賴強

摘要：近幾年，網絡虛擬化由于其自身優(yōu)勢備受各個國家的青睞，各個國家都在投入大量的人力物力進行網絡虛擬化的研究，很多廠商的網絡設備也提供支持網絡虛擬化的服務。該文將結合現(xiàn)在移動互聯(lián)網的實際需求，對在基于LISP協(xié)議下的網絡虛擬化方案進行進一步優(yōu)化。

關鍵詞：LISP協(xié)議環(huán)境;網絡虛擬化;優(yōu)化方案

中圖分類號：TP3? ? ? ? 文獻標識碼：A? ? ? ? 文章編號：1009-3044（2018）36-0030-03

1 移動互聯(lián)網網絡的需求分析

移動互聯(lián)網，顧名思義，就是將移動通信與互聯(lián)網結合起來，它集互聯(lián)網技術、平臺、商業(yè)模式和應用與移動通信技術為一體，是一種新型網絡技術。移動互聯(lián)網所依靠的主要數(shù)據傳輸方式是移動無線通信，它包括三個部分，分別是終端、軟件和應用。較之于傳統(tǒng)的有線互聯(lián)網，其主要的不同點在于移動互聯(lián)網的終端以及接入網絡具有很大的獨特性。目前，國內外許多學者及科研機構都認為，未來移動互聯(lián)網領域將會有巨大的發(fā)展?jié)摿桶l(fā)展空間，其市場價值將不斷擴大。然而，隨著移動互聯(lián)網的快速發(fā)展，也隨之帶來了一些問題，具體如下：

（1） 終端的移動性：根據IP的通信過程，我們知道IP地址的功能是承擔主機標識和路由標識，如果使用終端移動而導致接入位置發(fā)生改變，網絡則立即給它分配新的IP地址，因為在IP地址上捆綁了傳輸協(xié)議，若IP地質發(fā)生某些變化，就會造成傳輸協(xié)議被終止，這也就意味著終端通信會話關閉。

（2） 路由表膨脹等問題：當有大量的BGP被更新或注入，邊界AS將會變得異常不穩(wěn)定，進而導致整個路由系統(tǒng)的癱瘓BGP的更新攪動致使路由計算和轉發(fā)表下發(fā)頻繁，極大程度上破壞到路由的收斂。

本文將上面的移動互聯(lián)網問題作為出發(fā)點，以目前的研究熱點LISP協(xié)議為基礎，設計出符合要求的網絡虛擬化方案。

LISP協(xié)議即位置標識和身份標識分離協(xié)議，它是一種針對互聯(lián)網未來提出的一種全新的路由架構。LISP架構的提出可以給邊緣網絡更大的靈活性，同時對解決BGP路由表的膨脹和終端移動性增多等問題效果顯著。因為它將隧道協(xié)議應用在不同LISP本地網絡間，這在很大程度上有利于在虛擬網絡下實現(xiàn)LISP架構。

2 LISP協(xié)議網絡架構和功能實體分析

就移動互聯(lián)網中存在的日益膨脹邊界網關協(xié)議（BGP）路由表的問題，LISP架構設計了全新的網絡結構來分離位置和標識。該架構的中心思想是將之前的IP地址分開終端的身份和位置信息，把IP地址在語義上劃分成身份標識（EID）和位置標識（RLOC）兩個空間。

其中，身份標識EID使用IPv4或IPv6地址形式，它的名址結構不關聯(lián)整體網絡拓撲，只是在LISP局部網絡內進行傳遞數(shù)據使用，全局網絡的路由不參與。若移動終端不變，EID不變，但會使其對應的位置標識RLOC發(fā)生變化，并將服務器MS中的映射關系進行更新。

位置標識采用與身份標識一樣的地址形式，即IPv4或IPv6，準確地說，它對應局部網絡的出口隧道路由器ETR相應的地址。身份標識和位置標識之間的映射關系是一對多的關系[1]。在LISP網絡中，通常借助隧道路由器來保持各個主機之間的信息傳遞。在該網絡中，每一個執(zhí)行功能都各不相同，基于這一特點，可以將隧道路由器分為以下兩種類型：入口隧道路由器（ITR）和出口隧道路由器（ETR）。其中前者主要用來對LISP主機發(fā)出的數(shù)據包進行接收，通過EID-to——RLOC的映射關系，對目的主機的位置標識進行查找，同時根據LISP包格式把RLOC作為隧道數(shù)據包頭、EID作為隧道載荷實行封裝，向ETR發(fā)送，而后者的作用是對入口隧道路由器發(fā)出的LISP數(shù)據包進行接收，將封裝的數(shù)據包進行解封裝，之后按照目的主機身份標識EID把相對應的數(shù)據包向LISP主機發(fā)送。

通過以上的功能實體分析，下面將簡要分析3種LISP網絡場景結構。

2.1 LISP網絡間靜止節(jié)點的互通

（1） LISP主機X以源地址EID1發(fā)送數(shù)據給目的地址EID2，默認網關是在局部網絡LISP網絡A中的入口隧道路由器ITR，根據默認路由將IP數(shù)據發(fā)給ITR。

（2） 通過查詢映射服務器MS，入口隧道ITR獲得地址標識RLOC2，該標識與身份標識EID2相對應，由此一來，就建立了出口隧道路由器ETR將LISP之間的隧道通信。此時，入口隧道路由器ITR的端口地址是其隧道IP地址源地址，即RLOC2，出口隧道路由器RLOC2是目的地址。在確定源地址和目的地址之后，將源地址和目的地址分別是EID1和EID2的IP數(shù)據封裝成數(shù)據包，由ITR向ETR發(fā)送該數(shù)據包[2]。

（3） 在LISP的封裝數(shù)據包送達出口隧道路由器后，進行數(shù)據包的解封裝，并將身份標識EID1和位置標識RLOC1之間的映射關系緩存，然后按照身份標識為EID2的目的地址將解封裝后的內層數(shù)據包向LISP主機Y發(fā)送。

（4） 隨后，按照上述的反過程將LISP的回復數(shù)據包向主機X發(fā)送。當出口隧道路由器ETR接收到該數(shù)據包時，因為之前已經將EID1-RLOC1間的映射關系包存在ETR中，因此隨即將LISP隧道數(shù)據的封裝完成，并向入口隧道路由器ITR發(fā)送該數(shù)據。

（5） 當數(shù)據到達入口隧道路由器ITR后，對其實行解封裝，并將解封裝后的數(shù)據發(fā)至主機X。至此，端到端的交互過程全部完成。

2.2 LISP網絡和非LISP網絡的互通

LISP協(xié)議網絡結構除了將LISP主機間的互通進行考慮外，還對LISP和非LISP主機間的通信進行了考慮。如圖3給出了LISP和非LISP之間互通的整體網絡架構。

該網絡示例的是LISP主機X、Y之間如何進行數(shù)據通信。LISP主機X將以源地址為身份標識EID1發(fā)送IP數(shù)據給主機Y的IP地址為IP1 的目的地址，根據默認路由該IP數(shù)據包向入口隧道路由器ITR發(fā)送。到達入口隧道路由器ITR后，ITR會向映射服務器MS發(fā)送請求查詢命令，查找與IP1地址相對應的位置標識RLOC信息。因為IP1地址并不是LISP架構中身份標識信息，映射服務器MS在查找位置標識信息時無法給予定位，于是給予的查找回復時無效的。為了解決這種弊端，LISP協(xié)議架構將代理隧道路由器引入到網絡中，它位于LISP和非LISP網絡的網絡邊緣，它的最主要作用就是實現(xiàn)相關的互通。此時入口隧道路由器ITR將目的地址設為代理隧道路由器PETR對應的端口地址，源地址設為ITR的RLOC1，以此來封裝LISP的隧道數(shù)據。當封裝的數(shù)據包到達代理隧道路由器PETR后，解封裝該條數(shù)據包，然后以IP地址IP1為目的地址、身份標識信息為EID1為源地址，根據IP1的路由信息在非LISP網絡中將該數(shù)據包向主機Y發(fā)送。

當主機Y 向LISP主機Y進行回復數(shù)據包的發(fā)送時，主機A將以身份標識EID1為目的地址將該條IP數(shù)據包發(fā)送出去。需要注意的是，由于在LISP網絡中EID是身份標識信息，因此無法在公網上進行路由和轉發(fā)數(shù)據[3]。

3 基于LISP架構來實現(xiàn)網絡虛擬化的優(yōu)化方案

因為LISP架構具有較好的隧道封裝機制，因此它能夠更好地實現(xiàn)網絡虛擬化。對此，本文設計了一種基于LISP架構來實現(xiàn)網絡虛擬化的優(yōu)化方案。該優(yōu)化方案主要對隧道路由器進行了一定的變動，并在其端口上新增了訪問控制列表，以此來建立虛擬網絡。本文主要介紹了兩種類型的網絡虛擬化優(yōu)化方案。

3.1 兩個LISP網絡間的虛擬專用網接入

場景假設：若兩個LISP網絡a和b之間要建立虛擬專用網，網絡a與網絡b的隧道路由器的網絡側接口分別為if0和if1，且兩個網絡的IP承載網測接口分別為if1和if0。

場景分析：若要在LISP網絡a與b之間建立虛擬專用網，則這兩種網絡之間需要具備一定的數(shù)據傳輸能力。對網絡a來講，只有網絡b的數(shù)據包能夠無阻礙的進入網絡a中，且網絡a向外輸出的數(shù)據包也只能發(fā)送給網絡b。反之對于網絡b來講，情況也是一樣?；诖朔N情況，可以將ACL列表添加在IP承載網側，其列表如圖4，以此將出入RLOC的數(shù)據包控制為固定的數(shù)值。

網絡b若是接收到RLOC1的數(shù)據包，則會被其隧道路由器處理，而其他類型的數(shù)據包則會被遺棄，這也就表明網絡b只能接收來自網絡a的數(shù)據包，而向外輸送的數(shù)據包也只有RLOC1數(shù)據包才能通過。反之，網絡a同樣如此。這兩種網絡之間的數(shù)據轉發(fā)流程具體如下：

流程1：構造EID1是節(jié)點X的源地址，EID2的LISP數(shù)據包是目的地址，并將其發(fā)送到入口隧道路由器上;

流程2：利用映射服務器，入口隧道路由器ITR能夠對EID2所對應的位置標識RLOC2進行查找，然后在RLOC1為源地址和RLOC2為目的地址的數(shù)據包內將步驟1的數(shù)據包進行封裝，并將封裝后的數(shù)據包向IP承載網發(fā)送[4];

流程3：數(shù)據包在被封裝之后，需要在入口隧道路由器的出口處來對ACL列表進行驗證，若檢驗為RLOC2是目的地址，則數(shù)據包能夠輸送出去，直接進入流程4，反之則遺棄;

流程4：ETR作為出口隧道路由器，在接收到封裝的數(shù)據包之后，首先應該對其進行ACL驗證，若驗證之后得出RLOC1是其源地址，則直接進入數(shù)據包解封裝轉發(fā)程序，進入流程5，反之則遺棄;

流程5：數(shù)據包在被解封裝之后，按照目的地址EID2將其轉發(fā)至LISP網絡b內。至此，數(shù)據包全部抵達節(jié)點Y，整個數(shù)據轉發(fā)流程結束。

節(jié)點Y到節(jié)點X的數(shù)據轉發(fā)流程與此相似。

這種場景主要適用于一個網絡中有許多分支網絡，利用該方法，就可以將內部各個網絡之間建立起虛擬專用網，從而提高網絡配置。

3.2 普通LISP節(jié)點與另一個LISP網絡的虛擬專用網絡連接

場景假設：假設LISP網絡a的X節(jié)點需要借助虛擬專用網絡來進入網絡b。網絡a與網絡b的隧道路由器的網絡側接口分別為if0和if1，且兩個網絡的IP承載網測接口分別為if1和if0。

場景分析：LISP網絡b若要與節(jié)點X之間建立一個虛擬專用網絡，則只有源地址為EID1的數(shù)據包才能發(fā)送到網絡b中，且網絡b所發(fā)出的數(shù)據包的目的地址也必須為EID1。對此，可以將ACL列表增添至網絡b的if1接口上，其列表如圖5。

就LISP網絡b而言，IP承載網的數(shù)據包在被隧道路由器接收后進行了解封并被轉發(fā)，此時，若出口處的ACL控制列表檢驗出數(shù)據包的源地址不是EID1，則會對其進行遺棄處理。與此同時，網絡b的數(shù)據包也會被隧道路由器接收，此時，入口處的ACL控制列表則會不接收目的地址為EID1的數(shù)據包[5]。這樣一來，LISP網絡b只會接收來自節(jié)點X的數(shù)據包，具體流程如下：

流程1：構造EID1是節(jié)點X的源地址，EID2的LISP數(shù)據包是目的地址，并將其發(fā)送到入口隧道路由器上;

流程2：在使用映射服務器的基礎上，入口隧道路由器ITR能夠迅速查找出EID2所對應的位置標識RLOC2，之后在RLOC1為源地址和RLOC2為目的地址的數(shù)據包內將步驟1的數(shù)據包進行封裝，最后再將封裝后的數(shù)據包發(fā)送至IP承載網;

流程3：當封裝后的數(shù)據包被出口隧道路由器ETR所接收后，應當對其進行解封裝工作，之后按照目的地址EID2將其轉發(fā)為內層數(shù)據包，并使用ACL控制列表對其進行驗證。如驗證結果顯示EID1是源地址，則直接進入流暢，反之則遺棄數(shù)據包;

流程4：按照目的地址EID2，將數(shù)據包轉發(fā)至節(jié)點Y。至此，端到端的數(shù)據交互流程全部結束。

節(jié)點Y到節(jié)點X的數(shù)據交互流程與此相似。

這種場景主要適用于員工在外辦公時的網絡使用，這樣做既可以使用公司內部網絡，也可以接入外部公共網絡。

4 結束語

本文從移動互聯(lián)網的發(fā)展需求為落腳點，對基于LISP協(xié)議環(huán)境下的虛擬化方案進行了研究，并在此基礎上給出了兩種優(yōu)化方案，基于LISP協(xié)議的網絡虛擬化具有很多優(yōu)勢，例如：保證LISP節(jié)點能夠和其他LISP移動之間互通等，但也有缺點，例如對映射服務器要求較高，因此還有待進一步研究。

參考文獻：

[1] 江亞東.基于IPv6的標識承載網絡的關鍵技術研究與實現(xiàn)[D].東南大學，2017.

[2] 張勛俊，劉亞萍，鄧文平.LISP與非LISP站點間交互機制研究[J].現(xiàn)代計算機：專業(yè)版，2017（11）：36-41.

[3] 許名廣，劉亞萍，鄧文平.網絡控制器OpenDaylight的研究與分析[J].計算機科學，2015，42（S1）：249-252.

[4] 張?zhí)?，王晟，廖?LISP協(xié)議下基于指針Chord的增強型映射系統(tǒng)設計（英文）[J].中國通信，2013，10（07）：134-147.

[5] 徐暢，任勇毛，李俊.LISP-HIMS：一種基于LISP的層次化標識映射系統(tǒng)[J].計算機科學，2012，39（10）：35-39.

[通聯(lián)編輯：代影]