“2013全球IPv6下一代互联网高峰会议”4月11日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
清华大学网络体系结构和IPv6研究室主任毕军
我的题目是题目是SDN技术助力IPv6研究和实验。这个也是组委会给我出的题目,让我谈一谈SDN和IPv6的关系。
我发言两个方面一个SDN与IPv6的关系,第二结合清华大学的实践,介绍一些基于的构架进行IPv6新协议和研究实验的例子,一个如何支持IPv6的安全,IPv6原地址的认证,第二支持IPv6过渡,基本上我发言覆盖了IPv6、SDN、安全还是比较符合我们主题。
第一个题目大家看到我放了两个图片,是去年我们国家舰载机成功在航空母舰上起飞,大家会想为什么讲SDN和IPv6会上我拿这样一个图片,这里有一个小故事,去年12月我们搞中国SDN开放式网络开放会的时候,有人问我你做了IPv6的研究现在又做SDN的研究,这是什么关系,是不是一个替代关系,当时我们国家舰载机首飞,我举这么一个例子。我们可以把SDN比喻一个平台的技术,IPv6是平台上跑的具体协议和协议站,是支持和被支持的关系,它们根本是两个空间的东西,所以并不矛盾的。
刚才唐总提到SDN也可以进行未来网络(英文)构架的研究,这个对我们来讲近期马上使用,还是IP网络新协议的实验产品运营。SDN的重要技术(英文),实际上是没有什么本质的矛盾,是支持和被支持的关系。现在IPv4地址空间不够了,我们要过渡到IPv6,是不是SDN技术更好的支持IPv6,把安全加强。大家也提到SDN支持平滑的过渡,我们现在IPv4、IPv6过渡是很重要问题,有好几个方法,我们在开放式网络支持,这个也是非常高效节能的方式,清华大学就这两个问题做了实践。
谈两句什么是SDN,SDN如果说窄义现在明确一些,大家热点谈广义的SDN,这点看未达成共识的建议。我们网络界这几年有一个有意思的现象,什么东西热门大家会说这个都是这个技术,云计算、物联网热起来大家就说我做的就是这个技术。作为广义应用是很多,是不是有一些本质特点。大家常说的(英文),现在已经很明确了,(英文)是SDN数据抽象的实例,不能代表SDN的全面。本身研究是刚刚起步,但是有非常好的前景,处于百家争鸣百花齐放的争端现在。
我们看看各界对SDN的定义。刚才有专家也提到,现在SDN比较权威的组织是开放式网络基金会,他们也支持每年举办ONS开放式网络高峰会。我到大网站摘录了一些,它认为SDN是使普通编程者能够用普通的软件,在普通的(英文)普通的系统上进行网络的编程,也是举了很多特征,包括(英文)提出来,是(英文)标准支持的组织。ONF工作组其中一个叫(英文)的工作组,现在做一个文档没有发布的草案,叫做(英文),认为SDN是市场上的名词。主要是软件与网络交互,这个接口它觉得不一定要做标准,北向接口是不是不一定做标准,南向做(英文)。这礼拜一新成立一个组织叫(英文),我理解主要是做北向、控制器、开元软件这个组织。提出要做智能网络的状态,智能被集中的管理,通过网络物理网络的抽象,这是它的一个定义。
刚才是工业界,从标准组织大家知道去年(英文)SDNMG投票通过,今年正式成立,提出来SDN是可编程的能力。
我们再看看学术界这个(英文)是我们网络顶级的学术会议,去年组织(英文)会议。今年是第二届。它强调SDN是网络设备和控制网络设备软件的一种关系,强调的是一个灵活和可预期的网络控制,使网络新功能更容易加进去。我个人认为学术界的定义稍微好一些。同时列入了很多研究挑战,包括设备、软件、应用各个方面。既然这么多的技术都需要研究,说明还是一个百花齐放的阶段。清华大学现在也在做相应的工作承担国家863项目未来网络体系结构和创新环境FINE。你是做未来网络体系结构还是做创新环境FINE结构?我个人觉得SDN可能是软结构,是(英文)。原数据,是数据的数据,就是描述一个数据。还有(英文),是一种语言,描述其他语言。我个人认为SDN是原体结构是描述其他体系结构的一种体系结构。
我个人认为应该按照这个思路研究和理解SDN。
我们知道在计算领域的理论,我们图灵机可以很好模型计算,是不是有一个很好图形模型画SDN的结构,这是我们在国家863里面提出的(英文)的体系结构,这样一个视图可能是低级的操作语言。我们认为这个(英文)不灵活,本质是自动机或者是转换举证,网络对它控制转换形成动作。上一层网络全局控制,基于网络当前的状态,当前控制,根据用户给它的需求做一个举证,上面一层也类似,如果需要虚拟化还有转化一层,总之通过这样的技术,使我们新体系机构描述控制层面以及对虚拟化方面的需求。
有这样一种结构描述这些层面,我认为可以更准确的定义SDN。
SDN本身是原体系结构,可以描述其他很多不同的体系结构,当然我们IPv6体系结构协议站,也在它的范畴。清华大学基于SDN的构架,进行了IPv6的新实验。我们在IPv6主要是做两件创新,一个IPv6原地址验证主要提供安全性,第二做的IPv6过渡。当我们进行结合的时候,很自然想到是不是和我们做的两项工作结合起来。应该说这项工作我们是从2010年正式开启,08年斯坦福的(英文)教授,在(英文)发表了论文和(英文)两篇论文我们比较关注,开始相关研究,我们在学生研究和教育中加了这个事。正式推动是2010年5月(英文)教授代表斯坦福与清华网络中心正式签订了网络协议,其中一项重要内容就是进行(英文)对IPv6的扩展,以及支持(英文)原体系验证这样一些IPv6的应用。
谈一谈基于(英文)的构架支持IPv6原地址验证,就是防止假冒的原地址,IPv6地址空间很大,造成假冒的地址很多。存在假阳性,路过率,主要原因是非对称,或者这个技术非完全部署,有一些手工的路由,基于本地路由表生成反向记录表不能反映我们网络实质的状态,推测网络和网络实际不一致性,这种不一致性带来了问题。清华大学提出了CPF,C是计算的意思,基于计算路径转发,把推测转换为基于计算的思路,一个服务器获取网络的信息,以及信息的变化我们生成比较准确的过滤表,我们对于不确定的信息不提供这样的计算,这样可以消除假阳性。这个单独生成过滤表统一生成过滤表。这个国家与路由管控思想非常吻合。
2011年的时候这个(英文)不支持IPv6,我们当时做了一个IPv6的扩展,我们通过(英文)支持IPv6协议。另外由于我们应用需要敏捷的知道网络状态的变化,可能进行报文的采样,这两个方面做的扩展,都是以TRA的模式进行扩展。我们上面有一个清华网络系统,获取信息对上面运行应用提供这样的信息。北向接口我们做了一些扩展,主要是实现我们网络应用和网络操作系统的紧偶合。在网络操作系统这边我们做了一些工作,这个与(英文)不太一样。(英文)是通道,应用流标下去了,建立一个中间介,本身不做什么工作,对硬件和软件的隔离,我们在(英文)网络操作系统也做了紧偶合,流标的调度,运行在网络操作系统的空间,我们有虚拟转发空间,根据硬件资源进行调度。
我们可以只根据增量变化一直采样触发更灵活的生成和部署。这个单纯生成过滤表,生成单向的转发表。这是我们实际的工作,在网络设备层面,我们考虑到网络的升级,这样可以很快部署,也是和我们厂商合作,包括神州数码合作开放了(英文),从现在设备通过软件升级,然后配合(英文)接口。
这是去年我们网络界重要的学术会(英文),进行了一个演示,这样一个(英文)扩展支持IPv6和IPv6原地址验证,这是我们实验的结果,以清华大学IPv6校园网为例,这是我们生成流标的表象,我们IPv6是21台IPv6的路由器。大家可以看到我有两个方案。方案一我们在路由转发用OSPS生成路由表,用我们CPS生成过滤表,第二个就是用统一(英文)生成路由表和过滤表。大家看到如果统一生成流标,流标的分布更均匀,方案一更加极端,这样对网络压力更大。之所以更均匀主要是我们基于推测的思路,一个基于全局信息计算思路。
我们看到还有一些解决的问题,即使我们用方案二,这个已经达到了110K,我们知道我们BGB的路由表400K都有问题。我们利用网络系统进行流标的调度是一种可能的解决办法。
下面谈第二个例子基于SDN的构架对IPv6过渡的实验。从SDN的构架我们可以很方便IPv6过渡的各种协议各种软件以APP的方式运行。这样可以进行IPv4和IPv6的转换。主要是因为我们绝大多数的IPv4计算,维护一个数据状态,比如说IPv4和IPv6的映射表,这个映射表存储在APP的空间,造成虚线这样一个流程,这对网络设备转发性有比较大的影响。所以我们认为(英文),或者说SDN数据层面转发技术,扩展支持数据平面待状况的处理,数据平面维护处理,基于状态到达的数据包以及事件进行更新,影响每个制表的处理,这个是(英文)不能处理的。
所以我们提出了一种带状态的转发抽象技术,这个实现是(英文)可以做到的,来一个报表我们查找流标,然后送走。我们增加一个转发处理器和一个状态表,这样(英文)给相应的规则以后,一看这样的规则,在数据平面自己进行数据平面处理,不必每一个汇报到应用这边。这个构架下我们做的IPv6过渡,我们可以看到都可以在数据平面,IPv6转换数据上送的APP大大提高了转发性能,支持IPv6的实验。
做一个总结,SDN我认为是一种原体系结构,与某种具体的体系结构不冲突,它可以很好支持IPv6的研究,当然也可以支持非IPv6体系结构的研究和实验。通过我们实践认为SDN的优点,有利于IPv6新实验的研究,网络变化的感知,网络状态控制的灵敏部署。同时我们实践中也发现SDN作为一种新的技术还有进一步研究的空间。比如说多维流标爆炸和拓展性问题,数据平面处理状态,值得我们学术界、工业界共同进行研究,我汇报完毕。
