Na sítě s Ritou - Moderní síťové technologie a propojování sítí

Zatímco v minulé části jsme hovořili obecně o směrování jako prostředku pro
propojování sítí a pro budování složitých intersítí (principy směrování, úkoly

směrovačů, statické versus dynamické směrování, algoritmy směrovacích

protokolů), v tomto dílu se podíváme na konkrétní směrovací protokoly pro IP.

Mezi vnitřní směrovací protokoly pracující uvnitř autonomního systému patří

otevřené protokoly RIP a OSPF, zatímco vnější směrovací protokoly, určené pro

komunikaci mezi autonomními systémy, reprezentuje BGP. Vzhledem ke komplexnosti

dnešních intersítí bude dobré si následně shrnout zásadní rozdíly mezi

směrovači a přepínači pro lepší porozumění jejich uplatnění při propojování

sítí.





Výhody a nevýhody vnitřního směrovacího protokolu RIP (verze 1 i 2) pro sítě IP



Výhody



otevřený směrovací protokol (nezávislý na výrobci)

jednoduchá implementace

velké rozšíření





Nevýhody



nekvalitní metrika

pomalá konvergence

omezená délka cesty na 15 skoků

nelze rozložit zátěž do paralelních cest







Vnitřní a vnější směrovací protokoly IP



Některé protokolové architektury (např. TCP/IP) mají zabudovanou hierarchii

sítě. Nerozeznávají pouze jednotlivé uzly a síťové segmenty, ale i jejich

seskupení. Nejvyšší stupeň hierarchie je doména nebo autonomní systém,

označující skupinu směrovačů a odpovídajících sítí a segmentů, které spadají

pod stejnou správu (většinou jednoho podniku či organizace). Autonomní systém

je termín používaný v TCP/IP a je označen přirozeným číslem (o maximální

hodnotě 216). Čísla přidělují a spravují stejné organizace, které kontinentálně

přidělují síťové adresy IP.



Směrovací protokoly se pro architektury, jež používají dělení intersítě do

autonomních systémů nebo domén, dělí na tzv. vnější a vnitřní. Vnitřní

směrovací protokoly zajišťují směrování uvnitř autonomního systému nebo

administrativní domény, zatímco vnější protokoly zabezpečují přenos směrovacích

informací mezi těmito systémy, a tak možnost směrování mezi různými interními

směrovacími protokoly.





Vnitřní směrovací protokoly pro IP



Směrovacích protokolů vyvinutých v historii propojování sítí je celá řada a

práce na jejich zlepšování a vyvíjení nových zdaleka nekončí. Není namístě

debata o tom, který z protokolů je nejlepší, protože každý z nich odpovídá jiné

topologii intersítě a požadavkům správce sítí. V následující části se podíváme

na směrovací protokoly používané pro směrování paketů IP, které vznikly jako

otevřené protokoly v rámci komunity Internetu (IETF).





Routing Information Protocol



Routing Information Protocol (RIP) byl jedním z vůbec prvních úspěšných

směrovacích protokolů (vyvinut firmou Xerox v r. 1981). První verze protokolu

RIP pro IP (RFC 1058) je dnes zastaralá, přechází se na normalizovanou verzi 2

(RFC 2453).



Metrika, kterou používá protokol RIP, je počet směrovačů na cestě k cíli.

Nejnižší metrika je pro přímo připojené sítě ke směrovači, nejdelší cesta je 15

skoků (směrovačů), vyšší metrika (16) označuje neplatnou cestu (nedostupnou

síť). RIP vysílá aktuální směrovací informace na všeobecnou adresu v periodě 30

s.



Nová verze protokolu RIP 2 je plně založena na charakteristikách protokolu RIP

verze 1, které obohacuje o:



- podporu podsíťových masek umožňuje využít RIP i v prostředí s podsíťovými

maskami proměnné délky (VLSM) nebo se směrováním na bázi adresových prefixů

(CIDR),



- možnost vysílat směrovací tabulky nikoli na všeobecnou, ale na skupinovou

adresu,



- autentizaci směrovacích informací,



- spolupráci s jinými vnitřními směrovacími protokoly (pomocí odkazu na

následující skok) i vnějšími protokoly (prostřednictvím označení cest mimo

autonomní systém).



RIP lze výhodně použít jako vnitřní směrovací protokol v sítích, které jsou

homogenní a mají maximálně střední velikost, neboť jeho jednoduchost i z

hlediska konfigurace tam vyváží pomalou konvergenci a nepříliš vhodnou metriku.





Open Shortest Path First



Protokol Open Shortest Path First (OSPF verze 2, RFC 2328) je v rodině de facto

normalizovaných vnitřních směrovacích protokolů pro IP opačným pólem než RIP.

Používá algoritmus stavu spojů, který umožňuje rychlou konvergenci sítě

reagující na jakékoli topologické změny, jako např. poruchu spoje, a nevede ke

směrovacím smyčkám. Aktuální informace pro směrování se zasílají okamžitě po

jakékoli detekci změny v topologii sítě, nebo minimálně (periodicky) každých 30

min. Každý směrovač má stejný pohled na topologii sítě (topologická databáze).

Směrovací informace jsou zasílány v paketech o stavu spojů (LSP, Link State

Packet), v nichž se popisuje stav rozhraní směrovače a jeho sousedů, tj. stav

připojených sítí. Souhrn všech LSP tvoří topologickou databázi protokolu.



OSPF využívá hierarchické směrování, kdy sítě a směrovače se v jednom

autonomním systému dělí do tzv. oblastí (area), které konfiguruje správce sítě

(intersíť může být rozdělena do jedné nebo více oblastí, viz obrázek Oblasti

OSPF a jejich návrh). Znalost topologie dané oblasti zůstává skrytá ostatním

oblastem, a tak umožňuje provádět změny topologie v každé oblasti nezávisle na

ostatních. Právě jedna oblast tvoří tzv. OSPF páteř (backbone), k níž musí být

(logicky) připojeny všechny ostatní oblasti. Každá oblast používá individuální

kopii algoritmu pro výpočet nejkratších cest, a proto má svou topologickou

databázi, která je u všech směrovačů v oblasti totožná. Hraniční směrovače

oblastí mají tolik databází, kolik oblastí propojují. Hierarchická struktura

intersítě z hlediska OSPF znamená, že směrování probíhá ve dvou stupních:

uvnitř oblasti a mezi oblastmi.



Směrování pomocí OSPF je založeno na jediné bezrozměrové metrice, obecně

označované cena (nejlepší cesta je ta s nejnižší souhrnnou cenou). Cena spojů

ve složené cestě odpovídá propustnosti spojů, nákladů na spoje apod. podle

potřeb správce intersítě. OSPF rychle reaguje na topologické změny sítě a

vypočítává nejkratší cesty do všech dostupných existujících sítí na bázi

Dijkstrova algoritmu.





Vnější směrovací protokoly



Pro sítě TCP/IP se vyvinuly dva vnější směrovací protokoly: EGP a BGP, z nichž

pouze BGP došel širokého praktického uplatnění a má naději na rozvoj i v

budoucnu, neboť je v podstatě jediným vnějším směrovacím protokolem používaným

v současném Internetu.



Border Gateway Protocol (BGP) se dnes používá ve verzi 4. Na rozdíl od

vnitřních směrovacích protokolů založených na distančně vektorovém algoritmu,

které používají jednotnou metriku, může mít u BGP každý AS jiný soubor kritérií

pro výběr optimální cesty. Mezi kritéria určující kvalitu (váhu) cesty patří

počet AS na cestě k cílové síti, přítomnost nebo nepřítomnost určitých AS na

cestě (např. kvůli parametrům provozu jako rychlost, velikost AS), původ cesty

(cesta plně zjištěná pomocí BGP má obecně přednost před cestou zjištěnou

jinak), nebo stabilita spojů. Tato kritéria mají přesně specifikované pořadí, v

němž se mohou vyskytnout a podle nějž se výběr cesty nakonec řídí.





Redistribuce směrovacích informací



V případě použití několika směrovacích protokolů nebo dokonce obou typů

směrování, statického a dynamického vedle sebe v jedné intersíti (např. IP), s

největší pravděpodobností bude potřeba zajistit komunikaci mezi těmito

protokoly či typy směrování. V opačném případě by vznikly zcela samostatné

síťové zóny, které by vzájemně o své existenci ani nevěděly. Redistribuce

směrovacích informací je proces předávání směrovacích informací ve srozumitelné

podobě z jednoho protokolu druhému protokolu, případně začleňování informací o

statických cestách do protokolu směrovacího. Ve většině případů se o

redistribuci musí postarat správce sítě manuální konfigurací, který musí:



- rozhodnout, zda si budou protokoly vzájemně předávat informace,



- rozhodnout, které informace se budou předávat (zda všechny, nebo pouze

filtrované informace),



- sjednotit metriku předávaných informací s metrikou cílového protokolu,



- zabezpečit vyhovění limitům cílového protokolu.





Směrovače a omezení režijního provozu přes rozlehlé sítě



Dynamické směrování pomocí směrovacích protokolů nemusí být nejvhodnějším

řešením v případě využití rozlehlé přenosové sítě (např. ISDN, Frame Relay) pro

komunikaci mezi sítěmi lokálními (pobočkami podniku apod.). Směrovací informace

jsou klíčové pro provoz v propojených sítích, nicméně v některých případech

objem a častost přenášení těchto režijních informací může mít negativní dopad.

Týká se to zejména těch rozlehlých sítí, u nichž se platí za navázání

komunikace, délku připojení a/nebo objem přenášených dat. U směrování je sice

možné minimalizovat objem a častost výměny směrovacích informací správnou

volbou směrovacího mechanismu nebo využití rozšiřujících mechanismů směrovacího

protokolu (např. pro RIP v RFC 1582), ale mnohdy je výhodnější použít statické

směrování, které žádný režijní provoz negeneruje. Přístupové směrovače k

rozlehlé síti také umožňují prodloužit interval povinné výměny periodických

informací vyžadované pro práci spojových protokolů, a snížit tak objem další

kategorie režijních dat.



V případě komunikace mezi servery a klienty prostřednictvím sítě lze využít

směrovač, aby „falšoval“ pravidelné informace, které si uzly sítě potřebují

vyměňovat. Především se směrovač postará o filtraci těchto zpráv přicházejících

z jeho lokální sítě, a propustí je do sítě WAN jen za relativně dlouhou dobu.

Pokud vyslané zprávy vyžadují odezvu, zfalšuje ji a vyšle ji lokálně. Tyto

metody se mohou výrazně odrazit především v případě ISDN, kdy se minimalizuje

aktivace spojení a jejich využití téměř výhradně pro uživatelská data.





Směrovací přepínače neboli přepínání na vyšších vrstvách



Tabulka Porovnání směrovačů a přepínačů ukázala všechny rozdíly mezi směrováním

na síťové vrstvě a přepínáním na vrstvě spojové síťové architektury. Zdálo by

se, že tyto dvě metody propojování lze obtížně kombinovat v jednom zařízení,

nicméně nutnost zrychlení zpracování rámců/paketů při průchodu propojovacím

zařízením vedla k různým vylepšením jak přepínačů, tak směrovačů. Přepínače

pracují s využitím rozhodování o rámcích ve svém hardwaru, proto jsou

dostatečně rychlé, ale jejich omezení na informace spojové vrstvy způsobuje

omezenou možnost filtrace, frontových mechanismů, nedostatečné omezení posílání

rámců na všeobecnou adresu a minimální logickou segmentaci sítě. Směrovače

všechny tyto schopnosti mají, neboť pracují se znalostmi síťové vrstvy, ale

jejich práce je již řešena softwarově, proto jsou při zpracování o něco

pomalejší.



Od tradiční topologie podnikové sítě s centrálním směrovačem a připojenými

pracovními skupinami prostřednictvím rozbočovačů (naznačené na obrázku Tradiční

síť s rozbočovači a centrálním směrovačem), se postupně přešlo k topologii

umožňující rychlejší přístup k serverům a stejnou komunikaci mezi pracovními

skupinami (lokálními sítěmi) prostřednictvím centrálního směrovače (Obrázek:

Přepínaná síť s centrálním směrovačem). Právě jádro sítě (v páteřní oblasti)

může být náchylné na přetížení v důsledku zvyšujících se nároků na komunikaci

mezi dílčími lokálními sítěmi, proto již nemusí centrální směrovač stačit

náporu paketů.



Proto vzniká nová kategorie propojovacích zařízení, která se označují různě:

směrovací přepínače, vícevrstvé přepínače, přepínače na třetí vrstvě, či

směrovače založené na hardwaru. Všechna zařízení v sobě do určité míry

integrují funkce směrovače (nalezení optimální cesty sítí) s maximální

rychlostí přepínání paketů. Snaha o zrychlení průchodnosti paketů směrovači

není samoúčelná. Souvisí s tím, že v dnešní době se již velká část provozu

zdaleka neomezuje na dílčí segment, neprobíhá lokálně a není možné ji blokovat

právě směrovačem. Naopak v rámci podniku se větší část komunikace odehrává mezi

koncovými stanicemi a centrálními servery (servery WWW, souborovými a

poštovními servery), a značná část se týká komunikace s vnějším světem

prostřednictvím připojení k Internetu. Již se zcela obrátil poměr 80 %

lokálního provozu vůči 20 % komunikace s vnějším světem, protože větší objem

dat se vyměňuje spíše s externím světem prostřednictvím Internetu než v rámci

podnikové sítě. Směrovače se rychle stávají úzkým místem podnikové sítě,

jestliže stoupá objem provozu, který mají zpracovávat.



Jediným řešením se zdá provést rozhodování o směrování provozu pouze jednou (s

prvním paketem) a zbývající pakety již přepínat podle stejného klíče a

nezatěžovat jejich zpracováním směrovač. To znamená řešení oddělující dvě

základní činnosti, které provádí směrovač, tj. nalezení optimální cesty sítí a

posílání paketů. Hledání cesty v síti se nadále provádí v softwaru podobně jako

budování a aktualizace směrovacích tabulek, filtrace paketů a identifikace toku

paketů. Směrovací přepínače dnes podporují především směrování a přepínání IP

datagramů, proto musí „rozumět“ směrovacím protokolům jako RIP a spolupracovat

s čistými směrovači podporujícími stejné protokoly. Měly by však také

spolupracovat s protokoly na podporu směrování pro celé skupiny uživatelů

(např. PIM, Protocol Independent Multicast, nebo MOSPF, Multicast Open Shortest

Path First) a protokolem na podporu třídy služeb v síti (RSVP, Resource

reSerVation Protocol). Vzhledem k propustnosti (rychlosti vnitřního zpracování)

se tyto směrovače uplatňují především v prostředí lokálních sítí. Z hlediska

konfigurace jsou tato zařízení podobně složitá jako klasické směrovače (o

stupeň více, než vyžadují přepínače).



Příchod směrovacích přepínačů neznamená v žádném případě nutnou náhradu všech

přepínačů lokálních sítí a směrovačů, ty budou mít v (inter)sítích i nadále své

místo. Výkonná zařízení kombinující schopnosti směrování a rychlého přepínání

paketů jsou určena do centrální části podnikové sítě, do její páteře

propojující rychlé lokální sítě. Tam, kde je rychlost přenosu dat spíše omezena

aplikacemi na koncových zařízeních a serverech, ani nejvýkonnější propojovací

zařízení nemůže zvýšení propustnosti sítě pomoci (a to ani nemusí být třeba), a

bylo by proto zbytečné.





Směrovací politika



Na závěr se podívejme, jakou roli ve směrování jak v lokálním (podniková síť),

tak v globálním měřítku (poskytovatelé přístupu k Internetu) může hrát

politika. Směrování založené na politice se liší od ostatních typů směrování

tím, že není založeno na chování provozu v síti (zatížení spojů, síťových

segmentů nebo síťových zařízení), i když nepřímo může z těchto charakteristik

vycházet. Lze nastavit různou politiku pro směrování tak, aby se zajistila

bezpečnost, preference síťových zařízení (např. serverů), aby se vyhovělo

chování uživatelů nebo interní politice firemní sítě. Směrování na základě

politiky se může definovat nejen na síťové vrstvě, ale zejména s ohledem na

uživatelské aplikace na vrstvě aplikační. Směrování v blízkosti klienta se může

zaměřovat na zvýšení bezpečnosti uživatele nebo na řízení chování před vlastním

předáním požadavku do sítě.



Pro příklad se můžeme podívat na politiky směrování pro WWW, World Wide Web,

tj. typicky aplikačně orientované směrování, vyžadující komplexnější zkoumání

paketů procházejících směrovačem, založené na:



bezpečnosti:



- řízená identifikace jména klienta, jména domény nebo IP adresy (někteří

klienti mohou výběrově chtít skrýt identifikátory),



- selektivní distribuce autentizačních certifikátů (někteří klienti mohou chtít

tyto certifikáty výběrově posílat podle místa na Webu),



- selektivní řízení příchozích cookies na uživatelův prohlížeč (někteří klienti

mohou odmítat všechny v závislosti na webové stránce),



- selektivní řízení podprogramů (applets) na uživatelův prohlížeč (někteří

klienti mohou odmítat všechny v závislosti na webové stránce),



- kontrola přítomnosti virů a předzpracování aplikací doručených

prostřednictvím Webu,



- řízený přístup k obsahu, stránkám nebo serverům v závislosti na uživateli,

jeho koncovém zařízení nebo identitě jeho sítě (servery mohou odmítnout některé

klienty nebo domény),



- řízený přístup klientů ke stránkám, založený na bezpečnostní identitě serveru

(pokud servery nemají platné bezpečnostní certifikáty),





uživatelském chování:



- řízený přístup k obsahu, stránkám nebo serverům, v závislosti na době

přístupu nebo opakovanosti,



- řízený přístup k obsahu, stránkám nebo serverům, založený na správci

předpokládané zátěži na serverech (např. při vydání nového webového časopisu),



- řízený přístup klientů ke stránkám na základě jejich obsahu (např. omezení

přístupu klientů na pornografické stránky),





referencích serverů:



- řízený přístup k obsahu, stránkám nebo serverům v závislosti na typu aplikace,



- řízený přístup k obsahu, stránkám nebo serverům v závislosti na typu

prohlížeče klienta,



- řízený přístup k obsahu, stránkám nebo serverům v závislosti na formátu

obsahu (DHTML, XML),

- směrování v souvislosti s integrací v závislosti na jiných službách, jako

jsou databáze, elektronická pošta nebo distribuované objekty.



Náš seriál o moderních síťových technologiích a propojování sítí v posledním

letošním čísle PC WORLDu zakončíme pohledem na žhavé novinky v oblasti sítí, a

to z hlediska přenosových rychlostí, kombinace různých typů provozu (data,

hlas, obraz) a výkonných propojovacích zařízení. Zastavíme se u variant řešení

požadavků na různé kvality služeb (MPLS, RSVP, DiffServ) a záležitostí budování

virtuálních sítí.



Autorkou seriálu o sítích je Ing. Rita Pužmanová, CSc., specialista na

propojování komunikačních sítí, (rita@ieee.org).







Výhody a nevýhody vnitřního směrovacího protokolu OSPF pro sítě s IP



Výhody



otevřený protokol nezávislý na výrobci

rychlá konvergence

vysílání směrovacích informací na skupinovou adresu

podpora paralelních cest se stejnou kvalitou

podpora směrování na základě typu služby

podpora VLSM a CIDR

autentizace směrovacích informací





Nevýhody



složitý návrh sítě pro podporu OSPF

kvalita směrování v závislosti na použité adresaci









Výhody a nevýhody využití směrovačů v intersítích



Výhody



- segmentace sítí s cílem zamezení průchodu chybných paketů, paketů na

všeobecnou adresu nebo na neznámou cílovou adresu

- zvýšení bezpečnosti i průchodnosti v intersíti prostřednictvím inteligentní

filtrace uživatelských paketů na základě síťových adres a typů protokolů

(síťových, transportních i aplikačních) a na základě filtrace směrovacích

informací

- zvýšení průchodnosti intersítě prostřednictvím inteligence pro podporu

frontových mechanismů (místo jedné vstupní a jedné výstupní fronty na každém

portu směrovače lze konfigurovat několik front podle priority paketů

příslušných jednotlivým protokolům)

- možnost používat spoje pouze v případě skutečné potřeby (bandwidth on

demand), využívat záložního vytáčeného spojení (dial on demand)

- podpora rozkládání zátěže do paralelních cest

- možná náhrada páteřní sítě výkonným směrovačem se „sdruženou“ vnitřní páteřní

sběrnicí (collapsed backbone)

- podle typu výrobce určitá míra podpory automatické konfigurace směrovače,

konfigurace na dálku prostřednictvím serveru





Nevýhody



- cena

- nároky na konfiguraci

- nároky na správu a management v intersíti







Seznam použitých zkratek



AS – Autonomous System

BGP – Border Gateway Protocol

CIDR – Classless InterDomain Routing

EGP – Exterior Gateway Protocol

IETF – Internet Engineering Task Force

MOSPF – Multicast Open Shortest Path First

OSPF – Open Shortest Path First PIMProtocol Independent Multicast

RFC – Request For Comments

RIP – Routing Information Protocol

RSVP – Resource reSerVation Protocol

VLSM – Variable Length Subnet Mask