摘要
本文记录了各个行业建立具有确定性的特征流的多跳路径特性。
"确定性网络使用案例"[RFC8578]说明,除了工业自动化和控制系统 (IACS, Industrial Automation and Control Systems) 这一经典案例外,事实上还有多个行业对延迟保证和超低丢包的确定性网络服务有着强烈且相对相似的需求。
对确定性更强的网络需求的普遍化导致IEEE 802.1音视频桥接 (AVB,Audio Video Bridging) 任务组变成了时间敏感网络 (TSN) [IEEE-802.1TSNTG] 任务组 (TG),其成员也从工业和车辆市场大大扩展。
随着这种扩展,本文所考虑的网络也变得越来越大,结构也越来越复杂,需要在局域网边界之外进行确定性转发。 例如,IACS按照普渡企业参考架构 (PERA,Purdue Enterprise Reference Architecture) [ISA95] 的大体思路隔离网络,通常为普渡二层控制系统使用确定性局域网,而电力自动化等公共基础设施则需要广域确定性特性。实施者已经意识到,IT和操作技术 (OT,Operation Technology) 网络的融合需要3层和2层的能力。
虽然最初的用户群几乎完全集中在以太网物理介质和几个标准开发组织 (SDO) 基于以太网的桥接协议上,但如上所述,对3层的需求绝不能仅限于以太网和类似以太网的介质。 虽然任何有用的确定性网络(DetNet)架构都必须包含此类媒介,但IETF与其他SDO之间的合作绝不能仅限于IEEE或IEEE 802组织。 此外,虽然其他SDO(特别是IEEE 802)已完成和正在进行的工作为DetNet架构提供了一个明显的起点,但我们绝不能认为这些其他SDO的工作限制了DetNet架构的发展空间。
确定性网络的特性将对使用路由网络支持这些应用提出具体要求,因此必须提出一种新的模式,将这种确定性纳入IT技术的实施中。 建议的模式应能实现由中央控制器协调的完全调度运行,也可支持更分布式地运行(可能具有更少能力)。 无论如何,该模式不应损害网络的能力,使其无法继续承载目前已在承载的各类流量以及新的、更具确定性的流量。 注:"确定性网络架构"[DetNet-Arch]是DetNet工作组为描述该模型而编写的。
在撰写本文时,预计:
o 一旦抽象模型达成一致,IETF将指定 (1) 用于建立路径的信令元素(signaling element)和 (2) 用于标识沿该路径转发的流的标记元素(tagging elements)
o IETF将根据相关的IETF技术,指定必要的协议或协议补充,以实施选定的模型
这项工作的一个理想结果是,能够在IP或MPLS网络上为具有给定时间和精确吞吐量要求的特定数据流建立多跳路径,并以低延迟和超低抖动、重排序和/或复制、消除非一致路径上的数据包以提高传输率和/或零拥塞丢包等特性沿多跳路径传输该特定数据流,而与网络中的其他数据流数量无关。
根据网络能力和当前状态,终端节点或网络管理实体提出的建立路径请求可能会被批准或拒绝,现有路径可能会被移动或移除,超过合约的DetNet流量可能会面临数据包declassification和丢弃。
在过去的30-40年间,互联网并不是唯一一个得到飞速发展的数字网络。 视频和音频娱乐以及机械、制造过程和车辆的控制系统也无处不在,现在几乎完全基于数字技术。 在过去的10年中,这些领域的工程师逐渐认识到,将所有这些不同的数字技术建立在分组网络上,可以在成本和加速发展能力方面获得显著优势。
确定性网络的目标是:(1) 使目前使用专用现场总线(special-purpose field bus)技术(高清多媒体接口HDMI、控制器局域网 (CAN 总线)、PROFIBUS [PROFIBUS] 等......甚至 RS-232)的具有关键定时(timing)和可靠性问题的应用迁移到分组技术,特别是IP;(2) 在同一物理网络上支持这些新应用和现有的分组网络应用。 换句话说,确定性网络向后兼容(能够传输)统计多路复用流量,同时保留公认的确定性流量的特性。
