KR20050098950A - 비 연결 모드 상에서 가상 사설 네트워크의 상호 연결을위한 방법 - Google Patents

비 연결 모드 상에서 가상 사설 네트워크의 상호 연결을위한 방법 Download PDF

Info

Publication number
KR20050098950A
KR20050098950A KR1020057015216A KR20057015216A KR20050098950A KR 20050098950 A KR20050098950 A KR 20050098950A KR 1020057015216 A KR1020057015216 A KR 1020057015216A KR 20057015216 A KR20057015216 A KR 20057015216A KR 20050098950 A KR20050098950 A KR 20050098950A
Authority
KR
South Korea
Prior art keywords
network
vpn
operator
virtual private
private network
Prior art date
Application number
KR1020057015216A
Other languages
English (en)
Inventor
벵쌍 쟈르뎅
알렝 리뚜
Original Assignee
씨스윈드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 씨스윈드 filed Critical 씨스윈드
Publication of KR20050098950A publication Critical patent/KR20050098950A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 운영자 액세스 라우터에서 암호화 메커니즘(ME)을 포함하는 것으로 구성된다. 여기서, 상기 암호화 메커니즘은 전송자 사이트(B1)가 수신자 사이트(Bn')로 전송되는 것을 요구하는 메시지에 대한 헤더를 산출할 수 있으며, 상기 헤더는 운영자에 의해서 제공되는 서비스와 관련된 적어도 하나 이상의 접두사, 가상 사설 네트워크 인식자(VPNB), 목적지 사이트(Bn') 네트워크 접두사 및 임의의 특정 값으로 추정될 수 있는 비트 필드를 포함한 접미사를 포함한다.

