今天,以“新技术•新架构•新网络”为主题的“GNTC全球网络技术大会”遍邀全球顶尖技术专家,增设多场峰会与热点Workshop,将在3天的会议里分享最纯粹的技术趋势,全方位呈现产业和技术最新发展情况,为各方代表提供一个沟通交流的平台,促进合作共赢,推动网络重构发展进程。
下一代互联网国家工程中心前瞻实验室主任,宋林健在GNTC2017首日下午的主会上带来了题为“面向IPv6时代的互联网基础设施”的演讲,并介绍了“Yeti雪人计划”。他表示,互联网将进入以IPv6为标志的互联网新时代,IPv4的实验网将全面转向IPv6商用网络。据他介绍,IPv6存在过渡缓慢的问题,主要因为依赖IPv4存在很多隐患,新时代的互联网基础设施需要考虑IPv6-only能力,安全隐私保护,和碎片化环境下的协作互通能力。5、6年以来,宋林健所在的实验室都在探索和研究根服务器的引入问题,一是根据现有根服务器的技术和运营体系进行研究,还有根服务器的扩展研究等。雪人计划于2015年发布,得到了很多追求创新的专家的支持。最后,宋林健向与会嘉宾自豪的介绍了实验室的IPv6根服务器的部署实例,展示了实验室的IPv6根服务器的运营能力。
下一代互联网国家工程中心前瞻实验室主任 宋林健
以下为演讲原文整理:
大家下午好,今天我演讲的题目是“面向IPv6时代的互联网基础设施——Yeti雪人计划”。我分三个部分介绍一下我们的工作,第一点是关于互联网基础设施的背景介绍,什么是根服务器,它现在的状况;第二和第三点是围绕我们工程中心在下一代互联网的关键基础设施的工作和实际的应用和部署。
上午吴建平院士介绍了互联网核心技术在于互联网的中间层IP和DNS。我们能感受到上一层五彩缤纷的应用,以及各种各样的网络设备,网络盒子,手持设备等,然而中间这一层是真正让互联网运转起来的基础设施和关键资源,像血液、神经网络一样,虽然我们平时感受不到。互联网上下两层的技术不断有变化和更新,但是中间这一层DNS和IP一直没有太大的变化,相对稳定。现在我们大会的主题其中有一个IPv6,包括前几天发布的IPv6行动计划,里面说我们要越入IPv6的新时代,要全面去提升流量,增长用户。我今天讲的雪人计划是互联网基础设施另外一个重要一环是DNS,尤其是最顶层的基础设施的内容,它也是一个相对于稳定、固定的基础设施,维持的互联网的运转。
“稳定”好的一方面是能够支持上层下层高速的演进和迭代,另一方面由于它本身在设计之初带来的缺陷,比如它天然的开放性,和协议固化,让一些新的创新和新的想法很难在现网上做实验、做更新、做创新。
V4V6过渡大家都知道,在DNS领域方面也是这样。最开始的互联网在最开始设计的时候并没有考虑关于隐私、安全的方面,现在域名劫持和污染大量的存在。我将要说的根服务器还是延续着几十年的结构,仍然是以现有的根服务器运营者提供服务,但它现在没有考虑到现在越来越互联网渗透到千家万户,包括国计民生的行业,对外部设施的依赖,包括上面的一些风险却没有能够及时地更新。包括原地址伪造造成的攻击,都是基础设施相对稳定的负面的一面,我们看到基础设施稳定固化好的一面,也要看到不好的一面。
图中是美国一家根服务器遭受攻击导致的大面积断网的公司,其他还有最近一次Google的BGP泄漏导致日本的网络瘫痪,这个都是在我们日常生活中能听到的新闻。中间基础设施层要去做修改很难,是有挑战的事情。我们工程中心的一个重要研究方向,是下一代互联网基础设施的体系结构,主要关注三个方面,一个是IPv6的全站化以及纯V6的支持能力上,第二个是更安全、更注重隐私的网络基础设施,第三个是碎片化环境下的协作与互通,我主要讲第一个和第三个。
我们可以看到,全球IPv6流量五年内增长了20倍,总体很乐观,包括运营商、互联网、提供商都支持IPv6,流量有明显的增长。我们预期转折点后,它的IPv6就能够超越现在IPv4协议,这是我们理想中的情况,现在全球20%,可能再一个时间点超过50%,预计在接下来的两到三年能够发生。然而我想提出,如果我们不重视IPv6的唯一能力,我们没有在IPv4的情况下也能让IPv6运行下来的能力,可能这个差距会一直保持,可能增长20%、30%就会缓慢下来。
现在互联网技术有很多网络优化,或者一些虚拟网络的用户,可以分散对地址的依赖,这确实是在没有地址冲突的环境下,通过别的技术,绕过这个技术,它这个技术仍然在往前走,IPv6如果没有马上赶上,IPv6相关的应用没有赶上,DNS也是一个很重要的基础设施,如果没有跟上纯IPv6,或者有纯IPv6能力的速度,它会被V4拉开一个差距,甚至差距会越来越大,这是IPv6升级行动的隐患,我们不希望看到这样。所以我们一方面希望将现有的V4网络双栈化,让它有IPv6的能力,同时我们也要看到纯IPv6环境下全栈支持IPv6能力也是很重要的。
第三点是最近的一些热点,关于互联网治理的问题,我简单介绍一下。David Clark在SIGCOMM 2002年的一篇文章里面说在未来网络空间将出现扭打和争斗的现象(Tussle in the cyperspace),预测到将来不同的利益相关方或者不同的组织加入进来,这样的网络不再是一个实验网,有利益一致的网络。可能大家利益不同、诉求不同,甚至会相冲突。我讲这个主要是说,如果当互联网预计到有不同的诉求区域和实体存在,他们有可能把互联网围成一个一个有墙的花园。我们可以看到,现在的互联网中就有很多的技术在做隔离、过滤,和网络治理的工作。互联网发展到一定阶段,这方面的工作会一定会赶上来,甚至是提升到越来越重要的程度。
在这样的背景下,我们所瞄准的互联网基础设施是根域名服务器。
DNS的名字空间虽然是一个非中心化的名字结构,但是名字空间的解析系统有一个入口,它来连起来所有的域名系统。DNSSEC让更多的验证功能和重要性放在了根服务器之上。这样一个有中心结构的网络结构和治理结构必然会带来一些争议和争夺。
我们回顾一下,大家可能会知道互联网有13和根服务器,由9个美国的公司和机构来运营,在欧洲和日本也有这样的运营者,这样的结构维持到今天。由于历史和一些当时技术的原因,一直延续之今没有改变。我们认为互联网发展到今天,它已经不再是一个简单的通信网络,它是我们的生活空间,每一层都需要风险控制和管理,网络风险控制越来越多的受到了关注,所以我们认为根服务器包括整套DNS体系,它是互联网的控制中枢,是它的重要基础设施和战略资源,需要我们重视起来。
现有的根服务器依靠Anycast 任播技术来扩展根镜像,如今已经扩展到700多个镜像。用户可以访问最近的镜像,这个来解决性能和冗余方面的考虑。根服务器组织的网站上显示的是引进了5个镜像,我自己在实验室测量,发现有几个镜像不太工作,他们在国内性能并不是很好。镜像的好处可以分担流量,抵御一些攻击,不好的地方是一旦一个镜像被攻击它就会死掉,它的作用是把相应的攻击流量圈在这个范围内,不让它出去。如果镜像分布少,很有可能被攻瘫痪,会影响当地网络的稳定和运营。
还一个问题,是不是布置镜像越多越好?不是的。镜像在我国并没有管理权限,属于外部基础设施。我们国内颁布了网络安全法以后,在跨境数据安全提到很高的重视程度。我们也看到技术社群很早提出了DNS根服务器的隐私问题,所有的根区查询会携带完整的数据。比如你访问一个腾讯的完整域名,它会把信息发给根服务器,信息泄漏出去就会有人做统计分析。网络安全法强调了公共设施需要有安全和相应的制度保护。虽然根服务器可能离我们的生活比较远,但是它在基础设施所存在的安全隐患值得我们关注和重视。总的一个思路,我们要从风险管控的角度,去更多的重视互联网基础设施每一层、每一块的运营和管理,我们希望的是能够在现有的根服务器或者以现有的协议基础上能够平滑扩展这个系统。
最近的中办、央办联合印发的推荐互联网第六版IPv6规模部署行动计划里,特别地提到了这一点。其中第三部分说加快应用基础设施改造,优化流动调度能力里,要求开展面向IPv6的新型根服务器域名创新和实验,同时也提到IPv6根服务器的实验、示范很重要,鼓励去支持开展新型根服务器域名体系结构以及相应的技术创新,建设有一定规模的实验验证网络设施,开展应用示范。当这个计划出来以后,我们有一些朋友脑袋里打一个问号,不太了解这段话什么意思,借这个机会跟大家交流,所涉及的范围是我刚才说的这一块。
我介绍一下我们中心在这一块五六年的工作,2012年我们接受相关的单位委托,来开始做这个探索和研究,怎么去增加引入根服务器的问题,我们对现有的根服务器的技术和运营体系进行深入研究,在2014年自由,对各种根服务器扩展的方案和想法都提出了,我们当时把纯IPv6环境下根的运营和测试测量放到了技术报告里,我们同时在接下来的几年内一直沿着这个方向做相应的实验床的搭建和试运营的建设。
我们在梳理一下根服务器里现状到底是什么问题,现在的根服务器运营,它是来执行IANA的功能,互联网的一个记录相应的标识数字和数字资源的功能,就像一个记录本一样。在我们参与这个工作的时候,有三个主要问题,首先根服务器需要美国商务部的NTIA参与其中的审核,其次VeriSign公司单方面的做签名和根区管理,再次现在根服务器只有13个,分布不均,全球的网络都要依赖这些公司和机构,来支持他的网络和运营,这都是问题。其中第一个问题在IANA过渡之后一定程度上解答了,后面关于根区生成、根区分发分的问题并没有解决。当时在ICANN内部也有很多想法,包括分享根区控制的想法,以及增加一组或者多组根服务器做更多的创新和实验,当时为了对标当根服务器系统的问题,看我们能不能做的更好。通过这些年的工作,我们提出了一个空间多种寻址方式,建构一个新型的体系。这个体系基本想法是,在尊重一个名字空间不变的情况下,我们还可以做一定的前置审查和校验工作,如果有任何的风险我们可以第一时间发现。由我们项目发起的三方做名字空间的生成,用各自的密钥签名,再往外分发,分发到IPv6的根服务器上。从技术来说它不是问题,它是基于现有的DNS协议,现有的开源软件,加上我们针对IPv6根服务器的定制开发工作。该系统保证了与现有13和个根服务器互联互通,同时并行运营,还能够支撑更多运营者接入和服务,同时充分考虑到自主可控的关键技术、关键基础设施的重要性。IPv6根服务器技术架构里设计了根区生成、根区分发、根区传输,包括递归解析方面,以及在纯IPv6环境下特别设计。
IPv6根服务器根区生成方面引入了多方签名认证机制,同时IPv6根服务器能够不仅仅只支持IPv6用户,而且能够服务还没有升级到IPv6的环境下的V4用户。考虑到IPv6环境下的大包分片问题,尤其是在密钥轮转期间导致的大包问题,我们在DNS应用层上进行扩展,能够在DNS层来分片,够躲过一些中间防火墙或者安全设备对它的拦截。在防止DNS污染,IPv6根服务器采用DNS over HTTPS的技术来透传。
基于上面所说的技术的架构和创新想法,工程中心联合美国和日本的三家机构在2015年正式发布雪人计划。当时的想法是我们先搭建这样一个实验床,去验证上面介绍的核心技术,看它是不是具备规模扩展特性,是否满足根服务器的多方协调和合作。发布之后,有越来越支持者参与,包括俄罗斯、印度、德国、法国等国家的机构。他们一方面是IPv6积极的推动者,另一方面也期望根服务器系统能够有一些改变和创新。现在的根服务器体系不能说不能用了,但是它确实在从网络主权,或者从网络治理权上有缺陷。
Yeti雪人计划发布以后,客观来说有一些争议,有联盟有盟友说好的,也有一些说我们在搞事情。但我们听到这些声音后更加坚定了这条道路的走向,建设自主可控的基础设施,带动后来加入互联网的国家,一同纳入这样一个体系,公开透明的去做一些技术的创新,依靠技术推动和系统的扩展能够服务更多的国家和地区。
现在全球已经有25个根服务器,按照每个大洲均匀分布的想法,也有按照申请者的次序。我们发现除了国内参与方有这样的意愿,欧洲也有很多这样的国家,他们在互联网治理、互联网的隐私保护方面,也有同样的意愿去做一些改变和创新。值得欣慰的是,当时我们做这样的工作得到了现有根运营者、C根运营着、M根运营者、K根的运营者,他们对我们的工作有大力的支持,不光参与了我们的项目,还给了很多技术帮助。我们在系统上搭建了具有实际运营能力的监控,包括运营的能力,我们能够及时地去对故障进行排查,能够对相应的数据进行分析,能够7*24小对它进行维护。
截止到今年8月份,我们有一个统计,我们发现我们的根服务器的流量在两年中增长了20倍,截至8月全球IPv6根服务器,访问我们根服务器的用户每日能达到1.2亿次,在国内来,我们与已经具备IPv6网络能力的网络运营者合作,主要的还是一些高校。一方面帮它去升级网络的DNS服务器,让他们支持双栈,同时他们V6 DNS指向IPv6根服务器。昨天工程中心发布了IPv6的公共DNS的服务240c::6666。我们有一个设想,在DNS的层面,我们能够完全做到纯v6的能力,能够让下面的用户用v6来访问DNS的数据库,这数据库里还有v4和v6的地址,网络层面直接通过V6访问到底层。
在国外方面,我们通过这个项目联合了16个国家和地区的合作单位,开始了IPv6根服务器的全球试运营,在国内方面工程中心结合IPv6根服务器,与中国教育科研网、中国电信、中国联通等单位,建立深入合作的关系,当时我们说所说的高校,还进一步想进入商业的网络,接下来几年将是IPv6商业网络的部署和推广,商业网络的要求会更苛刻,提出的网络要求,他们有计费和流量管理,我们在运营商层面也做了很多这样的试点和开启这样合作的工作,希望根随着IPv6行动计划,我们的IPv6根服务器流量包括用户能够超过IPv4的用户流量。
总结来说,互联网将进入以IPv6为标志的互联网新时代,IPv4的实验网将全面转向IPv6商用网络,我们考虑到新时代的互联网基础设施,需要考利纯IPv6能力,安全隐私的保护和碎片化环境下协作互通的能力。互联网根服务器是互联网重要的基础设施资源,雪人计划构建了全球的IPv6根服务器网络,展示了新型的IPv6根服务器的扩展能力,我们从实验室环境到线网试点和大量的用户验证,已经充分具备了IPv6根服务器的应用能力,希望相关行业和运营者和我们可以进行一些合作、测量,试点应用,一起推动这个工作的持续往前。
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。