KR20110129163A - Apparatus and method for transferring network packet - Google Patents
Apparatus and method for transferring network packet Download PDFInfo
- Publication number
- KR20110129163A KR20110129163A KR1020100048636A KR20100048636A KR20110129163A KR 20110129163 A KR20110129163 A KR 20110129163A KR 1020100048636 A KR1020100048636 A KR 1020100048636A KR 20100048636 A KR20100048636 A KR 20100048636A KR 20110129163 A KR20110129163 A KR 20110129163A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- network
- operation mode
- output
- outputting
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 3
- 230000003287 optical effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 네트워크 패킷 전달 장치에 관한 것이다. The present invention relates to a network packet forwarding apparatus.
네트워크 인프라가 확장됨에 따라, 외부 네트워크로부터 입력받은 패킷을 내부 네트워크 또는 다른 외부 네트워크에 선택적으로 전달하는 장치가 필요하며, 이러한 네트워크 패킷 전달 장치는 네트워크 보안을 위하여 사용하는 침입 방지 시스템(Intrusion Protection System)등에서 사용되고 있다. 침입 방지 시스템의 주요 기능은 방화벽 등으로 차단할 수 없는 트래픽의 애플리케이션 데이터에 포함된 해킹, 악성 코드 및 비정상 트래픽을 추출하여 차단하는 것이다. 그러나, 이러한 네트워크 패킷 전달 장치로 입력된 패킷을 전달하고, 패킷을 네트워크 패킷 전달 장치 외부의 네트워크로 전달할 때, 네트워크 패킷 전달 장치의 구성이 복잡해짐에 따라서, 장치의 제조 비용이 증가하고, 패킷 전달 과정에서 에너지 손실이 증가되는 경향이 있다. As the network infrastructure expands, a device for selectively forwarding packets received from an external network to an internal network or another external network is required, and the network packet forwarding device is an intrusion protection system used for network security. It is used in the back. The main function of an intrusion prevention system is to extract and block hacking, malicious code and abnormal traffic contained in application data of traffic that cannot be blocked by a firewall. However, when forwarding a packet input to such a network packet forwarding device and delivering the packet to a network outside the network packet forwarding device, as the configuration of the network packet forwarding device becomes complicated, the manufacturing cost of the device increases, and packet forwarding Energy losses tend to increase in the process.
적은 구성 부품으로 네트워크 트래픽 제어에 요구되는 여러 동작 모드로 동작가능한 네트워크 패킷 전달 장치 및 방법을 제공한다. The present invention provides a network packet forwarding apparatus and method capable of operating in various modes of operation required for controlling network traffic with fewer components.
일 측면에 따른 네트워크 패킷 전달 장치는, 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배하는 패킷 분배부와, 제1 패킷을 처리하고, 제1 패킷의 출력 여부를 제어하는 패킷 처리부와, 패킷 처리부를 거쳐서 전달된 제1 패킷을 출력하는 제1 동작 모드 및 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하여, 제1 패킷 또는 제2 패킷을 선택적으로 제2 네트워크로 출력하는 스위칭부를 포함한다. According to an aspect, an apparatus for delivering a network packet includes a packet distribution unit for copying a packet input through a first network and distributing the packet into a first packet and a second packet, processing the first packet, and determining whether to output the first packet. Selects one operation mode from among a packet processing unit for controlling and a first operation mode for outputting a first packet transmitted through the packet processing unit, and a second operation mode for outputting a second packet to select a first packet or a second packet Optionally includes a switching unit for outputting to the second network.
네트워크 패킷 전달 장치는, 패킷 처리부의 제1 패킷의 출력 여부 및 스위칭부의 동작 모드를 선택하는 동작 중 적어도 하나를 제어하는 제어부를 더 포함할 수 있다. 제어부는, 패킷 처리부를 실시간으로 모니터링하여, 패킷 처리부가 제1 패킷을 출력하는 정상 동작 상태인지, 침입이 탐지되거나 장애가 발생되어 제1 패킷이 출력되지 않는 비정상 동작 상태인지를 확인하고, 패킷 처리부가 비정상 동작 상태인 경우 제1 패킷이 출력되지 않도록 패킷 처리부를 제어할 수 있다. The apparatus for transmitting a network packet may further include a controller configured to control at least one of outputting a first packet of the packet processor and selecting an operation mode of the switching unit. The control unit monitors the packet processing unit in real time, and checks whether the packet processing unit is in a normal operation state in which the first packet is output, or whether the packet processing unit is in an abnormal operation state in which an intrusion is detected or a failure occurs and the first packet is not output. In an abnormal operation state, the packet processor may be controlled to prevent the first packet from being output.
제어부는, 패킷 처리부에 장애가 발생되거나 네트워크 패킷 전달 장치에 연결된 네트워크에 장애가 발생된 경우, 스위칭부가 제1 동작 모드를 유지시킨 상태에서 패킷 처리부가 제1 패킷이 출력되지 않도록 제어함으로써, 네트워크 패킷 전달 장치가 제2 네트워크로 제1 패킷 및 제2 패킷의 전달을 차단하는 제3 동작 모드로 동작하도록 제어할 수 있다. The controller may be configured to control the packet processor to not output the first packet while the switching unit maintains the first operation mode when the packet processor fails or the network connected to the network packet forwarding device occurs. May control to operate in a third operation mode that blocks delivery of the first packet and the second packet to the second network.
제어부는 네트워크 패킷 전달 장치가 제1 동작 모드, 제2 동작 모드 및 제3 동작 모드 중 어느 동작 모드에서 동작하고 있는 지를 나타내는 상태 정보를 저장하고, 네트워크 패킷 전달 장치에 장애가 발생된 후 복구된 경우, 저장된 상태 정보를 이용하여 동작하도록 구성될 수 있다. The control unit stores state information indicating which of the first, second, and third modes of operation of the network packet forwarding device, and recovers after a failure occurs in the network packet forwarding device, It may be configured to operate using the stored state information.
패킷 처리부는, 제1 패킷에 침입 탐지를 수행하고, 침입이 탐지된 경우, 제1 패킷의 출력을 금지할 수 있다. The packet processor may perform intrusion detection on the first packet and, when an intrusion is detected, prohibit output of the first packet.
스위칭부는, 전원 오프시, 패킷 처리부의 장애 발생시 또는 제2 동작 모드를 선택하는 외부 제어 신호에 따라, 제2 동작 모드를 선택하여 동작하도록 구성된 네트워크 패킷 전달 장치. And the switching unit is configured to select and operate the second operation mode according to an external control signal for selecting the second operation mode or when the packet processing unit has a failure.
다른 측면에 따른 네트워크 패킷 전달 방법은, 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배하는 단계와, 제1 패킷을 처리하고, 제1 패킷의 출력 여부를 결정하는 단계와, 처리 후의 제1 패킷을 출력하는 제1 동작 모드 및 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하는 단계와, 제1 패킷이 출력되도록 결정되고, 제1 동작 모드가 선택된 경우, 제1 패킷을 제2 네트워크로 출력하는 단계와, 제2 동작 모드가 선택된 경우, 제2 패킷을 제2 네트워크로 출력하는 단계와, 제1 패킷이 출력되지 않도록 결정되고, 제1 동작 모드가 선택된 경우, 제2 네트워크로 제1 패킷 및 제2 패킷의 전달을 차단하는 단계를 포함한다. According to another aspect of the present invention, a network packet forwarding method includes copying a packet input through a first network into a first packet and a second packet, processing the first packet, and determining whether to output the first packet. Selecting one of the steps of: a first operation mode for outputting the first packet after processing and a second operation mode for outputting the second packet; and determining that the first packet is output, the first operation mode Is selected, outputting the first packet to the second network; if the second operation mode is selected, outputting the second packet to the second network; and determining that the first packet is not output, If the mode of operation is selected, blocking delivery of the first packet and the second packet to the second network.
일 실시예에 따른 네트워크 패킷 전달 장치는 적은 구성 부품으로 구성되어, 네트워크 트래픽 제어에 요구되는 여러 동작 모드로 동작될 수 있으며, 제조 비용 및 네트워크에서의 에너지 손실 비율을 줄일 수 있다. Network packet forwarding apparatus according to an embodiment is composed of a small number of components, can be operated in various operating modes required for network traffic control, it is possible to reduce the manufacturing cost and the energy loss rate in the network.
도 1은 네트워크 패킷 전달 장치의 구성의 일 예를 나타내는 블록도이다.
도 2는 도 1의 패킷 처리부의 구성의 일 예를 나타내는 블록도이다.
도 3은 네트워크 패킷 전달 방법의 일 예를 나타내는 흐름도이다. 1 is a block diagram illustrating an example of a configuration of a network packet forwarding apparatus.
2 is a block diagram illustrating an example of a configuration of a packet processing unit of FIG. 1.
3 is a flowchart illustrating an example of a network packet forwarding method.
이하, 첨부된 도면을 참조하여 본 발명의 일 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, if it is determined that detailed descriptions of related well-known functions or configurations may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the present invention, which may vary according to intention or custom of a user or an operator. Therefore, the definition should be based on the contents throughout this specification.
도 1은 네트워크 패킷 전달 장치의 구성의 일 예를 나타내는 블록도이다. 1 is a block diagram illustrating an example of a configuration of a network packet forwarding apparatus.
네트워크 패킷 전달 장치(100)는, 패킷 분배부(110), 패킷 처리부(120), 스위칭부(130) 및 제어부(140)를 포함할 수 있다. 네트워크 패킷 전달 장치(100)는 제1 네트워크 및 제2 네트워크와 연결될 수 있다. 도시되지는 않았으나, 네트워크 패킷 전달 장치(100)는 제1 네트워크와 연결되기 위한 제1 네트워크 인터페이스 카드 및 제2 네트워크와 연결되기 위한 제2 네트워크 인터페이스 카드를 더 포함할 수 있다. 제1 네트워크 및 제2 네트워크는 네트워크 패킷 전달 장치(100)외부의 네트워크로서, 일 예로, 광케이블을 통해 광 신호로 패킷을 송수신하도록 구성될 수 있다. The network
패킷 분배부(110)는 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배한다. 패킷 분배부(110)는 수신되는 패킷은 2개로 복사하도록 구성될 수 있다. 패킷 분배부(110)는 패킷들이 입력되는 한 계속하여 입력된 패킷들을 복사하여 분배하도록 구성된다. The
패킷 처리부(120)는 패킷 분배부(100)로부터 분배된 제1 패킷을 처리한다. 패킷 처리부(120)는, 광 신호 형태의 제1 패킷을 전기적 신호로 변환하고, 변환된 전기적 신호를 처리하고, 신호 처리 후에 스위칭부(130)로 출력하기 전에, 전기적 신호를 다시 광 신호로 변환하는 광 모듈로 구성될 수 있다. The
패킷 처리부(120)는 침입 방지 시스템 또는 침입 탐지 시스템(Intrusion Detection System)을 포함하여, 수신받은 패킷이 불법 침입이 발생된 패킷인지 등을 탐지할 수 있다. 일 예로, 패킷 처리부(120)는 이미 발견되고 있는 정립된 공격 패턴(또는 Signature)를 미리 저장해두고, 입력되는 패킷에 미리 저장된 패턴을 탐지함으로써 침입이 발생된 패킷인지를 결정할 수 있다. 여기에서, 패킷 처리부(120)가 침입 탐지 동작을 수행하는 것을 예로 들어 설명하였으나, 패킷 처리부(120)의 동작은 제1 패킷을 처리하는 한 특정 동작에 제한되는 것은 아니다. The
패킷 처리부(120)는 제1 패킷의 출력 여부를 제어할 수 있다. 패킷 처리부(120)는 자체적으로 입력받은 패킷의 출력 여부를 결정하고, 결정에 따라, 제1 패킷의 출력 여부를 제어할 수 있다. 예를 들어, 패킷 처리부(120)는, 제1 패킷에 침입이 탐지된 경우, 제1 패킷의 출력을 금지하여, 제1 패킷이 출력되는 것을 차단할 수 있다. 패킷 처리부(120)는 별도의 제어부(140)로부터 제어 신호를 입력받아서, 패킷의 제1 패킷의 출력 여부를 결정할 수도 있다. The
스위칭부(130)는 패킷 분배부(110)로부터 분배된 제2 패킷을 입력받고, 패킷 처리부(120)로부터 출력된 제1 패킷을 입력받는다. 스위칭부(130)는 제1 패킷 또는 제2 패킷을 선택적으로 출력하도록 구성될 수 있다. 스위칭부(130)는 패킷 처리부(120)를 거쳐서 전달된 제1 패킷을 출력하는 제1 동작 모드 및 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하여, 제1 패킷 또는 제2 패킷을 선택적으로 제2 네트워크로 출력할 수 있다. 스위칭부(130)의 동작 모드 선택은 외부 제어 신호, 예를 들어, 제어부(140)로부터의 제어 신호에 따라 수행될 수 있다. The
상세하게는, 제1 동작 모드는, 제1 네트워크로부터 입력된 패킷이 네트워크 방화벽 구성과 같이, 패킷 처리부(120)를 거쳐야만 제2 네트워크로 출력되는 동작 모드이다. 제2 동작 모드는, 제1 네트워크로부터 입력된 패킷이 제2 네트워크로 물리적으로 직접 전송되는 동작 모드이다. 스위칭부(130)는 별도의 제어부(140)로부터 제어 신호를 입력받아서, 제1 동작 모드 또는 제2 동작 모드를 선택할 수 있다. 제1 동작 모드 및 제2 동작 모드는 스위칭부(130)의 동작에 의해 결정되지만, 네트워크 패킷 전달 장치(100)의 동작 모드로 이해될 수 있다. In detail, the first operation mode is an operation mode in which a packet input from the first network is output to the second network only through the
스위칭부(130)는, 전원 오프시에 또는 패킷 처리부(120)의 장애 발생시에 제2 동작 모드가 디폴트로 선택되도록 설정될 수 있다. 따라서, 네트워크 패킷 전달 장치(100)의 전원이 오프되거나 패킷 처리부(120)에 장애가 발생되더라도, 패킷 분배부(110)로부터 입력된 제2 패킷은 스위칭부(130)를 통해 제2 네트워크로 원할하게 출력될 수 있다. 또는, 스위칭부(130)는 외부 제어 신호 예를 들어, 제어부(140)의 제어 신호에 따라 제2 동작 모드가 선택되어 동작되도록 구성될 수 있다, The
스위칭부(130)는 스위칭 동작 후 상태 정보를 저장하는 래칭 스위치(latching switch)로 구성될 필요 없이, 일반적인 넌-래칭 스위치(non-latching switch)로 구성될 수 있다. The
네트워크 트래픽의 양에 따라서, 네트워크 패킷 전달 장치(100)에 패킷 분배부(110), 패킷 처리부(120) 및 스위칭부(130)는 복수 개 포함되어 구성될 수 있다. According to the amount of network traffic, the network
제어부(140)는 네트워크 패킷 전달 장치(100)의 동작에 요구되는 애플리케이션 및 운영 체제 등을 실행할 수 있다. 제어부(140)는 설명의 편의를 위하여, 네트워크 패킷 전달 장치(100)에 포함되도록 도시한 것이며, 별도의 서버에 포함되어 구성될 수 있다. The
제어부(140)는 제1 동작 모드 및 제2 동작 모드 중 하나의 동작 모드를 선택할 수 있다. 제어부(140)는 패킷 처리부(120)의 제1 패킷의 출력 여부 및 스위칭부의 동작 모드를 선택하는 동작 중 적어도 하나를 제어할 수 있다. 또한, 제어부(140)는 패킷 처리부(120)를 실시간으로 모니터링하여, 패킷 처리부(120)의 현재 상태를 확인할 수 있다. 제어부(140)는, 패킷 처리부(120)를 실시간으로 모니터링하여, 패킷 처리부(120)가 제1 패킷을 출력하는 정상 동작 상태인지, 침입이 탐지되거나 장애가 발생되어 제1 패킷이 출력되지 않는 비정상 동작 상태인지를 확인할 수 있다. The
제어부(140)는, 패킷 처리부(120)가 비정상 동작 상태인 경우, 제1 패킷이 출력되지 않도록 패킷 처리부(120)를 제어할 수 있다. 이 경우, 제어부(140)는 스위칭부(120)가 제2 동작 모드를 선택하도록 하는 제어 신호를 스위칭부(120)에 전달할 수 있다. The
또한, 제어부(140)는, 패킷 처리부(120)에 장애가 발생되거나, 네트워크 패킷 전달 장치(100)에 연결된 네트워크에 장애가 발생된 경우, 스위칭부(130)가 제1 동작 모드를 유지시킨 상태에서 패킷 처리부(120)가 제1 패킷을 출력하지 않도록 제어함으로써, 네트워크 패킷 전달 장치(100)가 제2 네트워크로 제1 패킷 및 제2 패킷의 전달을 차단하는 제3 동작 모드로 동작하도록 제어할 수 있다.In addition, when a failure occurs in the
제어부(140)는, 네트워크 패킷 전달 장치(100)가 제1 동작 모드, 제2 동작 모드 및 제3 동작 모드 중 어느 동작 모드에서 동작하고 있는 지를 나타내는 상태 정보를 저장할 수 있다. 따라서, 네트워크 패킷 전달 장치(100)에 공급되는 전원이 예기치않게 끊겼다가 다시 공급되는 경우 또는 네트워크 패킷 전달 장치(100)에 장애 등이 발생되어 재부팅되는 경우와 같이, 네트워크 패킷 전달 장치(100)가 장애에서 복구되어 초기화될 때, 네트워크 패킷 전달 장치(100)는 제어부(140)에 이전에 저장된 상태 정보를 기초로 하여 동작을 재개할 수 있다. The
예를 들어, 네트워크 패킷 전달 장치(100)가 제1 동작 모드에서 동작되다가 장애가 발생된 후 다시 초기화되는 경우, 제어부(140)는 네트워크 패킷 전달 장치(100)의 상태 정보가 제1 동작 모드로 저장되어 있으므로, 제1 동작 모드로 동작을 재개할 수 있다. 따라서, 네트워크 패킷 전달 장치(100)가 침입 탐지 동작을 수행하던 중 장애가 발생되었다가 다시 정상 상태로 되는 경우, 입력된 패킷을 그대로 출력하는 제2 동작 모드 등에서 동작하는 등의 예상치 못한 동작을 막고, 계속하여 제1 동작 모드에서 동작하도록 할 수 있다. For example, when the network
제어부(140)는 마우스, 키보드 및 터치 패드 등과 같은 사용자 입력 장치(도시되지 않음)으로부터 사용자 입력 신호에 따라 동작할 수 있다. 제어부(140)는 사용자 입력 신호를 수신받고, 수신된 사용자 입력 신호에 따라, 패킷 처리부(120)의 제1 패킷의 출력 여부 및 스위칭부(130)의 동작 모드 선택 동작을 제어할 수 있다. The
일 실시예에 따른 네트워크 패킷 전달 장치는 패킷 처리부(120)가 직접 제1 패킷의 출력 여부를 제어하고, 하나의 스위칭부(130)를 포함하는 구성에 의하여, 적은 구성 부품으로 구성되어, 네트워크 트래픽 제어에 요구되는 여러 동작 모드로 동작될 수 있으며, 제조 비용 및 네트워크에서의 에너지 손실 비율을 줄일 수 있다. In the network packet forwarding apparatus according to the exemplary embodiment, the
도 2는 도 1의 패킷 처리부의 구성의 일 예를 나타내는 블록도이다. 2 is a block diagram illustrating an example of a configuration of a packet processing unit of FIG. 1.
패킷 처리부(120)는 입력부(210), 출력 제어부(220) 및 출력부(230)를 포함한다. The
입력부(210)는 패킷 분배부(110)로부터 제1 패킷을 입력받는다. The
출력 제어부(220)는 제1 패킷을 처리하고, 제1 패킷을 스위칭부(230)로 출력할지 여부를 결정하고, 결정에 따라 제1 패킷의 출력을 제어할 수 있다. 출력 제어부(220)는 외부의 제어부(140)로부터의 제어 신호에 따라 제1 패킷의 출력을 제어할 수 있다. 출력 제어부(220)는 전술한 바와 같이, 입력된 제1 패킷을 분석하여, 제1 패킷에 침입이 발생되었는지를 탐지하도록 구성될 수 있다. The
출력부(230)는 출력 제어부(220)가 제1 패킷의 출력을 허용하면, 제1 패킷을 스위칭부(130)로 출력하고, 제1 패킷의 출력을 금지하면, 제1 패킷의 출력을 차단한다. 제1 패킷의 출력이 차단되고, 도 1의 스위칭부(130)에서 제1 동작 모드가 선택된 경우, 네트워크 패킷 전달 장치(100)는 제1 패킷 및 제2 패킷을 모두 출력하지 않게 되므로, 네트워크 트래픽을 차단하는 제3 동작 모드로 동작된다. The
도 3은 네트워크 패킷 전달 장치의 네트워크 패킷 전달 방법의 일 예를 나타내는 흐름도이다. 3 is a flowchart illustrating an example of a network packet forwarding method of a network packet forwarding apparatus.
네트워크 패킷 전달 장치(100)는 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배한다(310). The network
네트워크 패킷 전달 장치(100)는 제1 패킷을 처리하고, 제1 패킷의 출력 여부를 결정한다(320). 예를 들어, 네트워크 패킷 전달 장치(100)는 제1 패킷을 파싱하여, 제1 패킷에 미리 저장한 시그니처가 포함되었는지를 결정하여, 제1 패킷이 침입이 발생된 비정상 패킷인지를 결정할 수 있다. 제1 패킷이 비정상 패킷인 경우, 네트워크 패킷 전달 장치(100)는 제1 패킷의 출력을 금지할 수 있다. The network
네트워크 패킷 전달 장치(100)는 패킷 처리 후 전달된 제1 패킷을 출력하는 제1 동작 모드 및 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택한다(330). The network
제1 동작 모드가 선택되고(340), 제1 패킷이 출력되도록 결정되면(350), 네트워크 패킷 전달 장치(100)는 제1 패킷을 제2 네트워크로 출력한다(360). When the first operation mode is selected (340), and it is determined to output the first packet (350), the network
제1 동작 모드가 선택되고, 제1 패킷이 출력되지 않도록 결정된 경우, 네트워크 패킷 전달 장치(100)는 제2 네트워크로 제1 패킷 및 제2 패킷의 전달을 차단하는 제3 동작 모드로 동작한다(370). When the first operation mode is selected and it is determined that the first packet is not output, the network
제1 동작 모드가 선택되지 않고, 즉, 제2 동작 모드가 선택되면(340), 네트워크 패킷 전달 장치(100)는 제1 패킷의 출력 여부와 무관하게, 제2 패킷을 제2 네트워크로 출력한다(380).If the first operation mode is not selected, that is, the second operation mode is selected (340), the network
제1 패킷을 처리하는 동작 320, 동작 모드를 선택하는 동작 330 및 제1 패킷의 출력 여부를 결정하는 동작 350은 도 3에 도시된 순서대로 수행되어야 하는 것이 아니고, 동시에 수행될 수도 있고, 동작의 선후가 변경되어 수행될 수도 있다. The
또한, 네트워크 패킷 전달 장치(100)는 현재 동작이 제1 동작 모드, 제2 동작 모드 및 제3 동작 모드 중 어느 동작 모드에서 동작하고 있는지를 나타내는 상태 정보를 저장하여, 네트워크 패킷 전달 장치(100)에 전원 공급 차단 등 예기치 못한 장애가 발생되더라도, 장애 복구 후 이전의 동작 모드에서 동작을 재개할 수 있다. In addition, the network
본 발명의 일 양상은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있다. 상기의 프로그램을 구현하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 디스크 등을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.One aspect of the present invention may be embodied as computer readable code on a computer readable recording medium. The code and code segments implementing the above program can be easily deduced by a computer programmer in the field. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical disk, and the like. The computer-readable recording medium may also be distributed over a networked computer system and stored and executed in computer readable code in a distributed manner.
이상의 설명은 본 발명의 일 실시예에 불과할 뿐, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현할 수 있을 것이다. 따라서, 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허 청구범위에 기재된 내용과 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be construed to include various embodiments within the scope of the claims.
Claims (8)
상기 제1 패킷을 처리하고, 상기 제1 패킷의 출력 여부를 제어하는 패킷 처리부; 및
상기 패킷 처리부를 거쳐서 전달된 제1 패킷을 출력하는 제1 동작 모드 및 상기 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하여, 상기 제1 패킷 또는 상기 제2 패킷을 선택적으로 제2 네트워크로 출력하는 스위칭부를 포함하는 네트워크 패킷 전달 장치. A packet distributor which copies a packet input through the first network and distributes the packet into a first packet and a second packet;
A packet processor configured to process the first packet and to control whether the first packet is output; And
Select one operation mode among a first operation mode for outputting a first packet transmitted through the packet processing unit and a second operation mode for outputting the second packet, and selectively select the first packet or the second packet. Network packet transmission apparatus including a switching unit for outputting to the second network.
상기 패킷 처리부의 상기 제1 패킷의 출력 여부 및 상기 스위칭부의 동작 모드를 선택하는 동작 중 적어도 하나를 제어하는 제어부를 더 포함하는 네트워크 패킷 전달 장치. The method of claim 1,
And a controller configured to control at least one of selecting whether the first packet is output from the packet processor and selecting an operation mode of the switching unit.
상기 제어부는, 상기 패킷 처리부를 실시간으로 모니터링하여, 상기 패킷 처리부가 제1 패킷을 출력하는 정상 동작 상태인지, 침입이 탐지되거나 장애가 발생되어 제1 패킷이 출력되지 않는 비정상 동작 상태인지를 확인하고, 상기 패킷 처리부가 비정상 동작 상태인 경우 상기 제1 패킷이 출력되지 않도록 상기 패킷 처리부를 제어하는 네트워크 패킷 전달 장치. The method of claim 2,
The control unit monitors the packet processing unit in real time to determine whether the packet processing unit is in a normal operation state in which the first packet is output or in an abnormal operation state in which an intrusion is detected or a failure occurs and the first packet is not output. And controlling the packet processing unit so that the first packet is not output when the packet processing unit is in an abnormal operation state.
상기 제어부는, 상기 패킷 처리부에 장애가 발생되거나 상기 네트워크 패킷 전달 장치에 연결된 네트워크에 장애가 발생된 경우, 상기 스위칭부가 상기 제1 동작 모드를 유지시킨 상태에서 상기 패킷 처리부가 상기 제1 패킷이 출력되지 않도록 제어함으로써, 상기 네트워크 패킷 전달 장치가 상기 제2 네트워크로 상기 제1 패킷 및 상기 제2 패킷의 전달을 차단하는 제3 동작 모드로 동작하도록 제어하는 네트워크 패킷 전달 장치. The method of claim 2,
The controller may be configured to prevent the packet processor from outputting the first packet in a state where the switching unit maintains the first operation mode when a failure occurs in the packet processing unit or a network connected to the network packet delivery device. By controlling the network packet delivery device to operate in a third mode of operation that blocks delivery of the first packet and the second packet to the second network.
상기 제어부는 상기 네트워크 패킷 전달 장치가 상기 제1 동작 모드, 상기 제2 동작 모드 및 상기 제3 동작 모드 중 어느 동작 모드에서 동작하고 있는 지를 나타내는 상태 정보를 저장하고, 상기 네트워크 패킷 전달 장치에 장애가 발생된 후 복구된 경우, 상기 저장된 상태 정보를 이용하여 동작하도록 구성된 네트워크 패킷 전달 장치. The method of claim 4, wherein
The control unit stores state information indicating which of the first, second, and third modes of operation the network packet forwarding device operates, and a failure occurs in the network packet forwarding device. The network packet forwarding device is configured to operate using the stored state information.
상기 패킷 처리부는, 상기 제1 패킷에 침입 탐지를 수행하고, 침입이 탐지된 경우, 상기 제1 패킷의 출력을 금지하는 네트워크 패킷 전달 장치. The method of claim 1,
The packet processing unit performs an intrusion detection on the first packet and, if an intrusion is detected, prohibits output of the first packet.
상기 스위칭부는, 전원 오프시, 상기 패킷 처리부의 장애 발생시 또는 제2 동작 모드를 선택하는 외부 제어 신호에 따라, 상기 제2 동작 모드를 선택하여 동작하도록 구성된 네트워크 패킷 전달 장치. The method of claim 1,
And the switching unit is configured to select and operate the second operation mode according to an external control signal for selecting a second operation mode or when a failure occurs in the packet processing unit.
상기 제1 패킷을 처리하고, 상기 제1 패킷의 출력 여부를 결정하는 단계;
상기 처리 후의 제1 패킷을 출력하는 제1 동작 모드 및 상기 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하는 단계;
상기 제1 패킷이 출력되도록 결정되고, 상기 제1 동작 모드가 선택된 경우, 상기 제1 패킷을 제2 네트워크로 출력하는 단계;
상기 제2 동작 모드가 선택된 경우, 상기 제2 패킷을 제2 네트워크로 출력하는 단계; 및
상기 제1 패킷이 출력되지 않도록 결정되고, 상기 제1 동작 모드가 선택된 경우, 제2 네트워크로 상기 제1 패킷 및 상기 제2 패킷의 전달을 차단하는 단계를 포함하는 네트워크 패킷 전달 방법.
