ホーム > 特許ランキング > 中華電信股▲分▼有限公司
知財求人 - 知財ポータルサイト「IP Force」
特許6591621多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6591621
(24)【登録日】2019年9月27日
(45)【発行日】2019年10月16日
(54)【発明の名称】多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム
(51)【国際特許分類】
H04L 12/70 20130101AFI20191007BHJP
H04L 12/717 20130101ALI20191007BHJP
【FI】
H04L12/70 D
H04L12/717
【請求項の数】6
【全頁数】12
(21)【出願番号】特願2018-112571(P2018-112571)
(22)【出願日】2018年6月13日
(65)【公開番号】特開2019-33475(P2019-33475A)
(43)【公開日】2019年2月28日
【審査請求日】2018年6月13日
(31)【優先権主張番号】106126451
(32)【優先日】2017年8月4日
(33)【優先権主張国】TW
(73)【特許権者】
【識別番号】501027245
【氏名又は名称】中華電信股▲分▼有限公司
(74)【代理人】
【識別番号】110001195
【氏名又は名称】特許業務法人深見特許事務所
(72)【発明者】
【氏名】朱 ▲ユ▼ 煌
(72)【発明者】
【氏名】徐 浩 然
(72)【発明者】
【氏名】任 安 ▲ニ▼
(72)【発明者】
【氏名】曾 閔 棋
(72)【発明者】
【氏名】劉 景 豊
【審査官】
森田 充功
(56)【参考文献】
【文献】
特表2016−509412(JP,A)
【文献】
国際公開第2016/139910(WO,A1)
【文献】
国際公開第2015/100329(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/70
H04L 12/717
(57)【特許請求の範囲】
【請求項1】
多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システムであって、
サーバを備え、
前記サーバは、
ネットワーク機能の仮想化技術に基づいて、トラフィックのプロキシ処理を行うように構成された少なくとも1つの仮想ルータと、
ソフトウェア定義ネットワーク技術に基づいて、前記仮想ルータの動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと、複数の仮想ローカルエリアネットワークタグとの対応関係を確立するように構成されたネットワークコントローラと、
複数の仮想マシンと物理ネットワークとの接続および前記仮想マシン間の相互接続を確立するように機能し、前記仮想ルータは、前記仮想マシンの各々に配置されている、仮想ネットワーク制御モジュールと、
前記仮想ネットワーク制御モジュールの時間管理設定を受信し、複数のユーザ装置の合法なネットワーク接続時間を管理し、不正なインターネット接続時に前記ユーザ装置の送受信トラフィックをブロックするように構成された時間管理モジュールと、
前記仮想ルータのハードウェアおよびネットワークリソースを配置するように構成された仮想化管理プラットフォームとを含み、
前記対応関係は、各々の前記仮想プライベートネットワークおよび各々の前記ローカルエリアネットワークが対応する前記仮想ローカルエリアネットワークタグを有することを意味し、
物理スイッチまたは仮想スイッチを備え、
前記物理スイッチまたは前記仮想スイッチは、前記ネットワークコントローラの前記対応関係に基づきトラフィックの転送を決定し、
前記物理スイッチまたは前記仮想スイッチは、前記対応関係に記載された、異なるトラフィックの宛先インターネットプロトコルアドレスに対応する前記仮想ローカルエリアネットワークタグに従って、異なる前記ローカルエリアネットワークからの異なるトラフィックを対応する前記仮想プライベートネットワークに誘導し、前記トラフィックを前記仮想プライベートネットワークを介して、対応する前記ローカルエリアネットワーク内のユーザ装置に送信し、
前記物理スイッチまたは前記仮想スイッチは、前記時間管理モジュールの設定に従って、トラフィック情報を検査することによって、前記ユーザ装置が時間範囲内でネットワークにアクセスできるか否かを判断し、前記トラフィック検査情報の設定は、前記時間管理設定に基づいている、
多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。
サーバを備え、
前記サーバは、
