KR20130101663A - 클라우드 네트워킹 장치 및 방법 - Google Patents

클라우드 네트워킹 장치 및 방법 Download PDF

Info

Publication number
KR20130101663A
KR20130101663A KR1020120019891A KR20120019891A KR20130101663A KR 20130101663 A KR20130101663 A KR 20130101663A KR 1020120019891 A KR1020120019891 A KR 1020120019891A KR 20120019891 A KR20120019891 A KR 20120019891A KR 20130101663 A KR20130101663 A KR 20130101663A
Authority
KR
South Korea
Prior art keywords
vsi
packet
user
communication node
network
Prior art date
Application number
KR1020120019891A
Other languages
English (en)
Other versions
KR101953790B1 (ko
Inventor
윤승현
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120019891A priority Critical patent/KR101953790B1/ko
Priority to US13/655,867 priority patent/US20130227673A1/en
Publication of KR20130101663A publication Critical patent/KR20130101663A/ko
Application granted granted Critical
Publication of KR101953790B1 publication Critical patent/KR101953790B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

통신 노드는 사용자 단말로부터 패킷을 수신하면, 동적 경로 매핑 테이블을 조회하여 상기 패킷의 정보에 대응하는 VSI가 존재하지 않는 경우 사용자 단말의 사용자 인증을 클라우드 네트워킹 제어 장치로부터 요청한다. 클라우드 네트워킹 제어 장치는 사용자가 인증된 사용자인 경우, VSI를 프로비저닝한 후 프로비저닝한 VSI의 정보를 통신 노드로 전송한다. 통신 노드는 VSI를 설정한 후 네트워크에 연결한 후 패킷을 네트워크에 연결된 VSI로 전달한다.

Description

클라우드 네트워킹 장치 및 방법{APPARATUS AND METHOD FOR CLOUD NETWORKING}
본 발명은 클라우드 네트워킹 장치 및 방법에 관한 것으로, 특히 통신 장비를 이용하여 사용자 단말과 클라우드 센터간의 네트워크 연결을 위한 클라우드 네트워킹 장치 및 방법에 관한 것이다.
클라우드 컴퓨팅은 정보가 인터넷 상의 클라우드 센터에 영구적으로 저장되고, 사용자 단말에는 해당 정보가 일시적으로 보관되는 컴퓨터 환경으로, 사용자의 모든 정보를 클라우드 센터에 저장하고 이 정보를 각종 사용자 단말을 이용하여 언제 어디서든 이용할 수 있도록 하는 것이다.
현재 클라우드 컴퓨팅 환경은 사용자 단말과 클라우드 센터간 인터넷을 통하여 연결되어 있다. 따라서 품질 문제, 보안 문제 및 신뢰성 문제가 다양하게 발생하게 된다. 보안 문제를 해결하기 위해서 IPSec(Internet Protocol Security)과 같은 IP 터널링 기술을 적용하고 있으나 품질 및 신뢰성은 인터넷과 같은 수준에 그치고 있다.
한편, 품질 문제, 보안 문제 및 신뢰성 문제를 우회하기 위해서 기업의 경우 기업과 데이터 센터간 별도로 전용선을 설치하거나 가상 사설망(virtual private network)을 이용하는 경우도 있으나, 이들 방법은 정적으로 제어되기 때문에 특정 위치에 한정되어 적용 가능한 것으로서 이동성을 고려한 사용자에게 적용하기가 어렵다. 특히, 스마트워크, 원격 근무가 활성화되면서 품질 문제, 보안 문제 및 신뢰성 문제가 더욱 커지게 된다. 따라서 사용자와 클라우드 센터간 연결을 위하여 가상 사설망의 네트워킹 기능을 이동 사용자에게 제공할 수 있는 기술이 필요하다.
본 발명이 해결하고자 하는 기술적 과제는 이동하는 사용자와 클라우드 센터간 네트워크를 통해 직접 연결할 수 있는 클라우드 네트워킹 장치 및 방법을 제공하는 것이다.
본 발명의 한 실시 예에 따르면, 통신 노드에서 사용자 단말을 네트워크를 통해 클라우드 센터에 연결하는 네트워킹 방법이 제공된다. 클라우드 네트워킹 방법은 상기 사용자 단말로부터 패킷을 수신하는 단계, 동적 경로 매핑 테이블에 상기 패킷의 정보에 대응하는 VSI가 존재하지 않는 경우 상기 사용자 단말의 사용자가 인증된 사용자인지 확인하는 단계, 상기 사용자가 인증된 사용자인 경우, 클라우드 네트워킹 제어 장치로부터 VSI의 정보를 수신하는 단계, 상기 VSI를 상기 네트워크에 연결하는 단계, 그리고 상기 패킷을 상기 네트워크에 연결된 VSI로 전달하는 단계를 포함한다.
상기 전달하는 단계는 상기 VSI를 상기 패킷의 정보에 대응하여 매핑시켜 상기 동적 경로 매핑 테이블에 저장하는 단계를 포함할 수 있다.
상기 클라우드 네트워킹 방법은 상기 동적 경로 매핑 테이블에 상기 패킷의 정보에 대응하는 VSI가 존재하는 경우, 해당 VSI로 상기 패킷을 전달하는 단계를 더 포함할 수 있다.
상기 확인하는 단계는 상기 사용자의 인증을 상기 클라우드 네트워킹 제어 장치로 요청하는 단계, 그리고 상기 사용자의 인증 결과를 상기 클라우드 네트워킹 제어 장치로부터 수신하는 단계를 포함할 수 있다.
본 발명의 다른 실시 예에 따르면, 클라우드 네트워킹 제어 장치에서 사용자 단말을 네트워크를 통해 클라우드 센터에 연결하는 네트워킹 방법이 제공된다. 클라우드 네트워킹 방법은 동적 경로 매핑 테이블에 상기 패킷의 정보에 대응하는 VSI가 존재하지 않는 경우 통신 노드로부터 상기 사용자 단말의 사용자에 대한 인증 요청을 수신하는 단계, 상기 사용자를 인증하는 단계, 상기 사용자가 인증된 사용자인 경우, 상기 통신 노드에 VSI를 프로비저닝하는 단계, 그리고 상기 통신 노드가 상기 VSI를 상기 네트워크에 연결하도록, 상기 통신 노드에 경로를 프로비저닝하는 단계를 포함한다.
상기 경로를 프로비저닝하는 단계는 상기 네트워크에 존재하는 VSI와 네트워크 자원을 고려하여 상기 경로를 계산하는 단계를 포함할 수 있다.
상기 클라우드 네트워킹 방법은 상기 VSI의 정보를 상기 통신 노드로 전송하는 단계를 더 포함할 수 있다.
본 발명의 또 다른 실시 예에 따르면, 사용자 단말을 네트워크를 통해 클라우드 센터에 연결하는 클라우드 네트워킹 장치가 제공된다. 클라우드 네트워킹 장치는 상기 사용자 단말로부터 패킷을 수신하면, 상기 패킷의 정보에 대응하는 VSI가 존재하는지 동적 경로 매핑 테이블을 조회하고 상기 패킷의 정보에 대응하는 VSI로 상기 패킷을 전달하는 경로 조회부, 상기 패킷의 정보에 대응하는 VSI가 존재하지 않는 경우, 상기 사용자를 상기 클라우드 네트워킹 제어 장치로 인증 요청하는 인증부, 인증된 사용자에 대해 상기 클라우드 네트워킹 제어 장치로부터 VSI의 정보를 수신하여 상기 VSI를 설정한 후 상기 네트워크와 연결하는 VSI 설정부, 그리고 상기 설정한 VSI를 상기 패킷의 정보에 매핑시켜서 상기 동적 경로 매핑 테이블에 저장하는 경로 매핑부를 포함한다.
상기 VSI 설정부는 상기 설정한 VSI를 상기 네트워크의 다른 통신 노드에 설정된 VSI와 터널로 연결할 수 있다.
본 발명의 실시 예에 의하면, 기존 인터넷망에 비해서 품질 높고 보안 및 안정성이 높은 계층 2 VPN을 이동 사용자를 대상으로 제공할 수 있다. 이에 따라 향후 고품질 클라우드 서비스 환경 및 원격 근무 환경을 개선할 수 있으며 사용자 그룹 또는 서비스 단위의 전용 네트워킹을 제공할 수 있다.
도 1은 본 발명의 실시 예에 따른 클라우드 네트워킹 방법을 나타낸 도면이다.
도 2는 본 발명의 실시 예에 따른 클라우드 네트워킹 장치를 개략적으로 나타낸 도면이다.
도 3은 본 발명의 실시 예에 따른 통신 노드를 나타낸 도면이다.
도 4는 본 발명의 실시 예에 따른 클라우드 네트워킹 제어 장치를 나타낸 도면이다.
도 5는 본 발명의 실시 예에 따른 통신 노드에서의 클라우드 네트워킹 방법을 나타낸 흐름도이다.
도 6은 본 발명의 실시 예에 따른 클라우드 네트워킹 제어 장치 에서의 클라우드 네트워킹 방법을 나타낸 흐름도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
이제 본 발명의 실시 예에 따른 클라우드 네트워킹 장치 및 방법에 대하여 도면을 참고로 하여 상세하게 설명한다.
도 1은 본 발명의 실시 예에 적용되는 가상 사설망의 일 예를 나타낸 도면이다.
도 1을 참고하면, 네트워크(300) 특히, 가상 사설망(Virtual Private Network, VPN)은 기업에서 주로 사용한다. 도 1에서는 네트워크(300)로 계층(Layer) 2 기반의 VPN을 도시하였다.
일반적으로 네트워크(300)는 각 통신 노드(310)에 설정된 가상 스위치 인스턴스(Virtual Switch Instance, VSI)를 전용 경로로 연결하여 이더넷-라인(E-Line) 서비스 또는 이더넷-랜(E-LAN) 서비스를 제공한다. 여기서 전용 경로는 다중 프로토콜 레이블 스위칭-전송 프로필(Multi Protocol Label Switching Transport Profile, MPLS-TP), PBB-TE(Provider Backbone Bridge Traffic Engineering) 또는 캐리어 이더넷 기반의 터널일 수 있다. 그리고 도 1에서 각 통신 노드(300)간 연결된 실선은 물리적인 연결을 의미한다.
기업의 사용자 단말(100)은 네트워크(300)를 통해서 클라우드 센터(200)에 연결될 수 있다.
클라우드 센터(200)는 사용자 단말(100)에게 제공할 데이터를 저장 및 관리한다. 클라우드 센터(200)는 가상 머신(210)을 포함하며, 가상 머신(210)은 통신 노드(310)에 설정된 VSI와 터널로 연결되며, 연결된 터널을 통해서 데이터를 사용자 단말(100)에 제공한다. 이때 원격지에 있는 기업의 사용자 단말(100)을 고려하여 모든 통신 노드(310)에 VSI를 미리 설정하고 이들 VSI를 연결해 둘 수 없으므로, 기업망 내부에 IP 오버레이 방식의 VPN 게이트웨이(110)를 설치하여 원격지에 있는 기업의 사용자 단말(100)이 VPN 게이트웨이(110)를 경유하여 클라우드 센터(200)로 연결될 수 있도록 한다. 그러나 이러한 방법은 이용자가 VPN 게이트웨이(110)까지 IP 오버레이 방식으로 접근해야 하기 때문에 품질 문제나 신뢰성 문제를 그대로 갖고 있을 수 밖에 없다.
아래에서는 이동 사용자에 대한 클라우드 네트워킹 방법에 대해서 도 2 내지 도 6을 참고로 하여 자세하게 설명한다.
도 2는 본 발명의 실시 예에 따른 클라우드 네트워킹 장치를 개략적으로 나타낸 도면이다.
도 2를 참고하면, 클라우드 네트워킹 장치는 이동 사용자의 사용자 단말(100')을 네트워크(300)를 이용하여 클라우드 센터(200)에 직접 연결한다.
클라우드 네트워킹 장치는 네트워크(300)의 복수의 통신 노드(310) 및 클라우드 네트워킹 제어 장치(400)를 포함한다.
통신 노드(310)는 라우터나 패킷 전송 스위치와 같은 통신 장비로, VSI 및 터널 설정이 가능한 장비를 전제로 한다. 통신 노드(310)는 사용자 단말(100')과 클라우드 센터(200)간 데이터를 전달하는 역할을 수행한다. 이러한 통신 노드(310)로는 예를 들면 패킷 전송 계층(Packet Transport Layer, PTL) 노드 또는 IP/MPLS 노드가 사용될 수 있다. 아래에서는 설명의 편의상 통신 노드(310)가 PTL 노드인 것으로 가정하고 설명한다.
통신 노드(310)는 사용자 단말(100')과 클라우드 센터(200)의 연결을 위해, 사용자 단말(100')의 사용자 인증을 수행하고, 클라우드 네트워킹 제어 장치(400)의 제어에 따라서 VSI를 설정하며, 설정한 VSI를 다른 통신 노드의 VSI와 터널로 연결한다. 다음, 통신 노드(310)는 사용자 단말(100')로부터 수신한 패킷에 대해 설정한 VSI에 대한 동적 경로 매핑 테이블을 설정한다.
통신 노드(310)는 인증된 사용자 단말(100')로부터 패킷을 수신하면 동적 경로 매핑 테이블을 참조하여 수신한 패킷을 해당 VSI로 전달한다. 이후 통신 노드(310)는 종래의 VPN 기능과 동일하게 동작한다.
한편, 통신 노드(310)가 IP/MPLS 라우터인 경우에, 통신 노드(310)는 VSI 대신 가상 라우팅 포워딩 인스턴스(Virtual Routing and Forwarding Instance, VRF)를 설정하고 이를 다른 통신 노드의 VRF와 연결할 수 있으며, 이렇게 함으로써, 계층(layer) 3 VPN이나 IP VPN이 형성될 수 있다.
클라우드 네트워킹 제어 장치(400)는 사용자 단말(100')과 클라우드 센터(200)간 연결을 제어한다. 특히 클라우드 네트워킹 제어 장치(400)는 사용자 단말(100')의 사용자를 인증하는 역할을 하며, 사용자 단말(100')과 클라우드 센터(200)간 연결을 위하여 통신 노드(310)에 VSI를 프로비저닝하며, 네트워크(300)의 각 통신 노드(310)에 설정된 VSI와 네트워크 자원을 고려하여 프로비저닝한 VSI의 연결을 위한 경로를 계산한 후 다른 통신 노드의 VSI와 연결되도록 통신 노드(310)에 경로를 프로비저닝한다. 여기서 프로비저닝한 VSI는 설정 명령어를 통하여 통신 노드(310)에 새롭게 만든 VSI를 의미한다. 프로비저닝은 통신 노드(310)에 기능이나 동작으로 설정한다는 의미이다. 간단하게, 기능을 인에이블/디스에이블(enable/disable) 할 수 있고 경로를 어디에서부터 어디까지 연결하라는 세부적인 명령을 내릴 수 있으며, 이러한 설정을 클라우드 네트워킹 제어 장치(400)에서 통신 노드(310)에 하는 것을 프로비저닝이라 한다. 프로비저닝은 CLI(Command Line Interface)를 이용하거나 SNMP 셋(set) 명령 등으로 수행될 수 있다.
도 3은 본 발명의 실시 예에 따른 통신 노드를 나타낸 도면이다.
도 3을 참고하면, 통신 노드(310)는 인증 요청부(311), VSI 설정부(313), 경로 조회부(315), 경로 매핑부(317) 및 동적 경로 매핑 테이블(319)를 포함한다.
인증 요청부(311)는 경로 조회부(315)의 인증 요청을 수신하여 사용자 단말(100')의 사용자 인증을 클라우드 네트워킹 제어 장치(400)에 요청하고, 클라우드 네트워킹 제어 장치(400)로부터 인증 결과를 수신한다.
VSI 설정부(313)는 클라우드 네트워킹 제어 장치(400)의 제어에 따라서 VSI를 설정하고 설정한 VSI를 네트워크(300)의 다른 통신 장치에 설정된 VSI와 연결한다.
경로 조회부(315)는 사용자 단말(100')로부터 패킷을 수신하면, 동적 경로 매핑 테이블(319)을 참조하여 수신한 패킷에 대한 경로를 조회하여 수신한 패킷을 해당 VSI로 전달한다. 한편, 경로 매핑부(315)는 수신한 패킷에 대한 경로가 동적 경로 매핑 테이블(319)에 존재하지 않는 경우, 인증 요청부(311)로 사용자 인증을 요청하여, 사용자 단말(100')을 네트워크(300)에 연결되도록 한다.
경로 매핑부(317)는 클라우드 네트워킹 제어 장치(400)의 제어에 따라서 인증된 사용자 단말(100')로부터 수신한 패킷의 정보에 대응하여 VSI를 매핑시켜서 저장한다. 즉, 경로 매핑부(316)는 동적 경로 매핑 테이블(3161)을 관리한다.
동적 경로 매핑 테이블(3161)에는 인증된 사용자 단말(100')로부터 수신한 패킷의 정보 중 적어도 하나의 정보에 대응하여 VSI가 저장되어 있다.
동적 경로 매핑 테이블(3161)에는 예를 들어, 인증된 사용자 단말(100')의 패킷이 수신되는 통신 노드(310)의 수신 포트 또는 VLAN 식별자(Identifier, ID)가 VSI에 매핑되어 있을 수 있으며 패킷의 헤더에 포함된 정보(IP 주소, 응용 포트 주소 등) 가 VSI에 매핑되어 있을 수 있다.
도 4는 본 발명의 실시 예에 따른 클라우드 네트워킹 제어 장치를 나타낸 도면이다.
도 4를 참고하면, 클라우드 네트워킹 제어 장치(400)는 VPN 가입자 관리부(410), 인증 서버(420), VSI 제어부(430), 자원 관리부(440), 경로 계산부(450) 및 경로 제어부(460)를 포함한다.
VPN 가입자 관리부(410)는 VPN 가입자의 정보를 관리한다. VPN 가입자 관리부(410)는 VPN 가입자와 관련된 정보를 저장하고 관리한다. 예를 들면, VPN 가입자 관리부(410)는 기초 정보에는 이름, 주민등록번호, 전화번호, 직업 및 주소 등을 저장하고 관리한다.
인증 서버(420)는 통신 노드(310)로부터 사용자 인증을 요청 받으면, 해당 사용자를 인증한다. 인증 서버(420)는 VPN 가입자 관리부(410)로 사용자가 VPN 가입자인지 조회 요청하여 사용자 단말(100')을 인증할 수 있다.
VSI 제어부(430)는 인증 서버(420)에 의해 사용자가 성공적으로 인증되면 해당 통신 노드(310)에 VSI를 프로비저닝한다.
자원 관리부(440)는 네트워크(300)의 네트워크 자원을 관리한다. 즉, 자원 관리부(440)는 네트워크(300)의 토폴로지, 자원 할당 및 네트워크 연결 상태 등을 관리한다.
경로 계산부(450)는 네트워크(300)의 각 통신 노드(310)에 설정된 VSI와 이들간 경로 및 네트워크 자원을 고려하여 프로비저닝한 VSI를 다른 통신 노드의 VSI와 연결을 위한 경로를 계산한다. 경로 계산부(450)는 다양한 조건에 따라서 프로비저닝한 VSI를 다른 통신 노드의 VSI와 연결을 위한 최적의 경로를 계산할 수 있다.
경로 제어부(460)는 프로비저닝한 VSI를 다른 통신 노드의 VSI와 연결되도록 계산한 경로를 통신 노드(310)에 프로비저닝한다.
통지부(470)는 통신 노드(310)로부터 인증 요청 받은 사용자 인증 결과를 통신 노드(310)의 인증 요청부(311)로 전송한다. 통지부(470)는 사용자 인증 성공을 통신 노드(310)로 전송하면서 프로비저닝한 VSI의 정보를 통신 노드(310)에 통지한다. 프로비저닝한 VSI의 정보는 통신 노드(310)에서 이를 구분할 수 있는 VSI의 식별자(ID)나 이름(name)을 포함할 수 있다.
그러면, 통신 노드(310)는 클라우드 네트워킹 제어 장치(400)로부터 수신한 VSI의 정보를 토대로 해당 VSI를 동적 경로 매핑 테이블(319)에 저장한다.
도 5는 본 발명의 실시 예에 따른 통신 노드에서의 클라우드 네트워킹 방법을 나타낸 흐름도이다.
도 5를 참고하면, 통신 노드(310)는 사용자 단말(100')로부터 패킷을 수신하면(S502), 동적 경로 매핑 테이블(319)을 참조하여 수신한 패킷에 대한 경로를 조회한다(S504).
통신 노드(310)는 수신한 패킷에 대한 경로가 동적 경로 매핑 테이블(3161)에 존재하면(S506), 수신한 패킷을 해당하는 VSI로 전달한다(S508).
한편, 통신 노드(310)는 수신한 패킷에 대한 경로가 동적 경로 매핑 테이블(3161)에 존재하지 않으면, 사용자 단말(100')의 사용자에 대한 인증을 클라우드 네트워킹 제어 장치(400)로 요청한다(S510).
통신 노드(310)는 클라우드 네트워킹 제어 장치(400)로부터 인증 결과를 수신하며(S512), 인증 결과가 인증 성공인 경우(S514), 수신한 VSI의 정보를 토대로 사용자 단말(100')로부터 수신한 패킷과 해당 VSI을 매핑시켜서 동적 경로 매핑 테이블(3161)에 저장하고(S516), 사용자 단말(100')로부터 수신한 패킷을 해당 VSI에 전달한다(S508).
한편, 통신 노드(310)는 인증 결과가 인증 실패인 경우, 사용자 단말(100')로부터 수신한 패킷을 폐기한다(S518).
이와 같이, 통신 노드(310)는 인증 성공한 사용자 단말(100')의 사용자에 대한 VSI를 설정하고, VSI를 기 설정된 다른 통신 노드의 VSI에 동적으로 연결함으로써, 사용자가 이동하여도 사용자 단말(100')을 네트워크(300)에 직접 연결시킬 수 있게 된다.
도 6은 본 발명의 실시 예에 따른 클라우드 네트워킹 제어 장치 에서의 클라우드 네트워킹 방법을 나타낸 흐름도이다.
도 6을 참고하면, 클라우드 네트워킹 제어 장치(400)는 통신 노드(310)로부터 사용자 단말(100')의 사용자에 대한 인증 요청을 수신하면(S602), 사용자 단말(100')의 사용자가 VPN 가입자인지 조회한다(S604).
클라우드 네트워킹 제어 장치(400)는 사용자 단말(100')의 사용자가 정상적인 VPN 가입자인 경우(S606), 통신 노드(310)에 VSI를 프로비저닝한다(S608).
클라우드 네트워킹 제어 장치(400)는 네트워크(300)에 설정된 VSI와 경로 및 네트워크 자원을 고려하여 프로비저닝한 VSI의 연결을 위한 최적의 경로를 계산한다(S610).
클라우드 네트워킹 제어 장치(400)는 계산한 최적의 경로를 통신 노드(310)에 프로비저닝하여(S612), 통신 노드(310)에서 해당 VSI를 다른 통신 노드의 VSI와 연결되도록 한다.
다음, 클라우드 네트워킹 제어 장치(400)는 사용자 단말(100')의 사용자에 대한 인증 성공을 통신 노드(310)로 통지한다(S614). 이때 클라우드 네트워킹 제어 장치(400)는 프로비저닝한 VSI의 정보를 통신 노드(310)에 전송한다.
한편, 클라우드 네트워킹 제어 장치(400)는 사용자 단말(100')의 사용자가 정상적인 VPN 가입자가 아닌 경우(S606), 통신 노드(310)에 인증 실패를 통지한다(S616).
한편, 이상에서 설명한 장치 및/또는 방법은 L2 기반의 네트워크(300)을 실시 예로 가정하여 설명하였지만, 이상에서 설명한 장치 및/또는 방법은 라우터 기반의 L3 VPN, IP 기반의 VPN 및 캐리어 이더넷 기반의 VPN 또는 다중 서비스 지원 플랫폼(Multi-service Provisioning Platform, MSPP)이 결합된 SONET/SDH 망에서도 적용할 수 있다.
본 발명의 실시 예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현되는 것은 아니며, 본 발명의 실시 예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시 예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리 범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리 범위에 속하는 것이다.

Claims (13)

  1. 통신 노드에서 사용자 단말을 네트워크를 통해 클라우드 센터에 연결하는 네트워킹 방법으로,
    상기 사용자 단말로부터 패킷을 수신하는 단계,
    동적 경로 매핑 테이블에 상기 패킷의 정보에 대응하는 VSI가 존재하지 않는 경우 상기 사용자 단말의 사용자가 인증된 사용자인지 확인하는 단계,
    상기 사용자가 인증된 사용자인 경우, 클라우드 네트워킹 제어 장치로부터 VSI의 정보를 수신하는 단계,
    상기 VSI를 상기 네트워크에 연결하는 단계, 그리고
    상기 패킷을 상기 네트워크에 연결된 VSI로 전달하는 단계
    를 포함하는 클라우드 네트워킹 방법.
  2. 제1항에서,
    상기 전달하는 단계는
    상기 VSI를 상기 패킷의 정보에 대응하여 매핑시켜 상기 동적 경로 매핑 테이블에 저장하는 단계를 포함하는 클라우드 네트워킹 방법.
  3. 제2항에서,
    상기 동적 경로 매핑 테이블에 상기 패킷의 정보에 대응하는 VSI가 존재하는 경우, 해당 VSI로 상기 패킷을 전달하는 단계
    를 더 포함하는 클라우드 네트워킹 방법.
  4. 제1항에서,
    상기 확인하는 단계는,
    상기 사용자의 인증을 상기 클라우드 네트워킹 제어 장치로 요청하는 단계, 그리고
    상기 사용자의 인증 결과를 상기 클라우드 네트워킹 제어 장치로부터 수신하는 단계를 포함하는 클라우드 네트워킹 방법.
  5. 제1항에서,
    상기 연결하는 단계는,
    상기 VSI를 상기 네트워크의 다른 통신 노드에 설정된 VSI와 연결하는 단계를 포함하는 클라우드 네트워킹 방법.
  6. 제1항에서,
    상기 사용자가 인증된 사용자가 아닌 경우, 상기 패킷을 폐기하는 단계
    를 더 포함하는 클라우드 네트워킹 방법.
  7. 제1항에서,
    상기 통신 노드는 라우터 또는 패킷 전송 스위치를 포함하는 클라우드 네트워킹 방법.
  8. 클라우드 네트워킹 제어 장치에서 사용자 단말을 네트워크를 통해 클라우드 센터에 연결하는 네트워킹 방법으로,
    동적 경로 매핑 테이블에 상기 패킷의 정보에 대응하는 VSI가 존재하지 않는 경우 통신 노드로부터 상기 사용자 단말의 사용자에 대한 인증 요청을 수신하는 단계,
    상기 사용자를 인증하는 단계,
    상기 사용자가 인증된 사용자인 경우, 상기 통신 노드에 VSI를 프로비저닝하는 단계, 그리고
    상기 통신 노드가 상기 VSI를 상기 네트워크에 연결하도록, 상기 통신 노드에 경로를 프로비저닝하는 단계
    포함하는 클라우드 네트워킹 방법.
  9. 제8항에서,
    상기 경로를 프로비저닝하는 단계는,
    상기 네트워크에 존재하는 VSI와 네트워크 자원을 고려하여 상기 경로를 계산하는 단계를 포함하는 클라우드 네트워킹 방법.
  10. 제1항에서,
    상기 VSI의 정보를 상기 통신 노드로 전송하는 단계
    를 더 포함하는 클라우드 네트워킹 방법.
  11. 사용자 단말을 네트워크를 통해 클라우드 센터에 연결하는 클라우드 네트워킹 장치에서,
    상기 사용자 단말로부터 패킷을 수신하면, 상기 패킷의 정보에 대응하는 VSI가 존재하는지 동적 경로 매핑 테이블을 조회하고, 상기 패킷의 정보에 대응하는 VSI로 상기 패킷을 전달하는 경로 조회부,
    상기 패킷의 정보에 대응하는 VSI가 존재하지 않는 경우, 상기 사용자를 상기 클라우드 네트워킹 제어 장치로 인증 요청하는 인증부,
    인증된 사용자에 대해 상기 클라우드 네트워킹 제어 장치로부터 VSI의 정보를 수신하여 상기 VSI를 설정한 후 상기 네트워크와 연결하는 VSI 설정부, 그리고
    상기 설정한 VSI를 상기 패킷의 정보에 매핑시켜서 상기 동적 경로 매핑 테이블에 저장하는 경로 매핑부
    를 포함하는 클라우드 네트워킹 장치.
  12. 제11항에서,
    상기 VSI 설정부는 상기 설정한 VSI를 상기 네트워크의 다른 통신 노드에 설정된 VSI와 터널로 연결하는 클라우드 네트워킹 장치.
  13. 제11항에서,
    상기 클라우드 네트워킹 장치는 라우터 또는 패킷 전송 스위치인 클라우드 네트워킹 장치.
KR1020120019891A 2012-02-27 2012-02-27 클라우드 네트워킹 장치 및 방법 KR101953790B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120019891A KR101953790B1 (ko) 2012-02-27 2012-02-27 클라우드 네트워킹 장치 및 방법
US13/655,867 US20130227673A1 (en) 2012-02-27 2012-10-19 Apparatus and method for cloud networking

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120019891A KR101953790B1 (ko) 2012-02-27 2012-02-27 클라우드 네트워킹 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130101663A true KR20130101663A (ko) 2013-09-16
KR101953790B1 KR101953790B1 (ko) 2019-03-05

Family

ID=49004798

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120019891A KR101953790B1 (ko) 2012-02-27 2012-02-27 클라우드 네트워킹 장치 및 방법

Country Status (2)

Country Link
US (1) US20130227673A1 (ko)
KR (1) KR101953790B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150079391A (ko) * 2013-12-27 2015-07-08 한국전자통신연구원 네트워크 가상화 방법 및 장치
KR20160111150A (ko) * 2015-03-16 2016-09-26 한국전자통신연구원 분산 클라우드 센터를 통합 관리하기 위한 장치
KR20180062833A (ko) * 2016-12-01 2018-06-11 한국과학기술원 데이터 센터 간 광역 통신망에서 통계적 다중화 및 자원 할당 시스템과 이의 방법
KR102474989B1 (ko) * 2022-03-03 2022-12-07 농업협동조합중앙회 퍼블릭 클라우드 상의 가상 머신에 대한 보안 사용을 지원하는 서버 및 그 제어 방법

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI537850B (zh) * 2013-03-27 2016-06-11 Cloud Control System and Method for Controlled Equipment
CN104954255B (zh) * 2014-03-24 2019-12-24 中兴通讯股份有限公司 一种vpn报文处理方法及装置
US9749242B2 (en) 2014-08-20 2017-08-29 At&T Intellectual Property I, L.P. Network platform as a service layer for open systems interconnection communication model layer 4 through layer 7 services
US9742690B2 (en) 2014-08-20 2017-08-22 At&T Intellectual Property I, L.P. Load adaptation architecture framework for orchestrating and managing services in a cloud computing system
US9800673B2 (en) 2014-08-20 2017-10-24 At&T Intellectual Property I, L.P. Service compiler component and service controller for open systems interconnection layer 4 through layer 7 services in a cloud computing system
US9473567B2 (en) 2014-08-20 2016-10-18 At&T Intellectual Property I, L.P. Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system
US10291689B2 (en) 2014-08-20 2019-05-14 At&T Intellectual Property I, L.P. Service centric virtual network function architecture for development and deployment of open systems interconnection communication model layer 4 through layer 7 services in a cloud computing system
US10567347B2 (en) * 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070230457A1 (en) * 2006-03-29 2007-10-04 Fujitsu Limited Authentication VLAN management apparatus
US20080155676A1 (en) * 2006-12-20 2008-06-26 Sun Microsystems, Inc. Method and system for creating a demilitarized zone using network stack instances
US20110194404A1 (en) * 2010-02-11 2011-08-11 Nokia Siemens Networks Ethernet Solutions Ltd. System and method for fast protection of dual-homed virtual private lan service (vpls) spokes
US8675664B1 (en) * 2011-08-03 2014-03-18 Juniper Networks, Inc. Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609153B1 (en) * 1998-12-24 2003-08-19 Redback Networks Inc. Domain isolation through virtual network machines
US7466710B1 (en) * 2001-08-24 2008-12-16 Cisco Technology, Inc. Managing packet voice networks using a virtual entity approach
US7203192B2 (en) * 2002-06-04 2007-04-10 Fortinet, Inc. Network packet steering
US7468986B2 (en) * 2002-11-15 2008-12-23 At&T Intellectual Property I.L.P. Virtual interworking trunk interface and method of operating a universal virtual private network device
US7760723B1 (en) * 2006-06-01 2010-07-20 World Wide Packets, Inc. Relaying a data stream from a data device to a network tunnel
US7653056B1 (en) * 2006-06-02 2010-01-26 World Wide Packets, Inc. Virtual switching using a provisional identifier to conceal a user identifier
US7738457B2 (en) * 2006-12-20 2010-06-15 Oracle America, Inc. Method and system for virtual routing using containers
US8320388B2 (en) * 2007-02-02 2012-11-27 Groupe Des Ecoles Des Telecommunications (Get) Autonomic network node system
JP5281644B2 (ja) * 2007-09-07 2013-09-04 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ノマディック型端末に、レイヤ2レベル上でホーム・ネットワークにアクセスすることを可能にする方法および装置
US8891358B2 (en) * 2008-10-16 2014-11-18 Hewlett-Packard Development Company, L.P. Method for application broadcast forwarding for routers running redundancy protocols
US8059549B2 (en) * 2009-02-17 2011-11-15 Tellabs Operations, Inc. Method and apparatus for supporting network communications using point-to-point and point-to-multipoint protocols
US20120147893A1 (en) * 2010-12-08 2012-06-14 Nokia Siemens Networks Ethernet Solutions Ltd. E-Tree Interoperability Between MPLS Domain Devices and Ethernet Domain Devices
US9292329B2 (en) * 2011-02-10 2016-03-22 Microsoft Technology Licensing, Llc Virtual switch interceptor
US8665739B2 (en) * 2011-03-16 2014-03-04 Juniper Networks, Inc. Packet loss measurement at service endpoints of a virtual private LAN service
US10044678B2 (en) * 2011-08-31 2018-08-07 At&T Intellectual Property I, L.P. Methods and apparatus to configure virtual private mobile networks with virtual private networks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070230457A1 (en) * 2006-03-29 2007-10-04 Fujitsu Limited Authentication VLAN management apparatus
US20080155676A1 (en) * 2006-12-20 2008-06-26 Sun Microsystems, Inc. Method and system for creating a demilitarized zone using network stack instances
US20110194404A1 (en) * 2010-02-11 2011-08-11 Nokia Siemens Networks Ethernet Solutions Ltd. System and method for fast protection of dual-homed virtual private lan service (vpls) spokes
US8675664B1 (en) * 2011-08-03 2014-03-18 Juniper Networks, Inc. Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150079391A (ko) * 2013-12-27 2015-07-08 한국전자통신연구원 네트워크 가상화 방법 및 장치
KR20160111150A (ko) * 2015-03-16 2016-09-26 한국전자통신연구원 분산 클라우드 센터를 통합 관리하기 위한 장치
KR20180062833A (ko) * 2016-12-01 2018-06-11 한국과학기술원 데이터 센터 간 광역 통신망에서 통계적 다중화 및 자원 할당 시스템과 이의 방법
KR102474989B1 (ko) * 2022-03-03 2022-12-07 농업협동조합중앙회 퍼블릭 클라우드 상의 가상 머신에 대한 보안 사용을 지원하는 서버 및 그 제어 방법
US11886565B2 (en) 2022-03-03 2024-01-30 National Agricultural Cooperative Federation Server that supports security access of terminal device of the user and controlling method thereof

Also Published As

Publication number Publication date
US20130227673A1 (en) 2013-08-29
KR101953790B1 (ko) 2019-03-05

Similar Documents

Publication Publication Date Title
KR101953790B1 (ko) 클라우드 네트워킹 장치 및 방법
EP3509256B1 (en) Determining routing decisions in a software-defined wide area network
US11711242B2 (en) Secure SD-WAN port information distribution
US10904142B2 (en) System, apparatus and method for providing a virtual network edge and overlay with virtual control plane
JP6722820B2 (ja) ブロードバンドリモートアクセスサーバの制御プレーン機能と転送プレーン機能の分離
CN108092893B (zh) 一种专线开通方法及装置
USRE46195E1 (en) Multipath transmission control protocol proxy
US9743334B2 (en) Method and apparatus for enabling data path selection in a virtual home gateway
EP2579544B1 (en) Methods and apparatus for a scalable network with efficient link utilization
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
US20130205025A1 (en) Optimized Virtual Private Network Routing Through Multiple Gateways
EP3151510A2 (en) Mac (l2) level authentication, security and policy control
EP2901630B1 (en) Method operating in a fixed access network and user equipments
CN112583647A (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
US8611358B2 (en) Mobile network traffic management
US20150288651A1 (en) Ip packet processing method and apparatus, and network system
WO2016210202A1 (en) Media relay server
US20150109954A1 (en) Topology discovery based on sctp/x2 snooping
US9294986B2 (en) Topology discovery based on explicit signaling
JP6599553B2 (ja) 電気通信ネットワークと少なくとも1つのユーザ機器との間の少なくとも1つの通信交換のハンドリングを向上させる方法、電気通信ネットワーク、ユーザ機器、システム、プログラム及びコンピュータプログラム製品
WO2014000226A1 (zh) 网络路径控制方法、设备及系统
WO2011147334A1 (zh) 提供虚拟私有网业务的方法、设备和系统
CN103227822A (zh) 一种p2p通信连接建立方法和设备
WO2016101437A1 (zh) 一种业务割接方法、装置及宽带接入服务器
KR20180007898A (ko) 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant