新一代互联网体系结构的研究进展与分析.doc

密级：密级： 保密期限：保密期限： 题目：题目：新一代互联网体系结构的研究进展与分析新一代互联网体系结构的研究进展与分析学学 号：号： 姓姓 名：名： 专专 业：业： 导导 师：师： 学学 院：院： 2011 年年 12 月月 11 日日新一代互联网体系结构的研究进展与分析摘 要日益增长的网络规模和用户需求给互联网带来了诸多挑战，新一代互联网体系结构已经成为了网络领域研究的热点。本文就新一代互联网研究背景，研究现状，待解决的问题进行总结，并对位置标志和身份标志分离的两类方案进行了探讨。关键词： 新一代互联网 位置标志 身份标志 LISP NEXT GENERATION INTERNET ARCHITECTURE RESEARCH AND ANALYSIS ABSTRACTThe Challenges have been brought because of the increasing network size and user needs. It has been becoming hot to research the architecture of the NGI. In this paper,the background, research status, problems to be solved of the NGI will be summarized, and then,two programs are discussed,which solved the separation of location mark and identity mark.KEY WORDS: NGI location mark identity mark LISP目录1 引言.52 现状与问题.62.1 国内外研究现状.62.2 待解决的问题.73 位置标志和身份标志分离.83.1 概述.83.2 基于主机的路由体系结构.83.3 基于网络的路由体系结构.93.4 两种方案的比较与分析.94 结束语.11参考文献.121 引言互联网经过 40 年的发展，已经取得了巨大的成功，目前已然成为人们生活的必需品，互联网初期的设计主要遵循了如下几条原则：用位置对节点进行标识；分层的协议栈；在网络层部署唯一的网络互联协议，即 IP 网络互联协议；基于数据报的无连接服务；端点智能、网络傻瓜化，即由端系统负责复杂的网络功能，连接端节点的网络只负责简单的传送功能。今天互联网的成功很大程度上源于这些基本的设计原则。然而，互联网在这几十年中发生了巨大的变化，在安全性、移动性、可扩展性、可控可管性、服务质量等方面，互联网原始设计的缺陷逐渐暴露出来。尤其随着以“内容/信息共享”为主要特点的网络应用的快速发展，使得当前互联网正面临着前所未有的压力。具体来说主要有以下几点：IP 地址匮乏1，难以更大规模扩展；网络服务质量(QoS)控制能力弱，不能保障高质量对不同业务的网络服务；缺乏安全保障机制，网络安全漏洞多；对于用户在移动互联网的要求，传统互联网由于其技术本质问题难以满足；另外，目前传统互联网的复杂程度也使网络控制和管理变得异常艰难。世界各国研究机构早就开始重新考虑和研究互联网的体系结构，试图提出适应于未来环境和应用需求的新一代互联网体系结构，美国等发达国家先后开始了新一代互联网研究，比较著名的几个计划包括下一代互联网（NGI，next generation Internet）、下一代网（NGN，next generation network）、美国国家科学基金会设立的全球网络创新环境（GENI，global environment for network innovation）和未来互联网网络设计（FIND，future Internet design）、欧盟第七研发框架计划（FP7）等。我国在新一代网络体系结构方面刚起步，已经在“973”计划、“863”计划这些重大的国家科研计划中设立了若干个与未来网络相关的项目。2 现状与问题2.1 国内外研究现状美国自然科学基金会 NSF 于 2005 年启动了两项新一代互联网研究计划: 未来互联网设计 FIND 和全球网络创新环境 GENI。2FIND 计划最大的特点在于从草图设计开始，探讨所需的网络结构及其设计，而不是增量式地逐步改进现有网络。FIND 在网络体系结构各个方面的研究和设计都尽量做到不受以往的研究思维的影响和束缚，即“革命式” 、“从头再来”。GENI 计划的目的则是构建一个全新的、安全的、能够连接所有设备的互联网，以促进互联网的发展，并刺激创新，促进经济增长。其目标是发现和评估可以作为 21 世纪互联网基础的新的革命性概念、示范和技术，建立一个用于研究未来互联网体系结构、服务和过渡的一个实验环境，提供更多数量和更好质量的研究平台，并能将研究成果迅速转化为实际的产品和服务，使这些产品和服务能够提高国家未来的经济竞争力和国家安全，并且能够让当前的网络较快过渡到新的网络体系结构。GENI 由两部分组成：研究计划（research program）和实验设施（experimental facility）。其中“研究计划”的重点是，研究创造新的核心功能，包括要超越现有的数据报、分组和电路交换框架，设计新的命名、寻址和身份识别体系结构，构建内置的网络安全机制和新的网络管理机制，使下一代互联网具有高度安全性和可管理性。“实验设施”的重点是，研究能够提供包括传感器和无线移动通信设备等在内的多种接入技术，并能够部署和验证新的体系结构（例如，新的无线技术和光技术、传感器网络、移动无线通信、RFID 等）。2007 年初，欧盟在其第七框架 FP7 中设立了“未来互联网研究和试验”（FIRE）项目3。FIRE 是一项长期的试验驱动的原创性研究，涉及了未来互联网的概念、协议和体系结构、相关的科技、工业和社会经济学等方面。其主要研究内容包括：网络体系结构和协议的新方法；管理未来互联网日益增长的规模、复杂性、移动性、安全性和通透性；在物理和虚拟结构的大规模测试环境中验证上述属性。同为未来互联网研究计划， FIRE 和 GENI 有着很多的相同之处，它们都关注如何搭建真实试验环境，从而为理论研究提供证据支持。 FIRE 希望通过螺旋式的部署方案，冲出地理上的限制，建立全球性的大规模试验环境。FIRE 同样采用虚拟化技术，该技术将独立存在的资源和设施联系起来，不仅使多个组织协同合作，还能降低能耗和成本。我国在国家重点基础研究发展计划（“973”计划）中也明确提出了“新的网络体系基础研究”作为重点研究课题，设立了一系列与未来或新一代互联网有关的项目。2003 年，清华大学、国防科技大学、北京邮电大学、东南大学和中科院网络信息中心 5 个单位共同承担了国家“973”计划项目“新一代互联网体系结构理论研究”。还有以张宏科教授为首席科学家的“一体化可信网络与普适服务体系基础研究”，以孟洛明教授为首席科学家的“可测可控可管的IP 网的基础研究”，以吴建华教授为首席科学家的“新一代互联网体系结构和协议基础研究”等，钱华林研究员在其层次交换网络体系结构一书中也对未来互联网的架构做了深入的探讨。2.2 待解决的问题新一代互联网的基本特征有“扩展性、高性能、实时性、移动性、安全性、易管理和经济性”，基于这些基本特征，新一代互联网主要面临有如下四个主要问题。网络体系结构单一、可扩展性不强和网络功能的复杂多样性的问题。虽然人们认为，采用“边缘论”作为指导思想的基于尽力而为的互联网是体系结构可扩展性最好的网络，但是这种体系结构的可扩展性也仅仅局限在网络互联互通的角度。在支持新的服务方面则表现出越来越多的局限性。例如，很难对组播进行支持，也很难支持大量主机都处于不断移动状态的情形，这些问题出现的主要原因都是由于尽力而为的服务模型只考虑了互联互通的扩展性目标而没有考虑互联网络在服务等其他方面的可扩展性问题。目前的网络体系结构在地址空间、寻址和路由方式、服务类型等方面都很难进一步扩展4。未知的网络行为与确定的传输控制目标之间的问题。基于分组交换的互联网络的流量模型和行为模型还没有得到很好的研究，目前虽然在大规模网络的流量分析中得到了一些基于自相似和长相关的理论成果, 但是这些成果背后的科学指导作用还有待进一步发掘。由于流量模型和行为模型的缺乏，导致人们对大规模网络的控制和管理缺乏理论指导，还停留在直观和经验的基础上，这也远远不能满足要求网络提供更好的服务质量的需求。网络的安全可信问题5。互联网络作为一个巨大的系统工程，它有其固有的脆弱性。网络上聚集了大量的硬件系统和无数的应用软件，每一种硬件或者软件的缺陷都有可能被利用来对网络进行攻击或者恶意破坏。那么，如何从理论上分析网络的脆弱性并对其进行保护是还没有解决的难题。网络在保证自身安全的基础上，还必须为应用提供所需要的安全功能。如何在应用规模不断增长，性能要求不断提高的前提下保证其安全是一个困难的问题。网络服务需求的复杂多变的问题。新一代互联网络的复杂性（规模更大、结构更复杂、异构性更强）以及用户和服务提供者对服务需求的复杂性和多样性（服务的互操作性、提供速度、可用性、可扩展性、可管理性和服务质量、服务的智能化和个性化等）使得人们急需对如何构建大规模互联网络服务的理论指导。如何根据新一代互联网络的体系结构建立相应的服务模型，如何快速灵活地为用户提供具有高可用性、 良好互操作性和高性能的服务，如何对现有的服务进行协调为端用户提供可重用的服务，如何对服务进行管理，都是困难而极有价值的理论问题。3 位置标志和身份标志分离3.1 概述近年来，互联网的路由可扩展性问题引起了越来越多的关注。在互联网的无缺省路由域(DFZ)中，路由表的规模正以“超线性”的速度增长6，这无疑严重影响了互联网路由系统的可扩展性。目前研究者已达成共识，认为当前 DFZ中路由表规模高速增长的根本原因是由于 IP 地址同时承担标识主机身份和寻址双重功能而导致的 IP 地址语义过载。为解决这个问题，多数专家认为需要从根本上对现有路由体系结构进行重新设计规划。为解决路由系统的可扩展性问题，目前已经提出了多种方案7。这些方案大致可以被归纳为两类：一类方案是通过减少边界网关协议(BGP)消息更新的频率、压缩路由表或转发表来解决扩展性问题，如虚拟聚合方案(VA)；另一类方案是基于身份标识和位置标识(ID/Locator)分离的思想，将 IP 地址的主机身份标识与路由标识功能分开，如主机标识协议(HIP)位置/身份分离协议(LISP)等。第一类方案只解决了路由表、转发表快速增长的问题。第二类方案不仅能够减小 DFZ中路由表的规模，还支持站点的网络多归属和流量工程，实现路由系统的可扩展。目前学术界和工业界的很多研究团体已经提出了众多基于位置和身份分离的方案。大多数方案的设计都遵循两层命名空间模型，即位置标识命名空间和主机标识命名空间，两层命名空间方案又可以按照位置标识和身份标识分离点的位置不同分为两类：第一类方案在主机处将 ID/Locator 彻底分离，这需要对主机作一定的修改；第二类方案在边界路由器处进行 ID/Locator 的分离，通过在网关处进行封装映射来实现，主机无需作任何改变。3.2 基于主机的路由体系结构这类方案的基本思想是在主机处实现位置标识符和身份标识符的彻底分离。早期 M.ODell 提出的 GSE 就属于此类方案，它将主机的 IPv6 地址分为 Locator和 ID 两部分，实现了位置与身份的分离，但并不保证 ID 的全球唯一性和安全性。此后提出的 LNAI 以及 HIP 也属于此类方案。LNAI 设计了一个扁平的 4 层名字空间结构，包括用户级描述符(ULD)服务描述符(SID)、主机描述符(EID)和 IP 地址。同时 LNAI 还提出了一个三级地址解析方案，包括将 ULD 解析为 SID、将 SID 解析为 EID 将 EID 解析为 IP 地址。通过增加 SID 和 EID 这两个额外的名字空间和解析层次，LNAI 不仅能够允许服务和数据成为一级因特网对象(能够直接和持久地命名)，还支持主机的无缝移动和网络多归属，并可以将中间盒如网络地址转换(NAT)和防火墙等整合到互联网体系架构。HIP8提出在网络层和传输层中间插入一个新的协议层主机标识层。主机标识层将原来紧密耦合的传输层和网络层分开，彻底分离 IP 地址的双重功能，使 IP 地址只作为网络层使用的位置标识符，专用于数据包的路由转发，而把主机标识的功能交给主机标识符(Host ID)，传输层使用主机标识符而不是 IP 地址作为主机的标识。在双方进行通信时，IP 地址的变化对传输层透明，从而保证在发生移动或者地址变化时，通信可以持续进行，而不会被中断。3.3 基于网络的路由体系结构此方案的基本思想是：将整个路由域分为全局路由域和本地路由域，ID/Locator 的分离在边界网关处实现。全局路由域是由边界网关组成的，在同一个本地路由域内的实体之间的通信使用身份标识符进行路由，在全局路由域内使用位置标识符进行路由。需要发往本地域外的数据包携带的是目的主机的身份标识，它们首先被转发到本地路由域的边界网关处(源网关)。源网关通过某种映射服务获得目的网关的位置标识并将这个标识作为目的地址。接着，根据目的网关的位置标识，这个数据包就可以通过全局路由域到达目的网关。目的网关去掉数据包中的位置标识，根据目的主机的身份标识转发数据包，最终数据包将到达目的主机。这类方案不仅仅能够解决目前 Internet 面临的路由可扩展问题 支持站点多归属，而且由于 ID/Locator 在路由器处进行分离，有利于ISP 进行流量工程控制。Cisco 公司提出的 LISP 采用了边缘网络和核心网络分离的概念，将核心网络与边缘网络划分不同的路由空间9，基本思想是通过核心网络和边缘网络的分离实现核心网络的可扩展性。它将当前具有双重语义的 IP 地址命名空间分离成端节点身份标识(EID)和路由地址(RLOC)，其中 EID 用于在边缘网络(本地路由域)中进行路由，而 RLOC 对应为位置标识符，用于核心网(全局路由域)的路由，并通过引入入口隧道路由器(ITR)和出口隧道路由器(ETR)对数据包的封装，实现身份与位置的分离。LISP 采用 IP- OVER- UDP 隧道技术，其中内层包头存放 EID，外层包头存放 RLOC。隧道端点路由器负责缓存 EID 到 RLOC 的映射。由于 LISP 以尽量少地改变 Internet 的基础设施为设计目标，所以在 LISP 中端系统无需任何改变，只需对现行的路由器进行微小的改变，并且能够增量部署。 当然， LISP 也存在一些问题。例如，LISP 的实现依赖隧道技术，边界路由器需要维护流量状态，由此而产生的可靠性和扩展性问题有待解决。3.4 两种方案的比较与分析以上共介绍了两类不同的路由体系结构。LNAI 需要对现有的主机软件作很大的改变，包括协议和应用程序，而且解析这些名字空间需要新的解析系统。因此，LNAI 的部署代价较大。在引入了多个层次的名字空间后，安全问题如拒绝服务攻击也成为 LNAI 的较大隐患。以 HIP 为代表的在主机处实现ID/Locator 分离的方案实现了 IP 地址双重语义的彻底解耦，完全解决了移动性、网络多归属问题，增强了安全性，实现了路由系统的可扩展，但是这类方案需要对主机进行修改，部署难度较大，且不能支持有效的流量工程。以 LISP 为代表的采取映射封装的方案在边缘路由器上实现了核心网络和边缘网络的分离，边缘网络的动态变化不会对核心网络造成严重影响，从而实现了路由系统的可扩展。这类方案只需对路由器进行改动，部署代价较小，支持网络多归属和流量工程，能够增量部署。这类方案的最大问题是，需要在入口隧道路由器(ITR)处采用查询映射，查询延迟会导致路由器丢弃或者缓存大量分组，容易遭受攻击。改进方案是 ITR 可以在没有映射信息时，将分组发送给映射系统，让分组经过映射系统进行路由，导致映射系统在提供映射功能的同时，还要需要承载用户流量的转发，对映射系统的设计和性能提出了要求。通过以上分析可以看出这些方案各有优缺点，其设计的目的都是解决路由系统的可扩展性这个首要问题。当然除了路由的可扩展性，未来互联网路由体系结构还要支持具有扩展性的流量工程、网络多归属以及移动性，尽量简化自治系统的重编址，考虑路由质量和安全。同时，方案的可部署性也是设计时必须要考虑的重要因素。4 结束语经过十多年时间，人们越来越深刻地