面向可信網絡研究的虛擬化技術(上)

1 引言

    隨著互聯網在人們社會生活中的地位越來越重要，如何保證網絡服務的安全可靠得到越來越多的關注，對互聯網技術的研究重點也逐漸由提高傳輸和交換性能、增強QoS保證轉移到提高網絡行為的可控性、網絡服務的生存性等方面，特別是近年來對DDOS攻擊防范、蠕蟲傳播等網絡安全問題，可審計的網絡協議、源地址欺騙防范、網絡安全脆弱性分析以及網絡生存性的研究逐漸成為熱點。

    可信網絡將上述內容凝練成一個新的研究方向，已經成為下一代互聯網研究的重要分支。文獻對可信網絡產生的背景和需求進行了深入的分析，從信息安全、可信系統和可信計算等多個角度出發對可信網絡進行了描述，并建立了可信網絡信任控制和行為模型，上述工作對可信網絡的研究具有重要的指導意義，但目前可信網絡研究面臨一個問題，即在IP無連接傳送機制和端到端設計思想指導下如何有效支撐各種可信網絡服務，或者說現有網絡基礎設施(如路由器)的管理、配置、故障發現和恢復機制能否滿足可信網絡服務的要求。

    虛擬化是近年來互聯網研究領域出現的新技術，其思想是通過對底層的抽象屏蔽物理網絡實現細節，將網絡的控制管理與數據平面的轉發與交換進行有效的分離，虛擬化技術為可信網絡的機制設計提供了廣闊的空間，近期研究表明，虛擬化不但對新型互聯網體系結構的研究、試驗和部署具有重要的意義，對網絡單元(如路由器)的虛擬化也可提高其故障冗余，持續提供網絡服務的能力。本文將對網絡虛擬化技術進行深入分析，并提出一種新的網絡虛擬化機制———VBN(Virtual Big Node)。該機制不但可以簡化網絡復雜性，還可提高網絡節點路由交換的魯棒性，因此對可信網絡服務的提供具有重要意義。

    本文第2節首先針對文獻中提出的可信網絡面臨的科學問題進行分析，提出在現有網絡體系下實現可信網絡面臨的挑戰;第3節對網絡虛擬化技術的產生背景、特點以及在可信網絡研究中的應用進行分析;第4節提出VBN機制;最后是全文的總結。

2 可信網絡研究面臨的挑戰

    林闖教授在文獻中給出了可信網絡的定義及其重要意義:“可信網絡是指網絡系統的行為及其結果是可以預期的，能夠做到行為狀態可監測，行為結果可評估，異常行為可控制，對可信網絡的研究解決人們對網絡日益增加的依賴性與安全服務能力的有限性之間的矛盾，是進一步推進網絡理論技術研究，提高網絡建設及應用水平的重大問題”，并指出可信網絡研究的4個關鍵科學問題，即網絡與用戶行為的可信模型、可信網絡的體系結構、服務的可生存性以及網絡的可控性，然而我們認為，在現有的互聯網體系下解決上述科學問題面臨著許多重要的挑戰。

    (1)網絡與用戶行為的可信模型

    協議行為是影響網絡行為的重要因素，眾所周知，IETF的哲學“相信統一的共識和可執行的代碼”對互聯網協議的制定具有重要影響，由于缺少形式化描述和正確性驗證，很多協議在誕生之初就存在難以預料的缺陷，而這些缺陷大多只有在協議已經部署，對互聯網的運行產生影響后才能發現和修補，例如盡管經歷了十幾年的研究，作為下一代互聯網基礎的IPv6協議仍然存在大量安全漏洞，而在不確定的基礎協議行為上難以建立可信的網絡模型，對攻擊行為分析是可信網絡中用戶行為建模的重要組成，盡管基于模型和攻擊圖的用戶行為分析已經得到廣泛的研究，但受建模方法和工具的限制，這些分析只能局限在小規模網絡中，無法對針對大規模互聯網的攻擊行為進行分析。

    (2)可信網絡的體系結構

    可信網絡體系結構是指導各種可信網絡機制設計、協議實現、應用部署和互操作的框架，由于先天不足，現有互聯網體系結構的許多原則都與可信網絡設計相沖突，如端到端的設計思想造成互聯網的智能過分集中在網絡邊緣，導致網絡核心管理控制能力弱，無法準確感知異常網絡行為，又如IP層是目前互聯網體系不可動搖的基礎(NarrowWaist)，因此可信網絡研究中許多革命性的成果，如抵御DDOS的網絡體系結構、可審計網絡協議等，難以得到實質應用，各種可信機制只能通過補丁的形式在網絡中實現，難以形成統一的頂層設計。

    (3)服務的可生存性

    服務的可生存性在某種程度上是對冗余資源的調度問題，目前互聯網從核心節點到邊緣服務器大都采用多機備份的方式以提高服務的可生存性，而且取得了一定效果，但在互聯網這個復雜系統中，冗余資源調度還面臨著兩個關鍵問題，一是故障難以及時檢測，例如骨干鏈路發生故障時，雖然光傳輸網具有快速的故障發現和自愈能力，但路由器難以及時感知光傳輸網絡的故障和變化，二是局部資源切換導致的瞬時非穩狀態可能被無限放大，影響整個網絡的穩定，例如局部轉發路徑的切換可能引起互聯網路由系統長時間的振蕩，導致用戶流量的丟失。

    (4)網絡的可控性

    互聯網是一個復雜的系統，在體系結構、設計和工程化方面具有明顯的非線性特征，符合非線性系統的放大原則和耦合原則。一方面，網絡中一個小的事件可能會帶來網絡很大的不穩定;另一方面，網絡中同時發生的事件可能相互影響，同時，互聯網端到端設計思想又使得網絡智能主要集中在網絡邊緣，因此對互聯網實施有效的管理控制十分困難，對故障和異常行為進行有效的隔離是增強互聯網可控性的重要措施，雖然各種隔離機制，如入口過濾、ISP間整形、流量工程等，針對不同問題都能取得一定效果，但從互聯網整體看，這些控制行為還是難以預計的，對于蠕蟲傳播、DDOS攻擊等還是難以實施有效的控制。

    以上分析表明，可信網絡研究，特別是服務的可生存性和網絡的可控性，面臨很大挑戰，因此必須選擇有效的研究路線，我們認為必須在網絡體系和協議設計上考慮兩個關鍵問題，一是通過分層等機制簡化網絡結構的復雜度，盡可能減小網絡非線性特征造成的管理控制的不確定性，二是在網絡中實施全方位的隔離機制，降低局部故障和異常對全局網絡的影響。

    虛擬化是近年來互聯網研究領域出現的新技術，通過對底層網絡的抽象屏蔽物理網絡實現細節，將網絡的控制管理與數據平面的轉發與交換進行有效的分離，上述分離對網絡系統的簡化、故障和異常的隔離提供了較好的支持，因此虛擬化技術為可信網絡的機制設計提供了廣闊的空間。

3 虛擬化對可信網絡的支持

    虛擬化技術的基本思想是將網絡的管理控制與轉發交換相分離，通過高層的抽象屏蔽底層的物理實現細節，近年來硬件性能的持續提高，特別是網絡處理器、FPGA對可編程和可重構的支持日益完善為網絡虛擬化創造了良好的條件，網絡虛擬化包括網絡平臺的虛擬化以及網絡節點的虛擬化。

    3.1 網絡節點虛擬化

    節點虛擬化技術最初源于20世紀90年代后期出現的可編程ATM交換機思想，即通過對硬件交換平臺的資源劃分，在一個物理交換機上虛擬出多個邏輯的交換機，以支持在一個物理網絡上構建多套邏輯網絡，但這項技術直到近年來可編程硬件(如網絡處理器和FPGA)在網絡節點中得到廣泛應用后，才得到進一步的關注，當前虛擬化在路由器上的應用已經成為研究的熱點。

    控制平面與數據平面相分離是路由器虛擬化實現的基礎，基于該思想，路由器控制平面與數據平面相互屏蔽各自實現細節，而只是通過標準的管理控制接口進行通信，相關工作有網絡處理器論壇制定的CPIX(Common Programmable Interface Archi2tecture)規范，該規范對網絡處理器的物理實現進行抽象，并制定標準的網絡處理器配置管理接口，因此路由控制軟件可直接運行在不同的網絡處理器平臺上，IETF的ForCES工作組①更是致力于標準化控制平面與數據平面的通信協議，以便控制平面技術與數據平面技術能夠獨立發展，基于網絡處理器平臺以及ForCES協議實現的路由器有OpenRouter等。

    路由器虛擬化是在控制平面和數據平面分離的基礎上，進一步在數據平面或控制平面實現上采用虛擬化技術，以獲得更好的故障冗余和管理控制能力，網絡節點虛擬化示意如圖1所示.

圖1 網絡節點的虛擬化

    在數據平面虛擬化中，路由器節點存在多個物理的數據平面實現，但通過虛擬技術只向控制平面提供一個虛擬的數據平面，而對于控制平面虛擬化來說，路由器上同時運行多個控制平面，但通過虛擬化管理，同時只有一個控制平面負責管理配置數據平面以及與其他路由器交互，路由器虛擬化的實例將在3.3節中進一步分析。

    網絡端系統的虛擬化研究包括VIA(VirtualInterface Architecture)②和VNS，VIA可在一個物理接口上虛擬出多個邏輯的網絡接口，而VNS則通過虛擬協議棧使得網絡端系統可與具有不同網絡協議的其他端系統通信，端系統的虛擬化為網絡平臺虛擬化提供用戶接入的支持。

    3.2 網絡平臺的虛擬化

    網絡平臺虛擬化思想產生于本世紀初研究者對互聯網體系結構研究的不斷反思中，文獻指出，目前對互聯網體系結構的研究陷入僵局，即新型體系結構研究必須依賴大規模的試驗床，但由于受到設備、管理、網絡規模等因素的限制，基于現有技術構造的試驗床還必須建立在現有的網絡體系上，只能使用IP無連接的傳送服務，因此新型體系結構試驗難以部署和開展，而虛擬化試驗床是打破這一僵局的有效手段，與傳統的物理試驗床和overlay試驗床不同，虛擬試驗床在一個公共的物理網絡(sub2strate)上通過資源的抽象、分配和隔離機制支持多個overlay網絡共存，與目前IP體系并行的各種新型體系結構通過overlay機制在物理網絡上進行部署，這些網絡相互間不會產生影響，試驗者可通過首跳代理機制方便地接入不同的試驗網絡進行體系結構試驗，這一思想也成為美國GENI計劃①的核心。

    基于虛擬試驗床的思想，文獻進一步地提出虛擬化不但可作為支持新型互聯網體系結構研究的有效手段，而且可作為下一代互聯網體系結構的基本屬性，即IP只是下一代互聯網中的一種協議，可能還有其他與IP處于相同地位的協議，互聯網體系結構是動態變化的，體系結構只是當前所有存在的overlay網絡和協議的集合，因此虛擬化成為互聯網發展的關鍵，物理網絡資源的虛擬化、分配與隔離將取代IP成為互聯網體系結構的核心(Nar2rowWaist)，網絡平臺的虛擬化如圖2所示，其中新型的互聯網體系結構即可是一個適合多數應用的通用結構，也可是針對某一類應用特點(如大規模流媒體傳輸)，開發的專用體系結構。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.lukmueng.com/

本文標題：面向可信網絡研究的虛擬化技術(上)

本文網址：http://www.lukmueng.com/html/support/1112158491.html