当TCP/IP模型引入新层：安全层和扩展层……

作者Jordi Paillissé 是巴塞罗那神经网络中心的博士后研究员，就职于巴塞罗那理工大学(BarcelonaTech - the Polytechnic University of Catalonia)，从事计算机网络和机器学习的交叉研究，主要研究方向是网络建模、未来互联网架构、软件定义网络和互联网区块链应用。本文旨在探讨当前互联网架构的变化和趋势，是其与Alberto Rodríguez-Natal、Fabio Maino 和 Albert Cabellos 共同撰写。

在过去的 15 年中，互联网架构一直在不断发展，尽管如此，TCP/IP 堆栈仍是用于描述互联网架构的主要方式。

本文提出了TCP/IP的两种典型变体：

1）以 L3 为中心，基于现代SDN（例如SD-WAN）的设计

2）以 L7 为中心，受零信任网络和Service Mesh的启发。

与经典TCP/IP模型相比，这两种模型更能代表目前的发展状况。但有一点必须说明，我们并没有展示新架构，只是在优化原有架构。

这两种模型的共同之处在于它们向堆栈引入了两个新层——安全层和扩展层。安全层通常由 IPsec 或 TLS 等标准定义，其主要目标是提供数据机密性、完整性和某种形式的身份验证。扩展层承载信息以提供附加功能：它不一定是标准化的，取决于每个供应商或应用程序的要求，例如现代 SD-WAN 中的策略标签，或用于识别零信任网络中设备类型的 HTTP 扩展。

互联网架构

下图展示了经典 TCP/IP 堆栈与以 L3 为中心和以 L7 为中心的比较。其中，物理层、L2 和路由层、HTTP 和应用层保持不变。

| 经典互联网堆栈图（左）、以 L3 为中心（中）和以 L7 为中心（右）

在以L3为中心的模型中，我们发现安全头(图中的L3安全)直接位于IP头之后，实现此报头的协议是IPsec或WireGuard V**。紧接在这个报头之后的扩展报头（图中的 L3 扩展）提供了额外的功能，例如提供网络隔离的 V** 标识符或SD-WAN中的组标签。接下来是由安全层封装的原始 IP 数据报（包含另一个 IP 报头）、传输协议报头和应用程序数据。

在以L7为中心的模型中，大多数新报头位于更高位置。安全报头（图中的传输安全）就在传输报头之后，通常采用 TLS 的形式。再往上是一个 HTTP 报头，然后是与扩展报头对应的几个 HTTP 扩展。值得注意的是，与安全报头不同，这个报头不一定是标准化的。它可以携带多种用途的信息，如身份、QoE、策略标签等。例如，Service Mesh就是利用这些扩展来根据 HTTP 流的 URL 执行高级流量管理。

案例研究

以下是SD-WAN 作为以 L3 为中心的堆栈以及Service Mesh作为以 L7 为中心的堆栈的例子。

SD-WAN

我们可以在SD-WAN的设计中发现安全和扩展头都遵循以L3为中心的堆栈。在这种情况下，安全头通常以隧道模式下的 IPsec 或等效的 L3 安全协议的形式出现。对于扩展头，系统通常会在安全头之后直接添加一个附加的头（图中的 L3 扩展）。这个报头可以用于不同目的，最常见的是隔离（如，出于安全原因创建隔离的 V**）。其他用例还包括带宽聚合、冗余、多播等。一个典型的例子是 VXLAN ( RFC 7348 ) 或多协议标签交换 (MPLS) 标签。

Service Mesh

Service Mesh用于连接在大型数据中心的容器内运行的应用程序。它们的关键组件传统上是 Sidecar 代理，这是一种 HTTP 代理，可以拦截应用程序之间的所有通信、监控它们的状态并执行策略。这里安全头是 TLS 协议，因为所有连接都利用代理之间的 HTTP。其中一些使用双向 TLS 来验证连接的两端。

扩展头基于自定义 HTTP 扩展，允许在应用级实施复杂的流量管理，例如根据 URL 路由 HTTP 流、A/B 测试等。最后，请注意，尽管Service Mesh目前仅限于数据中心，但这可能会随着Envoy Mobile的出现而改变，因为它可以部署在终端主机中。

结 论

在这篇文章中，笔者主要提议在经典的 TCP/IP 堆栈中添加两个额外的头，以适应过去15年中互联网架构的演变，通过将这两个附加层添加到 TCP/IP 协议栈来呈现网络架构的形式化。

论文原文：