李星-华南地区年会-20160527-v2.pdf

下一代互联网，新的十年 清华大学 李星 2016-05-27 历史 • • • • • 1969ARPANET (47) 1986NSFNET (30) 1995互联网商业化 (21) 2011IPv4地址耗尽 (5) 2013斯诺登事件 (3) 2 IPv4地址耗尽时间表 地址分配第三阶段： 地址交易： 一次性1024个IPv4地址 每个地址$12 3 中国互联网普及率 4 NAT44 vs. IPv6 • NAT44优点： – 可以减少IP地址的消耗， 并带来一定的安全性。 • NAT44缺点： – 单向性，破坏了IP的端到 端模式。 – 降低了网络性能，增加了 网络的时延，在网络很大 的时候，会成为通信的瓶 颈。 – 一旦NAT网关遭受攻击， 整个网络就会瘫痪，增加 了安全风险。 – 两个使用NAT的内部网络 合并时需要重新编址。 – 当一个网络中存在多个 NAT设备时，这些设备的 同步和协调变得非常困难。 • IPv6增大的地址空间 – 128 位 – (2128 = 40,282,366,920,938,463,463,374,607,431 ,768,211,456) – 每人可分配到 5.67*1028 =56,713亿亿亿个 固定IP(全球以60亿人计) – 每人每秒可分配到1.80*1019=1,798亿亿个 固定IP(假設每人活100岁) – 以地球表面积 511,263,971,197,900平方 米來算，每平方米有 665,570,793,348,866,943,898,599 個地址 可用 – 足以分配給地球上每一粒沙子一个固定IP 5 2025预测 6 Top challenges we face Globalization Distributed Science Education Costs Lifelong Learning Changing Competitive Landscape Risk Management 7 国家重大发展战略 网络空间发展战略 批准CNGI 示范工程 2003 《关于下一代互联 网“十二五”发展 的建设意见》 国务院部署推 进信息化和信 息安全工作 “宽带中国” 战略 《关于加快培育和发展战 略性新兴产业的决定》 2006 “建设创新型国家” 战略决策 1994年，互联网进入中国 创新驱动发展战略 2010 中央成立网络 安全与信息化 领导小组 2012 2013 2014 实施创新驱动发 展战略 国家颁布《国家重大科 技基础设施建设中长期 发展规划》 2015 “互联网+” 计划 8 国家重大战略需求：互联网+计划 …… 金融互联网 能源互联网 工业互联网 云计算 物联网 智慧城市 互联网+ ？ 三网融合 大数据 互联网/下一代互联网/未来互联网/未来网络 9 地址需求 • 互联网普及率 – CNNIC ： 50% – 发达国家：80% • 移动互联网 – 3G/4G/5G – WLAN – 微信（信令爆炸） • 云计算 – 不能用私有地址 • 物联网 – 100亿电灯泡 10 2016年初全球IPv6部署情况 11 12 起个大早，赶个晚集 厚积薄发 13 分析和思考 中国 美国 体系结构 私有地址，围墙花园 公有地址，端对端 安全支撑 中心式架构，GFW管 理控制 分布式架构，端对端管 理控制 技术文化 管理为主，稳定第一， 面向商业，创新需求主 传统运营商主导 导，工程师驱动 战略规划 赶时髦躁动：IPv6, SDN竞争 分层结构：IPv6，SDN 互补 利益链条 短期效益KPI，ICP和 ISP互相推诿 长期目标和信念，ICP 和ISP自身驱动 竞争舞台 本国经济 国际化 14 • 开放的协议（Open protocol） • 开放的实现（Open implementation） • 开放的系统（Open system） Great people Open Process Open Internet 15 ISP: Comcast 16 ICP: Google 17 3G/4G: Andriod/iOS 464XLAT NAT64 RFC6146 RFC6145 RFC6145 RFC6052 RFC6145 RFC6146 RFC6147 RFC6052 RFC6145 RFC6052 RFC6145 RFC6146 RFC6147 18 IDC: Facebook 19 NG: Terastream No MPLS，IPv6-only 20 CERNET/CERNET2 • • • • 纯IPv6主干网 源地址认证 过渡技术演进 执着的精神 21 CNGI-CERNET2总体技术路线 • 一个核心 – IPv6为技术核心的自主创新 • 八个坚持 – 坚持建设纯IPv6网络的基本原则 – 坚持国产设备为主,多个厂商设备混合组网的部 署方针 – 坚持复杂试验和简单运行协调发展的设计理念 – 坚持先进性与实用性相统一的实施步骤 – 坚持以满足用户需求为出发点 – 坚持为新技术研究试验提供支持的发展方向 – 坚持走国际化道路，积极参与国际标准的制定 – 坚持以人为本、培养人才的根本任务 22 CNGI-CERNET2具体技术措施 • 协议选择 – 纯IPv6 • 设备选择 – 每个节点混合厂 家 • 复杂度 • 安全 – 源地址认证 • 过渡 – 隧道 4over6 – 无状态翻译 IVI – 多自治域 • 激励机制 – 高性能、免费 23 