[RFC8578]指出,多个领域的应用程序需要部分或全部功能,其中包括:
1. 所有主机和网络节点(路由器和/或网桥)的时间同步,精度在10纳秒到10微秒之间,具体取决于应用。
2. 支持确定性数据包流:
* 可以是单播或组播。
* 需要绝对保证网络端到端的最小和最大延迟;有时还需要严格的抖动。
* 需要超出特定介质传统范围的丢包率,在以太网中为10^-9到10^-12或更高,在无线传感器网状网络中为10^-5左右。
* 总共能占用网络可用带宽的一半以上(也就是说,大规模超额配置massive over-provisioning被排除在外)。
* 不能受到节流(throttling)、拥塞反馈或任何其他网络施加的传输延迟的影响,尽管数据流可以通过 (1) 固定、重复的传输时间表或 (2) 最大带宽和数据包大小 进行有意义的表征(characterized)。
3. 在网络数据平面的每一跳,采用多种方法对关键数据包的传输进行调度、整形、限制和其他控制。
4. 在数据平面和控制平面对行为不端的主机、路由器或网桥进行强大的防御,无论网络压力如何,都保证在其保证资源范围内的关键流不会受到其他流的影响。有关针对DetNet的具体威胁的更多信息,请参阅"确定性网络(DetNet)安全注意事项"[DetNet-Security]。
5. 在网桥和路由器中预留资源以承载这些流量的一种或多种方法。
时间同步技术无需IETF工作组解决;有许多标准可用于此目的,包括IEEE1588 [IEEE-1588]、IEEE 802.1AS [IEEE-8021AS]等。
之所以存在与组播、延迟、丢包率和避免节流相关的需求,是因为应用所采用的算法有此要求。 这些需求不仅仅是将现场总线需求转换为基于数据包的现场总线模拟;它们还反映了物理系统控制的基本数学原理。
在网络中转发对延迟和丢包敏感的数据包时,不同关键流之间的相互作用会给传输时间表带来基本的不确定性。 每个网桥或路由器为控制给定端口上的输出顺序而采用的队列、整形和调度算法的细节会影响输出流的具体构成,例如给定流量的数据包与其他流量的数据包混合的程度。
这反过来又会对缓冲区需求产生很大影响,从而影响路径上的下一个网桥或路由器可提供的延迟保证。 因此,IEEE 802.1 TSN TG定义了一套新的队列、整形和调度算法,使每个网桥或路由器都能计算出为每个流量或每类流量分配的缓冲区的确切数量。
网络协议通常需要健壮。 需要注意的是,健壮在实时控制网络中发挥着特别重要的作用,因为在实时控制网络中,昂贵的设备甚至生命都可能因设备故障而丧失。
在数据包传输前预留资源是网络应用行为中无法避免的一个根本性转变。 首先,网络不可能为任意高的负载提供有限的延迟和几乎为零的丢包率。其次,要实现无节流(尽管带宽受限)流量的零丢包,意味着网桥和路由器必须为特定流量或流量类别分配缓冲资源。每个预留的要求必须转化为控制每个主机、网桥和路由器的队列、整形和调度功能的参数,并传递给主机、网桥和路由器。
在某些使用案例中,运行应用程序的终端参与了确定性网络操作,例如,通过控制其吞吐量的某些方面,如速率或精确的发送时间。 在这种情况下,确定性路径是从应用主机到应用主机的端到端路径。
另一方面,路径的确定性部分可能是入口点和出口路由器之间的隧道。 无论如何,中间的路由器和交换机不需要知道路径是端到端还是隧道。
虽然DetNet的目标显然不是在全球互联网上建立确定性路径,但对于可以建立确定性路径的域的限制仍不明确。 这些限制可能取决于用于建立路径的技术,是集中式还是分布式。
确定性转发只能适用于具有明确定义的周期性和突发性等特征的流量。 在建立为其提供服务的路径之前,必须明确这些特性的表达方式,以及网络如何为其提供服务(例如,在整形和转发操作中)。
集中式路由模型,如PCE(见 [RFC4655])提供的路由模型,可以实现全局和每个流量的优化。 这种模型很有吸引力,但仍有许多问题有待解决,特别是
o 路径计算是否以及如何由
* 终端设备或
* 网络管理实体
以及路径是如何建立的--可以是
* 通过转发设备和PCE之间的直接交互,在每一跳安装状态,或者
* 按照经典的流量工程(TE)模型,在路径的一端注入源路由请求,从而沿着路径运行
为实现集中模型,DetNet应提供高级交互和数据模型的描述,以便
o 向中央控制器报告拓扑结构和设备能力
o 在中央PCE和受其控制的每台设备之间建立直接接口,以实现垂直信号传输
o 通过服务接口为具有特定特征的新流量请求路径设置,并在其生命周期内对其进行控制
o 支持路径的生命周期管理(实例化/修改/更新/删除)
o 支持适应性,以应对链路丢失等各种事件
o 向终端设备(用户网络接口 (UNI))显示路径的状态
o 通过冗余提供额外的可靠性,特别是通过数据包复制、消除和排序功能(PREOF),在这种情况下,冗余路径传输的数据包可能不按顺序排列,而PREOF可能需要纠正顺序
o 在带内显示流和数据包序列号。这对于需要PREOF以隔离重复数据包并在序列端点重新排列数据包的数据流来说是必需的。
还可以研究没有PCE的分布式替代方案是否有价值。 例如,这种替代方案可以建立在资源预订协议--TE(RSVP-TE)流 [RFC3209] 的基础上。但工作重点应首先放在提供集中式方法上。
要实现与 RSVP-TE 类似的功能,需要采取以下步骤:
1. 发现并公开邻居及其能力,以计算符合DetNet约束条件(通常是延迟、时间精度和资源可用性)的路径。
2. 使用改进版的CSPF计算受限路径,该路径可感知到DetNet。
3. 可以使用RSVP-TE等控制协议安装路径,并进行扩展,以实现流量识别和安装新的每跳行为(如数据包复制、消除和排序),并为流量预留物理资源。 在这种情况下,流量可通过MPLS-TE隧道传输,在每一跳使用为流量预留的资源。
在某些情况下,为了达到足够高的传输率以满足应用需求,需要在不同路径上复制和消除数据包。 在这种情况下,需要少量数据包格式和支持协议(最好每种格式只有一个协议),以便在网络中的一个点对DetNet流的数据包进行序列化,在网络中的一个或多个点复制这些数据包,并在网络中的一个或多个其他点(可能包括目的主机)丢弃重复数据包。 使用现有的解决方案比发明一个新的解决方案更可取。
确定性网络的安全性还增加了一个维度:数据包的传送时间可能与数据包本身的内容同样重要。 例如,中间人攻击可以对链路施加并系统调整额外的延迟,从而破坏或颠覆实时应用,而无需破解任何加密方法。请参阅 [RFC7384],从相关角度探讨这一问题。
目前,典型的控制网络依靠完全的物理隔离来防止网络资源被恶意访问。 DetNet可在融合的IT/OT基础设施上实现这些网络的虚拟化。 这样一来,DetNet在共享以太网中继和无线电频谱等物理资源的同时,也带来了流量相互影响和干扰的额外风险。我们的要求是,确定性流不可能发生数据泄露。 更笼统地说,就是外部不可能对确定性流产生任何影响。 我们的期望是,物理资源在特定时间点与特定流量有效关联。 在这种模式下,物理资源的时间共享对单个流来说是透明的,因为这些流对其他流是否在其他时间使用这些资源一无所知。
确定性系统的整体安全性必须包括:
o 信号协议的保护
o 控制节点的认证和授权,包括即插即用的参与终端系统
o 流量的识别和整形
o 隔离数据流,使其免受任何共享物理资源活动的泄漏和其他影响。
DetNet 所面临的具体威胁将在 [DetNet-Security] 中进一步讨论。
无