KR20080050245A - Ethernet-based stand-alone network security system - Google Patents

Ethernet-based stand-alone network security system Download PDF

Info

Publication number
KR20080050245A
KR20080050245A KR1020070069792A KR20070069792A KR20080050245A KR 20080050245 A KR20080050245 A KR 20080050245A KR 1020070069792 A KR1020070069792 A KR 1020070069792A KR 20070069792 A KR20070069792 A KR 20070069792A KR 20080050245 A KR20080050245 A KR 20080050245A
Authority
KR
South Korea
Prior art keywords
interface
ethernet
processing means
physical layer
network
Prior art date
Application number
KR1020070069792A
Other languages
Korean (ko)
Inventor
강태규
이상민
주범순
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20080050245A publication Critical patent/KR20080050245A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4204Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus
    • G06F13/4221Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus being an input/output bus, e.g. ISA bus, EISA bus, PCI bus, SCSI bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/10Current supply arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An Ethernet-based stand-alone type network security system is provided to enable a manager to easily manage a system by mounting a storage unit for storing a huge amount of log information for system monitoring. A control processing unit(200) controls an operation of an overall system and manages a state of the system. A network processing unit(300) performs a traffic management function by interworking with the control processing unit, and outputs switching/routing path information obtained by performing the traffic management function to a corresponding line interface or a monitor interface, or perform a reverse function. An Ethernet physical layer unit(400) includes a line interface connected with an external network and a monitor interface(741) connected with the control processing unit, restores a line interface signal or a monitor interface signal to a physical layer signal, and transfers the restored signal to the network processing unit, or performs a reverse function. A storage unit(500) receives log information for system monitoring from the control processing unit, and stores the same.

Description

이더넷 기반 스탠드-얼론형 네트워크 보안 시스템{Ethernet-based stand-alone network security system}Ethernet-based stand-alone network security system

본 발명은 고속 스위칭/라우팅뿐만 아니라 라인 인터페이스를 통해 수신되는 패킷으로부터 제2계층에서 제7계층까지의 정보를 분석하고 이를 바탕으로 사용자가 원하는 방식으로 보안 시스템을 설계할 수 있는 구조를 갖는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템에 관한 것이다. The present invention analyzes the information from the second layer to the seventh layer from packets received through the line interface as well as high-speed switching / routing, and based on this, Ethernet-based structure that can design a security system in a manner desired by the user. A stand-alone network security system.

본 발명은 정보통신부 및 정보통신연구진흥원의 IT신성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2005-S-101-02, 과제명: 멀티미디어 QoS 라우팅 기술].The present invention is derived from a study conducted as part of the IT new growth engine core technology development project of the Ministry of Information and Communication and the Ministry of Information and Communication Research and Development (Task Management Number: 2005-S-101-02, Title: Multimedia QoS Routing Technology).

네트워크 보안 장비는 주로 특정한 일부 네트워크 보안 기능을 주로 수행하는 제품을 생산할 목적으로 사용되는 주문형 반도체(Application Specific Integrated Circuit)를 기반으로 하여 개발되어 왔다. Network security equipment has been developed based on application specific integrated circuits, which are primarily used to produce products that perform some specific network security functions.

그런데, 최근 대부분의 보안 장비의 인터페이스로 이더넷이 사용되고 있으 며, 네트워크 사용자들의 다양한 서비스 요구가 증가하고, IPv4-IPv6 변환이 요구되고, 보안(프로시 서버, 방화벽, 가상 사설망) 기능이 다양화되어 가는 등 다양한 요구 사항 및 다양한 애플리케이션에 대한 수용 요구가 발생하고 있다.However, Ethernet is being used as an interface of most security equipments recently, various service needs of network users are increasing, IPv4-IPv6 conversion is required, and security (procedure server, firewall, virtual private network) is diversified. There are demands for different requirements and different applications such as thin.

그런데, 기존의 네트워크 플랫폼상에서는 상술한 네트워크 사용자들의 다양한 서비스 요구, IPv4-IPv6 변환 요구, 보안(프로시 서버, 방화벽, 가상 사설망) 기능이 다양화되어 가는 등 다양한 요구 및 다양한 애플리케이션에 대한 수용 요구를 충족시킬 수 없다는 문제점이 있다.However, on the existing network platform, various service needs, IPv4-IPv6 conversion request, security (procedure server, firewall, virtual private network) functions of the above-mentioned network users are diversified, and various demands and acceptance requirements for various applications are provided. There is a problem that cannot be satisfied.

상기 과제를 해결하기 위한 수단으로서, 본 발명은 고속 스위칭/라우팅뿐만 아니라 라인 인터페이스를 통해 수신되는 패킷으로부터 제2계층에서 제7계층까지의 정보를 분석하고 이를 바탕으로 사용자가 원하는 대로 보안 시스템을 설계할 수 있는 구조의 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템을 제공한다.As a means to solve the above problems, the present invention analyzes the information from the second layer to the seventh layer from the packet received through the line interface as well as high-speed switching / routing, and based on this design the security system as the user wants An Ethernet-based stand-alone network security system is provided.

본 발명의 일 실시 형태에 따르면, 상기 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템은, 시스템 전체의 동작 제어 및 상태 관리를 수행하는 제어 프로세싱 수단; 상기 제어 프로세싱 수단과 연동하여 트래픽 관리 기능을 수행하고 그 결과로 얻은 스위칭/라우팅 경로 정보를 해당하는 라인 인터페이스나 모니터 인터페이스로 출력하거나 그 역기능을 수행하는 네트워크 프로세싱 수단; 외부 망에 연결되는 라인 인터페이스와, 외부 망 또는 상기 제어 프로세싱 수단과 연결되는 모니터 인터페이스를 구비하여, 상기 라인 인터페이스 신호 또는 모니터 인터페이스 신호를 물리층 신호로 복원한 후 상기 네트워크 프로세싱 수단으로 전달하거나 그 역 기능을 수행하는 이더넷 물리층 수단; 및 상기 제어 프로세싱 수단으로부터 시스템 모니터를 위한 로그 정보를 수신하여 저장하는 저장 수단을 포함한다.According to an embodiment of the present invention, the Ethernet-based stand-alone network security system includes: control processing means for performing operation control and state management of the entire system; Network processing means for performing a traffic management function in association with the control processing means and outputting the resulting switching / routing path information to a corresponding line interface or monitor interface or performing the reverse function; A line interface connected to an external network and a monitor interface connected to an external network or the control processing means to restore the line interface signal or the monitor interface signal to a physical layer signal and then transfer the signal to the network processing means or vice versa. Ethernet physical layer means for performing; And storage means for receiving and storing log information for a system monitor from the control processing means.

또한, 상기의 본 발명에 의한 네트워크 보안 시스템은, 상기 제어 프로세싱 수단과 네트워크 프로세싱 수단과 이더넷 물리층 수단과 저장 수단에 전원을 공급하고, 시스템 내부 온도 제어 기능을 수행하는 전원 공급 및 팬 수단을 더 포함할 수 있다.The network security system according to the present invention further includes a power supply and fan means for supplying power to the control processing means, the network processing means, the Ethernet physical layer means and the storage means, and performing a system internal temperature control function. can do.

상술한 바에 의하면, 본 발명에 의한 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템은, 네트워크 프로세서 수단과 제어 프로세서 수단을 1Gbps 속도의 1000BASE-T 인터페이스로 별도로 연결하여 네트워크 프로세서에서 처리할 수 없는 프로토콜을 빠른 속도로 처리하고, 모니터할 수 있으며, 시스템 모니터링을 위한 방대한 로그 정보를 저장할 수 있는 저장수단을 실장하여 관리자가 시스템 관리를 용이하게 할 수 있으며, 단위 네트워크 프로세서 수단 및 제어 프로세서 수단 등을 도터 보드 형태로 로 구현함으로써 보드 적층 수를 줄여 구현성과 시험성을 높이고 시스템 단가를 낮출 수 있으며, 이를 기반으로 사용자가 원하는 다양한 보안 시스템을 구현할 수 있도록 하는 우수한 효과가 있다.According to the above, the Ethernet-based stand-alone network security system according to the present invention connects the network processor means and the control processor means separately with a 1000BASE-T interface of 1 Gbps speed so that a protocol that cannot be handled by the network processor can be fast. The system can be easily managed by administrators by installing a storage means that can be processed and monitored, and can store a large amount of log information for system monitoring. By reducing the number of board stacks, the implementation and testability can be improved, and the system cost can be lowered.

이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, in describing in detail the operating principle of the preferred embodiment of the present invention, if it is determined that the detailed description of the related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.In addition, the same reference numerals are used for parts having similar functions and functions throughout the drawings.

덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한 어떤 구성 요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라, 다른 구성요소를 더 포함할 수 있는 것을 의미한다.In addition, throughout the specification, when a part is 'connected' to another part, it is not only 'directly connected' but also 'indirectly connected' with another element in between. Include. In addition, the term 'comprising' a certain component means that the component may be further included, without excluding the other component unless specifically stated otherwise.

도 1은 본 발명의 바람직한 실시 예에 따른 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템을 개략적으로 나타낸 블럭도이다.1 is a block diagram schematically illustrating an Ethernet-based stand-alone network security system according to a preferred embodiment of the present invention.

도 1을 참조하면, 본 발명에 의한 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템(100)은, 시스템 전체의 동작 제어 및 상태 관리를 수행하는 제어 프로세싱 수단(200)과, 상기 제어 프로세싱 수단(200)과 연동하여 트래픽 관리 기능을 수행하고 그 결과로 얻은 스위칭/라우팅 경로 정보를 해당하는 라인 인터페이스나 모니터 인터페이스로 출력하거나 그 역기능을 수행하는 네트워크 프로세싱 수단(300)과, 외부 망과 연결되는 라인 인터페이스와 외부 망 또는 상기 제어 프로세싱 수 단(200)과 연결되는 모니터 인터페이스를 구비하여, 상기 라인 인터페이스 신호 또는 모니터 인터페이스 신호를 물리층 신호로 복원한 후 상기 네트워크 프로세싱 수단(300)으로 전달하거나 그 역기능을 수행하는 이더넷 물리층 수단(400)과, 상기 제어 프로세싱 수단(200)으로부터 시스템 모니터를 위한 로그 정보를 수신하여 저장하는 저장 수단(500)을 포함한다.Referring to FIG. 1, the Ethernet-based stand-alone network security system 100 according to the present invention includes control processing means 200 for performing operation control and state management of the entire system, and the control processing means 200. Network processing means (300) for performing traffic management functions in conjunction with and outputting the resulting switching / routing path information to a corresponding line interface or monitor interface, or performing the reverse function, and a line interface connected to an external network; A monitor interface connected to an external network or the control processing terminal 200 to restore the line interface signal or the monitor interface signal to a physical layer signal, and then transfer the signal to the network processing means 300 or perform the reverse function. From the Ethernet physical layer means 400 and the control processing means 200 And storage means 500 for receiving and storing log information for the system monitor.

더하여, 상기 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템(100)은, 상기 제어 프로세싱 수단(200)과 네트워크 프로세싱 수단(300)과 이더넷 물리층 수단(400)과 저장 수단(400)에 전원을 공급하고, 시스템 내부 온도 제어 기능을 수행하는 전원 공급 및 팬 수단(600)을 더 포함한다.In addition, the Ethernet-based stand-alone network security system 100 supplies power to the control processing means 200, the network processing means 300, the Ethernet physical layer means 400 and the storage means 400, It further comprises a power supply and fan means 600 for performing a system internal temperature control function.

도 1에서 부호 710~770은 각 수단을 연결하는 인터페이스를 나타낸 것으로서, 710은 EIA-232C 디버깅 인터페이스이고, 720은 10/100BASE-T 기반의 관리 인터페이스이고, 730은 PCI(Parallel component interconnect)이고, 740은 모니터링 인터페이스이고, 750은 외부 망과 연결되는 라인 인터페이스이고, 760은 네트워크 프로세싱 수단(300)과 이더넷 물리층 수단(400)을 연결하는 인터페이스이고, 770은 E-IDE(Enhanced Integrated Drive Electonics) 인터페이스이고, 780은 셀프(self) 루프백 인터페이스이고, 790은 크로스(cross) 루프백 인터페이스이다.In FIG. 1, reference numerals 710 to 770 denote interfaces for connecting means, 710 is an EIA-232C debugging interface, 720 is a 10 / 100BASE-T based management interface, and 730 is a parallel component interconnect (PCI). 740 is a monitoring interface, 750 is a line interface connected to the external network, 760 is an interface connecting the network processing means 300 and the Ethernet physical layer means 400, 770 is an Enhanced Integrated Drive Electonics (E-IDE) interface 780 is a self loopback interface and 790 is a cross loopback interface.

이하 각 구성 수단의 상세 구성 및 작용에 대해서 설명한다.The detailed structure and effect | action of each structural means are demonstrated below.

상기 전원 공급 및 팬 수단(600)은 이중화된 무-정지 전원 공급 장치(Hot-swappable redundant power supply)로 구현되어 시스템에 안정적인 전원을 공급하고, 상기 각 구성 수단의 원활한 동작을 위하여, 공기의 유입과 배출을 통해 시스 템 내부 온도를 제어한다.The power supply and fan means 600 is implemented as a hot-swappable redundant power supply to supply a stable power to the system, for the smooth operation of the respective means, the inflow of air Overheating and exhaust control the temperature inside the system.

상기 제어 프로세싱 수단(200)은, PCI 인터페이스(730)를 통해 상기 네트워크 프로세싱 수단(300)을 포함하는 PCI 디바이스를, ESPI(External Slave peripheral Interface)(도시생략)를 통해 상기 이더넷 물리층 수단(400)을 포함하는 ESPI 디바이스를 초기화하고 진단하며 그 상태 정보를 수집하여 설정된 절차에 따라서 이를 처리한다.The control processing means 200, the PCI device including the network processing means 300 via a PCI interface 730, the Ethernet physical layer means 400 through an External Slave peripheral Interface (ESPI) (not shown) Initialize and diagnose the ESPI device, including, and collects the state information and processes it according to a set procedure.

더하여, 상기 제어 프로세싱 수단(200)은 EIA-232C 디버깅 인터페이스(710)를 통하여 디버깅을 콘솔로 제공하며, 또한, 10/100BASE-T 이더넷 관리 인터페이스(720)를 통하여 운영체제를 원격으로 업그레이드하거나 네트워크 파일 시스템 개발 환경을 제공한다.In addition, the control processing means 200 provides debugging to the console through the EIA-232C debugging interface 710, and also remotely upgrades the operating system or network files via the 10 / 100BASE-T Ethernet management interface 720. Provide a system development environment.

또한, 상기 제어 프로세싱 수단(200)은 상기의 이더넷 물리층 수단(400)을 통해 수신된 패킷에 대해 상기의 네트워크 프로세싱 수단(300)과 상호 연동하여 스위칭, 라우팅, 보안과 관련된 프로토콜을 처리하는 기능을 수행한다.In addition, the control processing means 200 performs a function of processing a protocol related to switching, routing, and security by interworking with the network processing means 300 with respect to a packet received through the Ethernet physical layer means 400. Perform.

또한, 상기 제어 프로세싱 수단(200)은, E-IDE 인터페이스(770)를 통하여 상기 저장 수단(500)에 로그 정보를 저장한다. 상기 저장 수단(500)은 하드 디스크로 구현될 수 있다.The control processing means 200 also stores log information in the storage means 500 via the E-IDE interface 770. The storage means 500 may be implemented as a hard disk.

다음으로, 상기 이더넷 물리층 수단(400)은 외부 망과 연결되는 복수의 라인 인터페이스(750)와 상기 제어 프로세싱 수단(200)과 연결되는 모니터링 인터페이스(741)를 포함하는 제1 단위 이더넷 물리층 수단(410)과, 외부 망과 연결되는 복수의 라인 인터페이스(750)와 외부 서버와 연결되는 모니터링 인터페이스(742)를 포함하는 제2 단위 이더넷 물리층 수단(420)으로 이루어지고, 상기 네트워크 프로세싱 수단(300)은 제1,2 단위 이더넷 물리층 수단(410,420)에 각각 대응하여 연결되는 제1,2 단위 네트워크 프로세싱 수단(310,320)으로 이루어진다. Next, the Ethernet physical layer means 400 includes a first unit Ethernet physical layer means 410 including a plurality of line interfaces 750 connected to an external network and a monitoring interface 741 connected to the control processing means 200. ), A second unit Ethernet physical layer means 420 including a plurality of line interfaces 750 connected to an external network and a monitoring interface 742 connected to an external server, and the network processing means 300 includes: The first and second unit Ethernet physical layer means 410 and 420 are connected to the first and second unit network processing means 310 and 320, respectively.

상기 네트워크 물리층 수단(300)과 이더넷 물리층 수단(400)은 도 2 및 도 3을 참조하여 설명한다.The network physical layer means 300 and the Ethernet physical layer means 400 will be described with reference to FIGS. 2 and 3.

도 2는 상기 이더넷 물리층 수단(400)을 상세하게 나타낸 블럭도이다.2 is a detailed block diagram of the Ethernet physical layer means 400.

도 2를 참조하면, 상기 제1,2 단위 이더넷 물리층 수단(410,420)은 각각, 100BASE-T 물리층(411,421)과, 두개의 1000BASE-X 물리층(412,422)과, 8포트의 10/100BASE-T물리층(413,423)을 포함한다.2, the first and second unit Ethernet physical layer means 410 and 420 are 100BASE-T physical layers 411 and 421, two 1000BASE-X physical layers 412 and 422, and 8 port 10 / 100BASE-T physical layers, respectively. (413,423).

상기 1000BASE-T 물리층(411,421)은, 1000BASE-T 기반의 모니터링 인터페이스(741,742)를 통해 수신된 신호를 아날로그-디지털 변환, 적응 등화, 클럭/데이터 추출, 물리코딩을 통하여 물리층 신호로 복원한 후, 이를 TBI(Ten Bit Interface) 인터페이스(761) 신호 군으로 구성하여 해당하는 단위 네트워크 프로세싱 수단(310,320)으로 전달하거나 그 역기능을 수행한다.The 1000BASE-T physical layers 411 and 421 restore the signals received through the 1000BASE-T based monitoring interfaces 741 and 742 to the physical layer signals through analog-to-digital conversion, adaptive equalization, clock / data extraction, and physical coding. It is configured as a TBI (Ten Bit Interface) interface 761 signal group and transmitted to the corresponding unit network processing means (310,320) or performs the reverse function.

그리고, 두 개의 1000BASE-X물리층(412,422)은, 외부 망으로부터 광 섬유를 통해 2포트의 1.25Gbps 1000BSE-X 라인 인터페이스(751) 신호를 수신하여 클럭/데이터 추출, 역다중화를 통해 물리층 신호로 복원한 후, 이를 포트당 62.5 MHz 클럭과 125 Mbps 10 비트 데이터의 TBI 인터페이스(762) 신호군으로 구성하여 해당하는 단위 네트워크 프로세싱 수단(310,320)으로 전달하거나 그 역기능을 수행한다.In addition, the two 1000BASE-X physical layers 412 and 422 receive two ports of the 1.25Gbps 1000BSE-X line interface 751 signal from the external network through the optical fiber, and recover the physical layer signal through clock / data extraction and demultiplexing. Then, it is composed of the TBI interface 762 signal group of 62.5 MHz clock and 125 Mbps 10-bit data per port and forwarded to the corresponding unit network processing means (310,320) or performs the reverse function.

또한, 8포트 10/100BASE-T 물리층(413,423)은 외부 망으로부터 비차폐 연 선(UTP)을 통해 8 포트의 10Mbps/125Mbps 10/100BASE-T 이더넷 라인 인터페이스(752) 신호를 수신하여 아날로그-디지털 변환, 적응 등화, 클럭/데이터 추출, 물리코딩을 통하여 물리층 신호로 복원한 후, 이를 포트당 125Mbps 1비트 데이터 신호의 SMII(Serial Media Independent Interface) 인터페이스(763) 신호군으로 구성하여 해당하는 단위 네트워크 프로세싱 수단(310,320)으로 전달하거나 그 역기능을 수행한다.In addition, the 8-port 10 / 100BASE-T physical layer (413,423) receives analog-digital signals by receiving 8-port 10Mbps / 125Mbps 10 / 100BASE-T Ethernet line interface 752 signals from the external network through the unshielded twisted pair (UTP). After reconstruction to a physical layer signal through conversion, adaptive equalization, clock / data extraction, and physical coding, it is composed of a serial media independent interface (SMII) interface 763 signal group of 125Mbps 1-bit data signals per port. Transfer to processing means (310,320) or perform the reverse function.

상기의 제1,2 단위 이더넷 물리층 수단(410,420)에 의하여, 1000BASE-T 인터페이스 또는 1000BASE-X 인터페이스 또는 10/100 BASE-T 인터페이스를 통해 네트워크 보안 처리를 위한 개방형 시스템 상호 접속 모델의 제2 계층에서 제7 계층까지의 제어 및 데이터 정보가 제1,2 단위 네트워크 프로세싱 수단(310,320)으로 전달하고, 역으로 상기 제어 및 데이터 정보에 대한 처리 결과를 수신하여 해당하는 라인 인터페이스를 통해 출력하게 된다.By the first and second unit Ethernet physical layer means 410,420, at the second layer of the open system interconnect model for network security processing via a 1000BASE-T interface or a 1000BASE-X interface or a 10/100 BASE-T interface. The control and data information up to the seventh layer are transmitted to the first and second unit network processing means 310 and 320, and conversely, the processing result for the control and data information is received and output through the corresponding line interface.

이때, 상기 제1,2 단위 네트워크 프로세싱 수단(310,320)은 도 3과 같은 구조를 갖는다.In this case, the first and second unit network processing means 310 and 320 have a structure as shown in FIG. 3.

도 3을 참조하면, 상기 제1,2 단위 네트워크 프로세싱 수단(310,320)은, TBI(Ten Bit Interface) 인터페이스(761,762) 신호군 및 SMII 인터페이스(763) 신호군을 통해 해당하는 단위 이더넷 물리층 수단(410,420)으로부터 개방형 시스템 상호 접속 모델의 제2 계층에서 제7 계층까지의 제어 및 데이터 정보를 수신하며, 33 MHz 클럭과 32 비트 데이터/주소를 갖는 PCI 인터페이스(730)를 통하여 제어 프로세싱 수단(200)과 연동한다.Referring to FIG. 3, the first and second unit network processing means 310 and 320 may include unit Ethernet physical layer means 410 and 420 through the TBI (Ten Bit Interface) interface 761 and 762 signal group and the SMII interface 763 signal group. Control and data information from the second layer to the seventh layer of the open system interconnect model, and through the PCI interface 730 having a 33 MHz clock and 32 bit data / address. It works.

더 구체적으로, 상기 제1,2 단위 네트워크 프로세싱 수단(310,320)은 각각, 상기 제어 프로세싱 수단(200)과의 연동을 통하여 제1,2 단위 이더넷 물리층 수단(410,420)으로부터 수신된 제어 및 데이터에 대하여 분석(parsing), 조사(searching), 수정(modification), 큐잉(queuing)을 포함하는 정보 분류 기능과, 룩업(look-up), 폴리싱(policing), 플로우별 큐잉, 쉐이핑(shaping)을 포함하는 트래픽 관리 기능을 수행한다.More specifically, the first and second unit network processing means 310 and 320 respectively control and data received from the first and second unit Ethernet physical layer means 410 and 420 through interworking with the control processing means 200. Information classification features, including parsing, searching, modification, and queuing, and look-up, polishing, flow-by-flow queuing, and shaping Perform traffic management.

그리고 상기 정보 분류 및 트래픽 관리 수행 결과를 4 Gbps DASL(Data-Aligned Synchronous Link) 인터페이스 신호군으로 구성하여 루프백 인터페이스(780,790)을 통해 목적지 포트에 해당하는 라인 인터페이스로 출력하는데, 그 목적지 포트가 자신에게 연결된 단위 이더넷 물리층 수단에 있는 경우 DASL 셀프 루프백 인터페이스(780)로 출력하고, 그 목적지 포트가 자신에 연결된 단위 이더넷 물리층 수단에 있지 않은 경우 다른 단위 네트워크 프로세싱 수단과 연결된 DASL 크로스 루프백 인터페이스(790)로 출력한다.The information classification and traffic management result is composed of 4 Gbps Data-Aligned Synchronous Link (DASL) interface signal group and output through the loopback interface 780, 790 to the line interface corresponding to the destination port. Output to DASL self-loopback interface 780 if it is in connected unit Ethernet physical layer means, or to DASL cross loopback interface 790 connected to other unit network processing means if its destination port is not in unit Ethernet physical layer means connected thereto. do.

상술한 제1,2 단위 네트워크 프로세싱 수단(310,320)과 제어 프로세싱 수단(200)은 도터 보드 형태로 구현될 수 있다.The first and second unit network processing units 310 and 320 and the control processing unit 200 may be implemented in the form of a daughter board.

상기와 같이, 본 발명에 의한 네트워크 보안 시스템은, 1000 BASE-T 물리층, 2포트의 1000BASE-X 물리층, 8포트 10/100BASE-T 물리층을 지원하여, 사용자의 다양한 요구 사항을 만족시킬 수 있다. 특히, 본 발명에 의한 네트워크 보안 시스템은, 16 포트의 10/100BASE-T 이더넷 라인 인터페이스와, 4 포트의 1000BASE-X 기가비트 이더넷 인터페이스와, 2 포트의 1000BSE-T 기가비트 이더넷 네트워크 프로세 서 모니터용 인터페이스와, 10/100BASE-T 이더넷 관리 인터페이스와, 디버깅용 EIA-232C 인터페이스를 지원함으로써, 사용자가 원하는 방식의 보안 시스템을 구현할 수 있도록 한다.As described above, the network security system according to the present invention supports a 1000 BASE-T physical layer, a 2-port 1000BASE-X physical layer, and an 8-port 10 / 100BASE-T physical layer to satisfy various requirements of a user. In particular, a network security system according to the present invention includes a 16-port 10 / 100BASE-T Ethernet line interface, a 4-port 1000BASE-X Gigabit Ethernet interface, and a 2-port 1000BSE-T Gigabit Ethernet network processor interface. Also, it supports 10 / 100BASE-T Ethernet management interface and EIA-232C interface for debugging, enabling users to implement security system as they want.

이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다. The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and it is common in the art that various substitutions, modifications, and changes can be made without departing from the technical spirit of the present invention. It will be apparent to those skilled in the art.

도 1은 본 발명에 의한 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템의 개략적인 구조를 도시한 블럭도, 1 is a block diagram showing a schematic structure of an Ethernet-based stand-alone network security system according to the present invention;

도 2는 본 발명에 의한 네트워크 보안 시스템에 있어서, 이더넷 물리층 수단의 상세 구조를 나타낸 블럭도, 그리고2 is a block diagram showing the detailed structure of the Ethernet physical layer means in the network security system according to the present invention;

도 3은 본 발명에 의한 네트워크 보안 시스템에 있어서, 네트워크 프로세싱 수단의 상세 구조를 나타낸 블럭도는 흐름도이다. 3 is a block diagram showing the detailed structure of the network processing means in the network security system according to the present invention.

Claims (14)

시스템 전체의 동작 제어 및 상태 관리를 수행하는 제어 프로세싱 수단;Control processing means for performing operation control and state management of the entire system; 상기 제어 프로세싱 수단과 연동하여 트래픽 관리 기능을 수행하고 그 결과로 얻은 스위칭/라우팅 경로 정보를 해당하는 라인 인터페이스나 모니터 인터페이스로 출력하거나 그 역기능을 수행하는 네트워크 프로세싱 수단; Network processing means for performing a traffic management function in association with the control processing means and outputting the resulting switching / routing path information to a corresponding line interface or monitor interface or performing the reverse function; 외부 망과 연결되는 라인 인터페이스와, 외부 망 또는 상기 제어 프로세싱 수단과 연결되는 모니터 인터페이스를 구비하여, 상기 라인 인터페이스 신호 또는 모니터 인터페이스 신호를 물리층 신호로 복원한 후 상기 네트워크 프로세싱 수단으로 전달하거나 그 역기능을 수행하는 이더넷 물리층 수단; 및And a line interface connected to an external network, and a monitor interface connected to an external network or the control processing means to restore the line interface signal or the monitor interface signal to a physical layer signal and then transfer the reverse interface signal or the reverse function to the network processing means. Ethernet physical layer means for performing; And 상기 제어 프로세싱 수단으로부터 시스템 모니터를 위한 로그 정보를 수신하여 저장하는 저장 수단을 포함하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.And storage means for receiving and storing log information for a system monitor from said control processing means. 제1항에 있어서,The method of claim 1, 상기 제어 프로세싱 수단과 네트워크 프로세싱 수단과 이더넷 물리층 수단과 저장 수단에 전원을 공급하고, 시스템 내부 온도 제어 기능을 수행하는 전원 공급 및 팬 수단을 더 포함하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.Ethernet-based stand-alone network security, characterized in that it further comprises a power supply and fan means for supplying power to the control processing means, network processing means, Ethernet physical layer means and storage means, and performs a system internal temperature control function. system. 제2항에 있어서, 상기 제어 프로세싱 수단은The method of claim 2, wherein the control processing means PCI(Parallel Component Interconnect) 인터페이스를 통해 상기 네트워크 프로세싱 수단을 포함하는 PCI 디바이스를, ESPI(External Slave peripheral Interface)를 통해 상기 이더넷 물리층 수단을 포함하는 ESPI 디바이스를 초기화하고 진단하며 그 상태 정보를 수집하여 설정된 절차에 따라서 이를 처리하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.Initializes and diagnoses a PCI device including the network processing means through a parallel component interconnect (PCI) interface and an ESPI device including the Ethernet physical layer means through an external slave peripheral interface (ESPI) and collects state information. Ethernet-based stand-alone network security system, characterized in that the processing according to the procedure. 제2항에 있어서, 상기 제어 프로세싱 수단은The method of claim 2, wherein the control processing means 10/100BASE-T 이더넷 관리 인터페이스를 통하여 운영체제를 원격으로 업그레이드하거나 네트워크 파일 시스템 개발 환경을 제공하는 기능을 더 포함하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.An Ethernet-based stand-alone network security system further comprising the ability to remotely upgrade the operating system or provide a network file system development environment through a 10 / 100BASE-T Ethernet management interface. 제2항에 있어서, 상기 제어 프로세싱 수단은The method of claim 2, wherein the control processing means EIA-232C 디버깅 인터페이스를 통하여 디버깅을 콘솔로 제공하는 기능을 더 포함하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.Ethernet-based stand-alone network security system, characterized in that it further comprises a function to provide debugging to the console via the EIA-232C debugging interface. 제2항에 있어서, 상기 제어 프로세싱 수단은 The method of claim 2, wherein the control processing means E-IDE(Enhanced Integrated Drive Electonics) 인터페이스를 통하여 상기 저장 수단에 로그 정보를 저장하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.Ethernet-based stand-alone network security system, characterized in that for storing log information in the storage means through an Enhanced Integrated Drive Electonics (E-IDE) interface. 제2항에 있어서, The method of claim 2, 상기 이더넷 물리층 수단은, 외부 망과 연결되는 복수의 라인 인터페이스와, 상기 제어 프로세싱 수단과 연결되는 모니터링 인터페이스를 포함하는 제1 단위 이더넷 물리층 수단과, 외부 망과 연결되는 복수의 라인 인터페이스와, 외부 서버와 연결되는 모니터링 인터페이스를 포함하는 제2 단위 이더넷 물리층 수단으로 이루어지고,The Ethernet physical layer means may include a plurality of line interfaces connected to an external network, a first unit Ethernet physical layer means including a monitoring interface connected to the control processing means, a plurality of line interfaces connected to an external network, and an external server. And a second unit Ethernet physical layer means including a monitoring interface connected with the 상기 네트워크 프로세싱 수단은, 상기 제1,2 단위 이더넷 물리층 수단에 각각 대응하여 연결되는 제1,2 단위 네트워크 프로세싱 수단으로 이루어지는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.And said network processing means comprises first and second unit network processing means connected respectively to said first and second unit Ethernet physical layer means. 제7항에 있어서, 상기 제1,2 단위 이더넷 물리층 수단은 각각8. The method of claim 7, wherein the first and second unit Ethernet physical layer means are respectively 1000BASE-T 모니터링 인터페이스를 통해 수신된 신호를 물리층 신호로 복원한 후, 이를 TBI(Ten Bit Interface) 인터페이스 신호군으로 구성하여 해당하는 단 위 네트워크 프로세싱 수단으로 전달하거나 그 역기능을 수행하는 1000BASE-T 물리층;After recovering the signal received through the 1000BASE-T monitoring interface to the physical layer signal, the 1000BASE-T physical layer is configured as a TBI (Ten Bit Interface) interface signal group and transmitted to the corresponding unit network processing means or performs the reverse function. ; 외부 망으로부터 광 섬유를 통해 2포트의 1.25Gbps 1000BSE-X 라인 인터페이스 신호를 수신하여 물리층 신호로 복원한 후, 이를 TBI 인터페이스 신호군으로 구성하여 해당하는 단위 네트워크 프로세싱 수단으로 전달하거나 그 역기능을 수행하는 두 개의 1000BASE-X물리층; 및It receives two ports of 1.25Gbps 1000BSE-X line interface signal from the external network and restores it to the physical layer signal, and then configures it as a TBI interface signal group and transmits it to the corresponding unit network processing means or performs the reverse function. Two 1000BASE-X physical layers; And 외부 망으로부터 비차폐 연선(UTP)을 통해 10Mbps/125Mbps 10/100BASE-T 이더넷 라인 인터페이스 신호를 수신하여 물리층 신호로 복원한 후, 이를 SMII(Serial Media Independent Interface) 인터페이스 신호군으로 구성하여 해당하는 단위 네트워크 프로세싱 수단으로 전달하거나 그 역기능을 수행하는 8포트 10/100BASE-T 물리층을 포함하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.Receives 10Mbps / 125Mbps 10 / 100BASE-T Ethernet line interface signal through the unshielded twisted pair cable (UTP) from the external network, restores it to the physical layer signal, and then configures it as a serial media independent interface (SMII) interface signal group. Ethernet-based stand-alone network security system comprising an 8-port 10 / 100BASE-T physical layer to pass to the network processing means or vice versa. 제8항에 있어서, The method of claim 8, 상기 제1,2 단위 이더넷 물리층 수단에서, 1000BASE-T 모니터링 인터페이스 또는 10/100BASE-T 이더넷 라인 인터페이스를 통해 수신된 신호는 아날로그-디지털 변환, 적응 등화, 클럭/데이터 추출, 물리코딩을 통하여 물리층 신호로 복원되는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.In the first and second unit Ethernet physical layer means, a signal received through a 1000BASE-T monitoring interface or a 10 / 100BASE-T Ethernet line interface is a physical layer signal through analog-to-digital conversion, adaptive equalization, clock / data extraction, and physical coding. Ethernet-based stand-alone network security system, characterized in that restored to. 제8항에 있어서, The method of claim 8, 상기 제1,2 단위 이더넷 물리층 수단에서, 1000BASE-X 라인 인터페이스를 통해 수신된 신호는 클럭/데이터 추출, 역다중화를 통해 물리층 신호로 복원되는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.In the first and second unit Ethernet physical layer means, the signal received through the 1000BASE-X line interface is restored to the physical layer signal through the clock / data extraction, demultiplexing, Ethernet-based stand-alone network security system. 제7항에 있어서, 상기 제1,2 단위 네트워크 프로세싱 수단은 각각8. The apparatus of claim 7, wherein the first and second unit network processing means are respectively TBI(Ten Bit Interface) 인터페이스 신호군 및 SMII 신호군을 통해 해당하는 단위 이더넷 물리층 수단으로부터 개방형 시스템 상호 접속 모델의 제2 계층에서 제7 계층까지의 제어 및 데이터 정보를 수신하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.Ethernet-based control and data information received from the second through seventh layer of the open system interconnect model from the corresponding unit Ethernet physical layer means through the Ten Bit Interface (TBI) interface signal group and the SMII signal group Stand-alone network security system. 제7항에 있어서, 상기 제1,2 단위 네트워크 프로세싱 수단은 각각8. The apparatus of claim 7, wherein the first and second unit network processing means are respectively PCI 인터페이스를 통하여 제어 프로세싱 수단과 연동하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.Ethernet-based stand-alone network security system characterized by interworking with control processing means via a PCI interface. 제11항에 있어서, 상기 제1,2 단위 네트워크 프로세싱 수단은 각각12. The apparatus of claim 11, wherein the first and second unit network processing means are respectively 상기 수신된 제어 및 데이터에 대하여 분석, 조사, 수정, 큐잉을 포함하는 정보 분류 기능과, 룩업, 폴리싱, 플로우별 큐잉, 쉐이핑을 포함하는 트래픽 관리 기능을 수행하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.Ethernet-based stand-alone characterized by performing information classification functions including analysis, investigation, correction, and queuing for the received control and data, and traffic management functions including lookup, polishing, flow-by-flow queuing, and shaping. Network security system. 제13항에 있어서, 상기 제1,2 단위 네트워크 프로세싱 수단은 각각14. The apparatus of claim 13, wherein the first and second unit network processing means are respectively 상기 정보 분류 및 트래픽 관리 수행 결과를 DASL(Data-Aligned Synchronous Link) 인터페이스 신호군으로 구성한 후, 그 목적지 포트가 자신에게 연결된 단위 이더넷 물리층 수단에 있는 경우 DASL 셀프 루프백 인터페이스로 출력하고, 그 목적지 포트가 자신에 연결된 단위 이더넷 물리층 수단에 있지 않은 경우 다른 단위 네트워크 프로세싱 수단과 연결된 DASL 크로스 루프백 인터페이스로 출력하는 것을 특징으로 하는 이더넷 기반 스탠드-얼론형 네트워크 보안 시스템.After the information classification and traffic management execution result is composed of DASL (Data-Aligned Synchronous Link) interface signal group, if the destination port is in the unit Ethernet physical layer means connected to it, it is output to the DASL self loopback interface, and the destination port is Ethernet-based stand-alone network security system, characterized in that output to the DASL cross-loopback interface connected to other unit network processing means when not in the unit Ethernet physical layer means connected to it.
KR1020070069792A 2006-12-01 2007-07-11 Ethernet-based stand-alone network security system KR20080050245A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020060120448 2006-12-01
KR20060120448 2006-12-01

Publications (1)

Publication Number Publication Date
KR20080050245A true KR20080050245A (en) 2008-06-05

Family

ID=39805738

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070069792A KR20080050245A (en) 2006-12-01 2007-07-11 Ethernet-based stand-alone network security system

Country Status (1)

Country Link
KR (1) KR20080050245A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012008860A1 (en) 2012-05-03 2013-11-07 Udo H. Kalinna Electronic device for analysis of Ethernet signal in physical layer of international organization for standardization/open systems interconnection layer model, uncouples symmetric Ethernet transmission signal from high impedance signal

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012008860A1 (en) 2012-05-03 2013-11-07 Udo H. Kalinna Electronic device for analysis of Ethernet signal in physical layer of international organization for standardization/open systems interconnection layer model, uncouples symmetric Ethernet transmission signal from high impedance signal

Similar Documents

Publication Publication Date Title
US10210113B2 (en) SAN fabric online path diagnostics
US11256644B2 (en) Dynamically changing configuration of data processing unit when connected to storage device or computing device
US8996720B2 (en) Method and apparatus for mirroring frames to a remote diagnostic system
EP1568172B1 (en) Method for verifying function of redundant standby packet forwarder
Naous et al. Implementing an OpenFlow switch on the NetFPGA platform
US7907630B1 (en) Method and apparatus for switching, merging, and demerging data between data communication locations
JP5897707B2 (en) Network switch with traffic generation capability
US20160205008A1 (en) Diagnosis and throughput measurement of fibre channel ports in a storage area network environment
US7925793B2 (en) Reconfigurable test system
US9772968B2 (en) Network interface sharing
CN107005483A (en) Technology for high performance network structure safety
WO2020197720A1 (en) Low latency packet switch architecture
US7515585B2 (en) Data communication optimization
WO2021098425A1 (en) Qos policy method, device, and computing device for service configuration
RU2602333C2 (en) Network system, packet processing method and storage medium
KR20080050245A (en) Ethernet-based stand-alone network security system
JP2018107584A (en) Network device and control method of the same
US6925058B2 (en) Credit management for data flow between two networks
US11558465B2 (en) Apparatus, system, and method for wirelessly accessing management interfaces of routers
US11616764B1 (en) In-band DSP management interface
Cisco Release Notes for Cisco IOS Release 11.2(1)P through 11.2(7)P
Cisco Release Notes for Cisco IOS Release 11.2 P
Cisco Release Notes for Cisco IOS Release 11.2 P
Cisco Release Notes for Cisco IOS Release 11.2 P
Cisco Release Notes for Cisco IOS Release 11.2 P

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application