前置知识

相关文章

工坊 · 180 字 · 1 分钟阅读

端到端原则:互联网为什么是故意"笨"的

Saltzer、Reed 和 Clark 1984 年的论文把让互联网能工作的那个设计决定写成了原则——把智能放到两端,把中间留得笨,然后看着它比所有比它聪明的网络活得更久。

目录
  1. TL;DR
  2. 论点
  3. 它在实践里长什么样
  4. 为什么”笨”反而赢
  5. 这条原则在哪里被违反
  6. 这条原则是默认值,不是法律
  7. 这对今天意味着什么

#TL;DR

1984 年,MIT 三位研究员——Jerome Saltzer、David Reed、David Clark——发表了一篇叫 “End-to-End Arguments in System Design” 的论文。它把 TCP/IP 十年前已经做出的一个设计选择写成了原则:不要把智能放进网络,放到两端。论文主张,可靠性、加密、压缩这类特性一般应当住在边缘,因为只有两端才知道得足够多、能把它们正确地实现。这一条原则就解释了为什么 IP 极简、为什么 TCP 从丢包中恢复、为什么 TLS 端到端加密,以及为什么每一张试图”比 IP 更聪明”的网络最终都输给了它。

#论点

这篇论文核心的主张比它的名字更简单:

一项功能只有在能被正确地放进网络里,才应当由网络来实现。如果两端无论如何都得实现它——因为网络无法保证——那么在网络里再做一遍就既冗余又昂贵。

论文里的典型例子是可靠的文件传输。假设你要把一个文件从机器 A 拷到机器 B,并且你想要”B 收到的文件完整无误”这样一份端到端的把握。你可以试着建一张可靠的网络——每一跳对每个包做校验、丢了就重传、承诺一比特不差地送达。

这还不够。

即使有一张完全可靠的网络,文件仍可能被弄坏:

  • 被 A 读文件代码里的一个 bug。
  • 被任一端的内存错误。
  • 被执行拷贝那段程序里的一个 bug。
  • 被”B 收到数据之后、B 写完盘之前”磁盘上的损坏。

要真的确定文件完好到达,唯一的办法是 A 发一个校验和,B 在写完盘后验这个校验和。这就是端到端校验。只要在做这个校验,网络一跳一跳的可靠性就没给你带来多少好处。你本来就要把这些错误抓住。

论文的结论是:必须在两端存在的功能,不应当在网络里再重复一遍。 让网络做最少的事。把智能放到它真正能验证自己生效的地方。

#它在实践里长什么样

TCP/IP 用分层把这条原则具象化了。IP 这个网络层几乎什么都不做。它根据目的地址转发数据包,不验证送达、不重排、不重传,甚至根本不关心包到不到。路由器的职责可以一行写完:看目的地址、朝它转发、忘掉你看过这个包

可靠性是 TCP 的事。TCP 住在两端——正在对话的两台机器。它们追踪序号、对收到的部分发 ACK、补发没收到的部分,把这一切对应用隐藏起来。

  应用                                   应用
  ───────────                          ───────────
      │                                    │
  ┌───┴───┐                            ┌───┴───┐
  │  TCP  │ ◄── 可靠性在这里 ──►       │  TCP  │
  └───┬───┘                            └───┬───┘
      │                                    │
  ┌───┴───┐   ┌─────┐   ┌─────┐   ┌────────┴───┐
  │  IP   │──►│  IP │──►│  IP │──►│     IP     │
  └───────┘   └─────┘   └─────┘   └────────────┘
                                         


              "笨路由器"——转发完就忘

中间的路由器可以挂掉、被换成另一种型号、甚至完全是另一种链路技术——两端不会察觉,因为负责让这段对话工作的是两端。

#为什么”笨”反而赢

这篇论文还有常被忽略的后半部分。Saltzer、Reed 和 Clark 不仅主张两端应该拥有可靠性——他们还指出,试图做得比”转发数据包”更多的网络通常都会卡住。原因:

  • 每一个网络特性都有代价, 哪怕你不用。如果网络层提供可靠投递,每一个包都要为此付开销,包括那些本不需要可靠性的包(你宁愿丢弃也不愿延迟的视频帧、重试比 ACK 还便宜的 DNS 查询)。
  • “聪明的”网络老化得很快。 烙在路由器里的特性很难改。互联网能在不动网络核心的前提下演化出 TCP 拥塞控制、TLS、QUIC、HTTP/3,全都是在两端搞的——这正因为核心极简才可能。
  • 新应用需要不同的保证。 实时语音要低延迟、能容忍丢;文件传输要大吞吐。聪明的网络只能挑一种;笨的网络让每个应用各自挑。

这就是为什么七层的 OSI 参考模型——把会话管理、表示层编码这些特性都塞进网络里——会输给 TCP/IP 那套薄得多的栈。TCP/IP 更好演化,恰恰是因为它承诺得更少。

#这条原则在哪里被违反

学会这条原则之后,你会到处看到它被违反的地方。它们通常短期内都说得通,长期看又都让人遗憾:

  • NAT(网络地址转换)。路由器在包上重写地址,这就破坏了端到端模型——两端不再共享对彼此地址的一致视图。NAT 的存在是因为 IPv4 地址不够用,它解决了那个问题。它也让 P2P 类应用在接下来二十年里变得难做,并让 STUN、TURN、ICE 之类协议不得不出来打补丁。
  • 深度包检测。 ISP 和企业经常检查包的负载,用来分类流量、执行策略或拦截。“到处都上 TLS”一部分就是对它的反应。
  • 透明缓存。 拦截 HTTP 并返回缓存副本的 Web 代理,看起来是性能优化,其实也是违反——客户端以为在和某个”终点”对话,实际上并不是真正的源站。TLS 杀掉这类代理不是无缘无故的。
  • CGNAT 和”运营商级”中间盒。 现代移动网络把每个客户都路由到运营商侧的多层 NAT 后面。手机并不是”在互联网上”,它在”一张网络后面的网络”里,运营商的盒子在中间终结并重开连接。
  • 协议僵化。 多年前添加的 TCP 扩展,到今天有些在公共互联网上仍然不能用——因为某些中间盒会拒绝它看不懂的包。这就是 QUIC 要跑在 UDP 之上的原因:UDP 是中间盒还懒得管的最后一层。

其中每一条,都是某个人决定”网络应该干的不止是转发包”的结果。每一条都制造出了一类在严格端到端系统里根本不会出现的 bug。

#这条原则是默认值,不是法律

Saltzer、Reed 和 Clark 是谨慎的。论文并没有说所有功能必须在两端——它说的是,想把功能放进网络的人得承担举证责任。有些情况下,网络层的特性是合理的:

  • 不涉及正确性保证的性能优化。 链路层校验和无妨——它能抓住常见错误,又不承诺什么。
  • 公平与资源管理。 拥塞控制同时有端点组件(TCP)和网络组件(排队、ECN),因为哪一方都没法单独搞定。
  • 两端确实做不到的事。 DNS 就必须是一项网络级服务——你没法解析一个还没解析出来的名字。

这条原则是设计偏好,不是绝对律。能把特性推到两端,就推——因为这样系统才能持续演化。不能的时候,至少要坦白你正在做一次妥协。

#这对今天意味着什么

Cerf 和 Kahn 在酒店大堂勾勒 TCP 五十年后,端到端原则仍然解释着互联网几乎每一条有意思的性质:

  • 处处加密 — TLS 及其后继者加密的是两端之间的数据,因为只有两端知道密钥。网络没法解密、没法检查、没法在内容上撒谎。这是故意设计出来的结果:违反端到端原则,加密就破了。
  • overlay 网络遍地开花 — CDN、P2P 系统、Tor、Tailscale——全都是跑在公共互联网之上、对中间网络视而不见。它们能工作,是因为网络笨到可以让它们工作。
  • QUIC 与 UDP 的复兴 — 下一代传输协议搬到 UDP 上,正是因为 UDP 是端到端原则还站得住脚的最后一块地。

TCP/IP 那篇文章把酒店大堂那次洞见描述成”网络笨、端点聪明”。1984 年的这篇论文,是把那个战术选择变成了一条可以被论证、也可以被移植到别处的原则。每次系统设计讨论落到这件事应该在端点上做、还是在中间做?——房间里一定有人在从第一性原理重新推导 Saltzer、Reed、Clark,只是他自己常常不知道。