问题22:为什么要在网络层中引入核心交换层?
核心交换层为物联网提供高速、安全与具有服务质量QoS保障能力的数据传输环境。在讨论核心交换层时,我们需要注意以下几个问题。
1. IP网与IP专用网络的概念
在讨论物联网概念时,人们普遍对“Internet of Things”感到疑惑。其实人们不是对物联网的发展与应用前景感到疑惑,而是对物联网与互联网的“密切”关系感到疑惑,因为互联网的安全性受到社会大众的普遍质疑进而产生了“难道我们可以在这样不安全的互联网之上发展物联网吗?”这样的问题。要回答这个问题,我们首先需要说明IP网与互联网的关系,以及专用IP网络与虚拟专网(VPN)的概念。
互联网的核心技术是TCP/IP协议。TCP协议是实现互联网中计算机之间分布式进程通信的协议,IP协议是实现互联网的传输网的路由选择、分组数据传输与网络互联的协议。IP协议是实现网络互联最主要的协议,人们经常将按照TCP/IP协议体系构建的计算机网络简称为“IP网”。由于互联网遵循TCP/IP协议,因此有人也将互联网简称为“IP网”。需要注意的是:互联网可以简称为“IP网”,但“IP网”并不就是互联网。
IP协议的关键特征有两个:IP分组结构、IP地址。IP协议规定了IP分组的结构,所有需要传输的数据都封装在IP分组中。IP分组头中包含了源IP地址与目的IP地址。从具体实现技术的角度,“IP网”可以理解为:数据封装在IP分组中传输,路由器能够识别IP分组,并能够根据IP地址进行路由选择和转发的网络。IP协议有两个版本,一个是目前常用的IPv4,另一个是目前正在大力推广的下一代网络层协议—IPv6。IPv6协议在地址空间与安全性方面优于IPv4。
有人提出:为什么一定要用IP协议?设计一种与IP协议完全不同的协议不是更安全吗?回答是:理论上可以,但是实际上行不通。原因主要有两个:一是任何一种协议从制定到成熟,需要经过大量实践的考验、以及不断地修改和完善。设计一种新的、实用的网络协议时间长、投资多、风险大。二是设计一种新的网络协议的难度表现在:需要解决的配套问题更多、更困难,包括需要重新设计路由器和相关的网络设备,修改操作系统软件、数据库软件与各种应用软件。
2.如何组建安全的IP网络
在安全性与可扩展性、可操作性的博弈中,人们必须研究如何在利用成熟的IP协议与技术的同时解决它的安全性问题。网络研究人员针对这个问题提出了三种基本的对策:
(1)组建IP专网的方法
前面说过,遵循IP协议的网络叫做“IP网”,但“IP网”可以是一个内部专用的网络,不与互联网有任何连接。IP专用网络可以简称为“IP专网”。IP专网的主要特征是:使用TCP/IP协议,但是与互联网没有任何通信线路连接,是物理隔离的。IP专网是属于组建单位管理的、独立运行的、安全的IP网。对于安全性要求高的网络应用系统,如电子政务应用系统就采用了组建IP专网的方案。在电子政务系统中,涉密文件、数据的传输只能在内部专网中进行,而政府网站等公开为市民服务的数据需要依靠互联网传输。市民可以通过互联网的计算机或移动通信网的手机向政府有关部门反映情况,了解政策法规,实现网上报税、注册公司等便民服务。但是,涉密文件的发送与信息交互必须在安全的电子政务内部专网中传输。电子政务内部专网与互联网是物理隔离的。
作为典型的物联网应用系统的智能电网的确不会使用互联网这样不安全的通信环境。它在传输发电与送变电过程控制传感器与执行器、用户智能电表、控制中心计算机等重要数据时都需要使用自己建设和管理的专用网络。在供电信息发布、用户用电查询等公众服务项目的应用中可以使用互联网。智能电网的内部专网与互联网是物理隔离的。图2-14给出了电子政务与智能电网两种应用中IP专网与互联网作用的比较。图中假设电子政务与智能电网都使用了IP专网。
图2-14 IP专网与互联网作用的比较
(2)IP专网与代理服务器相结合的方法
图2-15给出了IP专网与代理服务器相结合的方法的网络结构示意图。在某些互联网应用中,用户数据需要实时录入到数据库,同时用户要能随时查询自己的数据。例如,客户在超市使用借记卡购物时,银行客服系统会立即以短信方式通过手机通知用户“您尾号为****卡于****时间在****地点消费****元,余款为****元”。客户也可以通过互联网查询某笔款项是否到账。银行计算机系统是不让客户直接访问的,它采用了图2-15a的结构,通过一个代理服务器(Agent Server)隔离客户与内部网络。代理服务器在核实了客户合法身份之后,接收客户查询账户的请求,通过代理程序将客户请求变成代理请求,查询数据库,再将查询结果反馈给客户。代理服务器在隔离外部客户对内部数据库读写请求的同时,完成客户合理的访问请求。代理服务器起到一种防火墙的作用。
图2-15 IP专网与代理服务器相结合方法的网络结构示意图
智能物流系统的网络也可以采用图2-15b所示的结构。所有货物销售管理、资金流管理、仓库管理、采购管理、货物调运、配送路线规划等企业内部运行环节的数据传输都依靠安全的内部专网。产品推销宣传、网购与客服可以在互联网环境中进行,客户可以通过互联网中的计算机或移动通信网的手机进行产品查询、咨询与网购定单传送。所有客户订单数据只能够由客服人员通过代理服务器传送到内部网络的数据库中,外部用户不能对内部网络的数据库有任何直接地交互。
3.虚拟专网的概念
虚拟专网(VPN)是指在按照IP协议组建的公共传输网络中建立虚拟的专用数据传输通道,将分布在不同地理位置的网络或主机连接起来,提供安全数据传输服务的网络技术。VPN概念的核心是“虚拟”和“专用”。“虚拟”表示VPN是在公共传输网中,通过建立“隧道”或“虚电路”方式建立的一种“逻辑网络”。“专用”表示VPN可以为接入的网络与主机提供保证安全与服务质量的传输服务。很多电子商务应用系统都采用了这种方法。
在物联网中,我们可以在公共传输网中使用VPN技术,在多个汇聚层端口之间建立安全的通信“隧道”,以保证物联网数据传输服务质量与安全性。图2-16给出了VPN结构与基本工作原理示意图。很多不希望独立组建内部专网的物联网应用系统的核心交换层网络可以采用VPN结构。
图2-16 VPN结构与基本工作原理示意图
4.非IP网的概念
目前,人们将物联网核心交换层分为三种基本结构:IP网、非IP网和混合结构。我们已经讨论了IP网结构。目前,物联网研究的非IP网主要是指移动通信网(GSM/3G/4G)传输网与专用无线通信网。在实际应用中必然会出现IP网和非IP网互联的混合结构。图2-17给出了物联网核心交换层主要结构与技术类型。
图2-17 物联网核心交换层主要结构与技术类型
5.如何解决IP网与非IP网的互联问题
图2-18给出了IP网与非IP网互联的结构示意图。实现IP网与非IP网互联的关键网络设备是网关(Gateway)。网关的作用是完成采用不同协议的网络之间数据分组的格式变换。图中以中文信封与英文信封的书写方法转换来说明这个问题。如果要从IP网中传送一个分组到一个非IP网。IP网中的分组格式是IP协议规定的,显然与非IP网的数据分组格式不相同。如果将IP网分组不加变换地传送到非IP网,那么非IP网的网络设备会因为不认识IP分组而将它丢弃。网关则可以完成不同协议的网络之间数据分组的格式变换。这和我们日常生活中的邮政系统很相似。我们用中文书写的信封与用英文书写信封的方法是不同的。如果想给美国大学的一位教授写一封信,那么就一定要将中文信封的写法转换成英文信封的写法,这样邮政系统才不会出现投递错误或无法投递的现象。通过“网关”技术,用协议变换的方法便可将异构的物联网IP网与非IP网互联起来。
图2-18 IP网与非IP网互联的结构示意图
目前学术界比较重视的另一种研究思路是设计一种与TCP/IP通信模型不同的新一代网络,以适应物联网不同的应用需求、服务质量、应用环境、流量模型、资源限制与安全性要求。
物联网核心交换层的设计完全可以借鉴互联网核心交换网成功的设计经验与理念。