[论文解读] P4-IPsec: Implementation of IPsec Gateways in P4 with SDN Control for Host-to-Site Scenarios
P4-IPsec 提出了一种使用 P4 实现的软件定义 IPsec 网关,用于主机到站点的 VPN,通过无 IKE 的控制器驱动信令实现按需隧道创建。该方案在 BMv2、NetFPGA SUME 和 Edgecore Wedge 100BF-32X 等目标平台上验证了可行性与性能,实验评估显示其具备高吞吐量和低延迟。
In this paper we propose P4-IPsec which follows the software-defined networking (SDN) paradigm. It comprises a P4-based implementation of an IPsec gateway, a client agent, and a controller-based, IKE-less signalling between them. P4-IPsec features the Encapsulation Security Payload (ESP) protocol, tunnel mode, and various cipher suites for host-to-site virtual private networks (VPNs). We consider the use case of a roadwarrior and multiple IPsec gateways steered by the same controller. P4-IPsec supports on-demand VPN which sets up tunnels to appropriate resources within these sites when requested by applications. To validate the P4-based approach for IPsec gateways, we provide three prototypes leveraging the software switch BMv2, the NetFPGA SUME card, and the Edgecore Wedge 100BF-32X switch as P4 targets. For the latter, we perform a performance evaluation giving experimental results on throughput and delay.
研究动机与目标
- 在软件定义网络(SDN)环境中实现动态、由控制器管理的 IPsec 网关操作。
- 通过引入无 IKE 的信令机制,消除对 IKE 的依赖,实现 IPsec 隧道的建立。
- 支持隧道模式及多种加密套件,实现安全的主机到站点通信。
- 基于应用程序请求实现按需的 VPN 隧道创建。
- 在多种 P4 兼容硬件平台上验证基于 P4 的 IPsec 网关的性能与可行性。
提出的方法
- 在 P4 中实现 IPsec 网关,以支持隧道模式下的 ESP 协议,并可配置多种加密套件。
- 设计一种基于控制器的无 IKE 信令协议,用于管理隧道的建立与配置。
- 在三种硬件目标上部署 P4-IPsec 网关:BMv2 软件交换机、NetFPGA SUME FPGA 板卡和 Edgecore Wedge 100BF-32X 交换机。
- 利用应用层请求触发向相应远程站点的按需隧道创建。
- 配置控制器以管理安全关联,并将流量引导至正确的 P4 基础网关。
- 使用吞吐量和延迟测量,在 Edgecore Wedge 100BF-32X 上评估性能。
实验结果
研究问题
- RQ1P4 是否能够有效用于实现支持隧道模式和多种加密套件的 IPsec 网关?
- RQ2如何在不依赖传统 IKE 协议的前提下,从 IPsec 隧道建立过程中消除 IKE,同时保持安全性和可扩展性?
- RQ3在主机到站点场景中,是否能够通过 SDN 控制器高效编排按需的 IPsec 隧道创建?
- RQ4基于 P4 的 IPsec 网关在通用 P4 硬件上的性能特征如何?
- RQ5在动态隧道需求下,P4-IPsec 架构在多个网关和远程办公客户端之间如何实现可扩展性?
主要发现
- P4-IPsec 实现成功在所有三种硬件平台上支持隧道模式下的 ESP 及多种加密套件。
- 无 IKE 信令机制实现了高效、由控制器驱动的按需 IPsec 隧道建立,无需依赖传统 IKE 协议。
- 在 Edgecore Wedge 100BF-32X 交换机上的性能评估显示高吞吐量和低延迟,证实其具备生产部署的可行性。
- 该系统基于应用程序请求实现了动态隧道配置,支持灵活且响应迅速的主机到站点连接。
- 基于 P4 的方法在多种 P4 兼容硬件目标上实现了统一且可编程的 IPsec 网关行为。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。