KR20180007898A - 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 - Google Patents
가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 Download PDFInfo
- Publication number
- KR20180007898A KR20180007898A KR1020160089439A KR20160089439A KR20180007898A KR 20180007898 A KR20180007898 A KR 20180007898A KR 1020160089439 A KR1020160089439 A KR 1020160089439A KR 20160089439 A KR20160089439 A KR 20160089439A KR 20180007898 A KR20180007898 A KR 20180007898A
- Authority
- KR
- South Korea
- Prior art keywords
- eid
- rloc
- etr
- itr
- lisp
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 15
- 238000013507 mapping Methods 0.000 claims abstract description 35
- 238000000926 separation method Methods 0.000 claims abstract description 8
- 239000000284 extract Substances 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 239000000470 constituent Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/465—Details on frame tagging wherein a single frame includes a plurality of VLAN tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
- H04L12/4679—Arrangements for the registration or de-registration of VLAN attribute values, e.g. VLAN identifiers, port VLAN membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1059—Inter-group management mechanisms, e.g. splitting, merging or interconnection of groups
Abstract
본 발명의 실시 예에 따른 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법은, 클라우드 센터의 서버 및 ETR(Egress Tunnel Router)이 LISP(Locator/ID Separation Protocol) 제어 메시지를 이용하여 맵핑 시스템에 종단 식별자(EID) 및 라우팅 위치자(RLOC)의 맵핑 정보를 구축하는 단계, 기업망의 가입자 단말에서 상기 서버에 전달할 패킷을 ITR(Ingress Tunnel Router)에 전달하는 단계, 상기 ITR이 상기 맵핑 시스템에게 상기 기업망의 테넌트 식별자 및 상기 종단 식별자(EID)에 대응하는 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보를 요청하는 단계, 상기 맵핑 시스템의 요청에 따라 상기 ETR(Egress Tunnel Router)이 상기 ITR에 그룹 구분 정보를 포함하는 라우팅 위치자(RLOC)를 제공하는 단계, 상기 ITR이 백본망을 경유하여 상기 그룹 구분 정보를 포함하는 LISP 데이터 패킷을 상기 ETR에 전송하는 단계, 그리고 상기 ETR이 LISP 관련 헤더를 추출한 후 상기 패킷을 상기 종단 식별자(EID)에 대응하는 서버로 전달하는 단계를 포함하되, 상기 종단 식별자(EID) 및 라우팅 위치자(RLOC)의 맵핑 정보는 종단 식별자(EID), 라우팅 위치자(RLOC), 테넌트 식별자를 포함한다.
Description
본 발명은 통신 패킷 전송 방법에 관한 것으로, 좀 더 상세하게는 가상 사설 클라우드망에서 효율적으로 테넌트 내의 그룹들을 분리하는 방법에 관한 것이다.
클라우드 컴퓨팅 기반의 스마트 워크(Smart Work) 시대로 진화해 감에 따라 인터넷의 이용을 통해 사설 클라우드 서비스를 안전하게 제공하는 가상 사설 클라우드(Virtual Private Cloud) 기술에 대한 관심이 증가하고 있다. 가상 사설 클라우드 기술은 사용자의 서비스나 애플리케이션을 사용자 데스크탑이 아닌 공동 서버에 저장해 두고 필요할 때마다 열어볼 수 있는 기술이다. 가상 사설 클라우드 기술은 공용 또는 공중 클라우드 내에 엔터프라이즈 내지는 개인 클라우드가 존재하지만, 사용자는 엔터프라이즈에서 서비스를 제공받는 것과 동일한 작업 환경을 제공받을 수 있는 서비스이다.
이와 같은 클라우드 서비스를 제공함에 있어서 클라우드 서비스 사업자는 멀티-테넌트(Multi-Tenant)를 지원할 것이 요구된다. 여기서, 테넌트는 여러 사용자가 속한 하나의 조직으로 회사, 기관, 단체 등의 사용자 집단을 나타내는 용어이다. 그리고 논리적으로 서로 분리되어 있는 멀티-테넌트(Multi-Tenant)들이 클라우드 서비스를 위한 네트워크 및 컴퓨팅 자원을 공유하는 것이 필요하다.
아울러 각각의 테넌트 내에서도 복수의 그룹들로 구분해 서비스하는 방안이 확보되어야 한다. 즉, 하나의 회사에 해당하는 테넌트가 다른 테넌트와 구분되어야 하지만, 하나의 회사 내에서 여러 부서들을 구분하는 방법도 제공되어야 한다. 하지만, 테넌트들을 구분하는 방법과 테넌트 내의 그룹들을 구분하는 방법은 보안성 및 확장성 등의 측면을 고려했을 때, 각각 다른 방법으로 제공되어야 한다.
본 발명은 상술한 기술적 문제점을 해결하기 위해 제안된 것으로, 본 발명의 목적은 최근에 활성화되고 있는 가상 사설 클라우드 서비스를 제공하기 위한 효율적인 테넌트 내의 그룹 분리 방법을 제공하는데 있다.
본 발명의 실시 예에 따른 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법은, 클라우드 센터의 서버 및 ETR(Egress Tunnel Router)이 LISP(Locator/ID Separation Protocol) 제어 메시지를 이용하여 맵핑 시스템에 종단 식별자(EID) 및 라우팅 위치자(RLOC)의 맵핑 정보를 구축하는 단계, 기업망의 가입자 단말에서 상기 서버에 전달할 패킷을 ITR(Ingress Tunnel Router)에 전달하는 단계, 상기 ITR이 상기 맵핑 시스템에게 상기 기업망의 테넌트 식별자 및 상기 종단 식별자(EID)에 대응하는 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보를 요청하는 단계, 상기 맵핑 시스템의 요청에 따라 상기 ETR(Egress Tunnel Router)이 상기 ITR에 그룹 구분 정보를 포함하는 라우팅 위치자(RLOC)를 제공하는 단계, 상기 ITR이 백본망을 경유하여 상기 그룹 구분 정보를 포함하는 LISP 데이터 패킷을 상기 ETR에 전송하는 단계, 그리고 상기 ETR이 LISP 관련 헤더를 추출한 후 상기 패킷을 상기 종단 식별자(EID)에 대응하는 서버로 전달하는 단계를 포함하되, 상기 종단 식별자(EID) 및 라우팅 위치자(RLOC)의 맵핑 정보는 종단 식별자(EID), 라우팅 위치자(RLOC), 테넌트 식별자를 포함한다.
본 발명의 실시 예에 따른 가상 사설 클라우드 서비스의 테넌트 내의 그룹 분리 방법에 따르면, 멀티-테넌트(Multi-Tenant) 기능을 지원하면서 동시에 테넌트 내 그룹들에 대한 분리가 가능하다. 이러한 기술을 통해 기존의 기업망 사용자들은 기업들간의 보안뿐만 아니라 기업내 그룹들 간의 보안에 대한 염려없이 안전하게 클라우드 서비스를 이용할 수 있다. 이러한 이용 편의성의 향상 및 테넌트 내 그룹들간의 보안성의 확보를 통해 가상 사설 클라우드 서비스의 활성화에 기여할 것으로 기대된다.
도 1은 LISP 기반의 본 발명의 실시 예에 따른 가상 사설 클라우드망을 보여주는 구성도이다.
도 2는 본 발명에 따른 가상 사설 클라우드망에서의 효율적인 테넌트내 그룹 분리 방법을 보여주는 도면이다.
도 3은 기존의 LISP 데이터 패킷의 IP 헤더 포맷을 보여주는 도면이다.
도 4는 본 발명에 따른 LISP 데이터 패킷의 IP 헤더 포맷을 보여주는 도면이다.
도 2는 본 발명에 따른 가상 사설 클라우드망에서의 효율적인 테넌트내 그룹 분리 방법을 보여주는 도면이다.
도 3은 기존의 LISP 데이터 패킷의 IP 헤더 포맷을 보여주는 도면이다.
도 4는 본 발명에 따른 LISP 데이터 패킷의 IP 헤더 포맷을 보여주는 도면이다.
이하에서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 실시 예를 첨부된 도면을 참조하여 설명하기로 한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 동일한 명칭의 구성 요소에 대하여 도면에 따라 다른 참조부호를 부여할 수도 있으며, 서로 다른 도면임에도 불구하고 동일한 참조부호를 부여할 수도 있다. 그러나, 이와 같은 경우라 하더라도 해당 구성 요소가 실시 예에 따라 서로 다른 기능을 갖는다는 것을 의미하거나, 서로 다른 실시 예에서 동일한 기능을 갖는다는 것을 의미하는 것은 아니며, 각각의 구성 요소의 기능은 해당 실시 예에서의 각각의 구성 요소에 대한 설명에 기초하여 판단하여야 할 것이다.
특히, 본 발명에서는 위치자/식별자 분리 프로토콜(Locator/ID Separation Protocol, 이하, LISP) 기반의 가상 사설 클라우드망을 가정하기로 한다. LISP는 기존에 IP 주소가 위치자(Locator)와 식별자(Identifier)의 두 가지 역할을 동시에 수행함으로써 발생하는 다양한 문제들을 해결하기 위해 제안된 프로토콜이다. 즉, LISP에서는 주소 체계를 개별 단말을 구분하기 위한 종단 식별자(EID: Endpoint Identifier)와 해당 단말이 속한 네트워크의 위치를 구분하고 라우팅을 하기 위해 사용하는 라우팅 위치자(RLOC: Routing Locator)로 구분한다. 그리고 LISP는 종단 식별자(EID)와 라우팅 위치자(RLOC)의 맵핑을 위해 라우터들이 교환하는 정보의 집합을 정의하며, 단말로부터 전송된 패킷을 LISP 라우터들이 백본망을 통해 다른 단말까지 전달하기 위해 라우팅하고 포워딩하는 매커니즘을 정의한다.
LISP의 규격은 IETF(Internet Engineering Task Force)에서 정의하고 있으며, 현재 RFC6830, RFC6831, RFC6832, RFC6833, RFC6834, RFC6835, RFC6836, RFC6837 등의 규격이 있다.
도 1은 LISP 기반의 본 발명의 실시 예에 따른 가상 사설 클라우드망을 보여주는 구성도이다. 도 1을 참조하면, 본 발명에 따른 가상 사설 클라우드망(100)은 기업망(110), 백본망(120), 클라우드 센터(130), 그리고 맵핑 시스템(140)을 포함할 수 있다.
기업망(110)은 백본망(120, Backbone Network)을 통해 클라우드 센터(130)에 연결된다. 기업망(110)에는 분리된 두 개의 그룹(112, 114)이 있고 각각의 그룹은 클라우드 센터(130) 내에 각 그룹에 속하는 서버들(136, 138)을 별도로 가진다. 그리고, 기업망(110) 내에서 그룹들(112, 114) 각각은 별도의 VLAN(Virtual Local Area Network) 구성에 의해 분리되어 관리된다. 마찬가지로 클라우드 센터(130) 내에서도 각 그룹에 속하는 서버들(136, 138)은 별도의 VLAN 구성에 의해 분리되어 관리된다.
기업망(110)은 백본망(130)과의 연결 경계에 ITR(116, Ingress Tunnel Router)을 포함한다. ITR(116)은 기업망(110)과 백본망(120)의 경계에서 LISP에 관련된 기능을 수행한다. 즉, ITR(116)은 단말로부터 컴퓨팅 자원을 활용하기 위한 패킷을 수신하면, 해당 기업망의 테넌트 식별자, 목적지 종단 식별자(EID)를 기반으로 맵-리졸버(142)에 해당 종단 식별자(EID)에 대한 라우팅 위치자(RLOC) 정보를 요청한다. 그리고 ITR(116)은 이에 대한 응답으로 라우팅 위치자(RLOC) 정보를 제공받아 제공받은 라우팅 위치자(RLOC) 정보를 목적지 IP 주소로 하고 해당 기업망의 라우팅 위치자(RLOC) 정보를 소스 IP 주소로 하는 LISP 데이터 패킷을 생성하여 생성된 LISP 데이터 패킷을 백본망(120)에 전달한다.
백본망(120)에는 복수의 라우터들(121~128)이 포함된다. 라우터들(121~128)은 현재 일반적으로 사용되는 라우터들과 동일한 기능을 수행하며, 라우팅 위치자(RLOC)로 사용되는 IP 주소에 기반해서 라우팅을 수행한다. 또한, 라우팅 위치자(RLOC)로 사용되는 IP 주소는 유일해야 한다. 따라서, 라우팅 위치자(RLOC)로 사용되는 IP 주소로서 사설 IP 주소는 사용될 수 없고, 공중 IP 주소가 사용되어야 한다. 반면, 각각의 기업망 내에서는 종단 식별자(EID)에 의해 패킷들이 전달되며 공중 IP 주소뿐만 아니라 사설 IP 주소도 사용될 수 있다.
기업망(110)에서 클라우드 센터(130)로 패킷을 전달하고자 하는 경우에는 ITR(116)에서 목적지 종단 식별자(EID)가 속한 클라우드 센터(130)에 할당된 라우팅 위치자(RLOC)를 확인한 후, 해당 클라우드 센터의 라우팅 위치자(RLOC)를 목적지 IP 주소로 하고, 자신의 라우팅 위치자(RLOC)를 소스 IP 주소로 하는 터널 IP 헤더를 생성한다. 그 후, 종단 식별자(EID) 기반의 IP 주소를 가진 패킷에 터널 IP 헤더를 삽입시켜 백본망(120)으로 전달한다. 백본망(120)은 해당 패킷을 터널 IP 헤더의 라우팅 위치자(RLOC) 주소에 기반해서 클라우드 센터(130)로 전달한다. 그러면, 클라우드 센터(130)의 ETR(132)은 터널 IP 헤더를 추출한 후 클라우드 센터(130) 내의 서버로 전달할 것이다.
맵핑 시스템(140, Mapping System)은 종단 식별자(EID)-RLOC 맵핑 정보를 생성 및 관리하기 위해 사용된다. 맵핑 시스템(140)은 맵-리졸버(142, Map-Resolver)와 맵-서버(144, Map-Server)를 포함한다. 실제적으로 맵-서버(144)에서 종단 식별자(EID)-RLOC 맵핑 정보를 관리한다. 맵-리졸버(142)는 ITR(116)로부터 맵핑 정보에 대한 요청을 받았을 때, 해당 요청을 맵-서버(144)로 전달하는 역할을 수행한다. 맵-리졸버(142)와 맵-서버(144)는 별도의 시스템으로 구현되어 상호 통신할 수도 있고, 하나의 시스템으로 구현될 수도 있다.
아울러 ITR(116)과 ETR(132)은 트래픽의 흐름에 따라 구분되는 것이며, 실제로는 하나의 라우터가 ITR(116)과 ETR(132)의 역할을 동시에 수행하는 것이 가능하다. 물론 각각의 기업망(110) 또는 클라우드 센터(130)에서 별도의 ITR(116)과 ETR(132)을 사용하는 것도 가능하고, 다수의 ITR들과 ETR들을 사용하는 것도 가능하다.
도 2는 본 발명에 따른 가상 사설 클라우드망에서의 효율적인 테넌트 내 그룹 분리 방법을 보여주는 도면이다. 도 2를 참조하면, 단말(112)에서 서버(136)에 패킷을 전송하는 경우를 예로 하여 본 발명의 기술이 설명될 것이다.
S11 단계에서, 클라우드 센터(130) 내의 서버가 ETR(132)로 연결 설정을 요청할 것이다. S12 단계에서, ETR(132)은 해당 서버의 종단 식별자(EID)를 인식하고, ETR(132)은 해당 서버의 종단 식별자(EID)와 클라우드 센터(130)의 라우팅 위치자(RLOC)들에 대한 정보를 LISP 제어 메시지를 이용해서 맵-서버(144)에 등록을 요청할 것이다. S13 단계에서, 맵-서버(144)는 해당 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보의 저장 이후에, LISP 제어 메시지를 이용해서 등록 결과를 해당 ETR(132)에 통보하며, 다른 ETR들로부터 통보된 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보들도 함께 관리한다. S14 단계에서, 맵-서버(144)는 전체 망에 대한 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보를 구축할 수 있다. 여기서, 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보는 {종단 식별자(EID), 라우팅 위치자(RLOC), 테넌트 식별자}로 구현될 수 있을 것이다. 또한, 본 발명에서는 전체 망에 대한 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보를 맵 서버에서 관리하는 경우를 일예로 설명하고 있지만, 반드시 이에 한정되지 않고 ITR(116)과 ETR(132)에서도 부분적인 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보를 관리하고 그에 따라 동작하는 것이 가능할 수 있다.
S21 단계에서, 기업망(110)의 가입자 단말에서 클라우드 센터(130)의 서버를 활용하기 위해 패킷을 전송할 수 있다. S22 단계에서, ITR(116)은 해당 기업망의 테넌트 식별자와 목적지 종단 식별자(EID)에 기반해서 맵-리졸버(142)로 해당 종단 식별자(EID)에 대한 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보를 요청한다. 이때, 기업망의 테넌트 식별자는 망 운용자에 의해 미리 설정되어야 하며, ITR(116)에서는 테넌트 식별자별로 별도의 VRF(Virtual Routing and Forwarding) 테이블을 구축하는 것에 의해서 해당 기능을 지원한다. 또한, 상술한 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보 요청시에 기업망(110) 내에서 해당 단말이 속한 그룹의 정보(예컨대, VLAN ID)도 맵핑 정보 요청 메시지에 포함될 수 있다.
S23 단계에서, 상술한 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보 요청 메시지를 수신한 맵-리졸버(142)는 해당 메시지를 맵-서버(144)에게 전달할 것이다. S24 단계에서, 맵-서버(144)는 이미 구축된 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보에 기반해서 해당 종단 식별자(EID)가 속한 클라우드 센터(130)의 ETR(132)로 해당 메시지를 전달한다.
S25 단계에서, 최종적으로 종단 식별자(EID)에 대한 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보 요청 메시지를 수신한 ETR(132)은 해당 종단 식별자(EID)에 대한 라우팅 위치자(RLOC) 정보를 ITR(116)에게 통보한다. 이때, 클라우드 센터(130) 내에서 관련 그룹의 서버에 도달할 수 있는 그룹 구분 정보(예, VLAN ID, 중첩 VLAN ID)가 함께 통보된다.
S31 단계에서, 목적지 종단 식별자(EID)에 대한 라우팅 위치자(RLOC) 정보를 수신한 ITR(116)은 클라우드 센터(130)의 라우팅 위치자(RLOC) 정보를 목적지 IP 주소로 하고, 해당 기업망의 라우팅 위치자(RLOC) 주소를 소스 IP 주소로 하는 터널 IP 헤더를 구성한다. 그 후, ITR(116)은 LISP 데이터 패킷 포맷에 따라 필요한 헤더를 삽입해서 백본망(130)으로 전달한다. 이때, 테넌트 식별자는 LISP 데이터 패킷 포맷의 LISP 헤더의 인스턴스 ID(Instance ID) 필드에 실려서 전달될 수 있다.
S32 단계에서, LISP 헤더가 삽입(Encapsulation)된 패킷이 ETR(132)에 전달된다. 기존의 LISP 프로토콜의 데이터 패킷은 도 3의 형태로 구성된다. 하지만, 본 발명의 실시 예에 따른 LISP 프로토콜의 데이터 패킷 포맷은 도 4와 같이 구성된다. 즉, 본 발명에서는 미리 내부 IP(Inner IP) 헤더 앞에 클라우드 센터 내에서 그룹 서버에 도달할 수 있는 그룹 구분 정보를 붙여서 전달한다. ITR(116)로부터 LISP 관련 헤더가 삽입된 패킷을 수신한 백본망 라우터들은 해당 터널 IP 헤더의 IP 주소에 기반해서 목적지 ETR(132)까지 패킷을 전달할 것이다.
S33 단계에서, 해당 패킷을 수신한 ETR(132)은 해당 테넌트에 속하는 목적지 종단 식별자(EID)가 존재하는 경우에, LISP 관련 헤더를 추출(Decapsulation)한 후 해당 패킷을 목적지 종단 식별자(EID)의 서버로 전달한다.
S34 단계에서, 클라우드 센터(130) 내에서 서버가 해당 가입자 단말의 요청에 따라 데이터를 전송할 수 있다. 이 경우는 앞서 설명된 절차의 반대 방향으로 ETR(132)과 ITR(116)의 역할이 수행될 것이다. 먼저, 서버는 요청된 패킷을 ETR(132)에 전송할 것이다.
S35 단계에서, ETR(132)은 LISP 헤더가 삽입된 패킷을 백본망(120)에 전달할 것이다. 그러면, S36 단계에서 백본망(120)으로부터 ITR(116)로 LISP 헤더가 삽입된 패킷이 전달된다. 이후, S37 단계에서, ITR(116)로부터 데이터를 요청한 단말로 패킷이 전달될 것이다.
이상의 동작 절차에 의해서 가상 사설 클라우드 서비스를 제공하는 클라우드 사업자가 멀티-테넌트(Multi-Tenant) 기능을 지원하면서 동시에 테넌트 내의 그룹들에 대해 효율적으로 분리해서 안전한 보안을 제공하면서 클라우드 서비스를 제공하는 것이 가능하다.
도 3은 기존의 LISP 데이터 패킷의 IP 헤더 포맷을 보여주는 도면이다. 도 3을 참조하면, 기존의 LISP 데이터 패킷의 IP 헤더는 외부 헤더(210), UDP 헤더(220), LISP 헤더(230), 내부 헤더(240) 등을 포함할 수 있다.
도 4는 본 발명에 따른 LISP 데이터 패킷의 IP 헤더 포맷을 보여주는 도면이다. 도 4를 참조하면, 본 발명에 따른 LISP 데이터 패킷의 IP 헤더 포맷은 외부 헤더(310), UDP 헤더(320), LISP 헤더(330), VLAN 헤더(335), 그리고 내부 헤더(340) 등을 포함할 수 있다.
본 발명의 실시 예에 따른 IP 헤더 포맷은 미리 내부 헤더(340) 앞에 클라우드 센터(130) 내에서 그룹 서버에 도달할 수 있는 그룹 구분 정보를 붙여서 전달한다. 즉, VLAN 헤더(335)를 통해서 그룹 구분이 가능하다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.
Claims (1)
- 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법에 있어서:
클라우드 센터의 서버 및 ETR(Egress Tunnel Router)이 LISP(Locator/ID Separation Protocol) 제어 메시지를 이용하여 맵핑 시스템에 종단 식별자(EID) 및 라우팅 위치자(RLOC)의 맵핑 정보를 구축하는 단계;
기업망의 가입자 단말에서 상기 서버에 전달할 패킷을 ITR(Ingress Tunnel Router)에 전달하는 단계;
상기 ITR이 상기 맵핑 시스템에게 상기 기업망의 테넌트 식별자 및 상기 종단 식별자(EID)에 대응하는 종단 식별자(EID)-라우팅 위치자(RLOC) 맵핑 정보를 요청하는 단계;
상기 맵핑 시스템의 요청에 따라 상기 ETR(Egress Tunnel Router)이 상기 ITR에 그룹 구분 정보를 포함하는 라우팅 위치자(RLOC)를 제공하는 단계;
상기 ITR이 백본망을 경유하여 상기 그룹 구분 정보를 포함하는 LISP 데이터 패킷을 상기 ETR에 전송하는 단계; 그리고
상기 ETR이 LISP 관련 헤더를 추출한 후 상기 패킷을 상기 종단 식별자(EID)에 대응하는 서버로 전달하는 단계를 포함하되,
상기 종단 식별자(EID) 및 라우팅 위치자(RLOC)의 맵핑 정보는 종단 식별자(EID), 라우팅 위치자(RLOC), 테넌트 식별자를 포함하는 테넌트 내 그룹 분리 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160089439A KR20180007898A (ko) | 2016-07-14 | 2016-07-14 | 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160089439A KR20180007898A (ko) | 2016-07-14 | 2016-07-14 | 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20180007898A true KR20180007898A (ko) | 2018-01-24 |
Family
ID=61028943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160089439A KR20180007898A (ko) | 2016-07-14 | 2016-07-14 | 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20180007898A (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611696A (zh) * | 2019-07-09 | 2019-12-24 | 上海联课智能科技有限公司 | 独立id的生成方式及其应用 |
| WO2020009369A1 (ko) * | 2018-07-03 | 2020-01-09 | 주식회사 케이티 | 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 |
-
2016
- 2016-07-14 KR KR1020160089439A patent/KR20180007898A/ko unknown
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020009369A1 (ko) * | 2018-07-03 | 2020-01-09 | 주식회사 케이티 | 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 |
| KR20200004191A (ko) * | 2018-07-03 | 2020-01-13 | 주식회사 케이티 | 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 |
| CN110611696A (zh) * | 2019-07-09 | 2019-12-24 | 上海联课智能科技有限公司 | 独立id的生成方式及其应用 |
| CN110611696B (zh) * | 2019-07-09 | 2022-05-31 | 上海联课智能科技有限公司 | 独立id的生成方式及其应用 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Del Piccolo et al. | A survey of network isolation solutions for multi-tenant data centers | |
| US8396954B2 (en) | Routing and service performance management in an application acceleration environment | |
| KR101399002B1 (ko) | 가상 사설 네트워크의 실현 방법 및 시스템 | |
| US10659430B2 (en) | Systems and methods for dynamic network address modification related applications | |
| JP4598859B2 (ja) | 中継ネットワークシステム及び端末アダプタ装置 | |
| WO2021073565A1 (zh) | 业务服务提供方法及系统 | |
| KR20150076041A (ko) | 가상 사설 클라우드망에서 사설 ip 주소 기반의 멀티 테넌트를 지원하기 위한 시스템 및 그 방법 | |
| EP2901630B1 (en) | Method operating in a fixed access network and user equipments | |
| CN107046506B (zh) | 一种报文处理方法、流分类器和业务功能实例 | |
| JP2019526983A (ja) | ブロードバンドリモートアクセスサーバの制御プレーン機能と転送プレーン機能の分離 | |
| WO2005027438A1 (ja) | パケット中継装置 | |
| WO2021073555A1 (zh) | 业务服务提供方法及系统、远端加速网关 | |
| CN102792651B (zh) | 在mac层应用服务路径路由选择的装置 | |
| KR20130101663A (ko) | 클라우드 네트워킹 장치 및 방법 | |
| KR20140099598A (ko) | 모바일 vpn 서비스를 제공하는 방법 | |
| WO2012130128A1 (zh) | 一种实现网络标识转换的方法、装置及系统 | |
| JP4925130B2 (ja) | 通信制御方法およびシステム | |
| KR20180007898A (ko) | 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 | |
| WO2008000387A1 (en) | A personal network comprising a plurality of clusters | |
| JP2011217174A (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム | |
| JP2011071870A (ja) | 通信装置、通信システムおよび通信方法 | |
| JP2017208718A (ja) | 通信装置および通信方法 | |
| CN110809033A (zh) | 报文转发方法、装置及交换服务器 | |
| JP6438313B2 (ja) | パケット振り分け装置およびパケット振り分け方法 | |
| WO2013185352A1 (zh) | 注册方法及设备、系统 |