Microsoft PowerPoint - NV研究会_201404_amemiya_fin.pptx

Similar documents
PowerPoint プレゼンテーション

. 研究開発の成果 (/) T 進化可能なネットワーク仮想化基盤アーキテクチャ東大 進化可能なネットワーク仮想化ノード技術としてDeeply Programmableなノードアーキテクチャの研究開発を行った プログラム性とパフォーマンス性を両立するために メニーコアプロセッサに仮想化技術を適用し パ

スライド 1

160311_icm2015-muramatsu-v2.pptx

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

PowerPoint プレゼンテーション

(^^

Presentation Template Koji Komatsu

投影用スライドタイトル

Microsoft PowerPoint - ONIC_SD-WAN_ver3

OpenStack運用実践によるエンタープライズ適用に向けた課題と今後について~ベアメタルサービスの現状とDesign Summitでの討議状況~

目次 1 はじめに 登録商標 商標 注意事項 免債事項 SR-IOV の機能概要 性能検証事例 測定環境 測定結果 各方式による共有 NIC 性能比較 ( ポートあ

ServerView Resource Orchestrator V3.0 Cloud Edition サポート機種情報

PowerPoint Presentation

Microsoft Word - Dolphin Expressによる10Gbpソケット通信.docx

スライド 1

Dual Stack Virtual Network Dual Stack Network RS DC Real Network 一般端末 GN NTM 端末 C NTM 端末 B IPv4 Private Network IPv4 Global Network NTM 端末 A NTM 端末 B

Microsoft PowerPoint _NV研_pub.pptx

富士通PRIMERGYサーバ/ETERNUSストレージとXsigo VP560/VP780の接続検証

4 新世代ネットワーク基盤技術 統合管理型ネットワーク仮想化基盤技術 山田一久中尾彰宏金田泰才田好則雨宮宏一郎 進化型ネットワーク仮想化を実現する統合管理型ネットワーク仮想化技術について 従来のネットワーク仮想化基盤からの新たな追加拡張機能の研究開発成果について報告する ネットワーク仮想化基盤の要件

Microsoft PowerPoint - mplsjp

SinfonexIDaaS機能概要書

スライド 0

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

PowerPoint プレゼンテーション

コンバージドファブリック仕様一覧

PowerPoint プレゼンテーション

PIM-SSMマルチキャストネットワーク

2017 5G 時代の モバイルユーザープレーン 再検討 松嶋聡 ソフトバンク

インターネットVPN_IPoE_IPv6_fqdn

スライド 1

MidoNet は 2014 年 11 月よりオープンソースに Apache2 ライセンス 機能 : 分散仮想スイッチ 分散仮想ルーター 分散仮想 L4 ロードバランサー 分散仮想 L4 ファイヤーウォール 分散 NAT ドキュメント CLI デプロイメントツール ドキュメント類 オープンソースに含

nakayama15icm01_l7filter.pptx

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

[公開OK][空閑さん資料]kuga-ovs-fpga.pptx

Windows Server 2016 Hyper-V ストレージQoS機能の強化

内容 1 本書の目的 用語 WiMAX WiMAX LTE WiMAX2+ サービス WiMAX サービス WiMAX2+ デバイス ノーリミットモード

PNopenseminar_2011_開発stack

PowerPoint Presentation

ms_2.pptx

PowerPoint プレゼンテーション

PC Development of Distributed PC Grid System,,,, Junji Umemoto, Hiroyuki Ebara, Katsumi Onishi, Hiroaki Morikawa, and Bunryu U PC WAN PC PC WAN PC 1 P

Microsoft PowerPoint - SSO.pptx[読み取り専用]

目次 1. はじめに 用語説明 対象アダプタ P HBA/2P HBAで異なる性能 付録 ( 性能測定環境 ) P HBAでの性能測定環境 P HBAでの性能測定環境 本書の

Agenda トランスポート網におけるMPLS-TPの役割 MPLS-TP の適用シナリオとインタワーキング まとめ Page 2 NEC Corporation 2010

PowerPoint プレゼンテーション

Express5800/C110a-Sシステム構成ガイド

Microsoft Word - nvsi_050110jp_netvault_vtl_on_dothill_sannetII.doc

クラウド時代のセキュリティ運用課題 従来 主流であったオンサイト作業は 少なくなり インターネット経由 VPN 経由によるリモート運用が中心となってきています オンプレミス プライベートクラウド パブリッククラウド A 社システム部門運用代行業者システム開発ベンダ 作業立会いができない 無断作業 D

2011年11月10日 クラウドサービスのためのSINET 学認説明会 九州地区説明会 九州大学キャンパス クラウドシステムの導入 伊東栄典 情報基盤研究開発センター 1

PN Open Seminar2011_Ethernet Switch_Final

bitvisor_summit.pptx

PowerPoint Presentation

xr-set_IPsec_v1.3.0

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

スライド 1

PF1000_intro5

マイクロソフトのネットワーク仮想化を強化する F5 の連携機能 F5 ネットワークスジャパン株式会社ビジネス開発部部長宮崎佑一

??

PowerPoint プレゼンテーション

LAN

PowerPoint プレゼンテーション

Microsoft PowerPoint - HNWG8_03_HN-WG.A_アーキテクチャおよび技術課題(9.18版).ppt

Microsoft Word - nvsi_100222jp_oracle_exadata.doc

技術的条件集別表 26.2 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv4 トンネル方式 -10GBASE LR インタフェース )

IPSJ SIG Technical Report Vol.2014-IOT-24 No /2/28 OpenFlow Software Defined Networking (SDN) LDAP Web OpenFlow SDN Implementatio

IPsec徹底入門

サブスクライバー / 署名者 Subscriber 側 ( アリス ) の要件 セキュアな署名 なりすましをいかに防ぐか 署名に使用する私有鍵をいかに保護私有鍵をいかに保護するか?? セキュアなハードウェアトークンなどが有効 セキュアな装置のセキュリティ基準 欧州の電子署名では SSCD (Secu

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

OSSTechプレゼンテーション

Microsoft Word - 楽天㇯ㅩ㇦ㅛIaaSㇵㅼã…fiã‡¹ä»Łæ§Ÿ.doc

2. 機能 ( 標準サポートプロトコル ) SECURITY for Biz 対応スマートフォンでは標準で対応している VPN プロトコルがあります 本章では NTT ドコモで動作確認を実施している PPTP L2TP/IPSec IPSec Xauth について記載します PPTP(Point-t

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

ProgrammableFlow Controller

カスペルスキー法人向け製品希望小売価格表 エンドポイント対策 2019 年 04 月 02 日現在 製品名 Kaspersky Endpoint Security for Business - Select( クライアント ) ライセンス数

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

i Ceph

IPCOMとWindows AzureのIPsec接続について

FUJITSU Software Systemwalker Centric Manager Lite Edition V13.5 機能紹介資料

Microsoft PowerPoint - ie ppt

2017/8/2 HP SiteScope software 監視機能対応表 この監視機能対応表は HP SiteScope software v11.33) に対応しています モニタ モニタ説明 モニタ説明 SiteScope for Windows SiteScope for Linux ネット

PowerPoint プレゼンテーション

NetScaler AppFlow アプリケーションの可視化とは

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

NTMobile LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator)

本仕様はプロダクトバージョン Ver 以降に準じています

Microsoft PowerPoint _SLE_製品選定ガイド.pptx

IPSJ SIG Technical Report Vol.2011-IOT-12 No /3/ , 6 Construction and Operation of Large Scale Web Contents Distribution Platfo


PowerPoint Presentation

Microsoft PowerPoint _ncessympotakada [互換モード]

別紙 1 学校情報ネットワークの概要 1. 学校情報ネットワークとは学校情報ネットワーク ( 以下 本ネットワーク という ) とは 教職員の情報交換や事務効率の向上を目的とし 三重県教育委員会事務局 ( 以下 本県 という ) と各県立学校の教職員用ネットワークを接続する情報通信ネットワークである

DLNAによる家電連携を指向した オンデマンドVPN接続方式の検討

NV研究会原稿

実務に役立つサーバー運用管理の基礎 CompTIA Server+ テキスト SK0-004 対応

Microsoft Word - 平野学(詳細).doc

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

FY14Q4 SMB Magalog December - APJ Version

1_PNセミナー_Ethernet Switch_pptx

Transcription:

: Access Gateway for of vnode System 2014/04/11 第 9 回 NV 研究会 宮宏 郎, 加藤順, 橋広, 上野仁, 阿 留健, 吉章次富 通株式会社 本研究成果は情報通信研究機構 (T) 委託研究 新世代ネットワークを えるネットワーク仮想化基盤技術の研究開発 課題ア統合管理型ネットワーク仮想化基盤技術の研究開発 により得られたものです vnode System と の位置付け ネットワーク仮想化基盤 : vnode system 仮想的なネットワーク資源 (Link), 計算 ストレージ資源 (Node) で構成される仮想ネットワーク () を 物理資源から切り出して提供するプラットフォーム Portal: vnode System の利 者向けインタフェース SNC: vnode system 全体の管理 制御 VNODE: 仮想的なリンクおよびノード資源を提供 NACE: 実ネットワーク () と仮想ネットワーク () を接続する装置 : 実ネットワークおよび同ネットワーク上端末と仮想ネットワーク () を接続する装置 仮想ノード仮想リンク Virtual Network () User Terminals Local Networks Portal /SNC VNODE VNODE vnode System (Physical Resources) VNODE NACE User Terminals Local Networks Real Network Virtual Network Real Network 1

vnode System が特 とする提供技術 (A) Resource Abstraction, (B) Resource Isolation, (C) Resource Elasticity, (D) Deep Programmability, (E) Authentication and Authorization 所有者 (Developer) リソース要求 (D) Deep Programmability 利 者 (User) (E) アクセス時認証 認可 (C) 要求に応じた柔軟なリソース提供 VN VN データ処理 独 プロトコル 仮想ネットワーク ()#1 (B) リソースアイソレーション VL VL VN 仮想ネットワーク () #2 VN: 仮想ノード (Node Sliver) VL: 仮想リンク (Link Sliver) VN 仮想リソース提供 LAN LAN (A) リソース抽象化 物理リソース (Physical Resources) PR PR PR vnode System 運 者 (Operator) 2 要件 1スライスへのアクセス認証機能の提供 (E) AuthN/AuthZ 2End to EndでのAny L2 Frame 疎通 (D) Deep Programmability 3 計算 ストレージリソースの提供 (D) Deep Programmability 4リソースアイソレーション (B) Resource Isolation 1 3 #a Internet 4 #b vnode System 2 3

基本アーキテクチャ ゲートウェイ部 プログラマ部 実 仮想間のFrame 振分 仮想ノード (Node Sliver) 提供 仮想リンク (Link Sliver) 提供 マネージャ部 アクセス制御 装置制御 IKE Daemon, Sec 処理機能 制御のための C/M plane マネージャ プログラマ運 管理 プログラマ部 (10G) ゲートウェイ部 IKE アクセスのための Z Plane User side D plane (Du Plane) ゲートウェイ運 管理 パケット処理部 D plane (10G) (10G) 4 ソフトウェアアーキテクチャ 汎 IA サーバ上ソフトウェア実装中継装置 ゲートウェイ部 : Linux ユーザ空間上にパケット処理機能を実装し オリジナルプロトコルスタックおよびパケット処理機能の実装を容易に プログラマ部 : Linux KVMベース マネージャ IKE Daemon ゲートウェイ部パケット処理機能 Tunnel Switch /Sec パケット処理 API プログラマ部 VMs for in NW Processing マネージャ I/O Driver KVM Linux OS (RHEL, CentOS) IA server 10G 5

アクセス時認証 認可要件 1 認証 認可 要件 : Isolation 担保された 環境に Open な環境からセキュアにアクセス 内はIsolationが担保されている ユーザによるへのアクセスに関して ユーザ利便性のために ユーザはInternet 等 Openな環境からアクセス可能とする Openな環境において 通信の安全性が担保されていること へのアクセス権を有するユーザのみアクセスできるようにする Open 環境からのアクセス 通信の安全性 #a Internet アクセス制御 Isolate された環境 ( 性能 セキュリティ ) #b 6 アクセス時認証 認可 1 認証 認可 Secを いた認証 認可によるセキュリティ担保 の所有者が登録したユーザのみへのアクセスを可能にする 所有者が登録したユーザに対してPre Shared Key (PSK) を払い出す 払いだされたPSKを いてユーザ端末から までのSec tunnelを確 する ユーザ (#A) 接続要求 (#A, ID) PSK 配布 Portal/SNC ユーザ登録 (#A) 所有者 PSK 設定 ( ID, PSK) 設定 ユーザ端末 IKE sequence (PSK) IKE SPI_GID PSK 1 xyz 2 abc Sec tunnels Sec SPI SPI_GID SPI_GID ID 101, 102 1 1 1 201, 202 2 2 2 Packet 処理部 #1 #2 7

E2E の実現 ユーザ端末側通信プロトコル / / Sec / / Ethernet ( 既存ネットワーク収容向け ) 2E2E 要件 : Secでセキュリティを担保しつつ を搭載可能にする //Secを基本とする 内仮想リソース 仮想リンク プログラマブル仮想ノード + 仮想リンク vnode 側通信プロトコル / ユーザ端末 vnode /Sec 仮想 Link プログラマブル仮想ノード 仮想 Link 仮想 Link 8 Frame Format (/Sec 接続 ) 2E2E を 内へ収容可能 Internet 等のネットワーク経由での接続が可能 端末ごとにへ収容 ユーザ端末 sec+ VNODE sec Ether Ether 9

Frame Format ( 接続 ) 2E2E 既存ネットワークを容易にへ収容可能 ごとにへ収容 NACE (Network Accommodation CE) も同様の機能を有する Payload Ether VNODE Payload Ether Payload Ether Ether 10 実ネットワークと との接続 ( 基本構造 ) 2E2E Tunnel Switch: 基本的には 内のパケットは参照せずに 外側のトンネルを識別する ID のみを参照してパケットの送り先を決定することで の導通を可能にする トンネル (, Sec, など ) を 意に特定するIDを 受信パケットから抽出 作成時に作られるMapping Tableに従って 宛先トンネルを決定し 同トンネル IFにパケットを送信する 実ネットワーク側 側 /Sec Tunnel Switch /Sec Protocol Stack Tunnel を特定する ID の抽出 宛先 Tunnel の選択 Mapping Table 宛先 Tunnel の選択 Tunnel を特定する ID の抽出 Protocol Stack 11

実ネットワークと との接続 (Sec 端末の場合 ) 事前処理 / 設定 Inner Frame の宛先 ID の場所を登録 宛先 ID と Sec SPI との関係を登録 Sec tunnel 確 時に Sec SPI と との関係を学習 への振分 Sec SPI に基づいて宛先 を決定 ユーザ端末への振分 Key から を特定 Frame 内宛先 Id から宛先 Sec (SPI) を特定 2E2E 12 実ネットワークと との接続 ( の場合 ) への振分 IDに基づいて宛先 を特定 2E2E への振分 keyに基づいて宛先 を決定 13

の提供するプログラマビリティ 3Deep Programmability プログラマブル仮想ノード () の提供 (vnode SlowPath と同等 ) 仮想ネットワーク () エッジでの情報処理 蓄積を可能とする (A) Any Format の L2 Frame を送受信可能 (B) 任意の Linux プログラムを搭載可能 ソフトウェア実装の特性を活かしたインフラプログラマビリティ (C) 収容する実ネットワーク / 端末に応じたプロトコルスタックへの対応 VNODE プログラマブル仮想ノード () (B) Any linux programs Linux OS (A) s 送受信 port port Node Sliver port? Sec (C) カスタムIF ゲートウェイ部 Tunnel Switch 14 プログラマブル仮想ノード () 3Deep Programmability はKVM hypervisor 上のVM (Linux OS) として提供 tunnelとopen vswitch (OVS) の組合せにより による の送受信を実現 プログラマ部 Node Sliver (KVM VM) virbr0 netfilter vif OVS 10G vif OVS 10G Eth (key=y) Z Plane D Plane User To ユーザ端末 10G Sec 10G ゲートウェイ部 10G 10G Eth D Plane (key=x) 隣接 VNODE 15

実ネットワーク / 端末に応じたプロトコルスタックへの対応 パケット処理のユーザ空間ソフトウェア実装の特 を活かして 独 プロトコルスタックの追加が可能 他装置と連携した 網の収容を実現 3Deep Programmability 様々なプロトコルスタックに対応可能 L2 L3 Sec SW Sec 端末収容 / ネットワーク収容 L2 SW ネットワーク L2 / ネットワーク収容 独 プロトコルスタック SW FLARE: https://www.nakao lab.org/nikkeibp nakaolab.pdf 16 Resource Isolation 4 リソース分離 Policing, Shaping 機能を利 した帯域 優先制御 隣接 VNODEと連携し トラフィック発 源から 新たな装置 コンポーネントに る 前で制御を実施 プログラマ部 トラフィック発 源 (Priority) (Best Effort) vif vif vif vif 未制御トラフィック 制御済トラフィック 制御ポイント 隣接 VNODE トラフィック発 源 ユーザ端末ユーザ端末 ネットワーク ネットワーク ゲートウェイ部 トラフィック発 源 17

性能評価 ゲートウェイ処理性能 測定系 端末 Ingress egress ハードウェア仕様 CPU: Intel Xeon X5690 (3.46GHz x 6 cores x 2 CPU) Memory: 12GB 性能 /Sec@1400bytes Frame 約 1200Mbps for 1flow 約 2500Mbps for multiple flows @1372bytes Frame 約 4Gbps for 1flow 約 9Gbps for multiple flows Performance [Mbps] Performance [Mbps] /Sec Data Sizes [bytes] Data Sizes [bytes] 1 flow perf. (Ingress) 1 flow perf. (Egress) system perf. (Ingress) system perf. (Egress) 1 flow perf. (Ingress) 1 flow perf. (Egress) system perf. (Ingress) system perf. (Egress) 18 性能評価 仮想ノード込性能 測定系 分離型 体型 プログラマ部 プログラマ部 HW Node 端末 GW 部 端末 GW 部 ハードウェア仕様 体型 CPU: Intel Xeon E5 2670 (2.60GHz/8 コア ) 2 個 GW 部 : 8 コア プログラマ部 (VM+Vhostnet): 8 コア Memory: 128GB 分離型 プログラマ部 CPU: Intel Xeon X5690 (3.46GHz/6 コア ) 2 Memory: 96GB 分離型 GW 部 CPU: Intel Xeon X5690 (3.46GHz/6 コア ) 2 Memory: 48GB 性能 @1372bytes Frame 約 1500Mbps for 1flow@ 分離型 約 900Mbps for 1flow@ 体型 1800.0 1600.0 1400.0 1200.0 1000.0 800.0 600.0 400.0 200.0 0.0 Ingress 方向 Egress 方向 VNODE ( 一体型 ) VNODE ( 分離型 ) 19

まとめ 仮想ネットワーク向けゲートウェイ装置 実 仮想ネットワーク間でFrameの識別 振分を い End to Endで任意のプロトコルフレームを疎通可能な仮想ネットワークの構築を可能に 仮想ネットワークへのアクセス制御機能を提供 リソース分離された仮想リンク プログラマブルな仮想ノードを提供 20 今後 の Edge Area 拡張 GW としての活 他リソース活 によるリソース拡充 エンドユーザへの Reachability 拡 Edge Area 拡張 Federation による拡張 Virtual Edge Area Infrastructure Edge Area Infrastructure FLARE EMD GW /NC /NC vnode System GK/GW GENI Physical Public/private Cloud VPN / Internet /NC エッジリソースと合わせて ユーザ近傍にプログラム データを配備可能なエッジ装置として 各種ネットワーク分散アプリケーションの評価 検証に活 21

22

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック