面向可信網(wǎng)絡(luò)地地研究地虛擬化技術(shù)

1、實用標(biāo)準(zhǔn)文案面向可信網(wǎng)絡(luò)研究的虛擬化技術(shù)可信網(wǎng)絡(luò)是互聯(lián)網(wǎng)研究中的新方向，文中通過對可信網(wǎng)絡(luò)研究面臨的挑戰(zhàn)進(jìn)行分析，提出了虛擬化是開展可信網(wǎng)絡(luò)研究的有效途徑這一觀點，論文對網(wǎng)絡(luò)虛擬化技術(shù)的研究現(xiàn)狀進(jìn)行了綜述，分析了現(xiàn)有虛擬化技術(shù)對可信網(wǎng)絡(luò)研究的支持，然后針對現(xiàn)有虛擬化機制在資源管理等方面的不足，提出一種新的網(wǎng)絡(luò)節(jié)點虛擬化模型虛擬大節(jié)點(virtual big node)，該模型將多個網(wǎng)絡(luò)節(jié)點聚合成一個虛擬大節(jié)點，內(nèi)部采用多種節(jié)點虛擬化機制，不但可有效降低網(wǎng)絡(luò)復(fù)雜性，還可更好地支持網(wǎng)絡(luò)傳輸服務(wù)的生存性和可控性。1 引言隨著互聯(lián)網(wǎng)在人們社會生活中的地位越來越重要，如何保證網(wǎng)絡(luò)服務(wù)的安全可靠得到越來越

2、多的關(guān)注， 對互聯(lián)網(wǎng)技術(shù)的研究重點也逐漸由提高傳輸和交換性能、 增強 QoS保證轉(zhuǎn)移到提高網(wǎng)絡(luò)行為的可控性、 網(wǎng)絡(luò)服務(wù)的生存性等方面， 特別是近年來對 DDOS攻擊防范、蠕蟲傳播等網(wǎng)絡(luò)安全問題， 可審計的網(wǎng)絡(luò)協(xié)議、 源地址欺騙防范、 網(wǎng)絡(luò)安全脆弱性分析以及網(wǎng)絡(luò)生存性的研究逐漸成為熱點?？尚啪W(wǎng)絡(luò)將上述內(nèi)容凝練成一個新的研究方向，已經(jīng)成為下一代互聯(lián)網(wǎng)研究的重要分支。 文獻(xiàn)對可信網(wǎng)絡(luò)產(chǎn)生的背景和需求進(jìn)行了深入的分析，從信息安全、 可信系統(tǒng)和可信計算等多個角度出發(fā)對可信網(wǎng)絡(luò)進(jìn)行了描述，并建立了可信網(wǎng)絡(luò)信任控制和行為模型，上述工作對可信網(wǎng)絡(luò)的研究具有重要的指導(dǎo)意義，但目前可信網(wǎng)絡(luò)研究面臨一個問題，即在I

3、P無連接傳送機制和端到端設(shè)計思想指導(dǎo)下如何有效支撐各種可信網(wǎng)絡(luò)服務(wù)，或者說現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施 ( 如路由器 ) 的管理、配置、故障發(fā)現(xiàn)和恢復(fù)機制能否滿足可信網(wǎng)絡(luò)服務(wù)的要求。虛擬化是近年來互聯(lián)網(wǎng)研究領(lǐng)域出現(xiàn)的新技術(shù)，其思想是通過對底層的抽象屏蔽物理網(wǎng)絡(luò)實現(xiàn)細(xì)節(jié)， 將網(wǎng)絡(luò)的控制管理與數(shù)據(jù)平面的轉(zhuǎn)發(fā)與交換進(jìn)行有效的分離，虛擬化技術(shù)為可信網(wǎng)絡(luò)的機制設(shè)計提供了廣闊的空間，近期研究表明， 虛擬化不但對新型互聯(lián)網(wǎng)體系結(jié)構(gòu)的研究、 試驗和部署具有重要的意義，對網(wǎng)絡(luò)單元 ( 如路由器 ) 的虛擬化也可提高其故障冗余，持續(xù)提供網(wǎng)絡(luò)服務(wù)的能力。本文將對網(wǎng)絡(luò)虛擬化技術(shù)進(jìn)行深入分析，并提出一種新的網(wǎng)絡(luò)虛擬化機制VBN(V

4、irtual Big Node)。該機制不但可以簡化網(wǎng)絡(luò)復(fù)雜性，還可提高網(wǎng)絡(luò)節(jié)點路由交換的魯棒性，因此對可信網(wǎng)絡(luò)服務(wù)的提供具有重要意義。本文第 2 節(jié)首先針對文獻(xiàn)中提出的可信網(wǎng)絡(luò)面臨的科學(xué)問題進(jìn)行分析，提出在現(xiàn)有網(wǎng)絡(luò)體系下實現(xiàn)可信網(wǎng)絡(luò)面臨的挑戰(zhàn); 第 3 節(jié)對網(wǎng)絡(luò)虛擬化技術(shù)的產(chǎn)生背景、特點以及在可信網(wǎng)絡(luò)研究中的應(yīng)用進(jìn)行分析; 第 4 節(jié)提出 VBN機制 ; 最后是全文的總結(jié)。2 可信網(wǎng)絡(luò)研究面臨的挑戰(zhàn)林闖教授在文獻(xiàn)中給出了可信網(wǎng)絡(luò)的定義及其重要意義:“可信網(wǎng)絡(luò)是指網(wǎng)絡(luò)系統(tǒng)的行為及其結(jié)果是可以預(yù)期的，能夠做到行為狀態(tài)可監(jiān)測，行為結(jié)果可評估， 異常行為可控制，對可信網(wǎng)絡(luò)的研究解決人們對網(wǎng)絡(luò)日益增加

5、的依賴性與安全服務(wù)能力的有限性之間的矛盾，是進(jìn)一步推進(jìn)網(wǎng)絡(luò)理論技術(shù)研究，提高網(wǎng)絡(luò)建設(shè)及應(yīng)用水平的重大問題”，并指出可信網(wǎng)絡(luò)研究的 4 個關(guān)鍵科學(xué)問題，即網(wǎng)絡(luò)與用戶行為的可信模型、可信網(wǎng)絡(luò)的體系結(jié)構(gòu)、服務(wù)的可生存性以及網(wǎng)絡(luò)的可控性，然而我們認(rèn)為， 在現(xiàn)有的互聯(lián)網(wǎng)體系下解決上述科學(xué)問題面臨著許多重要的挑戰(zhàn)。精彩文檔實用標(biāo)準(zhǔn)文案(1) 網(wǎng)絡(luò)與用戶行為的可信模型協(xié)議行為是影響網(wǎng)絡(luò)行為的重要因素，眾所周知，IETF 的哲學(xué)“相信統(tǒng)一的共識和可執(zhí)行的代碼” 對互聯(lián)網(wǎng)協(xié)議的制定具有重要影響，由于缺少形式化描述和正確性驗證，很多協(xié)議在誕生之初就存在難以預(yù)料的缺陷，而這些缺陷大多只有在協(xié)議已經(jīng)部署，對互聯(lián)網(wǎng)的運

6、行產(chǎn)生影響后才能發(fā)現(xiàn)和修補，例如盡管經(jīng)歷了十幾年的研究，作為下一代互聯(lián)網(wǎng)基礎(chǔ)的 IPv6 協(xié)議仍然存在大量安全漏洞，而在不確定的基礎(chǔ)協(xié)議行為上難以建立可信的網(wǎng)絡(luò)模型，對攻擊行為分析是可信網(wǎng)絡(luò)中用戶行為建模的重要組成， 盡管基于模型和攻擊圖的用戶行為分析已經(jīng)得到廣泛的研究， 但受建模方法和工具的限制， 這些分析只能局限在小規(guī)模網(wǎng)絡(luò)中，無法對針對大規(guī)模互聯(lián)網(wǎng)的攻擊行為進(jìn)行分析。(2) 可信網(wǎng)絡(luò)的體系結(jié)構(gòu)可信網(wǎng)絡(luò)體系結(jié)構(gòu)是指導(dǎo)各種可信網(wǎng)絡(luò)機制設(shè)計、協(xié)議實現(xiàn)、應(yīng)用部署和互操作的框架， 由于先天不足， 現(xiàn)有互聯(lián)網(wǎng)體系結(jié)構(gòu)的許多原則都與可信網(wǎng)絡(luò)設(shè)計相沖突，如端到端的設(shè)計思想造成互聯(lián)網(wǎng)的智能過分集中在網(wǎng)絡(luò)邊

7、緣，導(dǎo)致網(wǎng)絡(luò)核心管理控制能力弱，無法準(zhǔn)確感知異常網(wǎng)絡(luò)行為，又如 IP 層是目前互聯(lián)網(wǎng)體系不可動搖的基礎(chǔ)(NarrowWaist)，因此可信網(wǎng)絡(luò)研究中許多革命性的成果，如抵御DDOS的網(wǎng)絡(luò)體系結(jié)構(gòu)、可審計網(wǎng)絡(luò)協(xié)議等，難以得到實質(zhì)應(yīng)用， 各種可信機制只能通過補丁的形式在網(wǎng)絡(luò)中實現(xiàn)，難以形成統(tǒng)一的頂層設(shè)計。(3) 服務(wù)的可生存性服務(wù)的可生存性在某種程度上是對冗余資源的調(diào)度問題，目前互聯(lián)網(wǎng)從核心節(jié)點到邊緣服務(wù)器大都采用多機備份的方式以提高服務(wù)的可生存性，而且取得了一定效果，但在互聯(lián)網(wǎng)這個復(fù)雜系統(tǒng)中，冗余資源調(diào)度還面臨著兩個關(guān)鍵問題，一是故障難以及時檢測，例如骨干鏈路發(fā)生故障時，雖然光傳輸網(wǎng)具有快速的故

8、障發(fā)現(xiàn)和自愈能力，但路由器難以及時感知光傳輸網(wǎng)絡(luò)的故障和變化， 二是局部資源切換導(dǎo)致的瞬時非穩(wěn)狀態(tài)可能被無限放大，影響整個網(wǎng)絡(luò)的穩(wěn)定， 例如局部轉(zhuǎn)發(fā)路徑的切換可能引起互聯(lián)網(wǎng)路由系統(tǒng)長時間的振蕩，導(dǎo)致用戶流量的丟失。(4) 網(wǎng)絡(luò)的可控性互聯(lián)網(wǎng)是一個復(fù)雜的系統(tǒng)，在體系結(jié)構(gòu)、設(shè)計和工程化方面具有明顯的非線性特征，符合非線性系統(tǒng)的放大原則和耦合原則。一方面，網(wǎng)絡(luò)中一個小的事件可能會帶來網(wǎng)絡(luò)很大的不穩(wěn)定 ; 另一方面，網(wǎng)絡(luò)中同時發(fā)生的事件可能相互影響，同時，互聯(lián)網(wǎng)端到端設(shè)計思想又使得網(wǎng)絡(luò)智能主要集中在網(wǎng)絡(luò)邊緣，因此對互聯(lián)網(wǎng)實施有效的管理控制十分困難，對故障和異常行為進(jìn)行有效的隔離是增強互聯(lián)網(wǎng)可控性的重要

9、措施，雖然各種隔離機制，如入口過濾、 ISP 間整形、流量工程等，針對不同問題都能取得一定效果，但從互聯(lián)網(wǎng)整體看，這些控制行為還是難以預(yù)計的，對于蠕蟲傳播、DDOS攻擊等還是難以實施有效的控制。以上分析表明，可信網(wǎng)絡(luò)研究，特別是服務(wù)的可生存性和網(wǎng)絡(luò)的可控性，面臨很大挑戰(zhàn)，因此必須選擇有效的研究路線，我們認(rèn)為必須在網(wǎng)絡(luò)體系和協(xié)議設(shè)計上考慮兩個關(guān)鍵問題，一是通過分層等機制簡化網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜度，盡可能減小網(wǎng)絡(luò)非線性特征造成的管理精彩文檔實用標(biāo)準(zhǔn)文案控制的不確定性， 二是在網(wǎng)絡(luò)中實施全方位的隔離機制，降低局部故障和異常對全局網(wǎng)絡(luò)的影響。虛擬化是近年來互聯(lián)網(wǎng)研究領(lǐng)域出現(xiàn)的新技術(shù)，通過對底層網(wǎng)絡(luò)的抽象屏蔽

10、物理網(wǎng)絡(luò)實現(xiàn)細(xì)節(jié)， 將網(wǎng)絡(luò)的控制管理與數(shù)據(jù)平面的轉(zhuǎn)發(fā)與交換進(jìn)行有效的分離，上述分離對網(wǎng)絡(luò)系統(tǒng)的簡化、 故障和異常的隔離提供了較好的支持，因此虛擬化技術(shù)為可信網(wǎng)絡(luò)的機制設(shè)計提供了廣闊的空間。3 虛擬化對可信網(wǎng)絡(luò)的支持虛擬化技術(shù)的基本思想是將網(wǎng)絡(luò)的管理控制與轉(zhuǎn)發(fā)交換相分離，通過高層的抽象屏蔽底層的物理實現(xiàn)細(xì)節(jié)，近年來硬件性能的持續(xù)提高，特別是網(wǎng)絡(luò)處理器、FPGA對可編程和可重構(gòu)的支持日益完善為網(wǎng)絡(luò)虛擬化創(chuàng)造了良好的條件， 網(wǎng)絡(luò)虛擬化包括網(wǎng)絡(luò)平臺的虛擬化以及網(wǎng)絡(luò)節(jié)點的虛擬化。3.1網(wǎng)絡(luò)節(jié)點虛擬化節(jié)點虛擬化技術(shù)最初源于20 世紀(jì) 90 年代后期出現(xiàn)的可編程ATM交換機思想，即通過對硬件交換平臺的資源劃

11、分，在一個物理交換機上虛擬出多個邏輯的交換機，以支持在一個物理網(wǎng)絡(luò)上構(gòu)建多套邏輯網(wǎng)絡(luò)，但這項技術(shù)直到近年來可編程硬件( 如網(wǎng)絡(luò)處理器和FPGA)在網(wǎng)絡(luò)節(jié)點中得到廣泛應(yīng)用后，才得到進(jìn)一步的關(guān)注，當(dāng)前虛擬化在路由器上的應(yīng)用已經(jīng)成為研究的熱點?？刂破矫媾c數(shù)據(jù)平面相分離是路由器虛擬化實現(xiàn)的基礎(chǔ)，基于該思想，路由器控制平面與數(shù)據(jù)平面相互屏蔽各自實現(xiàn)細(xì)節(jié)，而只是通過標(biāo)準(zhǔn)的管理控制接口進(jìn)行通信，相關(guān)工作有網(wǎng)絡(luò)處理器論壇制定的CPIX(Common Programmable Interface Archi2tecture)規(guī)范，該規(guī)范對網(wǎng)絡(luò)處理器的物理實現(xiàn)進(jìn)行抽象，并制定標(biāo)準(zhǔn)的網(wǎng)絡(luò)處理器配置管理接口，因此路由

12、控制軟件可直接運行在不同的網(wǎng)絡(luò)處理器平臺上，IETF 的 ForCES 工作組更是致力于標(biāo)準(zhǔn)化控制平面與數(shù)據(jù)平面的通信協(xié)議，以便控制平面技術(shù)與數(shù)據(jù)平面技術(shù)能夠獨立發(fā)展，基于網(wǎng)絡(luò)處理器平臺以及ForCES 協(xié)議實現(xiàn)的路由器有OpenRouter 等。路由器虛擬化是在控制平面和數(shù)據(jù)平面分離的基礎(chǔ)上，進(jìn)一步在數(shù)據(jù)平面或控制平面實現(xiàn)上采用虛擬化技術(shù)，以獲得更好的故障冗余和管理控制能力，網(wǎng)絡(luò)節(jié)點虛擬化示意如圖1所示.精彩文檔實用標(biāo)準(zhǔn)文案圖 1 網(wǎng)絡(luò)節(jié)點的虛擬化在數(shù)據(jù)平面虛擬化中，路由器節(jié)點存在多個物理的數(shù)據(jù)平面實現(xiàn)，但通過虛擬技術(shù)只向控制平面提供一個虛擬的數(shù)據(jù)平面，而對于控制平面虛擬化來說，路由器上同時

13、運行多個控制平面， 但通過虛擬化管理，同時只有一個控制平面負(fù)責(zé)管理配置數(shù)據(jù)平面以及與其他路由器交互，路由器虛擬化的實例將在3.3 節(jié)中進(jìn)一步分析。網(wǎng)絡(luò)端系統(tǒng)的虛擬化研究包括VIA(VirtualInterfaceArchitecture)和 VNS，VIA可在一個物理接口上虛擬出多個邏輯的網(wǎng)絡(luò)接口，而 VNS則通過虛擬協(xié)議棧使得網(wǎng)絡(luò)端系統(tǒng)可與具有不同網(wǎng)絡(luò)協(xié)議的其他端系統(tǒng)通信，端系統(tǒng)的虛擬化為網(wǎng)絡(luò)平臺虛擬化提供用戶接入的支持。3.2網(wǎng)絡(luò)平臺的虛擬化網(wǎng)絡(luò)平臺虛擬化思想產(chǎn)生于本世紀(jì)初研究者對互聯(lián)網(wǎng)體系結(jié)構(gòu)研究的不斷反思中，文獻(xiàn)指出， 目前對互聯(lián)網(wǎng)體系結(jié)構(gòu)的研究陷入僵局，即新型體系結(jié)構(gòu)研究必須依賴大規(guī)

14、模的試驗床，但由于受到設(shè)備、管理、網(wǎng)絡(luò)規(guī)模等因素的限制，基于現(xiàn)有技術(shù)構(gòu)造的試驗床還必須建立在現(xiàn)有的網(wǎng)絡(luò)體系上，只能使用IP 無連接的傳送服務(wù)，因此新型體系結(jié)構(gòu)試驗難以部署和開展，而虛擬化試驗床是打破這一僵局的有效手段，與傳統(tǒng)的物理試驗床和overlay試驗床不同， 虛擬試驗床在一個公共的物理網(wǎng)絡(luò)(sub2strate)上通過資源的抽象、分配和隔離機制支持多個overlay網(wǎng)絡(luò)共存，與目前IP 體系并行的各種新型體系結(jié)構(gòu)通過overlay機制在物理網(wǎng)絡(luò)上進(jìn)行部署，這些網(wǎng)絡(luò)相互間不會產(chǎn)生影響，試驗者可通過首跳代理機制方便地接入不同的試驗網(wǎng)絡(luò)進(jìn)行體系結(jié)構(gòu)試驗，這一思想也成為美國GENI計劃的核心?；?/p>

15、于虛擬試驗床的思想，文獻(xiàn)進(jìn)一步地提出虛擬化不但可作為支持新型互聯(lián)網(wǎng)體系結(jié)構(gòu)研究的有效手段，而且可作為下一代互聯(lián)網(wǎng)體系結(jié)構(gòu)的基本屬性，即IP 只是下一代互聯(lián)網(wǎng)中的一種協(xié)議，可能還有其他與IP 處于相同地位的協(xié)議，互聯(lián)網(wǎng)體系結(jié)構(gòu)是動態(tài)變化的，體系結(jié)構(gòu)只是當(dāng)前所有存在的overlay網(wǎng)絡(luò)和協(xié)議的集合，因此虛擬化成為互聯(lián)網(wǎng)發(fā)展的關(guān)鍵，物理網(wǎng)絡(luò)資源的虛擬化、分配與隔離將取代IP 成為互聯(lián)網(wǎng)體系結(jié)構(gòu)的核心(Nar2rowWaist)，網(wǎng)絡(luò)平臺的虛擬化如圖2 所示，其中新型的互聯(lián)網(wǎng)體系結(jié)構(gòu)即可是一個適精彩文檔實用標(biāo)準(zhǔn)文案合多數(shù)應(yīng)用的通用結(jié)構(gòu)，也可是針對某一類應(yīng)用特點( 如大規(guī)模流媒體傳輸) ，開發(fā)的專用體系

16、結(jié)構(gòu)。圖 2 網(wǎng)絡(luò)平臺的虛擬化網(wǎng)絡(luò)平臺的虛擬化對互聯(lián)網(wǎng)的發(fā)展帶來革命性的變化，現(xiàn)有的ISP(InternetService Provider)將成為 SNP(Substrate Network Provider)，實現(xiàn)網(wǎng)絡(luò)資源提供功能，而虛擬網(wǎng)絡(luò)的開發(fā)和維護(hù)由NAP(Network Architecture Provider)實現(xiàn)，不同的NAP可通過提供差異化的服務(wù)進(jìn)行競爭。3.3虛擬化對可信網(wǎng)絡(luò)的支持目前網(wǎng)絡(luò)節(jié)點虛擬化的研究主要致力于提高網(wǎng)絡(luò)服務(wù)的生存性，即通過不同虛擬實現(xiàn)間的動態(tài)切換增強網(wǎng)絡(luò)持續(xù)提供服務(wù)的能力，與通常雙機備份不同，虛擬數(shù)據(jù)平面或控制平面的切換對網(wǎng)絡(luò)運行的影響基本可以忽略，以

17、下以VROOM(VirtualROuters On the Move)和 BTR(Bug2TolerantRouters) 為例，分別介紹虛擬數(shù)據(jù)平面和虛擬控制平面對提高網(wǎng)絡(luò)故障冗余能力的重要作用。VROOM的核心思想是打破路由器硬件與控制軟件的緊耦合關(guān)系，即路由器硬件僅作為一個承載的 Substrate ，而路由器軟件可以從一個物理路由器轉(zhuǎn)換到另一個物理路由器，由于轉(zhuǎn)換不影響數(shù)據(jù)流的傳輸或改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，因此虛擬路由器的配置不用改變，從而避免路由計算的收斂延時，當(dāng)物理路由器需要維護(hù)時，可預(yù)先將虛擬路由器遷移到同一個POP(Point Of Presence) 內(nèi)部的其他物理路由器，路由器虛

18、擬化、控制平面與轉(zhuǎn)發(fā)平面分離以及動態(tài)接口綁定是VROOM實現(xiàn)的關(guān)鍵機制。VROOM遷移時首先將控制平面遷移到新的物理平臺，在保持原有平臺數(shù)據(jù)平面工作的同時，原有平臺將控制報文重定向到新平臺上的控制平面，待新平臺數(shù)據(jù)平面配置完畢( 包括轉(zhuǎn)發(fā)表的設(shè)置、控制狀態(tài)的安裝等) 后，可將鏈路遷移到新的物理平臺，實驗表明，VROOM可大大簡化網(wǎng)絡(luò)的管理，特別是在設(shè)備的維護(hù)、新型應(yīng)用的開發(fā)部署以及設(shè)備節(jié)能方面比傳統(tǒng)方法具有更大優(yōu)勢。BTR 針對運行在核心路由器上的軟件可能具有安全漏洞、代碼錯誤以及錯誤配置等問題，借助虛擬化技術(shù)提出一種容錯路由器設(shè)計思想，即在路由器硬件平臺上同時運行多個不同的路由器控制軟件(V

19、irtual Router， VR)，這些 VR具有不同的操作系統(tǒng)、運行不同的精彩文檔實用標(biāo)準(zhǔn)文案路由協(xié)議，采用不同的路由消息交換方式，同時代碼由不同的設(shè)計人員編寫，因此多個VR同時發(fā)生錯誤的概率很低，BTR通過系統(tǒng)管理程序(hypervisor)檢測每個VR的運行情況，重啟以及重新同步出錯的VR，同時調(diào)度每個VR的輸入 ( 使輸入到達(dá)每個VR的時間具有一定的差異 ) ，并且決定路由器的輸出，由于這些VR幾乎不可能同時發(fā)生錯誤，且某個VR出錯時會與其他VR的輸出有差異， 因此可采用簡單的投票機制，決定所有VR的輸出， 包括對路由器硬件的配置以及與其他路由器的通信。網(wǎng)絡(luò)平臺虛擬化對可信網(wǎng)絡(luò)研究也

20、具有一定的意義，主要表現(xiàn)在平臺虛擬化不但可為不同網(wǎng)絡(luò)體系之間實現(xiàn)有效隔離，增加網(wǎng)絡(luò)的可控性，還可以為可信網(wǎng)絡(luò)體系結(jié)構(gòu)研究提供平臺和試驗床，支持各種革命性的創(chuàng)新，更為重要的是， 虛擬網(wǎng)絡(luò)平臺將改變互聯(lián)網(wǎng)的運營模式，為ISP 提供差異化的服務(wù)提供平臺，增強了ISP 部署并提供可信服務(wù)的驅(qū)動力。3.4網(wǎng)絡(luò)虛擬化研究的不足簡單是互聯(lián)網(wǎng)設(shè)計的首要原則，我們認(rèn)為當(dāng)前網(wǎng)絡(luò)虛擬化研究的主要缺陷是沒有提出通過分層或屏蔽局部信息的機制簡化互聯(lián)網(wǎng)整體復(fù)雜性，這一方面造成了網(wǎng)絡(luò)平臺支持虛擬網(wǎng)絡(luò)嵌入 (VirtualNetworkEmbedding) 的資源管理復(fù)雜性太高，特別是如何有效地進(jìn)行網(wǎng)絡(luò)范圍內(nèi)路徑分割和遷移計

21、算面臨很大挑戰(zhàn); 另一方面，由于無法簡化網(wǎng)絡(luò)復(fù)雜性，虛擬化技術(shù)只能在局部提高網(wǎng)絡(luò)節(jié)點的可靠度，無法從全局的角度提高網(wǎng)絡(luò)本身的可用性，為可信網(wǎng)絡(luò)研究提供十分有效的支撐。4 一種新的虛擬化機制VBN針對當(dāng)前網(wǎng)絡(luò)虛擬化研究在簡化網(wǎng)絡(luò)復(fù)雜度方面的不足，我們提出一種新的虛擬化機制 VBN， VBN將互聯(lián)網(wǎng)中物理上相對集中的多個路由器通過特定協(xié)議綁定到一起，形成對外具有單一路由、管理和策略的虛擬路由交換節(jié)點，VBN作為一個獨立節(jié)點與其他路由器交互路由信息，互聯(lián)網(wǎng)中任何節(jié)點( 路由器或VBN)都無法判斷與其通信的節(jié)點是路由器還是 VBN?；ヂ?lián)網(wǎng)中許多問題都可以抽象為圖論中的問題，由于VBN可減少圖中節(jié)點個數(shù)

22、，因此可降低問題求解的復(fù)雜性，例如路由器運行OSPF協(xié)議進(jìn)行最短路徑優(yōu)先路由計算的復(fù)雜度為 O(n3) ，存儲復(fù)雜度為O(n) ，因此 VBN通過多路由器綁定減小節(jié)點數(shù)n 可降低協(xié)議處理的開銷， 又例如路由器FIB 存儲的復(fù)雜度為O(m)，其中 m為互聯(lián)網(wǎng)的子網(wǎng)個數(shù)，若 VBN由 K個路由器綁定， 顯然，每個 VBN可使互聯(lián)網(wǎng)內(nèi)部子網(wǎng)個數(shù)最多減少K(K-1)/2個 ( 所有路由器全互連情況 ) ，至少減少K-1 個 ( 所有路由器串行連接情況) ，因此 VBN的廣泛部署對解決互聯(lián)網(wǎng)面臨的FIB 極限問題， 也具有很大幫助. 以圖 3 為例，其中 (a) 為沒有部署VBN的網(wǎng)絡(luò)拓?fù)?，A、B 和

23、C是路由器相對聚集的區(qū)域( 如 POP)，若每個區(qū)域內(nèi)的路由器具有相同的管理和路由策略，那么這些路由器就可虛擬成一個VBN，圖 (b) 為 A、 B、 C3 個 VBN形成后的拓?fù)?，顯然，聚合后的網(wǎng)絡(luò)拓?fù)涞玫胶喕?，網(wǎng)絡(luò)拓?fù)浜喕紫瓤山档吐酚捎嬎銖?fù)雜性，OSPF協(xié)議計算節(jié)點s 到節(jié)點 d 的路由，聚合前需要在17 個節(jié)點、 20 條邊的圖中計算最短路徑，而聚合后路由計算只需在包含5 個點、 6 條邊的圖中計算最短路徑，計算量大大降低，同時3 個VBN使得網(wǎng)絡(luò)中子網(wǎng)的個數(shù)減少20 個。精彩文檔實用標(biāo)準(zhǔn)文案圖 3VBN 節(jié)點示意圖由于 VBN完全屏蔽了內(nèi)部信息，因此除了路由，任何與網(wǎng)絡(luò)拓?fù)湎嚓P(guān)的網(wǎng)絡(luò)

24、計算，如流量工程、 虛擬網(wǎng)絡(luò)嵌入等都會得到簡化，由 N 個網(wǎng)絡(luò)節(jié)點聚合形成的VBN內(nèi)部模型如圖4(a) 所示， N 個節(jié)點的控制平面和數(shù)據(jù)平面被虛擬成一個虛擬的控制平面和數(shù)據(jù)平面，虛擬控制平面負(fù)責(zé)所有 N個控制平面的資源管理， 例如可將所有控制平面的處理器組成處理器池結(jié)構(gòu)，根據(jù)需求靈活分配資源， 而虛擬數(shù)據(jù)平面負(fù)責(zé)數(shù)據(jù)平面處理資源和帶寬資源的聚合及分配 . 針對虛擬網(wǎng)絡(luò)平臺中虛網(wǎng)嵌入的需求，在虛擬控制平面與虛擬數(shù)據(jù)平面間還可劃分出多個虛擬路由器 (VR) ，每個 VR屬于不同的虛網(wǎng)，邏輯上相互隔離。圖 4 VBN 的虛擬化示意圖VBN 的虛網(wǎng)劃分如圖4(b) 所示 . 其中 VBN由 A、B、C、D4個路由器聚合而成，通過節(jié)點的虛擬化及資源的重新分配，可支持 X、Y、Z3 個虛擬網(wǎng)絡(luò)嵌入， 在上述 3 個虛擬網(wǎng)絡(luò)中，VBN分別表現(xiàn)為虛擬路由器VRX， V