[go: up one dir, main page]

KR102694199B1 - 공동주택 세대간 망분리를 위한 l2 기반 가상 사설 네트워크 관리 장치 - Google Patents

공동주택 세대간 망분리를 위한 l2 기반 가상 사설 네트워크 관리 장치 Download PDF

Info

Publication number
KR102694199B1
KR102694199B1 KR1020230052802A KR20230052802A KR102694199B1 KR 102694199 B1 KR102694199 B1 KR 102694199B1 KR 1020230052802 A KR1020230052802 A KR 1020230052802A KR 20230052802 A KR20230052802 A KR 20230052802A KR 102694199 B1 KR102694199 B1 KR 102694199B1
Authority
KR
South Korea
Prior art keywords
vpn
virtual private
management device
private network
network management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020230052802A
Other languages
English (en)
Inventor
배진웅
Original Assignee
주식회사 엔드포인트랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔드포인트랩 filed Critical 주식회사 엔드포인트랩
Priority to KR1020230052802A priority Critical patent/KR102694199B1/ko
Application granted granted Critical
Publication of KR102694199B1 publication Critical patent/KR102694199B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예에 따른 복수의 단말들과 각각 연결된 가상 사설 네트워크 관리 장치는 복수의 단말들 각각으로부터 데이터 패킷을 수신하는 스위칭부, 데이터 패킷에 대하여 암호화하고, 암호화된 패킷에 대한 터널링을 수행하는 터널링 제공부, 터널링된 패킷에 대한 트래픽을 처리하는 트래픽 처리부를 포함한다.

Description

공동주택 세대간 망분리를 위한 L2 기반 가상 사설 네트워크 관리 장치{L2-based virtual private network management device for network separation between apartment houses}
본 발명은 L2 기반 가상 사설 네트워크 관리 장치에 관한 것으로서, 더욱 상세하게는, 네트워크 보안, 사무 네트워크, 스마트 팩토리 또는 아파트 관리 네트워크와 같은 사물 인터넷으로 상호 연결 가능한 공동주택 세대간 망분리를 위한 L2 기반 가상 사설 네트워크 관리 장치에 관한 것이다.
최근, 기존의 IPsec 기반의 L3 계층(Layer 3, 네트워크 계층) 가상 사설 네트워크(VPN) 시스템은 2개 이상의 사설 네트워크를 암호화된 터널링으로 연결하여 통신이 가능하다.
한편, IP 주소를 기준으로 한 라우팅 기반의 통신을 위해 각각의 사설망의 IP 주소대역이 중복되거나 겹치지 않아야 한다. 즉, 사설 사이의 VPN 연결을 위해서 IP 주소 체계를 설계하고 별도로 관리해줘야 한다는 문제가 있다.
또한, L2(Layer 2, 데이터링크 계층) 기반 프로토콜인 ARP, DHCP, STP(Spanning Tree Protocol), Link Aggregation 등에 대한 암호화 터널링이 불가능하여 각 사설망 내에서 별도의 인프라 관리해야 하며, 인가되지 않은 단말에 대한 차단 관리도 각 사설망 내에서 별도로 수행되어야 한다는 문제가 있다.
본 발명은, 상기한 문제점을 해결하기 위해, L2 계층 기반의 프로토콜 및 데이터 패킷을 캡슐화해주는 VxLAN 기술을 통해 터널링 통신을 제공하고, L2 계층 기반 프로토콜 및 패킷을 암호화해주는 MACsec을 통해 암호화 통신을 제공할 수 있는 L2 VPN 관리 장치를 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따른 복수의 단말들과 각각 연결된 VPN 장치(또는, 가상 사설 네트워크 관리 장치)에 있어서, 상기 복수의 단말들 각각으로부터 데이터 패킷을 수신하는 스위칭부; 상기 수신된 데이터 패킷에 대하여 암호화하고, 암호화된 패킷에 대한 터널링을 수행하는 터널링 제공부; 및 터널링된 패킷에 대한 트래픽을 처리하는 트래픽 처리부를 포함할 수 있다.
또한, 상기 데이터 패킷은 L2 데이터 패킷이며, 상기 터널링 제공부는, 상기 데이터 패킷을 L2 기반으로 암호화 및 터널링하는 것을 특징으로 할 수 있다.
또한, 상기 복수의 단말들 각각을 동일한 네트워크로 관리하는 네트워크 관리부를 더 포함할 수 있다.
또한, 상기 복수의 단말들 중 상기 스위칭부에 연결된 단말을 인증하며, 상기 복수의 단말들 중 인증되지 않은 단말의 네트워크 접근을 통제하는 정보 흐름 통제부를 더 포함할 수 있다.
또한, 미리 설정된 규격의 네트워크 트래픽 전달 경로 규칙에 기반하여 상기 데이터 패킷의 전달 경로를 설정하는 라우팅부를 더 포함할 수 있다.
또한, 복수의 VPN 관리 장치를 포함하고, 상기 복수의 VPN 관리 장치 중 마스터 장치는 나머지 VPN 브랜치 장치들 및 상기 마스터 장치의 통합된 트래픽 정책을 모두 결정할 수 있다.
또한, 상기 VPN 브랜치 장치들은 각각 수신한 트래픽을 모두 상기 마스터 장치로 전송하거나, 미리 설정된 규칙에 기반하여 각 브랜치 장치에서 전달 경로를 설정하고 트래픽을 처리하는 것을 특징으로 할 수 있다.
또한, 복수의 VPN 관리 장치를 포함하고, 상기 복수의 VPN 관리 장치들 중 각 브랜치 장치들은 각 브랜치 장치의 트래픽 정책을 독립적으로 결정할 수 있다.
또한, 상기 복수의 VPN 관리 장치들의 토폴로지 형태는 메쉬형, 링형, 스타형 라인형 또는 트리형인 것을 특징으로 할 수 있다.
또한, 상기 복수의 VPN 관리 장치들은 상기 토폴로지 형태에 따라 서로 다른 트래픽 전달 규칙을 설정하는 것을 특징으로 할 수 있다.
본 발명에 의하면, 기존에 각 네트워크에서 사용하던 IP 주소 대역의 구분 또는 관리 시스템을 변경하지 않고도 사설 네트워크 사이의 암호화 터널링 통신이 가능하다.
또한, 본 발명에 의하면, L2 계층 기반의 프로토콜의 암호화 터널링을 지원함으로써, 통일된 단말 보안 시스템 및 용이한 인프라 관리 시스템을 제공할 수 있다.
도 1은 본 명세서의 실시예에 따른 L2 VPN 관리 장치의 구성요소를 도시한 블록도이다.
도 2는 본 명세서의 실시예에 따른 L2 VPN 관리 장치의 예로서 마스터 장치 및 브랜치 장치를 나타낸 도면이다.
도 3은 본 명세서의 실시예에 따른 L2 VPN 마스터와 L2 VPN 브랜치 장치들 사이의 통신 구조를 나타낸다.
도 4는 본 명세서의 실시예에 따른 마스터와 브랜치 사이의 연결 정책을 나타낸 도면이다.
도 5는 단말 패킷의 암호화 터널링 과정을 도시한다.
본 명세서의 용어 설명
이하에서 설명되는 모든 실시 예들은 본 발명의 이해를 돕기 위해 예시적으로 나타낸 것이며, 여기에 설명된 실시 예들과 다르게 변형되어 다양한 실시 형태로 실시될 수 있다. 또한, 본 발명을 설명함에 있어서, 관련된 공지 기능 혹은 공지 구성요소에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우, 그 구체적인 설명은 생략하도록 한다.
첨부된 도면은 발명의 이해를 돕기 위해서 실제 축척대로 도시된 것이 아니라 일부 구성요소의 치수가 과장되게 도시될 수 있으며, 각 구성요소들에 참조번호를 기재할 때, 동일한 구성요소들에 대해서는 다른 도면에 표시되더라도 가능한 한 동일한 부호로 표시하였다.
또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결, 결합 또는 접속될 수 있지만, 그 구성 요소와 그 다른 구성요소 사이에 또 다른 구성 요소가 '연결', '결합' 또는 '접속'될 수도 있다고 이해되어야 할 것이다.
따라서, 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 실시 예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 발명에 대한 다양한 변형 실시 예들이 있을 수 있다.
그리고, 본 명세서 및 청구범위에서 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정되어서는 안되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
또한, 본 출원에서 사용된 단수의 표현은 문맥상 명백히 다른 것을 뜻하지 않는 한, 복수의 표현을 포함한다.
도 1 설명
도 1은 본 명세서의 실시예에 따른 L2 VPN 관리 장치의 구성요소를 도시한 블록도이다.
도 1에 도시된 L2 VPN 관리 장치(100)는 추후 설명할 L2 VPN 마스터(도 2의 210), L2 VPN 브랜치1(도 2의 220) 및 L2 VPN 브랜치2(도 2의 230)에 모두 적용될 수 있다.
본 명세서의 L2 VPN 관리 장치는 물리적인 네트워크 장치가 되거나, 하드웨어와 소프트웨어의 조합으로 구성될 수 있다.
L2 VPN 관리 장치는 지역, 위치, 분리된 네트워크 환경 등의 요인으로 분산되어 있는 복수의 종단 단말들을 L2 기반의 터널링을 이용하여 연결시킬 수 있다. 또한, L2 VPN 관리 장치는 각 단말들 사이의 L2 프로토콜 통신이 가능하도록 함으로써, 모든 단말들에 동일한 사설망 대역으로 IP 주소를 할당할 수 있다.
예를 들면, 각 단말에 동일한 대역의 IP 주소가 할당될 수 있으며, 이에 따라 전체 단말에 대한 네트워크 접근 제어, 정보 흐름 통제, 라우팅 정책들을 통합적으로 관리할 수 있다. 또한, 각 단말에 대한 네트워크 인프라에 대한 자산 관리 측면에서 효율성이 증가될 수 있다.
L2 VPN의 연결은 2대 이상의 네트워크 보안 장비(예: 도 2의 L2 VPN 마스터 및 L2 VPN 브랜치들)가 상호간의 회선 IP 주소를 통해 연결될 수 있으며, L2 기반으로 터널링 연결을 설정할 수 있다. L2 VPN 관리 장치는 L2 터널을 통해 송수신되는 종단 단말의 패킷을 L2 암호화 엔진을 통해 전체 프레임을 암호화할 수 있다.
접근 제어부는 L2 VPN 관리 장치에 연결된 단말의 통신의 허용/차단을 미리 설정된 정책에 기반하여 결정한다. 이 경우, 스위칭부는 스위칭 정책을 통해 각 단말의 통신의 허용/차단을 설정한다.
스위칭부는 접근 제어부에 의해 허용된 단말의 패킷을 정보 흐름 통제부로 전달하며, 미리 설정된 정보 흐름 통제 정책에 의해 패킷의 통제 여부가 결정된다.
라우팅부는 정보흐름통제부에 의해 허용된 단말의 패킷의 전달 경로를 설정할 수 있다. 예를 들면, 라우팅 정책은 모든 패킷을 L2 VPN 터널로 전달하는 정책으로 설정하거나, 터널링과 인터넷 경로를 구분하여 라우팅 정책을 설정할 수 있다.
참고로, 본 명세서의 L2 VPN 관리 장치는 터널링 연결을 통해 L2 프로토콜 통신이 가능하며, VPN을 기반으로 한 다양한 형태의 터널 토폴로지 구성이 가능하며, 상세한 설명은 하기와 같다.
첫째, 터널 토폴로지가 메쉬형인 경우, 각 L2 VPN 관리 장치는 자신을 제외한 나머지 전체 장치들과 각각 터널링으로 연결할 수 있다.
둘째, 터널 토폴로지가 링형인 경우, 장비 당 2개의 터널링 연결을 통해 2대의 장비를 연결하여 전체적으로 고리 모양으로 네트워크를 연결할 수 있다.
셋째, 터널 토폴로지가 스타형 인 경우, 전체 장비 중 1대를 마스터로 설정하고, 나머지 장치들을 브랜치로 설정하며, 모든 브랜치 장치가 마스터 장치에 터널링으로 연결될 수 있다.
넷째, 터널 토폴로지가 라인형인 경우, 링 형에서 서로 연결된 2개의 L2 VPN 관리 장치의 터널링 연결을 해제한 경우, 단 두 장치의 통신은 다른 장치들을 통해 가능하다.
다섯째, 터널 토폴로지가 트리형인 경우, 스타형에서 브랜치 장치들에 신규로 브랜치 장치를 추가하여 터널링을 연결/확장할 수 있다.
상기와 같이, L3 VPN의 경우 라우팅 정책의 설정과 관리가 복잡하여 취급하지 않던 토폴로지를 L2 프로토콜의 터널링을 통해 라우팅 정책 없이도 다양한 네트워크 토폴로지 형태로 VPN의 구성이 가능하다.
도 1에 도시된 각 구성요소들의 기능을 설명하면 하기와 같다.
여기서, 단말들(1)은 PC, 노트북, 스마트폰, 서버 등 각종 네트워크 가능한 단말들을 포함할 수 있다.
스위칭부(160)는 SD-WAN 장치와 연결된 단말들의 모든 트래픽을 집중시키며, 미리 설정된 규칙에 따라 상기한 트래픽의 이동 경로를 설정할 수 있다.
네트워크 관리부(170)는 단말정보 수집부(171), 동적IP 관리부(172) 및 고정IP 관리부(173)를 포함할 수 있다. 여기서, 단말정보 수집부는 스위칭부에 연결된 단말들의 MAC 주소 및 IP 주소를 네트워크 정보로서 수집/저장할 수 있다. 동적 IP 관리부는 스위칭부에 연결된 단말들 또는 원격에 연결된 단말들의 동적 IP 할당 요청을 처리하며, IP 할당 이력을 관리/저장할 수 있다. 고정 IP 관리부는 특정 단말에 고정 IP 할당이 필요한 경우에 해당 단말을 등록/관리할 수 있다.
접근 제어부(140)는 스위칭부에 연결된 단말을 인증하며, 인증되지 않은 단말의 네트워크 접근을 통제/차단할 수 있다.
정보 흐름 통제부(150)는 네트워크 트래픽에 대한 미리 설정된 규격의 통제 정책을 설정하고, 또한, 상기한 미리 설정된 정책에 위배되는 트래픽의 흐름을 통제/차단할 수 있다.
라우팅부(130)는 미리 설정된 규격의 네트워크 트래픽 전달 경로 규칙에 기반하여 네트워크 경로를 설정할 수 있다.
터널링 제공부(120)는 원격에 위치한 L2 계층 VPN 장치(또는, 가상 사설 네트워크 관리 장치)와 터널링 연결을 설정할 수 있다. 데이터압축/터널링 제공부는 일정 크기 이상의 데이터 프레임은 압축하고, L2를 포함한 전체 패킷 프레임을 암호화하여, 터널링 헤더와 결합하며, 원격지의 L2 VPN 장치(또는, 가상 사설 네트워크 관리 장치)로 전송할 수 있다. 데이터압축/터널링 제공부는 수신 패킷의 터널링 헤더를 제거하며, 암호화된 데이터를 원래의 원본 패킷으로 복호화하고, 압축된 데이터 프레임을 해제하여 목적지 단말로 전송할 수 있다.
트래픽 처리부(110)는 터널링 트래픽과 일반 트래픽을 최종적으로 전송하고, 최초 수신 처리할 수 있다.
도 2 설명
도 2는 본 명세서의 실시예에 따른 L2 VPN 관리 장치의 예로서 마스터 장치 및 브랜치 장치를 나타낸 도면이다.
도 2에 도시된 바와 같이, L2 VPN 관리 장치는 L2 VPN 마스터(210), L2 VPN 브랜치1(220) 및 L2 VPN 브랜치2(230)를 포함할 수 있다.
L2 VPN 마스터는 L2 프로토콜(ARP, DHCP, STP 등)을 기반으로 원격지의 네트워크를 동일한 서브넷 대역으로 구성할 수 있다.
L2 VPN 마스터의 동적 IP 관리부 및 고정 IP 관리부는 통해 원격지 단말들에 동적 IP 또는 고정IP를 할당할 수 있다.
L2 VPN 마스터의 정보 흐름 통제부는 L2 VPN을 통한 마스터-브랜치, 브랜치-브랜치 네트워크 정책을 설정하며, 트래픽을 통제할 수 있다.
L2 VPN 마스터의 라우팅부는 브랜치-브랜치 사이의 통신이 가능하도록 경로를 설정하며, 브랜치 단말의 인터넷 트래픽을 L2 VPN 마스터를 통해 처리될 수 있도록 설정할 수 있다.
L2 VPN 마스터의 접근 통제부 및 L2 VPN 브랜치의 접근 통제부는 서로 연동하여 L2 VPN으로 연결된 모든 단말의 네트워크 접근 통제를 마스터에서 수행할 수 있다.
L2 VPN 브랜치(L2 VPN 브랜치 1, L2 VPN 브랜치 2)는 원격지의 L2 VPN 마스터로 L2 기반 VPN 터널링으로 연결되는 클라이언트 역할을 수행할 수 있다.
L2 VPN 브랜치는 L2 프로토콜(ARP, DHCP, STP 등)을 L2 VPN 마스터와 연동하여 네트워크를 구성할 수 있다.
L2 VPN 브랜치는 L2 VPN 마스터의 동적 IP 관리부, 고정 IP 관리부를 통해 L2 VPN 마스터 및 다른 L2 VPN 브랜치 단말들과 같은 대역의 IP 주소를 할당받을 수 있다.
L2 VPN 브랜치의 정보 흐름 통제부는 L2 VPN을 통한 마스터-브랜치, 브랜치-브랜치 네트워크 정책을 설정할 수 있으며, L2 VPN 브랜치의 독자적인 네트워크 정책 설정을 통해 트래픽을 통제할 수 있다.
L2 VPN 브랜치의 정보 흐름 통제는 L2 VPN 마스터에 의해서 설정된다.
L2 VPN 브랜치의 라우팅부는 L2 VPN으로 인터넷 트래픽을 비롯한 모든 트래픽을 L2 VPN 마스터로 전달하거나, L2 VPN과 인터넷 회선으로 전달할 트래픽을 구분하여 전달하도록 라우팅 정책을 설정할 수 있다.
L2 VPN 마스터의 접근 통제부, L2 VPN 브랜치의 접근 통제부 사이의 연동을 통해 L2 VPN으로 연결된 모든 단말의 네트워크 접근 통제를 L2 VPN 마스터에서 수행될 수 있다.
도 3 설명
도 3은 본 명세서의 실시예에 따른 L2 VPN 마스터와 L2 VPN 브랜치 장치들 사이의 통신 구조를 나타낸다.
도 3에 도시된 바와 같이, L2 VPN 마스터(320)와 단말(단말3)(303) 사이의 통신은 L2 프로토콜 통신으로서, 그 예는 ARP 또는 DHCP가 될 수 있다.
L2 VPN 마스터(320), L2 VPN 브랜치 1(311), L2 VPN 브랜치 1와 연결된 단말1(301), L2 VPN 브랜치 2(312) 및 L2 VPN 브랜치 2와 연결된 단말2(302)는 L2 프로토콜 통신으로 연결될 수 있으며, 그 예로, ARP 또는 DHCP가 될 수 있다.
또한, L2 VPN 마스터, L2 VPN 브랜치 1 및 단말1 사이에서도 L2 프로토콜 통신이 연결될 수 있다.
또한, L2 VPN 마스터, L2 VPN 브랜치 2 및 단말 2는 서로 L2 프로토콜 통신이 연결될 수 있다.
도 4 설명
도 4는 본 명세서의 실시예에 따른 마스터와 브랜치 사이의 연결 정책을 나타낸 도면이다.
도 4의 예에서는, L2 VPN 브랜치1(411)의 라우팅 정책이 모든 패킷을 전달(All Packet Forwarding)로 설정된 경우를 예로 들었다. 또한, L2 VPN 브랜치2(412)의 라우팅 정책은 내부 네트워크의 경우 VPN Forwarding(VPN 전달)로 설정되고, 인터넷의 경우 외부회선을 전달(외부회선 Forwarding)로 설정된 경우를 예로 들었다.
상기의 예에서, 단말3(403), L2 VPN 마스터(420), L2 VPN 브랜치 1(411) 및 단말1(401)은 서로 내부망 트래픽(431)으로 연결될 수 있다. 또한, 단말3, L2 VPN 마스터, L2 브랜치 2(412) 및 단말2(402)는 서로 내부망 트래픽(432)으로 연결될 수 있다. 또한, L2 VPN 마스터, L2 VPN 브랜치 1, 단말1, L2 VPN 브랜치2 및 단말2는 서로 내부망 트래픽(430)으로 연결될 수 있다.
L2 VPN 마스터의 인터넷 트래픽은 인터넷망(451)을 통해 외부로 전송되거나(462), L2 VPN 브랜치1을 통해 단말1로 전달된다(461). 반면, 단말2의 인터넷 트래픽은 L2 VPN 브랜치2를 통해 인터넷망(452)로 전달된다(463).
도 5 설명
도 5는 단말 패킷의 암호화 터널링 과정을 도시한다.
도 5에 도시된 바와 같이, 네트워크 단말(510)은 Dst MAC, Src MAC, IP 헤더 및 페이로드를 포함하는 소스 패킷(Source Packet)(501)을 L2 VPN 관리 장치의 소프트웨어 스위치(550)로 전달한다.
스프트웨어 스위치(550)는 L2 암호화 엔진(540)으로 소스 패킷을 전달한다.
소스 패킷을 전달받은 L2 암호화 엔진은 소스 패킷을 암호화하고, 암호화된 소스 패킷을 L2 터널링 엔진(530)으로 전달한다. 암호화된 암호 패킷(L2 Frame Encrypted Packet)(502)은 MACsec Encrytion이 적용된 패킷이다.
L2 터널링 엔진(530)은 전달된 암호 패킷을 터널링하여 인터넷망(560)으로 전달할 수 있다. 터널링된 패킷(L2 Frame Crypto Tunneling Packet)(503)은 앞서 설명한 암호 패킷의 전단에 Outer MAC, Outer IP Header, UDP Header, Tunnel ID를 포함한다.
본 명세서의 해석 방법
이상 첨부된 도면을 참조하여 본 발명의 실시 예들을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시 예로 국한되는 것은 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형 실시될 수 있다.
따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 그러므로, 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: L2 VPN 관리 장치
110: 트래픽 처리부
120: 터널링 제공부
130: 라우팅부
140: 접근 제어부
150: 정보 흐름 통제부
160: 스위칭부
170: 네트워크 관리부

Claims (10)

  1. 복수의 단말들과 각각 연결된 가상 사설 네트워크 관리 장치에 있어서,
    상기 복수의 단말들 각각으로부터 데이터 패킷을 수신하는 스위칭부;
    상기 수신된 데이터 패킷에 대하여 암호화하고, 암호화된 패킷에 대한 터널링을 수행하며, 원격에 위치한 L2 계층 가상 사설 네트워크 관리 장치와 터널링 연결을 설정하는 터널링 제공부; 및
    터널링된 패킷에 대한 트래픽을 처리하는 트래픽 처리부를 포함하고,
    상기 데이터 패킷은 L2 데이터 패킷이며,
    상기 터널링 제공부는,
    VxLAN 및 MACsec을 통해 상기 데이터 패킷을 L2 기반으로 암호화 및 터널링하는 것을 특징으로 하는,
    가상 사설 네트워크 관리 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 복수의 단말들 각각을 동일한 네트워크로 관리하는 네트워크 관리부를 더 포함하는,
    가상 사설 네트워크 관리 장치.
  4. 제1항에 있어서,
    상기 복수의 단말들 중 상기 스위칭부에 연결된 단말을 인증하며, 상기 복수의 단말들 중 인증되지 않은 단말의 네트워크 접근을 통제하는 정보 흐름 통제부를 더 포함하는,
    가상 사설 네트워크 관리 장치.
  5. 제1항에 있어서,
    미리 설정된 규격의 네트워크 트래픽 전달 경로 규칙에 기반하여 상기 데이터 패킷의 전달 경로를 설정하는 라우팅부를 더 포함하는,
    가상 사설 네트워크 관리 장치.
  6. 제1항에 있어서,
    복수의 VPN 관리 장치를 포함하고,
    상기 복수의 VPN 관리 장치 중 마스터 장치는 나머지 VPN 브랜치 장치들 및 상기 마스터 장치의 통합된 트래픽 정책을 모두 결정하는,
    가상 사설 네트워크 관리 장치.
  7. 제6항에 있어서,
    상기 VPN 브랜치 장치들은 각각 수신한 트래픽을 모두 상기 마스터 장치로 전송하거나,
    미리 설정된 규칙에 기반하여 각 브랜치 장치에서 전달 경로를 설정하고 트래픽을 처리하는 것을 특징으로 하는,
    가상 사설 네트워크 관리 장치.
  8. 제1항에 있어서,
    복수의 VPN 관리 장치를 포함하고,
    상기 복수의 VPN 관리 장치들 중 각 브랜치 장치들은 각 브랜치 장치의 트래픽 정책을 독립적으로 결정하는,
    가상 사설 네트워크 관리 장치.
  9. 제6항 또는 제8항에 있어서,
    상기 복수의 VPN 관리 장치들의 토폴로지 형태는 메쉬형, 링형, 스타형 라인형 또는 트리형인 것을 특징으로 하는,
    가상 사설 네트워크 관리 장치.
  10. 제9항에 있어서,
    상기 복수의 VPN 관리 장치들은 상기 토폴로지 형태에 따라 서로 다른 트래픽 전달 규칙을 설정하는 것을 특징으로 하는,
    가상 사설 네트워크 관리 장치.
KR1020230052802A 2023-04-21 2023-04-21 공동주택 세대간 망분리를 위한 l2 기반 가상 사설 네트워크 관리 장치 Active KR102694199B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230052802A KR102694199B1 (ko) 2023-04-21 2023-04-21 공동주택 세대간 망분리를 위한 l2 기반 가상 사설 네트워크 관리 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230052802A KR102694199B1 (ko) 2023-04-21 2023-04-21 공동주택 세대간 망분리를 위한 l2 기반 가상 사설 네트워크 관리 장치

Publications (1)

Publication Number Publication Date
KR102694199B1 true KR102694199B1 (ko) 2024-08-13

Family

ID=92394952

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230052802A Active KR102694199B1 (ko) 2023-04-21 2023-04-21 공동주택 세대간 망분리를 위한 l2 기반 가상 사설 네트워크 관리 장치

Country Status (1)

Country Link
KR (1) KR102694199B1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100485769B1 (ko) * 2002-05-14 2005-04-28 삼성전자주식회사 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법
KR20140078290A (ko) * 2012-12-17 2014-06-25 주식회사 시큐아이 IPSec VPN에서 다중회선을 지원하기 위한 방법 및 장치
JP2019503101A (ja) * 2015-12-15 2019-01-31 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation ハイブリッド・クラウド環境内の第1のクラウドと第2のクラウドとの間の複数のvpnトンネルを管理するための方法、装置、およびコンピュータ・プログラム
KR20210051208A (ko) * 2019-10-30 2021-05-10 주식회사 케이티 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
KR20220134554A (ko) * 2019-05-10 2022-10-05 화웨이 클라우드 컴퓨팅 테크놀러지 컴퍼니 리미티드 가상 사설 클라우드 통신 및 구성 방법, 그리고 관련 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100485769B1 (ko) * 2002-05-14 2005-04-28 삼성전자주식회사 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법
KR20140078290A (ko) * 2012-12-17 2014-06-25 주식회사 시큐아이 IPSec VPN에서 다중회선을 지원하기 위한 방법 및 장치
JP2019503101A (ja) * 2015-12-15 2019-01-31 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation ハイブリッド・クラウド環境内の第1のクラウドと第2のクラウドとの間の複数のvpnトンネルを管理するための方法、装置、およびコンピュータ・プログラム
KR20220134554A (ko) * 2019-05-10 2022-10-05 화웨이 클라우드 컴퓨팅 테크놀러지 컴퍼니 리미티드 가상 사설 클라우드 통신 및 구성 방법, 그리고 관련 장치
KR20210051208A (ko) * 2019-10-30 2021-05-10 주식회사 케이티 종단 간 통신에 보안을 제공하기 위한 장치 및 방법

Similar Documents

Publication Publication Date Title
US12101295B2 (en) Internet protocol security (IPSec) tunnel using anycast at a distributed cloud computing network
US8713305B2 (en) Packet transmission method, apparatus, and network system
EP2579544B1 (en) Methods and apparatus for a scalable network with efficient link utilization
US6701437B1 (en) Method and apparatus for processing communications in a virtual private network
US8037303B2 (en) System and method for providing secure multicasting across virtual private networks
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
US8582468B2 (en) System and method for providing packet proxy services across virtual private networks
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
CN108989342B (zh) 一种数据传输的方法及装置
US20240323170A1 (en) Secure frame encryption as a service
CN101102253A (zh) 在IPsec隧道中传输组播的方法、分支节点和中心节点
CN114338116B (zh) 加密传输方法、装置及sd-wan网络系统
CN115473729A (zh) 数据传输方法、网关、sdn控制器及存储介质
WO2025124258A1 (zh) 一种支持wireguard设备的端口共用和ip绑定的系统和方法
KR102694199B1 (ko) 공동주택 세대간 망분리를 위한 l2 기반 가상 사설 네트워크 관리 장치
US10848414B1 (en) Methods and apparatus for a scalable network with efficient link utilization
KR101845776B1 (ko) 레이어2 보안을 위한 MACsec 어댑터 장치
CN115037685A (zh) 隧道通信方法、中继节点、分支节点及隧道通信系统
JP2017208718A (ja) 通信装置および通信方法
CN115766063B (zh) 数据传输方法、装置、设备及介质
US9025600B1 (en) Multicast proxy for partitioned networks
CN115277190B (zh) 一种链路层透明加密系统在网络上实现邻居发现的方法
JP4356262B2 (ja) パケット通信システム
CN106452872A (zh) 基于无线网络的多节点通信系统
Jingjing et al. The Study on the Encryption Technology of Black Core Network

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20230421

PA0201 Request for examination

Patent event code: PA02011R01I

Patent event date: 20230421

Comment text: Patent Application

PA0302 Request for accelerated examination

Patent event date: 20230509

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20240104

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20240801

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20240807

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20240808

End annual number: 3

Start annual number: 1

PG1601 Publication of registration