Ethane: Taking control of the Enterprise (2007)

Presentation on theme: "Ethane: Taking control of the Enterprise (2007)"— Presentation transcript:

1 Ethane: Taking control of the Enterprise (2007)
이강원

2 목차 1. Introduction 2. Overview of Ethane Design
3. Ethane in more detail 4. The POL-ETH Policy Language 5. Prototype and Deployment 6. Performance and scalability 7. Ethane’s shortcomings 8. Related work 9. Conclusions

3 1. Introduction Enterprise network는 보통 크고, 매우 다양한 application들과 protocol들에서 운영한다. 현재의 Enterprise network management는 비싸고 오류 발생률이 높다. Enterprise network 구조를 더 관리가 용이하도록 만들려면 어떻게 바꿀 수 있을까?  Ethane

4 1. Introduction Ethane의 세 가지 기본 원칙
① Network는 high-level name (user, host, AP) 이상에서 선포된 policy들에 의해 운영될 것이다. ② Policy는 패킷들이 따라가는 경로를 결정할 것이다. ③ Network는 패킷과 패킷의 출처 사이에 강력한 binding을 적용할 것이다.

5 2. Overview of Ethane Design
Central Controller - 모든 패킷들의 운명을 결정하기 위한 네트워크 policy를 포함 - Global 네트워크 topology를 알고 있으며, 허가된 flow를 위한 경로 계산을 수행 Ethane Switches - 간단한 flow table과 컨트롤러와 연결되는 보안 채널로 구성 - Flow table에 없는 패킷이 도착하면, 해당 패킷과 포트 정보를 함께 컨트롤러에게 전송 - Flow table에 있는 패킷이 도착하면, 해당 패킷은 컨트롤러의 지시에 따라서 전송

6 2. Overview of Ethane Design
Registration Bootstrapping Authentication Flow Setup Forwarding

7 2. Overview of Ethane Design
Registration - 모든 스위치, 사용자, 호스트들은 인증에 필요한 자격(credential)과 함께 컨트롤러에 등록된다. Bootstrapping - 스위치들은 스패닝 트리 생성을 통해 접속 가능성을 bootstrap하고, 컨트롤러로의 보안 채널을 생성한다. - 보안 연결이 설립되면 스위치는 link 상태 정보를 컨트롤러에게 전송한다.

8 2. Overview of Ethane Design
Authentication - 사용자 A가 호스트 A로 네트워크에 합류 - 호스트 A가 컨트롤러에게 DHCP 요청 - MAC주소 확인 후, IP주소 할당 - 사용자 A가 web-form을 통해 인증

9 2. Overview of Ethane Design
Flow Setup - 스위치 1이 컨트롤러에게 패킷을 전송 - 컨트롤러가 flow 경로를 계산 - 모든 스위치들의 flow table에 새로운 엔트리 추가

10 2. Overview of Ethane Design
Forwarding - 컨트롤러가 스위치 1에게 패킷을 다시 전송 - 그 다음 패킷은 스위치에 의해 직접 전송되 고, 컨트롤러에 전송되지 않음

11 3. Ethane in more detail 일반적인 Ethane network
- End-host들은 변경없이 Ethane switch 또 는 Ethane wireless AP를 통해 연결된다. - 새로운 Ethane switch를 추가할 경우, 컨트 롤러가 발견하여 topology를 파악할 수 있 어야 한다.

12 3. Ethane in more detail Ethane Switch, Ethernet Switch 비교
- Ethane Switch는 주소들을 기억하거나, VLAN을 지원하거나, Source 주소 spoofing을 확인할 필 요가 없다. - Forwarding Table, ACL, NAT 유지를 필요로 하지 않는다. - OSPF, ISIS, RIP과 같은 라우팅 프로토콜의 실행이 필요하지 않는다. - Ethernet Switch 내부의 Forwarding Table보다 훨씬 적은 용량의 Flow Table을 사용한다.

13 3. Ethane in more detail Controller
- Authentication component는 registration database 에 저장된 자격(credential)을 이용해 사용자와 호스트 들을 인증한다. - Route computation은 flow route를 선택하기 위해 network topology를 사용한다. - network topology는 Switch manager에 의해 유지된다.

14 3. Ethane in more detail Controller - Registration
 네트워크의 모든 Entity들은 반드시 등록되어야 한다. - Authentication  특정한 호스트 인증 매커니즘을 채택하지 않고 다중 인증 방법을 지원할 수 있다. - Tracking Bindings  주소, 물리적인 포트 사이의 모든 binding들을 추적할 수 있다. - Namespace Interface  네트워크 관리자, 감시자 등이 모든 인증, binding 정보를 이용 가능하게 한다. - Permission Check and Access Granting - Enforcing Resource Limits

15 4. The POL-ETH Policy Language
Pol-Eth는 Ethane 네트워크에서 policy를 선언하기 위한 언어이다.

16 5. Prototype and Deployment
스탠포드 대학에서 300명 이상의 호스트들과 몇 백명의 사용자들을 대상으로 배치 전체 네트워크는 하나의 PC 기반 컨트롤러에 의해 관리 세 가지 다른 타입의 19개 스위치를 배치 - Ethane Wireless Access Point - Ethane 4-port Gigabit Ethernet Switch: Hardware Solution - Ethane 4-port Gigabit Ethernet Switch: Software Solution

17 6. Performance and scalability
Frequency of flow-setup requests per second 초당 최대 750개의 flow 요청과 더불어 초당 보통 30~40개의 새로운 flow 요청이 나타남

18 6. Performance and scalability
Flow-setup times as a function of Controller load 초당 최대 약 11,000개의 flow 요청이 발생하지만, 이런 경우에도 1.5ms 이내로 설정

19 6. Performance and scalability
For LBL network For Stanford network LBL(로렌스 버클리 국립연구소) 네트워크 - 8,000 명의 호스트  처리되지 않은 flow의 최대 수는 초당 1,200개가 넘지 않음 Stanford 네트워크 - 20,000 명의 호스트  새로운 flow 요청이 초당 9,000개가 넘지 않음 하나의 컨트롤러가 20,000개 이상의 호스트를 가진 네트워크를 수월하게 관리할 수 있음

20 7. Ethane’s shortcomings
Broadcast and Service Discovery - Broadcast discovery protocol들은 오버헤드 트래픽 생성을 통해 엔터프라이즈 네트워크에서 혼란을 초래한다. - Flow의 90% 이상이 오버헤드 트래픽이다. Application-layer routing Host A Host B Host C

21 7. Ethane’s shortcomings
Knowing what the user is doing - 규격 외의 포트 번호를 사용하여 Ethane을 속일 수 있음 Spoofing Ethernet addresses - 사용자가 MAC 주소를 spoofing한다면, Ethane을 속여 End Host로 패킷을 전송하는 것 이 가능할 수 있다.

22 8. Related work Ethane은 data-plane을 간단하게 하고, control-plane을 중앙집권화하는 4D philosophy를 수용 모든 flow에 대한 결정을 컨트롤러가 함으로써, 하나의 컨트롤러를 업데이트하여 새로운 기능 및 동작을 추가할 수 있음

23 9. Conclusions Ethane의 중요한 이점은 네트워크의 혁신과 발전의 쉽게 이룰 수 있게 함
스위치를 간단하게 유지하고, 중앙 컨트롤러의 소프트웨어 업데이트를 통해 빠른 네트워크 개선 컨트롤러가 규모가 큰 네트워크에서도 충분히 지원 가능 중앙 컨트롤러를 통해 스위치가 똑똑하지 않고, 내부에 관리용 소프트웨어 없어도 충분히 좋은 성능을 발휘 Ethane 스위치는 현재의 이더넷 스위치와 라우터보다 상당히 간단하게 저전력으로 동작

24 감사합니다.