本文在conman 的基礎上進行了擴展提出了對網路協定進行描述的控制信息描述模型在觀測層的被控對象抽象模組中, 利用cid 對被控對象進行描述。被控對象類分成協定類和連線類2 個基類。協定類描述網路上的協定塊分成數據協定類(如ip 協定類等)和控制協定類(如ipsec 的ike 協定塊、ppp 的lcp 協定塊和ncp 等)。由於可信可控網路模型將網路控制從數據層分離出來, 在以可信可控網路模型為基礎構建的下一代網際網路中, 將不存在控制協定塊, 因此, 控制信息描述模型只對網路數據協定塊進行描述; 連線類分成物理鏈路類和通道類, 利用物理鏈路類對物理鏈路進行描述通道類描述直接通信的2 個協定塊之間的連線, 分成上行通道和下行通道, 分別表示對上層的連線和下層的連線。
協定類的主要屬性包括全網id、所在設備ip、通信管道、物理鏈路、性能屬性, 函式包括創建函式、刪除函式、連線函式、屬性設定函式和過濾函式等, 如表1 所示。表1 給出的屬性和功能是所有協定塊共有的, 通過這些屬性和功能, 決策層可以實現對網路的認知和抽象控制。物理鏈路類的主要屬性和功能函式以及通道類的屬性和功能。
被控對象註冊模組與名字空間觀測層利用控制信息描述模型將運行在客戶端、路由器以及其他網路設備的各種協定都進行抽象描述, 存貯到名字空間資料庫中。在nox[15]中, 也利用了名字空間的形式對於用戶、主機和路由器進行統一存儲, 以實現在一個企業網內的對設備的統一管理。本文提出的名字空間與nox的名字空間的區別在於本文提出的名字空間是基於cid的, 因此名字空間的存儲粒度也是協定塊粒度的, 而nox 的名字空間是設備粒度的。基於協定粒度進行存儲的好處在於為決策提供可以直接進行網路控制的被控對象, 降低網路控制複雜度。
被控對象註冊模組對網路協定對象進行了統一註冊, 每個被控對象(網路協定塊)都由統一全局id 進行標識, 這樣有利於網路管理員對網路進行抽象控制, 降低了網路控制的複雜度, 提高了網路管理的效率。
網路狀態預處理模組與狀態庫網路狀態預處理模組將網路資源層的原始信息進行預處理, 包括髒數據過濾、冗餘信息合併以及信息關聯等, 將處理後的結果交給狀態庫進行存儲。
網路狀態庫用來存儲網路被控對象的狀態, 用來向決策層提供網路的狀態信息, 為網路決策提供依據。在可信可控網路的觀測層中, 由於建立了控制信息的描述模型, 並將網路的被控對象建立在網路協定粒度上, 因此網路的狀態庫也用以存儲當前網路上網路協定塊的狀態信息。如表1 所示, 在狀態庫中, 每個協定塊保存其性能信息如丟包率、協定塊處理數據的平均時延以及數據包的轉發速率等。
另外, 在狀態庫中, 還對被控對象的連線信息進行記錄, 如表2和表3所示, 用管道來表示個路由器內各個協定塊之間的連線, 用鏈路來表示2 個路由器之間的連線, 並記錄每個鏈路的性能信息。這樣根據狀態庫, 控制節點就可以得到網路中協定塊粒度的連線圖。
域間共享信息處理模組與域間信息互動接口由於 1 個控制節點的計算能力有限並且受到頻寬限制, 可信可控網路模型為了支持多個的大規模網路環境, 在每個as都配置1 個控制節點對該域進行控制, 各個控制節點為了對網路進行協同控制, 需要各個域之間進行信息共享。在觀測層中, 我們構建域間共享信息處理模組支持多個控制域之間的信息共享。如圖2 所示, 1 個控制域內的觀測層包含1 個域間共享信息處理模組和1 個域間信息互動接口, 域間信息共享接口負責接收其他域的信息同時也負責為本域發布信息; 域間共享信息處理模組也有2 個功能:一個是將從域間信息共享接口接收到的信息進行處理並提交到狀態庫中保存; 另一方面也將本域內的狀態信息經過處理後交給域間信息共享接口傳送給其他域。