KR20230000760A - Vpn server and vpn failure monitoring method of vpn server - Google Patents
Vpn server and vpn failure monitoring method of vpn server Download PDFInfo
- Publication number
- KR20230000760A KR20230000760A KR1020210083278A KR20210083278A KR20230000760A KR 20230000760 A KR20230000760 A KR 20230000760A KR 1020210083278 A KR1020210083278 A KR 1020210083278A KR 20210083278 A KR20210083278 A KR 20210083278A KR 20230000760 A KR20230000760 A KR 20230000760A
- Authority
- KR
- South Korea
- Prior art keywords
- vpn
- data packet
- network equipment
- information
- state information
- Prior art date
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 167
- 238000000034 method Methods 0.000 title claims description 44
- 238000013480 data collection Methods 0.000 claims abstract description 23
- 238000004364 calculation method Methods 0.000 claims description 42
- 238000012546 transfer Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 10
- 230000001186 cumulative effect Effects 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 15
- 230000006854 communication Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003908 quality control method Methods 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은, 네트워크 장비들에 의해 데이터 패킷에 삽입된 상태 정보를 이용하여 데이터 패킷이 지나온 경로를 모니터링 할 수 있는, VPN 서버 및 VPN 서버의 VPN 장애 모니터링 방법에 관한 것이다.The present invention relates to a VPN server and a VPN failure monitoring method of the VPN server, which can monitor a path along which data packets have passed using state information inserted into data packets by network equipment.
가상 사설 네트워크(Virtual Private Network, 이하 VPN이라 함)는, 물리적으로 서로 다른 2개 이상의 네트워크들이 서로 통신이 가능하도록 하나의 가상 네트워크로 묶어 구성된 가상 사설 망을 의미한다. A virtual private network (hereinafter referred to as a VPN) refers to a virtual private network configured by combining two or more physically different networks into one virtual network to enable communication with each other.
예를 들어 도 1a을 참고하면, 제1 호스트(Host 1)와 제2 호스트(Host 2)는 물리적으로 서로 다른 네트워크(Network 1, Network 2)에 연결되어 있다. 다만 VPN을 구축함으로써, 도 1b와 같이 제1 호스트(Host 1)와 제2 호스트(Host 2)는 논리적으로 동일한 네트워크인 VPN 망을 통해 연결된다.For example, referring to FIG. 1A , a first host (Host 1) and a second host (Host 2) are physically connected to different networks (
도 1b를 참고하여 VPN의 일반적인 동작 원리를 살펴보면, VPN 망의 외부에 별도의 VPN 서버(VPN Server)가 구축되고, 이 경우 VPN 서버(VPN Server)는 VPN 게이트웨이의 역할을 수행한다. 이에 따라 제1 호스트(Host 1)와 제2 호스트(Host 2)와 같은 VPN 클라이언트 들은 VPN 서버(VPN Server)의 중계를 통해, 서로 데이터를 송신 및 수신할 수 있다.Looking at the general operation principle of VPN with reference to FIG. 1B, a separate VPN server is built outside the VPN network, and in this case, the VPN server serves as a VPN gateway. Accordingly, VPN clients such as the first host (Host 1) and the second host (Host 2) can transmit and receive data to each other through the relay of the VPN server (VPN Server).
VPN은 인터넷망과 같은 공중망을 사설망처럼 이용해 회선 비용을 절감할 수 있기 때문에, 그 사용 빈도가 증가하고 있다. 예를 들어 VPN은, 원거리에서 업무를 수행하는 재택근무자가 외부에서 사내 업무 망으로 접속할 수 있도록, 재택 근무자가 사용하는 외부의 호스트를 사내 업무 망과 동일한 VPN 망으로 묶는 방식으로 이용된다.VPNs are increasingly used because they can reduce line costs by using a public network such as the Internet as a private network. For example, a VPN is used in such a way that an external host used by a telecommuter is tied to the same VPN network as the in-house work network so that the telecommuter performing work at a distance can access the in-house work network from the outside.
한편 도 1c를 참고하면, 널리 이용되고 있는 VPN의 구조는, VPN 클라이언트 간의 1:1 통신보다는, 하나의 VPN 서버(VPN Server)에 복수의 VPN 클라이언트가 1:N(단, N?1)으로 연결되는 멀티 VPN 환경을 지원하고 있다.On the other hand, referring to FIG. 1c, the structure of the widely used VPN is rather than 1: 1 communication between VPN clients, a plurality of VPN clients in one VPN server (VPN Server) 1: N (however, N? 1) It supports multiple connected VPN environments.
한편 VPN의 장애나 기타 상태를 파악하기 위하여, VPN에 대한 모니터링이 수행되고 있다. 그리고 일반적으로 VPN 모니터링이라고 하면, VPN 서버와 연결되는 VPN 클라이언트 들의 네트워크 연결 상태정보(IP, MAC주소, 연결 활성화 여부, 장애이력, 트래픽 처리현황 등)를 그 대상으로 한다. On the other hand, monitoring of the VPN is being performed in order to identify failures or other conditions of the VPN. In general, VPN monitoring targets network connection status information (IP, MAC address, connection activation status, failure history, traffic processing status, etc.) of VPN clients connected to the VPN server.
그러나 VPN은 도 2a처럼 VPN 서버와 연결되는 VPN 클라이언트 만으로 구성되는 것이 아니다. 구체적으로 도 2b를 참고하면, VPN 서버와 VPN 클라이언트는 VPN 망을 통하여 서로 연결되며, VPN 망은 복수의 네트워크 장비(스위치 또는 라우터)의 물리적인 연결에 의해 구성된다.However, the VPN is not composed only of VPN clients connected to the VPN server as shown in FIG. 2A. Specifically, referring to FIG. 2B , a VPN server and a VPN client are connected to each other through a VPN network, and the VPN network is configured by physical connection of a plurality of network devices (switches or routers).
다만 종래의 VPN 상용 서비스들은, VPN망의 종단에 위치하는 VPN 서버나 VPN 클라이언트에 대한 모니터링에 집중할 뿐, 데이터가 실제로 경유하는 네트워크 장비들에 대한 모니터링 및 모니터링 결과를 이용한 장애 판단에 대해서는 정의하고 있지 않다.However, conventional commercial VPN services only focus on monitoring the VPN server or VPN client located at the end of the VPN network, but do not define monitoring of network equipment that data actually passes through and failure determination using the monitoring results. not.
본 발명은 상술한 문제점을 해결하기 위한 것으로, 본 발명의 목적은 네트워크 장비들에 의해 데이터 패킷에 삽입된 상태 정보를 이용하여 데이터 패킷이 지나온 경로를 모니터링 할 수 있는, VPN 서버 및 VPN 서버의 VPN 장애 모니터링 방법을 제공하기 위함이다.The present invention is to solve the above-mentioned problems, and an object of the present invention is a VPN server and a VPN of the VPN server, which can monitor the path through which data packets have passed using state information inserted into data packets by network equipment. This is to provide a failure monitoring method.
본 발명에 따른 VPN 서버는, 제1 VPN 클라이언트로부터 전송되어 VPN 망의 복수의 네트워크 장비를 경유한 데이터 패킷을 수신하고, 상기 복수의 네트워크 장비에 의해 상기 데이터 패킷에 삽입된 복수의 상태 정보를 추출하는 데이터 수집부, 상기 복수의 상태 정보를 이용하여 상기 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 연산부, 및, 상기 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 장애 판단부를 포함한다.A VPN server according to the present invention receives data packets transmitted from a first VPN client and passed through a plurality of network devices of a VPN network, and extracts a plurality of status information inserted into the data packets by the plurality of network devices. It includes a data collection unit for processing, an operation unit for obtaining monitoring information on a path through which the data packet has passed by using the plurality of state information, and a failure determination unit for determining a network device with a failure using the monitoring information.
이 경우 상기 수신된 데이터 패킷은, 헤드, 페이로드 및 상기 복수의 상태 정보를 포함하고, 상기 데이터 수집부는, 상기 데이터 패킷으로부터 상기 복수의 상태 정보를 추출하고, 상기 헤드 및 상기 페이로드를 포함하는 데이터 패킷을 목적지인 제2 VPN 클라이언트에 전송할 수 있다.In this case, the received data packet includes a head, a payload, and the plurality of state information, and the data collection unit extracts the plurality of state information from the data packet and includes the head and the payload. The data packet may be transmitted to the second VPN client as the destination.
이 경우 상기 복수의 상태 정보는, 상기 데이터 패킷이 상기 복수의 네트워크 장비를 경유한 순서에 따라 상기 복수의 네트워크 장비에 의해 순차적으로 삽입될 수 있다.In this case, the plurality of status information may be sequentially inserted by the plurality of network devices according to the order in which the data packets passed through the plurality of network devices.
한편 상기 복수의 상태 정보는, 상기 데이터 패킷이 네트워크 장비를 경유한 순서 정보, 상기 데이터 패킷이 네트워크 장비를 경유한 시점 정보 및 상기 데이터 패킷이 네트워크 장비를 경유한 시점의 누적 패킷 사이즈를 포함할 수 있다.On the other hand, the plurality of state information may include information about the order in which the data packet passed through the network equipment, information on when the data packet passed through the network equipment, and an accumulated packet size at the time when the data packet passed through the network equipment. there is.
이 경우 상기 연산부는, 상기 복수의 상태 정보에 각각 포함되는 복수의 순서 정보를 이용하여, 상기 데이터 패킷의 이동 경로를 포함하는 상기 모니터링 정보를 획득할 수 있다.In this case, the operation unit may obtain the monitoring information including the movement path of the data packet by using a plurality of order information respectively included in the plurality of state information.
한편 상기 복수의 상태 정보는, 제1 네트워크 장비에 의해 삽입된 제1 상태 정보 및 제2 네트워크 장비에 의해 삽입된 제2 상태 정보를 포함하고, 상기 연산부는, 상기 제2 상태 정보에 포함된 시점 정보 및 상기 제1 상태 정보에 포함된 시점 정보의 차를 이용하여, 상기 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크의 패킷 전달 시간을 포함하는 상기 모니터링 정보를 획득하고, 상기 제2 상태 정보에 포함된 누적 패킷 사이즈 및 상기 제1 상태 정보에 포함된 누적 패킷 사이즈의 차를 이용하여, 상기 링크를 통하여 전달된 패킷 사이즈를 포함하는 상기 모니터링 정보를 획득할 수 있다.Meanwhile, the plurality of status information includes first status information inserted by a first network device and second status information inserted by a second network device, and the calculating unit determines the point in time included in the second status information. The monitoring information including a packet transfer time of a link from the first network equipment to the second network equipment is obtained using a difference between information and time information included in the first state information, and the second state information The monitoring information including the size of the packet transmitted through the link may be obtained using a difference between the accumulated packet size included in and the accumulated packet size included in the first status information.
이 경우 상기 연산부는, 상기 링크의 패킷 전달 시간 및 상기 링크를 통하여 전달된 패킷 사이즈를 이용하여 상기 링크의 트래픽 처리량을 포함하는 상기 모니터링 정보를 획득할 수 있다.In this case, the calculation unit may obtain the monitoring information including the traffic throughput of the link using a packet delivery time of the link and a packet size transmitted through the link.
한편 상기 제1 VPN 클라이언트의 이전 모니터링 정보를 저장하는 저장부를 더 포함하고, 상기 장애 판단부는, 상기 획득된 모니터링 정보에 포함되는 상기 이동 경로가, 상기 제1 VPN 클라이언트의 이전 모니터링 정보에 포함되는 이전 이동 경로와 상이한 경우, 상기 이전 이동 경로로부터 제외된 네트워크 장비에 ICMP 요청 메시지를 전송하고, 상기 ICMP 요청 메시지에 대한 응답 메시지가 수신되지 않으면 상기 제외된 네트워크 장비에 장애가 발생한 것으로 결정할 수 있다.Meanwhile, a storage unit for storing previous monitoring information of the first VPN client is further included, and the failure determination unit determines that the movement path included in the obtained monitoring information is the previous monitoring information of the first VPN client. If it is different from the movement path, an ICMP request message is transmitted to the network equipment excluded from the previous movement route, and if a response message to the ICMP request message is not received, it may be determined that the excluded network equipment has a failure.
이 경우 상기 장애 판단부는, 상기 제외된 네트워크 장비에 장애가 발생한 것으로 결정되는 경우, 상기 이전 모니터링 정보를 상기 저장부에서 삭제하고 상기 획득된 모니터링 정보를 상기 제1 VPN 클라이언트에 대응하는 모니터링 정보로써 저장할 수 있다.In this case, the failure determination unit may delete the previous monitoring information from the storage unit and store the obtained monitoring information as monitoring information corresponding to the first VPN client when it is determined that a failure has occurred in the excluded network equipment. there is.
한편 상기 데이터 수집부는, 상기 데이터 패킷의 목적지인 제2 VPN 클라이언트로부터 전송되어 상기 VPN 망의 복수의 네트워크 장비를 경유한 제2 데이터 패킷을 수신하고, 복수의 네트워크 장비에 의해 상기 제2 데이터 패킷에 삽입된 복수의 상태 정보를 추출하고, 상기 연산부는, 상기 제2 데이터 패킷에 삽입된 복수의 상태 정보를 이용하여 상기 제2 데이터 패킷이 지나온 경로의 모니터링 정보를 획득할 수 있다.Meanwhile, the data collecting unit receives a second data packet transmitted from a second VPN client, which is the destination of the data packet, and passes through a plurality of network devices of the VPN network, and sends the second data packet to the second data packet by the plurality of network devices. A plurality of inserted state information may be extracted, and the operation unit may obtain monitoring information of a path passed by the second data packet by using the plurality of state information inserted into the second data packet.
