성형 vpn 구조에서의 주문형 터널 생성 메커니즘
Post on 03-Feb-2016
89 Views
Preview:
DESCRIPTION
TRANSCRIPT
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
성형 VPN 구조에서의 주문형 터널 생성 메커니즘
발표자 : 최도현
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
목차
1. 서론2. 관련연구
3. 제안 메커니즘 SVOT(Star VPN On-demand Tunnel)3.1 SVOT 의 구성 요소3.2 SVOT 의 메시지 흐름3.3 터널 유지와 해제
4. 성능평가4.1 시뮬레이션 토폴로지4.2 CVG 을 통해 전달되는 패킷의 수4.3 터널설립을 위한 CPE VPN GW 제어메세지의 발생 수4.4 VPN GW 에서 유지해야 하는 터널의 수4.5 패킷 처리율4.6 종단간 평균 지연 시간
5. 결론
CVG : Center VPN GW
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
1. 서론 (1)
1. 인터넷 기반의 기업의 증가1. 본사와 지사간 네트워크 연결 (VPN) 의 증가 .2. 대부분 GW 간 성형 VPN 구조를 이루고 있음 .
CPE : Customer Premise Equipmentcs : Customer Site
cs
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
1. 서론 (2)
1. 확장이 매우 간편하고 문제 발생 시 위치파악 용이1. 모든 패킷이 Center VPN GW 거치기 때문에 비 효율적
CPE GW
cs
cs
Center VPN GW
CPE GW
CPE GW
① Incapsulation(CPE GW(cs)) Tunnel CVG
Tunnel
①
②
② Decapsulation(CPE GW(cs)) Tunnel CPE GW
③ Tunnel Deconnect
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
2. 관련연구1. 성형 구조의 문제를 해결하기 위한 메쉬구조
1. CPE VPN GW 의 복잡성 증가 (IPSec IKE 이용 )2. IP 주소 , 보안 등급 , 암호화 알고리즘 등 관리가 어려움3. 현재 대부분의 동적 IP 의 환경으로 IP 가 자주 변경됨
2. 정책 기반 IPSec 기반 매니지먼트1. IP 패킷에 적절한 보안정책을 적용2. 정책서버가 CPE VPN GW 의 보안정책 및 자원구성 수행3. 트래픽의 종류와 보안수준에 따라 필터 , 인증 , 터널설정 등
정책 설정
3. 터널 생성시 정확한 정책 룰 적용하여 터널중복방지1. 터널의 수를 최소화하여 관리 설정의 오버헤드 감소
IPSec : IP SecurityIKE : Internet Key Exchange
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
3. 제안 메커니즘 SVOT(Star VPN On-demand Tunnel)
1. CPE VPN GW 간 직접터널의 생성1. 자동으로 동적터널 생성 가능한 SVOT 제안2. 주문형 터널 생성 메커니즘 이용하여 터널 설립3. 관리자의 수동설정이 아닌 자동적으로 터널 설립
cs
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
3.1 SVOT 의 구성 요소1. TDS Server: CGV 와 직접 연결 , 터널설립에 필요한 정보 유지
1. TDS Manager, TDS Repository2. TDS Agent : TDS Manager 에게 터널 설립에 필요한 정보 요청 , 제공 받음3. ACR : 제반 정보 변경 시 TDS Manager 에게 변경 정보 알림4. IPSec Kernel : 직접 터널을 설립할지 판단하는 모듈
ACR : Auto Configuration Registration
CVG : Center VPN GW
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
3.2 SVOT 의 메시지 흐름1. CPE VPN GW 간 직접 터널 확인2. 직접 터널 설립 할 경우 TDS Agent 에서 터널 설립을 위한 제반 작업 수행3. TDP Agent 는 IPSec Kernel 모듈에게 터널 설립 요청을 받아 TDS Manager 에게
전송4. TDS Manager 는 TDS Repository 에서 해당 CPE VPN GW 의 정보를 TDS Agent
에게 전송5. 정보를 받은 TDS Agent 는 IKE 메커니즘의 효율적 동작을 위한 환경을 자율적으로
구성6. IKE 활성화 되고 직접 터널이 생성7. 정보 변경 시 TDS Manager 에게 알림8. TDS Manager 는 ACR 모듈로 부터 받은 CPE VPN GW 의 변경정보를 TDS
Repository 에 업데이트
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
3.3 터널 유지와 해제1. CPE VPN GW 간 직접터널
1. 확장성 , 자원할당 및 네트워크 성능에 영향2. 터널의 효율적인 설립과 해제 필요
2. 일정 시간 트래픽의 양 모니터링1. Decision_value 이상일 경우 직접터널 설립2. 평균 지속시간 1/n 으로 설정3. 일정기간 (Expire time) 터널의 패킷 전송이 없는 경우 해제
3. Expire Time 의 적절한 책정1. Expire Time 이 길면 오버헤드 증가2. Expire Time 이 짧으면 프로세스 오버헤드 증가
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4. 성능평가1. NS-2(Network Simulator-2)
1. 1988 년 캘리포니아 버클리 대학 개발2. TCP, 라우팅 , 멀티캐스트 , RTP 등 다양한 프로토콜 지원3. C++ 과 Otcl 로 구성
2. CPE VPN GW 와 Center VPN GW1. 두 GW 역할을 하는 노드 생성2. Center VPN GW 에는 TDS Manager 를 노드에 연결3. CPE VPN GW 에는 TDS Agent 를 노드에 연결
3. CPE VPN GW 와 Center VPN GW 의 터널링1. 인캡슐레이션 , 디캡슐레이션 프로시저 추가
RTP : Real Time Protocol
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.1 시뮬레이션 토폴로지 (1)
1. 1 개의 Center VPN GW 와 20 개의 CPE VPN GW 구성
1. 중소기업 VPN 규모 설정 (NS 제약 )2. 트래픽 (UDP 를 이용한 CBR 가정 )3. 전송률 0.5Mbps ~ 2Mbps 변화
5~20 개 활성화
10Mbps100us
45Mbps30ms
CBR : Constant Bit Rate
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.1 시뮬레이션 토폴로지 (2)
1. 트래픽 발생 시 직접터널 설립 여부 확인1. 패킷 도착율 검사시간 : 15 초의 1/10 인 1.5 초 가정2. 0.5Mb 이상일 경우 직접 터널 설립3. 지속시간 1.5 초 미만인 경우 직접터널 생성
2. 터널 해제를 위한 Expire Time1. Expire Time 0.1 초로 가정
1. 최대 패킷 도착 간격 0.008 + 링크지연 및 과부하 0.002 = 0.1초
3. 시뮬레이션 성능 분석1. CPE VPN GW 수2. 하나의 사이트에서 발생하는 플로우의 수3. 플로우 별 패킷 전송률에 따른 VPN 의 확장성4. 트래픽 전송에 대한 효율성5. CVG 에서의 오버헤드 측정
CVG : Center VPN GW
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.2 CVG 을 통해 전달되는 패킷의 수
시뮬레이션모델명
CPE VPN GW 개수
한 사이트의 발생 플로우 수
호스트에서의 패킷 전송률
A- 모델 5,10,15,20 100 0.5~2
B- 모델 20 25,50,75,100
0.5~2
C- 모델 20 100 0.5, 1, 1.5, 2
XSVOT-even SVOT-uneven SVST-even SVST-uneven
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.3 터널설립을 위한 CPE VPN GW 제어메세지의 발생 수
SVOT-even SVOT-uneven
1. SVST : 초기 구성 시 CVG 와 CPE VPN GW 간 터널 설립
2. SVOT : CPE VPN GW 간 직접터널1. CVG 의 TDS 서버에게 CPE VPN GW 정보 요구 메시지
발생
CVG : Center VPN GW
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.4 VPN GW 에서 유지해야 하는 터널의 수 (1)
XSVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven
1. SVST : CVG 와 CPE VPN GW 는 하나의 터널 유지2. FVST : CPE VPN GW 간 독립적 : CPE VPN GW 수 –
13. SVOT : CVG 와 같고 , 터널이 추가로 동적 설립 및
해제
CVG : Center VPN GW
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.4 VPN GW 에서 유지해야 하는 터널의 수 (2)
XSVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven
1. SVST : CVG 의 수 x 2 2. FVST : CPE VPN GW 수 x (CPE VPN GW – 1)3. SVOT : SVST 와 기본적으로 같으나 약간 높음
CVG : Center VPN GW
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.5 패킷 처리율1. 0.5~2Mbps 의 변화 적용
1. SVOT 와 FVST 의 일정한 패킷 처리율 ( 트래픽의 분산 )2. SVST 는 처리율이 점점 하락 ( 트래픽의 집중 )
1. 링크의 혼잡과 패킷 손실 발생
XSVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.6 종단간 평균 지연 시간
1. 패킷 전송률에 대한 평균 지연 시간 측정1. FVST : 0.05ms2. SVOT : 0.06ms3. SVST : 0.1~0.12ms
XSVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
5. 결론
1. 성형 VPN 구조에 주문형 터널 생성 메커니즘을 이용한 SVOT 를 제안
2. 관리자의 수동적인 설정이 아닌 자동적인 터널설립
3. SVST 방안에 비해 확장성 , 트래픽 효율성 , 지연시간에서 FVST 와 비슷한 성능을 확인
4. 새로운 VPN 구조로 변경없이 FVST 의 효과를 낼 수 있는 장점을 가짐 ( 비용의 하락 )
5. 향후 실제적인 트래픽 분석을 통하여 터널의 설립과 해제 시점을 결정하는 방법을 연구
top related