KR102521426B1 - 가상 스위치 장치 및 그 트래픽 처리 방법 - Google Patents

가상 스위치 장치 및 그 트래픽 처리 방법 Download PDF

Info

Publication number
KR102521426B1
KR102521426B1 KR1020210146289A KR20210146289A KR102521426B1 KR 102521426 B1 KR102521426 B1 KR 102521426B1 KR 1020210146289 A KR1020210146289 A KR 1020210146289A KR 20210146289 A KR20210146289 A KR 20210146289A KR 102521426 B1 KR102521426 B1 KR 102521426B1
Authority
KR
South Korea
Prior art keywords
traffic
processing
target
classifying
processing target
Prior art date
Application number
KR1020210146289A
Other languages
English (en)
Inventor
이건
신상호
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020210146289A priority Critical patent/KR102521426B1/ko
Application granted granted Critical
Publication of KR102521426B1 publication Critical patent/KR102521426B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일 실시예에 따라, 물리 스위치와 가상머신 사이 또는 물리 스위치와 파드 사이에 위치하는 가상 스위치 장치가 수행하는 트래픽 처리 방법은, SDN 컨트롤러로부터 보안 그룹에 대한 보안 정책을 획득하는 단계와, 상기 획득된 보안 정책에 따라 상기 가상머신 또는 상기 파드가 관여된 이그레스 트래픽 및 인그레스 트래픽에 대한 처리를 수행하는 단계를 포함하고, 상기 처리를 수행하는 단계는, 상기 이그레스 트래픽에 대한 IP 체크를 통해 드롭 처리하거나 노말 처리 대상과 선별 처리 대상 중 어느 하나로 분류하는 단계와, 상기 인그레스 트래픽과 상기 분류된 선별 처리 대상 트래픽에 대한 커넥션 트래킹 상태 체크를 통해 드롭 처리하거나 상기 노말 처리 대상으로 분류하는 단계와, 상기 분류된 노말 처리 대상 트래픽에 대하여 MAC 정보에 따라 스위칭하는 단계를 포함한다.

