TWI630488B - 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統 - Google Patents

支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統 Download PDF

Info

Publication number
TWI630488B
TWI630488B TW106126451A TW106126451A TWI630488B TW I630488 B TWI630488 B TW I630488B TW 106126451 A TW106126451 A TW 106126451A TW 106126451 A TW106126451 A TW 106126451A TW I630488 B TWI630488 B TW I630488B
Authority
TW
Taiwan
Prior art keywords
virtual
network
traffic
virtual private
private network
Prior art date
Application number
TW106126451A
Other languages
English (en)
Other versions
TW201911068A (zh
Inventor
朱煜煌
徐浩然
任安妮
曾閔棋
劉景豊
Original Assignee
中華電信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中華電信股份有限公司 filed Critical 中華電信股份有限公司
Priority to TW106126451A priority Critical patent/TWI630488B/zh
Priority to CN201810201204.XA priority patent/CN109391533B/zh
Priority to JP2018112571A priority patent/JP6591621B2/ja
Application granted granted Critical
Publication of TWI630488B publication Critical patent/TWI630488B/zh
Publication of TW201911068A publication Critical patent/TW201911068A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/252Store and forward routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本發明提出了一種支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統,係利用網路功能虛擬化與使用軟體定義網路的彈性供裝,有效提高企業間虛擬私人網路端對端的安全性並降低虛擬私人網路之建置成本。本發明的設計著重於基於單一伺服器中彈性部署多個虛擬路由器以隔離企業網路不同類型之訊務或不同區域網路之設備,避免單一設備或系統被入侵造成企業內其他系統被駭風險,透過軟體定義網路簡化網路管理與網路存取時間控管機制,達到網路異動的靈活性與安全性。

Description

支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統
本發明是有關於虛擬私人網路,且特別係關於一種可以支援多樣性架構之虛擬私人網路服務供裝系統。
虛擬私人網路(Virtual Private Network,VPN)主要是在公眾網際網路(Internet)上使用穿隧(Tunneling)技術與加解密等安全技術,以建立一個私人且安全的網路。相較於傳統私有網路,虛擬私人網路不需使用專屬線路,利用通信協定技術即可以Internet的便宜價格,享有專線的安全性。虛擬私人網路也較傳統私有網路具備較佳的擴充彈性與靈活應用,擴點便利且容易依需求增加連線頻寬,不需調整既有架構,即可使用既有連線技術,因此虛擬私人網路具有設備投資成本較低且管理維護更簡便的好處。
雖然現行的虛擬私人網路已可透過網際網路安全協定(IP Security,IPSec)、多重協定標籤交換技術(Multiprotocol Label Switching,MPLS)、通用路由封裝技術(Generic Routing Encapsulation,GRE)與動態多點虛擬私人網路(Dynamic Multipoint VPN,DMVPN)等多種技術來達到點對點或點對多點的虛擬私人網路連線建立,但目前虛擬私人網路僅著重於Internet上架構企業專用私人網路來達到企業內部網路(Intranet)、上下游廠商或關係企業連網(Extranet)、不分國界遠端存取(Remote Access)的解決方案。
2017年2月15日公開之中國專利第CN106411735號「一種路由配置方法及裝置」,此專利所提供之路由配置方法及裝置應用於軟體定義網路(Software-Defined Networking,SDN)中的控制器,所提出之方法通過控制器配置租戶VPN實例的路由目標(Router Target,RT)屬性和外網VPN實例的路由策略,以使閘道設備根據路由策略對來自不同外網設備的路由設置RT屬性,並將路由的RT屬性與租戶VPN實例的RT屬性進行匹配,匹配成功後將路由添加到租戶的VPN實例中,指引租戶流量向外網轉發,通過其發明可實現閘道設備上路由的動態更新。
然而,現行虛擬私人網路尚未深入以下問題進行探討:第一、虛擬私人網路已被廣泛地應用在廣域網路(Wide Area Network, WAN),如何將虛擬私人網路自WAN端延伸至企業內區域網路(Local Area Network,LAN)與資料中心(Datacenter),以達到多點對多點的端對端網路隔離。第二、所有用戶的訊務混合在同一電路,如何將不同類型的訊務彼此隔離。第三、以時間管理為基礎之動態彈性供裝存取管控機制。由此可知,現有技術在實際運用上仍有上述問題亟待解決。
有鑑於此,本發明之目的在於提出一種支援多樣性端對端網路隔離之虛擬私人網路(VPN)服務供裝系統,運用網路功能虛擬化與軟體定義網路彈性調度網路配置,將現行虛擬私人網路自廣域網路延伸至企業內區域網路與資料中心。
本發明提供端對端高安全性網路隔離服務供裝,根據不同訊務類型進行訊務導流,解決現行企業區域網路內所有訊務混合在同一條電路傳輸以及共用路由表之安全性問題,避免企業單一系統被駭,影響企業內其他系統的風險。本發明提出基於時間管理政策與非法使用阻擋之網路存取管控機制,進一步提升企業虛擬私人網路方案之安全性並減少虛擬私人網路之建置與維運成本。
達成上述發明目的之一種支援多樣性端對端網路架構隔離之VPN服務供裝系統,係由以下架構構成:包括於伺服器的虛擬化管理平台、虛擬網路控制模組、虛擬路由器及網路控制器、以及實體交換器或虛擬交換器。虛擬路由器基於網路功能虛擬化技術代理訊務處理。網路控制器基於軟體定義網路技術動態調配虛擬路由器的運作,並建立虛擬私人網路及區域網路與虛擬區域網路(virtual local access network,Vlan)標籤(Tag)的對應關係。虛擬化管理平台配置虛擬路由器的硬體及網路資源。實體交換器或虛擬交換器接收來自網路控制器的指令,注入實體交換器或該虛擬交換器的流程條目資訊(Flow Entries)以進行訊務轉發決策。虛擬路由器依據此對應關係,將來自不同區域網路的不同訊務經由實體交換器或虛擬交換器導流至對應虛擬私人網路。
藉此,透過虛擬化管理平台可依照不同類型訊務佈建多台虛擬路由器,建立端對端之虛擬網路隔離,進而達到不同類型訊務隔離之功效。另外,網路控制器管控實體或虛擬交換器與決定訊務轉發政策,亦提供以時間為基礎之動態彈性供裝調度機制,提供更有效與安全的網路存取管控。最後,實體或虛擬交換器進行訊務封包轉發,並針對訊務目的網際網路協定(Internet Protocol,IP)位址與虛擬區域網路標籤決定訊務轉發路由,以達成端對端虛擬網路安全隔離之設計,亦同時精簡虛擬私人網路之建置與維運成本。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
本發明為一種支援多樣性端對端網路隔離之VPN服務供裝系統,本發明提出一種符合成本效益,且基於網路功能虛擬化與軟體定義網路的彈性供裝訊務導引,支援多架構之端對端網路安全隔離,提高企業區域網路、廣域網路與資料中心間虛擬私人網路端對端安全性,同時降低虛擬私人網路之建置維運成本。
傳統虛擬私人網路架構如圖1所示,區域網路18包含用戶設備A 14、用戶設備B 15、用戶設備C 16與用戶設備D 17,不同用戶設備分別產生不同類型訊務,這些用戶設備彼此間透過第二層交換器13相互連線,且區域網路18內的用戶設備透過閘道器Z 12所屬的實體路由器11,經由虛擬私人網路19連線到企業其他分支站點的用戶設備,即這些用戶設備皆透過虛擬私人網路連線至企業遠端站點。在此架構下,不同類型訊務的系統在同一區域網路內彼此可互通、所有訊務混合於同一電路傳輸並共用同一路由器的路由表,勢必會存在安全性議題。若其中一類型的主機或系統被駭,可能發生因企業網路未作端對端安全隔離而造成其他系統被駭,進而攻擊企業重要資訊系統。
圖2為依據本發明一實施例所提出之支援多樣性端對端隔離之虛擬私人網路服務供裝系統架構圖。此虛擬私人網路服務供裝系統包括伺服器27、實體或虛擬交換器26、第二層交換器13與用戶設備28(例如,手機、桌上型電腦、筆記型電腦等)。
此實體的伺服器27包括虛擬路由器21、網路控制器22、時間管理模組23、虛擬網路控制模組24、虛擬化管理平台25,伺服器27可透過諸如中央處理單元(CPU)、微處理器(Microprocessor)、數位信號處理器(DSP)、可程式化控制器等類似者執行該些虛擬元件、平台及軟體模組。
虛擬路由器21為開源的網路作業系統,且被安裝於實體伺服器(即,伺服器27)或虛擬機。在本發明實施例中可於單一伺服器27供裝多台虛擬機,於各虛擬機配置虛擬路由器21。虛擬路由器21之功能主要可於一般x86平台上基於網路功能虛擬化技術代理訊務處理,以提供路由功能、網路位址轉換、防火牆和虛擬私人網路功能等實體路由器的網路功能。
網路控制器22係支援多種開源或商用控制器的網路控制器,在本發明實施例中,網路控制器22能被安裝於實體伺服器(即,伺服器27)或虛擬機。網路控制器22之功能主要係透過多種通訊協定管理網路實體或虛擬交換器26,同時具備終端設備(例如,用戶設備28)與群組管理、網路拓樸管理、網路存取策略管理、訊務內容管控、訊務量統計與日誌管理等功能,基於軟體定義網路技術動態調配虛擬路由器21的運作,並建立多個虛擬私人網路及多個區域網路與多個虛擬區域網路(virtual local access network,Vlan)標籤(Tag)的對應關係。此對應關係是每一虛擬私人網路及每一區域網路具有對應虛擬區域網路標籤。
虛擬網路控制模組24可被廣泛地應用在多種虛擬化管理平台25,其功能主要負責虛擬機連接實體網路與虛擬機彼此間連線的建立。時間管理模組23係接收虛擬網路控制模組24的時間管理設定,負責管控各個用戶設備的合法連網時間,於非法連網時間阻擋用戶設備28往來的訊務。虛擬化管理平台25之功能主要提供於一般x86伺服器上針對計算資源、網路資源與儲存資源虛擬化與資源配置管理,以配置虛擬路由器22的硬體及網路資源。
實體交換器或虛擬交換器26(虛擬交換器26可佈建於伺服器27或其他伺服器中、或由虛擬機運作)則是負責接收來自網路控制器22的指令,注入實體或虛擬交換器26的流程條目資訊(Flow Entries)以進行訊務轉發決策。而關於訊務轉發的運作待後續實施例說明。
為了方便理解本發明實施例的操作流程,以下將舉諸多實施例詳細說明本發明實施例的訊務路由架構。下文中,將搭配圖2中各項元件及模組說明。本發明實施例的各個流程可依照實施情形而隨之調整,且並不僅限於此。
圖3為依據本發明一實施例應用於混合式端對端隔離虛擬私人網路之實施架構圖,旨在保留既有實體路由器11,搭配企業內部虛擬網路設計與不同類型訊務隔離需求彈性供裝不同虛擬路由器(例如,虛擬路由器X 33與虛擬路由器Y 34)。虛擬路由器X 33與虛擬路由器Y 34可被安裝於虛擬機,其功能主要是依據用戶設備(用戶設備A, B, C, D 14, 15, 16, 17)送來的不同訊務Vlan Tag,將不同類型之訊務隔離並導向虛擬私人網路19,以達到端對端的虛擬網路隔離。以上提及之虛擬路由器X 33、虛擬路由器Y 34、網路控制器22、時間管理模組23、虛擬網路控制模組24與虛擬化管理平台25係佈建於單一台伺服器27。
為因應不同系統應用與訊務類別將企業內部網路切割成多個虛擬區域網路(即,區域網路A, B, C 35, 36, 37),使不同類型訊務間彼此隔離。例如,用戶設備A 14屬區域網路A 35,用戶設備B 15與用戶設備C 16屬區域網路B 36,用戶設備D 17屬區域網路C 37。用戶設備之虛擬私人網路連線可彈性配置使用既有實體路由器11或虛擬路由器X, Y 33, 34。第二層交換器13依據用戶設備之訊務內容所屬的區域網路,搭配上不同Vlan Tag(例如,用戶設備A 14的訊務搭配Vlan A,其餘依此類推)並送往實體或虛擬交換器26。實體或虛擬交換器26依據時間管理模組23的設定檢驗訊務資訊(例如,來源IP位址(IP1~IP4)和來源媒體存取控制(Media Access Control,MAC)位址(MAC1~MAC4)),以判斷對應用戶設備於特定時間範圍內可否存取網路。若可存取網路,則實體或虛擬交換器26依據訊務的Vlan Tag將其送往相對應的閘道器Z 12、閘道器X 31與閘道器Y 32。其路由表所記錄的路由機制可由下述範例說明。
例如,用戶設備A 14送出的Vlan A訊務會經由第二層交換器13與實體或虛擬交換器26被導向閘道器Z 12所在的實體路由器11,實體路由器11將訊務路由回實體或虛擬交換器26後,實體或虛擬交換器26則根據收到訊務的Vlan Tag判斷Vlan A的訊務由Vlan D送往虛擬私人網路19。用戶設備B 15與用戶設備C 16送出的Vlan B訊務經由第二層交換器13與實體或虛擬交換器26被導向閘道器X 31所在的虛擬路由器X 33,虛擬路由器X 33將訊務路由回實體或虛擬交換器26後,實體或虛擬交換器26根據收到訊務的Vlan Tag判斷,將Vlan B的訊務藉由Vlan E送往虛擬私人網路19。用戶設備D 17送出的Vlan C訊務一樣經由第二層交換器13與實體或虛擬交換器26被導向閘道器Y 32所在的虛擬路由器Y 34,虛擬路由器Y 34將訊務路由回實體或虛擬交換器26後,亦根據收到訊務的Vlan Tag判斷,將Vlan C的訊務經由Vlan F送往虛擬私人網路19。
同樣地,從虛擬私人網路19欲送往用戶設備A 14的訊務,會經由實體或虛擬交換器26將訊務送往實體路由器11,實體路由器11將訊務路由回實體或虛擬交換器26後,則根據訊務目的IP位址,將訊務經由第二層交換器13送往用戶設備A 14。由虛擬私人網路19欲送往用戶設備B 15或用戶設備C 16的訊務,則是經由實體或虛擬交換器26將訊務導向虛擬路由器X 33,虛擬路由器X 33將訊務路由回實體或虛擬交換器26後,亦根據訊務的目的IP位址,將訊務經由第二層交換器13送往用戶設備B 15或用戶設備C 16。由虛擬私人網路19欲送往用戶設備D 17的訊務則是由虛擬路由器Y 34負責做訊務的路由。以上,透過不同Vlan的訊務使用不同的實體或虛擬路由器與不同路由表的機制,達到路由表實體隔離與端對端虛擬網路隔離。
圖4為依據本發明一實施例應用於統一式端對端隔離虛擬私人網路之實施架構圖。與圖3不同之處在於,由虛擬路由器Z 41取代圖3的實體路由器11,虛擬路由器Z 41設置相同的閘道器Z 12為用戶設備A 14的閘道器,用戶設備A 14不需更動閘道器IP位址,提供彈性無縫實體轉虛擬路由器之架構,有效減少實體路由器採購維護成本。此架構以虛擬路由器Z 41取代實體路由器11,透過實體或虛擬交換器26檢視訊務封包的虛擬區域網路標籤決定訊務路由路徑。例如,Vlan A的訊務導向虛擬路由器Z 41,Vlan B的訊務導向虛擬路由器X 33,Vlan C的訊務導向虛擬路由器Y 34。需說明的是,不同虛擬路由器可佈建於一台或多台伺服器27中的不同虛擬機上,確保不同訊務各自有獨立路由表,達到端對端隔離之虛擬私人網路服務。
本發明亦可支援整合式端對端隔離虛擬私人網路之實施架構如圖5所示,以精簡化佈建模式。與圖4不同之處在於,本實施例係將實體或虛擬交換器26收容至伺服器27中。將本發明實施例應用於中小型軟體定義網路之場域,以提供端對端隔離之虛擬私人網路管理方案。傳統的架構上需要額外佈建一台至多台實體或虛擬交換器,這意味著需要花費大量硬體資源與耗費封包傳輸延遲時間。而本發明實施例簡化網路架構,將實體或虛擬交換器26、網路控制器22與虛擬路由器33、34、41佈建於一台伺服器27內,不但保有內部網路不同網段隔離之設計,大幅節降網路元件佈建成本,同時減少原本實體或虛擬交換器26與伺服器27間的頻寬耗用量與網路延遲時間,更增加服務供裝彈性與可攜性。與傳統架構相比,本發明實施例的系統顯著地減少硬體資源的使用也同時降低採購資本支出(CAPEX)和維運營業費用(OPEX)。當網路組態發生改變時,本發明能透過網路控制器動態彈性調度與供裝,更具供裝靈活性。
本發明提出的三種可彈性佈建之端對端網路隔離虛擬私人網路架構,透過圖6的端對端虛擬私有網路隔離示意圖更可以了解企業不同站點間(例如,辦公室1站點連線至辦公室2站點或資料中心的整體端對端虛擬私有網路)隔離實際運作情形。在兩站點間,企業可藉由安全高品質的MPLS VPN實現企業外網互連,亦可藉由平價的Internet寬頻接取電路實現。搭配本發明實施例所提出的單一實體伺服器上運行多重虛擬路由器來實現不同虛擬私人網路有各自獨立路由表,同時運用網路控制器22的快速彈性異動供裝特性,將原本僅著重於廣域網路VPN隔離方法延伸至企業內區域網路與資料中心之間,達成完整的端對端隔離的虛擬私人網路服務供裝系統。 [特點及功效]
本發明實施例所提出一種支援多樣性端對端網路隔離的VPN服務供裝系統與傳統習用技術相互比較時,更具備下列優點:
本發明實施例之一種支援多樣性端對端網路隔離的VPN服務供裝系統,提出一種符合成本效益,且基於端對端虛擬私人網路隔離之彈性供裝服務系統,提供企業內部網路、外部網路與資料中心不同訊務類型達到端對端隔離之功效。採用網路使用管理機制,提供企業網路存取時間管理與非法使用阻擋,本發明實施例可彈性因應不同需求而具備多樣性架構,動態調度與彈性供裝,能夠大幅地減少CAPEX和OPEX。
與傳統架構相比,本發明實施例的系統可將虛擬私人網路自傳統的WAN端延伸至企業內LAN端與資料中心,更具端對端隔離的虛擬私人網路安全性。
本發明實施例的系統可以支援於單一伺服器中彈性部署多個虛擬路由器,並因應不同類型的訊務提供獨立路由表,達成訊務彼此安全隔離之功效。
當網路組態發生改變時,本發明實施例能透過網路控制器動態彈性調度與供裝,本發明的系統比傳統架構更具有可攜性與供裝靈活性。
本發明所提出的多樣性端對端網路隔離的VPN服務供裝系統可依照企業網路應用需求,彈性減少實體網路元件的佈建與資源使用,同時也降低了CAPEX與OPEX。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
1、2‧‧‧辦公室
11‧‧‧實體路由器
12‧‧‧閘道器Z
13‧‧‧第二層交換器
14‧‧‧用戶設備A
15‧‧‧用戶設備B
16‧‧‧用戶設備C
17‧‧‧用戶設備D
18‧‧‧區域網路
19‧‧‧虛擬私人網路
21‧‧‧虛擬路由器
22‧‧‧網路控制器
23‧‧‧時間管理模組
24‧‧‧虛擬網路控制模組
25‧‧‧虛擬化管理平台
26‧‧‧實體或虛擬交換器
27‧‧‧伺服器
28‧‧‧用戶設備
31‧‧‧閘道器X
32‧‧‧閘道器Y
33‧‧‧虛擬路由器X
34‧‧‧虛擬路由器Y
35‧‧‧區域網路A
36‧‧‧區域網路B
37‧‧‧區域網路C
41‧‧‧虛擬路由器Z
圖1為傳統虛擬私人網路架構圖; 圖2為依據本發明一實施例說明支援多樣性端對端隔離之虛擬私人網路服務供裝系統架構圖; 圖3為依據本發明一實施例應用於混合式端對端隔離虛擬私人網路之實施架構圖; 圖4為依據本發明一實施例應用於統一式端對端隔離虛擬私人網路之實施架構圖; 圖5為依據本發明一實施例支援整合式端對端隔離虛擬私人網路之實施架構圖; 圖6為依據本發明一實施例之端對端虛擬私有網路隔離示意圖。

Claims (9)

  1. 一種支援多樣性端對端隔離之虛擬私人網路服務供裝系統,包括: 一伺服器,包括: 至少一虛擬路由器,基於網路功能虛擬化技術代理訊務處理; 一網路控制器,基於軟體定義網路技術動態調配該至少一虛擬路由器的運作,並建立多個虛擬私人網路及多個區域網路與多個虛擬區域網路(virtual local access network,Vlan)標籤(Tag)的對應關係;以及 一虛擬化管理平台,配置該至少一虛擬路由器的硬體及網路資源;以及 一實體交換器或一虛擬交換器,接收來自該網路控制器的指令,注入該實體交換器或該虛擬交換器的流程條目資訊(Flow Entries)以進行訊務轉發決策; 其中,該虛擬路由器依據該對應關係,將來自不同該區域網路的不同訊務經由該實體交換器或該虛擬交換器導流至對應該虛擬私人網路。
  2. 如申請專利範圍第1項所述的支援多樣性端對端隔離之虛擬私人網路服務供裝系統,其中該對應關係是每一該虛擬私人網路及每一該區域網路具有對應該虛擬區域網路標籤。
  3. 如申請專利範圍第1項所述的支援多樣性端對端隔離之虛擬私人網路服務供裝系統,其中該虛擬路由器依據不同訊務的目的網際網路協定(Internet Protocol,IP)位址所對應之該虛擬區域網路標籤,將該些訊務送往對應該區域網路中的用戶設備。
  4. 如申請專利範圍第1項所述的支援多樣性端對端隔離之虛擬私人網路服務供裝系統,其中該實體交換器或該虛擬交換器檢視一該訊務的虛擬區域網路標籤並將該訊務導向對應該虛擬路由器。
  5. 如申請專利範圍第1項所述的支援多樣性端對端隔離之虛擬私人網路服務供裝系統,其中該實體交換器或該虛擬交換器佈建於該伺服器。
  6. 如申請專利範圍第4項所述的支援多樣性端對端隔離之虛擬私人網路服務供裝系統,其中該伺服器供裝多台虛擬機,於各虛擬機配置該至少一虛擬路由器。
  7. 如申請專利範圍第1項所述的支援多樣性端對端隔離之虛擬私人網路服務供裝系統,其中該至少一虛擬路由依據多個用戶設備送來的不同訊務之虛擬區域網路標籤,將不同類型之訊務隔離並導向對應該虛擬私人網路,以達到端對端的虛擬網路隔離。
  8. 如申請專利範圍第4項所述的支援多樣性端對端隔離之虛擬私人網路服務供裝系統,其中一實體路由器由該至少一虛擬路由器取代,由該至少一虛擬路由器設置相同的閘道器,多個用戶設備不需更動該閘道器的網際網路協定位址,且不同該虛擬路由器佈建於該伺服器中的不同虛擬機上,確保不同訊務各自有獨立路由表,以達到端對端隔離之虛擬私人網路服務。
  9. 如申請專利範圍第1項所述的支援多樣性端對端隔離之虛擬私人網路服務供裝系統,其中該伺服器更包括: 一虛擬網路控制模組,負責多個虛擬機連接實體網路與該些虛擬機彼此間連線的建立,其中於每一該虛擬機配置一該虛擬路由器;以及 一時間管理模組,接收該虛擬網路控制模組的時間管理設定,負責管控多個用戶設備的合法連網時間,並於非法連網時間阻擋該些用戶設備往來的訊務,而該實體交換器或該虛擬交換器依據該時間管理模組的設定檢驗訊務資訊判斷依時間範圍內該些用戶設備可否存取網路,其中該設定檢驗訊務資訊是基於該時間管理設定。
TW106126451A 2017-08-04 2017-08-04 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統 TWI630488B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW106126451A TWI630488B (zh) 2017-08-04 2017-08-04 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統
CN201810201204.XA CN109391533B (zh) 2017-08-04 2018-03-12 支持多样性端对端隔离的虚拟私人网络服务供装系统
JP2018112571A JP6591621B2 (ja) 2017-08-04 2018-06-13 多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106126451A TWI630488B (zh) 2017-08-04 2017-08-04 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統

Publications (2)

Publication Number Publication Date
TWI630488B true TWI630488B (zh) 2018-07-21
TW201911068A TW201911068A (zh) 2019-03-16

Family

ID=63640423

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106126451A TWI630488B (zh) 2017-08-04 2017-08-04 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統

Country Status (3)

Country Link
JP (1) JP6591621B2 (zh)
CN (1) CN109391533B (zh)
TW (1) TWI630488B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI692956B (zh) * 2019-03-04 2020-05-01 中華電信股份有限公司 立基於軟體定義網路之IPv6存取管理系統及其方法

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110336758B (zh) * 2019-05-28 2022-10-28 厦门网宿有限公司 一种虚拟路由器中的数据分发方法及虚拟路由器
CN112822149B (zh) * 2020-08-17 2022-07-12 北京辰信领创信息技术有限公司 一种基于智能路由器物理口和mac及ip的终端准入管控设计
CN113395318A (zh) * 2021-03-17 2021-09-14 河海大学 一种基于sdn的电网数据中心网络架构及配置方法
CN114070622B (zh) * 2021-11-16 2024-02-09 北京宏达隆和科技有限公司 一种基于网络端口安全的微隔离系统
CN114143795B (zh) * 2021-12-14 2024-01-30 天翼物联科技有限公司 基于5g网络的局域网组网方法和系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8239572B1 (en) * 2010-06-30 2012-08-07 Amazon Technologies, Inc. Custom routing decisions
US20120221955A1 (en) * 2009-01-28 2012-08-30 Raleigh Gregory G End user device that secures an association of application to service policy with an application certificate check
TWI514184B (zh) * 2012-05-01 2015-12-21 Harris Corp 用於動態地改變網路狀態之系統及方法
TWI526872B (zh) * 2013-11-04 2016-03-21 伊洛米歐公司 用於隔離一受管理伺服器之系統及其相關方法及非暫時性電腦可讀儲存媒體
TW201643765A (zh) * 2015-02-04 2016-12-16 英特爾公司 用於虛擬化網路的可縮放安全架構之技術
US9571451B2 (en) * 2015-03-27 2017-02-14 International Business Machines Corporation Creating network isolation between virtual machines

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9847915B2 (en) * 2013-01-11 2017-12-19 Huawei Technologies Co., Ltd. Network function virtualization for a network device
US9548896B2 (en) * 2013-12-27 2017-01-17 Big Switch Networks, Inc. Systems and methods for performing network service insertion
JP2016163180A (ja) * 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120221955A1 (en) * 2009-01-28 2012-08-30 Raleigh Gregory G End user device that secures an association of application to service policy with an application certificate check
US8239572B1 (en) * 2010-06-30 2012-08-07 Amazon Technologies, Inc. Custom routing decisions
TWI514184B (zh) * 2012-05-01 2015-12-21 Harris Corp 用於動態地改變網路狀態之系統及方法
TWI526872B (zh) * 2013-11-04 2016-03-21 伊洛米歐公司 用於隔離一受管理伺服器之系統及其相關方法及非暫時性電腦可讀儲存媒體
TW201643765A (zh) * 2015-02-04 2016-12-16 英特爾公司 用於虛擬化網路的可縮放安全架構之技術
US9571451B2 (en) * 2015-03-27 2017-02-14 International Business Machines Corporation Creating network isolation between virtual machines

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI692956B (zh) * 2019-03-04 2020-05-01 中華電信股份有限公司 立基於軟體定義網路之IPv6存取管理系統及其方法

Also Published As

Publication number Publication date
JP2019033475A (ja) 2019-02-28
CN109391533A (zh) 2019-02-26
TW201911068A (zh) 2019-03-16
JP6591621B2 (ja) 2019-10-16
CN109391533B (zh) 2021-04-13

Similar Documents

Publication Publication Date Title
TWI630488B (zh) 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統
US11646964B2 (en) System, apparatus and method for providing a virtual network edge and overlay with virtual control plane
JP7373560B2 (ja) 相乗的なdnsセキュリティ更新
US20230224246A1 (en) System, apparatus and method for providing a virtual network edge and overlay with virtual control plane
Lasserre et al. Framework for data center (DC) network virtualization
US9929964B2 (en) System, apparatus and method for providing aggregation of connections with a secure and trusted virtual network overlay
US8121126B1 (en) Layer two (L2) network access node having data plane MPLS
US8085791B1 (en) Using layer two control protocol (L2CP) for data plane MPLS within an L2 network access node
WO2020205893A1 (en) On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints
US20100293250A1 (en) Method to allow seamless connectivity for wireless devices in dhcp snooping/dynamic arp inspection/ip source guard enabled unified network
EP3909208B1 (en) Software defined access fabric without subnet restriction to a virtual network
CN104144082A (zh) 二层网络中检测环路的方法及控制器
Liao et al. A dynamic VPN architecture for private cloud computing
WO2020048348A1 (zh) 数据传输方法和系统
EP3387801A1 (en) Customer premises lan expansion
CA2912643A1 (en) System, apparatus and method for providing a virtual network edge and overlay with virtual control plane
KR20180104377A (ko) 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법
Liyanage et al. Secure virtual private LAN services: An overview with performance evaluation
Prasad et al. Intervlan Routing and Various Configurations on Vlan in a Network using Cisco Packet Tracer
George et al. A Brief Overview of VXLAN EVPN
US10944665B1 (en) Auto-discovery and provisioning of IP fabric underlay networks for data centers
Finlayson et al. VPN Technologies-a comparison
Lin et al. Internetworking with SDN using existing BGP
KR102280854B1 (ko) Ip 모빌리티 지원 방법 및 ip 모빌리티 제공 시스템
Long Design for security configuration of remote management multi-VLAN switch based on VLAN trunking protocol