ITU-T第二次 Network 2030 Workshop在香港理工大學成功召開。華為網絡技術實驗室技術專家蔣勝發表了題為“Observation of Current?IP?Network Issues and Innovation Requirements”的演講,重點闡述了當前數據網絡的問題和面向2030年及更遠期的創新需求,受到了與會嘉賓的廣泛關注。
全世界正在快速進入萬物感知、萬物智能、萬物互聯的數字化智能社會形態,數據網絡的服務邊界從互聯網業務逐漸擴張到農業生產、工業制造和交通運輸等傳統行業。ITU-T Network 2030 Focus Group旨在凝聚業界共識,審視并研究數據網絡面向2030年乃至更遠期的技術缺陷與挑戰,探索新愿景、新需求、新架構、新用例、新能力,從而指導數據網絡標準化工作推進。作為全球領先的網絡設備供應商,華為技術專家蔣勝從服務差異化、用戶網絡接口、網絡數據信息、網絡管控、地址名字空間及字段靈活性、IP地址二義性、內生安全和可信架構等7個方面對當前網絡存在的問題和創新需求進行了詳細的闡述。
網絡需要提供更加精細的服務差異化能力
不同的應用場景對網絡的服務質量的需求存在差異性。當前IP網絡的數據轉發基于統計復用技術,提供盡力而為的服務能力和有限的QoS保證,并不能滿足不同業務場景的差異化服務需求。目前針對確定性服務的研究均有不同的側重點,如 RSVP、TE等聚焦確定性帶寬的技術缺少對時延的控制,而TSN等提供確定性服務的技術只能用在局域網中,并不適合用于廣域網絡。IETF DetNet工作組當前的工作則致力于確定性服務的研究,處于需求和用例討論階段,缺少實際的技術方案支撐。可靠、成熟的確定性轉發技術嚴重缺失無法滿足日益豐富的業務場景對精細的差異化服務的需求。
更加豐富的用戶網絡接口
基于分層原則,現有的TCP/HTTP需求和響應僅發生在終端之間,用戶無法感知網絡狀態,如轉發路徑、擁塞狀態、響應時間、可達性等,也無法表達對網絡性能的具體需求,如低時延轉發、時延容忍、丟棄通知等,致使網絡無法為用戶提供確定性的服務。未來網絡需要更加豐富的用戶網絡接口(User-Network Interface, UNI),允許用戶感知網絡狀態,定義網絡功能,從而支持不同場景與業務的信息傳遞特征需求,更好地為AR/VR、自動駕駛、全息通信等新興業務提供高品質服務。
更多的網絡數據信息使能自動化和智慧化
帶外信令與真實數據流轉發路徑存在不一致性,導致常規的網絡測量結果并不能代表真實的轉發路徑和性能。如果網絡狀態數據的收集頻率較低,則實時性較差。部分狀態,如逐流狀態的測量方法尚不完善,無法滿足數據獲取需求。這些片面、非實時的網絡狀態信息,導致網絡狀態全面實時的感知能力不足,會對網絡管控部件制定管控策略帶來限制與負面影響,進而導致管控策略不夠精確。
另一方面,目前對網絡的管控主要依賴于管理員對網絡設備上各種參數的配置。隨著網絡業務的快速迭代,網絡的調整越來越頻繁,涉及的管控范圍也越來越大。人工處理的精確性與能力極限逐步成為瓶頸和錯誤來源。
網絡狀態的全面實時可知是實現網絡高精度管控的基礎,根據更多的網絡信息使能網絡自動化和智慧化,已經成為必要且急迫提升網絡管控效率和降低錯誤的方法。
更加靈活的網絡地址名字空間及字段表示
隨著數據網絡逐步深入到諸如IoT、工業控制等領域作為普適性的通信手段,網絡地址存在變長和變短的需求。對于以傳感器為代表的超輕量級聯網設備,其數據傳遞量、能源功耗都是瓶頸限制,現有的IPv6地址和協議明顯過于沉重,并不適合場景需求。另一方面,未來網絡地址所承載的功能勢必會超越標識位置、標識身份,更有可能標識功能、數據以至于更多。IPv6地址在數量空間上存在上限,勢必無法滿足未來地址的多義性。所以,靈活可變長的網絡地址名字空間成為未來網絡的需求之一。從另一個角度來看,IPv4與IPv6包頭中固定的協議字段也存在局限性。首先,一些無用字段在轉發中也必須攜帶,造成了帶寬資源的浪費。如之前所述,一個超輕量級傳感器可能只需要傳遞1bit信息,但卻需要封裝至少320bit的包頭是顯然不合理的。其次,現有互聯網的設計思路是在出現新的網絡功能和業務時,為每種業務設計專用的網絡協議(如GTP等),協議之間只能采用嵌套封裝的形式,封裝層數越多,每個數據包所含的有效信息負荷越少,導致了包頭開銷巨大。此外,由于各層無法協同,中間節點不知道數據包屬于哪個虛擬網、哪個會話或哪個服務功能鏈,難以執行細粒度的QoS策略。
為了有效支持未來海量、異構通信實體的互聯需求,更加靈活可變長的網絡地址名字空間及字段表示方法與相對應的協議設計是未來數據網絡發展的需求之一。
使用標識代表真正的網絡通信主體
通信主體種類越來越豐富,不僅包括主機,還包括人、物、服務和內容等。而IP不能直接標識新的通信主體,只能將通信實體經映射系統映射到IP。網絡層不能直接識別通信主體,導致難以實施針對性策略。同時,IP地址偽造、映射錯誤、映射頻繁發生難以追蹤等問題也不容忽視。
另一方面,網絡僅支持IP拓撲尋址無法滿足多元化的業務需求,只能通過DNS系統、OTT服務器、網關等進行翻譯,不僅增大了通信時延,用戶數據在穿越公網時也容易引發安全和隱私問題。網關進行地址翻譯也造成了額外的計算、存儲開銷,在可靠性、靈活性等方面也存在諸多問題。
網絡層需要直接識別通信主體,從而實現針對通信主體的路由/轉發策略等,這就需要使用標識來代表真正的網絡通信主體。
內生的安全和網絡信任架構
網絡信任體系從根本上決定網絡安全。現有的網絡信任體系多數呈現單根、樹形的體系形態。以DNS系統為例,樹形體系自下而上的信任使得上層節點一旦遭到攻擊或本身采取惡意動作,下游節點無法保證正常的運轉與服務能力。近年來針對網絡基礎設施(如BGP和DNS)的攻擊也頻繁發生,如針對BGP的前綴劫持、路由劫持、路由泄露等攻擊,以及針對DNS的域名劫持、重定向、緩存污染等攻擊,這些攻擊甚至可能導致全球的網絡癱瘓,引起巨大的經濟損失。目前針對BGP安全問題提出的BGPSec+RPKI方案以及針對DNS安全問題提出的DNSSec方案雖然在一定程度上對部分攻擊進行了防御,但都存在中心化問題。所有實體必須信任共同的信任根,如果信任根出現問題,波及面廣,且權限難以撤銷,恢復代價大。
網絡基礎設施應該更加可信、可靠,能夠為網絡的正常工作提供基本的服務保障。在不依賴于集中式授權的情況下,網絡基礎設施應該具有針對攻擊的內生的安全防御能力。
在演講的最后,蔣勝表示:在面向未來的網絡創新過程中,更加精細的差別化服務、更加豐富的用戶與網絡的接口、更多的網絡信息使能網絡自動化和智慧化、更加靈活的網絡地址名字空間及字段表示、使用標識代表真正的網絡通信主體、內生的安全和基礎信任架構等需求應該被納入未來網絡體系架構設計中,從而有效支撐未來豐富的網絡業務場景。
評論
查看更多