摘要: 1．本文的创新点ForCES（Forwarding and Control Element Separation）是国际互联网工程任务组（IETF, Internet Engineering Task Force）路由领域的一个工作组，它专门研究开放可编程IP路由器的组成结构和协议，是当前开放可编程网络研究中最受关注的研究组织。本文对ForCES路由器（ForTER）的设计和实现进行了论述，讨论了ForTER实现的架构，其创新点有：1)提出了能有效描述ForCES特性的分层软件模型；2)基于该模型，设计和实现了ForTER中控制件和转发件；3)针对ForTER的安全问题进行了思考，提出了一种防止DoS攻击的算法。从总体来说，本文在基于ForCES结构和协议的路由器软件设计和实现方面具有明显的原始创新性。在关于ForCES协议设计和ForCES实现技术方面在该工作组中处于领先位置，在ForCES模型和其它ForCES工作方面处于同步位置。2．实现方法本文主要研究是如何开发一个支持转发和控制分离协议的开放可编程路由器原型系统。针对系统框架设计，首先提出了描述ForCES特性的分层软件模型；基于该模型，设计和实现了ForTER中控制件和转发件的详细结构框图，并编程实现了ForCES结构下的控制件和转发件。在具体实现中，ForTER系统的转发件采用Intel公司的IXDP开发平台,包括一块IXMB2851单网络处理器基板和两块IXMB2401单网络处理器基板，转发件软件平台采用VxWorks和Tornado，编程得到三个支持ForCES协议的转发件，之后通过5-slot的AdvancedTCA标准机箱和一块交换板把三个转发件集成在一起，实现转发件间内部高速数据交换。控制件开发平台采用两台通用PC机，一台PC机在Windows操作系统下编写控制件的图形界面和ForCES协议通讯模块，另一台PC机在Linux下运行路由服务和SNMP代理服务，两台PC机共同完成控制件所需的复杂路由和网络管理功能。控制件的实现方案最大限度体现了控制件内部软件功能的模块化，通过对第三方软件的直接调用，极大减少了软件开发的工作量。该原型系统实现了ForCES协议的主要功能，包括：LFB 上载、卸载控制等，LFB 参数控制，LFB 拓扑结构控制，路由协议（RIP，OSPF）和网络管理（SNMP）。最后对利用SmartBits600对ForTER系统进行了功能测试，结果表明系统能有效地完成路由协议以及数据转发功能。此外与常规路由器不同的是， ForCES路由器存在一个特殊的拒绝服务攻击点，攻击者可能通过网络向转发件发送大量要求重定向到控制件的伪装包，进而使控制件和转发件间的通信通道被堵塞使控制件失去对转发件的控制功能。为了防止拒绝服务DoS的攻击，本文提出了一种基于调度的抵御DoS攻击算法。最后利用SmartBits600对算法进行了性能的测试，结果表明可以有效地增强系统抵御DoS攻击的能力，确保了ForTER的高可靠性。3．结论及未来待解决的问题本文已经完成一个ForCES协议的开放可编程路由器的原型系统，并完成了ForCES协议的验证工作。通过实验验证ForTER能有效完成路由和路由协议的处理，网络管理以及对DoS攻击的预防。这些实验结果也表明ForTER的设计具有很好的灵活性，同时ForTER的实现基本验证了ForCES架构的灵活性和其他有关的特点。今后我们需要继续努力将ForTER从一个实验系统完善为实际应用系统，尤其是针对抵御DoS攻击算法还要针对复杂场景（如多FE）进行深入研究，此外我们也将对比研究ForCES工作组的其他成员提出的利用SCTP 或者 DCCP来实现抵御DoS攻击的效果，从而进一步改进我们的算法。4．实用价值或应用前景网络设备技术需求趋势分析显示，基于开放架构的高度灵活性将是下一代网络设备的重要特征，因为现在新协议、新算法、新业务层出不穷，而为了支持新服务部分可以通过底层软件资源重组实现, 无需电路级改动。高度模块化、积木化和分布式是实现以上灵活性的技术基础，由IETF ForCES工作组进行标准化的转发和控制分离的路由器架构和传统路由其架构相比具有灵活性、可编程性和高效性。ForCES协议及其基于开放可编程结构的路由器或其它网络设备将会迅速发展。随着IETF ForCES工作的进一步推进和国内外对基于ForCES架构开放可编程网络的进一步熟悉，使得该方面的应用前景是非常广阔。