Description

가상 스위치 장치 및 그 트래픽 처리 방법{VIRTUAL SWITCH APPATTUS AND ITS TRAFFIC PROCESSING METHOD}
본 발명은 가상 스위치 장치와 이러한 가상 스위치 장치가 수행하는 트래픽 처리 방법에 관한 것이다.
일반적으로 방화벽은 물리/가상 인프라를 구성함에 있어 필수적인 요소로 IT 인프라에서 네트워크 보안을 책임지는 역할을 수행한다.
이러한 방화벽은 예를 들어, 5G MEC(mobile edge computing) 네트워크에서는 MEC 트래픽 인입 구간에 설치되고, 물리 방화벽 형태로 구현되며, 보안 정책 기반으로 동작하여 내부로 인입되는 트래픽을 선별적으로 필터링 한다.
그런데, 트래픽 급증시 확장이 어려웠고, SPOF(single point of failure)의 문제를 유발하였다.
대한민국 공개특허공보 제10-2018-0121969호, 공개일자 2018년 11월 09일.
일 실시예에 따르면, 5G MEC 네트워크의 MEC 트래픽 인입 구간에 배치할 경우에 트래픽을 선별적으로 필터링하는 방화벽 역할을 수행할 수 있는 가상 스위치 장치와 그 트래픽 처리 방법을 제공한다.
본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
제 1 관점에 따라, 물리 스위치와 가상머신(VM) 사이 또는 물리 스위치와 파드(POD) 사이에 위치하는 가상 스위치 장치가 수행하는 트래픽 처리 방법은, SDN(software-defined networking) 컨트롤러로부터 보안 그룹에 대한 보안 정책을 획득하는 단계와, 상기 획득된 보안 정책에 따라 상기 가상머신 또는 상기 파드가 관여된 이그레스(egress) 트래픽 및 인그레스(ingress) 트래픽에 대한 처리를 수행하는 단계를 포함하고, 상기 처리를 수행하는 단계는, 상기 이그레스 트래픽에 대한 IP 체크를 통해 드롭 처리하거나 노말 처리 대상과 선별 처리 대상 중 어느 하나로 분류하는 단계와, 상기 인그레스 트래픽과 상기 분류된 선별 처리 대상 트래픽에 대한 커넥션 트래킹 상태 체크를 통해 드롭 처리하거나 상기 노말 처리 대상으로 분류하는 단계와, 상기 분류된 노말 처리 대상 트래픽에 대하여 MAC 정보에 따라 스위칭하는 단계를 포함한다.
제 2 관점에 따라, 물리 스위치와 가상머신 사이 또는 물리 스위치와 파드 사이에 위치하는 가상 스위치 장치는, SDN 컨트롤러로부터 보안 그룹에 대한 보안 정책을 획득하는 획득부와, 상기 획득된 보안 정책에 따라 상기 가상머신 또는 상기 파드가 관여된 이그레스 트래픽 및 인그레스 트래픽에 대한 처리를 수행하는 처리부를 포함하고, 상기 처리부는, 상기 이그레스 트래픽에 대한 IP 체크를 통해 드롭 처리하거나 노말 처리 대상과 선별 처리 대상 중 어느 하나로 분류하고, 상기 인그레스 트래픽과 상기 분류된 선별 처리 대상 트래픽에 대한 커넥션 트래킹 상태 체크를 통해 드롭 처리하거나 상기 노말 처리 대상으로 분류하며, 상기 분류된 노말 처리 대상 트래픽에 대하여 MAC 정보에 따라 스위칭한다.
제 3 관점에 따라, 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체는, 상기 컴퓨터 프로그램이, 상기 트래픽 처리 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함한다.
일 실시예에 따른 가상 스위치 장치는 5G MEC 네트워크의 MEC 트래픽 인입 구간에 배치할 수 있고, 이 경우에 MEC 트래픽 인입 지점에서 보안 그룹에 대한 보안 정책에 따라 트래픽을 선별적으로 필터링하는 가상 방화벽 역할을 수행한다. 이러한 가상 스위치 장치는 손쉽게 복수로 배치할 수 있고, 복수로 배치될 경우에 분산 가상 방화벽 역할을 수행한다. 이처럼, 분산 가상 방화벽 역할을 수행하는 가상 스위치 장치는 올-액티브(all-active) 방식으로 동작하는 관계로 SPOF의 문제를 유발하지 않는다. 또한, 가상 스위치 장치에 의한 상태 저장(stateful)에 기반한 트래픽 스티어링(traffic steering)을 통해 가상머신 및 파드(POD) 등과 같은 다양한 종류의 자원에 대한 방화벽 역할을 수행할 수 있다.
도 1은 본 발명의 일 실시예에 따른 가상 스위치 장치를 포함하는 SDN(software-defined networking) 기반 분산 가상 방화벽 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 가상 스위치 장치의 구성도이다.
도 3은 본 발명의 일 실시예에 따른 가상 스위치 장치의 트래픽 처리 방법을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 본 발명에 대해 구체적으로 설명하기로 한다.
본 발명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 '포함'한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다.
또한, 명세서에서 사용되는 '부'라는 용어는 소프트웨어 또는 FPGA나 ASIC과 같은 하드웨어 구성요소를 의미하며, '부'는 어떤 역할들을 수행한다. 그렇지만 '부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부'들로 결합되거나 추가적인 구성요소들과 '부'들로 더 분리될 수 있다.
아래에서는 첨부한 도면을 참고하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략한다.
도 1은 본 발명의 일 실시예에 따른 가상 스위치 장치를 포함하는 SDN 기반 분산 가상 방화벽 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 SDN 기반 분산 가상 방화벽 시스템은 물리 스위치(20)에 연결된 복수의 가상 방화벽(120, 130)을 포함할 수 있다. 여기서, 도 1에는 두 개의 가상 방화벽(120, 130)를 도시하였으나 그 개수는 한정되지 않고, 복수로 배치될 경우에 분산 가상 방화벽 역할을 수행할 수 있다.
그리고, 가상 방화벽(120, 130)에 포함되는 가상 스위치 장치(121, 131)는 물리 스위치(20)와 가상머신(122, 123, 132, 133) 사이에 위치할 수 있다. 또는, 도 1에 도시한 가상머신(122, 123, 132, 133)의 위치에는 컨테이너를 포함하는 파드(도시 생략함)가 위치할 수 있고, 가상 스위치 장치(121, 131)는 물리 스위치(20)와 파드 사이에 위치할 수 있다.
그리고, 물리 스위치(20)에는 물리 방화벽(10)이 연결될 수 있고, 보안 그룹에 대한 보안 정책을 제공하는 SDN 컨트롤러(110)가 가상 스위치 장치(121, 131)에 연결될 수 있다.
도 2는 본 발명의 일 실시예에 따른 가상 스위치 장치의 구성도이다. 도 2에는 가상 스위치 장치(121)의 구성을 대표적으로 도시하였다.
도 1 및 도 2를 참조하면, 가상 스위치 장치(121)는 획득부(121a) 및 처리부(121b)를 포함한다. 도 2를 통해 알 수 있듯이, 가상 스위치 장치(131) 또한 획득부 및 처리부를 포함한다.
획득부(121a)는 SDN 컨트롤러(110)로부터 보안 그룹에 대한 보안 정책을 획득하고, 획득된 보안 그룹에 대한 보안 정책을 처리부(121b)에 제공한다.
처리부(121b)는 획득된 보안 정책에 따라 가상머신(122, 123) 또는 파드가 관여된 이그레스 트래픽 및 인그레스 트래픽에 대한 처리를 수행한다.
도 3은 본 발명의 일 실시예에 따른 가상 스위치 장치(121, 131)의 트래픽 처리 방법을 설명하기 위한 흐름도이다.
도 1 내지 도 3을 참조하면, 처리부(121b)가 수행하는 트래픽 처리 방법은,
인그레스 트래픽 및 이그레스 트래픽 중 ARP 트래픽은 노말 처리 대상으로 분류하는 단계(S210)을 포함한다.
그리고, 트래픽 처리 방법은 단계 S210에서 ARP 트래픽으로 분류되지 않은 IP 트래픽에 대한 IP 체크를 통해 드롭 처리하거나 노말 처리 대상과 선별 처리 대상 중 어느 하나로 분류하는 단계(S220, S230)를 더 포함한다.
그리고, 트래픽 처리 방법은 인그레스 트래픽과 단계 S220 및 S230에서 분류된 선별 처리 대상 트래픽에 대한 커넥션 트래킹 상태 체크를 통해 드롭 처리하거나 노말 처리 대상으로 분류하는 단계(S250, S260)를 더 포함한다.
그리고, 트래픽 처리 방법은 단계 S220 내지 단계 S260에서 분류된 노말 처리 대상 트래픽에 대하여 MAC 정보에 따라 스위칭하는 단계(S270)을 더 포함한다.
이하, 도 1 내지 도 3을 참조하여 SDN 기반 분산 가상 방화벽 시스템에 포함되는 가상 분산 방화벽(120, 130)의 가상 스위치 장치(121, 131)가 수행하는 트래픽 처리 방법을 더 자세히 살펴보기로 한다. 아래에서는 가상 스위치 장치(121)에 의한 트래픽 처리 과정을 대표적으로 설명하기로 하고, 가상 스위치 장치(131)에 의한 트래픽 처리 과정은 본 발명의 동일 기술분야의 종사자라면 아래의 설명으로부터 충분히 유추할 수 있다.
먼저, 가상 스위치 장치(121)의 획득부(121a)는 SDN 컨트롤러(110)로부터 보안 그룹에 대한 보안 정책을 획득하고, 획득된 보안 그룹에 대한 보안 정책을 가상 스위치 장치(121)의 처리부(121b)에 제공한다. 보안 그룹은 인스턴스에 액세스할 수 있는 트래픽 유형을 제한하는 데 사용되는 여러 보안 정책들의 모음이다. 인스턴스를 시작할 때 하나 이상의 보안 그룹을 인스턴스에 할당할 수 있다. 보안 그룹을 생성하지 않으면 다른 보안 그룹을 명시적으로 지정하지 않는 한 새 인스턴스가 기본 보안 그룹에 자동으로 할당된다. 각 보안 그룹의 관련 규칙은 보안 그룹이 적용된 인스턴스에 대한 트래픽을 제한한다. 기본적으로 보안 그룹에서 허용하지 않은 트래픽은 모두 접근이 거부된다. 보안 그룹에 정책을 추가하거나 보안 그룹에서 정책을 제거할 수 있으며, 기본 및 기타 보안 그룹에 대한 정책을 수정할 수 있다. 보안 그룹의 정책을 수정하여 다른 포트와 프로토콜을 통해 인스턴스에 액세스할 수 있다. 이러한 보안 그룹의 보안 정책은 여러 항목들로 구성되며 크게 트래픽 소스(traffic source), L3 프로토콜(protocol), L4프로토콜, L4 포트 번호(port number) 등의 항목들이 있다. 트래픽 소스는 인입되는 트래픽 출발지 주소이고, L3 프로토콜은 IPv4 또는 IPv6일 수 있으며, L4 프로토콜은 TCP/UDP/ICMP/SCTP일 수 있고, L4 포트 번호는 TCP/UDP에만 해당되며 L4 포트 번호를 정의할 수 있다.
SDN 컨트롤러(110)로부터 획득한 보안 그룹에 대한 보안 정책을 제공받은 처리부(121b)는 ARP 테이블을 이용하여 전체 트래픽(인그레스 트래픽 및 이그레스 트래픽) 중 ARP 트래픽은 노말 처리 대상으로 분류하여 노말 테이블(Normal Table)로 보내고, IP 트래픽은 엔트리 테이블(Entry Table)로 보낸다(S210). 여기서, 엔트리 테이블은 패킷이 보안 그룹 정책을 적용하는지 여부를 판단하는 테이블이다.
그리고, 처리부(121b)는 엔트리 테이블을 이용하여 ARP 트래픽으로 분류되지 않은 IP 트래픽에 대하여 이그레스 트래픽과 인그레스 트래픽을 분류하고, 분류된 이그레스 트래픽은 이그레스 테이블(Egress Table)로 보내고, 분류된 인그레스 트래픽은 인그레스 테이블(Ingress Table)로 보낸다(S220). 예를 들어 이그레스 패킷인지 여부를 판단하는 기준은 입력 포트(in_port)일 수 있다. 패킷의 메타데이터를 조회하여 패킷의 입력 포트가 터널 브리지(br-tun) 또는 물리적 네트워크 브리지(br-physnet)와 같이 외부와 연결된 브리지와 연결되어 있을 경우 해당 패킷은 이그레스 패킷이 아닌 것으로 판단할 수 있다.
그리고, 처리부(121b)는 이그레스 테이블을 이용하여 IP 체크를 통해 드롭 처리하거나 노말 처리 대상과 선별 처리 대상 중 어느 하나로 분류한다. 여기서, 처리부(121b)는 이그레스 트래픽에 대한 출발지 IP 체크를 통해 알고 있는 가상머신 IP가 아닌 경우, 즉 이전에 확인된 바 있는 가상머신 IP가 아닌 경우에 드롭 처리하고, 출발지 IP 체크를 통해 알고 있는 가상머신 IP인 경우에 리서큘레이트 테이블(Recirculate Table)로 보낸다(S230).
그리고, 처리부(121b)는 리서큘레이트 테이블을 이용하여 목적지 IP 체크를 통해 관리 대상 IP가 아니면 노말 처리 대상으로 분류하여 노말 테이블로 보내되 관리 대상 IP이면 선별 처리 대상으로 분류하여 인그레스 테이블로 보낸다(S240). 여기서, 노말 테이블로 보낼 때에는 ct(commit) 액션을 통해 커넥션 트래킹을 수행할 수 있다. 이는 커넥션 트래킹의 수행 결과를 저장해 둠으로써 다음에는 해당 트래픽에 대해 노말 처리 대상으로 분류될 수 있도록 하기 위함이다.
그리고, 처리부(121b)는 인그레스 테이블을 이용하여 이그레스 테이블로부터 보내온 인그레스 트래픽과 단계 S230에서 분류된 선별 처리 대상 트래픽에 대한 커넥션 트래킹 상태 체크를 통해 드롭 처리하거나 노말 처리 대상으로 분류하여 노말 테이블로 보내거나 또는 커넥션 트래킹 테이블(Conn-Track Table, connection tracking table)로 보낸다(S250). 여기서, 처리부(121b)는 대상 가상머신의 튜플과 일치, 예컨대 5개 튜플이 일치하면 노말 테이블로 보낼 수 있다. 그리고, 처리부(121b)는 대상 가상머신의 튜플과 일치하지 않은 경우, 커넥션 트래킹 상태(ct_state)가 언트랙(untracked)이면 비정상적인 트래픽으로 가정하여 드롭 처리하되 트랙(track)이면 커넥션 트래킹 테이블로 보낸다.
그리고, 처리부(121b)는 커넥션 트래킹 테이블을 이용하여 트래픽이 기 설정된 세션은 노말 처리 대상으로 분류하고 트래픽이 설정되지 않은 신규 세션은 드롭 처리한다(S260). 여기서, 커넥션 트래킹 상태가 +est+trk로 표시되면 트래픽이 설정된 세션으로 식별되므로 패킷을 노말 테이블로 전송할 수 있고, 커넥션 트래킹 상태가 +new+trk로 표시되면 새 세션으로 식별되므로 트래픽을 드롭할 수 있다. 커넥션 트래킹 상태가 +est+trk이면 이전에 맺어진(establishment) 적이 있으면서 트래킹(tracking) 된 세션을 나타내고, 커넥션 트래킹 상태가 +new+trk이면 신규이면서 트래킹 된 세션을 나타낸다.
다음으로, 처리부(121b)는 노말 테이블을 이용하여 단계 S220 내지 단계 S260에서 분류된 노말 처리 대상 트래픽에 대하여 MAC 정보에 따라 스위칭을 한다(S270). 예를 들어, 처리부(121b)는 단계 S270에서 L2 MAC 러닝(learning)을 사용하여 트래픽을 처리할 수 있다.
한편, 전술한 일 실시예에 따른 가상 스위치 장치가 수행하는 트래픽 처리 방법에 포함된 각각의 단계는, 이러한 단계를 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록매체에서 구현될 수 있다.
지금까지 설명한 바와 같이, 본 발명의 일 실시예에 따른 가상 스위치 장치는 5G MEC 네트워크의 MEC 트래픽 인입 구간에 배치할 수 있고, 이 경우에 MEC 트래픽 인입 지점에서 보안 그룹에 대한 보안 정책에 따라 트래픽을 선별적으로 필터링하는 가상 방화벽 역할을 수행한다. 이러한 가상 스위치 장치는 손쉽게 복수로 배치할 수 있고, 복수로 배치될 경우에 분산 가상 방화벽 역할을 수행한다. 이처럼, 분산 가상 방화벽 역할을 수행하는 가상 스위치 장치는 올-액티브 방식으로 동작하는 관계로 SPOF의 문제를 유발하지 않는다. 또한, 가상 스위치 장치에 의한 상태 저장에 기반한 트래픽 스티어링을 통해 가상머신 및 파드 등과 같은 다양한 종류의 자원에 대한 방화벽 역할을 수행할 수 있다.
본 발명에 첨부된 각 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 기록매체에 저장된 인스트럭션들은 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
본 발명의 실시예에 의하면, 일 실시예에 따른 가상 스위치 장치는 5G MEC 네트워크의 MEC 트래픽 인입 구간에 배치할 수 있고, 이 경우에 MEC 트래픽 인입 지점에서 보안 그룹에 대한 보안 정책에 따라 트래픽을 선별적으로 필터링하는 가상 방화벽 역할을 수행한다. 이러한 가상 스위치 장치는 손쉽게 복수로 배치할 수 있고, 복수로 배치될 경우에 분산 가상 방화벽 역할을 수행한다. 이러한 본 발명의 가상 스위치 장치는 5G MEC 네트워크는 물론이고 물리 스위치와 가상머신 사이 또는 물리 스위치와 파드 사이에서 가상 방화벽 역할이 필요한 다양한 네트워크에 이용할 수 있다. 또한, SASE(secure access service edge)에 적용될 수 있다.
20: 물리 스위치
110: SDN 컨트롤러
121, 131: 가상 스위치 장치
122, 123, 132, 133: 가상머신

Claims (7)

  1. 물리 스위치와 가상머신(VM) 사이 또는 물리 스위치와 파드(POD) 사이에 위치하는 가상 스위치 장치가 수행하는 트래픽 처리 방법으로서,
    SDN(software-defined networking) 컨트롤러로부터 보안 그룹에 대한 보안 정책을 획득하는 단계와,
    상기 획득된 보안 정책에 따라 상기 가상머신 또는 상기 파드가 관여된 이그레스(egress) 트래픽 및 인그레스(ingress) 트래픽에 대한 처리를 수행하는 단계를 포함하고,
    상기 처리를 수행하는 단계는,
    상기 이그레스 트래픽에 대한 IP 체크를 통해 드롭 처리하거나 노말 처리 대상과 선별 처리 대상 중 어느 하나로 분류하는 단계와,
    상기 인그레스 트래픽과 상기 분류된 선별 처리 대상 트래픽에 대한 커넥션 트래킹 상태 체크를 통해 드롭 처리하거나 상기 노말 처리 대상으로 분류하는 단계와,
    상기 분류된 노말 처리 대상 트래픽에 대하여 MAC 정보에 따라 스위칭하는 단계를 포함하는
    트래픽 처리 방법.
  2. 제 1 항에 있어서,
    상기 처리를 수행하는 단계는,
    상기 이그레스 트래픽에 대한 IP 체크 전에, 상기 인그레스 트래픽 및 상기 이그레스 트래픽 중 ARP 트래픽은 상기 노말 처리 대상으로 분류하는 단계를 더 포함하는
    트래픽 처리 방법.
  3. 제 1 항에 있어서,
    상기 노말 처리 대상과 상기 선별 처리 대상 중 어느 하나로 분류하는 단계는,
    상기 이그레스 트래픽에 대한 출발지 IP 체크를 통해 가상머신 IP가 아닌 경우에 드롭 처리하는 단계와,
    상기 출발지 IP 체크를 통해 가상머신 IP인 경우, 목적지 IP 체크를 통해 관리 대상 IP가 아니면 상기 노말 처리 대상으로 분류하되 상기 관리 대상 IP이면 상기 선별 처리 대상으로 분류하는 단계를 포함하는
    트래픽 처리 방법.
  4. 제 3 항에 있어서,
    상기 목적지 IP 체크를 통해 관리 대상 IP가 아니면 커넥션 트래킹을 수행하는
    트래픽 처리 방법.
  5. 제 1 항에 있어서,
    상기 드롭 처리하거나 상기 노말 처리 대상으로 분류하는 단계는,
    상기 인그레스 트래픽과 상기 분류된 선별 처리 대상 트래픽에 대하여 대상 가상머신의 튜플(tuple)과 일치하면 상기 노말 처리 대상으로 분류하는 단계와,
    상기 대상 가상머신의 튜플과 일치하지 않은 경우, 커넥션 트래킹 상태가 언트랙이면 드롭 처리하되 트랙이면 트래픽이 기 설정된 세션은 상기 노말 처리 대상으로 분류하고 트래픽이 설정되지 않은 신규 세션은 드롭 처리하는 단계를 포함하는
    트래픽 처리 방법.
  6. 물리 스위치와 가상머신 사이 또는 물리 스위치와 파드 사이에 위치하는 가상 스위치 장치로서,
    SDN 컨트롤러로부터 보안 그룹에 대한 보안 정책을 획득하는 획득부와,
    상기 획득된 보안 정책에 따라 상기 가상머신 또는 상기 파드가 관여된 이그레스 트래픽 및 인그레스 트래픽에 대한 처리를 수행하는 처리부를 포함하고,
    상기 처리부는,
    상기 이그레스 트래픽에 대한 IP 체크를 통해 드롭 처리하거나 노말 처리 대상과 선별 처리 대상 중 어느 하나로 분류하고,
    상기 인그레스 트래픽과 상기 분류된 선별 처리 대상 트래픽에 대한 커넥션 트래킹 상태 체크를 통해 드롭 처리하거나 상기 노말 처리 대상으로 분류하며,
    상기 분류된 노말 처리 대상 트래픽에 대하여 MAC 정보에 따라 스위칭하는
    가상 스위치 장치.
  7. 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서,
    상기 컴퓨터 프로그램은,
    제 1 항 내지 제 5 항 중 어느 한 항의 트래픽 처리 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함하는
    컴퓨터 판독 가능한 기록매체.
KR1020210146289A 2021-10-29 2021-10-29 가상 스위치 장치 및 그 트래픽 처리 방법 KR102521426B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210146289A KR102521426B1 (ko) 2021-10-29 2021-10-29 가상 스위치 장치 및 그 트래픽 처리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210146289A KR102521426B1 (ko) 2021-10-29 2021-10-29 가상 스위치 장치 및 그 트래픽 처리 방법

Publications (1)

Publication Number Publication Date
KR102521426B1 true KR102521426B1 (ko) 2023-04-13

Family

ID=85979140

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210146289A KR102521426B1 (ko) 2021-10-29 2021-10-29 가상 스위치 장치 및 그 트래픽 처리 방법

Country Status (1)

Country Link
KR (1) KR102521426B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116566682A (zh) * 2023-05-16 2023-08-08 赛姆科技(广东)有限公司 一种分布式信息网络安全防护方法、系统及其可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080021491A (ko) * 2006-08-31 2008-03-07 영남대학교 산학협력단 차등화 서비스 엠피엘에스망에서 네트워크 프로세서를이용한 플로우별 패킷 처리 방법
US20100054129A1 (en) * 2008-08-27 2010-03-04 Cisco Technology, Inc. Virtual switch quality of service for virtual machines
KR20130085919A (ko) * 2011-11-30 2013-07-30 브로드콤 코포레이션 스위치 asic 내에 라인-레이트 애플리케이션 인식을 통합하기 위한 시스템 및 방법
US20150180769A1 (en) * 2013-12-20 2015-06-25 Alcatel-Lucent Usa Inc. Scale-up of sdn control plane using virtual switch based overlay
KR20180046894A (ko) * 2016-10-28 2018-05-09 주식회사 케이티 Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템
KR20180121969A (ko) 2016-03-07 2018-11-09 다탕 모바일 커뮤니케이션즈 이큅먼트 코포레이션 리미티드 데이터 전송 방법, 장치 및 시스템

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080021491A (ko) * 2006-08-31 2008-03-07 영남대학교 산학협력단 차등화 서비스 엠피엘에스망에서 네트워크 프로세서를이용한 플로우별 패킷 처리 방법
US20100054129A1 (en) * 2008-08-27 2010-03-04 Cisco Technology, Inc. Virtual switch quality of service for virtual machines
KR20130085919A (ko) * 2011-11-30 2013-07-30 브로드콤 코포레이션 스위치 asic 내에 라인-레이트 애플리케이션 인식을 통합하기 위한 시스템 및 방법
US20150180769A1 (en) * 2013-12-20 2015-06-25 Alcatel-Lucent Usa Inc. Scale-up of sdn control plane using virtual switch based overlay
KR20180121969A (ko) 2016-03-07 2018-11-09 다탕 모바일 커뮤니케이션즈 이큅먼트 코포레이션 리미티드 데이터 전송 방법, 장치 및 시스템
KR20180046894A (ko) * 2016-10-28 2018-05-09 주식회사 케이티 Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116566682A (zh) * 2023-05-16 2023-08-08 赛姆科技(广东)有限公司 一种分布式信息网络安全防护方法、系统及其可读存储介质
CN116566682B (zh) * 2023-05-16 2023-12-08 赛姆科技(广东)有限公司 一种分布式信息网络安全防护方法、系统及其可读存储介质

Similar Documents

Publication Publication Date Title
US10187263B2 (en) Integrating physical and virtual network functions in a service-chained network environment
US9553806B2 (en) Method and system for supporting port ranging in a software-defined networking (SDN) system
US10075393B2 (en) Packet routing using a software-defined networking (SDN) switch
US9608896B2 (en) Service node originated service chains in a network environment
US10084685B2 (en) Route reflector as a service
CN104468624B (zh) Sdn控制器、路由/交换设备及网络防御方法
US20160165014A1 (en) Inter-domain service function chaining
US10298600B2 (en) Method, apparatus, and system for cooperative defense on network
US9264402B2 (en) Systems involving firewall of virtual machine traffic and methods of processing information associated with same
US20160050140A1 (en) Forwarding packet fragments using l4-l7 headers without reassembly in a software-defined networking (sdn) system
EP1259043A2 (en) Handling state information in a network element cluster
US11689499B2 (en) Management of endpoint address discovery in a software defined networking environment
US12021836B2 (en) Dynamic filter generation and distribution within computer networks
KR102521426B1 (ko) 가상 스위치 장치 및 그 트래픽 처리 방법
CN111629082B (zh) 地址跳变系统、方法、装置、存储介质及处理器
EP3985943A2 (en) Service function chaining and overlay transport loop prevention
Shimanaka et al. Cyber deception architecture: Covert attack reconnaissance using a safe sdn approach
CN101931627A (zh) 安全检测方法、装置和网络侧设备
US10498700B2 (en) Transmitting network traffic in accordance with network traffic rules
Tahir et al. A novel DDoS floods detection and testing approaches for network traffic based on linux techniques
US11134099B2 (en) Threat response in a multi-router environment
CN111953748A (zh) 会话记录生成方法、装置及存储介质
US11463404B2 (en) Quarantined communications processing at a network edge
CN110519273B (zh) 入侵防御方法和装置
Mishra SDN Based Network Management for Enhancing Network Security

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant