通信网络
作者Jordi Paillissé 是巴塞罗那神经网络中心的博士后研究员,就职于巴塞罗那理工大学(BarcelonaTech - the Polytechnic University of Catalonia),从事计算机网络和机器学习的交叉研究,主要研究方向是网络建模、未来互联网架构、软件定义网络和互联网区块链应用。本文旨在探讨当前互联网架构的变化和趋势,是其与Alberto Rodríguez-Natal、Fabio Maino 和 Albert Cabellos 共同撰写。
在过去的 15 年中,互联网架构一直在不断发展,尽管如此,TCP/IP 堆栈仍是用于描述互联网架构的主要方式。
本文提出了TCP/IP的两种典型变体:
1)以 L3 为中心,基于现代SDN(例如SD-WAN)的设计
2)以 L7 为中心,受零信任网络和Service Mesh的启发。
与经典TCP/IP模型相比,这两种模型更能代表目前的发展状况。但有一点必须说明,我们并没有展示新架构,只是在优化原有架构。 这两种模型的共同之处在于它们向堆栈引入了两个新层——安全层和扩展层。安全层通常由 IPsec 或 TLS 等标准定义,其主要目标是提供数据机密性、完整性和某种形式的身份验证。扩展层承载信息以提供附加功能:它不一定是标准化的,取决于每个供应商或应用程序的要求,例如现代 SD-WAN 中的策略标签,或用于识别零信任网络中设备类型的 HTTP 扩展。
互联网架构
下图展示了经典 TCP/IP 堆栈与以 L3 为中心和以 L7 为中心的比较。其中,物理层、L2 和路由层、HTTP 和应用层保持不变。
| 经典互联网堆栈图(左)、以 L3 为中心(中)和以 L7 为中心(右) 在以L3为中心的模型中,我们发现安全头(图中的L3安全)直接位于IP头之后,实现此报头的协议是IPsec或WireGuard VPN。紧接在这个报头之后的扩展报头(图中的 L3 扩展)提供了额外的功能,例如提供网络隔离的 VPN 标识符或SD-WAN中的组标签。接下来是由安全层封装的原始 IP 数据报(包含另一个 IP 报头)、传输协议报头和应用程序数据。 在以L7为中心的模型中,大多数新报头位于更高位置。安全报头(图中的传输安全)就在传输报头之后,通常采用 TLS 的形式。再往上是一个 HTTP 报头,然后是与扩展报头对应的几个 HTTP 扩展。值得注意的是,与安全报头不同,这个报头不一定是标准化的。它可以携带多种用途的信息,如身份、QoE、策略标签等。例如,Service Mesh就是利用这些扩展来根据 HTTP 流的 URL 执行高级流量管理。
案例研究
以下是SD-WAN 作为以 L3 为中心的堆栈以及Service Mesh作为以 L7 为中心的堆栈的例子。
SD-WAN
我们可以在SD-WAN的设计中发现安全和扩展头都遵循以L3为中心的堆栈。在这种情况下,安全头通常以隧道模式下的 IPsec 或等效的 L3 安全协议的形式出现。对于扩展头,系统通常会在安全头之后直接添加一个附加的头(图中的 L3 扩展)。这个报头可以用于不同目的,最常见的是隔离(如,出于安全原因创建隔离的 VPN)。其他用例还包括带宽聚合、冗余、多播等。一个典型的例子是 VXLAN ( RFC 7348 ) 或多协议标签交换 (MPLS) 标签。
Service Mesh
Service Mesh用于连接在大型数据中心的容器内运行的应用程序。它们的关键组件传统上是 Sidecar 代理,这是一种 HTTP 代理,可以拦截应用程序之间的所有通信、监控它们的状态并执行策略。这里安全头是 TLS 协议,因为所有连接都利用代理之间的 HTTP。其中一些使用双向 TLS 来验证连接的两端。 扩展头基于自定义 HTTP 扩展,允许在应用级实施复杂的流量管理,例如根据 URL 路由 HTTP 流、A/B 测试等。最后,请注意,尽管Service Mesh目前仅限于数据中心,但这可能会随着Envoy Mobile的出现而改变,因为它可以部署在终端主机中。
结 论
在这篇文章中,笔者主要提议在经典的 TCP/IP 堆栈中添加两个额外的头,以适应过去15年中互联网架构的演变,通过将这两个附加层添加到 TCP/IP 协议栈来呈现网络架构的形式化。 论文原文:
编辑:黄飞
全部0条评论
快来发表一下你的评论吧 !