KR102595308B1 - 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법 - Google Patents

인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법 Download PDF

Info

Publication number
KR102595308B1
KR102595308B1 KR1020210022145A KR20210022145A KR102595308B1 KR 102595308 B1 KR102595308 B1 KR 102595308B1 KR 1020210022145 A KR1020210022145 A KR 1020210022145A KR 20210022145 A KR20210022145 A KR 20210022145A KR 102595308 B1 KR102595308 B1 KR 102595308B1
Authority
KR
South Korea
Prior art keywords
private network
user terminal
network
address
remote service
Prior art date
Application number
KR1020210022145A
Other languages
English (en)
Other versions
KR20220108676A (ko
Inventor
김태영
김태현
진성근
Original Assignee
대구대학교 산학협력단
주식회사 크래프트엑스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 대구대학교 산학협력단, 주식회사 크래프트엑스 filed Critical 대구대학교 산학협력단
Priority to PCT/KR2022/001397 priority Critical patent/WO2022164201A1/ko
Publication of KR20220108676A publication Critical patent/KR20220108676A/ko
Application granted granted Critical
Publication of KR102595308B1 publication Critical patent/KR102595308B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/60Router architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법에 관한 것이다. 상기 제어 방법은 인터넷 망을 통하여 포털에 접속한 사용자 단말에 대한 로그인을 수행하는 단계, 상기 사용자 단말이 로그인 하는 것에 응답하여, 상기 사용자 단말에 대한 사용자 정보를 획득하는 단계, 상기 사용자 정보를 이용하여 상기 인터넷 망과 사설망을 연결하는 라우터의 설정을 변경하는 단계 및 상기 라우터를 이용하여 상기 사설망에 위치하는 원격 서비스를 상기 사용자 단말로 제공하는 단계를 포함한다.

Description

인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법{PRIVATE NETWORK ACCESS CONTROL DEVICE FOR ALLOWING USER TERMINALS OF INTERNET NETWORK TO ACCESS PRIVATE NETWORK TO EXECUTE REMOTE SERVICE AND CONTROL METHOD THEREOF}
본 발명은 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치, 그것을 포함하는 시스템 및 그것의 제어 방법에 관한 것이다.
단말들은 ISP(Internet Service Provider)로부터 공용 IP(Internet Protocol)를 할당 받거나, NAT(Network Address Translator)로부터 사설 IP를 할당받아 네트워크에 접속한다.
NAT 장치는 ISP로부터 할당받은 하나의 공인 IP를 이용하여 복수의 단말들이 외부망에 접속되도록 제어한다. 보다 구체적으로, NAT 장치는 사설 IP주소를 공인 IP주소로 바꿔주는데 사용하는 통신망의 주소 변환기이다. 이를 위하여, NAT 장치는 네트워크망의 내부에서 서로 다르게 할당된 사설 IP를 이용하여 단말들을 구분하고, 공인 IP를 공유하면서 단말들이 외부망에 접속되도록 한다.
NAT장치를 사용하는 목적에는 2가지가 있는데, 첫째는 인터넷의 공인 IP주소를 절약할 수 있다는 점이고 둘째는 인터넷이란 공공망과 연결되는 사용자들의 고유한 사설망을 침입자들로부터 보호할 수 있다는 점이다.
인터넷의 공인 IP주소는 한정되어 있기 때문에 가급적 이를 공유할 수 있도록 하는 것이 필요한데 NAT를 이용하면 사설 IP주소를 사용하면서 이를 공인 IP주소와 상호 변환할 수 있도록 하여 공인 IP주소를 다수가 함께 사용할 수 있도록 함으로써 이를 절약할 수 있는 것이다.
공개된 인터넷과 사설망 사이에 방화벽(Firewall)을 설치하여 외부 공격으로부터 사용자의 통신망을 보호하는 기본적인 수단으로 활용할 수 있다. 이때 외부 통신망 즉 인터넷 망과 연결하는 장비인 라우터에 NAT를 설정할 경우 라우터는 자신에게 할당된 공인 IP주소만 외부로 알려지게 하고, 내부에서는 사설 IP주소만 사용하도록 하여 필요시에 이를 서로 변환시켜 준다. 따라서 외부 침입자가 공격하기 위해서는 사설망의 내부 사설 IP주소를 알아야 하기 때문에 공격이 불가능해지므로 내부 네트워크를 보호할 수 있다.
한편, 가상화 기술이 발전하면서 서버(또는 호스트) 자원이나 네트워크를 효율적으로 사용하기 위하여, 서버 내부에 다수의 가상머신이 설치된다. 이와 같은 서버 가상화를 위하여 리눅스(Linux) 기반의 KVM(Kernel-based Virtual Machine) 하이퍼바이저(Hypervisor), 윈도우(Windows) 기반의 VmWare 하이퍼바이저 등이 사용되고 있다.
하지만, 상기와 같이 가상머신이 사용되는 경우 방화벽, NAT 장치 등에 대응하여 운영자가 포트 포워딩 정보를 설정해 주어야 한다. 특히, 가상머신으로 사설 IP가 할당되는 경우 운영자가 지속적으로 설정을 갱신해야 한다.
본 발명은 전술한 문제 및 다른 문제를 해결하는 것을 목적으로 한다.
본 발명의 일 목적은 외부에서 단말이 사설망 혹은 클라우드 컴퓨팅 내부망에 존재하는 원격 서비스에 접근하려고 할 때 효율적으로 접속할 수 있는 장치, 시스템 및 방법을 제안한다.
상기와 같은 과제를 실현하기 위한 본 발명의 일 실시 예는 사설망 접속 제어장치의 제어 방법에 관한 것이다.
상기 제어 방법은, 인터넷 망을 통하여 포털에 접속한 사용자 단말에 대한 로그인을 수행하는 단계; 상기 사용자 단말이 로그인 하는 것에 응답하여, 상기 사용자 단말에 대한 사용자 정보를 획득하는 단계; 상기 사용자 정보를 이용하여 상기 인터넷 망과 사설망을 연결하는 라우터의 설정을 변경하는 단계; 및 상기 라우터를 이용하여 상기 사설망에 위치하는 원격 서비스를 상기 사용자 단말로 제공하는 단계를 포함한다.
일 실시 예에 따르면, 상기 라우터의 설정을 변경하는 단계는, 상기 사용자 단말에서 상기 사설망으로 전송되어 오는 패킷의 목적지 주소를 상기 원격 서비스가 위치한 노드의 사설망 IP 주소로 설정하는 단계; 및 상기 원격 서비스가 상기 사용자 단말로 보내는 패킷의 목적지 주소를 상기 사용자 단말의 인터넷 망 IP 주소로 설정하는 단계를 포함할 수 있다.
일 실시 예에 따르면, 상기 사용자 정보는, 상기 사용자 단말의 상기 인터넷 망 IP 주소, 상기 사용자 단말이 사용하고자 하는 원격 서비스 정보, 상기 원격 서비스가 위치한 노드의 사설망 IP 주소를 포함할 수 있다.
일 실시 예에 따르면, 상기 포털은 상기 사설망에 접속된 서버에서 운영되며, 상기 포털의 주소는 상기 인터넷 망에서 상기 사설망으로 접근할 수 있는 특정 주소로 고정되어 있을 수 있다.
일 실시 예에 따르면, 상기 제어 방법은 상기 사설망 내에 존재하면서 상기 원격 서비스에 접속하는 제1 사용자 단말 및 제2 사용자 단말을 탐색하는 단계; 상기 원격 서비스를 제공하는 노드를 상기 제1 사용자 단말에 대응하는 제1 노드와 상기 제2 사용자 단말에 대응하는 제2 노드로 다르게 배치하는 단계; 및 상기 제1 노드를 통해 상기 제1 사용자 단말로 상기 원격 서비스를 제공하고, 상기 제2 노드를 통해 상기 제2 사용자 단말로 상기 원격 서비스를 제공하는 단계를 더 포함할 수 있다.
본 발명의 일 실시 예는 인터넷 망의 사용자 단말이 데스크톱 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치를 포함하는 시스템에 관한 것이다.
상기 시스템은 서로 다른 원격 서비스를 제공하는 복수의 호스트들; 사설망에 의하여 상기 호스트들과 접속되며, 상기 사설망을 인터넷 망과 접속시키기 위한 라우터; 및 상기 사설망에 의하여 상기 호스트들과 접속되며, 상기 사설망에 접속되는 사용자 단말이 상기 호스트들 중 적어도 하나가 제공하는 원격 서비스를 이용할 수 있도록 상기 라우터의 설정을 변경하는 사설망 접속 제어장치를 구비한다.
본 발명에 따른 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법 의 효과에 대해 설명하면 다음과 같다.
본 발명은 외부에서 사용자 단말이 사설망 혹은 클라우드 컴퓨팅 내부망에 존재하는 원격 서비스에 빠르고 효율적으로 접속할 수 있다.
도 1a 및 도 1b는 NAT 장치 및 방화벽을 포함하는 네트워크 환경을 나타내는 도면들
도 2는 포트 포워드 방법을 설명하기 위한 도면
도 3은 사설망 내부에 중계 서버를 이용하는 방법을 설명하기 위한 도면
도 4는 본 발명의 일 실시 예에 따른 사설망 접속 제어장치를 포함한 시스템을 설명하기 위한 도면
도 5는 본 발명의 일 실시 예에 따른 제어 방법을 설명하기 위한 흐름도
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
단말기는 이동 가능 여부에 따라 이동 단말기(mobile/portable terminal) 및 고정 단말기(stationary terminal)으로 나뉠 수 있다. 다시 이동 단말기는 사용자의 직접 휴대 가능 여부에 따라 휴대(형) 단말기(handheld terminal) 및 거치형 단말기(vehicle mounted terminal)로 나뉠 수 있다.
본 명세서에서 설명되는 단말기에는 휴대폰, 스마트폰(smart phone), 노트북 컴퓨터(laptop computer), 디지털방송용 단말기, PDA(personal digital assistants), PMP(portable multimedia player), 네비게이션, 슬레이트 PC(slate PC), 태블릿 PC(tablet PC), 울트라북(ultrabook), 웨어러블 디바이스(wearable device, 예를 들어, 워치형 단말기 (smartwatch), 글래스형 단말기 (smart glass), HMD(head mounted display) 등이 포함될 수 있다.
본 명세서에 기재된 실시 예에 따른 구성은 디지털 TV, 데스크탑 컴퓨터, 디지털 사이니지, 서버 등과 같은 고정 단말기에도 적용될 수도 있음을 본 기술분야의 당업자라면 쉽게 알 수 있을 것이다.
원격 서비스는 사용자 단말이 인터넷 망을 통하여 특정 컴퓨팅 장치로 접속해 상기 컴퓨팅 장치의 리소스를 사용하거나 상기 컴퓨팅 장치를 제어하는 서비스를 의미한다. 원격 서비스의 대표적인 예로 원격 데스크톱 서비스가 있다.
원격 데스크톱 서비스(Remote Desktop Services, RDS)는 네트워크가 연결되어 있는 원격 컴퓨터나 가상 머신에 사용자가 제어권을 가질 수 있게 하는 마이크로소프트 윈도우의 구성 요소들 가운데 하나이다. 원격 데스크톱 서비스 (RDS)는 신 클라이언트의 마이크로소프트 구현체로서, 윈도우 소프트웨어, 원격 데스크톱 서비스 (RDS)를 실행 중인 전체 컴퓨터 데스크톱이 원격 데스크톱 프로토콜(RDP)을 지원하는 원격 클라이언트 머신에 연결할 수 있게 한다. 원격 데스크톱 서비스 (RDS)를 사용하면 소프트웨어 사용자 인터페이스들만 클라이언트 시스템으로 전송된다. 클라이언트 시스템의 모든 입력은 서버에 전송되며 여기서 소프트웨어 실행이 발생한다. 이는 요청을 한 클라이언트에 컴퓨터 프로그램들이 스트리밍되고 스트리밍 머신에서 실행되는 마이크로소프트 App-V와 같은 애플리케이션 스트리밍 시스템과는 대비된다.
리눅스 진영에서는 가상 네트워크 컴퓨팅(Virtual Network Computing, VNC) 서비스를 제공한다. 가상 네트워크 컴퓨팅(VNC)은 컴퓨터 환경에서 RFB 프로토콜을 이용하여 원격으로 다른 컴퓨터를 제어하는 그래픽 데스크톱 공유 시스템이다. 자판과 마우스 이벤트를 한 컴퓨터에서 다른 컴퓨터로 전송시켜서 네트워크를 거쳐 그래픽 화면을 갱신하는 방식을 제공한다.이외에도 다양한 업체들이 고유의 원격 데스크톱 서비스를 제공하고 있다.
도 1a 및 도 1b는 NAT 장치 및 방화벽을 포함하는 네트워크 환경을 나타내는 도면들이다.
도 1a을 참조하면, 내부 네트워크에는 다양한 타입의 호스트들(6, 8, 10, 12)이 위치되며, 호스트들(6, 8, 10, 12)은 내부 네트워크망(16)을 경유하여 라우터(4)(또는 스위치)에 접속된다. 그리고, 제1 단말(20)이 내부 네트워크망(16)에 접속된다.
제1 호스트(6)는 제1 타입(Type-1)으로 설정된다. 여기서, 제1 타입은 공인 IP를 할당받는 호스트를 의미한다.
제2 호스트(8)는 제2 타입(Type-2)으로 설정된다. 여기서, 제2 타입은 운영체제(OS: Operating System)에서 제공하는 NAT type에 의하여 내부에 가상머신(VM)을 포함하는 호스트를 의미한다.
제3 호스트(10)는 제3 타입(Type-3)으로 설정된다. 여기서, 제3 타입은 NAT 장치(14)를 경유하여 내부 네트워크망(16)에 접속되는 호스트를 의미한다.
제4 호스트(12)는 제4 타입(Type-4)으로 설정된다. 여기서, 제4 타입은 NAT 장치(14)를 경유하여 내부 네트워크망(16)에 접속되며, 운영체제(OS)에서 제공하는 NAT type에 의하여 내부에 가상머신(VM)을 포함하는 호스트를 의미한다.
내부 네트워크는 방화벽(2)을 경유하여 외부망(일례로, 인터넷 등)과 접속된다. 방화벽(2)은 외부망으로부터 미리 설정된 정책에 맞는 세션만 내부 네트워크로 통신되도록 제어함으로써, 외부망으로부터 내부 네트워크를 보호한다. 일례로, 방화벽(2) 외부에 위치된 제2 단말(30)은 방화벽(2)의 패킷 필터링에 기능에 의하여 내부 네트워크와의 통신이 차단될 수 있다.
한편, 상술한 제1 호스트(6)는 공인 IP를 할당받는다. 제2 호스트(8)는 하나의 공인 IP를 할당받으며, 내부에 위치된 가상머신들(VM)은 사설 IP를 할당받는다. NAT 장치(14)에 접속된 제3 호스트(10) 및 제4 호스트(12)는 사설 IP를 할당받는다. 추가적으로, 제4 호스트(12)에 포함된 가상머신들(VM)은 제4 호스트(12)와 상이한 사설 IP를 할당받는다.
내부 네트워크망(16)에 접속된 제1 단말(20)은 공인 IP를 할당받은 제1 호스트(6)와 통신이 가능하다. 하지만, 내부 네트워크망(16)에 접속된 제1 단말(20)이라하더라도 사설 IP를 이용하는 제2 호스트(8)의 가상머신들(VM), 제3 호스트(10) 및 제4 호스트(12)의 가상머신들(VM)과 통신이 허용되지 않는다.
한편, 공용 IP는 활용할 수 있는 자원이 제한적이고, 관리 및 유지 비용이 높기 때문에 네트워크 구성에는 일반적으로 사설 IP가 사용된다. 하지만, 사설 IP를 사용하여 네트워크를 구성하는 경우, telnet, ssh 등의 원격 접속을 위하여 운영자가 포트 포워딩 정보를 설정해야 한다. 또한, 외부망으로부터 telnet, ssh 등의 원격 접속이 필요한 경우 운영자가 방화벽 허용정책을 추가로 설정해야 하고, 이에 따라 네트워크의 활용성이 매우 제한된다.
도 1b를 참조하면, 본 발명의 실시예에 의한 포트 포워딩 제어장치는 호스트들(106, 108, 110, 112), 라우터(104) 및 내부 포워딩부(Internal Forwarder: 140)를 구비할 수 있다.
호스트들(106, 108, 110, 112), 라우터(104) 및 내부 포워딩부(140)는 내부 네트워크망(116)에 의하여 접속된다(내부 네트워크 형성).
제1 호스트(106)는 제1 타입(Type-1)으로 설정된다. 여기서, 제1 타입은 공인 IP를 할당받는 호스트를 의미한다.
제2 호스트(108)는 제2 타입(Type-2)으로 설정된다. 여기서, 제2 타입은 운영체제(OS: Operating System)에서 제공하는 NAT type에 의하여 내부에 가상머신(VM-1, VM-2)(또는 제1 가상머신들)을 포함하는 호스트를 의미한다. 이와 같은 제2 호스트(108)는 포워딩 에이전트(FA)를 포함한다. 포워딩 에이전트(FA)는 제2 호스트(108)에서 제공하고자 하는 접속정보를 내부 포워딩부(140)로 전달한다. 일례로, 제2 호스트(108)의 포워딩 에이전트(FA)는 제2 호스트(108)의 가상머신들(VM-1, VM2)에 접속될 수 있는 접속 정보를 내부 포워딩부(140)로 전달할 수 있다.
한편, 포워딩 에이전트(FA)는 설명의 편의성을 위하여 호스트의 내부에 별도로 포함하는 것으로 도시하였지만, 본 발명이 이에 한정되지는 않는다. 일례로, 포워딩 에이전트(FA)가 삭제되고, 해당 호스트에서 포워딩 에이전트(FA)의 동작을 수행할 수 있다. 예컨대, 포워딩 에이전트(FA)는 프로그램 등으로 구현될 수 있다.
제3 호스트(110)는 제3 타입(Type-3)으로 설정된다. 여기서, 제3 타입은 NAT 장치(114)를 경유하여 내부 네트워크망(116)에 접속되는 호스트를 의미한다. 이와 같은 제3 호스트(110)는 포워딩 에이전트(FA)를 포함한다. 포워딩 에이전트(FA)는 제3 호스트(110)에서 제공하고자 하는 접속정보를 내부 포워딩부(140)로 전달한다.
제4 호스트(112)는 제4 타입(Type-4)으로 설정된다. 여기서, 제4 타입은 NAT 장치(114)를 경유하여 내부 네트워크망(116)에 접속되며, 운영체제(OS)에서 제공하는 NAT type에 의하여 내부에 가상머신(VM-1', VM-2')(또는 제2가상머신들)을 포함하는 호스트를 의미한다. 이와 같은 제4 호스트(112)는 포워딩 에이전트(FA)를 포함한다.
포워딩 에이전트(FA)는 제4 호스트(112)에서 제공하고자 하는 접속정보를 내부 포워딩부(140)로 전달한다. 일례로, 제4 호스트(112)의 포워딩 에이전트(FA)는 가상머신들(VM-1', VM-2')에 접속될 수 있는 접속정보를 내부 포워딩부(140)로 전달할 수 있다.
한편, 도 1b에서는 설명의 편의성을 위하여 서로 다른 타입으로 형성된 4개의 호스트들(106 내지 112)을 도시하였지만, 본 발명이 이에 한정되지는 않는다. 일례로, 본 발명의 내부 네트워크에 포함되는 호스트들은 하나 이상의 타입으로 설정될 수 있고, 호스트들의 수는 다양하게 설정될 수 있다.
라우터(104)(또는 스위치)는 내부 네트워크를 임의의 외부 네트워크와 연결한다. 일례로, 라우터(104)는 방화벽(102)을 경유하여 인터넷에 접속되고, 이에 따라 내부 네트워크는 인터넷을 경유하여 임의의 외부 네트워크(또는 단말 등)에 접속될 수 있다.
내부 포워딩부(140)는 호스트들(108 내지 112) 각각에 포함된 포워딩 에이전트(FA)로부터의 접속정보에 대응하여, 포트 포워딩 정보를 설정한다. 즉, 내부 포워딩부(140)는 포워딩 에이전트(FA)의 접속정보에 대응하여 자동적으로 포트 포워딩 정보를 설정한다. 이 경우, 내부 네트워크망(116)에 접속되는 제1 단말(120)은 내부 포워딩부(140)에 설정된 포트 포워딩 정보에 대응하여 제2 호스트(108) 내지 제4 호스트(112)에 접속될 수 있다.
한편, 공인 IP를 할당받는 제1 호스트(106)는 별도의 포트 포워딩 없이 제1 단말(120)과 통신 가능하다.
따라서, 내부 포워딩부(140)는 제1 호스트(106)와 관련하여 별도의 포트 포워딩 정보를 생성하지 않는 것으로 설명하였지만, 본원 발명이 이에 한정되지는 않는다. 일례로, 방화벽(102)을 경유하여 외부망과 접속될 수 있도록 제1 호스트(106)의 포트 포워딩 정보가 내부 포워딩부(140)에 설정될 수 있다.
방화벽(102)은 외부망으로부터 미리 설정된 정책에 맞는 세션만 내부 네트워크로 통신되도록 제어함으로써, 외부망으로부터 내부 네트워크를 보호한다. 일례로, 방화벽(102) 외부에 위치된 제2 단말(130)은 방화벽(102)의 패킷 필터링에 기능에 의하여 내부 네트워크와의 통신이 차단될 수 있다.
한편, 도 1b와 같이 포트 포워딩 제어장치에 내부 포워딩부(140)가 포함되더라도, 방화벽(102)의 외부에 위치된 제2 단말(130)은 내부 네트워크에 접근하기 어렵다.
본 발명은 외부에 위치한 단말이 내부망에 존재하는 데스크톱 서비스를 이용하기 위한 방법을 제공한다.
예를 들어, 본 발명의 다른 실시예에 의한 포트 포워딩 제어장치는 호스트들(106', 108, 110, 112), 라우터(104), 내부 포워딩부(140) 및 외부 포워딩부(150)를 구비할 수 있다.
호스트들(106', 108, 110, 112) 각각은 포워딩 에이전트(FA)를 포함한다. 호스트들(106', 108, 110, 112) 각각에 포함된 포워딩 에이전트(FA)는 자신이 포함된 호스트(106', 108, 110, 112중 어느 하나)의 접속정보를 내부 포워딩부(140)로 전달한다.
내부 포워딩부(140)는 포워딩 에이전트(FA)로부터의 접속정보에 대응하여 포트 포워딩 정보(또는 내부 포트 포워딩 정보)를 설정한다. 그리고, 내부 포워딩부(140)는 포트 포워딩 정보를 외부 포워딩부(150)로 전달한다.
외부 포워딩부(150)는 방화벽(102)의 외부에 위치된다. 이와 같은 외부 포워딩부(150)는 내부 포워딩부(140)로부터의 포트 포워딩 정보를 기반으로 포트 포워딩 정보(또는 외부 포트 포워딩 정보)를 설정한다.
외부 포워딩부(150)는 자신에게 저장된 포트 포워딩 정보에 대응하여 제 2단말(130)로부터의 패킷을 내부 포워딩부(140)로 전달한다. 내부 포워딩부(140)는 자신에게 저장된 포트 포워딩 정보에 대응하여 외부 포워딩부(150)로부터 전달된 패킷을 특정 호스트(106' 내지 112 중 어느 하나)로 공급할 수 있다.
한편, 클라우드 기반의 서비스가 활성화되면서 개인용 컴퓨터를 가상화하고 이를 클라우드 내부에 배치하여 활용하는 데스크톱 서비스가 확대되고 있다. 그러나 클라우드 망은 기본적으로 사설망으로 관리되어 외부와 차단되고 클라우드 내부에서 동작하는 데스크톱 서비스들은 사설망을 위해 할당된 IP 주소를 이용하여 동작한다. 사설망 내에서 사설망 바깥에 있는 서비스를 인터넷을 통하여 활용하는 것은 가능하지만 외부에 있는 인터넷 망에 존재하는 사용자가 사설망 내부에 있는 데스크톱 서비스에 접속하는 것은 여러가지 어려운 문제를 가지고 있다. 이러한 어려움을 해결하기 위하여 포트 포워딩 또는 사설망 내부에 중계 서버를 이용하는 방법 등이 제공되고 있다.
도 2는 도 1a 및 도 1b에서 상술한 포트 포워드 방법을 단순화하여 설명하기 위한 도면이다.
과거에는 가정이나 회사에서 보통 컴퓨터 한 대만 사용하고 스마트폰이 없었기 때문에 인터넷을 설치한다고 하더라도 모뎀만 있으면 컴퓨터에 인터넷을 연결할 수 있었다. 최근 들어서는 가족 구성원 한 명마다 컴퓨터를 사용하거나 스마트폰을 이용한 인터넷을 위해서 유무선 공유기를 사용한다. 단순히 인터넷을 사용하기만 한다면 공유기는 아무런 문제를 일으키지 않지만, 내가 어떤 서비스나 서버를 구축하게 된다면 공유기가 큰 문제가 된다.
인터넷을 사용하기 위해서는 전세계적으로 사용되는 아이피(IP) 주소가 있어야 한다. 아이피는 고유한 값이기 때문에 중복되는 주소를 가지지 않는다. 그렇지만 전세계의 모든 장비에 아이피를 할당하기에는 현재의 아이피 체계가 많이 부족하다. 0~255까지의 숫자 4개로 구성되는 IPv4는 2의 32제곱, 즉 4,294,967,296(약 42억)개의 주소만 할당할 수 있다. 그렇기 때문에 굳이 전세계적으로 네트워크가 필요하지 않은 장비들에 대해서는 별도의 사설 네트워크를 구축하게 된다.
앞서 언급한 인터넷이 가능한 아이피를 공인(Public) 아이피라고 한다. 이러한 공인 아이피는 고유한 값으로 인터넷을 사용하는 기기에 하나씩 할당된다. 그런데, 이런 공인 아이피에서 몇몇 아이피 대역은 사용되지 않습니다. 10.x.x.x 대역, 172.16~31.x.x대역, 그리고 192.168.x.x 대역이 모두 사용되지 않는다. 이러한 아이피 대역은 회사나 개인 등이 별도로 구축하게 될 사설 네트워크(또는 사설망)에서만 이용된다. 사설 네트워크는 전세계적인 인터넷이 아닌 국지적인 네트워크로써 굳이 인터넷이 필요하지 않은 경우에 사용된다. 본래 이러한 사설 네트워크를 구축하기 위해서는 DHCP 서버와 라우터 등등이 필요하지만, 이러한 기능이 하나로 뭉쳐있는 개인용 장비가 바로 공유기이다.
공유기의 역할은 공유기에 연결되는 모든 기기들에 사설 네트워크를 구축해주는 것이다. 사설 네트워크이기 때문에 위에서 언급했던 공인 아이피 대역을 사용하지 않고 사설 아이피 대역을 이용하게 된다. 주로 이용되는 아이피 대역이 바로 192.168.x.x 이다. 이처럼 192.168로 시작되는 아이피 주소를 가진 장비는 인터넷에 접속하기 위해서 반드시 공인 아이피를 보유한 장비가 필요하다. 공유기는 사설 네트워크를 만들면서 동시에 공인 아이피를 하나 할당 받는다. 그래서 공유기에 연결된 모든 장비는 인터넷에 접근하기 위해서 반드시 공유기를 거쳐야만 한다.
공유기 하나에 단말 1에서 인터넷에 접근하기 위해서는 공유기를 거쳐야만 한다. 단말 1에 웹서버를 80번 포트로 열었다고 가정하는 경우, 인터넷을 통해서 다른 사람들이 단말 1의 웹서버에 접근하기 위해서 단말 1의 아이피를 알려줄 수는 없다. 사설 아이피 대역은 여기 저기서 사용하기 때문에 공인 아이피처럼 특정한 기기를 가리키지 않기 때문이다. 그래서 공유기가 보유한 공인 아이피를 알려줘야 한다. 공인 아이피의 80번 포트로 들어오는 연결은 공유기에 도달하면 끝나버린다. 왜냐하면 공인 아이피로 들어온 80번 포트의 연결을 공유기에서 단말 1, 2, 3 중에 어떤 곳으로 보내줘야 할 것인지를 판단하지 못하기 때문이다. 그렇기 때문에 공인 아이피로 들어오는 80번 포트의 연결을 단말 1의 80번 포트로 연결하라고 공유기에 설정을 해야 하는 것이며, 이것을 포트 포워딩이라고 한다.
포트 포워딩을 이용하는 경우, 사설망 내부에 존재하는 원격접속 데스크톱 서비스는 원격접속을 위하여 컴퓨터마다 다른 포트를 할당한다. 사설망을 관리하는 라우터는 원격 접속을 위해 외부에서 미리 약속된 포트로 접속하는 모든 패킷은 미리 약속된 IP를 사용하는 데스크톱 서비스로 전달하여 외부에서 사설망 내부로 접속할 수 있도록 연결을 허용할 수 있다. 그러나 이러한 방법은 컴퓨터마다 포트를 할당하고 할당된 포트를 외부에서 접근하고자하는 사용자도 미리 약속된 정보로 알고 있어야하는 불편함이 있다.
도 3은 사설망 내부에 중계 서버를 이용하는 방법을 설명하기 위한 도면이다.
사설망 내부에 중계 서버를 이용하는 방법은 마이크로소프트가 제시한 방법(특허출원번호 10-2004-0039190)으로 포털을 통하여 사용자 단말이 접속가능한 데스크톱 서비스를 제공하고 사용자 단말이 특정 데스크톱 서비스를 선택하면 사설망 내부에 있는 서버가 해당 사용자의 트래픽과 사설망 내부에 있는 데스크톱 서비스의 트래픽을 수신하기 위한 쓰레드를 만들어서 외부에 있는 사용자 단말과 내부에 있는 데스크톱 서비스 사이의 트래픽을 중계해주는 방법이다. 이 방법은 내부의 서버가 양쪽 트래픽을 수신하여 다시 중계해주는 방법을 취하고 있으므로 많은 부하가 한꺼번에 몰리는 경우 효율이 크게 저하될 수 있는 단점이 있다.
도 4는 본 발명의 일 실시 예에 따른 사설망 접속 제어장치를 포함한 시스템을 설명하기 위한 도면이고, 도 5는 본 발명의 일 실시 예에 따른 제어 방법을 설명하기 위한 흐름도이다.
사설망 접속 제어장치는 사설망이 아닌 외부에 위치한 사용자 단말이 인터넷 망을 통하여 사설망 내에 위치하는 컴퓨팅 장치에 접속해 컴퓨팅 장치에 대한 원격 서비스를 이용하게 하는 기능을 수행한다. 상기 원격 서비스에는 다양한 기능들이 포함될 수 있으나, 설명의 편의를 위하여 원격 데스크톱 서비스인 경우를 예로 들어 설명한다.
클라우드 환경에서 원격 데스트톱 서비스는 보통 사설망 내부에 존재하며 상기 설명한 방법 등으로 접근 가능하다. 그러나 현재의 클라우드 망은 사설망 환경이 이중 삼중으로 겹겹히 둘러싸이는 구조로 점차 복잡해지고 있으며 이러한 환경에서는 보다 단순하고 효율적인 방법으로 성능을 개선할 필요성이 높아지고 있다.
이를 해결하기 위하여, 사용자 단말은 사설망 내부에 있는 사설망 접속 제어장치에서 운영하는 로그인 포털을 통하여 회원가입을 수행한다(S510).
회원가입시 사용자 단말이 사용하고자 하는 원격 데스크톱 서비스 정보, 원격 데스크톱 서비스가 위치한 노드의 사설망 IP 주소를 포함하는 사용자 정보가 사설망 접속 제어장치의 메모리에 저장될 수 있다.
다음으로, 사용자 단말은 사설망 내부에 있는 서버에서 운영하는 로그인 포털을 통하여 사설망에 접속가능한 서버로 접근하고, 로그인을 수행한다(S530). 로그인 포털의 주소는 사설망에 접근할 수 있는 특정 주소로 고정되어 있으며 현재 이미 알려져 있는 방법을 이용하여 사설망 내부에 특정 서비스를 제공하는 포털을 설치할 수 있다. 포털 서비스에 접근할 수 있는 IP 주소는 외부에 알려져 있으므로 누구나 접속 가능하다.
사용자 단말이 로그인이 되면 포털을 통해 접속한 사용자가 누구인지 알 수 있으며 사용자 패킷을 통하여 사용자가 사용하는 IP 정보를 획득할 수 있다. 원격 데스크톱 서비스는 특정한 사용자와 1대1로 대응되어 제공되기 때문에 사용자 정보를 이용하면 사용자와 대응되는 원격 데스크톱 서비스가 무엇인지도 파악할 수 있다. 내부 관리정보를 이용하여 현재 대응되는 원격 데스크톱 서비스가 어떤 클라우드 컴퓨팅 노드에 배치되어 있는지 알 수 있으며 해당되는 컴퓨팅 노드의 IP 주소 혹은 접근하기 위해 대표되는 IP 주소(보통은 게이트웨이 혹은 라우터주소)를 알 수 있다. 그러므로 로그인된 사용자 정보를 활용하면 사용자 단말의 IP 주소와 사설망 내부의 사용자를 위한 원격 데스크톱 서비스, 해당 서비스가 배치되어 있는 클라우드 컴퓨팅 노드의 IP주소, 접근 경로에 대한 정보를 알 수 있다.
다음으로, 사설망 접속 제어장치는 획득한 사용자 단말의 IP주소를 이용하여 사설망과 외부를 연결하는 라우터(혹은 게이트웨이)의 설정정보를 다음과 같이 변경하여 원격 데스크톱 서비스를 제공한다(S550).
사용자 단말에서 사설망으로 전송되어 오는 패킷은 사설망 내부에 있는 대응되는 원격 데스크톱 서비스가 위치한 컴퓨팅 노드의 IP 주소를 목적지 주소로 하여 사설망 내부로 전달되도록 한다. 원격 데스크톱 서비스가 사용자에게 보내는 패킷은 현재 NAT에서 사용하는 방법과 동일하게 사용자 단말의 IP 주소를 목적지로 하여 사설망 외부로 전송 가능 하다.
호스트는 설정이 변경된 라우터를 통해 사용자 단말로 원격 데스크톱 서비스를 제공한다(S570).
만약 복수의 사용자 단말이 동일한 사설망 내에 존재하는 경우, 동일한 출발 주소를 가질 수 있다. 이러한 경우에 대비하기 위하여 동일한 출발 주소를 가진 복수의 사용자 단말이 사설망 내부에 존재하는 원격 데스크톱 서비스에 접속할 때 원격 데스크톱 서비스가 제공되는 컴퓨팅 노드를 다르게 배치하거나 혹은 다른 주소를 가지는 컨테이터를 통하여 서비스를 제공함으로써 별도의 추가적인 장치나 동작 없이 현재 이미 사용되고 있는 NAT를 이용하여 서비스가 원활히 제공되도록 할 수 있다.
보다 구체적으로, 사설망 접속 제어장치는 상기 사설망 내에 존재하면서 상기 원격 데스크톱 서비스에 접속하는 제1 사용자 단말 및 제2 사용자 단말을 탐색하는 단계, 상기 원격 데스크톱 서비스를 제공하는 노드를 상기 제1 사용자 단말에 대응하는 제1 노드와 상기 제2 사용자 단말에 대응하는 제2 노드로 다르게 배치하는 단계 및 상기 제1 노드를 통해 상기 제1 사용자 단말로 상기 원격 데스크톱 서비스를 제공하고, 상기 제2 노드를 통해 상기 제2 사용자 단말로 상기 원격 데스크톱 서비스를 제공하는 단계를 추가적으로 수행할 수 있다.
고전적인 방법은 포트 포워딩인데 이 방법은 외부에서 들어오는 특정 포트를 가진 트래픽을 NAT 내부에 있는 오직 하나의 서버로만 보낼 수 있다는 한계가 있다.
이 때문에, 마이크로 소프트가 새로운 방법을 제시한 것인데 마이크로 소프트에서 제시한 방법은 서버 프로그램이 있어서 모든 연결을 받아주고 트래픽을 읽은 뒤에 다시 서버로 전송하는 방법이다. 이 방법에 의할 경우, 트래픽은 읽은 부분과 보내는 부분으로 구성된다.
본 발명에서 제안하는 방법은 읽은 뒤 전달하는 것이 아니라 트래픽의 주소값을 사용자에 따라 미리 정해진 룰에 의해 바꾸어주어서 원격 데스크탑 사용자 단말이 자신의 서버로 트래픽을 바로 보낼 수 있도록 하는 것이다. 이때 사용자와 주소값은 1:1로 맵핑(mapping) 되고 그 정보는 사용자 단말이 사용자 계정을 만들거나 관리자가 계정을 만들 때 미리 정해주는 것이다.
마이크로소프트의 방법은 읽고 다시 보내기때문에 지연이 걸리고 복잡한 프로그램이 필요하지만, 본 발명은 주소 값만 바꿔주는 것이므로 그럴 필요가 없다. 이로써, 본 발명은 외부에서 사용자 단말이 사설망 혹은 클라우드 컴퓨팅 내부망에 존재하는 원격 데스크톱 서비스에 빠르고 효율적으로 접속할 수 있다.
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드(또는, 애플리케이션이나 소프트웨어)로서 구현하는 것이 가능하다. 상술한 진단 시스템의 제어 방법은 메모리 등에 저장된 코드에 의하여 실현될 수 있다.
컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 상기 컴퓨터는 프로세서 또는 프로세서를 포함할 수도 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.

Claims (6)

  1. 인터넷 망을 통하여 포털에 접속한 사용자 단말에 대한 로그인을 수행하는 단계;
    상기 사용자 단말이 로그인 하는 것에 응답하여, 상기 사용자 단말에 대한 사용자 정보를 획득하는 단계;
    상기 사용자 정보를 이용하여 사용자를 사설망 IP 주소와 직접 맵핑하여 상기 인터넷 망과 사설망을 연결하는 라우터의 설정을 변경하는 단계; 및
    상기 라우터를 이용하여 상기 사설망에 위치하는 원격 서비스를 상기 사용자 단말로 제공하는 단계를 포함하고,
    상기 라우터의 설정을 변경하는 단계는,
    상기 사용자 단말에서 상기 사설망으로 전송되어 오는 패킷의 목적지 주소를 상기 원격 서비스가 위치한 노드의 사설망 IP 주소로 설정하는 단계; 및
    상기 원격 서비스가 상기 사용자 단말로 보내는 패킷의 목적지 주소를 상기 사용자 단말의 인터넷 망 IP 주소로 설정하는 단계를 포함하는 것을 특징으로 하는 사설망 접속 제어장치의 제어 방법.

  2. 삭제
  3. 제1항에 있어서,
    상기 사용자 정보는,
    상기 사용자 단말의 상기 인터넷 망 IP 주소, 상기 사용자 단말이 사용하고자 하는 원격 서비스 정보, 상기 원격 서비스가 위치한 노드의 사설망 IP 주소를 포함하는 것을 특징으로 하는 사설망 접속 제어장치의 제어 방법.
  4. 제1항에 있어서,
    상기 포털은 상기 사설망에 접속된 서버에서 운영되며, 상기 포털의 주소는 상기 인터넷 망에서 상기 사설망으로 접근할 수 있는 특정 주소로 고정되어 있는 것을 특징으로 하는 사설망 접속 제어장치의 제어 방법.
  5. 제1항에 있어서,
    상기 사설망 내에 존재하면서 상기 원격 서비스에 접속하는 제1 사용자 단말 및 제2 사용자 단말을 탐색하는 단계;
    상기 원격 서비스를 제공하는 노드를 상기 제1 사용자 단말에 대응하는 제1 노드와 상기 제2 사용자 단말에 대응하는 제2 노드로 다르게 배치하는 단계; 및
    상기 제1 노드를 통해 상기 제1 사용자 단말로 상기 원격 서비스를 제공하고, 상기 제2 노드를 통해 상기 제2 사용자 단말로 상기 원격 서비스를 제공하는 단계를 포함하는 것을 특징으로 하는 사설망 접속 제어장치의 제어 방법.
  6. 서로 다른 원격 서비스를 제공하는 복수의 호스트들;
    사설망에 의하여 상기 호스트들과 접속되며, 상기 사설망을 인터넷 망과 접속시키기 위한 라우터; 및
    상기 사설망에 의하여 상기 호스트들과 접속되며, 상기 사설망에 접속되는 사용자 단말이 상기 호스트들 중 적어도 하나가 제공하는 원격 서비스를 이용할 수 있도록 사용자 정보를 이용하여 사용자를 사설망 IP 주소와 직접 맵핑하여 상기 라우터의 설정을 변경하는 사설망 접속 제어장치를 구비하는 것을 특징으로 하고,
    상기 사설망 접속 제어장치는 상기 사용자 단말에서 상기 사설망으로 전송되어 오는 패킷의 목적지 주소를 상기 서로 다른 원격 서비스가 위치한 노드의 사설망 IP 주소로 설정하고, 상기 서로 다른 원격 서비스가 상기 사용자 단말로 보내는 패킷의 목적지 주소를 상기 사용자 단말의 인터넷 망 IP 주소로 설정하여 상기 라우터의 설정을 변경하는 것을 특징으로 하는 사설망 접속 제어시스템.
KR1020210022145A 2021-01-27 2021-02-18 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법 KR102595308B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2022/001397 WO2022164201A1 (ko) 2021-01-27 2022-01-26 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210011554 2021-01-27
KR20210011554 2021-01-27

Publications (2)

Publication Number Publication Date
KR20220108676A KR20220108676A (ko) 2022-08-03
KR102595308B1 true KR102595308B1 (ko) 2023-11-07

Family

ID=82847252

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210022145A KR102595308B1 (ko) 2021-01-27 2021-02-18 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법

Country Status (1)

Country Link
KR (1) KR102595308B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116896583A (zh) * 2023-07-17 2023-10-17 博智安全科技股份有限公司 一种远程控制方法、装置、电子设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5793763A (en) * 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US7676675B2 (en) * 2003-06-06 2010-03-09 Microsoft Corporation Architecture for connecting a remote client to a local client desktop

Also Published As

Publication number Publication date
KR20220108676A (ko) 2022-08-03

Similar Documents

Publication Publication Date Title
JP6306640B2 (ja) 管理されたコンピュータネットワークのための論理ネットワーキング機能の提供
US10547463B2 (en) Multicast helper to link virtual extensible LANs
EP2745474B1 (en) Virtualization gateway between virtualized and non-virtualized networks
CN106462408B (zh) 到云计算环境中的工作空间的低延迟连接
JP5953421B2 (ja) 仮想サーバおよび非仮想サーバ混在環境におけるテナントネットワーク構成の管理方法
US11240152B2 (en) Exposing a subset of hosts on an overlay network to components external to the overlay network without exposing another subset of hosts on the overlay network
US8667574B2 (en) Assigning a network address for a virtual device to virtually extend the functionality of a network device
US11196707B2 (en) Managing communications between computing nodes
CN114338606B (zh) 一种公有云的网络配置方法及相关设备
KR102595308B1 (ko) 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법
US20110276673A1 (en) Virtually extending the functionality of a network device
Bakshi Network considerations for open source based clouds
WO2022164201A1 (ko) 인터넷 망의 사용자 단말이 원격 서비스를 실행하기 위하여 사설망에 접속할 수 있도록 하는 사설망 접속 제어장치 및 그것의 제어 방법
US20180248715A1 (en) Computer system, gateway apparatus control method and storage medium
JP5952229B2 (ja) 管理装置、経路情報生成方法および経路情報生成プログラム
CN116420345A (zh) Vxlan覆盖结构中的dhcp第二层中继

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant