Skip to main content
QUICK REVIEW

[论文解读] P4-IPsec: Implementation of IPsec Gateways in P4 with SDN Control for Host-to-Site Scenarios

Frederik Hauser, Marco Häberle|arXiv (Cornell University)|Jul 8, 2019
Software-Defined Networks and 5G参考文献 34被引用 7
一句话总结

P4-IPsec 提出了一种使用 P4 实现的软件定义 IPsec 网关,用于主机到站点的 VPN,通过无 IKE 的控制器驱动信令实现按需隧道创建。该方案在 BMv2、NetFPGA SUME 和 Edgecore Wedge 100BF-32X 等目标平台上验证了可行性与性能,实验评估显示其具备高吞吐量和低延迟。

ABSTRACT

In this paper we propose P4-IPsec which follows the software-defined networking (SDN) paradigm. It comprises a P4-based implementation of an IPsec gateway, a client agent, and a controller-based, IKE-less signalling between them. P4-IPsec features the Encapsulation Security Payload (ESP) protocol, tunnel mode, and various cipher suites for host-to-site virtual private networks (VPNs). We consider the use case of a roadwarrior and multiple IPsec gateways steered by the same controller. P4-IPsec supports on-demand VPN which sets up tunnels to appropriate resources within these sites when requested by applications. To validate the P4-based approach for IPsec gateways, we provide three prototypes leveraging the software switch BMv2, the NetFPGA SUME card, and the Edgecore Wedge 100BF-32X switch as P4 targets. For the latter, we perform a performance evaluation giving experimental results on throughput and delay.

研究动机与目标

  • 在软件定义网络(SDN)环境中实现动态、由控制器管理的 IPsec 网关操作。
  • 通过引入无 IKE 的信令机制,消除对 IKE 的依赖,实现 IPsec 隧道的建立。
  • 支持隧道模式及多种加密套件,实现安全的主机到站点通信。
  • 基于应用程序请求实现按需的 VPN 隧道创建。
  • 在多种 P4 兼容硬件平台上验证基于 P4 的 IPsec 网关的性能与可行性。

提出的方法

  • 在 P4 中实现 IPsec 网关,以支持隧道模式下的 ESP 协议,并可配置多种加密套件。
  • 设计一种基于控制器的无 IKE 信令协议,用于管理隧道的建立与配置。
  • 在三种硬件目标上部署 P4-IPsec 网关:BMv2 软件交换机、NetFPGA SUME FPGA 板卡和 Edgecore Wedge 100BF-32X 交换机。
  • 利用应用层请求触发向相应远程站点的按需隧道创建。
  • 配置控制器以管理安全关联,并将流量引导至正确的 P4 基础网关。
  • 使用吞吐量和延迟测量,在 Edgecore Wedge 100BF-32X 上评估性能。

实验结果

研究问题

  • RQ1P4 是否能够有效用于实现支持隧道模式和多种加密套件的 IPsec 网关?
  • RQ2如何在不依赖传统 IKE 协议的前提下,从 IPsec 隧道建立过程中消除 IKE,同时保持安全性和可扩展性?
  • RQ3在主机到站点场景中,是否能够通过 SDN 控制器高效编排按需的 IPsec 隧道创建?
  • RQ4基于 P4 的 IPsec 网关在通用 P4 硬件上的性能特征如何?
  • RQ5在动态隧道需求下,P4-IPsec 架构在多个网关和远程办公客户端之间如何实现可扩展性?

主要发现

  • P4-IPsec 实现成功在所有三种硬件平台上支持隧道模式下的 ESP 及多种加密套件。
  • 无 IKE 信令机制实现了高效、由控制器驱动的按需 IPsec 隧道建立,无需依赖传统 IKE 协议。
  • 在 Edgecore Wedge 100BF-32X 交换机上的性能评估显示高吞吐量和低延迟,证实其具备生产部署的可行性。
  • 该系统基于应用程序请求实现了动态隧道配置,支持灵活且响应迅速的主机到站点连接。
  • 基于 P4 的方法在多种 P4 兼容硬件目标上实现了统一且可编程的 IPsec 网关行为。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。