Design and Implementation of Virtual TAP for Software-Defined Networks

Abstract

최근, 늘어나는 네트워크 트래픽과 보다 높은 서비스 품질에 대한 요구사항과 함께 클라우드 서비스가 활발히 사용됨에 따라, 데이터센터에서의 효과적인 자원 사용을 가능케 하는 서버(호스트) 가상화 기술이 큰 주목을 받고 있다. vTAP (Virtual Test Access Port)은 이러한 서버상에서 가상 스위치를 통해 구축되는 가상 네트워크 링크에 기존의 하드웨어 TAP 장비를 설치할 수 없는 문제점을 극복하고, 가상머신들 간 트래픽을 패킷 수준에서 모니터링할 수 있게 한다. vTAP 기능은 가상 스위치를 통해 구현할 수 있는데, 가장 기본적인 포트 미러링(Port Mirroring) 방식의 패킷 복제는 가상 스위치의 성능을 상당히 저하시키며 개별적인 수동 설정이 필요하기 때문에 대규모 데이터센터 네트워크에는 적절하지 않다.

본 논문에서는 대표적인 가상 스위치인 Open vSwitch와 고속 패킷 프로세싱 기술인 DPDK (Data Plane Development Kit)를 기반으로 vTAP 기능을 구현하고, SDN (Software-Defined Networking) 컨트롤러에서 네트워크 관리자가 설정한 TAP 정책이 vTAP 기능과 연동되어 실현되도록 OpenFlow 프로토콜을 사용한다. 이를 통해 관리자는 중앙 집중화된 컨트롤러에서 전체적인 네트워크 뷰(View)를 가지고 TAP 정책을 유연하게 설정 및 관리할 수 있으며, DPDK에 유휴 서버 자원을 할당하여 기존 구현 기술 대비 초당 10배 이상의 속도로 복제 패킷을 수집할 수 있다. 실험을 통해 대용량 트래픽이 발생하는 환경에서 고속 패킷 모니터링의 가능성을 보였으며, 후속 연구를 통해 수집된 패킷 정보를 바탕으로 네트워크 분석, 보안, 관리 등의 응용 기술을 위한 기반 기술로 활용될 수 있음을 보이고자 한다.

Currently, server (host) virtualization technology that brings effective use of server resources to a datacenter is promising as cloud services are being prevalent with increasing traffic volumes and requirements for higher service quality. The proposed network TAP, named vTAP (Virtual Test Access Point), overcomes the problem that existing hardware TAP devices cannot be utilized for virtual network links in a virtualized server, and enables to monitor traffic among virtual machines (VMs) at a packet level. vTAP can be implemented by a virtual switch that gives network connectivity to VMs by switching packets over virtual network links. The port mirroring feature of a virtual switch can be a naive solution to provide packet level monitoring among VMs. However, using the feature in an environment that needs to treat large volume of network traffic with low delay such as NFV (Network Function Virtualization) incurs performance degradation of packet switching capability of the switch and error-prone manual configuration. We provide design and implementation approaches to vTAP using Open vSwitch with DPDK (Data Plane Development Kit) and an OpenFlow SDN (Software-Defined Networking) controller to overcome the problems. DPDK can accelerate overall packet processing operations needed in vTAP, and OpenFlow controller can provide a centralized and flexible way to apply and manage TAP policies in an SDN network. We also provide several performance comparisons of vTAP and the naive method.