下载掌阅APP,畅读海量书库
立即打开
为了满足互联网的发展和需要,IETF工作组一直在接受有关互联网地址空间、安全性、移动性及流媒体等多个方面的建议草案,并以RFC的形式发布标准,这就是建立在当前体系结构上对互联网的不断改良,因此可以说,基于改良式的方案都支持在当前体系结构上的增量部署。这一节将对现有互联网体系结构路由膨胀、服务质量、移动性及安全性等问题的解决方案进行介绍。
路由在网络体系结构的发展中起到了功不可没的作用。但是,路由表过快的增长趋势也成为网络体系结构发展的一大障碍。如何解决路由表增长过快的问题是网络体系结构发展中的一个重大课题。IETF提出的位置/身份分离协议LISP [9][10] (Locator/Identifier Separation Protocol)就是一种有效缓解路由表膨胀的方法。
如图3-1所示,LISP通过隧道采用Map-n-Encap的方式将核心网络和边缘网络分离来实现主机身份和位置的分离。在LISP中,网络实际上被分为核心网络和本地网络两部分。在本地网络中,主机用端节点标识EID表示,本地路由根据EID进行数据分组的转发。当数据到达本地路由的边界网关后,由边界网关进行分组的封装和解封,即将EID映射成目的网关的位置标识RLOC,也就是IP地址,并将数据包进行封装后发送到目的网关,或者将分组解封装并去掉其中的位置标识,然后使用EID将数据发送到本地的目的地中。实现封装的路由器称为入口隧道路由器ITR,实现解封装的路由器称为出口隧道路由器ETR。在ITR和ETR之间的核心网络中,路由则根据网关的位置标识进行分组转发。
LISP通过分离路由区域来实现身份位置的分离,可谓一举两得。首先,解决了IP地址语义过载的问题,对多宿主和流量工程有了更好的支持。其次,有效解决了路由的可扩展问题,因为边缘网络的变化不会对核心网络造成影响。LISP仅需修改路由器来实现身份位置分离,部署代价较小。但是它需要在ITR进行地址的映射和封装,对路由提出了更高的性能要求。
▶ 图3-1 LISP体系结构
1998年,为了解决互联网访问质量、信息传输性能的问题,MIT首次提出了CDN [11] (Content Delivery/Distribution Network,内容分发网络)的概念。CDN位于网络层与应用层之间,其目的是通过“让离用户最近的内容为用户服务”来降低信息传输过程中的延迟、消耗等。
CDN有多种结构形式,如集中式结构、层次化结构等。CDN还支持不同的CDN实体之间通过多种形式进行互联和共享。内容提供商可以向CDN提供商提交服务注册并将其内容放置在内容服务器上。CDN的主要功能包括:请求重定向及内容传递服务、内容外包及分发服务、内容协商服务及管理服务等 [12] 。图3-2是一个典型的CDN体系结构。它分为中心和边缘两部分。中心主要由原始服务器(origin server)组成,边缘主要由复制Web服务器集群(replicated web server clusters)组成。具有相同内容的Web服务器群分散在网络的边缘并与终端用户互联在一起。CDN中心包括CDN网络中心、DNS重定向解析中心,主要负责实现全局负载均衡,当用户访问CDN服务网站时,中心的DNS将根据节点负载、节点离用户的距离等选择最优的节点为用户提供服务。CDN的边缘主要包括Cache和负载均衡器等内容载体,这些节点对外提供相同的内容服务。
CDN系统根据网络当前的流量及负载情况、用户的位置、节点的连接状况等实时信息,选择适合的服务器对用户的需求进行响应,使用户获得更快、更稳定的体验。据统计,分布式的CDN技术能够处理整个网站页面70%~95%的访问量,它不但能减轻服务器和中心设备的压力,有效提高了用户访问的性能,而且通过结构上的冗余提升了网站的可扩展性和可靠性。
▶ 图3-2 CDN基本体系结构
随着移动设备的广泛使用,移动用户随时随地连接互联网的需求日盛,移动IP协议正是为解决移动设备在移动过程中保持不中断通信而提出的一种手段。
如图3-3所示,移动IP在现有网络资源的基础上,增添了相应的地址绑定功能、隧道技术和路由优化技术以支持移动设备的通信:当移动设备处于家乡网络时,进行固定的正常的通信;当移动设备处于外地网络时,它通过向外地代理注册获得一个转交地址并将该地址向家乡代理HA注册,这样就可以由家乡代理通过隧道将正常通信的流量转发到移动节点当前所在的位置。这种方式在保证移动节点的原有IP地址不变的情况下保持了与其他节点之间的正常通信。
▶ 图3-3 移动IP数据流
由于移动IP的设计中存在三角路由的问题,IETF在后续的工作中还制定了路由优化协议,对移动IP进行进一步的改良。
互联网体系结构的安全问题一直是互联网发展过程中的一个重大课题。如何保证通信节点的可靠性、通信过程的私密性及通信数据的完整性是互联网用户最为关心的问题。因此,互联网体系结构安全涉及的主要研究方向包括认证、授权、密码技术、攻击检测与防范等。在过去的数十年,研究者提出了许多方法来满足各种各样的安全需求,这些方法大部分通过应用层协议的添加和修改来实现特定场景下的安全需求。例如,为提供Web访问安全保证的SSL协议,这类协议虽然简单但并不通用。1995年,IETF开始制定了一系列安全技术和协议,它们用于提供网络层的端到端安全服务,这些协议集合被统称为IPSec协议。
IPSec包括两部分:一部分是建立安全分组流的密钥交换协议——IKE协议;另一部分是用于加密数据流的ESP协议及AH协议。IKE负责在IPSec的两个通信端之间协商通信所必需的会话密钥、安全参数、安全关联SA等,为后续的安全通信做好准备。其中安全关联是IPSec实现的本质,它约定了通信对等体之间用于通信的加密协议、操作模式、加密算法等。AH协议和ESP协议用于在数据通信过程中提供对通信对象可靠性的认证、数据私密性及完整性的保护。IPSec的AH和ESP协议支持隧道模式和传输模式两种工作方式。在隧道模式下,IPSec对完整的IP报文进行封装并加密,从而实现源和目的地址的隐蔽。在传输模式下,IPSec仅对IP的有效数据载荷进行封装加密。
IPSec利用密码技术和认证机制,明确了需要保护的流量,如何保护这些流量及确定流量的通信对象,为端到端通信提供了理论上的绝对安全通路。但是,IPSec由于使用加密技术,面临严重的复杂性和开销问题,目前应用还不广泛。