互聯網的設計理念與網絡5.0技術

蔣林濤，聶秀英，張杰

（中國信息通信研究院，北京 100191）

1 引言

互聯網促進了社會的數字化和信息化，在國計民生中起到越來越重要的作用。網絡空間主權已經是國家主權的重要組成部分，受到各國政府的高度關注，政府采取各種技術設施實現對網絡空間主權的管理。為了滿足業務發展的需要，50年來IP網技術補丁不斷，但設計理念和核心技術不變，已經呈現出越來越“力不從心”的態勢。

2 互聯網的發展

互聯網由業務網和承載網組成，如圖1所示。

圖1 互聯網的組成

業務網是互聯網發展最活躍的部分，50年來其變化從來沒有停止過，它產生了無數種業務和應用，是互聯網發展的主動力。它的網絡部分，即IP網，核心技術已經50年不變，在技術高速發展的時代，互聯網要發展、要進步、要不斷滿足社會發展的需要，是歷史的必然。互聯網如何發展，目前這種依賴在網絡技術上不斷打補丁的辦法，越來越不能滿足發展需要，成為網絡發展的瓶頸；互聯網要發展，必須要有設計理念和核心技術上的突破。

目前的互聯網是以應用為中心設計的。互聯網的網絡部分（即IP網）只是提供簡單但擴展性好、連接能力強、能“盡力而為”的信息傳輸能力的網絡。在互聯網中，IP網處于從屬的地位。在傳統互聯網中應用可以完全不理會網絡（端到端連接和信息傳輸的基本能力還是需要的）進行獨立設計和獨立運行（即OTT（over the top）模式），甚至網絡的某些能力缺陷也可由端側解決（如用TCP來改進網絡傳輸能力不足的問題）。互聯網業務獨立和靈活的發展能力，極大地繁榮了互聯網。但是，以應用為中心的互聯網設計理念存在嚴重隱患，隨著互聯網應用范圍的急劇擴大，生活、社會、生產、制造等領域無所不包，互聯網的國家安全和網絡主權已經到不能不考慮的時刻了。以應用為中心的互聯網設計使得互聯網沒有邊界，這個問題以前是不考慮的，甚至是作為一個優點被提出來的，現在則要考慮了。互聯網由承載網和業務網組成，傳統互聯網設計理念是：以應用為中心，業務和應用以OTT形態設計和運行，甚至端到端的安全和加密也以OTT形態設計和運行的。所謂OTT形態即直接跨過IP網，端到端直接工作，在整個業務網運行過程中，IP網是完全不知情的，只是盡力而為地執行連接和傳輸。由于業務和應用的網站和終端是無邊界的，并且業務和應用是以OTT方式運行，就整體而言，互聯網沒有邊界，也無法設置邊界。互聯網的重要性日益增強，網絡空間的管理問題也變得日益重要。由于互聯網的承載網（IP網）是有邊界的，“以網絡為中心”可以使得網絡空間主權“抓手”得到解決。由“以應用為中心”的互聯網改變為“以網絡為中心”的互聯網，是互聯網設計理念和核心技術的突破。

目前互聯網的業務網工作模式是OTT模式。OTT模式除了使網絡空間無邊界外，還使得互聯網的業務網和承載網徹底解耦，以致于有“服務質量”要求的業務難以提供，網絡輕載被認為是可行的方法，但目前ICT已經是能源消費大戶，網絡輕載不是長遠之策，由于已經有大量互聯網業務存在，這種模式將會繼承和保留，便于過渡和演進。今后互聯網的業務網應該是非OTT模式，在這種模式下，業務網與數據網仍是解耦的，業務網的設計開發自由度和靈活性與OTT模式相同，增加的業務網和數據網接口，便于業務網設計開發可以充分利用數據網的能力，從而大大降低業務網開發的復雜度、提高業務應用的用戶體驗。

互聯網的承載網由傳送網和數據網組成。傳送網解決點到點的通信問題，是數據網網元間連接的基礎，傳送網和互聯網業務網沒有直接接口。與互聯網的業務網有直接關系的是數據網，目前的數據網是IP網，IP網存在的問題業界已經公認，由于沒有好的解決辦法，目前以不斷打補丁的形式延續它的使用壽命。IP網的核心技術，由于商業、利益問題以及沒有找到突破口而不能做出改變。IP網在數據網的分代中是第4代數據網（前3代數據網分別為頻分復用數據網、時分復用數據網和面向連接的分組數據網），第5代數據網也就是網絡5.0，是在IP網的基礎上繼承和發展形成的。網絡5.0的內生能力可以通過管理接口（南北向，API形態）或控制信令（東西向，隨路信令形態）向應用層提供（開放）能力或反饋響應信息。這些內生能力是：網絡主導下的內生可信和安全能力、網絡資源的內生感知和管控能力、網絡內生的確定性（包括網絡性能的確定性、路由確定性、時延確定性和用戶體驗確定性等）、廣義可擴展性、泛在移動性和高速、大帶寬能力等。

由于設計理念發生重大改變，網絡從“盡力而為，諸事不管”到“以網絡為中心”，網絡技術發生重大改變是必然的。對于應用和業務，從原理上講，已有的業務和應用可以不作改動正常使用，但是這些業務和應用無法用到網絡5.0提供的能力，因此，業務和應用改動是必要的。好在目前業務和應用的改動已非難事，通過App或相關軟件的升級即可實現。IPv6的升級改造提供了一個極好的范例。

3 網絡5.0的設計理念

網絡5.0的設計理念是由互聯網“以應用為中心”向互聯網“以網絡為中心”發展。具體為以下3個方面。

? 網絡5.0設計理念保持互聯網的可擴展性。互聯網要保持強大的可擴展性，網絡（數據網）可連接的用戶數至少是目前互聯網的2～3個數量級。這個設計理念主要來自繼承。實際上目前互聯網最大的特點是擴展性極好，它主要有三大特點：以自治域為核心的分散型網絡結構，自治域相互獨立，自治域的擴展不受限制也互不影響；采用不面向連接的分組數據網技術，無全局狀態，無全局集中管理點；全網采用同一技術（同一種協議體系），相同的體系結構和相同的數據報結構，全網的端設備之間可以實現互聯互通。

? 網絡5.0設計保持業務網與承載網解耦，但增加資源關聯和控制適配。業務網和數據網要做到既解耦，又有必要的接口，這是傳統互聯網所不具備的，但對今后發展的業務網是不可缺失的能力。業務網和承載網（數據網）主體是解耦的，但不能太徹底，業務網不能完全是OTT形態，以致有“服務質量”要求和對承載網由性能和能力支持要求的業務無法提供，或只能簡單要求網絡以輕載來保證“服務質量”。有的互聯網業務網對網絡能力是有要求的，特別是對網絡資源、網絡性能的確定性可以有直接的要求，以此提高業務網的質量和應用服務范圍。

? 傳統互聯網設計是網絡（IP網）能力缺位和業務網能力越位，設計者期望由業務網能力越位部分來彌補承載網（IP網）的缺位部分，由此來維持信息系統的正常運行。但是IP網能力缺位，實際無法由業務網能力的越位來彌補。一個典型的例子是網絡（IP網）在資源能力缺位，通過業務網能力越位（調整TCP窗口）來彌補，實踐表明僅在早期可行。網絡（IP網）在可信、安全能力上缺位問題就更大。

網絡5.0的設計是網絡能力和業務網能力都不缺位也不越位，各自把自己的事情做好。因此網絡5.0的設計原則是繼承和保留IP網的優點，補足IP網能力缺位的部分，改變數據網技術50年不變的窘境，使數據網技術取得本質上的進步。

4 網絡5.0的關鍵技術

4.1 網絡的可信安全

互聯網的安全分為兩大部分，一部分是網絡安全，另一部分為信息安全，本文討論的是網絡安全。網絡安全又包括兩部分，一部分是用戶信息在通過網絡時，網絡能夠保證用戶信息的完整性，其中包括用戶可溯源、信息不可截獲、篡改，保證用戶信息除網絡的自然損傷（誤碼等）外，不能做任何改動；另一部分是，網絡中的網元不受攻擊，特別是網絡中的重要網元（包括業務網的管理和控制面的重要網元）不受攻擊，對DDoS具有抗攻擊能力。

網絡5.0可信安全的設計脈絡是，以可信（信用）為基礎，在可信環境的基礎上，解決網絡安全。網絡5.0有經營主體的數據網部分（網絡的核心和主體部分）是可信的，內設可信錨點，全網以可信錨點為核心建立全網設備間的可信關系。網絡中運行的網元、設備、終端等均為網絡可信設備。具體做法是，在網元、設備、終端中設可信標識載體，用網絡的可信錨點來分配可信標識，并寫入可信標識載體。設備或終端入網，需由可信錨點來驗證可信標識，若通過即為網絡可信設備，以此建立以網絡為中心的可信體系。為了滿足網絡的可擴展性，可信體系為分散架構，分散自治構成可信自治域。不同的可信自治域間的可信關系由域間信用交互體系來完成，可以集中式、分布式或采用無中心的信用交互體系。在網絡信任體系建立后，再實現網絡安全。信任域內的網絡安全分3個步驟。

? 網絡可信區的建立，有經營主體的數據網部分（網絡的核心和主體部分）是網絡的可信區，即封閉區，封閉區是用戶不可直達的區域，用戶無法了解，也無法直接攻擊。可信區中的管理面、控制面用戶不可達，數據面用戶數據可以穿越，無法落地。

? 網絡可信區的邊緣有可信邊緣設備，可信邊緣設備是建立在可信網元技術的基礎上的，經論證的可信用戶可以與可信設備連接，并在網絡可信錨點主導下，建立安全連接，安全強度可分類、分級，從而可在網絡可信錨點的主導下，實現業務網設備、終端等相互間的安全連接。建立基于可信的網絡安全體系，在數據網上實現。

? 網絡可信區為封閉區，封閉區是用戶不可直達的，用戶無法直接攻擊可信區內的網元設備，業務網設備、終端等相互間的安全連接保證了用戶信息傳輸的安全，也保證了用戶設備、終端被控，造成數據會聚。從而保證不能構成DDoS攻擊流，在很大程度上保證核心網元設備的安全。由于網絡邊緣設備是用戶可直達的，這是用戶可攻擊的設備，由于接入用戶是可信用戶，攻擊是便于溯源的，由于終端和接入邊緣設備是建立安全連接的，用戶信息的完整性是可以保證的，所有很難形成聚集類攻擊，加上接入邊緣設備是按可信設備來設計的，這樣的網絡安全性是可以得到保證的。

4.2 網絡的確定性

傳統互聯網的設計者由于沒有想到互聯網能發展到如此規模，也沒有想到互聯網在信息社會的作用如此巨大。傳統互聯網是沒有確定性的設計的。確定性是一個網絡極為重要的特性，是網絡可規劃、可適配、可管控和可綠色發展的基礎，是能夠滿足用戶體驗的技術基礎。隨著互聯網的發展從生活走向生產、走向社會的方方面面，確定性越來越重要。確定性的涉及面非常廣，目前大部分研究集中在時間的確定性上，其實時間確定性是確定性問題中的一項，而且實際上是比較好解決的。在數據網中確定性有：時間的確定性（包括時延的確定性和時延抖動的確定性）、路徑的確定性、網絡資源的確定性、網絡性能的確定性、網絡用戶體驗的確定性等。本文只討論時間的確定性、路徑的確定性和資源的確定性。

時間確定性分為時延的確定性和時延抖動的確定性。發包到收包之間的時間差為時延，對于時延的確定性通常用最大時延來定義，在現有的網絡中，這個指標是很重要的，特別是對實時業務，如視頻播放業務、電話業務、游戲、實時交易等，它們對最大時延是敏感的，業務能否開展有明確且具體的指標。時延抖動是在相同路徑下，不同數據包間到達的時延差。由于討論時間確定性的文章很多，這里不再贅述，唯一需要提及的是在大網環境下的時間確定性和在小網環境下的時間確定性技術差距太大，在小網環境下可用的技術，在大網往往不能用。網絡5.0是研究大網技術的，它的連接數是目前互聯網的2～3個數量級，所以時間確定性要分級、分類來討論，采用的技術路線也會是多樣的。

路徑（由）的確定性在需要資源保證的業務和應用中永遠是重要的。互聯網在這方面也作了很大的努力，這些工作都是在IP網上進行的。最早是RSVP，這是建立在軟連接基礎上的路由確定性技術，通過定時維護路由節點中的狀態，保持軟連接及該連接所需的資源，由于其過于繁雜、可擴展性太差而沒有被使用。其次是MPLS，在一個不面向連接的IP網中，建立面向連接的隧道，面向連接一定存在N平方問題，其擴展性必然成問題，因此MPLS只能是局部技術，不可能成為大網的確定性路由技術。目前熱門的是分段路由（segment routing，SR）技術，其要解決的問題也是確定性路由問題，SR技術比MPLS技術好一些，它是建立在不面向連接的網絡基礎之上的，技術思路非常簡單，在數據包的報頭中，將沿途要經過的網絡節點地址全數列出，但它有著非常嚴重的缺點。由于要知道沿途的全部節點的具體地址，必須要有一個能夠了解網絡全部細節的設備，目前一般這個設備是SDN控制器。SDN控制器的管理范圍是SR技術的可達范圍，所以只能是一種局部技術，不能用于全局。合理的解決辦法是網絡內生的確定性路由。

資源的確定性與業務分類有相關性，網絡傳輸資源可以分為4種類別：第一類是資源完全保證類（類似ATM中的CBR類），這類業務的資源是完全保證的，不用的資源是閑置的，他人不能使用；第二類是部分資源保證類，它主要依據標記，作標記部分網絡資源是確保的，不作標記的部分信息所需的網絡資源是不確保的，網絡資源充足即傳，反之這部分信息就被丟棄（類似ATM中的ABR類）；第三類是可變速率類，這是針對實時業務的，一般來說實時業務是連續和穩態的，盡管速率可變，一段時間的平均數碼率是穩定的，只要保證平均數碼率是確定的，即可保證業務的良好用戶體驗，當然會引入適度的時延（類似ATM中的VBR類），音視頻業務是合適的；第四類是提供“盡力而為”傳輸能力的業務，突發性很強、無法預測的數據類業務對時延不太敏感，可以使用這一類業務的傳輸能力（類似ATM中的BEF類）。業務分類，不同業務可以獲得它所需要的網絡傳輸資源，有效地提高網絡的傳輸效率，最大限度滿足用戶對網絡傳輸資源確定性的要求。

4.3 網絡資源感知、管理和控制

網絡內生的資源感知和管控涉及3個方面的問題。其一是網絡資源，主要是節點傳輸資源和能力的感知，網絡資源感知（本文主要談的是資源供給方的感知）是后隨網絡資源管控的基礎，網絡資源不能準確地感知是無法實現對網絡資源的管控的。由于要對全網所有節點的全部資源實現完整的感知，且要實時和精準，其難度是很大的。對目前的實現能力而言，對于單一節點內資源感知是不困難的，大部分網絡節點均有這個能力。但是要對全網所有節點的全部資源實現完整的感知較為困難。首先是全網資源感知的方式，是分散式、分布式還是集中式。因為要實時和精準的資源感知，集中式顯然是不行的，全網節點到集中資源感知節點的通信量不可估量（與采樣密度有關）；分布式同樣也不行，原因和集中式相同，全網節點到分布式資源感知節點的通信量同樣不可估量（與采樣密度有關）；要實時和精準的資源感知只能采用分散式架構，即節點“各自為政”，資源分散感知。可知網絡資源的全程感知是一個極為困難的問題，需要分散式、分布式和集中式協同配合使用，需要極為巧妙的設計才有可能得到解決，當然也僅可能是一個次優解。

資源管理一般包括兩個方面的問題，一個是配置管理，即根據實際需求來配置合適的資源，以求獲得資源的良好效益比；另一個是性能管理，了解已配置的網絡資源可獲得的性能，這將與用戶體驗有直接的關聯）。由于網絡的資源感知是一個極其困難的事，需要分散式、分布式和集中式協同配合使用才有可能完成。對管理而言，由于網絡規模過大，集中式顯然不行，集中設備無論能力多強，都無法實現，如果采樣過多、過密，網絡也承受不了。分布式實際上是集中式的一種變態，集中式存在的問題它都有，因此也不可用。可用的是分散自治、集中互通的模型，從技術上可以實現，并具有很好的可擴展性。網絡的資源管理是通過管理面，由網管來實現。對于所有網絡，管理面都是內生的，網絡資源管理都是網絡的內生技術。

網絡資源的可控制是真正的目的。無論是網絡資源感知，還是網絡資源的管理，其真正的目的是期望網絡能夠根據用戶的要求提供資源。要使用戶獲得所需要的資源，網絡又無須用輕載的方式，以提供過渡的資源來保證，這需要通過網絡資源控制實現。從網絡資源的角度來看，有網絡資源的供給方和網絡資源使用方兩個方面，兩者以某種形態匹配，網絡資源消耗和用戶體驗將會是最佳的。對于面向連接的網絡，無論是基于TDM技術，還是基于分組技術，都可以做到這一點。只要在建立連接的過程中將所需資源協商好，并在通信的全程保持資源的供給，通信完成網絡資源收回，這是一個簡單、有效和完美的過程。但是只能用于面向連接的工作方式，它的致命缺點是存在N平方問題，網絡的可擴展性太差，對一個像互聯網要求的數據網這樣的大網，面向連接的工作方式局部可以、全局無用。網絡要有強的可擴展性，必須采用不面向連接的工作方式，不面向連接不是不連接，而是用戶之間通信不需要事先建立連接，用戶在線即存在連接，隨時可以通信，用戶間通信無須建立連接，也無須為連接保持各種狀態。理論上講，采用不面向連接的網絡，可擴展性是無限的，IP網的成功也證明了這一點。采用不面向連接的網絡可擴展性極好，又為連接無須保留任何狀態，進一步提升了網絡的可擴展性。但是確定性資源控制極難，IP網至今還是一個“盡力而為”提供傳輸能力的網絡。信息技術的日益發展，“盡力而為”提供傳輸能力的網絡已經越來越不能滿足需要，致命的問題是效率低、能耗高、非綠色而且無法保證用戶所需的確定性。目前的難題是，要在采用不面向連接工作方式的網絡上，實現確定性資源的供給，實在是一件困難的事情。這就是網絡5.0面臨的問題，僅憑管理面是難以實現的，必須結合控制面才能實現。提到控制面目前是有誤區的，經常可以看到“數據面和控制面分離”，特別是SDN技術盛行后，這種現象就更明顯了。其實，目前的IP網，控制面的主要任務，一個是鄰居發現和動態路由，一個探測網絡性能和能力的隨路信令（如ping）等，SDN控制器將鄰居發現和動態路由接管過去，傳統IP網的網絡節點（路由器）路由是通過控制面的信息交換由各節點獨立自主生成路由轉發表；在SDN環境下，節點路由生成的功能被SDN的控制器接管，SDN控制器在它管轄的范圍內，計算并生成路由和所管轄節點的全部路由轉發表，以配置的方式下發到相應節點，特別要注意的是，網絡路由的生成已經從控制面轉移到管理面去實現了。SDN控制器雖然叫“控制器”，但實際地位是完成管理面網管的部分功能——配置管理功能。共路信令可以分離（IP網中基本不用），隨路信令的控制面是無法和數據轉發面分離的。前文已經提到，控制面、管理面和數據面是從邏輯意義上來定義的，與其實際上所在的物理設備沒有必然關系，3個平面可以在同一個物理設備中，也可以是分離的，但數據面和控制面分離實際上是很難的，只有以共路信令為其唯一控制信令時分離可以實現，如果還有隨路信令存在，則無法分離。很遺憾的是，對通信資源的控制，隨路信令將會大量存在。所以，在網絡總體設計時，控制、數據分離是一種誤導。

5 結束語

互聯網促進了社會的數字化和信息化，在國計民生中起著越來越大的作用，但互聯網所存在的問題也日益顯現，已經不是簡單地打補丁就能解決的。到目前為止，互聯網的三大設計思想是無法顛覆的：以自治域為核心的分散型網絡結構，自治域相互獨立；采用不面向連接的分組數據網技術，無全局狀態，無全局集中管理點；全網采用同一技術（同一種協議體系），相同的體系結構和相同的數據報結構，全網的端設備之間可以實現互聯互通。但是，由“以應用為核心”的互聯網轉向“以網絡為中心”的互聯網，將是互聯網的發展方向。