 대한 네트워크 서비스 품질보장(Quality of Service: QoS) 및 보안성(security)을 제공하고 과금 등을 측정하는 트래픽 엔지니어링 기법이 요구된다. 망 사업자와 서비스 제공업자 간의 합의에 의하여 경비를 분담하면 좋겠지만, 실상은 그러하지 못하여 망 사업자는 금전적인 이득이 없는 상태에서도 지속적인 네트워크 인프라를 증설하여야 한다.
현재 주로 개발되는 네트워크 장비는 스위치, 라우터, 특화된 기능을 갖는 인라인 어플라이언스, 보안장비, 트래픽 가속기 등이다. 이러한 장비는 하드웨어로서 목적한 기능을 제공하기 위해 주문형 반도체(Application Specific Integrated Chip: ASIC), 현장 프로그래머블 게이트 어레이(Field Programmable Gate Array: FPGA), 네트워크 프로세서 유닛(Network Processor Unit: NPU), 멀티-코어 프로세서(Multi-core Processor) 또는 메니-코어 프로세서(Many-Core Processor)에 특정의 기능을 구현한다.
네트워크 회선과 트래픽의 볼륨에 따라 망을 구성할 수 있는 유연성과 효과적인 트래픽 검사 및 제어가 필수적으로 요구되는데, 특히 네트워크의 위치에 따라 고속의 회신속도를 갖는 충실한 트래픽 전달과 정밀한 트래픽 검사가 요구된다.
선행기술 미국 등록특허 7809827에는 다량의 네트워크 모니터링을 수행하는 프로브를 통하여 트래픽을 필터링 및 분석하는 합법적 도청기술에 대해 개시하고 있다.
일 양상에 따라, 고속의 서비스를 제공하는 네트워크 디바이스에 있어서 네트워크 서비스를 효율적으로 제공하기 위해, 다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스를 제안한다.
일 양상에 따른 네트워크 디바이스는, 트래픽을 분류 및 필터링하는 제1 네트워크 카드와, 제1 네트워크 카드로부터 분류된 트래픽을 검사하여 처리하는 제2 네트워크 카드와, 제1 네트워크 카드와 제2 네트워크 카드를 관리하고 네트워크 정책을 제1 네트워크 카드와 제2 네트워크 카드에 구분 적용하는 프로세서와, 네트워크 정책을 저장하는 메모리를 포함한다.
다른 양상에 따른 트래픽 처리방법은, 제1 네트워크 카드가 트래픽을 분류 및 필터링하는 단계와, 제2 네트워크 카드가 제1 네트워크 카드로부터 분류된 트래픽을 검사하여 처리하는 단계를 포함한다.
일 실시예에 따르면, 다중 네트워크 카드를 이용하여 고속의 트래픽 분류 및 필터링과, 네트워크에서 특정 애플리케이션에 대한 트래픽 엔지니어링을 수행함에 따라 네트워크 서비스를 저렴한 가격에 효율적으로 제공할 수 있다.
나아가, 범용 서버에 NIC를 장착하여 구현된 ASIC, FPGA 또는 NPU를 통하여 고성능 트래픽에 대한 1차적인 트래픽 분류 및 필터링을 통하여 트래픽의 볼륨을 줄이고, 2차적인 검사를 통해 트래픽 엔지니어링을 수행함에 따라 NIC에 걸리는 부하를 경감시킬 수 있다.
더 나아가, NIC 형태의 하드웨어의 다양한 조합을 가능하게 하는 네트워크 회선 연결을 통하여, 트래픽의 분류 및 필터링과 트래픽 엔지니어링을 구분하여 사용자의 환경에 따라 다양한 구성이 가능하다.
더 나아가, 네트워크의 인라인 장비 또는 탭 형태의 장비에 적용 시 추가적인 장비의 구입이 없더라도, NIC 내에 적재된 FPGA 또는 NPU의 패킷전달 관련 포트 연결을 통하여 트래픽에 대한 지속적이며 사용자의 요구사항에 대해 신속한 대응이 가능한 물리구조와 논리구조를 제공할 수 있다.
도 1은 본 발명이 적용되는 네트워크 환경을 도시한 참조도,
도 2는 본 발명의 일 실시예에 따라 다중 NIC를 이용하여 트래픽을 처리하는 서버의 논리구조를 도시한 참조도,
도 3은 본 발명의 일 실시예에 따라 실질적인 네트워크 회선을 통해 연결되는 NIC의 물리구조를 도시한 참조도,
도 4는 본 발명의 일 실시예에 따라 제1 NIC의 트래픽 분류 및 필터링 방법을 도시한 흐름도,
도 5는 본 발명의 일 실시예에 따라 제2 NIC의 트래픽 검사 및 엔지니어링 방법을 도시한 흐름도,
도 6은 본 발명의 일 실시예에 따라 제1 NIC가 제2 NIC로부터 수신되는 트래픽을 처리하는 프로세스를 도시한 흐름도이다.
이하에서는 첨부한 도면을 참조하여 본 발명의 실시예들을 상세히 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명이 적용되는 네트워크 환경을 도시한 참조도이다.
다양한 서비스를 제공하는 네트워크 환경에서 트래픽에 대한 정밀검사를 요구하는 경우와 네트워크 성능을 요구하는 경우 2가지가 사용자의 요구사항으로 대두되고 있다. 이러한 상황에서 2가지 모두를 만족시키기가 상당히 까다로워지고 있는데, 본 발명은 각각의 특징을 갖는 다양한 네트워크 인터페이스 카드(Network Interface Card: NIC)를 서버에 설치하여 사용자의 요구사항에 맞게 운용할 수 있는 하드웨어와 그 활용방법을 제공한다.
네트워크의 인라인 장비 또는 탭 형태의 장비는 네트워크에 유통되는 트래픽에 대한 정밀검사를 통하여 과금(Pricing), 서비스 품질 관리(Quality of Service: QoS), 보안 서비스(Security service), 애플리케이션 가속화(Application Acceleration) 등의 기능을 제공한다.
세부적으로, 정책 서버(policy server)(12)는 정책 서버(12)에 의해 정의되는 정책(Policy)을 정책 관련 인터페이스를 통하여 각 범용 서버(general server)(10a,…,10n)에 제공한다.
범용 서버(10a,…,10n)에는 정책을 네트워크에 집행하는 네트워크 인터페이스 카드(100a,102a,…,100n,102n)가 실장된다. 범용 서버(10a,…,10n)의 프로세서(104a,…,104n)에서 구동되는 정책 수신 및 NIC 제어용 모듈은 정책을 각 NIC(100a,102a,…,100n,102n)에 적합한 정책 구조체로 가공하여 메모리(106a,…,106n) 등의 저장장치에 저장한 후 NIC(100a,102a,…,100n,102n)를 통해 네트워크 정책을 집행한다. NIC(100a,102a,…,100n,102n)는 특정 정책이 집행되는 시점부터 NIC(100a,102a,…,100n,102n)의 네트워크에 연결된 트래픽을 대상으로 트래픽 분류, 분석 및 서비스를 제공한다.
도 2는 본 발명의 일 실시예에 따라 다중 NIC를 이용하여 트래픽을 처리하는 서버의 논리구조를 도시한 참조도이다.
범용 서버(10)의 PCI 슬롯(202)에 NIC(100,102)가 설치되면, 플랫폼 관리 시스템(201)은 각 NIC(100,102)를 인식하는 ID를 관리하며, 정책 서버(12)로부터 수신한 각종 네트워크 정책을 각 NIC(100,102)에 구분 적용한다. 네트워크 정책은 트래픽 분류 정책과 필터링 정책 및 애플리케이션 정책을 포함할 수 있다.
일 실시예에 따르면, NIC(100,102)는 4개 이상의 물리적 포트(SFP, SFP+)를 갖고 있다. NIC(100,102)의 물리구조에 대해서는 도 3에서 후술한다. 제1 NIC(100)는 관리 네트워크로부터 범용 서버(10)로 입력되는 트래픽을 대상으로 제2 계층부터 제4 계층에 해당하는 트래픽 분류정책을 이용하여 트래픽 분류 및 필터링을 수행한다. 제2 NIC(102)는 제7 계층까지 트래픽 패턴 정밀검사 및 트래픽 엔지니어링을 수행하여 트래픽을 전송 혹은 폐기한다.
먼저 제1 NIC(100)는 네트워크로부터 유입된 트래픽을 대상으로, 제2 계층 내지 제4 계층 데이터를 이용한 트래픽 분류 및 필터링을 수행하고, 네트워크로부터 유입된 패킷 중 정밀검사가 필요한 패킷은 제2 NIC(102)로 전송한다. 일 실시예에 따르면, 제1 NIC(100)는 정밀검사가 필요하지 않은 패킷들 중 제2~제4 계층에 해당하는 필터링 정책에 부합하는 경우 패킷을 폐기(208)하고, 그 외의 패킷은 네트워크 출력 인터페이스를 통해 네트워크로 전송(207)한다.
도 3은 본 발명의 일 실시예에 따라 실질적인 네트워크 회선을 통해 연결되는 NIC의 물리구조를 도시한 참조도이다.
세부적으로, 도 3에서는 트래픽 분류 및 필터링을 주요 기능으로 하는 제1 NIC(100-1,100-2)와 트래픽 정밀검사 및 엔지니어링을 수행하는 제2 NIC(102) 간의 트래픽 회선 연결과 트래픽 흐름을 도시한다.
본 발명에서 사용하는 다중 NIC은 4개의 물리적 포트(SFP, SFP+ 등)를 포함한다. 즉, 제1 NIC(100-1,100-2)는 네트워크로부터 패킷을 수신하는 물리 포트(RX0)와, 네트워크로 패킷을 송신하는 물리 포트(TX3)와, 제2 NIC(102)로 패킷을 송신하는 물리 포트(TX1)와, 제2 NIC(102)로부터 패킷을 수신하는 물리 포트(RX2)를 포함한다. 또한, 제2 NIC(102)는 4개의 트래픽 인터페이스를 구분하여, 제1 NIC(100-1,100-2)로부터 패킷을 수신(305,315)하거나 제1 NIC(100-1,100-2)로 패킷을 전송한다(306,316). 제2 NIC(102)는 논리적으로 2개의 서브 블록인 DPP(Deep Packet Processing) 엔진(102-1,102-2)으로 구분될 수 있다.
제1 NIC(100-1,100-2)는 참조부호 301,311과 같이 네트워크로부터 패킷을 입력받는다. 그러면, 입력받은 패킷에 대하여 패킷 헤더의 내용에 기반하여 패킷을 분류(302,312)한다. 패킷 분류결과, 트래픽 엔지니어링이 필요한 패킷에 대해서는 참조부호 304,314와 같이 내부 포트 연결을 통하여 제2 NIC(102)에 패킷을 전달한다(305,315). 또한, 제1 NIC(100-1,100-2)는 트래픽 분류(302,312)에 해당하지 않는 패킷을 대상으로, 제2~제4 계층정책에 의해 필터링된 패킷을 제1 NIC(100-1,100-2)에서 제거하고, 정상적인 트래픽은 네트워크 출력 인터페이스(308,318)에 전송한다(303,313).
제2 NIC(102)는 참조부호 305,315와 같이 제1 NIC(100-1,100-2)로부터 전달받은 트래픽에 대해, 서버에서 요구하는 제5~제7 계층에 해당하는 특정 서비스에 대한 프로토콜 파싱 및 컨텐츠 매칭을 제공하는 세부 기술을 이용하여 매 트래픽마다 패킷 페이로드를 정밀검사한다. 그리고, 정밀검사 결과에 따라 애플리케이션 정책을 기반으로 트래픽 폐기, 패킷 전송 또는 네트워크로의 패킷 전달을 수행한다.
제2 NIC(102)가 논리적으로 2개의 DPP 엔진(102-1,102-2)으로 구분되는 경우, DPP #1(102-1)은 참조부호 305와 같이 제1 NIC(100-1)로부터 패킷을 전송받아 이를 처리하고 필요시 참조부호 306과 같이 제1 NIC(100-1)로 패킷을 전송한다. 이와 마찬가지로, DPP #2(102-2)는 참조부호 315와 같이 다른 제1 NIC(100-2)로부터 패킷을 전송받아 이를 처리하고 필요시 참조부호 316과 같이 다른 제1 NIC(100-2)로 패킷을 전송한다.
본 일 실시예에서는 이해의 편이성을 위해 단방향 패킷 전달에 대한 물리구조만을 표시하였으나, 실질적인 네트워크에 적용시 듀플렉스 형태로 적용될 수 있다. 다시 말하면 도 3에서는 제1 NIC(100-1,100-2)의 트래픽 입력(301,311)은 RX0로만 수행하고 있으나, 실질적으로 반대 포트인 RX3으로 트래픽을 입력(301,311)받고, TX0로 트래픽을 전송할 수 있다(308,318).
도 4는 본 발명의 일 실시예에 따라 제1 NIC(100-1,100-2)의 트래픽 분류 및 필터링 방법을 도시한 흐름도이다.
제1 NIC(100-1,100-2)는 트래픽 입력 인터페이스(301,311)를 통해 패킷을 입력받는다(401). 그리고, MAC 주소에 기반한 패킷 처리결과에 대한 대응을 하기 위해 MAC 어드레스 매칭(MAC address matching)(402)을 수행한다. 매칭 수행결과, 매칭되는 경우 사전에 정해진 대응행위(Action)(403)를 수행한다. 이에 비해, 매칭 수행결과 입력 패킷의 MAC 어드레스가 미리 선정된 규칙에 대응되지 않는 경우 패킷을 구분하기 위해 패킷을 파싱한다(404).
이어서, 제1 NIC(100-1,100-2)는 파싱된 패킷의 소스 주소, 목적지 주소, 프로토콜, 소스 포트, 목적지 포트 등 패킷의 헤더 내용 중 구분이 가능한 필드를 이용하여, 분류정책을 저장하고 있는 룩업 메모리를 조회한다. 일 실시예에 따르면, 제1 NIC(100-1,100-2)는 사전에 정의한 헤더 필드 값을 이용하여 서치 키를 생성(405)하고, 생성된 서치 키를 이용하여 분류정책이 저장된 룩업 메모리를 조회한다(406). 룩업 메모리 조회(406) 결과가 "참"인 경우 룩업 메모리가 반환해 주는 규칙번호(Rule Index)를 기반으로 테이블을 룩업한다(407). 테이블에는 패킷의 대응행위가 사전에 정의된다.
이어서, 제1 NIC(100-1,100-2)는 규칙번호가 가리키는 메모리의 값(409)을 기반으로 대응행위를 수행한다. 패킷 대응행위의 예를 들면, 패킷을 폐기(410)하거나, 패킷을 우회(411)시키거나, 패킷을 제2 NIC(102)로 전송(412)하거나, 패킷을 비동기 FIFO에 저장 후 네트워크로 전송하는 행위(413)가 있다. 이에 비해, 룩업 메모리 조회(406) 결과가 "거짓"인 경우 비동기 FIFO에 패킷을 전송한다(408).
도 5는 본 발명의 일 실시예에 따라 제2 NIC(102)의 트래픽 정밀검사 및 엔지니어링 방법을 도시한 흐름도이다.
제2 NIC(102)는 제1 NIC(100-1,100-2)로부터 패킷을 전달받는다(501). 그리고, 제2 NIC(102)는 해당 패킷을 파싱(502)하고, 특정 서비스에 필요한 네트워크 애플리케이션 서비스를 제공하기 위해 애플리케이션 서비스를 파싱한다(503). 특정 서비스는 예를 들면 Skype 서비스 인식, VoIP 트래픽 관리, P2P 트래픽 제어, 웹 기반 트래픽 분석 서비스일 수 있다.
이어서, 제2 NIC(102)는 파싱된 패킷을 대상으로 애플리케이션 정책에 부합하는지를 알기 위해 애프리케이션 정책이 저장된 룩업 메모리를 조회한다(504). 조회 결과가 "참"인 경우 룩업 메모리가 반환해 주는 규칙번호를 기반으로 테이블을 룩업한다(505). 테이블에는 패킷의 대응행위가 사전에 정의된다.
이어서, 제2 NIC(102)는 규칙번호가 가리키는 메모리의 값(507)을 기반으로 대응행위를 수행한다. 패킷 대응행위의 예를 들면, 패킷 폐기(508), 제1 NIC(100-1,100-2)로의 전달(509), 패킷의 페이로드 변경 후 패킷 전달(510) 등을 포함한다. 이에 비해, 룩업 메모리 조회(504) 결과가 "거짓"인 경우 비동기 FIFO에 패킷을 전송한다(506).
도 6은 본 발명의 일 실시예에 따라 제1 NIC(100-1,100-2)가 제2 NIC(102)로부터 수신되는 트래픽을 처리하는 프로세스를 도시한 흐름도이다.
제1 NIC(100-1,100-2)가 제2 NIC(102)로부터 패킷을 전달(601)받으면 이를 비동기 FIFO에 저장한다(602). 이어서, 비동기 FIFO에 저장된 패킷을 네트워크에 전송한다(603).
이제까지 본 발명에 대하여 그 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
12 : 정책 서버
10,10a,…,10n : 범용 서버
100, 100-1,100-2 : 제1 NIC
102 : 제2 NIC
104a,…,104n : 프로세서
106a,…,106n : 메모리

Claims (16)

  1. 트래픽을 분류 및 필터링하는 제1 네트워크 카드;
    상기 제1 네트워크 카드로부터 분류된 트래픽을 검사하여 처리하는 제2 네트워크 카드;
    상기 제1 네트워크 카드와 제2 네트워크 카드를 관리하고, 네트워크 정책을 상기 제1 네트워크 카드와 제2 네트워크 카드에 구분 적용하는 프로세서; 및
    상기 네트워크 정책을 저장하는 메모리;
    를 포함하고,
    상기 제1 네트워크 카드는,
    입력 패킷들 중에서 제2 계층 내지 제4 계층에 해당하는 패킷은 필터링하여 폐기하고,
    제2 계층 내지 제4 계층에 해당하지 않는 패킷들 중 검사가 필요한 패킷은 상기 제2 네트워크 카드에 전송하고,
    그 외의 정상적인 패킷은 네트워크로 전송하는 것을 특징으로 하는 네트워크 디바이스.
  2. 삭제
  3. 제 1 항에 있어서, 상기 제1 네트워크 카드는,
    입력 패킷의 소스 IP 주소(Source IP Address) 정보, 목적지 IP 주소(Destination IP Address) 정보, 소스 포트(Source Port) 정보, 목적지 포트(Destination Port) 정보, 및 프로토콜(Protocol) 정보 중에서 적어도 하나의 정보를 이용하여 패킷을 분류하는 것을 특징으로 하는 네트워크 디바이스.
  4. 제 1 항에 있어서, 상기 제1 네트워크 카드는,
    네트워크로부터 패킷을 수신하는 물리 포트와, 상기 네트워크로 패킷을 송신하는 물리 포트와, 상기 제2 네트워크 카드로 패킷을 송신하는 물리 포트와, 상기 제2 네트워크 카드로부터 패킷을 수신하는 물리 포트를 포함하는 것을 특징으로 하는 네트워크 디바이스.
  5. 제 1 항에 있어서, 상기 제1 네트워크 카드는,
    상기 제2 네트워크 카드로부터 내부 물리 포트를 통해 패킷을 수신하면, 수신 패킷을 비동기 FIFO에 저장 후 네트워크로 전송하는 것을 특징으로 하는 네트워크 디바이스.
  6. 제 1 항에 있어서, 상기 제2 네트워크 카드는,
    상기 제1 네트워크 카드를 통해 분류된 패킷들을 대상으로 제5 계층 내지 제7 계층에 해당하는 패킷의 페이로드를 검사하는 것을 특징으로 하는 네트워크 디바이스.
  7. 제 1 항에 있어서, 상기 제2 네트워크 카드는,
    과금 정보, 서비스 품질, 보안 서비스 및 애플리케이션 가속화 중에서 적어도 하나를 검사하는 것을 특징으로 하는 네트워크 디바이스.
  8. 제 1 항에 있어서, 상기 제2 네트워크 카드는,
    검사 결과에 따라 패킷을 폐기하거나, 패킷을 상기 제1 네트워크 카드로 전송하거나 또는 패킷의 내용을 변경한 후 전달하는 것을 특징으로 하는 네트워크 디바이스.
  9. 제 1 항에 있어서,
    상기 제1 네트워크 카드는 복수 개이고,
    상기 제2 네트워크 카드는 상기 제1 네트워크 카드의 개수에 대응되는 개수의 서브 블록으로 구성되는 것을 특징으로 하는 네트워크 디바이스.
  10. 제 1 항에 있어서, 상기 메모리는,
    정책 서버로부터 트래픽 분류 정책과 필터링 정책 및 애플리케이션 정책을 포함하는 각종 네트워크 정책을 수신하여 저장하는 것을 특징으로 하는 네트워크 디바이스.
  11. 네트워크 디바이스가 제1 네트워크 카드와 제2 네트워크 카드를 이용하여 트래픽을 처리하는 방법에 있어서,
    상기 제1 네트워크 카드가 트래픽을 분류 및 필터링하는 단계; 및
    상기 제2 네트워크 카드가 상기 제1 네트워크 카드로부터 분류된 트래픽을 검사하여 처리하는 단계를 포함하고,
    상기 제1 네트워크 카드로부터 분류된 트래픽을 검사하여 처리하는 단계는,
    상기 제1 네트워크 카드로부터 패킷을 입력받는 단계;
    상기 입력받은 패킷을 파싱하고 애플리케이션 서비스를 파싱하는 단계;
    상기 파싱된 패킷을 대상으로 애플리케이션 정책에 부합하는지 여부를 검사하는 단계;
    상기 애플리케이션 정책에 부합하는 패킷별로 사전에 정의된 대응방식을 갖는 메모리 값을 조회하는 단계; 및
    상기 조회된 메모리 값에 따라 패킷을 처리하는 단계를 포함하는 것을 특징으로 하는 트래픽 처리방법.
  12. 제 11 항에 있어서, 상기 트래픽을 분류 및 필터링하는 단계는,
    수신 패킷에 대해 MAC 어드레스 매칭을 수행하는 단계;
    상기 매칭 수행결과 상기 수신 패킷의 MAC 어드레스가 미리 선정된 규칙에 대응되지 않는 경우에 해당 패킷을 파싱하는 단계;
    상기 파싱된 패킷을 대상으로 분류정책에 부합하는지 여부를 조회하기 위한 서치 키를 생성하고 상기 생성된 서치 키를 이용하여 상기 분류정책이 저장된 테이블을 룩업하는 단계;
    상기 룩업 수행결과, 해당하는 인덱스가 존재하는 경우 상기 인덱스가 가리키는 메모리 값을 기반으로 사전에 정의된 대응방식에 따라 패킷을 처리하는 단계;
    를 포함하는 것을 특징으로 하는 트래픽 처리방법.
  13. 제 12 항에 있어서, 상기 사전에 정의된 대응방식에 따라 패킷을 처리하는 단계는,
    패킷을 폐기하는 단계;
    패킷을 우회시키는 단계;
    패킷을 상기 제2 네트워크 카드로 전송하는 단계;
    패킷을 비동기 FIFO에 저장 후 네트워크로 전송하는 단계;
    중 하나의 단계를 수행하는 것을 특징으로 하는 트래픽 처리방법.
  14. 삭제
  15. 제 11 항에 있어서, 상기 조회된 메모리 값에 따라 패킷을 처리하는 단계는,
    패킷을 폐기하는 단계;
    패킷을 비동기 FIFO에 저장한 후 상기 제1 네트워크 카드로 전송하는 단계; 및
    패킷의 내용을 변경한 후 전달하는 단계;
    중 하나의 단계를 수행하는 것을 특징으로 하는 트래픽 처리방법.
  16. 제 11 항에 있어서, 상기 트래픽을 분류 및 필터링하는 단계는,
    상기 제1 네트워크 카드가 상기 제2 네트워크 카드로부터 패킷을 수신하는 단계;
    상기 수신된 패킷을 비동기 FIFO에 저장하는 단계; 및
    상기 저장된 패킷을 네트워크로 전송하는 단계;
    를 포함하는 것을 특징으로 하는 트래픽 처리방법.
KR1020120006974A 2012-01-20 2012-01-20 다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스 KR102019104B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120006974A KR102019104B1 (ko) 2012-01-20 2012-01-20 다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스
US13/619,361 US9319322B2 (en) 2012-01-20 2012-09-14 Network device and method for processing traffic using multi-network interface card

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120006974A KR102019104B1 (ko) 2012-01-20 2012-01-20 다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스

Publications (2)

Publication Number Publication Date
KR20130093832A KR20130093832A (ko) 2013-08-23
KR102019104B1 true KR102019104B1 (ko) 2019-09-06

Family

ID=48797149

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120006974A KR102019104B1 (ko) 2012-01-20 2012-01-20 다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스

Country Status (2)

Country Link
US (1) US9319322B2 (ko)
KR (1) KR102019104B1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150180910A1 (en) * 2013-12-19 2015-06-25 Alcatel-Lucent Canada Inc. Communication network with low latency call signaling functionality
US9594584B2 (en) 2014-03-31 2017-03-14 Electronics And Telecommunications Research Institute Apparatus and method for mapping of tenant based dynamic processor
US9450916B2 (en) * 2014-08-22 2016-09-20 Honeywell International Inc. Hardware assist for redundant ethernet network
KR101688635B1 (ko) 2015-07-01 2016-12-21 한국전자통신연구원 플로우 기반 트래픽 저장 장치 및 방법
US20170318082A1 (en) * 2016-04-29 2017-11-02 Qualcomm Incorporated Method and system for providing efficient receive network traffic distribution that balances the load in multi-core processor systems
CN107579770B (zh) * 2017-09-15 2019-12-17 通鼎互联信息股份有限公司 通信网络系统、分流器设备及其接入单向传输网络的方法
US11811627B2 (en) * 2020-05-08 2023-11-07 Juniper Network, Inc. Network traffic monitoring based on content data
CN115811748A (zh) * 2021-09-13 2023-03-17 华为技术有限公司 通信方法、系统及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080077705A1 (en) 2006-07-29 2008-03-27 Qing Li System and method of traffic inspection and classification for purposes of implementing session nd content control

