KR101578193B1 - 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법 - Google Patents

소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법 Download PDF

Info

Publication number
KR101578193B1
KR101578193B1 KR1020140195005A KR20140195005A KR101578193B1 KR 101578193 B1 KR101578193 B1 KR 101578193B1 KR 1020140195005 A KR1020140195005 A KR 1020140195005A KR 20140195005 A KR20140195005 A KR 20140195005A KR 101578193 B1 KR101578193 B1 KR 101578193B1
Authority
KR
South Korea
Prior art keywords
flow
access gateway
service
packet
policy
Prior art date
Application number
KR1020140195005A
Other languages
English (en)
Inventor
전병천
최재원
Original Assignee
(주)넷비젼텔레콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷비젼텔레콤 filed Critical (주)넷비젼텔레콤
Priority to KR1020140195005A priority Critical patent/KR101578193B1/ko
Application granted granted Critical
Publication of KR101578193B1 publication Critical patent/KR101578193B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템을 기존 네트워크에 추가하는 것으로 네트워크 서비스의 창출과 적용시간과 소비자원을 단축하는 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법에 관한 것이다.
본 발명의 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템은 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 복수의 액세스게이트웨이; 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 하나 이상의 플로우감시장치; 및 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 플로우제어장치;를 포함하는 것을 특징으로 한다.

Description

소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법 {Method and System for controlling an access gateway using software defined network}
본 발명은 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법에 관한 것으로, 보다 구체적으로는 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템을 기존 네트워크에 추가하는 것으로 네트워크 서비스의 창출과 적용시간과 소비자원을 단축하는 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법에 관한 것이다.
종래의 네트워크는 새로운 서비스 정책이 창출되면 그 적용을 위해 네트워크의 대부분의 네트워크 구성요소의 설정을 변경해 주어야 한다. 새로이 창출된 서비스용의 Accounting(과금) 규칙을 Accounting 장비에 설정해 주어야 하며, 서비스 제공을 위해 사용자 별 QoS (Quality of Service)설정을 네트워크의 대부분 장비에 새로이 설정해 주어야 한다. 이러한 세부적인 작업에 의해 새로운 서비스가 창출되어도, 종래의 네트워크에는 적용하는데 많은 시간과 자원이 소모되게 된다. 더하여 네트워크 서비스의 제공이 현 네트워크에 있는 장비들이 지원하는 기능(Accounting, QoS (Quality of Service) 등)에 의해 한정되게 된다. 즉, 네트워크에 속하는 네트워크 구성 장비들이 특정 서비스가 필요로 하는 기능을 지원하지 않을 경우, 그 서비스는 네트워크 장비의 교체 없이는 적용되지 못하는 것이다. 또한 기존 네트워크는 네트워크의 구성형태(Topology)에 의해 새로운 서비스용 장비의 배치위치가 한정되게 된다. 계층 구조를 가지는 기존 네트워크의 특성으로 인해, 서비스용 장비를 효율적으로 사용하기 위해선 서비스용 장비를 필히 네트워크 상위 위치에 위치시키거나, 서버 바로 앞에 위치시켜야 한다.
또 다른 본 발명과 관련된 종래 기술은 소프트웨어 정의 네트워킹 기술이다. 소프트웨어 정의 네트워크는 네트워크의 각 네트워크 요소를 중앙의 Controller에서 제어하도록 하는데, 새로운 서비스 관련 설정을 중앙의 Controller에 적용해 주는 것으로 전체 네트워크에 새로운 서비스를 적용할 수 있기에 새로운 서비스의 적용을 빠르게 할 수 있다는 장점이 있다. 이 과정에서 Controller는 각 네트워크 요소에 플로우 규칙이란 것을 내려서 패킷별로 Forwarding을 제어하는데, 종래의 기술은 사용자, 플로우, 혹은 패킷 별로 차별화된 서비스를 제공하기 위해 플로우 식별자 혹은 서비스 식별자를 각 패킷의 헤더에 삽입하고 각 식별자에 따라 Controller가 내리는 플로우 규칙을 다르게 하여 차별화된 서비스를 제공한다. 즉, 특정 서비스에 가입된 사용자의 패킷은 그 사용자가 가입한 서비스에 관한 식별자를 삽입 받게 되고, Controller에 의해 식별자별로 각 네트워크 구성요소에 설정된 플로우 규칙에 의해 그 사용자가 가입한 서비스로 Forwarding 되게 된다. 그러나 이와 같은 종래기술의 방식은 Controller가 내려주는 플로우 규칙에 추가로 새로운 규칙을 삽입하여 새로운 정책을 빠르게 적용할 수는 있지만, 종래의 네트워크의 모든 구성요소들을 중앙 Controller에서 제어할 수 있도록 만들어 주거나 중앙 Controller를 통해 제어되는 장비로 교체하여야 한다는 단점이 있다.
1. 한국공개특허 제10-2014-0052847호 : 소프트웨어 정의 네트워킹 기반 네트워크에서 서비스 품질 제공 방법 및 그 장치 2. 한국등록특허 제10-1438212호 : 소프트웨어 정의 네트워크 심층패킷분석 방법 및 이를 이용하는 소프트웨어 정의 네트워크 시스템 3. 한국등록특허 제10-0949808호 : P2P 트래픽 관리 장치 및 그 방법
본 발명은 상기한 문제점을 해결하기 위해 안출된 것으로서, 본 발명은 소프트웨어 정의 네트워킹 기술의 중앙제어방식을 이용하여 신속한 정책의 창출 및 적용을 도모하였고, 소프트웨어 갱신을 통한 정책 창출의 한계극복방안을 마련하였으며, Network Function Virtualization의 개념을 소프트웨어 정의 네트워킹 기술로 구현하여 네트워크 Topology와 상관없이 서비스 장비를 네트워크 어디에나 배치할 수 있도록 하였으며, 또한 기존 소프트웨어 정의 네트워킹 기술과는 다르게 터널을 이용하여 모든 네트워크 구성요소를 Controller에 의해 제어되도록 하지 않고 발명에 명시된 컴포넌트만 추가 혹은 교체해도 기존의 IP 네트워크에서 소프트웨어 정의 네트워킹에서 제공되는 기능을 사용 가능케 하였으며, 이와 같은 본 발명의 방식은 적은 네트워크 교체 비용으로 서비스의 신속하고 저렴한 창출 및 적용이 가능한 소프트웨어 정의 네트워크 솔루션을 구현하고 서비스 창출의 하드웨어적 한계를 극복하도록 하여 서비스를 다양화하는 것을 그 목적으로 한다.
본 발명은 기존 네트워크의 요소 중 엑세스 게이트웨이 제어시스템을 구성하는 3종류의 컴포넌트를 추가 혹은 교체하여 기존 IP 네트워크에 소프트웨어 정의 네트워크 환경을 구성하고, 각 서비스별로 터널을 설정되도록 하여 Controller에서의 서비스 정책 설정이 모든 네트워크 사용자를 대상으로 적용될 수 있도록 하며, 또한 엑세스 게이트웨이 제어시스템 구성요소에 대한 소프트웨어 갱신을 통하여, 하드웨어적인 한계로 종래 네트워크에선 구현하지 못하였던 서비스도 구현될 수 있도록 하는 것을 그 목적으로 한다.
본 발명의 엑세스 게이트웨이 제어시스템은 기존 IP 네트워크의 일부만을 추가 또는 교체하면서도 다양한 서비스 창출 및 신속한 적용이 가능한 소프트웨어 정의 솔루션을 제공할 수 있는 것을 그 목적으로 한다.
그러나 본 발명의 목적은 상기에 언급된 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템은 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 복수의 액세스게이트웨이; 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 하나 이상의 플로우감시장치; 및 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 플로우제어장치;를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고, 상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달하는 것을 특징으로 한다.
바람직하게는, 상기 엑세스 게이트웨이는 엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기는 패킷을 그 서비스 용으로 할당된 터널 인터페이스로 보내게 되며, 상기 터널 인터페이스는 데이터 패킷을 터널 헤더로 감싸서 네트워크에 유입시키게 되고, 터널 헤더 덕분에 상기 데이터 패킷은 부하가 큰 서비스를 처리할 수 있는 네트워크 상에 존재하는 플로우감시장치로 전달되며, 상기 패킷의 터널 헤더에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하는 것을 특징으로 한다.
보다 더 바람직하게는, 상기 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 각 터널 인터페이스와 매핑된 서비스에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 캡슐화(Encapsulation) 과정을 거치면서 터널 헤더와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지 IP 주소와 목적지 L4 Port 번호를 이용해서 IP 네트워크에서도 지정된 플로우감시장치로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 되는 것을 특징으로 한다.
바람직하게는, 상기 액세스게이트웨이는 초기 동작시 플로우제어장치에 MAC 주소 또는 장치의 고유번호를 등록하고, 등록된 값에 대응되는 고유의 액세스게이트웨이 구분자(AG_ID)를 할당받는 것을 특징으로 한다.
바람직하게는, 상기 액세스게이트웨이는 디바이스 측 또는 네트워크 측에서 입력된 트래픽에 대하여 플로우별 통과(forwarding), 제어(drop), 특정 IP 주소로 전달(redirect), 통과 및 복사 전달(mirroring), 지정된 포맷의 패킷에 실어 특정 IP주소로 전달(encapsulation 전달) 중 어느 하나 이상의 처리기능을 수행하며, 상기 처리기능의 처리 방식을 플로우제어장치의 제어명령으로 설정할 수 있는 것을 특징으로 한다.
바람직하게는, 상기 플로우제어장치는 플로우감시장치의 분석 내용에 따라 처리 방식을 미리 정의하는 정책 생성기; 플로우에 따라 처리방식을 미리 정의한 처리 정책을 저장하는 정책DB; 플로우 분석결과를 기반으로 정책DB에서 처리정책을 검색하는 정책검색기; 및 검색된 처리 정책에 따라 액세스게이트웨이 제어명령을 생성하는 SDN 제어기를 포함하도록 구성된 것을 특징으로 한다.
본 발명의 다른 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법은 액세스게이트웨이가 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 단계; 플로우감시장치가 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 단계; 및 플로우제어장치가 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 단계;를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고, 상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달하는 것을 특징으로 한다.
바람직하게는, 상기 플로우감시장치로 전달하는 단계는 엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기는 패킷을 그 서비스 용으로 할당된 터널 인터페이스로 보내는 과정; 및 상기 터널 인터페이스는 데이터 패킷을 터널 헤더로 감싸서 네트워크에 유입시키게 되고, 터널 헤더 덕분에 상기 데이터 패킷은 부하가 큰 서비스를 처리할 수 있는 네트워크 상에 존재하는 플로우감시장치로 전달되는 과정;을 포함하고, 상기 패킷의 터널 헤더에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하는 것을 특징으로 한다.
보다 더 바람직하게는, 상기 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 각 터널 인터페이스와 매핑된 서비스에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 캡슐화(Encapsulation) 과정을 거치면서 터널 헤더와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지 IP 주소와 목적지 L4 Port 번호를 이용해서 IP 네트워크에서도 지정된 플로우감시장치로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 되는 것을 특징으로 한다.
바람직하게는, 상기 액세스게이트웨이는 초기 동작시 플로우제어장치에 MAC 주소 또는 장치의 고유번호를 등록하고, 등록된 값에 대응되는 고유의 액세스게이트웨이 구분자(AG_ID)를 할당받는 것을 특징으로 한다.
바람직하게는, 상기 액세스게이트웨이는 디바이스 측 또는 네트워크 측에서 입력된 트래픽에 대하여 플로우별 통과(forwarding), 제어(drop), 특정 IP 주소로 전달(redirect), 통과 및 복사 전달(mirroring), 지정된 포맷의 패킷에 실어 특정 IP주소로 전달(encapsulation 전달) 중 어느 하나 이상의 처리기능을 수행하며, 상기 처리기능의 처리 방식을 플로우제어장치의 제어명령으로 설정할 수 있는 것을 특징으로 한다.
바람직하게는, 상기 플로우제어장치는 플로우감시장치의 분석 내용에 따라 처리 방식을 미리 정의하는 정책 생성기; 플로우에 따라 처리방식을 미리 정의한 처리 정책을 저장하는 정책DB; 플로우 분석결과를 기반으로 정책DB에서 처리정책을 검색하는 정책검색기; 및 검색된 처리 정책에 따라 액세스게이트웨이 제어명령을 생성하는 SDN 제어기를 포함하도록 구성된 것을 특징으로 한다.
본 발명의 다른 일실시예에 따른 컴퓨터로 판독 가능한 기록매체는 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법을 실행하는 프로그램을 기록한 것을 특징으로 한다.
이상에서 설명한 바와 같이, 본 발명은 소프트웨어 정의 네트워킹 기법을 이용하여 엑세스 게이트웨이(100)를 통해 네트워크로 유입되는 모든 패킷에 대하여 실시간적인 정책설정과 그에 따른 차별화된 서비스를 제공할 수 있는 네트워크 솔루션의 구현을 상대적으로 저렴한 비용으로 가능케 하는 방법으로, 플로우제어장치(300)에 적용하는 네트워크 관리자의 정책이 플로우 규칙을 통해 엑세스 게이트웨이(100) 및 플로우감시장치(200)와 실시간적으로 연동되게 되어서 네트워크 장비들의 교체 없이 신속하게 새로운 정책의 적용 및 도입을 가능케 한다. 또한 본 발명은 기존 IP 네트워크에서도 터널을 통하여 소프트웨어 정의 네트워킹 서비스를 제공할 수 있도록 하여 기존 네트워크의 장비를 일부만 교체하거나 교체하지 않으면서도 서비스를 제공할 수 있도록 하였다.
또한 본 발명은 추가적 플로우감지장치를 이용하여 엑세스 게이트웨이에서 처리하지 못하는 DPI(Deep Packet Inspection) 기반의 다양한 서비스를 제공할 수 있는 기반을 마련하여, L4까지의 분석만을 제공하는 저비용의 엑세스 게이트웨이를 사용하면서도 L7까지 분석 및 처리를 요하는 공격감지, application 기반 서비스 등의 서비스를 제공할 수 있다.
도 1은 본 발명에 따른 엑세스 게이트웨이 제어시스템을 도시한 것이다.
도 2는 본 발명에 따른 엑세스 게이트웨이의 구성을 나타낸 것이다.
도 3은 본 발명에 따른 플로우제어장치 구성을 나타낸 것이다.
도 4는 본 발명에 따른 엑세스 게이트웨이의 초기화 절차를 나타낸 것이다.
도 5는 본 발명에 따른 엑세스 게이트웨이의 데이터 패킷 처리 절차를 나타낸 것이다.
도 6은 본 발명에 따른 엑세스 게이트웨이의 제어명령 처리 절차를 나타낸 것이다.
도 7은 본 발명에 따른 GRE Header 예제를 나타낸 것이다.
도 8은 본 발명에 따른 VxLAN Header 예제를 나타낸 것이다.
도 9는 본 발명에 따른 IPSec Header 예제를 나타낸 것이다.
도 10은 본 발명에 따른 플로우감시장치의 패킷 처리 절차를 나타낸 것이다.
도 11은 본 발명에 따른 플로우제어장치의 이벤트 처리 절차를 나타낸 것이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구성된다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세하게 설명한다. 본 발명은 종래 네트워크 구성장비의 대부분을 그대로 사용하면서 창출 가능한 서비스를 다양화하고 서비스의 적용을 신속화 하기 위해 기존 네트워크에 상대적으로 저렴한 비용으로 소프트웨어 정의 네트워크(SDN; Software Defined Network)를 구현하는 발명이다.
본 발명의 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템은 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 복수의 액세스게이트웨이; 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 하나 이상의 플로우감시장치; 및 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 플로우제어장치;를 포함할 수 있다. 또한, 상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고, 상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달할 수 있다.
도 1은 본 발명에 따른 엑세스 게이트웨이 제어시스템을 나타낸 것이다. 본 발명의 엑세스 게이트웨이 제어시스템(1000)은 도 1에서 보듯이, 같이 엑세스 게이트웨이(100), 플로우감시장치(200), 그리고 플로우제어장치(300)의 3가지 컴포넌트(구성요소)로 구성되어 있으며, 도 1에서와 같이 통상적인 기존 IP 네트워크에서 붉은 점선으로 표시된 서비스제공 및 제어용 터널을 통해서 서비스를 제공하기에 기존 네트워크 장비의 교체를 거의 필요 하지 않으면서 서비스를 제공할 수 있다.
도 2는 엑세스 게이트웨이(100)의 구성을 나타낸 것이다. 엑세스 게이트웨이는 기존 네트워크에서 에지 노드(Edge Device)에 속하는 장치들로 인터넷 서비스 제공자 관리하의 장치 중 네트워크 사용자와 가장 가까이 위치하는 네트워크 장치이다. 엑세스 게이트웨이 제어시스템은 엑세스 게이트웨이들을 소프트웨어 정의 네트워킹 기술에 의해 제어되도록 하여 각 엑세스 게이트웨이를 통과하는 모든 패킷, 즉 사용자가 네트워크로 유입시키는 모든 패킷에 대하여 차별화된 서비스를 제공할 수 있도록 한다. 이러한 서비스를 제공하기 위해 엑세스 게이트웨이는 AG 제어 Agent(110)와 데이터 플레인 패킷 처리기(120)를 사용하고, AG 제어 Agent(110)가 수신한 플로우 규칙을 데이터 플레인 패킷 처리기(120)의 플로우 표 (flow table)(121)에 설정하는 것으로 서비스 각 사용자 별 차별화된 서비스를 제공한다.
도 3은 플로우제어장치(300)의 구성을 나타낸 것이다. 저렴한 소프트웨어 정의 네트워킹 구현을 위해 본 발명의 엑세스 게이트웨이 제어시스템은 부하가 큰 서비스들의 경우 엑세스 게이트웨이에서 처리하는 대신 네트워크 상의 플로우감시장치에 속한 다른 이벤트 처리엔진에서 대신 처리해 주는 방식을 사용하고 있다. 이 방식에서 플로우제어장치는 서비스 별로 서비스 제공 상태에 대한 로그를 기록하는 기능과 서비스가 서비스처리의 결과로 서비스 받는 패킷을 송신한 엑세스 게이트웨이에 대하여 설정을 내려주어야 하는 경우 이 설정 전달 절차를 대행 해주는 기능을 한다. 그렇기에 플로우제어장치는 설정과 플로우 규칙을 내려 줄 수 있는 SDN 제어기(Controller)를 기반으로 그 위에 정책 처리기(310)를 올려서 어플리케이션(Application)으로 사용한다. 이 정책 처리기(310)는 수신한 이벤트를 구분하고는 이벤트용으로 설정된 정책을 검색하는 정책검색기(311)와 이벤트별로 적용하여야 할 정책들을 기록해 놓은 정책DB(312)로 이루어져 있으며, 수신한 이벤트에 대한 정책이 검색되면 검색된 정책을 SDN제어기에 전달하여 정책에 명시된 플로우 규칙은 생성하고 송신할 수 있도록 한다. 더하여, 정책 처리기(310)는 네트워크 관리자가 이벤트별로 적용하고자 하는 정책을 정책DB(312)에 삽입할 수 있도록 해주는 정책생성기(313)를 제공한다.
엑세스게이트웨이 제어시스템(1000)의 또 다른 컴포넌트는 도 1에서 보듯이, 플로우감시장치(200)이다. 플로우감시장치는 입력된 트래픽 헤더에 실려 있는 액세스게이트웨이 구분자 및 서비스 구분자를 인식하고, 이를 해당 서비스에 맞게 분석 및 처리하여 분석 및 처리 결과를 플로우제어장치로 전달하는 기능을 수행하는 컴포넌트이다. 상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 다양한 분석 및 처리 방식을 제공할 수 있다.
본 발명의 다른 일실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법은 액세스게이트웨이가 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 단계; 플로우감시장치가 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 단계; 및 플로우제어장치가 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 단계;를 포함할 수 있다.
이하, 첨부된 도면을 참조하여 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법에 대한 구체적인 절차를 설명한다. 도 4, 도 5 및 도 6은 엑세스 게이트웨이의 FlowChart로 각각 초기화 절차, 데이터 패킷 처리 절차, 제어명령 처리 절차를 설명하고 있다.
도 4는 엑세스 게이트웨이를 초기화 하는 절차를 나타낸 것이다. 도 4의 단계 S410에서 엑세스 게이트웨이 제어시스템의 플로우제어장치에 연결을 요청하면서 자신의 DataPathID (DPID)와 MAC (Media Access Control) 주소를 전달하여 자신의 인증과정을 거치고, 인증 완료 후 플로우제어장치로부터 AG_ID (Access Gateway ID), IP 주소, 그리고 서비스 별 인터페이스 정보와 터널 정보를 포함하는 설정정보를 할당 받는다. 이후 엑세스 게이트웨이의 AG 제어 Agent(110)는 단계 S410에서 수신한 설정정보를 이용하여 서비스 별로 가상 인터페이스(Virtual interface) 및 터널(Tunnel)을 설정하는 단계 S420을 완료하여 차별화된 서비스를 할 수 있는 기반을 만들고, 그 후 패킷별로 차별화된 처리가 되도록 단계 S430에서 패킷을 지정된 가상 인터페이스 혹은 터널로 보낼 수 있도록 하는 플로우 규칙을 플로우제어장치에 요청하고, 플로우제어장치로부터 상기 플로우 규칙을 수신한다. 이렇게 수신한 플로우 규칙은 단계 S440에서 AG 제어 Agent(110)에 의해 엑세스 게이트웨이에 설정되게 되고, 엑세스 게이트웨이는 초기화 절차를 완료하게 된다.
이렇게 초기화 절차가 완료된 엑세스 게이트웨이는 데이터 플레인 패킷 처리기(120)를 이용하여 플로우 표에 설정된 플로우 규칙에 따라 패킷을 서로 다른 인터페이스로 전달(Forward)하게 된다. 이때 플로우 표에 설정된 플로우 규칙은 Mac 주소 Ether-Type Field 등의 L2 필드들, IP주소, ToS (Type of Service) 필드, 프로토콜(Protocol) 필드 등의 L3 필드들, 그리고 포트(Port) 번호 등의 L4 필드들부터 L7 응용(Application) 레이어의 필드까지의 사용할 수 있는 모든 헤더(Header) 필드 중 어떠한 필드든 플로우 규칙에 지정된 필드를 조건으로 사용하여 사용자 패킷을 식별하고, 각 플로우 규칙의 실행(Action)으로 패킷 자체를 버리는 드롭(Drop)이나, 패킷을 무시하는 블락(Block), 패킷을 특정 인터페이스로 전달하는 리다이렉션(Redirect)이나, 패킷을 특정 인터페이스로 복사하는 미러링(Mirror), 그리고 패킷을 통상적인 L2 Switch 혹은 L3 Routing으로 처리되도록 하는 등의 실행(Action)들을 설정할 수 있다. 엑세스 게이트웨이 제어시스템에서는 주로 Block, Redirect, Mirror Action들을 사용하며, 패킷을 막아야 해서 Block을 사용하는 경우가 아니라면 지정된 서비스별로 패킷 처리가 가능하도록 서비스별로 설정된 가상 인터페이스로 패킷을 Redirect하거나 Mirroring하는 과정을 수행한다.
상기 과정은 도 5의 데이터 패킷 처리 절차에 자세히 설명되어 있는데, 상기 데이터 패킷 처리 절차는 엑세스 게이트웨이가 단계 S510에서 데이터 패킷을 수신하는 것으로 시작된다. 엑세스 게이트웨이가 데이터 패킷을 수신하게 되면 엑세스 게이트웨이의 데이터 플레인 패킷 처리기(120)는 먼저 단계 S520에서 수신한 데이터 패킷을 식별할 수 있는 플로우 규칙이 있는지 플로우 표에서 확인한다. 이때 수신한 패킷을 식별할 수 있는 플로우 규칙이 있으면, 단계 S531로 바로 진행하게 되나, 패킷을 식별할 수 있는 플로우 규칙이 없는 경우에는 데이터 플레인 패킷 처리기(120)는 AG 제어 Agent(110)를 통하여 단계 S532를 실행하여, 수신한 데이터 패킷용으로 필요한 플로우 규칙을 플로우제어장치에 요청하게 된다. 플로우제어장치는 네트워크 관리자에 의해 설정된 정책을 기반으로 플로우 규칙을 내려 주고, 엑세스 게이트웨이의 AG 제어 Agent(110)는 플로우 규칙 수신 및 설정 한 후 데이터 플레인 패킷 처리기(120)가 단계 S520을 다시 수행 하도록 한다. 이렇게 데이터 플레인 패킷 처리기(120)가 단계 S531에 진입하게 되면 데이터 플레인 패킷 처리기(120)는 패킷에 대하여 식별된 플로우 규칙에 정해진 Action을 적용하게 되는데, Block의 경우, 패킷에 대한 더 이상에 처리가 없는 동작이기에 통상적으로 Redirecting이나 Mirroring을 하게 된다. 그렇기에 단계 S531에서 데이터 플레인 패킷 처리기(120)는 결과적으로 플로우 규칙의 Action에 명시된 인터페이스로 데이터 패킷을 전달 혹은 미러링 하게 된다. 이때 플로우 규칙의 Action에 명시된 인터페이스들은 서비스 별 패킷처리를 하기 위해 엑세스 게이트웨이의 초기화 절차에서 설정한 가상 인터페이스 및 터널 인터페이스를 포함하게 되며, 이렇게 패킷을 전달 받은 인터페이스가 설정된 서비스 별 차별화된 패킷 처리를 단계 S540에서 수행함으로써 엑세스 게이트웨이를 통한 서비스 차별화를 수행하게 된다.
엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기(120)는 패킷을 그 서비스용으로 할당된 터널 인터페이스로 보내게 된다. 이 터널 인터페이스는 데이터 패킷을 터널 Header로 감싸서 네트워크에 유입시키게 되는데, 터널 Header 덕분에 이 데이터 패킷은 부하가 큰 서비스를 처리할 수 있는 네트워크 상에 존재하는 플로우감시장치(200)로 전달된다. 이 과정에서 패킷의 터널 Header에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하고 있어서, 플로우감시장치(200)에 패킷이 도달할 수 있도록 하고 플로우감시장치(200)가 패킷에 대한 정보를 충분히 가지고 특정 서비스를 제공 할 수 있도록 한다.
본 발명의 터널 인터페이스는 개념적으로 어떠한 터널 Header든 엑세스 게이트웨이 제어시스템의 소프트웨어 업그레이드로 지원할 수 있다. 엑세스 게이트웨이는 위와 같은 본 발명의 기능을 수행하도록 하기 위해서 플로우제어장치(300)와 연동될 수 있도록 설정 되어야 한다. 이를 위해 플로우제어장치(300)는 엑세스 게이트웨이를 향해서 제어명령을 송신하는데, 이 제어 명령을 수신한 엑세스 게이트웨이는 도 6과 같은 제어명령 처리 절차를 수행하여 제어 명령에 정의된 설정을 적용시킨다.
도 6의 단계 S610으로 제어명령어를 수신하면, 엑세스 게이트웨이의 AG 제어 Agent(110)는 단계 S620에서 수신한 제어명령이 인터페이스, 터널 등의 엑세스 게이트웨이를 설정하는 제어명령어인지 아니면 플로우 규칙을 설정하는 제어명령어 인지를 확인한다. 만약 수신한 제어명령어가 엑세스 게이트웨이를 설정하는 제어 명령어이면 단계 S631을 진행하여 설정 정보를 추출하고, 단계 S641로 설정 (configuration)을 엑세스 게이트웨이에 적용한다. 그러나 수신한 제어명령어가 플로우 규칙을 설정하는 제어명령어이면 단계 S632를 수행하여 플로우 규칙을 추출하고, 단계 S642를 통해서 플로우 표(121)에 해당 플로우 규칙을 추가, 삭제, 혹은 갱신한다. 엑세스 게이트웨이는 이렇게 데이터 플레인 패킷 처리기(120)의 데이터 패킷 처리 절차를 준비한다.
도 7 및 도 8은 각각 많이 알려진 터널 Header인 GRE(Generic Routing Encapsulation)와, VxLAN(Virtual eXtensible LAN) header를 사용하여 본 발명의 터널 인터페이스 개념을 구현한 예제를 나타낸 것이다. 본 발명 터널 인터페이스 개념의 핵심은 터널 Header에 AG_ID와 Service_ID 정보를 삽입 하는 것으로, 각 터널 Header의 특정 필드를 이용하여 Service_ID와 AG_ID를 플로우감시장치(200)에 전달할 수만 있으면 된다. 그렇기에 도 7의 GRE Header에선 checksum flag를 1로 설정하였을 때 사용할 수 있는 Reserved1 필드를 사용하여 AG_ID와 Service_ID 전달하였고, 도 8의 VXLAN Header에선 VNID 필드를 사용하여 AG_ID와 Service_ID 전달한다.
AG_ID와 Service_ID를 전달 할 수 있는 필드만 확정할 수 있다면, 비단 GRE와 VxLAN 터널만이 아니라 Reserve 필드를 가지고 있는 도 9와 같은 IPSec Header등의 타 터널 헤더들도 본 발명용 터널 인터페이스로 사용될 수 있다. 이와 같은 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 이후 각 터널 인터페이스와 Mapping 된 Service에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 Encapsulation 과정을 거치면서 터널 Header와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지(Destination) IP 주소와 Destination L4 Port 번호를 이용해서 종래의 네트워크에서도 지정된 플로우감시장치(200)로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 된다. 엑세스 게이트웨이는 이와 같은 방법으로 기존 네트워크에서 저렴한 비용으로 차별화된 서비스를 쉽게 창출하고 빠르게 적용 시킬 수 있는 소프트웨어 정의 네트워킹 솔루션의 구현 기반을 마련한다.
도 10은 플로우감시장치의 패킷 처리 절차를 나타낸 것이다. 터널 Header의 Service_ID를 통해 사용자의 패킷이 플로우감시장치의 목표 서비스 용 이벤트 처리엔진에 도착하게 되면, 단계 S1010에서와 같이 이벤트 처리엔진은 먼저 패킷의 터널 Header를 Decapsulate (캡슐 해제)하여 기존의 사용자 패킷을 꺼낸다. 이 때 서비스 별로 원점 엑세스 게이트웨이에 대한 제어를 요하는 서비스의 경우 서비스 처리 후에 엑세스 게이트웨이 제어를 위해 원점 엑세스 게이트웨이를 식별할 수 있도록 터널 Header의 AG_ID를 추출한다. 이 캡슐해제(Decapsulation) 과정을 마치면, 사용자의 오리지널 패킷은 플로우감시장치의 목표 서비스의 이벤트 처리엔진으로 전달되어 단계 S1020의 서비스 처리단계를 거치게 된다. 이후 이벤트 처리엔진은 단계 S1030을 통하여 단계 S1020에서 수행한 서비스 처리 단계에 대한 이벤트를 플로우제어장치에 전달하여 서비스 처리에 대한 로그를 남기고, 패킷을 전달한 엑세스 게이트웨이에 대하여 제어를 해야 하는 경우 제어용 특정 이벤트를 AG_ID와 함께 플로우제어장치에 전달하여 플로우제어장치가 해당 엑세스 게이트웨이에 이벤트 처리엔진이 요청한 설정을 할 수 있도록 하고, 단계 S1040으로 서비스 처리가 완료된 패킷을 다시 네트워크로 방출하거나 드랍(drop)하여서 서비스 처리 기능을 완성한다. 이런 서비스 처리 단계는 각 서비스 별 이벤트 처리엔진마다 다를 수 있으며, 본 발명의 엑세스 게이트웨이 제어시스템은 서비스 별 이벤트 처리엔진의 추가 및 수정으로 다양한 서비스의 창출 및 적용을 신속하게 기존 네트워크에 적용할 수 있도록 한다. 더하여, 서비스 별 이벤트 처리엔진은 논리적으로 분할되어 있는 객체이기에 가상화되어 생성될 수 있으며, 서비스가 요하는 부하에 따라 동일한 서버에 여럿의 서비스용 이벤트 처리엔진이 다수 탑재되거나, 여럿의 서버에 부하가 큰 하나의 특정 서비스용 이벤트 처리엔진이 탑재될 수 있으며, 또한, 부하의 변화에 맞추어서, 사용되는 물리 서버의 수 또한 가변적으로 변경할 수 있기에 기존의 서비스 창출 기법에 비해 다양한 서비스를 저렴하게 기존 네트워크에 적용할 수 있다.
엑세스 게이트웨이 제어시스템의 마지막 컴포넌트인 플로우제어장치는 플로우감시장치로부터 입력된 플로우 분석 및 처리결과에 포함된 액세스게이트웨이 구분자 및 플로우 정보를 기반으로 제어해야 할 액세스게이트웨이에 대한 플로우규칙을 결정하고, 제어하는 기능을 수행한다.
도 11은 플로우제어장치의 이벤트 처리 절차를 나타낸 것이다. 플로우감시장치의 서비스용 이벤트 처리엔진이 전달하는 이벤트에 의해 촉발되는 정책검색 및 정책용 플로우 규칙 적용을 수행한다. 이벤트처리 절차에서 플로우제어장치는 단계 S1110에서 이벤트를 받게 되면, 단계 S1120을 수행하여 정책DB에서 이벤트에 대한 정책이 존재하는지 검색한다. 이 때 수신한 이벤트가 정책DB에 존재하지 않으면, 단계 S1132를 통하여 이벤트에 대하여 처리되지 않은 이벤트로 로그를 남기고, 이벤트를 무시한다. 그러나 수신한 이벤트에 대한 정책이 정책DB에 존재하면, 플로우제어장치는 단계 S1131을 수행하여 이벤트에 정의된 정책을 수행하게 되고, 필요 시 플로우 규칙 혹은 설정정보를 엑세스 게이트웨이에 전달하게 된다. 이벤트의 처리 후, 플로우제어장치는 단계 S1140에서 마지막으로 처리된 이벤트에 관한 로그를 남긴다.
한편, 본 발명의 실시예에 따른 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템의 제어방법은 다양한 전자적으로 정보를 처리하는 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 저장 매체에 기록될 수 있다. 저장 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
저장 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다. 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 상술한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (15)

  1. 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템에 있어서,
    플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 복수의 액세스게이트웨이;
    액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 하나 이상의 플로우감시장치; 및
    플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 플로우제어장치;를 포함하는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
  2. 제1항에 있어서,
    상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고,
    상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달하는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
  3. 제1항에 있어서,
    상기 엑세스 게이트웨이는 엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기는 패킷을 그 서비스용으로 할당된 터널 인터페이스로 보내며,
    상기 터널 인터페이스는 상기 패킷을 터널 헤더로 감싸서 상기 플로우감시장치로 전달되도록 하며,
    상기 패킷의 터널 헤더에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
  4. 제3항에 있어서,
    상기 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 각 터널 인터페이스와 매핑된 서비스에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 캡슐화(Encapsulation) 과정을 거치면서 터널 헤더와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지 IP 주소와 목적지 L4 Port 번호를 이용해서 IP 네트워크에서도 지정된 플로우감시장치로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 되는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
  5. 제1항에 있어서,
    상기 액세스게이트웨이는 초기 동작시 플로우제어장치에 MAC 주소 또는 장치의 고유번호를 등록하고, 등록된 값에 대응되는 고유의 액세스게이트웨이 구분자(AG_ID)를 할당받는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
  6. 제1항에 있어서,
    상기 액세스게이트웨이는 디바이스 측 또는 네트워크 측에서 입력된 트래픽에 대하여 플로우별 통과(forwarding), 제어(drop), 특정 IP 주소로 전달(redirect), 통과 및 복사 전달(mirroring), 지정된 포맷의 패킷에 실어 특정 IP 주소로 전달(encapsulation 전달) 중 어느 하나 이상의 처리기능을 수행하며, 상기 처리기능의 처리 방식을 플로우제어장치의 제어명령으로 설정할 수 있는 것을 특징으로 하는 액세스게이트웨이 제어시스템.
  7. 제1항에 있어서, 상기 플로우제어장치는
    플로우감시장치의 분석 내용에 따라 처리 방식을 미리 정의하는 정책 생성기;
    플로우에 따라 처리방식을 미리 정의한 처리 정책을 저장하는 정책DB;
    플로우 분석결과를 기반으로 정책DB에서 처리정책을 검색하는 정책검색기; 및
    검색된 처리 정책에 따라 액세스게이트웨이 제어명령을 생성하는 SDN 제어기를 포함하도록 구성된 것을 특징으로 하는 액세스게이트웨이 제어시스템.
  8. 소프트웨어 정의 네트워크 기술을 사용하는 액세스게이트웨이 제어시스템의 제어방법에 있어서,
    액세스게이트웨이가 플로우제어장치에서 정의한 방식으로 입력되는 트래픽을 플로우(flow) 단위로 처리 방식을 결정하고, 지정된 정책에 따라 특정 트래픽 플로우의 전부 또는 일부를 해당 액세스게이트웨이 구분자(AG_ID)와 함께 지정된 포맷의 패킷에 실어 플로우감시장치로 전달하는 단계;
    플로우감시장치가 액세스게이트웨이로부터 입력된 플로우 트래픽을 지정된 규칙(rule)에 따라 분석하고, 분석된 결과를 액세스게이트웨이 구분자(AG_ID)와 함께 플로우제어장치로 전달하는 단계; 및
    플로우제어장치가 플로우감시장치에서 분석된 결과 정보를 기반으로 해당 플로우 처리 정책을 결정하고, 해당 제어 정책을 액세스게이트웨이 구분자가 지정하는 액세스게이트웨이로 전달하는 단계;를 포함하는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
  9. 제8항에 있어서,
    상기 플로우감시장치는 하나 이상의 상이한 플로우를 동시에 분석할 수 있으며, 복수의 분석 및 처리 방식을 제공할 수 있고,
    상기 플로우제어장치는 복수의 액세스게이트웨이를 통과하는 트래픽에 대해서 플로우 단위로 공격의 감지 및 차단, 플로우 별 서비스 품질(QoS) 제어, 특정 플로우 별 액세스 제어 중 어느 하나 이상을 수행하기 위한 제어정책을 결정하여 엑세스게이트웨이로 전달하는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
  10. 제8항에 있어서, 상기 플로우감시장치로 전달하는 단계는
    엑세스 게이트웨이에서 감당할 수 없는 부하가 큰 서비스를 제공하는 경우, 엑세스 게이트웨이의 데이터 플레인 패킷 처리기는 패킷을 그 서비스용으로 할당된 터널 인터페이스로 보내는 과정; 및
    상기 터널 인터페이스가 상기 패킷을 터널 헤더로 감싸서 상기 플로우감시장치로 전달되도록 하는 과정;을 포함하고,
    상기 패킷의 터널 헤더에는 패킷의 근원 엑세스 게이트웨이를 식별할 수 있는 AG_ID와 패킷이 전달되어야 하는 서비스 별 이벤트 처리엔진을 표시하는 Service_ID를 포함하는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
  11. 제10항에 있어서, 상기 AG_ID와 Service_ID를 전달할 수 있는 터널 인터페이스가 엑세스 게이트웨이에 설정되게 되면, 각 터널 인터페이스와 매핑된 서비스에 가입한 사용자의 패킷은 플로우 규칙에 의해서 터널 인터페이스로 전달되게 되고, 터널 인터페이스의 캡슐화(Encapsulation) 과정을 거치면서 터널 헤더와 함께 AG_ID와 Service_ID를 삽입 받게 되어, 목적지 IP 주소와 목적지 L4 Port 번호를 이용해서 IP 네트워크에서도 지정된 플로우감시장치로 전달되어 목표 서비스의 이벤트 처리엔진으로 처리되게 되는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
  12. 제8항에 있어서,
    상기 액세스게이트웨이는 초기 동작시 플로우제어장치에 MAC 주소 또는 장치의 고유번호를 등록하고, 등록된 값에 대응되는 고유의 액세스게이트웨이 구분자(AG_ID)를 할당받는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
  13. 제8항에 있어서,
    상기 액세스게이트웨이는 디바이스 측 또는 네트워크 측에서 입력된 트래픽에 대하여 플로우별 통과(forwarding), 제어(drop), 특정 IP 주소로 전달(redirect), 통과 및 복사 전달(mirroring), 지정된 포맷의 패킷에 실어 특정 IP주소로 전달(encapsulation 전달) 중 어느 하나 이상의 처리기능을 수행하며, 상기 처리기능의 처리 방식을 플로우제어장치의 제어명령으로 설정할 수 있는 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
  14. 제8항에 있어서, 상기 플로우제어장치는
    플로우감시장치의 분석 내용에 따라 처리 방식을 미리 정의하는 정책 생성기;
    플로우에 따라 처리방식을 미리 정의한 처리 정책을 저장하는 정책DB;
    플로우 분석결과를 기반으로 정책DB에서 처리정책을 검색하는 정책검색기; 및
    검색된 처리 정책에 따라 액세스게이트웨이 제어명령을 생성하는 SDN 제어기를 포함하도록 구성된 것을 특징으로 하는 액세스게이트웨이 제어시스템의 제어방법.
  15. 제 8 항 내지 제 14 항 중 어느 한 항의 방법을 실행하는 프로그램을 기록한 것을 특징으로 하는 컴퓨터로 판독 가능한 기록매체.
KR1020140195005A 2014-12-31 2014-12-31 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법 KR101578193B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140195005A KR101578193B1 (ko) 2014-12-31 2014-12-31 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140195005A KR101578193B1 (ko) 2014-12-31 2014-12-31 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법

Publications (1)

Publication Number Publication Date
KR101578193B1 true KR101578193B1 (ko) 2015-12-16

Family

ID=55080812

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140195005A KR101578193B1 (ko) 2014-12-31 2014-12-31 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법

Country Status (1)

Country Link
KR (1) KR101578193B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698730A (zh) * 2019-03-15 2020-09-22 阿里巴巴集团控股有限公司 流量控制方法、操作***、端设备及分布式***
KR102181185B1 (ko) * 2019-09-24 2020-11-20 프라이빗테크놀로지 주식회사 단말의 안전한 네트워크 접속을 위한 시스템 및 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100949808B1 (ko) 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법
KR20140052847A (ko) 2012-10-22 2014-05-07 한국전자통신연구원 소프트웨어 정의 네트워킹 기반 네트워크에서 서비스 품질 제공 방법 및 그 장치
KR101438212B1 (ko) 2014-02-25 2014-09-04 주식회사 나임네트웍스 소프트웨어 정의 네트워크 심층패킷분석 방법 및 이를 이용하는 소프트웨어 정의 네트워크 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100949808B1 (ko) 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법
KR20140052847A (ko) 2012-10-22 2014-05-07 한국전자통신연구원 소프트웨어 정의 네트워킹 기반 네트워크에서 서비스 품질 제공 방법 및 그 장치
KR101438212B1 (ko) 2014-02-25 2014-09-04 주식회사 나임네트웍스 소프트웨어 정의 네트워크 심층패킷분석 방법 및 이를 이용하는 소프트웨어 정의 네트워크 시스템

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111698730A (zh) * 2019-03-15 2020-09-22 阿里巴巴集团控股有限公司 流量控制方法、操作***、端设备及分布式***
CN111698730B (zh) * 2019-03-15 2023-11-21 斑马智行网络(香港)有限公司 流量控制方法、操作***、端设备及分布式***
KR102181185B1 (ko) * 2019-09-24 2020-11-20 프라이빗테크놀로지 주식회사 단말의 안전한 네트워크 접속을 위한 시스템 및 방법
WO2021060856A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 단말의 안전한 네트워크 접속을 위한 시스템 및 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor

Similar Documents

Publication Publication Date Title
KR101578193B1 (ko) 소프트웨어 정의 네트워크 기술을 사용하는 엑세스 게이트웨이 제어시스템 및 그 제어방법
US10361956B2 (en) Traffic flow forwarding path redirection method and apparatus, and traffic flow forwarding system
US9800502B2 (en) Quantized congestion notification for computing environments
CN105765921B (zh) 用于利用软件定义网络功能进行diameter路由的方法、***和设备
CN108293001B (zh) 一种软件定义数据中心及其中的服务集群的部署方法
EP3435606B1 (en) Message processing method, computing device, and message processing apparatus
KR101473783B1 (ko) 터널링을 이용한 다이나믹 서비스 체이닝 제어 방법 및 장치
US9787570B2 (en) Dynamic feature peer network for application flows
US9363180B2 (en) Service chaining in a cloud environment using Software Defined Networking
US10805268B2 (en) Method and apparatuses for enabling routing of data packets between a wireless device and a service provider based in the local service cloud
US9380111B2 (en) Feature peer network with scalable state information
CN106130850B (zh) 专线用户智能化接入方法
CN208656813U (zh) 一种企业分支机构访问请求处理***
US10476807B2 (en) User equipment processing method and device
JP2010004426A (ja) 通信システムおよびサーバ装置
US20200322181A1 (en) Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud
CN108737217B (zh) 一种抓包方法及装置
CN108063761B (zh) 网络处理方法、云平台和软件定义网络sdn控制器
EP3588859B1 (en) Network device configuration versioning
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
KR101746105B1 (ko) 서비스 체이닝이 가능한 오픈플로우 스위치
CN106656807A (zh) 一种报文转发方法及sdn交换机
CN102480403B (zh) 提供虚拟私有网业务的方法、设备和***
KR100650741B1 (ko) 네트워크 프로세서의 이진코드와 가상 포워딩 컴포넌트의동적 바인딩 처리장치 및 방법
JP6149444B2 (ja) アプリケーション起動制御方法とシステムと装置とプログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181210

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191210

Year of fee payment: 5