KR20110129163A - Apparatus and method for transferring network packet - Google Patents

Apparatus and method for transferring network packet Download PDF

Info

Publication number
KR20110129163A
KR20110129163A KR1020100048636A KR20100048636A KR20110129163A KR 20110129163 A KR20110129163 A KR 20110129163A KR 1020100048636 A KR1020100048636 A KR 1020100048636A KR 20100048636 A KR20100048636 A KR 20100048636A KR 20110129163 A KR20110129163 A KR 20110129163A
Authority
KR
South Korea
Prior art keywords
packet
network
operation mode
output
outputting
Prior art date
Application number
KR1020100048636A
Other languages
Korean (ko)
Other versions
KR101104959B1 (en
Inventor
이상만
이호석
유인규
Original Assignee
(주) 시스메이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스메이트 filed Critical (주) 시스메이트
Priority to KR1020100048636A priority Critical patent/KR101104959B1/en
Publication of KR20110129163A publication Critical patent/KR20110129163A/en
Application granted granted Critical
Publication of KR101104959B1 publication Critical patent/KR101104959B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An apparatus and method for transmitting a network packet are provided to operate at various operation modes for controlling a network traffic. CONSTITUTION: A packet distributer(110) duplicates a packet inputted through a first network and distributes the duplicated packet into a first packet and a second packet. A packet processor(120) processes the first packet and controls whether to output the first packet. A switching unit(130) selects a first operation mode which outputs the first packet or a second operation mode which outputs the second packet and selectively outputs the first packet or second packet to a second network.

Description

네트워크 패킷 전달 장치 및 방법{Apparatus and method for transferring network packet} Apparatus and method for transferring network packet

본 발명은 네트워크 패킷 전달 장치에 관한 것이다. The present invention relates to a network packet forwarding apparatus.

네트워크 인프라가 확장됨에 따라, 외부 네트워크로부터 입력받은 패킷을 내부 네트워크 또는 다른 외부 네트워크에 선택적으로 전달하는 장치가 필요하며, 이러한 네트워크 패킷 전달 장치는 네트워크 보안을 위하여 사용하는 침입 방지 시스템(Intrusion Protection System)등에서 사용되고 있다. 침입 방지 시스템의 주요 기능은 방화벽 등으로 차단할 수 없는 트래픽의 애플리케이션 데이터에 포함된 해킹, 악성 코드 및 비정상 트래픽을 추출하여 차단하는 것이다. 그러나, 이러한 네트워크 패킷 전달 장치로 입력된 패킷을 전달하고, 패킷을 네트워크 패킷 전달 장치 외부의 네트워크로 전달할 때, 네트워크 패킷 전달 장치의 구성이 복잡해짐에 따라서, 장치의 제조 비용이 증가하고, 패킷 전달 과정에서 에너지 손실이 증가되는 경향이 있다. As the network infrastructure expands, a device for selectively forwarding packets received from an external network to an internal network or another external network is required, and the network packet forwarding device is an intrusion protection system used for network security. It is used in the back. The main function of an intrusion prevention system is to extract and block hacking, malicious code and abnormal traffic contained in application data of traffic that cannot be blocked by a firewall. However, when forwarding a packet input to such a network packet forwarding device and delivering the packet to a network outside the network packet forwarding device, as the configuration of the network packet forwarding device becomes complicated, the manufacturing cost of the device increases, and packet forwarding Energy losses tend to increase in the process.

적은 구성 부품으로 네트워크 트래픽 제어에 요구되는 여러 동작 모드로 동작가능한 네트워크 패킷 전달 장치 및 방법을 제공한다. The present invention provides a network packet forwarding apparatus and method capable of operating in various modes of operation required for controlling network traffic with fewer components.

일 측면에 따른 네트워크 패킷 전달 장치는, 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배하는 패킷 분배부와, 제1 패킷을 처리하고, 제1 패킷의 출력 여부를 제어하는 패킷 처리부와, 패킷 처리부를 거쳐서 전달된 제1 패킷을 출력하는 제1 동작 모드 및 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하여, 제1 패킷 또는 제2 패킷을 선택적으로 제2 네트워크로 출력하는 스위칭부를 포함한다. According to an aspect, an apparatus for delivering a network packet includes a packet distribution unit for copying a packet input through a first network and distributing the packet into a first packet and a second packet, processing the first packet, and determining whether to output the first packet. Selects one operation mode from among a packet processing unit for controlling and a first operation mode for outputting a first packet transmitted through the packet processing unit, and a second operation mode for outputting a second packet to select a first packet or a second packet Optionally includes a switching unit for outputting to the second network.

네트워크 패킷 전달 장치는, 패킷 처리부의 제1 패킷의 출력 여부 및 스위칭부의 동작 모드를 선택하는 동작 중 적어도 하나를 제어하는 제어부를 더 포함할 수 있다. 제어부는, 패킷 처리부를 실시간으로 모니터링하여, 패킷 처리부가 제1 패킷을 출력하는 정상 동작 상태인지, 침입이 탐지되거나 장애가 발생되어 제1 패킷이 출력되지 않는 비정상 동작 상태인지를 확인하고, 패킷 처리부가 비정상 동작 상태인 경우 제1 패킷이 출력되지 않도록 패킷 처리부를 제어할 수 있다. The apparatus for transmitting a network packet may further include a controller configured to control at least one of outputting a first packet of the packet processor and selecting an operation mode of the switching unit. The control unit monitors the packet processing unit in real time, and checks whether the packet processing unit is in a normal operation state in which the first packet is output, or whether the packet processing unit is in an abnormal operation state in which an intrusion is detected or a failure occurs and the first packet is not output. In an abnormal operation state, the packet processor may be controlled to prevent the first packet from being output.

제어부는, 패킷 처리부에 장애가 발생되거나 네트워크 패킷 전달 장치에 연결된 네트워크에 장애가 발생된 경우, 스위칭부가 제1 동작 모드를 유지시킨 상태에서 패킷 처리부가 제1 패킷이 출력되지 않도록 제어함으로써, 네트워크 패킷 전달 장치가 제2 네트워크로 제1 패킷 및 제2 패킷의 전달을 차단하는 제3 동작 모드로 동작하도록 제어할 수 있다. The controller may be configured to control the packet processor to not output the first packet while the switching unit maintains the first operation mode when the packet processor fails or the network connected to the network packet forwarding device occurs. May control to operate in a third operation mode that blocks delivery of the first packet and the second packet to the second network.

제어부는 네트워크 패킷 전달 장치가 제1 동작 모드, 제2 동작 모드 및 제3 동작 모드 중 어느 동작 모드에서 동작하고 있는 지를 나타내는 상태 정보를 저장하고, 네트워크 패킷 전달 장치에 장애가 발생된 후 복구된 경우, 저장된 상태 정보를 이용하여 동작하도록 구성될 수 있다. The control unit stores state information indicating which of the first, second, and third modes of operation of the network packet forwarding device, and recovers after a failure occurs in the network packet forwarding device, It may be configured to operate using the stored state information.

패킷 처리부는, 제1 패킷에 침입 탐지를 수행하고, 침입이 탐지된 경우, 제1 패킷의 출력을 금지할 수 있다. The packet processor may perform intrusion detection on the first packet and, when an intrusion is detected, prohibit output of the first packet.

스위칭부는, 전원 오프시, 패킷 처리부의 장애 발생시 또는 제2 동작 모드를 선택하는 외부 제어 신호에 따라, 제2 동작 모드를 선택하여 동작하도록 구성된 네트워크 패킷 전달 장치. And the switching unit is configured to select and operate the second operation mode according to an external control signal for selecting the second operation mode or when the packet processing unit has a failure.

다른 측면에 따른 네트워크 패킷 전달 방법은, 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배하는 단계와, 제1 패킷을 처리하고, 제1 패킷의 출력 여부를 결정하는 단계와, 처리 후의 제1 패킷을 출력하는 제1 동작 모드 및 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하는 단계와, 제1 패킷이 출력되도록 결정되고, 제1 동작 모드가 선택된 경우, 제1 패킷을 제2 네트워크로 출력하는 단계와, 제2 동작 모드가 선택된 경우, 제2 패킷을 제2 네트워크로 출력하는 단계와, 제1 패킷이 출력되지 않도록 결정되고, 제1 동작 모드가 선택된 경우, 제2 네트워크로 제1 패킷 및 제2 패킷의 전달을 차단하는 단계를 포함한다. According to another aspect of the present invention, a network packet forwarding method includes copying a packet input through a first network into a first packet and a second packet, processing the first packet, and determining whether to output the first packet. Selecting one of the steps of: a first operation mode for outputting the first packet after processing and a second operation mode for outputting the second packet; and determining that the first packet is output, the first operation mode Is selected, outputting the first packet to the second network; if the second operation mode is selected, outputting the second packet to the second network; and determining that the first packet is not output, If the mode of operation is selected, blocking delivery of the first packet and the second packet to the second network.

일 실시예에 따른 네트워크 패킷 전달 장치는 적은 구성 부품으로 구성되어, 네트워크 트래픽 제어에 요구되는 여러 동작 모드로 동작될 수 있으며, 제조 비용 및 네트워크에서의 에너지 손실 비율을 줄일 수 있다. Network packet forwarding apparatus according to an embodiment is composed of a small number of components, can be operated in various operating modes required for network traffic control, it is possible to reduce the manufacturing cost and the energy loss rate in the network.

도 1은 네트워크 패킷 전달 장치의 구성의 일 예를 나타내는 블록도이다.
도 2는 도 1의 패킷 처리부의 구성의 일 예를 나타내는 블록도이다.
도 3은 네트워크 패킷 전달 방법의 일 예를 나타내는 흐름도이다. 1 is a block diagram illustrating an example of a configuration of a network packet forwarding apparatus.
2 is a block diagram illustrating an example of a configuration of a packet processing unit of FIG. 1.
3 is a flowchart illustrating an example of a network packet forwarding method.

이하, 첨부된 도면을 참조하여 본 발명의 일 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, if it is determined that detailed descriptions of related well-known functions or configurations may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the present invention, which may vary according to intention or custom of a user or an operator. Therefore, the definition should be based on the contents throughout this specification.

도 1은 네트워크 패킷 전달 장치의 구성의 일 예를 나타내는 블록도이다. 1 is a block diagram illustrating an example of a configuration of a network packet forwarding apparatus.

