造成网络不可控的原因很多, 其中网络状态的不可见是其中的重要原因之一。由于各个网元(设备, 协议等)的异构性, 每个网元都有各自的接口, 对传统网络进行控制需要对各个网元信息有充分的了解, 这使得网络控制变得越来越复杂。面对繁杂的网络设备接口, 网络管理员需要对网络设备进行手工配置, 这使得网络控制代价高昂且容易出错。
针对这个问题, 在传统的网络体系结构下, 当前主要的解决方法是通过在已有网络上添加一层新的中间层来帮助实现网络配置的自动化, 以减少网络配置的错误[4]。然而这种方法只是将网络控制的复杂性进行了屏蔽, 并没有降低网络控制的复杂度, 为了保证网络控制的有效性, 必须不断升级网络控制的中间层以保持与不断更新的网络设备接口的一致性, 这就在网络控制中引入了新的任务, 其结果必然是使得网络控制的复杂性变得更高。
为了寻求传统网络的不可控问题的根本解决方法, 国内外很多组织和学者开始对下一代网络体系结构进行了研究。Greenberg 等[5-6]提出了4D 网络控制模型(简称4D 模型), 将网络控制的4 个环节映射成决策层、发现层、数据层和分发层4 个层面, 将网络控制逻辑从路由器中分离出来, 建立了独立的网络控制层, 提高了网络的控制能力。在国内, 清华大学的林闯教授等 [7-8]首先对下一代网络的可信可控进行了研究, 提出了可信可控可扩展的下一代互联网的体系结构, 对下一代可控网络的关键性问题进行了讨论, 为可信可控网络的研究建立了基础。
根据当前国内外对可控网络的研究成果, 我们项目组将当前网络存在的不可控问题的原因归结为:①网络控制层与网络传输层缠绕在一起, 造成了网络控制任务与网络传输任务的混淆; ②当前网络中缺少全网的视图, 网络管理员只能根据局部信息对网络进行管理, 容易造成网络控制的局部性和不一致性; ③当前的网络管理模型SNMP 缺少对网络信息的抽象化描述暴露给网络管理员的信息是一堆没有意义的复杂参数, 通过SNMP 进行网络控制需要非常专业的网络管理员才能完成。
针对这些问题, 我们对下一代网络体系结构进行了研究[9-11], 并提出了新的可信可控网络模型, 该体系分为决策层、观测层、资源层以及可信可控接口层。在此基础上, 本文针对网络缺少全局视图的网络不可视问题, 构建了网络可信控制模型的观测层。观测层对网络资源层信息利用统一的控制信息描述模型对网络被控对象进行了协议块粒度的描述、存储和处理为决策层提供统一粒度的被控对象, 并利用域间共享信息处理模块对其他网络的信息进行收集基于本域的控制信息和其他网络共享的信息组成了全网一致性视图, 为可信可控网络的决策层进行有效的网络控制决策提供了必要的决策依据。
可信可控网络模型随着网络的不断发展, 网络控制变得越来越复杂, 这种网络控制的复杂性造成了当前网络的不可控问题。为了从根本上解决网络的不可控问题, 在兼顾对传统网络兼容性的前提下在不破坏现有的OSI 七层体系结构以及TCP/IP 四层体系结构基础上, 增加了一个可信可控层逻辑结构, 从而实现网络组元及用户行为的可预期可管理。如图1 所示, 可信可控网络模型包括“决策层”、“观测层”、“资源层”和“可信接口层”4 个层次; 其中, “可信接口层”以协议跨层的方式实现现有网络体系与资源层的交互; “资源层”表示网络的底层, 包括路由器、主机、用户等; “观测层”对“资源层”进行描述, 为决策层提供一个具有较好一致性及可观性的视图, 并为网络控制提供抽象接口; “决策层”根据可观视图, 从系统当前态势及全局利益最大化角度出发提出控制方案, 通过接口层提供给网络, 达到控制的目的, 同时给出该时刻各组元的信度以信任流的形式通过可信接口层提供给观测层。
与传统网络相比, 可信可控网络模型具有以下优势:①可信可控网络能够实现全网级别的控制目标。由于可信可控网络具有集中的决策层面, 这个决策层面集成了所有网络级别的控制机制, 因而可以消除各个控制机制之间的决策冲突, 如域内路由与域间路由的冲突, 路由机制与安全机制的冲突, 并且加强各个控制机制之间的合作。②可信可控网络能够容纳各种异构网络体系。可信可控网络并不涉及网络传输的细节, 只是针对网络控制结构, 因而可信可控网络能够在各种网络环境中实现。③可信可控网络具有可演化性。由于可信可控网络将复杂的网络控制, 如路由控制等, 从路由器等交换设备上剥离并集中到决策层面, 网络可以添加一些复杂的QoS 控制机制并且不会对路由器造成负担, 如接纳控制, 因而方便网络进一步发展。
可信可控网络观测层可信可控网络模型将网络传输和网络控制进行了分离, 将网络逻辑控制集中到网络决策层, 为了给网络决策层提供必要的网络状态信息以实现网络状态的可见性, 本文为可信可控网络中构建了观测层。
观测层的设计原则在可信可控网络中, 为了实现网络状态的可见性和网络控制的有效性, 可信可控网络的观测层需要遵循如下几个设计原则:
独立性。可信可控网络是一个分层结构, 其各层都应该支持独立性原则, 每层的变化不应该影响其他各层的正常运行, 可信可控网络观测层应该为决策层和资源层提供统一的访问接口, 屏蔽观测层收集和处理数据的细节。
www.qiuzhi56.com
构网络的兼容性。可信可控网络面向的是高度异构网络, 在组网技术、线路特性、传输技术、应用需求、联网设备类型、网络环境等方面存在各种各样的异构性, 为了为决策层提供统一的逻辑视图, 可信可控网络的观测层需要对各种异构网络支持, 从而屏蔽异构网络造成的差异。
可扩展性。由于网络是不断发展的, 用户的需要也越来越多, 网络控制任务也越来越复杂, 这样决策层要求的信息就会越来越多, 在这种情况下, 观测层必须提供友好的可扩展性网络观测层的功能模块需要支持“热插拔”, 即其功能模块应该在安装和卸载的情况下都不影响其他模块的运行。
观测层的总体构建为了向决策层提供必要决策信息, 实现网络状态的可视化和网络控制的最优化, 在可信可控网络中构建了观测层, 其功能框架如图2 所示。我们将观测层的功能分成2 个部分:被控对象描述功能和全网一致性视图构建功能。
域内被控对象描述功能主要实现对本域内被控对象的发现和注册, 为决策层提供经过抽象描述的被控对象。主要由被控对象注册模块和名字空间组成。
域内控制信息搜集功能主要实现域内控制信息的描述、收集和存储功能, 由网络状态预处理模块和状态库组成。
域间信息共享功能主要实现域间信息的搜集以及发布本域信息的功能, 实现多个域之间的信息共享。主要由域间信息交互接口和域间共享信息处理模块组成。
基于域内信息和域间信息观测层通过全网一致性视图构建模块来构建全网的一致性视图来为决策层提供可靠的底层网络状态信息, 实现网络状态的可见性。
观测层的组成部分被控对象抽象模块对网络的控制实际上通过对网络上各种协议块进行控制实现的, 网络控制的对象可以认为是协议块。网络协议暴露了过多细节造成了网络控制的复杂性。一个网络设备往往有成千上万的可以控制的对象提供给网络管理员, 对一个网络设备进行的配置往往需要数以万计的控制命令[12-15]。这种管理的复杂性造成了很多问题, 如决策层对网络的认识与网络实际状态不符、对网络的配置易出错、管理状态关联性差等。针对这种情况, CONMan 提出协议块只要向网络控制提供基本的功能属性, 即可实现网络的功能:为合法用户建立连接, 并阻止非法用户的连接[2], 将没有必要的细节屏蔽在协议块以内, 与细节相关的控制, 由驻留在设备上的根据抽象命令实现具体操作。然而CONMan 由于是在传统网络上实现的, 所以网络控制与网络本身没有分离, 造成了对协议类的抽象难以统一实现, 对网络不能实现其预期的抽象控制。另外, 没有实现对被控对象的规范封装, 难以扩展。
本文在CONMan 的基础上进行了扩展提出了对网络协议进行描述的控制信息描述模型在观测层的被控对象抽象模块中, 利用CID 对被控对象进行描述。被控对象类分成协议类和连接类2 个基类。协议类描述网络上的协议块分成数据协议类(如IP 协议类等)和控制协议类(如IPsec 的IKE 协议块、PPP 的LCP 协议块和NCP 等)。由于可信可控网络模型将网络控制从数据层分离出来, 在以可信可控网络模型为基础构建的下一代互联网中, 将不存在控制协议块, 因此, 控制信息描述模型只对网络数据协议块进行描述; 连接类分成物理链路类和通道类, 利用物理链路类对物理链路进行描述通道类描述直接通信的2 个协议块之间的连接, 分成上行通道和下行通道, 分别表示对上层的连接和下层的连接。
协议类的主要属性包括全网ID、所在设备IP、通信管道、物理链路、性能属性, 函数包括创建函数、删除函数、连接函数、属性设置函数和过滤函数等, 如表1 所示。表1 给出的属性和功能是所有协议块共有的, 通过这些属性和功能, 决策层可以实现对网络的认知和抽象控制。物理链路类的主要属性和功能函数以及通道类的属性和功能。
被控对象注册模块与名字空间观测层利用控制信息描述模型将运行在客户端、路由器以及其他网络设备的各种协议都进行抽象描述, 存贮到名字空间数据库中。在NOX[15]中, 也利用了名字空间的形式对于用户、主机和路由器进行统一存储, 以实现在一个企业网内的对设备的统一管理。本文提出的名字空间与NOX的名字空间的区别在于本文提出的名字空间是基于CID的, 因此名字空间的存储粒度也是协议块粒度的, 而NOX 的名字空间是设备粒度的。基于协议粒度进行存储的好处在于为决策提供可以直接进行网络控制的被控对象, 降低网络控制复杂度。
tag: 毕业论文提纲,毕业论文提纲范文,毕业论文提纲格式,毕业论文设计 - 毕业论文提纲