KR20020055283A - Internet protocol routing block method for ethernet switch - Google Patents

Internet protocol routing block method for ethernet switch Download PDF

Info

Publication number
KR20020055283A
KR20020055283A KR1020000084704A KR20000084704A KR20020055283A KR 20020055283 A KR20020055283 A KR 20020055283A KR 1020000084704 A KR1020000084704 A KR 1020000084704A KR 20000084704 A KR20000084704 A KR 20000084704A KR 20020055283 A KR20020055283 A KR 20020055283A
Authority
KR
South Korea
Prior art keywords
address
packet
routing
flag
internet protocol
Prior art date
Application number
KR1020000084704A
Other languages
Korean (ko)
Inventor
김남호
Original Assignee
구자홍
엘지전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 구자홍, 엘지전자주식회사 filed Critical 구자홍
Priority to KR1020000084704A priority Critical patent/KR20020055283A/en
Publication of KR20020055283A publication Critical patent/KR20020055283A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches
    • H04L49/604Hybrid IP/Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Abstract

PURPOSE: An Internet protocol routing block method in an Ethernet switch is provided to compare a domain address of the received IP(Internet Protocol) packet with an IP address of a system, thereby determining the connection or interruption. CONSTITUTION: A routing flag relating to the allowance or interruption of communication between an another domain or a virtual LAN(Local Area Network) is previously set(S20). When a setup process is completed and then a packet of an IP is received(S21), it is discriminated whether the routing flag is set to the packet as allowance or interruption(S22). If the routing flag is set as the allowance, a process is performed within the system(S24) and if the routing flag is set as the interruption, it is discriminated whether the IP address of the reception area is the same as the system IP address(S23). If the IP address of the reception area is the same as the system IP address, a process is performed within the system(S24). If the IP address of the reception area is not the same as the system IP address, the received packet is deleted and returned to the initial process(S25).

Description

이더넷 스위치에서의 인터넷 프로토콜 라우팅 블록방법{INTERNET PROTOCOL ROUTING BLOCK METHOD FOR ETHERNET SWITCH}INTERNET PROTOCOL ROUTING BLOCK METHOD FOR ETHERNET SWITCH}

본 발명은 이더넷 스위치에서의 인터넷 프로토콜 라우팅 블록방법에 관한 것으로, 특히 이더넷 스위치에서 다른 인터넷 프로토콜 도메인(Internet Protocol Domain) 또는 가상 근거리 통신망(VLAN)간 통신을 연결 또는 차단을 설정하도록 하는 이더넷 스위치에서의 인터넷 프로토콜 라우팅 블록방법에 관한 것이다.The present invention relates to an Internet protocol routing block method in an Ethernet switch, and more particularly, to an Ethernet switch configured to connect or block communication between another Internet Protocol Domain or a virtual local area network (VLAN) in an Ethernet switch. An internet protocol routing block method is provided.

종래에 있어서 다른 IP 도메인 또는 가상 근거리 통신망간 통신을 제어하기 위해서는 IP 라우터(또는 이더넷 스위치) 등의 IP 라우팅 기능에 IP 필터링(Filtering) 이라는 기능을 이용하였다.In the related art, in order to control communication between different IP domains or virtual local area networks, an IP filtering function is used for an IP routing function such as an IP router (or an Ethernet switch).

상기에서 IP 필터링 기능은 여러가지 방법을 사용하여 각 IP 패킷(Packet)을 필터링할 수 있는 설정을 하고, 설정된 각각의 경우에 대하여 인더넷 스위치를 경유하는 모든 패킷에 대하여 필터링을 위하여 설정된 값에 따라 분석하여 해당 IP패킷을 처리한다. 이때 필터링을 위하여 설정된 값들은 필터링을 위한 데이터베이스 또는 구조(structure)에 저장되어 있어야 된다.The IP filtering function is configured to filter each IP packet using various methods, and for each set case, the IP filtering function is analyzed according to the set value for filtering all packets passing through the Ethernet switch. Process the IP packet. At this time, the values set for filtering should be stored in a database or structure for filtering.

