华为技术专家分享数据网络存在问题及创新需求

2019-01-14 14:23:34 143

2018年12月18日,ITU-T第二次 Network 2030 Workshop在香港理工大学成功召开。华为网络技术实验室技术专家蒋胜发表了题为“Observation of Current IP Network Issues and Innovation Requirements”的演讲,重点阐述了当前数据网络的问题和面向2030年及更远期的创新需求,受到了与会嘉宾的广泛关注。

全世界正在快速进入万物感知、万物智能、万物互联的数字化智能社会形态,数据网络的服务边界从互联网业务逐渐扩张到农业生产、工业制造和交通运输等传统行业。ITU-T Network 2030 Focus Group旨在凝聚业界共识,审视并研究数据网络面向2030年乃至更远期的技术缺陷与挑战,探索新愿景、新需求、新架构、新用例、新能力,从而指导数据网络标准化工作推进。作为全球领先的网络设备供应商,华为技术专家蒋胜从服务差异化、用户网络接口、网络数据信息、网络管控、地址名字空间及字段灵活性、IP地址二义性、内生安全和可信架构等7个方面对当前网络存在的问题和创新需求进行了详细的阐述。

网络需要提供更加精细的服务差异化能力

不同的应用场景对网络的服务质量的需求存在差异性。当前IP网络的数据转发基于统计复用技术,提供尽力而为的服务能力和有限的QoS保证,并不能满足不同业务场景的差异化服务需求。目前针对确定性服务的研究均有不同的侧重点,如 RSVP、TE等聚焦确定性带宽的技术缺少对时延的控制,而TSN等提供确定性服务的技术只能用在局域网中,并不适合用于广域网络。IETF DetNet工作组当前的工作则致力于确定性服务的研究,处于需求和用例讨论阶段,缺少实际的技术方案支撑。可靠、成熟的确定性转发技术严重缺失无法满足日益丰富的业务场景对精细的差异化服务的需求。

更加丰富的用户网络接口

基于分层原则,现有的TCP/HTTP需求和响应仅发生在终端之间,用户无法感知网络状态,如转发路径、拥塞状态、响应时间、可达性等,也无法表达对网络性能的具体需求,如低时延转发、时延容忍、丢弃通知等,致使网络无法为用户提供确定性的服务。未来网络需要更加丰富的用户网络接口(User-Network Interface, UNI),允许用户感知网络状态,定义网络功能,从而支持不同场景与业务的信息传递特征需求,更好地为AR/VR、自动驾驶、全息通信等新兴业务提供高品质服务。

更多的网络数据信息使能自动化和智慧化

带外信令与真实数据流转发路径存在不一致性,导致常规的网络测量结果并不能代表真实的转发路径和性能。如果网络状态数据的收集频率较低,则实时性较差。部分状态,如逐流状态的测量方法尚不完善,无法满足数据获取需求。这些片面、非实时的网络状态信息,导致网络状态全面实时的感知能力不足,会对网络管控部件制定管控策略带来限制与负面影响,进而导致管控策略不够精确。

另一方面,目前对网络的管控主要依赖于管理员对网络设备上各种参数的配置。随着网络业务的快速迭代,网络的调整越来越频繁,涉及的管控范围也越来越大。人工处理的精确性与能力极限逐步成为瓶颈和错误来源。

网络状态的全面实时可知是实现网络高精度管控的基础,根据更多的网络信息使能网络自动化和智慧化,已经成为必要且急迫提升网络管控效率和降低错误的方法。

更加灵活的网络地址名字空间及字段表示

随着数据网络逐步深入到诸如IoT、工业控制等领域作为普适性的通信手段,网络地址存在变长和变短的需求。对于以传感器为代表的超轻量级联网设备,其数据传递量、能源功耗都是瓶颈限制,现有的IPv6地址和协议明显过于沉重,并不适合场景需求。另一方面,未来网络地址所承载的功能势必会超越标识位置、标识身份,更有可能标识功能、数据以至于更多。IPv6地址在数量空间上存在上限,势必无法满足未来地址的多义性。所以,灵活可变长的网络地址名字空间成为未来网络的需求之一。从另一个角度来看,IPv4与IPv6包头中固定的协议字段也存在局限性。首先,一些无用字段在转发中也必须携带,造成了带宽资源的浪费。如之前所述,一个超轻量级传感器可能只需要传递1bit信息,但却需要封装至少320bit的包头是显然不合理的。其次,现有互联网的设计思路是在出现新的网络功能和业务时,为每种业务设计专用的网络协议(如GTP等),协议之间只能采用嵌套封装的形式,封装层数越多,每个数据包所含的有效信息负荷越少,导致了包头开销巨大。此外,由于各层无法协同,中间节点不知道数据包属于哪个虚拟网、哪个会话或哪个服务功能链,难以执行细粒度的QoS策略。

为了有效支持未来海量、异构通信实体的互联需求,更加灵活可变长的网络地址名字空间及字段表示方法与相对应的协议设计是未来数据网络发展的需求之一。

使用标识代表真正的网络通信主体

通信主体种类越来越丰富,不仅包括主机,还包括人、物、服务和内容等。而IP不能直接标识新的通信主体,只能将通信实体经映射系统映射到IP。网络层不能直接识别通信主体,导致难以实施针对性策略。同时,IP地址伪造、映射错误、映射频繁发生难以追踪等问题也不容忽视。

另一方面,网络仅支持IP拓扑寻址无法满足多元化的业务需求,只能通过DNS系统、OTT服务器、网关等进行翻译,不仅增大了通信时延,用户数据在穿越公网时也容易引发安全和隐私问题。网关进行地址翻译也造成了额外的计算、存储开销,在可靠性、灵活性等方面也存在诸多问题。

网络层需要直接识别通信主体,从而实现针对通信主体的路由/转发策略等,这就需要使用标识来代表真正的网络通信主体。

内生的安全和网络信任架构

网络信任体系从根本上决定网络安全。现有的网络信任体系多数呈现单根、树形的体系形态。以DNS系统为例,树形体系自下而上的信任使得上层节点一旦遭到攻击或本身采取恶意动作,下游节点无法保证正常的运转与服务能力。近年来针对网络基础设施(如BGP和DNS)的攻击也频繁发生,如针对BGP的前缀劫持、路由劫持、路由泄露等攻击,以及针对DNS的域名劫持、重定向、缓存污染等攻击,这些攻击甚至可能导致全球的网络瘫痪,引起巨大的经济损失。目前针对BGP安全问题提出的BGPSec+RPKI方案以及针对DNS安全问题提出的DNSSec方案虽然在一定程度上对部分攻击进行了防御,但都存在中心化问题。所有实体必须信任共同的信任根,如果信任根出现问题,波及面广,且权限难以撤销,恢复代价大。

网络基础设施应该更加可信、可靠,能够为网络的正常工作提供基本的服务保障。在不依赖于集中式授权的情况下,网络基础设施应该具有针对攻击的内生的安全防御能力。

在演讲的最后,蒋胜表示:在面向未来的网络创新过程中,更加精细的差别化服务、更加丰富的用户与网络的接口、更多的网络信息使能网络自动化和智慧化、更加灵活的网络地址名字空间及字段表示、使用标识代表真正的网络通信主体、内生的安全和基础信任架构等需求应该被纳入未来网络体系架构设计中,从而有效支撑未来丰富的网络业务场景。