IPv6流量统计 24 IPv6校园网（清华大学） IPv4：7.9Gbps IPv6：6.8Gbps 25 IPv6 技术创新-源地址认证（1） 26 IPv6 技术创新-源地址认证（2） 27 IPv6 技术创新-过渡（1） 28 IPv6 技术创新-过渡（2） 29 IPv6 技术创新-过渡（3） 30 IPv6 技术创新 CNGI-6IX 网络管理 安全监控 漫游管理 CNGI-CERNET2 主干网 CerID SAVI 100个校园网 安全 监测 网络 测量 校园网IPv6网络支撑平台 计费 网关 200万用户 组播 网关 网 络 管 理 过渡 网关 用 户 管 理 安 全 服 务 真实源地址验证管理 IPv6校园网 纯IPv6子网 4over6 ID IP MAC Port Time 接入交换机 IPv6用户上网行为 31 IVI/MAP CERNET IPv6资源 常用网站 六维空间：http://bt.neu6.edu.cn 乐乎BT：http://bt.shu6.edu.cn 六维空间：http://www.edubt.cn IPv6中国 http://www.ipv6.net.cn 上交IPv6网站搜索 http://search6.sjtu.edu.cn/search Pv6 PT下载： IPv6 BTPT介绍页：http://www.ipv6bbs.com/bt.php 东北大学 六维空间：http://bt.neu6.edu.cn 北京邮电大学 北邮人BT：http://bt.byr.edu.cn 北京交通大学 晨光BT：http://ipv6.cgbt.cn 上海大学 乐乎BT：http://bt.shu6.edu.cn 华中科技大学 HUDBT：http://www.kmgtp.org 华南农业大学 红满堂PT站： http://tracker.ipv6.scau.edu.cn 上海交通大学 葡萄PT：http://pt.sjtu.edu.cn 北京航空航天大学 未来花园BT： http://bt.buaa6.edu.cn 北京科技大学 六维空间：http://www.edubt.cn 北京科技大学 贴心吧BT：http://bt.tiexinba.com IPv6 FTP： 上海交通大学 渔网搜索：http://ftpun6.sjtu.edu.cn GooBye IPv6 FTP搜索：http://www.goobye.net SwiftIPV6 FTP的搜索引擎：http://www.swift6.com Pv6电视墙： IPv6之家 - IPv6电视墙：http://www.ipv6bbs.com/wall.php 清华大学：http://iptv.tsinghua.edu.cn 北京邮电大学：http://iptv.bupt.edu.cn 北京交通大学：http://media6.njtu.edu.cn/video.html 上海交通大学：http://video6.sjtu.edu.cn 西南交通大学：http://ipv6.swjtu.edu.cn 西安交通大学：http://202.200.142.245 中国科技大学：http://tv6.ustc.edu.cn 华南农业大学：http://ipv6.scau.edu.cn/wltp 大连理工大学：http://ipv6.dlut.edu.cn/video6.htm 北京大学：http://ipv6.pku.edu.cn 兰州大学：http://tv.lzu.edu.cn 中国传媒大学：http://ipv6.cuc.edu.cn/tv/tv.htm 32 过渡技术 • 双栈 – 在过去15年并没有完成过 渡 • 隧道 – 必须与双栈技术一起使用 – 隧道上运行的协议栈的性 能不可能超过下层协议栈 的性能 双栈 IPv4 翻 译 cost IPv6 • 翻译 – 唯一能够使IPv4/IPv6互联 互通的技术 • 双重翻译技术 – 整合翻译和隧道，支持平 稳过渡到一次翻译技术 IPv6的杀手级应用是什么？ • 安全性 • 与IPv4互联网互联互通 33 CERNET IPv6 过渡经验 双重翻译 dIVI 双栈 IETF Softwire WG NFSCNET 隧道 IPv4 over IPv6 隧道 IPv6 over IPv4 CERNET-6Bone CERNET • 2000 所大学 • 2000万用户 IETF Softwire WG IETF v6ops WG 翻译 IVI IPv6 only CERNET2 • 200 所大学 IPv4 1994 统一的过渡技术 IETF softwire WG IETF Behave WG • 200万用户 1998 2000 2004 2005 2007 2011 2014 34 2011年胡锦涛总书记考察下一代互联网 • • 胡锦涛总书记饶有兴致地听介绍、看演示，详细询问两代互联网衔接等情况。 胡锦涛总书记指示：IPv6网络必须与IPv4网络衔接，推广新的网络应用离不 开IPv4/IPv6网络之间的衔接。必须统一标准，才能够使IPv6网络真正使用起 35 来。 