KR20040098093A - 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법 - Google Patents

멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법 Download PDF

Info

Publication number
KR20040098093A
KR20040098093A KR1020030030162A KR20030030162A KR20040098093A KR 20040098093 A KR20040098093 A KR 20040098093A KR 1020030030162 A KR1020030030162 A KR 1020030030162A KR 20030030162 A KR20030030162 A KR 20030030162A KR 20040098093 A KR20040098093 A KR 20040098093A
Authority
KR
South Korea
Prior art keywords
tunnel
vpn
ipsec
connection
traffic
Prior art date
Application number
KR1020030030162A
Other languages
English (en)
Other versions
KR100506182B1 (ko
Inventor
권동희
박진현
송희진
Original Assignee
(주)디엔피그룹
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)디엔피그룹 filed Critical (주)디엔피그룹
Priority to KR10-2003-0030162A priority Critical patent/KR100506182B1/ko
Publication of KR20040098093A publication Critical patent/KR20040098093A/ko
Application granted granted Critical
Publication of KR100506182B1 publication Critical patent/KR100506182B1/ko

Links

Classifications

    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47GHOUSEHOLD OR TABLE EQUIPMENT
    • A47G9/00Bed-covers; Counterpanes; Travelling rugs; Sleeping rugs; Sleeping bags; Pillows
    • A47G9/10Pillows
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47CCHAIRS; SOFAS; BEDS
    • A47C3/00Chairs characterised by structural features; Chairs or stools with rotatable or vertically-adjustable seats
    • A47C3/16Chairs characterised by structural features; Chairs or stools with rotatable or vertically-adjustable seats of legless type, e.g. with seat directly resting on the floor; Hassocks; Pouffes
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47GHOUSEHOLD OR TABLE EQUIPMENT
    • A47G9/00Bed-covers; Counterpanes; Travelling rugs; Sleeping rugs; Sleeping bags; Pillows
    • A47G9/02Bed linen; Blankets; Counterpanes
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47GHOUSEHOLD OR TABLE EQUIPMENT
    • A47G9/00Bed-covers; Counterpanes; Travelling rugs; Sleeping rugs; Sleeping bags; Pillows
    • A47G9/02Bed linen; Blankets; Counterpanes
    • A47G9/0238Bed linen
    • A47G9/0253Pillow slips
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B68SADDLERY; UPHOLSTERY
    • B68GMETHODS, EQUIPMENT, OR MACHINES FOR USE IN UPHOLSTERING; UPHOLSTERY NOT OTHERWISE PROVIDED FOR
    • B68G7/00Making upholstery
    • DTEXTILES; PAPER
    • D06TREATMENT OF TEXTILES OR THE LIKE; LAUNDERING; FLEXIBLE MATERIALS NOT OTHERWISE PROVIDED FOR
    • D06MTREATMENT, NOT PROVIDED FOR ELSEWHERE IN CLASS D06, OF FIBRES, THREADS, YARNS, FABRICS, FEATHERS OR FIBROUS GOODS MADE FROM SUCH MATERIALS
    • D06M2200/00Functionality of the treatment composition and/or properties imparted to the textile material
    • D06M2200/01Stain or soil resistance
    • DTEXTILES; PAPER
    • D06TREATMENT OF TEXTILES OR THE LIKE; LAUNDERING; FLEXIBLE MATERIALS NOT OTHERWISE PROVIDED FOR
    • D06MTREATMENT, NOT PROVIDED FOR ELSEWHERE IN CLASS D06, OF FIBRES, THREADS, YARNS, FABRICS, FEATHERS OR FIBROUS GOODS MADE FROM SUCH MATERIALS
    • D06M2200/00Functionality of the treatment composition and/or properties imparted to the textile material
    • D06M2200/10Repellency against liquids

Landscapes

  • Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Otolaryngology (AREA)
  • Pulmonology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크를 연결하기 위한 VPN 터널을 동시에 여러 개 사용하고 각각 독립적으로 사용하도록 하여 아이피에스이씨(IPSEC) 처리된 데이터 패킷을 전송하는 멀티 터널 IPSEC를 지원하는 VPN 시스템 및 운용방법에 관한 것이다.
본 발명은, 네트워크 간에 패킷을 암호화/복호화하여 공중망을 통해 송수신하는 VPN 시스템에 있어서, 관리자에 의해 상호 독립적으로 연결이 시도되는 하나 이상의 VPN 연결의 터널에 대하여, 상기 각 터널을 위한 SA를 생성하고, IPSec 처리된 전송 패킷에 적용되는 SA를 검색하여 해당 VPN 연결의 터널을 설정한 후 상기 IPSec 처리 패킷을 상기 VPN 연결 터널을 통해 전송하는 멀티 터널 IPSec을 지원하는 VPN 시스템을 제공한다.
본 발명에 따르면, VPN 연결의 고 가용성을 이룰 수 있고, 회선 투자 비용 대비 회선 사용률을 비약적으로 높일 수 있으며, 멀티 터널을 사용하여 VPN 트래픽 대역폭에 대하여 동적이고 효율적인 부하 분산이 가능하다. 또한, 각각의 VPN 연결의 실패에 대해서도 독립성을 보장하므로 패킷의 유실없는 VPN 네트워크를 구축할 수 있다.

