探可信可控网络中观测层的构建
造成网络不可控的原因很多, 其中网络状态的不可见是其中的重要原因之一。由于各个网元(设备, 协议等)的异构性, 每个网元都有各自的接口, 对传统网络进行控制需要对各个网元信息有充分的了解, 这使得网络控制变得越来越复杂。面对繁杂的网络设备接口, 网络管理员需要对网络设备进行手工配置, 这使得网络控制代价高昂且容易出错。
针对这个问题, 在传统的网络体系结构下, 当前主要的解决方法是通过在已有网络上添加一层新的中间层来帮助实现网络配置的自动化, 以减少网络配置的错误[4]。然而这种方法只是将网络控制的复杂性进行了屏蔽, 并没有降低网络控制的复杂度, 为了保证网络控制的有效性, 必须不断升级网络控制的中间层以保持与不断更新的网络设备接口的一致性, 这就在网络控制中引入了新的任务, 其结果必然是使得网络控制的复杂性变得更高。
为了寻求传统网络的不可控问题的根本解决方法, 国内外很多组织和学者开始对下一代网络体系结构进行了研究。greenberg 等[5-6]提出了4d 网络控制模型(简称4d 模型), 将网络控制的4 个环节映射成决策层、发现层、数据层和分发层4 个层面, 将网络控制逻辑从路由器中分离出来, 建立了独立的网络控制层, 提高了网络的控制能力。在国内, 清华大学的林闯教授等 [7-8]首先对下一代网络的可信可控进行了研究, 提出了可信可控可扩展的下一代互联网的体系结构, 对下一代可控网络的关键性问题进行了讨论, 为可信可控网络的研究建立了基础。
根据当前国内外对可控网络的研究成果, 我们项目组将当前网络存在的不可控问题的原因归结为:①网络控制层与网络传输层缠绕在一起, 造成了网络控制任务与网络传输任务的混淆; ②当前网络中缺少全网的视图, 网络管理员只能根据局部信息对网络进行管理, 容易造成网络控制的局部性和不一致性; ③当前的网络管理模型snmp 缺少对网络信息的抽象化描述暴露给网络管理员的信息是一堆没有意义的复杂参数, 通过snmp 进行网络控制需要非常专业的网络管理员才能完成。
针对这些问题, 我们对下一代网络体系结构进行了研究[9-11], 并提出了新的可信可控网络模型, 该体系分为决策层、观测层、资源层以及可信可控接口层。在此基础上, 本文针对网络缺少全局视图的网络不可视问题, 构建了网络可信控制模型的观测层。观测层对网络资源层信息利用统一的控制信息描述模型对网络被控对象进行了协议块粒度的描述、存储和处理为决策层提供统一粒度的被控对象, 并利用域间共享信息处理模块对其他网络的信息进行收集基于本域的控制信息和其他网络共享的信息组成了全网一致性视图, 为可信可控网络的决策层进行有效的网络控制决策提供了必要的决策依据。
可信可控网络模型随着网络的不断发展, 网络控制变得越来越复杂, 这种网络控制的复杂性造成了当前网络的不可控问题。为了从根本上解决网络的不可控问题, 在兼顾对传统网络兼容性的前提下在不破坏现有的osi 七层体系结构以及tcp/ip 四层体系结构基础上, 增加了一个可信可控层逻辑结构, 从而实现网络组元及用户行为的可预期可管理。如图1 所示, 可信可控网络模型包括“决策层”、“观测层”、“资源层”和“可信接口层”4 个层次; 其中, “可信接口层”以协议跨层的方式实现现有网络体系与资源层的交互; “资源层”表示网络的底层, 包括路由器、主机、用户等; “观测层”对“资源层”进行描述, 为决策层提供一个具有较好一致性及可观性的视图, 并为网络控制提供抽象接口; “决策层”根据可观视图, 从系统当前态势及全局利益最大化角度出发提出控制方案, 通过接口层提供给网络, 达到控制的目的, 同时给出该时刻各组元的信度以信任流的形式通过可信接口层提供给观测层。共4页,当前第1页1234
与传统网络相比, 可信可控网络模型具有以下优势:①可信可控网络能够实现全网级别的控制目标。由于可信可控网络具有集中的决策层面, 这个决策层面集成了所有网络级别的控制机制, 因而可以消除各个控制机制之间的决策冲突, 如域内路由与域间路由的冲突, 路由机制与安全机制的冲突, 并且加强各个控制机制之间的合作。②可信可控网络能够容纳各种异构网络体系。可信可控网络并不涉及网络传输的细节, 只是针对网络控制结构, 因而可信可控网络能够在各种网络环境中实现。③可信可控网络具有可演化性。由于可信可控网络将复杂的网络控制, 如路由控制等, 从路由器等交换设备上剥离并集中到决策层面, 网络可以添加一些复杂的qos 控制机制并且不会对路由器造成负担, 如接纳控制, 因而方便网络进一步发展。
可信可控网络观测层可信可控网络模型将网络传输和网络控制进行了分离, 将网络逻辑控制集中到网络决策层, 为了给网络决策层提供必要的网络状态信息以实现网络状态的可见性, 本文为可信可控网络中构建了观测层。
观测层的设计原则在可信可控网络中, 为了实现网络状态的可见性和网络控制的有效性, 可信可控网络的观测层需要遵循如下几个设计原则:
独立性。可信可控网络是一个分层结构, 其各层都应该支持独立性原则, 每层的变化不应该影响其他各层的正常运行, 可信可控网络观测层应该为决策层和资源层提供统一的访问接口, 屏蔽观测层收集和处理数据的细节。
构网络的兼容性。可信可控网络面向的是高度异构网络, 在组网技术、线路特性、传输技术、应用需求、联网设备类型、网络环境等方面存在各种各样的异构性, 为了为决策层提供统一的逻辑视图, 可信可控网络的观测层需要对各种异构网络支持, 从而屏蔽异构网络造成的差异。
可扩展性。由于网络是不断发展的, 用户的需要也越来越多, 网络控制任务也越来越复杂, 这样决策层要求的信息就会越来越多, 在这种情况下, 观测层必须提供友好的可扩展性网络观测层的功能模块需要支持“热插拔”, 即其功能模块应该在安装和卸载的情况下都不影响其他模块的运行。
观测层的总体构建为了向决策层提供必要决策信息, 实现网络状态的可视化和网络控制的最优化, 在可信可控网络中构建了观测层, 其功能框架如图2 所示。我们将观测层的功能分成2 个部分:被控对象描述功能和全网一致性视图构建功能。
域内被控对象描述功能主要实现对本域内被控对象的发现和注册, 为决策层提供经过抽象描述的被控对象。主要由被控对象注册模块和名字空间组成。
域内控制信息搜集功能主要实现域内控制信息的描述、收集和存储功能, 由网络状态预处理模块和状态库组成。
域间信息共享功能主要实现域间信息的搜集以及发布本域信息的功能, 实现多个域之间的信息共享。主要由域间信息交互接口和域间共享信息处理模块组成。
基于域内信息和域间信息观测层通过全网一致性视图构建模块来构建全网的一致性视图来为决策层提供可靠的底层网络状态信息, 实现网络状态的可见性。
观测层的组成部分被控对象抽象模块对网络的控制实际上通过对网络上各种协议块进行控制实现的, 网络控制的对象可以认为是协议块。网络协议暴露了过多细节造成了网络控制的复杂性。一个网络设备往往有成千上万的可以控制的对象提供给网络管理员, 对一个网络设备进行的配置往往需要数以万计的控制命令[12-15]。这种管理的复杂性造成了很多问题, 如决策层对网络的认识与网络实际状态不符、对网络的配置易出错、管理状态关联性差等。针对这种情况, conman 提出协议块只要向网络控制提供基本的功能属性, 即可实现网络的功能:为合法用户建立连接, 并阻止非法用户的连接[2], 将没有必要的细节屏蔽在协议块以内, 与细节相关的控制, 由驻留在设备上的根据抽象命令实现具体操作。然而conman 由于是在传统网络上实现的, 所以网络控制与网络本身没有分离, 造成了对协议类的抽象难以统一实现, 对网络不能实现其预期的抽象控制。另外, 没有实现对被控对象的规范封装, 难以扩展。
本文在conman 的基础上进行了扩展提出了对网络协议进行描述的控制信息描述模型在观测层的被控对象抽象模块中, 利用cid 对被控对象进行描述。被控对象类分成协议类和连接类2 个基类。协议类描述网络上的协议块分成数据协议类(如ip 协议类等)和控制协议类(如ipsec 的ike 协议块、ppp 的lcp 协议块和ncp 等)。由于可信可控网络模型将网络控制从数据层分离出来, 在以可信可控网络模型为基础构建的下一代互联网中, 将不存在控制协议块, 因此, 控制信息描述模型只对网络数据协议块进行描述; 连接类分成物理链路类和通道类, 利用物理链路类对物理链路进行描述通道类描述直接通信的2 个协议块之间的连接, 分成上行通道和下行通道, 分别表示对上层的连接和下层的连接。
协议类的主要属性包括全网id、所在设备ip、通信管道、物理链路、性能属性, 函数包括创建函数、删除函数、连接函数、属性设置函数和过滤函数等, 如表1 所示。表1 给出的属性和功能是所有协议块共有的, 通过这些属性和功能, 决策层可以实现对网络的认知和抽象控制。物理链路类的主要属性和功能函数以及通道类的属性和功能。
被控对象注册模块与名字空间观测层利用控制信息描述模型将运行在客户端、路由器以及其他网络设备的各种协议都进行抽象描述, 存贮到名字空间数据库中。在nox[15]中, 也利用了名字空间的形式对于用户、主机和路由器进行统一存储, 以实现在一个企业网内的对设备的统一管理。本文提出的名字空间与nox的名字空间的区别在于本文提出的名字空间是基于cid的, 因此名字空间的存储粒度也是协议块粒度的, 而nox 的名字空间是设备粒度的。基于协议粒度进行存储的好处在于为决策提供可以直接进行网络控制的被控对象, 降低网络控制复杂度。
被控对象注册模块对网络协议对象进行了统一注册, 每个被控对象(网络协议块)都由统一全局id 进行标识, 这样有利于网络管理员对网络进行抽象控制, 降低了网络控制的复杂度, 提高了网络管理的效率。
网络状态预处理模块与状态库网络状态预处理模块将网络资源层的原始信息进行预处理, 包括脏数据过滤、冗余信息合并以及信息关联等, 将处理后的结果交给状态库进行存储。
网络状态库用来存储网络被控对象的状态, 用来向决策层提供网络的状态信息, 为网络决策提供依据。在可信可控网络的观测层中, 由于建立了控制信息的描述模型, 并将网络的被控对象建立在网络协议粒度上, 因此网络的状态库也用以存储当前网络上网络协议块的状态信息。如表1 所示, 在状态库中, 每个协议块保存其性能信息如丢包率、协议块处理数据的平均时延以及数据包的转发速率等。
另外, 在状态库中, 还对被控对象的连接信息进行记录, 如表2和表3所示, 用管道来表示个路由器内各个协议块之间的连接, 用链路来表示2 个路由器之间的连接, 并记录每个链路的性能信息。这样根据状态库, 控制节点就可以得到网络中协议块粒度的连接图。
域间共享信息处理模块与域间信息交互接口由于 1 个控制节点的计算能力有限并且受到带宽限制, 可信可控网络模型为了支持多个的大规模网络环境, 在每个as都配置1 个控制节点对该域进行控制, 各个控制节点为了对网络进行协同控制, 需要各个域之间进行信息共享。在观测层中, 我们构建域间共享信息处理模块支持多个控制域之间的信息共享。如图2 所示, 1 个控制域内的观测层包含1 个域间共享信息处理模块和1 个域间信息交互接口, 域间信息共享接口负责接收其他域的信息同时也负责为本域发布信息; 域间共享信息处理模块也有2 个功能:一个是将从域间信息共享接口接收到的信息进行处理并提交到状态库中保存; 另一方面也将本域内的状态信息经过处理后交给域间信息共享接口发送给其他域。
这样做的好处是可以在1 个域内共享信息, 促成1 个域内的控制节点之间的信息一致, 避免网络控制的冲突; 同时可以让域间内的多个控制节点实现网络信息的共享, 从而有利于全网内决策的最优化。
全网一致性视图构建模块基于上面的状态库和名字空间, 全网一致性视图构建模块为决策层构建网络协议块粒度的全网一致性视图, 该视图保证在多个控制节点的决策层之间对网络状态认识的一致性, 各个视图之间没有冲突。在网络控制中, 全网一致性视图具有非常重要的意义, 例如在qos 控制中只有各个控制域内的网络视图是一致的, 各个控制域的qos 决策层面才能正确地进行决策从而减少网络抖动[16]。
在域内相比传统网络是基于设备粒度的, 由于在域内的控制信息描述粒度是协议块粒度的, 各个协议块之间的依赖关系以及状态信息很容易就能得到。因此基于协议块粒度的全网一致性视图具有很好的状态依赖可见性, 为提高网络控制的关联性, 降低网络故障定位的难度等工作提供了方便。在域间, 由于域间共享信息模块提供了收集域间信息和发布域内信息的功能, 1 个控制域内的控制节点可以得到其他域的控制状态信息, 使得全网一致性视图的构建可以更加优化, 从而提高网络控制的效率。
可信可控网络观测层的优势通过在可信可控网络的决策层和资源层之间建立独立的观测层, 为决策层了解资源层的实时网络状态提供了统一的接口, 其有如下几个优势:
构建观测层作为资源层和决策层的中间层, 为决策层了解资源层信息提供了统一的接口, 实现了网络控制观测、决策和执行3 个功能的独立, 有利于各层独立运行而不依赖于其他层的变化, 如当决策层需要升级时不会影响观测层和资源层。
观测层对全网内的信息进行了描述和存储, 能够为决策层的所有控制应用程序提供信息, 使得所有控制应用程序都具有全网的一致性视图, 提高了网络控制的有效性和最优性。同时, 由于观测层提供了统一的网络状态信息视图, 每个控制应用程序不需要各自收集自己需要的网络状态信息, 从而提高了网络控制的效率, 降低了网络控制的成本。
在观测层利用控制信息描述模型对网络协议块进行统一的描述, 这就屏蔽了异构网络环境下不同的控制对象造成的网络视图在粒度和控制逻辑上的差异, 提高了可信可控网络观测层的兼容性, 有利于实现多个异构网络下的控制节点的协同工作。
结论针对当前网络状态不可见性问题, 本文在可信可控网络模型的基础上, 提出了可信可控网络观测层的构建方法, 实现了本域信息以协议块粒度的收集和存储, 并实现了对域间信息的共享, 通过全网一致性视图构建模块对域内信息和域间共享信息进行处理, 为网络决策层提供了全网一致性视图, 有利于提高网络控制的有效性和最优性。由于观测层实现了基于协议块粒度的网络状态信息描述, 使得可信可控网络对异构网络环境具有兼容性, 提高了可信可控网络的可扩展性。然而底层网络的状态信息具有繁杂性和重复性的特点, 观测层必须能够为决策层提供有效的控制信息, 因此研究了相关的信息处理算法。进行域内信息的整合, 进行域内冗余信息的合并和事件的关联分析将是我们下一步的工作。
探可信可控网络中观测层的构建相关文章:
探可信可控网络中观测层的构建
上一篇:警校共建十周年联欢会上的讲话
下一篇:学校关于预防手足口病的工作计划