Comments
Description
Transcript
次世代ネットワークにおける 高速アドレス隠蔽機能
次世代ネットワークにおける 高速アドレス隠蔽機能 加藤 圭 芝 修吾 次世代ネットワークにおいて,ユビキタスサービスの は じ め に 浸透に伴い,端末間のシームレスな通信が必須となる。す なわち,場所に関わらず同じ端末で通信が可能となるが, 端末の移動に伴い,頻繁にアクセスポイントが変更で それに伴い,通信相手または第三者に対し,通信者の「場 きるインフラを構築する必要があり,そのようなインフラ 所」に関連する情報が公開される可能性がある。最も大 のための技術向上,あるいは標準化が現在進行中である。 きな問題は,ローミング時に送信元IPアドレスが容易に アクセスポイントが動的に変わることで,端末のIPアド 解析できるために,通信者の場所が通信相手または第三 レスの変更が起こりうる。IPアドレスは,アクセスポイ 者に特定されてしまうことである。これを解決するため ントから付与されるため,このIPアドレスがアクセスポ の1手段として,送信元IPアドレスの隠蔽がある。次世代 イントの物理的な場所と相関関係がある場合,通信者の ネットワークのインフラストラクチャーでは,このよう 端末の場所が,通信相手または第三者に概ね特定されて な要求が頻繁に起こることが想定されるため,アドレス しまう可能性がある。これはプライバシーの侵害にもな 隠蔽を高性能・低遅延に実施することが望まれる。本稿 り得るため,何らかの対処が必要となる。 では,これらの要求を満たすアドレス隠蔽機能を具備し 現状,移動網の標準化団体である3GPP(Third たネットワーク装置の試作を紹介すると共に今後のネッ Generation Partnership Project)では,IMS(IP トワークにおける本機能の必要性を示す。 Multimedia Subsystem)網の網間の接続機能として, ●3GPP IMSでは、BCFとして検討が進行中【参考:3GPP TS 29.162 V7.1.0 (2006/03)】 【ネットワーク前提】 ・IPマルチメディアセッションの管理には SIPを使用 ・SIPセッションシグナリングとメディア 転送は、IPを転送メカニズムとする 【BCF概要】 機能 IMSALG IPv4-IPv6 SIP APL間を接続す るためにSIP/SDPのALG機能を 提供 THIG 検討中 NAT-PT (RFC2766) / NAT (RFC2663)機能を提供 TrGW シグナリング機能 IBCF IMS-ALG THIG トランスポート機能 IPv6 TrGW Border Control Function IMS Network 概要 IPv4 or IPv6 Other IMS / SIP Network 図 1 3GPPにおける網間接続機能の標準化 28 OKIテクニカルレビュー 2007年4月/第210号Vol.74 No.2 IBCF:Interconnect Border Control Function IMS-ALG:IMS-Application Level Gateway THIG:Topology Hiding Inter-network Gateway TrGW:Translation GateWay ユビキタスサービス特集/TELECOM2006出展報告 ● BCF(Border Control Function)の標準化が進行中で 1) 蔽機能を実現することが求められる。さらに,低遅延の ある(図1) 。BCFは,IBCF(Interconnect Border 性能を確保することが重要である。これは,今後の網で Control Function) お よ び TrGW( Translation は,音声・映像トラヒックが中心となり,トラヒックの Gateway)からなり,前者がシグナリング,後者がトラ ショートフレーム化が進行することが予想されるためで ンスポートに関わる網間接続機能をつかさどる。このう ある。インターネット(The Internet)のトラヒックは, ち,TrGWには,アドレス形態の異なる網(IPv6-IPv4 ミニマムフレーム(64byte)とマキシマムフレーム 網)に対してIPトランスレーション機能,同じ網(IPv6- (1500byte)に偏って分布しているが,これと比較し IPv6網,あるいはIPv4-IPv4網)に対してアドレス変換機 ショートフレームの多い網では,遅延要因となる単位時 能が求められている。これら2つの機能が実装されている 間のパケット処理量が増大するため,遅延が顕在化する TrGWを用いることで,TrGW通過後のパケットから通過 可能性がある。したがって,高品質なサービス提供を行 前のIPアドレスを推測することが困難となる。すなわち, うためには,TrGW内での遅延を極力減らすことが重要と IPトランスレーション機能とアドレス変換機能をアドレス なる。 現在,これらの課題を解決するため,TrGWの試作を実 隠蔽機能と見なすこともできる。 以降の章では,アドレス隠蔽機能を有するTrGWを実現 する上で,その課題と解決策について説明する。 施中である。これにより,高性能,低遅延なアドレス変 換機能の実装を目指す。次の章では,この試作の実装方 式を説明する。 課 題 実 装 方 式 TrGWにアドレス隠蔽機能を実装する上で,もっとも大 きな課題は,いかに高性能,低遅延な実装方式が実現で アドレス隠蔽機能を実現するにあたり,我々はネット きるかということである。IMSのような次世代網は次世代 ワークプロセッサ(NPU:Network Processing Unit) のネットワークキャリア網であり,数千万の加入者が同 による実装を選択した。図2に示すように,TrGWの機能 時に利用する可能性がある。したがって,TrGWに対して を汎用PCのアーキテクチャで実装した場合,ネットワー も,数十∼数百万の同時セッションに対してアドレス隠 クインタフェース機能を持つNIC(Network Interface NPU実装 汎用PC プロセッサ 処理 ネットワーク・プロセッサ アプリケーション 処理プロセッサ群 ② Linuxカーネル ② ・・・ 処理 NICドライバ PCI等 制御プロセッサ ① NIC 専用バス ① NIC ※PCアーキテクチャ・Linux適用のケース ※NPUアーキテクチャはベンダにより異なる 【課題】 ① NIC-プロセッサ間のバス転送ボトルネック ② カーネル介在によるソフトウェアオーバー ヘッド 【特長】 ① NPU性能に応じたバス設定 ② 直接処理でソフトウェアオーバーヘッドは極小 マルチコア構成により、多重化処理が可能 パケット全数を対象とした処理は著しく困難 パケット全数処理を前提とした構成 図 2 汎用PCとネットワークプロセッサによる方式の違い OKIテクニカルレビュー 2007年4月/第210号Vol.74 No.2 29 Card)とプロセッサの間にPCI等を利用しているため,ど りIP/ICMP変換を実施する方式となっている。前段のパ うしても転送ボトルネックが生じてしまう。さらに,OS ケット識別をNPUではなく,FPGAで実施しているのは, カーネルを介した処理となるために,ソフトウェアのオー ①IPv6アドレス検索では,NPUでもソフトウェア処理に バヘッドも無視できない。これらの特徴は,先述の高性 おける負荷が大きく,性能確保が困難であること,②パ 能,低遅延化を達成する上で大きな障害であり,汎用PC ケット識別機能自体汎用性が高く,他のアプリケーション での実現は著しく困難である。一方,NPUでの実装の場 でも利用できるため,ハードウェアの機能として分離す 合,パケット処理のためにチューニングされたアーキテ るメリットがある,という理由による。 クチャを持ち,NPUの性能に応じたバスが設定されてい 一方,後段のIP/ICMP変換では,一例として,MTU るため,転送ボトルネックは生じない。さらに,OSカー が異なる場合,パケットのフラグメントや,再フラグメ ネルを介さず直接パケット処理が可能であること,マル ントを行う必要がある。これは相当の遅延を発生させる チコア構成による多重化処理が可能といったメリットを 可能性があるが,NPUでは,複数処理プロセッサを具備 持つ。 しているため,このような処理も並行処理することで,高 速に実現することが可能である。 図3に本試作の実装方式を示す。実装に用いた標準とし ては,IPトランスレータ機能(IPv4-IPv6)では,SIIT: まとめと今後の方向性 2) Stateless IP/ICMP Translator(RFC2765) を,ア ドレス変換機能(IPv4-IPv4,IPv6-IPv6)ではRFC3022 3) 次世代ネットワークでは,ユビキタスサービスの浸透 を適用した。RFC3022はIPv6-IPv6変換は規定していな に伴い,アドレス隠蔽機能が必須になるという前提で, いが,IPv4-IPv4とのアナロジーで,独自方式による実装 ネットワークプロセッサ(NPU)を用いた,ネットワーク を行った。 上の高速アドレス隠蔽機能を実装した。NPUは,パケット 基本的にはアドレス変換,および,それに伴う他の 転送処理向けにチューニングされており,高性能,低遅 ヘッダ項目の変換機能が実装のキーとなる。図3に示すよ 延な実装が期待できる。今回,FPGAとの分担や,NPU うに,処理前段に配備したFPGAによりパケット識別 の処理プロセッサ群への機能振り分けを最適化するよう (IPv4かIPv6か)を行い,処理後段に配備したNPUによ な実装を行い,課題である高性能・低遅延化を目指した ●ネットワーク・プロセッサを利用し、SIIT / NATの実装を試作 プロトコル変換概要 IPv6 ①制御用API IPアドレス変換表を設定 機能構成 IPv4 ・送信元IPアドレス変換 IPv6→IPv4付替 ・宛先IPアドレス変換 IPv6から抽出 ・他ヘッダ項目変換 ・宛先IPアドレス変換 IPv4→IPv6付替 ・送信元IPアドレス変換 IPv4+IPv6 Prefix *1 ・他ヘッダ項目変換 ③制御パケット処理 ・制御パケットへの 応答を処理 ネットワーク・プロセッサ 制御プロセッサ ARP / NDP, ICMP / ICMPv6 処理 ②プロトコル変換処理 API 共有メモリ データ FPGA 処理プロセッサ群 パケット識別 IP / ICMP変換 ・・・ *1 NAT-PTでは、/96 Prefixに IPv4アドレスを合わせた アドレスを用いる 【ポイント1】パケット識別 【ポイント2】フラグメント 図 3 実装方式概要 30 OKIテクニカルレビュー 2007年4月/第210号Vol.74 No.2 ユビキタスサービス特集/TELECOM2006出展報告 ● 試作を実施した。今後は試作した装置をさまざまなネッ トワーク環境で評価し,改良する予定である。評価を通 じて更なる性能の向上を目指す予定である。 ◆◆ ■参考文献 1)3GPP TS 29.162 V7.1.0,2006年 2)SIIT: Stateless IP / ICMP Translator(RFC2765), 2000年 3)Traditional IP Network Address Translator (Traditional NAT)(RFC3022),2001年 ●筆者紹介 加藤圭:Kei Kato. ネットワークシステムカンパニー ネットワー クシステム本部 サービスプラットフォームマーケティング部 芝修吾:Shugo Shiba. ネットワークシステムカンパニー ネット ワークシステム本部 通信プラットフォーム開発部 OKIテクニカルレビュー 2007年4月/第210号Vol.74 No.2 31