探可信可控网络中观测层的构建(2)

　构网络的兼容性。可信可控网络面向的是高度异构网络, 在组网技术、线路特性、传输技术、应用需求、联网设备类型、网络环境等方面存在各种各样的异构性, 为了为决策层提供统一的逻辑视图, 可信可控网络的观测层需要对各种异构网络支持, 从而屏蔽异构网络造成的差异。
　　可扩展性。由于网络是不断发展的, 用户的需要也越来越多, 网络控制任务也越来越复杂, 这样决策层要求的信息就会越来越多, 在这种情况下, 观测层必须提供友好的可扩展性网络观测层的功能模块需要支持“热插拔”, 即其功能模块应该在安装和卸载的情况下都不影响其他模块的运行。
　　观测层的总体构建为了向决策层提供必要决策信息, 实现网络状态的可视化和网络控制的最优化, 在可信可控网络中构建了观测层, 其功能框架如图2 所示。我们将观测层的功能分成2 个部分：被控对象描述功能和全网一致性视图构建功能。
　　域内被控对象描述功能主要实现对本域内被控对象的发现和注册, 为决策层提供经过抽象描述的被控对象。主要由被控对象注册模块和名字空间组成。
　　域内控制信息搜集功能主要实现域内控制信息的描述、收集和存储功能, 由网络状态预处理模块和状态库组成。
　　域间信息共享功能主要实现域间信息的搜集以及发布本域信息的功能, 实现多个域之间的信息共享。主要由域间信息交互接口和域间共享信息处理模块组成。
　　基于域内信息和域间信息观测层通过全网一致性视图构建模块来构建全网的一致性视图来为决策层提供可靠的底层网络状态信息, 实现网络状态的可见性。
　　观测层的组成部分被控对象抽象模块对网络的控制实际上通过对网络上各种协议块进行控制实现的, 网络控制的对象可以认为是协议块。网络协议暴露了过多细节造成了网络控制的复杂性。一个网络设备往往有成千上万的可以控制的对象提供给网络管理员, 对一个网络设备进行的配置往往需要数以万计的控制命令[12-15]。这种管理的复杂性造成了很多问题, 如决策层对网络的认识与网络实际状态不符、对网络的配置易出错、管理状态关联性差等。针对这种情况, CONMan 提出协议块只要向网络控制提供基本的功能属性, 即可实现网络的功能：为合法用户建立连接, 并阻止非法用户的连接[2], 将没有必要的细节屏蔽在协议块以内, 与细节相关的控制, 由驻留在设备上的根据抽象命令实现具体操作。然而CONMan 由于是在传统网络上实现的, 所以网络控制与网络本身没有分离, 造成了对协议类的抽象难以统一实现, 对网络不能实现其预期的抽象控制。另外, 没有实现对被控对象的规范封装, 难以扩展。
　　本文在CONMan 的基础上进行了扩展提出了对网络协议进行描述的控制信息描述模型在观测层的被控对象抽象模块中, 利用CID 对被控对象进行描述。被控对象类分成协议类和连接类2 个基类。协议类描述网络上的协议块分成数据协议类（如IP 协议类等）和控制协议类（如IPsec 的IKE 协议块、PPP 的LCP 协议块和NCP 等）。由于可信可控网络模型将网络控制从数据层分离出来, 在以可信可控网络模型为基础构建的下一代互联网中, 将不存在控制协议块, 因此, 控制信息描述模型只对网络数据协议块进行描述; 连接类分成物理链路类和通道类, 利用物理链路类对物理链路进行描述通道类描述直接通信的2 个协议块之间的连接, 分成上行通道和下行通道, 分别表示对上层的连接和下层的连接。
　　协议类的主要属性包括全网ID、所在设备IP、通信管道、物理链路、性能属性, 函数包括创建函数、删除函数、连接函数、属性设置函数和过滤函数等, 如表1 所示。表1 给出的属性和功能是所有协议块共有的, 通过这些属性和功能, 决策层可以实现对网络的认知和抽象控制。物理链路类的主要属性和功能函数以及通道类的属性和功能。
　　被控对象注册模块与名字空间观测层利用控制信息描述模型将运行在客户端、路由器以及其他网络设备的各种协议都进行抽象描述, 存贮到名字空间数据库中。在NOX[15]中, 也利用了名字空间的形式对于用户、主机和路由器进行统一存储, 以实现在一个企业网内的对设备的统一管理。本文提出的名字空间与NOX的名字空间的区别在于本文提出的名字空间是基于CID的, 因此名字空间的存储粒度也是协议块粒度的, 而NOX 的名字空间是设备粒度的。基于协议粒度进行存储的好处在于为决策提供可以直接进行网络控制的被控对象, 降低网络控制复杂度。
　　被控对象注册模块对网络协议对象进行了统一注册, 每个被控对象（网络协议块）都由统一全局ID 进行标识, 这样有利于网络管理员对网络进行抽象控制, 降低了网络控制的复杂度, 提高了网络管理的效率。
　　网络状态预处理模块与状态库网络状态预处理模块将网络资源层的原始信息进行预处理, 包括脏数据过滤、冗余信息合并以及信息关联等, 将处理后的结果交给状态库进行存储。
　　网络状态库用来存储网络被控对象的状态, 用来向决策层提供网络的状态信息, （欢迎访问零二七范文网/fANwen/lwzxx，范文大全）为网络决策提供依据。在可信可控网络的观测层中, 由于建立了控制信息的描述模型, 并将网络的被控对象建立在网络协议粒度上, 因此网络的状态库也用以存储当前网络上网络协议块的状态信息。如表1 所示, 在状态库中, 每个协议块保存其性能信息如丢包率、协议块处理数据的平均时延以及数据包的转发速率等。
　　另外, 在状态库中, 还对被控对象的连接信息进行记录, 如表2和表3所示, 用管道来表示个路由器内各个协议块之间的连接, 用链路来表示2 个路由器之间的连接, 并记录每个链路的性能信息。这样根据状态库, 控制节点就可以得到网络中协议块粒度的连接图。
　　域间共享信息处理模块与域间信息交互接口由于 1 个控制节点的计算能力有限并且受到带宽限制, 可信可控网络模型为了支持多个的大规模网络环境, 在每个AS都配置1 个控制节点对该域进行控制, 各个控制节点为了对网络进行协同控制, 需要各个域之间进行信息共享。在观测层中, 我们构建域间共享信息处理模块支持多个控制域之间的信息共享。如图2 所示, 1 个控制域内的观测层包含1 个域间共享信息处理模块和1 个域间信息交互接口, 域间信息共享接口负责接收其他域的信息同时也负责为本域发布信息; 域间共享信息处理模块也有2 个功能：一个是将从域间信息共享接口接收到的信息进行处理并提交到状态库中保存; 另一方面也将本域内的状态信息经过处理后交给域间信息共享接口发送给其他域。
　　这样做的好处是可以在1 个域内共享信息, 促成1 个域内的控制节点之间的信息一致, 避免网络控制的冲突; 同时可以让域间内的多个控制节点实现网络信息的共享, 从而有利于全网内决策的最优化。