企業網絡的未來:最好的路由,就是沒有路由

2015年07月18日

企業網絡的未來:最好的路由,就是沒有路由

  • 作者:Jean-Paul Smets
  • 星期三, 六月 3, 2015
  • 動態, 熱點, 趨勢
  • 無評論
 

       由思科,華為,Juniper等公司制造的路由器是企業網絡的基石,但同時也成為殘酷國際競爭環境中商業間諜最鐘愛的入侵通道。

回到15年前,據說當德國政府發現美國政府一直在通過美國生產的 路由器里安插的后門暗中監視他們在聯合國的外交代表團之后 [1],他們就資助了GPG 開源項目。 CISCO 路由器最有可能包含后門[2]。因為類似的原因,華為路由器在某些國家被嚴令禁止使用。 [3]. 并且阿爾卡特路由器看起來也沒有少嘗試安插后門 [4]。

        在路由入侵的謠言暴露15年后,愛德華斯諾登的報告給電信設備中存在的后門提供了證據。但是,企業,政府和軍方在非常敏感的架構上還是依賴于路由器,從而將他們自己暴露給了遠程入侵和貿易機密盜竊。 自由軟件路由器例如Linux路由項目 [5]是非常好的消除后門的解決方案,因為他們大部分的代碼都可以經過審查。但是由于PC架構的局限性和專用于高性能網卡的開源驅動器的空缺,或者是太難于找到了解Linux kernel網絡堆棧的開發人員, 他們在規;瓦m配載體級可信度上還是失敗了。Lost Oasis, 是一個獨立的法國電信公司[6],在2000年早期曾經是Linux路由器項目的主要用戶,可現在他們的支柱網絡卻依賴于專有路由器。

         但是,有一個還沒有被完全考慮到的可用于企業網絡的備選方案:網狀拓撲架構。

大多數的企業網絡都是集中式管理的。他們是基于所謂的階層式拓撲架構,即一個對于外界來說作為邊界網關的中央高性能路由器從負責一個區域,或組織里一個部門的小型路由器那里聚集網絡流量。這個中央路由必須提供非常高的路徑選擇性能,是只有非常專業的硬件可以達到的程度。

        但是如果我們看細節部分, 也許也只有訪問權限規則確實需要用到中央網絡架構。網絡路由通?梢阅脕砗徒煌ü芾硐啾容^。例如從上海到深圳的車是沒有必要通過北京的。對于網絡來說是一 樣的:從一個集團部門到另一個部門的分組是不需要通過位于總部的中央路由的。一個好的車輛導航技術 - 例如高德地圖 [7] 或谷歌地圖 [8] – 駕駛員甚至可以實時知道走哪條小路可以規避高速公路上的擁堵。對于網絡來說也是一樣的:先進的路由協議可以自動規避堵塞的路由器上的網絡延遲并及時找到一個更快的路徑。

        感謝一些先進的路由協議例如babel [9] 或 OLSR [10], 現在完全可以基于如上道路和車輛導航的比喻設計企業網絡。每條網絡電纜或無線網絡就像網絡數據包要通過的道路。每臺電腦和每個智能手機就像十字路口。每臺 電腦和每個智能手機都嵌入一個路由服務,就如同追蹤每條電纜或無線網絡的網絡流量速度的車輛導航系統。從公司一個地方傳輸到另一個地方的數據包于是就可以 即時找到并使用最高效的路徑。如果一個網絡電纜要求訪問一個總是擁堵的服務器,添加第二條電纜就可能解決擁堵,就像添加第二條通道可以解決去著名展覽中心 的擁堵情況。通過實時建議數據包使用最少擁堵的路徑,流量自動在兩條電纜上分開 - 對于一個服務器來說 - 或在兩條道路上 - 對于一個展覽中心來說。

        剛剛描述的就叫做網狀網絡。它同樣也聞名于其最具有復原特性的網絡形式,因為它還可以在部分破損的情況下運行,而在階層式企業網絡中是不可能做 到的。網狀網絡主要被軍方用來在戰場上快速部署一個無線網絡。每個士兵的電腦都可作為相鄰軍人的路由器。 軍人的傷亡不會影響到整個網絡的使用。

       但是網狀網絡也可以在數據中心中或在大面積的有線網絡中有許多民用應用。

讓我們想象一個有160個服務器的數據中心。讓我們將這160個服務器分成32組,每組5個服務器。這5個服務器里的每個服務器都通過它的首個 網絡接口連接到一個無需配置的網絡交換機。5個服務器里的每個服務器的第二個網絡接口于是連接到其他5個組里面的一個服務器上。連接到每個服務器第二個接 口的網絡電纜一起形成了一個“超立方體”, 一種類似立方體(見下面圖解)的五維度空間幾何學結構。 一共320根電纜被用來相互連接160個服務器,形成了有巨大潛能的帶寬和高恢復性:每個服務器都可以通過5個不同的出口路徑訪問另外一個組別的服務器。 路由協議 - 例如babel - 實時找到這5個可能的出口路徑中用來訪問另一個服務器的最好的一條。

hypercube topology

圖解 - 一個用于數據中心管理的超立方體網狀網絡 (貢獻: Wendelin項目)

       現在讓我們來想象一個有1000名電腦和智能手機用戶,以及30臺分布于20個不同國家的服務器的企業。這個企業使用了多種網絡技術的組合:光 纖, 3G, 4G, DSL, Wifi等。 這種情況下,我們可以使用一種叫做“隨機網狀“的結構。每個電腦,智能手機或服務器都隨機創建10個鏈接連接到世界上其它的電腦,智能手機或服務器上。每 個連接使用某種例如GRE的網絡封裝。鏈接在這里就和之前數據中心例子中電纜的用途一樣。路由協議 - 例如babel - 實時通過合并鏈接找到兩個設備之間最快的路徑。通過1000個左右的設備和每個設備10個鏈接, 這條路徑通常不需要超過3段連續的鏈接。

      由我公司發起的 re6st 開源項目就是實施這種基于babel“隨機網狀”方法的一個例子。它從2013年開始被用來解決經常發生在歐洲和日本大型企業的跨國在線商務應用部署中的 故障問題 。路由在網絡交叉點的配置通常包含錯誤,這些錯誤可能引起非常高的網絡延遲(如從香港到香港用時800毫秒)或者造成連接丟失(如從都柏林通過阿姆斯特丹 壞掉的路由到巴黎)。使用re6st可以幫助降低網絡延遲(如從香港經過新加坡到香港用時100ms)或通過發現備選路徑恢復連接(如從都柏林經過馬賽到 達巴黎)。所以它更好的提供了跨國公司商務應用的在線訪問,而無需依賴多余的專有線路。

     中國的網游行業可以作為另一個使用網狀網絡的應用。通過在所有的游戲服務器之間創建一個完整的網狀連接并用re6st部署babel, 它可以規避中國南北之間,城市之間或電信公司之間的擁堵路徑。Babel協議已經于2014年延伸至在低網絡延遲的基礎上優化路徑,而這正是網游玩家所期 待的。

      網狀網絡還有許多其他的應用: 汽車行業的車載信息服務 [11, 12, 13], 分布式網狀云 [14], 物聯網,智慧城市,海軍控制系統等。但是人們還是要注意網狀網絡的一個方面:安全。因為在任何分布式系統中, 系統的一個部分受到入侵,就有擴增到整個系統的風險。由于系統是分布式的,比起中央系統來說有更多的進入點。分布式網絡架構的批評者通常指出這個風險來堅 持保守的方法,但是也忽略了階層網絡中一個地方的故障就可以瞬間毀掉整個網絡的危險性。

        babel協議提供了加強安全性的首個解決方案:認證證書。感謝 俄羅斯Yandex工程師的成就, babel網絡中所有的節點都互相認證:這減少了接收入侵者的風險 [15]。re6st提 供了另一個解決方案: 鏈接認證 [16]. 沒有持有經過驗證證書的入侵者不能夠在re6st網絡中創建一個連接到其他節點的鏈接。re6st 還可以撤回系統受損節點的證書。對于大型企業或分布式云經營者來說,一個結合了中央防火墻政策定義和數據包過濾規則分布式實施的混合方法也許可以提供這兩 個世界里的最好解決辦法。

          我希望這篇文章可以提升你們的好奇心并引導你們研究更多,和有26年歷史的大多數企業都在使用的OSPF(RFC 1131發布于1989年10月)相比有巨大進步的網絡協議。還有許多和babel類似的協議值得考慮:AODV [17], batman [18], OLSR, RPL [19], etc. “Fair routing”, 一個從偏離網絡流量中阻止有惡意的入侵者的算法[20], 也可以解決在建設一個完全安全的網絡時未解決的問題。RINA [21], 一個由John Day 和 Louis Pouzin(激發了互聯網的兩位開拓者)支持的全新網絡協議, 介紹了一個創新的方法,整合所有比IPv6更好的網絡協議?偟膩碚f,網絡創新還是非常有生機的,并且在更高效地設計企業網絡的運用上是非常有潛力的,只 要有人去嘗試擺脫傳統硬件路由供應商的局限性。(編譯/YanNi)

原文鏈接:The Routerless Enterprise

來源:煙臺三和網絡系統有限公司
煙臺三和網絡系統有限公司
王鋼
經營模式 :
經銷批發
所在地區 :
山東省 煙臺市 芝罘區 芝罘屯路12號科技市場115室

地址:山東煙臺科技市場115室

Tel:(86) 0535-6655824

Fax:(86)0535-6666862

http://www.bnbqz.com