ネットワーク機能の仮想化技術に基づいて、トラフィックのプロキシ処理を行うように構成された少なくとも1つの仮想ルータと、
ソフトウェア定義ネットワーク技術に基づいて、前記仮想ルータの動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと、複数の仮想ローカルエリアネットワークタグとの対応関係を確立するように構成されたネットワークコントローラと、
複数の仮想マシンと物理ネットワークとの接続および前記仮想マシン間の相互接続を確立するように機能し、前記仮想ルータは、前記仮想マシンの各々に配置されている、仮想ネットワーク制御モジュールと、
前記仮想ネットワーク制御モジュールの時間管理設定を受信し、複数のユーザ装置の合法なネットワーク接続時間を管理し、不正なインターネット接続時に前記ユーザ装置の送受信トラフィックをブロックするように構成された時間管理モジュールと、
前記仮想ルータのハードウェアおよびネットワークリソースを配置するように構成された仮想化管理プラットフォームとを含み、
前記対応関係は、各々の前記仮想プライベートネットワークおよび各々の前記ローカルエリアネットワークが対応する前記仮想ローカルエリアネットワークタグを有することを意味し、
物理スイッチまたは仮想スイッチを備え、
前記物理スイッチまたは前記仮想スイッチは、前記ネットワークコントローラの前記対応関係に基づきトラフィックの転送を決定し、
前記物理スイッチまたは前記仮想スイッチは、前記対応関係に記載された、異なるトラフィックの宛先インターネットプロトコルアドレスに対応する前記仮想ローカルエリアネットワークタグに従って、異なる前記ローカルエリアネットワークからの異なるトラフィックを対応する前記仮想プライベートネットワークに誘導し、前記トラフィックを前記仮想プライベートネットワークを介して、対応する前記ローカルエリアネットワーク内のユーザ装置に送信し、
前記物理スイッチまたは前記仮想スイッチは、前記時間管理モジュールの設定に従って、トラフィック情報を検査することによって、前記ユーザ装置が時間範囲内でネットワークにアクセスできるか否かを判断し、前記トラフィック検査情報の設定は、前記時間管理設定に基づいている、
多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。
【請求項2】
前記物理スイッチまたは前記仮想スイッチは、前記トラフィックの仮想ローカルエリアネットワークタグを検査して、前記トラフィックを対応する前記仮想ルータに誘導する、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。
【請求項3】
前記物理スイッチまたは前記仮想スイッチは、前記サーバに配置される、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。
【請求項4】
前記サーバには、前記複数の仮想マシンが実装され、
前記仮想ルータは、各仮想マシンに配置される、請求項2に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。
前記仮想ルータは、各仮想マシンに配置される、請求項2に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。
【請求項5】
前記仮想ルータは、複数のユーザ装置から送信された異なるトラフィックの仮想ローカルエリアネットワークタグに従って、異なる種類のトラフィックを隔離し、対応する前記仮想プライベートネットワークに誘導することによって、エンドツーエンド仮想ネットワーク隔離を実現する、請求項1に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。
【請求項6】
前記仮想ルータを用いて物理ルータを置換し、前記仮想ルータが同様のゲートウェイを設定することによって、複数のユーザ装置が前記ゲートウェイのインターネットプロトコルアドレスを変更する必要を無くし、異なる前記仮想ルータを前記サーバ内の異なる前記仮想マシンに配置し、異なるトラフィックに異なるルーティングテーブルを与えることによって、エンドツーエンド隔離の仮想プライベートネットワークサービスを実現する、請求項2に記載の多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システム。
【発明の詳細な説明】
【技術分野】
【0001】
技術分野本発明は、仮想プライベートネットワークに関し、特に多様なアーキテクチャをサポートできる仮想プライベートネットワークサービス実装システムに関する。
【背景技術】
【0002】
背景技術仮想プライベートネットワーク(VPN:Virtual Private Network)とは、主に、トンネリング技術および暗号化/復号などのセキュリティ技術を用いて、公衆インターネット上に構築された安全なプライベートネットワークである。従来のプライベートネットワークに比べて、仮想プライベートネットワークは、専用回線を使用する必要なく、通信プロトコル技術を利用して安価でインターネット上で専用回線の安全性を得ることができる。また、仮想プライベートネットワークは、従来のプライベートネットワークよりも優れた拡張性および柔軟な応用性を備え、接続ポイントを便利且つ容易に拡張することができ、必要に応じて接続帯域幅を増やすことができ、既存のアーキテクチャを調整することなく既存の接続技術を使用することができるため、設備の投資コストを削減し、管理および維持をより簡単に行うことができるという利点を有する。
【0003】
現行の仮想プライベートネットワークは、インターネットセキュリティプロトコル(IPSec:IP security protocol)、マルチプロトコルラベルスイッチング(MPLS:Multiprotocol Label Switching)、汎用ルーティングカプセル化(GRE:Generic Routing Encapsulation)、および動的マルチポイント仮想プライベートネットワーク(DMVPN:Dynamic Multipoint VPN)などの様々な技術を用いて、ポイントツーポイントまたはポイントツーマルチポイントの仮想プライベートネットワーク接続を達成することができる。しかしながら、現行の仮想プライベートネットワークは、主にインターネット上に企業専用のプライベートネットワークを構築することによって、企業内部のネットワーク(イントラネット)、上流業者および下流業者または関係会社間のネットワーク(エクストラネット)、国境なしのリモートアクセスを達成している。
【0004】
2017年2月15日に公開された中国特許CN106411735は、「ルータ設置方法および装置」を記載している。当該特許に記載のルータ設置方法および装置は、ソフトウェア定義ネットワーク(SDN:Software-Defined Networking)に設けられたコントロールに適用される。当該方法は、コントローラを介して、テナントVPNインスタンスのルータターゲット(RT:Router Target)属性および外部VPNインスタンスのルーティングポリシーを構成することによって、ゲートウェイ装置に、ルーティングポリシーに従って異なる外部装置のルータにRT属性を設定させ、ルータのRT属性をテナントVPNインスタンスのRT属性とマッチングさせ、マッチングしたルータをテナントVPNインスタンスに追加させることによって、テナントのトラフィックを誘導して外部ネットワークに転送する。当該発明を用いて、ゲートウェイ装置上のルータを動的に更新することができる。
【0005】
しかしながら、現行の仮想プライベートネットワークは、以下の課題、具体的に、第一の課題、すなわち、仮想プライベートネットワークが広域ネットワーク(WAN:Wide Area Network)に広く使用されているが、仮想プライベートネットワークをWAN側から企業内部ローカルエリアネットワーク(LAN:Local Area Network)およびデータセンタに拡張する場合に、マルチポイントツーマルチポイントエンドツーエンドネットワーク隔離を実現すること、第二の課題、すなわち、全てのユーザのトラフィックが同一の回路に混合されているため、異なる種類のトラフィックを互いに隔離すること、および第三の課題、すなわち、時間管理に基づいた動的且つフレキシブル実装、アクセスおよび制御メカニズムをまだ解決していない。したがって、実際の応用上、先行技術は、依然として上記の課題を解決しなければならない。
【発明の概要】
【発明が解決しようとする課題】
【0006】
発明の概要課題
したがって、本発明の目的は、多様なエンドツーエンドネットワーク隔離をサポートする仮想プライベートネットワーク(VPN)サービス実装システムを提供することにある。本発明のシステムは、ネットワーク機能の仮想化およびソフトウェア定義ネットワークを利用して、ネットワーク配置をフレキシブルに調整することによって、現行の仮想プライベートネットワークを広域ネットワークから企業内部ローカルエリアネットワークに拡張する。
【0007】
本発明によって提供された高安全性のエンドツーエンドネットワーク隔離サービス実装は、異なる種類のトラフィックに従ってトラフィックを誘導することによって、現行の企業内部ローカルエリアネットワーク内の全てのトラフィックが同一の回線に混在され転送される問題およびルーティングテーブルを共有する場合の安全性問題を解決する。これによって、企業内に1つのシステムがハッキングされると、企業内の他のシステムに影響を及ぼすことを防ぐ。本発明は、時間管理ポリシーおよび不正使用防止に基づいたネットワークアクセス制御メカニズムを提案することによって、企業仮想プライベートネットワークの安全性をさらに強化し、仮想プライベートネットワークの構築、運用および維持のコストを削減する。
【課題を解決するための手段】
【0008】
手段上記目的を達成するために、本発明の多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、以下のアーキテクチャ、即ち、サーバに設けれた仮想化管理プラットフォーム、仮想ネットワーク制御モジュール、仮想ルータおよびネットワークコントローラと、物理スイッチまたは仮想スイッチとで構成される。仮想ルータは、ネットワーク機能の仮想化技術に基づいて、トラフィックのプロキシ処理を行う。ネットワークコントローラは、ソフトウェア定義ネットワーク技術に基づいて、仮想ルータの動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと、複数の仮想ローカルエリアネットワーク(Vlan)タグとの対応関係を確立する。仮想化管理プラットフォームは、仮想ルータのハードウェアおよびネットワークリソースを配置する。物理スイッチまたは仮想スイッチは、ネットワークコントローラからの命令を受信し、物理スイッチまたは仮想スイッチに入力されたフローエントリ情報に従って、トラフィックの転送を決定する。仮想ルータは、この対応関係に従って、物理スイッチまたは仮想スイッチを介して、異なるローカルエリアネットワークからの異なるトラフィックを対応する仮想プライベートネットワークに誘導する。
【発明の効果】
【0009】
効果これにより、仮想化管理プラットフォームを介して、異なる種類のトラフィックに応じて複数の仮想ルータを配置し、エンドツーエンド仮想ネットワーク隔離を確立することによって、異なる種類のトラフィックの隔離を達成することができる。さらに、ネットワークコントローラは、物理または仮想スイッチを制御し、トラフィック転送ポリシーを決定すると共に、時間に基づいた動的且つフレキシブル実装管理メカニズムを提供することによって、効率良く且つ安全なネットワークアクセス制御を提供する。最後に、物理スイッチまたは仮想スイッチは、トラフィックパケットを転送し、トラフィックの宛先インターネットプロトコル(IP)アドレスおよび仮想ローカルエリアネットワークタグに従って、トラフィックを転送するためのルータを決定することによって、エンドツーエンド仮想ネットワークの安全隔離を実現すると共に、仮想プライベートネットワークの構築、運用および維持のコストを削減する。
【図面の簡単な説明】
【0010】
【図1】従来の仮想プライベートネットワークのアーキテクチャを示す図である。
【図2】本発明の一実施形態に従った多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システムを示す図である。
【図3】本発明の一実施形態に従って、混合式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。
【図4】本発明の一実施形態に従って、統一式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。
【図5】本発明の一実施形態に従って、整合式エンドツーエンド隔離仮想プライベートネットワークをサポートする実装アーキテクチャを示す図である。
【図6】本発明の一実施形態に従ったエンドツーエンド仮想プライベートネットワークの隔離を示す概略図である。
【発明を実施するための形態】
【0011】
詳細な説明本発明は、多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムである。本発明は、費用対効果を有し、ネットワーク機能の仮想化およびソフトウェア定義ネットワークのフレキシブル実装に基づいてトラフィックを誘導し、マルチアーキテクチャのエンドツーエンドネットワークの安全隔離をサポートすることによって、企業のローカルエリアネットワーク、ワイドエリアネットワークおよびデータセンタ間の仮想プライベートネットワークのエンドツーエンド安全性を向上すると共に、仮想プライベートネットワークの構築、運用および維持のコストを削減する。
【0012】
図1は、従来の仮想プライベートネットワークのアーキテクチャを示している。ローカルエリアネットワーク18は、ユーザ装置A14、ユーザ装置B15、ユーザ装置C16およびユーザ装置D17を含む。異なるユーザ装置は、異なる種類のトラフィックを生成する。これらのユーザ装置は、レイヤ2スイッチ13を介して相互接続される。また、ローカルエリアネットワーク18内のユーザ装置は、ゲートウェイZ12を含む物理ルータ11を介して、仮想プライベートネットワーク19を経由して企業の他のサブサイト内のユーザ装置に接続する。すなわち、全てのユーザ装置は、仮想プライベートネットワークを介して企業のリモートサイトに接続される。このアーキテクチャにおいて、異なる種類のトラフィックのシステムが同一のローカルエリアネットワーク内で互いに通信することができ、全てのトラフィックが混合して同一の回路に転送され、同一のルータのルーティングテーブルを共有するため、安全上の問題が存在し得る。企業内の1つのホストまたはシステムがハッキングされた場合、企業ネットワークにエンドツーエンド隔離を行っていないため、他のシステムもハッキングされる可能性があり、企業の重要な情報システムがハッキングされてしまう。
【0013】
図2は、本発明の一実施形態に従った多様なエンドツーエンド隔離をサポートする仮想プライベートネットワークサービス実装システムを示す図である。この仮想プライベートネットワークサービス実装システムは、サーバ27と、物理または仮想スイッチ26と、レイヤ2スイッチ13と、ユーザ装置28(例えば、携帯電話、デスクトップコンピュータ、ラップトップなど)とを含む。
【0014】
物理サーバ27は、仮想ルータ21と、ネットワークコントローラ22と、時間管理モジュール23と、仮想ネットワーク制御モジュール24と、仮想化管理プラットフォーム25とを含む。サーバ27は、中央処理装置(CPU)、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、プログラム可能なコントローラなどを介して、これらの仮想要素、プラットフォームおよびソフトウェアモジュールを実行することができる。
【0015】
仮想ルータ21は、オープンソースのネットワークオペレーティングシステムであり、物理サーバ(すなわち、サーバ27)または仮想マシンに実装される。本実施形態では、1台のサーバ27に複数の仮想マシンを実装することができ、各仮想マシンに仮想ルータ21を配置することができる。仮想ルータ21は、主に、汎用x86プラットフォーム上で、ネットワーク機能仮想化技術に基づいてトラフィックのプロキシ処理を行うことによって、物理ルータのネットワーク機能、例えば、ルーティング機能、ネットワークアドレス変換、ファイアウォールおよび仮想プライベートネットワーク機能を提供することができる。
【0016】
ネットワークコントローラ22は、様々なオープンソースコントローラまたは商用コントローラをサポートするネットワークコントローラである。本発明の実施形態では、ネットワークコントローラ22は、物理サーバ(すなわち、サーバ27)または仮想マシンにインストールすることができる。ネットワークコントローラ22は、主に複数の通信プロトコルを介してネットワーク上の物理または仮想スイッチ26を制御すると共に、端末装置(例えば、ユーザ装置28)およびグループの管理、ネットワークトポロジーの管理、ネットワークアクセスポリシーの管理、トラフィックコンテンツの管理、トラフィック量の統計およびログ管理を行い、ソフトウェア定義ネットワーク技術に基づいて、仮想ルータ21の動作を動的に割り当てると共に、複数の仮想プライベートネットワークおよび複数のローカルエリアネットワークと複数の仮想ローカルエリアネットワーク(Vlan)タグとの対応関係を確立する。この対応関係は、各々の仮想プライベートネットワークおよび各々のローカルエリアネットワークが対応する仮想ローカルエリアネットワークタグを有することを意味する。
【0017】
仮想ネットワーク制御モジュール24は、様々な仮想化管理プラットフォーム25に広く適用することができ、主に仮想マシンと物理ネットワークとの間の接続および仮想マシン間の相互接続を確立するように機能する。時間管理モジュール23は、仮想ネットワーク制御モジュール24の時間管理設定を受信し、各ユーザ装置の合法なネットワーク接続時間を管理し、不正なインターネット接続時にユーザ装置28の送受信トラフィックをブロックする役割を果たす。仮想化管理プラットフォーム25は、主に汎用x86サーバ上に提供され、リソースの計算、ネットワークリソースおよびストレージリソースの仮想化およびリソースの割り当てを管理することによって、仮想ルータ22のハードウェアおよびネットワークリソースを構成するように機能する。
【0018】
物理スイッチまたは仮想スイッチ26(仮想スイッチ26は、サーバ27または他のサーバに配置されてもよく、仮想マシンによって作動されてもよい)は、ネットワークコントローラ22からの命令を受信し、物理または仮想スイッチ26に入力されたフローエントリ情報(Flow Entries)に従ってトラフィックの転送を決定する役割を果たす。トラフィックの転送動作は、後続の実施形態で説明される。
【0019】
本発明の実施形態の操作ステップを容易に理解するために、以下の複数の実施例を用いて、本発明の実施形態のトラフィックルーティングアーキテクチャを詳細に説明する。以下、図2の各構成要素およびモジュールをもって説明を行う。本発明の実施形態の各ステップは、実施要件に応じて調整することができ、これに限定されるものではない。
【0020】
図3は、本発明の一実施形態に従って、混合式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。その目的は、物理ルータ11を保有すると共に、企業内部仮想ネットワークの設計および異なる種類のトラフィックの隔離需要に応じて、異なる仮想ルータ(例えば、仮想ルータX33および仮想ルータY34)をフレキシブルに実装することである。仮想ルータX33および仮想ルータY34は、仮想マシンにインストールすることができ、その機能は主に、ユーザ装置(ユーザ装置A14、ユーザ装置B15、ユーザ装置C16およびユーザ装置D17)から送信された異なるトラフィックのVlanタグに従って、異なる種類のトラフィックを隔離して仮想プライベートネットワーク19に誘導することによって、エンドツーエンド仮想ネットワーク隔離を実現する。上述した仮想ルータX33、仮想ルータY34、ネットワークコントローラ22、時間管理モジュール23、仮想ネットワーク制御モジュール24および仮想化管理プラットフォーム25は、1つのサーバ27に配置されている。
【0021】
異なる種類のシステム応用およびトラフィックに応じて、企業内部ネットワークを複数の仮想ローカルエリアネットワーク(すなわち、ローカルエリアネットワークA35、ローカルエリアネットワークB36およびローカルエリアネットワークC37)を分割することによって、異なる種類のトラフィックを互いに隔離することができる。例えば、ユーザ装置A14は、ローカルエリアネットワークA35に属し、ユーザ装置B15およびユーザ装置C16は、ローカルエリアネットワークB36に属し、ユーザ装置D17は、ローカルエリアネットワークC37に属する。ユーザ装置と仮想プライベートネットワークとの接続は、既存の物理ルータ11または仮想ルータX33、Y34を使用するようにフレキシブルに構成することができる。レイヤ2スイッチ13は、ユーザ装置のトラフィックコンテンツが属するローカルエリアネットワークに従って、異なるVlanタグを付けて(例えば、ユーザ装置A14のトラフィックコンテンツの場合、Vlan Aを付ける。以下同様)、物理または仮想スイッチ26に送信する。物理または仮想スイッチ26は、時間管理モジュール23の設定に従ってトラフィック情報(例えば、送信元IPアドレス(IP1〜IP4)および送信元メディアアクセス制御(MAC:Media Access Control)アドレス(MAC1〜MAC4))を検査することによって、対応するユーザ端末が特定の時間範囲内でネットワークにアクセスできるか否かを判断する。ネットワークにアクセスできる場合、物理または仮想スイッチ26は、トラフィックのVlanタグに従って、当該トラフィックを対応するゲートウェイZ12、ゲートウェイX31およびゲートウェイY32に送信する。ルーティングテーブルに記録されたルーティングメカニズムは、以下の例で説明する。
【0022】
例えば、ユーザ装置A14から送信されたVlan Aのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、ゲートウェイZ12が配置されている物理ルータ11に誘導され、物理ルータ11は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Dを用いて、Vlan Aのトラフィックを仮想プライベートネットワーク19に送信する。ユーザ装置B15およびユーザ装置C16から送信されたVlan Bのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、仮想ゲートウェイX31が配置されている仮想ルータX33に誘導され、仮想ルータX33は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Eを用いて、Vlan Bのトラフィックを仮想プライベートネットワーク19に送信する。同様に、ユーザ装置D17から送信されたVlan Cのトラフィックは、レイヤ2スイッチ13および物理または仮想スイッチ26を介して、仮想ゲートウェイY32が配置されている仮想ルータY34に誘導され、仮想ルータY34は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、受信したトラフィックのVlanタグに従って、Vlan Fを用いて、Vlan Cのトラフィックを仮想プライベートネットワーク19に送信する。
【0023】
同様に、仮想プライベートネットワーク19からユーザ装置A14に送信されるトラフィックは、物理または仮想スイッチ26を介して物理ルータ11に誘導され、物理ルータ11は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、トラフィックの宛先IPアドレスに従って、レイヤ2スイッチ13を介してトラフィックをユーザ装置A14に送信する。仮想プライベートネットワーク19からユーザ装置B15またはユーザ装置C16に送信されるトラフィックは、物理または仮想スイッチ26を介して仮想ルータX33に誘導され、仮想ルータX33は、トラフィックを物理または仮想スイッチ26にルーティングする。物理または仮想スイッチ26は、トラフィックの宛先IPアドレスに従って、レイヤ2スイッチ13を介してトラフィックをユーザ装置B15またはユーザ装置C16に送信する。仮想プライベートネットワーク19からユーザ装置D17に送信されるトラフィックは、仮想ルータY34によってルーティングされる。上述したように、異なるVlanのトラフィックに異なる物理または仮想ルータおよび異なるルーティングテーブルを使用することによって、ルーティングテーブルの物理隔離およびエンドツーエンド仮想ネットワーク隔離を実現することができる。
【0024】
図4は、本発明の一実施形態に従って、統一式エンドツーエンド隔離仮想プライベートネットワークに適用された実装アーキテクチャを示す図である。図3とは異なり、本実施形態は、仮想ルータZ41を用いて、図3の物理ルータ11を置換したことである。仮想ルータZ41は、同様のゲートウェイZ12をユーザ装置A14のゲートウェイとして設定することによって、ユーザ装置A14がゲートウェイのIPアドレスを変更する必要を無くし、物理ルータを仮想ルータにシームレスに変換するアーキテクチャを提供し、物理ルータの購入および保守のコストを効果的に削減することができる。このアーキテクチャは、仮想ルータZ41を用いて物理ルータ11を置換し、物理または仮想スイッチ26を用いてトラフィックパケットの仮想ローカルエリアネットワークタグを検査することによって、トラフィックのルーティング経路を決定する。例えば、Vlan Aのトラフィックは、仮想ルータZ41に誘導され、Vlan Bのトラフィックは、仮想ルータX33に誘導され、Vlan Cのトラフィックは、仮想ルータY34に誘導される。なお、1台または複数台のサーバ27内の異なる仮想マシンに異なる仮想ルータを配置し、異なるトラフィックに異なるルーティングテーブルを与えることによって、エンドツーエンドネットワーク隔離仮想プライベートネットワークサービスを達成することができる。
【0025】
図5に示すように、本発明は、配置モードを簡素化するために、整合式エンドツーエンド隔離仮想プライベートネットワークをサポートする実装アーキテクチャを提供することもできる。図4とは異なり、この実施形態では、物理または仮想スイッチ26がサーバ27に収容されている。本発明の実施形態を中小規模のソフトウェア定義ネットワークに適用することによって、エンドツーエンド隔離の仮想プライベートネットワークを提供することができる。従来のアーキテクチャの場合、1つまたは複数の物理または仮想スイッチを追加的に配置する必要がある。これによって、多くのハードウェアリソースが消費され、パケット伝送の遅延時間が長くなる。本発明の実施形態は、物理または仮想スイッチ26、ネットワークコントローラ22、および仮想ルータ33、34および41を1台のサーバ27に配置することによって、ネットワークアーキテクチャを簡素化する。これによって、内部ネットワークの異なるネットワークセグメントを隔離する設計を保有すると共に、ネットワーク要素の導入コストを大幅に削減し、従来の物理または仮想スイッチ26とサーバ27との間の帯域幅の消費およびネットワーク待ち時間を低減し、サービス実装の柔軟性および移植性を向上させる。従来のアーキテクチャに比べて、本発明の実施形態に係るシステムは、ハードウェアリソースの使用を著しく低減すると共に、調達資本支出(CAPEX)および運用保守費用(OPEX)を減らすことができる。ネットワーク構成が変更された場合、本発明は、ネットワークコントローラを介して、フレキシブルに管理および実装を行うことができ、これにより、実装の柔軟性を増やす。
【0026】
図6のエンドツーエンド仮想プライベートネットワークの隔離を示す概略図を参照して、本発明によって提供された3種類のフレキシブルに構築可能なエンドツーエンドネットワーク隔離仮想プライベートネットワークアーキテクチャが企業の異なるサイト(例えば、オフィス1のサイトとオフィス2のサイトまたはデータセンタのエンドツーエンド仮想プライベートネットワーク全体との)間における実際の隔離操作をより理解することができる。企業は、高品質且つ高安全性のMPLS VPNを用いて、2つのサイトを企業の外部ネットワークに接続することができ、安価なインターネットブロードバンドを介して回線に接続することもできる。本発明の実施形態によって提供された単一の物理サーバ上で複数の仮想ルータを実行することによって、異なる仮想プライベートネットワークに各々独立したルーティングテーブルを与えると共に、ネットワークコントローラ22の迅速且つ柔軟な実装変更機能を使用することによって、元々広域ネットワークVPNに使用される隔離方法を企業内部ローカルエリアネットワークとデータセンタとの間に拡張することができ、完全なエンドツーエンド隔離の分離仮想プライベートネットワークサービス実装システムを実現する。
【0027】
特長および効果従来の技術に比べて、本発明の実施形態に係る多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、以下の利点を有する。
【0028】
本発明の実施形態に係る多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、費用対効果を有し、エンドツーエンド仮想プライベートネットワーク隔離に基づいたフレキシブル実装サービスシステムであって、企業内部ネットワーク、外部ネットワークおよびデータセンタに異なる種類のトラフィックを提供することによって、エンドツーエンド隔離を実現する。ネットワーク使用管理メカニズムを採用して、企業ネットワークアクセス時間の管理および不正利用のブロックを提供することによって、本発明の実施形態は、異なる需要にフレキシブルに応じて、多様なアーキテクチャを提供し、動的管理およびフレキシブル実装を行うことができるため、CAPEXおよびOPEXを大幅低減することができる。
【0029】
従来のアーキテクチャに比べて、本発明の実施形態のシステムは、従来のWAN側から、仮想プライベートネットワークを企業LANおよびデータセンタに拡張することができ、仮想プライベートネットワークのエンドツーエンド隔離安全性を向上させる。
【0030】
本発明の実施形態のシステムは、1つのサーバに複数の仮想ルータをフレキシブルに配置することをサポートし、異なる種類のトラフィックに応じて個別のルーティングテーブルを提供することによって、トラフィックの安全隔離を達成する。
【0031】
ネットワーク構成が変更する場合、本発明の実施形態は、ネットワークコントローラを介して、フレキシブルに管理および実装を行うことができ、これにより、本発明のシステムは、従来のアーキテクチャに比べて、実装の移植性および柔軟性を増やす。
【0032】
本発明によって提案された多様なエンドツーエンドネットワーク隔離をサポートするVPNサービス実装システムは、企業ネットワークの応用需要に従って、物理ネットワーク要素の配置およびリソースの使用をフレキシブルに低減すると共に、CAPEXおよびOPEXを減らすことができる。
【0033】
上記の実施形態を用いて本発明を開示したが、これらの実施形態は、本発明を限定するものではない。当該技術分野における通常の知識を有する者は、本発明の精神および範囲から逸脱することなく、様々な修正および変形を行うことができる。したがって、本発明の保護範囲は、添付の特許範囲によって定義される。
【産業上の利用可能性】
【0034】
産業上の利用性多様なアーキテクチャをサポートする仮想プライベートネットワークサービス実装システムは、電気通信産業によるユーザの管理に適用することができる。
【符号の説明】
【0035】
11 物理ルータ、12 ゲートウェイZ、13 レイヤ2スイッチ、14 ユーザ装置A、15 ユーザ装置B、16 ユーザ装置C、17 ユーザ装置D、18 ローカルエリアネットワーク、19 仮想プライベートネットワーク、21 仮想ルータ、22 ネットワークコントローラ、23 時間管理モジュール、24 仮想ネットワーク制御モジュール、25 仮想化管理プラットフォーム、26 物理または仮想スイッチ、27 サーバ、28 ユーザ装置、31 ゲートウェイX、32 ゲートウェイY、33 仮想ルータX、34 仮想ルータY、35 ローカルエリアネットワークA、36 ローカルエリアネットワークB、37 ローカルエリアネットワークC、41 仮想ルータZ。