陸　璇　龔向陽　程時(shí)端

[編者按] 互聯(lián)網(wǎng)目前面臨著各種問題和挑戰(zhàn),其體系結(jié)構(gòu)再次成為了網(wǎng)絡(luò)領(lǐng)域研究的熱點(diǎn)之一。本講座將分為3期介紹互聯(lián)網(wǎng)體系結(jié)構(gòu)的研究現(xiàn)狀及未來的展望。第1期介紹了目前互聯(lián)網(wǎng)體系結(jié)構(gòu)面臨的挑戰(zhàn)以及國內(nèi)外的研究現(xiàn)狀。第2期介紹現(xiàn)有互聯(lián)網(wǎng)體系結(jié)構(gòu)向新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)演進(jìn)中的關(guān)鍵技術(shù)與解決方案,內(nèi)容涉及新型路由尋址體系結(jié)構(gòu)、端到端原則、網(wǎng)絡(luò)安全性與可信性等方面的研究。第3期將介紹以全新的革命性方式來解決當(dāng)前互聯(lián)網(wǎng)體系結(jié)構(gòu)缺陷的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu),包括國內(nèi)外的研究現(xiàn)狀和主要的解決方案,并對新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的研究進(jìn)行展望和總結(jié)。

3 新型路由尋址體系結(jié)構(gòu)

近年來,互聯(lián)網(wǎng)的路由可擴(kuò)展性問題引起了越來越多的關(guān)注。在互聯(lián)網(wǎng)的無缺省路由域(DFZ)中,路由表的規(guī)模正以“超線性”的速度增長,如圖3所示。由于IPv6擁有比IPv4大得多的IP地址空間,隨著IPv6的逐步部署,這種增長速度將會持續(xù)下去甚至發(fā)生爆炸式的增長。這無疑嚴(yán)重影響了互聯(lián)網(wǎng)路由系統(tǒng)的可擴(kuò)展性。

2006年10月,互聯(lián)網(wǎng)架構(gòu)委員會(IAB)在荷蘭的阿姆斯特丹舉行了路由和尋址專題會議。與會專家對目前互聯(lián)網(wǎng)路由系統(tǒng)的可擴(kuò)展性問題達(dá)成一致共識,即運(yùn)營商獨(dú)立地址、網(wǎng)絡(luò)多歸屬、流量工程以及為應(yīng)對前綴劫持而采取的策略是導(dǎo)致當(dāng)前DFZ中路由表規(guī)模高速增長的主要原因,其技術(shù)上的根本原因是由于IP地址同時(shí)承擔(dān)標(biāo)識主機(jī)身份和尋址雙重功能而導(dǎo)致的IP地址語義過載。為解決這個(gè)問題,多數(shù)專家認(rèn)為需要從根本上對現(xiàn)有路由體系結(jié)構(gòu)進(jìn)行重新設(shè)計(jì)規(guī)劃。

為解決路由系統(tǒng)的可擴(kuò)展性問題,目前已經(jīng)提出了多種方案。這些方案大致可以被歸納為兩類:一類方案是通過減少邊界網(wǎng)關(guān)協(xié)議(BGP)消息更新的頻率、壓縮路由表或轉(zhuǎn)發(fā)表來解決擴(kuò)展性問題,如虛擬聚合方案(VA);另一類方案是基于身份標(biāo)識和位置標(biāo)識(ID/Locator)分離的思想,將IP地址的主機(jī)身份標(biāo)識與路由標(biāo)識功能分開,如主機(jī)標(biāo)識協(xié)議(HIP)、位置/身份分離協(xié)議(LISP)等。第一類方案只解決了路由表、轉(zhuǎn)發(fā)表快速增長的問題。第二類方案不僅能夠減小DFZ中路由表的規(guī)模,還支持站點(diǎn)的網(wǎng)絡(luò)多歸屬和流量工程,實(shí)現(xiàn)路由系統(tǒng)的可擴(kuò)展。

