摘要 一些ISP把他們的IP網(wǎng)絡圈起來�,增加各種邊界節(jié)點,利用圍起來的“比特管道”提供一些增值服務,獲取更高的利益��,形成了所謂的“Walled Garden(‘帶圍墻的花園’或‘圍墻花園’)”的商業(yè)模式��。本文詳細介紹了“圍墻花園”的含義�����、典型類型以及“圍墻花園”的規(guī)模和上“門”類型����,并分析了對“圍墻花園”模型的爭論��。
1�����、引言
與傳統(tǒng)電信網(wǎng)絡和廣播電視網(wǎng)絡堅持的嚴格控制和管理不同�,互聯(lián)網(wǎng)倡導的是一種建立在“自律”基礎之上的“開放”�����、“平等”和“創(chuàng)新”����,讓人人都可以參與建設和發(fā)展的精神理念����。在這一精神理念的指導下����,互聯(lián)網(wǎng)工程界提出了“端到端透明性”的核心設計理念(RFC3439),是互聯(lián)網(wǎng)少有的��、一直堅持的體系架構(gòu)核心設計原則之一���。所謂“端到端透明性”�����,就是在互聯(lián)網(wǎng)的設計中��,將與通信相關(guān)的部分(IP網(wǎng)絡)與高層應用(端點)和下層傳輸技術(shù)分離�,讓網(wǎng)絡最大限度地具有開放性�。
端到端透明性帶來的互聯(lián)網(wǎng)開放性,為后來互聯(lián)網(wǎng)商用化的蓬勃發(fā)展起到了決定性的作用���。但與此同時�,互聯(lián)網(wǎng)的商用化也給互聯(lián)網(wǎng)的開放性帶來了嚴峻的挑戰(zhàn),改變了互聯(lián)網(wǎng)的體系架構(gòu)����,尤其是開放性����;ヂ(lián)網(wǎng)的開放接口只是盡力而為的IP包轉(zhuǎn)發(fā)服務,而不是高層業(yè)務和應用的接口�����,因此互聯(lián)網(wǎng)服務提供商(ISP)只能提供所謂的“比特管道”業(yè)務��,很難提供利潤更高的高層業(yè)務和應用�,導致大量ISP的倒閉�����、破產(chǎn)和兼并����,使得純粹意義上的ISP沒有一個能夠活下來。于是�����,另外一些ISP開始把他們的IP網(wǎng)絡圈起來,增加各種邊界節(jié)點(Middlebox�,中間體),利用圍起來的“比特管道”提供一些增值服務�,獲取更高的利益,形成了所謂的“Walled Garden(‘帶圍墻的花園’或‘圍墻花園’)”的商業(yè)模式���。
2��、“圍墻花園”的含義
“圍墻花園”是與RFC3439所謂的完全開放的互聯(lián)網(wǎng)模型相對而言的�,指ISP把用戶限制在一個特定的范圍內(nèi)�,只允許用戶訪問指定的網(wǎng)站或相關(guān)服務,防止用戶訪問其他未被允許的內(nèi)容和服務��。當然�,有的“圍墻花園”也可能不阻止用戶訪問“圍墻花園”外的網(wǎng)站和服務,只是給用戶增加了訪問難度����。
ISP建立“圍墻花園”的原因有多種。有的是為了防止用戶不適當?shù)卦L問一些有害信息或網(wǎng)站���,如1999年美國在線服務公司(AOL)少兒頻道就建立了一個圍墻花園�����,以防止孩子們訪問一些不適宜的網(wǎng)站�。但更重要和普遍的原因是ISP的商業(yè)利益:ISP希望將用戶資源掌握在自己手中,引導用戶訪問自己或者合作伙伴的服務��,減少或防止訪問競爭對手和不能帶來利益的服務�。
可以說,美國在線服務公司是“圍墻花園”方案主要和最成功的實踐者�。據(jù)稱85%的美國在線用戶從未離開過AOL的網(wǎng)絡,美國人花費在網(wǎng)上的40%時間都處在AOL圈定的“圍墻花園”內(nèi)���。另外�����,在移動數(shù)據(jù)業(yè)務中���,讓手機這樣的無線設備只能訪問限制在一個范圍內(nèi)的網(wǎng)站��,也是一種典型的“圍墻花園”����,如I-Mode模型����,很多收費WAP業(yè)務也是這樣的�����。當前��,IPTV業(yè)務網(wǎng)的模型��,下一代網(wǎng)絡(NGN)以及運營商組建的多個“電信級”的IP網(wǎng)�,也普遍采用的是這種模型。
3��、“圍墻花園”的典型類型
目前��,實際運行的典型“圍墻花園”的類型有:
(1)基于終端的“圍墻花園”:指在終端上限定終端用戶可以訪問的網(wǎng)站范圍和服務形式����,超過指定范圍的網(wǎng)站和服務不能訪問。這種方式一般可用作“綠色上網(wǎng)”�����,比如防止兒童訪問不適宜的網(wǎng)站等。
(2)基于門戶網(wǎng)站的“圍墻花園”:在這種方式下��,用戶通過門戶網(wǎng)站可以很便捷地訪問指定門戶網(wǎng)站上的服務(ISP或者ISP合作者的服務)�。但這種方式?jīng)]有真正的圍墻,用戶實際上也能訪問圍墻外的其它服務�,只是用戶訪問其它服務時會更加困難一些。
(3)基于專網(wǎng)或虛擬專用網(wǎng)(VPN)的“圍墻花園”:把提供服務的所有設備都放到一個(虛擬)專用網(wǎng)中�����,訪問者通過遠程接入VPN來接入到“圍墻花園”中去����,自由訪問圍墻內(nèi)的所有服務。這種方式不但能限制訪問范圍�,而且也能防范來自外部的攻擊。
(4)基于防火墻或網(wǎng)關(guān)的“圍墻花園”:類似于基于VPN的圍墻花園�,主要區(qū)別在于這種方式只是把業(yè)務與應用服務器真正放在圍墻內(nèi),把其它網(wǎng)絡設備放在圍墻外����。用戶可通過防火墻或網(wǎng)關(guān),使用圍墻內(nèi)所提供的服務���。
(5)基于用戶注冊的“圍墻花園”:只有注冊的用戶才能使用所保護的服務�,非注冊用戶不能使用�����。一般基于一組或一類網(wǎng)絡服務進行注冊�����。該類“圍墻花園”旨在提供應用層保護�,用戶、網(wǎng)絡以及應用服務器都暴露在外界的安全威脅下�。
4、“圍墻花園”的規(guī)模
探討“圍墻花園”的規(guī)模����,首先要看“圍墻”上面是否需要開“門”(與外界互通),把“花園”與別的“圍墻花園”或互聯(lián)網(wǎng)連接起來����。其次,如果需要開“門”�,還需要看要開一個“門”還是多個“門”。如果“圍墻花園”不需要對外開放“大門”(與外界分離)���,那么在“花園”中可以采用任何類型的編址方式����,比如私有地址(RFC1918)、偷偷把別人的公有地址拿來私用(“公有地址私用”)���,甚至IPv6地址等����。因為這時“圍墻花園”不和外界發(fā)生關(guān)系����,不存在編址沖突的可能性,因此想讓“花園”做多大就可以做多大�。
但一般情況下,都需要讓“圍墻花園”與外界互聯(lián)互通起來��,這時花園的規(guī)模就會受到限制�����,就要仔細研究和規(guī)劃了�。因為規(guī)模很大的時候,與“花園”內(nèi)部可以采用的IP編址方式以及“門”(NAT��,網(wǎng)絡地址翻譯)的類型都存在很大的關(guān)系���。當花園的規(guī)模小于RFC1918規(guī)定的大約1600萬個IP地址時(10/8�,192.168/16和172.16/12),內(nèi)部不用再分級就可以全部使用平面化的私有地址��,在“圍墻”上使用傳統(tǒng)的NAT就完全可以了�。只是需要注意�,要盡量避免NAT可能會出現(xiàn)單點性能瓶頸和故障。
不分級的平面式內(nèi)部編址�,在“花園”規(guī)模很大,超過1600萬時��,采用RFC1918規(guī)定的全部私有地址也不夠時�,可以有兩個辦法來解決:
(1)分級編址,多級傳統(tǒng)NAT�����,這時需要注意多級NAT的穿越��。
(2)內(nèi)部不分級�,“公有地址私有”,但這需要使用“Twice NAT”和“Multihoming NAT”����,并解決由此而帶來的各種復雜問題�����。
這兩種技術(shù)方法都存在很多缺陷����,迫不得已時推薦使用第一種���。
5�����、“圍墻花園”上“門”的類型
“圍墻花園”一般都采用私有編址�����,都需要“門”��,因此這個“門”一般都需要具有網(wǎng)絡地址翻譯的功能����。RFC1631以及相關(guān)RFC定義的NAT/NAPT是一種將IP地址從一個編址域(如“圍墻花園”)映射到另外一個編址域(如互聯(lián)網(wǎng))的方法�����。NAT最典型的應用是把RFC1918定義的私有IP地址映射與互聯(lián)網(wǎng)所使用的公有IP地址做相互映射。從功能上看��,主要有以下幾種典型的NAT(RFC2663):
(1)傳統(tǒng)NAT(Traditional NAT)
在多數(shù)情況下�,傳統(tǒng)NAT允許位于圍墻內(nèi)部的主機(采用RFC1918地址)透明地訪問圍墻外部(互聯(lián)網(wǎng))的主機,把從圍墻外部到圍墻內(nèi)部的訪問作為一種特例���,為事先選擇好的特定內(nèi)部主機做靜態(tài)地址映射�。圍墻外部中主機的IP地址在圍墻外部以及圍墻內(nèi)部中是惟一的和有效的��,但圍墻內(nèi)部主機的IP地址只有在圍墻內(nèi)部中才是惟一的����,在圍墻外部中不一定有效����。換言之,NAT不會向外部編址域通告內(nèi)部網(wǎng)絡的地址��,但有可能向內(nèi)部網(wǎng)絡通告外部互聯(lián)網(wǎng)的地址��。圍墻內(nèi)部使用的地址一定不能與圍墻外部的地址重疊���,任何一個地址或是一個內(nèi)部地址或外部地址�,不能同時是內(nèi)部和外部地址。傳統(tǒng)NAT又包括基本NAT和NAPT兩大類�。
(2)雙向NAT(Bi-directional NAT,Two-WayNAT)
當使用雙向NAT(Bi-directional NAT或Two-Way NAT)時�,可以從圍墻內(nèi)部向圍墻外部發(fā)起會話請求,也可以從圍墻外部向圍墻內(nèi)部發(fā)起會話請求���。當在外出或進入任何一個方向上建立連接時,把圍墻內(nèi)部地址靜態(tài)或動態(tài)綁定到全局惟一的地址上��。這里假設位于圍墻內(nèi)部和外部網(wǎng)絡之間的名字空間(FQDN�,F(xiàn)ully Qualified Domain Names)是端到端惟一的,因為只有這樣才能夠使得位于外部編址域的主機利用域名系統(tǒng)(DNS)訪問內(nèi)部網(wǎng)絡的主機���。在雙向NAT上必須部署DNS-ALG(DNS應用層網(wǎng)關(guān)���,DNS-Application Level Gateway),以處理名字到地址的映射��。當一個DNS包需要穿越圍墻內(nèi)部和外部網(wǎng)絡編址域時����,DNS-ALG必須能夠?qū)NS查詢和響應消息中的內(nèi)部地址翻譯成外部地址,或把外部地址翻譯成內(nèi)部地址。
(3)兩次NAT(Twice NAT)
兩次NAT是NAT的一個變種����,它同時修改源和目的地址。這與前面的傳統(tǒng)NAT和雙向NAT(Bi Directional)都不同��,前面的兩種NAT只翻譯源或者目的地址(端口)�����。兩次NAT在圍墻內(nèi)部編址域和圍墻外部編址域存在沖突時非常有用����。典型例子之一是當一個“圍墻花園”(不恰當?shù)兀┦褂靡逊峙浣o其它機構(gòu)的公開IP地址對其內(nèi)部主機進行編址時(“公有地址私用”)�����;例子之二是當一個站點從一家運營商換到另外一家運營商�,同時又希望(在內(nèi)部)保留前一家運營商分配的地址時(而前一家運營商可能會在一段時間后將這些地址重新分配給其它人使用)�。在這些情況下�,非常關(guān)鍵的一點就是外部網(wǎng)絡的主機可能會分配得到以前已分配給內(nèi)部主機的同一地址����。如果該地址碰巧出現(xiàn)在某個包中�,則應該將它轉(zhuǎn)發(fā)給內(nèi)部主機���,而不是通過NAT轉(zhuǎn)發(fā)給外部編址域���。兩次NAT通過同時翻譯IP包的源和目的地址����,試圖橋接這些編址域����,解決了地址沖突的問題。
(4)多宿主NAT(Multihomed NAT)
使用NAT會帶來很多問題(RFC2993)�����。比如�����,NAT設備要為經(jīng)過它的會話維護狀態(tài)信息��,而一個會話的請求和響應必須通過同一NAT設備做路由,因此通常要求允許NAT“花園”邊界路由器必須是惟一的����,所有的IP包要么發(fā)起,要么終結(jié)在該域����。但這種配置將NAT設備變成了可能的單點故障點。
為了讓一個內(nèi)部網(wǎng)絡能夠在某個NAT鏈路故障的情況下���,也可以保持與外部網(wǎng)絡的連通性�,通常希望圍墻內(nèi)部網(wǎng)絡到相同或不同的ISP具有多條連接(多宿主的)��,希望經(jīng)過相同或不同的NAT設備���。又如,多個NAT設備或多條鏈路使用同一NAT���,共享相同的NAT配置能夠為相互之間提供故障備份。在這種情況下�����,有必要讓備份NAT設備交換狀態(tài)信息,以便當主NAT出現(xiàn)故障時���,備份NAT能夠擔負起透明地保持會話的能力��。
6�����、“圍墻還原”模型的爭論
關(guān)于“圍墻花園”商業(yè)模型是否合理�����、合法的問題�,圍繞著“網(wǎng)絡中立”和商業(yè)模式����,業(yè)界存在很大的爭議。但這種爭論仍然基本屬于電信界和互聯(lián)網(wǎng)界的“理念”爭議之一����。從當前情況的發(fā)展看,這將是自互聯(lián)網(wǎng)商用以來��,電信業(yè)與互聯(lián)網(wǎng)業(yè)的一次世紀性大搏弈�����,事關(guān)兩大產(chǎn)業(yè)的利益格局,事關(guān)所有用戶的切身利益�。
主張“花園”不能有“圍墻”的主要來自互聯(lián)網(wǎng)界,以“網(wǎng)絡中立”的討論為代表���,認為網(wǎng)絡是一種公共的基礎設施��,任何人都能平等地在網(wǎng)絡上傳輸數(shù)據(jù)���,ISP不得對網(wǎng)上的傳輸進行任何岐視性限制或收費��!熬W(wǎng)絡中立”議案由美國消費者協(xié)會提出����,獲得Google,eBay等互聯(lián)網(wǎng)公司力挺�����,遭到AT&T���,Verizon為代表的運營商的反對�。
當前���,美國主要運營商都在對線路進行擴容�����,為大規(guī)模上IPTV做準備�����,并在討論是否要向內(nèi)容提供商收取線路租用費以外的額外費用�����。而Google等互聯(lián)網(wǎng)公司則認為不應額外收費���,并試圖以立法的形式確立“網(wǎng)絡中立”的原則,從法律上堵住運營商額外收費的可能性��。在運營商看來�����,Google等互聯(lián)網(wǎng)公司利潤豐厚����,而運營商利潤情況較差����,在線路擴容上投資巨大���,如不再收取額外的費用是不公平的���。而Yahoo等互聯(lián)網(wǎng)公司則認為,運營商已經(jīng)收取線路費用�,額外收費會導致阻礙創(chuàng)新,違反互聯(lián)網(wǎng)開放���、公平的原則�,限制了互聯(lián)網(wǎng)業(yè)務的發(fā)展�,損害了消費者的利益����;ヂ(lián)網(wǎng)界沒有自己的網(wǎng)絡基礎設施,只能使用別人的�����,因此從他們自身的角度看堅持互聯(lián)網(wǎng)不能有圍墻的想法很正常����。
運營商與互聯(lián)網(wǎng)公司的這種利益關(guān)系調(diào)整是全球性的。一旦“網(wǎng)絡中立”在美國成立或者不成立���,都會是全球性的定論�����,各國運營商和互聯(lián)網(wǎng)公司都不會有再次選擇的機會���。無可否認的是:目前互聯(lián)網(wǎng)產(chǎn)業(yè)鏈各環(huán)節(jié)之間缺乏有效的利益分配和協(xié)調(diào)機制。端到端的業(yè)務與承載分離使得網(wǎng)絡基本成為透明的傳輸通道�����,業(yè)務實現(xiàn)與控制的權(quán)利和責任完全推向業(yè)務提供商和用戶��。這一方面使得業(yè)務提供商和用戶承擔了過多的責任�����;另一方面也導致業(yè)務的開發(fā)部署不需要ISP的參與��,沒有使ISP成為“利益攸關(guān)方”,打擊了他們的投資積極性��,因而很多與網(wǎng)絡屬性密切相關(guān)的業(yè)務無法順利開展�。這是導致互聯(lián)網(wǎng)泡沫的主要原因,因此建立“適當”的圍墻��,以便讓業(yè)務具有提供更高的服務質(zhì)量����,更好的安全服務和更合理的商業(yè)模式。但什么是“適當”的���,則需要進一步的研究和實踐����。
7�����、結(jié)束語
由于互聯(lián)網(wǎng)的應用目的發(fā)生了很大變化���,而且“用戶自律”的假設不再適用���,因此未來互聯(lián)網(wǎng)應對完全開放��、沒有“圍墻”的體系架構(gòu)做相應地修正和發(fā)展�,以便在新的歷史發(fā)展階段適應新的應用需求�。雖然未來互聯(lián)網(wǎng)仍將堅持“端到端透明性”的體系架構(gòu),但應修建適當?shù)摹皣鷫Α眮頋M足一定的約束條件����,即“有條件的端到端透明性”�。在保證人人能夠繼續(xù)參與互聯(lián)網(wǎng)發(fā)展和創(chuàng)新的前提下,網(wǎng)絡中應內(nèi)嵌一些對用戶透明的管理和控制機制(即“圍墻”)�,抑制用戶的不自律行為,平衡產(chǎn)業(yè)鏈不同角色之間的職責和利益��。
