（通信与信息系统专业论文）宽带接入路由器的流量监控和安全技术.pdf

- 卜海交通大学硕士学位论文 宽带接入路由器的流量监控和安全技术 摘要 随着高速骨干网的不断完善，尤其是各地宽带城域网的普及， 电信和因特网网络服务供应商在多住所单元( m d u m t u ) 领域以及中 小企业领域面临的新机遇，对流量的监控，尤其是访问控制、接入控 制以及安全控制日益重要。而提供一个高性能的宽带接入路由器，在 网络的边界高效的控制网络流量和端用户的行为，尽管无法实现全局 的q o s ，却不失为一种优化所管理的i p 网络的有效方法。 本文分析了路由器的发展趋势，认为新一代宽带接入路由器的 设计要求就是支持更多更先进的流量控制能力、更好的安全性能以及 更加灵活的扩展机制，因为越靠近端用户的路由器越应当从网络应用 的角度而非分组转发的角度设计。当基于第一代路由器体系设计宽带 接入路由器时，路由器操作系统软件最为重要。文章总结了对i p 网 络q o s 要求的理解，关注最近的q o s 策略网络的概念，提出q o s 主 要是一个策略问题而不是一个机制问题，接入路由器可以提供实现 q o s 策略的机制。将“策略”和“机制”分离有利于实现统一的q o s 。 但是全局q o s 的实现仍然是个难题，我们使用隐式业务带宽接纳控 制模型来改善局部q o s 。模型把园区网络连接分为非弹性业务连接和 弹性业务连接，假设园区可以获得有保障的租赁带宽，利用管理手段 和自适应带宽分配算法优化对租赁带宽的使用。该模型在实际项目中 第1 页共1 页 卜冉交通人学硕十学位论文 得到应用。文章还总结了对网络安全的认识，初步提出了安全路由器 模型，由于网络安全的复杂性，以及对安全路由器在整个安全系统中 的地位认识不足，这个模型需要进一步的考虑。 我们启动l i n u x 改造计划来适应宽带接入路由器操作系统的发展 要求。第二章在分析l i n u x 分组转发过程的基础上分析了连接的概念， 研究了连接的相关问题，给出了对标准l i n u x 内核连接模块的增强实 现。我们基于连接来加速转发过程以及实现隐式接纳控制。第四章总 结了分组分类的搜索算法，当必须软件实现而且需要支持频繁的动态 更新时，元组空间搜索算法性能最好。我们还分析了标准l i n u x 内核 连接的鉴别和防火墙规则搜索算法的缺点，基于元组的概念给出了这 两个问题的改进设计。 关键词：路由器操作系统，q o s 策略，隐式接纳控制，防火墙规则搜 索，安全，l i n u x 第1 1 页共2 页 海交通大学硕士学位论文 英立摘要 t r a f f i cc o n t r o la n ds e c u r i t yt e c h n i c a l f o rb r o a d b a n da c c e s sr o u t e r a b s t r a c t w i t ht h ed e v e l o p m e n to ft h eh i 曲一s p e e db a c k b o n e ，e s p e c i a l l yt h e p o p u l a r i t yo fb r o a d b a n dm a n s ，t e l e c o ma n di n t e r n e ts e r v i c ep r o v i d e r s a r ef a c e dw i t hn e wo p p o r t u n i t i e si nt h ed o m a i n so fm d u m t ua n ds m a l l c o m p a n i e s i t s m o r ea n dm o r ei m p o r t a n tt o p r o v i d et r a f f i cc o n t r o l ， e s p e c i a l l ya c c e s sc o n t r o l ，a d m i s s i o nc o n t r o la n ds e c u r i t y c o n t r 0 1 i t sa g o o dw a yt oa p p l yah i 曲- p e r f o r m a n c eb r o a d b a n da c c e s sr o u t e ro nt h e e d g eo ft h en e t w o r kf o rp r o v i d i n ge f f e c t i v en e t w o r kt r a f f i ca n de n d u s e r b e h a v i o rc o n t r o l ，a l t h o u g hi tw i l ln o tl e a dt og l o b a lq o s t h i sp a p e ra n a l y z e st h er o u t e r sd e s i g nt r e n d si nt h ef i r s tc h a r t w e t h i n kt h a tm o r ea d v a n c e dt r a f f i cc o n t r o la n db e t t e rs e c u r i t yp e r f o r m a n c e a n dm o r ef l e x i b l ee x t e n s i o nm e c h a n i s mi st h ed e s i g nr e q u i r e m e n t sf o r n e wg e n e r a t i o nb r o a d b a n da c c e s sr o u t e r w eg e tt h i sc o n c l u s i o nb e c a u s e w et h i n kr o u t e rs h o u l dp a ym o r ea t t a t i o nt on e t w o r ka p p l i c a t i o n sn o tt o s i n g l ep a c k e t s r o u t e ro p e r a t i o ns y s t e ms o f t w a r ei sm o r ei m p o r t a n tw h e n b u i l d i n gt h er o u t e rw i t ht h ef i r s tg e n e r a t i o nr o u t e ra r c h i t e c t u r e t h ep a p e r a l s os u m m a r i z e st h eu n d e r s t a d i n go fi pn e t w o r kq o sr e q u i r e m e n t s ， e s p e c i a l l yt h ec o n c e p to fq o sp o l i c yn e t w o r k w et h i n kq o si sb a s i c l l y 笫1 页共i 页 上海交通大学硕| 一学位论文 英史摘要 n o tap r o b l e mo fm e c h a n i s mb u tap r o b l e mo fp o l i c y , a c c e s sr o u t e ri sa g o o de x a m p l et op r o v i d em e c h a n i s mf o rq o sp o l i c y a l t h o u g hi t su s f u l t od i s t i n g u i s h p o l i c y a n d m e c h a n i s m f o ru n i f o r mq o s 。g l o b a lq o si s s t i l lad i f f i c u l tp r o b l e m ，s ow eu s et h ei m p l i c i tt r a f f i cb a n da d m i s s i o n c o m t r o lm o d e lt oi m p r o v el o c a lq o s t h em o d e lc l a s s i f yt h ec o n n e c t i o n i n t on o n e l a s t i ct r a f f i cc o n n e c t i o n sa n de l a s t i ct r a f f i cc o n n e c t i o n s s u p p o s ew eh a v eg o tg u a r a n t e e dl e a s e db a n d w i d t hf r o mo u ri s p , t h e m o d e lu s e s m a n a g e m e n tm e t h o d sa n da d a p t i v eb a n d w i d t ha l l o c a t i o n a l g o r i t h mt oo p t i m i z et h eu s a g eo fl e a s e db a n d w i d t hw h i l ep r o v i d i n g l o c a lq o s t h i sm o d e lh a sb e e na p p l i e di nr e a lb r o a d b a n dn e t w o r k p r o j e c t w es u b m i tad r a f ts e c u r i t yr o u t e rm o d e la tt h el a s tc h a r tb a s e do n t h ek n o w l e d g eo fn e t w o r ks e c u r i t y t h em o d e ln e e d sf u r t h e rc o n s i d r a t i o n f o rt h ec o m p l e x i t yo fn e t w o r ks e c u r i t ya n di n s u f f i c i e n tu n d e r s t a n d i n go f t h er o l eo fs e c u r i t yr o u t e ri nt h ew h o l es e c u r i t ys y s t e m w es t a r tt h el m p ( l i n u xm o d i f i c a t i o np r o j e c t ) t oa d a p tt ot h e f u t u r er e q u i r e m e n t sf o rt h eo p e r a t i o ns y s t e mo fb r o a d b a n da c c e s sr o u t e r b a s e do nt h ee x a m i n a t i o no fl i n u xi pp a c k e tf o r w a r d i n gp r o c e d u r ei nt h e s e c o n dc h a r t ，w es t u d yt h ec o n c e p t i o no fn e t w o r kc o n n e c t i o na n do t h e r r e l a t e df e a t u r e s ，a ne n h a n c e m e n to fs t a n d a r dl i n u xc o n n e c t i o nt r a c k k e r n e lm o d u l ei sp r o v i d e da sar e s u l t w ea l s os p e e d u pt h ef o r w a r d i n g p r o c e d u r ea n di m p l e m e n tt h ei m p l i c i ta d m i n t i o nc o n t r o l m o d e lu s i n g t h ec o n n e c t i o nt r a c k i n gm o d u l e i nt h ef o u r t hc h a r tw ec o l l e c ts o m e 第2 页共2 贞 j 海交通人学硕士学位论文英文摘要 p a c k e tc l a s s i f i c a t i o na l g o r i t h m sa n df i n dt h a tt s s ( t u p l es p a c es e a r c h ) p e r f o r m sb e s tw h e ni m p l e m e n t e db ys o f t w a r ew h i l et a k i n gt h el e a s tc o s t w h e nu p d a t i n gr u l e sd y n a m i c a l l ya n df r e q u e n t l y w ea l s oi n s p e c tt h e d e s i g no fc o n n e c t i o n d i s t i n g u i s h i n ga n df i r e w a l t r u l es e t ss e a r c h i n g a l g o r i t h m i ns t a n d a r dl i n u xk e r n e l ，p o i n to u tt h e i r s h o r t c o m i n ga n d p r o v i d ean e wd e s i g nu s i n gt h ec o n c e p to f t u p l e k e y w o r d s ： r o u t e ro p e r a t i o ns y s t e m ，q o sp o l i c y ，i m p l i c i ta d m i n t i o nc o n t r o l ， f i r e w a l lr u l es e t ss e a r c h ，s e c u r i t y ，l i n u x 第3 页共3 页 上海交通大学 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容外， 本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式 标明。本人完全意识到本声明的法律结果由本人承担。 十旦 日愆；蚰巍咖 椭睁 庳 作 屹 姗娃 规 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅。本人授权上海交通大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或扫描等复制手段保存和汇编本学位论文。 、 保密囱，在之年解密后适用本授权书。 本学位论文属于 不保密口。 ( 请在以上方框内打“”) 学位论文作者签名：觯莺 日期：m 年) 月5 日 指导教师签名：聿易锄罕 日期刃挖年弓月名日 上海交通大学砚七学位论文 第一章l p 路由器的设计趋势 i p 路由器是因特网中一种至关重要的网络节点设备，随着用户的拉动和技术 的推动，口路由器的依然处在快速发展的时期。用户希望看到更高的带宽、更 强的可靠性、更低的价格、更大的灵活性同时又易于配黄管理的路由器出现。本 章通过分析路由器的发展趋势，试图去把握新一代宽带接入路由器的设计要求。 1 1 路由器的基本组成1 l 路由器是因特网的一种至关重要的网络节点设备，它工作于o s i 参考模型的 下三层：物理层、链路层和网络层。所有的路由器必须完成两个基本任务：路由 及包转发。路由的过程主要是收集网络拓扑信息并建立转发表。包转发则负责依 据转发表中所包含的信息将数据包从路由器的一个输入接口复制到适当的输出 接口。任何一个路由系统都需要四个基本组件( 如图1 1 所示) 以实现路由及包 转发的处理：路由模块，包处理模块，交换结构和线路接口卡。对于任何为工作 在i n t e r n e t 骨干网上而设计的系统，所有四个组件的性能必须要一样强大，因为 最终的性能取决于其中性能最差的一个。 路由模块作为系统的一部分，负责执行路由功能。它负责维护对等关系，运 行路由协议，建立路由表并建立转发 表，以供系统的包转发部分访问。模块 同时也为系统提供控制功能，包括：流 量工程，用户接口，策略及网络管理。 目前路由模块基本上是软件实现的，但 是已经有硬件可以完成大多数的路由 功能。 每个进入系统的数据包都需要进行 一系列与数据包长度无关的处理，这种 处理与路由器的结构无关。数掘包进入 系统时，第二层封装被拆除，然后进行 最长前缀匹配路由查询，接下来数据包 图1 - 1 路由系统中的基本组件 f i g u r e1 - 1b a s i cc o m p o n e n t si na r o u t i n gs y s t e m 被送往输出接口进行排队等待发送。如何实现最长前缀匹配查询及相关的高速数 掘包处理，是设计高性能路由器所面临的最艰巨的挑战。 交换结构提供数掘包在不同的链路接口卡之间的转发。它可以是共享总线或 复杂的交换网络等。它的性能对路由器的整体性能有很大的影响。 线路接口卡用于连接不同物理媒体类型的线路，提供诸如以太、a t m 、 第3 页共6 2 页 上海交通大学硕士学位论文 s o n e t 、d s 3 、帧中继之类的第一层及第二层有关技术。线路卡可依据那些规定 了物理接口类型、光特性、电平等技术指标的主流标准进行生产制造。更为复杂 的线路卡可能包括路由协处理模块，实现分却式的路由查找和包交换，提高系统 的性能。 随着因特网的发展，路由器面临着新的需求。首先，网络用户数和带宽密集 型应用急剧增长，整个因特网的业务量以指数级方式增加，直接导致了全球范围 的带宽资源紧缺。其次，网络多媒体应用的流量特征和带宽需求对网络提出了新 的要求，如端到端的服务质量的承诺。最后，因特网的商业化发展要求网络具有 更好的可监控性，网络安全问题也日益严重，对路由器的安全性提出了更高的要 求。顺应上述变化，新一代的因特网对路由器主要有五个方面的新需求： 支持大量数据的快速转发，一般必须支持g 级的链路； 保证端到端和多媒体业务的服务质量，转发引擎必须能以线速处理到达 输入端口的每一数据包； 能按数据包的不同要求决定数掘包的服务等级，因而必须支持先来先处 理( f c f s ) 等更复杂的队列管理机制，保证数据包所需的服务质量( q o s ) 不受其它数据流的影响； 既能保证高速度又不失灵活性，即将软件硬件化( 即用智能硬件实现传 统的软件功能) 和硬件软件化( 即可编程硬件) 的趋势结合起来； 有良好的可管理性，本身具有优秀的安全性，同时能做为整个网络的安 全协作点。 1 2 路由器三代体系结构【2 】【3 】 从体系结构来看，虽然不同厂商生产的路由器有不同的结构，但是总的发展 趋势是相同的。一般有三大趋势，第一是将更多的功能硬件化，使用大量a s i c 来改善系统性能而价格却降低；第二是采用并行操作方式来提高性能；第三是改 变传统的共享总线方式，比如采用交换结构或共享内存方式来提高性能。到目前 为止，路由器经历了三代体系结构的演变( 如图l - 2 到图1 5 所示) 。 早c p u 妄燕暝器i 仨：器 图i - 2 第一代路由器体系结构 f i g u r e1 - 2t h ef i r s tg e n e r a t i o nr o u t e ra r c h 图l 一3 基于多处理器的第二代体系 f i g u r e1 - 3s m pb a s e dr o u t e ra r c h i t e c t u r e 第4 页共6 2 页 上海交通人学硕 学位论文 第一代路由器基本上由四部分组成：输入输出端口、共享总线、通用处理器 和内存，如图1 2 所示。输入输出端口是物理链路的连接点，主要完成物理层和 链路层的功能。共享总线连接输入输出端口和通用处理器。通用处理器除了完成 路由协议、路由创建和路由查找之外，还完成分组的分析和转发。输入输出端口 从物理线路上接收到分组后，通过共享总线传送到内存，等待通用处理器的处理。 处理完的分组也是通过共享总线传送给输入输出端口发送。 图1 _ 4 第三代路由器体系结构 f i g u r e1 - 4p a r a l l e lp r o c e s s i n gr o u t e ra r c h 图1 5 路由交换机体系结构 f i g u r e1 - 5r o u t e r - s w i t c h i n ga r c h i t e c t u r e 这种体系结构的局限在于通用处理器是唯一具有计算能力的单元，必须处理 每个数据包：共享总线是处理器和端口的唯一通路，且每个数据包必须通过总线 两次。其次，绝大多数的处理是由软件来完成的。这些特征限制了系统的最终吞 吐量。同时，这种局限性的反面就是控制集中，因而设计简单、直观，如果软件 系统设计得当，添加新的控制功能比较容易。 第二代路由器体系结构针对第一代体系结构的瓶颈问题提出了采用多处理 器并行处理路由查找，如图1 3 所示。显然，有计算能力的单元增加了，但是每 个数掘包仍需通过总线两次，总线阻塞问题依然存在。此外，从软件的角度看， 软件系统结构没有本质变化，而如何调度c p u 是一个很重要问题。图1 4 显示 了进一步加强了并行能力的第二代体系结构。它为每个端口配置一个c p u ，该 c p u 专门用于路由查找，是数据包直接被转发到输出端口。这样每个数据包只 占用一次总线，使总线的利用率提高了一倍。主处理器则运行管理界面和路由协 议，维护端口c p u 上的路由表。这种结构存在两个缺陷，一是路由查找仍然由 软件实现，受c p u 速度限制，而且通用处理器的长处在于计算而非输入输出， 用a s i c 代替这种c p u 更有效；二是共享总线的限制依然存在。如果能允许多 个端口同时发送数据，系统的吞吐量将会大大增加。 第三代的路由交换机体系结构( 如图1 5 ) 使用交换网络和专用a s i c 芯片解 决了第二代体系结构中存在的两个缺陷。目前常用的交换网络一般以c r o s s b a r 和 共享内存实现。但是c r o s s b a r 的速度受到交叉点状态调度的限制，共享内存受到 总线仲裁机制和内存访问速度的限制，因而很难达到完全的无阻塞交换。最近研 第5 页共6 2 页 上海交通人学硕j 4 学位论文 共 早 内 存 图1 - 6 并行访问共享内存 f i g u r e1 - 6p a r a l l e la c c e s ss h a r e dm e m o r y 研究出“并行访问共享内存”的交换网络( 如图1 6 ) ，所有的端口共享同一 中央存储器，但是每个端口分配了一个专用的可同时写入和写入中央内存机构的 机制，这种机制无需要总线仲裁设备。并行访问共享内存能够保证在所有端口上 同时实现完全的无阻塞交换。每个端1 3 到中央内存的存取速度都可以达到 1 0 g b p s 以上，而整个中央内存可以容许超过3 0 路的同时访问，这样个系统的 背板容量可以扩展到3 0 0 g b p s 以上。同时，并行访问共享内存也没有引入交叉矩 阵背板所带来的队头阻塞等问题。在路由交换机中，端口处理物理层和链路层的 封装及拆包；转发及输出调度a s i c 完成输入数据包的路由查找及输出队列的管 理；通用处理器处理路由协议、维护路由表并负责将更新的路由表分发到各转发 及输出调度a s i c 。除了完成基本的路由功能，路由交换机一般还支持诸如r s v p 、 多优先级排队和i p 多址通信等功能。最新的核心路由交换机还支持m p l s ，以 便更好的解决q o s 问题。 1 3 未来路由器的设计【4 】 未来路由器的设计有两个大的变化。一是由于d w d m 及其相关技术的飞速 发展和商用化，光互联网已经成为未来因特网发展的一个重要趋势和方向。光互 联网的一个重要问题是如何解决i po v e rd w d m ，最为重要的设备便是可能需要 有路由功能的光交叉连接设备( o x c ) ，可以称为光交叉连接路由器。 另一个趋势是主动网络路由器。这种路由器需要提供可编程的能力，能够执 行分组里携带的代码，或者根据每个分组里提供的特殊信息对分组进行不同的路 由选择或转发处理。主动式路由器可以在现有路由器硬件结构的基础上添加数据 分组主动处理功能而构成。华盛顿大学的研究人员提出了一种高性能主动式路由 器体系结构( 见图1 。7 ) 。每个物理接口上包括一个端1 ：3 处理器( p c ) 和一个处理引 擎( p e ) 。p c 完成对分组的分类、缓存和调度，主要由一个分组分类和排队的处 理芯片来完成；p e 通过一个主动处理芯片( a r c ) 来完成对分组的个性化处理，主 第6 页共6 2 页 上海交通人学硕上学位论文 动处理芯片通常包括一个或者几个带动态随机存储器( d r a m ) 的处理器，处理器 之间、处理器与队列控制器之间、处理器与片外动态随机存储器之| 日j 通过主动处 理芯片上f o 通道进行通信。 尊 增强的路由功能，包括第三层或第四层路由和交换、q o s 路由、多播等 安全算法( 比如v p n 、防火墙等) 对现有协议的增强( 如随机早检测算法r e d ) 新的核心协议栈( 比如i p v 6 等) 但是这些新的服务集成在操作系统内核中，并不是以模块化的组件存在，整个内 核仍然是一个完整的映像，不允许动态的加载卸载新的功能模块。为了适应新 的需要，路由器的软件体系结构应当设计成开放式、通用的计算通信系统结构。 第7 页共6 2 页 上海交通火学硕士学位论文 已经开始一些工作来开发新的路由器软件体系结构。比如，m i t 的c l i c k m o d u l a r 项目实现了一个灵活的、可配置的路由器。这种新的软件体系结构由称 为“基元”( e t e m e m ) 的分组处理模块组装而成。单个的基元实现种简单的路 由器功能，比如分组分类、排队或调度，网络接口驱动等。c l i c k 提供一种简单 的语言编写路由器配置文件，指定哪些基元如何组装成所需的路由器。c l i c k 也 提供优秀的扩展机制，使用者可以用c + + 语言编写满足所需功能定制基元。 c i s e o 路由器l o s 经历了从一个统一的操作系统到目前高度模块化操作系统 的发展过程。l o s 早期版本是一个单独系统，基本上以路由器为中心，被排列成 一个过程( p r o c e d u r e ) 集，允许任何过程之间相互呼叫。这种单一的结构使数据 的隐蔽性和独立性不强，它的大多数操作代码拥有结构和数据的相关性。l o s r e l e a s e9 2 1 到1 1 2 着重将l o s 重新设计为模块化组件或子系统。每个子系统被 设计成一个层集( s e t o f l a y e r s ) ，同时提供一个进入系统代码的独立入口点。子 系统本身被定义为独立的模块，支持嵌入式系统的各种功能。分层化予系统设计 允许工程人员将l o s 划分成更可管理和更易于升级的特性集。此后的l o s 则倾 向于更易于移植到新的平台。c i s c o 认为i o s 最终的目标是静态的、更为高级的 模块化结构，允许单独定义l o s 特性而与其它特性( 子系统) 无关。c i s c o 可以 根掘客户的特定需求建立1 0 s 特性解决方案集。l o s 提供核心服务和网络服务。 核心服务可以视为通常意义上的操作系统，而网络服务则包括所有驻留在操作系 统之上的增值特性。 j u n i p e r 网络公司软件体系( j u n o s ) 的最基础的设计思路是将控制功能与包 转发功能分离，使路由器可以提供高性能和高可靠性的操作系统。j u n i p e r 路由 器的结构如图1 _ 8 所示。j u n o s 源于f r e e b s d 。f r e e b s d 是为在普通的i n t e l 处 理器上运行而特别设计的，它非常稳定，继承了许多成熟的网络功能，并且包含 一个非常优秀的代码库以支持内核、文件系统、用户计费和安全特性。j u n i p e r 加强并重写了部分f r e e b s d ，大部分网络代码被去除或以行业级的工具来代替， 以支持来自i n t e r a c t 的巨大压力。路由引擎管理系统的路由和控制功能，在一个 能够提供足够计算周期的通用处理器上运行基于f r e e b s d 的内核。路由协议、 接口管理、机箱管理、s n m p 管理、系统安全性和用户界面等都作为一个子系统 在操作系统内协调工作。系统内运行的独立进程都有自己的内存空间，这减少了 一些失控应用干扰其它应用或内核的机会。包转发引擎在硬件上运行，专门用于 包转发。j u n i p e r 自行设计的i n t e r a c t 处理器a s i c 是实现其m 4 0 系统先进性能的 核心，它提供每秒四千万条路由的最长匹配查询，而且支持m p l s 。 第8 页共6 2 页 上海交通人学硕十学位论文 1 4 宽带接入路由器 图1 - 8j u n o s 体系结构 f i g u r e1 8j u n o sa r c h i t e c t u r e 通过上面的分析，我们可以看到，尽管1 p 网在发展的同时吸收了很多电信 网的优点，其基本的思想却没有太大的变化，后面第三章对i p 网络q o s 要求的 分析，将会更清楚的看到，核心网络设备继续保持“简单、快速”的设计目标， 而把复杂性推向网络的边缘。边缘的复杂性主要体现在对流量的监控和确保网络 安全，这两个问题可以理解为广义的q o s 问题。q o s 问题源于有限的网络资源 和对现有i p 协议不合理的使用，所以q o s 应该是一个“策略”问题，而不应该 是一个“机制”问题。改变已经广泛使用的i p 协议，或者改变i p 的b e s t e f f o r t 的通信方式，不仅实施十分困难，而且也不见得能有多大的收益。关键的思想是 保持i p 的简洁性，同时更加合理、有效的使用i p 的简洁性所提供的“机制”。 策略和机制的分离将有助于实现统一的q o s ，达到整个i p 网络的性能优化。这 一切都有赖于先进的路由器软件体系。我们在宽带接入路由器的研发实践中探索 了这种策略和机制分离的实现技术。这种探索，主要体现在改造l i n u x 为路由器 操作系统的计划中。 1 4 1 硬件体系 我们的宽带接入路由器硬件体系属于第一代体系结构，可以是高性能工控p c 平台，也可以是高性能专用通信处理器( 如m p c 8 2 6 0 ) 。随着硬件技术水平的发 展，通用处理器的性能也越来越高。同时，内存和共享总线的带宽与二十年前相 比有极大的提高。目前的主流c p u 频率高达1 g h z ，计算能力大大提高。最新的 d d rs d r a m ( d u a ld a t er a t es d r s m ) ，其特点是在时钟触发沿的上、下沿都 能进行数据传输( s d r a m 仅能在上升沿传输数据) ，内存的传输速率提高一倍， 第9 页共6 2 页 上梅交通大学硕士学位论文 工作频率为1 3 3 m h z 的时候，内存带宽可达到2 1 g b ，访问时间少于1 0 n s 。高速 p c i 总线的带宽可以超过2 g b p s ，相当于背板总线可以达到2 g b p s ，完全可以满 足中、低端网络应用的要求。而且总线技术的发展，使得模块化、热插拔以及高 可靠性( h i 曲a v m l a b i l i t y ) 也可以在第一代路由器体系结构上实现。因此只要选 择合适的硬件，应用设计得当的软件，第一代路由器体系结构的整体性能也可以 达到5 0 0 k p p s 左右。m i t 的c l i c km o d u l a r 路由器计划实现了灵活的、可配詈的 软件路由器，使用普通的p i i i7 0 0 m h zp c 机可以达到每秒4 3 5 ，0 0 0 个6 4 字节分 组的转发性能，作为对比，华为q u i d w a y3 6 8 0 的转发性能在6 0 k p p s 左右， 而c i s c o3 6 6 0 的转发性能为1 0 0 1 2 0 k p p s 。上述转发性能指标的对比说明了一 个问题，高达5 0 0 k p p s 的性能在绝大多数中、低端网络应用中存在性能冗余， 也就是计算能力的冗余。假设开发更多先进的控制功能，即使造成8 0 的性能下 降，也可以实现1 0 0 k p p s 的转发能力，而这种先进的控制功能随着因特网的商 业化发展越来越重要。以| j 因为硬件能力受限而无法实现这些控制功能，那么， 现在完全可以做到。如果在同类华为、c i s e o 产品上配置较多的先进控制功能， 系统的性能将有很大的下降。 这种结构的缺陷主要是成本比较高，扩展能力差，可靠性没有保证。对于可 靠性问题，硬件方面可以选择性能优良的工控平台，软件方面应用高可靠性( h a ， h i g ha v a i l a b i l i t y ) 技术，目前l i n u x 的h a 技术较常见的v x w o r k s 更为出色。目 前i p 网络的层次化结构得到广泛的认同，即将i p 网络分为核心骨干网、二级骨 干网、边缘网络和接入网络。由于扩展性问题，我们把这种结构的路由器定位在 宽带接入层次。一个可能的应用如图1 - 9 所示。 圈1 - 9 宽带接入路由器的一个应用 f i g u r e1 - 9 a na p p l i c a t i o no f b r o a d b a n da c c e s sr o u t e r 1 4 2 软件体系 依托上述硬件体系，这种路由器的设计关键在于路由器操作系统。操作系统 应当为支持更多更先进的流量控制能力、更好的安全性能以及更加灵活的扩展机 第l o 页共6 2 页 j 一海交通人学硕七学位论文 制这个设计目的服务。对于全局的q o s 实现，我们认为单独依靠1 e t f 的集成业 务模型或者区分业务模型都无法最终解决问题( 见第三章) ，如果你相信光速经 济例对核心网络的变革意义，为什么要放弃因特网保持网络核心设计简洁的思 想? 如果所有的被管理的i p 网络都在接入路由器级别实现了网络的优化，实现 了局部的q o s ，而核心的发展又确保了接入网络的带宽需求，全局的q o s 就可 能真正实现。后面第三章的分析将表明，如果把i p 网络的q o s 要求看作是一种 “策略”而非“机制”，把策略和机制分开来实现，即使在多厂商形念下一个统 一的q o s 网络也会出现。 我们应用上面得出的分析结论，认为越靠近端用户，路由器的设计就越应当 从网络应用的角度而非分组交换的角度出发。我们提出改造l i n u x 为宽带接入路 由器操作系统的计划，把经过改造的l i n u x 作为宽带接入路由器的软件平台。 l i n u x 是刀礅源码的现代操作系统，其网络功能十分丰富。但是，目前l i n u x 的 发展前景主要是中高端服务器和嵌入式应用。作为路由器的操作系统，对嵌入性、 实时性并没有特殊要求，而对结构的灵活性和可扩展性、网络实现代码的可靠性 和整机的可靠性、先进网络功能的支持程度有很高的要求。j u n o s 源于f r e e b s d ， 但是它只做核心路由器，数据通道和控制通道分离，数掘通道由自行设计的a s i c 实现，这样天生的灵活性不够。所以j u n o s 也没有注重灵活性和可扩展性。 v x w o r k s 源于s y s t e m v 之前的u n i x 变种，由于源代码的购买极为昂贵，而且采 用单一映像设计，只支持实模式，所以也不适合作为新一代宽带接入路由器的操 作系统。而c i s c o 的i o s 最初是只追求分组的快速转发，最近也在吸取现代操作 系统的研究成果，以适应网络技术的发展对路由器操作系统的要求。 1 。5 本文主要内容和作者主要工作 本文的主要内容安排如下： 第二章在分析l i n u x 分组转发过程的基础上提出了连接的概念，研究了连接 的相关阀题，给出了l i n t e x 下连接的基本实现。 第三章总结了对p 网络q o s 要求的认识过程，认为q o s 主要应当是“策略” 而非“机制”问题，将“策略”和“机制”分离有利于实现统一的q o s ，达到整 个管理域内的网络优化。但是，全局q o s 的实现问题依然是个难题。针对宽带 接入路由器的局部q o s 改善，我们提出了隐式业务带宽接纳控制模型，该模型 的早期版本在实际应用中得到了检验。 第四章总结了分组分类的搜索算法，分析了标准l i n u x 内核连接的鉴别和防 火墙规则搜索算法的缺点，基于元组的概念给出了这两个问题的改进设计。 第五章分析了网络安全的基本问题，初步提出了安全路由器模型，由于网络 安全的复杂性，以及对安全路由器在整个安全系统中的地位认识不足，这个模型 第1 i 页共6 2 页 l 。海交通人学硕j 一学位论文 需要进一步的考虑。 本文作者试图解决“我们需要什么样的宽带接入路由器( 操作系统) ”的相 关问题，主要的工作是提出了隐式业务带宽接纳控制模型、总结了分组分类算法 并改进了标准l i n u x 内核连接的鉴别和防火墙规则搜索算法、总结了对网络安全 的认识并且给出了一个有待完善的安全路由器模型。这两个方面可以看作广义的 q o s 的不同方面。由于时间的关系，这些问题还有待继续深入。 第1 2 页共6 2 页 j ：海交通大学硕：卜学位论文 第二章i p 网络连接 本章认为精细控制的基础是网络连接，但是由于性能等原因，在高端路由器 上不采用连接为基础的分组处理模型。然而，在并发连接的数目不是很大，而对 网络控制要求较高的环境中，基于连接的处理更具有竞争力。 2 1l i n u x 分组转发m 我们知道i p 可以屏蔽不同的子网( 链路层) 协议，实现统一的网络层分组 交换。考虑这样一台路由器，它拥有一个以太网接口和一个a t mo c 3 接口，基 于主机结构( 第一代路由器体系结构，见第一章) ，使用安装了路由软件的l i n u x 系统作为路由器操作系统。我们分析传统路由器的基于分组的处理过程，指出基 于分组的处理模型并不符合网络的本质。 当以太接口从线路上接收到一个以太帧时，接口向系统发送接收中断，系统 转而调用驱动程序初始化时安装的中断处理例程，从接口上接收数据帧，存放到 系统缓存( 用s k _ b u f f 结构管理) 中，然后调用系统的分组接收接口n e t i fr x ，把 网络缓存包( s k b ) 挂接到系统唯一的接收队列上，这个队列按照f i f o 规则处理。 接口n e t i f r x 在中断上下文中执行，为了快速退出中断处理例程，它并不处理分 组，而是把分组挂到队列中，接着触发网络接收软件中断( n e tr xs o f t i r q ) 。 系统在适当的时候处理软件中断n e tr xa c t i o n 。有三个地方处理软件中断：在通 用中断处理例程d o _ _ i r o 退出之前；在内核线程k s o f t i r q d 被调度运行时；在时钟 中断处理结束之前。分组在系统中的生存周期如图2 1 所示。 第1 3 页麸6 2 页 上海交通大学碗十学位论文 软中断例程n e tr xa c t i o n 按照f c f s ( f i r s tc o m ef i r s ts e r v e ) 的规则调度分 组进行服务。i p 分组将被送到i p 层处理。对于要转发的分组，如果配置了输出 队列，分组将在输出接口处排队。这里可以应用缓存管理和队列管理技术获得更 好的网络公平性和服务质量保证。l i n u x 提供诸如c b q 、c s z 、t b f 、s f q 、r e d 、 g r e d 等多种队列管理策略。 如果处理基于单个的分组，每一个分组都要经历上述的生存期时间片。其中 时间片a 、f 是不可避免的。但是通过更好的设计可以使得大多数分组避免b 、 c 、d 、e 时间片，至少可以把这四个时间片压缩、整合成相对小得多的单个时 间片。其次，时间片d 反映了系统对i p 分组的网络层处理所花费的时间，这个 时间可以进一步细分成更小的时间片d 1 d 4 。考虑一个实际应用中的路由器配 黄( 假设应用了包过滤防火墙) ： d 1 ：分组健壮性检查；如版本、头部长度、分组长度、校验和是否符合要求； d 2 ：路由查找前的安全性检查；比如某些包过滤规则的应用； d 3 ：路由查找； d 4 ：转发过程的安全性检查； 时间片e 是成功转发之后在输出接口处的队列处理。本文将考虑队列管理问 题，因而单独列出。r f c l 8 1 2 规定了d 1 阶段需要完成的检查。这个过程任何分 组都必须完成。而d 2 d 4 则可以避免。很多的算法可以减少d 3 ，而且出现了 很多a s i c 来处理路由查找，使得d 3 的值变得很小。但是在中、低端领域，路 由查找依然是一个相对耗时的操作。d 2 和d 4 则依赖于过滤规则的多少。安全 性操作比路由查找更加耗时。所以现在也出现了不少可以完成基本的、甚至是高 级的内容匹配的a s i c 芯片。应用这些硬件可以解决性能问题，但是也带来了灵 活性差，不易扩展的缺陷。而因特网越来越趋