Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

On-Demand Tunnel Creation Mechanism in Star VPN Topology

성형 VPN 구조에서의 주문형 터널 생성 메커니즘

  • 변해선 (이화여자대학교 컴퓨터학과) ;
  • 이미정 (이화여자대학교 컴퓨터학과)
  • Published : 2005.08.01
Download PDF
⟨ Previous Next ⟩

Abstract

In the star VPN (Virtual Private Network) topology, the traffic between the communicating two CPE(Customer Premise Equipment) VPN GW(Gateway)s nay be inefficiently transferred. Also, the Center VPN GW nav erperience the overload due to excessive packet processing overhead. As a solution to this problem, a direct tunnel can be established between the communicating two CPE VPN GWs using the IKE (Internet Key Exchange) mechanism of IPSec(IP Security). In this case, however, the tunnel establishment and management nay be complicated. In this paper, we propose a mechanism called' SVOT (Star VPN On-demand Tunnel)', which automatically establishes a direct tunnel between the communicating CPE VPN GWs based on demand. In the SVOT scheme, CPE VPN GWs determine whether it will establish a direct tunnel or not depending on the traffic information monitored. CPE VPN GW requests the information that is necessary to establishes a direct tunnel to the Center VPN GW Through a simulation, we investigate the performance of the scheme performs better than the SYST scheme with respect to scalability, traffic efficiency and overhead of Center VPN GW, while it shows similar performance to the FVST with respect to end-to-end delay and throughput.

성형(Star) VPN(Virtual Private Network) 구조에서는 통신하는 두 CPE(Customer Premise Equipment) VPN GW(Gateway) 간 발생하는 트래픽이 항상 Center VPN GW를 거쳐서 전송되므로 비효율적인 트래픽 전송이 이루어진다. 또한 Center VPN GW에서의 패킷 프로세싱으로 인한 과부하도 발생한다. 이를 해결하기 방안으로 IPSec(IP Security)의 IKE(Internet Key Exchange) 메커니즘을 이용하여 통신하는 두 CPE VPN GW 간 직접터널을 설립할 수 있으나 이 경우에는 터널 설립 및 관리가 복잡하고 오버헤드가 크다 이에 본 논문에서는 통신하는 CPE VPN SW 간에 자동적으로 직접터널을 설립할 수 있게 하는 SVOT(Star VPN On-demand Tunnel) 방안을 제안한다. SVOT 방안에서는 CPE YPN GW가 트래픽 모니터링 정보를 기반으로 직접터널을 설립할 것인지를 판단한다 CPE VPN GW는 Center VPN GW로부터 터널 설립에 필요한 제반정보들을 제공받아 상대 CPE VPN GW와 직접터널을 설립한다. 시뮬레이션을 통해 제안하는 방안에 대하여 성능을 조사하였고, 이와 함께 기본적으로 Center VPN GW를 통하여 모든 트래픽이 전송되는 성형 VPN 구조, 모든 CPE VPN GW간 풀-메시(Full-mesh)로 터널 연결 정보를 유지하고 있는 풀-rll시 VPN 구조와 성능을 비교하였다. 시뮬레이션 결과, 제안하는 SVOT 방안이 기본적인 성형 VPN 구조에 비해 확장성과 트래픽 전송효율성, Center VPN GW의 과부하를 방지하는 측면에서 우수한 성능을 보이면서 종단간 지연 및 처리율에 있어서는 풀-메시 VPN 구조와 거의 비슷한 성능을 보임을 확인할 수 있었다.

Keywords

References

  1. B. Gleeson, A. Lin, J. Heinanen, G. Armitage A. Malis, 'A Framework for IP Based Virtual Private Networks,' RFC 2764, Informational, 2000
  2. R. Atkinson, 'Security Architecture for the Internet Protocol,' RFC 1825, Standards, 1995
  3. D. Harkins, D. Carrel. 'The Internet Key Exchange(IKE),' RFC 2409, Standards, 1998
  4. Man Li, 'Policy-Based IPsec Management,' IEEE Network, Vol. 17. no. 6, pp. 36-43, 2003 https://doi.org/10.1109/MNET.2003.1248659
  5. Jeremy De Clercq, Olivier Paridaens, 'Scalability implications of virtual private networks,' IEEE Communications Magazine, no. 5, pp. 151-157, 2002 https://doi.org/10.1109/35.1000229
  6. Dinesh C. Verma, 'Simplifying Network Administration Using Policy-Based Management,' IEEE Network, vol. 16, no. 2, pp. 20-26, 2002 https://doi.org/10.1109/65.993219
  7. Y. Yang, C. U. Martel, S. F. Wu, 'On Building the Minimum Number of Tunnels:An Ordered-Split approach to managem IPSec/VPN policies,' NOMS-IEEE/IFIP Network Operations and Management Symposium, vol. 9, no. 1, pp. 277-290, 2004
  8. Lisa Phifer, 'Speeding Deployment from the Center: eTunnels VPN-on-Demand,' http://www.ispplanet.com/technology/etunnels1.html, 2000
  9. http://www.isi.edu/nsnam/ns/index.html