Zatímco v minulé části jsme hovořili obecně o směrování jako prostředku pro
propojování sítí a pro budování složitých intersítí (principy směrování, úkoly
směrovačů, statické versus dynamické směrování, algoritmy směrovacích
protokolů), v tomto dílu se podíváme na konkrétní směrovací protokoly pro IP.
Mezi vnitřní směrovací protokoly pracující uvnitř autonomního systému patří
otevřené protokoly RIP a OSPF, zatímco vnější směrovací protokoly, určené pro
komunikaci mezi autonomními systémy, reprezentuje BGP. Vzhledem ke komplexnosti
dnešních intersítí bude dobré si následně shrnout zásadní rozdíly mezi
směrovači a přepínači pro lepší porozumění jejich uplatnění při propojování
sítí.
Výhody a nevýhody vnitřního směrovacího protokolu RIP (verze 1 i 2) pro sítě IP
Výhody
otevřený směrovací protokol (nezávislý na výrobci)
jednoduchá implementace
velké rozšíření
Nevýhody
nekvalitní metrika
pomalá konvergence
omezená délka cesty na 15 skoků
nelze rozložit zátěž do paralelních cest
Vnitřní a vnější směrovací protokoly IP
Některé protokolové architektury (např. TCP/IP) mají zabudovanou hierarchii
sítě. Nerozeznávají pouze jednotlivé uzly a síťové segmenty, ale i jejich
seskupení. Nejvyšší stupeň hierarchie je doména nebo autonomní systém,
označující skupinu směrovačů a odpovídajících sítí a segmentů, které spadají
pod stejnou správu (většinou jednoho podniku či organizace). Autonomní systém
je termín používaný v TCP/IP a je označen přirozeným číslem (o maximální
hodnotě 216). Čísla přidělují a spravují stejné organizace, které kontinentálně
přidělují síťové adresy IP.
Směrovací protokoly se pro architektury, jež používají dělení intersítě do
autonomních systémů nebo domén, dělí na tzv. vnější a vnitřní. Vnitřní
směrovací protokoly zajišťují směrování uvnitř autonomního systému nebo
administrativní domény, zatímco vnější protokoly zabezpečují přenos směrovacích
informací mezi těmito systémy, a tak možnost směrování mezi různými interními
směrovacími protokoly.
Vnitřní směrovací protokoly pro IP
Směrovacích protokolů vyvinutých v historii propojování sítí je celá řada a
práce na jejich zlepšování a vyvíjení nových zdaleka nekončí. Není namístě
debata o tom, který z protokolů je nejlepší, protože každý z nich odpovídá jiné
topologii intersítě a požadavkům správce sítí. V následující části se podíváme
na směrovací protokoly používané pro směrování paketů IP, které vznikly jako
otevřené protokoly v rámci komunity Internetu (IETF).
Routing Information Protocol
Routing Information Protocol (RIP) byl jedním z vůbec prvních úspěšných
směrovacích protokolů (vyvinut firmou Xerox v r. 1981). První verze protokolu
RIP pro IP (RFC 1058) je dnes zastaralá, přechází se na normalizovanou verzi 2
(RFC 2453).
Metrika, kterou používá protokol RIP, je počet směrovačů na cestě k cíli.
Nejnižší metrika je pro přímo připojené sítě ke směrovači, nejdelší cesta je 15
skoků (směrovačů), vyšší metrika (16) označuje neplatnou cestu (nedostupnou
síť). RIP vysílá aktuální směrovací informace na všeobecnou adresu v periodě 30
s.
Nová verze protokolu RIP 2 je plně založena na charakteristikách protokolu RIP
verze 1, které obohacuje o:
- podporu podsíťových masek umožňuje využít RIP i v prostředí s podsíťovými
maskami proměnné délky (VLSM) nebo se směrováním na bázi adresových prefixů
(CIDR),
- možnost vysílat směrovací tabulky nikoli na všeobecnou, ale na skupinovou
adresu,
- autentizaci směrovacích informací,
- spolupráci s jinými vnitřními směrovacími protokoly (pomocí odkazu na
následující skok) i vnějšími protokoly (prostřednictvím označení cest mimo
autonomní systém).
RIP lze výhodně použít jako vnitřní směrovací protokol v sítích, které jsou
homogenní a mají maximálně střední velikost, neboť jeho jednoduchost i z
hlediska konfigurace tam vyváží pomalou konvergenci a nepříliš vhodnou metriku.
