KR20050060284A - 가상 사설망의 구축 방법 - Google Patents

가상 사설망의 구축 방법 Download PDF

Info

Publication number
KR20050060284A
KR20050060284A KR1020030091866A KR20030091866A KR20050060284A KR 20050060284 A KR20050060284 A KR 20050060284A KR 1020030091866 A KR1020030091866 A KR 1020030091866A KR 20030091866 A KR20030091866 A KR 20030091866A KR 20050060284 A KR20050060284 A KR 20050060284A
Authority
KR
South Korea
Prior art keywords
vpn
router
information
mpls
label
Prior art date
Application number
KR1020030091866A
Other languages
English (en)
Inventor
이영석
나재훈
남택용
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030091866A priority Critical patent/KR20050060284A/ko
Publication of KR20050060284A publication Critical patent/KR20050060284A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/58Association of routers
    • H04L45/586Association of routers of virtual routers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가상 사설망의 구축 방법에 관한 것으로 특히, CE 라우터(Customer Edge LSR)를 기반으로 가상 사설망을 구축하는 방법에 관한 것이다.
본 발명이 제공하는 가상 사설망의 구축 방법은 (a)가상 사설망(이하 'VPN')의 제1 CE(Customer Edge) 라우터가 자신과 자신이 속한 VPN의 위치정보와 ID를 상기 VPN 외부의 공중망의 PE(Provider Edge) 라우터에 전송하는 단계; (b)상기 PE 라우터가, 상기 공중망의 다른 모든 PE 라우터로부터 받은 임의의 VPN의 위치정보와 ID를 참조하여, 상기 (a)단계의 ID와 동일 ID를 가진 VPN이 자신과 연결되어 있는지 판별하는 단계; (c)상기 PE 라우터가 상기 (a)단계의 위치정보와 ID를 상기 동일 ID를 갖는 VPN의 제2 CE 라우터에 전송하는 단계; (d)상기 제2 CE 라우터가 상기 (a)단계의 VPN과 도달정보를 교환하고 터널을 형성하는 단계; 및 (e)상기 제1 CE 라우터가 상기 터널을 통해 상기 제2 CE 라우터로 데이터 패킷을 포워딩하는 단계를 포함하여 본 발명의 기술적 과제를 달성한다.

Description

가상 사설망의 구축 방법{Method for constructing virtual private network}
본 발명은 가상 사설망의 구축 방법에 관한 것으로 특히, CE 라우터(Customer Edge LSR)를 기반으로 가상 사설망을 구축하는 방법에 관한 것이다.
가상 사설망(Virtual Private Network, 이하 VPN)이란 공중망(public network)에서의 물리적인 구성과 무관하게 논리적으로 폐쇄된 사용자 집단(closed user group)을 구성하여 각종 통신 서비스를 제공하는 망이다. 이러한 VPN 기술의 구현을 통하여 낮은 비용으로 실제 사설망에서 제공될 수 있는 서비스를 지원하는 것이 가능하다.
VPN을 이용한 통신서비스 제공의 핵심 기술은 터널링과 암호화이다.
터널링(Tunneling)이란 특정 VPN에 가입된 사용자들 간에 공중망을 통한 연결을 제공하여 이들 연결을 통하여 VPN내의 정보가 유통되는 논리적 망을 형성하는 것이다. 특정 VPN에 속하지 않은 다른 사용자로부터의 보안을 위하여 터널을 통하여 유통되는 정보를 암호화하기도 한다.
VPN에서의 터널의 구성 방식은 크게 데이터링크 계층(Layer 2)에서 연결을 이용하는 방식과 IP계층의 연결을 이용하는 방식으로 분류할 수 있다.
데이터링크 계층(L2 계층, 그 예로 HDLC, PPP, SLIP 등을 들 수 있다)의 연결을 이용하는 방식으로는 L2F(Layer 2 Forwarding), PPTP(Point-to-Point Tunneling Protocol), L2TP(Layer 2 Tunneling Protocol)가 있다. 이 방식은 서비스 망사업자에 독립적으로 구현이 가능하므로 압축과 암호화는 단대단(end-to-end)간에 이루어진다.
IP계층의 연결을 이용하는 방식으로는 IP/IP(IP in IP), GRE(General Routing Encapsulation), IPSec(Internet Protocol Security)가 있다. 이중에서 IP/IP는 IP패킷을 다른 IP패킷 안에 실어 보내는 방식이며, GRE는 멀티프로토콜 캡슐화를 위한 IETF 규격이다. IPSec은 IP 계층의 두 개체간의 통신에서 비밀(privacy)과 인증(authentication)을 위하여 암호화와 관련된 시스템 구조 및 키(key) 관리를 지원한다.
상기한 두 방식과는 달리 MPLS를 기반으로 하는 VPN에서는 LSP(Label Switched Path)를 설정하여 터널로 이용한다. MPLS(Multi Protocol Label Switch)는 현재 IETF(Internet Engineering Task Force)에서 표준화가 진행 중에 있는 IP 패킷의 전송방식이다. MPLS 라우터는 IP패킷을 FEC(Forwarding Equivalence Class)로 분류하고 각 FEC에 짧고 고정된 길이의 레이블(Label)을 부착하여 이후의 모든 라우터가 이 레이블을 기준으로 간단하고도 빠른 패킷전송을 지원하는 기술이다.
MPLS를 이용한 VPN 구축 기술은 여타 다른 방식에 비해 QoS(Quality of Service)나 보안 등의 측면에서 많은 장점을 갖는다. MPLS는 동일한 경로를 지나는 IP 패킷들을 네트워크 계층에서 구분하여, 해당 경로를 따라 라우터를 쉽게 통과할 수 있도록 각 IP 패킷의 헤더 앞에 레이블(label)을 달아준다. 이 레이블에 따라 MPLS 라우터에서 라우팅을 하게 된다.
MPLS의 레이블을 이용하여 서로 다른 VPN 간에 트래픽을 격리시켜 효율적인 패킷 전송을 하는 것이 MPLS 기반 VPN 기술의 핵심이며, 이를 간단히 MPLS VPN이라 한다. MPLS 라우터는 VPN의 가입자들 사이에서 LSP를 설정하고, 다른 VPN에 속한 LSP들은 서로 다른 정책으로 관리함으로써 기존의 IP 터널링 방식과 비교하여 향상된 성능뿐 아니라 FEC의 설정에 따라 QoS나 보안 등 다양한 서비스의 제공도 가능하게 된다.
도 1에 기존의 VPN과 MPLS VPN의 여러 측면에서의 차이를 비교해 놓았다.
MPLS는 위에서 언급한 다양한 이점으로 인해 VPN을 구성하기 위한 최적의 방안으로 간주되고 있다. 이에 따라, IETF에서는 MPLS VPN을 표준화하기 위해 시도중이며, 현재 시스코 시스템즈(cisco systems)에서 제안한 RFC2547 "BGP/MPLS VPN"이 MPLS VPN의 표준으로 정립되고 있다.
PE 라우터 기반 MPLS VPN은 BGP-E(Border Gateway Protocol-Enhanced)를 이용하여 VPN 사이트들에 대한 도달성(reachability) 정보와 멤버쉽(membership) 정보를 전달한다. 즉, PE 간에 VPN을 위한 라우팅 정보를 분배할 때 VPN 멤버쉽 정보도 함께 실어 보내는 piggyback 방식이다. BGP-E의 원조인 BGP4는 AS(Autonomous System) 간에 라우팅 정보를 교환하기 위한 프로토콜로서 IPv4(Internet Protocol ver 4) 형태의 라우팅 정보만을 다룰 수 있다. BGP4를 IPv6(Internet Protocol ver 6) 혹은 IPX(Internetwork Packet Exchange)를 비롯한 다양한 형태의 라우팅 정보도 교환할 수 있도록 확장한 것이 BGP-E이며, PE 기반 MPLS VPN에서는 "VPN-IPv4" 형태의 라우팅 정보를 교환한다.
PE 라우터 기반 MPLS VPN의 구축에 있어서 고려해야 할 점은 다음 세 가지이다.
1. PE 라우터 기반 MPLS VPN의 라우팅 정보 분배 메커니즘
VPN 라우팅 정보는 도 3와 같이 PE들(PE1, PE2, PE3) 간의 BGP session에 의해 분배된다. 도 3에는 도 2의 P들(P1, P2, P3)과 그들에 인접한 링크들은 생략되었다. 여기서 P는 Provider router(사업자 라우터)의 첫글자 P를 의미하는데, PE가 Edge 즉, 네트워크 경계에 있는 라우터를 의미하는 반면에 P라우터는 Edge 라우터가 아닌 일반 라우터를 식별하기 위해 사용하는 단어이다.
BGP-E가 분배하는 주소의 형태는 VPN-IPv4이다. VPN-IPv4 주소는 IPv4 앞에 경로 식별자(Route Distinguisher(RD))를 붙인 것이다. RD는, 각 VPN은 사설 주소 체계를 가지기 때문에, 같은 IPv4 주소를 갖고 있는 다른 VPN을 구분하기 위해 필요하다.
도 3에 제시된 바와 같이 RD는 CE로부터의 입력 인터페이스와 미리 연관되어 있어야 한다. 왜냐하면, CE로부터 온 IPv4 루트 앞에 PE가 RD를 붙여 분배할 수 있어야 하기 때문이다. 한편 PE가 BGP-E로 VPN-IPv4 루트를 분배할 때, VPN-IPv4에 대한 레이블도 함께 분배한다. VPN-IPv4에 대한 레이블은 후술할 레이블 스태킹(label stacking)을 위한 둘째 레이블을 지칭한다.
한편, 각 PE에는 각 VPN 사이트 별로 VRF(VPN Routing and Forwarding instance)가 있다. 여러 VPN에 대한 포워딩(forwarding) 정보를 여러 VRF들에 적절히 나누어 저장해 놓는 것은 membership 기능에 의해 가능하다.
VPN 멤버쉽 기능을 위한 핵심적 요소인 RT(Route Target)는 BGP-E 패킷의 attribute로서 라우팅 정보 분배를 제어할 수 있게 한다. 도 3에서 보듯이 모든 VRF는 하나 이상의 RT와 연관된다. 또한, VPN-IPv4 루트도 하나 이상의 RT와 연관된다. VPN-IPv4 루트는 같은 RT와 연관된 VRF에만 분배되어야 한다. 즉, PE는 VPN-IPv4 루트를 받으면 같은 RT를 갖고 있는 VRF들에 그 루트를 입력시킨다.
2. PE 라우터 기반 MPLS VPN의 터널링 메커니즘
MPLS VPN에서 보안성을 확보하기 위한 주요한 방법인 터널링 메커니즘은 LSP를 활용하는 것이다. 만약 두개의 PE 사이에 n개의 터널이 필요하다면 n개의 LSP를 별도로 설정할 수도 있지만, 한 개의 LSP를 공유할 수도 있다. LSP의 공유는 MPLS 네트워크의 주요 자원인 LSP를 절약하게 되므로 MPLS 네트워크의 확장성 뿐만 아니라 VPN 서비스의 확장성도 증진시킨다.
LSP 공유 방법 중 대표적인 것이 MPLS의 주요 기능인 레이블 스태킹(label stacking)을 활용하는 것이다. VPN 지원을 위한 두 단계의 레이블 스태킹에서 최상위 레이블(top label)은 LSP를 결정하며, 둘째 레이블(second label)은 그 LSP에 공유된 터널들을 구분한다. 즉, 최상위 레이블은 MPLS 네트워크 내에서의 라우팅 정보를 함축하고 둘째 레이블은 MPLS 네트워크의 출구에서의 라우팅 정보를 의미한다.
도 4에서는 CE가 MPLS 기능을 지원하지 않는 경우, 레이블 스태킹에 의해 데이터 패킷이 전달되는 예를 보여준다. IP 패킷 형태의 VPN 패킷(IP PKT)은 VPN A의 고객 사이트(VPN A/Site 1)에서 출발하여 ingress PE(PE1)에 도착한다. ingress PE에서는 T와 S를 최상위 레이블과 둘째 레이블로 각각 인코딩한다. 네트워크를 통과하면서 최상위 레이블은 T에서 U와 V로 바뀌지만 둘째 레이블은 그대로 유지된다.
이 때, 상기한 T, S, U, V에 대하여 간략히 설명하면,
1) T
MPLS 전송 방식에서는 일반 IP 패킷 앞에 레이블(label)을 붙여 패킷을 전송하게 되는데, 이 MPLS 레이블 값으로 원래는 실제 숫자가 들어가지만 이해를 돕기 위해 일반적으로 알파벳 글자로 대신하여 표현한다. 이는 S, U, V에 대해서도 마찬가지이다.
MPLS 방식에서는 레이블을 이용하여 IP 패킷을 해당 경로로 전달하게 된다. T는 맨 앞에 부착된 레이블로 목적지 라우터까지 경로 전달을 위해 사용되며 도 4에서는 PE1이 P1으로 MPLS 패킷을 전달하기 위해 사용하는 레이블 값이다.
2) S
MPLS 방식을 이용한 VPN에서는 VPN 정보도 레이블로 부착하여 전송하며 S는 두 번째 레이블에 해당한다. 목적지 라우터에 도착한 MPLS 패킷은 VPN 레이블 정보에 따라 해당 VPN으로 전달된다.
3) U
P1이 P2로 MPLS 패킷을 전달하기 위해 사용하는 레이블 값이다.
4) V
P2이 PE2로 MPLS 패킷을 전달하기 위해 사용하는 레이블 값이다.
망의 egress PE(PE2)에 도착하면 데이터를 IP 패킷 형태로 복원하여 둘째 레이블에 의해 결정된 VPN 사이트(VPN A/Site 1)로 전달된다. 그러나, CE 라우터가 MPLS 라우터이면, CE 라우터와 PE 라우터 사이에 전달되는 패킷은 CE와 PE 라우터 사이에 연결된 LSP에 따라 레이블 패킷으로 전달될 것이다.
3. PE 라우터 기반 MPLS VPN의 데이터 패킷 포워딩 메커니즘
BGP-E 프로토콜을 사용하는 PE 기반 MPLS VPN에서의 패킷 포워딩은 앞에서 언급된 두 단계 레이블 스태킹에 의한 LSP 공유 메커니즘에 따라 도 4에 제시된 바와 같이 이루어진다.
VPN 사이트로부터 CE를 통하여 VPN 데이터 패킷이 PE에 도착하면 PE에서는 그 고객 사이트에 해당하는 VRF를 참조한다. VRF에는 그 데이터 패킷에 대한 두 개의 레이블과 다음 홉(hop)에 대한 정보가 포함되어 있다. 두 개의 레이블 중 둘째 레이블은 위에서 언급한 대로 BGP-E에 의해서 분배된 것이다.
도 5는 PE 라우터에서 VPN 사이트로부터 IP 패킷을 수신한 뒤, 해당 VPN의 FIB(Forwarding Information Base)/LIB(Label Information Base)에서 다음 홉에 대한 레이블을 찾아서 IP 패킷 앞에 부착하는 과정을 보여준다.
그러나, "BGP/MPLS VPN"에서 제시된 모델은 망사업자 네트워크(Provider Network)에 기반한 MPLS VPN의 구성방안으로서, PE(Provider Edge) 라우터가 VPN의 모든 정보를 유지 관리하기 때문에(그래서 PE 라우터 기반 MPLS VPN이라고도 불린다), VPN 사이트의 추가 혹은 삭제에 의한 토폴로지(topology) 변화가 PE 라우터에게 많은 부담을 주게 되므로 VPN 시스템의 확장성(scalability)이 떨어지는 문제점이 있다.
또한, VPN 사이트의 모든 정보를 PE 라우터에서 관리하기 때문에 보안에 관한 요구사항이 더 필요하게 될 것이며, 사용자의 다양한 요구사항을 수용하기 위한 유연성(flexibility)을 보장하기가 어렵다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위해 창안된 것으로, 본 발명이 이루고자 하는 기술적 과제는 MPLS VPN에서의 PE 라우터의 부하를 줄여 보다 효율적인 MPLS VPN의 구현이 가능한 가상 사설망의 구축 방법을 제공함에 있다.
상기와 같은 기술적 과제를 달성하기 위해 본 발명이 제공하는 가상 사설망의 구축 방법은 (a)가상 사설망(이하 'VPN')의 제1 CE(Customer Edge) 라우터가 자신과 자신이 속한 VPN의 위치정보와 ID를 상기 VPN 외부의 공중망의 PE(Provider Edge) 라우터에 전송하는 단계; (b)상기 PE 라우터가, 상기 공중망의 다른 모든 PE 라우터로부터 받은 임의의 VPN의 위치정보와 ID를 참조하여, 상기 (a)단계의 ID와 동일 ID를 가진 VPN이 자신과 연결되어 있는지 판별하는 단계; (c)상기 PE 라우터가 상기 (a)단계의 위치정보와 ID를 상기 동일 ID를 갖는 VPN의 제2 CE 라우터에 전송하는 단계; (d)상기 제2 CE 라우터가 상기 (a)단계의 VPN과 도달정보를 교환하고 터널을 형성하는 단계; 및 (e)상기 제1 CE 라우터가 데이터 패킷을 상기 터널을 통해 상기 제2 CE 라우터로 포워딩하는 단계를 포함하여 본 발명의 기술적 과제를 달성한다.
이하 본 발명의 구성, 작용 및 바람직한 실시예를 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.
본 발명에서는 CE 라우터 기반 MPLS VPN의 구축 방법을 개시한다. 본 발명에서는 VPN 사이트에 속한 CE 라우터에 VPN을 수행하기 위한 기능이 추가되지만, PE 라우터는 VPN 서비스를 위한 최소한의 VPN 정보만을 갖고 있게 된다. 따라서, PE 라우터와는 별도로 동일한 VPN 사이트에 속한 CE 라우터간의 연결성이 제공되며 망사업자 네트워크 기반의 MPLS VPN에 비해 독립성(independence)의 보장 등 많은 장점을 갖게 된다.
CE 라우터 기반 MPLS VPN의 일례가 도 2에 제시되어 있다.
도 2를 참조하면, CE 라우터 기반 MPLS VPN의 구성과 PE 라우터 기반 MPLS VPN의 구성은 유사하며, 단지 CE 라우터 상에서도 VPN 서비스를 수행하기 위한 기능이 추가되는 것이 제공하는 것이 PE 라우터 기반 MPLS VPN과의 차이점이다.
CE 라우터 기반 MPLS VPN에서 VPN 사이트 구성을 위한 요구사항으로 우선, VPN 사이트 내에 속한 CE 라우터는 MPLS 백본 네트워크 내에 LER(Label Edge Router)인 PE 라우터와 스텁(stub) 링크를 통해 연결되며, 하나의 VPN 사이트에서만 VPN 서비스를 수행한다. 또한, VPN 사이트에 속한 CE 라우터는 ISP로부터 전세계적으로 유일한 IP 주소를 할당받고, 자신이 속한 VPN 사이트의 VPN ID(VPN IDentification)를 알고 있다고 가정한다.
도 2에 제시된 바와 같이, VPN A와 VPN B 두 개의 VPN이 ISP에 연결되고, 각 VPN은 몇 개의 사이트로 구성된다. PE는 ISP 상의 MPLS 라우터이고, CE는 고객 사이트내의 MPLS 라우터이다. CE 라우터는 스텁 링크를 통해 ISP의 PE 라우터와 연결된다. ISP 내의 P 라우터(Core LSR : Label Switch Router)는 ISP에서 패킷의 전송을 수행한다. P 라우터는 계층 3 프로토콜과 MPLS를 수행하며, 직접 CE 라우터에 접속되지 않는다.
동일한 VPN 사이트 사이에서 MPLS 터널 즉, LSP를 구성하기 전에, VPN 사이트는 자신과 같은 VPN ID를 갖는 VPN 사이트들의 위치를 알아야 하고, 이 위치정보를 이용하여 각 VPN 사이트는 도달정보를 주고받아야 한다. 이 위치정보와 도달정보를 주고받는 과정과 터널을 생성하는 주체에 따라 크게 CE 라우터 기반 MPLS VPN과 PE 라우터 기반 MPLS VPN으로 구분될 수 있다.
본 발명에서도 PE 라우터 기반 MPLS VPN에서처럼 구축에 있어서 고려해야 할 점은 다음 세 가지이다.
1. 라우팅 정보 분배 메커니즘
CE 라우터 기반 VPN에서 CE 라우터는 자신이 속한 VPN의 ID와 IP 주소로 구성된 위치정보만을 스텁 링크로 연결된 PE 라우터에게 알려준다. 이 정보를 받은 PE 라우터는 새로운 VPN 서이트가 생성되었음을 알 뿐 이 사이트의 도달정보(Reachability Information)는 알지 못한다. 여기서 도달정보란 새로 연결된 CE 라우터를 통해서 어떤 주소로 설정된 패킷을 전달할 수 있는 지에 대한 정보 즉, CE 라우터가 관리하는 사이트에 대한 네트워크 정보이다. 이 도달정보를 기반으로 단지 CE 라우터 사이에만 LSP 터널을 설정하게 된다.
PE 라우터는 위치정보를 저장한 뒤 VPN 사이트의 VPN ID 및 위치정보, 즉 CE 라우터의 IP 주소를 BGP(Border Gateway Protocol)에 piggyback 하여 모든 PE 라우터에게 전송한다. 결국, 모든 PE 라우터는 VPN 사이트의 VPN ID와 위치정보만을 알 수 있게 되고, 이 정보는 PE 라우터에 저장된다.
또한, PE 라우터는 ISP내의 다른 PE 라우터로부터 VPN 사이트의 VPN ID 및 위치정보를 받으면 이 정보와 같은 VPN ID를 갖는 VPN 사이트가 자신과 스텁 링크로 연결되어 있는지 조사하여 연결되어 있으면 이 정보를 같은 VPN ID를 갖는 CE 라우터에게 전송한다. 이 정보를 받은 CE 라우터는 자신과 같은 VPN ID를 갖는 VPN 사이트와 도달정보를 교환하고 터널을 형성한다. 따라서, CE 라우터 기반 VPN에서는 PE 라우터는 단지 각 VPN 사이트의 위치정보만을 저장할 뿐, 도달정보 교환 및 터널(LSP)의 설정은 CE 라우터에서 수행된다.
도 6을 참조하면, CE 라우터는 MPLS VPN을 구축하기 위하여 두 개의 테이블을 관리한다. 그 두 개의 테이블은 VPN member caching table과 VPN routing table이다.
VPN member caching table은 자신과 같은 VPN에 속해 있는 VPN 사이트의 CE 라우터 주소(corresponding CE address)와 그 CE 라우터로 나가기 위한 자신의 인터페이스 번호(intf)를 저장한다. VPN member caching table은 단순하게 VPN 멤버쉽 정보만을 저장하며, 이 테이블을 참조하여 목적지 CE 라우터와 VPN 정보를 교환하게 된다. 한 편, 목적지 CE 라우터로부터 전송된 VPN의 정보는 VPN routing table내에 저장된다.
이 때, 상기한 모든 PE 라우터는 VPN 멤버쉽 정보를 관리하기 위해 VPN information table을 갖는다. VPN information table에는 PE 라우터와 스텁 링크로 직접 연결된 CE 라우터로부터 받은 VPN 정보와 다른 PE 라우터와 연결된 VPN의 멤버쉽 정보를 저장한다. 이처럼, PE 라우터에는 VPN 멤버쉽 정보만을 저장하기 때문에, 망사업자 네트워크(ISP)에서는 VPN을 지원하기 위한 단순한 메커니즘만이 필요하며 VPN 수행에 대한 부담을 덜 수 있게 된다.
2. 터널링 메커니즘
CE 기반 MPLS VPN에서 VPN 사이트간에 데이터 패킷을 전달하기 위해서, ISP 내의 PE 라우터는 단지 전송만을 담당하게 된다. 그러나, PE 라우터에 연결된 CE 라우터들이 동일한 전달 경로를 갖고 데이터 패킷을 전달한다면, PE 라우터간에 설정된 LSP는 공유되어야 할 것이다. 앞서 언급한 바와 같이, LSP를 공유하면 MPLS 네트워크의 주요 자원인 LSP를 절약하게 되므로 MPLS 네트워크의 확장성 뿐만 아니라 VPN 서비스의 확장성도 증진시킨다.
LSP 공유 방법 중 대표적인 것이 MPLS의 주요 기능인 레이블 스태킹(label stacking)을 활용하는 것이다. CE 기반 MPLS VPN 방식에서도 PE 라우터 사이에서는 두 단계의 레이블 스태킹이 사용된다. 최상위 레이블은 MPLS 네트워크 내에서의 라우팅 정보를 함축하고 둘째 레이블은 MPLS 네트워크의 출구에서의 라우팅 정보를 의미한다. 즉, 최상위 레이블(top label)은 LSP를 결정하며 둘째 레이블(second label)은 그 LSP에 공유된 터널들 즉, CE 라우터간의 LSP를 의미한다.
도 7을 참조하여, VPN A/site 1 내의 노드가 VPN A/site 3 내의 노드와 통신하고자 한다면, VPN 프로토콜의 동작 완료 후에 데이터 패킷은 화살표에 따라 라우팅 된다. VPN A/site 1 내의 노드가 VPN A/site 2 내의 노드 주소를 목적지로 하여 패킷을 전송하면, CEA1 라우터는 CEA2 라우터로 설정된 LSP를 통하여 레이블 패킷을 전달한다. VPN A/site 2 내의 노드가 VPN A/site 1 내의 노드로 데이터 패킷을 전송하는 경우 역시 같은 방법으로 수행된다.
3. 데이터 패킷 포워딩 메커니즘
패킷 포워딩은 앞에서 언급된 두 단계 레이블 스태킹에 의한 LSP 공유 메커니즘에 따라 도 8에 제시된 바와 같이 이루어진다.
CE 라우터가 VPN 사이트 내의 호스트로부터 데이터 패킷을 수신하면, CE 라우터는 목적지 CE 라우터에 대한 LSP를 설정한다. 이 LSP는 데이터 전송 이전에 설정될 수 있다. 설정된 LSP에 대한 레이블과 VPN 레이블을 이용하여 두 단계 레이블 스태킹 과정을 수행한다. 두 개의 레이블 중에서 상위 레이블은 다음 홉에 대한 정보를 의미하고, 둘째 레이블은 VPN 정보를 의미한다.
도 8에는 또한 CE 라우터에서 VPN 사이트 내의 호스트로부터 IP 패킷(IP PKT)을 수신한 뒤, FIB(Forwarding Information Base)/LIB(Label Information Base)에서 다음 홉에 대한 레이블을 찾아서 VPN 레이블과 함께 다음 홉 레이블을 IP 패킷 앞에 부착하는 과정을 보여준다. CE 기반 MPLS VPN에서 PE 라우터는 LSR로서 동작한다. 따라서, PE 라우터는 최상위 레이블만을 스와핑하여 다음 홉으로 전달하게 된다.
본 명세서에서 개시하는 방법 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다.
그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
본 발명에서는 MPLS 도메인 내에서 VPN을 구성하기 위한 구조적 모델을 정의하고, 제안된 모델의 제어요소 및 동작절차를 제시한다. 제시된 모델은 VPN을 구성하기 위한 단순한 메커니즘을 제공하며, 고객 사이트의 토폴로지 변화가 망사업자 네트워크의 라우터(PE)에 영향을 주지 않고 사용자의 다양한 요구사항을 수용할 수 있도록 유연성을 보장해 준다.
VPN 사이트에 속한 CE 라우터에는 VPN을 수행하기 위한 기능이 추가되며, 망사업자 네트웍에서는 VPN 서비스를 위한 최소한의 VPN membership 정보만을 갖고 있게 되므로 시스템 성능에 부담을 주지 않게 된다.
본 발명에서 제안한 방식은 CE/PE 라우터 내의 제어 요소들을 간단히 수정함으로써 MPLS 망에서 뿐만 아니라 기존의 IP 망에서도 VPN을 구현할 수 있으며, MPLS의 응용 서비스로서 VPN을 투명성있게 제공하는 기반이 될 수 있다. 또한, CE 라우터 기반 MPLS VPN은 VPN 사이트의 수가 증가함에 따라, PE 라우터 기반 MPLS VPN보다 PE 라우터의 성능을 향상시킨다.
도 1은 기존의 VPN과 MPLS VPN의 비교도이다.
도 2는 일반적인 MPLS VPN의 구성의 일례이다
도 3은 PE 라우터 기반 MPLS VPN의 라우팅 정보 분배 메커니즘을 설명하기 위한 망의 구성도이다.
도 4는 PE 라우터 기반 MPLS VPN의 터널링 메커니즘을 설명하기 위한 망의 구성도이다.
도 5는 PE 라우터 기반 MPLS VPN의 데이터 패킷 포워딩 메커니즘을 설명하기 위한 망의 구성도이다.
도 6은 본 발명에서의 라우팅 정보 분배를 위해 CE 라우터 및 PE 라우터가 구비하는 테이블 구성의 일례를 보여주는 도면이다.
도 7은 본 발명에서의 터널링 메커니즘을 설명하기 위한 망의 구성도이다.
도 8은 본 발명에서의 데이터 패킷 포워딩 메커니즘을 설명하기 위한 망의 구성도이다.

Claims (4)

  1. (a)가상 사설망(이하 'VPN')의 제1 CE(Customer Edge) 라우터가 자신과 자신이 속한 상기 VPN의 위치정보와 ID를 상기 VPN 외부의 공중망의 PE(Provider Edge) 라우터에 전송하는 단계;
    (b)상기 PE 라우터가, 상기 공중망의 다른 모든 PE 라우터로부터 받은 임의의 VPN의 위치정보와 ID를 참조하여, 상기 (a)단계의 ID와 동일 ID를 가진 VPN이 자신과 연결되어 있는지 판별하는 단계;
    (c)상기 PE 라우터가 상기 (a)단계의 위치정보와 ID를 상기 동일 ID를 갖는 VPN의 제2 CE 라우터에 전송하는 단계;
    (d)상기 제2 CE 라우터가 상기 (a)단계의 VPN과 도달정보를 교환하고 터널을 형성하는 단계; 및
    (e)상기 제1 CE 라우터가 상기 터널을 통해 상기 제2 CE 라우터로 데이터 패킷을 포워딩하는 단계를 포함함을 특징으로 하는 가상 사설망의 구축 방법.
  2. 제 1 항에 있어서, 상기 모든 PE 라우터는 상기 모든 VPN의 멤버쉽 정보만을 저장하고, 상기 멤버쉽 정보를 관리하기 위해 VPN information table을 구비하며, 상기 VPN information table에는 자신과 연결된 CE 라우터가 속한 VPN의 ID와 위치정보 및 다른 PE 라우터와 연결된 VPN의 멤버쉽 정보가 지정됨을 특징으로 하는 가상 사설망의 구축 방법.
  3. 제 1 항 또는 제 2 항에 있어서, 상기 제1 또는 제2 CE 라우터는 상기 가상 사설망의 구축을 위해 소정의 테이블(table)을 구비하며, 상기 테이블은
    자신이 속한 VPN과 동일한 VPN에 속한 제3 CE 라우터의 주소와 상기 제3 CE 라우터로 나가기 위한 자신의 인터페이스 번호를 지정한 VPN member caching table; 및
    상기 제3 CE 라우터로부터 전송된 VPN의 위치정보가 지정된 VPN routing table을 포함함을 특징으로 하는 가상 사설망의 구축 방법.
  4. 제 1 항 내지 제 3 항의 방법을 컴퓨터에서 판독할 수 있고, 실행 가능한 프로그램 코드로 기록한 기록 매체.
KR1020030091866A 2003-12-16 2003-12-16 가상 사설망의 구축 방법 KR20050060284A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030091866A KR20050060284A (ko) 2003-12-16 2003-12-16 가상 사설망의 구축 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030091866A KR20050060284A (ko) 2003-12-16 2003-12-16 가상 사설망의 구축 방법

Publications (1)

Publication Number Publication Date
KR20050060284A true KR20050060284A (ko) 2005-06-22

Family

ID=37253013

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030091866A KR20050060284A (ko) 2003-12-16 2003-12-16 가상 사설망의 구축 방법

Country Status (1)

Country Link
KR (1) KR20050060284A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009033398A1 (fr) * 2007-09-07 2009-03-19 Huawei Technologies Co., Ltd. Système de réseau mobile à espace d'adresses multiples, routeur et procédé de transmission de données
KR101242599B1 (ko) * 2010-06-30 2013-03-19 주식회사 케이티 Mpls vpn 라우팅 정보 관리 서버 및 그 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009033398A1 (fr) * 2007-09-07 2009-03-19 Huawei Technologies Co., Ltd. Système de réseau mobile à espace d'adresses multiples, routeur et procédé de transmission de données
KR101242599B1 (ko) * 2010-06-30 2013-03-19 주식회사 케이티 Mpls vpn 라우팅 정보 관리 서버 및 그 방법

Similar Documents

Publication Publication Date Title
US7733876B2 (en) Inter-autonomous-system virtual private network with autodiscovery and connection signaling
EP1713197B1 (en) A method for implementing the virtual leased line
EP2227883B1 (en) Setting up a virtual private network
US8880727B1 (en) Transparently providing layer two (L2) services across intermediate computer networks
EP1708408B2 (en) A system and method of ensuring quality of service in virtual private network
US7039687B1 (en) Multi-protocol label switching virtual private networks
US7221675B2 (en) Address resolution method for a virtual private network, and customer edge device for implementing the method
US6973057B1 (en) Public mobile data communications network
EP2926507B1 (en) Methods and routers for connectivity setup between provider edge routers
US20060062218A1 (en) Method for establishing session in label switch network and label switch node
EP1811728B2 (en) Method, system and device of traffic management in a multi-protocol label switching network
US20040255028A1 (en) Functional decomposition of a router to support virtual private network (VPN) services
JP2002176436A (ja) 仮想閉域網構築方法及び装置並びに中継装置
US7280534B2 (en) Managed IP routing services for L2 overlay IP virtual private network (VPN) services
EP2087419B1 (en) Supporting bgp based ip-vpn in a routed network
US20040025054A1 (en) MPLS/BGP VPN gateway-based networking method
US20150146573A1 (en) Apparatus and method for layer-2 and layer-3 vpn discovery
EP3477897B1 (en) Method for routing data packets in a network topology
Cisco Remote Access to MPLS VPN
Joseph et al. Network convergence: Ethernet applications and next generation packet transport architectures
KR20050060284A (ko) 가상 사설망의 구축 방법
KR20030007260A (ko) Mpls vpn에서 이동 서비스 제공 방안
RAMESH et al. VS DHENESH, KK SURESH KUMAR
KR20100071859A (ko) 네트워크의 경로 구별자 변경 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application