Description

멀티 터널 아이피에스이씨(IPSEC)를 지원하는 브이피엔(VPN) 시스템 및 운용방법{A VPN SYSTEM SUPPORTING A MULTITUNNEL IPSEC AND OPERATION METHOD THEREOF}
본 발명은 브이피엔(VPN;Virtual Private Network, 이하 VPN이라 함) 시스템 및 운용방법에 관한 것으로서, 특히 아이피에스이씨(IPSEC; IP(Internet Protocol) security protocol, 이하 IPSEC라 함)를 이용하여 네트워크를 연결하기 위한 VPN 터널을 동시에 여러 개(멀티 터널) 사용하고 각각 독립적으로 사용하도록 하여 데이터를 전송하는 멀티 터널 IPSEC를 지원하는 VPN 시스템 및 운용방법에 관한 것이다.
정보 기술의 급속한 진전으로 멀티미디어 환경, 인터넷 환경이 확산되면서 사용자의 대역폭 요구량이 급격히 증가하고 있다. 이러한 환경에서 일반 기업 또는 기관에서는 통신 비용 및 운영 관리 비용이 증가되고 있는 추세이다.
이러한 비용의 증가를 감안하여 사용자 측면에서의 비용 절감을 위해 사용되는 것이 VPN(Virtual Private Network:가상사설망)이다. 일반적으로 WAN(Wide Area Network:광역통신망)을 구성할 경우에는 통신장비에 대한 초기 비용 투자가 필요하지만 VPN을 사용할 경우에는 초기 투자의 부담이 없다. 왜냐하면 이미 설치되어 있는 정보 서비스 제공자(ISP:Information Service Provider)들의 망을 이용하기 때문에 물리적인 망을 구축할 필요가 없게 된다.
VPN의 또 다른 장점은 회선비 절감 이외에도 네트워크 간에 거치는 수많은 회선 구성에 대한 관리 부담을 줄일 수 있다는 것이다. 이와 같이 VPN을 사용함으로써 통신에 따르는 비용을 절감할 뿐만 아니라 망을 관리하는 면에서도 수월하고 망의 안정성도 보장 받을 수 있게 된다.
VPN에 사용되는 기술에 대해, 현재 IETF(Internet Engineering Task Force)에서 표준화가 진행중인 여러 개의 프로토콜들이 있다. 예를 들어, OSI(Open System Interconnection) 7개 계층에서 2계층인 데이터 링크층에 속한 PPTP, L2TP, L2F 등이 있으며, 3계층인 네트워크층에 속한 프로토콜은 IPSec가 있다. 상기 IPSec는 인터넷의 범용 보안 프로토콜이라고 할 정도로 많은 기술들을 정의하고 있다.
종래의 IPSec 기반 VPN 장비를 사용하여 가상 사설망을 구축하는 경우, 예를 들어 본사망과 같은 대규모 네트워크를 위해서는 인터넷 연결의 안정성을 위하여 복수개의 IPS로부터 인터넷 회선을 임대하는 경우가 많고, 예를 들어 지사망과 같은 중, 소규모의 네트워크를 위해서는 비용절감을 위해 가정용 등에 적합한 비대칭 디지털 가입자 회선(ADSL)이나 케이블 모뎀과 같은 광대역 네트워크 회선을 연결하는 경우가 많다. 또한, 인터넷 회선의 안정성을 위해서 복수개의 인터넷 회선을 임대하여 사용하는 것이 대부분이다.
도 1은 종래의 VPN 장비를 이용한 네트워크의 예시적인 구성 개념도이다. 도1을 참조하면, 종래에는 VPN 장비를 이용하여 네트워크A,B(1)(6)를 연결하는 경우, 상기 네트워크A(1) 및 네트워크B(6)는 사용되는 VPN 장비의 특징에 따라 연결되는 방식이 틀리므로 상기 두 네트워크(1)(6)에 각각의 VPN 장비(2)(5)가 있어야 한다. 도 1에 도시된 바와 같이, 종래의 VPN 장비(2)(5)에 있어서, IPSEC를 이용하여 두 네트워크(1)(6)를 연결(secure gateway to secure gateway connection)할 경우, 이를 위한 VPN 연결(4)은 하나 밖에 존재하지 못한다. 즉, 상기 VPN 장비(2)(5)가 VPN 연결(4)을 위해서는 IPSEC에 정의된 SA(security association)를 IPSEC 키 교환 프로토콜을 이용하여 VPN 터널을 생성하게 되는데, 종래의 VPN 장비들은 이러한 SA를 하나 밖에 생성하지 못하기 때문에 이에 따라 생성될 수 있는 IPSEC 지원 VPN 터널의 수도 하나 밖에 되지 못하는 단점이 있다. 또한, SA를 여러개 생성한다고 하더라도 이를 VPN 장비가 처리하지 못하는 문제점이 있다.
또한, 도 1에서와 같이, 종래의 VPN 장비(2)(5)는 VPN 터널 또는 연결의 안정성을 위해 ISP1 및 ISP3을 통한 인터넷 연결이나 VPN 연결(4)이 끊어졌을 경우, ISP2 및 ISP4를 통하여 IPSEC 터널을 재 생성하는 장애 시 안전(fail-safe) 메커니즘을 구현하고 있다. 그러나, VPN을 운용하는 기업체나 기관의 입장에서는 ISP2 및 ISP4를 통한 인터넷 연결과 이를 통한 VPN 연결은 단순히 ISP1 및 ISP3을 통한 인터넷 연결과 이를 통한 VPN 연결(4)이 안 될 경우에 대한 예비책으로 사용되고 있으므로, 평상시에는 ISP2 및 ISP4를 통한 VPN 연결은 사용되지 않는데도 이에 대한 회선 유지 비용을 지불해야 하는 문제점이 있다. 즉, ISP2 및 ISP4에 대해서는 회선 유지 비용을 각 ISP에게 지불함에도 불구하고 ISP1 및 ISP3을 통한 VPN 연결이실패하지 않는다면 이를 사용할 수 없으므로 회선 투자 비용 대비 회선 사용율이 낮게 되는 문제점이 있다.
한편, 다중 터널 VPN 게이트웨이를 이용한 데이터 전송장치가 대한민국 특허출원 제2003-02358호에 개시되어 있다. 상기 선행특허는, 클라이언트 VPN 게이트웨이가 클라이언트 통신수단으로부터 출력된 패킷 데이터를 입력받아 암호화한 후 부하가 걸려있지 않은 다중 터널 회선을 선택하여 해당 회선을 통해 전송하고, 서버 VPN 게이트웨이 상기 클라이언트 VPN 게이트웨이로부터 출력된 암호화된 패킷 데이터를 상기 인터넷을 통해 입력받아 복호화한 후 상기 서버로 출력하는 데이터 전송장치를 제공한다. 그러나, 상기 선행특허의 경우, 다중 터널은 초기에 한꺼번에 연결이 설정되고, 도중에 하나의 터널이 끊어지면 다른 나머지 터널을 모두 끊은 후 다시 다중 터널의 연결을 설정해야 하는 단점이 있다. 나아가, IPSec 패킷전송을 위한 SA를 독립적으로 설정하지 않아 다중 터널이 독립적으로 설정되지 못하는 문제점이 있다.
본 발명은, 상기한 종래의 문제점을 해결하기 위해 제안된 것으로서, 네트워크간 연결을 위한 VPN 터널이 서로 다른 SA를 가질 수 있는 여러 개의 터널(멀티 터널)을 사용할 수 있고, 동시에 사용되는 멀티 터널들이 서로 독립적으로 동작할 수 있으며, 네트워크간 패킷 전송을 위해 VPN 장비가 패킷의 암호화를 시도하는 경우 IPSEC SA가 여러 개 있을 경우 이를 모두 처리하여 VPN 연결을 수행하고, 동일한 VPN 네트워크 조합(party)에 대해서 여러 개의 회선을 이용하여 다수의 VPN 터널을 생성하고 이를 동시에 사용할 수 있도록 한 멀티 터널 IPSEC를 지원하는 VPN 시스템 및 운용방법을 제공하는데 그 목적이 있다.
도 1은 종래의 VPN 장비를 이용한 네트워크의 예시적인 구성 개념도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크간 VPN 연결을 위한 VPN 게이트웨이 타입의 네트워크 구조도이다.
도 3은 본 발명에 따른 멀티 터널 VPN 장비의 구성 블럭도이다.
도 4는 본 발명에 따른 VPN 연결관리부(101)의 동작을 보이는 흐름도이다.
도 5는 본 발명에 따른 VPN 장비가 VPN 연결 신청을 받을 시 처리과정을 보이는 흐름도이다.
도 6은 본 발명에 따른 송신지 VPN 장비에서 기 생성된 VPN 연결의 SA 변경과정을 보이는 흐름도이다.
도 7은 본 발명에 따른 수신지 VPN 장비에서 기 생성된 VPN 연결의 SA 변경과정을 보이는 흐름도이다.
도 8은 본 발명에 따른 VPN 장비에서의 기 생성된 VPN 연결의 삭제 과정을 보이는 흐름도이다.
도 9는 본 발명에 따른 IPSec 보안 정책 DB, IPSec 코어엔진부 및 IPSec 멀티터널부의 상세 기능 블럭도이다.
도 10은 본 발명에 따른 멀티 터널 타입의 SA 및 SPDB의 생성, 갱신 및 삭제에 필요한 트래픽 정책 변경과정을 보이는 흐름도이다.
도 11은 본 발명의 일례에 따른 VPN 트래픽 대역폭을 할당한 도표이다.
도 12는 본 발명에 따른 VPN 장비에서 내부 네트워크와 연결된 수신 디바이스에서 패킷을 받아 VPN을 적용하는 과정을 보이는 흐름도이다.
도 13은 본 발명에 따른 VPN 장비가 상대 VPN 장비로부터 VPN이 적용된 패킷을 수신한 경우의 패킷 처리과정을 보이는 흐름도이다.
도 14는 본 발명에 따른 연결상태 모니터링부 및 연결상태 모니터링 인터페이스부의 동작과정을 보이는 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
10,20 : 네트워크 11,19 : VPN 장비
12~15 : IP주소 16,17 : VPN 연결
18 : 인터넷 21~24 : ISP
100 : 어플리케이션 모듈 200 : 코어 시스템 모듈
101 : VPN 연결관리부 102 : 멀티터널 트래픽 정책관리부
103 : IKE부 104 : 연결상태 모니터링부
201 : 연결상태 모니터링 인터페이스부
210 : 코어엔진부 220 : 송수신장치부
211 : IPSec 보안정책 DB 212 : IPSec 코어엔진부
213 : IPSec 멀티터널부 214 : 암호화/복호화부
221 : 송신자기반 멀티패스라우팅부
222 : 트래픽 모니터링부 223 : 송신디바이스
224 : 수신디바이스
상기 목적을 달성하기 위한 본 발명은, 네트워크 간에 패킷을 암호화/복호화하여 공중망을 통해 송수신하는 VPN 시스템에 있어서,
관리자로부터 터널의 정보를 수신하여 관리하고, 현재 연결이 시도되는 VPN 연결의 터널이 멀티 터널인지 단일 터널인지 확인하여 상기 각 터널을 위한 SA를 생성하는 VPN 연결관리부; 상기 VPN 연결의 멀티 터널 생성을 인식하여 상기 각 터널별로 고유 식별자를 부여하고, 전송할 IPSec 처리 패킷에 적용되는 SA를 검색하여 VPN 연결 터널을 설정하는 IPSec 멀티터널부; 상기 멀티 터널의 각 터널별 트래픽 분산을 설정하는 멀티터널 트래픽 관리부; 해당 VPN 연결의 터널로 처리된 IPSec 패킷을 상기 해당 VPN 연결의 터널을 구성하는 루트를 통해 전송하는 송신지 기반 멀티 패스 라우팅부; 상기 각 터널의 연결 상태를 모니터링하는 연결상태 모니터링부; 및 상기 각 터널의 트래픽 상태를 모니터링하는 트래픽 모니터링부를 포함한다.
또한, 상기 목적을 달성하기 위한 본 발명은, 네트워크 간에 패킷을 암호화/복호화하여 공중망을 통해 송수신하는 VPN 시스템 운용방법에 있어서,
제1 VPN 시스템에서 제2 VPN 시스템으로 하나 이상의 VPN 연결 터널의 생성을 요청하는 제1단계; 상기 제2 VPN 시스템은 상기 요청에 대한 해당 터널을 생성하고 상기 해당 터널에 대한 SA를 생성하는 제2단계; 상기 생성된 터널이 멀티 터널인지 단일 터널인지 확인하여, 멀티 터널인 경우 상기 각 터널별로 전송할 IPSec 처리된 패킷의 트래픽 분산을 설정하는 제3단계; 상기 각 터널별로 상기 IPSec 처리된 패킷을 상기 VPN 시스템간에 송수신하는 제4단계; 상기 각 터널의 연결상태를 모니터링하는 제5단계; 및 상기 각 터널의 트래픽 상태를 모니터링하는 제6단계를 포함한다.
이하, 본 발명의 바람직한 실시예를 도시한 도면을 참조하여 본 발명을 보다 구체적으로 설명한다.
도 2는 본 발명의 일 실시예에 따른 네트워크간 VPN 연결을 위한 VPN 게이트웨이 타입의 네트워크 구조도를 도시한 것으로서, 특히 네트워크간 VPN 연결을 위한 Secure Gateway to Secure Gateway Connection 타입의 네트워크 구조도이다. 도 3을 참조하면, 본 발명에 따른 VPN 통신을 위한 네트워크의 구성요소는, 출발지의 네트워크A(10), 출발지의 VPN 장비(11), 터널이 생성되는 인터넷(18), 상기 출발지의 VPN 장비(11)와 상기 인터넷(18)에 연결된 ISP1(21) 및 ISP2(22), 수신지의 네트워크B(20), 수신지의 VPN 장비(19), 상기 수신지의 VPN 장비(19)와 인터넷(18)에 연결된 ISP3(23) 및 ISP4(24)로 구성된다. 도면을 참조하면, 각 ISP로부터 할당받은 IP는 IP1(12), IP2(13), IP3(14) 및 IP4(15)로 표시되고, 본 발명에 따른 IPSEC 멀티 터널은 VPN 연결1(16) 및 VPN 연결2(17)로 표시되어 있다. 도 2의 경우에는 최대 4개의 IPSEC 멀티 터널의 형성이 가능하다. 즉, 각 VPN 장비(11)(19)가 n개의독립적인 외부 인터페이스를 가질 경우, 상기 두 VPN 장비(11)(19)를 통해 형성 가능한 터널의 개수는 n2개 이다.
각 송수신 VPN 장비(11)(19)에 연결된 각 ISP 회선(12)(13)(14)(15)은 상기 VPN 장비(11)(19)의 사양이 허용하는 범위 내에서 복수개의 ISP를 연결할 수 있다. 멀티 터널의 형성을 위해서는 VPN 연결에 참여하는 두 VPN 장비(11)(19) 중 적어도 하나는 복수개의 인터넷 라인을 필요로 한다. 복수개의 인터넷 라인은 동일 ISP로부터 받을 수도 있고, 서로 다른 ISP로부터 받을 수도 있다. 본 발명에서는 서로 다른 복수개의 ISP를 사용하는 환경에서 고장 시 안전(fail-safe) 기능과 트래픽 부하 분산 기능을 동시에 발휘할 수 있으나, 단일 ISP로부터 복수개의 인터넷 라인을 연결하는 경우는 경우에 따라 부하 분산 기능만 사용이 가능할 수도 있다. 부하 분산 기능만을 사용하게 되는 경우는 각각의 인터넷 라인을 사용하여 상대 네트워크로 이르는 루트(route)가 동일한 ISP를 사용하는 경우에는 겹칠 경우가 많으므로 ISP 단에서 네트워크 오류가 생겼을 경우에는 이 루트를 사용하는 멀티 터널 또한 동시에 오류가 생길 확률이 높아지기 때문이다. 그러므로, 최대한의 고장 시 안전(fail-safe)을 위해서는 각각의 인터넷 라인을 사용하여 상대 네트워크로 이르는 루트들이 서로 최대한 겹치지 않도록 하는 것이 바람직하다.
네트워크 환경에 대하여 네트워크A(10) 및 네트워크B(20)의 차이점은 없으나, 일례로 일반적인 기업의 네트워크 상황을 고려할 때, 네트워크A(10)는 고속의 전용선으로 연결된 대규모의 본사망 구조로, 네트워크B(20)는 xDSL에 연결된 중,소규모의 지사망 구조로 되어 있는 것으로 가정한다. 물론, 상기 네트워크(10)(20)의 구조가 바뀌거나 서로 다른 회선으로 되어 있더라도 본 발명을 적용하는데는 하등의 문제가 없다.
일반적으로 VPN 터널을 형성하는 흐름은 네트워크A(10) 및 네트워크B(20) 양쪽에서 어떠한 방향으로 VPN 연결을 형성하더라도 무방하다. 본 발명에서는 설명의 편의상, 항상 시작점 네트워크A(10)에서 출발하여 도착점 네트워크B(20)로 가는 VPN 연결을 가정한다. 단, 상기 네트워크A(10)에서 네트워크B(20)로 연결이 되더라도 그 결과인 VPN 연결을 양방향으로 맺어짐을 유의해야 한다. 이는 단지 멀티 터널을 설명함에 있어서, 상기 터널이 형성되는 과정을 미리 정의하는데 그 의의를 두어 네트워크B(20)에서 네트워크A(10)로 터널이 생성되는 과정은 생략한다. 만약, 필요에 따라 그 흐름이 반대일 경우를 설명할 필요가 있을시는 네트워크B(20)에서 네트워크A(10)로 터널이 생성되는 과정을 설명하기로 한다.
도 3은 본 발명에 따른 멀티 터널 VPN 장비의 구성 블럭도이다. 도 3을 참조하면, 본 발명에 따른 VPN 장비는, 크게 어플리케이션 모듈(100) 및 코어 시스템 모듈(200)로 구분된다. 상기 어플리케이션 모듈(100)은 VPN 연결관리부(101), 멀티터널 트래픽 정책관리부(102), IKE(Internet Key Exchange:인터넷 표준 암호 키 교환 프로토콜)부(103) 및 연결상태 모니터링부(104)로 구성된다. 또한, 상기 코어 시스템 모둘(200)은 연결상태 모니터링 인터페이스부(201), 코어엔진부(210), 송수신장치부(220)로 구성된다. 여기서, 상기 코어엔진부(210)는 IPSec 보안정책 데이터베이스(이하, DB 라고 한다)(211), IPSec 코어엔진부(212), IPSec멀티터널부(213) 및 암호화 알고리즘으로 구성된 암호화/복호화부(214)로 구성되고, 또한, 상기 송수신장치부(220)는 송신자기반 멀티패스라우팅부(221), 트래픽 모니터링부(222), n개의 송신디바이스(223), n개의 수신디바이스(224)로 구성된다. 상기 연결상태 모니터링부(104) 및 연결상태 모니터링 인터페이스부(201)는 상기 어플리케이션 모듈(100)에서 상기 코어 시스템 모듈(200)의 상태를 모니터링하기 위한 것이다. 이때, 상기 IKE부(103), IPSec 보안정책 DB(211), IPSec 코어엔진(212) 및 IPSec 멀티터널부(213)를 SA관리부(230)라 한다.
VPN 장비의 시작은 VPN 연결관리부(101)에서부터 시작한다. 상기 VPN 연결관리부(101)는 터널 생성에 필요한 데이터를 관리자(미도시)로부터 입력받아 이를 저장하고, VPN 장비의 운용시 이를 참조하여 VPN 연결을 누구와 어떻게 생성할 것인가를 관리한다. 즉, 각 상대방 네트워크 혹은 상대방 VPN 장비에 대한 VPN 연결을 위한 키 협상(key negotiation)방법과 상기 연결에 적용되는 암호화 알고리즘 등을 관리한다. 이러한 연결관리 항목은 기존의 VPN 장비들에 공히 적용이 되는 것이므로 여기서는 상세한 설명은 생략한다. 단, 각 상대 네트워크들에 대하여 멀티 터널이 적용되는 경우 멀티 터널 트래픽 정책관리부(102)에 의해서 이 연결은 관리된다.
상기 VPN 연결관리부(101)가 동작을 개시하면 멀티터널 정책관리부(102), IKE부(103) 및 연결상태 모니터링부(104)가 동시에 구동된다. 상기 멀티터널 정책관리부(102)는 VPN 연결관리부(101)에 현재의 VPN 연결이 멀티 터널일 경우, 이에 대한 관리 정보를 가지고 멀티 터널을 생성할 것인지 아니면 일반적인 단일 터널을생성할 것인지를 결정한다. 이때, 상기 멀티 터널과 단일 터널은 호환이 가능하다. 이에 대해서는 후술하는 트래픽 모니터링부(104)에서 동적인 멀티 터널 형성 및 동적 대역폭 할당에서 상세하게 설명된다. 트래픽 모니터링부(104)는 멀티 터널 생성 또는 단일 터널 생성에 따라 수행하는 작업이 달라질 수 있다.
일단, 멀티 VPN 터널 혹은 단일 VPN 터널 연결 정책이 결정되면 상기 각 VPN 장비(11)(19)간의 인증 확인 절차를 통한 SA(Security Association) 협상 작업이 수행된다. SA는 IKE부(103)의 프로토콜 동작을 통해서 생성되며, 이와 같이 생성된 결과는 IPSec 보안정책 DB(211)에 등록되어, 추후 VPN이 적용되는 패킷들에 대하여 IPSec 코어엔진(212)과 IPSec 멀티터널부(213)가 해당 패킷을 암호화/복호화를 수행할 때 참조된다.
IKE부(103)는 특정 포트를 통하여 암호화된 키(key)를 교환한다. IKE는 IETF에서 ISAKMP 프레임워크(framework)를 기반으로 Oakley 키 결정 알고리즘을 결합하여 SA협상과 키 교환 메커니즘의 표준으로 제정한 프로토콜로서 RFC 2409에 언급되어 있다.
VPN 연결 정보를 가지고 프로토콜 동작을 통하여 IKE부(103)에서 생성한 SA, 즉 IPSec 보안정책에 따라 연결방식, 인증 및 암호화 키, 암호화 알고리즘 등 VPN 연결에 대한 옵션을 확인하여, IPSec 코어엔진(212) 내부에서 IP 계층에서의 보안을 위해 인증 및 암호화 알고리즘을 사용하여 전송하고자 하는 패킷을 캡슐화 및 암호화/복호화한다. IPSec의 인증, 암호화 알고리즘 및 그 프로토콜 등 그 메커니즘에 관해서는 IETF RFC 표준을 따르므로 그 설명은 생략한다.
멀티터널의 생성일 경우 IKE부(103)의 동작 결과인 SA는 멀티터널 트래픽 정책관리부(102)에 의해서 관리되며, 코어시스템 모듈(200)의 IPSec 멀티터널부(213)에 의해 사용된다.
IPSec 멀티터널부(213)는 종래의 터널모듈과는 달리 각 터널을 위한 고유 식별자를 추가하여 다수의 터널이 생성되었음을 표시할 수 있도록 한다. 일반 VPN 터널의 정보는 송신지의 (사설)IP주소공간, 목적지의 (사설)IP주소공간, 송신지와 목적지의 VPN 게이트웨이 공인 IP주소 및 이 연결에 사용되는 IPSec모드, 암호화와 인증 알고리즘으로 구성되어 있다. 다른 ISP를 통하여 같은 목적지의 VPN 장비로 새로운 터널을 만들려고 시도하면, 도 1에서 설명한 바와 같은 제한으로 인해 다수의 터널이 생성되지 않는다.
상기한 바와 같이 종래의 단일 터널의 VPN에서는 연결 당 하나의 VPN 연결 즉, 하나의 SA만 형성되었으나, 본 발명에 따른 IPSec 멀티터널부(213)에서는 가능한 연결에 대하여 터널 별로 별개의 SA를 형성할 수 있다. 그러므로 각 터널 입장에서 볼 때 다른 터널 상태에 영향을 받지 않고 다수의 터널이 독립적으로 형성될 수 있다. 이는 한 개의 터널이 네트워크 또는 ISP의 사정에 따라 터널이 끊어졌다 하더라도 다른 터널은 이와 무관하게 안전함을 의미한다. 즉, 시스템을 재 가동하거나, VPN 연결을 재 가동하는 동안 통신이 끊어지는 상황을 피할 수 있으므로 보다 안정적인 데이터 전송이 가능하다. 또한 멀티 터널 VPN 하에서는 한 개의 VPN 연결이 끊어졌을 경우에도 다른 VPN 연결을 통하여 각 네트워크로의 통신이 계속 유지되면서, 끊어진 연결에 대해서 새로운 VPN 연결을 시도할 수 있다.
