面向可信网络地地研究地虚拟化技术

实用标准文案面向可信网络研究的虚拟化技术可信网络是互联网研究中的新方向，文中通过对可信网络研究面临的挑战进行分析，提出了虚拟化是开展可信网络研究的有效途径这一观点，论文对网络虚拟化技术的研究现状进行了综述，分析了现有虚拟化技术对可信网络研究的支持，然后针对现有虚拟化机制在资源管理等方面的不足，提出一种新的网络节点虚拟化模型虚拟大节点(virtual big node)，该模型将多个网络节点聚合成一个虚拟大节点，内部采用多种节点虚拟化机制，不但可有效降低网络复杂性，还可更好地支持网络传输服务的生存性和可控性。1 引言随着互联网在人们社会生活中的地位越来越重要，如何保证网络服务的安全可靠得到越来越多的关注， 对互联网技术的研究重点也逐渐由提高传输和交换性能、 增强 QoS保证转移到提高网络行为的可控性、 网络服务的生存性等方面， 特别是近年来对 DDOS攻击防范、蠕虫传播等网络安全问题， 可审计的网络协议、 源地址欺骗防范、 网络安全脆弱性分析以及网络生存性的研究逐渐成为热点。可信网络将上述内容凝练成一个新的研究方向，已经成为下一代互联网研究的重要分支。 文献对可信网络产生的背景和需求进行了深入的分析，从信息安全、 可信系统和可信计算等多个角度出发对可信网络进行了描述，并建立了可信网络信任控制和行为模型，上述工作对可信网络的研究具有重要的指导意义，但目前可信网络研究面临一个问题，即在IP无连接传送机制和端到端设计思想指导下如何有效支撑各种可信网络服务，或者说现有网络基础设施 ( 如路由器 ) 的管理、配置、故障发现和恢复机制能否满足可信网络服务的要求。虚拟化是近年来互联网研究领域出现的新技术，其思想是通过对底层的抽象屏蔽物理网络实现细节， 将网络的控制管理与数据平面的转发与交换进行有效的分离，虚拟化技术为可信网络的机制设计提供了广阔的空间，近期研究表明， 虚拟化不但对新型互联网体系结构的研究、 试验和部署具有重要的意义，对网络单元 ( 如路由器 ) 的虚拟化也可提高其故障冗余，持续提供网络服务的能力。本文将对网络虚拟化技术进行深入分析，并提出一种新的网络虚拟化机制VBN(Virtual Big Node)。该机制不但可以简化网络复杂性，还可提高网络节点路由交换的鲁棒性，因此对可信网络服务的提供具有重要意义。本文第 2 节首先针对文献中提出的可信网络面临的科学问题进行分析，提出在现有网络体系下实现可信网络面临的挑战; 第 3 节对网络虚拟化技术的产生背景、特点以及在可信网络研究中的应用进行分析; 第 4 节提出 VBN机制 ; 最后是全文的总结。2 可信网络研究面临的挑战林闯教授在文献中给出了可信网络的定义及其重要意义:“可信网络是指网络系统的行为及其结果是可以预期的，能够做到行为状态可监测，行为结果可评估， 异常行为可控制，对可信网络的研究解决人们对网络日益增加的依赖性与安全服务能力的有限性之间的矛盾，是进一步推进网络理论技术研究，提高网络建设及应用水平的重大问题”，并指出可信网络研究的 4 个关键科学问题，即网络与用户行为的可信模型、可信网络的体系结构、服务的可生存性以及网络的可控性，然而我们认为， 在现有的互联网体系下解决上述科学问题面临着许多重要的挑战。精彩文档实用标准文案(1) 网络与用户行为的可信模型协议行为是影响网络行为的重要因素，众所周知，IETF 的哲学“相信统一的共识和可执行的代码” 对互联网协议的制定具有重要影响，由于缺少形式化描述和正确性验证，很多协议在诞生之初就存在难以预料的缺陷，而这些缺陷大多只有在协议已经部署，对互联网的运行产生影响后才能发现和修补，例如尽管经历了十几年的研究，作为下一代互联网基础的 IPv6 协议仍然存在大量安全漏洞，而在不确定的基础协议行为上难以建立可信的网络模型，对攻击行为分析是可信网络中用户行为建模的重要组成， 尽管基于模型和攻击图的用户行为分析已经得到广泛的研究， 但受建模方法和工具的限制， 这些分析只能局限在小规模网络中，无法对针对大规模互联网的攻击行为进行分析。(2) 可信网络的体系结构可信网络体系结构是指导各种可信网络机制设计、协议实现、应用部署和互操作的框架， 由于先天不足， 现有互联网体系结构的许多原则都与可信网络设计相冲突，如端到端的设计思想造成互联网的智能过分集中在网络边缘，导致网络核心管理控制能力弱，无法准确感知异常网络行为，又如 IP 层是目前互联网体系不可动摇的基础(NarrowWaist)，因此可信网络研究中许多革命性的成果，如抵御DDOS的网络体系结构、可审计网络协议等，难以得到实质应用， 各种可信机制只能通过补丁的形式在网络中实现，难以形成统一的顶层设计。(3) 服务的可生存性服务的可生存性在某种程度上是对冗余资源的调度问题，目前互联网从核心节点到边缘服务器大都采用多机备份的方式以提高服务的可生存性，而且取得了一定效果，但在互联网这个复杂系统中，冗余资源调度还面临着两个关键问题，一是故障难以及时检测，例如骨干链路发生故障时，虽然光传输网具有快速的故障发现和自愈能力，但路由器难以及时感知光传输网络的故障和变化， 二是局部资源切换导致的瞬时非稳状态可能被无限放大，影响整个网络的稳定， 例如局部转发路径的切换可能引起互联网路由系统长时间的振荡，导致用户流量的丢失。(4) 网络的可控性互联网是一个复杂的系统，在体系结构、设计和工程化方面具有明显的非线性特征，符合非线性系统的放大原则和耦合原则。一方面，网络中一个小的事件可能会带来网络很大的不稳定 ; 另一方面，网络中同时发生的事件可能相互影响，同时，互联网端到端设计思想又使得网络智能主要集中在网络边缘，因此对互联网实施有效的管理控制十分困难，对故障和异常行为进行有效的隔离是增强互联网可控性的重要措施，虽然各种隔离机制，如入口过滤、 ISP 间整形、流量工程等，针对不同问题都能取得一定效果，但从互联网整体看，这些控制行为还是难以预计的，对于蠕虫传播、DDOS攻击等还是难以实施有效的控制。以上分析表明，可信网络研究，特别是服务的可生存性和网络的可控性，面临很大挑战，因此必须选择有效的研究路线，我们认为必须在网络体系和协议设计上考虑两个关键问题，一是通过分层等机制简化网络结构的复杂度，尽可能减小网络非线性特征造成的管理精彩文档实用标准文案控制的不确定性， 二是在网络中实施全方位的隔离机制，降低局部故障和异常对全局网络的影响。虚拟化是近年来互联网研究领域出现的新技术，通过对底层网络的抽象屏蔽物理网络实现细节， 将网络的控制管理与数据平面的转发与交换进行有效的分离，上述分离对网络系统的简化、 故障和异常的隔离提供了较好的支持，因此虚拟化技术为可信网络的机制设计提供了广阔的空间。3 虚拟化对可信网络的支持虚拟化技术的基本思想是将网络的管理控制与转发交换相分离，通过高层的抽象屏蔽底层的物理实现细节，近年来硬件性能的持续提高，特别是网络处理器、FPGA对可编程和可重构的支持日益完善为网络虚拟化创造了良好的条件， 网络虚拟化包括网络平台的虚拟化以及网络节点的虚拟化。3.1网络节点虚拟化节点虚拟化技术最初源于20 世纪 90 年代后期出现的可编程ATM交换机思想，即通过对硬件交换平台的资源划分，在一个物理交换机上虚拟出多个逻辑的交换机，以支持在一个物理网络上构建多套逻辑网络，但这项技术直到近年来可编程硬件( 如网络处理器和FPGA)在网络节点中得到广泛应用后，才得到进一步的关注，当前虚拟化在路由器上的应用已经成为研究的热点。控制平面与数据平面相分离是路由器虚拟化实现的基础，基于该思想，路由器控制平面与数据平面相互屏蔽各自实现细节，而只是通过标准的管理控制接口进行通信，相关工作有网络处理器论坛制定的CPIX(Common Programmable Interface Archi2tecture)规范，该规范对网络处理器的物理实现进行抽象，并制定标准的网络处理器配置管理接口，因此路由控制软件可直接运行在不同的网络处理器平台上，IETF 的 ForCES 工作组更是致力于标准化控制平面与数据平面的通信协议，以便控制平面技术与数据平面技术能够独立发展，基于网络处理器平台以及ForCES 协议实现的路由器有OpenRouter 等。路由器虚拟化是在控制平面和数据平面分离的基础上，进一步在数据平面或控制平面实现上采用虚拟化技术，以获得更好的故障冗余和管理控制能力，网络节点虚拟化示意如图1所示.精彩文档实用标准文案图 1 网络节点的虚拟化在数据平面虚拟化中，路由器节点存在多个物理的数据平面实现，但通过虚拟技术只向控制平面提供一个虚拟的数据平面，而对于控制平面虚拟化来说，路由器上同时运行多个控制平面， 但通过虚拟化管理，同时只有一个控制平面负责管理配置数据平面以及与其他路由器交互，路由器虚拟化的实例将在3.3 节中进一步分析。网络端系统的虚拟化研究包括VIA(VirtualInterfaceArchitecture)和 VNS，VIA可在一个物理接口上虚拟出多个逻辑的网络接口，而 VNS则通过虚拟协议栈使得网络端系统可与具有不同网络协议的其他端系统通信，端系统的虚拟化为网络平台虚拟化提供用户接入的支持。3.2网络平台的虚拟化网络平台虚拟化思想产生于本世纪初研究者对互联网体系结构研究的不断反思中，文献指出， 目前对互联网体系结构的研究陷入僵局，即新型体系结构研究必须依赖大规模的试验床，但由于受到设备、管理、网络规模等因素的限制，基于现有技术构造的试验床还必须建立在现有的网络体系上，只能使用IP 无连接的传送服务，因此新型体系结构试验难以部署和开展，而虚拟化试验床是打破这一僵局的有效手段，与传统的物理试验床和overlay试验床不同， 虚拟试验床在一个公共的物理网络(sub2strate)上通过资源的抽象、分配和隔离机制支持多个overlay网络共存，与目前IP 体系并行的各种新型体系结构通过overlay机制在物理网络上进行部署，这些网络相互间不会产生影响，试验者可通过首跳代理机制方便地接入不同的试验网络进行体系结构试验，这一思想也成为美国GENI计划的核心。基于虚拟试验床的思想，文献进一步地提出虚拟化不但可作为支持新型互联网体系结构研究的有效手段，而且可作为下一代互联网体系结构的基本属性，即IP 只是下一代互联网中的一种协议，可能还有其他与IP 处于相同地位的协议，互联网体系结构是动态变化的，体系结构只是当前所有存在的overlay网络和协议的集合，因此虚拟化成为互联网发展的关键，物理网络资源的虚拟化、分配与隔离将取代IP 成为互联网体系结构的核心(Nar2rowWaist)，网络平台的虚拟化如图2 所示，其中新型的互联网体系结构即可是一个适精彩文档实用标准文案合多数应用的通用结构，也可是针对某一类应用特点( 如大规模流媒体传输) ，开发的专用体系结构。图 2 网络平台的虚拟化网络平台的虚拟化对互联网的发展带来革命性的变化，现有的ISP(InternetService Provider)将成为 SNP(Substrate Network Provider)，实现网络资源提供功能，而虚拟网络的开发和维护由NAP(Network Architecture Provider)实现，不同的NAP可通过提供差异化的服务进行竞争。3.3虚拟化对可信网络的支持目前网络节点虚拟化的研究主要致力于提高网络服务的生存性，即通过不同虚拟实现间的动态切换增强网络持续提供服务的能力，与通常双机备份不同，虚拟数据平面或控制平面的切换对网络运行的影响基本可以忽略，以下以VROOM(VirtualROuters On the Move)和 BTR(Bug2TolerantRouters) 为例，分别介绍虚拟数据平面和虚拟控制平面对提高网络故障冗余能力的重要作用。VROOM的核心思想是打破路由器硬件与控制软件的紧耦合关系，即路由器硬件仅作为一个承载的 Substrate ，而路由器软件可以从一个物理路由器转换到另一个物理路由器，由于转换不影响数据流的传输或改变网络拓扑结构，因此虚拟路由器的配置不用改变，从而避免路由计算的收敛延时，当物理路由器需要维护时，可预先将虚拟路由器迁移到同一个POP(Point Of Presence) 内部的其他物理路由器，路由器虚拟化、控制平面与转发平面分离以及动态接口绑定是VROOM实现的关键机制。VROOM迁移时首先将控制平面迁移到新的物理平台，在保持原有平台数据平面工作的同时，原有平台将控制报文重定向到新平台上的控制平面，待新平台数据平面配置完毕( 包括转发表的设置、控制状态的安装等) 后，可将链路迁移到新的物理平台，实验表明，VROOM可大大简化网络的管理，特别是在设备的维护、新型应用的开发部署以及设备节能方面比传统方法具有更大优势。BTR 针对运行在核心路由器上的软件可能具有安全漏洞、代码错误以及错误配置等问题，借助虚拟化技术提出一种容错路由器设计思想，即在路由器硬件平台上同时运行多个不同的路由器控制软件(Virtual Router， VR)，这些 VR具有不同的操作系统、运行不同的精彩文档实用标准文案路由协议，采用不同的路由消息交换方式，同时代码由不同的设计人员编写，因此多个VR同时发生错误的概率很低，BTR通过系统管理程序(hypervisor)检测每个VR的运行情况，重启以及重新同步出错的VR，同时调度每个VR的输入 ( 使输入到达每个VR的时间具有一定的差异 ) ，并且决定路由器的输出，由于这些VR几乎不可能同时发生错误，且某个VR出错时会与其他VR的输出有差异， 因此可采用简单的投票机制，决定所有VR的输出， 包括对路由器硬件的配置以及与其他路由器的通信。网络平台虚拟化对可信网络研究也具有一定的意义，主要表现在平台虚拟化不但可为不同网络体系之间实现有效隔离，增加网络的可控性，还可以为可信网络体系结构研究提供平台和试验床，支持各种革命性的创新，更为重要的是， 虚拟网络平台将改变互联网的运营模式，为ISP 提供差异化的服务提供平台，增强了ISP 部署并提供可信服务的驱动力。3.4网络虚拟化研究的不足简单是互联网设计的首要原则，我们认为当前网络虚拟化研究的主要缺陷是没有提出通过分层或屏蔽局部信息的机制简化互联网整体复杂性，这一方面造成了网络平台支持虚拟网络嵌入 (VirtualNetworkEmbedding) 的资源管理复杂性太高，特别是如何有效地进行网络范围内路径分割和迁移计算面临很大挑战; 另一方面，由于无法简化网络复杂性，虚拟化技术只能在局部提高网络节点的可靠度，无法从全局的角度提高网络本身的可用性，为可信网络研究提供十分有效的支撑。4 一种新的虚拟化机制VBN针对当前网络虚拟化研究在简化网络复杂度方面的不足，我们提出一种新的虚拟化机制 VBN， VBN将互联网中物理上相对集中的多个路由器通过特定协议绑定到一起，形成对外具有单一路由、管理和策略的虚拟路由交换节点，VBN作为一个独立节点与其他路由器交互路由信息，互联网中任何节点( 路由器或VBN)都无法判断与其通信的节点是路由器还是 VBN。互联网中许多问题都可以抽象为图论中的问题，由于VBN可减少图中节点个数，因此可降低问题求解的复杂性，例如路由器运行OSPF协议进行最短路径优先路由计算的复杂度为 O(n3) ，存储复杂度为O(n) ，因此 VBN通过多路由器绑定减小节点数n 可降低协议处理的开销， 又例如路由器FIB 存储的复杂度为O(m)，其中 m为互联网的子网个数，若 VBN由 K个路由器绑定， 显然，每个 VBN可使互联网内部子网个数最多减少K(K-1)/2个 ( 所有路由器全互连情况 ) ，至少减少K-1 个 ( 所有路由器串行连接情况) ，因此 VBN的广泛部署对解决互联网面临的FIB 极限问题， 也具有很大帮助. 以图 3 为例，其中 (a) 为没有部署VBN的网络拓扑，A、B 和 C是路由器相对聚集的区域( 如 POP)，若每个区域内的路由器具有相同的管理和路由策略，那么这些路由器就可虚拟成一个VBN，图 (b) 为 A、 B、 C3 个 VBN形成后的拓扑，显然，聚合后的网络拓扑得到简化，网络拓扑简化首先可降低路由计算复杂性，OSPF协议计算节点s 到节点 d 的路由，聚合前需要在17 个节点、 20 条边的图中计算最短路径，而聚合后路由计算只需在包含5 个点、 6 条边的图中计算最短路径，计算量大大降低，同时3 个VBN使得网络中子网的个数减少20 个。精彩文档实用标准文案图 3VBN 节点示意图由于 VBN完全屏蔽了内部信息，因此除了路由，任何与网络拓扑相关的网络计算，如流量工程、 虚拟网络嵌入等都会得到简化，由 N 个网络节点聚合形成的VBN内部模型如图4(a) 所示， N 个节点的控制平面和数据平面被虚拟成一个虚拟的控制平面和数据平面，虚拟控制平面负责所有 N个控制平面的资源管理， 例如可将所有控制平面的处理器组成处理器池结构，根据需求灵活分配资源， 而虚拟数据平面负责数据平面处理资源和带宽资源的聚合及分配 . 针对虚拟网络平台中虚网嵌入的需求，在虚拟控制平面与虚拟数据平面间还可划分出多个虚拟路由器 (VR) ，每个 VR属于不同的虚网，逻辑上相互隔离。图 4 VBN 的虚拟化示意图VBN 的虚网划分如图4(b) 所示 . 其中 VBN由 A、B、C、D4个路由器聚合而成，通过节点的虚拟化及资源的重新分配，可支持 X、Y、Z3 个虚拟网络嵌入， 在上述 3 个虚拟网络中，VBN分别表现为虚拟路由器VRX， VRY和 VRZ，而在每个VR内部，可通过实现VROOM和 BTR等提高网络传输服务可用性的机制以提高每个虚网的管理和控制能力。精彩文档实用标准文案VBN 对可信网络和可信节点的研究具有重要的意义，一方面， VBN通过聚合多个节点简化了拓扑复杂度， 路由系统、流量工程、面向虚网嵌入的资源管理等的复杂性也相应降低，因此对网络的管控能力可以得到增强，另一方面，VBN节点内部管理对外透明，多个节点资源的共享和灵活调度可以进一步增强节点的持续服务能力，更为重要的是，VBN对虚拟网络嵌入的支持为虚拟网络平台的实现提供了有效的途径，对可信网络体系结构研究、网间故障隔离等提供了很好的支撑。由于互联网POP中的设备属于同一个ISP，管理目标一致，而且路由器数量和规模适中，因此 VBN十分适合在POP中实现，当然，VBN实现还面临很多技术挑战和开放的问题，例如网络节点中资源的描述、聚合及分配机制，VBN物理节点间信息交互的开放通信机制以及多 VR之间的隔离机制等，可喜的是，当前网络设备制造商，如Cisco 和 Juniper也开始这方面的研究， 纷纷推出支持虚拟路由器划分的逻辑路由器。我们相信， 借助可信网络研究的趋势， VBN将逐渐成为网络节点研究的热点技术之一。5 结论本文为可信网络的研究提出一种新的思路，即借助网络的虚拟化技术提高网络的可用性和故障冗余能力，为简化互联网复杂度，本文提出一种新型的网络节点虚拟化模型VBN，该模型将多个节点聚合到一个大的虚拟节点内，节点内部的管理控制对外部网络透明。因此从网络整体角度看，VBN提供了一种分层的管理控制模型; 从网络节点角度看，VBN具有更加灵活的资源分配和调度机制，因此具有更好的持续提供网络传输服务的能力，从更加长远的可信网络体系结构发展角度看，VBN提供灵活的虚拟网络嵌入机制，激励ISP 部署可信网络服务，因此对可信网络技术的创新和发展具有重要意义。精彩文档