Description

비 연결 모드 상에서 가상 사설 네트워크의 상호 연결을 위한 방법{METHOD FOR INTERCONNECTING VIRTUAL PRIVATE NETWORKS IN NON-CONNECTED MODE}
본 발명은 비 연결 모드 상에서 가상 사설 네트워크의 상호 연결을 위한 방법에 관한 것이다.
일반적으로, 동일한 회사의 서로 다른 사이트의 네트워크들은 상호 연결 시스템을 투명하게 하는 서비스에 의해서 상호 연결된다. 운영자의 자원들을 사용하는 이러한 유형의 서로 다른 네트워크들의 투명한 상호 연결은 가상 사설 네트워크 또는 VPN이라고 불린다.
현재에는, 가상 사설 네트워크 VPN의 두 가지의 구조적인 군이 존재한다.
이러한 두 가지 구조적인 군 중 첫 번째 군은 한 명 또는 여러 명의 운영자에게 연결하는 가장 최근에 액세스한 고객 사이트의 라우터인 고객 액세스 라우터(CPE - Customer Premises Equipment)에서 시작하고 종료하는 터널(예: GRE, L2TP, IPsec)를 통해서 고객 사이트에 직접 연결하는 것이다. 이러한 방법은 고객에 대해서 다소간의 융통성을 제공하며, 고객이 자신의 장비를 제어하는 데에 있어서 높은 보안성을 제공한다. 그러나, 상대적으로 다음과 같은 중요한 이유로 인해서 폭 넓게 사용되지 않는다고 판명되어 있다.
- 다루어지는 터널의 수가 많다: 고객 액세스 라우터(CPE)가 N개로 구성된 완전 망형 네트워크의 경우 개의 터널이 필요하다.
- 고객 액세스 라우터(CPE)로 배열되는 네트워크 장비의 수와 거리는 잘못 배열된 경우에는 기술적인 이동이 필연적으로 수반된다.
두 번째의 구조적인 군으로 제안된 해결 방법은 가상 사설 네트워크(VPN)로부터 고객 액세스 라우터(CPE)까지의 링크가 아니라 운영자 액세스 라우터(PE - Premises Equipment)에서 운영자 액세스 라우터(PE)까지의 링크를 확립하는 방법을 포함하는 것이다. 이를 위하여, 가장 많이 사용되는 방법은 코어 네트워크상에서, 연결 모드 형태의 네트워크 기법이며 그의 회로가 설정되어 있고 라벨에 따른 한 쪽에서 다음까지 스위칭하는 것을 기반으로 한 전송 모드인 라벨 스위칭 네트워크(MPLS - Multi Protocol Label Switching) 기법의 사용을 포함한다. 이러한 경우에 있어서, 운영자 액세스 라우터(PE)는 라벨 스위칭 네트워크 (MPLS)의 터널의 종류로 구성된 LSP(Label Switch Path) 경로로 구성되는 그리드를 설정한다. 이러한 점에 있어서, 다시 상기하지만, 정의에 따라서, 시스템은 링크 상태에 있을 때 연결 모드로 상호 연결된다. 따라서, 라벨 스위칭 네트워크(MPLS)는 종단 라우터(MPLS) 사이에서 네트워크의 코어(Core Network) 상에서 경로의 개통을 요구한다.
이러한 두 번째의 구조적인 군은 고객의 IP 프레임이 전송되기 위하여 운영자의 첫 번째 에지 라우터를 구성하는 운영자의 액세스 라우터(PE - Premises Equipment) 상에서 더욱 많은 자원들을 요구한다. 그러나, 이것은 다음의 이유로 인하여 더욱 낮은 관리 비용을 갖는다:
- 운영자 액세스 라우터 (PE)는 고객 액세스 라우터 (CPE)보다 아주 적은 수이다.
- 운영자 액세스 라우터는 항상 ISP(Internet Service Provider)에서 애그리게이션 방법으로 관리된다.
그러나, 이러한 두 번째 방법은 다음과 같은 사실로 인하여 주된 단점을 갖는다:
- 상기의 방법은 IP 인터넷 프로토콜의 본래의 해결 방법이 아니기 때문에 부가적인 프로토콜을 첨가함으로써 시스템의 복잡도가 증가된다.
- 기술(MPLS)은 모든 네트워크에서 유용하지 않다.
- 서로 다른 관리 상의 네트워크 엔티티 상에서 기술(MPLS)을 폭 넓게 사용하는 것이 가능하지가 않다.
도 1은 본 발명에 따른 방법과 관련된 네트워크 환경의 다이아그램이다.
따라서 본 발명의 목적은 이러한 단점을 제거하기 위한 것이다.
이러한 목적을 위하여, 네트워크 주소의 포맷에 기초한 방법을 제안하며, 상기의 방법은 IP 사설 네트워크 사이에서 데이터를 전송하기 위하여, 또는 고객 액세스 라우터 (CPE)와 운영자 액세스 라우터 (PE) 상에서 가상 사설 네트워크 VPN의 문제에 대한 간단하고 자동적인 해결책을 얻기 위하여 데이터의 자동 암호화를 제공한다.
본 발명에 따르면, 이러한 방법은 액세스 라우터(CPE 또는 PE)에서 헤더가 전송 사이트 Ai에서 수신 사이트 Aj로 전송되는 것을 요구하는 메시지의 산출을 허용하는 간단한 암호화 기법을 설정하는 것을 포함하며, 이러한 헤더는 운영자에 의해 제공되는 서비스와 관련된 적어도 하나 이상의 PREFservice 접두사, 가상 사설 네트워크(VPN) 인식자, 수신 사이트 Aj에서의 네트워크 접두사 Nj 및 임의의 값으로 추정되는 비트 필드를 포함하는 접미사 Sx로 구성되어 있다.
바람직하게는, 상기 방법은 주소가 128비트로 코드화되는 것에 따라 IPv6 형태의 주소 기법을 사용할 수 있다. 이러한 경우에 있어서, 다음의 장점들을 얻을 수 있다:
- 본 발명에 따른 방법은 현재의 IPv4 사설 네트워크와는 달리 IPv6 네트워크에서의 마이그레이션을 포함하지 않는다. 결론적으로, 사용자는 자신들의 IPv4 인프라 구조와 자신들의 사설 주소 기법을 계속해서 사용할 수 있다.
- 이러한 방법은 코어 네트워크의 모든 라우터들을 업데이트하는 운영자를 포함하지 않으며, 이는 라벨 스위칭 기법 (MPLS)에 대한 경우이다.
- 운영자의 IPv6 네트워크 간의 상호연결은 IPv6/IPv4 마이그레이션 터널에 의해서 형성될 수 있다.
- 이러한 방법은 현재의 라벨 스위칭 가상 사설 네트워크 (VPN - MPLS)의 서비스와 비교하여, IPv6 네트워크 상에 이미 존재하는 (예를 들면, IPv6 헤더의 FlowLabel 필드를 갖는) QoS(Quality of Service) 기법을 단지 사용함으로써 네트워크 트래픽 엔지니어링 서비스를 제공하는 것이 가능하다.
MPLS 형태의 해결 방법과 관련하여, 본 발명에 따른 해결 방법의 장점은 다음과 같다:
- IP 패킷 플럭스가 코어 네트워크에 의해서 비 연결 모드에서 전송될 수 있다. 따라서, VPN 가상 사설 네트워크를 통한 상호 연결 서비스의 배치 비용이 감소된다. 본 발명에 따른 방법에 의해서 얻어진 자동 운영은 뚜렷한 장점이다.
- 동일한 이유로, 적절한 라우팅 정책 원칙(eBGP)에 의해서 임의의 스탠드 얼론 시스템(standalone system)을 제한하면서 IP 패킷 플럭스 또한 운영자 관리 엔티티(스탠드 얼론 시스템) 이상으로 전송될 수 있다.
- 두 개의 전송 모드를 선택하는 것이 가능하며, 그 중 하나는 상기에서 기술한 접두사의 수를 모으는 것을 허용한다.
- 서로 다른 가능한 라우팅 프로토콜에 따라서 선택되는 본 발명에 따른 방법을 적용하는 다 수의 모드가 존재한다. 임의의 경우에 있어서, 상기의 응용 모드는 이전에 정의된 주소 포맷의 문법을 사용한다.
- 코아 네트워크가 다중 캐스팅 다중 홉 주소 기법에 대한 지원을 제공할 때, 내부 스위칭 테이블의 로딩없이, 가상 사설 네트워크 VPN의 종단 라우터 사이에서의 쌍(사설 네트워크, 상기의 사설 네트워크를 액세스하기 위한 라우터)으로부터 전파되는 정보를 사용할 수 있다.
- 다중 캐스트 라우팅 지원이 존재하지 않을 때, 전송 서비스가 사설 네트워크 사이에서 연속적으로 제공되는 단일 캐스트 라우팅 테이블을 사용하는 것이 가능하다.
- IP 시큐리티(<<IPsec>>)에 의존한 기술에 의하여, 이러한 비 연결된 VPN 가상 사설 네트워크의 시큐리티는 암호화 및 인증 기법을 사용함으로써 확실하게 예상할 수 있다.
IP 구조에서 존재하는 QoS(Quality of Service) 서비스는 어떠한 변화도 없이 재사용될 수 있다. 이는 네트워크 코아에 대해서 라벨 스위칭 네트워크의 트래픽 공학에 대해서 선택적인 것이다.
이하, 본 발명의 실시 형태가 첨부된 도면을 참조하여 비한정적 예로서 기술될 것이다.
더욱 상세하게는, 도 1은 두 개의 가상 네트워크 VPNA ,VPNB를 도시하며, 각각의 네트워크는 실선과 점선으로 표시되어 있고, n, n'개의 사이트, 즉 A1....An, B1....Bn'의 사이트를 포함하며, 또한 m, m'개의 로컬 네트워크 즉, N1...Nm, N'1...N'm의 로컬 네트워크를 포함하고 각각은 일치된 주소 기법을 갖고 있다. 상기의 로컬 네트워크는 n개의 인터페이스 IFA1...IFAn과 n'개의 인터페이스 IFB1, IFB2...IFBn'을 통하여 PE 또는 CPE 형태의 p개의 라우터 R1...Rp에 연결되어 있다. 인터페이스 IFA1과 IFAn은 각각 A1사이트 및 An사이트의 인터페이스이며, 반면에 인터페이스 IFB1, IFB2, IFBn'은 각각 B1, B2, Bn'사이트의 인터페이스이다. 이러한 인터페이스들은 가상 또는 실제적인 것이다. 몇몇의 인터페이스(IFA1...IFAn - IFB1, IFB2...IFBn')들은 동일한 라우터 상에 존재한다. 또한, 몇몇의 사이트들은 동일한 라우터에 연결되어 있으며, 라우터 R1...Rp는 IPv4 및 IPv6 인터넷 프로토콜의 두 개의 스택을 포함한다.
