KR102103484B1 - 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템 - Google Patents

가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템 Download PDF

Info

Publication number
KR102103484B1
KR102103484B1 KR1020160166305A KR20160166305A KR102103484B1 KR 102103484 B1 KR102103484 B1 KR 102103484B1 KR 1020160166305 A KR1020160166305 A KR 1020160166305A KR 20160166305 A KR20160166305 A KR 20160166305A KR 102103484 B1 KR102103484 B1 KR 102103484B1
Authority
KR
South Korea
Prior art keywords
customer
vlan
service
port
information
Prior art date
Application number
KR1020160166305A
Other languages
English (en)
Other versions
KR20180065442A (ko
Inventor
최현진
류구현
정수길
김상곤
조강래
황진경
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020160166305A priority Critical patent/KR102103484B1/ko
Publication of KR20180065442A publication Critical patent/KR20180065442A/ko
Application granted granted Critical
Publication of KR102103484B1 publication Critical patent/KR102103484B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • H04L61/2015
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법에 관한 것으로, 고객사 구내망에 위치하는 이더넷 스위치와, 통신사 서비스 센터에 위치하는 코어 스위치에 Port Isolation을 설정하는 단계; 고객사를 식별하기 위한 제1 VLAN ID 정보를 상기 이더넷 스위치에 설정하는 단계; 서비스 제공자를 식별하기 위한 제2 VLAN ID 정보를 상기 코어 스위치에 설정하는 단계; 및 상기 제1 VLAN ID 정보와 상기 제2 VLAN ID 정보를 서로 맵핑하여 상기 고객사 구내망과 상기 통신사 서비스 센터 간에 가상 LAN 통신망을 형성하는 단계를 포함한다.

Description

가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템{METHOD AND SYSTEM FOR PROVIDING INTRANET SERVICE BY CUSTOMER USING VIRTUAL NETWORKING TECHNOLOGY}
본 발명은 유/무선 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템에 관한 것이다. 보다 구체적으로, 가상 네트워킹 기술을 통해 다수의 고객사 구내망을 통신사 서비스 인프라 영역으로 확장하여 고객사별 보안 전용의 인트라넷 서비스를 제공할 수 있는 방법 및 그 시스템에 관한 것이다.
정보 통신 기술이 나날이 발전함에 따라, 기업체에서 사용하는 통신 장비 및 IT 장비의 수가 점점 증가하고 있고, 상기 통신 장비 및 IT 장비의 복잡성도 점점 증가하고 있는 추세이다. 이에 따라, 기업체에서는 통신 장비 및 IT 장비를 설치하기 위한 공간을 마련하기 어렵고, 전문 인력의 부재로 통신 장비 및 IT 장비의 고장 및 장애에 적극적으로 대응하기 어려운 면이 있다. 또한, 기업체 구내망의 경우, 이더넷 스위치를 통해 인터넷 망에 직접적으로 연결되어 있어 보안이 취약하다는 문제가 있다.
통신 사업자 입장에서도 고객사 내부에 위치한 통신 장비 및 IT 장비에 대한 장애 처리 및 유지보수 업무에 많은 시간과 비용이 소요되고 있다. 또한, 고객사 내부에 위치한 통신 장비 및 IT 장비에 대한 접근이 자유롭지 못하여, 해당 장비들의 이상 유무를 신속하게 감지하기 어려운 측면이 있다.
따라서, 다수의 고객사 구내망을 통신 사업자의 서비스 인프라 영역으로 확장하여, 장비 호스팅, 인터넷 접속, 보안, 통합 관제, 솔루션 등 기업 ICT 운영 전반에 필요한 서비스를 제공할 필요가 있다.
본 발명은 전술한 문제 및 다른 문제를 해결하는 것을 목적으로 한다. 또 다른 목적은 P-VLAN 기술(즉, Port Isolation 기술)을 이용하여 통신사와 다수의 고객사 간에 독립적인 VLAN 통신망을 형성할 수 있는 인트라넷 서비스 제공 방법 및 그 시스템을 제공함에 있다.
또 다른 목적은 인증 기술 및 VPN 기술을 활용한 유/무선 접속을 통해 통신사 서비스 센터 내에 위치한 고객사별 ICT 장비에 원격으로 접속할 수 있도록 하는 인트라넷 서비스 제공 방법 및 그 시스템을 제공함에 있다.
또 다른 목적은 통신사 서비스 센터 내에 고객사별 ICT 장비를 구축하여 가상 네트워크 기반의 다양한 부가 서비스를 제공할 수 있는 인트라넷 서비스 제공 방법 및 그 시스템을 제공함에 있다.
상기 또는 다른 목적을 달성하기 위해 본 발명의 일 측면에 따르면, 고객사 구내망에 위치하는 이더넷 스위치와, 통신사 서비스 센터에 위치하는 코어 스위치에 Port Isolation을 설정하는 단계; 고객사를 식별하기 위한 제1 VLAN ID 정보를 상기 이더넷 스위치에 설정하는 단계; 서비스 제공자를 식별하기 위한 제2 VLAN ID 정보를 상기 코어 스위치에 설정하는 단계; 및 상기 제1 VLAN ID 정보와 상기 제2 VLAN ID 정보를 서로 맵핑하여 상기 고객사 구내망과 상기 통신사 서비스 센터 간에 VLAN(Virtual Local Area Network) 통신망을 형성하는 단계를 포함하는 인트라넷 서비스 제공 방법을 제공한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 이더넷 스위치와 코어 스위치 간에 전용 광 케이블이 연결되는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 코어 스위치에 고객사의 ICT(Information Communication Technology) 장비들이 연결된 경우, 통신사 서비스 센터에 위치하는 고객사의 ICT 장비들과 이더넷 스위치에 연결된 구내 단말들 간에 가상 네트워크가 형성되는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법에서, 고객사의 ICT 장비들은 PC 팜, 스토리지, 및 고객사별 서버 중 적어도 하나를 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 코어 스위치에 DHCP(Dynamic Host Configuration Protocol) 서버가 연결된 경우, 상기 고객사의 ICT 장비들 및 상기 구내 단말들에 대해 IP 주소를 할당하는 단계를 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 코어 스위치에 인증 서버 및 VPN(Virtual Private Network) 서버가 연결된 경우, 고객사 구내망을 벗어난 단말을 이용하여 상기 고객사의 ICT 장비들에 원격으로 접속하는 단계를 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 사용자로부터 입력된 ID 정보 및 패스워드 정보를 기반으로 상기 단말이 승인된 단말인지를 인증하는 단계; 및 단말 인증 성공 시, 상기 VPN 서버와 상기 단말 간에 VPN 터널(tunnel)을 생성하는 단계를 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 통신사 서비스 센터와 인터넷 망 사이에 UTM(Unified Threat Management) 서버가 연결된 경우, VLAN 통신망을 보호하기 위한 보안 솔루션 기능을 제공하는 단계를 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 코어 스위치에 PC 자원관리서버가 연결된 경우, 상기 고객사의 구내 단말로부터 전송된 제1 VLAN ID 정보를 기반으로 PC 팜의 유휴 자원을 할당하는 단계를 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 코어 스위치에 스토리지 가상화관리서버가 연결된 경우, 고객사의 구내 단말로부터 전송된 제1 VLAN ID 정보를 기반으로 스토리지의 유휴 클러스터를 할당하는 단계를 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 방법은, 고객사가 본-지사 형태의 고객사인 경우, 상기 고객사의 본사와 제1 지역의 통신사 서비스 센터 간에 전용 회선을 통한 VLAN 통신망을 구성하는 단계; 상기 고객사의 지사와 제2 지역의 통신사 서비스 센터 간에 전용 회선을 통한 VLAN 통신망을 구성하는 단계; 및 전국 각 지역별 통신사 서비스 센터 간에 전용망을 구성하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 발명의 다른 측면에 따르면, 다수의 고객사 구내망에 위치하는 복수의 이더넷 스위치들; 통신사 서비스 센터에 배치되어, 상기 복수의 이더넷 스위치들과 전용 광 케이블을 통해 연결되는 코어 스위치; 및 상기 복수의 이더넷 스위치들과 상기 코어 스위치에 Port Isolation을 설정하고, 고객사를 식별하기 위한 제1 VLAN ID 정보를 상기 복수의 이더넷 스위치들에 설정하며, 서비스 제공자를 식별하기 위한 제2 VLAN ID 정보를 상기 코어 스위치에 설정하고, 상기 제1 VLAN ID 정보와 상기 제2 VLAN ID 정보를 서로 맵핑하여 상기 다수의 고객사 구내망과 상기 통신사 서비스 센터 간에 독립적인 VLAN 통신망을 형성하는 컨트롤러를 포함하는 인트라넷 서비스 제공 시스템을 제공한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 시스템은, 통신사 서비스 센터에 위치하고, 코어 스위치와 연결된 고객사별 ICT 장비들을 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 시스템은, 코어 스위치에 연결되어, 통신사 서비스 센터에 위치하는 고객사별 ICT 장비들과 상기 다수의 고객사 구내망에 위치하는 구내 단말들에 대해 IP 주소를 할당하는 DHCP 서버를 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 시스템은, 고객사 구내망을 벗어난 단말이 통신사 서비스 센터에 접속하는 경우, 상기 단말을 인증하기 위한 인증 서버, 및 단말 인증 성공 시, 상기 통신사 서비스 센터와 상기 단말 간에 VPN 터널을 생성하기 위한 VPN 서버를 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 시스템은, 통신사 서비스 센터와 인터넷 망 사이에 연결되어, VLAN 통신망을 보호하기 위한 보안 솔루션 기능을 제공하는 UTM 서버를 더 포함하는 것을 특징으로 한다.
바람직하게는, 상기 인트라넷 서비스 제공 시스템은, 코어 스위치에 연결되어, 각 고객사의 구내 단말로부터 전송된 제1 VLAN ID 정보를 기반으로 PC 팜의 유휴 자원을 할당하는 PC 자원관리서버를 더 포함하는 것을 특징으로 한다.
좀 더 바람직하게는, 상기 인트라넷 서비스 제공 시스템은, 코어 스위치에 연결되어, 각 고객사의 구내 단말로부터 전송된 제1 VLAN ID 정보를 기반으로 스토리지의 유휴 클러스터를 할당하는 스토리지 가상화관리서버를 더 포함하는 것을 특징으로 한다.
본 발명의 실시 예들에 따른 인트라넷 서비스 방법 및 그 시스템의 효과에 대해 설명하면 다음과 같다.
본 발명의 실시 예들 중 적어도 하나에 의하면, 이더넷 스위치 및 코어 스위치에 Private VLAN 기술을 적용하여 통신사 서비스 센터와 다수의 고객사 구내망들 간에 독립적인 단일 VLAN망을 형성함으로써, 보안 전용의 L2 인트라넷 서비스를 제공할 수 있다는 장점이 있다.
또한, 본 발명의 실시 예들 중 적어도 하나에 의하면, 가상 네트워킹 기술을 기반으로 다수의 고객사 구내망을 통신사 서비스 인프라 영역으로 확장하여, 고객사별 내부 네트워크 및 ICT 인프라 장비에 대한 접근/관리/유지보수 업무를 효율적으로 수행할 수 있다는 장점이 있다.
또한, 본 발명의 실시 예들 중 적어도 하나에 의하면, 인증 기술 및 VPN 기술을 활용한 유/무선 접속을 통해 통신사 서비스 센터 내에 위치한 고객사별 ICT 장비에 원격으로 접속할 수 있는 스마트 근무 환경을 제공할 수 있다는 장점이 있다.
다만, 본 발명의 실시 예들에 따른 인트라넷 서비스 제공 방법 및 그 시스템이 달성할 수 있는 효과는 이상에서 언급한 것들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명에 따른 이더넷 스위치에 적용되는 P-VLAN 기술을 설명하기 위해 참조되는 도면;
도 2는 Port Isolation 기술을 응용한 접근 허용/불가 매트릭스를 도 1의 이더넷 스위치에 설정한 일 예를 설명하기 위해 참조되는 도면;
도 3은 본 발명의 일 실시 예에 따른 고객사별 인트라넷 서비스를 제공하기 위한 시스템 구성도;
도 4는 본 발명의 일 실시 예에 따른 고객사별 인트라넷 서비스를 제공하는 방법을 설명하기 위한 순서도;
도 5는 본 발명의 다른 실시 예에 따른 고객사별 인트라넷 서비스를 제공하기 위한 시스템 구성도;
도 6은 고객사 단말이 고객사 서버에 원격으로 접속하는 과정을 설명하기 위한 시그널링 흐름도;
도 7은 통신사 서비스 센터에 고객사 ICT 장비를 구축하여 다양한 부가 서비스를 제공하는 시스템 개념도;
도 8은 통신사 서비스 센터에서 PC 및 스토리지 지원 서비스를 제공하는 동작을 설명하기 위해 참조되는 도면;
도 9는 고객사 구내망에서 통신사 서비스 센터의 PC 팜을 이용하기 위한 인증 및 동적 자원할당 방법을 설명하기 위해 참조되는 도면;
도 10은 고객사 구내망에서 통신사 서비스 센터의 스토리지를 이용하기 위한 인증 및 동적 자원할당 방법을 설명하기 위해 참조되는 도면.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 즉, 본 발명에서 사용되는 '부'라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '부'는 어떤 역할들을 수행한다. 그렇지만 '부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부'들로 결합되거나 추가적인 구성요소들과 '부'들로 더 분리될 수 있다.
또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명은 가상 네트워킹 기술을 통해 다수의 고객사 구내망을 통신사 서비스 인프라 영역으로 확장하여 고객사별 보안 전용의 인트라넷 서비스를 제공하는 방안을 제안한다. 좀 더 구체적으로, 본 발명은 Port Isolation 기술을 이용하여 통신사와 다수의 고객사 간에 독립적인 VLAN 통신망을 형성할 수 있는 인트라넷 서비스 방법 및 그 시스템을 제안한다. 또한, 본 발명은 VPN 기술을 활용한 유/무선 접속을 통해 통신사 서비스 센터 내에 위치한 고객사별 ICT 장비에 원격으로 접속할 수 있도록 하는 인트라넷 서비스 방법 및 그 시스템을 제안한다. 또한, 본 발명은 통신사 서비스 센터 내에 고객사별 ICT 장비를 구축하여 다양한 부가 서비스를 제공할 수 있는 인트라넷 서비스 방법 및 그 시스템을 제안한다.
이하에서는, 본 발명의 다양한 실시 예들에 대하여, 도면을 참조하여 상세히 설명한다.
도 1은 본 발명에 따른 이더넷 스위치에 적용되는 P-VLAN 기술을 설명하기 위해 참조되는 도면이다.
도 1을 참조하면, 고객사의 구내망에 위치하는 이더넷 스위치(100)는 제1 단말(115)과 연결되는 제1 포트(110), 제2 단말(125)과 연결되는 제2 포트(120), 제3 단말(135)과 연결되는 제3 포트(130), 제4 단말(145)과 연결되는 제4 포트(140), 및 통신사 서비스 센터 내에 위치하는 코어 스위치(또는 집선 스위치, 160)와 광 케이블을 통해 연결되는 제5 포트(150)를 포함할 수 있다.
제1 내지 제5 포트(110~150)의 각각에는 Private VLAN 기술(즉, Port Isolation 기술)이 적용되어, 동일 이더넷 스위치에 수용된 단말이라 하더라도 각 포트는 별도의 가상 네트워크로 구분할 수 있다. 이에 따라, 특정 포트에 연결된 단말이 해킹에 노출되어도, 동일 이더넷 스위치에 수용된 다른 단말로 위험이 전이되는 것을 원천적으로 차단할 수 있다.
Private VLAN 기술은 스위치당 제한적인 VLAN의 개수를 효과적으로 사용할 수 있게 해준다. 또한, 같은 서브넷(subnet)이라도 서로 다른 VLAN을 사용한 것처럼 보여진다. Private VLAN은 Primary VLAN과 Secondary VLAN로 구분될 수 있고, 상기 Private VLAN의 포트는 Promiscuous Port, Isolated Port, Community Port로 구분될 수 있다.
이더넷 스위치(100)의 각 포트에 연결된 제1 내지 제4 단말(115~145)은 제5 포트(즉, 업 링크 포트)를 통해 통신사 서비스 센터 내에 위치하는 코어 스위치(160)로 패킷을 개별적으로 전송할 수 있다.
예컨대, 제1 포트(110)에 연결된 PC(115)는 제4 포트(140)에 연결된 프린터(145)를 사용하지 못하게 격리시키고, 인터넷만 사용 가능하도록 제5 포트(150)로만 패킷을 보낼 수 있게 설정할 수 있다. 이러한 실시 예는 매장 내 방문객의 편의를 위하여 설치한 인터넷 검색 전용 PC와 같은 경우에 적용할 수 있다. 이와 같은 Port Isolation 기술은 이더넷 레벨에서 설정되기 때문에 제1 포트(110)에 연결된 PC(115)에서 IP-SCAN 류의 소프트웨어 툴로 검색해도 제4 포트(140)에 연결된 단말과 네트워크는 검색이 불가능하다.
도 2는 Port Isolation 기술을 응용한 접근 허용/불가 매트릭스를 도 1의 이더넷 스위치에 설정한 일 예를 설명하기 위해 참조되는 도면이다.
도 2를 참조하면, 제1 포트(110)는 제2 내지 제4 포트(120~140)와 격리시키고, 제5 포트(150)와 연결되도록 설정할 수 있다. 이에 따라, 제1 포트(110)에 연결된 단말(115)은 제2 내지 제4 포트(120~140)에 연결된 단말들(125~145)에 대한 접근이 불가능하고, 인터넷 사용만이 가능하다.
제2 포트(120)는 제1 및 제3 포트(110, 130)와 격리시키고, 제4 및 제5 포트(140, 150)와 연결되도록 설정할 수 있다. 이에 따라, 제2 포트(120)에 연결된 단말(125)은 제1 및 제3 포트(110, 130)에 연결된 단말들(115, 135)에 대한 접근이 불가능하고, 제4 포트(140)에 연결된 단말(145)을 사용할 수 있으며, 인터넷 사용도 가능하다.
제3 포트(130)는 제1 포트(110), 제2 포트(120) 및 제5 포트(150)와 격리시키고, 제4 포트(140)와 연결되도록 설정할 수 있다. 이에 따라, 제3 포트(130)에 연결된 단말(135)은 제1 포트(110) 및 제2 포트(120)에 연결된 단말들(115, 125)에 대한 접근이 불가능하고, 인터넷 사용이 불가능하며, 제4 포트(140)에 연결된 단말(145)만을 사용할 수 있다.
제4 포트(140)는 제1 내지 제3 포트(110~130) 및 제5 포트(150)와 격리시키도록 설정할 수 있다. 이에 따라, 제 4포트(140)에 연결된 단말(145)은 제1 내지 제3 단말들(115, 125, 135)로부터 프린트 요청만 받는 수동형 장비로서, 아웃 바운드 트래픽(Out-Bound traffic)을 불허한다.
제5 포트(150)는 인터넷 연결 포트 또는 업 링크 포트로서, 인바운드 트래픽(In-Bound traffic)을 불허해서 외부로부터의 접근을 차단한다.
이와 같이 Port Isolation 기술을 이용해서, 통신사의 보안 정책 및 접근 정책에 따른 접근 허용/불가 매트릭스를 이더넷 스위치의 포트(port) 단위로 설정할 수 있다.
도 3은 본 발명의 일 실시 예에 따른 고객사별 인트라넷 서비스를 제공하기 위한 시스템 구성도이다.
도 3을 참조하면, 본 발명에 따른 고객사별 인트라넷 서비스를 제공하기 위한 시스템(300)은, 제1 고객사의 구내망에 위치하는 제1 이더넷 스위치(310), 제2 고객사의 구내망에 위치하는 제2 이더넷 스위치(320), 통신사 서비스 센터 내에 위치하는 코어 스위치(330), 상기 코어 스위치(330)와 연결되는 제1 및 제2 고객사 서버(340, 350), DHCP 서버(360), UTM 서버(370), 컨트롤러(380), 제1 및 제2 이더넷 스위치(310, 320)와 코어 스위치(330)를 연결하는 광 케이블(390) 등을 포함할 수 있다. 한편, 상기 시스템(300)에는 인증 서버, VPN 서버, PC 자원관리서버, 스토리지 가상화관리서버 등이 추가로 포함될 수 있다.
제1 이더넷 스위치(310)는 제1 고객사의 구내망에 위치하는 제1 내지 제4 단말들과 연결되는 제1 내지 제4 포트(311~314)와, 통신사 서비스 센터 내에 위치하는 코어 스위치(330)와 광 케이블(390)을 통해 연결되는 제5 포트(315)를 포함할 수 있다. 제1 이더넷 스위치(310)의 각 포트에는 Private VLAN 기술이 적용되어, 동일 이더넷 스위치에 수용된 단말이라 하더라도 각 포트는 별도의 가상 네트워크로 구분할 수 있다.
제2 이더넷 스위치(320)는 제2 고객사의 구내망에 위치하는 제1 내지 제4 단말들과 연결되는 제1 내지 제4 포트(321~324)와, 통신사 서비스 센터 내에 위치하는 코어 스위치(330)와 광 케이블(390)을 통해 연결되는 제5 포트(325)를 포함할 수 있다. 마찬가지로, 제2 이더넷 스위치(320)의 각 포트에는 Private VLAN 기술이 적용되어, 동일 이더넷 스위치에 수용된 단말이라 하더라도 각 포트는 별도의 가상 네트워크로 구분할 수 있다. 한편, 이하 본 실시 예에서는, 설명의 편의상, 제1 및 제2 이더넷 스위치에서 5개의 포트를 구비하는 것을 예시하고 있으나, 이를 제한하지는 않는다.
코어 스위치(330)는 제1 이더넷 스위치(310)의 제5 포트(315)와 연결되는 제1 포트(331), 제1 고객사 서버(340)와 연결되는 제2 포트(332), 제2 이더넷 스위치(320)의 제5 포트(325)와 연결되는 제3 포트(333), 제2 고객사 서버(350)와 연결되는 제4 포트(334), 및 인터넷 망과 연결되는 제5 포트(335)를 포함할 수 있다.
코어 스위치(330)의 제1 포트(R11, 331)와 제2 포트(R12, 332)가 서로 연결되도록 구성할 수 있고, 제3 포트(R21, 333)와 제4 포트(R22, 334)가 서로 연결되도록 구성할 수 있다. 마찬가지로, 설명의 편의상, 코어 스위치에서 5개의 포트를 구비하는 것을 예시하고 있으나, 이를 제한하지는 않는다.
코어 스위치(330)의 각 포트에는 Private VLAN 기술이 적용되어, 동일 코어 스위치에 수용된 고객사 장비라 하더라도 각 포트는 별도의 가상 네트워크로 구분할 수 있다. 이에 따라, 특정 포트에 연결된 제1 고객사의 가상 네트워크가 해킹에 노출되어도, 동일 코어 스위치에 수용된 제2 고객사의 가상 네트워크로 위험이 전이되는 것을 원천적으로 차단할 수 있다.
제1 및 제2 고객사 서버(340, 350)는 제1 및 제2 고객사의 구내망이 아닌 통신사 서비스 센터 내에 구축되어, 통신사에 의한 접근, 관리 및 유지보수 등이 가능하다.
제1 이더넷 스위치(310)의 제5 포트(315)와 코어 스위치(330)의 제1 포트(331)가 광 케이블(390)을 통해 연결되도록 하고, 코어 스위치(330)의 제1 포트(331)와 제2 포트(332)가 연결되도록 하며, 코어 스위치(330)의 제2 포트(332)와 제1 고객사 서버(340)가 연결되도록 함으로써, 통신사 서비스 센터와 제1 고객사의 구내망 간에 단일 VLAN 통신망을 형성하게 된다.
마찬가지로, 제2 이더넷 스위치(320)의 제5 포트(325)와 코어 스위치(330)의 제3 포트(333)가 광 케이블(390)을 통해 연결되도록 하고, 코어 스위치(330)의 제3 포트(333)와 제4 포트(334)가 연결되도록 하며, 코어 스위치(330)의 제4 포트(332)와 제2 고객사 서버(350)가 연결되도록 함으로써, 통신사 서비스 센터와 제2 고객사의 구내망 간에 단일 VLAN 통신망을 형성하게 된다.
이와 같이, 제1 고객사의 구내망과 제2 고객사의 구내망은 서로 이더넷 레벨에서 완벽하게 격리되기 때문에, 통신사 서비스 센터로부터 정보 보안 문제 없이 인트라넷 서비스를 제공 받을 수 있게 된다.
DHCP(Dynamic Host Configuration Protocol) 서버(360)는 코어 스위치(330)에 연결되어, VLAN에 접속하는 단말 및 장비들에 대해 IP 주소를 할당하는 역할을 수행한다. 즉, DHCP 서버(360)는 제1 고객사의 구내 단말(가령, PC, 프린터 등) 및 ICT 장비들(서버, PC 팜, 스토리지 등)에 대해 동일 사설 subnet IP를 부여할 수 있다. 또한, DHCP 서버(360)는 제2 고객사의 구내 단말 및 ICT 장비들에 대해 제1 고객사와 동일 또는 상이한 사설 subnet IP를 부여할 수 있다.
UTM(Unified Threat Management) 서버(370)는 통신사 서비스 센터와 인터넷 망 사이에 연결되어, 방화벽, 침입 탐지 시스템, 침입 방지 시스템, 가상 사설망, 데이터베이스 보안 등과 같은 다양한 보안 솔루션 기능들을 제공하는 역할을 수행한다. 또한, UTM 서버(370)는 서로 다른 이기종 망(즉, 통신사 내부 망과 인터넷 망)을 연결하는 라우터(router) 또는 게이트웨이(gateway)의 역할을 수행할 수 있다.
컨트롤러(380)는 이더넷 스위치(310, 320) 또는 코어 스위치(330)와 연결 가능하도록 구성되어, 통신사 서비스 센터와 고객사 구내망 간에 전용망(즉, VLAN 통신망)을 형성하기 위한 전반적인 동작을 수행할 수 있다. 가령, 컨트롤러(380)는 제1 및 제2 이더넷 스위치(310, 320)의 각 포트들에 port isolation을 설정할 수 있다. 또한, 컨트롤러(380)는 Customer VLAN ID(이하, 'CVLAN ID'라 칭함)를 제1 및 제2 이더넷 스위치(310, 320)에 부여할 수 있다.
컨트롤러(380)는 코어 스위치(310, 320)의 각 포트들에 port isolation을 설정할 수 있다. 또한, 컨트롤러(380)는 Service Provider VLAN ID(이하, 'SVLAN ID'라 칭함)를 코어 스위치(330)에 부여할 수 있다. 이때, 컨트롤러(380)는 PC, 노트북, 태블릿 PC 등이 될 수 있으며 이를 제한하지는 않는다.
이러한 인트라넷 서비스 제공 시스템(100)을 통해, 제1 및 제2 고객사는 기존의 구내망에 존재했던 네트워크 서비스 기능과 서버들을 통신사 서비스 영역으로 물리적/논리적으로 이전이 가능해져서 기존의 통신사가 제공해 줬던 WAN 접속 서비스와 LAN/서버 관리 서비스도 동시에 받을 수 있게 된다.
특히, SVLAN에 DHCP 서버(360) 및 UTM 서버(370) 구축 시, 통신사 서비스 센터는 고객사 구내망에 위치하는 IP 장비들의 모든 트래픽에 대해 파악 가능하므로, 상기 IP 장비들의 장애 발생 시 신속한 대응 및 조치가 가능하다. 아울러, 동일 ID로 매핑된 SVLAN과 CVLAN은, 고객사에게 동일한 단일 LAN 통신망으로 인지됨에 따라 장비의 IP 변경이나 네트워크 설정 변경 없이 사용 가능하다.
도 4는 본 발명의 일 실시 예에 따른 고객사별 인트라넷 서비스를 제공하는 방법을 설명하기 위한 순서도이다.
도 4를 참조하면, 제1 고객사로부터 인트라넷 서비스 요청이 있으면, 컨트롤러(380)는 해당 고객사에 설치된 제1 이더넷 스위치(310)와 접속하여, 상기 제1 이더넷 스위치(310)에 port isolation을 설정할 수 있다(S410).
즉, Port Isolation 기술을 통해 제1 내지 제4 포트(311~314)를 격리시키고, 제5 포트(315)만 통신을 허용하여 모든 트래픽을 통신사 서비스 센터 내에 위치하는 코어 스위치(330)의 제1 포트(331)로 포워딩할 수 있다. 한편, 다른 실시 예로, 제1 이더넷 스위치(310)의 특정 포트의 경우, 제1 고객사의 요구에 따라 Port Isolation 설정을 생략할 수 있다.
컨트롤러(380)는 제1 고객사에 설치된 제1 이더넷 스위치(310)에 미리 정해진 규칙대로 CVLAN ID를 부여할 수 있다(S420). 한편, 다른 실시 예로, 410 단계를 수행하기 전에 420 단계를 수행할 수도 있다.
이후, 컨트롤러(380)는 통신사 서비스 센터에 설치된 코어 스위치(330)와 접속하여, 상기 코어 스위치(330)에 port isolation을 설정할 수 있다(S430). 즉, Port Isolation 기술을 이용해서 코어 스위치(330)의 제1 포트(331)와 제2 포트(332) 간의 통신과, 제5 포트(335)만을 허용하고, 나머지 포트들과는 격리시킬 수 있다.
컨트롤러(380)는 통신사 서비스 센터에 설치된 코어 스위치(330)에 미리 정해진 규칙대로 SVLAN ID를 부여할 수 있다(S440). 한편, 다른 실시 예로, 430 단계를 수행하기 전에 440 단계를 수행할 수도 있다.
컨트롤러(380)는 SVLAN ID와 CVLAN ID을 서로 맵핑시켜 제1 고객사와 통신사 간에 독립적인 VLAN 통신망을 형성할 수 있다(S450). 즉, ID 맵핑 과정을 통해 제1 이더넷 스위치(310)의 제5 포트(315)와 코어 스위치(330)의 제1 포트(331)가 서로 연결되도록 구성할 수 있다. 이에 따라, 제1 이더넷 스위치(310)의 제5 포트(315)와 코어 스위치(330)의 제1 포트(331)가 광 케이블(390)을 통해 연결되고, 코어 스위치(330)의 제1 포트(331)와 제2 포트(332)가 연결되며, 코어 스위치(330)의 제2 포트(332)와 제1 고객사 서버(340)가 연결됨으로써, 통신사 서비스 센터와 제1 고객사의 구내망 간에 단일 VLAN 통신망을 형성하게 된다.
제1 고객사의 구내망에 위치하는 단말들은 통신사 서비스 센터 내에 위치하는 제1 고객사 서버(340)와 양방향 통신을 수행할 수 있다. 또한, 제1 고객사의 구내망에 위치하는 단말들은 통신사 서비스 센터를 경유하여 인터넷 망에 접속할 수 있다.
한편, 제2 고객사로부터 인트라넷 서비스 요청이 있으면, 제2 이더넷 스위치(320)와 코어 스위치(330)에 대해 상술한 과정들이 동일하게 적용될 수 있다.
제2 고객사가 새로 추가되더라도 VLAN ID만 규칙대로 부여되면, 제1 고객사와 제2 고객사는 이더넷 레벨(즉, L2)에서 완벽하게 격리되기 때문에, 통신사로부터 보안 전용의 인트라넷 서비스를 제공받을 수 있다.
이상에서는, Port Isolation 기술을 이용하여 통신사와 다수의 고객사 간에 독립적인 VLAN 통신망을 형성할 수 있는 인트라넷 서비스 방법 및 그 시스템에 대해 살펴보았다. 한편, 이하에서는, 인증 기술 및 VPN 기술을 활용한 유/무선 접속을 통해 통신사 서비스 센터 내에 위치한 고객사별 ICT 장비에 원격으로 접속할 수 있도록 하는 인트라넷 서비스 방법 및 그 시스템에 대해 설명하도록 한다.
도 5는 본 발명의 다른 실시 예에 따른 고객사별 인트라넷 서비스를 제공하기 위한 시스템 구성도이다.
도 5를 참조하면, 본 발명에 따른 고객사별 인트라넷 서비스를 제공하기 위한 시스템(500)은 제1 고객사의 구내망에 위치하는 제1 이더넷 스위치(510), 제2 고객사의 구내망에 위치하는 제2 이더넷 스위치(520), 통신사 서비스 센터 내에 위치하는 코어 스위치(530), 상기 코어 스위치(530)와 연결되는 제1 및 제2 고객사 ICT 장비(540, 550), DHCP 서버(560), 인증 서버(570), VPN 서버(580), 원격지에 위치하는 제1 및 제2 고객사의 원격 접속 단말(590, 595) 등을 포함할 수 있다.
제1 고객사의 구내망에 위치하는 제1 이더넷 스위치(510)는 통신 서비스 센터에 위치하는 코어 스위치(530)와 광 케이블을 통해 연결되어, 제1 고객사 구내망과 코어 스위치(530) 간, 코어 스위치(530)와 제1 고객사 ICT 장비(540) 간, 코어 스위치(530)와 VPN 서버(580) 간에 단일 VLAN 통신망을 형성할 수 있다.
마찬가지로, 제2 고객사의 구내망에 위치하는 제2 이더넷 스위치(520)는 통신 서비스 센터에 위치하는 코어 스위치(530)와 광 케이블을 통해 연결되어, 제2 고객사 구내망과 코어 스위치(530) 간, 코어 스위치(530)와 제2 고객사 ICT 장비(550) 간, 코어 스위치(530)와 VPN 서버(580) 간에 단일 VLAN 통신망을 형성할 수 있다.
제1 이더넷 스위치(510), 제2 이더넷 스위치(520) 및 코어 스위치(530)에는 도 1 및 도 2에서 설명한 Private VLAN 기술(즉, port isolation 기술)이 적용될 수 있다. 또한, 제1 및 제2 고객사 ICT 장비(540, 550)에는 해당 고객사에 할당된 서버, 스토리지, PC 팜 등이 포함될 수 있다.
DHCP 서버(560)는 코어 스위치(530)에 연결되어, VLAN에 접속하는 단말 및 장비들에 대해 IP 주소를 할당하는 역할을 수행한다. 즉, DHCP 서버(560)는 제1 고객사의 구내 단말 및 ICT 장비들(540)에 대해 동일 사설 subnet IP(가령, 192.1.1.0~255)를 부여할 수 있다. 또한, DHCP 서버(560)는 제2 고객사의 구내 단말 및 ICT 장비들에 대해 제1 고객사와 다른 사설 subnet IP(가령, 172.1.1.0~255)를 부여할 수 있다.
인증 서버(570)는 통신 네트워크에 연결된 장비 또는 원격 단말이 제1 또는 제2 고객사에 등록된 단말인지를 인증하는 역할을 수행한다. 이때, 인증 서버(570)는 제1 및 제2 고객사에 할당된 단말들에 대한 MAC 정보 및 ID 정보 등을 미리 등록할 수 있다.
가령, 고객사 구내망에 위치하는 단말에서 네트워크 접속 시, 인증 서버(570)는 해당 단말에 관한 MAC 정보 및 ID 정보가 등록되어 있는지를 확인할 수 있다. 상기 확인 결과, 해당 단말의 MAC 정보 및 ID 정보가 인증 서버(570)에 미 등록된 경우, DHCP 서버(560)는 해당 단말을 미 승인 단말로 인식하여 IP를 임대해 주지 않는다. 한편, 상기 확인 결과, 해당 단말의 MAC 정보 및 ID 정보가 인증 서버(570)에 등록된 경우, DHCP 서버(560)는 해당 단말을 승인 단말로 인식하여 IP를 임대해 준다.
VPN(Virtual Private Network) 서버(580)는 통신사 서비스 센터와 제1 및 제2 고객사의 원격 접속 단말들 간에 VPN 터널링 또는 LTE 터널링을 제공하는 역할을 수행한다. 이때, VPN 서버(580)는 인터넷과 같은 공용망을 통해 데이터를 송신하기 전 데이터를 암호화하고, 수신 측에서 이를 복호화할 수 있다.
이러한 인트라넷 서비스 제공 시스템(500)을 통해, 제1 및 제2 고객사의 원격 접속 단말들(590, 595)은 VPN 기술을 활용하여 통신사 서비스 센터 내에 위치한 고객사별 ICT 장비(540, 550)에 원격으로 접속할 수 있다.
도 6은 고객사 단말이 고객사 서버에 원격으로 접속하는 과정을 설명하기 위한 시그널링 흐름도이다.
도 6을 참조하면, 원격지에 근무하는 사용자는 고객사 단말(590)에 설치된 애플리케이션(즉, VPN 소프트웨어)을 구동할 수 있다(S610). 이때, 상기 애플리케이션은 통신사 서비스 센터 내에 위치하는 고객사 서버에 원격으로 접속하기 위한 애플리케이션일 수 있다. 또한, 상기 애플리케이션은 통신사로부터 미리 제공받아 고객사 단말(590)에 설치될 수 있다.
고객사 단말(590)은, 애플리케이션 구동 시, ID 정보 및 패스워드 정보의 입력을 요구할 수 있다(S620). 사용자로부터 ID 정보 및 패스워드 정보가 입력되면(S630), 고객사 단말(590)은 VPN 연결 요청 신호를 VPN 서버(580)로 전송할 수 있다(S640). 이때, 상기 VPN 연결 요청 신호에는 해당 고객사 단말(590)에 대응하는 MAC 정보, ID 정보, 및 패스워드 정보가 포함될 수 있다.
VPN 서버(580)는 고객사 단말(590)의 MAC 정보, ID 정보 및 패스워드 정보를 포함하는 인증 요청 신호를 인증 서버(570)로 전송할 수 있다(S650). 인증 서버(570)는 고객사 단말(590)의 MAC 정보 및 ID 정보가 등록되어 있는지를 확인할 수 있다.
상기 확인 결과, 해당 단말(590)의 MAC 정보 및 ID 정보가 인증 서버(570)에 미 등록된 경우, DHCP 서버(560)는 고객사 단말(590)을 미 승인 단말로 인식하여 IP를 임대해 주지 않는다. 한편, 상기 확인 결과, 해당 단말(590)의 MAC 정보 및 ID 정보가 인증 서버(570)에 등록된 경우, DHCP 서버(560)는 고객사 단말(590)을 승인 단말로 인식하여 IP를 임대해 준다.
인증 서버(570)는 인증 결과에 관한 정보를 포함하는 인증 응답 신호를 VPN 서버(580)로 전송할 수 있다(S660). VPN 서버(580)는 상기 인증 결과에 관한 정보를 포함하는 VPN 연결 응답 신호를 고객사 단말(590)로 전송할 수 있다(S670). 이때, 상기 인증 응답 신호 및 VPN 연결 응답 신호는 고객사 단말(590)로 할당된 IP 정보를 포함할 수 있다.
단말 인증 실패 시, 고객사 단말(590)은 통신사 서비스 센터에 위치하는 고객사 서버(540)에 접속할 사용자 권한이 없음을 지시하는 알림 정보를 사용자에게 제공할 수 있다.
한편, 단말 인증 성공 시, 고객사 단말(590)은 VPN 터널을 생성하기 위한 신호를 VPN 서버(580)로 전송할 수 있다(S680). 이에 따라, VPN 서버(580)와 고객사 단말(590) 간에 VPN 터널링(tunneling) 또는 LTE 터널링이 생성될 수 있다. 상기 터널링에는 GRE(Generic Routing Encapsulation), PPTP(point-to-point tunneling protocol), IPIP, IPSec, Layer 2 프로토콜 등이 사용될 수 있다.
원격지 근무자는 고객사 단말(590)을 통해 고객사 서버(540)에 원격으로 접속하여 업무를 처리할 수 있다(690).
이처럼, 본 발명의 실시 예는 고객사 구내망, 고객사 ICT 장비, 원격 접속 단말 간에 유/무선 가상 LAN을 구성하여 보안 전용의 L2 인트라넷 서비스를 제공할 수 있다.
이상에서는, VPN 기술을 활용한 유/무선 접속을 통해 통신사 서비스 센터 내에 위치한 고객사별 ICT 장비에 원격으로 접속할 수 있도록 하는 인트라넷 서비스 방법 및 그 시스템에 대해 살펴보았다. 한편, 이하에서는, 통신사 서비스 센터 내에 고객사별 ICT 장비를 구축하여 다양한 부가 서비스를 제공할 수 있는 인트라넷 서비스 방법 및 그 시스템에 대해 설명하도록 한다.
도 7은 통신사 서비스 센터에 고객사 ICT 장비를 구축하여 다양한 부가 서비스를 제공하는 시스템 개념도이다.
도 7을 참조하면, 통신사는 고객사별 인트라넷 서비스를 지원하기 위한 PC, 스토리지 및 서버 등을 별도의 데이터 센터(또는 통신사 서비스 센터)에 구축하여 다양한 부가 서비스를 제공할 수 있다. 이때, 통신사와 다수의 고객사 간에는 가상 네트워킹 기술을 통해 독립적인 VLAN 통신망이 형성될 수 있다.
통신사는 기존 고객사 구내망에 위치하던 PC 본체를 통신사 서비스 센터에 구축하여 PC 지원 서비스를 제공할 수 있다. 이에 따라, 고객사 구내망에는 모니터와 PC 본체의 디코더 장치(즉, KVM 셋탑박스)만이 존재함에 따라, 고객사의 업무 환경이 간편해지고, 고객사에서 직접 PC 관리 및 PC 업데이트 등을 수행할 필요가 없어진다.
또한, 통신사는 기존 고객사 구내망에 위치하던 스토리지를 통신사 서비스 센터에 구축하여 스토리지 지원 서비스를 제공할 수 있다. 고객사 구내망과 통신사 서비스 센터간은 Layer 2 네트워크로 구성되므로, NFS(network file system), iSCSI(Internet Small Computer System Interface) 등과 같은 프로토콜을 활용한 스토리지 이용이 가능하다.
또한, 통신사는 기존 고객사 구내망에 위치하던 서버를 통신사 서비스 센터에 구축하여 서버 지원 서비스를 제공할 수 있다. 이에 따라, 고객사에서 대용량 서버를 유지 및 관리할 필요가 없어진다.
또한, 통신사는 고객사별 VLAN 정보, 고객사별 ICT 장비들의 MAC 정보, 트래픽 정보, 장애 알람, 로그 정보 등을 효율적으로 관리하기 위한 매니징 서비스를 제공할 수 있다.
또한, 본-지사 형태의 고객사인 경우, 통신사는 별도의 가상 전용망(Multi-Protocol Label Switching, MPLS)을 구성하여 본-지사 간 연계 서비스를 제공할 수 있다.
즉, 고객사의 본사와 A 지역의 통신사 서비스 센터 간에 전용 회선을 통한 VLAN 통신망을 구성하고, 고객사의 지사와 D 지역의 통신사 서비스 센터 간에 전용 회선을 통한 VLAN 통신망을 구성하며, 전국 각 지역별 통신사 서비스 센터 간에 폐쇄형 전용망(MPLS)을 구성하여, 고객사의 본-지사 간에 안전한 통신 네트워크 연결이 가능하다.
도 8은 통신사 서비스 센터에서 PC 및 스토리지 지원 서비스를 제공하는 동작을 설명하기 위해 참조되는 도면이다.
도 8을 참조하면, 통신사 서비스 센터에 PC 팜(farm, 850) 및 스토리지(860)가 구축된 경우, 고객사 구내망에는 키보드(810), 마우스(820), 비디오 모니터(830), 및 KVM 셋탑 박스(840)가 설치될 수 있다.
통신사 서비스 센터의 PC 팜(850)은 RDP(Remote Desktop Protocol), PCoIP(PC over Internet Protocol) 등의 프로토콜을 이용하여 PC의 영상화면을 고객사 구내망의 KVM 셋탑 박스(840)로 전송할 수 있다. 이때, PC 팜(850)은 별도의 인코더를 이용하여 PC의 영상화면을 부호화하여 전송할 수 있다. KVM 셋탑 박스(840)는 PC의 영상화면을 복호화하여 비디오 모니터(830)로 출력할 수 있다.
KVM 셋탑박스(840)와 PC 팜(850) 간에는 Layer 2 네트워크에서만 가능한 WOL(Wake On LAN) 기능이 구현될 수 있다. 즉, KVM 셋탑박스(840)의 전원이 켜지면, KVM 셋탑박스(840)에서 PC 팜(850)으로 WOL 패킷이 자동으로 전송되어, 해당 PC 팜(850)의 전원을 켜게 된다.
KVM 셋탑박스(840)와 스토리지(860) 간에는 NFS, iSCSI 등의 프로토콜을 활용한 스토리지 패킷이 전송될 수 있다. 고객사 구내망과 통신사 서비스 센터 간은 Layer 2 네트워크로 구성되므로, 해당 스토리지 패킷을 통해 훨씬 빠르고 안전한 접근이 가능하다.
도 9는 고객사 구내망에서 통신사 서비스 센터의 PC 팜을 이용하기 위한 인증 및 동적 자원할당 방법을 설명하기 위해 참조되는 도면이다.
도 9를 참조하면, 제1 고객사 구내망은 제1 이더넷 스위치(910)와 상기 제1 이더넷 스위치(910)에 연결되는 복수의 KVM 셋탑박스들(911) 및 복수의 비디오 모니터들(913)을 포함할 수 있다.
제2 고객사 구내망은 제2 이더넷 스위치(920)와 상기 제2 이더넷 스위치(920)에 연결되는 복수의 KVM 셋탑박스들(921) 및 복수의 비디오 모니터들(923)을 포함할 수 있다.
제3 고객사 구내망은 제3 이더넷 스위치(930)와 상기 제3 이더넷 스위치(930)에 연결되는 복수의 KVM 셋탑박스들(931) 및 복수의 비디오 모니터들(933)을 포함할 수 있다.
통신사 서비스 센터는 코어 스위치(940), 인증 서버(950), PC 자원관리서버(960) 및 PC 팜(970)을 포함할 수 있다. 한편, 통신사 서비스 센터는 상기 장비들 이외에도 다양한 장비들을 포함할 수 있지만, 본 발명의 실시 예와 직접적 관련이 없는 장비들에 대한 설명은 생략하도록 한다.
제1 내지 제3 고객사 구내망에 위치하는 제1 내지 제3 이더넷 스위치들(910~930)은 광 케이블을 통해 통신사 서비스 센터의 코어 스위치(940)와 연결되어, 각각의 고객사 구내망과 통신사 서비스 센터 간에 독립적인 VLAN 통신망을 구성할 수 있다.
특정 고객사에 근무하는 사용자가 KVM 셋탑박스(911, 921, 931)의 전원을 켠 후 ID 정보 및 패스워드 정보를 입력하면, KVM 셋탑박스(911, 921, 931)는 ID 정보 및 패스워드 정보, 단말 MAC 정보, 해당 고객사에 부여된 CVLAN 정보 등을 통신사 서비스 센터의 코어 스위치(940)로 전송할 수 있다.
인증 서버(950)는 코어 스위치(940)로부터 전송 받은 정보들(ID 정보, 패스워드 정보, 단말 MAC 정보, CVLAN 정보) 중 적어도 하나를 이용하여 사용자 인증 절차를 수행할 수 있다.
사용자 인증 실패 시, 인증 서버(950)는 PC 팜을 사용할 권한이 존재하지 않음을 지시하는 알림 정보를 KVM 셋탑박스(911, 921, 931)로 전송할 수 있다. 한편, 사용자 인증 성공 시, 인증 서버(950)는 자원 할당 요청 신호를 PC 자원관리서버(970)로 전송할 수 있다. 이때, 자원 할당 요청 신호는 CVLAN 정보를 포함할 수 있다.
PC 자원관리서버(970)는 CVLAN 정보를 기반으로 PC 팜(970)의 유휴 PC 자원을 해당 고객에게 할당할 수 있다. 이후, KVM 셋탑박스(911, 921, 931)의 전원 오프 시, PC 자원관리서버(970)는 해당 고객에게 할당된 PC 자원을 유휴 상태로 전환할 수 있다.
도 10은 고객사 구내망에서 통신사 서비스 센터의 스토리지를 이용하기 위한 인증 및 동적 자원할당 방법을 설명하기 위해 참조되는 도면이다.
도 10을 참조하면, 제1 고객사 구내망은 제1 이더넷 스위치(1010)와 상기 제1 이더넷 스위치(1010)에 연결되는 복수의 KVM 셋탑박스들(1011) 및 복수의 비디오 모니터들(1013)을 포함할 수 있다.
제2 고객사 구내망은 제2 이더넷 스위치(1020)와 상기 제2 이더넷 스위치(1020)에 연결되는 복수의 KVM 셋탑박스들(1021) 및 복수의 비디오 모니터들(1023)을 포함할 수 있다.
제3 고객사 구내망은 제3 이더넷 스위치(1030)와 상기 제3 이더넷 스위치(1030)에 연결되는 복수의 KVM 셋탑박스들(1031) 및 복수의 비디오 모니터들(1033)을 포함할 수 있다.
통신사 서비스 센터는 코어 스위치(1040), 인증 서버(1050), 스토리지 가상화관리서버(1060) 및 스토리지(1070)를 포함할 수 있다. 한편, 통신사 서비스 센터는 상기 장비들 이외에도 다양한 장비들을 포함할 수 있지만, 본 발명의 실시 예와 직접적 관련이 없는 장비들에 대한 설명은 생략하도록 한다.
제1 내지 제3 고객사 구내망에 위치하는 제1 내지 제3 이더넷 스위치들(1010~1030)은 광 케이블을 통해 통신사 서비스 센터의 코어 스위치(1040)와 연결되어, 각각의 고객사 구내망과 통신사 서비스 센터 간에 독립적인 VLAN 통신망을 구성할 수 있다.
특정 고객사에 근무하는 사용자가 KVM 셋탑박스(1011, 1021, 1031) 또는 고객 구내 단말(미도시)의 전원을 켠 후 ID 정보 및 패스워드 정보를 입력하면, KVM 셋탑박스(1011, 1021, 1031) 또는 고객 구내 단말은 ID 정보 및 패스워드 정보, 단말 MAC 정보, 해당 고객사에 부여된 CVLAN 정보 등을 통신사 서비스 센터의 코어 스위치(1040)로 전송할 수 있다.
인증 서버(1050)는 코어 스위치(1040)로부터 전송 받은 정보들(ID 정보, 패스워드 정보, 단말 MAC 정보, CVLAN 정보) 중 적어도 하나를 이용하여 사용자 인증 절차를 수행할 수 있다.
사용자 인증 실패 시, 인증 서버(1050)는 스토리지를 사용할 권한이 존재하지 않음을 지시하는 알림 정보를 KVM 셋탑박스(1011, 1021, 1031) 또는 고객 구내 단말로 전송할 수 있다. 한편, 사용자 인증 성공 시, 인증 서버(1050)는 자원 할당 요청 신호를 스토리지 가상화관리서버(970)로 전송할 수 있다. 이때, 자원 할당 요청 신호는 CVLAN 정보를 포함할 수 있다.
스토리지 가상화관리서버(1070)는 CVLAN 정보를 기반으로 해당 고객에게 할당된 스토리지 클러스터(storage cluster)를 매핑할 수 있다. 이에 따라, 사용자는 온전히 자신만을 위해 할당된 네트워크 및 스토리지 자원을 활용할 수 있다.
이후, 고객이 스토리지 관련 서비스 해지 시, 스토리지 가상화관리서버(1070)는 해당 고객에게 할당된 네트워크 및 스토리지 자원을 유휴 자원으로 관리할 수 있다.
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 상기 컴퓨터는 단말기의 제어부(180)를 포함할 수도 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
300: 인트라넷 서비스 시스템 310: 제1 이더넷 스위치
320: 제2 이더넷 스위치 330: 코어 스위치
340: 제1 고객사 서버 350: 제2 고객사 서버
360: DHCP 서버 370: UTM 서버
380: 컨트롤러 390: 전용 광 케이블

Claims (18)

  1. 고객사 구내망에 위치하는 이더넷 스위치와, 통신사 서비스 센터에 위치하는 코어 스위치 각각에 대해 포트 단위로 Port Isolation을 설정하는 단계;
    고객사를 식별하기 위한 제1 VLAN ID 정보를 상기 이더넷 스위치에 설정하는 단계;
    서비스 제공자를 식별하기 위한 제2 VLAN ID 정보를 상기 코어 스위치에 설정하는 단계; 및
    상기 제1 VLAN ID 정보와 상기 제2 VLAN ID 정보를 서로 맵핑하여 상기 고객사 구내망과 상기 통신사 서비스 센터 간에 VLAN(Virtual Local Area Network) 통신망을 형성하는 단계를 포함하고,
    상기 코어 스위치는, 상기 이더넷 스위치의 일 포트와 연결되는 제1 포트, 상기 통신사 서비스 센터 내에 배치된 고객사 서버와 연결되는 제2 포트 및 인터넷 망과 연결되는 제3 포트를 포함하고, 상기 제1 및 제2 포트가 연결되도록 구성되는 것을 특징으로 하는 인트라넷 서비스 제공 방법.
  2. 제1항에 있어서,
    상기 이더넷 스위치와 상기 코어 스위치 간에 전용 광 케이블이 연결되는 것을 특징으로 하는 인트라넷 서비스 제공 방법.
  3. 제1항에 있어서,
    상기 코어 스위치에 상기 고객사의 ICT(Information Communication Technology) 장비들이 연결된 경우, 상기 통신사 서비스 센터에 위치하는 고객사의 ICT 장비들과 상기 이더넷 스위치에 연결된 구내 단말들 간에 가상 네트워크가 형성되는 것을 특징으로 하는 인트라넷 서비스 제공 방법.
  4. 제3항에 있어서,
    상기 고객사의 ICT 장비들은 PC 팜, 스토리지, 및 고객사별 서버 중 적어도 하나를 포함하는 것을 특징으로 하는 인트라넷 서비스 제공 방법.
  5. 제3항에 있어서,
    상기 코어 스위치에 DHCP(Dynamic Host Configuration Protocol) 서버가 연결된 경우, 상기 고객사의 ICT 장비들 및 상기 구내 단말들에 대해 IP 주소를 할당하는 단계를 더 포함하는 인트라넷 서비스 제공 방법.
  6. 제3항에 있어서,
    상기 코어 스위치에 인증 서버 및 VPN(Virtual Private Network) 서버가 연결된 경우, 상기 고객사 구내망을 벗어난 단말을 이용하여 상기 고객사의 ICT 장비들에 원격으로 접속하는 단계를 더 포함하는 인트라넷 서비스 제공 방법.
  7. 제6항에 있어서, 상기 원격 접속 단계는,
    사용자로부터 입력된 ID 정보 및 패스워드 정보를 기반으로 상기 단말이 승인된 단말인지를 인증하는 단계; 및
    단말 인증 성공 시, 상기 VPN 서버와 상기 단말 간에 VPN 터널(tunnel)을 생성하는 단계를 포함하는 것을 특징으로 하는 인트라넷 서비스 제공 방법.
  8. 제1항에 있어서,
    상기 통신사 서비스 센터와 인터넷 망 사이에 UTM(Unified Threat Management) 서버가 연결된 경우, 상기 VLAN 통신망을 보호하기 위한 보안 솔루션 기능을 제공하는 단계를 더 포함하는 인트라넷 서비스 제공 방법.
  9. 제1항에 있어서,
    상기 코어 스위치에 PC 자원관리서버가 연결된 경우, 상기 고객사의 구내 단말로부터 전송된 제1 VLAN ID 정보를 기반으로 PC 팜의 유휴 자원을 할당하는 단계를 더 포함하는 인트라넷 서비스 제공 방법.
  10. 제1항에 있어서,
    상기 코어 스위치에 스토리지 가상화관리서버가 연결된 경우, 상기 고객사의 구내 단말로부터 전송된 제1 VLAN ID 정보를 기반으로 스토리지의 유휴 클러스터를 할당하는 단계를 더 포함하는 인트라넷 서비스 제공 방법.
  11. 제1항에 있어서, 상기 고객사가 본-지사 형태의 고객사인 경우,
    상기 고객사의 본사와 제1 지역의 통신사 서비스 센터 간에 전용 회선을 통한 VLAN 통신망을 구성하는 단계;
    상기 고객사의 지사와 제2 지역의 통신사 서비스 센터 간에 전용 회선을 통한 VLAN 통신망을 구성하는 단계; 및
    전국 각 지역별 통신사 서비스 센터 간에 전용망을 구성하는 단계를 더 포함하는 인트라넷 서비스 제공 방법.
  12. 다수의 고객사 구내망에 위치하는 복수의 이더넷 스위치들;
    통신사 서비스 센터에 배치되어, 상기 복수의 이더넷 스위치들과 전용 광 케이블을 통해 연결되는 코어 스위치; 및
    상기 복수의 이더넷 스위치들과 상기 코어 스위치 각각에 대해 포트 단위로 Port Isolation을 설정하고, 고객사를 식별하기 위한 제1 VLAN ID 정보를 상기 복수의 이더넷 스위치들에 설정하며, 서비스 제공자를 식별하기 위한 제2 VLAN ID 정보를 상기 코어 스위치에 설정하고, 상기 제1 VLAN ID 정보와 상기 제2 VLAN ID 정보를 서로 맵핑하여 상기 다수의 고객사 구내망과 상기 통신사 서비스 센터 간에 독립적인 VLAN(Virtual Local Area Network) 통신망을 형성하는 컨트롤러를 포함하고,
    상기 코어 스위치는, 상기 이더넷 스위치의 일 포트와 연결되는 제1 포트, 상기 통신사 서비스 센터 내에 배치된 고객사 서버와 연결되는 제2 포트 및 인터넷 망과 연결되는 제3 포트를 포함하고, 상기 제1 및 제2 포트가 연결되도록 구성되는 것을 특징으로 하는 인트라넷 서비스 제공 시스템.
  13. 제12항에 있어서,
    상기 통신사 서비스 센터에 위치하고, 상기 코어 스위치와 연결된 고객사별 ICT(Information Communication Technology) 장비들을 더 포함하는 인트라넷 서비스 제공 시스템.
  14. 제13항에 있어서,
    상기 코어 스위치에 연결되어, 상기 통신사 서비스 센터에 위치하는 고객사별 ICT 장비들과 상기 다수의 고객사 구내망에 위치하는 구내 단말들에 대해 IP 주소를 할당하는 DHCP(Dynamic Host Configuration Protocol) 서버를 더 포함하는 인트라넷 서비스 제공 시스템.
  15. 제12항에 있어서,
    고객사 구내망을 벗어난 단말이 상기 통신사 서비스 센터에 접속하는 경우, 상기 단말을 인증하기 위한 인증 서버; 및
    단말 인증 성공 시, 상기 통신사 서비스 센터와 상기 단말 간에 VPN 터널을 생성하기 위한 VPN 서버를 더 포함하는 인트라넷 서비스 제공 시스템.
  16. 제12항에 있어서,
    상기 통신사 서비스 센터와 인터넷 망 사이에 연결되어, 상기 VLAN 통신망을 보호하기 위한 보안 솔루션 기능을 제공하는 UTM(Unified Threat Management) 서버를 더 포함하는 인트라넷 서비스 제공 시스템.
  17. 제12항에 있어서,
    상기 코어 스위치에 연결되어, 각 고객사의 구내 단말로부터 전송된 제1 VLAN ID 정보를 기반으로 PC 팜의 유휴 자원을 할당하는 PC 자원관리서버를 더 포함하는 인트라넷 서비스 제공 시스템.
  18. 제12항에 있어서,
    상기 코어 스위치에 연결되어, 각 고객사의 구내 단말로부터 전송된 제1 VLAN ID 정보를 기반으로 스토리지의 유휴 클러스터를 할당하는 스토리지 가상화관리서버를 더 포함하는 인트라넷 서비스 제공 시스템.
KR1020160166305A 2016-12-08 2016-12-08 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템 KR102103484B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160166305A KR102103484B1 (ko) 2016-12-08 2016-12-08 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160166305A KR102103484B1 (ko) 2016-12-08 2016-12-08 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템