종래 기술의 동작 설명을 첨부한 도 1을 참조하여 자세히 설명하면 메뉴 또는 기타 관리방법을 통한 각 패킷의 필터링 하기 위한 데이터베이스의 구축은 사용자가 임의로 설정이 가능하다(다양한 방법으로 설정이 가능하다)(S10).Referring to FIG. 1 attached to the operation description of the prior art, the construction of a database for filtering each packet through a menu or other management method can be arbitrarily set by the user (it can be set in various ways) ( S10).

이후, 시스템을 경유하는 모든 패킷을 분석하는데 IP 패킷이 수신되면(S11) 패킷 필터링을 하는가를 판단하고(S12), 이 판단결과 패킷 필터링인 경우에는 기 설정한 IP 데이터베이스에 따라 패킷을 처리한다(S13).After that, when all the packets passing through the system are analyzed and the IP packet is received (S11), it is determined whether packet filtering is performed (S12). In the case of packet filtering, the packet is processed according to a predetermined IP database (S12). S13).

그러나, 상기 판단결과 패킷 필터링이 아닌 경우에는 일반적인 방법으로 IP 패킷을 처리한다(즉, 기 설정한 필터링 방법에 따른 각각의 조건을 검사한 후, 해당 조건에 따라 처리한다, S14).However, if the result of the determination is not packet filtering, the IP packet is processed in a general manner (that is, after checking each condition according to the preset filtering method, the process is performed according to the corresponding condition, S14).

그러나, 상기에서와 같이 종래의 기술에 있어서는 IP 패킷의 필터링을 위한 데이터베이스 구축이 매우 복잡하고, 관리자에게 IP 패킷의 구성에 대한 숙련된 지식을 요구하며, 또한 필터링에 따른 오버헤드(overhead, 시스템에서 원하는 어떤 효과를 얻기 위해서 취하는 행동에 필요한 동작이나 자원으로, 적정한 한도 밑으로 유지되어야 하는 성질을 가지고 있으며, 하드 디스크 기억장치에서도 이런 문제가 발생되는데, 디스크 장치가 갖는 능력의 10%정도 좌우 하므로, 이 시간이 적을수록 성능은 향상된다)로 인한 처리속도의 저하 등의 문제점이 있었다.However, in the prior art as described above, the database construction for filtering IP packets is very complicated, requires an administrator knowledge of the construction of IP packets, and the overhead of filtering. It is the action or resource required for the action to achieve the desired effect, and it has the property to be kept under the proper limit, and this problem occurs in the hard disk storage, which depends on 10% of the capacity of the disk device. The smaller the time, the better the performance).

따라서, 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위하여 창안한 것으로, 수신한 IP 패킷의 도메인 IP 어드레스를 시스템의 IP 어드레스와 비교하여 연결 또는 차단을 결정하도록 하는 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention has been made to solve the above problems of the prior art, and provides a method for determining a connection or blocking by comparing a domain IP address of a received IP packet with an IP address of a system. have.

도 1은 종래 기술에 따른 동작 흐름을 보인 예시도.1 is an exemplary view showing an operation flow according to the prior art.

도 2는 본 발명에 따른 동작 흐름을 보인 예시도.2 is an exemplary view showing an operation flow according to the present invention.

이와 같은 목적을 달성하기 위한 본 발명 이더넷 스위치에서의 인터넷 프로토콜 라우팅 블록방법은 다른 도메인 또는 가상 근거리 통신망(VLAN)간의 통신의 허용 또는 차단에 대한 라우팅 플래그를 미리 설정하는 플래그설정단계와;In order to achieve the above object, an internet protocol routing block method of an Ethernet switch of the present invention includes: a flag setting step of presetting a routing flag for allowing or blocking communication between another domain or a virtual local area network (VLAN);

상기 플래그설정단계의 설정동작이 완료되고, 인터넷 프로토콜(IP) 패킷이 수신되면 라우팅 플래그가 허용 또는 차단으로 설정되어 있는가를 판단하는 설정판단단계와;A setting determination step of determining whether the routing flag is set to allow or block when the setting operation of the flag setting step is completed and an Internet Protocol (IP) packet is received;

상기 설정판단단계의 판단결과에 따라 시스템 내에서 처리를 수행하도록 하거나, 수신지 IP 주소와 시스템 IP 주소가 동일한 가를 판단하는 주소확인단계와;An address verification step of performing processing in the system according to the determination result of the setting determination step or determining whether the destination IP address and the system IP address are the same;

상기 주소확인단계의 판단결과에 따라 시스템 내에서 처리를 수행하도록 하거나, 수신한 해당 패킷을 처리하지 않고 삭제하는 블록수행단계로 이루어진 것을 특징으로 한다.According to the determination result of the address verification step, the processing is performed in the system, or a block performing step of deleting the received corresponding packet without processing.

이하. 본 발명에 따른 일실시예를 첨부한 도면을 참조하여 상세히 설명하면 다음과 같다.Below. When described in detail with reference to the accompanying drawings an embodiment according to the present invention.

도 2는 본 발명에 따른 동작 흐름을 보인 예시도로서, 이에 도시한 바와 같이 다른 도메인 또는 가상 근거리 통신망(VLAN)간의 통신의 허용 또는 차단에 대한 라우팅 플래그를 미리 설정하는데(S20), 예를 들어 다음과 같이 설정한다.FIG. 2 is an exemplary view illustrating an operation flow according to the present invention. As shown in FIG. 2, a routing flag for allowing or blocking communication between different domains or a virtual local area network (VLAN) is set in advance (S20). Set it as follows:

Routing_Flag = 1 : 다른 도메인 간 통신을 허용하는 경우Routing_Flag = 1: To allow communication between different domains

Routing_Flag = 0 : 다른 도메인 간 통신을 차단하는 경우Routing_Flag = 0: to block communication between different domains

이후, 설정동작이 완료되고, 인터넷 프로토콜(IP) 패킷이 수신되면(S21), 이 패킷에 라우팅 플래그가 허용(Routing_Flag = 1) 또는 차단(Routing_Flag = 0)으로 설정되어 있는가를 판단한다(S22).Thereafter, when the setting operation is completed and an Internet Protocol (IP) packet is received (S21), it is determined whether the routing flag is set to allow (Routing_Flag = 1) or blocking (Routing_Flag = 0) in the packet (S22).

상기 판단결과 라우팅 플래그가 허용(Routing_Flag = 1)으로 설정되어 있는 경우에는 시스템 내에서 처리를 수행하도록 하고(S24), 상기 판단결과 차단(Routing_Flag = 0)으로 설정되어 있으면 수신지 IP 주소와 시스템 IP 주소가 동일한 가를 판단한다(S23).If the result of the determination is that the routing flag is set to allow (Routing_Flag = 1), processing is performed in the system (S24). If the determination result is set to blocking (Routing_Flag = 0), the destination IP address and the system IP are set. It is determined whether the addresses are the same (S23).

이 판단결과 동일한 경우에는 시스템 내에서 처리를 수행하도록 하고(S24), 동일하지 않는 경우에는 수신한 해당 패킷을 처리하지 않고 삭제한 후 처음 단계(S22)로 되돌아 간다(S25).As a result of this determination, the processing is performed in the system if it is the same (S24). If not, the processing returns to the first step (S22) after deleting the received corresponding packet without processing the processing (S25).

이상에서 설명한 바와 같이 본 발명 이더넷 스위치에서의 인터넷 프로토콜 라우팅 블록방법은 간단한 설정 변경만으로 통신 가능 여부를 설정할 수 있어 관리자에게 많은 지식을 요구하지 않으며, 또한 시스템을 경유하는 모든 패킷에 대하여 IP 필터링 기능을 위해 설정된 값에 대한 패킷 분석이 필요 없이 간단한 플래그 값만을 확인하여 통신가능 여부를 결정하기 때문에 시스템의 트랙픽 양과 관계없이 시스템의 부하를 최소화 하는 등의 효과가 있다.As described above, the Internet protocol routing block method of the Ethernet switch of the present invention can set whether or not communication is possible by simply changing a configuration, and does not require much knowledge from the administrator, and also provides an IP filtering function for all packets passing through the system. It is possible to minimize the load of the system regardless of the amount of traffic because it determines whether communication is possible by checking only a simple flag value without the need of packet analysis of the set value.

Claims (1)

다른 도메인 또는 가상 근거리 통신망(VLAN)간의 통신의 허용 또는 차단에 대한 라우팅 플래그를 미리 설정하는 플래그설정단계와;A flag setting step of presetting a routing flag for allowing or blocking communication between another domain or a virtual local area network (VLAN); 상기 플래그설정단계의 설정동작이 완료되고, 인터넷 프로토콜(IP) 패킷이 수신되면 라우팅 플래그가 허용 또는 차단으로 설정되어 있는가를 판단하는 설정판단단계와;A setting determination step of determining whether the routing flag is set to allow or block when the setting operation of the flag setting step is completed and an Internet Protocol (IP) packet is received; 상기 설정판단단계의 판단결과에 따라 시스템 내에서 처리를 수행하도록 하거나, 수신지 IP 주소와 시스템 IP 주소가 동일한 가를 판단하는 주소확인단계와;An address verification step of performing processing in the system according to the determination result of the setting determination step or determining whether the destination IP address and the system IP address are the same; 상기 주소확인단계의 판단결과에 따라 시스템 내에서 처리를 수행하도록 하거나, 수신한 해당 패킷을 처리하지 않고 삭제하는 블록수행단계로 이루어진 것을 특징으로 하는 이더넷 스위치에서의 인터넷 프로토콜 라우팅 블록방법.And a block performing step of performing processing in the system or deleting the received packet without processing the received packet according to the determination result of the address verification step.
KR1020000084704A 2000-12-28 2000-12-28 Internet protocol routing block method for ethernet switch KR20020055283A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020000084704A KR20020055283A (en) 2000-12-28 2000-12-28 Internet protocol routing block method for ethernet switch

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020000084704A KR20020055283A (en) 2000-12-28 2000-12-28 Internet protocol routing block method for ethernet switch

Publications (1)

Publication Number Publication Date
KR20020055283A true KR20020055283A (en) 2002-07-08

Family

ID=27688041

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020000084704A KR20020055283A (en) 2000-12-28 2000-12-28 Internet protocol routing block method for ethernet switch

Country Status (1)

Country Link
KR (1) KR20020055283A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100789444B1 (en) * 2006-09-29 2007-12-28 엘에스산전 주식회사 A communication packet processing apparatus and method for ring topology ethernet network capable of preventing permanent packet looping

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100789444B1 (en) * 2006-09-29 2007-12-28 엘에스산전 주식회사 A communication packet processing apparatus and method for ring topology ethernet network capable of preventing permanent packet looping

Similar Documents

Publication Publication Date Title
US11683214B2 (en) Network operating system for managing and securing networks
US9407605B2 (en) Routing a packet by a device
KR100437169B1 (en) Network traffic flow control system
US7665128B2 (en) Method and apparatus for reducing firewall rules
EP4362403A2 (en) A method for deep packet inspection in software defined networks
US20070055789A1 (en) Method and apparatus for managing routing of data elements
WO2005036831A1 (en) Frame relay device
EP1348285B1 (en) Progressive and distributed regulation of selected network traffic destined for a network node
AU2002327757A1 (en) Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
WO2005117327A2 (en) A system, method, and computer program product for updating the states of a firewall
US7463593B2 (en) Network host isolation tool
JPH10154998A (en) Packet traffic reduction process and packet traffic reduction device
CN108737217B (en) Packet capturing method and device
JP2004242222A (en) Method and apparatus of network control
US20070147397A1 (en) Methods, communication networks, and computer program products for configuring a communication tunnel for traffic based on whether a network element can be trusted
US20030227878A1 (en) Apparatus and method for automatically and dynamically reconfiguring network provisioning
KR20020055283A (en) Internet protocol routing block method for ethernet switch
Cisco Configuring IP Services
Cisco IP Services Commands: access-class Through ip mask-reply
Cisco Configuring Network Security
AU2018203193B2 (en) Network operating system for managing and securing networks
ÖZDEM et al. SDN based management platform for intranet services
KR100456622B1 (en) Method for providing and executing policy using system function in a policy based network security management system
CN113992369B (en) Topology management method and system for network security equipment
KR100445665B1 (en) Communication network management device and method for distributing datas in various bandwidth

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application