ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
インタラクティブマルチメディアを支える技術動向
−QoSを中心に−
2003年10月10日
NTTネットワークサービスシステム研究所
森田 直孝
ネットワークサービスシステム研究所 NTT秘(財産的情報)
目次
1. SIPに関する技術動向
2. インスタントメッセージングとプレゼンスに関する技術動向
3. NAT/FW通過制御に関する技術動向
4. 新しいQoS実現方式の提案(PPS方式)
5. Q&A
ネットワークサービスシステム研究所
NTT秘(財産的情報)
NSLAB© NTT 2003
1.SIPに関する技術動向
ネットワークサービスシステム研究所 NTT秘(財産的情報) 【MIDCOM: Middlebox Communication】 • NAT/FW機能を実現する 装置(middlebox)を制御 するプロトコルを検討 • 2001/12 WG設立
【SIMPLE: SIP for Instant
Messaging and Presence
Leveraging Extensions】
• SIPメッセージの拡張によるプレ
ゼンス/インスタントメッセージ機能
【SIMPLE: SIP for Instant
Messaging and Presence
Leveraging Extensions】
• SIPメッセージの拡張によるプレ
ゼンス/インスタントメッセージ機能
【IMPP: Instant Messaging
and Presence Protocol】
• プレゼンス/インスタントメッセージの共
通データフォーマットを規定
• 2002/11 終結
【IMPP: Instant Messaging
and Presence Protocol】
• プレゼンス/インスタントメッセージの共
通データフォーマットを規定
• 2002/11 終結
【SIPPING: Session
Initiation Proposal
Investigation】
• 新機能の要求条件を明確化
• 2001/8 WG設立
【SIPPING: Session
Initiation Proposal
Investigation】
• 新機能の要求条件を明確化
• 2001/8 WG設立
【SIP: Session Initiation
Protocol】
• SIPプロトコルの改良
• 1999/11 WG設立
【SIP: Session Initiation
Protocol】
• SIPプロトコルの改良
• 1999/11 WG設立
セッション制御機能
プレゼンス/インスタントメッセージ機能(Application Area)
転送系の制御方式
SIPを中心とするIETFのワーキンググループ
【ENUM: Telephone Number Mapping】 • E.164→IPアドレスへの番 号解決 【ENUM: Telephone Number Mapping】 • E.164→IPアドレスへの番 号解決 【IPTEL: IP Telephony】 • サービスカスタマイズ記述 (CPL) • GWへのルーチングプロトコル (TRIP) • 2003/11 終結予定 【IPTEL: IP Telephony】 • サービスカスタマイズ記述 (CPL) • GWへのルーチングプロトコル (TRIP) • 2003/11 終結予定アドレシング/ルーチング制御機能
【AVT: Audio/Video
Transport】
• 音声や画像情報の転送プロトコ
ル(RTP)を検討
【AVT: Audio/Video
Transport】
• 音声や画像情報の転送プロトコ
ル(RTP)を検討
【MMUSIC: Multiparty
Multimedia Session
Control】
• メディア属性記述
(SDP/SDPng)、ストリーミング制
御プロトコル(RTSP) を検討中
【MMUSIC: Multiparty
Multimedia Session
Control】
• メディア属性記述
(SDP/SDPng)、ストリーミング制
御プロトコル(RTSP) を検討中
メディア転送/制御機能
【XMPP: Extensible
Messaging and Presence
Protocol】
• Jabberをコアプロトコルとする
XMLベースのIM
• 2002/11 WG設立
【XMPP: Extensible
Messaging and Presence
Protocol】
• Jabberをコアプロトコルとする
XMLベースのIM
• 2002/11 WG設立
【IEPREP: Internet Emergency Preparedness】 • 災害時の通信方法 【IEPREP: Internet Emergency Preparedness】 • 災害時の通信方法【NSIS: Next Steps in
Signaling】
• QoS, NAT/FW制御を目 的としたRSVP型の新信 号方式を検討
【NSIS: Next Steps in
Signaling】 • QoS, NAT/FW制御を目 的としたRSVP型の新信 号方式を検討
SIP
【XCON: Centralized Conferencing】 • 明確なメンバーシップ管理の ある会議サービス 【XCON: Centralized Conferencing】 • 明確なメンバーシップ管理の ある会議サービス 【MIDCOM: Middlebox Communication】 • NAT/FW機能を実現する 装置(middlebox)を制御 するプロトコルを検討 • 2001/12 WG設立ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
5
SIP標準化動向
SIP基本部について、RFC2543bis04までと、その後約半年で改版されたRFC3261では、大幅に変更あり。主な変更点は、
セキュリティ強化、および、複数サーバ環境を考慮したルーチング処理である。
SIP基本部について、RFC2543bis04までと、その後約半年で改版されたRFC3261では、大幅に変更あり。主な変更点は、
セキュリティ強化、および、複数サーバ環境を考慮したルーチング処理である。
6月 △ RFC3264, 3266 (SDPのoffer/answer, SDP IPv6 7月 △ bis04 6月 △ RFC3261 10月 △ bis05 構成 変更 バグ修正完 6月 △ RFC3265 (非同期イベント通知要求機能の 抽象クラス) 各サービス対応のイベント通知要求機 能の仕様はパッケージとして規定予定 (例) ・Presence ・Conference State ・Dialog State ・メッセージあり通知 10月 △ RFC2976(INFO) 12月 △ RFC3204 (ISUP,QSIG用 メディアタイプ) 9月 12月 △ △ RFC3372,3398 (SIP-T) (SIP-ISUP連携) 6月 △ RFC3262 (1xxレスポンスの 送達確認) 11月 △ RFC3324,3325 (発ID通知・非通知制御、網内流通ID) ヘッダ名前空間にプライベイト(P-xxx)の導入 6月 △ RFC2848 (PINT) 3月 △ bis09 セキュリティの強化 ・SIPS URL ・サーバはTLS対応必須化 ・S/C相互認証機能追加 ・基本認証廃止 ・S/MIMEによるボディの暗号化 ルーチング処理変更 ・複数サーバ環境での多段接続 サーバにおけるサービス起動2000
2001
2002
2003
