Towards 5G network slice isolation with WireGuard and Open Source MANO

Abstract

Å støtte vertikale industri segmenter og tjeneste-utvikling har vært en prioritet under utviklingen av 5G mobilnettet. Ved hjelp av nye business modeller og teknologier som Virtuelle Nettverksfunksjoner og Programvaredefinerte Nettverk vil hver komponent i det mobile nettet ansees som en tjeneste. Logisk separerte nettverkssegmenter vil sameksistere på den fysiske nettverksunfrastrukturen for å støtte spesifike tjenester. Selv om trenden av å dele en underliggende fysisk infrastruktur bidrar til innovasjon og mobilitet, introduserer den nye trussel vektorer. Derfor er isolasjon mellom logisk separerte nettverk essensielt for å forsikre seg om korrekt tjenestelevering og beskyttelse av sensitiv data. Over-Toppen isolasjonsteknikker som Virtuelle Private Nettverk forventes å bli brukt til å tilby isolasjon av trafikk og mitigere noen av disse trussel vektorene.

Denne oppgaven bidrar til det voksende ledelse og orkestrerings samfunnet innen 5G forskning. Ved å undersøke måter å bygge en nettverkstjeneste som tilbyr VPN-som-en-Tjeneste med WireGuard og Open Source MANO. Sikter vi på å gi leverandører av nettverkstjenester verktøy til å integrere ytterligere isolasjon av nettverkssegmenter i deres infrastruktur. Som del av et større prosjekt for å benytte seg av Open Source MANO til å bygge nettverskstykker mellom NTNU Trondheim og Gjørivk, resulterte arbeidet våres i et enkelt konseptbevis, som fungerer som et startpunkt for fremtidig arbeid en funksjonell og automatisert ende-til-ende VPN nettverkstjeneste med WireGuard. For å validere nettverkstjenesten vår testet vi dens nøkkeltallsindikatorer som inkluderer opprettingstid for tjeneste, gjennomstrøming, og forsinkelse.

Med våres arbeid har vi vist at ved å kombinere Open Source MANO og WireGuard kan en skape en nettverkstjenese som tilbyr VPN-som-en-Tjeneste. Ved å teste WireGuards ytelse opp mot OpenVPN fastslo vi også at WireGuard utkonkurrerer OpenVPN når det kommer til gjennomstrømming og forsinkelse samtidig som den er enklere å implementere og vedlikeholde.

Supporting vertical industry segments and service creation has been a priority during the development of the 5G mobile network. Through new business models and enabling technologies such as Network Function Virtualization and Software-Defined Networking, every component of the mobile network will be regarded as a service. Logically separated network segments will co-exist on the physical network infrastructure to support specific use cases. While the trend of sharing an underlying physical infrastructure promises innovation and agility, it introduces new threat vectors. Therefore, proper isolation between logically separated networks is essential to ensure correct service delivery and protection of sensitive data. Over-The-Top isolation techniques, such as Virtual Private Network solutions, are expected to be utilized to provide traffic-isolation and mitigate some of these threat vectors.

This thesis contributes to the growing management and orchestration community in the 5G research field. Through building our network service that provides a VPN-as-a-Service with WireGuard and Open Source MANO, we aim to give the Network Service Providers the means to integrate additional network slice isolation in their infrastructure. As part of a larger project to adopt Open Source MANO and build end-to-end network slices between NTNU Trondheim and Gjøvik, the resulting Proof of Concept is a starting point for future work to design a fully functional and automated end-to-end VPN network service with WireGuard. To validate the network service we tested its Key Performance Indicators, including service creation time, throughput, and latency.

With our work we prove that by combining Open Source MANO and WireGuard, it is possible to create a network service that can provide VPN-as-a-Service. Furthermore, our results show that WireGuard outperforms OpenVPN in terms of latency and throughput while remaining simple to implement and maintain.