作者:张栋
出版社:通信图书编辑部
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
虚拟网构建及其应用试读:
前言
互联网经过几十年的发展,展现了其强大的生命力和广阔的发展前景。但随着网络用户数量的不断增长,网络业务类型的不断丰富,以及我国“三网融合”国家战略计划的日益推进,使得传统网络体系架构难以适应未来互联网发展的需要。本书的工作正是在这种网络创新发展的大背景下,研究基于网络虚拟化环境下的虚拟网络构建方法及其应用问题,深入探索构建满足用户业务需求的虚拟网络的理论与方法。
互联网,在人们的生活中占据越来越重要的地位。网络技术研究的应用与发展,成为科学研究中富有活力的一个重要方向。2007年,我国启动“新一代高可信网络”重大项目的研究。2010年1月,国务院常务会议决定加快推进电信网、广播电视网和互联网的三网融合。本书正是在这样的背景下,前瞻“三网融合”的技术发展,研究基于虚拟化网络环境下的虚拟网构建理论与方法。
互联网经过几十年的发展,网络规模迅速扩大,用户数量不断增加,网络业务不断增长,网络应用不断丰富。传统的互联网由于自身体系结构的原因,刚性封闭,在安全和服务质量等方面都难以满足日益增长的用户和业务需求。因此,许多研究希望通过构建新一代网络来改变现有互联网发展的困境。在新一代网络的研究和设计上,有两条道路,分别是改良和革命。改良式研究包括无类域间路由、IPv6等,都是基于TCP/IP协议栈,不涉及对传统互联网的体系结构进行根本性的变革。革命式研究则是综合考虑长远(面向15~20年后的)互联网应用需求,完全抛弃传统互联网体系结构的束缚,重新设计新一代互联网体系结构。传统互联网面对的主要问题,从分类上,现有研究主要针对传统互联网中网络僵化、安全、移动性和可管理性等问题展开。采用网络虚拟化的方法,通过对底层网络物理资源进行分片,实例化不同的虚拟网,解决网络僵化的问题;通过真实地址认证、隐私保护、数据流监测等应对安全问题;通过多重解析分布式位置服务和基于轨迹的转发解决移动性问题;通过支持网络控制应用和自管理模式实现网络可管理性。
整合以上这些问题和研究,世界各国和地区都展开了针对未来互联网研究的重大计划。当前未来互联网研究主要分为两块:一是设计新的体系结构、数据传输模式、路由协议等,偏向于理论性的研究。二是用于评估这些研究成果的大型仿真模拟系统或大规模试验床的建设,偏向于工程化应用实施。未来互联网研究计划主要包括美国的 FIND、欧盟的 FP7、4WARD、日本的AKARI等。试验床建设计划主要包括美国的Planet-lab、GENI、欧盟的FIRE等。在中国,2007年863“新一代高可信网络”重大项目的研究启动,一期“可重构路由器构件组研制”偏向于理论研究,二期“可重构柔性试验网组网设备工程化实施”着眼于试验床的建设。
本书详细介绍了网络虚拟化和虚拟网的发展历程,虚拟网构建算法的相关理论基础,虚拟网构建的不同角度的多种算法,未来互联网试验床研究,基于可重构路由设备的柔性网络架构和基于 Click Modular Router的仿真试验床的设计与实现。
由于作者水平有限,书中难免出现一些缺点和错误,恳请读者提出宝贵意见和建议,在此表示感谢!作者第1章绪论1.1 引言
互联网经过几十年的发展,从一个由四台电脑互连的仅用于军事用途的网络雏形,发展成为深入千家万户,并普及于商业应用中的庞大网络,这个网络将地球紧密连成了一个整体。互联网的发展,大大推动了人们生活的改变、商业模式的转变、应用和新兴业务的飞速发展。截至2009年年底,中国网民规模已达3.84亿人,互联网普及率进一步提升,达到28.9%,互联网规模达到世界第一(CNNIC,中国互联网络信息中心 2010)。随着网络规模的不断扩大和迅速增长,互联网逐步融入到人们的工作和生活中。2009年网络应用使用率的前三名分别是网络音乐(83.5%)、网络新闻(80.1%)和搜索引擎(73.1%)。同时,商务交易类应用增幅“异军突起”,平均年增幅达 68%。网络规模的扩大化和应用类型的多样化,对网络服务质量要求也越来越高。商务交易类的应用需求,对网络安全等特性也越来越重视。由于传统互联网体系架构的自身缺陷,难以满足人们对于网络服务质量的要求。
2010年1月13日,我国正式明确决定加快推进电信网、广播电视网和互联网的三网融合。三网融合不仅是技术的创新与进步,同时具有重要的战略意义。它将改变现有网络资源相互割据、运营服务难以分离的缺陷,加快现有网络资源的有效整合,互联互通,形成新的运营和服务机制。可以预见,融合以后网络的信息传播、内容和通信服务方式都将发生很大的改变。
网络规模的不断增长、网络应用的日益丰富、三网融合的明确推进都对现有互联网的改造提出了更高要求。因此,改进现有互联网体系架构的困境,解决传统互联网难以满足用户对于服务质量要求的问题,提高互联网的安全性,在技术上融合电信网、广播电视网和互联网,成为迫切需要解决的事宜。要解决上述事宜,本书注意到以下三个方面的基本问题。(1)新一代网络体系架构的设计。为解决传统互联网因自身体系架构缺陷难以满足人们对网络服务质量要求的问题,需要设计新一代网络的体系架构,满足用户和业务对于网络服务质量、安全等要求,同时能够扩展支持未来网络的新协议、新特性。(2)新一代网络体系架构下的虚拟网构建。重点解决在新一代网络架构的基础上,在不同规模和类型的底层物理网络上构建虚拟网的方法。(3)新一代网络体系架构的仿真平台的设计与实现。构建新一代网络体系架构的模拟仿真平台,提供试验环境测试新型网络协议和特性。
上述三个问题的解决,能够有效解决现有互联网体系架构存在的问题,建立新一代网络体系架构,为“三网融合”的正式推广和全面实施,在技术上探寻一条可行的路径。1.2 研究概述
近年来,随着网络规模的扩大和网络技术的发展,传统互联网的体系架构难以满足用户和新兴业务对网络服务质量的要求。改变传统互联网体系架构,解决服务质量、安全、移动、扩展性等问题,就成为新一代网络体系架构研究迫切需要解决的问题。世界各国的许多研究机构和专家学者,都从不同角度开展了针对新一代互联网体系架构的研究。
2008年,国家科技部立项863“十一五”重大项目“新一代高可信网络”的第二十三课题“可重构路由器构件组研制”。该课题的目标之一是:基于开放式控制/数据面分离思想和创新的可重构技术;研究可重构路由交换技术机制和协议体系并制定相关标准;研制开发可植入、可重构路由交换通用平台的系列关键处理构件。为构建虚拟网所必需的可重构路由交换设备开发提供体系结构、核心技术、协议标准和解决方案。
为此,本书在基于可重构路由交换设备的可重构网络环境下,针对现有新一代网络体系架构和虚拟网构建研究中的问题和不足,设计基于路由交换设备可重构基础上的网络体系架构,提出基于可重构网络环境的虚拟网构建的多种方法,设计并实现了基于Click Modular Router的可重构网络模拟平台。
作为本书的主要研究内容,在以后的章节中主要介绍以下关键技术及实现。(1)面向服务的可重构路由交换网络体系架构。(2)基于同质网络的虚拟网构建方法。(3)基于异质网络的虚拟网构建方法。(4)基于大规模网络环境的虚拟网构建方法。(5)基于Click Modular Router的可重构网络模拟平台。1.3 本书体系结构
本书详细讨论了基于网络虚拟化环境的虚拟网构建的关键技术问题,具体组织如下。
第1章提出了本书的研究背景与方向,提出了研究定位,概括了本书的研究内容和具体贡献,并说明了本书的组织结构。
第2章在分析了传统互联网面临的困境的基础上,综述了国内外解决当前互联网问题和未来互联网发展的途径和方向。描述了网络虚拟化的发展现状和虚拟网发展的历史脉络,并详细介绍了国内外相关的研究项目。
第3章介绍了和虚拟网构建相关的理论基础,包括算法复杂度、优化问题、NP-hard问题和图论基础、线性规划理论等。
第4章对网络虚拟化的发展现状进行了分析,综述当前覆盖网和虚拟网构建的方法,总结了构建方法的几种思路和目标,并分析了当前虚拟网构建方法存在的问题和未来研究的发展方向。
第5章介绍了基于同质底层网络的虚拟网构建方法。在考虑底层物理网络带宽容量约束的条件下,充分考虑构建过程中的网络均衡,将构建需求分解为元需求,同时通过寻找满足元需求的所有路径集中均衡度最小的路径方法,来构建虚拟网。该方法能够充分考虑物理网络的均衡,避免整体构建过程中难以实现局部网络均衡的缺陷。经过仿真实验分析和验证,该方法能够很好地提高网络均衡度和虚拟网的构建接受率。
第6章介绍了基于异质底层网络的虚拟网构建方法。在基于可重构路由交换设备的网络环境中,构建广电网、电信网、互联网和支持未来新技术应用的新网络类型等多种异质形态网络,考虑可重构网络环境中的承载业务类型的可重构性。在构建过程中,该方法在满足构建路径需求的路径集中,考虑同质链路复用和底层网络负载均衡原则。经过仿真实验分析和验证,该方法能够很好地满足异质网络的虚拟网构建需求,同时提高网络均衡度。
第7章介绍了大规模网络环境下的虚拟网构建方法。随着底层网络规模的扩大,为提高构建算法的构建效率,降低构建的时间复杂度和空间复杂度。该方法通过多商品流模型构建虚拟网,通过化简提高构建效率,降低构建时间复杂度。经过仿真实验验证,该方法能够很好地提高虚拟网的构建效率,满足大规模网络构建的需要。
第8章介绍了基于双向智能搜索的虚拟网构建方法。本章针对构建需求,根据包含源汇节点以及连接源汇节点间链路带宽的特点,提出自底向上和自顶向下的双向搜索算法以提高构建效率,基于链路均衡和带宽资源优先的策略以提高构建需求接受率和底层资源利用率。
第9章介绍了基于局部拓扑感知的虚拟网构建方法。本章提出一种基于拓扑势局部感知的虚拟网映射算法。通过节点自身能力和感知局部拓扑信息,计算节点拓扑势,实现节点重要性的评价排序。在此基础上,通过计算已映射节点和待映射候选节点间的能力和拓扑属性,反映元需求虚拟节点对间的场强吸引程度,实现待映射节点和链路选择,完成同一阶段的虚拟网节点和链路协同映射。
第10章从理论上提出面向服务提供的一体化虚拟网体系架构,基于该网络体系结构的逻辑虚拟网构建步骤和构建策略,从全网的角度提出逻辑虚拟网构建的优化策略,提高网络资源的利用率。
第11章介绍了基于Click软件虚拟路由器的虚拟网构建模拟试验平台。详细介绍了模拟试验平台的实现基础、系统模型和各模块功能。实验分析和验证过程,通过重构软件虚拟路由器端口支持的协议,构建不同的虚拟网,通过网络监控测量工具分析网络吞吐量和分组丢失率,验证模拟试验平台的有效性。1.4 本章小结
本章对可重构网络环境下的虚拟网构建关键技术的研究背景与定位进行了阐述,同时详细介绍了本书的主要研究工作,对虚拟网构建关键技术的几个方面的具体内容进行了阐述。本章还介绍了本书研究工作的具体贡献,指出本书的相关工作将为未来互联网的发展和虚拟网构建研究作出一些贡献,同时为“三网融合”技术的研究探寻一条可行的发展路径。最后,本章还介绍了本书的组织结构,各章节的具体内容,为阅读本书提供结构性参考。第2章网络虚拟化与虚拟网2.1 网络虚拟化发展2.1.1 虚拟化技术
虚拟化技术提出于20世纪50年代,20世纪60年代IBM公司第一次将虚拟化技术应用到商业中。无论是虚拟内存,服务器的虚拟化,还是 PC 的虚拟化等都离不开虚拟化技术。随着虚拟化技术的广泛使用,为数据中心和应用部署带来了新的管理与部署方式,虚拟化技术的使用,实现了高效便捷的管理,提高了资源的利用率,虚拟化技术目前已成为多家商业巨头的重要企业战略。(1)虚拟化是表示计算机资源的抽象方法,通过虚拟化可以用与访问抽象前资源一致的方法访问抽象后的资源。这种资源的抽象方法并不受实现、地理位置或底层资源的物理配置的限制。(2)虚拟化是为某些事物创造的虚拟(相对于真实)版本,比如操作系统、计算机系统、存储设备和网络资源等。(3)虚拟化是为一组类似资源提供一个通用的抽象接口集,从而隐藏属性和操作之间的差异,并允许通过一种通用的方式来查看并维护资源。
虚拟化的对象是各种各样的资源,经过虚拟化后的逻辑资源对用户隐藏了不必要的细节,用户可以在虚拟环境中实现其在真实环境中的部分或者全部功能。虚拟化的主要目标是对包括基础设施、系统和软件等IT资源的表示、访问和管理进行简化,并为这些资源提供标准的接口来接收输入和提供输出。虚拟化的使用者可以是最终用户、应用程序或者是服务。通过标准接口,虚拟化可以在IT基础设施发生变化时将对使用者的影响降到最低。最终用户可以重用原有的接口,因为他们与虚拟资源进行交互的方式并没有发生变化,即使底层资源的实现方式已经发生了改变,他们也不会受到影响。
虚拟化就是将原本运行在真实环境上的计算机系统或组件运行在虚拟出来的环境中。由于在具体的应用和真实的环境之间引入了虚拟化中间层,不可避免地会给应用带来一定的性能影响,但是随着虚拟化技术的发展,这样的开销在不断地减少。根据虚拟化所处的不同应用层次,就形成不同的虚拟化技术。目前,应用比较广泛的虚拟化技术有基础设施虚拟化、系统虚拟化和软件虚拟化等。2.1.2 网络虚拟化
互联网经过几十年的发展,展示了其强大的生命力和广阔的发展空间。但随着科技和技术的发展,传统互联网由于自身体系架构的缺陷,难以适应新兴业务不断发展的要求。许多国内外研究机构和项目,寻求解决现有互联网存在的问题。但网络规模庞大繁杂,任何对互联网的改造或变革,都显得窒碍难行。网络虚拟化的出现,正是为在不改变现有互联网体系结构的基础上,通过设备虚拟化的形式,建立互联网的新型体系架构,改变传统互联网的困境。
网络虚拟化方法是在网络设备之间实现虚拟化功能,具体有下面几种方式。
1.基于互联设备的虚拟化
基于互联设备的方法如果是对称的,那么控制信息和数据走在同一条通道上;如果是不对称的,控制信息和数据走在不同的路径上。在对称的方式下,互联设备可能成为瓶颈,但是多重设备管理和负载平衡机制可以减缓瓶颈的矛盾。同时,多重设备管理环境中,当一个设备发生故障时,也比较容易支持服务器实现故障自愈。但是,这将产生多个SAN孤岛,因为一个设备仅控制与它所连接的存储系统。非对称式虚拟存储比对称式更具有可扩展性,因为数据和控制信息的路径是分离的。
基于互联设备的虚拟化方法能够在专用服务器上运行,使用标准的操作系统,例如Windows、Sun Solaris、Linux或供应商提供的操作系统。这种方法运行在标准操作系统中,具有基于主机方法的诸多优势——易使用、设备便宜。许多基于设备的虚拟化提供商也提供附加的功能模块来改善系统的整体性能,能够获得比标准操作系统更好的性能和更完善的功能,但需要更高的硬件成本。
但是,基于设备的方法也继承了基于主机虚拟化方法的一些缺陷,因为它仍然需要一个运行在主机上的代理软件或基于主机的适配器,任何主机的故障或不适当的主机配置都可能导致访问到不被保护的数据。同时,在异构操作系统间的互操作性仍然是一个问题。
2.基于路由器的虚拟化
基于路由器的方法是在路由器固件上实现存储虚拟化功能。供应商通常也提供运行在主机上的附加软件来进一步增强存储管理能力。在此方法中,路由器被放置于每个主机到存储网络的数据通道中,用来截取网络中任何一个从主机到存储系统的命令。
网络虚拟化是基础设计虚拟化的一部分,网络虚拟化简单来讲是指把逻辑网络从底层的物理网络分离开来。这个概念的提出已经比较久了,从VLAN、VPN、APN到ON(本章第三部分介绍)都是网络虚拟化的技术。网络虚拟化一直都被企业和相关的科研机构所看好。最近,云计算的浪潮席卷IT界,几乎所有的IT基础构架都在朝着云的方向发展。在云计算的发展中,虚拟化技术一直是重要的推动因素。作为基础构架,服务器和存储的虚拟化已经发展得有声有色,而同时作为基础构架的网络却还是一直沿用老的套路。在这种环境下,网络确实期待一次变革,使之更加符合云计算和互联网发展的需求。云计算的大环境下,网络虚拟化的定义没有变,但是其包含的内容却大大增加。(1)第一部分是服务器内部。随着越来越多的服务器被虚拟化,网络已经延伸到Hypervisor内部,网络通信端已经从以前的服务器变成了运行在服务器中的虚拟机,数据分组从虚拟机的虚拟网卡流出,通过Hypervisor 内部的虚拟交换机,在经过服务器的物理网卡流出到上联交换机。在整个过程中,虚拟交换机以及虚拟机的网络接入都是研究的重点。(2)第二部分是服务器到网络的连接。10Gbit/s以太网和Infiniband等技术的发展使一根连接线上承载的带宽越来越高。为了简化,通过一种连接技术聚合互联网络和存储网络成为了一个趋势。(3)第三部分是网络交换,需要将物理网络和逻辑网络有效地分离,满足云计算多租户、按需服务的特性,同时具有高度的扩展性。
由此可见,云计算的发展很好地推动了网络虚拟化的发展,同时网络虚拟化的发展也促进了云计算的发展。2.2 虚拟化环境
虚拟化的网络环境不用于现在普遍使用的全IP网络环境。如图2-1所示,虚拟化的网络环境是异质网络体系架构的集合,而这些异质网络体系架构又来自不同的服务提供商。每一个网络服务提供商构建多个虚拟网,并在其上部署相关的协议和服务。虚拟网所依托的网络底层资源设施是从一个或者多个网络底层资源提供商那里租赁的。图2-1 网络虚拟化环境2.2.1 商业模型
当前使用的网络模型变为网络虚拟化模型,其中的参与者角色发生了变化。在当前的网络模型中,主要参与者是单一的网络服务提供商(ISP),到了网络虚拟化模型,主要的参与者被分成了两种不同的角色,基础设施提供商(InP),服务提供商(SP)。
基础设施提供商(InP)——基础设施提供商负责部署和管理底层的物理网络资源,他们通过可编程的接口把底层的物理网络资源提供给不同的服务提供商。不同的基础设施提供商主要是通过以下几点进行竞争:尽可能提高自己底层的网络资源的质量;尽可能地给客户(服务提供商)提供更多的自由去使用底层的网络资源;提供给客户可以自己提升自由使用底层网络资源的工具。
服务提供商(SP)——从基础设施提供商那里租用底层网络资源,并在该网络资源上部署虚拟网,然后通过程序接口向终端用户提供端到端的服务。当然它也可以通过划分资源形成不同的子虚拟网,充当一个虚拟的基础设施(Virtual InP),把子虚拟网提供给其他的服务提供商(SP)。
终端用户(End User)——从当前使用的网络模型到网络虚拟化模型,终端用户的角色基本上没有发生变化,唯一的变化是随着服务提供商的增多,各式各样服务的出现,终端用户拥有更多的机会去选择哪一个服务供应商,何种服务。2.2.2 体系架构
虚拟网是虚拟网环境中最基本的实体。虚拟网是由虚拟节点集及连接这些虚拟节点的虚拟链路所构成的虚拟拓扑,该拓扑是底层物理网络拓扑的一个子集。每一个虚拟的节点嵌入到一个能满足虚拟节点能力的物理节点中,每条虚拟链路嵌入到相应的底层网络路径中并分配相应的资源。
尽管每一个虚拟网所需的底层物理网络资源来自不同的基础设施提供商,但是它的操纵者和管理者是同一个服务提供商。图2-1 描述了两个虚拟网,VN1和VN2,它们分别是由服务提供商SP1和SP2所创建。虚拟网VN1是由SP1在两个不同的基础设施提供商InP1和InP2所提供资源的基础上创建的,它可以向终端用户U2和U3提供端到端服务。对于虚拟网VN2,它是SP2在结合InP1所提供的底层网络资源和SP1所构建的子虚拟网基础上进行部署的。终端用户U1和U3可以通过VN2进行连接。
虚拟网的拥有者可以通过自定义网络数据分组、路由协议、转发机制自由地实现网络的端到端服务,可以通过自定义控制和管理层实现这种服务。正如前面提到的那样,终端用户有权利选择加入任意一个虚拟网。例如,U3可以定制分别由SP1和SP2所管理的虚拟网VN1和VN2。2.2.3 体系架构原则
虚拟环境提出以下原则用于构建下一代网络模式。
共存性——多个虚拟网能够共存是虚拟环境的一个规定性的特点。共存是指来自不同的服务提供商的虚拟网之间能够共存,这些虚拟网依托于一个或多个基础设施提供商所提供的部分或全部底层网络资源。在图2-1中,虚拟网VN1和VN2就是可以相互共存的虚拟网。
递归性——一个虚拟网可以再派生一个或者多个虚拟网,就会产生父子关系的虚拟网层次结构,这就是有名的递归式的虚拟网巢。在图2-1中,服务提供商SP1可以把它从基础设施提供商那所获得资源的一部分分配给服务提供商SP2,对SP2来讲,SP1就是一个虚拟的基础设施提供商。
继承性——在虚拟化环境中,子虚拟网可以继承它们父虚拟网中的架构属性,这也意味着在父虚拟网中出现约束属性,在其子虚拟网中也会受到相同的约束。例如,基础设施提供商InP2所强加的约束通过继承的方式会自动地从虚拟网 VN2 到 VN1。继承性可以使得一个服务提供商把特征约束加入到其派生的子虚拟网中,然后可以把这些子虚拟网再卖给其他的服务提供商。
重用性——重用性可使得同一个虚拟网的多个虚拟网节点在逻辑上嵌入到同一个物理节点中。多逻辑路由的使用为了处理一个大网络中各个功能现象,这使得服务提供商可以重新安排虚拟网络架构,同时也简化了其对虚拟网的管理。重用性也使用在构建网络试验床上。图2-1 提供了关于虚拟网VN2的一个重用例子。2.2.4 设计的目标
设计目标对于成功地实现网络虚拟化非常重要,已经得到了不同研究团体的重视。为了实现网络虚拟化,以下的每个设计标准都应该努力去实现。
灵活性——网络虚拟化中必须提供网络中各个方面的自由灵活性。每一个网络服务提供商可以自由地实施专属的网络、路由和转发功能,同时可以完全独立于底层物理网络资源和共存的虚拟网去自定义控制协议。例如,现在网络中部署的源路由协议都是通过基础设施提供商之间的协商制定的,在虚拟化的环境中,虚拟网的拥有者可以定制源路由协议而不必和其他任何的团体进行协商。
可管理性——通过从基础设施提供商中派生出来的不同的服务供应商,可以使网络管理任务模块化,同时有利于在网络中每层建立责任化的管理机制。它必须提供给服务提供商完全的端到端虚拟网控制服务,避免目前网络中要进行管理性边界协调。
伸缩性——多个虚拟网的共存是网络虚拟化的一个基础性的问题。可伸缩性是这个等式中必不可少的部分。在网络虚拟化环境中,基础设施提供商平衡不断增多的虚拟网之间的共存问题,在这个平衡的过程中不能影响到虚拟网本身的功能。
独立性——为了提高网络的容错性、安全性、隐私性,网络虚拟化必须保证共存的虚拟网之间的独立性。网络协议易于发生配置错误和实施错误。虚拟化必须保证一个虚拟网中配置错误不能影响到其他共存的虚拟网。
独立性可以确保一个虚拟网中的错误不影响其他共存的虚拟网,但是底层配置错误和其他一些常见错误将会影响网络虚拟化环境的稳定性。进一步地说,基础设施供应商的不稳定性可以导致其派生出的虚拟网不稳定。虚拟化环境必须保证虚拟化环境的稳定性,受到虚拟化环境的不稳定性影响的虚拟网必须能很快地收敛到一个稳定的状态。
可编程性——为了保证虚拟网的灵活性和可管理性,网络部件的可编程性也是一项必不可少的需求。只有通过可编程性,服务提供商才能实施自定义的协议,部署多样性的服务。在这方面,两个很紧迫的问题必须给出满意的回答:一个是“可编程的度是多少?”另一个问题是“可编程性如何提供?”在安全性有保障的前提下,可编程性能够简单有效地实施,这点必须做到。
异质性——异质性在网络虚拟化中主要表现在两方面:第一,底层网络技术的异质性(光网,无线网和传感器网络);第二,每个端到端的虚拟网是底层物理网络设施的异质性结合,因此其也应该被看作具有异质性。服务提供商必须允许包含和运行交叉域的端到端虚拟网,而这种包含和运行不需要专门的技术去解决。底层网络设施必须能够支持不同服务供应商所实施的异质性协议和算法。另外,终端用户服务的异质性也必须考虑进来。
支持传统——当部署实现一个新技术时,该技术对传统的支持及向后的兼容性一直是甚为关切的问题。概念上,在网络虚拟化环境中,可以把当前的网络看作虚拟网集合中的一个虚拟网。这样可以体现网络虚拟化支持传统的特性,可是这种方法是否具有可行性及如何高效地实现这种方法依然是一个具有开放性、挑战性的问题。2.3 虚拟网发展
在互联网发展的历史过程中,就出现了多种形态网络的混合并存。VLAN(Virtual Local Area Network,虚拟局域网)技术管理员可以根据实际的需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。虚拟专用网(Virtual Private Network,VPN)是一种专门的虚拟网络,连接多个通过共享或公共网络隧道分布的站点。覆盖网络(Overlay Network,ON)是另一种典型的在应用层上实现虚拟化的网络形式,在底层网络栈的基础上实现各种应用。覆盖网络成为一种完善现有互联网和在互联网上部署各种新应用的有效手段。另一方面,主动和可编程网络成为一种概念和趋势,实现了在底层网络基础上满足服务提供商的各种定制要求,适应新兴网络业务不断涌现的需求。
1.虚拟局域网(Virtual Local Area Network,VLAN)
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN 技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个 VLAN 内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同的物理LAN网段。由VLAN的特点可知,一个 VLAN内部的广播和单播流量都不会转发到其他 VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
2.虚拟专用网(Virtual Private Network,VPN)[1~
VPN 是一种通常为一个或多个企业机构部署的专用通信网络3],通过隧道的共享形式或类似互联网的公共通信网络将多个分布式节点相连接。如果VPN中的所有节点都有一个企业机构管理,则可以[4, 5]把VPN看作一个内部网。如果是多个企业机构共联一个VPN,则VPN可以看作一个外联网。每个VPN节点含有一个或多个客户边缘设[6]备(Customer Edge,CE),如主机或路由器。
3.主动和可编程网络(Active and Programmable Network,APN)
需要创建、部署和管理,以及快速响应满足用户需求的新兴服务,是推动可编程网络研究和发展的重要因素。要实现按需服务,通信硬件和控件软件的分离是一项基本要求。在路由交换设备中实现转发和[7]控制分离,就能够通过编程软件让底层硬件设备支持必要的功能。可编程网络的前提是如何实现路由交换设备的转发和控制分离。
可编程网络的模型实现了一个分布式节点内核和网络编程环境设[8]置。节点内核实现了最底层的编程,提供支持管理节点的系列接口。可编程网络环境的支持,使网络服务和协议能够动态配置,网络可以动态构建,提供网络设计者一系列的开放式接口和服务来规划、构建[9, 10]网络体系结构。
4.覆盖网络(Overlay Network,ON)
覆盖网络是一种在底层物理网络上以构建虚拟拓扑的形式组成的虚拟网。覆盖网络的节点通过由承载网络的物理链路组成的虚拟链路[11]相连接。覆盖网络的节点是不受地理限制的。覆盖网络已经广泛应用于传统互联网上配置和提供新特性。近年来,设计了不同的覆盖[10][11]网络类型用以解决特定的问题,如性能保证和路由可用性,具[12][13[16, 17]有服务质量保证的网络服务,多播~15],拒绝服务攻击,[18][19]存储系统中的内容分布和文件共享。
覆盖网络中,重路由定向的数据分组通过虚拟链路传输较传统的互联网路径能够改善端到端的性能,减少分组丢失率和延迟,提高吞[20][11]吐量。弹性覆盖网(Resilient Overlay Network,RON)是一种通过自行网络测量的方法,能在较短的时间内从失败中快速恢复和改进延迟与分组丢失率。基于覆盖网络的互联网基础架构,能够将底层网络基础设施供应商和网络服务提供商分离开来。
基于网络虚拟化的方法,一个多元化的网络架构,支持多种异构网络的并存。网络虚拟化共享由多个基础设施供应商管理底层物理网[20]络基础设施。将基础设施供应商和网络服务提供商分离,网络虚[21, 22]拟化技术带来了技术的创新和变革。通过网络虚拟化技术构建的虚拟网彼此相互独立,路由协议和服务可单独设置。但多个虚拟网共享底层基础设施。
因此,网络虚拟化成为未来互联网发展的一个重要方向。虚拟网构建方法的研究,成为网络虚拟化的研究热点。2.4 国内外研究项目
未来互联网领域研究可谓“百花齐放,百家争鸣”,世界各国和地区包括美国、欧盟、日本、中国等在内的世界主要经济体,都对未来互联网研究投入了大量人力、物力、财力。美国网络科学与工程委员会(NetSE)将未来互联网研究划分为三个阶段:设计、评估和部[23]署。
事实上,当前对未来互联网的研究主要分为两部分:设计新的体系结构、数据传输模式、路由协议等,以及用于评估这些研究成果的试验床的建设。未来互联网研究性计划主要包括:美国的[24]FIND(Future Internet Design)、欧盟的FP7(2007~2013)ICT(Information and Communication Technologies)Challenge One“通用、可信网络与服务基础设施”[25]下的研究项目如 [26][27]4WARD、TRILOTY 等、中国的CNGI、日本的AKARI。试验床建设计划主要包括:美国的GENI(The Global Environment for Network [28]Innovations)、欧盟ICT下的FIRE(Future Internet Research and [29]Experiment)、日本的JGN2plus、德国的G-Lab等。2.4.1 传统互联网的问题及应对
1.网络僵化
随着互联网用户的不断增加,底层物理网开始僵化,部署新的服务变得越来越困难。另一方面,新的服务要求采用不同的协议和数据传输模式,现代互联网体系结构不能满足这一需求。未来互联网研究中很重要的一个方向是网络虚拟化。通过对底层网络物理资源进行分片(Slicing),实例化不同的虚拟网。这些不同的虚拟网可以采用各自的协议为不同用户群提供特定服务。通过网络虚拟化来克服底层物理网僵化的问题。
美国FIND下面有两个相关项目,第一个是多样化互联网体系结[30]构(An Architecture for a Diversified Internet),第二个是[31]CABO(Concurrent Architectures Are Better Than One)。这两个项目的基本思想是相通的:都是利用网络虚拟化,在单一的物理网上实现不同的网络体系结构(传输网络)。多样化互联网项目将虚拟出来的网络称为元网络(Metanetwork),同时涉及元路由器、元链路、元终端等概念。相比虚拟网,元网络只是更基础、抽象的一个概念。它下面有四个子项目:物理网(Substrate)的设计和搭建、用于分布式仿真的元网络、用于大规模分布式计算的元网络、与GENI的整合。CABO项目采用虚拟化和隧道等技术来实现物理资源虚拟化,构建虚拟网。[32]
