WO2017122847A1 - Sdn 기반의 네트워크 시스템의 멀티 테넌트 지원 방법 및 그 시스템 - Google Patents

Abstract

본 발명은 SDN(Software Defined Network) 기반의 네트워크 시스템의 멀티 테넌트 지원 방법 및 그 시스템에 관한 것으로, 복수의 가상 라우터를 이용하여 탄력적인 네트워크 운용이 가능하고, 복수의 라우터를 통해 멀티 테넌시를 지원하며, 멀티 테넌트를 지원하는 방법 및 그 시스템에 관한 것이다. 본 시스템은 SDN 기반의 복수의 스위치를 제어하는 제어기; 상기 복수의 스위치 중 적어도 일부의 스위치를 포함하는 스위치 군을 가상 라우터로 취급하여, 상기 스위치 군 중 어느 한 스위치에 인입되는 패킷에 대한 라우팅 정보를 생성하는 레거시 컨테이너; 및 가상 라우터 생성 요청 메시지를 수신하면, 컴퓨팅 자원을 할당하여 상기 레거시 컨테이너를 가상화 기술을 이용하여 생성하는 레거시 컨테이너 앱을 포함하고, 상기 레거시 컨테이너 앱은 상기 복수의 스위치로 인입하는 패킷에 기반한 특정 정보인 슬라이싱 식별자를 기초로 레거시 컨테이너를 복수개 생성할 수 있다.

Description

SDN 기반의 네트워크 시스템의 멀티 테넌트 지원 방법 및 그 시스템

본 발명은 SDN(Software Defined Network) 기반의 네트워크 시스템의 멀티 테넌트 지원 방법 및 그 시스템에 관한 것으로, 복수의 가상 라우터를 이용하여 탄력적인 네트워크 운용이 가능하고, 복수의 라우터를 통해 멀티 테넌시를 지원하며, 멀티 테넌트를 지원하는 방법 및 그 시스템에 관한 것이다.

휴대 장치 및 서버 가상화의 폭발적인 증가와 클라우드 서비스의 출현으로, 네트워크 수요가 늘어났다. SDN(Software-Defined Network)은 네트워크 관리자가 낮은 레벨 기능의 추상화를 통해 네트워크 서비스를 관리할 수 있는 컴퓨터 네트워킹에의 접근이다. 이는 선택된 목적지로 트래픽을 포워딩하는 근본적인 시스템(데이터 평면; data plane)으로부터 트래픽이 어디로 전송될 것인지에 대한 결정을 하는 시스템(제어 평면; control plane)을 분리함으로써 달성할 수 있다.

오픈 플로우는 고속 데이터 평면과 높은 레벨의 라우팅 결정 기능들을 분리하는 메커니즘 중 하나이다. 패킷 포워딩 플레인은 여전히 스위치 단에 관여되며, 반면 고수준 라우팅 결정은 분리된 컨트롤러에서 관여되며, 이들은 오픈 플로우 프로토콜을 통해 통신한다.

그러나 기존 네트워크에서 SDN으로의 전환 과도기로서, 기존 레거시 프로토콜 및 장치를 SDN에 끊임 없이 연결하는 인터페이스를 정의할 필요가 있다. 이러한 하이브리드 SDN 네트워크를 구성하는 장비는 컴퓨팅 자원이나 네트워킹 자원 소모가 적으며, 단순한 구조와 운영이 필요하다.

기존의 가상 라우터의 경우 제어 평면과 데이터 평면이 공존하고, 기존 라우터를 가상 머신 형태로 옮긴 경우가 많다. 이는 가상화 기술에 의존적일 수 밖에 없고, 기존 하드웨어 라우터에 비해 성능이 낮을 수 밖에 없다. 또한 기존 라우터의 경우 라우터 마다 개별 관리를 해야 하고, 네트워크의 요구 변화에 능동적으로 대응하지 못하였다.

기존 클라우드 환경에서 DHCP 핸들링을 통한 네트워크 관리는 클라우드 컨트롤 노드에서 이루어진다. 클라우드 환경을 SDN 네트워크 기반에서 운용하는 경우, 기존 SDN 네트워크를 관리하는 SDN 제어기의 정보와 클라우드 내부 네트워크를 관리하는 DHCP 정보의 분산이 이러나 관리에 어려움이 있다.

<선행기술문헌>

비특허문헌 1. OpenFlow Switch Specification version 1.4.0(Wire Protocol 0x05), October 14, 2013 [https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-spec-v1.4.0.pdf]

비특허문헌 2. Software-Defined Networking: The New Norm for Netwrks, ONF White Paper, April 13, 2012 [https://www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf]

비특허문헌 3. ETSI GS NFV 002 v1.1.1 (2013-10)

[http://www.etsi.org/deliver/etsi_gs/NFV/001_099/002/01.01.01_60/gs_NFV002v010101p.pdf]

본 발명의 목적은 SDN 네트워크에서 레거시 네트워크를 지원할 수 있도록 하며, 데이터 센터와 같이 다양한 사용자에게 클라우드 환경을 제공하고, 사용자의 사용량에 따라 과금할 수 있도록 하며, 탄력적인 네트워크 운용이 가능하도록 하고, 사용자의 서비스 품질을 보장하면서 손쉬운 네트워크 관리가 가능한 SDN 기반의 멀티 테넌트 지원 네트워크 시스템을 제공하는 데 있다.

또한 클라우드 컨트롤 노드에서 관리하던 DHCP 서버를 SDN 제어기가 직접 관리하는 IP 주소 제공 방법을 제공하는 데 본 발명의 다른 목적이 있다.

본 발명의 일실시예에 따른 SDN 기반의 멀티 테넌트 지원 네트워크 시스템은, SDN(Software Defined Network) 기반의 복수의 스위치를 제어하는 제어기; 상기 복수의 스위치 중 적어도 일부의 스위치를 포함하는 스위치 군을 가상 라우터로 취급하여, 상기 스위치 군 중 어느 한 스위치에 인입되는 패킷에 대한 라우팅 정보를 생성하는 레거시 컨테이너; 및 가상 라우터 생성 요청 메시지를 수신하면, 컴퓨팅 자원을 할당하여 상기 레거시 컨테이너를 가상화 기술을 이용하여 생성하는 레거시 컨테이너 앱을 포함하고, 상기 레거시 컨테이너 앱은 상기 복수의 스위치로 인입하는 패킷에 기반한 특정 정보인 슬라이싱 식별자를 기초로 레거시 컨테이너를 복수개 생성할 수 있다.

본 발명의 일실시예에 따른 SDN 기반의 멀티 테넌트 지원 방법은, SDN(Software Defined Network) 기반의 복수의 스위치를 제어하는 제어기; 가상 라우팅 기능을 제공하는 레거시 컨테이너; 및 상기 레거시 컨테이너를 생성하는 레거시 컨테이너 앱을 구비하는 네트워크 시스템의 멀티 테넌트 지원 방법으로서, 상기 레거시 컨테이너 앱에서, 라우팅 요청 메시지를 수신하는 단계; 상기 앱에서 컴퓨팅 자원을 할당하여 상기 레거시 컨테이너를 생성하는 단계; 상기 앱에서 상기 컨테이너에 네임 스페이스 식별자를 구비하는 네트워크 정보를 지정하는 단계; 및 상기 컨테이너에서, 상기 네트워크 정보를 이용하여 가상 라우팅 기능을 준비하는 단계를 포함하고, 상기 네임 스페이스 식별자는 상기 복수의 스위치에 연결된 복수의 테넌트(tenant) 중 어느 한 테넌트에 대응할 수 있다.

본 발명에 따르면, SDN 네트워크에서 레거시 네트워크를 지원할 수 있으며, 다수의 가상 라우터를 제공할 수 있으며, 다수의 가상 라우터를 SDN 제어기에서 일괄 관리할 수 있도록 할 수 있다. 이에 따라 다양한 사용자 별로 라우팅 기능을 제공할 수 있으며, 멀티 테넌시 기능을 제공할 수도 있다. 또한 관리의 복잡성을 줄일 수 있다.

도 1은 본 발명의 일실시예에 따른 SDN 네트워크 시스템의 구조도,

도 2는 도 1의 네트워크 시스템의 제어기의 블록 구성도(block diagram),

도 3은 도 1의 네트워크 시스템의 스위치의 블록 구성도,

도 4는 플로우 엔트리의 필드 테이블 및 플로우 엔트리에 따른 동작 종류를 나타내는 동작 테이블,

도 5는 그룹 및 미터 테이블의 필드 테이블,

도 6은 본 발명의 일 실시예에 따른 멀티 테넌트 지원 네트워크 시스템에 대한 구조도,

도 7은 도 6의 네트워크 시스템의 구성요소에 대한 블록 구성도,

도 8은 본 발명의 다른 실시예에 따른 레거시 컨테이너의 블록 구성도,

도 9는 레거시 컨테이너 생성 방법에 대한 순서도,

도 10은 도 9의 라우팅 기능 준비 방법을 구체화한 순서도,

도 11은 가상 라우터의 다양한 인터페이스를 도시한 구조도,

도 12는 본 발명의 다른 실시예에 따른 네트워크 구조도,

도 13은 도 12에 따른 가상 라우터의 구조도,

도 14는 도 6의 제어기의 플로우에 대한 레거시 라우팅 여부 판단 방법에 대한 순서도,

도 15는 레거시 컨테이너에서 인입 패킷에 대한 처리 방법의 순서도, 및

도 16은 도 15의 라우팅 처리가 아닌 일례에 대한 순서도이다.

