[논문 리뷰] P4-IPsec: Implementation of IPsec Gateways in P4 with SDN Control for Host-to-Site Scenarios
P4-IPsec는 호스트-사이트 VPN를 위한 소프트웨어 정의 IPsec 게이트웨이 구현을 P4를 사용하여 제안하며, IKE 없는 컨트롤러 기반 신호 전송을 통해 즉시 터널 생성을 가능하게 한다. 이는 BMv2, NetFPGA SUME, Edgecore Wedge 100BF-32X 타겟에서의 실험적 평가를 통해 실현 가능성과 성능을 입증한다.
In this paper we propose P4-IPsec which follows the software-defined networking (SDN) paradigm. It comprises a P4-based implementation of an IPsec gateway, a client agent, and a controller-based, IKE-less signalling between them. P4-IPsec features the Encapsulation Security Payload (ESP) protocol, tunnel mode, and various cipher suites for host-to-site virtual private networks (VPNs). We consider the use case of a roadwarrior and multiple IPsec gateways steered by the same controller. P4-IPsec supports on-demand VPN which sets up tunnels to appropriate resources within these sites when requested by applications. To validate the P4-based approach for IPsec gateways, we provide three prototypes leveraging the software switch BMv2, the NetFPGA SUME card, and the Edgecore Wedge 100BF-32X switch as P4 targets. For the latter, we perform a performance evaluation giving experimental results on throughput and delay.
연구 동기 및 목표
- 소프트웨어 정의 네트워킹(SDN) 환경에서 동적이고 컨트롤러가 관리하는 IPsec 게이트웨이 운영을 가능하게 하기 위해.
- 기존 IKE 프로토콜에 의존하지 않고 IKE 없는 신호 전송 메커니즘을 도입함으로써 IPsec 터널 설정에 대한 의존도를 제거하기 위해.
- 다양한 암호화 알고리즘 세트를 지원하는 터널 모드를 통해 안전한 호스트-사이트 통신을 보장하기 위해.
- 응용 프로그램 요청에 기반하여 즉시 대응하는 VPN 터널 생성을 가능하게 하기 위해.
- 다양한 P4 호환 하드웨어 플랫폼에서 P4 기반 IPsec 게이트웨이의 성능 및 실현 가능성을 검증하기 위해.
제안 방법
- 설정 가능한 암호화 알고리즘 세트를 지원하는 터널 모드에서 ESP 프로토콜을 처리하는 P4를 사용한 IPsec 게이트웨이 구현.
- 터널 설정 및 구성 관리를 위한 컨트롤러 기반, IKE 없는 신호 전송 프로토콜 설계.
- 세 가지 하드웨어 타겟에 P4-IPsec 게이트웨이 배포: BMv2 소프트웨어 스위치, NetFPGA SUME FPGA 보드, Edgecore Wedge 100BF-32X 스위치.
- 적절한 원격 사이트에 해당하는 즉시 터널 생성을 응용 프로그램 수준 요청을 통해 트리거.
- 컨트롤러를 구성하여 보안 상호작용을 관리하고 트래픽을 올바른 P4 기반 게이트웨이로 전달.
- Throughput 및 지연 측정을 통해 Edgecore Wedge 100BF-32X에서 성능 평가 수행.
실험 결과
연구 질문
- RQ1P4를 사용하여 터널 모드와 다수의 암호화 알고리즘 세트를 완전히 지원하는 IPsec 게이트웨이를 효과적으로 구현할 수 있는가?
- RQ2보안성과 확장성 유지를 위해 IPsec 터널 설정 과정에서 IKE를 어떻게 제거할 수 있는가?
- RQ3SDN 컨트롤러를 통해 호스트-사이트 환경에서 즉시 대응하는 IPsec 터널 생성을 효율적으로 조율할 수 있는가?
- RQ4일반적인 P4 하드웨어에서 P4 기반 IPsec 게이트웨이가 어떤 성능 특성을 보이는가?
- RQ5다양한 게이트웨이와 루트워리어 클라이언트 환경에서 동적 터널 요구 조건 하에서 P4-IPsec 아키텍처는 어떻게 확장되는가?
주요 결과
- P4-IPsec 구현은 세 가지 하드웨어 플랫폼 전반에서 다수의 암호화 알고리즘 세트를 지원하는 터널 모드에서 ESP를 성공적으로 지원한다.
- IKE 없는 신호 전송 메커니즘은 기존 IKE 프로토콜에 의존하지 않고도 효율적인 컨트롤러 기반의 즉시 대응 IPsec 터널 설정을 가능하게 한다.
- Edgecore Wedge 100BF-32X 스위치에서의 성능 평가 결과 높은 Throughput와 낮은 지연을 확인하여 실질적 구현 가능성을 입증한다.
- 시스템은 응용 프로그램 요청 기반의 동적 터널 프로비저닝을 통해 민첩하고 반응성이 높은 호스트-사이트 연결을 구현한다.
- P4 기반 접근 방식은 다양한 P4 호환 하드웨어 타겟에서 일관되고 프로그래밍 가능한 IPsec 게이트웨이 동작을 가능하게 한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.