KR20070035502A - Methods and arrangements for connection determination in multi-domain virtual private network - Google Patents
Methods and arrangements for connection determination in multi-domain virtual private network Download PDFInfo
- Publication number
- KR20070035502A KR20070035502A KR1020067026582A KR20067026582A KR20070035502A KR 20070035502 A KR20070035502 A KR 20070035502A KR 1020067026582 A KR1020067026582 A KR 1020067026582A KR 20067026582 A KR20067026582 A KR 20067026582A KR 20070035502 A KR20070035502 A KR 20070035502A
- Authority
- KR
- South Korea
- Prior art keywords
- vpn
- information
- domain
- domains
- adjacent
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
Abstract
2 이상의 상호 접속된 도메인을 가진 통신 네트워크 내에서 VPN에 관한 정보는 푸시 메카니즘에 의해 각 도메인 내에 수집된다. VPN에 관한 정보는 여러 VPN이 현재 이용 가능한 도메인의 적어도 도메인 ID를 포함한다. 도메인 VPN 정보는 각 도메인 내에 수집된다. 이 수집은, VPN 정보의 변경과 같은 외부 이벤트에 의해 트리거될 수 있다. 제공된 도메인 VPN 정보는, 바람직하게는, 도메인 오퍼레이터 간의 SLA에 의한 제한 하에 인접한 도메인으로 확산된다. 캐스캐이드된 방식으로, 전체 이용 가능한 도메인 VPN 정보는 모든 도메인으로 확산된다. VPN에 관해 수집된 정보는 적절한 접속 경로를 찾기 위해 평가된다.In a communication network having two or more interconnected domains, information about the VPN is collected in each domain by a push mechanism. The information about the VPN includes at least the domain ID of domains for which several VPNs are currently available. Domain VPN information is collected within each domain. This collection can be triggered by external events such as changes in VPN information. The provided domain VPN information is preferably spread to adjacent domains under the constraints of the SLA between domain operators. In a cascaded manner, the entire available domain VPN information is spread across all domains. Information gathered about the VPN is evaluated to find the appropriate connection path.
통신 네트워크, 가상 사설 네트워크, 도메인, 긍정 응답 메시지 Communication network, virtual private network, domain, positive response message
Description
본 발명은 일반적으로 통신 시스템에서의 가상 사설 네트워크에 관한 것으로서, 특히, 멀티도메인 통신 시스템에서의 가상 사설 네트워크에 대한 적절한 접속 경로의 결정에 관한 것이다.FIELD OF THE INVENTION The present invention relates generally to virtual private networks in communication systems and, in particular, to the determination of appropriate connection paths to virtual private networks in multidomain communication systems.
가상 사설 네트워크(VPN)는 공중 또는 사설 통신 네트워크를 이용하여 사설 통신을 행한다. 통상적으로, 광역 네트워크를 구축하기를 원하는 회사 또는 다른 고객은 연결성을 제공하도록 각 노드 간에 자신의 전용선을 가져야 한다. 그러나, 이와 같은 솔루션은 일반적으로 고가이고 유연성이 없다. 지난 몇 년 동안, VPN의 개념은 급속히 발전하였다. VPN은, 많은 고객 간에 통신 네트워크가 공유되지만, 각 고객의 통신은 가상으로 분리되는 솔루션을 제공한다. VPN 기술은 종종 터널링(tunnelling)의 사상에 기초로 한다. 네트워크 터널링은 논리 네트워크 접속을 확립하여 유지하는 것을 포함한다. 이 접속에서, 패킷이 어떤 다른 베이스 또는 캐리어 프로토콜 내에 캡슐화된다. 이들은 이때 VPN 클라이언트와 서버 간에 송신되어, 궁극적으로 수신기측 상에서 캡슐 해제된다. 인증 및 암호화는 보안성을 제공 하는데 도움을 준다.The virtual private network (VPN) performs private communication using a public or private communication network. Typically, a company or other customer who wants to build a wide area network should have its own leased line between each node to provide connectivity. However, such a solution is generally expensive and inflexible. In the past few years, the concept of VPNs has evolved rapidly. VPNs provide a solution where communication networks are shared between many customers, but each customer's communication is virtually separated. VPN technology is often based on the idea of tunneling. Network tunneling involves establishing and maintaining a logical network connection. In this connection, the packet is encapsulated within some other base or carrier protocol. They are then transmitted between the VPN client and the server, ultimately decapsulating on the receiver side. Authentication and encryption help to provide security.
VPN을 형성하는 네트워크 노드의 수가 급속히 많아져, 네트워크 구조 및 토폴로지(topology)를 더욱 복잡하게 하는 경향이 있다. 이것은, 부분적으로 VPN 상의 트래픽 증대와, 부분적으로 VPN이 점점 더 확대된 지리적 영역을 커버하도록 요구되기 때문에 유발된다. 오늘날, 전 대륙(continent)에 노드를 가진 VPN을 제공하는 통신 네트워크가 제공된다. 그러나, 노드 및, 송신될 수 있는 트래픽이 많으면 많을수록, VPN의 구성은 더욱 복잡하게 된다.The number of network nodes forming a VPN is rapidly increasing, which tends to further complicate the network structure and topology. This is caused in part by increased traffic on the VPN and in part because the VPN is required to cover an ever-increasing geographic area. Today, a communication network is provided that provides a VPN with nodes across continents. However, the more nodes and the more traffic that can be transmitted, the more complicated the configuration of the VPN.
통상적으로, VPN은 네트워크 오퍼레이터와 고객 간의 협정(agreement)에 따라 작성된다. 노드의 위치, 서비스 품질 및 다른 조건이 합의되어, 오퍼레이터에서의 프로그래머는 구성을 수동으로 설정하거나, 또는 구성 도움 도구(configuration aid tool)를 찾음으로써 설정한다. 통신 네트워크가 점점더 복잡해지면, 이와 같은 구성은 점점더 복잡해지고, 시간 소비가 많아진다. 수개의 도메인에 걸친 접속을 구성하면, 통상적으로 많은 선택적 접속 경로가 존재한다. 수개의 도메인으로부터의 정보는 이때 적절한 방식으로 수집되어 컴파일된다. 더욱이, 고객이 그의 VPN을 수정하기를 원하면, 전체 절차가 반복되어야 한다.Typically, a VPN is created in accordance with an agreement between the network operator and the customer. The location, quality of service, and other conditions of the node are agreed, so that the programmer at the operator sets the configuration manually or by looking for a configuration aid tool. As communication networks become more complex, such configurations become more complex and time consuming. When configuring a connection across several domains, there are typically many optional connection paths. Information from several domains is then collected and compiled in an appropriate manner. Moreover, if the customer wants to modify his VPN, the whole procedure must be repeated.
따라서, 종래 기술의 솔루션의 일반적 문제는, 넓은 지리적 커버리지 및/또는 많은 트래픽을 가진 가상 사설 네트워크를 제공하는 통신 네트워크가 매우 복잡해진다는 것이다. 다른 문제는, 새로운 VPN의 구성 또는 기존의 VPN의 수정이 복잡해지고 시간이 소비된다는 것이다. 추가적인 문제는, 보다 좁은 지리적 영역을 커버하는 네트워크 오퍼레이터의 통신 자원이 일반적으로 광역 VPN에 활용될 수 없다는 것이다. 또 다른 문제는, 상이한 도메인으로부터의 VPN 정보의 수집 및 컴파일링에 시간이 소비되고, 복잡하다는 것이다.Thus, a common problem with prior art solutions is that the communication network providing a virtual private network with wide geographic coverage and / or high traffic becomes very complex. Another problem is that the configuration of a new VPN or modification of an existing VPN is complicated and time consuming. A further problem is that communication resources of network operators covering narrower geographical areas are generally not available for wide area VPNs. Another problem is that time is consuming and complicated to collect and compile VPN information from different domains.
따라서, 본 발명의 일반적인 목적은, VPN의 적절한 접속 경로를 찾는 방법을 개선할 뿐만 아니라, 이와 같은 방법을 구현하는 시스템 및 장치를 제공하는 것이다. 본 발명의 다른 목적은 하나 이상의 네트워크 도메인을 이용하는 VPN에 대한 접속 경로를 찾는 방법을 제공하는 것이다. 본 발명의 또 다른 목적은, 기본적으로 상이한 도메인에 이용된 실제 VPN 기술과 무관한 VPN에 대한 접속 경로를 찾는 방법을 제공하는 것이다. 본 발명의 또 다른 목적은 VPN의 최적 또는 거의 최적 구성을 가능하게 하는 방법을 제공하는 것이다.Accordingly, it is a general object of the present invention to provide a system and apparatus that not only improves the method of finding an appropriate connection path of a VPN, but also implements such a method. Another object of the present invention is to provide a method for finding a connection path to a VPN using one or more network domains. It is yet another object of the present invention to provide a method of finding a connection path for a VPN which is basically independent of the actual VPN technology used for the different domains. It is yet another object of the present invention to provide a method that enables optimal or near optimal configuration of a VPN.
상기 목적은, 첨부한 특허청구범위에 따른 방법 및 장치에 의해 달성된다. 일반적으로, 2 이상의 상호 접속된 도메인을 가진 통신 네트워크 내에서 VPN에 관한 정보는 푸시(push) 메카니즘에 의해 제 1 도메인 내에 수집된다. VPN에 관한 정보는, 상이한 VPN이 현재 이용 가능한 도메인의 적어도 도메인 ID를 포함한다. 도메인 VPN 정보는 각 도메인에 수집된다. 도메인 VPN 정보의 준비는 여러 방식, 예컨대, 중앙 집중식 또는 분산 방식의 데이터 수집으로, 또는 기억된 데이터를 검색함으로써 실행될 수 있다. 분산된 VPN 제어 노드는, 특정 실시예에서, 도메인의 경계 노드로 국부화(localized)된다. 도메인 VPN 정보는, 특정 실시예에서, 도메인의 에지 노드로부터 수집된다. 이것은, 에지 노드로부터 브로드캐스트된 정보를 수동적으로 추출하여, 에지 노드로부터의 도메인 VPN 정보 또는 그의 조합을 요구함으로써 실행될 수 있다. 이런 수집은 VPN 정보의 변경과 같은 외부 이벤트(event)에 의해 트리거될 수 있다. 제공된 도메인 VPN 정보는, 바람직하게는, 도메인 오퍼레이터 간의 SLA에 의한 제한(constriction) 하에 다른 도메인으로 확산된다. 바람직한 실시예에서, 도메인 VPN 정보는 인접한 도메인으로 확산되며, 이 도메인은, 자신의 도메인 VPN 정보를 수정하여, 또한 수신된 VPN 정보를 다른 인접한 도메인으로 전송한다. 이와 같이 캐스캐이드된(cascaded) 방식으로, 전체 이용 가능한 도메인 VPN 정보는 모든 도메인으로 확산된다. VPN에 관해 수집된 정보는 적절한 접속 경로를 찾기 위해 평가된다. 한 실시예에서는, 품질 측정에 따른 평가가 실행되어, 최적 접속 경로가 이에 따라 선택된다. 바람직한 실시예에서는, 평가가 실행되어, 미리 정해진 임계치를 초과하는 모든 접속 경로가 구성된다. 그 후, 실제적인 필요의 통계적 평가는 얼마의 초기 동작 시간 후에 실행될 수 있다.This object is achieved by a method and an apparatus according to the appended claims. In general, information about a VPN within a communication network having two or more interconnected domains is collected in the first domain by a push mechanism. The information about the VPN includes at least the domain ID of domains for which different VPNs are currently available. Domain VPN information is collected for each domain. The preparation of the domain VPN information can be performed in various ways, for example centralized or distributed data collection, or by retrieving the stored data. The distributed VPN control node is, in certain embodiments, localized to the edge node of the domain. Domain VPN information is, in certain embodiments, collected from edge nodes of the domain. This can be done by manually extracting the broadcasted information from the edge node and requesting domain VPN information or a combination thereof from the edge node. This collection can be triggered by external events such as changes in VPN information. The provided domain VPN information is preferably spread to other domains under restrictions by SLAs between domain operators. In a preferred embodiment, domain VPN information is spread to neighboring domains, which modify their domain VPN information and also transmit the received VPN information to other neighboring domains. In this cascaded manner, the entire available domain VPN information is spread across all domains. Information gathered about the VPN is evaluated to find the appropriate connection path. In one embodiment, the evaluation according to the quality measurement is carried out so that the optimum connection path is selected accordingly. In a preferred embodiment, the evaluation is performed to configure all connection paths that exceed a predetermined threshold. Thereafter, a statistical assessment of the actual need can be performed after some initial operating time.
본 발명에 따른 하나의 중요한 이점은 상이한 도메인의 오퍼레이터가 서로 협력할 수 있는 간단하고 안정적인 플랫폼을 제공하는 것이다. 도메인 VPN 정보는 본래 멀티도메인 시스템의 모든 도메인에 VPN 구성을 지원하는데 유용하게 행해진다. 본 발명의 접근법은, 최적 또는 거의 최적 접속 경로가 현재 도메인 상태에 따라 확실히 발견할 수 있도록 하는 수단을 제공한다. 본 발명은 특히, 비교적 안정적인 구성 및 토폴로지(topology)를 가진 통신 네트워크에서 잘 구현된다.One important advantage according to the invention is to provide a simple and stable platform on which operators in different domains can cooperate. Domain VPN information is primarily useful for supporting VPN configurations for all domains of a multidomain system. The approach of the present invention provides a means by which an optimal or near optimal connection path can be reliably found according to the current domain state. The present invention is particularly well implemented in communication networks with relatively stable configurations and topologies.
본 발명은, 그의 다른 목적 및 이점과 함께, 첨부한 도면과 함께 취해진 다음의 설명을 참조하여 최상으로 이해될 수 있다. The invention can be best understood with reference to the following description taken in conjunction with the accompanying drawings, together with other objects and advantages thereof.
도 1은 가상 사설 네트워크를 제공하는 멀티도메인 통신 네트워크의 개략도이다.1 is a schematic diagram of a multidomain communication network providing a virtual private network.
도 2A는 본 발명의 한 실시예에 따른 VPN 정보 수집의 개략도이다.2A is a schematic diagram of VPN information collection according to an embodiment of the present invention.
도 2B-D는 본 발명의 다른 실시예에 따른 VPN 정보 수집의 개략도이다.2B-D is a schematic diagram of VPN information collection according to another embodiment of the present invention.
도 3A-D는 도메인 내의 VPN 제어 노드 구성의 본 발명의 실시예를 도시한 것이다.3A-D illustrate an embodiment of the invention of a VPN control node configuration in a domain.
도 4는 본 발명의 한 실시예에 따른 VPN 정보 전송 및 접속 요구의 개략도이다.4 is a schematic diagram of a VPN information transmission and connection request according to an embodiment of the present invention.
도 5는 VPN 정보 전송 시의 무한 루프(endless loop) 상태의 개략도이다.5 is a schematic diagram of an endless loop state when transmitting VPN information.
도 6A는 본 발명에 따른 일반적 VPN 제어 노드의 한 실시예의 블록도이다. 6A is a block diagram of one embodiment of a generic VPN control node in accordance with the present invention.
도 6B는 본 발명에 따른 VPN 제어 노드의 다른 실시예의 블록도이다. 6B is a block diagram of another embodiment of a VPN control node in accordance with the present invention.
도 7은 본 발명의 한 실시예에 따른 VPN 구성의 개략도이다.7 is a schematic diagram of a VPN configuration according to an embodiment of the present invention.
도 8은 본 발명에 따른 방법의 실시예의 주 단계를 도시한 흐름도이다.8 is a flow chart showing the main steps of an embodiment of the method according to the invention.
도 1에는 일반적 VPN 공급자 구조(1)의 실시예가 도시된다. 이 VPN 공급자 구조에서는, 5개의 VPN 공급자 도메인(10A-E)이 제공되어, 도메인 간(interdomain) 데이터 접속부(12A-G)에 의해 서로 부착된다. 한 오퍼레이터는 이들 도메인(10A-E) 중 하나 이상을 제어할 수 있거나, 이들 도메인의 모두가 개별 오퍼레이터에 의해 제어될 수 있다. 도메인(10A-E) 간의 관계, 즉, 도메인 간 데이터 접속부(12A-G)의 제어는 통상적으로 수반된 오퍼레이터 간의 협정, 예컨대, VPN Service Level Agreement (SLA)에 따라 조절된다. 각 VPN 공급자 도메인(10A)은 VPN 에지 노드(14) 및 코어 노드(16)를 포함하며, 이들 노드는 VPN을 인식할 수 있거나 인식할 없지만, 이들 중 소수만이 기준수(reference numbers)를 구비한다. VPN 에지 노드(14)는 여러 고객의 고객 사이트(20)가 구조(1)의 상이한 VPN에 접속되는 노드이다. VPN 비인식(unaware) 노드(16)는 도메인 내의 중간 노드이고, VPN 에지 노드(14) 간에 메시지 및 데이터를 전송하는데만 이용된다. 고객은 통신에 이용되는 VPN 비인식 노드를 알지 못한다. 단지 중요한 문제는 VPN 에지 노드(14)의 개시 및 종료이다. 따라서, 도메인에 접속된 VPN은, 실제 통신이 하나 이상의 VPN 비인식 노드(16)를 통해 일어날 수 있을지라도, VPN 에지 노드(14) 간의 직통선(direct line)으로 나타낼 수 있다. 본 명세서의 나머지 부분에서, VPN 비인식 노드의 존재는 일반적으로 무시될 수 있는데, 그 이유는, 본 발명에 따른 기본 절차 단계가 어떤 VPN 비인식 노드(16)의 존재의 유무에 직접적으로 의존하지 않기 때문이다. 그러나, 실제적인 구현에서, VPN 비인식 노드(16)는 실제 연결성을 제공하는데 이용될 수 있다.1 shows an embodiment of a generic
VPN 공급자 도메인(10A-E)은 VPN 경계 노드(18), 즉, VPN 경계 노드(18) 내의 도메인 간 데이터 접속부(12A-G)의 개시 및 종료를 통해 데이터면에 접속된다. VPN 경계 노드(18)는 동시에 또한 VPN 에지 노드(14)로서 작용할 수 있거나 작용하지 않을 수 있다. 고객 사이트(20)는 VPN 에지 노드(14) 중 하나에 접속된다. 이때, 동일한 고객의 고객 사이트(20)는 VPN 공급자 도메인(10A-E)을 통해 VPN(22A-C)에 의해 접속될 수 있다. 하나의 고객이 여러 VPN(22A-C)에 접속된 고객 사이 트(20)를 가질 수 있다. 또한, 하나 이상의 고객 사이트(20)가 동일한 VPN 에지 노드(14)에 접속될 수 있지만, 다른 고객 사이트(20)의 존재뿐만 아니라, 다른 고객 사이트(20)가 접속되는 VPN의 존재도 알지 못할 것이다.The
본 실시예에서는 3개의 VPN(22A-C)이 도시된다. 그러나, 당업자는 실제 시스템 내의 VPN의 수가 통상 더욱 많음을 알 수 있다. 파선으로 도시된 제 1 VPN(22A)은 3개의 도메인(10A, 10C, 10D)을 통해 확장되어, 이들 도메인의 모두에 고객 사이트(20)를 접속한다. 점선으로 도시된 제 2 VPN(22B)은 본 실시예의 모든 도메인(10A-E)을 통해 확장된다. 최종으로, 대시 점선으로 도시된 제 3 VPN(22C)은 도메인(10B) 내에서만 고객 사이트(20)를 접속한다. 각 고객 사이트(20)는, 그것이 접속되는 것을 제외하고는, 다른 고객의 고객 사이트(20)의 존재뿐만 아니라 어떤 VPN의 존재도 알지 못한다. 이와 같은 방식으로, VPN의 프라이버시 문자(privacy character)는, 이들 모두가 동일한 기본 통신 자원을 공유할지라도, 보호된다. 이것은 본 발명이 바람직하게 동작하는 시나리오이다.In this embodiment, three
본 명세서에서, 여러 접속, 즉 도메인 간 접속, 인트라도메인 접속, 사용자면 접속, 제어면 접속, 오버레이(overlay) 제어 접속, 노드와 사용자 단말기 간의 접속 등이 논의된다. 전체 설명을 통해, 이들 접속은 어떤 종류의 접속일 수 있는 것으로 추정된다. 본 발명의 기본적 사상은 실제 접속 기술과는 무관하다. 이것은, 유선 및 무선 기술의 양방이 이들 접속 중 어떤 접속에 이용될 수 있다는 것을 의미한다. 특히, 무선 접속의 이용에 관해, 사용자 단말기는 에지 노드에 대한 이동체(mobile)일 수 있다. 도메인 내의 노드는 다른 노드에 대한 이동체일 수 있다. 이들 도메인은 서로에 대한 이동체일 수 있다.In this specification, various connections are discussed, namely interdomain connections, intradomain connections, user plane connections, control plane connections, overlay control connections, connections between nodes and user terminals, and the like. Throughout the description, it is assumed that these connections may be of some kind. The basic idea of the present invention is not related to the actual connection technology. This means that both wired and wireless technologies can be used for any of these connections. In particular, with regard to the use of a wireless connection, the user terminal may be a mobile to the edge node. Nodes in the domain can be mobile to other nodes. These domains may be mobile to one another.
이제, 새로운 고객 사이트(20')가 도메인(10E) 내의 VPN 에지 노드(14')에 접속되는 것을 고려한다. 고객 사이트(20')가 VPN(22B)에 접속되기를 원하면, 절차는 아마도 비교적 간단한데, 그 이유는 VPN(22B)가 이미 도메인(10E) 내에 존재하기 때문이다. 종래 기술에 따른 수동 또는 자동 VPN 재구성 절차가 사용될 수 있을 뿐만 아니라, 그 사이에 혼합할 수 있다. 그러나, 새로운 고객 사이트(20')가 VPN(22A 또는 22C)에 접속하기를 원하면, 상황은 더욱 곤란하게 된다. 종래 기술에서는 일반적인 도메인 간 VPN 구성 절차가 존재하지 않는다.Now consider that the new customer site 20 'is connected to the VPN edge node 14' in the
본 발명의 하나의 기본 사상은 각각의 도메인 내에서 이용 가능한 VPN의 VPN 아이덴티티를 포함하는 도메인 VPN 정보의 준비에 관계한다. One basic idea of the present invention relates to the preparation of domain VPN information, including the VPN identity of VPNs available within each domain.
먼저, 도메인 정보가 어떻게 수집될 수 있는가를 나타낸 몇몇 예들이 기술된다. 이것은 도 2A-3D와 관련하여 행해진다. 이때, 본 발명의 주요 사상은 다음과 같다.First, some examples illustrating how domain information can be collected are described. This is done in connection with Figures 2A-3D. At this time, the main idea of the present invention is as follows.
도 2A는 도메인 VPN 정보를 제공하는 초기 위상의 실시예를 도시한 것이다. 각 VPN 에지 노드(14)는 특정 VPN 에지 노드(14)에서 접속된 고객 사이트를 가진 적어도 어느 VPN에 관한 자신의 현재 VPN 구성을 반영하는 기억된 정보를 갖는다. 특정 실시예에서, VPN 에지 노드(14)는 또한 VPN 에지 노드(14)에 접속되는 어느 고객에 관한 정보 및, 현재의 VPN과 고객 사이트(20) 간의 결합(associations)을 갖는다. 어떤 실시예에서, VPN 어드레스 스페이스 및 어드레스 타입(로컬 또는 글로벌)과 같은 정보, 대역폭, 지연 및 지터와 같은 요구 조건에 의해 특정되는 VPN 서비스 클래스의 품질, 및/또는 VPN 설정, 즉 터널 또는 필터의 사용이 제공된다. 또한, 암호화 특성, 투명 계층 특성, 터널링(tunnelling) 특성 및 토폴로지(topology) 특성과 같은 정보가 포함될 수 있다. 더욱이, VPN 경계 노드(18)는 그것이 속하는 VPN 공급자 도메인의 아이덴티티에 관해 기억된 정보를 갖는다.2A illustrates an embodiment of an initial phase of providing domain VPN information. Each
본 발명의 한 실시예에 따르면, 각 VPN 에지 노드(14) 또는 그의 적어도 부분 내에 기억된 도메인 VPN 정보는 동일한 도메인(10A-E) 내의 각 경계 노드(18)에 의해 수집된다. 이것은 도 2A에서 화살표로서 도시되어 있으며, 그 중 일부에는 참조 번호(24)가 제공된다. 이와 같은 방식으로, 자신의 도메인에 대한 수집 도메인 노드 정보는 각 도메인(10A-E)의 각 VPN 경계 노드(18)에서 이용 가능하다. 이런 통신에 대한 하나의 대안은, BGP(Border Gateway Protocol)와 유사한 통신 프로토콜을 이용하여, 정보가 필요한 어떤 특정 지식 없이 도메인을 통해 정보를 모두 확산시키는 것이다. 그 후, 경계 노드는 모든 필요한 정보를 픽업할 수 있다. 이것은 도메인 VPN 정보를 분산하는 푸시(push) 메카니즘의 일례이다.According to one embodiment of the invention, domain VPN information stored in each
도 2B는 하나의 도메인(10C)에 집중되는 도메인 VPN 정보를 제공하기 위한 다른 실시예를 도시한 것이다. VPN 경계 노드(18)가 동일한 도메인(10C)에 제공되는 어느 에지 노드(14)에 관한 기억된 정보를 가지면, VPN 경계 노드(18)는 어떤 VPN 에지 노드(14)에 간단한 요구(23)를 행하여 그의 도메인 노드 정보(24)를 복귀시킨다. 정보를 요구하는 가장 간단한 형식에서, 요구 그 자체는, VPN 에지 노드(14)가 어떤 VPN에 결합되든지, 예컨대, 도메인 상호 접속부(12F)에 의해 수신되지 않는 지의 질의일 수 있다. 이와 같은 경우에, 긍정 응답 메시지는 이와 같이 어떤 정보를 포함하지 않지만, 그 특정 VPN 에지 노드에서 이 특정 VPN의 정보를 암시적으로 전달할 것이다. 이것은 도메인 VPN 정보를 분산하는 푸시 메카니즘의 일례이다.2B illustrates another embodiment for providing domain VPN information concentrated in one
도메인 VPN 정보는 또한 상이한 타이밍에 의해 수집될 수 있다. 하나의 대안은 이와 같은 정보를 경계 노드에 연속적으로 또는 적어도 규칙적으로 수집하여, 이용 가능한 정보가 항상 확실히 갱신되도록 한다. 이와 같은 실시예에서, 정보는, 경계 노드나, 그것이 경계 노드로부터 검색 가능한 어떤 다른 노드에 기억되는 것이 바람직한데, 이는 아래에 더 기술되는 실시예에서 참조된다. 다른 대안은, 정보 수집이 어떤 이벤트에 의해 트리거된다는 것이다. 이 이벤트는, 예컨대, 어떤 종류의 변경 또는, 상술한 바와 같이, 특정 VPN을 찾는 요구가 존재하는 에지 노드로부터 브로드캐스팅 메시지일 수 있다. 모든 에지 노드가 도메인에서 이용 가능한 어느 경계 노드에 관한 지식을 갖고 있다면, 이 정보는 또한 이와 같은 변경이 일어날 시에 모든 경계 노드로 직접 송신될 수 있다. 이 정보가 요구에 의해 트리거될 시에 어떤 VPN을 찾기 위해 탐색되는 경우에, 수집된 정보는 그 VPN으로 제한될 수 있거나 반드시 나중 사용을 위해 기억될 필요가 없을 수 있다.Domain VPN information can also be collected by different timings. One alternative is to collect such information continuously or at least regularly at the border node so that the information available is always updated. In such an embodiment, the information is preferably stored at the border node or any other node that can be retrieved from the border node, which is referenced in the embodiments described further below. Another alternative is that information collection is triggered by some event. This event may be, for example, a broadcast message from an edge node that has some kind of change or a request to find a particular VPN, as described above. If all edge nodes have knowledge of which border node is available in the domain, this information can also be sent directly to all border nodes when such a change occurs. If this information is retrieved to find a VPN when triggered by a request, the collected information may be limited to that VPN or may not necessarily need to be stored for later use.
도 2C는 도메인 VPN 정보가 중앙 집중식 방식으로 수집되는 실시예를 도시한 것이다. 여러 에지 노드(14)에 의해 제공되는 모든 도메인 VPN 정보(24)를 기억하기 위한 기억 장치(54)가 제공된다. 이와 같은 도메인 VPN 정보를 이용하는 어떤 기능성은 이 정보를 중앙 기억 장치(54)로부터 검색할 수 있다.2C illustrates an embodiment in which domain VPN information is collected in a centralized manner. A
도 2D는 도메인 VPN 데이터의 중앙 집중식 수집에 기초하는 다른 실시예를 도시한 것이다. 여기서, 요구(23) 또는 다른 외부 신호는 기억 장치(54)에 대한 VPN 데이터(24)의 준비를 개시할 수 있다. 이런 요구(23)는 반드시 기억 장치(54) 그 자체로부터 출현할 필요가 없다.2D illustrates another embodiment based on centralized collection of domain VPN data. Here, the
도메인 노드 중에서 도메인 VPN 정보를 수집하는 대안으로서, 도메인 VPN 정보는 대신에 데이터 기억 장치로부터 데이터를 검색함으로써 제공될 수 있다. 이 기억된 데이터는, 예컨대, 상기 절차에 따라 데이터의 이전의 수집의 결과이거나 다른 경우로부터 제공될 수 있다.As an alternative to collecting domain VPN information among domain nodes, domain VPN information may instead be provided by retrieving data from data storage. This stored data may be provided, for example, as a result of a previous collection of data or from other cases according to the above procedure.
상술한 실시예에서, 도메인 내의 데이터의 준비는, 그와 직접 결합하여 다수의 경계 노드 또는 하나의 노드에 의해 실행된다. 이와 같은 상황은 또한 도 3A에 도시되어 있다. 여기서, 멀티도메인 시스템 내의 하나의 도메인(10A)은 데이터 접속부(12A 및 12B)에 의해 다른 도메인의 여기저기로의 데이터 트래픽의 책임이 있다. 경계 노드(18)는, 이 특정 실시예에서, 예컨대, 경계 노드(18)의 프로세서 내의 소프트웨어 기능성의 형식으로, 도메인 VPN 정보를 수집하는 수단을 포함한다. 도메인 VPN 정보는 기억 장치(54) 내에 기억될 수 있다. 따라서, 총괄적으로 도메인에 관한 도메인 VPN 정보를 처리하는 VPN 제어 노드(43)는, 이 특정 실시예에서, 모든 경계 노드(18)에서 로컬 수단(41)의 분산으로서 구현된다.In the above-described embodiment, the preparation of data in the domain is performed by a plurality of border nodes or one node in direct combination with it. This situation is also illustrated in FIG. 3A. Here, one
도 3B에서는, 다른 특정 실시예가 도시된다. 여기서, 경계 노드(18)는 도메인 VPN 정보에 포함된 기능성 엔티티(41)를 포함한다. 그러나, 분산된 VPN 제어 노드(43)는, 이 특정 실시예에서, 경계 노드(18) 및 중앙 데이터베이스(54)에 위치되거나 그와 관련하여 위치되는 도메인 VPN 정보를 제공하는 수단(41)을 포함한다. 중앙 데이터베이스(54) 내에는, 실제 갱신된, 바람직하게는 기록(historical) VPN 정보가 기억된다. In FIG. 3B, another particular embodiment is shown. Here, the
도 3C에서는, 또 다른 특정 실시예가 도시된다. 여기서, VPN 제어 노드(43)는 중앙 집중화되고, 도메인 VPN 정보를 제공하는 수단(41) 및 기본적으로 동일한 위치에 제공된 중앙 데이터베이스(54)를 포함한다. 이 특정 실시예에서, 경계 노드(18)는, VPN 제어 노드와 이웃한 도메인 간의 통신(45)만을 처리하기 위해 이용된다. 실제 데이터 트래픽과 관련된 제어 신호 전송에 관한 경계 노드(18) 내의 기능성은, 이와 같은 방식으로, VPN 구성에 관한 제어 메시지를 신호 전송하기 위해서도 이용될 수 있다.In FIG. 3C, another particular embodiment is shown. The
도 3D에서는, 시스템 내의 경계 노드로부터 가상으로 분리되는 VPN 제어 노드(43)를 가진 실시예가 도시된다. 이와 같은 실시예에서, VPN 제어 노드(43)는, 자신의 고 레벨 네트워크를 생성시키는 전용 VPN 제어 신호 접속부(47)에 의해 다른 도메인 내의 VPN 제어 노드에 접속된다.In FIG. 3D, an embodiment is shown having a
본 발명의 특정 실시예에서, 제공된 도메인 VPN 정보는 이 시스템 내에, 즉, 상이한 도메인 사이로 전달될 수 있다. 이것은 도 4에 도시되어 있다. 제 1 단계는 각 도메인 내에서 VPN 정보를 준비한다. 이것은 각 도메인 내의 VPN 제어 노드(43)에 의해 실행된다. 그러나, VPN 제어 노드(43)의 구성은 상이한 도메인 간에 상이할 수 있다. 도 4에서, 도메인(10A)은 도 3A에 도시된 예와 유사한 VPN 제어 노드(43)를 가지고, 도메인(10C)은 도 3B에 도시된 예와 유사한 VPN 제어 노드(43)를 가지며, 도메인(10B, 10D 및 10E)은 도 3C에 도시된 예와 유사한 VPN 제어 노 드(43)를 가지는 것으로 나타나 있다. 상이한 도메인 간의 트래픽을 조절하는 각 SLA에 따르면, 각 VPN 제어 노드(43) 내의 이용 가능한 도메인 VPN 정보의 적어도 일부는, 이 실시예에서, 이웃한 도메인 내의 반작용(counteracting) VPN 제어 노드로 전달된다. 화살표(28)는 이런 도메인 간 정보의 전달을 나타낸다. SLA는 이웃한 도메인에 이용 가능하게 생성되는 얼마나 많은 이용 가능한 정보에 관한 협정을 포함할 수 있다. 일반적인 경우에, VPN 제어 노드는 이용 가능한 인트라도메인(intradomain) VPN 정보를 컴파일되거나 처리된 VPN 정보 내로 처리하며, 이 정보는 이웃한 도메인으로 전송하는데 적절하다. 이들 도메인이 밀접하게 관계되는, 예컨대, 동일한 오퍼레이터에 속하면, SLA는 도메인 VPN 정보를 교환할 시에 전체적으로 투명하다. 다른 경우에, VPN 제어 노드(43) 간에 전달되는 처리된 정보(28)는 컴파일된 VPN 정보일 수 있고, 개별 도메인 VPN에 관해 매우 기본적인 사실만을 나타낸다. 본 실시예에서 도메인 간 접속부(12A-G)를 통해 송신되어야 하는 정보는 정보를 송신하는 경계 노드를 넘어 어딘가에 이용 가능한 VPN의 적어도 아이덴티티를 포함한다.In certain embodiments of the invention, provided domain VPN information may be conveyed within this system, ie between different domains. This is shown in FIG. The first step is to prepare VPN information within each domain. This is done by the
본 발명에 따르면, VPN에 관한 정보는, VPN이 현재 이용 가능한 도메인의 적어도 도메인 ID를 포함한다. 바람직하게는, VPN에 관한 정보는 또한 추가적인 데이터, 예컨대, VPN의 특성, VPN에 의해 현재 이용되는 링크의 링크 품질, VPN을 연장하기 위해 이용 가능한 링크의 링크 품질, VPN이 이용 가능한 노드의 노드 ID 및, VPN이 이용 가능한 도메인에 도달하도록 중계되어야 하는 어느 도메인에 관한 정보를 포함하지만, 이에 제한되지 않는다. VPN의 특성은, 예컨대, 서비스 특성의 품 질, 암호화 특성, 투명 계층 특성, 터널링 특성 및 토폴로지 특성을 포함할 수 있다.According to the invention, the information about the VPN includes at least the domain ID of the domain for which the VPN is currently available. Preferably, the information about the VPN also includes additional data such as the nature of the VPN, the link quality of the link currently used by the VPN, the link quality of the link available to extend the VPN, the node ID of the node where the VPN is available. And information about which domains the VPN should be relayed to reach available domains. Characteristics of the VPN may include, for example, quality of service characteristics, encryption characteristics, transparent layer characteristics, tunneling characteristics, and topology characteristics.
도 4에서, 도메인 간 접속부(12A-G) 상에 송신된 정보(28)는, 수신 VPN 제어 노드에서 전체 이용 가능한 VPN 정보 상황을 갱신시킨다. 이 VPN 제어 노드는 이제, 예컨대, 도메인 간 접속부를 통해 이용 가능한 어떤 VPN의 정보도 갖는다. 더욱 철저한 정보가 이용 가능하면, VPN 제어 노드는 또한, 이들 상이한 VPN이 이용 가능한, 예컨대, 에지 노드 아이덴티티, VPN 서비스 품질 등을 결정할 수 있다. 그렇게 획득된 VPN 정보는 이웃한 도메인의 특성이고, SLA에 의해 허용되면, 그 도메인 내의 활동에 이용될 수 있다. VPN 제어 노드(43)의 기억 장치(54) 내에 기억된 정보는 이웃한 도메인, 또는 수신된 정보를 추가, 제거 또는 수정하는 그의 처리된 버전으로부터 수신된 정보와 동일하다. 예컨대, 이 정보는 생성된 어떤 도메인으로부터의 표시(indication)로 라벨된다.In FIG. 4, the
이 정보 분산은, 어떤 경우에, 제 1 전달과 유사하게 다른 도메인으로 전송되기 전에 정보의 추가적인 수정을 적용하는 많은 연속 단계에서 계속할 수 있다. 궁극적으로, 전체 VPN 공급자 구조의 모든 VPN 제어 노드는 시스템 내에서 이용 가능한 모든 도메인 VPN 정보의 적어도 처리된 버전을 갖는다. 각 VPN 제어 노드에서, 정보는, 사용되는 관련된 도메인 간 접속부에 유효한 SLA에 따라 처리될 수 있다.This information distribution can continue in some cases in many successive steps of applying further modification of the information before being sent to another domain, similar to the first delivery. Ultimately, all VPN control nodes of the overall VPN provider structure have at least processed versions of all domain VPN information available within the system. At each VPN control node, the information can be processed according to the SLAs valid for the relevant inter-domain connections used.
도메인 VPN 정보의 교환은 상이한 타이밍에 의해 실행될 수 있다. 하나의 대안은 이와 같은 정보를 연속적으로 또는 적어도 규칙적으로 교환하여, 이용 가능한 정보가 항상 확실히 갱신되도록 한다. 이와 같은 실시예에서, 정보는 VPN 제어 노드, 또는 VPN 제어 노드에 의해 검색 가능한 어떤 다른 노드에 기억되는 것이 바람직하다. 환언하면, 이런 대안은 데이터 분산을 위한 통상의 푸시 메카니즘이다.The exchange of domain VPN information may be performed at different timings. One alternative is to exchange such information continuously or at least regularly so that the information available is always updated. In such an embodiment, the information is preferably stored in the VPN control node or any other node retrievable by the VPN control node. In other words, this alternative is a conventional push mechanism for data distribution.
다른 대안은, 정보 교환이 어떤 이벤트에 의해 트리거된다는 것이다. 이 이벤트는, 예컨대, 어떤 종류의 변경이 한 도메인 내에서 일어났다는 것이다. Another alternative is that the information exchange is triggered by some event. This event is, for example, that some kind of change occurred within one domain.
바람직한 실시예에서, VPN 정보의 확산은 또한 긍정 응답 절차와도 관련되어 있다. 도메인이 인접한 도메인으로부터 VPN 정보를 수신하면, 긍정 응답 메시지는, 이 정보가 도메인 내에 이용 가능한 VPN 정보를 제공하는 도메인에 통지하기 위해 복귀된다. 바람직하게는, 전송된 VPN 정보와 관련되는 수신된 긍정 응답은, VPN 정보가 제 1 장소에 도달한 도메인으로 전송된다. 환언하면, VPN 정보는 한 방향으로 전송되고, 대응하는 긍정 응답 메시지는 답례로 전송된다.In a preferred embodiment, the spread of VPN information is also associated with an acknowledgment procedure. When a domain receives VPN information from an adjacent domain, an acknowledgment message is returned to notify the domain that this information provides VPN information available within the domain. Preferably, the received acknowledgment associated with the transmitted VPN information is sent to the domain where the VPN information has reached the first place. In other words, the VPN information is sent in one direction and the corresponding acknowledgment message is sent in return.
이제, 어떤 VPN에 접속되는 에지 노드(14')에 대한 새로운 고객 사이트(20')의 접속을 고려한다. 제어 노드(43)는 새로운 고객 사이트(20')가 접속됨을 식별하여, 어느 VPN이 의도되어 있는지를 조사한다. 본 발명에 따르면, 적절한 접속 경로를 찾는 품질 측정에 따라 의도된 VPN에 관한 정보를 찾는 수단이 제공된다.Now consider the connection of the new customer site 20 'to the edge node 14' which is connected to a VPN. The
VPN 제어 노드(43)가 VPN 접속 요구를 개시하면, 그것은 요구된 VPN을, 도메인 간 접속을 통해 이용 가능한 VPN에 관한 기억된 정보와 비교한다. VPN이 존재하는 어느 도메인에 관한 정보는, VPN이 도달할 수 있는 어느 도메인 간 접속을 통해 이용 가능하다. 도 4에서, 요구된 VPN은 도 1의 VPN(22A)이다. 도메인(10E)의 VPN 제어 노드(43)는 2개의 상이한 경로에 따라 경계 노드(18:1)를 통해 이용 가능한 VPN(22A)에 관한 정보를 갖는다. VPN(22A)에 도달하는 하나의 대안은, 도메인 간 접속부(12D), 도메인(10B) 및 도메인 간 접속부(12A)를 통하는 것이다. VPN(22A)은 이때 도메인(10A) 내에 존재한다. VPN(22A)에 도달하는 다른 대안은, 도메인 간 접속부(12D), 도메인(10B) 및 도메인 간 접속부(12C)를 통하는 것이다. VPN(22A)은 이때 도메인(10C) 내에 존재한다. 그러나, 도메인(10E)의 VPN 제어 노드(43)는 다른 경계 노드(18)를 통해 VPN(22A)에 관한 정보도 갖는다. 여기서, 요구된 VPN(22A)은 도메인 간 접속부(12E)를 통해 도달 가능한데, 그 이유는 VPN(22A)이 도메인(10C)에서 이용 가능하기 때문이다. 최종으로, 요구된 VPN(22A)은 도메인 간 접속부(12G)를 통해 도달 가능한데, 그 이유는 VPN(22A)이 도메인(10D)에서도 이용 가능하기 때문이다.When the
여러 도메인이 어떻게 서로 접속되는 지에 관한 정보는 가능한 접속을 분석할 시에 제공되어야 한다. 이 정보는 많은 상이한 방식으로 획득될 수 있다. 본 발명이 비교적 안정적인 구성을 가진 시스템 내에서 가장 효율적으로 동작하므로, 다수의 도메인 및 도메인 간 접속의 "맵(map)"은 여러 도메인을 통해 확산되는 것으로 추정된다.Information on how the different domains are connected to each other should be provided when analyzing possible connections. This information can be obtained in many different ways. Since the present invention operates most efficiently within a system with a relatively stable configuration, it is assumed that a "map" of multiple domains and inter-domain connections is spread across multiple domains.
따라서, VPN 제어 노드(43)는 요구된 VPN을 찾기 위한 모든 필요한 정보를 갖고 있다. VPN 제어 노드(43)는, 각 가능 접속 경로에 대한 품질 측정을 결정함으로써, 요구된 VPN에 관한 이용 가능한 정보를 평가한다. 이와 같은 품질 측정은, 예컨대, 확립되는 새로운 링크의 수, 요구된 VPN에 도달하기 전에 통과하는 도메인의 수, VPN이 도달되는 노드가 얼마나 중심이 요구된 VPN 내에 위치되는가, 확립되 는 링크의 서비스 특성의 최소 품질 등에 기초로 할 수 있다. 이 예에서, 도메인 간 접속부(12E)를 통한 루트는 이용하기가 가장 간단한 것 같지만, 예컨대, 이용 가능한 서비스 품질 레벨은 이와 같은 결정을 변화시킬 수 있다.Thus, the
적절한 접속 경로를 찾는 프로세스는 여러 원리에 따라 실행될 수 있다. 하나의 가능성은, 수용 임계치(acceptance threshold)를 갖는 것이며, 이 수용 임계치를 초과하는 품질 측정을 가진 접속 경로만이 고려될 것이다. 나머지 적절한 접속 경로의 경우는 구성되는 최고 품질 측정을 가진 것을 선택할 수 있다. 또한, 구성되는 하나 이상의 접속 경로, 극단적인 경우에는 모든 수용된 접속 후보(candidate)를 선택할 수 있다.The process of finding an appropriate connection path can be implemented according to several principles. One possibility is to have an acceptance threshold, and only access paths with quality measures that exceed this acceptance threshold will be considered. For the remaining appropriate connection paths, one can choose to have the highest quality measurement configured. It is also possible to select one or more connection paths to be constructed, in extreme cases all accepted connection candidates.
본 발명에서, 제공된 도메인 VPN 정보는 전체 시스템(1)의 모든 VPN 제어 노드(43)로 확산된다. 이와 같은 방식으로, 적절한 VPN을 찾기 위한 요구는 "home" 도메인의 VPN 제어 노드(43)로 직접 실행될 수 있다. 상술한 바와 같이, VPN 정보의 준비 및 교환은 연속적이고, 규칙적으로 실행되거나 요구 그 자체에 의해 트리거될 수 있다.In the present invention, the provided domain VPN information is spread to all
이 접근법은, 전체 시스템(1)이 모든 단일의 VPN 제어 노드(43)에서 갱신되어야 하는 결점을 갖고 있다. 그러나, 도메인 및 VPN의 구조가 상당히 안정적인 시스템에서는, VPN 제어 노드(43)를 갱신할 필요가 있는 통신 노력은 비교적 낮다.This approach has the drawback that the
시스템을 통해 VPN 정보를 확산하는 프로세스에서, 바람직하게는, 수신된 정보의 추가적인 전송에 대한 제한이 있다. 도 5에서, VPN 정보 준비의 무한 루프에 잠재적으로 위험한 상태가 도시되어 있다. 통신 네트워크(1)는 5개의 도메인(10A- E)을 포함한다. 도메인(10E)에서, VPN(22A)이 이용 가능하다. 이제, VPN(22A)이 어떤 방식, 예컨대, 인트라도메인 접속이 보다 고 대역폭을 지원하기 위해 업그레이드되는 방식으로 변경되는 상태를 고려한다. 도메인(10E)은 VPN 정보의 내부 갱신을 실행하여, 갱신된 VPN 정보를 그의 단일의 인접한 도메인으로 송신한다. 도메인(10A)은 그의 자신의 데이터베이스를 갱신하여, VPN 정보를 도메인(10B)으로 전송한다.In the process of spreading VPN information through the system, there is preferably a restriction on further transmission of the received information. In FIG. 5, a potentially dangerous condition is shown in an infinite loop of VPN information preparation. The
또한, 도메인(10B)에서, VPN(22A)에 관한 정보가 갱신된다. 그 후, 갱신 정보는 다른 인접한 도메인(10C 및 10D)으로 전송된다. 이 절차는 이들 도메인에서도 반복되어, VPN 정보의 다른 전송이 실행된다. 도메인(10C)은 이 정보를 도메인(10D)으로 송신하고, 도메인(10D)은 동일한 정보를 도메인(10C)으로 송신한다. 이 절차는 계속되고, VPN 정보의 무한 루프는 도메인(10B-D) 사이에서 순환할 것이다. 본 발명의 바람직한 실시예에서, 정보 요구가 무한 루프에 전송되지 않도록 하는 수단이 제공된다. 정보 요구의 루핑(looping)을 금지하는 이와 같은 수단은, 이와 같은 정보 요구의 송신 또는 수신과 관련하여 제공되는 것이 바람직하다. 즉, 이들은, 새로운 인접한 도메인으로의 실제 전송을 금지하거나, 수신된 정보 요구의 수용을 금지하도록 배치된다. 전송 시에 제한을 가하는 수개의 실시예가 가능하다. 그들 중 일부는 아래에 간단히 기술된다.In addition, in the
루프 금지 장치의 한 실시예에서, 각 VPN 정보 메시지는 아이덴티티를 포함한다. 이 아이덴티티는, 예컨대, 어떤 고유 아이덴티티 번호를 가진 개별 필드(field)이거나, 그것이 반송하는 실제 정보에 기초할 수 있다. VPN 정보 메시지 의 개별 아이덴티티가 이용되면, 수신되어 수용된 VPN 정보 메시지는 기억 장치 내에 기억되는 것이 바람직하다. 새로운 VPN 정보 메시지가 도달하면, 정보 요구가 이미 전에 수신되었는지를 나타내도록 기억된 데이터에 의해 비교가 행해진다. 이와 같은 경우에, 이 요구는 무시된다. 그렇지 않으면, 이 요구는 수용되고, 아이덴티티는 기억 장치에 추가된다.In one embodiment of the loop inhibiting device, each VPN information message includes an identity. This identity can be, for example, a separate field with some unique identity number or based on the actual information it carries. If the individual identity of the VPN information message is used, then the received and accepted VPN information message is preferably stored in the storage device. When a new VPN information message arrives, a comparison is made with the stored data to indicate whether the information request has already been received before. In this case, this request is ignored. Otherwise, this request is accepted and the identity is added to the storage device.
이 비교는 또한 VPN 정보의 실제 전송과 관련하여 실행된다. 이와 같은 경우에, 메시지 아이덴티티는 기억 장치 내에 기억되고, 이 요구를 전송하기 위한 여분의 조건은 데이터베이스 내에 2개의 동일한 메시지 아이덴티티가 존재하지 않아야 한다. This comparison is also performed in relation to the actual transmission of VPN information. In such a case, the message identity is stored in storage and the extra condition for sending this request is that there should not be two identical message identities in the database.
아이덴티티가 VPN 정보 그 자체에 기초하면, 수신된 VPN 정보는 도메인 내에 현재 기억된 대응하는 VPN 정보와 비교된다. VPN 정보가 어떤 변경을 행하지 않으면, 수신된 VPN 정보는 중복 메시지로서 간주되어 거부된다. 이와 같은 장치에서는, 참 갱신(true update)만이 전송된다.If the identity is based on the VPN information itself, the received VPN information is compared with the corresponding VPN information currently stored in the domain. If the VPN information does not make any changes, the received VPN information is regarded as a duplicate message and is rejected. In such a device, only a true update is sent.
루프 금지를 위한 다른 실시예는 전송 경로에 관한 정보에 기초로 한다. 전송 프로세스 중에 통과되는 어느 도메인에 관한 VPN 정보 메시지의 정보를 추가함으로써, 수신 도메인은 이 정보 중에 자신의 아이덴티티를 쉽게 탐색할 수 있다. 자신의 아이덴티티가 존재하면, 정보는 무시된다. 그렇지 않으면, 자신의 아이덴티티는 추가되고, 정보는 전송될 수 있다. 또한, 송신측에서 비교가 행해질 수 있다. VPN 정보 메시지를 도메인으로 전송하기 전에, 송신 도메인은 인접한 도메인의 아이덴티티에 대한 전송 경로 정보를 탐색한다. 전송 경로에 이미 존재하는 도메인의 경우, 전송은 금지된다.Another embodiment for loop inhibition is based on information about the transmission path. By adding the information in the VPN information message about which domain is passed during the transmission process, the receiving domain can easily search for its identity among the information. If your identity exists, the information is ignored. Otherwise, his identity is added and information can be transmitted. Also, comparison can be made at the transmitting side. Before sending the VPN information message to the domain, the sending domain retrieves the transmission path information for the identity of the adjacent domain. In the case of a domain that already exists in the transmission path, the transmission is prohibited.
또 다른 실시예는 수명에 기초로 한다. 예컨대, 타당성 만료 시간(validity expiration time)을 고정함으로써 원래의 VPN 정보 갱신을 행할 시에 어떤 수명이 설정될 수 있다. 이와 같은 정보를 수신 및/또는 전송할 시에, 이 타당성 만료 시간은, 예컨대, 시스템 시간에 대해 검사되고, 이 타당성이 만료되면, 더 이상 전송이 실행되지 않는다. 수명 개념의 변동이란 각 전송에 대한 접속에서 단축되는 나머지 수명을 설정하는 것이다. 나머지 수명이 소멸하면, 더 이상 전송이 실행되지 않는다. 이때, 이 접근법은 또한, "시간"의 측정으로서 전송의 수를 활용하여, 이용될 수 있다. 즉, 최대 전송의 수가 허용되는 초기화로부터 지정된다. 각 전송의 경우, 나머지 수는 1 유닛만큼 감소된다.Another embodiment is based on lifetime. For example, by fixing the validity expiration time, a certain lifetime can be set when performing the original VPN information update. Upon receipt and / or transmission of such information, this validity expiration time is checked, for example against system time, and if this validity expires, no further transmission is performed. The variation in the lifetime concept is to set the remaining lifetime shortened on the connection for each transmission. When the remaining life expires, no further transmission is performed. This approach can then also be utilized utilizing the number of transmissions as a measure of "time". That is, the maximum number of transmissions is specified from the allowed initialization. For each transmission, the remaining number is reduced by one unit.
도 6A는 접속 경로 결정 장치를 제공하는 본 발명에 따른 비교적 일반적 VPN 제어 노드(43)의 특정 실시예의 블록도를 도시한 것이다. VPN 제어 노드(43)는 도메인 VPN 정보를 제공하는 수단(52)을 포함한다. 이 정보는 접속부(62)에 의해 도메인 내의 다른 노드에 의해 제공될 수 있다. 주 제어 통신 인터페이스(40)는 다른 도메인과의 통신을 위해 제공된다. 이 인터페이스(40)는 인트라도메인 접속부(62)와 함께 배치될 수 있다. 요구된 VPN의 아이덴티티가 도메인 VPN 정보와 부합하는지를 조사하는 평가 유닛(49)이 제공된다. 평가 유닛(49)은, 적절한 접속 경로를 찾기 위한 품질 측정에 따라 요구된 VPN에 관한 정보의 상술한 평가를 실행하기 위해 더 배치된다. VPN 요구는 자신의 도메인의 다른 노드로부터 수신될 수 있거나, VPN 제어 노드 내에서 초기화될 수 있다. 외부 VPN 처리 부분(44)은 도메인 간 VPN 구성을 처리할 책임이 있다. 외부 VPN 처리 부분(44)은, 자신의 도메인 내에 이용 가능한 VPN에 관한 정보를 인접한 도메인으로 확산하는 수단(71)을 포함한다. 외부 VPN 처리 부분(44)은, 인접한 도메인으로부터 VPN에 관한 정보를 수신하는 수단(73) 및, 인접한 도메인으로부터 VPN에 관한 수신된 정보에 기초로 한 정보를 다른 인접한 도메인으로 분산하는 수단(72)을 더 포함한다. 수단(71-73), 특히 수단(71-72)은 바람직하게는 집적 방식으로 배치될 수 있는데, 그 이유는 상이한 수단의 많은 공통 부분의 기능성이 존재하기 때문이다. 그러나, 다른 실시예에서는 개별 유닛이 제공될 수 있다. 내부 VPN 처리 부분(41)은 자신의 도메인 내에서 내부 접속부를 구성하기 위한 기능성을 가지며, 바람직하게는, 자신의 도메인 내에 이용 가능한 VPN에 관한 정보를 수집하는 수단, 즉, 도메인 VPN 정보를 제공하는 수단(52)을 포함한다.6A shows a block diagram of a particular embodiment of a relatively general
도 6B는 본 발명에 따른 VPN 제어 노드(43)의 다른 특정 실시예의 블록도이다. 자신의 도메인에 관한 도메인 VPN 정보는 내부 VPN 처리 부분(41)에 의해 제공되며, 이 내부 VPN 처리 부분(41)은 VPN에 관한 정보를 수집하는 수단(52)을 포함한다. 이 특정 실시예에서, 내부 도메인 VPN 정보는 데이터 메모리(74) 내에 기억된다. 이 특정 실시예에서, 화살표(62)로 도시된 바와 같이, 이 정보는 이 도메인 내의 다른 노드와 통신함으로써 제공된다. 다른 실시예에서, 이 정보는 다른 방식으로 획득될 수 있다. 내부 도메인 VPN 정보는 또한 외부 VPN 처리 부분(44) 내의 전체 VPN 정보 데이터베이스(54)로 전송된다. 내부 VPN 처리 부분(41)은 또한 자신의 도메인 내에 내부 접속부를 구성하는 기능성을 가진 내부 구성 머신(46)을 포함 한다. 내부 VPN 처리 부분(41)은, 내부 도메인 VPN 정보를 구비할 뿐만 아니라, 데이터베이스(54)로부터의 정보도 구비한다. 따라서, 내부 도메인 문제에 관한 통신은 내부 VPN 처리 부분(41)과 외부 VPN 처리 부분(44) 간의 접속부(42)를 통해 실행된다.6B is a block diagram of another particular embodiment of a
VPN 제어 노드(43)는 도메인 간 접속부를 통해 다른 도메인을 가진 주 제어 통신 인터페이스(40)를 갖는다. 다른 도메인으로부터의 도메인 VPN 정보는 인터페이스(40)에 의해 수신되고, 입력 처리 유닛(56)은 수신된 데이터로부터 유용한 정보를 추출하여, 이 외부 정보를 입력 데이터베이스(58) 내에 기억시킨다. 이 입력 데이터베이스(58) 내에, 외부 데이터가 수신되는 어느 도메인으로부터의 추가적인 정보가 또한 기억된다. 이 실시예에서, 입력 처리 유닛(56) 및 입력 데이터베이스(58)는 인접한 도메인으로부터 VPN에 관한 정보를 수신하는 수단(73) 내에 포함된다. 입력 데이터베이스(58)는 적절할 시에 전체 VPN 정보 데이터베이스(54)를 갱신한다. 외부 VPN 처리 부분(44)은 또한 도메인에 관련한 도메인 간 접속부의 부분을 구성하는 기능성을 가진 외부 구성 머신(60)을 포함한다. 이 기능성은 아래에 더욱 상세히 기술될 것이다.The
외부 VPN 처리 부분(44)은 또한 정보를 다른 도메인에 제공한다. 자신의 도메인 및/또는 다른 도메인과 관련된 도메인 VPN 정보는 데이터베이스(54)로부터 추출되어 출력 데이터 처리 유닛(50)에 제공된다. 검색된 정보는, 상이한 이웃 도메인과 관련된 SLA에 따라 처리되어, 출력 데이터베이스(48) 내에 기억된다. 이에 의해, SLA는, 무슨 정보가 상이한 이웃 도메인으로 확산되도록 하는 지를 결정한다. 밀접한 관계를 가진 도메인 오퍼레이터는 더욱 투명한 정보 교환을 고려할 수 있는 반면에, 비관련 오퍼레이터에 속하는 도메인은 더욱 제한적인 정보 교환을 이용할 수 있다. VPN에 관한 정보는 적절할 시에 인터페이스(40) 상에 송신된다. 본 실시예에서, 데이터베이스(54), 출력 데이터 처리 유닛(50) 및 출력 데이터베이스(48)는, 자신의 도메인 내에 이용 가능한 VPN에 관한 정보를 확산시켜, 인접한 도메인으로부터 VPN에 관한 수신된 정보를 기초로 하는 정보를 분산하는 공통 유닛(71, 72) 내에 포함된다.External
도 7에 도시된 일례는, 도메인 간 VPN의 구성이 어떻게 자동화될 수 있는 가를 도시한 것이다. 도메인(10E) 내의 새로운 고객 사이트(20')는 VPN(22A)에 접속된다. VPN 터널은, 도메인 내부 및 도메인 간의 VPN 접속부에 이용되는 것으로 추정된다. 다음의 단계가 취해진다.The example shown in FIG. 7 illustrates how the configuration of a cross-domain VPN can be automated. The new customer site 20 'in
도메인(10E) 내의 VPN 제어 노드는, VPN(22A)에 접속하기 위해 고객으로부터 요구를, 어떻게든 해서, 요구를 획득한다. 도메인(10E)의 VPN 데이터베이스는 VPN(22A)이 도메인(10E) 내에 존재하지 않음을 나타내므로, 도메인(10E)의 VPN 제어 노드는 고객 사이트(20')를 도메인(10E) 내의 VPN(22A)에 직접 접속할 수 없다. 그러나, 다른 도메인으로부터 생성된 VPN 정보가 이용 가능하며, 이는 VPN(22A)에 대한 접속 경로가 "nexthop"(10B, 10C 및 10D)에서 발견될 수 있음을 나타낸다.The VPN control node in the
도메인(10E)의 VPN 제어 노드는, 상술한 품질 측정의 평가에 따라, "nexthop"(10B)만을 통해 VPN을 설정하도록 선택한다. 그것은, 고객 사이트(20')가 접속되는 에지 노드(14')에서, 링크(12D)를 통해 도메인(10B)에 접속되는 경계 노 드(18:1)까지, VPN(22A)에 대한 VPN 터널(71)을 설정한다. 도메인(10E) 내의 VPN 제어 노드는, 도메인(10B) 내의 VPN 제어 노드와의 통신을 개시하여, 링크(12D)를 통해 경계 노드(18:2)까지 VPN(22A)에 대한 VPN 터널(72)을 설정한다. The VPN control node of the
도메인(10B)의 VPN 제어 노드는 "nexthop"(10A)을 통해 VPN을 설정한다. 그것은, 링크(12D)를 통해 도메인(10B)에 접속되는 경계 노드(18:2)에서, 링크(12A)를 통해 도메인(10A)에 접속되는 경계 노드(18:3)까지, VPN(22A)에 대한 VPN 중계 터널(73)을 설정한다. 도메인(10B) 내의 VPN 제어 노드는, 도메인(10A) 내의 제어 노드와의 통신을 개시하여, 링크(12A)를 통해 경계 노드(18:4)까지 VPN 터널(74)을 설정한다. VPN(22A)이 도메인(10A) 내에 존재하므로, 도메인(10A)의 제어 노드는, 링크(12A)를 통해 도메인(10B)에 접속되는 경계 노드에서, VPN(22A)에 접속되는 경계 노드(18:5)까지 내부 터널(75)을 설정할 수 있다.The VPN control node of
각 단계 후에, 갱신된 VPN 데이터베이스는 VPN 정보를 수집하는 다음 라운드(round)에 이용 가능할 것이다.After each step, the updated VPN database will be available for the next round of collecting VPN information.
본 발명에 따른 방법의 실시예의 기본 단계는 도 8에 도시되어 있다. 단계(200)에서 절차가 개시한다. 단계(210)에서, 각 도메인 내에 이용 가능한 VPN에 관한 정보는 각각의 도메인 내에 수집된다. 단계(212)에서, VPN에 관한 정보는 인접한 도메인으로 확산된다. 단계(214)에서, 인접한 도메인으로부터 VPN에 관한 정보는 수신된다. 어떤 중간 처리를 가지거나 가지지 않고, 단계(216)에서, 인접한 도메인으로부터 VPN에 관한 수신된 정보에 기초로 한 정보가 다른 인접한 도메인으로 분산된다. VPN에 관한 전체 정보로부터, 단계(218)에서, 적절한 접속 경로를 찾 기 위해 품질 측정의 평가가 행해진다. 이 절차는 단계(299)에서 종료한다.The basic steps of an embodiment of the method according to the invention are shown in FIG. 8. The procedure begins in
상술한 실시예는 본 발명의 몇몇 예시적인 예들로서 이해될 수 있다. 당업자는, 본 발명의 범주 내에서 이들 실시예에 대한 많은 수정, 조합 및 변경이 행해질 수 있음을 알 수 있다. 특히, 여러 실시예에서의 여러 부분의 솔루션은 기술적으로 가능한 다른 구성에 조합될 수 있다. 그러나, 본 발명의 범주는 첨부한 청구범위에 의해 한정된다.The above-described embodiments can be understood as some illustrative examples of the invention. Those skilled in the art will appreciate that many modifications, combinations and variations of these embodiments can be made within the scope of the invention. In particular, the various parts of the solutions in the various embodiments can be combined in other configurations that are technically possible. However, the scope of the present invention is defined by the appended claims.
Claims (18)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SEPCT/SE2004/001065 | 2004-06-30 | ||
PCT/SE2005/001006 WO2006004501A1 (en) | 2004-06-30 | 2005-06-23 | Methods and arrangements for connection determination in multi-domain virtual private network |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070035502A true KR20070035502A (en) | 2007-03-30 |
KR101145575B1 KR101145575B1 (en) | 2012-05-15 |
Family
ID=43656600
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020067026582A KR101145575B1 (en) | 2004-06-30 | 2005-06-23 | Methods and arrangements for connection determination in multi-domain virtual private network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101145575B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101970515B1 (en) * | 2018-01-17 | 2019-04-19 | 주식회사 엑스게이트 | Managing method and management apparatus for virtual network providing system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040034702A1 (en) | 2002-08-16 | 2004-02-19 | Nortel Networks Limited | Method and apparatus for exchanging intra-domain routing information between VPN sites |
-
2005
- 2005-06-23 KR KR1020067026582A patent/KR101145575B1/en active IP Right Grant
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101970515B1 (en) * | 2018-01-17 | 2019-04-19 | 주식회사 엑스게이트 | Managing method and management apparatus for virtual network providing system |
Also Published As
Publication number | Publication date |
---|---|
KR101145575B1 (en) | 2012-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101145587B1 (en) | Method for fast determining of connection paths in multi-domain virtual private networks | |
CN109923838A (en) | Bridge the elastic VPN of long-range isolated island | |
JP2005536147A5 (en) | ||
JP2007505553A (en) | Wireless networking system and method | |
JP6045685B2 (en) | Efficient device handover / movement in mesh networks | |
CN106131031A (en) | The method and device that a kind of DDoS flow cleaning processes | |
CN104038427A (en) | Router renewing method and device | |
CN112134744A (en) | Management method of nodes in distributed management system | |
KR101145575B1 (en) | Methods and arrangements for connection determination in multi-domain virtual private network | |
US9124586B2 (en) | Confidential or protected access to a network of nodes distributed over a communication architecture with the aid of a topology server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150424 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160425 Year of fee payment: 5 |