ECN sada 親 makoto, hitomi

Presentation on theme: "ECN sada 親 makoto, hitomi"— Presentation transcript:

1 ECN sada 親 makoto, hitomi
完全分散型VPNの設計と実装 ECN sada 親 makoto, hitomi

2 アウトライン 背景と問題意識 ELA 提案と概要 設計課題 ネットワーク構築方法 実装と評価 関連研究 まとめと今後

3 背景と問題意識

4 背景 インターネットの普及と仕事の変化 在宅勤務で利用されるネットワーク技術 在宅勤務制を導入する企業の増加（Oracle等）
自由な時間や場所で仕事が可能に 在宅勤務で利用されるネットワーク技術 VPN

5 VPN なぜVPNが利用されるのか？ 個人同士の作業にも利用できないか？ 専用線やダイアルアップより遥かに安価
既存のソフトウェアに手を加えることなく利用できる 認証や通信経路暗号化等によるセキュリティ 個人同士の作業にも利用できないか？ しかし企業のような設備がない

6 問題意識 やりたいこと 従来のオーバーレイ型VPN機構 個人同士が協調作業するための専用ネットワークとして、VPNを構築したい
クライアントサーバモデルによる運用・性能の問題点 インターネット

7 問題意識 クライアントサーバモデルのVPN 運用の問題点 性能の問題点 Addressing Single Point of Failure
Etc. 性能の問題点 Single Source of Bottleneck

8 ELA　～提案と概要～

9 ELA ELA (Everywhere Local Area network) 個人同士のノードによる専用ネットワーク（ELA-VPN)
LANと同様に扱える 内部的にはP2Pネットワークになっており、ノード同士の通信にサーバ不要 ELA-VPN用IPアドレスの割り当て

10 ELA イメージ図 P2Pネットワーク 10.0.0.6 10.0.0.1 ELA-VPN 10.0.0.2 10.0.0.3
インターネット

11 ELA　～関連研究～

12 関連研究（１） Emotion Link 仮想的なLANを構築 通信の中継はサーバが行う EL IPアドレスが割り当てられる
サーバのダウン＝サービス停止

13 関連研究（２） IPv6 P2P VPN システム 株式会社DITが開発 IPv6 のIPsecを用いたVPN End-to-Endの通信
管理が煩雑化 IPv6 の導入が必要

14 ELA　～設計課題～

15 設計課題 カプセル化パケットの転送プロトコル P2Pネットワークの構築方法 TCP? UDP? GRE? IPSec?
Firewall, NATなどのノードを考慮 P2Pネットワークの構築方法 ルーティング手段の確立

16 カプセル化パケットの転送プロトコル NATやFirewallによる通信への影響
TCP/IP 　設定によって通信可、内側からセッションを張れることが多い UDP/IP 　設定によって通信可 GRE 　ルータやNATによっては通信不可 IPSec 　　　　　　　　　　〃 以上の理由から、オーバーレイ型VPNではTCP, UDPを利用する実装が多い

17 カプセル化パケットの転送プロトコル UDPのメリット TCPのメリット 共にメリットがある
転送速度がTCPより約1.6倍高速（OpenVPNの場合、当然実装による） TCPのメリット Firewall, NAT内からでも接続できる 共にメリットがある

18 P2Pネットワークの構築方法 カプセル化パケットの転送プロトコル ELA-IPアドレスとインターネットのIPアドレスの対応表
TCPとUDPを適宜使い分けるネットワークトポロジ ノードが利用できるプロトコルによってノードを分別 ELA-IPアドレスとインターネットのIPアドレスの対応表 全ノードで分散して保持、必要に応じてやり取り 分散ハッシュテーブルの利用

19 P2Pネットワークの構築方法

20 ELA　～ネットワーク構築方法～

21 設計方針 ネットワーク ルーティングに分散ハッシュテーブルを利用 TCPとUDPの両方の特性を生かす 認証や初期ノード発見 サーバを用意

22 論理ネットワークの例 30 コアノード 27 3 エッジノード 8 UDP 23 TCP 12 TCP（予備） 16 14

23 コアノードとエッジノード コアノード エッジノード 他ノードからTCPを受け付けられる UDPで送受信できる
ELA-IPアドレスと実際のIPアドレスの対応表を持つ エッジノード コアノード以外のノード

24 論理ネットワークの例 30 コアノード 27 3 エッジノード 8 UDP 23 TCP 12 TCP（予備） 16 14

25 ブートストラップ サーバに認証される 二種類に分類される ELA-VPNの他のノードのIPアドレスを聞く ELA-IPアドレスを決定
コアノード、エッジノード ELA-VPNの他のノードのIPアドレスを聞く ELA-IPアドレスを決定 コア ノード 他のノードはここ ELA-VPN 認証

26 Key = hash(ELA-IP); Value = インターネットにおけるIPアドレス
論理ネットワークの例 30 分散ハッシュテーブル Key Value 3 xx.yy.zz.3 8 aa.bb.cc.12 12 14 dd.ee.ff.16 16 23 gg.hh.ii.23 27 30 xx.yy.zz.3 27 3 8 23 12 gg.hh.ii.23 16 aa.bb.cc.12 Key = hash(ELA-IP); Value = インターネットにおけるIPアドレス 14 dd.ee.ff.16

27 論理ネットワークの例 コアノードが参加する場合:例 12 ハッシュテーブルの更新 8のセッション張替え 30 27 3 8 23 12 16
14

28 論理ネットワークの例 通信例：27→14 27→3 分散ハッシュテーブルの参照 3→16 16→14 30 27 3 8 23 12 16

29 × 論理ネットワークの例 コアノードが離脱する場合：例 12 8はセッションの張替え ハッシュテーブルの更新 30 27 3 8 23 12
16 14

30 ELA　～実装と評価～

31 実装 OpenVPNを拡張実装 分散ハッシュテーブルにChordを利用 オープンソースのVPN実装
TCP, UDPのPoint-to-PointのVPN Linux, FreeBSD, Windowsに対応 分散ハッシュテーブルにChordを利用

32 モジュール図 ユーザインタフェース ルーティング 管理用ヘッダ付加 Chord UDP トンネリング TCP トンネリング DHT
OpenVPN 仮想ネットワークデバイス ネットワークデバイス

33 評価 定量評価 定性評価 シミュレータの利用 既存のVPN機構と比較 シナリオの想定 Scalability, Robustness
Delay, Throughput 定性評価 既存のVPN機構と比較

34 まとめと今後

35 まとめ ELAのコンセプト ELAの設計 個人のノード同士でP2P型VPNを構築 通常のLANと同等に扱える
TCPとUDPを使い分けるネットワークトポロジ 分散ハッシュテーブルを利用したルーティング

36 今後のスケジュール 9月 WIT2004の論文執筆 10月 実装 11月・12月 評価・卒論執筆

37 成果物 Conference S. Aoyagi, M. Takizawa, M. Saito, H. Aida, and H. Tokuda “A Fully Distributed VPN System over Peer-to-Peer Network” The 2005 International Symposium on Applications and the Internet (SAINT 2005) 2005年1月

38 以上です

39

40 隠しスライド

41 カプセル化パケットの転送プロトコル TCPとUDPの性能差の実験 パケット損失率を変えてスループット計測 実験環境
PC: ThinkPad T41p Network: 100base-TX 使用ツール Netperf,　NistNet

42 VPN VPNとは VPNのメリット 公衆通信網を利用した仮想的な専用通信路 専用線よりコストが低い
既存のソフトウェアを変更せずに、インターネット等の公衆通信網でセキュアな通信が可能

43 VPNの種類（１） LAN間接続VPN（左図） 従来の専用線の代替 リモートアクセスVPN（右図） 従来のダイアルアップの代替

44 VPNの種類（２） オーバーレイ型VPN Layer 7でネットワークを作り、VPNを構築
ノードの物理的配置に依らない柔軟なネットワークを構築できる クライアントサーバ型

45

46 VPN機構の比較 通信網がインターネット それ以外 一対一 PPTP, L2TP, OpenVPN ATM 一対多
SoftEther, TinyVPN, Emotion Link, Vtun 多対多 ELA BGP/MPLS