You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.

Loading...

Главная - Блог - Маршрутизация данных в сети

Маршрутизация данных в сети

Пересылка IP обычно основана на адресах назначения (и, возможно, на DSCP), но иногда нам нужно лучше контролировать точный путь, по которому пакет движется к месту назначения.

Маршрутизация данных в сети

Например:

в центрах обработки данных нам часто необходимо обеспечить прохождение пакетов через определенные узлы (по порядку), по соображениям безопасности нам может потребоваться избегать определенных маршрутизаторов, маршрутизация на основе политик переопределяет пути маршрутизации по умолчанию для достижения определенных целей QoS, нам могут понадобиться пути с очень особыми характеристиками (например, сверхнизкой задержкой). Эти и связанные с ними случаи часто актуальны для транспортировки OTT, обратного рейса сотовой связи и прочего. оптовые услуги.

Исходная маршрутизация

Для таких случаев набор IP-протоколов предоставляет механизм, называемый Source Routing. В IPv4 эта функция использует поле параметров IP, тогда как версия IPv6 использует расширение заголовка маршрутизации типа 0 (Rh0). В обоих случаях маршрутизация от источника работает путем вставки последовательности адресов маршрутизатора в заголовки пакетов. Маршрутизаторы продвигаются вперед согласно этим явным адресам, а не согласно базе данных пересылки, настроенной с использованием протоколов маршрутизации.

Тем не менее, маршрутизация от источника может быть проблематичной. Это значительно усложняет алгоритм обработки пересылки. Что еще более важно, он вводит несколько проблем безопасности, которые привели к тому, что маршрутизация от источника считается злом:

DoS-атаки - злоумышленник заставляет пакеты проходить через выбранные маршрутизаторы, тем самым перегружая их, усиленная DoS-атака - злоумышленник заставляет пакет колебаться между 2 выбранными маршрутизаторами, Атака проникновения - злоумышленник обходит защиту списков контроля доступа, пересылаясь через разрешенную путевую точку. IETF не полностью отказался от использования маршрутизации от источника, но настоятельно рекомендует отключить ее. На практике основные интернет-маршрутизаторы обычно отбрасывают пакеты с большинством IP-параметров, а механизм пересылки ядра Linux больше не обрабатывает маршрутизацию от источника.

Но без маршрутизации от источника, как мы можем достичь маршрутизации на основе политик и других целей, которые мы перечислили? Кажется, есть две альтернативы.

SDN

Программно-определяемая сеть. Избегая протоколов маршрутизации и используя централизованный оптимизатор пути, SDN дает сети полный контроль над маршрутизацией. Отдельные потоки могут быть настроены для прохождения произвольных путей. Carrier Ethernet, настроенный с использованием системы управления сетью, и MPLS-TE, использующий элемент вычисления пути, с этой точки зрения, по сути, такие же, как SDN. Однако SDN тоже страдает недостатками. Это требует относительно серьезных архитектурных изменений (если не используется в качестве оверлейной сети). Что еще более важно, многие виды SDN сами по себе создают проблемы безопасности! Например, ошибка программирования (не говоря уже о преднамеренной атаке) в OpenFlow и аналогичных южных интерфейсах может повлиять на не задействованные службы, которые могли правильно работать в течение многих лет.

Маршрутизация сегмента

Маршрутизация сегментов. Сегментная маршрутизация в чем-то похожа на маршрутизацию от источника, но не страдает от вышеупомянутых проблем безопасности. Путь сегментной маршрутизации указывается входящим маршрутизатором, а не исходным хостом, что блокирует атаки исходной маршрутизации (если входной маршрутизатор не был скомпрометирован). Заголовок SR состоит из стека идентификаторов сегментов (SID), которые выполняют функцию последовательности адресов в исходной маршрутизации.

Первоначально SR был разработан для MPLS, где его можно реализовать практически без изменений существующей плоскости пересылки (и только с незначительными расширениями протоколов маршрутизации), используя существующий стек меток для хранения идентификаторов безопасности и вставляя метки вместо их замены. Впоследствии SR был определен для IPv6 (сокращенно SRv6), где заголовок сегментной маршрутизации содержит 128-битные идентификаторы SID и расположен между заголовком IPv6 и заголовком уровня 4.

И SR, и SDN могут сосуществовать с обычными сетями. Основное различие между SDN и SR заключается в том, что SDN в основном является протоколом плоскости управления (или, точнее говоря, управления), который настраивает плоскость пересылки (которая может быть обычной). SR работает в самой плоскости пересылки (хотя для входящего маршрутизатора требуется некоторая функциональность уровня управления, чтобы знать, какой стек SR вставлять в пакет). Другими словами, с SDN сеть поддерживает состояние каждого приложения / потока, а с SR инструкции пересылки предоставляются внутри самого пакета. Следствием этого различия является то, что в SDN весь интеллект сосредоточен в централизованном контроллере (т. Е. Коммутаторы SDN просты, быстры и недороги), в то время как SR обременяет входной LER (и / или PCE) перевариванием информации из протоколов маршрутизации, подготовка и установка стопки этикеток.

Примечательно, что SR - более безопасный способ достижения маршрутизации на основе политик, чем SDN. Поскольку идентификаторы безопасности, управляющие пересылкой, передаются в самом пакете, никакая ошибка не может повлиять на чужие потоки. Ошибка или намеренно неправильный стек пересылки влияет только на пересылку самого пакета, а не на соседний f

Статья представлена Rad data communications Украина


___________
Dr. Yaakov Stein
Технический директор RAD

Источник: rad.com

Обратный звонок