次世代ネットワークにおける高速アドレス隠蔽機能 [189KB] - Oki

次世代ネットワークにおける
高速アドレス隠蔽機能
加藤 圭 芝 修吾
次世代ネットワークにおいて,ユビキタスサービスの
は じ め に
浸透に伴い,端末間のシームレスな通信が必須となる。す
なわち,場所に関わらず同じ端末で通信が可能となるが,
端末の移動に伴い,頻繁にアクセスポイントが変更で
それに伴い,通信相手または第三者に対し,通信者の「場
きるインフラを構築する必要があり,そのようなインフラ
所」に関連する情報が公開される可能性がある。最も大
のための技術向上,あるいは標準化が現在進行中である。
きな問題は,ローミング時に送信元IPアドレスが容易に
アクセスポイントが動的に変わることで,端末のIPアド
解析できるために,通信者の場所が通信相手または第三
レスの変更が起こりうる。IPアドレスは,アクセスポイ
者に特定されてしまうことである。これを解決するため
ントから付与されるため,このIPアドレスがアクセスポ
の1手段として,送信元IPアドレスの隠蔽がある。次世代
イントの物理的な場所と相関関係がある場合,通信者の
ネットワークのインフラストラクチャーでは,このよう
端末の場所が,通信相手または第三者に概ね特定されて
な要求が頻繁に起こることが想定されるため,アドレス
しまう可能性がある。これはプライバシーの侵害にもな
隠蔽を高性能・低遅延に実施することが望まれる。本稿
り得るため,何らかの対処が必要となる。
では,これらの要求を満たすアドレス隠蔽機能を具備し
現状,移動網の標準化団体である3GPP(Third
たネットワーク装置の試作を紹介すると共に今後のネッ
Generation Partnership Project)では,IMS(IP
トワークにおける本機能の必要性を示す。
Multimedia Subsystem)網の網間の接続機能として,
●3GPP IMSでは、BCFとして検討が進行中【参考:3GPP TS 29.162 V7.1.0 (2006/03)】
【ネットワーク前提】
・IPマルチメディアセッションの管理には
SIPを使用
・SIPセッションシグナリングとメディア
転送は、IPを転送メカニズムとする
【BCF概要】
機能
IMSALG
IPv4-IPv6 SIP APL間を接続す
るためにSIP/SDPのALG機能を
提供
THIG
検討中
NAT-PT (RFC2766) / NAT
(RFC2663)機能を提供
TrGW
シグナリング機能
IBCF
IMS-ALG THIG
トランスポート機能
IPv6
TrGW
Border Control Function
IMS Network
概要
IPv4 or IPv6
Other IMS / SIP Network
図 1 3GPPにおける網間接続機能の標準化
28
OKIテクニカルレビュー
2007年4月/第210号Vol.74 No.2
IBCF:Interconnect Border Control Function
IMS-ALG:IMS-Application Level Gateway
THIG:Topology Hiding Inter-network Gateway
TrGW:Translation GateWay
ユビキタスサービス特集/TELECOM2006出展報告 ●
BCF(Border Control Function)の標準化が進行中で
1)
蔽機能を実現することが求められる。さらに,低遅延の
ある(図1) 。BCFは,IBCF(Interconnect Border
性能を確保することが重要である。これは,今後の網で
Control Function) お よ び TrGW( Translation
は,音声・映像トラヒックが中心となり,トラヒックの
Gateway)からなり,前者がシグナリング,後者がトラ
ショートフレーム化が進行することが予想されるためで
ンスポートに関わる網間接続機能をつかさどる。このう
ある。インターネット(The Internet)のトラヒックは,
ち,TrGWには,アドレス形態の異なる網(IPv6-IPv4
ミニマムフレーム(64byte)とマキシマムフレーム
網)に対してIPトランスレーション機能,同じ網(IPv6-
(1500byte)に偏って分布しているが,これと比較し
IPv6網,あるいはIPv4-IPv4網)に対してアドレス変換機
ショートフレームの多い網では,遅延要因となる単位時
能が求められている。これら2つの機能が実装されている
間のパケット処理量が増大するため,遅延が顕在化する
TrGWを用いることで,TrGW通過後のパケットから通過
可能性がある。したがって,高品質なサービス提供を行
前のIPアドレスを推測することが困難となる。すなわち,
うためには,TrGW内での遅延を極力減らすことが重要と
IPトランスレーション機能とアドレス変換機能をアドレス
なる。
現在,これらの課題を解決するため,TrGWの試作を実
隠蔽機能と見なすこともできる。
以降の章では,アドレス隠蔽機能を有するTrGWを実現
する上で,その課題と解決策について説明する。
施中である。これにより,高性能,低遅延なアドレス変
換機能の実装を目指す。次の章では,この試作の実装方
式を説明する。
課 題
実 装 方 式
TrGWにアドレス隠蔽機能を実装する上で,もっとも大
きな課題は,いかに高性能,低遅延な実装方式が実現で
アドレス隠蔽機能を実現するにあたり,我々はネット
きるかということである。IMSのような次世代網は次世代
ワークプロセッサ(NPU:Network Processing Unit)
のネットワークキャリア網であり,数千万の加入者が同
による実装を選択した。図2に示すように,TrGWの機能
時に利用する可能性がある。したがって,TrGWに対して
を汎用PCのアーキテクチャで実装した場合,ネットワー
