陆　璇　龚向阳　程时端

[编者按] 互联网目前面临着各种问题和挑战,其体系结构再次成为了网络领域研究的热点之一。本讲座将分为3期介绍互联网体系结构的研究现状及未来的展望。第1期介绍了目前互联网体系结构面临的挑战以及国内外的研究现状。第2期介绍现有互联网体系结构向新一代互联网体系结构演进中的关键技术与解决方案,内容涉及新型路由寻址体系结构、端到端原则、网络安全性与可信性等方面的研究。第3期将介绍以全新的革命性方式来解决当前互联网体系结构缺陷的新一代互联网体系结构,包括国内外的研究现状和主要的解决方案,并对新一代互联网体系结构的研究进行展望和总结。

3 新型路由寻址体系结构

近年来,互联网的路由可扩展性问题引起了越来越多的关注。在互联网的无缺省路由域(DFZ)中,路由表的规模正以“超线性”的速度增长,如图3所示。由于IPv6拥有比IPv4大得多的IP地址空间,随着IPv6的逐步部署,这种增长速度将会持续下去甚至发生爆炸式的增长。这无疑严重影响了互联网路由系统的可扩展性。

2006年10月,互联网架构委员会(IAB)在荷兰的阿姆斯特丹举行了路由和寻址专题会议。与会专家对目前互联网路由系统的可扩展性问题达成一致共识,即运营商独立地址、网络多归属、流量工程以及为应对前缀劫持而采取的策略是导致当前DFZ中路由表规模高速增长的主要原因,其技术上的根本原因是由于IP地址同时承担标识主机身份和寻址双重功能而导致的IP地址语义过载。为解决这个问题,多数专家认为需要从根本上对现有路由体系结构进行重新设计规划。

为解决路由系统的可扩展性问题,目前已经提出了多种方案。这些方案大致可以被归纳为两类:一类方案是通过减少边界网关协议(BGP)消息更新的频率、压缩路由表或转发表来解决扩展性问题,如虚拟聚合方案(VA);另一类方案是基于身份标识和位置标识(ID/Locator)分离的思想,将IP地址的主机身份标识与路由标识功能分开,如主机标识协议(HIP)、位置/身份分离协议(LISP)等。第一类方案只解决了路由表、转发表快速增长的问题。第二类方案不仅能够减小DFZ中路由表的规模,还支持站点的网络多归属和流量工程,实现路由系统的可扩展。

目前学术界和工业界的很多研究团体已经提出了众多基于位置和身份分离的方案。大多数方案的设计都遵循两层命名空间模型,即位置标识命名空间和主机标识命名空间,也有部分方案设计了多层命名空间模型,如分层的因特网命名体系结构(LNAI)。两层命名空间方案又可以按照位置标识和身份标识分离点的位置不同分为两类:第一类方案在主机处将ID/Locator彻底分离,这需要对主机作一定的修改;第二类方案在边界路由器处进行ID/Locator的分离,通过在网关处进行封装映射来实现,主机无需作任何改变。

3.1 基于虚拟聚合技术的路由体系结构

VA是互联网工程任务组(IETF)全局路由运作工作组(GROW)提出的一种解决当前路由系统可扩展性的方案。VA的核心思想是阻止路由信息库(RIB)中非必要表项加载到转发信息库(FIB)中,以压缩FIB的规模。实际上,核心路由器完整覆盖(CRIO)是最早提出通过压缩FIB来解决路由可扩展性的方案,VA对其进行了扩展和完善。VA把IP地址空间分成多个虚拟前缀(VP),每个VP是对多个子前缀(目前传统网络的网络前缀)的虚拟聚合。这种虚拟聚合是指用隧道实现对每个虚拟前缀内的所有子前缀的汇聚,需要指出的是这些子前缀在拓扑上是不可聚合的。VA提出了汇聚点路由器(APR)的概念,将同一个自治系统(AS)中的路由器分为APR、非汇聚点路由器(Non-APR)和传统路由器,其中APR与Non-APR都是安装了VA的路由器。

图4说明了VA中转发数据包的基本流程。首先,路由器D被配置为VP(1.0.0.0/8)的APR,建立了到路由器B的一条隧道。路由器C作为入口路由器,收到由路由器A发送的数据包(目的地是与路由器B相连的网络中的某台主机)。路由器C先将数据包转发给路由器D,D通过隧道将数据包发送给隧道终点B,最后由B将数据包发送给目的主机。

VP并不是按拓扑进行汇聚的,而是通过虚拟聚合技术对多个不连续的运营商独立地址的聚合。VA在减小路由器中FIB规模的同时却可能导致路径长度的增加,如图4。这个问题可以通过将APR部署在最短路径上来解决。

3.2 基于ID/Locator彻底分离的路由体系结构

这类方案的基本思想是在主机处实现位置标识符和身份标识符的彻底分离。早期M.ODell提出的GSE就属于此类方案,它将主机的IPv6地址分为Locator和ID两部分,实现了位置与身份的分离,但并不保证ID的全球唯一性和安全性。此后提出的LNAI以及HIP也属于此类方案。

LNAI设计了一个扁平的4层名字空间结构,包括用户级描述符(ULD)、服务描述符(SID)、主机描述符(EID)和IP地址。同时LNAI还提出了一个三级地址解析方案,包括将ULD解析为SID、将SID解析为EID、将EID解析为IP地址。通过增加SID和EID这两个额外的名字空间和解析层次,LNAI不仅能够允许服务和数据成为一级因特网对象(能够直接和持久地命名),还支持主机的无缝移动和网络多归属,并可以将中间盒如网络地址转换(NAT)和防火墙等整合到互联网体系架构中。

HIP提出在网络层和传输层中间插入一个新的协议层——主机标识层。主机标识层将原来紧密耦合的传输层和网络层分开,彻底分离IP地址的双重功能,使IP地址只作为网络层使用的位置标识符,专用于数据包的路由转发,而把主机标识的功能交给主机标识符(Host ID),传输层使用主机标识符而不是IP地址作为主机的标识。在双方进行通信时,IP地址的变化对传输层透明,从而保证在发生移动或者地址变化时,通信可以持续进行,而不会被中断。

图5简要显示了HIP协议进行一次完整对话的基本流程。通信发起者在初始化连接时,首先发送域名系统(DNS)查询请求,DNS服务器返回目的地对应的主机标识符;接着由主机标识层查询映射服务器得到对应的IP地址;源端与目的端的主机标识层之间建立HIP关联;最后,源端和目的端开始进行数据交换。

整个体系结构从根本上适应了移动和网络多归属的需求。同时,主机层的引入削弱了网络层和传输层的依赖关系,增加了网络的灵活性,有利于从IPv4到IPv6迁移。但是HIP也存在一些问题:需要主机作一定的修改,部署起来比较困难,不支持组播。由于HIP未修改现有网络设备,故并不能对互联网服务提供商(ISP)实现有效的流量工程提供直接支持。

3.3 基于封装/映射的路由体系结构

此类方案的基本思想是:将整个路由域分为全局路由域和本地路由域,ID/Locator的分离在边界网关处实现,如图6。全局路由域是由边界网关组成的,在同一个本地路由域内的实体之间的通信使用身份标识符进行路由,在全局路由域内使用位置标识符进行路由。需要发往本地域外的数据包携带的是目的主机的身份标识,它们首先被转发到本地路由域的边界网关处(源网关)。源网关通过某种映射服务获得目的网关的位置标识并将这个标识作为目的地址。接着,根据目的网关的位置标识,这个数据包就可以通过全局路由域到达目的网关。目的网关去掉数据包中的位置标识,根据目的主机的身份标识转发数据包,最终数据包将到达目的主机。这类方案不仅仅能够解决目前Internet面临的路由可扩展问题、支持站点多归属,而且由于ID/Locator在路由器处进行分离,有利于ISP进行流量工程控制。