Skip to main content
QUICK REVIEW

[論文レビュー] P4-IPsec: Implementation of IPsec Gateways in P4 with SDN Control for Host-to-Site Scenarios

Frederik Hauser, Marco Häberle|arXiv (Cornell University)|Jul 8, 2019
Software-Defined Networks and 5G参考文献 34被引用数 7
ひとこと要約

P4-IPsec は、ホストからサイトへの VPN を対象に、P4 を用いたソフトウェア定義型 IPsec ゲートウェイの実装を提案する。これは、IKE を使用しないコントローラー駆動のシグナル伝送により、オンデマンドでのトンネル作成を可能にする。実験的評価において、BMv2、NetFPGA SUME、Edgecore Wedge 100BF-32X の各ターゲットで実現可能性と高いスループット・低遅延を示した。

ABSTRACT

In this paper we propose P4-IPsec which follows the software-defined networking (SDN) paradigm. It comprises a P4-based implementation of an IPsec gateway, a client agent, and a controller-based, IKE-less signalling between them. P4-IPsec features the Encapsulation Security Payload (ESP) protocol, tunnel mode, and various cipher suites for host-to-site virtual private networks (VPNs). We consider the use case of a roadwarrior and multiple IPsec gateways steered by the same controller. P4-IPsec supports on-demand VPN which sets up tunnels to appropriate resources within these sites when requested by applications. To validate the P4-based approach for IPsec gateways, we provide three prototypes leveraging the software switch BMv2, the NetFPGA SUME card, and the Edgecore Wedge 100BF-32X switch as P4 targets. For the latter, we perform a performance evaluation giving experimental results on throughput and delay.

研究の動機と目的

  • ソフトウェア定義ネットワーキング(SDN)環境において、動的でコントローラー管理の IPsec ゲートウェイ運用を可能にすること。
  • 従来の IKE プロトコルに依存せずに、IPsec トンネルのセットアップを可能にするため、IKE を排除したシグナル伝送メカニズムを導入すること。
  • 安全なホストからサイトへの通信を実現するため、トンネルモードと複数の暗号スイートをサポートすること。
  • アプリケーション要求に基づいてオンデマンドで VPN トンネルを生成できること。
  • P4 対応の多様なハードウェアプラットフォームにおける P4 ベースの IPsec ゲートウェイの性能と実現可能性を検証すること。

提案手法

  • ESP プロトコルをトンネルモードで処理し、設定可能な暗号スイートを備えた P4 による IPsec ゲートウェイの実装。
  • コントローラー駆動の IKE を使用しないシグナル伝送プロトコルを設計し、トンネルのセットアップと構成を管理すること。
  • BMv2 ソフトウェアスイッチ、NetFPGA SUME FPGA ボード、Edgecore Wedge 100BF-32X スイッチの 3 つのハードウェアターゲットに P4-IPsec ゲートウェイをデプロイすること。
  • アプリケーションレベルの要求に基づいて、適切なリモートサイトにオンデマンドでトンネルを作成すること。
  • コントローラーを設定し、セキュリティアソシエーションを管理し、トラフィックを正しい P4 ベースのゲートウェイにルーティングすること。
  • スループットと遅延の測定を用いて、Edgecore Wedge 100BF-32X での性能を評価すること。

実験結果

リサーチクエスチョン

  • RQ1P4 を用いて、トンネルモードと複数の暗号スイートを完全にサポートする IPsec ゲートウェイを実装できるか?
  • RQ2セキュリティとスケーラビリティを維持したまま、IPsec トンネルセットアッププロセスから IKE を排除する方法は何か?
  • RQ3ホストからサイトのシナリオにおいて、SDN コントローラーを介してオンデマンドの IPsec トンネル作成を効率的にオーケストレートできるか?
  • RQ4P4 ベースの IPsec ゲートウェイは、一般の P4 対応ハードウェア上でどのような性能特性を示すか?
  • RQ5動的トンネル要請の下で、複数のゲートウェイとロードウォーリアクライアントの間で、P4-IPsec アーキテクチャはどのようにスケーリングするか?

主な発見

  • P4-IPsec 実装は、3 つのハードウェアプラットフォームすべてで、複数の暗号スイートを備えた ESP トンネルモードを正常にサポートした。
  • IKE を使用しないシグナル伝送メカニズムにより、従来の IKE プロトコルに依存せずに、効率的なコントローラー駆動のオンデマンド IPsec トンネルのセットアップが可能になった。
  • Edgecore Wedge 100BF-32X スイッチでの性能評価では、高いスループットと低遅延が得られ、本番環境での導入可能性が裏付けられた。
  • システムはアプリケーション要求に基づく動的トンネルプロビジョニングを実現し、柔軟で応答性の高いホストからサイトへの接続を可能にした。
  • P4 ベースのアプローチにより、多様な P4 対応ハードウェアターゲット間で一貫性があり、プログラマブルな IPsec ゲートウェイ動作が実現された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。