IPSJ SIG Technical Report Vol.2014-IOT-24 No /2/28 OpenFlow Software Defined Networking (SDN) LDAP Web OpenFlow SDN Implementatio

Size: px

Start display at page:

Download "IPSJ SIG Technical Report Vol.2014-IOT-24 No /2/28 OpenFlow Software Defined Networking (SDN) LDAP Web OpenFlow SDN Implementatio"

うたろうあわたけ
4 years ago
Views:

1 OpenFlow Software Defined Networking (SDN) LDAP Web OpenFlowSDN Implementation of network access control in conjunction with authentication infrastructure by OpenFlow Hashimoto Naoki 1 Sono Haru 2 Ushigome Shohei 2 Kikuta Kou 3 Nagasono Hiroshi 3 Hirotsu Toshio 4 Niimura Masaaki 2 1. DoS 1 Hosei University Graduate school of Computer and Information Sciences 2 Shinshu University Graduate School of Science and Technology 3 NTT DATA 4 Hosei University Faculty of Computer and Information Sciences DoS OpenFlow OpenFlow[1] OSI 1 4 1

2 2. OpenFlow Software-Defined Networking (SDN) OpenFlow SDN MAC IP OpenFlow 6 OpenFlow 1.3[2] Packet-In Packet-In CONTROLLER Packet-In OpenFlow OpenFlow 2.2 OpenFlow OpenFlow Link Layer Discovery Protocol (LLDP) OpenFlow OpenFlow LLDP, 2 ID LLDP LLDP LLDP 3. 2

3 3 3.1 TCP/IP 3.2 MAC 3.3 DoS IP 4. OpenFlow OpenFlow OpenFlow Lightweight Directory Access Protocol(LDAP)[3] LDAP LDAP (RDB) LDAP LDAP OpenFlow LDAP 3

情報処理学会研究報告てマッチングに用いるまず DISCOVER メッセージはユーザがブロードキャスト転送によって DHCP サーバを探すために送信されるそこでブロードキャストされた通信パケットはすべてコントローラへと Packet-In させる Packet-In によって受け取ったデータは即座に DHCP サーバへと転送すると同時に以降のユーザ DHCP

4 情報処理学会研究報告てマッチングに用いるまず DISCOVER メッセージはユーザがブロードキャスト転送によって DHCP サーバを探すために送信されるそこでブロードキャストされた通信パケットはすべてコントローラへと Packet-In させる Packet-In によって受け取ったデータは即座に DHCP サーバへと転送すると同時に以降のユーザ DHCP サーバ間の通信を許可するためのフローを OpenFlow スイッチへ追加するこれによって OFFER, REQUEST, DHCPACK, DHCPNACK のやり取図 1 論理構成りがコントローラを介さずに行われる DHCPACK メッセージが送信され IP アドレスの割り当てが完了すると DHCP サーバはその旨をデータベースへ保存する以降で下にある OpenFlow コントローラ OpenFlow スイッチはこの端末情報と払い出した IP アドレスが一致するも LDAP サーバ DHCP サーバが存在しそれぞれ OpenFlow しくは静的に設定済みの通信を正規のものとして認証サーコントローラを中心に連携をとるまたユーザ側としてバへのアクセスを許可するユーザ毎の端末やユーザがアクセスする学内コンテンツを走らせるための Web サーバが存在することとする論理構成は図 1 に示した通りである図の上半分はマネ 5.3 ユーザ認証ユーザは初めにネットワークの使用権限を得るためにジメントプレーンでありネットワークの管理者が責任を認証を行わなければならない予め設定されたユーザ ID 負い下半分のデータプレーンでは主にユーザや学内コンパスワードによってログインを試行し確認が取れた場合テンツ間の通信が起こるまたネットワーク管理者に申は処理が続行されログインを行ったユーザーの ID とそ請することで Web(コンテンツ) サーバを設置することもれに含まれる属性を OpenFlow コントローラから直接参照想定するシステムは IP アドレスの割り当てユーザ認可能なデータベースへ保存すると同時に OpenFlow コント証ネットワークへのアクセス許可の 3 フェーズから成ローラへ通知することで同期を図るこのとき開かれる通りそれぞれのフェーズでは DHCP サーバ LDAP サー信路は認証要求を行う端末とディレクトリサーバ間に限定バ OpenFlow コントローラが主として動作するされユーザの認証要求を含むパケットは管理ネットワー管理ネットワーク内部に存在するすべての装置にファイアウォール機能を設定できるため不正ユーザの攻撃にク外部を流れることはなく不必要に拡散されないのでパスワードなどの認証情報の流出を防ぐよって通信を直接受ける装置に不具合が発生したとしてもコントローラに許可されないフローがネットワーク上を流れることはなく影響は極めて限定的になるという特徴を 5.4 ネットワークへのアクセス許可 5.3 節によってログイン情報を受けたコントローラは持つさらにネットワーク管理者が利用者の情報を管理す 5.2 節に示したように正規に割り当てられたものであるることで利用者の不明な通信を拒否できるほか利用者のことを確認し MAC アドレスと IP アドレスをキーとした特定によって責任の所在を明確にすることが容易になるフローエントリーを各スイッチへ設定する新たにスイッチが加わったりネットワークトラブルによって一時的に 5.2 IP アドレスの割り当て切断されていたスイッチが復帰するなどでスイッチのコン本研究で対象として想定しているキャンパスネットフィグレーションが必要な場合 OpenFlow コントローラワークでは以降のユーザ認証時に認証情報と結び付けは IP アドレスの割り当て状況と認証を受けているユーザるための MAC アドレスと IP アドレスのペアを Open- 情報の二つをデータベースへ確認し再設定を行う Flow コントローラが管理しているそこで学内ネットただしフローエントリーを OpenFlow コントローラがワークへ正規の手段で接続していることを確認する一つ能動的に削除する場合が二つある一つは DHCP サーバの手段として DHCP サーバによる IP アドレスの払い出によって割り当てられた IP アドレスに設定されたリースしを用いることとした IPv4 を対象とした DHCPv4 で期間が切れた時である期限が切れたときユーザは再度は五つのメッセージ {DISCOVER, OFFER, REQUEST, DHCP サーバへアクセスし再割り当てを受ける必要があ DHCPACK, DHCPNACK} が存在するがこのうち DIS- るが必ずしも以前と同じ IP アドレスが割り当てられる COVER と DHCPACK メッセージを注目することとするとは限らないためこの端末からのフロー情報を更新しなまた DHCP に用いられるメッセージは UDP のければならないスイッチに設定したフローエントリーがポートが用いられるため以後の識別ではこれを前提とし設定された秒数後に自動削除する hard timeout によって 2014 Information Processing Society of Japan 4

5 OS 1 Intel R Xeon R Processor X3430 CPU 2.40GHz 8.0GB Ubuntu12.04 LTS server(64bit) OS Ubuntu LTS(64bit) 1.0GB 3 Flow-Removed OpenFlow OpenFlow OpenFlow 1.3 Trema-Edge Open vswitch OpenFlow1.0 IPv6 DHCP isc-dhcp-server LDAP OpenLDAP MySQL OpenFlow OpenFlow Remote Procedure Call(RPC) MessagePack-RPC[4] / OpenFlow / ID ID 6.2 apache2 RubyCGI IP Web IP OpenFlow ( A) DHCP IP ( B) IP OpenFlow ( C) Web ( ) WebUI ID A Web ID 2 3 Web B C B A C OpenFlow 7.2 5

2 7.3 hard timeout idle timeout IP 7.4 7.3 MAC IP ARP 8. OpenFlow Kerberos RADIUS [1] Open Networking Foundation https://www.opennetworking.

6 2 7.3 hard timeout idle timeout IP MAC IP ARP 8. OpenFlow Kerberos RADIUS [1] Open Networking Foundation [2] OpenFlow Switch Specification Version Implemented (Wire Protocol 0x04) Apr 25, 2013 [3] Open LDAP [4] MessagePack 6

2) では, 図 2 に示すように, 端末が周囲の AP を認識し, 認識した AP との間に接続関係を確立する機能が必要である. 端末が周囲の AP を認識する方法は, パッシブスキャンとアクティブスキャンの 2 種類がある. パッシブスキャンは,AP が定期的かつ一方的にビーコンを端末へ送信する

2) では, 図 2 に示すように, 端末が周囲の AP を認識し, 認識した AP との間に接続関係を確立する機能が必要である. 端末が周囲の AP を認識する方法は, パッシブスキャンとアクティブスキャンの 2 種類がある. パッシブスキャンは,AP が定期的かつ一方的にビーコンを端末へ送信する ns-2 による無線 LAN インフラストラクチャモードのシミュレーション樋口豊章伊藤将志渡邊晃名城大学理工学部名城大学大学院理工学研究科 1. はじめに大規模で複雑なネットワーク上で発生するトラヒックを解析するために, シミュレーションは有効な手段である. ns-2(network Simulator - 2) はオープンソースのネットワークシミュレータであり, 多くの研究機関で利用されている.