성형 vpn 구조에서의 주문형 터널 생성 메커니즘
DESCRIPTION
성형 VPN 구조에서의 주문형 터널 생성 메커니즘. 발표자 : 최도현. 목차. 1. 서론 2. 관련연구 3. 제안 메커니즘 SVOT(Star VPN On-demand Tunnel) 3.1 SVOT 의 구성 요소 3.2 SVOT 의 메시지 흐름 3.3 터널 유지와 해제 4. 성능평가 4.1 시뮬레이션 토폴로지 4.2 CVG 을 통해 전달되는 패킷의 수 4.3 터널설립을 위한 CPE VPN GW 제어메세지의 발생 수 4.4 VPN GW 에서 유지해야 하는 터널의 수 4.5 패킷 처리율 - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/1.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
성형 VPN 구조에서의 주문형 터널 생성 메커니즘
발표자 : 최도현
![Page 2: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/2.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
목차
1. 서론2. 관련연구
3. 제안 메커니즘 SVOT(Star VPN On-demand Tunnel)3.1 SVOT 의 구성 요소3.2 SVOT 의 메시지 흐름3.3 터널 유지와 해제
4. 성능평가4.1 시뮬레이션 토폴로지4.2 CVG 을 통해 전달되는 패킷의 수4.3 터널설립을 위한 CPE VPN GW 제어메세지의 발생 수4.4 VPN GW 에서 유지해야 하는 터널의 수4.5 패킷 처리율4.6 종단간 평균 지연 시간
5. 결론
CVG : Center VPN GW
![Page 3: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/3.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
1. 서론 (1)
1. 인터넷 기반의 기업의 증가1. 본사와 지사간 네트워크 연결 (VPN) 의 증가 .2. 대부분 GW 간 성형 VPN 구조를 이루고 있음 .
CPE : Customer Premise Equipmentcs : Customer Site
cs
![Page 4: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/4.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
1. 서론 (2)
1. 확장이 매우 간편하고 문제 발생 시 위치파악 용이1. 모든 패킷이 Center VPN GW 거치기 때문에 비 효율적
CPE GW
cs
cs
Center VPN GW
CPE GW
CPE GW
① Incapsulation(CPE GW(cs)) Tunnel CVG
Tunnel
①
②
② Decapsulation(CPE GW(cs)) Tunnel CPE GW
③ Tunnel Deconnect
![Page 5: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/5.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
2. 관련연구1. 성형 구조의 문제를 해결하기 위한 메쉬구조
1. CPE VPN GW 의 복잡성 증가 (IPSec IKE 이용 )2. IP 주소 , 보안 등급 , 암호화 알고리즘 등 관리가 어려움3. 현재 대부분의 동적 IP 의 환경으로 IP 가 자주 변경됨
2. 정책 기반 IPSec 기반 매니지먼트1. IP 패킷에 적절한 보안정책을 적용2. 정책서버가 CPE VPN GW 의 보안정책 및 자원구성 수행3. 트래픽의 종류와 보안수준에 따라 필터 , 인증 , 터널설정 등
정책 설정
3. 터널 생성시 정확한 정책 룰 적용하여 터널중복방지1. 터널의 수를 최소화하여 관리 설정의 오버헤드 감소
IPSec : IP SecurityIKE : Internet Key Exchange
![Page 6: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/6.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
3. 제안 메커니즘 SVOT(Star VPN On-demand Tunnel)
1. CPE VPN GW 간 직접터널의 생성1. 자동으로 동적터널 생성 가능한 SVOT 제안2. 주문형 터널 생성 메커니즘 이용하여 터널 설립3. 관리자의 수동설정이 아닌 자동적으로 터널 설립
cs
![Page 7: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/7.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
3.1 SVOT 의 구성 요소1. TDS Server: CGV 와 직접 연결 , 터널설립에 필요한 정보 유지
1. TDS Manager, TDS Repository2. TDS Agent : TDS Manager 에게 터널 설립에 필요한 정보 요청 , 제공 받음3. ACR : 제반 정보 변경 시 TDS Manager 에게 변경 정보 알림4. IPSec Kernel : 직접 터널을 설립할지 판단하는 모듈
ACR : Auto Configuration Registration
CVG : Center VPN GW
![Page 8: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/8.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
3.2 SVOT 의 메시지 흐름1. CPE VPN GW 간 직접 터널 확인2. 직접 터널 설립 할 경우 TDS Agent 에서 터널 설립을 위한 제반 작업 수행3. TDP Agent 는 IPSec Kernel 모듈에게 터널 설립 요청을 받아 TDS Manager 에게
전송4. TDS Manager 는 TDS Repository 에서 해당 CPE VPN GW 의 정보를 TDS Agent
에게 전송5. 정보를 받은 TDS Agent 는 IKE 메커니즘의 효율적 동작을 위한 환경을 자율적으로
구성6. IKE 활성화 되고 직접 터널이 생성7. 정보 변경 시 TDS Manager 에게 알림8. TDS Manager 는 ACR 모듈로 부터 받은 CPE VPN GW 의 변경정보를 TDS
Repository 에 업데이트
![Page 9: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/9.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
3.3 터널 유지와 해제1. CPE VPN GW 간 직접터널
1. 확장성 , 자원할당 및 네트워크 성능에 영향2. 터널의 효율적인 설립과 해제 필요
2. 일정 시간 트래픽의 양 모니터링1. Decision_value 이상일 경우 직접터널 설립2. 평균 지속시간 1/n 으로 설정3. 일정기간 (Expire time) 터널의 패킷 전송이 없는 경우 해제
3. Expire Time 의 적절한 책정1. Expire Time 이 길면 오버헤드 증가2. Expire Time 이 짧으면 프로세스 오버헤드 증가
![Page 10: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/10.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4. 성능평가1. NS-2(Network Simulator-2)
1. 1988 년 캘리포니아 버클리 대학 개발2. TCP, 라우팅 , 멀티캐스트 , RTP 등 다양한 프로토콜 지원3. C++ 과 Otcl 로 구성
2. CPE VPN GW 와 Center VPN GW1. 두 GW 역할을 하는 노드 생성2. Center VPN GW 에는 TDS Manager 를 노드에 연결3. CPE VPN GW 에는 TDS Agent 를 노드에 연결
3. CPE VPN GW 와 Center VPN GW 의 터널링1. 인캡슐레이션 , 디캡슐레이션 프로시저 추가
RTP : Real Time Protocol
![Page 11: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/11.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.1 시뮬레이션 토폴로지 (1)
1. 1 개의 Center VPN GW 와 20 개의 CPE VPN GW 구성
1. 중소기업 VPN 규모 설정 (NS 제약 )2. 트래픽 (UDP 를 이용한 CBR 가정 )3. 전송률 0.5Mbps ~ 2Mbps 변화
5~20 개 활성화
10Mbps100us
45Mbps30ms
CBR : Constant Bit Rate
![Page 12: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/12.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.1 시뮬레이션 토폴로지 (2)
1. 트래픽 발생 시 직접터널 설립 여부 확인1. 패킷 도착율 검사시간 : 15 초의 1/10 인 1.5 초 가정2. 0.5Mb 이상일 경우 직접 터널 설립3. 지속시간 1.5 초 미만인 경우 직접터널 생성
2. 터널 해제를 위한 Expire Time1. Expire Time 0.1 초로 가정
1. 최대 패킷 도착 간격 0.008 + 링크지연 및 과부하 0.002 = 0.1초
3. 시뮬레이션 성능 분석1. CPE VPN GW 수2. 하나의 사이트에서 발생하는 플로우의 수3. 플로우 별 패킷 전송률에 따른 VPN 의 확장성4. 트래픽 전송에 대한 효율성5. CVG 에서의 오버헤드 측정
CVG : Center VPN GW
![Page 13: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/13.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.2 CVG 을 통해 전달되는 패킷의 수
시뮬레이션모델명
CPE VPN GW 개수
한 사이트의 발생 플로우 수
호스트에서의 패킷 전송률
A- 모델 5,10,15,20 100 0.5~2
B- 모델 20 25,50,75,100
0.5~2
C- 모델 20 100 0.5, 1, 1.5, 2
XSVOT-even SVOT-uneven SVST-even SVST-uneven
![Page 14: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/14.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.3 터널설립을 위한 CPE VPN GW 제어메세지의 발생 수
SVOT-even SVOT-uneven
1. SVST : 초기 구성 시 CVG 와 CPE VPN GW 간 터널 설립
2. SVOT : CPE VPN GW 간 직접터널1. CVG 의 TDS 서버에게 CPE VPN GW 정보 요구 메시지
발생
CVG : Center VPN GW
![Page 15: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/15.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.4 VPN GW 에서 유지해야 하는 터널의 수 (1)
XSVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven
1. SVST : CVG 와 CPE VPN GW 는 하나의 터널 유지2. FVST : CPE VPN GW 간 독립적 : CPE VPN GW 수 –
13. SVOT : CVG 와 같고 , 터널이 추가로 동적 설립 및
해제
CVG : Center VPN GW
![Page 16: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/16.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.4 VPN GW 에서 유지해야 하는 터널의 수 (2)
XSVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven
1. SVST : CVG 의 수 x 2 2. FVST : CPE VPN GW 수 x (CPE VPN GW – 1)3. SVOT : SVST 와 기본적으로 같으나 약간 높음
CVG : Center VPN GW
![Page 17: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/17.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.5 패킷 처리율1. 0.5~2Mbps 의 변화 적용
1. SVOT 와 FVST 의 일정한 패킷 처리율 ( 트래픽의 분산 )2. SVST 는 처리율이 점점 하락 ( 트래픽의 집중 )
1. 링크의 혼잡과 패킷 손실 발생
XSVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven
![Page 18: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/18.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
4.6 종단간 평균 지연 시간
1. 패킷 전송률에 대한 평균 지연 시간 측정1. FVST : 0.05ms2. SVOT : 0.06ms3. SVST : 0.1~0.12ms
XSVOT-even SVOT-uneven SVST-even, uneven FVST-even,uneven
![Page 19: 성형 VPN 구조에서의 주문형 터널 생성 메커니즘](https://reader036.vdocuments.site/reader036/viewer/2022081503/568159e6550346895dc72f7b/html5/thumbnails/19.jpg)
성형 VPN 구조에서의 주문형 터널 생성 메커니즘가상사설망론
5. 결론
1. 성형 VPN 구조에 주문형 터널 생성 메커니즘을 이용한 SVOT 를 제안
2. 관리자의 수동적인 설정이 아닌 자동적인 터널설립
3. SVST 방안에 비해 확장성 , 트래픽 효율성 , 지연시간에서 FVST 와 비슷한 성능을 확인
4. 새로운 VPN 구조로 변경없이 FVST 의 효과를 낼 수 있는 장점을 가짐 ( 비용의 하락 )
5. 향후 실제적인 트래픽 분석을 통하여 터널의 설립과 해제 시점을 결정하는 방법을 연구