Microsoft PowerPoint - NV研究会_201404_amemiya_fin.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint - NV研究会_201404_amemiya_fin.pptx"

かずまさかつま
5 years ago
Views:

Portal: vnode System の利者向けインタフェース SNC: vnode system 全体の管理制御 VNODE: 仮想的なリンクおよびノード資源を提供 NACE: 実ネットワーク () と仮想ネットワーク () を接続する装置 : 実ネットワークおよび同ネットワーク上端末と仮想ネットワーク () を接続する装置

1 : Access Gateway for of vnode System 2014/04/11 第 9 回 NV 研究会宮宏郎, 加藤順, 橋広, 上野仁, 阿留健, 吉章次富通株式会社本研究成果は情報通信研究機構 (T) 委託研究新世代ネットワークをえるネットワーク仮想化基盤技術の研究開発課題ア統合管理型ネットワーク仮想化基盤技術の研究開発により得られたものです vnode System との位置付けネットワーク仮想化基盤 : vnode system 仮想的なネットワーク資源 (Link), 計算ストレージ資源 (Node) で構成される仮想ネットワーク () を物理資源から切り出して提供するプラットフォーム Portal: vnode System の利者向けインタフェース SNC: vnode system 全体の管理制御 VNODE: 仮想的なリンクおよびノード資源を提供 NACE: 実ネットワーク () と仮想ネットワーク () を接続する装置 : 実ネットワークおよび同ネットワーク上端末と仮想ネットワーク () を接続する装置仮想ノード仮想リンク Virtual Network () User Terminals Local Networks Portal /SNC VNODE VNODE vnode System (Physical Resources) VNODE NACE User Terminals Local Networks Real Network Virtual Network Real Network 1

vnode System が特とする提供技術 (A) Resource Abstraction, (B) Resource Isolation, (C) Resource Elasticity, (D) Deep Programmability, (E) Authentication and Authorization 所有者

仮想ノード (Node Sliver) VL: 仮想リンク (Link Sliver) VN 仮想リソース提供 LAN LAN (A) リソース抽象化物理リソース (Physical Resources) PR PR PR vnode System 運者 (Operator) 2 要件 1スライスへのアクセス認証機能の提供 (E)

2 vnode System が特とする提供技術 (A) Resource Abstraction, (B) Resource Isolation, (C) Resource Elasticity, (D) Deep Programmability, (E) Authentication and Authorization 所有者 (Developer) リソース要求 (D) Deep Programmability 利者 (User) (E) アクセス時認証認可 (C) 要求に応じた柔軟なリソース提供 VN VN データ処理独プロトコル仮想ネットワーク ()#1 (B) リソースアイソレーション VL VL VN 仮想ネットワーク () #2 VN: 仮想ノード (Node Sliver) VL: 仮想リンク (Link Sliver) VN 仮想リソース提供 LAN LAN (A) リソース抽象化物理リソース (Physical Resources) PR PR PR vnode System 運者 (Operator) 2 要件 1スライスへのアクセス認証機能の提供 (E) AuthN/AuthZ 2End to EndでのAny L2 Frame 疎通 (D) Deep Programmability 3 計算ストレージリソースの提供 (D) Deep Programmability 4リソースアイソレーション (B) Resource Isolation 1 3 #a Internet 4 #b vnode System 2 3

3 基本アーキテクチャゲートウェイ部プログラマ部実仮想間のFrame 振分仮想ノード (Node Sliver) 提供仮想リンク (Link Sliver) 提供マネージャ部アクセス制御装置制御 IKE Daemon, Sec 処理機能制御のための C/M plane マネージャプログラマ運管理プログラマ部 (10G) ゲートウェイ部 IKE アクセスのための Z Plane User side D plane (Du Plane) ゲートウェイ運管理パケット処理部 D plane (10G) (10G) 4 ソフトウェアアーキテクチャ汎 IA サーバ上ソフトウェア実装中継装置ゲートウェイ部 : Linux ユーザ空間上にパケット処理機能を実装しオリジナルプロトコルスタックおよびパケット処理機能の実装を容易にプログラマ部 : Linux KVMベースマネージャ IKE Daemon ゲートウェイ部パケット処理機能 Tunnel Switch /Sec パケット処理 API プログラマ部 VMs for in NW Processing マネージャ I/O Driver KVM Linux OS (RHEL, CentOS) IA server 10G 5

