KR100431207B1 - 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법 - Google Patents

엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법 Download PDF

Info

Publication number
KR100431207B1
KR100431207B1 KR10-2002-0026442A KR20020026442A KR100431207B1 KR 100431207 B1 KR100431207 B1 KR 100431207B1 KR 20020026442 A KR20020026442 A KR 20020026442A KR 100431207 B1 KR100431207 B1 KR 100431207B1
Authority
KR
South Korea
Prior art keywords
extranet
vpn
edge device
network edge
network
Prior art date
Application number
KR10-2002-0026442A
Other languages
English (en)
Other versions
KR20030088629A (ko
Inventor
양선희
윤호선
윤현식
정민영
김병식
Original Assignee
주식회사 케이티
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티, 한국전자통신연구원 filed Critical 주식회사 케이티
Priority to KR10-2002-0026442A priority Critical patent/KR100431207B1/ko
Publication of KR20030088629A publication Critical patent/KR20030088629A/ko
Application granted granted Critical
Publication of KR100431207B1 publication Critical patent/KR100431207B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 MPLS망(Multi Protocol Label Switching Network)에서 엑스트라넷 IP-VPN 서비스 제공 방법에 관한 것으로, 특정 가입자 사이트 중의 하나 이상의 사이트에 접속인증을 위한 방화벽이 위치할 때, 엑스트라넷 접속을 원하는 모든 호스트들이 방화벽이 위치한 사이트를 경유하여 목적지에 접속할 수 있도록 하는 MPLS 기반망에서의 엑스트라넷 IP-VPN 서비스 제공 방법에 관한 것으로, 본 경로구분자(Route Descriptor, RD)를 이용하여 인트라넷과 엑스트라넷을 구분하고, 엑스트라넷 경로정보가 허브앤스포크(hub and spoke) 형태로 동작할 수 있도록 망측 에지 장비 내에 VPN 라우팅 및 포워딩 정보를 전달하는 절차를 제시하여, 기존의 MPLS VPN 인트라넷 서비스 제공 메커니즘에 영향을 주지 않으면서 인트라넷/엑스트라넷에 VPN 서비스를 동시에 제공할 수 있으며, 엑스트라넷 사이트의 구성 정보가 변경되더라도 이를 모든 사이트에 일일이 재구성해 주지 않고, 방화벽 시스템이 위치하는 사이트에만 알려줌으로써 자동적으로 재구성하게 되므로 서비스 구성 및 운용절차를 단순화할 수 있는 것이다.

Description

엠피엘에스(MPLS)기반망에서의 엑스트라넷 아이피-브이피엔(IP-VPN)서비스 제공 방법{EXTERANET IP-VPN SERVICE PROVINDING METHODE IN MPLS BASED NETWORK}
본 발명은 MPLS(Multi Protocol Label Switching Network) 기반 망에서 엑스트라넷 IP-VPN 서비스를 제공하는 방법에 관한 것으로서, 특히 특정 가입자 사이트에 방화벽 시스템이 위치하는 경우 모든 엑스트라넷 접속을 원하는 호스트들이 방화벽이 위치한 사이트를 경유하여 목적지에 접속할 수 있는 MPLS 기반망에서의 엑스트라넷 IP-VPN 서비스 제공 방법에 관한 것이다.
기존의 MPLS VPN 서비스 제공 방법은 사업자망 에지(Provider Edge, 이하, PE 라 한다) 시스템 내에 VPN 그룹별로 폐쇄사용자 그룹을 구성할 수 있도록 라우팅 및 포워딩 정보를 구성하는 기능과, 라우팅 및 포워딩 정보를 이용하여 VPN 패킷을 목적지로 포워딩하는 기능으로 이루어져, 통상적으로 동일 VPN 그룹에 속하는 사이트들간에는 제한없이 연결을 지원하는 인트라넷 서비스를 제공하지만, 엑스트라넷 서비스는 제공하지 않는다.
일반적인, MPLS 기반 IP-VPN 서비스는 동일 VPN 그룹에 속하는 사이트들간에 레이블 교환 연결 경로(Label Switched Path)를 통하여 터널링 시킴으로서 사설망 서비스를 제공하는 것으로서 그 구조와 방법에 대한 내용은 IETF RFC 2547에 정의되어 있다.
상기 RFC 2547 규격에 의하면 인트라넷 서비스를 제공하기 위해서는 VPN 경로정보가 iBGP 피어링(peering)을 통해 직접 분배되고, 셋팅된 루트 분배 필터(Export Route Target, 이하 E-RT) 및 루트 반영 필터(Import Route Target, 이하 I_RT) 값에 의해 특정 VPN 그룹에만 그 루트 정보가 업데이트됨으로서 폐쇄사용자그룹을 위한 VPN 라우팅 및 포워딩 테이블(VPN Routing Forwarding table, VRF라고도 한다)이 구성되게 된다.
그런데, 엑스트라넷 서비스를 동시에 제공하기 위해서는 인트라넷과 엑스트라넷에 동시에 접속이 허용된 호스트들은 2개의 상이한 경로정보를 원격 사이트들에게 제공해야 한다. 즉, 인트라넷에 속하는 사이트들에 대해서는 일반적인 MPLS-VPN 용 BGP4 확장 경로 정보를 원격의 PE들에게 직접 분배하고, 엑스트라넷에 속하는 사이트에 대해서는 방화벽 시스템을 거치는 우회 경로를 간접적으로 원격의 PE들에게 분배 해야 한다.
이렇게 하기 위해서는 각 PE 시스템은 인트라넷 및 엑스트라넷 사이트의 구성 정보를 다 알고 있어야 하고, 따라서 VPN 경로정보가 변경되는 경우 인트라넷과 엑스트라넷 경로의 해당 여부를 판단하여, 원격의 PE들에게 일일이 알려주어야 하므로 확장성이 제한되고, 기능 구현이 복잡해지는 문제가 있다.
본 발명은 상술한 종래의 문제점을 해결하기 위하여 제안된 것으로서, 그 목적은 인트라넷/엑스트라넷 VPN 경로 분배 과정에 있어서, 특정 가입자 사이트측에 방화벽 시스템이 위치하는 경우, 기존의 인트라넷 서비스 제공 메커니즘에 영향을 주지 않으면서 엑스트라넷 서비스를 동시에 제공할 수 있도록 하는 MPLS 기반망에서의 엑스트라넷 IP-VPN 서비스 제공 방법을 제공하는 것이다.
도 1은 MPLS 기반 망에서 특정 가입자 사이트에 방화벽이 위치한경우의 엑스트라넷 서비스 시스템의 구성도이다.
도 2는 본 발명에 따른 엑스트라넷 IP-VPN 서비스 제공 시스템의 논리적 구성도이다.
도 3은 본 발명에 따른 엑스트라넷 사이트간의 경로 정보분배 및 필터링절차를 보인 처리도이다.
도 4는 본 발명에 의한 엑스트라넷 사이트간의 사용자 패킷 전달 절차를 보인 신호처리도이다.
도 5는 PE 시스템에서의 본 발명에 의한 인트라넷 및 엑스트라넷 경로정보를 처리하는 절차도이다.
상술한 목적을 달성하기 위하여, 본 발명은 방화벽 시스템과, 엑스트라넷 서버와, 엑스트라넷 클라이언트시스템이 분산위치된 다수의 가입자 사이트를 가상사설망으로 연결하는 MPLS 기반망에서의 엑스트라넷 IP-VPN 서비스 제공 방법에 있어서,
방화벽시스템과 접속되는 제1망에지장비와, 엑스트라넷서버측과 연결되는 제2망에지장비와, 엑스트라넷 클라이언트 시스템측과 연결된 제3망에지장비에 각각 엑스트라넷용 VPN 라우팅/포워딩 테이블를 만드는 제1단계;
상기 제1망에지장비의 VPN 라우팅/포워딩 테이블은 다른 제2,3망에지장비의 루트정보(RT)를 동시에 가지고, 제2,3망에지장비의 VPN 라우팅/포워딩 테이블는 자신과 상기 제1망에지장비의 루트정보(RT)만을 갖도록 할당하는 제2단계; 및,
각 망에지장비에서는 엑스트라넷 호스트에 대한 접속을 구분하기 위한 VPN 라벨을 할당하는 제3단계로 이루어져,
엑스트라넷 서버측과 엑스트라넷 클라이언트측이 방화벽이 구비된 가입자 사이트를 통해 경로 정보를 서로 주고 받되, 직접적으로 경로 정보가 분배되지 않는 것을 특징으로 한다.
더하여, 상기 방법은 상기 제1 내지 제3 망에지장비의 엑스트라넷용 VPN 라우팅/포워딩 테이블의 경로구분자(Route Descriptor, RD)를 인트라넷용 VPN 라우팅/포워딩 테이블의 경로구분자와는 다른 값으로 할당하는 제2단계를 더 포함하여, 인트라넷 과 엑스트라넷 서비스를 동시에 지원하는 것을 특징으로 한다.
또한, 본 발명에 의한 서비스 제공 방법은 엑스트라넷 서버에 대한 경로 정보가 추가되면, 이 정보가 엑스트라넷 서버가 접속된 제2망에지장비로 전달하는 단계;
상기 제2망에지장비가 가입자 사이트측 접속 인터페이스에 할당된 경로구분자를 검색하여 인트라넷과 엑스트라넷이 연결되어 있는 지를 판단하는 단계;
엑스트라넷에 대한 경로 업데이트 정보를 제1망에지장비로 전달하는 단계;
상기 경로 업데이트 메시지를 제1망에지장비에서 수신하여 엑스트라용 VPN 라우팅/포워딩 테이블 테이블에 반영하는 단계;
상기 제1망에지장비를 수신된 경로정보를 가입자 사이트측으로 전달함과 동시에 수신된 경로 정보의 도달성 정보와 루트정보(RT)를 수정하여, 다른 망에지장비들에게 재 중계하는 단계; 및
상기 제1망에지장비에 의해 중계된 경로정보를 수신한 제3망에지장비에 수신된 정보를 반영하고, 가입자 사이트측으로 전달하는 단계에 의해, 우회경로를 재구성하는 것을 특징으로 한다.
더하여, 본 발명은 엑스트라넷 클라이언트측으로부터 엑스트라넷 서버 측으로 향하는 패킷이 제3망에지장비에 입력되면, 상기 제3망에지장비에서 엑스트라넷용 VPN 라우팅/포워딩 테이블 테이블을 룩업하여 제1망에지장비에 접속된 방화벽 시스템으로 패킷을 포워딩하는 단계;
상기 제1망에지장비는 입력된 패킷을 VPN 라벨 값을 참조하여 방화벽 시스템으로 전달하는 단계;
방화벽 시스템에서 접속 인증을 거쳐서 문제가 없는 경우 이를 다시 제1망에지장비로 전달하는 단계;
상기 제1망에지장비는 엑스트라넷용 VPN 라우팅/포워딩 테이블 테이블을 룩업하여 최종 목적지인 엑스트라넷 서버측 제2망에지장비로 수신 패킷을 포워딩하는단계; 및
제2망에지장비에서 상기 패킷을 수신하고, VPN 라벨 값을 참조하여 최종 목적지인 엑스트라넷 서버 측으로 패킷을 전달하는 단계에 의해,
사용자 패킷을 가입자 사이트의 방화벽 시스템을 거쳐서 최종 목적지로 포워딩하는 것을 특징으로 한다.
또한, 본 발명은 상술한 각 단계를 실행시키는 프로그램을 기록한 기록매체를 포함한다.
이하, 본 발명의 구성 및 작용에 대하여 설명한다.
본 발명에 의한 IP-VPN 서비스 제공은 개괄적으로 다음과 같이 구성되어이루어진다.
엑스트라넷 서비스를 제공하기 위해 가입자 사이트 내에는 방화벽 시스템과 엑스트라넷 서버 및 엑스트라넷 클라이언트 시스템이 하나 이상의 가입자 사이트에 분산 위치한다.
서비스 확장성과 신뢰성을 향상시키고 기능의 복잡성을 줄이기 위해 망 내에는 하나 이상의 가입자 사이트 측에 방화벽 시스템이 위치하고, 이 방화벽 시스템이 접속된 망에지장치(이하, PE라 한다)는 엑스트라넷 경로정보 및 사용자 패킷 전달 과정에서 허브(hub)로 동작하게 구성한다(이하, 허브로 동작하는 PE를 PE-hub라 한다). 상기 PE-hub 시스템은 엑스트라넷 그룹에 대한 라우팅 정보의 분배 및 엑스트라넷 패킷에 대한 필터링을 위한 중계 역할을 담당한다.
엑스트라넷 공유 서버가 접속된 PE시스템(이하, PE-spoke라 한다)은 엑스트라넷 공유서버에 대한 경로 정보를 일차적으로 PE-hub 시스템으로 보내고, PE-hub 시스템은 이 경로 정보를 해당 엑스트라넷 그룹 구성 정보를 참조하여 원격 PE-spoke 시스템들에게로 중계해준다. 이러한 엑스트라넷 경로정보의 간접 분배를 위해서 hub-and-spoke 형태로 동작할 수 있도록 루트정보(RT) 값이 설정되어야 한다. 엑스트라넷 VPN 패킷은 엑스트라넷 방화벽 시스템을 거쳐서 최종 목적지 PE로 전달될 수 있도록 경로가 구성된다. 즉, 엑스트라넷 클라이언트측으로부터 엑스트라넷 서버 측으로 향하는 패킷이 PE-spoke측으로 입력되면 PE-spoke에서는 엑스트라넷 VPN 라우팅/포워딩 테이블 테이블을 룩업하여 일차적으로 PE-hub에 접속된 방화벽 시스템으로 패킷을 포워딩한다. PE-hub에서는 PE-spoke로부터 패킷이 입력되면 VPN 라벨 값을 참조하여 방화벽 시스템으로 패킷을 전달하고, 방화벽 시스템에서는 접속 인증을 거쳐서 문제가 없는 경우 이를 다시 원래의 목적지인 엑스트라넷 서버 측으로 전달하기 위해 다시 PE-hub로 패킷을 송출한다.
PE-hub에서는 다시 엑스트라넷 VPN 라우팅/포워딩 테이블 테이블을 룩업하여 최종 목적지인 엑스트라넷 서버측 PE-spoke로 패킷을 포워딩하고, PE-spoke에서는 VPN 라벨 값을 참조하여 최종 목적지인 엑스트라넷 서버 측으로 패킷을 전달하게 된다.
이하, 본 발명의 실시 예를 첨부한 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명이 적용되는 인트라넷/엑스트라넷 MPLS 서비스 시스템의 구성 예를 나타낸 그림이다. 도 1에서, 사업자용 MPLS망(101)에 4개의 가입자 사이트(121~124)가 연결되어 VPN을 구성하는데, 이때, 인트라넷인 제1가상사설망(이하, vpn_intra1로 표시)(102)은 가입자 사이트 CE1(121), CE2(122), CE3(123)로 구성된다. 그리고, 상기 가입자 사이트중 CE4(124)는 인트라넷(102)의 협력업체로서 CE1(121)에 위치하는 일부 엑스트라넷 서버에 접속 권한을 가지며, 이를 위하여 엑스트라넷인 제2가상사설망(이하, vpn_extra2로 표시)(103)이 구성된다. 접속 권한 인증을 위한 방화벽 시스템(153)은 CE3(123)내에 위치한다.
RFC2547 규격에 의하여 상기 MPLS망(101)은 다수의 PE 시스템(111,112,113,114)들과 P시스템(115,116)들로 구성된다.
상기 PE 시스템(111,112,113,114)은 VPN 서비스를 위한 VPN 라우팅/포워딩 테이블 구성과 VPN 패킷의 포워딩 기능을 가지며, P 시스템(115,116)은 일반적인 레이블 스와핑에 의한 패킷 교환 기능을 갖는다.
각 가입자 사이트들은 MPLS 망(101)에 LSP에 의해 논리적 사설망으로 연결된다. 따라서, 상기 CE1~CE4를 VPN 사이트라고도 한다. 상기 CE1~CE4(121, 122, 123, 124)는 단일 호스트나 라우터 혹은 스위치 시스템으로 구성되며, 가입자측 에지 장비는 VPN 서비스를 위한 별도 기능은 갖지 않는다. 각 사이트의 가입자 에지 장비는 VPN 서비스를 제공받기 위해 특정 인터페이스(132,142,152,162)를 통해 MPLS망(101)의 PE에 접속되고, 사업자망(101)측 망에지장비인 PE(111, 112, 113, 114)와 일반적인 라우팅 프로토콜 혹은 매뉴얼 구성을 통해 사이트에 대한 경로 정보를 망측으로 전달한다.
상기 도 1과 같은 시스템 구성에서 엑스트라넷 서비스를 제공하기 위한 구성과 절차는 다음과 같다.
상기 CE1(121)에 있는 인트라넷/엑스트라넷 공유서버(134)는 PE1(111)에 접속되어 있고, 방화벽시스템(153)은 CE3(123)에 위치한다. 따라서 상기 PE1(111)과 PE4(114)가 PE-spoke가 되며, PE3(113)이 PE-hub 가 된다.
그리고, 각 PE노드에는 vpn_intra1(102)을 위한 VPN 라우팅/포워딩 테이블와 vpn_extra2(103)를 위한 VPN 라우팅/포워딩 테이블 테이블이 각각 구성되며, vpn_intra1(102)을 위한 VPN 라우팅/포워딩 테이블 테이블의 구성 및 운용 절차는 RFC 2547에 따른다. 엑스트라넷을 위해 PE1(111), PE3(113)와 PE4(114)에 엑스트라넷용 VPN 라우팅/포워딩 테이블(162,163,164)가 각각 만들어지고, 경로구분자(Routing Descriptor, RD)와 루트정보(RT) 값이 할당되는데, 이때 이 VPN 라우팅/포워딩 테이블에 할당되는 경로구분자는 인트라넷과는 다른 값이 할당된다. 루트정보(RT) 값은 PE 들이 hub-and-spoke 구조로 동작할 수 있도록 할당한다. 즉, PE-spoke와 PE-hub 각각에 대해 유니크한 루트정보(RT)값이 할당되고, PE-hub는 다른 모든 PE-spoke의 루트정보(RT)값을 동시에 가지고, PE-spoke는 자신과 PE-hub의 루트정보(RT)값만을 갖도록 구성한다. 이렇게 구성하면 PE-hub(113)측과 각 PE-spoke(111,114)는 경로 정보를 서로 주고 받되, PE-spoke 끼리는 경로 정보가 분배되지 않게 된다.
상기와 같은 시스템구성에서 엑스트라넷 공유서버의 경로 정보가 vpn_extra1 사이트들간에 분배되는 과정을 도 2 내지 도 3에서 살펴보면 다음과 같다.
도 2는 도1의 시스템 구성에서 vpn_extra2(103)에 대한 논리적 시스템 구성을 나타낸 것이다. vpn_extra2는 3개의 가입자 사이트 CE1(121), CE3(123),CE4(124)로 구성되고, 논리적으로 상기 방화벽시스템을 갖는 CE3(123)가 hub 역할을 하고, MPLS망(101)의 PE에 접속된 사이트 CE1(121)과 CE4(124)가 spoke 역할을 하는 hub and spoke 구조로 구성된다.
그리고, 동일 인터페이스를 통해서 인트라넷 서비스와 엑스트라넷 서비스를 동시에 지원하기 위해 임의의 경로구분자가 할당되는데, 도 2에서는 경로구분자를 100:2로 할당했다. 이어서 각 PE에 대해 vpn_extra2에 대한 경로정보 필터링을 위해 루트정보(RT)값을 할당한다. 루트정보(RT)값은 hub 노드인 PE3(113)에 대해서는 100:1 값을 할당하고, spoke 노드인 PE1(111)과 PE4(114)에 대해 각기 100:2와 100:3을 할당한다.
결과적으로 hub 노드인 PE3(113)의 VPN 라우팅/포워딩 테이블는 루트정보(RT)값이 100:1, 100:2, 100:3을 가지게 되어서, PE1(111)이나 PE4(114)와 함께 vpn_extra2(103)에 대한 경로정보를 공유하게 된다. 이에 비해 spoke 노드인 PE1(111)과 PE4(114)의 VPN 라우팅/포워딩 테이블의 루트정보(RT)는 자기 자신과 hub의 루트정보(RT) 값만을 갖게 되어, 다른 spoke 노드와의 직접적인 경로정보 교환이 차단된다.
이어서 각 PE에서는 vpn_extra2 호스트에 대한 이그레스(egress) 접속을 구분하기 위한 vpn_라벨을 할당한다.
도 3은 상기 도 2에 보인 바와 같이 구성된 시스템에서 공유서버(134)의 경로정보가 hub 노드(PE3) 및 또 다른 spoke 노드(PE4)측으로 전달되는 절차를 보인 도면이다.
즉, 공유서버(121)에 대한 경로 정보가 추가되면(231), 이 정보는 라우팅 프로토콜이나 혹은 고정(static) 셋팅에 의해, 상기 CE1(121)과 접속된 PE1(111)에 전달된다(232). 상기 PE1(111)에서는 CE1 접속 인터페이스에 할당된 경로구분자를 검색하여 vpn_intra1(102)과 vpn_extra2(103)가 연결되어 있는 것을 판단한다(233).
그 다음, 엑스트라넷에 대한 루트정보(RT)값(E_루트정보(RT))을 100:2로 셋팅하여 경로 업데이트 정보를 BGP 피어들에게 분배한다(234). 이때 분배되는 정보는 "공유서버의 VPN_IPv4 주소정보, BGP Next Hop=PE1, VPN_Label=2000, E_RT=100:2 " 등의 확장 어트리뷰트들이다.
상기 경로 업데이트 메시지는 피어링된 각 PE들로 전달되고, 업데이트 메시지는 다수 PE들중에서 인트라넷 루트정보(RT)(I_RT)값에 100:2 값을 갖고 있는 PE3(113)의 vpn_extra2 테이블에 반영된다(235).
상기 PE3(113)는 이 경로정보를 가입자측(123)으로 전달하고(236), 아울러 hub 역할을 수행하기 위하여, 수신된 경로 정보의 도달성 정보와 루트정보(RT)를 수정하여(237), 다른 PE들에게로 재 중계한다. 이때, "공유서버의 VPN_IPv4 주소정보, BGP Next Hop=PE3, VPN_Label=1000, E_RT=100:1"로 수정하여 피어링된 다른 PE들에게 전달한다(238).
그리고, 상기 PE3(113)에 의해서 중계된 경로정보를 수신한 PE들중 인트라넷 RT(I_RT)값에 100:1 값을 갖고 있는 PE4(124)의 vpn_extra2 테이블에 수신된 정보가 반영되고(239), 상기 PE4(124)는 이 경로정보를 가입자측(124)으로전달한다(240).
상기와 같이 경로정보가 분배된 상태에서 엑스트라넷 클라이언트가 엑스트라넷 공유서버에 접속되기 위한 데이터 전달 과정은 도 4와 같다.
도 4를 참조하면, CE4(124)에 위치하는 엑스트라넷 클라이언트측에서 CE1(121)의 공유서버측으로 향하는 사용자 패킷이 미리 설정해둔 인터페이스를 통해 MPLS망(101)의 PE4(114)에 도착하면(301), 상기 PE4(114)는 vpn_extra2(103)의 VPN 라우팅/포워딩 테이블 테이블을 룩업해서 BGP Next Hop은 PE3(113)이고 VPN 라벨은 1000이라는 것과 PE4(114)에서 PE3(113)로 향하는 top 라벨을 찾아내고, 패킷을 MPLS 프레임으로 인코딩한다(302, 303).
그 다음, 상기 MPLS 프레임으로 인코딩된 데이터 패킷은 PE3(113)로 전달된다(304).
PE3(113)는 수신된 패킷에 실려온 VPN 라벨 값을 참조하여 출력 인터페이스를 결정하고(305), MPLS 프레임을 디코딩하여 CE3(123)측으로 전달한다(306).
상기 CE3(123)내에 구비된 방화벽 시스템(153)은 PE3(113)로부터 수신된 패킷에 대해 서비스 사용 및 접속 권한을 검사하여(307), 사용권한에 문제가 없는 경우, 즉 접속이 인증된 경우 상기 패킷을 미리 설정해둔 인터페이스를 통해서 다시 PE3(113)로 돌려보낸다(308).
그리고, 상기 PE3(113)는 vpn_extra2(103)의 VPN 라우팅/포워딩 테이블 테이블을 룩업해서 BGP Next hop은 PE1(111)이고 VPN 라벨은 2000이라는 것과 PE3(113)에서 PE1(111)로 향하는 top 라벨을 찾아내고 패킷을 MPLS 프레임으로인코딩한다(309, 310). 그리고 나서, 상기 인코딩된 패킷을 PE1(111)로 전송한다(311).
상기 PE1(111)은 수신된 패킷에 실려온 VPN 라벨 값을 참조하여 출력 인터페이스를 결정하고(312), 수신된 MPLS 프레임을 디코딩하여 CE1(121)측의 공유서버(134)로 전달한다(313).
도 5는 상기 PE 시스템에서 인트라넷 및 엑스트라넷 경로정보를 처리하는 절차를 보인 플로우챠트로서, 이를 설명하면 다음과 같다.
PE 시스템(PE1, PE2, PE3, PE4등)은 경로정보 갱신 메시지를 수신하면(401), 수신된 경로정보가 로컬 주소인지 또는 원격의 피어(peer)로부터 수신된 것인지를 검사한다(402).
상기 검사결과, 수신된 경로정보가 로컬 경로인 경우, 접속된 인터페이스 정보로부터 경로구분자를 검사하여, 해당되는 VPN 라우팅/포워딩 테이블들을 찾아낸 다음, 상기 VPN 라우팅/포워딩 테이블내에 수신된 경로정보를 삽입저장한 후(403), VPN 루트 정보를 생성하는데(404), 이때 만들어지는 VPN 루트 정보는 "VPN_IPv4 주소, BGP Next Hop = Local PE 주소, VPN Label=Local 접속 인터페이스에 할당된 라벨, E_RT=해당 VPN 라우팅/포워딩 테이블의 E_RT" 등이다.
그리고, 상기와 같이 만들어진 VPN 루트 갱신 메시지는 모든 iBGP 피어들에게 분배된다(405).
그런데, 수신된 경로정보가 원격 경로인 경우, 수신된 경로의 E_RT 값과 그 PE가 갖는 VPN 라우팅/포워딩 테이블들의 I_RT 값이 매칭되는 VPN 라우팅/포워딩테이블들을 검색한다(412).
만약 매칭되는 VPN 라우팅/포워딩 테이블가 없는 경우에는 수신된 경로정보는 폐기되고 절차는 종료되고, 매칭되는 VPN 라우팅/포워딩 테이블가 있는 경우에는 해당 VPN 라우팅/포워딩 테이블 테이블에 수신된 경로정보를 저장하고(414), 가입자 사이트에 선택적으로 수신된 경로정보를 전달한다(415).
이어서, 처리중인 VPN 라우팅/포워딩 테이블 테이블이 Hub형인가를 검색하는데(416), 이는 엑스트라넷 서비스용 경로인지를 판단하기 위한 것이다.
상기 판단결과, 일반적인 VPN 경로이면 경로정보 처리 절차는 종료되지만, 엑스트라넷 용 경로인 경우에는 수신된 경로 메시지를 재 가공하여 방화벽을 거쳐가는 우회 경로 정보를 피어들에게 전송하게 된다(418,419).
즉, 수신된 경로 메시지를 "Dest=원래의 호스트의 VPN_IPv4 주소, BGP Next Hop=방화벽 접속 PE, VPN 라벨= 방화벽 접속 인터페이스에 할당된 라벨, E_RT=PE_hub(즉, 현재 VPN 라우팅/포워딩 테이블의 RT)"로 재가공하여, iBGP 피어들에게 전달함으로써 경로정보 처리는 종료된다).
이상 설명한 바와 같이, 본 발명은 MPLS 망에서 특정 가입자 사이트측에 방화벽 시스템이 위치하는 경우, 기존 인트라넷 서비스 제공 메커니즘에 영향을 주지 않으면서 엑스트라넷 서비스를 단순하고 용이하게 지원할 수 있으며, 또한 동일 인터페이스에 대해 하나 이상의 경로구분자를 할당함으로써 인트라넷과 엑스트라넷 서비스를 동시에 지원할 수 있는 우수한 효과가 있다.

Claims (5)

  1. 방화벽 시스템과, 엑스트라넷 서버와, 엑스트라넷 클라이언트시스템이 분산위치된 다수의 가입자 사이트를 가상사설망으로 연결하는 엠피엘에스(MPLS) 기반망에서의 엑스트라넷 아이피-브이피엔(IP-VPN) 서비스 제공 방법에 있어서,
    방화벽시스템과 접속되는 제1망에지장비와, 엑스트라넷서버측과 연결되는 제2망에지장비와, 엑스트라넷 클라이언트 시스템측과 연결된 제3망에지장비에 각각 엑스트라넷용 VPN 라우팅/포워딩 테이블를 만드는 제1단계;
    상기 제1망에지장비의 VPN 라우팅/포워딩 테이블는 다른 제2,3망에지장비의 루트정보(RT)값을 동시에 가지고, 제2,3망에지장비의 VPN 라우팅/포워딩 테이블는 자신과 상기 제1망에지장비의 루트정보(RT)값만을 갖도록 할당하는 제2단계; 및,
    각 망에지장비에서는 엑스트라넷 호스트에 대한 이그레스(egress) 접속을 구분하기 위한 vpn_라벨을 할당하는 제3단계로 이루어져,
    엑스트라넷 서버측과 엑스트라넷 클라이언트측이 방화벽이 구비된 가입자 사이트를 통해 경로 정보를 서로 주고 받되, 직접적으로 경로 정보가 분배되지 않는 것을 특징으로 하는 엠피엘에스(MPLS) 기반망에서의 엑스트라넷 아이피-브이피엔(IP-VPN) 서비스 제공 방법.
  2. 제1항에 있어서, 상기 방법은
    상기 제1 내지 제3 망에지장비의 엑스트라넷용 VPN 라우팅/포워딩 테이블의경로구분자를 인트라넷용 VPN 라우팅/포워딩 테이블의 경로구분자와는 다른 값으로 할당하는 제2단계를 더 포함하여,
    인트라넷 과 엑스트라넷 서비스를 동시에 지원하는 것을 특징으로 하는 엠피엘에스(MPLS) 기반망에서의 엑스트라넷 아이피-브이피엔(IP-VPN) 서비스 제공 방법.
  3. 제 1항에 있어서, 상기 방법은
    엑스트라넷 서버에 대한 경로 정보가 추가되면, 이 정보가 엑스트라넷 서버가 접속된 제2망에지장비로 전달하는 단계;
    상기 제2망에지장비가 가입자 사이트측 접속 인터페이스에 할당된 경로구분자를 검색하여 인트라넷과 엑스트라넷이 연결되어 있는 지를 판단하는 단계;
    엑스트라넷에 대한 경로 업데이트 정보를 제1망에지장비로 전달하는 단계;
    상기 경로 업데이트 메시지를 제1망에지장비에서 수신하여 엑스트라용 VPN 라우팅/포워딩 테이블 테이블에 반영하는 단계;
    상기 제1망에지장비를 수신된 경로정보를 가입자 사이트측으로 전달함과 동시에 수신된 경로 정보의 도달성 정보와 루트정보(RT)를 수정하여, 다른 망에지장비들에게 재 중계하는 단계; 및
    상기 제1망에지장비에 의해 중계된 경로정보를 수신한 제3망에지장비에 수신된 정보를 반영하고, 가입자 사이트측으로 전달하는 단계에 의해, 우회경로를 재구성하는 것을 특징으로 하는 엠피엘에스(MPLS) 기반망에서의 엑스트라넷 아이피-브이피엔(IP-VPN) 서비스 제공 방법.
  4. 제1항에 있어서, 상기 방법은
    엑스트라넷 클라이언트측으로부터 엑스트라넷 서버 측으로 향하는 패킷이 제3망에지장비에 입력되면, 상기 제3망에지장비에서 엑스트라넷용 VPN 라우팅/포워딩 테이블 테이블을 룩업하여 제1망에지장비에 접속된 방화벽 시스템으로 패킷을 포워딩하는 단계;
    상기 제1망에지장비는 입력된 패킷을 VPN 라벨 값을 참조하여 방화벽 시스템으로 전달하는 단계;
    방화벽 시스템에서 접속 인증을 거쳐서 문제가 없는 경우 이를 다시 제1망에지장비로 전달하는 단계;
    상기 제1망에지장비는 엑스트라넷용 VPN 라우팅/포워딩 테이블 테이블을 룩업하여 최종 목적지인 엑스트라넷 서버측 제2망에지장비로 수신 패킷을 포워딩하는 단계; 및
    제2망에지장비에서 상기 패킷을 수신하고, VPN 라벨 값을 참조하여 최종 목적지인 엑스트라넷 서버 측으로 패킷을 전달하는 단계에 의해,
    사용자 패킷을 가입자 사이트의 방화벽 시스템을 거쳐서 최종 목적지로 포워딩하는 것을 특징으로 하는 엠피엘에스(MPLS) 기반망에서의 엑스트라넷 아이피-브이피엔(IP-VPN) 서비스 제공 방법.
  5. 방화벽 시스템과, 엑스트라넷 서버와, 엑스트라넷 클라이언트시스템이 분산위치된 다수의 가입자 사이트를 가상사설망으로 연결하는 엠피엘에스(MPLS) 기반망에서의 엑스트라넷 아이피-브이피엔(IP-VPN) 서비스 제공 시스템에 있어서,
    방화벽시스템과 접속되는 제1망에지장비와, 엑스트라넷서버측과 연결되는 제2망에지장비와, 엑스트라넷 클라이언트 시스템측과 연결된 제3망에지장비에 각각 엑스트라넷용 VPN 라우팅/포워딩 테이블를 만드는 제1단계;
    상기 제1망에지장비의 VPN 라우팅/포워딩 테이블는 다른 제2,3망에지장비의 루트정보(RT)값을 동시에 가지고, 제2,3망에지장비의 VPN 라우팅/포워딩 테이블는 자신과 상기 제1망에지장비의 루트정보(RT)값만을 갖도록 할당하는 제2단계; 및,
    각 망에지장비에서는 엑스타넷 호스트에 대한 출구접속을 구분하기 위한 VPN 라벨을 할당하는 제3단계를 실행시키는 프로그램을 기록한 컴퓨터 판독가능한 기록매체.
KR10-2002-0026442A 2002-05-14 2002-05-14 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법 KR100431207B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0026442A KR100431207B1 (ko) 2002-05-14 2002-05-14 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0026442A KR100431207B1 (ko) 2002-05-14 2002-05-14 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법

Publications (2)

Publication Number Publication Date
KR20030088629A KR20030088629A (ko) 2003-11-20
KR100431207B1 true KR100431207B1 (ko) 2004-05-12

Family

ID=32382704

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0026442A KR100431207B1 (ko) 2002-05-14 2002-05-14 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법

Country Status (1)

Country Link
KR (1) KR100431207B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1317851C (zh) * 2003-12-19 2007-05-23 华为技术有限公司 一种虚拟专用网中实现用户站点分级管理的方法
KR20050063207A (ko) * 2003-12-22 2005-06-28 주식회사 케이티 가상 사설 랜 서비스 제공 방법
CN1697408B (zh) * 2004-05-14 2010-04-28 华为技术有限公司 一种基于IPv6的虚拟专用网管理路由的方法
CN100426804C (zh) * 2004-05-21 2008-10-15 华为技术有限公司 实现混合站点虚拟专用网的方法

Also Published As

Publication number Publication date
KR20030088629A (ko) 2003-11-20

Similar Documents

Publication Publication Date Title
US10116556B2 (en) Techniques for routing and forwarding between multiple virtual routers implemented by a single device
US9124567B2 (en) Methods and devices for converting routing data from one protocol to another in a virtual private network
JP3868815B2 (ja) 通信システム
US20040034702A1 (en) Method and apparatus for exchanging intra-domain routing information between VPN sites
US20070064704A1 (en) Methods and systems for a distributed provider edge
WO2006005260A1 (fr) Reseau prive virtuel et procede de commande et de transmission d'acheminement
US8953599B1 (en) Traffic cut-through within network device having multiple virtual network devices
WO2013185715A1 (zh) 一种实现虚拟网络的方法和虚拟网络
WO2014194749A1 (zh) 边缘设备的vpn实现处理方法及装置
EP3809641A1 (en) Improved port mirroring over evpn vxlan
WO2005013050A2 (en) Method and apparatus for implementing hub-and-spoke topology virtual private networks
JPH10154998A (ja) パケット・トラフィック減少プロセスおよびパケット・トラフィック減少装置
EP2548346B1 (en) Packet node for applying service path routing at the mac layer
CN103634210B (zh) 发现vpls实例的对端pe设备的方法及设备
KR100431207B1 (ko) 엠피엘에스(mpls)기반망에서의 엑스트라넷아이피-브이피엔(ip-vpn)서비스 제공 방법
JP2005057693A (ja) ネットワーク仮想化システム
SE541314C2 (en) Methods and apparatuses for routing data packets in a network topology
Cisco Configuring IPX Multilayer Switching
Cisco Configuring the Catalyst 8500 Software
Joseph et al. Network convergence: Ethernet applications and next generation packet transport architectures
JP2002290441A (ja) Ip−vpnルータおよびip−vpn用パケット転送路自動設定方法
CN112737951B (zh) 一种公私网混合场景下端到端sr控制方法、***和可读存储介质
US10812446B1 (en) Dynamic host configuration across multiple sites in software defined access networks
US11799690B2 (en) Systems and methods for automatic network virtualization between heterogeneous networks
JP4255863B2 (ja) 広域ネットワークシステム及び通信方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100401

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee