하계강좌 차세대 인터넷 , ipv6, mobile ip, ip multicast, security, diffserv, rsvp

’’9999 하계단기계속교육강좌하계단기계속교육강좌

뉴미디어통신공동연구소뉴미디어통신공동연구소

하계강좌하계강좌

차세대 인터넷차세대 인터넷 , IPv6, , IPv6, Mobile IP, IP multicast,Mobile IP, IP multicast,

Security, Diffserv, RSVPSecurity, Diffserv, RSVP1999 년 7 월 6 일서울대 전기공학부

박세웅 교수



차세대 인터넷차세대 인터넷

3

‘‘9999 하계단기계속교육강좌하계단기계속교육강좌 : : 광대역정보통신광대역정보통신강사 : 박세웅 , 서울대

차세대 인터넷의 필요성차세대 인터넷의 필요성 네트워크의 포화 상태

인터넷 인프라 및 정보 서버에 대한 느린 투자 연구용에서 시작

상용 서비스 망에 비해 신뢰도가 떨어짐 대역폭 부족

멀티미디어 서비스의 어려움 실시간 (real-time) 서비스의 어려움 보안 ( 예 : 전자 상거래 ) 확장성

4


차세대 인터넷 서비스 유형차세대 인터넷 서비스 유형 사람과 사람 간의 통신

실시간 양방향의 특성을 가짐 지연과 지터를 최소화 예 ) 인터넷 폰 , 원격 교육 , 원격 회의 , 네트워크 게임

사람과 컴퓨터 간의 통신 현재 www 와 같은 형태 예 ) 주문형 방송서비스 , 디지털 라이브러리 , 전자 상거래

컴퓨터와 컴퓨터 간의 통신 대규모 트래픽 , 큰 대역폭 요구 예 ) WWW caching, multicast feeds, voice-mail,

DB synchronization, batch process

5


차세대 차세대 applicationapplication 의 유형과 요구조건 의 유형과 요구조건 (1)(1)

원격진료 , 원격 학습 등의 동영상 관련 서비스 멀티미디어 데이터의 실시간 처리 종단간 QoS 보장과 대용량의 대역폭 요구

대용량 분산 시뮬레이션 분산 컴퓨터간의 데이터 교환을 위함

WWW caching 캐쉬 서버는 짧은 시간 동안에 대용량의 대역폭 요구

인터넷 방송 서비스 영상정보 전송을 위한 대역폭 , QoS 제공 및 멀티캐스트 라우팅 특정 사용자 그룹을 위한 보안과 인증

6


차세대 차세대 applicationapplication 의 유형과 요구조건 의 유형과 요구조건 (2)(2)

분자 생물학 , 기상 관측 및 천체 관측 실험 VPN (Virtual Private Network)

원격 접속 , 보안 , 인증 Voice Telephony

종단간 QoS 보장 IPv6 필요

전자상거래 등의 상업용 서비스 보안과 인증 (Security and Authentication) 네트워크의 안정성 요구

7


차세대 인터넷 서비스를 위한 네트워킹 기술 차세대 인터넷 서비스를 위한 네트워킹 기술 (1)(1)

End-to-end QoS 기술 IntServ (Integrated Service)

guaranteed QoS service : 적은 지연과 넓은 대역폭을 확실히 보장 controlled-load service : 요청된 QoS 에 근접하게 보장 문제점

• RSVP 와 같은 자원예약 프로토콜 요구• RSVP 는 확장성에 문제가 있기 때문에 소규모 망에만 적용가능

DiffServ (Differentiated Service) 차등화된 서비스 제공 좋은 화장성 Premium Service : Virtual Private Network (Internet2 QBone)

8



IPv6 기술 현 IPv4 의 문제점

가용한 주소의 부족 자동 설정 (auto-configuration), QoS, 보안 , 이동 서비스 등의 어려움 임시 해결책

• 주소 부족 : CIDR, Block of ‘C’, NAT 등이 제안됨• Security : IPsec protocol

IPv6 : 기존의 설비 및 응용을 수용하며 교체하는 것이 중요 충분한 주소 영역 확보 Ipsec (security) 기능 내장 실시간 서비스를 위한 헤더 공간 보유 이동 호스트에 대한 지원 자동 설정 (auto-configuration: 일종의 plug-and-play 기능 ) 정책기반 라우팅 (policy routing) 지원

9



멀티캐스트 기술 IETF 의 MBONE Dense-mode 라우팅 프로토콜 : DVMRP, MOSPF, PIM-DM

그룹 멤버들이 조밀하게 분포 - 플러딩 방식 사용 Sparse-mode 라우팅 프로토콜 : CBT, PIM-SM 위의 두 가지 모두 확장성의 문제가 존재

Dense-mode 해결책 : HDVMRP ( 계층구조 ) Sparse-mode 해결책

• HPIM, OCBT - 단일 도메인 상에서의 확장성을 위한 계층 구조 형성• BGMP - 도메인 간의 멀티캐스팅 (BGP 이용 )

10



단말 이동성 문제 Mobile IP 의 요구사항

IP 주소 변경 없이 임의의 위치에서 인터넷 접속 : DHCP mobile IP 가 가능한 다른 호스트와 직접 통신 가능 보안

현 IPv4 에서의 문제점 접속 지연 (access delay) 보안 최적 라우팅 경로 결정이 곤란

네트워크의 보안성 방화벽 (Firewall) 암호화 인증

11


외국의 차세대 인터넷 기술 연구 동향 외국의 차세대 인터넷 기술 연구 동향 (1)(1)

미국의 연구 동향 vBNS (very-high-speed Backbone Network Service)

1994 년 4 월 시험망으로 시작 1995 년 NSF 의 자금 지원으로 MCI 사가 구현을 담당 OSPF 와 BGP4 라우팅 프로토콜 지원 멀티캐스트를 위해 PIM-DM 지원 , 터널링 방식으로 구현 DiffServ 및 Native 6bone 을 제공

NGI (Next Generation Internet) 1997 년 10 월부터 구체화 다양한 분야의 혁신적인 응용 서비스와 네트워크 기술 연구 NSF 의 vBNS, NASA 의 NREN, DOD 의 DREN, DOE 의 Esnet 을

인프라로 구축 순수 연구망으로 시작했으나 상업적인 용도로도 점차 개방

12


vBNS Backbone Network MapvBNS Backbone Network Map

13



Internet2 1996 년 10 월 미국 내 34 개 대학들을 중심으로 순수 연구 목적으로

시작하여 현재 120 여 개 대학이 참여 네트워크 인프라로 vBNS 사용하고 각 대학은 GigaPOP 로 접속 IPv4 라우팅 기술 , IPv6 라우팅 기술 , ATM 라우팅 기술 , QoS 관련

기술 등의 연구를 진행 응용 연구 분야 : 전자 도서관 , 가상 연구실 , 분산 컴퓨팅 , 원격

건강검진 , 예술 분야 , 시뮬레이션 등

14



vBNS, NGI and Internet2 의 관계 Internet2 : 대학간 연합 NGI : 연방정부의 R&D 프로그램을 통해 여러 기관이 참여

Internet2

vBNS DREN ESnet NREN

NGI

15



캐나다의 연구 동향 CANARIE (Canadian Network for the Advancement of Research, I

ndustry and Education) 학술 연구 전산망 캐나다 연방 정부가 1993 년부터 민간단체와 협력하여 12 억 달러

투자 CA*Net2 에 이어 CA*Net3 개발

CA*Net3 1998 년에 시작 Optical Internet 으로 구축이 진행 ( IP over dWDM ) 계층 3 에 대해 MPLS 기술 도입 : QoS 제공 측면에서 유리 CA*Net2 와 Internet2 의 application 적용 가능

16



유럽의 연구 동향 TEN-34 : 두 개의 서브넷으로 구성

IP 토폴로지에 바탕을 둔 34Mbps 네트워크 ATM VP 서브넷 : 화상회의 등을 지원하기 위해 CBR, VBR 제공

TEN-155 (155Mbps) 로 확장 일본 및 아시아 태평양 지역의 연구 동향

APAN( Asia-Pacific Advanced Network ) Research & Development for advanced application and services Advanced networking environment for research community International collaboration

17


Global Network ConfigurationGlobal Network Configuration

STARTAP

APAN

CA*Net 3

Internet 2NGI

TEN-155

18


국내의 연구 동향국내의 연구 동향 1998 년 KT/KDD 간 국제 ATM 상용 서비스 제공초고속 선도 시험망 : 95~97 년까지 1 단계 구축사업 완료

초고속 시험망 구축 운영을 목적으로 연구환경 조성• 학교 , 연구소 및 산업체 등의 31 개 기관이 접속 ATM 기반 기술 및 응용서비스 연구 수행 99 년부터 종단간 QoS 보장 , 멀티캐스트 , IPv6, Security, mobile

IP 등의 실험을 위해 망의 진화를 추진 중 APAN-KR( MIRINAE )

Seoul-XP KT/KDD 간 ATM 망을 이용하여 Tokyo-XP 로 연결되어 STAR-TAP

으로 연결 Seoul-XP 에 기반을 둔 스타 토폴로지



Internet Protocol version 6Internet Protocol version 6

20


IPv6IPv6 의 등장 배경의 등장 배경 인터넷 규모의 엄청난 성장에 따라 대두된 문제

32 비트 인터넷 주소 길이에 의한 주소 할당 공간의 부족

IPv6 의 등장 IETF 의 IPng Working Group 을 중심으로 개발 IPng WG : IPv6 및 관련 프로토콜의 표준화 ngtrans WG : IPv4 에서 IPv6 로의 이전 및 활용 요건 조성

(6bone 구축 및 실험 )

21


IPv6IPv6 의 특징의 특징 (1)(1)

주소 공간 확장 32 비트에서 128 비트로 확장

간략화된 헤더 포맷 IPv4 에서 사용되지 않는 부분 삭제

확장 헤더 이용 IPv4 에서 잘 이용되지 않았던 영역 또는 옵션을 필요할 때만 정의 예 ) Hop-by-hop options header, destination options header, routin

g header, fragmentation header, authentication header, encapsulation security payload header

next header : 다음 영역에 어떤 종류의 헤더가 있는지를 명시

22


IPv6IPv6 의 특징의 특징 (2)(2)

플로우 레이블을 이용한 QoS 지원 QoS 지원을 위해 IP 패킷의 연속적인 흐름을 플로우로 정의 구체적인 사용법에 대한 표준화가 아직 진행되지 않음 QoS 지원이 되지 않는 호스트나 라우터에서는 0 으로 채워서

보냄

보안용 확장 헤더를 통한 IPv6 계층에서의 보안 기능 지원 네트워크 계층 단위의 보안 기능을 기본으로 지원 IPSec WG 에서 표준화 진행

23


IPv6IPv6 의 주소 체계의 주소 체계 (1)(1)

24



구성 prefix + interface ID prefix : 주소의 종류 및 서브넷을 판별할 때 사용 interface ID : 네트워크에 연결돼 있는 각 인터페이스들을 구별

anycast : anycast 주소를 가진 가장 가까운 노드로만 라우팅 IPv6 의 각 주소 영역과 식별 prefix 의 값

Prefix Address Type Space

0000 0000 IPv4 Compatible 1/256

0000 001 NSAP 1/128

010 Provider-based unicast 1/8

100 Geographic-based unicast 1/8

1111 1110 10 Link local 1/1024

1111 1110 11 Site local 1/1024

1111 1111 Multicast 1/256

25



0000 0000 prefix loopback IPv4-compatible, IPv4-mapped 주소

Aggregatable global unicast address 일반적인 IPv6 주소 영역 계층 구조 TLA ID : IANA 에서 정의 TLA ID 를 받은 기관은 하부 기관에 NLA ID 부여 TLA ID - NLA ID - SLA ID 6bone 에서도 이러한 계층 구조 사용 한국 : 3ffe:2e00::/24 의 TLA ID 를 6bone 으로부터 부여 받음

26



80 16

Link-local address

1111111010Interface

ID0

Site-local address

1111111011Subnet

ID0

InterfaceID

IPv4 compatible IPv6 address

0000……0000IPv4

Address0000

80 16

IPv4-mapped IPv6 address

0000……0000IPv4

AddressFFFF

80 16

27


ICMPv6ICMPv6

Internet Control Message Protocol version 6 기존의 ICMP 헤더 중 에러 메시지에 IPv6 헤더를 포함 IPv4 에서 삭제된 메시지

source quench 메시지 timestamp, information, address mask 에 대한 요구와 응답 메시지 redirect 메시지와 router advertisement 와 router solicitation

메시지 : NDP 로 옮겨짐추가된 메시지

packet too big 메시지 : 중간 라우터에서 MTU 감소로 인하여 전달 중이던 패킷을 조각화할 수 없기 때문

기존의 메시지에 대한 내부 코드도 많이 수정됨

28


Neighbor Discovery Protocol (NDP)(1)Neighbor Discovery Protocol (NDP)(1)

기존의 기능 포함 IPv4 에서 ICMP 의 router discovery, redirection ARP 의 link-layer address resolution 기능

다섯 가지의 메시지로 구분 router solicitation 과 router advertisement 메시지

router solicitation : 동일 링크 상의 라우터에 대한 정보를 알고 싶을 때 router advertisement

• 각 라우터가 자신의 정보를 주기적으로 브로드캐스팅 할 때 사용• Router solicitation 메시지 수신 시에도 반응

neighbor solicitation 과 router advertisement 메시지 solicitation : 동일 링크 상의 다른 호스트의 링크 주소를 알기 원할 때 advertisement : solicitation 메시지에 대한 응답

29


Neighbor Discovery Protocol (NDP)(2)Neighbor Discovery Protocol (NDP)(2)

redirection 메시지 패킷을 보낸 호스트에게 더 좋은 경로를 가지는 라우터가 있음을 알림 이를 수신한 호스트는 라우팅 테이블을 수정함

추가 정보 헤더 다음에 연속됨 source link-layer 주소 , target link-layer 주소 , redirected 헤더 , pr

efix 정보 , MTU 값 등 NDP 의 주요 기능

라우터 및 prefix discovery address resolution 및 neighbor unreachablility 탐지 redirection 기능

30


자동 설정 자동 설정 (auto configuration) (auto configuration) 기능기능 플러그 앤 플레이 (Plug-and-Play) 기능

수동 설정 없이도 자동적으로 주소 설정 인터페이스 ID 는 링크 계층 주소를 이용 동일 링크 상에 라우터가 존재하지 않을 때

link-local 주소 - fe80 : : < 링크 계층 주소 > 최소한 동일 링크 상에서의 통신이 가능

동일 링크 상에 라우터가 존재할 때 router solicitation / advertisement 메시지 주고 받음 디폴트 라우터의 설정이 link-local 주소 설정 위에 추가 neighbor solicitation 메시지 : 중복된 주소 탐지

31


IPv4IPv4 에서 에서 IPv6IPv6 로의 전환로의 전환 (1)(1)

점증적 전환을 위해 현 IPv4 와의 호환성 필요 호스트 및 라우터에서 호환성 구비 IPv4-compatible IPv6 주소 터널링 기능 제공 IPv4 와 IPv6 간의 변환 라우터

IPv4 / IPv6 터널링 IPv6 패킷이 IPv4 만 가능한 부분을 지날 때 IPv4 헤더로 캡슐화 설정 터널링 (configured tunneling) : 끝 점의 IPv4 주소를 IPv4

헤더의 목적지 주소로 사용 자동 터널링 (automatic tunneling) : IPv4-compatible IPv6 주소

사용

32


IPv4IPv4 에서 에서 IPv6IPv6 로의 전환로의 전환 (2)(2)

IPv4 / IPv6 변환 IPv4 전용 호스트와 IPv6 전용 호스트 간의 통신 변환 구성 요소

DNS extention : 레코드 변환 , 주소 반환 translator : 실제적인 변환 작업 수행 address mapper : 주소 매핑 및 address pool 에서 주소 가져옴

두 가지 방식 존재 헤더 변환 방식 : NAT-PT 및 SIIT 를 중심으로 표준화 진행 프록시 서버 방식 : SOCKS 를 중심으로 구현 작업 진행

33


IPv6 IPv6 구현 현황구현 현황 IPv6 구현 코드

호스트 부분 코드가 개방된 운영체제 : Linux, FreeBSD, NetBSD 등의 BSD 계열 선 시스템 , SCO, AIX(IBM), apple, SGI 등도 테스트용 구현 코드 개발 MS : win NT 기반의 테스트 구현 코드 공개

라우터 부분 3COM, CISCO, BAY Networks 등에서 구현 코드 개발 진행 MERIT 사의 gated 및 MRT 소프트웨어를 통한 라우팅 프로토콜

개발

세계적으로 FreeBSD 3.0 기반 코드까지 완성 국내 : FreeBSD 2.2.7까지 버전 업

34


6bone 6bone 현황현황 IPv6 backbone static 라우팅 정보의 설정에 따른 연결 BGP4+ 에 의한 연결 현재 55 개 사이트가 prefix 를 할당받음총 29 개국 300 개 이상의 사이트가 6bone 에 연결 6bone KR

98 년 초 ETRI 에서 테스트용 pTLA prefix 를 할당받음 NLA 를 NLA1, NLA2, NLA3 로 나눔 NLA1 : 국가 규모의 프로젝트에 할당 NLA2 : 각 학교나 단체에 할당 ( 현재 약 8 개가 할당 )



Mobile IPMobile IP

36


Mobile IPMobile IP 의 요구조건의 요구조건 투명성 (Transparency)

mobile node 는 계속 자신의 home address 를 사용해야 함 연결이 끊어졌다가 재설정되더라도 통신이 가능해야 함 접속 지점이 바뀌는 점을 고려

호환성 (Compatibility) IP 의 하위 계층을 모두 지원 가능 기존의 호스트나 라우터의 변화 없이 구현 가능 기존의 노드들과 통신 가능

보안 (Security) 등록 되는 메시지들의 인증 (authentication) 작업 필요

37


호스트 이동성 지원호스트 이동성 지원 IP 는 고정된 네트워크에서 동작

IP 주소는 접속된 지점을 명시 호스트가 접속된 지점이 바뀌면 IP 주소도 변화

네트워크 주소 + 호스트 주소

Mobile IP 호스트의 위치가 바뀌어도 IP 주소 불변 Static & Dynamic mobility

38


Mobile IPMobile IP 의 기본 개체의 기본 개체 Mobile node

움직이는 노드 ( 단말기 )

Home agent mobile node 의 움직임을 계속 추적 mobile node 의 현재 위치로 패킷을 전달

Foreign agent 외부에서 들어온 mobile node 로 전달된 패킷을 넘겨줌

Care-of address 패킷이 전달되는 주소 mobile node 의 현재 위치

39


Mobile IP MechanismMobile IP Mechanism

HA MN MN FA

The Internet

RegistrationRequest

Move & Register

40


Mobile IP MechanismMobile IP Mechanism

HA MN FA

The Internet

CNPacket

Forwarding

41


등록 등록 (Registration)(Registration)

등록 (Registration) : home agent 와 foreign agent 에게 현재의 위치를 알려 주는 작업 Mobile node 가 등록 요구를 foreign agent 에게 전달 Mobile node 로부터 요구를 받은 Foreign agent 는 home agent 에게

정보를 전달 Home agent 가 mobile node 의 이동을 인식하고 FA 에게 응답 Foreign agent 가 mobile node 에게 응답

Registration 은 mobility binding 을 수행 Mobile node 의 home address 와 현재의 care-of address 가 연결

42


터널링 터널링 (Tunneling)(Tunneling)

HA 가 패킷을 mobile node 에게 보낼 때 터널링 이용

IP 패킷을 또 다른 패킷으로 캡슐화 목적지는 mobile node 의 care-of-address 로 설정 이 때 보통 care-of-address 는 foreign agent 와 일치

패킷을 전송

care-of address 에 도착하면 패킷의 캡슐이 해체되고 mobile node 에게 전송

43


문제점 및 경로 최적화문제점 및 경로 최적화 문제점

모든 패킷이 항상 home agent 를 통해 전송 불필요한 네트워크 오버헤드를 유발 체증이 발생한 동안에는 위치 갱신이 오래 걸림

경로 최적화 Correspondent node 가

현재 mobile node 의 위치를 알아냄 Binding Cache 에 이 위치 정보를 저장 자신의 패킷을 터널링을 통해 직접 FA 에게 전달

44


IPv6IPv6 에서의 이동성 지원에서의 이동성 지원 Mobile IP 와 관련된 주요 변화

모든 노드들에 해당하는 인증 (authentication) 작업 지원 확장된 주소 영역 주소 자동 설정 (Address auto-configuration) 옵션의 개선 neighbor discovery (NDP)

mobile node 는 IPv6 의 dynamic address auto-configuration 으로 자신의 care-of-address 를 획득

45


IPv6 IPv6 목적지 옵션목적지 옵션 Mobility 지원을 위한 새 목적지 옵션

Binding Update Option 새 care-of-address 를 correspondent node 나 HA 에게 알림 각각은 binding 이 끝난 후로부터의 lifetime 을 포함

Binding Acknowledgement Option Binding Update Option 에 대한 응답

Binding Request Option Binding Update Option 을 요구

Home Address Option mobile node 가 메시지를 보낼 때 , 수신자에게 HA 를 알려 주는 데에 사용



IP IP 멀티캐스트멀티캐스트

47


멀티포인트 커뮤니케이션멀티포인트 커뮤니케이션

멀티포인트 커뮤니케이션 유니캐스트 : 데이터의 복사본이 각각의 수신자에게 전송됨 브로드캐스트 : 한 데이터 패킷이 전체 네트워크에 전송됨 멀티캐스트

패킷은 지정된 수신자들에게 전송됨 네트워크가 필요한 만큼 패킷을 복사함

48


멀티캐스팅의 구성요소멀티캐스팅의 구성요소 프로토콜

멀티캐스트 그룹을 만들고 제어 그룹 멤버쉽 제어 프로토콜

IGMP 라우팅 프로토콜

DVMRP, MOSPF, CBT, PIM

라우터 인프라 구조 멀티캐스트 트래픽을 전송 Mbone(Multicast Backbone)

어플리케이션 프로토콜 및 API 데스크탑 컴퓨터 및 워크스테이션이 멀티캐스트를 제대로 사용할

수 있도록 함 RTP, RTCP, RSVP

49


MboneMbone

MBone(Multicast Backbone) 물리적인 인터넷의 상위에 존재하는 가상의 네트워크

50


그룹 어드레싱과 멤버쉽 관리 IP 의 Class D 어드레스 사용

1 1 1 0 multicast group ID(28bits)

IGMP 인접한 라우터들에게 그룹 멤버쉽을 알림

라우팅 멀티캐스트 라우팅 알고리듬의 설계

네트워크의 로드를 최소화• 루프 및 트래픽 집중 회피

신뢰성 있는 전송을 지원• 루트의 변경이 전송중인 데이터에 부정적 영향을 주면 안됨

라우터에 저장되는 정보를 최소화

Hop-By-HopHop-By-Hop

51


라우팅라우팅 기본 알고리듬

멀티캐스트 트리를 만듦 소스 기반 트리 (Source-Based Tree) 기법

소스마다 스패닝 트리 (spanning tree) 를 만듦 문제점

• 각 노드마다 소스와 그룹에 대한 정보를 저장 - 대규모의 메모리가 필요

공유 트리 (Shared-tree) 기법 그룹의 모든 멤버가 공유하는 하나의 전송 트리를 만듦 그룹에 대한 정보만 저장 - 확장성 문제점

• 트래픽의 집중• 지연 시간 증가

52


멀티캐스트 라우팅 프로토콜 멀티캐스트 라우팅 프로토콜 (1)(1)

인터넷 DVMRP(Distance-Vector Multicast Routing Protocol)

RIP 확장 각 그룹에 대한 소스 기반의 전송 트리를 만들기 위해서 역 경로 거리

(reverse path distance) 를 멀티캐스트 라우터간에 전송 기본 동작

• 첫 데이터그램은 전체 네트워크로 플러딩됨• 이 트래픽을 받은 종단 라우터들은 종단 서브네트워크에 연결되어 있는

그룹 멤버가 없으면 , Prune 메시지를 송신지를 향해 역방향으로 전송• Prune 메시지는 그룹 멤버로 이어져 있지 않은 모든 가지들을 제거• 소스 기반의 최단 경로 (shortest-path) 트리 • 주기적으로 동작

53



MOSPF(Multicast Open Shortest Path First) OSPF v2 의 확장 링크 상태 (link state) 데이터베이스 이용 플러딩 (flooding) 이 없음 - DVMRP 보다 링크 효율이 높음 소스 - 그룹의 각 쌍에 대한 높은 계산량 필요

CBT(Core Based Trees) 공유 트리 기법 기본 동작

• 조인 요청 메시지가 그룹의 공유 트리에 있는 라우터를 만나면 , 라우터는 보내온 라우터를 향해 ACK 를 홉간 전송

• 요청 메시지가 CBT 라우터를 만나지 않으면 , 코어 라우터가 ACK 전송• 송신지는 코어 라우터로 데이터를 전송하고 , 코어 라우터는 비코어

라우터로 데이터 전송

54


멀티캐스트 라우팅 프로토콜 멀티캐스트 라우팅 프로토콜 (3)(3) PIM(Protocol Independent Multicast)

넓은 영역의 그룹 모든 유니캐스트 라우팅 프로토콜 사용 가능 두 프로토콜로 구성

• PIM-DM(Dense Mode)• PIM-SM(Sparse Mode)

PIM-DM• 그룹 멤버들의 밀집도가 높고 대역폭이 넓은 경우• DVMRP 와 유사

PIM-SM• 소수의 그룹 멤버들이 넓은 영역에 걸쳐 존재하고 대역폭이 크게 필요하지 않은 경우

• CBT 로부터 발전 초기모드는 PIM-DM 지연 시간이 커진 리시버들의 요구를 받으면 모드를 PIM-DM 으로

변경

55



ATM MARS(Multicast Address Resolution Server)

상위 계층의 그룹 어드레스를 점 대 다중점 (point-to-multipoint) VC 로 매핑

멀티캐스트 가능한 ATM 인터페이스들은 클러스터로 그룹화 클러스터 : AAL 수준의 멀티캐스팅을 가능하도록 하는 ATM

인터페이스들의 집합 SEAM

한 VC 의 셀들이 전송될 때까지 스위치에서 다른 VC 들의 셀을 버퍼링 SMART

다중점 대 다중점 (multipoint-to-multipoint) ATM VC 셀의 교직화 (interleaving) 를 방지하기 위해서 한번에 한 송신지만이

송신 가능 오버헤드와 높은 지연 시간

56


End-To-End (1)End-To-End (1) SRM(Scalable Reliable Multicast)

최선형 (best-effor) 멀티캐스트 전송 cloud-based algorithm 사용

수신지는 NACK 을 이용하여 , 시퀀스 넘버의 차이를 명시함으로써 잃어버린 패킷의 복구를 책임진다 .

비연결 (connectionless) : 멤버쉽 정보를 유지하지 않는다 . - 확장성 각 호스트는 모든 다른 멤버들로부터의 지연 시간을 추정한다 . 이 정보를

이용해서 NACK 를 할 호스트가 결정되어지며 , 재전송을 책임질 가까운 호스트를 찾을 수 있다 .

정보를 가지고 있는 어떤 멤버도 NACK 에 대한 재전송을 할 수 있다 . 재전송된 데이터의 중복 복사를 피하기 위해서 재전송은 그룹으로

멀티캐스트된다 .

57


End-To-End (2)End-To-End (2)

RMTP(Reliable Multicast Transport Protocol) 트리 기반의 신뢰성이 있는 멀티캐스트 프로토콜 ACK 의 집중을 막기위해 네트워크내의 지정된 노드에서 ACK 를 합침 전송 트리의 각 가지는 지정된 수신지를 가짐

지정 수신지 (designated receiver)• 가지에 있는 자식 노드들로 부터 ACK 를 받고 , 상위 송신지에게 이를 합쳐

전송한다 .

• 멀티캐스트 데이터를 받아 캐싱하고 , 가지에 있는 다른 수신지로부터의 재전송 요구시 데이터를 재전송한다 .

문제점 : 현재 라우팅 프로토콜 중 partial multicast 를 지원하는 프로토콜은 없음

58


응용 분야응용 분야 인터넷 상의 멀티미디어 어플리케이션

Multimedia Distribution : 멀티미디어 데이터 전송 Conferencing Applications : 오디오 및 비디오 원격 회의 Collaborative Applications : 그룹내 멤버들의 자료 교환 Information Distribution Session Directory : 세션 공표 툴 Diagnostic Tools : 네트워크 모니터링 및 유지



IP SecurityIP Security

60


소개소개 IP Security Protocol Working Group ( IETF )

클라이언트 입장에서 IP 를 보호하기 위한 방법 연구

새로운 패킷 포맷 제안 Authentication Header( AH )

데이터 무결성 (data integrity) 을 제공 Encapsulating Security Header( ESP )

기밀성 (confidentiality), 데이터 무결성 (data integrity) 제공

61


IPsecIPsec 의 필요성의 필요성

사생활 침해 기밀성 데이터 CERT : 1996 년 연례 보고서에서 언급

데이터 무결성 (Data Integrity) 데이터 변경 여부를 알 수 없다 . 예 ) 홈뱅킹에서의 저축 액수

본인 확인 문제 (Identity Spoofing) IP 주소나 ID, 패스워드 등으로는 불완전

서비스 이용 여부 (Denial of Service) 서비스를 이용하고도 이용하지 않았다고 할 때의 확인 예 ) 전자 상거래

62


IPSecIPSec 의 기술의 기술

Diffie-Hellman 알고리즘 키 교환에 사용 man-in-the-middle 공격에 대한 방어용 인증 방법으로 사용

DES 알고리즘 대용량의 데이터 암호화를 위해서 사용

MD5 또는 SHA 알고리즘 패킷 단위의 인증을 위해서 사용

63


IPSecIPSec 의 구조 의 구조 (1)(1)

Open standard IPSec Packets

IP 헤더 뒤의 계층 4 프로토콜 헤더 앞에 새로운 헤더 추가 정의 인증 헤더 (Authentication Header)

IP 데이타그램의 무결성 (integrity) 과 인증성 (authenticity) 을 제공 기밀성 (confidentiality) 은 보장 못함 성능 향상을 위해 디지털 서명 방법이 아닌 keyed-hash 알고리즘

사용Next header Length Reserved

Security parameters index( SPI )

Authentication data( variable number of 32-bit words )

64


IPSecIPSec 의 구조 의 구조 (2)(2)

Encapsulating Security Payload( ESP ) 기밀성 ( confidentiality ), 통합성 ( integrity ), 인증성 ( authenticity ) 를 모두

제공

AH 와 ESP 는 독립적으로 또는 함께 사용 가능 보안 알고리즘은 사용자의 선택

RSA Data Security 사의 MD5 알고리즘 미 국방성에서 정의한 Secure Hash Algorithm (SHA)

Security Parameter Index(SPI)

Initialization Vector

Payload Data

Padding Padding Length Payload Type

65


IPSecIPSec 의 동작 모드의 동작 모드

두 가지 동작 모드 Transport 모드

IP 페이로드만이 암호화되고 IP 헤더는 암호화되지 않음 각 패킷에 추가되는 오버헤드가 적음 헤더가 암호화되지 않으므로 중간 노드에서 헤더를 이용 가능 : QoS 제공 traffic analysis ( 해킹 ) 와 같은 공격을 받을 가능성 존재

Tunnel 모드 IP 데이타그램이 모두 암호화 새로운 IP 헤더를 추가 라우터와 같은 네트워크 장치들이 IPSec 프락시처럼 동작 가능 source쪽의 라우터가 암호화하여 전송 시작 ( 소스 주소 = 소스 쪽 라우터

주소 ) 목적지 주소에도 라우터 주소가 들어감 traffic analysis 도 막을 수 있으며 호스트 변경 없이 사용 가능 라우터의 부담이 크다는 단점 존재

66


전망전망 IPv6 에서의 지원 : IPSec 을 필수적으로 구현 IPv4 호환 IPSec 을 요구하는 응용 분야의 확장 ( 예 : 전자 상거래 ) 반 보안 기법의 등장 , 기존 보안 알고리즘의 취약점 발견

: 개선을 위한 연구 노력 필요 VPN( Virtual Private Network ) 환경에 적합

여러 호스트들과 IPSec 을 구현한 보안 게이트웨이로 구성 단점 : multivendor VPN 구성이 거의 불가능

IPSec 의 보다 깊은 상호 운용성에 대한 연구가 필요



통합 서비스통합 서비스 (RSVP)(RSVP) 와와차별 서비스차별 서비스

68


소개소개 IP 기반 인터넷

최선형 서비스만 제공

IP 기반 인터넷의 문제점 실시간 어플리케이션 지원 미비 멀티미디어 지원 어려움 멀티캐스팅 적용 어려움

개선 방안 실시간 트래픽을 위한 새로운 네트워크를 만듦 기존의 IP 기반 네트워크 구성을 ATM 으로 대체

69


통합 서비스의 구조통합 서비스의 구조 (ISA)(ISA)

TCP/IP 구조 안에서의 다양한 QoS 지원 요구 기본적인 요구사항

QoS 기반 서비스를 지원하기 위해 라우터에 새로운 기능을 첨가 IETF

통합 서비스 구조 (Integrated Services Architecture, ISA) 의 표준들을 개발

통합 서비스 하나의 네트워크에서 오디오 , 비디오 등의 실시간 서비스와 함께 ,

기존의 데이터 트래픽을 전송 워킹 그룹 (Working Group) 의 목적

서비스 모델을 정함 인터페이스와 요구사항을 정의하고 표준화함

70


인터넷 트래픽인터넷 트래픽 Elastic Traffic

지연 시간과 수율 (throughput) 의 변화에 적응을 하며 , 어플리케이션의 요구를 만족시키는 트래픽

비실시간 어플리케이션 FTP, SMTP, TELNET, SNMP, HTTP

Inelastic Traffic 지연 시간과 수율의 변화에 쉽게 적응을 하지 못하는 트래픽 실시간 어플리케이션 Tolerant / Intolerant

트래픽 손실에 대한 허용 여부에 따라 Adaptive / Non-adaptive

지연 시간에 대한 적응 여부에 따라 전송 속도에 대한 적응 여부에 따라

71


필요 조건필요 조건 ISA Approach

Flowspec TSpec / RSpec

수락 제어 (Admission Control) 라우팅 알고리듬

지연 시간 뿐만 아니라 다양한 QoS 파라미터에 근거 큐잉 방식 (Queueing Discipline) 패킷 폐기 정책 (Discard policy)

폐기 시간 폐기될 패킷의 선택

자원 예약 (resource reservation) 예약 프로토콜 (RSVP)

72


IS IS 라우터 구성 요소 라우터 구성 요소 (1)(1)

그림 . 통합 서비스 구조 ( 라우터 )

73


IS IS 라우터 구성 요소 라우터 구성 요소 (2)(2)

분류와 경로 선택 들어온 패킷을 클래스로 매핑함 클래스의 선택은 IP 헤더를 기반으로 함 패킷의 클래스와 목적지 주소에 근거하여 다음 홉의 주소를 결정

패킷 스케쥴러 출력 포트의 큐 관리 전송 및 버릴 패킷의 순서를 결정 계약을 위반한 패킷에 대한 처리 방법을 결정

수락 제어 (Admission Control) 제어 알고리듬을 구현 관리 정책 시행 과금 (Accounting) 과 관리 정보 생성 예약 설정 프로토콜 흐름 규정 상태를 만들고 유지 Flowspec 을 수락 제어에 이용할 수 있도록 전달

74


RSVPRSVP

설계 목표 각각의 수신지들이 필요한 예약을 할 수 있도록 함 멀티캐스트 그룹내의 멤버쉽을 관리함 다수의 송신지들 중 선택을 가능하게 함 경로의 변화에 대해서 새로운 경로를 따라 자동적으로 예약을 함 프로토콜의 오버헤드를 최소화함 라우팅 프로토콜에 독립적임

75


RSVP RSVP 특징특징 특징

유니캐스트 및 멀티캐스트 단방향 (simplex) 수신지 주도의 예약 방식

송신지는 전송 특성을 만족시키는 경로를 설정 수신지는 원하는 QoS 를 명시

연성 상태 (soft state) 예약 상태는 라우터에 저장됨 종단 시스템에 의해서 주기적으로 갱신됨 갱신되지 않는 상태는 라우터에 의해 버려짐

다양한 예약 방법 RSVP 를 지원하지 않는 라우터와도 연동 가능 IPv4 와 IPv6 를 지원

76


RSVP RSVP 프로토콜 프로토콜 (1)(1)

RSVP 데몬의 동작

수락 제어 (admission control) 요청된 QoS 를 만족시킬 수 있는 충분한 자원이 있는지를 결정

정책 제어 (policy control) 예약에 대한 요구 권한 검사

만약 두 가지 검사에서 실패하면 에러 메시지 전송 성공하면 패킷 분류자와 패킷 스케쥴러의 파라미터를 설정

패킷 분류자는 각 패킷에 대한 QoS 클래스를 결정 패킷 스케쥴러는 각 스트림에 대해서 QoS 를 만족하도록 스케쥴링함

77


RSVP RSVP 프로토콜 프로토콜 (2)(2)

확장성 수신지에 의한 예약 요청은 멀티캐스트 트리를 따라 올라가면서 서로

합쳐짐

78


데이터 플로우 데이터 플로우 (Data Flow)(Data Flow)

세션 (Session) 목적지의 IP 주소 IP 프로토콜 ID 목적지의 포트

흐름 사양 (Flow spec) 서비스 종류 (Service class) RSpec TSpec

필터 사양 (Filter spec) 송신지 주소 UDP/TCP 송신지 포트

79


관계관계

그림 . 라우터에서 하나의 세션의 패킷에 대한 처리

80


RSVP RSVP 동작 동작 (( 필터링필터링 ))

필터링

81


예약 방식예약 방식 예약 속성 (Reservation Attributes)

shared/ distinct

송신지 선택 (Sender Selector) explicit/ wildcard

Reservation AttributeSender

SelectionDistinct Shared

ExplicitFixed-filter (FF)

styleShared-explicit

(SE) style

Wildcard -Wildcard-filter

(WF) style

82


RSVP RSVP 메시지메시지 기본 메시지

Resv 메시지 Path 메시지

Path 메시지 상향 라우팅 정보 제공 송신지로서 참여를 희망하는 각 호스트는 Path 메시지를 수신지들에게

보냄 Resv 메시지

연성 상태를 위해 주기적으로 갱신 수신지에서 생성 , 합쳐지면서 상향 전송

83


RSVP RSVP 메커니즘메커니즘 과정

a. 멀티캐스트 그룹에 참여하길 원하는 수신지는 IGMP 를 이용 , 참여 의사를 이웃 라우터들에게 알림

b. 잠정적인 송신지들은 멀티캐스트 그룹 주소로 Path 메시지를 전송c. 수신지는 송신지를 식별해 주는 Path 메시지를 수신함d. 수신지는 Resv 메시지를 송신지에 보냄으로써 , 흐름 기술자 (flow desc

riptor) 를 명시e. 송신지는 데이터를 전송f. 수신지는 데이터를 수신

84


흐름 명세흐름 명세 Flowspec = Traffic Spec + QoS Spec

= TSpec + RSpec TSpec : Peak rate(p), bucket rate(r), bucket size(b), max datagram siz

e(M), min policed unit(m) m 바이트 이하의 데이터그램은 m바이트로 계산 Peak rate: 선택 사항

RSpec : Rate(R) 와 delay slack(S) S = R 의 경우의 지연 시간보다 초과 가능한 지연 시간값 Zero slack ==> 정확히 R 예약

Rspec 은 성능이 보장된 서비스의 경우만 명시

85


미해결 과제미해결 과제 과금 인증 및 접근 제어 메시지 결합에 의한 오버헤드 감소 장애 탐지와 연성 상태 메커니즘 추가적인 예약 방식

86


차별 서비스차별 서비스 목적

‘각 홉에서의 시그널링’과 ‘흐름당 상태 정보’ 없이 확장성 있는 서비스를 인터넷에서 제공

방안 네트워크 경계 및 관리 경계 노드에서 TOS 를 세팅 이 정보를 이용해서 내부 네트워크에서 패킷이 다루어져야 하는 방식을

결정 각 서비스의 요구에 따라서 네트워크 경계에서 표시된 패킷을 조절 (condit

ioning)

0 1 2 3 4 5 6 7

DSCP CU

DSCP : differentiated Services Codepoint

CU : currently not unused

87


Per-Hop Per-Hop 동작동작 (Behavior)(Behavior)

차별 서비스 모델 라우터는 출력 인터페이스로의 패킷 스케쥴링을 제어하는 파라미터들을

가지고 있음 독립된 큐는 각각 설정 가능한 우선 순위 ,큐 길이 , round-robin 가중치 , 누락 알고리듬 , 누락 선호와 경계치 등을 가짐

EF(Expedited Forwarding PHB) 낮은 손실 , 낮은 지연 , 낮은 지터 , 보장된 대역폭 , 단대단 서비스 가상의 전용선

AF(Assured Forwarding PHB) 최소 성능 보장 남는 대역폭은 공유 사용 가능

최선형 서비스 (Best Effort) 현재 일반적인 인터넷 서비스

88


구조 구조 (1)(1)

Packets Classifier

Meter

Shaper/DropperMarker

트래픽 조절기 (Traffic Conditioner)

분류기 (classifier) : 정해진 규칙에 따라 패킷 헤더의 내용을 근거로 패킷을 분류

측정기 (Meter) : 일시적인 트래픽 특성을 측정 표시기 (Marker) : DS codepoint 를 세팅 형성기 /누락기 (Shaper/Dropper) : 트래픽 스트림을 지연시킴으로써 ,

정해진 트래픽 특성에 맞춤

89


구조 구조 (2)(2)

경계 라우터 (Edge router) : DS 도메인과 다른 도메인을 연결하는 노드

내부 라우터 (Internal DS router) : DS 도메인 내부의 DS 노드

90


미해결 과제미해결 과제

확장성 어플리케이션 참여자의 관점에서 본 확장성 동시 실행되는 어플리케이션 관점에서 본 확장성

라우팅 정보의 교환량 정보 갱신의 주기 경로 선택을 위한 계산량

과금 과금의 기준과 과금 대상 사용 제한 명시

하계강좌 차세대 인터넷 , ipv6, mobile ip, ip multicast, security, diffserv, rsvp

Documents