[論文レビュー] P4-IPsec: Implementation of IPsec Gateways in P4 with SDN Control for Host-to-Site Scenarios
P4-IPsec は、ホストからサイトへの VPN を対象に、P4 を用いたソフトウェア定義型 IPsec ゲートウェイの実装を提案する。これは、IKE を使用しないコントローラー駆動のシグナル伝送により、オンデマンドでのトンネル作成を可能にする。実験的評価において、BMv2、NetFPGA SUME、Edgecore Wedge 100BF-32X の各ターゲットで実現可能性と高いスループット・低遅延を示した。
In this paper we propose P4-IPsec which follows the software-defined networking (SDN) paradigm. It comprises a P4-based implementation of an IPsec gateway, a client agent, and a controller-based, IKE-less signalling between them. P4-IPsec features the Encapsulation Security Payload (ESP) protocol, tunnel mode, and various cipher suites for host-to-site virtual private networks (VPNs). We consider the use case of a roadwarrior and multiple IPsec gateways steered by the same controller. P4-IPsec supports on-demand VPN which sets up tunnels to appropriate resources within these sites when requested by applications. To validate the P4-based approach for IPsec gateways, we provide three prototypes leveraging the software switch BMv2, the NetFPGA SUME card, and the Edgecore Wedge 100BF-32X switch as P4 targets. For the latter, we perform a performance evaluation giving experimental results on throughput and delay.
研究の動機と目的
- ソフトウェア定義ネットワーキング(SDN)環境において、動的でコントローラー管理の IPsec ゲートウェイ運用を可能にすること。
- 従来の IKE プロトコルに依存せずに、IPsec トンネルのセットアップを可能にするため、IKE を排除したシグナル伝送メカニズムを導入すること。
- 安全なホストからサイトへの通信を実現するため、トンネルモードと複数の暗号スイートをサポートすること。
- アプリケーション要求に基づいてオンデマンドで VPN トンネルを生成できること。
- P4 対応の多様なハードウェアプラットフォームにおける P4 ベースの IPsec ゲートウェイの性能と実現可能性を検証すること。
提案手法
- ESP プロトコルをトンネルモードで処理し、設定可能な暗号スイートを備えた P4 による IPsec ゲートウェイの実装。
- コントローラー駆動の IKE を使用しないシグナル伝送プロトコルを設計し、トンネルのセットアップと構成を管理すること。
- BMv2 ソフトウェアスイッチ、NetFPGA SUME FPGA ボード、Edgecore Wedge 100BF-32X スイッチの 3 つのハードウェアターゲットに P4-IPsec ゲートウェイをデプロイすること。
- アプリケーションレベルの要求に基づいて、適切なリモートサイトにオンデマンドでトンネルを作成すること。
- コントローラーを設定し、セキュリティアソシエーションを管理し、トラフィックを正しい P4 ベースのゲートウェイにルーティングすること。
- スループットと遅延の測定を用いて、Edgecore Wedge 100BF-32X での性能を評価すること。
実験結果
リサーチクエスチョン
- RQ1P4 を用いて、トンネルモードと複数の暗号スイートを完全にサポートする IPsec ゲートウェイを実装できるか?
- RQ2セキュリティとスケーラビリティを維持したまま、IPsec トンネルセットアッププロセスから IKE を排除する方法は何か?
- RQ3ホストからサイトのシナリオにおいて、SDN コントローラーを介してオンデマンドの IPsec トンネル作成を効率的にオーケストレートできるか?
- RQ4P4 ベースの IPsec ゲートウェイは、一般の P4 対応ハードウェア上でどのような性能特性を示すか?
- RQ5動的トンネル要請の下で、複数のゲートウェイとロードウォーリアクライアントの間で、P4-IPsec アーキテクチャはどのようにスケーリングするか?
主な発見
- P4-IPsec 実装は、3 つのハードウェアプラットフォームすべてで、複数の暗号スイートを備えた ESP トンネルモードを正常にサポートした。
- IKE を使用しないシグナル伝送メカニズムにより、従来の IKE プロトコルに依存せずに、効率的なコントローラー駆動のオンデマンド IPsec トンネルのセットアップが可能になった。
- Edgecore Wedge 100BF-32X スイッチでの性能評価では、高いスループットと低遅延が得られ、本番環境での導入可能性が裏付けられた。
- システムはアプリケーション要求に基づく動的トンネルプロビジョニングを実現し、柔軟で応答性の高いホストからサイトへの接続を可能にした。
- P4 ベースのアプローチにより、多様な P4 対応ハードウェアターゲット間で一貫性があり、プログラマブルな IPsec ゲートウェイ動作が実現された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。