庞 峰,窦立君

(南京林业大学网络安全和信息化办公室,江苏 南京 210037)

1 引言

随着网络结构愈加复杂,无线局域网正面临着安全性问题。无线局域网一直沿用波束切换天线与路由技术的IEEE802.11系列协议,以多区域间用户群的服务质量为目标,具有窄波束传播的特点[1-3]。在用户使用网络密集的情况下,路由协议将直接影响到网络的传输质量,如何在多域间保证用户群的服务质量,提高无线局域网的安全性是亟待解决的问题[4]。

文献[5]设计基于OpenFlow的用户群服务质量系统,将网络中的流量分为服务模式的普通流量和具有用户群服务质量保障的流量,并采用不同路由算法对两种流量的资源使用情况进行处理,当网络拥堵时,采用重路由机制对其进行保护。文献[6]提出基于机会路由的想法,该方法区别于传统路由协议,根据数据包中潜在的下一跳节点,由路由度量进行判断,动态地选择出最优下一跳节点,该方法可提高无线局域网的吞吐量。文献[7]设计了由区分服务组件和多路由组件构成的HiQoS系统,通过IP地址对服务的类型进行区分,基于改进Dijkstra算法对满足QoS需求的源地址与目的地址间的路径进行计算,当有报文时,选择源地址与目的地址间宽带使用率较低的路径,避免网络堵塞,该方法可以较好的计算路由。

基于以上研究,本文通过探测包的发送时间等信息对无线局域网的可用宽带进行评估,对单边宽带进行修正,求出链路可用带宽。将系统采取3个层次的结构设计,使系统能够支持多种配置工具,具有灵活扩展性,并根据网络节点判断是否需要发起重路由机制。

2 无线局域网路由技术

无线局域网不需要额外的控制设备,网络中的节点不仅可以作为用户端,还可以作为服务端,实现设备间的相互通信。无线局域网中的路由协议主要完成选择路由和执行数据分组两方面工作,路由协议的目的是选择一条稳定、高速的最佳路径,使数据转发过程中具有较高的吞吐量,达到更好的性能适应于不同场合。

路由度量是影响无线局域网性能的主要指标,在路由协议中具有重要的作用。路由度量作为路径选择的判断依据,能有效反映路由算法的性能,以便在不同网络规模和应用场所中获得最佳性能,因此有很多路由度量的方法。

期望传输次数是针对链路的丢包率与最小跳数缺陷设计的方法,通过广播探测帧对前、反向送达率的链路测量,计算出成功传输数据包的平均次数。设节点成功发送数据包的概率为Nsen,节点成功接收数据包的概率为Nrec,那么期望传输次数公式可表示为

(1)

虽然期望传输次数优于最小跳数度量,但其没有考虑到不同带宽的问题,导致检测到的数据包远少于实际的数据包,不能很好的反映出丢包率。

期望传输时间是针对丢包率、带宽和数据包大小等因素进行设计。设探测包的大小为Spro,链路带宽为Blin,那么期望传输时间公式可表示为

(2)

然而期望传输时间并没有对剩余宽带进行考虑,在总宽带较高的情况下,会导致链路不同,且没有对流内干扰和负载情况进行优化。

空时链路度量是针对数据帧在传输过程中信道的消耗总量进行设计的方法。设信道接入开销为Prec,MAC协议开销为Parg,测试帧大小为Fpro,传输速率为v,那么时空链路度量公式可表示为

(3)

其中,ε表示误差。空时链路度量的主要缺点是没有考虑到负载情况。综合考虑,本文对期望传输次数采取优化,并作为路由的度量。为保证无线局域网的传输速率,链路的可用宽带是衡量链路宽带资源的重要指标,对其进行研究有十分重要的意义。在无线局域网中,可用宽带表示端到端可获得数据的最大传输速率,其可直接反映链路上可用的剩余宽带数量,因此可作为路由选择的度量。

(4)

若探测包传输速率比可用宽带小,那么延迟时间较小,若探测包传输速率比可用宽带大,那么会造成链路堵塞,延迟时间增长,因此捕捉到这个变化的临界点,便可获得可用带宽。设同一传输介质中的传播时延为Treg,传输时间为T,数据包的大小为Sdat,那么链路带宽公式可表示为

(5)

在数据的传输过程中,数据的碰撞会导致消耗过多的宽带资源,为此提出计算收发双方同步概率的方法,结合拉格朗日算法,通过数据包的碰撞情况计算碰撞率,公式可表示为

Pass=Pcol*f(m)

(6)

其中,Pcol表示数据包统计的碰撞概率。进而可以得到整体估计公式

Tess=(1-C)(1-Pcol)×E

(7)

其中,C表示退避引起的消耗;E表示收发节点同步后修正的可用宽带。当信道处于忙碌状态,系统认为信道不能用于收发数据,于是可用宽带公式可表示为

(8)

其中,Tidle表示周期内信道处于空闲状态的时间;Tbusy表示周期内信道处于忙碌状态的时间;Ccap表示信道容量;Tsen表示节点在一个周期内监听信道为忙碌状态的时间。通过获得收发双方的双发最小值,便可求出链路可用带宽。

3 端到端控制方案设计

端到端安全重路由的系统主要按三个分层进行设计:接口层、数据层和管理层。接口层包含各种配置工具,主要功能是对用户输入的配置请求进行解析,将解析后的结果交给管理层的组件进行处理。管理层根据设置好的信息模型对配置信息中的数据进行检查,并与相关的组件关联,将配置数据保存到数据库中,各个组件通过数据库中的配置数据对请求进行处理。

3.1 接口层设计

接口层起到用户和路由器间交互的作用,用户可用配置工具对输入请求进行配置。CLI是用户和路由器交互的一种可视化工具,系统包含多个命令视图,用户进入不同的命令视图输入配置请求后,接口层对命令进行接收、匹配和检查等,获得用户相应的配置信息,与此同时CLI为用户提供在线帮助。CLI对用户命令解析需要5个阶段,具体阶段和功能如表1所示。

表1 CLI对用户命令解析阶段及功能

3.2 管理层设计

管理层主要通过协议对配置的信息模块与设定的信息模块采取数据检测,与相应的功能组件关联,生成数据保存到数据库中。用户端通过网络配置管理协议对网络设备进行管理,并向服务器发送查询或修改具体参数的请求。服务器不仅需要维护网络系统,还要对用户端的请求作出响应,把相关数据回复给发出请求的用户端。服务器对接收到的请求进行解析,并在管理框架的支持下处理请求。

不同网络设备配置的模型不同,需要固定的数据模型将配置数据解析成一致的格式,以完成自动化配置。根据配置接口层,本文增加新的模型定义。在新模型中,使用“grouping”声明把节点存入容器中,当被调用时,可根据不同的作用更新grouping的定义。在容器节点中定义三个叶节点:镜像节点地址、目的地址和VPN接口地址,如果三个节点被标记为“config false”,则表示是状态数据,不可对其进行配置;如果三个节点被标记为“config true”,则表示是配置数据,可对其进行配置。

3.3 数据层设计

数据层的主要作用是建立APP静态命令行的模型,结合配置参数调用APP组件。组件的数据均封装在本地数据区域中,组件之间可通过异步消息方式进行通信,根据不同需求可增加组件间的交互接口,根据需求分析,本文在组件上新增一些交互接口。

1) 镜像节点模块:当收到配置信息时,路由计算组件镜像节点的配置信息,检查位置标识所对应的网段路由是否存在、是否有镜像保护。链路状态数据库组件收到预发布的镜像信息后,将其保存在对应的位置标识处,并通知路由计算组件,对远端的网断路由进行添加或删除。

2) 优先级路由源模块:路由计算组件对信息解析,生成低优先级路由源,并对镜像标记进行保存。如果低优先级被选中,给路由管理组件下发标记,标明该路由只用来转发。

3) 镜像生成模块:链路状态组件将解析的镜像节点作为节点属性发送给路由组件,路由计算组件根据拓扑结构对其区分,根据优选规则选择镜像节点地址,向分段路由组件下发索引更新。

4 重路由分析

在无线局域网中,常常因为用户网络节点等问题导致原有路由失效。为保持连续的通信且通信效果最佳,需要对原路由更新,进行重路由操作。

重路由需要满足用户路径端到端的安全需求,安全重路由请求由五部分组成Rreq{Nsou,Nobj,Treq,Gsaf,Ncon}。其中Nsou表示源节点,Nobj表示目的节点,Treq表示用户请求类型,Gsaf表示用户请求安全等级,Ncon表示会话编号。为了保证重路由请求具有唯一性,网络节点依据ID判断是否需要发起重路由。

重路由设计的目标是:在满足用户网络多域间端到端安全的前提下,最大化链路复用率,并将重路由路径构建时间最小化处理,数学模型可表示为

(9)

且

(10)

其中,R表示原有链路复用率;Rrun表示重路由运行时间;i表示用户请求类型;l表示链路;Rs＿d表示源节点到目的节点的路径;bl表示链路带宽;dl表示链路延迟;jl表示延迟抖动;ll表示链路出错率。当重路由条件被触发后,建立一条安全、可信的重路由路径是无线局域网研究的重点,因此本节着重考虑链路的带宽和信任值对重路由进行设计。对链路带宽进行归一化处理,公式可表示为

(11)

(12)

其中,t表示链路信任值;η和κ均表示调节因子。经过设计后的重路由,当链路可用宽带和信任值较大的情况下,启发费用会较小,表示链路有较大概率可以被选择。这样既能满足用户对无线局域网资源的需求,也有利于均衡网络负载。

5 实验结果与分析

为了验证无线局域网多域间端到端安全重路由方法的有效性,本文针对重路由的成功率、运行时间两个性能指标对重路由机制进行验证。

随机选择源、目的节点和用户应用类型构建用户的路由请求,依据重路由机制,找到一条安全的路径。为了更好模拟无线局域网络流量,设置5种流量等级,产生100个路由请求,求解出安全且可信的路径。设置不同节点,测试重路由成功率,并将本文重路由机制与传统机制进行比较,比较结果如图1所示。

图1 重路由成功率对比

从图中可以看出,随着无线局域网络流量等级的增加,两种重路由机制的成功率均有下降趋势。但本文机制的重路由成功率明显好于传统重路由机制,重路由成功率较高,这是由于本文设计的节点数较大,即使有故障出现,也不会受到较大的影响。

为了验证重路由选路所需要的时间,设定流量等级为3时,测试重路由平均运行时间,并将本文重路由机制与传统机制进行比较,结果如图2所示。

图2 重路由时间对比

从图中可以看出,传统重路由时间较长,这是因为传统机制在路径寻优时的整合运算较复杂,而本文采用的机制是将最短路径进行了扩展,重路由寻路径所需要的时间很短。

6 结束语

本文设计的无线局域网多域间端到端安全重路由机制主要以带宽路由度量为基础,采用主动估计算法对无线局域网的可用宽带进行评估,结合拉格朗日算法计算收发双方同步概率。从接口层、数据层和管理层对端到端安全重路系统进行设计,为了均衡网络负载,对链路带宽进行归一化处理。依据本文设计的重路由机制,随机选择源、目的节点和路由请求,对重路由的成功率、运行时间两个性能指标进行验证。实验结果表明本文方法重路由成功率较高,并且重路由在路径寻优时具有较高的效率。