Open Shortest Path First
Protokol Open Shortest Path First (OSPF verze 2, RFC 2328) je v rodině de facto
normalizovaných vnitřních směrovacích protokolů pro IP opačným pólem než RIP.
Používá algoritmus stavu spojů, který umožňuje rychlou konvergenci sítě
reagující na jakékoli topologické změny, jako např. poruchu spoje, a nevede ke
směrovacím smyčkám. Aktuální informace pro směrování se zasílají okamžitě po
jakékoli detekci změny v topologii sítě, nebo minimálně (periodicky) každých 30
min. Každý směrovač má stejný pohled na topologii sítě (topologická databáze).
Směrovací informace jsou zasílány v paketech o stavu spojů (LSP, Link State
Packet), v nichž se popisuje stav rozhraní směrovače a jeho sousedů, tj. stav
připojených sítí. Souhrn všech LSP tvoří topologickou databázi protokolu.
OSPF využívá hierarchické směrování, kdy sítě a směrovače se v jednom
autonomním systému dělí do tzv. oblastí (area), které konfiguruje správce sítě
(intersíť může být rozdělena do jedné nebo více oblastí, viz obrázek Oblasti
OSPF a jejich návrh). Znalost topologie dané oblasti zůstává skrytá ostatním
oblastem, a tak umožňuje provádět změny topologie v každé oblasti nezávisle na
ostatních. Právě jedna oblast tvoří tzv. OSPF páteř (backbone), k níž musí být
(logicky) připojeny všechny ostatní oblasti. Každá oblast používá individuální
kopii algoritmu pro výpočet nejkratších cest, a proto má svou topologickou
databázi, která je u všech směrovačů v oblasti totožná. Hraniční směrovače
oblastí mají tolik databází, kolik oblastí propojují. Hierarchická struktura
intersítě z hlediska OSPF znamená, že směrování probíhá ve dvou stupních:
uvnitř oblasti a mezi oblastmi.
Směrování pomocí OSPF je založeno na jediné bezrozměrové metrice, obecně
označované cena (nejlepší cesta je ta s nejnižší souhrnnou cenou). Cena spojů
ve složené cestě odpovídá propustnosti spojů, nákladů na spoje apod. podle
potřeb správce intersítě. OSPF rychle reaguje na topologické změny sítě a
vypočítává nejkratší cesty do všech dostupných existujících sítí na bázi
Dijkstrova algoritmu.
Vnější směrovací protokoly
Pro sítě TCP/IP se vyvinuly dva vnější směrovací protokoly: EGP a BGP, z nichž
pouze BGP došel širokého praktického uplatnění a má naději na rozvoj i v
budoucnu, neboť je v podstatě jediným vnějším směrovacím protokolem používaným
v současném Internetu.
Border Gateway Protocol (BGP) se dnes používá ve verzi 4. Na rozdíl od
vnitřních směrovacích protokolů založených na distančně vektorovém algoritmu,
které používají jednotnou metriku, může mít u BGP každý AS jiný soubor kritérií
pro výběr optimální cesty. Mezi kritéria určující kvalitu (váhu) cesty patří
počet AS na cestě k cílové síti, přítomnost nebo nepřítomnost určitých AS na
cestě (např. kvůli parametrům provozu jako rychlost, velikost AS), původ cesty
(cesta plně zjištěná pomocí BGP má obecně přednost před cestou zjištěnou
jinak), nebo stabilita spojů. Tato kritéria mají přesně specifikované pořadí, v
němž se mohou vyskytnout a podle nějž se výběr cesty nakonec řídí.
Redistribuce směrovacích informací
V případě použití několika směrovacích protokolů nebo dokonce obou typů
směrování, statického a dynamického vedle sebe v jedné intersíti (např. IP), s
největší pravděpodobností bude potřeba zajistit komunikaci mezi těmito
protokoly či typy směrování. V opačném případě by vznikly zcela samostatné
síťové zóny, které by vzájemně o své existenci ani nevěděly. Redistribuce
směrovacích informací je proces předávání směrovacích informací ve srozumitelné
podobě z jednoho protokolu druhému protokolu, případně začleňování informací o
statických cestách do protokolu směrovacího. Ve většině případů se o
redistribuci musí postarat správce sítě manuální konfigurací, který musí:
- rozhodnout, zda si budou protokoly vzájemně předávat informace,
- rozhodnout, které informace se budou předávat (zda všechny, nebo pouze
filtrované informace),
- sjednotit metriku předávaných informací s metrikou cílového protokolu,
- zabezpečit vyhovění limitům cílového protokolu.