目前學(xué)術(shù)界和工業(yè)界的很多研究團(tuán)體已經(jīng)提出了眾多基于位置和身份分離的方案。大多數(shù)方案的設(shè)計(jì)都遵循兩層命名空間模型,即位置標(biāo)識命名空間和主機(jī)標(biāo)識命名空間,也有部分方案設(shè)計(jì)了多層命名空間模型,如分層的因特網(wǎng)命名體系結(jié)構(gòu)(LNAI)。兩層命名空間方案又可以按照位置標(biāo)識和身份標(biāo)識分離點(diǎn)的位置不同分為兩類:第一類方案在主機(jī)處將ID/Locator徹底分離,這需要對主機(jī)作一定的修改;第二類方案在邊界路由器處進(jìn)行ID/Locator的分離,通過在網(wǎng)關(guān)處進(jìn)行封裝映射來實(shí)現(xiàn),主機(jī)無需作任何改變。

3.1 基于虛擬聚合技術(shù)的路由體系結(jié)構(gòu)

VA是互聯(lián)網(wǎng)工程任務(wù)組(IETF)全局路由運(yùn)作工作組(GROW)提出的一種解決當(dāng)前路由系統(tǒng)可擴(kuò)展性的方案。VA的核心思想是阻止路由信息庫(RIB)中非必要表項(xiàng)加載到轉(zhuǎn)發(fā)信息庫(FIB)中,以壓縮FIB的規(guī)模。實(shí)際上,核心路由器完整覆蓋(CRIO)是最早提出通過壓縮FIB來解決路由可擴(kuò)展性的方案,VA對其進(jìn)行了擴(kuò)展和完善。VA把IP地址空間分成多個(gè)虛擬前綴(VP),每個(gè)VP是對多個(gè)子前綴(目前傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)前綴)的虛擬聚合。這種虛擬聚合是指用隧道實(shí)現(xiàn)對每個(gè)虛擬前綴內(nèi)的所有子前綴的匯聚,需要指出的是這些子前綴在拓?fù)渖鲜遣豢删酆系?。VA提出了匯聚點(diǎn)路由器(APR)的概念,將同一個(gè)自治系統(tǒng)(AS)中的路由器分為APR、非匯聚點(diǎn)路由器(Non-APR)和傳統(tǒng)路由器,其中APR與Non-APR都是安裝了VA的路由器。

圖4說明了VA中轉(zhuǎn)發(fā)數(shù)據(jù)包的基本流程。首先,路由器D被配置為VP(1.0.0.0/8)的APR,建立了到路由器B的一條隧道。路由器C作為入口路由器,收到由路由器A發(fā)送的數(shù)據(jù)包(目的地是與路由器B相連的網(wǎng)絡(luò)中的某臺主機(jī))。路由器C先將數(shù)據(jù)包轉(zhuǎn)發(fā)給路由器D,D通過隧道將數(shù)據(jù)包發(fā)送給隧道終點(diǎn)B,最后由B將數(shù)據(jù)包發(fā)送給目的主機(jī)。

VP并不是按拓?fù)溥M(jìn)行匯聚的,而是通過虛擬聚合技術(shù)對多個(gè)不連續(xù)的運(yùn)營商獨(dú)立地址的聚合。VA在減小路由器中FIB規(guī)模的同時(shí)卻可能導(dǎo)致路徑長度的增加,如圖4。這個(gè)問題可以通過將APR部署在最短路徑上來解決。

3.2 基于ID/Locator徹底分離的路由體系結(jié)構(gòu)

這類方案的基本思想是在主機(jī)處實(shí)現(xiàn)位置標(biāo)識符和身份標(biāo)識符的徹底分離。早期M.ODell提出的GSE就屬于此類方案,它將主機(jī)的IPv6地址分為Locator和ID兩部分,實(shí)現(xiàn)了位置與身份的分離,但并不保證ID的全球唯一性和安全性。此后提出的LNAI以及HIP也屬于此類方案。

LNAI設(shè)計(jì)了一個(gè)扁平的4層名字空間結(jié)構(gòu),包括用戶級描述符(ULD)、服務(wù)描述符(SID)、主機(jī)描述符(EID)和IP地址。同時(shí)LNAI還提出了一個(gè)三級地址解析方案,包括將ULD解析為SID、將SID解析為EID、將EID解析為IP地址。通過增加SID和EID這兩個(gè)額外的名字空間和解析層次,LNAI不僅能夠允許服務(wù)和數(shù)據(jù)成為一級因特網(wǎng)對象(能夠直接和持久地命名),還支持主機(jī)的無縫移動和網(wǎng)絡(luò)多歸屬,并可以將中間盒如網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和防火墻等整合到互聯(lián)網(wǎng)體系架構(gòu)中。

HIP提出在網(wǎng)絡(luò)層和傳輸層中間插入一個(gè)新的協(xié)議層——主機(jī)標(biāo)識層。主機(jī)標(biāo)識層將原來緊密耦合的傳輸層和網(wǎng)絡(luò)層分開,徹底分離IP地址的雙重功能,使IP地址只作為網(wǎng)絡(luò)層使用的位置標(biāo)識符,專用于數(shù)據(jù)包的路由轉(zhuǎn)發(fā),而把主機(jī)標(biāo)識的功能交給主機(jī)標(biāo)識符(Host ID),傳輸層使用主機(jī)標(biāo)識符而不是IP地址作為主機(jī)的標(biāo)識。在雙方進(jìn)行通信時(shí),IP地址的變化對傳輸層透明,從而保證在發(fā)生移動或者地址變化時(shí),通信可以持續(xù)進(jìn)行,而不會被中斷。

圖5簡要顯示了HIP協(xié)議進(jìn)行一次完整對話的基本流程。通信發(fā)起者在初始化連接時(shí),首先發(fā)送域名系統(tǒng)(DNS)查詢請求,DNS服務(wù)器返回目的地對應(yīng)的主機(jī)標(biāo)識符;接著由主機(jī)標(biāo)識層查詢映射服務(wù)器得到對應(yīng)的IP地址;源端與目的端的主機(jī)標(biāo)識層之間建立HIP關(guān)聯(lián);最后,源端和目的端開始進(jìn)行數(shù)據(jù)交換。

整個(gè)體系結(jié)構(gòu)從根本上適應(yīng)了移動和網(wǎng)絡(luò)多歸屬的需求。同時(shí),主機(jī)層的引入削弱了網(wǎng)絡(luò)層和傳輸層的依賴關(guān)系,增加了網(wǎng)絡(luò)的靈活性,有利于從IPv4到IPv6遷移。但是HIP也存在一些問題:需要主機(jī)作一定的修改,部署起來比較困難,不支持組播。由于HIP未修改現(xiàn)有網(wǎng)絡(luò)設(shè)備,故并不能對互聯(lián)網(wǎng)服務(wù)提供商(ISP)實(shí)現(xiàn)有效的流量工程提供直接支持。

3.3 基于封裝/映射的路由體系結(jié)構(gòu)

此類方案的基本思想是:將整個(gè)路由域分為全局路由域和本地路由域,ID/Locator的分離在邊界網(wǎng)關(guān)處實(shí)現(xiàn),如圖6。全局路由域是由邊界網(wǎng)關(guān)組成的,在同一個(gè)本地路由域內(nèi)的實(shí)體之間的通信使用身份標(biāo)識符進(jìn)行路由,在全局路由域內(nèi)使用位置標(biāo)識符進(jìn)行路由。需要發(fā)往本地域外的數(shù)據(jù)包攜帶的是目的主機(jī)的身份標(biāo)識,它們首先被轉(zhuǎn)發(fā)到本地路由域的邊界網(wǎng)關(guān)處(源網(wǎng)關(guān))。源網(wǎng)關(guān)通過某種映射服務(wù)獲得目的網(wǎng)關(guān)的位置標(biāo)識并將這個(gè)標(biāo)識作為目的地址。接著,根據(jù)目的網(wǎng)關(guān)的位置標(biāo)識,這個(gè)數(shù)據(jù)包就可以通過全局路由域到達(dá)目的網(wǎng)關(guān)。目的網(wǎng)關(guān)去掉數(shù)據(jù)包中的位置標(biāo)識,根據(jù)目的主機(jī)的身份標(biāo)識轉(zhuǎn)發(fā)數(shù)據(jù)包,最終數(shù)據(jù)包將到達(dá)目的主機(jī)。這類方案不僅僅能夠解決目前Internet面臨的路由可擴(kuò)展問題、支持站點(diǎn)多歸屬,而且由于ID/Locator在路由器處進(jìn)行分離,有利于ISP進(jìn)行流量工程控制。