も,数十∼数百万の同時セッションに対してアドレス隠
クインタフェース機能を持つNIC(Network Interface
NPU実装
汎用PC
プロセッサ
処理
ネットワーク・プロセッサ
アプリケーション
処理プロセッサ群
②
Linuxカーネル
②
・・・
処理
NICドライバ
PCI等
制御プロセッサ
①
NIC
専用バス
①
NIC
※PCアーキテクチャ・Linux適用のケース
※NPUアーキテクチャはベンダにより異なる
【課題】
① NIC-プロセッサ間のバス転送ボトルネック
② カーネル介在によるソフトウェアオーバー
ヘッド
【特長】
① NPU性能に応じたバス設定
② 直接処理でソフトウェアオーバーヘッドは極小
マルチコア構成により、多重化処理が可能
パケット全数を対象とした処理は著しく困難
パケット全数処理を前提とした構成
図 2 汎用PCとネットワークプロセッサによる方式の違い
OKIテクニカルレビュー
2007年4月/第210号Vol.74 No.2
29
Card)とプロセッサの間にPCI等を利用しているため,ど
りIP/ICMP変換を実施する方式となっている。前段のパ
うしても転送ボトルネックが生じてしまう。さらに,OS
ケット識別をNPUではなく,FPGAで実施しているのは,
カーネルを介した処理となるために,ソフトウェアのオー
①IPv6アドレス検索では,NPUでもソフトウェア処理に
バヘッドも無視できない。これらの特徴は,先述の高性
おける負荷が大きく,性能確保が困難であること,②パ
能,低遅延化を達成する上で大きな障害であり,汎用PC
ケット識別機能自体汎用性が高く,他のアプリケーション
での実現は著しく困難である。一方,NPUでの実装の場
でも利用できるため,ハードウェアの機能として分離す
合,パケット処理のためにチューニングされたアーキテ
るメリットがある,という理由による。
クチャを持ち,NPUの性能に応じたバスが設定されてい
一方,後段のIP/ICMP変換では,一例として,MTU
るため,転送ボトルネックは生じない。さらに,OSカー
が異なる場合,パケットのフラグメントや,再フラグメ
ネルを介さず直接パケット処理が可能であること,マル
ントを行う必要がある。これは相当の遅延を発生させる
チコア構成による多重化処理が可能といったメリットを
可能性があるが,NPUでは,複数処理プロセッサを具備
持つ。
しているため,このような処理も並行処理することで,高
速に実現することが可能である。
図3に本試作の実装方式を示す。実装に用いた標準とし
ては,IPトランスレータ機能(IPv4-IPv6)では,SIIT:
まとめと今後の方向性
2)
Stateless IP/ICMP Translator(RFC2765)
を,ア
ドレス変換機能(IPv4-IPv4,IPv6-IPv6)ではRFC3022
3)
次世代ネットワークでは,ユビキタスサービスの浸透
を適用した。RFC3022はIPv6-IPv6変換は規定していな
に伴い,アドレス隠蔽機能が必須になるという前提で,
いが,IPv4-IPv4とのアナロジーで,独自方式による実装
ネットワークプロセッサ(NPU)を用いた,ネットワーク
を行った。
上の高速アドレス隠蔽機能を実装した。NPUは,パケット
基本的にはアドレス変換,および,それに伴う他の
転送処理向けにチューニングされており,高性能,低遅
ヘッダ項目の変換機能が実装のキーとなる。図3に示すよ
延な実装が期待できる。今回,FPGAとの分担や,NPU
うに,処理前段に配備したFPGAによりパケット識別
の処理プロセッサ群への機能振り分けを最適化するよう
(IPv4かIPv6か)を行い,処理後段に配備したNPUによ
な実装を行い,課題である高性能・低遅延化を目指した
●ネットワーク・プロセッサを利用し、SIIT / NATの実装を試作
プロトコル変換概要
IPv6
①制御用API
IPアドレス変換表を設定
機能構成
IPv4
・送信元IPアドレス変換
IPv6→IPv4付替
・宛先IPアドレス変換
IPv6から抽出
・他ヘッダ項目変換
・宛先IPアドレス変換
IPv4→IPv6付替
・送信元IPアドレス変換
IPv4+IPv6 Prefix *1
・他ヘッダ項目変換
③制御パケット処理
・制御パケットへの
応答を処理
ネットワーク・プロセッサ
制御プロセッサ
ARP / NDP,
ICMP / ICMPv6 処理
②プロトコル変換処理
API
共有メモリ
データ
FPGA
処理プロセッサ群
パケット識別
IP / ICMP変換
・・・
*1 NAT-PTでは、/96 Prefixに
IPv4アドレスを合わせた
アドレスを用いる
【ポイント1】パケット識別
【ポイント2】フラグメント
図 3 実装方式概要
30
OKIテクニカルレビュー
2007年4月/第210号Vol.74 No.2
ユビキタスサービス特集/TELECOM2006出展報告 ●
試作を実施した。今後は試作した装置をさまざまなネッ
トワーク環境で評価し,改良する予定である。評価を通
じて更なる性能の向上を目指す予定である。
◆◆
■参考文献
1)3GPP TS 29.162 V7.1.0,2006年
2)SIIT: Stateless IP / ICMP Translator(RFC2765),
2000年
3)Traditional IP Network Address Translator (Traditional
NAT)(RFC3022),2001年
●筆者紹介
加藤圭:Kei Kato. ネットワークシステムカンパニー ネットワー
クシステム本部 サービスプラットフォームマーケティング部
芝修吾:Shugo Shiba. ネットワークシステムカンパニー ネット
ワークシステム本部 通信プラットフォーム開発部
OKIテクニカルレビュー
2007年4月/第210号Vol.74 No.2
31