Publications (2)

Publication Number Publication Date
KR20180065442A KR20180065442A (ko) 2018-06-18
KR102103484B1 true KR102103484B1 (ko) 2020-04-23

Family

ID=62768071

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160166305A KR102103484B1 (ko) 2016-12-08 2016-12-08 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템

Country Status (1)

Country Link
KR (1) KR102103484B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130058350A1 (en) 2011-05-04 2013-03-07 Bryan J. Fulton Network control apparatus and method for port isolation
KR101606090B1 (ko) 2014-12-30 2016-03-24 주식회사 시큐아이 네트워크 보호 장치 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101690187B1 (ko) * 2014-10-24 2016-12-27 주식회사 투윈스컴 광통신 기술을 이용한 분산제어 시스템(dcs)의 입/출력 제어카드 확장장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130058350A1 (en) 2011-05-04 2013-03-07 Bryan J. Fulton Network control apparatus and method for port isolation
KR101606090B1 (ko) 2014-12-30 2016-03-24 주식회사 시큐아이 네트워크 보호 장치 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Cisco Systems, inc., "Layer 2 Switching Software Configuration Guide for Cisco IE 2000U and Connected Grid Switches", 2015.01.31.*

Also Published As

Publication number Publication date
KR20180065442A (ko) 2018-06-18

Similar Documents

Publication Publication Date Title
US11863625B2 (en) Routing messages between cloud service providers
US10129092B2 (en) Enabling cross-realm authentication between tenant and cloud service provider
CN114760183B (zh) 网络控制系统到公共云中的扩展
US8767737B2 (en) Data center network system and packet forwarding method thereof
CA2856086C (en) Virtual network interface objects
EP4040739B1 (en) Optical line terminal olt device virtualization method and related device
US8661158B2 (en) Smart tunneling to resources in a network
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
US11212262B2 (en) Management of network access request based on source address of device
US9143480B2 (en) Encrypted VPN connection
US20190250938A1 (en) Computer system architecture and computer network infrastructure including a plurality of such computer system architectures
US10778465B1 (en) Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud
US11178071B2 (en) Multisite interconnect and policy with switching fabrics
US20180069787A1 (en) Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network
US20130014106A1 (en) Information processing apparatus, computer-readable medium storing information processing program, and management method
US10735387B2 (en) Secured network bridge
JP2013162418A (ja) クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム
CN114556868B (zh) 虚拟专用网络vpn客户端的专用子网络
US20130254425A1 (en) Dns forwarder for multi-core platforms
US10924397B2 (en) Multi-VRF and multi-service insertion on edge gateway virtual machines
KR102103484B1 (ko) 가상 네트워킹 기술을 이용한 고객사별 인트라넷 서비스 제공 방법 및 그 시스템
US20150334115A1 (en) Dynamic provisioning of virtual systems
JP5345651B2 (ja) セキュアトンネリングプラットフォームシステム及び方法
KR102351795B1 (ko) 클라우드 환경에서 네트워크 장비들을 원격으로 관리하는 방법 및 이를 이용한 클라우드 터미널 컨트롤 서버
KR101690498B1 (ko) 스위치에 네트워크를 설정하는 방법, 이를 사용한 스위치 및 컴퓨터 판독 가능한 기록매체

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right