Směrovače a omezení režijního provozu přes rozlehlé sítě
Dynamické směrování pomocí směrovacích protokolů nemusí být nejvhodnějším
řešením v případě využití rozlehlé přenosové sítě (např. ISDN, Frame Relay) pro
komunikaci mezi sítěmi lokálními (pobočkami podniku apod.). Směrovací informace
jsou klíčové pro provoz v propojených sítích, nicméně v některých případech
objem a častost přenášení těchto režijních informací může mít negativní dopad.
Týká se to zejména těch rozlehlých sítí, u nichž se platí za navázání
komunikace, délku připojení a/nebo objem přenášených dat. U směrování je sice
možné minimalizovat objem a častost výměny směrovacích informací správnou
volbou směrovacího mechanismu nebo využití rozšiřujících mechanismů směrovacího
protokolu (např. pro RIP v RFC 1582), ale mnohdy je výhodnější použít statické
směrování, které žádný režijní provoz negeneruje. Přístupové směrovače k
rozlehlé síti také umožňují prodloužit interval povinné výměny periodických
informací vyžadované pro práci spojových protokolů, a snížit tak objem další
kategorie režijních dat.
V případě komunikace mezi servery a klienty prostřednictvím sítě lze využít
směrovač, aby "falšoval" pravidelné informace, které si uzly sítě potřebují
vyměňovat. Především se směrovač postará o filtraci těchto zpráv přicházejících
z jeho lokální sítě, a propustí je do sítě WAN jen za relativně dlouhou dobu.
Pokud vyslané zprávy vyžadují odezvu, zfalšuje ji a vyšle ji lokálně. Tyto
metody se mohou výrazně odrazit především v případě ISDN, kdy se minimalizuje
aktivace spojení a jejich využití téměř výhradně pro uživatelská data.
Směrovací přepínače neboli přepínání na vyšších vrstvách
Tabulka Porovnání směrovačů a přepínačů ukázala všechny rozdíly mezi směrováním
na síťové vrstvě a přepínáním na vrstvě spojové síťové architektury. Zdálo by
se, že tyto dvě metody propojování lze obtížně kombinovat v jednom zařízení,
nicméně nutnost zrychlení zpracování rámců/paketů při průchodu propojovacím
zařízením vedla k různým vylepšením jak přepínačů, tak směrovačů. Přepínače
pracují s využitím rozhodování o rámcích ve svém hardwaru, proto jsou
dostatečně rychlé, ale jejich omezení na informace spojové vrstvy způsobuje
omezenou možnost filtrace, frontových mechanismů, nedostatečné omezení posílání
rámců na všeobecnou adresu a minimální logickou segmentaci sítě. Směrovače
všechny tyto schopnosti mají, neboť pracují se znalostmi síťové vrstvy, ale
jejich práce je již řešena softwarově, proto jsou při zpracování o něco
pomalejší.
Od tradiční topologie podnikové sítě s centrálním směrovačem a připojenými
pracovními skupinami prostřednictvím rozbočovačů (naznačené na obrázku Tradiční
síť s rozbočovači a centrálním směrovačem), se postupně přešlo k topologii
umožňující rychlejší přístup k serverům a stejnou komunikaci mezi pracovními
skupinami (lokálními sítěmi) prostřednictvím centrálního směrovače (Obrázek:
Přepínaná síť s centrálním směrovačem). Právě jádro sítě (v páteřní oblasti)
může být náchylné na přetížení v důsledku zvyšujících se nároků na komunikaci
mezi dílčími lokálními sítěmi, proto již nemusí centrální směrovač stačit
náporu paketů.
Proto vzniká nová kategorie propojovacích zařízení, která se označují různě:
směrovací přepínače, vícevrstvé přepínače, přepínače na třetí vrstvě, či
směrovače založené na hardwaru. Všechna zařízení v sobě do určité míry
integrují funkce směrovače (nalezení optimální cesty sítí) s maximální
rychlostí přepínání paketů. Snaha o zrychlení průchodnosti paketů směrovači
není samoúčelná. Souvisí s tím, že v dnešní době se již velká část provozu
zdaleka neomezuje na dílčí segment, neprobíhá lokálně a není možné ji blokovat
právě směrovačem. Naopak v rámci podniku se větší část komunikace odehrává mezi
koncovými stanicemi a centrálními servery (servery WWW, souborovými a
poštovními servery), a značná část se týká komunikace s vnějším světem
prostřednictvím připojení k Internetu. Již se zcela obrátil poměr 80 %
lokálního provozu vůči 20 % komunikace s vnějším světem, protože větší objem
dat se vyměňuje spíše s externím světem prostřednictvím Internetu než v rámci
podnikové sítě. Směrovače se rychle stávají úzkým místem podnikové sítě,
jestliže stoupá objem provozu, který mají zpracovávat.
Jediným řešením se zdá provést rozhodování o směrování provozu pouze jednou (s
prvním paketem) a zbývající pakety již přepínat podle stejného klíče a
nezatěžovat jejich zpracováním směrovač. To znamená řešení oddělující dvě
základní činnosti, které provádí směrovač, tj. nalezení optimální cesty sítí a
posílání paketů. Hledání cesty v síti se nadále provádí v softwaru podobně jako
budování a aktualizace směrovacích tabulek, filtrace paketů a identifikace toku
paketů. Směrovací přepínače dnes podporují především směrování a přepínání IP
datagramů, proto musí "rozumět" směrovacím protokolům jako RIP a spolupracovat
s čistými směrovači podporujícími stejné protokoly. Měly by však také
spolupracovat s protokoly na podporu směrování pro celé skupiny uživatelů
(např. PIM, Protocol Independent Multicast, nebo MOSPF, Multicast Open Shortest
Path First) a protokolem na podporu třídy služeb v síti (RSVP, Resource
reSerVation Protocol). Vzhledem k propustnosti (rychlosti vnitřního zpracování)
se tyto směrovače uplatňují především v prostředí lokálních sítí. Z hlediska
konfigurace jsou tato zařízení podobně složitá jako klasické směrovače (o
stupeň více, než vyžadují přepínače).
Příchod směrovacích přepínačů neznamená v žádném případě nutnou náhradu všech
přepínačů lokálních sítí a směrovačů, ty budou mít v (inter)sítích i nadále své
místo. Výkonná zařízení kombinující schopnosti směrování a rychlého přepínání
paketů jsou určena do centrální části podnikové sítě, do její páteře
propojující rychlé lokální sítě. Tam, kde je rychlost přenosu dat spíše omezena
aplikacemi na koncových zařízeních a serverech, ani nejvýkonnější propojovací
zařízení nemůže zvýšení propustnosti sítě pomoci (a to ani nemusí být třeba), a
bylo by proto zbytečné.
Směrovací politika
Na závěr se podívejme, jakou roli ve směrování jak v lokálním (podniková síť),
tak v globálním měřítku (poskytovatelé přístupu k Internetu) může hrát
politika. Směrování založené na politice se liší od ostatních typů směrování
tím, že není založeno na chování provozu v síti (zatížení spojů, síťových
segmentů nebo síťových zařízení), i když nepřímo může z těchto charakteristik
vycházet. Lze nastavit různou politiku pro směrování tak, aby se zajistila
bezpečnost, preference síťových zařízení (např. serverů), aby se vyhovělo
chování uživatelů nebo interní politice firemní sítě. Směrování na základě
politiky se může definovat nejen na síťové vrstvě, ale zejména s ohledem na
uživatelské aplikace na vrstvě aplikační. Směrování v blízkosti klienta se může
zaměřovat na zvýšení bezpečnosti uživatele nebo na řízení chování před vlastním
předáním požadavku do sítě.
Pro příklad se můžeme podívat na politiky směrování pro WWW, World Wide Web,
tj. typicky aplikačně orientované směrování, vyžadující komplexnější zkoumání
paketů procházejících směrovačem, založené na:
bezpečnosti:
- řízená identifikace jména klienta, jména domény nebo IP adresy (někteří
klienti mohou výběrově chtít skrýt identifikátory),
- selektivní distribuce autentizačních certifikátů (někteří klienti mohou chtít
tyto certifikáty výběrově posílat podle místa na Webu),
- selektivní řízení příchozích cookies na uživatelův prohlížeč (někteří klienti
mohou odmítat všechny v závislosti na webové stránce),
- selektivní řízení podprogramů (applets) na uživatelův prohlížeč (někteří
klienti mohou odmítat všechny v závislosti na webové stránce),
- kontrola přítomnosti virů a předzpracování aplikací doručených
prostřednictvím Webu,
- řízený přístup k obsahu, stránkám nebo serverům v závislosti na uživateli,
jeho koncovém zařízení nebo identitě jeho sítě (servery mohou odmítnout některé
klienty nebo domény),
- řízený přístup klientů ke stránkám, založený na bezpečnostní identitě serveru
(pokud servery nemají platné bezpečnostní certifikáty),
uživatelském chování:
- řízený přístup k obsahu, stránkám nebo serverům, v závislosti na době
přístupu nebo opakovanosti,
- řízený přístup k obsahu, stránkám nebo serverům, založený na správci
předpokládané zátěži na serverech (např. při vydání nového webového časopisu),
- řízený přístup klientů ke stránkám na základě jejich obsahu (např. omezení
přístupu klientů na pornografické stránky),
referencích serverů:
- řízený přístup k obsahu, stránkám nebo serverům v závislosti na typu aplikace,
- řízený přístup k obsahu, stránkám nebo serverům v závislosti na typu
prohlížeče klienta,
- řízený přístup k obsahu, stránkám nebo serverům v závislosti na formátu
obsahu (DHTML, XML),
- směrování v souvislosti s integrací v závislosti na jiných službách, jako
jsou databáze, elektronická pošta nebo distribuované objekty.
Náš seriál o moderních síťových technologiích a propojování sítí v posledním
letošním čísle PC WORLDu zakončíme pohledem na žhavé novinky v oblasti sítí, a
to z hlediska přenosových rychlostí, kombinace různých typů provozu (data,
hlas, obraz) a výkonných propojovacích zařízení. Zastavíme se u variant řešení
požadavků na různé kvality služeb (MPLS, RSVP, DiffServ) a záležitostí budování
virtuálních sítí.
Autorkou seriálu o sítích je Ing. Rita Pužmanová, CSc., specialista na
propojování komunikačních sítí, (rita@ieee.org).
Výhody a nevýhody vnitřního směrovacího protokolu OSPF pro sítě s IP
Výhody
otevřený protokol nezávislý na výrobci
rychlá konvergence
vysílání směrovacích informací na skupinovou adresu
podpora paralelních cest se stejnou kvalitou
podpora směrování na základě typu služby
podpora VLSM a CIDR
autentizace směrovacích informací
Nevýhody
složitý návrh sítě pro podporu OSPF
kvalita směrování v závislosti na použité adresaci
Výhody a nevýhody využití směrovačů v intersítích
Výhody
- segmentace sítí s cílem zamezení průchodu chybných paketů, paketů na
všeobecnou adresu nebo na neznámou cílovou adresu
- zvýšení bezpečnosti i průchodnosti v intersíti prostřednictvím inteligentní
filtrace uživatelských paketů na základě síťových adres a typů protokolů
(síťových, transportních i aplikačních) a na základě filtrace směrovacích
informací
- zvýšení průchodnosti intersítě prostřednictvím inteligence pro podporu
frontových mechanismů (místo jedné vstupní a jedné výstupní fronty na každém
portu směrovače lze konfigurovat několik front podle priority paketů
příslušných jednotlivým protokolům)
- možnost používat spoje pouze v případě skutečné potřeby (bandwidth on
demand), využívat záložního vytáčeného spojení (dial on demand)
- podpora rozkládání zátěže do paralelních cest
- možná náhrada páteřní sítě výkonným směrovačem se "sdruženou" vnitřní páteřní
sběrnicí (collapsed backbone)
- podle typu výrobce určitá míra podpory automatické konfigurace směrovače,
konfigurace na dálku prostřednictvím serveru
Nevýhody
- cena
- nároky na konfiguraci
- nároky na správu a management v intersíti
Seznam použitých zkratek
AS - Autonomous System
BGP - Border Gateway Protocol
CIDR - Classless InterDomain Routing
EGP - Exterior Gateway Protocol
IETF - Internet Engineering Task Force
MOSPF - Multicast Open Shortest Path First
OSPF - Open Shortest Path First PIMProtocol Independent Multicast
RFC - Request For Comments
RIP - Routing Information Protocol
RSVP - Resource reSerVation Protocol
VLSM - Variable Length Subnet Mask