面向可信網(wǎng)絡(luò)研究的虛擬化技術(shù)(上)

1 引言

    隨著互聯(lián)網(wǎng)在人們社會(huì)生活中的地位越來越重要，如何保證網(wǎng)絡(luò)服務(wù)的安全可靠得到越來越多的關(guān)注，對互聯(lián)網(wǎng)技術(shù)的研究重點(diǎn)也逐漸由提高傳輸和交換性能、增強(qiáng)QoS保證轉(zhuǎn)移到提高網(wǎng)絡(luò)行為的可控性、網(wǎng)絡(luò)服務(wù)的生存性等方面，特別是近年來對DDOS攻擊防范、蠕蟲傳播等網(wǎng)絡(luò)安全問題，可審計(jì)的網(wǎng)絡(luò)協(xié)議、源地址欺騙防范、網(wǎng)絡(luò)安全脆弱性分析以及網(wǎng)絡(luò)生存性的研究逐漸成為熱點(diǎn)。

    可信網(wǎng)絡(luò)將上述內(nèi)容凝練成一個(gè)新的研究方向，已經(jīng)成為下一代互聯(lián)網(wǎng)研究的重要分支。文獻(xiàn)對可信網(wǎng)絡(luò)產(chǎn)生的背景和需求進(jìn)行了深入的分析，從信息安全、可信系統(tǒng)和可信計(jì)算等多個(gè)角度出發(fā)對可信網(wǎng)絡(luò)進(jìn)行了描述，并建立了可信網(wǎng)絡(luò)信任控制和行為模型，上述工作對可信網(wǎng)絡(luò)的研究具有重要的指導(dǎo)意義，但目前可信網(wǎng)絡(luò)研究面臨一個(gè)問題，即在IP無連接傳送機(jī)制和端到端設(shè)計(jì)思想指導(dǎo)下如何有效支撐各種可信網(wǎng)絡(luò)服務(wù)，或者說現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施(如路由器)的管理、配置、故障發(fā)現(xiàn)和恢復(fù)機(jī)制能否滿足可信網(wǎng)絡(luò)服務(wù)的要求。

    虛擬化是近年來互聯(lián)網(wǎng)研究領(lǐng)域出現(xiàn)的新技術(shù)，其思想是通過對底層的抽象屏蔽物理網(wǎng)絡(luò)實(shí)現(xiàn)細(xì)節(jié)，將網(wǎng)絡(luò)的控制管理與數(shù)據(jù)平面的轉(zhuǎn)發(fā)與交換進(jìn)行有效的分離，虛擬化技術(shù)為可信網(wǎng)絡(luò)的機(jī)制設(shè)計(jì)提供了廣闊的空間，近期研究表明，虛擬化不但對新型互聯(lián)網(wǎng)體系結(jié)構(gòu)的研究、試驗(yàn)和部署具有重要的意義，對網(wǎng)絡(luò)單元(如路由器)的虛擬化也可提高其故障冗余，持續(xù)提供網(wǎng)絡(luò)服務(wù)的能力。本文將對網(wǎng)絡(luò)虛擬化技術(shù)進(jìn)行深入分析，并提出一種新的網(wǎng)絡(luò)虛擬化機(jī)制———VBN(Virtual Big Node)。該機(jī)制不但可以簡化網(wǎng)絡(luò)復(fù)雜性，還可提高網(wǎng)絡(luò)節(jié)點(diǎn)路由交換的魯棒性，因此對可信網(wǎng)絡(luò)服務(wù)的提供具有重要意義。

    本文第2節(jié)首先針對文獻(xiàn)中提出的可信網(wǎng)絡(luò)面臨的科學(xué)問題進(jìn)行分析，提出在現(xiàn)有網(wǎng)絡(luò)體系下實(shí)現(xiàn)可信網(wǎng)絡(luò)面臨的挑戰(zhàn);第3節(jié)對網(wǎng)絡(luò)虛擬化技術(shù)的產(chǎn)生背景、特點(diǎn)以及在可信網(wǎng)絡(luò)研究中的應(yīng)用進(jìn)行分析;第4節(jié)提出VBN機(jī)制;最后是全文的總結(jié)。

2 可信網(wǎng)絡(luò)研究面臨的挑戰(zhàn)

    林闖教授在文獻(xiàn)中給出了可信網(wǎng)絡(luò)的定義及其重要意義:“可信網(wǎng)絡(luò)是指網(wǎng)絡(luò)系統(tǒng)的行為及其結(jié)果是可以預(yù)期的，能夠做到行為狀態(tài)可監(jiān)測，行為結(jié)果可評估，異常行為可控制，對可信網(wǎng)絡(luò)的研究解決人們對網(wǎng)絡(luò)日益增加的依賴性與安全服務(wù)能力的有限性之間的矛盾，是進(jìn)一步推進(jìn)網(wǎng)絡(luò)理論技術(shù)研究，提高網(wǎng)絡(luò)建設(shè)及應(yīng)用水平的重大問題”，并指出可信網(wǎng)絡(luò)研究的4個(gè)關(guān)鍵科學(xué)問題，即網(wǎng)絡(luò)與用戶行為的可信模型、可信網(wǎng)絡(luò)的體系結(jié)構(gòu)、服務(wù)的可生存性以及網(wǎng)絡(luò)的可控性，然而我們認(rèn)為，在現(xiàn)有的互聯(lián)網(wǎng)體系下解決上述科學(xué)問題面臨著許多重要的挑戰(zhàn)。

    (1)網(wǎng)絡(luò)與用戶行為的可信模型

    協(xié)議行為是影響網(wǎng)絡(luò)行為的重要因素，眾所周知，IETF的哲學(xué)“相信統(tǒng)一的共識和可執(zhí)行的代碼”對互聯(lián)網(wǎng)協(xié)議的制定具有重要影響，由于缺少形式化描述和正確性驗(yàn)證，很多協(xié)議在誕生之初就存在難以預(yù)料的缺陷，而這些缺陷大多只有在協(xié)議已經(jīng)部署，對互聯(lián)網(wǎng)的運(yùn)行產(chǎn)生影響后才能發(fā)現(xiàn)和修補(bǔ)，例如盡管經(jīng)歷了十幾年的研究，作為下一代互聯(lián)網(wǎng)基礎(chǔ)的IPv6協(xié)議仍然存在大量安全漏洞，而在不確定的基礎(chǔ)協(xié)議行為上難以建立可信的網(wǎng)絡(luò)模型，對攻擊行為分析是可信網(wǎng)絡(luò)中用戶行為建模的重要組成，盡管基于模型和攻擊圖的用戶行為分析已經(jīng)得到廣泛的研究，但受建模方法和工具的限制，這些分析只能局限在小規(guī)模網(wǎng)絡(luò)中，無法對針對大規(guī)模互聯(lián)網(wǎng)的攻擊行為進(jìn)行分析。

    (2)可信網(wǎng)絡(luò)的體系結(jié)構(gòu)

    可信網(wǎng)絡(luò)體系結(jié)構(gòu)是指導(dǎo)各種可信網(wǎng)絡(luò)機(jī)制設(shè)計(jì)、協(xié)議實(shí)現(xiàn)、應(yīng)用部署和互操作的框架，由于先天不足，現(xiàn)有互聯(lián)網(wǎng)體系結(jié)構(gòu)的許多原則都與可信網(wǎng)絡(luò)設(shè)計(jì)相沖突，如端到端的設(shè)計(jì)思想造成互聯(lián)網(wǎng)的智能過分集中在網(wǎng)絡(luò)邊緣，導(dǎo)致網(wǎng)絡(luò)核心管理控制能力弱，無法準(zhǔn)確感知異常網(wǎng)絡(luò)行為，又如IP層是目前互聯(lián)網(wǎng)體系不可動(dòng)搖的基礎(chǔ)(NarrowWaist)，因此可信網(wǎng)絡(luò)研究中許多革命性的成果，如抵御DDOS的網(wǎng)絡(luò)體系結(jié)構(gòu)、可審計(jì)網(wǎng)絡(luò)協(xié)議等，難以得到實(shí)質(zhì)應(yīng)用，各種可信機(jī)制只能通過補(bǔ)丁的形式在網(wǎng)絡(luò)中實(shí)現(xiàn)，難以形成統(tǒng)一的頂層設(shè)計(jì)。

    (3)服務(wù)的可生存性

    服務(wù)的可生存性在某種程度上是對冗余資源的調(diào)度問題，目前互聯(lián)網(wǎng)從核心節(jié)點(diǎn)到邊緣服務(wù)器大都采用多機(jī)備份的方式以提高服務(wù)的可生存性，而且取得了一定效果，但在互聯(lián)網(wǎng)這個(gè)復(fù)雜系統(tǒng)中，冗余資源調(diào)度還面臨著兩個(gè)關(guān)鍵問題，一是故障難以及時(shí)檢測，例如骨干鏈路發(fā)生故障時(shí)，雖然光傳輸網(wǎng)具有快速的故障發(fā)現(xiàn)和自愈能力，但路由器難以及時(shí)感知光傳輸網(wǎng)絡(luò)的故障和變化，二是局部資源切換導(dǎo)致的瞬時(shí)非穩(wěn)狀態(tài)可能被無限放大，影響整個(gè)網(wǎng)絡(luò)的穩(wěn)定，例如局部轉(zhuǎn)發(fā)路徑的切換可能引起互聯(lián)網(wǎng)路由系統(tǒng)長時(shí)間的振蕩，導(dǎo)致用戶流量的丟失。

    (4)網(wǎng)絡(luò)的可控性

    互聯(lián)網(wǎng)是一個(gè)復(fù)雜的系統(tǒng)，在體系結(jié)構(gòu)、設(shè)計(jì)和工程化方面具有明顯的非線性特征，符合非線性系統(tǒng)的放大原則和耦合原則。一方面，網(wǎng)絡(luò)中一個(gè)小的事件可能會(huì)帶來網(wǎng)絡(luò)很大的不穩(wěn)定;另一方面，網(wǎng)絡(luò)中同時(shí)發(fā)生的事件可能相互影響，同時(shí)，互聯(lián)網(wǎng)端到端設(shè)計(jì)思想又使得網(wǎng)絡(luò)智能主要集中在網(wǎng)絡(luò)邊緣，因此對互聯(lián)網(wǎng)實(shí)施有效的管理控制十分困難，對故障和異常行為進(jìn)行有效的隔離是增強(qiáng)互聯(lián)網(wǎng)可控性的重要措施，雖然各種隔離機(jī)制，如入口過濾、ISP間整形、流量工程等，針對不同問題都能取得一定效果，但從互聯(lián)網(wǎng)整體看，這些控制行為還是難以預(yù)計(jì)的，對于蠕蟲傳播、DDOS攻擊等還是難以實(shí)施有效的控制。

    以上分析表明，可信網(wǎng)絡(luò)研究，特別是服務(wù)的可生存性和網(wǎng)絡(luò)的可控性，面臨很大挑戰(zhàn)，因此必須選擇有效的研究路線，我們認(rèn)為必須在網(wǎng)絡(luò)體系和協(xié)議設(shè)計(jì)上考慮兩個(gè)關(guān)鍵問題，一是通過分層等機(jī)制簡化網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜度，盡可能減小網(wǎng)絡(luò)非線性特征造成的管理控制的不確定性，二是在網(wǎng)絡(luò)中實(shí)施全方位的隔離機(jī)制，降低局部故障和異常對全局網(wǎng)絡(luò)的影響。

    虛擬化是近年來互聯(lián)網(wǎng)研究領(lǐng)域出現(xiàn)的新技術(shù)，通過對底層網(wǎng)絡(luò)的抽象屏蔽物理網(wǎng)絡(luò)實(shí)現(xiàn)細(xì)節(jié)，將網(wǎng)絡(luò)的控制管理與數(shù)據(jù)平面的轉(zhuǎn)發(fā)與交換進(jìn)行有效的分離，上述分離對網(wǎng)絡(luò)系統(tǒng)的簡化、故障和異常的隔離提供了較好的支持，因此虛擬化技術(shù)為可信網(wǎng)絡(luò)的機(jī)制設(shè)計(jì)提供了廣闊的空間。

3 虛擬化對可信網(wǎng)絡(luò)的支持

    虛擬化技術(shù)的基本思想是將網(wǎng)絡(luò)的管理控制與轉(zhuǎn)發(fā)交換相分離，通過高層的抽象屏蔽底層的物理實(shí)現(xiàn)細(xì)節(jié)，近年來硬件性能的持續(xù)提高，特別是網(wǎng)絡(luò)處理器、FPGA對可編程和可重構(gòu)的支持日益完善為網(wǎng)絡(luò)虛擬化創(chuàng)造了良好的條件，網(wǎng)絡(luò)虛擬化包括網(wǎng)絡(luò)平臺(tái)的虛擬化以及網(wǎng)絡(luò)節(jié)點(diǎn)的虛擬化。

    3.1 網(wǎng)絡(luò)節(jié)點(diǎn)虛擬化

    節(jié)點(diǎn)虛擬化技術(shù)最初源于20世紀(jì)90年代后期出現(xiàn)的可編程ATM交換機(jī)思想，即通過對硬件交換平臺(tái)的資源劃分，在一個(gè)物理交換機(jī)上虛擬出多個(gè)邏輯的交換機(jī)，以支持在一個(gè)物理網(wǎng)絡(luò)上構(gòu)建多套邏輯網(wǎng)絡(luò)，但這項(xiàng)技術(shù)直到近年來可編程硬件(如網(wǎng)絡(luò)處理器和FPGA)在網(wǎng)絡(luò)節(jié)點(diǎn)中得到廣泛應(yīng)用后，才得到進(jìn)一步的關(guān)注，當(dāng)前虛擬化在路由器上的應(yīng)用已經(jīng)成為研究的熱點(diǎn)。

    控制平面與數(shù)據(jù)平面相分離是路由器虛擬化實(shí)現(xiàn)的基礎(chǔ)，基于該思想，路由器控制平面與數(shù)據(jù)平面相互屏蔽各自實(shí)現(xiàn)細(xì)節(jié)，而只是通過標(biāo)準(zhǔn)的管理控制接口進(jìn)行通信，相關(guān)工作有網(wǎng)絡(luò)處理器論壇制定的CPIX(Common Programmable Interface Archi2tecture)規(guī)范，該規(guī)范對網(wǎng)絡(luò)處理器的物理實(shí)現(xiàn)進(jìn)行抽象，并制定標(biāo)準(zhǔn)的網(wǎng)絡(luò)處理器配置管理接口，因此路由控制軟件可直接運(yùn)行在不同的網(wǎng)絡(luò)處理器平臺(tái)上，IETF的ForCES工作組①更是致力于標(biāo)準(zhǔn)化控制平面與數(shù)據(jù)平面的通信協(xié)議，以便控制平面技術(shù)與數(shù)據(jù)平面技術(shù)能夠獨(dú)立發(fā)展，基于網(wǎng)絡(luò)處理器平臺(tái)以及ForCES協(xié)議實(shí)現(xiàn)的路由器有OpenRouter等。

    路由器虛擬化是在控制平面和數(shù)據(jù)平面分離的基礎(chǔ)上，進(jìn)一步在數(shù)據(jù)平面或控制平面實(shí)現(xiàn)上采用虛擬化技術(shù)，以獲得更好的故障冗余和管理控制能力，網(wǎng)絡(luò)節(jié)點(diǎn)虛擬化示意如圖1所示.

圖1 網(wǎng)絡(luò)節(jié)點(diǎn)的虛擬化

    在數(shù)據(jù)平面虛擬化中，路由器節(jié)點(diǎn)存在多個(gè)物理的數(shù)據(jù)平面實(shí)現(xiàn)，但通過虛擬技術(shù)只向控制平面提供一個(gè)虛擬的數(shù)據(jù)平面，而對于控制平面虛擬化來說，路由器上同時(shí)運(yùn)行多個(gè)控制平面，但通過虛擬化管理，同時(shí)只有一個(gè)控制平面負(fù)責(zé)管理配置數(shù)據(jù)平面以及與其他路由器交互，路由器虛擬化的實(shí)例將在3.3節(jié)中進(jìn)一步分析。

    網(wǎng)絡(luò)端系統(tǒng)的虛擬化研究包括VIA(VirtualInterface Architecture)②和VNS，VIA可在一個(gè)物理接口上虛擬出多個(gè)邏輯的網(wǎng)絡(luò)接口，而VNS則通過虛擬協(xié)議棧使得網(wǎng)絡(luò)端系統(tǒng)可與具有不同網(wǎng)絡(luò)協(xié)議的其他端系統(tǒng)通信，端系統(tǒng)的虛擬化為網(wǎng)絡(luò)平臺(tái)虛擬化提供用戶接入的支持。

    3.2 網(wǎng)絡(luò)平臺(tái)的虛擬化

    網(wǎng)絡(luò)平臺(tái)虛擬化思想產(chǎn)生于本世紀(jì)初研究者對互聯(lián)網(wǎng)體系結(jié)構(gòu)研究的不斷反思中，文獻(xiàn)指出，目前對互聯(lián)網(wǎng)體系結(jié)構(gòu)的研究陷入僵局，即新型體系結(jié)構(gòu)研究必須依賴大規(guī)模的試驗(yàn)床，但由于受到設(shè)備、管理、網(wǎng)絡(luò)規(guī)模等因素的限制，基于現(xiàn)有技術(shù)構(gòu)造的試驗(yàn)床還必須建立在現(xiàn)有的網(wǎng)絡(luò)體系上，只能使用IP無連接的傳送服務(wù)，因此新型體系結(jié)構(gòu)試驗(yàn)難以部署和開展，而虛擬化試驗(yàn)床是打破這一僵局的有效手段，與傳統(tǒng)的物理試驗(yàn)床和overlay試驗(yàn)床不同，虛擬試驗(yàn)床在一個(gè)公共的物理網(wǎng)絡(luò)(sub2strate)上通過資源的抽象、分配和隔離機(jī)制支持多個(gè)overlay網(wǎng)絡(luò)共存，與目前IP體系并行的各種新型體系結(jié)構(gòu)通過overlay機(jī)制在物理網(wǎng)絡(luò)上進(jìn)行部署，這些網(wǎng)絡(luò)相互間不會(huì)產(chǎn)生影響，試驗(yàn)者可通過首跳代理機(jī)制方便地接入不同的試驗(yàn)網(wǎng)絡(luò)進(jìn)行體系結(jié)構(gòu)試驗(yàn)，這一思想也成為美國GENI計(jì)劃①的核心。

    基于虛擬試驗(yàn)床的思想，文獻(xiàn)進(jìn)一步地提出虛擬化不但可作為支持新型互聯(lián)網(wǎng)體系結(jié)構(gòu)研究的有效手段，而且可作為下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的基本屬性，即IP只是下一代互聯(lián)網(wǎng)中的一種協(xié)議，可能還有其他與IP處于相同地位的協(xié)議，互聯(lián)網(wǎng)體系結(jié)構(gòu)是動(dòng)態(tài)變化的，體系結(jié)構(gòu)只是當(dāng)前所有存在的overlay網(wǎng)絡(luò)和協(xié)議的集合，因此虛擬化成為互聯(lián)網(wǎng)發(fā)展的關(guān)鍵，物理網(wǎng)絡(luò)資源的虛擬化、分配與隔離將取代IP成為互聯(lián)網(wǎng)體系結(jié)構(gòu)的核心(Nar2rowWaist)，網(wǎng)絡(luò)平臺(tái)的虛擬化如圖2所示，其中新型的互聯(lián)網(wǎng)體系結(jié)構(gòu)即可是一個(gè)適合多數(shù)應(yīng)用的通用結(jié)構(gòu)，也可是針對某一類應(yīng)用特點(diǎn)(如大規(guī)模流媒體傳輸)，開發(fā)的專用體系結(jié)構(gòu)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.lukmueng.com/

本文標(biāo)題：面向可信網(wǎng)絡(luò)研究的虛擬化技術(shù)(上)

本文網(wǎng)址：http://m.lukmueng.com/html/support/1112158491.html