네트워크 패킷 전달 장치(100)는, 패킷 분배부(110), 패킷 처리부(120), 스위칭부(130) 및 제어부(140)를 포함할 수 있다. 네트워크 패킷 전달 장치(100)는 제1 네트워크 및 제2 네트워크와 연결될 수 있다. 도시되지는 않았으나, 네트워크 패킷 전달 장치(100)는 제1 네트워크와 연결되기 위한 제1 네트워크 인터페이스 카드 및 제2 네트워크와 연결되기 위한 제2 네트워크 인터페이스 카드를 더 포함할 수 있다. 제1 네트워크 및 제2 네트워크는 네트워크 패킷 전달 장치(100)외부의 네트워크로서, 일 예로, 광케이블을 통해 광 신호로 패킷을 송수신하도록 구성될 수 있다. The network packet delivery device 100 may include a packet distribution unit 110, a packet processing unit 120, a switching unit 130, and a control unit 140. The network packet delivery apparatus 100 may be connected to the first network and the second network. Although not shown, the network packet forwarding apparatus 100 may further include a first network interface card for connecting with the first network and a second network interface card for connecting with the second network. The first network and the second network are networks external to the network packet forwarding apparatus 100. For example, the first network and the second network may be configured to transmit and receive a packet with an optical signal through an optical cable.

패킷 분배부(110)는 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배한다. 패킷 분배부(110)는 수신되는 패킷은 2개로 복사하도록 구성될 수 있다. 패킷 분배부(110)는 패킷들이 입력되는 한 계속하여 입력된 패킷들을 복사하여 분배하도록 구성된다. The packet distributor 110 copies the packet input through the first network and distributes the packet into a first packet and a second packet. The packet distributor 110 may be configured to copy the received packet into two. The packet distributor 110 is configured to copy and distribute the packets continuously input as long as the packets are input.

패킷 처리부(120)는 패킷 분배부(100)로부터 분배된 제1 패킷을 처리한다. 패킷 처리부(120)는, 광 신호 형태의 제1 패킷을 전기적 신호로 변환하고, 변환된 전기적 신호를 처리하고, 신호 처리 후에 스위칭부(130)로 출력하기 전에, 전기적 신호를 다시 광 신호로 변환하는 광 모듈로 구성될 수 있다. The packet processor 120 processes the first packet distributed from the packet distributor 100. The packet processing unit 120 converts the first packet in the form of an optical signal into an electrical signal, processes the converted electrical signal, and converts the electrical signal back into an optical signal before outputting the signal to the switching unit 130 after the signal processing. It can be configured as an optical module.

패킷 처리부(120)는 침입 방지 시스템 또는 침입 탐지 시스템(Intrusion Detection System)을 포함하여, 수신받은 패킷이 불법 침입이 발생된 패킷인지 등을 탐지할 수 있다. 일 예로, 패킷 처리부(120)는 이미 발견되고 있는 정립된 공격 패턴(또는 Signature)를 미리 저장해두고, 입력되는 패킷에 미리 저장된 패턴을 탐지함으로써 침입이 발생된 패킷인지를 결정할 수 있다. 여기에서, 패킷 처리부(120)가 침입 탐지 동작을 수행하는 것을 예로 들어 설명하였으나, 패킷 처리부(120)의 동작은 제1 패킷을 처리하는 한 특정 동작에 제한되는 것은 아니다. The packet processor 120 may include an intrusion prevention system or an intrusion detection system, and detect whether the received packet is a packet in which an illegal intrusion occurs. For example, the packet processing unit 120 may determine whether an intrusion is a packet by storing an established attack pattern (or signature) that is already found in advance and detecting a pattern stored in the input packet in advance. Here, the packet processor 120 performs an intrusion detection operation as an example, but the operation of the packet processor 120 is not limited to a specific operation as long as the first packet is processed.

패킷 처리부(120)는 제1 패킷의 출력 여부를 제어할 수 있다. 패킷 처리부(120)는 자체적으로 입력받은 패킷의 출력 여부를 결정하고, 결정에 따라, 제1 패킷의 출력 여부를 제어할 수 있다. 예를 들어, 패킷 처리부(120)는, 제1 패킷에 침입이 탐지된 경우, 제1 패킷의 출력을 금지하여, 제1 패킷이 출력되는 것을 차단할 수 있다. 패킷 처리부(120)는 별도의 제어부(140)로부터 제어 신호를 입력받아서, 패킷의 제1 패킷의 출력 여부를 결정할 수도 있다. The packet processor 120 may control whether the first packet is output. The packet processor 120 may determine whether to output the received packet itself, and control whether to output the first packet according to the determination. For example, when an intrusion is detected in the first packet, the packet processing unit 120 may prohibit the output of the first packet and block the output of the first packet. The packet processor 120 may receive a control signal from the separate controller 140 to determine whether to output the first packet of the packet.

스위칭부(130)는 패킷 분배부(110)로부터 분배된 제2 패킷을 입력받고, 패킷 처리부(120)로부터 출력된 제1 패킷을 입력받는다. 스위칭부(130)는 제1 패킷 또는 제2 패킷을 선택적으로 출력하도록 구성될 수 있다. 스위칭부(130)는 패킷 처리부(120)를 거쳐서 전달된 제1 패킷을 출력하는 제1 동작 모드 및 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하여, 제1 패킷 또는 제2 패킷을 선택적으로 제2 네트워크로 출력할 수 있다. 스위칭부(130)의 동작 모드 선택은 외부 제어 신호, 예를 들어, 제어부(140)로부터의 제어 신호에 따라 수행될 수 있다. The switching unit 130 receives the second packet distributed from the packet distribution unit 110 and receives the first packet output from the packet processing unit 120. The switching unit 130 may be configured to selectively output the first packet or the second packet. The switching unit 130 selects one operation mode from among a first operation mode for outputting the first packet transmitted through the packet processor 120 and a second operation mode for outputting the second packet, and thus, the first packet or the first operation mode. Two packets may be selectively output to the second network. The operation mode selection of the switching unit 130 may be performed according to an external control signal, for example, a control signal from the controller 140.

상세하게는, 제1 동작 모드는, 제1 네트워크로부터 입력된 패킷이 네트워크 방화벽 구성과 같이, 패킷 처리부(120)를 거쳐야만 제2 네트워크로 출력되는 동작 모드이다. 제2 동작 모드는, 제1 네트워크로부터 입력된 패킷이 제2 네트워크로 물리적으로 직접 전송되는 동작 모드이다. 스위칭부(130)는 별도의 제어부(140)로부터 제어 신호를 입력받아서, 제1 동작 모드 또는 제2 동작 모드를 선택할 수 있다. 제1 동작 모드 및 제2 동작 모드는 스위칭부(130)의 동작에 의해 결정되지만, 네트워크 패킷 전달 장치(100)의 동작 모드로 이해될 수 있다. In detail, the first operation mode is an operation mode in which a packet input from the first network is output to the second network only through the packet processing unit 120, as in the network firewall configuration. The second operation mode is an operation mode in which packets input from the first network are physically directly transmitted to the second network. The switching unit 130 may receive a control signal from the separate controller 140 to select a first operation mode or a second operation mode. The first operation mode and the second operation mode are determined by the operation of the switching unit 130, but may be understood as an operation mode of the network packet forwarding apparatus 100.

스위칭부(130)는, 전원 오프시에 또는 패킷 처리부(120)의 장애 발생시에 제2 동작 모드가 디폴트로 선택되도록 설정될 수 있다. 따라서, 네트워크 패킷 전달 장치(100)의 전원이 오프되거나 패킷 처리부(120)에 장애가 발생되더라도, 패킷 분배부(110)로부터 입력된 제2 패킷은 스위칭부(130)를 통해 제2 네트워크로 원할하게 출력될 수 있다. 또는, 스위칭부(130)는 외부 제어 신호 예를 들어, 제어부(140)의 제어 신호에 따라 제2 동작 모드가 선택되어 동작되도록 구성될 수 있다, The switching unit 130 may be set so that the second operation mode is selected by default when the power is turned off or when a failure of the packet processing unit 120 occurs. Therefore, even if the power of the network packet forwarding apparatus 100 is turned off or the packet processing unit 120 fails, the second packet input from the packet distribution unit 110 is smoothly transferred to the second network through the switching unit 130. Can be output. Alternatively, the switching unit 130 may be configured to select and operate a second operation mode according to an external control signal, for example, a control signal of the controller 140.

스위칭부(130)는 스위칭 동작 후 상태 정보를 저장하는 래칭 스위치(latching switch)로 구성될 필요 없이, 일반적인 넌-래칭 스위치(non-latching switch)로 구성될 수 있다. The switching unit 130 may be configured as a general non-latching switch without having to be configured as a latching switch that stores state information after the switching operation.

네트워크 트래픽의 양에 따라서, 네트워크 패킷 전달 장치(100)에 패킷 분배부(110), 패킷 처리부(120) 및 스위칭부(130)는 복수 개 포함되어 구성될 수 있다. According to the amount of network traffic, the network packet forwarding apparatus 100 may include a plurality of packet distributors 110, packet processors 120, and switching units 130.

제어부(140)는 네트워크 패킷 전달 장치(100)의 동작에 요구되는 애플리케이션 및 운영 체제 등을 실행할 수 있다. 제어부(140)는 설명의 편의를 위하여, 네트워크 패킷 전달 장치(100)에 포함되도록 도시한 것이며, 별도의 서버에 포함되어 구성될 수 있다. The controller 140 may execute an application, an operating system, and the like required for the operation of the network packet delivery apparatus 100. The controller 140 is illustrated to be included in the network packet delivery apparatus 100 for convenience of description and may be included in a separate server.

제어부(140)는 제1 동작 모드 및 제2 동작 모드 중 하나의 동작 모드를 선택할 수 있다. 제어부(140)는 패킷 처리부(120)의 제1 패킷의 출력 여부 및 스위칭부의 동작 모드를 선택하는 동작 중 적어도 하나를 제어할 수 있다. 또한, 제어부(140)는 패킷 처리부(120)를 실시간으로 모니터링하여, 패킷 처리부(120)의 현재 상태를 확인할 수 있다. 제어부(140)는, 패킷 처리부(120)를 실시간으로 모니터링하여, 패킷 처리부(120)가 제1 패킷을 출력하는 정상 동작 상태인지, 침입이 탐지되거나 장애가 발생되어 제1 패킷이 출력되지 않는 비정상 동작 상태인지를 확인할 수 있다. The controller 140 may select one of the first operation mode and the second operation mode. The controller 140 may control at least one of whether the packet processor 120 outputs the first packet and an operation of selecting an operation mode of the switching unit. In addition, the controller 140 may monitor the packet processor 120 in real time to check the current state of the packet processor 120. The controller 140 monitors the packet processor 120 in real time to determine whether the packet processor 120 is in a normal operation state outputting the first packet, or an abnormal operation in which an intrusion is detected or a failure occurs so that the first packet is not output. You can check the status.

제어부(140)는, 패킷 처리부(120)가 비정상 동작 상태인 경우, 제1 패킷이 출력되지 않도록 패킷 처리부(120)를 제어할 수 있다. 이 경우, 제어부(140)는 스위칭부(120)가 제2 동작 모드를 선택하도록 하는 제어 신호를 스위칭부(120)에 전달할 수 있다. The controller 140 may control the packet processor 120 such that the first packet is not output when the packet processor 120 is in an abnormal operation state. In this case, the controller 140 may transmit a control signal for causing the switching unit 120 to select the second operation mode to the switching unit 120.

또한, 제어부(140)는, 패킷 처리부(120)에 장애가 발생되거나, 네트워크 패킷 전달 장치(100)에 연결된 네트워크에 장애가 발생된 경우, 스위칭부(130)가 제1 동작 모드를 유지시킨 상태에서 패킷 처리부(120)가 제1 패킷을 출력하지 않도록 제어함으로써, 네트워크 패킷 전달 장치(100)가 제2 네트워크로 제1 패킷 및 제2 패킷의 전달을 차단하는 제3 동작 모드로 동작하도록 제어할 수 있다.In addition, when a failure occurs in the packet processing unit 120 or a failure occurs in the network connected to the network packet delivery device 100, the controller 140 maintains the packet in a state in which the switching unit 130 maintains the first operation mode. By controlling the processing unit 120 not to output the first packet, the network packet delivery apparatus 100 may control to operate in a third operation mode that blocks transmission of the first packet and the second packet to the second network. .

제어부(140)는, 네트워크 패킷 전달 장치(100)가 제1 동작 모드, 제2 동작 모드 및 제3 동작 모드 중 어느 동작 모드에서 동작하고 있는 지를 나타내는 상태 정보를 저장할 수 있다. 따라서, 네트워크 패킷 전달 장치(100)에 공급되는 전원이 예기치않게 끊겼다가 다시 공급되는 경우 또는 네트워크 패킷 전달 장치(100)에 장애 등이 발생되어 재부팅되는 경우와 같이, 네트워크 패킷 전달 장치(100)가 장애에서 복구되어 초기화될 때, 네트워크 패킷 전달 장치(100)는 제어부(140)에 이전에 저장된 상태 정보를 기초로 하여 동작을 재개할 수 있다. The controller 140 may store state information indicating which of the first, second, and third modes of operation the network packet delivery apparatus 100 operates. Therefore, when the power supplied to the network packet forwarding device 100 is unexpectedly disconnected and then supplied again, or when the network packet forwarding device 100 has a failure or the like and is rebooted, the network packet forwarding device 100 is When the network packet delivery apparatus 100 is initialized after recovery from a failure, the network packet delivery apparatus 100 may resume the operation based on the state information previously stored in the controller 140.

예를 들어, 네트워크 패킷 전달 장치(100)가 제1 동작 모드에서 동작되다가 장애가 발생된 후 다시 초기화되는 경우, 제어부(140)는 네트워크 패킷 전달 장치(100)의 상태 정보가 제1 동작 모드로 저장되어 있으므로, 제1 동작 모드로 동작을 재개할 수 있다. 따라서, 네트워크 패킷 전달 장치(100)가 침입 탐지 동작을 수행하던 중 장애가 발생되었다가 다시 정상 상태로 되는 경우, 입력된 패킷을 그대로 출력하는 제2 동작 모드 등에서 동작하는 등의 예상치 못한 동작을 막고, 계속하여 제1 동작 모드에서 동작하도록 할 수 있다. For example, when the network packet delivery device 100 operates in the first operation mode and is re-initialized after a failure occurs, the controller 140 stores state information of the network packet delivery device 100 in the first operation mode. As a result, the operation can be resumed in the first operation mode. Therefore, when the network packet forwarding apparatus 100 performs an intrusion detection operation and becomes a normal state again, an unexpected operation such as operating in a second operation mode for outputting the input packet as it is is prevented, The operation may be continued in the first operation mode.

제어부(140)는 마우스, 키보드 및 터치 패드 등과 같은 사용자 입력 장치(도시되지 않음)으로부터 사용자 입력 신호에 따라 동작할 수 있다. 제어부(140)는 사용자 입력 신호를 수신받고, 수신된 사용자 입력 신호에 따라, 패킷 처리부(120)의 제1 패킷의 출력 여부 및 스위칭부(130)의 동작 모드 선택 동작을 제어할 수 있다. The controller 140 may operate according to a user input signal from a user input device (not shown) such as a mouse, a keyboard, and a touch pad. The controller 140 may receive the user input signal and control whether the packet processor 120 outputs the first packet and the operation mode selection operation of the switching unit 130 according to the received user input signal.

일 실시예에 따른 네트워크 패킷 전달 장치는 패킷 처리부(120)가 직접 제1 패킷의 출력 여부를 제어하고, 하나의 스위칭부(130)를 포함하는 구성에 의하여, 적은 구성 부품으로 구성되어, 네트워크 트래픽 제어에 요구되는 여러 동작 모드로 동작될 수 있으며, 제조 비용 및 네트워크에서의 에너지 손실 비율을 줄일 수 있다. In the network packet forwarding apparatus according to the exemplary embodiment, the packet processing unit 120 directly controls whether to output the first packet, and is configured with fewer components by a configuration including one switching unit 130, thereby providing network traffic. It can be operated in several modes of operation required for control, reducing manufacturing costs and the rate of energy loss in the network.

도 2는 도 1의 패킷 처리부의 구성의 일 예를 나타내는 블록도이다. 2 is a block diagram illustrating an example of a configuration of a packet processing unit of FIG. 1.

패킷 처리부(120)는 입력부(210), 출력 제어부(220) 및 출력부(230)를 포함한다. The packet processor 120 includes an input unit 210, an output control unit 220, and an output unit 230.

입력부(210)는 패킷 분배부(110)로부터 제1 패킷을 입력받는다. The input unit 210 receives the first packet from the packet distribution unit 110.

출력 제어부(220)는 제1 패킷을 처리하고, 제1 패킷을 스위칭부(230)로 출력할지 여부를 결정하고, 결정에 따라 제1 패킷의 출력을 제어할 수 있다. 출력 제어부(220)는 외부의 제어부(140)로부터의 제어 신호에 따라 제1 패킷의 출력을 제어할 수 있다. 출력 제어부(220)는 전술한 바와 같이, 입력된 제1 패킷을 분석하여, 제1 패킷에 침입이 발생되었는지를 탐지하도록 구성될 수 있다. The output controller 220 may process the first packet, determine whether to output the first packet to the switching unit 230, and control the output of the first packet according to the determination. The output controller 220 may control the output of the first packet according to a control signal from the external controller 140. As described above, the output controller 220 may be configured to analyze the input first packet to detect whether an intrusion occurs in the first packet.

출력부(230)는 출력 제어부(220)가 제1 패킷의 출력을 허용하면, 제1 패킷을 스위칭부(130)로 출력하고, 제1 패킷의 출력을 금지하면, 제1 패킷의 출력을 차단한다. 제1 패킷의 출력이 차단되고, 도 1의 스위칭부(130)에서 제1 동작 모드가 선택된 경우, 네트워크 패킷 전달 장치(100)는 제1 패킷 및 제2 패킷을 모두 출력하지 않게 되므로, 네트워크 트래픽을 차단하는 제3 동작 모드로 동작된다. The output unit 230 outputs the first packet to the switching unit 130 when the output control unit 220 allows the output of the first packet, and blocks the output of the first packet when the output of the first packet is prohibited. do. When the output of the first packet is blocked and the first operation mode is selected by the switching unit 130 of FIG. 1, the network packet forwarding apparatus 100 does not output both the first packet and the second packet, thereby preventing network traffic. It operates in a third operation mode for blocking the.

도 3은 네트워크 패킷 전달 장치의 네트워크 패킷 전달 방법의 일 예를 나타내는 흐름도이다. 3 is a flowchart illustrating an example of a network packet forwarding method of a network packet forwarding apparatus.

네트워크 패킷 전달 장치(100)는 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배한다(310). The network packet forwarding apparatus 100 copies the packet input through the first network and distributes the packet to the first packet and the second packet (310).

네트워크 패킷 전달 장치(100)는 제1 패킷을 처리하고, 제1 패킷의 출력 여부를 결정한다(320). 예를 들어, 네트워크 패킷 전달 장치(100)는 제1 패킷을 파싱하여, 제1 패킷에 미리 저장한 시그니처가 포함되었는지를 결정하여, 제1 패킷이 침입이 발생된 비정상 패킷인지를 결정할 수 있다. 제1 패킷이 비정상 패킷인 경우, 네트워크 패킷 전달 장치(100)는 제1 패킷의 출력을 금지할 수 있다. The network packet delivery apparatus 100 processes the first packet and determines 320 whether to output the first packet. For example, the network packet forwarding apparatus 100 may parse the first packet to determine whether the first packet includes a signature stored in advance, and determine whether the first packet is an abnormal packet having an intrusion. When the first packet is an abnormal packet, the network packet delivery device 100 may prohibit output of the first packet.

네트워크 패킷 전달 장치(100)는 패킷 처리 후 전달된 제1 패킷을 출력하는 제1 동작 모드 및 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택한다(330). The network packet delivery apparatus 100 selects one operation mode among a first operation mode for outputting a first packet delivered after processing a packet and a second operation mode for outputting a second packet (330).

제1 동작 모드가 선택되고(340), 제1 패킷이 출력되도록 결정되면(350), 네트워크 패킷 전달 장치(100)는 제1 패킷을 제2 네트워크로 출력한다(360). When the first operation mode is selected (340), and it is determined to output the first packet (350), the network packet delivery apparatus 100 outputs the first packet to the second network (360).

제1 동작 모드가 선택되고, 제1 패킷이 출력되지 않도록 결정된 경우, 네트워크 패킷 전달 장치(100)는 제2 네트워크로 제1 패킷 및 제2 패킷의 전달을 차단하는 제3 동작 모드로 동작한다(370). When the first operation mode is selected and it is determined that the first packet is not output, the network packet forwarding apparatus 100 operates in a third operation mode that blocks transmission of the first packet and the second packet to the second network ( 370).

제1 동작 모드가 선택되지 않고, 즉, 제2 동작 모드가 선택되면(340), 네트워크 패킷 전달 장치(100)는 제1 패킷의 출력 여부와 무관하게, 제2 패킷을 제2 네트워크로 출력한다(380).If the first operation mode is not selected, that is, the second operation mode is selected (340), the network packet forwarding apparatus 100 outputs the second packet to the second network regardless of whether the first packet is output. (380).

제1 패킷을 처리하는 동작 320, 동작 모드를 선택하는 동작 330 및 제1 패킷의 출력 여부를 결정하는 동작 350은 도 3에 도시된 순서대로 수행되어야 하는 것이 아니고, 동시에 수행될 수도 있고, 동작의 선후가 변경되어 수행될 수도 있다. The operation 320 for processing the first packet, the operation 330 for selecting an operation mode, and the operation 350 for determining whether to output the first packet are not to be performed in the order shown in FIG. 3, but may be performed simultaneously. It may be performed after the change.

또한, 네트워크 패킷 전달 장치(100)는 현재 동작이 제1 동작 모드, 제2 동작 모드 및 제3 동작 모드 중 어느 동작 모드에서 동작하고 있는지를 나타내는 상태 정보를 저장하여, 네트워크 패킷 전달 장치(100)에 전원 공급 차단 등 예기치 못한 장애가 발생되더라도, 장애 복구 후 이전의 동작 모드에서 동작을 재개할 수 있다. In addition, the network packet forwarding apparatus 100 stores state information indicating which of the first, second, and third modes of operation the current operation is operating, thereby storing the network packet forwarding apparatus 100. Even if an unexpected failure occurs, such as a power failure, the system can resume operation from the previous operating mode after a failover.

본 발명의 일 양상은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있다. 상기의 프로그램을 구현하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 디스크 등을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.One aspect of the present invention may be embodied as computer readable code on a computer readable recording medium. The code and code segments implementing the above program can be easily deduced by a computer programmer in the field. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical disk, and the like. The computer-readable recording medium may also be distributed over a networked computer system and stored and executed in computer readable code in a distributed manner.

이상의 설명은 본 발명의 일 실시예에 불과할 뿐, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현할 수 있을 것이다. 따라서, 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허 청구범위에 기재된 내용과 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be construed to include various embodiments within the scope of the claims.

Claims (8)

제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배하는 패킷 분배부;
상기 제1 패킷을 처리하고, 상기 제1 패킷의 출력 여부를 제어하는 패킷 처리부; 및
상기 패킷 처리부를 거쳐서 전달된 제1 패킷을 출력하는 제1 동작 모드 및 상기 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하여, 상기 제1 패킷 또는 상기 제2 패킷을 선택적으로 제2 네트워크로 출력하는 스위칭부를 포함하는 네트워크 패킷 전달 장치. A packet distributor which copies a packet input through the first network and distributes the packet into a first packet and a second packet;
A packet processor configured to process the first packet and to control whether the first packet is output; And
Select one operation mode among a first operation mode for outputting a first packet transmitted through the packet processing unit and a second operation mode for outputting the second packet, and selectively select the first packet or the second packet. Network packet transmission apparatus including a switching unit for outputting to the second network. 제1항에 있어서,
상기 패킷 처리부의 상기 제1 패킷의 출력 여부 및 상기 스위칭부의 동작 모드를 선택하는 동작 중 적어도 하나를 제어하는 제어부를 더 포함하는 네트워크 패킷 전달 장치. The method of claim 1,
And a controller configured to control at least one of selecting whether the first packet is output from the packet processor and selecting an operation mode of the switching unit. 제2항에 있어서,
상기 제어부는, 상기 패킷 처리부를 실시간으로 모니터링하여, 상기 패킷 처리부가 제1 패킷을 출력하는 정상 동작 상태인지, 침입이 탐지되거나 장애가 발생되어 제1 패킷이 출력되지 않는 비정상 동작 상태인지를 확인하고, 상기 패킷 처리부가 비정상 동작 상태인 경우 상기 제1 패킷이 출력되지 않도록 상기 패킷 처리부를 제어하는 네트워크 패킷 전달 장치. The method of claim 2,
The control unit monitors the packet processing unit in real time to determine whether the packet processing unit is in a normal operation state in which the first packet is output or in an abnormal operation state in which an intrusion is detected or a failure occurs and the first packet is not output. And controlling the packet processing unit so that the first packet is not output when the packet processing unit is in an abnormal operation state. 제2항에 있어서,
상기 제어부는, 상기 패킷 처리부에 장애가 발생되거나 상기 네트워크 패킷 전달 장치에 연결된 네트워크에 장애가 발생된 경우, 상기 스위칭부가 상기 제1 동작 모드를 유지시킨 상태에서 상기 패킷 처리부가 상기 제1 패킷이 출력되지 않도록 제어함으로써, 상기 네트워크 패킷 전달 장치가 상기 제2 네트워크로 상기 제1 패킷 및 상기 제2 패킷의 전달을 차단하는 제3 동작 모드로 동작하도록 제어하는 네트워크 패킷 전달 장치. The method of claim 2,
The controller may be configured to prevent the packet processor from outputting the first packet in a state where the switching unit maintains the first operation mode when a failure occurs in the packet processing unit or a network connected to the network packet delivery device. By controlling the network packet delivery device to operate in a third mode of operation that blocks delivery of the first packet and the second packet to the second network. 제4항에 있어서,
상기 제어부는 상기 네트워크 패킷 전달 장치가 상기 제1 동작 모드, 상기 제2 동작 모드 및 상기 제3 동작 모드 중 어느 동작 모드에서 동작하고 있는 지를 나타내는 상태 정보를 저장하고, 상기 네트워크 패킷 전달 장치에 장애가 발생된 후 복구된 경우, 상기 저장된 상태 정보를 이용하여 동작하도록 구성된 네트워크 패킷 전달 장치. The method of claim 4, wherein
The control unit stores state information indicating which of the first, second, and third modes of operation the network packet forwarding device operates, and a failure occurs in the network packet forwarding device. The network packet forwarding device is configured to operate using the stored state information. 제1항에 있어서,
상기 패킷 처리부는, 상기 제1 패킷에 침입 탐지를 수행하고, 침입이 탐지된 경우, 상기 제1 패킷의 출력을 금지하는 네트워크 패킷 전달 장치. The method of claim 1,
The packet processing unit performs an intrusion detection on the first packet and, if an intrusion is detected, prohibits output of the first packet. 제1항에 있어서,
상기 스위칭부는, 전원 오프시, 상기 패킷 처리부의 장애 발생시 또는 제2 동작 모드를 선택하는 외부 제어 신호에 따라, 상기 제2 동작 모드를 선택하여 동작하도록 구성된 네트워크 패킷 전달 장치. The method of claim 1,
And the switching unit is configured to select and operate the second operation mode according to an external control signal for selecting a second operation mode or when a failure occurs in the packet processing unit. 제1 네트워크를 통해 입력된 패킷을 복사하여 제1 패킷 및 제2 패킷으로 분배하는 단계;
상기 제1 패킷을 처리하고, 상기 제1 패킷의 출력 여부를 결정하는 단계;
상기 처리 후의 제1 패킷을 출력하는 제1 동작 모드 및 상기 제2 패킷을 출력하는 제2 동작 모드 중 하나의 동작 모드를 선택하는 단계;
상기 제1 패킷이 출력되도록 결정되고, 상기 제1 동작 모드가 선택된 경우, 상기 제1 패킷을 제2 네트워크로 출력하는 단계;
상기 제2 동작 모드가 선택된 경우, 상기 제2 패킷을 제2 네트워크로 출력하는 단계; 및
상기 제1 패킷이 출력되지 않도록 결정되고, 상기 제1 동작 모드가 선택된 경우, 제2 네트워크로 상기 제1 패킷 및 상기 제2 패킷의 전달을 차단하는 단계를 포함하는 네트워크 패킷 전달 방법.
Copying a packet input through the first network and distributing the packet into a first packet and a second packet;
Processing the first packet and determining whether to output the first packet;
Selecting one of the first operation mode for outputting the first packet after the processing and the second operation mode for outputting the second packet;
Outputting the first packet to a second network when the first packet is determined to be output and the first operation mode is selected;
If the second mode of operation is selected, outputting the second packet to a second network; And
If the first packet is determined not to be output and the first mode of operation is selected, blocking delivery of the first packet and the second packet to a second network.
KR1020100048636A 2010-05-25 2010-05-25 Apparatus and method for transferring network packet KR101104959B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100048636A KR101104959B1 (en) 2010-05-25 2010-05-25 Apparatus and method for transferring network packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100048636A KR101104959B1 (en) 2010-05-25 2010-05-25 Apparatus and method for transferring network packet

Publications (2)

Publication Number Publication Date
KR20110129163A true KR20110129163A (en) 2011-12-01
KR101104959B1 KR101104959B1 (en) 2012-01-12

Family

ID=45498431

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100048636A KR101104959B1 (en) 2010-05-25 2010-05-25 Apparatus and method for transferring network packet

Country Status (1)

Country Link
KR (1) KR101104959B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140128771A (en) * 2013-04-29 2014-11-06 한국전자통신연구원 Network option apparatus and the operating method
KR102043978B1 (en) * 2018-10-01 2019-11-12 에스케이텔레콤 주식회사 Network device, network monitoring system and network monitoring method
KR20210073432A (en) * 2019-12-10 2021-06-18 쥬니퍼 네트워크스, 인크. Combined input and output queue for packet forwarding in network devices

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100596362B1 (en) * 2006-03-27 2006-07-05 주식회사 윈스테크넷 System and method of controlling network traffic
KR101289956B1 (en) * 2007-09-12 2013-07-26 주식회사 엘지씨엔에스 Apparatus and method of stabilizing service of network security system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140128771A (en) * 2013-04-29 2014-11-06 한국전자통신연구원 Network option apparatus and the operating method
US9876874B2 (en) 2013-04-29 2018-01-23 Electronics And Telecommunications Research Institute Network selecting apparatus and operating method thereof
KR102043978B1 (en) * 2018-10-01 2019-11-12 에스케이텔레콤 주식회사 Network device, network monitoring system and network monitoring method
KR20210073432A (en) * 2019-12-10 2021-06-18 쥬니퍼 네트워크스, 인크. Combined input and output queue for packet forwarding in network devices
US11784925B2 (en) 2019-12-10 2023-10-10 Juniper Networks, Inc. Combined input and output queue for packet forwarding in network devices

Also Published As

Publication number Publication date
KR101104959B1 (en) 2012-01-12

Similar Documents

Publication Publication Date Title
EP3029893B1 (en) Method, controller, device and system for protecting service path
EP2476076B1 (en) Secure keyboard, video, mouse switch, KVM-switch
CN109716729A (en) The dynamically auto zoom network security micro services framework based on load
US9516042B2 (en) Apparatus for switching between multiple servers in a web-based system
US20130268753A1 (en) Anti-tamper device, system, method, and computer-readable medium
KR101104959B1 (en) Apparatus and method for transferring network packet
US20110289580A1 (en) Network security system and remote machine isolation method
US8131871B2 (en) Method and system for the automatic reroute of data over a local area network
US10503229B2 (en) Uninterruptible power supply communication
US20170315954A1 (en) Coupling connector to management port or system port
KR101266041B1 (en) General purpose multi-port network interface card for fault-tolerant ethernet using switching chip base of logic gate
EP3633931B1 (en) Method and system for implementing mux machine
JP6407598B2 (en) Relay device, relay method, and relay program
KR100596362B1 (en) System and method of controlling network traffic
CN111800890B (en) Processing method and input device
KR101092090B1 (en) SYSTEM AND METHOD FOR RESPONDING DDoS OFFENSIVE
WO2017163665A1 (en) Communication processing system, communication processing method, communication processing device, communication management device, and control methods and control programs therefor
JP2014182441A (en) Information processing device and program
JP4511455B2 (en) Fiber channel switch and computer system using the same
US20160321149A1 (en) Computer apparatus and computer mechanism
KR100378522B1 (en) Apparatus for securing of Network
JP2008287632A (en) Control device recovery system
JP2002051105A (en) Communication system
JP2009296260A (en) Data transmitting apparatus
JP2023157288A (en) Device, secure component, device management server, device management system, and device management method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141231

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160128

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170103

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180205

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200106

Year of fee payment: 9