I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 ·...

19
© NTT Communications 1 I E T F 8 7 C G N behave/sunset4/opsawg 2013 09 05 NTT コミュニケーションズ Kaname, NISHIZUKA

Transcript of I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 ·...

Page 1: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications 1

I E T F 8 7 報 告 会報 告 会報 告 会報 告 会

~~~~ C G N 関 連 技 術 ~関 連 技 術 ~関 連 技 術 ~関 連 技 術 ~

behave/sunset4/opsawg

2 0 1 3 年 0 9 月 0 5 日NTTコミュニケーションズKaname, NISHIZUKA

Page 2: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

自己紹介自己紹介自己紹介自己紹介

2

⻄塚要• 2006年 NTTコミュニケーションズ入社

• 2006〜 OCN(AS4713) エッジNW設計・開発• 2008〜 顧客ISP向け 提案・運用• 2012〜 IAC(先端IPアーキテクチャセンタ)にて、

CGN関連技術のIETF標準化活動等• 社外活動

• JANOG28 実⾏委員⻑• JANOG31 会場運営委員⻑など

Page 3: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

【【【【IETF86~87】】】】RFC6888が発行されました。が発行されました。が発行されました。が発行されました。

3

[RFC6888:BCP127]2013/4/30 BEHAVE WGCommon Requirements for Carrier-Grade NATs(CGNs)通常のNATと異なるキャリア網NATとしての要求事項

• セッション上限機能• Endpoint Independent Mapping• Endpoint Independent Filtering• Port再利用のルール• セッション保持時間• NAT Logの記録

※最初のID提出が2008/7

Page 4: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

各各各各WGととととCGN関連ドラフト関連ドラフト関連ドラフト関連ドラフト

4

WG タイトル バージョン IETF87発表

BEHAVE Common Requirements for Carrier-Grade NATs (CGNs) RFC6888

BEHAVE draft-ietf-behave-ipfix-nat-logging 01(WG) 〇

BEHAVE draft-ietf-behave-syslog-nat-logging 02(WG) 〇

BEHAVE draft-ietf-behave-requirements-update 00(WG) 〇

BEHAVE draft-ietf-behave-nat-mib 07(WG) 〇

BEHAVE draft-nishizuka-cgn-deployment-considerations 00 〇

BEHAVE draft-tsou-behave-natx4-log-reduction 04

BEHAVE draft-donley-behave-deterministic-cgn 06

SUNSET4 draft-chen-sunset4-cgn-port-allocation 02 〇

OPSAWG draft-ietf-opsawg-lsn-deployment 03 〇

CGNの実際の運用・デプロイに関連する draft が behave 以外のWGにも分散してしまっている現状。

Page 5: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

BEHAVE WG item: NAT logging

5

draft-ietf-behave-ipfix-nat-logging

draft-ietf-behave-syslog-nat-logging

Both IPFIX and SYSLOG drafts were adopted as WG

documents in IETF86

両方とも同じ内容・表記であるべきで、syslogとipfixの違いを無くすことが目的

議論の余地- destination logging をするかどうか- pre-NAT addressesをどのように表現するか(NATx4)- port block allocation をどのように表現するか

Page 6: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

CGN ~~~~実実実実NWへのへのへのへの展開へ向けたドラフト提出展開へ向けたドラフト提出展開へ向けたドラフト提出展開へ向けたドラフト提出

6

中〜⼤規模ISPと同等のNWをStarBED(@北陸)にて構築して⾏った実機検証に基づいた結果を記載

[POINT]1. CGNの収容上限(キャパシティ)の⾒積もり

2. ポート割当手法によるIPv4アドレス節約効率とNATログ⾒積もり

3. CGNの最適配置

Carrier-Grade-NAT (CGN) Deployment Considerations draft-nishizuka-cgn-deployment-considerations-00

CGNを展開する上で考慮すべきこと

Page 7: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

1.1.1.1.CGNの収容上限の収容上限の収容上限の収容上限(キャパシティキャパシティキャパシティキャパシティ)のののの見積もり見積もり見積もり見積もり

7

SPDY/WebSocketなどの次世代Web技術によってセッションが重畳されるため、CGN(NATx4)のようにStateを持つNW機器への影響が変わってきています。

Google Mapは複数ポートを利用するアプリケーションの象徴として使われてきましたが、現在はほとんどポートを消費しません(〜10)

SPDY

Page 8: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

The impact of SPDY(or HTTP/2.0)

• IE10 (not SPDY) vs FireFox21.0 (SPDY)

– Browsing “Google MAP”

[sec]

[sessions]

8

Page 9: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

The number of sessions

• The average number of sessions has

become less than in 2009.

9

Page 10: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

1.1.1.1.CGNの収容上限の収容上限の収容上限の収容上限(キャパシティキャパシティキャパシティキャパシティ)のののの見積もり見積もり見積もり見積もり

10

CGNの性能は以下の3点で測る。

CGN製品に、現実に近いトラフィックを印加したところ、16万ユーザを収容できる性能が認められた。また、HA構成による切替も可能であった。

CGNは当初(2009年当時)と比較して、- 高集約可能な機器となった- SPOF(Single Point of Failure)ではない- 高価なソリューションではない

指標 1ユーザあたり

トラフィック転送性能 50~100kbps

同時セッション数 100

セッション到着率(CPS) 0.05~0.2

Page 11: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

2.ポート割当手法による2.ポート割当手法による2.ポート割当手法による2.ポート割当手法によるIPv4アドレス節約効率とアドレス節約効率とアドレス節約効率とアドレス節約効率とNATログログログログ見積もり見積もり見積もり見積もり

11

どのポートの割当手法を用いるか。• Dynamic Assignment

• 1ユーザあたりの平均ポート利用数(=100)がkey factor• 約600ユーザで1グローバルアドレス• # of pool address (P) =

# of Subscriber (S) * a * N / (65536 - R)

a=25%, N=400.

• Static Assignment• 1ユーザの最⼤ポート利用数(=1000)がkey factor• 約60ユーザで1グローバルアドレス• # of pool address (P) =

# of Subscriber (S) * M / (65536 - R)

M=1000

Dynamic Assignmentは、Static Assignmentと比較して、約10倍のアドレスシェア効率をもつ。

Page 12: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

2.ポート割当手法による2.ポート割当手法による2.ポート割当手法による2.ポート割当手法によるIPv4アドレス節約効率とアドレス節約効率とアドレス節約効率とアドレス節約効率とNATログログログログ見積もり見積もり見積もり見積もり

12

NATログの⾒積もり

ASCII format: 120byte/recordBinary format: 26byte/record (20〜25%)

for 1,000,000 users, the size of log is piled up to 6.4TB per day.

NATログは非現実的なレベルではないPort Block Assignなど、ログの量を軽減する手法も発達

Jan 29 16:00:45 sp-ax3000-1 NAT-TCP-C: 100.64.16.1:58622 -> 133.4.40.146:58622 to 133.4.48.65:2000

時刻 CGNホスト名 TCP/UDP

種別送信元アドレス:ポート番号 変換後

送信元アドレス:ポート番号送信先アドレス:ポート番号

information byte

timestamp 8

CGN hostname(ID) 2~16

Transport protocol 1

Add/Delete flag 1

untranslated source address/port 6

translated source address/port 6

Page 13: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

3.3.3.3.CGNの最適の最適の最適の最適配置配置配置配置

13

◆既存のNWにどのようにCGNを導入するか

CGNの性能向上によってコアに近い区間に配置することが可能になった。しかし、NATはルーティングドメインを分割するため、従来のルーティング設計に影響を与える。⇒インパクトを極小にするためには- 既存のルーティングドメインと分割- CGNで動的ルーティングが可能- CGNのHA機能とルーティングプロトコルが連動できることが重要

後述のOPSAWGのdraftと同様の問題意識

Page 14: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

Where to place the CGN

<DNS considerations>Should we bypass DNS queries to avoid intensive port consumption?⇒No, NAT table of DNS timeouts in 3 seconds, so the consumption of NAT tables is not so much. As the result, it did not affect the performance of CGN.

Application Server

・・・・

DNS Server A

Full resolver

Application Server

・・・・

DNS Server B

Forwarder

Case 1 Case 2

DNS Server A

Full resolver

14

Page 15: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

draft feedback

15

draft 投稿後[behave/opsawg WG ML]- DNSの配置についての議論が興味深い(Dan Wing)- ウェブ/アプリケーションのIPv6対応調査やブラウザごとの挙動の違いを

記述することで、より強⼒なレファレンスとなりうる(Shishio Tsuchiya)- ポートの動的割り当て/静的割り当ての⾒積もりは良い指標となる(多

数)

IETF87会場質疑- オペレータにとって貴重なレポートである(Dave Thaler)- NAT64での我々の調査結果と近い内容である(China Mobile)

IETF87後- このドキュメントが非常に参考になった。GCM (Google Cloud Messaging)でタイムアウトの問題に直面している(Yutaka Ishizaki)

Page 16: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

[OPSAWG]

16

CGN Deployment with BGP/MPLS IP VPNs

draft-ietf-opsawg-lsn-deploymentV. Kuarsingh(Rogers Communications)

NAT対象 / NAT対象外のトラフィックを分離するアーキテクチャの提案

Page 17: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

[OPSAWG]

17

[POINT]1. NAT444環境の肯定2. Routing Plane Separation

� Policy Based Routingでも可能であるが、VRFによる分離はオペレータにとってより優しい選択である。

3. Flexible Deployment Options� CGNの集約効率が高く、またCGNへの依存度が次第に減って

いっても分割損が発生しにくい

[質疑について]何人かのオペレータからオフラインで多くの肯定的なコメントがあり、実際に環境を構築して、動作することを確かめたとのこと。しかし、IDを読んだ人間は少なく、活発な議論は起こらなかった。

Page 18: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

[SUNSET4]

18

Analysis of NAT64 Port Allocation Method

draft-chen-sunset4-cgn-port-allocationG. Chen(China mobile)

[POINT]1. NAT64推進の理由づけ

� IPv6を同時提供することによって、対応済のアプリやサイトはIPv6通信となるため、CGNのセッションを消費しない。

2. NAT64環境のポート消費調査

[質疑について]特になし。

Page 19: I E T F 8 7 報 告 会 - ISOC Japan Chapter · 2013-09-10 · SPDY/WebSocketなどの卙匒代Web叒術によってセッションが匤畳さ れるため、CGN(NATx4)のようにStateを匛つNW務器への影響が厭

© NTT Communications

結論結論結論結論

19

◆CGN(NAT444)が実際に使われ始めている⇒CGN設計指針となるDraftが必要だった。

◆CGN関連のドラフトがBEHAVE以外のWGに分散しており、横断的に追うのが難しい。pcp-WGの議論もウォッチする必要があるが、pcpは実際のデプロイには至っていない。

◆「NATx4について複数のドラフトが提出されており、マージした方がいいものもあるだろう。もしより完璧で統一的なドラフトがあれば、それをWG itemにするのがよいと思われる。」(Sunset4 Chair: Wesley George)


Horizon Client のセキュリティおよび Agent - VMware...目次 Horizon Client および View Agent のセキュリティ 51 外部ポート 6 Horizon 7 通信プロトコルの概要

Horizon Client のセキュリティおよび Agent - VMware...目次 Horizon Client および View Agent のセキュリティ 51 外部ポート 6 Horizon 7 通信プロトコルの概要

BC-520/BC-521/BC-522 › cms › common › pdf › support › bc_series › BC520.p…BIA+リアクタンステクノロジーによる体組成の測定では従来のBIA法よりも安定した測定が行える

BC-520/BC-521/BC-522 › cms › common › pdf › support › bc_series › BC520.p…BIA+リアクタンステクノロジーによる体組成の測定では従来のBIA法よりも安定した測定が行える

アービトラージ戦略のリスク・リターン評価 RiskReturn.pdf · アービトラージの名のもとに行われるようになってきているのが実状である。

アービトラージ戦略のリスク・リターン評価 RiskReturn.pdf · アービトラージの名のもとに行われるようになってきているのが実状である。

★ 知恵の輪の記憶 - city.murakami.niigata.jp school news.pdf · の方がよいのだということを、のぞみさんが教えてくれたような気がしました。

★ 知恵の輪の記憶 - city.murakami.niigata.jp school news.pdf · の方がよいのだということを、のぞみさんが教えてくれたような気がしました。

J-STAGE 運用マニュアル...PDF のバージョンは、 1.3 以上 1.9 までになります。 現行J-STAGEでは、PDFの互換性バージョンが「Acrobat Xおよびそれ以降」の場合、エラーが

J-STAGE 運用マニュアル...PDF のバージョンは、 1.3 以上 1.9 までになります。 現行J-STAGEでは、PDFの互換性バージョンが「Acrobat Xおよびそれ以降」の場合、エラーが

Sand Pro® アタッチメント · が Toro® Quick Attach System™ (QAS)。アクセサリの交換 が簡単で速く、スタッフの誰もがものの数秒でマスターでき

Sand Pro® アタッチメント · が Toro® Quick Attach System™ (QAS)。アクセサリの交換 が簡単で速く、スタッフの誰もがものの数秒でマスターでき

Monthly Research 固定アドレスのポインタによ …...Use-after-freeまたは、ヒープオーバーフローにより、C++オブジェクトの vtableポインタの書き換えが起きる場合にASLRをバイパスして攻撃可能

Monthly Research 固定アドレスのポインタによ …...Use-after-freeまたは、ヒープオーバーフローにより、C++オブジェクトの vtableポインタの書き換えが起きる場合にASLRをバイパスして攻撃可能

Access Point 設定 の導入および - VMware...Access Point のデプロイの準備 1Access Point は、企業のファイアウォールの外部からリモート デスクトップおよびアプリケーションにアクセスするユーザーのセキュア

Access Point 設定 の導入および - VMware...Access Point のデプロイの準備 1Access Point は、企業のファイアウォールの外部からリモート デスクトップおよびアプリケーションにアクセスするユーザーのセキュア

ルールブック 男子 三 Z03 - LACROSSE...-1- 競技ルールの概略 ラクロス男子競技はそれぞれ10人からなる2つのチームが競うものである。各々のチームの目的は、ボールを相手のゴールに入れて得点すること、および相手のチームがボー

ルールブック 男子 三 Z03 - LACROSSE...-1- 競技ルールの概略 ラクロス男子競技はそれぞれ10人からなる2つのチームが競うものである。各々のチームの目的は、ボールを相手のゴールに入れて得点すること、および相手のチームがボー

アジレントのGPC/SEC ポリマー標準 · 2017-07-24 · gpc ソフトウェア 専用ソフトウェアにより、 gpc/sec の計算が簡素化 1976 年 1981 年1984 年

アジレントのGPC/SEC ポリマー標準 · 2017-07-24 · gpc ソフトウェア 専用ソフトウェアにより、 gpc/sec の計算が簡素化 1976 年 1981 年1984 年

マルチビューワ Multi Viewer詳しくは「4-8リモート制御(REMOTE コネクタ)」を参照してください。 <機能> 外部からのパルス信号の立下りによって、次のように時刻が補正されます。

マルチビューワ Multi Viewer詳しくは「4-8リモート制御(REMOTE コネクタ)」を参照してください。 <機能> 外部からのパルス信号の立下りによって、次のように時刻が補正されます。

TeamViewer 12が愛される20の理由...モバイル間リモート接続 プラットフォーム間、モバイル間のリモートコントロールと Android、iOS、およびWindows

TeamViewer 12が愛される20の理由...モバイル間リモート接続 プラットフォーム間、モバイル間のリモートコントロールと Android、iOS、およびWindows

3D の公開 Public release of the GSI Maps 3D on the Internet ... · これにより,特別な知識やソフトウェアがなくて も,誰もが簡単な操作で日本国内の任意の場所の3

3D の公開 Public release of the GSI Maps 3D on the Internet ... · これにより,特別な知識やソフトウェアがなくて も,誰もが簡単な操作で日本国内の任意の場所の3

第93号(R1.6) - pref.kagoshima.jp · 見渡す限りのサトウキビ畑と青い空、海へと続くおよそ2.5kmの一本道。 ... 気温が18~30℃のときが最も活動しやすく,一年の中では,4月から6月と9月から

第93号(R1.6) - pref.kagoshima.jp · 見渡す限りのサトウキビ畑と青い空、海へと続くおよそ2.5kmの一本道。 ... 気温が18~30℃のときが最も活動しやすく,一年の中では,4月から6月と9月から

オープンソースERP ADempiereのご紹介」 - OpenStandia · 2018-10-04 · Japan ADempiere Group GPLと、より制限の緩いフリーソフトウェアライセンス(BSDライセンスなど)との主な違いは、GPLが派

オープンソースERP ADempiereのご紹介」 - OpenStandia · 2018-10-04 · Japan ADempiere Group GPLと、より制限の緩いフリーソフトウェアライセンス(BSDライセンスなど)との主な違いは、GPLが派

News Release 大幸薬品が「二酸化塩素による真菌 …News Release 2010年1月 大幸薬品が「二酸化塩素による真菌、ダニ、花粉アレルゲンの低減化」を発表

News Release 大幸薬品が「二酸化塩素による真菌 …News Release 2010年1月 大幸薬品が「二酸化塩素による真菌、ダニ、花粉アレルゲンの低減化」を発表

URL - HERMES-IR | HOME...一橋研究第1巻第3号 たものの一つである。ω この移行間題がそのように様々な解釈を生むのは,かってカッジラーが端的

URL - HERMES-IR | HOME...一橋研究第1巻第3号 たものの一つである。ω この移行間題がそのように様々な解釈を生むのは,かってカッジラーが端的

NEWS RELEASE...2020/10/07  · NEWS RELEASE 参考図:「とりもち」の配信例 「Ballooon」は、「とりもち」とのサービス連携により、レコメンドウィジェットが追加されることによって、ユー

NEWS RELEASE...2020/10/07  · NEWS RELEASE 参考図:「とりもち」の配信例 「Ballooon」は、「とりもち」とのサービス連携により、レコメンドウィジェットが追加されることによって、ユー

Emerson Plantweb インサイト£½品...Emerson Plantweb インサイト 分析とアプリケーションのパッケージがプラント資産の戦略的解釈およびモニタリングを提供

Emerson Plantweb インサイト£½品...Emerson Plantweb インサイト 分析とアプリケーションのパッケージがプラント資産の戦略的解釈およびモニタリングを提供

Horizon Client のセキュリティおよび Agent - VMware€¦ · 目次 Horizon Client および View Agent のセキュリティ 5 1 外部ポート 6 通信プロトコルの概要

Horizon Client のセキュリティおよび Agent - VMware€¦ · 目次 Horizon Client および View Agent のセキュリティ 5 1 外部ポート 6 通信プロトコルの概要