Nothing Special   »   [go: up one dir, main page]

KR101996588B1 - Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법 - Google Patents

Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법 Download PDF

Info

Publication number
KR101996588B1
KR101996588B1 KR1020160058591A KR20160058591A KR101996588B1 KR 101996588 B1 KR101996588 B1 KR 101996588B1 KR 1020160058591 A KR1020160058591 A KR 1020160058591A KR 20160058591 A KR20160058591 A KR 20160058591A KR 101996588 B1 KR101996588 B1 KR 101996588B1
Authority
KR
South Korea
Prior art keywords
address
proxy
network
request signal
communication network
Prior art date
Application number
KR1020160058591A
Other languages
English (en)
Other versions
KR20170127852A (ko
Inventor
박용률
이규철
김윤호
채선규
Original Assignee
(주)이센티아
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이센티아 filed Critical (주)이센티아
Priority to KR1020160058591A priority Critical patent/KR101996588B1/ko
Publication of KR20170127852A publication Critical patent/KR20170127852A/ko
Application granted granted Critical
Publication of KR101996588B1 publication Critical patent/KR101996588B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/59Network arrangements, protocols or services for addressing or naming using proxies for addressing
    • H04L61/6013
    • H04L61/6022
    • H04L61/6059
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 이러한 애플리케이션의 수정 및 네트워크 설정 변경 등의 별도의 작업을 수행하지 않고서도 하나의 서브넷에서 망 분리를 구현하는 방법을 제시하기 위한 것이며, 동시에 이에 따라 분리된 망에서 L2 및 L3 계층에서의 설정 변경 없이 분리된 서브넷을 연계하여 ARP를 지원할 수 있도록 함으로써 분리된 서브넷에 연결된 호스트 간에 통신이 가능하게 하는 것이다.
본 발명은 ARP 프로토콜의 주소결정 프로세스 (Address Resolution Process)에 관여함으로써 외부망과 내부망이 물리적으로는 서로 분리되어 있지만 시스템적으로는 마치 하나의 연결된 망처럼 보이게 하는 완벽한 투명성(transparency)을 제공한다.
본 발명의 분리망 연계장치는 비호환 프로토콜로 연결된 외부망 연계서버와 내부망 연계서버를 포함한다. 외부망 연계서버와 내부망 연계서버 각각은 출발지 주소와 도착지 주소를 변경하는 ARP 주소결정 프로세스 관리부와 애플리케이션 계층 간의 ARP 세션을 구축,관리하는 세션 관리부를 포함한다.
본 발명은 분리된 여러 개의 망에서 사용자가 ARP 프로토콜 기반의 서비스를 각각의 망에서 마치 하나로 연결된 망처럼 이용할 수 있도록 투명하게 지원함으로써 관련 애플리케이션 서비스 제공 및 네트워크 관리 업무 수행에서 중복된 작업 및 사용의 불편함과 비효율성을 제거하는 기술을 제공한다.
또한, 본 발명은 망분리된 특정 서브넷을 구성할 때, 가상 IP주소 및 MAC주소를 사용하여 다른 네트워크 세그먼트에서 특정 세그먼트의 존재를 알 수 없도록 서브넷 은닉 (Subnet Stealth) 기능을 구현할 수 있도록 함으로써, 분리된 특정 서브넷의 사용자에게 더욱 높은 수준의 보안성 및 은닉성을 제공할 수 있도록 지원하는 망 연계 방법에 관한 것이다. 본 발명에 의한 이러한 망 연계 방법은 IPv4 주소 및 ARP프로토콜을 사용하는 네트워크뿐만 아니라, IPv6 주소 및 이웃 찾기 프로토콜 (NDP: Neighbor Discovery Protocol)을 사용하는 네트워크에서도 동일한 방법으로 적용될 수 있다.

Description

ARP 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법{NETWORK BRIDGE APPARATUS AND CONTROL METHOD THEREOF TO SUPPORT ARP PROTOCOLS}
기존의 망 분리 환경에서는 분리된 서브넷 간의 망연계를 위해 특정 IP주소/포트를 사용하는 서비스를 망분리된 다른 서브넷의 특정 IP주소/포트의 서비스로 연결해 주는 방식으로 또는 게이트웨이(Gateway)로 동작하며 분리된 두 망 사이에서 주소를 변환해주는 방식으로 진행되었다. 이에 따라, 별도의 네트워크 설정 또는 애플리케이션의 수정 및 네트워크 설정 변경 등과 같은 작업을 필요로 하였다.
본 발명은 이러한 애플리케이션의 수정 및 네트워크 설정 변경 등의 별도의 작업을 수행하지 않고서도 하나의 서브넷 내에서 비교적 적은 비용과 노력으로 손쉽게 망 분리를 구현하는 방법을 제시하기 위한 것이며, 동시에 이에 따라 분리된 망에서 L2 및 L3 계층에서의 네트워크 설정의 변경 없이 분리된 네트워크 세그먼트를 연계하기 위해 ARP 프로토콜을 지원할 수 있도록 함으로써 L2 계층에서 망분리된 네트워크 세그먼트간 통신이 가능하게 하는 것이다.
하나의 서브넷 내에서 망을 분리하면, 데이터 링크 계층(L2)에서 동일한 서브넷의 다른 네트워크 세그먼트에 연결된 호스트를 동일한 망에 존재하는 것으로 인식하게 되어서 라우터를 거치지 않고 직접 통신을 하게 된다. 이러한 직접 통신을 가능하게 하기 위해서는 각 호스트들이 분리된 다른 네트워크 세그먼트에 연결된 호스트로 보내는 모든 패킷들이 분리망 연계장치(Separated Network Bridge)에 의해 라우팅되도록 해야한다. 이를 위해 본 발명은 서브넷의 주소결정프로세스 (Address Resolution Process)에 관여함으로써 소정의 하드웨어 주소를 전달할 수 있도록 하는 방법을 고안하였다.
좀 더 구체적으로 본 발명은 현재 사용 중인 네트워크 세그먼트 내에서 별도의 망분리를 위한 네트워크 설정을 구성하지 않은 상태에서도 본 발명에 의한 분리망 연계장치(Separated Network Bridge)를 적용하여, 주소결정 프로세스 (Address Resolution Process) 관리부에 의한 ARP 요청/응답 패킷의 처리를 통해 물리적으로 분리된 망 사이에 L2 및 L3 계층에서 별도의 라우팅 테이블 (Routing Table)의 설정없이 물리적 주소 매핑(Physical Address Mapping)이 이루어질 수 있도록 함으로써, 하나의 서브넷 안에서 망분리를 간편하게 구현할 수 있도록 한다.
또한, 본 발명은 상기와 같이 망분리된 서브넷 사이에서 서브넷을 연계하여 ARP를 지원할 수 있도록 하는 방법을 제공한다. 이는 시스템적으로는 망분리된 서브넷 환경에서도 분리된 네트워크 세그먼트간 라우팅을 원활하게 함으로써 TCP/IP 기반의 애플리케이션 서비스를 투명하게 또는 투명하지 않은 방식으로 지원할 수 있도록 하고, 망분리된 네트워크 환경에서 보안성을 유지하면서 동시에 관련 네트워크 관리 작업의 편리성과 효율성을 망분리 이전과 동일하게 유지시킬 수 있도록 한다.
또한, 본 발명은 특정 서브넷 내에서 분리된 네트워크 세그먼트를 구성할 때, 가상 IP주소 및 가상 MAC (Media Access Control)주소를 사용하여 다른 서브넷 또는 동일한 서브넷의 다른 세그먼트에서 그 분리된 세그먼트의 분리여부를 알 수 없도록 하는 서브넷 은닉 (Subnet Stealth) 기능을 구현할 수 있도록 함으로써, 분리된 특정 서브넷의 사용자에게 더욱 높은 수준의 보안성을 제공할 수 있도록 지원하는 망 연계 방법에 관한 것이다.
최근 사이버 공격이 지능화되고 중요한 정보의 유출로 인한 피해가 증가하면서 망 분리 기술이 주목을 받고 있다. 국가 기관과 금융 기관을 중심으로 망 분리 기술이 도입되었고, 일정 규모 이상의 개인정보를 취급하는 기관 및 정보통신 서비스 제공자는 업무망과 인터넷망을 분리하도록 의무화되어 있다. 여기서 망 분리란 『외부 인터넷망을 통한 불법적인 접근과 내부 정보 유출을 차단하기 위해 내부 업무망과 외부 인터넷망을 분리하는 망 차단 조치』를 말한다.
특히 최근 망 분리된 네트워크를 도입하여 사용하는 국가 기관과 금융 기관의 종사자들 사이에서 망 분리된 네트워크 환경하에서 잦은 고장 및 처리속도 지연 등으로 인해 업무 수행의 불편함과 비효율성을 호소하는 사례가 많이 증가하고 있으며, 심지어는 업무상 편의를 위해 분리된 망을 임의로 다시 연결하여 사용함으로써 망분리 본래의 취지를 무색하게 하고 보안상 위험에 노출되는 사례가 빈번히 발생하고 있다.
이와 같은 망 분리 네트워크의 도입으로 인해 초래된 업무 수행상 불편함과 비효율성 등의 문제점을 해결하는 것을 목표로 삼고 있는 본 발명의 배경이 되는 기술에는 Proxy ARP를 사용한 분리된 망간의 라우팅 방법과 가상 하드웨어 주소를 사용한 분리된 망간의 라우팅 방법, 가상 IP 주소를 사용한 분리된 망간의 라우팅 방법 및 가상의 MAC주소를 설정할 수 있는 시스템의 경우 상기 분리망 연계장치(Separated Network Bridge)의 MAC주소 대신 가상의 MAC주소 또는 다른 세그먼트의 실제 MAC주소를 설정하는 방법 등이 포함된다.
또한, 본 발명의 배경이 되는 분리된 망에서 데이터를 연계하는 기술을 이용한 종래 특허로는 "망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템" (공개번호 10-2013-0109561)의 TCP 스트리밍 연계 방법 등이 있다.
본 발명이 해결하고자 하는 과제는 다음과 같이 나누어서 볼 수 있다.
1. 특정 서브넷(subnet) 내에서의 망분리를 구현하는 과제
2. 이에 따라 초래되는 ARP 통신 문제를 해결하는 과제
3. 본 발명에 의한 분리망 연계장치(Separated Network Bridge) 장애시 대책
참고로 본 발명이 해결하고자 하는 과제는 일반적인 데이터의 전송이 아니라 L2 및 L3 계층의 주소 결정 (Address Resolution)의 과제이다. 분리된 망이기 때문에 데이터를 직접 통신하는 것은 불가능하므로 직접 통신하지 않고 분리망 연계장치를 거쳐서 통신하게 된다. 하지만, 본 발명에 따라 네트워크 세그먼트간 망분리가 구현되면, 각 서버 차원에서 볼 때 L2 계층에서 직접 통신하는 것처럼 보이도록 하는 네트워크 투명성(Network Transparency)을 제공할 수 있도록 한다.
또한, 본 발명의 또 다른 과제는 현재 사용 중인 네트워크 내에서 별도의 망분리 솔루션을 도입하여 구성하지 않은 상태에서도, 특정한 보안 목적을 위해 본 발명에 의한 내부 및 외부의 분리망 연계장치만 설치하면 망분리된 특정 네트워크 세그먼트를 간단히 구성하는 동시에 이렇게 구현된 특정 네트워크 세그먼트의 존재가 외부에 노출되지 않는 서브넷 은닉(Subnet Stealth) 기능을 제공하는 것이다.
상기 과제를 해결하기 위해서, 본 발명은 다음과 같은 해결 방안을 제시한다.
1. 하나의 서브넷 내에서의 망분리 방법
- 망간이 아닌 망내에서의 망분리 방법 (Subnet separation)
- 네트워크 관련 설정이 필요 없는 망분리 방법 (Zero configuration)
- 망분리된 네트워크 세그먼트의 은닉 기능 (Subnet stealth)
2. Proxy ARP를 사용한 분리된 망간의 라우팅 방법
- 분리망 연계장치의 MAC주소를 사용하는 라우팅 방법 (일반적인 ARP Proxy)
- 가상 하드웨어 주소를 사용한 분리된 망간의 라우팅 방법
- 가상 IP 주소를 사용한 분리된 망간의 라우팅 방법
여기서 가상의 MAC주소를 설정할 수 있는 시스템에서는 Proxy ARP에서 분리망 연계장치의 MAC주소 대신 가상의 MAC주소를 주는 방법으로서 ARP 요청에 대한 응답을 할 수 있다. 상기 가상 IP주소 및 MAC주소로 분리된 네트워크 세그먼트에 속한 상대편 IP주소를 분리망 연계장치가 가지는 방법으로서 이 경우에는 ARP응답이 분리망 연계장치에서 수행될 수 있다.
3. 상기 2 에서 실제 MAC주소를 가지고 있는 경우에 분리망 연계장치의 장애 시, 분리된 네트워크를 직접 연결함으로써 네트워크 서비스를 유지하는 것이 가능하도록 한다.
4. 상기 2 에서 정적 또는 동적 IP주소 및 MAC주소를 사용하거나 또는 두 가지 혼합해서 사용할 수 있도록 한다. 정적 테이블 사용 시에는 다른 네트워크 세그먼트에 어떤 IP주소가 있는지 확인할 필요가 없으며, 또한, 호스트를 잘못된 세그먼트에 배치했을 경우 확인이 가능하다. 즉, IP주소별 세그먼트 확인이 필요없고 호스트의 MAC주소를 사용할 경우 다른 세그먼트에서의 ARP 주소결정 프로세스가 필요하지 않다.
5. 본 발명에 따른 분리망 연계장치가 자체 IP주소를 가질 필요가 없으므로 분리망 연계장치의 은닉 기능을 제공한다.
6. 본 발명은 이러한 애플리케이션의 수정 및 네트워크 설정 변경 등의 불편한 작업을 수행하지 않고서도 하나의 서브넷에서 망 분리를 구현하는 방법을 제시하며, 이에 따라 분리된 망에서 L2 및 L3에서의 설정 변경 없이 분리된 네트워크 세그먼트를 연계하여 ARP를 지원할 수 있도록 함으로써 분리된 네트워크 세그먼트에 연결된 호스트 간 통신할 수 있도록 한다.
본 발명은 물리적으로 분리된 망에서의 높은 보안성을 확보하면서 동시에 시스템적으로는 물리적으로 분리된 여러 개의 망이 마치 하나의 망에서 서비스를 이용하는 것처럼 ARP 프로토콜을 지원함으로써, 사용자의 업무 수행상 편리성 및 관리의 효율성을 유지할 수 있도록 할 뿐만 아니라, 그러한 네트워크를 구축하고 관리하는 비용이 적게 들도록 하기 위한 망 연계 방법과 컴퓨터 네트워크 시스템을 구축하는 기술을 제공하는 것을 목적으로 한다.
본 발명의 또 다른 목적은 외부의 공격을 원천적으로 차단하고 내부 데이터의 외부 유출을 막을 수 있으며, 물리적으로 분리된 여러 개의 망이 시스템적으로 서로 연결된 하나의 망처럼 보이게 하는 망간 투명성(Network Transparency)을 제공함으로써 서브넷상에서 망분리를 구현하거나 ARP 프로토콜을 사용하는 애플리케이션 서비스의 개발 및 적용시 이를 효율적으로 구현 가능토록 하는 망 연계 기술 (Network Bridging Technology) 을 제공한다.
또한, 본 발명의 또 다른 목적은 현재 사용 중인 서브네트워크 내에서 별도의 망분리 솔루션을 도입하여 구성하지 않은 상태에서도, 특정한 보안 목적을 위해 내부 및 외부의 분리망 연계장치만 설치함으로써, 망분리된 서브네트워크를 간단히 구성할 수 있도록 하는 서브넷 은닉 기술 (Subnet Stealth Technology )을 제공하는 것이다.
본 발명의 효과는 다음과 같이 나누어서 볼 수 있다.
1. 애플리케이션의 수정 및 네트워크 설정 변경 등의 불편한 작업을 수행하지 않고 하나의 서브넷 내에서 망 분리의 필요에 따라 망분리된 네트워크 세그먼트를 용이하게 구축 및 관리할 수 있으며, 또한 특정한 보안 요건에 따라 망분리된 네트워크 세그먼트를 은닉시킬 수 있다.
2. Proxy ARP를 사용한 분리된 망간의 라우팅 방법을 구현함으로써, 별도의 네트워크 설정이나 애플리케이션에 대해 수정 작업이 필요 없고, 기존의 망을 그대로 사용할 수 있으므로 도입 비용이 적고, 기존의 업무 환경을 유지하고 서버를 통합 관리하기 때문에 효율성이 높고 관리도 쉽다.
3. 또한, 망분리된 특정 네트워크 세그먼트를 숨길 수도 있기 때문에 그 세그먼트에 연결된 서버 및 클라이언트를 외부에 노출하지 않고서도 서비스를 제공/이용할 수 있도록 함으로써 보안성 및 은닉성을 제고할 수 있다.
4. 본 발명에 따라 동일한 서브넷 내에서 망분리를 구현하면, ARP 프로토콜을 사용하는 서비스에 대하여 내부망과 외부망을 물리적으로 분리하면서 필요에 따라 완벽한 투명성을 제공하기 때문에, 기존에 운영 중이던 서비스 또는 애플리케이션에 대해 수정 작업이 필요 없고, 기존의 망을 그대로 사용할 수 있으므로 도입 비용이 적고, 기존의 업무 환경을 유지하고 서버를 통합 관리하기 때문에 효율성이 높고 관리도 쉽다.
5. 본 발명에서는 비호환 프로토콜을 사용하고 완벽한 투명성을 제공하기 때문에 외부로부터의 공격을 원천적으로 차단하고 전송되는 데이터가 외부에 유출되지 않도록 보호할 수 있으며 독립적인 프로세스로서 기존 업무에는 영향을 주지 않으며, 분리망 연계장치(Separated Network Bridge)의 은닉기능을 제공한다.
도 1은 본 발명에 따른 동일한 서브넷에서 분리된 네트워크 세그먼트 간에 Proxy ARP를 사용하여 라우팅할 때 다른 네트워크 세그먼트에 있는 최종 목적지 호스트 B의 MAC주소가 Host ARP 테이블에는 등록되지 않았으나 동일한 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy A에 등록되어 있는 경우, 그 라우팅 방법을 보여주는 순서도이다.
도 2는 본 발명에 따른 동일한 서브넷에서 분리된 네트워크 세그먼트 간에 Proxy ARP를 사용하여 라우팅할 때 최종 목적지 호스트 B의 MAC주소가 Host ARP 테이블 및 동일한 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy A에는 등록되지 않았으나 분리된 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy B에 등록되어 있는 경우, 그 라우팅 방법을 보여주는 순서도이다.
도 3은 본 발명에 따른 동일한 서브넷에서 분리된 네트워크 세그먼트 간에 Proxy ARP를 사용하여 라우팅할 때 최종 목적지 호스트 B의 MAC주소가 Host ARP 테이블 및 동일한 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy 에는 물론 분리된 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy B에도 등록되지 않은 경우, 그 라우팅 방법을 보여주는 순서도이다.
도 4는 상기 3가지의 경우에 대해 나타낸 전체 흐름도(Flow Chart)이다.
ARP 프로토콜은 TCP/IP 스택에서 IP 주소와 MAC 주소를 대응시키는 프로토콜이다. TCP/IP 스택에서 IP 주소의 역할은 경로 설정에 관여하고 MAC주소의 역할은 패킷 전달에 사용되는 주소이다. 패킷을 전달하기 위해서는 ARP 패킷을 네트워크로 전송하여 IP 주소에 대응되는 MAC 주소를 알아내야 한다. Proxy ARP는 특정한 네트워크 상황하에서 ARP 요청에 대해 응답을 받을 수 없는 경우가 있는데 이러한 문제점을 극복하기 위한 기능이다.
참고로 ARP 프로토콜의 일반적인 동작과정은 IP 패킷이 전송될 때 아래와 같은 과정을 거친다.
① 라우팅 테이블을 검색하여 다음 홉(hop) 경로의 IP주소를 결정한다.
② 다음 홉(hop)의 MAC 주소를 ARP 테이블에서 검색하여
가. 존재하지 않는 엔트리일 경우 ③으로 이동
나. 이미 존재하는 엔트리일 경우 ④로 이동
③ ARP 요청패킷을 브로드 캐스팅 주소(FF:FF:FF:FF:FF:FF)로 전송하고 응답을 기다린다.
가. 응답이 오면 ARP 테이블에 IP주소에 대응되는 MAC주소를 추가한다.
나. 응답이 오지 않을 경우 무시한다.
④ 전송할 패킷의 MAC 값을 채워 전송한다.
상기와 같은 일반적인 동작과정을 전제로 본 발명에 따른 구체적인 실시예를 도면을 참조로 설명한다. 이하, 본 실시예를 설명함에 있어서 주소 결정 요청 신호는 아이피 주소에 대응되는 하드웨어 주소(예를 들어 mac 주소)를 요청하는 신호이고, 주소 결정 응답 신호는 요청받은 아이피 주소에 대응되는 하드웨어 주소를 알리는 신호를 의미한다. 예를 들어 IPv4(nternet Protocol version 4)에 따른 주소 결정 요청 신호 및 주소 결정 응답 신호는 ARP(Address Resolution Protocol)에 따른 요청 신호 및 응답 신호이고, IPv6(nternet Protocol version 6)에 따른 주소 결정 요청 신호 및 응답 신호는 NDP(Neighbor Discovery Protocol)에 따른 요청 신호 및 응답 신호일 수 있다. 본 발명의 분리망 연계장치가 적용되는 시스템(100)은 내부망(10), 분리망 연계장치(20) 및 외부망(30)으로 구성되어 있다.
도 5에서 보는 것처럼 외부망(10)과 내부망(30)은 물리적으로 분리되어 있다. 이러한 물리적 망 분리를 위해 분리망 연계장치(20)는 외부망 연계서버(Proxy A)(22)와 내부망 연계서버(Proxy B)(24)가 호환 또는 비호환 프로토콜 케이블(25)로 연결되어 있다. 또한, 본 발명에 따른 분리망 연계장치(20)는 외부 망과 내부망이 물리적으로 분리되어 있지만 시스템적으로는 하나의 연결된 망처럼 보이도록 하는 완전한 투명성 또는 은닉성을 제공한다.
외부망(10)과 연결된 외부망 연계서버(22) 및 내부망(30)과 연결된 내부망 연계서버(24)는 표준 네트워크와 호환 또는 호환되지 않는 망 연계 미들웨어와 초고속 전용 케이블(25)을 통해 데이터를 주고받는다.
도 5는 본 발명에 따른 분리망 연계장치의 블록 구성도이다. 이 구성도는 OSI(Open Systems Interconnection) 참조모델을 기준으로 한 것이다.
도 5에 나타낸 것처럼, 분리망 연계장치(20)의 구성을 하드웨어(110a, 110b) 관점에서 설명하면, 외부망 연계서버(22)와 내부망 연계서버(24) 및 이 서버들을 연결하는 호환 또는 비호환 프로토콜 케이블(25)로 분리망 연계장치(20)가 구성되어 있다. 한편, 분리망 연계장치(20)의 구성을 소프트웨어(120a, 120b) 관점에서 설명하면, 각각의 연계서버(22, 24)는 주소결정 프로세스 관리부(25a,25b), 패킷 조작부(24a, 24b), 세션 관리부(23a, 23b)를 포함하며, 각각의 연계서버(22, 24)의 애플리케이션 계층(22a, 22b) 간의 데이터 전달을 담당하는 데이터 전송부(130)를 포함하도록 분리망 연계장치(20)가 구성되어 있다.
패킷 조작부(24a, 24b)는 패킷 계층에 있는 출발지 주소와 목적지 주소를 변경하고, 세션 관리부(23a, 23b)는 애플리케이션 계층(22a, 22b) 간의 세션 및 내부망/외부망 서버(10,30의 서버)와 외부망/내부망 연계서버(22, 24)간의 세션을 관리하고 구축한다.
데이터 전송부(130)는 호환 또는 비호환 프로토콜을 사용하여 데이터를 외부망 연계서버(22)에서 내부망 연계서버(24)로 또는 내부망 연계서버(24)에서 외부망 연계서버(22)로 보낸다. 여기서 비호환 프로토콜은 TCP/IP 기반의 네트워크 통신에서 사용하는 표준 프로토콜(TCP, IP, 이더넷 등) 이외의 통신 프로토콜을 말한다.
본 발명의 일실시예에 따르면, 이 비호환 프로토콜은 RDMA (Remote Direct Memory Access) 인터페이스를 사용하여 애플리케이션 계층에서 데이터를 직접 전송함으로써 빠른 응답 속도를 제공한다. 또한, 세션 정보를 통해 세션 ID를 할당하여 이를 통해 연결을 관리한다. 세션 정보에는 프로토콜, 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트가 포함되며, ARP 타임아웃(timeout)값이 포함된다.
1. 동일한 서브넷에서 분리된 네트워크 세그먼트 간에 Proxy ARP를 사용한 라우팅 방법
Case 1: 최종 목적지 호스트 B(31)의 MAC주소가 최초 출발지 호스트(11)의 Host ARP 테이블에는 등록되지 않았으나 동일한 네트워크 세그먼트에 있는 분리망 연계장치(Proxy A)에 등록되어 있는 경우 (도 1)
이 경우 본 발명의 일실시예에 따르면, 호스트 A(11)에서 IP라우팅 테이블을 검색하여 Next Hop IP주소가 호스트 B(31)의 IP주소임을 확인한 후(1-①), 호스트 A(11)의 ARP 테이블을 검색하여 상기 IP주소에 대응되는 MAC주소의 엔트리가 등록되어 있는지 찾아본다(1-②). 이 경우는 MAC주소의 엔트리가 호스트 A(11)의 ARP 테이블에 없는 경우이므로 호스트 A(11)는 ARP 요청 패킷을 동일 네트워크 세그먼트 상에서 브로드캐스팅한다(1-③). 동일한 네크워크 세그먼트에 존재하는 분리망 연계장치(20)의 연계서버 Proxy A(22)가 브로드캐스트된 ARP 요청패킷을 수신한 즉시(1-④), ARP 요청 타임아웃 (ARP REQUEST TIMEOUT)을 고려하여 ARP 요청 패킷을 데이터 전송부(130)를 통해 호환 또는 비호환의 프로토콜에 의해 상대편 네크워크 세그먼트에 존재하는 분리망 연계장치(20)의 연계서버 Proxy B(24)로 ARP 요청패킷을 전달한다(1-⑤). 그런 다음, ARP 요청패킷을 요청한 호스트 A(11)의 해당 네트워크 세그먼트, 최초 출발지 호스트 A(11)의 MAC주소, 현재시간 등의 정보 등을 Proxy A(22)의 ARP 테이블에 등록 또는 업데이트하고(1-⑥), Proxy A(22)의 ARP 테이블에서 호스트 B(31)의 MAC주소를 검색한다(1-⑦). 이 경우에는 최종 목적지 호스트 B(31)의 MAC주소가 Proxy A(22)의 ARP 테이블에 등록되어 있으므로 Proxy A(22)의 주소결정 프로세스 관리부(25a)는 해당 네트워크 세그먼트, 최종 목적지 호스트 B(31)의 MAC주소, 현재시간 등의 정보로 구성된 ARP 응답 패킷을 호스트 A(11)로 응답한다(1-⑧).
출발지 호스트 A(11)는 호스트 B(31)로부터의 응답을 수신한 후(1-⑨), ARP 응답패킷의 정보에 따라 호스트 B(31)의 MAC주소, 현재시간을 호스트 A(11)의 Proxy ARP 테이블에 등록하고(1-⑩), 이더넷을 통해 IP패킷을 호스트 A(11)의 MAC주소로부터 호스트 B(31)의 주어진 MAC주소로 전송한다(1-⑪). 이러한 과정을 통해서, 출발지 호스트 A(11)로부터 목적지 호스트 B(31)로 실제 데이터 전송이 이루어지게 된다.
Case 2: 최종 목적지 호스트 B의 MAC주소가 Host ARP 테이블 및 동일한 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy 에는 등록되지 않았으나 분리된 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy B에 등록되어 있는 경우 (도 2)
이 경우 본 발명의 일실시예에 따르면, 호스트 A(11)에서 IP라우팅 테이블을 검색하여 Next Hop IP주소가 호스트 B(31)의 IP주소임을 확인한 후(2-①), 호스트 A(11)의 ARP 테이블을 검색하여 상기 IP주소에 대응되는 MAC주소의 엔트리가 등록되어 있는지 찾아본다(2-②). 이 경우는 MAC주소의 엔트리가 호스트 A(11)의 ARP 테이블에 없는 경우이므로 호스트 A(11)는 ARP 요청 패킷을 동일 네트워크 세그먼트 상에서 브로드캐스팅한다(2-③). 동일한 네크워크 세그먼트에 존재하는 분리망 연계장치(20)의 연계서버 Proxy A(22)가 브로드캐스트된 ARP 요청패킷을 수신한 즉시(2-④), ARP 요청 타임아웃 (ARP REQUEST TIMEOUT)을 고려하여 ARP 요청 패킷을 데이터 전송부(130)를 통해 호환 또는 비호환의 프로토콜에 의해 상대편 네크워크 세그먼트에 존재하는 분리망 연계장치(20)의 연계서버 Proxy B(24)로 ARP 요청패킷을 전달한다(2-⑤). 그런 다음, ARP 요청패킷을 요청한 호스트 A(11)의 해당 네트워크 세그먼트, 최초 출발지 호스트 A(11)의 MAC주소, 현재시간 등의 정보 등을 Proxy A(22)의 ARP 테이블에 등록 또는 업데이트하고(2-⑥), Proxy A(22)의 ARP 테이블에서 호스트 B(31)의 MAC주소를 검색한다(2-⑦). 이 경우에는 Proxy A(22)의 ARP 테이블에는 존재하지 않는다. 따라서 Proxy B(24)는 Proxy A(22)가 데이터 전송부(130)를 통해 보낸 ARP 요청패킷을 수신하여(2-⑧), 해당 네트워크 세그먼트(세그먼트 B)에서 ARP 요청패킷을 브로드캐스팅한다(2-⑨). 그런 다음, Proxy B(24)의 주소결정 프로세스 관리부(25b)에서 ARP 요청패킷을 요청한 호스트 A(11)의 해당 네트워크 세그먼트, 최초 출발지 호스트 A(11)의 MAC주소, 현재시간 등의 정보 등을 Proxy B(24)의 ARP 테이블에 등록 또는 업데이트하고(2-⑩), Proxy B(24)의 ARP 테이블에서 호스트 B(31)의 MAC주소를 검색한다(2-⑪). 이 경우에는 최종 목적지 호스트 B(31)의 MAC주소가 Proxy B(24)의 ARP 테이블에 등록되어 있으므로 Proxy B(24)의 주소결정 프로세스 관리부(25a)는 해당 네트워크 세그먼트, 최종 목적지 호스트 B(31)의 MAC주소, 현재시간 등의 정보로 구성된 ARP 응답 패킷을 데이터 전송부(130)를 통해 Proxy A(22)로 응답한다(2-⑫).
Proxy A(22)는 Proxy B(24)로부터의 응답을 수신한 후(2-⑬), Proxy A(22)의 주소결정 프로세스 관리부(25a)에서 ARP 응답패킷의 정보에 따라 상대편 네트워크 세그먼트, 호스트 B(31)의 MAC주소, 현재시간을 Proxy A(22)의 Proxy ARP 테이블에 등록하고(2-⑭), 출발지 호스트 A(11)로 ARP 응답 패킷을 전송한다(2-⑮).출발지 호스트 A(11)는 Proxy A(22)로부터의 응답을 수신한 후(2-(16)), 이더넷을 통해 IP패킷을 호스트 A(11)의 MAC주소로부터 수신된 호스트 B(31)의 MAC주소로 전송한다(2-(17)). 이러한 과정을 통해서, 출발지 호스트 A(11)로부터 목적지 호스트 B(31)로 실제 데이터 전송이 이루어지게 된다.
Case 3: 최종 목적지 호스트 B의 MAC주소가 Host ARP 테이블 및 동일한 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy 에는 물론 분리된 네트워크 세그먼트에 있는 분리망 연계장치의 Proxy B에도 등록되어 있지 않은 경우 (도 3)
이 경우 본 발명의 일실시예에 따르면, 호스트 A(11)에서 IP라우팅 테이블을 검색하여 Next Hop IP주소가 호스트 B(31)의 IP주소임을 확인한 후(3-①), 호스트 A(11)의 ARP 테이블을 검색하여 상기 IP주소에 대응되는 MAC주소의 엔트리가 등록되어 있는지 찾아본다(3-②). 이 경우는 MAC주소의 엔트리가 호스트 A(11)의 ARP 테이블에 없는 경우이므로 호스트 A(11)는 ARP 요청 패킷을 동일 네트워크 세그먼트 상에서 브로드캐스팅한다(3-③). 동일한 네크워크 세그먼트에 존재하는 분리망 연계장치(20)의 연계서버 Proxy A(22)가 브로드캐스트된 ARP 요청패킷을 수신한 즉시(3-④), ARP 요청 타임아웃 (ARP REQUEST TIMEOUT)을 고려하여 ARP 요청 패킷을 데이터 전송부(130)를 통해 호환 또는 비호환의 프로토콜에 의해 상대편 네크워크 세그먼트에 존재하는 분리망 연계장치(20)의 연계서버 Proxy B(24)로 ARP 요청패킷을 전달한다(3-⑤). 그런 다음, ARP 요청패킷을 요청한 호스트 A(11)의 해당 네트워크 세그먼트, 최초 출발지 호스트 A(11)의 MAC주소, 현재시간 등의 정보 등을 Proxy A(22)의 ARP 테이블에 등록 또는 업데이트하고(3-⑥), Proxy A(22)의 ARP 테이블에서 호스트 B(31)의 MAC주소를 검색한다(3-⑦). 이 경우에는 Proxy A(22)의 ARP 테이블에는 존재하지 않는다. 따라서 Proxy B(24)는 Proxy A(22)가 데이터 전송부(130)를 통해 보낸 ARP 요청패킷을 수신하여(3-⑧), 해당 네트워크 세그먼트(세그먼트 B)에서 ARP 요청패킷을 브로드캐스팅한다(3-⑨). 그런 다음, Proxy B(24)의 주소결정 프로세스 관리부(25b)에서 ARP 요청패킷을 요청한 호스트 A(11)의 해당 네트워크 세그먼트, 최초 출발지 호스트 A(11)의 MAC주소, 현재시간 등의 정보 등을 Proxy B(24)의 ARP 테이블에 등록 또는 업데이트하고(3-⑩), Proxy B(24)의 ARP 테이블에서 호스트 B(31)의 MAC주소를 검색한다(3-⑪). 이 경우에는 최종 목적지 호스트 B(31)의 검색에 실패하고 호스트 B(31)로부터의 ARP 패킷 응답을 기다린다. 호스트 B(31)는 Proxy B(24)로부터의 ARP 패킷 요청을 수신하여(3-⑫), 해당 네트워크 세그먼트, 최종 목적지 호스트 B(31)의 MAC주소, 현재시간 등의 정보로 구성된 ARP 응답 패킷을 Proxy B(24)로 응답한다(3-⑬). Proxy B(24)는 호스트 B(31)로부터의 응답을 수신한 후(3-⑭), Proxy B(24)의 주소결정 프로세스 관리부(25b)에서 ARP 응답 패킷의 정보에 따라 동일 네트워크 세그먼트, 호스트 B(31)의 MAC주소, 현재시간을 Proxy B(24)의 Proxy ARP 테이블에 등록하고, 데이터 전송부(130)를 통해 Proxy A(22)로 ARP 응답 패킷을 전송한다(3-⑮). Proxy A(22)는 Proxy B(24)로부터의 응답을 수신한 후(3-(16)), Proxy A(22)의 주소결정 프로세스 관리부(25a)에서 수신된 ARP 응답 패킷의 정보에 따라 상대편 네트워크 세그먼트, 호스트 B(31)의 MAC주소, 현재시간을 Proxy A(22)의 Proxy ARP 테이블에 등록하고, 출발지 호스트 A(11)로 ARP 응답 패킷을 전송한다(3-(17)). 출발지 호스트 A(11)는 이더넷을 통해 IP패킷을 호스트 A(11)의 MAC주소로부터 Proxy A(22)로부터 수신된 ARP 응답 패킷의 MAC주소로 전송한다(3-(18)). 이러한 과정을 통해서, 출발지 호스트 A(11)로부터 목적지 호스트 B(31)로 실제 데이터 전송이 이루어지게 된다.
2. 상기 1의 라우팅 방법에서 가상 MAC주소를 사용하는 방법 (도 4)
Proxy ARP에서 분리망 연계장치(Separated Network Bridge)의 MAC주소 대신 가상의 MAC주소를 주는 방법
가상의 MAC주소를 설정할 수 있는 시스템의 경우에 사용하며, ARP에 대한 응답이 필요하다.
- 새로운 가상의 MAC주소를 주는 방법
- 상대편 망의 실제 MAC주소를 가상 MAC주소로 사용하는 방법.
3. 상기 1의 라우팅 방법에서 실제 MAC주소를 사용하는 방법 (도 5)
실제 MAC주소를 사용하거나 가상의 고정된 MAC주소를 사용하는 경우 DHCP를 지원할 수 있다. 분리망 연계장치는 가상 MAC주소 사용시 DHCP 요청/응답에서 정해진 MAC으로 변환한 후, 다른 쪽 세그먼트에 전달한다. 실제 MAC주소의 경우에는, 그대로 전달만 하면 된다.
4. 상기 1의 라우팅 방법에서 가상 IP주소를 사용하는 방법 (도 6)
위에서 가상의 IP/MAC주소로 상대편 IP주소를 분리망 연계장치가 가지는 방법으로 이 경우 호스트의 운영체제가 ARP응답을 해주므로 별도의 ARP응답을 필요로 하지 않다.
- IP주소와 새로운 가상의 MAC주소를 주는 방법과
- 상대편 망의 실제 IP주소와 MAC주소를 주는 방법이 있다.
상기 3 및 4의 라우팅 방법에서 실제 MAC주소를 가질 경우 분리망 연계장치의 장애 시 직접연결로 서비스는 가능하다. 또한, 이러한 라우팅 방법에서 IP/MAC주소를 정적/동적 또는 두가지 혼합해서 사용할 수 있다.
본 발명은 ARP를 이용하는 네트워크 환경에서 외부망의 ARP 프로토콜의 요청과 내부망의 ARP 프로토콜 응답 사이를 다른 프로토콜로 변환함으로써 외부망과 내부망을 단절하고 따라서 외부의 침입과 내부의 정부 유출을 미리 차단할 수 있도록 한다.
특히 본 발명은 기존 주소, 포트 변경 방식이나 패킷 필터링 방식의 DMZ 구간을 가진 방화벽의 기능을 포함할 수 있으며, 데이터 전송부에서 비호환 프로토콜을 사용한 데이터 필터링이 추가로 이루어지기 때문에 분리망 연계장치가 침입을 당하더라도 침입자는 내부망으로 들어올 수 없도록 하는 내외부로 분리된 네트워크 구성이 가능해진다.
외부의 침입 요청이 발생하면 분리망 연계장치에서 판단하여 요청을 거절 또는 무시할 수 있는데, 이는 일정한 요건이나 기준을 충족한 요청만 허용하는 소위 화이트 리스트(white list) 또는 일정한 요건이나 기준에 해당하는 요청만 거부하는 소위 블랙리스트(black list)를 통해 구현할 수 있다.
본 발명의 일실시예에 따른 분리망 연계장치는 외부망 연계서버(Proxy A)와 내부망 연계서버(Proxy B)를 포함한다. 외부망 연계서버와 외부망은 표준 네트워크 케이블 및 표준 TCP/IP 프로토콜로 연결되고, 내부망 연계서버 역시 내부망과 표준 네트워크 케이블 및 표준 TCP/IP 프로토콜로 연결된다. 한편, 외부망 연계서버와 내부망 연계서버는 호환 또는 비호환 프로토콜로 연결되며, 외부망 연계서버와 내부망 연계서버 각각은 출발지 주소와 도착지의 주소결정을 관리하는 ARP 프로토콜의 주소결정 프로세스 관리부를 포함한다.
본 발명은 이러한 분리망 연계장치를 비롯하여 인터넷 전용 클라이언트 및 업무용 전용 클라이언트를 포함하는 컴퓨터 네트워크 시스템을 제공한다. 또한, 본 발명은 외부망 연계서버와 내부망 연계서버를 포함하는 분리망 연계장치를 이용한 망 연계 방법을 제공한다. 여기서 외부망 연계서버는 ARP 요청의 출발지 호스트가 접속되어 있는 망과 연결되어 있고, 내부망 연계서버는 ARP 요청의 목적지 호스트가 접속되어 있는 망과 연결되어 있다.
도 2는 본 발명에 따른 분리망 연계장치의 블록 구성도이다. 본 발명의 분리망 연계장치가 적용되는 시스템(100)은 외부망(10), 분리망 연계장치(20) 및 내부망(30)으로 구성되어 있다. 외부망(10)은 허용된 서비스에 대하여 내부망(30)의 서비스를 사용할 수 있도록 한다.
10: 외부망
20: 분리망 연계장치 (Separated Network Bridge)
22: 외부망 연계서버 (Proxy A)
24: 내부망 연계서버 (Proxy B)
22a, 22b: 애플리케이션 계층
23a, 23b: 세션 관리부
24a, 24b: 패킷 조작부
25a, 25b: 주소결정 프로세스 관리부
25: 호환/비호환 프로토콜 케이블
30: 내부망
11: ARP 요청의 최초 출발지 호스트 (Host A)
31: ARP 요청의 최종 목적지 호스트 (Host B)
130: 데이터 전송부

Claims (10)

  1. 제1 통신망과 연결된 제1 프록시와 제2 통신망과 연결되는 제2 프록시를 포함하여 구성되고, 상기 제1 프록시와 상기 제2 프록시 간에 비표준 프로토콜로 통신하면서 상기 제1 통신망과 상기 제2 통신망을 물리적으로 분리시키는 분리망 연계 장치가 수행하는 제어방법에 있어서,
    (a) 상기 제1 프록시가 상기 제1 통신망으로부터 IPv4(nternet Protocol version 4) 또는 IPv6(nternet Protocol version 6)에 따른 주소 결정 요청 신호가 수신되면 주소 결정 요청 신호를 상기 비표준 프로토콜을 이용하여 상기 제2 프록시에 전송하는 단계와;
    (b) 상기 제2 프록시가 상기 제1 프록시로부터 주소 결정 요청 신호를 수신하면 자체 테이블에 상기 제1 프록시로부터 수신된 주소 결정 요청 신호에 포함된 아이피 주소에 대응되는 하드웨어 주소가 포함되어 있는지 여부를 판단하고, 판단 결과 해당 하드웨어 주소가 포함되어 있다면 그 하드웨어 주소를 포함하는 주소 결정 응답 신호를 생성하여 비표준 프로토콜에 따라 상기 제1 프록시로 전송하는 단계와;
    (c) 상기 제1 프록시가 상기 제2 프록시로부터 수신되는 주소 결정 응답 신호를 상기 제1 통신망으로 전달하는 것을 단계를 포함하고,
    상기 (b) 단계는, (b1) 상기 제2 프록시가 상기 제1 프록시로부터 주소 결정 요청 신호를 수신하는 단계와; (b2) 상기 제2 프록시가 브로드 캐스팅 또는 멀티 캐스팅에 의해 주소 결정 요청 신호를 상기 제2 통신망으로 송출하는 단계와; (b3) 상기 제2 프록시가 상기 (b2) 단계 이후에 자체 테이블에서 상기 제1 프록시로부터 수신된 주소 결정 요청 신호에 포함된 아이피 주소에 대응되는 하드웨어 주소가 포함되어 있는지 여부를 판단하는 단계와; (b4) 상기 제2 프록시가 상기 (b3) 단계의 판단 결과 해당 하드웨어 주소가 포함되어 있는 경우에는 해당 하드웨어 주소를 포함하는 주소 결정 응답 신호를 생성하여 상기 제1 프록시로 전송하는 단계를 포함하는 것을 특징으로 하는 분리망 연계장치의 제어방법.
  2. 제1항에 있어서,
    상기 (a) 단계에서 상기 제1 프록시는 제1 통신망으로부터 수신된 주소 결정 요청 신호에 포함된 아이피 주소에 대응되는 하드웨어 주소가 자체 테이블에 포함되어 있는 경우에는 해당 하드웨어 주소를 포함하는 주소 결정 응답 신호를 생성하여 상기 제1 통신망으로 전송하는 것을 특징으로 하는 분리망 연계장치의 제어방법.
  3. 제2항에 있어서,
    상기 (a) 단계는,
    (a1) 상기 제1 프록시가 상기 제1 통신망으로부터 주소 결정 요청 신호를 수신하는 단계와;
    (a2) 상기 제1 프록시가 주소 결정 요청 신호를 상기 비표준 프로토콜을 이용하여 상기 제2 프록시에 전송하는 단계와;
    (a3) 상기 제1 프록시가 상기 (a2) 단계 이후에 자체 테이블에서 상기 제1 통신망으로부터 수신된 주소 결정 요청 신호에 포함된 아이피 주소에 대응되는 하드웨어 주소가 포함되어 있는지 여부를 판단하는 단계와;
    (a4) 상기 제1 프록시가 상기 (a3) 단계의 판단 결과 해당 하드웨어 주소가 포함되어 있는 경우에는 해당 하드웨어 주소를 포함하는 주소 결정 응답 신호를 생성하여 상기 제1 통신망으로 전송하는 단계를 포함하는 것을 특징으로 하는 분리망 연계장치의 제어방법.
  4. 삭제
  5. 삭제
  6. 제1항에 있어서,
    상기 제1 프록시와 상기 제2 프록시는 아이피 주소를 갖지 않는 것을 특징으로 하는 분리망 연계장치의 제어방법.
  7. 제1항에 있어서,
    상기 IPv4(nternet Protocol version 4)에 따른 주소 결정 요청 신호는 ARP(Address Resolution Protocol)에 따른 요청 신호이고, 상기 IPv6(nternet Protocol version 6)에 따른 주소 결정 요청 신호는 NDP(Neighbor Discovery Protocol)에 따른 요청 신호인 것을 특징으로 하는 분리망 연계장치의 제어방법.
  8. 제1 통신망과 연결된 제1 프록시와 제2 통신망과 연결되는 제2 프록시를 포함하여 구성되고, 상기 제1 프록시와 상기 제2 프록시 간에 비표준 프로토콜로 통신하면서 상기 제1 통신망과 상기 제2 통신망을 물리적으로 분리시키는 분리망 연계장치에 있어서,
    상기 제1 프록시는 상기 제1 통신망으로부터 IPv4(nternet Protocol version 4) 또는 IPv6(nternet Protocol version 6)에 따른 주소 결정 요청 신호가 수신되면 주소 결정 요청 신호를 상기 비표준 프로토콜을 이용하여 상기 제2 프록시에 전송하고, 이후 상기 제2 프록시로부터 주소 결정 응답 신호가 수신되면 그 수신된 주소 결정 응답 신호를 상기 제1 통신망으로 전달하며,
    상기 제2 프록시는 상기 제1 프록시로부터 주소 결정 요청 신호를 수신하면 자체 테이블에 상기 제1 프록시로부터 수신된 주소 결정 요청 신호에 포함된 아이피 주소에 대응되는 하드웨어 주소가 포함되어 있는지 여부를 판단하고, 판단 결과 해당 하드웨어 주소가 포함되어 있다면 그 하드웨어 주소를 포함하는 주소 결정 응답 신호를 생성하여 비표준 프로토콜에 따라 상기 제1 프록시로 전송하고,
    상기 제2 프록시는 상기 제1 프록시로부터 주소 결정 요청 신호가 수신된 경우 브로드 캐스팅 또는 멀티 캐스팅에 의해 주소 결정 요청 신호를 상기 제2 통신망으로 송출한 후 상기 자체 테이블에서 상기 제1 프록시로부터 수신된 주소 결정 요청 신호에 포함된 아이피 주소에 대응되는 하드웨어 주소가 포함되어 있는지 여부를 판단하고, 그 판단 결과 해당 하드웨어 주소가 포함되어 있는 경우에는 해당 하드웨어 주소를 포함하는 주소 결정 응답 신호를 생성하여 상기 제1 프록시로 전송하는 것을 특징으로 하는 분리망 연계장치.
  9. 제8항에 있어서,
    상기 제1 프록시는 제1 통신망으로부터 수신된 주소 결정 요청 신호에 포함된 아이피 주소에 대응되는 하드웨어 주소가 자체 테이블에 포함되어 있는 경우에는 해당 하드웨어 주소를 포함하는 주소 결정 응답 신호를 생성하여 상기 제1 통신망으로 전송하는 것을 특징으로 하는 분리망 연계장치.
  10. 삭제
KR1020160058591A 2016-05-13 2016-05-13 Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법 KR101996588B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160058591A KR101996588B1 (ko) 2016-05-13 2016-05-13 Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160058591A KR101996588B1 (ko) 2016-05-13 2016-05-13 Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법

Publications (2)

Publication Number Publication Date
KR20170127852A KR20170127852A (ko) 2017-11-22
KR101996588B1 true KR101996588B1 (ko) 2019-10-01

Family

ID=60810146

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160058591A KR101996588B1 (ko) 2016-05-13 2016-05-13 Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법

Country Status (1)

Country Link
KR (1) KR101996588B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110022383B (zh) * 2019-04-10 2022-03-25 广州热点软件科技股份有限公司 地址管理方法和系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101472685B1 (ko) * 2013-09-12 2014-12-16 (주)쓰리에스소프트 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050054003A (ko) * 2003-12-03 2005-06-10 한국전자통신연구원 동일한 아이피 서브넷에 속하는 가상 근거리 통신망 간의데이터 스위칭 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101472685B1 (ko) * 2013-09-12 2014-12-16 (주)쓰리에스소프트 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템

Also Published As

Publication number Publication date
KR20170127852A (ko) 2017-11-22

Similar Documents

Publication Publication Date Title
US9237147B2 (en) Remote access manager for virtual computing services
US9253158B2 (en) Remote access manager for virtual computing services
CN110301126B (zh) 会议服务器
US6591306B1 (en) IP network access for portable devices
US7454489B2 (en) System and method for accessing clusters of servers from the internet network
US7088689B2 (en) VLAN data switching method using ARP packet
US8077732B2 (en) Techniques for inserting internet protocol services in a broadband access network
EP3225014B1 (en) Source ip address transparency systems and methods
US8458303B2 (en) Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset
US9419940B2 (en) IPv4 data center support for IPv4 and IPv6 visitors
US20040139227A1 (en) Relayed network address translator (NAT) traversal
JP4146886B2 (ja) 通信モジュール及びこの通信モジュールを備えたアプリケーションプログラム
US11621917B2 (en) Transparent multiplexing of IP endpoints
KR101472685B1 (ko) 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템
US9356952B2 (en) Packet redirection in a communication network
US20070078996A1 (en) Method for managing a network appliance and transparent configurable network appliance
WO2007019809A1 (fr) Procede et systeme d'etablissement d'un canal direct point par point
US20110276673A1 (en) Virtually extending the functionality of a network device
KR101996588B1 (ko) Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법
CN101572729B (zh) 一种虚拟专用网节点信息的处理方法及相关设备、系统
EP3544266B1 (en) Network bridge and network management method
JP3575369B2 (ja) アクセスルーティング方法及びアクセス提供システム
CN117439815B (zh) 一种基于反向透明桥接的内网穿透系统及方法
KR20170111305A (ko) 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템
KR20100059739A (ko) IPv4/IPv6 연동 게이트웨이

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right