1 / 19

성형 VPN 구조에서의 주문형 터널 생성 메커니즘

성형 VPN 구조에서의 주문형 터널 생성 메커니즘. 발표자 : 최도현. 목차. 1. 서론 2. 관련연구 3. 제안 메커니즘 SVOT(Star VPN On-demand Tunnel) 3.1 SVOT 의 구성 요소 3.2 SVOT 의 메시지 흐름 3.3 터널 유지와 해제 4. 성능평가 4.1 시뮬레이션 토폴로지 4.2 CVG 을 통해 전달되는 패킷의 수 4.3 터널설립을 위한 CPE VPN GW 제어메세지의 발생 수 4.4 VPN GW 에서 유지해야 하는 터널의 수 4.5 패킷 처리율

tino
Download Presentation

성형 VPN 구조에서의 주문형 터널 생성 메커니즘

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 성형 VPN 구조에서의 주문형 터널 생성 메커니즘 발표자 : 최도현

  2. 목차 1. 서론 2. 관련연구 3. 제안 메커니즘 SVOT(Star VPN On-demand Tunnel) 3.1 SVOT의 구성 요소 3.2 SVOT의 메시지 흐름 3.3 터널 유지와 해제 4. 성능평가 4.1 시뮬레이션 토폴로지 4.2 CVG을 통해 전달되는 패킷의 수 4.3 터널설립을 위한 CPE VPN GW 제어메세지의 발생 수 4.4 VPN GW에서 유지해야 하는 터널의 수 4.5 패킷 처리율 4.6 종단간 평균 지연 시간 5. 결론 CVG : Center VPN GW

  3. 1. 서론 (1) 인터넷 기반의 기업의 증가 본사와 지사간 네트워크 연결 (VPN)의 증가. 대부분 GW간 성형 VPN구조를 이루고 있음. cs CPE : Customer Premise Equipment cs : Customer Site

  4. 1. 서론 (2) 확장이 매우 간편하고 문제 발생 시 위치파악 용이 모든 패킷이 Center VPN GW 거치기 때문에 비 효율적 CPE GW cs Center VPN GW ① CPE GW ② cs CPE GW ① Incapsulation(CPE GW(cs))  Tunnel  CVG ② Decapsulation(CPE GW(cs))  Tunnel  CPE GW ③ Tunnel Deconnect Tunnel

  5. 2. 관련연구 성형 구조의 문제를 해결하기 위한 메쉬구조 CPE VPN GW의 복잡성 증가(IPSec IKE 이용) IP 주소, 보안 등급, 암호화 알고리즘 등 관리가 어려움 현재 대부분의 동적 IP의 환경으로 IP가 자주 변경됨 정책 기반 IPSec 기반 매니지먼트 IP 패킷에 적절한 보안정책을 적용 정책서버가 CPE VPN GW의 보안정책 및 자원구성 수행 트래픽의 종류와 보안수준에 따라 필터, 인증, 터널설정 등 정책 설정 터널 생성시 정확한 정책 룰 적용하여 터널중복방지 터널의 수를 최소화하여 관리 설정의 오버헤드 감소 IPSec : IP Security IKE : Internet Key Exchange

  6. 3. 제안 메커니즘 SVOT(Star VPN On-demand Tunnel) CPE VPN GW 간 직접터널의 생성 자동으로 동적터널 생성 가능한 SVOT 제안 주문형 터널 생성 메커니즘 이용하여 터널 설립 관리자의 수동설정이 아닌 자동적으로 터널 설립 cs

  7. 3.1 SVOT의 구성 요소 • TDS Server: CGV와 직접 연결, 터널설립에 필요한 정보 유지 • TDS Manager, TDS Repository • TDS Agent : TDS Manager에게 터널 설립에 필요한 정보 요청,제공 받음 • ACR : 제반 정보 변경 시 TDS Manager에게 변경 정보 알림 • IPSec Kernel : 직접 터널을 설립할지 판단하는 모듈 CVG : Center VPN GW ACR : Auto Configuration Registration

  8. 3.2 SVOT의 메시지 흐름 CPE VPN GW간 직접 터널 확인 직접 터널 설립 할 경우 TDS Agent에서 터널 설립을 위한 제반 작업 수행 TDP Agent는 IPSec Kernel 모듈에게 터널 설립 요청을 받아 TDS Manager에게 전송 TDS Manager는 TDS Repository에서 해당 CPE VPN GW의 정보를 TDS Agent에게 전송 정보를 받은 TDS Agent는 IKE 메커니즘의 효율적 동작을 위한 환경을 자율적으로 구성 IKE 활성화 되고 직접 터널이 생성 정보 변경 시 TDS Manager에게 알림 TDS Manager는 ACR모듈로 부터 받은 CPE VPN GW의 변경정보를 TDS Repository에 업데이트

  9. 3.3 터널 유지와 해제 CPE VPN GW간 직접터널 확장성, 자원할당 및 네트워크 성능에 영향 터널의 효율적인 설립과 해제 필요 일정 시간 트래픽의 양 모니터링 Decision_value 이상일 경우 직접터널 설립 평균 지속시간 1/n으로 설정 일정기간(Expire time) 터널의 패킷 전송이 없는 경우 해제 Expire Time의 적절한 책정 Expire Time이 길면 오버헤드 증가 Expire Time이 짧으면 프로세스 오버헤드 증가

  10. 4. 성능평가 NS-2(Network Simulator-2) 1988년 캘리포니아 버클리 대학 개발 TCP, 라우팅, 멀티캐스트, RTP 등 다양한 프로토콜 지원 C++ 과 Otcl로 구성 CPE VPN GW와 Center VPN GW 두 GW 역할을 하는 노드 생성 Center VPN GW에는 TDS Manager를 노드에 연결 CPE VPN GW에는 TDS Agent를 노드에 연결 CPE VPN GW와 Center VPN GW의 터널링 인캡슐레이션, 디캡슐레이션 프로시저 추가 RTP : Real Time Protocol

  11. 4.1 시뮬레이션 토폴로지 (1) • 1개의 Center VPN GW와 20개의 CPE VPN GW 구성 • 중소기업 VPN 규모 설정(NS 제약) • 트래픽(UDP를 이용한 CBR 가정) • 전송률 0.5Mbps ~ 2Mbps 변화 5~20개 활성화 45Mbps 30ms 10Mbps 100us CBR : Constant Bit Rate

  12. 4.1 시뮬레이션 토폴로지 (2) • 트래픽 발생 시 직접터널 설립 여부 확인 • 패킷 도착율 검사시간 : 15초의 1/10인 1.5초 가정 • 0.5Mb 이상일 경우 직접 터널 설립 • 지속시간 1.5초 미만인 경우 직접터널 생성 • 터널 해제를 위한 Expire Time • Expire Time 0.1초로 가정 • 최대 패킷 도착 간격 0.008 + 링크지연 및 과부하 0.002 = 0.1초 • 시뮬레이션 성능 분석 • CPE VPN GW 수 • 하나의 사이트에서 발생하는 플로우의 수 • 플로우 별 패킷 전송률에 따른 VPN의 확장성 • 트래픽 전송에 대한 효율성 • CVG에서의 오버헤드 측정 CVG : Center VPN GW

  13. 4.2 CVG을 통해 전달되는 패킷의 수 X SVOT-even SVOT-uneven SVST-even SVST-uneven

  14. 4.3 터널설립을 위한 CPE VPN GW 제어메세지의 발생 수 • SVST : 초기 구성 시 CVG와 CPE VPN GW간 터널 설립 • SVOT : CPE VPN GW간 직접터널 • CVG의 TDS 서버에게 CPE VPN GW 정보 요구 메시지 발생 SVOT-even SVOT-uneven CVG : Center VPN GW

  15. 4.4 VPN GW에서 유지해야 하는 터널의 수 (1) SVST : CVG 와 CPE VPN GW는 하나의 터널 유지 FVST : CPE VPN GW간 독립적 : CPE VPN GW 수 – 1 SVOT : CVG와 같고, 터널이 추가로 동적 설립 및 해제 X SVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven CVG : Center VPN GW

  16. 4.4 VPN GW에서 유지해야 하는 터널의 수 (2) SVST : CVG의 수 x 2 FVST : CPE VPN GW 수 x (CPE VPN GW – 1) SVOT : SVST와 기본적으로 같으나 약간 높음 X SVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven CVG : Center VPN GW

  17. 4.5 패킷 처리율 0.5~2Mbps의 변화 적용 SVOT와 FVST의 일정한 패킷 처리율(트래픽의 분산) SVST는 처리율이 점점 하락(트래픽의 집중) 링크의 혼잡과 패킷 손실 발생 X SVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven

  18. 4.6 종단간 평균 지연 시간 패킷 전송률에 대한 평균 지연 시간 측정 FVST : 0.05ms SVOT : 0.06ms SVST : 0.1~0.12ms X SVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven

  19. 5. 결론 성형 VPN 구조에 주문형 터널 생성 메커니즘을 이용한 SVOT를 제안 관리자의 수동적인 설정이 아닌 자동적인 터널설립 SVST방안에 비해 확장성, 트래픽 효율성, 지연시간에서 FVST와 비슷한 성능을 확인 새로운 VPN구조로 변경없이 FVST의 효과를 낼 수 있는 장점을 가짐(비용의 하락) 향후 실제적인 트래픽 분석을 통하여 터널의 설립과 해제 시점을 결정하는 방법을 연구

More Related