Экспедиционная информационная база
База информации о пересылке ( FIB ), также известная как таблица пересылки или таблица MAC , чаще всего используется в сетевых мостах , маршрутизации и аналогичных функциях для поиска подходящего контроллера выходного сетевого интерфейса , которому входной интерфейс должен пересылать пакет. Это динамическая таблица, которая сопоставляет MAC-адреса портам. Это основной механизм, который отделяет сетевые коммутаторы от концентраторов Ethernet . Память с адресацией по содержимому (CAM) обычно используется для эффективной реализации FIB, поэтому ее иногда называют таблицей CAM .
Приложения на канальном уровне
[ редактировать ]На уровне канала передачи данных FIB чаще всего используется для облегчения мостового соединения Ethernet на основе MAC-адресов . Другие технологии канального уровня, использующие FIB, включают Frame Relay , асинхронный режим передачи (ATM) и многопротокольную коммутацию по меткам (MPLS).
Преодоление
[ редактировать ]Роль коммутатора Ethernet заключается в пересылке кадров Ethernet с одного порта на другой. Наличие FIB — это один из атрибутов, отделяющий коммутатор от концентратора. Без функционального FIB все кадры, полученные сетевым коммутатором, будут передаваться обратно на все остальные порты, подобно концентратору Ethernet . При передаче пакетов между портами коммутатор должен отправлять кадр только на тот порт, где находится сетевое устройство назначения ( одноадресная рассылка ), за исключением случаев, когда кадр предназначен для всех узлов коммутатора ( широковещательная рассылка ), нескольких узлов ( многоадресная рассылка ) или если коммутатор не не знаю, где находится устройство назначения ( одноадресная рассылка ).
Коммутаторы запоминают порт, на котором они впервые увидели определенный адрес источника, и связывают этот порт с этим адресом. Когда мост впоследствии получает кадр с адресом назначения в своем FIB, он отправляет кадр через порт, сохраненный в записи FIB.
FIB — это конструкция памяти, используемая коммутатором Ethernet для сопоставления MAC-адреса станции с портом коммутатора, к которому подключена станция. Это позволяет коммутаторам обеспечивать связь между подключенными станциями на высокой скорости.
Реле кадров
[ редактировать ]Хотя точная механика таблицы пересылки зависит от реализации, общая модель Frame Relay заключается в том, что коммутаторы имеют статически определенные таблицы пересылки, по одной на каждый интерфейс. Когда кадр с заданным идентификатором соединения канала передачи данных (DLCI) принимается на одном интерфейсе, таблица, связанная с этим интерфейсом, дает исходящий интерфейс и новый DLCI для вставки в поле адреса кадра.
Асинхронный режим передачи
[ редактировать ]Коммутаторы ATM имеют таблицы пересылки на уровне канала, очень похожие на те, которые используются в Frame Relay. Однако вместо DLCI интерфейсы имеют таблицы пересылки, в которых исходящий интерфейс определяется идентификатором виртуального пути (VPI) и идентификатором виртуального канала (VCI). Эти таблицы могут быть настроены статически или могут распространяться по протоколу интерфейса частной сети (PNNI). Когда используется PNNI, коммутатор ATM на краях сети отображает один из стандартных сквозных идентификаторов ATM, например адрес NSAP , в VPI/VCI следующего перехода.
Многопротокольная коммутация по меткам
[ редактировать ]MPLS на уровне пересылки имеет много общего с ATM. Граничные маршрутизаторы меток на границах облака MPLS сопоставляют сквозной идентификатор, например IP-адрес, и метку локального канала. На каждом прыжке MPLS существует таблица пересылки, которая сообщает маршрутизатору с коммутацией меток, какой исходящий интерфейс должен получать пакет MPLS и какую метку использовать при отправке пакета через этот интерфейс.
Приложения на сетевом уровне
[ редактировать ]Адреса сетевого уровня , такие как IP-адреса , используются в разных типах носителей и во всех случаях могут обрабатываться одинаково.
Пересылка
[ редактировать ]FIB оптимизированы для быстрого поиска адресов назначения и могут повысить производительность пересылки по сравнению с прямым использованием базы маршрутной информации (RIB). RIB оптимизирован для эффективного обновления протоколами маршрутизации и другими методами плоскости управления и содержит полный набор маршрутов, изученных маршрутизатором. Более ранние реализации кэшировали только подмножество маршрутов, наиболее часто используемых при фактической пересылке, и это работало достаточно хорошо для предприятий, где есть значимое наиболее часто используемое подмножество. Однако маршрутизаторы, используемые для доступа ко всему Интернету, испытывали серьезное снижение производительности при обновлении маршрутов, кэшированных в небольшом FIB, и различные реализации перешли к использованию FIB во взаимно однозначном соответствии с RIB. [1]
Входная фильтрация против отказа в обслуживании
[ редактировать ]FIB также могут играть роль в передовой современной практике в Интернете (BCP) фильтрации входящего трафика . Хотя простейшей формой входной фильтрации является использование списков контроля доступа для отбрасывания пакетов с неправильными адресами источника, использование списков доступа становится затруднительным на маршрутизаторах с большим количеством соседних сетей, а традиционные списки доступа не используются в высокопроизводительных системах. Пути переадресации маршрутизатора. [ нужна ссылка ]
Хотя документ IETF BCP 38 о входной фильтрации [2] не определяет метод реализации фильтрации исходных адресов, некоторые производители маршрутизаторов реализовали механизм, который использует поиск по обратному пути в таблицах маршрутизатора для выполнения этой проверки. Это часто реализуется как поиск в FIB адреса источника пакета. Если у интерфейса нет маршрута к исходному адресу, предполагается, что пакет является частью атаки типа «отказ в обслуживании» с использованием поддельного исходного адреса , и маршрутизатор отбрасывает пакет.
Когда маршрутизатор является многосетевым , входная фильтрация становится более сложной. Существуют вполне разумные сценарии работы, в которых пакет может поступить на один интерфейс, но этот конкретный интерфейс может не иметь маршрута к адресу источника. Для маршрутизаторов, расположенных на границе Интернета, фильтры пакетов могут обеспечить более простое и эффективное решение, чем методы, использующие поиск информации о маршрутизации, хотя этот подход может оказаться проблематичным при управлении маршрутизаторами, которые часто переконфигурируются. Входная фильтрация для многосетевых маршрутизаторов примет пакет, если существует обратный маршрут к исходному адресу от любого интерфейса маршрутизатора. Для этого типа фильтрации маршрутизатор может также поддерживать таблицу смежности , также организованную для быстрого поиска, которая отслеживает адреса интерфейсов маршрутизатора, которые находятся на всех напрямую подключенных маршрутизаторах. [3]
Качество обслуживания
[ редактировать ]Дифференцированные услуги предоставляют дополнительный метод выбора исходящих интерфейсов на основе поля, в котором указывается приоритет пересылки пакета, а также предпочтение отбрасывания пакета в случае перегрузки. Маршрутизаторы, поддерживающие дифференцированное обслуживание, не только должны искать в выходном интерфейсе адрес назначения, но и отправлять пакет на интерфейс, который лучше всего соответствует требованиям дифференцированного обслуживания. Другими словами, помимо сопоставления адреса назначения FIB должен сопоставлять кодовые точки дифференцированных услуг (DSCP). [4] [ не удалось пройти проверку ]
Контроль доступа и учет
[ редактировать ]Конкретные реализации маршрутизатора могут, когда адрес назначения или другой критерий FIB совпадают, указать другое действие, которое необходимо выполнить перед пересылкой (например, учет или шифрование), или применить список управления доступом , который может привести к отбрасыванию пакета.
Атаки
[ редактировать ]Таблицы CAM могут быть использованы для организации атаки «человек посередине» . Агент угрозы , контролирующий устройство, подключенное к коммутатору Ethernet, может использовать лавинную рассылку MAC-адресов для атаки на таблицу CAM коммутатора. Если таблица заполняется, другой трафик рассматривается как широковещательный, неизвестный одноадресный и многоадресный трафик и перенаправляется на все порты, делая его доступным для злоумышленника.
Ссылки
[ редактировать ]- ^ Классификация пакетов по скорости проводной сети без TCAM: достаточно еще одного регистра (и немного логики) Q. Dong et al. , ACM SIGCOMM 2006 г.
- ^ П. Фергюсон и Д. Сение (май 2000 г.). Фильтрация сетевого входа: борьба с атаками типа «отказ в обслуживании», использующими подмену исходного IP-адреса . дои : 10.17487/RFC2827 . РФК 2827 .
- ^ Ф. Бейкер; П. Савола (март 2004 г.). Входная фильтрация для многосетевых сетей . дои : 10.17487/RFC3704 . РФК 3704 .
- ^ Определение поля дифференцированных услуг (поля DS) в заголовках IPv4 и IPv6 , RFC 2474, К. Николс и др. , декабрь 1998 г.