CNGI-CERNET2四大成果抢占战略制高点

作者:来源:人员机构日期:2009-12-15人气:1878

  成果一首建纯IPv6的主干网

  与当时国际上普遍采用的IPv4/IPv6双栈混合组网思想不同,2003年CNGI-CERNET2在国际上首次提出“建设纯IPv6大型互联主干网”的技术路线。这一新思想在当时引起相当大的争议。建设纯IPv6大型互联网,世界上当时还没有成功经验,技术难度和风险都很大。

  事实上,CERNET建设者早在1998年起就陆续开始进行IPv6 over IPv4隧道网络以及IPv4/IPv6双栈网络的实验研究,并积极参与国际IPv6试验床6bone的运行工作。经过多年积累,逐渐发现双栈混合方式会大大增加网络维护和管理的成本,甚至会带来严重的安全隐患。例如,常用的6to4和Teredo隧道机制存在容易避开源地址过滤检查的安全隐患,使得隧道端口和接收方都易受源地址欺骗攻击。再如,IPv6/IPv4双栈网络中存在众多作为隧道端点或IPv4/IPv6网关的代理系统,一旦在它们之间不能进行合理的流量工程配置,就会因各种原因而影响全网的服务质量。另外,走IPv4/IPv6双栈发展思路将无法从根本上摆脱IPv4的影子和诸多困扰,IPv6网络难以取得实质性发展。

  基于上述考虑,CNGI-CERNET2果断采用了纯IPv6的技术方案,今天看来不仅取得项目建设的成功,而且这一新思想正成为国际IPv6网络建设和发展的新潮流。美国国防部已正式宣布将废弃原定的IPv4/IPv6双栈网络建设方案,转而建设纯IPv6网络。

  在网络工程技术方面,CNGI-CERNET2攻克了一系列建设纯IPv6网络的关键技术问题。包括:

  地址规划
  RFC 3513(Internet Protocol Version 6 (IPv6) Addressing Architecture)中定义了IPv6的地址结构。主要分为三类地址:单播地址(Unicast Addresses)、任意播地址(Anycast Addresses)和组播地址(Multicast Addresses)。原来在IPv4中存在的广播地址在IPv6中去除了。所有类型的IPv6地址都被分配到接口,而不是节点。IPv6地址为接口和接口组指定了128位的标识符,有几种类型的地址:单播(UniCast)地址、任意播(AnyCast)地址、组播(MultiCast)地址、可聚合全局单播地址。

  CNGI-CERNET2网络的IP地址规划主要涉及到网络资源的利用和方便有效的管理网络。IPv6地址有128位,其中可供分配为网络前缀的空间有64bit,按照最新的IPV6 RFC3513,IPv6地址分为全球可路由前缀和子网ID两部分,协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数,但是根据目前已经分配的地址的情况,可以认为短期内APNIC实际分配地址的时候可能还是按照原来RFC的分级结构。CNGI-CERNET2示范网络申请到的IPv6地址空间为/32的地址,为便于管理和保证地址空间分配的有效合理,CNGI-CERNET2示范网络使用的是扁平化的设计,而不采用类似行政区划的网络地址分配方式。全网拓扑分为两个层次:核心网和接入网,同一节点内部的IPV6地址尽量连续,相邻地区的地址也连续,以便于减小路由器路由表的大小,加快路由器路由收敛速度,兼顾长远发展,预留一定的地址空间,使得地址分配方案具有良好的可扩展性,提高路由器的效率。

  路由交换
  路由策略的选择与自治域的划分有关。CNGI-CERNET2自治域划分方案是:主干网为一个独立的自治域AS0,用户网分别为独立的自治域AS1~ASn。每个自治域各自确定各自的内部路由策略。主干网采用OSPFv3路由协议,25个核心节点构成Area0,对于网络的拓扑结构选择最佳路由。采用iBGP4+路由协议,对25个节点所接入的用户网络进行路由,对于用户网可以标记不同的community。用户接入网采用BGP4+路由协议或静态路由,对于用户公布的地址进行有效认证和聚类检验,接收Community标记。CNGI-CERNET2与其他CNGI主干网以及与国内其他IPv6试验网互联采用BGP4+路由协议,并保证所公布的网络地址的有效性,可以向互联对方发送community标记和MED信息,也可以接收对方的community标记和MED信息,可以对local-pref进行调整。与国际互联方进行IPv6/IPv4双协议栈互联,接收国际的IPv6路由表,聚类并公布相应的CNGI示范网络地址,根据与国际互联方签定的备忘录可对CNGI示范网络进行地址穿透。最后,通过地址转换技术实现与IPv4网络的资源共享。

  域名解析
  CNGI-CERNET2建立纯IPv6域名系统(IPv6-only DNS ),提供实验性根域名服务。此外,还建立双协议栈域名系统(Dual-stack DNS),服务于现行的域名系统,同时提供IPv4和IPv6的地址转换。CNGI-CERNET2域名结构如下:正向顶级域名:CNGI-CERNET2.NET;IPv6反向域名:8.A.D.0.1.0.0.2.IP6.ARPA。

  正向域表示采用CNGI-CERNET2 形式,也同时支持实验A6地址链形式;反向域表示采用IP6.ARPA形式,也兼容早期的仍广泛使用的IP6.INT形式。

  CNGI-CERNET2工程启动后,美国、荷兰、加拿大、英国、比利时等国家的20多个媒体网站进行了报道和评论,对这一项目进行了积极的肯定。美国著名IT类杂志 Search Engine News Journal和荷兰著名IT类新闻网站 DV HardWare都在同日的新闻评论中说,CNGI-CERNET2连接了20个城市的25所大学,已成为(目前)世界上最大的下一代互联网。印度电视台官方网站Indiantelevision.com在2004年12月27号的新闻评论中说,随着CNGI-CERNET2工程的启动,中国将“冲破大门”,进入世界互联网领导者俱乐部。

  今天,CNGI-CERNET2主干网已成为中国下一代互联网示范工程CNGI示范网络核心网中规模最大的核心网,是目前所知的世界上规模最大的采用纯IPv6技术的下一代互联网主干网。它以2.5G~10G速率连接全国20个主要城市的25个CNGI-CERNET2主干网核心节点,为全国高校和科研单位提供高速的下一代互联网IPv6接入服务。在此基础上,实现了全国160所著名高校的高速接入,已经由40余项CNGI示范工程的下一代互联网技术试验、应用示范和产业化项目连接到CNGI-CERNET2主干网上进行项目研究和成果测试,使CNGI-CERNET2成为我国开展下一代互联网及其应用研究的开放性试验环境,成为我国研究下一代互联网技术、开发重大应用、推动下一代互联网产业发展的关键性基础设施。项目还建成了CNGI国际/国内互联中心CNGI-6IX,实现了6个CNGI主干网的互联,并与北美、欧洲、亚太等地区国际下一代互联网实现了高速互联,使CNGI示范网络连接成一个整体,并成为国际下一代互联网的重要组成部分。

  成果二主干网采用多厂商国产网络设备互联

  CNGI-CERNET2提出并确定了“采用国产IPv6核心路由器组建大型主干网”重大技术决策,设计和研制了我国第一个大规模使用国产核心路由器的全国主干网。

  自1995年我国大规模建设互联网以来,组建国家主干网的网络设备主要依赖进口。近年来,在国家有关部门的支持下,国产网络设备,特别是IPv6核心路由器的研制及产业化取得了突破性进展,但是与发达国家相比,在技术水平和产品性能等方面还存在着一定的差距。采用国产设备组建大规模的IPv6网络,具有很大的技术风险。

  CNGI-CERNET2主干网的25台核心路由器中,国产设备20台,占到80%,其余5台国外设备主要用于互通互操作测试,摆脱了国家主干网完全依赖国外设备的被动局面。

  CNGI-CERNET2主干网使用国产设备组网,采用大规模动态互操作测试技术,发现并解决了国产核心路由器中互通互操作的一系列技术难题,积累了一系列宝贵的经验和网络部署原则:
  1.物理层以2.5G速率实现核心路由器和接入路由器之间的连接,是对在国产设备目前尚不支持10G线路的局限条件下,避免因降低到GE引起传输瓶颈的折衷;
  2.点对点数据链路层只能使用PPP协议,而不宜使用非标准化的HDLC协议,后者不同厂商的实现不完全一致;
  3.网络层的路由配置采用主流的路由协议,如OSPF,尽量使用默认的配置选项,在多厂商设备互通的环境内不推荐进行特殊的优化;
  4.统一网管系统只采用所有路由器已经实现的最大公约MIB集,保证网管系统的顺利运行。

  国产IPv6核心路由器厂商华为技术公司和比威网络技术有限公司经过两年来的运行,认为CNGI-CERNET2作为国内第一个启动建设的大型纯IPv6网络,具有网络互联规模大,接口类型多,特性丰富,应用复杂等特点,CNGI-CERNET2提供的良好测试环境和大规模IPv6网络中复杂的网络技术规格要求,有力地促进了国产厂商原创技术的发展,有力地促进了国产IPv6高性能路由器在大容量高速接口、大容量无阻塞交换网络、高速IPv6分组转发处理芯片、存储管理与队列调度、IPv6软件操作系统平台、IPv6服务质量控制、IPv6路由协议、IPv6网络管理技术、IPv6组播技术、IPv6过渡技术、稳定性可靠性等方面的研究、开发和产业化进程,使国产IPv6网络设备达到或超过了国外同类产品的水平,提升了国产品牌地位,从而在CNGI等国内外IPv6市场中占据了重要份额。

  CNGI-CERNET2已经成为我国开展下一代互联网及其应用研究的开放性试验环境,成为研究下一代互联网技术、开发重大应用、推动产业发展的关键性基础设施,极大地促进了国产下一代互联网网络设备的研究开发和国产IPv6网络设备产业的发展,促进了国内通信产业的升级换代,对国家的科技进步起到了积极作用。

  成果三真实IPv6源地址保障网络安全

  CNGI-CERNET2在国际上首次提出了“基于真实IPv6源地址的网络寻址体系结构”,从体系结构上解决下一代互联网的安全隐患。设计并实现了一种包括接入、域内、域间三个层次的真实IPv6源地址网络寻址的解决方案,该方案具有简单、松耦合、多重防御、支持增量和激励部署等特点,已在 CNGI-CERNET2主干网上大规模部署。国际互联网组织IETF已批准成立工作组SAVA,专门制定相关国际标准。

  体系结构
  以TCP/IP协议为核心的互联网虽然取得了巨大的成功,但是仍然存在着许多重大的问题,其中安全性最为突出,特别是虚假地址和虚假标识问题导致了大量安全问题。对源地址不做检查,使现在的互联网缺乏可信任的技术基础,导致互联网安全事件频繁发生,可信任度大大降低,限制了互联网的进一步发展和应用。然而,由于地址空间限制等多种原因,在IPv4的互联网上实现真实地址寻址已经没有可能。
  CNGI-CERNET2这个世界上最大规模的纯IPv6试验网为真实地址寻址技术的实现提供了一个得天独厚的试验平台,使我们有可能重新设计互联网的体系结构,从基础设施层面解决互联网的重大安全隐患,改变IPv6互联网中“穿新鞋、走老路”的现象。

  在这一背景下,在CNGI-CERNET2上开展真实地址寻址技术的研究和试验,加大可信任新一代互联网的研究和技术攻关力度,有望使我国在互联网研究、开发与应用方面进入国际先导行列,这对提升我国信息技术领域的整体实力、促进相关产业的进步、推动社会信息化发展和保障国家信息安全都具有重大而深远的意义。

  在这一背景下,本课题首次提出了基于真实IPv6源地址网络寻址体系结构。所谓基于真实IPv6地址寻址技术,是指互联网上传输的IPv6分组的源地址是真实的,即来自于该地址授权的使用方,假冒源地址的IPv6分组不能在互联网上传输。

  基于真实IPv6源地址网络寻址体系结构设计必须遵循结构简单、松耦合、多重防御、支持增量部署、激励部署等原则,同时需要为上层可信任应用提供支持。

  基于真实IPv6源地址网络寻址体系结构的实现将对互联网产生重大影响,大大提高互联网的可信任性。首先,它将大大提高互联网的安全性,改善DDoS攻击、垃圾邮件泛滥的现象;其次可以实现网络行为的可追踪,威慑网络犯罪行为;另外,这一体系将简化当前互联网应用的体系结构,促进互联网应用的发展。

  解决方案
  本课题设计并实现了一种包括接入、域内、域间三个层次的真实IPv6源地址网络寻址的解决方案。
  互联网由很多自治系统(AS)组成,它们自己决定自己的路由策略和管理机制,每个AS都有自己的地址前缀范围,负责管理该地址前缀范围的管理和使用。真实IP地址访问的问题实际上是地址的从属关系问题,也就是实体发出的报文应该只携带它拥有的地址,报文只应该被拥有其源地址的实体发出。在最初的互联网设计中,假设网络的所有设备(包括主机和路由器)都是可信的,而在目前复杂的网络环境下,对主机的信任已经不存在了,所以必须依靠网络的基础设施来保证源地址的从属关系被实现。
  基于网络本身的分层结构,真实地址寻址体系结构分为域间真实地址访问、域内真实地址访问、子网内真实地址访问的三部分。他们有机的组合在一起,共同形成一个真实地址寻址体系结构。

  部署情况
  目前,基于真实地址寻址技术所研发的原型系统已经部署在CNGI-CERNET2的五个主干节点:北京、上海、南京、广州、武汉。
  经过CNGI-CERNET2部署实验测试证明,课题所实现的原型系统具有很好的抵抗攻击效果。同时真实地址为构建可信任用户身份和可信任的电子邮件、BBS和VOIP系统提供了安全的基础设施。

  创新点
  1.在国际上首次提出基于真实IPv6源地址的网络寻址体系结构,该体系结构对于从根本上改善下一代互联网安全问题、简化下一代互联网应用有重要意义。
  2.设计并实现了一种包括接入、域内、域间三个层次的真实IPv6源地址网络寻址的解决方案,该方案具有简单、松耦合、多重防御、支持增量部署、激励部署等特点。
  3.在CNGI-CERNET2主干网上大规模部署了真实IPv6源地址的试验系统,验证了真实地址寻址方案的可行性,同时为CNGI上其他的研究课题提供了试验平台。

  成果四独创IPv4 over IPv6过渡技术

  在国际上首次提出了“4over6网状体系结构”的过渡技术,设计实现了基于动态非显性隧道的4over6系统。该系统采用面向大规模分布式的设计,扩展了核心路由协议BGP并提出了新的子地址簇标识,解决了IPv4和IPv6兼容性、可管理、可扩展、可靠性和自动配置等技术难题。申请了4项国家发明专利,成立了IETF工作组softwire,并牵头提交了多项国际标准草案。互联网编号分配机构IANA为4over6协议分配了特定的子地址簇标识符。该技术在CNGI-CERNET2上进行了大规模部署实现,为纯IPv6主干网建设和加快向IPv6过渡提供了重要的解决方案。

  IPv4 over IPv6机制原理

  随着IPv6技术的快速发展和纯IPv6主干网络的建成,大量IPv4网络需要通过IPv6主干网来实现互联互通的需求也日益增多。在IPv4/v6互联的网络拓扑上,一些只运行IPv6协议栈的P路由器构成了纯IPv6主干网。然而,由于现有大量IPv4应用将在一定时期内仍然广泛使用,因此该纯IPv6主干网需要向边界网络提供IPv4协议栈接入。

  PE路由器作为地址簇边界路由器AFBR,同时运行IPv6和IPv4双协议栈。PE路由器在主干网内使用IPv6协议连接纯IPv6主干网,对接入网络则使用IPv4协议栈与边缘网络的IPv4单协议栈CE路由器连接,从而对已有IPv4网络提供接入服务。因此,需要设计一种机制,使得在CE路由器上只运行IPv4协议,而IPv6主干网作为传送IPv4分组的传输网络。

  目前,大多数IPv4/IPv6网络过渡方案主要是解决基于IPv4主干网的小规模IPv6接入网络之间的互联问题以及IPv4/IPv6网络之间的互联互通性问题。IPv6通用隧道、基于MPLS的隧道和DSTM技术等虽然能够在一定程度上实现IPv4网络通过IPv6主干网进行互联,但由于存在可扩展性差、协议机制复杂或者对网络核心改动很大等问题,部署和实现这些机制是困难的,其管理维护负担已超出了可控范围。本标准提出了基于IPv6的IPv4网络互联机制(简称4over6机制),解决IPv4网络通过纯IPv6主干网络实现互联的问题。

  与其他类似机制相比,4over6机制不需要手工配置端到端隧道,具备对网络和端系统的透明特性,能够自适应地动态选路,是一种IPv4/v6异构网络自动传输机制,具有较小的网络管理及维护负担,适应于大规模复杂网络拓扑结构。本标准提出的4over6机制主要解决mesh问题,而不涉及对Hub&Spoke场景的支持。总体来说,4over6机制包括两方面的问题:控制平面和数据平面。控制平面需要解决的问题是如何通过隧道端点发现机制来建立4over6隧道。由于多个PE路由器连接到IPv6传输网上,为了准确地封装IPv4分组并转发到某个出口PE路由器,入口PE路由器需要知道具体哪个PE路由器是出口路由器。本标准扩展MP-BGP协议,在IPv6主干网上携带IPv4目的网络的信息和隧道端点信息并发送到IPv6主干网的另一端,以此来在PE路由器上建立无状态的4over6隧道。PE与CE之间可以通过域内或域间IPv4路由协议来交互IPv4路由,也可以由CE路由器配置缺省路由到PE路由器,视具体使用场景而定。

  在建立4over6隧道的基础上,数据平面主要关注包括封装和解封装的分组转发处理。在入口PE路由器找到恰当的出口路由器后,入口路由器需要采用某一特定的封装机制来封装并转发原始IPv4分组。出口路由器从IPv6传输网络收到封装分组后,出口路由器对分组进行解封装,并转发到相应的IPv4目的网络。由于4over6机制主要运行在PE路由器上,且只涉及对IPv4分组最外层头部的封装处理,因此也同样适用于IPv4网络中使用NAT机制的场景。

  部署测试情况

  CNGI-CERNET2已经建成为全球规模最大的纯IPv6主干网。但中国各大高校中还存在大量的IPv4网络和IPv4用户。为了给这些IPv4网络用户提供更好的网络服务,我们在CNGI-CERNET2的边缘部署4over6路由器,以CNGI-CERNET2作为承载网实现各高校IPv4网络之间的互访。

  4over6路由器之间通过运行4over6扩展的IBGP协议,交互目的网络和隧道端点信息,并以此建立非显式的4over6隧道。各高校的IPv4网络之间不但能够通过CNGI-CERNET2实现互访,还能访问CERNET并经过CERNET进一步访问IPv4公网。4over6路由器的部署并没有为CNGI-CERNET2带来额外的控制和管理开销。

  部署在CNGI-CERNET2上的4over6机制进行了丰富的测试,发现各高校的IPv4网络之间不但能够成功地运行Web、FTP、Telnet、VPN、P2P等各种不同类型的应用,而且延时、丢包率、吞吐量等性能指标都接近于CNGI-CERNET2边缘主机之间互访的性能,而高于边缘主机通过CERNET进行通信的性能。这充分说明通过CNGI-CERNET2作为承载网提供IPv4边缘网络之间的互访是有着巨大的优势的。

  创新点
  在国际上首次提出了基于动态非显式隧道来实现的4over6通信机制,该机制具有配置简单、不受限于特殊地址前缀、不依赖于组播技术支持、没有单一故障点、可扩展性好的优点。基于这一机制,可以方便地实现大规模的基于IPv6承载网的IPv4网络之间的通信。
  这一成果已经得到国外专家的认可,并正在制定RFC国际标准,申请技术专利,发表了学术论文。基于动态非显式隧道的4over6机制的优点具体表述如下:
  1.配置简单:4over6隧道通过BGP协议的4over6扩展来动态配置,不需要手工配置。
  2.不受限于特殊地址前缀:报文目的地址和隧道端点地址的映射关系是通过BGP协议来动态发现的,不需要对IPv6地址格式做特殊规定,不需要申请特殊的IPv6地址前缀。
  3.不依赖于组播技术的支持:该机制可以对组播应用进行扩展,但在IPv4网络和IPv6网络不实现组播的情况下,该机制仍可正常使用。
  4.没有单一故障点:该机制是纯分布式实现的,不依赖于任何单独的服务器,因此网络中没有单一故障点。
  5.可扩展性好:由于隧道的建立是通过BGP协议来自动发现的,还可以通过配置Router Reflector来进一步简化BGP路由器之间的通信开销,因此该机制方便支持大规模的IPv4 over IPv6应用,可扩展性很好。

  来源:《中国教育网络》