본 발명에 따른 방법과 관련하여, 사이트 A1...An 사이에서의 가상 사설 네트워크 VPNA의 데이터를 전송하기 위하여 라우터 R1...Rp의 인터페이스 IFA1...IFAn 사이의 IPv6 프로토콜에 따라 전송을 사용하는 방법이며, 확장성 및 단순성의 기준을 만족시키기 위하는 것을 이해함에 따라서 상기의 전송은 정적 연결 터널 또는 동적 연결 터널 둘 다 사용하지 않으며 이는 라벨 스위칭 (MPLS)인 경우에서와 동일한 것이다.
사실상, 본 발명이 해결하고자 하는 문제는 다음과 같이 기술하는 바와 같다. 하나가 IP 패킷과 같은 메시지를 전송하고자 하는 사이트 Aj(1 ≤ j ≤ n)에 대한 사이트 Ak(1 ≤ k ≤ n)의 네트워크 접두사 Ni(1 ≤ i ≤ m)에 의해서 명시되면, 본 발명에 따른 방법이 수행될 것이라는 일 타스크가 인터페이스 IFAj에 도달하는 IP 패킷이 인터페이스 IFAk에 전송되는 것에 따른 방법을 결정하는 네트워크를 갖는다.
본 발명이 상기의 문제를 해결하기 위하여 제안된 방법은 운영자에 의해서 제공되어 지는 PREFservice 서비스의 접두사로부터, VPN 가상 사설 네트워크의 인식자로부터 그리고 목적지 사이트 Ak의 네트워크 접두사 Ni로부터 목적지 주소 IFAk를 구축하는 것을 포함한다. 따라서, 상기의 문제를 해결하기 위하여 사용되어 지는 상기의 주소는 다음과 같은 형태로 표현된다.
IFAk의 주소 = PREFservice:PREFfeed:VPNA:Ni:Sx/(M+Mf+MVPN+Mi)
여기에서,
PREFservice/M은 운영자에 의해서 제공되어 지는 서비스를 위하여 사용되어 지는 네트워크 접두사를,
Ni/Mi는 목적지 인터페이스 IFAk를 통하여 도달되어 지는 목적지 사이트 Ak의 (IPv4 또는 IPv6) 접두사의 하나를,
VPNA는 MVPN 비트로 코드화되며 사이트 Aj 및 Ak를 포함하는 공통 가상 사설 네트워크의 인식자를,
PREFfeed/Mf는 주소의 길이가 조정되어 지는 비트의 상수 필드를,
Sx는 임의의 값으로 추정되며 주소의 접미사인 비트의 필드를 표현한다.
유일한 도면은 메커니즘이 구조 내에 포함되어 있는 위치를 규정한다. 도면은 네트워크의 IP 패킷의 진행을 도시하며, 헤더를 고려한 (여기에서의 예제처럼 VPNB를 획득하는 것에 의해서) ME 메커니즘에 의해서 제공되어 지는 변화를 표현한다.
가상 사설 네트워크를 상호 연결하기 위한 상기의 ME 메커니즘은 코어 네트워크 (RC)의 종단, 여기에서는 라우터 R2에 위치되어 진 운영자의 액세스 라우터로 구성되어 있다. 상기의 ME 메커니즘은 PA 패킷을 암호화를 제공하며, 새로운 헤더를 암호화된 패킷에 설정한다. 따라서, 상기의 PA 패킷은 운영자의 액세스 라우터 (PE), 여기에서는 Rp에 의해서 복호화되거나 또는 목적지 네트워크, 여기에서는 Bn'과 관련된 고객의 액세스 라우터 (CPE)에 의해서 복호화된다.
상기의 예제에서, 목적지 로컬 네트워크 Bn'으로 메시지를 전송하기를 원하는 로컬 네트워크 B1은 패킷을 암호화하기 위하여 코어 네트워크 RC의 종단에서 액세스 라우터 R2를 사용한다. 상기의 암호화는 코어 네트워크 RC 내에서 IP 패킷이 전송되는 노드를 통하여 결정하는 것이 가능한 라우팅 테이블 TR을 사용하는 상호 연결 메커니즘에 의해서 수행된다.
상기의 메커니즘에 따라, 원래의 IP 패킷을 전송자 사이트 B1이 IP 패킷을 전송하는 것을 요구하기 위하여 사이트 Bn'의 인터페이스 IFBn'의 주소 (여기에서는 @EDSTK)를 포함하는 새로운 헤더로 연결되어 지는 것이 가능하다.
예제 I - VII는 IPv4 형태의 인프라 구조를 사용할 때 IFAk 주소를 결정하기 위한 원리를 설명한 것이다.
예제 I :
IFAk 인터페이스의 주소의 구조 내로 유입되는 아이템은 다음과 같다.
PREFservice/M = 2001:baba:1234::/48 (운영자 서비스 네트워크 접두사)
PREFfeed/Mf = 0/0
VPNA/MVPN = 6100/16 (공통 가상 사설 네트워크 인식자)
Ni/Mi = 10.10.1.0/23 (0a.0a:01.00/23) (사이트 Ak의 접두사)
본 발명에 따라서, IFAk 주소는 표현 (1)에 의해서 결정되며 다음과 같이 표현된다.
IFAK = 2001:baba:1234:6100:0a0a:0100::/87
예제 II :
이 예제에서는, 아이템 PREFservice/M, PREFfeed/Mf, VPNA/MVPN 및 Ni/Mi는 다음과 같이 표현된다.
PREFservice/M = 2001:baba:1234::/48
PREFfeed/Mf = 0506:0708/32(=128-48-32-16)
VPNA/MVPN = 6100/16
Ni/Mi = 10.10.1.0/23(0a.0a.01.00/23)
따라서, IFAk의 표현식은 다음과 같다.
IFAk = 2001:baba:1234:0506:0708:6100:0a0a:0100::/119
최악의 경우에 있어서, 예를 들어서, 아이템 PREFfeed에 따라서 128비트의 IFAk 주소를 갖는 것이 가능하다.
예제 III :
이 예제는 IPv6 형태의 인프라 구조인 경우에 있어서 IFAk 주소를 결정하는 것과 관련되어 있다.
PREFservice/M = 2001:baba:1234::/48
PREFfeed/Mf = 0/0
VPNA/MVPN = 6100/16
Ni/Mi = fec0:cafe:deca:c1c0::/64
이것에 따라서, 다음과 같이 결론지어 진다.
IFAk = 2001:baba:1234:06100:fec0:cafe
물론, 합 M+Mf+MVPN+Mi는 어떠한 경우이라도 128 비트보다 작거나 같다.
예제 IV :
이 예제는 4in6 또는 6in6 형태의 암호화에 본 발명을 적용시킨 것과 관련되어 있다.
상기의 형태의 암호화는 IPv6 패킷 내에서 IPv4 패킷 (4in6 암호화인 경우) 또는 IPv6 패킷(6in6 암호화인 경우)을 전송하는 것을 포함한다.
Nh 네트워크 ESRCj 소스와 Ni 네트워크 EDSTK 목적지 암호화 주소는 다음과 같은 방법으로 구성되어 진다.
ESRCj = PREFservice:PREFfeed:VPNA:Nh:Sx
EDSTK = PREFservice:PREFfeed:VPNA:Ni:Sx
여기에서,
- PREFservice/M은 운영자에 의해서 제공되어 지는 서비스에 의해서 사용되어 지는 접두사를,
- Nh 및 Ni는 사이트 Aj 및 Ak의 두 터미널 사이에서의 플럭스의 소스 및 목적지 주소 (IPv4에서 완전한 주소, 또는 IPV6에서 단지 처음 64 비트)를,
- VPNA는 MVPN 비트이며, 사이트 Aj 및 Ak를 포함하는 공통 가상 사설 네트워크의 인식자를 나타낸다. 주소 ESRCj 및 EDSTK는 합 M+Mf+MVPN+길이(Nx)에 의해서 표현되며, 128 비트보다 작거나 같다 (x = h 또는 i).
예제 V :
이 예제는 소스 주소 10.10.2.1를 갖는 10.10.2.0/24 IPv4 사설 네트워크로부터 IPv4 프레임의 전송에 관한 것이며, 다음을 갖는 10.10.1.0/24 네트워크의 주소 10.10.1.1를 갖는 IPv4 터미널에 전송되어 지는 것이다.
PREFservice/M = 2001:baba:1234::/48
PREFfeed/Mf = 0/0
VPNA/MVPN = 6100/16
Nh = 10.10.2.1 (0a.0a.02.01)
Ni = 10.10.1.1 (0a.0a.01.01)
따라서, 암호화 주소는 다음과 같다.
ESRCj = 2001:baba:1234:6100:0a0a:0201::
EDSTK = 2001:baba:1234:6100:0a0a:0101::
예제 VI :
이 예제는 예제 V의 한 형태의 전송에 관련된 것이나, PREFfeed는 최악의 경우에서 사용되어 진다.
PREFservice/M = 2001:baba:1234::/48
PREFfeed/Mf = 0506:0708/32 (=128-48-32-16)
VPNA/MVPN = 6100/16
Nh = 10.10.2.1 (0a.0a.02.01)
Ni = 10.10.1.1 (0a.0a.01.01)
다음과 같은 암호화 주소가 얻어진다.
ESRCj = 2001:baba:1234:0506:0708:6100:0a0a:0201
EDSTK = 2001:baba:1234:0506:0708:6100:0a0a:0101
예제 VII :
이 예제는 IPv6 형태의 VPN 가상 사설 네트워크의 경우에서 예제 V의 하나와 유사한 전송에 관한 것이다.
이 경우에 있어서, IPv6 네트워크를 특징짓고 표현하는 Nh 및 Ni의 처음 64 비트를 유지하는 것이 충분하다.
여기에서, 소스 주소 fec0:cafe:deca:c2c0::EUI64를 갖는 fec0:cafe:deca:c2c0::/64 IPv6 사설 네트워크로부터의 IPv6 프레임은 fec0:cafe:deca:c1c0::/64 네트워크의 fec0:cafe:deca:c1c0:EUI64 주소로 갖는 IPv6 터미널로 전송되어 진다.
따라서, 암호화 주소는 다음과 같다.
ESRCj = 2001:baba:1234:6100:fec0:cafe:deca:c2c0
EDSTK = 2001:baba:1234:6100:fec0:cafe:deca:c1c0
목적지를 향하여 데이터가 전송되어 지는 것은 제공되어 지는 가상 사설 네트워크의 수에 의존한다는 문제점을 일으킨다. 존재하는 운영자의 라우팅 또는 다중 홉 형태의 분배를 갖는 라우팅 프로토콜을 사용하는 라우팅 테이블을 구축하는 것을 포함하며, 운영자의 라우팅을 사용하는 첫 번째 해결 방법은 어떠한 애그리게이션도 허용하지 않는 것이며, 반면에 두 번째 해결 방법은 애그리게이션 방법이다.
다음에 기술되는 예제 VIII 및 IX는 이러한 형태들의 해결책이다.
예제 VIII (존재하는 운영자의 라우팅의 사용) :
라우터 Rk의 IFAk의 인터페이스의 접두사가 표준 라우팅 프로토콜 (예를 들어서, BGP, OSPFv3, RIPng 형)에 의해서 재분배되면, 상기의 접두사에 포함되어 있는 목적지 주소 EDSTK를 갖는 프레임은 자연적으로 IFAk 인터페이스를 향하여 전송되어 진다.
N 번의 가상 사설 네트워크 VPN를 제공하는 운영자와 M개의 사이트를 갖는 가장 큰 가상 사설 네트워크 VPN에 대해서, 전송 테이블 모두는 약 N x M의 외부 경로를 갖는다. 상기의 해결 방법은 곱 N·M이 약 일년당 20개의 엔트리의 증가를 갖는 IPv4 라우팅 테이블 (즉, 120,000 엔트리)보다 매우 작다는 것이 만족스럽게 증명된다.
예를 들어서, 운영자가 12개 사이트의 10,000 개의 가상 사설 네트워크를 제공한다면, 자신들의 v6 내부 라우팅 표는 IPv4 테이블과 마찬가지로 로드될 것이다.
따라서, 본 방법에 따라서 단일 암호화 레벨을 얻는 것이 가능하다.
예제 IX :
이 해결 방법은 몇몇의 모드에서 다중 캐스트 방송을 지원하기 위한 수정된 RIPng 또는 OSPFv3 라우팅 프로토콜 버젼과 유사한 다중 홉 분배 라우팅 프로토콜을 사용한다. 그들은 또한 독점 프로토콜 또는 MP-BGP4로 명명된 프로토콜을 포함한다.
라우터 Rj의 레벨에서, 문제는 유용하게 로드되어 전송하기 위하여 라우터 Rk의 IFAk 인터페이스의 주소를 발견하는 것과 동일한 것이다. 따라서, 다중 홉 다중 캐스트 또는 단일 캐스트 완전 망 형의 IPv6 라우팅 프로토콜이 사용되면, 라우터 Rk의 전역 주소를 갖는 다음 홉으로 교체하는 것이 가능하다. 따라서, 내부 라우터의 전송 테이블의 로딩없이 동일한 VPNA 가상 사설 네트워크의 IFAj 및 IFAK 간에의 도달 가능성은 비 연결 모드에서 확장되어 진다.
따라서, 이 방법은 두 개의 암호화 레벨을 갖는다.
그러나, 목적지 옵션과 같은 IPv6 헤더 옵션을 사용한다면 단지 한 개의 암호화 레벨이 요구되어 진다.
본 발명에 따른 방법에 의해서 적용된 메커니즘의 중요한 장점은 운영자에 의해서 제공된 가상 사설 네트워크 (VPN)을 보다 용이하게 배치할 수 있다는 것이다. 더욱이, 상기의 방법은 동일한 가상 사설 네트워크 VPN에 대해서 몇몇의 운영자 사이에 배치되어 지는 가상 네트워크 (운영자에 의해서 제공된)을 허용한다.
본 발명에 의해서 제공된 또 다른 장점은 IPv4 및 IPv6 주소 기법의 애그리게이션을 배치하는 것을 사용하고, 모든 인터넷 네트워크를 통하여 IFAk 인터페이스의 전파 접두어를 갖는 운영자를 피할 수 있다는 것이다.
특별하게도, 본 방법은 라벨 스위칭 네트워크 (MPLS)do 선택적인 IP 형을 제공하는 데에 적절하다.

Claims (11)

  1. 전송자 사이트(Aj)와 운영자의 액세스 라우터(PE)를 통한 수신자 사이트 (Ak) 사이에 데이터를 전송하기 위한 라우터의 인터페이스 간의 메시지의 전송을 제공하기 위하여, 비 연결 모드에서 가상 사설 네트워크를 상호 연결하기 위한 방법에 있어서,
    상기의 라우터 또는 고객 액세스 라우터(CPE)를 통한 전송자 사이트(Aj)가 수신자 사이트(Ak)로 전송되는 것을 요구하는 메시지에 대한 헤더를 산출하는 데에 적합한 암호화 메커니즘(ME)을 포함하며, 상기의 헤더는 운영자에 의해서 제공되는 서비스에 관련된 적어도 하나 이상의 접두어(PREFservice), 가상 사설 네트워크 인식자(VPN), 목적지 사이트(Ak)의 네트워크 접두사(Ni) 및 임의의 값으로 추정되는 비트 필드를 포함하는 접미사(Sx)를 포함하는 것을 특징으로 하는 방법.
  2. 제 1 항에 있어서,
    IPv6 형의 주소 기법을 사용하며, 상기 주소는 128 비트로 코드화되는 것을 특징으로 하는 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 운영자의 네트워크 (IPv6) 간의 상기 상호 연결은 마이그레이션 터널 (IPv6/IPv4)에 의해 수행되는 것을 특징으로 하는 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    라벨 스위칭 가상 사설 네트워크(VPN - MPLS)의 서비스와 유사한 네트워크 트래픽 엔지니어링 서비스를 제공하기 위하여 네트워크 (IPv6) 상에서 미리 존재하는 서비스 품질(QoS) 메커니즘을 사용하는 것을 특징으로 하는 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 패킷 플로우(IP)는 코어 네트워크(RC)에 의해서 비 연결 모드 상으로 전송되는 것을 특징으로 하는 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    사설 네트워크/라우터 쌍으로부터 코어 네트워크가 다중 캐스트 다중 홉 형태의 라우팅에 대한 지원을 제공할 때, 내부 스위칭 테이블의 로딩없이, 가상 사설 네트워크 (VPN)의 종단 라우터 간의 상기의 사설 네트워크까지 정보를 전송하기 위하여 다중 캐스트 다중 홉 형태의 라우팅을 사용하는 것을 특징으로 하는 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    다중 캐스트 형태의 라우팅 지원이 없을 때, 사설 네트워크 간의 서비스 전송을 제공하기 위하여 단일 캐스트 형태의 라우팅 테이블을 사용하는 것을 특징으로 하는 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    시큐리티(IPsec)에 의존한 기법에 의해서 비 연결 가상 사설 네트워크의 보안을 설정하기 위하여 메시지의 암호 및 인증을 포함하는 것을 특징으로 하는 방법.
  9. 제 1 항 내지 제 8 항 중 어느 한 항에 있어서,
    상기의 암호화 메커니즘(ME)은 운영자의 액세스 라우터 또는 네트워크의 종단에 위치한 고객 액세스 라우터(R2)에 배치되며, 상기의 메커니즘(ME)에 의해서 암호화된 패킷은 운영자의 액세스 라우터(Rp) 또는 목적지 네트워크(Bn')에 연결된 고객 액세스 라우터("CPE")에 의해서 복호화하는 것을 특징으로 하는 방법.
  10. 제 1 항 내지 제 9 항 중 어느 한 항에 있어서,
    상기 암호화 메커니즘은 패킷(IP)이 코어 네트워크(RC) 내에서 통과되는 노드를 결정하는 라우팅 테이블(TR)을 사용하는 것을 특징으로 하는 방법.
  11. 제 1 항 내지 제 10 항 중 어느 한 항에 있어서,
    패킷을 전송하기 위한 문제를 해결하기 위해서, 상기 메커니즘은 다음과 같은 형태를 갖는 목적지 주소(IFAk)를 구성하는 것을 특징으로 하는 방법.
    IFAk의 주소 = PREFservice:PREFfeed:VPNA:Ni:Sx/(M+Mf+MVPN+Mi)
    여기에서,
    PREFservice/M은 운영자에 의해서 제공되는 서비스를 위하여 사용되는 네트워크 접두사이고,
    Ni/Mi는 목적지 인터페이스 IFAk를 통하여 도달되는 목적지 사이트 Ak의 (IPv4 또는 IPv6) 접두사 중 하나이며,
    VPNA는 MVPN 비트로 코드화되고 사이트 Aj 및 Ak를 포함하는 공통 가상 사설 네트워크의 인식자이고,
    PREFfeed/Mf는 주소의 길이가 조정되는 비트의 상수 필드이며,
    Sx는 임의의 값으로 추정되고 주소의 접미사인 비트의 필드임.
KR1020057015216A 2003-02-20 2003-12-24 비 연결 모드 상에서 가상 사설 네트워크의 상호 연결을위한 방법 KR20050098950A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0302116A FR2851706B1 (fr) 2003-02-20 2003-02-20 Procede pour l'interconnexion de reseaux prives virtuels en mode non connecte.
FR03/02116 2003-02-20