Copying a packet input through the first network and distributing the packet into a first packet and a second packet;
Processing the first packet and determining whether to output the first packet;
Selecting one of the first operation mode for outputting the first packet after the processing and the second operation mode for outputting the second packet;
Outputting the first packet to a second network when the first packet is determined to be output and the first operation mode is selected;
If the second mode of operation is selected, outputting the second packet to a second network; And
If the first packet is determined not to be output and the first mode of operation is selected, blocking delivery of the first packet and the second packet to a second network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100048636A KR101104959B1 (en) | 2010-05-25 | 2010-05-25 | Apparatus and method for transferring network packet |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100048636A KR101104959B1 (en) | 2010-05-25 | 2010-05-25 | Apparatus and method for transferring network packet |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110129163A true KR20110129163A (en) | 2011-12-01 |
KR101104959B1 KR101104959B1 (en) | 2012-01-12 |
Family
ID=45498431
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100048636A KR101104959B1 (en) | 2010-05-25 | 2010-05-25 | Apparatus and method for transferring network packet |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101104959B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140128771A (en) * | 2013-04-29 | 2014-11-06 | 한국전자통신연구원 | Network option apparatus and the operating method |
KR102043978B1 (en) * | 2018-10-01 | 2019-11-12 | 에스케이텔레콤 주식회사 | Network device, network monitoring system and network monitoring method |
KR20210073432A (en) * | 2019-12-10 | 2021-06-18 | 쥬니퍼 네트워크스, 인크. | Combined input and output queue for packet forwarding in network devices |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100596362B1 (en) * | 2006-03-27 | 2006-07-05 | 주식회사 윈스테크넷 | System and method of controlling network traffic |
KR101289956B1 (en) * | 2007-09-12 | 2013-07-26 | 주식회사 엘지씨엔에스 | Apparatus and method of stabilizing service of network security system |
-
2010
- 2010-05-25 KR KR1020100048636A patent/KR101104959B1/en active IP Right Grant
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140128771A (en) * | 2013-04-29 | 2014-11-06 | 한국전자통신연구원 | Network option apparatus and the operating method |
US9876874B2 (en) | 2013-04-29 | 2018-01-23 | Electronics And Telecommunications Research Institute | Network selecting apparatus and operating method thereof |
KR102043978B1 (en) * | 2018-10-01 | 2019-11-12 | 에스케이텔레콤 주식회사 | Network device, network monitoring system and network monitoring method |
KR20210073432A (en) * | 2019-12-10 | 2021-06-18 | 쥬니퍼 네트워크스, 인크. | Combined input and output queue for packet forwarding in network devices |
US11784925B2 (en) | 2019-12-10 | 2023-10-10 | Juniper Networks, Inc. | Combined input and output queue for packet forwarding in network devices |
Also Published As
Publication number | Publication date |
---|---|
KR101104959B1 (en) | 2012-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3029893B1 (en) | Method, controller, device and system for protecting service path | |
EP2476076B1 (en) | Secure keyboard, video, mouse switch, KVM-switch | |
CN109716729A (en) | The dynamically auto zoom network security micro services framework based on load | |
US9516042B2 (en) | Apparatus for switching between multiple servers in a web-based system | |
US20130268753A1 (en) | Anti-tamper device, system, method, and computer-readable medium | |
KR101104959B1 (en) | Apparatus and method for transferring network packet | |
US20110289580A1 (en) | Network security system and remote machine isolation method | |
US8131871B2 (en) | Method and system for the automatic reroute of data over a local area network | |
US10503229B2 (en) | Uninterruptible power supply communication | |
US20170315954A1 (en) | Coupling connector to management port or system port | |
KR101266041B1 (en) | General purpose multi-port network interface card for fault-tolerant ethernet using switching chip base of logic gate | |
EP3633931B1 (en) | Method and system for implementing mux machine | |
JP6407598B2 (en) | Relay device, relay method, and relay program | |
KR100596362B1 (en) | System and method of controlling network traffic | |
CN111800890B (en) | Processing method and input device | |
KR101092090B1 (en) | SYSTEM AND METHOD FOR RESPONDING DDoS OFFENSIVE | |
WO2017163665A1 (en) | Communication processing system, communication processing method, communication processing device, communication management device, and control methods and control programs therefor | |
JP2014182441A (en) | Information processing device and program | |
JP4511455B2 (en) | Fiber channel switch and computer system using the same | |
US20160321149A1 (en) | Computer apparatus and computer mechanism | |
KR100378522B1 (en) | Apparatus for securing of Network | |
JP2008287632A (en) | Control device recovery system | |
JP2002051105A (en) | Communication system | |
JP2009296260A (en) | Data transmitting apparatus | |
JP2023157288A (en) | Device, secure component, device management server, device management system, and device management method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20141231 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160128 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20170103 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20180205 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20200106 Year of fee payment: 9 |