이하, 도면을 참조하여 본 발명을 보다 상세하게 설명한다.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 또한 네트워크 상의 제1 구성요소와 제2 구성요소가 연결되어 있거나 접속되어 있다는 것은, 유선 또는 무선으로 제1 구성요소와 제2 구성요소 사이에 데이터를 주고 받을 수 있음을 의미한다.

또한, 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 단순히 본 명세서 작성의 용이함만이 고려되어 부여되는 것으로서, 그 자체로 특별히 중요한 의미 또는 역할을 부여하는 것은 아니다. 따라서, 상기 "모듈" 및 "부"는 서로 혼용되어 사용될 수도 있다.

이와 같은 구성요소들은 실제 응용에서 구현될 때 필요에 따라 2 이상의 구성요소가 하나의 구성요소로 합쳐지거나, 혹은 하나의 구성요소가 2 이상의 구성요소로 세분되어 구성될 수 있다. 도면 전체를 통하여 동일하거나 유사한 구성요소에 대해서는 동일한 도면 부호를 부여하였고, 동일한 도면 부호를 가지는 구성요소에 대한 자세한 설명은 전술한 구성요소에 대한 설명으로 대체되어 생략될 수 있다.

SDN은 패킷을 전달하는 데이터 플레인과 패킷의 흐름을 제어하는 제어 플레을 분리된 개념이다. SDN에서 패킷이 발생했을 때, 네트워크 장비는 패킷을 어디로 전달할지 SDN 제어 소프트웨어(제어기)에게 물어보고, 그 결과를 반영하여 패킷을 전송하는 경로와 방식을 결정한다. SDN은 이론적인 개념으로, 실제로 적용하기 위해 오픈플로우(Openflow)가 등장하였다. 즉 오픈플로우는 SDN을 구현하기 위해 제정된 표준 인터페이스이다. 오픈플로우는 오픈플로우 제어기와 오픈플로우 스위치로 구성되어, 플로우 정보를 제어하여 패킷의 전달 경로 및 방식을 결정한다. 본 명세서 전반에서, 오픈플로우와 SDN는 서로 동일한 의미로 사용되거나 혼용하여 사용될 수 있다.

플로우(flow)는 하나의 스위치 관점에서 적어도 하나의 헤더 필드의 값을 공유하는 일련의 패킷들 또는 다중 스위치의 여러 플로우 엔트리(flow entry)들의 조합에 따른 특정 경로의 패킷 흐름을 의미할 수 있다. 오픈플로우 네트워크는 플로우 단위로 경로 제어, 장애 회복, 부하 분산 및 최적화를 행할 수 있다. 본 명세서에서 플로우는 특정 패킷을 의미할 수 있으며, 특정 패킷과 인입 포트 등 다른 메타데이터를 포함하는 것을 의미할 수도 있다.

도 1은 본 발명의 일실시예에 따른 SDN 네트워크 시스템의 블록 구성도(block diagram), 도 2는 도 1의 네트워크 시스템의 제어기의 블록 구성도, 도 3은 도 1의 네트워크 시스템의 스위치의 블록 구성도, 도 4는 플로우 엔트리의 필드 테이블 및 플로우 엔트리에 따른 동작 종류를 나타내는 동작 테이블, 도 5는 그룹 및 미터 테이블의 필드 테이블이다.

도 1(a)를 참조하면, 본 발명에 일 실시예에 따른 SDN 네트워크 시스템은 제어기(contoller)(10), 복수의 스위치(20) 및 복수의 네트워크 디바이스(30)를 포함할 수 있다.

네트워크 디바이스(30)는 데이터나 정보를 주고 받고자 하는 사용자 단말 장치, 또는 특정 기능을 수행하는 물리 장치 또는 가상 장치를 포함할 수 있다. 하드웨어 관점에서, 네트워크 디바이스(30)는 PC, 클라이언트 단말기, 서버, 워크스테이션, 수퍼컴퓨터, 이동통신 단말기, 스마트폰, 스마트패드 등이 있을 수 있다. 또한 네트워크 디바이스(30)는 물리 장치 상에 생성된 가상 머신(VM)일 수 있다.

네트워크 디바이스(30)는 네트워크 상의 여러가지 기능을 수행하는 네트워크 기능(network function)으로 지칭될 수 있다. 네트워크 기능은 안티(anti) DDoS, 침입 감지/차단(IDS/IPS), 통합 보안 서비스, 가상 사설망 서비스, 안티 바이러스, 안티 스팸, 보안 서비스, 접근관리 서비스, 방화벽, 로드 밸런싱, QoS, 비디오 최적화 등을 포함할 수 있다. 이러한 네트워크 기능은 가상화될 수 있다.

가상화된 네트워크 기능으로 ETSI(유럽전기통신표준협회)에서 발행한 NFV 관련 백서(비특허문헌 3 참조)에서 정의된 네트워크 기능 가상화(Network Function Virtualiztion; NFV)가 있다. 본 명세서에서 네트워크 기능(NF)은 네트워크 기능 가상화(NFV)와 혼용하여 사용될 수 있다. NFV는 테넌트(tenant)별 필요한 L4-7 서비스 연결을 동적으로 생성하여 필요한 네트워크 기능을 제공하거나, DDoS 공격의 경우 정책 기반으로 필요한 방화벽, IPS 및 DPI 기능 등을 일련의 서비스 체이닝으로 빠르게 제공되는데 이용될 수 있다. 또한 NFV는 방화벽이나 IDS/IPS를 쉽게 온오프 할 수 있으며, 자동으로 프로비저닝(provisioning)할 수 있다. NFV는 오버 프로비저닝의 필요성도 줄일 수 있다.

제어기(controller)(10)는 SDN 시스템을 제어하는 일종의 지휘 컴퓨터로서, 다양하고 복잡한 기능들, 예를 들어, 라우팅, 정책 선언, 및 보안 체크 등을 할 수 있다. 제어기(10)는 하위 계층의 복수의 스위치(20)에서 발생하는 패킷의 플로우를 정의할 수 있다. 제어기(10)는 네트워크 정책 상 허용되는 플로우에 대해 네트워크 토폴로지 등을 참조하여 플로우가 경유할 경로(데이터 경로)를 계산한 후, 경로 상의 스위치에 상기 플로우의 엔트리가 설정되도록 할 수 있다. 제어기(10)는 특정 프로토콜, 예를 들어, 오픈플로우 프로토콜을 이용하여 스위치(20)와 통신할 수 있다. 제어기(10)와 스위치(20)의 통신 채널은 SSL에 의해 암호화 될 수 있다.

도 2를 참조하면, 제어기(10)는 스위치(20)와 통신하는 스위치 통신부(110), 제어부(100), 및 저장부(190)를 포함할 수 있다.

저장부(190)는 제어부(100)의 처리 및 제어를 위한 프로그램을 저장할 수 있다. 저장부(190)는 입력되거나 출력되는 데이터들(패킷, 메시지 등)을 임시 저장을 위한 기능을 수행할 수 있다. 저장부(190)는 플로우 엔트리를 저장하는 엔트리 데이터베이스(DB)(191)를 포함할 수 있다.

제어부(100)는 통상적으로 상기 각 부의 동작을 제어하여 제어기(10)의 전반적인 동작을 제어할 수 있다. 제어부(100)는 토폴로지 관리 모듈(120), 경로 계산 모듈(125), 엔트리 관리 모듈(135) 및 메시지 관리 모듈(130)을 포함할 수 있다. 각 모듈은 제어부(100) 내에 하드웨어로 구성될 수 있고, 제어부(100)와 별개의 소프트웨어로 구성될 수도 있다.

토폴로지 관리 모듈(120)은 스위치 통신부(110)를 통하여 수집된 스위치(20)의 접속 관계를 기초로 네트워크 토폴로지 정보를 구축 및 관리 할 수 있다. 네트워크 토폴로지 정보는 스위치들 사이의 토폴로지 및 각 스위치에 연결되어 있는 네트워크 디바이스들의 토폴로지를 포함할 수 있다. 토폴로지 정보는 저장부(190)에 저장될 수 있다.

경로 계산 모듈(125)은 토폴로지 관리 모듈(120)에서 구축된 네트워크 토폴로지 정보를 기초로 스위치 통신부(110)를 통해 수신한 패킷의 데이터 경로 및 상기 데이터 경로 상의 스위치에서 실행될 액션 열을 구할 수 있다.

