20CN网络安全小组论坛 - 系统集成

论坛: 系统集成标题: IP组播技术

作者: tuzi [tuzi]

版主

近年来，随着Internet的迅速普及和爆炸性发展，在Internet上产生了许多新的应用，其中不少是高带宽的多媒体应用，譬如网络视频会议、网络音频/视频广播、股市行情发布、多媒体远程教育、大规模协同计算等。这就带来了带宽的急剧消耗和网络拥挤问题。为了缓解网络瓶颈，人们提出各种方案，其中一种是采用IP Multicast（组播、多播或多路广播）技术，它是一种能最大限度利用现有带宽的技术。比较而言，IP组播技术有其独特的优越性，在组播网络中，即使用户数量成倍增长，主干带宽不需要随之增加。
一、IP组播发展简史
20世纪80年代中期，斯坦福大学实施了第一次多目的通话，博士生S. E. Deering发表Host group: A multicast extension to the Internet Protocol (RFC0966) 和Host extensions for IP Multicasting (RFC0988) 两篇论文。提出了IP组播的可能性。
1988年，D. Waltzman, C. Portridge, S. E. Deering发表题为《距离向量组播路由协议》的文章（RFC1075），它是组播路由协议的首次实践；
1991年12月，S. E. Deering发表了他的博士论文《数据报互连网络中的组播路由》（RFC1112）。它奠定了组播网络体系结构和路由协议的基础。该文也成为Internet组管理协议（IGMP）的原型；
1994年3月，形成了OSPF协议的扩展协议MOSPF（RFC1584）；
1995年，Cisco公司开始销售支持组播的路由器和交换机
1997年11月，组管理协议IGMPv2得到IETF的批准，成为标准（RFC2336）；
1998年6月，评估可靠组播传输协议RMTP的IETF标准出台（RFC2357）；
1998年7月，在制定IPv6地址体系标准时，确定IPv6组播地址分配方案（RFC2373），这为组播技术在下一代Internet上的应用做出了必要的准备；
2000年底2001年初，人们着手制定各种组播MIB库，这标志组播技术正向可管理、可控制方向发展。
二、组播网络的体系结构
组播网络体系结构包括：组播的基本工作原理、实现组播的条件、组播的地址分配方案及与MAC地址映射、Internet组管理协议。
1、组播的工作原理
组播是一种允许一个或多个发送者（组播源）发送单一的数据包到多个接收者（一次的，同时的）的网络技术。组播源把数据包发送到特定组播组，而只有属于该组播组的地址才能接收到数据包。简单地说，
主机通过使用ＩＮＴＥＲＮＥＴ组管理协议加入野火所个组中，并且可以动态离开组，即成员关系常有变化，路由器跟踪这种关系并试图形成一条到达组播成员的无回路路径。组播路有些已用于得到正在使用的组播组的路径上那些路由器，以及到达这些组播组的最佳路径信息。一旦报文到达目标ＬＡＮ，该报文就有可能泛洪或转发到主机。三种传输方式比较如下：
单播（Unicast）传输：在发送者和每一接收者之间需要单独的数据信道。如果一台主机同时给很少量的接收者传输数据，一般没有什么问题。但如果有大量主机希望获得数据包的同一份拷贝时却很难实现。这将导致发送者负担沉重、延迟长、网络拥塞。为保证一定的服务质量需增加硬件和带宽。
组播（Multicast）传输：它提高了数据传送效率。减少了主干网出现拥塞的可能性。组播组中的主机可以是在同一个物理网络，也可以来自不同的物理网络。
广播（Broadcast）传输：是指在IP子网内广播数据包，所有在子网内部的主机都将收到这些数据包。广播意味着网络向子网主机都投递一份数据包，不论这些主机是否乐于接收该数据包。广播的使用范围非常小，只在本地子网内有效，因为路由器会隔离广播通信。广播传输增加非接收者的开销。
2、实现IP组播的前提条件
实现IP组播传输，组播源和接收者以及两者之间的下层网络都必须支持组播。即主机的TCP/IP实现支持发送和接收IP组播；主机的网络接口支持组播；有一套用于加入、离开、查询的组管理协议，即IGMP（v1,v2）；有一套IP地址分配策略，并能将第三层IP组播地址映射到第二层MAC地址；支持IP组播的应用软件；所有介于组播源和接收者之间的路由器、交换机均需支持组播；Cisco的路由器不仅支持DVMRP、PIM路由协议、IGMP组管理协议，而且支持Cisco专有Cisco组管理协议CGMP，对于不支持IP组播传输的中间路由器采用IP隧道（Tunneling）技术作为过渡方案。
三、组播的实现
在IP组播技术中有四个方面的问题：首先是发送给谁的问题、其次是接收方如何接收组播信息、第三是用户主机如何通知路由器对某个组不再感兴趣、第四是路由器如何转发组播信息。
１、组播地址分配与MAC地址
在组播通信中，我们需要两种地址：一个IP组播地址和一个Ethernet组播地址。其中，IP组播地址标识一个组播组。由于所有IP数据包都封装在Ethernet帧中，所以还需要一个组播Ethernet地址。为使组播正常工作，主机应能同时接收单播和组播数据，这意味着主机需要多个IP和Ethernet地址。IP地址方案专门为组播划出一个地址范围，在IPv4中为D类地址，范围是224.0.0.0到239.255.255.255，并将D类地址划分为局部链接组播地址、预留组播地址、管理权限组播地址。
局部链接地址：224.0.0.0～224.0.0.255，用于局域网，路由器不转发属于此范围的IP包；
预留组播地址：224.0.1.0～238.255.255.255，用于全球范围或网络协议；
管理权限地址：239.0.0.0～239.255.255.255，组织内部使用，用于限制组播范围；
以太网组播MAC地址映射方法： IP组播帧都使用以0X0100.5EXX.XXXX的24位前缀开始的MAC层地址，但只有其中的一半MAC地址可以被IP组播使用，剩下的MAC地址空间的23位作为第三层IP组播地址进入第二层MAC地址的映射使用。由于第三层IP组播的28位地址不能映射到只有23位的可用MAC地址空间，造成有32:1的地址不明确，所以主机CPU必须对收到的每一个组播数据包做出判断。这增加了主机CPU的开销。此外，还产生抑制第二层局域网交换的组播扩散问题。
２、组管理协议IGMP
主机使用IGMP通知子网组播路由器，希望加入组播组；路由器使用IGMP查询本地子网中是否有属于某个组播组的主机。
１）加入组播组
当某个主机加入某一个组播组时，它通过“成员资格报告”消息通知它所在的IP子网的组播路由器，同时将自己的IP模块做相应的准备，以便开始接收来自该组播组传来的数据。如果这台主机是它所在的IP子网中第一台加入该组播组的主机，通过路由信息的交换，组播路由器加入组播分布树。
加入之后，接收方主机的网络接口卡开始侦听与组播组地址相关的组播ＭＡＣ地址，路由器把发送方的信息包一跳一跳地发送到有接受者的网段上去，局域网路由器根据信息包中的组地址转换成与之相关的ＭＡＣ地址，接收方侦听到这个地址，收到信息包后，将ＩＰ层的组播数据包取出传向上层。
２）退出组播组
在IGMP v1中，当主机离开某一个组播组时，它将自行退出。组播路由器定时使用“成员资格查询” 消息向IP子网中的所有主机的组地址（224.0.0.1）查询，如果某一组播组在IP子网中已经没有任何成员，那么组播路由器在确认这一事件后，将不再在子网中转发该组播组的数据。与此同时，通过路由信息交换，从特定的组播组分布树中删除相应的组播路由器。这种不通知任何人而悄悄离开的方法，使得组播路由器知道IP子网中已经没有任何成员的事件延时了一段时间，在IGMP v2.0中，当每一个主机离开某一个组播组时，需要通知子网组播路由器，组播路由器立即向IP子网中的所有组播组询问，从而减少了系统处理停止组播的延时。
３、组播转发
１）逆向路径转发(Reverse Path Forward: RPF)
当组播数据包到达路由器时，路由器作RPF检查，以决定是否转发或抛弃该数据包，若成功则转发，否则抛弃。RPF检查过程如下：
检查数据包的源地址，以确定该数据包经过的接口，是否在从源到此的路径上；
若数据包是从可返回源主机的接口上到达，则RPF检查成功，转发该数据包到输出接口表上的所有接口，否则RPF检查失败，抛弃该数据包。
2）组播转发缓存
对于每一个输入组播数据包进行RPF检查会导致较大的路由器性能损失。因此，建立组播转发缓存时，通常由组播路由确定RPF接口。然后将RPF接口变成组播转发缓存项的输入接口。一旦RPF检查程序使用的路由表发生变化，必须重新计算RPF接口；并更新组播转发缓存项。
3）TTL阈值
每当路由器转发组播数据包，IP包中的TTL（Time To Live）值都减1。若数据包的TTL减少到0，则路由器将抛弃该数据包。TTL阈值可用于组播路由器的各个接口，以防止在该接口上转发低于TTL阈值的组播数据包。这样可对组播的范围加以控制。
4）管理权限边界
除TTL阈值外，组播提供另一种称为管理权限的地址机制作为边界，以限制组播信息转发到域外。管理权限的组播地址是从239.0.0.0到239.255.255.255，这段地址被认为是本地分配(类似于单播中的192.168.xx.xx)，不能用于Internet。这种机制使得在Intranet内部可重复使用组播地址，提高组播地址空间的利用率。
4、组播树
在单播模型中，数据包通过网络沿着单一路径从源主机向目标主机传递，但在组播模型中，组播源向某一组地址传递数据包，而这一地址却代表一个主机组。为了向所有接收者传递数据，一般采用组播分布树描述IP组播在网络里经过的路径。
组播分布树有两种基本类型　有源树和共享树。
１）有源树
有源树也称为基于信源的树或最短路径树（Shortest Path Tree：SPT）。它是以组播源为根构造的从根到所有接收者路径都最短的分布树。如果组中有多个组播源，则必须为每个组播源构造一棵组播树。由于不同组播源发出的数据包被分散到各自分离的组播树上，因此采用SPT有利于网络中数据流量的均衡。同时，因为从组播源到每个接收者的路径最短，所以端到端（end-to-end）的时延性能较好，有利于流量大、时延性能要求较高的实时媒体应用。SPT的缺点是：要为每个组播源构造各自的分布树，当数据流量不大时，构造SPT的开销相对较大。
２）共享树
共享树也称RP树（RPT），是指为每个组播组选定一个共用根（汇合点RP或核心），以RP为根建立的组播树。同一组播组的组播源将所要组播的数据单播到RP，再由RP向其它成员转发。目前，讨论最多同时也是最具代表性的两种共享树是Steiner树和有核树（CBT）。
共享树在路由器所需存储的状态信息的数量和路由树的总代价两个方面具有较好的性能。当组的规模较大，而每个成员的数据发送率较低时，使用共享树比较适合。但当通信量大时，使用共享树将导致流量集中及根（RP）附近的瓶颈。
四、组播路由协议
要想在一个实际网络中实现组播数据包的转发，必须在各个互连设备上运行可互操作的组播路由协议。组播路由协议可分为三类：密集模式协议（如DVMRP，PIM-DM）、稀疏模式协议（如PIM-SM，CBT）和链路状态协议（MOSPF）。
1、距离向量组播路由协议（Distance Vector Multicast Routing Protocol：DVMRP）
DVMRP由单播路由协议RIP扩展而来，两者都使用距离向量算法得到网络的拓扑信息，不同之处在于RIP根据路由表前向转发数据，而DVMRP则是基于RPF。为了使新加入的组播成员能及时收到组播数据，DVMPR采用定时发送数据包给所有的LAN的方法，然而这种方法导致大量路由控制数据包的扩散，这部分开销限制了网络规模的扩大。另一方面，DVMRP使用跳数作为计量尺度，其上限为32跳，这对网络规模也是一个限制。目前提出了分层DVMRP，即对组播网络划分区域，在区域内的组播可以按照任何协议进行，而对于跨区域的组播则由边界路由器在DVMRP协议下进行，这样可大大减少路由开销。
2、开放式组播最短路径优先协议（Multicast Open Shortest Path First：MOSPF）
MOSPF是一种基于链路状态的路由协议，是对单播OSPF协议的扩展。同OSPF类似，MOSPF定义了三种级别的路由：
MOSPF区域内组播路由：用于了解各网段中的组播成员，构造（源网络S，组G）对的SPT；
MOSPF区域间组播路由：用于汇总区域内成员关系，并在自治系统（AS）主干网（区域0）上发布组成员关系记录通告，实现区域间组播包的转发。
MOSPF AS 间组播路由：用于跨AS的组播包转发。
区域内MOFPF利用了链路状态数据库，对单播OSPF数据格式进行扩充，定义了新的链路状态通告（Link State Advertisement：LSA），使得MOSPF路由器了解哪些组播组在哪些网络上。路由器使用Dijkstra算法构造（源网络S，组G）对的SPT。MOSPF与DVMRP相比，路由开销较小，链路利用率高，然而Dijkstra算法计算量很大，为了减少路由器的计算量，MOSPF执行一种按需计算方案，即只有当路由器收到组播源的第一个组播数据包后，才对（S，G）SPT计算，否则利用转发缓存（cache）中的（S，G）SPT。
MOSPF继承了OSPF对网络拓扑的变化响应速度快的优点，但拓扑变动使所有路由器的缓存失效重新计算SPT，因而消耗大量路由器CPU资源。这就决定了MOSPF不适合高动态性网络（组成员关系变化大、链路不稳定），而适用于网络连接状态比较稳定的环境。
3、协议无关组播（Protocol Independent Multicast：PIM）
PIM由IDMR（域间组播路由）工作组设计，PIM不依赖于某一特定单播路由协议，它可利用各种单播路由协议建立的单播路由表完成RPF检查功能，而不是维护一个分离的组播路由表实现组播转发。由于PIM无需收发组播路由更新，所以与其它组播协议相比，PIM开销降低了许多。PIM的设计出发点是在Internet范围内同时支持SPT和共享树，并使两者之间灵活转换，因而集中了它们的优点提高了组播效率。PIM定义了两种模式：密集模式(Dense-Mode)和稀疏模式（Sparse-Mode）
1）PIM-DM
PIM-DM与DVMRP很相似，都属于密集模式协议，都采用了“扩散/剪枝”机制。同时，假定带宽不受限制，每个路由器都想接收组播数据包。主要不同之处在于DVMRP使用内建的组播路由协议，而PIM-DM采用RPF动态建立SPT。该模式适合于下述几种情况：高速网络；组播源和接收者比较靠近，发送者少，接收者多；组播数据流比较大且比较稳定。
2）PIM-SM
PIM-SM与基于“扩散/剪枝”模型的根本差别在于PIM-SM是基于显式加入模型，即接收者向RP发送加入消息，而路由器只在已加入某个组播组输出接口上转发那个组播组的数据包。PIM-SM采用共享树进行组播数据包转发。每一个组有一个汇合点（Rendezvous Point: RP），组播源沿最短路径向RP发送数据，再由RP 沿最短路径将数据发送到各个接收端。这一点类似于CBT，但PIM-SM不使用核的概念。PIM-SM主要优势之一是它不局限于通过共享树接收组播信息，还提供从共享树向SPT转换的机制。尽管从共享树向SPT转换减少了网络延迟以及在RP上可能出现的阻塞，但这种转换耗费了相当的路由器资源，所以它适用于有多对组播数据源和网络组数目较少的环境。
4、有核树组播路由协议（Core-Based Trees: CBT）
CBT的基本目标是减少网络中路由器组播状态，以提供组播的可扩展性。为此，CBT被设计成稀疏模式（与PIM-SM相似）。CBT使用双向共享树，双向共享树以某个核心路由器为根，允许组播信息在两个方向流动。这一点与PIM-SM不同（PIM-SM中共享树是单向的，在RP与组播源之间使用SPT将组播数据转发到RP），所以CBT不能使用RPF检查，而使用IP包头的目标组地址作检查转发缓存。这就要求对CBT共享树的维护就需非常小心，以确保不会产生组播路由循环。
从路由器创建的组播状态的数量来看， CBT比支持SPT的协议效率高，在具有大量组播源和组的网络中，CBT能把组播状态优化到组的数量级。
CBT为每个组播组建立一个生成树，所有组播源使用同一棵组播树。CBT工作过程大体如下：
首先选择一个核，即网络中组播组的固定中心，来构造一棵CBT；
主机向这个核发送join命令；
所有中间路由器都接收到该命令，并把接收该命令的接口标记为属于这个组的树；
如果接收到命令的路由器已是树中一个成员，那么只要再标记一次该接口属于该组；如果路由器第一次收到join命令，那么它就向核的方向进一步转发该命令，路由器就需要为每个组保留一份状态信息；
当组播数据到达一个在CBT树上的组播路由器时，路由器组播数据到树的核。以保证数据能够发送到组的所有成员。
CBT将组播扩张限制在接收者范围内，即使第一个数据包也无需在全网扩散，但CBT导致核周围的流量集中，网络性能下降。所以某些版本的CBT支持多个核心以平衡负载。
六、IP组播中存在的问题与发展
1、组播的可靠性
IP组播天生不可靠，IP组播数据包使用用户数据报协议（UDP），而UDP是一种“尽力而为”的协议。因此，IP组播应用必定会遇到数据包丢失和乱序问题。从端到端传输延迟和可靠性方面考虑，组播应用可大致分为三类：
1）实时交互应用，如视频会议系统，这类应用对可靠性要求相对较低，但对端到端传输延迟和网络抖动的要求很高。
2）实时非交互型应用，如数据广播，这类应用传输延迟要求相对前一类应用较低，但在一定延迟范围内，却对可靠性提出更高要求。
3）非实时应用，如软件分发，这类应用中，可靠性是最基本的要求，在满足可靠性要求的前提下，必须保证传输延迟在可接受的范围之内。
对于不同类型的应用必须在确认方式（肯定确认ACK和否定确认NACK），集中确认与分布确认、重传机制、重传范围、流量控制、拥塞控制、end-to-end延迟和广播延迟、网络抖动、可伸缩性与网络的异构性等方面做出综合考虑，提出相应的解决办法。
迄今为止，在广域网环境中已经存在许多可靠组播协议，包括可靠组播协议RMP（Reliable Multicast Protocol）、可扩展可靠组播SRM(Scalable Reliable Multicast)、基于日志的可靠组播LBRM（Log-Based Reliable Multicast）和可靠组播传输协议RMTP(Reliable Multicast Transport Protocol)。
2、组播的安全性
安全组播就是只有注册的发送者才可以向组发送数据；只有注册的接收者才可以接收组播数据。然而IP组播很难保证这一点。
首先，IP组播使用UDP，任何主机都可以向某个组播地址发送UDP包，并且低层组播机构将传送这些UDP包到所有组成员。其次，Internet缺少对于网络层的访问控制。第三，组成员可以随时加入/退出组播组。这几点使组播安全性问题同组播的可靠性问题一样难以解决。
总的来说，安全组播可分为集中式和分布（分层）式密钥管理体系。目前，对于组播安全性问题已有Naïve密钥管理、Iolus、Nortel框架和SRM（Secure Reliable Multicast）等解决方案。Matthew J. Mayer等人在[29]中提出了安全组播评估标准，回顾并讨论了安全组播体系结构、组密钥管理和信源认证等问题。然而现有的解决方案都不同程度的存在不足，安全组播仍然是一个技术难点。
3、组播信息包的复制
由于路由器会主动地把组播信息包拷贝转发到多个接口，复制过程成为路由器上的工作负载，如果路由器没有一种有效的复制机制，则当输出接口很多时路由器负载将明显增加。

地主发表时间: 04-01-08 03:11