摘要 一些ISP把他們的IP網(wǎng)絡(luò)圈起來,增加各種邊界節(jié)點(diǎn)����,利用圍起來的“比特管道”提供一些增值服務(wù)�����,獲取更高的利益�,形成了所謂的“Walled Garden(‘帶圍墻的花園’或‘圍墻花園’)”的商業(yè)模式。本文詳細(xì)介紹了“圍墻花園”的含義�、典型類型以及“圍墻花園”的規(guī)模和上“門”類型,并分析了對(duì)“圍墻花園”模型的爭論��。
1�、引言
與傳統(tǒng)電信網(wǎng)絡(luò)和廣播電視網(wǎng)絡(luò)堅(jiān)持的嚴(yán)格控制和管理不同,互聯(lián)網(wǎng)倡導(dǎo)的是一種建立在“自律”基礎(chǔ)之上的“開放”、“平等”和“創(chuàng)新”�����,讓人人都可以參與建設(shè)和發(fā)展的精神理念�����。在這一精神理念的指導(dǎo)下�����,互聯(lián)網(wǎng)工程界提出了“端到端透明性”的核心設(shè)計(jì)理念(RFC3439)����,是互聯(lián)網(wǎng)少有的���、一直堅(jiān)持的體系架構(gòu)核心設(shè)計(jì)原則之一���。所謂“端到端透明性”,就是在互聯(lián)網(wǎng)的設(shè)計(jì)中��,將與通信相關(guān)的部分(IP網(wǎng)絡(luò))與高層應(yīng)用(端點(diǎn))和下層傳輸技術(shù)分離���,讓網(wǎng)絡(luò)最大限度地具有開放性����。
端到端透明性帶來的互聯(lián)網(wǎng)開放性,為后來互聯(lián)網(wǎng)商用化的蓬勃發(fā)展起到了決定性的作用����。但與此同時(shí),互聯(lián)網(wǎng)的商用化也給互聯(lián)網(wǎng)的開放性帶來了嚴(yán)峻的挑戰(zhàn)�����,改變了互聯(lián)網(wǎng)的體系架構(gòu)���,尤其是開放性���。互聯(lián)網(wǎng)的開放接口只是盡力而為的IP包轉(zhuǎn)發(fā)服務(wù)�����,而不是高層業(yè)務(wù)和應(yīng)用的接口���,因此互聯(lián)網(wǎng)服務(wù)提供商(ISP)只能提供所謂的“比特管道”業(yè)務(wù)�,很難提供利潤更高的高層業(yè)務(wù)和應(yīng)用,導(dǎo)致大量ISP的倒閉��、破產(chǎn)和兼并�,使得純粹意義上的ISP沒有一個(gè)能夠活下來。于是���,另外一些ISP開始把他們的IP網(wǎng)絡(luò)圈起來,增加各種邊界節(jié)點(diǎn)(Middlebox���,中間體)�����,利用圍起來的“比特管道”提供一些增值服務(wù)�����,獲取更高的利益����,形成了所謂的“Walled Garden(‘帶圍墻的花園’或‘圍墻花園’)”的商業(yè)模式����。
2����、“圍墻花園”的含義
“圍墻花園”是與RFC3439所謂的完全開放的互聯(lián)網(wǎng)模型相對(duì)而言的���,指ISP把用戶限制在一個(gè)特定的范圍內(nèi)���,只允許用戶訪問指定的網(wǎng)站或相關(guān)服務(wù),防止用戶訪問其他未被允許的內(nèi)容和服務(wù)����。當(dāng)然,有的“圍墻花園”也可能不阻止用戶訪問“圍墻花園”外的網(wǎng)站和服務(wù)����,只是給用戶增加了訪問難度。
ISP建立“圍墻花園”的原因有多種��。有的是為了防止用戶不適當(dāng)?shù)卦L問一些有害信息或網(wǎng)站�,如1999年美國在線服務(wù)公司(AOL)少兒頻道就建立了一個(gè)圍墻花園,以防止孩子們?cè)L問一些不適宜的網(wǎng)站��。但更重要和普遍的原因是ISP的商業(yè)利益:ISP希望將用戶資源掌握在自己手中����,引導(dǎo)用戶訪問自己或者合作伙伴的服務(wù)����,減少或防止訪問競爭對(duì)手和不能帶來利益的服務(wù)�����。
可以說����,美國在線服務(wù)公司是“圍墻花園”方案主要和最成功的實(shí)踐者。據(jù)稱85%的美國在線用戶從未離開過AOL的網(wǎng)絡(luò)���,美國人花費(fèi)在網(wǎng)上的40%時(shí)間都處在AOL圈定的“圍墻花園”內(nèi)。另外���,在移動(dòng)數(shù)據(jù)業(yè)務(wù)中�,讓手機(jī)這樣的無線設(shè)備只能訪問限制在一個(gè)范圍內(nèi)的網(wǎng)站�,也是一種典型的“圍墻花園”,如I-Mode模型��,很多收費(fèi)WAP業(yè)務(wù)也是這樣的��。當(dāng)前�����,IPTV業(yè)務(wù)網(wǎng)的模型,下一代網(wǎng)絡(luò)(NGN)以及運(yùn)營商組建的多個(gè)“電信級(jí)”的IP網(wǎng)��,也普遍采用的是這種模型��。
3��、“圍墻花園”的典型類型
目前����,實(shí)際運(yùn)行的典型“圍墻花園”的類型有:
(1)基于終端的“圍墻花園”:指在終端上限定終端用戶可以訪問的網(wǎng)站范圍和服務(wù)形式,超過指定范圍的網(wǎng)站和服務(wù)不能訪問���。這種方式一般可用作“綠色上網(wǎng)”����,比如防止兒童訪問不適宜的網(wǎng)站等���。
(2)基于門戶網(wǎng)站的“圍墻花園”:在這種方式下����,用戶通過門戶網(wǎng)站可以很便捷地訪問指定門戶網(wǎng)站上的服務(wù)(ISP或者ISP合作者的服務(wù))��。但這種方式?jīng)]有真正的圍墻,用戶實(shí)際上也能訪問圍墻外的其它服務(wù)���,只是用戶訪問其它服務(wù)時(shí)會(huì)更加困難一些���。
(3)基于專網(wǎng)或虛擬專用網(wǎng)(VPN)的“圍墻花園”:把提供服務(wù)的所有設(shè)備都放到一個(gè)(虛擬)專用網(wǎng)中,訪問者通過遠(yuǎn)程接入VPN來接入到“圍墻花園”中去���,自由訪問圍墻內(nèi)的所有服務(wù)�����。這種方式不但能限制訪問范圍����,而且也能防范來自外部的攻擊����。
(4)基于防火墻或網(wǎng)關(guān)的“圍墻花園”:類似于基于VPN的圍墻花園����,主要區(qū)別在于這種方式只是把業(yè)務(wù)與應(yīng)用服務(wù)器真正放在圍墻內(nèi),把其它網(wǎng)絡(luò)設(shè)備放在圍墻外��。用戶可通過防火墻或網(wǎng)關(guān),使用圍墻內(nèi)所提供的服務(wù)��。
(5)基于用戶注冊(cè)的“圍墻花園”:只有注冊(cè)的用戶才能使用所保護(hù)的服務(wù)����,非注冊(cè)用戶不能使用。一般基于一組或一類網(wǎng)絡(luò)服務(wù)進(jìn)行注冊(cè)���。該類“圍墻花園”旨在提供應(yīng)用層保護(hù)�,用戶�、網(wǎng)絡(luò)以及應(yīng)用服務(wù)器都暴露在外界的安全威脅下。
4���、“圍墻花園”的規(guī)模
探討“圍墻花園”的規(guī)模���,首先要看“圍墻”上面是否需要開“門”(與外界互通),把“花園”與別的“圍墻花園”或互聯(lián)網(wǎng)連接起來����。其次,如果需要開“門”���,還需要看要開一個(gè)“門”還是多個(gè)“門”����。如果“圍墻花園”不需要對(duì)外開放“大門”(與外界分離),那么在“花園”中可以采用任何類型的編址方式�,比如私有地址(RFC1918)、偷偷把別人的公有地址拿來私用(“公有地址私用”)�,甚至IPv6地址等。因?yàn)檫@時(shí)“圍墻花園”不和外界發(fā)生關(guān)系���,不存在編址沖突的可能性�,因此想讓“花園”做多大就可以做多大����。
但一般情況下,都需要讓“圍墻花園”與外界互聯(lián)互通起來��,這時(shí)花園的規(guī)模就會(huì)受到限制�,就要仔細(xì)研究和規(guī)劃了。因?yàn)橐?guī)模很大的時(shí)候����,與“花園”內(nèi)部可以采用的IP編址方式以及“門”(NAT��,網(wǎng)絡(luò)地址翻譯)的類型都存在很大的關(guān)系��。當(dāng)花園的規(guī)模小于RFC1918規(guī)定的大約1600萬個(gè)IP地址時(shí)(10/8,192.168/16和172.16/12)����,內(nèi)部不用再分級(jí)就可以全部使用平面化的私有地址,在“圍墻”上使用傳統(tǒng)的NAT就完全可以了�。只是需要注意,要盡量避免NAT可能會(huì)出現(xiàn)單點(diǎn)性能瓶頸和故障����。
不分級(jí)的平面式內(nèi)部編址,在“花園”規(guī)模很大���,超過1600萬時(shí)�����,采用RFC1918規(guī)定的全部私有地址也不夠時(shí)�,可以有兩個(gè)辦法來解決:
(1)分級(jí)編址�,多級(jí)傳統(tǒng)NAT,這時(shí)需要注意多級(jí)NAT的穿越��。
(2)內(nèi)部不分級(jí)�,“公有地址私有”,但這需要使用“Twice NAT”和“Multihoming NAT”,并解決由此而帶來的各種復(fù)雜問題��。
這兩種技術(shù)方法都存在很多缺陷�����,迫不得已時(shí)推薦使用第一種��。
5�、“圍墻花園”上“門”的類型
“圍墻花園”一般都采用私有編址,都需要“門”�����,因此這個(gè)“門”一般都需要具有網(wǎng)絡(luò)地址翻譯的功能�����。RFC1631以及相關(guān)RFC定義的NAT/NAPT是一種將IP地址從一個(gè)編址域(如“圍墻花園”)映射到另外一個(gè)編址域(如互聯(lián)網(wǎng))的方法��。NAT最典型的應(yīng)用是把RFC1918定義的私有IP地址映射與互聯(lián)網(wǎng)所使用的公有IP地址做相互映射����。從功能上看,主要有以下幾種典型的NAT(RFC2663):
(1)傳統(tǒng)NAT(Traditional NAT)
在多數(shù)情況下����,傳統(tǒng)NAT允許位于圍墻內(nèi)部的主機(jī)(采用RFC1918地址)透明地訪問圍墻外部(互聯(lián)網(wǎng))的主機(jī),把從圍墻外部到圍墻內(nèi)部的訪問作為一種特例�����,為事先選擇好的特定內(nèi)部主機(jī)做靜態(tài)地址映射����。圍墻外部中主機(jī)的IP地址在圍墻外部以及圍墻內(nèi)部中是惟一的和有效的,但圍墻內(nèi)部主機(jī)的IP地址只有在圍墻內(nèi)部中才是惟一的���,在圍墻外部中不一定有效�����。換言之���,NAT不會(huì)向外部編址域通告內(nèi)部網(wǎng)絡(luò)的地址,但有可能向內(nèi)部網(wǎng)絡(luò)通告外部互聯(lián)網(wǎng)的地址���。圍墻內(nèi)部使用的地址一定不能與圍墻外部的地址重疊���,任何一個(gè)地址或是一個(gè)內(nèi)部地址或外部地址�����,不能同時(shí)是內(nèi)部和外部地址�。傳統(tǒng)NAT又包括基本NAT和NAPT兩大類�。
(2)雙向NAT(Bi-directional NAT,Two-WayNAT)
當(dāng)使用雙向NAT(Bi-directional NAT或Two-Way NAT)時(shí)�,可以從圍墻內(nèi)部向圍墻外部發(fā)起會(huì)話請(qǐng)求,也可以從圍墻外部向圍墻內(nèi)部發(fā)起會(huì)話請(qǐng)求��。當(dāng)在外出或進(jìn)入任何一個(gè)方向上建立連接時(shí)��,把圍墻內(nèi)部地址靜態(tài)或動(dòng)態(tài)綁定到全局惟一的地址上���。這里假設(shè)位于圍墻內(nèi)部和外部網(wǎng)絡(luò)之間的名字空間(FQDN��,F(xiàn)ully Qualified Domain Names)是端到端惟一的��,因?yàn)橹挥羞@樣才能夠使得位于外部編址域的主機(jī)利用域名系統(tǒng)(DNS)訪問內(nèi)部網(wǎng)絡(luò)的主機(jī)��。在雙向NAT上必須部署DNS-ALG(DNS應(yīng)用層網(wǎng)關(guān)��,DNS-Application Level Gateway)��,以處理名字到地址的映射����。當(dāng)一個(gè)DNS包需要穿越圍墻內(nèi)部和外部網(wǎng)絡(luò)編址域時(shí),DNS-ALG必須能夠?qū)NS查詢和響應(yīng)消息中的內(nèi)部地址翻譯成外部地址����,或把外部地址翻譯成內(nèi)部地址�����。
(3)兩次NAT(Twice NAT)
兩次NAT是NAT的一個(gè)變種�����,它同時(shí)修改源和目的地址�。這與前面的傳統(tǒng)NAT和雙向NAT(Bi Directional)都不同,前面的兩種NAT只翻譯源或者目的地址(端口)��。兩次NAT在圍墻內(nèi)部編址域和圍墻外部編址域存在沖突時(shí)非常有用�����。典型例子之一是當(dāng)一個(gè)“圍墻花園”(不恰當(dāng)?shù)兀┦褂靡逊峙浣o其它機(jī)構(gòu)的公開IP地址對(duì)其內(nèi)部主機(jī)進(jìn)行編址時(shí)(“公有地址私用”)�����;例子之二是當(dāng)一個(gè)站點(diǎn)從一家運(yùn)營商換到另外一家運(yùn)營商,同時(shí)又希望(在內(nèi)部)保留前一家運(yùn)營商分配的地址時(shí)(而前一家運(yùn)營商可能會(huì)在一段時(shí)間后將這些地址重新分配給其它人使用)����。在這些情況下,非常關(guān)鍵的一點(diǎn)就是外部網(wǎng)絡(luò)的主機(jī)可能會(huì)分配得到以前已分配給內(nèi)部主機(jī)的同一地址���。如果該地址碰巧出現(xiàn)在某個(gè)包中�,則應(yīng)該將它轉(zhuǎn)發(fā)給內(nèi)部主機(jī)�����,而不是通過NAT轉(zhuǎn)發(fā)給外部編址域�����。兩次NAT通過同時(shí)翻譯IP包的源和目的地址�,試圖橋接這些編址域,解決了地址沖突的問題���。
(4)多宿主NAT(Multihomed NAT)
使用NAT會(huì)帶來很多問題(RFC2993)��。比如���,NAT設(shè)備要為經(jīng)過它的會(huì)話維護(hù)狀態(tài)信息����,而一個(gè)會(huì)話的請(qǐng)求和響應(yīng)必須通過同一NAT設(shè)備做路由�,因此通常要求允許NAT“花園”邊界路由器必須是惟一的,所有的IP包要么發(fā)起�����,要么終結(jié)在該域�����。但這種配置將NAT設(shè)備變成了可能的單點(diǎn)故障點(diǎn)���。
為了讓一個(gè)內(nèi)部網(wǎng)絡(luò)能夠在某個(gè)NAT鏈路故障的情況下,也可以保持與外部網(wǎng)絡(luò)的連通性�����,通常希望圍墻內(nèi)部網(wǎng)絡(luò)到相同或不同的ISP具有多條連接(多宿主的)����,希望經(jīng)過相同或不同的NAT設(shè)備。又如�����,多個(gè)NAT設(shè)備或多條鏈路使用同一NAT,共享相同的NAT配置能夠?yàn)橄嗷ブg提供故障備份����。在這種情況下,有必要讓備份NAT設(shè)備交換狀態(tài)信息��,以便當(dāng)主NAT出現(xiàn)故障時(shí)�����,備份NAT能夠擔(dān)負(fù)起透明地保持會(huì)話的能力��。
6��、“圍墻還原”模型的爭論
關(guān)于“圍墻花園”商業(yè)模型是否合理��、合法的問題�,圍繞著“網(wǎng)絡(luò)中立”和商業(yè)模式,業(yè)界存在很大的爭議��。但這種爭論仍然基本屬于電信界和互聯(lián)網(wǎng)界的“理念”爭議之一��。從當(dāng)前情況的發(fā)展看,這將是自互聯(lián)網(wǎng)商用以來���,電信業(yè)與互聯(lián)網(wǎng)業(yè)的一次世紀(jì)性大搏弈����,事關(guān)兩大產(chǎn)業(yè)的利益格局����,事關(guān)所有用戶的切身利益。
主張“花園”不能有“圍墻”的主要來自互聯(lián)網(wǎng)界�,以“網(wǎng)絡(luò)中立”的討論為代表,認(rèn)為網(wǎng)絡(luò)是一種公共的基礎(chǔ)設(shè)施�,任何人都能平等地在網(wǎng)絡(luò)上傳輸數(shù)據(jù)����,ISP不得對(duì)網(wǎng)上的傳輸進(jìn)行任何岐視性限制或收費(fèi)��!熬W(wǎng)絡(luò)中立”議案由美國消費(fèi)者協(xié)會(huì)提出��,獲得Google��,eBay等互聯(lián)網(wǎng)公司力挺�,遭到AT&T,Verizon為代表的運(yùn)營商的反對(duì)。
當(dāng)前���,美國主要運(yùn)營商都在對(duì)線路進(jìn)行擴(kuò)容�,為大規(guī)模上IPTV做準(zhǔn)備�,并在討論是否要向內(nèi)容提供商收取線路租用費(fèi)以外的額外費(fèi)用。而Google等互聯(lián)網(wǎng)公司則認(rèn)為不應(yīng)額外收費(fèi)��,并試圖以立法的形式確立“網(wǎng)絡(luò)中立”的原則��,從法律上堵住運(yùn)營商額外收費(fèi)的可能性��。在運(yùn)營商看來�,Google等互聯(lián)網(wǎng)公司利潤豐厚,而運(yùn)營商利潤情況較差�,在線路擴(kuò)容上投資巨大,如不再收取額外的費(fèi)用是不公平的��。而Yahoo等互聯(lián)網(wǎng)公司則認(rèn)為��,運(yùn)營商已經(jīng)收取線路費(fèi)用����,額外收費(fèi)會(huì)導(dǎo)致阻礙創(chuàng)新,違反互聯(lián)網(wǎng)開放���、公平的原則�,限制了互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展,損害了消費(fèi)者的利益����。互聯(lián)網(wǎng)界沒有自己的網(wǎng)絡(luò)基礎(chǔ)設(shè)施����,只能使用別人的,因此從他們自身的角度看堅(jiān)持互聯(lián)網(wǎng)不能有圍墻的想法很正常���。
運(yùn)營商與互聯(lián)網(wǎng)公司的這種利益關(guān)系調(diào)整是全球性的��。一旦“網(wǎng)絡(luò)中立”在美國成立或者不成立���,都會(huì)是全球性的定論�����,各國運(yùn)營商和互聯(lián)網(wǎng)公司都不會(huì)有再次選擇的機(jī)會(huì)��。無可否認(rèn)的是:目前互聯(lián)網(wǎng)產(chǎn)業(yè)鏈各環(huán)節(jié)之間缺乏有效的利益分配和協(xié)調(diào)機(jī)制�。端到端的業(yè)務(wù)與承載分離使得網(wǎng)絡(luò)基本成為透明的傳輸通道,業(yè)務(wù)實(shí)現(xiàn)與控制的權(quán)利和責(zé)任完全推向業(yè)務(wù)提供商和用戶。這一方面使得業(yè)務(wù)提供商和用戶承擔(dān)了過多的責(zé)任����;另一方面也導(dǎo)致業(yè)務(wù)的開發(fā)部署不需要ISP的參與,沒有使ISP成為“利益攸關(guān)方”�����,打擊了他們的投資積極性���,因而很多與網(wǎng)絡(luò)屬性密切相關(guān)的業(yè)務(wù)無法順利開展���。這是導(dǎo)致互聯(lián)網(wǎng)泡沫的主要原因,因此建立“適當(dāng)”的圍墻��,以便讓業(yè)務(wù)具有提供更高的服務(wù)質(zhì)量�,更好的安全服務(wù)和更合理的商業(yè)模式。但什么是“適當(dāng)”的��,則需要進(jìn)一步的研究和實(shí)踐�。
7、結(jié)束語
由于互聯(lián)網(wǎng)的應(yīng)用目的發(fā)生了很大變化�,而且“用戶自律”的假設(shè)不再適用,因此未來互聯(lián)網(wǎng)應(yīng)對(duì)完全開放���、沒有“圍墻”的體系架構(gòu)做相應(yīng)地修正和發(fā)展�����,以便在新的歷史發(fā)展階段適應(yīng)新的應(yīng)用需求��。雖然未來互聯(lián)網(wǎng)仍將堅(jiān)持“端到端透明性”的體系架構(gòu)�����,但應(yīng)修建適當(dāng)?shù)摹皣鷫Α眮頋M足一定的約束條件���,即“有條件的端到端透明性”�����。在保證人人能夠繼續(xù)參與互聯(lián)網(wǎng)發(fā)展和創(chuàng)新的前提下�����,網(wǎng)絡(luò)中應(yīng)內(nèi)嵌一些對(duì)用戶透明的管理和控制機(jī)制(即“圍墻”),抑制用戶的不自律行為�����,平衡產(chǎn)業(yè)鏈不同角色之間的職責(zé)和利益。