IPSec 멀티터널부(213)에서는 같은 VPN 연결에 대해서 터널 별로 별개의 SA를 형성할 수 있으므로 SA마다 서로 다른 암호화 알고리즘이나 다른 IPSec 프로토콜의 적용 또한 가능하다. 예를 들면, 도 2에서 VPN 연결1(16)은 3DES와 MS5를 적용한 ESP 모드로, VPN 연결2(17)는 SEED와 MD5를 적용한 ESP + AH 모드로 개별적인 사용이 가능하다.
VPN 연결 즉, 상대 VPN 장비와의 VPN SA 성립이 정상적으로 끝났을 경우, 연결상태 모니터링부(104)와 트래픽 모니터링부(222)에서 연결상태 모니터링과 트래픽 모니터링을 시작한다. 상기 연결상태 모니터링부(104)는 성립된 VPN 연결에 대해서 지속적인 연결관리를 통하여 현재의 VPN 연결이 끊어졌는지를 감지하는 역할을 수행한다. 만약 특정 VPN 연결이 끊어졌다고 감지되었을 경우에는 VPN 연결관리부(101)에게 재 연결을 시도할 수 있도록 감지 사실을 통보할 수 있다.
트래픽 모니터링부(222)는 트래픽 모니터링과 이에 기반한 Qos(Quality of Service)기능의 일부를 탑재한 것으로서, 동적인 멀티 터널의 형성, 동적인 VPN 트래픽과 일반 트래픽에 대한 대역폭의 할당 및 변경, 멀티 터널 사용시 각 터널의 동적 사용 대역폭 할당 및 전송할 데이터의 패킷에 대한 우선순위를 결정한다. 일반적으로 QoS는 4계층 스위치 같은 형태로 VPN 장비 외에 추가로 네트워크 구성요소로 구성된다. 본 발명에서는 바람직하게는 IPSec 멀티터널부(213) 및 트래픽 모니터링부(222)를 동일 장비에서 구동하도록 한다. 상기 트래픽 모니터링부(222)의 기능을 일례를 들어 설명한다.
만약, 도 2의 VPN 네트워크 구성에서와 같이 VPN 연결이 2개 형성할 수 있도록 되어 있을 경우 멀티터널 트래픽 정책관리부(102)와 트래픽 모니터링부(222)에 의해서 하기와 같은 경우로 연결 설정을 할 수 있다.
먼저, VPN 연결1(16) 및 VPN 연결2(17)를 동시에 사용하는 경우이다. 이 두 VPN 연결1,2(16,17)에 대한 트래픽 분산방식에 대해서는 일례를 들어 설명한다. 상기 VPN 연결1(16)은 총 VPN 트래픽의 60%를 처리하고, 상기 VPN 연결2(17)는 40%를 처리할 수 있도록 설정한다. VPN 연결에 관련되는 송신 디바이스(223)는 일반 인터넷 트래픽과 VPN 트래픽을 동시에 처리한다. 이러한 경우 VPN 연결1(16)에 대해서는 VPN 트래픽을 일반 인터넷 트래픽보다 높은 우선순위를 주는 우선순위 큐잉 알고리즘을 적용하여 VPN 트래픽을 우선적으로 처리할 수 있도록 한다. 반면, 상기 VPN 연결2(17)는 VPN 연결과 일반 인터넷 트래픽에 대해서 같은 우선순위를 주는 FIFO(First In First Output) 방식의 큐잉을 쓸 수 있다.
다음으로, VPN 연결1(16)을 사용하고 VPN 연결2(17)는 VPN 연결을 수행하지 않는 경우이다. 즉, 초기에는 VPN 연결1(16)만 형성되어 있다. 이때, 트래픽 모니터링부(222)는 VPN 연결1(16)을 통해서 전송되는 트래픽을 감시하면서 관리자에 의해 설정된 기준치 이상의 트래픽이 발생하면 VPN 연결2(17)를 시도한다. 이로써 VPN 연결1(16) 및 VPN 연결2(17)가 동시에 사용 가능하게 되고, 이 두 VPN 연결들에 대한 대역폭 사용방법 및 각 터널별 VPN 트래픽과 일반 인터넷 트래픽에 대한 대역폭 할당은 관리자가 멀티터널 트래픽 정책관리부(102)에 사전 정의한 트래픽 분산방식을 따른다. 즉, 다시 말하면 상기 멀티터널 트래픽 정책관리부(102) 및 트래픽 모니터링부(222)는 QoS 기반의 트래픽 스케쥴링 기능과 동시에 정책 기반의동적 멀티터널 할당 및 QoS 적용이 가능하다.
멀티터널 상황하에서의 VPN 트래픽 간의 QoS 적용이나 VPN 트래픽과 일반 트래픽의 QoS 적용방법에 대한 것은 본 발명의 기술적 사상의 범위를 벗어나므로 QoS 적용에 대해서는 설명하지 않기로 한다.
멀티 터널 VPN의 경우는 단일 터널의 경우와는 달리, 네트워크간의 루트가 2개 이상 존재하게 된다. 즉, 도 2에 도시된 일례에서 VPN 적용이 된 패킷(암호화가 된 패킷)이 출발지의 VPN 장비1(11)에서 목적지의 VPN 장비2(19)로 전송되는 경우 다음 홉(next hop)을 결정하게 될 때, 가능한 다음 홉은 IP1(21)에 연결된 게이트웨이, IP2(22)에 연결된 게이트웨이 두 개가 존재하게 된다. 일반적으로 현재의 인터넷은 목적지에 이르는 길이 유일하게 하나인 단일 패스 라우팅이 보편화되어 있지만, 본 발명의 멀티 터널 VPN은 멀티 패스 라우팅 기법을 사용한다. 상기 멀티 패스 라우팅 기법은 QoS 라우팅의 일부로도 사용되어지기도 하며, 다양한 방식으로 사용되는데 본 발명에서는 그 일례로서 송신자 기반 멀티패스 라우팅 정책을 사용한다. 일반적으로 IP 라우팅은 목적지 주소만을 가지고 다음 홉(next hop)을 결정한다. 그러나, 본 발명에 따른 송신자 기반 멀티 패스 라우팅부(221)는 우선 목적지 주소만을 가지고 가능한 다음 홉을 찾고, 다음 홉이 여러 개일 경우 송신지 주소를 기반으로 대상 홉들 중에서 하나를 선택한다.
각 ISP에서는 통상 송신지 주소의 유효성을 검사하는 입측 필터링(ingress filtering) 등과 같은 방화벽을 많이 사용하는데, 만약 ISP1(21)과 ISP2(22)가 서로 다른 ISP일 때, 도 3에서 VPN 연결2로 IPSec 처리된 패킷(이 경우 IPSec 패킷의송신지 주소는 IP2가 됨)이 VPN 연결1이 사용하는 루트를 사용하는 경우 ISP1(21)에서 송신지 주소가 자신이 할당한 IP 주소가 아니므로 해당 패킷을 위장(spoofing) 패킷으로 오인하여 필터링할 수 있는 소지가 있고, 반대의 경우도 마찬가지이다. 이를 해결하기 위하여 상기 송신자 기반 멀티 패스 라우팅부(221)는 VPN 연결1로 처리된 IPSec 패킷은 VPN 연결1을 구성하는 루트를 사용하여야 하며, VPN 연결2로 처리된 IPSec 패킷은 VPN 연결2를 구성하는 루트를 사용하여야 한다. 이러한 문제를 해결하기 위한 것이 상기 송신자 기반 멀티 패스 라우팅부(221)에서 적용되는 송신자 기반 멀티 패스 라우팅 기법이다. 만약, 이러한 기능이 제대로 동작하지 않을 경우에는 터널별로 대역폭을 할당하는 멀티 터널 트래픽 정책관리부(102)나 연결상태 모니터링부(104)에 심각한 오동작을 초래할 수 있을 것이다.
도 4는 본 발명에 따른 VPN 연결관리부(101)의 동작을 보이는 흐름도로서, 관리자에 의해 설정된 VPN 연결을 시도하는 과정을 나타낸다. 도 4를 참조하면, 관리자에 의해 설정된 모든 VPN 연결에 대하여 하기 단계(S41 내지 S49)들을 반복하여 연결을 시도한다(S40). 먼저, VPN 연결관리부(101)는 현재 시도되는 VPN 연결이 멀티 터널인지 단일 터널인지 판단한다(S41). 상기 단계(S41)에서의 판단결과 단일 터널로 설정된 경우 SA 생성을 위하여 바로 IKE 협상(negotiation)을 수행하고(S43), 상기 단계(S41)에서의 판단결과 멀티 터널로 설정된 경우, 멀티 터널 트래픽 정책 관리부(102)에 의하여 동적 할당 터널(on-demand 멀티 터널)인지 판단한다(S42). 상기 단계(S42)에서의 판단결과 동적 할당 터널이면, 추후 트래픽모니터링부(222)에 의해 특정 트래픽 조건하에서 터널이 생성되므로 SA 생성과정을 시도하지 않고 바로 종료되고, 동적 할당 터널이 아니면 상기한 단일 터널과 마찬가지로 IKE 협상을 수행한다(S43). 여기서, 바람직하게는 IKE 협상은 단일 터널 또는 멀티 터널 종류에 대하여 투명하다. IKE 협상이 끝나게 되면 SA가 생성되는데, 이 SA를 IPSec 보안 정책 DB(211)(이하, SPDB라 한다)에 추가하기 위하여 현재의 VPN 연결이 멀티 터널인지 재차 판단한다(S44). 상기 단계(S44)에서의 판단결과 VPN 연결이 멀티 터널이면, 상기 멀티 터널을 위한 SA 생성 및 SPDB 갱신 후(S45), 송신자 기반의 멀티 패스 라우팅의 셋업을 수행하고(S46), 연결상태 모니터링부(104)에서 상기 연결상태 모니터링을 시작한다(S47). 상기 단계(S44)에서의 판단결과 VPN 연결이 멀티 터널이 아니면 단일 터널을 위한 SA 생성 및 SPDB 갱신 후(S49), 연결상태 모니터링을 시작한다(S47). 이어, 상기 VPN 연결에 대한 트래픽 모니터링부(222)에서 트래픽을 모니터링하기 시작한다(S48). 여기서, 상기 VPN 연결상태 모니터링과 트래픽 모니터링은 관리자의 필요에 따라 VPN 연결에 할당되는 것으로 경우에 따라서는 상기 두 모니터링 기능을 사용하지 않을 수도 있으나 본 발명에서는 상기 두 기능을 기본적으로 사용하는 것으로 가정하여 설정한 것임을 밝혀둔다.
도 5는 본 발명에 따른 VPN 장비가 VPN 연결 신청을 받을 시 처리과정을 보이는 흐름도이다. 도 5를 참조하면, 들어오는 VPN 연결 신청에 대하여 하기 단계(S51내지 S59)들을 반복한다(S50). 먼저 VPN 연결이 들어오는 신청을 받으면(S50), 상기 들어오는 VPN 연결 신청에 대하여 관리자에 의해서 설정된 연결설정 검색을 수행하여(S51), 연결 설정이 존재하는지 판단한다(S52). 상기 단계(S52)에서의 판단결과 연결 설정이 존재하지 않으면 해당 연결 설정이 없는 것이므로 바로 종료되고, 연결 설정이 존재하면 IKE 협상을 수행한다(S53). 이어, 상기 연결 설정을 검색하여 현재의 VPN 연결이 멀티 터널인지 판단한다(S54). 상기 단계(S54)에서의 판단결과 멀티 터널이면 멀티 터널을 위한 SA 생성 및 SPDB 갱신 후(S56) 송신자 기반의 정책 라우팅을 셋업하고(S56), 연결 상태 모니터링을 시작한다(S57). 상기 단계(S54)에서의 판단결과 멀티 터널이 아니면 단일 터널을 위한 SA 생성 및 SPDB 갱신 후(S59), 연결 상태 모니터링을 시작한다(S57). 이어, 트래픽 모니터링을 시작하여 터널 생성을 완료한다(S58).
도 6은 본 발명에 따른 송신지 VPN 장비에서 기 생성된 VPN 연결의 SA 변경과정을 보이는 흐름도이다. SA 변경은 SA 유효기간, 암호화 알고리즘, 암호화/복호화 키 등의 변경을 의미한다. 도 6을 참조하면, 송신지 VPN 장비에서 이미 생성된 VPN 연결의 SA를 변경하기 위하여 IKE 협상을 재 수행한다(S61). 여기서, 상기 IKE 협상의 재수행은 실제 IPSec에서 사용될 암호화 키를 협상하는 제2상(Phase 2)만 협상한다. 이어, 현재의 VPN 연결이 멀티 터널인지 판단한다(S62). 상기 단계(S62)에서의 판단결과 멀티 터널이면 멀티 터널을 위한 SA 생성 및 SPDB 갱신 후(S63) 연결 상태 모니터링을 재시작한다(S64). 그러나, 상기 단계(S62)에서의 판단결과 멀티 터널이 아니면 단일 터널을 위한 SA 생성 및 SPDB 갱신 후(S66) 연결 상태 모니터링을 재 시작한다(S64). 이어, 트래픽 모니터링을 재 시작하여 터널 생성을 완료한다(S65).
도 7은 본 발명에 따른 수신지 VPN 장비에서 기 생성된 VPN 연결의 SA 변경과정을 보이는 흐름도이다. 수신지 VPN 장비에서의 VPN 연결의 SA 변경과정과 상기한 송신지 VPN 장비에서의 VPN 연결의 SA 변경과정을 비교하면, 수신지 VPN 장비에서 SA 변경 요청 메시지를 수신하는 과정이 추가로 포함된다. 도 7을 참조하면, 수신지 VPN 장비에서 이미 생성된 VPN 연결의 SA 변경 요청 메시지를 수신하면(S71), IKE 협상을 재 수행한다(S72). 여기서, 상기 IKE 협상의 재수행은 실제 IPSec에서 사용될 암호화 키를 협상하는 제2상(Phase 2)만 협상한다. 이어, 현재의 VPN 연결이 멀티 터널인지 판단한다(S73). 상기 단계(S73)에서의 판단결과 멀티 터널이면 멀티 터널을 위한 SA 생성 및 SPDB 갱신 후(S74) 연결 상태 모니터링을 재시작한다(S75). 그러나, 상기 단계(S73)에서의 판단결과 멀티 터널이 아니면 단일 터널을 위한 SA 생성 및 SPDB 갱신 후(S77) 연결 상태 모니터링을 재 시작한다(S75). 이어, 트래픽 모니터링을 재 시작하여 터널 생성을 완료한다(S76).
도 8은 본 발명에 따른 VPN 장비에서의 기 생성된 VPN 연결의 삭제 과정을 보이는 흐름도이다. 도 8을 참조하면, VPN 장비에서 이미 생성된 VPN 연결의 삭제 메시지를 수신하면(S81), 현재의 VPN 연결이 멀티 터널인지 판단한다(S82). 상기 단계(S82)에서의 판단결과 멀티 터널이면 멀티 터널 타입의 SA 및 SPDB를 삭제한 후(S83), 상기 삭제된 VPN 연결에 대한 연결상태 모니터링을 종료한다(S84). 상기 단계(S82)에서의 판단결과 멀티 터널이 아니면 단일 터널 타입의 SA 및 SPDB를 삭제한 후(S86), 상기 삭제된 VPN 연결에 대한 연결상태 모니터링을 종료한다(S84). 이어, 상기 삭제된 VPN 연결에 대한 트래픽 모니터링도 종료한다(S85).
도 9는 본 발명에 따른 IPSec 보안 정책 DB(211), IPSec 코어엔진부(212) 및 IPSec 멀티터널부(213)의 상세 기능 블럭도이다. 도 9에 도시된 바와 같이 하나의 VPN 장비에서 IPSec 보안 정책 DB(211)를 이루는 SA 엔트리들은 다수개가 존재함을 알 수 있다. 도 9에서는 일례로 9개의 SA 엔트리(911~916)를 도시하고 있다. 상기 9개의 SA 엔트리(911~916)는 각각 그룹별로 나뉘어 총 5개의 상대 네트워크와 VPN 연결이 되어 있음을 알 수 있다. 즉, SA1(911)은 제1네트워크와, SA2(912)는 제2네트워크와, SA3-1 및 SA3-2(913)는 제3네트워크와, SA4-1, SA4-2 및 SA4-3(914)은 제4네트워크와, SA5-1, SA5-2 및 SA5-3(915)은 제5네트워크와, 그리고 SA6-1, SA6-2(916)는 제6네트워크와 연결되어 있다. 여기서, 상대 네트워크 즉, 제1 내지 제6네트워크는 서로 다른 네트워크이며, 도 9에서 보인 VPN 장비와 VPN 연결을 수행하고 있다고 저장한다. 상기 {SA1},{SA2},{SA3-1,SA3-2}의 SA 그룹에서, {SA1}과 {SA2}는 각각 단일 터널 엔트리를 보이고 있으며, {SA3-1,SA3-2}는 두 SA를 묶어 그룹화되어 상대 제3네트워크에 대한 멀티 터널 엔트리를 보이고 있다.
IPSec 코어 시스템(200) 내부에서 수신 디바이스(224)를 통하여 암호화할 패킷을 IPSec 코어엔진부(212)에서 처리하게 될 때, 상기 패킷에 적용될 SA를 찾기 위하여 SPDB(211)에서 검색을 수행한다. 이때, 검색된 SA가 멀티 터널이고 해당 SA가 여러 개 존재할 경우, 멀티 터널 트래픽 정책 관리부(102)에서 정의된 트래픽 정책에 따라 IPSec 멀티터널부(213)에서 해당 패킷을 적용할 SA를 고르게 된다. 도 9에서는 이를 SA 셀렉터(901~904)로 표시하였으며, SA 셀렉터의 예로서, 라운드 로빈 정책을 적용하는 SA 셀렉터(901), 가중치 기반 대역폭 할당 정책을 적용하는 SA셀렉터(902), 송신자 주소 기반 정책을 적용하는 SA 셀렉터(903) 및 동적 대역폭 할당 정책을 적용하는 SA 셀렉터(904) 등을 보이고 있다.
도 10은 본 발명에 따른 멀티 터널 타입의 SA 및 SPDB의 생성, 갱신 및 삭제에 필요한 트래픽 정책 변경과정을 보이는 흐름도이다. 도 10에서 단일 터널에서는 터널간의 트래픽 정책이 개입되지 않으므로 도면에 표시하지 않는다. 또한, 도 10에서 멀티 터널 트래픽 정책을 설명하기 위하여 도 9에 도시된 9개의 SA(5개의 SA 그룹)을 그대로 사용하기로 한다. 먼저, 멀티 터널 타입의 SA 및 SPDB 생성/갱신/삭제 메시지가 들어오면(S101), 상기 멀티 터널에 대한 트래픽 정책을 검사한 후(S102) 생성/삭제 또는 갱신인지 여부에 따라 각각 진행한다. 생성 및 삭제 메시지가 들어오면(S103) 현재 존재하는 상대 네트워크와의 VPN 멀티 터널의 개수 및 상기 VPN 멀티 터널의 SA 셀렉터 방식을 확인하여(S104), 상기 SA 셀렉터 방식이 라운드 로빈이면(S105) 상기 해당 VPN 멀티 터널을 생성/삭제하고 라운드 로빈 엔트리를 추가/삭제한다(S106). 보다 상세하게는, 라운드 로빈 방식이 적용되는 것은 도 9에서 {SA3-1, SA3-2}가 해당된다. 해당 SA 그룹이 사용되는 방식은 처리되는 패킷들에 대하여 각각 SA3-1 및 SA3-2를 번갈아 가면서 적용한다. 이때, S3-3으로 표시되는 터널이 생성될 경우에 SA 그룹은 {SA3-1, SA3-2, SA3-3}이 되고 이 경우는 SA3-1, SA3-2, SA3-3이 번갈아 가면서 사용된다. 반대로 {SA3-1, SA3-2}가 있는 상황에서 SA3-2가 삭제될 경우에는 SA 그룹은 {SA3-1}이 된다. 이때, SA 엔트리 타입은 멀티 터널 타입이지만 사용은 단일 터널의 사용 방식과 유사하게 된다. 라운드 로빈 방식이면 터널 개수 만큼 패킷단위로 순차적으로 터널을 번갈아 사용하는것이므로 터널 생성/삭제시 라운드 로빈 엔트리만 추가/삭제하면 된다.
만약, 상기 SA 셀렉터 방식이 가중치 기반 대역폭 할당이면(S107), 상기 해당 멀티 터널을 생성/삭제하고 가중치 값을 재 조정한다(S108). 보다 상세하게는, 가중치 기반 대역폭 할당 방식이 적용되는 것은 {SA3-1, SA3-2, SA3-3}가 해당된다. 도 11에는 해당 SA 그룹의 사용방식이 예를 들어, 처리되는 패킷들에 대해 각각 통계적 사용률을 SA3-1 : SA3-2 : SA3-3 = 5 : 3 : 2로 할 경우 각각 터널들에 대하여 상대 네트워크로 향하는 전체 VPN 트래픽 대역폭을 50%, 30%, 20%로 분산 할당되는 것을 도표로 도시한 것이다. 도 9에서 SA 셀렉터가 패킷을 입력 받을 때마다 각 SA당 통계적 대역폭 할당을 위하여 0에서 10사이의 랜덤 넘버를 생성한다. 도 11에 표시된 바와 같이, 생성된 랜덤 넘버가 0에서 5.0 사이 일때는 제1표(121)의 SA3-1를 사용하고, 5.0에서 8.0 사이 일때는 제1표(121)의 SA3-2를 사용하고 그 이외의 경우 즉, 8.0에서 10.0 까지는 제1표(121)의 SA3-3를 사용하도록 한다.
한편, 현재의 상태에서 SA 추가되거나 또는 삭제되는 경우를 살펴보면, 도 11의 제2표(122) 및 제3표(123)는 각각 가중치 값 1을 가지는 제2표(122)의 SA3-4가 추가되었을 경우와 가중치 값 2를 가지는 제2표(122)의 SA3-3이 삭제되었을 경우에 전체 대역폭 할당량 변화량과 해당 난수 발생의 범위를 보이고 있다. 제2표(122)의 경우 난수 발생의 범위와 발생 시의 자릿수는 일례를 표시한 것이며, 이는 구현에 의존적인 부분이 많으므로 자세한 설명은 생략하도록 한다. 먼저, 제2표(122)를 참조하여 SA3-4가 추가되는 과정을 살펴보면, {SA3-1, SA3-2, SA3-3}에서 {SA3-1, SA3-2, SA3-3, SA3-4}로 변할 경우 각 대역폭 사용비는 5:3:2에서5:3:2:1로 변하게 되고, 총 대역폭 사용율은 각각 50%, 30%, 20%에서 약 45.6%, 27.3%, 18.2%, 9.1%로 조정된다. 이에 따른 SA 당 랜덤 넘버의 범위는 제2표(122)에 도시된 바와 같다. 다음으로, 제3표(123)를 참조하여 {SA3-1, SA3-2, SA3-3}에서 {SA3-1, SA3-2}로 SA3-3이 삭제되는 과정을 살펴보면, 각 대역폭 사용비는 5:3:2에서 5:3으로 변하게 되고, 총 대역폭 사용률은 각각 50%, 30%, 20%에서 약 62.5%, 37.5%로 변하게 된다. 이에 따른 SA당 난수 발생의 범위는 제3표(123)에 표시된 바와 같다.
다시 도 10에서 상기 SA 셀렉터 방식이 송신자 주소 기반이면(S109), 상기 해당 멀티 터널을 생성/삭제하고 기타 터널 번호를 재 조정한다(S110). 보다 상세하게는, 송신자 기반 SA 셀렉터 방식이 적용되는 것은 {SA4-1, SA4-2, SA4-3}이 해당된다. 송신자 기반 SA 셀렉터는 SA 선택시 VPN 적용 이전의 원래 송신자 IP 주소를 정수값으로 만들고 이를 현재 존재하는 상대 네트워크로의 멀티 터널의 전체 개수로 나우어 나머지를 취한다. 그리고, 그 나머지의 값 번째에 해당되는 SA를 선택한다. 예를 들어, 도 9에서 송신자 주소를 현재 상대 네트워크로의 멀티 터널의 총 개수인 3으로 나누어 나머지를 취하게 되므로 0에서 2사이의 정수값을 가지게 된다. 이때, SA4-1, SA4-2, SA4-3을 순서대로 0부터 카운트하여 나머지 값 번째에 해당되는 SA를 선택하게 된다. 이런 방식을 따를 경우 본 발명은 전제 VPN 연결에 대해서는 멀티 터널로 동작하고 송신자별로는 단일 터널을 사용하는 방식이 된다.
다시 도 10에서 상기 SA 셀렉터 방식이 트래픽 모니터링 기반 동적 대역폭 할당이면(S111), 상기 해당 멀티 터널을 생성/삭제하고 상기 정책에 따른 대역폭을재 조정한다(S112). 보다 상세하게는, 멀티 터널 VPN 연결에 트래픽 모니터링부(222)가 구동될 때, 상대 네트워크로 전송되는 전체 VPN 트래픽의 대역폭과 멀티 터널의 각 터널(SA)당 대역폭 사용률 등을 지속적으로 모니터링 한다. 트래픽 모니터링 기반의 SA 셀렉터 방식은 관리자로부터 주어진 일정한 규칙에 의해 동작한다. 예를 들어, 관리자에 의해 주어진 임계치 이상의 VPN 트래픽이 발생할 경우 멀티 터널의 수를 늘리거나, 멀티 터널들 간의 사용률을 비교하여 사용률이 높은 VPN 연결의 트래픽을 사용률이 낮은 VPN 연결로 부하 분산(load balancing)을 시도하도록 SA 셀렉터의 룰을 지정할 수 있다. 트래픽 모니터링부(222)는 터널의 수를 늘려야 하는 경우도 설정되어 있는 경우에는 멀티 터널 트래픽 정책 관리부(102)가 동적 할당 터널(on-demand 멀티 터널)을 생성하도록 통보하고, 반대의 경우에는 터널을 삭제하도록 통보한다. 이때, 트래픽 모니터링 기반의 SA 셀렉터는 현 상태에서 정의된 대역폭 분산 방식을 사용하도록 관리자에 의해서 정의된다. 이는 트래픽 모니터링 기반의 SA 셀렉터가 현재 네트워크의 상황 혹은 VPN 트래픽의 양에 따라 조절되는 멀티 터널의 개수에 따라 정책이 바뀌어져야 함을 의미한다. 즉, 트래픽 모니터링 결과에 따른 멀티 터널의 개수 조절이 수행되고 이에 따른 정책 또한 조절됨을 의미한다. 그러므로 트래픽 모니터링 기반의 SA 셀렉터는 현재의 상태에 따라 SA 셀렉터 방식이 라운드 로빈 방식, 가중치 기반 대역폭 할당, 송신자 기반 대역폭 할당 등으로 동적으로 변화할 수 있다.
한편, 상기 단계(S102)에서의 멀티 터널 트래픽 정책 검사결과, 갱신 메시지가 들어오면(S113) SA 자체에 대한 갱신과 SA가 이루는 멀티 터널 정책에 대한 갱신으로 크게 두가지 경우로 나뉠 수 있다. 따라서, SA 자체에 대한 경신인지 판단한다(S114). 상기 단계(S114)에서의 판단결과 SA 자체에 대한 경신일 경우는 암호화 인증 알고리즘이나 SA에 대한 유효기간 갱신이 수행되므로 멀티 터널 대역폭 분산 정책에는 전혀 영향을 미치지 않는다. 그러므로 SA 자체에 대해서만 갱신할 경우 해당 SA만 갱신하고(S116) 종료한다. 그러나, 상기 단계(S114)에서의 판단결과 SA 자체에 대한 갱신이 아닌 경우는 멀티 터널 정책 갱신이 해당되므로 이에 대한 해당 여부를 판단한다(S115). 상기 단계(S115)에서의 판단결과 멀티 터널 정책이 갱신되는 경우는 멀티 터널을 이루는 SA 그룹의 엔트리 하나에 대한 가중치 값을 변경하거나 하는 경우가 있으며, 멀티 터널을 이루는 SA 그룹에 대한 SA 셀렉터 정책을 바꾸는 경우가 있다. 예를 들어, 도 11에서 가중치 기반 대역폭 할당 방식이 적용되는 {SA3-1, SA3-2, SA3-3}그룹에 대해서 대역폭 할당비를 5:3:2에서 5:3:1로 SA3-3의 비를 변경하는 것이 전자에 해당되며, {SA3-1, SA3-2, SA3-3} 그룹의 가중치 기반 대역폭 할당 방식을 라운드 로빈 방식으로 SA 셀렉터 정책 자체를 변경하는 것이 후자에 해당된다. SA 갱신도 아니고 멀티 터널 정책 변경도 아닐 경우에는 바로 종료된다.
도 12는 본 발명에 따른 VPN 장비에서 내부 네트워크와 연결된 수신 디바이스에서 패킷을 받아 VPN을 적용하는 과정을 보이는 흐름도이다. 도 12를 참조하면, 먼저 수신 디바이스(224)로부터 패킷이 입력되면(S121), 상기 패킷은 IPSec 코어엔진부(212)에서 해당 패킷에 대한 송신자와 목적지 주소를 검사하여(S122), 해당 SA가 SPDB에 존재하지 판단한다(S123). 상기 단계(S123)에서의 판단결과 SPDB에 해당SA가 존재하는 경우에는 SA의 타입이 멀티 터널인지 판단한다(S124). 상기 단계(S124)에서의 판단결과 멀티 터널이면 SA 셀렉터에서 적절한 SA와 그에 해당되는 터널을 선택하고(S125) 패킷을 암호화한 후(S126), 송신 디바이스(223)를 적절하게 선택하기 위하여 멀티 터널 형성시 셋업된 송신자 기반 멀티 패스 라우팅에 기반하여 송신 디바이스를 선택하여(S127) 상기 패킷을 전송한다(S128). 그러나, 상기 단계(S124)에서의 판단결과 멀티 터널이 아니면 SA 셀렉터의 개입 없이 해당 SA를 선택하고(S129) 패킷 암호화를 수행한 후(S130) VPN이 적용된 패킷에 대한 전송이 이루어진다(S128).
도 13은 본 발명에 따른 VPN 장비가 상대 VPN 장비로부터 VPN이 적용된 패킷을 수신한 경우의 패킷 처리과정을 보이는 흐름도로서, 도 12의 상황과 반대의 상황을 나타낸다. 도 13을 참조하면, VPN 장비가 수신하는 경우에는 인터넷 쪽에 연결된 인터페이스가 수신 디바이스가 됨을 유의해야 한다. 먼저 수신 디바이스로부터 VPN 적용이 된 패킷이 입력되면(S131), IPSec 코어엔진부(212)가 동작하여(S132), 상기 입력된 패킷에 기록되어 있는 SPI 값을 통하여 해당 SPI가 가르키는 SA을 검사하여(S133), 상기 SA가 SPDB 내에 존재하는지 판단한다(S134). 상기 단계(S134)에서의 판단결과 상기 SA가 존재하면 단일 터널 혹은 멀티 터널에 관계 없이 패킷의 복호화 과정을 수행한 후(S135) 상기 패킷을 수신한다(S136). 그러나, 상기 단계(S134)에서의 판단결과 상기 SA가 존재하지 않으면 해당 패킷을 폐기한다(S137).
도 14는 본 발명에 따른 연결상태 모니터링부(104) 및 연결상태 모니터링 인터페이스부(201)의 동작과정을 보이는 흐름도이다. VPN 연결에 대한 지속적인 모니터링은 VPN 적용에 필수 불가결한 것이라 할 수 있다. 이러한 연결상태 모니터링은 여러 가지 방법으로 VPN 장비 업체에 의해서 구현되고 있다. 또한 IETF에서도 꾸준히 이슈화되고 표준화의 노력이 진행되고 있다. VPN 모니터링의 성능은 패킷을 얼마만큼의 주기로 전송하느냐에 달려 있다. 너무 자주 전송할 경우에는 대역폭을 낭비하는 결과를 초래하고, 너무 주기가 길 경우에는 연결 상태 모니터링의 정확성이 떨어지게 된다. 더욱이 문제가 되는 것은 예를 들어, 본사와 연결된 VPN 지사가 100개 이고 10초마다 3번의 ping 혹은 정의된 컨트롤 패킷을 전송하는 경우, 본사망은 10초의 주기로 300개의 ping 혹은 컨트롤 패킷에 의해 과 부하가 걸리는 상태가 될 수 있다. 또한, 본사에 위치한 VPN 장비는 일반 VPN 트래픽에 대하여 고속 처리를 하는 것이 주 임무임에도 불구하고 연결상태 모니터링을 10초마다 300개의 ping 혹은 컨트롤 패킷을 처리해야 하는 과 부하가 걸릴 수 있다. 그러므로 본 발명에서는 이러한 과 부하 상태를 해결하기 위하여 SA의 레퍼런스 타입(referenced time) 즉, SA를 최종으로 사용한 시간을 기준으로 ping 혹은 정의된 컨트롤 패킷을 발생시키는 것을 조절함으로써 네트워크와 장비의 과부하를 방지하는 방식을 제공한다. 이하에서 도 14를 참조하여 이를 상세하게 설명한다.
도 14에 정의된 Treferenced는 VPN 연결상태 모니터링 인터페이스부(201)에서 VPN 연결상태 모니터링부(104)로 제공하는 것으로서, 각각의 SA에 대한 최근 사용 시간을 기록한 것이다. 패킷이 VPN 적용이 될 때마다 해당 SA의 Treferenced는 연결상태 모니터링 인터페이스부(201)에 의해 적용되는 시간으로 갱신된다.Tcurrent는 VPN 장비 또는 시스템의 현재 시간을 나타낸다. Tth_out과 Tth_in은 관리자에 의해 조절될 수 있는 임계(threshold)값으로서, 각각 하나의 VPN 연결에 대한 아웃바운드(outbound) SA와 인바운드(inbound) SA에 대한 참조 시간의 정도에 대한 기준값이 된다.
도 14를 참조하면, SA가 맺어지는 각각의 VPN 연결에 대해서 연결상태 모니터링이 개시되면(S141), 현재의 시간에서 최근 아웃바운드/인바운드 SA에 대한 참조시간을 뺀 값이 관리자에 의해 정의된 아웃바운드/인바운드 임계 값보다 큰지를 판단하여(S142,S143), 그 값이 작을 경우에는 해당 VPN 연결(SA)로 연결된 상대 네트워크로 아웃바운드/인바운드 일반 트래픽이 있음을 의미하며, 이는 VPN 연결을 통하여 정상으로 통신이 되고 있음을 의미하므로 다음 연결에 대해서 동일한 프로세스를 계속 반복하여 수행한다. 그러나, 그 갑이 클 경우에는 해당 VPN 연결(SA)로 연결된 상대 네트워크로 아웃바운드/인바운드 일반 트래픽이 없음을 의미하므로, 상대방 VPN 장비의 내부 인터페이스에 할당된 주소로 ICMP 에코(echo) 패킷이나 정의된 컨트롤 패킷의 전송을 수행하고(S144), 상기 전송된 패킷에 대한 회신을 기다리고 재전송을 위한 타입아웃 값을 초기값으로 설정, 전송횟수를 기록한다(S145).
이어, 상기 전송된 패킷에 대하여 상기 타임아웃 값 이내에 회신이 도착하였는지 판단하여(S147), 상기 타임아웃 값 이내에 회신이 도착한 경우에는 해당 아웃바운드/인바운드 SA의 Treferenced를 갱신한 후(S150), 상기 단계(S142)로 되돌아 가서 다음 SA에 대하여 검사를 수행하며, 반대로 상기 타임아웃 값 이내에 회신이도착하지 않은 경우 즉, 상기 타임아웃이 발생한 경우에는 현재의 전송 횟수를 관리자에 의해 설정된 최대 재전송 횟수와 비교하여(S147), 현재의 전송 횟수가 상기 최대 재전송 횟수보다 작으면 아직 재전송이 허용되는 경우이므로, 상대방 VPN 장비의 내부 인터페이스에 할당된 주소로 ICMP 에코 패킷이나 정의된 컨트롤 패킷의 재전송을 시도하고(S148), 상기 전송된 패킷에 대한 회신을 기다리고 재전송을 위한 타임아웃 값을 이전값의 두배로 설정, 전송횟수를 기록한다(S149). 그러나, 현재의 전송 횟수가 상기 최대 재전송 횟수보다 크면 해당 VPN 연결이 끊어졌음을 의미하며 이를 통보한다(S151). 이어, IKE부(103)는 끊어진 VPN 연결에 대해서 연결 재시도를 수행하고(S152), VPN 연결상태 모니터링부(104)는 상기 끊어진 해당 VPN 연결에 대해서 모니터링을 종료한다(S153). 계속하여, 모든 VPN 연결이 종료되었는지 판단하여(S154), 모든 VPN 연결이 종료되지 않았으면 상기 단계(S142)로 진행하여 다른 VPN 연결에 대해 동일한 프로세스를 수행하고, 모든 VPN 연결이 종료되었으면 VPN 연결상태 모니터링을 종료한다(S155).
본 발명에 따르면, 하기와 같은 효과가 있다.
첫째, 네트워크와 네트워크를 연결하기 위한 secure gateway to secure gateway 타입의 서로 다른 SA를 갖는 VPN 터널을 복수개(멀티 터널)로 운용이 가능함으로써 VPN 연결의 고 가용성을 이룰 수 있다.
둘째, 같은 VPN 네트워크 조합(party)에 대하여 여러 개의 회선을 이용하여 여러 개의 VPN, 터널을 생성하고 이를 동시에 사용할 수 있고, 이를 통하여 회선투자 비용 대비 회선 사용률을 비약적으로 높일 수 있다.
셋째, 멀티 터널을 사용하여 VPN 트래픽 대역폭에 대하여 동적이고 효율적인 부하 분산이 가능하다.
넷째, 동시에 사용되는 멀티 터널들은 서로에 대하여 독립적인 방식으로 동작하고 각각의 VPN 연결의 실패에 대해서도 독립성을 보장하므로 패킷의 유실없는 VPN 네트워크를 구축할 수 있다.

Claims (10)

  1. 네트워크 간에 패킷을 암호화/복호화하여 공중망을 통해 송수신하는 VPN 시스템에 있어서,
    관리자로부터 터널의 정보를 수신하여 관리하고, 현재 연결이 시도되는 VPN 연결의 터널이 멀티 터널인지 단일 터널인지 확인하여 상기 각 터널을 위한 SA를 생성하는 VPN 연결관리부;
    상기 VPN 연결의 멀티 터널 생성을 인식하여 상기 각 터널별로 고유 식별자를 부여하고, 전송할 IPSec 처리 패킷에 적용되는 SA를 검색하여 VPN 연결 터널을 설정하는 IPSec 멀티터널부;
    상기 멀티 터널의 각 터널별 트래픽 분산을 설정하는 멀티터널 트래픽 관리부;
    해당 VPN 연결의 터널로 처리된 IPSec 패킷을 상기 해당 VPN 연결의 터널을 구성하는 루트를 통해 전송하는 송신지 기반 멀티 패스 라우팅부;
    상기 각 터널의 연결 상태를 모니터링하는 연결상태 모니터링부; 및
    상기 각 터널의 트래픽 상태를 모니터링하는 트래픽 모니터링부를 포함함을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템.
  2. 제 1항에 있어서, 상기 SA는,
    상기 멀티 터널별로 상호 독립적으로 생성되는 것을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템.
  3. 제 1항에 있어서, 상기 VPN 시스템은,
    n개의 독립적인 외부 인터페이스를 가지며 n2개의 터널을 생성하는 것을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템.
  4. 제 1항에 있어서, 상기 IPSec 멀티터널부는,
    멀티 터널 타입의 SA의 생성/갱신/삭제 메시지를 수신하여 상기 멀티 터널의 개수 및 각 터널의 SA 셀렉터에 따라 상기 터널의 SA의 생성/갱신/삭제를 수행하는 것을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템.
  5. 제 4항에 있어서, 상기 SA 셀렉터는,
    라운드 로빈, 가중치 기반 대역폭 할당, 송신지 주소 기반 또는 트래픽 모니터링 기반 동적 대역폭 할당 방식 중 하나의 방식을 사용하는 것을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템.
  6. 네트워크 간에 패킷을 암호화/복호화하여 공중망을 통해 송수신하는 VPN 시스템 운용방법에 있어서,
    제1 VPN 시스템에서 제2 VPN 시스템으로 하나 이상의 VPN 연결 터널의 생성을 요청하는 제1단계;
    상기 제2 VPN 시스템은 상기 요청에 대한 해당 터널을 생성하고 상기 해당 터널에 대한 SA를 생성하는 제2단계;
    상기 생성된 터널이 멀티 터널인지 단일 터널인지 확인하여, 멀티 터널인 경우 상기 각 터널별로 전송할 IPSec 처리된 패킷의 트래픽 분산을 설정하는 제3단계;
    상기 각 터널별로 상기 IPSec 처리된 패킷을 상기 VPN 시스템간에 송수신하는 제4단계;
    상기 각 터널의 연결상태를 모니터링하는 제5단계; 및
    상기 각 터널의 트래픽 상태를 모니터링하는 제6단계를 포함함을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템의 운용방법.
  7. 제 6항에 있어서, 상기 제2단계는,
    IKE 협상을 수행하여 SA를 생성하는 것을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템의 운용방법.
  8. 제 6항에 있어서,
    현재의 VPN 연결이 멀티 터널인 경우, 상기 멀티 터널 타입의 SA 생성/갱신/삭제 메시지를 수신하는 단계;
    상기 메시지가 SA 생성/삭제 메시지이면, 상기 멀티 터널의 개수 및 각 터널의 SA 셀렉터에 따라 상기 터널의 SA의 생성/삭제를 수행하는 단계; 및
    상기 메시지가 SA 갱신 메시지이면, SA 자체 갱신인지 판단하여 SA 자체갱신이면 SA를 갱신하고 SA 자체 갱신이 아니면 상기 멀티 터널 트래픽 정책 갱신하는 단계를 추가로 포함하는 것을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템의 운용방법.
  9. 제 8항에 있어서, 상기 SA 셀렉터는,
    라운드 로빈, 가중치 기반 대역폭 할당, 송신지 주소 기반 또는 트래픽 모니터링 기반 동적 대역폭 할당 방식 중 하나의 방식을 사용하는 것을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템의 운용방법.
  10. 제 6항에 있어서,
    상기 제2단계에서 상기 각 터널은 상호 독립적으로 생성되며, 상기 각 터널에 대한 SA는 상기 각 터널별로 독립적으로 생성되는 것을 특징으로 하는 멀티 터널 IPSec을 지원하는 VPN 시스템의 운용방법.
KR10-2003-0030162A 2003-05-13 2003-05-13 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법 KR100506182B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0030162A KR100506182B1 (ko) 2003-05-13 2003-05-13 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0030162A KR100506182B1 (ko) 2003-05-13 2003-05-13 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법

Publications (2)

Publication Number Publication Date
KR20040098093A true KR20040098093A (ko) 2004-11-20
KR100506182B1 KR100506182B1 (ko) 2005-08-05

Family

ID=37376033

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0030162A KR100506182B1 (ko) 2003-05-13 2003-05-13 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법

Country Status (1)

Country Link
KR (1) KR100506182B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100664715B1 (ko) * 2005-12-27 2007-01-03 (주)액텔라 게이트웨이 다중화를 제공하는 지알이 기반 가상사설망
KR100886925B1 (ko) * 2006-12-06 2009-03-09 (주)액텔라 다중 터널을 지원하는 왠 가속 최적화 장치 및 그 방법
KR101308089B1 (ko) * 2011-12-29 2013-09-12 주식회사 시큐아이 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법
KR101489451B1 (ko) * 2013-12-30 2015-02-11 주식회사 시큐아이 다중 경로 가상 사설망 구성

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102271061B (zh) * 2010-06-07 2013-12-25 杭州华三通信技术有限公司 一种确定ip安全虚拟专用网隧道数量的方法和装置
US11477176B1 (en) 2021-05-27 2022-10-18 Microsoft Technology Licensing, Llc Throughput for a single VPN connection using multiple processing cores

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100664715B1 (ko) * 2005-12-27 2007-01-03 (주)액텔라 게이트웨이 다중화를 제공하는 지알이 기반 가상사설망
KR100886925B1 (ko) * 2006-12-06 2009-03-09 (주)액텔라 다중 터널을 지원하는 왠 가속 최적화 장치 및 그 방법
KR101308089B1 (ko) * 2011-12-29 2013-09-12 주식회사 시큐아이 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법
KR101489451B1 (ko) * 2013-12-30 2015-02-11 주식회사 시큐아이 다중 경로 가상 사설망 구성

Also Published As

Publication number Publication date
KR100506182B1 (ko) 2005-08-05

Similar Documents

Publication Publication Date Title
US20240129162A1 (en) System and method for virtual interfaces and advanced smart routing in a global virtual network
US10972437B2 (en) Applications and integrated firewall design in an adaptive private network (APN)
US10200264B2 (en) Link status monitoring based on packet loss detection
US8396954B2 (en) Routing and service performance management in an application acceleration environment
US20210036953A1 (en) Flow modification including shared context
EP2823620B1 (en) Enhancing ipsec performance and security against eavesdropping
JP2018521534A (ja) パケットシグネチャを使用してセッションを処理するためのネットワークデバイスと方法
JP2017529713A (ja) コンピュータネットワークパケットフローコントローラ
US11595305B2 (en) Device information method and apparatus for directing link-layer communication
US10432519B2 (en) Packet redirecting router
US11575577B2 (en) User information method and apparatus for directing link-layer communication
Goff et al. Unified transport layer support for data striping and host mobility
KR100506182B1 (ko) 멀티 터널 아이피에스이씨(ipsec)를 지원하는브이피엔(vpn) 시스템 및 운용방법
US8811179B2 (en) Method and apparatus for controlling packet flow in a packet-switched network
US20040258078A1 (en) Synchronous system and method for processing a packet
KR101401008B1 (ko) 연결성 검출 방법 및 이를 위한 컴퓨터 판독 가능한 기록매체
Brennan Exploring Alternative Routes Using Multipath TCP
Iyengar et al. Flow splitting with fate sharing in a next generation transport services architecture
CN117178523A (zh) 多上行链路路径质量感知ipsec
Headquarters WAN and Application Optimization Solution Guide Cisco Validated Design
Baste et al. Network Management through Packet Annotation
Yussuf Performance Comparisons of Internetwork Protocols

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee