Дополнительные функции маршрутизаторов IP-сетей. - презентация

1 Дополнительные функции маршрутизаторов IP-сетей

2 Фильтрация Фильтрация пользовательского трафика Фильтрация – нестандартная обработка IP –пакетов маршрутизаторами, приводящая к отбрасыванию некоторых пакетов или изменению их маршрута Примерные условия фильтрации маршрутизаторов: IP-адрес источника и приемника; МАС-адреса источника и приемника; идентификатор интерфейса, с которого поступил пакет; тип протокола, сообщение которого несет IP-пакет (то есть TCP, UDP, ICMP или OSPF); номер порта TCP/UDP (то есть тип протокола прикладного уровня).

3 Примеры фильтров, написанных на командном языке маршрутизаторов Cisco. Списки доступа - средство ограничения пользовательского трафика. Стандартный список доступа – учитывает в качестве условия фильтрации только IP-адрес источника. access-list номер_списка_доступа { deny | permit } { адрес_источника [ метасимволы_источника ] | any} Deny –отбросить. Permit - передать для стандартной обработки в соответствии с таблицей маршрутизации. Метасимволы являются аналогом маски, но в несколько модифицированном виде. Двоичный нуль в поле метасимволов источника означает, что требуется совпадение значения этого разряда в адресе пришедшего пакета и в адресе, заданном в списке доступа. Any - любое значение адреса это просто более понятная и краткая форма записи значения в поле метасимволов источника. access-list 1 deny номер списка доступа; deny - действие с пакетом, который удовлетворяет условию данного списка доступа; адрес источника; метасимволы источника. Этот фильтр запрещает передачу пакетов, у которых в старших трех байтах адреса источника имеется значение Список с множественным условием: access-list 1 permit access-list 1 deny access-list 1 permit any Замечание. Сколько бы ни было сложным условие фильтрации маршрутизатора, в нем учитываются только параметры текущего пакета и не могут учитываться параметры предыдущих пакетов, уже обработанных маршрутизатором.

4 Фильтрация маршрутных объявлений Для контроля достижимости узлов и сетей можно ограничить распространение объявлений протоколов маршрутизации. Пусть, например, маршрутизаторы Cisco должны ограничить распространение маршрутных объявлений о какой-нибудь сети. Для этого нужно включить описание данной сети в стандартный список доступа, а затем применить к интерфейсу специальную команду с ключевым словом distribute-list (вместо access-group, как в случае фильтрации пользовательского трафика). Например, если администратор не хочет, чтобы информация о внутренних сетях предприятия /24 и /16 распространялась по внешним сетям, ему достаточно написать следующий стандартный список доступа: access-list 2 deny access-list 2 deny access-list 2 permit any После этого достаточно применить его к интерфейсу с помощью команды distribute-list 2 out serial 1

5 Стандарты QoS в IP-сетях Системы стандартов QoS для ТР-сетей: Система интегрированного обслуживания (Integrated Services, IntServ) Ориентирована на предоставление гарантий QoS для потоков конечных пользователей (используется в основном на периферии сети). Система дифференцированного обслуживания (Differentiated Services, DiffServ) Ориентирована на предоставление гарантий QoS для классов трафика (используется в основном в магистральных сетях) Обе системы используют все базовые элементы схемы поддержания параметров QoS, основанной на резервировании: кондиционирование трафика; сигнализацию для координации маршрутизаторов; резервирование пропускной способности интерфейсов маршрутизаторов для потоков и классов; приоритетные и взвешенные очереди. Замечание. Ни одна из этих технологий не решает проблемы инжиниринга трафика, так как пакеты по-прежнему направляются вдоль пути с наилучшей метрикой, выбираемому стандартным протоколом маршрутизации без учета реальной загрузки каналов передачи данных.

6 При применении алгоритма ведра маркеров профиль трафика определяется средней скоростью r и объемом пульсации b.

7 Сервер b бит - объем ведра r бит/с - скорость наполнения ведра Очередь пакетов Входной потокВыходной поток (сглаженный) Условие пропуска пакета сервером: Объем данных в ведре больше или равен объему данных пакета Выполняет профилирование средняя скорость r бит/с, пульсация

8 Алгоритм Token Bucket («ведро токенов») Выполняет профилирование и отбрасывание не удовлетворяющего условиям профиля трафика – при использовании на входе устройства

9 Идея алгоритма Сравнение эталонного и реального потоков выполняет сервер абстрактное устройство, которое имеет два входа. Вход 1 связан с очередью пакетов, а вход 2 с ведром маркеров. Сервер также имеет выход, на который он передает пакеты из входной очереди пакетов. Вход 1 сервера моделирует входной интерфейс маршрутизатора, а выход выходной интерфейс. При продвижении пакета из ведра удаляются маркеры общим объемом в М байт (с точностью до размера одного маркера, то есть до m байт). Если же ведро заполнено недостаточно, то пакет обрабатывается одним из двух описанных ниже нестандартных способов, выбор которых зависит от цели применения алгоритма. 1.Сглаживание трафика. Пакет просто задерживается в очереди на некоторое дополнительное время, ожидая поступления в ведро нужного числа маркеров. 2. Профилирование трафика. Пакет отбрасывается, как не соответствующий профилю. Более мягким решением может быть повторная маркировка пакета, понижающая его статус при дальнейшем обслуживании. При дифференцированном обслуживании пакет может быть переведен в другой класс, который обслуживается с более низким качеством.

10 Случайное раннее обнаружение (Random Early Detection, RED) RED работает с TCP и основан на свойстве TCP - при потерях пакетов источник трафика замедляет передачу пакетов в сеть. В алгоритме RED используется два конфигурируемых порога уровня перегрузки. Вероятность отбрасывания пакетов алгоритмом RED

11 Трафик «Приложение-приложение» 1.QoS узла - - Admission Control - Policy Control - очереди - shaping Протокол сигнализации - RSVP Интегрированное обслуживание и протокол RSVP Интегрированное обслуживание основано на резервировании ресурсов маршрутизаторов вдоль пути следования потока данных от одного конечного узла до другого.

12 Резервирование ресурсов по протоколу RSVP Протокол RSVP PATH message RESV message IGP route (multicast) PATH RESV C1 C2 C3 R1

13 Классы трафика (агрегированные потоки) 1.QoS узла - - Admission Control - Policy Control - очереди - shaping 2. Протокол сигнализации - биты DSCP (TOS) Каждый маршрутизатор сам решает, какое качество обслуживания применить к данному классу - Per Hop Behavior, PHB Дифференцированное обслуживание Дифференцированное обслуживание (DiffServ) опирается на ту же обобщенную модель QoS, что и интегрированное обслуживание, однако в качестве объектов обслуживания рассматриваются не отдельные потоки, а классы трафика.

14 В отличие от потока класс трафика не различает пакеты в зависимости от их маршрута. В модели DiffServ объектами обслуживания являются классы трафика, а не потоки

15 Недостаток DiffServ Главным недостатком является сложность предоставления количественных гарантий пользователям. Неопределенность уровня обслуживания в модели DiffServ

16 Маршрутизаторы Функции маршрутизаторов Основная функция маршрутизатора чтение заголовков пакетов сетевых протоколов, принимаемых и буферизуемых по каждому порту (например, IPX, IP, AppleTalk или DECnet), и принятие решения о дальнейшем маршруте следования пакета по его сетевому адресу, включающему, как правило, номера сети и узла.

17 Классификация маршрутизаторов по областям применения

18

19 Коммутаторы 3-го уровня выполняют все функции маршрутизаторов, но, кроме того, могут работать и как обычные коммутаторы локальных сетей, то есть коммутаторы 2-го уровня. Комбинированный режим работы коммутатора 3-го уровня