4 アクセス時認証認可要件 1 認証認可要件 : Isolation 担保された環境に Open な環境からセキュアにアクセス内はIsolationが担保されているユーザによるへのアクセスに関してユーザ利便性のためにユーザはInternet 等 Openな環境からアクセス可能とする Openな環境において通信の安全性が担保されていることへのアクセス権を有するユーザのみアクセスできるようにする Open 環境からのアクセス通信の安全性 #a Internet アクセス制御 Isolate された環境 ( 性能セキュリティ ) #b 6 アクセス時認証認可 1 認証認可 Secをいた認証認可によるセキュリティ担保の所有者が登録したユーザのみへのアクセスを可能にする所有者が登録したユーザに対してPre Shared Key (PSK) を払い出す払いだされたPSKをいてユーザ端末からまでのSec tunnelを確するユーザ (#A) 接続要求 (#A, ID) PSK 配布 Portal/SNC ユーザ登録 (#A) 所有者 PSK 設定 ( ID, PSK) 設定ユーザ端末 IKE sequence (PSK) IKE SPI_GID PSK 1 xyz 2 abc Sec tunnels Sec SPI SPI_GID SPI_GID ID 101, , Packet 処理部 #1 #2 7

5 E2E の実現ユーザ端末側通信プロトコル / / Sec / / Ethernet ( 既存ネットワーク収容向け ) 2E2E 要件 : Secでセキュリティを担保しつつを搭載可能にする //Secを基本とする内仮想リソース仮想リンクプログラマブル仮想ノード + 仮想リンク vnode 側通信プロトコル / ユーザ端末 vnode /Sec 仮想 Link プログラマブル仮想ノード仮想 Link 仮想 Link 8 Frame Format (/Sec 接続 ) 2E2E を内へ収容可能 Internet 等のネットワーク経由での接続が可能端末ごとにへ収容ユーザ端末 sec+ VNODE sec Ether Ether 9

6 Frame Format ( 接続 ) 2E2E 既存ネットワークを容易にへ収容可能ごとにへ収容 NACE (Network Accommodation CE) も同様の機能を有する Payload Ether VNODE Payload Ether Payload Ether Ether 10 実ネットワークととの接続 ( 基本構造 ) 2E2E Tunnel Switch: 基本的には内のパケットは参照せずに外側のトンネルを識別する ID のみを参照してパケットの送り先を決定することでの導通を可能にするトンネル (, Sec, など ) を意に特定するIDを受信パケットから抽出作成時に作られるMapping Tableに従って宛先トンネルを決定し同トンネル IFにパケットを送信する実ネットワーク側側 /Sec Tunnel Switch /Sec Protocol Stack Tunnel を特定する ID の抽出宛先 Tunnel の選択 Mapping Table 宛先 Tunnel の選択 Tunnel を特定する ID の抽出 Protocol Stack 11

7 実ネットワークととの接続 (Sec 端末の場合 ) 事前処理 / 設定 Inner Frame の宛先 ID の場所を登録宛先 ID と Sec SPI との関係を登録 Sec tunnel 確時に Sec SPI ととの関係を学習への振分 Sec SPI に基づいて宛先を決定ユーザ端末への振分 Key からを特定 Frame 内宛先 Id から宛先 Sec (SPI) を特定 2E2E 12 実ネットワークととの接続 ( の場合 ) への振分 IDに基づいて宛先を特定 2E2E への振分 keyに基づいて宛先を決定 13

8 の提供するプログラマビリティ 3Deep Programmability プログラマブル仮想ノード () の提供 (vnode SlowPath と同等 ) 仮想ネットワーク () エッジでの情報処理蓄積を可能とする (A) Any Format の L2 Frame を送受信可能 (B) 任意の Linux プログラムを搭載可能ソフトウェア実装の特性を活かしたインフラプログラマビリティ (C) 収容する実ネットワーク / 端末に応じたプロトコルスタックへの対応 VNODE プログラマブル仮想ノード () (B) Any linux programs Linux OS (A) s 送受信 port port Node Sliver port? Sec (C) カスタムIF ゲートウェイ部 Tunnel Switch 14 プログラマブル仮想ノード () 3Deep Programmability はKVM hypervisor 上のVM (Linux OS) として提供 tunnelとopen vswitch (OVS) の組合せによりによるの送受信を実現プログラマ部 Node Sliver (KVM VM) virbr0 netfilter vif OVS 10G vif OVS 10G Eth (key=y) Z Plane D Plane User To ユーザ端末 10G Sec 10G ゲートウェイ部 10G 10G Eth D Plane (key=x) 隣接 VNODE 15

実ネットワーク / 端末に応じたプロトコルスタックへの対応パケット処理のユーザ空間ソフトウェア実装の特を活かして独プロトコルスタックの追加が可能他装置と連携した網の収容を実現 3Deep Programmability 様々なプロトコルスタックに対応可能 L2 L3 Sec SW Sec 端末収容 / ネットワーク収容 L2 SW ネットワーク L2 / ネットワーク収容独

9 実ネットワーク / 端末に応じたプロトコルスタックへの対応パケット処理のユーザ空間ソフトウェア実装の特を活かして独プロトコルスタックの追加が可能他装置と連携した網の収容を実現 3Deep Programmability 様々なプロトコルスタックに対応可能 L2 L3 Sec SW Sec 端末収容 / ネットワーク収容 L2 SW ネットワーク L2 / ネットワーク収容独プロトコルスタック SW FLARE: lab.org/nikkeibp nakaolab.pdf 16 Resource Isolation 4 リソース分離 Policing, Shaping 機能を利した帯域優先制御隣接 VNODEと連携しトラフィック発源から新たな装置コンポーネントにる前で制御を実施プログラマ部トラフィック発源 (Priority) (Best Effort) vif vif vif vif 未制御トラフィック制御済トラフィック制御ポイント隣接 VNODE トラフィック発源ユーザ端末ユーザ端末ネットワークネットワークゲートウェイ部トラフィック発源 17

Performance [Mbps] /Sec Data Sizes [bytes] Data Sizes [bytes] 1 flow perf. (Ingress) 1 flow perf. (Egress) system perf. (Ingress) system perf.

10 性能評価ゲートウェイ処理性能測定系端末 Ingress egress ハードウェア仕様 CPU: Intel Xeon X5690 (3.46GHz x 6 cores x 2 CPU) Memory: 12GB 性能 /Sec@1400bytes Frame 約 1200Mbps for 1flow 約 2500Mbps for multiple Frame 約 4Gbps for 1flow 約 9Gbps for multiple flows Performance [Mbps] Performance [Mbps] /Sec Data Sizes [bytes] Data Sizes [bytes] 1 flow perf. (Ingress) 1 flow perf. (Egress) system perf. (Ingress) system perf. (Egress) 1 flow perf. (Ingress) 1 flow perf. (Egress) system perf. (Ingress) system perf. (Egress) 18 性能評価仮想ノード込性能測定系分離型体型プログラマ部プログラマ部 HW Node 端末 GW 部端末 GW 部ハードウェア仕様体型 CPU: Intel Xeon E (2.60GHz/8 コア ) 2 個 GW 部 : 8 コアプログラマ部 (VM+Vhostnet): 8 コア Memory: 128GB 分離型プログラマ部 CPU: Intel Xeon X5690 (3.46GHz/6 コア ) 2 Memory: 96GB 分離型 GW 部 CPU: Intel Xeon X5690 (3.46GHz/6 コア ) 2 Memory: 48GB Frame 約 1500Mbps for 1flow@ 分離型約 900Mbps for 1flow@ 体型 Ingress 方向 Egress 方向 VNODE ( 一体型 ) VNODE ( 分離型 ) 19

まとめ仮想ネットワーク向けゲートウェイ装置実仮想ネットワーク間でFrameの識別振分をい End to Endで任意のプロトコルフレームを疎通可能な仮想ネットワークの構築を可能に仮想ネットワークへのアクセス制御機能を提供リソース分離された仮想リンクプログラマブルな仮想ノードを提供 20 今後の Edge Area 拡張 GW としての活他リソース活によるリソース拡充

11 まとめ仮想ネットワーク向けゲートウェイ装置実仮想ネットワーク間でFrameの識別振分をい End to Endで任意のプロトコルフレームを疎通可能な仮想ネットワークの構築を可能に仮想ネットワークへのアクセス制御機能を提供リソース分離された仮想リンクプログラマブルな仮想ノードを提供 20 今後の Edge Area 拡張 GW としての活他リソース活によるリソース拡充エンドユーザへの Reachability 拡 Edge Area 拡張 Federation による拡張 Virtual Edge Area Infrastructure Edge Area Infrastructure FLARE EMD GW /NC /NC vnode System GK/GW GENI Physical Public/private Cloud VPN / Internet /NC エッジリソースと合わせてユーザ近傍にプログラムデータを配備可能なエッジ装置として各種ネットワーク分散アプリケーションの評価検証に活 21

12 22

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション LAN 1. LAN,. NAT,., LAN. NTMobile Network Traversal with Mobilty [1]. NTMobile. OS TUN/TAP, LAN. 2. NTMobile NTMobile NAT, IPv4/IPv6,,. NTMobile. DC Direction Coordinator. NTMobile. DC,. NTMobile NTMfw.