邊緣路由與網路

邊緣的TCP/IP網路功能

• 路由功能
  • 路由器基本功能：連接網路分段，是OSI模型第三層功能，利用IP位址引導資料包移動。
    • 所有路由器都依賴路由表來查找資料包目的IP位址的最佳匹配。
  • 路由演算法：
    • 動態路由：能對網路和拓撲變化做出反應，透過路由協定定時或觸發更新來共享網路狀態資訊。
      • 範例包括距離向量路由和鏈路狀態路由。
    • 靜態路由：非自適應，預設在路由器上，適用於需要配置特定路徑的小型網路。
    • 最短路徑優先 (SPF)：構建網路路由器圖，找出從任何源到任何目的地的最短路徑。
    • 泛洪 (Flooding)：路由器向鏈路上的每個終端重複廣播資料包，會產生大量重複，需設定跳數限制生存時間。
      • 選擇性泛洪只在目的地大致方向上進行。藍牙網狀網路基於泛洪網路。
    • 基於流的路由 (Flow-Based Routing)：在確定路徑前檢查網路中的當前流量，計算鏈路上的平均資料包延遲以找到最小值。
    • 距離向量路由 (Distance Vector Routing)：路由表包含到每個目的地的最佳已知距離，由相鄰路由器更新，包含首選路徑和估計距離（如跳數、延遲）。
    • 鏈路狀態路由 (Link State Routing)：路由器透過HELLO資料包發現鄰居，測量延遲，並將拓撲和時間資訊共享給所有路由器，建立完整拓撲結構。
    • 分層路由 (Hierarchical Routing)：路由器分區，每台路由器了解自己區域。
      • 有效控制受限設備中的路由表大小和資源。
    • 源路由 (Source Routing)：每個資料包攜帶目的位址列表，廣播路由器分析並為每條輸出線路生成新資料包。
    • 組播路由 (Multicast Routing)：網路分組，應用程式可將資料包發送到整個組。
  • 收斂時間：指網路中所有路由器共享相同拓撲資訊和狀態所需的時間。
  • 常見路由協定：
    • BGP-4 (Border Gateway Protocol)：網際網路域路由協定標準，用於ISP。
      • 是一種距離向量動態路由演算法，通告整個路徑。
      • 路由表大時需要大量頻寬。
      • 對網狀拓撲可能較差，是少數基於TCP的路由協定之一。
    • OSPF (Open Shortest Path First)：提供網路擴展和收斂優勢，廣泛用於網際網路骨幹網和企業網。
      • 是一種鏈路狀態演算法，支援IPv4和IPv6，能在幾秒鐘內檢測並回應動態鏈路變化。
    • RIPv2 (Routing Information Protocol)：基於跳數的距離向量路由演算法，用於內部閘道協定。
      • 支援可變大小的子網，限制最大跳數（15）以防止循環。
      • 基於UDP，僅支援IPv4流量。
      • 收斂時間較長，但對於小型邊緣路由器拓撲易於管理。
    • RIPng (RIP Next Generation Protocol)：支援IPv6流量和IPSec用於身份驗證。
  • 路由表：包含目標IP
    • 閘道
    • 介面
    • 旗標
    • 度量（跳數）
    • 路由類型如：unicast
      • unreachable
      • blackhole
      • prohibit
      • local
      • broadcast
      • throw
    • 可混合IPv4和IPv6位址。
• PAN到WAN的橋接
  • 核心功能：將非IP通訊（如藍牙廣播）轉換為基於IP的廣域網（如MQTT流經5G）。
  • 流程：通常是事件驅動或輪詢式。資料抵達後可能進行：
    • 過濾 (Filtering)：基於電源管理或身份驗證等規則過濾資料包。
    • 快取 (Caching)：本地儲存資料（RAM或非揮發性記憶體），用於後續傳輸或恢復能力，特別是在通訊不可靠時。
    • 上行 (Uplink)：資料包被封裝在出站協定（如MQTT或HTTP）中，透過安全網路發送到雲端服務。
  • 邊緣的強大之處：控制系統內的邏輯
    • 如規則引擎
    • 機器學習
    • 高階電源管理
    • 邊緣分析
  • 實例：泰利特蜂窩NB-IoT模組透過UART或USB連接到主機，可使用Hayes AT指令集操作或透過RNDIS/USB乙太網連接。
    • RNDIS (Remote NDIS)：用於在USB鏈路上強制傳輸乙太網幀，因典型乙太網以幀傳輸而USB不是。
      • ECM (Ethernet Control Model) 和 EEM (Ethernet Emulation Model) 是此類協定，ECM實施較簡單。
  • 邊緣控制應用：在藍牙等BLE堆疊中，應用程式控制非IP側的橋接。
    • 執行初始化
      • 網路綁定
      • 過濾
      • 變性（基於隱私規則過濾）
      • 快取和分析傳入資料流
      • 最終上傳至WAN。
  • SIM卡選擇：傳統SIM卡或嵌入式SIM (eSIM)，後者適用於惡劣環境。
  • AT命令通訊：邊緣計算機應用可建立虛擬AT埠，透過COMMAND模式配置和控制數據機，或透過ONLINE模式自由上傳資料。
    • 每個AT埠分配一個IP位址。
    • 例如，AT#SD 命令用於打開TCP/UDP連接到已知主機。
• 故障切換和帶外管理 (OOBM)
  • 故障切換 (Failover)：關鍵功能，特別是對於移動車輛和患者護理應用。
    • 當主WAN介面丟失時（如隧道中蜂窩連接丟失），自動無縫地切換到另一個WAN介面，不應有資料包丟失或明顯延遲。
    • 應用範例：物流公司車隊在不同蜂窩網間的連接保證（多個SIM卡身份）
      • 家庭健康監測主要使用客戶Wi-Fi，若信號丟失則切換至蜂窩WAN
      • 超市零售場景中，若傳統網際網路故障，系統切換至蜂窩服務，並限制客戶Wi-Fi等非核心服務以保證收銀和金融業務。
  • 帶外管理 (Out-Of-Band Management, OOBM)：提供專用且隔離的通道來管理設備。
    • 即使主系統離線、損壞或斷電，仍能透過此信道遠端管理和檢查設備，稱為「斷電管理 (Light-Out Management, LOM)」。
    • 重要性：對於需要保證正常運行時間和遠端管理（如石油天然氣監控、工業自動化）的物聯網部署非常有用。
    • 設計原則：應不依賴被監控系統的功能。
    • 優勢：即使傳統網路路徑丟失，IT管理人員仍可重置設備、阻止惡意軟體攻擊並重新程式設計設備。
      • OOBM需要從主系統中輔助和隔離。

邊緣級的網路安全

• 虛擬局域網 (VLAN)
  • 功能：與物理局域網類似，但允許電腦和其他設備被分組，即使它們沒有物理連接到同一個網路交換機。
  • 原理：在OSI模型的資料鏈路層（第二層）進行分區。
    • 透過在乙太網幀中使用12位標識符或標籤（IEEE 802.1Q標準），可創建4096個潛在VLAN。
  • 優勢：減輕了分區聯網的負擔，無需額外布線。
    • 流量可透過第三層進行隧道傳輸，允許地理上分離的VLAN共享公共拓撲。
  • 物聯網應用：在物聯網領域很有用，典型場景是將物聯網設備與其他企業功能隔離。
    • 但僅適用於IP可尋址設備。
  • 範例：特許經營或零售場景下，銷售點系統(POS)、VOIP系統、物聯網設備和訪客Wi-Fi可透過VLAN在同一物理網路中實現隔離。
• 虛擬私人網路 (VPN)
  • 功能：在公共網路（通常是不安全的網際網路）上建立與遠端網路的安全連接。
  • 物聯網應用：對於物聯網部署來說，將遠端感測器和邊緣設備的資料傳輸到企業或私人局域網是必要的，特別是當企業網路有防火牆時。VPN可能是橋接網路路由器的必要組件。
  • VPN類型：
    • IPsec VPN：傳統形式，位於OSI協定棧的網路層，透過兩個終端之間的隧道保護資料。
    • OpenVPN：開源VPN，用於路由或橋接配置中的安全點對點和站點對站點連接。
      • 結合客製化安全協定，利用SSL/TLS進行密鑰交換、加密控制和資料面。
    • WireGuard：另一種開源VPN，通常比OpenVPN或IPSec更容易配置和設定，程式碼庫小（4000行），功能精簡。
    • GRE (Generic Routing Encapsulation)：透過類似VPN隧道的隧道建立點對點連接，但對其有效載荷進行封裝，允許資料在其他IP路由器和隧道中不受干擾傳輸，並可傳輸IPv6和組播流量。
    • L2TP (Layer 2 Tunneling Protocol)：透過UDP資料報在兩個私人網路之間建立連接，通常用於VPN或ISP服務。
      • 本身不內置安全或加密功能，通常依賴IPsec。
  • VPN功能比較：應關注是否支援DNS
    • IPv6
    • SSL/SSH
    • 資料加密和握手加密方式（如AES256）
    • SSL服務評級
    • 日誌功能。
  • IPsec安全性：VPN隧道通常使用IPsec進行資料包驗證和加密。
    • IKE (Internet Key Exchange)：IPsec的安全協定，分兩個階段建立安全通訊通道。
      • 使用加密演算法（AES 128/256, DES, 3DES）
      • 雜湊函數（MD5, SHA1, SHA2）
      • DH群組（Diffie-Hellman Group，如Group 1, 2, 5）進行安全交換。
      • 某些加密/雜湊組合可能計算成本很高，影響廣域網性能。
    • 行動和電源受限的物聯網部署注意事項：傳統VPN無法承受不間斷的網路連接中斷（如蜂窩漫遊），可能導致超時和斷開。
      • IETF的HIP (Host Identity Protocol) 或軟體定義網路 (SDN) 試圖解決此問題。
• 流量整形和服務品質 (QoS)
  • 在處理擁塞或可變網路負載時，需要保證服務水平的部署中非常有用（如物聯網中混合實時視訊流和公共Wi-Fi，視訊需要優先級）。
  • 服務品質 (QoS)：允許管理員為特定IP位址分配優先級，僅控制上行鏈路信道。
    • 不分配硬限制，也不像流量整形那樣對鏈路進行分段。
  • 流量整形 (Traffic Shaping)：預分配頻寬的一種靜態形式，可能導致頻寬浪費。
  • 動態整形 (Dynamic Shaping)：允許管理員動態分配頻寬分段規則給入口和出口流量，管理實時應用程式的延遲敏感資料包。規則可基於資料或應用程式類型。
  • 差分服務 (DiffServ, Differentiated Service)：一種分類和管理網路流量的方法，在IP報頭中使用6位DSCP (Differentiated Service Code Point) 進行資料包分類。
    • 邊緣路由器可在網路邊緣執行複雜功能並標記資料包，是一種粗粒度工具。
  • 整合服務 (IntServ, Integrated Service)：協助QoS，要求鏈中的所有路由器都支持，是一種細粒度QoS形式。
  • 平均意見得分 (MOS, Mean Opinion Score)：從用戶角度衡量系統品質的算術平均值，通常用於VoIP應用，基於1-5分主觀評分。
  • TCP 性能增強代理 (PEP, Performance-Enhancing Proxy)：邊緣路由器可使用PEP來克服和補償鏈路品質變化（RFC 3135）。
    • PEP可位於傳輸層或應用層，形式包括竊聽型PEP（模擬終端）和分割連接型PEP（兩端運行）。
    • PEP功能：連接分割（克服大延遲）
      • ACK過濾（提高非對稱鏈路性能）
      • 本地重傳（隱藏無線鏈路干擾和衝突）
      • TCP Layer 2 Aware（監測丟包並重新排序）
• 安全功能
  • 邊緣路由器/閘道的重要安全角色：在WAN、網際網路和底層PAN/IoT設備之間提供安全保護
    • 因為許多IoT設備缺乏足夠的資源和能力提供強大安全性。
  • 防火牆保護：基本安全形式。
    • 網路防火牆：過濾和控制網路間的資訊流。
      • 預設阻止某些流入流量，允許所有源自區域內的流量向外流動。
    • 個人防火牆：保護本地應用程式和服務。
    • 資料包過濾 (Packet Filtering)：根據源/目的IP、埠、MAC位址等隔離和控制流量。
    • 狀態過濾 (Stateful Filtering)：在OSI第四層運行，收集資料包，尋找模式和狀態資訊。
    • 應用程式過濾 (Application Filtering)：更複雜，搜尋特定應用程式網路流（如FTP或HTTP）。
  • 非軍事區 (DMZ, DeMilitarized Zone)：一個邏輯區域，DMZ主機實際上沒有防火牆，網際網路上的任何電腦都可以嘗試遠端存取其網路服務。常用於運行公共網路伺服器和共享檔案。
  • 埠轉發 (Port Forwarding)：允許防火牆後面的某些埠暴露出來，一些物聯網設備需要開放埠來提供由雲元件控制的服務。
  • 安全提示：DMZ和埠轉發會開放埠和介面，應謹慎行事。
    • 在大規模物聯網部署中，通用規則可能帶來安全風險。應定期審計DMZ和開放埠。
• 指標和分析
  • 物聯網邊緣設備常受服務水平協定或資料上限限制，邊緣路由器/閘道是PAN網路/網狀網健康狀況的中央權威。
  • 重要性：指標和分析對於收集和解決連接性及成本挑戰非常有用，尤其隨物聯網規模增長。
  • 典型指標：運行時間（歷史趨勢、服務水平）
    • 頻寬利用率（每個客戶端/應用程式的入口、出口、匯總）
    • 頻寬分析（隨機或計畫的）
    • 延遲（Ping回應時間、平均/峰值延遲）
    • 網路拓撲（頻寬、異常流量、網狀網重組）
    • 射頻健康狀況（信號強度、站點調查）
    • 位置（GPS座標、移動）
    • 安全性（客戶端連接、管理員登錄、PAN認證成功/失敗）
    • 故障切換事件（數量、時間、持續時間）
  • 範例：市政車輛物聯網（除雪車隊報告GPS位置、鹽/犁狀態），收集指標以了解信號完整性和廣域網正常運行時間，並緩存資料直到蜂窩信號恢復。
  • 自動化：應計畫性自動收集和監控指標。
    • 高階路由器應能針對邊緣的事件或異常行為建立規則和警報。

軟體定義網路 (SDN)

• 概念：一種將定義網路控制面的軟體和演算法與管理轉發面的底層硬體解耦的方法。
• 網路功能虛擬化 (NFV, Network Function Virtualization)：提供在與廠商無關的硬體上運行的網路功能（通常在第四到第七層）。
• 重要性：這兩種模式為業界提供了以非常靈活的方式構建、擴展和部署複雜網路架構的方法，並大大降低了網路基礎設施成本，因為大多數服務可在雲端運行。
• 物聯網結合點：傳統網路建設無法擴展到數十億異構、遠端、移動且連接不穩定的物聯網節點。
  • SDN是解決此問題的替代手段。對於因安全或性能原因必須隔離設備的物聯網部署非常重要。
• SDN架構
  • SDN的四個特徵：
    • 控制面與資料面解耦：資料面硬體成為簡單的資料包轉發設備。
    • 所有轉發決策基於流而非目的地：流是一組符合標準的資料包，所有資料包以相同策略處理。
      • 流程式設計允許使用虛擬交換機、防火牆和中間件。
    • 控制邏輯（SDN控制器）：軟體版傳統硬體，可在商品硬體和雲端實例上運行，指揮和控制簡化交換節點。
      • 從SDN控制器到交換節點的介面稱為「南向介面」。
    • 網路應用軟體：透過「北向介面」駐留在SDN控制器上，可與資料面交互並操縱資料面（如深度包檢測、防火牆、負載均衡器）。
  • 基礎設施：SDN基礎設施類似傳統網路（交換機、路由器），但利用快速的伺服器級現成計算能力，而非複雜嵌入式硬體。
    • 網路服務在雲端以軟體形式執行。
  • 邊緣路由器：在SDN架構下，邊緣路由器基本上是缺乏自主控制的「啞設備」。
  • 架構分離：SDN將控制面（邏輯和功能控制）和資料面（執行資料路徑決策和轉發流量）分開。
    • 資料面由與SDN控制器關聯的路由器和交換機組成。資料面轉發硬體之上的一切通常駐留在雲端或私有資料中心。
  • 運作方式：簡化交換和轉發節點駐留在資料面，沿著SDN控制器確定的路徑傳遞資訊。
    • SDN控制器透過南向介面管理控制面。
    • 網路應用程式可駐留在SDN控制器上，透過威脅監控和入侵檢測等服務操縱資料面。
• 傳統的網路連接
  • 特點：使用一系列託管的硬體、軟體組件，單一用途，包含嵌入式軟體或解決方案。
    • 通常使用非通用硬體和專用ASIC設計。
  • 功能：路由
    • 管理型交換機
    • 防火牆
    • 深度資料包檢查和入侵檢測
    • 負載均衡器和資料分析器
  • 管理：需要客戶管理和訓練有素的IT人員維護。
    • 來自多個供應商的組件管理方法不同。
  • 統一的控制面與資料面：當需要增加或刪除節點或設定新資料路徑時，許多專用系統需要更新VLAN設定、QoS參數、存取控制列表、靜態路由和防火牆。
  • 擴展性問題：對於數千個終端尚可管理，但擴展到數百萬遠端、移動、間歇連接的節點時，傳統技術難以操控。
• SDN的好處
  • 適用情境：在大規模物聯網部署中，特別是當客戶需要建立廣泛部署節點的出處和安全性時，應考慮SDN網路模型。
  • 物聯網挑戰：物聯網邊緣設備與伺服器和資料中心可能相隔千里。
    • 物聯網從數百萬到數十億終端的增長規模，需要在當前網際網路基礎設施的中心輻射型之外採用適當的擴展技術。
  • SDN對物聯網的吸引力：
    • 服務鏈 (Service Chaining)：客戶或供應商可按需銷售服務。
      • 雲網路服務（如防火牆、DPI、VPN、認證服務和策略代理）可按訂閱方式鏈接和使用，提供高靈活性。
    • 彈性 (Elasticity)：SDN享有雲架構的靈活性，可根據負載動態擴展資源。
      • 這對物聯網至關重要，因為物聯網設備數量成倍增長，需要規劃容量和規模。
      • 只有雲中的虛擬網路才能提供按需擴展容量的能力，例如遊樂園的人員追蹤，網路可根據遊客數量調整。
  • 時間切片 (Time Slicing)：允許運營商將資料頻寬和使用量劃分到指定的時間和日期。
    • 這與物聯網相關，因為許多邊緣感測器只定期或在一天特定時間報告資料。
    • 可構建複雜的頻寬共享演算法來進行容量的時間劃分。
  • 軟體定義邊界 (SDP, Software-Defined Perimeter)：作為網路功能虛擬化的另一範例，可創建微段和設備隔離，對物聯網安全至關重要。