仮想ネットワーク構築ライブラリ VITOCHA と
ネットワーク技術者教育

Jun 9, 2018 IPSJ CE145

http://sim.internot.jp/vitocha/ce145/
中京大学工学部情報工学科鈴木常彦

インターネットシミュレータ I

昔、VMWare でこんなものを作りました。

でも、、、

でかいし、ファンがうるさいし
時代とともに性能が陳腐化してきたし
なにより配線変更、管理がめんどくさい!

バーチャルマシンからパーティショニングへ

VM による仮想化では大規模仮想ネットワーク構築は困難
パーティショニングが有望
Virtuozzo (OpenVZ), Solaris Container (Zone/Crossbow), Jail, etc

FreeBSD の VIMAGE jail

jail : ファイルシステム, プロセスの隔離
VIMAGE : ネットワークスタック, ルーティングテーブルの隔離
DUMMYNET: 帯域制御, 遅延, パケットロスなどの模擬
デモ: jaildemo.log (* ttyplay で再生できます)

VIMAGE jail で華麗に仮想ネットワーキングしたい

最初はシェルスクリプトでした...

for group in `seq 0 2`
  do
    epairnum=`expr $epairnum + 1`
    t1=`expr $group "*" 3 + 1`
    ifconfig epair${epairnum}a vnet router0 
    ifconfig epair${epairnum}b vnet router${t1}
    jexec router0 ifconfig bridge1 addm epair${epairnum}a 
    jexec router0 ifconfig epair${epairnum}a up
    jexec router${t1} ifconfig epair${epairnum}b up
    epairnum=`expr $epairnum + 1`
    t2=`expr $group "*" 3 + 2`
    ifconfig epair${epairnum}a vnet router${t1}
    (snip)
  done

華麗じゃない!
複雑なネットワーク(スクリプト)を組むのが面倒くさい!

そうだ Ruby の Shell クラス使おう

こんな風にしておいて

Shell.def_system_command("ifconfig_org", path = "/sbin/ifconfig")
def ifconfig(param)
  sh=Shell.new
  sh.transact{
    ifconfig_org(*param.split)
  }
end

こんな風にすればいいんじゃない?

ifconfig("epair0a inet 192.168.1.1 netmask 255.255.255.0")
ifconfig("epair0a up")

機器はオブジェクトにしてしまえ

こうしておくと、

class Router
  def initialize(jailname)
    ...
        jail(jailname)
        jexec(jailname,'ifconfig lo0 127.0.0.1/24 up')
  end

  def assignip(epair,ip,mask)
   ...
　end
end

こうするだけになる

router0=Router.new('router0')
router0.assignip('epair0b','192.168.1.254','255.255.255.0')

でもルータをたくさん作りたいときどうする

こんなことできない...

0.upto(10) do |num|
  "router#{num}"=Router.new()
done

よし、リフレクションだ!

0.upto(10) do |num|
　eval("router#{num}=Router.new('router#{num}')")
done

なんか嫌、、、

evalな操作を隠蔽してしまいたい

そうだ仮想オペレータにやってもらおう
機器の設定をやってもらおう (eval操作の隠蔽化)

配線管理もまかせちゃおう

class Operator

  def setupserver(jailname)
    eval("$#{jailname}=Server.new('#{jailname}')")
  end

  def createpair
   ...
  end

バーチャルオペレーターともちゃの誕生!

tomocha=Operator.new

tomochaさんにルータをセットアップして頂く

tomocha.setuprouter(router1)
tomocha.setuprouter(router2)

tomochaさんにルータとルータをつないで頂く

a,b=tomocha.createpair
tomocha.connect(router1,a)
tomocha.connect(router2,b)

バーチャルともちゃによる華麗なるデモ

仮想インターネットの構築
DNS ルートサーバをつくる
IX をつくる
3 つの Tier1 BGP4 ネットワークをつくる
各Tier1 の中に Tier2 BGP4 ネットワークをつくる
その中に OSPF ネットワークをつくる
その中にサーバセグメントをつくり
WWW.WINE.NOM を立ち上げる
ネットワーク図を nwdiag で作成する
華麗なるデモ! : tomochademo.log (* ttyplay で再生できます)

デモサイト

できあがったネットワークはhttp://sim.internot.jp/でご覧頂けます。

ソースコードはもうちょっとましなものになったら公開します。

研究への適用
- DNS キャッシュポイズニング実験 -

2011 (プロトタイプ): BIND各バージョンへの毒入れ実験 (Kaminsky Bug の検証)
2014.3 : JP ゾーンキャッシュへの毒入れ実験成功
(元東工大前野年紀元氏のアイデア / metasploit のモジュールを作成)
2014.4 : root ゾーンキャッシュへの毒入れ実験成功
(移転インジェクションを解明)
2018 : DNSSEC (RFC 5155 の欠陥) への毒入れ実験成功

DNS キャッシュポイズニング実験環境

攻撃サーバ、rootサーバ、jpサーバ、キャッシュサーバをブリッジ接続し遅延を入れ実環境を模擬

教育への適用

DNS 温泉 (過去4回 + 補講等 3回)
v6tokai
中京大学工学部情報工学実験I
中京大学鈴木常彦ゼミ
中京大学大学院情報ネットワーク設計運用論セミナー

DNS 温泉

第1回 2014年猿投温泉 18 人
第2回 2015年熱海温泉 32 人
第3回 2016年玉名温泉 14 人
番外編 2016年東京(IIJ)58 人
第4回 2017年山城温泉 30 人

テキスト例 http://www.e-ontap.com/dns/

産学連携IPv6実験地域ネットワーク研究会(v6tokai)

2010年から学生の自律ネットワーク ConvivialNet の応援団として研究会を発足

数回のハンズオンを開催
(テキストは http://www.e-ontap.com/misc/v6tokaihandson.txt) 　

仮想 IPv6 ルータを作成し、こういうパケット (RA)を眺めるなど

 root@v6server1:/ # tcpdump -n
 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
 listening on epair0b, link-type EN10MB (Ethernet), capture size 262144 bytes

 03:29:14.159076 IP6 fe80::c0:e4ff:fe00:b > ff02::2: ICMP6, router solicitation, length 16
 03:29:14.223744 IP6 fe80::c0:e4ff:fe00:a > ff02::1: ICMP6, router advertisement, length 56

中京大学工学部情報工学実験I

2014年から開講
5人の教員による5テーマのオムニバス形式の授業
鈴木はネットワーク実験を担当
FTP サーバと FTP クライアントを仮想回線(ブリッジ)で接続し、帯域、遅延、パケットロスを計測
FreeBSD, Ruby, VITOCHA, エディタ, FTPサーバ, Gnuplot, LaTeX を使用
TCP の帯域遅延積を学びレポートにまとめる

仮想ネットワーク構築ライブラリ VITOCHA とネットワーク技術者教育