KR20150116092A - 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치 - Google Patents

슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치 Download PDF

Info

Publication number
KR20150116092A
KR20150116092A KR1020140040527A KR20140040527A KR20150116092A KR 20150116092 A KR20150116092 A KR 20150116092A KR 1020140040527 A KR1020140040527 A KR 1020140040527A KR 20140040527 A KR20140040527 A KR 20140040527A KR 20150116092 A KR20150116092 A KR 20150116092A
Authority
KR
South Korea
Prior art keywords
network
traffic data
vlan
user terminal
logical
Prior art date
Application number
KR1020140040527A
Other languages
English (en)
Inventor
정부금
강경순
윤현식
박혜숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140040527A priority Critical patent/KR20150116092A/ko
Publication of KR20150116092A publication Critical patent/KR20150116092A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치가 개시되어 있다. 네트워크 자원 슬라이싱을 기반으로 논리적 네트워크를 구현하는 방법은 L2 네트워크 장치가 사용자 단말의 NIC의 개수 정보 및 포트 기반 L2 VLAN(virtual local area network)이 지원 가능한지 여부에 대한 정보를 판단하는 단계, NIC의 개수가 적어도 2개이고, 포트 기반 L2 VLAN이 지원 가능한 경우, L2 네트워크 장치가 수신한 트래픽 데이터에 포트 기반 L2 VLAN을 적용하여 포트에 따라 서로 다른 L2 VLAN 식별자를 할당하는 단계, NIC 개수가 하나이거나 포트 기반 L2 VLAN이 지원 가능하지 않은 경우, L2 네트워크 장치가 수신한 트래픽 데이터에 MAC 기반 L2 VLAN을 적용하여 MAC 식별자에 따라 서로 다른 L2 VLAN 식별자를 할당하는 단계와 L2 네트워크 장치가 수신한 트래픽 데이터를 할당한 L2 VLAN 식별자를 기반으로 서로 다른 L2 논리적 네트워크로 할당하는 단계를 포함할 수 있다.

Description

슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치{METHOD AND APPARATUS FOR PARTITONING NEWTORK BASED ON SLICING}
본 발명은 네트워크에 관한 것으로써 보다 상세하게는 네트워크를 논리적으로분리하는 방법 및 장치에 관한 것이다.
정보화의 발달로 일반 개인은 물론 각종 산업이 인터넷과 정보 기술에 대한 활용도 및 의존도가 급속히 높아졌다. 인터넷에 대한 의존도가 높아지면서 국가 및 기관에서는 질 높은 서비스를 제공하기 위해 자료 및 정보를 디지털화하여 제공하고 있다. 그러나 자료 및 정보의 전송이 디지털화되면서 해킹, 악성프로그램 유포 등과 같이 다양한 유형의 사이버 공격이 나타나고 있다. 사이버 공격은 정보 유출, 시스템 다운, 사이트 및 망 마비 등으로 개인뿐만 아니라 조직 및 국가적으로도 많은 피해를 주고 있다. 증가하고 있는 사이버 공격을 차단하여 국가 및 산업의 중요 정보를 보호하기 위한 방안으로 망분리 기술이 요구되었으며 2008년부터 국가 기관의 망분리 사업이 진행되어 왔다.
망분리 기술은 물리적 및 논리적으로 분류되며, 국가 및 공공기관에서는 물리적 망분리를 많이 적용하고 있다. 물리적 망분리는 물리적으로 망을 분리하기 때문에 가시성이 확보되어 분리된 상태를 눈으로 직접 확인할 수 있고, 이중화된 망 구성으로 시스템적인 보안의 안전성이 확보되어 완벽한 망분리를 지원한다. 따라서 중요 자료 유출과 같은 사이버 공격이 발생되어도 원천적으로 사용자 PC 레벨에서 공격의 차단이 가능하며, 내부망과 외부망이 단절되어 있으므로 알려지지 않은 변종해킹 기술을 통한 자료 유출의 차단도 가능하다. 그러나 물리적 망분리는 이중망 구성으로 망구축 및 에너지 비용이 높다. 또한, 물리적 망 분리는 업무 처리가 불편하여 생산성이 낮고 비효율적이며 저장매체를 사용한 파일 이동에 대한 보안성을 보장할 수 없다.
논리적 망분리에서 사용하는 가상화는 사용자 인증을 통한 서버 또는 보안 영역을 접속하는 방법으로 문서가 생성, 조회, 다운로드되는 일련의 과정이 중앙 서버나 보안 영역을 벗어날 수 없다. 따라서 논리적 망분리는 정보 유출을 차단하고 사용자의 이벤트에 대한 이력 관리가 가능하며 기업의 보안 정책에 따라 데이터 및 사용자 관리가 가능하다. 가상화를 이용한 논리적 망분리는 물리적 망분리보다 기반환경 구축에 대한 관리 및 운영비용이 저렴하므로 Green IT를 실현할 수 있다.
본 발명의 제1 목적은 슬라이싱 기반의 네트워크 분리 방법을 제공하는 것이다.
본 발명의 제2 목적은 슬라이싱 기반의 네트워크 분리 방법을 수행하는 장치를 제공하는 것이다.
상술한 본 발명의 제1 목적을 달성하기 위한 본 발명의 일 측면에 따른 네트워크 자원 슬라이싱을 기반으로 논리적 네트워크를 구현하는 방법은 L2 네트워크 장치가 사용자 단말의 NIC(network interface card)의 개수 정보 및 포트 기반 L2 VLAN(virtual local area network)이 지원 가능한지 여부에 대한 정보를 판단하는 단계, 상기 NIC의 개수가 적어도 2개이고, 상기 포트 기반 L2 VLAN이 지원 가능한 경우, 상기 L2 네트워크 장치가 수신한 트래픽 데이터에 상기 포트 기반 L2 VLAN을 적용하여 포트에 따라 서로 다른 L2 VLAN 식별자를 할당하는 단계, 상기 NIC 개수가 하나이거나 상기 포트 기반 L2 VLAN이 지원 가능하지 않은 경우, 상기 L2 네트워크 장치가 상기 수신한 트래픽 데이터에 MAC(media access control) 기반 L2 VLAN을 적용하여 MAC 식별자에 따라 서로 다른 L2 VLAN 식별자를 할당하는 단계와 상기 L2 네트워크 장치가 상기 수신한 트래픽 데이터를 상기 할당한 L2 VLAN 식별자를 기반으로 서로 다른 L2 논리적 네트워크로 할당하는 단계를 포함할 수 있다. 네트워크 자원 슬라이싱을 기반으로 논리적 네트워크를 구현하는 방법은 L3 네트워크 장치가 L3 VLAN 및 5 튜플(tuple)을 기반으로 상기 네트워크 자원 슬라이싱을 수행하여 복수의 L3 논리적 네트워크를 설정하는 단계와 상기 L3 네트워크 장치가 상기 트래픽 데이터에 대한 상기 L3 VLAN 및 상기 5 튜플을 기반으로 상기 트래픽 데이터를 상기 복수의 L3 논리적 네트워크 중 적어도 하나의 L3 논리적 네트워크에 할당하는 단계를 포함할 수 있되, 상기 L3 네트워크 장치는 상기 트래픽 데이터를 상기 L2 네트워크 장치로부터 수신할 수 있다. 상기 L2 네트워크 장치는 NACF(Network Access Control Function) 장치로부터 상기 트래픽 데이터를 수신하고, 상기 NACF 장치는 상기 사용자 단말의 IP 요청에 따라 상기 사용자 단말로 사용자 단말의 IP를 할당하고, 상기 사용자 단말의 IP는 상기 사용자 단말이 제1 논리적 네트워크에 액세스 하기 위한 제1 가상 단말로 설정된 경우, 제1 IP이고, 상기 사용자 단말이 제2 논리적 네트워크에 액세스 하기 위한 제2 가상 단말로 설정된 경우, 제2 IP일 수 있다. 상기 NACF 장치는 상기 사용자 단말로부터 수신한 상기 트래픽 데이터에 대한 필터링을 수행하고, 상기 필터링은 상기 트래픽 데이터의 소스 IP가 상기 제1 가상 단말에 대한 상기 제1 IP인 경우, 상기 트래픽 데이터가 상기 제1 논리적 네트워크에 대한 접속 트래픽인 경우에만 통과시키고, 상기 트래픽 데이터의 상기 소스 IP가 상기 제2 가상 단말에 대한 상기 제2 IP인 경우, 상기 트래픽 데이터가 상기 제2 논리적 네트워크에 대한 접속 트래픽인 경우에만 통과시킬 수 있다. 네트워크 자원 슬라이싱을 기반으로 논리적 네트워크를 구현하는 방법은 상기 NACF 장치가 상기 사용자 단말이 상기 제1 논리적 네트워크 또는 상기 제2 논리적 네트워크에 접속할 권한이 있는지 여부에 대한 인증 요청 신호를 인증 서버로 전송하는 단계와 상기 NACF 장치가 상기 인증 서버로부터 상기 인증 요청 신호에 대한 응답을 수신하고, 상기 응답이 인증 성공인 경우, 상기 L2 네트워크 장치로 상기 트래픽 데이터를 전송하는 단계를 더 포함할 수 있다.
상술한 본 발명의 제2 목적을 달성하기 위한 본 발명의 일 측면에 따른 네트워크 자원 슬라이싱을 기반으로 구현된 논리적 네트워크 시스템에 있어서, 상기 논리적 네트워크 시스템은 L2 네트워크 장치를 포함하고,
상기 L2 네트워크 장치는 사용자 단말의 NIC(network interface card)의 개수 정보 및 포트 기반 L2 VLAN(virtual local area network)이 지원 가능한지 여부에 대한 정보를 판단하고, 상기 NIC의 개수가 적어도 2개이고, 상기 포트 기반 L2 VLAN이 지원 가능한 경우, 수신한 트래픽 데이터에 상기 포트 기반 L2 VLAN을 적용하여 포트에 따라 서로 다른 L2 VLAN 식별자를 할당하고, 상기 NIC 개수가 하나이거나 상기 포트 기반 L2 VLAN이 지원 가능하지 않은 경우, 상기 수신한 트래픽 데이터에 MAC(media access control) 기반 L2 VLAN을 적용하여 MAC 식별자에 따라 서로 다른 L2 VLAN 식별자를 할당하고, 상기 수신한 트래픽 데이터를 상기 할당한 L2 VLAN 식별자를 기반으로 서로 다른 L2 논리적 네트워크로 할당하도록 구현될 수 있다. 상기 논리적 네트워크 시스템은 L3 네트워크 장치를 포함하고, 상기 L3 네트워크 장치는 L3 VLAN 및 5 튜플(tuple)을 기반으로 상기 네트워크 자원 슬라이싱을 수행하여 복수의 L3 논리적 네트워크를 설정하고, 상기 트래픽 데이터에 대한 상기 L3 VLAN 및 상기 5 튜플을 기반으로 상기 트래픽 데이터를 상기 복수의 L3 논리적 네트워크 중 적어도 하나의 L3 논리적 네트워크에 할당하도록 구현될 수 있되, 상기 L3 네트워크 장치는 상기 트래픽 데이터를 상기 L2 네트워크 장치로부터 수신할 수 있다. 상기 L2 네트워크 장치는 NACF(Network Access Control Function) 장치로부터 상기 트래픽 데이터를 수신하고, 상기 NACF 장치는 상기 사용자 단말의 IP 요청에 따라 상기 사용자 단말로 사용자 단말의 IP를 할당하고, 상기 사용자 단말의 IP는 상기 사용자 단말이 제1 논리적 네트워크에 액세스 하기 위한 제1 가상 단말로 설정된 경우, 제1 IP이고, 상기 사용자 단말이 제2 논리적 네트워크에 액세스 하기 위한 제2 가상 단말로 설정된 경우, 제2 IP일 수 있다. 상기 NACF 장치는 상기 사용자 단말로부터 수신한 상기 트래픽 데이터에 대한 필터링을 수행하고, 상기 필터링은 상기 트래픽 데이터의 소스 IP가 상기 제1 가상 단말에 대한 상기 제1 IP인 경우, 상기 트래픽 데이터가 상기 제1 논리적 네트워크에 대한 접속 트래픽인 경우에만 통과시키고, 상기 트래픽 데이터의 상기 소스 IP가 상기 제2 가상 단말에 대한 상기 제2 IP인 경우, 상기 트래픽 데이터가 상기 제2 논리적 네트워크에 대한 접속 트래픽인 경우에만 통과시킬 수 있다. 상기 NACF 장치는 상기 사용자 단말이 상기 제1 논리적 네트워크 또는 상기 제2 논리적 네트워크에 접속할 권한이 있는지 여부에 대한 인증 요청 신호를 인증 서버로 전송하고, 상기 인증 서버로부터 상기 인증 요청 신호에 대한 응답을 수신하고, 상기 응답이 인증 성공인 경우, 상기 L2 네트워크 장치로 상기 트래픽 데이터를 전송하도록 구현될 수 있다.
상술한 바와 같이 본 발명의 실시예에 따른 슬라이싱 기반의 네트워크 분리 방법 및 장치에서는 최근에 급증하고 있는 인터넷 해킹으로부터 사내망(공공망,정부망 등 지정 기관망)을 안전하게 보호하기 위하여 가상의 단말과 가상 네트워크를 사용하는 논리적 네트워크 분리 방법을 수행할 수 있다. 따라서, 사용자의 단말과 기관의 네트워크 장비를 중복으로 설치해야 하는 부담에서 벗어날 수 있어 경제적이며, 에너지 효율을 높일 수 있어서 그린 IT를 실현할 수 있다.
도 1은 본 발명의 실시예에 따른 리소스 슬라이싱에 기반한 논리적 네트워크 분리 방법을 나타낸 개념도이다.
도 2는 본 발명의 실시예에 따른 논리적 네트워크 분리 시스템의 동작 절차에 대한 개념도이다.
도 3은 본 발명의 실시예에 따른 NACF 기능을 나타낸 개념도이다.
도 4는 본 발명의 실시예에 따른 L2 네트워크 장치의 슬리이싱 방법을 나타낸 개념도이다.
도 5는 본 발명의 실시예에 따른 L2 네트워크 장치의 슬라이싱 기능을 나타낸 순서도이다.
도 6은 본 발명의 실시예에 따른 L3 네트워크 장치의 슬라이싱 기능을 나타낸 개념도이다.
도 7은 본 발명의 실시예에 따른 NACF를 나타낸 개념도이다.
도 8은 본 발명의 실시예에 따른 L2 네트워크 장치를 나타낸 개념도이다.
도 9는 본 발명의 실시예에 따른 L3 네트워크 장치를 나타낸 개념도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다거나 "직접 접속되어"있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 이하, 도면상의 동일한 구성 요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성 요소에 대해서 중복된 설명은 생략한다.
본 발명의 실시예에 따른 슬라이싱 기반의 네트워크 분리 방법 및 장치에서는 기존의 물리적 네트워크 분리 방식이 가진 문제점을 해결하기 위한 네트워크 분리 방법에 대해 개시한다. 본 발명의 실시예에 따른 슬라이싱 기반의 네트워크 분리 방법 및 장치를 사용하는 경우, 인터넷과 업무망을 위해 각각 별도로 시스템 및 네트워크 자원을 이중으로 구축하지 않고 하나의 시스템 내에서 인터넷 트래픽과 업무용 트래픽을 구분하여 네트워크 대역의 자원을 슬라이싱하여 각각의 트래픽에 할당하여 제어할 수 있다.
이러한 논리적 네트워크 분리 방법을 사용함으로써 기존의 물리적 네트워크 분리 방법의 문제점인 사용자가 복수의 사용자 단말 각각을 네트워크마다 연결하여 사용함으로 인해 겪는 불편함 및 중복으로 네트워크 장비를 구축함에 따른 자원의 낭비 및 에너지의 소모를 해결할 수 있다.
도 1은 본 발명의 실시예에 따른 리소스 슬라이싱에 기반한 논리적 네트워크 분리 방법을 나타낸 개념도이다.
도 1을 참조하면, 논리적 네트워크 분리 시스템은 네트워크 리소스 슬라이싱에 기반하여 하나의 물리적 네트워크를 복수개의 논리적 네트워크로 분리할 수 있다. 또한, 사용자 장치(100)는 각각의 논리적 네트워크를 통해 데이터를 송신 및 수신하기 위해 개별 논리적 네트워크에 대한 가상 사용자 단말로 동작할 수 있다.
논리적 네트워크 분리 시스템은 NACF(Network Access Control Function) 장치(110), 인증 서버(120), L2 네트워크 장치(130) 및 L3 네트워크 장치(140)를 포함할 수 있다.
NACF 장치(110)는 사용자 단말(100)의 망 접근을 제어할 수 있고, 인증 서버(120)는 사용자 단말(100)이 네트워크에 접속시 사용자 단말(100)에 대한 인증을 수행할 수 있다. L2 네트워크 장치(130) 및 L3 네트워크 장치(140)는 네트워크 대역을 슬라이싱하여 사용자 단말(100)이 사용할 네트워크 자원을 할당할 수 있다.
좀 더 구체적으로 NACF 장치(110)는 사용자 단말(100)로부터 발생한 트래픽의 종류에 따른 제어를 수행할 수 있다. 예를 들어, 사용자 단말(100)이 IP 할당을 요청시 NACF 장치(110)는 사용자 단말(100)이 접속하고자 하는 논리적 네트워크에 따른 IP를 사용자 단말(100)로 할당할 수 있다. 또한, 사용자 단말(100)이 L2 네트워크 장치(130) 및 L3 네트워크 장치(140)를 통해 네트워킹을 수행하기 전 인증 서버(120)로 인증 요청 신호를 전송할 수 있다.
인증 서버(120)에서는 NACF 장치(110)를 통과한 트래픽 데이터가 정당한 사용자 단말(100)로부터 발생한 것인지를 확인하기 위해 구현될 수 있다. 예를 들어, 사용자 장치(100)가 업무용 IP를 기반으로 접속 요청을 하는 경우, NCAF 장치(110)로부터 인증 요청 신호를 수신하고, 사용자 단말(100)이 인증된 사용자 단말인지 여부에 대한 결과를 생성하여 NACF 장치(110)로 전송할 수 있다.
L2 네트워크 장치(130)는 Layer 2 단위의 구분자인 L2 VLAN(Virtual LAN)을 기반으로 네트워크 자원에 대한 슬라이싱을 수행할 수 있다. L2 네트워크 장치(130)는 슬라이싱된 네트워크 자원을 기반으로 사용자 단말(100)로부터 전송된 데이터를 분류하여 전송할 수 있다.
L3 네트워크 장치(140)는 Layer 3 단위의 구분자인 L3 VLAN과 IP, 프로토콜, 포트를 사용한 5 튜플(tuple)(소스 IP, 목적지 IP, 프로토콜, 소스 포트, 목적지 포트)을 기반으로 네트워크 자원에 대한 슬라이싱을 수행할 수 있다.
이러한 네트워크 자원에 대한 슬라이싱을 기반으로 하나의 물리적 네트워크에서 복수개의 논리적 네트워크를 구현할 수 있다. 각각의 논리적 네트워크는 사용자 단말(100)로부터 전송된 트래픽 데이터의 종류에 따라 서로 독립적으로 운용될 수 있다.
도 1에서는 하나의 물리적 네트워크가 2개의 논리적 네트워크(업무용 논리적 네트워크, 인터넷용 논리적 네트워크)를 형성하는 것을 예시적으로 개시한다. 하지만, 각 논리적 네트워크 내에서 구분자(예를 들어, VLAN, 5 tuple)에 따라 2개 이상의 논리적 네트워크가 구현될 수 있다.
사용자 단말(100)은 접속하고자 하는 네트워크에 따라 인터넷용 가상 단말, 업무용 가상 단말로 설정될 수 있고, 설정에 따라 업무용 논리적 네트워크, 인터넷용 논리적 네트워크를 통해 데이터를 송신 및 수신할 수 있다.
이하, 본 발명의 실시예에서는 논리적 네트워크의 네트워크 자원 슬라이싱에 대해 구체적으로 개시한다.
도 2는 본 발명의 실시예에 따른 논리적 네트워크 분리 시스템과 사용자 단말 사이의 동작 절차를 나타낸 개념도이다.
도 2에서는 논리적 네트워크 분리 시스템에 포함된 NACF(Network Access Control Function) 장치, 인증 서버, L2 네트워크 장치 및 L3 네트워크 장치의 동작에 대해 개시한다. 도 2에서는 하나의 물리적 네트워크가 두 개의 논리적 네트워크(업무용 논리적 네트워크, 인터넷용 논리적 네트워크)로 설정된 것을 가정하여 설명한다.
도 2를 참조하면, 우선 사용자 단말은 액세스하고자 하는 논리적 네트워크에 따라 가상 단말로 설정될 수 있다. 사용자는 네트워크에 따라 개별 사용자 단말을 사용하지 않고 하나의 단말을 사용할 수 있다. 예를 들어, 인터넷 접속을 위하여 사용자 단말은 인터넷 가상 단말로 설정되고, 업무용 네트워크에 접속하기 위하여 사용자 단말은 업무용 가상 단말로 설정될 수 있다.
사용자 단말이 인터넷 가상 단말로 설정된 경우, 사용자 단말은 NACF 장치로 IP(internet protocol) 할당을 요청하고(단계 S200), NACF 장치로부터 인터넷용 IP를 할당받을 수 있다(단계 S205). 마찬가지로, 사용자 단말이 업무용 가상 단말로 설정된 경우, NACF 장치로 IP 할당 요청을 하고(단계 S210), NACF 장치로부터 업무용 IP를 할당받을 수 있다(단계 S215).
사용자 단말이 목적지 단말로 트래픽 데이터를 전송할 경우, NACF 장치는 트래픽 데이터에 포함된 소스 IP 주소 및 목적지 IP 주소를 기반으로 필터링을 수행할 수 있다. 필터링을 통해 업무용 트래픽 데이터가 업무용 가상 단말로부터 전송된 경우, 인터넷 트래픽 데이터가 인터넷 가상 단말로부터 전송된 경우에만 트래픽 데이터의 전송을 허용할 수 있다.
이하, 본 발명의 실시예에서는 사용자 단말이 업무용 가상 단말로 설정된 경우에 대해 가정하여 설명한다.
사용자 단말은 NACF 장치로 업무용 논리적 네트워크에 대한 접속을 요청할 수 있다(단계 S220).
NCAF 장치는 업무용 논리적 네트워크에 대한 접속 요청 신호를 수신하고, 접속 요청 신호가 업무용 가상 단말로부터 수신된 것인지 여부에 대해 판단할 수 있다(단계 S225). 예를 들어, NCAF 장치는 접속 요청 신호에 포함된 사용자 단말의 IP 및 접속하고자 하는 목적지 IP 정보를 기반으로 사용자 단말이 업무용 가상 단말인지 여부에 대한 정보 및 사용자 장치가 업무용 논리적 네트워크로 접속하고자 하는지 여부에 대한 정보를 판단할 수 있다.
만약, 사용자 단말의 IP가 업무용 IP가 아닌 경우, 사용자 단말의 업무용 논리적 네트워크 접속에 대한 요청이 차단될 수 있다(단계 S230). 반대로, 사용자 단말의 IP가 업무용 IP인 경우, 사용자 단말의 업무용 논리적 네트워크 접속에 대한 요청이 허용될 수 있다.
NACF 장치에서 사용자 단말의 업무용 논리적 네트워크 접속에 대한 요청이 허용된 경우, NACF 장치는 사용자 인증 서버를 통해 사용자 단말에 대한 인증을 수행할 수 있다. 사용자 인증 서버는 접속 요청을 하는 사용자 단말이 업무용 논리적 네트워크에 대한 접속 권한이 있는 사용자인지 여부를 판단할 수 있다(단계 S235 및 단계 S240). 예를 들어, 사용자 인증 서버는 사용자 단말 중 업무용 논리적 네트워크에 접속할 권한이 있는 사용자 단말에 대한 정보를 포함할 수 있다. 사용자 인증 서버는 사용자 단말의 식별자 정보를 기반으로 사용자 단말이 업무용 논리적 네트워크에 접속할 권한이 있는지 여부에 대해 판단할 수 있다.
사용자 인증 서버는 인증 결과를 NACF 장치로 다시 전송할 수 있다(단계 S240).
NACF 장치는 수신한 인증 결과를 기반으로 사용자 단말이 업무용 논리적 네트워크에 대한 접속 권한이 있는 사용자 단말인지 여부에 대해 판단할 수 있다(단계 S250). 만약, 사용자 단말이 업무용 논리적 네트워크에 대한 접속 권한이 존재하지 않는 단말인 경우, 사용자 단말의 접속 요청이 차단될 수 있다(단계 S255). 반대로, 사용자 단말이 업무용 논리적 네트워크에 대한 접속 권한이 존재하는 단말인 경우, L2 네트워크 장치로 트래픽 데이터가 전송될 수 있다.
L2 네트워크 장치는 L2 VLAN 단위로 네트워크 대역을 슬라이싱하여 네트워크를 논리적으로 분리할 수 있다(단계 S260). L2 네트워크 장치는 MAC 또는 포트를 기반으로 VLAN 식별자를 할당하여 네트워크에 대한 논리적 분리를 수행할 수 있다.
L3 네트워크 장치는 L2 네트워크 장치로부터 트래픽 데이터를 수신할 수 있다. L3 네트워크 장치는 IP 기반의 트래픽 데이터의 처리가 가능하므로 L3 VLAN과 5 튜플(소스 IP, 목적지 IP, 프로토콜, 소스 포트 번호, 목적지 포트 번호)를 기반으로 트래픽을 분류하여 네트워크 자원에 대한 슬라이싱을 수행하여 네트워크에 대한 논리적 분리를 수행할 수 있다(단계 S265).
도 3은 본 발명의 실시예에 따른 NACF 장치의 필터링 기능을 나타낸 개념도이다.
도 3에서는 NACF 장치가 필터링을 수행하여 사용자 단말의 네트워크 접속 요청을 승인할지 차단할지 여부를 결정하는 방법을 나타낸 개념도이다.
도 3을 참조하면, 전술한 바와 같이 사용자 단말은 접속하고자 하는 논리적 네트워크에 따라 IP를 할당받을 수 있다. 사용자 단말은 소스 IP(300) 및 목적지 IP(350)를 포함하는 트래픽 데이터를 NACF 장치로 전송할 수 있다. 소스 IP(300)는 사용자 단말이 할당받은 IP 주소이고, 목적지 IP(350)는 사용자 단말이 접속하고자 하는 논리적 네트워크에 위치한 목적지 단말에 대한 IP일 수 있다.
NACF 장치는 소스 IP(300)와 목적지 IP(350)가 동일한 논리적 네트워크에 대한 IP 주소인지 여부에 대해 판단하여 트래픽 데이터를 전송할 수 있다.
예를 들어, NACF 장치는 수신한 트래픽 데이터의 소스 IP(300)가 업무용 가상 단말에 대한 IP인 경우, 목적지 IP(350)가 업무용 논리적 네트워크에 위치한 단말의 IP 주소인 경우에만 트래픽 데이터를 통과시킬 수 있다. 만약, 목적지 IP 주소가 인터넷용 논리적 네트워크에 위치한 단말의 IP 주소인 경우, NACF 장치는 업무용 사용자 단말로부터 전송된 트래픽 데이터를 드롭할 수 있다. 즉, 업무용 가상 단말에서 발생한 인터넷 접속 트래픽은 차단될 수 있다.
반대로 NACF 장치는 수신한 트래픽 데이터의 소스 IP(300)가 인터넷용 가상 단말에 대한 IP인 경우, 목적지 IP(350)가 인터넷용 논리적 네트워크에 위치한 단말의 IP 주소인 경우에만 트래픽 데이터를 통과시킬 수 있다. 만약, 목적지 IP 주소(350)가 업무용 논리적 네트워크에 위치한 단말의 IP 주소인 경우, NACF 장치는 인터넷용 사용자 단말로부터 전송된 트래픽 데이터는 드롭할 수 있다. 즉, 인터넷용 가상 단말에서 발생한 업무용 네트워크에 대한 접속 트래픽은 차단될 수 있다.
도 4는 본 발명의 실시예에 따른 L2 네트워크 장치의 네트워크 자원 슬라이싱 방법을 나타낸 개념도이다.
도 4에서는 MAC 기반 또는 포트 기반으로 네트워크에 대한 논리적 분리를 수행하는 방법에 대해 구체적으로 개시한다.
도 4의 상단은 포트를 기반으로 VLAN 식별자를 할당하여 네트워크에 대한 분리를 수행하는 것을 개시한다. 사용자 단말의 랜(LAN) 카드가 복수개인 경우, 각각의 랜 카드를 L2 네트워크 장치의 서로 다른 포트에 할당하여 사용할 수 있다. 트래픽 데이터가 업무용 가상 단말로부터 수신되었는지 아니면 인터넷용 가상 단말로부터 수신되었는지 여부에 따라 L2 네트워크 장치는 서로 다른 포트로 트래픽 데이터를 구분하여 처리할 수 있다. 예를 들어, 사용자 단말이 업무용 가상 단말로 설정된 경우 제1 랜 카드를 기반으로 트래픽 데이터를 전송하고, 사용자 단말이 인터넷용 가상 단말로 설정된 경우 제2 랜 카드를 기반으로 트래픽 데이터를 전송할 수 있다.
L2 네트워크 장치에서는 사용자 단말의 제1 랜 카드로부터 전송되는 트래픽 데이터는 제1 포트로 할당되고, 사용자 단말의 제2 랜 카드로부터 전송되는 트래픽 데이터는 제2 포트로 할당될 수 있다. 이러한 경우, 각각의 포트 별로 서로 다른 VLAN 식별자를 할당할 수 있다. 예를 들어, 제1 포트는 VLAN 식별자로 VLAN 10을 할당하고, 제2 포트는 VLAN 식별자로 VLAN 20을 할당하여 네트워크에 대한 분리를 수행할 수 있다. 할당받은 VLAN 식별자가 VLAN 10인 경우, 업무용 논리적 네트워크, 할당받은 VLAN 식별자가 VLAN 20인 경우, 인터넷용 논리적 네트워크를 사용하여 네트워킹을 수행할 수 있다.
도 4의 하단은 MAC을 기반으로 VLAN 식별자를 할당하여 네트워크에 대한 분리를 수행하는 것을 개시한다. L2 네트워크 장치에 LAN 카드가 하나인 경우, 하나의 포트에서 사용자 단말의 MAC 식별자를 기반으로 MAC 기반 VLAN 식별자를 할당할 수 있다. 예를 들어, 업무용 가상 단말의 MAC 계층 식별자가 '1111'이고, 인터넷용 가상 단말의 MAC 계층 식별자가 '2222'인 경우를 가정할 수 있다.
이러한 경우, 만약, 수신한 트래픽 데이터의 소스 MAC 식별자가 '1111'인 경우, L2 네트워크 장치는 VLAN 식별자로 VLAN 10을 할당할 수 있다. 또한, 수신한 트래픽 데이터의 소스 MAC 식별자가 '2222'인 경우, L2 네트워크 장치는 VLAN 식별자로 VLAN 20을 할당할 수 있다. 즉, L2 네트워크 장치는 MAC 식별자를 기반으로 네트워크에 대한 분리를 수행할 수 있다. 할당받은 VLAN 10인 경우, 업무용 논리적 네트워크, 할당받은 VLAN 20인 경우, 인터넷용 논리적 네트워크를 사용하여 네트워킹을 수행할 수 있다.
도 5는 본 발명의 실시예에 따른 L2 네트워크 장치의 네트워크 자원 슬라이싱 기능을 나타낸 순서도이다.
도 5에서는 사용자 단말이 논리적 네트워크 중 하나의 네트워크에 대한 접속 요청을 하였을 경우, L2 네트워크 장치의 네트워크 자원 슬라이싱 동작에 대해 개시한다.
도 5에서는 논리적 네트워크로 업무용 논리적 네트워크, 인터넷용 논리적 네트워크가 존재하는 경우를 가정하여 설명한다.
도 5를 참조하면, 사용자 단말로부터 네트워크 접속 요청을 수신한다(단계 S500).
L2 네트워크 장치는 사용자 단말로부터 네트워크 접속 요청 신호를 수신할 수 있다. 사용자 단말의 네트워크 접속 요청 신호에는 사용자 단말이 할당받은 IP, 목적지 IP 등을 포함할 수 있다.
단말의 NIC(network interface card)가 2개인지 여부에 대해 판단한다(단계 S510).
단말의 NIC는 케이블과 연결되는 유선 단말기 또는 무선의 데이터를 직접 송신 및 수신하는 장치로 랜 카드와 같은 장치일 수 있다. 본 발명의 실시예에 따르면, 단말의 NIC가 2개이고 L2 네트워크 장치에서 포트 기반의 VLAN이 적용 가능한 경우, L2 네트워크 장치에서 포트 기반의 VLAN을 사용하여 네트워크의 자원을 슬라이싱할 수 있다.
단말의 NIC가 2개인 경우, L2 네트워크 장치에서 포트 기반 VLAN이 적용가능한지 여부에 대해 판단한다(단계 S520).
L2 네트워크에서 포트 기반 VALN이 적용 가능한지 여부를 판단할 수 있다. 전술한 바와 같이 포트 기반 VALN은 사용자 단말의 제1 NIC가 제1 포트로 할당되고, 사용자 단말의 제2 NIC가 제2 포트로 할당될 수 있다.
L2 네트워크에서 포트 기반 VALN이 적용 가능한 경우, 포트 기반 VLAN을 적용한다(단계 S530).
사용자 단말의 제1 NIC가 제1 포트로 할당되고, 사용자 단말의 제2 NIC가 제2 포트로 할당할 수 있다. 예를 들어, 제1 포트로 입력되는 트래픽 데이터는 업무용 논리적 네트워크로 할당하고, 제2 포트로 입력되는 트래픽 데이터는 인터넷용 논리적 네트워크로 할당할 수 있다.
단말의 NIC가 2개가 아닌 경우 또는 포트 기반 VLAN이 적용 가능하지 않은 경우, MAC 기반 VLAN을 적용하여 네트워크의 자원을 슬라이싱한다(단계 S540).
MAC 기반 VLAN을 적용하여 네트워크의 자원을 슬라이싱하는 경우, 전술한 바와 같이 사용자 단말의 MAC 식별자를 기반으로 VLAN 식별자를 서로 다르게 할당하여 네트워크를 슬라이싱할 수 있다. 예를 들어, 사용자 단말의 MAC 식별자를 기준으로 제1 MAC 식별자인 경우 업무용 논리적 네트워크로 할당하고, 사용자 단말의 MAC 식별자를 기준으로 제2 MAC 식별자인 경우 인터넷용 논리적 네트워크로 할당할 수 있다.
도 6은 본 발명의 실시예에 따른 L3 네트워크 장치의 네트워크 자원 슬라이싱 기능을 나타낸 개념도이다.
도 6에서는 L3 네트워크 장치는 L3 VLAN과 IP 5 튜플(소스 IP, 목적지 IP, 프로토콜, 소스 포트 번호, 목적지 포트 번호)을 기반으로 수신한 트래픽 데이터에 대한 네트워크 자원을 할당할 수 있다.
도 6을 참조하면, L3 네트워크 장치는 L3 VLAN과 IP 5 튜플에 따라 복수개의 논리적 네트워크로 네트워크 자원을 슬라이싱 할 수 있다. 즉, L3 네트워크 장치는 IP 레이어(Layer) 3 정보를 기반으로 트래픽을 처리하으로 L3 VLAN과 IP 5 tuple 기반으로 트래픽을 분류 및 제어할 수 있다. L3 네트워크 장치에서는 트래픽의 종류에 따라 필요한 대역을 할당하여 전체 네트워크 대역을 슬라이싱하여 사용할 수 있다. 따라서, L3 네트워크 장치는 하나의 물리적 네트워크를 복수개의 논리적 네트워크로 구분하여 사용할 수 있다.
이러한 네트워크 자원 슬라이싱 방법을 사용하는 경우, 사용자들은 네트워크에 따라 복수개의 사용자 단말을 사용하지 않아도 되고, 필요한 네트워크를 물리적으로 따로 구축하지 않을 수 있다. 즉, 사용자는 하나의 사용자 단말 및 하나의 물리적인 네트워크를 기반으로 독립적인 논리적 네트워크를 형성하여 사용할 수 있다. 이러한 논리적 네트워크 분리 방법을 사용함으로써 최근에 급증하고 있는 인터넷 해킹으로부터 사내망(공공망,정부망 등 지정 기관망)을 안전하게 보호할 수 있다. 또한, 사용자 단말과 기관의 네트워크 장비를 중복으로 설치해야 하는 부담에서 벗어날 수 있어 경제적이며, 에너지 효율을 높일 수 있어서 그린 IT를 실현할 수 있는 이점이 있다.
도 7은 본 발명의 실시예에 따른 NACF 장치를 나타낸 개념도이다.
도 7을 참조하면, NACF 장치는 IP 할당부(710), 접속 요청 승인부(720), 프로세서(730)를 포함할 수 있다.
IP 할당부(710)는 사용자 단말이 IP 할당을 요청하는 경우, 사용자 단말로 IP를 할당할 수 있다. 예를 들어, 사용자 단말이 인터넷용 가상 단말로 설정된 경우, 인터넷용 IP를 할당할 수 있고, 사용자 단말이 업무용 가상 단말로 설정된 경우, 업무용 IP를 할당할 수 있다.
접속 요청 승인부(720)는 필터링을 수행하여 사용자 단말의 네트워크 접속 허용 여부에 대해 결정할 수 있다. 예를 들어, 접속 요청 승인부(720)는 업무용 가상 단말에서 발생한 인터넷 접속 트래픽은 차단하고, 업무용 가상 단말에서 발생한 업무용 접속 트래픽은 승인할 수 있다. 또한, 접속 요청 승인부(720)는 인터넷용 가상 단말에서 발생한 인터넷 접속 트래픽은 승인하고, 인터넷용 가상 단말에서 발생한 업무용 접속 트래픽은 차단할 수 있다.
프로세서(730)는 IP 할당부(710)와 접속 요청 승인부(720)의 동작을 제어할 수 있다.
도 8은 본 발명의 실시예에 따른 L2 네트워크 장치를 나타낸 개념도이다.
도 8을 참조하면, L2 네트워크 장치는 포트 결정부(810), MAC 식별자 판단부(820), VLAN 식별자 할당부(830), 프로세서(850)를 포함할 수 있다.
포트 결정부(810)는 단말의 LAN 카드가 복수개이고, L2 네트워크 장치에서 포트 기반으로 VLAN 식별자를 할당하는 경우, 각각의 LAN 카드에 할당될 포트를 결정하기 위해 구현될 수 있다.
MAC 식별자 판단부(820)는 단말의 LAN 카드가 하나이거나 L2 네트워크 장치에서 포트 기반으로 VLAN 식별자를 할당하지 않는 경우, MAC 식별자를 판단하여 VLAN 식별자를 할당하기 위해 구현될 수 있다.
VLAN 식별자 할당부(830)는 포트 결정부(810)에서 결정된 포트에 따라 VLAN 식별자를 할당할 수 있다. 또는 VLAN 식별자 할당부(830)는 MAC 식별자 판단부(820)에서 판단된 MAC 식별자에 따라 VLAN 식별자를 할당할 수 있다.
프로세서(850)는 포트 결정부(810), MAC 식별자 판단부(820), VLAN 식별자 할당부(830)의 동작을 제어하기 위해 구현될 수 있다.
도 9는 본 발명의 실시예에 따른 L3 네트워크 장치를 나타낸 개념도이다.
도 9를 참조하면, L3 네트워크 장치는 트래픽 분류부(910), 네트워크 자원 할당부(920) 및 프로세서(950)를 포함할 수 있다.
트래픽 분류부(910)는 L3 VLAN과 IP 5 튜플에 따라 수신한 트래픽 데이터를 분류하고, 분류된 트래픽에 대하여 복수개의 논리적 네트워크로 네트워크 자원을 슬라이싱할 수 있다.
네트워크 자원 할당부(920)는 수신된 트래픽 데이터의 VLAN과 IP 5 튜플에 따라 슬라이싱된 자원을 할당할 수 있다.
프로세서는 트래픽 분류부(910), 네트워크 자원 할당부(920)의 동작을 제어하기 위해 구현될 수 있다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (10)

  1. 네트워크 자원 슬라이싱을 기반으로 논리적 네트워크를 구현하는 방법에 있어서,
    L2 네트워크 장치가 사용자 단말의 NIC(network interface card)의 개수 정보 및 포트 기반 L2 VLAN(virtual local area network)이 지원 가능한지 여부에 대한 정보를 판단하는 단계;
    상기 NIC의 개수가 적어도 2개이고, 상기 포트 기반 L2 VLAN이 지원 가능한 경우, 상기 L2 네트워크 장치가 수신한 트래픽 데이터에 상기 포트 기반 L2 VLAN을 적용하여 포트에 따라 서로 다른 L2 VLAN 식별자를 할당하는 단계;
    상기 NIC 개수가 하나이거나 상기 포트 기반 L2 VLAN이 지원 가능하지 않은 경우, 상기 L2 네트워크 장치가 상기 수신한 트래픽 데이터에 MAC(media access control) 기반 L2 VLAN을 적용하여 MAC 식별자에 따라 서로 다른 L2 VLAN 식별자를 할당하는 단계; 및
    상기 L2 네트워크 장치가 상기 수신한 트래픽 데이터를 상기 할당한 L2 VLAN 식별자를 기반으로 서로 다른 L2 논리적 네트워크로 할당하는 단계를 포함하는 논리적 네트워크 구현 방법.
  2. 제1항에 있어서,
    L3 네트워크 장치가 L3 VLAN 및 5 튜플(tuple)을 기반으로 상기 네트워크 자원 슬라이싱을 수행하여 복수의 L3 논리적 네트워크를 설정하는 단계; 및
    상기 L3 네트워크 장치가 상기 트래픽 데이터에 대한 상기 L3 VLAN 및 상기 5 튜플을 기반으로 상기 트래픽 데이터를 상기 복수의 L3 논리적 네트워크 중 적어도 하나의 L3 논리적 네트워크에 할당하는 단계를 포함하되,
    상기 L3 네트워크 장치는 상기 트래픽 데이터를 상기 L2 네트워크 장치로부터 수신하는 논리적 네트워크 구현 방법.
  3. 제1항에 있어서,
    상기 L2 네트워크 장치는 NACF(Network Access Control Function) 장치로부터 상기 트래픽 데이터를 수신하고,
    상기 NACF 장치는 상기 사용자 단말의 IP 요청에 따라 상기 사용자 단말로 사용자 단말의 IP를 할당하고,
    상기 사용자 단말의 IP는 상기 사용자 단말이 제1 논리적 네트워크에 액세스 하기 위한 제1 가상 단말로 설정된 경우, 제1 IP이고, 상기 사용자 단말이 제2 논리적 네트워크에 액세스 하기 위한 제2 가상 단말로 설정된 경우, 제2 IP인 논리적 네트워크 구현 방법.
  4. 제3항에 있어서,
    상기 NACF 장치는 상기 사용자 단말로부터 수신한 상기 트래픽 데이터에 대한 필터링을 수행하고,
    상기 필터링은 상기 트래픽 데이터의 소스 IP가 상기 제1 가상 단말에 대한 상기 제1 IP인 경우, 상기 트래픽 데이터가 상기 제1 논리적 네트워크에 대한 접속 트래픽인 경우에만 통과시키고,
    상기 트래픽 데이터의 상기 소스 IP가 상기 제2 가상 단말에 대한 상기 제2 IP인 경우, 상기 트래픽 데이터가 상기 제2 논리적 네트워크에 대한 접속 트래픽인 경우에만 통과시키는 논리적 네트워크 구현 방법.
  5. 제4항에 있어서,
    상기 NACF 장치가 상기 사용자 단말이 상기 제1 논리적 네트워크 또는 상기 제2 논리적 네트워크에 접속할 권한이 있는지 여부에 대한 인증 요청 신호를 인증 서버로 전송하는 단계; 및
    상기 NACF 장치가 상기 인증 서버로부터 상기 인증 요청 신호에 대한 응답을 수신하고, 상기 응답이 인증 성공인 경우, 상기 L2 네트워크 장치로 상기 트래픽 데이터를 전송하는 단계를 더 포함하는 논리적 네트워크 구현 방법.
  6. 네트워크 자원 슬라이싱을 기반으로 구현된 논리적 네트워크 시스템에 있어서, 상기 논리적 네트워크 시스템은 L2 네트워크 장치를 포함하고,
    상기 L2 네트워크 장치는 사용자 단말의 NIC(network interface card)의 개수 정보 및 포트 기반 L2 VLAN(virtual local area network)이 지원 가능한지 여부에 대한 정보를 판단하고,
    상기 NIC의 개수가 적어도 2개이고, 상기 포트 기반 L2 VLAN이 지원 가능한 경우, 수신한 트래픽 데이터에 상기 포트 기반 L2 VLAN을 적용하여 포트에 따라 서로 다른 L2 VLAN 식별자를 할당하고,
    상기 NIC 개수가 하나이거나 상기 포트 기반 L2 VLAN이 지원 가능하지 않은 경우, 상기 수신한 트래픽 데이터에 MAC(media access control) 기반 L2 VLAN을 적용하여 MAC 식별자에 따라 서로 다른 L2 VLAN 식별자를 할당하고,
    상기 수신한 트래픽 데이터를 상기 할당한 L2 VLAN 식별자를 기반으로 서로 다른 L2 논리적 네트워크로 할당하도록 구현되는 논리적 네트워크 시스템.
  7. 제6항에 있어서, 상기 논리적 네트워크 시스템은 L3 네트워크 장치를 포함하고,
    상기 L3 네트워크 장치는 L3 VLAN 및 5 튜플(tuple)을 기반으로 상기 네트워크 자원 슬라이싱을 수행하여 복수의 L3 논리적 네트워크를 설정하고,
    상기 트래픽 데이터에 대한 상기 L3 VLAN 및 상기 5 튜플을 기반으로 상기 트래픽 데이터를 상기 복수의 L3 논리적 네트워크 중 적어도 하나의 L3 논리적 네트워크에 할당하도록 구현되되,
    상기 L3 네트워크 장치는 상기 트래픽 데이터를 상기 L2 네트워크 장치로부터 수신하는 논리적 네트워크 시스템.
  8. 제6항에 있어서,
    상기 L2 네트워크 장치는 NACF(Network Access Control Function) 장치로부터 상기 트래픽 데이터를 수신하고,
    상기 NACF 장치는 상기 사용자 단말의 IP 요청에 따라 상기 사용자 단말로 사용자 단말의 IP를 할당하고,
    상기 사용자 단말의 IP는 상기 사용자 단말이 제1 논리적 네트워크에 액세스 하기 위한 제1 가상 단말로 설정된 경우, 제1 IP이고, 상기 사용자 단말이 제2 논리적 네트워크에 액세스 하기 위한 제2 가상 단말로 설정된 경우, 제2 IP인 논리적 네트워크 시스템.
  9. 제8항에 있어서,
    상기 NACF 장치는 상기 사용자 단말로부터 수신한 상기 트래픽 데이터에 대한 필터링을 수행하고,
    상기 필터링은 상기 트래픽 데이터의 소스 IP가 상기 제1 가상 단말에 대한 상기 제1 IP인 경우, 상기 트래픽 데이터가 상기 제1 논리적 네트워크에 대한 접속 트래픽인 경우에만 통과시키고,
    상기 트래픽 데이터의 상기 소스 IP가 상기 제2 가상 단말에 대한 상기 제2 IP인 경우, 상기 트래픽 데이터가 상기 제2 논리적 네트워크에 대한 접속 트래픽인 경우에만 통과시키는 논리적 네트워크 시스템.
  10. 제9항에 있어서,
    상기 NACF 장치는 상기 사용자 단말이 상기 제1 논리적 네트워크 또는 상기 제2 논리적 네트워크에 접속할 권한이 있는지 여부에 대한 인증 요청 신호를 인증 서버로 전송하고,
    상기 인증 서버로부터 상기 인증 요청 신호에 대한 응답을 수신하고, 상기 응답이 인증 성공인 경우, 상기 L2 네트워크 장치로 상기 트래픽 데이터를 전송하도록 구현되는 논리적 네트워크 시스템.
KR1020140040527A 2014-04-04 2014-04-04 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치 KR20150116092A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140040527A KR20150116092A (ko) 2014-04-04 2014-04-04 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140040527A KR20150116092A (ko) 2014-04-04 2014-04-04 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20150116092A true KR20150116092A (ko) 2015-10-15

Family

ID=54356756

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140040527A KR20150116092A (ko) 2014-04-04 2014-04-04 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20150116092A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170106624A (ko) 2016-03-11 2017-09-21 주식회사 케이티 무선 액세스 망 슬라이싱 제어 장치와 그 장치가 무선 베어러 전송을 제어하는 방법
KR20170128095A (ko) 2016-05-13 2017-11-22 주식회사 케이티 이종 무선 액세스 망 간의 연동 방법 및 그 장치
KR20190030714A (ko) * 2016-07-15 2019-03-22 닛본 덴끼 가부시끼가이샤 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
US10484907B2 (en) 2016-07-05 2019-11-19 Electronics And Telecommunications Research Institute Communication method and apparatus based on quality of service (QoS) in network slice-based mobile communication network
CN114826823A (zh) * 2022-03-25 2022-07-29 阿里云计算有限公司 虚拟网络的分割方法、装置和系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170106624A (ko) 2016-03-11 2017-09-21 주식회사 케이티 무선 액세스 망 슬라이싱 제어 장치와 그 장치가 무선 베어러 전송을 제어하는 방법
KR20170128095A (ko) 2016-05-13 2017-11-22 주식회사 케이티 이종 무선 액세스 망 간의 연동 방법 및 그 장치
US10484907B2 (en) 2016-07-05 2019-11-19 Electronics And Telecommunications Research Institute Communication method and apparatus based on quality of service (QoS) in network slice-based mobile communication network
KR20190030714A (ko) * 2016-07-15 2019-03-22 닛본 덴끼 가부시끼가이샤 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
KR20200093086A (ko) * 2016-07-15 2020-08-04 닛본 덴끼 가부시끼가이샤 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기
US11153751B2 (en) 2016-07-15 2021-10-19 Nec Corporation Communication system, subscriber-information management apparatus, information acquisition method, non-transitory computer-readable medium, and communication terminal
CN114826823A (zh) * 2022-03-25 2022-07-29 阿里云计算有限公司 虚拟网络的分割方法、装置和系统
CN114826823B (zh) * 2022-03-25 2024-02-27 阿里云计算有限公司 虚拟网络的分割方法、装置和系统

Similar Documents

Publication Publication Date Title
EP1689206B1 (en) Wireless network having multiple security zones
US9178912B2 (en) Virtual device context (VDC) integration for network services
AU2015296791B2 (en) Method and system for providing a virtual asset perimeter
US7500069B2 (en) System and method for providing secure access to network logical storage partitions
US20170353498A1 (en) Methods and Systems for Applying Security Policies in a Virtualization Environment
US9231911B2 (en) Per-user firewall
WO2018148058A1 (en) Network application security policy enforcement
US11252196B2 (en) Method for managing data traffic within a network
KR20150116092A (ko) 슬라이싱을 기반으로 네트워크를 분리하는 방법 및 장치
EP3171546A1 (en) Timing management in a large firewall cluster
EP4022865A1 (en) Autonomous policy enforcement point configuration for role based access control
WO2019084340A1 (en) SYSTEM AND METHOD FOR PROVIDING SECURE VLAN IN A WIRELESS NETWORK
JP2017091493A (ja) セキュリティ管理方法、プログラム、およびセキュリティ管理システム
Rangisetti et al. Denial of ARP spoofing in SDN and NFV enabled cloud-fog-edge platforms
US20180359279A1 (en) Automatic handling of device group oversubscription using stateless upstream network devices
US10516998B2 (en) Wireless network authentication control
US10785115B2 (en) Allocating enforcement of a segmentation policy between host and network devices
US10536383B2 (en) Attribute enhancement for handling network packet traffic between micro segmented guests
KR101970515B1 (ko) 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치
KR101449512B1 (ko) Ieee 802.1x와 다이나믹 브이랜 기반의 하이브리드 망 분리 방법 및 시스템
CN111385113B (zh) 一种vpn服务器集群的差异化接入方法及系统

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid