網絡中間設備路在何方
網絡設備/SDN周邊新聞
長期以來,網絡領域研究和產品的主流關注,都集中在網包(packet)的轉發(forwarding)上,其中交換(switching)和路由(routing)是核心功能。當今,以交換機和路由器為主建立起來的網絡連接和拓撲已經構成相當完善的信息基礎設施,安全和隱私方面的挑戰更加突顯,差異化提供網絡個性服務的呼聲更加強烈,智能化提升網絡綜合品質的要求更加迫切,關于“中間設備”(middlebox)的研究和開發必然成為熱點。
轉發設備 vs 中間設備
伴隨著網絡虛擬化和動態化的不斷增強,傳統的轉發設備無法滿足網絡安全和優化的需求,網絡中間設備與傳統轉發設備并駕齊驅,發揮著越來越重要的作用,成為網絡技術與系統的核心內容之一。Justine Sherry等人發表于SIGCOMM 2012的文章指出,在實際網絡環境中,網絡中間設備與網絡交換設備在數量上旗鼓相當,如圖1所示。
圖1、網絡轉發與中間設備數量對比
以交換機和路由器為代表的網絡轉發設備,根據包頭(header)信息對網包逐個加以處理,主要承擔將網包接力送達的簡單任務。因其處理功能通常基于網包,只需關注包頭中的目的標識(地址、端口等),所以也只要掌握與相鄰轉發設備相關的轉發策略。最初的軟件定義網絡(SDN,Software Defined Networking)無非是將基于局域拓撲知識生成轉發策略的機制,替換為基于廣域知識做出轉發決策,從而使得智能優化和全局調度成為可能,極大地釋放了網絡的活力。
圖2、網絡轉發與中間設備特點對比
相對于網絡轉發設備,網絡中間設備的任務繁雜得多,包括了網包轉發之外的各種處理,既有對載荷(payload)的關注,如入侵監控和病毒清除,也有對網包的處理,如NAT修改包頭、VPN加密網包,還有防火墻、負載均衡和流量控制等。這些中間設備的一個重要特點,即其處理功能無論粒度粗細,大多是基于網流的。
由于各種中間設備發展不均衡,相關研究一直以來也較為分散,長期未能形成統一的技術體系。2013年,ACM CoNEXT首次組織了HotMiddlebox,將中間設備作為一個熱門主題專門加以研討,是全球網絡界發起集中攻關的重要里程碑。
中間設備 vs 軟件定義
業界普遍認為,目前的中間設備大多為專用硬件產品,成本居高不下,功能更新困難,是造成網絡僵化從而難以適應流量需求變化的罪魁禍首之一。將中間設備的高級處理功能遷移到可以通過虛擬化實現共享的通用硬件平臺上,使之成為由軟件定義的網絡服務,實現按照需求在適當時間和位置的部署,也符合網絡功能虛擬化(NFV,Network FunctionsVirtualization)的大趨勢。
最初由斯坦福的Nick McKeown和伯克利的Scott Shenker等人提出的SDN概念,聚焦于將轉發設備的控制平面從數據平面分離出來,以實現標準的數據平面和集中的控制平面,從而打破專用硬件轉發設備的壟斷,使能統一、智能的網絡資源優化。但是,他們當時顯然忽視或低估了中間設備的存在和復雜,SDN產業化也因而遇到一個必須面對的難題。Scott Shenker等人在闡釋“SDNv2”的設想時,也明確提出整合中間設備是SDN新架構中的三大變革之首。然而,盡管SDNv2的構思將中間設備的功能推向網絡邊界(edge),而在網絡中心(core)只做轉發,但網絡服務的演進將會面對數據、內容處理越來越強烈的需求,中間設備注定是SDN繞不開的問題。
所以,SDN只有擁抱NFV,才能完善自己。沒有NFV,SDN停留在網絡拓撲和控制決策層面,沒有靈活的資源可供調度,至少中間設備的功能會成為絆腳石;沒有SDN,NFV停留在軟件化和虛擬化層面,無法靈活地按需提供服務。把軟件定義轉發與軟件定義監控(此處暫且以監控代指中間設備的功能)結合起來,NFV的功能更加豐富,SDN的控制更顯強大,網絡才能真正“活”了,也才可能變得更有智慧,最終使網絡成為服務。
中間設備 vs 網流監控
“中間設備middlebox”是個很特別的專業網絡術語,當轉發之外的網絡處理功能由軟件虛擬化實現后,“設備 box”的說法已經詞不達意。考慮到中間設備的功能以網流處理和監控(monitoring/inspection& control/management)應用為突出特點,不妨將它們歸類為網流監控,以便與網包轉發對應,盡管其中會有一些交疊或模糊之處。
中間設備是網流監控的物理載體,而網流監控是提供網絡高級處理服務的基礎,尤其是保障網絡安全的核心技術手段。在網流監控方面,重要的研究包括:在網絡架構方面,網絡服務功能的靈活組合與便捷控制;網絡構件方面,網絡功能模塊的高效算法與優化配置(包括與硬件平臺的適配);網絡安全方面,網絡安全區域的嚴密隔離和接口管控。
目前,網流監控的功能的部署只是接近毫秒級別,處理能力也還僅在10Gbps左右。隨著網絡帶寬的不斷提升,網流監控的算法性能、負載調度與策略管理將受到極大的挑戰。由于中間設備功能的本質是在網流粒度上將策略應用于網絡流量,策略的表達、分布和下發成為網流監控研究的核心和難點,迫切需要建立策略表達的標準語言和策略分析的通用方法,根據網絡拓撲和流量、服務能力和狀態等啟發信息,結合流量調度優化策略分布,并利用策略和流量的局部性(locality),綜合預取和緩存機制,提升策略下發效率,實現最大處理能力。
總之,中間設備在網絡運行和進化中與轉發設備同等重要,并將在以數據和內容為中心的網絡服務中成為關注的焦點。2015年,HotMiddlebox將移師更為顯赫的ACM SIGCOMM殿堂,不禁讓人更加期待網流監控技術的突破,特別是在高效的載荷過濾算法和敏捷的策略管理機制等方面。
(原文作者為清華大學信息技術研究院院長、清華信息國家實驗室常務副主任 李軍)