Publications (1)

Publication Number Publication Date
KR20050098950A true KR20050098950A (ko) 2005-10-12

Family

ID=32799471

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057015216A KR20050098950A (ko) 2003-02-20 2003-12-24 비 연결 모드 상에서 가상 사설 네트워크의 상호 연결을위한 방법

Country Status (8)

Country Link
US (1) US20060179480A1 (ko)
EP (1) EP1595362A1 (ko)
JP (1) JP2006514496A (ko)
KR (1) KR20050098950A (ko)
CN (1) CN1754350A (ko)
AU (1) AU2003304002A1 (ko)
FR (1) FR2851706B1 (ko)
WO (1) WO2004084495A1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100739803B1 (ko) * 2006-04-21 2007-07-13 삼성전자주식회사 이동 노드에서의 핸드오버 장치 및 방법
CN101552727B (zh) * 2009-05-12 2011-06-22 杭州华三通信技术有限公司 一种报文发送和接收方法及运营商边缘路由器
US9210065B2 (en) 2009-06-22 2015-12-08 Alcatel Lucent Providing cloud-based services using dynamic network virtualization
US20140122618A1 (en) * 2012-10-26 2014-05-01 Xiaojiang Duan User-aided learning chatbot system and method
US10749840B2 (en) 2016-07-08 2020-08-18 Waldemar Augustyn Network communication method and apparatus
US20220321604A1 (en) * 2021-03-30 2022-10-06 Juniper Networks, Inc. Intent-based enterprise security using dynamic learning of network segment prefixes

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6339595B1 (en) * 1997-12-23 2002-01-15 Cisco Technology, Inc. Peer-model support for virtual private networks with potentially overlapping addresses
US7110375B2 (en) * 2001-06-28 2006-09-19 Nortel Networks Limited Virtual private network identification extension

Also Published As

Publication number Publication date
JP2006514496A (ja) 2006-04-27
FR2851706B1 (fr) 2005-06-10
CN1754350A (zh) 2006-03-29
US20060179480A1 (en) 2006-08-10
WO2004084495A1 (fr) 2004-09-30
EP1595362A1 (fr) 2005-11-16
FR2851706A1 (fr) 2004-08-27
AU2003304002A1 (en) 2004-10-11

Similar Documents

Publication Publication Date Title
US7660324B2 (en) Virtual network construction method, system, and relaying apparatus
Gleeson et al. A framework for IP based virtual private networks
US7486659B1 (en) Method and apparatus for exchanging routing information between virtual private network sites
US7366894B1 (en) Method and apparatus for dynamically securing voice and other delay-sensitive network traffic
Kompella et al. Virtual private LAN service (VPLS) using BGP for auto-discovery and signaling
US7369556B1 (en) Router for virtual private network employing tag switching
US6526056B1 (en) Virtual private network employing tag-implemented egress-channel selection
US7653074B2 (en) Method and apparatus for virtual private networks
US7724732B2 (en) Secure multipoint internet protocol virtual private networks
EP1164754B1 (en) Methods and arrangements in a telecommunications system
US20050027782A1 (en) Method for providing scalable multicast service in a virtual private LAN service
US7274704B1 (en) Piggybacking VPN information in BGP for network based VPN architectures
US20030174706A1 (en) Fastpath implementation for transparent local area network (LAN) services over multiprotocol label switching (MPLS)
US20070260746A1 (en) Maintaining IGP transparency of VPN routes when BGP is used as a PE-CE protocol
US7558877B1 (en) Self-configuring method and apparatus for providing secure communication between members of a group
US7280534B2 (en) Managed IP routing services for L2 overlay IP virtual private network (VPN) services
Lee et al. End-to-end QoS architecture for VPNs: MPLS VPN deployment in a backbone network
US6868086B1 (en) Data packet routing
CN110086720B (zh) 基于二维路由协议实现l3vpn的方法及系统
KR20050098950A (ko) 비 연결 모드 상에서 가상 사설 네트워크의 상호 연결을위한 방법
Gleeson et al. RFC2764: A framework for IP based virtual private networks
KR100728292B1 (ko) 가상 랜 네트워크 및 그 서비스 제공 방법
EP1351450A2 (en) Fastpath implementation for transparent local area network (LAN) services over multiprotocol label switching (MPLS)
CN113630324A (zh) 基于mpls-vpn的新型跨域互联方法
KR100519166B1 (ko) 에이티엠 엠피엘에스 브이피엔 망에서의 반향 요청 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid