Rozdział 15
Technologia cały czas się rozwija, natomiast technika routingu powoli zaczyna się starzeć. Technologia wielu komponentów routerów datuje się jeszcze sprzed 20 lat. W ciągu tego czasu w technologii sieciowej i transmisji dokonało się wiele zmian. W świetle tego należy postawić pytanie, czy routing ma jeszcze przyszłość, czy też jego dni są policzone? Niniejszy rozdział odpowiada na to pytanie poprzez zbadanie niektórych trendów i technologicznego postępu, który dotknął routing.
Oto kluczowe technologiczne zmiany, które wpłynęły na routing:
· rozwój oprogramowania routingu działającego na komputerze
· przełączanie wielowarstwowe
· protokoły routingu następnej generacji.
Każdy powyższy punkt w różny sposób i do innego stopnia wpłynął na routing oparty na sprzęcie.
Tradycyjne, samodzielne routery są sprawą ściśle sprzętową: trzeba nabyć określoną fizyczną platformę składającą się z obudowy, zasilacza, procesora, pamięci, portów WE/WY oraz płyty głównej z mechanizmem routingu. Komponenty te opisane są w rozdziale 4.
W samodzielnym routerze mechanizm routingu jest jego integralną częścią, która nie jest możliwa do oddzielenia ani przeniesienia do innego routera. W routerze opartym na komputerze (komputer-router) mechanizm routingu jest wykonywalnym programem zaprojektowanym do uruchamiania na zwykłym komputerze, a nie na wysoce specjalizowanym urządzeniu.
Rysunek 15.1 ilustruje typową konfigurację używającą routera opartego na komputerze do obliczania tras w erze przed komputerami PC. Na rysunku tym nieinteligentne terminale połączone są z serwerem UNIX-owym. Serwer ten posiada mechanizm routingu RIP. Mechanizm taki stanowił pierwszą generację routingu opartego na komputerze. Wykorzystywany był przez terminale i serwer do uzyskiwania dostępu do innych podłączonych do sieci urządzeń.
Rysunek 15.1. Wczesny router oparty na komputerze
Pojawienie się specjalizowanych samodzielnych routerów przyniosło pewne podstawowe korzyści w stosunku do routingu opartego na komputerze:
· platforma obliczeniowa dedykowana do obliczania tras i przesyłania pakietów
· umiejscowienie funkcji routingu na granicy pomiędzy LAN i WAN
· obsługa bardziej zaawansowanych protokołów routingu
· potencjał dla współdzielenia się dostępem do sieci WAN z większą rzeszą użytkowników
· bardziej niezawodna platforma.
Powyższe korzyści spowodowały dominację samodzielnych routerów w obszarze routingu. Z czasem routery stawały się coraz silniejsze i bogatsze w różne cechy, co umożliwiło zwiększenie ich obecności w sieciach złożonych. Co ciekawe, zaczęły być nawet wykorzystywane do innych celów, takich jak konstruowanie szkieletów sieci LAN.
Obecnie moc obliczeniowa komputerów jest znacznie większa niż komputerów klasy mainframe 20 lat temu. Również jeśli chodzi o dostępne programy wykonywalne, jest dziś więcej wyrafinowanych protokołów routingu niż RIP. Wszystko to skłania do twierdzenia, że dzisiejsze silne komputery powinny być wykorzystywane jako routery.
Stanowi to bezpośrednie zagrożenie dla tradycyjnych, samodzielnych routerów, które nie będą teoretycznie więcej potrzebne. Przyda się jedynie komputer peryferyjny z mechanizmem routingu, odpowiednią kartą sieciową i łączami transmisyjnymi. Jednak po dogłębnym przyjrzeniu się sprawie okazuje się, że ponowne pojawienie się routingu opartego na komputerze jest tylko uzupełnieniem, a nie zagrożeniem dla samodzielnych routerów.
Platforma komputerowa umożliwia spełnianie znacznie większej ilości funkcji niż normalnie czyniłby to samodzielny router. Przykładowo, routery komputerowe mogą być używane do uwierzytelniania użytkowników korzystających z modemu, zanim przyznany zostanie im dostęp do zabezpieczonej sieci. Rysunek 15.2 ilustruje taki sposób wykorzystania routera komputerowego. Należy zauważyć, że na rysunku tym w dalszym ciągu niezbędny jest samodzielny router obsługujący tradycyjny dostęp do sieci WAN.
Rysunek 15.2. Komputerowy router może być użyty do zwiększenia potencjału sieci
Powyższy przykład demonstruje, że router oparty na komputerze nie stanowi konkurencji dla tradycyjnych samodzielnych routerów. Konfiguracja zaprezentowana na rysunku 15.2 charakteryzuje się następującymi określonymi korzyściami:
· możliwość zastosowania normalnego, zwykłego komputera w miejsce specjalizowanego, znacznie droższego samodzielnego routera
· obsługa technologii transmisyjnych dial-on-demand (Switched 56, ISDN)
· konstrukcja tuneli VPN (wirtualnych sieci prywatnych)
· zarządzanie routerem poprzez infrastrukturę administracyjną klient-serwer, a nie przez osobną infrastrukturę zarządzającą siecią.
Innym interesującym aspektem, który wpływa na routing, jest wielowarstwowy przełącznik. Przełączniki takie działają podobnie jak przełączniki LAN z wyjątkiem tego, że zaprojektowane są do przesyłania datagramów opartych o adresy IP, a nie MAC. Zdolność ta wydaje się umieszczać przełącznik wielowarstwowy w sieci LAN na pozycji potencjalnego zastępcy samodzielnych routerów. Jednakże po bliższym zbadaniu sprawy okazuje się, że ta technologia nie może całkowicie wyprzeć tradycyjny samodzielnego routingu z powodu kilku podstawowych ograniczeń, na które cierpi przełączanie wielowarstwowe. Najlepszym sposobem zrozumienia tych ograniczeń jest poznanie sposobu działania i możliwości wykorzystania przełącznika wielowarstwowego.
Przełączniki wielowarstwowe znane są pod nazwą przełączników IP lub przełączników warstwy 3, ponieważ protokół IP stał się dominującym protokołem routowalnym.
Przełącznik wielowarstwowy działa w znacznej mierze tak jak most lub przełącznik LAN. Buduje tablice, które wiążą porty WE/WY ze znanymi adresami. Opakowane w ramki dane odbierane są przez porty WE/WY przełącznika i buforowane tak długo, aż zidentyfikowany zostanie adres docelowy IP datagramu opakowanego w tę ramkę. Przełącznik porównuje ten adres ze swoją tablicą routingu, aby określić, gdzie należy przesłać datagram. Przełączniki warstwy 3 do obliczania tras i budowania tablic routingu wykorzystują takie protokoły routingu jak OSPF czy RIP.
Jakkolwiek opisany proces może wydawać się taki sam sposób, w jaki tradycyjne routery przesyłają datagramy, istnieją pewne fizyczne różnice, które dyktują odmienne zastosowanie tych dwóch urządzeń. Przykładowo, przełączniki wielowarstwowe zaprojektowane są do komunikowania się tylko w obrębie jednego miejsca. Wiąże się to z typem portów, z którymi może być skonfigurowany taki przełącznik. Większość dzisiejszych przełączników obsługuje tylko architektury LAN, a zazwyczaj tylko interfejsy ethernetowe (wersje 10 lub 100 Mb/s).
Skutecznie ogranicza to zastosowanie przełączników wielowarstwowych do innych celów niż komunikacji pomiędzy sieciami LAN. Przełączniki posiadają pewną interesującą cechę, która może być wykorzystana do poprawienia komunikacji pomiędzy sieciami LAN poprzez zastosowanie ich do konstrukcji topologii LAN o zredukowanym szkielecie (zredukowany szkielet omówiony jest w rozdziale 3), co zostanie wyjaśnione jeszcze w następnym podrozdziale.
Zastosowanie przełączników wielowarstwowych i korzyści z tego płynące
Przełącznik wielowarstwowy jest szybszy i tańszy od tradycyjnego, samodzielnego
routera co czyni z niego doskonałe uzupełnienie routera bramowego. Ilustruje to rysunek 15.3.
Rysunek 15.3. Przełącznik wielowarstwowy w zredukowanym szkielecie zmniejsza obciążenie wewnętrznego routera bramowego
Powyższą konfigurację cechuje następujący podział obowiązków:
· router wykorzystywany jest jako brama pomiędzy siecią LAN a pozostałą częścią sieci złożonej
· przełącznik IP pomaga zredukować obciążenie routera bramowego poprzez funkcjonowanie w roli przełącznika zredukowanego szkieletu.
Na powyższym rysunku jedynymi datagramami przesłanymi z przełącznika IP do routera będą te, które zaadresowane są do punktów docelowych leżących poza lokalną siecią LAN. Cała komunikacja pomiędzy klientami a serwerami leżącymi w oddzielnym segmencie sieci LAN odbywać się będzie przez przełącznik IP. Użycie takiej konfiguracji pociąga za sobą następujące korzyści:
· Znacznie wzrasta wydajność routera, ponieważ jego funkcje zredukowane są tylko do obsługi dostępu do sieci WAN.
· Koszt przełącznika w przeliczeniu na jeden port jest mniejszy niż koszt routera. Zmniejszenie obciążenia routera może umożliwić zastosowanie mniejszego i tańszego routera.
· Wydajność komunikacji pomiędzy sieciami LAN zwiększa się, ponieważ przełączniki wielowarstwowe działają znacznie szybciej w zredukowanym szkielecie LAN niż tradycyjne routery.
Protokoły komunikacyjne cały czas ewoluują. Wiele pojawiających się znaczących protokołów komunikacyjnych spokrewnionych jest z projektem IETF „IP: Następna Generacja" (IPng). IP wersja 6 (IPv6) zaprojektowany został jako proste uaktualnienie istniejącej wersji IP. Jego zadaniem jest zlikwidowanie wszystkich słabości protokołu IP wersja 4 (IPv4). Z perspektywy końcowego użytkownika tymi słabościami są:
· niezdolność do przystosowania się do ruchu zależnego od czasu (znane jako usługi izochroniczne)
· brak zabezpieczeń warstw sieciowych - usług uwierzytelniających i kodujących.
Z IPv4 związane są również inne ograniczenia, które mogą nie być zauważone przez użytkowników:
· niedobór możliwych adresów IPv4
· nakładanie się na ogólną skalowalność Internetu lub innych dużych sieci IP ograniczeń związanych z dwupoziomowym adresem.
Ze względu na wszystkie powyższe ograniczenia, IETF powołało grupę roboczą do opracowania protokołu IP następnej generacji - IPv6.
W chwili gdy prace nad IPv6 zostaną zakończone, a protokół ten będzie obsługiwany przez komercyjne produkty, ujawnią się głębokie skutki jego zastosowania w sieciach. Wpłynie on na routery na cztery różne sposoby:
· zwiększy się rozmiar pozycji w tablicach routingu
· zmniejszy się całkowity rozmiar tablic routingu spowodowany sposobem sumowania tras
· protokoły routingu następnej generacji będą mogły pracować z nowymi architekturami adresów
· routery będą mogły obsługiwać wiele obecnie niedostępnych usług warstwy sieciowej.
Wiele z powyższych zmian mówi samych za siebie. Jedynym wyjątkiem są usługi warstwy sieciowej, które już wkrótce będą obsługiwane przez routery. Usługi te w przeważającej mierze dzielą się na dwie kategorie: usługi związane z bezpieczeństwem i usługi
izochroniczne. Protokoły bezpieczeństwa osadzone są w nowym zestawie protokołów znanym jako IP Security (IPSec).
Jakkolwiek usługi te wywodzą się z opracowywania IPv6, z powodu ciągłego rozwoju i ewoluowania protokołu IPv4 będą obsługiwane przez oba te protokoły.
IETF opracowało podstawy zabezpieczania transmisji poprzez sieć IP, znane jako IP-Sec. IPSec cechuje obsługa przez warstwę sieciową uwierzytelniania, kodowania transmitowanych danych a nawet ochrona informacji nagłówkowej transmitowanych pakietów poprzez proces znany jako enkapsulacja. Usługi te zapewniają pełne bezpieczeństwo danych w całej sieci IP. Jakkolwiek może wydawać się to bez znaczenia, należy pamiętać, że IP został zaprojektowany do zapewnienia jak najlepszego dostarczenia danych przez routowalne i bezpołączeniowe środowisko sieciowe. Bezpołączeniowe oznacza, że praktycznie każdy pakiet mógłby obrać odmienną trasę przez sieć. Dlatego też dużym wyzwaniem okazało się opracowanie szeregu mechanizmów, które umożliwiłyby każdemu routerowi z sieci zapewnienie całkowitego bezpieczeństwa danych w czasie transportu.
Rozwiązanie opracowane przez IETF znane jest jako security association (SA). SA to „ścieżka" simpleksową pomiędzy maszyną źródłową a docelową. Ścieżka ta uważana jest raczej za ścieżkę logiczną niż fizyczną, gdyż pozostawia każdemu transmitowanemu pakietowi możliwość wyboru różnej trasy przez sieć. SA sama w sobie jest stosunkowo prostą konstrukcją. Składa się z indeksu parametrów bezpieczeństwa (ang. security parameter index, SPI), używanego protokołu bezpieczeństwa i adresu docelowego IP. Konstrukcja ta może być obsługiwana przez oba protokoły IP. Jej pola dodawane są do datagramu tuż po nagłówku IP, ale przed nagłówkami TCP i UDP.
Umieszczenie tych pól na początku ładunku datagramu IP jest stosunkowo prostym sposobem zapewniającym całkowitą ochronę danych IP, bez względu na to, czy przesyłane są przez niezabezpieczoną sieć. Równie ważną sprawą jest to, że technika ta nie obciąża routerów gdyż mogą one przesyłać datagramy zgodne z IPSec, tak jak inne datagramy IP.
SA mogą być używane do obsługiwania dwóch protokołów bezpieczeństwa IPSec: Authentication Header (AH) i Encapsulating Security Payload (ESP). Należy przy tym zauważyć, że IPSec zezwala tylko na jedno SA na usługę! Dlatego jeśli zachodzi potrzeba enkapsulacji i uwierzytelnienia, potrzebne są dwa SA. Jednakże SA są z natury simpleksem, co oznacza, że działają tylko w jednym kierunku. Ilustruje to rysunek 15.4, który prezentuje simpleksowe uwierzytelnienie SA. Maszyna źródłowa jest uwierzytelniana dla maszyny docelowej, ale generowane w odpowiedzi datagramy nie są podobnie traktowane. Innymi słowy, zakłada się, że maszyna docelowa jest maszyną legalną i nie potrzebne jest żadne uwierzytelnianie.
Rysunek 15.4. Uwierzytelnianie simpleksowe (w jednym kierunku)
Założenie, że maszyna docelowa jest maszyną legalną może być bardzo niebezpieczne. Zapewnienie dwukierunkowego uwierzytelniania jest kwestią zastosowania dwóch jednokierunkowych uwierzytelnień SA:
· jedno uwierzytelnia maszynę źródłową dla maszyny docelowej
· drugie uwierzytelnia maszynę docelową dla maszyny źródłowej
Rysunek 15.5 przedstawia takie dwukierunkowe uwierzytelnianie.
Rysunek 15.5. Dwukierunkowe uwierzytelnianie.
Nagłówki ESP działają w ten sam sposób. Są simpleksami, ale mogą być zestawiane w parę zapewniającą dwukierunkową enkapsulację. Należy zapamiętać, że wiele SA dozwolonych jest dla jednego połączenia. Zapewnienie dwukierunkowego uwierzytelniania i enkapsulacji dla połączenia wymaga definicji czterech SA. Taka elastyczność umożliwia administratorowi sieci ustawianie stopnia ochrony według potrzeb użytkowników.
Authentication Header – AH
IPSec AH jest protokołem, który umożliwia uwierzytelnianie dwóch komunikujących się maszyn. Uwierzytelnianie jest sposobem na upewnienie się, czy maszyny (i/lub ich użytkownicy) są tymi, za które się podają. Pomiędzy tymi maszynami przesyłana jest sekwencja danych. Sekwencja ta, znana jako klucz, przepuszczana jest następnie przez algorytm znany tylko dwóm komunikującym się ze sobą stroną. Jeśli otrzymany w ten sposób wynik nie jest zgodny z oczekiwanym, datagram taki uważany jest za pochodzący z błędnego źródła i zostaje odrzucony.
Obecnie IPSec AH może obsługiwać wiele z dzisiejszych popularnych mechanizmów uwierzytelniania, takich jak Internet Key Exchange (IKE), Kerberos, SKIP i wiele innych. Może ponadto obsługiwać ręczną albo automatyczną dystrybucję kluczy. Jeśli AH używane jest wraz z ESP, to będzie nadal funkcjonować podobnie, bez względu na to, którą opcję wykorzystywać będzie ESP. Jest to ważną uwaga, ponieważ ESP obsługuje wiele różnych form ochrony transmisji, znanych jako tryby.
Encapsulating Security Payload – ESP
Protokół ESP zaprojektowany został w celu zapewnienia, że transmitowane dane nie zostaną przechwycone. Dostępne są dwie opcje jego implementacji:
· tryb transportowy
· tryb tunelowy.
Powyższe tryby nazwane zostały tak, aby odzwierciedlać sposób ochrony transmitowanych danych. Tryb transportowy chroni jedynie ładunek transportowanych danych, podczas gdy pozostała część datagramu, łącznie z polami nagłówka transmitowana jest w sposób jawny.
Z kolei tryb tunelowy idzie o krok dalej poprzez stworzenie tunelu do bezpiecznego przesyłania danych. Zasadniczo tunel taki stanowi datagram IP wewnątrz innego datagramu IP. Tunel może być wykorzystywany tylko do ochrony (poprzez kodowanie) ładunku i pól nagłówka „wewnętrznego" datagramu. Jako drugi koniec tunelu używana jest maszyna, która formuje bramę pomiędzy domeną bezpiecznej sieci a domeną sieci do której bezpieczeństwa nie można mieć zaufania. Następnie maszyna ta po otrzymaniu datagramu wykonuje wymagane uwierzytelnienie i usuwa zewnętrzne opakowanie (datagram) aby uzyskać zakodowany datagram, który był wewnątrz niego tunelowany. Po rozkodowaniu
datagram umieszczany jest w bezpiecznej sieci, skąd może być przesłany do swojego ostatecznego punktu docelowego.
Kodowanie jest systematycznym zaszyfrowaniem danych w taki sposób, aby tylko odpowiedni odbiorca był w stanie przywrócić je do stanu oryginalnego. Istnieje wiele różnych technik kodowania danych, a różnice pomiędzy nimi mogą okazać się bardzo subtelne, takie jak odmienne zastosowane algorytmy, czy też bardzo oczywiste, jak różne...
marianpol1973