한편 본 발명에 따른 VPN 서버의 VPN 장애 모니터링 방법은, 제1 VPN 클라이언트로부터 전송되어 VPN 망의 복수의 네트워크 장비를 경유한 데이터 패킷을 수신하는 단계, 상기 복수의 네트워크 장비에 의해 상기 데이터 패킷에 삽입된 복수의 상태 정보를 추출하는 단계, 상기 복수의 상태 정보를 이용하여 상기 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 단계, 및, 상기 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 단계를 포함한다.Meanwhile, a method for monitoring a VPN failure of a VPN server according to the present invention includes receiving a data packet transmitted from a first VPN client and passing through a plurality of network devices of a VPN network, and inserting the data packet into the data packet by the plurality of network devices. Extracting a plurality of status information that has been detected, obtaining monitoring information of a path through which the data packet has passed by using the plurality of status information, and determining a network device with a failure using the monitoring information do.
이 경우 상기 수신된 데이터 패킷은, 헤드, 페이로드 및 상기 복수의 상태 정보를 포함하고, 상기 VPN 서버의 VPN 장애 모니터링 방법은, 상기 데이터 패킷으로부터 상기 복수의 상태 정보를 추출한 후, 상기 헤드 및 상기 페이로드를 포함하는 데이터 패킷을 목적지인 제2 VPN 클라이언트에 전송하는 단계를 더 포함할 수 있다.In this case, the received data packet includes a head, a payload, and the plurality of state information, and the VPN failure monitoring method of the VPN server extracts the plurality of state information from the data packet, and then the head and the state information. The method may further include transmitting the data packet including the payload to a destination second VPN client.
이 경우 상기 복수의 상태 정보는, 상기 데이터 패킷이 상기 복수의 네트워크 장비를 경유한 순서에 따라 상기 복수의 네트워크 장비에 의해 순차적으로 삽입될 수 있다.In this case, the plurality of status information may be sequentially inserted by the plurality of network devices according to the order in which the data packets passed through the plurality of network devices.
한편 상기 복수의 상태 정보는, 상기 데이터 패킷이 네트워크 장비를 경유한 순서 정보, 상기 데이터 패킷이 네트워크 장비를 경유한 시점 정보 및 상기 데이터 패킷이 네트워크 장비를 경유한 시점의 누적 패킷 사이즈를 포함할 수 있다.On the other hand, the plurality of state information may include information about the order in which the data packet passed through the network equipment, information on when the data packet passed through the network equipment, and an accumulated packet size at the time when the data packet passed through the network equipment. there is.
한편 상기 모니터링 정보를 획득하는 단계는, 상기 복수의 상태 정보에 각각 포함되는 복수의 순서 정보를 이용하여, 상기 데이터 패킷의 이동 경로를 포함하는 상기 모니터링 정보를 획득하는 단계를 포함할 수 있다.Meanwhile, the acquiring of the monitoring information may include acquiring the monitoring information including a moving path of the data packet by using a plurality of order information respectively included in the plurality of state information.
한편 상기 복수의 상태 정보는, 제1 네트워크 장비에 의해 삽입된 제1 상태 정보 및 제2 네트워크 장비에 의해 삽입된 제2 상태 정보를 포함하고, 상기 모니터링 정보를 획득하는 단계는, 상기 제2 상태 정보에 포함된 시점 정보 및 상기 제1 상태 정보에 포함된 시점 정보의 차를 이용하여, 상기 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크의 패킷 전달 시간을 포함하는 상기 모니터링 정보를 획득하는 단계, 및, 상기 제2 상태 정보에 포함된 누적 패킷 사이즈 및 상기 제1 상태 정보에 포함된 누적 패킷 사이즈의 차를 이용하여, 상기 링크를 통하여 전달된 패킷 사이즈를 포함하는 상기 모니터링 정보를 획득하는 단계를 포함할 수 있다.Meanwhile, the plurality of status information includes first status information inserted by a first network device and second status information inserted by a second network device, and the obtaining of the monitoring information includes the second status information. Obtaining the monitoring information including a packet transfer time of a link from the first network equipment to a second network equipment by using a difference between the time information included in the information and the time information included in the first state information. Obtaining the monitoring information including the packet size transmitted through the link using the difference between the accumulated packet size included in the second status information and the accumulated packet size included in the first status information. can include
이 경우 상기 모니터링 정보를 획득하는 단계는, 상기 링크의 패킷 전달 시간 및 상기 링크를 통하여 전달된 패킷 사이즈를 이용하여 상기 링크의 트래픽 처리량을 포함하는 상기 모니터링 정보를 획득하는 단계를 더 포함할 수 있다.In this case, the obtaining of the monitoring information may further include obtaining the monitoring information including the traffic throughput of the link using a packet delivery time of the link and a packet size transmitted through the link. .
한편 상기 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 단계는, 상기 획득된 모니터링 정보에 포함되는 상기 이동 경로가, 상기 제1 VPN 클라이언트의 이전 모니터링 정보에 포함되는 이전 이동 경로와 상이한 경우, 상기 이전 이동 경로로부터 제외된 네트워크 장비에 ICMP 요청 메시지를 전송하는 단계, 및, 상기 ICMP 요청 메시지에 대한 응답 메시지가 수신되지 않으면 상기 제외된 네트워크 장비에 장애가 발생한 것으로 결정하는 단계를 포함할 수 있다.Meanwhile, the step of determining the network equipment having a failure using the monitoring information may include, when the movement path included in the obtained monitoring information is different from the previous movement path included in the previous monitoring information of the first VPN client, the The method may include transmitting an ICMP request message to network equipment excluded from a previous movement path, and determining that a failure has occurred in the excluded network equipment when a response message to the ICMP request message is not received.
이 경우 상기 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 단계는, 상기 제외된 네트워크 장비에 장애가 발생한 것으로 결정되는 경우, 상기 이전 모니터링 정보를 상기 저장부에서 삭제하는 단계, 및, 상기 획득된 모니터링 정보를 상기 제1 VPN 클라이언트에 대응하는 모니터링 정보로써 저장하는 단계를 더 포함할 수 있다.In this case, the step of determining the network equipment having a failure using the monitoring information includes: deleting the previous monitoring information from the storage unit when it is determined that a failure has occurred in the excluded network equipment; The method may further include storing information as monitoring information corresponding to the first VPN client.
한편 상기 데이터 패킷의 목적지인 제2 VPN 클라이언트로부터 전송되어 상기 VPN 망의 복수의 네트워크 장비를 경유한 제2 데이터 패킷을 수신하는 단계, 복수의 네트워크 장비에 의해 상기 제2 데이터 패킷에 삽입된 복수의 상태 정보를 추출하는 단계, 및, 상기 제2 데이터 패킷에 삽입된 복수의 상태 정보를 이용하여 상기 제2 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 단계를 더 포함할 수 있다.Meanwhile, receiving a second data packet transmitted from a second VPN client, which is the destination of the data packet, and passing through a plurality of network devices of the VPN network; The method may further include extracting state information, and obtaining monitoring information of a path passed by the second data packet by using a plurality of state information inserted into the second data packet.
본 발명에 따르면, 별도 관제시스템의 개발이나 추가 서버의 증설 없이도, 장애에 대한 빠른 대처, 시스템 구축을 위한 비용 및 시간을 절약할 수 있으며, 상용 VPN 망의 별도 시스템 장비 증설 없이 소프트웨어 모듈 형태로 손쉽게 적용이 가능한 장점이 있다.According to the present invention, without developing a separate control system or adding additional servers, it is possible to quickly respond to failures, save cost and time for system construction, and easily in the form of software modules without additional system equipment expansion of commercial VPN networks. There are advantages that can be applied.
도 1은 VPN의 일반적인 구성을 설명하기 위한 도면이다.
도 2는 본 발명에 따른, VPN 시스템을 설명하기 위한 도면이다.
도 3은 본 발명에 따른 VPN 서버의 구성을 설명하기 위한 블록도이다.
도 4는 본 발명에 따른 VPN 서버의 VPN 장애 모니터링 방법을 설명하기 위한 도면이다.
도 5는 본 발명에 따른, 데이터 패킷이 전송되는 과정을 설명하기 위한 도면이다.
도 6은 복수의 상태 정보를 이용하여 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 방법을 설명하기 위한 도면이다.
도 7은 본 발명에 따른, 제2 VPN 클라이언트에서 전송된 데이터 패킷이 지나온 경로에 대한 상태 정보를 획득하는 방법을 설명하기 위한 도면이다.
도 8은 복수의 상태 정보를 이용하여 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 방법을 설명하기 위한 도면이다.
도 9는 본 발명에 따른, 네트워크 장비에 장애가 발생한 상황을 도시한 도면이다.
도 10은 제2 네트워크 장비에 장애가 발생한 상태에서 획득되는 모니터링 정보를 설명하기 위한 도면이다.
도 11은 본 발명에 따른, 장애가 발생한 네트워크 장비를 결정하는 방법을 설명하기 위한 도면이다.
도 12는 본 발명에 따른, 모니터링 정보의 비교를 통한 장애 판단 방법을 설명하기 위한 도면이다.1 is a diagram for explaining a general configuration of a VPN.
2 is a diagram for explaining a VPN system according to the present invention.
3 is a block diagram for explaining the configuration of a VPN server according to the present invention.
4 is a diagram for explaining a VPN failure monitoring method of a VPN server according to the present invention.
5 is a diagram for explaining a process of transmitting a data packet according to the present invention.
6 is a diagram for explaining a method of obtaining monitoring information on a path through which a data packet has passed by using a plurality of state information.
FIG. 7 is a diagram for explaining a method of obtaining state information about a path passed by a data packet transmitted from a second VPN client according to the present invention.
8 is a diagram for explaining a method of obtaining monitoring information on a path through which a data packet has passed by using a plurality of state information.
9 is a diagram illustrating a situation in which failure occurs in network equipment according to the present invention.
10 is a diagram for explaining monitoring information obtained in a state in which a failure occurs in a second network device.
11 is a diagram for explaining a method of determining a network device having a failure according to the present invention.
12 is a diagram for explaining a failure determination method through comparison of monitoring information according to the present invention.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Hereinafter, the embodiments disclosed in this specification will be described in detail with reference to the accompanying drawings, but the same or similar elements are given the same reference numerals regardless of reference numerals, and redundant description thereof will be omitted. The suffixes "module" and "unit" for components used in the following description are given or used together in consideration of ease of writing the specification, and do not have meanings or roles that are distinct from each other by themselves. In addition, in describing the embodiments disclosed in this specification, if it is determined that a detailed description of a related known technology may obscure the gist of the embodiment disclosed in this specification, the detailed description thereof will be omitted. In addition, the accompanying drawings are only for easy understanding of the embodiments disclosed in this specification, the technical idea disclosed in this specification is not limited by the accompanying drawings, and all changes included in the spirit and technical scope of the present invention , it should be understood to include equivalents or substitutes.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.Terms including ordinal numbers, such as first and second, may be used to describe various components, but the components are not limited by the terms. These terms are only used for the purpose of distinguishing one component from another.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다거나 “전송한다”고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있거나 전송하는 것일 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다거나 “직접 전송한다”고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When an element is referred to as being "connected", "connected" to, or "transmitting" another element, it may be directly connected to, connected to, or transmitted to the other element, but intermediate It should be understood that other components may be present in . On the other hand, when an element is referred to as being “directly connected” to, “directly connected to,” or “directly transmitting” to another element, it should be understood that no other element exists in the middle.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, terms such as "comprise" or "have" are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other features It should be understood that the presence or addition of numbers, steps, operations, components, parts, or combinations thereof is not precluded.
본 발명을 구현함에 있어서 설명의 편의를 위하여 구성요소를 세분화하여 설명할 수 있으나, 이들 구성요소가 하나의 장치 또는 모듈 내에 구현될 수도 있고, 혹은 하나의 구성요소가 다수의 장치 또는 모듈들에 나뉘어져서 구현될 수도 있다. In implementing the present invention, components may be subdivided for convenience of description, but these components may be implemented in one device or module, or one component may be divided into multiple devices or modules may be implemented in
도 2는 본 발명에 따른, VPN 시스템을 설명하기 위한 도면이다.2 is a diagram for explaining a VPN system according to the present invention.
도 2a를 참고하면, 본 발명에 따른 VPN 시스템은, 복수의 VPN 클라이언트(100, 200), VPN 서버(300) 및 VPN 망(400)을 포함할 수 있다.Referring to FIG. 2A , the VPN system according to the present invention may include a plurality of
VPN 클라이언트(100, 200)는 호스트(110, 210)를 VPN 망(400)에 연결시키기 위한 것으로, 호스트(110, 210)와는 별도의 하드웨어로 구성되거나, 호스트(110, 210)에 소프트웨어로써 설치될 수 있다. 이에 따라 호스트(110, 210)는 물리적으로 서로 다른 네트워크에 연결되나, VPN 클라이언트(100, 200)를 통하여 논리적으로 동일한 네트워크인 VPN 망(400)에 연결될 수 있다.The
본 명세서에서 호스트(110, 210)가 데이터 패킷을 전송한다는 것은, VPN 클라이언트가 호스트로부터 데이터 패킷을 수신하고, 수신된 데이터 패킷을 암호화 하여 전송하는 것을 의미할 수 있다.In this specification, the transmission of data packets by the
한편 도 2에서는 VPN 클라이언트가 두 개인 것으로 도시하였으나 이에 한정되지 않으며, VPN 시스템은 셋 이상의 VPN 클라이언트를 포함할 수 있다. Meanwhile, although FIG. 2 shows two VPN clients, it is not limited thereto, and the VPN system may include three or more VPN clients.
VPN 서버(300)는 VPN 게이트웨이의 역할을 수행하여, 복수의 VPN 클라이언트(100, 200)들의 데이터 송신 및 수신을 중계할 수 있다.The
또한 VPN 서버(300)는 데이터 패킷을 수신하고, 데이터 패킷에 삽입된 복수의 상태 정보를 추출하고, 복수의 상태 정보를 이용하여 데이터 패킷이 지나온 경로의 모니터링 정보를 획득할 수 있다.In addition, the
한편 도 2b를 참고하면, VPN 망(400)은 복수의 네트워크 장비(N1, N2, N3, N4)를 포함할 수 있다, 여기서 복수의 네트워크 장비(N1, N2, N3, N4) 각각은, 스위치 또는 라우터로 구성될 수 있다. 도 2b에서는 네 개의 네트워크 장비의 물리적인 연결에 의해 VPN 망(400)이 구성되는 것으로 설명하였으나 이에 한정되지 않으며, VPN 망(400)은 더 적은 수(최소 1개) 또는 더 많은 수의 네트워크 장비를 포함할 수 있다.Meanwhile, referring to FIG. 2B, the
한편 네트워크 장비(N1, N2, N3, N4)는 데이터 패킷을 수신하고, 수신된 데이터 패킷에 자신의 상태 정보를 삽입하여 전송할 수 있다. Meanwhile, the network equipments N1, N2, N3, and N4 may receive data packets, insert state information of themselves into the received data packets, and transmit the data packets.
이 경우 네트워크 장비(N1, N2, N3, N4)는, 라우팅 프로토콜에 의해 구성되는 라우팅 테이블에 기초하여, 해당 목적지에 도달하기 위해 거쳐야 할 다음 라우터(또는 스위치)에 데이터 패킷을 전송할 수 있다. 또한 일부 네트워크 장비(N1, N3, N4)는, 자신과 연결된 VPN 서버(300) 또는 VPN 클라이언트(100, 200)에 데이터 패킷을 전송할 수 있다. In this case, the network equipments N1, N2, N3, and N4 may transmit data packets to the next router (or switch) to be passed through to reach the corresponding destination based on the routing table configured by the routing protocol. Also, some of the network devices N1, N3, and N4 may transmit data packets to the
도 3은 본 발명에 따른 VPN 서버의 구성을 설명하기 위한 블록도이다.3 is a block diagram for explaining the configuration of a VPN server according to the present invention.
본 발명에 따른 VPN 서버(300)는, 데이터 수집부(310), 연산부(320), 장애 판단부(330) 및 저장부(340)를 포함할 수 있다.The
데이터 수집부(310)는 데이터 패킷에서 네트워크 장비의 상태 정보를 필터링 할 수 있다. 구체적으로 데이터 수집부(310)는 복수의 네트워크 장비를 경유한 데이터 패킷을 수신하고, 복수의 네트워크 장비에 의해 데이터 패킷에 삽입된 복수의 상태 정보를 추출할 수 있다.The
연산부(320)는, 필터링 된 네트워크 장비들의 상태 정보를 이용하여 데이터 패킷이 지나온 경로의 모니터링 정보를 획득할 수 있다. The
장애 판단부(330)는, 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정할 수 있다.The
저장부(340)는, 모니터링 정보, 장애 발생 여부에 대한 정보, 장애가 발생한 네트워크 장비에 대한 정보 등을 저장할 수 있다.The
한편 VPN 서버(300)의 동작을 구현하기 위한 하드웨어로서, VPN 서버(100)는 통신 모듈, 프로세서 및 메모리를 포함할 수 있다.Meanwhile, as hardware for implementing the operation of the
통신 모듈은, VPN 서버(300)를 VPN 망(400)에 연결하기 위한 인터페이스를 제공할 수 있다. 그리고 통신 모듈은, VPN 망(400)을 구성하는 네트워크 장비(N1, N2, N3, N4) 중 하나 이상과 통신하여, 데이터 패킷을 송신 및 수신할 수 있다.The communication module may provide an interface for connecting the
프로세서는 VPN 서버(300)의 전반적인 동작을 제어할 수 있다. 그리고 데이터 수집부(310), 연산부(320), 장애 판단부(330) 및 저장부(340)의 동작의 일부 또는 전부는, 프로세서의 구동에 의해 수행될 수 있다.The processor may control the overall operation of the
메모리는, VPN 서버(300)의 동작을 위한 응용 프로그램 또는 데이터를 저장할 수 있다.The memory may store application programs or data for operation of the
도 4는 본 발명에 따른 VPN 서버의 VPN 장애 모니터링 방법을 설명하기 위한 도면이다.4 is a diagram for explaining a VPN failure monitoring method of a VPN server according to the present invention.
VPN 서버의 VPN 장애 모니터링 방법은, 제1 VPN 클라이언트로부터 전송되어 VPN 망의 복수의 네트워크 장비를 경유한 데이터 패킷을 수신하는 단계(S410), 복수의 네트워크 장비에 의해 데이터 패킷에 삽입된 복수의 상태 정보를 추출하는 단계(S420), 복수의 상태 정보를 추출한 후, 헤드 및 페이로드를 포함하는 데이터 패킷을 목적지인 제2 VPN 클라이언트에 전송하는 단계(S430), 복수의 상태 정보를 이용하여 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 단계(S440), 및, 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 단계(S450)를 포함할 수 있다.A method for monitoring a VPN failure of a VPN server includes receiving a data packet transmitted from a first VPN client and passing through a plurality of network devices of a VPN network (S410), a plurality of conditions inserted into the data packet by the plurality of network devices Extracting information (S420), extracting a plurality of status information, and then transmitting the data packet including the head and payload to the second VPN client as a destination (S430), using the plurality of status information to transmit the data packet It may include obtaining monitoring information of the passed path (S440), and determining a network device having a failure using the monitoring information (S450).
한편 도 4에서의 S440 내지 S450은, 발명의 필수 구성 요소는 아닌 것으로, VPN 서버의 VPN 장애 모니터링 방법은 더 많은 단계 또는 더 적은 단계를 포함할 수 있다.Meanwhile, S440 to S450 in FIG. 4 are not essential components of the invention, and the VPN server failure monitoring method may include more or fewer steps.
도 5는 본 발명에 따른, 데이터 패킷이 전송되는 과정을 설명하기 위한 도면이다.5 is a diagram for explaining a process of transmitting a data packet according to the present invention.
본 발명에 따른 VPN 시스템에는 둘 이상의 VPN 클라이언트가 존재할 수 있으며, 둘 이상의 VPN 클라이언트는 하나의 VPN 서버(100)를 통해 동일한 VPN 망에 연결될 수 있다. 이하에서는 설명의 편의를 위해 두 개의 VPN 클라이언트(제1 VPN 클라이언트(100), 제2 VPN 클라이언트(200))가 VPN 망(400)을 통해 통신하는 예시를 들어 설명한다.Two or more VPN clients may exist in the VPN system according to the present invention, and the two or more VPN clients may be connected to the same VPN network through one
또한 제1 VPN 클라이언트(100)와 제2 VPN 클라이언트(200)는 상호 간에 데이터를 송신 및 수신할 수 있다. 이하에서는 설명의 편의를 위해, 제1 VPN 클라이언트(100)가 제2 VPN 클라이언트(200)를 목적지로 하여 데이터를 전송하는 예시를 들어 설명한다.Also, the
제1 VPN 클라이언트(100)는 제1 호스트(110)로부터 데이터 패킷을 수신하고, 데이터 패킷을 암호화 하여 전송할 수 있다. 본 명세서에서는 제1 호스트(110)를 데이터 패킷의 최초 출발지, 제1 VPN 클라이언트(100)를 데이터 패킷의 출발지, 제2 VPN 클라이언트(200)를 데이터 패킷의 목적지, 제2 호스트(210)를 데이터 패킷의 최종 목적지로 명칭한다. 한편 데이터 패킷은 복수의 상태 정보를 포함하기 위하여, 점보 패킷으로 구성될 수 있다.The
한편 제1 VPN 클라이언트(100)에서 전송한 데이터 패킷은, VPN 서버(100)를 경유한 후, 제2 VPN 클라이언트(200)에 전송될 수 있다.Meanwhile, the data packet transmitted from the
그리고 제1 VPN 클라이언트(100)에서 전송한 데이터 패킷(510)의 이동 경로는, VPN 망(400)을 구성하는 복수의 네트워크 장비(N1, N2, N3, N4)의 라우팅 프로토콜에 기초하여 결정될 수 있다. 여기서는, 도 5a에 도시된 바와 같이, 제1 VPN 클라이언트(100)에서 전송한 데이터 패킷이 제1 네트워크 장비(N1), 제2 네트워크 장비(N2), 제3 네트워크 장비(N3)를 순차적으로 경유하여 VPN 서버(300)로 전달된다고 가정한다. 또한 도 5b에서 도시된 바와 같이, VPN 서버(300)에서 전송한 데이터 패킷(550)이 제3 네트워크 장비(N3) 및 제4 네트워크 장비(N4)를 순차적으로 경유하여 제2 VPN 클라이언트(200)에 전달된다고 가정한다.The movement path of the
먼저 도 5a를 참고하여 제1 VPN 클라이언트(100)에서 전송한 데이터 패킷(510)을 VPN 서버(300)에서 수신하기까지의 과정을 설명한다.First, with reference to FIG. 5A, a process until the
제1 VPN 클라이언트(100)에서 전송한 데이터 패킷(510)은, 헤더(HD) 및 페이로드(PL)를 포함할 수 있다. 여기서 헤더(HD)는 패킷 헤더라고도 명칭할 수 있으며, 헤더(HD)는 데이터 패킷이 전달되어야 하는 목적지 정보(제2 VPN 클라이언트)를 포함할 수 있다. 또한 페이로드는, 제1 호스트(110)가 제2 호스트(210)에 전송하려는 데이터를 암호화한 암호화 데이터를 포함할 수 있다.The
한편 제1 네트워크 장비(N1)는 제1 VPN 클라이언트(100)로부터 데이터 패킷(510)을 수신할 수 있다. 그리고 제1 네트워크 장비(N1)는 자신의 상태 정보인 제1 상태 정보(R1)를 수신된 데이터 패킷(510)에 삽입할 수 있다.Meanwhile, the first network equipment N1 may receive the
여기서 제1 상태 정보(R1)는, 데이터 패킷(510)이 네트워크 장비를 경유한 순서 정보를 포함할 수 있다. 구체적으로 제1 VPN 클라이언트(100)가 전송한 데이터 패킷(510)은, VPN 망(400)을 구성하는 복수의 네트워크 장비(N1, N2, N3, N4) 중 제1 네트워크 장비(N1)를 첫 번째로 경유하였다. 따라서 제1 네트워크 장비(N1)는 “1”이라는 순서 정보를 포함하는 제1 상태 정보(R1)를 생성할 수 있다.Here, the first state information R1 may include order information that the
한편 순서 정보는 시퀀스 넘버(Sequence Number)라는 용어로도 표현될 수 있으며, 네트워크 장비의 상태 정보가 포함되는 순서를 의미할 수도 있다. 즉, 제1 네트워크 장비(N1)는 제1 VPN 클라이언트(100)에서 전송한 데이터 패킷(510)이 첫 번째로 경유한 네트워크 장비로써, 제1 네트워크 장비(N1)가 수신한 데이터 패킷(510)에는 아무런 상태 정보가 포함되어 있지 않은 상태이다. 따라서 제1 네트워크 장비(N1)는 첫 번째로 상태 정보가 포함된다는 의미로, “1”이라는 순서 정보를 포함하는 제1 상태 정보(R1)를 생성할 수 있다.Meanwhile, the order information may also be expressed in terms of a sequence number, and may mean the order in which state information of network equipment is included. That is, the first network device N1 is a network device through which the
또한 제1 상태 정보(R1)는, 데이터 패킷(510)이 제1 네트워크 장비(N1)를 경유한 시점 정보를 포함할 수 있다. In addition, the first status information R1 may include information on when the
구체적으로, VPN 망(400)을 구성하는 네트워크 장비(N1, N2, N3, N4)는 시간 동기화가 되어 있으며, 시점 정보는 데이터 패킷(510)이 네트워크 장비를 경유한 시점을 나타내는 타임 스탬프(Timestamp)를 포함할 수 있다. 이 경우 제1 네트워크 장비(N1)는 데이터 패킷(510)이 네트워크 장비를 경유한 시점의 타임 스탬프(Timestamp)를 포함하는 제1 상태 정보(R1)를 생성할 수 있다.Specifically, the network equipment (N1, N2, N3, and N4) constituting the
한편 데이터 패킷(510)이 네트워크 장비를 경유한 시점이란 제1 상태 정보(R1)가 데이터 패킷에 포함되는 시점을 의미할 수 있으나 이에 한정되지는 않으며, 제1 네트워크 장비(N1)가 데이터 패킷(510)을 수신한 시점, 제1 네트워크 장비(N1)가 데이터 패킷(510)을 수신한 후 제1 상태 정보(R1)가 데이터 패킷에 포함되기 전의 특정 시점 등, 다양한 방식으로 구현될 수 있다.Meanwhile, the time at which the
또한 제1 상태 정보(R1)는, 제1 네트워크 장비(N1)를 경유하는 데이터 패킷들의 누적 패킷 사이즈(ByteCount)를 포함할 수 있다. 구체적으로 제1 네트워크 장비(N1)는, 제1 네트워크 장비(N1)를 경유하는 데이터 패킷들의 패킷 사이즈를 합산하여 누적 패킷 사이즈를 획득할 수 있다. 예를 들어 제1 네트워크 장비(N1)를 경유한 데이터 패킷들의 누적 패킷 사이즈가 1540 byte인 상태에서, 2 byte의 새로운 데이터 패킷이 제1 네트워크 장비(N1)를 경유하는 경우, 제1 네트워크 장비(N1)는 기존의 누적 패킷 사이즈 1540 byte에 2 byte를 합산하여 1542 byte의 새로운 누적 패킷 사이즈를 산출하고, 새로운 누적 패킷 사이즈를 기록할 수 있다. In addition, the first state information R1 may include an accumulated packet size (ByteCount) of data packets passing through the first network equipment N1. Specifically, the first network equipment N1 may obtain an accumulated packet size by summing the packet sizes of data packets passing through the first network equipment N1. For example, in a state where the cumulative packet size of data packets passing through the first network equipment N1 is 1540 bytes, when a new data packet of 2 bytes passes through the first network equipment N1, the first network equipment ( N1) may calculate a new accumulated packet size of 1542 bytes by adding 2 bytes to the existing accumulated packet size of 1540 bytes, and record the new accumulated packet size.
한편, 데이터 패킷(510)이 제1 네트워크 장비(N1)를 경유하는 경우, 제1 네트워크 장비(N1)는 데이터 패킷(510)이 제1 네트워크 장비(N1)를 경유하는 시점의 누적 패킷 사이즈를 포함하는 제1 상태 정보(R1)를 생성할 수 있다.Meanwhile, when the
한편 제1 상태 정보(R1)는, 제1 상태 정보(R1)를 삽입한 제1 네트워크 장비(N1)의 식별 정보(예를 들어 ID)를 더 포함할 수도 있다.Meanwhile, the first state information R1 may further include identification information (eg, ID) of the first network equipment N1 into which the first state information R1 is inserted.
한편 순서 정보, 시점 정보 및 누적 패킷 사이즈를 포함하는 제1 상태 정보(R1)가 생성되면, 제1 네트워크 장비(N1)는 제1 상태 정보(R1)를 헤더(HD) 및 페이로드(PL) 사이에 삽입할 수 있다. Meanwhile, when the first state information R1 including order information, timing information, and accumulated packet size is generated, the first network equipment N1 converts the first state information R1 into a header HD and a payload PL can be inserted between
그리고 제1 네트워크 장비(N1)는, 라우팅 테이블에 기초하여, VPN 망(400)을 구성하는 복수의 네트워크 장비 중 제2 네트워크 장비(N2)에 제1 상태 정보(R1)가 삽입된 데이터 패킷(520)을 전송할 수 있다.And, based on the routing table, the first network equipment N1 is a data packet in which the first state information R1 is inserted into the second network equipment N2 among a plurality of network equipment constituting the VPN network 400 ( 520) can be transmitted.
한편 제2 네트워크 장비(N2)는 제1 네트워크 장비(N1)으로부터 데이터 패킷(520)을 수신할 수 있다. 그리고 데이터 패킷(520)은, 헤더(HD), 제1 상태 정보(R1) 및 페이로드(PL)를 포함할 수 있다,Meanwhile, the second network equipment N2 may receive the
그리고 제2 네트워크 장비(N2)는 자신의 상태 정보인 제2 상태 정보(R2)를 수신된 데이터 패킷(520)에 삽입할 수 있다. 이 경우, 앞서 설명한 제1 네트워크 장비(N1)의 제1 상태 정보 삽입 과정이 적용될 수 있다.Also, the second network equipment N2 may insert its own state information, the second state information R2, into the received
한편 제1 네트워크 장비(N1)의 제1 상태 정보 삽입 과정과 다른 점을 살펴보면, 제2 상태 정보(R2)는, 제1 VPN 클라이언트(100)가 전송한 데이터 패킷(510)이 네트워크 장비를 경유한 순서 정보를 포함할 수 있다. 구체적으로 제1 VPN 클라이언트(100)가 전송한 데이터 패킷(510)은, VPN 망(400)을 구성하는 복수의 네트워크 장비(N1, N2, N3, N4) 중 제2 네트워크 장비(N2)를 두 번째로 경유하였다. 따라서 제2 네트워크 장비(N1)는 “2”이라는 순서 정보를 포함하는 제2 상태 정보(R2)를 생성할 수 있다.Meanwhile, looking at the difference from the process of inserting the first state information of the first network equipment N1, the second state information R2 is that the
한편 순서 정보, 시점 정보 및 누적 패킷 사이즈를 포함하는 제2 상태 정보(R2)가 생성되면, 제2 네트워크 장비(N2)는 제2 상태 정보(R2)를 헤더(HD) 및 페이로드(PL) 사이에 삽입할 수 있다. On the other hand, when the second state information R2 including order information, timing information, and accumulated packet size is generated, the second network equipment N2 converts the second state information R2 into a header (HD) and a payload (PL). can be inserted between
그리고 제2 네트워크 장비(N2)는, 라우팅 테이블에 기초하여, VPN 망(400)을 구성하는 복수의 네트워크 장비(N1, N2, N3, N4) 중 제3 네트워크 장비(N3)에 제2 상태 정보(R2)가 삽입된 데이터 패킷(530)을 전송할 수 있다.And, based on the routing table, the second network equipment N2 sends second state information to the third network equipment N3 among the plurality of network equipments N1, N2, N3, and N4 constituting the
제3 네트워크 장비(N3)는 제2 네트워크 장비(N2)으로부터 데이터 패킷(530)을 수신할 수 있다. 그리고 데이터 패킷(530)은, 헤더(HD), 제1 상태 정보(R1), 제2 상태 정보(R2) 및 페이로드(PL)를 포함할 수 있다,The third network equipment N3 may receive the
그리고 제3 네트워크 장비(N3)는 자신의 상태 정보인 제3 상태 정보(R3)를 수신된 데이터 패킷(520)에 삽입할 수 있다. 이 경우, 앞서 설명한 제1 네트워크 장비(N1)의 제1 상태 정보 삽입 과정이 적용될 수 있다. 또한 제1 VPN 클라이언트(100)가 전송한 데이터 패킷(510)은, VPN 망(400)을 구성하는 복수의 네트워크 장비(N1, N2, N3, N4) 중 제3 네트워크 장비(N3)를 세 번째로 경유하였다. 따라서 제3 네트워크 장비(N3)는 “3”이라는 순서 정보를 포함하는 제3 상태 정보(R3)를 생성할 수 있다.Also, the third network equipment N3 may insert its own state information, the third state information R3, into the received
한편 순서 정보, 시점 정보 및 누적 패킷 사이즈를 포함하는 제3 상태 정보(R3)가 생성되면, 제3 네트워크 장비(N3)는 제3 상태 정보(R3)를 헤더(HD) 및 페이로드(PL) 사이에 삽입할 수 있다. On the other hand, when third state information R3 including order information, timing information, and accumulated packet size is generated, the third network equipment N3 converts the third state information R3 into a header HD and a payload PL. can be inserted between
한편 제3 네트워크 장비(N3)는 VPN 서버(300)와 연결된 장비로, 제3 네트워크 장비(N3)는 제3 상태 정보(R3)가 삽입된 데이터 패킷(540)을 VPN 서버(300)에 전송할 수 있다.Meanwhile, the third network equipment N3 is a device connected to the
도 5b를 참고하면, VPN 서버(300)의 데이터 수집부(310)는, 제1 VPN 클라이언트(100)로부터 전송되어 VPN 망(400)의 복수의 네트워크 장비(N1, N2, N3)를 경유한 데이터 패킷(540)을 수신할 수 있다(S410). 즉 데이터 수집부(310)가 수신한 데이터 패킷(540)은, VPN망(400)을 구성하는 전체 네트워크 장비(N1, N2, N3, N4) 중 일부 네트워크 장비들(N1, N2, N3)을 경유한 데이터 패킷(540)을 수신할 수 있다.Referring to FIG. 5B , the
여기서 수신된 데이터 패킷은, 헤드(HD), 페이로드(PL) 및 복수의 상태 정보(R1, R2, R3)를 포함할 수 있다. Here, the received data packet may include a head (HD), a payload (PL), and a plurality of state information (R1, R2, R3).
여기서 복수의 상태 정보(R1, R2, R3)는, 데이터 패킷(510)이 경유한 복수의 네트워크 장비(N1, N2, N3)에 의해 데이터 패킷에 삽입된 정보일 수 있다. 예를 들어 제1 상태 정보(R1)는 데이터 패킷(510)이 경유한 제1 네트워크 장비(N1)에 의해, 제2 상태 정보(R2)는 데이터 패킷(510)이 경유한 제2 네트워크 장비(N2)에 의해, 제3 상태 정보(R3)는 데이터 패킷(510)이 경유한 제3 네트워크 장비(N3)에 의해 삽입된 정보일 수 있다.Here, the plurality of state information R1 , R2 , and R3 may be information inserted into the data packet by the plurality of network equipments N1 , N2 , and N3 through which the
또한 복수의 상태 정보(R1, R2, R3)는, 데이터 패킷(510)이 복수의 네트워크 장비(N1, N2, N3)를 경유한 순서에 따라 복수의 네트워크 장비(N1, N2, N3)에 의해 순차적으로 삽입된 정보일 수 있다. 예를 들어 제1 상태 정보(R1)는 데이터 패킷(510)이 첫번째로 경유한 제1 네트워크 장비(N1)에 의해 데이터 패킷(510)에 첫번째로 삽입된 정보이고, 제2 상태 정보(R2)는 데이터 패킷(510)이 두번째로 경유한 제2 네트워크 장비(N2)에 의해 두번째로 삽입된 정보이며, 제3 상태 정보(R3)는 데이터 패킷(510)이 세번째로 경유한 제3 네트워크 장비(N3)에 의해 세번째로 삽입된 정보일 수 있다.In addition, the plurality of state information (R1, R2, R3), according to the order in which the
한편 데이터 수집부(310)는 수신된 데이터 패킷(540)으로부터 복수의 상태 정보(545)를 추출할 수 있다(S420). 또한 데이터 수집부(310)는 헤드(HD) 및 페이로드(PL)를 포함하는 데이터 패킷(550)을 목적지인 제2 VPN 클라이언트(200)에 전송할 수 있다(S430).Meanwhile, the
구체적으로 데이터 수집부(310)는, 수신된 데이터 패킷(540)으로부터 복수의 상태 정보(545)를 획득하고, 수신된 데이터 패킷(540)에서 복수의 상태 정보(R1, R2, R3)를 제거할 수 있다. 이 경우 데이터 패킷(540)에는 복수의 상태 정보(R1, R2, R3)를 제외한 헤드(HD) 및 페이로드(PL)가 남게 된다.Specifically, the
그리고 데이터 수집부(310)는, 복수의 상태 정보(R1, R2, R3)가 제거되었지만 헤드(HD) 및 페이로드(PL)는 포함하는 데이터 패킷(550)을 제2 VPN 클라이언트(200)에 전송할 수 있다. 한편 데이터 수집부(310)가 데이터 패킷(550)을 목적지인 제2 VPN 클라이언트(200)에 전송한다는 것은, 데이터 수집부(310)가 데이터 패킷을 목적지인 제2 VPN 클라이언트에 포워딩(forwarding) 하는 것을 포함할 수 있다. 그리고 데이터 패킷(550)은 VPN 망(400)을 통하여 제2 VPN 클라이언트(200)에 전송되기 때문에, 데이터 패킷(550)은 먼저 VPN 서버(300)와 연결된 제3 네트워크 장비(N3)에 전송될 수 있다.In addition, the
한편 제3 네트워크 장비(N3) 및 제4 네트워크 장비(N4)는 헤드(HD) 및 페이로드(PL)는 포함하는 데이터 패킷(550)을 목적지인 제2 VPN 클라이언트(200)에 전송할 수 있다. 그리고 제2 VPN 클라이언트(200)는 데이터 패킷(550)을 수신하고, 수신된 데이터 패킷(550)을 최종 목적지인 제2 호스트(210)에 전송할 수 있다.Meanwhile, the third network equipment N3 and the fourth network equipment N4 may transmit the
도 6은 복수의 상태 정보를 이용하여 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 방법을 설명하기 위한 도면이다.6 is a diagram for explaining a method of obtaining monitoring information on a path through which a data packet has passed by using a plurality of state information.
도 6a에서는, 데이터 수집부(310)가 수신한 데이터 패킷(540)에서 추출된 복수의 상태 정보(545)를 테이블화 하여 도시하였다. 도 6a를 참고하면, 복수의 상태 정보(R1, R2, R3) 각각은, 상태 정보를 삽입한 네트워크 장비의 식별 정보(ID), 데이터 패킷이 네트워크 장비를 경유한 순서 정보(Sequence Number), 상기 데이터 패킷이 네트워크 장비를 경유한 시점 정보(Timestamp) 및 네트워크 장비를 경유하는 데이터 패킷의 누적 패킷 사이즈(ByteCount)를 포함하는 것을 알 수 있다.In FIG. 6A, a plurality of
한편 연산부(320)는, 복수의 상태 정보(545)를 이용하여 데이터 패킷이 지나온 경로의 모니터링 정보(610)를 획득할 수 있다(S440). 여기서 모니터링 정보(610)는, 데이터 패킷의 이동 경로, 링크의 패킷 전달 시간, 링크를 통하여 전달된 패킷 사이즈 및 링크의 트래픽 처리량 중 적어도 하나를 포함할 수 있다.Meanwhile, the
먼저 데이터 패킷의 이동 경로를 산출하는 방법에 대하여 설명한다.First, a method of calculating a movement path of a data packet will be described.
도 6a를 참고하면, 복수의 상태 정보는 각각 복수의 순서 정보를 포함한다. 그리고 연산부(320)는 복수의 순서 정보를 이용하여 데이터 패킷의 이동 경로를 획득할 수 있다.Referring to FIG. 6A , each of the plurality of state information includes a plurality of order information. Also, the
구체적으로 제1 상태 정보(R1)는 “1”이라는 순서 정보, 제2 상태 정보(R2)는 “2”라는 순서 정보, 제3 상태 정보(R3)는 “3”이라는 순서 정보를 포함할 수 있다. 이 경우 연산부(320)는 데이터 패킷이, “1”이라는 순서 정보를 삽입한 제1 네트워크 장비(N1), “2”라는 순서 정보를 삽입한 제2 네트워크 장비(N2), “3”이라는 순서 정보를 삽입한 제3 네트워크 장비(N3)를 순차적으로 경유했다는 정보, 즉 데이터 패킷의 이동 경로를 획득할 수 있다.Specifically, the first state information R1 may include order information of “1”, the second state information R2 may include order information of “2”, and the third state information R3 may include order information of “3”. there is. In this case, the
다음은 링크의 패킷 전달 시간을 산출하는 방법에 대하여 설명한다.Next, a method of calculating a packet transfer time of a link will be described.
여기서 링크란, 특정 네트워크 장비와 다른 네트워크 장비의 직접적인 연결을 의미할 수 있다. 예를 들어 제1 네트워크 장비와 제2 네트워크 장비의 링크는, 제1 네트워크 장비와 제2 네트워크 장비가 다른 네트워크 장비를 통하는 것 없이 직접 연결되었음을 의미할 수 있다.Here, the link may mean a direct connection between a specific network device and another network device. For example, a link between a first network device and a second network device may mean that the first network device and the second network device are directly connected without passing through another network device.
또한 특정 네트워크 장비로부터 다른 네트워크 장비로 향하는 링크란, 특정 네트워크 장비가 데이터 패킷을 전송하고, 다른 네트워크 장비가 특정 네트워크 장비로부터 데이터 패킷을 수신하는 것을 의미할 수 있다. 예를 들어 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크는, 제1 네트워크 장비와 제2 네트워크 장비가 다른 네트워크 장비를 통하는 것 없이 직접 연결되었으며, 데이터 패킷은 제1 네트워크 장비로부터 제2 네트워크 장비로 전송되었음을 의미할 수 있다.Also, a link from a specific network device to another network device may mean that a specific network device transmits a data packet and another network device receives a data packet from a specific network device. For example, in a link from a first network device to a second network device, the first network device and the second network device are directly connected without passing through another network device, and data packets are transmitted from the first network device to the second network device. It can mean that it has been sent to.
한편 연산부(320)는 복수의 상태 정보를 이용하여 링크 별 패킷 전달 시간을 획득할 수 있다. Meanwhile, the
먼저 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크를 살피면, 연산부(320)는 제2 상태 정보(R2)에 포함된 시점 정보 및 제1 상태 정보(R1)에 포함된 시점 정보의 차를 이용하여, 제1 네트워크 장비(N1)로부터 제2 네트워크 장비(N2)로 향하는 링크의 패킷 전달 시간을 획득할 수 있다.First, when looking at a link from a first network device to a second network device, the
구체적으로 연산부(320)는 데이터 패킷이 제2 네트워크 장비(N2)를 경유한 시점을 나타내는 타임 스탬프 값(0.263851)으로부터 데이터 패킷이 제1 네트워크 장비(N1)를 경유한 시점을 나타내는 타임 스탬프 값(0.262465)을 뺄 수 있다. 이에 따라 연산부(320)는 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크의 패킷 전달 시간(0.001386)을 포함하는 모니터링 정보(610)를 획득할 수 있다.Specifically, the
그리고 동일한 방식으로, 연산부(320)는 제2 네트워크 장비(N2)로부터 제3 네트워크 장비(N3)로 향하는 링크의 패킷 전달 시간(0.00124)을 포함하는 모니터링 정보(610)를 획득할 수 있다.In the same way, the
다음은 링크를 통하여 전달된 패킷 사이즈를 산출하는 방법에 대하여 설명한다.Next, a method of calculating the size of a packet transferred through a link will be described.
연산부(320)는 복수의 상태 정보를 이용하여 링크 별 전달된 패킷 사이즈를 획득할 수 있다. The
먼저 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크를 살피면, 연산부(320)는 제2 상태 정보(R2)에 포함된 누적 패킷 사이즈 및 제1 상태 정보(R1)에 포함된 누적 패킷 사이즈의 차를 이용하여, 제1 네트워크 장비(N1)로부터 제2 네트워크 장비(N2)로 향하는 링크를 통하여 전달된 패킷 사이즈를 획득할 수 있다.First, when looking at a link from a first network device to a second network device, the
구체적으로 연산부(320)는 제2 상태 정보(R2)에 포함된 바이트카운트 값(1542)으로부터 제1 상태 정보(R1)에 포함된 바이트카운트 값(1537)을 뺄 수 있다. 이에 따라 연산부(320)는 제1 네트워크 장비(N1)로부터 제2 네트워크 장비(N2)로 향하는 링크를 통하여 전달된 패킷 사이즈(5)를 포함하는 모니터링 정보(610)를 획득할 수 있다. 이 경우, 제1 네트워크 장비(N1)로부터 제2 네트워크 장비(N2)로 향하는 링크를 통하여 전달된 패킷 사이즈(5)는, 데이터 패킷이 제1 네트워크 장비(N1)를 경유한 시점부터 데이터 패킷이 제2 네트워크 장비(N2)를 경유한 시점까지(즉, 앞서 산출한 패킷 전달 시간(0.001386) 동안), 제1 네트워크 장비(N1)로부터 제2 네트워크 장비(N2)로 실제로 전달된 패킷 사이즈(5)를 의미할 수 있다.Specifically, the
그리고 동일한 방식으로, 연산부(320)는 제2 네트워크 장비(N2)로부터 제3 네트워크 장비(N3)로 향하는 링크를 통하여 전달된 패킷 사이즈(17)를 포함하는 모니터링 정보(610)를 획득할 수 있다.And in the same way, the
한편 모니터링 정보(610)는 링크의 트래픽 처리량을 더 포함할 수 있다. 이와 관련해서는 도 6b를 참고하여 설명한다.Meanwhile, the
연산부(320)는 링크의 패킷 전달 시간 및 링크를 통하여 전달된 패킷 사이즈를 이용하여 링크의 트래픽 처리량 획득할 수 있다.The
구체적으로 링크의 트래픽 처리량은, 링크의 패킷 전달 시간에 대한 링크를 통하여 전달된 패킷 사이즈의 비율로 정의될 수 있다. 그리고 연산부(320)는 특정 링크를 통하여 전달된 패킷 사이즈(단위: bit)를 특정 링크의 패킷 전달 시간(단위: sec)으로 나눔으로써, 특정 링크의 트래픽 처리량(단위: bps)를 획득할 수 있다.Specifically, traffic throughput of a link may be defined as a ratio of a packet size transmitted through a link to a packet delivery time of a link. Further, the
예를 들어 도 6b를 참고하면, 연산부(320)는 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크에 대응하는 패킷 사이즈(5*8 bit)를 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크에 대응하는 패킷 전달 시간(0.001386 sec)로 나눔으로써, 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크의 트래픽 처리량(28,860 bps)를 포함하는 모니터링 정보(610)를 획득할 수 있다.For example, referring to FIG. 6B , the
다른 예를 들어 도 6b를 참고하면, 연산부(320)는 제2 네트워크 장비로부터 제3 네트워크 장비로 향하는 링크에 대응하는 패킷 사이즈(17*8 bit)를 제2 네트워크 장비로부터 제3 네트워크 장비로 향하는 링크에 대응하는 패킷 전달 시간(0.00124 sec)로 나눔으로써, 제2 네트워크 장비로부터 제3 네트워크 장비로 향하는 링크의 트래픽 처리량(109,677 bps)를 포함하는 모니터링 정보(610)를 획득할 수 있다.As another example, referring to FIG. 6B , the
도 6c를 참고하면, 위의 과정들을 통해, 연산부(320)는 제1 VPN 클라이언트(100)에서 전송된 데이터 패킷이 VPN 서버(300)에 도달하기 까지 지나온 경로에 대한 모니터링 정보(610)를 획득할 수 있으며, 데이터 패킷이 지나온 경로에 대한 모니터링 정보(610)는 링크 별 모니터링 정보(613, 616)을 포함할 수 있다, 예를 들어 모니터링 정보(610)는 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크의 모니터링 정보(613) 및 제2 네트워크 장비로부터 제3 네트워크 장비로 향하는 링크의 모니터링 정보(616)를 포함할 수 있다.Referring to FIG. 6C , through the above processes, the
이 경우 연산부(320)는, 제1 VPN 클라이언트(100)에서 전송된 데이터 패킷이 VPN 서버(300)에 도달하기 까지 지나온 경로에 대한 모니터링 정보(610)를 제1 VPN 클라이언트(100)에 대응하는 모니터링 정보로써 저장부(340)에 저장할 수 있다.In this case, the
도 7은 본 발명에 따른, 제2 VPN 클라이언트에서 전송된 데이터 패킷이 지나온 경로에 대한 상태 정보를 획득하는 방법을 설명하기 위한 도면이다.FIG. 7 is a diagram for explaining a method of obtaining state information about a path passed by a data packet transmitted from a second VPN client according to the present invention.
앞선 도 5 내지 도 6에서의 설명은, 모순되지 않는 범위에서, 도 7 내지 도 8에도 적용될 수 있다.The description of FIGS. 5 to 6 above can also be applied to FIGS. 7 to 8 without contradiction.
이하에서는 제2 호스트(210)가 제1 호스트(110)에 전송하는 데이터 패킷을 제2 데이터 패킷이라고 명칭한다.Hereinafter, a data packet transmitted from the
제2 VPN 클라이언트(200)는 제1 VPN 클라이언트(100)를 목적지로 하여 제2 데이터 패킷을 전송할 수 있다. The
구체적으로 제2 VPN 클라이언트(200)는 제2 호스트(210)로부터 제2 데이터 패킷을 수신하고, 제2 데이터 패킷을 암호화 하여 전송할 수 있다. 이 경우 제2 호스트(210)가 전송하는 제2 데이터 패킷은 제1 호스트(110)가 전송한 데이터 패킷에 대한 응답 메시지일 수 있으나 이에 한정되지는 않으며, 제1 호스트(110)와 제2 호스트(210)의 통신 과정에서 전송되는 별도의 데이터일 수 있다.Specifically, the
한편 제2 VPN 클라이언트(200)에서 전송한 제2 데이터 패킷은, VPN 서버(100)를 경유한 후, 제1 VPN 클라이언트(100)에 전송될 수 있다.Meanwhile, the second data packet transmitted from the
그리고 제2 VPN 클라이언트(200)에서 전송한 제2 데이터 패킷(710)의 이동 경로는, VPN 망(400)을 구성하는 복수의 네트워크 장비(N1, N2, N3, N4)의 라우팅 프로토콜에 기초하여 결정될 수 있다. 여기서는, 도 7a에 도시된 바와 같이, 제2 VPN 클라이언트(200)에서 전송한 제2 데이터 패킷은 제4 네트워크 장비(N4), 제3 네트워크 장비(N3)를 순차적으로 경유하여 VPN 서버(300)로 전달된다고 가정한다. 또한 도 7b에서 도시된 바와 같이, VPN 서버(300)에서 전송한 제2 데이터 패킷(750)은 제3 네트워크 장비(N3), 제2 네트워크 장비(N2) 및 제1 네트워크 장비(N1)를 순차적으로 경유하여 제1 VPN 클라이언트(100)에 전달된다고 가정한다.And the movement path of the
한편 도 7a를 참고하면, 제2 VPN 클라이언트(200)에서 전송한 제2 데이터 패킷(710)은, 헤더(HD) 및 페이로드(PL)를 포함할 수 있다. 여기서 헤더(HD)는 제2 데이터 패킷(710)이 전달되어야 하는 목적지 정보(제1 VPN 클라이언트)를 포함할 수 있으며, 페이로드(PL)는, 제2 호스트(210)가 제1 호스트(110)에 전송하려는 데이터를 암호화한 암호화 데이터를 포함할 수 있다.Meanwhile, referring to FIG. 7A , the
한편 제4 네트워크 장비(N4)는 제2 VPN 클라이언트(200)로부터 제2 데이터 패킷(710)을 수신하고, 자신의 상태 정보인 제4 상태 정보(R4)를 수신된 제2 데이터 패킷(710)에 삽입할 수 있다.Meanwhile, the fourth network device N4 receives the
한편 제2 VPN 클라이언트(200)가 전송한 제2 데이터 패킷(710)은, VPN 망(400)을 구성하는 복수의 네트워크 장비(N1, N2, N3, N4) 중 제4 네트워크 장비(N4)를 첫 번째로 경유하였기 때문에, 제4 상태 정보(R4)는 “1”이라는 순서 정보를 포함할 수 있다. 또한 제4 상태 정보(R4)는 제2 데이터 패킷(710)이 제4 네트워크 장비(N1)를 경유한 시점 정보, 제2 데이터 패킷(710)이 제4 네트워크 장비(N4)를 경유하는 시점의 누적 패킷 사이즈(ByteCount), 제4 상태 정보(R4)를 삽입한 제4 네트워크 장비(N4)의 식별 정보(예를 들어 ID)를 포함할 수도 있다. Meanwhile, the
한편 제4 네트워크 장비(N4)는 제4 상태 정보(R4)를 헤더(HD) 및 페이로드(PL) 사이에 삽입하고, 라우팅 테이블에 기초하여 제3 네트워크 장비(N3)에 제4 상태 정보(R4)가 삽입된 제2 데이터 패킷(720)을 전송할 수 있다.Meanwhile, the fourth network equipment (N4) inserts the fourth state information (R4) between the header (HD) and the payload (PL), and sends the fourth state information (4 state information (R4) to the third network equipment (N3) based on the routing table. The
또한 제3 네트워크 장비(N3)는, 자신의 상태 정보인 제3 상태 정보(R3)를 수신된 제2 데이터 패킷(720)에 삽입할 수 있다. 그리고 제2 VPN 클라이언트(200)가 전송한 제2 데이터 패킷(710)은, VPN 망(400)을 구성하는 복수의 네트워크 장비(N1, N2, N3, N4) 중 제3 네트워크 장비(N3)를 두 번째로 경유하였기 때문에, 제3 상태 정보(R3)는 “2”라는 순서 정보를 포함할 수 있다.Also, the third network equipment N3 may insert its own state information, the third state information R3, into the received
한편 제3 네트워크 장비(N3)는 VPN 서버(300)와 연결된 장비로, 제3 네트워크 장비(N3)는 제3 상태 정보(R3)가 삽입된 제2 데이터 패킷(730)을 VPN 서버(300)에 전송할 수 있다.Meanwhile, the third network equipment N3 is a device connected to the
도 7b를 참고하면, VPN 서버(300)의 데이터 수집부(310)는, 제2 VPN 클라이언트(200)로부터 전송되어 VPN 망(400)의 복수의 네트워크 장비(N4, N3)를 경유한 제2 데이터 패킷(730)을 수신할 수 있다. Referring to FIG. 7B , the
여기서 수신된 제2 데이터 패킷(730)은, 헤드(HD), 페이로드(PL) 및 복수의 상태 정보(R4, R3)를 포함할 수 있다. 그리고 데이터 수집부(310)는 복수의 네트워크 장비(M4, N3)에 의해 제2 데이터 패킷(730)에 삽입된 복수의 상태 정보(735)를 추출할 수 있다. 또한 데이터 수집부(310)는 복수의 상태 정보(R4, R3)를 제거된, 헤드(HD) 및 페이로드(PL)를 포함하는 제2 데이터 패킷(750)을 제2 VPN 클라이언트(200)를 목적지로 하여 전송할 수 있다.Here, the received
이 경우 VPN 서버(300)에서 전송된 제2 데이터 패킷(750)은, 제3 네트워크 장비(N3), 제2 네트워크 장비(N2) 및 제1 네트워크 장비(N1)을 순차적으로 경유하여 제1 VPN 클라이언트(100)에 전송될 수 있으며, 제1 VPN 클라이언트(100)는 최종 목적지인 제1 호스트(110)에 제2 데이터 패킷을 전송할 수 있다.In this case, the
한편 도 7에서는, 제2 VPN 클라이언트(200)에서 제1 VPN 클라이언트(100)에 전송한 제2 데이터 패킷(710)의 이동 경로가, 제1 VPN 클라이언트(100)에서 제2 VPN 클라이언트(200)에 전송한 데이터 패킷(510)의 이동 경로의 역순인 것으로 설명하였으나 이에 한정되지 않으며, 제2 VPN 클라이언트(200)에서 제1 VPN 클라이언트(100)에 전송한 데이터 패킷(710)은 라우팅 프로토콜에 기초하여 다른 경로로 이동할 수도 있다.Meanwhile, in FIG. 7 , the movement path of the
도 8은 복수의 상태 정보를 이용하여 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 방법을 설명하기 위한 도면이다.8 is a diagram for explaining a method of obtaining monitoring information on a path through which a data packet has passed by using a plurality of state information.
도 8a에서는, 데이터 수집부(310)가 수신한 제2 데이터 패킷(730)에서 추출된 복수의 상태 정보(735)를 테이블화 하여 도시하였다. 도 8a를 참고하면, 복수의 상태 정보(R4, R3) 각각은, 상태 정보를 삽입한 네트워크 장비의 식별 정보(ID), 제2 데이터 패킷이 네트워크 장비를 경유한 순서 정보(Sequence Number), 제2 데이터 패킷이 네트워크 장비를 경유한 시점 정보(Timestamp) 및 제2 데이터 패킷이 네트워크 장비를 경유하는 시점의 누적 패킷 사이즈(ByteCount)를 포함하는 것을 알 수 있다.In FIG. 8A, a plurality of
한편 연산부(320)는, 제2 데이터 패킷(730)으로부터 추출한 복수의 상태 정보(735)를 이용하여 제2 데이터 패킷이 지나온 경로의 모니터링 정보(810)를 획득할 수 있다(S440). 여기서 모니터링 정보(610)는, 데이터 패킷의 이동 경로, 링크의 패킷 전달 시간, 링크를 통하여 전달된 패킷 사이즈 및 링크의 트래픽 처리량 중 적어도 하나를 포함할 수 있다.Meanwhile, the
예를 들어 제4 상태 정보(R4)는 “1”이라는 순서 정보, 제3 상태 정보(R3)는 “2”라는 순서 정보를 포함할 수 있다. 이 경우 연산부(320)는 데이터 패킷이 “1”이라는 순서 정보를 삽입한 제4 네트워크 장비(N4), “2”라는 순서 정보를 삽입한 제3 네트워크 장비(N3)를 순차적으로 경유했다는 정보, 즉 데이터 패킷의 이동 경로를 획득할 수 있다.For example, the fourth state information R4 may include order information of “1” and the third state information R3 may include order information of “2”. In this case, the
또한 연산부(320)는 링크 별 패킷 전달 시간 및 링크 별 전달된 패킷 사이즈를 산출하고, 링크 별 패킷 전달 시간 및 링크 별 전달된 패킷 사이즈를 이용하여 링크 별 트래픽 처리량을 획득할 수 있다.Also, the
이와 같이 도 5 내지 도 8에서 설명한 과정을 통하여, 제1 VPN 클라이언트(100)와 제2 VPN 클라이언트(200)의 통신 경로에 대한 모니터링 정보가 획득될 수 있다. 예를 들어 도 5 내지 도 6의 과정을 통하여 제1 네트워크 장비(N1)로부터 제2 네트워크 장비(N2)로 향하는 링크, 제2 네트워크 장비(N2)로부터 제3 네트워크 장비(N3)로 향하는 링크에 대한 모니터링 정보가 획득될 수 있으며, 도 7 내지 도 8의 과정을 통하여 제4 네트워크 장비(N4)로부터 제3 네트워크 장비(N3)로 향하는 링크에 대한 모니터링 정보가 획득될 수 있다.In this way, monitoring information on the communication path between the
이 경우 연산부(320)는, 제2 VPN 클라이언트(100)에서 전송된 제2 데이터 패킷이 VPN 서버(300)에 도달하기 까지 지나온 경로에 대한 모니터링 정보(810)를 제2 VPN 클라이언트(200)에 대응하는 모니터링 정보로써 저장부(340)에 저장할 수 있다.In this case, the
또한 연산부(320)는, 제1 VPN 클라이언트(100) 및 제2 VPN 클라이언트(200) 이외의 다른 VPN 클라이언트에 대응하는 모니터링 정보를 저장부(340)에 저장할 수 있다. 이에 따라 저장부(340)에는, VPN 클라이언트 들이 다른 VPN 클라이언트와의 통신을 위해 사용하는 VPN 망(400)의 링크 들에 대한 모니터링 정보가 저장될 수 있다.Also, the
이하에서는 모니터링 정보를 이용하여 장애 발생 여부 및 장애가 발생한 네트워크 장비를 결정하는 방법에 대하여 설명한다. 또한 이하에서는, 도 5 내지 도 8에서 설명한 과정을 통하여 제1 VPN 클라이언트(100)와 제2 VPN 클라이언트(200)의 통신 경로에 대한 모니터링 정보가 획득된 상태에서 장애를 판단하는 것으로 설명하나 이에 한정되지는 않는다. 예를 들어 도 5 내지 도 6의 과정을 통해 획득한 모니터링 정보(제1 네트워크 장비(N1)로부터 제2 네트워크 장비(N2)로 향하는 링크, 제2 네트워크 장비(N2)로부터 제3 네트워크 장비(N3)로 향하는 링크에 대한 모니터링 정보)만 획득된 상태에서도, 장애 발생 여부 및 장애가 발생한 네트워크 장비의 파악이 가능하다.Hereinafter, a method of determining whether a failure has occurred and a network device in which a failure has occurred using monitoring information will be described. Also, in the following description, failure is determined in a state in which monitoring information on the communication path between the
도 9는 본 발명에 따른, 네트워크 장비에 장애가 발생한 상황을 도시한 도면이다.9 is a diagram illustrating a situation in which failure occurs in network equipment according to the present invention.
도 9a를 참고하면, 제2 네트워크 장비(N2)에 장애가 발생한 상태이다. 이에 따라 제1 VPN 클라이언트(100)가 전송한 데이터 패킷(910)은 제1 네트워크 장비(N1)까지는 전송이 되었으나, 제1 네트워크 장비(N1)로부터 제2 네트워크 장비(N2)로 전송되지는 못한다. 따라서 제1 VPN 클라이언트(100)가 전송한 데이터 패킷(910)은 VPN 서버(300) 및 제2 VPN 클라이언트(200)로 전달될 수 없다.Referring to FIG. 9A , a failure occurs in the second network equipment N2. Accordingly, the
이 경우 제1 네트워크 장비(N1)는 라우팅 프로토콜에 기반하여 새로운 이동 경로를 탐색할 수 있다. 즉 기존의 라우팅 테이블로부터 갱신된 새로운 라우팅 테이블에 기초하여, 제1 네트워크 장비(N1)는 제4 네트워크 장비(N4)에, 제4 네트워크 장비(N4)는 제3 네트워크 장비(N3)에, 제3 네트워크 장비(N3)는 VPN 서버(300)에 데이터 패킷을 전송할 수 있다In this case, the first network equipment N1 may search for a new movement path based on a routing protocol. That is, based on the new routing table updated from the existing routing table, the first network equipment (N1) is connected to the fourth network equipment (N4), the fourth network equipment (N4) is connected to the third network equipment (N3), 3 Network equipment (N3) may transmit data packets to VPN server (300)
한편 도 9b를 참고하면, 데이터 수집부(310)는, 제1 VPN 클라이언트(100)로부터 전송되어 VPN 망(400)의 복수의 네트워크 장비(N1, N4, N3)를 경유한 데이터 패킷(940)을 수신하고, 데이터 패킷(940)으로부터 복수의 상태 정보(945)를 추출할 수 있다. Meanwhile, referring to FIG. 9B , the
또한 데이터 수집부(310)는 복수의 상태 정보(945)를 제거한 데이터 패킷(950)을 전송할 수 있으며, 이 경우 VPN 서버(300)에서 전송된 데이터 패킷(950)은 복수의 네트워크 장비(N3, N4)를 경유하여 제2 VPN 클라이언트(200)에 전달될 수 있다.In addition, the
도 10은 제2 네트워크 장비에 장애가 발생한 상태에서 획득되는 모니터링 정보를 설명하기 위한 도면이다.10 is a diagram for explaining monitoring information obtained in a state in which a failure occurs in a second network device.
도 10a에서는 제2 네트워크 장비(N2)에 장애가 발생한 상태에서, 데이터 수집부(310)가 수신한 데이터 패킷(940)에서 추출된 복수의 상태 정보(945)를 테이블화 하여 도시하였다. In FIG. 10A , a plurality of
그리고 연산부(320)는, 데이터 패킷(940)에서 추출된 복수의 상태 정보(945)를 이용하여, 데이터 패킷이 지나온 새로운 경로의 모니터링 정보(1010)를 획득할 수 있다, 여기서 새로운 경로의 모니터링 정보(1010)는, 데이터 패킷의 이동 경로, 링크의 패킷 전달 시간, 링크를 통하여 전달된 패킷 사이즈 및 링크의 트래픽 처리량 중 적어도 하나를 포함할 수 있다.Also, the
이 경우 새로운 경로의 모니터링 정보(1010)는, 데이터 패킷이 제1 네트워크 장비(N1), 제4 네트워크 장비(N4) 및 제3 네트워크 장비(N3)를 순차적으로 경유했다는, 즉 데이터 패킷의 새로운 이동 경로에 대한 정보를 포함할 수 있다.In this case, the
또한 도 10b를 참고하면, 새로운 경로의 모니터링 정보(1010)는, 제1 네트워크 장비(N1)로부터 제4 네트워크 장비(N4)로 향하는 링크의 패킷 전달 시간, 전달된 패킷 사이즈 및 트래픽 처리량을 포함할 수 있다. 또한 새로운 경로의 모니터링 정보(1010)는, 제4 네트워크 장비(N4)로부터 제3 네트워크 장비(N3)로 향하는 링크의 패킷 전달 시간, 전달된 패킷 사이즈 및 트래픽 처리량을 포함할 수 있다.Referring to FIG. 10B , the
다음은 도 11을 참고하여, 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 단계(S450)에 대하여 설명한다.Next, with reference to FIG. 11, the step of determining a network device with a failure using monitoring information (S450) will be described.
도 11은 본 발명에 따른, 장애가 발생한 네트워크 장비를 결정하는 방법을 설명하기 위한 도면이다.11 is a diagram for explaining a method of determining a network device having a failure according to the present invention.
연산부(320)는 현재 획득된 VPN 클라이언트의 모니터링 정보가 저장부(340)에 기 저장되어 있는지 판단할 수 있다(S451).The
구체적으로 도 5 내지 도 6의 과정을 통해 저장부(340)에는 제1 VPN 클라이언트(100)에 대응하는 모니터링 정보(610)가 기 저장되어 있는 상태이며, 연산부(320)는 도 9 내지 도 10의 과정을 통해 제1 VPN 클라이언트(100)에 대응하는 새로운 모니터링 정보(1010)를 획득한 상태이다.Specifically, monitoring
따라서 연산부(320)는 저장부(340)를 검색하여 제1 VPN 클라이언트(100)에 대응하는 모니터링 정보(610)가 저장부(340)에 기 저장된 것을 확인하고, 제1 VPN 클라이언트(100)에 대응하는 모니터링 정보가 저장부(340)에 기 저장된 경우 S452로 진행할 수 있다.Accordingly, the
한편 제1 VPN 클라이언트(100)에 대응하는 모니터링 정보가 저장부(340)에 기 저장되지 않은 경우, 연산부(320)는 제1 VPN 클라이언트(100)에 대응하는 현재의 모니터링 정보(1010)를 저장부(340) 내 데이터베이스에 저장할 수 있다(S456).Meanwhile, if the monitoring information corresponding to the
한편 제1 VPN 클라이언트(100)에 대응하는 모니터링 정보가 저장부(340)에 기 저장된 경우, 연산부(320)는 제1 VPN 클라이언트(100)의 현재 모니터링 정보(1010)에 포함되는 이동 경로가, 제1 VPN 클라이언트(100)의 이전 모니터링 정보(610)에 포함되는 이동 경로와 일치하는지 판단할 수 있다(S452).Meanwhile, when monitoring information corresponding to the
이와 관련해서는 도 12를 함께 참고하여 설명한다.This will be described with reference to FIG. 12 together.
도 12는 본 발명에 따른, 모니터링 정보의 비교를 통한 장애 판단 방법을 설명하기 위한 도면이다.12 is a diagram for explaining a failure determination method through comparison of monitoring information according to the present invention.
도 12a를 참고하면, 이전 모니터링 정보(610)에 포함된 이동 경로는 제1 네트워크 장비(N1), 제2 네트워크 장비(N2), 제3 네트워크 장비(N3)를 순차적으로 경유했다는 정보이고, 현재 모니터링 정보(1010)에 포함된 이동 경로는 제1 네트워크 장비(N1), 제4 네트워크 장비(N4), 제3 네트워크 장비(N3)를 순차적으로 경유했다는 정보로써, 두 이동 경로는 서로 상이하다. Referring to FIG. 12A, the movement path included in the
그리고, 현재의 모니터링 정보(1010)에 포함되는 이동 경로가 제1 VPN 클라이언트의 이전 모니터링 정보(610)에 포함되는 이전 이동 경로와 상이한 경우, 장애 판단부(330)는 이전 이동 경로로부터 제외된 네트워크 장비에 ICMP(Internet Control Message Protocol) 메시지를 전송할 수 있다(S453).And, when the moving path included in the
구체적으로 현재 이동 경로는 제1 네트워크 장비(N1), 제4 네트워크 장비(N4), 제3 네트워크 장비(N3)이고, 이전 이동 경로는 제1 네트워크 장비(N1), 제2 네트워크 장비(N2), 제3 네트워크 장비(N3)으로써, 이전 이동 경로로부터 제2 네트워크 장비(N2)가 제외된 상태이다.Specifically, the current movement path is the first network equipment (N1), the fourth network equipment (N4), and the third network equipment (N3), and the previous movement path is the first network equipment (N1) and the second network equipment (N2). , a state in which the second network equipment N2 is excluded from the previous movement path as the third network equipment N3.
그리고 연산부(320)는 제2 네트워크 장비(N2)의 식별 정보를 장애 판단부(330)에 전송할 수 있다. 이 경우 도 12b에 도시된 바와 같이, 장애 판단부(330)는 제2 네트워크 장비(N2)의 IP 주소(192.168.1.1)에 ICMP 요청 메시지(1110)를 전송할 수 있다.In addition, the
한편 장애 판단부(330)는 ICMP 요청 메시지에 대한 응답 메시지가 수신되었는지 판단할 수 있다(S454).Meanwhile, the
한편 장애가 발생한 제2 네트워크 장비(N2)는 ICMP 요청메시지를 수신하지 못하며, 이에 따라 ICMP 요청메시지에 대한 응답 메시지를 VPN 서버(300)에 보낼 수 없다.Meanwhile, the second network device (N2) where the failure occurs does not receive the ICMP request message, and thus cannot send a response message to the ICMP request message to the
따라서, ICMP 요청 메시지에 대한 응답 메시지가 수신되지 않으면, 장애 판단부(330)는 이전 이동 경로로부터 제외된 제2 네트워크 장비(N2)에 장애가 발생한 것으로 결정할 수 있다.Accordingly, if the response message to the ICMP request message is not received, the
또한 제2 네트워크 장비(N2)에 장애가 발생한 것으로 결정되는 경우, 장애 판단부(330)는 이전 모니터링 정보(610)를 현재의 모니터링 정보(1010)로 갱신할 수 있다.Also, when it is determined that a failure has occurred in the second network equipment N2 , the
구체적으로, 제2 네트워크 장비(N2)에 장애가 발생하였으므로, 이전 모니터링 정보(610)에 포함된 이동 경로는 사용 불가능한 경로이다. 따라서 장애 판단부(330)는 저장부(340)에서 이전 모니터링 정보(610)를 삭제하고(S455), 현재의 모니터링 정보(1010)를 제1 VPN 클라이언트(100)에 대응하는 모니터링 정보로써 저장부(340)에 저장할 수 있다(S456). 새롭게 저장된 모니터링 정보(1010)은 다음 모니터링 정보의 비교 대상으로 활용될 수 있다.Specifically, since a failure occurred in the second network equipment N2, the movement path included in the
다시 S454로 돌아가서, 장애 판단부(330)는 ICMP 요청 메시지에 대한 응답 메시지가 수신되었는지 판단할 수 있다(S454). Returning to S454 again, the
구체적으로, 제2 네트워크 장비(N2)에 장애가 발생하지 않은 경우, 제2 네트워크 장비(N2)는 ICMP 요청메시지를 수신하고, ICMP 요청메시지에 대한 응답 메시지를 VPN 서버(300)에 전송할 수 있다.Specifically, when a failure does not occur in the second network equipment N2, the second network equipment N2 may receive an ICMP request message and transmit a response message to the ICMP request message to the
예를 들어 라우팅 프로토콜은 제2 네트워크 장비(N2)의 부하의 증가, 로드 밸런싱 등의 이유로 데이터 패킷의 이동 경로를 변경할 수 있다. 이 경우, 제2 네트워크 장비(N2)에 장애가 발생하지 않았음에도 불구하고, 라우팅 테이블의 갱신으로 인하여 데이터 패킷의 이동 경로가 변경될 수 있다. For example, the routing protocol may change the movement path of the data packet due to an increase in the load of the second network equipment N2, load balancing, or the like. In this case, even though there is no failure in the second network equipment N2, the movement path of the data packet may be changed due to the update of the routing table.
이 경우 이전 모니터링 정보(610)에 포함된 이동 경로와 현재 모니터링 정보(1010)에 포함된 이동 경로는 모두 사용 가능한 경로이다. 따라서 장애 판단부(330)는 이전 모니터링 정보(610)를 저장부(340)에서 삭제하지 않고, 현재 모니터링 정보(1010)를 추가로 저장부(340)에 저장할 수 있다.In this case, both the moving path included in the
이번에는 S452로 돌아가서, 제1 VPN 클라이언트(100)에 대응하는 모니터링 정보가 저장부(340)에 기 저장된 경우, 연산부(320)는 제1 VPN 클라이언트(100)의 현재 모니터링 정보(1010)에 포함되는 이동 경로가, 제1 VPN 클라이언트(100)의 이전 모니터링 정보(610)에 포함되는 이동 경로와 일치하는지 판단할 수 있다(S452). Returning to S452 this time, if the monitoring information corresponding to the
그리고 제1 VPN 클라이언트(100)의 현재 모니터링 정보(1010)에 포함되는 이동 경로가 제1 VPN 클라이언트(100)의 이전 모니터링 정보(610)에 포함되는 이동 경로와 일치하는 경우, 연산부(320)는 현재 모니터링 정보(1010)를 저장부(340) 내 데이터 베이스에 저장할 수 있다(S456). 즉 이동 경로는 일치하나 다른 모니터링 정보(패킷 전달 시간, 전달된 패킷 사이즈, 트래픽 처리량 등)은 변경될 수 있기 때문에, 연산부(320)는 현재 모니터링 정보(1010)를 저장부(340) 내 데이터 베이스에 저장할 수 있다. And, when the moving path included in the
한편, 제2 네트워크 장비(N2)에 장애가 발생하지 않았으며, 라우팅 프로토콜에 의해 데이터 패킷의 이동 경로가 변경된 경우도 아니나, VPN 서버(300)가 판단하기에 이동 경로의 변경이 바람직한 경우가 발생할 수 있다.On the other hand, there may be a case where no failure has occurred in the second network equipment (N2) and it is not the case where the movement route of the data packet has been changed by the routing protocol, but the
제2 네트워크 장비(N2)에 과부하가 발생하여, 제2 네트워크 장비(N2)로부터 제3 네트워크 장비(N3)로 향하는 링크의 트래픽 처리량이 급격히 감소하는 상황을 그 예시로 들 수 있다.An example of this is a situation in which traffic throughput of a link from the second network equipment N2 to the third network equipment N3 rapidly decreases due to an overload of the second network equipment N2.
따라서, 연산부(320)는 제2 네트워크 장비(N2)로부터 제3 네트워크 장비(N3)로 향하는 링크의 트래픽 처리량이 임계 값보다 작아지는지 판단할 수 있다. 여기서 임계 값은 고정된 값일 수도 있으며, 제2 네트워크 장비(N2)로부터 제3 네트워크 장비(N3)로 향하는 링크의 이전 트래픽 처리량에 기반하여 결정되는 값(예를 들어 이전 트래픽 처리량 들의 평균)일 수도 있다.Accordingly, the
그리고 제2 네트워크 장비(N2)로부터 제3 네트워크 장비(N3)로 향하는 링크의 트래픽 처리량이 임계 값보다 작으면, 연산부(320)는 라우팅 테이블의 갱신 요청을 VPN 망(400)에 전송할 수 있다. 이 경우 라우팅 프로토콜은 라우팅 테이블을 갱신할 수 있으며, 이에 따라 데이터 패킷의 이동 경로가 변경됨으로써 제2 네트워크 장비(N2)의 과부하가 해소될 수 있다.Also, if the traffic throughput of the link from the second network equipment N2 to the third network equipment N3 is less than the threshold value, the
종래에는, VPN망의 종단에 위치하는 VPN 서버나 VPN 클라이언트에 대한 모니터링에 집중할 뿐, 데이터가 실제로 경유하는 네트워크 장비들에 대한 모니터링에 대해서는 정의하고 있지 않았다. 다만 본 발명에 따르면, 실제 데이터 패킷이 경유하는 네트워크 장비들을 직접 모니터링 함으로써, 효율적인 모니터링 및 장애 판단이 가능한 장점이 있다.Conventionally, monitoring of a VPN server or VPN client located at the end of a VPN network has been focused, but monitoring of network equipment through which data actually passes has not been defined. However, according to the present invention, there is an advantage in that efficient monitoring and failure determination are possible by directly monitoring network equipment through which actual data packets pass.
또한 종래에는, VPN 망의 외부에 네트워크 장비를 대상으로 한 관제 시스템을 구축하는 경우, VPN 망를 구성하는 전체 네트워크 장비에 대한 모니터링이 수행되었다. 다만 본 발명에 따르면, 데이터 패킷이 지나가는 이동 경로 상의 네트워크 장비에 대해서만 한정하여 네트워크 관제가 수행되기 때문에, 데이터 센터 내부를 구성하는 네트워크 장비 전체에 대한 모니터링 방식보다 훨씬 효율적이며, 보다 빠른 장애 감지와 품질 이슈에 대한 대응이 가능하다는 장점이 있다.Also, conventionally, when a control system targeting network equipment is built outside the VPN network, monitoring of all network equipment constituting the VPN network has been performed. However, according to the present invention, since network control is performed only for network equipment on the movement path through which data packets pass, it is much more efficient than the monitoring method for the entire network equipment constituting the inside of the data center, faster failure detection and quality control. It has the advantage of being able to respond to issues.
또한 종래에는, VPN 서버 및 VPN 클라이언트에 대한 관제 시스템과 네트워크 장비들에 대한 관제 시스템이 별도로 구축 및 운용되어 매우 비효율적인 문제가 있었다. 다만 본 발명에 따르면, 별도 관제시스템의 개발이나 추가 서버의 증설 없이도, 장애에 대한 빠른 대처, 시스템 구축을 위한 비용 및 시간을 절약할 수 있으며, 상용 VPN 망의 별도 시스템 장비 증설 없이 소프트웨어 모듈 형태로 손쉽게 적용이 가능한 장점이 있다.Also, in the prior art, a control system for VPN servers and VPN clients and a control system for network equipment were separately constructed and operated, resulting in very inefficient problems. However, according to the present invention, it is possible to quickly cope with failures, save cost and time for system construction, without developing a separate control system or expanding additional servers, and can save time and cost for system construction, and can be implemented in the form of software modules without additional system equipment expansion of commercial VPN networks. It has the advantage of being easy to apply.
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 상기 컴퓨터는 제어부를 포함할 수도 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above-described present invention can be implemented as computer readable code on a medium on which a program is recorded. The computer-readable medium includes all types of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable media include Hard Disk Drive (HDD), Solid State Disk (SSD), Silicon Disk Drive (SDD), ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, etc. there is Also, the computer may include a control unit. Accordingly, the above detailed description should not be construed as limiting in all respects and should be considered as illustrative. The scope of the present invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the present invention are included in the scope of the present invention.
300: VPN 서버
310: 데이터 수집부
320: 연산부
330: 장애 판단부
340: 저장부300: VPN server 310: data collection unit
320: calculation unit 330: failure determination unit
340: storage unit
Claims (20)
상기 복수의 상태 정보를 이용하여 상기 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 연산부; 및
상기 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 장애 판단부;를 포함하는
VPN 서버.a data collection unit for receiving data packets transmitted from a first VPN client and passing through a plurality of network devices of a VPN network, and extracting a plurality of status information inserted into the data packets by the plurality of network devices;
an operation unit that obtains monitoring information of a path through which the data packet has passed by using the plurality of state information; and
A failure determination unit for determining a network equipment failure using the monitoring information; including
VPN server.
상기 수신된 데이터 패킷은,
헤드, 페이로드 및 상기 복수의 상태 정보를 포함하고,
상기 데이터 수집부는,
상기 데이터 패킷으로부터 상기 복수의 상태 정보를 추출하고, 상기 헤드 및 상기 페이로드를 포함하는 데이터 패킷을 목적지인 제2 VPN 클라이언트에 전송하는
VPN 서버.According to claim 1,
The received data packet,
including a head, a payload, and the plurality of state information;
The data collection unit,
Extracting the plurality of state information from the data packet and transmitting the data packet including the head and the payload to a second VPN client as a destination
VPN server.
상기 복수의 상태 정보는,
상기 데이터 패킷이 상기 복수의 네트워크 장비를 경유한 순서에 따라 상기 복수의 네트워크 장비에 의해 순차적으로 삽입되는
VPN 서버.According to claim 2,
The plurality of state information,
Where the data packets are sequentially inserted by the plurality of network devices according to the order of passing through the plurality of network devices.
VPN server.
상기 복수의 상태 정보는,
상기 데이터 패킷이 네트워크 장비를 경유한 순서 정보, 상기 데이터 패킷이 네트워크 장비를 경유한 시점 정보 및 상기 데이터 패킷이 네트워크 장비를 경유한 시점의 누적 패킷 사이즈를 포함하는
VPN 서버.According to claim 1,
The plurality of state information,
Including sequence information when the data packet passed through the network equipment, time information when the data packet passed through the network equipment, and cumulative packet size at the time when the data packet passed through the network equipment
VPN server.
상기 연산부는,
상기 복수의 상태 정보에 각각 포함되는 복수의 순서 정보를 이용하여, 상기 데이터 패킷의 이동 경로를 포함하는 상기 모니터링 정보를 획득하는
VPN 서버.According to claim 4,
The calculation unit,
Obtaining the monitoring information including a moving path of the data packet by using a plurality of order information included in the plurality of state information, respectively
VPN server.
상기 복수의 상태 정보는,
제1 네트워크 장비에 의해 삽입된 제1 상태 정보 및 제2 네트워크 장비에 의해 삽입된 제2 상태 정보를 포함하고,
상기 연산부는,
상기 제2 상태 정보에 포함된 시점 정보 및 상기 제1 상태 정보에 포함된 시점 정보의 차를 이용하여, 상기 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크의 패킷 전달 시간을 포함하는 상기 모니터링 정보를 획득하고,
상기 제2 상태 정보에 포함된 누적 패킷 사이즈 및 상기 제1 상태 정보에 포함된 누적 패킷 사이즈의 차를 이용하여, 상기 링크를 통하여 전달된 패킷 사이즈를 포함하는 상기 모니터링 정보를 획득하는
VPN 서버.According to claim 4,
The plurality of state information,
including first state information inserted by the first network equipment and second state information inserted by the second network equipment;
The calculation unit,
The monitoring information including a packet transfer time of a link from the first network equipment to the second network equipment using a difference between the time information included in the second state information and the time information included in the first state information. to obtain,
Obtaining the monitoring information including a packet size transmitted through the link using a difference between the cumulative packet size included in the second state information and the accumulated packet size included in the first state information
VPN server.
상기 연산부는,
상기 링크의 패킷 전달 시간 및 상기 링크를 통하여 전달된 패킷 사이즈를 이용하여 상기 링크의 트래픽 처리량을 포함하는 상기 모니터링 정보를 획득하는
VPN 서버.According to claim 6,
The calculation unit,
Obtaining the monitoring information including the traffic throughput of the link using the packet delivery time of the link and the packet size transmitted through the link
VPN server.
상기 제1 VPN 클라이언트의 이전 모니터링 정보를 저장하는 저장부;를 더 포함하고,
상기 장애 판단부는,
상기 획득된 모니터링 정보에 포함되는 상기 이동 경로가, 상기 제1 VPN 클라이언트의 이전 모니터링 정보에 포함되는 이전 이동 경로와 상이한 경우, 상기 이전 이동 경로로부터 제외된 네트워크 장비에 ICMP 요청 메시지를 전송하고, 상기 ICMP 요청 메시지에 대한 응답 메시지가 수신되지 않으면 상기 제외된 네트워크 장비에 장애가 발생한 것으로 결정하는
VPN 서버.According to claim 5,
A storage unit for storing previous monitoring information of the first VPN client;
The disability determination unit,
If the movement path included in the obtained monitoring information is different from the previous movement path included in the previous monitoring information of the first VPN client, an ICMP request message is transmitted to network equipment excluded from the previous movement path; If a response message to the ICMP request message is not received, it is determined that a failure occurred in the excluded network equipment.
VPN server.
상기 장애 판단부는,
상기 제외된 네트워크 장비에 장애가 발생한 것으로 결정되는 경우, 상기 이전 모니터링 정보를 상기 저장부에서 삭제하고 상기 획득된 모니터링 정보를 상기 제1 VPN 클라이언트에 대응하는 모니터링 정보로써 저장하는
VPN 서버.According to claim 8,
The disability determination unit,
When it is determined that a failure has occurred in the excluded network equipment, the previous monitoring information is deleted from the storage unit and the obtained monitoring information is stored as monitoring information corresponding to the first VPN client.
VPN server.
상기 데이터 수집부는,
상기 데이터 패킷의 목적지인 제2 VPN 클라이언트로부터 전송되어 상기 VPN 망의 복수의 네트워크 장비를 경유한 제2 데이터 패킷을 수신하고, 복수의 네트워크 장비에 의해 상기 제2 데이터 패킷에 삽입된 복수의 상태 정보를 추출하고,
상기 연산부는,
상기 제2 데이터 패킷에 삽입된 복수의 상태 정보를 이용하여 상기 제2 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는
VPN 서버.According to claim 1,
The data collection unit,
Receives a second data packet transmitted from a second VPN client, which is the destination of the data packet, and passes through a plurality of network devices of the VPN network, and receives a plurality of state information inserted into the second data packet by the plurality of network devices extract,
The calculation unit,
Obtaining monitoring information of a path through which the second data packet has passed by using a plurality of status information inserted into the second data packet
VPN server.
상기 복수의 네트워크 장비에 의해 상기 데이터 패킷에 삽입된 복수의 상태 정보를 추출하는 단계;
상기 복수의 상태 정보를 이용하여 상기 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 단계; 및
상기 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 단계;를 포함하는
VPN 서버의 VPN 장애 모니터링 방법.Receiving a data packet transmitted from a first VPN client and passing through a plurality of network devices of a VPN network;
extracting a plurality of state information inserted into the data packet by the plurality of network equipment;
obtaining monitoring information of a path through which the data packet passed by using the plurality of state information; and
Determining a network device with a failure using the monitoring information; comprising
How to monitor VPN failure of VPN server.
상기 수신된 데이터 패킷은,
헤드, 페이로드 및 상기 복수의 상태 정보를 포함하고,
상기 VPN 서버의 VPN 장애 모니터링 방법은,
상기 데이터 패킷으로부터 상기 복수의 상태 정보를 추출한 후, 상기 헤드 및 상기 페이로드를 포함하는 데이터 패킷을 목적지인 제2 VPN 클라이언트에 전송하는 단계;를 더 포함하는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 11,
The received data packet,
including a head, a payload, and the plurality of state information;
The method for monitoring the VPN failure of the VPN server,
After extracting the plurality of state information from the data packet, transmitting the data packet including the head and the payload to a destination second VPN client; further comprising
How to monitor VPN failure of VPN server.
상기 복수의 상태 정보는,
상기 데이터 패킷이 상기 복수의 네트워크 장비를 경유한 순서에 따라 상기 복수의 네트워크 장비에 의해 순차적으로 삽입되는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 12,
The plurality of state information,
Where the data packets are sequentially inserted by the plurality of network devices according to the order of passing through the plurality of network devices.
How to monitor VPN failure of VPN server.
상기 복수의 상태 정보는,
상기 데이터 패킷이 네트워크 장비를 경유한 순서 정보, 상기 데이터 패킷이 네트워크 장비를 경유한 시점 정보 및 상기 데이터 패킷이 네트워크 장비를 경유한 시점의 누적 패킷 사이즈를 포함하는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 11,
The plurality of state information,
Including sequence information when the data packet passed through the network equipment, time information when the data packet passed through the network equipment, and cumulative packet size at the time when the data packet passed through the network equipment
How to monitor VPN failure of VPN server.
상기 모니터링 정보를 획득하는 단계는,
상기 복수의 상태 정보에 각각 포함되는 복수의 순서 정보를 이용하여, 상기 데이터 패킷의 이동 경로를 포함하는 상기 모니터링 정보를 획득하는 단계;를 포함하는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 14,
Obtaining the monitoring information,
Acquiring the monitoring information including the moving path of the data packet by using a plurality of order information respectively included in the plurality of state information;
How to monitor VPN failure of VPN server.
상기 복수의 상태 정보는,
제1 네트워크 장비에 의해 삽입된 제1 상태 정보 및 제2 네트워크 장비에 의해 삽입된 제2 상태 정보를 포함하고,
상기 모니터링 정보를 획득하는 단계는,
상기 제2 상태 정보에 포함된 시점 정보 및 상기 제1 상태 정보에 포함된 시점 정보의 차를 이용하여, 상기 제1 네트워크 장비로부터 제2 네트워크 장비로 향하는 링크의 패킷 전달 시간을 포함하는 상기 모니터링 정보를 획득하는 단계; 및
상기 제2 상태 정보에 포함된 누적 패킷 사이즈 및 상기 제1 상태 정보에 포함된 누적 패킷 사이즈의 차를 이용하여, 상기 링크를 통하여 전달된 패킷 사이즈를 포함하는 상기 모니터링 정보를 획득하는 단계;를 포함하는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 14,
The plurality of state information,
including first state information inserted by the first network equipment and second state information inserted by the second network equipment;
Obtaining the monitoring information,
The monitoring information including a packet transfer time of a link from the first network equipment to the second network equipment using a difference between the time information included in the second state information and the time information included in the first state information. obtaining; and
obtaining the monitoring information including a packet size transmitted through the link by using a difference between the cumulative packet size included in the second status information and the accumulated packet size included in the first status information; doing
How to monitor VPN failure of VPN server.
상기 모니터링 정보를 획득하는 단계는,
상기 링크의 패킷 전달 시간 및 상기 링크를 통하여 전달된 패킷 사이즈를 이용하여 상기 링크의 트래픽 처리량을 포함하는 상기 모니터링 정보를 획득하는 단계;를 더 포함하는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 16,
Obtaining the monitoring information,
Acquiring the monitoring information including the traffic throughput of the link using the packet delivery time of the link and the packet size transmitted through the link; further comprising
How to monitor VPN failure of VPN server.
상기 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 단계는,
상기 획득된 모니터링 정보에 포함되는 상기 이동 경로가, 상기 제1 VPN 클라이언트의 이전 모니터링 정보에 포함되는 이전 이동 경로와 상이한 경우, 상기 이전 이동 경로로부터 제외된 네트워크 장비에 ICMP 요청 메시지를 전송하는 단계; 및
상기 ICMP 요청 메시지에 대한 응답 메시지가 수신되지 않으면 상기 제외된 네트워크 장비에 장애가 발생한 것으로 결정하는 단계;를 포함하는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 15,
The step of determining the network equipment in which failure occurs using the monitoring information,
sending an ICMP request message to network equipment excluded from the previous movement path, when the moving path included in the obtained monitoring information is different from the previous moving path included in the previous monitoring information of the first VPN client; and
If a response message to the ICMP request message is not received, determining that a failure has occurred in the excluded network equipment; comprising
How to monitor VPN failure of VPN server.
상기 모니터링 정보를 이용하여 장애가 발생한 네트워크 장비를 결정하는 단계는,
상기 제외된 네트워크 장비에 장애가 발생한 것으로 결정되는 경우, 상기 이전 모니터링 정보를 상기 저장부에서 삭제하는 단계; 및
상기 획득된 모니터링 정보를 상기 제1 VPN 클라이언트에 대응하는 모니터링 정보로써 저장하는 단계;를 더 포함하는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 18,
The step of determining the network equipment in which failure occurs using the monitoring information,
deleting the previous monitoring information from the storage unit when it is determined that a failure has occurred in the excluded network equipment; and
Storing the obtained monitoring information as monitoring information corresponding to the first VPN client; further comprising
How to monitor VPN failure of VPN server.
상기 데이터 패킷의 목적지인 제2 VPN 클라이언트로부터 전송되어 상기 VPN 망의 복수의 네트워크 장비를 경유한 제2 데이터 패킷을 수신하는 단계;
복수의 네트워크 장비에 의해 상기 제2 데이터 패킷에 삽입된 복수의 상태 정보를 추출하는 단계; 및
상기 제2 데이터 패킷에 삽입된 복수의 상태 정보를 이용하여 상기 제2 데이터 패킷이 지나온 경로의 모니터링 정보를 획득하는 단계;를 더 포함하는
VPN 서버의 VPN 장애 모니터링 방법.According to claim 11,
receiving a second data packet transmitted from a second VPN client serving as a destination of the data packet and passing through a plurality of network devices of the VPN network;
extracting a plurality of state information inserted into the second data packet by a plurality of network equipment; and
Acquiring monitoring information of a path through which the second data packet has passed by using a plurality of state information inserted into the second data packet; further comprising
How to monitor VPN failure of VPN server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210083278A KR20230000760A (en) | 2021-06-25 | 2021-06-25 | Vpn server and vpn failure monitoring method of vpn server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210083278A KR20230000760A (en) | 2021-06-25 | 2021-06-25 | Vpn server and vpn failure monitoring method of vpn server |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20230000760A true KR20230000760A (en) | 2023-01-03 |
Family
ID=84924747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210083278A KR20230000760A (en) | 2021-06-25 | 2021-06-25 | Vpn server and vpn failure monitoring method of vpn server |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20230000760A (en) |
-
2021
- 2021-06-25 KR KR1020210083278A patent/KR20230000760A/en not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11659035B2 (en) | Routing messages between cloud service providers | |
US9497126B2 (en) | Communication device and communication method | |
CN105262683B (en) | Network system and route control method | |
EP2544417B1 (en) | Communication system, path control apparatus, packet forwarding apparatus and path control method | |
US8369229B2 (en) | Methods for monitoring delivery performance of a packet flow between reference nodes | |
CN108777646B (en) | Flow monitoring method and device | |
WO2011030889A1 (en) | Communication system, forwarding node, path management server, communication method, and program | |
WO2012053540A1 (en) | Communication system, control apparatus, configuration method for processing rules, and program | |
US20130258898A1 (en) | Computer system, controller, controller manager and communication route analysis method | |
JP5871063B2 (en) | Multi-tenant system, switch, controller, and packet transfer method | |
JPWO2011049019A1 (en) | COMMUNICATION SYSTEM, FLOW CONTROL DEVICE, FLOW TABLE UPDATE METHOD AND PROGRAM | |
CN113489646B (en) | VXLAN-based segmented route transmission method, server, source node and storage medium | |
WO2012081721A1 (en) | Communication system, node, packet transfer method and program | |
JP4068545B2 (en) | Packet receiving method and apparatus | |
JP5672836B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
KR102212603B1 (en) | Internet access system of providing dualized connection for mobile network and broadband network, and method for the same | |
KR20230000760A (en) | Vpn server and vpn failure monitoring method of vpn server | |
JP7035771B2 (en) | Packet acquisition device, packet acquisition method, and packet acquisition program | |
JP6718739B2 (en) | Communication device and communication method | |
KR102220636B1 (en) | Method for frame communication with gate and node field added | |
JP2003244251A (en) | Packet communication method for reconfiguring tunnel path | |
JP2006050433A (en) | Traffic monitoring apparatus, communication network traffic monitoring system and monitoring method | |
US6721314B1 (en) | Method and apparatus for applying once-only processing in a data network | |
JP7164140B2 (en) | COMMUNICATION ANALYSIS DEVICE, COMMUNICATION ANALYSIS METHOD AND PROGRAM | |
CN117499274A (en) | Flow monitoring method, device, equipment and medium based on elastic public network IP |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal |