基于一體化標識網絡中數據流管控系統的研究

王一明，劉 穎，郜 帥

(北京交通大學 電子信息工程學院，北京 100044)

基于一體化標識網絡中數據流管控系統的研究

王一明，劉 穎，郜 帥

(北京交通大學 電子信息工程學院，北京 100044)

隨著大數據和云計算的快速發展，數據流管控在網絡性能方面有著舉足輕重的作用，研究網絡中的數據流對于優化網絡性能至關重要。目前，一體化標識網絡支持異常流量檢查、復雜映射模式和移動性等功能，但是在數據流管控方面還缺少進一步的研究。因此一個良好的數據流管控系統能夠優化網絡數據傳輸，提升網絡性能，促進一體化標識網絡的完善。設計了一體化標識網絡中的數據流管控系統，通過位于接入交換路由器的數據流檢測模塊以及位于映射服務器的數據流調度模塊協同工作，計算數據流全網路徑的最小代價，優化數據流的轉發，實現對網絡數據的細粒度控制。通過測試分析此機制的優越性，證明在一體化標識網絡中部署該管控系統利于提高網絡性能。

一體化標識網絡；流量檢測；數據流調度；細粒度控制

0 引 言

一體化標識網絡[1]是根據身份與位置分離體系思想重新設計的一種新型網絡。該網絡通過引入接入標識和路由標識，有效地消除IP地址的二義性，提高網絡的性能、安全以及可擴展性。標識分離映射理論[2]是一體化標識網絡的核心理論，它在接入網中定義了接入標識代表用戶身份信息，在核心網中定義了路由標識代表用戶位置信息[3]，在接入交換路由器上實現接入網和核心網的分離，在標識映射服務器上存儲接入標識和路由標識的映射關系，完成對數據流的轉發，實現終端的身份信息與位置信息的分離。

目前，關于一體化標識網絡的研究越來越深刻，在數據流管控領域有一定的研究成果。在網絡流量監測方面[4]，提出了流量異常監控系統。通過監控網絡流量信息，對網絡數據包進行統計分析，排除網絡風險，增強網絡安全。在映射方式方面[5]，提出了復雜映射系統[6]，包括多個接入標識映射為一個路由標識以及一個接入標識映射為多個路由標識的映射方式，可以通過協議類型端口號等條件增加對數據映射的管理[7]。如何建立更為優化的數據流管控機制是一體化網絡研究的重點。

對于分離映射機制而言，通過在接入交換路由器配置映射選項[8]的方式，開啟映射模塊，可支持IPv4/IPv6[9-10]。在核心網默認使用等值多路徑技術，對于存在多條不同鏈路到達同一目的地址的網絡環境，使用ECMP技術可以在該網絡環境下同時使用多條鏈路，不僅增加了傳輸帶寬，而且可以實現等值情況下，多路徑負載均衡的目的。然而，各路徑的帶寬、時延和可靠性等不一樣，讓代價值相同，不能很好地利用帶寬，尤其在路徑間差異較大時，嚴重影響了網絡性能。因此，優化網絡中數據流的感知、監測和調度[11]，對于提高網絡性能，保證網絡安全[12]有著至關重要的作用。

基于一體化標識網絡，在網絡流量監測模塊的基礎上，提出了分離映射網絡的數據流管控系統[13]。該原型系統通過數據流檢測模塊檢測數據流信息，通過數據流調度模塊管理網絡資源[14]，計算全網路徑的最小代價，并且控制數據流的分離映射路徑。這種集中管控的方式，針對大數據流[15]，能夠較大地提升一體化標識網絡的性能。

1 一體化標識網絡的體系結構

一體化標識網絡是一種二層的網絡體系架構，分為網通層和服務層。其中網通層是由OSI模型中的網絡層、數據鏈路層、物理層組成，是一體化標識網絡中提供全網通信的基礎平臺和通信保障。服務層對應OSI七層網絡模型的傳輸層、會話層、表示層和應用層，負責各種服務、業務的連接、控制和管理功能。文中主要研究網通層的結構和標識分離映射理論以及實現，并且針對分離映射系統，提出新的數據流管控機制，能夠優化數據流的調度，提升網絡性能。

網通層是一體化網絡中各種服務、業務的支撐部分。主要完成兩方面的功能，一是提供多元化網絡的接入，二是為一體化標識網絡終端提供一個網絡通信平臺。網通層將網絡分為接入網和核心網。接入網和核心網分別使用接入標識和路由標識，接入標識(AID)代表身份信息，路由標識(RID)代表位置信息。然后通過標識分離映射理論，實現接入網和核心網的分離，最終實現終端身份信息與位置信息的分離。標識分離映射理論建立了接入管控機制和網絡行為控制機制，使一體化標識網絡本質上具備可信可控性。

根據分離映射理論，在一體化標識網絡中，接入網的終端通過一個或者多個接入交換路由器連接到核心網，核心網的路由器互相連接構成全局路由網絡。接入網負責用戶的接入，核心網負責路由信息的管理。

分離映射工作主要在接入交換路由器上完成。接入交換路由器具備維護路由表，轉發數據包以及接入標識與路由標識替換的功能。當終端第一次發起數據請求，接入交換路由器從接入網收到數據包，并準備向核心網轉發數據時，把數據包首部中的接入標識替換為路由標識，分配新的映射關系，通告給映射服務器。當對端接入交換路由器從核心網收到使用路由標識的數據包后，在向接入網轉發前，會首先查找自身映射表中是否存在相應映射關系。如果存在，則將數據包首部中的路由標識替換為接入標識；如果不存在，則向映射服務器查詢相應的映射關系，當映射服務器返回結果后，將數據包頭部的路由標識替換為接入標識，轉發到接入網，完成數據通信。如此，用戶的隱私、網絡安全性、可控可管性和移動性在網絡部分得到很好的支持。

2 數據流管控系統設計

2.1 設計思路

為了實現網絡狀態感知、系統資源的利用以及對于數據流的集中管控，數據流管控系統包括兩個模塊：數據流檢測模塊和數據流調度模塊。在接入交換路由器上設計數據流檢測模塊，在映射服務器上設計數據流調度模塊。通過數據流檢測模塊實現對數據流的區分與通告，利用數據流調度模塊實現全網絡流量的管控與調度。兩個模塊協同工作，完成對一體化標識網絡中大數據流的管控。

數據流管控系統分為三個步驟。首先在接入交換路由器上檢測指定數據流，然后匯集網絡信息，在映射服務器上計算轉發路徑，最后下發轉發表，實現數據流的轉發。

系統的整體架構如圖1所示。

圖1 數據流調度系統架構

數據流檢測模塊位于接入交換路由器上，收集來自終端的數據流信息，包括數據流大小、網絡接口等網絡參數。當來自終端的數據流到達接入交換路由器時，位于接入路由器上的數據流檢測模塊，實時檢查數據流，分析網絡數據，并把分析處理的結果發送到位于映射服務器上的數據流調度模塊。

數據流調度模塊位于映射服務器上，該模塊定時與數據流檢測模塊進行通信，當收到數據流檢測模塊發送的網絡數據包信息時，數據流調度模塊通過流量采集，網絡資源感知，計算合適的路徑，重新分配網絡資源，下發轉發消息到接入交換路由器，從而實現對數據流的路徑分配。

數據流管控系統模塊之間的通信過程如圖2所示。

圖2 數據流管控系統通信流程

在整個系統中，接入交換路由器對數據流進行實時檢測。周期性地發送數據流信息到映射服務器。當映射服務器收到來自接入交換路由器的網絡狀態消息，立即回送網絡狀態信息確認，保證對數據流每次變化進行回應。數據流調度系統接收網絡狀態信息，通過計算處理，獲取最優路徑。由于計算處理需要一定的時間開銷，稍作延遲下發轉發消息給接入交換路由器。一旦網絡數據流發生變化，系統會動態更新相應轉發路徑。這就是數據流管控系統中兩個核心模塊的通信過程。

在數據流管控系統中，定義數據流為源-目的相同的數據包的集合。在網絡中，充斥著各種數據流，其中大數據流是構成網絡流量的主要部分。因此，該系統重點解決在一體化標識網絡中大數據流的集中管控。

2.2 模塊設計

數據流管控系統分為數據流檢測模塊和數據流調度模塊。模塊具有高聚合、低耦合的特性，通過數據通信實現模塊之間的協同工作。

模塊設計如圖3所示。

1)數據流檢測模塊。

數據流檢測模塊用來檢測數據流，獲取網絡信息。具備數據存儲、數據通信和數據捕獲等功能。該模塊包括流量采集、統計分析、數據存儲和數據通信四個子模塊。

圖3 數據流管控系統模塊設計

工作流程分為四步：

(1)流量采集，捕獲數據流，提取數據包信息；

(2)統計分析，解析數據包生成數據流信息摘要；

(3)數據存儲，在數據庫中存儲數據流信息；

(4)數據通信，與數據流調度模塊通信。

一體化標識網絡終端位于接入網中，所有的用戶流量都是通過接入交換路由器接入網絡。然后在接入交換路由器進行數據包的映射替換(AID-RID)和逆映射替換(RID-AID)。在核心網中使用路由標識RID進行數據轉發。分析數據包的AID能夠反映用戶的數據特性和行為特性。因此數據流檢測模塊位于接入交換路由器接入網端，用于捕獲源/目的接入標識AID的原始流量信息。

2)數據流調度模塊。

數據流調度模塊用來實現制定數據流轉發策略，具備網絡資源感知、數據通信和計算轉發等功能。該模塊包括網絡資源感知、數據通信、分析計算和資源分配四個子模塊。

工作流程分為四步：

(1)資源感知，感知網絡資源，獲取路徑信息；

(2)數據通信，與數據流檢測模塊通信；

(3)分析計算，計算大數據流的最優路徑；

(4)資源重分配，重路由，分配最優路徑。

接入交換路由器分配映射關系，通過數據流檢測模塊檢測數據流大小，針對大數據流，結合網絡中數據鏈路狀態，分配映射關系與轉發路徑。映射關系支持復雜映射策略，包括一對多、多對一映射。轉發路徑為網絡資源感知確定的數據流路徑或者ISP提供的高帶寬鏈路。因此數據流調度模塊能夠提高一體化標識網絡對數據流的管控能力。

3 數據流調度系統的實現

3.1 數據流檢測模塊

數據流檢測模塊包括流量采集、統計分析、數據存儲和數據通信子模塊。系統啟動時，初始化四個進程，各自獨立完成上述工作。

流量采集使用數據捕獲技術，捕獲網絡上全部或者特定部分的數據包信息。通過監聽接入路由器網卡實時捕獲流經端口的數據包。常見的捕獲技術有以下幾種：SOCKET_PACKET套接字，數據鏈路層接口(Data Link Provider Interface，DLPI)以及伯克利數據包過濾器(Berkeley Packet Filter,BPF)。目前主流的開發庫LibPcap(Library of Packet Capture)基于BPF的捕獲機制，在Linux下的數據捕獲技術多數基于LibPcap開發庫設計和實現。

為了提高數據捕獲能力以及軟件的并發性能,數據捕獲功能采用基于LibPcap函數庫的多線程設計方式，在主線程啟動之后，激活捕獲子線程、掃描子線程和發送子線程。數據流檢測模塊內核版本2.6.28。

數據存儲，接收流量采集的數據包信息，然后按照指定的格式分析提取數據包數據部分的流摘要信息，將提取出來的每一條流摘要記錄存儲到本地數據庫。數據庫中數據流格式包括流序號、類型、約束條件、源地址、目的地址和說明。數據庫中每一行代表一條流記錄信息。

統計分析，匯總存儲數據庫中的流量記錄，根據數據流量的大小，結合給定的閾值，統計分析結果。閾值是給定的有關數據流大小的參數，可以通過統計單位時間內通過源-目的地址的數據包的個數確定。通過調節閾值實現對數據流大小的控制，實現對網絡數據流不同程度的管控。

數據通信，負責與數據流調度模塊進行通信，建立客戶-服務器模型，建立TCP連接，在定時器的控制下，周期發送數據流統計分析的結果。

3.2 數據流調度模塊

數據流調度模塊包括網絡資源感知、數據通信、分析計算和資源分配四個子模塊。該模塊初始化三個進程，對應前三項功能，當計算分析完成，建立新的進程實現資源分配。

數據通信子模塊，建立客戶-服務器模型。主流的I/O模型有阻塞/非阻塞，I/O復用以及進程線程模型等。為保證集中處理的效率，該子模塊使用多線程模型。當程序開始時，初始化數據通信模塊，創建兩個子線程(接收線程和處理線程)，分別完成數據包的接收和信息提取存儲功能。接收到數據包的同時，會觸發相應處理操作。

考慮到系統擴展問題，當映射服務器管理更多的接入交換路由器時，要考慮TCP連接并發性問題。使用epoll模型處理，相比較傳統的select模型，該模型無最大并發數限制，通過內存拷貝技術提高內核層與應用層的傳輸效率。

網絡感知子模塊，感知獲取網絡資源。獲取鏈路信息、帶寬、時延、鏈路負載、鏈路利用率等參數，發送到分析子模塊。由分析子模塊分析網絡狀態，確定網絡中路徑的代價，比如高帶寬、高延遲的路徑。通過計算子模塊加權計算不同路徑的代價，求出針對大數據流總代價的最小值。由資源分配子模塊重新分配網絡路徑，并且將最優化的路徑下發的接入交換路由器，實現大數據流的轉發，控制數據流的調度。

針對大數據流，首先查找ISP是否提供了高帶寬路徑，轉發大數據流的路由標識，如果提供了此類路由標識，直接替換原有的路由標識，采用新的路由標識轉發數據。如果沒有ISP提供的高帶寬路徑，則通過網絡資源感知獲取網絡中高帶寬路徑。網絡中存在多條路徑，每條路徑的鏈路狀態不同，有的支持大數據流的轉發，有的負載過重，不宜轉發大數據流路徑。

4 測試分析

搭建測試環境，網絡拓撲如圖4所示。

圖4 測試環境

終端A向終端B發起請求，通過網絡資源感知，該網絡拓撲存在兩條網絡路徑：路徑1為接入交換路由器A-接入交換路由器B，路徑2為接入交換路由器A-路由器C-路由器D-接入交換路由器B。

通過限制網卡速率使得路徑2支持10 M帶寬，路徑1支持百兆速率。終端A向終端B發起視頻業務的請求，視頻流為大數據流業務。使用ECMP技術，路徑1和路徑2實現等值多路徑，相當于利用帶寬20 M，但是對于路徑1而言，利用率僅僅為10%，效率低下。當開啟大數據流轉發控制之后，使得大數據流通過路徑1轉發，充分利用網絡資源，提高效率。

在映射服務器上，觀察分配的轉發路徑，如圖5所示。

圖5 數據流分配表項

該表項顯示的是數據流調度系統針對大數據流的調度策略，其中Flow為所調度的大數據流的序列號，Src為源地址，Dst為目的地址，Route為接入路由器的ID，默認使用路由器最大地址，Interface為轉發接口，Path為Path路徑集合中的序號。

因此，數據流的源地址為2001:250::3，目的地址為2001:350::2，位于接入交換路由器3ffe:2ffe::3上，轉發接口為eth1。該拓撲共計算兩條路徑(路徑1和路徑2)，轉發路徑為集合中的路徑1。

通過測試，可以觀察到數據流調度系統能夠為大數據分配轉發的路徑，提高網絡資源的利用率。與之相對的，該系統在運行時消耗了部分網絡資源，計算轉發路徑也會帶來一定程度的延遲，但是對連續的大數據流帶來的性能上的提升是顯而易見的。

5 結束語

為了實現對網絡數據流的細粒度管理，提升一體化標識網絡的性能，提出了一體化標識網絡數據流管控系統。該系統通過對網絡資源的收集，分析網絡狀態，計算大數據流路徑，并相應地重新配置網絡資源。實驗結果表明，該管控系統可以顯著提高網絡的利用率，但需要為此付出額外的計算開銷和一定程度的時間延遲。

[1] 王 上.一體化網絡接入交換路由器分離映射的設計與實現[D].北京：北京交通大學,2008.

[2] 董 平,秦雅娟,張宏科.支持普適服務的一體化網絡研究[J].電子學報,2007,35(4)：599-606.

[3] 楊 冬,周華春,張宏科.基于一體化網絡的普適服務研究[J].電子學報,2007,35(4)：607-613.

[4] 杭靜文.一體化標識網絡流量異常監測技術研究與實現[D].北京：北京交通大學,2013.

[5] 李曉倩.一體化標識網絡身份與位置映射關鍵技術研究[D].北京：北京交通大學,2013.

[6] 王培新.標識分離映射網絡動態映射系統的設計與實現[D].北京：北京交通大學,2011.

[7] 劉蕭一.一體化標識網絡下變長標識復雜映射系統研究[D].北京：北京交通大學,2015.

[8] 崔錫鑫.一體化標識網絡下分布式映射服務系統研究[D].北京：北京交通大學,2015.

[9] Postel J.Internetwork protocol[S].[s.l.]:[s.n.],1981.

[10] Deering S,Hinden R.Internet Protocol,Version 6 (IPv6) specification[S].[s.l.]:[s.n.],1998.

[11] 張宏科,蘇 偉.新網絡體系基礎研究—一體化網絡與普適服務[J].電子學報,2007,35(4):593-598.

[12] 萬 明.身份與位置分離體系映射安全關鍵技術研究[D].北京:北京交通大學,2012.

[13] 唐建強.標識網絡攻擊防御與安全移動性管理技術研究[D].北京:北京交通大學,2014.

[14] Menth M,Hartmann M,Holing M.FIRMS:a future internet mapping system[J].IEEE Journal of Selected Areas in Communications,2010,28(8):1326-1331.

[15] Liu J,Li J,Shou G,et al.SDN based load balancing mechanism for elephant flow in data center networks[C]//International symposium on wireless personal multimedia communications.[s.l.]:IEEE,2014:486-490.

Research on Traffic Management and Control System Based on Universal Identifier Network

WANG Yi-ming,LIU Ying,GAO Shuai

(School of Electronic and Information Engineering,Beijing Jiaotong University, Beijing 100044,China)

With the rapid development of big data and cloud computing,management and control of data flow plays an important role in the performance of universal identifier network.Recently,universal identifier network supports abnormal traffic monitor,complex mapping system and mobile network.However,there needs further study to research in data flow control.A traffic management and control system in universal identifier network is benefit for the performance of network.An optimal data flow management system is presented with minimum cost of source-destination path.By data detection module in the access router and data scheduling module in the mapping server,this system can get an optimal solution when it comes to data flow.The system prototype is implemented in identifier network.The results show that this scheduling system can significantly enhance the performance of the network by improving the network management and link utilization.

universal network;traffic detection;data flow scheduling;fine-grained control

2015-12-10

2016-05-11

時間：2017-01-10

中央高校基本科研業務費專項資金(2015JBM008)

王一明(1990-)，男，碩士研究生，研究方向為下一代互聯網；劉 穎，副教授，研究方向為信息網絡、網絡安全；郜 帥，副教授，研究方向為信息網絡、網絡安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20170110.0941.010.html

TP302

A

1673-629X(2017)02-0158-05

10.3969/j.issn.1673-629X.2017.02.036