2016年李克强总理考察清华大学 • • • • IPv6能够解决地址耗尽的问题 IPv6必须与现有互联网互联互通 在互联网核心技术方面标准的突破非常重要 国内的研发要更好地合作 36 Stateless translation (IVI) RFC6052，2010-10 RFC6144, 2011-04 IPv4 IVI RFC6145，2011-04 IPv6 RFC6219，2011-05 A subset of IPv6 addresses Real IPv4 host mirrored IPv6 host mirrored IPv4 host Real IPv6 host RFC6791，2012-11 RFC7597，2015-07 RFC7598，2015-07 A subset of IPv6 addresses RFC7599，2015-07 37 IETF过渡标准演进 IVI dIVI MAP RFC6052, RFC6145, RFC6791 DHCP 464XLAT dIVI-PD 有状态 MAP-T MAP-T RFC7040 无状态 （用户状态） DS-Lite LW4o6 RFC1933 用户状态 MAP-E 38 互联网核心技术标准举例 39 IPv6的过渡思路 • 新建网络必须为IPv6 • 对端为IPv6 – 纯IPv6通信 • 对端为IPv4 – 单次翻译（正常） – 双重翻译 （无IPv6应用程序或有ALG 问题） – 封装（加密或有无损需求） 过 渡 40 我国发展下一代互联网的 路线图和时间表 • 2003-2010：准备阶段（技术试验与试商用） – 启动中国下一代互联网示范工程CNGI – 政府引引导，进行技术、人才、产业准备 – 首先在高校开展试商用，为大规模商用做准备 • 2011-2015：过渡阶段（开展大规模商用） – 政府引导全社会向IPv6过渡，IPv4与IPv6共存 – 新建网络必须为IPv6，并实现与IPv4的互通 • 2016-2020：完成过渡阶段 – 政府引导全面普及IPv6 – 抓住发展机遇，是中国成为互联网技术强国 41 4aaS: CERNET2 42 ICP模型（北京邮电大学） http://ivi.bupt.edu.cn • 纯IPv6服务器为IPv6和 IPv4互联网用户服务 • 统一的IPv6地址控制管 理和商务模型 • 节省IPv4公有地址 43 ISP模型（清华大学） • 与真实源地址验证结合 44 案例 • 需求场景 – 场景1：上联纯v6接入，下联双栈用户 – 场景2：上联双栈接入，下联纯v4用户 – 场景3：上联纯v4接入，下联双栈／纯v6用户 – 场景4： 传统IDC改造（v4服务器） – 场景5： 新建IDC（v6服务器） • 需求应用 – 访问v4/v6互联网上的资源（ISP） – 被v4/v6互联网上用户访问（ICP） • 需求接入操作系统 – 所有操作系统 – 即插即用 45 案例 （ISP） 场景（1） 上联纯v6接入 下联双栈用户 场景（3） 上联纯v4接入 下联双栈／纯v6用户 v 4 地 址 缺 乏 调 整 流 量 、 合 理 利 用 带 宽 暂 时 不 接 v6 体 验 v6 应 用 场景（2） 上联双栈接入 下联纯v4用户 现有v4 计费／ 管理等 系统难 以升级 用户主 机难以 升级 46 案例 （ICP） 场景（4） 场景（5） 被全球v4／v6用 户访问 保持原有 pageview的功能 新成立ICP 被全球v4／v6用 户访问 节省IPv4地址 传统ICP改造 47 Dual-stack via dIVI 48 IPv6-only via IVI 3a.c8.81.0c-6e 58.200.129.12-110 IPv4-only via IVI c0.a8.09.0b 192.168.9.11 49 下一代校园网架构 • 网络 – 光纤 • 带宽即服务 (Address as a Service) – 无线 • WLAN as a Service (多SSID) – 物联网 • 每个电灯泡一个IPv6 (IVI)地址 • 服务 – IPv4aaS – IPv6aaS – VPNaaS – VMaaS – CachaaS – 网管aaS – 安全aaS – 存储aaS – 计费aaS – 门户aaS 50 中文应用 51 搜索引擎 52 网络电话 53 IPv6应用（1） • 移动互联网 – WLAN • 云计算 – 每个人多个虚拟机 • 物联网 – 信息 – 环境 54 IPv6应用（2） • 按需地址 – 安全需求 – 服务质量需求 – 隐私需求 –… • 万物联网 – 显示屏 – 传感器 – 电灯泡 – 电冰箱 –… 55 清华大学校园网机房智能远程监控 56 Success • In IC industry, if you don’t know how to waste transistors, you will fail. • In network industry, if you don’t know how to waste bandwidth, you will fail. • In next generation Internet industry, if you don’t know how to waste addresses, you will fail. 57 2015年赛尔网络IPv6项目 • IPv6创新项目 • IPv6创新大赛 58 “互联网+”重大工程 • 大规模纯IPv6示范网络及过渡与安全关键 技术试验 – 100G纯IPv6主干网 – 1000万以上IPv6用户 – 与全球IPv6/IPv4互联互通 – 真实源地址用户身份认证 – 大规模“互联网+”试验平台 互通、可信、开放 59 三个挑战 • 网络中立论（Net-neutrality） – Traffic optimization for business • 协议固化（Protocol ossification） – NAT and slow deployment of IPv6 • 网络分裂（Internet fragmentation） – Pervasive surveillance and national firewalls 60 网络中立论 Best effort public Internet price Service enabled E2E price Lost revenue opportunity Multiple services offers are enabled by policyenforced QoS Flat rate users users 61 协议固化 • 地址 – IPv4地址耗尽 – IPv6地址近乎无穷 • 域名 – 移动互联网对于域名依存度减小 • 协议 – 只有TCP 80/443 可以保证全球可达 62 网络分裂 • 斯诺登事件 – 加密 • 安全问题 – 控制点 • IANA过渡 – 互联网治理 63 Snowden IETF87 IETF88 Encryption without authentication 64 Five hums • The IETF is willing to respond to the pervasive surveillance attack? – Overwhelming YES. Silence for NO. • Pervasive surveillance is an attack, and the IETF needs to adjust our threat model to consider it when developing standards track specifications. – Very strong YES. Silence for NO • The IETF should include encryption, even outside authentication, where practical. – Strong YES. Silence for NO • The IETF should strive for end-to-end encryption, even when there are middleboxes in the path. – Mixed response, but more YES than NO. • Many insecure protocols are used in the Internet today, and the IETF should create a secure alternative for the popular ones. – Mostly YES, but some NO. Hardening The Internet 65 Control points 66 网络空间安全（1） • 网络攻击危及社会安全与经济安全 • 网络脆弱性与安全漏洞威胁隐私信息 • 新技术引发的安全风险不断加大 • 信息技术应用受控于信息技术强国 • 管理不善带来的安全风险 • 网络军事化威胁世界和平 67 网络空间安全（2） 68 网络空间安全的元问题 • 人类的科学和技术能力无法避免软硬件设计缺陷导致的漏 洞问题 • 经济全球化和生产活动国际化是产业生态环境日益复杂难 以避免后门问题 • 网络统计复用机制使拥塞现象不可避免，难以避免DDOS 问题 • 互联网基础设施导致的信任锚链问题 • 明文传输、存储、分析导致的隐私泄露问题 在沙滩上建大厦 中国思维（第一代）：以保护为主 美国思维（第二代）：以监测处理为主 69 美国政府计划移交互联网管理权 70 网络体系结构发展 电路交换 虚电路交换 ISDN X.25 FR ATM SDN 无连接分组交换 80/443 IPv4 IPv6 IP FI OSI 非IP IPX FN SNA AppleTalk DECNET 71 互联网演进过程的窄腰形态变化 72 网络结构 数据中心 超高性能核心网 软件定义的边缘网 接入网 固定/移动用户 云计算 光传输/核心路由器整合 IPv4/IPv6整合 用户管理 服务质量 内容分发 安全管理 异构接入 有线/无线 73 简化 From To PPPoE MPLS IPv6 IPv6 Stateless Translation DHCP IPv4 Tunnel DHCP Tunnel TE FRR MPLS TP xxxGE OTN OSS-GW xxxGE GMPLS ATM SDH • OSS/BSS • • • • Drastic simplification of IP network IP and optical integration Stateless translation between IPv4/IPv6 Address switching for QoS Infrastructure cloud model 74 三代网络工程师 电话/传输系统  路由器  程序员 75 腾讯/华为/阿里/华三 76 77 Internet of …… 78 Permissionless Innovation 79