KR20150135041A - Apparatus and method for openflow routing - Google Patents
Apparatus and method for openflow routing Download PDFInfo
- Publication number
- KR20150135041A KR20150135041A KR1020140165634A KR20140165634A KR20150135041A KR 20150135041 A KR20150135041 A KR 20150135041A KR 1020140165634 A KR1020140165634 A KR 1020140165634A KR 20140165634 A KR20140165634 A KR 20140165634A KR 20150135041 A KR20150135041 A KR 20150135041A
- Authority
- KR
- South Korea
- Prior art keywords
- path
- open
- virtual machine
- controller
- cost
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000012545 processing Methods 0.000 claims abstract description 17
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 101100256651 Homo sapiens SENP6 gene Proteins 0.000 description 2
- 101150038317 SSP1 gene Proteins 0.000 description 2
- 101100125020 Schizosaccharomyces pombe (strain 972 / ATCC 24843) pss1 gene Proteins 0.000 description 2
- 101100018019 Schizosaccharomyces pombe (strain 972 / ATCC 24843) ssc1 gene Proteins 0.000 description 2
- 102100023713 Sentrin-specific protease 6 Human genes 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/645—Splitting route computation layer and forwarding layer, e.g. routing according to path computational element [PCE] or based on OpenFlow functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/121—Shortest path evaluation by minimising delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/122—Shortest path evaluation by minimising distances, e.g. by selecting a route with minimum of number of hops
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/76—Routing in software-defined topologies, e.g. routing between virtual machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 클라우드 컴퓨팅에 기반한 ‘서비스로서의 보안’(Security as a Service, SECaaS) 시스템에서의 오픈플로우 라우팅 장치 및 방법에 관한 것이다.The present invention relates to an open flow routing apparatus and method in a security as a service (SECaaS) system based on cloud computing.
클라우드 컴퓨팅은, 필요시 언제 어디서나 손쉽게 네트워크에 접근하여 설정 가능한 컴퓨팅 리소스(네크워크,서버,스토리지,애플리케이션, 및 서비스 등)를 공유하며, 서비스 제공자(Service Provider)의 최소한의 노력으로 신속하게 컴퓨팅 리소스가 제공될 수 있는 컴퓨팅 모델이다.Cloud computing makes it easy to access computing resources (such as network, server, storage, applications, and services) by accessing the network anytime and anywhere, and to set computing resources quickly with minimal effort from the service provider It is a computing model that can be provided.
이러한, 클라우드 컴퓨팅이 크게 확대되며 많은 기업들이 클라우드 컴퓨팅을 도입하고 있으며, 이에 따라 보안 패러다임에도 큰 변화를 가져오고 있다. 그 결과, 기존에 보안 기기(Security Appliance) 형태로 제공되었던 보안서비스가 클라우드 컴퓨팅과의 결합을 통해 클라우드 기반 보안 서비스로 제공되는 ‘서비스로서의 보안’(Security as a Service, SecaaS)이 등장하였다.As such, cloud computing is greatly expanded, and many companies are introducing cloud computing, which is making a big difference in the security paradigm. As a result, "Security as a Service" (SecaaS) has emerged, in which security services, previously provided in the form of security appliances, are provided as cloud-based security services by combining with cloud computing.
한편, SecaaS는 ‘서비스로서의 소프트웨어’(Software as a Service, SaaS)의 한 종류로서, 보안 소프트웨어에 대한 클라우드 서비스이다. 현재까지 많이 활성화된 SaaS와 비교하여 SecaaS는 트래픽에 대한 제어가 필요하다는 점에서 가장 큰 차이점이 있다. SaaS의 경우 사용자로부터 데이터를 입력받아 애플리케이션 로직을 통해 처리하면 되었지만, SecaaS의 보안 애플리케이션의 경우 사용자의 트래픽을 받아 중간에서 사용자의 데이터에 대한 위협 요소가 있는지를 검사하게 된다. 따라서, SecaaS는 사용자의 트래픽을 사용자가 원하는 보안 서비스로 제어(즉, 라우팅)해야 한다. 따라서, SecaaS는 기존의 SaaS에서 트래픽을 제어하는 부분에 대한 제어가 더 필요한 실정이다.Meanwhile, SecaaS is a kind of 'Software as a Service (SaaS)', a cloud service for security software. The main difference is that SecaaS requires more control over traffic compared to the more active SaaS to date. In the case of SaaS, data is received from the user and processed through the application logic. However, in the case of the security application of SecaaS, the user receives the traffic of the user and checks whether there is a threat to the user's data in the middle. Therefore, SecaaS should control (ie, route) user traffic to the security service that the user wants. Therefore, SecaaS needs more control of traffic control in existing SaaS.
또한, SecaaS에서의 보안 서비스들의 비용과 지연은 가입한 테넌트들의 수, 네트워크, 디스크, CPU, RAM 과 같은 서비스 자원들에 의한 서비스 과부하, 실시간 마이그레이션(live migration) 서비스, 및 서비스의 추가 또는 제거 등의 다양한 이유로 변동 될 수 있다. 따라서, SecaaS 네트워크 토폴로지와 네트워크 동작이 바뀔 수 있으며, 이러한 네트워크 토폴로지와 동작이 변동되어 발생되는 문제들을 해결하기 위하여 테넌트에 대해 항상 최상의 응답 시간으로 최선의 경로를 선택해야 한다.In addition, the cost and latency of security services in SecaaS can be affected by the number of tenants subscribed, service overload by service resources such as disk, CPU, RAM, live migration services, For various reasons. Therefore, SecaaS network topology and network operation can be changed. In order to solve problems caused by fluctuations in network topology and operation, the best route should always be selected with the best response time for tenants.
한편, 소프트웨어 정의 네트워크(SDN: Software Defined Network)는 소프트웨어 프로그래밍을 통해 네트워크 경로 설정과 제어 및 복잡한 운용관리를 편리하게 처리할 수 있는 차세대 네트워킹 기술이다. 이를 위해 SDN에서는 네트워크의 데이터 평면(data plane)과 제어평면(control plane)을 분리하고 이 사이에 표준화된 인터페이스를 제공하며, 네트워크 운용자가 여러 상황에 맞추어 제어 평면을 프로그래밍하여 데이터 평면에서 이루어지는 통신 기능을 다양한 방식으로 제어할 수 있다.On the other hand, Software Defined Network (SDN) is a next generation networking technology that can handle network routing and control and complex operation management through software programming. For this purpose, the SDN separates the data plane and control plane of the network and provides a standardized interface between them. The network operator can program the control plane according to various situations, Can be controlled in various ways.
그 중, 오픈플로우(OpenFlow)는 제어 평면과 데이터 평면을 연결하는 표준 인터페이스로서 오픈플로우 프로토콜을 사용한다. 오픈플로우 프로토콜을 사용하면 제어 및 데이터 평면을 하드웨어가 아닌 소프트웨어로도 구현할 수 있으며, 이러한 소프트웨어를 범용 서버에 설치하여 신속하게 새로운 기능을 구현할 수 있다.Among them, OpenFlow uses the open flow protocol as a standard interface connecting the control plane and the data plane. With the open flow protocol, the control and data planes can be implemented in software rather than hardware, and these software can be installed on a general-purpose server to quickly implement new functions.
이와 같은 오픈플로우 기술을 클라우드 컴퓨팅 기반 SecaaS에 적용할 수 있는 방식이 요구되고 있다.There is a need for a way to apply such open flow technology to SecaaS based on cloud computing.
이와 관련하여, 대한민국공개특허 제10-2014-0050461호(발명의 명칭: 오픈 플로우 스위치와 컨트롤러를 사용한 가상망 구현 방법 및 그 장치)에서는, 네트워크로 유입된 데이터에 대한 데이터 정보를 수신하는 데이터 정보 수신부와, 상기 수신한 데이터 정보를 기초로 상기 데이터의 특성을 파악하고, 상기 파악된 특성에 따라 상기 데이터가 전달될 가상 네트워크를 결정하는 가상 네트워크 결정부와, 상기 가상 네트워크 결정부로부터 상기 데이터의 전달요청을 수신하고, 상기 데이터의 전달경로를 결정하여 상기 네트워크 내의 스위치로 전송하는 가상 네트워크 제어부를 포함하는 가상 네트워크 관리장치를 개시하고 있다.In this regard, Korean Patent Laid-Open Publication No. 10-2014-0050461 (entitled " method and apparatus for implementing a virtual network using an open-flow switch and a controller ") discloses a method for transmitting data information A virtual network determination unit that determines a virtual network to which the data is to be delivered according to the detected characteristics based on the received data information, And a virtual network controller for receiving a delivery request, determining a delivery path of the data, and transmitting the delivery path to a switch in the network.
본 발명의 일 실시예는 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 클라우드 컴퓨팅에 기반한 SECaaS 시스템에서 테넌트의 패킷을 최소 비용 경로로 라우팅하는 오픈플로우 라우팅 장치 및 방법을 제공하고자 한다.An embodiment of the present invention provides an open flow routing apparatus and method for routing tenant packets to a minimum cost path in a SECAaS system based on cloud computing.
다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.It should be understood, however, that the technical scope of the present invention is not limited to the above-described technical problems, and other technical problems may exist.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 측면에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템에서의 오픈플로우 라우팅 방법은, 각각 보안 서비스를 제공하는 복수의 가상 머신과 VPN 게이트웨이 사이의 유효 경로들 및 상기 가상 머신 간의 유효 경로들을 컨트롤러가 검출하는 단계; 상기 컨트롤러가 상기 검출한 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하는 단계; 상기 컨트롤러가 상기 메트릭 가중치에 기초하여 상기 유효 경로들에 대해 최소 비용 경로를 설정하는 단계; 및 상기 컨트롤러가 오픈플로우 스위치(OpenFlow Switch) 및 오픈 브이스위치(Open vSwitch, OVS)에 오픈플로우 프로토콜을 통해 상기 설정한 최소 비용 경로를 플로우 테이블로 저장하는 단계를 포함하되, 상기 VPN 게이트웨이를 통해 입력된 테넌트의 패킷은 상기 오픈플로우 스위치 및 오픈 브이스위치 중 적어도 하나를 통해 상기 플로우 테이블에 기초하여 목적지 가상 머신까지 최소 비용 경로로 스위칭된다.According to an aspect of the present invention, there is provided an open flow routing method in a security as a service (SECaaS) system based on cloud computing, Detecting a valid path between a virtual machine of the virtual machine and a VPN gateway and a valid path between the virtual machine and the VPN gateway; The controller calculating a metric weight based on the link cost and the processing cost for each detected valid path; The controller setting a least cost path for the valid paths based on the metric weight; And storing, as a flow table, the minimum cost path set by the controller through an open flow protocol in an open flow switch and an open v switch in a flow table, Packets of the tenant are switched to the destination virtual machine based on the flow table through at least one of the open flow switch and the open V switch in the least cost path.
또한, 본 발명의 다른 측면에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템에서의 오픈플로우(OpenFlow)) 라우팅 장치는, 테넌트의 패킷을 수신하는 VPN 게이트웨이; 각각 보안 서비스를 제공하는 복수의 가상 머신과 상기 VPN 게이트웨이 사이의 유효 경로들 및 상기 가상 머신 간의 유효 경로들을 검출하고, 상기 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하고, 상기 메트릭 가중치에 기초하여 상기 유효 경로들에 대한 최소 비용 경로를 설정하여 오픈플로우 프로토콜을 통해 저장하는 컨트롤러; 및 상기 컨트롤러로부터 설정된 유효 경로들의 최소 비용 경로를 플로우 테이블로 저장하고, 상기 플로우 테이블에 기초하여 테넌트의 패킷을 최소 비용 경로에 따라 전달하는 오픈플로우 스위치(OpenFlow Switch) 및 오픈 브이스위치(Open vSwitch, OVS)를 포함한다.In addition, according to another aspect of the present invention, there is provided a routing apparatus for Openflow in a security as a service (SECaaS) system based on cloud computing, comprising: a VPN gateway for receiving a packet of a tenant; Detecting effective paths between the virtual machines and the valid paths between the plurality of virtual machines providing security services and the VPN gateway, calculating metric weights based on link costs and processing costs for each effective path, A controller for setting a minimum cost path for the valid paths based on the weights and storing the minimum cost paths through an open flow protocol; And an open flow switch and an open vSwitch for storing the minimum cost path of the effective paths set from the controller as a flow table and delivering the packets of the tenant according to the minimum cost path based on the flow table, OVS).
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, SecaaS 네트워크 전체에서 라우팅 경로의 비용과 지연을 감소 시키고, 테넌트에 대해 최상의 응답 시간의 경로를 선택하여 제공할 수 있다.According to any one of the above-mentioned objects of the present invention, it is possible to reduce the cost and delay of the routing path in the entire SecaaS network, and to provide a route with the best response time to the tenant.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 오픈플로우 프로토콜을 이용하는 라우팅 알고리즘을 제공함으로써, 중앙 집중형 라우팅 계산이 가능하여 실제 네트워크에서 라우팅 알고리즘의 업데이트가 간편하게 처리될 수 있다.Further, according to any one of the tasks of the present invention, centralized routing calculation can be performed by providing a routing algorithm using an open flow protocol, so that updating of a routing algorithm in an actual network can be easily handled.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, SecaaS 네트워크에서 전체 유효 경로들에 대해 거리 비용 뿐만 아니라 가상 머신의 프로세싱 비용까지 고려하여 최소 비용 경로의 메트릭 가중치들을 계산함으로써 자원의 소모를 줄일 수 있으면서도 최상의 라우팅 경로를 찾을 수 있는 효과가 있다.Further, according to any one of the tasks of the present invention, it is possible to reduce resource consumption by calculating the metric weights of the minimum cost path in consideration of not only the distance cost but also the processing cost of the virtual machine in the SecaaS network It has the effect of finding the best routing path while at the same time.
도 1은 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(SECaaS) 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 유효 경로별 메트릭 가중치 산출 과정을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치를 통한 테넌트의 패킷에 대한 보안 서비스 제공 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(SECaaS) 시스템에서의 오픈플로우 라우팅 방법을 설명하기 위한 순서도이다.1 is a diagram illustrating a configuration of a security (SECaaS) system as a service based on cloud computing according to an embodiment of the present invention.
FIG. 2 is a diagram for explaining a metric weight calculation process according to an effective path according to an embodiment of the present invention. Referring to FIG.
3 is a diagram illustrating a process of providing a security service for a packet of a tenant through the open flow routing apparatus according to an embodiment of the present invention.
4 is a flowchart illustrating an open flow routing method in a security (SECaaS) system as a service based on cloud computing according to an embodiment of the present invention.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings, which will be readily apparent to those skilled in the art. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between . Also, when an element is referred to as "comprising ", it means that it can include other elements as well, without departing from the other elements unless specifically stated otherwise.
도 1은 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템(이하, ‘보안 시스템’이라고 지칭함)의 구성을 나타낸 도면이다.1 is a diagram illustrating a configuration of a security as a service (SECaaS) system (hereinafter referred to as a security system) based on cloud computing according to an embodiment of the present invention.
도 1에 도시한 바와 같이, 본 발명의 일 실시예에 따른 보안 시스템(100)은, 보안 서비스 제공자(Security Service Provider, SSP)인 가상 머신으로의 라우팅을 제어하는 컨트롤러(110), 서비스 이용자인 테넌트(Tenant)로부터 발생된 트래픽(즉, 패킷)을 수신하여 목적지 가상 머신으로 전달하는 가상 사설망(VPN, Virtual Private Network) 게이트웨이(120), 컨트롤러(110)를 통해 설정된 최소 비용 경로를 따라 테넌트의 패킷을 스위칭하는 오픈 브이스위치 Open vSwitch, OVS)(130)와 오픈플로우 스위치(OpenFlow Switch)(150), 및SSP들의 애플리케이션들이 각각 실행될 수 있는 복수의 가상 머신(140)을 포함한다.1, the
이때, 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치는, 보안 시스템(100)의 플랫폼 도메인 상에 구현되어 복수의 가상 머신(140) 중 테넌트의 패킷에 따른 목적지 가상 머신으로 최소 비용 경로를 검출하는 컨트롤러(110), VPN 연결을 통해 테넌트의 패킷을 수신하는 VPN 게이트웨이(120), 및 보안 시스템(100)의 하이퍼바이저 상에 구현되어 오픈플로우 프로토콜을 통해 컨트롤러(110)가 설정한 최소 비용 경로의 정보를 플로우 테이블로 저장하는 가상 스위치인 오픈 브이스위치(130) 및 오픈플로우 스위치(150)를 포함한다.The open flow routing apparatus according to an embodiment of the present invention is implemented in a platform domain of the
구체적으로, 테넌트로부터 VPN 연결을 통해 전달되는 패킷은 VPN 게이트웨이(120)를 통해 수신되므로, 컨트롤러(110)는 각각의 보안 서비스를 제공하는 복수의 가상 머신(140)과 VPN 게이트웨이(120) 사이의 유효 경로들 및 가상 머신(140) 간의 유효 경로들을 검출한다.Specifically, since the packet transmitted from the tenant through the VPN connection is received through the
그리고 컨트롤러(110)는 검출된 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치(metric weight)를 산출한다. 이때, 하기 수학식 1을 통해 유효 경로에 대한 메트릭 가중치(W)를 산출할 수 있다.Then, the
<수학식 1>&Quot; (1) "
W = {w1, w2, w3 ... wn*(n-1)/2},W = {w1, w2, w3 ... wn * (n-1) / 2}
Wij = Pij + Tij W ij = P ij + T ij
이때, Pij는 어느 하나의 유효 경로 상의 소스 노드(즉, 소스 가상 머신) i로부터 목적지 노드(즉, 목적지 가상 머신) j까지의 프로세싱 비용(processing cost)으로서, 유효 경로별 목적지 가상 머신에 대한 데이터 입력 시간 및 출력 시간에 따른 프로세싱 지연(processing delay) 값일 수 있다. 그리고, Tij는 어느 하나의 유효 경로 상의 소스 노드(즉, 소스 가상 머신) i로부터 목적지 노드(즉, 목적지 가상 머신) j까지의 트레블링 비용(travelling cost)으로서, 유효 경로별 소스 가상 머신으로부터 목적지 가상 머신까지의 거리 값(예를 들어, 홉(hop))에 따른 링크 비용일 수 있다. 이때, 거리 값은 시간 단위로 환산되어 프로세싱 비용과 연산될 수 있다. 예를 들어, 유효 경로별로 포함된 홉 당 실제적으로 소요되는 시간으로 환산될 수 있다.Here, P ij is the processing cost from the source node (i. E., Source virtual machine) i on any valid path to the destination node (i. E. Destination virtual machine) j, A processing delay value according to a data input time and an output time. T ij is the traveling cost from the source node (i. E., Source virtual machine) i on any valid path to the destination node (i. E. Destination virtual machine) j, And a link cost based on a distance value (e.g., hop) to the destination virtual machine. At this time, the distance value is converted into a time unit and can be calculated with the processing cost. For example, it can be converted to the actual time spent per hop included per effective path.
한편, 본 발명의 일 실시예에 따른 보안 시스템(100)에서는 전체 SSP의 개수가 n-1개인 경우, 테넌트의 패킷이 VPN 게이트웨이(120)로부터 시작되므로 VPN 게이트웨이(120)를 포함하여 n개의 노드가 구성되고, n*(n-1)/2 개의 유효 경로로 네트워크가 구성된다.Meanwhile, in the
예를 들어, 도 2는 본 발명의 일 실시예에 따른 유효 경로별 메트릭 가중치 산출 과정을 설명하기 위한 도면이다.For example, FIG. 2 is a diagram for explaining a metric weight calculation process according to an effective path according to an embodiment of the present invention.
도 2에 도시한 바와 같이, SSP(즉, 보안 서비스를 제공하는 가상 머신)이 6개(140-1 내지 140-6) 포함되면, 네트워크 상의 노드는 VPN 게이트웨이(120)의 가상 머신을 포함하여 7개(즉, n=7)로 구성된다.As shown in FIG. 2, when six SSPs (i.e., virtual machines providing security services) 140-1 to 140-6 are included, the nodes on the network include virtual machines of
이때, 도 2에 도시한 바와 같이, 유효 경로는 W1 내지 W21까지 총 21개의 유효 경로가 검출되며, 하기 수학식 2에서와 같이 각 유효 경로의 메트릭 가중치를 표현할 수 있다.At this time, as shown in FIG. 2, a total of 21 effective paths are detected from the valid paths W1 to W21, and metric weights of the effective paths can be expressed as shown in the following equation (2).
<수학식 2>&Quot; (2) "
W = {w1, w2, w3 ... w21 },W = {w 1 , w 2 , w 3 ... w 21 }
W1 = P1 + T1 , W2 = P2 + T2, ... W21 = P21 + T21 W 1 = P 1 + T 1 , W 2 = P 2 + T 2 , ... W 21 = P 21 + T 21
컨트롤러(110)는 위와 같은 유효 경로별 메트릭 가중치에 기초하여 전체 유효 경로들에 대한 최소 비용 경로를 설정하여 오픈플로우 프로토콜을 통해 저장한다.The
예를 들어, 컨트롤러(110)는 하기 알고리즘을 이용하여 유효 경로들에 대한 최소 비용 경로를 설정할 수 있다.For example, the
<알고리즘 1><
이때, 컨트롤러(110)는 유효 경로별 메트릭 가중치 중 가장 작은 값을 선택하여 최소 비용 경로를 설정한다.At this time, the
그런 다음, 컨트롤러(110)는 설정된 유효 경로들의 최소 비용 경로의 정보를 오픈플로우 프로토콜을 통해 오픈 브이스위치(130) 및 오픈플로우 스위치(150)에 저장한다.Then, the
참고로, 오픈플로우(OpenFlow) 프로토콜은, 소프트웨어 정의 네트워크( Software-Defined Networking, SDN) 기술에 속하는 것으로서, 컨트롤러와 오픈플로우 스위치 간의 플로우 테이블(Flow table)을 관리하기 위한 프로토콜이다. 본 발명의 일 실시예에서, 컨트롤러(110)는 오픈플로우 프로토콜을 통해 오픈 브이스위치 (130) 및 오픈플로우 스위치(150)에 플로우 테이블을 관리하며, 오픈 브이스위치(130) 및 오픈플로우 스위치(150)는 각각 컨트롤러(110)에 의해 생성된 테이블 정보를 통해 패킷을 제어한다.For reference, the OpenFlow protocol belongs to Software-Defined Networking (SDN) technology, and is a protocol for managing a flow table between a controller and an open flow switch. The
또한, 컨트롤러(110)는 기설정된 주기마다, 보안 시스템(100)의 네트워크 상에 특정한 이벤트가 발생될 때마다, 또는 VPN 게이트웨이(120)로의 테넌트 패킷이 전달될 때마다 등 다양한 시점에, 보안 시스템(100) 상의 유효 경로들에 대한 메트릭 가중치 산출 및 최소 비용 경로의 우선 순위 산출을 수행할 수 있다. 즉, 보안 시스템(100)의 네트워크 토폴로지 및 네트워크 동작 등이 변동된다 하여도 상황에 따른 최소 비용 경로를 산출하여 업데이트할 수 있다.In addition, the
오픈 브이스위치(Open vSwitch, OVS)(130) 및 오픈플로우 스위치(150)는 컨트롤러(110)로부터 설정된 유효 경로들의 최소 비용 경로를 오픈플로우 프로토콜을 통해 플로우 테이블로 저장하고, 상기 플로우 테이블에 기초하여 테넌트의 패킷을 최소 비용 경로에 따라 전달한다. 즉, 오픈 브이스위치(130) 및 오픈플로우 스위치(150)는 테넌트로부터의 트래픽을 컨트롤러(110)에 의해 설정된 최소 비용 경로에 따라 제어하여 목적지 가상 머신(140)까지 전달한다. 예를 들어, 도 1 및 도 2를 참조하여 설명하면, 목적지 가상 머신(140)이 VPN 게이트웨이(120)와 동일한 플랫폼 상에 구현된 SSP 도메인이거나 또는 최소 비용 경로가 하나의 하이퍼바이저 상에 구현된 복수의 SSP 도메인 간의 경로인 경우 오픈 브이스위치(130)를 통해 패킷이 전송된다. 또한, 목적지 가상 머신(140)까지 복수의 하이퍼바이저를 경유하여 최소 비용 경로가 설정된 경우, 하이퍼바이저 간의 패킷 전송은 오픈플로우 스위치(150)가 담당하며, 동일 하이퍼바이저 상에 구현된 SSP 도메인 간의 패킷 전송은 오픈 브이스위치(130)가 담당한다.The open vSwitch (OVS) 130 and the
이하, 도 3을 참조하여 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치를 통한 오픈플로우 라우팅 방식에 대해서 상세히 설명하도록 한다.Hereinafter, an open flow routing scheme through an open flow routing apparatus according to an embodiment of the present invention will be described in detail with reference to FIG.
도 3은 본 발명의 일 실시예에 따른 오픈플로우 라우팅 장치를 통한 테넌트의 패킷에 대한 보안 서비스 제공 과정을 설명하기 위한 도면이다.3 is a diagram illustrating a process of providing a security service for a packet of a tenant through the open flow routing apparatus according to an embodiment of the present invention.
먼저, 본 발명의 일 실시예에 따른 보안 시스템(100)을 통한 패킷의 흐름에 대해서 간략히 설명하자면, VPN 게이트웨이(120)를 통해 테넌트의 패킷이 수신되면, 패킷에 해당하는 보안서비스(즉, 가상 머신(140)으로 전달하여 위협 요소들을 검사한 후 이상 없을 경우에 외부 네트워크(미도시)로 내보낼 수 있다.First, the flow of packets through the
예를 들어, 테넌트가 웹 보안 서비스를 사용한다고 가정했을 때, 테넌트가 특정 웹 서버로 접속하여 데이터를 주고 받게 된다. 이때, 보안 서비스를 이용하는 테넌트가 SSP1도메인의 웹 보안 서비스를 요청하였을 경우, 보안 시스템(100)의 플랫폼(즉, 컨트롤러(110))에서 테넌트의 이용자 정보를 바탕으로 오픈 브이 스위치(OVS)(130)의 테이블에 플로우를 설정한다. 즉, 컨트롤러(110)가 복수의 가상 머신을 포함하는 SSP 네트워크에 대한 최소 비용 경로를 검출하여 그 정보(도 3에서는 ‘path’로 나타냄)를 오픈 브이스위치(OVS)(130) 상에 플로우 테이블로 저장한다.For example, suppose a tenant uses a web security service, and a tenant connects to a specific web server to send and receive data. When the tenant using the security service requests the web security service of the SSP1 domain, the platform (i.e., the controller 110) of the
그런 다음, 도 3에 도시한 바와 같이, 테넌트의 패킷이 보안 시스템(100)으로 VPN 연결을 통해 입력되면(①), 플랫폼 도메인의 VPN 게이트웨이(120)로 전달되고(②), 테넌트의 패킷은 OVS(130)로 전달된다(③).3, when a packet of the tenant is inputted to the
그런 후 테넌트의 패킷은, OVS(130)의 플로우 테이블에 의해 목적지 웹 보안 서비스인 SSP1 도메인으로 전달되어(④), 해당 웹 보안 서비스를 제공하는 목적지 가상 머신(140)으로 전달된다. 이때, OVS(130)는 플로우 테이블에 저장되어 있던 유효 경로별 최소 비용 경로에 기초하여 해당 패킷이 요청한 보안 서비스를 제공하는 목적지 가상 머신(140)으로의 최소 비용 경로에 따른 스위칭을 처리한다.Then, the tenant's packet is delivered to the destination web security service SSP1 domain by the flow table of the OVS 130 ((4)) and delivered to the destination
참고로, 보안 시스템(100)은 이상의 과정을 통해 해당 패킷을 점검하고, 이상이 없다고 판단되면 테넌트가 보내려고 했던 웹 서버로 패킷을 전달한다.For reference, the
이하, 도 4를 참조하여 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(Security as a Service, SECaaS) 시스템 (100)에서의 오픈플로우 라우팅 장치를 통한 오픈플로우 라우팅 방법에 대해서 상세히 설명하도록 한다.Hereinafter, an open flow routing method using an open flow routing apparatus in a security as a service (SECaaS)
도 4는 본 발명의 일 실시예에 따른 클라우드 컴퓨팅에 기반한 서비스로서의 보안(SECaaS) 시스템에서의 오픈플로우 라우팅 방법을 설명하기 위한 순서도이다.4 is a flowchart illustrating an open flow routing method in a security (SECaaS) system as a service based on cloud computing according to an embodiment of the present invention.
먼저, 보안 서비스를 제공하는 복수의 가상 머신과 VPN 게이트웨이 사이의 유효 경로들을 컨트롤러가 검출한다(S410).First, the controller detects valid paths between a plurality of virtual machines providing a security service and a VPN gateway (S410).
그런 다음, 컨트롤러가 검출한 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출한다(S420).Then, the metric weight is calculated based on the link cost and the processing cost for each effective path detected by the controller (S420).
이때, 프로세싱 비용은 상기 유효 경로별 목적지 가상 머신의 데이터 입력 시간 및 출력 시간에 따른 프로세싱 지연 값이고, 링크 비용은 유효 경로별 소스 가상 머신으로부터 목적지 가상 머신까지의 거리 값일 수 있다.In this case, the processing cost may be a processing delay value according to the data input time and the output time of the destination virtual machine by the valid path, and the link cost may be a distance value from the source virtual machine to the destination virtual machine by the valid path.
그런 후, 컨트롤러가 메트릭 가중치에 기초하여 유효 경로들에 대해 최소 비용 경로를 설정한다(S430).Then, the controller sets a minimum cost path for the valid paths based on the metric weight (S430).
이때, 유효 경로들에 대한 최소 비용 경로는 유효 경로별 메트릭 가중치 중 가장 작은 값을 선택하여 결정할 수 있다..In this case, the minimum cost path for the valid paths can be determined by selecting the smallest value among the metric weight for each effective path.
다음으로, 컨트롤러가 상기 설정한 유효 경로별 최소 비용 경로의 정보를 오픈플로우 스위치 및 오픈 브이스위치(OVS)에 오픈플로우 프로토콜을 통해 플로우 테이블로 저장한다(S440).Next, the controller stores the information of the minimum cost path for each valid route set in the flow table in the open flow switch and the open VVS (OVS) in step S440.
한편, VPN 연결을 통해 보안 시스템으로 테넌트의 패킷이 전달되면, 오픈플로우 스위치 및 오픈 브이스위치가 플로우 테이블에 기초하여 테넌트의 패킷을 최소 비용 경로에 따라 전달한다(S450).Meanwhile, when the tenant's packet is delivered to the security system through the VPN connection, the open flow switch and the open V switch transmit the tenant packet according to the minimum cost path based on the flow table (S450).
구체적으로, 오픈 브이스위치(130)가 VPN 게이트웨이(120)를 통해 테넌트의 패킷을 전달받으면, 상기 패킷으로부터 목적지 가상 머신을 확인하고, 플로우 테이블에 기초하여 VPN 게이트웨이로부터 패킷의 요구에 따른 목적지 가상 머신까지의 최소 비용 경로를 검출하고, 테넌트의 패킷을 상기 검출한 최소 비용 경로에 따라 목적지 가상 머신으로 스위칭한다. 이때, 목적지 가상 머신까지의 최소 비용 경로가 둘 이상의 하이퍼바이저를 경유할 경우, 하이퍼바이저 간에는 오픈플로우 스위치를 통해 해당 패킷이 스위칭되며, 하나의 하이퍼바이저 상에 구현된 가상 머신으로는 오픈 브이스위치를 통해 해당 패킷이 스위칭된다.Specifically, when the
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다. One embodiment of the present invention may also be embodied in the form of a recording medium including instructions executable by a computer, such as program modules, being executed by a computer. Computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. In addition, the computer-readable medium may include both computer storage media and communication media. Computer storage media includes both volatile and nonvolatile, removable and non-removable media implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data. Communication media typically includes any information delivery media, including computer readable instructions, data structures, program modules, or other data in a modulated data signal such as a carrier wave, or other transport mechanism.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.While the methods and systems of the present invention have been described in connection with specific embodiments, some or all of those elements or operations may be implemented using a computer system having a general purpose hardware architecture.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.It will be understood by those skilled in the art that the foregoing description of the present invention is for illustrative purposes only and that those of ordinary skill in the art can readily understand that various changes and modifications may be made without departing from the spirit or essential characteristics of the present invention. will be. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive. For example, each component described as a single entity may be distributed and implemented, and components described as being distributed may also be implemented in a combined form.
본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.It is intended that the present invention covers the modifications and variations of this invention provided they come within the scope of the appended claims and their equivalents. .
100: 서비스로서의 보안 시스템
110: 컨트롤러
120: VPN 게이트웨이
130: 오픈 브이스위치
140: 보안 서비스를 제공하는 가상 머신100: Security system as a service
110: controller
120: VPN gateway
130: Open V switch
140: Virtual machines providing security services
Claims (7)
각각 보안 서비스를 제공하는 복수의 가상 머신과 VPN 게이트웨이 사이의 유효 경로들 및 상기 가상 머신 간의 유효 경로들을 컨트롤러가 검출하는 단계;
상기 컨트롤러가 상기 검출한 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하는 단계;
상기 컨트롤러가 상기 메트릭 가중치에 기초하여 상기 유효 경로들에 대해 최소 비용 경로를 설정하는 단계; 및
상기 컨트롤러가 오픈플로우 스위치(OpenFlow Switch) 및 오픈 브이스위치(Open vSwitch, OVS)에 오픈플로우 프로토콜을 통해 상기 설정한 최소 비용 경로를 플로우 테이블로 저장하는 단계를 포함하되,
상기 VPN 게이트웨이를 통해 입력된 테넌트의 패킷은,
상기 오픈플로우 스위치 및 오픈 브이스위치 중 적어도 하나를 통해 상기 플로우 테이블에 기초하여 목적지 가상 머신까지 최소 비용 경로로 스위칭되는 오픈플로우 라우팅 방법.In an open flow routing method in a security as a service (SECaaS) system based on cloud computing,
Comprising: detecting, by a controller, valid paths between a plurality of virtual machines providing security services and VPN gateways and valid paths between virtual machines;
The controller calculating a metric weight based on the link cost and the processing cost for each detected valid path;
The controller setting a least cost path for the valid paths based on the metric weight; And
Storing the set minimum cost path as a flow table through an open flow protocol to an OpenFlow Switch and an OpenVSwitch (OVS) by the controller,
The packet of the tenant inputted through the VPN gateway is transmitted to the VPN gateway,
Wherein at least one of the open flow switch and the open V switch is switched to the destination virtual machine based on the flow table on the least cost path.
상기 프로세싱 비용은 상기 유효 경로별 목적지 가상 머신의 데이터 입력 시간 및 출력 시간에 따른 프로세싱 지연 값이고,
상기 링크 비용은 상기 유효 경로별 소스 가상 머신으로부터 목적지 가상 머신까지의 거리 값인 오픈플로우 라우팅 방법.The method according to claim 1,
Wherein the processing cost is a processing delay value according to data input time and output time of the destination virtual machine for each valid path,
Wherein the link cost is a distance value from the source virtual machine to the destination virtual machine by the valid path.
상기 플로우 테이블로 저장하는 단계 이후에,
상기 오픈 브이스위치가 상기 VPN 게이트웨이를 통해 테넌트의 패킷을 전달받는 단계;
상기 오픈 브이스위치가 상기 패킷으로부터 목적지 가상 머신을 확인하는 단계;
상기 오픈 브이스위치가 상기 플로우 테이블에 기초하여 상기 VPN 게이트웨이로부터 상기 목적지 가상 머신까지의 최소 비용 경로를 검출하는 단계; 및
상기 오픈 브이스위치가 상기 테넌트의 패킷을 상기 검출한 최소 비용 경로에 따라 상기 목적지 가상 머신으로 스위칭하는 단계를 포함하되,
상기 테넌트의 패킷은 상기 최소 비용 경로에 따라 다른 오픈 브이스위치 및 오픈플로우 스위치 중 적어도 하나를 통해 스위칭되는 오픈플로우 라우팅 방법.The method according to claim 1,
After the storing in the flow table,
Receiving the packet of the tenant through the VPN gateway;
Confirming a destination virtual machine from the packet by the open V switch;
The open V switch detecting a minimum cost path from the VPN gateway to the destination virtual machine based on the flow table; And
And switching the open V-switch to the destination virtual machine according to the detected least cost path of the tenant packet,
Wherein the packets of the tenant are switched through at least one of the other open V switches and the open flow switches according to the least cost path.
테넌트의 패킷을 수신하는 VPN 게이트웨이;
각각 보안 서비스를 제공하는 복수의 가상 머신과 상기 VPN 게이트웨이 사이의 유효 경로들 및 상기 가상 머신 간의 유효 경로들을 검출하고, 상기 유효 경로별로 링크 비용 및 프로세싱 비용에 기초하여 메트릭 가중치를 산출하고, 상기 메트릭 가중치에 기초하여 상기 유효 경로들에 대한 최소 비용 경로를 설정하여 오픈플로우 프로토콜을 통해 저장하는 컨트롤러; 및
상기 컨트롤러로부터 설정된 유효 경로들의 최소 비용 경로의 정보를 플로우 테이블로 저장하고, 상기 플로우 테이블에 기초하여 테넌트의 패킷을 최소 비용 경로에 따라 전달하는 오픈플로우 스위치(OpenFlow Switch) 및 오픈 브이스위치(Open vSwitch, OVS)를 포함하는 오픈플로우 라우팅 장치.In an OpenFlow routing device in a security as a service (SECaaS) system based on cloud computing,
A VPN gateway for receiving packets of tenants;
Detecting effective paths between the virtual machines and the valid paths between the plurality of virtual machines providing security services and the VPN gateway, calculating metric weights based on link cost and processing cost for each effective path, A controller for setting a minimum cost path for the valid paths based on the weights and storing the minimum cost paths through an open flow protocol; And
An open flow switch and an open vSwitch for storing information of a minimum cost path of effective paths established from the controller in a flow table and delivering the packets of the tenant according to the minimum cost path based on the flow table, 0.0 > (OVS). ≪ / RTI >
상기 프로세싱 비용은 상기 유효 경로별 목적지 가상 머신의 데이터 입력 시간 및 출력 시간에 따른 프로세싱 지연 값이고,
상기 링크 비용은 상기 유효 경로별 소스 가상 머신으로부터 목적지 가상 머신 까지의 거리 값인 오픈플로우 라우팅 장치.5. The method of claim 4,
Wherein the processing cost is a processing delay value according to data input time and output time of the destination virtual machine for each valid path,
Wherein the link cost is a distance value from the source virtual machine to the destination virtual machine by the valid path.
상기 오픈 브이스위치는,
상기 VPN 게이트웨이를 통해 테넌트의 패킷을 전달받으면 상기 패킷으로부터 목적지 가상 머신을 확인하고, 상기 플로우 테이블에 기초하여 상기 VPN 게이트웨이로부터 상기 목적지 가상머신까지의 최소 비용 경로를 검출하여, 상기 테넌트의 패킷을 상기 검출한 최소 비용 경로에 따라 상기 목적지 가상 머신으로 스위칭하되,
상기 테넌트의 패킷은,
상기 최소 비용 경로에 따라 다른 오픈 브이스위치 및 상기 오픈플로우 스위치 중 적어도 하나를 통해 상기 목적지 가상머신까지 스위칭되는 오픈플로우 라우팅 장치.5. The method of claim 4,
The open V-
And a control unit for detecting a minimum cost path from the VPN gateway to the destination virtual machine on the basis of the flow table, Switching to the destination virtual machine according to the detected minimum cost path,
The packet of the tenant is,
And switches to the destination virtual machine via at least one of the other open V switches and the open flow switches according to the least cost path.
상기 컨트롤러는,
상기 유효 경로별 메트릭 가중치 중 가장 작은 값을 선택하여 상기 최소 비용 경로를 설정하는 오픈플로우 라우팅 장치.5. The method of claim 4,
The controller comprising:
And selects the smallest one of the metric weights for each effective path to set the minimum cost path.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20140062067 | 2014-05-23 | ||
KR1020140062067 | 2014-05-23 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150135041A true KR20150135041A (en) | 2015-12-02 |
KR101586474B1 KR101586474B1 (en) | 2016-01-18 |
Family
ID=54883381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140165634A KR101586474B1 (en) | 2014-05-23 | 2014-11-25 | Apparatus and method for openflow routing |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101586474B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109257198A (en) * | 2017-07-13 | 2019-01-22 | 中国电信股份有限公司 | Adapter, management system and the network resource operation method of SDN controller |
WO2019185051A1 (en) * | 2018-03-31 | 2019-10-03 | 华为技术有限公司 | Integrated flow table-based packet forwarding method and device |
CN115001900A (en) * | 2022-06-06 | 2022-09-02 | 中移(杭州)信息技术有限公司 | Message forwarding method, device, equipment and computer readable storage medium |
CN115486046A (en) * | 2020-05-14 | 2022-12-16 | 深圳市欢太科技有限公司 | Data packet processing method and device based on open virtual soft switch OVS |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101720710B1 (en) | 2016-02-19 | 2017-03-28 | 부산대학교 산학협력단 | SDN-based Information Cache and Caching Router Selection Method in Wireless Mesh Networks |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012160981A (en) * | 2011-02-02 | 2012-08-23 | Nec Corp | Management server device, inter-virtual-machine network configuration system, and network configuration method for them |
-
2014
- 2014-11-25 KR KR1020140165634A patent/KR101586474B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012160981A (en) * | 2011-02-02 | 2012-08-23 | Nec Corp | Management server device, inter-virtual-machine network configuration system, and network configuration method for them |
Non-Patent Citations (3)
Title |
---|
Azodolmolky, Siamak, Philipp Wieder, and Ramin Yahyapour. "Cloud computing networking: challenges and opportunities for innovations." IEEE Communications Magazine, Vol. 51, No. 7, pp. 54-62. (2013) * |
Xiao, Li, et al. "Advertising interdomain QoS routing information," IEEE Journal on Selected Areas in Communications, Vol. 22, No. 10, pp. 1949-1964. (2004) * |
유재형, 김우성, 윤찬현, "SDN/OpenFlow 기술 동향 및 전망,"KNOM Review, Vol. 15, No. 2, pp. 1-24. (2012.12) * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109257198A (en) * | 2017-07-13 | 2019-01-22 | 中国电信股份有限公司 | Adapter, management system and the network resource operation method of SDN controller |
WO2019185051A1 (en) * | 2018-03-31 | 2019-10-03 | 华为技术有限公司 | Integrated flow table-based packet forwarding method and device |
CN110324245A (en) * | 2018-03-31 | 2019-10-11 | 华为技术有限公司 | A kind of method and device to be E-Packeted based on integrated flow table |
CN110324245B (en) * | 2018-03-31 | 2021-03-23 | 华为技术有限公司 | Method and device for forwarding message based on integrated flow table |
US11496393B2 (en) | 2018-03-31 | 2022-11-08 | Huawei Technologies Co., Ltd. | Method and apparatus for forwarding packet based on integrated flow table |
CN115486046A (en) * | 2020-05-14 | 2022-12-16 | 深圳市欢太科技有限公司 | Data packet processing method and device based on open virtual soft switch OVS |
CN115486046B (en) * | 2020-05-14 | 2024-06-11 | 深圳市欢太科技有限公司 | Data packet processing method and equipment based on open virtual soft switch (OVS) |
CN115001900A (en) * | 2022-06-06 | 2022-09-02 | 中移(杭州)信息技术有限公司 | Message forwarding method, device, equipment and computer readable storage medium |
Also Published As
Publication number | Publication date |
---|---|
KR101586474B1 (en) | 2016-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3824602B1 (en) | Multi-cloud connectivity using srv6 and bgp | |
US10834004B2 (en) | Path determination method and system for delay-optimized service function chaining | |
US10742556B2 (en) | Tactical traffic engineering based on segment routing policies | |
Noormohammadpour et al. | Datacenter traffic control: Understanding techniques and tradeoffs | |
US11463511B2 (en) | Model-based load balancing for network data plane | |
Massoulie | Stability of distributed congestion control with heterogeneous feedback delays | |
RU2692042C1 (en) | Method of route determination and corresponding device and system | |
US10374972B2 (en) | Virtual flow network in a cloud environment | |
US9736263B2 (en) | Temporal caching for ICN | |
US10630508B2 (en) | Dynamic customer VLAN identifiers in a telecommunications network | |
CN104584484A (en) | System and method providing policy based data center network automation | |
CN106470155B (en) | Virtual machine data forwarding method, SDN controller and SDN system | |
US11595393B2 (en) | Role-based access control policy auto generation | |
CN106685903B (en) | SDN-based data transmission method, SDN controller and SDN system | |
Pietrabissa et al. | Lyapunov-based design of a distributed wardrop load-balancing algorithm with application to software-defined networking | |
CN103795805A (en) | Distributed server load balancing method based on SDN | |
CN112242949A (en) | Route distribution method and controller, information routing method and network node equipment | |
CN104335537A (en) | System and method for layer-2 multicast multipathing | |
CN105024844A (en) | Method, server and system for computing cross-domain routing | |
WO2019061169A1 (en) | Route selection method and device based on hybrid resources, and server | |
Shang et al. | Service-aware adaptive link load balancing mechanism for Software-Defined Networking | |
KR101586474B1 (en) | Apparatus and method for openflow routing | |
US10630579B1 (en) | Ensuring separate paths for network traffic between source devices and a destination device | |
JP6265427B2 (en) | Network function load distribution system and method | |
Chou et al. | A security service on-demand architecture in SDN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20190107 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20200113 Year of fee payment: 5 |