엔트리 관리 모듈(135)는 경로 계산 모듈(125)에서 계산된 결과, QoS 등의 정책, 사용자 지시 등을 기초로 플로우 테이블, 그룹 테이블, 및 미터 테이블 등의 엔트리로서 엔트리 DB(191)에 등록할 수 있다. 엔트리 관리 모듈(135)은 스위치(20)에 미리 각 테이블의 엔트리가 등록되도록 하거나(proactive), 스위치(20)로부터의 엔트리의 추가 또는 갱신 요구에 응답(reactive)할 수 있다. 엔트리 관리 모듈(135)은 필요에 따라 또는 스위치(10)의 엔트리 소멸 메시지 등에 의해 엔트리 DB(191)의 엔트리를 변경하거나 삭제할 수 있다.

메시지 관리 모듈(130)은 스위치 통신부(110)를 통해 수신한 메시지를 해석하거나, 스위치 통신부(110)를 통해 스위치로 전송되는 후술할 제어기-스위치 메시지를 생성할 수 있다. 제어기-스위치 메시지 중 하나인 상태 변경 메시지는 엔트리 관리 모듈(135)에 의해 생성된 엔트리 또는 엔트리 DB(191)에 저장된 엔트리에 기초하여 생성될 수 있다.

스위치(20)는 오픈플로우 프로토콜을 지원하는 물리적인 스위치 또는 가상 스위치일 수 있다. 스위치(20)는 수신한 패킷을 처리하여, 네트워크 디바이스(30) 사이의 플로우를 중계할 수 있다. 이를 위해 스위치(20)는 하나의 플로우 테이블 또는 비특허문헌 1에 상술되어 있는 파이프라인(pipeline) 처리를 위해 다중 플로우 테이블을 구비할 수 있다.

플로우 테이블은 네트워크 디바이스(30)의 플로우를 어떻게 처리할 지의 규칙을 정의한 플로우 엔트리를 포함할 수 있다.

스위치(20)는 다중 스위치의 조합에 따른 플로우의 입구 및 출구 측 에지 스위치(edge switch)(ingress switch and egress switch)와 에지 스위치 사이의 코어 스위치(core switch)로 구분될 수 있다.

도 3을 참조하면, 스위치(20)는 다른 스위치 및/또는 네트워크 디바이스와 통신하는 포트부(205), 제어기(10)와 통신하는 제어기 통신부(210), 스위치 제어부(200), 및 저장부(290)를 포함할 수 있다.

포트부(205)는 스위치 또는 네트워크 디바이스와 연결된 한 쌍의 포트를 다수 구비할 수 있다. 한 쌍의 포트는 하나의 포트로 구현될 수 있다.

저장부(290)는 스위치 제어부(200)의 처리 및 제어를 위한 프로그램을 저장할 수 있다. 저장부(290)는 입력되거나 출력되는 데이터들(패킷, 메시지 등)을 임시 저장을 위한 기능을 수행할 수 있다. 저장부(290)는 플로우 테이블, 그룹 테이블, 및 미터 테이블 등의 테이블(291)을 구비할 수 있다. 테이블(230) 또는 테이블의 엔트리는 제어기(10)의 메시지에 기초하여 추가, 수정, 삭제될 수 있다. 테이블 엔트리는 스위치(20)에 의해 자체적으로 파기될 수 있다.

플로우 테이블은 오픈플로우의 파이프라인(pipeline)을 처리하기 위해 다중 플로우 테이블로 구성될 수 있다. 도 4를 참조하면, 플로우 테이블의 플로우 엔트리는 패킷과 매치하는 조건(대조 규칙)을 기술한 매치 필드(match fields), 우선 순위(priority), 매치되는 패킷이 있는 경우 업데이트되는 카운터(counters), 플로우 엔트리에 매치되는 패킷이 있으면 발생하는 다양한 액션들의 집합인 인스트럭션(instruction), 스위치에서 파기될 시간을 기술하는 타임아웃(timeouts), 제어기에 의해 선택되어지는 오파큐(opaque) 타입으로, 제어기에 의해 플로우 통계, 플로우 변경, 및 플로우 삭제를 필터하기 위해 사용될 수 있으며, 패킷 처리시 사용되지 않는 쿠키(cookie) 등의 튜플(tuple)을 포함할 수 있다.

인스트럭션(instruction)은 다른 플로우 테이블로 패킷을 전달하는 것과 같은 파이프라인 프로세싱을 변경할 수 있다. 또한 인스트럭션은 액션 셋(action set)에 액션을 더하는 액션(action)들의 집합, 또는 패킷에 바로 적용하기 위한 액션들의 리스트를 포함할 수 있다. 액션(action)은 특정 포트로 패킷을 전송하거나, TTL 필드를 감소시키는 것과 같이 패킷을 수정하는 작업을 의미할 수 있다. 액션은 플로우 엔트리와 연관된 인스트럭션 집합의 일부 또는 그룹 엔트리와 연관된 액션 버킷에 속할 수 있다. 액션 셋(action set)은 각 테이블에서 지시된 액션이 누적된 집합을 의미한다. 액션 셋은 매치되는 테이블이 없을 때 수행될 수 있다. 도 5는 플로우 엔트리에 의한 여러 패킷 처리를 예시한다.

파이프라인(pipleline)은 패킷과 플로우 테이블 사이의 일련의 패킷 처리 과정을 의미한다. 스위치(20)에 패킷이 유입되면, 스위치(20)는 첫번째 플로우 테이블의 우선 순위가 높은 순서대로 패킷과 매칭되는 플로우 엔트리를 탐색한다. 매칭이 되면 해당 엔트리의 인스트럭션을 수행한다. 인스트럭션은 매칭되면 바로 수행하는 명령(apply-action), 액션 셋의 내용을 지우거나 추가/수정하는 명령(clear-action; write-action), 메타데이터(metadata) 수정 명령(write-metadata), 지정된 테이블로 메타데이터와 함께 패킷을 이동시키는 고우투 명령(goto-table) 등이 있다. 패킷과 매칭되는 플로우 엔트리가 없는 경우, 테이블 설정에 따라 패킷을 폐기(drop)하거나 제어기(10)로 패킷을 패킷-인 메시지(packet-in message)에 실어서 보낼 수 있다.

그룹 테이블은 그룹 엔트리들을 포함할 수 있다. 그룹 테이블은 플로우 엔트리에 의해 지시되어 추가적인 포워딩 방법들을 제시할 수 있다. 도 5(a)를 참조하면, 그룹 테이블의 그룹 엔트리는 다음과 같은 필드를 구비할 수 있다. 그룹 엔트리를 구분할 수 있는 그룹 식별자(group identifier), 그룹 엔트리에 정의된 액션 버킷들을 일부(select) 또는 전부(all) 수행할 것이 여부에 대한 규칙을 명시한 그룹 타입(group type), 플로우 엔트리의 카운터와 같이 통계를 위한 카운터(counters), 및 그룹을 위해 정의된 파라미터들과 연관된 액션들의 집합인 액션 버킷(action buckets)을 포함할 수 있다.

미터 테이블(meter table)은 미터 엔트리들(meter entries)로 구성되며, 플로우 미터-당(per-flow meters)을 정의한다. 플로우 미터-당은 오픈플로우가 다양한 QoS 작동을 적용될 수 있도록 할 수 있다. 미터(meter)는 패킷의 레이트(rate of packets)를 측정 및 제어할 수 있는 일종의 스위치 요소이다. 도 5(b)를 참조하면, 미터 테이블(meter table)은 미터를 식별하는 미터 식별자(meter identifier), 밴드(band)에 지정된 속도와 패킷 동작 방법을 나타내는 미터 밴드(meter bands), 및 패킷이 미터에서 동작될 때 업데이트되는 카운터(counters) 필드들로 구성된다. 미터 밴드(meter bands)는 패킷이 어떻게 처리되는 지를 나타내는 밴드 타입(band type), 미터에 의해 미터 밴드를 선택하는데 사용되는 레이트(rate), 미터 밴드에 의해 패킷들이 처리될 때 업데이트되는 카운터(counters), 및 선택적인 아규먼트(argument)를 가지는 배드 타입들인 특정 아규먼트 타입(type specific argument)과 같은 필드들로 구성될 수 있다.

스위치 제어부(200)는 통상적으로 상기 각 부의 동작을 제어하여 스위치(20)의 전반적인 동작을 제어할 수 있다. 스위치 제어부(200)는 테이블(291)을 관리하는 테이블 관리 모듈(240), 플로우 검색 모듈(220), 플로우 처리 모듈(230), 및 패킷 처리 모듈(235)를 포함할 수 있다. 각 모듈은 제어부(200) 내에 하드웨어로 구성될 수 있고, 제어부(200)와 별개의 소프트웨어로 구성될 수도 있다.

테이블 관리 모듈(240)은 제어기 통신부(210)를 통해 제어기(10)로부터 수신한 엔트리를 적절한 테이블에 추가하거나, 타임 아웃(time out)된 엔트리를 주기적으로 제거할 수 있다.

플로우 검색 모듈(220)은 유저 트래픽으로서 수신한 패킷으로부터 플로우 정보를 추출할 수 있다. 플로우 정보는 에지 스위치의 패킷 유입 포트인 입구 포트(ingress port)의 식별 정보, 해당 스위치의 패킷 유입 포트(incoming port)의 식별 정보, 패킷 헤더 정보(송신원 및 목적지의 IP 주소, MAC 주소, 포트, 및 VLAN 정보 등), 및 메타데이터 등을 포함할 수 있다. 메타데이터는 이전 테이블에서 선택적으로 추가되거나, 다른 스위치에서 추가된 데이터일 수 있다. 플로우 검색 모듈(220)은 추출한 플로우 정보를 참조하여 테이블(291)에 수신 패킷에 대한 플로우 엔트리가 있는지 검색할 수 있다. 플로우 검색 모듈(220)은 플로우 엔트리가 검색되면, 플로우 처리 모듈(260)에 검색된 플로우 엔트리에 따라 수신 패킷을 처리하도록 요청할 수 있다. 만일 플로우 엔트리 검색이 실패하면, 플로우 검색 모듈(220)은 수신 패킷 또는 수신 패킷의 최소한의 데이터를 제어기 통신부(210)를 통해 제어기(10)로 전송할 수 있다.

플로우 처리 모듈(230)는 플로우 검색 모듈(220)에서 검색된 엔트리에 기술된 절차에 따라 패킷을 특정 포트 또는 다중 포트로 출력하거나, 드롭시키거나 또는 특정 헤더 필드를 수정하는 등의 액션을 처리할 수 있다.

플로우 처리 모듈(230)는 플로우 엔트리의 파이프라인 프로세스를 처리하거나 액션을 변경하기 위한 인스트럭션을 실행하거나 다중 플로우 테이블에서 더 이상 다음 테이블로 갈 수 없을 때 액션 세트를 실행할 수 있다.

패킷 처리 모듈(235)은 플로우 처리 모듈(230)에 의해 처리된 패킷을 플로우 처리 모듈(230)에서 지정한 포트부(205)의 하나 또는 2 이상의 포트로 실제로 출력할 수 있다.

도 1(b)를 참조하면, SDN 네트워크 시스템은 오케스트레이터(1)를 더 포함할 수 있다. 오케스트레이터(1)는 가상 네트워크 디바이스, 가상 스위치 등을 생성, 변경 및 삭제할 수 있다. 오케스트레이터(1)에서 가상 네트워크 디바이스를 생성하는 경우, 오케스트레이터(1)는 가상 네트워크가 접속할 스위치의 식별 정보, 해당 스위치에 연결되는 포트 식별 정보, MAC 주소, IP 주소, 터넨트(tenant) 식별 정보 및 네트워크 식별 정보 등의 네트워크 디바이스의 정보를 제어기(10)로 제공할 수 있다.

제어기(10) 및 스위치(20)는 오케스트레이터(1)와 별도의 인터페이스로 통신하거나, 제어기(10)의 스위치 통신부(110) 및 스위치(20)의 제어기 통신부(210)를 통해 오케스트레이터(1)와 통신할 수 있다. 스위치(20)는 제어기(10)를 통해 오케스트레이터(1)와 메시지를 주고 받을 수 있다.

제어기(10)와 스위치(20)는 다양한 정보를 주고 받는데, 이를 오픈플로우 프로토콜 메시지(openflow protocol message)라 칭한다. 이러한 오픈플로우 메시지는 제어기-스위치 메시지(controller-to-switch message), 비동기 메시지(asynchronous message), 및 대칭 메시지(symmetric message) 등의 타입이 있다. 각 메시지는 엔트리를 식별하는 트랜잭션 식별자(transaction id; xid)를 헤더에 구비할 수 있다.

제어기-스위치 메시지는 제어기(10)가 생성하여 스위치(20)에 전달하는 메시지로써, 주로 스위치(20)의 상태를 관리하거나 점검하기 위해 사용된다. 제어기-스위치 메시지는 제어기(10)의 제어부(100), 특히 메시지 관리 모듈(130)에 의해 생성될 수 있다.

제어기-스위치 메시지는 스위치의 능력(capabilities)을 문의하는 기능(features), 스위치(20)의 구성 매개 변수 등의 설정을 문의하고 설정하기 위한 설정(configuration), 오픈플로우 테이블의 플로우/그룹/미터 엔트리들을 추가/삭제/수정하기 위한 상태 변경 메시지(modify state message), 패킷-인 메시지를 통해 스위치로부터 수신한 패킷을 해당 스위치 상의 특정한 포트로 전송하도록 하는 패킷-아웃 메시지(packet-out message) 등이 있다. 상태 변경 메시지는 플로우 테이블 변경 메시지(modify flow table message), 플로우 엔트리 변경 메시지(modify flow entry message), 그룹 엔트리 변경 메시지(modify group entry message), 포트 변경 메시지(prot modification message), 및 미터 엔트리 변경 메시지(meter modification message) 등이 있다.

비동기 메시지는 스위치(20)가 생성하는 메시지로서, 스위치의 상태 변경 및 네트워크 이벤트 등을 제어기(10)에서 업테이트하기 위해 사용된다. 비동기 메시지는 스위치(20)의 제어부(200), 특히 플로우 검색 모듈(220)에 의해 생성될 수 있다.

비동기 메시지로 패킷-인 메시지(packet-in message), 플로우 삭제 메시지(flow-removed), 에러 메시지 등이 있다. 패킷-인 메시지는 스위치(20)가 제어기(10)에게 패킷을 전송하여 패킷에 대한 제어를 받기 위해 사용된다. 패킷-인 메시지는 스위치(20)가 미지의 패킷을 수신한 경우, 데이터 경로를 요구하기 위해, 오픈플로우 스위치(20)에서 제어기(10)로 전송되는 수신 패킷 또는 그 사본의 전부 또는 일부를 포함하는 메시지이다. 유입 패킷에 연관된 엔트리의 액션이 제어기로 보내라고 정해져 있을 때에도 패킷-인 메시지가 사용된다. 삭제된 플로우(flow-removed) 메시지는 플로우 테이브에서 삭제할 플로우 엔트리 정보를 제어기(10)로 전달하기 위해 사용된다. 이 메시지는 제어기(10)가 스위치(20)에 해당 플로우 엔트리 삭제를 요청하였거나 플로우 타임아웃(timeout)에 의한 플로우 만기 처리(flow expiry process)에서 발생한다.

대칭 메시지는 제어기(10) 및 스위치(20) 모두에서 생성되며, 상대방의 요청이 없어도 전송되는 특징이 있다. 제어기와 스위치 간에 연결을 개시할 때 사용되는 헬로(hello), 제어기 및 스위치 간 연결에 이상이 없음을 확인하기 위한 에코(echo), 및 제어기나 스위치에 의해 사용되며 문제를 반대측에 알리기 위한 에러 메시지(error message) 등을 포함할 수 있다. 에러 메시지는 대부분 제어기에 의해 개시된 요청에 따른 실패를 나타나기 위해 스위치에서 사용된다.

도 6은 본 발명의 일 실시예에 따른 멀티 테넌트 지원 네트워크 시스템에 대한 구조도, 도 7은 도 6의 네트워크 시스템의 구성요소에 대한 블록 구성도이다. 동일하거나 유사한 구성요소에 대한 자세한 설명은 도 1 내지 도 5를 참조한다.

도 6을 참조하면, 네트워크 시스템은 복수의 스위치(SW1~5), 제어기(10), 레거시 컨테이너 앱(300), 및 복수의 레거시 컨테이너(400)를 포함할 수 있다.

복수의 스위치(SW1-SW5) 중 적어도 일부는 SDN(Software Defined Network) 기반의 스위치로 오픈플로우 프로토콜을 지원하는 물리적인 스위치 또는 가상 스위치일 수 있다. 복수의 스위치(SW1-SW5)는 오픈플로우 스위치와 기존의 레거시 스위치의 혼용으로 구성될 수 있는데, 이 경우 에지 스위치는 오픈플로우 스위치인 것이 바람직하다.

복수의 스위치(SW1-SW5)는 서로 연결될 수 있다. 복수의 스위치(SW1-SW5) 중 에지 스위치는 각 포트들(p21, p22, p31, p32, p41, p42)을 통해 네트워크 디바이스들과 연결되거나, 외부 네트워크(레거시 라우터, 게이트웨이 등)와 연결될 수 있다.

제어기(10)는 SDN(Software Defined Network) 기반의 복수의 스위치를 제어할 수 있다. 도 7을 참조하면, 제어기(10)의 제어기 제어부(100)는 토폴로지 관리 모듈(120), 경로 계산 모듈(125), 엔트리 관리 모듈(135), 메시지 관리 모듈(130), 레거시 인터페이스 모듈(145)을 포함할 수 있다. 각 모듈은 제어부(100) 내에 하드웨어로 구성될 수 있고, 제어부(100)와 별개의 소프트웨어로 구성될 수도 있다. 동일한 도면 부호의 구성요소에 대한 설명은 도 2를 참조한다.

스위치 그룹이 오픈플로우 스위치로만 구성된 경우, 토폴로지 관리 모듈(120) 및 경로 계산 모듈(125)의 기능은 도 1 내지 도 5에서 설명한 것과 동일하다. 스위치 그룹이 오픈플로우 스위치와 기존의 레거시 스위치로 구성된 경우, 토폴로지 관리 모듈(120)은 오픈플로우 스위치를 통해 레거시 스위치와의 접속 정보를 얻을 수 있다.

레거시 인터페이스 모듈(145)은 레거시 컨테이너 앱(300)과 통신할 수 있다. 레거시 인터페이스 모듈(145)은 토폴로지 관리 모듈(120)에서 구축한 스위치 그룹의 토폴로지 정보를 레거시 라우팅 컨테이너(300)로 전송할 수 있다. 토폴로지 정보는 제1 내지 제5 스위치(SW1-SW5)의 접속 관계 정보 및 제1 내지 제5 스위치(SW1-SW5)에 연결되어 있는 네트워크 디바이스들 및 네트워크 장치들(레거시 스위치, 레거시 라우터 등) 각각의 또는 서로의 연결 또는 접속 정보를 포함할 수 있다.

레거시 인터페이스 모듈(145)은 복수의 스위치(SW1-SW5) 중 어느 한 스위치를 통해 수신한 인입 패킷에 대해 해석이 불가능한 경우, 경로 지정이 불가능한 경우, 및 정책상 지정되어 있는 경우 중 어느 한 경우에 인입 패킷을 레거시 컨테이너 앱(300)으로 전달할 수 있다.

패킷의 해석 불가능 또는 경로 지정 불가능의 예는 인입 패킷이 레거시 프로토콜로 구성되어 해석할 수 없거나, 레거시 네트워크와 연결되어 경로 계산 모듈(125)이 수신 패킷에 대한 경로를 지정할 수 없는 경우 등이 있다.

정책상 인입 패킷을 앱(300)으로 전송해야 하는 경우는, 복수의 스위치(SW1-SW5)에 연결된 네트워크를 멀티 테넌트로 구성해야 하는 경우, 또는 네트워크를 탄력적으로 운용하기 위해 다수의 가상 라우터로 구성해야 하는 경우 등이 있다. 이는 관리자 또는 사용자의 제어나 요청에 의해 발생된 가상 라우터 생성 요청 메시지에 의해 트리거될 수 있다. 레거시 컨테이너 앱(300)는 가상 라우터 생성 요청 메시지를 오픈플로우 스위치나 오케스트레이터(1)를 통해 수신할 수 있다. 멀티 테넌트 및 다수의 가상 라우터에 관해서는 후술한다.

레거시 인터페이스 모듈(145)은 오픈플로우 스위치로부터 수신한 플로우 문의 메시지에 구비된 플로우의 처리 규칙을 생성할 수 없는 경우, 해당 플로우를 레거시 컨테이너 앱(300)으로 전송할 수 있다. 해당 플로우는 오픈플로우 스위치에서 수신한 패킷 및 패킷을 수신한 스위치의 포트 정보를 포함하는 것이 바람직하다.

레거시 인터페이스 모듈(145)은 후술할 레거시 컨테이너(400)에서 생성된 라우팅 경로 정보를 오픈플로우(OpenFlow) 프로토콜로 변환할 수 있다.

도 7을 참조하면, 레거시 컨테이너 앱(300)은 패킷 처리부(310), 토폴로지 모듈(320), SDN 인터페이스 모듈(340), 및 컨테이너 생성부(350)을 포함할 수 있다. 레거시 컨테이너 앱(300)은 별도의 장치에서 구동되거나, 제어기(10)에서 구동될 수 있다.

SDN 인터페이스 모듈(340)은 제어기 제어부(100)와 통신할 수 있다. 제어기 제어부(100)의 레거시 인터페이스 모듈(140) 및 레거시 컨테이너 앱(300)의 SDN 인터페이스 모듈(340) 각각은 제어기 제어부(100)와 레거시 라우팅 컨테이너(300)의 인터페이스 역할을 할 수 있다. 레거시 인터페이스 모듈(140) 및 SDN 인터페이스 모듈(340)은 특정 프로토콜이나 특정 언어로 통신할 수 있다.

레거시 인터페이스 모듈(140) 및 SDN 인터페이스 모듈(340) 모두 또는 어느 하나는 제어기(10)와 레거시 라우팅 컨테이너(300)가 주고 받는 메시지를 번역하거나 해석할 수 있다. 예를 들어, 레거시 프로토콜 메시지를 오픈플로우 프로토콜 메시지로 변환할 수 있다.

토폴로지 모듈(320)은 제어기 제어부(100)로부터 전달받은 복수의 스위치(SW1-SW5)에 관련된 토폴로지 정보 등의 네트워크 정보를 저장할 수 있다. 토폴로지 모듈(320)은 정책상 생성할 다수의 가상 라우터 또는 멀티 테넌트에 대한 네트워크 토폴로지를 생성할 수 있다. 토폴로지 모듈(320)의 다수의 가상 라우터 또는 멀티 테넌트(이하, '멀티 테넌트 등'이라고 칭함)에 대한 네트워크 토폴로지 등과 같은 멀티 테넌트 등의 생성용 정보는 정책에 의해 생성될 뿐만 아니라 사용자의 요청이나 관리자의 제어에 의해 생성될 수 있다.

복수의 가상 라우터는 네트워크의 용량을 탄력적으로 조절할 수 있게 한다. 데이터 센터와 같이 클라우드 환경을 제공해야 하는 경우 네트워크 용량 조절이 용이할 수 있다. 다양한 사용자에게 클라우드 환경을 제공해야 하는 경우, 복수의 가상 라우터는 사용자에 따라 가상 라우터를 지원할 수 있으며 사용자의 사용량에 따른 과금 정책을 용이하게 할 수 있다. 복수의 가상 라우터 각각이 제어하는 네트워크 환경을 서로 독립적으로 하는 경우, 각각의 테넌트가 가지는 자원은 독립성이 보장되어 다른 테넌트와 공유되지 않도록 하는 멀티 테넌시를 지원할 수 있다.

멀티 테넌트 등의 생성용 정보(이하, '생성 정보')는 네트워크 토폴로지 이외에 가상 라우터에 연결될 네트워크 디바이스의 개수나 종류 위치 및 네트워크 정보, 사용자들의 그룹 정책, 생성될 가상 라우터에 부여될 네트워크 자원이나 컴퓨팅 자원 할당 정책, 가상 라우터의 루프백(loopback) IP 주소나 포트 정보(링크 주소, 맥 주소 등) 등이 포함될 수 있다. 네트워크 또는 컴퓨팅 자원의 할당 정책은 기본 정책 이외에, 관리자의 지정 또는 사용자의 요청에 의해 결정될 수 있다. 생성 정보의 일부는 위에서 언급한 가상 라우터 생성 메시지에 포함되어 있을 수 있다.

컨테이너 생성부(350)는 토폴로지 모듈(320)의 생성 정보에 기초하여 라우팅 기능을 가지는 레거시 컨테이너(400)를 생성 및/또는 관리 할 수 있다. 컨테이너 생성부(350)는 제어기 제어부(100)로부터 가상 라우터 생성 메시지를 수신하면, 레거시 컨테이너(400)를 생성하기 위한 준비를 한다.

우선, 컨테이너 생성부(350)는 생성 정보의 네트워크 또는 컴퓨팅 자원 할당 정책에 기초하여 생성될 레거시 컨테이너(400)에 컴퓨팅 자원을 할당하고, 레거시 컨테이너(400)를 생성할 수 있다. 레거시 컨테이너(400)를 생성하는 기술은 다양한 가상화 기술이 사용될 수 있다.

컨테이너 생성부(350)은 레거시 컨테이너(400)에 필요한 네트워크 정보를 패킷 처리부(310)를 통해 레거시 컨테이너(400)로 전달하거나 지정할 수 있다. 필요한 네트워크 정보는 생성 정보에서 추출될 수 있다.

컨테이너 생성부(350)는 레거시 컨테이너(400)에 다른 레거시 컨테이너와 구별되거나 그 자체로 식별될 수 있는 네임 스페이스 식별자를 지정할 수 있다.

컨테이너 생성부(350)는 복수의 레거시 컨테이너(401, 402, 403)를 생성할 수 있다. 컨테이너 생성부(350)은 복수의 스위치(SW1-SW5)에 인입하는 패킷에 기반한 특정 정보인 슬라이싱 식별자를 기초로 레거시 컨테이너를 복수개 생성할 수 있다.

인입 패킷에 기반한 특정 정보는 인입 패킷이 인입된 오픈플로우 에지 스위치의 인입 포트 정보, 인입 패킷의 vLAN 이나 vxLAN과 같은 태그 정보 등이 있다. 즉, 슬라이싱 식별자는 인입 패킷의 인입 포트, vLAN, vxLAN 정보 등을 포함할 수 있다. 인입 패킷의 태그 정보는 패킷의 소스 디바이스에서 지정되거나, 오픈플로우 스위치 또는 제어기(10)에서 지정될 수 있다. 패킷이 이동통신망을 통해 접속되는 경우, 슬라이싱 식별자는 패킷에 부가되는 터널(tunnel) 아이디 등의 태그 정보를 포함할 수 있다.