SIP基本部 機能追加分の不明確点 議論中 99.2 RFC2543制定 SIP拡張部 電話網 相互接続 電話系付加 サービス Presence, IMサービス対応ネットワークサービスシステム研究所 NTT秘(財産的情報)
SIP仕様の差分-1
●主な機能差分
1. セキュリティ関連規定の見直し
•
セキュアなトランスポート
TLSの使用を指定するアドレス規定“SIPS”URIの追加サポート
•
サーバにTLSを必須化
•
Message bodyの暗号化方式を、PGPからS/MIMEへ変更
•
セキュリティの弱い基本認証の廃止
2. トランスポートの見直し
・ユーザにTCPを必須化(長いメッセージへの対応)
3. DNS手順の拡張
・リソースレコード
SRV/NAPTRへの対応
SRV(サーバ選択)型のみから、SRV,NAPTR(名前付け権限ポインタ)への拡張
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
7
SIP仕様の差分-2
●主な手順変更
1. 呼設定中の解放手順等、準正常手順の明確化
2. offer-answerモデルによるSDP交換手順の明確化
別
draft化した後、RFC3264として規定
3. Max-Forwardsの必須化によるループ検出手順の簡素化
転送サービスの考慮漏れに対応
4. レコードルート手順の簡素化
ルーチング情報設定方法の変更(
Strict routingとloose routingを規定)
5. via branchの必須化によるトランザクション識別の簡素化
ネットワークサービスシステム研究所 NTT秘(財産的情報)
SIPルーチング
・イニシャルリクエスト(例:INVITE)と、後続のリクエスト(例:BYE)が同じ経路を用いるとは限らない。
⇒Record-Route,Routeヘッダの設定により、同じ経路使用可。
・イニシャルリクエスト(例:INVITE)と、後続のリクエスト(例:BYE)が同じ経路を用いるとは限らない。
⇒Record-Route,Routeヘッダの設定により、同じ経路使用可。
■Record-Route設定なし
イニシャル・リクエスト
INVITE sip:[email protected]
BYE sip:[email protected]
サーバ
P1
サーバ
P2
レスポンス
後続リクエスト
レスポンス
User B
User A
■Record-Route(=RR)設定あり
BYE UserB
Route: P1,P2
INVITE UserB
サーバ
P1
User B
INVITE UserB
RR: P2
RR: P1
BYE UserB
INVITE UserB
RR: P1
サーバ
P2
BYE UserB
Route: P2
Record-Route: Proxyがinitialリクエストに挿入 UAが参照してRoute設定。 Route: UAがsubsequentリクエストに挿入Proxyが参照してルーチング。
User A
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
9
SIPルーチング処理の変更
Looseルーチングの導入
着アドレスが設定されるフィールド(Request-URI)について、Proxyで書き換えを行う場合があった。そ
のため、着アドレスがサービスを示す場合、サーバでサービス起動不可になってしまう。
⇒Request-URI書き換えず、Routeヘッダを用いてルーチング。
Looseルーチングの導入
着アドレスが設定されるフィールド(Request-URI)について、Proxyで書き換えを行う場合があった。そ
のため、着アドレスがサービスを示す場合、サーバでサービス起動不可になってしまう。
⇒Request-URI書き換えず、Routeヘッダを用いてルーチング。
■Strictルーチング
サーバ
P2
INVITE P2
Route:UserB
INVITE UserB
INVITE P1
Route:P2,UserB
サーバ
P1
User B(0120)
User A
■Looseルーチング
INVITE UserB
Route: P1:lr,P2:lr
サーバ
P1
サーバ
P2
INVITE UserB
Route:P2:lr
INVITE UserB
User B(0120)
User A
ネットワークサービスシステム研究所
NTT秘(財産的情報)
SIP Asserted IDの概要(RFC3325)
• 信頼関係が成立する範囲内で、ネットワークの保証したユーザIDを転送する機能。
• 信頼できないサーバや端末に対しては、ユーザIDは削除して転送される。
• ID自体は暗号化されていないため、信頼できる範囲での利用が前提。
• 信頼関係が成立する範囲内で、ネットワークの保証したユーザIDを転送する機能。
• 信頼できないサーバや端末に対しては、ユーザIDは削除して転送される。
• ID自体は暗号化されていないため、信頼できる範囲での利用が前提。
Untrusted
domain
Trusted domain
SIP
proxy
#1
SIP
proxy
#2
SIP
proxy
#3
INVITE INVITE* (IDあり) INVITE (IDあり) INVITE (IDなし) 発ID通知/非通知制御のための拡張ヘッダ(P-Asserted-Identity)で ネットワークが保証するIDを転送する。 ユーザからの最初のメッセージに対し、 プロキシは認証を要求することで、 ユーザの正当性を確認する。 INVITE (IDなし) INVITE*の例INVITE sip:[email protected] SIP/2.0
Via: SIP/2.0/TCP useragent.cisco.com;branch=z9hG4bK-124 Via: SIP/2.0/TCP proxy.cisco.com;branch=z9hG4bK-abc To: <sip:[email protected]>
From: "Anonymous" <sip:[email protected]>;tag=9802748 ∼
P-Asserted-Identity: "Cullen Jennings" <sip:[email protected]> P-Asserted-Identity: tel:+14085264000 Privacy: id ユーザは、untrusted domainに対し IDを転送するか否かをPrivacyヘッダで指定できる。 好みのIDをP-Preferred-Identityヘッダで 指定することもできる。
ネットワークサービスシステム研究所
NTT秘(財産的情報)
NSLAB© NTT 2003
ネットワークサービスシステム研究所 NTT秘(財産的情報)
IM+プレゼンス概要
プレゼンスサービスとは、通信相手の存在や状態を、事前に通知する機能であり、通信相手の状況
に応じた通信手段の選択や、通信の開始が可能となる。一般に、このプレゼンスサービスと共に、
IM(instant messaging)サービスが提供される。
プレゼンスサービスとは、通信相手の存在や状態を、事前に通知する機能であり、通信相手の状況
に応じた通信手段の選択や、通信の開始が可能となる。一般に、このプレゼンスサービスと共に、
IM(instant messaging)サービスが提供される。
プレゼンス
サーバ
見せる人
X
(Presentity X)
③状態登録
①状態開示要求
④状態通知
見る人
B
(Watcher B)
×
拒否
②状態開示要求
/承認
①状態開示 要求 ④状態通知見せる人Y (Presentity Y)
見せる人Z (Presentity Z)
私は今,着席
中です.