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6430188B1 (en) * 1998-07-08 2002-08-06 Broadcom Corporation Unified table for L2, L3, L4, switching and filtering
US7346677B1 (en) * 1999-07-02 2008-03-18 Cisco Technology, Inc. Method and apparatus for creating policies for policy-based management of quality of service treatments of network data traffic flows
JP2002013938A (ja) * 2000-06-28 2002-01-18 Mazda Motor Corp 情報提供システム、該情報提供システムに用いられるサーバー装置及び車載装置、並びに該車載装置又はコンピュータが読みとり可能なプログラムを記録した記録媒体
JP3936883B2 (ja) * 2002-04-08 2007-06-27 株式会社日立製作所 フロー検出装置およびフロー検出機能を備えたパケット転送装置
US7719966B2 (en) * 2005-04-13 2010-05-18 Zeugma Systems Inc. Network element architecture for deep packet inspection
US7784094B2 (en) * 2005-06-30 2010-08-24 Intel Corporation Stateful packet content matching mechanisms
US7809827B1 (en) * 2006-05-12 2010-10-05 Juniper Networks, Inc. Network device having service card for lawful intercept and monitoring of packet flows
US8284662B2 (en) * 2007-03-06 2012-10-09 Ericsson Ab Flexible, cost-effective solution for peer-to-peer, gaming, and application traffic detection and treatment
US8644151B2 (en) * 2007-05-22 2014-02-04 Cisco Technology, Inc. Processing packet flows
KR101292873B1 (ko) * 2009-12-21 2013-08-02 한국전자통신연구원 네트워크 인터페이스 카드장치 및 상기 네트워크 인터페이스 카드장치를 이용한 트래픽 처리 방법
US8307418B2 (en) * 2010-03-16 2012-11-06 Genband Inc. Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device
KR20130143064A (ko) * 2010-10-28 2013-12-30 컴파스 일렉트로-옵티컬 시스템즈 엘티디. 라우터 및 스위치 아키텍쳐

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080077705A1 (en) 2006-07-29 2008-03-27 Qing Li System and method of traffic inspection and classification for purposes of implementing session nd content control

Also Published As

Publication number Publication date
US20130188635A1 (en) 2013-07-25
KR20130093832A (ko) 2013-08-23
US9319322B2 (en) 2016-04-19

Similar Documents

Publication Publication Date Title
KR102019104B1 (ko) 다중 네트워크 인터페이스 카드를 이용한 트래픽 처리방법 및 네트워크 디바이스
US10735379B2 (en) Hybrid hardware-software distributed threat analysis
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
US8913613B2 (en) Method and system for classification and management of inter-blade network traffic in a blade server
US6993023B2 (en) Parallel analysis of incoming data transmissions
US9356844B2 (en) Efficient application recognition in network traffic
US9674112B2 (en) Application aware network virtualization
US9397901B2 (en) Methods, systems, and computer readable media for classifying application traffic received at a network traffic emulation device that emulates multiple application servers
CN104394080A (zh) 实现安全组功能的方法及装置
WO2016086064A1 (en) Source ip address transparency systems and methods
Tanyingyong et al. Using hardware classification to improve pc-based openflow switching
Deri High-speed dynamic packet filtering
Ricart‐Sanchez et al. Toward hardware‐accelerated QoS‐aware 5G network slicing based on data plane programmability
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
Cho et al. A sophisticated packet forwarding scheme with deep packet inspection in an openflow switch
CN116264520A (zh) 使用数据处理单元的人工智能支持的网络遥测
US11805050B2 (en) Systems and methods to filter out noisy application signatures to improve precision of first packet application classification
CN104753726A (zh) 一种串行数据流的审计控制方法及系统
Lin et al. Guest editorial deep packet inspection: Algorithms, hardware, and applications
Tu et al. A scalable flow rule translation implementation for software defined security
Deri et al. Towards monitoring programmability in future internet: Challenges and solutions
Pandiyarajan et al. Transparent FPGA based device for SQL DDoS mitigation
Park et al. A lightweight software model for signature-based application-level traffic classification system
Long et al. Pegasus: A High-Speed NDN Router with Programmable Switches and Server Clusters
CN115865802A (zh) 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL NUMBER: 2018101000343; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20180125

Effective date: 20190619

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant