vrf在計算機網路是什麼意思

❶ 給你10個路由器或交換機，你如何配置（第1篇）

前幾周有人問我，如果有一個環境中給你10多個交換機和路由器，應該如何配置。這是一個很好的問題，關鍵不在埠安全、Port Channel、STP、和路由的配置，而是在於針對終端應用服務特點選擇相應適合的網路架構。

近十年來，雖然雲服務的擴展性需求促進了相關解決方案快速發展，然而數據中心常見的網路拓撲仍然可以歸納為兩種：傳統的三層網路架構，和Leaf-Spine二層網路架構。

傳統的三層網路架構由三層交換機組成：即訪問層，聚合層(有時稱為分發層)和核心層。伺服器連接到其中一個邊緣層訪問交換機(常稱Top of Rack Switch，或 TOR Switch)，聚合層交換機則將多個接入層交換機互連在一起，所有聚合層交換機通過核心層交換機相互連接。核心層交換機還負責將數據中心連接到Internet。傳統的數據中心過去採用的就是這種三層架構。

下圖是我參與優化設計的有數萬台伺服器的傳統數據中心網路架構示意圖。

在這個拓撲中，除了經典的三層（分發路由器，網路分區匯聚路由器，伺服器接入交換機）外，核心層還包括了： WAN核心骨幹路由器，WAN發路由器，WAN優化加速器，LAN核心路由器，外部Choke路由器，Internet邊界路由器，Transit，防火牆，用於聯接數據包分析器的Network TAP。網路負載均衡器放在了聚合層。另外還有一個專用的OOB接入層，用於設備維護管理。

三層架構雖然容易部署、易於診斷，但是其已無法滿足日益增長的雲計算需求。三層架構面臨的主要問題包括：低可擴展性、低容錯性、內部伺服器之間橫截面帶寬低、較高層超額使用（Oversubscription）、高層次的拓撲中使用的大型模塊化交換機成本非常高。

我過去常採用以下這幾個方法緩解三層架構中網路分離問題：
(1)、PVLAN: 專用VLAN，也稱為埠隔離，是計算機網路中的一種技術，其中VLAN包含受限制的交換機埠，使得它們只能與給定的埠通信。這個常用於後端的NFS網路。
(2)、VRF虛擬化路由表，用於路徑隔離。
(3)、GRE Tunnel。
(4)、使用一些Overlay network封裝協議並結合一操作系統虛似化實現網路分離。

Leaf-Spine網路架構解決了傳統三層網路架構所面臨的Oversubscription和內部伺服器之間橫截面帶寬問題。Leaf-Spine網路架構在過去幾年裡已開始接管主要的雲服務數據中心。Leaf-Spine結構也稱為Clos結構，其中每個Leaf交換機（ToR交換機）以全網狀拓撲連接到每個Spine交換機。這是一種兩層的Fat-tree網路。這種架構中Leaf之間只有一個跳，最大限度地減少了任何延遲和瓶頸。Spine網路的擴展非常簡單，只要在需增長的情況下逐步添加Spine交換機。

Leaf-Spine架構使用定製的定址方案和路由演算法，而非傳統的STP。根據網路交換機中可用的功能，可以使用第2層或第3層技術實現Leaf-Spine網格。第3層的Leaf-Spine要求每個鏈路都被路由，並且通常使用開放最短路徑優先（OSPF）或等價多路徑路由（ ECMP ）來實現的邊界網關協議（BGP）動態路由。第2層採用loop-free的乙太網fabric技術，例如多鏈接透明互聯（TRILL）或最短路徑橋接（SPB, IEEE 802.1aq）。其中，思科的FabricPath 和Brocade的Virtual Cluster Switching是基於TRILL發展而來的私有data plane。核心網路還可使用帶有ECMP的動態路由協議通過第3層連接到主幹網。華為、聯想、Brocade、HP、 Extreme Networks等公司都有基於TRILL的產品或其它Leaf-Spine架構的解決方案。

Leaf-Spine結構的優點是：

(1)、使用所有鏈路互連，而不像傳統網路中冗餘鏈路被STP阻塞。
(2)、所有內部Leaf之間橫向通信都是等距的，因此數據流延時時間是確定的。
(3)、Underlay的交換機配置和核心網路配置是固定的，因此變更Overlay Network的路由不需要更改核心網路。
(4)、產品安全區域能虛擬分離，擴展了VLAN和多租戶安全性。
(5)、基礎設施的物理網路可以和邏輯網路(Overlay network)分離。

Leaf-Spine結構也有些缺點，比如：

(1)、網路交換機的數量遠遠大於三層網路架構。
(2)、擴展新的Leaf時需要大量的線纜、並佔用大量Spine交換機埠。
(3)、Spine交換機埠數量決定了最大可聯接的Leaf交換機數量，也就決定了最大主機總數量。

下圖是我參與過的一個公有雲Leaf-Spine方案示意草圖。

現代的數據中心部署中，我們一般將網路設備、伺服器和機架在出廠時應模塊化。對於使用Leaf-Spine 網路的數據中心，出廠時預裝配成四種類型的標准工程系統：Transit 機櫃, Spine 機櫃, Fabric 機櫃, 和 Server 機櫃。Leaf 交換機和伺服器一樣被預裝配於 Server 機櫃，基本上做到開櫃上電即可上線使用。

當下全球主流公有雲基本上採用的都是Leaf-Spine 網路架構。然而，各家公有雲服務商Leaf-Spine網路中的Underlay Network和Overlay Network使用的協議和方案有很大區別。比如，你可以基於Leaf-Spine架構使用VXLAN來設計你的SDN解決方案，也可以基於ECMP的BGP-labeled-unicast的underlay 網路，使用MPLS L3VPNs構建另一種多租戶的數據中心SDN解決方案。

聊完了兩種層數據中心網路架構，相信大家如有機會搭建新的網路時，應該知道如何選擇您的網路架構方案了。

歡迎大家發表留言，談談你所熟悉的Leaf-Spine網路架構方案中，Underlay Network和Overlay Network使用的協議分別是什麼。

參考資料：
(1)、 Building Multi tenant Data Centers with MPLS L3VPNs
(2)、 Cisco Data Center Spine-and-Leaf Architecture: Design Overview White Paper

❷ 簡評三個基於VRF的共識演算法

上交所技術公司  朱立

Algorand、Dfinity和Ouroboros Praos三個共識演算法（Dfinity雖然是項目名，這里用來稱呼其共識演算法也應無不妥）近期較受關注，而且都是基於VRF(Verifiable Random Function) 設計，可以對照學習。Algorand的版本很多，以下單指  1607.01341v9 ，暫稱其為Algorand'（筆者手中另有Algorand的 最新版本 ，其中已對下文提及的幾處問題完成了修正，可與本文參看）。

一、VRF的共性

VRF的意義很好理解——用以完成出塊人（群）的隨機選擇。為此，VRF的返回值應盡力難以預測。先看Algorand'和Dfinity的套路是怎麼做的：大體上是先將前一個隨機數（最初的隨機數卻是協議給定的）和某種代表高度、輪次的變數進行組合，用某種私鑰對之進行簽名（或者是先簽名再組合），最後哈希一下得出最新的隨機數。這樣產生的隨機數旁人很容易驗證其合乎演算法，"V"就這樣得到了；而哈希返回值又是隨機分布的，「R」也因此得到保證。在此過程中，為降低操縱結果的可能性，有兩個注意事項： A) 簽名演算法應當具有唯一性，也就是用同一把私鑰對同樣的信息進行簽名，只有一個合法簽名可以通過驗證——普通的非對稱加解密演算法一般不具備這個屬性，如SM2。如果用的簽名演算法沒有這種uniqueness屬性，那在生成新隨機數的時候就存在通過反復多次嘗試簽名以挑出最有利者的餘地，會降低安全性。 B) 避免在生成新隨機數時將當前塊的數據作為隨機性來源之一，比如引用本塊交易列表的merkle root值等等，因為這樣做會給出塊人嘗試變更打包交易順序、嘗試打包不同交易以產生最有利的新隨機數的餘地。在設計和檢視新的共識演算法時，以上兩個注意事項是要特別留意的。

考察一下VRF的返回結果應該如何運用。目前所見用法中，VRF的返回結果可以用來公開完成節點或節點群體的選擇，也可以私密地完成選擇。以Dfinity為例，它是利用mod操作來唯一、公開地確定一個Group。Algorand'、Ouroboros Praos是私密選擇的範例，大致套路是對VRF的最新返回值，配上輪次等變數後用私鑰進行簽名並哈希，如果哈希值小於某個閾值，節點就可以私密地知道自己被選中。這種方法很可能在網路節點數較多時的表現會更穩定，否則幸運兒個數上下波動會較大，進而影響協議表現，包括空塊和分叉。

二、簡評強同步假設版本的Algorand'

私密選擇提供了較強的抗擊定點攻擊的能力，但由於幸運兒的總數對於任何一個幸運兒都是不能預知的，也因此給後續共識演算法的設計和區塊鏈的優化帶來了困難。Algorand『採用了很強的同步網路假設（同步網路假設下的共識演算法當然容易做一些），要求預先知道網路消息傳播時間的上限：在固定時間內完成對固定比例的用戶的網路傳播。比如要知道，1KB消息，在1秒鍾內完成全網95%的傳播，而1MB消息需要1.5分鍾完成全網95%的傳播。但這個傳輸上限應該如何選擇？ 通過一段時間的統計結果再乘以一個系數這種經驗統計？只能說「感覺上可以」，但如果要嚴謹和安全，Algorand『演算法應該補充證明即使在遭遇DDOS或互聯網擁堵的情況下消息傳播嚴重超限後演算法仍然能夠保證安全——然而這個證明是缺失的。作為對照，Ouroboros Praos公開承認之前在同步網路假設下設計的Ouroboros協議在非同步網路條件下會出錯，所以才又做了Ouroboros Praos；新版本的Algorand承認在弱同步網路時會在不同的塊上達成共識（後續網路恢復強同步時分叉可以得到解決）雲雲，這些都可資參考。

即使我們暫且認可Algorand'演算法可以通過設定一個很大的傳播時間上限來回應上述問題，但隨之而來的是此時可以看出此演算法缺乏一個非常好的特性：Responsiveness。這個特性指的是：若一個協議被設計為在一個較大的傳播時間上限DELTA下工作，但若實際傳播時間是較小的delta，則協議的實際推進步調將只和delta有關，這種協議被稱為Responsive的。具有Responsive特性的共識演算法再配以同步網路假設會非常理想——出於安全，上限可以設置很大，然而協議執行速度只和當時網路條件有關。Algorand'並不具有這種特性。平均而言，Algorand'完成共識所需的消息傳送次數是11輪，每輪如果要確保安全，完成共識的時間就會很長，單個分區的吞吐量就不會太高。當然，架構設計涉及很多取捨，最終評價一個演算法好還是不好還是要回到初心——准備拿來實現的目標是什麼。上述分析只是嘗試客觀地指出Algorand'演算法的幾個少為人知的固有特徵，供讀者自行評估。

三、簡評Dfinity的可擴展性問題

私密選擇並且立即上任的做法，也給系統分片帶來了極大挑戰。Dfinity是明確要做分片(Sharding)的，所以必須直面挑戰。可擴展性問題非常復雜，完整解決這個問題需要通盤考慮網路、存儲、計算三方面的可擴展性——時下大多數區塊鏈3.0項目只注意到計算的分片和可擴展性，忽略了其餘二者，從而不可能真正實現理想的擴展。由於公鏈節點網路帶寬的制約，計算合約所需的數據通常很難迅速地從一個節點拷貝到另一節點，所以就算用VRF實現了飄忽來去的出塊節點選擇，存儲節點是沒法同樣飄逸如風的。明顯的選擇有那麼幾個：全部節點存儲全部數據，不同節點靜態地分配用來存儲不同分區。前者的可擴展性很差，對於後者而言，如果出塊節點漂浮不定且出塊節點還需要完成合約運算，就意味著基於P2P網路來回遠程訪問存儲，性能多半急劇下降；動態決定的出塊節點只完成排序共識，計算能力和存儲捆綁，通過靜態分區提供可擴展性，可能是合理的應對。然而，最可恨的就是「然而」二字——即使如此，系統還存在一處對存儲和網路構成壓力的所在：最終用戶提交的待打包交易。普通公鏈（先不考慮EOS那種）的帶寬有限，如果用戶提交的待打包交易必須粗放型地全網泛濫傳播，那現有網路帶寬可以提供多少TPS？如果出塊節點是靜態分區或者至少提前一段時間公開知曉，事情尚有迴旋餘地；如果出塊節點是如此飄忽不定，而且直到最後一刻也只有這些節點自己知道，那無論是用戶還是出塊節點候選人看起來最直接的應對之道就是全網泛濫傳播全部待打包交易、保存全部待打包交易，這樣帶寬和存儲仍然成為系統瓶頸。

所以這里碰到的，本質上還是安全、可擴展性、去中心化的不可能三角。

四、簡評Ouroboros Praos

BM懟 Ouroboros的文字已經流傳廣泛。BM的話當然有些明顯是不對的，比如Ouroboros的DPOS是指"Dynamic [stake distribution] POS"而不是BM的Delegate POS，但其關於Pareto分布的評論則值得玩味。如果我們仔細瀏覽後出的Ouroboros Praos，可以發現協議的安全假設和安全證明完全沒有考慮經濟博弈因素，因此洋洋灑灑的證明很可能會不得要領而錯過真正需要防護的方向——畢竟一直以來POS/DPOS這些協議的血管裡面流淌的就是基於經濟博弈和人性進行設計的血液。最明顯的例子是在forward secure signature的實現方法上，協議目前的設計是要求每個好的節點自覺主動地安全刪除用過的私鑰，而完全沒有考慮近乎零的私鑰保存成本如何面對bribe attack的誘惑，然而這卻是值得考慮的。除了形式化證明之外，Ouroboros Praos本身並沒有太多值得關注的協議特徵，總體上就是用VRF抽簽結合POS演算法並針對某些安全假設進行了形式化證明，其做事的態度是非常值得贊賞的。

五、總結

這幾個演算法本身頗有創意，也很值得學習。與此同時，在看過以太坊CASPER目前披露的分區技術後，筆者的體會是：區塊鏈3.0的競爭才剛剛開始，從以太坊團隊的技術路線看，他們的技術考量和選擇要比很多宣稱要超越以太坊的團隊來得深刻和全面。如果當真要超越以太坊，還是應該先從理解以太坊開始。

順便感謝趣鏈邱煒偉博士對本文的貢獻！

❸ RD,RT以及VRF是什麼

RD（Route-Distinguisher）用於標示PE設備上不同VPN實例，其主要作用也就是實現VPN實例之間地址復用。

RT（Route-Target）是VPNv4路由攜帶的一個重要屬性，它決定VPN路由的收發和過濾，PE依靠RT屬性區分不同VPN之間路由，也成為MBGP測試中的一個重點。

VRFBGP/MPLS VPN的安全舉措之一就是路由隔離和信息隔離，它是通過VPN路由轉發(VPN Routing。

認證：

一、為貫徹國家科教興國戰略，提高勞動者素質，根據《中華人民共和國職業教育法》第一章第八條，「實施職業教育應當根據實際需要，同國家制定的職業分類和職業等級標准相適應，實行學歷證書、培訓證書和職業資格證書制度。

二、 CVEQC認證證書持有者已經通過了中國職業教育資格認證指導中心組織的培訓和相應的考試，具有相應的專業技能和知識。

三、CVEQC證書可作為勞動者崗前培訓、在職培訓、提高培訓、繼續教育的培訓認證；也是勞動者「先培訓、後就業，先培訓、後上崗」的憑證。

以上內容參考：網路-後端工程師