欧盟FP7 ICT Challenge One下的4WARD和AUTOI(Autonomic Internet)项目,都将网络虚拟化列为其中一个重要的研究方向。4WARD和AUTOI所提的虚拟网、虚拟网供应商、物理资源供应商及其管理节点等概念,几乎都可以在FIND下的两个项目中找到相同或类似的概念。除了利用网络虚拟化来支持不同的网络体系结构,4WARD和AUTOI作为未来互联网体系结构研究的综合性项目,还关注安全性、移动性、可管理性等问题。日本的新一代网络(NwGN)研究的体系结构性项目 AKARI 也明确提到将网络虚拟化作为一项核心技术。同时,日本国家信息化技术研究所(NICT)还每年资助其管辖的网络虚拟化技术实验室,专门研究网络虚拟化在日本新一代网络中的应用。
通过网络虚拟化,将目前互联网中的网络服务供应商(ISP)所同时管辖的维护物理网络和提供网络服务这两个责任进行分离,分别拆分到物理资源供应者(Physical Infrastructure Provider)以及虚拟网供应者(Virtual Network Provider)。当然,由网络虚拟化所带来的体系结构上的根本性变革,会对互联网的其他方面,如安全性、移动性等产生影响。
事实上,上述几个项目所说的虚拟化,其根本原理在于将物理网资源进行分片(Slicing),再将不同的Slice分配给各个虚拟网。不同的是,FIND下另一个称为Architecture of a Service-Virtualized Internet的项目则研究网络层的虚拟化。其背景为网络层核心服务(路由、命名和名字解析、缓存等)的僵化,不同于前述物理网的僵化。所谓网络层僵化指的是现在互联网体系结构下的网络层服务,既包括一部分网络资源,又包括服务的具体实现。一个典型的例子是路由服务,它只能由路由器制造商来提供。因为只有制造商才知道其路由器内部接口,才能访问到路由表。路由表作为互联网的一个基本资源,被人为地与路由服务绑定在一起,其他机构无法开发需要访问路由表的其他网络层服务。网络层服务虚拟化的核心思想是将现有核心网络服务所绑定的网络资源和功能拆分成可管理的building blocks。每个building block封装一种网络资源或基本功能。拆分后的building blocks包括路由表、流量控制、数据库操作、拥塞控制、节点内存操作等。在这些基本的building blocks上,搭建更加多样化、开放式的核心网络层服务。
2.安全性
在互联网的发展过程当中,安全性一直是一个突出性的问题。随着互联网应用越来越广泛,这一问题亟待解决。事实上,目前互联网只是基于“best-effort”模式,并不保证安全性。在 David Clark 的经[33]典论文“The Design Philosophy of the DARPA Internet Protocols”中,没有涉及安全性问题。网络上大量的黑客和 DDoS(Distributed Denial-of-Service)攻击就是目前互联网缺乏安全性保证的最好例子。
FIND 计划有多个旨在保证未来互联网安全性的项目,包括[34]Designing Secure Networks from Ground-up、Enabling Defense [35]and Deterrence through Private Attribution、Privacy-Preserving [36]Attribution and Provenence。前两个项目的核心思想都是真实地址认证。每个主机必须对自己发出的数据分组进行签字,目的节点或中间节点,可以对数据分组的合法性进行验证。这些项目中的Attribution即是指数据分组寻源。通过真实地址认证加强网络安全,必须同时保证两个方面。首先保留数据分组的隐私,也就是Privacy-preserving:并非所有节点都可以根据签字定位数据分组的源主机,只有经过授权的第三方机构才有这个能力。另一方面,所有网络节点都有能力对数据分组的合法性进行验证,只有遇到非法攻击时,才诉诸第三方机构以追究攻击发起者。组签名(Group Signature)模式能有效保证这两方面要求。Designing Secure Networks from Ground-up则是完全采用新的体系结构考虑网络安全问题,提出了SANE(Security Architecture for Networked Enterprises)模式,并将局域网安全体系结构扩展到公共网络,提出InSANE 体系结构。其核心思想也是要求所有网络数据流都要显式地表明自己的来源以及意图。但是其所采用的新型安全体系结构要求设计实现新的节点软件、操作系统、交换机、路由器等,与现有网络并不兼容。
欧盟FP7对未来互联网安全性研究投入更大,体现在项目的多样性上。从互联网体系结构出发,AUTOI、PSIRP等综合性项目都将安全性列为核心目标之一。AUTOI 将未来互联网设计成自治网络,而 PSIRP则将“发布/订购”模式(Publish/subscribe paradigm)作为未来互联网体系结构的核心。事实上,这些综合性项目是从整体上考虑互联网的安全性。另外,FP7下还有其他专门研究未来互联网安全性的项目,集中在ICT Challenge One的第四个目标:Trustworthy ICT。需要指出的是,这些项目并非从体系结构上研究安全性,而是考虑互联网的安全应用。其中PRISM(PRIvacy-aware Secure Monitoring)[37]项目同时考虑隐私和数据流监测(Flow Monitoring)两方面。PRISM 不涉及数据分组的真实地址认证,而是提出了一种能保证数据隐私的两层数据流监控体系结构。TECOM(Trusted Embedded [38]Computing)项目则关注嵌入式系统的安全计算问题。WOMBAT(Worldwide Observatory of Malicious Behaviors and Attach [39]Threat)项目通过三方面的工作来跟踪现有的和新出现的网络安全问题,从而帮助IPS更好地进行安全方面的投入。第一,收集不同类型的与安全相关的源数据;第二,开发更多的分析工具;第三,通过仔细审查找出威胁安全的根源。FIRE下的实验驱动性项目 ECODE 所提出的感知路由系统,也可提高互联网安全性。
清华大学信息网络工程研究中心提出了下一代互联网真实地址寻[40]址技术,并在 CNGI-CERNET2 骨干网上做了试验。其真实地址寻址体系结构由三部分组成:域间真实地址寻址、域内真实地址寻址和接入子网真实地址寻址。这一体系结构具有如下特点:存储和处理开销小、三部分之间松耦合、多重防御、支持增量部署、对应用层提供可信任支持、激励运营商部署。其中,域间真实地址寻址主要实现自治系统粒度的真实地址验证功能,可采用两种实现策略:基于端到端轻量级签名的域间真实地址寻址方案和基于路径信息的域间真实地址寻址方案,分别适用于早期和中后期的网络环境。域内真实地址寻址策略则采用已经广泛应用的Ingress Filtering和uRPF。该体系结构还提出了两种接入子网真实地址寻址策略:基于绑定的用户准入控制机制和基于签名的端到端认证机制。具体实验中,将 CNGI-CERNET2 的每个节点作为一个独立的自治系统并分配地址空间,在每个节点的边界处部署域间真实地址认证策略;并在清华大学试验网节点部署域内、接入子网真实地址寻址策略,架设各种网络应用。
3.移动性
当前互联网体系结构在设计之初只考虑到固定网络节点。随着移动上网设备如笔记本电脑、手持电脑、智能手机等的快速应用,互联网的移动性缺陷越来越凸显。目前大多数解决方案如移动 IP、地理路由(Geographic Routing)等,都只是变通性措施(Workarounds),仅仅在IP层上做文章。未来互联网研究试图摆脱IP层局限,从整个网络体系结构出发设计新的模式,更好地支持移动互联网接入。
FIND下的A Geometric Stack for Location-Aware Networking项目,提出了位置感知的网络体系结构,通过实现节点位置追踪和位置发现,支持按位置寻址。其核心技术有两项:多重解析分布式位置服务(Multi-resolution Distributed Location Service)和基于轨迹的转发(Trajectory-based Forwarding)。第一项用于追踪以及提供所有移动节点的当前位置;第二项则作为核心路由功能,支持路由器对采用不同坐标空间(如GPS、Wi-Fi Radar、UTM等)的移动节点位置信息进行转换。位置感知网络体系结构所提出的几何网络协议栈(Geometric Network Stack)分为五层。第一层为物理层,除了传统的调制解调功能外,还为第二层提供节点的必要物理量,例如 RSS(Received radio Signal Strength)、AOA(Angle of Arrival)、TOA(Time of Arrival)等。第二层为定位(Localization)层,其核心功能是将每个节点在物理坐标空间下进行定位。第三层为线性几何路由层,利用基于轨迹的转发模式,将数据分组在一维路径上进行路由。第四层为端到端传输层,支持位置广播(Geocast)和汇播(Gathercast)。第五层为应用层。另外,FIND 下研究无线上网的项目还有 An Experimental Protocol Stack for Cognitive Radio Networks and Its Integration with the Future Internet 和 Wireless Knowledge Infrastructure。
欧盟 FP7 ICT 对未来互联网移动性也高度重视。体系结构性项目如4WARD、AUTOI、PSIRP等都将移动性作为根本目标之一。其中4WARD项目组成员具有很强的移动和无线研究背景。FIRE下的实验驱动性项目OPENX则专门研究多跳无线网络体系结构以及协议。PERIMETER项目则通过实现用户为中心(User-Centricity)的网络体系结构,来提供无缝的移动性。应用方面,MobiWeb2.0项目继承了FP6的3GWeb项目,研究移动Web 2.0的各种应用以及互操作性。另外,FP7下还有一个沟通性项目eMobolity,为欧盟各国移动和无线通信领域的研究人员提供交流平台。
4.可管理性
目前互联网体系结构对终端用户几乎是不可见的,即使是网络管理员和操作员,其权限也相当有限。这种模式使得用户和管理员很难应对网络出错或不可用等情况。互联网的稳定性直接关系到众多高要求的网络应用是否可部署。另外,目前的网络控制几乎都是以专用的方式(Ad Hoc)实现的。例如,利用域间和域内路由算法计算路由,利用数据分组过滤器和隧道实现接入控制以及虚拟专用网(VPN),利用手动配置实现网络维护。未来互联网研究中很重要的一个挑战就是要更好地支持网络可管理性。
FIND 下有多个项目专门研究未来互联网的可管理性。Maestro: An Architecture for Network Control Management项目的核心思想是将每一项网络控制功能(如QoS路由、最短路径路由、域间路由、用户接入控制、网络维护等),当作一种应用来实现。并通过一个公用的操作平台(Operating Platform)来支持所有网络控制的应用。这一操作平台,实际上类似于操作系统的概念,充当下层网络节点和上层网络控制应用之间的一个接口。操作平台一方面将下层网络节点的状态通知给上层的网络控制应用,另一方面要根据上层网络控制应用发出的指令,进行网络节点配置。另外,操作平台还负责支持网络控制应用之间的交互、并发执行、调度以及隔离等。同时要监控所有网络控制应用,保证一些网络常量不被修改。A Framework for Manageability in Future Routing Systems 项目则专门研究路由系统的可管理性问题,其三个原则分别是:路由状态和路由过程可见性、路由决策可分析性以及路由配置更改的可识别性。Towards Complexity-[41]Oblivious Network Management项目提出了简化的网络管理体系结构,为所有数据面协议提供单一的管理接口。Value Flows and Risk Management Architecture for Future Internet项目将未来互联网看成“合同交换”网络(Contract Switched Network),允许用户灵活、动态地与不同ISP签订合同,并充分考虑自身的价值流。同时,支持各ISP进行风险管理,以更好地进行QoS方面的投入。
欧盟FP7 ICT下的可管理性也是4WARD、AUTOI、PSIR等综合性项目的重要目标之一。其中 4WARD 提出了网内管理(In-network Management)的模式,以增强未来互联网的可管理性。而 AUTOI 项目则对虚拟网的管理有专项研究。事实上,所谓的网内管理,也就是自管理(Self-Management)。目前互联网的管理多采用专门的、独立于网络之外的管理站点以及服务器。而网内管理则要求每个网络节点都内嵌管理组件,通过内部交互形成网内管理平台,完成节点管理,必要时才向外部管理系统请求援助,或报告结果。FIRE下的Self-NET项目所提出的感知型(Cognitive)未来互联网,就采用感知型自管理(Cognitive self-management)模式。自管理模式可被看作是自治网络(Autonomic Network)的一个方面。另外,FIRE下的ECODE 项目提出的感知路由系统,也可提高互联网可管理性。2.4.2 未来互联网试验床
未来互联网新的设计(包括体系结构、协议、数据传输模式等)被提出来后,必须经历一个评估或是验证的过程,见表2-1。常用的评估方式包括:分析、仿真和实验。仅仅停留在理论分析上往往是不可靠的;仿真虽然能够保证足够规模,但不够真实;小规模实验可以保证真实性,但其所得出的结论不一定适用于大规模网络环境。为了有效评估不同未来互联网设计思想,美国、欧盟、中国、日本等都在投入大量资金建设大规模试验床。表2-1 未来互联网研究计划
美国自然科学基金(NSF)于2005年发起了GENI(Global Environment for Network Innovations)计划。GENI作为国家战略性项目,以未来网络(三网融合)为背景建设大规模试验床,推动学术界和产业界对未来网络进行研究。其中很重要的一部分就是为未来互联网研究提供实验环境。GENI第一期(Spiral One)包含29个由不同研[28]究机构负责的项目,并通过五种控制框架,将大部分项目进行分类。控制框架涵盖资源获取和管理、资源片(Slice)管理、接入控制、对外接口等方面。
PlanetLab 控制框架包括 PlanetLab、EnterpriseGeni、GushProto、GpENI 等项目。其中 PlanetLab 项目利用实际试验床进行框架试验;EnterpriseGeni项目负责将GENI部署到校园和企业等局域网;GushProto项目负责开发用于 GENI 实验控制、管理的框架;GpENI 项目将PlanetLab 控制框架应用到 GpENI 试验床。ProtoGENI 控制框架包含ProtoGENI、BGPMux、CMULab、InstrumentationTools、Measurement System、ProgrammeableEdgeNode等项目。其中ProtoGENI项目继承并发展犹他大学的Emulab综合试验床(运行超过10年);BGPMux项目帮助 VINI 试验床(PlanetLab 一个分支)获得真实用户的流量;CMULab 项目将卡耐基梅隆大学现有的试验床集成到 ProtoGENI 框架下;Instrumentation Tools项目为GENI用户提供必要的工具,以更好地理解实验的运行过程;MeasurementSystem项目将为GENI开发一套测量系统。类似地,ORCA控制框架包含的项目有:ORCA/BEN、DOME、ViSE等。ORBIT控制框架包含ORBIT和WiMAX两个项目,集中于无线试验床的建设。TIED控制框架只包含TEID项目。另外,还有一些项目不属于上述任何一种控制框架,如RegionalOptIn、GENIMetaOps、GENISecurity等。
GENI项目还可根据不同工作组进行划分。GENI通过GPO(GENI Project Office)进行管理,下设四个工作组:控制框架工作组,实验工作流和服务工作组,操作、管理、集成和安全工作组,[28]以及工具和测量工作组。后三个工作组管辖下的项目(如 InstrumentationTools、MeasurementSystem、BGPMux等),在GENI第二期(spiral two)或后期可以迁移到其他控制框架下。事实上,在GENI发展过程中,不同控制框架之间可相互借鉴甚至合并。GENI每期时长1年,上述29个项目只是第一期规划,现在GENI已经进入第二期(spiral two)。在GENI整个发展成熟过程中,不同时期会增加或删减一些项目,但几个控制框架一般会保持平行发展。
欧盟未来互联网试验床建设主要集中在FP7 ICT Challenge One下的第六个目标Future Internet Experimental Facility and Experimentally-driven Research,也就是FIRE(Future Internet Research and Experimentation)计划。FIRE包括两个协调性项目:FIREworks和PARADISO;八个实验驱动的研究性项目:ECHOS、ECODE、N4C、OPENX、PERIMETER、RESUMENET、SELF-NET、SMARTNET;以及两个试验床项目:PII和OneLab2。其中PII和OneLab2就是类似于GENI下PlanetLab、ProtoGENI等试验床平台。
PII是Pan-European Laboratory Infrastructure Implementation的简称。其根本目的是要组建欧盟试验床联盟,包含所有现有的试验床。PII 所形成的试验床联盟将为欧洲整个通信产业的新技术、服务和应用提供大规模实验环境,当然也包括未来互联网。到目前为止,PII
试读结束[说明:试读内容隐藏了图片]