主動路由器結構研究

2019-11-03 10:22:16

字體：大中小

來源：轉載

供稿：網友

　　趙昭靈談滿堂劉勤讓楊宇燕

　　(國家數字交換系統工程技術研究中心 450002 鄭州)

　　摘要隨著因特網的飛速發展，網絡應用日新月異。然而，這些新的應用中有相當一部分是為了少量的應用或者少數人的需求而提出來的，僅依靠對現有網絡的體系結構進行局部的修補已經不能夠很好地解決這些問題，這就要求下一代網絡的體系結構必須能夠在盡量少地改變現有網絡基礎設施的條件下，滿足不同重要程度的各種需求。本文在介紹了主動網絡的產生背景、概念和體系結構之后，提出了主動網絡在邊緣的觀念，并給出了一種可擴展的主動路由器硬件結構。

　　關鍵詞主動網絡主動路由器硬件結構

　　1 前言

　　隨著網絡規模的不斷擴大，現有網絡的體系結構在可擴展性、可管理性、安全性和可靠性等方面面臨著越來越大的挑戰，僅依靠對現有網絡的體系結構進行局部的修補已經不能夠很好地解決這些問題，因此對下一代網絡體系結構進行研究已經迫在眉睫。此外從目前的發展情況來看，新的需求層出不窮，而這些新的需求中有相當一部分是為了少量的應用或者少數人的需要而提出的，這就要求下一代網絡的體系結構必須能夠在不同時間、不同區域滿足不同重要程度的各種需求，所有的這些導致了主動網絡概念的產生。

　　2 主動網絡的概念

　　主動網絡（Active Network）的概念是由美國國防部的高級防御研究計劃管理處（Defense Advanced Research PRojects Agency,DARPA）研究協會于1995年，針對當時網絡發展過程中遇到的幾個問題（即把新的技術和標準引入現有網絡中的困難；由于幾個網絡協議層的冗余操作而使網絡性能下降；在已存在的結構模塊中加入新服務的困難）提出的。為克服這些困難，科學家們考慮了幾個策略，這些策略最終綜合為主動網絡方案。主動網絡方案是使網絡節點不僅能轉發報文而且可以通過執行附加程序來對報文進行處理。整個網絡上的節點也都是可編程的，可以執行用戶定義的報文處理程序。同時DARPA指出未來網絡系統應該是運行時刻可擴展的；網絡系統結構應該動態地支持對網絡服務的不同程度的控制；網絡報文本身應該是被一種語言描述的可以被網絡應用所“裁減”的網絡資源，即網絡應用可以根據需要，有選擇地使用網絡資源；而且網絡體系結構應該是靈活可變的。

　　主動網絡是相對于現有網絡而言的。現有網絡由于不對報文進行處理或計算，因此可以稱之為被動網絡（Passive Network）。雖然現有網絡中的路由器和交換機也可以改變報文的報頭，但它們對真正的用戶數據卻不做任何處理，原封不動地轉發用戶數據是它們的宗旨。即使對報頭的改變和相關路由處理也是獨立于用戶處理和產生這些報文的應用程序。相比之下，在主動網絡中的路由器和交換機可以對網絡報文進行用戶自定義的計算。

　　主動網絡的優勢主要有以下幾個方面：

　　（1）主動網絡可加速網絡結構的更新

主動網絡的網絡節點有很大的靈活性，它不再是對數據包執行相同的計算——向目的節點傳送數據包，而代替以支持相同的可計算模塊。在獲得權限的條件下，任何用戶都可以把自己的程序發送到節點上并要求執行，任何用戶的程序都可視為是對節點功能的擴充。

　　*國家“863”信息技術領域重大專項基金（No.2001AA124011）資助這樣做的結果實際上就是把網絡結構和技術的更新工作分配給所有的用戶而不再僅僅是網絡專家。網絡中也不再需要為每一種新的功能制定新的標準，只需要制定主動網絡語言的標準，即接口標準。任何新功能或新協議的開發都是編制新的主動網絡應用程序的過程。這些新協議和功能的發布和應用也簡化到只是把程序代碼發送到需要擴展這一功能的節點上的過程。顯然，在這種用戶推動的主動網絡中，技術更新要快得多。

　　（2）使用戶參加的網絡保護成為可能

　　現有的網絡是硬件與軟件的結合。像防火墻這樣的服務是作為一種特定的附加功能加入網絡中的，雖然生產商在防火墻的軟件上留有一定的配置余地，可以讓用戶配置防火墻的功能，但是它的基本功能是不變的，它只對信息來源進行檢查并屏蔽用戶不希望的數據。但當僅靠數據的來源來屏蔽不想要的信息已經不能滿足需要時，我們不能在防火墻上增加自己的過濾軟件，這樣既不太容易做到，也是防火墻生產商所不允許的。除非要求的功能是所有用戶都希望的，防火墻的生產商才可能增加這個功能。

　　相比之下，主動網絡可以很好地解決這個問題。因為主動網絡的體系結構是硬件與軟件分離的。主動網絡試圖設計一個一體機制來統一管理網絡上的所有資源和在網絡上傳輸的數據。這樣就允許我們在每個應用或每個用戶的基礎上定制自己的安全策略，其意義由主動網絡上已嚴格定義的語言及其擴展功能來解釋。網絡設備生產商只需要生產帶有用戶希望的基本功能并對網絡語言有強大支持的設備，而設備的擴展功能軟件則可以由用戶自己來添加，即向網絡節點中注入用戶程序。

　　（3）提供智能化網絡管理

　　現在，對網絡的許多管理工作無非是收集、比較和分析數據。為了提供最有用的網絡管理數據，網絡必須有一定的智能，以便從諸多的網絡事件中濾掉對特定用戶沒有用的網絡事件。主動網絡技術可以用來實現網絡監視和事件過濾的智能，主動網絡的路由器甚至可以通過向它們的相鄰節點注入自定義的監視和分析程序來對網絡事件進行分析和過濾。

　　3 主動路由器總體結構

　　主動網絡是由一些主動路由器及傳統路由器組成，而主動網絡的功能就是由這些主動路由器來完成，所以主動路由器必須具有良好的主動性能。

從功能的角度來講，主動路由器可以劃分成三個主要的層次，分別是節點操作系統(NodeOS)、執行環境(EE)和主動應用(AA)，如圖1所示。

圖1 主動路由器的總體結構
　　（1）節點操作系統

它是主動路由器最下面的功能層次，與主動路由器的硬件資源接口，管理和控制主動路由器硬件資源的使用。這些主動路由器的硬件資源包括節點的計算處理能力、存儲器資源和I/O處理通道等系統資源。它屏蔽了對這些資源使用的細節問題，給上一個功能層次——EE提供使用這些資源的接口。為了提供QoS保證，NodeOS還應該具有相應的策略和安全信息庫。

　　（2）執行環境

　　它和下層的NodeOS接口，并為上層的AA層提供服務。EE是主動網絡的主動應用在主動節點上執行的一個臨時環境。一個主動路由器可以具有多個EE，每一種EE完成一種特定的功能。EE為上層的AA層提供可編程的網絡接口（API）或者一種虛擬機，當主動網絡的應用和報文到達時，完成必要的處理。EE一般由EE開發商開發完成。每一個主動節點都具有一個擁有最高權限的EE，它是來管理所有EE的。利用它可以方便地對其他EE進行加載、修改和刪除等操作。利用EE可以方便地在主動網絡體系結構中開發新的技術和協議，而不需要復雜的標準化過程；普通網絡用戶也可以通過設計和開發自己的EE來對網絡編程，這樣用戶可以設置個性化網絡。

　　（3）主動應用層

　　最上層是AA層，它可以是主動網絡用戶的主動應用，也可以是主動網絡的主動報文，即特定封裝的帶有主動處理信息的網絡數據包，它完成網絡端到端的功能。

　　當一個主動網絡報文到達主動路由器之后，主動路由器將完成如下處理工作。首先，根據報文的特定信息對報文進行分類，以決定將報文輸入到哪一個輸入處理通道，即處理流程。報文進入通道后，進行相應的通道處理，即該流程所能夠完成的各種工作，如計算校驗，將數據報頭報文分離，對報文有效性進行檢查等。然后，報文被送到特定的EE，完成處理后輸出。需要指出的是，從任何一個通道輸出的報文可以由不同的EE處理，這由用戶定義；而且，每一個EE也可以處理來自不同通道的報文，然后可以輸出到一個或者多個通道中去，在同一個通道中也可以輸出多個報文。輸出時和傳統的網絡節點一樣，主動路由器也要完成相應的輸出調度工作。

　　4 主動路由器的硬件結構

　　根據DARPA提出的主動網絡概念來構建主動網絡，需要重新設計和構建網絡。對路由器而言，要完全打破原有的設計思路，按照主動網絡路由器的結構，從三個層次完全重新設計路由器。原路由器的每一個線路處理卡都需要加入主動處理模塊，如圖2所示，設計路由器NodeOS，并開發相關的EE。以支持ipv4和IPv6的主動路由器為例，要求該路由器在IPv4和IPv6的網絡上都能夠正常工作，所以必須至少提供兩種EE，即IPv4和IPv6。同時還應該提供一個用于兩者互通的EE，這個EE用于在IPv4網絡上運行IPv6協議或者在IPv6網絡上運行IPv4協議。而且，還要提供各種相關的控制和管理EE等，要求實現主動網絡所要求的各種功能。該方案的特點是：能夠一次實現主動網絡的各種功能，為將來升級打下良好的基礎。但是，該路由器無法對原有的路由器進行改造，要求全部重新設計，兼容性差，與網絡的漸變特性相背。

圖2 DARPA主動路由器硬件結構
　　其中端口處理模塊完成路由器的物理層、數據鏈路層處理和轉發處理，其內部結構如圖3所示。

圖3 傳統路由器端口處理模塊結構
　　為了解決上面DARPA主動路由器硬件結構的問題，盡可能地保護現有網絡基礎設施的投入，要求對原有的網絡路由器做出最小的改動。同時鑒于網絡在靈活性與性能上的矛盾，也就是網絡的傳輸速度與網絡所支持的應用的多樣性，即靈活性能之間的矛盾。如果網絡要求支持帶寬高，線速度實時轉發高速進入的報文，就很難實現對所要轉發的報文進行過多的處理，所以高速骨干網絡對報文僅完成轉發處理；相反，如果網絡要求支持多種應用，而且對各種應用的QoS性能有所要求，各種應用可以靈活配置，即網絡具有較高的靈活性能，那么該網絡就很難實現對這些靈活要求的報文進行線速度實時的轉發。針對以上問題，本文提出了“主動網絡在邊緣”的新觀念。“主動網絡在邊緣”的具體思路是:在主動網絡發展的初級階段，考慮到對網絡靈活性能要求較高的用戶和應用畢竟是少數，即提出新的應用和需求的畢竟是少數的用戶或者是少數的網絡應用，它們不具有普遍性，沒有對全網絡進行改造的迫切要求，而且考慮到網絡發展的漸變性，在現在的應用和需求條件下，可以先在網絡的邊緣實現主動網絡，體現主動網絡的靈活性能，而在網絡的核心，網絡的帶寬高，僅完成高速的轉發處理，體現網絡的高性能。由于只在網絡的邊緣實現主動網絡，故有“主動網絡在邊緣”的新觀念。這樣因特網中就會形成一個主動網絡小島（局域網），這些主動網絡小島通過高速傳統的網絡互聯，高速傳統的網絡對主動網絡報文僅完成轉發的處理，所有主動網絡業務均在主動網絡小島內完成。主動網絡數據報文對這些主動網絡小島處理的實時性能要求不高，但是卻具有很高的靈活性能要求。要求主動網絡小島能夠運行時刻可擴展，網絡系統結構應該動態地支持對網絡服務不同程度的控制，網絡資源是可以被網絡服務所裁減的，而且網絡體系結構也應該是靈活可變的，網絡對報文的處理不是僅完成轉發處理，還應能根據用戶的定義，對相應的主動網絡報文進行用戶自定義的其它處理。具有“主動網絡小島”的因特網，如圖4所示。“主動網絡在邊緣”的關鍵技術在于“主動網絡小島”中主動路由器的設計，要求這些路由器可以同時處理傳統的網絡數據報文和主動網絡數據報文。

圖4 具有“主動網絡小島”的因特網
　　根據“主動網絡在邊緣”的觀念，本文設計的主動網絡路由器的硬件結構如圖5所示，在原有網絡路由器的基礎上加入一塊主動網絡處理卡，而對原有的線路接口處理卡不做任何改造，所有的主動網絡報文都通過交換網絡交換到主動網絡處理卡上，對其進行處理后，交給交換網絡到線路處理卡輸出。而對傳統的網絡數據報文按照傳統的處理方式進行處理，傳統的網絡數據報文不進入主動網路處理卡。這種主動網絡路由器存在的主要問題是它的主動網絡處理卡與線路接口處理卡的數目之和應該小于或者等于路由器的交換網絡所支持的端口數目。由于這種主動路由器的主動性能取決于主動處理卡的處理能力，所以在交換網絡所支持的端口數目一定的情況下，如果要增加主動處理能力，就必須減少路由器的線路接口處理卡，這樣路由器所支持的端口數目必然會減少。

圖5 高可擴展的主動路由器硬件結構
　　傳統的網絡路由器只需要對交換網絡進行必要的軟件配置，加入主動網絡處理卡就可以將傳統的網絡路由器改造成為主動路由器，此外需要對路由器的軟件進行升級。本文提出了一種高性能的主動處理卡，該處理卡的關鍵技術采用了MIMD并行計算模型，并在不同的處理級別實施流水線技術，而且數據通道處理和協議通道處理分離，對數據通道的處理進行了指令優化。目前該處理卡針對的主要用戶是網絡管理者，它根據網絡管理者的管理策略，動態更新處理卡的數據處理策略，以實現對經過該路由器的特定業務流進行判決識別以觸發相應的處理策略（如對IPv6流媒體的識別和轉發，對DDOS攻擊的監測與隔離），其結構如圖6所示。

圖6 主動網絡處理卡結構
　　該處理卡從交換網絡模塊接收需要主動處理的報文，對報文進行分類，并通過高速輸入輸出通道將報文送入并行高速主動處理子模塊。在并行高速主動處理子模塊內，要對報文進行通道處理。通道處理完成之后再將報文送入高速主動處理器，由處理器完成用戶要求的主動處理。在該處理器（本文采用的是PowerPc RISC Core）之上，有主動NodeOS內核（本文采用的是Vxworks）、主動EE和用戶的AA。處理完成后通過高速輸入輸出通道給交換網絡接口處理子模塊，經排隊后輸出到交換網絡模塊。這個高性能的主動網絡處理卡是主動網絡路由器的核心部件，它完成所有主動網絡路由器的主動處理功能，但是它需要有主動網絡路由器的其它傳統路由器的部件（如端口處理、交換網絡等）協同才能夠正常工作。

　　5 結束語

　　總的來說，由于這種主動路由器的結構對傳統的網絡路由器改造僅是加入主動網絡處理卡。該結構的穩定性能只依賴于原有的路由器，由于原有的路由器具有良好的穩定性能，因此該結構具有可靠的穩定性。而且隨著主動網絡業務的增加，只需要增加相應的主動網絡處理卡，提高主動路由器的主動處理能力即可，故其具有良好的可擴展性。這種主動路由器的主動性能取決于主動處理卡的處理能力，只要設計好一個高性能的主動處理卡，就可以完成一臺高性能的主動路由器的設計。

參考文獻1 Calvert K L. Architectural framework for active networks（Version1.0）. Internet Draft, July 1999

2 Wolf T, Turner J. Design issues for high performance active routers. IEEE Journal on Selected Areas of Communications, 2001（2）:100～107

3 Iyer S, McKeown N. Analysis of the parallel packet switch architecture. In: IEEE/ACM Transactions on Networking, April 2003

4 Murphy S, Lewis E, Watson R. Strong security for active networks. In: OpenArch 2001, Anchorage, AL, Journal 2002

----《電信科學》