・着席中 (キーボードがアクティブ) ・離籍中 (スクリーンセイバと連動等) ・通信中 ・外出中 (ユーザ設定) 等Xさんは,
着席中です.
Bさんには
通知しない.
Xさんは今どうし
ているかな?
ユーザX:着席
ユーザ
Y:通信中
ユーザ
Z:外出中 等
ユーザX:着席
ユーザ
Y:通信中
ユーザ
Z:外出中 等
見る人A
(Watcher A)
【状態例】
•見る人の側では、複数の見せ
る人の情報を集めて、お友達
リストを作成することが可能
•Watcher単位に多様な設定が
可能(通知拒否等)
ネットワークサービスシステム研究所
NTT秘(財産的情報)
NSLAB© NTT 2003
13
IMPP WG 検討状況
• 当初は、Instant MessagingとPresenceのための標準プロトコル仕様を追求していたが、
合意に至らなかった。
(SIMPLE, APEX, PRIMの3方式)
• 最終的には、独立なプロトコル間を相互接続するための論理的な共通仕様を策定した。
• 当初は、Instant MessagingとPresenceのための標準プロトコル仕様を追求していたが、
合意に至らなかった。
(SIMPLE, APEX, PRIMの3方式)
• 最終的には、独立なプロトコル間を相互接続するための論理的な共通仕様を策定した。
CPIM
XMPP
モデル:
CPIM (draft)
用語:
RFC2778
要求条件:
RFC2779
XMPP ⇔
CPIM
APEX ⇔ CPIM
SIMPLE
⇔
CPIM
P
R
IM
⇔
C
P
IM
APEX
APEX
論理的仕様
具体的仕様
(各プロトコルで設定)
SIMPLE
情報の書式
日付・時刻の表記:
RFC3339
プレゼンス情報:
PIDF(draft)
メッセージ:
MSGFMT(draft)...WGLC済み
PRIM
PRIM
ネットワークサービスシステム研究所
NTT秘(財産的情報)
SIP共通のイベント通知方式(RFC3265より)
• SIPが利用する状態変化通知手順を、Event Notificationとして汎用に規定。
• この手順に従って、プレゼンス等の具体的通知手順を規定する。
Event template package
イベントの周辺情報
watcher information
Subscriber
Notifier
(=presence agent相当)
Event package
通知対象となるイベント
user presence
メンバに加入
SUBSCRIBE/200 OK
加入時点の状態を
直ちに通知
NOTIFY/200 OK
NOTIFY/200 OK
状態変化直前の加入期限が
切れる前に再度加入
状態変化に応じて
通知
SUBSCRIBE/200 OK
NOTIFY/200 OK
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
15
SIMPLE WG検討状況
規定済みの基本機能に加え、プレゼンスデータの操作手順や、交換されるメッセージの集約、新たな
登録メソッドである
PUBLISHなど、標準化範囲の拡大や手順の効率化を検討中。
規定済みの基本機能に加え、プレゼンスデータの操作手順や、交換されるメッセージの集約、新たな
登録メソッドであるPUBLISHなど、標準化範囲の拡大や手順の効率化を検討中。
見せる人
X
(Presentity X)
③状態登録
①状態開示要求
④状態通知
[承諾]
②状態開示要求
/承認
○複数端末からの状態登録
複数端末同時使用を考慮したプ
レゼンス状態の登録。
(PUBLISH)
①状態開示 要求 ④状態通知 [拒否]○通知情報書式
CPIM(Common Profile for
Instant Messaging)による、プレゼン
スとメッセージの書式規定
○通知情報の絞込み
Watcherの都合に合わせた 、通知
情報のフィルタリング機能
:基本機能決定
:メソッド決定・書式検討中
プレゼンス
サーバ
見る人A
(Watcher A)
見る人
B
(Watcher B)
○状態開示判断時の情報
状態開示の承認に対する許
可の情報を含む、
Watcher情
報とその書式の規定
○Event(プレゼンス等)のリスト化による制御
端末(携帯等)の処理能力を考慮しWatcher-Server間のメッセージ送受信数の削減
○データ操作
プレゼンスリストなどのデータ
の参照・編集動作規定
ネットワークサービスシステム研究所 NTT秘(財産的情報)
SIPによるインスタントメッセージング
IM (Instant Messaging)の2つのモード(pagerモード、sessionモード)のうち、
Pagerモードについての検討が終了。sessionモードを今後検討。
IM (Instant Messaging)の2つのモード(pagerモード、sessionモード)のうち、
Pagerモードについての検討が終了。sessionモードを今後検討。
■sessionモード
SIPのINVITE,BYEを用いて、セッション開始・終了を
識別。その間、media streamとしてメッセージを送信。
一連のメッセージの関連付け可。
■pagerモード
SIPの拡張であるMESSAGEメソッドを用いて
メッセージを送信。一連のメッセージに関連なし。
通常のSIPメッセージと転送ルートを共有するため
輻輳制御等の注意が必要。
SIP Proxy
SIP Proxy
MESSAGE
body:
text or MSGFMT
INVITE
INVITE
message(ex. text)
MESSAGE
RFC3428にてMESSAGEメソッドを規定(pagerモードのみ)
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
17
XMPP
XMLの交換により、インスタントメッセージとプレゼンス機能を実現する。
TCP上のXMLストリームにより、XMLスタンザ(メッセージ)を交換する。
Gateway
XMPP
XMPP
XMPP server
XMPP server
SIP/
SIMPLE
XMPP
XMPP
XMLの交換により、インスタントメッセージとプレゼンス機能を実現する。
TCP上のXMLストリームにより、XMLスタンザ(メッセージ)を交換する。
AからBへのメッセージ例
BからAへのメッセージ例
<?xml version='1.0'?> <stream:stream to='example.com' xmlns='jabber:client' xmlns:stream='http://etherx.jabber.org/streams' version='1.0'> <?xml version='1.0'?> <stream:stream from='example.com' id='id_123456789' xmlns='jabber:client' xmlns:stream='http://etherx.jabber.org/streams' version='1.0'> ... authentication ... <message from='[email protected]' to='[email protected]' xml:lang='en'><body>Art thou not Romeo, and a Montague?</body> </message>
<message from='[email protected]' to='[email protected]' xml:lang='en'>
<body>Neither, fair saint, if either thee dislike.</body> </message>
</stream:stream>
ネットワークサービスシステム研究所
NTT秘(財産的情報)
XCON: Centralized Conferencing
•
2003年7月にBoFを開催。今後WG化の予定。
•
集中管理型の会議サービスに必要なプロトコルの検討。
•
SIPを例題とする汎用な規定を目指す。
– A mechanism for membership and authorization control
– A mechanism to manipulate and describe media "layout" or "topology" for
multiple media types (audio, video, text)
– A mechanism for notification of conference related events/changes (for example
a roster)
– A basic floor control protocol
– Peer-to-peer cascading of conferences (one conference is a participant in another
and vice versa)
•
Loosely Coupled Conference: A loosely coupled conference is a conference
without coordinated signaling relationships amongst participants. Loosely
coupled conferences frequently use multicast for distribution of conference
memberships.
•
Tightly Coupled Conference: A tightly coupled conference is a conference in
which a single user agent, referred to as a focus, maintains a dialog with each
participant. The focus plays the role of the centralized manager of the
ネットワークサービスシステム研究所
NTT秘(財産的情報)
NSLAB© NTT 2003
ネットワークサービスシステム研究所 NTT秘(財産的情報)
TCP/IPとUDP/IP
TCP/IPあるいはUDP/IPでは、5タプルでフローを識別する。
(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号)
TCP/IPあるいはUDP/IPでは、5タプルでフローを識別する。
(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号)
0 4 8 16 31(ビット) 0 16 31(ビット) パケット長 識別子 生存時間 送信元IPアドレス 宛先IPアドレス バージョン ヘッダ長 サービスタイプ フラグ フラグメントオフセット プロトコル番号 ヘッダチェックサム 送信元ポート番号 宛先ポート番号 シーケンス番号 確認応答番号 Data Offset 予約 コード ビット ウィンドウサイズ チェックサム 緊急ポインタ パケット長 識別子 生存時間 送信元IPアドレス 宛先IPアドレス バージョン ヘッダ長 サービスタイプ フラグ フラグメントオフセット プロトコル番号 ヘッダチェックサム TCPヘッダフォーマット データ チェックサム パケット長 宛先ポート 送信元ポート UDPヘッダフォーマット UDPヘッダ *ポート番号は16ビットなので0∼65539まで表現できる (8バイト) データ IPヘッダ IPヘッダ (20バイト) (20バイト) TCPヘッダ (20バイト) *IPアドレスは32ビットなので0∼約42億まで表現できるネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
21
IPアドレスとポート番号による通信の識別
クライアント httpd2 (80) IP TCP httpd3 (80) httpd1 (80) IP TCP Webブラウザ 画面1 画面2 (2001) (2002) IP TCP Webブラウザ 画面1 (2002) (1) クライアント 1 2 画面1 サーバー 同一クライアントの通信の識別 172.20.100.10 172.20.100.34 (1)と(2)の通信は、画面を2つ開いて、同じ サーバ上の別のページを同時に見ようとしている。 このとき、送信元/宛先IPアドレスと、宛先ポート 番号が一緒であるが、送信元ポート番号が異なる ので、それぞれが別の通信であることを識別する。 (2 ) 172.20.100.20 IPヘッダ TCPヘッダ (3) データ 宛先ポート番号 80 送信元ポート番号 2001 TCP 6 宛先IPアドレス 172.20.10.34 送信元IPアドレス 172.20.100.10 (1) データ 宛先ポート番号 80 送信元ポート番号 2002 TCP 6 宛先IPアドレス 172.20.10.34 送信元IPアドレス 172.20.100.10 (2) データ 宛先ポート番号 80 送信元ポート番号 2002 TCP 6 宛先IPアドレス 172.20.10.34 送信元IPアドレス 172.20.100.20 別クライアントの通信の識別 (2)と(3)の通信は、別々のコンヒュータから同じ 画面を見ようとしている。 このとき、宛先ポート 番号、宛先IPアドレスが一緒であるが、仮に 送信元ポート番号が同じであっても送信元IP アドレスが異なるので、それぞれが別の通信 であることを識別する。 (3)ネットワークサービスシステム研究所 NTT秘(財産的情報)
セキュリティポリシーと運用
現在の企業NWの構成とFWポリシー
FW/NAT 192.168.1.102 DMZ(非武装地帯) 企業NW インターネット 社内LANWebサーバ
← ポート80(HTTP)
メールサーバ ← ポート25(SMTP)
← ポート110(POP)内部からのみ
FTPサーバ
← ポート21(FTP)
DNSサーバ
← ポート53(DNS)
原則として、その他のポートはすべて閉鎖しておき、
余分なパケットは通過させない。
VoIPで利用されるポート
9シグナリングパケット
← 例)SIP ポート5060(TCP,UDP)
ただしこのポート番号はデフォルト値であり、変更可能
9音声パケット
←1024∼65535(UDP)
(RTP)
APLに依存。一般的に偶数が使われる
9音声制御パケット
←1024∼65535(UDP)
(RTCP)
APLに依存。一般的にRTPよりも1大きいポート番号を使う
少なくとも、これらのポートを通信時に許可する必要がある
少なくとも、これらのポートを通信時に許可する必要がある
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
23
セッション確立と連動したポート制御とセキュリティへの影響
プライベートIP網
プライベートIP網
パブリックIP網
パブリックIP網
User#1
FW
従来環境
従来環境
HTTP
必要最小限のポートのみ開放し、
余分な通信を防ぐ。
⇒トロイの木馬型ウィルスでの悪用やセ
キュリティホールへの攻撃を防ぐ。
FTP
Virus/
セキィリティホール
プライベートIP網
プライベートIP網
パブリックIP網
パブリックIP網
User#1
FW
SIP
Virus/
セキュリティホール
Voice
VoIP環境
VoIP環境
[1]認証や、端末間でのネゴシエーションがある
ことから、従来のデータ通信よりも相手を特
定しやすく信頼性が高い
HTTP
従来のHTTP等のためのポート開放と、セキュリティ面の差はない。
[2]動的にポートを開放することにより侵入を
困難にしているだけでなく、用途を音声に限
定することにより、悪意のあるパケットの侵入
を防ぎやすい
ネットワークサービスシステム研究所 NTT秘(財産的情報)
SIPのNAT不通過問題
■IPヘッダのアドレスは「NAT」が自動変換するが、SIPメッセージ内(SDP部等)に記載
のIPアドレスは変換されないため、SIPプロトコルレベルでの通信ができないという問題が
発生している。
⇔
方
向
G1
グローバル
アドレス
P1
プライベート
アドレス
NAT
G3
P1
プライベート端末
ホームネットワーク
SIPメッセージ
プライベートアドレス(P1)
SDP (音声受信ポート)
C=IN IP4
192.168.1.5(=P1)
SIPサーバ
グローバルアドレス(G3)
G2
G3
グローバル端末
グローバルアドレス(G2)
SDP (音声受信ポート)
C=IN IP4
192.168.1.5
G3
G1
G2
P1
音声
プライベートアドレスを宛
先としたパケットなので
ルーチングされない
SDPの内容に基づき、
返信パケットを生成
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
25
STUNの機能(RFC3489)
• 第1の目的は、グローバル側からプライベート側へのパケット通過を可能とするために、NATのグローバ
ル側アドレス/ポートを検出すること。
• その他、サーバの認証と、後続メッセージの完全性保証のために利用する暫定パスワード入手手順と、
NATの有無や種別を判定する手順、NATの有効時間を検出する手順を含む。
• SIP以外のAPLにも利用可能。ストリーム系配信で利用されるRTSPでの利用もIETFにて検討中。
①セキュリティ手順
(サーバ認証、暫定パスワード決定)
NAT
Private NW Global NWSTUN Server 認証 Server
STUN Client ①リクエスト ①レスポンス ②リクエスト ②レスポンス
①セキュリティ手順
(サーバ認証、暫定パスワード決定)
②アドレス検出手順
②アドレス検出手順
③NAT種別判定手順
(②の繰り返し)
③NAT種別判定手順
(②の繰り返し)
④NAT有効時間検出手順
(②の応用)
④NAT有効時間検出手順
(②の応用)
ネットワークサービスシステム研究所 NTT秘(財産的情報)
STUNにより通過可能なNATの種別(その1)
?
?
10.10.1.1 port=10 port=11 port=12 X Y Z プライベート網 192.168.1.1 port=10000 プライベート網 Y Z 10.10.1.1 port=10NAT
通信相手にかかわらず、同じIPアドレスとポート番号に変換するタイプのNAT(=下記の円錐型NAT)であれば、
STUNサーバへのアクセス結果で、NAT変換後のアドレスが推定でき、NATを通過したパケットの受信が可能。
X円錐型NAT(cone NAT)
相手端末にかかわらず、同じアドレスや ポート番号に変換するもの ⇒STUNサーバ(X)にアクセスすればク ライアントの変換後のアドレスは推定で きる (左記の例では、Xにアクセスするパケッ トのソースアドレスとポート番号を見れ ば、10.10.1.1のport=10を使うことがわか る) SIPで相手(YやZ)に 10.10.1.1 port=10を、 通知すれば 192.168.1.1 port=10000でパケットの受信が可能
対称型NAT(symmetric NAT)
相手端末に応じてアドレスやポート番号 が変わるもの ⇒STUNサーバ(X)にアクセスしても、ク ライアントの変換後のアドレスは特定で きない (左記の例では、Xにアクセスしたパケッ トのソースアドレスとポート番号を見ても、 YやZにアクセスするときのポート番号は わからない) 192.168.1.1 port=10000 通信相手に応じて 変換されるポート番号が 変わるので 相手に通信すべき ポート番号が不明⇒パケットの受信は不可能
NAPTの場合 注意 ○NATは、プライベート網側にある端末のアドレスやポート番号を変換するもので、パブリック網側にあるアドレスを変換するものではない。 ○インターネットプロトコルは、送受のIPアドレスとポート番号で通信を識別するので、片方が同じIPアドレスとポート番号を使っていても、通信の識別は可能。ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
27
STUNにより通過可能なNATの種別(その2)
プライベート網 X, port=p X, port=q Y, port=r 10.10.1.1 port=10NAT
Full cone NAT
一度プライベート網からパブリック網に パケットを送出すると、任意の端末から 通信可能。 ⇒ドアノブは一つ (左記の例では、X, port=pにパケットを 送出すると、Y, port=rからのパケットも 受信可能となる。) 192.168.1.1 port=10000
STUNでは、STUNサーバに
予備のポート/IPアドレスを
用意し、デフォルトのポートへ
のアクセスに対し、予備の
ポート/IPアドレスからメッ
セージを返信することにより、
左記のNATの種別を判定す
る。
(restricted cone NATは、予
備アドレスからの応答は通さ
ないが、予備ポートからの応
答は通す。
port restricted cone NATは、
予備ポートからの応答も通さ
ない。)
プライベート網 X, port=p X, port=q Y, port=r 10.10.1.1 port=10 X, port=p X, port=q Y, port=r 10.10.1.1 port=10NAT
Restricted cone NAT
一度プライベート網からパブリック網に パケットを送出すると、同一IPアドレスの 端末から通信可能。 ⇒ドアノブは相手IPアドレス毎 (左記の例では、X, port=pにパケットを 送出すると、X, port=qからのパケットも 受信可能となる。) 192.168.1.1 port=10000
NAT
Port restricted cone NAT
一度プライベート網からパブリック網に パケットを送出すると、同一ポートから は通信可能。 ⇒ドアノブはポート毎 (左記の例では、X, port=pにパケットを 送出しても、X, port=p以外からのパケッ トは受信不可能となる。) 192.168.1.1 port=10000 プライベート網
ネットワークサービスシステム研究所 NTT秘(財産的情報)
STUNの主な信号シーケンス
• STUNプロトコルは、STUNクライアント(=端末)からの要求メッセージに対し、STUNサーバ(=網内サーバ)
からの応答メッセージにより実行される、クライアント/サーバモデル。
NAT
Binding Response Request Binding Response ところに返信さ サーバの予備のアドレスやポー 信を要求する a -> S A <- S a -> S A <- S Binding Request A-> S Binding Response S MAPPED-ADDRESS: Requestのソースアドレスとポート(= NATの外側のアドレス) SOURCE-ADDRESS: Responseのソースアドレスとポート(=STUN サーバのアドレス) CHANGED-ADDRESS: STUNサーバの予備のソースアドレスと ポート(NAT種別判定用にあとでクライアント が利用) REFLECTED-FROM: Requestのソースアドレスとポート(Requestが 別のアドレスに返信を要求した場合の、オリジ ナルのアドレス)STUNクライアント
STUNサーバ
Shared Secret Request a -> S
サーバ認証 +
暫定パスワード取得 (TLS/TCP上)
Shared Secret Response A <- S USER NAME: 暫定ユーザ名 PASSWORD: 暫定ユーザ名に対する暫定パスワード Binding Request Binding N A T 種 別 判 定 ア ド レ ス 検 出 ア ド レ ス 検 出 RESPONSE-ADDRESS: 返信先アドレス(別の せたい場合) CHANGE-REQUEST: STUN トからの返 a <-NATで変換されたアドレスを クライアントに通知するのが STUNの基本機能
ネットワークサービスシステム研究所
NTT秘(財産的情報)
NSLAB© NTT 2003
5. 新しいQoS実現方式の提案
ネットワークサービスシステム研究所 NTT秘(財産的情報)
IMM(P2P型)通信におけるQoS制御の課題
• IMM通信では、中高速、任意の対地間で、オンデマンドの帯域保証が必要となり、従来の余剰帯
域によるベストエフォート型ではサービス上、許容されない危険性がある。
• 実効帯域に応じた、端末での送信帯域の変更では、サービス品質が維持できず、従量制課金へ
の発展性がない。
⇒ 中高速通信、任意対地、オンデマンドなどの特徴に適した、QoS制御が必要。
• IMM通信では、中高速、任意の対地間で、オンデマンドの帯域保証が必要となり、従来の余剰帯
域によるベストエフォート型ではサービス上、許容されない危険性がある。
• 実効帯域に応じた、端末での送信帯域の変更では、サービス品質が維持できず、従量制課金へ
の発展性がない。
⇒ 中高速通信、任意対地、オンデマンドなどの特徴に適した、QoS制御が必要。
スループットに加えて、
遅延時間やジッタの低減が重要
サービスの基準はスループット
会話の要求に応じて、しかもセッション
が終了するまでの安定したQoS制御が
必要
⇒ オンデマンドの帯域割当型
スループットの一時的な低下や、
再送は許容される。
⇒ ベストエフォート型
数100kbps∼数Mbps
⇒ 中高速
(ユーザ主導のP2P型通信であるため、①ア
プリケーションによっては、より大きな帯域が
期待され、また②任意の対地間に通信が発
生する可能性がある。)
∼64kbp以下
⇒ 低速
インタラクティブマルチメディア通信
(P2P型通信)の特徴
従来型通信
(webや電子メール)の特徴
ネットワーク全体の課題
⇒ 受付制御方式
ルータ単体の課題
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
31
フロー制御/トラヒック制御の実現方式の比較 ∼提案方式のポイント∼
リアルタイム系通信
(提案型)
TCP
TCP
データ系通信
リアルタイム系通信
(従来型)
目標:通信したいユーザ間で、NWリソースを公平に分割 (例 10人なら1/10、100人なら1/100) 実現方法: 端末側のTCPによるフロー制御にて自律分散的に実現 NWは土管のみ提供 目標:通信したいユーザ数にかかわらず、一定数のセッションの品質を確保 (例 10人でも5人、100人でも5人の通信品質は確保) 実現方法: 端末側のフロー制御なし。NWのリソース管理にて実現データ系では、端末の機能に依存しているため、網の
機能が単純化でき、エンド・エンドのグローバルな制御
が実現可能(↑)。
一方、従来のリアルタイム系通信は、網機能への依存
度が高すぎるため、汎用性にかける(♂)。
端末とNWの機能分担を見直すことにより、汎用のQo
S保証方式をねらう(→)。
データ系では、端末の機能に依存しているため、網の
機能が単純化でき、エンド・エンドのグローバルな制御
が実現可能(↑)。
一方、従来のリアルタイム系通信は、網機能への依存
度が高すぎるため、汎用性にかける(♂)。
端末とNWの機能分担を見直すことにより、汎用のQo
S保証方式をねらう(→)。
実現方法:
端末側で、受信品質に応じたToS値の設定
NW側は、優先制御のみでリソース管理なし
ネットワークサービスシステム研究所 NTT秘(財産的情報)
プライオリティプロモーション方式とは
■ねらい
インタラクティブな音声・画像通信を対象に、ネットワークの混雑時でも、少なくとも接続中の通信
については、通信が完了するまで、所定の品質を維持することを狙いとしたQoS制御方式。
パケット単位に帯域を公平に分け合うのではなく、セッション単位に帯域を譲り合うサービス。
■ねらい
インタラクティブな音声・画像通信を対象に、ネットワークの混雑時でも、少なくとも接続中の通信
については、通信が完了するまで、所定の品質を維持することを狙いとしたQoS制御方式。
パケット単位に帯域を公平に分け合うのではなく、セッション単位に帯域を譲り合うサービス。
■アプローチ
多様化する通信網を考慮すると、エンドエンドの通信品質維持のためには、端末の協力(最終判
断)が不可欠であることに着目。
■アプローチ
多様化する通信網を考慮すると、エンドエンドの通信品質維持のためには、端末の協力(最終判
断)が不可欠であることに着目。
ネットワーク側は、
一度確立した通信は必ず最後まで保証します。
ただし、余裕のあるときだけです。
余裕があるかどうかは、最初に調べてください。
セッション単位ではなく、クラス単位の優先制御により、 確立墨の優先クラスの通信品質は保証するとともに、 非優先クラスを利用した残帯域の推定が可能。■メリット/ポテンシャル
ユーザ網や複数網を横断したエンドエンドでの品質保証
■メリット/ポテンシャル
ユーザ網や複数網を横断したエンドエンドでの品質保証
さらにネットワーク側は、
ときどきチェックしますよ。
端末側は、
本当に通信できるかどうか、
自分で試して、判断してください。
ただし、他人に迷惑をかけないように。
送信側は非優先クラスで試験パケットを送出し、 受信側からの受信結果で品質良好な場合のみ、 優先クラスで通信を確立。ネットワークサービスシステム研究所
NTT秘(財産的情報)
NSLAB© NTT 2003
33
Priority Promotion Schemeが前提とするキュー方式
• 下記のようなキュー方式を、MFクラス(Measurable Forwarding; 観測可能な転送クラス)と定義。
• MFクラスでは、試験パケットにより、リンクの残帯域が推定可能。
• 基本動作は、既存の優先制御(=Diffserv)で容易に実現可能
• 下記のようなキュー方式を、MFクラス(Measurable Forwarding; 観測可能な転送クラス)と定義。
• MFクラスでは、試験パケットにより、リンクの残帯域が推定可能。
• 基本動作は、既存の優先制御(=Diffserv)で容易に実現可能
残帯域が測定可能なキュー方式
flow #1
flow #2
リンク容量を上回るパケットを流入しても
フロー#1のパケット(優先クラス)は必ず転送される。
⇒非優先クラスで試して、通過すれば優先クラスでも転送されるはず。
⇒試験パケットにより、残帯域が測定可能
flow #2
通常のキュー方式
flow #1
flow #2
flow #1
flow #2
品質劣化の
原因
リンク容量を上回るパケットが流入すると
区別なく廃棄が発生する。
⇒フロー#1のパケットの品質は保証されない。
ネットワークサービスシステム研究所 NTT秘(財産的情報)
プライオリティプロモーション方式の帯域空き判定 ∼動作概要∼
• ルータでは、帯域しきい値BWmf以下ではH+Mの転送を保証し、しきい値を越えた場合は、Mを優先的に廃
棄する。
• 端末は、通信の前に試験パケットを非優先クラスMで送出し、通信可否判定をする。
廃棄がなければ、通信可能と判断し、優先クラスHで通信を確立する。
廃棄があれば、通信不可と判断し、通信を確立しない。
• 上記動作の組み合わせにより、結果的に、品質が確保できる範囲で通信が確立されることになる。
• ルータでは、帯域しきい値BWmf以下ではH+Mの転送を保証し、しきい値を越えた場合は、Mを優先的に廃
棄する。
• 端末は、通信の前に試験パケットを非優先クラスMで送出し、通信可否判定をする。
廃棄がなければ、通信可能と判断し、優先クラスHで通信を確立する。
廃棄があれば、通信不可と判断し、通信を確立しない。
• 上記動作の組み合わせにより、
結果的に、品質が確保できる範囲で通信が確立
されることになる。
回線が混んでいる時は、Mが廃棄されるため、端末は通信を確立しない。
試験パケットは、非優先なので、すでに確立されているHの通信は邪魔されない。
回線が混んでいる時は、Mが廃棄されるため、端末は通信を確立しない。
試験パケットは、非優先なので、すでに確立されているHの通信は邪魔されない。
時間 M M H M H M H M H M H M H M H M H M H回線が空いている時は
回線が空いている時は
loss再び回線が空いてきたら
端末は、Hで通信を確立
再び回線が空いてきたら
端末は、Hで通信を確立
M lossBWmf
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
35
キュー方式への要求条件
ネットワーク内の装置において、下記のMFクラスの実装が最低限の要求条件であり、これさえ実装されていれば、
プライオリティプロモーション方式(=自律分散制御)によるエンド−エンドの品質保証が提供できる。
ネットワーク内の装置において、下記のMFクラスの実装が最低限の要求条件であり、これさえ実装されていれば、
プライオリティプロモーション方式(=自律分散制御)によるエンド−エンドの品質保証が提供できる。
MF class(Measurable forwarding class)とは
MF-HとMF-Mの二つのクラス(HとM)が存在する。
HとMの合計の利用可能帯域には上限があり
その上限以下であれば転送は保証される。
また、Hが上記の上限以下であれば
Mの有無にかかわらず転送が保証される。
言い換えれば、Mで試すことにより、
Hに被害を与えることなく、Mの追加可否の判断ができる。
追加可の場合、Hに格上げすることで安定品質を確保する。
MF
MF-H
MF-M
M
H
Mで試して、OKなら
Hに格上げする。
?
?
?
?
ネットワークサービスシステム研究所
NTT秘(財産的情報)
自律分散型QoS制御(Priority Promotion Scheme: PPS)
安定的な品質を実現するために、端末とNWの機能分担を見直し、受信端末での品質の観測結果をもとに、
送信端末がパケットの優先度を付与する、汎用的なセッションレベル(SIPと連携した)での品質制御方式。
安定的な品質を実現するために、端末とNWの機能分担を見直し、受信端末での品質の観測結果をもとに、
送信端末がパケットの優先度を付与する、汎用的なセッションレベル(SIPと連携した)での品質制御方式。
SIP サーバ エッジ装置 モニタ サーバ エッジ装置 RTP(非優先クラスの試験パケット) RTP(優先クラスの音声・画像パケット) RTCP(受信状況報告) 受信状況 報告 優先制御 利用可能帯域の測定と 通信可否判断 帯域 上限 M M M H H M M H H M H M H HとMのセットで帯域を保証し、Mを優先的に廃棄するキュー方式により、 Hの品質を保証しつつ、Mで通信可否が判定できる。基本はDiffServ loss M loss←通信は確立されない 契約ユーザ管理、 端末監視指示、 課金情報収集 選択的な詳細監視 (二次監視) 通信可否、流量監視 (一次監視) ■パケット優先度の遷移例 Middleレベル Highレベル Lowレベル 通信経過時間 ToS値 成功 (優先権獲得) 失敗 失敗 トライ トライ トライ ①通信の前段で、非優先クラスの試験パケッ トを送出 ②受信端末で、受信パケットから通信品質を測 定し、RTCPパケットとして返送 ③送信端末は、一定時間NW品質を観測し、 ・品質がよかった場合: 優先度を上げてRTPを送出 ⇒安定状態(優先権確保) ・品質が悪かった場合: 優先度を下げてRTPを送出 ⇒一般レベルに逆戻り ⇒一定時間後再挑戦品質制御メカニズム
IP端末 IP端末ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
37
プライオリティプロモーション方式の位置づけ
スケーラブル化へのアプローチ スケーラブル化へのアプローチアドミッションコントロールのスケーラブル化へのアプローチとしては、従来、IntServの適用をアクセスネットワ
ークに限定したり、リソース予約のためのアクセスネットワークを軽量化するアプローチが検討されている。
様々なアプローチの中でプライオリティプロモーション方式は
アクティブ方式
として分類される
アドミッションコントロールのスケーラブル化へのアプローチとしては、従来、IntServの適用をアクセスネットワ
ークに限定したり、リソース予約のためのアクセスネットワークを軽量化するアプローチが検討されている。
様々なアプローチの中でプライオリティプロモーション方式は
アクティブ方式
として分類される
サブネット間のリソース予約を集約したり、ルータが 管理する状態を集約することでスケーラビリティを 向上させることが考えられる アクセスネットワークは「IntServ」、 バックボーンネットワークは「DiffServ」をサポートする。 IntServからはDiffServクラウドはIntServアクセス ネットワークを繋ぐ仮想リンクに見える。 IntServ / RSVP の軽量化 IntServ / RSVP の軽量化IntServ over DiffServ
IntServ over DiffServ
エンドポイント間に、アドミッションを要求するフローと同等のレートで
エンドポイント間に、アドミッションを要求するフローと同等のレートで
プローブフローを新たに加え、その
プローブフローを新たに加え、その
QoS
QoS
の観測から内部状態を推定し、
の観測から内部状態を推定し、
アドミッションコントロールを行う
アドミッションコントロールを行う
エンドポイント方式 エンドポイント方式 ネットワークの内部状態を推定する ための機能をエンドポイントに持たせ アドミッションコントロールを行う方式アクティブ方式
アクティブ方式
パッシブ方式パッシブ方式 新たにプローブフローを加えること なくパケットを観測することにより、 網の内部状態を推定し、アドミッション コントロールを行う形式 *間瀬 憲一 「インターネットにおけるスケーラブルなアドミッションコントロール方式」 電子情報通信学会 vol.85 No.9 pp.655-661 2002.9ネットワークサービスシステム研究所 NTT秘(財産的情報)
セッション単位のQoS保証技術の比較
• 現状は、ルータでの優先制御と余裕を持った設備設計により、間接的にQOSを保証している。
• 将来的には、リアルタイム系通信により数Mbps以上の継続的なトラヒックが、任意の対地間で発生するため、セッション単位
の受付判定による直接的なQOS保証が必要となる。
SIP proxy
余裕をもった設備設計(現状)
SIP proxy
3.ルータでフロー毎の受付判定(例 RSVP)
SIP proxy
1.NWのリソースを把握しているサーバで受付判定
SIP proxy
2.端末主導で受付判定
!
!
!
!
!
!
リソース管理サーバ ルーチング情報を元に トポロジーと利用可能帯域を 完全把握し、受付判断する。!:受付判断機能
残余帯域の判定可能なQに対し 端末から試験パケットを送出し 受信状態に応じて受付判定を行う。 各ルータが フロー単位の通信状況を管理し 受付判定を行う。 それまでの交流トラヒックをもとに 余裕をもった設備設計をし 明示的な受付制御なく 品質を維持する。• 現状は、ルータでの優先制御と余裕を持った設備設計により、間接的にQOSを保証している。
• 将来的には、リアルタイム系通信により数Mbps以上の継続的なトラヒックが、任意の対地間で発生するため、セッション単位
の受付判定による直接的なQOS保証が必要となる。
ネットワークサービスシステム研究所 NTT秘(財産的情報) NSLAB© NTT 2003
39
QoS制御/エッジルータ制御技術動向
∼2002年
2003年
2004年
▲2004/11 ▲2004/8 ▲2004/2 ▲2003/11 ▲2003/3 ▲2003/7 ■Diffserv WGEF, AF, BEの規定をもって完了
■MIDCOM WG (Middlebox communications) => SNMPv3
NATのような網内装置をミドルボックスと位置づけ、APL対応サーバから制御する方式を検討 2003年7月時点では、NAT制御に限定し、SNMPv3の適用を検討中
■NSIS WG (Next Steps in Signaling)
メディアの転送ルートを意識した新たな信号制御(RSVPの改良)を検討中 QoS制御とNAT/FW制御を想定 共通部(NTLP)と個別制御部(NSLP)から構成される。
プロトコル議論中心
IETF
■SG13(アーキテクチャ) Q.16のY.qosarにてアーキテクチャを検討(集中管理型) Q.4にてルータ動作を検討 ▲2003/7 全体会合 ▲2003/11 ラポータ会合 ▲2004/2 全体会合アーキテクチャから検討
▲2003/9 JRG ▲2004/1 JRGITU-T
■SG11(信号方式) Q.1,6のQ.ncap1, 2にてゲート制御プロトコル(GCP)の要求条件を検討 Q.11のQ.ncap3にてGCP用にmegaco profileを検討Q.7,8,9のTRQ.IPQoS.Sig.CS1にてIP-QoSの要求条件を検討 ▲2003/9 全体会合 ▲2003? ラポータ会合 ▲2004? 全体会合 ▲2002/11 全体会合 ▲2003/4 ラポータ会合