슬라이싱 식별자는 네임 스페이스 식별자에 연관될 수 있다. 이에 의해, 슬라이싱 식별자와 네임 스페이스 식별자는 서로 대응될 수 있다.

복수의 레거시 컨테이너(401, 402, 403)는 서로 격리된 네트워크를 형성할 수 있다. 이로 인해 본 발명에 따른 네트워크 시스템은 멀티 테넌트를 지원할 수 있다.

복수의 스위치(SW1-SW5)에 연결된 네트워크 디바이스들이 멀티 테넌트를 구성하는 경우, 각각의 테넌트는 슬라이싱 식별자 또는 네임 스페이스 식별자에 각각 대응될 수 있다.

네임 스페이스 식별자는 레거시 컨테이너에서 기능하는 가상 라우터의 루프백 주소, 또는 vLAN, vxLAN 정보와 같은 태그 정보와 동일하도록 지정할 수 있다. 네임 스페이스 식별자는 임의의 값이나 가상 라우터의 루프백 주소를 사용할 수 있다.

패킷 처리부(310)는 레거시 컨테이너(400)와의 인터페이스 역할을 한다. 오픈플로우 스위치에 인입된 인입 패킷에 대한 라우팅 제어를 위해 제어기 제어부(100)가 인입 패킷을 레거시 컨테이너 앱(300)로 전달하면, 패킷 처리부(310)는 수신한 인입 패킷이 복수의 레거시 컨테이너(401, 402, 403) 중 어느 레거시 컨테이너로 전달해야할지 결정할 수 있다. 이를 위해, 패킷 처리부(310)는 인입 패킷으로부터 슬라이싱 식별자를 추출하고, 복수의 레거시 컨테이너(401, 402, 403) 중 슬라이싱 식별자에 연관된 네임 스페이스 식별자를 가진 레거시 컨테이너로 인입 패킷을 전달할 수 있다. 패킷 처리부(310)는 슬라이싱 식별자의 하나의 값 또는 여러 값들의 조합과 하나의 네임 스페이스 식별자를 한 쌍으로 연관시켜 연관 리스트로 저장할 수 있다.

패킷 처리부(310)는 레거시 컨테이너(400)로부터 후술할 라우팅 정보를 수신하여, SDN 인터페이스 모듈(340)으로 전달할 수 있다.

도 7을 참조하면, 레거시 컨테이너(400)는 네임 스페이스부(440), 라우팅 처리부(430), 및 라우팅 정보 저장부(450)를 포함할 수 있다.

네임 스페이스부(440)는, 컨트롤러 생성부(350)에 의해 레거시 컨테이너가 생성되면, 레거시 컨테이너의 네트워크 환경을 설정한다. 레거시 컨테이너의 네트워크 환경은 레거시 컨테이너가 가상 라우터로서 기능할 수 있도록 네트워크 인터페이스나 기능할 가상 라우터의 포트 인터페이스 등이 있다. 즉 네임 스페이스부(440)는 외부와의 인터페이스인 네트워크 환경을 구축할 수 있다.

네임 스페이스부(440)는 리눅스의 네임 스페이스 기술을 사용할 수 있다. 이 경우, 컨트롤러 생성부(350)의 지시에 의해, 네임 스페이스부(440)가 레거시 컨테이너를 생성할 수 있다.

네임 스페이스부(440)는 레거시 컨테이너 앱(300)와의 인터페이스 역할을 한다. 네임 스페이스부(440)는 레거시 컨테이너 앱(300)으로부터 수신한 네트워크 정보를 이용하여 레거시 컨테이너의 네트워크 환경을 설정할 수 있다. 네임 스페이스부(440)는 다른 레거시 컨테이너와의 네트워크와 별도의 독립된 네트워크 환경을 설정할 수 있다.

네임 스페이스부(440)는 레거시 컨테이너 앱(300)으로부터 수신한 네트워크 정보를 이용하여 레거시 컨테이너가 가상의 라우터로 기능하도록 할 수 있다. 네임 스페이스부(440)는, 라우팅 기능에 필요한 가상 라우터의 네트워크 환경, 즉, 네트워크 노드들의 정보나 노드들의 토폴로지 정보를 레거시 컨테이너 앱(300)으로부터 수신하여, 라우팅 정보 저장부(450)에 저장할 수 있다. 네트워크 노드들은 복수의 스위치(SW1-SW5) 중 가상 라우팅 기능이 관여할 스위치들의 정보, 스위치들에 연결된 네트워크 디바이스들이나 외부 네트워크를 포함할 수 있다.

라우팅 처리부(430)는 라우팅 정보 저장부(450)에 저장된 네트워크 토폴로지 정보나 네트워크 정보를 이용하여 라우팅 테이블(RIB, FIB, ARP 테이블)을 생성할 수 있다. 라우팅 테이블은 라우팅 처리부(430)에 의해 수정되거나 삭제되는 등 업데이트될 수 있다.

이를 위해, 라우팅 처리부(430)은 레거시 프로토콜을 이용하여 외부와 메시지를 주고 받을 수 있다. 생성된 테이블은 라우팅 정보 저장부(450)에 저장될 수 있다.

라우팅 정보 저장부(450)는 네임 스페이스 식별자를 저장할 수 있다. 네임 스페이스부(440)는 레거시 컨테이너 앱(300)을 통해 수신한 인입 패킷에 대해 네임 스페이스 식별자를 이용하여 드롭 여부를 결정할 수도 있다.

라우팅 정보 저장부(450)는 레거시 컨테이너가 제공하는 가상 라우터의 인터페이스를 저장함으로써, 라우팅 정보 저장부(450)는 복수의 스위치(SW1-SW5) 중 일부의 스위치를 포함하는 스위치 군을 외부에서 가상 라우터로 보이도록 할 수 있다.

라우팅 정보 저장부(450)에 저장되는 가상 라우터의 인터페이스는 다양할 수 있다.

도 8은 본 발명의 다른 실시예에 따른 레거시 컨테이너의 블록 구성도이다. 도 1 내지 도 5를 참조한다.

도 8을 참조하면, 레거시 컨테이너는 네임 스페이스부(440), 라우팅 처리부(430), 라우팅 정보 저장부(450), 및 DHCP 가상 서버(460)를 포함할 수 있다. 동일한 구성요소에 대한 설명은 도 7을 참조한다.

DHCP 가상 서버(460)는 네임 스페이스부(440)에서 수신한 인입 패킷이 DHCP(Dynamic Host Configuration Protocol) 프로토콜인 경우, 요청한 네트워크 디바이스에서 사용할 IP 주소를 생성할 수 있다. 즉 네트워크 디바이스에서 IP 주소 요청이 있는 경우, DHCP 가상 서버(460)는 요청한 네트워크 디바이스에 IP 주소를 발송할 수 있다. DHCP 가상 서버(460)은 레거시 컨테이너가 DHCP 서버 기능을 가능하도록 할 수 있다.

도 9는 레거시 컨테이너 생성 방법에 대한 순서도이다. 도 1 내지 도 8을 참조한다.

도 9를 참조하면, 레거시 컨테이너 앱(300)에서 가상 라우터 생성 요청 메시지를 수신하면(S540), 레거시 컨테이너 앱(300)은 네트워킹 자원 또는/ 및 컴퓨팅 자원을 생성될 레거시 컨테이너를 위해 할당할 수 있다(S520).

레거시 컨테이너 앱(300)은 할당된 자원을 이용하여 레거시 컨테이너를 생성할 수 있다(S530). 이 후, 레거시 컨테이너 앱(300)은 네임 스페이스 식별자 및 가상 라우팅 기능에 필요한 네트워크 인터페이스, 네트워크 토폴로지 정보 등의 네트워크 정보를 생성된 레거시 컨테이너(400)에 전달 또는/및 지정할 수 있다(S540).

앞서 서술한 바와 같이, 레거시 컨테이너의 생성은 레거시 컨테이너 앱(300)의 컨테이너 생성부(350)에서 네임 스페이스부(440)를 생성하고, 네임 스페이스부(440)에서 레거시 컨테이너의 나머지 전반적인 부분을 생성할 수도 있다.

네임 스페이스부(440)는 레거시 컨테이너 앱(300)으로부터 수신한 네트워크 정보를 이용하여, 레거시 컨테이너가 가상 라우터로 기능하도록 가상 라우터를 구축하여, 가상 라우터의 인터페이스 및 네트워크 토폴로지 정보 등을 라우팅 정보 저장부(450)에 저장할 수 있다.

라우팅 처리부(430)는 라우팅 정보 저장부(450)에 저장된 정보를 이용하여, 가상 라우터가 라우팅 기능을 하도록 라우팅 테이블이나 포워딩 테이블을 작성할 수 있다. 이에 의해 레거시 컨테이너(400)는 라우팅 기능을 제공할 준비가 완료된다(S550).

도 10은 도 9의 라우팅 기능 준비 방법을 구체화한 순서도이고, 도 11은 가상 라우터의 다양한 인터페이스를 도시한 구조도이다. 도 1 내지 도 9를 참조한다.

도 10을 참조하면, 네임 스페이스부(440)는 가상 라우터의 인터페이스를 지정하고, 각 인터페이스에 네트워크 디바이스를 포함하는 네트워크 노드들의 인터페이스와 연결되도록 지정할 수 있다(S560).

네임 스페이스부(440)는 복수의 스위치(SW1-SW5) 중 해당 가상 라우팅에 이용될 스위치 군을 지정하고, 스위치 군에 속하는 스위치들의 인터페이스와 가상 라우터의 인터페이스가 맵핑되도록 할 수 있다(S570).

도 11을 참조하면, 다양한 인터페이스를 가지는 가상 라우터를 볼 수 있다.

도 11(a)를 보면, 복수의 스위치(SW1-SW5) 중 에지 스위치의 포트들 중 일부와 제1 가상 라우터(v-R1)의 포트가 대응되도록 가상 라우터의 인터페이스가 구축될 수 있다. 이 경우, 슬라이싱 식별자는 포트 p21, p31, p41, 및 p51가 될 수 있다. 네임 스페이스 식별자는 포트 p21, p31, p41, 및 p51의 조합과 대응하는 값, 예를 들어, v-R3로 지정될 수 있다. 즉 네임 스페이스 식별자는 슬라이싱 식별자 값들의 리스트와 대응될 수 있다.

도 11(b)를 참조하면, 복수의 스위치(SW1-SW5) 중 일부 에지 스위치의 포트들이 제2 가상 라우터(v-R2)의 포트와 대응되도록 가상 라우터의 인터페이스가 구축될 수 있다.

도 11(c) 내지 (f)를 참조하면, 가상 라우터의 인터페이스는 패킷의 vLAN 또는 vxLAN 값과 대응되도록 설정될 수 있다. 에지 스위치의 물리적 포트(실제 포트)만으로 가상 라우터를 생성하는 경우, 물리적 포트의 수에 제한을 받게 된다. 그러나 패킷 식별 정보(vLAN 또는 vxLAN)에 연관시키는 경우, 이러한 제약 사항이 없어진다. 또한 기존의 패킷의 레거시 네트워크에서의 흐름과 유사하게 작동되도록 할 수 있다. 또한 사용자 또는 사용자 그룹 별로 가상의 레거시 라우터를 구동할 수 있다. 사용자 또는 사용자 그룹은 vLAN, vxLAN 또는 터널 아이디와 같은 패킷 식별 정보로 구분될 수 있다.

도 12는 본 발명의 다른 실시예에 따른 네트워크 구조도이고, 도 13은 도 12에 따른 가상 라우터의 구조도이다. 도 1 내지 도 11을 참조한다.

도 12를 참조하면, 본 네트워크는 멀티 테넌시를 지원하며, 네트워크 디바이스(VM)들은 멀티 테넌트 각각에 속해있다. 제1 테넌트는 제21 및 제22 스위치(SW21, SW22)의 포트 p21n(p21_1, p21_2, ..., p12_n) 및 포트 p22n을 통해 연결되어 있다고 가정하며, 나머지 디바이스들은 포트 p23n, 및 p24n을 통해 제23 및 제24 스위치(SW23, SW24)와 연결되도록 정책이 성립되었다고 가정한다.

두 개의 테넌트를 지원하기 위해, 도 13과 같이 독립된 두 개의 가상 라우터 기능이 제공되도록 제1 및 제2 레거시 컨테이너가 생성될 수 있다.

슬라이싱 식별자는 vLAN 값으로 지정하는 것이 바람직하다. 즉 제1 테넌트는 vLAN이 101인 값이고, 제2 테넌트는 vLAN 값이 102인 것이 될 수 있다. 네임 스페이스 식별자(nsID)는 vLAN 값과 각각 동일하게 지정될 수 있다.

가상 라우터의 포트 인터페이스와 에지 스위치들의 포트 인터페이스는 1:1로 대응되도록 하거나, 다양한 조합으로 연관되도록 할 수 있다.

도 14는 도 6의 제어기의 플로우에 대한 레거시 라우팅 여부 판단 방법에 대한 순서도이다. 도 6 내지 도 11을 참조한다.

플로우에 대한 레거시 라우팅 여부 판단 방법은, 제어기(10)가 오픈플로우 스위치로부터 수신한 플로우에 대해 일반적인 SDN 제어를 할 것인지 또는 레거시 라우팅 컨테이너(300)에 플로우 제어를 문의해야 하는지를 의미한다.

도 14를 참조하면, 레거시 컨테이너(400)에서 가상 라우팅 기능 준비가 완료되면, 제어기(10)는 오픈플로우 스위치를 통해 네트워크 디바이스의 패킷을 플로우로 수신할 수 있다(S610).

제어기(10)는 플로우의 인입 패킷이 해석 가능한지 판단한다(S620). 인입 패킷을 해석할 수 없는 경우, 제어기(10)는 플로우를 레거시 라우팅 컨테이너 앱(300)으로 전달할 수 있다(S650). 패킷이 레거시 네트워크에서만 사용하는 프로토콜 메시지의 경우, SDN 기반의 일반적인 제어기는 패킷을 해석을 할 수 없기 때문이다.

인입 패킷이 외부의 제1 레거시 네트워크에서 외부의 제2 레거시 네트워크로 전송되는 것과 같은 레거시 패킷인 경우, SDN 기반의 제어기(10)는 유입된 레거시 패킷의 라우팅 경로를 계산할 수 없다. 따라서 레거시 패킷과 같이 제어기(10)에서 경로를 계산할 수 없는 경우, 제어기(10)는 레거시 패킷을 레거시 라우팅 컨테이너 앱(300)으로 전달할 수 있다. 레거시 패킷에 대한 레거시 라우팅 경로는 레거시 컨테이너(400)의 라우팅 처리부(430)에 의해 계산될 수 있다. 다만 레거시 패킷의 유출될 에지 포트와 레거시 패킷의 최종 처리 방법을 알면, 플로우 수정을 통해 제어기(10)에서 레거시 패킷을 처리할 수 있다.

이에 패킷을 해석할 수 있는 경우, 제어기(10)는 해당 플로우의 경로를 계산할 수 있는지 또는 엔트리 테이블에 엔트리가 있는지 등의 플로우 경로를 검색한다(S630). 경로를 검색할 수 없으면, 제어기(10)는 해당 플로우를 레거시 라우팅 컨테이너 앱(300)으로 전달한다(S650). 경로를 검색할 수 있으면, 제어기(10)는 패킷의 출력을 지정하는 패킷-아웃 메시지를 생성하여 패킷 문의한 오픈플로우 스위치로 전송할 수 있다(S640).

도 15는 레거시 컨테이너에서 인입 패킷에 대한 처리 방법의 순서도이고, 도 16은 도 15의 라우팅 처리가 아닌 일례에 대한 순서도이다.

도 15를 참조하면, 레거시 컨테이너 앱(300)은 제어기(10)를 통해 수신한 플로우의 인입 패킷을 분석하고 인입 패킷의 슬라이싱 식별자를 추출할 수 있다(S810).

레거시 컨테이너 앱(300)은 추출한 슬라이싱 식별자와 연관된 네임 스페이스(ns) 식별자 세트가 식별자들의 연관 리스트에 있는지 판단할 수 있다(S820).

슬라이싱 식별자 및 네임 스페이스 식별자 세트가 연관 리스트에 없는 경우, 레거시 컨테이너 앱(300)은 인입 패킷이 드롭되도록 할 수 있다(S900).

식별자 세트가 연관 리스트에 있는 경우, 레거시 컨테이너 앱(300)은 슬라이싱 식별자와 연관된 네임 스페이스 식별자가 지정된 레거시 컨테이너(400)로 플로우를 전달할 수 있다(S830).

레거시 컨테이너(400)의 라우팅 처리부(430)는 수신한 플로우의 인입 패킷을 해석하여 해당 패킷이 라우팅 요청 메시지인지 판단할 수 있다(S840).

인입 패킷이 라우팅 요청인 경우, 레거시 컨테이너(400)는 인입 패킷의 목적지 IP 주소에 대한 라우팅 정보가 있는지 판단할 수 있다(S850).

목적지 IP 주소에 대한 라우팅 정보가 있는 경우, 라우팅 처리부(430)는 인입 패킷이 드롭되도록 할 수 있다(S890).

목적지 IP 주소에 대한 라우팅 정보가 있는 경우, 라우팅 처리부(430)는 라우팅 경로를 생성하여 레거시 컨테이너 앱(300)으로 전송할 수 있다(S860). 라우팅 경로는 제어기 제어부(100)의 레거시 인터페이스 모듈(140) 또는 레거시 컨테이너 앱(300)의 SDN 인터페이스 모듈(340) 중 어느 한 곳에서, 오픈플로우 프로토콜로 변환될 수 있다(S870). 예를 들어, 레거시 인터페이스 모듈(140)은 라우팅 경로에 기초하여 오픈플로우 스위치들에서 플로우가 진행되도록 플로우 엔트리를 생성, 수정, 또는 삭제하고, 관련된 오픈플로우 스위치의 엔트리 테이블이 업데이트되도록 할 수 있다.

라우팅 요청 여부의 판단(S830) 결과 라우팅 요청 처리가 아닌 경우, 레거시 컨테이너(400)는 해당 요청을 처리할 수 있다(S880). 이에 대한 자세한 사항은 도 16을 참조한다.

도 16을 참조하면, 인입 패킷이 라우팅 요청 처리가 아닌 네트워크 디바이스가 시작되어 IP 주소를 요청하는 DHCP 프로토콜인 경우로 가정한다.

레거시 컨테이너(400)의 라우팅 처리부(430)는 인입 패킷의 내용을 분석하여, 인입 패킷이 IP 주소 요청 메시지임을 알 수 있다(S910). 라우팅 처리부(430)는 인입 패킷을 DHCP 가상 서버(460)로 전달한다(S820). DHCP 가상 서버(460)는 인입 패킷을 발송한 네트워크 디바이스의 네트워크 환경, 예를 들어 어느 사용자 그룹인지, 또는 어느 테넌트인지 고려하여, IP 주소 정보와 서브넷 마스크 정보를 생성할 수 있다(S930). 생성된 IP 주소 정보와 서브넷 마스크 정보는 레거시 컨테이너 앱(300)과 제어기(10), 오픈플로우 스위치를 거쳐, 발송 네트워크 디바이스로 전달된다(S940). 네트워크 디바이스와 DHCP 가상 서버(460)가 주고 받는 메시지는 일반적인 DHCP 프로토콜 메시지(DHCP Discover, DHCP offer, DHCP request, DHCP ack)일 수 있다.

상기 본 발명은 하드웨어 또는 소프트웨어에서 구현될 수 있다. 구현은 상기 본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.

본 발명의 실시예들은 여기에 설명된 방법들 중 하나가 실행되는 프로그램가능 컴퓨터 시스템으로 운영될 수 있는, 전자적으로 판독가능한 제어 신호들을 갖는 캐리어 웨이브를 포함할 수 있다. 본 발명의 실시예들은 프로그램 코드를 갖는 컴퓨터 프로그램 제품으로서 구현될 수 있으며, 프로그램 코드는 컴퓨터 프로그램이 컴퓨터 상에서 구동될 때 방법들 중 하나를 실행하기 위하여 운영된다. 프로그램 코드는 예를 들면 기계 판독가능 캐리어 상에 저장될 수 있다. 본 발명의 일실시예는 컴퓨터 프로그램이 컴퓨터 상에 구동될 때, 여기에 설명된 방법들 중 하나를 실행하기 위한 프로그램 코드를 갖는 컴퓨터 프로그램일 수 있다. 본 발명은 위에서 설명한 방법들 중 하나를 실행하기 위한 컴퓨터, 또는 프로그램가능 논리 장치를 포함할 수 있다. 위에서 설명한 방법들의 일부 또는 모든 기능을 실행하기 위하여 프로그램가능 논리 장치(예를 들면, 필드 프로그램가능 게이트 어레이, 상보성 금속 산화물 반도체 기반 논리 회로)가 사용될 수 있다.

또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안 될 것이다.

<부호의 설명>

10: 제어기 20: SDN 스위치

30: 네트워크 디바이스 100: 제어부

120: 토폴로지 관리 모듈 125: 경로 계산 모듈

130: 메시지 관리 모듈 135: 엔트리 관리 모듈

190: 저장부 200: 스위치 제어부

205: 포트부 210; 제어기 통신부

220: 플로우 검색 모듈 230: 플로우 처리 모듈

235: 패킷 처리 모듈 240: 테이블 관리 모듈

300: 레거시 컨테이너 앱 400: 레거시 컨테이너

Claims (13)

1. SDN(Software Defined Network) 기반의 복수의 스위치를 제어하는 제어기;

   상기 복수의 스위치 중 적어도 일부의 스위치를 포함하는 스위치 군을 가상 라우터로 취급하여, 상기 스위치 군 중 어느 한 스위치에 인입되는 패킷에 대한 라우팅 정보를 생성하는 레거시 컨테이너; 및

   가상 라우터 생성 요청 메시지를 수신하면, 컴퓨팅 자원을 할당하여 상기 레거시 컨테이너를 가상화 기술을 이용하여 생성하는 레거시 컨테이너 앱을 포함하고,

   상기 레거시 컨테이너 앱은 상기 복수의 스위치로 인입하는 패킷에 기반한 특정 정보인 슬라이싱 식별자를 기초로 레거시 컨테이너를 복수개 생성하는, SDN 기반의 멀티 테넌트 지원 네트워크 시스템.
2. 제 1 항에 있어서,

   상기 복수의 레거시 컨테이너는 서로 격리된 네트워크를 형성하는, 네트워크 시스템.
3. 제 1 항에 있어서,

   상기 패킷의 슬라이싱 식별자는 인입 포트, vLAN, 및 vxLAN 정보 중 적어도 하나인, 네트워크 시스템.
4. 제 1 항에 있어서,

   상기 레거시 컨테이너 앱은 상기 패킷의 슬라이싱 식별자에 연관된 네임 스페이스 식별자를 구비하는 네트워크 정보를 상기 레거시 컨테이너에 지정하는, 네트워크 시스템.
5. 제 1 항에 있어서,

   상기 제어기는 상기 복수의 스위치에 인입하는 인입 패킷에 대해 해석 불가능한 경우, 상기 인입 패킷의 경로 지정이 불가능한 경우, 및 정책에 지정되어 있는 경우 중 적어도 어느 한 경우에 상기 인입 패킷을 상기 레거시 컨테이너 앱으로 전달하는, 네트워크 시스템.
6. 제 5 항에 있어서,

   상기 레거시 컨테이너 앱은 상기 제어기로부터 전달받은 상기 인입 패킷으로부터 슬라이싱 식별자를 추출하여 상기 추출된 슬라이싱 식별자에 대응하는 네임 스페이스 식별자를 구비하는 레거시 컨테이너에 상기 인입 패킷을 전달하는, 네트워크 시스템.
7. 제 1 항에 있어서,

   상기 제어기는 상기 레거시 컨테이너에서 생성된 라우팅 경로 정보를 오픈플로우(OpenFlow) 프로토콜로 변환하는, 네트워크 시스템.
8. 제 1 항에 있어서,

   상기 복수의 스위치는 복수의 테넌트(tenant) 각각에 속하는 각 네트워크 디바이스 군에 연결되고,

   상기 패킷 슬라이싱 식별자는 상기 복수의 테넌트 중 한 테넌트에 연관되는, 네트워크 시스템.
9. SDN(Software Defined Network) 기반의 복수의 스위치를 제어하는 제어기;

   가상 라우팅 기능을 제공하는 레거시 컨테이너; 및

   상기 레거시 컨테이너를 생성하는 레거시 컨테이너 앱을 구비하는 네트워크 시스템의 멀티 테넌트 지원 방법으로서,

   상기 레거시 컨테이너 앱에서, 라우팅 요청 메시지를 수신하는 단계;

   상기 앱에서 컴퓨팅 자원을 할당하여 상기 레거시 컨테이너를 생성하는 단계;

   상기 앱에서 상기 컨테이너에 네임 스페이스 식별자를 구비하는 네트워크 정보를 지정하는 단계; 및

   상기 컨테이너에서, 상기 네트워크 정보를 이용하여 가상 라우팅 기능을 준비하는 단계를 포함하고,

   상기 네임 스페이스 식별자는 상기 복수의 스위치에 연결된 복수의 테넌트(tenant) 중 어느 한 테넌트에 대응하는, 지원 방법.
10. 제 9 항에 있어서,

    상기 앱은 레거시 컨테이너를 복수개 생성하고,

    상기 복수의 레거시 컨테이너는 서로 격리된 네트워크를 형성하는, 지원 방법.
11. 제 10 항에 있어서,

    상기 네임 스페이스 식별자는 상기 복수의 스위치에 인입하는 패킷에 기반한 특정 정보인 슬라이싱 식별자에 대응하는, 지원 방법.
12. 제 11 항에 있어서,

    상기 제어기에서, 상기 복수의 스위치 중 어느 한 스위치에 인입된 패킷의 처리 정보가 없는 경우, 상기 인입 패킷을 상기 앱으로 전달하는 단계;

    상기 앱에서, 상기 인입 패킷으로부터 슬라이싱 식별자를 추출하는 단계; 및

    상기 앱에서, 상기 복수의 레거시 컨테이너 중 상기 추출된 슬라이싱 식별자에 대응하는 네임 스페이스 식별자를 구비한 컨테이너로 상기 인입 패킷을 전달하는 단계를 더 포함하는, 지원 방법.
13. 제 12 항에 있어서,

    상기 인입 패킷을 전달 받은 컨테이너에서, 상기 네트워크 정보를 이용하여 구축된 라우팅 정보를 이용하여 상기 인입 패킷의 라우팅 경로 정보를 생성하는 단계;

    상기 생성된 상기 라우팅 경로 정보가 상기 앱을 통해 상기 제어기로 전송되는 단계; 및

    상기 제어기에서, 상기 라우팅 경로 정보를 SDN 프로토콜로 변환하는 단계를 더 포함하는, 지원 방법.

Images