KR101586474B1 - 오픈플로우 라우팅 장치 및 방법 - Google Patents
오픈플로우 라우팅 장치 및 방법 Download PDFInfo
- Publication number
- KR101586474B1 KR101586474B1 KR1020140165634A KR20140165634A KR101586474B1 KR 101586474 B1 KR101586474 B1 KR 101586474B1 KR 1020140165634 A KR1020140165634 A KR 1020140165634A KR 20140165634 A KR20140165634 A KR 20140165634A KR 101586474 B1 KR101586474 B1 KR 101586474B1
- Authority
- KR
- South Korea
- Prior art keywords
- path
- open
- virtual machine
- valid
- cost
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 21
- 238000012545 processing Methods 0.000 claims abstract description 17
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 101100256651 Homo sapiens SENP6 gene Proteins 0.000 description 2
- 101150038317 SSP1 gene Proteins 0.000 description 2
- 101100125020 Schizosaccharomyces pombe (strain 972 / ATCC 24843) pss1 gene Proteins 0.000 description 2
- 101100018019 Schizosaccharomyces pombe (strain 972 / ATCC 24843) ssc1 gene Proteins 0.000 description 2
- 102100023713 Sentrin-specific protease 6 Human genes 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/645—Splitting route computation layer and forwarding layer, e.g. routing according to path computational element [PCE] or based on OpenFlow functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/121—Shortest path evaluation by minimising delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/122—Shortest path evaluation by minimising distances, e.g. by selecting a route with minimum of number of hops
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/76—Routing in software-defined topologies, e.g. routing between virtual machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
클라우드 컴퓨팅에 기반한 서비스로서의 보안(SECaaS) 시스템에서의 오픈플로우 라우팅 시, 각각 보안 서비스를 제공하는 복수의 가상 머신과 VPN 게이트웨이 사이의 유효 경로들 및 가상 머신 간의 유효 경로들을 컨트롤러가 검출하고, 컨트롤러가 검출한 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하고, 컨트롤러가 메트릭 가중치에 기초하여 유효 경로들에 대해 최소 비용 경로를 설정하고, 컨트롤러가 오픈플로우 스위치 및 오픈 브이스위치(Open vSwitch, OVS)에 오픈플로우 프로토콜을 통해 설정한 최소 비용 경로를 플로우 테이블로 저장하되, 플로우 테이블에 기초하여 오픈플로우 스위치 및 오픈 브이스위치 중 적어도 하나가 테넌트의 패킷을 최소 비용 경로에 따라 전달한다.
Description
본 발명은 클라우드 컴퓨팅에 기반한 ‘서비스로서의 보안’(Security as a Service, SECaaS) 시스템에서의 오픈플로우 라우팅 장치 및 방법에 관한 것이다.
클라우드 컴퓨팅은, 필요시 언제 어디서나 손쉽게 네트워크에 접근하여 설정 가능한 컴퓨팅 리소스(네크워크,서버,스토리지,애플리케이션, 및 서비스 등)를 공유하며, 서비스 제공자(Service Provider)의 최소한의 노력으로 신속하게 컴퓨팅 리소스가 제공될 수 있는 컴퓨팅 모델이다.
이러한, 클라우드 컴퓨팅이 크게 확대되며 많은 기업들이 클라우드 컴퓨팅을 도입하고 있으며, 이에 따라 보안 패러다임에도 큰 변화를 가져오고 있다. 그 결과, 기존에 보안 기기(Security Appliance) 형태로 제공되었던 보안서비스가 클라우드 컴퓨팅과의 결합을 통해 클라우드 기반 보안 서비스로 제공되는 ‘서비스로서의 보안’(Security as a Service, SecaaS)이 등장하였다.
한편, SecaaS는 ‘서비스로서의 소프트웨어’(Software as a Service, SaaS)의 한 종류로서, 보안 소프트웨어에 대한 클라우드 서비스이다. 현재까지 많이 활성화된 SaaS와 비교하여 SecaaS는 트래픽에 대한 제어가 필요하다는 점에서 가장 큰 차이점이 있다. SaaS의 경우 사용자로부터 데이터를 입력받아 애플리케이션 로직을 통해 처리하면 되었지만, SecaaS의 보안 애플리케이션의 경우 사용자의 트래픽을 받아 중간에서 사용자의 데이터에 대한 위협 요소가 있는지를 검사하게 된다. 따라서, SecaaS는 사용자의 트래픽을 사용자가 원하는 보안 서비스로 제어(즉, 라우팅)해야 한다. 따라서, SecaaS는 기존의 SaaS에서 트래픽을 제어하는 부분에 대한 제어가 더 필요한 실정이다.
또한, SecaaS에서의 보안 서비스들의 비용과 지연은 가입한 테넌트들의 수, 네트워크, 디스크, CPU, RAM 과 같은 서비스 자원들에 의한 서비스 과부하, 실시간 마이그레이션(live migration) 서비스, 및 서비스의 추가 또는 제거 등의 다양한 이유로 변동 될 수 있다. 따라서, SecaaS 네트워크 토폴로지와 네트워크 동작이 바뀔 수 있으며, 이러한 네트워크 토폴로지와 동작이 변동되어 발생되는 문제들을 해결하기 위하여 테넌트에 대해 항상 최상의 응답 시간으로 최선의 경로를 선택해야 한다.
한편, 소프트웨어 정의 네트워크(SDN: Software Defined Network)는 소프트웨어 프로그래밍을 통해 네트워크 경로 설정과 제어 및 복잡한 운용관리를 편리하게 처리할 수 있는 차세대 네트워킹 기술이다. 이를 위해 SDN에서는 네트워크의 데이터 평면(data plane)과 제어평면(control plane)을 분리하고 이 사이에 표준화된 인터페이스를 제공하며, 네트워크 운용자가 여러 상황에 맞추어 제어 평면을 프로그래밍하여 데이터 평면에서 이루어지는 통신 기능을 다양한 방식으로 제어할 수 있다.
그 중, 오픈플로우(OpenFlow)는 제어 평면과 데이터 평면을 연결하는 표준 인터페이스로서 오픈플로우 프로토콜을 사용한다. 오픈플로우 프로토콜을 사용하면 제어 및 데이터 평면을 하드웨어가 아닌 소프트웨어로도 구현할 수 있으며, 이러한 소프트웨어를 범용 서버에 설치하여 신속하게 새로운 기능을 구현할 수 있다.
이와 같은 오픈플로우 기술을 클라우드 컴퓨팅 기반 SecaaS에 적용할 수 있는 방식이 요구되고 있다.
이와 관련하여, 대한민국공개특허 제10-2014-0050461호(발명의 명칭: 오픈 플로우 스위치와 컨트롤러를 사용한 가상망 구현 방법 및 그 장치)에서는, 네트워크로 유입된 데이터에 대한 데이터 정보를 수신하는 데이터 정보 수신부와, 상기 수신한 데이터 정보를 기초로 상기 데이터의 특성을 파악하고, 상기 파악된 특성에 따라 상기 데이터가 전달될 가상 네트워크를 결정하는 가상 네트워크 결정부와, 상기 가상 네트워크 결정부로부터 상기 데이터의 전달요청을 수신하고, 상기 데이터의 전달경로를 결정하여 상기 네트워크 내의 스위치로 전송하는 가상 네트워크 제어부를 포함하는 가상 네트워크 관리장치를 개시하고 있다.
본 발명의 일 실시예는 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 클라우드 컴퓨팅에 기반한 SECaaS 시스템에서 테넌트의 패킷을 최소 비용 경로로 라우팅하는 오픈플로우 라우팅 장치 및 방법을 제공하고자 한다.
다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 측면에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템에서의 오픈플로우 라우팅 방법은, 각각 보안 서비스를 제공하는 복수의 가상 머신과 VPN 게이트웨이 사이의 유효 경로들 및 상기 가상 머신 간의 유효 경로들을 컨트롤러가 검출하는 단계; 상기 컨트롤러가 상기 검출한 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하는 단계; 상기 컨트롤러가 상기 메트릭 가중치에 기초하여 상기 유효 경로들에 대해 최소 비용 경로를 설정하는 단계; 및 상기 컨트롤러가 오픈플로우 스위치(OpenFlow Switch) 및 오픈 브이스위치(Open vSwitch, OVS)에 오픈플로우 프로토콜을 통해 상기 설정한 최소 비용 경로를 플로우 테이블로 저장하는 단계를 포함하되, 상기 VPN 게이트웨이를 통해 입력된 테넌트의 패킷은 상기 오픈플로우 스위치 및 오픈 브이스위치 중 적어도 하나를 통해 상기 플로우 테이블에 기초하여 목적지 가상 머신까지 최소 비용 경로로 스위칭된다.
또한, 본 발명의 다른 측면에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템에서의 오픈플로우(OpenFlow)) 라우팅 장치는, 테넌트의 패킷을 수신하는 VPN 게이트웨이; 각각 보안 서비스를 제공하는 복수의 가상 머신과 상기 VPN 게이트웨이 사이의 유효 경로들 및 상기 가상 머신 간의 유효 경로들을 검출하고, 상기 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하고, 상기 메트릭 가중치에 기초하여 상기 유효 경로들에 대한 최소 비용 경로를 설정하여 오픈플로우 프로토콜을 통해 저장하는 컨트롤러; 및 상기 컨트롤러로부터 설정된 유효 경로들의 최소 비용 경로를 플로우 테이블로 저장하고, 상기 플로우 테이블에 기초하여 테넌트의 패킷을 최소 비용 경로에 따라 전달하는 오픈플로우 스위치(OpenFlow Switch) 및 오픈 브이스위치(Open vSwitch, OVS)를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, SecaaS 네트워크 전체에서 라우팅 경로의 비용과 지연을 감소 시키고, 테넌트에 대해 최상의 응답 시간의 경로를 선택하여 제공할 수 있다.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 오픈플로우 프로토콜을 이용하는 라우팅 알고리즘을 제공함으로써, 중앙 집중형 라우팅 계산이 가능하여 실제 네트워크에서 라우팅 알고리즘의 업데이트가 간편하게 처리될 수 있다.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, SecaaS 네트워크에서 전체 유효 경로들에 대해 거리 비용 뿐만 아니라 가상 머신의 프로세싱 비용까지 고려하여 최소 비용 경로의 메트릭 가중치들을 계산함으로써 자원의 소모를 줄일 수 있으면서도 최상의 라우팅 경로를 찾을 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(SECaaS) 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 유효 경로별 메트릭 가중치 산출 과정을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치를 통한 테넌트의 패킷에 대한 보안 서비스 제공 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(SECaaS) 시스템에서의 오픈플로우 라우팅 방법을 설명하기 위한 순서도이다.
도 2는 본 발명의 일 실시예에 따른 유효 경로별 메트릭 가중치 산출 과정을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치를 통한 테넌트의 패킷에 대한 보안 서비스 제공 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(SECaaS) 시스템에서의 오픈플로우 라우팅 방법을 설명하기 위한 순서도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템(이하, ‘보안 시스템’이라고 지칭함)의 구성을 나타낸 도면이다.
도 1에 도시한 바와 같이, 본 발명의 일 실시예에 따른 보안 시스템(100)은, 보안 서비스 제공자(Security Service Provider, SSP)인 가상 머신으로의 라우팅을 제어하는 컨트롤러(110), 서비스 이용자인 테넌트(Tenant)로부터 발생된 트래픽(즉, 패킷)을 수신하여 목적지 가상 머신으로 전달하는 가상 사설망(VPN, Virtual Private Network) 게이트웨이(120), 컨트롤러(110)를 통해 설정된 최소 비용 경로를 따라 테넌트의 패킷을 스위칭하는 오픈 브이스위치 Open vSwitch, OVS)(130)와 오픈플로우 스위치(OpenFlow Switch)(150), 및SSP들의 애플리케이션들이 각각 실행될 수 있는 복수의 가상 머신(140)을 포함한다.
이때, 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치는, 보안 시스템(100)의 플랫폼 도메인 상에 구현되어 복수의 가상 머신(140) 중 테넌트의 패킷에 따른 목적지 가상 머신으로 최소 비용 경로를 검출하는 컨트롤러(110), VPN 연결을 통해 테넌트의 패킷을 수신하는 VPN 게이트웨이(120), 및 보안 시스템(100)의 하이퍼바이저 상에 구현되어 오픈플로우 프로토콜을 통해 컨트롤러(110)가 설정한 최소 비용 경로의 정보를 플로우 테이블로 저장하는 가상 스위치인 오픈 브이스위치(130) 및 오픈플로우 스위치(150)를 포함한다.
구체적으로, 테넌트로부터 VPN 연결을 통해 전달되는 패킷은 VPN 게이트웨이(120)를 통해 수신되므로, 컨트롤러(110)는 각각의 보안 서비스를 제공하는 복수의 가상 머신(140)과 VPN 게이트웨이(120) 사이의 유효 경로들 및 가상 머신(140) 간의 유효 경로들을 검출한다.
그리고 컨트롤러(110)는 검출된 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치(metric weight)를 산출한다. 이때, 하기 수학식 1을 통해 유효 경로에 대한 메트릭 가중치(W)를 산출할 수 있다.
<수학식 1>
W = {w1, w2, w3 ... wn*(n-1)/2},
Wij = Pij + Tij
이때, Pij는 어느 하나의 유효 경로 상의 소스 노드(즉, 소스 가상 머신) i로부터 목적지 노드(즉, 목적지 가상 머신) j까지의 프로세싱 비용(processing cost)으로서, 유효 경로별 목적지 가상 머신에 대한 데이터 입력 시간 및 출력 시간에 따른 프로세싱 지연(processing delay) 값일 수 있다. 그리고, Tij는 어느 하나의 유효 경로 상의 소스 노드(즉, 소스 가상 머신) i로부터 목적지 노드(즉, 목적지 가상 머신) j까지의 트레블링 비용(travelling cost)으로서, 유효 경로별 소스 가상 머신으로부터 목적지 가상 머신까지의 거리 값(예를 들어, 홉(hop))에 따른 링크 비용일 수 있다. 이때, 거리 값은 시간 단위로 환산되어 프로세싱 비용과 연산될 수 있다. 예를 들어, 유효 경로별로 포함된 홉 당 실제적으로 소요되는 시간으로 환산될 수 있다.
한편, 본 발명의 일 실시예에 따른 보안 시스템(100)에서는 전체 SSP의 개수가 n-1개인 경우, 테넌트의 패킷이 VPN 게이트웨이(120)로부터 시작되므로 VPN 게이트웨이(120)를 포함하여 n개의 노드가 구성되고, n*(n-1)/2 개의 유효 경로로 네트워크가 구성된다.
예를 들어, 도 2는 본 발명의 일 실시예에 따른 유효 경로별 메트릭 가중치 산출 과정을 설명하기 위한 도면이다.
도 2에 도시한 바와 같이, SSP(즉, 보안 서비스를 제공하는 가상 머신)이 6개(140-1 내지 140-6) 포함되면, 네트워크 상의 노드는 VPN 게이트웨이(120)의 가상 머신을 포함하여 7개(즉, n=7)로 구성된다.
이때, 도 2에 도시한 바와 같이, 유효 경로는 W1 내지 W21까지 총 21개의 유효 경로가 검출되며, 하기 수학식 2에서와 같이 각 유효 경로의 메트릭 가중치를 표현할 수 있다.
<수학식 2>
W = {w1, w2, w3 ... w21 },
W1 = P1 + T1 , W2 = P2 + T2, ... W21 = P21 + T21
컨트롤러(110)는 위와 같은 유효 경로별 메트릭 가중치에 기초하여 전체 유효 경로들에 대한 최소 비용 경로를 설정하여 오픈플로우 프로토콜을 통해 저장한다.
예를 들어, 컨트롤러(110)는 하기 알고리즘을 이용하여 유효 경로들에 대한 최소 비용 경로를 설정할 수 있다.
<알고리즘 1>
이때, 컨트롤러(110)는 유효 경로별 메트릭 가중치 중 가장 작은 값을 선택하여 최소 비용 경로를 설정한다.
그런 다음, 컨트롤러(110)는 설정된 유효 경로들의 최소 비용 경로의 정보를 오픈플로우 프로토콜을 통해 오픈 브이스위치(130) 및 오픈플로우 스위치(150)에 저장한다.
참고로, 오픈플로우(OpenFlow) 프로토콜은, 소프트웨어 정의 네트워크( Software-Defined Networking, SDN) 기술에 속하는 것으로서, 컨트롤러와 오픈플로우 스위치 간의 플로우 테이블(Flow table)을 관리하기 위한 프로토콜이다. 본 발명의 일 실시예에서, 컨트롤러(110)는 오픈플로우 프로토콜을 통해 오픈 브이스위치 (130) 및 오픈플로우 스위치(150)에 플로우 테이블을 관리하며, 오픈 브이스위치(130) 및 오픈플로우 스위치(150)는 각각 컨트롤러(110)에 의해 생성된 테이블 정보를 통해 패킷을 제어한다.
또한, 컨트롤러(110)는 기설정된 주기마다, 보안 시스템(100)의 네트워크 상에 특정한 이벤트가 발생될 때마다, 또는 VPN 게이트웨이(120)로의 테넌트 패킷이 전달될 때마다 등 다양한 시점에, 보안 시스템(100) 상의 유효 경로들에 대한 메트릭 가중치 산출 및 최소 비용 경로의 우선 순위 산출을 수행할 수 있다. 즉, 보안 시스템(100)의 네트워크 토폴로지 및 네트워크 동작 등이 변동된다 하여도 상황에 따른 최소 비용 경로를 산출하여 업데이트할 수 있다.
오픈 브이스위치(Open vSwitch, OVS)(130) 및 오픈플로우 스위치(150)는 컨트롤러(110)로부터 설정된 유효 경로들의 최소 비용 경로를 오픈플로우 프로토콜을 통해 플로우 테이블로 저장하고, 상기 플로우 테이블에 기초하여 테넌트의 패킷을 최소 비용 경로에 따라 전달한다. 즉, 오픈 브이스위치(130) 및 오픈플로우 스위치(150)는 테넌트로부터의 트래픽을 컨트롤러(110)에 의해 설정된 최소 비용 경로에 따라 제어하여 목적지 가상 머신(140)까지 전달한다. 예를 들어, 도 1 및 도 2를 참조하여 설명하면, 목적지 가상 머신(140)이 VPN 게이트웨이(120)와 동일한 플랫폼 상에 구현된 SSP 도메인이거나 또는 최소 비용 경로가 하나의 하이퍼바이저 상에 구현된 복수의 SSP 도메인 간의 경로인 경우 오픈 브이스위치(130)를 통해 패킷이 전송된다. 또한, 목적지 가상 머신(140)까지 복수의 하이퍼바이저를 경유하여 최소 비용 경로가 설정된 경우, 하이퍼바이저 간의 패킷 전송은 오픈플로우 스위치(150)가 담당하며, 동일 하이퍼바이저 상에 구현된 SSP 도메인 간의 패킷 전송은 오픈 브이스위치(130)가 담당한다.
이하, 도 3을 참조하여 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치를 통한 오픈플로우 라우팅 방식에 대해서 상세히 설명하도록 한다.
도 3은 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치를 통한 테넌트의 패킷에 대한 보안 서비스 제공 과정을 설명하기 위한 도면이다.
먼저, 본 발명의 일 실시예에 따른 보안 시스템(100)을 통한 패킷의 흐름에 대해서 간략히 설명하자면, VPN 게이트웨이(120)를 통해 테넌트의 패킷이 수신되면, 패킷에 해당하는 보안서비스(즉, 가상 머신(140)으로 전달하여 위협 요소들을 검사한 후 이상 없을 경우에 외부 네트워크(미도시)로 내보낼 수 있다.
예를 들어, 테넌트가 웹 보안 서비스를 사용한다고 가정했을 때, 테넌트가 특정 웹 서버로 접속하여 데이터를 주고 받게 된다. 이때, 보안 서비스를 이용하는 테넌트가 SSP1도메인의 웹 보안 서비스를 요청하였을 경우, 보안 시스템(100)의 플랫폼(즉, 컨트롤러(110))에서 테넌트의 이용자 정보를 바탕으로 오픈 브이 스위치(OVS)(130)의 테이블에 플로우를 설정한다. 즉, 컨트롤러(110)가 복수의 가상 머신을 포함하는 SSP 네트워크에 대한 최소 비용 경로를 검출하여 그 정보(도 3에서는 ‘path’로 나타냄)를 오픈 브이스위치(OVS)(130) 상에 플로우 테이블로 저장한다.
그런 다음, 도 3에 도시한 바와 같이, 테넌트의 패킷이 보안 시스템(100)으로 VPN 연결을 통해 입력되면(①), 플랫폼 도메인의 VPN 게이트웨이(120)로 전달되고(②), 테넌트의 패킷은 OVS(130)로 전달된다(③).
그런 후 테넌트의 패킷은, OVS(130)의 플로우 테이블에 의해 목적지 웹 보안 서비스인 SSP1 도메인으로 전달되어(④), 해당 웹 보안 서비스를 제공하는 목적지 가상 머신(140)으로 전달된다. 이때, OVS(130)는 플로우 테이블에 저장되어 있던 유효 경로별 최소 비용 경로에 기초하여 해당 패킷이 요청한 보안 서비스를 제공하는 목적지 가상 머신(140)으로의 최소 비용 경로에 따른 스위칭을 처리한다.
참고로, 보안 시스템(100)은 이상의 과정을 통해 해당 패킷을 점검하고, 이상이 없다고 판단되면 테넌트가 보내려고 했던 웹 서버로 패킷을 전달한다.
이하, 도 4를 참조하여 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템 (100)에서의 오픈플로우 라우팅 장치를 통한 오픈플로우 라우팅 방법에 대해서 상세히 설명하도록 한다.
도 4는 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(SECaaS) 시스템에서의 오픈플로우 라우팅 방법을 설명하기 위한 순서도이다.
먼저, 보안 서비스를 제공하는 복수의 가상 머신과 VPN 게이트웨이 사이의 유효 경로들을 컨트롤러가 검출한다(S410).
그런 다음, 컨트롤러가 검출한 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출한다(S420).
이때, 프로세싱 비용은 상기 유효 경로별 목적지 가상 머신의 데이터 입력 시간 및 출력 시간에 따른 프로세싱 지연 값이고, 링크 비용은 유효 경로별 소스 가상 머신으로부터 목적지 가상 머신까지의 거리 값일 수 있다.
그런 후, 컨트롤러가 메트릭 가중치에 기초하여 유효 경로들에 대해 최소 비용 경로를 설정한다(S430).
이때, 유효 경로들에 대한 최소 비용 경로는 유효 경로별 메트릭 가중치 중 가장 작은 값을 선택하여 결정할 수 있다..
다음으로, 컨트롤러가 상기 설정한 유효 경로별 최소 비용 경로의 정보를 오픈플로우 스위치 및 오픈 브이스위치(OVS)에 오픈플로우 프로토콜을 통해 플로우 테이블로 저장한다(S440).
한편, VPN 연결을 통해 보안 시스템으로 테넌트의 패킷이 전달되면, 오픈플로우 스위치 및 오픈 브이스위치가 플로우 테이블에 기초하여 테넌트의 패킷을 최소 비용 경로에 따라 전달한다(S450).
구체적으로, 오픈 브이스위치(130)가 VPN 게이트웨이(120)를 통해 테넌트의 패킷을 전달받으면, 상기 패킷으로부터 목적지 가상 머신을 확인하고, 플로우 테이블에 기초하여 VPN 게이트웨이로부터 패킷의 요구에 따른 목적지 가상 머신까지의 최소 비용 경로를 검출하고, 테넌트의 패킷을 상기 검출한 최소 비용 경로에 따라 목적지 가상 머신으로 스위칭한다. 이때, 목적지 가상 머신까지의 최소 비용 경로가 둘 이상의 하이퍼바이저를 경유할 경우, 하이퍼바이저 간에는 오픈플로우 스위치를 통해 해당 패킷이 스위칭되며, 하나의 하이퍼바이저 상에 구현된 가상 머신으로는 오픈 브이스위치를 통해 해당 패킷이 스위칭된다.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 서비스로서의 보안 시스템
110: 컨트롤러
120: VPN 게이트웨이
130: 오픈 브이스위치
140: 보안 서비스를 제공하는 가상 머신
110: 컨트롤러
120: VPN 게이트웨이
130: 오픈 브이스위치
140: 보안 서비스를 제공하는 가상 머신
Claims (7)
- 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템에서의 오픈플로우 라우팅 방법에 있어서,
각각 보안 서비스를 제공하는 복수의 가상 머신과 VPN 게이트웨이 사이의 유효 경로들 및 상기 가상 머신 간의 유효 경로들을 컨트롤러가 검출하는 단계;
상기 컨트롤러가 상기 검출한 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하는 단계;
상기 컨트롤러가 상기 메트릭 가중치에 기초하여 상기 유효 경로들에 대해 최소 비용 경로를 설정하는 단계; 및
상기 컨트롤러가 오픈플로우 스위치(OpenFlow Switch) 및 오픈 브이스위치(Open vSwitch, OVS)에 오픈플로우 프로토콜을 통해 상기 설정한 최소 비용 경로를 플로우 테이블로 저장하는 단계를 포함하되,
상기 VPN 게이트웨이를 통해 입력된 테넌트의 패킷은,
상기 오픈플로우 스위치 및 오픈 브이스위치 중 적어도 하나를 통해 상기 플로우 테이블에 기초하여 목적지 가상 머신까지 최소 비용 경로로 스위칭되며,
상기 프로세싱 비용은 상기 유효 경로별 목적지 가상 머신의 데이터 입력 시간 및 출력 시간에 따른 프로세싱 지연 값이고,
상기 링크 비용은 상기 유효 경로별 소스 가상 머신으로부터 목적지 가상 머신까지의 거리 값인 오픈플로우 라우팅 방법. - 삭제
- 제 1 항에 있어서,
상기 플로우 테이블로 저장하는 단계 이후에,
상기 오픈 브이스위치가 상기 VPN 게이트웨이를 통해 테넌트의 패킷을 전달받는 단계;
상기 오픈 브이스위치가 상기 패킷으로부터 목적지 가상 머신을 확인하는 단계;
상기 오픈 브이스위치가 상기 플로우 테이블에 기초하여 상기 VPN 게이트웨이로부터 상기 목적지 가상 머신까지의 최소 비용 경로를 검출하는 단계; 및
상기 오픈 브이스위치가 상기 테넌트의 패킷을 상기 검출한 최소 비용 경로에 따라 상기 목적지 가상 머신으로 스위칭하는 단계를 포함하되,
상기 테넌트의 패킷은 상기 최소 비용 경로에 따라 다른 오픈 브이스위치 및 오픈플로우 스위치 중 적어도 하나를 통해 스위칭되는 오픈플로우 라우팅 방법. - 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템에서의 오픈플로우(OpenFlow) 라우팅 장치에 있어서,
테넌트의 패킷을 수신하는 VPN 게이트웨이;
각각 보안 서비스를 제공하는 복수의 가상 머신과 상기 VPN 게이트웨이 사이의 유효 경로들 및 상기 가상 머신 간의 유효 경로들을 검출하고, 상기 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하고, 상기 메트릭 가중치에 기초하여 상기 유효 경로들에 대한 최소 비용 경로를 설정하여 오픈플로우 프로토콜을 통해 저장하는 컨트롤러; 및
상기 컨트롤러로부터 설정된 유효 경로들의 최소 비용 경로의 정보를 플로우 테이블로 저장하고, 상기 플로우 테이블에 기초하여 테넌트의 패킷을 최소 비용 경로에 따라 전달하는 오픈플로우 스위치(OpenFlow Switch) 및 오픈 브이스위치(Open vSwitch, OVS)를 포함하고,
상기 프로세싱 비용은 상기 유효 경로별 목적지 가상 머신의 데이터 입력 시간 및 출력 시간에 따른 프로세싱 지연 값이고,
상기 링크 비용은 상기 유효 경로별 소스 가상 머신으로부터 목적지 가상 머신 까지의 거리 값인 오픈플로우 라우팅 장치. - 삭제
- 제 4 항에 있어서,
상기 오픈 브이스위치는,
상기 VPN 게이트웨이를 통해 테넌트의 패킷을 전달받으면 상기 패킷으로부터 목적지 가상 머신을 확인하고, 상기 플로우 테이블에 기초하여 상기 VPN 게이트웨이로부터 상기 목적지 가상머신까지의 최소 비용 경로를 검출하여, 상기 테넌트의 패킷을 상기 검출한 최소 비용 경로에 따라 상기 목적지 가상 머신으로 스위칭하되,
상기 테넌트의 패킷은,
상기 최소 비용 경로에 따라 다른 오픈 브이스위치 및 상기 오픈플로우 스위치 중 적어도 하나를 통해 상기 목적지 가상머신까지 스위칭되는 오픈플로우 라우팅 장치. - 제 4 항에 있어서,
상기 컨트롤러는,
상기 유효 경로별 메트릭 가중치 중 가장 작은 값을 선택하여 상기 최소 비용 경로를 설정하는 오픈플로우 라우팅 장치.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20140062067 | 2014-05-23 | ||
KR1020140062067 | 2014-05-23 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150135041A KR20150135041A (ko) | 2015-12-02 |
KR101586474B1 true KR101586474B1 (ko) | 2016-01-18 |
Family
ID=54883381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140165634A KR101586474B1 (ko) | 2014-05-23 | 2014-11-25 | 오픈플로우 라우팅 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101586474B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101720710B1 (ko) | 2016-02-19 | 2017-03-28 | 부산대학교 산학협력단 | 무선 메쉬 네트워크에서 sdn 기반 정보 캐시 및 캐시 대상 라우터 선택 방법 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109257198A (zh) * | 2017-07-13 | 2019-01-22 | 中国电信股份有限公司 | Sdn控制器的适配器、管理系统和网络资源操作方法 |
CN110324245B (zh) * | 2018-03-31 | 2021-03-23 | 华为技术有限公司 | 一种基于集成流表转发报文的方法及装置 |
CN115486046B (zh) * | 2020-05-14 | 2024-06-11 | 深圳市欢太科技有限公司 | 基于开放虚拟软交换机ovs的数据包处理方法及设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012160981A (ja) | 2011-02-02 | 2012-08-23 | Nec Corp | 管理サーバ装置、仮想マシン間ネットワーク構成システム及びそれらに用いるネットワーク構成方法 |
-
2014
- 2014-11-25 KR KR1020140165634A patent/KR101586474B1/ko active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012160981A (ja) | 2011-02-02 | 2012-08-23 | Nec Corp | 管理サーバ装置、仮想マシン間ネットワーク構成システム及びそれらに用いるネットワーク構成方法 |
Non-Patent Citations (3)
Title |
---|
Azodolmolky, Siamak, Philipp Wieder, and Ramin Yahyapour. "Cloud computing networking: challenges and opportunities for innovations." IEEE Communications Magazine, Vol. 51, No. 7, pp. 54-62. (2013) |
Xiao, Li, et al. "Advertising interdomain QoS routing information," IEEE Journal on Selected Areas in Communications, Vol. 22, No. 10, pp. 1949-1964. (2004) |
유재형, 김우성, 윤찬현, "SDN/OpenFlow 기술 동향 및 전망,"KNOM Review, Vol. 15, No. 2, pp. 1-24. (2012.12) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101720710B1 (ko) | 2016-02-19 | 2017-03-28 | 부산대학교 산학협력단 | 무선 메쉬 네트워크에서 sdn 기반 정보 캐시 및 캐시 대상 라우터 선택 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20150135041A (ko) | 2015-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3824602B1 (en) | Multi-cloud connectivity using srv6 and bgp | |
US10834004B2 (en) | Path determination method and system for delay-optimized service function chaining | |
US10742556B2 (en) | Tactical traffic engineering based on segment routing policies | |
Massoulie | Stability of distributed congestion control with heterogeneous feedback delays | |
CN112217637B (zh) | 一种基于集中管理与控制网络的量子密钥中继方法和装置 | |
RU2692042C1 (ru) | Способ определения маршрута и соответствующие устройство и система | |
US10374972B2 (en) | Virtual flow network in a cloud environment | |
KR101703088B1 (ko) | Sdn 기반의 통합 라우팅 방법 및 그 시스템 | |
US9736263B2 (en) | Temporal caching for ICN | |
US20200195711A1 (en) | Model-based load balancing for network data plane | |
US10630508B2 (en) | Dynamic customer VLAN identifiers in a telecommunications network | |
CN106685903B (zh) | 基于sdn的数据传输方法、sdn控制器和sdn系统 | |
CN104584484A (zh) | 提供基于策略的数据中心网络自动化的系统和方法 | |
Pietrabissa et al. | Lyapunov-based design of a distributed wardrop load-balancing algorithm with application to software-defined networking | |
CN105024844A (zh) | 一种计算跨域路由的方法、服务器以及系统 | |
CN104335537A (zh) | 用于层2多播多路径传送的系统和方法 | |
US20180077048A1 (en) | Controller, control method and program | |
WO2019061169A1 (zh) | 一种基于混合资源的路由选路方法、装置和服务器 | |
Shang et al. | Service-aware adaptive link load balancing mechanism for Software-Defined Networking | |
KR101586474B1 (ko) | 오픈플로우 라우팅 장치 및 방법 | |
US10630579B1 (en) | Ensuring separate paths for network traffic between source devices and a destination device | |
KR101841026B1 (ko) | 최적 경로 설정을 위한 서비스 기능 체이닝 네트워크 시스템 | |
JP6265427B2 (ja) | ネットワーク機能の負荷分散システム及び方法 | |
JP2013187656A (ja) | 分散型クラウドインフラのための網制御システム及び経路管理サーバ及び網制御方法及びプログラム | |
CN109361602B (zh) | 一种基于OpenStack云平台转发报文的方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20190107 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20200113 Year of fee payment: 5 |