Virtuální routing: Čerstvý vítr do plachet VPN

Téma virtuálního routingu rozhodně není nové, ale v současné době zažívá svůj comeback. Důvodem je především ...


Téma virtuálního routingu rozhodně není nové, ale v současné době zažívá svůj
comeback. Důvodem je především zvýšený zájem o takové virtuální privátní sítě,
které vyžadují důsledné oddělení jednotlivých datových toků.
Na první pohled se může virtuální routing jevit spíše jako esoterické téma,
které zajímá nanejvýše hrstku odborníků působících v oblasti byznysu
poskytovatelů služeb a operátorů. Ve skutečnosti tomu tak ale není.
Virtuální routery přicházejí ke slovu např. tehdy, když se uživatel chce
připojit k virtuální privátní síti a zajistit transfer dat přes internet nebo
extranet. Kromě toho mnoho firem s velkými sítěmi stále trvá na vlastní
konfiguraci routeru pro své podnikové sítě. Přitom ovšem využívají
poskytovatelů služeb pro zřízení přístupu k internetu a k jiným službám. V obou
výše zmíněných případech je využití virtuálních routerů žádoucí, protože
zjednodušují kontrolu přístupu a filtrování směrovaných dat.
Jednou z oblastí, v nichž se virtuální routery také dostávají ke slovu, jsou
prostorově rozdělené paměťové sítě SAN (Storage Area Networks). Další možností
využití je např. poskytování širokopásmových služeb v kancelářských budovách.

Oč jde
Co to ale virtuální router vlastně je? Americká firma IP Infusion, která nabízí
síťové procesory a směrovací/přepínací protokolový software ZebOS, definuje
pojem virtuální router jako emulaci fyzického (skutečného) routeru na
softwarové vrstvě. Allegro Networks, mladá společnost působící také v USA,
popisuje virtuální routing jako rozdělení jednoho jediného směrovacího
(routovacího) procesoru na více logických podjednotek, které zpracovávají
rozdílné routovací tabulky.
Na virtuální router (VR) jsou kladeny následující požadavky:
Musí pracovat zcela nezávisle na jiných routerech využívajících stejný systém.
A to včetně routovacích protokolů každý systém by měl disponovat jejich vlastní
sadou.
Pro každý virtuální router je nutná oddělená RIB (Routing Information Base), a
to pro všechny protokoly, které jsou podporovány, např. internetové protokoly
verze 4 a 6 nebo Multiprotocol Label Switching (MPLS).
Správu virtuálního routeru by měly ovládat dvě osoby: Na jedné straně
specialista, který je zodpovědný za jeden speciální router, ať již u
poskytovatele služeb nebo ve firmě, na druhé straně autorizovaný globální
administrátor, který má přístup ke všem virtuálním systémům.
Virtuální router vyžaduje vlastní FIB (Forwarding Information Base).
Musejí být implementovány virtuální instance pro firewally, služby NAT (Network
Address Translation), Quality-of-Service a bezpečnostní služby.
Systém musí být jednoduše škálovatelný.
K tomu přibývají také požadavky, které se vztahují na celý systém (viz vložený
text).

V praxi
Příkladem toho, jak lze zabudovat virtuální router do softwaru, je ZebOS
Advanced Routing Suite od IP Infusion. Firma rozšířila stávající verzi tohoto
produktu tak, aby funkce virtuálního routeru zvládal.
Protože virtuální router imituje fyzický systém routerů, nacházejí se v něm
stejné části jako ve skutečném směrovači existujícím ve formě fyzického
zařízení např. Routing Information Base, Forwarding Plane nebo komponenty pro
transport dat prostřednictvím různých routovacích protokolů.
Funkci centrální správní jednotky virtuálního routeru vykonává tzv. Management
Authority (MA). Ta spravuje informace o konfiguraci systému. Kromě toho je také
komunikačním rozhraním k Management Authority hardwarového routeru, na kterém
je implementován software. Část jádra, kterým lze simulovat virtuální router,
je v případě řešení IP Fusion umístěna v NSM (Network Services Module).
Zvláštní úlohu hraje u virtuálního routeru stack TCP/IP, který musí být schopen
podporovat více FIB (Forwarding Information Bases). S pomocí příslušných API
(Application Programming Interface) musí být schopen přiřadit jednotlivým FIB
příslušná rozhraní routeru.

Multi-router
Koncept softwarově realizovaného virtuálního routeru je některými odborníky
kritizován. Patří k nim také Troy Dixler, spoluzakladatel firmy Allegro
Networks. Podle jeho názoru vykazuje tato technická realizace řadu nedostatků:
Virtuální systémy si musejí rozdělit výkon CPU a operační paměť hardwarové
platformy, na které běží. To může negativně ovlivnit jejich výkon.
Software je zpravidla náchylnější k chybám než hardware, což znamená, že pouze
a jen softwarově realizovaný routing je méně spolehlivý.
Virtuální (softwarové) routery používají zpravidla jeden společný operační
systém. Když je nahrána nová verze nebo záplaty, dotkne se tato změna všech
routerů.
Problémy s bezpečností se mohou projevit na všech routerech. Jde např. o útoky
typu DoS (Denial-of-Service).
Allegro se v současné době pokouší zavést do světa routingu systém, který tato
firma označuje jako technologii multi-router. Zjednodušeně řečeno se jedná o
systém, který se skládá z řady oddělených routovacích (hardwarových) strojů s
vlastním CPU a operační pamětí. S pomocí speciálního softwaru lze každý port
flexibilně přiřadit jednotlivým routerům, a to jak logicky, tak i fyzicky.
Tato architektura by měla odstranit jádro problému u tradičních monolitických
routerů i u routerů virtuálních. Problémy virtuálních routerů již byly zmíněny,
v případě monolitických routerů jde především o přetížení Control Plane velkým
množstvím routovacích informací, které musejí být zpracovány. K této situaci
dochází podle Troye Dixlera především tehdy, když je ve větším měřítku užívána
technologie MPLS (MultiProtocol Label Switching). V tomto případě musejí
především routery na okraji sítě providera, tedy na tzv. edge routery,
zpracovávat routovací informace všech firemních sítí, pro které jsou virtuální
routery nastaveny. Také rozšiřující karty routerů zde narážejí na své
výkonnostní meze, protože se zvyšuje počet forwardovacích informací, které
musejí zvládnout.
Všechny tyto problémy slibuje vyřešit právě koncept Allegra. Firma ale doposud
neuvedla tuto svou techniku ve formě funkčního produktu do praxe. Kdy se tak
stane, zůstává zatím otázkou, a to především kvůli snižujícím se rozpočtům
potenciálních uživatelů telekomunikačních operátorů a poskytovatelů
internetových služeb. V současné době vypadá situace spíše tak, že uživatelé
vsadí na osvědčené dodavatele jako Cisco nebo Jupiter a ponechají si možnost
pozdějšího přechodu na novou generaci hraničních routerů.

Systémové požadavky na virtuální routery
Systémy, na nichž jsou provozovány virtuální routery, musejí nutně splňovat
několik základních požadavků:
FIB (Forwarding Information Base) všech virtuálních routerů mohou být sice
provozovány na stejném základním systému, ale musejí od sebe zůstat důsledně
logicky odděleny.
Forwarding dat a informací protokolů musí pro každý virtuální router probíhat
zcela nezávisle na ostatních.
Pokud jde o správu, musejí být centrální správci systému schopni převzít
rozšiřující úkoly, např. zřízení nebo mazání virtuálního routeru, přiřazení
fyzických rozhraní routeru nebo instalace nové služby (protokolu) na libovolném
virtuálním routeru.

MultiProtocol Label Switching
K technikám, které poskytovatelům internetových služeb a uživatelům umožňují
nabízet, respektive využívat řadu nových služeb, patří technologie MPLS
(MultiProtocol Label Switching). Největší přínosy nabízí v oblasti služeb v
reálném čase, jakými jsou přenášení videa, řeči nebo transakčně orientovaných
dat, umožňuje však rovněž efektivně realizovat služby jako virtuální privátní
sítě. U MPLS obdrží datové pakety označení podle stupně své priority a
příslušnosti k datovému proudu. Na páteřních routerech jsou zřízeny virtuální
routery, které data, přidělená určité zákaznické síti, dále transportují
odděleně od ostatních paketů.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.