密級：保密期限：題目：新一代互聯網體系構造研究進展與分析學號：姓名：專業：導師：學院：12月11日新一代互聯網體系構造研究進展與分析摘要日益增長網絡規模和顧客需求給互聯網帶來了諸多挑戰，新一代互聯網體系構造已經成為了網絡領域研究熱點。本文就新一代互聯網研究背景，研究現狀，待解決問題進行總結，并對位置標志和身份標志分離兩類方案進行了探討。核心詞：新一代互聯網位置標志身份標志LISPNextgenerationInternetarchitectureresearchandanalysisAbstractTheChallengeshavebeenbroughtbecauseoftheincreasingnetworksizeanduserneeds.IthasbeenbecominghottoresearchthearchitectureoftheNGI.Inthispaper,thebackground，researchstatus，problemstobesolvedoftheNGIwillbesummarized，andthen,twoprogramsarediscussed,whichsolvedtheseparationoflocationmarkandidentitymark.

Keywords：NGIlocationmarkidentitymarkLISP目錄39981引言 5260732現狀與問題 6325122.1國內外研究現狀 629982.2待解決問題 766603位置標志和身份標志分離 8232903.1概述 8309563.2基于主機路由體系構造 8202963.3基于網絡路由體系構造 99103.4兩種方案比較與分析 9104554結束語 1131260參照文獻 121引言互聯網通過40年發展，已經獲得了巨大成功，當前已然成為人們生活必須品，互聯網初期設計重要遵循了如下幾條原則：用位置對節點進行標記；分層合同棧；在網絡層布置唯一網絡互聯合同，即IP網絡互聯合同；基于數據報無連接服務；端點智能、網絡傻瓜化，即由端系統負責復雜網絡功能，連接端節點網絡只負責簡樸傳送功能。今天互聯網成功很大限度上源于這些基本設計原則。然而，互聯網在這幾十年中發生了巨大變化，在安全性、移動性、可擴展性、可控可管性、服務質量等方面，互聯網原始設計缺陷逐漸暴露出來。特別隨著以“內容/信息共享”為重要特點網絡應用迅速發展，使得當前互聯網正面臨著前所未有壓力。詳細來說重要有如下幾點：IP地址匱乏[1]，難以更大規模擴展；網絡服務質量(QoS)控制能力弱，不能保障高質量對不同業務網絡服務；缺少安全保障機制，網絡安全漏洞多；對于顧客在移動互聯網規定，老式互聯網由于其技術本質問題難以滿足；此外，當前老式互聯網復雜限度也使網絡控制和管理變得異常艱難。世界各國研究機構早就開始重新考慮和研究互聯網體系構造，試圖提出適應于將來環境和應用需求新一代互聯網體系構造，美國等發達國家先后開始了新一代互聯網研究，比較知名幾種籌劃涉及下一代互聯網（NGI，nextgenerationInternet）、下一代網（NGN，nextgenerationnetwork）、美國國家科學基金會設立全球網絡創新環境（GENI，globalenvironmentfornetworkinnovation）和將來互聯網網絡設計（FIND，futureInternetdesign）、歐盟第七研發框架籌劃（FP7）等。國內在新一代網絡體系構造方面剛起步，已經在“973”籌劃、“863”籌劃這些重大國家科研籌劃中設立了若干個與將來網絡有關項目。2現狀與問題2.1國內外研究現狀美國自然科學基金會NSF于年啟動了兩項新一代互聯網研究籌劃：將來互聯網設計FIND和全球網絡創新環境GENI。[2]FIND籌劃最大特點在于從草圖設計開始，探討所需網絡構造及其設計，而不是增量式地逐漸改進既有網絡。FIND在網絡體系構造各個方面研究和設計都盡量做到不受以往研究思維影響和束縛，即“革命式”、“從頭再來”。GENI籌劃目則是構建一種全新、安全、可以連接所有設備互聯網，以增進互聯網發展，并刺激創新，增進經濟增長。其目的是發現和評估可以作為21世紀互聯網基本新革命性概念、示范和技術，建立一種用于研究將來互聯網體系構造、服務和過渡一種實驗環境，提供更多數量和更好質量研究平臺，并能將研究成果迅速轉化為實際產品和服務，使這些產品和服務可以提高國家將來經濟競爭力和國家安全，并且可以讓當前網絡較快過渡到新網絡體系構造。GENI由兩某些構成：研究籌劃（researchprogram）和實驗設施（experimentalfacility）。其中“研究籌劃”重點是，研究創造新核心功能，涉及要超越既有數據報、分組和電路互換框架，設計新命名、尋址和身份辨認體系構造，構建內置網絡安全機制和新網絡管理機制，使下一代互聯網具備高度安全性和可管理性。“實驗設施”重點是，研究可以提供涉及傳感器和無線移動通信設備等在內各種接入技術，并可以布置和驗證新體系構造（例如，新無線技術和光技術、傳感器網絡、移動無線通信、RFID等）。初，歐盟在其第七框架FP7中設立了“將來互聯網研究和實驗”（FIRE）項目[3]。FIRE是一項長期實驗驅動原創性研究，涉及了將來互聯網概念、合同和體系構造、有關科技、工業和社會經濟學等方面。其重要研究內容涉及：網絡體系構造和合同新辦法；管理將來互聯網日益增長規模、復雜性、移動性、安全性和通透性；在物理和虛擬構造大規模測試環境中驗證上述屬性。同為將來互聯網研究籌劃，FIRE和GENI有著諸多相似之處，它們都關注如何搭建真實實驗環境，從而為理論研究提供證據支持。FIRE但愿通過螺旋式布置方案，沖出地理上限制，建立全球性大規模實驗環境。FIRE同樣采用虛擬化技術，該技術將獨立存在資源和設施聯系起來，不但使各種組織協同合伙，還能減少能耗和成本。國內在國家重點基本研究發展籌劃（“973”籌劃）中也明確提出了“新網絡體系基本研究”作為重點研究課題，設立了一系列與將來或新一代互聯網關于項目。，清華大學、國防科技大學、北京郵電大學、東南大學和中科院網絡信息中心5個單位共同承擔了國家“973”籌劃項目“新一代互聯網體系構造理論研究”。尚有以張宏科專家為首席科學家“一體化可信網絡與普適服務體系基本研究”，以孟洛明專家為首席科學家“可測可控可管IP網基本研究”，以吳建華專家為首席科學家“新一代互聯網體系構造和合同基本研究”等，錢華林研究員在其《層次互換網絡體系構造》一書中也對將來互聯網架構做了進一步探討。2.2待解決問題新一代互聯網基本特性有“擴展性、高性能、實時性、移動性、安全性、易管理和經濟性”，基于這些基本特性，新一代互聯網重要面臨有如下四個重要問題。網絡體系構造單一、可擴展性不強和網絡功能復雜多樣性問題。雖然人們以為，采用“邊沿論”作為指引思想基于竭力而為互聯網是體系構造可擴展性最佳網絡，但是這種體系構造可擴展性也僅僅局限在網絡互聯互通角度。在支持新服務方面則體現出越來越多局限性。例如，很難對組播進行支持，也很難支持大量主機都處在不斷移動狀態情形，這些問題浮現重要因素都是由于竭力而為服務模型只考慮了互聯互通擴展性目的而沒有考慮互聯網絡在服務等其她方面可擴展性問題。當前網絡體系構造在地址空間、尋址和路由方式、服務類型等方面都很難進一步擴展[4]。未知網絡行為與擬定傳播控制目的之間問題。基于分組互換互聯網絡流量模型和行為模型還沒有得到較好研究，當前雖然在大規模網絡流量分析中得到了某些基于自相似和長有關理論成果，但是這些成果背后科學指引作用尚有待進一步發掘。由于流量模型和行為模型缺少，導致人們對大規模網絡控制和管理缺少理論指引，還停留在直觀和經驗基本上，這也遠遠不能滿足規定網絡提供更好服務質量需求。網絡安全可信問題[5]。互聯網絡作為一種巨大系統工程，它有其固有脆弱性。網絡上匯集了大量硬件系統和無數應用軟件，每一種硬件或者軟件缺陷均有也許被運用來對網絡進行襲擊或者惡意破壞。那么，如何從理論上分析網絡脆弱性并對其進行保護是還沒有解決難題。網絡在保證自身安全基本上，還必要為應用提供所需要安全功能。如何在應用規模不斷增長，性能規定不斷提高前提下保證其安全是一種困難問題。網絡服務需求復雜多變問題。新一代互聯網絡復雜性（規模更大、構造更復雜、異構性更強）以及顧客和服務提供者對服務需求復雜性和多樣性（服務互操作性、提供速度、可用性、可擴展性、可管理性和服務質量、服務智能化和個性化等）使得人們急需對如何構建大規模互聯網絡服務理論指引。如何依照新一代互聯網絡體系構造建立相應服務模型，如何迅速靈活地為顧客提供具備高可用性、良好互操作性和高性能服務，如何對既有服務進行協調為端顧客提供可重用服務，如何對服務進行管理，都是困難而極有價值理論問題。3位置標志和身份標志分離3.1概述近年來，互聯網路由可擴展性問題引起了越來越多關注。在互聯網無缺省路由域(DFZ)中，路由表規模正以“超線性”速度增長[6]，這無疑嚴重影響了互聯網路由系統可擴展性。當前研究者已達到共識，以為當前DFZ中路由表規模高速增長主線因素是由于IP地址同步承擔標記主機身份和尋址雙重功能而導致IP地址語義過載。為解決這個問題，多數專家以為需要從主線上對既有路由體系構造進行重新設計規劃。為解決路由系統可擴展性問題，當前已經提出了各種方案[7]。這些方案大體可以被歸納為兩類：一類方案是通過減少邊界網關合同(BGP)消息更新頻率、壓縮路由表或轉刊登來解決擴展性問題，如虛擬聚合方案(VA)；另一類方案是基于身份標記和位置標記(ID/Locator)分離思想，將IP地址主機身份標記與路由標記功能分開，如主機標記合同(HIP)位置/身份分離合同(LISP)等。第一類方案只解決了路由表、轉刊登迅速增長問題。第二類方案不但可以減小DFZ中路由表規模，還支持站點網絡多歸屬和流量工程，實現路由系統可擴展。當前學術界和工業界諸多研究團隊已經提出了眾多基于位置和身份分離方案。大多數方案設計都遵循兩層命名空間模型，即位置標記命名空間和主機標記命名空間，兩層命名空間方案又可以按照位置標記和身份標記分離點位置不同分為兩類：第一類方案在主機處將ID/Locator徹底分離，這需要對主機作一定修改；第二類方案在邊界路由器處進行ID/Locator分離，通過在網關處進行封裝映射來實現，主機無需作任何變化。3.2基于主機路由體系構造此類方案基本思想是在主機處實現位置標記符和身份標記符徹底分離。初期M.O'Dell提出GSE就屬于此類方案，它將主機IPv6地址分為Locator和ID兩某些，實現了位置與身份分離，但并不保證ID全球唯一性和安全性。此后提出LNAI以及HIP也屬于此類方案。LNAI設計了一種扁平4層名字空間構造，涉及顧客級描述符(ULD)服務描述符(SID)、主機描述符(EID)和IP地址。同步LNAI還提出了一種三級地址解析方案，涉及將ULD解析為SID、將SID解析為EID將EID解析為IP地址。通過增長SID和EID這兩個額外名字空間和解析層次，LNAI不但可以容許服務和數據成為一級因特網對象(可以直接和持久地命名)，還支持主機無縫移動和網絡多歸屬，并可以將中間盒如網絡地址轉換(NAT)和防火墻等整合到互聯網體系架構。HIP[8]提出在網絡層和傳播層中間插入一種新合同層——主機標記層。主機標記層將本來緊密耦合傳播層和網絡層分開，徹底分離IP地址雙重功能，使IP地址只作為網絡層使用位置標記符，專用于數據包路由轉發，而把主機標記功能交給主機標記符(HostID)，傳播層使用主機標記符而不是IP地址作為主機標記。在雙方進行通信時，IP地址變化對傳播層透明，從而保證在發生移動或者地址變化時，通信可以持續進行，而不會被中斷。3.3基于網絡路由體系構造此方案基本思想是：將整個路由域分為全局路由域和本地路由域，ID/Locator分離在邊界網關處實現。全局路由域是由邊界網關構成，在同一種本地路由域內實體之間通信使用身份標記符進行路由，在全局路由域內使用位置標記符進行路由。需要發往本地區外數據包攜帶是目主機身份標記，它們一方面被轉發到本地路由域邊界網關處(源網關)。源網關通過某種映射服務獲得目網關位置標記并將這個標記作為目地址。接著，依照目網關位置標記，這個數據包就可以通過全局路由域到達目網關。目網關去掉數據包中位置標記，依照目主機身份標記轉發數據包，最后數據包將到達目主機。此類方案不但僅可以解決當前Internet面臨路由可擴展問題支持站點多歸屬，并且由于ID/Locator在路由器處進行分離，有助于ISP進行流量工程控制。Cisco公司提出LISP采用了邊沿網絡和核心網絡分離概念，將核心網絡與邊沿網絡劃分不同路由空間[9]，基本思想是通過核心網絡和邊沿網絡分離實現核心網絡可擴展性。它將當前具備雙重語義IP地址命名空間分離成端節點身份標記(EID)和路由地址(RLOC)，其中EID用于在邊沿網絡(本地路由域)中進行路由，而RLOC相應為位置標記符，用于核心網(全局路由域)路由，并通過引入入口隧道路由器(ITR)和出口隧道路由器(ETR)對數據包封裝，實現身份與位置分離。LISP采用IP-OVER-UDP隧道技術，其中內層包頭存儲EID，外層包頭存儲RLOC。隧道端點路由器負責緩存EID到RLOC映射。由于LISP以盡量少地變化Internet基本設施為設計目的，因此在LISP中端系統無需任何變化，只需對現行路由器進行微小變化，并且可以增量布置。固然，LISP也存在某些問題。例如，LISP實現依賴隧道技術，邊界路由器需要維護流量狀態，由此而產生可靠性和擴展性問題有待解決。3.4兩種方案比較與分析以上共簡介了兩類不同路由體系構造。LNAI需要對既有主機軟件作很大變化，涉及合同和應用程序，并且解析這些名字空間需要新解析系統。因而，LNAI布置代價較大。在引入了各種層次名字空間后，安全問題如回絕服務襲擊也成為LNAI較大隱患。以HIP為代表在主機處實現ID/Locator分離方案實現了IP地址雙重語義徹底解耦，完全解決了移動性、網絡多歸屬問題，增強了安全性，實現了路由系統可擴展，但是此類方案需要對主機進行修改，布置難度較大，且不能支持有效流量工程。以LISP為代表采用映射封裝方案在邊沿路由器上實現了核心網絡和邊沿網絡分離，邊沿網絡動態變化不會對核心網絡導致嚴重影響，從而實現了路由系統可擴展。此類方案只需對路由器進行改動，布置代價較小，支持網絡多歸屬和流量工程，可以增量布置。此類方案最大問題是，需要在入口隧道路由器(ITR)處采用查詢映射，查詢延遲會導致路由器丟棄或者緩存大量分組，容易遭受襲擊。改進方案是ITR可以在沒有映射信息時，將分組發送給映射系統，讓分組通過映射系統進行路由，導致映射系統在提供映射功能同步，還要需要承載顧客流量轉發，對映射系統設計和性能提出了規定。通過以上分析可以看出這些方案各有優缺陷，其設計目都是解決路由系統可擴展性這個首要問題。固然除了路由可擴展性，將來互聯網路由體系構造還要支持具備擴展性流量工程、網絡多歸屬以及移動性，盡量簡化自治系統重編址，考慮路由質量和安全。同步，方案可布置性也是設計時必要要考慮重要因素。4結束語通過十近年時間，人們越來越深刻地結識到下一代互聯網研究重要性、復雜性、艱巨性和長期性，