一种基于身份与位置分离的路由框架.doc

中国科技论文在线 一种基于身份与位置分离的路由框架李鹏 北京邮电大学网络技术研究院，北京 (100876) E-mail：摘要：本文基于 ID/LOC 分离的思想，提出了一种主机 ID 分层的方案及相应的映射系统 的设计方案。文中给出了 ID/LOC 分离的协议栈结构，并对 ID 的生成及管理，映射服务器 的组织策略，映射信息的发布策略进行了详细说明。新的方案支持增量部署，兼容现有网络，可以良好的解决移动性、多穴、流量工程及 Internet 的扩展性问题。关键词：身份与位置分离；层次化主机标识符；路由可扩展；映射系统 中图分类号：TP393.021.引言随着互联网技术的发展及用户的迅猛增加，互联网现有体系结构的弊端逐渐表现出来， 其在解决移动性、多穴、流量工程以及路由系统的扩展性存在着各种问题。IAB(因特网架构 委员会) 在 2006 年 11 月召开的路由与寻址工作会议1上经过讨论，指出引发扩展困难的根 源在于 IP 地址的双重语意，IP 地址不仅用于标识主机的身份，也用于标识主机的位置。基 于解耦 IP 地址双重语意，研究人员提出了众多互联网结构演进方案。目前主要可以分为两 类。第一类是采用封装映射的思想，通过网络提供功能以实现位置与身份相分离。这一类方 案将边缘站点的网络可达性信息(NRI)映射到一个可以到达此站点的某个核心网路由器的地 址，而由此路由器负责对应边缘站点的路由信息，其它路由器都不需要了解边缘站点的路由 信息。这样可以使得边缘网络的路由信息不被注入到核心网络中，使得网络核心路由系统具 备良好的扩展性，这类方案的典型为 LISP2。然而目前基于映射封装类的映射系统普遍存 在着缺乏扩展性、实时性差、难管理的问题。第二类是通过在主机协议栈中传输层和网络层 之间加入新的一个身份标识层，并引入一个身份命名空间来标识主机身份，从而解耦 IP 地 址的身份与位置双重语意。这类方案的典型为 HIP3。目前的基于主机侧的映射系统，由于 ID 命名空间的映射信息随机存储在映射系统中的某个节点上，缺乏可管理性。如上所述，目前提出的各种演进方案都没有提出一个可大规模部署的映射系统，因而导 致整个演进方案缺乏可实现及扩展性。基于此，我们提出了一种新的演进方案 RANIG4， 方案中我们采用了类似于 HIP 的思想，但我们对主机 ID 进行了分层设计，基于这种层次化 设计我们提出了分布式的映射存储系统，并解决了 ID 的分发和管理问题以及相关过程的安全性。2.相关工作主机标识协议(Host Identity Protocol，HIP)通过在主机 TCP/IP 协议栈的传输层与网络层 之间引入主机标识(Host Identity，HI)层，并引入基于公钥的命名空间，通过采用对公钥 Hash 的方法生成 128 位定长的主机标识符标签(Host Identifier Tag ,HIT)作为标识符，用于在 HI 层标识通信对端的主机身份。HI 层引入后，传输层将使用 HIT 来标识通信的对端，从而实 现与传输层与网络层的解耦。因此 HIP 可以对当前网络中面临的移动性和多穴问题提供良 好的支持。此外 HIP 在安全性方面提供了基于 IPSEC 的安全机制，对数据通信进行加密以 保证通信数据的安全。然而 HIP 采用平坦的命名空间，HIT 不具有层次性，HI 并不能反应-4-主机身份的归属关系，同时这种平坦性也导致映射信息在查询时不能借助 HIT 本身的信息进行优化。此外 HIP 需要在网络部署大量的汇聚点服务器(RVS)5来提供对访问快速移动主 机的支持。位置与身份分离协议(Locator Identity split protocol, LISP)是采用映射封装的方式来实现 ID/LOC 的分离，它采用了核心边缘分离的思想来解决当前互联网结构的扩展性问题。LISP 的要点是它并不改变现有的主机操作，主机发送的分组的在离开主机的边缘站点之前在称为 入口隧道路由器(Ingress tunnel router, ITR)的设备上封装，外层分组头的目的地址为核心网络 的某个出口路由器的地址，称这个路由器为出口隧道路由器(Engress tunnel router，ETR)， 当封装的的分组到达 ETR 的，ETR 负责去掉外层分组头，并按照内层分组头进行路由。这 样在 ITR 与 ETR 之间的核心网络不需要维护边缘站点的路由信息，只需要 ITR 和 ETR 了解 边缘站点的信息，通过这种方法将边缘网络的路由信息与核心网络的路由信息相分离，以提 高路由系统的可扩展性。为了保存 ITR 和 ETR 所需要了解的边缘站点的路由信息，LISP 的 提出了多种映射系统的设计方案，如 Alt6,Nerd7,Emacs8等。这些映射系统都是叠加在现有 网络基础设施之上的一群路由器组成，这些路由器之间互相以隧道相连接，并向 ITR 提供 地址映射服务。LISP 存在的问题是，一是映射系统需要覆盖整个互联网，但在互联网不同 组织之间缺少共同操作的模型，二是 ITR 通常是汇聚层的设备，它要负责相当多的数据流， ITR 要对负责为众多流进行查询和封装操作，这需要路由器具备相当高的处理能力，ITR 无 疑会成为网络的瓶颈。Six/one9也是采用分离边缘和核心的思想，与封装映射不同的是，它是对每个分组进行 源目的的地址改写，而不是进行封装操作。Six/one 可以避免封装映射类方案所遇到的 MTU 问题。其他的解决路由扩展性的方案如 APT10等，其基本思想都是映射封装，只是映射系统 的实现方法略有差异。不在此详细说明。3.系统概貌与假定3.1 术语与系统概览HHID：分层主机标识符。用来唯一标识网络中一台主机身份的 128 位的标识符。HHID 采 用分层的方法，前 64 位为 Realm 标识，采用统一分配的方式，后 64 可以由域内分配，也 可以由主机自主生成。 Locator：位置标识符，用来确定主机在网络中位置，是由客户接入的 ISP 提供的 PA 地址。 客户网络：客户站点或主机驻留的网络，它不传输其他任何非本地的流量。 传送网：为客户网络提供流量传送，它由各级 ISP 的网络组成。 Realm：逻辑概念，用于组织或管理客户网络，Realm 由一个组织统一管理。ILMS：ID/LOC 映射服务器。用于管理所有的 ID 的分配与 ID-LOC 映射信息的存储与发布。 ILMS 在逻辑上采用层次结构的组织方式。Realm 级的 ILMS 用于管理一个域的 ID，并存储 Realm 中主机的 ID-LOC 映射信息。在 Region 级的 ILMS 中保存了本 Region 内所有 Realm 的 ILMS 的地址及其对应的 ID 前缀。Region 级 ILMS 同时负责对 ID 前缀进行汇聚，然后在 所有的 Region 级 ILMS 之间交换 ID 前缀信息。ID 前缀信息可以逐级进行汇聚。 ILMSR：ID/LOC 映射服务路由器，ILMS 的一种，但它不存储 ID/LOC 映射信息，它保存 了如何到达其他 Realm 的 ILMS 的索引信息，称 Region 及更高一级的 ILMS 为 ILMSR。IDII：ID 索引信息，每个 Region 的 ILMS 都管理一个 ID 前缀，每个 ILMS 也有自己的地址，因此某个 IDII 指明了如何到达存储此 ID 前缀映射信息的 Region 级的 ILMS。 IDRISN：由所有的 ILMSR 组成的叠加网络，所有的 ILMSR 之间交换 IDII 信息，从而使得 对某个 ID 的查询可以被正确的路由给合适的 ILMS。整个方案的架构如图 1 所示：图 1 基本架构方案将网络分为传送网与客户网络，客户网络使用 Realm 的概念进行管理，位于一个Realm 中的主机需要与其他域中的主机进行通信，它首先需要获得对方的 ID，然后通过映 射服务器转换为对方的 Locator 地址，之后将分组发送出去，Realm 的映射信息可以由 Realm 独立维护，也可以由负责其接入的 ISP 维护。3.2 假定我们的方案基于以下假设：A 方案使用的物理路由网络基于 IP 的路由机制，但它可以在未来采用任何新的路由构架。BLocator 的分配是按拓扑汇聚的。4.系统设计方案4.1 主机协议栈分层结构为了解决 IP 地址的双重语意问题，我们采用了分离的 ID/LOC 的方法，在协议栈中将 原来的网络层划分为 ID 子层与 Locator 子层，如下图所示。ID 子层用来管理多穴、移动性 等，向上屏蔽 IP 层的变动。以彻底解决移动性的问题。APPLICATIONTRANSPORTHHIDLOCATOR4.1.1 ID 子层的功能图 2 主机协议栈分层结构ID 子层负责向传输层屏蔽底层地址变化信息，从而保证通信的连续进行，同时负责移 动性、多穴等功能的实现。当主机 Locator 发生变化，ID 子层负责向映射系统更新自己的地址绑定信息，如果在通 信过程之中，主机发生移动，ID 子层还要负责向通信对端通告自己的新地址信息。以此来 保证对移动性的支持。在多穴情况下，ID 子层负责选择合适的源、目的 Locator pair 与对方进行通信，同时在 必要的情况下，可以动态的在多个 Locator 之间进行负载均衡。此外 ID 子层还负责缓冲历史映射信息，以避免频繁查寻 ILMS 服务器。4.1.2 兼容模式 为了兼容新型主机与旧有主机进行通信，新型协议栈支持跨层操作，称此种模式为兼容模式。主机协议栈在传输层可以识别 ID 与 Locator 地址空间的差异，主机在兼容模式下，协 议栈将忽略原有的 ID 层，传输层可以直接与 Locator 子层交互，主机在应用层和传输层可 以直接使用 Locator 地址与对方建立连接，从而使得主机兼容与旧有主机通信。此外兼容模 式还提供了不需要身份标识情况下进行通信的可能，比如参加一个小型会议之上，几个人的 终端接在共享介质的设备上。4.2 分层主机 ID 设计4.2.1 分层方案ID 采用 128 位，前 64 位进行统一划分，后 64 位由主机自己产生。建议从 IPv6 的地址 空间中划分出一个空间作为 ID 命名空间。071531634.2.2 I