王一明，刘 颖，郜 帅

(北京交通大学 电子信息工程学院，北京 100044)

基于一体化标识网络中数据流管控系统的研究

王一明，刘 颖，郜 帅

(北京交通大学 电子信息工程学院，北京 100044)

随着大数据和云计算的快速发展，数据流管控在网络性能方面有着举足轻重的作用，研究网络中的数据流对于优化网络性能至关重要。目前，一体化标识网络支持异常流量检查、复杂映射模式和移动性等功能，但是在数据流管控方面还缺少进一步的研究。因此一个良好的数据流管控系统能够优化网络数据传输，提升网络性能，促进一体化标识网络的完善。设计了一体化标识网络中的数据流管控系统，通过位于接入交换路由器的数据流检测模块以及位于映射服务器的数据流调度模块协同工作，计算数据流全网路径的最小代价，优化数据流的转发，实现对网络数据的细粒度控制。通过测试分析此机制的优越性，证明在一体化标识网络中部署该管控系统利于提高网络性能。

一体化标识网络；流量检测；数据流调度；细粒度控制

0 引 言

一体化标识网络[1]是根据身份与位置分离体系思想重新设计的一种新型网络。该网络通过引入接入标识和路由标识，有效地消除IP地址的二义性，提高网络的性能、安全以及可扩展性。标识分离映射理论[2]是一体化标识网络的核心理论，它在接入网中定义了接入标识代表用户身份信息，在核心网中定义了路由标识代表用户位置信息[3]，在接入交换路由器上实现接入网和核心网的分离，在标识映射服务器上存储接入标识和路由标识的映射关系，完成对数据流的转发，实现终端的身份信息与位置信息的分离。

目前，关于一体化标识网络的研究越来越深刻，在数据流管控领域有一定的研究成果。在网络流量监测方面[4]，提出了流量异常监控系统。通过监控网络流量信息，对网络数据包进行统计分析，排除网络风险，增强网络安全。在映射方式方面[5]，提出了复杂映射系统[6]，包括多个接入标识映射为一个路由标识以及一个接入标识映射为多个路由标识的映射方式，可以通过协议类型端口号等条件增加对数据映射的管理[7]。如何建立更为优化的数据流管控机制是一体化网络研究的重点。

对于分离映射机制而言，通过在接入交换路由器配置映射选项[8]的方式，开启映射模块，可支持IPv4/IPv6[9-10]。在核心网默认使用等值多路径技术，对于存在多条不同链路到达同一目的地址的网络环境，使用ECMP技术可以在该网络环境下同时使用多条链路，不仅增加了传输带宽，而且可以实现等值情况下，多路径负载均衡的目的。然而，各路径的带宽、时延和可靠性等不一样，让代价值相同，不能很好地利用带宽，尤其在路径间差异较大时，严重影响了网络性能。因此，优化网络中数据流的感知、监测和调度[11]，对于提高网络性能，保证网络安全[12]有着至关重要的作用。

基于一体化标识网络，在网络流量监测模块的基础上，提出了分离映射网络的数据流管控系统[13]。该原型系统通过数据流检测模块检测数据流信息，通过数据流调度模块管理网络资源[14]，计算全网路径的最小代价，并且控制数据流的分离映射路径。这种集中管控的方式，针对大数据流[15]，能够较大地提升一体化标识网络的性能。

1 一体化标识网络的体系结构

一体化标识网络是一种二层的网络体系架构，分为网通层和服务层。其中网通层是由OSI模型中的网络层、数据链路层、物理层组成，是一体化标识网络中提供全网通信的基础平台和通信保障。服务层对应OSI七层网络模型的传输层、会话层、表示层和应用层，负责各种服务、业务的连接、控制和管理功能。文中主要研究网通层的结构和标识分离映射理论以及实现，并且针对分离映射系统，提出新的数据流管控机制，能够优化数据流的调度，提升网络性能。

网通层是一体化网络中各种服务、业务的支撑部分。主要完成两方面的功能，一是提供多元化网络的接入，二是为一体化标识网络终端提供一个网络通信平台。网通层将网络分为接入网和核心网。接入网和核心网分别使用接入标识和路由标识，接入标识(AID)代表身份信息，路由标识(RID)代表位置信息。然后通过标识分离映射理论，实现接入网和核心网的分离，最终实现终端身份信息与位置信息的分离。标识分离映射理论建立了接入管控机制和网络行为控制机制，使一体化标识网络本质上具备可信可控性。

根据分离映射理论，在一体化标识网络中，接入网的终端通过一个或者多个接入交换路由器连接到核心网，核心网的路由器互相连接构成全局路由网络。接入网负责用户的接入，核心网负责路由信息的管理。

分离映射工作主要在接入交换路由器上完成。接入交换路由器具备维护路由表，转发数据包以及接入标识与路由标识替换的功能。当终端第一次发起数据请求，接入交换路由器从接入网收到数据包，并准备向核心网转发数据时，把数据包首部中的接入标识替换为路由标识，分配新的映射关系，通告给映射服务器。当对端接入交换路由器从核心网收到使用路由标识的数据包后，在向接入网转发前，会首先查找自身映射表中是否存在相应映射关系。如果存在，则将数据包首部中的路由标识替换为接入标识；如果不存在，则向映射服务器查询相应的映射关系，当映射服务器返回结果后，将数据包头部的路由标识替换为接入标识，转发到接入网，完成数据通信。如此，用户的隐私、网络安全性、可控可管性和移动性在网络部分得到很好的支持。

2 数据流管控系统设计

2.1 设计思路

为了实现网络状态感知、系统资源的利用以及对于数据流的集中管控，数据流管控系统包括两个模块：数据流检测模块和数据流调度模块。在接入交换路由器上设计数据流检测模块，在映射服务器上设计数据流调度模块。通过数据流检测模块实现对数据流的区分与通告，利用数据流调度模块实现全网络流量的管控与调度。两个模块协同工作，完成对一体化标识网络中大数据流的管控。

数据流管控系统分为三个步骤。首先在接入交换路由器上检测指定数据流，然后汇集网络信息，在映射服务器上计算转发路径，最后下发转发表，实现数据流的转发。

系统的整体架构如图1所示。

图1 数据流调度系统架构

数据流检测模块位于接入交换路由器上，收集来自终端的数据流信息，包括数据流大小、网络接口等网络参数。当来自终端的数据流到达接入交换路由器时，位于接入路由器上的数据流检测模块，实时检查数据流，分析网络数据，并把分析处理的结果发送到位于映射服务器上的数据流调度模块。

数据流调度模块位于映射服务器上，该模块定时与数据流检测模块进行通信，当收到数据流检测模块发送的网络数据包信息时，数据流调度模块通过流量采集，网络资源感知，计算合适的路径，重新分配网络资源，下发转发消息到接入交换路由器，从而实现对数据流的路径分配。

数据流管控系统模块之间的通信过程如图2所示。

图2 数据流管控系统通信流程

在整个系统中，接入交换路由器对数据流进行实时检测。周期性地发送数据流信息到映射服务器。当映射服务器收到来自接入交换路由器的网络状态消息，立即回送网络状态信息确认，保证对数据流每次变化进行回应。数据流调度系统接收网络状态信息，通过计算处理，获取最优路径。由于计算处理需要一定的时间开销，稍作延迟下发转发消息给接入交换路由器。一旦网络数据流发生变化，系统会动态更新相应转发路径。这就是数据流管控系统中两个核心模块的通信过程。

在数据流管控系统中，定义数据流为源-目的相同的数据包的集合。在网络中，充斥着各种数据流，其中大数据流是构成网络流量的主要部分。因此，该系统重点解决在一体化标识网络中大数据流的集中管控。

2.2 模块设计

数据流管控系统分为数据流检测模块和数据流调度模块。模块具有高聚合、低耦合的特性，通过数据通信实现模块之间的协同工作。

模块设计如图3所示。

1)数据流检测模块。

数据流检测模块用来检测数据流，获取网络信息。具备数据存储、数据通信和数据捕获等功能。该模块包括流量采集、统计分析、数据存储和数据通信四个子模块。

图3 数据流管控系统模块设计

工作流程分为四步：

(1)流量采集，捕获数据流，提取数据包信息；

(2)统计分析，解析数据包生成数据流信息摘要；

(3)数据存储，在数据库中存储数据流信息；

(4)数据通信，与数据流调度模块通信。

一体化标识网络终端位于接入网中，所有的用户流量都是通过接入交换路由器接入网络。然后在接入交换路由器进行数据包的映射替换(AID-RID)和逆映射替换(RID-AID)。在核心网中使用路由标识RID进行数据转发。分析数据包的AID能够反映用户的数据特性和行为特性。因此数据流检测模块位于接入交换路由器接入网端，用于捕获源/目的接入标识AID的原始流量信息。

2)数据流调度模块。

数据流调度模块用来实现制定数据流转发策略，具备网络资源感知、数据通信和计算转发等功能。该模块包括网络资源感知、数据通信、分析计算和资源分配四个子模块。

工作流程分为四步：

(1)资源感知，感知网络资源，获取路径信息；

(2)数据通信，与数据流检测模块通信；

(3)分析计算，计算大数据流的最优路径；

(4)资源重分配，重路由，分配最优路径。

接入交换路由器分配映射关系，通过数据流检测模块检测数据流大小，针对大数据流，结合网络中数据链路状态，分配映射关系与转发路径。映射关系支持复杂映射策略，包括一对多、多对一映射。转发路径为网络资源感知确定的数据流路径或者ISP提供的高带宽链路。因此数据流调度模块能够提高一体化标识网络对数据流的管控能力。

3 数据流调度系统的实现

3.1 数据流检测模块

数据流检测模块包括流量采集、统计分析、数据存储和数据通信子模块。系统启动时，初始化四个进程，各自独立完成上述工作。

流量采集使用数据捕获技术，捕获网络上全部或者特定部分的数据包信息。通过监听接入路由器网卡实时捕获流经端口的数据包。常见的捕获技术有以下几种：SOCKET_PACKET套接字，数据链路层接口(Data Link Provider Interface，DLPI)以及伯克利数据包过滤器(Berkeley Packet Filter,BPF)。目前主流的开发库LibPcap(Library of Packet Capture)基于BPF的捕获机制，在Linux下的数据捕获技术多数基于LibPcap开发库设计和实现。

为了提高数据捕获能力以及软件的并发性能,数据捕获功能采用基于LibPcap函数库的多线程设计方式，在主线程启动之后，激活捕获子线程、扫描子线程和发送子线程。数据流检测模块内核版本2.6.28。

数据存储，接收流量采集的数据包信息，然后按照指定的格式分析提取数据包数据部分的流摘要信息，将提取出来的每一条流摘要记录存储到本地数据库。数据库中数据流格式包括流序号、类型、约束条件、源地址、目的地址和说明。数据库中每一行代表一条流记录信息。

统计分析，汇总存储数据库中的流量记录，根据数据流量的大小，结合给定的阈值，统计分析结果。阈值是给定的有关数据流大小的参数，可以通过统计单位时间内通过源-目的地址的数据包的个数确定。通过调节阈值实现对数据流大小的控制，实现对网络数据流不同程度的管控。

数据通信，负责与数据流调度模块进行通信，建立客户-服务器模型，建立TCP连接，在定时器的控制下，周期发送数据流统计分析的结果。

3.2 数据流调度模块

数据流调度模块包括网络资源感知、数据通信、分析计算和资源分配四个子模块。该模块初始化三个进程，对应前三项功能，当计算分析完成，建立新的进程实现资源分配。

数据通信子模块，建立客户-服务器模型。主流的I/O模型有阻塞/非阻塞，I/O复用以及进程线程模型等。为保证集中处理的效率，该子模块使用多线程模型。当程序开始时，初始化数据通信模块，创建两个子线程(接收线程和处理线程)，分别完成数据包的接收和信息提取存储功能。接收到数据包的同时，会触发相应处理操作。

考虑到系统扩展问题，当映射服务器管理更多的接入交换路由器时，要考虑TCP连接并发性问题。使用epoll模型处理，相比较传统的select模型，该模型无最大并发数限制，通过内存拷贝技术提高内核层与应用层的传输效率。

网络感知子模块，感知获取网络资源。获取链路信息、带宽、时延、链路负载、链路利用率等参数，发送到分析子模块。由分析子模块分析网络状态，确定网络中路径的代价，比如高带宽、高延迟的路径。通过计算子模块加权计算不同路径的代价，求出针对大数据流总代价的最小值。由资源分配子模块重新分配网络路径，并且将最优化的路径下发的接入交换路由器，实现大数据流的转发，控制数据流的调度。

针对大数据流，首先查找ISP是否提供了高带宽路径，转发大数据流的路由标识，如果提供了此类路由标识，直接替换原有的路由标识，采用新的路由标识转发数据。如果没有ISP提供的高带宽路径，则通过网络资源感知获取网络中高带宽路径。网络中存在多条路径，每条路径的链路状态不同，有的支持大数据流的转发，有的负载过重，不宜转发大数据流路径。

4 测试分析

搭建测试环境，网络拓扑如图4所示。

图4 测试环境

终端A向终端B发起请求，通过网络资源感知，该网络拓扑存在两条网络路径：路径1为接入交换路由器A-接入交换路由器B，路径2为接入交换路由器A-路由器C-路由器D-接入交换路由器B。

通过限制网卡速率使得路径2支持10 M带宽，路径1支持百兆速率。终端A向终端B发起视频业务的请求，视频流为大数据流业务。使用ECMP技术，路径1和路径2实现等值多路径，相当于利用带宽20 M，但是对于路径1而言，利用率仅仅为10%，效率低下。当开启大数据流转发控制之后，使得大数据流通过路径1转发，充分利用网络资源，提高效率。

在映射服务器上，观察分配的转发路径，如图5所示。

图5 数据流分配表项

该表项显示的是数据流调度系统针对大数据流的调度策略，其中Flow为所调度的大数据流的序列号，Src为源地址，Dst为目的地址，Route为接入路由器的ID，默认使用路由器最大地址，Interface为转发接口，Path为Path路径集合中的序号。

因此，数据流的源地址为2001:250::3，目的地址为2001:350::2，位于接入交换路由器3ffe:2ffe::3上，转发接口为eth1。该拓扑共计算两条路径(路径1和路径2)，转发路径为集合中的路径1。

通过测试，可以观察到数据流调度系统能够为大数据分配转发的路径，提高网络资源的利用率。与之相对的，该系统在运行时消耗了部分网络资源，计算转发路径也会带来一定程度的延迟，但是对连续的大数据流带来的性能上的提升是显而易见的。

5 结束语

为了实现对网络数据流的细粒度管理，提升一体化标识网络的性能，提出了一体化标识网络数据流管控系统。该系统通过对网络资源的收集，分析网络状态，计算大数据流路径，并相应地重新配置网络资源。实验结果表明，该管控系统可以显著提高网络的利用率，但需要为此付出额外的计算开销和一定程度的时间延迟。

[1] 王 上.一体化网络接入交换路由器分离映射的设计与实现[D].北京：北京交通大学,2008.

[2] 董 平,秦雅娟,张宏科.支持普适服务的一体化网络研究[J].电子学报,2007,35(4)：599-606.

[3] 杨 冬,周华春,张宏科.基于一体化网络的普适服务研究[J].电子学报,2007,35(4)：607-613.

[4] 杭静文.一体化标识网络流量异常监测技术研究与实现[D].北京：北京交通大学,2013.

[5] 李晓倩.一体化标识网络身份与位置映射关键技术研究[D].北京：北京交通大学,2013.

[6] 王培新.标识分离映射网络动态映射系统的设计与实现[D].北京：北京交通大学,2011.

[7] 刘萧一.一体化标识网络下变长标识复杂映射系统研究[D].北京：北京交通大学,2015.

[8] 崔锡鑫.一体化标识网络下分布式映射服务系统研究[D].北京：北京交通大学,2015.

[9] Postel J.Internetwork protocol[S].[s.l.]:[s.n.],1981.

[10] Deering S,Hinden R.Internet Protocol,Version 6 (IPv6) specification[S].[s.l.]:[s.n.],1998.

[11] 张宏科,苏 伟.新网络体系基础研究—一体化网络与普适服务[J].电子学报,2007,35(4):593-598.

[12] 万 明.身份与位置分离体系映射安全关键技术研究[D].北京:北京交通大学,2012.

[13] 唐建强.标识网络攻击防御与安全移动性管理技术研究[D].北京:北京交通大学,2014.

[14] Menth M,Hartmann M,Holing M.FIRMS:a future internet mapping system[J].IEEE Journal of Selected Areas in Communications,2010,28(8):1326-1331.

[15] Liu J,Li J,Shou G,et al.SDN based load balancing mechanism for elephant flow in data center networks[C]//International symposium on wireless personal multimedia communications.[s.l.]:IEEE,2014:486-490.

Research on Traffic Management and Control System Based on Universal Identifier Network

WANG Yi-ming,LIU Ying,GAO Shuai

(School of Electronic and Information Engineering,Beijing Jiaotong University, Beijing 100044,China)

With the rapid development of big data and cloud computing,management and control of data flow plays an important role in the performance of universal identifier network.Recently,universal identifier network supports abnormal traffic monitor,complex mapping system and mobile network.However,there needs further study to research in data flow control.A traffic management and control system in universal identifier network is benefit for the performance of network.An optimal data flow management system is presented with minimum cost of source-destination path.By data detection module in the access router and data scheduling module in the mapping server,this system can get an optimal solution when it comes to data flow.The system prototype is implemented in identifier network.The results show that this scheduling system can significantly enhance the performance of the network by improving the network management and link utilization.

universal network;traffic detection;data flow scheduling;fine-grained control

2015-12-10

2016-05-11

时间：2017-01-10

中央高校基本科研业务费专项资金(2015JBM008)

王一明(1990-)，男，硕士研究生，研究方向为下一代互联网；刘 颖，副教授，研究方向为信息网络、网络安全；郜 帅，副教授，研究方向为信息网络、网络安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20170110.0941.010.html

TP302

A

1673-629X(2017)02-0158-05

10.3969/j.issn.1673-629X.2017.02.036