ECN sada 親 makoto, hitomi 完全分散型VPNの設計と実装 ECN sada 親 makoto, hitomi
アウトライン 背景と問題意識 ELA 提案と概要 設計課題 ネットワーク構築方法 実装と評価 関連研究 まとめと今後
背景と問題意識
背景 インターネットの普及と仕事の変化 在宅勤務で利用されるネットワーク技術 在宅勤務制を導入する企業の増加(Oracle等) 自由な時間や場所で仕事が可能に 在宅勤務で利用されるネットワーク技術 VPN
VPN なぜVPNが利用されるのか? 個人同士の作業にも利用できないか? 専用線やダイアルアップより遥かに安価 既存のソフトウェアに手を加えることなく利用できる 認証や通信経路暗号化等によるセキュリティ 個人同士の作業にも利用できないか? しかし企業のような設備がない
問題意識 やりたいこと 従来のオーバーレイ型VPN機構 個人同士が協調作業するための専用ネットワークとして、VPNを構築したい クライアントサーバモデルによる運用・性能の問題点 インターネット
問題意識 クライアントサーバモデルのVPN 運用の問題点 性能の問題点 Addressing Single Point of Failure Etc. 性能の問題点 Single Source of Bottleneck
ELA ~提案と概要~
ELA ELA (Everywhere Local Area network) 個人同士のノードによる専用ネットワーク(ELA-VPN) LANと同様に扱える 内部的にはP2Pネットワークになっており、ノード同士の通信にサーバ不要 ELA-VPN用IPアドレスの割り当て
ELA イメージ図 P2Pネットワーク 10.0.0.6 10.0.0.1 ELA-VPN 10.0.0.2 10.0.0.3 10.0.0.5 10.0.0.4 インターネット
ELA ~関連研究~
関連研究(1) Emotion Link 仮想的なLANを構築 通信の中継はサーバが行う EL IPアドレスが割り当てられる サーバのダウン=サービス停止
関連研究(2) IPv6 P2P VPN システム 株式会社DITが開発 IPv6 のIPsecを用いたVPN End-to-Endの通信 管理が煩雑化 IPv6 の導入が必要
ELA ~設計課題~
設計課題 カプセル化パケットの転送プロトコル P2Pネットワークの構築方法 TCP? UDP? GRE? IPSec? Firewall, NATなどのノードを考慮 P2Pネットワークの構築方法 ルーティング手段の確立
カプセル化パケットの転送プロトコル NATやFirewallによる通信への影響 TCP/IP 設定によって通信可、内側からセッションを張れることが多い UDP/IP 設定によって通信可 GRE ルータやNATによっては通信不可 IPSec 〃 以上の理由から、オーバーレイ型VPNではTCP, UDPを利用する実装が多い
カプセル化パケットの転送プロトコル UDPのメリット TCPのメリット 共にメリットがある 転送速度がTCPより約1.6倍高速(OpenVPNの場合、当然実装による) TCPのメリット Firewall, NAT内からでも接続できる 共にメリットがある
P2Pネットワークの構築方法 カプセル化パケットの転送プロトコル ELA-IPアドレスとインターネットのIPアドレスの対応表 TCPとUDPを適宜使い分けるネットワークトポロジ ノードが利用できるプロトコルによってノードを分別 ELA-IPアドレスとインターネットのIPアドレスの対応表 全ノードで分散して保持、必要に応じてやり取り 分散ハッシュテーブルの利用
P2Pネットワークの構築方法
ELA ~ネットワーク構築方法~
設計方針 ネットワーク ルーティングに分散ハッシュテーブルを利用 TCPとUDPの両方の特性を生かす 認証や初期ノード発見 サーバを用意
論理ネットワークの例 30 コアノード 27 3 エッジノード 8 UDP 23 TCP 12 TCP(予備) 16 14
コアノードとエッジノード コアノード エッジノード 他ノードからTCPを受け付けられる UDPで送受信できる ELA-IPアドレスと実際のIPアドレスの対応表を持つ エッジノード コアノード以外のノード
論理ネットワークの例 30 コアノード 27 3 エッジノード 8 UDP 23 TCP 12 TCP(予備) 16 14
ブートストラップ サーバに認証される 二種類に分類される ELA-VPNの他のノードのIPアドレスを聞く ELA-IPアドレスを決定 コアノード、エッジノード ELA-VPNの他のノードのIPアドレスを聞く ELA-IPアドレスを決定 コア ノード 他のノードはここ ELA-VPN 認証
Key = hash(ELA-IP); Value = インターネットにおけるIPアドレス 論理ネットワークの例 30 分散ハッシュテーブル Key Value 3 xx.yy.zz.3 8 aa.bb.cc.12 12 14 dd.ee.ff.16 16 23 gg.hh.ii.23 27 30 xx.yy.zz.3 27 3 8 23 12 gg.hh.ii.23 16 aa.bb.cc.12 Key = hash(ELA-IP); Value = インターネットにおけるIPアドレス 14 dd.ee.ff.16
論理ネットワークの例 コアノードが参加する場合:例 12 ハッシュテーブルの更新 8のセッション張替え 30 27 3 8 23 12 16 14
論理ネットワークの例 通信例:27→14 27→3 分散ハッシュテーブルの参照 3→16 16→14 30 27 3 8 23 12 16
× 論理ネットワークの例 コアノードが離脱する場合:例 12 8はセッションの張替え ハッシュテーブルの更新 30 27 3 8 23 12 16 14
ELA ~実装と評価~
実装 OpenVPNを拡張実装 分散ハッシュテーブルにChordを利用 オープンソースのVPN実装 TCP, UDPのPoint-to-PointのVPN Linux, FreeBSD, Windowsに対応 分散ハッシュテーブルにChordを利用
モジュール図 ユーザインタフェース ルーティング 管理用ヘッダ付加 Chord UDP トンネリング TCP トンネリング DHT OpenVPN 仮想ネットワークデバイス ネットワークデバイス
評価 定量評価 定性評価 シミュレータの利用 既存のVPN機構と比較 シナリオの想定 Scalability, Robustness Delay, Throughput 定性評価 既存のVPN機構と比較
まとめと今後
まとめ ELAのコンセプト ELAの設計 個人のノード同士でP2P型VPNを構築 通常のLANと同等に扱える TCPとUDPを使い分けるネットワークトポロジ 分散ハッシュテーブルを利用したルーティング
今後のスケジュール 9月 WIT2004の論文執筆 10月 実装 11月・12月 評価・卒論執筆
成果物 Conference S. Aoyagi, M. Takizawa, M. Saito, H. Aida, and H. Tokuda “A Fully Distributed VPN System over Peer-to-Peer Network” The 2005 International Symposium on Applications and the Internet (SAINT 2005) 2005年1月
以上です
隠しスライド
カプセル化パケットの転送プロトコル TCPとUDPの性能差の実験 パケット損失率を変えてスループット計測 実験環境 PC: ThinkPad T41p Network: 100base-TX 使用ツール Netperf, NistNet
VPN VPNとは VPNのメリット 公衆通信網を利用した仮想的な専用通信路 専用線よりコストが低い 既存のソフトウェアを変更せずに、インターネット等の公衆通信網でセキュアな通信が可能
VPNの種類(1) LAN間接続VPN(左図) 従来の専用線の代替 リモートアクセスVPN(右図) 従来のダイアルアップの代替
VPNの種類(2) オーバーレイ型VPN Layer 7でネットワークを作り、VPNを構築 ノードの物理的配置に依らない柔軟なネットワークを構築できる クライアントサーバ型
VPN機構の比較 通信網がインターネット それ以外 一対一 PPTP, L2TP, OpenVPN ATM 一対多 SoftEther, TinyVPN, Emotion Link, Vtun 多対多 ELA BGP/MPLS